Laboratorium Sieci Komputerowych

Laboratorium Sieci Komputerowych - 1
Filtracja i prolowanie ruchu w sieciach
Andrzej Karwacki
Paweª Jastrz¦bski
gr. 2
16 kwietnia 2007
Spis tre±ci
1 Cel ¢wiczenia
1
2 Wykonanie ¢wiczenia
2.1 Ustawienie ipfw . . . . . . . . . . . . . . . . . . . . . . . . . .
2.2 Uruchamianie demona telnetu . . . . . . . . . . . . . . . . . .
2.3 Testowanie . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
1
2
3
3 Wnioski
4
1
Cel ¢wiczenia
Celem ¢wiczenia byªo odpowiednie skongurowanie Firewalla na systemie FreeBSD. Konkretnym zadaniem naszego zespoªu byªo zablokowanie
poª¡czenia za pomoc¡ telnetu z serwera Volt do naszego komputera (VIA2).
2
Wykonanie ¢wiczenia
2.1
Ustawienie ipfw
W pierwszej cz¦±ci ¢wiczenia nale»aªo doda¢ odpowiedni¡ reguª¦ do programu ipfw. Aby to zrobi¢ wywoªali±my polecenie:
ipfw add 401 deny tcp from volt any to 194.29.146.248 telnet via vr0
Wyja±nienie:
1
• add - opcja dodania nowej reguªy
• 401 - numer porz¡dkowy dodawanej/usuwanej reguªy
• deny - dana reguªa ma blokowa¢ poª¡czenie
• tcp - protokóª
• from volt - oznacza, »e dana reguªa ma dotyczy¢ poª¡cze« z serwera
volt
• to 194.29.146.248 - oznacza, »e dana reguªa ma dotyczy¢ poª¡cze« do
komputera o podanym adresie IP (w tym przypadku chodziªo o komputer, na którym byª ustawiany Firewall, zatem zamiast podawania
caªego adresu IP, mo»na byªo zastosowa¢ skrót me )
• telnet - port port, którego ma dotyczy¢ dana reguªa (mo»na byªo poda¢
r¦cznie port 23)
• via vr0 - nazwa urz¡dzenia z którego pochodzi poª¡czenie
Nast¦pnie sprawdzono, czy reguªa zostaªa dodana i czy wszystko jest tak
jak powinno byc, poleceniem: ipfw list. Wynik polecenia:
401 192 deny tcp from 194.29.146.3 to 194.29.146.248 dst-port 23 via vr0
65535 127426357 allow ip from any to any
2.2
Uruchamianie demona telnetu
Aby przetestowa¢, czy blokowanie poª¡czenia zadziaªaªo, nale»aªo uruchomi¢ demona telnetu na naszym komputerze. W tym celu nale»y wykona¢
par¦ kroków:
1. Wyedytowa¢ plik konguracyjny programu inetd i usun¡¢ znak #
poprzedzaj¡cy linijk¦ z danymi na temat demona telnetu (/usr/libexec/telnetd).
Inetd jest super serwerem, który nasªuchuje na portach okre±lonych
w pliku konguracyjnym, i gdy nadejdzie poª¡czenie, przeka»e je do
odpowiedniego programu.
2
2. Nast¦pnym krokiem byªo zabicie procesu inetd. Najpierw za pomoc¡
polecenia ps aux | grep inetd znale¹li±my Process ID programu inetd,
nast¦pnie za pomoc¡ komendy kill zako«czyli±my go.
3. Pozostaªo tylko wª¡czenie inetd od nowa. Zrobili±my to komend¡ inetd.
2.3
Testowanie
Aby przetestowa¢ blokowanie poª¡czenia poprzez telnet tylko z volta,
sprawdzili±my najpierw, czy jeste±my w stanie poª¡czy¢ si¦ sami do siebie.
Aby to wykona¢, wywoªali±my polecenie telnet localhost i obserwowali±my wyniki:
via2% telnet localhost
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
Trying SRA secure login:
User (karwacka):
Nast¦pnie zalogowali±my si¦ za pomoc¡ SSH na serwer volt, i sprawdzili±my czy wida¢ z tamt¡d nasz¡ maszyne:
volt% ping via2
PING via2.iem.pw.edu.pl (194.29.146.248): 56 data bytes
64 bytes from 194.29.146.248: icmp_seq=0 ttl=64 time=0.273 ms
64 bytes from 194.29.146.248: icmp_seq=1 ttl=64 time=0.224 ms ^C
--- via2.iem.pw.edu.pl ping statistics ---
2 packets transmitted, 2 packets received, 0.0% packet loss round-trip min/avg/max/stddev = 0.224/0.24
Nast¦pnie sprawdzili±my, czy mo»emy si¦ poª¡czy¢ za pomoc¡ telnetu:
volt% telnet via2
Trying 194.29.146.248...
^C
volt%
Jak wida¢ poª¡czenie zostaªo odrzucone.
3
3
Wnioski
Obsªuga systemowego rewalla ipfw jest dosy¢ prosta, dzi¦ki temu mo»na
go szybko oraz skutecznie skongurowa¢ w taki sposób w jaki aktualnie
potrzebujemy. Dziaªanie programu opiera si¦ na dodawaniu indeksowanych
reguª blokuj¡cych/zezwalaj¡cych na poª¡czenie do pliku konguracyjnego
poprzez lini¦ komend i polecenie ipfw z odpowiednimi parametrami. Opisali±my przykªadowe dziaªanie ( odrzucanie poª¡czenia z serwera VOLT za pomoc¡ telnetu ) i jego skutki dla zadanego schematu pracy poznaj¡c przy
tym mechanizmy stawiania demona telnetu. Dodawanie reguª nie wymaga
stosowania odmiennej liczby porz¡dkowej dla ka»dej nowowpisywanej reguªy
rewalla. Wybieraj¡c te same numery mo»emy podzieli¢ wszystkie reguªy
na grupy odpowiadaj¡ce tej numeracji. Mo»e to mie¢ zastosowanie, gdy
b¦dziemy pisa¢ szereg zasad dla rewalla, które b¦d¡ dotyczyªy jednego
specycznego poª¡czenia, portu lub protokoªu. Podsumowuj¡c, rewall systemowy ipfw dzi¦ki swojej prostocie i dosy¢ du»ych mo»liwo±ciach jest naszym
zdaniem dobrym sposobem na ltracj¦ ruchu sieciowego oraz zabezpieczenie
wªasnej jednostki przed nieautoryzowanym dost¦pem.
4