Wdrażanie i zarządzanie serwerami zabezpieczającymi

Wdrażanie i zarządzanie serwerami zabezpieczającymi mgr inż. Łukasz Jopek, Katedra Informatyki Stosowanej PŁ

Wdrażanie i zarządzanie serwerami zabezpieczającymi

Prezentacja do wykładu część 1


Organizacja zajęć (studia dzienne) :

Wykład : 15 godzin, Piątek, godz. 10:15 – 11:00, sala 105E.Prowadzący : mgr inż. Łukasz Jopek

http://ljopek.kis.p.lodz.plEmail: [email protected] przyjęć: środy, w godzinach 10-11, sala 323.

Laboratorium :Piątek, godz. 11:15 –13:00, sala 311.Prowadzący: mgr inż. Robert Nowotniak


Organizacja zajęć (studia zaoczne) :

Wykład : 10 godzin, Piątek, godz. 8:15 – 10:00, sala 320.Prowadzący : mgr inż. Łukasz Jopek

http://ljopek.kis.p.lodz.plEmail: [email protected] przyjęć: do uzgodnienia.

Laboratorium :Niedziela, godz. 9:15 –11:00, sala 307.Prowadzący: mgr inż. Robert Nowotniak


Organizacja zajęć (studia dzienne i zaoczne) :

Zaliczenie : egzamin, być może test ;)


Zawartość wykładu (studnia dzienne):

•Przedstawienie funkcjonalności iptables. •Instalacja oraz zarządzanie iptables. •Konfiguracja bezpiecznego dostępu do sieci dla wewnętrznych klientów przy użyciu iptables. •Konfiguracja iptables jako zapory ogniowej pomiędzy siecią wewnętrzną a Internetem. •Filtrowanie przepływu danych przy użyciu iptables.•Wprowadzanie polityki bezpieczeństwa z użyciem snort'a.


Zawartość wykładu (studnia zaoczne):

•Przedstawienie funkcjonalności iptables. •Instalacja oraz zarządzanie iptables. •Konfiguracja bezpiecznego dostępu do sieci dla wewnętrznych klientów przy użyciu iptables. •Konfiguracja iptables jako zapory ogniowej pomiędzy siecią wewnętrzną a Internetem. •Filtrowanie przepływu danych przy użyciu iptables.•Wprowadzanie polityki bezpieczeństwa z użyciem snort'a.


Przypomnienie najważniejszych informacji na tematSieci komputerowych.

•Co oznaczają skróty : LAN i WAN ?•Co to jest Adres IP ? Co to jest maska podsieci ? Jak wyznaczyć adressieci i hosta z adresu IP?•Co to jest adres sprzętowy (MAC) ?•Co to jest TCP? UDP ? IMCP ?•Jak działa switch ethernetowy ?•Co to jest routing ? A na czym polega mechanizm NAT ?•Co to jest pakiet ? Jakie informacje niesie ze sobą ?•Co to jest Model ISO/OSI ?•Co to są porty niskie i wysokie ?•…


Wykład 1. Iptables.Przedstawienie funkcjonalności i sposobu działa


Czy jest Iptables ?

•iptables to program sterujący filtrem pakietów opracowany dla systemu operacyjnego Linux. Pierwsze wersje powstały dla jądra w wersji 1.1

•Autor Rusty Russell napisał pierwszą wersję w 1998 roku. Oprogramowanie napisane zostało w języku C.

•Iptables może być używany w niemal każdym systemie z rodziny Linux, wymaga jednakże jądra skompilowanego z modułem ip_tables.

•Często się zdarza, że oprogramowanie iptables jest już zaimplementowany w systemie (jądra 2.4.x i 2.6.x)


Czy jest Iptables ? / główne zastosowania.

•Program może być używany jako filtr pakietów

•Program może być używany także jako stanowa zapora (ang. firewall)


Oprogramowanie Iptables

•Iptables może być używane w postaci łancuchów, tzn reguł

•Iptables może być używane w postaci skryptów zawierających reguły iptables

•Istnieją także alternatywne wersje oprogramowania iptables :

•Ebtables ( wersja iptables dla mostów sieciowych). Służy do konfiguracji Netfilter dla mostów sieciowych. Ebtables wchodzi w skład pakietu narzędzi Netfilter.

•Firestarter – jest to nakładka graficzna dla iptables. Jej głównie zadanie to ułatwienie konfiguracji i zarządzania oprogramowaniem iptables, szczególnie dla początkujących użytkowników.


Firestarter – nakładka graficzna dla iptables


Czym jest i jak działa filtrowanie pakietów ?Filtrowanie adresów IP opiera się na sprawdzaniu adresu źródłowego i docelowego w nagłówku pakietu IP i podejmowaniu odpowiednich działań w wypadku odnalezienia pakietuspełniającego pewne zdefiniowane reguły firewalla. Filtrować można również w oparciu o protokoły, można np. blokować pakiety protokółu ICMP odpowiadające za działanie popularnego polecenia ping. Choć przydatne w przypadku testowania sieci intruzowi pozwolić może na sprawdzenie, jakie adresy wykorzystywane są w danej sieci. W przypadku protokołów TCP i UDP można blokować odpowiednie porty. Pozwala to np. zablokować użytkownikom sieci na korzystanie z pewnych usług (np. WWW, ftp czy innej aplikacji).


Czym jest i jak działa filtrowanie stanów ?Filtrowanie stanowe jest podobnie do filtrowania pakietów, ale dodatkowo śledzi i analizuje kontekst komunikacji. Firewalle tego typu utrzymują tablice z informacjami na temat aktualnych połączeń. Filtrowanie pakietów odbywa się w warstwie sieci, a filtrowanie stanowe następuje w warstwie wyższej. Dlatego też jest w stanie wykryć i powstrzymać bardziej formy wyszukane ataków za pomocą protokołów wyższego poziomu, np. TCP czy UDP. Filtrowanie pakietów nie jest jednak tylko funkcjonalnością firewalli, pełni także ważną rolę w sterowaniu ruchem w sieci , przekazywaniem pakietów itp.


Instalacja oprogramowania Iptables

• W wielu dystrybucjach systemów Linux oprogramowanie jestZainstalowanie domyślnie.

Instalacja jest bardzo prosta :1. Należy ściągnąć oprogramowanie :

• http://netfilter.filewatcher.org/• http://netfilter.samba.org/• http://netfilter.gnumonks.org/

2. Instalacja polega na dodaniu do jądra systemu modułu iptables( ip_tables)


Organizacja działania iptables

Reguła, łańcuch, tabela . . .

Iptables w celu zbadania danego pakietu wykorzystuje tzw. reguły. Jest to najmniejsza jednostka filtra netfilter.

Pojedyncza reguła zawiera informację warunkach, jakie musi spełniać pakiet, oraz o akcji, jaka będzie wykonana, gdy pakiet spełni wskazane warunki

Chcemy np. blokować wszystkie pakiety TCP

Część czerwona to akcja

Część niebieska to warunki


Pojedyncze reguły grupowane są w łańcuchy. Zbiór łańcuchów natomiast tworzy tabelę.

Istnieją trzy tabele:

1. filter jest to domyślna tabela; filtrowanie pakietów

2. nat to tabela używana przez pakiety nawiązujące połączenie; translacja adresów

3. mangle to tabela służąca do modyfikacji przepływających pakietów


Tabela mangle używana jest do zmiany nagłówków pakietów, tzn. takich pól, jak TOS (Type Of Service), TTL (Time To Live), jak i do filtrowania stanowego.

Tabela nat służy do translacji adresów sieciowych, gdy sieć używa NAT. W niej ustalamy maskaradę adresów sieciowych i przekierowujemy pakiety.

Tabela filter służy do właściwego filtrowania pakietów. Tutaj definiowane są podstawowe reguły firewalla, ustalane są reguły, Dzięki za wszystko którym firewall decyduje, czy dany pakiet zaakceptować czy odrzucić.


Różne tabele iptables dysponują różnymi wbudowanymi łańcuchami.

Np. tabela filter zawiera łańcuchy INPUT, FORWARD i OUTPUT.

Tabela nat zawiera łańcuchy PREROUTING, OUTPUT i POSTROUTING, ale już tabela mangle zawiera wszystkie rodzaje łańcuchów.


Każda z tabel zawiera kilka predefiniowanych łańcuchów oraz łańcuchy zdefiniowane przez administratora. Istnieją następujące predefiniowane łańcuchy:

✗ INPUT - wywoływany dla pakietów przybywających z sieci przeznaczonych dla lokalnej maszyny.

✗ FORWARD - wywoływany dla pakietów routowanych przez lokalną maszynę, lecz pochodzących spoza niej i nie przeznaczonych

dla niej.

✗ OUTPUT - wywoływany dla pakietów tworzonych lokalnie i wychodzących poza maszynę.

✗ PREROUTING - wywoływany dla pakietów z zewnątrz jeszcze przed ich routowaniem.

✗ POSTROUTING - wywoływany dla pakietów, które właśnie opuszczają maszynę


Tabela

Łańcuch

reguła


Łańcuchy iptables.

Schemat budowy reguły iptables wygląda następująco:

iptables [-t table] command [match] [-j jump/target]

gdzie:Table – umożliwia wybór tablicy, dla której obowiązywać będzie dana reguła, brak tej informacji w regule powoduje zapisane jej do tabeli filter.Command - (wybieramy jedną)

[match] – warunki dopasowania pakietu

[- jump / target] - akcja


Łańcuchy iptables.

• iptables -A łańcuch opis_reguły

Dodaje regułę na koniec wskazanego łańcucha we wskazanej tabeli. •

• iptables -D łańcuch opis_reguły

Usuwa zadaną regułę z łańcucha.

• iptables -I łańcuch numer_reguły opis_reguły

Dodaje regułę we wskazanym miejscu łańcucha. Jeśli pominie się numer_reguły, reguła zostanie wstawiona na początku łańcucha.

• iptables -R łańcuch numer_reguły opis_reguły

Zamienia regułę wskazaną numerem na opisaną w poleceniu.


iptables -D łańcuch numer_reguły

Usuwa regułę o podanym numerze.

• iptables -L łańcuch

Listuje reguły we wskazanym łańcuchu. Pominięcie nazwy łańcucha spowoduje wylistowanie całej zawartości tabeli.

• iptables -N łańcuch

Tworzy łańcuch użytkownika o zadanej nazwie.

• iptables -X łańcuch

Usuwa łańcuch użytkownika. Warunkiem jest brak odwołań do wskazanego łańcucha w innych łańcuchach.

• iptables -P łańcuch domyślny_cel

Ustawia policy (domyślną akcję) zadanego łańcucha


Na definicję reguły składa się dowolna ilość warunków oraz dokładnie jedna akcja.

•W przypadku braku warunków akcja wykonywana jest zawsze.

• Reguła posiadająca tylko warunki, a nie posiadająca akcji, będzie używana wyłącznie do liczenia pakietów pasujących do warunków.

Każdy pakiet rozpoczyna swoją podróż przez filtr pakietowy w jednym z predefiniowanych łańcuchów. Łańcuch skanowany jest od góry do dołu w poszukiwaniu reguł, które będą odpowiadać sprawdzanemu pakietowi. Po napotkaniu takiej reguły, wykonywana jest jej akcja. Pozostała część łańcucha nie jest już skanowana.

Dlatego ważna jest kolejność dodawania reguł!


Przykład 1:

Reguła 1: Wszystkie przychodzące pakiety TCP, na porcie 80 : Akceptuj

Reguła 2: Wszystkie przychodzące pakiety TCP, na porcie 80 : Odrzuć

Przykład 2:

Reguła 1: Wszystkie przychodzące pakiety TCP, na porcie 80 : Odrzuć

Reguła 2: Wszystkie przychodzące pakiety TCP, na porcie 80 : Akceptuj


Definiowanie warunków dla reguł :Mogą one obejmować :•Adres IP (docelowy i źródłowy)•Adres MAC (docelowy i źródłowy)•Port (docelowy i źródłowy)•Intefejs (docelowy i źródłowy)

•Istnieje również zestaw warunków opcjonalnych, ładowanych przez opcję -m. Pozwalają one na uzyskiwanie różnych efektów.

•Pakiet może spełniać jeden lub warunków, np. Adres IP docelowy i port


Akcje:

Akcję definiuje się, używając parametru -j. Najczęściej używane akcje to:• ACCEPT - przyjmij pakiet.• DROP - wyrzuć pakiet bez żadnego komunikatu.• RETURN - powoduje powrót z łańcucha zdefiniowanego przez administratora do łańcucha, z którego został on wykonany.• REJECT - odrzuca pakiet z odesłaniem komunikatu o błędzie, domyślnie ICMP port unreachable.• MARK - oznaczenie pakietu za pomocą wartości numerycznej podanej w parametrze --set-mark. Użyteczne w tabeli mangle.Używane zwykle dla przekazywania informacji do iproute2.


• SNAT - zmienia adres źródłowy pakietów i zapamiętuje tą zmianę dla danego połączenia. Używane głównie do podłączania sieci

LAN do Internetu przez łącze ze stałym adresem IP. Użyteczne wyłącznie w łańcuchu POSTROUTING tabeli nat. Akceptuje

parametr --to-source, wskazujący adres IP do wstawienia jako adres źródłowy - zazwyczaj IP interfejsu internetowego.

• DNAT - zmienia adres docelowy pakietów i zapamiętuje zmianę dla danego połączenia. Używane głównie do przekazywania

połączeń z interfejsu internetowego do maszyn w sieci lokalnej. Użyteczne w łańcuchach PREROUTING i OUTPUT tabeli NAT.

Akceptuje parametr --to-destination, określający adres z opcjonalnym portem docelowym (wg formatu adres:port).


• MASQUERADE - maskuje adres nadawcy pakietu, użyteczne wyłącznie w łańcuchu POSTROUTING tabeli nat. Powinno się

używać jedynie przy dynamicznie przydzielanym adresie IP.

• REDIRECT - przekierowuje pakiet do lokalnej maszyny, użyteczne w łańcuchach PREROUTING i OUTPUT tabeli nat. Opcjonalny

argument --to-ports pozwala na przekierowanie połączenia na dowolnie wybrany port lokalnej maszyny.


Istnieją też CELE rozszerzone, które dostarczane są jako moduły. Moduły te niekoniecznie muszą być dostępne podczas standardowej instalacji. Mogą zatem wymagać dodatkowej instalacji. I są to:

* BALANCE - rozdzielenie połączeń zgodnych z daną regułą na kilka hostów. * CLUSTERIP - umożliwia stworzenie klastra hostów o takim samym adresie IP i adresie MAC karty sieciowej.

* DNAT - przekierowywanie połączenia na inny adres

* SNAT - umożliwia zmianę adresu IP źródła pakietu.


* LOG - logowanie informacji o pakietach - dmesg - (ang. display message) . * ULOG - umożliwia logowanie pakietów za pomocą programów przestrzeni użytkownika.

* MASQUERADE - używana przy standardowym routingu.

* REDIRECT - przy routingu - zamiast do przeznaczenia pakiet trafia na lokalny komputer.

* REJECT - Przy pakietach icmp odpowiada wybranym typem odpowiedzi, przy innych protokołach działa jak DROP

* ROUTE - podstawowe założenia Routingu (przez którą bramę sieciową / przez które urządzenie sieciowe wysłać pakiet).

* TTL - umożliwia zmianę wartości TTL w pakiecie.


iptables -P INPUT DROP

blokujemy wszystko, co przychodzi do naszej maszyny.

Najlepszy Firewall ?


iptables -A INPUT –p tcp --sport 80 -j ACCEPTiptables -A OUTPUT –p tcp --dport 80 -j ACCEPT

Rozbudowujemy nasz firewall.


Drogi pakietów w iptables

•Pakiet stworzony na lokalnym komputerze przez jeden z procesów odbędzie swoją drogę kolejno przez:

•łańcuch OUTPUT tablicy mangle•łańcuch OUTPUT tablicy nat (tylko jeśli jest pakietem nawiązującym nowe połączenie)•łańcuch OUTPUT tablicy filter



Pakiet, którego celem jest nasza lokalna maszyna, otrzymany z interfejsu sieciowego odbędzie swoją drogę przez:

•łańcuch INPUT tablicy mangle•łańcuch INPUT tablicy filter



Pakiet, którego celem nie jest nasza lokalna maszyna, a otrzymany został z jednego z interfejsów sieciowych odbędzie swoją drogę przez:

•łańcuch PREROUTING tablicy mangle•łańcuch PREROUTING tablicy nat (tylko pakiet tworzący nowe połączenie)•łańcuch FORWARD tablicy mangle•łańcuch FORWARD tablicy filter•łańcuch POSTROUTING tablicy mangle•łańcuch POSTROUTING tablicy nat (tylko pakiet tworzący nowe połączenie)


Testowanie wprowadzonych reguł. Wyświetlanie na konsoli podczas wywołania iptables. Najczęściej używane to:•-n - wyświetla (przy listowaniu przez -L adresy IP hostów zamiast ich nazw (domyślnie iptables próbuje rozwiązać nazwy i wyświetlić nazwy hostów).•-v - przy listowaniu pokazuje ilość wysłanych/odebranych przez dany łańcuch pakietów i bajtów oraz domyślną politykę łańcucha.•--line-numbers - wyświetla (przy listowaniu przez -L) numery linii dla poszczególnych reguł.•-x podaje dokładne dane przy listowaniu liczby wysłanych/odebranych pakietów (domyślnie występiją zaokrąglenia).Przykład: iptables -L -v -x•-j CEL - bardzo przydatna opcja kierująca pakiety spełniające podaną regułę od od razu do CELU.


Polityki

Chain INPUT (policy ACCEPT /DROP)

Chain FORWARD (policy ACCEPT /DROP)

Chain OUTPUT (policy ACCEPT /DROP)

Polityka to inaczej domyslny sposób postępowania z pakietem wdanym łańcuchu. Jeśli żadna reguła nie określa zachowania danego Pakietu, bądź w łańcuchu nie ma reguł, to polityka łańcucha Definiuje sposób postępowania z pakietem.


Tworzenie reguł. Przykłady reguł.

iptables -A INPUT -p tcp -s 0/0 --sport 80 -j ACCEPT iptables -A OUTPUT -p tcp -d 0/0 --dport 80 -j ACCEPT Zezwalamy na pakiety www

iptables -A INPUT -s 192.168.0.15 --sport 22 -j ACCEPTiptables -A OUTPUT -s 192.168.0.15 --dport 22 -j ACCEPTzezwalamy na połączenia przychodzące ssh z maszyny o podanym adresie

iptables -I INPUT 1 - p icmp d 127.0.0.1 -j DROPZablokowanie pakietów ICMP dla adresu 127.0.0.1



Iptables –A Prerouting –t nat –p tcp –dport 433 –j DNAT to 192.168.0.1:433

Reguła pozwalająca na dostęp do sieci zewnętrznej komputera z sieci wewnętrznej(podłączonego do interfejsu 192.168.0.1) na porcie 433 (używanego przez programskype).

Iptables –A INPUT –p tcp --sport 25 –j ACCEPTIptables –A OUTPUT –p tcp --dport 25 –j ACCEPT

Dopuszczenie ruchu na porcie 25 (smtp) dla maszyny lokalnej



Iptables –A INPUT –p tcp --sport 6667:6669 –j ACCEPTIptables –A OUTPUT –p tcp --dport 6667:6669 –j ACCEPT

Dopuszczenie ruchu na portach od 6667 do 6669 (program IRC)dla maszyny lokalnej

Iptables –A INPUT –p tcp --sport 21Iptables –A OUTPUT –p udp --udp 53

Zliczanie pakietów :1. TCP przychodzących , na porcie 21 (FTP).2. UDP przychodzących, na porcie 53 (DNS).


Zaproponuj reguły, które :

1. Dopuszczają ruch na porcie 8080, dla maszyny lokalnej, wobie strony, tylko dla protokołu tcp.2. Blokują ruch na portach od 50 do 70, dla maszyny lokalnej,w obie strony.3. Blokują ruch przychodzący na porcie 22, protokół tcp, z adresu 192.168.1.15.4. Dopuszczają ruch wychodzący tylko dla protokołu tcp.5. Dopuszczają ruch przychodzący i wychodzący tylko do Protokołu udp.6. Pozwalające na komunikację z serwerami DNS (port 53 UDP)7. Pozwalające na komunikację na portach od 1550 do 1585, dlaProtokołu tcp.


Dalsze sposoby określania warunków, jakie musi spełniać pakiet, abyAktywować łańcuch.

· -p[!] protokół lub -- protocol [!] protokół

Ustala regułę dla danego protokołu: TCP (możemy wpisać 6 w miejsce protokołu), UDP (17), ICMP (1) lub dla wszystkich protokołów: all (0). Jeśli użyjemy znak wykrzyknika ! to spowoduje to inwersje znaczenia, zatem p ! tcp będzie oznaczać regułę dla protokołów różnych od TCP. Przykład :

-p tcp --[!] udp


· -S [!] adresIP , src [!] adresIP , source [!] adresIP

Ustala regułę dla pakietów o adresie źródłowym adres IP, w który możemy wpisać pojedynczy adres (np. 192.168.0.1) lub zakres adresów (np. 192.168.0.0/24 lub 192.168.0.0/255.255.255.0). Podobnie jak wcześniej, znak ! dokonuje inwersji znaczenia.

Przykład :

-S 192.168.65.1 -S ! 192.168.4.4

-src 192.168.64.4 -source ! 192.168.55.5


· -d [!] adresIP , dst [!] adresIP , destination [!]adresIP

Ustala regułę dla pakietów o adresie docelowym adresIP, zasady podobne jak wyżej

Przykład :

-d 212.77.100.101 -d ! 100.100.66.1

-dst 212.88.10.9 -dst ! 80.75.1.15


iptables -t mangle -A OUTPUT -j TTL --ttl-set 126

Przykład urzycia tzn. celu – tutaj zniama wartości pola TTL w Pakiecie.


· -i [!] interfejs , ininterface [!] interfejs

ustala regułę dla danego interfejsu (np. eth0,eth1,ppp0) do którego pakiet przychodzi, znak ! oznacza inwersję znaczenia, stosowane wyłącznie dla łańcuchów INPUT, FORWARD i PREROUTING. Znak + oznacza wszystkie interfejsy podobne do danego, np. eth+ będzie oznaczać interfejs eth0, eth1, eth2, itp.

· -o[!] interfejs , outinterface [!] interfejsustala regułę dla interfejsu z którego pakiet wychodzi, stosowane wyłącznie dla łańcuchów OUTPUT, FORWARD, POSTROUTING.


· -Sport [!] nr , sourceport [!] nr (tylko dla protokołów TCP, UDP)

ustala regułę dla pakietów o numerze źródłowym portu nr. Możemy zamiast nr wpisać nazwę usługi (zostanie przeszukany plik /etc/services) jak i zakres portów oddzielany dwukropkiem, np sport 22:80 (dla portów 22, 23, ..., 80), sport ! :80 (dla portów 81, 82, ..., 65535)

-dport [!] nr , destinationport [!] nr (dla protokołów TCP, UDP)

ustala regułę dla pakietów o numerze docelowym portu nr. Zasady jak wyżej.


-tcp-flags []

Pozwala na dodawanie warunków w postaci ustawionychflag.

-tcp-flags FIN,ACK FIN,ACK

--tcp-flags RST RST


Zaproponuj reguły, które :

1. Dopuszczają ruch na porcie 8080, dla maszyny lokalnej, wobie strony, dla wszystkich protokołów prócz tcp.2. Blokują ruch na portach od 50 do 70, dla maszyny lokalnej,w obie strony, przy ustawionych flagach : ACK i FIN3. Blokują ruch przychodzący na porcie 22, protokół tcp, tylko interfejsu eth1.4. Dopuszczają ruch wychodzący tylko dla protokołu tcp i imcp.5. Dopuszczają ruch przychodzący i wychodzący tylko do Protokołu udp i dla każdego interfejsu z wyjątkiem ppp06. Pozwalające na komunikację z usługą pracująca na portach 8000:9000, na hoście o adresie 192.168.55.557. Pozwalające na komunikację tylko z hostem 212.100.185.18. Blokującą komunikację z hostem 80.85.67.1


Reguły zagnieżdżone :

Iptables – A FORWARD [warunki] –j łańcuch_AIptables –A łańcuch_A [warunki] –j łańcuch_BIptables –A łańcuch_B [warunki] –j łańcuch_C

Iptables –A łańcuch_C [warunki] –j ACCEPT


Filtrowanie stanowe


Każde połączenie rejestrowane jest także w maszynie stanów iptables (filtrowanie stanów).

Wyróżnić można następujące stany: NEW, ESTABLISHED, RELATED, INVALID.

Aktualna tablice stanów połączeń znaleźć mona w pliku: /proc/net/ip_conntrack

Można także użyć poniższego polecenia, aby wyświetlić aktualna tablice stanów połączen:

cat /proc/net/ip_conntrack


Moduł 'state {!} [jaki]'

-dostępne po załadowaniu modułu można opierać się na stanie połączeń dostępne to:

NEW (nowy) – Jeśli pakiet przychodzi ze zdalnej maszyny lub te zostanie do niej wysłany z naszej maszyny w celu nawiązania nowego połączenia to zostanie on potraktowany jako NEW, czyli nowy. Jednak każdy następny pakiet już tak potraktowany nie zostanie.

ESTABLISHED (połączony) – Pakiety zostaną potraktowane jako ESTABLISHED jeśli nawiązane zostanie już połączenie w dwie strony ze zdalna maszyna.


RELATED (powiązany) - Służy do obsługi innego obecnie istniejącego połączenia, np. takiego, które są częścią multipołączenia w protokołach typu FTP, albo jako błędne pakiety związane z istniejącymi połączeniami (np. pakiet błędu ICMP związany z obecnie występującymi połączeniami).

INVALID (niepoprawny) – Pakiety, które nie mogą być zaklasyfikowane jako jedna z powyższych trzech kategorii (nie można ich rozpoznać) traktowane są jako INVALID, nie jest jednak automatycznie odrzucany, ale jest ciągle aktywny. Można go wykorzystać używając innych zasad, np. dynamicznie ustawić taktykę łańcuchową.

UNTRACKED (nieśledzony) - pakiet nie należący do śledzonego połączenia.


Celem jest wpuszczenie wszystkich połączeń które już wcześniej zostały zaakceptowane:

iptables -A INPUT -p tcp -m state --state NEW -d 192.168.0.1 --dport 21 -j ACCEPT

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT


Wykrzyknik powoduje zaprzeczenie np. '--state ! INVALID'

wpuści wszystkie stany poza INVALID.

Np.

iptables -A INPUT -m state -'--state ! INVALID, ESTABLISHED' -j ACCEPT



iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -s 192.169.65.5 -p udp --dport 53 -m state --state NEW -j ACCEPT

iptables -A INPUT -m state --state INVALID -j DROP

Przykład – fragment firewalla (bezpieczna konfiguracja dla serweraDNS)



Pierwsza reguła definiuje domyślną politykę .


iptables -A INPUT -s 192.169.65.5 -p udp --dport 53 -m state --state NEW -j ACCEPT

Trzecia reguła sprawdza pakiety próbujące utworzyć nowe połączenie. Reguła przepuszcza pakiety przychodzące z serwera DNS o adresie 192.169.65.5 na nasz port 53/udp, którym został przypisany stan NEW. Odpowiedzi z serwera DNS są zwykle traktowane jako pakiety tworzące nowe połączenie, a więc odpowiadają stanowi NEW.Jeśli serwer wyższego poziomu odpowiada na zapytanie naszego serwera to jest to odpowiedź na nasze zapytanie więc jądro takiemu pakietowi przypisze stan ESTABLISHED. Reguła nr 2 zezwoli na przepuszczenie takiego pakietu do naszej maszyny.Gdyby nie reguła nr 3 – firewall posiadał by lukę (akceptowane byłby również pakiety na porcie 53/UDP ze stananami inni niż NEW, jednak takie pakiety nie są zwykle odpowiedziami serwera DNS.)



iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -d [IP_SERWER_DNS_1] -p udp --dport 53 -m state --state NEW -j ACCEPT

iptables -A OUTPUT -d [IP_SERWER_DNS_2] -p udp --dport 53 -m state --state NEW -j ACCEPT

Przykład reguł firewalla dla usługi DNS :


Konfiguracja bezpiecznego dostępu do sieci dla wewnętrznych klientów przy

użyciu iptables.


Ogólny schemat firewalla:

• Czyszczenie ewentualnych reguł.• Ustawienie domyślnych polityk.• Włączenie przekazywania pakietów (dla routera).• Ustalenie, które usługi moją być dostępne na maszynie lokalnej i w jaki sposób.• Ustalenie, jakie usługi mają być dostępne w sieci wewnętrznej

1. Z sieci wewnętrznej do sieci zewnętrznej2. Z sieci zewnętrznej do sieci wewnętrznej3. Z sieci wewnętrznej do komputera – routera4. Z Komputera – routera do sieci wewnętrznej.

•Ustalenie zasad NAT / Maskarady (co jest powiązane z poprzednim punktem).•Problem logowania (i ewentualnej detekcji zagrożeń)•Ochrona przed najpopularniejszymi metodami ataków sieciowych.


Tworzymy firewall’a …#firewall jest na moim routerze :)echo "1" > /proc/sys/net/ipv4/ip_forward

echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all #(ochorna przed SmurfAttack)

#Skaner tive#iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT#Ochrona przed ping of deathiptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT#Ochrona przed syn-flood#iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

iptables -X -t natiptables -X -t filteriptables -X -t mangle

iptables -P INPUT DROPiptables -P OUTPUT DROPiptables -P FORWARD DROP


Sytuacja normalna Atak typu syn-flood


#Akceptujemy ping

iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT

Lub…

iptables -A INPUT -p icmp -m icmp --icmp-type any -j ACCEPTiptables -A OUTPUT -p icmp -m icmp --icmp-type any -j ACCEPT


#Akceptujemy pakiety sshiptables -A INPUT -p tcp --sport 80 --dport 80 -m state !--state INVALID -j ACCEPT

#Akceptujemy pakiety wwwiptables -A INPUT -p tcp --sport 80 -j ACCEPTiptables -A OUTPUT -p tcp --dport 80 -j ACCEPT

#Akceptujemy pakiety sshiptables -A INPUT -p tcp --sport 22 --dport 22 -m state --state NEW -j ACCEPT

iptables -A INPUT -s192.168.65.5 -p tcp --dport 22 -j ACCEPTiptables -A INPUT -s 192.168.65.8 -p tcp --sport 22 -j ACCEPTiptables -A OUTPUT -d 192.168.65.5 -p tcp --sport 22 -j ACCEPTiptables -A OUTPUT -d 192.168.65.8 -p tcp --dport 22 -j ACCEPT



iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -d $DNS1 -p udp --dport 53 -m state --state NEW -j ACCEPT

iptables -A OUTPUT -d $DNS2 -p udp --dport 53 -m state --state NEW -j ACCEPT

DNS…


-A INPUT -p tcp -s 0/0 -d 0/0 --destination-port 20 -j ACCEPT -A INPUT -p tcp -s 0/0 -d 0/0 --destination-port 21 -j ACCEPT

-A OUTPUT -p tcp -s 0/0 -d 0/0 --destination-port 20 -j ACCEPT -A OUTPUT -p tcp -s 0/0 -d 0/0 --destination-port 21 -j ACCEPT

-A INPUT -s 0.0.0.0/0 -p tcp -m state --state NEW -m tcp --dport 20:21 -j ACCEPT -A OUTPUT -s 0.0.0.0/0 -p tcp -m state --state NEW -m tcp --dport 20 :21-j ACCEPT

FTP (maszyna lokalna)


#Akceptujemy pakiety poczty (smtp)iptables -A INPUT -p tcp --sport 25 -j ACCEPTiptables -A OUTPUT -p tcp --dport 25 -j ACCEPT

#Akceptujemy pakiety poczty (pop3)iptables -A INPUT -p tcp --sport 110 -j ACCEPTiptables -A OUTPUT -p tcp --dport 110 -j ACCEPT

Poczta


Firewall dla routera. • Założenie : komputer pełni rolę routera pomiędzy siecią zewnętrznątzn. WAN lub Internet, oraz siecią wewnętrzną tzn. LAN.


IPTABLES=/sbin/iptables #ścieżka do iptables

#czyszczenie starych wpisow

IPTABLES -F -t natIPTABLES -F -t mangleIPTABLES -F -t filter

#deklaracja domyslnej polityki na DROP dla ruchu przychodzacego, wychodzącego i forwardowanego.

IPTABLES -P FORWARD DROPIPTABLES -P INPUT DROPIPTABLES -P IOUTPUT DROP

## ustawienie przekazywania pakietowecho 1 > /proc/sys/net/ipv4/ip_forward

$IPTABLES -A POSTROUTING -t nat –o ppp0 -j MASQUERADE


#przepuść ftp IPTABLES -A FORWARD -p tcp --dport 20:21 -j LOGIPTABLES -A FORWARD -p tcp --dport 20:21 -j ACCEPTIPTABLES -A FORWARD -p tcp --sport 20:21 -j LOGIPTABLES -A FORWARD -p tcp --sport 20:21 -j ACCEPT

ftp niezbedne do trybu pasywnegoIPTABLES -A FORWARD -p tcp --dport 47000:54000 -j LOGIPTABLES -A FORWARD -p tcp --dport 47000:54000 -j ACCEPT

#WWWIPTABLES -A FORWARD -p tcp --dport 80 -j ACCEPT

#DNSIPTABLES -A FORWARD -p udp --dport 53 -j ACCEPTIPTABLES -A FORWARD -p udp --sport 53 -j ACCEPT


1) Router pełni także funkcję firewalla.


2) Sieć posiadająca strefę DMZ (strefa zdemilitaryzowana)


• przydział minimalnych wystarczających przywilejów,• wykorzystanie dogłębnej obrony,• zapewnienie wąskiego przejścia,• zasada najsłabszego ogniwa,• bezpieczna reakcja w przypadku uszkodzenia,• wykorzystanie zróżnicowanych środków obrony,• maksymalna prostota wystarczająco bezpiecznego rozwiązania,• wykorzystanie w pewnym zakresie zabezpieczania poprzez utajnianie.

Strategie zabezpieczeń


Przydział minimalnych wystarczających przywilejów(ang. least privilege).

• Jedna z podstawowych zasad zabezpieczania sieci komputerowej

•Polega na przyznawaniu użytkownikom minimalnych, wystarczających uprawnień. Dotyczy to tak zwykłych użytkowników jak i np. administratorów.

•Dotyczy to możliwości czytania plików w systemie lokalnych lubzdalnym, oraz np. dostępu do usług.

Przestrzeganie tej zasady minimalizuje ryzyko zniszczeń (tak z winyUżytkowników jak i atakujących)


Metoda dogłębnej obrony (ang. defence in depth).

•Polega na stosowaniu zabezpieczeń na wielu poziomach

•Założenie jest takie, że nie można polegać tylko na jednym systemie

Zabezpieczającym (jakkolwiek wydawałby się skuteczny)

•Celem stosowania nadmiarowych zabezpieczeń nie jest głównie obrona przed atakami, lecz ochrona przed awariami innych poziomów zabezpieczeń.


Metoda wąskiego przejścia (ang. choke point).

• Polega na takiej konstrukcji sieci, aby ruch pomiędzy siecią wewnętrznąA siecią zewnętrzną (np. Internetem) przechodził przed tylko jeden kanał,Który można kontrolować.

• Metoda jest skuteczna, o ile w sieci nie ma innych punktów połączeń z siecią zewnętrzną (np. poprzez modem).


Zasada najsłabszego ogniwa

• Opiera się na spostrzeżeniu, że łańcuch obronny jest tak silny, jak jegonajsłabsze ogniwo. Najsłabsze ogniwo istnieje zawsze.

• Należy dążyć do eliminacji tego ogniwa, lub, jeśli to niemożliwe, to skupić się należy na szczególnej kontroli nad tym elementem.

• Atakujący będą chcieli znaleźć ten punkt i wykorzystać go do ataku.

• Przykładem takiego najsłabszego łańcucha może być np. zabezpieczeniefizycznego dostępu do urządzeń sieciowych. Można dopuścić do słabszego nadzoru nad dostępem do urządzeń sieciowych, gdyż zregułyatak następuje poprzez sieć.


Bezpieczna reakcja w przypadku uszkodzenia

• W momencie awarii urządzenia zabezpieczającego, powinno ono zablokować dostęp do sieci, zamiast całkiem go otworzyć. Przykład:Jeśli router filtrujący pakiety ulegnie uszkodzeniu – przestanie przekazy-wać pakiety do innych sieci. Tym samym odetnie dostęp do sieci użytk-tkowinkom, ale zapobiegnie atakom.

• Wymagana jest także współpraca z użytkownikami sieci :Można to osiągnąć metodami edukacyjnymi i restrykcyjnymi. Często obie metody się uzupełniają.


Metoda zróżnicowanych środków obrony

• Idea tej metody opiera się na spostrzeżeniu, że systemy zabezpieczająceposiadają różne luki. Systemy zabezpieczeń tego samego rodzaju (np. filtry pakietów) mają te same słabości. Również systemy konfigurowane przez tą samą osobę mogą zawierać ten sam błąd merytoryczny. Podobna sytuacja może wystąpić w przypadku systemów operacyjnych.

• Dlatego środki bezpieczeństwa powinny być zróżnicowane. Pamiętać należy jednak, że nadmierne zróżnicowanie może utrudnić zarządzanie system i tym samym może doprowadzić do zmniejszenia poziomu bezpieczeństwa.

• Metoda to jest dość mocno powiązana z metodą dogłębnej obrony.


Strategia zabezpieczania przez utajnianie (ang. security through obscurity).

• Polega na utajeniu informacji o zabezpieczanym systemie. Owo utajenie może dotyczyć np. topologii fizycznej lub logicznej sieci, adresów hostów czy serwerów. Utajnić można także zastosowane algorytmy szyfrowania (o ile występują), czy sposoby uwierzytelniania, zastosowanych firewalli, czy sposób filtrowania pakietów, w końcu utajnić można ogólnie pojętą politykeębezpieczeństwa.

•Nie wszystkie informacje można utajnić.

• Metoda nie jest zalecana jako pojedyncza metoda zabezpieczająca, ale warto ją stosować jak dodatek do innych.


Prostota a złożoność zastosowanego rozwiązania.

• Im system, polityka zabezpieczeń jest bardziej złożona tym trudniej jest nią zarządzać, istnieje więcej źródeł potencjalnych problemów.

• Z drugiej strony, zbyt proste systemy mogą nie zapewnić po zabezpieczania przez utajnianie (ang. security through obscurity). rządanego poziomu bezpieczeństwa

Zabezpieczenia powinno się konstruować tak prosto jak to jest możliwe - ale nie prościej.

• W praktyce często dobre zabezpieczenia sieci są też dosyć skomplikowane.


Host dwusieciowy (ang. Dualhomed host).

• Host dwusieciowy to komputer posiadający przynajmniej dwa interfejsy sieciowe, oraz połączony zarówno z siecią zewnętrzną jak i siecią wewnętrzną. Host dwusieciowy nie ma jednak aktywnego routringu, zatem pakiety nie są przesyłane pomiędzy sieciami. Sieć wewnętrzna jest zatem odizolowana od sieci Zewnętrznej.

• Host dwusieciowy może zapewnić bardzo wysoki poziom bezpieczeństwa

•Z drugiej strony może być mało komfortowy w użyciu.


Architektura pojedynczego obiektu

•Najprostsza i często najekonomiczniejsza

•Zabezpieczenia sieci spadają na tylko jedną maszynę

• Nie zapewnia należytego poziomu bezpieczeństwa• Problem wydajności pojedynczej maszyny• Seryjne rozwiązania• Dedykowane do firm o niezbyt rozbudowanej sieci oraz o ograniczonym wykorzystaniu tejże sieci.


• Najprostszym typem pojedynczego zabezpieczenia jest zastosowanie routera osłaniającego określanego również mianem routera ekranującego. Może być wtedy użyty w charakterze ściany ogniowej.

• Do tego celu wystarczy skonfigurować router ekranujący, tak aby dodatkowo filtrował pakiety.

• Wymagane jest dobrze zabezpieczenie hostów

• Sugerowane jest wykorzystywanie niewielkiej ilości protokołów / usług.


Host ekranujący (ang. screened host)

• W sieci umieszczana jest maszyna pełniąca rolę obronną, jest to tzn bastion. Pierwszym elementem w sieci, będącym na styku sieci zewnętrznej jest router. Jest on tak skonfigurowany, żeby wszystkie pakiety z sieci zewnętrznej przechodziły przez komputer zabezpieczający.

• Klienci z sieci wewnętrznej także nie łączą się bezpośrednio z siecią zewnętrzną, ale poprzez bastion.


Bastion

Bastiony mogą, oprócz standardowych funkcji zabezpieczających, pełnić następujące role: • Serwera proxy dla usług• Serwera DNS• Serwera DHCP• Serwera innych usług sieciowych


• Zależnie od potrzeb mogą istnieć pewne odstępstwa od tej reguły i pewne usługi mogą być dostępne bezpośrednio przez filtr pakietów. Jest to zależne od przyjętej polityki bezpieczeństwa.

•Zasadniczo jednak cały ruch powinien przechodzić przez bastion.


Sieci ekranowane (ang. screened subnet)

•Architektura ekranowanej podsieci (ang. screened subnet architecture) dodaje warstwę zabezpieczeń do architektury z ekranowanym hostem poprzez dodanie sieci peryferyjnej (ang. perimeter network), która dodatkowo izoluje sieć wewnętrzną od sieci zewnętrznej.

•Host bastionowy jest najbardziej narażony na ataki – i jeśli zostanie skutecznie zaatakowany to sieć wewnętrzna nie będzie w żaden sposób broniona.

• Izolując host bastionowy od sieci wewnętrznej poprzez wprowadzenie sieci peryferyjnej można zmniejszyć skutki ewentualnego włamania do hosta bastionowego.


• W najprostszym przypadku architektura z ekranowaną podsiecią tworzona jest poprzez wykorzystanie dwóch routerów, z których każdy podłączony jest do tej podsieci.

• Jeden jest umiejscowiony między siecią zewnętrzna a siecią ekranowaną, drugi między siecią wewnętrzną a siecią ekranowaną.

•Sieć peryferyjna pełni rolę dodatkowej zapory. Jeśli uda się pokonać bastion to i tak podejrzeć można jedynie ruch w sieci peryferyjnej. Oczywiście ruch z sieci wewnętrznej do zewnętrznej będzie nadal widoczny. Podczas projektowania sieci warto zwrócić na to uwagę.


Bastion(y) stanowi główne miejsce, gdzie obsługiwane są pakiety przychodzące z zewnętrz. Trochę inaczej sprawa może wyglądać w przypadku połączeń wychodzących. • Mogą być obsługiwane przez bastiony• Pakiety mogą być przekazywane bezpośrednio na zewnętrz, w tym celu trzeba odpowiednio skonfigurować oba routery.


Router wewnętrzny – czasem nazywany jest także routerem dławiącym (ang. choke router), ma za zadanie zabezpieczać sieć wewnętrzną przed atakami z sieci zewnętrznej i peryferyjnej. • Należy ustalić zasady ruchu pomiędzy siecią wewnętrzną a bastionem• Należy ustalić zasady ruchu pomiędzy siecią wewnętrzną a siecią zewnętrzną• Należy ustalić zasady ruchu wychodzącego (do sieci zewnętrznej).

Router zewnętrzny – router dostępowy (ang. access router), jest odpowiedzialny za ochronę sieci peryferyjnej i wewnętrznej. W praktyce jednak często rolę obronną przejmuje host bastionowy. Można jednak ustalić mu pewne zadania pomimo tego :• Przepuszczanie pakietów tylko jeśli pochodzą z bastionu Blokowanie fałszywych pakietów, np. przychodzących pakietów z adresem źródłowym sieci wewnętrznej. • Router zewnętrzny może również zabraniać wyjścia z sieci pakietom z nieprawidłowym adresem źródłowym.


Wieloczęściowa sieć ekranowana (ang. split-screened subnet)

Architektura tego typu sieci jest podobna do sieci zwykłej sieci ekranowanej. Posiada również router zewnętrzne i wewnętrzne, ale pomiędzy nimi może wystąpić więcej niż jedna sieć peryferyjna. Połączenia mogą odbywać się za pomocą hostów dwusieciowych lub za pomocą routerów.


W pewnych przypadkach zasadnym jest zastosowanie niezależnych podsieci ekranowanych( ang. independent screened subnet) z oddzielnymi parami routerów zewnętrznych i wewnętrznych. Jednym z powodów może być konieczność zapewnienia nadmiarowości. Awaria czy skuteczny atak na jedną z sieci peryferyjnych nie powoduje całkowitego braku łączności z siecią Internet.


Przykład architektury wieloczęściowej sieci ekranowanej


Każdy ruch, który nie jest niezbędnie konieczny powinien być zablokowany juz na pierwszym zabezpieczeniu, czyli na routerze dostępowym. Redukuje to możliwość ataków i zmniejszy nasilenie ruchu w sieciach peryferyjnych, przez co zwiększy możliwość kontroli ruchu.

Dla usług takich jak HTTP, poczta (SMTP), tudzież innych powinno wykorzystywać się mechanizm proxy – czyli systemy pośredniczące.

Sieci powinny być także, w miarę możliwości, chronione przez oprogramowanie antywirusowe.


Następujęące typy ruchu sieciowego powinny być zawsze zablokowane:

• Ruch wejściowy z nieautoryzowanych źródeł (zwłaszcza, gdy adres źródłowy jest adresem interfejsu pierwszej ściany ogniowej)

• Ruch wejściowy, gdy adres źródłowy jest pochodzącym z sieci wewnętrznej

• Ruch wejściowy ze źródła z zakresu zdefiniowanego w RFC 1918 jako zarezerwowanego dla sieci prywatnej

• Ruch wejściowy z nieautoryzowanego źródła zawierający protokół SNMP (Simple Network Management Protocol), - porty 161 i 162 TCP i UDP

• Ruch wejściowy zawierający informacje o routingu żródłowym IP,


Sieci typu Darknet – „Ciemne sieci”

Sieci typu Darknet służą do wykrywania potencjalnych niebezpieczeństw, jakie mogą pojawić się w sieci. Ogólna idea polega na wydzieleniu z puli adresów (głównie dostępnych z zewnętrz, ale także z sieci wewnętrznych czy peryferyjnych) , na które przekierowywany będzie ruch niebezpieczny i nieprzewidywalny.Wewnątrz takiej sieci znajdować powinien się serwer, które będzie analizował oraz gromadził ruch przychodzący. W tym celu można skorzystać z oprogramowania typu IDS, posiadającego oprogramowanie służące do logowania lub bazę danych. Ponieważ każdy pojawiający się w tej sieci pakiet jest nieoczekiwany – w tym sensie, że nie powinno go tam w ogolę być to można założyć, że to wynik ataku (atak internetowy / skanowanie)


Schemat ogólny sieci typu Darknet umieszczonej w bronionej sieci


Etapy tworzenia sieci Darknet

1. Wydziel pulę adresów IP na potrzebny sieci Darknet.Im większy jest zakres używanych adresów, tym dokładniejsze (w sensie statystycznym) są uzyskane informacje na temat niepożądanej aktywności w docelowej sieci. Inną drogą jest ustalenie kilku specyficznych ścieżek przepływu w ramach danego zakresu – będzie to ruch normalny, natomiast cała reszta będzie przydzielona do Darknetu.

2. Na routerze dostępowym ustal przekierowania odpowiednich adresów do sieci normalnych i sieci ciemnej.

3. W pewnych przypadkach można do sieci ciemnej włączyć także adresy z sieci peryferyjnych i wewnętrznych – pozwala to na wykrycie skanowania i ataków z sieci peryferyjnych i wewnętrznych.


4. Na routerze sieci ciemnej ustal przekierowanie całego ruchu przychodzącego na interfejs komputera z zainstalowanym oprogramowaniem IDS. Router i maszyny w sieci ciemnej nie powinny korzystać z protokołu arp – należy ustawić statyczne wpisy arp.5.W przypadku sieci VLAN fakt ten należy uwzględnić – tak aby ruch właściwy nie trafiał do Darknetu.6.Darknet nie powinien wysyłać żadnych pakietów „na zewnętrz” oraz nie powinna odpowiadać na żadne usługi / zapytania. Darknet powinien więc mieć własną zaporę. 7.Dobierz odpowiednie oprogramowanie – do filtrowania pakietów, analizy pakietów, czy do składowania informacji o ruchu sieciowym w Darknecie.


Konfiguracja bezpiecznego dostępu do sieci dla wewnętrznych klientów przy użyciu iptables

wraz z

konfiguracją iptables jako zapory ogniowej pomiędzy siecią wewnętrzną a Internetem.

-Przykład dla wybranych modeli sieci.


Wymagania : 1.Serwer WWW w DMZ dostępny tylko dla klientów zewnętrznych2.Ruch powinien być w miarę możliwości filtrowany przez bastion3.Serwery DHCP i DNS powinny obsługiwać tylko klientów sieci wewnętrznych4.Usługi dostępne wewnątrz : WWW, FTP (aktywny plus pasywny), usługi na portach :

a. TCP : 1550, 2600, 8600, 8800 do 9000, 12000:12800b. UDP : 6000, 6800:6888, 12500

5.Adresacja sieci :a. Sieć wewnętrzna : 192.168.1.0b. Sieć peryferyjna : 10.10.1.0c. Interfejs sieci zewnętrznej : 172.200.56.88

6.Zapewniona obrona przed popularnymi atakami : Smurf, LAND i podobne.7.Założenie : wszystkie maszyny posiadają systemy operacyjny rodziny linux z obsługą iptables.


Systemy IDS / IPS


IDS (ang. Intrusion Detection System) – system wykrywania / identyfikacji zagrożeń.

IPS (ang. Intrusion Prevention System – system wykrywania i blokowania zagrożeń.

Oprogramowanie IDS/IPS działa w czasie rzeczywistym, ze względu na miejsce instalacji oraz wykonywane funkcje może być podzielone na dwie kategorie : • instalowane na urządzeniach sieciowych (network-based), czyli NIDS• instalowane w pamięciach poszczególnych hostów (host-based), czyli HIDS


System IDS typu host-based to ostatnia linia obrony. Jeśli w sieci funkcjonuje system IDS typu network-based, to jest to pierwsza linia obrony przed włamaniami.

Systemy NIDS monitorują przepływ danych w sieci i w razie wykrycia anormalnego ruchu w sieci lub ataku – informuje o tym użytkownika.Systemy IPS spełniają te same kryteria co systemy IDS, jednak dodatkowo jest potrafią przeciwdziałać zagrożeniom, np. poprzez blokowanie podejrzanego ruchu.


Serwer lub router, na którym chcemy zainstalować oprogramowanie IDS musi być na tyle wydajny, aby nie odbyło się to kosztem spowolnienia pracy sieci, szczególnie dla użytkowników sieci wewnętrznej.

Systemy IDS / IPS można instalować w różnych punktach sieci, zgodnie z założeniami koncepcji „dogłębnej obrony”.


Budowa typowego systemu IDS.

• sonda (ang. sensor) – element analizujący ruch sieciowy i wykrywający ataki. W przypadku oprogramowania instalowanego na komputerze sondą może być po prostu wybrany interfejs sieciowy, pracujący w trybie nasłuchu (snifingu).

• baza danych – zbierająca informacje o atakach z grupy sensorów – zależnie od rodzaju oprogramowanie może to być zewnętrzna baza danych (np. mssql,mysql etc.) lub wbudowany system logowania OS.

• analizator logów – umożliwiający wizualizację i analizę logów z grupy sensorów – niektóre programy typu IDS posiadają dodatkowy moduł ułatwiający analizę logów.


Sieciowe systemy IDS / IPS mogą działać w następujących konfiguracjach :

• pasywna sonda – sonda podłączona do portu monitorującego przełącznika analizuje kopie wszystkich pakietów w danym segmencie sieci. Interfejs maszyny z system IDS może być podłączony w dowolnym miejscu sieci. Sonda w tej topologii ma ograniczone możliwości reagowania na ataki. Ograniczenia są związane z :• Stosowanie przełączników sieciowych (segmentacja sieci)• Umiejscowieniem IDS w takich miejscach sieci, gdzie odbywa się tylko część ruchu.• Ograniczenia związane z regulacją ruchu przez system IPS.


Inline – sonda umieszczona pomiędzy dwoma segmentami sieci, pozbawiona adresów IP i działająca w trybie przezroczystego mostu analizuje i bezpośrednio uczestniczy w przekazywaniu wszystkich pakietów w sieci. W tym trybie sonda ma możliwość blokowania 100% pakietów rozpoznanych jako niebezpieczne (fałszywe pakiety TCP RST nadal są wysyłane dla uniknięcia retransmisji). Działanie w tym trybie nakłada na oprogramowanie sondy znacznie wyższe wymagania co do wydajności i stabilności.


Systemy wykrywania włamań działają przez analizę ruchu sieciowego za pomocą dwóch metod:

Analiza heurystyczna – polegająca na defragmentacji, łączeniu pakietów w strumienie danych, analizie nagłówków pakietów oraz analizie protokołów aplikacyjnych. Pozwala wytypować pakiety mogące doprowadzić do zdestabilizowania docelowej aplikacji w razie obecności w niej błędów implementacyjnych. Stosowane są różne nazwy handlowe – np. protocol analysis (np. IBM ISS) czy preprocessing (Snort). W większości systemów IDS analiza heurystyczna odbywa się równocześnie z normalizacją danych przed poddaniem ich analizie sygnaturowej.

Analiza sygnaturowa – polegająca na wyszukiwaniu w pakietach ciągów danych charakterystycznych dla znanych ataków sieciowych. Kluczowym elementem jest baza sygnatur, budowana wraz z pojawianiem się nowych ataków i odpowiednio często aktualizowana.


Przykłady systemów IDS / IPSDarmowe:•Snort (NIDS), ACID (analiza), Snortalog (analiza)•Bro IDS (NIDS)Snort-Prelude (NIDS), Prelude-lml (HIDS), Prewikka (analiza)•OSSEC (HIDS)•GesWall

Komercyjne:•IBM ISS Proventia (NIDS), Proventia Server (HIDS), Site Protector (zbieranie i analiza zdarzeń)•3COM Tipping Point•Juniper IDP•DefenseWall HIPS (dostępny także w polskiej wersji)•Safe'n'Sec Pro (+Rootkit Detector)


„Wykrywanie intruzów”

• „Wykrywanie intruzów” jest zdefiniowane jako: “problem identyfikacji osobników, którzy wykorzystują system komputerowy bez autoryzacji”– Próby włamań również muszą zostać wykryte

• „Wykrywanie intruzów” nie jest zapobieganiem włamaniom!


Snort jako przykład systemu IDS

Snort to bardzo silny sieciowy system wykrywania ataków (ang. Network Intrusion Detection System, NIDS), który daje szeroki zakres mechanizmów detekcji, mogących w czasie rzeczywistym dokonywać analizy ruchu i rejestrowania pakietów w sieciach opartych na protokołach IP/TCP/UDP/ICMP. Potrafi przeprowadzać analizę strumieni pakietów, wyszukiwać i dopasowywać podejrzane treści, a także wykrywać wiele ataków i anomalii, takich jak przepełnienia bufora, skanowanie portów typu stealth, ataki na usługi WWW, SMB, próby wykrywania systemu operacyjnego i wiele innych.


Silnik detekcji

• Reguły oparte o “sygnatury”• Szeroki zakres wykrywania ataków– Skany „stealth”, OS fingerprinting,

przepakowania buforów, back doors, exploity CGI, etc.

• System reguł jest bardzo elastyczny. Dodawanie nowych reguł jest relatywnie proste.


Pluginy

• Preprocessor– Pakiety są badane i „modyfikowane” przez

przekazaniem do „silnika wykrywania”

• Wykrywanie– Przeprowadzana jest seria prostych

niezależnych testów na różnych polach pakietu

• Wyjście– „Raportuje” wyniki skanów w wybranym

formacie


Snort może działać w trzech trybach :

Sniffer – przechwytuje wszystkie pakiety i wyświetla je na ekranie

-v informacje o nagłówkach pakietów TCP/UDP/ICMP -d informacje warstwy aplikacji pakietu -e dodatkowe nagłówki warstwy danych -w informacje o interfejsach i ich numeracji w systemie Windows -i <numer_interfejsu> nasłuchiwanie na konkretnym interfejsie


Packet Logger – zapisuje wszystkie przechwycone pakiety do pliku -l <katalog> zapisuje do podanego katalogu tworząc hierarchię katalogówwykorzystując min adresy IP -b zapisuje w postaci binarnej w formacie sniffera tcpdump, użyteczne wprzypadku sporej ilości pakietów, możliwy późniejszy odczyt np.WireShark'iem, zapisywany jest cały pakiet, niewymagana opcja -e) -r wyświetla na ekranie pakiety zapisane binarnie

Zarówno w trybie sniffer i packet logger, do filtrowania danych stosuje się BPF(Berkeley Packet Filter


Network Intrusion Detection Mode –sieciowy system wykrywania włamań

-c <sciezka_do_pliku> podawana jest ścieżka do pliku konfiguracyjnego


Architektura Snorta


„Przepływ” danych w Snort 1.x

Dekoder pakiet.

Preprocessor(Pluginy)

Silnik Detekcji(Pluginy)

„Wyjście”(Pluginy)

„Strum

ień” pakietów

„Snifowanie”

Snort „Przepływ

” danych

Alarmy/Logi


Architektura Snorta 1.x

• Prędkość poszczególnych warstw– “Dekodowanie” = bardzo szybkie– “Silinik detekcji” = szybki– “Wyjście” = zależne od implementacji


Silnik detekcji w Snort 1.x

– Bardzo szybki!!!!

– Zasada “pierwszego wyjścia”• Pierwsza wykryta anomalia powoduje, że silnik wykonuje

odpowiednią reakcję i przechodzi do następnego pakietu


Snort 1.x - Ograniczenia

• „Wyjście”– Ludzie mają tendencję do pisania wolnych pluginów

„wyjściowych”

– Zmienny sposób „zapisu” danych „wyjściowych” powoduje, iż ciężko jest uzyskać odpowiednią wydajność


„Ulepszenia” w Snort 2.0

• Buforowanie– Dane „wyjściowe” ze snorta są zapisywanie w

plikach-buforach, a drugi proces („barnyard”) odczytuje te pliki i „przetwarza” je odpowiednio do formatu danych wyjściowych.

– Pluginy „wyjściowe” są wykorzystywane przez proces barnyard zamiast obciązać samego Snorta.


Silnik detekcji w Snort 2.0

• Zastosowanie ulepszenia (wprowadzenie struktury drzewa w silniku) i przyśpieszenia pozwoliły na wykorzystanie strategii „ostatniego wyjścia”


Umieszczanie systemów NIDS w sieci :


Problem umiejscowienia IDSa w sieci.

• Miejsce (co chcemy tak naprawdę monitorować)• Sposób podłączenia (problem segmentacji sieci)• Problem wydajności


Reguły Snorta

To, co stanowi o sile systemu Snort to tryb wykrywania włamań i systemem tworzenia reguł, dzięki którym Snort potrafi wykrywać różnego rodzaju ataki. Język tworzenia reguł Snorta jest dość skomplikowany. Przykład kompletnej reguły:

alert tcp any any -> 192.168.1.0/24 111 (content: 00 01 86 a5 ; msg: mount access ;)


[Działanie] [port] [adres źródłowy] -> [adres docelowy] [port docelowy] [opcje]

Schemat budowy reguły Snort’a.


Reguła Snorta jest podzielona na dwie logiczne części: część nagłówka i cześć z opcjami. Część nagłówkowa zawiera akcję jaką należy wykonać, rodzaj protokołu, adres ip źródła , port źródłowy oraz adres ip docelowy oraz numer docelowego portu. Możliwe jest równie użycie wieloznacznego słowa any, które symbolizuje dowolny adres ip, dowolny port. Część w nawiasach okrągłych zawiera zestaw opcji użytych dla tej reguły, Każda opcja zakończona jest średnikiem. Po odebraniu pakietu porównuje nagłówki reguł oraz opcje zawarte w regułach z pakietem. Jeśli są zgodne to wykonywana jest zapisana w regule akcja. Możliwe do wykonania akcje to:

• alert, generuje alarm i loguje pakiet • log, tylko loguje pasujący pakiet • pass, przepuszcza pakiet • activate, wywołuje alarm i uruchamia dynamiczną regułę • dynamic, reguła pozostająca w bezczynności aż do momentu aktywacji przez regułę typu activate

alert tcp any any -> 192.168.1.0/24 111 (content: 00 01 86 a5 ; msg: mount access ;)

Opcje do wykonanianagłówek


Opcje w regułach programu Snort

Dzięki rozbudowanym i licznym opcjom jest możliwe wykonywanie wielu testów na pakietach. Każda opcja składa się z słowa kluczowego, po nim dwukropka i argumentu dla danej opcji. Przykładowe opcje:

Opcja: msg: <tekst>;

Opcja pozwala dodawać tekst do reguł, dzięki temu informacje zapisane w plikach logu są bardziej czytelne.


Opcja flag:[!|*|+]<FSRPAU0>[,<FSRPAU0>];

Opcja pozwala analizować nagłówek pakietu pod kątem ustawionych w nim flag:

F – FIN S - SYN R – RST P – PSH A – ACK U – URG 0 – brak ustawionych flag+ - dopasuj do danej flagi i opcjonalnie do reszty - - dopasuj do którejkolwiek z podanych flag! - dopasuj jeśli podanej flagi nie są ustawione w pakiecie

Np.

alert tcp any any -> any any (flags:SF;)


Operator kierunku -> wskazuje kierunek przepływu pakietówPrzykłady.

log udp any any -> 192.168.1.0/24 1:1024

Reguła powoduje, że każdy ruch na protokole udp, który kierowany jest do 192.168.1.0/24 i na porty od 1 do 1024 jest logowany

log tcp any any -> 192.168.1.0/24 :6000

Reguła powoduje, że każdy ruch na protokole tcp, który kierowany jest do 192.168.1.0/24 i na port 6000 lub niższy jest logowany

log tcp any :1024 -> 192.168.1.0/24 500:

Reguła powoduje, że każdy ruch na protokole tcp, który kierowany jest do 192.168.1.0/24 i na port 500 lub wyższy jest logowany


log tcp any any -> 192.168.1.0/24 !6000:6010

Reguła powoduje, że każdy ruch na protokole tcp, który kierowany jest do 192.168.1.0/24 i na porty inne niż zakres od 6000 do 6010 jest logowany.

log tcp !192.168.1.0/24 any <> 192.168.1.0/24 23

Operator <> pozwala na analizę ruchu w dwóch kierunkach, dla połączeń realizowanych w ramach parametrów opisanych obok.


Parametr „content” pozwala badać pakiety pod kątem ich zawartości. alert tcp any any -> 192.168.1.0/24 111 (content: 00 01 86 a5 ; msg: mount access ;)

alert tcp any any -> any 139 (content:"|5c 00|P|00|I|00|P|00|E|00 5c|";)

alert tcp any any -> any 80 (content:!"GET";)

Classtype – zbiór predefiniowanych klas zawierających wzorce różnych ataków. format: classtype:<class name>;

alert tcp any any -> any 25 (msg:"SMTP expn root"; flags:A+; \content:"expn root"; nocase; classtype:attempted-recon;)


Wbudowane w Snort’a wzorce ataków


Wbudowane w Snort’a wzorce ataków c.d.


EasyIDS – przykład „przyjaznego” oprogramowania IDS


Okno logowania do systemu z poziomu konsoli


Okno z podsumowaniem ruchu sieciowego


Okno z podsumowaniem ruchu sieciowego – tutaj dla wybranego interfejsu sieciowego.

Wdrażanie i zarządzanie serwerami zabezpieczającymi

Documents

Transcript of Wdrażanie i zarządzanie serwerami zabezpieczającymi