1. Вступительная часть – 5 мин.
advertisement
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ СТАВРОПОЛЬСКИЙ ГОСУДАРСТВЕННЫЙ АГРАРНЫЙ УНИВЕРСИТЕТ Дисциплина «Информационная безопасность и защита информации» для студентов специальности 230201.65 Информационные системы и технологии Лабораторная работа №1 «Изучение требований защиты сетевых ресурсов с использованием межсетевых экранов» Обсуждено на заседании кафедры Протокол №___ от « »________2012г. Ставрополь 2012 УЧЕБНЫЕ И ВОСПИТАТЕЛЬНЫЕ ЦЕЛИ 1. Изучить типичные стратегии экранирования сети. 2. Изучить основные конфигурации сети при использовании межсетевых экранов. 3. Научиться применять основные функции межсетевых экранов. УЧЕБНО-МАТЕРИАЛЬНОЕ ОБЕСПЕЧЕНИЕ Учебное пособие, ПЭВМ. РАСПРЕДЕЛЕНИЕ ВРЕМЕНИ ЗАНЯТИЯ Время: 2 часа (80 мин) 1. Вступительная часть – 5 мин. 2. Изучение типичных стратегий экранирования сети – 20 мин 3. Изучение основных принципов конфигурации сети при использовании межсетевых экранов – 30 мин. 4. Решение задач по определению функций межсетевого экрана– 25 мин. СОДЕРЖАНИЕ ЗАНЯТИЯ Вступительная часть Рассмотрим проектные требования защиты сетевых ресурсов, доступных для пользователей Интернета. Задача состоит в том, чтобы конфигурировать брандмауэры, допустив пользователей Интернета к части сети, не предоставляя им полного доступа. Область частной сети, в которой размещаются доступные через Интернет ресурсы, называется экстрасетью (extranet) Вопрос 1. Определение типичных стратегий экранирования сети Типичный способ защиты экстрасети — добавить брандмауэры между общественной сетью и экстрасетью. Знание функций брандмауэра поможет спроектировать безопасный доступ к ресурсам экстрасети. Помимо брандмауэра между общественной сетью и экстрасетью, многие организации добавляют брандмауэр между частной сетью и экстрасетью. Эту конфигурацию называют демилитаризированной зоной (DMZ), защищенной по периметру сетью (perimeter network) или экранированной подсетью (screened subnet). Этот внутренний брандмауэр защищает частную сеть, если внешний брандмауэр или ресурсы экстрасети скомпрометированы. В простейшем случае брандмауэр помешают между частной и общественной сетями для защиты частной сети от общественной (рис. 1) Рисунок 1 - Ограниченный брандмауэром доступ из общественной сели к частной сети. Брандмауэр действует как барьер против атак из общественной сети. Брандмауэр может быть физическим аппаратным устройством или приложением, выполняемым на компьютере Для защиты частной сети брандмауэры предлагают следующий набор служб. Network Address Translation (NAT). Перевод адреса источника исходящих пакетов из адреса частной сети в адрес общественной сети. Фильтры пакетов. Правила брандмауэра, определяющие пропускаемые через него протоколы. Статическое отображение адресов. Перенаправление входящих пакетов на серверы, использующие адреса частной сети. Инспекция состояния сетевого трафика. Проверка, отвечают ли протоколы основным правилам связи. Инспекция состояния гарантирует, что сеансы не перехвачены хакером. Дополнительные средства выявления типичных атак против частной сети. Можно настроить время ожидания для установления неполного сеанса и инспектировать содержимое входящих пакетов. Защита адресации частной сети с помощью NAT NAT предотвращает доступ к схеме IP-адресации частной сети. Зная эту схему, хакер может предпринять атаки, направляя в сеть пакеты с фальсифицированным IP-адресом источника, соответствующим доверенному адресу частной сети. NAT защищает от этой формы атаки, заменяя IP-адрес источника во всех исходящих пакетах неким общим IP-адресом (рис 2) Рисунок 2 – Иллюстрация замены поля IP-адреса и порта источника для всех исходящих пакетов сетевой службой NAT Кроме замены IP-адреса источника, NAT заменяет порт источника, чтобы предотвратить двойные запросы порта исходящими пакетами. Устройство NAT отслеживает все управляемые соединения так, чтобы пакеты возвращались правильному компьютеру в частной сети. В частной сети обычно применяют адресацию по стандарту RFC 1918, который резервирует 3 диапазона для IP-адресов частной сети: 10.0.0.0 - 10.255.255.255 (10 0.0.0/8); 172.16.0.0 - 172.31.255.255 (172.16.0.0/12); 192.168.0.0 - 192.168.255.255 (192.168.0 0/16). Эти пулы IP-адресов не используются в Интернете и не включаются в таблицы маршрутизации Интернета. Процесс NAT заменяет адреса частной сети IP-адресом, назначенным организации корпорацией ICANN. Пакетные фильтры. Для нового брандмауэра необходимо установить правила, определяющие, каким данным позволено поступать в частную сеть и из нее. Правила брандмауэра составляются из отдельных пакетных фильтров. Брандмауэр использует пакетный фильтр для настройки протокола, чтобы переданные по этому протоколу данные были идентифицированы. Пакетные фильтры позволяют администратору брандмауэра предотвратить поступление данных в частную сеть по неправомочным протоколам. Администраторы могут применять пакетные фильтры и к исходящим данным, чтобы ограничить доступные для компьютеров частной сети протоколы. Пакетный фильтр обычно составляется из полей, которые настраивают протокол и определяют действие, предпринимаемое, если протокол пытается пройти через брандмауэр. Пакетные фильтры используют следующие поля. Адрес источника. Индивидуальный или сетевой IP-адрес источника данных. Порт источника. Порт, с которого переданы данные. У каждого IPпротокола есть исходный порт на узле-источнике. На клиентском компьютере исходный порт для соединения, как правило, выбирается случайным образом. Адрес назначения. Индивидуальный или сетевой IP-адрес, на который отправлены данные. Порт назначения. Порт, используемый сервером, чтобы слушать соединения. IP-службы и IP-приложения слушают соединения на предопределенном порту. Протокол. Приложения и службы используют конкретный идентификатор протокола или протокол транспортного уровня для передачи своих данных. Если приложение или служба использует протокол транспортного уровня, это будет TCP либо UDP. Действие (разрешить/запретить). Определяет действие, предпринимаемое, если другие поля согласованы и пересылка данных идентифицирована. Многие брандмауэры позволяют регистрировать все попытки использования некоего протокола. Брандмауэры позволяют зеркально отражать пакетные фильтры. Это необходимо, чтобы разрешить ответным пакетам вернуться к исходному клиентскому компьютеру. Отражение просто переставляет информацию об источнике и назначении, чтобы разрешить ответным пакетам пройти через брандмауэр (рис. 3). Рисунок 3 – Иллюстрация процедуры отражения пакетных фильтров Как правило, в брандмауэре реализуется одна из следующих стратегий: определить разрешенные протоколы и запретить все остальные; определить запрещенные протоколы и разрешить все остальные. Стратегия зависит от приемлемого уровня риска для организации. Обычно сети с более высокой степенью защиты определяют разрешенные протоколы и запрещают все остальные. Это гарантирует прохождение через брандмауэр только указанных протоколов. Статическое отображение адресов Используйте статическое отображение адресов в брандмауэре для перенаправления входящего трафика к скрытым за ним Интернет-ресурсам. Ресурсы представлены в Интернете общедоступными IP-адресами. Получая пакеты, брандмауэр переводит адрес назначения в истинный IР-адрес ресурса за брандмауэром и перенаправляет данные к ресурсу (рис. 4). Рисунок 4 - Иллюстрация процесса перенаправления запросов путем статического отображения адресов на Интернет-ресурсы частной сети В данном случае внешний DNS-сервер представляет Web-сервер IPадресом 131.107.5.6. При статической привязке внешний IP-адрес соответствует адресу 192.168.10.4 в частной сети. Преимущество статического отображения адресов в том, что оно скрывает подлинный IP-адрес Интернет-ресурсов от возможных атак. Вместе с правилами фильтрования пакетов статическое отображение адресов позволяет определять полномочные протоколы и перенаправлять только эти протоколы расположенным в DMZ серверам. Инспекция состояния В защищенных сетях простых пакетных фильтров недостаточно. Пакетные фильтры определяют, какие порты в брандмауэре оставлены открытыми для перенаправления сетевого трафика к Интернет-ресурсам. Многие протоколы используют случайные порты выше 1024-го на стороне клиента. Открытие всех портов выше 1024-го может поставить и брандмауэр, и ресурсы частной сети под угрозу атаки. Инспекция состояния позволяет брандмауэру просматривать, какие порты задействованы для начального соединения, открыть эти порты и закрыть их при завершении соединения. Если запрошены подозрительные порты, например, когда имеет место попытка перехвата сеанса, брандмауэр может распознать атаку и прервать соединение. Инспекция состояния позволяет установить правила брандмауэра так, чтобы UDP-протоколы, такие как SNMP, успешно проходили через брандмауэры. Брандмауэр отслеживает сведения о портах клиента и сервера и пропускает ответные пакеты только на правильный узел. Брандмауэр делает это, отслеживая исходные порты, используемые клиентским приложением и гарантируя, что серверное приложение отвечает только на порту, запрошенном клиентским приложением. Дополнительные методы Кроме этих служб, брандмауэры обеспечивают дополнительные функции защиты. Настройка допуска таймаута. Некоторые атаки пытаются блокировать брандмауэр, наводнив его неполными сеансами TCP. Допуск таймаута позволяет брандмауэру отключать эти сеансы до переполнения очереди синхронизации (SYN). Просмотр содержимого. Фильтрование позволяет ограничить набор используемых протоколов, но не может проверять команды в протоколе. Брандмауэр может просматривать команды, переданные в пределах сеанса. Так, чтобы отключить пересылку данных через FTP, можно настроить просмотр содержимого, разрешив команды FTP GET и запретив FTP PUT. Просмотр содержимого может также проверять все входящие данные на известные подписи вирусов. В таблице 1 представлена процедура использования брандмауэра для защиты сети. Таблица 1 - Использование брандмауэра для защиты Интернет-ресурсов Обозначение функции брандмауэра Назначение функции NAT Предотвратить раскрытие схемы адресации частной сети. Скрыть подлинный IPадрес ресурсов частной сети при доступе к Интернет-ресурсам. Пакетные фильтры Управлять выбором протоколов, которым разрешено проходить между частной и общественной сетями. Определить действие, предпринимаемое в случае идентификации протокола, проходящего через брандмауэр. Определить стандартное действие, предпринимаемое, если протокол не соответствует ни одному из определенных пакетных фильтров. Статическое отображение адресов Заменить адреса частной сети Интернет-ресурсов адресами общественной сети. Скрыть подлинный IP-адрес Интернет-ресурсов. Инспекция состояния Защитить UDP-протоколы, которые Обозначение функции брандмауэра Допуск таймаута Инспекция содержимого Назначение функции должны входить в частную сеть. Выявить попытки перехвата сеанса. Выявить атаки на прикладном уровне, пытающиеся обойти пакетные фильтры, настроенные для протокола. Предотвратить атаки переполнения SYN, закрывая сеансы, у которых вышло время. Освободить простаивающие соединения для новых попыток соединения. Предотвратить использование в протоколе определенных прикладных команд. Выявить вирусы внутри входящих пакетов. Вопрос 2. Сравнение конфигураций DMZ Неблагоразумно размещать Интернет-ресурсы организации в частной сети. Вместо этого разместите все Интернет-ресурсы в сегменте сети DMZ между частной и общественной сетями. У DMZ много названий: это и экранированная подсеть, и защищенная по периметру сеть. Первый термин относятся к функции DMZ в защите сети. Весь сетевой трафик, который пытается входить в DMZ или выходить из нее, экранируется пакетными фильтрами, чтобы определить, разрешен ли он. Второй происходит из расположения DMZ. Как правило, DMZ находится между частной и общественной сетями на периметре частной сети. Все три термина относится к одной и той же области сети. Сети используют один из вариантов DMZ: простая, двусторонняя и гибридная (или многозонная). Проектирование простой DMZ Простая DMZ состоит из брандмауэра с тремя сетевыми интерфейсами. Один интерфейс связан с частной сетью, другой — с общественной сетью, а третий — с DMZ (рис. 5) Рисунок 5 – Структура простой DMZ Администратор создает пакетные фильтры, предписанные брандмауэром, чтобы ограничить разрешенный между тремя зонами трафик. Все Интернет-ресурсы размещены в DMZ, что позволяет установить соединения из общественной сети только с ресурсами в DMZ. Запрещено устанавливать соединения с какими-либо ресурсами в частной сети. Трехсторонний брандмауэр должен поддерживать три сетевых интерфейса. Каждый интерфейс будет назначен зоне, и необходимо настроить пакетные фильтры, определяющие взаимодействие, разрешенное между зонами. Решая, будет ли DMZ использовать адресацию частной или общественной сети, определите, будет ли применяться IPSec на пути из общественной сети к DMZ. Так как IPSec не может пройти через службу NAT, то необходимо использовать адресацию общественной сети в DMZ всякий раз, когда требуется IPSec-соединение из общественной сети. Двусторонняя DMZ Двусторонняя DMZ создается с помощью двух брандмауэров. Первый размещается между общественной сетью и DMZ, второй — между DMZ и частной сетью (рис. 6). Простая DMZ может повлечь сбой в защите из-за отказа в одной точке, а два брандмауэра дополнительно защищают частную сеть: хакеру для доступа к частной сети нужно преодолеть два брандмауэра. Применяя брандмауэры разных видов, можно усилить защиту частной сети, так как для их преодоления могут потребоваться разные методы. Рисунок 6 – Структура двухсторонней DMZ Как и в простой, в двусторонней DMZ можно использовать адресацию частной или общественной сетей. Обычно в DMZ применяют адресацию частной сети, если не требуется установка IPSec-соединения через внешний брандмауэр. Гибридная DMZ Иногда одной DMZ недостаточно. В таких случаях можно создать гибридную DMZ — сеть, в которой между частной и общественной! сетями больше одной зоны. Конфигурация гибридной DMZ, использующей единственный брандмауэр, показана ниже (рис. 7). В этом сценарии создается две DMZ, чтобы обеспечить IPSecсоединения и в защитить конфигурацию адресации частной сети для всех прочих Интернет-ресурсов. Одна DMZ, содержащая сервер удаленного доступа, который будет принимать IPSec-соединения, использует адресацию общественной сети. Вторая DMZ использует адресацию частной сети и содержит все прочие Интернет-ресурсы. Брандмауэр предотвращает статическое отображение адресов для всего входящего трафика в сегмент сети. Аналогично NAT выполняется для всего исходящего трафика, происходящего из этой зоны, используя адресацию частной сети. Вы можете задействовать несколько брандмауэров для установки двух или более DMZ между частной сетью и общественной сетью (рис. 8). Рисунок 7 – Структура гибридной DMZ с одним брандмауэром Рисунок 8 – Структура гибридной DMZ с несколькими брандмауэрами В этом сценарии внешняя DMZ использует адресацию общественной сети для IPSec-соединений с сервером удаленного доступа. Внутренняя DMZ использует адресацию частной сети, чтобы защитить остальные Интернетресурсы. Наиболее трудная для настройки, гибридная DMZ предлагает наибольшую гибкость и позволяет группировать Интернет-ресурсы по степени важности данных, хранящихся в ресурсе. Кроме того, администратор безопасности может создать на каждом брандмауэре набор пакетных фильтров, чтобы точно определить, какой трафик может входить в каждую DMZ и исходить из нее. Выработка решения Если сетевые ресурсы доступны из Интернета, то необходимо изолировать их от частной сети, создав DMZ. Вот решения для трех конфигураций DMZ (табл. 2): Таблица 2 - Выбор конфигурации DMZ Вариант конфигурации DMZ Достигаемые цели Простая DMZ Уменьшение затрат, связанных с добавлением брандмауэров. Для этого проекта требуется только один брандмауэр. Поддержка единственного списка пакетных фильтров. Правила пакетного фильтра определяют, к какому интерфейсу он применяется. Двусторонняя DMZ Обеспечение физического разделения частной и общественной сетей с помощью DMZ, помещаемой между ними. Хакер должен преодолеть два брандмауэра, чтобы обратиться к частной сети. Снизить шанс доступа к частной сети вследствие нарушения внешнего брандмауэра. Если используется внутренний и внешний брандмауэры разных изготовителей, защита усиливается, так как для их преодоления должны применяться разные методы. Гибридная DMZ Обеспечение адресации и частной и общественной сети для сегментов DMZ. Разбить Интернет-ресурсы по уровням доступа в зависимости от важности хранимых ими данных. Вопрос 3. Определение функций брандмауэра Каждому студенту при рассмотрении данного вопроса необходимо сконфигурировать новый брандмауэр, так чтобы он соответствовал требованиям организации к безопасности. Для этого определите функции брандмауэра, которые обеспечат необходимый уровень защиты для сети организации: NAT; статическое отображение адресов; фильтрование пакетов; инспекция состояния; фильтрование содержимого; допуск таймаута Для каждого вопроса определите функцию или функции брандмауэра, позволяющие обеспечить требуемый уровень защиты, и поясните свой ответ. Задачи 1. В прошлом году сеть не работала 3 дня после атаки вируса, полученного в электронном письме. Брандмауэр, который устанавливается, должен выявлять инфицированные вирусом приложения в сообщениях электронной почты, прибывающих из Интернета, и удалять их содержимое до доставки получателю. 2. Первоначально разместив Web-сервер в Интернете, вы назначили; ему адрес из общественного пула IP-адресов, предоставленного вашим ISP. Теперь, когда этот Web-сервер находится в DMZ, внешний брандмауэр должен переводить весь входящий трафик с адреса общественной сети, представленного в Интернете, в фактический IP-адрес, используемый в частной сети. 3. Web-сервер был скомпрометирован в прошлом месяце: хакер соединился с ним и просканировал доступные порты, а затем — со службой Server и просмотрел общие ресурсы на Web-сервере. Какая функция брандмауэра ограничит соединения только указанными протоколами? 4. Сервер приложений в экстрасети должен отправлять сообщенияловушки SNMP и отвечать на запросы SNMP со станции управления SNMP, расположенной в частной сети. Какая функция брандмауэра обезопасит от того, что хакер сымитирует сервер приложений и обратится к информации по протоколу SNMP? 5. В прошлом году несколько коммерческих Web-узлов были выведены из строя распределенными атаками типа «отказ в обслуживании» (distributed denial of service, DDoS), использовавшими атаку переполнения SYN. Ваш Web-сервер — ключевой компонент стратегии электронного бизнеса, и недоступность вашего Web-узла в течение некоторого времени стала бы катастрофой для доходов и репутации. Какая функция брандмауэра может снизить эффект атак DDoS? 6. Несколько компьютеров в частной сети должны соединяться с серверами в Интернете, принадлежащим вашим конкурентам. Руководство не хочет, чтобы эти соединения могли стать источником информации о конфигурации частной сети вашей организации. Какая функция брандмауэра предотвратит раскрытие исходящим трафиком схемы IP-адресации частной сети? Представьте вариант конфигурации брандмауэра преподавателю. Дайте ответы на вопросы преподавателя.