Laboratorium Sieci Komputerowych
Transkrypt
Laboratorium Sieci Komputerowych
Laboratorium Sieci Komputerowych - 1 Filtracja i prolowanie ruchu w sieciach Andrzej Karwacki Paweª Jastrz¦bski gr. 2 16 kwietnia 2007 Spis tre±ci 1 Cel ¢wiczenia 1 2 Wykonanie ¢wiczenia 2.1 Ustawienie ipfw . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2 Uruchamianie demona telnetu . . . . . . . . . . . . . . . . . . 2.3 Testowanie . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 1 2 3 3 Wnioski 4 1 Cel ¢wiczenia Celem ¢wiczenia byªo odpowiednie skongurowanie Firewalla na systemie FreeBSD. Konkretnym zadaniem naszego zespoªu byªo zablokowanie poª¡czenia za pomoc¡ telnetu z serwera Volt do naszego komputera (VIA2). 2 Wykonanie ¢wiczenia 2.1 Ustawienie ipfw W pierwszej cz¦±ci ¢wiczenia nale»aªo doda¢ odpowiedni¡ reguª¦ do programu ipfw. Aby to zrobi¢ wywoªali±my polecenie: ipfw add 401 deny tcp from volt any to 194.29.146.248 telnet via vr0 Wyja±nienie: 1 • add - opcja dodania nowej reguªy • 401 - numer porz¡dkowy dodawanej/usuwanej reguªy • deny - dana reguªa ma blokowa¢ poª¡czenie • tcp - protokóª • from volt - oznacza, »e dana reguªa ma dotyczy¢ poª¡cze« z serwera volt • to 194.29.146.248 - oznacza, »e dana reguªa ma dotyczy¢ poª¡cze« do komputera o podanym adresie IP (w tym przypadku chodziªo o komputer, na którym byª ustawiany Firewall, zatem zamiast podawania caªego adresu IP, mo»na byªo zastosowa¢ skrót me ) • telnet - port port, którego ma dotyczy¢ dana reguªa (mo»na byªo poda¢ r¦cznie port 23) • via vr0 - nazwa urz¡dzenia z którego pochodzi poª¡czenie Nast¦pnie sprawdzono, czy reguªa zostaªa dodana i czy wszystko jest tak jak powinno byc, poleceniem: ipfw list. Wynik polecenia: 401 192 deny tcp from 194.29.146.3 to 194.29.146.248 dst-port 23 via vr0 65535 127426357 allow ip from any to any 2.2 Uruchamianie demona telnetu Aby przetestowa¢, czy blokowanie poª¡czenia zadziaªaªo, nale»aªo uruchomi¢ demona telnetu na naszym komputerze. W tym celu nale»y wykona¢ par¦ kroków: 1. Wyedytowa¢ plik konguracyjny programu inetd i usun¡¢ znak # poprzedzaj¡cy linijk¦ z danymi na temat demona telnetu (/usr/libexec/telnetd). Inetd jest super serwerem, który nasªuchuje na portach okre±lonych w pliku konguracyjnym, i gdy nadejdzie poª¡czenie, przeka»e je do odpowiedniego programu. 2 2. Nast¦pnym krokiem byªo zabicie procesu inetd. Najpierw za pomoc¡ polecenia ps aux | grep inetd znale¹li±my Process ID programu inetd, nast¦pnie za pomoc¡ komendy kill zako«czyli±my go. 3. Pozostaªo tylko wª¡czenie inetd od nowa. Zrobili±my to komend¡ inetd. 2.3 Testowanie Aby przetestowa¢ blokowanie poª¡czenia poprzez telnet tylko z volta, sprawdzili±my najpierw, czy jeste±my w stanie poª¡czy¢ si¦ sami do siebie. Aby to wykona¢, wywoªali±my polecenie telnet localhost i obserwowali±my wyniki: via2% telnet localhost Trying 127.0.0.1... Connected to localhost. Escape character is '^]'. Trying SRA secure login: User (karwacka): Nast¦pnie zalogowali±my si¦ za pomoc¡ SSH na serwer volt, i sprawdzili±my czy wida¢ z tamt¡d nasz¡ maszyne: volt% ping via2 PING via2.iem.pw.edu.pl (194.29.146.248): 56 data bytes 64 bytes from 194.29.146.248: icmp_seq=0 ttl=64 time=0.273 ms 64 bytes from 194.29.146.248: icmp_seq=1 ttl=64 time=0.224 ms ^C --- via2.iem.pw.edu.pl ping statistics --- 2 packets transmitted, 2 packets received, 0.0% packet loss round-trip min/avg/max/stddev = 0.224/0.24 Nast¦pnie sprawdzili±my, czy mo»emy si¦ poª¡czy¢ za pomoc¡ telnetu: volt% telnet via2 Trying 194.29.146.248... ^C volt% Jak wida¢ poª¡czenie zostaªo odrzucone. 3 3 Wnioski Obsªuga systemowego rewalla ipfw jest dosy¢ prosta, dzi¦ki temu mo»na go szybko oraz skutecznie skongurowa¢ w taki sposób w jaki aktualnie potrzebujemy. Dziaªanie programu opiera si¦ na dodawaniu indeksowanych reguª blokuj¡cych/zezwalaj¡cych na poª¡czenie do pliku konguracyjnego poprzez lini¦ komend i polecenie ipfw z odpowiednimi parametrami. Opisali±my przykªadowe dziaªanie ( odrzucanie poª¡czenia z serwera VOLT za pomoc¡ telnetu ) i jego skutki dla zadanego schematu pracy poznaj¡c przy tym mechanizmy stawiania demona telnetu. Dodawanie reguª nie wymaga stosowania odmiennej liczby porz¡dkowej dla ka»dej nowowpisywanej reguªy rewalla. Wybieraj¡c te same numery mo»emy podzieli¢ wszystkie reguªy na grupy odpowiadaj¡ce tej numeracji. Mo»e to mie¢ zastosowanie, gdy b¦dziemy pisa¢ szereg zasad dla rewalla, które b¦d¡ dotyczyªy jednego specycznego poª¡czenia, portu lub protokoªu. Podsumowuj¡c, rewall systemowy ipfw dzi¦ki swojej prostocie i dosy¢ du»ych mo»liwo±ciach jest naszym zdaniem dobrym sposobem na ltracj¦ ruchu sieciowego oraz zabezpieczenie wªasnej jednostki przed nieautoryzowanym dost¦pem. 4