Лабораторная работа №8. Устранение/Скрытие уязвимостей сетевых портов. Настройка программного брандмауэра.
8.1 Цель работы: по результатам сканирования сетевых портов на машине с установленным брандмауэром, произвести его настройку для скрытия или устранения найденных уязвимостей.
8.2 Подготовка к работе
8.2.1 Изучить и освоить работу брандма́уэра. Agnitum Outpost Firewall Pro версии 4.0
8.2.2 Для выполнения данной работы необходимо иметь следующее установленное программное обеспечение: VMware Workstation версии 5.0 или выше, Agnitum Outpost Firewall Pro версии 4.0 или выше, Xspider версии 7.0 или выше.
8.3 Рабочее задание
8.3.1 Защитить машину брандмауэром и произвести сканирование.
8.3.2 По варианту выданному преподавателем произвести настройку брандмауэра для устранения или скрытия найденных путем сканирования портов уязвимостей
8.3.4 Запретить доступ на виртуальной машине для HOST-компьютера и осуществить новое сканирование на уязвимости.
8.3.5 По завершении сканирования создайте отчет и сравните с сохраненными ранее.
8.3.6 Настройте глобальные правила для оставшихся портов. Полученные результаты необходимо предоставить в отчете.
8.4 Описание работы:
8.4.1 Выполнение данной лабораторной работы заключается в том, чтобы правильно настроить брандмауэр для устранения или скрытия найденных ранее уязвимостей.
8.4.2 Данная работа посвящена настройке правил реагирования брандмауэра на различные события.
8.5 Порядок выполнения работы
8.5.1 Для того, чтобы просмотреть список глобальных правил, щелкните на панели инструментов кнопку Параметры, выберите вкладку Системные и щелкните Правила в группе Глобальные правила и доступ к rawsocket.
8.5.2 Для того, чтобы добавить новое правило, щелкните Добавить в окне диалога Глобальные правила. В окне редактирования правила укажите параметры.
8.5.3 «Выберите событие для правила».
8.5.4 «Выберите действие для правила».
8.5.5Для защиты сессим NetBIOS необходимо добавить в область сетевого взаимодействия лишь те IP-адреса, которым вы полностью доверяете. Для этого перейдите в настройку системных параметров брандмауэра и нажмите на кнопку «Параметры» для настройки локальной сети.
8.5.6 Нажав на кнопку «добавить», в обработку можно включить как отдельный IP-адрес, так и диапазон IP-адресов или отдельный домен
8.5.7. Выберите действия - соответствующие сообщения появятся в поле Описание правила. Если вы хотите, чтобы действием на событие стал запуск определенного приложения или команды, поставьте флажок в соответствующем поле и укажите приложение или команду, нажав на подчеркнутое значение в поле Описание правила
8.5.8 Убедитесь, что в поле Описание правила не осталось неопределенных параметров. Outpost Firewall Pro автоматически сгенерирует Имя правила на основе заданных параметров. Щелкните OK, чтобы сохранить правило. Правило отобразится в списке.
8.6 Методические указания по выполнению работы
Протокол NetBIOS был создан для работы в локальных сетях. Система NetBIOS предназначена для персональных ЭВМ типа IBM/PC в качестве интерфейса, независящего от фирмы-производителя. NetBIOS использует в качестве транспортных протоколов TCP и UDP. Описание NetBIOS содержится в документе IBM 6322916 "Technical Reference PC Network".
Пакет NETBIOS создан для использования группой ЭВМ, поддерживает как режим сессий (работа через соединение), так и режим дейтограмм (без установления соединения). 16-и символьные имена объектов в netbios распределяются динамически. netbios имеет собственную dns, которая может взаимодействовать с интернетовским. Имя объекта при работе с NETBIOS не может начинаться с символа *.
Приложения могут через netbios найти нужные им ресурсы, установить связь и послать или получить информацию. NETBIOS использует для службы имен порт - 137, для службы дейтограмм - порт 138, а для сессий - порт 139.
Любая сессия начинается с netbios-запроса, задания ip-адреса и определения tcp-порта удаленного объекта, далее следует обмен NETBIOS-сообщениями, после чего сессия закрывается. Сессия осуществляет обмен информацией между двумя netbios-приложениями. Длина сообщения лежит в пределах от 0 до 131071 байт. Допустимо одновременное осуществление нескольких сессий между двумя объектами.
При организации IP-транспорта через NETBIOS IP-дейтограмма вкладывается в NETBIOS-пакет. Информационный обмен происходит в этом случае без установления связи между объектами. Имена Netbios должны содержать в себе IP-адреса. Так часть NETBIOS-адреса может иметь вид, ip.**.**.**.**, где IP указывает на тип операции (IP через Netbios), а **.**.**.** - ip-адрес. Система netbios имеет собственную систему команд (call, listen, hang up, send, receive, session status, reset, cancel, adapter status, unlink, remote program load) и примитивов для работы с дейтограммами (send datagram, send broadcast datagram, receive datagram, receive broadcast datagram). Все оконечные узлы netbios делятся на три типа:
широковещательные ("b") узлы; узлы точка-точка ("p"); узлы смешанного типа ("m").
IP-адрес может ассоциироваться с одним из указанных типов. B-узлы устанавливают связь со своим партнером посредством широковещательных запросов. P- и M-узлы для этой цели используют netbios сервер имен (NBNS) и сервер распределения дейтограмм (NBDD).
После сканирования удаленной виртуальной машины с установленным брандмауэром со стандартными настройками, сканер находит несколько уязвимостей, в том числе, и уязвимость по сессии NetBIOS на 139 порту. Для устранения данной проблемы необходимо использовать обходной путь, потому что «грубо» этот порт закрыть нельзя (почему?). Чтобы устранить проблему 139-го порта, необходимо определить доверенную группу IP-адресов, члены которой смогут взаимодействовать по сети. Для других уязвимых портов необходимо создать правило реагирования брандмауэра. Глобальные правила брандмауэра применяются ко всем процессам и приложениям на вашем компьютере, которые запрашивают доступ в сеть. Например, создав соответствующие правила, вы можете блокировать весь трафик, идущий по данному протоколу или с данного удаленного узла. Некоторые из установок глобальных правил, подобранные оптимальным образом, Outpost Firewall Pro задает по умолчанию.:
Каждый компьютер в локальной сети может получить один из трех уровней доступа к вашему компьютеру:
- NetBIOS. Разрешает разделение доступа к файлам и принтерам между компьютером из локальной сети и вашим компьютером. Чтобы установить этот уровень, отметьте соответствующий флажок NetBIOS для этого адреса;
- Доверенные. Все соединения к и из этой сети разрешены. Чтобы установить этот уровень, отметьте флажок Доверенные для этого адреса;.
- Ограниченный доступ к LAN. NetBIOS соединения блокируются, все остальные соединения обрабатываются, согласно глобальным правилам и правилам для приложений. Чтобы установить этот уровень, уберите оба флажка NetBIOS и Доверенные для этого адреса.
Важно помнить, что узел, относящийся к числу Доверенных, имеет наивысший приоритет. С таким узлом могут соединяться даже запрещенные приложения. Рекомендуется помещать в список Доверенных только СОВЕРШЕННО БЕЗОПАСНЫЕ компьютеры. Если вам нужно только разделение доступа к файлам и принтерам, лучше использовать уровень NetBIOS, а не Доверенные. Нажав на кнопку «добавить», в обработку можно включить как отдельный IP-адрес, так и диапазон IP-адресов или отдельный домен.
Одной из наиболее важных характеристик системы Agnitum Outpost Firewall Pro является политика или режим работы с сетью. Существует пять режимов или политик с сетью.
Режим бездействия (Отключить) – разрешены все сетевые взаимодействия; брандмауэр отключен.
Режим разрешения (Разрешить) – разрешены все сетевые взаимодействия, которые явно не заблокированы.
Режим обучения (Обучения) – первое сетевое взаимодействие каждого приложения сопровождается предупреждением и дает вам возможность создать правило для работы этого приложения с сетью. Созданное правило будет немедленно задействовано брандмауэром для обработки соединений.
Режим блокировки (Блокировать) – запрещены все сетевые взаимодействия, за исключением явно разрешенных. Для каждого приложения, которому необходим доступ в Интернет, потребуется создать правило брандмауэра.
Блокировать все (Запрещать) – запрещены сетевые взаимодействия.
Сразу после установки программа по умолчанию функционирует в режиме обучения. Этот режим выявляет любые приложения, взаимодействующие с сетью, и выдает диалог с предупреждением сообщающем. Это все данные о приложение (т.е, в каком направлении запрашивается соединение, исходящие или входящие, через какой порт и по какому протоколу). Основываясь на предупреждении, пользователь выбирает соответствующие действия. Он может разрешить приложению выполнять любые действия либо запретить. Также можно создать правило, где все параметры задаются пользователем.
Необходимо по последней цифре в зачетной книжке проделать:
1 запретить исходящее соединение по протоколу TCP c адресом 192.168.120.1 через порт 110;
2 запретить входящие данные по протоколу UDP от адреса 192.168.124.0 через порт 4000. При попытке установления связи через данный порт и адрес автоматически запустить антивирусную программу;
3 разрешить входящие данные по протоколу IP, где протокол: 6 – Transmission Control Protocol, для IP-адресов следующего диапазона: 192.168.10.0-192.168.11.255;
4 Разрешить исходящее соединение для адреса 192.168.0.1
5 запретить исходящее соединение с адресом 192.168.0.12 по протоколу TCP c портом 43;
6 разрешить входящее соединение по протоколу IP c диапазоном адресов 192.168.0.1-192.168.3.255, где протокол: Internet Control Message Protocol-1;
7 запретить входящие данные по протоколу UDP для диапазона адресов: 192.168.12.3-192.168.13.255;
8 запретить исходящие данные по протоколу TCP по порту 145 для диапазона адресов: 192.168.12.3-192.168.13.255;
9 разрешить исходящие данные для адреса 192.168.0.34 по протоколу TCP для порта 4000;
10 запретить входящие данные по протоколу IP, где протокол: Internet Control Message Protocol-1, для диапазона адресов: 192.168.12.3-192.168.13.255.
8.7 Контрольные вопросы
8.7.1 Каково назначение NetBIOS?. Объяснить важность протокола NetBIOS и взаимодействующих с ним портов.
8.7.2 Назовите основные пять режимов или политик системы Agnitum Outpost Firewall Pro работы с сетью.
8.7.3 . В каком режиме функционирует система Agnitum Outpost Firewall Pro сразу после запуска по умолчанию? Приведите характеристики этого режима.
8.7.4. На каком уровне стека протокола ТСР/IP функционирует система Agnitum Outpost Firewall Pro?
Список литературы
1.А.А. Малюк, С.В. Пазизин, Н.С. Погозин Введение в защиту информации в автоматизированных системах. – М.: Горячая линия – Телеком, 2001. – 148 с.
2. Давыдов Г.Б, Рогинский В.Н, Толчан А.Я. Сети электровязи.-М.: Связь, 1977.
3. Теория сетей связи. Под ред. В.Н.Рогинского. - М; Радио и связь, 1981.
4. Петраков А.В. , Лагутин В.С. Защита абонентского телетрафика. – М.: Радио и связь, 2001. – 504 с.
5. Максим М. Безопасность беспроводных сетей. – М. Компания АйТи, 2004.- 288 с.
6. Защита информации в системах мобильной связи: Учебное пособие для вузов /под ред. А.В. Зарянова – Горячая линия Телеком, 2005. -171 с.
7. Симонович С.В. Информатика для юристов и экономистов. СПб.: Питер, 2001.- 688 с.
8. Ярочкин В.И. Информационная безопасность: Учебник для студентов вузов.- М.: Академический Проект; Фонд "Мир", 2003.- 640 с.
9. Соколов А.В., Степанюк О.М. Защита от компьютерного терроризма: Справочное пособие. СПБ.: БХВ – Петербург; Арлит, 2002. - 496 с.
10. Терехов А.В., Чернышов В.Н., Селезнев А.В. Защита компьютерной информации: Учебное пособие. - Тамбов: Изд-во Тамб. гос. техн. ун-та, 2003. - 90 с.
11. Романец Ю.В. Защита информации в компьютерных системах и сетях./Под ред. В.Ф. Шаньгина. – М.:Радио и связь. 2001-328 с.
Содержание
Введение …………………………………………………………………………..3
1 Лабораторная работа №1……………………………………………………….4
2 Лабораторная работа №2……………………………………………………….8
3 Лабораторная работа №3……………………………………………………….14
4 Лабораторная работа №4……………………………………………………….18
5 Лабораторная работа №5……………………………………………………….22
6 Лабораторная работа №6……………………………………………………….25
7 Лабораторная работа №7……………………………………………………….31
8 Лабораторная работа №8……………………………………………………….46
Список литературы……………………………………………………………….47