przepisał: Aleksander Śmierciak

Bezpieczeństwo systemów informatycznych

Wykład

20 lutego 2011

O czym będą wykłady?

•

bezpieczeństwo systemów informatycznych

•

realizacja usług zapewnienia bezpieczeństwa informacji

•

podstawowe typy i własności systemów kryptograficznych

•

PKI

•

zagrożenia zewnętrzne, firewall

•

systemy IDS

•

IPSec

•

steganografia sieciowa

•

bezpieczeństwo IPv6

Ćwiczenia laboratoryjne

•

konfiguracja firewall'i sprzętowych firmy WatchGuard.

•

konfigurowanie filtrów pakietów

•

konfigurowanie proxy filtrujących

•

polityki bezpieczeństwa bazujące na tożsamości

•

centralne zarządzanie

•

tunele VPN (statyczne i mobilne),

•

MultiWAN, klastrowanie urządzeń

•

monitorowanie środowiska sieciowego, logi, raporty

1

przepisał: Aleksander Śmierciak

Dlaczego WatchGuard?

Bo ten sprzęt ma uczelnia (18 sztuk), jest on aktualny i sprzedawany na rynku. WatchGuard to

pierwsza firma, która sprzedała sprzętowego firewalla (wcześniej były tylko software'owe).
Te urządzenia są wg prowadzącego jednymi z lepszych, oferującymi sporą funkcjonalność.
WatchGuard to firma istniejąca bardzo długo na rynku (40%~ rynku USA, znacznie mniej w Europie,
choć wyjątkiem są przykładowo Niemcy – 80%~, Wielka Brytania – 30-40%~; Polska – kilkanaście
procent).

Firewalle to urządzenia, które rozpoczęto sprzedawać około rok temu.

Plan pracy na laboratoriach

Dziś zarejestrujemy się na ELFie, pobierzemy oprogramowanie i zainstalujemy na swoich

komputerach. Przywrócenie ustawień firewalla do ustawień fabrycznych i wstępna konfiguracja.

Będziemy konfigurować proste pakiety i filtry, później zajmiemy się konfigurowaniem proxy

filtrujących (HTTP, HTTPS, DNS, FTP, itd.).

Musimy znać odpowiedzi na tak podstawowe pytania jak: „Co to jest żądanie HTTP?”, „Jakie

polecenia znajdują się w FTP?”, „Jakie są typy rekordów?”, „Jakie są zapytania w DNS?”.

Na laboratoriach będziemy musieli umieć wykonać zadanie opisane poleceniem w stylu: „Proszę

skonfigurować proxy DNS, żeby nie dało się robić transferu stref DNS pomiędzy dwoma adresami”.

Konfiguracja

Typowa konfiguracja to: „Z adresu IP do adresu IP coś się da / czegoś się nie da zrobić”.
Jest to niewygodne, bo adresy IP są często dynamiczne.
Bazuje się obecnie na tożsamości użytkowników. Aktualny adres IP użytkownika powiązuje się

z jego danymi (nazwą użytkownika). W tym momencie firewall konfigurowany jest w taki sposób:
użytkownika Kowalski do zasobu jakiegoś można przesłać dane.

Da się również odróżnić ruch terminal services (co jednak będzie wymagało dodatkowej aplikacji).

Centralne zarządzanie

Wyobraźmy sobie sytuację: pracujemy w banku o trzech dużych oddziałach i 40 małych oddziałach

w różnych miastach. Potrzebna jest bezpiecznea komunikacja międy oddziałami a centralą.

Tworzy się tunele VPN pomiędzy poszczególnymi oddziałami: w odpowiednich lokacjach ustawia

się urządzenia.

Musimy zmienić politykę bezpieczeństwa na wszystkich firewallach. Jak to zrobić?
Centralne zarządzanie pozwala na wykonanie jednej zmiany (zamiast 40) dla wszystkich urządzeń,

a także aktualizacji (również określonych czasem).

2

przepisał: Aleksander Śmierciak

Tunelowanie

Tunele statyczne to tunele kreaowane między dwoma rozwiązaniami sprzętowymi, aby połączyć
geograficznie rozproszone
IPSec jest powszechnie znanym standardem.
Nie ma problemu aby tworzyć tunele statyczne między dwoma urządzeniami różnych producentów,
jednak często jest to tylko teoria.
Urządzenia kierowane do zastosowań domowych rzadko obsługują IPSec dobrze, nawet mimo
wzmiance w ich specyfikacji o obsłudze tego protokołu.

Tunele mobilne kreuje się za pomocą oprogramowania.
Trzy typy tuneli mobilnych:

1. PPTP – najgorszy z możliwych tuneli pod względem bezpieczeństwa i elastyczności – cały ruch

jest tunelowany do firewalla (nie można tego zmienić).

2. SSL – bardzo wygodny, aplikację pobiera się bezpośrednio z firewalla (1MB~), dosyć łatwo się

używa i działa z każdej lokalizacji. Problem jest z elastycznością tej konfiguracji (1 profil
konfiguracyjny dla wszystkich użytkowników; tunel jest ustawiany na te same zasoby).

3. IPSec – najbardziej elastyczny, można tworzyć wiele profili konfiguracyjnych, co innego

tunelowane, inaczej szyfrowane. Niestety, ruch IPSec jest w wielu sieciach zablokowany.
Dowiemy się dlaczego w ciągu semestru.

Skonfigurowanie tunelu statycznego między urządzeniami firmy WatchGuard sprowadza się do kilku
kliknięć w oprogramowaniu. Skonfigurowanie tunelu IPSec między różnymi urządzeniami jest dużo
dłuższe (wg prowadzącego, studentom może to zająć nawet półtorej godziny).

OSPF, PGP

Klastrowanie urządzeń

Klastrowanie to tworzenie klastrów z dwóch lub więcej urządzeń.
Tryb active-passive to tryb, w którym jedno z urządzeń jest pasywne, a drugie pasywne. W przypadku
awarii aktywnego urządzenie zapasowe przejmuje funkcję tego urządzenia.
Przy dobrym układzie po wyciągnięciu wtyczki z urządzenia aktywnego zapasowe powinno przejąć
funkcje tak, że ani jeden pakiet nie zostanie zgubiony.
Tryb active-active, tryb w którym obydwa firewalle pracują wspólnie. Filtrują po połowie ruchu.
W momencie uszkodzenia któregoś z urządzeń pozostałe przejmuje cały ruch.

W jaki sposób monitorować środowisko sieciowe? Jak zbierać logi? Jak generować raporty?

Konfigurowanie proxy filtrujących

Da się podejrzeć dane przesyłane przez HTTP czy SMPTS.

3

przepisał: Aleksander Śmierciak

Ćwiczenie laboratoryjne

Każdy z nas będzie przypisany do jednego firewalla na cały semestr. W związku z tym przy

pierwszych laboratoriach należy spisać cztery ostatnie znaki numeru seryjnego firewalla.

Ostatni oktet adresu IP urządzenia to numer stanowiska komputerowego, które wybierzemy:

192.168.112.X, gdzie X to numer w przedziale 1-20

Każdego z nas obowiązują hasła (b. istotne, szczególnie w przypadku problemów z ustawianiem):

–

administracyjne (admin password):
aaaaaaaa

–

konfiguracyjne (config password):
bbbbbbbb

Pliki konfiguracyjne firewalla należy po każdych laboratoriach zabierać ze sobą.

Sprzęt laboratoryjny

Sprzętowe firewalle firmy WatchGuard:

1. 9x XTM 22
2. 9x XTM 510

Różnice między modelami*

XTM 2

XTM 5

Liczba interfejsów sieciowych

6

7

Przeznaczenie

Praca biurkowa

Stanie w racku serwerowym

Czas uruchamiania

2 minuty

Kilkanaście sekund

Routing dynamiczny**

Nie

Tak

Klastrowanie***

Nie

Tak

* innych różnic technicznych nie zauważymy w ciągu zajęć laboratoryjnych
** na laboratoriach nie będziemy ustawiać routingu dynamicznego
*** ćwiczenia z klastrowania będziemy wykonywać w czterech podgrupach wyłącznie na XTM 5

4

przepisał: Aleksander Śmierciak

Oprogramowanie

•

WatchGuard System Manager (oprogramowanie zarządzające)

•

WatchGuard Management Server

•

Log Server

•

Report Server

•

WebBlocker Server

•

Quarantinne Server

Na zajęciach laboratoryjnych będziemy korzystać z interfejsu dedykowanego dla systemów

Microsoft Windows. Interfejs webowy (niemal identyczny z dedykowanym), umożliwiający
konfigurację również pod innymi systemami operacyjnymi, oraz interfejs wiersza poleceń nie posiadają
wszystkich funkcji (np. konfiguracji klastra).

Policy Manager jest modułem Watchguard System Manager i służy do definiowania polityk

bezpieczeństwa. Firebox System Manager służy z kolei do monitorowania pracy firewalla.

Parametry techniczne

Różnice między firewallami tej samej rodziny polegają na innych kluczach licencyjnych. Są to takie

same urządzenia, jednak zależnie od klucza licencyjnego, mają różne ograniczenia software'owe.

XTM22/22-W

1000$

XTM 505

3500$

Software jest wliczony w cenę.
Dosyć specyficzne dla WatchGuarda: oprócz tuneli VPN wszystkie inne usługi bezpieczeństwa są

licencjonowane per urządzenie a nie per liczba użytkowników.

Na co jest licencja?

•

Live Security

•

SpamBlocker (CommTouch)

•

WeBlocker (WebSense)

•

Gateway AV( AVG)

•

IPS (Endeavor)

•

Reputation Service

•

Application Control

Prawo do pobierania aktualizacji urządzeń (przynajmniej raz na kwartał pojawia się duża

aktualizacja, poprawiająca i zwiększająca funkcjonalność).

5

przepisał: Aleksander Śmierciak

SpamBlocker – funkcja outsourcowana firmie CommTouch. Działa to na zasadzie rozproszonej –

w sieci zainstalowanych jest wiele serwerów pocztowych, które mają za zadanie przechwytywać
niechcianą pocztę (funkcjonują jak kosze na śmieci).

WebBlocker – funkcja outsourcowana firmie WebSense. Instaluje bazę danych zawierającą dużą

liczbę stron internetowych: nazwę oraz kategorię tematyczną.

Gateway AV – oprogramowanie antywirusowe. Można przeskanować każdy plik przesyłany przez

np. protokół HTTP.

IPS – oprogramowanie firmy Endeavor, oparty o sygnatury (będzie o tym na wykładzie).
Application Control – blokowanie ruchu sieciowego, np. P2P czy IM, na podstawie specyficznych

zachowań aplikacji (baza aplikacji zawiera ponad 1800 wpisów).

Reputation Service – usługa realizująca bezpieczeństwo w chmurze.

Funkcje oprogramowania

•

Filtrowanie pakietów

•

Proxy filtrujące (HTTP, HTTPS, SMTP, FTP, DNS, TCP-UDP, POP3, H.323, SIP)

•

Ochrona przed atakami DoS

•

Funkcja tymczasowo zablokowanych hostów

•

Tunele VPN: BOVPN, MOVPN: PPTP, IPSec, SSL

•

MultiWAN: RoundRobin, Failover, Interface Overflow, Routing Table

•

FireCluster: Active/Passive, Active/Active

•

VLAN

•

autentykacja użytkowników, SSO z AD

•

NAT

•

QoS

•

Traffic Shaping

•

dynamiczny routing (OSPF, BGP, RIP)

•

Server Load Balancing

•

interfejsy zarządzania: GUI, WebGUI, CLI

•

…

Samo oprogramowanie możemy zainstalować na własnych komputerach i uczyć się go poza zajęciami.
Plik konfiguracji, wzięty ze sobą z zajęć, można w tym programie otworzyć i edytować, jednak z racji
braku sprzętu we własnym domu nie będzie się go dało przetestować.

6