книги хакеры / Trabelsi_Setevye-ataki-i-zashchita_RuLit_Me_676546

на самом деле, часто используются администраторами брандмауэра, чтобы сделать набор правил компактным. Тем не менее может случиться так, что некоторые обобщения и корреляции не являются преднамеренными, и в этом случае полезно их обнаружить и позволить администратору решить, являются ли они вредными или нет. Избыточность также не считается серьезной ошибкой конфигурации, но избыточные правила явно бесполезны; следовательно, стоит их идентифицировать и удалить, а также повысить эффективность фильтрации.

7.4.3 Важность порядка правил фильтрации

Порядок правил фильтрации является решающим и важным фактором в процессе фильтрации. Фактически, любая реорганизация правил фильтрации может полностью изменить результаты процесса фильтрации. Пример, проиллюстрированный в следующих трех таблицах, ясно показывает, как переупорядочение правил фильтрации может изменить все ожидаемые результаты фильтрации для некоторых пакетов.

Первая таблица показывает два правила фильтрации и их порядок (AB). Брандмауэр использует два правила для фильтрации всех входящих и исходящих пакетов. Во второй таблице показаны результаты процесса фильтрации двух пакетов (Packet 1 и Packet 2). При фильтрации двух пакетов процесс фильтрации сохраняет порядок, указанный в первой таблице, которая называется «AB». Вторая таблица четко показывает, что результаты процесса фильтрации (Real action) аналогичны ожидаемым результатам (Desired action).). Однако третья таблица показывает, что когда порядок правил фильтрации меняется на «BA», процесс фильтрации генерирует реальное действие (Deny), которое не похоже на действие Desired (Allow).

Проверка большого брандмауэра (т.е. сотен правил фильтрации) на предмет несоответствий и неэффективности затруднена и подвержена ошибкам, когда это делается вручную и специальным образом.

Таким образом, для выполнения такой задачи требуются автоматизированные инструменты. Однако очень немногие межсетевые экраны объединяют возможности проверки несоответствия и неэффективности набора правил фильтрации. Например, устройство Juniper Networks предоставляет простую онлайн-команду, которая идентифицирует избыточные и скрытые правила. Существует также очень мало автономных программных инструментов, таких как FirePAC и Firesec *, которые могут проверить несоответствие и неэффективность установленных правил фильтрации. Средство FirePAC анализирует файлы конфигурации брандмауэра на наличие угроз безопасности, выявляет проблемные правила в конфигурации, определяет избыточные и неиспользуемые правила и суммирует сервисы, разрешенные правилами фильтрации. FirePAC также предоставляет администратору межсетевого экрана рекомендации по исправлению ситуации. Изменение порядка некоторых правил фильтрации или удаление некоторых из них являются примерами рекомендаций.

В этом случае ответственность за исправление ситуации лежит на администраторе. Firesec - это решение для анализа правил фильтрации брандмауэров. Он решает проблемы, присущие большим наборам правил, и помогает очищать и обновлять базу правил в соответствии с требованиями сети. Firesec анализирует базу правил, чтобы рассмотреть экземпляры двух или более правил, которые соответствуют одному и

* http://www.niiconsulting.com

тому же трафику и выполняют одно и то же действие, или два или более правил, которые соответствуют одному и тому же трафику, но выполняют противоположные действия, или правила, которые можно объединить путем создания групп объектов. Firesec предоставляет несколько функций, таких как удаление избыточных правил, группировка похожих правил и поиск уязвимых шаблонов правил.

В следующих двух экспериментах показаны шаги, используемые для проверки согласованности и эффективности правил фильтрации брандмауэра с использованием устройства Juniper Networks и инструмента FirePAC соответственно.

7.4.4 Эксперимент: устройство Juniper Networks

Этот эксперимент состоит из использования устройства Juniper Networks для проверки согласованности и эффективности набора правил фильтрации брандмауэра.

7.4.5 Архитектура сети

В этом эксперименте используется та же сетевая архитектура, которая описана в лаборатории фильтрации пакетов (лабораторная работа 7.1).

7.4.6 Шаги эксперимента

Эксперимент состоит из следующих этапов:

Шаг 1: Настройте сетевые интерфейсы на устройстве

Juniper Networks.

Шаг 2: Реализация противоречивых и неэффективных правил фильтрации.

Шаг 3: Проверьте последовательность и эффективность правил фильтрации.

7.4.6.1 Шаг 1. Настройте сетевые интерфейсы на устройстве

Juniper Networks

Шаг 1 аналогичен эксперименту лаборатории фильтрации пакетов (лаборатория 7.1).

7.4.6.2Шаг 2. Внедрение непоследовательных и неэффективных правил фильтрации

Войдите в интерфейс WebUI устройства Juniper Networks, выберите «Policy», а затем примените следующие непоследовательные и неэффективные правила фильтрации (см. Следующий снимок экрана):

Правила R1 и R2 являются правилами Shadowing.

Правила R3 и R4 являются правилами Generalization (обобщения). Правила R5 и R6 являются правилами Correlation (корреляции). Правила R7 и R8 являются правилами Masked redundancy (замаскированные правила избыточности).

Правила R9 и R10 являются правилами Partially masked redundancy (частично замаскированные правила избыточности).

7.4.6.3Шаг 3. Проверка согласованности и эффективности правил фильтрации.

Устройство Juniper Networks предоставляет онлайн-команду, которая позволяет проверять согласованность и эффективность правил фильтрации. Для выполнения этой задачи подключите хост к устройству

Juniper Networks с помощью консольного кабеля и Microsoft Hyper Terminal; затем введите онлайн команду «exec policy verify». На приведенном ниже снимке экрана показаны результаты выполнения этой онлайн-команды.

Устройство Juniper Networks смогло определить, что правило 2 затенено правилом 1, а правило 8 затенено правилом 7. Следовательно, устройство Juniper Networks классифицирует правила маскированной избыточности как скрытые правила. Однако устройству Juniper Networks не удалось обнаружить наличие правил обобщения (R3 и R4), правил корреляции (R5 и R6) и частично замаскированных правил избыточности (R9 и R10) среди списка правил фильтрации. Понятно, что в устройстве Juniper Networks отсутствует мощный механизм проверки согласованности и эффективности правил фильтрации.

7.4.7 Эксперимент: инструмент FirePAC

Этот эксперимент состоит из использования инструмента FirePAC для проверки согласованности и эффективности одного и того же набора правил фильтрации брандмауэра (раздел 7.4.6.2). Средство FirePAC требует в качестве входных данных файл конфигурации брандмауэра, который включает в себя набор правил фильтрации.

7.4.8 Шаги эксперимента

Эксперимент состоит из следующих этапов:

Шаг 1: Получите файл конфигурации брандмауэра.

Шаг 2: Проверьте последовательность и эффективность правил фильтрации.

Шаг 3: Анализ результатов инструмента FirePAC.

Ниже приведены шаги для сбора файла конфигурации устройства

Juniper Networks:

*Подключитесь к устройству Juniper Networks с помощью консольного кабеля и инструмента Microsoft Hyper Terminal.

*В меню панели инструмента Microsoft Hyper Terminal выберите

«Transfer», затем «Capture Text…» (снимок экрана ниже).

* Выберите папку и имя для файла конфигурации брандмауэра (скриншот ниже).

* Введите команду «set console page 0», затем команду «get config» (скриншот ниже).

Ниже приведены шаги, используемые для проверки согласованности и эффективности правил фильтрации, показанных в разделе 7.4.6.2, но с использованием инструмента FirePAC:

*Запустите инструмент FirePAC.

*Выберите «UPDATE» в графическом интерфейсе инструмента FirePAC (скриншот ниже) и следуйте инструкциям.

*Выберите «REPORT» в графическом интерфейсе инструмента FirePAC, чтобы сгенерировать отчет, показывающий любое непостоянство и / или неэффективность среди правил фильтрации (скриншот ниже).

7.4.8.3 Шаг 3: Анализ результатов FirePAC Tool

Инструмент FirePAC создает отчеты, касающиеся результатов анализа набора правил фильтрации входных данных. На следующем экране

показана часть отчета, относящаяся к выявленным несоответствиям и недостаткам в правилах фильтрации ввода. Отчет показывает в основном, что:

*Были определены три избыточных и скрытых правила.

*Были определены три правила зависимости порядка.

На следующем экране представлен более подробный отчет об обнаружении инструмента FirePAC, то есть

*Правило 2 (строка 169) затенено правилом 1 (строка 166).

*Правило 8 (строка 187) избыточно правилу 7 (строка 184).

*Правило 9 (строка 190) затенено правилом 10 (строка 193).

Среди списка правил, показанного на предыдущем экране, следующий экран показывает правила, зависящие от порядка:

Правило 2 (строка 169) зависит от порядка 1 (строка 166). Правило 4 (строка 175) зависит от порядка 3 (строка 172).

Правило 6 (строка 181) зависит от порядка по правилу 5 (строка 178).

Правило, зависящее от порядка другого правила (эти правила, выделенные жирным шрифтом на следующем экране), имеет перекрывающиеся диапазоны соответствия с другим правилом и, следовательно, не может быть перемещено над источником зависимости без изменения поведения брандмауэра. Аналогично, правило, являющееся источником зависимости, не может быть перемещено ниже зависимого правила. Таким образом, зависимость порядка правил ограничивает движение правила.

Инструмент FirePAC обеспечивает более подробный анализ набора правил фильтрации и генерирует более подробные отчеты, чем устройство

Juniper Networks. Например, устройство Juniper Networks не делало различий между избыточными и теневыми правилами и не могло идентифицировать частично замаскированные правила избыточности (правила 9 и 10). Кроме того, он не определил правила, зависящие от порядка, такие как правила 3 и 4. Кроме того, инструмент FirePAC предоставляет рекомендации по очистке и оптимизации входного набора правил фильтрации.