Sieci komputerowe ( laboratorium

Sieci komputerowe − laboratorium
Temat ćwiczenia: Konfiguracja zapory ogniowej.
Cel ćwiczenia
Celem ćwiczenia jest zapoznanie się z podstawowymi metodami ataków na system komputerowy, z
metodami wykrywania i ochrony przed atakami oraz z funkcjami i konfiguracją zapory ogniowej.
Wprowadzenie
− porty, skanowanie portów (na podstawie PC World Computer - www.pcworld.pl)
Komputery komunikują się ze światem zewnętrznym przez tzw. porty, które pozwalają zarówno na
wysyłanie, jak i odbieranie danych. Porty są "oknami na świat", z których korzystają różne
programy, jak przeglądarka internetowa, klient FTP, usługi w sieci lokalnej (np. udostępnianie
plików przez IP). Portów jest 65 535. Komunikacja (a także włamanie do systemu) jest możliwa
jedynie przez otwarte porty. A zatem pierwszym etapem ataku na komputer w sieci jest
identyfikacja otwartych portów, wykonywana przy użyciu tzw. skanerów portów. Raporty
generowane przez skanery portów dają wiedzę nie tylko o otwartych portach, ale również o
uruchomionych na obserwowanym komputerze usługach (serwerze WWW, FTP itd.), często też
pozwalają ustalić wersję systemu operacyjnego.
Skanery portów badają po kolei porty komputera (każdy ma swój numer). Mogą sprawdzić
wszystkie lub jedynie wybrany zakres. Oczywiście sprawdzanie wszystkich portów zajmuje dość
dużo czasu. Najczęściej uruchamiane w komputerach usługi korzystają z reguły z tych samych
portów, np. serwer FTP pracuje w porcie 21, przeglądarka WWW - w porcie 80. Dlatego z reguły
wystarczy skanowanie początkowych portów, co trwa dużo krócej.
Sposobów badania portów jest kilka. Podstawowy polega na wykorzystaniu tzw. trzyetapowego
uzgadniania połączenia. Jest to standardowa procedura tworzenia połączenia TCP, która ma
następujący przebieg:
Etap 1 - komputer inicjujący połączenie (klient) wysyła pakiet TCP ze znacznikiem SYN.
Etap 2 - komputer odbierający połączenie (serwer) odsyła pakiet ze znacznikami SYN i ACK,
potwierdzając żądanie utworzenia połączenia.
Etap 3 - komputer inicjujący odpowiada pakietem ze znacznikiem ACK, co potwierdza odebranie z
serwera pakietu ze znacznikiem SYN.
Powyższa procedura jest przeprowadzana w całości tylko wtedy, gdy klient inicjuje połączenie
przez otwarty port. Gdy port jest zamknięty, na drugim etapie nastąpi odesłanie pakietu ze
znacznikiem RST, zrywającym połączenie. Z kolei podczas próby skanowania wyłączonego
komputera nie będzie żadnej odpowiedzi. W ten sposób skaner portów umożliwia wykrycie
włączonych komputerów oraz odróżnia porty otwarte od zamkniętych.
− ochrona zasobów − firewall
Działanie zapory ogniowej polega na filtrowaniu pakietów przychodzących i wychodzących na
podstawie zbioru reguł (zwanych również filtrami). Reguły umożliwiają podjęcie decyzji, czy dany
pakiet powinien być przepuszczony czy zablokowany. Reguły mogą dotyczyć między innymi:
protokołu komunikacyjnego, portu na który przychodzą pakiety, adresu (IP, MAC, sieci) nadawcy,
aplikacji która próbuje wysłać/odebrać pakiety. Możemy na przykład utworzyć regułę, która
dopuści wszystkie pakiety ICMP, która zablokuje ruch na porcie 80, albo która zablokuje wszystkie
pakiety IP przychodzące z komputera o adresie 129.143.0.23.
Większość zapór ogniowych dopuszcza 3 tryby pracy:
-
Block All (zablokuj wszystko) – blokowany jest cały ruch sieciowy
-
Allow All (dopuść wszystko) − cały ruch jest przepuszczany
-
Normal (tryb normalny) – decyzje o zablokowaniu lub przepuszczeniu pakietu podejmowane są
na podstawie reguł
Oczywiście największą funkcjonalność zapory uzyskujemy w trybie normalnym.
Reguły możemy tworzyć na różne sposoby. Większość zapór posiada wstępnie zdefiniowany zbiór
reguł, przepuszczający pakiety dla popularnych usług. Zbiór ten można modyfikować. Bardzo
wygodnym sposobem jest tryb nauki – kiedy filtry wykryją próbę połączenia nie opisaną
istniejącymi regułami, pojawi się zapytanie czy dany typ połączeń powinien być blokowany czy
przepuszczany i zgodnie z decyzją użytkownika zostaną utworzone odpowiednie reguły. Reguły
można również tworzyć samodzielnie za pomocą wbudowanych edytorów.
Literatura oraz wymagane informacje
Podstawowe informacje o protokole TCP/IP i UDP (adresowanie IP, struktura pakietów, procedura
uzgadniania połączeń TCP, porty, numery portów dla popularnych usług)
Podstawowe informacje o niepublicznych zakresach adresów IP, adresach sieci i konfigurowaniu
sieci na stacjach roboczych
Umiejętność posługiwania się programem ping oraz umiejętność sprawdzenia konfiguracji IP
komputera (ipconfig, właściwości połączenia sieciowego)
Znajomość programów wykorzystywanych w ćwiczeniu (na podstawie instrukcji obsługi opisanych
poniżej)
•
•
•
•
•
Kasprzak A., Rozległe sieci komputerowe z komutacją pakietów, Wydanie II poprawione,
Oficyna Wydawnicza PWr, Wrocław, 1999
http://www.pcworld.pl
http://www.staff.amu.edu.pl/~psi/informatyka/tcpip
http://www.man.rzeszow.pl/docs/ip
http://www.cert.pl/PDF/konf_pers_fw.pdf – bardzo dobry opis i przykład konfiguracji firewalla
Zadania do wykonania
Do wykonania ćwiczenia niezbędne są dwie stacje robocze − jedna z zainstalowaną zaporą ogniową
Sygate oraz druga z zainstalowanymi programami SoftPerfect Network Scanner oraz SuperScan.
Zadania 1 i 2 należy wykonywać przy wyłączonej zaporze ogniowej.
1) Wyszukiwanie komputerów w sieci lokalnej - SoftPerfect Network Scanner
Zapoznać się z działaniem programu SoftPerfect Network Scanner, służącym do wyszukiwania
komputerów i udostępnianych zasobów w sieci. Program jest bardzo prosty w obsłudze, instrukcję
można znaleźć na stronie: http://www.softperfect.com/products/networkscanner/manual/ - stronę
można też wywołać z programu klikając ikonkę .
Za pomocą programu:
- sprawdzić adres(y) IP komputera i ustalić zakres IP do przeszukania – ikona
- przeprowadzić kilka przeszukiwań w sieci lokalnej z różnymi opcjami: wyszukiwaniem
udostępnianych zasobów, odwzorowywaniem nazw hostów, skanowaniem portu (np. 25 lub 80)
- sprawdzić działanie opcji sortowania wyników
- zapisać listę zidentyfikowanych hostów i zasobów do pliku
- w sprawozdaniu zamieścić adres IP oraz maskę podsieci komputera, zakres przeszukiwanych
adresów IP oraz przykład wykrytego komputera i dostępnych zasobów.
2) Skanowanie portów – SuperScan
Zapoznać się z działaniem programu SuperScan v3. Instrukcja (w formie pliku pomocy .hlp dla
Windows) dostępna jest na stronie laboratorium lub po kliknięciu przycisku ‘?’.
Wykonać następujące ćwiczenia:
- wejść do opcji konfiguracyjnych programu (przycisk ‘Port list setup’), przejrzeć listę numerów
portów z opisem usług, które z nich korzystają. W sprawozdaniu zamieścić numery 5
wybranych, często wykorzystywanych portów.
- przeprowadzić skanowanie portów 1..1000 komputera, na którym zainstalowany jest firewall (w
tym ćwiczeniu wyłączony). W sprawozdaniu umieścić listę otwartych portów.
- przeprowadzić skanowanie portów 1..200 pięciu komputerów w laboratorium (ustawić
odpowiedni zakres adresów do przeszukania) – w sprawozdaniu zamieścić zakres skanowanych
adresów IP i listę otwartych portów.
3) Konfiguracja zapory ogniowej – Sygate Personal Firewall
Uruchomić zaporę Sygate.
W oknie głównym programu widzimy wykresy natężenia ruchu przychodzącego i wychodzącego
oraz zablokowanego a także historii ataków. W dolnej części widać listę aplikacji korzystających z
usług sieciowych.
Menu Security umożliwia wybranie trybu pracy zapory (Block All, Normal, Allow All).
Z menu Tools uzyskujemy dostęp do:
- Applications – listy aplikacji kontrolowanych przez program zapory
- Logs – logów (dzienników) zawierających informacje o ruchu (Traffic), zagrożeniach
bezpieczeństwa (Security), zdarzeń systemowych (System)
- Options – opcji konfiguracyjnych umożliwiających m. in. udostępnienia zasobów sieci lokalnej,
zabezpieczeń zapory (proszę nie wprowadzać hasła !!!), powiadamiania e-mailem w razie
wykrycia zagrożenia, itp.
- Advanced rules – wygodnego edytora reguł
Wykonać następujące ćwiczenia:
- Przełączyć zaporę w tryb Normal. Usunąć wszystkie reguły zapory:
Applications -> Remove All
oraz
Advanced Rules -> Remove All
- Uruchomić kilka programów komunikacyjnych (przeglądarkę, program ping, komunikator).
Pojawią się pytania o dopuszczenie/zablokowanie połączenia.
Obejrzeć szczegółowe informacje (przycisk ‘Detail>>’) − co zawierają? Dopuścić programy,
aby mogły komunikować się przez sieć. Zaznaczyć opcję ‘Pamiętaj odpowiedź, nie pytaj
więcej o tą aplikację’. Odpowiednia reguła dla programu zostanie dodana do listy Applications
-
-
Dla każdego trybu pracy zapory (Block All, Normal, Allow All) przeprowadzić badanie za
pomocą programu ping (z drugiego komputera). Jak komputer reaguje na pingi – opisać w
sprawozdaniu.
Ustawić tryb pracy na Normal. Utworzyć regułę (Advanced Rules -> Add), która dopuści ruch
pakietów związany z poleceniem ping (protokół ICMP, usługi echo request i echo reply – w obu
kierunkach) dla komputera o zadanym adresie MAC (drugi komputer - sprawdzić jego adres
MAC). Budowę reguły opisać w sprawozdaniu. Sprawdzić działanie ping-a z komputera o
podanym w regule adresie MAC i z innego komputera. Wyniki testu pokazać prowadzącemu i
zamieścić w sprawozdaniu.
W trybie pracy Normal wykonać skanowanie portów komputera za pomocą programu
SuperScan (musi działać reguła dopuszczająca ping-a, z poprzedniego podpunktu). Jak zapora
reaguje na próby ataku (opisać w sprawozdaniu)?
Przejrzeć logi (Security Log, Traffic Log). W oknie Security Log wybrać jedną z informacji o
skanowaniu portów. Wyświetlić dane agresora (Action -> Back Trace).
Uruchomić test zapory ogniowej, udostępniany przez producenta (przycisk ‘Security Test’ lub z
menu Tools -> Test Your Firewall’). Komputery w sieci uczelnianej posiadają prywatne adresy
IP, co oznacza również, że są ‘schowane’ przed siecią zewnętrzną, niemniej test ten może być
przydatny do sprawdzenia bezpieczeństwa sieci. Przeprowadzić tylko ‘Quick Scan’. Rezultaty
opisać w sprawozdaniu.
-
Na koniec ćwiczenia usunąć wszystkie reguły zapory: (Applications -> Remove All , Advanced
Rules -> Remove All ) i wyłączyć zaporę.
Ocena
W formie pisemnego sprawozdania przygotować dokładną analizę przeprowadzonego zadania:
1. Wprowadzenie, cel ćwiczenia.
2. Dokładny opis i analiza wykonanych zadań – kierować się wskazówkami i pytaniami z treści
ćwiczenia.
3. Wnioski.
Na ocenę z tego ćwiczenia będzie wpływać: przygotowanie teoretyczne do ćwiczenia, praca w
czasie realizacji zadań w laboratorium oraz sprawozdanie oddane na następnych (po wykonaniu
zadania) zajęciach.