Εργαστηριακές Ασκήσεις με Cisco Routers 871W

Transcript

1 Αριστοτέλειο Πανεπιστήμιο Θεσσαλονίκης Πρόγραμμα Μεταπτυχιακών Σπουδών Τμήμα Πληροφορικής Εργαστηριακές Ασκήσεις με Cisco Routers 871W Θεοδωρίδης Κωνσταντίνος Α.Μ. 178 Κατεύθυνση: Επικοινωνιακά Συστήματα και Τεχνολογίες 2008

2 Μεταπτυχιακή Διατριβή Εργαστηριακές Ασκήσεις με Cisco Routers 871W για προπτυχιακά μαθήματα με έμφαση στη διαχείριση και την ασφάλεια επικοινωνιακών συστημάτων. Θεοδωρίδης Κωνσταντίνος Α.Μ. 178 ΕΠΙΒΛΕΠΩΝ ΚΑΘΗΓΗΤΗΣ Γεώργιος Παπαδημητρίου : Αναπληρωτής Καθηγητής Τμήματος Πληροφορικής Περίληψη Στην παρούσα μεταπτυχιακή διατριβή εξετάζονται οι δυνατότητες των Cisco Router 871W όσον αφορά την διαχείριση και την ασφάλεια που μπορούν να προσφέρουν σε δικτυακά περιβάλλοντα. Πιο συγκεκριμένα εξετάζονται υπό μορφή ασκήσεων οι δυνατότητες του τείχους προστασίας που παρέχουν μέσω εφαρμογής ρυθμίσεων κανόνων, το IPSec για την υλοποίηση ασφαλών καναλιών επικοινωνίας, το IPS που είναι ενσωματωμένο στους δρομολογητές για την αναγνώριση και προστασία από επιθέσεις ενώ σε σχέση με τη διαχείριση το SNMP. Αρχικά γίνεται μια περιγραφή των Cisco Router 871W, των δυνατοτήτων τους, του τρόπου σύνδεσης σε αυτά και τις γλώσσας IOS (γλώσσα εντολών CISCO για τη ρύθμιση του δρομολογητή) με τις βασικές εντολές που θα χρειαστούμε για την εκτέλεση των ασκήσεων. Έπειτα, από τη σύντομη γνωριμία με το υλικό και τη γλώσσα IOS ακολουθούν ασκήσεις πάνω στα θεματικά αντικείμενα που περιγράφηκαν παραπάνω. Για κάθε θεματικό αντικείμενο παρέχεται θεωρητική προσέγγιση ενώ στη συνέχεια ακολουθούν ασκήσεις όπου εφαρμόζονται σενάρια χρήσεων των τεχνολογιών που αναλύθηκαν παραπάνω. 2

3 ΕΥΧΑΡΙΣΤΙΕΣ Η παρούσα διατριβή αφορά την παραγωγή εργαστηριακών ασκήσεων για τους προπτυχιακούς φοιτητές του τμήματος Πληροφορικής του Αριστοτελείου Πανεπιστημίου Θεσσαλονίκης. Η εργασία αυτή πραγματοποιήθηκε με την υλικοτεχνική υποδομή του εργαστηρίου «Αρχιτεκτονικής και Δικτύων Υπολογιστών» του τμήματος Πληροφορικής του Α.Π.Θ. Θα ήθελα να εκφράσω τις ειλικρινείς μου ευχαριστίες στον Αναπληρωτή Καθηγητή του Τμήματος Πληροφορικής του Αριστοτελείου Πανεπιστημίου Θεσσαλονίκης κ. Γεώργιο Παπαδημητρίου και τους Λέκτορες κ. Πέτρο Νικοπολιτίδη και κ. Νικόλαο Πλέρο για τη συνεχή επίβλεψη, καθοδήγηση, συμπαράσταση και ενθάρρυνσή μου και την παροχή του υλικοτεχνικού εξοπλισμού και του εργαστηρίου, που έκαναν την προσπάθεια μου ευκολότερη καθ όλη τη διάρκεια της εκπόνησης της μεταπτυχιακής μου διατριβής. Θα ήθελα επίσης να ευχαριστήσω τους φίλους και συναδέλφους μου Πολυξένη Γούσια, Ερρίκο Σιάκα, Θωμά Παπαγεωργίου και Περικλή Νικολαΐδη για τις εποικοδομητικές συζητήσεις επί θεμάτων σχετικών με την παρούσα εργασία, οι οποίες συχνά βοηθούσαν στην επίλυση θεωρητικών και πρακτικών προβλημάτων. Επιπλέον, πολύτιμη υπήρξε η συμπαράσταση και υποστήριξη του φίλου μου στο NOC Νίκου Κωστόπουλου. Η συμβολή του σε κρίσιμες στιγμές αυτής της προσπάθειας υπήρξε καθοριστική και οδήγησε τελικά, κατά την προσωπική μου άποψη, σε ένα αρκετά επιτυχημένο αποτέλεσμα. Τέλος, θα ήθελα ιδιαίτερα να ευχαριστήσω τη Μαρίνα για την πολύτιμη βοήθεια και συμπαράστασή της όλα αυτό το χρονικό διάστημα. 3

4 Περιεχόμενα ΚΕΦΑΛΑΙΟ 1 Ο 1.1 ΕΙΣΑΓΩΓΗ CISCO 871W ΔΟΜΗ ΤΟΥ ΔΡΟΜΟΛΟΓΗΤΗ ΣΥΝΔΕΣΗ ΜΕ ΤΟ ΔΡΟΜΟΛΟΓΗΤΗ ΒΑΣΙΚΕΣ ΕΝΤΟΛΕΣ ΔΙΑΧΕΙΡΙΣΗΣ Χρήση βοήθειας Χρήση διασωλήνωσης Εμφάνιση πληροφοριών Εντολές Διαχείρισης ΒΙΒΛΙΟΓΡΑΦΙΑ ΗΛΕΚΤΡΟΝΙΚΕΣ ΠΗΓΕΣ ΚΕΦΑΛΑΙΟ 2 Ο FIREWALLS 2.1 ΕΙΣΑΓΩΓΗ ΤΕΧΝΟΛΟΓΙΕΣ FIREWALL PACKET FILTERING Πληροφορίες Φιλτραρίσματος Πλεονεκτήματα των Packet Filtering Firewalls Περιορισμοί των Packet Filtering Firewalls APPLICATION GATEWAY FIREWALLS (AGFS) PROXIES Κατηγορίες των Application Gateway Firewalls Connection Gateway Firewalls Cut Through Proxy Firewalls Πλεονεκτήματα των Application Gateway Firewalls Μειονεκτήματα των Application Gateway Firewalls STATEFUL INSPECTION Πλεονεκτήματα των Stateful Firewalls Μειονεκτήματα των Stateful Firewalls CISCO IOS SOFTWARE ΑΣΚΗΣΕΙΣ ΣΕΝΑΡΙΟ ΤΟΠΟΛΟΓΙΑ ΕΡΓΑΛΕΙΑ ΠΗΓΕΣ

5 ΛΙΣΤΑ ΕΝΤΟΛΩΝ IOS ΠΟΥ ΘΑ ΧΡΕΙΑΣΤΟΥΜΕ ΆΣΚΗΣΗ 1Η. ΑΥΤΟΜΑΤΕΣ ΡΥΘΜΙΣΕΙΣ ΓΙΑ ΤΟ ΤΕΙΧΟΣ ΠΡΟΣΤΑΣΙΑΣ ΆΣΚΗΣΗ 2Η. ΔΗΜΙΟΥΡΓΙΑ ΚΑΙ ΧΡΗΣΗ ΛΙΣΤΩΝ ΠΡΟΣΒΑΣΗΣ (ACLS) ΜΕ ΒΑΣΗ ΤΟ ΠΕΡΙΕΧΟΜΕΝΟ (CONTEXT BASED) ΆΣΚΗΣΗ 3Η. ΠΡΟΣΤΑΣΙΑ ΑΠΟ ΕΠΙΚΙΝΔΥΝΑ JAVA APPLETS ΆΣΚΗΣΗ 4Η. ΠΡΟΣΤΑΣΙΑ ΑΠΟ ΕΠΙΘΕΣΕΙΣ ΆΡΝΗΣΗΣ ΥΠΗΡΕΣΙΑΣ (DOS) (CISCO 7200 SERIES) ΒΙΒΛΙΟΓΡΑΦΙΑ ΗΛΕΚΤΡΟΝΙΚΕΣ ΠΗΓΕΣ ΚΕΦΑΛΑΙΟ 3 Ο INTRUSION PREVENTION SYSTEM (IPS) 3.1 ΕΙΣΑΓΩΓΗ ΤΥΠΟΙ ΕΠΙΘΕΣΕΩΝ ΕΠΙΘΕΣΕΙΣ ΑΝΑΓΝΩΡΙΣΗΣ ΕΠΙΘΕΣΕΙΣ ΠΡΟΣΒΑΣΗΣ ΕΠΙΘΕΣΕΙΣ ΆΡΝΗΣΗΣ ΥΠΗΡΕΣΙΑΣ (DENIAL OF SERVICE (DOS) ATTACKS) ΥΛΟΠΟΙΗΣΕΙΣ IPS ΔΙΚΤΥΑΚΗ ΥΛΟΠΟΙΗΣΗ ΥΛΟΠΟΙΗΣΗ ΣΕ ΣΤΑΘΜΟ ΕΡΓΑΣΙΑΣ ΜΕΘΟΔΟΛΟΓΙΕΣ ΥΛΟΠΟΙΗΣΗΣ ΤΟΥ IPS ΠΡΟΦΙΛ (PROFILES) ΥΠΟΓΡΑΦΕΣ (SIGNATURES) IPS ΥΠΟΓΡΑΦΕΣ ΥΛΟΠΟΙΗΣΕΙΣ ΥΠΟΓΡΑΦΩΝ ΔΟΜΗ ΥΠΟΓΡΑΦΩΝ ΒΑΣΙΚΗ ΚΑΤΗΓΟΡΙΟΠΟΙΗΣΗ Πίνακας 3 1. Κατηγοριοποίηση υπογραφών Cisco Η ΔΙΑΔΙΚΑΣΙΑ IPS ΘΕΜΑΤΑ ΑΠΟΔΟΣΗΣ ΜΝΗΜΗΣ ΆΣΚΗΣΗ ΣΕΝΑΡΙΟ ΤΟΠΟΛΟΓΙΑ ΕΡΓΑΛΕΙΑ ΠΗΓΕΣ ΛΙΣΤΑ ΕΝΤΟΛΩΝ IOS ΠΟΥ ΘΑ ΧΡΕΙΑΣΤΟΥΜΕ ΒΗΜΑ 1. ΕΝΕΡΓΟΠΟΙΗΣΗ ΤΟΥ IPS ΣΤΟ ΔΡΟΜΟΛΟΓΗΤΗ ΒΗΜΑ 2. ΦΟΡΤΩΣΗ ΥΠΟΓΡΑΦΩΝ ΒΗΜΑ 3. ΣΥΓΧΩΝΕΥΣΗ ΤΟΥ ΑΡΧΕΙΟΥ ΥΠΟΓΡΑΦΩΝ ATTACK DROP.SDF ΜΕ ΤΟ ΠΡΟΚΑΘΟΡΙΣΜΕΝΟ ΑΡΧΕΙΟ ΥΠΟΓΡΑΦΩΝ ΒΗΜΑ 4. ΕΠΑΛΗΘΕΥΣΗ ΤΩΝ ΡΥΘΜΙΣΕΩΝ ΒΗΜΑ 5. ΔΗΜΙΟΥΡΓΙΑ ΚΑΙ ΚΑΤΑΓΡΑΦΗ ΜΗΝΥΜΑΤΟΣ ΒΙΒΛΙΟΓΡΑΦΙΑ ΗΛΕΚΤΡΟΝΙΚΕΣ ΠΗΓΕΣ

6 ΚΕΦΑΛΑΙΟ 4 Ο IPSEC 4.1 ΕΙΣΑΓΩΓΗ IPSEC ΠΡΩΤΟΚΟΛΛΟ AH ΠΡΩΤΟΚΟΛΛΟ ESP ΚΡΥΠΤΟΓΡΑΦΗΣΗ ΔΕΔΟΜΕΝΩΝ INTERNET KEY EXCHANGE (IKE) ΚΑΤΑΣΤΑΣΕΙΣ ΛΕΙΤΟΥΡΓΙΑΣ ΤΟΥ IPSEC ΆΣΚΗΣΗ. ΡΥΘΜΙΣΗ ΤΟΥ IPSEC ΣΕΝΑΡΙΟ ΤΟΠΟΛΟΓΙΑ ΕΡΓΑΛΕΙΑ ΠΗΓΕΣ ΛΙΣΤΑ ΕΝΤΟΛΩΝ IOS ΠΟΥ ΘΑ ΧΡΕΙΑΣΤΟΥΜΕ ΒΗΜΑ 1. ΠΡΟΕΤΟΙΜΑΣΙΑ ΓΙΑ ΝΑ ΡΥΘΜΙΣΟΥΜΕ ΤΗΝ ΥΠΟΣΤΗΡΙΞΗ ΓΙΑ VPN ΒΗΜΑ 2. ΡΥΘΜΙΣΕΙΣ ΠΑΡΑΜΕΤΡΩΝ ΓΙΑ ΤΟ IKE ΒΗΜΑ 3. ΡΥΘΜΙΣΗ ΤΩΝ ΠΑΡΑΜΕΤΡΩΝ ΤΟΥ IPSEC ΒΗΜΑ 4. ΕΠΑΛΗΘΕΥΣΗ ΚΑΙ ΔΟΚΙΜΗ ΤΩΝ IPSEC ΡΥΘΜΙΣΕΩΝ ΒΗΜΑ 5. ΡΥΘΜΙΣΤΕ ΚΑΛΥΤΕΡΑ ΤΗΝ CRYPTO ACL(ΠΡΟΑΙΡΕΤΙΚΟ) ΒΙΒΛΙΟΓΡΑΦΙΑ ΗΛΕΚΤΡΟΝΙΚΕΣ ΠΗΓΕΣ ΚΕΦΑΛΑΙΟ 5 Ο SNMP 5.1 ΕΙΣΑΓΩΓΗ ΣΤΑΘΜΟΣ ΔΙΑΧΕΙΡΙΣΗΣ ΔΙΚΤΥΟΥ (NMS) ΔΙΑΧΕΙΡΙΖΟΜΕΝΕΣ ΣΥΣΚΕΥΕΣ ΒΑΣΗ ΔΙΑΧΕΙΡΙΣΗΣ ΠΛΗΡΟΦΟΡΙΑΣ (ΜΙΒ) Η ΛΕΙΤΟΥΡΓΙΑ ΤΟΥ ΠΡΩΤΟΚΟΛΛΟΥ ΠΛΕΟΝΕΚΤΗΜΑΤΑ ΤΟΥ SNMP ΜΕΙΟΝΕΚΤΗΜΑΤΑ ΤΟΥ SNMP SNMP ΚΑΙ CISCO IOS ΆΣΚΗΣΗ ΣΕΝΑΡΙΟ ΤΟΠΟΛΟΓΙΑ ΕΡΓΑΛΕΙΑ ΠΗΓΕΣ ΛΙΣΤΑ ΕΝΤΟΛΩΝ IOS ΠΟΥ ΘΑ ΧΡΕΙΑΣΤΟΥΜΕ

7 ΒΗΜΑ 1. ΑΝΟΙΓΟΥΜΕ ΤΟΝ KIWI SYSLOG ΒΗΜΑ 2. ΕΝΕΡΓΟΠΟΙΗΣΤΕ ΤΟ SNMP COMMUNITY STRING ΒΗΜΑ 3. ΚΑΤΑΧΩΡΗΣΤΕ ΠΛΗΡΟΦΟΡΙΕΣ ΓΙΑ ΤΗΝ ΕΠΙΚΟΙΝΩΝΙΑ ΜΕ ΤΟΝ SNMP AGENT ΒΗΜΑ 4. ΡΥΘΜΙΣΤΕ ΤΟ ΔΡΟΜΟΛΟΓΗΤΗ ΝΑ ΑΠΟΣΤΕΛΛΕΙ TRAPS ΣΕ ΕΝΑ ΣΤΑΘΜΟ ΒΗΜΑ 5. ΔΟΚΙΜΑΣΤΕ ΤΙΣ ΡΥΘΜΙΣΕΙΣ ΒΗΜΑ 6. ΠΕΡΙΟΡΙΣΤΕ ΤΗ ΧΡΗΣΗ ΤΟΥ SNMP ΣΤΟΝ ΕΣΩΤΕΡΙΚΟ SERVER ΒΗΜΑ 7. ΑΠΕΝΕΡΓΟΠΟΙΗΣΗ SNMP TRAPS ΒΗΜΑ 8. ΑΠΕΝΕΡΓΟΠΟΙΗΣΗ SNMP ΚΑΙ ΣΧΕΤΙΖΟΜΕΝΩΝ ΛΙΣΤΩΝ ΠΡΟΣΒΑΣΗΣ ΒΙΒΛΙΟΓΡΑΦΙΑ ΗΛΕΚΤΡΟΝΙΚΕΣ ΠΗΓΕΣ ΠΑΡΑΡΤΗΜΑ Α. ΕΓΚΑΤΑΣΤΑΣΗ IOS Β. ΑΠΟΘΗΚΕΥΣΗ ΤΟΥ IOS ΣΕ PC

8 Κεφάλαιο 1 ο Εισαγωγή Cisco Router 871W Δομή Δυνατότητες Σύνδεση Επικοινωνία Γλώσσα Επικοινωνίας IOS 8

9 1.1 Εισαγωγή Στο κεφάλαιο αυτό θα μελετήσουμε το υλικό που παρέχεται στο εργαστήριο και τις δυνατότητές του, ενώ στη συνέχεια θα εξετάσουμε το λογισμικό που τα συνοδεύει, ένα λειτουργικό σύστημα με πολλές δυνατότητες γνωστό ως IOS Internetworking Operating System. Το λογισμικό IOS των δρομολογητών Cisco είναι υπεύθυνο για : Την υποστήριξη δικτυακών λειτουργιών και πρωτοκόλλων Διασυνδέσεις υψηλών ταχυτήτων μεταξύ συσκευών Την προσθήκη υπηρεσιών ασφαλείας για τον έλεγχο πρόσβασης και την προστασία από προσπάθειες αναρμόδιας χρήσης Την παροχή δυνατοτήτων κλιμάκωσης για την επέκταση υπαρχόντων δικτύων Τη δημιουργία αξιόπιστων δικτύων για τη διασύνδεση με δικτυακούς πόρους Για την εξοικείωση με το υλικό και τη διαχείριση του, θα δοθούν παραδείγματα διασύνδεσης με αυτό καθώς και βασικές εντολές του IOS και συντομεύσεις που θα βοηθήσουν στη κατανόηση του τρόπου λειτουργίας και θα κάνουν ευκολότερη την κατανόηση των ασκήσεων των επόμενων κεφαλαίων. 9

10 1.2 Cisco 871W Η σειρά 871W της Cisco έχει τα παρακάτω χαρακτηριστικά Μνήμη RAM: 128 MB (εγκατεστημένη) / 256 MB (μέγιστη) Flash Memory: 24 MB (εγκατεστημένη) / 52 MB (μέγιστη) Επεκτάσεις / Διασυνδέσεις 4 δικτυακές θύρες Ethernet 10Base T/100Base TX RJ 45 (LAN) 1 δικτυακή θύρα Ethernet 10Base T/100Base TX RJ 45 ( WAN ) 2 Hi Speed USB 4 PIN USB Type A Ethernet (wireless) 1 θύρα διαχείρισης μέσω κονσόλας RJ 45 Δικτύωση Δυνατότητες: Τείχος προστασίας (Firewall), υποστήριξη DHCP, Ιδεατά ιδιωτικά Δίκτυα (VPN), Υποστήριξη ιδεατών τοπικών δικτύων (VLAN), auto uplink (auto MDI/MDI X), manageable, Υποστήριξη για IPv6 και Intrusion Prevention System (IPS) Τεχνολογία διασύνδεσης: Ασύρματη Ενσύρματη Πρωτόκολλα επιπέδου σύνδεσης δεδομένων (Data Link): Ethernet, Fast Ethernet, IEEE b, IEEE g Πρωτόκολλα επιπέδων δικτύωσης / μεταφοράς: PPTP, L2TP, IPSec, PPPoE, PPPoA Υποστηριζόμενα πρότυπα: IEEE b, IEEE g, IEEE 802.1x, Wi Fi CERTIFIED Ταχύτητα μεταφοράς δεδομένων: 54 Mbps (ασύρματο) Απομακρυσμένη διαχείριση: SNMP, Telnet, HTTP Μεταγωγή: Ethernet Πρωτόκολλα δρομολόγησης: RIP 1, RIP 2 Συχνότητα λειτουργίας: 2.4 GHz Διάφορα Συμμόρφωση με τα παρακάτω πρότυπα : EN 60950, IEC , IEC , IEC , IEC , IEC , IEC , IEC , IEC , IEC950, VCCI II, EN55022 Class B, ICES 003 Class B, AS/NZ 3548 Class B, AS/NZS 3260, FCC Part 68, CS 03, UL 1950 Third Edition, EN Αλγόριθμοι κρυπτογράφησης: LEAP, Triple DES, AES, TLS, PEAP, TKIP, WPA PSK 10

11 1.3 Δομή του δρομολογητή Για να μπορέσουμε να διαμορφώσουμε εσωτερικά το δρομολογητή είναι απαραίτητο να γνωρίζουμε την εσωτερική δομή του, τα βασικά συστατικά από τα οποία αποτελείται καθώς και για ποιες εργασίες είναι υπεύθυνο το καθένα. Ένας δρομολογητής Cisco μπορεί να χαρακτηρισθεί ως ένας ειδικού σκοπού υπολογιστής. Έχει το δικό του λειτουργικό σύστημα που ονομάζεται IOS από τις λέξεις Internetwork Operating System (IOS), και επιπλέον έχει το δικό του σύστημα αρχείων ενώ υποστηρίζει καταλόγους και αρχεία. Για το λόγο αυτό γίνεται και αυτή η εισαγωγή ώστε να δοθούν οι απαραίτητες κατευθύνσεις για την καλύτερη διαχείριση του δρομολογητή. Για την αποθήκευση των πληροφοριών οι δρομολογητές της Cisco χρησιμοποιούν μνήμη flash αντί για σκληρούς δίσκους. Η μνήμη αυτή είναι αρκετά πιο ακριβή και πιο αργή ως μέσο αποθήκευσης, ωστόσο το μέγεθος των δεδομένων που χρειάζεται να αποθηκευτούν είναι σχετικά πολύ μικρό σε σχέση με ένα γενικού σκοπού ηλεκτρονικού υπολογιστή. Πλεονέκτημα για τη μνήμη Flash αποτελεί η αξιοπιστία και η διάρκεια ζωής σε σχέση με τους σκληρούς δίσκους. Η αποθήκευση στη μνήμη Flash είναι παρόμοια με αυτή της RAM (Random Access Memory), με τη διαφορά ότι δε χρειάζεται ρεύμα για να διατηρήσει τις πληροφορίες και αντίθετα με τη μνήμη ROM (Read Only Memory), μπορείς να τη σβήσεις και να την ξαναεγγράψεις. Τεχνικά υπάρχουν και άλλα παρόμοια είδη μνήμης όπως η EPROM (Erasable Programmable Read Only Memory) και η EEPROM (Electronically Erasable Programmable Read Only Memory). Η EPROM δεν είναι κατάλληλη για τους δρομολογητές επειδή συνήθως χρειάζεται μια εξωτερική συσκευή συνήθως υπεριώδους φωτός για να σβήσει το chip. Η EEPROM, από την άλλη πλευρά δεν μπορεί να κάνει επιλεκτική διαγραφή αλλά σβήνει όλα τα περιεχόμενα της. Η μνήμη Flash είναι μια ειδικού τύπου EEPROM με τα πλεονεκτήματα που αναφέραμε και κατασκευάζεται από την Intel. Σε κάθε δρομολογητή Cisco υπάρχουν τουλάχιστο δύο κύρια αποθηκευτικά μέσα μη προσωρινής αποθήκευσης. Το configuration του δρομολογητή αποθηκεύεται σε μια συσκευή που ονομάζεται NVRAM (Nonvolatile RAM), ενώ το IOS αποθηκεύεται σε μια συσκευή που ονομάζεται flash. Είναι σημαντικό να γίνει διαχωρισμός ανάμεσα στα δυο μέσα μια και τα δυο χρησιμοποιούν την ίδια τεχνολογία αποθήκευσης (μνήμη flash). Στους περισσότερους δρομολογητές Cisco, η NVRAM περιοχή είναι μεταξύ 16 Kb και 256 Kb και εξαρτάται από το μέγεθος του δρομολογητή αφού μεγαλύτεροι δρομολογητές έχουν συνήθως μεγαλύτερα configuration και χρειάζονται περισσότερη NVRAM. Από την άλλη η μνήμη Flash, είναι αναβαθμίσιμη και μπορεί να έχει μέγεθος μερικές εκατοντάδες Megabytes. Σε κάθε δρομολογητή στην πραγματικότητα υπάρχουν δύο αρχεία ρυθμίσεων (configuration files). Το ένα περιγράφει την τρέχουσα κατάσταση του δρομολογητή και ονομάζεται running config. Ότι αλλαγές κάνουμε σε ρυθμίσεις αυτές αποθηκεύονται στο 11

12 running config. Το άλλο αρχείο ρυθμίσεων είναι αυτό που χρησιμοποιεί ο δρομολογητής για να εκκινήσει και ονομάζεται startup config. Μόνο το startup config βρίσκεται αποθηκευμένο στην NVRAM (το running config βρίσκεται στη RAM). Για το λόγο αυτό είναι σημαντικό να ελέγχουμε περιοδικά αν τα δύο configuration είναι συγχρονισμένα. Τα δύο configuration μπορούν να συγχρονιστούν με μια απλή αντιγραφή του running config στο αρχείο startup config: Router1# copy running config startup config Ο δρομολογητής χρησιμοποιεί τη μεγαλύτερη μονάδα αποθήκευσης που έχει (Flash) για την αποθήκευση του λειτουργικού του συστήματος IOS. Αντίθετα με άλλα λειτουργικά συστήματα, το IOS αποτελείται από ένα μοναδικό αρχείο τύπου εικόνας που περιέχει όλη τη λειτουργικότητα τα χαρακτηριστικά και τις εντολές που είναι διαθέσιμες στο δρομολογητή. Υπάρχουν διαφορετικές εκδόσεις του IOS που υποστηρίζουν διαφορετικά σετ εντολών. Κάθε δρομολογητής έρχεται συνήθως με την πιο απλή έκδοση IOS που όμως είναι υπεραρκετή για τις περισσότερες και συνηθέστερες χρήσεις. Το IOS μπορεί να προμηθευτεί κανείς από τη Cisco ανάλογα με το είδος συμβολαίου που έχει συνάψει με την εταιρεία. Σχήμα 1 1. Λογισμικό IOS και υπηρεσίες υποστήριξης Η αναβάθμιση του IOS σε ένα δρομολογητή γίνεται πρακτικά με τη διαγραφή της εικόνας του IOS από τη μνήμη Flash και την αποθήκευση της νέας εικόνας. Οι κυριότεροι λόγοι που το επιβάλουν αυτό είναι το υποστηριζόμενο σετ εντολών τις κάθε έκδοσης. Για παράδειγμα για την υποστήριξη του IPS (Intrusion Prevention System) χρειάστηκε να εγκατασταθεί το Advanced IP Services (Ο τρόπος εγκατάστασης περιγράφεται στο παράρτημα). Ωστόσο πριν κάνουμε οτιδήποτε είναι απαραίτητο να ελέγξουμε αν ο δρομολογητής έχει την απαραίτητη μνήμη για να αποθηκεύσει το αρχείο εικόνας του IOS. Ο έλεγχος της έκδοσης και της διαθέσιμης μνήμης γίνεται με την εντολή 12

13 Router1# show version Επιπλέον είναι απαραίτητο να γνωρίζετε ότι σε περίπτωση που κάτι δεν πάει καλά με την αναβάθμιση (π.χ. διακοπή ρεύματος) υπάρχει αποθηκευμένο στη ROM ένα μικρό IOS μέσω του οποίου μπορεί να ανοιχτεί μια εξωτερική διασύνδεση και να γίνει η αντιγραφή του αρχείου εικόνας του IOS στη μνήμη flash. Γενικότερα η μνήμη ROM αποτελείται από τρία μέρη: το πρόγραμμα POST (power on self test) για το έλεγχο κατά την εκκίνηση τον βασικών δυνατοτήτων λειτουργιών του υλικού του δρομολογητή το πρόγραμμα bootstrap που εκκινεί το δρομολογητή και μια μικρή έκδοση του IOS. Κατά την εκκίνηση του δρομολογητή αρχικά φορτώνεται το πρόγραμμα POST και γίνονται οι απαραίτητοι έλεγχοι, στη συνέχεια φορτώνεται το bootstrap και τέλος το IOS Στον πίνακα που ακολουθεί φαίνονται τα αυτά τα βασικά συστατικά ενός δρομολογητή και δίνεται μια σύντομη περιγραφή για τη λειτουργία τους. Component Bootstrap Power on self test (POST) ROM monitor Mini IOS Random access memory (RAM) Read only memory (ROM) Flash memory Nonvolatile RAM (NVRAM) Περιγραφή Βρίσκεται αποθηκευμένο στο μικροκώδικα της ROM. Εκκινεί το δρομολογητή και στη συνέχεια φορτώνει το IOS. Βρίσκεται αποθηκευμένο στο μικροκώδικα της ROM, το POST χρησιμοποιείται για το έλεγχο κατά την εκκίνηση τον βασικών δυνατοτήτων λειτουργιών του υλικού του δρομολογητή και καθορίζει ποιες διασυνδέσεις (interfaces) είναι διαθέσιμες. Βρίσκεται αποθηκευμένο στο μικροκώδικα της ROM και χρησιμοποιείται για έλεγχο, εντοπισμό και αντιμετώπιση των σφαλμάτων. Ονομάζεται και RXBOOT από τη Cisco, είναι ένα μικρό IOS που βρίσκεται στη ROM και μπορεί να χρησιμοποιηθεί για να ανοίξει μια διασύνδεση και να φορτώσει ένα IOS στη μνήμη flash. Επίσης μπορεί να χρησιμοποιηθεί και για ορισμένες άλλες λειτουργίες συντήρησης. Χρησιμοποιείται για την αποθήκευση τον πινάκων δρομολόγησης, ως ενδιάμεση μνήμη για πακέτα, ως ARP cache, καθώς και για την αποθήκευση του λογισμικού και των δομών δεδομένων που χρειάζεται για τη σωστή λειτουργία του δρομολογητή. Επιπλέον το running config αποθηκεύεται στη RAM, ενώ οι περισσότεροι δρομολογητές κατά την εκκίνηση φορτώνουν το IOS από τη μνήμη flash στη RAM. Χρησιμοποιείται κατά την εκκίνηση του δρομολογητή. Περιλαμβάνει τα προγράμματα POST και bootstrap, καθώς και το mini IOS. Χρησιμοποιείται ως κύριο μέσο αποθήκευσης του λειτουργικού συστήματος IOS. Η μνήμη Flash δε διαγράφεται κατά την επανεκκίνηση του δρομολογητή. Είναι μια ειδικού τύπου EEPROM που κατασκευάζεται από την Intel. Χρησιμοποιείται για την αποθήκευση του startup config. Η NVRAM δε διαγράφεται κατά την επανεκκίνηση του δρομολογητή ή του switch η έπειτα από διακοπή ρεύματος. Επιπλέον εκεί αποθηκεύεται το αρχείο 13

14 Component Περιγραφή configuration register. Configuration register Χρησιμοποιείται για να ρυθμίζει τον τρόπο που εκκινεί ο δρομολογητής. Η τιμή αυτή βρίσκεται στην τελευταία γραμμή της εντολής show version και έχει την προκαθορισμένη τιμή 0x2102, η οποία λέει στο δρομολογητή να φορτώσει το IOS από τη μνήμη flash και το configuration από την NVRAM. 1.4 Σύνδεση με το δρομολογητή Η σύνδεση με το δρομολογητή μπορεί να γίνει με διάφορους τρόπους όπως με χρήση ειδικού καλωδίου και σύνδεση στη θύρα της κονσόλας ελέγχου, με μόντεμ μέσω της θύρας aux ή ακόμα μέσω Telnet και SSH. Για τα παραδείγματα που θα ακολουθήσουν στο παρόν και στα επόμενα κεφάλαια για μεγαλύτερη ευελιξία χρησιμοποιούμε τη σύνδεση μέσω Telnet. Η προκαθορισμένη διεύθυνση του δρομολογητή είναι: P.1 Όνομα χρήστη: admin Κωδικός εισόδου: cisco123 Σχήμα 1 2. Σύνδεση στο δρομολογητή μέσω telnet Σε κάθε δρομολογητή υπάρχουν τέσσερις δυνατές καταστάσεις διαμόρφωσης ρυθμίσεων. Για να αναγνωρίσουμε σε ποια ακριβώς βρισκόμαστε απλά ελέγχουμε το σύμβολο προτροπής της γραμμής εισόδου. 14

15 Σύμβολο Προτροπής Επίπεδο διαχείρισης Επεξήγηση Router> Επίπεδο χρήστη Περιορισμός σε βασικές εντολές παρακολούθησης της κατάστασης του δρομολογητή Router# Προνομιακό επίπεδο Μπορεί να έχει πρόσβαση σε όλες τις εντολές και να κάνει ρυθμίσεις Router(config)# Γενική διαχείριση (Global) Οι εντολές που δίνονται από το διαχειριστή επηρεάζουν ολόκληρο το σύστημα Router(config subif)# Ειδική Διαχείριση Διαχείριση συγκεκριμένων πόρων / Συνδέσμων / διασυνδέσεων Μπορούμε να μετακινηθούμε στα διάφορα επίπεδα διαχείρισης με τις εντολές που φαίνονται στον πίνακα που ακολουθεί Εντολή Router> enable Router# disable Router# config term Αποτέλεσμα Από το επίπεδο χρήστη πηγαίνουμε στο προνομιακό επίπεδο διαχειριστή όπου μπορούμε να κάνουμε ρυθμίσεις. Ζητείται κωδικός με ανάλογα δικαιώματα Από το προνομιακό επίπεδο διαχείρισης πηγαίνουμε σε επίπεδο χρήστη όπου απλά μπορούμε να παρακολουθούμε την κατάσταση του δρομολογητή Από το προνομιακό επίπεδο μετακινούμαστε σε επίπεδο γενικής διαχείρισης του δρομολογητή Router(config)# exit Έξοδος από οποιαδήποτε επίπεδο διαχείρισης στο προνομιακό (μπορεί να γίνει και με Ctrl+Z) Router(config)# interface <int> Enters interface configuration mode from global configuration mode Router(config)# interface <subint> Enters subinterface configuration mode from global configuration mode Router(config)# line <line> Router(config)# router eigrp 1 Enters line configuration mode from global configuration mode Enters router configuration mode from global configuration mode Για την ευκολότερη και γρηγορότερη πρόσβαση διαχείριση του δρομολογητή δίνονται οι παρακάτω συντομεύσεις και πλήκτρα ειδικών λειτουργιών 15

16 Συντόμευση Ctrl+P ή βέλος Ctrl+N ή βέλος Ctrl+A Ctrl+E Esc+B Esc+F Ctrl+R Ctrl+U Ctrl+W Ctrl+Z Tab Αποτέλεσμα Εμφανίζει την τελευταία εντολή που δόθηκε Εμφανίζει προηγούμενες εντολές που δόθηκαν Μετακινεί τον κέρσορα στην αρχή της γραμμής Μετακινεί τον κέρσορα στο τέλος της γραμμής Μετακινεί τον κέρσορα πίσω κατά μια λέξη Μετακινεί τον κέρσορα προς τα εμπρός κατά μια λέξη Επανεμφανίζει μια γραμμή Διαγράφει μια γραμμή Διαγράφει μια λέξη Τερματίζει την κατάσταση ρύθμισης παραμέτρων και επιστρέφει στην EXEC κατάσταση Ολοκληρώνει την πληκτρολόγηση μιας εντολής (δεν είναι δηλαδή απαραίτητο να πληκτρολογήσουμε όλη την εντολή) 1.5 Βασικές Εντολές Διαχείρισης Χρήση βοήθειας Εντολή Router#? Router#c? Router#clock? Ερμηνεία Εμφανίζει όλες τις διαθέσιμες εντολές Εμφανίζει όλες τις διαθέσιμες εντολές που ξεκινούν με το γράμμα c Εμφανίζει όλες τις διαθέσιμες επιλογές για την εντολή clock Χρήση διασωλήνωσης Εντολή Router#sh running config? Router#sh run begin interface Router#sh ip route include Ερμηνεία Εμφανίζει όλες τις δυνατές επιλογές για την εντολή pipe. Αυτές περιλαμβάνουν τα begin, include, exclude κ.τ.λ. Εμφανίζει την τρέχουσα κατάσταση ρυθμίσεων ξεκινώντας από τις ρυθμίσεις των διασυνδέσεων. Εμφανίζει όλες τις καταχωρήσεις στον IP πίνακα δρομολόγησης που περιλαμβάνουν την IP διεύθυνση

17 Εμφάνιση πληροφοριών Εντολή Router#sh running config Router#sh startup config Router#sh history Router#sh ip int brief Router#sh users Router#sh sessions Αποτέλεσμα Εμφανίζει τις τρέχουσες ρυθμίσεις του δρομολογητή Εμφανίζει τις ρυθμίσεις εκκίνησης του δρομολογητή Εμφανίζει τις τελευταίες εντολές που δόθηκαν Εμφανίζει μια γρήγορη σύνοψη των διασυνδέσεων συμπεριλαμβανομένων των διευθύνσεων που τους έχουν αποδοθεί καθώς και της κατάστασης τους Εμφανίζει τους χρήστες και τους δρομολογητές που είναι συνδεδεμένοι στο δικό μας μέσω telnet Εμφανίζει τους δρομολογητές στους οποίους είμαστε συνδεδεμένοι μέσω telnet Εντολές Διαχείρισης Εντολή Αποτέλεσμα PWD Εμφανίζει τον τρέχον κατάλογο εργασίας Show file Dir Copy More Delete Erase / Format Cd Mkdir / Rmdir no Reload Εμφανίζει πληροφορίες για ένα συγκεκριμένο φάκελο ή αρχείο Εμφανίζει τα περιεχόμενα ενός καταλόγου (ο προκαθορισμένος είναι ο flash:/) Δημιουργεί αντίγραφα ασφαλείας για το IOS, τα επαναφέρει ή αναβαθμίζει το IOS του δρομολογητή Εμφανίζει τα περιεχόμενα ενός αρχείου Διαγράφει ένα αρχείο Διαγράφει ή διαμορφώνει το λειτουργικό σύστημα Αλλαγή καταλόγου Δημιουργεί και διαγράφει καταλόγους Η λέξη no μπροστά από μια εντολή αντιστρέφει τη λειτουργία της π.χ. no shutdown Επανεκκίνηση του δρομολογητή 17

18 Βιβλιογραφία 1. Todd Lammle's CCNA IOS Commands Survival Guide, Todd Lammle, ISBN: , Wiley Publishing, Cisco IOS Quick Reference, Will Richards 3. Cisco IOS Cookbook, 2nd Edition, Kevin Dooley, Ian Brown, ISBN: , O'Reilly, 2006 Ηλεκτρονικές Πηγές 1. Wikipedia Cisco 2. Wikipedia Cisco IOS 3. Cisco IOS Configuration Fundamentals Command Reference, Release Cisco IOS Basic Commands 5. Cisco 800 Series Integrated Services Router d8028a982.html 6. Cisco CCENT: Basic IOS Commands for Routers and Switches ccent basic ios commands for routers andswitches/ / 18

19 Κεφάλαιο 2 ο Ασφάλεια Firewalls Εισαγωγή Τεχνολογίες Firewall Εντολές IOS Ασκήσεις Λύσεις 19

20 2.1 Εισαγωγή Η τεχνολογία που σχετίζεται με τα τείχη προστασίας (firewalls) έχει αλλάξει σημαντικά σε σχέση με την εποχή που έκανε τα πρώτα της βήματα στις αρχές του Τα πρώτα firewall ήταν απλά συσκευές φιλτραρίσματος πακέτων. Από εκείνη την εποχή πολλά άλλαξαν με αποτέλεσμα σήμερα τα firewall να έχουν αποκτήσει νέες δυνατότητες όπως είναι το stateful filtering, Virtual Private Networks (VPNs), intrusion detection systems (IDS), multicast routing, connection authentication, Dynamic Host Configuration Protocol (DHCP) services καθώς και πολλά άλλα. Πέρα από τον ανταγωνισμό των εταιριών, αυτό που οδήγησε στις παραπάνω βελτιώσεις και προσθήκες δυνατοτήτων ήταν η ραγδαία ανάπτυξη και χρήση του Internet στα μέσα της δεκαετίας του Πέρα από τα οφέλη, αυτή η ανάπτυξη έφερε σημαντικά προβλήματα που σχετίζονταν με την ασφάλεια. Έτσι σήμερα τα firewall αποτελούν μια συνήθη τεχνολογία για την προστασία όχι μόνο των μεγάλων επιχειρήσεων αλλά επιπλέον όλων όσων έχουν πρόσβαση στο διαδίκτυο. Ένα Firewall (τείχος προστασίας) είναι ένα σύστημα που επιβάλει μια πολιτική ελέγχου πρόσβασης. Σκοπός του είναι να προστατέψει το δίκτυο μας από μη εξουσιοδοτημένα άτομα και να σταματήσει τις παράνομες ενέργειες τους σε προκαθορισμένα και οριοθετημένα σημεία. Είναι ένα πρόγραμμα ή μια συσκευή που φιλτράρει την πληροφορία που περνάει, μέσω της σύνδεσης στο Δικτυακό χώρο, σε ένα ιδιωτικό δίκτυο ή σε ένα υπολογιστικό σύστημα. Ουσιαστικά υλοποιεί δυο μηχανισμούς, ο ένας είναι η επιβεβαίωση της κυκλοφορίας ενός πακέτου πληροφορίας και ο άλλος η απόρριψη της κυκλοφορίας κάποιου πακέτου πληροφορίας. Ο λόγος εγκατάστασης ενός firewall είναι κυρίως για να προστατεύει το ιδιωτικό τοπικό δίκτυο από αυθαίρετες επισκέψεις. Ωστόσο, σύμφωνα με μελέτες οι περισσότερες δικτυακές επιθέσεις συμβαίνουν μέσα στα όρια του δικτύου (60% 70%). Επιπλέον, σε ένα δίκτυο εκτός από το TCP/IP τρέχουν και άλλα πρωτόκολλα όπως τα IPX, AppleTalk, SNA, NetBIOS. Άρα, ένα τείχος προστασίας δεν αρκεί απλά να αντιμετωπίζει τις εξωτερικές και εσωτερικές απειλές αλλά να μπορεί να χειριστεί και τα διαφορετικά πρωτόκολλα. Όπως φαίνεται στο σχήμα, ένα firewall μπορεί να λειτουργεί σε 5 από τα 7 επίπεδα του μοντέλου OSI. Ωστόσο, τα περισσότερα firewall λειτουργούν μόνο στα τέσσερα επίπεδα: σύνδεσης δεδομένων, δικτύου, μεταφοράς, και εφαρμογής. Οι standard IP access control list (ACL) στους δρομολογητές Cisco λειτουργούν στο επίπεδο 3 του OSI ενώ μια extended IP ACL λειτουργεί στα επίπεδα 3 and 4. 20

21 Σχήμα 2 1. Επίπεδα του μοντέλου OSI στα οποία λειτουργεί ένα τείχος προστασίας Γίνεται εύκολα κατανοητό ότι όσο περισσότερα επίπεδα υποστηρίζει το τείχος προστασίας τόσο καλύτερο είναι. 2.2 Τεχνολογίες Firewall Όπως προείπαμε, ο σκοπός ενός τείχους προστασίας είναι να επιτρέπει ή να απορρίπτει πακέτα πληροφορίας που προσπαθούν να περάσουν δια μέσω του βασιζόμενο σε προκαθορισμένους κανόνες. Κάθε firewall χρησιμοποιεί ορισμένες μεθόδους για να ελέγχει την κυκλοφορία των δεδομένων που διακινούνται δια μέσω του δικτύου. Αυτές είναι : Packet filtering (Φιλτράρισμα πακέτων): μικρά πακέτα πληροφορίας αναλύονται με βάση ένα σύνολο καθορισμένων φίλτρων. Τα πακέτα που εγκρίνονται από τα φίλτρα αποστέλλονται στο αντίστοιχο σύστημα ενώ τα υπόλοιπα απορρίπτονται Proxy (Application gateway, Address translation, Host based (server και personal)): Η πληροφορία από το δίκτυο ανακτάται από το firewall και αποστέλλεται στο σύστημα που κάνει την αίτηση, και αντίστροφα Stateful inspection (Επιθεώρηση κατάστασης): Είναι μια νέα μέθοδος που δεν εξετάζει τα περιεχόμενα του κάθε πακέτου πληροφορίας που αποστέλλεται αλλά συγκρίνει μερικά τμήματα των πακέτων με μια βάση δεδομένων που περιέχει πληροφορία εμπιστοσύνης. Έτσι η πληροφορία που απορρέει από το δίκτυο της εταιρείας προς τον εξωτερικό κόσμο υπόκειται σε κάποιους περιορισμούς, το ίδιο 21

22 και η εισερχόμενη πληροφορία. Δηλαδή αν υπάρξει συμφωνία με βάση τους περιορισμούς που τίθενται, η πληροφορία δεν απορρίπτεται Packet Filtering Το φιλτράρισμα πακέτων αποτελεί την απλούστερη μορφή ενός τοίχους προστασίας. Ένα τείχος προστασίας που εφαρμόζει φιλτράρισμα πακέτων είναι τυπικά ένας δρομολογητής που έχει τη δυνατότητα να επιθεωρεί και να φιλτράρει ορισμένα από τα περιεχόμενα των πακέτων. Αυτά περιλαμβάνουν τις πληροφορίες που βρίσκονται στα επίπεδα 3 και ορισμένες φορές στο επίπεδο 4 του μοντέλου OSI όπως φαίνεται στο σχήμα που ακολουθεί. Για παράδειγμα, οι δρομολογητές Cisco με τυπικές λίστες πρόσβασης (standard access control lists ACL) μπορούν να φιλτράρουν πληροφορίες στο επίπεδο 3, ενώ αυτοί με extended ACLs μπορούν να φιλτράρουν και πληροφορίες του επιπέδου 4. Σχήμα 2 2. Φιλτράρισμα πακέτων και μοντέλο OSI Επειδή το TCP/IP είναι το εκ των πραγμάτων πρωτόκολλο επικοινωνίας στα σημερινά δίκτυα, τα περισσότερα firewall που κάνουν φιλτράρισμα πακέτων το υποστηρίζουν. Ωστόσο, συνήθως υποστηρίζουν και μια πλειάδα άλλων πρωτοκόλλων όπως είναι τα IPX, AppleTalk, DECnet, και επιπέδου 2 MAC διευθύνσεις. Οι Cisco δρομολογητές με standard και extended ACLs υποστηρίζουν τα πρωτόκολλα που αναφέρθηκαν παραπάνω καθώς και αρκετά άλλα. 22

23 Πληροφορίες Φιλτραρίσματος Ένα τείχος προστασίας που εφαρμόζει φιλτράρισμα πακέτων μπορεί να φιλτράρει τα παρακάτω στοιχεία: Διευθύνσεις προέλευσης προορισμού επιπέδου δικτύου (επίπεδο 3) Πληροφορίες πρωτοκόλλου επιπέδου δικτύου (επίπεδο 3) Πληροφορίες πρωτοκόλλου επιπέδου μεταφοράς (επίπεδο 4) πρωτόκολλο αποστολής λήψης δεδομένων Θύρα αποστολής Θύρα προορισμού Αυτού του είδους τα firewall αναλύουν τα TCP και UDP πακέτα και τα συγκρίνουν με ένα σύνολο προκαθορισμένων κανόνων που ονομάζεται access control list (ACL) για να προσδιορίσουν και να αποφασίσουν αν το πακέτο θα πρέπει να επιτραπεί ή να απορριφθεί. Για παράδειγμα ένας δρομολογητής Cisco μπορεί να χρησιμοποιηθεί για να φιλτράρει μηνύματα ICMP (επιπέδου 3), ή IP διευθύνσεις προέλευσης προορισμού (επιπέδου 3) και αριθμούς TCP θυρών (επιπέδου 4). Στον πίνακα που ακολουθεί φαίνονται ορισμένα στοιχεία που ένα TCP/IP packet filtering firewall μπορεί να φιλτράρει. Επίπεδο OSI Φιλτραρισμένη Πληροφορία 3 IP διευθύνσεις 3 TCP/IP πρωτόκολλα όπως IP, ICMP, OSPF, TCP, UDP κ.α. 3 IP πληροφορίες (Type of Service [ToS]) προτεραιότητας 4 TCP και UDP αριθμοί θυρών 4 TCP σήματα ελέγχου όπως SYN, ACK, FIN, PSH, RST κ.α. Πίνακας 2 1. Πληροφορίες TCP/IP φιλτραρίσματος πακέτων Γίνεται εύκολα κατανοητό ότι μπορούμε να χρησιμοποιήσουμε πολλές πληροφορίες όταν παίρνουμε αποφάσεις σχετικά με το φιλτράρισμα των πακέτων. Παράδειγμα φιλτραρίσματος φαίνεται στον πίνακα που ακολουθεί. Κανόνας Διεύθυνση Διεύθυνση IP Πληροφορίες IP Ενέργεια Προέλευσης Προορισμού Πρωτόκολλο Πρωτοκόλλου 1 Any TCP Port 80 Allow 2 Any UDP Port 53 Allow 3 Any TCP Port 25 Allow 4 Any Any other address Any Any Drop Πίνακας 2 2. Φιλτράρισμα πακέτων 23

24 Σχήμα 2 3. Παράδειγμα τοίχους προστασίας με φιλτράρισμα πακέτων Σε αυτό το παράδειγμα, ο κανόνας 1 λέει ότι αν κυκλοφορία από οποιαδήποτε συσκευή σταλεί στην TCP θύρα 80 του υπολογιστή με διεύθυνση , το packet filtering firewall θα την επιτρέψει. Ομοίως θα συμβεί για κυκλοφορία UDP θύρας 53 του ή TCP θύρας 25 του Κάθε άλλου είδους κυκλοφορία θα απορριφθεί. Είναι πολύ σημαντικό να αντιληφθούμε πως λειτουργεί το firewall σε σχέση με τους κανόνες φιλτραρίσματος και πρέπει να είμαστε πολύ προσεκτικοί όταν προσθέτουμε ή αλλάζουμε κάποιο κανόνα γιατί τα αποτελέσματα των αλλαγών μπορεί να είναι καταστροφικά. Όταν ένας κανόνας δεν έχει οριστεί και δε βρίσκει αντιστοίχιση τότε το τείχος προστασίας μπορεί είτε να επιτρέψει είτε να απορρίψει την κυκλοφορία κατά βούληση Πλεονεκτήματα των Packet Filtering Firewalls Τα Packet filtering firewalls έχουν δύο βασικά πλεονεκτήματα: Μπορούν να επεξεργαστούν τα πακέτα σε πολύ υψηλές ταχύτητες. Μπορούν να επεξεργαστούν τα περισσότερα πεδία των πακέτων επιπέδου 3 και τμήματα των κεφαλίδων επιπέδου 4, παρέχοντας ευελιξία στην υλοποίηση πολιτικών ασφαλείας. Επειδή οι δρομολογητές βρίσκονται στην περίμετρο του δικτύου, μπορούν να χρησιμοποιηθούν για το φιλτράρισμα των πακέτων παρέχοντας ένα επιπλέον επίπεδο ασφάλειας στο δίκτυο. Ακόμα και το απλό φιλτράρισμα για τα επίπεδα 3 και 4 μπορεί να 24

25 χρησιμοποιηθεί για την προστασία από επιθέσεις που περιλαμβάνουν συγκεκριμένες περιπτώσεις άρνησης υπηρεσίας (denial of service [DoS]). Αυτό επιτρέπει στο εσωτερικό τείχος προστασίας να δώσει προσοχή σε άλλες επιθέσεις που το φιλτράρισμα πακέτων δεν μπορεί να αντιμετωπίσει Περιορισμοί των Packet Filtering Firewalls Παρά τα πλεονεκτήματά τους, τα packet filtering firewalls έχουν τα ακόλουθα μειονεκτήματα: Μπορεί να είναι πολύπλοκα και δύσκολα στο να διαχειριστούν. Δεν μπορούν να εμποδίσουν επιθέσεις στο επίπεδο εφαρμογής. Είναι ευάλωτα σε συγκεκριμένου τύπου επιθέσεις του πρωτοκόλλου TCP/IP. Δεν υποστηρίζουν πιστοποίηση του χρήστη. Έχουν περιορισμένες δυνατότητες καταγραφής (logging). Ένα firewall που βασίζεται στο φιλτράρισμα πακέτων μπορεί εύκολα να εξαπατηθεί με τεχνικές spoofing (όταν ένας μη πιστοποιημένος χρήστης παρουσιάζεται με μια IP διεύθυνση που ανήκει στη λίστα πρόσβασης ACL). Πολλές καινούργιες εφαρμογές (όπως είναι οι πολυμεσικές) δημιουργούν πολλαπλές συνδέσεις σε τυχαίες θύρες χωρίς να υπάρχει η δυνατότητα να προσδιοριστούν εκ των προτέρων πριν την εγκατάσταση της σύνδεσης. Επειδή οι λίστες πρόσβασης ρυθμίζονται με μη αυτόματο τρόπο είναι πολύ δύσκολο να υποστηριχτούν αυτού του είδους οι εφαρμογές. Το φιλτράρισμα πακέτων είναι ένα χαρακτηριστικό που χρησιμοποιείται συχνά στους δρομολογητές. Όπως αναφέρθηκε προηγουμένως ένα από τα σημαντικότερα μειονεκτήματα των packetfiltering firewalls είναι ότι λειτουργούν με τη βοήθεια λιστών πρόσβασης (ACLs) οι οποίες και πρέπει να διατηρούνται ενημερωμένες. Χρειάζεται πολύ καλή γνώση των πρωτοκόλλων και των κεφαλίδων τους ώστε να μην αποκλειστούν πακέτα που δε θα έπρεπε και να μην επιτραπεί από την άλλη αναρμόδια κυκλοφορία. Επιπλέον τα packet filtering firewalls δεν μπορούν να εμποδίσουν όλες τις επιθέσεις. Παραδείγματα αποτελούν οι επιθέσεις τύπου IP spoofing και άρνησης υπηρεσίας (DoS attacks) οι οποίες για να αντιμετωπιστούν χρειάζεται να γίνει πιστοποίηση ταυτότητας. Το φιλτράρισμα όμως γίνεται στα επίπεδα 3 και 4 του OSI μοντέλου ενώ η πιστοποίηση συμβαίνει στο επίπεδο εφαρμογής (επίπεδο 7). Τέλος, αν και τα packet filtering firewalls υποστηρίζουν συναρτήσεις για την καταγραφή των συμβάντων αυτές περιορίζονται σε πληροφορίες που αφορούν τα επίπεδα 3 και 4. Έτσι αν κάποιος εφάρμοζε μια επίθεση στο web server στη θύρα 80 και αυτή αντιμετωπίζονταν, το packet filtering firewall θα κατέγραφε την άρνηση, αλλά όχι και την ακριβή αιτία που σχετίζονταν με το επίπεδο εφαρμογής. Δηλαδή, ο διαχειριστής θα καταλάβαινε ότι συνέβηκε κάτι αλλά δε θα γνώριζε επακριβώς τι ήθελε ο χρήστης να κάνει. 25

26 2.2.2 Application gateway firewalls (AGFs) Proxies Τα Application gateway firewalls (AGFs), που ονομάζονται και proxy firewalls, φιλτράρουν πληροφορίες των επιπέδων 3, 4, 5 και 7 του μοντέλου OSI. Η πληροφορία επεξεργάζεται στο επίπεδο εφαρμογής μέσω λογισμικού πράγμα που προσδίδει καλύτερο έλεγχο σε σχέση με τις άλλες μεθόδους. Σχήμα 2 4. Application Gateway Firewalls και μοντέλο OSI Proxy = το να ενεργεί κάποιος άνθρωπος ως αντικαταστάτης κάποιου άλλου. Άδεια να ενεργείς για λογαριασμό άλλου. (New Webster s Dictionary of the English Language) Αν και αυτός ο ορισμός δεν ορίζει ένα proxy firewall, η λειτουργία του είναι παρόμοια. Ένα proxy firewall, δηλαδή ένας proxy server, ενεργεί για λογαριασμό των σταθμών σε ένα προστατευόμενο τμήμα ενός δικτύου. Στην πραγματικότητα οι σταθμοί δεν κάνουν καμιά σύνδεση με τον εξωτερικό κόσμο αλλά στέλνουν τις αιτήσεις τους στο μεσολαβητή (proxy). Αυτός πιστοποιεί την ταυτότητα των χρηστών με τη βοήθεια ενός ονόματος και ενός κωδικού πρόσβασης και στη συνέχεια προωθεί την αίτηση στον εξωτερικό προορισμό. Η διαδικασία της πιστοποίησης συμβαίνει στο επίπεδο εφαρμογής και οι πληροφορίες πιστοποίησης αποθηκεύονται σε μια βάση δεδομένων, έτσι ώστε να μη χρειάζεται κάθε φορά που ένας χρήστης επιθυμεί την πρόσβαση σε ένα πόρο του δικτύου να επαναλαμβάνει τη διαδικασία. Οι proxy server λειτουργούν στα ανώτερα επίπεδα του OSI και το μεγαλύτερο μειονέκτημα τους είναι ότι είναι εφαρμογές που τρέχουν στην κορυφή των λειτουργικών συστημάτων τα οποία και δεν είναι ασφαλή. Υποστηρίζουν ένα περιορισμένο αριθμό από εφαρμογές όπως , web services, DNS, Telnet, FTP, Usenet news, LDAP, finger. 26

27 Κατηγορίες των Application Gateway Firewalls Τα Application Gateway Firewalls μπορούν να διαχωριστούν σε δύο κατηγορίες: Connection Gateway Firewalls (CGFs) και Cut Through Proxy (CTP) firewalls. Connection Gateway Firewalls Στα Connection Gateway Firewalls η πιστοποίηση της ταυτότητας του χρήστη γίνεται ανά σύνδεση και όλοι οι κανόνες που αφορούν αυτή την σύνδεση τίθενται σε εφαρμογή χωρίς να απαιτείται ο χρήστης να πιστοποιήσει ξανά τον εαυτό του. Στο παράδειγμα που ακολουθεί, φαίνεται η λειτουργία των Connection Gateway Firewalls: Ο εξωτερικός χρήστης Richard επιθυμεί να κάνει μια σύνδεση με τον εσωτερικό web server Το τείχος προστασίας παρεμβαίνει ελέγχει και πιστοποιεί την ταυτότητα του χρήστη και στη συνέχεια κάνει τη σύνδεση με τον web server. Κάθε άλλη σύνδεση προς άλλους σταθμούς απορρίπτεται εκτός και αν γίνει εκ νέου πιστοποίηση. Σχήμα 2 5. Παράδειγμα Connection Gateway Firewalls (CGF) 27

28 Αυτό το είδος ελέγχου δεν είναι εφικτό σε ένα packet filtering ή stateful firewall διότι αυτά λειτουργούν κυρίως στα επίπεδα δικτύου και μεταφοράς. Επιπλέον, δημιουργούνται νέες δυνατότητες φιλτραρίσματος που σχετίζονται με την πρόσβαση σε Java applets η ActiveX scripts που μπορεί να έχει ένας χρήστης. Cut Through Proxy Firewalls Το σημαντικότερο πρόβλημα των firewall της προηγούμενης κατηγορίας είναι ότι όλη η πληροφορία και όλη η κυκλοφορία επεξεργάζεται στο επίπεδο εφαρμογής πράγμα που δημιουργεί μεγάλες καθυστερήσεις. Σε ορισμένες περιπτώσεις χρειάζεται μόνο η πιστοποίηση της ταυτότητας στο επίπεδο εφαρμογής και όχι η παρακολούθηση της δραστηριότητας που συμβαίνει. Οι Cut through proxy αποτελούν μια μέθοδο διαφανούς πιστοποίησης ταυτότητας των χρηστών για εσωτερικές και εξωτερικές συνδέσεις σε σχέση με το τείχος προστασίας. Απαιτούν ελάχιστους πόρους και παρέχουν σημαντικά πλεονεκτήματα απόδοσης σε σχέση με τα application proxy firewalls. Τα Cut through proxy (CTP) firewalls αποτελούν παραλλαγή της προηγούμενης κατηγορίας και αντιμετωπίζουν το πρόβλημα των αυξημένων καθυστερήσεων. Κατά αναλογία με το προηγούμενο παράδειγμα ο εξωτερικός χρήστης Richard επιθυμεί να κάνει μια σύνδεση με τον εσωτερικό web server Το CTP παρεμβαίνει ελέγχει και πιστοποιεί την ταυτότητα του χρήστη και στη συνέχεια κάθε σύνδεση προστίθεται στον πίνακα με τους κανόνες φιλτραρίσματος όπως φαίνεται στο βήμα 2. Τέλος, η υπόλοιπη κυκλοφορία ανάμεσα στο χρήστη και τον web server διαχειρίζεται από τους κανόνες φιλτραρίσματος των επιπέδων δικτύου και μεταφοράς. 28

29 Σχήμα 2 6. Παράδειγμα Cut Through Proxy Δηλαδή η διαδικασία πιστοποίησης συμβαίνει στο επίπεδο εφαρμογής ενώ όλη η κυκλοφορία επεξεργάζεται στα επίπεδα 3 και 4 του μοντέλου OSI. Ωστόσο, η τεχνική αυτή δε μπορεί να ανιχνεύσει επιθέσεις επιπέδου εφαρμογής Πλεονεκτήματα των Application Gateway Firewalls Τα πλεονεκτήματα των Application Gateway Firewalls είναι πολλά και περιλαμβάνουν τα παρακάτω: Πιστοποιούν άτομα και όχι συσκευές. Δυσκολεύουν επιθέσεις τύπου spoofing και άρνησης υπηρεσίας (DoS). Μπορούν να παρακολουθούν και να φιλτράρουν δεδομένα εφαρμογών. Προσφέρουν εκτεταμένες δυνατότητες καταγραφής Μειονεκτήματα των Application Gateway Firewalls Παρόλα τα σημαντικά πλεονεκτήματά τους, τα Application Gateway Firewalls έχουν σημαντικούς περιορισμούς: 29

30 Επεξεργάζονται τα πακέτα με λογισμικό. Υποστηρίζουν μικρό αριθμό εφαρμογών. Ορισμένες φορές απαιτούν στον πελάτη (client) εγκατάσταση ειδικού λογισμικού Stateful Inspection Το Stateful inspection, το οποίο ονομάζεται και stateful packet filtering, αποτελεί συνδυασμό του packet filtering και υπηρεσιών διαμεσολάβησης (proxy services). Αυτή η τεχνολογία είναι η ασφαλέστερη και παρέχει την καλύτερη λειτουργικότητα επειδή οι συνδέσεις δεν εφαρμόζονται στις λίστες πρόσβασης αλλά καταγράφονται σε ένα πίνακα επιθεώρησης κατάστασης (state table). Αν τα δεδομένα τις συνόδου δεν συμπίπτουν με τις πληροφορίες για τη σύνδεση που βρίσκονται στον πίνακα επιθεώρησης κατάστασης, η σύνδεση απορρίπτεται. Αντίθετα με τα τείχη προστασίας που κάνουν φιλτράρισμα πακέτων, τα stateful firewalls παρακολουθούν την κατάσταση της σύνδεσης δηλαδή αν είναι σε κατάσταση αρχικοποίησης σύνδεσης, μεταφοράς δεδομένων η τερματισμού. Αυτό είναι χρήσιμο όταν θέλουμε να αρνηθούμε συνδέσεις από εξωτερικές συσκευές, αλλά να επιτρέψουμε στους χρήστες μας τέτοιου είδους συνδέσεις καθώς και την επιστροφή των αποκρίσεων μέσω του stateful firewall. Σχήμα 2 7. Stateful Firewalls και μοντέλο OSI 30

31 Υπάρχει μια διαφωνία σχετικά με τα επίπεδα σε σχέση με το μοντέλο OSI στα όποια λειτουργούν τα stateful firewalls. Πολλοί πιστεύουν ότι λειτουργούν μόνο στα επίπεδα δικτύου και μεταφοράς ενώ άλλοι προσθέτουν επιπλέον και το επίπεδο συνόδου. Το τείχος προστασίας εξετάζει τις πληροφορίες των κεφαλίδων των πακέτων των επιπέδων δικτύου και μεταφοράς, (π.χ. εξετάζει την κεφαλίδα του TCP για σήματα ελέγχου τύπου SYN, RST, ACK, FIN) ώστε να καθορίσει την κατάσταση της σύνδεσης. Ωστόσο, επειδή το επίπεδο συνόδου είναι αυτό που εγκαθιστά και τερματίζει τη σύνδεση πολλοί λένε ότι λειτουργεί και στο επίπεδο συνόδου. Σε κάθε περίπτωση, τα stateful firewalls γνωρίζουν για την κατάσταση της σύνδεσης. Ta stateful firewalls όπως προείπαμε χρησιμοποιούν τον πίνακα κατάστασης για να ελέγξουν τη σύνδεση. Πλεονέκτημα των διαδικασιών επιθεώρησης κατάστασης αποτελεί το γεγονός ότι όταν μια σύνδεση τερματίζεται από μια συσκευή του δικτύου το τείχος προστασίας αντιλαμβάνεται τον τερματισμό με την εξέταση των σημάτων ελέγχου της TCP κεφαλίδας και δυναμικά αφαιρεί τη σύνδεση από τον πίνακα κατάστασης (state table). Συγκριτικά δηλαδή θα μπορούσαμε να πούμε ότι τα stateful firewalls είναι εξυπνότερα από τα packet filtering firewalls γιατί αντιλαμβάνονται επιπλέον την κατάσταση της σύνδεσης. Ωστόσο, δεν υποστηρίζουν σήματα ελέγχου όλα τα πρωτόκολλα του επιπέδου μεταφοράς (π.χ. UDP) ενώ επιπλέον, τα σήματα ελέγχου μπορούν να παραποιηθούν επιτρέποντας σε ένα κακόβουλο χρήστη να περάσει πακέτα μέσα από το τείχος προστασίας Πλεονεκτήματα των Stateful Firewalls Σε σχέση με τα τείχη προστασίας που κάνουν φιλτράρισμα πακέτα τα, stateful firewalls παρουσιάζουν σημαντικά πλεονεκτήματα: Είναι ενήμερα της κατάστασης της σύνδεσης. Διατηρούν έναν πίνακα με την κατάσταση της σύνδεσης (state table) τον οποίο και ελέγχουν σε κάθε προσπάθεια επικοινωνίας. Όταν η σύνδεση τερματιστεί ή εγγραφή αφαιρείται από τον πίνακα και δεν επιτρέπεται επιπλέον επικοινωνία. Δε χρειάζεται να ανοίξουν ένα μεγάλο αριθμό θυρών για να επιτρέψουν την διμερή επικοινωνία. Χρησιμοποιείται ο state table. Προστατεύουν από περισσότερες επιθέσεις τύπου άρνησης υπηρεσίας (DoS) σε σχέση με τα packet filtering firewalls και έχουν καλύτερο σύστημα καταγραφής (logging). Μπορούν δηλαδή να κρατούν πληροφορίες σχετικά με το πότε έγινε η σύνδεση, για πόσο χρόνο και πότε τερματίστηκε Μειονεκτήματα των Stateful Firewalls Παρά τα πλεονεκτήματά τους, τα stateful firewalls παρουσιάζουν αρκετούς περιορισμούς: Μπορεί να είναι πολύπλοκα στη ρύθμιση. Δεν μπορούν να προστατέψουν από επιθέσεις στο επίπεδο εφαρμογής. Δεν υποστηρίζουν πιστοποίηση ταυτότητας χρήστη για τις συνδέσεις. 31

32 Δεν κρατούν όλα τα πρωτόκολλα πληροφορίες κατάστασης. Τα πρωτόκολλα που ορίζουν μια προκαθορισμένη διαδικασία σχετικά με το πώς εγκαθίσταται, διατηρείται και τερματίζεται μια σύνδεση ονομάζονται stateful (π.χ. TCP/IP). Ωστόσο, δε λειτουργούν όλα με αυτόν τον τρόπο. Χαρακτηριστικά παραδείγματα αποτελούν τα UDP και ICMP. Στο UDP δηλαδή, ή διαδικασία που περιγράφηκε παραπάνω ορίζεται σε σχέση με τις εφαρμογές που το χρησιμοποιούν. Τέλος δεν υποστηρίζουν σήματα ελέγχου όπως το TCP (SYN, RST, ACK, FIN) όλα τα πρωτόκολλα του επιπέδου μεταφοράς. Πολλές εφαρμογές δημιουργούν πολλαπλές δυναμικές συνδέσεις σε τυχαίες και μη θύρες για να μεταδώσουν δεδομένα. Οι εφαρμογές μπορεί να περιλαμβάνουν τα FTP, NetBIOS και πολυμέσα. Οι νέες συνδέσεις απαιτούν καινούργιους κανόνες φιλτραρίσματος. Για τη διατήρηση του πίνακα επιθεώρησης κατάστασης (state table), απαιτούνται επιπλέον πόροι. Σε μεγάλα δίκτυα ο state table γίνεται αρκετά μεγάλος και για να παραμένει ενήμερος απαιτεί επεξεργαστικούς πόρους. Όσο περισσότερες συνδέσεις παρακολουθεί τόση περισσότερη επεξεργαστική δύναμη χρειάζεται για τη διατήρηση του πίνακα. 2.3 Cisco IOS Software Το λογισμικό Cisco IOS Software παρέχει ένα εκτεταμένο σύνολο υπηρεσιών ασφαλείας με το οποίο μπορούν να σχεδιαστούν πολιτικές ασφαλείας που να ανταποκρίνονται στις ανάγκες μας. Ένας δρομολογητής δηλαδή μπορεί να ρυθμιστεί κατάλληλα ώστε να υποστηρίζει υπηρεσίες ασφαλείας. Το τείχος προστασίας του Cisco IOS αποτελείται από αρκετά υποσυστήματα που περιλαμβάνουν : Cisco IOS Firewall stateful packet inspection (SPI): Το SPI παρέχει πραγματικές δυνατότητες προστασίας μη εξουσιοδοτημένης χρήσης και κυκλοφορίας. Context Based Access Control (CBAC): Το CBAC αποτελεί την κλασσική statefulinspection μηχανή του firewall παρέχει δυνατότητες δυναμικού φιλτραρίσματος της κυκλοφορίας. Intrusion Prevention System (IOS IPS): Παλαιότερα ονομάζονταν IDS (Intrusion Detection System) και παρέχει ολοκληρωμένη προστασία από εισβολείς. Παρέχεται ως μέρος του λειτουργικού Cisco IOS. Από την έκδοση IOS 12.3T αντικατέστησε το IDS παρέχοντας καλύτερες υπηρεσίες ανίχνευσης. Το IOS IPS αναλύει τα πακέτα και τις συνόδους με σκοπό να αναγνωρίσει πιθανές εξωτερικές ή εσωτερικές απειλές. Η ανάλυση του IPS θα γίνει σε επόμενο κεφάλαιο. Authentication proxy: Η πιστοποίηση της ταυτότητας μέσω proxy επιτρέπει τον έλεγχο σε επίπεδο χρηστών και την εφαρμογή πολιτικών πρόσβασης σε επίπεδο χρηστών. Port to Application Mapping (PAM): Το PAM επιτρέπει τη ρύθμιση TCP ή UDP θυρών για δικτυακές υπηρεσίες και εφαρμογές. Για παράδειγμα το HTTP μπορεί να ρυθμιστεί να χρησιμοποιεί τη θύρα TCP 8080 αντί για την κλασσική 80). 32

33 Network Address Translation (NAT): Το NAT κρύβει τις εσωτερικές IP διευθύνσεις από δίκτυα έξω από το τείχος προστασίας παρέχοντας μια χαμηλού επιπέδου ασφάλεια. Το NAT παρέχει ιδιωτικές IP διευθύνσεις σε εσωτερικά δίκτυα τις οποίες και μεταφράζει σε πραγματικές καταχωρημένες διευθύνσεις καθώς τα πακέτα διέρχονται μέσω της NAT υπηρεσίας. Το Cisco IOS υποστηρίζει και επιπλέον δυνατότητες που σχετίζονται με την ασφάλεια. Αυτές περιλαμβάνουν το IPsec που θα δούμε αναλυτικά σε επόμενο κεφάλαιο καθώς και τα Lockand Key, Reflexive access list, TCP Intercept και AAA υποστήριξη που είναι εκτός του παρόντος ενδιαφέροντός μας. 2.4 Ασκήσεις Στις παρακάτω ασκήσεις, οι εκπαιδευόμενοι θα προσπαθήσουν να ρυθμίσουν το τείχος προστασίας του δρομολογητή ώστε να προστατέψουν το δίκτυο από εξωτερικές επιθέσεις. Ποιο συγκεκριμένα σε αυτό το εργαστήριο θα κάνουν τις ακόλουθες εργασίες: Θα ενεργοποιήσουν το τείχος προστασίας του δρομολογητή με τις προκαθορισμένες ρυθμίσεις. Θα φιλτράρουν TCP και UDP πακέτα. Θα δημιουργήσουν λίστες πρόσβασης. Θα χρησιμοποιήσουν λίστες πρόσβασης για φιλτράρισμα με βάση το περιεχόμενο ή την υπηρεσία. Θα προστατέψουν το δίκτυο από επιθέσεις τύπου DoS. Σενάριο Η εταιρεία XYZ θέλει να αυξήσει την περιμετρική ασφάλεια του δικτύου της ενεργοποιώντας στο δρομολογητή που διαθέτει το τείχος προστασίας. Για το λόγο αυτό θέλει να το ρυθμίσει κατάλληλα ώστε να αναγνωρίζει και να προστατεύει από τις συνήθεις απειλές και να λαμβάνει μέτρα όπου χρειάζεται σύμφωνα με την πολιτική ασφαλείας της. Τοπολογία Το σχήμα που ακολουθεί απεικονίζει την τοπολογία του δικτύου. 33

34 Σχήμα 2 8. Τοπολογία του δικτύου για το σενάριο εφαρμογής των Firewalls Εργαλεία Πηγές Για την ολοκλήρωση του εργαστηρίου είναι απαραίτητα: Θεωρητικό υπόβαθρο πάνω στη λειτουργία του Firewall και στα είδη επιθέσεων Η τοπολογία του δικτύου Ένα καλώδιο κονσόλας για το δρομολογητή Το HyperTerminal των windows ή κάποιος telnet client Λίστα εντολών IOS που θα χρειαστούμε Για την ολοκλήρωση του εργαστηρίου θα χρειαστούμε τις παρακάτω εντολές του IOS. Στον πίνακα που ακολουθεί δίνεται μια περιγραφή της σύνταξης των εντολών καθώς και μια περιγραφή της λειτουργίας τους. 34

35 Εντολή auto secure access list nnn permit x.x.x.x mask y.y.y.y mask access-list access_list_number [deny permit] {icmp tcp ip} protocol source any ip access-group access_list_number {in out} ip access-list [standard extended] <name> Περιγραφή Δίνει στο δρομολογητή την εντολή να αρνηθεί όλα τα πακέτα μέχρι η μηχανή των υπογραφών να ετοιμαστεί ώστε να αρχίσει να εξετάζει την κίνηση. Η εντολή χρησιμοποιείται στο γενικό επίπεδο διαχείρισης (Router(config)#). Ορίζει μια λίστα πρόσβασης. Επιτρέπει όλες τις IP διευθύνσεις στο δίκτυο x.x.x.x με μάσκα y.y.y.y Επιτρέπει ή απαγορεύει την κίνηση με βάση κάποιο πρωτόκολλο Ορίζει τη λίστα access_list_number σε μια διασύνδεση Ορίζει μια standard ή extended λίστα με όνομα name ip inspect name inspection_name protocol ip inspect name inspection_name http [java-list standard_acl_#] show ip access-list access_list_number Ορίζει ένα κανόνα επιθεώρησης με όνομα inspection_name για ένα πρωτόκολλο Χρησιμοποιείται για επιθεώρηση Java applet. Το πρωτόκολλο είναι το Http και συνοδεύεται από μια αναφορά σε μια standard_acl που έχει ήδη οριστεί Εμφανίζει τα περιεχόμενα μιας λίστας πρόσβασης Άσκηση 1η. Αυτόματες ρυθμίσεις για το τείχος προστασίας Θέλετε να ασφαλίσετε το δρομολογητή σας, χωρίς να μπείτε σε κόπο να ψάχνετε για όλες τις δυνατές περιπτώσεις και σημεία πιθανής επίθεσης. a. Σε προνομιακό επίπεδο εισάγετε την ακόλουθη εντολή Router1#auto secure --- AutoSecure Configuration --- *** AutoSecure configuration enhances the security of the router, but it will not make it absolutely resistant to all security attacks *** AutoSecure will modify the configuration of your device. All configuration changes will be shown. For a detailed explanation of how the configuration changes enhance security and any possible side effects, please refer to Cisco.com for Autosecure documentation. At any prompt you may enter '?' for help. Use ctrl-c to abort this session at any prompt. Gathering information about the router for AutoSecure 35

36 Is this router connected to internet? [no]: y Enter the number of interfaces facing the internet [1]: Enter the interface name that is facing the internet: FastEthernet4 Από την έκδοση 12.3(1) η Cisco ενσωμάτωσε στο IOS το χαρακτηριστικό auto secure το οποίο μέσα από ένα σύνολο ερωτήσεων κάνει όλες τις προτεινόμενες ρυθμίσεις για το τείχος προστασίας. Μετά την ολοκλήρωση των ερωτήσεων παράγεται αυτόματα το configuration το οποίο και μας ρωτά αν θέλουμε να το αντιγράψουμε στο running config του δρομολογητή no service finger no service pad no service udp-small-servers no service tcp-small-servers service password-encryption service tcp-keepalives-in service tcp-keepalives-out no cdp run no ip bootp server no ip http server no ip finger no ip source-route no ip gratuitous-arps interface FastEthernet4 ip verify unicast source reachable-via rx allow-default 102 ip inspect audit-trail ip inspect dns-timeout 7 ip inspect tcp idle-time ip inspect udp idle-time 1800 ip inspect name autosec_inspect cuseeme timeout 3600 ip inspect name autosec_inspect ftp timeout 3600 ip inspect name autosec_inspect http timeout 3600 ip inspect name autosec_inspect rcmd timeout 3600 ip inspect name autosec_inspect realaudio timeout 3600 ip inspect name autosec_inspect smtp timeout 3600 ip inspect name autosec_inspect tftp timeout 30 ip inspect name autosec_inspect udp timeout 15 ip inspect name autosec_inspect tcp timeout 3600 ip access-list extended autosec_firewall_acl permit udp any any eq bootpc deny ip any any interface FastEthernet4 ip inspect autosec_inspect out! end 36