1 SPRZ ĘTOWA ZAPORA SIECIOWA

1 SPRZĘTOWA ZAPORA SIECIOWA
Sprzętowe zapory sieciowe (a takŜe inne urządzenia aktywne) posiadają z reguły parę
moŜliwych dróg dostępu do ustawień urządzenia. Najbardziej tradycyjnym (i pewnym)
sposobem dostępu jest konsola portu szeregowego (RS232) - najwaŜniejszą cechą takiego
podłączenia jest bowiem moŜliwość wyodrębnienia owego dostępu tylko lokalnie. Z tego
teŜ powodu mimo elastyczności i ułatwień, jakie niosą ze sobą inne sposoby dostępu
(protokoły http, https, aplikacja dedykowana), konsola pozostaje zawsze niezawodną i
najszerszą
w moŜliwościach metodą dostępu do urządzenia.
W ksiąŜce wykorzystano jako przykład zapory sieciowej sprzętowe urządzenie firmy
Watchguard – Firebox V60. Jednak bezpiecznie moŜna załoŜyć, Ŝe w przypadku innych
urządzeń poniŜsza instrukcja równieŜ będzie przydatna. Przedstawia bowiem standardowe
procedury i pomocne w większości przypadków sposoby postępowania.
Rys. 1.1. Zapora sieciowa Watchguard Firebox® V60
Infrastruktura wystarczająca do przeprowadzenia ćwiczeń z uŜyciem zapory
sieciowej Watchguard powinna być zbudowana w następujący sposób:
•
stanowisko oraz zapora sieciowa połączone za pomocą kabla konsoli,
•
stanowisko oraz zapora sieciowa (port 0) połączone za pomocą kabla UTP cross,
•
zapora sieciowa (port 1) oraz switch laboratoryjny (lub wyjście do Internetu)
połączone za pomocą kabla sieciowego UTP.
Schemat połączeń przedstawiono na rys. 7.2
Rys. 1.2. Infrastruktura laboratorium
1.1 Dostęp do konsoli za pomocą portu szeregowego RS232
UŜyjemy metody dostępu konsoli, aby na początku ćwiczenia wyzerować ustawienia
zapory sieciowej, tak, jak gdyby wyjęliśmy go "prosto z paczki".
Najczęściej urządzenie posiada dedykowany port szeregowy RS232, jednak czasami
zdarza się, Ŝe interfejs jest w postaci wtyczki RJ45. Wówczas naleŜy uŜyć kabla
„przejściowego”, zakończonego z obu stron wtyczkami RJ45, zwanego ‘rollover’. W
kablu takim zamienia się kolejność wszystkich styków kabla (1-8, 2-7, 3-6, itd.), tak jak
gdyby został „odwrócony”. Od strony komputera PC uŜywamy wówczas przejściówki
DB-9 na RJ45 (rys. 7.3). Połączenie uŜywa portu szeregowego (COM1 lub COM2).
Rys. 1.3. Przejściówki DB-9 oraz DB-25 (na zdjęciu standardowy zestaw kabla
rollover Cisco)
Do połączenia konsolowego w systemie Windows najlepiej uŜyć wbudowanego
programu HyperTerminal. Ustawienia połączenia szeregowego naleŜy odczytać z
instrukcji urządzenia, jednakŜe najczęściej jest to 9600-8-N-1. Symbole te oznaczają,
odpowiednio: szybkość połączenia, ilość bitów danych, ilość bitów parzystości (N = brak)
oraz
bitów
stopu.
W łączeniu za pomocą portu szeregowego waŜną rolę odgrywa równieŜ ustawienie
sterowania przepływem – zaleŜnie od urządzenia występuje tu najczęściej brak sterowania
przepływem, lub sprzętowe sterowanie przepływem.
Przy poprawnej konfiguracji, po naciśnięciu ENTER powinno się otworzyć
połączenie. Dla zapory sieciowej Firebox firmy WatchGuard pojawia się komunikat w
rodzaju:
WatchGuard Firebox V60 (OS 5.0)
WatchGuardWSB login:
W tej części ćwiczenia nie trzeba się jeszcze logować. NaleŜy wyłączyć i włączyć
zaporę sieciową, aby poobserwować uruchamianie systemu. Instrukcja operacji kasującej
ustawienia (ang. reset) znajduje się w podręczniku. Większość urządzeń ma bardzo
róŜniące się od siebie metody kasowania ustawień, zaleŜne najczęściej od zastosowań. Im
bardziej profesjonalnie producent traktuje kwestię fizycznego bezpieczeństwa urządzenia,
tym trudniejsza procedura wyzerowania. Dla przykładu – w zaporze sieciowej Firebox
naleŜy wcisnąć klawisz ESCAPE po pojawieniu się napisu Booting, a następnie trzeba
będzie podać numer seryjny urządzenia. [1]
1.2 Dostęp za pomocą aplikacji dedykowanej. Konfiguracja
podstawowa urządzenia
Przy pierwszym uruchomieniu zapory sieciowej nie posiada jeszcze ona Ŝadnego
adresu IP, dlatego nie da się z nim połączyć za pomocą protokołu http (otworzyć strony
WWW). NaleŜy uŜyć aplikacji dedykowanej - w naszym przypadku jest to WatchGuard
Vcontroller. Znajduje się na płycie CD dołączonej do urządzenia. Podobnie jest z
produktami innych firm – prawie zawsze do urządzenia dołączona jest cała gama
narzędzi,
wspomagających
pracę
z urządzeniem. Aplikacja dedykowana jest specjalnie napisana do połączenia z danym
urządzeniem. Wadą takiego rozwiązania jest, Ŝe nie moŜemy się połączyć z urządzeniem
z kaŜdego komputera w sieci, uprzednio nie instalując aplikacji. NaleŜy zapamiętać, Ŝe
dana aplikacja prawdopodobnie nie będzie w stanie współpracować z urządzeniami
innego producenta!
Vcontroller posiada specjalną funkcję, odnajdującą nowe, jeszcze nie skonfigurowane
urządzenia Watchguard [2]. Kolejne kroki ustawienia pierwszej konfiguracji pokazane są
na rys. 7.4 – 7.10.
Rys. 1.4. Standardowy ekran powitania (ikonka 'lunetki' = discovery)
Rys. 1.5. Discovery. Szukamy nowego urządzenia w sieci
Rys. 1.6. Efekt przeszukania sieci
Uwaga: Jeśli podczas ćwiczenia nie widać zapory sieciowej - a resetowanie z konsoli
zakończyło się pomyślnie - to znaczy, Ŝe źle podłączono kable sieciowe.
Rys. 1.7. Ustawienie interfejsu
Podczas ustawienia parametrów zapory sieciowej przydadzą się informacje z zakresu
sieci komputerowych. Najlepiej postarać się juŜ na tym etapie o projekt rozplanowania
sieci.
W którym miejscu sieci będzie funkcjonowała zapora sieciowa? Jak naleŜy
skonfigurować adresy interfejsów oraz maski sieci? Najczęstszą konfiguracją jest
ustawienie interfejsu zerowego na adres sieci domowej/lokalnej (zapora sieciowa
umieszcza się na szczycie hierarchii sieci lokalnej), interfejs pierwszy z reguły stanowi
„wyjście” w sieć niezaufaną. Przed implementacją warto się jednakŜe zastanowić nad
wydzieleniem trzeciego interfejsu, najczęściej w celach oddzielenia serwerów usługowych
od reszty sieci, popularnie zwanego strefą zdemilitaryzowaną (DMZ, ang. DeMilitarized
Zone) [3]. Jeszcze innym uŜytkownikom przyda się wydzielenie nie jednej, a dwóch albo
więcej sieci lokalnych, mających wówczas osobno konfigurowane prawa dostępu do
reszty podsieci.
Rys. 1.8. Ustawienia innych interfejsów
Rys. 1.9. Standardowe ustawienia polityki bezpieczeństwa
Istotną zaletą sprzętowych zapór ogniowych jest łatwa konfigurowalność alarmów
związanych z atakami typu DoS (ang. Denial of Service, odmowa usługi) [3]. Ustawienia
widoczne na rysunku 7.9 dotyczą „przepełnień” róŜnego rodzaju pakietów, dany incydent
nie oznacza jednakŜe ataku. Dla sieci mocno obciąŜonej, często uŜywającej protokołu np.
ICMP, będzie prawdopodobnie naleŜało ustawić bardziej pobłaŜliwe wartości. Dobrą
praktyką jest tutaj mocne zacieśnienie dozwolonych wartości, które w razie potrzeby
(częstych fałszywych alarmów) zawsze moŜna poprawić. Jeśli czytelnikowi nie są znane
opisane tu wyraŜenia lub zjawiska, takie jak SYN Flood Attack, czy Ping of Death, naleŜy
odnieść
się
do
literatury
[3, 4]. Zagadnienia teoretyczne ataków typu DoS oraz rozproszonego DoS nie naleŜą do
tego rozdziału.
Rys. 1.10. Standardowy wybór menu zapory sieciowej Watchguard Firebox
Po skonfigurowaniu alarmów moŜna skierować urządzenie do działania.
1.3 Sprawdzenie ruchu przechodzącego
Większość urządzeń aktywnych posiada mniej lub bardziej rozwinięte mechanizmy
monitorowania natęŜenia ruchu przechodzącego przez urządzenie. Sprawdzimy
przechodzący ruch. Będziemy uŜywać polecenia "ping", aby sprowokować ruch pakietów
na zaporze sieciowej.
Ping (Packet INternet Groper) uŜywa protokołu ICMP. Będziemy wysyłać pakiety
o róŜnej wielkości, aby zaobserwować zarówno wzmoŜony ruch, jak i fragmentację
pakietów. Polecenie ping /? podpowiada, jakich parametrów uŜyć, aby zwiększyć rozmiar
pakietu, albo przyspieszyć wysyłanie kolejnych pakietów.
Urządzenia
sprzętowe
róŜnych
producentów
posiadają
mniej
lub
bardziej
rozbudowane narzędzia monitorowania ruchu, najczęściej dostępne pod hasłem „Logs”,
bądź
„Traffic”.
W przypadku Watchguarda naleŜy wybrać opcję "Monitor" w głównym panelu i określić
odpowiednie wartości do pomiarów, jak na rysunku 7.11.
Rys. 1.11. Przykład wyboru wartości do pomiaru
(W tym przypadku sprawdzamy, jaki ruch przechodzi przez zasadę "Allow Ping", a
takŜe, jakie pakiety wychodzą do interfejsu sieci lokalnej - czyli odpowiedzi na ping).
NaleŜy sprawdzić, jak kształtują się statystyki w przypadku wysyłania małych
rozmiarów ICMP (16 bajtów), średnich (2 kB) i duŜych (16 kB).
Rys. 1.12. Monitor zapory sieciowej
Dobrym ćwiczeniem jest eksperymentowanie z róŜnymi innymi wartościami do
obserwowania (przykład na rys. 7.12).
1.4 Parametry ataku DoS
DoS (ang. Denial of Service) - próba otwarcia zbyt wielu połączeń, usług sieciowych,
itd. w celu przeciąŜenia serwera i spowodowania awarii bądź nieprawidłowego działania.
[3]
Najczęstszymi "twórcami" zjawiska DoS w sieci są robaki internetowe, dlatego
zaobserwowanie tego typu problemów w sieci jest często sygnałem zaraŜenia maszyn
wewnątrz sieci. JednakŜe nie jest to jedyny przypadek. Drugim są zagroŜenia wywołane
przez czynnik ludzki. Aby stwierdzić, które miejsca w sieci są potencjalnymi celami,
atakujący dokonuje z reguły rozpoznania. Rozpoznanie takie najczęściej polega na
skanowaniu wszystkich moŜliwych maszyn, aby ustalić usługi sieciowe, udostępniane
porty, itp. - ogólnie rzecz biorąc otwartość sieci.
Otwarcie bardzo wielu połączeń w krótkim czasie moŜe być sygnałem właśnie
takiego skanowania systemów.
1.5 Laboratorium
Cel ćwiczenia
Celem ćwiczenia jest zapoznanie z podstawowymi metodami dostępu do sprzętowych
zapór ogniowych, zastosowanie podstawowych metod monitoringu, odtworzenie
typowych czynności podczas konfiguracji i testowania sprzętu.
Infrastruktura
Zaporę sieciową Watchguard Firebox® V60 pokazano na rys. 7.13.
Rys. 1.13. Zapora sieciowa Watchguard Firebox® V60
Infrastrukturę wystarczającą do ćwiczeń z uŜyciem zapory sieciowej Watchguard
ukazuje rysunek 7.14.
Rys. 1.14. Infrastruktura laboratorium
Kompetencje
Po ukończeniu ćwiczenia studenci powinni posiadać wystarczającą wiedzę do
skonfigurowania, uruchomienia i przetestowania zapory ogniowej, zwłaszcza pod kątem
ataku typu DoS.
Zadania
UŜyj komendy "ping" ze stanowiska do zapory sieciowej, - moŜe nawet z paru linii
komend - i zaobserwuj ruch na monitorze zapory sieciowej.
Rys. 1.15. Monitor zapory sieciowej
Poeksperymentuj z róŜnymi innymi wartościami do obserwowania.
Parametry ataku DoS.
Wykonaj następujące punkty:
•
Sprawdź, czy na stanowisku zainstalowany jest skaner nmap. Ewentualnie,
zainstaluj. [4]
•
UŜywając program nmap, przeskanuj otwarte porty na zaporze sieciowej.
• Po zapisaniu wyniku, sprawdź diodę "Alarm" na Fireboxie.
(Niestety, skanowanie standardowej liczby portów w zadanym czasie powoduje alarm
na zaporze sieciowej.) Zakładka "Alarm" w aplikacji Vcontroller pozwala na stwierdzenie
dokładnej daty alarmu i na wyzerowanie komunikatów. Wyczyść alarmy.
UŜywając programu nmap z róŜnymi opcjami [4], jeszcze raz przeskanuj otwarte porty
na zaporze sieciowej:
•
uŜywając czasowej polityki Polite,
•
uŜywając czasowej polityki Paranoid,
Sprawdzaj, czy nie wywołałeś alarmu!
Co naleŜałoby zmienić na zaporze sieciowej, aby skanowanie przy polityce Polite nie
wywoływało alarmu?
1.6 Literatura
[1]
[2]
[3]
[4]
Instrukcja uŜytkownika Watchguard Firebox – rozdziały „Instalacja”,
„Rekonfiguracja”.
Instrukcja programu Watchguard Vcontroller
Zwicky, Cooper, Chapman – Building Internet Firewalls, 2nd edition – O’Reillys
2002
Nmap – witryna internetowa http://insecure.org/nmap/