Методические указания - "Web-программирование", "Системное
advertisement
Министерство Образования и Науки Российской Федерации НОВОСИБИРСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ № ____ «Безопасность информационных ресурсов» Методические указания к лабораторным и контрольным работам для студентов по направлению 220400 «Автоматизация и управление» очной формы обучения НОВОСИБИРСК 2012 1 УДК 004.45 (076.5) Составитель: А.В. Гунько, канд. техн. наук, доц. Рецензент А.Ж. Абденов, доктор техн. наук, проф. каф. ЗИ Работа подготовлена на кафедре автоматики © Новосибирский государственный технический университет, 2012 г. ЛАБОРАТОРНАЯ РАБОТА № 1 ТЕСТИРОВАНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СЕРВЕРОВ В РУЧНОМ РЕЖИМЕ 1. Цель работы: Изучить способы и средства тестирования информационной безопасности серверов (наличие открытых портов TCP/IP и возможность подключения к ним без авторизации) с помощью общедоступных утилит. 2. Краткие теоретические сведения. 2.1. Общеизвестные порты Для обеспечения доступа извне к службам серверов наиболее часто используются стедующие потры TCP/IP: Таблица 1. Порты TCP/IP Порт/Протокол Описание Статус 20/TCP протокол FTP — данные Официально 21/TCP протокол FTP — команды Официально протокол SSH (Secure SHell) — применяется для 22/TCP,UDP Официально безопасного входа в систему протокол Telnet — применяется для передачи текстовых сообщений в незашифрованном виде, то же, что и консоль 23/TCP,UDP терминала. Используется, в частности, общеизвестной Официально программой Гипертерминал (HyperTerminal) для Windows и в настоящее время считается устаревшим и небезопасным протокол SMTP (Simple Mail Transfer Protocol) — используется для пересылки почтовых сообщений между 25/TCP,UDP Официально серверами. Сообщения отправляются в виде простого незашифрованного текста 80/TCP,UDP Hypertext Transfer Protocol (HTTP) Официально 110/TCP Post Office Protocol 3 (POP3) Официально 137/TCP,UDP NetBIOS NetBIOS Name Service Официально 139/TCP,UDP NetBIOS NetBIOS Session Service Официально Internet Message Access Protocol (IMAP) — используется для 143/TCP,UDP Официально получения, организации и синхронизации сообщений e-mail 161/TCP,UDP Simple Network Management Protocol (SNMP) Официально 3 Порт/Протокол 443/TCP 445/TCP 631/TCP,UDP 666/UDP 989/TCP,UDP 990/TCP,UDP 992/TCP,UDP 993/TCP 995/TCP 1433/TCP,UDP 2041/TCP 2042/TCP 3306/TCP,UDP Описание Статус HTTP поверх TLS/SSL (HTTPS) Официально Active Directory, Windows shares Официально Internet Printing Protocol (IPP) Официально Doom,Doom2 шутер от первого лица Официально FTP (данные) поверх TLS/SSL Официально FTP (команды) поверх TLS/SSL Официально TELNET поверх TLS/SSL Официально Internet Message Access Protocol over SSL (IMAPS) Официально POP3 поверх TLS/SSL (POP3S) Официально Microsoft SQL Server — Server Официально Mail.ru Агент communication protocol Неофициально Mail.ru Агент communication protocol Неофициально Система управления базами данных MySQL Официально Microsoft Terminal Server (RDP) Официально 3389/TCP Неофициально зарегистрировано как Windows Based Terminal (WBT) 3899/TCP RAdmin—программа для удаленного управления Неофициально 4899/TCP,UDP RAdmin—программа для удаленного управления Официально 5190/TCP ICQ and AOL Instant Messenger Официально 5432/TCP,UDP Система управления базами данных PostgreSQL Официально 6112/TCP Blizzard's Battle.net gaming service, ArenaNet gaming service Неофициально 6113-6119 World of Warcraft MMORPG Realmservers Неофициально 6969/TCP BitTorrent tracker Неофициально HTTP alternate (http_alt)— используется для Web proxy, или 8080/TCP Официально дополнительных Web серверов 8086/TCP Kaspersky AV Control Center Неофициально 8087/UDP Kaspersky AV Control Center Неофициально 8172/TCP Служба веб-управления IIS Неофициально 27010 Half-Life и его моды, такие как Counter-Strike Неофициально 27015 Half-Life и его моды, такие как Counter-Strike Неофициально 31337/TCP Back Orifice — средство для удаленного администрирования Неофициально 33434/TCP,UDP traceroute Официально Подключение к этим службам производится с помощью соответствующих клиентских приложений, однако доступность служб может быть протестирована соответствующими утилитами. 2.2. Утилиты. Существует ряд программ, входящих в состав большинства операционных систем и позволяющих тестировать и использовать протоколы TCP/IP. 4 ping - утилита для проверки соединений в сетях на основе TCP/IP, а также обиходное наименование самого запроса. Утилита отправляет запросы (ICMP Echo-Request) протокола ICMP указанному узлу сети и фиксирует поступающие ответы (ICMP Echo-Reply). Время между отправкой запроса и получением ответа позволяет определять двусторонние задержки по маршруту и частоту потери пакетов, то есть косвенно определять загруженность на каналах передачи данных и промежуточных устройствах. ping имеет несколько определенных целей: опциональных параметров для достижения ping [-t] [-a] [-n count] [-l size] [-f] [-i TTL] [-v TOS] [-r count] [-s count] [[-j host-list] | [-k host-list]] [-w timeout] destination-list Таблица 2. Ключи утилиты ping. -t Пинговать указанный хост до прерывания. -a Разрешать адреса в имена хостов. -n count Число посылаемых эхо-запросов. -l size Размер буфера посылки. -f Установит в пакете флаг "Не Фрагментировать". -i TTL Время жизни. -r count Подсчитывать шлюзы для контроля числа переходов. -s count Метка времени для счета переходов. -j host-list Loose source route along host-list. -k host-list Strict source route along host-list. -w timeout Таймаут ожидания каждого ответа (в миллисекундах). Traceroute - это служебная компьютерная программа, предназначенная для определения маршрутов следования данных в сетях TCP/IP. Traceroute может использовать разные протоколы передачи данных в зависимости от операционной системы устройства. В системах Microsoft Windows эта программа носит название tracert, а в системах GNU/Linux, Cisco IOS и Mac OS — traceroute. Единственный обязательный параметр - имя целевого узла или IP-адрес. По умолчанию длина датаграммы составляет 40 байт, но ее можно увеличить, указав длину пакета (в байтах) , после имени хоста назначения. Данная утилита осуществляет трассировку маршрута, посылая серию обычных IP-пакетов в конечную точку изучаемого маршрута. 5 Значение времени жизни сообщения (TTL) первого отправляемого пакета устанавливается в 1. Когда протокол IP первого маршрутизатора принимает этот пакет, то декрементируют на 1 значение TTL. Пакет с нулевым значением TTL маршрутизатор отбрасывает, возвращая узлу-источнику ICMP-сообщение об ошибке истечения времени дейтаграммы вместе с заголовком IP и первыми 8 байтами потерянного пакета. Получив данное сообщение, утилита traceroute запоминает адрес первого маршрутизатора и задержку. Далее отправляется второй пакет с инкрементированным значением начального TTL (2) и т. д. вплоть до узла назначения. Так прослеживается маршрут (в некоторых случаях с доменными именами) и среднее время оборота. Синтаксис: traceroute [ -f first_ttl ] [ -g шлюз ] [ -i iface ] [ -m max_ttl ] [ -p порт ] [ -q nqueries ] [ -s src_addr ] [ -w waittime ] [ -z pausemsecs ] хост [ packetlen ] -f начальный-TTL (1) -g первый-шлюз (установить первый шлюз в маршрутизации "от источника" - source routing; скорее всего такой пакет будет отфильтрован) -i имя-интерфейса -m максимальный-TTL (30) -n (не преобразовывать IP адреса в имена) -p номер-порта-назначения -q число (3; число проб на каждый промежуточный узел) -r (не использовать таблицу маршрутизации, послать пакет через указанный в -i интерфейс) -s исходящий-адрес -w секунд (5; время ожидания ответа) -z интервал-между-посылками (если меньше 10, то в секундах, если больше - в милисекундах) 6 Netstat - собирает различную информацию о состоянии сетевого программного обеспечения, включая статистику сетевых интерфейсов, данные о маршрутизации и таблицу соединений. netstat поддерживает множество опций для отображения активных и пассивных соединений. Опции -t, -u, -w и -x показывают активные TCP, UDP, RAW или UNIX соединения. Если задать параметр -a, показываются сокеты, которые ждут соединения (то есть, слушают сеть). Это даст список всех служб, которые сейчас работают в системе. Telnet – используется для подключения к определённому порту хоста: > telnet <hostname> [port] Это может быть довольно удобным в случае, когда вам нужно быстро протестировать определённую службу, имея при этом полный контроль над командами, и получить полный отчёт о том, что происходит. Таким способом вы можете в интерактивном режиме протестировать или использовать сервер SMTP, POP3, HTTP и т.п. Tcpdump - выводит заголовки пакетов, проходящих через сетевой интерфейс, которые совпадают с булевым выражением. В любом случае, tcpdump будут обработаны только те пакеты, которые совпадают с выражением. Вот некоторые ключи: -c count Выйти после получения определенного количества пакетов. -i interface Собирать пакеты только на определенном интерфейсе. Если не указан - берется минимальный по номеру интерфейс (исключая loopback). -n Не преобразовывать адрес хоста в имя. Может быть использовано, если необходимо избегать DNS-запросов. -nn Не преобразовывать протокол и номер порта в их имена. -t Не выводить временной штамп (timestamp) в каждой строке дампа. -tt Выводит не форматированный временной штамп в каждой строке дампа. 7 -ttt Выводить разницу (в микросекундах) между текущей и предыдущей строками дампа. -v (Чуть более) подробный вывод. Для еще более подробного вывода используются: -vv и -vvv. -w file Писать "сырые" пакеты в file перед тем как произвести их разбор и вывести. Они могут быть позднее выведены с ключем -r. Если file указан как "-", то используется стандартный вывод. Теперь рассмотрим фильтрующее выражение. Оно выбирает, какие пакеты будут выбираться из общего потока. Выражение состоит из одного или более примитивов. Примитивы обычно состоят из ID (имя или номер), следующего за одним или более классификаторами. Перечислим некоторые из допустимых примитивов: dst host host - истина, если поле "назначение" пакета - это host, который может быть адресом или именем src host host - истина, если поле "источник" пакета - это host. host host - истина, если или поле "назначение", или поле "источник" пакета - это host. net net mask netmask - истина, если IP адрес входит в сеть с указанной сетевой маской. Может быть классифицировано с dst или src. dst port port - истина, если порт назначения имеет значение, указанное в port. Порт может быть числом или именем. src port port - истина, если пакет имеет порт-источник - port port port - истина, если или порт-назначение, или порт-источник в пакете - port. Пример: #tcpdump -i eth0 -n -nn -ttt -vvv -s 1500 -X ‘host 217.71.139.66 and port 21’ 8 2.3. Определение операционной системы сервера. Существует несколько различных способов получить информацию об ОС удаленного хоста. Удивительно, но самым эффективным из них и по сей день является следующий: > telnet hpux.u-aizu.ac.jp Tryin 163.143.102.12 ... Connected to hpux.uaizu.ac.jp. Escape character is '^]'. HP-UX hpux B.10.01.A 9000/715 (ttyp2) login: Как видно, удаленный хост сам сообщает о своей ОС. Основная масса разработчиков ОС поставляют свои продукты именно с такими заголовками, и многие системные администраторы забывают их отключить. Но даже если вывод заголовка отключен, большинство прикладных программ выдадут информацию, находящуюся в заголовке ОС хоста по первому требованию (если администратор не позаботился об отключении этой возможности). Например, FTP-сервер: > telnet ftp.netscape.com 21 Trying 207.200.74.26 ... Connected to ftp.netscape.com. Escape character is '^]'. 220 ftp29 FTP server (UNIX(r) System V Release 4.0) ready. Далее, после входа под анонимной учетной записью (anonymous), применив команду SYST, можно получить более подробную информацию: SYST 215 UNIX Type: L8 Version SUNOS Аналогичную информацию можно получить и от WEB-сервера: > echo 'GET / HTTP/1.0\n' | nc hotboot.com 80 | egrep '^Server:' Server: Microsoft-IIS/4.0 Обычно в каждой ОС установлено фиксированное, заранее определенное, значение TTL. В операционных системах Microsoft это значение по умолчанию равно 128, тогда как в Linux – 256 или 64. Можно определитьтип удаленной ОС по значению TTL ответного ICMP echo пакета, просто пингуя целевую машину 9 и проверяя значение TTL полученного в ответ пакета. Если оно равно 113, что можно предположить, что удаленная ОС принадлежит к семейству Windows, так как стартовое значение TTL этих систем равно 128, а маршрут от текущей машины до целевой составляет примерно 15 промежуточных хостов (113 + 15 = 128), что может быть проверено с помощью утилиты traceroute. Нужно учитывать, что это не самый надежный метод. Если целевой хост является маршрутизатором или находится за устройством преобразования адреса (из серого в белый), именуемого NAT (Network Address Translation), описанный способ потерпит неудачу. Межсетевые экраны и пакетные фильтры рассматриваются в 3 и 4 лабораторных работах. 3. Методические указания. 3.1. При отсутствии необходимых клиентских приложений на рабочей станции, они могут быть скачаны с сайта по дисциплине http://gun.cs.nstu.ru/ics. 3.2. Утилиты и клиентские приложения необхоимо запускать из командной строки, в программе «Терминал». 3.3. При необходимости получения справки по утилитам и клиентским приложениям, их нобходимо запускать с ключем /? или /h. 3.4. Результаты работы утилит и клиентских приложений, необходимые для отчета, следует, убедившись в корректности из работы, перенаправлять в текстовый файл: > echo 'GET / HTTP/1.0\n' | nc hotboot.com 80 | egrep '^Server:' > otchet.txt 4. Порядок выполнения работы. 4.1. Используя утилиту ping, убедиться в доступности заданного сервера. 4.2. Используя утилиту telnet, протестировать указанные порты на указанном сервере. 10 4.3. Обнаружив открытые порты, попытаться определить тип ОС сервера. 4.4. Используя утилиты ping и traceroute, попытаться определить тип ОС сервера по времени жизни пакета. 4.5. Используя соответствующую открытому порту клиентское приложение, попытаться подключиться к серверу с учетными данными по умолчанию (от имени пользователей anonymous, root). 4.6. Запустив утилиту tcpdump, получить у преподавателя логин/пароль и выполнить подключение к указанной службе с помощью соответствующего клиентского приложения. 4.7. Проанализировать перехваченный трафик, попытавшись выделить из него логин и пароль. 5. Варианты заданий. 5.1. Исследовать наличие открытых портов в диапазоне до 512 сервера 217.71.139.66 и определить тип операционной системы сервера. Для обнаруженных открытых портов исследовать возможность подключения к серверу без авторизации и со стандартными логинами/паролями. С помощью утилиты ftp и выданного преподавателем логина/пароля подключиться к серверу, порт 21, перехватив трафик утилитой tcpdump, проанализировать перехваченный трафик. 5.2. Исследовать наличие открытых портов в диапазоне до 512 сервера 217.71.139.95 и определить тип операционной системы сервера. Для обнаруженных открытых портов исследовать возможность подключения к серверу без авторизации и со стандартными логинами/паролями. С помощью утилиты mysql и выданного преподавателем логина/пароля подключиться к серверу, порт 3306, перехватив трафик утилитой tcpdump, проанализировать перехваченный трафик. 11 5.3. Исследовать наличие открытых портов в диапазоне до 512 сервера 217.71.139.228 и определить тип операционной системы сервера. Для обнаруженных открытых портов исследовать возможность подключения к серверу без авторизации и со стандартными логинами/паролями. С помощью браузера и выданного преподавателем логина/пароля подключиться к серверу, порт 80, перехватив трафик утилитой tcpdump, проанализировать перехваченный трафик. 5.4. Исследовать наличие открытых портов в диапазоне свыше 512 сервера 217.71.139.66 и определить тип операционной системы сервера. Для обнаруженных открытых портов исследовать возможность подключения к серверу без авторизации и со стандартными логинами/паролями. С помощью утилиты rdesktop и выданного преподавателем логина/пароля подключиться к серверу, порт 3389, перехватив трафик утилитой tcpdump, проанализировать перехваченный трафик. 5.5. Исследовать наличие открытых портов в диапазоне свыше 512 сервера 217.71.139.95 и определить тип операционной системы сервера. Для обнаруженных открытых портов исследовать возможность подключения к серверу без авторизации и со стандартными логинами/паролями. С помощью утилиты ssh и выданного преподавателем логина/пароля подключиться к серверу, порт 22, перехватив трафик утилитой tcpdump, проанализировать перехваченный трафик. 5.6. Исследовать наличие открытых портов в диапазоне свыше 512 сервера 217.71.139.228 и определить тип операционной системы сервера. Для обнаруженных открытых портов исследовать возможность подключения к серверу без авторизации и со стандартными логинами/паролями. С помощью браузера и выданного преподавателем логина/пароля подключиться к серверу, порт 443, перехватив трафик утилитой tcpdump, проанализировать перехваченный трафик. 12 6. Содержание отчета. 6.1. Цель работы. 6.2. Вариант задания. 6.3. Список открытых возможность портов, название подключения использованных утилит и к ним соответствующих без авторизации. программ-клиентов. Гипотеза служб, Список о типе операционной системы сервера. 6.4. Фрагмент трафика, перехваченного утилитой tcpdump и результаты его анализа. 7. Контрольные вопросы. 7.1. Какую информацию о сервере предоставляет утилита ping? 7.2. Как определить список открытых портов в локальной операционной системе? 7.3. Каковы способы определения типа операционной системы сервера? 7.4. Какие утилиты и программы-клиенты применялись для подключения к обнаруженным службам? 7.5. Назначение и применение утилиты tcpdump. 7.6. Параметры утилиты tcpdump. 13 ЛАБОРАТОРНАЯ РАБОТА № 2 АНАЛИЗ УЯЗВИМОСТЕЙ СЕРВЕРОВ И СЛУЖБ С ПОМОЩЬЮ СКАНЕРОВ УЯЗВИМОСТЕЙ 1. Цель работы: Изучить способы применения и возможности общедоступных программных средств тестирования информационной безопасности (сканеров безопасности). 2. Краткие теоретические сведения. Сканеры уязвимостей — это программные или аппаратные средства, служащие для осуществления диагностики и мониторинга сетевых компьютеров, позволяющее сканировать сети, компьютеры и приложения на предмет обнаружения возможных проблем в системе безопасности, оценивать и устранять уязвимости. Они позволяют выявить такие типичные уязвимости информационных систем, как: "дыры" в программах (back door) и программы типа "троянский конь"; слабые пароли; восприимчивость к проникновению из незащищенных систем; неправильная настройка межсетевых экранов, Web-серверов и баз данных. Функционировать такие средства могут на сетевом уровне (network-based), уровне операционной системы (host-based) и уровне приложения (applicationbased). Наибольшее распространение получили средства анализа защищенности сетевых сервисов и протоколов. Вторыми по распространенности являются средства анализа защищенности операционных систем (ОС). Помимо обнаружения уязвимостей, при помощи средств анализа защищенности можно быстро определить все узлы корпоративной сети, доступные в момент проведения тестирования, выявить все используемые в ней сервисы и 14 протоколы, их настройки и возможности для несанкционированного воздействия (как изнутри корпоративной сети, так и снаружи). Существует два основных механизма, при помощи которых сканер проверяет наличие уязвимости - сканирование (scan) и зондирование (probe). Сканирование - механизм пассивного анализа, с помощью которого сканер пытается определить наличие уязвимости без фактического подтверждения ее наличия - по косвенным признакам. Этот метод является наиболее быстрым и простым для реализации. Зондирование - механизм активного анализа, который позволяет убедиться, присутствует или нет на анализируемом узле уязвимость. Зондирование выполняется путем имитации атаки, использующей проверяемую уязвимость. На практике указанные механизмы реализуются следующими несколькими методами. "Проверка заголовков" (banner check). Указанный механизм представляет собой ряд проверок типа "сканирование" и позволяет делать вывод об уязвимости, опираясь на информацию в заголовке ответа на запрос сканера. Типичный пример такой проверки - анализ заголовков программы Sendmail или FTP-сервера, позволяющий узнать их версию и на основе этой информации сделать вывод о наличии в них уязвимости. Наиболее быстрый и простой для реализации метод проверки присутствия на сканируемом узле уязвимости. "Активные зондирующие проверки" (active probing check). Также относятся к механизму "сканирования". Однако они основаны не на проверках версий программного обеспечения в заголовках, а на сравнении "цифрового слепка" (fingerprint) фрагмента программного обеспечения со слепком известной уязвимости. Аналогичным образом поступают антивирусные системы, сравнивая фрагменты сканируемого программного обеспечения с сигнатурами вирусов, хранящимися в специализированной базе данных. Этот метод также достаточно быстр, но реализуется труднее, чем "проверка заголовков". 15 "Имитация атак" (exploit check). Данные проверки относятся к механизму "зондирования" и основаны на эксплуатации различных дефектов в программном обеспечении. Этапы сканирования. Практически любой сканер проводит анализ защищенности в несколько этапов: Сбор информации о сети. На данном этапе идентифицируются все активные устройства в сети и определяются запущенные на них сервисы и демоны. Обнаружение потенциальных уязвимостей. Сканер использует некую базу данных для сравнения собранных данных с известными уязвимостями при помощи проверки заголовков или активных зондирующих проверок. Подтверждение выбранных уязвимостей. Сканер использует специальные методы и моделирует (имитирует) определенные атаки для подтверждения факта наличия уязвимостей на выбранных узлах сети. Генерация отчетов. На основе собранной информации система анализа защищенности создает отчеты, описывающие обнаруженные уязвимости. Автоматическое устранение уязвимостей. Этот этап очень редко реализуется в сетевых сканерах, но широко применяется в системных сканерах. 3. Методические указания. 3.1. При отсутствии необходимых приложений на рабочей станции, они могут быть скачаны с сайта по дисциплине http://gun.cs.nstu.ru/ics. 3.2. Приложения необхоимо запускать из командной строки, в программе «Терминал». 3.3. При необходимости получения справки по утилитам и клиентским приложениям, их нобходимо запускать с ключем /? или /h. 16 3.4. Результаты работы приложений, необходимые для отчета, следует, убедившись в корректности их работы, перенаправлять в текстовый файл. 4. Порядок выполнения работы. 4.1. Используя утилиту ping, убедиться в доступности заданного сервера. 4.2. Используя последовательно программу nmap, просканировать (но не зондировать!) указанный сервер. 4.3. Определить наличие уязвимостей, слабых паролей. 4.4. Определить ОС сервера. 4.5. Передав IP-адрес своего компьютера соседней бригаде, провести взаимное сканирование. 4.6. Выяснив уязвимости своего компьютера, изучить средства и способы их устранения. 5. Варианты заданий. 5.1. Исследовать наличие открытых портов сервера 217.71.139.66 и определить тип операционной системы сервера. Определить наличие уязвимостей, слабых паролей. 5.2. Исследовать наличие открытых портов сервера 217.71.139.95 и определить тип операционной системы сервера. Определить наличие уязвимостей, слабых паролей. 5.3. Исследовать наличие открытых портов сервера 217.71.139.228 и определить тип операционной системы сервера. Определить наличие уязвимостей, слабых паролей. 5.4. Исследовать наличие открытых портов сервера 217.71.139.236 и определить тип операционной системы сервера. Определить наличие уязвимостей, слабых паролей. 17 5.5. Исследовать наличие открытых портов сервера 217.71.139.58 и определить тип операционной системы сервера. Определить наличие уязвимостей, слабых паролей. 5.6. Исследовать наличие открытых портов сервера 217.71.138.3 и определить тип операционной системы сервера. Определить наличие уязвимостей, слабых паролей. 6. Содержание отчета. 6.1. Цель работы. 6.2. Вариант задания. 6.3. Список открытых портов, название соответствующих служб, обнаруженные уязвимости, информация о типе и версии операционной системы сервера, полученные с применением обоих программ. 6.4. Выводы о качестве сканирования уязвимостей разными программами. 7. Контрольные вопросы. 7.1. Дайте определение сканера уязвимостей. 7.2. Чем отличается сканирование серверов от их зондирования? 7.3. Опишите методы сканирования серверов. 7.4. Каковы этапы сканирования серверов? 7.5. Каковы наиболее типичные уязвимости серверов под управлением ОС Windows? 7.6. Каковы наиболее типичные уязвимости серверов под управлением ОС Linux? 7.7. Какая из использованных программ выявила больше уязвимостей на одном и том же сервере? 18 ЛАБОРАТОРНАЯ РАБОТА № 3 НАСТРОЙКА ПРОГРАММНОГО МЕЖСЕТЕВОГО ЭКРАНА ОС LINUX 1. Цель работы: Изучить правила построения фильтров TCP/IP пакетов (программного межсетевого экрана) в ОС LINUX. 2. Краткие теоретические сведения. Во все ядра Linux, начиная с 2.0, встроено средство для фильтрации сетевых пакетов. В версии 2.0 это ipfwadm, в 2.2 - ipchains, а в 2.4 и 2.6 - iptables. Мы будем рассматривать последний вариант, как наиболее современный. Принцип фильтрации заключается в следующем: когда через ядро проходит пакет, он проверяется на совпадение с одним или несколькими правилами. При этом в зависимости от этих правил он может быть пропущен (ACCEPT), отброшен (DROP) или отклонен (REJECT). Кроме того, он может быть отправлен на проверку в следующую цепочку правил. Здесь же можно указать, что факт прохождения пакета, подходящего под определенное правило, должен быть отмечен в syslog. Правила могут включать в себя проверку адреса/порта источника/получателя, протокола, флагов TCP. Для изменения используемого набора правил используется утилита iptables. Все правила хранятся в памяти ядра и при перезагрузке сбрасываются. По этой причине необходимо создать файл конфигурации, из которого правила фильтрации будут /etc/rc.d/rc.firewall. считываться Это обычный при загрузке скрипт машины. оболочки, Обычно который это вызывает /sbin/iptables с определенными параметрами, соответствующими составленным правилам. Поэтому в большинстве дистрибутивов для изменения конфигурации iptables необходимо отредактировать указанный файл и запустить его (этот файл, как правило, автоматически выполняется при загрузке машины). После чего можно посмотреть обновленную таблицу правил командой iptables -L. 19 Изначально существуют 3 цепочки, через которые пакеты входят на фильтрацию. INPUT - для входящих пакетов, OUTPUT для исходящих и FORWARD для проходящих через данную машину к другой. По мере движения пакета по цепочке выполняется сравнение с критериями и по результатам сравнения принимается решение о действии. Часть пакетов отбрасывается (на разных этапах по разным причинам), часть (опять же лишь подходящие под определенные правила) успешно выходит из фильтра. Оставшиеся (не подошедшие ни под одно правило) следуют действию по умолчанию для этой цепочки. Обычно таким действием делают DROP или REJECT, чтобы пропускать лишь пакеты, подошедшие под вполне определенные правила. В отличие от действия DROP в случае REJECT отправителю отсылается ICMP пакет с сообщением об ошибке. Это создает дополнительный трафик, но в соответствующих случаях приводит к тому, что отправитель перестает посылать нам пакеты (DROP выглядит для отправителя как таймаут, т.е. пакеты просто уходят и не приходит никакого подтверждения, а при REJECT он может посчитать, что наш компьютер недоступен или не существует). Формат командной строки утилиты iptables: iptables [-t table] command [match] [target/jump] Перечислим несколько правил формирования командной строки: Каждая строка, которую вы вставляете в ту или иную цепочку, должна содержать отдельное правило. Нигде не утверждается, что описание действия (target/jump) должно стоять последним в строке, мы, однако, будем придерживаться именно такой нотации для удобочитаемости. по умолчанию предполагается использование таблицы filter , иначе требуется указать имя таблицы [-t ]. за именем таблицы, должна стоять команда. Если спецификатора таблицы нет, то команда всегда должна стоять первой. Команда определяет действие 20 iptables, например: вставить правило, или добавить правило в конец цепочки, или удалить правило и т.п. match задает критерии проверки. target указывает действие, которое должно быть выполнено при условии выполнения критериев в правиле. Пример файла rc.firewall с типичным набором правил: #!/bin/sh #Все сбросили iptables -F iptables -X COUNT #---------------------------------#Правила по умолчаниию iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP #---------------------------------# разрешаем доступ к внутренней петле iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT #считаем все входящие пакеты ($$$) #Создаем цепочку счетчиков iptables -N COUNT iptables -A INPUT -i eth0 -j COUNT #---------------------------------# Разрешаем ходить пакетам icmp iptables -A INPUT -p ICMP -j ACCEPT iptables -A OUTPUT -p ICMP -j ACCEPT #---------------------------------#Разрешаем соединения "запрошенные" с нашего компьютера. Избавляет от некоторых видов атак iptables -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p UDP -m state --state ESTABLISHED,RELATED -j ACCEPT #Разрешаем пользовательские порты iptables -A OUTPUT -p TCP --sport 32768:65535 -j ACCEPT iptables -A OUTPUT -p UDP --sport 32768:65535 -j ACCEPT #---------------------------------#Разрешаем порты SMB для доступа Windows-машин к нашему серверу # Smb Данныые iptables -A INPUT -i eth1 -p TCP --dport 137:139 -j ACCEPT iptables -A INPUT -i eth1 -p UDP --dport 137:139 -j ACCEPT iptables -A OUTPUT -o eth1 -p TCP --sport 137:139 -j ACCEPT iptables -A OUTPUT -o eth1 -p UDP --sport 137:139 -j ACCEPT 21 #Smb служба имен iptables -A INPUT -i eth1 -p UDP --sport 137 --dport 32768:65535 -j ACCEPT #---------------------------------#Разрешаем видеть нас как ВЕБ-сервер iptables -A INPUT -p TCP --dport 80 -j ACCEPT iptables -A OUTPUT -p TCP --sport 80 -j ACCEPT #---------------------------------#Разрешаем видеть нас и как FTP -сервер iptables -A INPUT -p TCP --dport 20:21 -j ACCEPT iptables -A OUTPUT -p TCP --sport 20:21 -j ACCEPT #---------------------------------#Разрешаем изнутри забирать почту по протоколу POP3 #iptables -A INPUT -i eth1 -p TCP --dport 110 -j ACCEPT iptables -A OUTPUT -o eth1 -p TCP --sport 110 -j ACCEPT #---------------------------------#Разрешаем обмен почтой по протоколу smtp iptables -A INPUT -p TCP --dport smtp -j ACCEPT iptables -A OUTPUT -p TCP --sport smtp -j ACCEPT #---------------------------------#Разрешаем DNS обмен iptables -A INPUT -p UDP --dport domain -j ACCEPT iptables -A OUTPUT -p UDP --sport domain -j ACCEPT #---------------------------------#Разрешаем доступ изнутри к прокси на порт 8080 iptables -A INPUT -i eth1 -p TCP --dport 8080 -j ACCEPT iptables -A INPUT -i eth1 -p UDP --dport 8080 -j ACCEPT iptables -A OUTPUT -o eth1 -p TCP --sport 8080 -j ACCEPT iptables -A OUTPUT -o eth1 -p UDP --sport 8080 -j ACCEPT #---------------------------------#Секция счетчиков iptables -A COUNT # Сколько всего пакетов iptables -A COUNT -p icmp # Сколько ICMP пакетов iptables -A COUNT -p tcp --dport smtp # Сколько приняли спама по почте iptables -A COUNT -j RETURN iptables -L -v –x 3. Методические указания. 3.1. Приложения необхоимо запускать из командной строки, в программе «Терминал». 3.2. При необходимости получения справки по утилитам и клиентским приложениям, их нобходимо запускать с ключем /? или /h. 22 3.3. Результаты работы приложений, необходимые для отчета, следует, убедившись в корректности их работы, перенаправлять в текстовый файл. 4. Порядок выполнения работы 4.1. Создать таблицу фильтрации согласно варианту задания. 4.2. Исследовать прохождение и блокировку пакетов по заданным портам и протоколам. 4.3. Зафиксировать результаты исследования. 5. Варианты заданий Вариант 1 Разрешить Запретить По умолчанию Вариант 2 Разрешить Запретить По умолчанию Входящие Исходящие http(80) http(80) domain domain ftp,ftp-data ftp,ftp-data icmp icmp icmp c tcp 365 192.168.1.2 udp 334 tcp c портов 20,21 192.168.1.2 запретить разрешить Счетчик- входящие icmp Входящие Исходящие http(80) http(80) domain domain smpt smpt ftp,ftp-data icmp icmp icmp c tcp 3682 192.168.1.7 udp 16825 tcp c портов 17:30 192.168.1.2 запретить разрешить Счетчик- исходящие icmp 23 Транзитные запретить Транзитные запретить Входящие Исходящие http(80) http(80) domain domain pop3 smpt smtp pop3 icmp icmp ftp,ftp-data порты 2048:65535 Запретить icmp c tcp 3682 192.168.1.7 udp 16825 c портов 17:30 192.168.1.2 По умолчанию запретить разрешить Счетчик- входящие icmp c адреса 192.168.1.1 Входящие Исходящие Вариант 4 Разрешить ftp,ftp-data ftp,ftp-data domain smpt pop3 pop3 smtp icmp icmp порты 2048:65535 порты 2048:65535 Запретить icmp c tcp 368:774 192.168.1.23 udp 334:1658 tcp на наш хост к портам 3312,2234 По умолчанию запретить запретить Счетчик- icmp, исходящие на 192.168.1.1 Входящие Исходящие Вариант 5 Разрешить telnet telnet domain domain ntp ntp smtp smtp icmp icmp ftp,ftp-data 1024:65535 1024:65535 Вариант 3 Разрешить 24 Транзитные запретить Транзитные разрешить Транзитные Запретить По умолчанию Вариант 6 Разрешить Запретить По умолчанию icmp c tcp 368:774 192.168.1.15/3 udp 334:1658 0 udp на наш хост к портам 1456,3333 запретить запретить Счетчик- входящие UDP Входящие Исходящие ssh Ssh domain domain ftp,ftp-data ftp,ftp-data smtp smtp icmp icmp 1024:65535 1024:65535 icmp c tcp 368:774 192.168.1.15/3 udp 334:1658 0 udp на наш хост к портам 1456,3333 запретить запретить Счетчик - исходящие UDP 6. Содержание отчета 6.1. Цель работы. 6.2. Вариант задания. 6.3. Текст файла rc.firewall. 6.4. Результаты прохождения пакетов через фильтр. 7. Контрольные вопросы. 7.1. Что такое межсетевой экран? 7.2. Каковы типовые действия фильтра над пакетами? 7.3. Какие цепочки правил имеются по умолчанию? 7.4. Синтаксис утилиты iptables. 25 запретить Транзитные разрешить ЛАБОРАТОРНАЯ РАБОТА № 4 НАСТРОЙКА АППАРАТНОГО МЕЖСЕТЕВОГО ЭКРАНА DFL-800 1. Цель работы: Изучить настройки межсетевого экрана DFL-800, порядок создания правил фильтрации на основе адресов и протоколов, настройки трансляции портов, настройки аутентификации пользователей. 2. Краткие теоретические сведения. DFL-800 – одна из наиболее распространенных моделей межсетевых экранов (МСЭ) фирмы D-Link. С ее помощью можно: организовать лоступ из локальной вычислительной сети (ЛВС) к сети Интернет с маршрутизацией и авторизацией пользователей, настроить правила преобразования сетевых адресов (NAT), осуществить трансляцию портов к серверам в ЛВС из сети Интернет, создать виртуальную частную сеть (VPN), блокировать активное содержимое вебсайтов, а также ограничить доступ к определенным сайтам сети Интернет. 3. Методические указания. 3.1. Сетевые экраны поставляются с заводскими установками. Перед началом работы необходимо запрограммировать их в соответствии с топологией Вашей сети. К заводским установкам DFL-800 можно вернуться: 3.1.1. Через меню в GUI 3.1.2. Через командную строку 3.1.3. Через кнопку RESET (только для моделей DFL 210/800, для сброса потребуется удерживать кнопку 10-15 секунд). 3.2.После заводского сброса в таблицу правил фильтрации автоматически добавляется правило, позволяющее соединяться с устройством только через LAN интерфейс (192.168.1.1). Имя пользователя/пароль после заводского сброса: admin/admin. 26 По умолчанию можно обратиться только к этому интерфейсу 3.3. IP адреса по умолчанию: 3.4. Список разделов WEBUI с кратким описанием: 3.4.1. Home – заглавная страница WebUI 3.4.2. Configuration – меню конфигурации 3.4.3. Save and Activate: Записать конфигурацию и активировать изменения. Никакие изменения не будут приняты устройством до тех пор, пока не будут записаны в устройство из этого меню. 3.4.4. Discard Changes: отменить все изменения, произведенные в текущем сеансе. 3.4.5. Tools – меню инструментов 3.4.6. Ping – классическая ICMP эхо-локация (указывается размер и число пакетов) 3.4.7. Backup – Архивирование и восстановление из архива текущей конфигурации 3.4.8. Reset – сброс всех настроек и возврат к заводской конфигурации. 3.4.9. Upgrade – Обновление ПО межсетевого экрана. 3.4.10. Status – мониторинг устройства и состояния System – Информация о статусе системы 27 Logging: Протоколы событий, сохраненные в памяти системы. Connections: отображает активные сетевые соединения Interfaces – отображает состояние сетевых интерфейсов IPSec – информация о туннелях IPSec Routes – информация о текущей таблице маршрутизации DHCP – информация о DHСP сервисе, его статусе и состоянии IDS: Состояние «интеллектуального анализатора информации (Intrusion Detection System)» SLB Состояние сервиса Server Load Balancing – балансировка нагрузки между кластером из серверов 3.5. Понятие демилитаризованной зоны. Демилитаризованная зона - (DMZ, Demilitarized Zone) - это технология, предназначенная для предоставления доступа к локальным (то есть находящимися за маршрутизатором и защищенных NAT-ом) серверам (таким, как почтовый, WWW, FTP) пользователям из Интернет. В этой технологии запрос извне на любой порт внешнего (WAN) интерфейса отображается на такой же порт компьютера, указанного в настройках DMZ. При использовании вместо аппаратного межсетевого экрана стандарного пакетного фильтра необходимо конфигурировать iptables аналогичные линейки решения UNIX-систем посредством технологии DNAT. 4. Порядок выполнения работы. 4.1. Выполнить первичную настройку: Подключить устройство к компьютеру через один из портов LAN Настроить в сетевом окружении компьютера адрес из сети 192.168.1.Х Подключиться к устройству через веб - интерфейс по адресу 192.168.1.1 Изучить систему вертикальных и горизонтальных меню 28 Установить корректную дату и время в устройстве (System->Date and time) Добавить учетную запись «Admin2» (User Authentication->Local User Databases->AdminUsers) с возможностью управлять устройством Добавить учетную запись «View», не обладающую правами на изменение, но с возможностью просмотра конфигурации устройства Настроить функции удаленного управления устройством (HTTP, LAN1) Изучить вкладку Interfaces->Ethernet. Установить IP адреса устройства: WAN1 192.168.10.[100-109] (в соответствии с номером рабочего места ); Установите маршрут по умолчанию 192.168.10.1, маску сети- 24 бит. WAN2 192.168.2.[1-9] (в соответствии с номером рабочего места ) DMZ 192.168.0.1 LAN 192.168.6.1 Записать изменения, сменить адрес компьютера в сетевом окружении на адрес из сети 192.168.6.Х, указать первичный DNS-сервер, войти в GUI управления устройством по новому адресу. Установить настройки DNS Посмотретт протокол событий в STATUS->Log Status Выгрузить настройку устройства на локальный компьютер (Maintenance - Backup). Выполнить полный сброс устройства кнопкой на задней панели (необходимо удерживать кнопку около 10-15 секунд) Восстановить конфигурацию в устройстве из сохраненного файла (Maintenance-Backup-Upload) 29 4.2. Выполнить настройку логических объектов (Adders book) и базовой маршрутизации: Создать папку в Address book “my_settings” Создать папку в Address book “EMPTY” Удалить папку «EMPTY» (InterfaceAddresses-> правой кнопкой откроется меню - удалить) Создать запись “default_router” c ip 192.168.10.1 Создать запись «primary_dns» с ip 217.71.139.225 Создать запись «secondary_dns» c ip 217.71.139.65 Создать запись «ALL_INET» c ip 0.0.0.0/0 Coздать запись “nstu.ru” с ip 217.71.131.244 Задать основной сервер во вкладке DNS Задать резервный сервер во вкладке DNS Настроить основной маршрут для интерфейса WAN1 - default_router Применить изменения Выгрузить конфигурацию на компьютер. Эта конфигурация будет начальной для дальнейшей работы, если будет необходимо откатиться к заводской конфигурации. Собрать конфигурацию как на рисунке: DFL-800 Стойка WAN1 WAN2 DMZ компьютер LAN Рисунок 1. Конфигурация сети для настройки маршрутизации. 30 Проверить доступность DNS сервера при помощи вкладки TOOLPING. 4.3. Создать правила фильтрации на основе адресов и протоколов в режиме NAT: Удалить все записи из Rules->IP-Rules->Lan_to_wan Создать запись, разрешающую Ping на внешний интерфейс (destination - core) Создать запись для NAT с адресов интерфейса LAN1 -> WAN1 по протоколу http c защитой от SYN-FLOOD с policy ALLOW . Создать запись для NAT с адресов интерфейса LAN1 -> WAN1 по протоколу DNS-all с policy ALLOW . Сохранить изменения. Проверить доступность сервера www.nstu.ru с компьютера. Установить scheduling с временем, соответствующим текущему. Сохранить изменения. Проверить доступность сервера www.nstu.ru с компьютера. Установить scheduling с временем, не соответствующим текущему. Сохранить изменения. Проверить доступность сервера www.nstu.ru с компьютера. Изменить запись, разрешающую доступ http наружу, на policy DROP. Сохранить изменения. Проверить доступность www.nstu.ru . 4.4. Выполнить настройку трансляции портов. Для проверки работоспособности задания необходимо сконфигурировать правила dmz_to_wan1; wan1_to_dmz; а именно разрешить http-all, как показано на рис. 2. 31 Рисунок 2а. Насторйка порта DMZ. Рисунок 2б. Насторйка переадресации в DMZ. Построить сеть, как указано на рисунке 3. В качестве модели веб-севера, размещенного в сегменте DMZ будет использоваться точка доступа DWL2100AP в базовой заводской конфигурации ( ip адрес 192.168.0.50 ) IP адрес компьютера должен быть сконфигурирован из одной сети с интерфейсом WAN и не должен конфликтовать с другими компьютерами (в случае включения в один коммутатор.). По умолчанию wan имеет ip 192.168.110.254. 32 DFL-800 WAN1 Коммутатор WAN2 Точка доступа DWL2100 DMZ LAN компьютер Рисунок 3. Конфигурация сети для проверки настроек трансляции портов. Изменить ip адрес dmz на 192.168.0.1 и dmznet на 192.168.0.0/24 В точке доступа указать шлюз 192.168.0.1 В Objects, выбрать Address Book, а затем Interface Addresses – > add ip address. private_ip 192.168.0.50 – это реальный ip адрес сервера, к которому будем подключаться из внешней сети. Добавить ip адрес с именем public_ip 192.168.110.200 (из одной подсети с wan) – это адрес по которому будет доступен сервер из внешней сети. Кликнуть по значку «+» рядом с папкой Interfaces, выбрать ARP, кликнуть по Add, чтобы добавить запись ARP. Настроить ARP entry следующим образом: Mode: Publish Interface: wan1 IP Address: public_ip В папке Rules выбрать IP Rules. Кликнуть по Add и затем выбрать из выпадающего меню IP Rule Folder. Ввести имя port_mapping. 33 Добавить правило Name: allow_sat Action: SAT Service: http-all Schedule: None Source interface: any Source network: all-nets Destination interface: any Destination network: public_ip Кликнуть по вкладке SAT, а затем зайди в выпадающее меню New IP Address и выбрать private_ip. Поставить галочку в поле All-to-One Mapping: rewrite all destination IPs to a single IP. Кликнуть по OK. Добавить правило Name: allow_http Action: Allow Service: http-all Schedule: None Source interface: any Source network: all-nets Destination interface: any Destination network: public_ip Применить изменения : Configuration ->Save and Activate -> ok. C компьютера из внешней сети – wan в браузере попробовать зайти на адрес 192.168.110.200. МСЭ должен перебросить доступ на порт dmz и открыть web-интерфейс точки доступа, адрес которой 192.168.0.50 4.5. Настроить аутентификацию пользователей Построить структуру сети, как на рис 1. Создать группу пользователей в локальной базе данных, куда будут добавлены аккаунты. Создать аккаунт пользователя (User_Autentification). Изменить порт UI на 82 для исключения (Remote_managment -> Advanced -> WebUIPort). 34 конфликтов Настроить User_Autentification_rules Создать объект «группа адресов», которые потребуют аутентификацию (сети LAN 192.168.6.X) Создать правило NAT для «группы адресов» Сохранить изменения Выполнить аутентификацию в системе (на внутренний адрес устройства) Проверить доступность http сервера 217.71.139.65 (ait.cs.nstu.ru) 5. Варианты заданий. Отличаются ip-адресами рабочих станций. 6. Содержание отчета. 6.1. Цель работы. 6.2. Вариант задания. 6.3. Скриншоты результатов проверки функционирования межсетевого экрана. 7. Контрольные вопросы. 7.1. Что такое межсетевой экран? 7.2. В чем отличие программых и аппаратных межсетевых экранов? 7.3. Зачем нужна трансляция сетевых адресов? 7.4. Что такое демилитаризованная зона и зачем она нужна? 7.5. Как создаются правила фильтрации пакетов? 7.6. Зачем нужен проброс портов? 7.7. Какие преимущества дает аутентификация пользователей межсетевым экраном? 35 Список литературы 1. Расторгуев С. П. Основы информационной безопасности : [учебное пособие для вузов по специальностям "Компьютерная безопасность" [и др.] / С. П. Расторгуев. - М., 2007. - 186, [1] с. 2. Арутюнов В. В. Защита информации : учебно-методическое пособие / В. В. Арутюнов. - М., 2008. - 55 с. 3. Сайт по дисциплине http://gun.cs.nstu.ru/sir 36 БЕЗОПАСНОСТЬ ИНФОРМАЦИОННЫХ РЕСУРСОВ Методические указания к лабораторным работам Редактор Технический редактор Лицензия № 021040 от 22.02.96. Подписано в печать ___.___.___. Формат 60 х 84 1/16. Бумага оберточная. Тираж 50 экз. Уч.-изд.л. 2,0. Печ.л. 2. Изд. № ______. Заказ № ______ Цена договорная Отпечатано в типографии Новосибирского государственного технического университета 630092, г. Новосибирск, пр. К. Маркса, 20
