Zarządzanie bezpieczeństwem w sieciach

Podobne dokumenty
Router programowy z firewallem oparty o iptables

iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter echo "1" > /proc/sys/net/ipv4/ip_forward

Wdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat zapory sieciowej (firewall) oraz oprogramowania iptables.

Pakiet Iptables. Filtrowanie pakietów i filtrowanie stanowe

Na podstawie: Kirch O., Dawson T. 2000: LINUX podręcznik administratora sieci. Wydawnictwo RM, Warszawa. FILTROWANIE IP

Instalacja i konfiguracja pakietu iptables

Najprostsza odpowiedź, jaka przychodzi mi do głowy to, z powodu bezpieczeństwa.

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat zapory sieciowej.

Sieci komputerowe. Tadeusz Kobus, Maciej Kokociński Instytut Informatyki, Politechnika Poznańska

Pakiet Iptables. Filtrowanie pakietów i filtrowanie stanowe

Tomasz Greszata - Koszalin

Sieci Komputerowe Translacja adresów sieciowych

Iptables informacje ogólne

Linux. iptables, nmap, DMZ

Bezpieczeństwo w M875

iptables/netfilter co to takiego?

Co to jest iptables?

SYSTEMY OPERACYJNE I SIECI KOMPUTEROWE. Opracowany na podstawie

Warsztaty z Sieci komputerowych Lista 8

Tworzenie maszyny wirtualnej

Zadania do wykonania Firewall skrypt iptables

Tomasz Greszata - Koszalin

Zarządzanie bezpieczeństwem w sieciach dr inż. Robert Banasiak, mgr inż. Rafał Jachowicz, Instytut Informatyki Stosowanej PŁ, 2013

Protokół HTTP (2) I) Wprowadzenie. II) Użyte narzędzia: III) Kolejność działań

Sieci komputerowe. Tadeusz Kobus, Maciej Kokociński Instytut Informatyki, Politechnika Poznańska

Sieci komputerowe. Zajęcia 4 Bezpieczeństwo w sieciach komputerowych

Sieci komputerowe. Tadeusz Kobus, Maciej Kokociński Instytut Informatyki, Politechnika Poznańska

Zapory sieciowe i techniki filtrowania danych

Warsztaty z Sieci komputerowych Lista 9

Zadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation).

Wykład 3 Filtracja i modyfikacja pakietów za pomocą iptables.

7. Konfiguracja zapory (firewall)

Bezpieczeństwo Systemów Telekomunikacyjnych 2014 / 2015 Bezpieczeństwo aplikacji sieciowych, Ataki (D)DoS Prowadzący: Jarosław Białas

Zdalne logowanie do serwerów

Firewall bez adresu IP

Jak blada twarz psuje serwer HTTP? Kamil Porembiński thecamels.org

9. Internet. Konfiguracja połączenia z Internetem

Projektowanie bezpieczeństwa sieci i serwerów

Laboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

Firewalle, maskarady, proxy

Sieci komputerowe laboratorium

Bezpieczeństwo systemów komputerowych. Laboratorium 1

dostępu do okręslonej usługi odbywa się na podstawie tego adresu dostaniemu inie uprawniony dostep

Laboratorium Ericsson HIS NAE SR-16

Ćwiczenie 5b Sieć komputerowa z wykorzystaniem rutera.

Windows W celu dostępu do i konfiguracji firewall idź do Panelu sterowania -> System i zabezpieczenia -> Zapora systemu Windows.

Ping. ipconfig. getmac

Laboratorium 6.7.2: Śledzenie pakietów ICMP

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

4. Podstawowa konfiguracja

Zadanie z lokalnych sieci komputerowych. 1. Cel zajęć

Laboratorium 6.7.1: Ping i Traceroute

Firewalle, maskarady, proxy

Obsługa poczty elektronicznej w domenie emeritus.ue.poznan.pl

Pakiet informacyjny dla nowych użytkowników usługi Multimedia Internet świadczonej przez Multimedia Polska S.A. z siedzibą w Gdyni

Metody ataków sieciowych

TELEFONIA INTERNETOWA

Instrukcja dla instalatora systemu SMDP Enterprise/Professional

PODSTAWOWA KONFIGURACJA LINKSYS WRT300N

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

NAT/NAPT/Multi-NAT. Przekierowywanie portów

Ćwiczenie 7 Sieć bezprzewodowa z wykorzystaniem rutera.

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

Skanowanie portów. Autorzy: Jakub Sorys, Dorota Szczpanik IVFDS

OBSŁUGA I KONFIGURACJA SIECI W WINDOWS

Zdalna obsługa transcievera. H A M R A D I O D E L U X E R e m o t e S e r v e r C o n f i g u r a t i o n

Adresy dostępowe serwerów poczty elektronicznej. Konfiguracja programów klienckich poczty elektronicznej

Firewall'e. Cele firewalli

Ćwiczenie Konfiguracja statycznych oraz domyślnych tras routingu IPv4

Przekierowanie portów w routerze - podstawy

Laboratorium - Konfigurowanie zapory sieciowej systemu Windows 7

SIECI KOMPUTEROWE - BIOTECHNOLOGIA

T: Konfiguracja interfejsu sieciowego. Odwzorowanie nazwy na adres.

Instrukcja konfigurowania poczty Exchange dla klienta pocztowego użytkowanego poza siecią uczelnianą SGH.

Laboratorium nr 1 Skanowanie sieci i ataki aktywne

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

Ćw. I. Środowisko sieciowe, połączenie internetowe, opcje internetowe

KONFIGURACJA SIECIOWA SYSTEMU WINDOWS

Kierunek: technik informatyk 312[01] Semestr: II Przedmiot: Urządzenia techniki komputerowej Nauczyciel: Mirosław Ruciński

Podstawy działania sieci komputerowych

Filtrowanie stateful inspection w Linuksie i BSD

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Problemy techniczne SQL Server. Jak odblokować porty na komputerze-serwerze, aby umożliwić pracę w sieci?

Zapora systemu Windows Vista

Instrukcja korzystania z systemu IPbaza. oraz konfiguracji urządzeń

Sieci komputerowe. Wykład 11: Podstawy bezpieczeństwa sieci. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

NIP: REGON INSTRUKCJA KONFIGURACJI WIFI NA PRZYKŁADZIE ROUTERA TP-LINK TL-WR740N.

Połączenie VPN Host-LAN SSL z wykorzystaniem przeglądarki. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2. Konto SSL 1.3. Grupa użytkowników

Konfiguracja poczty IMO dla urządzeń mobilnych z systemem ios oraz Android.

Ćwiczenie 5a Sieć komputerowa z wykorzystaniem rutera.

TCP/IP. Warstwa aplikacji. mgr inż. Krzysztof Szałajko

PROFFICE/ MultiCash PRO Zmiana parametrów komunikacji VPN do połączenia z Bankiem Pekao S.A.

MODEL WARSTWOWY PROTOKOŁY TCP/IP

ZiMSK NAT, PAT, ACL 1

Bazy Danych i Usługi Sieciowe

INSTRUKCJA KONFIGURACJI KLIENTA POCZTOWEGO

Narzędzia diagnostyczne protokołów TCP/IP

Połączenie VPN Host-LAN PPTP z wykorzystaniem Windows Vista/7. 1. Konfiguracja serwera VPN. 2. Konfiguracja klienta VPN

Transkrypt:

Zarządzanie bezpieczeństwem w sieciach mgr inż. Rafał Jachowicz, Instytut Informatyki Stosowanej PŁ Instrukcję opracowano na podstawie materiałów mgra inż. Łukasza Jopka Router programowy z firewallem oparty o iptables Celem ćwiczenia jest stworzenie kompletnego routera (bramki internetowej), opartej o narzędzie iptables (Linux/Ubuntu). Bramka umożliwiać ma nie tylko dostęp do sieci komputerom będącym w sieci wewnętrznej, ale także zapewniać ma podstawową ochronę tej sieci przed atakami intruzów (firewall). 1. Skonfiguruj sieć według poniższego rysunku: Klienci sieci wewnętrznej to komputery, które mogą być zarówno pod kontrolą systemów Windows, jak i Linux, natomiast bramkę stanowi komputer pracujący pod kontrolą systemu Linux. Pamiętaj także o dodaniu adresu bramki oraz serwerów DNS do konfiguracji klientów (proszę ustawić takie serwery DNS jak na maszynach fizycznych). Sprawdź, czy tak skonfigurowana sieć działa (za pomocą protokołu ICMP polecenie ping.) 1.1 Skonfiguruj bramkę tak, aby miała dostęp do Internetu. WYPEŁNIJ RAPORT Z TEJ CZĘŚCI! (PKT. 1)

2. Na komputerze bramce stwórz plik o nazwie firewall oraz reset_firewall (nazwy mogą być dowolne) i nadaj im prawa wykonywania. 2.1 W pliku firewall umieszczony będzie skrypt odpowiedzialny zarówno za routing, jak i za filtrowanie pakietów. Pierwszym krokiem jest wyczyszczenie tablic iptables. Można to zrobić za pomocą następujących poleceń, które należy wpisywać kolejno do pliku firewall (wszystkie następne zadania należy dopisywać do pliku tak, aby stworzyć kompletny plik wykonywalny tworzący firewalla): iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter Firewall doskonały nie przepuszczający żadnych pakietów, można osiągnąć stosując następujące polecenia: iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP Powyższe polecenia sprawiają, że wszystkie pakiety będą porzucane. Zapisz skrypt i sprawdź, czy rzeczywiście nie ma dostępu ani z zewnątrz sieci ani do wewnątrz. Tak powinien wyglądać nagłówek pliku stawiającego firewall na komputerze-bramce. Zobacz jak wygląda teraz konfiguracja firewalla za pomocą polecania: iptables L WYPEŁNIJ RAPORT Z TEJ CZĘŚCI! (PKT. 2) 2.2 W pliku reset_firewall znajdą się wszystkie komendy usuwające zabezpieczenia z maszyny (bramki). Będziemy go używali zawsze wtedy gdy będzie trzeba wyłączyć firewall, w celu dodatkowych czynności (np. ponownego zestawienia sieci). Taki plik resetujący może wyglądać następująco: iptables -F -t nat iptables -X -t nat iptables -F -t filter

iptables -X -t filter iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT WYPEŁNIJ RAPORT Z TEJ CZĘŚCI! (PKT. 3) Po przetestowaniu pliku resetującego należy ponownie uruchomić firewall. 2.3 Teraz można przystąpić do budowy firewalla, wcześniej jednak należy włączyć przekazywanie pakietów, aby umożliwić routing. echo "1" > /proc/sys/net/ipv4/ip_forward 2.4 Przystępujemy do udostępniania wybranych usług na komputerze-bramce. Ponieważ firewall w tym momencie nie przepuszcza żadnych pakietów, jest wiec nieużyteczny. W tym kroku odblokowane zostaną wybrane usługi tylko te, z których będziemy chcieli korzystać, reszta nadal będzie blokowana. Akceptujemy pakiety IMCP z lokalnej maszyny: iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT Uruchom ponowie skrypt i sprawdź, czy możliwa jest komunikacja za pomocą protokołu IMCP z komputerami wewnątrz i na zewnątrz sieci. Użyj ponownie polecenia iptables L WYPEŁNIJ RAPORT Z TEJ CZĘŚCI! (PKT. 4) 2.5 Przystępujemy do udostępniania dodatkowych usług: Akceptujemy pakiety WWW (HTTP i HTTPS):

iptables -A INPUT -p tcp --sport 80 -j ACCEPT iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --sport 443 -j ACCEPT iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT Akceptujemy pakiety DNS: iptables -A INPUT -p udp --dport 53 -j ACCEPT iptables -A INPUT -p tcp --dport 53 -j ACCEPT iptables -A INPUT -p udp --sport 53 -j ACCEPT iptables -A INPUT -p tcp --sport 53 -j ACCEPT iptables -A OUTPUT -p udp --dport 53 -j ACCEPT iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT iptables -A OUTPUT -p udp --sport 53 -j ACCEPT iptables -A OUTPUT -p tcp --sport 53 -j ACCEPT WYPEŁNIJ RAPORT Z TEJ CZĘŚCI! (PKT. 5) Analogicznie proszę udostępnić takie usługi jak: ssh, poczty wychodzącej (smtp), poczty przychodzącej (pop3). WYPEŁNIJ RAPORT Z TEJ CZĘŚCI! (PKT. 6) W ten sposób odblokowaliśmy usługi takie jak WWW, DNS, pocztę elektroniczną (protokoły SMTP i POP3) na komputerze-bramce. Analogicznie można udostępniać inne usługi. 2.6 Na koniec dodajemy regułę, która będzie umożliwiała łączenie się z bramką aplikacji niezbędnych w dalszej części laboratorium: iptables -A INPUT -p tcp --dport 8010 -j ACCEPT -m state --state NEW

2.7 Forwardowanie (przekierowywanie) pakietów. Forwardowanie pakietów do komputerów znajdujących się wewnątrz sieci powoduje, że cały ruch sieciowy, który związany jest z komputerami w sieci wewnętrznej niejako tylko przechodzi przez bramkę. Z drugiej strony nadal mamy możliwość filtrowania tego ruchu. Przykład dla karty o adresie ip z puli 192.168.1.0/24: iptables -t filter -A FORWARD -p all -s 192.168.1.0/24 -d 0/0 -j ACCEPT iptables -t filter -A FORWARD -p all -s 0/0 -d 192.168.1.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT Ustawienie nat i maskarady: iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE Uruchom skrypt i sprawdź, czy komputery z sieci wewnętrznej maja dostęp do sieci zewnętrznej (np. Internetu). Można to zrobić za pomocą protokołu IMCP jak również za pomocą przeglądarki internetowej. WYPEŁNIJ RAPORT Z TEJ CZĘŚCI! (PKT. 7) 2.8 Przekierowywanie portów Przekierowanie portów to przekierowanie pakietów z sieci zewnętrznej (np. Internetu), przychodzących na określony port serwera, do innego komputera w sieci lokalnej. Forwardowane mogą być protokoły TCP, UDP i inne. W zależności od implementacji i używanego narzędzia przekierowanie pakietów następuje domyślnie na te same porty do maszyny wewnątrz sieci lokalnej, bądź są one zmieniane na inne. Przekierowywanie umożliwia komputerom spoza sieci wewnętrznej (LAN) połączyć sie z komputerem stojącym za bramą (np. w strefie zdemilitaryzowanej - DMZ). Przekierowanie portów stosowane jest w razie konieczności łączenia sie z zewnątrz z komputerami w sieci wewnętrznej (np. gdy użytkownik chce stworzyć serwer na swoim komputerze, podłączonym do sieci poprzez mechanizm maskarady). Jest to standardowa opcja dostępna w większości routerów. iptables -t nat -I PREROUTING -p tcp -i INTERFEJS_ZEWNĘTRZNY -d 0/0 -- dport PORT -j DNAT --to ADRES_WEWNĘTRZNY iptables -t nat -I PREROUTING -p udp -i INTERFEJS_ZEWNĘTRZNY -d 0/0 -- dport PORT -j DNAT --to ADRES_WEWNĘTRZNY

Powyższy przykład ilustruje przekierowanie portu PORT do komputera znajdującego sie w sieci wewnętrznej, o adresie ADRES_WEWNĘTRZNY. WYPEŁNIJ RAPORT Z TEJ CZĘŚCI! (PKT. 8) 2.9 Ochrona przed skanowaniem portów oraz wybranymi atakami sieciowymi. a) Ochrona przed atakiem typu Ping of death (bardzo stary atak, domyślnie blokowany przez większość dostępnych na rynku routerów) - Ciekawostka historyczna! Ping of death sposób ataku za pomocą wysłania zapytania ping (ICMP Echo Request) w pakiecie IP o rozmiarze większym niż 65535 bajtów. Atak : ping -l 65510 <adres ip> Powyższe polecenie wykonać można obecnie jedynie z poziomu systemu Windows 98/NT, oraz niektórych dystrybucji systemu Linux. W dzisiejszych systemach operacyjnych nie można wykonać takiego polecenia za pomocą wbudowanej implementacji polecenia ping. Do 65510 bajtów dodany zostanie nagłówek IP (20 bajtów) i zapytanie ICMP Echo Request (8 bajtów). Może to spowodować awarię atakowanego systemu lub zawieszenie działającej na nim aplikacji. Ochrona : iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT Pomimo, że atak Ping of death nie jest obecnie stosowany i większość urządzeń sieciowych ma zaimplementowaną obronę przed tym atakiem, zatem na rozgrzewkę, proszę o umieszczenie powyższego, polecenia ochronnego w skrypcie firewall. b) Ochrona przed atakiem Syn-flood Atak ten polega na tym, iż komputer (często jest to serwer) odpowiada na pakiety SYN atakującego, ale nie otrzymuje pakietów ACK. Powoduje to, że zwykły użytkownik nie otrzymuje odpowiedzi na swoje żądanie ze względu na obciążenie serwera niepotwierdzonymi zapytaniami atakującego. Atak :

Atak polega na wysyłaniu dużej ilości pakietów z ustawiona w nagłówku flagą synchronizacji (SYN) i najczęściej ze sfałszowanym adresem IP nadawcy (IP spoofing). Ochrona : iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT Powyższa reguła powoduje, że na pakiety z ustawioną flagą SYN nałożony zostanie limit czasowy, co spowoduje, ze atakowany serwer (tutaj zakładamy, że znajduje sie on w sieci wewnętrznej) nie zostanie zablokowany przez fałszywe pakiety SYN, ponieważ tylko ich część będzie docierała do celu, co nie powinno spowodować zablokowania systemu. c) Ochrona przed atakiem IDENT i SOCK SCANNING Atak: Atak polega na nawiązywaniu pełnego połączenia TCP i próbie ustalenia, poprzez protokół IDENT, właściciela procesu na danym porcie. Jeśli właścicielem jest root, można próbować ataku na ten właśnie port. Ochrona : iptables -A INPUT -p tcp --dport 113 -j REJECT --reject-with icmp-port-unreachable iptables -A INPUT -p tcp --dport 1080 -j REJECT --reject-with icmp-port-unreachable Reguła powoduje, że odrzucamy przychodzące zapytania o IDENT i SOCKS z odpowiedzią port nieosiągalny. Używając programu nmap (bądź innego np. SuperScan) sprawdzić otwarte porty w dostępnych w sieci wewnętrznej komputerach (w szczególności komputera-bramki). Należy wykorzystać przede wszystkim skanowania TCP connect, TCP SYN, TCP ACK, TCP FIN, TCP XMAS, TCP NULL (można użyć bardziej rozbudowanych profili skanowania dostępnych w programie nmap). WYPEŁNIJ RAPORT Z TEJ CZĘŚCI! (PKT. 9) Dziękuję za uwagę

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres