Bezpečnost informačních systémů. semestrální projekt

Mendelova zemědělská a lesnická univerzita v Brně Provozně ekonomická fakulta Bezpečnost informačních systémů semestrální projekt Jiří Jaša Michal Kaláb Tomáš Malina Jan Zábojník Pavel Žák 5. 7. 2007, Brno

1 FIRMA...3 2 POČET ZAMĚSTNANCŮ...3 3 ROLE V PODNIKU...3 4 ORGANIZAČNÍ STRUKTURA PODNIKU...3 5 FYZICKÉ PROSTŘEDÍ...4 6 PODNIKOVÝ IS...5 6.1 Počítačová síť...5 6.2 Konfigurace počítačů a serverů...5 6.2.1 Osobní počítače...5 6.2.2 Servery...6 6.3 Připojení do internetu...6 6.4 Servery a databáze...6 6.4.1 Server č. 1 (Webový server + router + DNS server)...7 6.4.2 Server č. 2 (Databáze)...7 6.5 Elektronický katalog...7 7 ANALÝZA RIZIK A JEJICH ŘEŠENÍ...8 7.1 Bezpečnostní politika...8 7.2 Ohodnocení dat...8 7.3 Fyzická bezpečnost...8 7.4 Bezpečnost IS...8 7.4.1 Specifikace IS...8 7.4.2 Přerozdělení funkcí serverů...9 7.4.3 Wifi...9 7.4.4 Přidělování IP adres...10 7.4.5 Přístupová práva s školení pracovníků...10 7.5 Zálohování a obnova dat...10 7.6 Audity a Kontroly...10 8 REALIZACE A TESTOVÁNÍ NA EXPERIMENTÁLNÍ SÍTI...11 8.1 Topologie sítě...11 8.2 Konfigurace DNS...13 8.3 Firewall...13 8.4 Testování sítě...16 8.4.1 Testování DNS a routování mezi podsítěmi...16 8.4.2 Testování překladu adres NAT a DNS cachování...16 8.4.3 Základní testování firewallu port scanner...16 8.4.4 Komplexní testování firewallu pomocí penetračního nástroje...17 9 PŘÍLOHY...19 9.1 Konfigurace VLAN...19 9.2 Konfigurace DNS...20 2

1 Firma Malá firma rodinného typu, která poskytuje služby půjčovna knih, cd, dvd. 2 Počet zaměstnanců 10 15 3 Role v podniku Vedoucí podniku (Tomáš Malina): Majitel a vedoucí podniku, který rozhoduje téměř o všem. Vedoucími oddělení jsou mu předkládány návrhy a on je schvaluje. Správa IT (Pavel Žák): Spravuje počítače a počítačovou síť a stará se o jejich bezproblémový chod. Navrhuje řešení a inovace majiteli ke schválení. Bezpečnostní manažer (Jirka Jaša): Analyzuje bezpečnostní rizika a vytváří jejich řešení včetně cenové kalkulace. Vedoucí skladu (Michal Kaláb): Stará se o bezproblémový chod skladu, plní databázi knih, cd a dvd. Navrhuje majiteli zdokonalení. Marketingový manažer & manažer PR (Jan Zábojník): Stará se o prezentaci firmy směrem ven a také o všechny reklamní plochy uvnitř areálu půjčovny. Vytváří reklamní kampaně, které předkládá ke schválení. Běžný zaměstnanec (kdo má zrovna čas + stalí zaměstnanci): Sedí na přepážce u počítače a eviduje výpůjčky. Komunikuje se zákazníky a stará se o jejich spokojenost. Skladník (brigádníci podléhají vedoucímu skladu): Starají se o zakládání a vydávání knih, cd a dvd ze skladu. 4 Organizační struktura podniku O řízení firmy se stará Vedoucí a majitel firmy. Jemu podléhají přímo všichni zaměstnanci a on se také stará o přijímání nových. Brigádníci ve skladu potom podléhají Vedoucímu skladu. O účetnictví se stará externí firma. 3

5 Fyzické prostředí Budova ve které se nachází firma má tři podlaží. Suterén, přízemí a první patro. V suterénu se nachází servrovna a veškeré technické zázemí. Tato část budovy je zatím oddělena pouze skleněnými dveřmi. V místnosti pro servery je klimatizace. V přízemí se nachází přepážky pro evidenci všech výpůjček. Víceméně se jedná o velkou halu, ve které je pouze několik nosných sloupů. Hala je rozdělená na tři části. V jedné části jsou zmíněné přepážky, v druhé několik počítačů pro procházení elektronického katalogu půjčovny a ve třetí je sádrokartonovými příčkami oddělená studovna pro prohlížení knížek, které se mohou půjčovat pouze prezenčně. V první patře je pouze sklad. Sklad je také nepřístupný zákazníkům stejně jako suterén, ale zatím je oddělen pouze zamykatelnými skleněnými dveřmi. Všechny předměty k vypůjčování jsou uloženy v posuvných regálech, které šetří místo a usnadňují orientaci. Výhodou je také bezesporu to, že fungují pouze mechanicky a nepotřebují elektrický proud. Všechno je v nich chráněné proti prachu i proti neoprávněnému přístupu. Budova se nachází v městské části Brno Bystrc na ulici Píškova. Jediný přístup do budovy je hlavním vchodem. Na oknech v přízemí jsou mříže a suterén nemá okna, takže je k němu jediný přístup po vnitřním schodišti. V prvním patře jsou normální okna s žaluziemi 4

6 Podnikový IS 6.1 Počítačová síť Stolní počítače jsou připojeny pomocí UTP kabelu do switche. IP adresy jsou přidělovány pomocí DHCP serveru. V podniku se nachází 2 wifi sítě. Jedna je dostupná pouze v patře je určená pracovníkům pro připojení mobilních zařízení. Je realizována pomocí jednoho přístupového bodu Asus WL-500g Premium. Tato síť je chráněna pomocí WEP klíče o délce 64b. Druhá bezdrátová síť je řešena pomocí 3 přístupových bodů, stejných jako u firemní sítě. Síť je otevřená. Přístupové body firemní i zákaznické sítě jsou připojeny do switche. 6.2 Konfigurace počítačů a serverů 6.2.1 Osobní počítače Počítače u přepážek budou stejné jako pracovní stanice v přízemí, budou se lišit pouze periferiemi. Z důvodu maximální spolehlivosti a kompatibility padla volba na platformu Intel, konkrétně sestava brněnské společnosti Alfa Computer ALFA BX I115S. Sestava je přímo určena pro každodenní nasazení v kanceláři. Je vybavena pouze integrovanou grafickou kartou s pasivním chladičem, díky čemuž je mimořádně tichá. Alfa Computer navíc sestavy neplombuje, je proto možné dodatečně vyměnit zdroj či chladič procesoru za tišší beze ztráty záruky. case: Midi KME 5762 ATX 350W, P4, pozice 4x 5.25, 2x 3.5, černá, 2x USB 2.0, audio základní deska: socket 775, Intel 945G, integrovaná VGA, 1x PCIe x16, 3x PCI, 2x DDR2 533, 4x SATA, Gb Lan, audio procesor: Intel CeleronD 331-2.66GHz, 256kB, 533MHz FSB, 775 pin operační paměť: 512 MB DDR2 PC533 pevný disk: 80GB, SATAII/300, 7200ot./min., 8MB čtečka paměťových karet: SD/MMC/MS/SM/xD/CF I + II/MicroDrive DVD mechanika: DVD R/RW LG GSA-H42N, DVD+/-R9, IDE grafická karta: integrovaná operační systém: Microsoft Windows XP Home cena vč. OS: 10 094,- s DPH, 8 482,- bez DPH Ke každé sestavě bude dále dokoupen LCD monitor LG L1753S-SF s vysokým kontrastním poměrem 2000:1 od stejného dodavatele za 4 361,- vč. DPH (3 665,- bez DPH). Periferní zařízení veřejných pracovních stanic budou klávesnice a myši výrobcem doporučené k této sestavě myš Genius NetScroll 100 do portu PS/2 (103,- Kč) a klávesnice Microsoft Wired 500 PS/2 (250,- Kč). Výhodou je krom zaručené kompatibility i nízká pořizovací cena a jednotný výsledný design celé sestavy. U pokladních přepážek bude kladen větší důraz na komfortní ovládání, nízkozdvihovou klávesnici Logitech UltraX Keyboard (554,- Kč) tak doplní ergonomická laserová myš Genius Ergo 525 (588,- Kč). Bezdrátová zařízení nejsou do kancelářských prostor vhodná, neboť může docházet k vzájemnému rušení. 5

6.2.2 Servery Umístění v RACKU Switch, 24x LAN 10/100 (RJ45), Managed, do RACKu UPS APC Smart 1500VA Webový server + router + DNS server HP DL145G3 2210 HE NSATA EU Svr Databázový server Processor(s): (1) AMD Opteron processor Model 2210 HE (1.8 GHz (68W), 1MB Level 2 cache per core. Memory: 1 GB (2 x 512 MB) PC2-5300 DDR2 DIMMs (667MHz) with Advanced ECC capabilities. Network Controller: NC326i PCIe Dual Port Gigabit Server Adapter. Storage Controller: HP Embedded SATA Controller. Hard Drive: 80GB NHP SATA HDD. Optical Drive: DVD-ROM Form Factor: Rack Mount HP DL385G2 HE 2216 EU Svr 6.3 Připojení do internetu Processor(s): (1) Dual-Core AMD Opteron 2216 HEProcessor (2.4 GHz, 68 Watts), 2MB(2x 1MB) Level 2 cache Memory: 2 GB (2x 1 GB) PC2-5300 DIMMs (DDR2-667)with Advanced ECCcapabilities. Network Controller: Embedded NC371iMFN GigabitServer Adapters. Storage Controller: HPSmart Array P400/256MBController (RAID 0/1/5). HardDrive: 3x 80GB NHP SATA HDD (2 x RAID 1) Optical Drive: DVD ROM Form Factor: Rack Mount Celá budova je připojena do internetu pomocí služeb firmy Netbox a to rychlostí 4096 kbps download i upload. V dané lokalitě je toto připojení bez problémů dostupné. 6.4 Servery a databáze Operační systém Debian 4.0 s jádrem 2.6.x.x 6

6.4.1 Server č. 1 (Webový server + router + DNS server) Funguje jako router, aktivován překlad adres (MASQUERADE). Internetová přípojka je připojena do jednoho z portů síťové karty, z druhého vede kabel do switche. Jako webový server je použit Apache 2 s PHP 5.1.x Překlad adres je řešen pomocí aplikace Bind9 Na serveru dále běží DHCP server a software pro práci s UPS (apcusd) 6.4.2 Server č. 2 (Databáze) Databáze ORACLE Systém běží na prvních 2 discích, které jsou v RAIDu 0. Třetí disk je použit jako zálohovací, každý den se zálohuje databáze na tento disk. Server je připojen do sítě přes switch. 6.5 Elektronický katalog Elektronický katalog běží na serveru č. 1 a je přístupný na všech počítačích ve firmě a také prostřednictvím sítě internet všude mimo firmu. Zákazníci se v tomto katalogu mohou zaregistrovat a pomocí internetu si zamluvit knihy, CD nebo DVD. 7

7 Analýza rizik a jejich řešení 7.1 Bezpečnostní politika Ve firmě byla do této doby aplikována liberální bezpečnostní politika. Po úpravách bezpečnosti by mělo dojít k aplikaci racionální bezpečnostní politiky se vším co k tomu patří. Znamená to, že všichni zaměstnanci nebudou mít přístup všude a také bude kladen vyšší důraz na zabezpečení. 7.2 Ohodnocení dat Na serverech je několik typů dat, která je nutné zabezpečit proti neoprávněnému přístupu. Jednak tam jsou uleženy databáze, které obsahují data o předmětech výpůjčky. Tato data nejsou moc choulostivá a v případě výpadku by i díky zálohování nedošlo k finanční újmě. Hůře jsou na tom data zákazníků, kteří jsou registrovaní pomocí internetového portálu. Jejich data je totiž nutné chránit podle zákona a kdyby došlo k jejich úniku, tak by mohlo dojít k jejich zneužití. V případě výpadku této databáze by však také nebyl velký problém. Horší je to s firemními daty. Tato data je nutné chránit na nejvyšší možnou míru a pečlivě je pravidelně zálohovat a také mít neustále po ruce. 7.3 Fyzická bezpečnost Budova jako taková je dostatečně chráněná proti neoprávněnému vniknutí. Jediný problém je uvnitř a to jsou skleněné dveře do oddělení, kam nemají přístup zákazníci. Tyto dveře bude nutné vyměnit za protipožární s bezpečnostním zámkem od kterého bude mít klíče jenom vedení podniku a pracovníci z oddělení IT. Servery již byly v klimatizovaném prostředí s protipožárními opatřeními, která jsou pravidelně kontrolována, takže z této strany žádné riziko nehrozí. Servery jsou také už vybaveny UPS pro případ výpadku energie. 7.4 Bezpečnost IS Je potřeba striktně rozdělit zaměstnaneckou síť od bezdrátové wifi, která je dostupná zákazníkům. Tento problém by bylo vhodné řešit vhodnou konfigurací switche pomocí VLANu. 7.4.1 Specifikace IS Informační systém umožňuje komplexní vedení informací o jednotlivých zákaznících a aktuálním stavu položek v půjčovně. Mohou ho využívat jak zaměstnanci firmy, tak i jednotliví zákazníci, a to k prohlížení stavu inventáře a realizování výpůjček a rezervací. Hlavním úkolem systému je nabídnout zákazníkům možnost listovat katalogem knih a ostatních předmětů výpůjčky, těm registrovaným pak také zajistit informace o jejich dostupnosti. V případě momentální nedostupnosti umožní systém vybrané položky rezervovat. Zaměstnancům a vedení půjčovny pak nabízí přesný přehled o aktuálním stavu inventáře a o vztazích se zákazníky. Systém by měl také hlídat čas výpůjček a upozorňovat na překročení doby na kterou byla výpůjčka sjednána. Dále bude systém evidovat platby za půjčovné a platby případných penále za pozdní vratky. 8

Systém poskytuje informace o všech položkách v inventáři. To znamená název, autory, vydavatele, datum vydání, zařazení atd. Každá položka má svůj unikátní kód, součástí záznamu je také údaj o ceně. Dále bude systém obsahovat informace o každém registrovaném zákazníkovy. Tj. jméno, příjmení, rodné číslo, adresa atd. Každý zákazník dostane přidělený unikátní kód a zvolí si své heslo. Unikátní kód by mohl být spojený se zákaznickou čipovou kartou. Systém musí nabízet samozřejmě také přehled o tom, které položky má zákazník aktuálně půjčené, a do kdy má výpůjčky sjednány. Uživatelé přistupují do informačního systému v několika rolích: Zaměstnanec - Měl by mít možnost vyhledávat v databázi půjčovny i v databázi zákazníků a zadávat a měnit informace o zákazníkovi, a to buď při registraci nebo při změně některých údajů. Měl by mít právo modifikace informací týkajících se rezervace. Dále zaměstnanec půjčující jakékoli tituly jednotlivým zákazníkům musí mít možnost zanést tuto informaci do informačního systému. Pokud má zákazník titul půjčený delší dobu, než na jakou bylo vypůjčení sjednáno musí na to být zaměstnanec upozorněn systémem a následně zákazníka kontaktovat. Registrovaný zákazník - Registrovaný zákazník se přes svoje unikátní číslo a heslo může připojit do systému pomocí internetu. Může samozřejmě zjistit stav požadovaných titulů. To znamená, jsou-li k dispozici, jsou-li půjčené, nebo rezervované. Pokud je vybavení k dispozici, může si jej ihned rezervovat. Pokud je vybavení zrovna půjčené, je rezervace automaticky udělána na datum vrácení. Zákazník je o tom informován a je povinen si titul do 2 dnů půjčit, jinak rezervace propadá. Neregistrovaný zákazník - Může pouze listovat katalogem. Vedoucí skladu - Jako jediný má možnost měnit měnit obsah databáze skladu. Nemůže naopak zasahovat do databáze zákazníků, ani měnit záznamy o výpůjčkách a rezervacích. Vedoucí podniku - Má stejná práva jako zaměstnanec, plus navíc může zasahovat do databáze skladu a hlavně má právo evidovat databázi zaměstnanců a přistupovat prakticky neomezeně ke všem podnikovým datům. Správce IT, bezpečnostní manager - Má prakticky neomezený přístup k podnikovým datům, na všechny servery i k obsahu databází, mimo databázi skladu a zaměstnanců. 7.4.2 Přerozdělení funkcí serverů Dále do RACKu přibude nový server, který se bude starat o routování, DNS server a DHCP. Server na kterém poběží webový server se přesune spolecně s databázovým serverem do demilitarizované zóny za routovací stroj. Kromě webového serveru poběží ještě SAMBA, pomocí ní bude sdílen prostor pro zaměstnance (účetnictví,...). K databázi bude přístup pouze ze zaměstnanecké sítě a z venčí pouze přes webový server (PHP bude pracovat s databází). 7.4.3 Wifi Zaměstnanecká wifi síť bude zabezpečena pomocí WPA TKIP kódování a budou filtrovány MAC adresy zařízení. Na Access point se bude možné připojit jen za pomocí povolených wifi karet. Wifi síť pro zákazníky zůstane ne-zabezpečená, ale už z ní nebude možno přistupovat k databázi a do zaměstnaneckých PC. Na routovacím 9

PC poběží pro tuto wifi síť shaper, který bude omezovat maximální rychlost pro návštěvníky využívající bezdrátového připojení na 512/512, díky tomuto opatření nebude docházet k přetížení linky. 7.4.4 Přidělování IP adres O přidělování adres se bude starat nový server, na kterém poběží DHCP server, který bude mít předdefinovanou databázi IP a MAC adres (určitá MAC adresa dostane vždy stejnou IP). Se síťovými kartami, jejichž MAC adresa nebude zadána v DHCP serveru nebude server komunikovat (pakety budou zahazovány). Toto neplatí pro veřejnou wifi síť kde budou IP adresy přidělovány všem klientům. 7.4.5 Přístupová práva s školení pracovníků Při jakýchkoliv změnách v podnikovém IS bude prováděno proškolení zaměstnancům jehož součástí bude vždy seznámení se všemi novinkami. Toto školení bude mít na zodpovědnost manažer bezpečnosti. Také se bude dohlížet, aby zaměstnanci nepoužívali triviální hesla pro přístup do systému a také aby je pravidelně jednou za rok měnili. Bude platit zákaz instalování vlastního (neověřeného) software do pracovních stanic. 7.5 Zálohování a obnova dat Databáze bude každý den v 00:00 na serveru zálohována na 3. disk. Zálohy budou z důvodu nedostatku místa na serveru přepisovány vždy po týdnu. Každých 14 dní se databáze zabalí to archivu a bude vypálena na DVD. Účetnictví bude zálohování podobně jako u databáze, záloha každý den týden zpátky. Měsíční zálohování na optické médium. V případě výpadku dat nebo havárie na některém ze serverů budou pracovníci IT oddělení neprodleně pracovat na řešení problému. První bude vždy nutné obnovit firemní data a následovat budou teprve databáze a internetový katalog. Za veškeré výpadky na IS a na počítačové síti mají zodpovědnost manažer IT a manažer bezpečnosti. 7.6 Audity a Kontroly Pravidelně jednou za tři měsíce budou prováděny kontroly bezpečnosti IS a počítačové sítě. Pro tyto kontroly bude najímána externí firma, která bude hledat mezery a slabá místa. Bude také pravidelně periodicky testován postup při výpadku elektrické energie. V případě nedostatků budou aktualizovány havarijní plány. 10

8 Realizace a testování na experimentální síti Pro testování vzniklých poznatků posloužila experimentální síť v účebně Q15 v budově Provozně ekonomické fakulty MZLU (Obrázek 1). Tato sít se skládá z šesti počítačů a swiche Cisco Catallist 2950. Swich je konfigurovatelný a podporuje VLANy, což bylo potřebné, aby bylo možné rozdělit síť na několik podsítí. Jeden počítač také slouží jako router a jeden jako server. Tato síť byla prve rozdělena pomocí VLAN na několik podsítí a některé počítače posloužili i pro simulaci počítače, který se k síti připojí přes internet. Nasledně byl na všech částech vnitřní sítě nainstalován DNS (Domain Name System). Jako name server pro tuto službu posloužil již zmíněný router. Dále byla také na routeru nainstalována firewall, pro možnost zabránit nepovolaným osobám v přístupu do sítě a hlavně potlačení bezpečnostních rizik pro servery v DMZ a celou podnikovou síť. Po provedení všech potřebných konfigurací bylo provedeno testování pomocí programů k tomu určených a to v operačním systému linux i windows. Všechny konfigurace a výsledky testování budou předmětem dalších částí této práce. Obrázek 1: Počítačová síť v Q15 8.1 Topologie sítě Stávající síť v učebně Q15 byla pomocí VLAN rozdělena na čtyři části (Obrázek 2). Zvláštní pozici zde má router, který je součástí všech virtuálních sítí. Vzhledem k omezenému počtu počítačů je pro všechny úkoly dvou firemních serverů v demilitarizované zóně použit pouze jeden počítač. To však pro účely testování bohatě postačí. Celá síť je připojena do sítě internet pomocí notebooku, který je vybaven Wifi kartou a přes ní připojen do školní sítě Faro. Na stejné úrovni jako zmíněný notebook je počítač rejpal4, který má v síti simulovat přístup z internetu ke službám firemních serverů a při testech také představuje stroj potenciálního útočníka. Ostatní pracovní stanice (rejpal 1 3) představují vnitřní firemní síť, která se skládá ze dvou částí. První částí jsou počítače zaměstnanců knihovny a druhá část jsou počítače pro veřejnost, které jsou v budově knihovny. 11

Obrázek 2: Topologie sítě 12

8.2 Konfigurace DNS DNS neboli Domain Name System je hierarchický systém doménových jmen, který je realizován servery DNS a protokolem dns, kterým si vyměňují informace. Jeho hlavním úkolem jsou vzájemné převody doménových jmen a IP adres uzlů sítě. Protokol pro předávání informací využívá TCP i UDP port 53. V našem případě tyto služby poskytuje na síti router, kde jsou nakonfigurované zonové soubory (viz příloha) a na každém stroji je pak už jenom správně nakonfigurovaný soubor resolv.conf, ve kterém je pouze zapsaný název domény a ip adresa primárního nebo i dalších dns serverů. V našem případě stačí pouze ip adresa primárního serveru, protože v tak malé a testovací síti není třeba zřizovat sekundární nebo caching server. Při konfiguraci DNS serveru je potřeba nastavit správný obsah několika souborům. Hlavním souborem je soubor named.conf, ve kterém jsou definovány zónové soubory a to jak základní, tak reverzní pro každou podsíť zvlášť. V základním zónovém souboru jsou pak pomocí záznamů typu NS, A, CNAME a MX přiřazeny adresy k jménům počítače, případně také nastaven alias serveru, server zodpovědný za posílání pošty nebo name server. V příloze je zobrazen celý obsah takového zónového souboru. V reverzních zónových souborech jsou pak pro každou podsíť přiřazena jména počítačů k jejich adresám pomocí záznamu typu PTR. Každý zónový soubor ještě musí začínat záznamem SOA (Start Of Autority), který určuje name server, který je zodpovědný za danou zónu. 8.3 Firewall V síti tohoto rozsahu a parametrů postačí firewall řešený pomocí iptables. Pro zvýšení přehlednosti a snazší provádění změn jsou ve scriptu jako první krok zavedeny proměnné zastupující jednotlivé podsítě a také WAN rozhraní. LAN1=vlan4 LAN2=vlan5 LAN3=vlan6 WAN=vlan3 První kontrolní výpis potvrzuje zpuštění skriptu a nastavení proměnných echo "Zapinam firewall:" echo "LAN1 rozhrani: $LAN1" echo "LAN2 rozhrani: $LAN2" echo "LAN3 rozhrani: $LAN3" echo "WAN rozhrani: $WAN" echo "--------------------------------------" 13

Nejprve je potřeba zrušit všechna stávající pravidla, aby nedošlo k pozdějším chybám vzniklým vzájemným rušením pravidel, nebo naopak přehlédnutím některého z dřívějších nastavení. echo "Rusim stavajici pravidla..." Nastavení politiky na DROP tzn. všechna data budou zahozena. iptables -P INPUT DROP iptables -P FORWARD DROP Smazání předchozích pravidel. iptables -F iptables -t nat -F iptables -t mangle -F iptables -X Nyní je možné bez obav zadávat nová pravidla. Povolení provozu na rozhraní looback, tedy povolení vnitřní komunikace procesů. iptables -A INPUT -i lo -j ACCEPT Jako další krok je třeba povolit průchod vyžádaným datům, tedy odezvám na žádosti vyslané z vnitřní sítě. iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -m state --state NEW -i! $WAN -j ACCEPT iptables -A FORWARD -i $WAN -o $LAN1 -m state --state ESTABLIS- HED,RELATED -j ACCEPT iptables -A FORWARD -i $WAN -o $LAN2 -m state --state ESTABLIS- HED,RELATED -j ACCEPT iptables -A FORWARD -i $WAN -o $LAN3 -m state --state ESTABLIS- HED,RELATED -j ACCEPT "Cesta ven" nepředstavuje pro síť žádné ohrožení a je tedy možné ji povolit ze všech tří vnitřních sítí. V tomto případě je to spíše nutné než možné, protože s přístupem ven se počítá. iptables -A FORWARD -i $LAN1 -o $WAN -j ACCEPT 14

iptables -A FORWARD -i $LAN2 -o $WAN -j ACCEPT iptables -A FORWARD -i $LAN3 -o $WAN -j ACCEPT Maškaráda, tedy překlad... v tomto případě je třeba všechny požadavky příchozí na portu 80 směrovat na adresu 10.0.1.2, kde na portu 80 naslouchá webový server. echo "Zapinam maskaradu..." iptables -t nat -A POSTROUTING -o $WAN -j MASQUERADE iptables -t nat -A PREROUTING -p tcp --dport 80 -i $WAN -j DNAT --todestination 10.0.1.2:80 iptables -A FORWARD -p tcp --dport 80 -i $WAN -j ACCEPT Z důvodu možnosti vzdálené správy je třeba povolit SSH, tedy packety jdoucí z venčí na port 22 echo "Povoluji porty..." iptables -A INPUT -m state --state NEW -i $WAN -p tcp --dport 22 -j ACCEPT Zákaz použití vnitřního POP3 serveru z venčí...každý packet příchozí na port 113 je zahozen a zpět zasláno hlášení o chybě. iptables -A INPUT -i $WAN -p TCP --dport 113 -j REJECT Na závěr je třeba zakázat přístup z venčí do všech 3 vnitřních sítí. Z důvodu snížení prodlev a tím i vytížení systému je zde vhodné použít pravidlo REJECT, které zašle žadateli chybovou zprávu a spojení ukončí. iptables -A FORWARD -i $WAN -o $LAN1 -j REJECT iptables -A FORWARD -i $WAN -o $LAN2 -j REJECT iptables -A FORWARD -i $WAN -o $LAN3 -j REJECT Je také praktické provést kontrolní výpis, který potvrzuje dokončení průběhu skriptu echo "Done ;-)" 15

8.4 Testování sítě Testovaní nastavení experimentální sítě v našem případě znamenalo ověřit správné nastavení konfiguračních souborů požadovaných aplikací. 8.4.1 Testování DNS a routování mezi podsítěmi K prověření byl použit program ping, který využívá protokolu ICMP. Tato aplikace provoěří, jak nastavení DNS (před zasláním ICMP paketu si požádá o IP adresu DNS server), tak routování (pokud paket není určen do stejné podsítě, je nutné aby prošel přes router). root@ rejpal3:~# ping -c 1 server PING server (10.0.1.2): 56 data bytes 64 bytes from server (10.0.1.2): icmp_seq=0 ttl=127 time=0.8 ms --- server ping statistics --- 1 packets transmitted, 1 packets received, 0% packet loss round-trip min/avg/max = 0.8/0.8/0.8 ms 8.4.2 Testování překladu adres NAT a DNS cachování Cílem tohoto testu je zjistit zda funguje směrování z lokální (vnitřní) sítě do sítě vnější. Router byl v průběhu testů připojen do sítě internet pomocí notebooku, který byl připojen do školní sítě Faro. Pro toto testování byla opět zvolena aplikace ping, která si pomocí DNS nejdříve zjistí IP adresu počítače ležícího mimo síť a poté zašle na tuto adresu ICMP paket, který musí projít procesem překladu adres na routeru, směřujícím mimo lokální síť. root@rejpal3:~# ping -c 1 www.google.com PING www.l.google.com (209.85.129.147): 56 data bytes 64 bytes from 209.85.129.147: icmp_seq=0 ttl=244 time=22.4 ms --- www.l.google.com ping statistics --- 1 packets transmitted, 1 packets received, 0% packet loss round-trip min/avg/max = 22.4/22.4/22.4 ms 8.4.3 Základní testování firewallu port scanner Jednou ze základních vlastností, které by se měli u firewallu zjišťovat jsou otevřené porty. Pro prověření požadované IP adresy slouží aplikace nmap. Tento port scanner prověří služby poskytované zkoumaným počítačem v síti. Pro scanování portů byl použit počítač, simulující počítač útočníka 10.0.4.11. root@site:~#:~$ nmap -P0 10.0.4.1 Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2007-07-04 23:06 CEST 16

Interesting ports on 10.0.4.1: Not shown: 1677 filtered ports PORT STATE SERVICE 22/tcp open ssh 80/tcp open http 113/tcp closed auth Nmap finished: 1 IP address (1 host up) scanned in 31.255 seconds Z vnější sítě je tedy možný přístup pouze na porty 80 a 22, ostatní porty jsou blokovány a přístup na ně není možný. 8.4.4 Komplexní testování firewallu pomocí penetračního nástroje Pro komplexní testování firewallu byla použita aplikace Nessus, která nezkoumá pouze otevřené porty, ale také nastavení a zranitelnost jednotlivých sítových aplikací, které běží na serveru. Výstupem tohoto programu je log, který shrnuje zranitelná místa testovaného počítače. Testování jsme prováděli 2mi různými verzemi programu Nessus. K prvnímu měření byl použit opět počítač představující počítač potencionálního útočníka a k druhému byl použit notebook s novější verzí programu Nessus, běžící na OS Windows XP. Výsledky obou testování byly ale totožné. obrázek 3: Graf znázorňující bezpečnostní rizika Program Nessus odhalil také otevřené porty 80 a 22 a zjistil bezpečnostní rizika zkoumaného počítače, které graficky znázornil: obrázek 3: Graf znázorňující bezpečnostní rizika. Nalezené chyby: o ssh (22/tcp) aplikace zjistila, že na tomto portu běží SSH server. Jako bezpečnostní riziko bylo označena verze serveru. Na routeru byla nainstalována aplikace SSH-1.99-OpenSSH_3.6.1p2. Tato verze byla označena za starou a je doporučeno nainstalovat novější verzi SSH serveru. Dále je také doporučeno vypnout možnost přihlášení pomocí protokolu SSH1 a povolit pouze možnost SSH2. Tento problém byl označen za středně vysoké bezpečnostní riziko. 17

o http (80/tcp) Nessus zjistil, že na tomto portu běží webový server Apache/2.0.49. Tuto verzi také označil za zastaralou a je doporučováno nainstalovat novější verzi 2.0.50 a novější. Stará verze webového serveru byla zanalyzována jako vysoké bezpečnostní riziko. Nainstalování nové verze webového serveru bylo bohužel nad naše časové možnosti, nemohli jsme proto tuto chybu odstranit a ozkoušet testování znovu. Při testování komplexním nástrojem byly odhaleny slabosti testovací sítě, ale celkový výsledek testu se dá označit za pozitivní. Zajímal nás především firewall a servery SSH a Apache jsme nechali původní, tak jak byly v učebně nainstalovány. 18

9 Přílohy 9.1 Konfigurace VLAN #!/bin/bash echo echo "Konfigurace VLAN pro Pocitacove site" # IP fyzickeho rozhrani ifconfig eth0 10.0.0.3 netmask 255.255.255.0 up # Zavedeni modulu 802.1q modprobe 8021q # Nastaveni jmen VLAN vconfig set_name_type VLAN_PLUS_VID_NO_PAD # Pridani rozhrani VLAN vconfig add eth0 3 vconfig add eth0 4 vconfig add eth0 5 vconfig add eth0 6 # Konfigurace rozhrani VLAN ifconfig vlan3 10.0.4.11 netmask 255.255.255.0 up ifconfig vlan4 10.0.2.1 netmask 255.255.255.0 up ifconfig vlan5 10.0.3.1 netmask 255.255.255.0 up ifconfig vlan6 10.0.1.1 netmask 255.255.255.0 up route add default gw 10.0.4.10 echo 19

9.2 Konfigurace DNS Definice zón v souboru /var/named/chroot/etc/named.conf zone "ps.ei" { type master; file "db.root"; }; zone "1.0.10.in-addr.arpa" { type master; file "db.a"; allow-update { none; }; }; zone "2.0.10.in-addr.arpa" { type master; file "db.b"; allow-update { none; }; }; zone "3.0.10.in-addr.arpa" { type master; file "db.c"; allow-update { none; }; }; Základní zónový soubor db.root @ IN SOA ps.ei. root ( 1;seriove cislo 86400;refresh 3600;hodina retry 88000; expire 86400; TTL ) ps.ei. IN NS server server IN A 10.0.1.2 20

www IN CNAME server ftp IN CNAME server smtp IN CNAME server ;nameserver IN CNAME server ;server rejpal1 IN A 10.0.2.2 rejpal2 IN A 10.0.2.3 rejpal3 IN A 10.0.3.2 Reverzní zónové soubory: db.a @ IN SOA 1.0.10.in-addr.arpa. root ( 1;seriove cislo 86400;refresh 3600;hodina retry 88000; expire 86400; TTL ); IN NS server.ps.ei. 2 IN PTR server.ps.ei. db.b @ IN SOA 2.0.10.in-addr.arpa. root ( 1;seriove cislo 86400;refresh 3600;hodina retry 88000; expire 86400; TTL ); IN NS server.ps.ei. 2 IN PTR rejpal1.ps.ei. 3 IN PTR rejpal2.ps.ei. 21

db.c @ IN SOA 3.0.10.in-addr.arpa. root ( 1;seriove cislo 86400;refresh 3600;hodina retry 88000; expire 86400; TTL ); IN NS server.ps.ei. 2 IN PTR rejpal3.ps.ei. 3 IN PTR rejpal4.ps.ei. 22