1 PROGRAMOWA ZAPORA SIECIOWA

Podobne dokumenty
Windows W celu dostępu do i konfiguracji firewall idź do Panelu sterowania -> System i zabezpieczenia -> Zapora systemu Windows.

Projektowanie bezpieczeństwa sieci i serwerów

Sieci komputerowe laboratorium

Zdalna obsługa transcievera. H A M R A D I O D E L U X E R e m o t e S e r v e r C o n f i g u r a t i o n

Laboratorium - Konfigurowanie zapory sieciowej systemu Windows 7

9. Internet. Konfiguracja połączenia z Internetem

Problemy techniczne SQL Server

Bezpieczeństwo w M875

Laboratorium - Konfiguracja zapory sieciowej systemu Windows Vista

Państwowa Wyższa Szkoła Zawodowa w Gorzowie Wlkp. Laboratorium architektury komputerów

2014 Electronics For Imaging. Informacje zawarte w niniejszej publikacji podlegają postanowieniom opisanym w dokumencie Uwagi prawne dotyczącym tego

Podstawy bezpieczeństwa

9. System wykrywania i blokowania włamań ASQ (IPS)

Fiery Remote Scan. Uruchamianie programu Fiery Remote Scan. Skrzynki pocztowe

Problemy techniczne SQL Server. Jak odblokować porty na komputerze-serwerze, aby umożliwić pracę w sieci?

Instalacja i konfiguracja Symfonia.Common.Server oraz Symfonia.Common.Forte

1. Instalacja systemu Integra 7

5. Administracja kontami uŝytkowników

Konfiguracja zapory ogniowej w trybie standardowym na module SCALANCE S623

Konta uŝytkowników. Konta uŝytkowników dzielą się na trzy grupy: lokalne konta uŝytkowników, domenowe konta uŝytkowników, konta wbudowane

Teoretyczne wprowadzenie do programu pocztowego Microsoft Outlook 2007

11. Rozwiązywanie problemów

Instrukcja konfiguracji i uruchamiania połączenia VPN z systemami SAP

Konfiguracja programu pocztowego Outlook Express i toŝsamości.

4. Podstawowa konfiguracja

8. Sieci lokalne. Konfiguracja połączenia lokalnego

Rozdział 8. Sieci lokalne

Ustawienia personalne

Konfiguracja zapory Firewall w systemie Debian.

Konfiguracja połączenia internetowego serwera w pracowni Microsoft

Zadanie z lokalnych sieci komputerowych. 1. Cel zajęć

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat protokołu http.

R o g e r A c c e s s C o n t r o l S y s t e m 5

Instrukcja uŝytkownika narzędzia Skaner SMTP TP. Uruchamianie aplikacji

Ko n f i gura cja p ra cy V ISO z bazą SQL S e rve r

7. Konfiguracja zapory (firewall)

Zapora systemu Windows Vista

Instrukcja konfiguracji programu Fakt z modułem lanfakt

Instrukcja instalacji Control Expert 3.0

Zadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation).

Konfiguracja modułu alarmowania w oprogramowaniu InTouch 7.11

VComNet Podręcznik użytkownika. VComNet. Podręcznik użytkownika Wstęp

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

Na podstawie: Kirch O., Dawson T. 2000: LINUX podręcznik administratora sieci. Wydawnictwo RM, Warszawa. FILTROWANIE IP

Fiery Remote Scan. Łączenie z serwerami Fiery servers. Łączenie z serwerem Fiery server przy pierwszym użyciu

MONITOROWANIE WINDOWS Z NETCRUNCHEM 7 P A G E 1

Sieci komputerowe : zbuduj swoją własną sieć - to naprawdę proste! / Witold Wrotek. wyd. 2. Gliwice, cop Spis treści

Instalacja serwera Firebird

iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter echo "1" > /proc/sys/net/ipv4/ip_forward

Podręcznik administratora systemu

Instrukcja Instalacji

Znak sprawy: KZp

Router programowy z firewallem oparty o iptables

Instrukcja konfiguracji funkcji skanowania

Wireshark analizator ruchu sieciowego

S P I S T R E Ś C I. Instrukcja obsługi

Zapory sieciowe i techniki filtrowania.

Wskazówki do instalacji Systemu Symfonia Forte. Szybki start

Sieci Komputerowe Translacja adresów sieciowych

Tomasz Greszata - Koszalin

Uwaga: NIE korzystaj z portów USB oraz PWR jednocześnie. Może to trwale uszkodzić urządzenie ZyWALL.

Bramka IP 2R+L szybki start.

Ćwiczenie Nr 4 Administracja systemem operacyjnym z rodziny Microsoft Windows

Instrukcja aktywacji tokena w usłudze BPTP

Sterowniki urządzeń zewnętrznych w pracy lokalnej i sieciowej w programach firmy InsERT dla Windows

Konfigurowanie konta pocztowego w programie Netscape (wersja 7.2)

KONFIGURACJA SIECIOWA SYSTEMU WINDOWS

Instrukcja skrócona (dla informatyka)

Asix. Konfiguracja serwera MS SQL dla potrzeb systemu Asix. Pomoc techniczna NIEZAWODNE ROZWIĄZANIA SYSTEMÓW AUTOMATYKI

OPIS PRZEDMIOTU ZAMÓWIENIA w odniesieniu do zadania antywirus - dostawa oprogramowania antywirusowego

Pobieranie komunikatów GIF

INSTRUKCJA OBSŁUGI DLA SIECI

Laboratorium - Podgląd informacji kart sieciowych bezprzewodowych i przewodowych

Jak używać funkcji prostego udostępniania plików do udostępniania plików w systemie Windows XP

Konfiguracja komunikacji jednostki centralnej systemu sterowania PVS MCU LAN w sieci LAN (Local Area Network)

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

SERWER AKTUALIZACJI UpServ

Oprogramowanie. DMS Lite. Podstawowa instrukcja obsługi

Temat: Windows 7 Centrum akcji program antywirusowy

Generator Wniosków Płatniczych dla Programu Operacyjnego Kapitał Ludzki. Instrukcja Instalacji

DESlock+ szybki start

Wykaz zmian w programie SysLoger

Rozdział 5. Administracja kontami użytkowników

Ćw. I. Środowisko sieciowe, połączenie internetowe, opcje internetowe

Systemy operacyjne I Laboratorium Część 3: Windows XP

Produkty. MKS Produkty

Zasady zabezpieczeń lokalnych

Zanim zaczniesz. Warto ustawić kartę sieciową naszego serwera.

Instrukcja konfiguracji połączenia z siecią bezprzewodową na terenie budynku Informatyka dla systemu Windows Vista.

Laboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark

Instrukcja instalacji Asystenta Hotline

Laboratorium - Używanie programu Wireshark do obserwacji mechanizmu uzgodnienia trójetapowego TCP

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

instrukcja instalacji modemu SpeedTouch 605s

IV.3.b. Potrafisz samodzielnie dokonać podstawowej konfiguracji sieci komputerowej

AKTYWNY SAMORZĄD. Instrukcja instalacji, aktualizacji i konfiguracji.

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat zapory sieciowej (firewall) oraz oprogramowania iptables.

Przykładowa konfiguracja konta pocztowego w programie Thunderbird z wykorzystaniem MKS 2k7 (MS Windows Vista Busissnes)

Systemy ochrony komputerów osobistych Opis programu Sygate Personal Firewall v.5.5.

Spis treści. 1 Moduł RFID (APA) 3

Transkrypt:

1 PROGRAMOWA ZAPORA SIECIOWA Programowe zapory sieciowe (ang. firewall) słuŝą do oddzielenia wybranego fragmentu systemu komputerowego (rozumianego jako połączone siecią komputerową jednego lub więcej komputerów) od pozostałej części sieci. Najczęściej stosowane są do oddzielenia pojedynczych komputerów od sieci lokalnej lub Internetu. Są one lokalizowane na granicy pomiędzy dwoma systemami i zajmują się filtrowaniem przechodzącego ruchu sieciowego. W zaleŝności od konfiguracji mogą blokować dostęp do usług, zapobiegać atakom internetowym, ukrywać przed intruzami zewnętrznymi informacje o systemie chronionym zaporą sieciową [1]. Zapora sieciowa (śluza bezpieczeństwa) jest elementem sieci komputerowej. Wynika z tego, Ŝe moŝna go zastosować wtedy, gdy mamy dostępne przynajmniej dwa urządzenia sieciowe lub komputery. Jego podstawowym zadaniem jest filtrowanie ruchu sieciowego w taki sposób aby uniemoŝliwić komputerowi zdalnemu dostęp do prywatnych zasobów komputera (systemu lokalnego) czyli ochrona przed wszelkiego rodzaju atakami sieciowymi. Poziom ochrony moŝna ustawiać wedle potrzeb. W wielu przypadkach usługi publiczne dla jednego komputera mogą być równocześnie prywatne dla innego [2]. Zapory sieciowe moŝemy sklasyfikować na dwa sposoby. Pierwsza klasyfikacja dzieli zapory sieciowe na sprzętowe i programowe. Zapory sieciowe sprzętowe są to wyspecjalizowane urządzenia umieszczane na krawędzi sieci lokalnej i zajmujące się filtrowaniem ruchu. Często udostępniają teŝ

funkcję odwzorowania adresów (NAT) pozwalające na tworzenie niezaleŝnych sieci lokalnych. Mają one niejednokrotnie równieŝ funkcje bramy internetowej a takŝe routera, czy serwera DNS lub DHCP. Zapory sieciowe programowe są to programy (lub części systemów operacyjnych) spełniające podobne funkcje jak ich sprzętowe odpowiedniki. Zasadnicza róŝnica jest taka, Ŝe potrzebują do swojego działania komputera z zainstalowanym systemem operacyjnym i skonfigurowanym połączeniem/połączeniami sieciowymi. Drugi podział wyróŝnia dwa typy zapór sieciowych: filtrujące i pośredniczące. Zapory sieciowe filtrujące monitorują przepływające przez nie pakiety sieciowe i przepuszczają tylko te, które są zgodne z ustalonymi regułami. oprogramowanie komputerów stacjonarnych udostępnia wybrane porty wykorzystywane do przyjmowania połączeń przychodzących; monitoruje ruch, udostępnia takŝe realizowanie połączeń wychodzących z komputera wybranym usługom/programom; Działają na niskim poziomie sieciowym (warstwa 3 i 4 ISO/OSI). Posiadają moŝliwość filtrowania pakietów na poziomie adresów IP (np. blokując komunikację z określonymi adresami) i portów (umoŝliwiając dostęp do konkretnych usług) Zapory sieciowe pośredniczące (ang. proxy) wykonują połączenia w imieniu uŝytkownika. Działają na wysokim poziomie (warstwa aplikacji ISO/OSI). Analizują zawartość pakietu nie ze względu na jego pochodzenie i miejsce docelowe ale pod kontem przesyłanych treści. Pośredniczą one w połączeniu pomiędzy źródłem a celem. Komunikacja przebiega w dwóch etapach. Pierwszy etap to połączenie z serwerem zapory i wysłanie informacji o potrzebnych danych i o źródle ich pobrania. W drugim etapie zapora łączy się ze wskazanym źródłem i pobiera dane analizując ich zawartość. następnie wysyła otrzymane dane do komputera oczekującego na nie. Zapory pośredniczące potrafią

wykryć i zablokować pakiety niepoprawne, które przy bezpośrednim połączeniu mogłyby być moŝe być obsłuŝone przez lokalny system. 1.1 Systemowe zapory sieciowe. 1.1.1 Zapora systemu Windows Pierwsza z systemowych zapór sieciowych jest zapora systemu Windows. Jest to integralna część systemu Windows XP z dodatkiem Service Pack2 a takŝe systemu Windows 2003 Server. Zapora ma standardowo zdefiniowane ustawienia zapewniające podstawową ochronę systemu. Pozwala na definiowanie własnych reguł i wyjątków precyzujących filtrowanie ruchu sieciowego. Dostęp do zapory sieciowej moŝemy uzyskać z panelu sterowania. Po uruchomieniu mamy do dyspozycji trzy zakładki: Ogólne Wyjątki Zaawansowane Na karcie ogólne mamy moŝliwość włączenia i wyłączenia zapory. Oprócz tego moŝna teŝ zaznaczyć funkcje ignorowania wyjątków. Powoduje to, Ŝe wyjątki zdefiniowane w drugiej karcie są pomijane. Jest to przydatne w przypadku kiedy łączymy się z komputera z siecią, o której nie mamy pewności jak jest bezpieczna. Zapora zablokuje automatycznie wszystkie podejrzane połączenia i programy.

Druga karta (rys. 6.1), to wspomniana wcześniej część, pozwalająca na definiowanie wyjątków. Mogą tu być dodane reguły które chcemy zastosować w naszym systemie odblokowanie dostępu do poszczególnych programów lub usług. Dodatkowo moŝemy skonfigurować jaki ma być poziom dostępności danej usługi/programu. Edytując wpis pod przyciskiem zmień zakres mamy dostęp do puli urządzeń które mogą się połączyć z danym programem. Dostępne opcje to wszystkie komputery, tylko podsieć lokalna, wybrane adresy IP. Dodatkowo dla kaŝdego zdefiniowanego wpisu moŝemy wymusić wyświetlanie komunikatu na ekranie o zablokowaniu danego programu.

Rys. 1.1. Zapora systemu Windows - wyjątki Ostatnia zakładka Zaawansowane (rys. 6.2) pozwala na najdokładniejszą ingerencję w filtrowanie ruchu sieciowego na naszym komputerze. MoŜemy tu zdefiniować zestaw ustawień dla kaŝdego z interfejsów (połączeń sieciowych) w naszym komputerze. MoŜemy tu równieŝ definiować poszczególne usługi lub zakresy portów, które będą miały dostęp do Internetu. Ponadto istnieje moŝliwość szczegółowej konfiguracji protokołu ICMP pozwalającego na działanie np. programu ping.

Inne funkcje jakie zlokalizowane są w tej zakładce to moŝliwość włączenia rejestrowania w dzienniku zdarzeń związanych zabezpieczeniami systemu oraz przycisk pozwalający na przywrócenie ustawień domyślnych. Rys. 1.2. Zapora Windows - ustawienia zaawansowane

1.1.2 Zapora w systemach Linux Program iptables jest odmianą zapory sieciowej stosowaną w systemach Linux. Pojawiła się ona w wersji 2.4 jądra systemu i zastępuje wcześniejsze rozwiązanie ipchains. Iptables łączy w sobie funkcje zapory sieciowej a takŝe routera zapewniającego odwzorowanie adresów IP i tworzenie sieci lokalnych (ang. NAT network address translation). Pozwala w ten sposób dodatkowo zwiększyć bezpieczeństwo sieci poprzez wyłączenie komputerów lokalnych z grupy adresów dostępnych z Internetu. Działanie programu opiera się o zdefiniowane tablice reguł filtrujących przechodzące przez system pakiety (rys. 6.3). Standardowe tablice to: filter, nat, mangle. Domyślną tablicą jest filter. Standardowo zawiera ona 3 łańcuchy: wejściowy (INPUT dotyczy pakietów przychodzących do systemu), wyjściowy (OUTPUT dotyczy pakietów generowanych przez system) oraz przejściowy (FORWARD dla pakietów routowanych w systemie). Rys. 1.3. Zapora systemu Linux - iptables (nieskonfigurowana) UŜytkownik moŝe stworzyć dowolne inne tablice. A takŝe dla kaŝdej z tablic utworzyć własne łańcuchy. Do kaŝdego z łańcuchów zdefiniowana jest domyślna cel dotyczący pakietów taki jak: blokowanie, przepuszczanie, odrzucanie i inne. Dodatkowo

kaŝdy z łańcuchów zawiera listę reguł. KaŜda z tych reguł zawiera kryteria dotyczące pakietu, a takŝe cel, do którego dany pakiet zostanie przekierowany jeśli je spełni (rys 6.4). Jeśli pakiet nie spełnia kryteriów, zostaje sprawdzona następna reguła łańcucha. W przypadku kiedy dany pakiet nie pasuje do Ŝadnej z reguł zostaje on przekierowany do domyślnego celu zdefiniowanego dla danego łańcucha. Kryteria które mogą być określone dla pakietu to miedzy innymi: adres źródłowy i docelowy pakietu, interfejs jakim dany pakiet jest transmitowany, protokół sieciowy pakietu, port do jakiego dany pakiet jest kierowany lub z jakiego pochodzi. Oprócz powyŝszych iptables zawiera teŝ szereg opcji formatujących. Zaliczamy do nich dodawanie, wstawianie, usuwanie reguł, czyszczenie tablic, przywracanie wartości domyślnych, czy wreszcie wyświetlanie zawartości tablic i filtrów programu. Omawiany systemowa zapora sieciowa ma bardzo szerokie zastosowanie i szereg innych funkcji nie przytoczonych w niniejszym rozdziale słuŝących do zarządzania pakietami. Szczegółowy opis wszystkich funkcji znajduje się w literaturze na temat systemu Linux lub w systemowej instrukcji uŝytkownika (man).

Rys. 1.4. Reguły skonfigurowanej zapory iptables Program moŝe być zarządzany i obsługiwany zarówno z poziomu konsoli (linii komend systemu) jak i przy uŝyciu dostępnych w systemie nakładek graficznych. Pozwala na budowę bardzo zaawansowanych i szczegółowych systemów zabezpieczeń systemu.

1.2 Programowe zapory sieciowe 1.2.1 Sygate Personal Firewall Pierwszą z omawianych zapór programowych będzie aplikacja Sygate Personal Firewall. Jest to program opracowany dla systemu operacyjnego Windows spełniający podobne funkcje jak zapora systemowa. Po uruchomieniu zapory system uczy się jak ma traktować poszczególne pakiety (rys 6.5). RozróŜnianie pakietów na poziomie standardowym odbywa się poprzez identyfikację aplikacji, która nawiązuje łączność z siecią. Przy pierwszej próbie nawiązania łączności system pyta czy dany ruch ma być blokowany czy przepuszczany. MoŜna wymusić na zaporze sieciowej automatyczne blokowanie lub przepuszczanie całego ruchu. Jednak jest to zalecane tylko w przypadku, kiedy zamierzamy szczegółowo skonfigurować zaporę.

Rys. 1.5. Konfiguracja dostępu do sieci aplikacji w programie Sygate Personal Firewall System menu programu nie jest zbyt złoŝony. WyróŜniamy tu następujące polecenia: File: zamknięcie okna ściany ogniowej lub wyłączenie go, Security: poziom bezpieczeństwa (blokowanie wszystkiego, bez blokowania lub standardowy),

View (sposób i zakres wyświetlania interfejsu), Help (system pomocy), Tools (zarządzanie regułami zabezpieczeń). NajwaŜniejszą częścią jest menu Tools. Z jego poziomu mamy moŝliwość zarządzania aplikacjami uruchomionymi na komputerze (rys 6.6), przeglądania i analizowania logów systemu zabezpieczeń, konfiguracji opcji ściany ogniowej a takŝe definiowanie zaawansowanych reguł bezpieczeństwa. Dodatkowo mamy tu moŝliwość przetestowania naszego systemu przez skaner znajdujący się na serwerze Sygate. Funkcja Aplikacje pozwala na przejrzenie aplikacji sieciowych aktualnie uruchomionych i zdefiniowanie czy dany program lub biblioteka mogą mieć dostęp do sieci. WyróŜniamy tutaj 3 poziomy dostępu: blokowanie (aplikacja zablokowana), zezwalanie (aplikacja ma dostęp do sieci), pytanie (program prosi o pozwolenie za kaŝdym razem kiedy chce się połączyć z siecią.

Rys. 1.6. Lista aplikacji z poziomem dostępy w firewalu Sygate Bardziej zaawansowane funkcje zapory sieciowej są dostępne z poziomu funkcji Advanced rules. MoŜna tu zdefiniować dostęp zarówno na poziomie komputerów adresów IP jak i protokołów sieciowych, a takŝe poszczególnych usług systemowych (portów). MoŜna tu takŝe określić zakres czasowy obowiązywania reguł (np. w nocy lub weekendy). Zaawansowane reguły są rozpatrywane w pierwszej kolejności są więc waŝniejsze niŝ proste ustawienia dla aplikacji.

Kolejną funkcją oferowaną przez Sygate Personal Firewal jest analiza logów. Program zapisuje do dzienników zdarzeń szereg informacji o nawiązywanych połączeniach próbach dostępu do niedozwolonych zasobów oraz ruchu sieciowym. Analiza tych logów niejednokrotnie pozwala na wykrycie z wyprzedzeniem luk w zabezpieczeniach systemu jak równieŝ rozwiązanie problemów wynikających z braku dostępu do sieci przez program, który tego wymaga. Ostatnią funkcją konfiguracyjną jest moŝliwość ustawienia wybranych parametrów samej zapory sieciowej. MoŜemy tu definiować, których interfejsów dotyczą reguły zapory, ustawiać powiadomienia e-mailowe o alarmach systemowych a takŝe konfigurować wielkość i miejsce gromadzenia raportów. Ponadto jest jeszcze moŝliwość zarządzania aktualizacjami zapory oraz włączenie dodatkowych narzędzi bezpieczeństwa (np. filtr NetBIOS lub identyfikowanie bibliotek DLL). 1.2.2 Zone Alarm Personal Firewall ZoneAlarm, to cieszący się duŝą popularnością bezpłatna zapora sieciowa - program zabezpieczający przed atakami hakerów, czy działaniami koni trojańskich i wirusów (rys 6.9). ZoneAlarm kontroluje dane przesyłane przez łącze, pozwala określić, które programy mogą korzystać z Internetu, a które nie i ostrzega, gdy program bez uprawnień próbuje połączyć się z Internetem. Program jest bezpłatny dla uŝytkowników prywatnych, jest programem bardzo prostym w uŝyciu, gdyŝ zaraz po instalacji uŝytkownik jest prowadzony przez wszystkie etapy konfiguracji krok po kroku. Podczas pracy zapora ZoneAlarm widoczna jest przez większość czasu tylko jako ikona w zasobniku systemowym. Tylko w przypadku wykrycia podejrzanej działalności uŝytkownik jest proszony o reakcję i zaakceptowanie lub teŝ zablokowanie potencjalnie niebezpiecznej aplikacji.

Funkcje i zalety tego programu: komputer domyślnie znajduje się w trybie Stealth co powoduje, Ŝe jest niewidoczny z Internetu, MailSafe zabezpiecza komputer przed szkodliwymi załącznikami do listów (pliki typu.vbs), InternetLock pozwalający na całkowite zablokowanie wysyłania i odbierania komunikatów z sieci - moŝna ustawić jego uruchamianie w momencie włączenia wygaszacza ekranu, próby włamania mogą być automatycznie wyświetlane lub zapisywane do pliku, moŝna blokować operacje określonego typu albo pojedyncze opcje, ustawianie stopnia bezpieczeństwa (niski, średni, wysoki). ustawienia dla sieci lokalnej i Internetu są rozdzielone, program automatycznie sprawdza, czy pojawiła się nowa wersja, moŝliwość wybrania, które programy mogą komunikować się z Internetem, Jeśli ktoś z Internetu spróbuje uzyskać dostęp do naszego komputera, pojawi się powiadomienie o zablokowaniu takiej próby (rys 6.7):

Rys. 1.7. Alarm o próbie dostępu z zewnątrz (ZoneAlarm) Ponadto przy pierwszym uruchomieniu programu, który próbuje łączyć się z siecią pokaŝe nam się okienko z ostrzeŝeniem (rys 6.8). Po przeczytaniu nazwy programu, numeru jego wersji oraz miejsca docelowego moŝemy zdecydować, czy chcemy pozwolić temu programowi na korzystanie z Internetu. MoŜemy teŝ nakazać zaporze sieciowej zapamiętanie ustawień odnośnie tego programu. Ustawienia będą pamiętane do momentu ich zmiany przez administratora lub zmiany wersji pliku programu.

Rys. 1.8. Konfiguracja dostępu aplikacji do sieci (ZoneAlarm) Warto zwrócić uwagę, Ŝe dzięki wykrywaniu prób połączenia z Internetem mamy całkowitą kontrolę nad tym, które programy korzystają z sieci. Jednak moŝe się zdarzyć, Ŝe jeden program oprócz legalnej transmisji danych przesyła jeszcze na przykład dane do producenta programu lub innej osoby (programy typu konie trojańskie). W takim przypadku, jeśli juŝ zgodzimy się na udostępnienie programowi Internetu, ZoneAlarm nas nie uchroni. Jeśli nie jesteśmy zadowoleni z naszych decyzji odnośnie udostępnienia Internetu poszczególnym programom, moŝemy zmienić odpowiednie opcje wybierając zakładkę "Programs". MoŜemy tu dokładnie określić, czy program moŝe łączyć się z siecią lokalną i Internetem oraz czy moŝe działać jako serwer. Opcja "Pass Lock" pozwala na komunikowanie się wybranych programów nawet przy zablokowanym dostępie do sieci. Wybierając zakładkę "Security" moŝemy wybrać poziom zabezpieczeń osobno dla zaufanej sieci lokalnej jak i dla Internetu ogólnie. Do dyspozycji są trzy poziomy zabezpieczeń: wysoki (ang. High), średni (ang. Medium) i niski (ang. Low). Oprócz tego moŝemy zablokować programy chcące działać jako lokalne lub internetowe serwery.

Zakładka "Alerts", pozwala przeglądać dotychczasowe ostrzeŝenia, zdecydować o tym, czy ostrzeŝenia mają być logowane do pliku oraz czy mają być wyświetlane na ekranie. Ciekawą informacją moŝe równieŝ być ilość nadanych i odebranych danych. Zakładka Internet Lock pozwala na ręczne zablokowanie aktywności internetowej poprzez kliknięcie kłódki (lub kombinacją klawiszy Ctrl+L). MoŜemy równieŝ skonfigurować automatyczne odcinanie Internetu po upływie określonego czasu lub po uruchomieniu się wygaszacza ekranu. W takim przypadku naleŝy jeszcze określić, czy honorowany będzie znacznik Pass Lock z zakładki "Programs". W razie wyŝszej konieczności moŝemy teŝ całkowicie odciąć wszelką transmisję z siecią wciskając przycisk Stop lub kombinację Ctrl+S. Ostatnią zakładką jest "Configure". Decydujemy tu między innymi, czy ZoneAlarm ma się uruchamiać wraz ze startem systemu. Osoby korzystające z sieci sporadycznie mogą uruchamiać ZoneAlarm ręcznie. Oprócz tego moŝna zaznaczyć, Ŝe chcemy być informowani o nowszych wersjach ZoneAlarm. Po zainstalowaniu moŝna w zasadzie wyłączyć powiadamianie o próbach włamania (rys 6.7) pozostawiając jedynie logowanie do pliku. Dzięki temu po zaznaczeniu, które programy mogą korzystać z Internetu praktycznie przestajemy zauwaŝać obecność ZoneAlarm w naszym systemie - po cichu zabezpiecza nasz komputer przed niepowołanym dostępem a nawet ukrywa obecność komputera w Internecie. Zainstalowanie ściany ogniowej uchroni nas przed lukami w zabezpieczeniach i wyciekaniem informacji z komputera. Niestety, im bardziej zabezpieczony mamy komputer, tym mniej wygodnie będzie się na nim pracowało. Dobra zapora sieciowa, poza tym, iŝ czyni nas niewidocznymi dla skanerów, monitoruje działanie aplikacji komunikujących się z siecią i określa dla kaŝdej z nich odpowiednie reguły.

Rys. 1.9. Widok okna głównego programu Zone Alarm

1.3 Programy skanujące 1.3.1 Nmap Pierwszym z programów którego będziemy uŝywać do badania jakości zabezpieczeń naszego systemu jest nmap. Jest to program wywodzący się z systemów unixowych zaadaptowany równieŝ do pracy w systemach operacyjnych Windows (rys 6.10). Nmap to rozbudowany skaner sieciowy. Wykorzystuje on skanowanie TCP SYN. Polega ono na wysyłaniu pakietów SYN na określone porty w celu nawiązania połączenia. Po otrzymaniu odpowiedzi (ale przed właściwym nawiązaniem połączenia) atakujący wysyła pakiet zawierający znacznik RST. Powoduje to zresetowanie połączenia. W wyniku tego hosty nigdy nie ustanawiają pełnego połączenia TCP i dlatego nie zostają ślady w plikach dziennika. W normalnych warunkach skanowanie tego typu nie powoduje odmowy obsługi. Jednak nmap przeprowadza to bardzo szybko, zalewając host pakietami zawierającymi znacznik RST.

Rys. 1.10. Przykładowy wynik działania programu skanującego porty - nmap Wniosek z tego jest taki, Ŝe przy pomocy urządzenia nmap uŝytkownik nie jest w stanie przeskanować swojego komputera, natomiast mamy moŝliwość skanowania komputerów dostępnych w sieci. Parametry wywołania programu nmap: -sf jest to skanowanie utajnione. Pozwala na skanowanie spoza zapory sieciowej. Skaner pozostaje niewykrywalny dla programów typu courtney czy syslogger. -ss skanowanie utajnione portów. -b wykorzystywana jest funkcja ataku skokowego. -n wyłączenie wyszukiwania DNS. -g skanowanie portu źródłowego.

-F skanowanie szybkie. -PI badanie ping przy uŝyciu protokołu ICMP. -p określamy przedział lub listę portów [10-1000] albo [25,110,1024]. -PO wyłącza badanie usługi ping. -e [interfeis] określa konkretny interfeis. -f wysyłane są niewielkie sfragmentowane pakiety. -i [plik] czyta adres IP z danego pliku. -I pobierane są informacje oferowane przez identd, jeśli są dostępne. -v dodatkowe informacje o portach. -su skanowanie portów UDP. -st skanowanie portów za pomocą funkcji TCP connect. -su skanowanie portów UDP. -PB wymusza jednoczesne skanowanie TCP i ICMP. -PT [port] badanie ping przy uŝyciu protokołu TCP. -T oczekiwanie pomiędzy skanowaniem portów Podczas skanowania programem nmap zostały wyświetlone wszystkie aktualnie dostępne porty, adres sprzętowy komputera uŝytkownika. Program nmap ma moŝliwość oczekiwania przez określony czas pomiędzy wysyłaniem pakietów. Do tego celu słuŝy parametr T. MoŜe on przyjmować 6 stanów: normal - wysyła kolejny pakiet zaraz po otrzymaniu odpowiedzi od serwera docelowego. sneaky - oczekuje 15 sekund przed wysłaniem kolejnego pakietu. polite - oczekuje 0.4 sekundy przed wysłaniem kolejnego pakietu paranoid - wysyła pakiety po upływie 5 minut.

aggressive, insane - argument przyspieszający sprawdzanie, tworzy w sieci olbrzymi ruch. Poprzez zmianę parametru T moŝna wpłynąć na wykrycie przez zaporę sieciową skanowania portów. Im dłuŝsze odstępy pomiędzy skanowanymi portami tym zapora sieciowa nie traktuje ich jako skanowanie wielu portów, a więc ich nie blokuje. MoŜna równieŝ zwiększyć szybkość skanowania. Program wtedy oczekuje mniejszą ilość czasu na to czy port odpowie na skanowanie. Poprzez zmianę parametrów moŝna bardziej dostosować skanowanie portów do tego jaki cel chcemy osiągnąć. MoŜna skanować wiele komputerów, ale tylko z jednym określonym portem bądź teŝ kilkoma portami. 1.3.2 LANguard Drugim programem wykorzystywanym podczas zajęć laboratoryjnych do testowania zabezpieczeń systemu jest LANguard Network Security Scanner (rys 6.11). Poza skanowaniem portów narzędzie LANguard umoŝliwia inne opcje przydatne przy ocenie bezpieczeństwa komputera. MoŜliwe jest, gdy komputer posiada włączone otoczenie sieciowe, ustalenie jaką nazwą się posługuje czy w jakiej grupie roboczej się znajduje. MoŜliwe jest równieŝ sprawdzenie adresu MAC karty sieciowej. LANguard dodatkowo umoŝliwia nastawienie przeszukiwania w konkretnym celu, dzięki wykorzystaniu gotowych schematów. MoŜliwe staje się dzięki temu zawęŝenie wyszukiwania na przykład do portów, które są najczęściej otwierają przez konie trojańskie czy usługi sieciowe, które nas interesują.

Rys. 1.11. Raport skanowania komputera przeprowadzonego przez program LANGuard Poprzez skanowanie komputera, na którym jest zainstalowany LANguard, moŝliwe staje się uzyskanie jeszcze bardziej szczegółowych wyników. Do rzeczy, które moŝliwe są do sprawdzenia moŝemy zaliczyć informacje: o statusie zainstalowanych uaktualnień systemu, bądź ich braku, dotyczące uŝytkowników, o udostępnionych zasobach, o zainstalowanych aplikacjach,

o urządzeniach sieciowych, o polityce haseł, o najwaŝniejszych wpisach dostępnych w rejestrze, o otwartych portach, o nazwach NETBios-owych, o grupach dostępnych na komputerze, o zalogowanych uŝytkownikach, o usługach, o uruchomionych procesach. Program nie tylko wypisuje je, ale takŝe zwraca uwagę na to, w jaki sposób mogą one stanowić zagroŝenie, czy teŝ informuje o innych nieprawidłowościach. Poprzez takie skanowania w szybki sposób moŝna sprawdzić wszelkie zagroŝenia które mogą powodować programy, usługi czy inne rzeczy zainstalowane na komputerze. 1.4 Laboratorium Cel ćwiczenia Celem ćwiczenia jest zapoznanie się z podstawowymi zasadami działania ścian ogniowych oraz sposobami ich konfiguracji.

Infrastruktura. Sieć lokalna w laboratorium. Dwa komputery na sekcję jeden zabezpieczany, drugi skanujący. 1.4.1 Kompetencje Po ukończeniu ćwiczenia studenci powinni posiadać wystarczającą wiedzę do zainstalowania programowej zapory sieciowej, jej konfiguracji, uruchomienia i przetestowania. A takŝe uzyskują podstawową wiedzę na temat sprawdzania zabezpieczeń systemów komputerowych. Zadania. 1. Zapoznać się z zaporą systemową systemu Windows XP SP2. 2. Instalacja narzędzi testujących (nmap, LANguard Network Security Scanner). 3. Instalacja aplikacji ściany ogniowej. 4. Konfiguracja zapory sieciowej. (dla zapory systemowej oraz programowej). a. Ustawić system zapory sieciowej w taki sposób, aby nie było moŝliwe połączenie z komputerem poprzez protokół telnet (w jaki sposób moŝna to zrobić?). b. Zablokować moŝliwość wysyłania odpowiedzi na ping (jakiego protokołu sieciowego uŝywa program ping). c. Zabezpieczyć komputer w taki sposób, aby nie moŝna było rozpoznać jaki system operacyjny jest na nim zainstalowany.

d. Ustawić moŝliwość uruchomienia zdalnego pulpitu na komputerze z zainstalowaną zaporą ogniową. e. UniemoŜliwić dostęp do komputera komputerom innych sekcji (dozwolone tylko adresy komputerów z jednej sekcji). 1. Wykonać kompleksowe skanowanie systemu przy uŝyciu narzędzi nmap, LANGuard (przeanalizować otrzymane raporty). Przeprowadzić testy dla róŝnych ustawień intensywności skanowania (parametr T w programie nmap). 2. Analiza logów. 1.5 Literatura [1] Liderman K.: Podręcznik administratora bezpieczeństwa teleinformatycznego, Warszawa MIKOM 2003 [2] Cheswick W.R., Bellowin S.M., Rubin A.D.: Firewalle i bezpieczeństwo w sieci, Vademecum profesjonalisty; tł. Arkadiusz Romanek ; Witold Zioło - Gliwice Helion, 2003 [3] Microsoft Security Response Center The Ten Immutable Laws of Security http://www.microsoft.com/technet/archive/community/columns/security/essays/10i mlaws.mspx

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres