przepisał: Aleksander Śmierciak

Bezpieczeństwo systemów informatycznych

Wykład

20 lutego 2011

O czym będą wykłady?

•

bezpieczeństwo systemów informatycznych

•

realizacja usług zapewnienia bezpieczeństwa informacji

•

podstawowe typy i własności systemów kryptograficznych

•

PKI

•

zagrożenia zewnętrzne, firewall

•

systemy IDS

•

IPSec

•

steganografia sieciowa

•

bezpieczeństwo IPv6

Ćwiczenia laboratoryjne

•

konfiguracja firewall'i sprzętowych firmy WatchGuard.

•

konfigurowanie filtrów pakietów

•

konfigurowanie proxy filtrujących

•

polityki bezpieczeństwa bazujące na tożsamości

•

centralne zarządzanie

•

tunele VPN (statyczne i mobilne),

•

MultiWAN, klastrowanie urządzeń

•

monitorowanie środowiska sieciowego, logi, raporty

1

przepisał: Aleksander Śmierciak

Dlaczego WatchGuard?

Bo ten sprzęt ma uczelnia (18 sztuk), jest on aktualny i sprzedawany na rynku. WatchGuard to 

pierwsza   firma,   która   sprzedała   sprzętowego   firewalla   (wcześniej   były   tylko   software'owe). 
Te urządzenia   są   wg   prowadzącego   jednymi   z   lepszych,   oferującymi   sporą   funkcjonalność. 
WatchGuard to firma istniejąca bardzo długo na rynku (40%~ rynku USA, znacznie mniej w Europie, 
choć wyjątkiem są przykładowo Niemcy – 80%~, Wielka Brytania – 30-40%~; Polska – kilkanaście 
procent).

Firewalle to urządzenia, które rozpoczęto sprzedawać około rok temu.

Plan pracy na laboratoriach

Dziś   zarejestrujemy   się   na   ELFie,   pobierzemy   oprogramowanie   i   zainstalujemy   na   swoich 

komputerach. Przywrócenie ustawień firewalla do ustawień fabrycznych i wstępna konfiguracja.

Będziemy   konfigurować   proste   pakiety   i   filtry,   później   zajmiemy   się   konfigurowaniem   proxy 

filtrujących (HTTP, HTTPS, DNS, FTP, itd.).

Musimy  znać  odpowiedzi  na  tak  podstawowe  pytania  jak:  „Co to  jest  żądanie  HTTP?”,  „Jakie 

polecenia znajdują się w FTP?”, „Jakie są typy rekordów?”, „Jakie są zapytania w DNS?”.

Na laboratoriach będziemy musieli umieć wykonać zadanie opisane poleceniem w stylu: „Proszę 

skonfigurować proxy DNS, żeby nie dało się robić transferu stref DNS pomiędzy dwoma adresami”.

Konfiguracja

Typowa konfiguracja to: „Z adresu IP do adresu IP coś się da / czegoś się nie da zrobić”.
Jest to niewygodne, bo adresy IP są często dynamiczne.
Bazuje się obecnie na tożsamości użytkowników. Aktualny adres IP użytkownika powiązuje się 

z jego danymi (nazwą użytkownika). W tym momencie firewall konfigurowany jest w taki sposób: 
użytkownika Kowalski do zasobu jakiegoś można przesłać dane.

Da się również odróżnić ruch terminal services (co jednak będzie wymagało dodatkowej aplikacji).

Centralne zarządzanie

Wyobraźmy sobie sytuację: pracujemy w banku o trzech dużych oddziałach i 40 małych oddziałach 

w różnych miastach. Potrzebna jest bezpiecznea komunikacja międy oddziałami a centralą.

Tworzy się tunele VPN pomiędzy poszczególnymi oddziałami: w odpowiednich lokacjach ustawia 

się urządzenia.

Musimy zmienić politykę bezpieczeństwa na wszystkich firewallach. Jak to zrobić?
Centralne zarządzanie pozwala na wykonanie jednej zmiany (zamiast 40) dla wszystkich urządzeń, 

a także aktualizacji (również określonych czasem).

2

przepisał: Aleksander Śmierciak

Tunelowanie

Tunele   statyczne   to   tunele   kreaowane   między   dwoma   rozwiązaniami   sprzętowymi,   aby   połączyć 
geograficznie rozproszone
IPSec jest powszechnie znanym standardem.
Nie ma problemu aby tworzyć tunele statyczne między dwoma urządzeniami różnych producentów, 
jednak często jest to tylko teoria.
Urządzenia   kierowane   do   zastosowań   domowych   rzadko   obsługują   IPSec   dobrze,   nawet   mimo 
wzmiance w ich specyfikacji o obsłudze tego protokołu.

Tunele mobilne kreuje się za pomocą oprogramowania.
Trzy typy tuneli mobilnych:

1. PPTP – najgorszy z możliwych tuneli pod względem bezpieczeństwa i elastyczności – cały ruch 

jest tunelowany do firewalla (nie można tego zmienić).

2. SSL – bardzo wygodny, aplikację pobiera się bezpośrednio z firewalla (1MB~), dosyć łatwo się 

używa i działa z każdej lokalizacji. Problem jest z elastycznością tej konfiguracji (1 profil 
konfiguracyjny dla wszystkich użytkowników; tunel jest ustawiany na te same zasoby).

3. IPSec   –   najbardziej   elastyczny,   można   tworzyć   wiele   profili   konfiguracyjnych,   co   innego 

tunelowane,   inaczej   szyfrowane.   Niestety,   ruch   IPSec   jest   w   wielu   sieciach   zablokowany. 
Dowiemy się dlaczego w ciągu semestru.

Skonfigurowanie tunelu statycznego między urządzeniami firmy WatchGuard sprowadza się do kilku 
kliknięć w oprogramowaniu. Skonfigurowanie tunelu IPSec między różnymi urządzeniami jest dużo 
dłuższe (wg prowadzącego, studentom może to zająć nawet półtorej godziny).

OSPF, PGP

Klastrowanie urządzeń

Klastrowanie to tworzenie klastrów z dwóch lub więcej urządzeń.
Tryb active-passive to tryb, w którym jedno z urządzeń jest pasywne, a drugie pasywne. W przypadku 
awarii aktywnego urządzenie zapasowe przejmuje funkcję tego urządzenia.
Przy dobrym układzie po wyciągnięciu wtyczki z urządzenia aktywnego zapasowe powinno przejąć 
funkcje tak, że ani jeden pakiet nie zostanie zgubiony.
Tryb   active-active,   tryb   w   którym   obydwa   firewalle   pracują   wspólnie.   Filtrują   po   połowie   ruchu. 
W momencie uszkodzenia któregoś z urządzeń pozostałe przejmuje cały ruch.

W jaki sposób monitorować środowisko sieciowe? Jak zbierać logi? Jak generować raporty?

Konfigurowanie proxy filtrujących

Da się podejrzeć dane przesyłane przez HTTP czy SMPTS.

3

przepisał: Aleksander Śmierciak

Ćwiczenie laboratoryjne

Każdy   z   nas   będzie   przypisany   do   jednego   firewalla   na   cały   semestr.   W  związku   z   tym   przy 

pierwszych laboratoriach należy spisać cztery ostatnie znaki numeru seryjnego firewalla.

Ostatni   oktet   adresu   IP   urządzenia   to   numer   stanowiska   komputerowego,   które   wybierzemy: 

192.168.112.X, gdzie X to numer w przedziale 1-20

Każdego z nas obowiązują hasła (b. istotne, szczególnie w przypadku problemów z ustawianiem):

–

administracyjne (admin password):
aaaaaaaa

–

konfiguracyjne (config password):
bbbbbbbb

Pliki konfiguracyjne firewalla należy po każdych laboratoriach zabierać ze sobą.

Sprzęt laboratoryjny

Sprzętowe firewalle firmy WatchGuard:

1. 9x XTM 22
2. 9x XTM 510

Różnice między modelami*

XTM 2

XTM 5

Liczba interfejsów sieciowych

6

7

Przeznaczenie

Praca biurkowa

Stanie w racku serwerowym

Czas uruchamiania

2 minuty

Kilkanaście sekund

Routing dynamiczny**

Nie

Tak

Klastrowanie***

Nie

Tak

* innych różnic technicznych nie zauważymy w ciągu zajęć laboratoryjnych
** na laboratoriach nie będziemy ustawiać routingu dynamicznego
*** ćwiczenia z klastrowania będziemy wykonywać w czterech podgrupach wyłącznie na XTM 5

4

przepisał: Aleksander Śmierciak

Oprogramowanie

•

WatchGuard System Manager (oprogramowanie zarządzające)

•

WatchGuard Management Server

•

Log Server

•

Report Server

•

WebBlocker Server

•

Quarantinne Server

Na   zajęciach   laboratoryjnych   będziemy   korzystać   z   interfejsu   dedykowanego   dla   systemów 

Microsoft   Windows.   Interfejs   webowy   (niemal   identyczny   z   dedykowanym),   umożliwiający 
konfigurację również pod innymi systemami operacyjnymi, oraz interfejs wiersza poleceń nie posiadają 
wszystkich funkcji (np. konfiguracji klastra).

Policy   Manager   jest   modułem   Watchguard   System   Manager   i   służy   do   definiowania   polityk 

bezpieczeństwa. Firebox System Manager służy z kolei do monitorowania pracy firewalla.

Parametry techniczne

Różnice między firewallami tej samej rodziny polegają na innych kluczach licencyjnych. Są to takie 

same urządzenia, jednak zależnie od klucza licencyjnego, mają różne ograniczenia software'owe.

XTM22/22-W

1000$

XTM 505

3500$

Software jest wliczony w cenę.
Dosyć specyficzne dla WatchGuarda: oprócz tuneli VPN wszystkie inne usługi bezpieczeństwa są 

licencjonowane per urządzenie a nie per liczba użytkowników.

Na co jest licencja?

•

Live Security

•

SpamBlocker (CommTouch)

•

WeBlocker (WebSense)

•

Gateway AV( AVG)

•

IPS (Endeavor)

•

Reputation Service

•

Application Control

Prawo   do   pobierania   aktualizacji   urządzeń   (przynajmniej   raz   na   kwartał   pojawia   się   duża 

aktualizacja, poprawiająca i zwiększająca funkcjonalność).

5

przepisał: Aleksander Śmierciak

SpamBlocker – funkcja outsourcowana firmie CommTouch. Działa to na zasadzie rozproszonej – 

w sieci   zainstalowanych   jest   wiele   serwerów   pocztowych,   które   mają   za   zadanie   przechwytywać 
niechcianą pocztę (funkcjonują jak kosze na śmieci).

WebBlocker – funkcja outsourcowana firmie WebSense. Instaluje bazę danych zawierającą dużą 

liczbę stron internetowych: nazwę oraz kategorię tematyczną.

Gateway AV – oprogramowanie antywirusowe. Można przeskanować każdy plik przesyłany przez 

np. protokół HTTP.

IPS – oprogramowanie firmy Endeavor, oparty o sygnatury (będzie o tym na wykładzie).
Application Control – blokowanie ruchu sieciowego, np. P2P czy IM, na podstawie specyficznych 

zachowań aplikacji (baza aplikacji zawiera ponad 1800 wpisów).

Reputation Service – usługa realizująca bezpieczeństwo w chmurze.

Funkcje oprogramowania

•

Filtrowanie pakietów

•

Proxy filtrujące (HTTP, HTTPS, SMTP, FTP, DNS, TCP-UDP, POP3, H.323, SIP)

•

Ochrona przed atakami DoS

•

Funkcja tymczasowo zablokowanych hostów

•

Tunele VPN: BOVPN, MOVPN: PPTP, IPSec, SSL

•

MultiWAN: RoundRobin, Failover, Interface Overflow, Routing Table

•

FireCluster: Active/Passive, Active/Active

•

VLAN

•

autentykacja użytkowników, SSO z AD

•

NAT

•

QoS

•

Traffic Shaping

•

dynamiczny routing (OSPF, BGP, RIP)

•

Server Load Balancing

•

interfejsy zarządzania: GUI, WebGUI, CLI

•

…

Samo oprogramowanie możemy zainstalować na własnych komputerach i uczyć się go poza zajęciami. 
Plik konfiguracji, wzięty ze sobą z zajęć, można w tym programie otworzyć i edytować, jednak z racji 
braku sprzętu we własnym domu nie będzie się go dało przetestować.

6