1 SPRZ ĘTOWA ZAPORA SIECIOWA
Transkrypt
1 SPRZ ĘTOWA ZAPORA SIECIOWA
1 SPRZĘTOWA ZAPORA SIECIOWA Sprzętowe zapory sieciowe (a takŜe inne urządzenia aktywne) posiadają z reguły parę moŜliwych dróg dostępu do ustawień urządzenia. Najbardziej tradycyjnym (i pewnym) sposobem dostępu jest konsola portu szeregowego (RS232) - najwaŜniejszą cechą takiego podłączenia jest bowiem moŜliwość wyodrębnienia owego dostępu tylko lokalnie. Z tego teŜ powodu mimo elastyczności i ułatwień, jakie niosą ze sobą inne sposoby dostępu (protokoły http, https, aplikacja dedykowana), konsola pozostaje zawsze niezawodną i najszerszą w moŜliwościach metodą dostępu do urządzenia. W ksiąŜce wykorzystano jako przykład zapory sieciowej sprzętowe urządzenie firmy Watchguard – Firebox V60. Jednak bezpiecznie moŜna załoŜyć, Ŝe w przypadku innych urządzeń poniŜsza instrukcja równieŜ będzie przydatna. Przedstawia bowiem standardowe procedury i pomocne w większości przypadków sposoby postępowania. Rys. 1.1. Zapora sieciowa Watchguard Firebox® V60 Infrastruktura wystarczająca do przeprowadzenia ćwiczeń z uŜyciem zapory sieciowej Watchguard powinna być zbudowana w następujący sposób: • stanowisko oraz zapora sieciowa połączone za pomocą kabla konsoli, • stanowisko oraz zapora sieciowa (port 0) połączone za pomocą kabla UTP cross, • zapora sieciowa (port 1) oraz switch laboratoryjny (lub wyjście do Internetu) połączone za pomocą kabla sieciowego UTP. Schemat połączeń przedstawiono na rys. 7.2 Rys. 1.2. Infrastruktura laboratorium 1.1 Dostęp do konsoli za pomocą portu szeregowego RS232 UŜyjemy metody dostępu konsoli, aby na początku ćwiczenia wyzerować ustawienia zapory sieciowej, tak, jak gdyby wyjęliśmy go "prosto z paczki". Najczęściej urządzenie posiada dedykowany port szeregowy RS232, jednak czasami zdarza się, Ŝe interfejs jest w postaci wtyczki RJ45. Wówczas naleŜy uŜyć kabla „przejściowego”, zakończonego z obu stron wtyczkami RJ45, zwanego ‘rollover’. W kablu takim zamienia się kolejność wszystkich styków kabla (1-8, 2-7, 3-6, itd.), tak jak gdyby został „odwrócony”. Od strony komputera PC uŜywamy wówczas przejściówki DB-9 na RJ45 (rys. 7.3). Połączenie uŜywa portu szeregowego (COM1 lub COM2). Rys. 1.3. Przejściówki DB-9 oraz DB-25 (na zdjęciu standardowy zestaw kabla rollover Cisco) Do połączenia konsolowego w systemie Windows najlepiej uŜyć wbudowanego programu HyperTerminal. Ustawienia połączenia szeregowego naleŜy odczytać z instrukcji urządzenia, jednakŜe najczęściej jest to 9600-8-N-1. Symbole te oznaczają, odpowiednio: szybkość połączenia, ilość bitów danych, ilość bitów parzystości (N = brak) oraz bitów stopu. W łączeniu za pomocą portu szeregowego waŜną rolę odgrywa równieŜ ustawienie sterowania przepływem – zaleŜnie od urządzenia występuje tu najczęściej brak sterowania przepływem, lub sprzętowe sterowanie przepływem. Przy poprawnej konfiguracji, po naciśnięciu ENTER powinno się otworzyć połączenie. Dla zapory sieciowej Firebox firmy WatchGuard pojawia się komunikat w rodzaju: WatchGuard Firebox V60 (OS 5.0) WatchGuardWSB login: W tej części ćwiczenia nie trzeba się jeszcze logować. NaleŜy wyłączyć i włączyć zaporę sieciową, aby poobserwować uruchamianie systemu. Instrukcja operacji kasującej ustawienia (ang. reset) znajduje się w podręczniku. Większość urządzeń ma bardzo róŜniące się od siebie metody kasowania ustawień, zaleŜne najczęściej od zastosowań. Im bardziej profesjonalnie producent traktuje kwestię fizycznego bezpieczeństwa urządzenia, tym trudniejsza procedura wyzerowania. Dla przykładu – w zaporze sieciowej Firebox naleŜy wcisnąć klawisz ESCAPE po pojawieniu się napisu Booting, a następnie trzeba będzie podać numer seryjny urządzenia. [1] 1.2 Dostęp za pomocą aplikacji dedykowanej. Konfiguracja podstawowa urządzenia Przy pierwszym uruchomieniu zapory sieciowej nie posiada jeszcze ona Ŝadnego adresu IP, dlatego nie da się z nim połączyć za pomocą protokołu http (otworzyć strony WWW). NaleŜy uŜyć aplikacji dedykowanej - w naszym przypadku jest to WatchGuard Vcontroller. Znajduje się na płycie CD dołączonej do urządzenia. Podobnie jest z produktami innych firm – prawie zawsze do urządzenia dołączona jest cała gama narzędzi, wspomagających pracę z urządzeniem. Aplikacja dedykowana jest specjalnie napisana do połączenia z danym urządzeniem. Wadą takiego rozwiązania jest, Ŝe nie moŜemy się połączyć z urządzeniem z kaŜdego komputera w sieci, uprzednio nie instalując aplikacji. NaleŜy zapamiętać, Ŝe dana aplikacja prawdopodobnie nie będzie w stanie współpracować z urządzeniami innego producenta! Vcontroller posiada specjalną funkcję, odnajdującą nowe, jeszcze nie skonfigurowane urządzenia Watchguard [2]. Kolejne kroki ustawienia pierwszej konfiguracji pokazane są na rys. 7.4 – 7.10. Rys. 1.4. Standardowy ekran powitania (ikonka 'lunetki' = discovery) Rys. 1.5. Discovery. Szukamy nowego urządzenia w sieci Rys. 1.6. Efekt przeszukania sieci Uwaga: Jeśli podczas ćwiczenia nie widać zapory sieciowej - a resetowanie z konsoli zakończyło się pomyślnie - to znaczy, Ŝe źle podłączono kable sieciowe. Rys. 1.7. Ustawienie interfejsu Podczas ustawienia parametrów zapory sieciowej przydadzą się informacje z zakresu sieci komputerowych. Najlepiej postarać się juŜ na tym etapie o projekt rozplanowania sieci. W którym miejscu sieci będzie funkcjonowała zapora sieciowa? Jak naleŜy skonfigurować adresy interfejsów oraz maski sieci? Najczęstszą konfiguracją jest ustawienie interfejsu zerowego na adres sieci domowej/lokalnej (zapora sieciowa umieszcza się na szczycie hierarchii sieci lokalnej), interfejs pierwszy z reguły stanowi „wyjście” w sieć niezaufaną. Przed implementacją warto się jednakŜe zastanowić nad wydzieleniem trzeciego interfejsu, najczęściej w celach oddzielenia serwerów usługowych od reszty sieci, popularnie zwanego strefą zdemilitaryzowaną (DMZ, ang. DeMilitarized Zone) [3]. Jeszcze innym uŜytkownikom przyda się wydzielenie nie jednej, a dwóch albo więcej sieci lokalnych, mających wówczas osobno konfigurowane prawa dostępu do reszty podsieci. Rys. 1.8. Ustawienia innych interfejsów Rys. 1.9. Standardowe ustawienia polityki bezpieczeństwa Istotną zaletą sprzętowych zapór ogniowych jest łatwa konfigurowalność alarmów związanych z atakami typu DoS (ang. Denial of Service, odmowa usługi) [3]. Ustawienia widoczne na rysunku 7.9 dotyczą „przepełnień” róŜnego rodzaju pakietów, dany incydent nie oznacza jednakŜe ataku. Dla sieci mocno obciąŜonej, często uŜywającej protokołu np. ICMP, będzie prawdopodobnie naleŜało ustawić bardziej pobłaŜliwe wartości. Dobrą praktyką jest tutaj mocne zacieśnienie dozwolonych wartości, które w razie potrzeby (częstych fałszywych alarmów) zawsze moŜna poprawić. Jeśli czytelnikowi nie są znane opisane tu wyraŜenia lub zjawiska, takie jak SYN Flood Attack, czy Ping of Death, naleŜy odnieść się do literatury [3, 4]. Zagadnienia teoretyczne ataków typu DoS oraz rozproszonego DoS nie naleŜą do tego rozdziału. Rys. 1.10. Standardowy wybór menu zapory sieciowej Watchguard Firebox Po skonfigurowaniu alarmów moŜna skierować urządzenie do działania. 1.3 Sprawdzenie ruchu przechodzącego Większość urządzeń aktywnych posiada mniej lub bardziej rozwinięte mechanizmy monitorowania natęŜenia ruchu przechodzącego przez urządzenie. Sprawdzimy przechodzący ruch. Będziemy uŜywać polecenia "ping", aby sprowokować ruch pakietów na zaporze sieciowej. Ping (Packet INternet Groper) uŜywa protokołu ICMP. Będziemy wysyłać pakiety o róŜnej wielkości, aby zaobserwować zarówno wzmoŜony ruch, jak i fragmentację pakietów. Polecenie ping /? podpowiada, jakich parametrów uŜyć, aby zwiększyć rozmiar pakietu, albo przyspieszyć wysyłanie kolejnych pakietów. Urządzenia sprzętowe róŜnych producentów posiadają mniej lub bardziej rozbudowane narzędzia monitorowania ruchu, najczęściej dostępne pod hasłem „Logs”, bądź „Traffic”. W przypadku Watchguarda naleŜy wybrać opcję "Monitor" w głównym panelu i określić odpowiednie wartości do pomiarów, jak na rysunku 7.11. Rys. 1.11. Przykład wyboru wartości do pomiaru (W tym przypadku sprawdzamy, jaki ruch przechodzi przez zasadę "Allow Ping", a takŜe, jakie pakiety wychodzą do interfejsu sieci lokalnej - czyli odpowiedzi na ping). NaleŜy sprawdzić, jak kształtują się statystyki w przypadku wysyłania małych rozmiarów ICMP (16 bajtów), średnich (2 kB) i duŜych (16 kB). Rys. 1.12. Monitor zapory sieciowej Dobrym ćwiczeniem jest eksperymentowanie z róŜnymi innymi wartościami do obserwowania (przykład na rys. 7.12). 1.4 Parametry ataku DoS DoS (ang. Denial of Service) - próba otwarcia zbyt wielu połączeń, usług sieciowych, itd. w celu przeciąŜenia serwera i spowodowania awarii bądź nieprawidłowego działania. [3] Najczęstszymi "twórcami" zjawiska DoS w sieci są robaki internetowe, dlatego zaobserwowanie tego typu problemów w sieci jest często sygnałem zaraŜenia maszyn wewnątrz sieci. JednakŜe nie jest to jedyny przypadek. Drugim są zagroŜenia wywołane przez czynnik ludzki. Aby stwierdzić, które miejsca w sieci są potencjalnymi celami, atakujący dokonuje z reguły rozpoznania. Rozpoznanie takie najczęściej polega na skanowaniu wszystkich moŜliwych maszyn, aby ustalić usługi sieciowe, udostępniane porty, itp. - ogólnie rzecz biorąc otwartość sieci. Otwarcie bardzo wielu połączeń w krótkim czasie moŜe być sygnałem właśnie takiego skanowania systemów. 1.5 Laboratorium Cel ćwiczenia Celem ćwiczenia jest zapoznanie z podstawowymi metodami dostępu do sprzętowych zapór ogniowych, zastosowanie podstawowych metod monitoringu, odtworzenie typowych czynności podczas konfiguracji i testowania sprzętu. Infrastruktura Zaporę sieciową Watchguard Firebox® V60 pokazano na rys. 7.13. Rys. 1.13. Zapora sieciowa Watchguard Firebox® V60 Infrastrukturę wystarczającą do ćwiczeń z uŜyciem zapory sieciowej Watchguard ukazuje rysunek 7.14. Rys. 1.14. Infrastruktura laboratorium Kompetencje Po ukończeniu ćwiczenia studenci powinni posiadać wystarczającą wiedzę do skonfigurowania, uruchomienia i przetestowania zapory ogniowej, zwłaszcza pod kątem ataku typu DoS. Zadania UŜyj komendy "ping" ze stanowiska do zapory sieciowej, - moŜe nawet z paru linii komend - i zaobserwuj ruch na monitorze zapory sieciowej. Rys. 1.15. Monitor zapory sieciowej Poeksperymentuj z róŜnymi innymi wartościami do obserwowania. Parametry ataku DoS. Wykonaj następujące punkty: • Sprawdź, czy na stanowisku zainstalowany jest skaner nmap. Ewentualnie, zainstaluj. [4] • UŜywając program nmap, przeskanuj otwarte porty na zaporze sieciowej. • Po zapisaniu wyniku, sprawdź diodę "Alarm" na Fireboxie. (Niestety, skanowanie standardowej liczby portów w zadanym czasie powoduje alarm na zaporze sieciowej.) Zakładka "Alarm" w aplikacji Vcontroller pozwala na stwierdzenie dokładnej daty alarmu i na wyzerowanie komunikatów. Wyczyść alarmy. UŜywając programu nmap z róŜnymi opcjami [4], jeszcze raz przeskanuj otwarte porty na zaporze sieciowej: • uŜywając czasowej polityki Polite, • uŜywając czasowej polityki Paranoid, Sprawdzaj, czy nie wywołałeś alarmu! Co naleŜałoby zmienić na zaporze sieciowej, aby skanowanie przy polityce Polite nie wywoływało alarmu? 1.6 Literatura [1] [2] [3] [4] Instrukcja uŜytkownika Watchguard Firebox – rozdziały „Instalacja”, „Rekonfiguracja”. Instrukcja programu Watchguard Vcontroller Zwicky, Cooper, Chapman – Building Internet Firewalls, 2nd edition – O’Reillys 2002 Nmap – witryna internetowa http://insecure.org/nmap/