Bezpieczeństwo systemów komputerowych Laboratorium 1
Firewall
Firewall Służy do odseparowania sieci wewnętrznej od zewnętrznej Wykorzystuje reguły do identyfikowania i filtrowania ruchu Może filtrować zarówno ruch przychodzący jak i wychodzący Ruch niespełniający reguł bezpieczeństwa jest blokowany
Firewall
Watchguard Firewire XTM WatchGuard System Manager (WSM) Fireware XTM Web UI Fireware XTM Command Line Interface (CLI) WatchGuard Server Center
Watchguard Firewire XTM
Firebox T30
Firebox T30 szczegóły techniczne Pamięć operacyjna: DDR3 1GB Pamięć: SD 8GB Interfejs: 5x 1000Base-TX, RJ45 We/Wy: 2xUSB 2.0, 1xRJ45
Firebox T30 panel przedni Fail over świeci na stałe w momencie zadziałania mechanizmu failover tzn. gdy wykorzystywane jest łącze zapasowe do sieci WAN Kontrolki interfejsów 5 kontrolek (0 4), kolor żółty oznacza prędkość łącza 1000Mb/s, żółta migająca oznacza transmisję danych, kolor zielony oznacza prędkość łącza 100Mb/s, zielona migająca oznacza transmisję danych. Szybkość migania związana jest z ilością przesyłanych danych
Firebox T30 panel przedni Status kontrolka świeci na czerwono gdy administrator połączy się z urządzeniem, świeci na stałe na zielono gdy nawiązane zostanie połączenie przez Web UI lub WSM Mode sygnalizacja połączenia z siecią WAN, gdy połączenie zostało nawiązane i możliwa jest transmisja to kontrolka świeci na stałe na zielono, miga na zielono gdy połączenie nie może być nawiązane
Firebox T30 panel przedni Attn świeci na żółto gdy urządzenie zostanie uruchomione z wciśniętym przyciskiem reset Power świeci na zielono gdy urządzenie zostanie uruchomione
Firebox T30 panel tylny Interfejsy sieciowe: 0 WAN, 1-4 LAN USB możliwość podłączenia zewnętrznej pamięci do wykonania kopii zapasowej Console połączenie za pośrednictwem interfejsu linii komend Włącznik Złącze zasilania Przycisk reset
Firebox T30 ustawienia fabryczne Procedurę należy wykonać tylko gdy nie ma możliwości nawiązania połączenia z urządzeniem Procedura jest czasochłonna 1. Wyłącz urządzenie 2. Naciśnij i przytrzymaj przycisk Reset 3. Trzymając przycisk Reset włącz urządzenie 4. Trzymaj przycisk Reset tak długo aż kontrolka Attn zacznie mrugać. Puść przycisk Reset, nie wyłączaj urządzenia 5. Zaczekaj aż kontrolka Attn zacznie świecić na stałe (75 sekund lub więcej) 6. Wyłącz urządzenie 7. Włącz urządzenie ponownie
Firebox T30 podstawowa konfiguracja
Firebox T30 podstawowa konfiguracja 1. Po uruchomieniu sprawdź czy komputer uzyskał adres IP z puli 10.0.1.0/24 jeśli nie to wykonaj polecenie ipconfig /release i ipconfig /renew 2. Uruchom przeglądarkę internetową (Chrome) i wpisz adres https://10.0.1.1:8080 3. Zignoruj ostrzeżenie dotyczące błędnego certyfikatu
Firebox T30 podstawowa konfiguracja 4. Zaloguj się na konto administratora (login: admin, hasło: readwrite) 5. Przeprowadź podstawową konfigurację
Laboratorium zasady/wskazówki Na każdych zajęciach należy mieć plik z podstawową konfiguracją urządzenia Na początku zajęć należy wziąć jedno urządzenie Na zajęciach należy siedzieć zawsze przy tym samym stanowisku i należy brać zawsze to samo urządzenie (numer seryjny) Należy odpiąć kabel sieciowy od gniazdka i podłączyć do portu 1 urządzenia Drugi kabel należy podłączyć do portu 0 urządzenia i do gniazdka
Laboratorium konfiguracja External addres dostęp do sieci WAN, adres statyczny 192.168.112.NR_STANOWISKA/24 Brama domyślna 192.168.112.254 Internal address sieć LAN, DHCP 192.168.NR_STANOWISKA.1/24 Hasło read-only: aaaaaaaa Hasło read-write: bbbbbbbb DNS 149.156.132.100 i 8.8.8.8
FireboxV wirtualny firewall
FireboxV
FireboxV
FireboxV
FireboxV
Przydatne linki https://www.watchguard.com/help/docs/quick_s tart_guides/qsg_firebox_t30_t50.pdf https://www.watchguard.com/help/docs/hardwa re%20guides/firebox_t30_t50_hardware_guide.pdf http://www.watchguard.com/help/docs/wsm/xt M_11/en-US/v11_9_WSM_User_Guide_(en- US).pdf http://www.watchguard.com/help/docs/webui/x TM_11/en-US/v11_9_Web_UI_User_Guide_(en- US).pdf
BSK lab 2 Laboratorium 2 Quick Setup Wizard, zapoznanie z WSM i FSM (rozdziały 4, 5 i 24 WSM user guide) Zadanie 1. Przeprowadź konfigurację przy użyciu Quick Setup Wizard. (1 pkt.) Zadanie 2. Skonfiguruj serwery NTP i strefę czasową. (1 pkt.) Zadanie 3. Uruchom FSM, sprawdź obciążenie poszczególnych łącz. Sprawdź logi jakie alarmy widzisz? (1 pkt.) Zadanie 4. Zapisz konfigurację urządzenia. (1 pkt.) Page 1
BSK lab 3 Laboratorium 3 Tworzenie polityk, logi (rozdziały 15 i 23) Zadanie 1. Zablokuj wszystkim użytkownikom dostęp do szyfrowanych stron internetowych. Sprawdź działanie stworzonej reguły. (1 pkt.) Zadanie 2. Zablokuj wszystkim użytkownikom dostęp do FTP w trakcie trwania laboratorium. Sprawdź działanie stworzonej reguły. (1 pkt.) Zadanie 3. Zablokuj użytkownikowi 192.168.NR_KOMPUTERA.4 możliwość wysyłania pakietów ICMP typu 8 do sieci zewnętrznej. W przypadku wysłania pakietu powinien zostać zwrócony komunikat ICMP protocol unreachable. Sprawdź działanie stworzonej reguły. (2 pkt.) Zadanie 4. Włącz zapisywanie logów dla którejś z powyższych reguł. Sprawdź działanie. (1 pkt.) Page 1
BSK lab 4 Laboratorium 4 Tworzenie polityk proxy (rozdział 16) Zadanie 1. Usuń wszystkie niepotrzebne polityki. (1 pkt.) Zadanie 2. Utwórz polityki dzięki którym możliwym będzie przeglądanie stron WWW. (1 pkt.) Zadanie 3. Zablokuj możliwość pobierania plików pdf. (1 pkt.) Zadanie 4. Zablokuj możliwość oglądania plików flash. (1 pkt.) Zadanie 5. Zablokuj możliwość wchodzenia na stronę pk.edu.pl. (1 pkt.) Zadanie 6. Zablokuj odwrotne zapytania DNS. (2 pkt.) Page 1
BSK lab 5 Laboratorium 5 Serwer zarządzania, serwer raportów, serwer kwarantanny, serwer WebBlocker (rozdziały 19, 20, 23, 33, 41) Zadanie 1. Dodaj swój firewall do serwera zarządzania. Czym różni się zarządzanie przez serwer manager? (1 pkt.) Zadanie 2. Połącz się z serwerem raportów (Report Manager) i wygeneruj raporty. (1 pkt.) Zadanie 3. Skonfiguruj spamblocker dla POP3, antywirus dla POP3, HTTP i FTP. Następnie włącz Intrusion Prevention i sprawdź działanie wprowadzonej konfiguracji. (1 pkt.) Zadanie 4. Wraz z osobą siedzącą obok zezwól na dostęp zdalny do swojego urządzenia. Przetestuj działanie. Następnie dodaj urządzenie kolegi/koleżanki do swojego serwera zarządzania. (2 pkt.) Page 1
BSK lab 6 Laboratorium 6 Autentykacja użytkowników (rozdział 14) Zadanie 1. Utwórz użytkownika USER1 i USER2 należących do grupy BSK_USER. Użytkownik USER1 powinien mieć dostęp do strony onet.pl. USER2 ma dostęp do wszystkich stron WWW. Proszę zdefiniować domyślne przekierowanie (po poprawnej autoryzacji) na stronę pk.edu.pl. (2 pkt.) Zadanie 2. Dla poprzedniego zadania proszę zabronić wielokrotnego logowania. Czym różnią się poszczególne opcje? (1 pkt.) Zadanie 3. Zmień czas wygaśnięcia. Dobierz czas tak aby możliwym było przetestowanie działania. (1 pkt.) Zadanie 4. Wraz z osobą obok stwórzcie takie reguły aby możliwym było zdalne zarządzanie waszymi firewallami (kolega/koleżanka może zarządzać twoim firewalla a ty jego/jej) za pośrednictwem Web UI przez zalogowanego użytkownika ADMIN_NRSTANOWISKA. (2 pkt.) Page 1
BSK lab 7 Laboratorium 7 - MOVPN z PPTP (rozdzia³ 29) Zadanie 1: (2 pkt.) a) Utworzyæ w Policy Manager tunel mobilny typu PPTP ustawiaj±c przydzia³ adresów od 192.168.112.xx0 do 192.168.112.xx9 gdzie xx to nr stanowiska + 2. Czyli dla stanowiska nr 1 bêdzie to od.30 do.39 a dla stanowiska 20 bêdzie to od.220 do.229. b) Utworzyæ konto u ytkownika "kolega" nadaj±c mu has³o aaaaaaaa (8*'a') i dodaæ go do grupy dla u ytkowników VPN. Zadanie 2: Proszê skonfigurowaæ firewall tak, eby u ytkownicy VPN mogli pingowaæ router i komputery w F-112 oraz wchodziæ na strony WWW. (1 pkt.) Zadanie 3: Pod Windows 7 skonfigurowaæ po³±czenie VPN do routera kolegi/kole anki i nawi±zaæ po³±czenie u ywaj±c loginu i has³a kolega/aaaaaaaa oraz metody uwierzytelniania CHAP. (1 pkt.) Zadanie 4: Udowodnij, e po³±czenie ze stron± wp.pl odbywa siê za po rednictwem zestawionego po³±czenia VPN (tracert). (1 pkt.) Page 1
BSK lab 8 Laboratorium 8 - MOVPN z IPSec (rozdzia³ 30) Zadanie 1. Utwórz tunel mobilny IPSec. Przydziel adresy z nastêpuj±cego zakresu: od 192.168.112.xx0 do 192.168.112.xx9 gdzie xx to nr stanowiska + 2. Utwórz konto VPN_NRStanowiska z has³em aaaaaaaa. Dodaj u ytkownika do grupy u ytkowników VPN. Skonfiguruj VPN tak aby ca³y ruch p³yn±³ przez stworzony tunel. (2 pkt.) Zadanie 2. Skonfiguruj firewall tak aby u ytkownicy VPN mogli korzystaæ ze stron internetowych i ping. (1 pkt.) Zadanie 3. Wygeneruj plik konfiguracyjny VPN. (1 pkt.) Zadanie 4. Sprawd¼ czy na komputerze zainstalowany jest klient VPN - je li nie to zainstaluj. Zaimportuj wygenerowany przez kolegê/kole ankê plik. Nawi± po³±czenie z VPN kolegi/kole anki i przetestuj poprawno æ dzia³ania. (1 pkt.) Page 1
BSK lab 9 Laboratorium 9 - MOVPN z SSL (rozdzia³ 31) Zadanie 1. (2 pkt.) a) Utwórz w Policy Manager tunel mobilny typu SSL ustawiaj±c pule adresów 192.168.NR_STANOWISKA+100.0/24. Czyli dla stanowiska nr 1 bêdzie to sieæ 192.168.101.0, a dla stanowiska 20 192.168.120.0. b) Utworzyæ konto u ytkownika "kolega" nadaj±c mu has³o aaaaaaaa (8*'a') i dodaæ go do grupy u ytkowników VPN. Zadanie 2. Proszê skonfigurowaæ firewall tak, eby u ytkownicy VPN mogli wykonaæ ping i wchodziæ na strony WWW oraz ³±czyæ siê z FTP. (1 pkt.) Zadanie 3. Zainstaluj oprogramowanie klienckie. Nawi± po³±czenie. Nastêpnie zaprezentuj ustawienia programu. (1 pkt.) Zadanie 4. Udowodnij, e po³±czenie ze stron± wp.pl odbywa siê za po rednictwem zestawionego po³±czenia VPN (tracert). (1 pkt.) Page 1
BSK lab 10 Laboratorium 10 - BOVPN (rozdzia³y 27 i 28) Zadanie 1. Przy u yciu Policy manager'a zestaw dwukierunkowy tunel BOVPN z sieci± kolegi/kole anki. (2 pkt.) Zadanie 2. Zmieñ konfiguracjê na jednokierunkow±. Sprawd¼ dzia³anie. Jaka jest ró nica miêdzy tunelem dwukierunkowym i jednokierunkowym (ping)? (1 pkt.) Zadanie 3. Przekieruj sieæ kolegi/kole anki do swojego komputera. Sprawd¼ poprawno æ dzia³ania. (1 pkt.) Po ukoñczeniu zadania 1, 2 i 3 przedstaw je prowadz±cemu. Zadanie 4. Usuñ tunel stworzony w zadaniu 1. Za pomoc± serwera zarz±dzania utwórz tunel automatycznie. Sprawd¼ poprawno æ dzia³ania. (1 pkt.) Page 1
BSK lab 11 Laboratorium 11 - MultiWAN (rozdzia³ 8) Zadanie 1. Skonfiguruj port 2 jako external. Nadaj mu adres IP 192.168.133.NR_STANOWISKA (brama 192.168.133.254). (1 pkt.) Zadanie 2. Skonfiguruj funkcjê Multi-WAN tak aby status poszczególnych ³±cz okre lany by³ na podstawie ping do bramy domy lnej i transmisji TCP na adres serwera www pk.edu.pl (oba warunki musz± byæ spe³nione). (1 pkt.) Zadanie 3. Ustaw czas pomiêdzy kolejnymi testami ³±cz na 5 sekund. ±cze ma zostaæ uznane za niedzia³aj±ce po 2 próbach. Ponowna aktywacja ³±cza ma nast±piæ po 2 udanych próbach po³±czenia. (1 pkt.) Zadanie 4. Proszê przetestowaæ wszystkie opcje kierowania ruchu dostêpne w ramach Multi-WAN. Jak dzia³aj± poszczególne metody? (2 pkt.) Zadanie 5. Skonfiguruj Multi-WAN w trybie failover. Ustaw kolejno æ interfejsów - najpierw 2 potem 0. Uruchom ping -t onet.pl na komputerze. Odepnij kabel od portu 2 firewalla. Jaki jest efekt? Co siê sta³o z ping? (1 pkt.) Zadanie 6. Ustaw polityki tak aby ca³y ruch http kierowany by³ przez interfejs 0. Z kolei ca³y ruch zwi±zany z ping nale y kierowaæ przez interfejs 2. Udowodnij, e wprowadzona konfiguracja dzia³a prawid³owo (tracert). (1 pkt.) Page 1
BSK lab 12 Laboratorium 12 - WebBlocker, AV/IPS, spamblocker, RED, application control (rozdzia³y 33, 34, 35, 36, 38 i 39) Zadanie 1. Przy u yciu WebBlocker zablokuj strony o tematyce edukacyjnej i podró niczej. (1 pkt.) Zadanie 2. Zablokuj strony o reputacji >60. Przetestuj dzia³anie wprowadzonej konfiguracji. (1 pkt.) Komentarz: reputacjê mo na sprawdziæ: http://www.watchguard.com/products/reputation-authority.asp Wszelkie adresy zwi±zane z ADSL maj± zazwyczaj z³± reputacjê. Pule adresów mo na sprawdziæ: http://pl.wikipedia.org/wiki/wikipedia:lista_zakres%c3%b3w_ip Zadanie 3. W przypadku podejrzanej wiadomo ci dodaj tag "TO MO E BYÆ SPAM". (1 pkt.) Zadanie 4. Zablokuj mo liwo æ korzystania z IRC, Winamp i emule. (1 pkt.) Zadanie 5. Wy³±cz skanowanie AV dla stron o reputacji <20. (1 pkt.) Page 1
Laboratorium 13 - Troubleshooting Zadanie 1. Zmień adres IP na interfejsie 0, 1 i 2 na zgodny ze swoim numerem stanowiska. (1 pkt.) Int-0: 192.168.112.150+NR_STANOWISKA, brama domyślna 192.168.112.254 Int-1: 10.0.NR_STANOWISKA.1 (pula 10.0.NR_ST.2-10.0.NR_ST.20) Int-2: 192.168.133.NR_STANOWISKA Następnie wgraj odpowiedni klucz i zmodyfikuj regułę WatchGuard RDP : W polu Internal IP Address wpisz 10.0.NR_STANOWISKA.2 Zadanie 2. W oparciu o informacje dostarczone przez użytkowników znajdź problemy z konfiguracją. Nie wolno dodawać żadnych reguł, można tylko modyfikować te istniejące. (8 pkt.) Informacje od użytkowników: - Nie ma możliwości dostania się na żadną stronę internetową (http i https!!!). - Administrator ma dostęp do firewalla przez Web UI, aby się dostać do strony https://10.0.nr_stanowiska.1:8080 musi najpierw dokonać autoryzacji na stronie https://10.0.nr_stanowiska.1:4100 (login: administrator, hasło: aaaaaaaa). Zgłoszono problem z dostępem do strony autoryzacji. - Użytkownik ma konto do MOVPN PPTP, jego login to: uzytkownik_vpn, hasło: aaaaaaaa. Użytkownik nie może połączyć się z VPN. - Cały ruch w sieci odbywa się przez łącze zapasowe (interfejs 2), a powinno przez łącze podstawowe (interfejs 0). - Gdy działał jeszcze dostęp do stron WWW to nie można było się dostać na strony takie jak pk.edu.pl, pl.wikipedia.org. Konfiguracja: - http://iti.pk.edu.pl/~zelasko/bsk/lab13 XTMv.zip
Lab2 4. Getting Started 5. Configuration and Management Basics 24. Monitor Your Device Lab3 15. Policies 23. Logging and Reporting Lab4 16. Proxy Settings Lab5 19. Management Server Setup and Administration 20. Centralized Management 23. Logging and Reporting 33. WebBlocker 41. Quarantine Server Lab6 14. Authentication Lab7 29. Mobile VPN with PPTP Lab8 30. Mobile VPN with IPSec Lab9 31. Mobile VPN with SSL Lab10 27. Managed Branch Office VPN Tunnels 28. Manual Branch Office VPN Tunnels Lab11 8. Multi-WAN Lab12 33. WebBlocker 34. spamblocker 35. Reputation Enabled Defense 36. Gateway Antivirus 38. Intrusion Prevention Service 39. Application Control