Wydział Informatyki, Elektroniki i Telekomunikacji Katedra Telekomunikacji Bezpieczeństwo sieci teleinformatycznych Laboratorium 4 Temat: Filtracja Web.
1. Spis treści 2. Cel ćwiczenia... 3 3. Opis ćwiczenia... 3 3.1. Zasady działania filtracji Web... 3 3.2. FortiGuard Web Filter... 4 4. Zadania praktyczne... 5 4.1. Filtracja Web... 5 4.2. Ochrona przed szkodliwym oprogramowaniem... 8 5. Literatura... 10 2
2. Cel ćwiczenia Celem ćwiczenia jest zapoznanie się z działaniem urządzenia sieciowego FortiWifi firmy Fortigate. 3. Opis ćwiczenia W celu poprawnego przeprowadzenia ćwiczenia oraz zaobserwowania działania poszczególnych rozwiązań należy przygotować odpowiednie środowisko testowe. W jego skład wejdą komputer, urządzenie sieciowe FortiWifi firmy Fortigate oraz switch. 3.1. Zasady działania filtracji Web Do realizacji filtracji FortiGate wykorzystuje narzędzia, które są uruchamiane w następującej kolejności: 1. filtr URL 2. FortiGuarad Web Filter 3. filtrowanie zawartości witryn 4. filtrowanie skryptów umieszczonych w sieci Filtrowanie zawartości umożliwia blokowanie dostępu do zawartości, która zawiera określone słowa albo wyrażenie. W czasie tworzenia filtra każdemu z nich przypisuje się wartość liczbowa. W czasie analizowania strony jeśli filtr napotkał na zakazane słowo lub wyrażenie zwiększ indeks o wartość przypisaną do znalezionego słowa lub wyrażenia. Gdy indeks jest równy bądź przekroczy ustaloną wartość progowa, strona zostaje zablokowana. Zasady jakie wykorzystuje filtr w poszukiwaniu niedozwolonej treści: wynik dla każdego znalezionego słowa lub wyrażenia liczony jest tylko raz nawet gdy występuje wielokrotnie na stronie wynik jest liczony dla każdego słowa w wyrażeniu jeśli nie zostało podane w cudzysłowie wynika dla wyrażenie podanego w cudzysłowie liczony jest tylko jeśli pojawi się dokładnie tak jak napisano Filtr URL to filtr umożliwiający zezwolenie albo zablokowanie dostępu do określonej witryny. Adresy można wprowadzać jako zwykły tekst, tekst 3
z wyrażeniem regularnym albo w formie adresu IP. Filtracja może dotyczyć wszystkich stron z głównym adresem np. przykład.pl. W takim przypadku strony takie jak email.przyklad.pl, przykład.pl/start.html będą filtrowane. Przy podaniu całej ścieżki do strony będzie filtrowana tylko ona. Wykorzystując wyrażenia regularne np. przykład.* można filtrować strony takie jak przykład.pl, przykład.org. Akcje jakie umożliwia filtr URL to: Block przy próbie wejścia na witrynę zostanie wyświetlona wiadomość zastępcza z informacją o zablokowanej stronę Allow domyślna akcja, filtr przepuści stronę i skieruje do dalszej zaimplementowanej analizy (np. skanowanie antywirusowe) Pass przy tej akcji strony pasujące do filtru będą omijały dalszą zaimplementowaną inspekcje, trzeba mieć zaufanie do strony 3.2. FortiGuard Web Filter Ten filtr do działania wymaga ważnej subskrypcji w przeciwnym wypadku nie jest możliwe używanie go. Aby uaktywnić ten filtr należy przy edycji lub w czasie tworzenia nowej polityki włączyć opcje Web Filter i wybrać profil filtru, którego ustawienia mają być realizowane. Filtrowanie odbywa się na podstawie kategorii do której należy strona. Gdy użytkownik chce przeglądać jakąś witrynę, jej adres jest wysyłany do serwera FortiGuard z prośbą o podanie jej kategorii. Następnie sprawdzane jest w ustawieniach profilu czy dana kategoria ma być blokowana. W przypadku zablokowania strony wyświetlony jest komunikat zamiast tej strony. W ustawieniach profilu przy każdej kategorii oprócz blokowania i zezwalania jej są jeszcze inne możliwe akcje: Monitor pozwala na przeglądanie stron w tej kategorii i zapisuje informacje o tym fakcie w logach Warning wyświetla komunikat z ostrzeżeniem i zezwala na dostęp, jeśli użytkownik chce Autenticate wymaga uwierzytelnienia użytkownika, aby uzyskać dostęp do kategorii Każda z tych trzech opcji daje możliwość ustalenia dziennego limitu czasu, przez który użytkownik może przeglądać daną kategorie. Czas jest liczony osobno dla każdego użytkownika. Wymaga to jednak polityki opartej na uwierzytelnianiu. Dodatkowe opcje, jakie umożliwia Web Filter Provide Details for Blocked HTTP 4xx and 5xx Errors umożliwia wyświetlanie zastępczych stron błędów serwera w celu uniknięcia zło- 4
śliwego oprogramowania, które wykorzystują te strony błędów do ominięcia filtracji Rate Images by URL umożliwia filtrowanie obrazów, których adres pochodzi z blokowanej kategorii a wyświetlane są na stronie, która jest dozwolona Allow Websites When a Rating Error Occurs umożliwia użytkownika przeglądanie stron bez filtracji, jeśli pojawią się problemy z połączeniem do serwera oceniającego treść Rate URLs by Domain and IP Address umożliwia ocenę kategorii strony na podstawie adresu URL i IP niezależnie, dostarcza to dodatkową ochronę w przypadku próby ominięcia filtracji Block HTTP Redirects by Rating umożliwia blokowanie przekierowania na inną stronę, która może należeć do innej kategorii, nie działa w przypadku protokołu https 4. Zadania praktyczne 4.1. Filtracja Web W tym scenariuszu użytkownicy sieci lokalnej będą mieli zabroniony dostęp do serwisów społecznościowych, takich jak np. Facebook. Jednak dostęp do tych serwisów będzie możliwy w czasie lunchu, to jest w godzinach od 12:00 do 13:00. Urządzenie Fortigate będzie pracowało w trybie NAT. Rysunek 1 Schemat sieci do testowania filtracji ruchu WWW na urządzeniu FortiGate-40C. Żeby zrealizować ten scenariusz, należy skonfigurować filtr Web na urządzeniu FortiGate. W Web manager należy kliknąć zakładki UMT Security Profiles >Web filter > Profiles. Następnie stworzyć nowy filtr o nazwie Social. Zaznaczyć FortiGuard Categories, aby mięć dostęp do listy, w któ- 5
rej odnajduje General Interest Personal i w rozwiniętej listy Social Networking. Należy kliknąć na nią i z menu kontekstowego wybierać Block i kliknąć Apply. Jako, że po utworzeniu nowego filtru będzie on zezwalał na ruch bez ograniczeń dobrze jest ustawić blokowanie tych elementów, które były zablokowane w profilu default. Dobrze jest jeszcze zaznaczyć opcję Enable HTTPS URL Scan Only. Umożliwi to filtrowanie stron, które wykorzystują bezpieczne połączenie. Rysunek 2 Modyfikacja filtru default, aby blokował serwisy społecznościowe. Teraz należy stworzyć schemat czasowy, który będzie stosowany w czasie przerwy obiadowej. Należy kliknąć na Firewall Objects > Schedule >Schedule i Create New>Recurring. Należy wpisać nazwę i godziny obowiązywania i zatwierdzić. 6
Rysunek 3 Tworzenie schematu czasowego Aby możliwe było przeglądanie serwisów społecznościowych w ustalonych godzinach, a poza nimi było to niemożliwe trzeba stworzyć dwie polisy. W zakładce Policy > Policy > Policy należy stworzyć nowy wpis. Należy wybrać interfejsy z których się korzysta, adresy ustawić na all. W schedule wybierać wcześniej stworzony schemat czasowy lunch. Ustawić akcje na akcept. W UTM Security Profiles włączyć Web Filter i wybierać filtr Social. Zaznaczyć opcje Enable NAT, aby ruch mógł wychodzić z sieci lokalnej. Rysunek 4 Tworzenie nowej polityki zezwalającej na przeglądanie serwisów społecznościowych. 7
Zadanie 1 Należy stworzyć drugą politykę analogicznie jak tą pierwszą, aby przeglądanie stron społecznościowych skutkowało wyświetleniem komunikatu o blokadzie strony internetowej. Zadanie 2 W logach urządzenia sprawdzić z jakiego adresu nastąpiło naruszenie i na jaką stronę. Sposobem na ominięcie filtrowania może być przeglądanie stron wykorzystując serwer Proxy. Jednak można temu przeciwdziałać blokując serwery Proxy. Podczas edycji lub tworzeniu filtru opcje Proxy Avoidance ustawiamy na Block. Rysunek 8 Włączenie blokowania serwerów proxy. Wszystkie przeglądane strony z zablokowanych kategorii nie zostaną wyświetlone. Opcja pozwalająca na filtrowanie stron wykorzystujących bezpieczne połączenie jest bardzo pomocna. 4.2. Ochrona przed szkodliwym oprogramowaniem W celu ochrony przed niepożądanym oprogramowaniem takimi jak wirusy, zostanie skonfigurowana ochrona chroniąca przed tymi zagrożeniami. 8
Aby zapewnić bezpieczeństwo w sieci lokalnej przed szkodliwym oprogramowaniem należy włączyć ochronę antywirusową jak i system zapobiegający intruzom. Na urządzeniu Fortigate jest skonfigurowany domyślny profil do skanowania antywirusowego. Tak samo jest w przypadku sensora IPS, który ma skonfigurowane kilka domyślnych profili. Wszystkie urządzenia są aktualizowane najnowszymi bazami wirusów i sygnaturami IPS przez firmę Fortinet. Wszystko po to aby jak najlepiej chronić przed szkodliwym oprogramowaniem. Chcąc włączyć ochronę tymi zagrożeniami trzeba utworzyć lub zmodyfikować politykę dostępu do sieci zewnętrznej. A więc należy skonfigurować nową politykę (rysunek 9). W UMT 67 Security Profiles należy włączyć AntiVirus i IPS z domyślnymi profilami. Rysunek 9 Tworzenie polityki z ochroną przed szkodliwym oprogramowaniem. 9
Żeby przetestować stworzoną politykę należy spróbować pobrać zainfekowany plik ze strony http://www.eicar.org. Strona udostępnia spreparowane pliki, które można wykorzystać do testowania poprawności konfiguracji antywirusowej i IPS. Pliki te jednak nie stanowią zagrożenia. A więc klikamy na link, aby pobrać zainfekowany plik (rysunek 10). Rysunek 10 Pliki zawierające zainfekowany kod http://www.eicar.org/85-0-download.html. FortiGuard wykrył i nie dopuścił do pobrania wirusa. Potwierdzają to logi UTM Security Log >AntiVirus: Rysunek 12 UMT Security Log > AntiVirus. Sensor IPS nie zadziałał. Odwiedzając stronę http://antivirus.about.com/od/whatisavirus/a/eicar.htm przeglądarka nie była w stanie wczytać strony. W Logach skanera IPS widniał wpis o wykrytym zagrożeniu. Jak się okazało strona przedstawia jak wygląda kod wirusa eicar. Jest to ciąg znaków X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR- STANDARD-ANTIVIRUS-TEST-FILE!$H+H*. W tym przypadku antywirus nie zadziałał, gdyż jest stosowany do pobieranych plików i wiadomości email. Dopiero sensor IPS wykrył potencjalne zagrożenie i nie dopuścił do otwarcia strony z niebezpiecznym kodem. 5. Literatura 1. FortiWifi QuickStart Guide: http://docs.fortinet.com/uploaded/files/814/fortiwifi-40c-quickstart.pdf 2. FortiOS Handbook - The Complete Guide to FortiOS: - http://docs.fortinet.com/d/fortigate-fortios-handbook-thecomplete-guide-to-fortios-5.2 10
- http://docs.fortinet.com/d/fortigate-fortios-handbook-onlineversion 3. Ogólna strona z dokumentacją: http://docs.fortinet.com/fortigate/admin-guides 11