Realizace firemního firewallu s použitím Cisco technologií

Mendelova univerzita v Brně Provozně ekonomická fakulta

Realizace firemního firewallu s použitím Cisco technologií Bakalářská práce

Vedoucí práce: Ing. Martin Pokorný, PhD.

Vypracoval: Milan Filla

Brno 2010

Poděkování patří zejména vedoucímu práce Ing. Martinu Pokornému, Ph.D za poskytnutí potřebných podkladů, cenných rad a připomínek. Děkuji i celé své rodině a mé přítelkyni za jejich podporu a trpělivost.

Prohlašuji, že jsem bakalářskou práci na téma „Realizace firemního firewallu s použitím Cisco technologií“ vypracoval samostatně s použitím zdrojů uvedených v literatuře. V Brně dne 26. 5. 2010

_______________________

Abstract Filla, M. Realization of the corporate firewall using Cisco technology. Bachelor thesis. Brno, 2010. The bachelor thesis deals with implementation of firewalls using Cisco technology. The first section describes the threats and the available network firewall and Cisco technology. The next step is to analyze the network, which includes requirements, topology, etc. An analysis of the networks are created practical examples of firewalls. At the end of bachelor thesis there is an economic evaluation. Keywords firewall, Cisco, IOS, ASA, SDM, ASDM

Abstrakt Filla, M. Realizace firemního firewallu s použitím Cisco technologií. Bakalářská práce. Brno, 2010. Bakalářská práce se zabývá realizací firewallů pomocí Cisco technologií. V první části popisuje síťové hrozby a dostupné firewallové a Cisco technologie. V dalším kroku je provedena analýza sítě, která zahrnuje požadavky, topologie atd. Z analýzy sítě jsou vytvořeny praktické ukázky firewallů. V závěru je provedeno ekonomické zhodnocení použitých technologií. Klíčová slova firewall, Cisco, IOS, ASA, SDM, ASDM

Obsah

6

Obsah 1

Úvod a cíl práce

9

1.1

Úvod ......................................................................................... 9

1.2

Cíl práce ................................................................................... 9

2

Metodika

10

3

Použité technologie

11

3.1

Hrozby .................................................................................... 11

3.2

Hrozby, se kterými se většina IT organizací potýká .................. 11

3.3

Postup útoku .......................................................................... 11

3.4

Role firewallu .......................................................................... 12

3.5

Firewall................................................................................... 12

3.5.1

Static packet-filtering firewalls ......................................... 14

3.5.2

Dynamic packet-filtering firewalls..................................... 15

3.5.3

Application Layer Firewalls ............................................... 16

3.5.4 Transparentní (transparent) a směrovatelné (routed) firewally ....................................................................................... 17 3.6

Firewallové technologie Cisco .................................................. 18

3.6.1

Rozdíl mezi Classic a Zone-based policy firewallem ........... 19

3.6.2

Classic firewall ................................................................. 19

3.6.3

Zone-based policy firewall ................................................ 20

3.7

Cisco ASA (adaptive security appliance) firewall edition ........... 24

3.8

Opensource řešení iptables ..................................................... 26

3.9

Bezpečnostní politika .............................................................. 27

3.9.1 4

Efektivní tvorba firewallové politiky .................................. 27

Analýza sítě

29

4.1

Požadavky na firemní síť ......................................................... 29

4.2

Metodika návrhu topologie ...................................................... 29

4.3

Analýza IT infrastruktury ........................................................ 30

Obsah

7

4.4

Návrh topologie ....................................................................... 31

4.5

Použitý hardware .................................................................... 35

4.6

Použité operační systémy ........................................................ 35

4.7

Přístup ke službám ................................................................. 35

5

Vlastní řešení

37

5.1

Průvodce konfigurací IOS firewallů.......................................... 38

5.2

Classic firewall ........................................................................ 41

5.2.1

Přidání pravidla do ACL.................................................... 42

5.2.2

Popis ACL v SDM ............................................................. 42

5.2.3

ACL ve směru „INSIDE“ do ostatních zón .......................... 42

5.2.4

ACL ve směru „OUTSIDE“ do ostatních zón ...................... 44

5.2.5

ACL ve směru „DMZVS“ do ostatních zón ......................... 44

5.2.6

ACL ve směru „DMZSS“ do ostatních zón ......................... 45

5.2.7

ACL ve směru „SSW“ do ostatních zón .............................. 46

5.2.8

Stavová a aplikační inspekce ............................................ 46

5.3

Zone-based policy firewall ....................................................... 49

5.3.1

Vytvoření zónového páru - ZFW ........................................ 49

5.3.2

Popis zónového páru a politiky v SDM .............................. 50

5.3.3

Směr „INSIDE“ do ostatních rozhraní ............................... 50

5.3.4

Směr „OUTSIDE“ do ostatních zón ................................... 51

5.3.5

Směr „DMZVS“ do ostatních zón....................................... 52

5.3.6

Směr „DMZSS“ do ostatních ............................................. 53

5.3.7

Směr SSW do ostatních zón.............................................. 54

5.3.8

SELF zóna ........................................................................ 54

5.3.9

Použitá aplikační inspekce ............................................... 55

5.4

Implementace ASA firewallu .................................................... 58

5.4.1

Security level (Bezpečnostní úroveň) ................................. 58

5.4.2

Nastavení managementu zařízení ..................................... 59

5.4.3

ASA rozhraní a ICMP protokol .......................................... 59

5.4.4

Vytvoření objektů ............................................................. 60

5.4.5

Nastavení ACL .................................................................. 60

Obsah

6

7

8

5.4.6

Obrana proti IP spoofingu ................................................ 62

5.4.7

Aplikační inspekce ........................................................... 62

Ekonomické zhodnocení

66

6.1.1

Pořizovací cena................................................................. 66

6.1.2

Náklady na údržbu ........................................................... 66

Diskuze a závěr

67

7.1

Diskuze .................................................................................. 67

7.2

Závěr ...................................................................................... 68

8

Literatura

69

A

Konfigurace Cisco Router 2811

72

B

Konfigurace Cisco ASA 5510

74

C

Cisco Router 2811 SDM

76

D

Cisco ASA 5510 ASDM

77

Úvod a cíl práce

9

1 Úvod a cíl práce 1.1 Úvod V dnešní době je mnohem více kladen důraz na zabezpečení počítačových sítí, než tomu bylo dříve. Musíme si uvědomit, že k realizaci účinné obrany nevede pouze jeden prvek zabezpečení, jak by se na první pohled mohlo zdát. Je to komplex spolu souvisejících věcí, který dokáže vytvořit vyšší zabezpečení naší sítě. Výhoda spočívá v tom, že pokud dojde k napadení či prolomení jedné části obrany, může jiná součást obrany zabránit dalšímu rozsáhlejšímu napadení či zneužití. Součástí takové obrany může být antivirový program, IDS/IPS, firewall a celá řada dalších prvků. Vidíme, že uvedené vrstvené zabezpečení je hodně složité a rozsáhlé, a proto se budeme zabývat pouze firewallem. Na trhu je obrovské množství komerčních a nekomerčních firewallů. My se zaměříme na komerční firewally od firmy Cisco. K této volbě nás vedla nově vybavená síťová laboratoř v prostorách Mendelovy univerzity v Brně.

1.2 Cíl práce Cílem této práce je na modelové počítačové síti střední velikosti realizovat zabezpečení pomocí Cisco firewallů s použitím dostupných technologií včetně ukázek praktického použití. Mezi tyto technologie řadíme IOS firewally (Classic a Zone-based policy firewall) a speciální hardwarové zařízení Cisco ASA 5510 Firewall Edition. Součástí této práce je vypracování ekonomického zhodnocení použitých technologií a výběr nejvhodnější varianty pro implementaci.

Metodika

10

2 Metodika Před samotným zpracováním bakalářské práce bylo nutné prostudovat dostatečné množství materiálů o dané problematice. Většina zdrojů pochází z oficiálních stránek společnosti Cisco a knih od anglických autorů, neboť k danému tématu je málo kvalitní české literatury. Po této úvodní části jsem s kolegou Janem Kejdou vytvořil modelovou počítačovou síť střední velikosti. Navrhli jsme topologii, vymezili uživatelské požadavky, služby a definovali přístup k těmto službám. Další významnou fází bylo seznámení s používanými zařízeními Cisco Router 2811 a Cisco ASA 5510 Firewall Edition včetně používaných grafických utilit SDM a ASDM v síťové laboratoři ÚI PEF Mendelovy univerzity v Brně. Následně jsem provedl realizaci jednotlivých Cisco firewallů a jejich ekonomické zhodnocení. Bakalářská práce je rozdělena na dvě důležité části, použité technologie a vlastní řešení. V kapitole použité technologie jsou popsány známé firewallové a Cisco technologie, vlastní řešení pak zahrnuje implementaci uvedených Cisco technologií. V závěru je umístěna diskuse, která se zabývá veškerými klady a zápory jednotlivých řešení. Z důvodu rozsáhlých konfiguračních souborů je provedeno jejich umístění na přiloženém CD.


11

3 Použité technologie 3.1 Hrozby Hrozba využívá zranitelného místa pro vedení útoku, které vzniká jako důsledek chyb v návrhu, specifikaci požadavků, implementaci a provozu. Rozlišujeme hrozby aktivní a pasivní. Pasivní hrozba plyne z přírodních, fyzických nebo fyzikálních skutečností. Příkladem takovéto hrozby je nefunkční klimatizace v místnosti se síťovými prvky, kde vlivem tepla může dojít k poškození zařízení. Aktivní má původ v lidském faktoru a z pohledu síťové bezpečnosti je dělíme na vnitřní a vnější. Hrozby z vnější sítě lze eliminovat jejím fyzickým odpojením, ale to v dnešním světě e-business není možné. Vnitřní hrozby jsou daleko nebezpečnější než vnější a obrana proti nim je obvykle těžko realizovatelná, protože jsou vedeny uživateli z naší organizace. (Watkins a Wallace, 2008)

3.2 Hrozby, se kterými se většina IT organizací potýká Mezi tyto hrozby řadíme viry, červy, trojské koně, škodlivý obsah, malware, DoS útoky, zombies, spyware, sociální inženýrství1 a nedostatečně zabezpečené nebo slabě navržené aplikace. (Noonan a Dubrawsky, 2006)

3.3 Postup útoku Útoky využívají zranitelná místa a narušují integritu, důvěrnost, dostupnost, autenticitu, spolehlivost, prokazatelnost odpovědnosti a nepopiratelnost zodpovědnosti. (Thomas, 2004) Postup typického útoku Útočník nejprve nástroji pro scanování sítí získá přehled o dostupných systémech (servery, koncové stanice, aktivní síťové prvky atd.) a jejich potencionálních zranitelných místech. Příkladem zranitelných míst jsou nezabezpečené přístupové protokoly, neošetřené chyby v operačních systémech a aplikacích a další. V dalším kroku se útočník snaží získat privilegovaný přístup do systému. Po získání přístupu smaže záznamy, ze kterých by bylo možno útok odhalit. Následně může provést zcizení nebo změnu uživatelských dat, poškodit systém atd. (Thomas, 2004)

Využívají sociálních technik, které jsou zaměřené na získávání informací pomocí přesvědčování a podvádění lidského personálu. (Kaleta, 2008) 1


12

Běžné síťové útoky Mezi nejzákladnější nástroje pro vedení útoku patří odposlech dat na síti a scanování portů. Programy pro odposlech dat (sniffer), např. specializovaný software WireShark, jsou využity pro analýzu obousměrného provozu, získání UserID2 a hesla. Scanování portů umožňuje zjistit operační systém a jeho verzi, spuštěné služby atd. Mezi často používané útoky rovněž řadíme IP spoofing, DoS (Denial of Service), útoky zaměřené na získání citlivých dat a na porušení integrity a další. (Thomas, 2004) IP spoofing slouží pro maskování skutečného zdroje a je realizován podvrhnutím důvěryhodné IP adresy do záhlaví IP paketu. Obranou je implementace přístupového seznamu, který blokuje příchod paketů s podvrženou vnitřní IP adresou z vnější sítě nebo s podvrženou vnější IP adresou z vnitřní sítě. (Kaleta, 2008) DoS útoky způsobí, že legitimní doprava není schopna přistupovat k chráněným zdrojům nebo službám. Obvykle jsou realizovány posíláním velkého množství dat a požadavků. Jejich cílem je vyčerpat všechny zdroje systému a zamezit tak používání služeb nebo dosáhnout ztráty dostupnosti celé sítě legitimními uživateli. Typy DoS útoků: obsazení přenosového pásma, obsazení systémových zdrojů, využití vad v aplikacích a spoofing směrování/DNS/ARP. Využívají celé řady technik např. zahlcení zdroje serveru pomocí SYN flood, posílání porušených paketů (buffer overflow) atd. (Noonan a Dubrawsky, 2006), (Petr Milanov, 2006) Útoky zaměřené na porušení integrity: Salami attack, Data diddling, Botnet, Únos spojení a Passsword útok, který se snaží získat uživatelské jméno pro přihlášení do systému (např. slovníkové útoky). (Watkins a Wallace, 2008)

3.4 Role firewallu Firewall chrání naši síť proti některým zmíněným hrozbám a útokům. Například dokáže částečně zabránit IP spoofingu, některým DoS útokům (spíše zmírnit jejich následky), zneužití ICMP protokolu atd.

3.5 Firewall Firewall je software nebo hardware, který pomocí jisté množiny pravidel definuje, jaký síťový provoz bude povolovat a zamítat. (Northcutt a kol., 2005)

2

Uživatelské jméno.


13

V dnešní době existuje několik různých typů, které vykonávají:  řízení a kontrolu síťové dopravy,  ověření přístupu,  ochranu zdrojů,  zaznamenávání a hlášení o událostech. (Noonan a Dubrawsky, 2006) Nejzákladnější dělení firewallů je na osobní a síťové. Osobní jsou navrženy tak, aby chránily hosta před neautorizovaným přístupem, a síťové, aby chránily celou síť od útoku. Síťové firewally se vyskytují ve dvou základních podobách, a to jako speciální hardwarová zařízení nebo softwarové firewally. V této práci se budeme zabývat pouze síťovými firewally a jejich technologiemi. Podrobnější rozdělení a jejich vývoj ukazuje obr. 1 a 2.

Obr. 1 Firewallové technologie. Překresleno z publikace Noonan a Dubrawsky (2006, s. 33, obr. 2-1)


14

Obr. 2 Vývoj firewallových technologií. Převzato z publikace Watkins a Wallace (2008, s. 360, obr. 10-2)

3.5.1

Static packet-filtering firewalls

Firewally, založené na této technologii, patří mezi nejstarší a nejjednodušší. Rozhodování o tom, jestli paket smí vstoupit nebo vystoupit ze sítě probíhá na základě určitých identifikačních údajů v hlavičce paketu. Hlavní využití spočívá v omezení komunikace hostů do jiných sítí. Výhoda tohoto filtru spočívá ve vysoké rychlosti zpracování a používá se na místech, kde není potřebná důkladná analýza síťové dopravy. Hlavní nevýhodou je malá kontrola vytvořeného spojení, která vede ke snižování bezpečnosti sítě. (Noonan a Dubrawsky, 2006) Filtrování paketů probíhá v síťové a transportní vrstvě OSI modelu. Statické filtrování paketů podporuje komerční Cisco v podobě Access control list (ACL), opensource iptables a řada dalších. Rozhodnutí o tom, zda doprava bude povolena nebo zakázána je nejčastěji ovlivněno zdrojovou a cílovou IP adresou, číslem zdrojového a cílového portu, typem a směrem toku paketů. Implementace od Cisca je jedním z nejrozšířenějších paketových filtrů, který kontroluje pakety pomocí ACL (přístupových seznamů). ACL obsahuje souhrn věcí, které jsou kontrolovány v hlavičce paketů, a instrukce pro povolení či zamítnutí průchodu paketu do daného síťového segmentu. Lze je rozdělit z hlediska syntaxe na číslované a pojmenované a podle typu filtrování na standardní a rozšířené. Standardní přístupové seznamy povolují nebo blokují síťový provoz na základě zdrojové IP adresy systému a jsou umístěny co nejblíže k cíli. Rozšířené přístupové seznamy filtrují síťovou dopravu podle zdrojové a cílové IP adresy, čísla zdrojového a cílového portu, typu protokolu, podle příznaků a dalších údajů, a umísťují se co nejblíže ke zdroji. (Bouška, 2009) Při konfiguraci ACL je nutné brát v úvahu pořadí jednotlivých pravidel v seznamu. Na počátku přístupového listu by měla být konkrétní pravidla následovaná obecnými. Každý seznam je ukončený implicitním


15

pravidlem „zakaž vše“. Vytvořené seznamy se aplikují na inbound3 nebo outbound4 provoz rozhraní. (Bouška, 2009) Jedná se o tradiční ACL označovaná jako RACL (router ACL). Mimo jiné existuje PACL (port ACL) a VACL (VLAN ACL). Pokud paketový filtr není správně implementován, lze ho poměrně snadno napadnout. Další bezpečnostní riziko spočívá v nemožnosti sledovat stav aktuálního toku síťového provozu (nepracuje se sessions), protože na jednotlivé pakety nahlíží samostatně. 3.5.2

Dynamic packet-filtering firewalls

Jedná se o nejvíce používanou firewallovou technologii. Jako příklad uvedu komerční řešení od firmy Cisco realizované pomocí technologie CBAC (Context-Based Access Control) nebo méně nákladné opensource řešení iptables. Princip fungování je podobný jako u paketového filtru, avšak rozšířený o sledování stavu síťového spojení. Pro uchování informací o stavu síťového spojení se používá stavová tabulka (state table). V tabulce jsou udržovány informace, podle kterých se firewall rozhodne, zda je paket součástí platného spojení. V případě shody dojde k předání paketu do příslušného segmentu sítě. (Watkins a Wallace, 2008) Tyto firewally pracují na síťové, transportní a relační vrstvě OSI modelu. Veškeré vstupující i vystupující pakety jsou porovnávány s položkami uloženými ve stavové tabulce. Položka v tabulce, která jednoznačně identifikuje komunikační relaci, obsahuje zdrojovou a cílovou IP adresu, čísla portů, příznaky přenosu, pořadové a potvrzené číslo a další. (Watkins a Wallace, 2008)

Obr. 3 Stavový firewall (CBAC). Převzato z publikace Watkins a Wallace (2008, s. 337, obr. 10-10)

Obr. 3 demonstruje činnost stavového firewallu. Je zde definován přístupový seznam (Inside ACL), který povoluje všem uživatelům se zdrojo3 4

V překladu znamená „směřující dovnitř“. V překladu znamená „směřující ven“


16

vou IP adresou 75.1.1.0 a maskou 255.255.255.0 komunikaci do vnější sítě (Internetu) pro všechny služby. V momentě, kdy začne uživatel s IP adresou 75.1.1.1/24 komunikovat s webovým serverem (HTTP) v Internetu, Inside ACL povolí tento provoz, do stavové tabulky se uloží záznam a dynamicky se vytvoří pravidla pro Outside ACL, která povolí návratový provoz. Tyto pravidla se z Outside ACL po uplynutí určité doby odstraní. Výhodou je, že nemusíme nechávat „díru“ z Internetu do naší vnitřní sítě, a proto dosahujeme vyšší bezpečnosti. Stavový firewall je efektivnější, výkonnější a transparentnější v porovnání se statickým. Snižuje riziko IP spoofingu a odepření služby (DoS), ale má malou prevenci proti útokům vedených přes aplikační vrstvu. Nepodporuje uživatelskou autentizaci a má problém s nestavovými protokoly UDP a ICMP. 3.5.3

Application Layer Firewalls

Filtrování provádí na 3, 4, 5 a 7 vrstvě OSI modelu, a proto dosahují vyšší úrovně kontroly síťového provozu. Nevýhodou jsou vysoké požadavky na hardware. Proxy firewally (aplikační brány) Jsou to specializované aplikace, které zajišťují komunikaci internetových protokolů (např. HTTP, FTP) mezi vnitřní chráněnou sítí a vnějším světem (Internetem). Provádí detailní kontrolu dat, vytváří záznamy, poskytují vysokou úroveň zabezpečení určitých protokolů a skrývají vnitřní síť od vnější. (Watkins a Wallace, 2008) Výhodou jejich nasazení je ochrana serverů umístěných v soukromé síti před vnější sítí a poskytnutí uživatelské autentizace a autorizace. Obvykle podporují e-mail, web služby, DNS, Telnet, FTP a LDAP. (Watkins a Wallace, 2008) Na druhou stranu mají celou řadu nevýhod. Mezi tyto nevýhody patří vysoká náročnost na použitý hardware (procesor a paměť), nižší výkon v porovnání s paketovými filtry a malá podpora protokolů. V současnosti se používají jen ve velmi specializovaných případech. Application Inspection Firewalls V marketingové terminologii jsou označeny jako firewally s hloubkovou inspekcí (deep inspection firewalls). V podstatě se jedná o stavové firewally s integrovanými funkcemi IDS (intrusion detection system) a IPS (intrusion prevention system). Mezi hlavní výhody aplikační inspekce patří kontrola aplikačních dat pro jednotlivé aplikační protokoly (např. odhalení tunelovaných aplikací) a dynamicky otevírané porty. (Noonan a Dubrawsky, 2006) V transportní vrstvě prohlíží hlavičky IP paketů a segmentů, aby určily stav spojení. V relační vrstvě kontrolují souhlas příkazů


17

uvnitř známého protokolu a rovněž ověřují, zda atributy příkazů odpovídají vnitřním pravidlům. Nevýhodou je, že aplikační inspekce podporuje pouze malé množství protokolů. Jedním z těchto protokolů je HTTP, u kterého lze zjistit, zda obsahem je opravdu html webová stránka nebo tunelovaná aplikace. V případě tunelované aplikace lze obsah blokovat nebo ukončit spojení. (Watkins a Wallace, 2008) Přestože aplikační inspekce je poměrně silné zabezpečení aplikací a služeb, má i své nevýhody. Pouze několik engine (kontrolních strojů) na sedmé vrstvě může být současně k dispozici. Nepodporuje uživatelské autentizace a s rostoucím počtem monitorovaných spojení se zvyšuje potřeba údržby stavové tabulky. (Noonan a Dubrawsky, 2006) 3.5.4

Transparentní (transparent) a směrovatelné (routed) firewally

Většina síťových firewallů jsou směrovatelné, protože působí v síťovém návrhu jako další „skok“. Oddělují chráněné sítě (trusted) od nechráněných (untrusted), směrují pakety z jedné IP podsítě do další a zkoumají data na úrovni vyšších vrstev (tj. od síťové vrstvy). Nelze filtrovat pakety mezi hosty umístěnými ve stejném LAN segmentu. (Frahim a Santos, 2006)

Obr. 4 Směrovatelný firewall. Převzato z publikace Frahim a Santos (2006, s. 321, obr. 10-1)

Transparentní firewall umožňuje filtrovat provoz již na druhé vrstvě OSI modelu a mezi hosty ve stejném LAN segmentu. IP adresa se přiděluje pouze pro management. (Frahim a Santos, 2006)


18

Obr. 5 Směrovatelný firewall. Převzato z publikace Frahim a Santos (2006, s. 322, obr. 10-2)

3.6

Firewallové technologie Cisco

Dříve, než začneme popisovat jednotlivé Cisco technologie, je nutné seznámit se s IOS (Internetwork Operating System) softwarem pro směrovače. IOS software je operační systém, který je součástí většiny síťových zařízení firmy Cisco. Do verze IOS 12.3 byl používán nepřehledný způsob značení (kombinace písmen a čísel). Od této verze je používána nová metoda pojmenování „IOS Packaging“, která snížila množství verzí na jedno zařízení.

Obr. 6 IOS Packaging. Cisco IOS Packaging, Product Bulletin No. 2160. Dostupné na webových stránkách [online] (obr. 1)

Každý package (balíček) zahrnuje velké množství vlastností. Například Advanced Security obsahuje Cisco IOS firewall, IPSEC, 3DES, VPN a SSH. Pomocí vhodného package IOS lze realizovat Classic firewall (dříve známý jako CBAC) a Zone-based policy firewall (ZFW), kterými se budeme nadále zabývat. Kromě softwarových firewallů lze realizovat speciální firewally použitím hardwarového bezpečnostního zařízení Cisco ASA.


3.6.1

19

Rozdíl mezi Classic a Zone-based policy firewallem

Oba dva provádí stavovou a aplikační inspekci. Hlavní rozdíl spočívá ve způsobu konfigurace jejich politik. U Classic firewallu je politika určena statickými ACL na rozhraní směrovače a aplikováním politiky „ip inspect“ pro povolení požadovaného návratového provozu. Nevýhodou je, že při velkém počtu ACL je realizace tohoto firewallu poněkud obtížná. Zone-based policy firewall je oproti Classic více přizpůsobivý a jednoduší na pochopení. Rozhraní směrovače jsou přiřazena do bezpečnostních zón a inspekční politika je aplikována na síťový provoz mezi zónami. Jednotlivé inspekční politiky mohou být aplikovány na hosty, skupinu hostů nebo podsítě. Implementací mezizónové politiky dosáhneme značné flexibility a členitosti. (Cisco Systems, 2006) 3.6.2

Classic firewall

Classic firewall posiluje bezpečnost aplikací TCP a UDP, které pracují s well-known5 porty. Udržuje a zkoumá stavové informace k jednotlivým sessions (relacím), podle kterých pak vytváří dočasný průchod v ACL firewallu a umožňuje tak průchod návratového provozu. Pro zajištění bezpečnosti využívá filtrování a inspekci dopravy, výstrahy a záznamy a v omezené míře detekci vniknutí. (Chapman a Fox, 2004) Dříve bylo filtrování síťového provozu závislé pouze na implementaci ACL, které prověřovaly pakety v síťové, nanejvýš transportní vrstvě, ale nyní je rozšířeno o prověřování informací v protokolech aplikační vrstvy za účelem získání údajů o stavu session. (Watkins a Wallace, 2008) Inspekce dopravy slouží pro zjišťování a údržbu stavových informací v TCP a UDP relacích. Tyto informace jsou použity pro vytvoření dočasných pravidel v ACL, aby povolily návratový provoz. Výhodou stavových informací je účinná obrana proti záplavě SYN a určitým typům útoků s odepřením služeb. Vykonává kontrolu pořadových čísel paketů ve spojeních TCP a sleduje, zda spadají do očekávaného intervalu. Při vysoké rychlosti vzniku nových spojení vydává výstražné zprávy. (Watkins a Wallace, 2008) Sledování záznamů a výstrah má podstatný význam, protože můžeme pozorovat statistiky využití jednotlivých pravidel, pokusy o útoky, a získávat tak informace vedoucí k vytvoření lepší bezpečnostní politiky. Detekce vniknutí poskytuje ochranu proti omezenému množství útoků, např. dokáže rozeznat určité druhy SMTP útoků. (Cisco Systems, 2009)

5

Porty v rozsahu 0 až 1023.


20

Obr. 7 zobrazuje princip fungování firewallu. Na portu S0 je konfigurován inbound ACL tak, aby blokoval veškerý provoz. Port E0 nemá implementován ACL. V případě, že uživatel1 bude chtít navázat ftp spojení do vnější sítě, musí síťový provoz nejdříve projít přes firewall a následně vytvoří dočasné pravidlo v inbound ACL na portu S0 pro povolení návratového provozu.

Obr. 7

Klasický firewall

Na portu E0 je aktivovaná inspekce jednotlivých paketů, která v řídícím kanálu rozpoznává jednotlivé příkazy, detekuje určité útoky proti aplikacím a dokáže jim také předcházet. TCP pakety, jejichž pořadová čísla nespadají do očekávaného intervalu, okamžitě zahodí. Při podezření z útoku odepření služeb (DoS) nastupuje zvláštní funkce, která může generovat varovné zprávy, chránit systémové prostředky a blokovat pakety od podezřelých útočníků. V konfiguraci firewallu pomocí inspekce můžeme sledovat tyto druhy relací:  veškeré relace TCP,  veškeré relace UDP. Lze sledovat i přesně definované protokoly: FTP, H.323, HTTP (blokování jazyka Java), Microsoft NetShow, unixové příkazy typu R (jako rlogin, rexec a rsh), RealAudio, RTSP (Real Time Streaming Protocol), SMTP, SQL*Net, StreamWorks, TFTP a VDOLive. Při kontrole určitého protokolu je provedena inspekce v jeho řídícím kanálu, sleduje stavové informace a povoluje zpětný průchod firewallem pouze těm paketům, které jsou součástí povolené relace. (Chapman a Fox, 2004) 3.6.3

Zone-based policy firewall

Použití tohoto firewallu je mnohem jednodušší na pochopení a řešení problémů souvisejících s bezpečnostní politikou. Výhodou je, že odstraňuje závislost na ACL a podporuje většinu firewallových vlastností implementovaných v předchozích verzích. Umožňuje stavovou a aplikační


21

inspekci, podporuje VPN, URL filtrování a obranu proti útokům s omezením přístupu služeb (DoS). Implicitní politika je „zakázat vše“ (deny-all). Pro definování firewallové politiky používá jasnější příkazy a je tvořena ACL pro jednotlivé hosty či podsítě, protokoly, aplikačními službami a aplikačně specifickými politikami.

Obr. 8 Zone-based policy firewall. Dostupné na webových stránkách [online]

Na obrázku 7 jsou názorně vybarveny demilitarizované zóny. Do jednotlivých zón se přiřazují rozhraní, které mají podobné bezpečnostní požadavky. Samostatná zóna je hranice sítě, na které bývá omezena doprava, pokud míří do jiného segmentu sítě. Zásady pro práci se zónami:  Zónu lze přiřadit k rozhraní až po její konfiguraci.  Každé rozhraní může být přiřazeno pouze k jedné bezpečnostní zóně.  Po přiřazení zóny k rozhraní je veškerý provoz inbound a outbound daného rozhraní implicitně blokován.  Rozhraní, která jsou členem stejné zóny, mají implicitně povolený provoz.  Pro povolení provozu inbound a outbound zónového rozhraní a vykonání inspekce je nutné konfigurovat politiku mezi jednotlivými zónami.  Provoz mezi rozhraními, která nejsou členy zón, může proudit bez problému, není-li např. ACL.  Provoz nesmí proudit mezi zónovým rozhraním a jakýmkoliv jiným rozhraním, které není členem zóny. Akce pass, inspection a drop mohou být aplikovány pouze mezi dvěma zónami.


22

 Rozhraní, které není přiřazené k zóně, funguje jako klasický port směrovače.  Pro provoz mezi veškerými rozhraními směrovače je nutné, aby byly součástí definovaných zón. (Watkins a Wallace, 2008) Základem zónové politiky firewallů je implementace zónových párů. Zónový pár je tvořen zdrojovou a cílovou zónou, které definují směr toku provozu. Zdrojová a cílová zóna nikdy nemůže být stejná. K jednotlivým zónovým párům jsou přiřazeny policy mapy pro řízení a inspekci sítového provozu. Policy mapy zahrnují class mapy a k nim přiřazené akce pass, inspection a drop. Class mapy slouží pro výběr sítového provozu. Pro řízení provozu mezi směrovačem a jinou zónou používáme self-zone, avšak obvyklejší je řídit provoz, který prochází skrz firewall. Obr. 9 ukazuje zónový pár pro aplikaci jednosměrné firewallové politiky ze zóny Z1 (zdrojová) do zóny Z2 (cílová). Pro vytvoření bezpečnostní zónové firewallové politiky potřebujeme class mapy, policy mapy a parameter mapy.(Watkins a Wallace, 2008)

Obr. 9 24)

Zónový pár. Převzato z publikace Watkins a Wallace (2008, s. 376, obr. 10-

Class mapa stanovuje provoz, který si firewall vybírá pro aplikační inspekci. Výběr se děje na základě shody podle vybraných kritérií. Do těchto kritérií se řadí:  standardní, rozšířený a pojmenovaný seznam,  protokoly čtvrté vrstvy (UDP, TCP), ICMP a aplikační služby (např. HTTP, SMTP, DNS),  jiné class mapy,  žádná kritéria. Důležitou úlohu při porovnávání kritérií hrají operátory match-any a match-all. V případě operátoru match-any stačí, aby došlo ke shodě alespoň v jednom srovnávacím kritériu class mapy. Naproti tomu u operátoru match-all musí dojít ke shodě se všemi uvedenými kritérii.


23

Obr. 10 ukazuje příklad jednoduché class mapy. Je nutné si uvědomit, že při definici class mapy se uvádí nejdříve inspekce speciální (např. HTTP, FTP, atd.) a potom obecné (TCP, UDP, atd.). (Cisco Systems, 2007)

Obr. 10 Ukázka class mapy

Pomocí parameter map lze určit parametry, které budou aplikovány na tříděný provoz. Existuje několik typů:  Inspekční parameter mapa – volitelná mapa. Bez konfigurace používá defaultní parametry. V případě nastavení jednotlivých parametrů mají přednost tyto parametry před defaultními.  URL filtr parameter mapa – slouží pro URL filtrování.  Protokolově specifická parameter mapa – je požadována pro IM (instant messaging) aplikace. Na vybraný provoz z jedné zóny do druhé lze pomocí policy mapy aplikovat tři druhy akcí, inspect, pass a drop. Inspect monitoruje outbound provoz a předvídá návratový provoz. Po zvolení akce drop dojde k upuštění paketu a při akci pass dojde k průchodu. (Cisco Systems, 2007) Kromě výše uvedených L3/L4 politik je možné aplikovat i politiku L7, která je dobrovolná a obvykle aplikována pro důkladnější kontrolu aplikací jako jsou http, smtp apod. Pro konfiguraci Zone-based policy firewallu provedeme následující kroky:  určení zón,  určení zónových párů,  určení class map,  určení policy map,  aplikace policy map k zónovým párům,  přiřazení jednotlivých rozhraní k zónám. (Cisco Systems, 2007) Pro konfiguraci výše uvedených kroků se používá Cisco Policy Language (CPL). Sekvence kroků není důležitá, ale některé události musí být provedeny dříve. Například nelze přiřadit class mapu k policy mapě, dokud nebude vytvořena.


24

3.7 Cisco ASA (adaptive security appliance) firewall edition Jedná se o speciální hardwarové bezpečnostní zařízení. Jádro tohoto firewallu tvoří pokročilá stavová a aplikační inspekce. Stavová inspekce je založena na použití Adaptive security algorithm (adaptivní bezpečnostní algoritmus). Provádí hloubkou analýzu toku dat na aplikační vrstvě pro desítky protokolů. Zajišťuje silnou ochranu web služeb, FTP, SMTP, ESMTP a protokolů přenášejících hlas přes IP. ASA používá tři databáze:  ACL - používá se pro autentizaci a autorizaci spojení založené na specifikaci sítí, uzlů a služeb (TCP/UDP portů).  Inspekcí - obsahuje statické, předefinované funkce opravy protokolů (application-level inspection).  Spojení (XLATE a CONN tabulky) - udržují stavové a další (např. překlad adres) informace o každém navázaném spojení.

Obr. 11 Základní funkce ASA. Převzato z webových stránek [online] (obr. 40-1)

Funkce adaptive security appliance : 1.

Po přijetí TCP SYN paketu je ustanoveno nové spojení.

2. 3.

Provede ověření oproti ACL databázi, jestli je spojení povoleno. Vytvoří nový záznam do databáze spojení (XLATE a CONN tabulka).


25

4.

Zkontroluje databázi inspekcí k určení, zda je potřeba vykonat application-level inspection.

5.

Poté, co engine vykoná veškeré operace související s aplikační inspekcí, provede předání paketu k cílovému systému. Cílový systém odpoví na požadavek.

6. 7.

Po přijetí návratového paketu dojde k prohledání databáze spojení a předání paketu ke zdrojovému systému. (Cisco Systems, 2008)

Úrovně zabezpečení (security levels) Každé rozhraní má přiřazeno tzv. úroveň zabezpečení. Tato úroveň stanovuje, jestli dané rozhraní považujeme ve vztahu k jinému rozhraní za vnitřní (důvěryhodné) nebo vnější (nedůvěryhodné). Platné úrovně zabezpečení se pohybují v intervalu 0 až 100:  Úroveň zabezpečení 100. Je to nejvyšší úroveň zabezpečení, která se používá u vnitřního rozhraní. Označuje maximálně důvěryhodné rozhraní.  Úroveň zabezpečení 0. Je to nejmenší možná úroveň zabezpečení. Používá se u vnějšího rozhraní a označuje maximálně nedůvěryhodné rozhraní.  Úroveň zabezpečení 1 - 99. Používá se pro další rozhraní např. demilitarizovaná zóna (DMZ). (Aprias, Kuča, 2005) Pravidla pro posílání dat mezi rozhraními různé úrovně zabezpečení:  Data odesílaná z rozhraní vyšší úrovně do rozhraní s nižší úrovní. Veškerá komunikace smí procházet, pokud není omezena (např. ACL).  Data odesílaná z rozhraní nižší úrovně do rozhraní s vyšší úrovní. Implicitně je průchod sítového provozu zakázán. Lze ho povolit použitím např. ACL.  Data odesílaná mezi rozhraními stejné úrovně zabezpečení. Průchod síťového provozu je zakázán. Povolení je možné zadáním příkazu: same-security-traffic permit inter-interface. (Aprias, Kuča, 2005) ICMP komunikace je implicitně zakázána. Dalším omezením je, že paket nemůže odejít ze stejného rozhraní, ze kterého byl přijat. Toto omezení lze zrušit zadáním příkazu: same-security-traffic permit intrainterface. Modular Policy Framework (MPF) Poskytuje logický a flexibilní způsob konfigurace aplikační inspekce a QoS funkcí. Je podobný CPL. Pro vytvoření inspekční politiky je nutné provést následující kroky:


26

 Vybrat sítové provozy pro inspekce.  Vytvořit politiky pro vybrané síťové provozy (tzn. zvolit akce).  Aktivovat politiky na rozhraní. Pro definování jednotlivých kroků se využívá: class-map, policy-map a service-policy.

3.8 Opensource řešení iptables Nástroj iptables je součástí zdrojového balíku netfilter. V Linuxu se používá od verze jádra 2.4, oproti předchozí verzi je méně složitý a zjednodušuje proces zpracování datagramů. Program iptables slouží k nastavení filtračních pravidel mechanismu netfilter. Jeho implementací je možné vytvořit klasický paketový filtr nebo stavový firewall. Jedná se o poměrně silný firewall, který je zdarma. (Milanov, 2006) Každý paket prochází systémem řetězů (chainů), které tvoří filtrovací tabulku. V první fázi se snaží jádro rozhodnout, jestli je paket určen pro lokální stanici. Pokud ano, podrobuje se testu s pravidly umístěnými v INPUT řetězu. V opačném případě je podroben testu pravidly ve FORWARD řetězu. Každý paket, který vychází z místního procesu, je ověřován oproti OUTPUT řetězu. Celý proces názorně popisuje obr. 12. (Purchart, 2008)

Obr. 12 Zpracování paketu v IPTABLES. Převzato z bakalářské práce Purcharta (2008, str. 15, obr. 2.1.)

Každý uvedený řetěz zahrnuje seznam pravidel definujících, co s daným paketem provést. Při shodě s některým z uvedených pravidel dochází k jedné ze tří akcí: accept, drop a reject. Akce accept paket propustí, drop zahodí a reject rovněž paket zahodí, ale pošle ICMP chybové hlášení. Jako výchozí politiku je vhodné zvolit „zahazování paketů“, tzn., pokud nedojde ke shodě s některým pravidlem, bude upuštěn. (Petříček, 2001)


27

Ukázka použitého pravidla: iptables -A OUTPUT -i eth1 -p TCP -s 192.168.0.1 --sport 3000 --d 192.168.0.2 --dport 25 -j DROP Pravidlo provede akci drop (zahoď) u TCP segmentu v OUTPUT řetězu, který bude opouštět firewall přes rozhraní eth1 se zdrojovou adresou 192.168.0.1 (port 3000) a cílovou adresou 192.168.0.2 (port 25). Při realizaci stavového firewallu je každý zkoumaný datagram zařazen do některé z uvedených kategorií:  NEW – datagram otevírá novou komunikaci,  ESTABLISHED, RELATED – datagram je součástí již navázaného spojení,  INVALID – datagram není součástí žádného spojení nebo zůstal neidentifikovaný.(Petříček, 2002) Z výše uvedeného třídění také vyplývá způsob zpracování datagramů. V případě nové komunikace, dojde k uložení informací o spojení do stavové tabulky. Je-li součástí již navázaného spojení, projde bez prověření. V kategorii INVALID dojde k zahození. 3.9

Bezpečnostní politika

Důležité je písemně sepsat bezpečnostní politiku organizace, ve které definujeme zabezpečení podnikových zdrojů. Politika se skládá z mnoha individuálních bezpečnostních politik, které jsou adresně sepsány pro specifické objekty, zařízení a problémy. Cílem je definovat, které potřeby budou chráněny, kdo je odpovědný za jejich ochranu a případně určit, jak bude realizována. Realizace ochrany je obvykle uvedena v samostatné dokumentaci, která nejčastěji zahrnuje vstupní a výstupní filtrování a řízení přístupu. Cílem není vytvořit reálnou konfiguraci, která je nutná k běhu, ale definovat bezpečnostní cíle. Takto určená politika je přenositelná mezi různými platformami. 3.9.1

Efektivní tvorba firewallové politiky

Při vytváření firewallové politiky je vhodné se řídit následujícími doporučeními: (Watkins a Walance, 2008)  Zakázat veškerou dopravu a povolit pouze služby absolutně nezbytné k činnosti podniku.  Snažit se pochopit, které informace uživatelé potřebují a dát jim přístup pouze k těmto informacím (zdrojům).  Odstranit nepotřebná a nadbytečná pravidla z konfigurace firewallu.


28

 Fyzický přístup k zařízení by měl být řízený a povolený pouze odpovědným administrátorům.  Vytvořit seznam protokolů, který je potřebný pro podporu podnikových operací při spojení s jinými sítěmi a podsítěmi a povolit je. Není účelné mít zapnutou inspekci protokolů, které v síti nevyužíváme.  Musí být zabezpečena komunikace se syslog serverem před zneužitím útočníky.  Je vhodné vytvořit demilitarizované zóny, abychom omezili přístup k definovaným zónám.  Nelze používat firewall jako pracovní stanici nebo server. Měli by být zakázané nebo odinstalované veškeré nezbytné služby, nepoužívané management nástroje a software na firewallu.  Programy jako antivirus, obsahové filtrování, VPN, DHCP a autentizace serveru by měly běžet na jiných vyhrazených systémech za firewallem.  Nastavit limity spojení, které nám pomůžou zmírnit červy a jiné automatizované útoky.  Vytvořit firewallové účty pro jednotlivé administrátory a definovat jejich pravomoci. Při přihlašování použít silné heslo nebo jiné druhy zabezpečení.  Kombinovat paketové filtrování ve spojení se stavovou, protokolovou a aplikační inspekcí.  Instalovat aktualizaci software a provádět záplaty operačního systému a aplikací.

Analýza sítě

29

4 Analýza sítě Na sepsání této kapitoly se podíleli Milan Filla a Jan Kejda. Výše jmenovaní vytvořili, realizovali a odzkoušeli následně uvedené experimentální topologie v síťové laboratoři ÚI PEF. Jednotlivá zapojení budou sloužit pro modelovou simulaci středně velké počítačové sítě (dále jen střední síť) a především k realizaci zabezpečení. V rámci zabezpečení řeší ve své bakalářské práci Milan Filla Cisco firewally a Jan Kejda IPS/IDS systémy. Kapitola Analýza sítě bude součástí těchto bakalářských prací:

 Filla M. Realizace firemního firewallu s použitím Cisco technologií. Bakalářská práce. Brno, 2010.  Kejda J. Integrace IDS/IPS systému na bázi open source a komerčních technologií. Bakalářská práce. Brno, 2010.

4.1 Požadavky na firemní síť Požadavky byly stanoveny následovně:  Jedná se o fiktivní síť střední velikosti (v našem případě cca 100 uživatelů).  Nepředpokládáme její přesné zaměření.  Zabezpečení je realizováno pomocí Cisco firewallu a IPS/IDS systému.  Správu této sítě má na starosti jeden IT pracovník.  Je trvale připojena k Internetu.

4.2 Metodika návrhu topologie U metodiky PPDIOO podle Huttona a spol. tvoří návrh topologie tyto tři základní kroky:  Zjištění uživatelských požadavků. Cílem je určit alespoň prvotní požadavky.  Rozbor již existující sítě. Popsat současný stav sítě a provést její analýzu a audit.  Návrh síťové topologie a řešení. Jde o detailní návrh síťové infrastruktury, služeb a síťových řešení (např. VOIP). (Hutton a spol., 2009) V našem případě se zabýváme pouze definováním uživatelských požadavků a návrhem síťové topologie a řešení. Druhý krok návrhu je vynechán, protože nemáme existující síť.

Analýza sítě

30

4.3 Analýza IT infrastruktury Pro počítačovou síť střední velikosti je nutné vytvořit IT infrastrukturu. U naší sítě nebudeme předpokládat přesnější zaměření, a proto se budeme snažit vytvořit co nejobecnější a nejuniverzálnější návrh. Je to z toho důvodu, že požadavky na IT infrastrukturu jsou v různých podnicích s různými zaměřeními odlišné. Skupiny uživatelů Uživatelé naší střední sítě jsou rozděleni do čtyř skupin:  Internet (pracovní stanice, servery, atd.),  oddělení „A“,  oddělení „B“,  IT technik starající se o správu sítě. Výše uvedená oddělení („A“ i „B“) slouží především pro názornou ukázku škálovatelnosti jednotlivých uživatelů sítě do různých skupin, ke kterým je možné přiřadit různé bezpečnostní politiky. Z výše uvedeného rozdělení vyplývají požadavky jednotlivých skupin na serverové služby a bezpečnostní politika (kdo kam má přístup, jaký datový tok odkud kam může téct). Uživatelské požadavky Je nutné povolit komunikaci z Internetu pro webový server, který reprezentuje zájmy firmy, zajistit dopravu e-mailových zpráv a činnost DNS serveru, pro překlad doménových jmen, umožňujícího dostupnost těchto služeb. Pracovníci z oddělení „A“ a „B“ mají povolený přístup k webovým serverům v Internetu, internímu a externímu webovému serveru firmy a elektronické poště. Instant messaging, jako významný komunikační prostředek, bude povolen. Poslední skupinu tvoří správce počítačové sítě, který má povolený přístup ke všem síťovým prvkům (včetně všech provozovaných serverů ve střední síti). Provádí konfiguraci, monitoring a údržbu sítě. Služby V následujícím textu si uvedeme serverové služby, které budou aplikovány ve střední síti. Firma bude provozovat externí a interní webový server (HTTP nebo HTTPS). Rovněž dojde k implementaci interního a externího e-mail serveru a DNS (pro převod doménových jmen a IP adres). Rozdělení DNS a e-mail serveru na dva samostatné servery, které spolu komunikují, je za účelem dosažení vyšší bezpečnosti počítačové sítě (Northcutt a spol., 2005). Jinou možností, jak realizovat DNS a do-

Analýza sítě

31

sáhnout vyšší úrovně zabezpečení, než při použití pouze jednoho serveru, je využití tří serverů nebo realizace „split DNS“. Vzhledem k vyššímu počtu uživatelů ve střední síti je vhodné zavést centrální správu uživatelů pro sdílení přihlašovacích údajů a hesel. Centrální správa je realizována pomocí adresářového serveru Active Directory (další možností např. OpenLDAP), které jsou založené na protokolu LDAP. Snadnější administrativu nám umožňuje DHCP server, který přiděluje jednotlivým pracovním stanicím údaje potřebné pro připojení do sítě. Další možností, jak realizovat DHCP, je jeho implementace ve směrovacím zařízení nebo L3 přepínači. V neposlední řadě nesmí chybět LOG server (syslog) pro záznam zpráv z jednotlivých síťových zařízení (včetně serverů).

4.4 Návrh topologie Z důvodů dosažení vyšší bezpečnosti jsou implementovány bezpečnostní zóny. Bezpečnostní zóna je logická skupina prostředků (systémů, sítí nebo procesů), které vykazují podobný stupeň rizika. Naše experimentální síť je rozdělena do pěti zón, které budou následně popsány. (Northcutt a spol., 2005) DMZ „vnější servery“ obsahuje servery, které poskytují informace veřejnosti a jsou dostupné z Internetu. DMZ „vnitřní servery“ obsahuje servery firmy, k nimž smí přistupovat pouze vnitřní uživatelé ze zóny firemních pracovních stanic. V „INSIDE“ jsou umístěny pracovní stanice zaměstnanců firmy a v „OUTSIDE“ (Internetu) pracovní stanice, servery, atd. Zóna „MANAGEMENT“ slouží pro správu a údržbu sítě a obsahuje kriticky důležité servery. V DMZ „vnější servery“ poběží tyto služby:  externí webový server (HTTP nebo HTTPS),  e-mail server (SMTP a POP3),  externí DNS. Externí DNS je konfigurovaný jako server pro předávání. Řeší dotazy, které se týkají externích názvů DNS. Odesílá požadavky na jejich vyřešení do Internetu. Na externí e-mail server se doručuje pošta z Internetu. Odtud si ji stahuje vnitřní e-mail server. V DMZ „soukromé servery“ poběží stejné služby jako v DMZ „vnější servery“ s tím rozdílem, že jsou určeny pro vnitřní uživatele a rozšířeny o DHCP a NTP server, který slouží pro synchronizaci času veškerých počítačů. Interní DNS server přeposílá dotazy, které se týkají externích názvů DNS na DNS server pro předání. V „MANAGEMENT“ zóně poběží LOG, adresářový server Active Directory, Radius server slouží k ověření uživatelů z bezdrátové sítě a počítačová stanice pro správu sítě. V „IN-

Analýza sítě

32

SIDE“ zóně jsou umístěny pracovní stanice pro zaměstnance jednotlivých oddělení. Jednotlivé prvky sítě jsou přiřazeny do virtuálních LAN nebo sítí. Adresy jsou použity z privátního adresního prostoru IPv4 třídy A 10.0.0.0/8, kde první dva oktety zůstávají stejné (10.0.X.X), třetí oktet slouží pro rozlišení virtuální LAN či sítě a maska je 255.255.255.0 (/24). Adresa pro výchozí bránu vždy končí jedničkou. Seznam použitých virtuálních LAN (VLAN) v experimentální topologii:  VLAN ID: 10. Obsahuje vnější servery firmy. Použitá adresace: 10.0.10.0/24.  VLAN ID: 20. Obsahuje vnitřní firemní servery. Použitá adresace: 10.0.20.0/24.  VLAN ID: 30. Zahrnuje pracovní stanice oddělení „A“. Použitá adresace: 10.0.30.0/24.  VLAN ID: 40. Zahrnuje pracovní stanice oddělení „B“. Použitá adresace: 10.0.40.0/24.  VLAN ID: 97 a 98. Nativní VLAN, které slouží pro ovládání sítových zařízení. Použitá adresace: 10.0.97.0/24 a 10.0.98.0/24. Použité sítě v experimentální topologii:  Adresy 10.0.50.0/24 a 10.0.60.0/24 jsou nutné pro připojení zařízení Cisco Catalyst 3750.  Pro „MANAGEMENT“ zónu je použita adresace 10.0.99.0/24, ve které jsou umístěny kriticky důležité servery a počítače správce sítě.  Adresa 193.1.1.1/24 slouží pro připojení do Internetu. Poslední uvedená IP adresa je veřejná. Na tuto IP adresu jsou překládány všechny adresy veřejných serverů a pracovních stanic z „INSIDE“ zón, pokud vyžadují komunikaci s Internetem. Samotný překlad je realizován na firewallu pomocí technologie NAT. Tato technologie je i součástí firewallu, oddělujícího „MANAGEMENT“ zónu, aby zajistila vyšší bezpečnost. Pro posílání záznamů z jednotlivých serverů na LOG server bude použito šifrované spojení realizované pomocí VPN tunelu. Servery poskytující služby budou VPN klienti a log server v „MANAGEMENT“ zóně bude VPN server. Tato implementace budu realizována pomocí OpenVPN. Pro zajištění směrování v síti je nakonfigurovaný dynamický směrovací protokol RIP verze 2. K tomuto kroku nás vedla jeho snadná a rychlá implementace.

Analýza sítě

Obr. 13 Topologie s Cisco Router 2811.

33

Analýza sítě

34

Obr. 14 Topologie s Cisco ASA 5510.

Obr. 13 zachycuje topologii, kde nejdůležitějším prvkem je směrovač s integrovanými službami (ISR) od firmy Cisco nebo Linux stroj. Na obrázku 14 tvoří hlavní prvek topologie speciální zařízení pro zabezpečení Cisco ASA.

Analýza sítě

35

Takto navržené síťové topologie jsou schopné pojmout přibližně sto uživatelů po ethernetu. Pro navýšení kapacity uživatelů je možné připojit další přepínače k Cisco Catalyst 3750. Přepínač Cisco Catalyst 3750 je poměrně drahý, a proto je možné ho nahradit Catalystem 3650, který by měl postačovat. Síť lze rozšířit o bezdrátové připojení.

4.5 Použitý hardware Výčet veškerého použitého zařízení při realizaci zapojení experimentálních topologií. Síťové prvky  1 x Cisco 2811-HSEC/K9  1 x Cisco 2811-SEC/K9  1x Cisco ASA 5510 IPS Edition (ASA5510-AIP10-K9)  4x Cisco C2960-24TT-L (WS-C2960-24TT-L)  1x Cisco C3750-24PS-E (WS-C3750-24PS-E) IP Services Image (EMI)  1x Dell PowerEdge SC1435 Servery a klientské počítače Pro realizaci serverů a klientských počítačů byly použity stolní počítače výukové části laboratoře Q 01.48 ÚI PEF Mendelovy univerzity s těmito parametry: dvoujádrový procesor s frekvencí 1,8 MHz, operační paměť o velikosti 512 MB, pevný disk s kapacitou 80 GB a síťová karta.

4.6 Použité operační systémy Operační systémy Microsoft Windows jsou nasazeny na pracovní stanice zaměstnanců a vedoucích. Servery běží na distribucích Linuxu, konkrétně CentOS a Ubuntu. Síťové prvky firmy Cisco mají implementován IOS (Internetwork Operating System).

4.7 Přístup ke službám „MANAGEMENT“ zóna  Pracovní stanice správce sítě bude mít přístup ke všem síťovým zařízením pro jejich konfiguraci a údržbu.  LOG server bude sbírat vybrané generované zprávy z jednotlivých sítových zařízení (kromě běžných pracovních stanic) a serverů. Jednotlivé logy ze serverů budou posílané po šifrovaném VPN tunelu.

Analýza sítě

36

 Adresářový server Active Directory bude sloužit pro sdílení přihlašovacích údajů a hesel pro vnitřní uživatele, tj. zaměstnance a vedení podniku. „INSIDE“ zóna  Oddělení „A“ a „B“ má přístup ke všem službám na firemních serverech a do „OUTSIDE“ zóny (Internetu) pouze pro webové servery a Instant Messaging (konkrétně MSN).  Veškerá komunikace do této zóny je zakázána. Povolena je pouze návratová doprava. „OUTSIDE“ zóna  Vnější uživatelé mají povolenou komunikaci pouze se servery umístěnými v DMZ „veřejné servery“.  Komunikace do ostatních zón je zakázána. DMZ „vnější servery“  Jakákoliv doprava iniciovaná v této zóně a směřující do „INSIDE“ zóny je zakázána.  Komunikace do „OUTSIDE“ je povolena pouze pro dopravu související s DNS nebo Email. DMZ „soukromé servery“  Jakákoliv doprava iniciovaná v této zóně a směřující do „INSIDE“ zóny je zakázána.  Obvykle doprava mezi demilitarizovanými zónami je zakázána. V našem případě bylo potřeba pro vyšší zabezpečení rozdělit server pro DNS a elektronickou poštu do dvou demilitarizovaných zón.  Je povolena pouze doprava iniciovaná v této zóně související s elektronickou poštou a DNS do DMZ „vnější servery“.

Vlastní řešení

37

5 Vlastní řešení Pro konfiguraci hraničního firewallu byly použity následující zařízení:  Cisco router 2811,  Cisco ASA 5510 Firewall edition. Na routeru 2811 běží IOS software verze 12.4(15)T7 s balíčkem Advanced Security, který podporuje Cisco IOS Firewall (Classic a ZFW). ASA 5510 Firewall Edition obsahuje image verze 8.0. Cisco router 2811 Pro konfiguraci zařízení jsme zvolili příkazový řádek (zkratka CLI, anglicky Command Line Interface) a grafickou utility SDM (Security Device Manager). Jedna z možností, jak získat přístup k příkazovému řádku je využití konzoly6. Pro tento druh spojení použijeme program Putty. Pro běh grafické utility SDM verze 2.5 je požadován operační systém Windows (XP Professional, Vista Business Edition, 2003 Server Standart Edition nebo 2000 Professional), Sun Java Runtime Environment (1.5_09, 1.4.2_08, 1.5.0_06, 1.5.0_07, 1.6.0_02 a 1.6.0_03) a webový prohlížeč Firefox verze 1.0.6 a vyšší nebo Internet Explorer 5.5 a vyšší. Je nutné, aby webový prohlížeč měl vypnuté blokování vyskakovacích oken. Cisco ASA 5510 Firewall Edition Prostředky pro konfiguraci zařízení zůstávají stejné. Změna je v použité grafické utilitě. SDM je nahrazeno za ASDM (Adaptive Security Device Manager) verze 6.0.2. Liší se požadavky na operační systém a webový prohlížeč (obr. 15).

. Obr. 15 Požadavky na webový prohlížeč a operační systém. Převzato z webových stránek .

Provedeme propojení mezi routerem (konzolový port) a pracovní stanicí (COM port) pomocí rollover kabelu. 6

Vlastní řešení

38

5.1 Průvodce konfigurací IOS firewallů Před samotnou konfigurací firewallů provedeme pomocí příkazového řádku základní konfiguraci routeru. Nastavíme jednotlivá rozhraní, statické cesty a překlady IP adres (NAT), viz příloha A. Pro připojení k zařízení přes grafickou utilitu SDM je nutné spustit šifrovaný HTTPS server a vytvořit uživatelský účet. Router(config)# username sdm privilege 15 password sdm – Vytvoří účet s uživatelským jménem sdm a heslem sdm. Router(config)# ip http secure-server – Spustí HTTPS server. Router(config)# ip http authentication local – Autentizace (ověření identity) bude provedena pomocí uživatelského jména a hesla. Základem konfigurace firewallu je přiřazení jednotlivých rozhraní do zón. Zóna obsahuje systémy, které mají podobné bezpečnostní požadavky. Vymezení jednotlivých zón:  Rozhraní FastEthernet 0/1 - Je přiřazeno do zóny pojmenované jako „INSIDE“. Do této zóny spadá celá síť připojená přes Cisco Catalyst 3750, tj. VLAN 30 (oddělení „A“), VLAN 40 (oddělení „B“) a celý segment „MANAGEMENT“ vystupující „navenek“ pod IP adresou 10.0.60.1.  Rozhraní FastEthernet 0/0 - Je přiřazeno do zóny pojmenované jako „OUTISIDE“, která slouží pro připojení do Internetu.  Rozhraní FastEthernet 0/0/0.10 - Je přiřazeno do zóny s názvem „DMZVS“, do které spadají veřejné servery umístěné ve VLAN 10.  Rozhraní FastEthernet 0/0/0.20 - Je přiřazeno do zóny s pojmenováním „DMZSS“, do které spadají soukromé servery umístěné ve VLAN 20.  Rozhraní FastEthernet 0/0/0.97 - Je přiřazeno do zóny s označením „SSW“, která zahrnuje VLAN 97 vyhrazenou pro správu switche, který připojuje jednotlivé servery.  Zóna pojmenovaná jako „SELF“ zahrnuje samotný firewall. Vyskytuje se pouze u ZFW. Průvodce konfigurací firewallu je pro Classic i ZFW firewall stejný. Pro jeho spuštění v SDM vybereme po přihlášení do routeru v horní liště tlačítko Configure, poté na panelu vlevo tlačítko Firewall and ACL. Za-

Vlastní řešení

39

škrtneme Advanced Firewall7 a spustíme průvodce nastavením (obr. 16).

Obr. 16 Úvodní dialogové okno průvodce konfigurací firewallu

V prvním kroku nastavení nás průvodce informuje o tom, jak bude tvořit vlastní zabezpečení. Pomocí tlačítka Next > přejdeme k dalšímu dialogovému oknu, ve kterém přiřadíme jednotlivým rozhraním „důvěryhodnost“ (inside, outside, dmz) obr. 17.

Další možností je volba Basic Firewall, která ovšem nepodporuje demilitarizované zóny. 7

Vlastní řešení

Obr. 17 Volba trusted rozhraní

40

Vlastní řešení

41

Na obrázku 17 jsou přiřazena pouze tři rozhraní, a to rozhraní 0/0 (Internet), rozhraní 0/1 (vnitřní síť) a 0/0/0.10 (demilitarizovaná zóna obsahující veřejné servery). Další rozhraní nejsou vybrána, protože by nebylo možné vytvořit samostatné politiky8. V dalším dialogovém okně volíme služby, které budou dostupné v demilitarizované zóně (DMZ) a přístupné z Internetu (obr. 18).

Obr. 18 Služby v DMZ „vnější servery“

V posledním kroku průvodce volíme Security level9. Na výběr máme ze tří úrovní: High, Medium a Low. My jsme zvolili Medium, protože povoluje IM (Instant Messaging) a je vhodnější pro další úpravy (příloha C, obr. 74). Na konci průvodce se zobrazí dialogové okno s vypsanou konfigurací firewallu.

5.2 Classic firewall Po úspěšném dokončení průvodce musíme vytvořenou firewallovou politiku upravit a rozšířit. Tyto úpravy provedeme z větší části přes grafickou utilitu SDM.

V případě, že dvěma rozhraním je přiřazena stejná „důvěryhodnost“, nejsou vygenerovány dvě politiky, ale pouze jedna společná. 9 Víc informací na webových stránkách strana 5. 8

Vlastní řešení

5.2.1

42

Přidání pravidla do ACL

Obr. 19 Dialogové okno pro konfiguraci ACL.

Pro přidání pravidla do ACL zvolíme v horní liště tlačítko Configure, poté na panelu vlevo tlačítko Firewall and ACL a vybereme záložku Edit Firewall Policy. Nyní zvolíme směr provozu. From udává zdrojové rozhraní, To cílové rozhraní. Po volbě směru stiskneme tlačítko Go. Nyní můžeme přidat nové pravidlo kliknutím na Add. 5.2.2

Popis ACL v SDM

Obr. 20 Záhlaví ACL v SDM.

5.2.3

ACL ve směru „INSIDE“ do ostatních zón

Obr. 21 Směry síťového provozu

Komunikace z „INSIDE“ zóny je omezena použitím ACL, které je aplikované na rozhraní FastEthernet 0/1.

Vlastní řešení

43

Obr. 22 ACL aplikované na „INSIDE“ rozhraní FastEthernet 0/1 ve směru inbound.

Adresy rezervované a soukromé bývají často zneužity v rámci IP spoofingu. Rezervované zdrojové IP adresy, které blokujeme: 0.0.0.0 („nulová adresa“, adresa sítě), 255.255.255.255/24 (broadcast adresa) a 127.0.0.8 (loopback adresa). Blokujeme i takové zdrojové soukromé IP adresy, které by se na daném rozhraní neměly vyskytovat. ICQ využívá pro komunikaci port 5190 a SSH port 22.

Vlastní řešení

5.2.4

44

ACL ve směru „OUTSIDE“ do ostatních zón


Komunikace z „OUTSIDE“ zóny je omezena použitím ACL, které je aplikované na rozhraní FastEthernet 0/0.

Obr. 24 ACL aplikované na „OUTSIDE“ rozhraní FastEthernet 0/0 ve směru inbound.

5.2.5

ACL ve směru „DMZVS“ do ostatních zón


Komunikace z „DMZVS“ zóny je omezena použitím ACL, které je aplikované na rozhraní FastEthernet 0/0/0.10.

Vlastní řešení

45

Obr. 26 ACL aplikované na „DMZVS“ rozhraní FastEthernet 0/0/0.10 ve směru inbound.

5.2.6

ACL ve směru „DMZSS“ do ostatních zón


Komunikace z „DMZSS“ zóny je omezena použitím ACL, které je aplikované na rozhraní FastEthernet 0/0/0.20.

Obr. 28 ACL aplikované na „DMZSS“ rozhraní FastEthernet 0/0/0.20 ve směru inbound.

Vlastní řešení

5.2.7

46

ACL ve směru „SSW“ do ostatních zón


Komunikace z „SSW“ zóny je omezena použitím ACL, které je aplikované na rozhraní FastEthernet 0/0/0.97.

Obr. 30 ACL aplikované na „SSW“ rozhraní FastEthernet 0/0/0.97 ve směru inbound.

5.2.8

Stavová a aplikační inspekce

Pro nastavení stavové a aplikační inspekce zvolíme v horní liště SDM tlačítko Configuration, v levé liště Firewall and ACL a záložku Edit Firewall Policy/ACL. V dalším kroku vybereme směr provozu v položce Select a direction. Přidání, úpravu nebo vymazání inspekce provedeme v dolní části dialogového okna Application. K tomu nám slouží tlačítka add, edit a delete. Po volbě add můžeme vytvořit novou inspekci nebo zvolit výchozí. V následujícím kroku se nám zobrazí dialogové okno pro nastavení inspekce (obr. 31).

Obr. 31 Application Security

Vlastní řešení

47

Nastavení aplikační inspekce na obr. 31 pro SMTP protokol provedeme v části E-mail , kde zaškrtneme políčko smtp a stiskneme tlačítko Edit. Nyní zvolíme maximální velikost přenášené zprávy. V našem případě zvolíme 5 000 000 B. Nastavení HTTP protokolu provedeme na obr. 31 v sekci HTTP.

Obr. 32 HTTP inspekce první část.

Vlastní řešení

48

Na obrázku 32 vidíme první část nastavení HTTP inspekce. Obr. 33 definuje povolené request metody HTTP v sekci HTTP header options.

Obr. 33 HTTP inspekce druhá část.

V položce Instant Messaging (IM) na obr. 31 lze pouze zvolit, které IM povolíme. Na výběr jsou YAHOO, MSN a AIM. My povolíme AIM (pro ICQ) a zbytek zakážeme. Poslední položka Applications/Protocols na obr. 31 slouží pro přidání ostatních protokolů, u kterých chceme provádět stavovou inspekci.

Obr. 34 Inspekce na „INSIDE“ rozhraní 0/1, směr inbound.

Inspekce AIM zaručuje komunikaci pomocí protokolu ICQ.

Obr. 35 Inspekce na „INSIDE“ rozhraní 0/1, směr outbound.

Vlastní řešení

49

Obr. 36 Inspekce na „DMZSS“rozhraní 0/0/0.20, směr outbound.

Obr. 37 Inspekce na „DMZVS“ rozhraní 0/0/0.10, směr outbound.

Obr. 38 Inspekce na „SSW“ rozhraní 0/0/0.97, směr outbound.

5.3 Zone-based policy firewall Po úspěšném dokončení průvodce musíme vytvořenou firewallovou politiku upravit a rozšířit. Tyto úpravy provedeme z větší části přes grafickou utilitu SDM. 5.3.1

Vytvoření zónového páru - ZFW

Obr. 39 Dialogové okno pro konfiguraci zónového páru a jeho politiky.

V SDM zvolíme v horní liště tlačítko Configure, poté na panelu vlevo tlačítko Firewall and ACL a vybereme záložku Edit Firewall Policy. Vytvoření zónového páru nebo přidání pravidla do zónového páru provedeme pomocí Add.

Vlastní řešení

5.3.2

50

Popis zónového páru a politiky v SDM

Obr. 40 Popis záhlaví u firewallové politiky v SDM.

5.3.3

Směr „INSIDE“ do ostatních rozhraní


Obr. 42 Politika aplikovaná na zónový pár INSIDE to OUTSIDE.

Povolení AOL protokolu do Internetu slouží pro komunikaci přes ICQ protokol.

Vlastní řešení

51

Obr. 43 Politika aplikovaná na zónový pár INSIDE to DMZVS.

Na obr. 43 vidíme, že k HTTP, HTTPS serveru mají přístup všichni uživatelé ze zóny „INSIDE“. Tento přístup je vhodné omezit na vybrané síťové adresy.

Obr. 44

Politika aplikovaná na zónový pár INSIDE to DMZSS.

Obr. 45

Politika aplikovaná na zónový pár INSIDE to SSW.

5.3.4

Směr „OUTSIDE“ do ostatních zón


Vlastní řešení

Obr. 47

52

Politika aplikovaná na zónový pár OUTSIDE to DMZVS.

Ostatní zónové páry nejsou vytvořené, a proto žádná komunikace v těchto směrech není povolena. 5.3.5

Směr „DMZVS“ do ostatních zón


Obr. 49

Politika aplikovaná na zónový pár DMZVS to OUTSIDE.

Obr. 50

Politika aplikovaná na zónový pár DMZVS to INSIDE.

Ostatní zónové páry nejsou vytvořené, a proto žádná komunikace v těchto směrech není povolena.

Vlastní řešení

5.3.6

53

Směr „DMZSS“ do ostatních


Obr. 52

Politika aplikovaná na zónový pár DMZSS to INSIDE.

Obr. 53

Politika aplikovaná na zónový pár DMZSS to DMZVS.

Ostatní zónové páry nejsou vytvořené, a proto žádná komunikace v těchto směrech není povolena.

Vlastní řešení

5.3.7

54

Směr SSW do ostatních zón


Obr. 55

Politika aplikovaná na zónový pár SSW to INSIDE.

Ostatní zónové páry nejsou vytvořené, a proto žádná komunikace v těchto směrech není povolena. 5.3.8

SELF zóna

Síťový provoz mezi jakoukoliv zónou a zónou SELF je defaultně povolen, na rozdíl od jiných zónových párů. V některých případech je žádoucí, aby tato komunikace byla omezena nebo úplně zakázána.

Vlastní řešení

55

Obr. 56 Politika aplikovaná na zónové páry se zónou Self. Komunikace je zakázána.

Obr. 57 Politika aplikovaná na zónové páry se zónou Self. Komunikace je částečně omezena.

5.3.9

Použitá aplikační inspekce

V souvislosti s přidáním nového pravidla do stávající politiky zónového páru nebo vytvoření nového zónového páru můžeme zároveň nastavit aplikační inspekci.

Obr. 58 Nastavení aplikační inspekce první krok.

Vlastní řešení

56

Obr. 58 popisuje úvodní dialogové okno pro přidání pravidla. V prvním kroku musíme vybrat protokoly v části Service, abychom vůbec mohli nastavit aplikační inspekci. Nyní klikneme na tlačítko Advanced. Zobrazí se obr. 59.

Obr. 59 Nastavení aplikační inspekce druhý krok.

Obr. 59 popisuje, jak zvolit protokol a přidat novou nebo stávající inspekci. Nastavení aplikační inspekce provedeme u protokolů HTTP, SMTP a AOL.

Vlastní řešení

57

Obr. 60 Nastavení HTTP inspekce.

Na obr. 60 jsou tři položky zabarveny červeně nebo žlutě. V první položce Method zvolíme request metody, které budou zakázané. V Port Misuse zaškrteneme Any type of port misuse, které detekuje tunelované aplikace a zablokuje je. V poslední položce Protocol Violation zaškrtneme Protocol Violation, která provádí kontrolu HTTP požadavků a odpovědí oproti RFC 2616. Nastavení inspekce u zbylých protokolů vidíme na obr. 61.

Obr. 61 Nastavení SMTP a AOL inspekce.

Vlastní řešení

58

5.4 Implementace ASA firewallu Dříve, než začneme implementovat firewall, musíme provést základní nastavení zařízení, které zahrnuje konfiguraci rozhraní, statické cesty a překlady IP adres (NAT). Toto nastavení je uvedeno v příloze B. Pro přihlášení přes grafické rozhraní ASDM musíme v příkazové řádce zadat tři základní příkazy: ASA(config)# username ciscosdm password ciscosdm privilege 15 Vytvoří účet s uživatelským jménem a heslem ciscosdm. ASA(config)# http server enable - Spustí webový server (šifrovaný protokol HTTPS). ASA(config)# http management-PC 255.255.255.255 management – Určí, kdo se může připojit k serveru (management-PC – je IP adresa počítače správce sítě). 5.4.1

Security level (Bezpečnostní úroveň)

Při realizaci firewallu je důležitá konfigurace rozhraní. Každé rozhraní musí mít přidělené jméno, ip adresu a security level10. Security levely definují počáteční firewallovou politiku. Tato politika je nastavena tak, že komunikace z rozhraní s nižním security levelem do rozhraní s vyšším security levelem je zakázána. Opačný směr komunikace je povolen. Posledním případem je komunikace mezi rozhraními se stejnými security levely, která je defaultně zakázána. Bez přiřazeného jména a security levelu nelze pokračovat v konfiguraci. ASA(config-if)# nameif interface-name – Přidělí jméno k rozhraní. ASA(config-if)# security level number – Přidělí security level k rozhraní. Tab. 1

Přiřazení jména a security levelu k rozhraní:

Rozhraní Ethernet 0/0 Ethernet 0/1 Ethernet 0/2 Ethernet 0/3.10 Ethernet 0/3.20 Ethernet 0/3.97

10

Jméno rozhraní Outside Inside Management Dmzvs Dmzss Ssw

Jsou vysvětleny v kapitole Cisco ASA firewall.

Security level 0 95 100 45 55 85

Vlastní řešení

5.4.2

59

Nastavení managementu zařízení

Po přihlášení k zařízení vybereme v horní liště tlačítko Configuration, poté na panelu vlevo tlačítko Device_Management. V sekci Device_Management zvolíme Management_Access > ASDM/HTTPS/Telnet/S SH a v pravé části obrazovky klikneme na tlačítko Add. Nyní můžeme přidávat pravidla povolující přístup k zařízení. Pro přidání pravidla provedeme následující kroky:  vybereme typ služby (HTTPS, SSH nebo Telnet),  vložíme IP adresu a masku stroje11,  zvolíme rozhraní, přes které budeme přistupovat,  potvrdíme tlačítkem OK.

Obr. 62 Konfigurace managementu.

5.4.3

ASA rozhraní a ICMP protokol

Nastavení ICMP zpráv k ASA rozhraním provedeme opět v sekci Device_Management, kde zvolíme Management_Access > ICMP. Pro přidání pravidla klikneme na tlačítko Add v pravé části obrazovky. Objeví se dialogové okno Create ICMP rule uvedené na obr. 63.

Obr. 63 ICMP pravidlo.

ICMP type slouží pro výběr ICMP zprávy (echo, echo-reply, traceroute, unrecheable, atd.). Action určuje druh akce (permit nebo deny).

IP adresa pracovní stanice, ze které se přihlašujeme k zařízení Cisco ASA (PC správce sítě). 11

Vlastní řešení

60

Obr. 64 Konfigurace ICMP protokolu.

5.4.4

Vytvoření objektů

Pro snadnější a přehlednější konfiguraci firewallové politiky je užitečné pojmenovat používané síťové adresy a vhodně seskupit síťové objekty a služby. Výhoda spočívá v tom, že pokud nastane např. změna v IP adrese, nemusíme měnit všechny její výskyty. Změnu provedeme pouze na jediném místě. Pro vytvoření nových objektů zvolíme v horní liště tlačítko Configuration a následně Firewall > Objects. Ve skupině Objects nás zajímají Network Objects/Groups a Service Groups, kde pomocí tlačítka Add přidáme potřebné objekty. Objekty použité v práci jsou uvedeny v příloze D, obr. 75 a 76. 5.4.5

Nastavení ACL

Samotná konfigurace firewallu je rozdělena na dvě části. V první fázi definujeme ACL a ve druhé aplikační inspekci. Výchozí12 implementace ACL je uvedena v příloze D, obr. 77. Pro nastavení ACL zvolíme v horní liště tlačítko Configuration, v levém panelu Firewall a položku Access Rules. Tlačítkem Add přidáváme jednotlivá pravidla k vybranému rozhraní.

12

Zohledňuje přidělené security levely.

Vlastní řešení

61

Obr. 65 Kompletní konfigurace ACL.

ACL přiřazená k rozhraní, jak ukazuje obr. 65, jsou stejná jako u konfigurace v Classic firewallu. Rozdíl je v tom, že používáme objekty, které zpřehledňují a zjednodušují seznam pravidel použitých v ACL.

Vlastní řešení

5.4.6

62

Obrana proti IP spoofingu

Cisco ASA podporuje ochranu proti IP spoofingu. Aktivace funkce Anti-Spoofing je jednoduchá. Provedeme ji následovně: v horní liště zvolíme tlačítko Configuration, v levé liště Firewall a v této sekci zvolíme položku Advanced > Anti-spoofing. Nyní můžeme pro vybrané rozhraní aktivovat ochranu proti IP spoofingu stisknutím tlačítka Enable. Aktivaci provedeme pro tyto rozhraní: dmzvs, inside, outside a management. 5.4.7

Aplikační inspekce

Cisco ASA podporuje velké množství protokolů. V našem případě využijeme pokročilé inspekce HTTP, ESMTP13, DNS, IM (Instant Messagingu) a ICMP. Možnosti nastavení jsou obsáhlé.

Obr. 66 Service Policy Rules

Na obr. 66 vidíme aplikační inspekce přiřazené k jednotlivým rozhraním.  Rozhraní inside a management podporuje HTTP, IM, DNS a ICMP.  Rozhraní outside HTTP a DNS.  Rozhraní dmzvs DNS. Cesta k nastavení v ASDM je Configuration > Firewall a Service Policy Rules, kde aktivujeme průvodce. Spuštění průvodce provedeme kliknutím na tlačítko Add a zvolíme Add Service Policy Rule.

13

Je použitý pro aplikační inspekci SMTP protokolu.

Vlastní řešení

63

Obr. 67 Volba rozhraní.

Obr. 68 Volba kritéria.

Na obrázku 68 vidíme výběr kritéria, podle kterého budeme třídit síťový provoz. Nejčastěji použijeme ACL nebo TCP/UDP porty. Na dalším dialogovém okně po stisknutí tlačítka Next> provedeme nastavení zvoleného kriteria a přejdeme k poslední fázi, výběru aplikační inspekce, která je popsána na obrázku 69.

Vlastní řešení

64

Obr. 69 Přiřazení aplikační inspekce.

Obr. 69 popisuje dialogové okno, ve kterém vybíráme protokol. Pro konfiguraci inspekce zvolíme Configure a stiskneme tlačítko Add. U námi používaných protokolů, HTTP, DNS a SMPT, máme na výběr tzv. Security level které nabízí tři možné úrovně inspekce (High, Medium a Low)14. My využijeme nejvyšší možné úrovně (High).

Obr. 70 Volba Security Level u HTTP, SMTP a DNS protokolu.

Více informací na webových stránkách . 14

Vlastní řešení

65

High Security level pro HTTP blokuje požadavky a odpovědi, které nejsou v souladu s RFC15 2616. Chrání protokol proti zneužití jinými aplikacemi. Povoluje pouze GET a POST metody a rozpozná ne-ASCII16 znaky, které blokuje. High Security level pro SMTP definuje maximální velikost přiloženého souboru a adresy odesílatele. Specifikuje číslo příjemce. Určuje délku příkazového řádku a řádku v těle zprávy. High Security level pro DNS stanovuje maximální velikost zprávy. Náhodně přiděluje DNS identifikátory a při velkém počtu DNS ID neshod provede záznam. Povoluje předávání TSIG17 zdrojových záznamů. Nastavení inspekce u ICQ (AOL) má oproti implementaci v IOS řadu rozšíření. Především nabízí pokročilou možnost volby poskytovaných služeb. Můžeme zvolit, které služby povolíme nebo zakážeme. Na výběr jsou chat, conference, file transfer, games, voice chat a webcam.

Obr. 71 Inspekce ICQ.

Kromě volby zakázaných služeb (File Transfer a Games), musíme zvolit protokol. To provedeme rozbalením položky Criterion, kde vybereme Protocol a zaškrtneme AOL. Pro povolení ICMP komunikace přes ASA zařízení je nutné nastavit inspekci ICMP protokolu.

Jedná se o standardy a další dokumenty, které popisují internetové protokoly, systémy apod. 16 ASCII je znaková sada písmen používaná v informatice. 17 Jedná se o protokol využívaný DNS pro poskytnutí prostředků, které ověřují dynamickou DNS databázi. 15

Ekonomické zhodnocení

66

6 Ekonomické zhodnocení V rámci ekonomického zhodnocení se nezabýváme náklady na vybudování síťové infrastruktury, ale bude nás zajímat pouze pořizovací cena a náklady na údržbu výše uvedených Cisco firewallů. Při výpočtu jednotlivých cen budeme uvažovat náklady na IT pracovníka s průměrnou mzdou 250 Kč/hod.18 6.1.1

Pořizovací cena

Pro konfiguraci IOS firewallů jsme použili Cisco Router 2811-SEC-K9, který obsahuje balíček Advanced Security IOS. Hardwarový firewall jsme realizovali pomocí Cisco ASA5510-BUN-K9. Tab. 2

Náklady na pořízení

Průměrná cena zařízení Práce Cena celkem

Router 2811

ASA 5510

55 000 Kč 1 500 Kč 56 500 Kč

52 000 Kč 2000 Kč 54 000 Kč

Do práce zahrnujeme pouze čas potřebný k samotné konfiguraci zařízení. Celkové nasazení firewallu je poměrně složitý proces a vyžaduje mnohem více času. Pro použití routeru 2811 v naší modelové síti je nutné dokoupit dva gigabitové ethernety. Jejich pořízení se pohybuje v řádu deseti tisíc korun. U Cisco ASA stačí dokoupit licenci Security Plus v hodnotě cca 17 500 Kč. 6.1.2

Náklady na údržbu

Údržba zařízení není náročná. Zahrnuje především kontrolu logů a běžné operace s firewallem. Roční náklady na provoz se pohybují kolem 12 000 Kč, tzn. 250 Kč za hodinu, 4 hodiny měsíčně.

18

Údaj byl pořízen z Českého statistického úřadu.

Diskuze a závěr

67

7 Diskuze a závěr 7.1 Diskuze Významným zdrojem pro vypracování bakalářské práce byly webové stránky společnosti Cisco, které obsahují velké množství materiálů pro vyřešení konkrétních problémů s použitím uvedených technologií. Značné množství těchto podkladů způsobuje nepřehlednost, potíže při vyhledávání a časovou náročnost. Nasazení firewallu není snadná záležitost. Vyžaduje rozsáhlou přípravu, znalost síťového provozu, stanovení bezpečnostní politiky a řadu dalších požadavků. Některé požadavky nelze nasimulovat v prostředí laboratoře, a proto je řešíme jen částečně nebo vůbec. Realizace Classic firewallu je v porovnání s ostatními uvedenými technologiemi časově náročnější a obtížnější na pochopení. Vyšší počet rozhraní a VLAN způsobuje obtížnější konfiguraci. Slabou stránkou je nízká úroveň aplikační inspekce. Tento firewall je nejvhodnější pro počítačové sítě se třemi zónami (inside, outside a demilitarizovaná zóna), v tomto případě je jeho nasazení pomocí SDM poměrně rychlé a snadné. Zone-based policy firewall je podobně jako předchozí firewall součástí IOS. Je založený na aplikaci bezpečnostní politiky na sítový provoz mezi zónami. Tento způsob aplikace politiky je jednodušší a snazší na pochopení a konfiguraci. Dostupná aplikační inspekce je rozšířena o další možnosti nastavení. Nevýhodou je, že nepoužívá síťové objekty podobně jako Cisco ASA. Pro kompletní konfiguraci stačí použít grafickou utilitu (SDM). Nasazení tohoto firewallu je již vhodné pro středně velké počítačové sítě. Použití grafické utility SDM v obou případech způsobovalo občasné „zamrznutí“ programu a následnou ztrátu neuložených nastavení. Poslední technologií, jak realizovat síťový firewall, je použití speciálního zařízení Cisco ASA 5510 Firewall Edition. Politika je opět založena na principu zón jako v předchozím případě. Hlavní pozitivem této technologie oproti ostatním řešením je rozšířenější a podrobnější aplikační inspekce. Konfigurace firewallu za pomocí ASDM je intuitivní, přehledná a rychlá. Je vhodná pro nasazení do středně velké počítačové sítě. Z hlediska ceny a nabízených možností je nejvýhodnější zabezpečit středně velkou počítačovou síť pomocí Cisco ASA 5510 Firewall Edition. Pro dosažení vyššího zabezpečení je vhodné použít i IPS (Intrusion Prevention System).

Diskuze a závěr

68

7.2 Závěr Všechny stanovené cíle byly v rámci možností naplněny. Realizoval jsem zabezpečení středně velké počítačové sítě pomocí Cisco firewallů v síťové laboratoři UI PEF, následně provedl ekonomické zhodnocení a vybral „nejlepší“ možnou variantu pro realizaci. Hlavní přínos práce by měl spočívat v seznámení s jednotlivými technologiemi firewallů se zaměřením na společnost Cisco, jejich praktickou ukázkou a zhodnocení implementace realizovaných řešení. Tato zhodnocení jsou podrobně uvedena v kapitole diskuze. Řešení, která jsem uskutečnil, nebyly podrobeny žádným zátěžovým testům ani útokům, protože nebylo k dispozici potřebné technické vybavení. Z časové náročnosti řešení nebylo provedeno detailní odladění firewallů. Navrhovaná řešení mohou dobře posloužit jako výchozí bod pro vytvoření firewallu v reálné počítačové síti.

Literatura

69

8 Literatura FRAHIM, J., SANTOS, O. Cisco ASA: All-in-One Firewall, IPS, and VPN Adaptive Security Appliance. Indianapolis: Cisco Press, 2006. 408 s.ISBN 1-58705-276-8. CHAPMAN, W. D., FOX, A. Zabezpečení sítí pomocí Cisco PIX Firewall. Brno: Computer Press, 2004. 368 s. ISBN 80-7226-963-1. KALETA, E. Informační technologie: správa počítačových sítí. Praha: Professional Publishing, 2008. 180 s. ISBN 978-80-86946-61-0. NOONAN, W., DUBRAWSKY, I. Firewall fundamentals. Indianapolis: Cisco Press, 2006. 408 s. ISBN 1-58705-276-8. NORTHCUTT, S. A KOL. Bezpečnost počítačových sítí. Kompletní průvodce návrhem, implementací a údržbou zabezpečené sítě. Brno: Computer Press, 2005. 592 s. ISBN 80-251-0697-7. PURCHART, V. Tvorba pravidel pro Firewall pomocí IPTABLES přes WWW rozhraní: bakalářská práce. Praha: ČVUT FEL, katedra počítačů, 2008. s. 15-16. THOMAS, T. Network security first-step. Indianapolis: Cisco Press, 2004. 407 s. ISBN 1-58720-099-6. WATKINS, M., WALLACE, K. CCNA Security. Official Exam Certification Guide .Indianapolis: Cisco Press, 2008. 672 s. ISBN 1-58720-220-4. APRIAS, R., KUČA, M. Cisco PIX Firewall [online]. [cit. 30. března 2010]. Dostupné na Internetu: . BOUŠKA, P. Cisco IOS 8 - ACL - Access Control List [online]. [cit. 4. března 2010]. Dostupné na Internetu: . CISCO SYSTEMS. Cisco IOS Firewall Context-Based Access Control [online]. 2009 [cit. 18. března 2010]. Dostupné na Internetu: . CISCO SYSTEMS. Getting Started With Application Layer Protocol Inspection [online]. 2008 [cit. 30. března 2010]. Dostupné na Internetu: . CISCO SYSTEMS. Zone-Based Policy Firewall Design and Application Guide [online]. 2007 [cit. 18. března 2010]. Dostupné na Internetu: .

Literatura

70

CISCO SYSTEMS. Conceptual Difference Between Cisco IOS Classic and Zone-Based Firewalls [online]. 2006 [cit. 16. března 2010]. Dostupné na Internetu: . MILANOV, P. IP filtr a detektor útoků: bakalářská práce. Praha: ČVUT FEL, katedra počítačů, 2006. s. 10-28. PETŘÍČEK, P. Stavíme firewall (1.) [online]. [cit. 2. duben 2010]. Dostupné na Internetu: < http://www.root.cz/clanky/stavime-firewall-1/>. PETŘÍČEK, P. Stavíme firewall (3.) [online]. [cit. 2. duben 2010]. Dostupné na Internetu: < http://www.root.cz/clanky/stavime-firewall-3/>.

Přílohy

71

Přílohy


72

A Konfigurace Cisco Router 2811 Příloha „A“ a „B“ je součástí těchto bakalářských prací z důvodů společné kapitoly Analýza sítě:  Filla M. Realizace firemního firewallu s použitím Cisco technologií. Bakalářská práce. Brno, 2010.  Kejda J. Integrace IDS/IPS systému na bázi open source a komerčních technologií. Bakalářská práce. Brno, 2010.

Obr. 72 Použitá rozhraní Cisco Router 2811.

Router> enable Router# configure terminal Router(config)# ip access-list 1 permit host 10.0.60.1 Router(config)# ip access-list 1 permit 10.0.30.0 0.0.0.255 Router(config)# ip access-list 1 permit 10.0.40.0 0.0.0.255 Vytvoření ACL, které zahrnuje vybrané vnitřní adresy sítě. Router(config)# interface fa 0/1 Router(config-if)# ip nat inside Router(config-if)# ip address 10.0.50.1 255.255.255.252 Router(config-if)# no shutdown Router(config-if)# exit Router(config)# interface fa 0/0 Router(config-if)# ip nat outside Router(config-if)# ip address 193.1.1.1 255.255.255.252 Router(config-if)# no shutdown Router(config-if)# exit


73

Router(config)# interface fa 0/0/0.10 Router(config)# interface fa 0/0/0.10 Router(config-if)# ip nat inside Router(config-if)# encapsulation dot1Q 10 Router(config-if)# ip address 192.168.10.1 255.255.255.0 Router(config-if)# no shutdown Router(config-if)# exit Router(config)# interface fa 0/0/0.20 Router(config-if)# encapsulation dot1Q 20 Router(config-if)# ip address 192.168.20.1 255.255.255.0 Router(config-if)# no shutdown Router(config-if)# exit Router(config)# interface fa 0/0/0.97 Router(config-if)# encapsulation dot1Q 97 Router(config-if)# ip address 10.0.97.1 255.255.255.0 Router(config-if)# no shutdown Router(config-if)# exit Konfigurace rozhraní routeru a nastavení pro PAT. Router(config)# ip nat inside source static tcp 192.168.10.3 80 interface FastEthernet 0/0 80 Router(config)# ip nat inside source static tcp 192.168.10.3 443 interface FastEthernet 0/0 443 Router(config)# ip nat inside source static tcp 192.168.10.4 25 interface FastEthernet 0/0 25 Konfigurace PAT pro všechny služby poskytované vnějším uživatelům. Router(config)# ip nat inside source list 1 interface FastEthernet 0/0 overload Překládá IP adresy vnitřních uživatelů pro přístup do Internetu. Router(config)# ip route 0.0.0.0 0.0.0.0 FastEthernet0/0 Statické směrování v síti.


B Konfigurace Cisco ASA 5510

Obr. 73 Použitá rozhraní Cisco ASA 5510.

ASA> enable ASA# configure terminal ASA(config)# interface Ethernet 0/0 ASA(config-if)# nameif outside ASA(config-if)# ip address 193.1.1.1 255.255.255.252 ASA(config-if)# security-level 0 ASA(config-if)# no shutdown ASA(config-if)# exit ASA(config)# interface Ethernet 0/1 ASA(config-if)# nameif inside ASA(config-if)# ip address 10.0.50.1 255.255.255.252 ASA(config-if)# security-level 95 ASA(config-if)# no shutdown ASA(config-if)# exit ASA(config)# interface Ethernet 0/2 ASA(config-if)# nameif management ASA(config-if)# ip address 172.16.99.1 255.255.255.0 ASA(config-if)# security-level 100 ASA(config-if)# no shutdown ASA(config-if)# exit ASA(config)# interface Ethernet 0/3.10 ASA(config-if)# vlan 10 ASA(config-if)# nameif dmzvs ASA(config-if)# ip address 192.168.10.1 255.255.255.0 ASA(config-if)# security-level 45 ASA(config-if)# no shutdown ASA(config-if)# exit

74


75

ASA(config)# interface Ethernet 0/3.20 ASA(config-if)# vlan 20 ASA(config-if)# nameif dmzss ASA(config-if)# ip address 192.168.20.1 255.255.255.0 ASA(config-if)# security-level 55 ASA(config-if)# no shutdown ASA(config-if)# exit ASA(config)# interface Ethernet 0/3.97 ASA(config-if)# vlan 97 ASA(config-if)# nameif ssw ASA(config-if)# ip address 10.0.97.1 255.255.255.0 ASA(config-if)# security-level 85 ASA(config-if)# no shutdown ASA(config-if)# exit Konfigurace rozhraní Cisco ASA. ASA(config)# static (dmzvs, outside) tcp interface 80 192.168.10.3 80 netmask 255.255.255.255 ASA(config)# static (dmzvs, outside) tcp interface 443 192.168.10.3 443 netmask 255.255.255.255 ASA(config)# static (dmzvs, outside) tcp interface 25 192.168.10.4 25 netmask 255.255.255.255 Konfigurace PAT pro všechny služby poskytované vnějším uživatelům. ASA(config)# ASA(config)# ASA(config)# ASA(config)#

nat (inside) 1 10.0.30.0 255.255.255.0 nat (inside) 1 10.0.40.0 255.255.255.0 nat (inside) 1 172.16.99.3 255.255.255.0 global (outside) 1 193.1.1.1

Překládá IP adresy vnitřních uživatelů pro přístup do Internetu. ASA(config)# route outside 0.0.0.0 0.0.0.0 193.1.1.2 1 Nastavení statického směrování v síti.

Cisco Router 2811 SDM

C Cisco Router 2811 SDM

Obr. 74 Volba security-level v průvodci konfigurací.

76

Cisco ASA 5510 ASDM

D Cisco ASA 5510 ASDM

Obr. 75 Použité síťové objekty v Cisco ASA 5510.

77

Cisco ASA 5510 ASDM

Obr. 76 Použité objekty služeb Cisco ASA 5510.

Obr. 77 Výchozí konfigurace ACL Cisco ASA 5510.

78

Realizace firemního firewallu s použitím Cisco technologií

Recommend Documents