книги хакеры / Trabelsi_Setevye-ataki-i-zashchita_RuLit_Me_676546

Глава 7

Фильтрация и проверка пакетов

7.1 Введение

Большинство организаций контролируют трафик, который пересекает их сети и выходит из них, чтобы предотвратить атаки на их компьютерные системы и соответствовать различным вариантам политики.

Фильтрация и проверка сетевых пакетов являются средствами контроля доступа к сетям и системам. Концепция заключается в определении, разрешено ли пакету входить или выходить из сети, путем сравнения данных полезной нагрузки пакета и / или значения некоторых полей, расположенных в заголовке пакета, с предварительно определенными значениями. Технология фильтрации и проверки пакетов используется в операционных системах, межсетевых экранах, системах обнаружения и предотвращения вторжений, а также в качестве функции безопасности большинства маршрутизаторов и некоторых современных коммутаторов.

Брандмауэры контролируют доступ в и из сети на основе набора правил фильтрации, которые отражают и обеспечивают соблюдение политик безопасности организации. Внутри сети брандмауэр, как правило, является первым фильтрующим устройством, которое обнаруживает пакеты, пытающиеся проникнуть в сеть организации извне, и обычно является последним устройством, которое видит выходящие пакеты. Задача брандмауэра - принимать решения по фильтрации для каждого пакета, который пересекает его: либо пропустить его, либо отбросить.

181

В этой главе обсуждается серия практических упражнений по фильтрации и проверке общего сетевого трафика и стандартных/ нестандартных служб с использованием правил фильтрации брандмауэра. Глава включает упражнение о согласованности и эффективности проверки правил фильтрации брандмауэра. В упражнениях используются следующие аппаратные устройства и программные средства:

*Беспроводное устройство Juniper Networks SSG20 * (устройство Juniper Networks): в качестве устройства брандмауэра

*Устройство адаптивной защиты Cisco ASA 5520 †: в качестве устройства межсетевого экрана

*CommView Tool ‡: сетевой монитор и анализатор (сниффер)

*CommView Visual Packet Builder§: генератор пакетов на основе графического интерфейса пользователя (GUI)

*LiteServe¶: программное обеспечение для Интернета, FTP,

электронной почты и серверов Telnet

* FirePAC **: автономный программный инструмент для проверки несоответствия и неэффективности набора правил фильтрации

7.2 Лабораторная работа 7.1: базовая фильтрация пакетов

7.2.1 Результат

Цель данного практического упражнения - научить студентов внедрять правила фильтрации брандмауэра для основных политик безопасности.

*http://www.juniper.net

† http://www.cisco.com

‡ http://www.tamos.com § http://www.tamos.com

¶ http://www.cmfperception.com *http://www.athenasecurity.com

Базовая фильтрация пакетов - это выборочная передача или блокировка пакетов при их прохождении через сетевой интерфейс. Критерии, которые использует фильтрация пакетов при проверке пакетов, основаны на заголовках Уровня 3 (IPv4 и IPv6) и Уровня 4 [TCP (Протокол управления передачей), UDP (Протокол пользовательских дейтаграмм), ICMP (Протокол управляющих сообщений Интернета) и ICMPv6]. модели OSI (Взаимодействие открытых систем). Наиболее часто используемыми критериями являются IP-адреса источника и назначения, порты TCP / UDP источника и назначения, биты флага TCP, поля типа и кода в заголовке ICMP и поле протокола заголовка уровня 4.

Правила фильтрации брандмауэра определяют критерии, которым должен соответствовать пакет, и результирующее действие. Действие может быть «Пропустить» (пропустить пакет), «Заблокировать» (не пересылать пакет) или «Отклонить» (аналогично «Отбросу», за исключением того, что отправителю отправляется специальный ICMPпакет, сообщающий ему, что пакет был отфильтрован) , Правила фильтрации оцениваются в последовательном порядке, от начала до конца. В конце набора правил фильтрации есть неявное «Пропустить все» или «Запретить все», что означает, что если пакет не соответствует ни одному правилу фильтрации, результатом будет передача или отклонение. Рекомендуемая практика при реализации правил фильтрации заключается в применении подхода «запрет по умолчанию». То есть запретить все, а затем выборочно разрешить определенный трафик через брандмауэр. Этот подход рекомендуется, потому что он ошибается, а также облегчает написание набора правил

Например, чтобы отфильтровать весь трафик Ping, поступающий в сеть, заблокируйте все входящие пакеты эхо-запроса ICMP (Тип = 8 и Код = 0). Чтобы отфильтровать все входящие запросы на доступ к внутренним FTP-серверам, заблокируйте весь входящий трафик, который направляется на TCP-порт 21. Для этих двух политик безопасности правила фильтрации должны быть определены и реализованы в выбранной технологии фильтрации пакетов (межсетевой экран, маршрутизатор, коммутатор, операционная система и т. д.). Следующие два правила фильтрации (R1 и R2) отражают две вышеупомянутые политики безопасности:

7.2.3 Эксперимент

Этот эксперимент состоит из реализации правил фильтрации в устройстве Juniper Networks для различных политик безопасности. Политики безопасности позволяют применять правила фильтрации к сетевому трафику, которым обмениваются клиентские хосты и серверы.

7.2.4 Архитектура сети

На следующем рисунке показана сетевая архитектура, использованная в эксперименте. Трафик, которым обмениваются три сети, проходит через устройство Juniper Networks, где он фильтруется и проверяется набором правил фильтрации.

Эксперимент состоит из следующих этапов:

Шаг 1: Настройте сетевые интерфейсы на устройстве Juniper Networks. Шаг 2: Настройте серверы Web, FTP и Telnet.

Шаг 3. Реализация правил фильтрации для политик безопасности.

Шаг 4. Протестируйте правила фильтрации и просмотрите результаты в файле журнала устройства Juniper Networks

7.2.5.1 Шаг 1. Настройте сетевые интерфейсы на устройстве Juniper

Networks

Используя интерфейс WebUI устройства Juniper Networks, настройте интерфейсы ethernet0/2, ethernet0/3 и ethernet0/4, как показано на следующем снимке экрана. LAN № 1 (192.168.1.1/24), LAN № 2 (192.168.2.1/24) и LAN № 3 (192.168.3.1/24) подключены к сетевым интерфейсам ethernet0/2, ethernet0/3 и ethernet0/4 соответственно.

7.2.5.2 Шаг 2. Настройка серверов Web, FTP и Telnet

В Интернете имеется множество доступных серверных программ, которые можно загрузить и использовать для настройки серверов Web, FTP и Telnet. Например, если вы используете компьютер под управлением Windows, вы можете использовать встроенные службы IIS. Это набор интернет-сервисов для серверов, созданных

Microsoft для использования с Microsoft Windows. В настоящее время предоставляются следующие услуги: FTP (протокол передачи файлов), FTPS (безопасный протокол передачи файлов), SMTP (простой протокол передачи почты), NNTP (сетевой протокол передачи новостей) и HTTP / HTTPS (протокол передачи гипертекста / безопасный протокол передачи гипертекста).

В этой практической работе инструмент LiteServe используется для настройки серверов Web, FTP и Telnet (см. Следующий снимок экрана). Серверы настроены следующим образом:

*В LAN # 1 на хосте с IP-адресом 192.168.1.10 размещен веб-сервер.

*В LAN # 2 на хосте с IP-адресом 192.168.2.20 размещен FTPсервер.

*В LAN #3, на хосте с IP-адресом 192.168.3.30 размещен Telnet-

сервер.

7.2.5.3 Шаг 3. Реализация правил фильтрации для политик безопасности

В устройстве Juniper Networks для реализации правила фильтрации для политики безопасности выполните следующие действия:

*Войдите в интерфейс WebUI устройства.

*Выберите «Policy»; затем укажите зоны сетей, участвующих в правиле фильтрации, как показано ниже:

* Нажмите на кнопку «New» и установите значения полей правила фильтрации. Например, следующий снимок экрана с правилом фильтрации показывает, что всем хостам в LAN # 1 (192.168.1.1/24) разрешено пропинговать все хосты в LAN # 2 (192.168.2.1/24). Кроме того, трафик, которым обмениваются между хостами, будет зарегистрирован.

Ниже приведены примеры политик безопасности и соответствующих им правил фильтрации:

1.Security Policy#1 (Политика безопасности) (SP#1): узлам

LAN#1 разрешается пинговать узлы LAN#2 и LAN#3. Однако

узлы LAN#2 и LAN#3 не могут подключаться к узлам LAN#1.

Политика безопасности по умолчанию - “Deny all”(Запретить все). На следующем снимке экрана показаны правила фильтрации, реализованные в устройстве Juniper Networks и соответствующие политике безопасности SP # 1:

−−Правило с идентификатором 1 позволяет узлам LAN#1

(192.168.1.1/24) проверять связь с узлами LAN#2 (192.168.2.1/24) и

узлами LAN#3 (192.168.3.1/24).

−−Правило с идентификатором 2 не разрешает узлам LAN#2 и

узлам LAN#3 пинговать узлы LAN#1.

−−Правило с ID 3 является безопасностью по умолчанию.

2.Security Policy#2 (SP#2): Узлам LAN#3 разрешен доступ к веб-

сайту (192.168.1.10/32) в LAN#1. Однако узлам LAN#2 не разрешен доступ к веб-сайту. На следующем снимке экрана показаны правила фильтрации, реализованные на устройстве Juniper Networks и соответствующие политике безопасности SP #

2:

−−Правило с ID 1 позволяет узлам LAN#3 (192.168.3.1/24) получать доступ к веб-сайту (192.168.1.10/32) в LAN#1.

−−Правило с ID 2 не позволяет узлам LAN#2 (192.168.2.1/24)

получать доступ к веб-сайту (192.168.1.10/32) в LAN#1.

3.Security Policy #3 (SP#3): Единственный хост в LAN#1, которому разрешено подключаться к сети (192.168.3.30) в LAN#3, - это хост (192.168.1.10). На следующем снимке экрана показаны правила фильтрации, реализованные в устройстве Juniper Networks и соответствующие политике безопасности SP # 3:

−− Правило с ID 1 позволяет узлу (192.168.1.10/32) в LAN#1 обращаться к серверу Telnet (192.168.3.30/32) в LAN#3.

−− Правило с ID 2 не позволяет узлам LAN#1 (192.168.1.1/24) получать доступ к серверу Telnet (192.168.3.30/32) в LAN#3.

4.Security Policy #4 (SP #4): Узлам LAN#1 разрешен доступ к любому FTP-серверу в LAN#2. Однако узлам LAN#3 не разрешен доступ к любому FTP-серверу в LAN#2. На следующем снимке экрана показаны правила фильтрации, реализованные на устройстве Juniper Networks и соответствующие политике

безопасности SP # 4: