книги хакеры / Trabelsi_Setevye-ataki-i-zashchita_RuLit_Me_676546

7.3 Лабораторная работа 7.2: Фильтрация нестандартных сервисов

7.3.1 Результат

Цель данного практического упражнения - научить студентов внедрять правила фильтрации брандмауэра для служб, работающих на нестандартных портах TCP и UDP.

7.3.2 Нестандартная фильтрация сервисов

Стандартные службы обычно работают на стандартных портах. Например, стандартные порты для служб HTTP и FTP - 80 и 21 соответственно. Клиентские программы, такие как веб-браузеры, обычно не требуют от пользователя указывать порты, на которых работают стандартные службы. Им требуется только IP-адрес (или доменное имя) целевого сервера, на котором размещается служба. Однако по определенной причине, например, по соображениям безопасности или недоступности стандартных портов, стандартные службы могут быть запущены на альтернативных портах. В таком случае клиентские программы требуют, чтобы пользователь предоставил альтернативный номер порта целевой службы. В противном случае клиентская программа не сможет подключиться к службе, поскольку она работает на неизвестном порту. Например, чтобы получить доступ к веб-серверу, работающему на порту 3000 и расположенном на хосте с IP-адресом 192.168.1.1, пользователю необходимо ввести URL-адрес http://192.168.1.1:3000 в веб-браузере.

Следовательно, правила фильтрации, которые фильтруют сервисы, работающие на стандартных портах, бесполезны для фильтрации сервисов, работающих на нестандартных портах. Например, если вы хотите запретить внешним хостам доступ к любому внутреннему нестандартному веб-серверу, работающему на порте 3000, то следующее правило фильтрации не будет работать для этой политики безопасности:

Однако работает следующее правило фильтрации, поскольку оно запрещает хостам доступ к любому внутреннему нестандартному вебсерверу, работающему на порте 3000:

Брандмауэры обычно включают в себя предопределенные правила для фильтрации стандартных служб и не могут фильтровать нестандартные службы, если пользователь не предоставляет брандмауэр с портами TCP или UDP нестандартных служб. На практике это достигается созданием нового профиля службы для нестандартной службы и указанием соответствующего номера порта

TCP или UDP.

7.3.3 Эксперимент

Этот эксперимент состоит из создания нестандартного сервиса и последующей реализации соответствующего правила фильтрации для фильтрации трафика, нацеленного на сервис, с использованием устройства Juniper Networks.

В этом эксперименте используется та же сетевая архитектура, которая описана в предыдущем практическом упражнении (лабораторная работа

7.1).

7.3.5 Шаги эксперимента

Эксперимент состоит из следующих этапов:

Шаг 1: Настройте сетевые интерфейсы на устройстве Juniper Networks. Шаг 2: Настройте нестандартный веб-сервер, работающий на порте

3000.

Шаг 3: Создайте нестандартный сервисный профиль в устройстве

Juniper Networks.

Шаг 4: Внедрить правила фильтрации для фильтрации трафика с нестандартной службой.

Шаг 5: Проверьте правила фильтрации и просмотрите результаты в журнале событий устройства Juniper Networks.

7.3.5.1 Шаг 1. Настройте сетевые интерфейсы на устройстве

Juniper Networks

Шаг 1 аналогичен предыдущему практическому лабораторному заданию

(Лаб 7.1) Шаг 1.

7.3.5.2 Шаг 2. Настройка нестандартного веб-сервера, работающего на порте 3000

Инструмент LiterServe используется для настройки нестандартного вебсервера. На следующем снимке экрана показано, что веб-сервер настроен на работу с нестандартным портом 3000.

7.3.5.3 Шаг 3. Создайте нестандартный сервисный профиль в устройстве Juniper Networks

В устройстве Juniper Networks, чтобы создать новый профиль для нестандартной службы, выполните следующие действия:

*Войдите в интерфейс WebUI устройства Juniper Networks.

*Выберите «Objects» => «Services» => «Custom», как показано на следующем снимке экрана.

*Выберите имя для нестандартной службы (например, Web server

(3000)).

*Выберите «TCP» для транспортного протокола уровня 4.

*Поскольку нестандартная служба будет работать на порте 3000, установите значение порта назначения на 3000.

*Нажмите на кнопку «ОК».

7.3.5.4 Шаг 4. Внедрение правил фильтрации для фильтрации трафика с нестандартной службой

As an example, we assume that we want to create a filtering rule for the following security policy:

* Узлам LAN#3 (192.168.3.1/24) не разрешен доступ к нестандартному веб-серверу (192.168.1.10) в LAN#1.

Следующие шаги и снимок экрана показывают, как создать правило фильтрации для вышеуказанной политики безопасности на устройстве Juniper Networks:

*Войдите в интерфейс WebUI устройства.

*Выберите «Policies»; затем укажите зоны сетей, связанные с политикой безопасности.

*Установите Source address (адрес источника) на 192.168.3.1/24.

*Установите Destination address (адрес назначения) на

192.168.1.10/32.

*Установите Service как “Web server (3000)”.

*Установите Action как Deny (запрещено).

*Выберите Logging.

7.3.5.5 Шаг 5. Протестируйте правила фильтрации и просмотрите результаты в журнале событий устройства Juniper

Networks

Чтобы проверить указанное выше правило фильтрации, откройте веббраузер на хосте в локальной сети № 3 и введите следующий URL-адрес: «http://192.168.1.10:3000». Затем откройте журнал событий, соответствующий приведенному выше правилу фильтрации, в устройстве Juniper Networks. На следующем снимке экрана показано, что устройство Juniper Networks отклонило трафик, поступающий с хоста 192.168.3.30 и направленный на порт 3000 на хосте 192.168.1.10.

7.4 Lab 7.3: Consistency and Efficiency Verification of Firewall Filtering Rules

7.4.1 Результат

Цель данного практического упражнения состоит в том, чтобы учащиеся узнали, как проверить последовательность и эффективность правил фильтрации противопожарных перегородок.

7.4.2 Согласованность и эффективность правил фильтрации

Межсетевые экраны играют важную роль в обеспечении политики контроля доступа в современных сетях. Политика безопасности периметра сети обычно описывается реализованными правилами фильтрации в брандмауэре. Создание таких правил считается сложной задачей из-за сложности сети (многие сегменты сети), разнообразия сетевого оборудования (персональный компьютер, серверы, маршрутизаторы и т. Д.) И большого количества уязвимостей в таких сетях. оборудование.

Однако брандмауэры эффективны только в том случае, если они правильно настроены, так что их правила фильтрации являются согласованными и реализуются в соответствии с намеченными политиками безопасности. К сожалению, из-за потенциально большого количества правил и их сложных взаимосвязей задача настройки брандмауэра, как известно, подвержена ошибкам. На практике брандмауэры часто неправильно конфигурируются, оставляя дыры в безопасности в системе защиты. Кроме того, поскольку большинство брандмауэров являются устройствами с индивидуальной настройкой, ручная генерация правил фильтрации брандмауэра, которая подвержена человеческим ошибкам, может привести к сбоям, которые могут быть преобразованы в аномалии, которые изменяют нормальную работу процесса фильтрации. Таким образом, слабые или плохо определенные правила фильтрации могут изменять ожидаемые и требуемые ответы брандмауэра и, как следствие, могут увеличивать возможность брандмауэра, позволяющего нежелательным пакетам входить или выходить из сети. Ошибки неправильной конфигурации приводят к

Shadowing - это критическое несоответствие, поскольку вполне вероятно, что правило с действием отказа запрещает некоторый известный вредоносный трафик. Однако из-за затенения этот трафик фактически не останавливается брандмауэром. Такие несоответствия могут легко возникнуть, когда межсетевой экран имеет распределенную реализацию и / или когда он управляется несколькими администраторами, что часто встречается в крупных организациях.

Generalization: Правило является обобщением предшествующего правила, если оно является надмножеством предыдущего правила, и эти два правила определяют разные действия. Следующая таблица показывает пример правил обобщения. Обобщение часто используется администраторами брандмауэра, чтобы сделать набор правил компактным. Тем не менее может случиться так, что некоторые обобщения не являются преднамеренными, и в этом случае полезно их обнаружить и позволить администратору решить, являются ли они вредными.

Rule — Правило; Direction — Направление; Source IP address — адрес источника;

Destination IP address — адрес получателя; Protocol — Протокол; Source Port —

порт источника; Destination Port — порт получателя; Action — действие; Deny - запретить; Allow — разрешить; Incoming — входящий; Any -любой/

Correlation: Два правила коррелируют, если их пересечение не является пустым, они не связаны отношениями надмножества или подмножества, и они определяют различные действия. Пакеты, которые соответствуют пересечению, примут действие