LABORATIONSRAPPORT Säkerhet och Sårbarhet Laboration 1
Download
Report
Transcript LABORATIONSRAPPORT Säkerhet och Sårbarhet Laboration 1
LABORATIONSRAPPORT
Säkerhet och Sårbarhet
Laboration 1
Brandväggar
Laborant/er:
Robin Cedermark
Erik Gylemo
Jimmy Johansson
Oskar Löwendahl
Jakob Åberg
Klass:
DD12
Laborationsansvarig:
Martin Andersson
Hans Ericsson
Utskriftsdatum:
2013-04-02
Godkänd / Ej Godkänd den ___________
Signatur:__________________________
Ev anm:
Säkerhet och Sårbarhet
Brandväggar
1
Laboration 1
Syfte
Att få en inblick i hur man praktiskt sätter upp en brandvägg för ett mindre till medelstort företag,
enligt DMZ-modellen.
2
Förberedelser
En föreläsning om brandväggar och grundläggande konfigurerande av hem- ”brandväggar”.
3
Genomförande
3.1
Stateful och Stateless
En Stateful brandvägg är en brandvägg som kan ha koll på nätverkskopplingar (T.ex. TCP
paketströmmar) och lagrar sessioner i sitt minne. Brandväggen kollar på attributen i sessionen,
attributen kan t.ex. vara IP-nummer, portnummer och sekvensnummer. En Stateful behöver alltså
inte granska varje paket individuellt som är del av en etablerad session. Bara paket som matchar
aktiva nätverkskopplingar släpps igenom brandväggen. För att inte minnet ska bli fullt så kastas
sessioner som inte har haft någon trafik under en viss period.
En Stateless brandvägg är en brandvägg som arbetar väldigt enkelt och effektivt. Den kan sortera
små paket väldigt snabbt. Den kan inte avgöra om ett paket finns med i en session och kan alltså
inte se om det finns etablerad trafik mellan två datorer som skickas, utan ser bara enskilda paket och
sorterar efter vilka attribut den har och efter vilka brandväggsregler som gäller.
Skillnaden mellan Stateful och Stateless är att Stateless inte har någon aning om ett paket är med i
en existerande nätverkskoppling och måste därför granska varje paket. Stateful kan släppa igenom
strömmar av paket i en etablerad session. Stateless brandväggen behöver mindre minne än vad en
Stateful brandvägg behöver.
Filnamn: Laboration1.docx
Formatmall: Laborationsrapport.dot
Sidan 2 av 16
Säkerhet och Sårbarhet
Brandväggar
4
Resultat
4.1
Cisco ASA
Laboration 1
Detta är den logiska uppkopplingen för vårt Cisco ASA nät. Servern i DMZ nätet använde vi oss av
en vanliga PC med Filezilla och Apache för att köra FTPen och webbservern.
Filnamn: Laboration1.docx
Formatmall: Laborationsrapport.dot
Sidan 3 av 16
Säkerhet och Sårbarhet
Brandväggar
Laboration 1
aaa authentication http console LOCAL
http server enable
http 193.10.160.0 255.255.255.0 inside, senare i labben bytte vi ut IP adressen här till 192.168.100.0
samt att vi bytte VLANet från inside till management för att hindra så att alla från labbnätet skulle
kunna komma åt vår ASA. De här tre kommandona samt grundläggande VLAN interface
konfiguration gav oss tillgång till brandväggens grafiska gränssnitt, ASDM.
Utan tidigare kunskap med ASDM valde vi att använda Startup Wizarden, här valde vi vilka
Ethernet portar på brandväggen skulle allokeras till vilket VLAN och med det till vilket nät.
Filnamn: Laboration1.docx
Formatmall: Laborationsrapport.dot
Sidan 4 av 16
Säkerhet och Sårbarhet
Brandväggar
Laboration 1
Vi behövde en default route på brandväggen för att kunna komma åt internet.
Vi valde att använda statisk och dynamisk NAT. Den statiska NATen vi använde oss av var därför
vår server i DMZ nätet. Vår dynamiska NAT använde vi för resten av näten.
Denna brandväggsregelen används för att tillåta FTP och Webbserver tjänsternas trafik från de
publika IP adresserna till DMZ servern. Det här ändrade vi senare när vi var tvungna att byta IP
adressen på DMZ servern till 192.168.10.40 istället för 192.168.10.2.
DMZ hade 3 regler i sin ACL, inkluderat Implicit deny regeln. Den första regeln tillät vem som
helst i DMZ nätet att komma åt MS-UPDATE servern. Den andra regeln tillät vem som helst i
DMZ nätet att få en tid från NTP servern för att få en korrekt klocka.
Filnamn: Laboration1.docx
Formatmall: Laborationsrapport.dot
Sidan 5 av 16
Säkerhet och Sårbarhet
Laboration 1
Brandväggar
Inside hade 3 regler i sin ACL, inkluderat Implicit deny regeln. Första regeln var till för att blockera
peer-2-peer program från det privata nätverket. Den andra regeln tillät all IP trafik från Inside
nätverket utåt.
Outside hade 3 regler i sin ACL, inkluderat Implicit deny regeln. Den första regeln gjorde vi i
relation till filtreringen på väg in till DMZan, den skapades för att tillåta FTP och http trafik till
193.10.160.64 som sen blir NATat till 192.168.10.40 som är DMZ server IP adressen. Den andra
regeln skapades för att tillåta alla trafik från dnlab DNS servern till hela nätet.
Fungerar!
Här hade vi fått igång webbservern att kunna bli åtkommen från datorer utanför nätet som anslöt
mot 193.10.160.64 adressen.
Filnamn: Laboration1.docx
Formatmall: Laborationsrapport.dot
Sidan 6 av 16
Säkerhet och Sårbarhet
Brandväggar
Laboration 1
Här är FTP servern igång på DMZ servern och det har varit ett uppkopplingsförsök(som skulle
fungerat om vi konfigurerat användarkonton på filezilla). IP adressen på datorn är 192.168.10.40
och uppkopplingen gjordes på en dator utanför nätet som anslöt mot IP adressen 193.10.160.64 dvs
Inside global adressen för DMZ servern.
Filnamn: Laboration1.docx
Formatmall: Laborationsrapport.dot
Sidan 7 av 16
Säkerhet och Sårbarhet
Brandväggar
4.2
Laboration 1
Gnatbox
Hur Gnatboxen kopplades och de olika IP-adresserna på outside interfacet (.145, .146) är alias, .147
är det som är satt på interfacet.
Vi började med att ansluta till Gnatboxen med hjälp av console-porten och skapade en användare.
Vi gav den användaren rättigheter att ansluta via nätet.
Vi anslöt oss till klientnätet och surfade in på 192.168.71.254 vilket är standard adressen för Gnatgateway.
Filnamn: Laboration1.docx
Formatmall: Laborationsrapport.dot
Sidan 8 av 16
Säkerhet och Sårbarhet
Brandväggar
Laboration 1
Vi började med att konfigurera upp näten. Det finns även en default route som är riktad till default
gateway.
Det konto vi skapade för att konfigurera Gnatboxen.
Filnamn: Laboration1.docx
Formatmall: Laborationsrapport.dot
Sidan 9 av 16
Säkerhet och Sårbarhet
Brandväggar
Laboration 1
Vi skapade accesslistor så att trafik från dmz nätet bara skulle kunna ansluta till MS.Update och
NTP.
Klientnätet kan ansluta till DMZ och till internet men inte använda peer-2-peer eftersom att port 411
är blockerad.
Internet kommer inte åt något nät, för att de ska komma åt DMZ så är vi tvungna att skapa alias och
tunnlar.
Två alias var skapade, det ena går till webb/ftp servern och det andra går till DMZ nätet (för att det
ska komma åt MS.update och NTP).
Filnamn: Laboration1.docx
Formatmall: Laborationsrapport.dot
Sidan 10 av 16
Säkerhet och Sårbarhet
Brandväggar
Laboration 1
Tunnlar kopplade till alias, så att internet kommer åt det de ska komma åt.
Filnamn: Laboration1.docx
Formatmall: Laborationsrapport.dot
Sidan 11 av 16
Säkerhet och Sårbarhet
Brandväggar
4.3
Laboration 1
pfSense
Här visar vi en översiktsbild på hur vårt nätverk ser ut. Vi valde att köra pfSense virtuellt via en
fysisk HP DL360 rackserver och genom VM Ware vSphere. Vi använde oss utav tre stycken fysiska
interface på rackservern som vi kopplade till våran virtuella pfSense.
Val av interface i skapandet av pfSense
Filnamn: Laboration1.docx
Formatmall: Laborationsrapport.dot
Här ser vi interfacen som finns på HP DL360
Sidan 12 av 16
Säkerhet och Sårbarhet
Laboration 1
Brandväggar
När vi hade installerat pfSense så konfigurerade vi upp våra olika interface så att vi kunde ansluta
via webben för att fortsätta konfigurera via webbgui.
När vi började konfigurera via webbinterfacet så började vi med att gå igenom kravspecifikationen i
uppgiften och kryssa av punkt för punkt.
*För att lösa så att det skulle kunna finnas två administratörer med tillgång till pfSense så skapade
vi två användare och la med de i admins gruppen som har tillgång till brandväggen.
*Sen för att skydda företagets servrar från externa och interna hot skall dessa ligga på ett separat
nät, enligt DMZ- modellen har vi gjort vilket visas i bilden längst upp där vi har alla servrar i DMZnätet och alla klienter finns under LAN-nätet.
Filnamn: Laboration1.docx
Formatmall: Laborationsrapport.dot
Sidan 13 av 16
Säkerhet och Sårbarhet
Brandväggar
Laboration 1
*För att ingen skall kunna använda företagets serverar för att slå mot andra och för att servrarna inte
skall kunna sprida virus till andra nät skall dessa inte kunna initiera kontakt med annat än med MSUpdate (Simuleras här av: 193.10.208.145 port 80 TCP). Servrarna i DMZ ska även kunna ställa
sina klockor med hjälp av NTP, t.ex. ntp1.sth.netnod.se.
För att lösa detta så satte vi upp brandväggsregler för DMZ-nätet där vi började med att tillåta all
trafik in från ntp1.sth.netnod.se som hade ip-adress 192.36.144.22 och från 193.10.208.145. Här
hade vi kunnat välja till vilka servrar de ska få åtkomst till istället för alla maskiner i DMZ-nätet
men eftersom vi specificerar på portnummer så tycker vi att det räcker. Vi avslutar vår lista med att
blockera all annan trafik.
*På grund av ett växande problem med peer-2-peer program skall även port 411 förbjudas från det
privata nätet.
För att blockera den typen av trafik så sätter vi upp ännu en brandväggsregel fast den här gången på
LAN-interfacet. Här fanns det redan två regler från början så när vi lade till vår regel som blockerar
trafiken från det lokala nätet på port 411 till alla så hamnar den längst ner. För att vår regel ska
fungera då måste man flytta upp den ovanför den regeln som tillåter all trafik.
Sen måste vi se till så våra medarbetare kan surfa från sitt LAN-nät ut på internet så då måste vi
aktivera NAT.
Filnamn: Laboration1.docx
Formatmall: Laborationsrapport.dot
Sidan 14 av 16
Säkerhet och Sårbarhet
Brandväggar
Laboration 1
Sen så har vi ju vår Webb och FTP server som vi måste tillåta trafik in till. Det gör vi först med
hjälp av brandväggsregler för WAN-interfacet, vi tillåter http och ftp trafik till vår server som har
ip-adress 10.0.1.10 sen väljer vi att blockera all annan trafik in.
Filnamn: Laboration1.docx
Formatmall: Laborationsrapport.dot
Sidan 15 av 16
Säkerhet och Sårbarhet
Brandväggar
Laboration 1
Sen måste vi se till att brandväggen förstår vart den ska skicka trafiken vilket vi gör med en NATregel.
Samt med hjälp av ett alias
Filnamn: Laboration1.docx
Formatmall: Laborationsrapport.dot
Sidan 16 av 16