Walidacja wybranych cech zapory sieciowej w środowisku internetowym



Podobne dokumenty
WALIDACJA WYBRANYCH CECH ZAPORY SIECIOWEJ W ŚRODOWISKU INTERNETOWYM

Zapory sieciowe i techniki filtrowania.

Zdalne logowanie do serwerów

MODEL WARSTWOWY PROTOKOŁY TCP/IP

Architektura oraz testowanie systemu DIADEM Firewall Piotr Piotrowski

Podstawy bezpieczeństwa

VLAN. VLAN (ang. Virtual Local Area Network) - sieć komputerowa wydzielona logicznie w ramach innej, większej sieci fizycznej

Sieci VPN SSL czy IPSec?

Systemy Firewall. Grzegorz Blinowski. "CC" - Open Computer Systems. Grzegorz.Blinowski@cc.com.pl

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

Firewall bez adresu IP

Oferta świadczenia pomocy prawnej dla Zdalny dostęp do dokumentów

4. Podstawowa konfiguracja

Laboratorium 3. Zaawansowana konfiguracja i zarządzanie zaporami sieciowymi D-Link NetDefend cz.3.

ZiMSK. VLAN, trunk, intervlan-routing 1

1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych.

Lab 2 ĆWICZENIE 2 - VLAN. Rodzaje sieci VLAN

BRINET Sp. z o. o.

11. Autoryzacja użytkowników

Zastosowania PKI dla wirtualnych sieci prywatnych

Zaawansowana konfiguracja przełącznika TP-Link TL-SG3224

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

PBS. Wykład Zabezpieczenie przełączników i dostępu do sieci LAN

Technologie sieciowe

LABORATORIUM - SINUS Firewall

Szczegółowy opis przedmiotu zamówienia:

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

PLAN KONSPEKT. do przeprowadzenia zajęć z przedmiotu. Wprowadzenie do projektowania sieci LAN

Adresy w sieciach komputerowych

Metody zabezpieczania transmisji w sieci Ethernet

Wdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej

MASKI SIECIOWE W IPv4

SPECYFIKACJA TECHNICZNA. LP. Parametry wymagane Parametry oferowane (pełny opis

Zadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation).

ZiMSK. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2012) 1

ASEM UBIQUITY PRZEGLĄD FUNKCJONALNOŚCI

ZADANIE.10 DHCP (Router, ASA) 1,5h

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

WLAN bezpieczne sieci radiowe 01

Warstwy i funkcje modelu ISO/OSI

System Kancelaris. Zdalny dostęp do danych

Księgarnia PWN: Mark McGregor Akademia sieci cisco. Semestr szósty

ZADANIE.10 Cisco.&.Juniper DHCP (Router, Firewall)

Nowy użytkownik Modyfikacja uprawnień Odebranie uprawnień w systemie informatycznym. Imię i nazwisko użytkownika:

Projekt i implementacja filtra dzeń Pocket PC

SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA

Translacja adresów - NAT (Network Address Translation)

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

INFORMACJA O TREŚCI ZAPYTAŃ DOTYCZĄCYCH SIWZ WRAZ Z WYJAŚNIENIAMI ZAMAWIAJĄCEGO

Switching czyli przełączanie. Sieci komputerowe Switching. Wstęp. Wstęp. Bridge HUB. Co to jest? Po co nam switching? Czym go zrealizować?

Zadanie OUTSIDE /24. dmz. outside security- level /24. inside security- level /16 VLAN

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

Zapory sieciowe i techniki filtrowania danych

Konfiguracja bezpiecznego tunelu IPSec VPN w oparciu o bramę ZyWall35 i klienta ZyXEL RSC (Remote Security Client).

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa

ZiMSK dr inż. Łukasz Sturgulewski, DHCP

SMB protokół udostępniania plików i drukarek

PBS. Wykład Filtrowanie pakietów 2. Translacja adresów 3. authentication-proxy

Konfigurowanie sieci VLAN

Którą normę stosuje się dla okablowania strukturalnego w sieciach komputerowych?

ZADANIE.07 Różne (tryb tekstowy i graficzny) 2h

Egzamin : zabezpieczanie systemu Windows Server 2016 / Timothy Warner, Craig Zacker. Warszawa, Spis treści

WYMAGANE PARAMETRY TECHNICZNE OFEROWANYCH URZĄDZEŃ ZABEZPIECZAJĄCYCH

Podziękowania... xv. Wstęp... xvii

Zabezpieczanie systemu Windows Server 2016

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

Przełączanie i Trasowanie w Sieciach Komputerowych

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

7. zainstalowane oprogramowanie zarządzane stacje robocze

Plan realizacji kursu

ZADANIE.05 Tworzenie sieci VLAN (VLAN, trunk, inter-vlan routing) 2,5h

Szkolenie autoryzowane. STORMSHIELD Network Security Administrator. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

SIECI KOMPUTEROWE Adresowanie IP

W routerach Vigor interfejs LAN jest wyeksponowany w postaci czterech równorzędnych portów Ethernet:

Zadania z sieci Rozwiązanie

Przesyłania danych przez protokół TCP/IP

INSTRUKCJA OBSŁUGI Program konfiguracji sieciowej Net configuration Drukarka A11

SIECI KOMPUTEROWE. Dariusz CHAŁADYNIAK Józef WACNIK

Plan wykładu. 1. Sieć komputerowa 2. Rodzaje sieci 3. Topologie sieci 4. Karta sieciowa 5. Protokoły używane w sieciach LAN 6.

Windows W celu dostępu do i konfiguracji firewall idź do Panelu sterowania -> System i zabezpieczenia -> Zapora systemu Windows.

Opis specjalności. Zajęcia obejmować będą również aspekty prawne dotyczące funkcjonowania sieci komputerowych i licencjonowania oprogramowania.

Dwa lub więcej komputerów połączonych ze sobą z określonymi zasadami komunikacji (protokołem komunikacyjnym).

Sieci komputerowe - opis przedmiotu

Stos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol)

Zdalne zarządzanie systemem RACS 5

Edge-Core Networks Przełączniki WebSmart: Podręcznik Administratora

Audytowane obszary IT

Szkolenie autoryzowane. STORMSHIELD Network Security Administrator. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

ZADANIE.07 Różne (tryb tekstowy i graficzny) 2h

OUTSIDE /24. dmz. outside /24. security- level 50. inside security- level /16 VLAN /

Audyt zasobów sprzętowych i systemowych (za pomocą dostępnych apletów Windows oraz narzędzi specjalnych)

Tworzenie połączeń VPN.

Kompleksowe zabezpieczenie współczesnej sieci. Adrian Dorobisz inżnier systemowy DAGMA

Zarządzanie infrastrukturą sieciową Modele funkcjonowania sieci

pasja-informatyki.pl

Przegląd protokołów komunikacyjnych automatyki przemysłowej w aspekcie bezpieczeństwa sieci OT. Suchy Las, maj 2017

Spis treści. Wstęp Rozdział 1. Zasady pracy z komputerem Rozdział 2. Budowa komputera... 20

PARAMETRY TECHNICZNE I FUNKCJONALNE

Transkrypt:

Mateusz KWAŚNIEWSKI Wydział Elektroniki i Telekomunikacji, Wojskowa Akademia Techniczna E-mail: kwasniewski.mk@gmail.com Walidacja wybranych cech zapory sieciowej w środowisku internetowym 1. Wstęp W dzisiejszych czasach bezpieczeństwo sieci teleinformatycznych ma niebagatelny wpływ na funkcjonowanie korporacji wykorzystujących systemy komputerowe w środowisku sieciowym IP. Coraz częściej przechowywane są w nich dane, do których nieautoryzowany dostęp miałby destrukcyjny wpływ na funkcjonowanie firmy. Stale rośnie zagrożenie różnego rodzaju oddziaływania destruktorów na posiadane zasoby (m.in. ataki DDoS). W związku z tym, konieczne stało się stosowanie mechanizmów i narzędzi utrzymania wymaganego poziomu bezpieczeństwa sieci teleinformatycznych. Podstawowym narzędziem bezpieczeństwa stojącym na granicy między siecią publiczną i prywatną jest Zapora Sieciowa. Jej naczelnym zadaniem jest kontrolowanie dostępu do zasobów sieci poprzez analizę ruchu IP. Aktualnie na rynku dostępne są dedykowane urządzenia pełniące funkcję Zapór Sieciowych określane jako sprzętowe Zapory Sieciowe. Alternatywą dla tych urządzeń stały się programowe rozwiązania Zapór Sieciowych, a w szczególności rozwiązania oparte o systemy klasy Unix i narzędzia open source owe pozwalające na projektowanie i skalowanie optymalnego wykorzystania posiadanego potencjału. Realizacja programowej Zapory Sieciowej wymaga wyboru platformy systemowej oraz narzędzia programowego. W przypadku sieciowych systemów operacyjnych najczęściej stosuje się rozwiązania Windows Serwer firmy Microsoft oraz systemy klasy Unix. Ze względu na fakt, iż występują między nimi ogromne różnice zarówno w architekturze systemu jak i w architekturze i poziomie bezpieczeństwa, należy rozważyć te kwestie przed wyborem odpowiedniego systemu operacyjnego jako platformy do budowy programowej Zapory Sieciowej. 2. Analiza bezpieczeństwa współczesnych systemów operacyjnych Kluczowym elementem procesu budowania systemu komputerowego jest wybór systemów operacyjnych dla sieciowych stacji roboczych. Ze względu na fakt, iż bezpieczeństwo systemu operacyjnego stanowi fundament ochrony informacji przechowywanych na sieciowych stacjach roboczych, należy dokonać wyboru systemu o wysokim pozimie bezpieczeństwa.

128 Mateusz Kwaśniewski Istotnym komponentem każdej sieci teleinformatycznej są serwery usług. W przypadku rozwiązań serwerowych, najczęściej wykorzystywane są systemy operacyjne Windows Server firmy Microsoft oraz systemy klasy Unix. Poziomy te określają różne sposoby zabezpieczania sprzętu, oprogramowania i danych. Klasyfikacja ma charakter dziedziczenia, co oznacza, iż wyższe poziomy posiadają wszystkie cechy poziomów niższych. Poziomy bezpieczeństwa zostały sklasyfikowane następująco [RFC-1][WCP-1]: Poziom D jest to poziom, który oznacza brak jakichkolwiek zabezpieczeń systemu operacyjnego i określa jego całkowity brak wiarygodności. Jedynym sposobem zapewnienia jego bezpieczeństwa jest fizyczne ograniczenie dostępu. Poziom C1 to najniższy poziom bezpieczeństwa, gdzie system operacyjny posiada mechanizm autoryzacji dostępu. Każdy użytkownik, przed rozpoczęciem korzystania z zasobów systemu musi zalogować się podając identyfikator oraz hasło. Poziom C2 poziom ten gwarantuje automatyczne rejestrowanie wszystkich istotnych z punktu widzenia bezpieczeństwa zdarzeń. Poziom zapewnia silniejszą ochronę kluczowych danych systemowych takich jak np. baza danych haseł użytkowych, gdzie informacja o identyfikatorach użytkowników i hasłach są dostępne wyłącznie dla systemu operacyjnego. Poziom B1 wprowadza etykiety poziomu bezpieczeństwa pozwalające na stopniowanie poziomu poufności obiektów i poziomu zaufania do poszczególnych użytkowników. Ma wdrożone mechanizmy uznaniowej kontroli dostępu do zasobów systemu, co może np. sprowadzić się do braku możliwości zmiany charakterystyki dostępu do plików i kartotek przez określonego użytkownika. Poziom ten blokuje możliwość zmiany praw dostępu do obiektu dla jego właściciela. Poziom B2 poziom wymaga przypisania każdemu obiektowi systemu komputerowego etykiety bezpieczeństwa określającej status tego obiektu w odniesieniu do przyjętej polityki bezpieczeństwa np. gdy obiekt "użytkownik" żąda dostępu do obiektu np. pliku, system ochrony akceptuje lub odrzuca to żądanie na podstawie porównania zawartości etykiet bezpieczeństwa tych obiektów. Etykiety te ulegają dynamicznej zmianie. Dodatkowo należy zapewnić ochronę systemu przed penetracją; Poziom B3 jest rozszerzeniem problemu bezpieczeństwa na sprzęt komputerowy. W tym przypadku bezwzględnie obowiązkowym jest chronienie zarówno przechowywanej jak i przesyłanej informacji. Przykład: terminale połączone z serwerem tylko za pośrednictwem wiarygodnego okablowania i specjalizowanego sprzętu gwarantującego, że nikt nie będzie w stanie "podsłuchać" klawiatury; Poziom A1 jest to najwyższy poziom bezpieczeństwa. Cała konfiguracja sprzętowo-programowa wymaga matematycznej weryfikacji. W związku z tym pojawia się problem zwiększonego obciążenia systemu, z powodu dużych wymagań mechanizmów bezpieczeństwa. Uzyskały go jedynie pewne komponenty sieciowe np. SCC Secure Network Server lub Gemini Trusted Network Processor. Świadectwem przynależności systemu operacyjnego do danego poziomu jest uzyskanie certyfikatu bezpieczeństwa Common Criteria w ramach systemu certyfikacji Common

Walidacja cech zapory sieciowej w środowisku sieciocentrycznym 129 Criteria Evaluation Assurance Level (EAL). Dla każdego z poziomów został określony certyfikat EAL. W systemach Linux widoczna jest duża podatność na liczne ataki. Ponadto, większość narzędzi wykorzystywanych przez włamywaczy dostępna jest pod systemy Unix. Jednak niektóre z cech, takie jak dostępność kodu źródłowego, czy też dobre środowisko wymiany, y, stanowią o wielkiej elastyczności systemów i mogą być wykorzystane również do ich wzmocnienia w celu zapewnienia bezpieczeństwa pracy. Systemy Unix, Linux i inne udostępniają wydajne środowisko programistyczne. Liczne kompilatory i biblioteki systemowe wykorzystywane do kompilacji jądra są dostępne na zasadzie otwartej licencji, co umożliwia włamywaczowi przygotowanie oprogramowania ingerującego w jądro systemu, czy też narzędzia do przeprowadzenia ataku na system. Zagadnienie bezpieczeństwa systemów klasy Unix można sprowadzić do opisu uwierzytelnienie użytkowników i kontrola dostępu do zasobów jako dwóch podstawowych funkcji bezpieczeństwa. 3. Sieciowe mechanizmy bezpieczeństwa Coraz częściej sieci teleinformatyczne wspomagają przedsiębiorstwa w realizacji ich zadań statutowych. Przesyłane w nich informacje bardzo często wymagają zachowania wysokiego poziomu poufności tak, aby uniemożliwić nieupoważnionym użytkownikom do nich dostęp. W związku z tym powstały liczne sieciowe mechanizmy bezpieczeńmożna sklasyfikować jako: mechanizmy transmisji danych oraz dostępu do sieci. Ze względu na fakt, iż spektrum sieciowych mechanizmów bezpieczeństwa jest bardzo szerokie, dokonano przeglądu mechanizmów istotnych z punktu widzenia ruchu obsługiwanego przez Zapory stwa, które Sieciowe. Rys. 1. Model OSI oraz zasięg jednostki informacji w określonych urządzeniach sieciowych [7] Fig. 1. Model OSI and range of units of information in certain network devices [7]

130 Mateusz Kwaśniewski W celu sformalizowania przepływu informacji pomiędzy urządzeniami w sieciach komputerowych opracowano siedmio warstwowy model odniesienia tzw. model OSI (ang. Open Systems Interconnection) w którym zdefiniowano funkcje sieciowe z wykorzystaniem określonych protokołów. Rysunek 1 przedstawia warstwy modelu OSI oraz zasięg informacji w określonych urządzeniach sieciowych. W każdej z warstw dostępne są mechanizmy pozwalające na zapewnienie bezpieczeństwa realizowanych w nich funkcji sieciowych. Ze względów praktycznych warstwy modelu OSI dzielimy na warstwy niższe realizujące funkcje transportowe, implementowane programowo lub z wykorzystaniem dedykowanych urządzeń sieciowych oraz wyższe związane z aplikacjami - są realizowane programowo. Aktualnie na rynku dostępne są Zapory Ogniowe występujące w postaci aplikacji użytkowych mających na celu ochronę pojedynczej stacji roboczej oraz Zapory Sieciowe. W nomenklaturze sieci teleinformatycznych, Zapora Sieciowa jest narzędziem mającym za zadanie ochronę systemu komputerowego przed przesyłaniem nieautoryzowanych danych z jednej sieci do drugiej co przedstawia rysunek 2. Charakteryzuje się ona następującymi właściwościami: całkowity ruch w sieci musi przechodzić przez Zaporę Sieciową, przez Zaporę Sieciową przepuszczany jest jedynie ruch określony na podstawie lokalnie zdefiniowanej strategii bezpieczeństwa, Zapora Sieciowa jest odporna na penetrację. Rys. 2. Zapora Sieciowa jako element sieci teleinformatycznej Fig. 2. Firewall as part of a data communications network Zapory Sieciowe działają przede wszystkim w warstwie sieciowej i transportowej modelu OSI, jednak współczesne rozwiązania scalają różne mechanizmy bezpieczeństwa na przekroju wszystkich warstw modelu OSI. Najważniejsze funkcje oferowane przez współczesne Zapory Sieciowe to [1]: filtrowanie adresów i portów, filtrowanie zawartości, trasowanie pakietów, ochrona adresów IP i przesyłanie komunikacji dalej, oddzielenie, ochrona przed atakami, skanowaniem komputerów, uwierzytelnianie i szyfrowanie, rejestrowanie komunikacji w dziennikach.

Walidacja cech zapory sieciowej w środowisku sieciocentrycznym 131 Zapewnienie bezpieczeństwa jest ważne na poziomie każdej warstwy modelu OSI. Jednak, ze względu na istotność warstwy sieciowej, w której odbywa się zasadniczy proces przesyłania danych między urządzeniami, sieciowe mechanizmy bezpieczeństwa podzielono na: mechanizmy warstwy sieciowej, mechanizmy warstw pozostałych 4. Koncepcja zapory bezpieczeństwa Realizacja programowej Zapory Sieciowej wymaga wyboru platformy systemowej oraz narzędzia programowego. Niniejsza koncepcja bazuje na systemie klasy Unix - Linux PLD z jądrem 2.6 ze względu na jego wysoki poziom bezpieczeństwa, niewielkie wymagania sprzętowe oraz posiadanie dużej liczby narzędzi programowych umożliwiających zbudowanie funkcjonalnej i efektywnej Zapory Sieciowej. Ponadto, wykorzystano jedną z architektur zapór opisanych w rozdziale 3, a także połączono funkcjonalność filtra pakietów z pośredniczącym serwerem Proxy. Koncepcja Zapory Sieciowej oparta jest na sieci IP wersji 4. Architektura Screened Subnet pozwala na wydzielenie segmentu sieci (strefy zdemilitaryzowanej), w której zostały osadzone serwery usług. Segment taki stanowi dodatkową fizyczną warstwę zabezpieczeń systemu komputerowego, poprzez odizolowanie sieci prywatnej od sieci publicznej. Ogólną architekturę projektowanej Zapory Sieciowej przedstawia rysunek 3. VLAN 20 Strefa DMZ FTP WWW VLAN 10 Trunking 802.1q Trunking 802.1q Sieć prywatna Sieć publiczna Router dostępowy (zewnętrzny filtr) Router wewnętrzny (wewnętrzny filtr) VLAN 30 SMTP/POP3 Rys. 3. Ogólna architektura Zapory Sieciowej Fig. 3. General architecture of Firewall Zasadniczą częścią architektury są routery (filtry), które kontrolują dostęp do zasobów danej sieci. W niniejszej koncepcji wyróżniono: router dostępowy (zewnętrzny filtr pakietów) umieszczony na granicy między siecią publiczną a strefą DMZ oraz router wewnętrzny (wewnętrzny filtr pakietów) zlokalizowany pomiędzy strefą DMZ a siecią prywatną. DNS

132 Mateusz Kwaśniewski Urządzenia te pełnią następujące funkcje: router dostępowy: - filtrowanie pakietów z analizą stanu połączeń; - kontrola dostępu użytkowników sieci publicznej do zasobów strefy DMZ; - obrona sieci wewnętrznej przed atakami (ataki DoS, skanowanie portów); - translacja adresów i portów z wykorzystaniem mechanizmu NAT i PAT; - pełnienie funkcji bramy SSL VPN. router wewnętrzny: - filtrowanie pakietów z analizą stanu połączeń; - kontrola dostępu użytkowników sieci prywatnej do zasobów strefy DMZ i sieci publicznej na podstawie adresów MAC; - pełnienie funkcji pośredniczącego serwera Proxy dla usługi WWW. Budowę strefy DMZ oparto o zarządzany przełącznik umożliwiający przydzielanie poszczególnych jego portów do konkretnych sieci VLAN. Ze względu na fakt, iż zarówno router dostępowy jak i router wewnętrzny wymagają dostępu do różnych sieci VLAN w strefie DMZ, przyłączono je do przełącznika poprzez port trunkingowy (ang. trunking port) wykorzystujący standard enkapsulacji 802.1q. Enkapsulacja 802.1q polega na określaniu przynależności ramek typu Ethernet do określonych sieci VLAN tzw. tagowaniu. W tym celu, do każdej ramki dodawane jest dwubajtowe pole TCI (ang. Tag Control Information) zawierające pole VID (ang. VLAN ID) i określające, do której sieci VLAN należy dana ramka. Aby umożliwić komunikację routerów Zapory Sieciowej z poszczególnymi sieciami VLAN konieczne jest utworzenie logicznych podinterfejsów (ang. subinterfaces) należących do określonych sieci VLAN na pojedynczym, fizycznym interfejsie sieciowym. Ponadto, komunikacja pomiędzy sieciami VLAN może odbywać się jedynie poprzez router obsługujący standard 802.1q. Rozwiązanie strefy DMZ w oparciu o sieci VLAN posiada wiele zalet. Najważniejsze z nich to: możliwość tworzenia wielu podsieci z wykorzystaniem pojedynczego przełącznika, możliwość separacji stacji w strefie DMZ, możliwość kontroli dostępu i filtracji ruchu do poszczególnych sieci VLAN, gdyż całkowity ruch przechodzi przez router, kontrolowanie ruchu pomiędzy poszczególnymi sieciami VLAN, wysoka skalowalność strefy DMZ. W ramach niniejszej koncepcji Zapory Sieciowej, strefę DMZ oparto na trzech sieciach VLAN. Pierwszą sieć VLAN (VLAN 10) wykorzystano do przesyłania ruchu pomiędzy routerami Zapory Sieciowej, dzięki czemu zapewniono komunikację użytkowników sieci chronionej z siecią publiczną. Do drugiej sieci (VLAN 20) przyłączono serwery usług WWW oraz FTP, do których jest wymagany dostęp dla użytkowników sieci publicznej. W trzeciej sieci VLAN (VLAN 30) zlokalizowano serwery usług, które wymagają zapewnienia komunikacji z siecią publiczną na określonych portach. Są nimi: serwer pocztowy SMTP/POP3, do którego dostęp posiadają również autoryzowani

Walidacja cech zapory sieciowej w środowisku sieciocentrycznym 133 użytkownicy zdalni oraz lokalny serwer DNS. Ponadto, dostęp do tych sieci posiadają użytkownicy sieci prywatnej. Rys. 4. Architektura sieci testowej Fig. 4. Architecture of testing network Jako przełącznik w strefie DMZ wykorzystano urządzenie Cisco 1812. Dzięki jego funkcjonalności możliwe jest przywiązanie interfejsów FastEthernet (posiada 8 interfejsów FastEthernet switch) do konkretnych sieci VLAN. Dwa porty VLAN wykorzystano jako porty trunking owe, do których przyłączono routery Zapory Sieciowej (Port Fa 2 i Fa 3). Do portu Fa 6 i 7 przywiązano VLAN 20 a do portu Fa 8 i 9 VLAN 30. Ze względu na fakt, iż użytkownicy sieci prywatnej wymagają dostępu do sieci publicznej, należało w routerach dostępowym i wewnętrznym ustalić trasę domyślnej bramy (ang. default gateway). Trasę taką skonfigurowano również w serwerach usług, do których jest wymagany dostęp z sieci publicznej. Ponadto, w routerze dostępowym i serwerach usług ustawiono trasę do sieci prywatnej (192.168.100.0/24). Koncepcja Zapory Sieciowej pozwala realizować połączenia VPN z sieci publicznej do strefy DMZ w celu zapewnienia bezpiecznego dostępu do jej zasobów. Funkcję bramy VPN pełni router dostępowy zapewniając komunikację VPN typu client-to-site z wykorzystaniem tuneli SSL VPN. Rozwiązanie to zostało wprowadzone w celu umożliwienia prowadzenia na odległość działań administracyjnych, a także umożliwienia użytkownikom zdalnym dostępu do serwerów WWW, FTP oraz SMTP/POP3. W związku z tym, zdefiniowano dwie grupy dostępowe: grupa administratorów oraz grupa użytkowników zdalnych. Dla każdej z grup wydzielono tunel SSL VPN, na podstawie którego definiowany jest dostęp do określonych usług. Każdy z użytkowników nawiązujący połączenie przez tunel SSL/VPN musi zostać uwierzytelniony przez bramę VPN. Brama VPN nasłuchuje połączeń na oddzielnych portach dla każdego z tuneli. W koncepcji Zapory wykorzystano oprogramowanie OpenVPN, które udostępnia dwie metody uwierzytelniania użytkowników i szyfrowania komunikacji: mechanizm współdzielonego klucza (ang. pre-shared key) z wykorzystaniem certyfikatów cyfrowych SSL X.

134 Mateusz Kwaśniewski Administrator (171.16.31.100) 192.168.20.0/24 VLAN 20 Strefa DMZ UDP 17003 Tunel SSL/VPN Tunel SSL/VPN UDP 17004 Sieć publiczna Brama SSL/VPN VLAN 10 192.168.10.0/24 192.168.50.10 192.168.60.10 Router wewnętrzny (wewnętrzny filtr) Sieć prywatna 192.168.100.0/24 Użytkownik Zdalny (171.16.31.200) 192.168.30.0/24 VLAN 30 Rys. 5. Realizacja połączeń SSL VPN w sieci testowej Fig. 5. Implementation of SSL VPN in testing network Badanie efektywności Zapory Sieciowej Testowanie efektywności Zapory Sieciowej sprowadzono do dwóch zasadniczych części. W pierwszej części zbadano bezpieczeństwo Zapory Sieciowej testując jej odporność na próby skanowania portów oraz najczęściej wykorzystywane ataki odmowy usługi ICMP Flood oraz SYN Flood, stanowiące podstawę rozproszonych ataków DDoS. Druga część badania ma na celu pokazanie wpływu Zapory Sieciowej na czas i opóźnienie realizacji transakcji dla ruchu HTTP w zależności od poziomu bezpieczeństwa i natężenia ruchu generowanego przez użytkowników sieci wewnętrznej.w celu przeprowadzenia badań odporności sieci na wybrane ataki zestawiono stanowisko jak na rysunku 5. Rys. 6. Schemat sieci do testowania odporności na wybrane ataki Fig. 6. Network diagram for testing the hardness of selected attacks Testy zrealizowano wykorzystując następujące aplikacje: Wireshark v.1.0.0 analizator ruchu oraz protokołów sieciowych,

Walidacja cech zapory sieciowej w środowisku sieciocentrycznym 135 Nmap v.6.31 narzędzie open source do eksploracji sieci i audytów bezpieczeństwa, Hping2 generator pakietów ICMP/UDP/TCP z możliwością dowolnej modyfikacji nagłówka pakietów IP, Rys. 7. Schemat stanowiska do przeprowadzenia testów wydajnościowych Fig. 7. Scheme network to analyzing performance test Pomiary wydajnościowe usługi WWW zrealizowano dla trzech poziomów bezpieczeństwa Zapory Sieciowej. Badania przeprowadzono zgodnie z rysunkiem 7. Literatura 1. Shimorski J. R., Shinder Littlejohn D., Shinder w. Thomas Wielka Księga Firewalli, HELION, Warszawa 2004 2. Kirch O., Dawson T. Linux podręcznik administratora sieci, Wydawnictwo RM, Warszawa 2000 3. Benjamin H., CCIE 4695 CCIE Security, Wydawnictwo MIKOM, Warszawa 2004 4. Kopyt P., Kułakowski M., Niemiec K. Firewall praca zaliczeniowa z przedmiotu Administracja systemem komputerowym, Akademia Górniczo-Hutnicza w Krakowie, 2002 5. Elizabeth D. Zwicky, Simon Cooper & D. Brent Chapman Building Internet Fire-walls 2nd Edition, 2000 6. M. G. Gouda, Xiang-Yang A. Liu Firewall Design: Consistency, Completeness and Compactness, IEEE 2004 7. Praca zbiorowa Vademecum Teleinformatyka, cz.1, Wydawnictwo IDG, 1999 8. Praca zbiorowa Vademecum Teleinformatyka, cz.3, Wydawnictwo IDG, 1999 9. MalewskI K. Analiza skuteczności ataków DDoS na najpopularniejsze współczesne systemy operacyjne praca dyplomowa, 2005 10. Białas A. Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie, WNT 2007

136 Mateusz Kwaśniewski Streszczenie Praca obejmuje: opracowanie koncepcji Zapory Sieciowej z wykorzystaniem platformy PLD-Linux oraz dostępnych narzędzi, implementacja wybranych mechanizmów bezpieczeństwa oraz zbadanie efektywności opracowanej Zapory Sieciowej. Przedstawiono również szczegółową konfigurację sieci testowej, elementów Zapory Sieciowej, a także przetestowano Zaporę pod względem odporności na ataki typu skanowanie portów, ICMP Flood, SYN Flood oraz określono wpływ przetwarzania reguł Zapory Sieciowej na czas realizacji transakcji HTTP dla ruchu WWW dokonując stosownych pomiarów. Validation of selected features of firewall in the online enviroment Summary The work includes: developing concepts Firewall using PLD-Linux platform and tools, implementation of selected security mechanisms developed and to examin the effectiveness of the firewall. It also presents a detailed configuration of the test networkelements Firewall and Firewall has been tested for resistance to such attacks, port scanning, ICMP Flood, SYN Flood, and the influence of the processing of firewall rules onthe execution times for HTTP web traffic by making appropriate measurements.

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres