Instrukcja

Bezpieczeństwo Sieci Korporacyjnych 2015/2016
Temat Laboratorium: UTM
Prowadzący: Jarosław Białas
Wprowadzenie
Celem tego laboratorium jest zapoznanie się z metodami zapewniania bezpieczeństwa sieci korzystając z rozwiązań takich jak sieciowy filtr AV, wykrywanie włamań, filtrowanie treści, wykrywanie
wycieków danych. Urządzenia oferujące kompleksowe rozwiązania tego typu są powszechnie nazywane
UTM’ami (ang. unified threat management). Przykładem urządzenia posiadające powyższe funkcje
jest FortiWifi40C firmy Fortigate.
Wymagany sprzęt i oprogramowanie:
• 3 komputery (1 z systemem Linux Ubuntu, 1 z systemem Windows, 1 dowolny - wyposażony w
kartę bezprzewodową)
• 1 urządzenie Fortinet z usługami: AV, Web Filter, Data Leak Prevention (ang. DLP) - np:
FortiWifi 40C
• Kable ethernetowe
• Wymagane oprogramowanie:
◦ Forti Explorer (komputer z systemem Windows).
Plan przebiegu laboratorium:
• Zapoznaj się z formatką raportu
• Wysłuchaj wprowadzenia do laboratorium
• Zaprojektuj sieć według wytycznych do laboratorium (wprowadzenie)
• Połącz elementy sieci, sprawdź łączność
• Zainstaluj Forti Explorer, zresetuj FortiWifi do ustawień fabrycznych, przełącz urządzenie w
tryb Full UTM
• Skonfiguruj interfejsy i dodaj odpowiednie polityki ruchu sieciowego
• Skonfiguruj Web Filter, napraw problem z certyfikatem
• Dodaj ochronę AV
• Skonfiguruj DLP
• Oddaj wypełniony raport - warunek konieczny zaliczenia laboratorium.
FortiWifi 40C, krótki opis urządzenia
Platforma FortiWiFi-40C to urządzenie przeznaczone dla małych firm oraz niedużych oddziałów lokalnych wymagających pełnego zestawu funkcji ochronnych, charakterystycznych dla większych rozwiązań, w jednym małym urządzeniu. Zapewniają one kompleksową ochronę przeciwko szerokiej grupie
współczesnych zagrożeń. Zalety rozwiązania:
• Firewall, VPN, kształtowanie ruchu
• Kontrola aplikacji
• Intrusion Prevention System (IPS)
• Antimalware
• Antivirus
• Antispam
• Filtrowanie ruchu sieciowego
1
Bezpieczeństwo Sieci Korporacyjnych 2015/2016
Temat Laboratorium: UTM
Prowadzący: Jarosław Białas
Przebieg laboratorium
1. Wstępna konfiguracja firewalla (przeprowadzona z komputera z systemem Windows)
• Instalacja oprogramowania Forti Explorer na komputerze z systemem Windows
• Konfiguracja urządzenia Fortinet (https://192.168.1.99, l:admin p:<brak hasła>)
◦ Reset do ustawień fabrycznych (strona konfiguracyjna będzie dostępna dopiero kiedy
dioda Status zapali się ciągłym światłem)
◦ Adres interfejsu WAN1: DHCP
◦ Wydziel interfejs WiFi z INTERNAL następnie: 192.168.0.1, Enable DHCP Server
◦ Adres interfejsu INTERNAL: 192.168.1.99, Enable DHCP Server
◦ Przełącz urządzenie w tryb Full UTM (|SYSTEM|Status|features->security features),
wszystkie moduły dostępne są: |SYSTEM|Config|features - zaznacz tam dodatkowo
multiple security profiles, certificates
◦ Dodaj do polityki lan->wan Web Filter (default), sprawdź status dostępnych usług na
stronie Status (w razie problemów patrz na ostatnią stronę)
◦ Zmień identyfikator sieci Wi-Fi na fortinet-XXXX, gdzie XXXX jest końcówką numeru
seryjnego urządzenia (dół obudowy albo strona status)
2. Szczegółowa konfiguracja polityk urządzenia - UWAGA, przed przystąpieniem do dalszej pracy
upewnij się, że 3 komputery są wpięte do sieci poprzez interfejs internal (2 maszyny) i WiFi (1
maszyna)
• Sprawdź dostępność serwisów społecznościowych oraz streamingowych. Odwiedź stronę
www.onet.pl
• Sprawdź jakie zakładki są dostępne w sekcji Security Profiles
• W zakładce Application Control zmień profil default - ustaw tryb monitorowania dla
wszystkich znanych i nieznanych aplikacji oraz włącz Deep Inspection
• Wyedytuj politykę Internal->WAN1, dodaj opcję Application Control (ustaw na default),
włącz także SSL Inspection (Ustaw najpierw Certificate Inspections i sprawdź zachowanie przy otwieraniu stron wykorzystujących https. Następnie zmień na Deep Inspection i
sprawdź ponownie)
• W celu uniknięcia błędów certyfikatu ściągnij plik Fortinet_CA_SSLProxy.cer z zakładki
SYSTEM|Certificates| i zaimportuj go w systemie lub przeglądarce
• Spróbuj teraz wygenerować ruch różnego typu np.:poprzez wizytę na portalu streamingowym takim jak YouTube, czy przeglądanie zdjęć online
• Przejdź do zakładki System->FotiView->Applications/Cloud Applications i sprawdź dostępne statystyki ruchu na wszystkich dostępnych zakładkach
• Stwórz nowy profil w zakładce Application Control
◦ Zmień status wszystkich kategorii na Monitor
◦ Dodaj nową sygnaturę w sekcji Application Overrides, która zablokuje wszystkie dostępne sygnatury ruchu dla portalu YouTube
◦ Zaznacz Deep Inspection
◦ Dodaj profil do wybranej polityki ruchu
◦ Sprawdź działanie serwisu YouTube
• Zmodyfikuj domyślny profil w zakładce Web Filter
2
Bezpieczeństwo Sieci Korporacyjnych 2015/2016
Temat Laboratorium: UTM
Prowadzący: Jarosław Białas
◦ Sprawdź czy blokowane są wszystkie potencjalnie niebezpieczne treści (+18, Security
Risks)
◦ Zaznacz Enable Web Filter i dodaj nowy adres URL witryny, którą chcesz zablokować (aby to zrobić zaznacz typ wildcard, następnie wprowadź adres *facebook.com,
na samym końcu ustaw akcję na Block)
◦ Sprawdź działanie polityki poprzez odwiedzenie witryn www.facebook.com, upload.
facebook.com a także działanie inspekcji SSL - https://www.facebook.com
◦ Dodaj dodatkowe wymuszenie mechanizmu Safe Search, a następnie sprawdź jego działanie wyszukiwarką www.google.com
◦ Zmień kategorię strony onet.pl na którąś z kategorii Potentially Liable i sprawdź jej
działanie
◦ Zadanie Dodatkowe. Spróbuj samodzielnie zmienić politykę dostępu, tak aby pozwalała ona na dostęp tylko pewnym użytkownikom. W tym celu może istnieć konieczność
stworzenia nowego użytkownika i zezwolenia mu na większą swobodę po uwierzytelnianiu.
• Dodaj definicję nowego urządzenia i dodaj je do grupy administratorzy (identyfikuj je po
MAC karty twojej maszyny)
• Skopiuj politykę dla interfejsu internal i wstaw ją tuż za już istniejącą. W pierwszej z nich
dodaj jako uprawnionych użytkowników z grupy administratorzy. Usuń polityki filtrowania
sieci i aplikacji. Sprawdź działanie stron dodanych do wcześniejszych filtrów.
3. Szczegółowa ochrona AV i DLP
• Włącz w każdej polityce ochronę AV, ale wyłącz inspekcję SSL
• spróbuj ściągnąć pliki z http://www.eicar.org/85-0-Download.html używając http i
https
• włącz inspekcję SSL i spróbuj powtórzyć poprzedni punkt
• Włącz DLP dla polityki, która aktualnie jest używaną przez dowolną z maszyn
◦ dodaj filtr na pliki exe
◦ dodaj filtr na numery kart (pliki i tekst),
◦ spróbuj pobrać lub wysłać plik exe lub przykładowy plik z numerami kart. Spróbuj
pobrać lub opublikować numery kart - http://www.auricsystems.com
◦ Sprawdź wpisy w Log & Report -> Security Log -> DLP
◦ Używając oprogramowania Forti Explorer przeprowadź znakowanie pliku pdf/pptx/docx
(Sekcja DLP Watermark)
◦ Dodaj dodatkowy wpis w filtrze DLP wykrywający znaki wodne (ang. Watermarking)
◦ Spróbuj opublikować plik lub załączyć go przez przeglądarkę do wiadomości e-mail.
◦ Spróbuj pobrać dowolny program posiadający rozszerzenie exe.
3
Bezpieczeństwo Sieci Korporacyjnych 2015/2016
Temat Laboratorium: UTM
Prowadzący: Jarosław Białas
Dodatek
• Jeżeli dalej nie jest dostępna opcja Web Filtering odśwież widget.
• Jeżeli wciąż nie jest dostępna kliknij na configure (obok unreachable). Na otwartej stronie rozwiń
Web Filtering and Email Filtering Options i kliknij Test Availability. Po około minucie sprawdź
dostępność i jeżeli dalej nie działa zmień port na 8888 (obok przycisku test - kliknij apply).
• Jeżeli dalej nie działa zaloguj się na urządzenie poprzez ssh :
# ssh [email protected]
#diag debug app update -1
#diag debug en
#exec update-now
Po upływie około 1-2 minut usługi powinny działać.
4