Projekt i implementacja filtra dzeń Pocket PC

Wielkość: px

Rozpocząć pokaz od strony:

Download "Projekt i implementacja filtra dzeń Pocket PC"

Ludwika Antczak
9 lat temu
Przeglądów:

1 Projekt i implementacja filtra pakietów w dla urządze dzeń Pocket PC Jakub Grabowski opiekun pracy: prof. dr hab. Zbigniew Kotulski

2 Zagrożenia Ataki sieciowe Problemy z bezpieczeństwem sieci WLAN Złośliwe oprogramowanie

3 Motywacja Chęć rozwiązania zania rzeczywistego problemu z bezpieczeństwem niekontrolowanego przepływu pakietów w pomiędzy urządzeniem, a siecią Brak darmowego oprogramowania typu personal firewall dla Pocket PC Tylko dwa komercyjne rozwiązania zania (nie pozbawione wad) Chęć poznania możliwo liwości posiadanego urządzenia PocketPC

darmowego oprogramowania typu personal firewall dla Pocket PC Tylko dwa komercyjne

4 Cechy idealnego firewalla na Pocket PC Monitorowanie i filtrowanie ruchu przychodzącego cego i wychodzącego cego dla stosu TCP/IP Obsługa interfejsów w LAN i WAN Szybkość działania ania Przezroczystość działania ania Rozpoczęcie cie działania ania przy starcie systemu Łatwość konfiguracji Ochrona przed atakami DoS Podgląd d stanu połą łączeń i otwartych portów w w systemie Obsługa zaufanych stref

Przezroczystość działania ania Rozpoczęcie cie działania ania przy starcie systemu Łatwość

5 Wybrana architektura Analiza nagłówk wków Ethernet IP TCP/UDP

6 Cel pracy Stworzenie filtra pakietów, działaj ającego na rzeczywistym urządzeniu PocketPC Opracowanie uniwersalnej architektury, która może e zostać wykorzystana w innych aplikacjach wymagających dostępu do pakietów

uniwersalnej architektury, która może e zostać

7 Problemy wpływaj ywające na kształt projektu Brak interfejsów w programistycznych do przechwytywania i filtrowania pakietów w w systemie Windows Mobile for Pocket PC konieczność stworzenia własnego w sterownika Uboga dokumentacja interfejsu NDIS (Network Driver Interface Specification) konieczność wykonania wielu eksperymentów Wysoki koszt komercyjnego oprogramowania do tworzenia sterowników konieczność konfiguracji darmowych narzędzi tak, aby możliwe było o tworzenie sterowników w NDIS

interfejsu NDIS (Network Driver Interface Specification) konieczność wykonania wielu eksperymentów Wysoki koszt

8 Architektura komunikacyjna Windows CE

9 Struktura systemu pomysł na filtrowanie pakietów

10 Struktura systemu dekompozycja zadań Moduły y systemu: Sterownik pośredni Filtr pakietów Parser pakietów Moduł decyzyjny z łańcuchem reguł

11 Zagadnienia implementacyjne rozwiązane zane problemy Konfiguracja darmowego środowiska Embedded Visual C++ tak, aby możliwe było stworzenie w nim sterownika NDIS. Zbudowanie sterownika pośredniego i odpowiednia jego konfiguracja tak, aby przepływa ywał przez niego cały y ruch TCP/IP. Opracowanie parsera pakietów. Opracowanie dynamicznej struktury danych realizującej łańcuch reguł dla firewalla. Implementacja mechanizmu odrzucania zablokowanych pakietów w wewnątrz sterownika pośredniego NDIS.

Zbudowanie sterownika pośredniego i odpowiednia jego konfiguracja tak, aby przepływa ywał przez niego cały y ruch TCP/IP.

12 Porównanie z systemami komercyjnymi JG Packet Filter Airscanner Mobile Firewall Bluefire Firewall Filtrowanie ruchu LAN Filtrowanie ruchu WAN Rozpoczęcie działania przy starcie systemu Graficzny interfejs użytkownika Filtrowanie ze względu na adres IP Filtrowanie ze względu na stan połączeń TCP Ochrona przed najpopularniejszymi atakami DoS Podgląd stanu połączeń i otwartych portów w systemie Logowanie zdarzeń

interfejs użytkownika Filtrowanie ze względu na adres IP Filtrowanie ze względu na stan połączeń TCP

13 Ocena rozwiązania zania - funkcjonalność Mocne strony Filtrowanie ze względu na adres IP Filtrowanie ze względu na stan połą łączenia TCP Słabe strony Brak graficznego interfejsu użytkownikau Brak ochrony przed atakami DoS Brak filtrowania ruchu WAN

stan połą łączenia TCP Słabe strony Brak graficznego

14 Ocena rozwiązania zania poprawność działania ania Do testów w wykorzystane zostały y narzędzia: Telnet Netcat Nmap Ethereal Plany testów w przygotowane w oparciu o literaturę i podręczniki ww. narzędzi.

15 Ocena rozwiązania zania testy wydajnościowe Plan testu: pomiar opóźnienia wprowadzanego przez filtr przy pobieraniu dużego pliku binarnego Wyniki: Bardzo dobra wydajność modułu u decyzyjnego znikomy wpływ długości łańcucha reguł na opóźnienie w przetwarzaniu pakietu Wprowadzane opóźnienie aża 20 razy krótsze niż maksymalne zalecane przez Microsoft Bardzo dobra wydajność w porównaniu z konkurencyjnym Airscanner Mobile Firewall (ok. 4% opóźnienia dla typowych przypadków, w Airscanner ok. 37% dla najprostszego)

przetwarzaniu pakietu Wprowadzane opóźnienie aża 20 razy krótsze niż maksymalne zalecane przez Microsoft Bardzo dobra wydajność

16 Podsumowanie Osiągni gnięcia: Stworzenie wydajnego, w pełni funkcjonalnego i działaj ającego na rzeczywistym urządzeniu filtra pakietów Opracowanie uniwersalnej architektury, umożliwiaj liwiającej dostęp p do pakietów sieciowch i implementacje bardziej zaawansowanych typów firewalli Stworzenie środowiska programowania sterowników w NDIS z darmowych komponentów

umożliwiaj liwiającej dostęp p do pakietów sieciowch i implementacje bardziej

Podobne dokumenty

Monitorowanie Sieci nonblocking content packet filtering

Monitorowanie Sieci nonblocking content packet filtering praca inŝynierska prowadzący: prof. dr hab. inŝ. Zbigniew Kotulski Michał Zarychta 1 Plan prezentacji ZałoŜenia projektu Sniffer Technologie WinPcap