dreamweb.pl

Wstęp

Artykuł ten jest częścią całego dokumentu wydanego przez National Security Agency, czyli Amerykańską Narodowa Agencję Bezpieczeństwa. Jest to dokument z 2002 roku i opisuje jak w “60 minut” zabezpieczyć swoją sieć. Choć publikacja nie opisuje wszystkiego dogłębnie jest ciekawą lekturą dla osób interesujących się tematem bezpieczeństwa. Oryginalny dokument można pobrać z tego miejsca.

Polityka bezpieczeństwa

Ta sekcja jest streszczeniem dokumentu RFC 2196, czyli Security Handbook. Polityka bezpieczeństwa jest zestwawem reguł, których muszą przestrzegać osoby zajmujące się dostępem do cennych informacji należących do różnych organizaji lub przedsiębiorstw. Dotyczy ona wszystkich użytkowników sieci, zarówno zwykłych użytkowników jak i administratorów tych sieci, a także menagerów i szefów przedsiębiorstwa lub organizacji. Wyznaczenie polityki bezpieczeństwa jest balansem między świadczeniem usług, a utrzymaniem bezpieczeństwa oraz między kosztem utrzymania bezpieczeństwa, a ryzykiem utraty cennych informacji.
Głównym zamiarem wyznaczenia polityki bezpieczeństwa jest szczegółowe poinformowanie użytkowników, administratorów i menagerów o ich obowiązku do ochrony cennych informacji. Polityka bezpieczeństwa powinna wyznaczać porcedury, dzięki którym zostanie zachowany mechanizm ochrony informacji.
Dobra polityka bezpieczeństwa powinna być:

• możliwa do zaimplementowania w istniejące już procedury administracyjne i zdolna do działania z istniejącymi już metodami stosowanymi w organizacji;
• zdolna do narzucenia stosowania bezpiecznych narzędzi, gdzie właściwie z odpowiednimi sankcjami będzie zapobiegać fizycznemu naruszeniu bezpieczeństwa;
• czysto i jasno wyznaczać zakres odpowiedzialności użytkowników, administratorów i menagerów;
• zaszczepiona we wszystkich komórkach organizacji;
• być elastyczna i przygotowana na zmiany otoczenia, np. zmiany sieci LAN lub budynku organizacji;

Systemy operacyjne i aplikacje. Wersje i uaktualnienia.

Jeżeli jest to tylko możliwe należy używać najnowszych stabilnych wersji aplikacji. System operacyjny powinien mieć zainstalowane wszystkie uaktualnienia i łaty. Dotyczy to wszystkich komputerów (klientów i serwerów), urządzeń sieciowych (routerów i switchy), a także innych mechanicznych urządzeń w sieci (zapory ogniowe, systemy detekcji intruzów). Na systemie operacyjnym powinny być zainstalowane wszystkie patche, service pack’i i hotfix’y (systemy Windows). Dotyczy to szczegulnie uaktualnień naprawiających wrażliwe punkty łaty krytyczne), pozwalające osobie atakującej na wykonanie dowolnego kodu na zdalnej maszynie. Należy zapamiętać, że niektóre uaktualnienia wymagają ponownego włączenia maszyny. Popularne aplikacje powinny być poddane szczególnej uwadze ponieważ są najbardziej znane i najczęściej atakowane (np. ISS, Outlook, Internet Explorer, BIND, czy Sendmail).

Znajomość własnej sieci

Rozwój i utrzymanie listy wszystkich zainstalowanych w sieci urządzeń i aplikacji jest ważnym elementem zabezbieczenia infrastruktury informatycznej. Równie ważne jest dogłębne poznanie wszystkich aplikacji instalowanych domyślnie (np. ISS i SQL Server). Szybką metodą na rozpoznanie działających w sieci aplikacji jest skanowanie portów.

Usługi TCP/UDP w sieci

Całą sieć należy przeskanować w poszukiwaniu działających usług TCP/UDP. Niepotrzebne usługi należy niezwłonie wyłączyć. Na usługi, które są niezbędne należy nałożyć restrykyjne ograniczenia dostępu, tylko do komputerów, które ich potrzebują. Wyłączyć wszystko, co jest żadko używane i może stanowić potencjalne źródło dziury w całym systemie bezpieczeństwa. Wszystkie inne aplikacje, które mogą być źródłem prolemów (np. skrypty CGI) należy najpierw dogłęnie przetestować. Generalnie nie należy instalować wersji testowych na głównym systemie informatycznym.

Hasła

Wybór słabych haseł jest często głównym problemem każdego systemu bezpieczeństwa. Wszyscy użytkownicy powinni być zmuszeni do reglularnej zmiany haseł. W systemach Windows przestażałe hasła powinny być unieważniane. Administratorzy powinni się zaopatrzyć, a następnie okresowo uruchamiać programy do łamania haseł (np. “John the Ripper”, L0phtCrack). Ponieważ programy do łamania haseł obciążają procesor, co może doprowadzić do spowolniena całego systemu, dobrą praktyką jest skopiowanie i nastęnie próba rozszyfrowania plików przechowujących hasła na osobnym komputerze. Dla systemów Windows są to pliki z rozszeżeniem SAM, a dla systemów UNIX’owych pliki /etc/passwod i /etc/shadow. Operacje taką należy przeprowadzać na maszynie nie podłączonej do sieci, do której dostęp ma tylko osoba zajmująca się testowaniem haseł.
Hasła powinny:

• mieć co najmniej 12 znaków dla systemów Windows i 8 znaków dla systemów UNIX’owych;
• składać się z małych i dużych liter alfabetu, cyfr i znaków specjalnych (np. FyDCW9%h);
• nie mogą być to słowa znajdujące się w jakimkoliwek słowniku ortograficznym;
• być zmieniane regularnie co 30 do 90 dni;
• dla systemów UNIX’owych być szyfrowane i przechowywane w pliku /etc/shadow z ustawionym znacnikiem dostępu chmod 400 dla root’a i grupy sys, zaś plik /etc/passwd powinien mieć ustawiony znacznik dostępu na chmod 644 dla root’a i grupy root;
• krackowane przez administratorów, w celu odnajdowania haseł łatwych do odszyfrowania;

Kod źródłowy z niezaufanego źródła

W większości przypadków należy uniemożliwić wgląd do źródła aplikacji zwykłym użytkownikom sieci. Osoby takie nie powinny mieć także możliwości uruchamiania jakiegokolwiek kodu źródłowego. Należy wyłączyć automatyczne uruchamianie aplikacji dostarczonych za pomocą poczty elektronicznej.

Blokowanie nieokreślonych załączników w e-mail’u

Jest kilka rodzajów plików dołączanych do załączników w poczcie elektronicznej, których organizacje lub firmy nie pozwalają uruchamiać lub przesyłać pocztą elektorniczną. Jeżeli jest to możliwe należy blokować przesyłanie plików z takimi rozszerzeniami. Organizacje używające programu Outlook mogą sobe to ułatwić korzystając z wersji 2002 tego programu. Dla wcześniejszych wersji tego programu należy użyć odpowiedniej łaty. Niebezpieczne rozszerzenia plików to:

.bas .hta.msp .url
.bat .inf .mst .vb
.chm .ins .pif .vbe
.cmd .isp .pl .vbs
.com .js .reg .ws
.cpl .jse .scr .wsc
.crt .lnk .sct .wsf
.exe .msi .shs .wsh

Należy być ostrożnym podczas usuwania lub dodawania plików do tej listy. Na przykład praktycznym może okazać się blokowanie wszystkich rozszerzeń plików z rodziny Microsoft Office. Wszystkie pliki z tej rodziny mają możliwość wykonywania makr.

Pojęcie uprzywilejowania

Pojęcie uprzywilejowania jest jednym z podstawowych dogmatów bezpieczeństwa komputerowego. Oznacza to, że poszczególni użytkownicy powinni mieć tylko takie prawa w systemie, aby mogli wykonywać swoją pracę. Takie restrykcje mogą uchronić system przed przypadkowym lub celowym uruchomieniem złośliwego kodu. Im większe prawa mają użytkownicy tym jest większe zagrożenie wystąpienia takiej sytuacji. Poleca się podjąć następujące działania:

• Liczba kont administratora (z duzymi prawami) powinna być jak najmniejsza;
• administrator powinien używać także ograniczonego konta, zaś z konta root korzystać tylko jeżeli zajdzie taka potrzeba;
• prawidłowo ustawić dostęp do niektórych narzędzi systemowych, z których osoba atakująca może skorzystać np. explorer.exe, regedit.exe, poledit.exe, taskman.exe, at.exe, cacls.exe, cmd.exe, finger.exe, ftp.exe, nbstat.exe, net.exe, net1.exe, netsh.exe, rcp.exe, regedt32.exe, regini.exe, regsvr32.exe, rexec.exe, rsh.exe, runas.exe, runonce.exe, svrmgr.exe, sysedit.exe, telnet.exe, tftp.exe, tracert.exe, usermgr.exe, vscript.exe, xcopy.exe. UNIX’owymi narzędziami, które powinny zostać poddane restrykcjom są debugery i kompilatory;
• Jeżeli to możliwe aplikacje serwerowe także powinny działać na ograniczonych kontach;

Drukarki sieciowe

Dzisiejsze drukarki sieciowe często zawierają w sobie takie usługi jak FTP, WEB, czy Telnet. Na takiej drukarce sieciowej z łatwośią można uruchomić różnego rodzaju exploity. W urządzeniach tego typu należy zmienić domyślne hasła i jeżeli jest taka możliwość należy zablokować ich globalny dostęp na routerze lub ścianie ogniowej.
Simple Network Managment Protocol (SNMP)

SNMP jest często używany przez administratorów sieci do monitorowania i zarządzania wszystkimi urządzeniami sieciowymi (np. routery, switche, drukarki, hosty). SNMP używa do komunikacji ze zdalnymi urządzeniami niezakodowanego strumienia danych. Osoba atakująca może wykorzystać te lukę SNMP do poszerzenia swoich informacji na temat sieci, zdalnej rekonfiguracji, czy nawet zdalnego wyłączenia urządzenia. Należy, więc wyłączyć wszystkie usługi SNMP, na urządzeniach, które tych usług nie potrzebują. Dostęp poprzez SNMP może być ustawiony na tylko do odczytu. Jeżeli to możliwe dostęp do SNMP należy włączyć na jak najmniejsze liczbie komputerów (np. tylko na serwerach).

Testowanie bezpieczeństwa sieci

Należy regularnie przeprowadzać testy sieci pod względem jej bezpieczeństwa na wszystkich maszynach w sieci, czyli serwery, hosty, routery, ściany ogniowe, systemy detekcji intruzów (IDS). Takie testy należy także przeprowadzać po każdej większej zmianie w konfiguracji sieci.
Bezpieczeństwo hostów

W celu polepszenia bezpieczeńswa hostów zaleca się:

• wyłączyć niepotrzebne usługi TCP/UDP (np. bootps, finger) na routerach i ścianach ogniowych; mniejsza ilość włączonych usług powoduje zmniejszenie obciążenia procesorów i pamięci RAM;
• do wszystkich włączonych usług TCP/UDP na routerze lub ścianie ogniowej powinien być ograniczony dostęp (tylko dla administratorów);
• na routerze i ścianie ogniowej należy wyłączyć niepotrzebne usługi, takie jak zdalna konfiguracja;
• na routerze i ścianie ogniowej należy wyłączyć wszystkie nieużywane interfejsy, zaś włączone interfejsy należy chronić przed rozszerzaniem się informacji na ich temat;
• każdy włączony interfejs na routerze lub ścianie ogniowej należy chronić przed atakiem wyłączając na nim wszystkie niepotrzebne porty;
• na routerze i ścianie ogniowej należy skonfigurować silne hasło; dla każdego urządzenia tego typu powinno być skonfigurowane inne hasło dostępu; hasła te należy zmieniać co 30-90 dni;

Przykładowa konfiguracja routera Cisco -cz.1

• Polecenie show processes pokazuje nam uruchomione procesy na routerze. Poniższe polecenia pokazują nam jak wyłączyć niektóre niebezpieczne i niepotrzebne usługi:

Router(config)#no servive tcp-small-servers
Router(config)#no servive udp-small-servers
Router(config)#no ip boootp servewr
Router(config)#no service finger
Router(config)#no ip http server
Router(config)#no ip identd
Router(config)#no snmp-server community

• Jeżeli na routerze jest wymagane uruchomienie SNMP używamy następujących poleceń:

Router(config)#no snmp-server community public
Router(config)#no snmp-server community private

• Za pomocą poniższych poleceń wyłączamy kolejne usługi takie jak Cisco Discovery Protocol, remote configuration downloading, source routing i zero subnet:

Router(config)#no cdp run
Router(config)#no service config
Router(config)#no ip source-route
Router(config)#no ip subnet-zero

• Wyłaczamy nieużywane iterfejsy:

Router(config-if)#shutdown

Włączone interfejsy chronimy następujacymi poleceniami:

Router(config-if)#no ip directed-broadcast
Router(config-if)#no ip proxy-arp
Router(config-if)#no ip unreachables

• Konfigurujemy dostęp do routera za pomocą kabla konsolowego i połączenia wirtualnego. Ustalamy czas trwania możliwej sesji, wymagamy podania hasła podczas logowania. Jeżeli nie potrzebujemy portu AUX wyłaczamy go.

Router(config)#line con 0
Router(config-line)#exec-timeout 5 0
Router(config-line)#login
Router(config-line)#transpot input telnet
Router(config)#line aux 0
Router(config-line)#no exec
Router(config-line)#exec-timeout 0 5
Router(config-line)#no login
Router(config-if)#transport input none
Router(config)#line vty 0 4
Router(config-line)#exec time-out 5 0
Router(config-line)#login
Router(config-line)#transport input telnet

• Hasła dostępu do routera chronimy algorytmem MD5:

Router(config)#enable secret 0 2manyRt3s

Ustawiamy hasła dostępu dla portów Consolowego, AUX i lini wirtualnej. Dla każdego połączenia konfigurujemy inne hasło:

Router(config)#line con 0
Router(config-line)#password Soda-4 jimmY
Router(config)#line aux 0
Router(config-line)#password Popcorn-4-sara
Router(config)#line vty 0 4
Router(config-line)#password dots-4-georg3
Router(config)#service password-encryption

Filtry TCP/IP

Należy zwrócić dużą uwagę na dopuszczenie różnych usług TCP/IP do działania na routerze lub ścianie ogniowej. Do skonfigurowania odpowiednich filtrów można użyć poniższych tabel. Poniższe tabele przedstawiają popularne usługi rozszerzające informacje o sieci.

Tabela 1- Lista usług TCP i UDP, które powinny zostać całkowicie zablokowane na routerze lub ścianie ogniowej. Informacje świadczone przez te usługi nie powinny się przedostać przez router, czy ścianę ogniową.

Tabela 2- Lista usług TCP i UDP, które nie powinny być dostępne na zewnątrz chronionej sieci.

Tabela 3- Lista popularnych usług TCP i UDP, które mogą być czasami dostępne dla zewnętrznych i wewnętrznych hostów. Wiele z tych usług może być filtrowanych i dostępnych tylko dla poszczegulnych komputerów (serwer ftp, serwer e-mail, serwer dns, serwer web).

Tabela 4- Lista komunikatów ICMP, która może być dostępna poza chronioną siecią, podczas gdy wszystie inne komunikaty powinny być zablokowane.

Tabela 5- Lista komunikatów ICMP, która może zostać dopuszczona do chronionej sieci, podczas gdy pozostałe komunikaty powinny być blokowane.

Genteralnie administrator powinien tworzyć filtry skupiając się na usługach i hostach, które mają być blokowane i dostępne. Ostatecznie mozna użyć Systemu Identyfikacji Intruzów (IDS), który będzie monitorował ruch TCP/IP w chronionej sieci.

Tabela 1

Usługi całkowicie zablokowane

Tabela 2

Usługi nie dostępne poza chronioną siecią

Tabela 3

Usługi dostępne poza chronioną siecią

Tabela 4

Komunikaty, które mogą opóścić chronioną sieć

Tabela 5

Komunikaty, które mogą się dostać do chronionej sieci

Ta sekcja opisuje jak zdefiniowac filtry na routerze lub ścianie ogniowej, tak aby zabezpieczyć część chronionej sieci przed rozprzestrzenianiem się informacji o niej i przed atakiem na tą sieć.

• Tworząc nowy filtr TCP/IP, zawsze należy usunąć poprzednie wpisy filtrujące.
• Należy włączyć zapisywanie logów.
• Należy włączyć zapisywanie logów na każdym filtrze blokującym dostęp. Ta właściwość pozwoli na dostarczenie cennych informacji na temat pakietów, które zostały zablokowane, a w szczególnym przypadku może pomóc w identyfikacji osoby atakujące zabezpieczoną sieć.
• Chronić adresy IP przed próbą podszycia się pod nie. Pakiety nadchodzące nie mogą być przepuszczane jeżeli ich źródłowy adres IP jest z następujących przedziałów: hosty lokalne (127.0.0.0-127.255.255.255), adresy zarezerwowane (10.0.0.0-10.255.255.255, 172.16.0.0- 172.31.255.255, 192.168.0.0-192.168.255.255) oraz adresy mulitcast (224.0.0.0-239.255.255.255). Z chronionej sieci nie może wydostac się żaden pakiet zawierający wewnętrzny adres IP chronionej sieci.
• Należy chronić router oraz ścianę ogniową przed atakiem typu Land Attack. Atak ten dotyczy rozsyłania pakietów z tym samym źródłowym i docelowym adresem IP oraz z tym samym źródłowym i docelowym numerem portu. Atak tego typu może doprowadzić do wyczerpania usługi (Denial of Service).
• Należy chronić router i ścianę ogniową przed atakiem typu TCP SYN Attack. Atak tego typu powoduje dużą ilość transmisji i połączeń, które nie mogą zostać pomyślnie zakończone przez docelowy adres IP. Taka sytuacja powoduje, że niedokończone połączenia zostaja odłożone w kolejce oczekującej, aż do wyczerpania zasobów systemowych.
• Należy chronić router, ścianę ogniową oraz całą chronioną sieć przed niepotrzebnym i nadmiarowym rucem ICMP. Jest wiele typów wiadomości ICMP i wiele z nich jest powiązanych z różnymi aplikacjami. Niektóre wiadomości słóżą do zarządzania siecią i są generowane i odbierane przez różne urządzenia sieciowe. Na przykład program ping jest powiązany z rozsyłaniem wiadomości typu Echo. Dzięki pakietom Echo osoba atakująca może stworzyć mapę chronionej sieci znajdującą się za ścianą ogniową lub routerem. Osoba atakująca może także przeprowadzić atak typu DoS, zasypując docelowy adres IP dużą ilością takich pakietów. Za pomoca przeadresowania pakietów osoba atakująca może dokonać zmian w tablicy hostów.

Dla wychodzącego ruchu ICMP jeden typ wiadomości Echo może zostać przepuszczony. Chodzi o wiadomości typu Parametr Problem and Source Quench. Poza tym należy zablokować wszystkie wychodzące wiadomości ICMP. Za pomoca pakietów Echo użytkownik jest w stanie pingować zewnętrzne hosty. Pakiety Parametr Problem and Source Quench wzbogacają transmisję zawierając w nagłówku informację na temat występujących problemów. Dla przychodzącego ruchu ICMP można dopuścić do chronionej sieci następujące typy wiadomości: Echo Replay, Destination Reachable, Source Quench, Time Exceeded i Parametr Problem. Wszystkie pozostałe typy wiadomości ICMP należy zablokować.

• Chroń router, ścianę ogniową i chronioną część sieci przed pakietami traceroute. Traceroute jest narzędziem rysującym całą mapę skoków od źródła pakietu do jego celu. W systemach UNIX’owych tracerouter używa pakietów UDP, które przyczyniają się do generowania dodatkowych pakietów ICMP typu Time Exceede i Unreachable.
• Na routerze i ścianie ogniowej zatosuj filtr dopuszczający małą ilość połączeń Telnet. Włącz zapisywanie logów wszystkich udanych i nieudanych prób połączeń.
• Jeżeli na routerze lub ścianie ogniowej jest konieczne zastosowanie serwera SNMP, zastosuj filtr dopuszczający tylko małą ilość połączeń (tylko dla administratorów). Należy także włączyć zapisywanie logów wszystkich udanych i nieudanych prób połączeń.

Przykładowa konfiguracja routera Cisco -cz.2

Przykładowy scenariusz prowadzi krok po kroku jak dokonać dalszej konfiguracji.

• Poniższy przykład pokazuje jak można usunąć nieaktualną listę dostępu, zanim przystąpi się do konfiguracji nowej listy.

Router(config)#no access-list 100

Router(config)#access-list 100 permit ip 10.2.9.0 0.0.0.255 any
Router(config)#access-list 100 permit ip 10.55.1.0 0.0.0.255 any

• Poniższy przykład pokazuje jak włączyć logowanie trafień w rozszerzoną listę dostępu.

Router(config)#access-list 102 permit tcp 10.4.6.0 0.0.0.255 any eq 80
Router(config)#access-list deny ip any any log

Należy zapamiętać, że w każdym wpisie w liście dostępu domyślnie przyjęta jest wartość deny w każdym rodzaju routera Cisco. Powoduje to, że wszystkie pakiety, które nie są wyszeczegulnione jako dopuszczone do przejścia przez listę dostępu będą blokowane. Jednak domyślnie nie jest włączone logowanie zablokowanych trafień. Zastosowanie poniższych wyrażeń zagwarantuje, że router będzie logował numer portu źródłowego i docelowego dla pakietów TCP i UDP, które zostały zablokowane przez listę dostępu.

Router(config)#access-list 106 deny udp any range 0 65535 any range 0 65535 log
Router(config)#access-list 106 deny tcp any range 0 65535 any range 0 65535 log
Router(config)#access-list 106 ip any any log

• Poniższe dwa przykłady list dostępu zapobiegają podszywaniu się pod adresy IP.

Przykład pierwszy jest dla ochrony ruchu przychodzącego (np. dla sieci 14.211.150.0)

Router(config)#access-list 100 deny ip 14.211.150.0 0.0.0.255 any log
Router(config)#access-list 100 deny ip 127.0.0.0 0.255.255.255 any log
Router(config)#access-list 100 deny ip 10.0.0.0 0.255.255.255 any log
Router(config)#access-list 100 deny ip 172.16.0.0 0.15.255.255 any log
Router(config)#access-list 100 deny ip 192.168.0.0 0.0.255.255 any log
Router(config)#access-list 100 deny ip 224.0.0.0 15.255.255.255 any log
Router(config)#access-list 100 permit ip any 14.211.150.0 0.0.0.255
Router(config)#interface ethernet1/2
Router(config-if)#description “external interface”
Router(config-if)#ip address 25.73.1.250 255.255.255.248
Router(config-if)#access-group 100 in

Przykład drugi chroni ruch wychodzący z chronionej części sieci (np. 14.211.150.0)

Router(config)#access-list 102 permit ip 14.211.150.0 0.0.0.255 any
Router(config)#access-list 102 deny ip any any log
Router(config)#interface ethernet0/1
Router(config-if)#description “internal interface”
Router(config-if)#ip address 14.211.150.17 255.255.255.240
Router(config-if)#ip access-group 102 in

Należy zapamiętać, że na każdym interfejsie na routere można założyć dwie listy dostępu jedną dla pakietów przychodzących i jedną dla pakietów wychodzących.

• Następny przykład pokazuje jak chronić router przed zagrożeniem typu Land Attack.

Router(config)#access-list 101 deny ip host 198.26.171.178 host 198.26.171.178 log
Router(config)#access-list 101 permit ip any any
Router(config)#interface serial2/1
Router(config-if)#description “external interface”
Router(config-if)#ip addres 198.26.171.178 255.255.255.248
Router(config-if)#ip access-group 101 in

• Przykład pokazuje jak chronić router przed atakiem typu TCP SYN. Dwa scenariusze przedstawiają blokowanie dostępu z zewnątrz i limitowany dostęp z zewnątrz. Poniższy przykład przedstawia blokowanie dostępu do routera z zewnątrz. Lista dostępu blokuje wszystkie pakiety nadchodzące z zewnątrz, które są skierowane do chronionej części sieci i mają ustawioną tylko flagę SYN. Z chronionej części sieci (14.2.6.0) może się wydostać każdy pakiet TCP, jednocześnie lista blokuje cały nadchodzący ruch TCP.

Router(config)#access-list 100 permit tcp any 14.2.6.0 0.0.0.255 established
Router(config)#access-list 100 deny ip any any log
Router(config)#interface serial0/0
Router(config-if)#description “external interface”
Router(config-if)#ip acces-group 100 in

Następny przykład pozawala na limitowany dostęp do routera z zewnętrznej sieci. Używając właściwości protokołu TCP lista blokuje pakiety nadchodzące z nieosiągalnych hostów. Do chronionej części sieci mogą się przedostać tylko pakiety, z hostów które są osiągalne. W trybie intercept router ustala połączenie jeżeli zdalny host, który próbóje nawiązać komunikację jest osiągalny. Jeżeli host jest osiągalny połączenie jest nawiązane, a w przeciwnym wypadku router odmawia dalszej komunikacji. Lista ta nie chroni routera przed atakiem ze strony hostów, ktróe są osiągalne.
Router(config)#ip tcp intercept list 100
Router(config)#access-list 100 permit tcp any 14.2.6.0 0.0.0.255
Router(config)#access-list 100 deny ip any any log
Router(config)#interface ethernet0/0
Router(config-if)#description “external interface”
Router(config-if)#ip access-group in

• Ten przykład pokazuje jak pozwolić na wydostanie się z chronionej części sieci pakietom ICMP o następujacych typach: Echo, Parametr Problem, Source Quench.

Router(config)#access-list 102 permit icmp 14.2.6.0 0.0.0.255 any echo
Router(config)#access-list 102 permit icmp 14.2.6.0 0.0.0.255 any parametr-problem
Router(config)#access-list 102 permit icmp 14.2.6.0 0.0.0.255 any source-quench
Router(config)#access-list 102 deny icmp any any log

Ten przykład pokazuje jak pozwolić na to, żeby z zewnętrznej sieci mogły się wydostać pakiety ICMP z parametrami: Echo Reply, Destination Unreachable, Source Quench, Time Exceeded i Parametr Problem.

Router(config)#access-list 100 permit icmp any 14.2.6.0 0.0.0.255 echo-reply
Router(config)#access-list 100 permit icmp any 14.2.6.0 0.0.0.255 unreachable
Router(config)#access-list 100 permit icmp any 14.2.6.0 0.0.0.255 source-quench
Router(config)#access-list 100 permit icmp any 14.2.6.0 0.0.0.255 time-exceeded
Router(config)#access-list 100 permit icmp any 14.2.6.0 0.0.0.255 parametr-problem
Rputer(config)#access-list 100 deny icmp any any log

• Za pomocą tego przykładu zablokujemy na routerze nadchodzące z zewnątrz UNIX’owe pakiety traceroute.

Router(config)#access-list 111 deny udp any any range 33434 33534 log

* Przykład pokazuje jak można nawiązać z routerem sesję Telent z określonego hosta (adresu IP), który jest umieszczony w chronionej części sieci. W tym przykładzie chroniona sieć ma adres IP 14.4.4.0 i jej administrator może połączyć się za pomocą telnetu na dowolny interfejs routera. Router zaś konwertuje każdy adres IP do postaci 0.0.0.0. Ta rzadka i niecodzienna zamiana musi być zaznacozna w liście dostępu.

Router(config)#access-list 105 permit tcp host 14.4.4.10 host 0.0.0.0 eq 23 log
Router(config)#access-list 105 permit tcp host 14.4.4.11 host 0.0.0.0 eq 23 log
Router(config)#access-list 105 permit tcp host 14.4.4.12 host 0.0.0.0 eq 23 log
Router(config)#access-list 105 deny ip any any log
Router(config)#line vty 0 4
Router(config-line)#access-class 105 in

• Przykład pokazuje jak pozwolić na przepływ pakietów SNMP z określonego hosta w sieci wewnętrznej do routera. Adres IP sieci wewnętrznej to 14.4.4.0.

Router(config)#acces-list 10 permit 14.4.4.10
Router(config)#acces-list 10 permit 14.4.4.11
Router(config)#acces-list 10 permit 14.4.4.12
Router(config)#snmp-server community snmp72str1ng64 ro 10

Zapisywanie logów i debbugowanie

Zapisywanie logów na routerze lub ścianie ogniowej przynosi wiele korzyści. Dzięki logom administrator może sprawdzić, czy router lub ściana ogniowa działa prawidłowo, czy są jakieś problemy lub czy ktoś nie próbował zaatakować sieci.
Dla zapisywania logów i debbugowania należy zastosować następujące zalecenia:

• Logi o wysokim poziomie bezpieczeństwa powinny być wysłane na konsolę routera lub ściany ogniowej, a administrator powinien zostać o nich poinformowany.
• Wszystkie logi powinny być przesyłane do hosta logów. Powinien to być specjalnie wytypowany komputer umieszczony w chronionej części sieci i zajmujący się tylko zapisywaniem logów. Komputer ten poza funkcją Syslog powinien mieć wszystkie inne funkcje wyłączone.
• Należy skonfigurować router lub ścianę ogniową, tak aby zapisywane logi zawierały możliwie jak najwięcej informacji na temat czasu wystąpienia zdarzenia. Router lub ścianę ogniowa należy skonfigurować jako autoryzowany serwer Network Time Protocol (NTP), aby upewnić się, że czas wpisany w logach odpowiada rzeczywistemu czasowi wystąpienia zdarzenia. Wiadomości NTP należy rozesłać do wszystkich hostów w wewnętrznej sieci w celu synchronizacji czasu.
• Domyślnie informacje w logach powinny zawierać źródłowy adres IP, z którego pakiet został wysłany.
• Wreszcie można rozważyć natychmiastowe przesyłanie logów do detykowanej do tego celu drukarki sieciowej. Może to zabezpieczyć logi w przypadku awarii hosta logów.

Przykładowa knfiguracja routera Cisco -cz.3

W celu podwyższenia bezpieczeństwa logów zaleca sie zastosować poniższe sccenariusze.

• Należy włączyć zapisywanie logów.

Router(config)#logging on

• Za pomocą tego polecenia pojawiające się logi będą widoczne na konsoli routera. Poziom syslog należy ustawić na wartość 6 (informational) lub 7 (debbuging). Należy wyłączyć wyświetlanie logów na wszystkich terminalach z wyjątkiem consoli routera.

Router(config)#logging console informational
Router(config)#no logging monitor

• Należy ustawić adres IP hosta logów. Poziom Syslog należy ustawić, tak aby logi były wysyłane bezpośrednio do hosta logów. Dodatkowo należy ustawić typ wiadomości logów.

Router(config)#logging 10.1.1.200
Router(config)#logging trap debbuging
Router(config)#logging facility local7

• Następne polecenia pokazują przykład, jak można powiązać zapisywanie logów z informacjami na temat czasu.

Router(config)#ntp server 192.168.41.40
Router(config)#ntp server 192.168.41.41
Router(config)#ntp source ethernet0/1
Router(config)#service timestamps log datetime localtime show time-zone
Router(config)#service timestamps debug datetime localtime show time-zone
Router(config)#clock timezone EST -5
Router(config)#clock summer time EDT recurring

• Ostatni przykład pokazuje jak można zapisywać wszystkie logi z określonego interfejsu.

Router(config)#logging source-interface e0/1

Ostatnie zalecenia

Jest wysoce zalecane, aby pliki konfiguracyjne routera lub ściany ogniowej oraz pliki list dostępu przechowywać w formacie ASCII na komputerze nie podłączonym do żadnej sieci. Pliki powinny być dobrze opisane i mieć szczegułowe komentarze na temat ich zawartości. Posiadanie takich zapasowych kopii jest bezcenne podczas diagnozowania ataku, który może nastąpić w przyszłości. Komputer z tymi plikami także powinien być przechowywany w bezpiecznym miejscy, tak aby dostęp do niego miały tylko uprawnione osoby.

Czytaj dalej

• Nie ma artykułów dla Twojego zapytania.