Εργαστηριακές Ασκήσεις με Cisco Routers 871W

Σχετικά έγγραφα
Εργαστήριο «Δίκτυα Υπολογιστών Ι»

Εργαστήριο «Δίκτυα Υπολογιστών Ι»

Σκοπιµότητα των firewalls

PROXY SERVER. Άριστη πύλη διαχωρισμού μεταξύ του εσωτερικού δικτύου και του Internet.

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Διαχείριση Ασφαλείας (ΙΙ) Πρωτόκολλα & Αρχιτεκτονικές Firewalls Anomaly & Intrusion Detection Systems (IDS)

Ethernet Ethernet ΙΕΕΕ CSMA/CD

Δίκτυα Η/Υ ςτην Επιχείρηςη

Cryptography and Network Security Chapter 22. Fifth Edition by William Stallings

ΤΕΧΝΟΛΟΓΙΑ ΔΙΚΤΥΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ 5ο ΚΕΦΑΛΑΙΟ

Βασικές ρυθμίσεις, στατική δρομολόγηση και VLANs

ΕΡΓΑΣΤΗΡΙΑΚΗ ΑΣΚΗΣΗ #2 Ethernet MAC Στρώµα

Συσκευές Τηλεπικοινωνιών και Δικτύωσης. Επικοινωνίες Δεδομένων Μάθημα 9 ο

ΕΡΓΑΣΤΗΡΙΑΚΗ ΑΣΚΗΣΗ #3 Στρώµα ικτύου:ip Πρωτόκολλο και Πρωτόκολλα ροµολόγησης

ΠΑΝΕΠΙΣΤΗΜΙΟΥ ΠΕΛΟΠΟΝΝΗΣΟΥ ΤΜΗΜΑ ΕΠΙΣΤΗΜΗΣ ΚΑΙ ΤΕΧΝΟΛΟΓΙΑΣ ΤΗΛΕΠΙΚΟΙΝΩΝΙΩΝ Υλοποίηση Δικτυακών Υποδομών και Υπηρεσιών

Επαναληπτικές Ασκήσεις Μαθήματος

Εργαστήριο ικτύων Υπολογιστών 6η ιάλεξη: Ασφάλεια δικτύων

Σχεδίαση Δικτύων Υπολογιστών

Δίκτυα Υπολογιστών Ι. ΝΙΚΟΛΟΥΔΑΚΗΣ ΓΙΑΝΝΗΣ (Τετάρτη 15:00-21:00)

Σχεδιασμός Εικονικών Δικτύων Ενότητα 7: Μεταγλώττιση διευθύνσεων (ΝΑΤ)

Κεφάλαιο 1.6: Συσκευές αποθήκευσης

Εξοικείωση με τις εντολές ipconfig και ping

Ρύθμιση Stylitis-10+ WiFi

ΤΕΙ ΗΠΕΙΡΟΥ Τμήμα Τηλεπληροφορικής & Διοίκησης

Δίκτυα Υπολογιστών Ενότητα 9: Dynamic Host Configuration Protocol- DHCP

Α5.1 Εισαγωγή στα Δίκτυα. Α Λυκείου

Διαδίκτυα και το Διαδίκτυο (Internetworking and the Internet)

Σύντομη παρουσίαση των εργαλείων/εντολών telnet, ping, traceroute nslookup και nmap, zenmap

Δίκτυα Η/Υ στην Επιχείρηση

Network Address Translation (NAT)

Tornado 840 / 841 ADSL Router - 4 port Ethernet switch - Wireless G - Access Point - Firewall - USB printer server

ΔΙΑΣΥΝΔΕΣΗ ΔΙΚΤΥΩΝ (INTERNETWORKING)

3.3 Πρωτόκολλα ανεύρεσης και απόδοσης διευθύνσεων, Address Resolution Protocol (ARP) και Dynamic Host Configuration Protocol (DHCP)

ΤΕΧΝΟΛΟΓΙΑ ΔΙΚΤΥΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ

Ρύθµιση του Ασύρµατου Ευρυζωνικού ροµολογητού.

Εισαγωγή στο πως λειτουργεί το διαδίκτυο

Επίπεδο δικτύου IP Forwading κτλ

Draytek Vigor 2700VG Annex A

υποστηρίζουν και υλοποιούν την πολιτική ασφάλειας

ίκτυα υπολογιστών Στόχοι κεφαλαίου ίκτυα

VLANs (Virtual LANs) Επιμέλεια-μετάφραση: I. Ξυδάς. Εργ. Δίκτυα Υπολ.Ι Τμήμα Μηχ. Πληροφορικής & Υπολογιστών

Δίκτυα και Διαδίκτυο

Οδηγίες Χρήσης EAP Controller Software

Εργαστηριακές Ασκήσεις Δικτύων Η/Υ

Υλοποίηση σχημάτων ασφαλείας σε ασύρματα δίκτυα

Απομακρυσμένη Πρόσβαση και Εντολές Ελέγχου και Υποστήριξης

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Διαχείριση Ασφαλείας (Ι) Απειλές Ασφαλείας Συμμετρική & Μη-Συμμετρική Κρυπτογραφία

MUM ATHENS, GREECE 2015

ΘΕΜΑΤΑ ΙΑΧΕΙΡΙΣΗΣ ΕΡΓΑΣΤΗΡΙΩΝ ΠΛΗΡΟΦΟΡΙΚΗΣ

ΣΥΝΔΕΣΗ ΚΑΤΑΓΡΑΦΙΚΟΥ ΣΤΟ INTERNET

Ασύρµατος BroadBand Router της Sweex + switch 4 θυρών

SNMP ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΟΥ ΒΑΣΙΚΕΣ ΕΝΝΟΙΕΣ

Δίκτυα Υπολογιστών Ι

Εργαστήριο «Δίκτυα Υπολογιστών Ι»

Εργαστήριο Σχεδίασης Δικτύων Υπολογιστών ΘΕΩΡΙΑ 3ου ΕΡΓΑΣΤΗΡΙΟΥ

Από τη στιγμή που ένα δίκτυο αποκτήσει σύνδεση στο Internet ανοίγει ένα κανάλι αμφίδρομης επικοινωνίας:

7.2 Τεχνολογία TCP/IP

Σχεδιασμός Εικονικών Δικτύων Ενότητα 9: Συγκριτική Παρουσίαση βασικών τεχνολογιών VPN

Ασύρµατος BroadBand Router της Sweex + switch 4 θυρών + print server

ιαδίκτυα και το ιαδίκτυο (Internetworking and the Internet)

Ρύθµιση του Ασύρµατου Ευρυζωνικού ροµολογητού.

ΕΠΙΚΟΙΝΩΝΙΕΣ ΔΕΔΟΜΕΝΩΝ ΚΑΙ ΤΕΧΝΟΛΟΓΙΕΣ INTERNET

Αντικείμενο της πρόσκλησης είναι η συλλογή προσφορών για προμήθεια router τύπου Peplink balance 580 με τα παρακάτω τεχνικά χαρακτηριστικά: Software

Σχεδίαση Δικτύων Υπολογιστών

ΜΕΛΕΤΗ. Αρ. πρωτ. 71/ ΠΡΟΜΗΘΕΙΑΣ ΔΡΟΜΟΛΟΓΗΤΩΝ (ROUTERS) ΓΙΑ ΤΗ ΣΥΝΔΕΣΗ ΣΧΟΛΙΚΩΝ ΜΟΝΑΔΩΝ Δ/ΘΜΙΑΣ ΕΚΠ/ΣΗΣ ΣΤΟ ΜΑΝ ΤΟΥ ΔΗΜΟΥ ΗΡΑΚΛΕΙΟΥ

Συστήματα Διαχείρισης Κινδύνου στα Ασύρματα Δίκτυα. Επιμέλεια: Βασίλης Παλιούρας MSc Information Security, MCSA, CCDA, CCA

Χρήστος Ξενάκης Τμήμα Ψηφιακών Συστημάτων

1.5.1 ΓΕΦΥΡΑ (BRIDGE) Εικόνα Επίπεδα λειτουργίας επαναλήπτη, γέφυρας, δρομολογητή και πύλης ως προς το μοντέλο OSI.

ΔΙΚΤΥΑ ΙΙ. Διδάσκων: Γεώργιος Ν. Μπάρδης

Προγραμματισμός Διαχείρισης Συστημάτων ΙΙ

7.2.2 Σχέση OSI και TCP/IP

Εισαγωγή στο διαδίκτυο

Δίκτυα Υπολογιστών Ι. ΝΙΚΟΛΟΥΔΑΚΗΣ ΓΙΑΝΝΗΣ (Τετάρτη 15:00-21:00)

Ασφάλεια Δικτύων. Τι (δεν) είναι Ασφάλεια Δικτύων. Γιάννης Ηλιάδης Υπεύθυνος Ασφάλειας Δικτύου ΤΕΙΡΕΣΙΑΣ Α.Ε. 24/11/07

1.2.2 Το μοντέλο δικτύωσης TCP/IP 1 / 26

Επίπεδο δικτύου IP διευθυνσιοδότηση

Κεφάλαιο 7 Διαδικτύωση-Internet. 7.2 Τεχνολογία TCP/IP


Ειδικά Θέματα Δικτύων Ι

Τεχνολογία TCP/IP ΙΑ ΙΚΤΥΩΣΗ- INTERNET. Τεχνολογίες Τηλεκπαίδευσης & Εφαρµογές - Ιούλιος

ΤΕΧΝΟΛΟΓΙΑ ΔΙΚΤΥΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ

ΟΔΗΓΙΕΣ ΧΡΗΣΗΣ DVR KTEC

ΟΔΗΓΙΕΣ ΧΡΗΣΗΣ & ΕΓΚΑΤΑΣΤΑΣΗΣ TD-2300 SERIES SIGMA SECURITY

Εισαγωγή στο TCP/IP. Π. Γαλάτης

Στρατηγικές Ασφάλειας

Δίκτυα ΙΙ Τομέας Πληροφορικής,

Computer Setup Οδηγός χρήσης

Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Εισαγωγή στην Επιστήμη των Υπολογιστών Δίκτυα υπολογιστών. (και το Διαδίκτυο)

ΠΑΝΕΠΙΣΤΗΜΙΟΥ ΠΕΛΟΠΟΝΝΗΣΟΥ ΤΜΗΜΑ ΕΠΙΣΤΗΜΗΣ ΚΑΙ ΤΕΧΝΟΛΟΓΙΑΣ ΤΗΛΕΠΙΚΟΙΝΩΝΙΩΝ Υλοποίηση Δικτυακών Υποδομών και Υπηρεσιών

ΣΤΑΤΙΚΗ ΔΡΟΜΟΛΟΓΗΣΗ ΔΙΚΤΥΩΝ ΠΑΡΑΔΕΙΓΜΑ ΜΕ ΤΗΝ ΧΡΗΣΗ ΤΟΥ GNS3

Ειδικά Θέματα Δικτύων Ι

Κάντε κλικ για έναρξη

Packet Tracer. ηµιουργία τοπολογίας Βήµα 1: Εκτελούµε το Packet Tracer

ΔΙΑΓΩΝΙΣΜΑ ΤΕΛΙΚΗΣ ΕΠΑΝΑΛΗΨΗΣ ΣΤΙΣ ΕΝΟΤΗΤΕΣ

Βιντεοπροβολέας δικτύου - Οδηγός χρήσης

Βασικά στοιχεία από τη Θεωρία

Ειδικά Θέματα Δικτύων Ι

Τη φυσική (MAC) διεύθυνση που δίνει ο κατασκευαστής του δικτυακού υλικού στις συσκευές του (π.χ. στις κάρτες δικτύου). Η περιοχή διευθύνσεων που

Οδηγός ρυθμίσεων Wi-Fi

Σχεδιασμός Εικονικών Δικτύων Ενότητα 2: Κατηγορίες VPN Τεχνολογίες VPN

Τεχνική Οδηγία. Εγκατάσταση & ρύθμιση MS ISA Server 2000 στο περιβάλλον των σχολικών εργαστηρίων. Έκδοση 1.0. Ιανουάριος 2005

Transcript:

Αριστοτέλειο Πανεπιστήμιο Θεσσαλονίκης Πρόγραμμα Μεταπτυχιακών Σπουδών Τμήμα Πληροφορικής Εργαστηριακές Ασκήσεις με Cisco Routers 871W Θεοδωρίδης Κωνσταντίνος Α.Μ. 178 Κατεύθυνση: Επικοινωνιακά Συστήματα και Τεχνολογίες 2008

Μεταπτυχιακή Διατριβή Εργαστηριακές Ασκήσεις με Cisco Routers 871W για προπτυχιακά μαθήματα με έμφαση στη διαχείριση και την ασφάλεια επικοινωνιακών συστημάτων. Θεοδωρίδης Κωνσταντίνος Α.Μ. 178 ΕΠΙΒΛΕΠΩΝ ΚΑΘΗΓΗΤΗΣ Γεώργιος Παπαδημητρίου : Αναπληρωτής Καθηγητής Τμήματος Πληροφορικής Περίληψη Στην παρούσα μεταπτυχιακή διατριβή εξετάζονται οι δυνατότητες των Cisco Router 871W όσον αφορά την διαχείριση και την ασφάλεια που μπορούν να προσφέρουν σε δικτυακά περιβάλλοντα. Πιο συγκεκριμένα εξετάζονται υπό μορφή ασκήσεων οι δυνατότητες του τείχους προστασίας που παρέχουν μέσω εφαρμογής ρυθμίσεων κανόνων, το IPSec για την υλοποίηση ασφαλών καναλιών επικοινωνίας, το IPS που είναι ενσωματωμένο στους δρομολογητές για την αναγνώριση και προστασία από επιθέσεις ενώ σε σχέση με τη διαχείριση το SNMP. Αρχικά γίνεται μια περιγραφή των Cisco Router 871W, των δυνατοτήτων τους, του τρόπου σύνδεσης σε αυτά και τις γλώσσας IOS (γλώσσα εντολών CISCO για τη ρύθμιση του δρομολογητή) με τις βασικές εντολές που θα χρειαστούμε για την εκτέλεση των ασκήσεων. Έπειτα, από τη σύντομη γνωριμία με το υλικό και τη γλώσσα IOS ακολουθούν ασκήσεις πάνω στα θεματικά αντικείμενα που περιγράφηκαν παραπάνω. Για κάθε θεματικό αντικείμενο παρέχεται θεωρητική προσέγγιση ενώ στη συνέχεια ακολουθούν ασκήσεις όπου εφαρμόζονται σενάρια χρήσεων των τεχνολογιών που αναλύθηκαν παραπάνω. 2

ΕΥΧΑΡΙΣΤΙΕΣ Η παρούσα διατριβή αφορά την παραγωγή εργαστηριακών ασκήσεων για τους προπτυχιακούς φοιτητές του τμήματος Πληροφορικής του Αριστοτελείου Πανεπιστημίου Θεσσαλονίκης. Η εργασία αυτή πραγματοποιήθηκε με την υλικοτεχνική υποδομή του εργαστηρίου «Αρχιτεκτονικής και Δικτύων Υπολογιστών» του τμήματος Πληροφορικής του Α.Π.Θ. Θα ήθελα να εκφράσω τις ειλικρινείς μου ευχαριστίες στον Αναπληρωτή Καθηγητή του Τμήματος Πληροφορικής του Αριστοτελείου Πανεπιστημίου Θεσσαλονίκης κ. Γεώργιο Παπαδημητρίου και τους Λέκτορες κ. Πέτρο Νικοπολιτίδη και κ. Νικόλαο Πλέρο για τη συνεχή επίβλεψη, καθοδήγηση, συμπαράσταση και ενθάρρυνσή μου και την παροχή του υλικοτεχνικού εξοπλισμού και του εργαστηρίου, που έκαναν την προσπάθεια μου ευκολότερη καθ όλη τη διάρκεια της εκπόνησης της μεταπτυχιακής μου διατριβής. Θα ήθελα επίσης να ευχαριστήσω τους φίλους και συναδέλφους μου Πολυξένη Γούσια, Ερρίκο Σιάκα, Θωμά Παπαγεωργίου και Περικλή Νικολαΐδη για τις εποικοδομητικές συζητήσεις επί θεμάτων σχετικών με την παρούσα εργασία, οι οποίες συχνά βοηθούσαν στην επίλυση θεωρητικών και πρακτικών προβλημάτων. Επιπλέον, πολύτιμη υπήρξε η συμπαράσταση και υποστήριξη του φίλου μου στο NOC Νίκου Κωστόπουλου. Η συμβολή του σε κρίσιμες στιγμές αυτής της προσπάθειας υπήρξε καθοριστική και οδήγησε τελικά, κατά την προσωπική μου άποψη, σε ένα αρκετά επιτυχημένο αποτέλεσμα. Τέλος, θα ήθελα ιδιαίτερα να ευχαριστήσω τη Μαρίνα για την πολύτιμη βοήθεια και συμπαράστασή της όλα αυτό το χρονικό διάστημα. 3

Περιεχόμενα ΚΕΦΑΛΑΙΟ 1 Ο 1.1 ΕΙΣΑΓΩΓΗ... 9 1.2 CISCO 871W... 10 1.3 ΔΟΜΗ ΤΟΥ ΔΡΟΜΟΛΟΓΗΤΗ... 11 1.4 ΣΥΝΔΕΣΗ ΜΕ ΤΟ ΔΡΟΜΟΛΟΓΗΤΗ... 14 1.5 ΒΑΣΙΚΕΣ ΕΝΤΟΛΕΣ ΔΙΑΧΕΙΡΙΣΗΣ... 16 Χρήση βοήθειας... 16 Χρήση διασωλήνωσης... 16 Εμφάνιση πληροφοριών... 17 Εντολές Διαχείρισης... 17 ΒΙΒΛΙΟΓΡΑΦΙΑ... 18 ΗΛΕΚΤΡΟΝΙΚΕΣ ΠΗΓΕΣ... 18 ΚΕΦΑΛΑΙΟ 2 Ο FIREWALLS 2.1 ΕΙΣΑΓΩΓΗ... 20 2.2 ΤΕΧΝΟΛΟΓΙΕΣ FIREWALL... 21 2.2.1 PACKET FILTERING... 22 2.2.1.1 Πληροφορίες Φιλτραρίσματος... 23 2.2.1.2 Πλεονεκτήματα των Packet Filtering Firewalls... 24 2.2.1.3 Περιορισμοί των Packet Filtering Firewalls... 25 2.2.2 APPLICATION GATEWAY FIREWALLS (AGFS) PROXIES... 26 2.2.2.1 Κατηγορίες των Application Gateway Firewalls... 27 Connection Gateway Firewalls... 27 Cut Through Proxy Firewalls... 28 2.2.2.2 Πλεονεκτήματα των Application Gateway Firewalls... 29 2.2.2.3 Μειονεκτήματα των Application Gateway Firewalls... 29 2.2.3 STATEFUL INSPECTION... 30 2.2.3.1 Πλεονεκτήματα των Stateful Firewalls... 31 2.2.3.2 Μειονεκτήματα των Stateful Firewalls... 31 2.3 CISCO IOS SOFTWARE... 32 2.4 ΑΣΚΗΣΕΙΣ... 33 ΣΕΝΑΡΙΟ... 33 ΤΟΠΟΛΟΓΙΑ... 33 ΕΡΓΑΛΕΙΑ ΠΗΓΕΣ... 34 4

ΛΙΣΤΑ ΕΝΤΟΛΩΝ IOS ΠΟΥ ΘΑ ΧΡΕΙΑΣΤΟΥΜΕ... 34 2.4.1 ΆΣΚΗΣΗ 1Η. ΑΥΤΟΜΑΤΕΣ ΡΥΘΜΙΣΕΙΣ ΓΙΑ ΤΟ ΤΕΙΧΟΣ ΠΡΟΣΤΑΣΙΑΣ... 35 2.4.2 ΆΣΚΗΣΗ 2Η. ΔΗΜΙΟΥΡΓΙΑ ΚΑΙ ΧΡΗΣΗ ΛΙΣΤΩΝ ΠΡΟΣΒΑΣΗΣ (ACLS) ΜΕ ΒΑΣΗ ΤΟ ΠΕΡΙΕΧΟΜΕΝΟ (CONTEXT BASED)... 37 2.4.3 ΆΣΚΗΣΗ 3Η. ΠΡΟΣΤΑΣΙΑ ΑΠΟ ΕΠΙΚΙΝΔΥΝΑ JAVA APPLETS... 38 2.4.4 ΆΣΚΗΣΗ 4Η. ΠΡΟΣΤΑΣΙΑ ΑΠΟ ΕΠΙΘΕΣΕΙΣ ΆΡΝΗΣΗΣ ΥΠΗΡΕΣΙΑΣ (DOS) (CISCO 7200 SERIES)... 39 ΒΙΒΛΙΟΓΡΑΦΙΑ... 42 ΗΛΕΚΤΡΟΝΙΚΕΣ ΠΗΓΕΣ... 42 ΚΕΦΑΛΑΙΟ 3 Ο INTRUSION PREVENTION SYSTEM (IPS) 3.1 ΕΙΣΑΓΩΓΗ... 44 3.2 ΤΥΠΟΙ ΕΠΙΘΕΣΕΩΝ... 45 3.2.1 ΕΠΙΘΕΣΕΙΣ ΑΝΑΓΝΩΡΙΣΗΣ... 45 3.2.2 ΕΠΙΘΕΣΕΙΣ ΠΡΟΣΒΑΣΗΣ... 46 3.2.3 ΕΠΙΘΕΣΕΙΣ ΆΡΝΗΣΗΣ ΥΠΗΡΕΣΙΑΣ (DENIAL OF SERVICE (DOS) ATTACKS)... 46 3.3 ΥΛΟΠΟΙΗΣΕΙΣ IPS... 46 3.3.1 ΔΙΚΤΥΑΚΗ ΥΛΟΠΟΙΗΣΗ... 47 3.3.2 ΥΛΟΠΟΙΗΣΗ ΣΕ ΣΤΑΘΜΟ ΕΡΓΑΣΙΑΣ... 48 3.4 ΜΕΘΟΔΟΛΟΓΙΕΣ ΥΛΟΠΟΙΗΣΗΣ ΤΟΥ IPS... 48 3.4.1 ΠΡΟΦΙΛ (PROFILES)... 48 3.4.2 ΥΠΟΓΡΑΦΕΣ (SIGNATURES)... 49 3.5 IPS ΥΠΟΓΡΑΦΕΣ... 50 3.5.1 ΥΛΟΠΟΙΗΣΕΙΣ ΥΠΟΓΡΑΦΩΝ... 50 3.5.2 ΔΟΜΗ ΥΠΟΓΡΑΦΩΝ... 51 3.5.3 ΒΑΣΙΚΗ ΚΑΤΗΓΟΡΙΟΠΟΙΗΣΗ... 51 Πίνακας 3 1. Κατηγοριοποίηση υπογραφών Cisco... 52 3.6 Η ΔΙΑΔΙΚΑΣΙΑ IPS... 52 3.7 ΘΕΜΑΤΑ ΑΠΟΔΟΣΗΣ ΜΝΗΜΗΣ... 53 3.8 ΆΣΚΗΣΗ... 54 ΣΕΝΑΡΙΟ... 54 ΤΟΠΟΛΟΓΙΑ... 54 ΕΡΓΑΛΕΙΑ ΠΗΓΕΣ... 55 ΛΙΣΤΑ ΕΝΤΟΛΩΝ IOS ΠΟΥ ΘΑ ΧΡΕΙΑΣΤΟΥΜΕ... 56 ΒΗΜΑ 1. ΕΝΕΡΓΟΠΟΙΗΣΗ ΤΟΥ IPS ΣΤΟ ΔΡΟΜΟΛΟΓΗΤΗ... 56 ΒΗΜΑ 2. ΦΟΡΤΩΣΗ ΥΠΟΓΡΑΦΩΝ... 58 ΒΗΜΑ 3. ΣΥΓΧΩΝΕΥΣΗ ΤΟΥ ΑΡΧΕΙΟΥ ΥΠΟΓΡΑΦΩΝ ATTACK DROP.SDF ΜΕ ΤΟ ΠΡΟΚΑΘΟΡΙΣΜΕΝΟ ΑΡΧΕΙΟ ΥΠΟΓΡΑΦΩΝ... 60 ΒΗΜΑ 4. ΕΠΑΛΗΘΕΥΣΗ ΤΩΝ ΡΥΘΜΙΣΕΩΝ... 62 ΒΗΜΑ 5. ΔΗΜΙΟΥΡΓΙΑ ΚΑΙ ΚΑΤΑΓΡΑΦΗ ΜΗΝΥΜΑΤΟΣ... 62 ΒΙΒΛΙΟΓΡΑΦΙΑ... 63 ΗΛΕΚΤΡΟΝΙΚΕΣ ΠΗΓΕΣ... 63 5

ΚΕΦΑΛΑΙΟ 4 Ο IPSEC 4.1 ΕΙΣΑΓΩΓΗ... 65 4.2 IPSEC... 65 4.3 ΠΡΩΤΟΚΟΛΛΟ AH... 68 4.4 ΠΡΩΤΟΚΟΛΛΟ ESP... 69 4.5 ΚΡΥΠΤΟΓΡΑΦΗΣΗ ΔΕΔΟΜΕΝΩΝ... 71 4.6 INTERNET KEY EXCHANGE (IKE)... 72 4.7 ΚΑΤΑΣΤΑΣΕΙΣ ΛΕΙΤΟΥΡΓΙΑΣ ΤΟΥ IPSEC... 75 4.8 ΆΣΚΗΣΗ. ΡΥΘΜΙΣΗ ΤΟΥ IPSEC... 77 ΣΕΝΑΡΙΟ... 77 ΤΟΠΟΛΟΓΙΑ... 77 ΕΡΓΑΛΕΙΑ ΠΗΓΕΣ... 78 ΛΙΣΤΑ ΕΝΤΟΛΩΝ IOS ΠΟΥ ΘΑ ΧΡΕΙΑΣΤΟΥΜΕ... 78 ΒΗΜΑ 1. ΠΡΟΕΤΟΙΜΑΣΙΑ ΓΙΑ ΝΑ ΡΥΘΜΙΣΟΥΜΕ ΤΗΝ ΥΠΟΣΤΗΡΙΞΗ ΓΙΑ VPN... 79 ΒΗΜΑ 2. ΡΥΘΜΙΣΕΙΣ ΠΑΡΑΜΕΤΡΩΝ ΓΙΑ ΤΟ IKE... 80 ΒΗΜΑ 3. ΡΥΘΜΙΣΗ ΤΩΝ ΠΑΡΑΜΕΤΡΩΝ ΤΟΥ IPSEC... 81 ΒΗΜΑ 4. ΕΠΑΛΗΘΕΥΣΗ ΚΑΙ ΔΟΚΙΜΗ ΤΩΝ IPSEC ΡΥΘΜΙΣΕΩΝ... 83 ΒΗΜΑ 5. ΡΥΘΜΙΣΤΕ ΚΑΛΥΤΕΡΑ ΤΗΝ CRYPTO ACL(ΠΡΟΑΙΡΕΤΙΚΟ)... 86 ΒΙΒΛΙΟΓΡΑΦΙΑ... 87 ΗΛΕΚΤΡΟΝΙΚΕΣ ΠΗΓΕΣ... 87 ΚΕΦΑΛΑΙΟ 5 Ο SNMP 5.1 ΕΙΣΑΓΩΓΗ... 89 5.2 ΣΤΑΘΜΟΣ ΔΙΑΧΕΙΡΙΣΗΣ ΔΙΚΤΥΟΥ (NMS)... 90 5.3 ΔΙΑΧΕΙΡΙΖΟΜΕΝΕΣ ΣΥΣΚΕΥΕΣ... 91 5.4 ΒΑΣΗ ΔΙΑΧΕΙΡΙΣΗΣ ΠΛΗΡΟΦΟΡΙΑΣ (ΜΙΒ)... 92 5.5 Η ΛΕΙΤΟΥΡΓΙΑ ΤΟΥ ΠΡΩΤΟΚΟΛΛΟΥ... 94 5.6 ΠΛΕΟΝΕΚΤΗΜΑΤΑ ΤΟΥ SNMP... 95 5.7 ΜΕΙΟΝΕΚΤΗΜΑΤΑ ΤΟΥ SNMP... 95 5.8 SNMP ΚΑΙ CISCO IOS... 96 5.9 ΆΣΚΗΣΗ... 96 ΣΕΝΑΡΙΟ... 97 ΤΟΠΟΛΟΓΙΑ... 97 ΕΡΓΑΛΕΙΑ ΠΗΓΕΣ... 98 ΛΙΣΤΑ ΕΝΤΟΛΩΝ IOS ΠΟΥ ΘΑ ΧΡΕΙΑΣΤΟΥΜΕ... 98 6

ΒΗΜΑ 1. ΑΝΟΙΓΟΥΜΕ ΤΟΝ KIWI SYSLOG... 98 ΒΗΜΑ 2. ΕΝΕΡΓΟΠΟΙΗΣΤΕ ΤΟ SNMP COMMUNITY STRING... 100 ΒΗΜΑ 3. ΚΑΤΑΧΩΡΗΣΤΕ ΠΛΗΡΟΦΟΡΙΕΣ ΓΙΑ ΤΗΝ ΕΠΙΚΟΙΝΩΝΙΑ ΜΕ ΤΟΝ SNMP AGENT... 100 ΒΗΜΑ 4. ΡΥΘΜΙΣΤΕ ΤΟ ΔΡΟΜΟΛΟΓΗΤΗ ΝΑ ΑΠΟΣΤΕΛΛΕΙ TRAPS ΣΕ ΕΝΑ ΣΤΑΘΜΟ... 100 ΒΗΜΑ 5. ΔΟΚΙΜΑΣΤΕ ΤΙΣ ΡΥΘΜΙΣΕΙΣ... 101 ΒΗΜΑ 6. ΠΕΡΙΟΡΙΣΤΕ ΤΗ ΧΡΗΣΗ ΤΟΥ SNMP ΣΤΟΝ ΕΣΩΤΕΡΙΚΟ SERVER... 101 ΒΗΜΑ 7. ΑΠΕΝΕΡΓΟΠΟΙΗΣΗ SNMP TRAPS... 101 ΒΗΜΑ 8. ΑΠΕΝΕΡΓΟΠΟΙΗΣΗ SNMP ΚΑΙ ΣΧΕΤΙΖΟΜΕΝΩΝ ΛΙΣΤΩΝ ΠΡΟΣΒΑΣΗΣ... 102 ΒΙΒΛΙΟΓΡΑΦΙΑ... 103 ΗΛΕΚΤΡΟΝΙΚΕΣ ΠΗΓΕΣ... 103 ΠΑΡΑΡΤΗΜΑ Α. ΕΓΚΑΤΑΣΤΑΣΗ IOS... 104 Β. ΑΠΟΘΗΚΕΥΣΗ ΤΟΥ IOS ΣΕ PC... 105 7

Κεφάλαιο 1 ο Εισαγωγή Cisco Router 871W Δομή Δυνατότητες Σύνδεση Επικοινωνία Γλώσσα Επικοινωνίας IOS 8

1.1 Εισαγωγή Στο κεφάλαιο αυτό θα μελετήσουμε το υλικό που παρέχεται στο εργαστήριο και τις δυνατότητές του, ενώ στη συνέχεια θα εξετάσουμε το λογισμικό που τα συνοδεύει, ένα λειτουργικό σύστημα με πολλές δυνατότητες γνωστό ως IOS Internetworking Operating System. Το λογισμικό IOS των δρομολογητών Cisco είναι υπεύθυνο για : Την υποστήριξη δικτυακών λειτουργιών και πρωτοκόλλων Διασυνδέσεις υψηλών ταχυτήτων μεταξύ συσκευών Την προσθήκη υπηρεσιών ασφαλείας για τον έλεγχο πρόσβασης και την προστασία από προσπάθειες αναρμόδιας χρήσης Την παροχή δυνατοτήτων κλιμάκωσης για την επέκταση υπαρχόντων δικτύων Τη δημιουργία αξιόπιστων δικτύων για τη διασύνδεση με δικτυακούς πόρους Για την εξοικείωση με το υλικό και τη διαχείριση του, θα δοθούν παραδείγματα διασύνδεσης με αυτό καθώς και βασικές εντολές του IOS και συντομεύσεις που θα βοηθήσουν στη κατανόηση του τρόπου λειτουργίας και θα κάνουν ευκολότερη την κατανόηση των ασκήσεων των επόμενων κεφαλαίων. 9

1.2 Cisco 871W Η σειρά 871W της Cisco έχει τα παρακάτω χαρακτηριστικά Μνήμη RAM: 128 MB (εγκατεστημένη) / 256 MB (μέγιστη) Flash Memory: 24 MB (εγκατεστημένη) / 52 MB (μέγιστη) Επεκτάσεις / Διασυνδέσεις 4 δικτυακές θύρες Ethernet 10Base T/100Base TX RJ 45 (LAN) 1 δικτυακή θύρα Ethernet 10Base T/100Base TX RJ 45 ( WAN ) 2 Hi Speed USB 4 PIN USB Type A 1 802.11 Ethernet (wireless) 1 θύρα διαχείρισης μέσω κονσόλας RJ 45 Δικτύωση Δυνατότητες: Τείχος προστασίας (Firewall), υποστήριξη DHCP, Ιδεατά ιδιωτικά Δίκτυα (VPN), Υποστήριξη ιδεατών τοπικών δικτύων (VLAN), auto uplink (auto MDI/MDI X), manageable, Υποστήριξη για IPv6 και Intrusion Prevention System (IPS) Τεχνολογία διασύνδεσης: Ασύρματη Ενσύρματη Πρωτόκολλα επιπέδου σύνδεσης δεδομένων (Data Link): Ethernet, Fast Ethernet, IEEE 802.11b, IEEE 802.11g Πρωτόκολλα επιπέδων δικτύωσης / μεταφοράς: PPTP, L2TP, IPSec, PPPoE, PPPoA Υποστηριζόμενα πρότυπα: IEEE 802.11b, IEEE 802.11g, IEEE 802.1x, Wi Fi CERTIFIED Ταχύτητα μεταφοράς δεδομένων: 54 Mbps (ασύρματο) Απομακρυσμένη διαχείριση: SNMP, Telnet, HTTP Μεταγωγή: Ethernet Πρωτόκολλα δρομολόγησης: RIP 1, RIP 2 Συχνότητα λειτουργίας: 2.4 GHz Διάφορα Συμμόρφωση με τα παρακάτω πρότυπα : EN 60950, IEC 61000 3 2, IEC 61000 4 11, IEC 61000 4 2, IEC 61000 4 3, IEC 61000 4 4, IEC 61000 4 5, IEC 61000 4 6, IEC 61000 4 8, IEC950, VCCI II, EN55022 Class B, ICES 003 Class B, AS/NZ 3548 Class B, AS/NZS 3260, FCC Part 68, CS 03, UL 1950 Third Edition, EN 60555 2 Αλγόριθμοι κρυπτογράφησης: LEAP, Triple DES, AES, TLS, PEAP, TKIP, WPA PSK 10

1.3 Δομή του δρομολογητή Για να μπορέσουμε να διαμορφώσουμε εσωτερικά το δρομολογητή είναι απαραίτητο να γνωρίζουμε την εσωτερική δομή του, τα βασικά συστατικά από τα οποία αποτελείται καθώς και για ποιες εργασίες είναι υπεύθυνο το καθένα. Ένας δρομολογητής Cisco μπορεί να χαρακτηρισθεί ως ένας ειδικού σκοπού υπολογιστής. Έχει το δικό του λειτουργικό σύστημα που ονομάζεται IOS από τις λέξεις Internetwork Operating System (IOS), και επιπλέον έχει το δικό του σύστημα αρχείων ενώ υποστηρίζει καταλόγους και αρχεία. Για το λόγο αυτό γίνεται και αυτή η εισαγωγή ώστε να δοθούν οι απαραίτητες κατευθύνσεις για την καλύτερη διαχείριση του δρομολογητή. Για την αποθήκευση των πληροφοριών οι δρομολογητές της Cisco χρησιμοποιούν μνήμη flash αντί για σκληρούς δίσκους. Η μνήμη αυτή είναι αρκετά πιο ακριβή και πιο αργή ως μέσο αποθήκευσης, ωστόσο το μέγεθος των δεδομένων που χρειάζεται να αποθηκευτούν είναι σχετικά πολύ μικρό σε σχέση με ένα γενικού σκοπού ηλεκτρονικού υπολογιστή. Πλεονέκτημα για τη μνήμη Flash αποτελεί η αξιοπιστία και η διάρκεια ζωής σε σχέση με τους σκληρούς δίσκους. Η αποθήκευση στη μνήμη Flash είναι παρόμοια με αυτή της RAM (Random Access Memory), με τη διαφορά ότι δε χρειάζεται ρεύμα για να διατηρήσει τις πληροφορίες και αντίθετα με τη μνήμη ROM (Read Only Memory), μπορείς να τη σβήσεις και να την ξαναεγγράψεις. Τεχνικά υπάρχουν και άλλα παρόμοια είδη μνήμης όπως η EPROM (Erasable Programmable Read Only Memory) και η EEPROM (Electronically Erasable Programmable Read Only Memory). Η EPROM δεν είναι κατάλληλη για τους δρομολογητές επειδή συνήθως χρειάζεται μια εξωτερική συσκευή συνήθως υπεριώδους φωτός για να σβήσει το chip. Η EEPROM, από την άλλη πλευρά δεν μπορεί να κάνει επιλεκτική διαγραφή αλλά σβήνει όλα τα περιεχόμενα της. Η μνήμη Flash είναι μια ειδικού τύπου EEPROM με τα πλεονεκτήματα που αναφέραμε και κατασκευάζεται από την Intel. Σε κάθε δρομολογητή Cisco υπάρχουν τουλάχιστο δύο κύρια αποθηκευτικά μέσα μη προσωρινής αποθήκευσης. Το configuration του δρομολογητή αποθηκεύεται σε μια συσκευή που ονομάζεται NVRAM (Nonvolatile RAM), ενώ το IOS αποθηκεύεται σε μια συσκευή που ονομάζεται flash. Είναι σημαντικό να γίνει διαχωρισμός ανάμεσα στα δυο μέσα μια και τα δυο χρησιμοποιούν την ίδια τεχνολογία αποθήκευσης (μνήμη flash). Στους περισσότερους δρομολογητές Cisco, η NVRAM περιοχή είναι μεταξύ 16 Kb και 256 Kb και εξαρτάται από το μέγεθος του δρομολογητή αφού μεγαλύτεροι δρομολογητές έχουν συνήθως μεγαλύτερα configuration και χρειάζονται περισσότερη NVRAM. Από την άλλη η μνήμη Flash, είναι αναβαθμίσιμη και μπορεί να έχει μέγεθος μερικές εκατοντάδες Megabytes. Σε κάθε δρομολογητή στην πραγματικότητα υπάρχουν δύο αρχεία ρυθμίσεων (configuration files). Το ένα περιγράφει την τρέχουσα κατάσταση του δρομολογητή και ονομάζεται running config. Ότι αλλαγές κάνουμε σε ρυθμίσεις αυτές αποθηκεύονται στο 11

running config. Το άλλο αρχείο ρυθμίσεων είναι αυτό που χρησιμοποιεί ο δρομολογητής για να εκκινήσει και ονομάζεται startup config. Μόνο το startup config βρίσκεται αποθηκευμένο στην NVRAM (το running config βρίσκεται στη RAM). Για το λόγο αυτό είναι σημαντικό να ελέγχουμε περιοδικά αν τα δύο configuration είναι συγχρονισμένα. Τα δύο configuration μπορούν να συγχρονιστούν με μια απλή αντιγραφή του running config στο αρχείο startup config: Router1# copy running config startup config Ο δρομολογητής χρησιμοποιεί τη μεγαλύτερη μονάδα αποθήκευσης που έχει (Flash) για την αποθήκευση του λειτουργικού του συστήματος IOS. Αντίθετα με άλλα λειτουργικά συστήματα, το IOS αποτελείται από ένα μοναδικό αρχείο τύπου εικόνας που περιέχει όλη τη λειτουργικότητα τα χαρακτηριστικά και τις εντολές που είναι διαθέσιμες στο δρομολογητή. Υπάρχουν διαφορετικές εκδόσεις του IOS που υποστηρίζουν διαφορετικά σετ εντολών. Κάθε δρομολογητής έρχεται συνήθως με την πιο απλή έκδοση IOS που όμως είναι υπεραρκετή για τις περισσότερες και συνηθέστερες χρήσεις. Το IOS μπορεί να προμηθευτεί κανείς από τη Cisco ανάλογα με το είδος συμβολαίου που έχει συνάψει με την εταιρεία. Σχήμα 1 1. Λογισμικό IOS και υπηρεσίες υποστήριξης Η αναβάθμιση του IOS σε ένα δρομολογητή γίνεται πρακτικά με τη διαγραφή της εικόνας του IOS από τη μνήμη Flash και την αποθήκευση της νέας εικόνας. Οι κυριότεροι λόγοι που το επιβάλουν αυτό είναι το υποστηριζόμενο σετ εντολών τις κάθε έκδοσης. Για παράδειγμα για την υποστήριξη του IPS (Intrusion Prevention System) χρειάστηκε να εγκατασταθεί το Advanced IP Services (Ο τρόπος εγκατάστασης περιγράφεται στο παράρτημα). Ωστόσο πριν κάνουμε οτιδήποτε είναι απαραίτητο να ελέγξουμε αν ο δρομολογητής έχει την απαραίτητη μνήμη για να αποθηκεύσει το αρχείο εικόνας του IOS. Ο έλεγχος της έκδοσης και της διαθέσιμης μνήμης γίνεται με την εντολή 12

Router1# show version Επιπλέον είναι απαραίτητο να γνωρίζετε ότι σε περίπτωση που κάτι δεν πάει καλά με την αναβάθμιση (π.χ. διακοπή ρεύματος) υπάρχει αποθηκευμένο στη ROM ένα μικρό IOS μέσω του οποίου μπορεί να ανοιχτεί μια εξωτερική διασύνδεση και να γίνει η αντιγραφή του αρχείου εικόνας του IOS στη μνήμη flash. Γενικότερα η μνήμη ROM αποτελείται από τρία μέρη: το πρόγραμμα POST (power on self test) για το έλεγχο κατά την εκκίνηση τον βασικών δυνατοτήτων λειτουργιών του υλικού του δρομολογητή το πρόγραμμα bootstrap που εκκινεί το δρομολογητή και μια μικρή έκδοση του IOS. Κατά την εκκίνηση του δρομολογητή αρχικά φορτώνεται το πρόγραμμα POST και γίνονται οι απαραίτητοι έλεγχοι, στη συνέχεια φορτώνεται το bootstrap και τέλος το IOS Στον πίνακα που ακολουθεί φαίνονται τα αυτά τα βασικά συστατικά ενός δρομολογητή και δίνεται μια σύντομη περιγραφή για τη λειτουργία τους. Component Bootstrap Power on self test (POST) ROM monitor Mini IOS Random access memory (RAM) Read only memory (ROM) Flash memory Nonvolatile RAM (NVRAM) Περιγραφή Βρίσκεται αποθηκευμένο στο μικροκώδικα της ROM. Εκκινεί το δρομολογητή και στη συνέχεια φορτώνει το IOS. Βρίσκεται αποθηκευμένο στο μικροκώδικα της ROM, το POST χρησιμοποιείται για το έλεγχο κατά την εκκίνηση τον βασικών δυνατοτήτων λειτουργιών του υλικού του δρομολογητή και καθορίζει ποιες διασυνδέσεις (interfaces) είναι διαθέσιμες. Βρίσκεται αποθηκευμένο στο μικροκώδικα της ROM και χρησιμοποιείται για έλεγχο, εντοπισμό και αντιμετώπιση των σφαλμάτων. Ονομάζεται και RXBOOT από τη Cisco, είναι ένα μικρό IOS που βρίσκεται στη ROM και μπορεί να χρησιμοποιηθεί για να ανοίξει μια διασύνδεση και να φορτώσει ένα IOS στη μνήμη flash. Επίσης μπορεί να χρησιμοποιηθεί και για ορισμένες άλλες λειτουργίες συντήρησης. Χρησιμοποιείται για την αποθήκευση τον πινάκων δρομολόγησης, ως ενδιάμεση μνήμη για πακέτα, ως ARP cache, καθώς και για την αποθήκευση του λογισμικού και των δομών δεδομένων που χρειάζεται για τη σωστή λειτουργία του δρομολογητή. Επιπλέον το running config αποθηκεύεται στη RAM, ενώ οι περισσότεροι δρομολογητές κατά την εκκίνηση φορτώνουν το IOS από τη μνήμη flash στη RAM. Χρησιμοποιείται κατά την εκκίνηση του δρομολογητή. Περιλαμβάνει τα προγράμματα POST και bootstrap, καθώς και το mini IOS. Χρησιμοποιείται ως κύριο μέσο αποθήκευσης του λειτουργικού συστήματος IOS. Η μνήμη Flash δε διαγράφεται κατά την επανεκκίνηση του δρομολογητή. Είναι μια ειδικού τύπου EEPROM που κατασκευάζεται από την Intel. Χρησιμοποιείται για την αποθήκευση του startup config. Η NVRAM δε διαγράφεται κατά την επανεκκίνηση του δρομολογητή ή του switch η έπειτα από διακοπή ρεύματος. Επιπλέον εκεί αποθηκεύεται το αρχείο 13

Component Περιγραφή configuration register. Configuration register Χρησιμοποιείται για να ρυθμίζει τον τρόπο που εκκινεί ο δρομολογητής. Η τιμή αυτή βρίσκεται στην τελευταία γραμμή της εντολής show version και έχει την προκαθορισμένη τιμή 0x2102, η οποία λέει στο δρομολογητή να φορτώσει το IOS από τη μνήμη flash και το configuration από την NVRAM. 1.4 Σύνδεση με το δρομολογητή Η σύνδεση με το δρομολογητή μπορεί να γίνει με διάφορους τρόπους όπως με χρήση ειδικού καλωδίου και σύνδεση στη θύρα της κονσόλας ελέγχου, με μόντεμ μέσω της θύρας aux ή ακόμα μέσω Telnet και SSH. Για τα παραδείγματα που θα ακολουθήσουν στο παρόν και στα επόμενα κεφάλαια για μεγαλύτερη ευελιξία χρησιμοποιούμε τη σύνδεση μέσω Telnet. Η προκαθορισμένη διεύθυνση του δρομολογητή είναι: 10.10.P.1 Όνομα χρήστη: admin Κωδικός εισόδου: cisco123 Σχήμα 1 2. Σύνδεση στο δρομολογητή μέσω telnet Σε κάθε δρομολογητή υπάρχουν τέσσερις δυνατές καταστάσεις διαμόρφωσης ρυθμίσεων. Για να αναγνωρίσουμε σε ποια ακριβώς βρισκόμαστε απλά ελέγχουμε το σύμβολο προτροπής της γραμμής εισόδου. 14

Σύμβολο Προτροπής Επίπεδο διαχείρισης Επεξήγηση Router> Επίπεδο χρήστη Περιορισμός σε βασικές εντολές παρακολούθησης της κατάστασης του δρομολογητή Router# Προνομιακό επίπεδο Μπορεί να έχει πρόσβαση σε όλες τις εντολές και να κάνει ρυθμίσεις Router(config)# Γενική διαχείριση (Global) Οι εντολές που δίνονται από το διαχειριστή επηρεάζουν ολόκληρο το σύστημα Router(config subif)# Ειδική Διαχείριση Διαχείριση συγκεκριμένων πόρων / Συνδέσμων / διασυνδέσεων Μπορούμε να μετακινηθούμε στα διάφορα επίπεδα διαχείρισης με τις εντολές που φαίνονται στον πίνακα που ακολουθεί Εντολή Router> enable Router# disable Router# config term Αποτέλεσμα Από το επίπεδο χρήστη πηγαίνουμε στο προνομιακό επίπεδο διαχειριστή όπου μπορούμε να κάνουμε ρυθμίσεις. Ζητείται κωδικός με ανάλογα δικαιώματα Από το προνομιακό επίπεδο διαχείρισης πηγαίνουμε σε επίπεδο χρήστη όπου απλά μπορούμε να παρακολουθούμε την κατάσταση του δρομολογητή Από το προνομιακό επίπεδο μετακινούμαστε σε επίπεδο γενικής διαχείρισης του δρομολογητή Router(config)# exit Έξοδος από οποιαδήποτε επίπεδο διαχείρισης στο προνομιακό (μπορεί να γίνει και με Ctrl+Z) Router(config)# interface <int> Enters interface configuration mode from global configuration mode Router(config)# interface <subint> Enters subinterface configuration mode from global configuration mode Router(config)# line <line> Router(config)# router eigrp 1 Enters line configuration mode from global configuration mode Enters router configuration mode from global configuration mode Για την ευκολότερη και γρηγορότερη πρόσβαση διαχείριση του δρομολογητή δίνονται οι παρακάτω συντομεύσεις και πλήκτρα ειδικών λειτουργιών 15

Συντόμευση Ctrl+P ή βέλος Ctrl+N ή βέλος Ctrl+A Ctrl+E Esc+B Esc+F Ctrl+R Ctrl+U Ctrl+W Ctrl+Z Tab Αποτέλεσμα Εμφανίζει την τελευταία εντολή που δόθηκε Εμφανίζει προηγούμενες εντολές που δόθηκαν Μετακινεί τον κέρσορα στην αρχή της γραμμής Μετακινεί τον κέρσορα στο τέλος της γραμμής Μετακινεί τον κέρσορα πίσω κατά μια λέξη Μετακινεί τον κέρσορα προς τα εμπρός κατά μια λέξη Επανεμφανίζει μια γραμμή Διαγράφει μια γραμμή Διαγράφει μια λέξη Τερματίζει την κατάσταση ρύθμισης παραμέτρων και επιστρέφει στην EXEC κατάσταση Ολοκληρώνει την πληκτρολόγηση μιας εντολής (δεν είναι δηλαδή απαραίτητο να πληκτρολογήσουμε όλη την εντολή) 1.5 Βασικές Εντολές Διαχείρισης Χρήση βοήθειας Εντολή Router#? Router#c? Router#clock? Ερμηνεία Εμφανίζει όλες τις διαθέσιμες εντολές Εμφανίζει όλες τις διαθέσιμες εντολές που ξεκινούν με το γράμμα c Εμφανίζει όλες τις διαθέσιμες επιλογές για την εντολή clock Χρήση διασωλήνωσης Εντολή Router#sh running config? Router#sh run begin interface Router#sh ip route include 192.168.3.32 Ερμηνεία Εμφανίζει όλες τις δυνατές επιλογές για την εντολή pipe. Αυτές περιλαμβάνουν τα begin, include, exclude κ.τ.λ. Εμφανίζει την τρέχουσα κατάσταση ρυθμίσεων ξεκινώντας από τις ρυθμίσεις των διασυνδέσεων. Εμφανίζει όλες τις καταχωρήσεις στον IP πίνακα δρομολόγησης που περιλαμβάνουν την IP διεύθυνση 192.168.3.32. 16

Εμφάνιση πληροφοριών Εντολή Router#sh running config Router#sh startup config Router#sh history Router#sh ip int brief Router#sh users Router#sh sessions Αποτέλεσμα Εμφανίζει τις τρέχουσες ρυθμίσεις του δρομολογητή Εμφανίζει τις ρυθμίσεις εκκίνησης του δρομολογητή Εμφανίζει τις τελευταίες εντολές που δόθηκαν Εμφανίζει μια γρήγορη σύνοψη των διασυνδέσεων συμπεριλαμβανομένων των διευθύνσεων που τους έχουν αποδοθεί καθώς και της κατάστασης τους Εμφανίζει τους χρήστες και τους δρομολογητές που είναι συνδεδεμένοι στο δικό μας μέσω telnet Εμφανίζει τους δρομολογητές στους οποίους είμαστε συνδεδεμένοι μέσω telnet Εντολές Διαχείρισης Εντολή Αποτέλεσμα PWD Εμφανίζει τον τρέχον κατάλογο εργασίας Show file Dir Copy More Delete Erase / Format Cd Mkdir / Rmdir no Reload Εμφανίζει πληροφορίες για ένα συγκεκριμένο φάκελο ή αρχείο Εμφανίζει τα περιεχόμενα ενός καταλόγου (ο προκαθορισμένος είναι ο flash:/) Δημιουργεί αντίγραφα ασφαλείας για το IOS, τα επαναφέρει ή αναβαθμίζει το IOS του δρομολογητή Εμφανίζει τα περιεχόμενα ενός αρχείου Διαγράφει ένα αρχείο Διαγράφει ή διαμορφώνει το λειτουργικό σύστημα Αλλαγή καταλόγου Δημιουργεί και διαγράφει καταλόγους Η λέξη no μπροστά από μια εντολή αντιστρέφει τη λειτουργία της π.χ. no shutdown Επανεκκίνηση του δρομολογητή 17

Βιβλιογραφία 1. Todd Lammle's CCNA IOS Commands Survival Guide, Todd Lammle, ISBN: 978 0 4701 7560 6, Wiley Publishing, 2008 2. Cisco IOS Quick Reference, Will Richards 3. Cisco IOS Cookbook, 2nd Edition, Kevin Dooley, Ian Brown, ISBN:978 0 596 52722 8, O'Reilly, 2006 Ηλεκτρονικές Πηγές 1. Wikipedia Cisco http://en.wikipedia.org/wiki/cisco_systems 2. Wikipedia Cisco IOS http://en.wikipedia.org/wiki/cisco_ios 3. Cisco IOS Configuration Fundamentals Command Reference, Release 12.2 http://www.cisco.com/en/us/docs/ios/12_2/configfun/command/reference/frf001.html 4. Cisco IOS Basic Commands http://www.jaytmedia.com/cisco/ios.html 5. Cisco 800 Series Integrated Services Router http://www.cisco.com/en/us/prod/collateral/routers/ps380/ps6200/prod_qas0900aec d8028a982.html 6. Cisco CCENT: Basic IOS Commands for Routers and Switches http://www.trainsignaltraining.com/cisco ccent basic ios commands for routers andswitches/2007 12 17/ 18

Κεφάλαιο 2 ο Ασφάλεια Firewalls Εισαγωγή Τεχνολογίες Firewall Εντολές IOS Ασκήσεις Λύσεις 19

2.1 Εισαγωγή Η τεχνολογία που σχετίζεται με τα τείχη προστασίας (firewalls) έχει αλλάξει σημαντικά σε σχέση με την εποχή που έκανε τα πρώτα της βήματα στις αρχές του 1990. Τα πρώτα firewall ήταν απλά συσκευές φιλτραρίσματος πακέτων. Από εκείνη την εποχή πολλά άλλαξαν με αποτέλεσμα σήμερα τα firewall να έχουν αποκτήσει νέες δυνατότητες όπως είναι το stateful filtering, Virtual Private Networks (VPNs), intrusion detection systems (IDS), multicast routing, connection authentication, Dynamic Host Configuration Protocol (DHCP) services καθώς και πολλά άλλα. Πέρα από τον ανταγωνισμό των εταιριών, αυτό που οδήγησε στις παραπάνω βελτιώσεις και προσθήκες δυνατοτήτων ήταν η ραγδαία ανάπτυξη και χρήση του Internet στα μέσα της δεκαετίας του 1990. Πέρα από τα οφέλη, αυτή η ανάπτυξη έφερε σημαντικά προβλήματα που σχετίζονταν με την ασφάλεια. Έτσι σήμερα τα firewall αποτελούν μια συνήθη τεχνολογία για την προστασία όχι μόνο των μεγάλων επιχειρήσεων αλλά επιπλέον όλων όσων έχουν πρόσβαση στο διαδίκτυο. Ένα Firewall (τείχος προστασίας) είναι ένα σύστημα που επιβάλει μια πολιτική ελέγχου πρόσβασης. Σκοπός του είναι να προστατέψει το δίκτυο μας από μη εξουσιοδοτημένα άτομα και να σταματήσει τις παράνομες ενέργειες τους σε προκαθορισμένα και οριοθετημένα σημεία. Είναι ένα πρόγραμμα ή μια συσκευή που φιλτράρει την πληροφορία που περνάει, μέσω της σύνδεσης στο Δικτυακό χώρο, σε ένα ιδιωτικό δίκτυο ή σε ένα υπολογιστικό σύστημα. Ουσιαστικά υλοποιεί δυο μηχανισμούς, ο ένας είναι η επιβεβαίωση της κυκλοφορίας ενός πακέτου πληροφορίας και ο άλλος η απόρριψη της κυκλοφορίας κάποιου πακέτου πληροφορίας. Ο λόγος εγκατάστασης ενός firewall είναι κυρίως για να προστατεύει το ιδιωτικό τοπικό δίκτυο από αυθαίρετες επισκέψεις. Ωστόσο, σύμφωνα με μελέτες οι περισσότερες δικτυακές επιθέσεις συμβαίνουν μέσα στα όρια του δικτύου (60% 70%). Επιπλέον, σε ένα δίκτυο εκτός από το TCP/IP τρέχουν και άλλα πρωτόκολλα όπως τα IPX, AppleTalk, SNA, NetBIOS. Άρα, ένα τείχος προστασίας δεν αρκεί απλά να αντιμετωπίζει τις εξωτερικές και εσωτερικές απειλές αλλά να μπορεί να χειριστεί και τα διαφορετικά πρωτόκολλα. Όπως φαίνεται στο σχήμα, ένα firewall μπορεί να λειτουργεί σε 5 από τα 7 επίπεδα του μοντέλου OSI. Ωστόσο, τα περισσότερα firewall λειτουργούν μόνο στα τέσσερα επίπεδα: σύνδεσης δεδομένων, δικτύου, μεταφοράς, και εφαρμογής. Οι standard IP access control list (ACL) στους δρομολογητές Cisco λειτουργούν στο επίπεδο 3 του OSI ενώ μια extended IP ACL λειτουργεί στα επίπεδα 3 and 4. 20

Σχήμα 2 1. Επίπεδα του μοντέλου OSI στα οποία λειτουργεί ένα τείχος προστασίας Γίνεται εύκολα κατανοητό ότι όσο περισσότερα επίπεδα υποστηρίζει το τείχος προστασίας τόσο καλύτερο είναι. 2.2 Τεχνολογίες Firewall Όπως προείπαμε, ο σκοπός ενός τείχους προστασίας είναι να επιτρέπει ή να απορρίπτει πακέτα πληροφορίας που προσπαθούν να περάσουν δια μέσω του βασιζόμενο σε προκαθορισμένους κανόνες. Κάθε firewall χρησιμοποιεί ορισμένες μεθόδους για να ελέγχει την κυκλοφορία των δεδομένων που διακινούνται δια μέσω του δικτύου. Αυτές είναι : Packet filtering (Φιλτράρισμα πακέτων): μικρά πακέτα πληροφορίας αναλύονται με βάση ένα σύνολο καθορισμένων φίλτρων. Τα πακέτα που εγκρίνονται από τα φίλτρα αποστέλλονται στο αντίστοιχο σύστημα ενώ τα υπόλοιπα απορρίπτονται Proxy (Application gateway, Address translation, Host based (server και personal)): Η πληροφορία από το δίκτυο ανακτάται από το firewall και αποστέλλεται στο σύστημα που κάνει την αίτηση, και αντίστροφα Stateful inspection (Επιθεώρηση κατάστασης): Είναι μια νέα μέθοδος που δεν εξετάζει τα περιεχόμενα του κάθε πακέτου πληροφορίας που αποστέλλεται αλλά συγκρίνει μερικά τμήματα των πακέτων με μια βάση δεδομένων που περιέχει πληροφορία εμπιστοσύνης. Έτσι η πληροφορία που απορρέει από το δίκτυο της εταιρείας προς τον εξωτερικό κόσμο υπόκειται σε κάποιους περιορισμούς, το ίδιο 21

και η εισερχόμενη πληροφορία. Δηλαδή αν υπάρξει συμφωνία με βάση τους περιορισμούς που τίθενται, η πληροφορία δεν απορρίπτεται. 2.2.1 Packet Filtering Το φιλτράρισμα πακέτων αποτελεί την απλούστερη μορφή ενός τοίχους προστασίας. Ένα τείχος προστασίας που εφαρμόζει φιλτράρισμα πακέτων είναι τυπικά ένας δρομολογητής που έχει τη δυνατότητα να επιθεωρεί και να φιλτράρει ορισμένα από τα περιεχόμενα των πακέτων. Αυτά περιλαμβάνουν τις πληροφορίες που βρίσκονται στα επίπεδα 3 και ορισμένες φορές στο επίπεδο 4 του μοντέλου OSI όπως φαίνεται στο σχήμα που ακολουθεί. Για παράδειγμα, οι δρομολογητές Cisco με τυπικές λίστες πρόσβασης (standard access control lists ACL) μπορούν να φιλτράρουν πληροφορίες στο επίπεδο 3, ενώ αυτοί με extended ACLs μπορούν να φιλτράρουν και πληροφορίες του επιπέδου 4. Σχήμα 2 2. Φιλτράρισμα πακέτων και μοντέλο OSI Επειδή το TCP/IP είναι το εκ των πραγμάτων πρωτόκολλο επικοινωνίας στα σημερινά δίκτυα, τα περισσότερα firewall που κάνουν φιλτράρισμα πακέτων το υποστηρίζουν. Ωστόσο, συνήθως υποστηρίζουν και μια πλειάδα άλλων πρωτοκόλλων όπως είναι τα IPX, AppleTalk, DECnet, και επιπέδου 2 MAC διευθύνσεις. Οι Cisco δρομολογητές με standard και extended ACLs υποστηρίζουν τα πρωτόκολλα που αναφέρθηκαν παραπάνω καθώς και αρκετά άλλα. 22

2.2.1.1 Πληροφορίες Φιλτραρίσματος Ένα τείχος προστασίας που εφαρμόζει φιλτράρισμα πακέτων μπορεί να φιλτράρει τα παρακάτω στοιχεία: Διευθύνσεις προέλευσης προορισμού επιπέδου δικτύου (επίπεδο 3) Πληροφορίες πρωτοκόλλου επιπέδου δικτύου (επίπεδο 3) Πληροφορίες πρωτοκόλλου επιπέδου μεταφοράς (επίπεδο 4) πρωτόκολλο αποστολής λήψης δεδομένων Θύρα αποστολής Θύρα προορισμού Αυτού του είδους τα firewall αναλύουν τα TCP και UDP πακέτα και τα συγκρίνουν με ένα σύνολο προκαθορισμένων κανόνων που ονομάζεται access control list (ACL) για να προσδιορίσουν και να αποφασίσουν αν το πακέτο θα πρέπει να επιτραπεί ή να απορριφθεί. Για παράδειγμα ένας δρομολογητής Cisco μπορεί να χρησιμοποιηθεί για να φιλτράρει μηνύματα ICMP (επιπέδου 3), ή IP διευθύνσεις προέλευσης προορισμού (επιπέδου 3) και αριθμούς TCP θυρών (επιπέδου 4). Στον πίνακα που ακολουθεί φαίνονται ορισμένα στοιχεία που ένα TCP/IP packet filtering firewall μπορεί να φιλτράρει. Επίπεδο OSI Φιλτραρισμένη Πληροφορία 3 IP διευθύνσεις 3 TCP/IP πρωτόκολλα όπως IP, ICMP, OSPF, TCP, UDP κ.α. 3 IP πληροφορίες (Type of Service [ToS]) προτεραιότητας 4 TCP και UDP αριθμοί θυρών 4 TCP σήματα ελέγχου όπως SYN, ACK, FIN, PSH, RST κ.α. Πίνακας 2 1. Πληροφορίες TCP/IP φιλτραρίσματος πακέτων Γίνεται εύκολα κατανοητό ότι μπορούμε να χρησιμοποιήσουμε πολλές πληροφορίες όταν παίρνουμε αποφάσεις σχετικά με το φιλτράρισμα των πακέτων. Παράδειγμα φιλτραρίσματος φαίνεται στον πίνακα που ακολουθεί. Κανόνας Διεύθυνση Διεύθυνση IP Πληροφορίες IP Ενέργεια Προέλευσης Προορισμού Πρωτόκολλο Πρωτοκόλλου 1 Any 200.1.1.2 TCP Port 80 Allow 2 Any 200.1.1.3 UDP Port 53 Allow 3 Any 200.1.1.4 TCP Port 25 Allow 4 Any Any other address Any Any Drop Πίνακας 2 2. Φιλτράρισμα πακέτων 23

Σχήμα 2 3. Παράδειγμα τοίχους προστασίας με φιλτράρισμα πακέτων Σε αυτό το παράδειγμα, ο κανόνας 1 λέει ότι αν κυκλοφορία από οποιαδήποτε συσκευή σταλεί στην TCP θύρα 80 του υπολογιστή με διεύθυνση 200.1.1.2, το packet filtering firewall θα την επιτρέψει. Ομοίως θα συμβεί για κυκλοφορία UDP θύρας 53 του 200.1.1.3 ή TCP θύρας 25 του 200.1.1.4. Κάθε άλλου είδους κυκλοφορία θα απορριφθεί. Είναι πολύ σημαντικό να αντιληφθούμε πως λειτουργεί το firewall σε σχέση με τους κανόνες φιλτραρίσματος και πρέπει να είμαστε πολύ προσεκτικοί όταν προσθέτουμε ή αλλάζουμε κάποιο κανόνα γιατί τα αποτελέσματα των αλλαγών μπορεί να είναι καταστροφικά. Όταν ένας κανόνας δεν έχει οριστεί και δε βρίσκει αντιστοίχιση τότε το τείχος προστασίας μπορεί είτε να επιτρέψει είτε να απορρίψει την κυκλοφορία κατά βούληση. 2.2.1.2 Πλεονεκτήματα των Packet Filtering Firewalls Τα Packet filtering firewalls έχουν δύο βασικά πλεονεκτήματα: Μπορούν να επεξεργαστούν τα πακέτα σε πολύ υψηλές ταχύτητες. Μπορούν να επεξεργαστούν τα περισσότερα πεδία των πακέτων επιπέδου 3 και τμήματα των κεφαλίδων επιπέδου 4, παρέχοντας ευελιξία στην υλοποίηση πολιτικών ασφαλείας. Επειδή οι δρομολογητές βρίσκονται στην περίμετρο του δικτύου, μπορούν να χρησιμοποιηθούν για το φιλτράρισμα των πακέτων παρέχοντας ένα επιπλέον επίπεδο ασφάλειας στο δίκτυο. Ακόμα και το απλό φιλτράρισμα για τα επίπεδα 3 και 4 μπορεί να 24

χρησιμοποιηθεί για την προστασία από επιθέσεις που περιλαμβάνουν συγκεκριμένες περιπτώσεις άρνησης υπηρεσίας (denial of service [DoS]). Αυτό επιτρέπει στο εσωτερικό τείχος προστασίας να δώσει προσοχή σε άλλες επιθέσεις που το φιλτράρισμα πακέτων δεν μπορεί να αντιμετωπίσει. 2.2.1.3 Περιορισμοί των Packet Filtering Firewalls Παρά τα πλεονεκτήματά τους, τα packet filtering firewalls έχουν τα ακόλουθα μειονεκτήματα: Μπορεί να είναι πολύπλοκα και δύσκολα στο να διαχειριστούν. Δεν μπορούν να εμποδίσουν επιθέσεις στο επίπεδο εφαρμογής. Είναι ευάλωτα σε συγκεκριμένου τύπου επιθέσεις του πρωτοκόλλου TCP/IP. Δεν υποστηρίζουν πιστοποίηση του χρήστη. Έχουν περιορισμένες δυνατότητες καταγραφής (logging). Ένα firewall που βασίζεται στο φιλτράρισμα πακέτων μπορεί εύκολα να εξαπατηθεί με τεχνικές spoofing (όταν ένας μη πιστοποιημένος χρήστης παρουσιάζεται με μια IP διεύθυνση που ανήκει στη λίστα πρόσβασης ACL). Πολλές καινούργιες εφαρμογές (όπως είναι οι πολυμεσικές) δημιουργούν πολλαπλές συνδέσεις σε τυχαίες θύρες χωρίς να υπάρχει η δυνατότητα να προσδιοριστούν εκ των προτέρων πριν την εγκατάσταση της σύνδεσης. Επειδή οι λίστες πρόσβασης ρυθμίζονται με μη αυτόματο τρόπο είναι πολύ δύσκολο να υποστηριχτούν αυτού του είδους οι εφαρμογές. Το φιλτράρισμα πακέτων είναι ένα χαρακτηριστικό που χρησιμοποιείται συχνά στους δρομολογητές. Όπως αναφέρθηκε προηγουμένως ένα από τα σημαντικότερα μειονεκτήματα των packetfiltering firewalls είναι ότι λειτουργούν με τη βοήθεια λιστών πρόσβασης (ACLs) οι οποίες και πρέπει να διατηρούνται ενημερωμένες. Χρειάζεται πολύ καλή γνώση των πρωτοκόλλων και των κεφαλίδων τους ώστε να μην αποκλειστούν πακέτα που δε θα έπρεπε και να μην επιτραπεί από την άλλη αναρμόδια κυκλοφορία. Επιπλέον τα packet filtering firewalls δεν μπορούν να εμποδίσουν όλες τις επιθέσεις. Παραδείγματα αποτελούν οι επιθέσεις τύπου IP spoofing και άρνησης υπηρεσίας (DoS attacks) οι οποίες για να αντιμετωπιστούν χρειάζεται να γίνει πιστοποίηση ταυτότητας. Το φιλτράρισμα όμως γίνεται στα επίπεδα 3 και 4 του OSI μοντέλου ενώ η πιστοποίηση συμβαίνει στο επίπεδο εφαρμογής (επίπεδο 7). Τέλος, αν και τα packet filtering firewalls υποστηρίζουν συναρτήσεις για την καταγραφή των συμβάντων αυτές περιορίζονται σε πληροφορίες που αφορούν τα επίπεδα 3 και 4. Έτσι αν κάποιος εφάρμοζε μια επίθεση στο web server στη θύρα 80 και αυτή αντιμετωπίζονταν, το packet filtering firewall θα κατέγραφε την άρνηση, αλλά όχι και την ακριβή αιτία που σχετίζονταν με το επίπεδο εφαρμογής. Δηλαδή, ο διαχειριστής θα καταλάβαινε ότι συνέβηκε κάτι αλλά δε θα γνώριζε επακριβώς τι ήθελε ο χρήστης να κάνει. 25

2.2.2 Application gateway firewalls (AGFs) Proxies Τα Application gateway firewalls (AGFs), που ονομάζονται και proxy firewalls, φιλτράρουν πληροφορίες των επιπέδων 3, 4, 5 και 7 του μοντέλου OSI. Η πληροφορία επεξεργάζεται στο επίπεδο εφαρμογής μέσω λογισμικού πράγμα που προσδίδει καλύτερο έλεγχο σε σχέση με τις άλλες μεθόδους. Σχήμα 2 4. Application Gateway Firewalls και μοντέλο OSI Proxy = το να ενεργεί κάποιος άνθρωπος ως αντικαταστάτης κάποιου άλλου. Άδεια να ενεργείς για λογαριασμό άλλου. (New Webster s Dictionary of the English Language) Αν και αυτός ο ορισμός δεν ορίζει ένα proxy firewall, η λειτουργία του είναι παρόμοια. Ένα proxy firewall, δηλαδή ένας proxy server, ενεργεί για λογαριασμό των σταθμών σε ένα προστατευόμενο τμήμα ενός δικτύου. Στην πραγματικότητα οι σταθμοί δεν κάνουν καμιά σύνδεση με τον εξωτερικό κόσμο αλλά στέλνουν τις αιτήσεις τους στο μεσολαβητή (proxy). Αυτός πιστοποιεί την ταυτότητα των χρηστών με τη βοήθεια ενός ονόματος και ενός κωδικού πρόσβασης και στη συνέχεια προωθεί την αίτηση στον εξωτερικό προορισμό. Η διαδικασία της πιστοποίησης συμβαίνει στο επίπεδο εφαρμογής και οι πληροφορίες πιστοποίησης αποθηκεύονται σε μια βάση δεδομένων, έτσι ώστε να μη χρειάζεται κάθε φορά που ένας χρήστης επιθυμεί την πρόσβαση σε ένα πόρο του δικτύου να επαναλαμβάνει τη διαδικασία. Οι proxy server λειτουργούν στα ανώτερα επίπεδα του OSI και το μεγαλύτερο μειονέκτημα τους είναι ότι είναι εφαρμογές που τρέχουν στην κορυφή των λειτουργικών συστημάτων τα οποία και δεν είναι ασφαλή. Υποστηρίζουν ένα περιορισμένο αριθμό από εφαρμογές όπως email, web services, DNS, Telnet, FTP, Usenet news, LDAP, finger. 26

2.2.2.1 Κατηγορίες των Application Gateway Firewalls Τα Application Gateway Firewalls μπορούν να διαχωριστούν σε δύο κατηγορίες: Connection Gateway Firewalls (CGFs) και Cut Through Proxy (CTP) firewalls. Connection Gateway Firewalls Στα Connection Gateway Firewalls η πιστοποίηση της ταυτότητας του χρήστη γίνεται ανά σύνδεση και όλοι οι κανόνες που αφορούν αυτή την σύνδεση τίθενται σε εφαρμογή χωρίς να απαιτείται ο χρήστης να πιστοποιήσει ξανά τον εαυτό του. Στο παράδειγμα που ακολουθεί, φαίνεται η λειτουργία των Connection Gateway Firewalls: Ο εξωτερικός χρήστης Richard επιθυμεί να κάνει μια σύνδεση με τον εσωτερικό web server 200.1.1.2. Το τείχος προστασίας παρεμβαίνει ελέγχει και πιστοποιεί την ταυτότητα του χρήστη και στη συνέχεια κάνει τη σύνδεση με τον web server. Κάθε άλλη σύνδεση προς άλλους σταθμούς απορρίπτεται εκτός και αν γίνει εκ νέου πιστοποίηση. Σχήμα 2 5. Παράδειγμα Connection Gateway Firewalls (CGF) 27

Αυτό το είδος ελέγχου δεν είναι εφικτό σε ένα packet filtering ή stateful firewall διότι αυτά λειτουργούν κυρίως στα επίπεδα δικτύου και μεταφοράς. Επιπλέον, δημιουργούνται νέες δυνατότητες φιλτραρίσματος που σχετίζονται με την πρόσβαση σε Java applets η ActiveX scripts που μπορεί να έχει ένας χρήστης. Cut Through Proxy Firewalls Το σημαντικότερο πρόβλημα των firewall της προηγούμενης κατηγορίας είναι ότι όλη η πληροφορία και όλη η κυκλοφορία επεξεργάζεται στο επίπεδο εφαρμογής πράγμα που δημιουργεί μεγάλες καθυστερήσεις. Σε ορισμένες περιπτώσεις χρειάζεται μόνο η πιστοποίηση της ταυτότητας στο επίπεδο εφαρμογής και όχι η παρακολούθηση της δραστηριότητας που συμβαίνει. Οι Cut through proxy αποτελούν μια μέθοδο διαφανούς πιστοποίησης ταυτότητας των χρηστών για εσωτερικές και εξωτερικές συνδέσεις σε σχέση με το τείχος προστασίας. Απαιτούν ελάχιστους πόρους και παρέχουν σημαντικά πλεονεκτήματα απόδοσης σε σχέση με τα application proxy firewalls. Τα Cut through proxy (CTP) firewalls αποτελούν παραλλαγή της προηγούμενης κατηγορίας και αντιμετωπίζουν το πρόβλημα των αυξημένων καθυστερήσεων. Κατά αναλογία με το προηγούμενο παράδειγμα ο εξωτερικός χρήστης Richard επιθυμεί να κάνει μια σύνδεση με τον εσωτερικό web server 200.1.1.2. Το CTP παρεμβαίνει ελέγχει και πιστοποιεί την ταυτότητα του χρήστη και στη συνέχεια κάθε σύνδεση προστίθεται στον πίνακα με τους κανόνες φιλτραρίσματος όπως φαίνεται στο βήμα 2. Τέλος, η υπόλοιπη κυκλοφορία ανάμεσα στο χρήστη και τον web server διαχειρίζεται από τους κανόνες φιλτραρίσματος των επιπέδων δικτύου και μεταφοράς. 28

Σχήμα 2 6. Παράδειγμα Cut Through Proxy Δηλαδή η διαδικασία πιστοποίησης συμβαίνει στο επίπεδο εφαρμογής ενώ όλη η κυκλοφορία επεξεργάζεται στα επίπεδα 3 και 4 του μοντέλου OSI. Ωστόσο, η τεχνική αυτή δε μπορεί να ανιχνεύσει επιθέσεις επιπέδου εφαρμογής. 2.2.2.2 Πλεονεκτήματα των Application Gateway Firewalls Τα πλεονεκτήματα των Application Gateway Firewalls είναι πολλά και περιλαμβάνουν τα παρακάτω: Πιστοποιούν άτομα και όχι συσκευές. Δυσκολεύουν επιθέσεις τύπου spoofing και άρνησης υπηρεσίας (DoS). Μπορούν να παρακολουθούν και να φιλτράρουν δεδομένα εφαρμογών. Προσφέρουν εκτεταμένες δυνατότητες καταγραφής. 2.2.2.3 Μειονεκτήματα των Application Gateway Firewalls Παρόλα τα σημαντικά πλεονεκτήματά τους, τα Application Gateway Firewalls έχουν σημαντικούς περιορισμούς: 29

Επεξεργάζονται τα πακέτα με λογισμικό. Υποστηρίζουν μικρό αριθμό εφαρμογών. Ορισμένες φορές απαιτούν στον πελάτη (client) εγκατάσταση ειδικού λογισμικού. 2.2.3 Stateful Inspection Το Stateful inspection, το οποίο ονομάζεται και stateful packet filtering, αποτελεί συνδυασμό του packet filtering και υπηρεσιών διαμεσολάβησης (proxy services). Αυτή η τεχνολογία είναι η ασφαλέστερη και παρέχει την καλύτερη λειτουργικότητα επειδή οι συνδέσεις δεν εφαρμόζονται στις λίστες πρόσβασης αλλά καταγράφονται σε ένα πίνακα επιθεώρησης κατάστασης (state table). Αν τα δεδομένα τις συνόδου δεν συμπίπτουν με τις πληροφορίες για τη σύνδεση που βρίσκονται στον πίνακα επιθεώρησης κατάστασης, η σύνδεση απορρίπτεται. Αντίθετα με τα τείχη προστασίας που κάνουν φιλτράρισμα πακέτων, τα stateful firewalls παρακολουθούν την κατάσταση της σύνδεσης δηλαδή αν είναι σε κατάσταση αρχικοποίησης σύνδεσης, μεταφοράς δεδομένων η τερματισμού. Αυτό είναι χρήσιμο όταν θέλουμε να αρνηθούμε συνδέσεις από εξωτερικές συσκευές, αλλά να επιτρέψουμε στους χρήστες μας τέτοιου είδους συνδέσεις καθώς και την επιστροφή των αποκρίσεων μέσω του stateful firewall. Σχήμα 2 7. Stateful Firewalls και μοντέλο OSI 30

Υπάρχει μια διαφωνία σχετικά με τα επίπεδα σε σχέση με το μοντέλο OSI στα όποια λειτουργούν τα stateful firewalls. Πολλοί πιστεύουν ότι λειτουργούν μόνο στα επίπεδα δικτύου και μεταφοράς ενώ άλλοι προσθέτουν επιπλέον και το επίπεδο συνόδου. Το τείχος προστασίας εξετάζει τις πληροφορίες των κεφαλίδων των πακέτων των επιπέδων δικτύου και μεταφοράς, (π.χ. εξετάζει την κεφαλίδα του TCP για σήματα ελέγχου τύπου SYN, RST, ACK, FIN) ώστε να καθορίσει την κατάσταση της σύνδεσης. Ωστόσο, επειδή το επίπεδο συνόδου είναι αυτό που εγκαθιστά και τερματίζει τη σύνδεση πολλοί λένε ότι λειτουργεί και στο επίπεδο συνόδου. Σε κάθε περίπτωση, τα stateful firewalls γνωρίζουν για την κατάσταση της σύνδεσης. Ta stateful firewalls όπως προείπαμε χρησιμοποιούν τον πίνακα κατάστασης για να ελέγξουν τη σύνδεση. Πλεονέκτημα των διαδικασιών επιθεώρησης κατάστασης αποτελεί το γεγονός ότι όταν μια σύνδεση τερματίζεται από μια συσκευή του δικτύου το τείχος προστασίας αντιλαμβάνεται τον τερματισμό με την εξέταση των σημάτων ελέγχου της TCP κεφαλίδας και δυναμικά αφαιρεί τη σύνδεση από τον πίνακα κατάστασης (state table). Συγκριτικά δηλαδή θα μπορούσαμε να πούμε ότι τα stateful firewalls είναι εξυπνότερα από τα packet filtering firewalls γιατί αντιλαμβάνονται επιπλέον την κατάσταση της σύνδεσης. Ωστόσο, δεν υποστηρίζουν σήματα ελέγχου όλα τα πρωτόκολλα του επιπέδου μεταφοράς (π.χ. UDP) ενώ επιπλέον, τα σήματα ελέγχου μπορούν να παραποιηθούν επιτρέποντας σε ένα κακόβουλο χρήστη να περάσει πακέτα μέσα από το τείχος προστασίας. 2.2.3.1 Πλεονεκτήματα των Stateful Firewalls Σε σχέση με τα τείχη προστασίας που κάνουν φιλτράρισμα πακέτα τα, stateful firewalls παρουσιάζουν σημαντικά πλεονεκτήματα: Είναι ενήμερα της κατάστασης της σύνδεσης. Διατηρούν έναν πίνακα με την κατάσταση της σύνδεσης (state table) τον οποίο και ελέγχουν σε κάθε προσπάθεια επικοινωνίας. Όταν η σύνδεση τερματιστεί ή εγγραφή αφαιρείται από τον πίνακα και δεν επιτρέπεται επιπλέον επικοινωνία. Δε χρειάζεται να ανοίξουν ένα μεγάλο αριθμό θυρών για να επιτρέψουν την διμερή επικοινωνία. Χρησιμοποιείται ο state table. Προστατεύουν από περισσότερες επιθέσεις τύπου άρνησης υπηρεσίας (DoS) σε σχέση με τα packet filtering firewalls και έχουν καλύτερο σύστημα καταγραφής (logging). Μπορούν δηλαδή να κρατούν πληροφορίες σχετικά με το πότε έγινε η σύνδεση, για πόσο χρόνο και πότε τερματίστηκε. 2.2.3.2 Μειονεκτήματα των Stateful Firewalls Παρά τα πλεονεκτήματά τους, τα stateful firewalls παρουσιάζουν αρκετούς περιορισμούς: Μπορεί να είναι πολύπλοκα στη ρύθμιση. Δεν μπορούν να προστατέψουν από επιθέσεις στο επίπεδο εφαρμογής. Δεν υποστηρίζουν πιστοποίηση ταυτότητας χρήστη για τις συνδέσεις. 31

Δεν κρατούν όλα τα πρωτόκολλα πληροφορίες κατάστασης. Τα πρωτόκολλα που ορίζουν μια προκαθορισμένη διαδικασία σχετικά με το πώς εγκαθίσταται, διατηρείται και τερματίζεται μια σύνδεση ονομάζονται stateful (π.χ. TCP/IP). Ωστόσο, δε λειτουργούν όλα με αυτόν τον τρόπο. Χαρακτηριστικά παραδείγματα αποτελούν τα UDP και ICMP. Στο UDP δηλαδή, ή διαδικασία που περιγράφηκε παραπάνω ορίζεται σε σχέση με τις εφαρμογές που το χρησιμοποιούν. Τέλος δεν υποστηρίζουν σήματα ελέγχου όπως το TCP (SYN, RST, ACK, FIN) όλα τα πρωτόκολλα του επιπέδου μεταφοράς. Πολλές εφαρμογές δημιουργούν πολλαπλές δυναμικές συνδέσεις σε τυχαίες και μη θύρες για να μεταδώσουν δεδομένα. Οι εφαρμογές μπορεί να περιλαμβάνουν τα FTP, NetBIOS και πολυμέσα. Οι νέες συνδέσεις απαιτούν καινούργιους κανόνες φιλτραρίσματος. Για τη διατήρηση του πίνακα επιθεώρησης κατάστασης (state table), απαιτούνται επιπλέον πόροι. Σε μεγάλα δίκτυα ο state table γίνεται αρκετά μεγάλος και για να παραμένει ενήμερος απαιτεί επεξεργαστικούς πόρους. Όσο περισσότερες συνδέσεις παρακολουθεί τόση περισσότερη επεξεργαστική δύναμη χρειάζεται για τη διατήρηση του πίνακα. 2.3 Cisco IOS Software Το λογισμικό Cisco IOS Software παρέχει ένα εκτεταμένο σύνολο υπηρεσιών ασφαλείας με το οποίο μπορούν να σχεδιαστούν πολιτικές ασφαλείας που να ανταποκρίνονται στις ανάγκες μας. Ένας δρομολογητής δηλαδή μπορεί να ρυθμιστεί κατάλληλα ώστε να υποστηρίζει υπηρεσίες ασφαλείας. Το τείχος προστασίας του Cisco IOS αποτελείται από αρκετά υποσυστήματα που περιλαμβάνουν : Cisco IOS Firewall stateful packet inspection (SPI): Το SPI παρέχει πραγματικές δυνατότητες προστασίας μη εξουσιοδοτημένης χρήσης και κυκλοφορίας. Context Based Access Control (CBAC): Το CBAC αποτελεί την κλασσική statefulinspection μηχανή του firewall παρέχει δυνατότητες δυναμικού φιλτραρίσματος της κυκλοφορίας. Intrusion Prevention System (IOS IPS): Παλαιότερα ονομάζονταν IDS (Intrusion Detection System) και παρέχει ολοκληρωμένη προστασία από εισβολείς. Παρέχεται ως μέρος του λειτουργικού Cisco IOS. Από την έκδοση IOS 12.3T αντικατέστησε το IDS παρέχοντας καλύτερες υπηρεσίες ανίχνευσης. Το IOS IPS αναλύει τα πακέτα και τις συνόδους με σκοπό να αναγνωρίσει πιθανές εξωτερικές ή εσωτερικές απειλές. Η ανάλυση του IPS θα γίνει σε επόμενο κεφάλαιο. Authentication proxy: Η πιστοποίηση της ταυτότητας μέσω proxy επιτρέπει τον έλεγχο σε επίπεδο χρηστών και την εφαρμογή πολιτικών πρόσβασης σε επίπεδο χρηστών. Port to Application Mapping (PAM): Το PAM επιτρέπει τη ρύθμιση TCP ή UDP θυρών για δικτυακές υπηρεσίες και εφαρμογές. Για παράδειγμα το HTTP μπορεί να ρυθμιστεί να χρησιμοποιεί τη θύρα TCP 8080 αντί για την κλασσική 80). 32

Network Address Translation (NAT): Το NAT κρύβει τις εσωτερικές IP διευθύνσεις από δίκτυα έξω από το τείχος προστασίας παρέχοντας μια χαμηλού επιπέδου ασφάλεια. Το NAT παρέχει ιδιωτικές IP διευθύνσεις σε εσωτερικά δίκτυα τις οποίες και μεταφράζει σε πραγματικές καταχωρημένες διευθύνσεις καθώς τα πακέτα διέρχονται μέσω της NAT υπηρεσίας. Το Cisco IOS υποστηρίζει και επιπλέον δυνατότητες που σχετίζονται με την ασφάλεια. Αυτές περιλαμβάνουν το IPsec που θα δούμε αναλυτικά σε επόμενο κεφάλαιο καθώς και τα Lockand Key, Reflexive access list, TCP Intercept και AAA υποστήριξη που είναι εκτός του παρόντος ενδιαφέροντός μας. 2.4 Ασκήσεις Στις παρακάτω ασκήσεις, οι εκπαιδευόμενοι θα προσπαθήσουν να ρυθμίσουν το τείχος προστασίας του δρομολογητή ώστε να προστατέψουν το δίκτυο από εξωτερικές επιθέσεις. Ποιο συγκεκριμένα σε αυτό το εργαστήριο θα κάνουν τις ακόλουθες εργασίες: Θα ενεργοποιήσουν το τείχος προστασίας του δρομολογητή με τις προκαθορισμένες ρυθμίσεις. Θα φιλτράρουν TCP και UDP πακέτα. Θα δημιουργήσουν λίστες πρόσβασης. Θα χρησιμοποιήσουν λίστες πρόσβασης για φιλτράρισμα με βάση το περιεχόμενο ή την υπηρεσία. Θα προστατέψουν το δίκτυο από επιθέσεις τύπου DoS. Σενάριο Η εταιρεία XYZ θέλει να αυξήσει την περιμετρική ασφάλεια του δικτύου της ενεργοποιώντας στο δρομολογητή που διαθέτει το τείχος προστασίας. Για το λόγο αυτό θέλει να το ρυθμίσει κατάλληλα ώστε να αναγνωρίζει και να προστατεύει από τις συνήθεις απειλές και να λαμβάνει μέτρα όπου χρειάζεται σύμφωνα με την πολιτική ασφαλείας της. Τοπολογία Το σχήμα που ακολουθεί απεικονίζει την τοπολογία του δικτύου. 33

Σχήμα 2 8. Τοπολογία του δικτύου για το σενάριο εφαρμογής των Firewalls Εργαλεία Πηγές Για την ολοκλήρωση του εργαστηρίου είναι απαραίτητα: Θεωρητικό υπόβαθρο πάνω στη λειτουργία του Firewall και στα είδη επιθέσεων Η τοπολογία του δικτύου Ένα καλώδιο κονσόλας για το δρομολογητή Το HyperTerminal των windows ή κάποιος telnet client Λίστα εντολών IOS που θα χρειαστούμε Για την ολοκλήρωση του εργαστηρίου θα χρειαστούμε τις παρακάτω εντολές του IOS. Στον πίνακα που ακολουθεί δίνεται μια περιγραφή της σύνταξης των εντολών καθώς και μια περιγραφή της λειτουργίας τους. 34

Εντολή auto secure access list nnn permit x.x.x.x mask y.y.y.y mask access-list access_list_number [deny permit] {icmp tcp ip} protocol source any ip access-group access_list_number {in out} ip access-list [standard extended] <name> Περιγραφή Δίνει στο δρομολογητή την εντολή να αρνηθεί όλα τα πακέτα μέχρι η μηχανή των υπογραφών να ετοιμαστεί ώστε να αρχίσει να εξετάζει την κίνηση. Η εντολή χρησιμοποιείται στο γενικό επίπεδο διαχείρισης (Router(config)#). Ορίζει μια λίστα πρόσβασης. Επιτρέπει όλες τις IP διευθύνσεις στο δίκτυο x.x.x.x με μάσκα y.y.y.y Επιτρέπει ή απαγορεύει την κίνηση με βάση κάποιο πρωτόκολλο Ορίζει τη λίστα access_list_number σε μια διασύνδεση Ορίζει μια standard ή extended λίστα με όνομα name ip inspect name inspection_name protocol ip inspect name inspection_name http [java-list standard_acl_#] show ip access-list access_list_number Ορίζει ένα κανόνα επιθεώρησης με όνομα inspection_name για ένα πρωτόκολλο Χρησιμοποιείται για επιθεώρηση Java applet. Το πρωτόκολλο είναι το Http και συνοδεύεται από μια αναφορά σε μια standard_acl που έχει ήδη οριστεί Εμφανίζει τα περιεχόμενα μιας λίστας πρόσβασης 2.4.1 Άσκηση 1η. Αυτόματες ρυθμίσεις για το τείχος προστασίας Θέλετε να ασφαλίσετε το δρομολογητή σας, χωρίς να μπείτε σε κόπο να ψάχνετε για όλες τις δυνατές περιπτώσεις και σημεία πιθανής επίθεσης. a. Σε προνομιακό επίπεδο εισάγετε την ακόλουθη εντολή Router1#auto secure --- AutoSecure Configuration --- *** AutoSecure configuration enhances the security of the router, but it will not make it absolutely resistant to all security attacks *** AutoSecure will modify the configuration of your device. All configuration changes will be shown. For a detailed explanation of how the configuration changes enhance security and any possible side effects, please refer to Cisco.com for Autosecure documentation. At any prompt you may enter '?' for help. Use ctrl-c to abort this session at any prompt. Gathering information about the router for AutoSecure 35

Is this router connected to internet? [no]: y Enter the number of interfaces facing the internet [1]: Enter the interface name that is facing the internet: FastEthernet4 Από την έκδοση 12.3(1) η Cisco ενσωμάτωσε στο IOS το χαρακτηριστικό auto secure το οποίο μέσα από ένα σύνολο ερωτήσεων κάνει όλες τις προτεινόμενες ρυθμίσεις για το τείχος προστασίας. Μετά την ολοκλήρωση των ερωτήσεων παράγεται αυτόματα το configuration το οποίο και μας ρωτά αν θέλουμε να το αντιγράψουμε στο running config του δρομολογητή no service finger no service pad no service udp-small-servers no service tcp-small-servers service password-encryption service tcp-keepalives-in service tcp-keepalives-out no cdp run no ip bootp server no ip http server no ip finger no ip source-route no ip gratuitous-arps interface FastEthernet4 ip verify unicast source reachable-via rx allow-default 102 ip inspect audit-trail ip inspect dns-timeout 7 ip inspect tcp idle-time 14400 ip inspect udp idle-time 1800 ip inspect name autosec_inspect cuseeme timeout 3600 ip inspect name autosec_inspect ftp timeout 3600 ip inspect name autosec_inspect http timeout 3600 ip inspect name autosec_inspect rcmd timeout 3600 ip inspect name autosec_inspect realaudio timeout 3600 ip inspect name autosec_inspect smtp timeout 3600 ip inspect name autosec_inspect tftp timeout 30 ip inspect name autosec_inspect udp timeout 15 ip inspect name autosec_inspect tcp timeout 3600 ip access-list extended autosec_firewall_acl permit udp any any eq bootpc deny ip any any interface FastEthernet4 ip inspect autosec_inspect out! end 36

2025 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια