walidacja wybranych cech zapory sieciowej w środowisku

MATEUSZ KWAŚNIEWSKI DARIUSZ LASKOWSKI e-mail: [email protected], [email protected] Instytut Telekomunikacji, Wydział Elektroniki Wojskowa Akademia Techniczna w Warszawie ul. Gen. S. Kaliskiego 17/407, 00-908 Warszawa

WALIDACJA WYBRANYCH CECH ZAPORY SIECIOWEJ

W ŚRODOWISKU INTERNETOWYM

Streszczenie: Praca obejmuje: opracowanie koncepcji Zapory Sieciowej z wy-korzystaniem platformy PLD-Linux oraz dostępnych narzędzi, implementacja wybranych mechanizmów bezpieczeństwa oraz zbadanie efektywności opraco-wanej Zapory Sieciowej. Przedstawiono również szczegółową konfigurację sieci testowej, elementów Zapory Sieciowej, a także przetestowano Zaporę pod względem odporności na ataki typu skanowanie portów, ICMP Flood, SYN Flood oraz określono wpływ przetwarzania reguł Zapory Sieciowej na czas realizacji transakcji HTTP dla ruchu WWW dokonując stosownych pomiarów. Słowa kluczowe: firewall, http, WWW, internet

1. Wstęp

W dzisiejszych czasach bezpieczeństwo sieci teleinformatycznych ma niebaga-telny wpływ na funkcjonowanie korporacji wykorzystujących systemy kompu-terowe w środowisku sieciowym IP. Coraz częściej przechowywane są w nich dane, do których nieautoryzowany dostęp miałby destrukcyjny wpływ na funk-cjonowanie firmy. Stale rośnie zagrożenie różnego rodzaju oddziaływania de-struktorów na posiadane zasoby (m.in. ataki DDoS). W związku z tym, ko-nieczne stało się stosowanie mechanizmów i narzędzi utrzymania wymaganego poziomu bezpieczeństwa sieci teleinformatycznych.

Mateusz Kwaśniewski, Dariusz Laskowski 152

Podstawowym narzędziem bezpieczeństwa stojącym na granicy między sie-cią publiczną i prywatną jest Zapora Sieciowa. Jej naczelnym zadaniem jest kontrolowanie dostępu do zasobów sieci poprzez analizę ruchu IP. Aktualnie na rynku dostępne są dedykowane urządzenia pełniące funkcję Zapór Sieciowych określane jako sprzętowe Zapory Sieciowe. Alternatywą dla tych urządzeń stały się programowe rozwiązania Zapór Sieciowych, a w szczególności rozwiązania oparte o systemy klasy Unix i narzędzia open source’owe pozwalające na pro-jektowanie i skalowanie optymalnego wykorzystania posiadanego potencjału.

Realizacja programowej Zapory Sieciowej wymaga wyboru platformy sys-temowej oraz narzędzia programowego. W przypadku sieciowych systemów operacyjnych najczęściej stosuje się rozwiązania Windows Serwer firmy Micro-soft oraz systemy klasy Unix. Ze względu na fakt, iż występują między nimi ogromne różnice zarówno w architekturze systemu jak i w architekturze i po-ziomie bezpieczeństwa, należy rozważyć te kwestie przed wyborem odpowied-niego systemu operacyjnego jako platformy do budowy programowej Zapory Sieciowej.

2. Analiza bezpieczeństwa współczesnych systemów operacyjnych

Kluczowym elementem procesu budowania systemu komputerowego jest wy-bór systemów operacyjnych dla sieciowych stacji roboczych. Ze względu na fakt, iż bezpieczeństwo systemu operacyjnego stanowi fundament ochrony in-formacji przechowywanych na sieciowych stacjach roboczych, należy dokonać wyboru systemu o wysokim poziomie bezpieczeństwa.

Istotnym komponentem każdej sieci teleinformatycznej są serwery usług. W przypadku rozwiązań serwerowych, najczęściej wykorzystywane są systemy operacyjne Windows Server firmy Microsoft oraz systemy klasy Unix.

Poziomy te określają różne sposoby zabezpieczania sprzętu, oprogramowa-nia i danych. Klasyfikacja ma charakter „dziedziczenia”, co oznacza, iż wyższe poziomy posiadają wszystkie cechy poziomów niższych. Poziomy bezpieczeństwa zostały sklasyfikowane następująco [RFC-1][WCP-1]:

• Poziom D - jest to poziom, który oznacza brak jakichkolwiek zabezpie-czeń systemu operacyjnego i określa jego całkowity brak wiarygodno-ści. Jedynym sposobem zapewnienia jego bezpieczeństwa jest fizyczne ograniczenie dostępu.

Walidacja wybranych cech zapory sieciowej 153

• Poziom C1 - to najniższy poziom bezpieczeństwa, gdzie system opera-cyjny posiada mechanizm autoryzacji dostępu. Każdy użytkownik, przed rozpoczęciem korzystania z zasobów systemu musi zalogować się podając identyfikator oraz hasło.

• Poziom C2 - poziom ten gwarantuje automatyczne rejestrowanie wszystkich istotnych z punktu widzenia bezpieczeństwa zdarzeń. Po-ziom zapewnia silniejszą ochronę kluczowych danych systemowych ta-kich jak np. baza danych haseł użytkowych, gdzie informacja o identy-fikatorach użytkowników i hasłach są dostępne wyłącznie dla systemu operacyjnego.

• Poziom B1 - wprowadza etykiety poziomu bezpieczeństwa pozwalające na stopniowanie poziomu poufności obiektów i poziomu zaufania do poszczególnych użytkowników. Ma wdrożone mechanizmy uznaniowej kontroli dostępu do zasobów systemu, co może np. sprowadzić się do braku możliwości zmiany charakterystyki dostępu do plików i kartotek przez określonego użytkownika. Poziom ten blokuje możliwość zmiany praw dostępu do obiektu dla jego właściciela.

• Poziom B2 - poziom wymaga przypisania każdemu obiektowi syste-mu komputerowego etykiety bezpieczeństwa określającej status tego obiektu w odniesieniu do przyjętej polityki bezpieczeństwa np. gdy obiekt "użytkownik" żąda dostępu do obiektu np. pliku, system ochrony akceptuje lub odrzuca to żądanie na podstawie porównania zawartości etykiet bezpieczeństwa tych obiektów. Etykiety te ulegają dynamicznej zmianie. Dodatkowo należy zapewnić ochronę systemu przed penetracją;

• Poziom B3 - jest rozszerzeniem problemu bezpieczeństwa na sprzęt komputerowy. W tym przypadku bezwzględnie obowiązkowym jest chronienie zarówno przechowywanej jak i przesyłanej informacji. Przykład: terminale połączone z serwerem tylko za pośrednictwem wia-rygodnego okablowania i specjalizowanego sprzętu gwarantującego, że nikt nie będzie w stanie "podsłuchać" klawiatury;

• Poziom A1 - jest to najwyższy poziom bezpieczeństwa. Cała konfigura-cja sprzętowo-programowa wymaga matematycznej weryfikacji. W związku z tym pojawia się problem zwiększonego obciążenia syste-mu, z powodu dużych wymagań mechanizmów bezpieczeństwa. Uzy-skały go jedynie pewne komponenty sieciowe np. SCC Secure Network Server lub Gemini Trusted Network Processor.

Świadectwem przynależności systemu operacyjnego do danego poziomu jest uzyskanie certyfikatu bezpieczeństwa Common Criteria w ramach systemu


certyfikacji Common Criteria Evaluation Assurance Level (EAL). Dla każdego z poziomów został określony certyfikat EAL.

W systemach Linux widoczna jest duża podatność na liczne ataki. Ponadto, większość narzędzi wykorzystywanych przez włamywaczy dostępna jest pod systemy Unix. Jednak niektóre z cech, takie jak dostępność kodu źródłowego, czy też dobre środowisko wymiany, stanowią o wielkiej elastyczności syste-mów i mogą być wykorzystane również do ich wzmocnienia w celu zapewnie-nia bezpieczeństwa pracy. Systemy Unix, Linux i inne udostępniają wydajne środowisko programistyczne. Liczne kompilatory i biblioteki systemowe wyko-rzystywane do kompilacji jądra są dostępne na zasadzie otwartej licencji, co umożliwia włamywaczowi przygotowanie oprogramowania ingerującego w jądro systemu, czy też narzędzia do przeprowadzenia ataku na system.

Zagadnienie bezpieczeństwa systemów klasy Unix można sprowadzić do opisu uwierzytelnienie użytkowników i kontrola dostępu do zasobów jako dwóch podstawowych funkcji bezpieczeństwa.

3. Sieciowe mechanizmy bezpieczeństwa

Coraz częściej sieci teleinformatyczne wspomagają przedsiębiorstwa w realiza-cji ich zadań statutowych. Przesyłane w nich informacje bardzo często wymaga-ją zachowania wysokiego poziomu poufności tak, aby uniemożliwić nieupo-ważnionym użytkownikom do nich dostęp. W związku z tym powstały liczne sieciowe mechanizmy bezpieczeństwa, które można sklasyfikować jako: me-chanizmy transmisji danych oraz dostępu do sieci. Ze względu na fakt, iż spek-trum sieciowych mechanizmów bezpieczeństwa jest bardzo szerokie, dokonano przeglądu mechanizmów istotnych z punktu widzenia ruchu obsługiwanego przez Zapory Sieciowe.

W celu sformalizowania przepływu informacji pomiędzy urządzeniami w sieciach komputerowych opracowano siedmio warstwowy model odniesienia tzw. model OSI (ang. Open Systems Interconnection) w którym zdefiniowano funkcje sieciowe z wykorzystaniem określonych protokołów. Rysunek 1 przed-stawia warstwy modelu OSI oraz zasięg informacji w określonych urządzeniach sieciowych.

W każdej z warstw dostępne są mechanizmy pozwalające na zapewnienie bezpieczeństwa realizowanych w nich funkcji sieciowych. Ze względów prak-tycznych warstwy modelu OSI dzielimy na warstwy niższe realizujące funkcje transportowe, implementowane programowo lub z wykorzystaniem dedykowa-


nych urządzeń sieciowych oraz wyższe związane z aplikacjami - są realizowane programowo.

Rys. 1. Model OSI oraz zasięg jednostki informacji w określonych urządzeniach sie-ciowych [7]

Aktualnie na rynku dostępne są Zapory Ogniowe występujące w postaci aplikacji użytkowych mających na celu ochronę pojedynczej stacji roboczej oraz Zapory Sieciowe. W nomenklaturze sieci teleinformatycznych, Zapora Sieciowa jest narzędziem mającym za zadanie ochronę systemu komputero-wego przed przesyłaniem nieautoryzowanych danych z jednej sieci do dru-giej co przedstawia Rysunek 2. Charakteryzuje się ona następującymi wła-ściwościami:

• całkowity ruch w sieci musi przechodzić przez Zaporę Sieciową, • przez Zaporę Sieciową przepuszczany jest jedynie ruch określony na

podstawie lokalnie zdefiniowanej strategii bezpieczeństwa, • Zapora Sieciowa jest odporna na penetrację.

Rys. 2. Zapora Sieciowa jako element sieci teleinformatycznej


Zapory Sieciowe działają przede wszystkim w warstwie sieciowej i trans-portowej modelu OSI, jednak współczesne rozwiązania scalają różne mechani-zmy bezpieczeństwa na przekroju wszystkich warstw modelu OSI. Najważniej-sze funkcje oferowane przez współczesne Zapory Sieciowe to [1]:

• filtrowanie adresów i portów, • filtrowanie zawartości, • trasowanie pakietów, • ochrona adresów IP i przesyłanie komunikacji dalej, • oddzielenie, • ochrona przed atakami, skanowaniem komputerów, • uwierzytelnianie i szyfrowanie, • rejestrowanie komunikacji w dziennikach,

Zapewnienie bezpieczeństwa jest ważne na poziomie każdej warstwy mo-delu OSI. Jednak, ze względu na istotność warstwy sieciowej, w której odbywa się zasadniczy proces przesyłania danych między urządzeniami, sieciowe me-chanizmy bezpieczeństwa podzielono na:

• mechanizmy warstwy sieciowej, • mechanizmy warstw pozostałych.

4. Koncepcja zapory bezpieczeństwa

Realizacja programowej Zapory Sieciowej wymaga wyboru platformy syste-mowej oraz narzędzia programowego. Niniejsza koncepcja bazuje na systemie klasy Unix - Linux PLD z jądrem 2.6 ze względu na jego wysoki poziom bez-pieczeństwa, niewielkie wymagania sprzętowe oraz posiadanie dużej liczby narzędzi programowych umożliwiających zbudowanie funkcjonalnej i efektyw-nej Zapory Sieciowej. Ponadto, wykorzystano jedną z architektur Firewalli opi-sanych w rozdziale 3, a także połączono funkcjonalność filtra pakietów z po-średniczącym serwerem Proxy.

Koncepcja Zapory Sieciowej oparta jest na sieci IP wersji 4. Architektura Screened Subnet pozwala na wydzielenie segmentu sieci (strefy zdemilitaryzo-wanej), w której zostały osadzone serwery usług. Segment taki stanowi dodat-kową fizyczną warstwę zabezpieczeń systemu komputerowego, poprzez odizo-lowanie sieci prywatnej od sieci publicznej. Ogólną architekturę projektowanej Zapory Sieciowej przedstawia rysunek (Rys. 3).


Zasadniczą częścią architektury są routery (filtry), które kontrolują dostęp do zasobów danej sieci. W niniejszej koncepcji wyróżniono: router dostępowy (zewnętrzny filtr pakietów) umieszczony na granicy między siecią publiczną a strefą DMZ oraz router wewnętrzny (wewnętrzny filtr pakietów) zlokalizowa-ny pomiędzy strefą DMZ a siecią prywatną. Urządzenia te pełnią następujące funkcje:

1. Router dostępowy: • Filtrowanie pakietów z analizą stanu połączeń; • Kontrola dostępu użytkowników sieci publicznej do zasobów strefy

DMZ; • Obrona sieci wewnętrznej przed atakami (ataki DoS, skanowanie por-

tów); • Translacja adresów i portów z wykorzystaniem mechanizmu NAT

i PAT; • Pełnienie funkcji bramy SSL VPN.

2. Router wewnętrzny: • Filtrowanie pakietów z analizą stanu połączeń; • Kontrola dostępu użytkowników sieci prywatnej do zasobów strefy

DMZ i sieci publicznej na podstawie adresów MAC; • Pełnienie funkcji pośredniczącego serwera Proxy dla usługi WWW.

Rys. 3. Ogólna architektura Zapory Sieciowej

Budowę strefy DMZ oparto o zarządzany przełącznik umożliwiający przy-dzielanie poszczególnych jego portów do konkretnych sieci VLAN. Ze względu na fakt, iż zarówno router dostępowy jak i router wewnętrzny wymagają dostę-pu do różnych sieci VLAN w strefie DMZ, przyłączono je do przełącznika po-

Trunking

802.1q

Trunking

802.1q

Sieć

publiczna

Sieć prywatna

WWW

SMTP/POP3

Strefa DMZVLAN 20

FTP

VLAN 30

DNS

VLAN 10

Router dostępowy

(zewnętrzny filtr)

Router wewnętrzny

(wewnętrzny filtr)


przez port trunkingowy (ang. trunking port) wykorzystujący standard enkapsu-lacji 802.1q. Enkapsulacja 802.1q polega na określaniu przynależności ramek typu Ethernet do określonych sieci VLAN – tzw. tagowaniu. W tym celu, do każdej ramki dodawane jest dwubajtowe pole TCI (ang. Tag Control Informa-tion) zawierające pole VID (ang. VLAN ID) i określające, do której sieci VLAN należy dana ramka. Aby umożliwić komunikację routerów Zapory Sie-ciowej z poszczególnymi sieciami VLAN konieczne jest utworzenie logicznych podinterfejsów (ang. subinterfaces) należących do określonych sieci VLAN na pojedynczym, fizycznym interfejsie sieciowym. Ponadto, komunikacja pomię-dzy sieciami VLAN może odbywać się jedynie poprzez router obsługujący standard 802.1q.

Rozwiązanie strefy DMZ w oparciu o sieci VLAN posiada wiele zalet. Najważniejsze z nich to:

• możliwość tworzenia wielu podsieci z wykorzystaniem pojedynczego przełącznika,

• możliwość separacji stacji w strefie DMZ, • możliwość kontroli dostępu i filtracji ruchu do poszczególnych sieci

VLAN, gdyż całkowity ruch przechodzi przez router, • kontrolowanie ruchu pomiędzy poszczególnymi sieciami VLAN, • wysoka skalowalność strefy DMZ.

W ramach niniejszej koncepcji Zapory Sieciowej, strefę DMZ oparto na trzech sieciach VLAN. Pierwszą sieć VLAN (VLAN 10) wykorzystano do przesyłania ruchu pomiędzy routerami Zapory Sieciowej, dzięki czemu zapew-niono komunikację użytkowników sieci chronionej z siecią publiczną. Do dru-giej sieci (VLAN 20) przyłączono serwery usług WWW oraz FTP, do których jest wymagany dostęp dla użytkowników sieci publicznej. W trzeciej sieci VLAN (VLAN 30) zlokalizowano serwery usług, które wymagają zapewnienia komunikacji z siecią publiczną na określonych portach. Są nimi: serwer pocz-towy SMTP/POP3, do którego dostęp posiadają również autoryzowani użyt-kownicy zdalni oraz lokalny serwer DNS. Ponadto, dostęp do tych sieci posia-dają użytkownicy sieci prywatnej.

Jako przełącznik w strefie DMZ wykorzystano urządzenie Cisco 1812. Dzięki jego funkcjonalności możliwe jest przywiązanie interfejsów FastEther-net (posiada 8 interfejsów FastEthernet switch) do konkretnych sieci VLAN. Dwa porty VLAN wykorzystano jako porty trunking’owe, do których przyłą-czono routery Zapory Sieciowej (Port Fa 2 i Fa 3). Do portu Fa 6 i 7 przywiąza-no VLAN 20 a do portu Fa 8 i 9 – VLAN 30.

Ze względu na fakt, iż użytkownicy sieci prywatnej wymagają dostępu do sieci publicznej, należało w routerach dostępowym i wewnętrznym ustalić trasę


domyślnej bramy (ang. default gateway). Trasę taką skonfigurowano również w serwerach usług, do których jest wymagany dostęp z sieci publicznej. Ponadto, w routerze dostępowym i serwerach usług ustawiono trasę do sieci prywatnej (192.168.100.0/24).

Rys. 4. Architektura sieci testowej

Rys. 5. Realizacja połączeń SSL VPN w sieci testowej

Koncepcja Zapory Sieciowej pozwala realizować połączenia VPN z sieci publicznej do strefy DMZ w celu zapewnienia bezpiecznego dostępu do jej zasobów. Funkcję bramy VPN pełni router dostępowy zapewniając komuni-kację VPN typu client-to-site z wykorzystaniem tuneli SSL VPN. Rozwiąza-nie to zostało wprowadzone w celu umożliwienia prowadzenia na odległość

Trunking

802.1q

Trunking

802.1q

Sieć

publiczna

Sieć prywatna

WWW

SMTP/POP3

Strefa DMZVLAN 20

FTP

VLAN 30

DNS

VLAN 10

Router dostępowy

(zewnętrzny filtr)

Router wewnętrzny

(wewnętrzny filtr)

Sieć

publiczna

Sieć prywatna

Strefa DMZ

VLAN 20

VLAN 30

Tunel SSL/VPN

Użytkownik

Zdalny

(171.16.31.200)

Administrator

(171.16.31.100)

192.168.50.10

192.168.60.10

192.168.20.0/24

192.168.30.0/24

192.168.100.0/24

VLAN 10192.168.10.0/24

Router wewnętrzny

(wewnętrzny filtr)

UDP 17003

Tunel SSL/VPN

Brama SSL/VPN

UDP 17004


działań administracyjnych, a także umożliwienia użytkownikom zdalnym dostępu do serwerów WWW, FTP oraz SMTP/POP3. W związku z tym, zde-finiowano dwie grupy dostępowe: grupa administratorów oraz grupa użyt-kowników zdalnych. Dla każdej z grup wydzielono tunel SSL VPN, na pod-stawie którego definiowany jest dostęp do określonych usług. Każdy z użytkowników nawiązujący połączenie przez tunel SSL/VPN musi zostać uwierzytelniony przez bramę VPN. Brama VPN nasłuchuje połączeń na od-dzielnych portach dla każdego z tuneli. W koncepcji Zapory wykorzystano oprogramowanie OpenVPN, które udostępnia dwie metody uwierzytelniania użytkowników i szyfrowania komunikacji:

• mechanizm współdzielonego klucza (ang. pre-shared key) • z wykorzystaniem certyfikatów cyfrowych SSL X.

Badanie efektywności Zapory Sieciowej Testowanie efektywności Zapory Sieciowej sprowadzono do dwóch zasadni-czych części. W pierwszej części zbadano bezpieczeństwo Zapory Sieciowej testując jej odporność na próby skanowania portów oraz najczęściej wykorzy-stywane ataki odmowy usługi – ICMP Flood oraz SYN Flood, stanowiące pod-stawę rozproszonych ataków DDoS. Druga część badania ma na celu pokazanie wpływu Zapory Sieciowej na czas i opóźnienie realizacji transakcji dla ruchu HTTP w zależności od poziomu bezpieczeństwa i natężenia ruchu generowane-go przez użytkowników sieci wewnętrznej celu przeprowadzenia badań odpor-ności sieci na wybrane ataki zestawiono stanowisko jak na rysunku (Rys. 6).

Rys. 6. Schemat sieci do testowania odporności na wybrane ataki


Testy zrealizowano wykorzystując następujące aplikacje:

• Wireshark v.1.0.0 – analizator ruchu oraz protokołów sieciowych, • Nmap v.6.31 – narzędzie open-source do eksploracji sieci i audytów

bezpieczeństwa, • Hping2 – generator pakietów ICMP/UDP/TCP z możliwością dowolnej

modyfikacji nagłówka pakietów IP, Pomiary wydajnościowe usługi WWW zrealizowano dla trzech poziomów

bezpieczeństwa Zapory Sieciowej. Badania przeprowadzono zgodnie z rysun-kiem 7.

Rys. 7. Schemat stanowiska do przeprowadzenia testów wydajnościowych

Literatura

1. Shimorski J. R., Shinder Littlejohn D., Shinder w. Thomas – Wielka Księga Firewalli, HELION, Warszawa 2004

2. Kirch O., Dawson T. – Linux – podręcznik administratora sieci, Wydaw-nictwo RM, Warszawa 2000

3. Benjamin H., CCIE 4695 – CCIE Security, Wydawnictwo MIKOM, War-szawa 2004

4. Kopyt P., Kułakowski M., Niemiec K. – Firewall – praca zaliczeniowa z przedmiotu Administracja systemem komputerowym, Akademia Górniczo-Hutnicza w Krakowie, 2002

5. Elizabeth D. Zwicky, Simon Cooper & D. Brent Chapman –Building In-ternet Fire-walls – 2nd Edition, 2000

Router dostępowy

(zewnętrzny filtr)

Router wewnętrzny

(wewnętrzny filtr)Użytkownik

192.168.100.10

Punkt

pomiarowy

Serwer WWW

171.16.31.10

Ruch HTTP


6. M. G. Gouda, Xiang-Yang A. Liu –Firewall Design: Consistency, Com-pleteness and Compactness, IEEE 2004

7. Praca zbiorowa Vademecum Teleinformatyka, cz.1, Wydawnictwo IDG, 1999

8. Praca zbiorowa Vademecum Teleinformatyka, cz.3, Wydawnictwo IDG, 1999

9. MalewskI K. Analiza skuteczności ataków DDoS na najpopularniejsze współczesne systemy operacyjne- – praca dyplomowa, 2005

10. Białas A. – Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie, WNT 2007

Documents

walidacja wybranych cech zapory sieciowej w środowisku