Maskarada i Firewall
description
Transcript of Maskarada i Firewall
-
BIULETYN INSTYTUTU AUTOMATYKI I ROBOTYKI WAT NR 14, 2000
3
Ochrona sieci lokalnej za pomoc zapory sieciowej
Zbigniew SUSKI 1, Piotr KOODZIEJCZYK 2
STRESZCZENIE: W dobie wzrastajcego zagroenia systemw sieciowych coraz wiksze zainteresowanie budz rne mechanizmy majce na celu zwikszenie stopnia bezpieczestwa systemw. Jednym z takich mechanizmw jest zapora sieciowa (ang. firewall). W artykule omwiono oglne zasady budowy zapory sieciowej i podstawowe schematy organizacyjne. Przedstawiono mechanizmy dostpne w systemie operacyjnym Linux, ktre umoliwiaj zbudowanie zapory w oparciu o ten system. Zamieszczono przykady konfiguracji zapory wykorzystujcej system Linux. W kocowej czci opracowania przedstawiono opisy kilku oferowanych na rynku rozwiza komercyjnych.
1. Co to jest zapora sieciowa?
Zapora sieciowa (ang. firewall) to konstrukcja zapewniajca kontrolowane
poczenie pomidzy sieci prywatn i Internetem (sieci publiczn). Dostarcza ona
mechanizmu kontroli iloci i rodzaju ruchu sieciowego midzy obydwoma sieciami. Zapory
sieciowe to narzdzia o duych moliwociach, ale nie powinno si ich uywa zamiast
innych rodkw bezpieczestwa, lecz obok nich.
Termin firewall zaczerpnito z budownictwa (chocia spotyka si te inne opinie).
Bloki mieszkaniowe i budynki biurowe s czsto wyposaane w specjalnie skonstruowane
ciany, ktre si opieraj ogniowi. Jeli budynek zacznie si pali, to wanie specjalna
zapora zatrzyma ogie lub przynajmniej spowolni jego rozprzestrzenianie si do czasu
przybycia pomocy.
Podobna filozofia stosowana jest do ochrony sieci lokalnej przed napastnikami
z zewntrz. Stosowanie odpowiednio skonfigurowanej zapory sieciowej moe
minimalizowa ilo strat powstaych w wyniku ataku z zewntrz. Naley jednak pamita,
1 Zakad Teleinformatyki, Instytut Automatyki i Robotyki WAT, ul. Kaliskiego 2, 00-908 Warszawa.
Wydzia Nauk Komputerowych, Prywatna Wysza Szkoa Biznesu i Administracji, ul. Bobrowiecka 9, 00-728 Warszawa.
2 Wydzia Cybernetyki WAT, ul. Kaliskiego 2, 00-908 Warszawa.
-
Z. Suski, P. Koodziejczyk
4
e nigdy nie bdziemy mie 100% gwarancji bezpieczestwa, a poziom tego
bezpieczestwa jest zawsze skutkiem kompromisu pomidzy potrzebnymi rodkami,
a nakadami finansowymi przeznaczonymi na ten cel.
Podstawowe funkcje, ktre powinna spenia zapora sieciowa to:
a) zapewnienie bezpiecznego dostpu do Internetu uytkownikom sieci prywatnej,
b) zapewnienie ochrony zasobw sieci prywatnej przed atakami z zewntrz.
Oprcz tych dwch podstawowych funkcji mona jeszcze wyszczeglni kilka
dodatkowych, ktre z powodzeniem moe realizowa zapora sieciowa:
a) blokowanie dostpu do okrelonych miejsc w Internecie, blokowanie (cakowite lub
czciowe) dostpu do Internetu okrelonym uytkownikom,
b) monitorowanie komunikacji pomidzy sieci prywatn a Internetem,
c) rejestrowanie caoci lub okrelonej czci ruchu midzysieciowego,
d) tworzenie prywatnych sieci wirtualnych (VPN) pomidzy oddziaami organizacji.
2. Schemat organizacyjny zapory sieciowej
Na konstrukcj zapory sieciowej zwykle skadaj si filtry pakietw oraz serwery
proxy.
Podstawowym zadaniem zapory jest ograniczenie przepywu danych midzy
sieciami. Przed postawieniem zapory trzeba okreli, jakie rodzaje danych maj by przez
ni przepuszczane, a jakie nie. Czyli trzeba zdefiniowa polityk zapory. Nastpnie naley skonstruowa mechanizmy, ktre umoliwi wprowadzenie tej polityki w ycie.
Filtry pakietw to urzdzenia przechwytujce kady transmitowany pakiet danych
i dopuszczajce lub blokujce przesanie tego pakietu do adresata. Decyzja o przesaniu
jest podejmowana na podstawie atrybutw rozpatrywanego pakietu. S to m.in. adres
rdowy, adres docelowy, typ protokou, port rdowy, port docelowy, zawarto.
W praktyce funkcjonuj dwie podstawowe strategie konfiguracji filtrw pakietw:
domylne przepuszczanie oraz domylne powstrzymywanie. Pierwsza polega na
blokowaniu tylko niektrych portw, protokow czy adresw. Stosowana jest wic zasada:
wszystko, co nie jest zabronione jest dozwolone. Druga strategia polega na odblokowaniu
tylko niektrych portw, protokow czy adresw. Obowizuje wic zasada: wszystko, co
nie jest dozwolone jest zabronione. Administrator systemu, dcy w konfiguracji zapory
-
Ochrona sieci lokalnej za pomoc zapory sieciowej
5
sieciowej do osignicia maksymalnego bezpieczestwa, powinien oczywicie wybra
strategi domylnego powstrzymywania.
Serwery proxy to pakiety programowe suce do poredniczenia w ruchu
sieciowym pomidzy sieci prywatn a Internetem. Uytkownik sieci prywatnej, ktry
chciaby skorzysta z usugi udostpnianej na serwerze w Internecie, rejestruje si
najpierw w aplikacji serwera proxy. Zadaniem tego serwera jest uwierzytelnienie
uytkownika i po stwierdzeniu, e ma on odpowiednie prawa, zezwolenie na skorzystanie
z usugi w Internecie. Przy poczeniach z sieci zewntrznej postpowanie jest podobne.
Poniewa serwer proxy dziaa na poziomie aplikacji, wic kady typ aplikacji wymaga
oddzielnego serwera. Taki zastaw serwerw proxy nazywamy bram aplikacyjn.
Przez poczenie filtrw pakietw i serwerw proxy, oraz ich odpowiednie
osadzenie na platformach sprztowych, mona uzyska rne konfiguracje zapr
sieciowych. Najbardziej popularne s w tej chwili cztery konfiguracje:
a. host z dwoma portami,
b. filtr pakietw,
c. zapora z jednym filtrem pakietw i bram aplikacyjn,
d. zapora z dwoma filtrami pakietw i bram aplikacyjn.
2.1. Host z dwoma portami
Jest to jedno z najstarszych rozwiza. Polega na osadzeniu zapory na komputerze
wyposaonym w dwa interfejsy sieciowe, pracujcym zwykle pod kontrol systemu
operacyjnego z rodziny UNIX. Komputer w zaporze dziaa jednoczenie jako dawik
i brama. Usugi s zwykle oferowane uytkownikom na dwa sposoby:
uytkownik loguje si do komputera z dwoma portami,
na hocie z dwoma portami mog dziaa serwery proxy poszczeglnych,
przepuszczanych przez zapor usug.
W systemie operacyjnym, a dokadniej mwic w jego jdrze musi by wczona opcja
ip_forwarding.
-
Z. Suski, P. Koodziejczyk
6
Rys.1. Firewall host z dwoma portami
2.2. Filtr pakietw
Ten typ zapory buduje si na bazie jednego filtru pakietw. Moe nim by np.
router, w ktrym dostpna jest funkcja filtrowania pakietw. Jest to konfiguracja prosta
i do popularna. Programowanie filtru polega na:
zablokowaniu pakietw wszystkich nieuywanych usug,
zablokowaniu pakietw z ustawion opcj routingu rdowego,
zezwoleniu na poczenia przychodzce tylko z okrelonych serwerw sieciowych
i blokowaniu pozostaych,
zezwoleniu komputerom z sieci wewntrznej na poczenia z dowolnym
komputerem w sieci zewntrznej.
Do zalet takiej konfiguracji naley zaliczy prostot, tanio i elastyczno
wyraajc si atwoci blokowania dostpu z wybranej sieci zewntrznej. Do wad
nale:
Sie wewntrzna
Internet
Host z dwomaportami
Sie wewntrzna
-
Ochrona sieci lokalnej za pomoc zapory sieciowej
7
brak lub sabo rozbudowany system rejestracji ruchu przechodzcego przez zapor,
prb wama, udzielania uytkownikom rnego rodzaju dostpu, zwaszcza
w przypadku starszych urzdze,
zoono regu filtrowania moe by znaczna, co powoduje znaczn trudno ich
weryfikowania,
testowanie filtru polega na eksperymentowaniu, ktre moe by czasami do
problematyczne,
po zamaniu zabezpiecze routera, komputery w sieci wewntrznej bd
cakowicie podatne na ataki,
brak zabezpiecze przed zawartoci pewnych pakietw (np. SMTP czy FTP).
Rys. 2. Firewall filtr pakietw
Sie wewntrzna
Internet
Router
Sie wewntrzna
-
Z. Suski, P. Koodziejczyk
8
2.3. Zapora z jednym filtrem pakietw i bram aplikacyjn
Bardziej bezpieczn zapor sieciow mona zbudowa stosujc jednoczenie filtr
pakietw i bram aplikacyjn. Filtrem pakietw moe by router, a bram aplikacyjn
wybrany komputer w sieci wewntrznej. W bramie dziaaj serwery proxy umoliwiajce
uytkownikom sieci wewntrznej korzystanie z usug sieci zewntrznej.
Rys.3. Zapora z jednym filtrem pakietw i bram aplikacyjn
W tej konfiguracji filtr pakietw jest skonfigurowany w sposb zapewniajcy:
blokowanie pakietw usug, ktre nie s potrzebne w sieci wewntrznej,
blokowanie pakietw przesyanych w ramach routingu rdowego lub majcych
ustawione nietypowe opcje,
blokowanie pakietw, ktrych miejscem przeznaczenia jest sie wewntrzna (poza
adresem bramy),
przepuszczanie pakietw, ktrych adresem rdowym lub docelowym jest adres
bramy aplikacyjnej.
Jeeli komputer w sieci wewntrznej chce si skontaktowa z sieci zewntrzn, to
pakiet komunikacyjny musi przej przez serwer proxy funkcjonujcy w bramie
Sie wewntrzna
Internet
Router
Server proxy
Zaporasieciowa
Sie wewntrzna
-
Ochrona sieci lokalnej za pomoc zapory sieciowej
9
aplikacyjnej. Uytkownicy z sieci zewntrznej zanim dostan si do sieci wewntrznej,
musz si poczy z odpowiednim serwerem proxy.
2.4. Zapora z dwoma filtrami pakietw i bram aplikacyjn
W takiej konfiguracji filtr zewntrzny i serwer proxy peni takie same funkcje jak
w konfiguracji z jednym filtrem pakietw i bram aplikacyjn. Nowym elementem jest filtr
wewntrzny, penicy funkcj awaryjn. Jeli intruzowi uda si wama do serwera proxy
i przej nad nim kontrol, filtr wewntrzny uniemoliwi mu posuenie si serwerem proxy
do przeprowadzenia atakw na inne komputery w sieci wewntrznej (dziki np.:
blokowaniu pakietw usug, ktre nie s potrzebne w sieci wewntrznej).
Rys.4. Zapora z dwoma filtrami pakietw i bram aplikacyjn
Sie wewntrzna
Internet
Server proxy
Zaporasieciowa
Sie poredniczca
Router
Router
Filtrwewntrzny
Filtrzewntrzny
Sie wewntrzna
Sie poredniczca
-
Z. Suski, P. Koodziejczyk
10
We wszystkich konfiguracjach wykorzystujcych bram aplikacyjn, zamiast jednej
mona uywa wielu bram - po jednej dla kadego protokou. Prostsze rozwizanie polega
na zastosowaniu jednej bramy i przeznaczeniu kilku serwerw na poszczeglne usugi
sieci wewntrznej.
Wszystkie komputery mona pogrupowa w kilka oddzielnych sieci, ktre bd si
komunikowa za pomoc specjalnych komputerw - bramek, routerw i zapr sieciowych.
Mog one do wewntrznej komunikacji wykorzystywa Internet i odpowiednie systemy
kryptograficzne.
Naley pamita, e nieuczciwi pracownicy maj o wiele dogodniejsze pooenie do
dokonywania zniszcze ni wamywacze zewntrzni. Odpowiednia konfiguracja zapr
wewntrznych moe pomc w ograniczeniu ich dziaa destrukcyjnych.
3. Proces budowania zapory sieciowej
Proces budowania czy stawiania zapory sieciowej mona podzieli na kilka etapw:
1. Planowanie konfiguracji zapory sieciowej
Jest to bardzo wany etap, poniewa bdy popenione przy planowaniu konfiguracji
wpyn na wszystkie dalsze etapy i w rezultacie kocowy efekt dziaania zapory moe by
cakowicie odmienny od oczekiwanego. W pierwszej kolejnoci naley odpowiedzie na
pytanie: co chroni? Jeeli ochronie maj podlega dwa lub trzy komputery, to
prawdopodobnie zamiast budowa zapor sieciow wystarczy zastosowa
zabezpieczenia na poziomie pojedynczych hostw. Zapora sieciowa naley do
mechanizmw ciszego kalibru.
Kolejne zadanie to rozpoznanie topologii sieci oraz potrzeb w zakresie aplikacji
i protokow. Polega ono bdzie na analizie topologii sieci pod ktem bezpieczestwa, na
zidentyfikowaniu systemw operacyjnych i aplikacji dziaajcych w sieci, czego efektem
moe by np.: konieczno skorzystania z usug ekspertw w dziedzinie bezpieczestwa
poszczeglnych aplikacji.
Naley rwnie dokona analizy zalenoci subowych. Polega ona bdzie na
analizie kompetencji decyzyjnych i potrzeb dostpu do zasobw poszczeglnych
uytkownikw czy grup uytkownikw. Konieczne jest przy tym uwiadomienie
uytkownikom wszystkich potrzebnych zmian w konfiguracji sieci oraz wszelkich ich
-
Ochrona sieci lokalnej za pomoc zapory sieciowej
11
wtpliwoci. Od uytkownikw w duym stopniu bdzie zaleao bezpieczestwo sieci
i ostatni rzecz, jaka jest nam potrzebna to niezadowoleni uytkownicy.
Kolejna decyzja dotyczy konfiguracji zapory. Przede wszystkim naley okreli czy
wystarczy filtrowanie pakietw, czy te naley zastosowa serwery proxy, a jeeli tak to
jakie.
Wreszcie powinnimy rozpatrzy czy skonstruowa wasn zapor czy te kupi
pakiet gotowej zapory. Samodzielnie mona wykona cakiem dobr zapor, lecz jeden
bd przy jej konfiguracji moe spowodowa katastrof. Z drugiej strony najlepsza, le
skonfigurowana, kupiona zapora rwnie moe by przyczyn powanych kopotw.
Rozwizanie alternatywne polega na wykupieniu usugi monitorowania zapory.
Jeeli nie mamy moliwoci monitorowania zapory sieciowej 24 godziny na dob przez 7
dni w tygodniu, to moe lepiej tak usug wykupi?
2. Zdefiniowanie regu dostpu do zasobw sieciowych
W oparciu o poczynione obserwacje i wykonane analizy opracowujemy zasady
korzystania z zasobw sieci. W tym etapie okrelamy: kto i w jaki sposb ma dostp do
sieci i jej zasobw. Reguy musimy odpowiednio dostosowa do posiadanej infrastruktury.
Oznacza to uwzgldnienie stosowanych platform sprztowych, czy protokow sieciowych.
3. Znalezienie zapory odpowiedniej dla naszych potrzeb
W oparciu o zdobyte informacje, wykonane analizy i ustalone reguy dostpu do
zasobw moemy waciwie wybra potrzebn nam zapor sieciow.
4. Waciwa instalacja i konfiguracja zapory
5. Drobiazgowe przetestowanie zapory
Testowanie zapory powinno odby si w dwch etapach. W pierwszym naley
przeprowadzi testowanie zasad korzystania z sieci prywatnej przez uytkownikw
zewntrznych. W drugim testujemy wewntrzne reguy korzystania z sieci. Oba etapy
naley wykona dokadnie, poniewa jest to ostatnia czynno przed wczeniem zapory
do sieci.
Mimo e zapora sieciowa to bardzo skuteczny rodek ochrony sieci prywatnej,
naley by wiadomym jej wad. Jedn z nich jest fakt, e zapora, ktrej konfiguracj
-
Z. Suski, P. Koodziejczyk
12
zorientowano na maksymalne bezpieczestwo sieci, bdzie jednoczenie upoledza jej
dziaanie. Inn wad jest zgromadzenie w jednym miejscu wszystkich skadnikw zapory,
poniewa ich pokonanie daje intruzowi peny dostp do sieci prywatnej.
Istnieje kilka zagroe dla bezpieczestwa sieci, ktre nie s eliminowane przez
zastosowanie zapory:
naruszenie bezpieczestwa od wewntrz, poniewa zapora sieciowa nie chroni
zasobw przed atakiem od strony uytkownikw wewntrznych,
bezporednie poczenie z Internetem jeli uytkownik wewntrzny poczy si
z Internetem z pominiciem zapory np.: poprzez cze telefoniczne, to stanowi to
powan luk w bezpieczestwie,
czsto zapory sieciowe nie potrafi chroni sieci prywatnej przed wirusami,
niektre skanery (np.: stealtch skaner) potrafi skanowa aktywne porty
komputerw nawet za zapor.
Rys. 5. Translacja adresw
4. Translacja adresw
W wikszoci zapr sieciowych mona uruchomi mechanizm translacji adresw.
Translacja adresw (Network Address Translation - NAT) jest form maskowania
rzeczywistych adresw urzdze z ochranianej sieci. Umoliwia przydzielenie
komputerom z sieci wewntrznej adresw z puli adresw nie rejestrowanych w sieci
Internet (RFC 1597) oraz zapewnienie tym komputerom moliwoci dwustronnego
komunikowania si z komputerami sieci Internet. NAT umoliwia rozbudow
i rekonfiguracj sieci TCP/IP bez obawy o wyczerpanie si oficjalnie przyznanych adresw
IP. Dodatkowo umoliwia ukrycie wewntrznej struktury sieci przed wiatem zewntrznym
i dostp z zewntrz tylko do wybranych serwerw.
Brama NAT (IP Masquerade)
Klient
-
Ochrona sieci lokalnej za pomoc zapory sieciowej
13
W jdrze Linuxa v. 2.2.x funkcja ta dostpna jest pod nazw IP Masquerade. Stacja kliencka powinna zdefiniowa bram NAT jako swj gateway. Jeeli tak nie
jest, to brama NAT powinna funkcjonowa jako server proxy arp.
Pakiet pochodzcy od klienta otrzymuje nowy numer portu rdowego i adres
rdowy. W takiej postaci jest wysyany. Brama zapamituje zrealizowane
przeksztacenie. Gdy pakiet wraca, to jest rozpoznawany jako przeksztacony.
Przywracany jest wwczas oryginalny adres klienta i pakiet trafia do klienta.
5. Mechanizmy systemu operacyjnego LINUX umoliwiajce zbudowanie zapory sieciowej
W standardowej wersji dystrybucyjnej systemu LINUX zawarte s podstawowe
narzdzia umoliwiajce skonstruowanie zapory sieciowej. W przykadach opisana jest
konfiguracja dla dystrybucji RedHat, ktra w tej chwili jest chyba najbardziej popularna
wrd uytkownikw. W przypadku wykorzystania innej dystrybucji mog wystpi
w konfiguracji pewne rnice. W jdrze wersji 2.0 dostpny by mechanizm IP Firewall,
w wersji 2.2 zosta on zastpiony przez mechanizm IPChains. W wersji 2.4, nad ktr
prace jeszcze trwaj udostpniony zostanie mechanizm IP Tables.
Pakiet ipchains udostpnia trzy mechanizmy przydatne przy budowaniu zapory
sieciowej:
filtrowanie pakietw,
maskowanie adresw IP,
przezroczysty serwer proxy.
Filtrowanie pakietw polega na selekcji pakietw przychodzcych i wychodzcych, ograniczajc obustronn komunikacj midzy sieci wewntrzn
a zewntrzn. Zazwyczaj polega to gwnie na zablokowaniu wejcia do sieci
wewntrznej, poza kilkoma wybranymi usugami. Aby zapewni wysoki stopie
bezpieczestwa sieci wewntrznej naley fizycznie oddzieli j od sieci zewntrznej.
W takim wypadku dosy naturalnym podejciem jest skonfigurowanie firewalla jako routera
dla caej sieci wewntrznej.
Maskowanie adresw IP (masquerading) polega na zmienianiu adresw IP w przesyanych pakietach. Firewall przechwytuje wszystkie pakiety wysyane przez
-
Z. Suski, P. Koodziejczyk
14
klientw z sieci wewntrznej. Nastpnie jako adres rdowy ustawia swj adres i wysya
tak zmienione pakiety do sieci zewntrznej. Po odebraniu pakietu z odpowiedzi adres
docelowy zostanie zmieniony na adres klienta i pakiet zostanie przesany do sieci
wewntrznej. W ten sposb komputery w sieci lokalnej s zupenie niewidzialne dla wiata
zewntrznego, chocia mog dokonywa pocze z komputerami zewntrznymi. Dziki
temu mona podczy komputery w sieci lokalnej do Internetu nawet jeli nie maj one
oficjalnie zarejestrowanych adresw IP, a uywaj adresw tzw. klasy publicznej
192.168.x.y
Przezroczysty serwer proxy (transparent proxy server) umoliwia przekierowywanie wybranych pakietw do portw lokalnych firewalla. W ten sposb
pakiety zamiast do miejsca przeznaczenia trafiaj do zapory sieciowej, w ktrej moe
funkcjonowa serwer okrelonej usugi.
5.1.1. Przepyw pakietw w systemie Linux
Istotn rzecz dla zrozumienia dziaania mechanizmu firewalla w systemie Linux
jest poznanie drogi przepywu pakietw. Ilustruje to rys. 6.
acuch (chain) to zbir regu, ktrym powinien odpowiada pakiet. Jeeli nagwek pakietu spenia warunek zdefiniowany w regule, to wykonywana jest akcja
okrelona w tej regule. Akcja moe okrela przekazanie pakietu do kolejnego acucha
lub dziaanie specjalne. Do tych dziaa specjalnych nale:
ACCEPT oznacza przepuszczenie pakietu.
DENY oznacza odrzucenie pakietu.
REJECT oznacza odrzucenie pakietu i powiadomienie poprzez ICMP o tym fakcie
nadawcy.
MASQ dotyczy acucha poredniego i acuchw uytkownika, oznacza maskowanie
pakietu poprzez zastpienie adresu nadawcy adresem lokalnym. Przychodzce pakiety
zwrotne, stanowice odpowiedzi na pakiety maskowane, bd automatycznie
rozpoznawane i demaskowane.
REDIRECT dotyczy tylko acucha wejciowego i acuchw uytkownika, oznacza
przekierowanie pakietu do gniazda lokalnego, czyli do lokalnego serwera proxy.
-
Ochrona sieci lokalnej za pomoc zapory sieciowej
15
Rys.6. Przepyw pakietw w systemie Linux
Jeeli regua nie dotyczy danego pakietu, to sprawdzana jest nastpna regua. Jeeli
nagwek pakietu nie spenia warunku w adnej regule, to jdro uwzgldnia zdefiniowan
ogln strategi danego acucha.
Kontrola wstpna obejmuje sprawdzenie m.in. sum kontrolnych oraz poprawnoci konstrukcji pakietw docierajcych z sieci wewntrznych i zewntrznych. Po kontroli
sprawdzane s reguy zdefiniowane jako acuch wejciowy.
Demaskarada jeeli pakiet zawiera odpowied na pakiet, ktry przy wysaniu podlega maskaradzie, to teraz ma miejsce proces odwrotny i przekazanie pakietu
bezporednio do acucha wyjciowego. Pakiety, ktre nie podlegaj demaskaradzie, s
przekazywane do moduu routingu.
Routing - badane jest pole odbiorcy dla okrelenia, czy pakiet powinien zosta przekazany procesowi lokalnemu, czy te skierowany do innego komputera. Po przejciu
przez proces lokalny i acuch wyjciowy pakiet moe by skierowany do interfejsu
loopback lub poprzez acuch poredni i acuch wyjciowy skierowany na zewntrz.
Definiowanie regu filtrowania realizuje si poprzez polecenie ipchains. W starszych
wersjach jdra (2.0.x) wykorzystywany by ipfwadm.
Kontrola wstpna
acuch wejciowy
(input) Demaskarada Routing acuch poredni
(forward)
DENY DENY / REJECT
DENY /
REJECT
DENY / REJECT
acuch wyjciowy (output)
ACCEPT
Proces lokalny
ACCEPT interfejs loopback
-
Z. Suski, P. Koodziejczyk
16
5.1.2. Konfiguracja jdra systemu
Aby system operacyjny mg wykonywa funkcje zapory sieciowej, jdro systemu
musi zosta skompilowane z odpowiednimi opcjami. Wybieranie opcji mona zrealizowa
rnymi metodami. Jedna z nich, do wygodna w uyciu polega na wykorzystaniu
interfejsu menuconfig. Uruchamia si go poprzez polecenie make menuconfig. Na ekranie
zostanie wywietlona hierarchiczna lista opcji jdra, w ktrej naley dokona odpowiednich
zaznacze. Interesujce nas opcje znajduj si w sekcji Networking options.
IP: Drop source routed frames (CONFIG_IP_NOSR) Zwykle w transmitowanym pakiecie umieszczone s adresy IP rda
i przeznaczenia. Routingiem (czyli wyznaczaniem trasy przesyania pakietu) zajmuj si
komputery zaangaowane w przesyanie zwane routerami. One decyduj , ktr drog
dalej przesa pakiet. Jednake w protokole IP zawarta jest moliwo wyspecyfikowania
penej drogi dla danego pakietu ju przy jego wysyaniu. Pakiety, w ktrych w peni
okrelono drog przesyania okrelane s jako "trasowane wedug nadawcy", albo inaczej
jako pakiety z ustawion opcj routingu rdowego. Powstaje pytanie, czy przy nadejciu
takiego pakietu naley bra pod uwag wymagania dotyczce trasy przesyania, czy te
pakiet taki naley odrzuci. Honorowanie trasy moe wprowadzi kopoty zwizane
z bezpieczestwem, wobec czego zaleca si dla tej opcji ustawi Y (yes).
Network firewalls (CONFIG_FIREWALL) IP: firewalling (CONFIG_IP_FIREWALL)
Ustawienie tej opcji jest wymagane jeeli wykorzystujemy protok IP. Opcja ta
wymagana jest rwnie, gdy chcemy wczy przezroczyste proxy.
IP: forwarding/gatewaying (CONFIG_IP_FORWARD) Opcja ta umoliwia wykorzystywanie naszego komputera jako routera dla sieci
lokalnej. W takim przypadku w komputerze s zainstalowane przynajmniej dwie karty
sieciowe. Jdro nie jest w stanie wykry wicej ni jednej karty sieciowej przy starcie
komputera i naley je skonfigurowa rcznie. Jeli komputer jest podczony do dwch
sieci, wwczas naley wybra N.
Jeeli topologia sieci jest bardziej skomplikowana, na przykad rozpatrywany
komputer jest podczony do trzech sieci oraz chcemy, aby funkcjonowa jako zapora
-
Ochrona sieci lokalnej za pomoc zapory sieciowej
17
sieciowa pomidzy dwoma z nich i jako router dla pozostaych, wwczas naley wybra Y
(yes) i wczy opcj IP firewalling.
Jeli zamierzamy uywa mechanizmu IP masquerading, wwczas naley
bezwzgldnie wybra Y. Podobnie postpujemy w przypadku, gdy chcemy skonfigurowa
komputer jako serwer SLIP lub serwer PPP, poprzez ktry uzyskiwa bdziemy dostp do
Internetu. Odpowied Y musimy wybra rwnie w przypadku, gdy chcemy uruchomi
proces mrouted realizujcy multicast routing.
IP: masquerading (CONFIG_IP_MASQUERADE) Jeli chcemy realizowa maskowanie adresw IP, to naley t opcj ustawi. Aby
uywa maskowania, naley rwnie wczy opcje: Network Firewalls, IP
forwarding/gatewaying, IP firewalling. Korzystne, chocia nie konieczne, jest wczenie
opcji IP always defragment.
IP: transparent proxying (CONFIG_IP_TRANSPARENT_PROXY) Opcja ta umoliwia w sposb przezroczysty dla klientw przekierowywanie
okrelonych pakietw do lokalnego serwera, okrelanego jako transparent proxy server.
Dziki temu komputery s przekonane, e s poczone z waciwym komputerem,
podczas gdy w rzeczywistoci poczone s z lokalnym serwerem proxy. Przekierowanie
jest uaktywniane poprzez zdefiniowanie, przy uyciu narzdzia ipchains specjalnych regu
wejciowych dla zapory sieciowej.
IP: accounting (CONFIG_IP_ACCT) Wczenie tej opcji uaktywnia rejestrowanie ruchu w sieci IP i umoliwia
generowanie rnych statystyk w tym zakresie. Zarejestrowane dane dostpne s w pliku
/proc/net/ip_acct. Dokadny zakres rejestrowanych informacji mona zdefiniowa przy
pomocy narzdzia ipchains.
IP: ICMP masquerading (CONFIG_IP_MASQUERADE_ICMP) Maskowanie wczane przez opcj CONFIG_IP_MASQUERADE obsuguje tylko
pakiety TCP i UDP (oraz bdy ICMP dla istniejcych pocze). Omawiana opcja wcza
dodatkow obsug maskowania pakietw ICMP.
-
Z. Suski, P. Koodziejczyk
18
IP: ipautofw masquerading (CONFIG_IP_MASQUERADE_IPAUTOFW) Napisany przez Richarda Lynch program ipautofw pozwala na maskowanie
protokow, ktre do tej pory nie byy w peni obsugiwane.
Kernel/User network link driver (CONFIG_IP_FIREWALL_NETLINK) Wczany przez t opcj sterownik pozwala na dwustronn komunikacj pomidzy
pewnymi czciami jdra lub moduami i procesami uytkowymi. Procesy uytkowe
uzyskuj moliwo czytania i zapisywania danych do specjalnych plikw znakowych
o numerze gwnym 36 obecnych w katalogu /dev. Opcj naley wczy, jeli chcemy
uywa serwisu arpd, ktry pomaga utrzyma moliwie ma wewntrzn pami ARP
(odwzorowanie pomidzy adresami IP i adresami sprztowymi w sieci lokalnej).
5.1.3. Dodatkowa konfiguracja systemu
Aby moliwe byo przekazywanie pakietw, co jest niezbdne dla wykonania
maskowania adresw IP, naley uaktywni ten mechanizm zmieniajc w pliku
/etc/sysconfig/network lini z opcj FORWARD_IPV4 na : FORWARD_IPV4=yes.
Aby zapora sieciowa zbudowana na Linuxie dobrze realizowaa swoje funkcje,
naley speni jeszcze kilka dodatkowych wymaga, ktre ze wzgldu na sw zoono
i niejednokrotnie potrzeb dokadnych i obszernych opisw nie zostay w niniejszym
opracowaniu uwzgldnione. Oto krtka specyfikacja tych dodatkowych wymaga:
Zainstalowa odpowiednie serwery proxy, np. dla usug http i ftp. Mona je znale
np.: w pakiecie Trusted Information System Firewall Toolkit (TIS Toolkit). Po
zainstalowaniu naley zdefiniowa reguy ich wykorzystywania.
Usun zbdne i niepewne programy usugowe, ktre zostay standardowo
zainstalowane w systemie, np.: NFS, rexec, rlogin, rsh, telnet, ftp.
Poczenia z komputerem penicym funkcje zapory sieciowej powinny odbywa si
tylko szyfrowanymi kanaami wymiany informacji, przy uyciu takich programw jak
ssh.
Gwny demon sieciowy inetd naley zupenie zrekonfigurowa: niektre ze
standardowych funkcji (np.: echo) naley wyczy, poniewa mog one posuy
do wykonania atakw typu Denial-of-Service.
-
Ochrona sieci lokalnej za pomoc zapory sieciowej
19
Jeeli istnieje potrzeba instalacji serwera poczty elektronicznej, naley powanie
zastanowi si, czy nie zrezygnowa z programu Sendmail, znanego z licznych luk,
na rzecz innego uwaanego za bardziej bezpieczny, np.: smail czy qmail.
Naley zabezpieczy system przed niepodanymi zmianami w plikach
konfiguracyjnych czy binarnych. Mona to wykona przy pomocy programu
Tripwire, ktry pozwala wykry zmiany w plikach i katalogach.
5.1.4. Przykad 1
Przykadowa sie ma topologi przedstawion na rys. 7.
Charakterystyka sieci:
komputer penicy funkcje bramy w zaporze sieciowej wyposaony jest w jeden
interfejs sieciowy o numerze IP z puli wiatowej
router jest skonfigurowany w sposb zapewniajcy przepuszczanie pakietw tylko do
i od komputera-bramy w zaporze sieciowej,
komputery klienckie w sieci wewntrznej maj przydzielone adresy IP z puli prywatnej,
wobec czego ich pakiety nie s przepuszczane przez router,
zapora sieciowa peni funkcj bramki dla komputerw klienckich, wykonuje dla nich
maskowanie adresw IP oraz proste filtrowanie (tzn.: z domylnym przepuszczaniem
pakietw) polegajce na blokowaniu niektrych usug i adresw.
Konfiguracja routera nie zostanie tutaj przedstawiona, gdy jest ona bardzo mocno
zalena od stosowanego sprztu. Konfiguracja interfejsu sieciowego w komputerze-bramie
moe by wykonana podczas instalacji systemu lub te przez modyfikacj pliku
/etc/sysconfig/network-scripts/ifcfg-eth0. W pliku tym zapisane s podstawowe dane
konfiguracyjne konkretnego interfejsu. Zawarto tego pliku w naszym przypadku powinna
by nastpujca:
DEVICE=eth0
IPADDR=148.81.116.83
NETMASK=255.255.255.0
NETWORK=148.81.116.0
BROADCAST=148.81.116.255
ONBOOT=yes
-
Z. Suski, P. Koodziejczyk
20
Rys. 7. Topologia sieci z przykadu 1
Oprcz tego naley jeszcze zdefiniowa alias dla interfejsu eth0, o numerze IP
192.168.1.254, aby moliwa bya komunikacja z komputerami sieci wewntrznej.
Wykonujemy to poleceniem:
ifconfig eth0:0 192.168.1.254
Polecenie to powinno zosta oczywicie wpisane do skryptw startowych systemu, np.: do
/etc/rc.d/rc.sysinit
Tablica routingu w komputerze-bramie powinna mie posta:
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.1.0 * 255.255.255.0 U 0 0 0 eth0
148.81.116.0 * 255.255.255.0 U 0 0 0 eth0
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
Default 148.81.116.81 0.0.0.0 UG 0 0 0 eth0
Tylko dodanie trasy domylnej wymaga dodatkowego omwienia, poniewa
pozostae linie tablicy routingu s tworzone automatycznie przy starcie systemu, jeli
interfejs sieciowy jest prawidowo skonfigurowany. T tras domyln okrelamy
poleceniem:
148.81.116.81
148.81.116.82
Router
Zaporasieciowa
148.81.116.83
Internet
192.168.1.1 192.168.1.3
192.168.1.4192.168.1.2
-
Ochrona sieci lokalnej za pomoc zapory sieciowej
21
route add default gw 148.81.116.81
lub modyfikujemy odpowiedni lini pliku /etc/sysconfig/network:
GATEWAY=148.81.116.81
Spowoduje to automatyczn konfiguracj tablicy routingu przy starcie systemu.
Maskowanie adresw IP uruchamiamy nastpujcym poleceniem:
ipchains A forward -j MASQ -s 192.168.1.0/24 -d ! 192.168.1.0/24
co oznacza: wykonaj maskowanie dla wszystkich pocze o adresie rdowym z zakresu
192.168.1.1 254 i adresie docelowym spoza tego zakresu.
Kolejnym etapem konfiguracji zapory sieciowej jest ustawienie filtrowania.
Zakadamy, e chcielibymy zablokowa uytkownikom w sieci wewntrznej moliwo
korzystania z protokou http i telnet oraz moliwo jakiejkolwiek cznoci z komputerem
o numerze IP 148.81.116.98; znajdujcym si poza zapor. Wykonamy to nastpujcym
zestawem polece:
ipchains -A input -j DENY -s 192.168.1.0/24 -p tcp --dport http ipchains -A input -j DENY -s 192.168.1.0/24 -p tcp --dport telnet ipchains -A input -j DENY -s 192.168.1.0/24 -d 148.81.116.98
Po wydaniu tych polece reguy zapory wylistowane przy pomocy polecenia
ipchains -L powinny wyglda nastpujco:
Chain input (policy ACCEPT): target prot opt source destination ports
DENY tcp ----- 192.168.1.0/24 anywhere any -> www DENY tcp ----- 192.168.1.0/24 anywhere any -> telnet DENY all ----- 192.168.1.0/24 148.81.116.98 n/a Chain forward (policy ACCEPT): target prot opt source destination ports
MASQ all ----- 192.168.1.0/24 !192.168.1.0/24 n/a Chain output (policy ACCEPT):
Aby system by w ten sposb skonfigurowany po starcie systemu, przedstawione
polecenia naley wpisa do skryptu startowego systemu, np.: /etc/rc.d/rc.sysinit.
-
Z. Suski, P. Koodziejczyk
22
5.1.5. Przykad 2
W kolejnym przykadzie przyjlimy topologi sieci przedstawion na rys. 8.
Charakterystyka sieci:
komputer w zaporze wyposaony jest w trzy interfejsy sieciowe: dla poczenia
z Internetem i poczenia z sieciami lokalnymi; peni wic te rol routera,
jedna z podsieci zawiera serwery z adresami IP z puli wiatowej,
druga podsie zawiera tylko komputery klienckie z adresami IP z puli prywatnej,
zapora sieciowa wykonuje maskowanie adresw IP dla komputerw klienckich,
zapora sieciowa wykonuje filtrowanie, z domylnym blokowaniem pakietw,
polegajce na przepuszczaniu pakietw tylko gwnych usug sieciowych.
Aby byo moliwe wykorzystanie kilku interfejsw sieciowych, Linux musi je
obsugiwa, tzn. musi posiada moduy obsugujce konkretne karty sieciowe.
Sprawdzenia, czy system rozpozna posiadane przez nas karty sieciowe mona dokona
poprzez przegld komunikatw jdra zapisywanych podczas startu systemu do pliku
/var/log/messages. W czasie testowania niniejszego przykadu wykorzystywane byy karty
sieciowe PCI zgodne ze standardem NE2000, ktre system rozpozna bez problemu.
Nastpnie dla kadego interfejsu sieciowego naley utworzy plik
/etc/sysconfig/network-scripts/ifcfg-ethx (gdzie x to numer interfejsu). W pliku tym
zapisywane s podstawowe dane konfiguracyjne konkretnego interfejsu. W omawianym
przypadku zawartoci tych plikw s nastpujce:
Plik /etc/sysconfig/network-scripts/ifcfg-eth0:
DEVICE=eth0
IPADDR=148.81.1.254
NETMASK=255.255.255.0
NETWORK=148.81.1.0
BROADCAST=148.81.1.255
ONBOOT=yes
-
Ochrona sieci lokalnej za pomoc zapory sieciowej
23
Rys. 8. Topologia sieci z przykadu 2
Plik /etc/sysconfig/network-scripts/ifcfg-eth1:
DEVICE=eth1
IPADDR=148.81.2.254
NETMASK=255.255.255.0
NETWORK=148.81.2.0
BROADCAST=148.81.2.255
ONBOOT=yes
Plik /etc/sysconfig/network-scripts/ifcfg-eth2:
DEVICE=eth2
IPADDR=192.168.1.254
NETMASK=255.255.255.0
NETWORK=192.168.1.0
BROADCAST=192.168.1.255
ONBOOT=yes
Internet
192.168.1.1 192.168.1.3
192.168.1.4192.168.1.2
eth0: 148.81.1.254
eth2
: 1
92.1
68.1
.254
eth1
: 1
48.81.
2.25
4
Zaporasieciowa
148.81.2.84
Serwer
148.81.2.183
Serwer
-
Z. Suski, P. Koodziejczyk
24
Tablica routingu komputera w zaporze wywietlona poleceniem route musi wyglda
nastpujco:
Destination Gateway Genmask Flags Metric Ref Use Iface
148.81.1.0 * 255.255.255.0 U 0 0 0 eth0
148.81.2.0 * 255.255.255.0 U 0 0 0 eth1
192.168.1.0 * 255.255.255.0 U 0 0 0 eth2
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default 148.81.1.1 0.0.0.0 UG 0 0 0 eth0
Sposb dodania trasy domylnej opisano w przykadzie 1. Pozostae linie tablicy routingu
s tworzone automatycznie przy starcie systemu. Domyln tras pakietw okrelamy
zakadajc, e bramka (gateway) ma numer IP 148.81.1.1.
Przyjmujemy nastpujce zaoenia odnonie filtrowania pakietw w zaporze:
komputer na ktrym zostaa uruchomiona zapora sieciowa udostpnia nastpujce
usugi:
> ssh do zdalnej pracy na zaporze (np.: w celu wykonania zmian w konfiguracji)
z kadego miejsca w Internecie,
> DNS tylko dla komputerw z obu podsieci wewntrznych,
serwery udostpniaj nastpujce usugi:
> http
> ssh
> smtp
> DNS
> telnet
> POP3
uytkownicy pracujcy na komputerach klienckich mog korzysta z nastpujcych
usug:
> http
> ssh
> smtp
> DNS
> telnet tylko do serwerw w drugiej podsieci
-
Ochrona sieci lokalnej za pomoc zapory sieciowej
25
> POP3 tylko do serwerw w drugiej podsieci
> dostarczanych przez protok ICMP, np.: echo
Maskowanie adresw IP dla komputerw klienckich uruchamiamy poleceniem:
ipchains A forward -j MASQ -s 192.168.1.0/24 -d ! 192.168.1.0/24
co oznacza: wykonaj maskowanie dla wszystkich pocze o adresie rdowym z zakresu
192.168.1.1 254 i adresie docelowym spoza tego zakresu.
Dla wbudowanego acucha input okrelajcego reguy dostpu do zapory
sieciowej przyjmujemy jako polityk domyln - odrzucanie pakietw (DENY). Dla
wbudowanego acucha forward okrelajcego reguy maskowania oraz filtrowania ruchu
pomidzy wewntrzn sieci serwerw, wewntrzn sieci klientw oraz Internetem,
przyjmujemy jako polityk domyln - odrzucanie pakietw (DENY). Wbudowany acuch
output nie bdzie odfiltrowywa adnych pakietw. Jako polityk domyln przyjmujemy
przepuszczanie pakietw (ACCEPT). Realizujemy to poleceniami:
ipchains P input DENY
ipchains P forward DENY
ipchains P output ACCEPT
Ustawienie regu filtrowania dla pakietw przychodzcych i wychodzcych przez interfejs
loopback jest konieczne, poniewa niektre programy mog korzysta z tego interfejsu.
Nie stanowi to luki w systemie bezpieczestwa poniewa interfejs loopback nie jest
dostpny z zewntrz. Ustawienie to realizujemy poleceniem:
ipchains A input j ACCEPT i lo
Ustawienie regu filtrowania dla acucha input:
pozwolenie na korzystanie z ssh i DNS
ipchains -A input -j ACCEPT d 192.168.1.254 -p tcp --dport ssh ipchains -A input -j ACCEPT d 148.81.1.254 -p tcp -dport ssh ipchains -A input -j ACCEPT d 148.81.2.254 -p tcp -dport ssh ipchains -A input -j ACCEPT d 148.81.2.254 -p tcp -dport domain ipchains -A input -j ACCEPT d 148.81.2.254 -p udp -dport domain ipchains -A input -j ACCEPT d 192.168.1.254 -p tcp -dport domain ipchains -A input -j ACCEPT d 192.168.1.254 -p udp -dport domain
-
Z. Suski, P. Koodziejczyk
26
przepuszczenie pakietw bdcych odpowiedziami na poczenia tcp:
ipchains -A input -j ACCEPT -p tcp ! -y
przepuszczenie odpowiedzi dla protokou udp:
ipchains -A input -j ACCEPT d 148.81.2.254 -p udp -sport domain ipchains -A input -j ACCEPT d 192.168.1.254 -p udp -sport domain
przepuszczenie pozostaych pakietw, nie kierowanych bezporednio do zapory
sieciowej; naley tu uy dodatkowego acucha inputnet, poniewa w poleceniu moe
wystpi tyko jedna opcja -d:
ipchains N inputnet
ipchains -A inputnet -j ACCEPT -d ! 192.168.1.254 ipchains -A input -j inputnet -s 192.168.1.0/24 ipchains -A input -j inputnet -d 192.168.1.0/24 ipchains -A input -j inputnet s 148.81.1.0/24 ipchains -A input -j inputnet d 148.81.1.0/24 ipchains -A input -j inputnet s 148.81.1.0/24 ipchains -A input -j inputnet d 148.81.1.0/24
Ustawienie regu filtrowania dla acucha forward:
blokowanie pakietw pochodzcych z lub kierowanych do sieci lokalnych (naley
pamita o umieszczeniu reguy maskowania IP na pocztku acucha forward):
ipchains -A forward -j DENY s 127.0.0.0/8 ipchains -A forward -j DENY d 127.0.0.0/8 ipchains -A forward -j DENY s 192.168.0.0/16 ipchains -A forward -j DENY d 192.168.0.0/16
blokowanie pakietw rozgoszeniowych:
ipchains -A forward -j DENY d 192.168.1.255 ipchains -A forward -j DENY d 148.81.1.255 ipchains -A forward -j DENY d 148.81.2.255 ipchains -A forward -j DENY d 255.255.255.255
przepuszczenie pakietw dotyczcych korzystania z wybranych usug:
ipchains -A forward -j ACCEPT -p tcp ! -y ipchains -A forward -j ACCEPT -p icmp
-
Ochrona sieci lokalnej za pomoc zapory sieciowej
27
ipchains -A forward -j ACCEPT s 192.168.1.0/24 -p tcp -dport http ipchains -A forward -j ACCEPT s 192.168.1.0/24 -p tcp -dport ssh ipchains -A forward -j ACCEPT s 192.168.1.0/24 -p tcp -dport smtp ipchains -A forward -j ACCEPT s 192.168.1.0/24 -p tcp -dport domain ipchains -A forward -j ACCEPT s 192.168.1.0/24 -p udp b -dport domain ipchains -A forward -j ACCEPT d 148.81.2.0/24 -p tcp -dport http ipchains -A forward -j ACCEPT d 148.81.2.0/24 -p tcp -dport ssh ipchains -A forward -j ACCEPT d 148.81.2.0/24 -p tcp -dport smtp ipchains -A forward -j ACCEPT d 148.81.2.0/24 -p tcp -dport domain ipchains -A forward -j ACCEPT d 148.81.2.0/24 -p udp b -dport domain ipchains -A forward -j ACCEPT d 148.81.2.0/24 s 192.168.1.0/24
-p tcp -dport telnet
ipchains -A forward -j ACCEPT d 148.81.2.0/24 s 192.168.1.0/24 -p tcp -dport pop-3
Po wydaniu przedstawionych polece reguy wywietlone poleceniem ipchains -L powinny
wyglda nastpujco:
Chain input (policy DENY): Target rot opt source destination ports
ACCEPT all ----- anywhere anywhere n/a ACCEPT tcp !y--- anywhere anywhere any -> any
ACCEPT tcp ----- anywhere 192.168.1.254 any -> ssh
ACCEPT tcp ----- anywhere 148.81.1.254 any -> ssh
ACCEPT tcp ----- anywhere 148.81.2.254 any -> ssh
ACCEPT tcp ----- anywhere 148.81.2.254 any -> domain
ACCEPT udp ----- anywhere 148.81.2.254 any -> domain
ACCEPT udp ----- 148.81.2.254 anywhere domain -> any
ACCEPT tcp ----- anywhere 192.168.1.254 any -> domain
ACCEPT udp ----- anywhere 192.168.1.254 any -> domain
ACCEPT udp ----- 192.168.1.254 anywhere domain -> any
inputnet all ----- 192.168.1.0/24 anywhere n/a inputnet all ----- anywhere 192.168.1.0/24 n/a inputnet all ----- 148.81.1.0/24 anywhere n/a inputnet all ----- anywhere 148.81.1.0/24 n/a inputnet all ----- 148.81.1.0/24 anywhere n/a inputnet all ----- anywhere 148.81.1.0/24 n/a ACCEPT tcp ----- anywhere 192.168.1.254 any -> telnet
-
Z. Suski, P. Koodziejczyk
28
Chain forward (policy DENY): target prot opt source destination ports
MASQ all ----- 192.168.1.0/24 !192.168.1.0/24 n/a DENY all ----- 127.0.0.0/8 anywhere n/a DENY all ----- anywhere 127.0.0.0/8 n/a DENY all ----- 192.168.0.0/16 anywhere n/a DENY all ----- anywhere 192.168.0.0/16 n/a DENY all ----- anywhere 192.168.1.255 n/a DENY all ----- anywhere 148.81.1.255 n/a DENY all ----- anywhere 148.81.2.255 n/a DENY all ----- anywhere 255.255.255.255 n/a fornet all ----- 192.168.1.0/24 anywhere n/a fornet all ----- anywhere 148.81.2.0/24 n/a ACCEPT tcp ----- 192.168.1.0/24 148.81.2.0/24 any -> telnet ACCEPT tcp ----- 192.168.1.0/24 148.81.2.0/24 any -> pop-3
Chain output (policy ACCEPT): Chain inputnet (6 references): target prot opt source destination ports
ACCEPT all ----- anywhere !192.168.1.254 n/a
Chain fornet (2 references): target prot opt source destination ports
ACCEPT tcp !y--- anywhere anywhere any -> any
ACCEPT icmp ----- anywhere anywhere any -> any
ACCEPT tcp ----- anywhere anywhere any -> www
ACCEPT tcp ----- anywhere anywhere any -> ssh
ACCEPT tcp ----- anywhere anywhere any -> smtp
ACCEPT tcp ----- anywhere anywhere any -> domain
ACCEPT udp ----- anywhere anywhere any -> domain
ACCEPT udp ----- anywhere anywhere domain -> any
Aby taka konfiguracja bya realizowana automatycznie przy starcie systemu, naley
utworzy odpowiedni skrypt i jego wywoanie umieci w skrypcie startowym systemu, np.:
/etc/rc.d/rc.sysinit. Naley tu doda, e warto byoby tak zmieni skrypty startowe systemu
aby w pierwszej kolejnoci ustawi blokowanie wszystkich pakietw. W nastpnej
-
Ochrona sieci lokalnej za pomoc zapory sieciowej
29
kolejnoci uruchomi interfejsy sieciowe, a potem wywoa skrypt realizujcy waciw
konfiguracj filtrowania. Tre takiego skryptu konfiguracyjnego byaby nastpujca:
ipchains P input DENY
ipchains P forward DENY
ipchains P output ACCEPT
ipchains A input j ACCEPT i lo ipchains -A input -j ACCEPT -p tcp ! -y ipchains -A input -j ACCEPT d 192.168.1.254 -p tcp --dport ssh ipchains -A input -j ACCEPT d 148.81.1.254 -p tcp -dport ssh ipchains -A input -j ACCEPT d 148.81.2.254 -p tcp -dport ssh ipchains -A input -j ACCEPT d 148.81.2.254 -p tcp -dport domain ipchains -A input -j ACCEPT d 148.81.2.254 -p udp b -dport domain ipchains -A input -j ACCEPT d 192.168.1.254 -p tcp -dport domain ipchains -A input -j ACCEPT d 192.168.1.254 -p udp b -dport domain ipchains N inputnet
ipchains -A inputnet -j ACCEPT -d ! 192.168.1.254 ipchains -A input -j inputnet -s 192.168.1.0/24 ipchains -A input -j inputnet -d 192.168.1.0/24 ipchains -A input -j inputnet s 148.81.1.0/24 ipchains -A input -j inputnet d 148.81.1.0/24 ipchains -A input -j inputnet s 148.81.1.0/24 ipchains -A input -j inputnet d 148.81.1.0/24 ipchains A forward -j MASQ -s 192.168.1.0/24 -d ! 192.168.1.0/24 ipchains -A forward -j DENY s 127.0.0.0/8 ipchains -A forward -j DENY d 127.0.0.0/8 ipchains -A forward -j DENY s 192.168.0.0/16 ipchains -A forward -j DENY d 192.168.0.0/16 ipchains -A forward -j DENY d 192.168.1.255 ipchains -A forward -j DENY d 148.81.1.255 ipchains -A forward -j DENY d 148.81.2.255 ipchains -A forward -j DENY d 255.255.255.255 ipchains N fornet
ipchains -A fornet -j ACCEPT -p tcp ! -y ipchains -A fornet -j ACCEPT -p icmp ipchains -A fornet -j ACCEPT -p tcp -dport http ipchains -A fornet -j ACCEPT -p tcp -dport ssh
-
Z. Suski, P. Koodziejczyk
30
ipchains -A fornet -j ACCEPT -p tcp -dport smtp ipchains -A fornet -j ACCEPT -p tcp -dport domain ipchains -A fornet -j ACCEPT -p udp b -dport domain ipchains -A forward -j fornet s 192.168.1.0/24 ipchains -A forward -j fornet d 148.81.2.0/24 ipchains -A forward -j ACCEPT d 148.81.2.0/24 s 192.168.1.0/24
-p tcp -dport telnet
ipchains -A forward -j ACCEPT d 148.81.2.0/24 s 192.168.1.0/24 -p tcp -dport pop-3
5.1.6. Mechanizm IPTables
Jak wspomniano na pocztku pkt. 5, w jdrze wersji 2.4 dostpny bdzie nowy
mechanizm filtrowania pakietw i translacji adresw znany pod nazw IPTables. Mona
si z nim zapozna w dostpnych aktualnie wersjach rozwojowych jdra 2.3.x. Wersja
stabilna jest jeszcze w fazie testowania (wersja 2.4.0)3.
Mechanizm IPTables wydaje si by prostszy i bardziej przejrzysty od poprzednich
a przez to atwiejszy do zrozumienia. Umoliwi to konstruowanie atwiejszych
w konserwacji zapr sieciowych, unikn wielu pomyek przy ich budowie i tym samym
zwikszy bezpieczestwo sieci.
Cao zostaa podzielona na logiczne klasy-tablice (tables). Kada z nich zawiera
predefiniowane zbiory regu. Obecnie zaimplementowano nastpujce tablice:
filter jej zadaniem jest filtrowanie pakietw,
nat jej zadaniem jest translacja adresw rdowych i docelowych,
mangle jej zadaniem jest znakowanie pakietw. Tablica filter jest gwnie przeznaczona do budowy zapr filtrujcych, kontroli i zliczania ruchu w sieci, diagnostyki sieci. W tablicy tej umieszczono nastpujce predefiniowane
zbiory regu:
INPUT zbir regu dla pakietw przeznaczonych dla lokalnego hosta,
3 Jdra systemu Linux maj identyfikatory postaci: A.B.C. A jest numerem wersji, B- numerem podwersji, C-
numerem aty (patch). Wersja jest stabilna, jeeli B jest liczb parzyst. Pozostae to wersje rozwojowe (beta), przeznaczone gwnie dla tworzcych jdro programistw, a take osb chccych sprawdzi jego nowe moliwoci.
-
Ochrona sieci lokalnej za pomoc zapory sieciowej
31
OUTPUT - zbir regu dla pakietw pochodzcych z lokalnego hosta,
FORWARD - zbir regu dla pakietw przechodzcych przez lokalny router.
Tablica nat jest gwnie przeznaczona do maskowania adresw IP (IP masquerading), przekierowania portw (port forwarding), budowy przezroczystych proxy (transparent
proxying). W tablicy tej umieszczono nastpujce predefiniowane zbiory regu:
PREROUTING zbir regu dla pakietw przychodzcych z zewntrz hosta,
OUTPUT - zbir regu dla pakietw pochodzcych z lokalnego hosta,
POSTROUTING - zbir regu dla pakietw wychodzcych na zewntrz hosta.
Tablica mangle suy gwnie do kontroli przepywu danych (ograniczanie pasma, routing rozszerzony). W tablicy tej umieszczono nastpujce predefiniowane zbiory regu:
PREROUTING jak dla tablicy nat,
OUTPUT jak dla tablicy nat. Oprcz predefiniowanych, mona rwnie wykorzystywa wasne zbiory regu. Kolejno przetwarzania poszczeglnych zbiorw regu przedstawiono na rys. 9.
Rys. 9. Droga pakietw przez tablice IPTables
W regule definiowany jest wzorzec i akcja. Wzorzec to kryterium jakie musi speni
pakiet, aby wykonana zostaa na nim okrelona akcja. W IPTables mona definiowa
nastpujce wzorce:
docelowy i rdowy adres IP,
protok (TCP, UDP, ICMP),
PREROUTING FORWARD POSTROUTING
INPUT OUTPUT
Proces lokalny
(mangle, nat) (filter) (nat)
(filter) (mangle, nat, filter)
-
Z. Suski, P. Koodziejczyk
32
interfejs sieciowy,
flagi pakietw (SYN, ACK, FIN, URG, itd.),
typy pakietw (echo-reply, echo-reguest, destination-unreachable),
docelowy i rdowy port pakietw TCP i UDP,
adres MAC interfejsw ethernetowych,
czstotliwo napywu pakietw,
staus pakietu (NEW, ESTABLISHED, RELATED, INVALID),
waciciel pakietu (UID, GID, PID, SID).
Lista akcji przedstawia si nastpujco:
DROP zniszczenie pakietu,
ACCEPT przepuszczenie pakietu,
RETURN zakoczenie przetwarzania biecego zbioru regu,
QUEUE umieszczenie pakietu w kolejce do procesu uytkownika,
MARK oznakowanie pakietu,
REJECT zniszczenie pakietu z powiadomieniem nadawcy (przez ICMP),
TOS ustawienie flag TOS (Type Of Service) pakietu,
DNAT translacja adresu docelowego,
SNAT translacja adresu rdowego,
REDIRECT przekierowanie pakietu na inny port,
MASQUERADE maskowanie adresu IP.
5.1.7. Przykad 3
W kolejnym przykadzie przyjlimy topologi sieci przedstawion na rys. 10.
Charakterystyka sieci:
komputer w zaporze wyposaony jest w trzy interfejsy sieciowe: dla poczenia
z Internetem i poczenia z sieciami lokalnymi; peni wic te rol routera,
jedna z podsieci zawiera serwery z prywatnymi adresami IP,
druga podsie zawiera tylko komputery klienckie z adresami IP rwnie z puli
prywatnej,
zapora sieciowa wykonuje filtrowanie, z domylnym blokowaniem pakietw,
polegajce na przepuszczaniu pakietw tylko gwnych usug sieciowych.
-
Ochrona sieci lokalnej za pomoc zapory sieciowej
33
Postawiony cel mona osign konfigurujc komputer w zaporze przy pomocy
przedstawionego poniej cigu polece. Polecenia te powinny zosta umieszczone
w jednym ze skryptw wywoywanych podczas startu systemu.
Rys. 10. Topologia sieci z przykadu 3
Reguy wstpne:
iptables -N log_and_drop
iptables -A log_and_drop -j LOG
iptables -A log_and_drop -j DROP
iptables -N log_and_reject
iptables -A log_and_reject -j LOG iptables -A log_and_reject -j REJECT
Internet
192.168.2.5 192.168.2.3
192.168.2.4192.168.2.2
eth0: 148.81.1.1
eth2
: 1
92.1
68.2
.1
eth1
: 1
92.1
68.1
.1
192.168.1.2
SMTP,POP3,IMAP
192.168.1.3
HTTP, HTTPS
DNS, WWW Proxy
webserver inetserver gateway
-
Z. Suski, P. Koodziejczyk
34
Konfiguracja NAT Pakiety przychodzce z Internetu skierowane do hosta gateway na port 80 (WWW) oraz
port 443 (HTTPS), zostan skierowane do hosta webserver.
iptables -t nat -A PREROUTING -i eth0 -p TCP -d 148.81.1.1
--dport www -j DNAT --to-destination 192.168.1.3:www iptables -t nat -A PREROUTING -i eth0 -p TCP -d 148.81.1.1
--dport https -j DNAT --to-destination 192.168.1.3:https
Pakiety kierowane do hosta gateway na port 25 (SMTP), zostan skierowane do hosta
inetserver:
iptables -t nat -A PREROUTING -i eth0 -p TCP -d 148.81.1.1
--dport smtp -j DNAT --to-destination 192.168.1.2:smtp
Ruch HTTP i HTTPS przychodzcy z sieci LAN i kierowany na zewntrz, przepuszczamy
przez przezroczyste proxy. Rol serwera proxy peni bdzie program SQUID
nasuchujcy w porcie 8081 (tproxy):
iptables -t nat -A PREROUTING -i eth2 -p TCP -d ! 148.81.1.1
--dport www -j REDIRECT --to-port tproxy iptables -t nat -A PREROUTING -i eth2 -p TCP -d ! 148.81.1.1
--dport https -j REDIRECT --to-port tproxy
Dla wszelkiego ruchu wychodzcego do Internetu ustawiamy maskowanie adresw:
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 148.81.1.1
Konfiguracja filtra
!"Zbir regu INPUT:
Tworzymy wasny zbir regu pod nazw ext_in:
iptables -N ext_in
Kierujemy do tego zbioru wszystkie pakiety przychodzce z interfejsu eth0:
iptables -A INPUT -i eth0 -j ext_in
Odrzucamy i rejestrujemy pakiety nie skierowane na zewntrzny adres IP:
iptables -A ext_in -d ! 148.81.1.1 -j log_and_drop
-
Ochrona sieci lokalnej za pomoc zapory sieciowej
35
Dopuszczamy ruch DNS oraz SSH:
iptables -A ext_in -p TCP -d 148.81.1.1 --dport domain -j ACCEPT iptables -A ext_in -p UDP -d 148.81.1.1 --dport domain -j ACCEPT iptables -A ext_in -p TCP -d 148.81.1.1 --dport ssh -j ACCEPT
Dopuszczamy ruch ICMP oraz TCP i UDP na portach wolnodostpnych:
iptables -A ext_in -p TCP --dport 1024-65535 -j ACCEPT iptables -A ext_in -p UDP --dport 1024-65535 -j ACCEPT iptables -A ext_in -p ICMP -j ACCEPT
Ca reszt ruchu z zewntrz odrzucamy i rejestrujemy:
iptables -A ext_in -j log_and_drop
Nie ograniczamy ruchu z wntrza obydwu sieci wewntrznych do hosta gateway:
iptables -A INPUT -i eth2 -s 192.168.2.0/24 -d 192.168.2.1 -j ACCEPT iptables -A INPUT -i eth1 -s 192.168.1.0/24 -d 192.168.1.1 -j ACCEPT
Ca reszt ruchu z sieci wewntrznych odrzucamy i rejestrujemy:
iptables -A INPUT -j log_and_drop
!"Zbir regu OUTPUT
Blokujemy nawizywanie pocze z podsieci komputerw klienckich, a reszt
dopuszczamy:
iptables -A OUTPUT -o eth2 --match state --state NEW
iptables -P OUTPUT -j ACCEPT
!"Zbir regu FORWARD
Definiujemy 6 podzbiorw regu:
iptables -N fw_lan_isn
iptables -N fw_lan_inet
iptables -N fw_lan_lan
iptables -N fw_isn_inet
iptables -N fw_inet_lan
iptables -N fw_inet_isn
-
Z. Suski, P. Koodziejczyk
36
Kierujemy pakiety do poszczeglnych podzbiorw regu:
iptables -A FORWARD -i eth2 -s 192.168.2.0/24 -o eth1 -j fw_lan_isn iptables -A FORWARD -i eth2 -s 192.168.2.0/24 -o eth0 -j fw_lan_inet iptables -A FORWARD -i eth1 -s 192.168.1.0/24 -o eth2 -j fw_isn_lan iptables -A FORWARD -i eth1 -s 192.168.1.0/24 -o eth0 -j fw_isn_inet iptables -A FORWARD -i eth0 -o eth2 -j fw_inet_lan iptables -A FORWARD -i eth0 -o eth1 -j fw_inet_isn
Dopuszczamy ruch ICMP, reszt odrzucamy i rejestrujemy:
iptables -A FORWARD -p ICMP -j ACCEPT iptables -A FORWARD -j log_and_drop
Ustawiamy reguy w kadym ze zdefiniowanych podzbiorw. Przeledzenie ich
pozostawiamy czytelnikowi:
iptables -A fw_lan_isn -p TCP -d webserver --dport ssh -j ACCEPT iptables -A fw_lan_isn -p TCP -d webserver --dport www -j ACCEPT iptables -A fw_lan_isn -p TCP -d webserver --dport https -j ACCEPT iptables -A fw_lan_isn -p TCP -d inetserver --dport ssh -j ACCEPT iptables -A fw_lan_isn -p TCP -d inetserver --dport smtp -j ACCEPT iptables -A fw_lan_isn -p TCP -d inetserver --dport pop-3 -j ACCEPT iptables -A fw_lan_isn -p TCP -d inetserver --dport imap -j ACCEPT iptables -A fw_lan_isn -p TCP --dport 1024-65535 -j ACCEPT iptables -A fw_lan_isn -p UDP --dport 1024-65535 -j ACCEPT iptables -A fw_lan_inet -p TCP --dport www -j log_and_drop iptables -A fw_lan_inet -p TCP --dport https -j ACCEPT iptables -A fw_lan_inet -p TCP --dport ftp -j ACCEPT iptables -A fw_lan_inet -p TCP --dport ftp-data -j ACCEPT iptables -A fw_lan_inet -p TCP --dport ssh -j ACCEPT iptables -A fw_lan_inet -p UDP --dport domain -j ACCEPT iptables -A fw_lan_inet -p TCP --1024-65535 -j ACCEPT iptables -A fw_lan_inet -p UDP --1024-65535 -j ACCEPT iptables -A fw_isn_lan -j ACCEPT iptables -A fw_isn_inet -j ACCEPT iptables -A fw_inet_isn -p TCP -d webserver --dport www -j ACCEPT iptables -A fw_inet_isn -p TCP -d webserver --dport https -j ACCEPT iptables -A fw_inet_isn -p TCP -d inetserver --dport smtp -j ACCEPT iptables -A fw_inet_isn -p TCP --dport 0-1023 -j log_and_drop
-
Ochrona sieci lokalnej za pomoc zapory sieciowej
37
iptables -A fw_inet_isn -p TCP --dport 1024-65535 -j ACCEPT iptables -A fw_inet_isn -p UDP --dport 1024-65535 -j ACCEPT iptables -A fw_inet_lan -p TCP --dport 0-1023 -j log_and_drop iptables -A fw_inet_lan -p UDP --dport 0-1023 -j log_and_drop iptables -A fw_inet_lan --match state --state NEW -j log_and_drop iptables -A fw_inet_lan -j ACCEPT
6. Komercyjne zapory sieciowe
Na rynku dostpnych jest wiele komercyjnych zapr sieciowych. Nale do nich m.in.:
AltaVista Firewall 98
BorderWare Firewall Server
Cisco PIX Firewall
Check Point Firewall-1
Gauntlet Firewall
Raptor Firewall
ISA Server 2000
AltaVista Firewall 98
5 maja 1998 firma Digital Equipment Corporation, wprowadzia na rynek AltaVista
Firewall 98, najnowsz wwczas wersj wielokrotnie nagradzanego oprogramowania,
dziaajcego w rodowisku systemw Windows NT i UNIX. Oprogramowanie AltaVista
Firewall 98, certyfikowane przez stowarzyszenie NCSA, jest zapor, ktra chroni sie
aktywnie, automatycznie wczajc mechanizmy przeciwdziaajce i podejmujce
zaawansowane akcje, gdy atak staje si grony. W poczeniu z AltaVista Tunnel 98
oprogramowanie AltaVista Firewall 98 zapewnia administratorom sieci moliwo
tworzenia wirtualnych sieci prywatnych (virtual private network VPN) na bazie Internetu.
Konstruktorzy AltaVista Firewall 98 przewidzieli obsug izolowanych sieci LAN lub
tzw. stref zdemilitaryzowanych (DMZ), w ktrych przedsibiorstwa mog umieszcza
serwery wspomagajce klientw lub umoliwiajce prowadzenie handlu. Strefy DMZ
zawierajce serwery WWW, serwery pocztowe lub niewidoczne serwery FTP s chronione
-
Z. Suski, P. Koodziejczyk
38
przez mechanizmy AltaVista Firewall 98, ale s nadal dostpne poprzez Internet.
Graficzny interfejs uytkownika umoliwia administratorom systemu ustalanie w prosty
sposb zasad bezpieczestwa oddzielnych dla stref DMZ i sieci intranetowych.
Uytkownicy AltaVista Firewall 98 mog integrowa wyroby innych producentw
zapewniajc bezpieczestwo caego rodowiska poprzez stosowanie protokou CVP
(Content Vectoring Protocol). Cz zwykych aplikacji obsugujcych protok CVP
zawiera oprogramowanie Finjan Java Screening dla apletw w jzyku Java oraz Norton
Antivirus firmy Symantec dla ochrony przed wirusami.
Administratorzy mog tworzy i wdraa specyficzne zasady dla poszczeglnych
grup uytkownikw i serwerw. Poprzez specyfikacj praw dostpu dla poszczeglnych
serwerw, grup lub oddziaw, mona uzyska szerokie i elastyczne moliwoci
definiowania zasad bezpieczestwa w obrbie caej firmy. Na przykad, tylko pracownicy
dziau osobowego mog mie dostp do serwera obsugujcego ten dzia, natomiast
wszyscy zatrudnieni bd mogli skorzysta z technicznych opisw produktw, ktre
mieszcz si na serwerze dziau marketingu.
Jako znaczce rozszerzenie moliwoci aktywnego reagowania AltaVista Firewall
98 na prby wama wprowadzono opcj ustawiania progu liczby zdarze, ktre powoduj
wczenie alarmu. Gdy takie zdarzenie wystpuje w systemie, zapora notuje ile razy ono
wystpio, wczajc alarm tylko w przypadku przekroczenia ustalonej liczby zdarze.
Taka moliwo redukuje liczb faszywych alarmw powodowanych na przykad
wprowadzeniem przez uytkownika nieprawidowego hasa jeden lub dwa razy.
BorderWare Firewall Server
BorderWare Firewall Server jest kompletnym serwerem Internetu oraz systemem
bezpieczestwa. Uniemoliwia niepowoanym uytkownikom dostp do poufnych
informacji w sieciach wewntrznych, zapewniajc jednoczenie autoryzowanym
uytkownikom korzyci pynce z penego dostpu do Internetu.
BorderWare Firewall Server czy w sobie internetowe serwery poziomu aplikacji
takie jak World Wide Web, Mail, News i Name Service oraz "proxy" dla aplikacji takich jak
Mosaic, Telnet i FTP, z przezroczystym firewallem IP. Wszystkie standardowe aplikacje
sieciowe, takie jak Telnet, FTP czy Mosaic, mog pracowa bez adnych modyfikacji
poniewa serwery proxy s dla nich przeroczyste Firewall umoliwia dostp z Internetu
-
Ochrona sieci lokalnej za pomoc zapory sieciowej
39
do sieci wewntrznej jedynie legalnym uytkownikom. Schematy autoryzacji uytkownikw
wykorzystuj do generowania jednokrotnych hase algorytmy oparte na DES. Aby
wygenerowa jednorazowe haso suce do zweryfikowania tosamoci, uytkownik musi
posiada specjaln kart bezpieczestwa CryptoCard ("token") i osobisty numer
identyfikacyjny (PIN). BorderWare Firewall Server potrafi wykorzystywa serwer
autentykacji SafeWord w celu potwierdzania tosamoci uytkownikw sieci. Ale ju
sam BorderWare Firewall Server moe korzysta z ponad 20 typw kart autentykacyjnych,
wcznie z SafeWord DES Gold.
BorderWare Firewall Server umoliwia badanie, kontrolowanie, audytowanie
i weryfikowanie caego ruchu sieciowego przychodzcego i wychodzcego z sieci
zaufanej, zarwno na poziomie pakietw, jak i na poziomie poczenia.
Jest on konfigurowany jest za pomoc dowolnej przegldarki WWW obsugujcej
aplety Javy. Poprzez interfejs graficzny napisany w Javie mona zmieni tryb pracy
serwera, prawa dostpu czy te zdefiniowa nowy poziom bezpieczestwa. Odpowiednio
przygotowane przez producenta skrypty sprzone z interfejsem graficznym znakomicie
uatwiaj konfigurowanie pakietu. Mona okreli z ktrych serwerw i w jakich godzinach
mona korzysta, a z ktrych nie. Np. od 8.00 do 15.00 zabraniamy korzysta z WWW
i FTP. Dla kadego dnia tygodnia mona przygotowa inn konfiguracj. Dziki
zastosowaniu zaawansowanego systemu autoryzacji uytkownikw wykorzystujcego
szyfrowanie transmisji z uyciem mechanizmu SSL (Secure Sockets Layer) praktycznie
wykluczono moliwo zmieniania ustawie serwera przez osob nieuprawnion. Dziki
temu z powodzeniem mona bezpiecznie zarzdza firewallem z dowolnego miejsca
w Internecie.
W celu podwyszenia poziomu zabezpiecze sieciowych BorderWare Firewall
Server oferuje moliwo zwielokrotnionej translacji adresw (Multiple Address Translation
MAT). W wyniku uzyskujemy poczenie ochrony przed atakiem z zewntrz z obsug
wielu serwerw internetowych jednej klasy, np. serwerw WWW przypisanych do rnych
domen. Serwery umieszczone w opcjonalnej, bezpiecznej sieci serwerw (Secure Server
Network - SSN) mog by widziane z zewntrz poprzez odpowiednie nazwy symboliczne
lub adresy IP. SSN jest opcjonalnym rozwizaniem dajcym moliwo zintegrowania
z firewallem serwerw pochodzcych od innych producentw bez naruszania integralnoci
samego firewalla, przy zapewnieniu ochrony "obcym" serwerom. Komputery, na ktrych
pracuj dodatkowe serwery s umieszczane w sieci podczonej do trzeciego interfejsu
-
Z. Suski, P. Koodziejczyk
40
sieciowego firewalla. Ten trzeci segment sieci jest odseparowany od pozostaych
segmentw, co powoduje, e w przypadku wamania do jednego z hostw w SSN nie
zostanie naruszone bezpieczestwo chronionej sieci wewntrznej. Dziki SSN nie trzeba
dodatkowych serwerw umieszcza przed firewallem naraajc je tym samym na
bezporednie ataki, ani w sieci wewntrznej, co z kolei obniyoby jej zabezpieczenia.
Dziki MAT moliwe jest rwnie ukrycie za jednym BorderWare Firewall Serverem
kilku dublujcych si serwerw, rozkadajcych pomidzy siebie obcienie ruchem
sieciowym. Uzyskujemy wtedy due lepsze parametry pracy systemu, zwaszcza
w przypadku intensywnie odwiedzanych serwerw WWW. W celu filtrowania dostpu do
dokumentw identyfikowanych przez URL (np. stron WWW) zintegrowano z firewallem
system SmartFilter. Zapobiega to wykorzystywaniu sieci w celach innych ni zawodowe,
zatykaniu przepustowoci cza internetowego i stracie czasu pracownikw.
W BorderWare Firewall Server wbudowany jest cakowicie automatyczny system
zarzdzania kluczami szyfrowania, ktry pozwala na atw i bezpieczn wymian kluczy.
Elementem tego systemu jest mocny algorytm szyfrowania, co przy zautomatyzowaniu
procesu generowania nowych kluczy redukuje prawdopodobiestwo uzyskania przez
niepowoane osoby dostpu do kluczy szyfrowania. Wpywa to rwnie na efektywno
przebiegu procedury wymiany kluczy.
Rozszerzajc zakres zabezpiecze poza firewall wprowadzono system Wirtualnej
Sieci Prywatnej (VPN) zapewniajcy bezpieczn i poufn komunikacj przez Internet.
BorderWare Firewall Server ma moliwo czenia si z innymi produktami zgodnymi ze
standardem IPSec tworzc zaszyfrowany kana komunikacyjny. Przy wykorzystaniu
Internetu jak szkieletu takiej sieci uzyskujemy za niewielk cen moliwo efektywnej
i poufnej komunikacji klasy WAN z rnymi miejscami na caym wiecie.
Cisco PIX Firewall
Cisco PIX Firewall (Private Internet Exchange) do ochrony sieci przed
niepowoanym dostpem z zewntrz, wykorzystuje mechanizm translacji adresw NAT
(Network Address Translation). Technologia NAT jest dostpna w systemie operacyjnym
routerw Cisco (Cisco IOS) od poowy 1996 roku.
-
Ochrona sieci lokalnej za pomoc zapory sieciowej
41
PIX jest urzdzeniem wyposaonym w dwa porty Ethernet. W klasycznej
konfiguracji jeden z portw doczony jest do sieci lokalnej, drugi natomiast do
wyodrbnionego segmentu, w ktrym znajduje si tylko router internetowy. Ilustruje to
rys. 11.
Rys. 11. Topologia sieci wykorzystujcej Cisco PIX Firewall
PIX operuje na bezpiecznym jdrze czasu rzeczywistego, ktre zapewnia
dodatkowy poziom zabezpiecze. Urzdzeniem tym praktycznie nie trzeba administrowa.
Jest te bezpieczniejsze ni firewall oparty na systemie UNIX. Wszelkie operacje dostpu
s kontrolowane i rejestrowane za pomoc standardowego mechanizmu rejestrowania
wydarze (syslog TCP/IP Berkeley UNIX). PIX gromadzi szereg informacji istotnych
z punktu widzenia bezpieczestwa oraz administrowania sieci.
Oprogramowanie PIX jest skalowalne i atwe do konfigurowania. Typowa
konfiguracja zajmuje okoo 5 minut. Oprogramowanie to oferuje rwnie wysok
wydajno (maksymalnie ponad 16000 rwnoczesnych pocze, translacj adresw
z prdkoci do 45 Mb/s).
Zastosowanie karty Cisco PIX Private Link umoliwia bezpieczn komunikacj
midzy wieloma systemami PIX przez Internet z uyciem standardu algorytmu szyfrowania
DES (Data Encryption Standard). Para takich urzdze pozwala korzysta z Internetu jako
bezpiecznego medium transmisji dla poufnych informacji. Ilustruje to rys. 12. Technicznie
jest to realizowane w taki sposb, e pakiet IP po dotarciu do PIX Private Link jest
szyfrowany, umieszczony w pakiecie UDP i przesany przez Internet do bliniaczego
urzdzenia. Takie rozwizanie sprawia, e s szyfrowane take adresy IP komputerw
biorcych udzia w komunikacji, natomiast zastosowanie protokou UDP nie powoduje
nadmiernego wzrostu iloci transmitowanych danych.
-
Z. Suski, P. Koodziejczyk
42
Rys. 12. VPN utworzona przy pomocy PIX Private Link
PIX zosta rwnie wyposaony w mechanizm, zapobiegajcy przechwytywaniu
sesji TCP na podstawie przewidywania numerw sekwencyjnych TCP. Podczas gdy
wikszo dostpnych na rynku pakietw programowych wykorzystujcych do transmisji
protok TCP/IP posuguje si zwykym, liniowym zwikszaniem numerw sekwencyjnych,
co upraszcza przewidywanie numerw nastpnych a tym samym przejmowanie sesji, PIX
posuguje si losow generacj tych numerw.
Check Point Firewall-1
Check Point Firewall-1 jest oprogramowaniem umoliwiajcym kreowanie wasnej
polityki bezpieczestwa dla caych przedsibiorstw i dowolnie duych sieci po
zainstalowaniu na jednej stacji roboczej. Bazuje na technologii wielowarstwowej inspekcji
(Stateful Multi-Layer Inspection Technology), charakteryzujcej si wysokim stopniem
bezpieczestwa i du wydajnoci. Oferuje kombinacj zabezpiecze na poziomie sieci
i aplikacji uytkowych, gwarantujc szczelno zabezpiecze dla dowolnie duych
organizacji, z jednoczesnym przezroczystym dostpem do zasobw Internetu. Wszystkie
przychodzce i wychodzce pakiety danych s sprawdzane pod ktem zgodnoci
z zaoon polityk bezpieczestwa i natychmiast odrzucane w przypadku jej naruszenia.
Jak w wikszoci tego typu produktw dostpna jest rwnie translacja adresw IP (NAT).
Dziki dynamicznym mechanizmom autoryzacyjnym na poziomie aplikacji, Check
Point Firewall-1 umoliwia realizowanie bezpiecznych pocze dla ponad 100
wbudowanych serwisw takich jak World Wide Web, FTP, RCP, Mbone i caa rodzina
UDP cznie z RealAudio (dwik) i VDO (obraz).
-
Ochrona sieci lokalnej za pomoc zapory sieciowej
43
Modu szyfrujcy VPN (Virtual Private Network) umoliwia tworzenie wirtualnych,
prywatnych i komercyjnych sieci na bazie publicznych sieci rozlegych takich jak Internet.
Zastosowana metoda Diffie-Hellmana pozwala wybra kombinacj parametrw
gwarantujcych odpowiedni do potrzeb szybko dziaania, efektywno
i bezpieczestwo okrelonej konfiguracji. Dostpny jest take modu szyfrujcy DES oraz
modu wykorzystujcy do przesyania danych protok IPSec. Jeszcze jedn metoda
szyfrowaniu ruchu TCP/IP umoliwiajca tworzenie wirtualnych sieci prywatnych jest SKIP
(Simple Key Management for IP).
Dziki moduowi SecuRemote Client uytkownicy przenonych stacji Microsoft
Windows maj moliwo poczenia bezporednio lub poprzez dostawc usug Internet
z sieci korporacyjn w sposb analogiczny do poczenia wewntrz wasnej sieci. Zostao
to zrealizowane poprzez rozszerzenie idei VPN na odlege stacje robocze. Poszczeglni
uytkownicy mog uzyska zagwarantowany szyfrowany dostp do chronionych danych
firmy bez potrzeby instalacji oprogramowania Firewall-1 w miejscu swojej pracy. Istnieje
take moliwo oferowania dostpu do szyfrowanych danych serwera za opat. Istotn
cech klienta PC uywajcego SecuRemote jest brak koniecznoci zmiany lokalnego
rodowiska pracy (karta sieciowa i transport TCP/IP pozostaj te same) oraz obsuga
dynamicznych adresw IP uywanych w typowych poczeniach modemowych.
Administrator zarzdza dostpem takich klientw za pomoc edytora zasad
bezpieczestwa (Rules Editor).
Modu Client Level Security obsuguje autoryzacj klientw za pomoc specjalnych
urzdze (np. SecurID) lub kluczy programowych takich jak haso systemu UNIX lub
wewntrzne haso FireWall-1. Modu User Level Security gwarantuje chroniony dostp dla
wybranych uytkownikw przy uyciu metod analogicznych jak zastosowane w Client
Level Security. Autoryzacja uytkownikw dotyczy indywidualnych kont uytkowych,
natomiast autoryzacja klientw dotyczy wszystkich uytkownikw na maszynie z wybran
aplikacj.
Check Point FireWall-1 jest dostpny dla platform Solaris Intel, Solaris SPARC,
Windows NT i HP-UX. Gwarantuje to zapewnienie penej wsppracy moduw
zainstalowanych na rnych platformach sprztowo-programowych.
-
Z. Suski, P. Koodziejczyk
44
Graficzny Modu Zarzdzajcy (GUI) zaprojektowano do pracy wg modelu klient-
serwer. Dziki temu moduowi, administrator moe zarzdza baz danych Check Point
FireWall z dowolnego wza sieci - komputera Solaris Intel, SPARC, HP-UX, Windows 95
lub Windows NT. Przykad okna moduu przedstawiono na rys. 13.
Rys. 13. Przykad okna dialogowego Graficzny Modu Zarzdzajcy Check Point FireWall-1
FireWall-1 HTTP Authentication Proxy pozwala na kontrolowane wiadczenie usug
WWW. Ochrona dostpu dotyczy moe dowolnej liczby serwerw webowych. Dostpna
jest rwnie funkcja nadzorowania serwisu WWW. Administrator moe okreli oglne
zasady korzystania z usugi HTML przez poszczeglnych uytkownikw. Moe np.
zezwoli na przegldanie pewnych serwerw tylko w okrelonym czasie lub zabroni
odwiedzania wybranych lokalizacji.
Dostpny w pakiecie serwer SMTP zastpuje oryginalny serwer UNIXa oferujc
rozszerzon kontrol nad systemem poczty elektronicznej. Administrator ma szereg
dodatkowych moliwoci takich jak: ukrywanie rzeczywistych adresw pocztowych
poszczeglnych uytkownikw sieci lokalnej, przekierowywanie nadchodzcej poczty,
selekcj przychodzcych listw, blokowanie zacznikw do przesyek pocztowych,
odrzucanie listw przekraczajcych wyznaczony rozmiar.
-
Ochrona sieci lokalnej za pomoc zapory sieciowej
45
W ramach diagnostyki antywirusowej Firewall-1 bada pliki kopiowane do sieci
lokalnej za porednictwem protokou FTP pod ktem przenoszenia wirusw. Bada rwnie
poziom bezpieczestwa apletw Javy transmitowanych do sieci lokalnej.
Check Point FireWall-1 ma moliwo rwnowaenia obcienia serwerw
sieciowych. Napywajce z zewntrz zadania s przechwytywane i kierowane do
odpowiednich serwerw zgodnie z przyjtym algorytmem. Jest to szczeglnie przydatne
do regulacji obcienia lustrzanych serwerw HTTP. Obsugiwane s nastpujce metody
regulacji:
Server Load - zadanie zostaje skierowane do najmniej obcionego serwera,
Round Robin - wybr serwera odbywa si w sposb cykliczny,
Domain - zadania s kierowane do serwera, ktrego nazwa DNS jest najblisza
nazwie komputera inicjujcego to zadanie,
Load Measuring - zadania s kierowane do najmniej obcionego serwera zgodnie
ze wskazaniami procedury napisanej przez administratora,
Round Trip - kierowanie zadania s kierowane do komputera o najkrtszym czasie
odpowiedzi,
Random losowy wybr serwera.
W pakiecie zaimplementowano synchroniczn prac moduw. Umoliwia to
powielanie pracy komputerw zaporowych i wzajemne przejmowanie funkcji w przypadku
awarii jednego z nich. Dostpne s rwnie mechanizmy antyspoofingowe.
Gauntlet Firewall
Gauntlet Firewall czy metody zabezpiecze typu firewall-application gateway z tak
wanymi cechami jak zintegrowane zarzdzanie, czy zabezpieczenie transmitowanych
informacji. W wersji dla systemu UNIX dostpna jest take usuga wirtualnych sieci
prywatnych VPN. Budowa Gauntlet Firewall pozwala firmom realizowa polityk
bezpieczestwa umoliwiajc dostp jedynie do tych usug ktre zostay skonfigurowane
przez administratora i ktre mog by bezpiecznie uytkowane. Oto lista najwaniejszych
z nich:
-
Z. Suski, P. Koodziejczyk
46
HTTP Proxy Finger Proxy RealVideo Packet Filter
Gopher SMTP Proxy Proxy NAT
SHTTP POP Proxy Xing Proxy SecureID
SSL Lotus Notes Netshow Proxy Integrated VPN
JavaGuard Proxy VDOLive Proxy DES56
ActiveXGuard SNMP Proxy Sybase Proxy PCX Client
KeywordGuard NNTP Proxy Oracle Proxy Authentication
URL screening LPR Proxy Logging System Server
RSH Proxy Whois Proxy reports DNS Hiding
Telnet Proxy Circuit Proxy alerts Content Vector
Rlogin Proxy RealAudi scripting Protocol
Rlogin Proxy Proxy SNMP agent
X11 Proxy
Zarzdzanie pakietem Gauntlet Firewall realizuje si z poziomu dowolnej
przegldarki zdolnej do obsugi appletw jzyka JAVA. System dostpu do danych
czasu rzeczywistego umoliwia wspprac z najpopularniejszymi serwisami
multimedialnymi, takimi jak Microsoft Net Show czy VDOlive.
Gauntlet Firewall wsppracuje z powszechnie uznanymi programami
antywirusowymi. Uytkownik moe wybra dowolne oprogramowanie antywirusowe
dostosowane do jego potrzeb i z atwoci skonfigurowa Gauntlet Firewall do
wsppracy z tym oprogramowaniem. Ma to na celu kontrol antywirusow
przychodzcych z Internetu plikw, wiadomoci lub caego generowanego ruchu.
Jako i technologie takie jak Java lub ActiveX stanowi istotne
niebezpieczestwo dla systemw komputerowych, Gauntlet Firewall moe cakowicie
zablokowa dostp tego typu appletw do zabezpieczanej sieci. Dodatkowo posiada
rozbudowane moliwoci filtrowania adresw URL.
W wersji dla systemu UNIX, pakiet zawiera moliwoci pracy w standardzie
GVPN (Global Virtual Private Networks. Dla stworzenia bezpiecznego poczenia
wykorzystuje dla szyfrowania przesyanych informacji algorytm DES z kluczem 56
bitowym.
Gauntlet Firewall moe by zarzdzany i konfigurowany za pomoc takich
systemw zarzdzania jak HP OpenView lub CA Unicenter. Dodatkowo oferuje
-
Ochrona sieci lokalnej za pomoc zapory sieciowej
47
w chwili obecnej moliwo zarzdzania i dostpu do urzdze SNMP w sieci
lokalnej, Intranecie lub innej sieci rozlegej bez wystawiania systemu na
niebezpieczestwo.
Omawiany pakiet wsppracuje z najwaniejszymi systemami potwierdzania
autentycznoci takimi jak SecurID firmy Security Dynamics, AssureNET Pathways,
Radius, S/Key firmy Bellcore, CRYPTOCard RB-1, Digital Pathways SecurNet Key,
Digipass, Enigma Logics, NSA Fortezza, Vasco Data Security Access Key II, V-ONE
SmartCat. Administrator moe udostpni usugi tylko dla uytkownikw ktrzy
potwierdz sw tosamo.
Gauntlet Firewall pracuje na platformach: Windows NT, UNIX BSDI/OS (Intel),
Solaris, Hewlett Packard HP-UX, Silicon Graphics IRIX.
Raptor Firewall 6.0 dla Windows NT
Raptor Firewall dla Windows NT to system zabezpiecze czcy cechy filtra
pakietowego IP z systemem filtrw aplikacyjnych "proxy". Oprogramowanie zawiera
szereg mechanizmw bezpieczestwa, takich jak: anty-spoofing, bezpieczne
tunelowanie przez Internet dziki obsudze protokow IPSec oraz ISAKMP/Oakley,
mechanizmy autoryzacji oraz mechanizmy blokowania analizujce tre
przesyanych informacji: WebNOT i NewsNOT.
Raptor wprowadzony do sprzeday w 1996 roku by pierwszym systemem
firewall dla Windows NT. Raptor oferuje cis integracj z serwisami
i mechanizmami autoryzacji Windows NT Wykorzystuje mechanizmy
wielowtkowoci i wieloprocesorowoci systemu operacyjnego. Ukrywa wszystkie
systemy i adresy sieci wewntrznej oraz zakazuje wszystkich pocze z zewntrz
prcz jawnie dozwolonych. Raptor chroni take przed atakami na poziomie aplikacji,
ktre zazwyczaj nie s wykrywane na poziomie filtrw sieciowych i transportowych.
Raptor stosuje bezpieczne filtry aplikacyjne typu proxy, analizujce nastpujce
protokoy:
FTP NTP RealAudio Gopher
SMTP (e-mail SQL*Net Java H.323
telnet HTTP i HTTPS NNTP (News)
-
Z. Suski, P. Koodziejczyk
48
CIFS/SMBRaptor stosuje unikalny algorytm "best fit" realizujcy dopasowanie regu
dostpu do pocze sieciowych, co zmniejsza ryzyko popenienia bdu przez
administratora konfigurujcego firewall. Czynnoci administracyjne s realizowane
poprzez graficzny interfejs uytkownika (GUI), co znacznie je upraszcza.
Do zalet tego pakietu naley zaliczy szczegowy zapis pocze przechodzcych
przez firewall. Zapis ten pozwala administratorom szybko analizowa zachowanie sieci
i reagowa na ewentualne nieprawidowoci. Zebrane informacje mog by te
eksportowane do relacyjnej bazy danych w celu przeprowadzenia szczegowej analizy
lub billingu.
ISA Server 20004
ISA Server 2000 (Internet Security and Acceleration) jest nastpc MS Proxy
Servera 2.0. Oprcz realizowanej dotychczas przez ten pakiet funkcji bufora transmisji
internetowych, nowy pakiet moe peni funkcj firewalla i serwera VPN. Moliwe jest
rwnie budowanie konfiguracji klastrowych wykorzystujcych usugi Network Load
Balancing z Windows 2000 Advanced Server. czenie kilku serwerw buforujcych
w jeden system przypiesza dostp do stron internetowych.
Zapora sieciowa zbudowana w oparciu o ISA Server daje moliwo filtrowania nie
tylko na poziomie transmisji pakietw, lecz rwnie poprzez analiz stateful inspection
oraz technologi filtrw aplikacyjnych. Ostatnia z wymienionych technologii umoliwia
analiz kontekstu sesji komunikacyjnej, czyli zawartoci pakietw a nie tylko ich
nagwkw.
Poczenie VPN moe by realizowane w dwch trybach. W pierwszym, serwer ISA
poredniczy w komunikacji pomidzy sieci wewntrzn i zewntrzn funkcjonujc
w sposb anonimowy. W drugim moliwe jest bezporednie nawizanie pocze
pomidzy klientem w sieci wewntrznej a wzem w sieci publicznej. Translacja adresw
jest realizowana przez modu Secure NAT.
Podstawow zalet pakietu jest integracja z Windows 2000 i Active Directory.
Administrator moe tworzy tzw. polisy bezpieczestwa, okrelajce zasady na jakich
4 ISA Server 2000 w wersji beta jest dostpny pod adresem http:\\www.microsoft.com\isaserver.
-
Ochrona sieci lokalnej za pomoc zapory sieciowej
49
moe si odbywa komunikacja poprzez firewall. Uytkownik prbujcy uzyska dostp do
Internetu komunikuje si z ISA Serwerem. Ten pyta Active Directory, czy dany uytkownik
ma prawo korzysta z okrelonej usugi. Serwer usugi katalogowej odpowiada serwerowi
ISA i jeeli poczenie jest dopuszczalne, to jest ono zestawiane.
W czasie pracy tworzona jest szczegowa kronika zdarze. Administrator moe
by informowany o zdarzeniach za porednictwem poczty elektronicznej. Odpowiednie
akcje mog by rwnie podejmowane w sposb automatyczny. Polega to bdzie zwykle
na uruchamianiu odpowiednich skryptw. W pakiecie dostpna rwnie bdzie funkcja
generowania rnego rodzaju raportw statystycznych, np. o wykorzystaniu stron WWW.
Literatura
[1] V. Ahuja, Network & Internet Security. Academic Press 1996 (tum. MIKOM 1997). [2] E. Amoroso, Intrusion Detection : Introduction to Internet Surveillance, Correlation, Traps,
Trace Back, and Response, AT&T Inc., 1999 (tum. RM 1999). [3] D. Atkins. Internet Security: Professional Reference. New Riders Publishing 1997 (tum.
LT&P 1997). [4] B. Ball, Using Linux, Prentice Hall 1997 (tum. MIKOM 1999). [5] B. Chapman, E. Zwicky, Building Internet Firewalls, OReilly Press, 1996. [6] D. E. Comer, Internetworking with TCP/IP, Vol I, Prentice Hall 1992, (tum. WNT 1998). [7] S.Garfinkel, G.Spafford. Practical Unix and Internet Security. OReilly & Associates 1996
(tum. RM 1997). [8] L.Klander. Hacker Proof. Jamsa Press, 1997 (tum. MIKOM 1998). [9] T.J. Watson, Address Allocation for Private Internets, RFC 1597. [10] K. Egevang, P. Francis, The IP Network Address Translator (NAT), RFC 1631. [11] M. Grennan, Firewall and Proxy Server HOWTO, Sep. 1999. [12] D. Ranch, Linux IP Masquerade HOWTO, Jan. 2000. [13] P. Russell, Linux IPCHAINS-HOWTO, Mar. 1999. [14] R. Russell, Linux 2.4 NAT HOWTO, May 2000. [15] R. Russell, Linux 2.4 Packet Filtering HOWTO, May 2000.
Recenzent: prof. dr hab. in. Stanisaw Paszkowski Praca wpyna do redakcji: 30.06.2000