Systemy ochrony komputerów osobistych Opis programu Sygate Personal Firewall v.5.5. W ostatnich latach dostrzeżono konieczność ochrony komputerów osobistych. Zwykle nie przechowuje się na nich strategicznych informacji, ani też nie świadczą usług niezbędnych do realizacji zadań biznesowych instytucji. Komputery PC użytkowników stanowią punkt dostępowy do zasobów systemu informatycznego. Po przejęciu nad nimi kontroli intruz uzyskuje dostęp na takich samych zasadach jak legalny użytkownik. Powszechne stało się precyzyjne kontrolowanie komputerów PC. Instalowane są na nich dedykowane zabezpieczenia służące m.in. od ochrony przed nieupoważnionym dostępem takie jak Personal Firewall czyli osobista ściana ogniowa. Firewall jest to sprzętowe i/lub programowe zabezpieczenie zasobów sieci przed włamaniem nieautoryzowanych użytkowników Internetu. Wszystkie informacje przychodzące lub wychodzące z sieci lokalnej muszą przejść przez firewall, który sprawdza ich zawartość i blokuje te, które nie spełniają kryteriów ustalonego poziomu bezpieczeństwa. Na rynku pojawia się coraz więcej firewalli przystosowanych do pracy na komputerach PC. Jednym z nich jest Personal Firewall firmy Sygate. Zaletą programu jest możliwość precyzyjnego wyboru stopnia zaawansowania zabezpieczeń za pomocą kilkunastu predefiniowanych trybów ochrony. Można np. skonfigurować program tak, aby informował o podejrzanych, nieautoryzowanych próbach dostępu do komputera, jednocześnie zezwalając na wysyłanie pakietów danych wymaganych do poprawnego działania stron WWW lub umożliwiając pobieranie plików z sieci. Domyślnie program blokuje ruch sieciowy wychodzący i przychodzący jednocześnie informując użytkownika o próbie połączenia sieciowego przez aplikację z zapytaniem czy zezwolić na połączenie czy też nie (Rys.1.). Można zaznaczyć opcję Zapamiętaj moją odpowiedź i nie pytaj ponownie dla tej aplikacji (Remember my answer,...). Rys.1. Pytanie o dostęp do sieci dla aplikacji Internet Explorer. Reguły zaawansowane Sygate Personal Firewall ma możliwość ustawiania reguł zaawansowanych zastępujących reguły tworzone i przestrzegane podczas normalnej pracy programu. Najprostsza reguła to zezwolenie lub zabronienie dostępu (allow or deny access) do aplikacji. W konfiguracji zaawansowanej ustala się szczegółowe prawa dostępu (ustalanie okresów czasowych, portów, itp.) czyli parametry dla wybranej aplikacji. Reguły zaawansowane mogą być przypisane do wielu aplikacji, np. można utworzyć regułę blokującą cały ruch sieciowy między godziną 22:00 a 8:00. Reguła taka zastąpi wszystkie inne standardowe lub zdefiniowane przez użytkownika reguły. Reguła zaawansowana dotyczyć będzie wszystkich aplikacji jeśli w oknie reguł zaawansowanych nie wybierze się z listy konkretnych aplikacji dla tej reguły. Sygate Personal Firewall w wersji dla użytku domowego umożliwia zdefiniowanie 20 reguł zaawansowanych. Ograniczenia tego nie ma wersja Pro. 1
Tworzenie reguł zaawansowanych Tworząc regułę zaawansowaną musimy zdecydować jaki efekt chcemy osiągnąć. Czy np. chcemy blokować cały ruch sieciowy gdy włączony jest wygaszacz ekranu? Czy chcemy zezwolić na ruch pakietów z określonego źródła? Czy chcemy zablokować pakiety UDP ze strony internetowej? 1. Reguły zaawansowane wybieramy z menu Tools --> Advanced Rules... Przed otwarciem okna reguł zaawansowanych pojawia się komunikat o tym, że reguły zaawansowane mają wyższy priorytet niż jakiekolwiek inne ustawienia i będą zastępować wszystkie inne reguły dla ustalonych warunków w regułach zaawansowanych. 2. Klikamy przycisk Add by dodać nową regułę zaawansowaną. Pojawia się okno konfiguracji reguły z pięcioma zakładkami: General opcje główne (Rys.2.). W tej zakładce podajemy nazwę reguły, akcję (czy to reguła blokująca czy zezwalająca), karty interfejsów sieciowych, tryb pracy względem wygaszacza ekranu oraz logowanie działania reguły. W oknie Rule Summary przedstawione jest podsumowanie funkcjonalności reguły. Domyślnie reguła ta blokuje ruch przychodzący i wychodzący dla wszystkich aplikacji na wszystkich portach i protokołach oraz dla wszystkich kart sieciowych. Aby precyzyjniej ustalić funkcjonalność reguły należy przejść do innych zakładek. Hosts (Rys.3.) tu ustalamy adres źródła (IP, MAC, zakres adresów podsieci) dla ruchu sieciowego który chcemy blokować lub przepuszczać. Rys. 2. Okno opcji głównych reguły zaawansowanej. Rys.3. Ustawienia adresów hostów. 2
Ports and Protocols (Rys.4.) ustalamy, które porty i protokoły (TCP, UDP, ICMP, IP Type, ALL) oraz jaki kierunek ruchu ma być uwzględniony dla tej reguły. Rys.4. Zakładka ustawień portów i protokołów. Scheduling (Rys.5.) określamy przedziały czasowe w których reguła ma obowiązywać lub nie. Rys.5. Ustawienia przedziałów czasowych działania reguły. Application (Rys.6.) wybór aplikacji dla których ma zastosowanie utworzona reguła. Na liście znajdują się wszystkie aplikacje, które zostały wykryte przez firewall jako korzystające z połączenia sieciowego. 3
Rys.6. Zakładka aplikacji. Definiowanie reguł na poziomie aplikacji Sygate Personal Firewall umożliwia ustawienie reguł (Allow/Block/Ask) dla wybranej aplikacji lub usługi. Okno z listą aplikacji dostępne jest z menu Tools -> Applications lub po naciśnięciu ikonki Applications. W oknie tym zestawione są nazwy wszystkich aplikacji i usług jakie kiedykolwiek próbowały połączyć się z siecią od czasu zainstalowania firewalla. Lista ta zawiera: nazwę aplikacji/usługi, wersję, status dostępu oraz ścieżkę (Rys.7.). W menu podręcznym okna aplikacji (prawy klik myszy) możemy: - ustawić reguły dostępu do sieci dla zaznaczonych aplikacji (Zezwolenie/Blokowanie/Pytanie), - ustawić reguły zaawansowanie dla wybranej aplikacji, - usunąć wybrane lub wszystkie aplikacje, - zmienić widok listy aplikacji. Rys.7. Lista aplikacji monitorowanych przez firewalla. Konfiguracja zaawansowana aplikacji Wybierając z menu podręcznego aplikacji opcję Advanced... lub naciskając przycisk Advanced możemy ustawić bardziej zaawansowaną konfigurację reguł dla wybranej aplikacji. Okno konfiguracji zaawansowanej (Rys.8.) zawiera: - nazwę aplikacji możemy wybrać interesującą nas aplikację/usługę z listy rozwijanej, 4
- zakres zaufanych adresów IP dla aplikacji podajemy adresy IP lub zakres adresów do których ma dostęp dana aplikacja nie wypełnione pole udostępnia wszystkie adresy, adresy niedozwolone to: 0.0.0.0 255.255.255.255 127.X.X.X Rys.8. Konfiguracja zaawansowana aplikacji. - porty zdalnego serwera określamy na jakich portach docelowych może działać wybrana aplikacja/usługa, pozostałe porty dla tej aplikacji będą zablokowane dostępne są protokoły TCP i UDP, - porty lokalne określamy na jakich portach lokalnych może działać wybrana aplikacja/usługa, pozostałe porty lokalne dla tej aplikacji będą zablokowane dostępne są protokoły TCP i UDP, - zezwolenie na ruch ICMP - zezwolenie na dostęp podczas działania wygaszacza ekranu - ustawienie przedziałów czasowych w których przestrzegane są reguły konfiguracji zaawansowanej. Logi Praca firewalla logowana jest do 4 plików. Ich zawartość można przeglądać z menu Logs. Są to: Security plik z zarejestrowanymi atakami (DoS, skanowanie portów, podmiana plików wykonywalnych, atak trojanów). 5
Traffic w tym pliku logowany jest ruch sieciowy nadzorowany przez Personal Firewall. Rejestrowane jest każde zaobserwowane zdarzenie (Rys.9.) z ukazaniem szczegółów (tj. kierunek ruchu sieciowego, czy zablokowane czy przepuszczone, porty, adresy IP oraz MAC i inne). Rys.9. Przykładowa zawartość logów Traffic. Packet zapis pakietów ruchu sieciowego nadzorowanego przez firewall. Zapis ten jest domyślnie wyłączony ze względu na często występujące pakiety o dużych rozmiarach. System plik przechowuje informacje systemowe dotyczące pracy firewalla (tj. start programu, zmiana poziomu zabezpieczeń, zakończenie programu). W logach Security i Traffic dostępna jest opcja sprawdzenia źródła zaistniałego zdarzenia (Back Track) (Rys.10.). Uruchamia się ją z menu podręcznego (klikając prawym przyciskiem myszy), zaznaczając interesujące nas zalogowane zdarzenie. Back Trace ukazuje nam szczegóły trasy sieciowej (czyli drogę przez poszczególne węzły sieci, najczęściej routery), które odbyły pakiety od naszego komputera do źródła zdarzenia. Rys.10. Okno informacji Back Track. Więcej szczegółów na temat danego adresu możemy się dowiedzieć naciskając przycisk Whois. Ukazują się tam dodatkowe informacje o danym adresie (jego lokalizacja, zakres przydzielonych adresów, właściciel, adres kontaktowy i inne). 6
Monitorowanie pracy firewalla Po uruchomieniu systemu program domyślnie uruchomi się automatycznie a jego ikonka (Rys.11.) pojawi się w zasobniku systemowym (System Tray) w prawym rogu systemowego paska zadań. Ikonka ta zawiera dwie strzałki reprezentujące ruch sieciowy: przychodzący (download) i wychodzący (upload). Strzałki zmieniają kolor w zależności od sytuacji: Rys.11. Ikonka firewalla. Czerwony ruch zablokowany przez Personal Firewalla Niebieski ruch przepuszczony przez Personal Firewalla Szary brak ruchu sieciowego w tym kierunku. W przypadku ruchu sieciowego zidentyfikowanego przez firewall jako prawdopodobny atak ikonka mruga na czerwono (Rys.12.) co oznacza tryb alarmowy a zdarzenie to zostaje zarejestrowane w logach Security. Podwójne kliknięcie na ikonkę wyłączy mruganie i otworzy okno logów Security (Rys.13.). W oknie pokazane są Rys.12. Mrugająca ikonka alarmuje o wykryciu prawdopodobnego ataku. szczegóły połączeń sklasyfikowanych jako potencjalne ataki (czas ataku, rodzaj ataku, stopień zagrożenia, kierunek, protokół, adresy IP oraz MAC źródła i celu, domena). Rys.13. Przykładowa zawartość pliku z logami wykrytych zdarzeń zidentyfikowanych jako prawdopodobne ataki. Typy ataków wykrywane przez Sygate Personal Firewall to: - Konie trojańskie (Trojan Horse) aplikacje wykonujące nieautoryzowane funkcje. Najczęściej są to programy ładujące się do komputera z Internetu i uruchamiane w celu uszkodzenia danych lub przejęcia zdalnej kontroli nad systemem poprzez sieć przez nieautoryzowanego użytkownika(hackera). Często również koń trojański udaje pożyteczną aplikacje internetową, która do uzyskania pełni funkcjonalności wymaga od użytkownika podania określonych danych, które są wysyłane do hackera. Szkodliwość koni trojańskich polega na tym, ze otwierają własny port, czyli rodzaj logicznych wrot do sys., i nasłuchują poleceń hackera. - Odmowa usługi (Denial of Service) - czyli próby przeciążania zapytaniami np. serwerów firm, co w efekcie uniemożliwia dostęp do firmowej strony WWW. Serwer jest obciążony obsługą nadchodzących pakietów nie jest w stanie poprawnie działać. - Podmiana pliku wykonywalnego (Executable File Change) dzięki zaimplementowanej metodzie sprawdzania sumy kontrolnej MD5 firewall wykrywa zmiany w strukturze aplikacji, która w przeszłości uzyskała dostęp do sieci. Zmiana zawartości pliku może się 7
wiązać z aktualizacją aplikacji dokonaną przez użytkownika lecz dzięki wprowadzeniu sumy kontrolnej mamy dodatkowe zabezpieczenie przed podmianą pliku wykonywalnego przez potencjalnego włamywacza (hackera). - Skanowanie portów (Port scanning) dzięki łatwo dostępnym narzędziom hacker może skanować porty komputera w celu uzyskania informacji o systemie operacyjnym, działających usługach oraz stopniu zabezpieczenia komputera. Firewall wykrywa próby skanowania portów i blokuje dostęp źródła ataków do naszego komputera. - Podszywanie się (Spoofing) jest to próba wejścia jako inny użytkownik wykorzystując możliwość podania innego adresu MAC lub IP aby przejść zabezpieczenia oparte jedynie na identyfikacji adresów. W ten sposób można włamać się do jakiejś firmy, udając jej pracownika. 8