КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Мета роботи. Організація безпеки мережі при використанні ОС Unix за допомогою міжмережного екрана IPFW
|
|
|
|
Лабораторна робота № 10
Організація безпеки мережі при використанні ОС Unix за допомогою міжмережного екрана IPFW
Вивчити методи захисту мережі за допомогою настроювання міжмережного екрана IPFW ОС Unix. Настроювання IPFW, настроювання фільтрів, вивчення параметрів IPFW.
Ключові положення
В ОС Unix базовим фільтром є ipfw, що працює за допомогою правил. Загальний вид правила ipfw представлений нижче:
ipfw [номер_правила] [set номер_набору_правила] дія [log] тіло
Кожне правило пов'язане з полем номер_правила в діапазоні від 1 до 65535, останній номер зарезервований для правила, виконуваного за замовчуванням. Правила перевіряються послідовно, відповідно до номера правила. Якщо правила мають один номер, вони виконуються в порядку додавання у фільтр. Якщо номер правила не зазначений, ядро привласнить номер автоматично. Вибір номера правила залежить від системної змінної inet.ip.fw.automatic_step, значення за замовчуванням якої дорівнює 100. Якщо наступний номер правила перевищує максимально можливе значення, то використовується номер останнього заданого правила.
Таблиця 2.2 – Ключі команди IPFW
| Ключ | Пояснення |
| -a | Показує значення лічильників правил. Еквівалентна команді show |
| -d | При перегляді списку правил показує статичні й динамічні правила |
| -e | При перегляді списку правил показує минулі динамічні правила |
| -f | Виконує критичні команди без підтвердження, наприклад flash |
| -N | Визначає за адресами і портами імена комп'ютерів і сервісів і виводить правила в символьних іменах |
| -q | Не виводить на термінал повідомлення під час додавання, обнуління лічильників, очищення фільтра. Ця опція корисна для виконання великої кількості команд у скриптів. Так само корисна при запуску файлів скриптів із правилами при вилученому адмініструванні. |
| -s[field] | Під час перегляду списку правил за каналами (pipes) сортує правила відповідно до одного зі значень лічильника. |
| -t | Показує час останнього проходження пакета через правило. |
Таблиця 2.3 – Дії над пакетами у фільтрі IPFW
| Дія | Пояснення |
| allow | accept | pass | permit | Пакет припиняє рух за фільтром і вважається прийнятим. |
| check-state | Перевіряє пакет на відповідність динамічному набору правил. Якщо відповідність установлена, виконує дію, пов'язану з динамічним правилом, у противному випадку проглядається наступне правило. Якщо правило check-state не вказувати, то динамічний набір правил буде перевірятися, коли зустрінено правило з (keep-state) або limit |
| Count | Інкрементує лічильники правила при відповідному правилі. Пакет продовжує рух за фільтром. |
| deny | drop | Пакет припиняє рух за фільтром і знищується. |
| divert port | Перенаправляє пакет у сокет, відповідно до зазначеного порту або демона, наприклад, natd. |
| fwd | forward ipaddr[,port] | Змінює наступний пункт проходження на зазначену IP-адресу. Пошук за фільтром не продовжується. Якщо IP-адреса - локальна адреса, то пакет буде перенаправлятися в зазначений порт, у противному випадку порт ігнорується. |
| pipe pipe_nr | Використовується для завдання обмежень за трафіком. |
| queue queue_nr | Використовується для завдання обмежень за трафіком. |
| Reset | Знищує пакет, і якщо це tcp пакет, то посилає TCP RST оповіщення. |
| skipto number | Пропускає всі наступні правила, до зазначеного номера правила, далі пошук відповідності триває. |
| tee port | Відправляє копію пакета в сокет, відповідно до зазначеного порту. |
| Unreach code | Відкидає пакет і посилає ICMP повідомлення про неприступність пункту призначення. Код вказує який саме тип ICMP повідомлення потрібно послати, діапазон значень від 0 до 255. Підтримуються наступні символьні позначення: net, host, protocol, port, needfrag, srcfail, net-unknown, host-unknown, isolated, net-prohib, host-prohib, tosnet, toshost, filter-prohib, host-precedence or precedence-cutoff. |
Кожне правило пов'язане з полем номер_набору_правил у діапазоні від 0 до 31, або з останнім 31-м, зарезервованим для заданого за замовчуванням правила. Набори правил можна дозволяти й забороняти. Якщо правило додається без вказівки номера набору правила, то правило належить нульовому набору правил.
Таблиця 2.4 – Основні критерії пакетів у фільтрі IPFW
| Критерії | Пояснення |
| dst-ip | IP-адреса приймача пакета. |
| src-ip | IP-адреса джерела пакета |
| src-port | Порт джерела пакета. Даний критерій справедливий для протоколів, у яких вказуються порти: udp, tcp. |
| dst-port | Порт приймача пакета. Даний критерій справедливий для протоколів, у яких вказуються порти: udp, tcp. |
| established | Еквівалентно TCP пакетам із установленими бітами ACK або RST. |
| Frag | Правило поширюється на всі фрагменти пакета, крім першого. Зроблено це тому, що немає можливості визначити вихідний/вхідний порт для фрагмента пакета, а для ICMP-пакетів визначити їхній тип. |
| In | out | Вхідні або вихідні пакети. |
| keep-state | При відповідності критеріям створює динамічне правило для інших пакетів даного з'єднання. Динамічні правила мають обмежений час життя. |
| Proto | Використовується для вказівки типу протоколу. Прикладами протоколів можуть бути TCP, UDP і ICMP. Список протоколів можна подивитися у файлі /etc/protocols. |
| recv interface | Відповідає пакетам, отриманим з мережного інтерфейсу. |
| xmit interface | Відповідає вихідним пакетам з мережного інтерфейсу. |
| via interface | Відповідає пакетам минаючим мережний інтерфейс. |
| Tcpflags | Застосовується тільки для TCP пакетів. Пакет відповідає критерію, якщо в пакеті виставлені прапори, які перераховуються списком, розділеним комами. Підтримуються такі значення прапорів: fin, syn, rst, psh, ack, urg. |
| In | out | Вхідні або вихідні пакети. |
Ключові питання
1. Як включати фільтр IPFW в ОС Unix?
2. Як можна переглянути які правила завантажені в IPFW?
3. Як в IPFW дозволити встановлювати з'єднання зі збереженням стану?
4. Як реалізоване перетворення мережних адрес у фільтрі IPFW?
5. Які функції домена natd?
6. Які ключі й параметри потрібно задати доменові natd для динамічного перетворення мережних адрес.
7. Як можна організувати підрахунок вхідного tcp трафіка у фільтрі iptables? Наведіть приклад.
8. Як можна організувати підрахунок вихідного трафіка icmp у фільтрі IPFW.
Завдання до лабораторної роботи
1. Ознайомтеся з теоретичними відомостями лабораторної роботи і перевірте, чи включена підтримка фільтра на вашому комп'ютері.
2. Залежно від варіанта, виконайте настроювання міжмережного екрана. Для додавання правила, що дозволяє проходження пакетів, використовується наступний загальний вид команди:
ipfw add <номер_правила>
Для видалення правила з фільтра ipfw використовується наступний загальний вид команди:
ipfw del <номер_правила>
3. Перевірте роботу фільтра.
4. Зробіть, за допомогою фільтра ipfw, підрахунок трафіка на вашому комп'ютері, використовуючи для цього наступні правила:
ipfw add номер_правила count ip from ім'я_вашої_робочої_станції to any
ipfw add номер_правила count ip from any to ім'я_вашої_робочої_станції
5. Виведіть статистику підрахованого трафіка, за допомогою команди:
ipfw show номер_правила
Варіанти завдань для виконання лабораторної роботи (Завдання для настроювання правил міжмережного екрана):
1. Забороніть правило, що дозволяє пропускати весь трафік з будь-якого вузла мережі до будь-якого вузла мережі. Для цього видалити правило allow ip from any to any.
2. Дозвольте робочим станціям вашої підмережі, звертатися до серверів DNS. Для цього додайте у фільтр ipfw правило, що дозволяє протоколу udp від будь-якої робочої станції звертатися до будь-якого вузла за 53 портом. І правилу, що дозволяє протоколу udp від вузла за 53 портом, дозволити звертатися до будь-якої робочої станції.
3. Дозвольте всі вихідні пакети з даного комп'ютера. Для цього додайте у фільтр ipfw правило, що дозволяє протоколу ip вашої робочої станції звертатися до всіх вузлів мережі.
4. Дозвольте виконання команди тестування мережі: ping. Для цього додайте у фільтр ipfw правило, що дозволяє протоколу icmp з будь-якого вузла мережі до вашої робочої станції виконувати icmptypes для номерів вище заданих правил, наприклад 0,3,5,8,11. Перевірте дію цього правила, за допомогою команди ping.
5. Дозвольте вхідні ssh і web з'єднання. Для цього додайте у фільтр ipfw правило, що дозволяє протоколу tcp з будь-якого вузла мережі звертатися за портами 22 і 80. Перевірте це правило, запустивши на вашій робочій станції sshd, httpd і зайдіть по ssh. Для перевірки роботи web сервера, виконайте наступну команду, c іншого комп'ютера:
telnet <ip_Web> 80
Сервер повинен вам надіслати тестову web сторінку.
6. Дозвольте вашій робочій станції роботу за протоколом ftp. Для цього додайте у фільтр ipfw правило, що дозволяє вхідному і вихідному трафіку проходити за протоколом tcp 20 і 21 портів.
7. Дозвольте вашій робочій станції роботу за протоколом http. Для цього додайте у фільтр ipfw правило, що дозволяє вхідному і вихідному трафіку проходити за протоколом tcp 80 порту.
8. Обмежте швидкість для вашої робочої станції до 64 Кбіт/c. Для цього використовуйте правило виду:
ipfw add pipe 31 ip from any to ім'я_вашої_робочої_станції out назва_мережного_адаптера
ipfw pipe 31 config 31 bw 64Kbit/s
9. Дозвольте вашій робочій станції роботу за протоколом ssh. Для цього додайте у фільтр ipfw правило, що дозволяє вхідному і вихідному трафіку проходити за протоколом tcp 22 порту.
10. Створіть правило, що запобігає атакам типу DoS (відмова в обслуговуванні), які відкривають велику кількість динамічних правил. Для цього обмежте число з'єднань, що можуть бути відкриті користувачем, дозволивши кожному вузлу в мережі 172.16.0.0 відкрити максимум 10 з'єднань, причому один клієнтський комп'ютер повинен створювати не більше чотирьох одночасних з'єднань. Для цього використовуйте команди виду:
ipfw add allow tcp from підмережа to any назва_мережного_адаптера setup limit src-addr 10
ipfw add allow tcp from any to ім'я_вашої_робочої_станції limit src-addr 4
11. Забороніть вашій робочій станції роботу за протоколом telnet. Для цього додайте у фільтр ipfw правило, що забороняє вхідний і вихідний трафік за протоколом tcp 23 порту.
12. Дозвольте вашій робочій станції підключення за протоколом SMTP. Для цього використовуйте правило, що дозволяє вхідний трафік за 25 портом, протоколу tcp від всіх вузлів мережі.
Зміст протоколу
Внесіть у звіт створені вами правила, у фільтрі ipfw, результат перевірки роботи даних правил, а також результат статистики підрахованого трафіка.
|
|
|
|
|
Дата добавления: 2014-10-15; Просмотров: 488; Нарушение авторских прав?; Мы поможем в написании вашей работы!