Sieci komputerowe ( laboratorium
Transkrypt
Sieci komputerowe ( laboratorium
Sieci komputerowe − laboratorium Temat ćwiczenia: Konfiguracja zapory ogniowej. Cel ćwiczenia Celem ćwiczenia jest zapoznanie się z podstawowymi metodami ataków na system komputerowy, z metodami wykrywania i ochrony przed atakami oraz z funkcjami i konfiguracją zapory ogniowej. Wprowadzenie − porty, skanowanie portów (na podstawie PC World Computer - www.pcworld.pl) Komputery komunikują się ze światem zewnętrznym przez tzw. porty, które pozwalają zarówno na wysyłanie, jak i odbieranie danych. Porty są "oknami na świat", z których korzystają różne programy, jak przeglądarka internetowa, klient FTP, usługi w sieci lokalnej (np. udostępnianie plików przez IP). Portów jest 65 535. Komunikacja (a także włamanie do systemu) jest możliwa jedynie przez otwarte porty. A zatem pierwszym etapem ataku na komputer w sieci jest identyfikacja otwartych portów, wykonywana przy użyciu tzw. skanerów portów. Raporty generowane przez skanery portów dają wiedzę nie tylko o otwartych portach, ale również o uruchomionych na obserwowanym komputerze usługach (serwerze WWW, FTP itd.), często też pozwalają ustalić wersję systemu operacyjnego. Skanery portów badają po kolei porty komputera (każdy ma swój numer). Mogą sprawdzić wszystkie lub jedynie wybrany zakres. Oczywiście sprawdzanie wszystkich portów zajmuje dość dużo czasu. Najczęściej uruchamiane w komputerach usługi korzystają z reguły z tych samych portów, np. serwer FTP pracuje w porcie 21, przeglądarka WWW - w porcie 80. Dlatego z reguły wystarczy skanowanie początkowych portów, co trwa dużo krócej. Sposobów badania portów jest kilka. Podstawowy polega na wykorzystaniu tzw. trzyetapowego uzgadniania połączenia. Jest to standardowa procedura tworzenia połączenia TCP, która ma następujący przebieg: Etap 1 - komputer inicjujący połączenie (klient) wysyła pakiet TCP ze znacznikiem SYN. Etap 2 - komputer odbierający połączenie (serwer) odsyła pakiet ze znacznikami SYN i ACK, potwierdzając żądanie utworzenia połączenia. Etap 3 - komputer inicjujący odpowiada pakietem ze znacznikiem ACK, co potwierdza odebranie z serwera pakietu ze znacznikiem SYN. Powyższa procedura jest przeprowadzana w całości tylko wtedy, gdy klient inicjuje połączenie przez otwarty port. Gdy port jest zamknięty, na drugim etapie nastąpi odesłanie pakietu ze znacznikiem RST, zrywającym połączenie. Z kolei podczas próby skanowania wyłączonego komputera nie będzie żadnej odpowiedzi. W ten sposób skaner portów umożliwia wykrycie włączonych komputerów oraz odróżnia porty otwarte od zamkniętych. − ochrona zasobów − firewall Działanie zapory ogniowej polega na filtrowaniu pakietów przychodzących i wychodzących na podstawie zbioru reguł (zwanych również filtrami). Reguły umożliwiają podjęcie decyzji, czy dany pakiet powinien być przepuszczony czy zablokowany. Reguły mogą dotyczyć między innymi: protokołu komunikacyjnego, portu na który przychodzą pakiety, adresu (IP, MAC, sieci) nadawcy, aplikacji która próbuje wysłać/odebrać pakiety. Możemy na przykład utworzyć regułę, która dopuści wszystkie pakiety ICMP, która zablokuje ruch na porcie 80, albo która zablokuje wszystkie pakiety IP przychodzące z komputera o adresie 129.143.0.23. Większość zapór ogniowych dopuszcza 3 tryby pracy: - Block All (zablokuj wszystko) – blokowany jest cały ruch sieciowy - Allow All (dopuść wszystko) − cały ruch jest przepuszczany - Normal (tryb normalny) – decyzje o zablokowaniu lub przepuszczeniu pakietu podejmowane są na podstawie reguł Oczywiście największą funkcjonalność zapory uzyskujemy w trybie normalnym. Reguły możemy tworzyć na różne sposoby. Większość zapór posiada wstępnie zdefiniowany zbiór reguł, przepuszczający pakiety dla popularnych usług. Zbiór ten można modyfikować. Bardzo wygodnym sposobem jest tryb nauki – kiedy filtry wykryją próbę połączenia nie opisaną istniejącymi regułami, pojawi się zapytanie czy dany typ połączeń powinien być blokowany czy przepuszczany i zgodnie z decyzją użytkownika zostaną utworzone odpowiednie reguły. Reguły można również tworzyć samodzielnie za pomocą wbudowanych edytorów. Literatura oraz wymagane informacje Podstawowe informacje o protokole TCP/IP i UDP (adresowanie IP, struktura pakietów, procedura uzgadniania połączeń TCP, porty, numery portów dla popularnych usług) Podstawowe informacje o niepublicznych zakresach adresów IP, adresach sieci i konfigurowaniu sieci na stacjach roboczych Umiejętność posługiwania się programem ping oraz umiejętność sprawdzenia konfiguracji IP komputera (ipconfig, właściwości połączenia sieciowego) Znajomość programów wykorzystywanych w ćwiczeniu (na podstawie instrukcji obsługi opisanych poniżej) • • • • • Kasprzak A., Rozległe sieci komputerowe z komutacją pakietów, Wydanie II poprawione, Oficyna Wydawnicza PWr, Wrocław, 1999 http://www.pcworld.pl http://www.staff.amu.edu.pl/~psi/informatyka/tcpip http://www.man.rzeszow.pl/docs/ip http://www.cert.pl/PDF/konf_pers_fw.pdf – bardzo dobry opis i przykład konfiguracji firewalla Zadania do wykonania Do wykonania ćwiczenia niezbędne są dwie stacje robocze − jedna z zainstalowaną zaporą ogniową Sygate oraz druga z zainstalowanymi programami SoftPerfect Network Scanner oraz SuperScan. Zadania 1 i 2 należy wykonywać przy wyłączonej zaporze ogniowej. 1) Wyszukiwanie komputerów w sieci lokalnej - SoftPerfect Network Scanner Zapoznać się z działaniem programu SoftPerfect Network Scanner, służącym do wyszukiwania komputerów i udostępnianych zasobów w sieci. Program jest bardzo prosty w obsłudze, instrukcję można znaleźć na stronie: http://www.softperfect.com/products/networkscanner/manual/ - stronę można też wywołać z programu klikając ikonkę . Za pomocą programu: - sprawdzić adres(y) IP komputera i ustalić zakres IP do przeszukania – ikona - przeprowadzić kilka przeszukiwań w sieci lokalnej z różnymi opcjami: wyszukiwaniem udostępnianych zasobów, odwzorowywaniem nazw hostów, skanowaniem portu (np. 25 lub 80) - sprawdzić działanie opcji sortowania wyników - zapisać listę zidentyfikowanych hostów i zasobów do pliku - w sprawozdaniu zamieścić adres IP oraz maskę podsieci komputera, zakres przeszukiwanych adresów IP oraz przykład wykrytego komputera i dostępnych zasobów. 2) Skanowanie portów – SuperScan Zapoznać się z działaniem programu SuperScan v3. Instrukcja (w formie pliku pomocy .hlp dla Windows) dostępna jest na stronie laboratorium lub po kliknięciu przycisku ‘?’. Wykonać następujące ćwiczenia: - wejść do opcji konfiguracyjnych programu (przycisk ‘Port list setup’), przejrzeć listę numerów portów z opisem usług, które z nich korzystają. W sprawozdaniu zamieścić numery 5 wybranych, często wykorzystywanych portów. - przeprowadzić skanowanie portów 1..1000 komputera, na którym zainstalowany jest firewall (w tym ćwiczeniu wyłączony). W sprawozdaniu umieścić listę otwartych portów. - przeprowadzić skanowanie portów 1..200 pięciu komputerów w laboratorium (ustawić odpowiedni zakres adresów do przeszukania) – w sprawozdaniu zamieścić zakres skanowanych adresów IP i listę otwartych portów. 3) Konfiguracja zapory ogniowej – Sygate Personal Firewall Uruchomić zaporę Sygate. W oknie głównym programu widzimy wykresy natężenia ruchu przychodzącego i wychodzącego oraz zablokowanego a także historii ataków. W dolnej części widać listę aplikacji korzystających z usług sieciowych. Menu Security umożliwia wybranie trybu pracy zapory (Block All, Normal, Allow All). Z menu Tools uzyskujemy dostęp do: - Applications – listy aplikacji kontrolowanych przez program zapory - Logs – logów (dzienników) zawierających informacje o ruchu (Traffic), zagrożeniach bezpieczeństwa (Security), zdarzeń systemowych (System) - Options – opcji konfiguracyjnych umożliwiających m. in. udostępnienia zasobów sieci lokalnej, zabezpieczeń zapory (proszę nie wprowadzać hasła !!!), powiadamiania e-mailem w razie wykrycia zagrożenia, itp. - Advanced rules – wygodnego edytora reguł Wykonać następujące ćwiczenia: - Przełączyć zaporę w tryb Normal. Usunąć wszystkie reguły zapory: Applications -> Remove All oraz Advanced Rules -> Remove All - Uruchomić kilka programów komunikacyjnych (przeglądarkę, program ping, komunikator). Pojawią się pytania o dopuszczenie/zablokowanie połączenia. Obejrzeć szczegółowe informacje (przycisk ‘Detail>>’) − co zawierają? Dopuścić programy, aby mogły komunikować się przez sieć. Zaznaczyć opcję ‘Pamiętaj odpowiedź, nie pytaj więcej o tą aplikację’. Odpowiednia reguła dla programu zostanie dodana do listy Applications - - Dla każdego trybu pracy zapory (Block All, Normal, Allow All) przeprowadzić badanie za pomocą programu ping (z drugiego komputera). Jak komputer reaguje na pingi – opisać w sprawozdaniu. Ustawić tryb pracy na Normal. Utworzyć regułę (Advanced Rules -> Add), która dopuści ruch pakietów związany z poleceniem ping (protokół ICMP, usługi echo request i echo reply – w obu kierunkach) dla komputera o zadanym adresie MAC (drugi komputer - sprawdzić jego adres MAC). Budowę reguły opisać w sprawozdaniu. Sprawdzić działanie ping-a z komputera o podanym w regule adresie MAC i z innego komputera. Wyniki testu pokazać prowadzącemu i zamieścić w sprawozdaniu. W trybie pracy Normal wykonać skanowanie portów komputera za pomocą programu SuperScan (musi działać reguła dopuszczająca ping-a, z poprzedniego podpunktu). Jak zapora reaguje na próby ataku (opisać w sprawozdaniu)? Przejrzeć logi (Security Log, Traffic Log). W oknie Security Log wybrać jedną z informacji o skanowaniu portów. Wyświetlić dane agresora (Action -> Back Trace). Uruchomić test zapory ogniowej, udostępniany przez producenta (przycisk ‘Security Test’ lub z menu Tools -> Test Your Firewall’). Komputery w sieci uczelnianej posiadają prywatne adresy IP, co oznacza również, że są ‘schowane’ przed siecią zewnętrzną, niemniej test ten może być przydatny do sprawdzenia bezpieczeństwa sieci. Przeprowadzić tylko ‘Quick Scan’. Rezultaty opisać w sprawozdaniu. - Na koniec ćwiczenia usunąć wszystkie reguły zapory: (Applications -> Remove All , Advanced Rules -> Remove All ) i wyłączyć zaporę. Ocena W formie pisemnego sprawozdania przygotować dokładną analizę przeprowadzonego zadania: 1. Wprowadzenie, cel ćwiczenia. 2. Dokładny opis i analiza wykonanych zadań – kierować się wskazówkami i pytaniami z treści ćwiczenia. 3. Wnioski. Na ocenę z tego ćwiczenia będzie wpływać: przygotowanie teoretyczne do ćwiczenia, praca w czasie realizacji zadań w laboratorium oraz sprawozdanie oddane na następnych (po wykonaniu zadania) zajęciach.