Professional Documents
Culture Documents
Sigurnosna Stijena
Sigurnosna Stijena
Matija Zeman
0036400711
2006
Sadržaj
1. Uvod
2. Osnovne funkcije, vrste i izvedbe
3. Arhitekture i prometna pravila
4. Ostvarenje sigurnosne stijene
5. Praktični dio – IPsec roadwarrior
konfiguracija
1. Uvod
Što je sigurnosna stijena?
Sigurnosna stijena (engl. Firewall) je sklopovlje ili
programski paket koji u mrežnom okruženju vrši
kontrolu prometa između različitih mrežnih
segmenata (dijelova mreže koji su fizički odvojeni ili
pak logički odvojeni npr. usmjeriteljem)
Zašto ju koristiti?
Djeluje kao točka razgraničenja na ulazu u mrežni
segment. Vrši L2,L3,L4,L7 kontrolu i analizu prometa
u/iz segmenta, te druge zahvate nad prometom
2. Osnovne funkcije
Očuvanje IP adrese i prosljeđivanje paketa
Diferencijacija mreže
Zaštita od DoS napada, skeniranja i
prisluškivanja
Filtriranje IP adresa i vrata
Filtriranje sadržaja
Redirekcija paketa
Pojačana enkripcija i autentifikacija
Zapisivanje
Virusna provjera
2. Vrste sigurnosne stijene
Bridge filtriranje – filtriranje na razini
adresa lokalne mreže (L2)
Packet filter – filtriranje prema adresi i
vratima, te protokolu koji se koristi (L3)
Stateful Packet Inspection – napredniji
oblik koji prati tijek veze (L4)
Aplikacijski posrednik – posrednik
(računalo) preko kojeg se vrši komunikacija
(L7)
2. Izvedbe
Sklopovlje – npr. Cisco PIX
Programska podrška – npr.:
Check Point FW-1
McAfee Personal Firewall
Norton Internet Security
Sygate Personal Firewall
Zone Labs ZoneAlarm
Kerio Personal Firewall
Tiny Firewall
PC-cillin Internet Security
3. Arhitektura i prometna pravila
Četiri osnovne arhitekture:
Računalo izvan zaštićenog područja
Računalo unutar zaštićenog područja
DMZ
DMZ s dvije sigurnosne stijene
Što je DMZ?
Demilitarizirana zona je međuzona kojoj se pruža
razina povjerenja između razine vanjske i unutarnje
mreže. DMZ je zaštićena od vanjske mreže jednako
kao i unutarnja mreža, ali je dodatno filtriranjem
odvojena od unutarnje mreže.
3. Računalo izvan zaštićenog
područja
3. Računalo izvan zaštićenog
područja
Crveno – zabranjen
promet
Zeleno – dozvoljen
promet
Plavo – filtrirani promet
Nepovjerljivi domaćin
(engl. Bastion host) –
konstantno osiguravati
sigurnost
Sigurnosna stijena -
ulazni promet u
zaštićenu mrežu se
odbacuje ako nije iniciran
iz same mreže
3. Računalo unutar zaštićenog
područja
3. Računalo unutar zaštićenog
područja
Filtriranje prometa
prema zaštićenoj
mreži
Dozvoljavamo npr.
HTTP(S) pristup do
Web servera
Ostali promet
prema zaštićenoj
mreži se odbacuje
ukoliko nije iniciran
iz same mreže
3. DMZ
3. DMZ
Ulazni promet prema Web
poslužitelju (DMZ) je
dozvoljen, ali filtriran
Ulazni promet s vanjske u
unutarnju mrežu je
zabranjen
Omogućena je dvosmjerna
komunikacija DMZ-a i
zaštićene mreže
Problem ispadanja
sigurnosne stijene iz
funkcije – krnji DMZ
3. DMZ s dvije sigurnosne stijene
3. DMZ s dvije sigurnosne stijene
Potpuna DMZ arhitektura
Promet prema DMZ-u
dozvoljen/zabranjen od
strane unutarnje/vanjske
mreže ovisno o
potrebama
Promet izvana prema
unutarnjoj mreži
odbačen na vanjskoj
sigurnosnoj stijeni
Izlazni promet iz
unutarnje mreže
dozvoljen/zabranjen
prema DMZ-u/vanjskoj
mreži
4. Preporučene mjere zaštite
Zabraniti sav promet, te omogućiti samo nužne usluge
Isključiti sve nepotrebne usluge i programsku podršku na
sigurnosnoj stijeni
Ograničiti broj aplikacija koje su pokrenute na sigurnosnoj
stijeni da bi joj se omogućili resursi za obavljanje njegove
osnovne funkcije. Uzeti u obzir pokretanje antivirusa,
filtriranja sadržaja, usluge virtualnih privatnih mreža, DHCP
i autentifikacijske programske podrške na drugim sustavima
iza sigurnosne stijene
Ako je moguće, pokretati sigurnosnu stijenu kao poseban
korisnik umjesto administratorskog korisnika
Redovito mijenjati lozinku administratora sigurnosne
stijene. Lozinka mora biti minimalno 8 znakova duga, uz
korištenje malih i velikih slova, brojeva i ostalih dozvoljenih
znakova
4. Preporučene mjere zaštite
Ne oslanjati se samo na filtriranje paketa. Koristiti
inteligentno filtriranje i aplikacijske posrednike
Utvrditi filtriranje paketa bazirano na listi ranjivosti (The
SANS Top 20 Internet Security Vulnerabilities [Literatura
14])
Napadač ne smije doći do fizičkog pristupa sigurnosnoj
stijeni
Puno puta, sigurnosna stijena radi manje (ili više) nego što
bi trebala. Držati konfiguraciju sigurnosne stijene što
jednostavnijom, te eliminirati nepotrebna i redundantna
pravila da bi sigurnosna stijena bila konfigurirana prema
specifičnim potrebama
Osigurati da su sigurnosna pravila sigurnosne stijene
odgovarajuća sigurnosnoj politici poduzeća
Uzeti u obzir korištenje slijedećih sustava zaštite u
kombinaciji s sigurnosnom stijenom: IDS, antivirusna
programska podrška, programska podrška za filtriranje
sadržaja i autentifikacijski sustavi
4. Preporučene mjere zaštite
Pokretati sigurnosnu stijenu na sigurnom i redovito
održavanom računalu
Koristiti sigurnosnu stijenu u kombinaciji s usmjeriteljem pri
spajanju na Internet radi bolje zaštite od DoS napada i
uspješnih penetracija
Vršiti redovito osvježavanje i nadogradnju sustava, te
testirati nove elemente u kontroliranim uvjetima
Koristiti sigurnosnu stijenu unutar mreže za stvaranje
segmenata s različitim dozvolama
Omogućiti zapisivanje događaja i uzbune sigurnosne stijene
Koristiti odijeljeni sustav za zapisivanje događaja da bi se
napadaču otežala izmjena zapisa koje je stvorila sigurnosna
stijena
Redovito pregledavati zapise koje stvara sigurnosna stijena
Detaljno pregledati zapise koji ne izgledaju ispravno
4. Preporučene mjere zaštite
Redovito pohranjivati zapise (npr. na CD-R medije)
Dokumentirati sve izmjene na sigurnosnoj stijeni i razloge
zbog kojih je došlo do tih izmjena
Vršiti česte provjere ranjivosti. Novi sigurnosni propusti se
pojavljuju svakodnevno. Vršiti provjere na svim sučeljima i
u oba smjera
Osigurati da korisnici koriste antivirusnu programsku
podršku i osobnu sigurnosnu stijenu na svim udaljenim
računalima
Konstantno provjeravati sigurnosne objave proizvođača
sigurnosne stijene
Redovito pohranjivati konfiguracijske datoteke sigurnosne
stijene
Sigurnosnu stijenu je lako zaobići pri korištenju bežičnih
mreža unutar privatne mreže. Osigurati korištenje
antivirusne programske podrške i osobne sigurnosne stijene
i na ovim računalima
4. Osobna sigurnosna stijena
Programska podrška na računalu koje se
štiti
Štiti samo jedno računalo
Može kontrolirati komunikaciju
postavljanjem upita korisniku, te prema
odgovorima učiti pravila dozvole/zabrane
prometa
Sve češća upotreba u kombinaciji s
centralnom sigurnosnom stijenom
(enterprise)
4. Komercijalna ostvarenja
Cisco PIX
PIX = Private Internet Exchange
Stateful filtriranje
Sklopovski – Intel sklopovlje, poseban OS
}
#podaci o SA za drugu fazu IKE-a za nepoznato racunalo
sainfo anonymous { #definiranje vremena života podataka iz druge faze IKE-a
lifetme time 1 min;
#grupa Diffie-Hellmanovih eksponenata
pfs_group 1;
#algoritam kriptiranja
encryption_algorithm 3des, des;
#algoritam autentifikacije
authentication_algorithm hmac_md5, hmac_sha1;
#algoritam kompresije
compression_algorithm deflate;
}
5. Praktični dio – Roadwarrior
scenarij - poslužitelj
PSK ključevi
psk.txt
mac@osl.org c7e63d0732cddf4a
5. Praktični dio – Roadwarrior
scenarij – roadwarrior klijent
Postavke mreže
setupnet.sh
192.168.111.129 c7e63d0732cddf4a
5. Praktični dio – Roadwarrior
scenarij – roadwarrior klijent
Pokretanje veze
VPNon.sh
#brisanje defaultne rute kroz sucelje eth0
ip route del default dev eth0
#dodavanje defaultne rute preko poslužitelja
ip route add default via 192.168.111.129 dev eth0
#brisanje rute prema racunalima koje predstavljaju Internet
ip route del 192.168.111.0/24 dev eth0
#postavljanje SP-a setkey naredbom pomocu definirane konfiguracijske datoteke
setkey -f /etc/racoon/setkey.conf
#pokretanje racoon-a uz opcije definirane u konfiguracijskoj datoteci
racoon -f /etc/racoon/racoon.conf
#pauziranje izvodenja skripte na 5 sekundi dok se izvrši inicijalizacija racoon-a
sleep 5
#pokušaj ping-anja poslužitelja koji nece uspjeti, ali ce se inicirati uspostava veze s
poslužiteljem
ping 192.168.111.129
#poruka korisniku da je veza pokrenuta
echo “Veza je pokrenuta”
5. Praktični dio – Roadwarrior
scenarij – roadwarrior klijent
Prekidanje veze
VPNoff.sh
#brisanje SPD-a
setkey -FP
#brisanje SAD-a
setkey -F
#brisanje defaultne rute preko poslužitelja
ip route del default via 192.168.111.129 dev eth0
#dodavanje rute prema vanjskoj mreži
ip route add 192.168.111.0/24 dev eth0
#dodavanje defaultne rute kroz sucelje eth0
ip route add default dev eth0
#odsjecak naredbi kojima se iz popisa procesa izdvaja racoon i njegov PID, te se naredbom
kill gasi racoon
get_proc=`ps -e -o pid,command | grep "racoon"`
echo $get_proc > get_it
get_pid=`gawk -F" " '{ print $1 }' get_it`
kill -9 $get_pid
echo “Veza je prekinuta”
5. Praktični dio – Roadwarrior
scenarij – klijenti u lokalnoj mreži
Postavke mreže
setupnet.sh
17 packets captured
37 packets received by filter
0 packets dropped by kernel
5. Praktični dio – Roadwarrior
scenarij – Windows klijent
ShrewSoft VPN Client
5. Praktični dio – Roadwarrior
scenarij – Windows klijent
Virtualno sučelje
ipconfig
route print
route delete
route add
Zaključak
Područje koje obuhvaća sigurnosna stijena, kao samo dio računalne sigurnosti, je vrlo
široko i često isprepleteno s ostalim tehnologijama koje pružaju sigurnost računala i
računalne mreže. Stoga je ovaj seminarski rad samo uvod u neke od mogućnosti zaštite
i osnovne principe. U daljnjem radu na temi, potrebno je dublje istražiti ovdje iznesenu
tematiku, kao i pokazati neke od načina konkretnog ostvarenja sigurnosne stijene, te
moguće vrste napada na mrežu i sigurnosnu stijenu kao njen obrambeni bedem.
Također, zbog spomenutog ispreplitanja, te razvoja tehnologije u smjeru obuhvaćanja
naprednih funkcija koje pružaju drugi mehanizmi i njihovog uklapanja u koncept
sigurnosne stijene, potrebno je posvetiti dodatnu pažnju i drugim metodama zaštite.
Prije svega se misli na sustave detekcije upada (IDS), duboku inspekciju paketa (DPI) i
mogućnosti automatske reakcije sigurnosne stijene na detektirane događaje (prekidanje
veza, dodavanje novih pravila filtriranja, ...).
Praktični dio rada predstavio je jednu od mogućnosti ostvarenja roadwarrior VPN
scenarija na Linux-u kao jedne od dodatnih mogućnosti koje pruža sigurnosna stijena. U
tekstu su već opisani problemi ovog ostvarenja, kao i načini na koje su neki od njih
riješeni. Postoje i druge mogućnosti ostvarenja, kao što je već spomenuti FreeS/WAN,
ali potrebno je napomenuti da se nedavno pojavila i nova verzija IPsec-tools-a koja
ispravlja neke od problema automatske konfiguracije racoon roadwarrior klijenta. Stoga
bi daljnji rad na ovoj temi svakako trebao zahvatiti i nove mogućnosti koje se javljaju
razvojem korištenog softvera. Također, potrebno je obratiti pažnju i na
interoperabilnost sa Windows klijentima, kao i klijentima drugih operacijskih sustava,
koja u ovom radu nije dovoljno istražena.
“The strength of a wall depends on the courage of those who defend it.”
– Džingis Kan, mongolski vladar i vojskovođa
Literatura
I. Dubrawsky, Firewall Evolution – Deep packet inspection, dostupno na Internet adresi
http://www.securityfocus.com/infocus/1716, (21/12/2005)
Check Point Firewall-1 Datasheet, dostupno na Internet adresi
http://www.checkpoint.com/products/downloads/firewall-1_datasheet.pdf, (11/12/2005)
Cisco Systems, Cisco PIX, dostupno na Internet adresi
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/index.html, (11/12/2005)
Wikipedia VPN, dostupno na Internet adresi http://en.wikipedia.org/wiki/VPN, (9/12/2005)
Wikipedia SSL, dostupno na Internet adresi http://en.wikipedia.org/wiki/Secure_Sockets_Layer,
(9/12/2005)
Wikipedia DPI, dostupno na Internet adresi http://en.wikipedia.org/wiki/Deep_packet_inspection,
(9/12/2005)
Wikipedia Sigurnosna stijena, dostupno na Internet adresi
http://en.wikipedia.org/wiki/Firewall_%28networking%29, (9/12/2005)
HoneyWall CDROM, dostupno na Internet adresi http://www.honeynet.org/tools/cdrom/,
(21/12/2005)
SANS IDS FAQ, dostupno na Internet adresi http://www.sans.org/resources/idfaq/index.php,
(11/12/2005)
HoneyNet Project, dostupno na Internet adresi http://project.honeynet.org/, (11/12/2005)
NETFILTER/iptables, dostupno na Internet adresi http://www.netfilter.org/projects/iptables/index.html
, (11/12/2005)
Packet Filtering HOWTO, dostupno na Internet adresi
http://www.netfilter.org/documentation/HOWTO//packet-filtering-HOWTO.html, (11/12/2005)
Literatura
NAT HOWTO, dostupno na Internet adresi
http://www.netfilter.org/documentation/HOWTO//NAT-HOWTO.html, (11/12/2005)
The SANS Top 20 Internet Security Vulnerabilities, dostupno na Internet adresi
http://www.sans.org/top20/, (12/12/2005)
Gerhard Zaugg, Swiss Federal Institute of Technology, Firewall Testing, dostupno na Internet adresi
http://www.infsec.ethz.ch/people/dsenn/DA_GerryZaugg_05.pdf, (12/12/2005)
Dr. Thomas W. Shinder, Cherie Amon, Robert J. Shimonski, Debra Littlejohn Shinder: BEST DAMN
FIREWALL BOOK PERIOD, dostupno na Internet adresi http://www.syngress.com, 2003, ISBN: 1-
931836-90-6
Elizabeth D. Zwicky, Simon Cooper, D. Brent Chapman : Building Internet Firewalls SE, dostupno na
Internet adresi http://www.oreilly.com, 2000, ISBN: 1-56592-871-7
Charlie Scott, Paul Wolfe, Mike Erwin : Virtual Private Networks SE, dostupno na Internet adresi
http://www.oreilly.com, 1999, ISBN: 1-56592-529-7
Ralf Spenneberg, IPsec HOWTO, dostupno na Internet adresi http://www.ipsec-howto.org,
(15/5/2006)
Shrew Soft Inc. , ShrewSoft VPN Client, dostupno na Internet adresi http://www.shrew.net/,
(10/6/2006)
IPsec-tools, dostupno na Internet adresi http://ipsec-tools.sourceforge.net/, (15/5/2006)
Setkey manual, dostupno na Internet adresi
http://netbsd.gw.com/cgi-bin/man-cgi?setkey++NetBSD-current, (15/5/2006)
Racoon manual, dostupno na Internet adresi
http://netbsd.gw.com/cgi-bin/man-cgi?racoon++NetBSD-current, (15/5/2006)
Racoon.conf manual, dostupno na Internet adresi
http://netbsd.gw.com/cgi-bin/man-cgi?racoon.conf+5+NetBSD-current, (15/5/2006)
Racoonctl manual, dostupno na Internet adresi
http://netbsd.gw.com/cgi-bin/man-cgi?racoonctl++NetBSD-current, (15/5/2006)