LABORATIONSRAPPORT Säkerhet och Sårbarhet Laboration 1 Brandväggar



Relevanta dokument
LABORATIONSRAPPORT Säkerhet & Sårbarhet VPN

============================================================================

Övningar - Datorkommunikation

Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

Ver Guide. Nätverk

Säkerhet genom simpel nätverksutrustning. Högskoleingenjörsexamensarbete Fredrik Folke

MRD Industriell 3G-Router KI00283C

3. Steg för steg. Kör IPv6 på riktigt med FortiGate! Principen är enkel:

Linuxadministration I 1DV417 - Laboration 4 Nätverk, DHCP, säkerhetskopiering, processhantering, Samba och NFS

Åtkomst och användarhandledning

Topologi. Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

Att sätta upp en IPsec-förbindelse med mobil klient. Lisa Hallingström Paul Donald

Fjärruppkoppling med MRD Industriell 3G-Router KI00282A

Installationsanvisningar

ELMIA WLAN (INTERNET)

FlexiTid Extern webbokning. Copyright Datatal AB. Med ensamrätt. Copyright 2013 Datatal AB. All rights reserved.

Switch- och WAN- teknik. F7: ACL och Teleworker Services

Installation av. Vitec Online

IT för personligt arbete F2

Brandväggar. Brandväggar. Netlter/iptables. Grupp 13 Andreas Önnebring Markus Månsson 21 februari 2008

Linuxadministration I 1DV417 - Laboration 5 Brandvägg och DNS. Marcus Wilhelmsson marcus.wilhelmsson@lnu.se 19 februari 2013

Önskemål kring Studentstadens bredband och UpUnet-S

Att sätta upp en IPsec-förbindelse mellan två Ingate-brandväggar/SIParatorer (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

SKA v6. Godkänd: Rev: April. SKA v6 1(19)

Förebyggande Råd från Sveriges IT-incidentcentrum

Datorhårdvaruteknik 1DV426 - Laboration Clustring och migrering av cluster från FibreChannel till iscsi

F2 Exchange EC Utbildning AB

FIBER. Installationshandbok. Rev

Rättningstiden är i normalfall 15 arbetsdagar och resultat anslås sedan i Ladok inom en vecka (under förutsättning att inget oförutsett inträffar).

Krav på kundens LAN och gränssnitt ProLane

Säkerhetslösningar för Enterprisenät

Kapitel 1 Ansluta Router till Internet

Hjälpprotokoll till IP

ZACI är den programvara som är navet i kommunikationen när det gäller kortbetalningar.

Installation av digitala enheter

Grundläggande nätverksteknik. F3: Kapitel 4 och 5

TSBK 10 Teknik för avancerade datorspel Fö 9: Nätverk, Peter Johansson, ISY

Instuderingsfrågor ETS052 Datorkommuniktion

IP Från användare till användare Vägval DNS Jens A Andersson (Maria Kihl) Att skicka data över flera länkar. Nätprotokoll

God nätverksdesign och distribuerade brandväggar. Patrik Fältström

IPv6 EN GOD BÖRJAN GER ETT GOTT SLUT. LÅT OSS BÖRJA.

Totalt antal poäng på tentamen: 50 För att få respektive betyg krävs: U<20, 3>=20, 4>=30, 5>=40

Program för skrivarhantering

Förslag externt VÄLKOMMEN TILL EN VÄRLD AV MÖJLIGHETER. HEJ! VAD HÄNDER NU?

Hur BitTorrent fungerar

1. Beskrivning av ingående komponenter

Kapitel 1 Ansluta routern till Internet

Viktigt! Glöm inte att skriva Tentamenskod på alla blad du lämnar in.

Installationsmanual för Tyfon ADSL

LABORATIONSRAPPORT Operativsystem 1 Laboration 1, Ghost, pingpong och Windows 2003 installation

IT-arbetsplats med distansåtkomst

EXTREME NETWORKS IP SÄKERHET. i EXOS relaterat SSnFs SKA krav

5 Internet, TCP/IP och Tillämpningar

Slutrapport SKA fas två. Godkänd: Rev: Maj. Rapport SKA 1(8)

F6 Exchange EC Utbildning AB

Krav på kundens LAN och gränssnitt DataNet

TCP/IP och Internetadressering

Edgecore SKA 3.1 certifiering

Webbservrar, severskript & webbproduktion

Real-time requirements for online games

3) Routern kontrollerar nu om destinationen återfinns i Routingtabellen av för att se om det finns en väg (route) till denna remote ost.

Kurs: Windowsadministration II, 1DV424 Datum: Förberedelseuppgift

Planering och RA/DHCPv6 i detalj

Systemkrav och tekniska förutsättningar

1 Översikt. 1.1 Koncept 1 (19) Tomas Rook Dokument typ Rev. Manual

Att sätta upp trådlöst med Cisco Controller 2100 series och Cisco AP 1200 series

Föreläsning 3. Datorkunskap 50p Marcus Weiderstål Bromma Gymnasium

Att bygga VPN. Agenda. Kenneth Löfstrand, IP-Solutions AB. Olika VPN scenarios. IPsec LAN - LAN. IPsec host - host SSH

Datakommunika,on på Internet

Konfiguration av LUPP synkronisering

Användarhandbok. Linksys PLEK500. Powerline-nätverksadapter

Handbok för nätverk. För säker och korrekt användning, läs igenom säkerhetsinformationen i "Handbok för kopiator" innan du använder maskinen.

Internetdagarna Petter Claesson Systems Engineer introduktion. Ljudkvalitet

TEKNISK SPECIFIKATION. för TIDOMAT Portal version 1.3.1

Att sätta upp en IPsec-förbindelse med NAT (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

LABORATION 1 Pingpong och Installation av Server 2008 R2

2 Testa Internet utan routern först!

Projekt i Nätverksprogrammering. MegaNet Handledare: Pierre Nugues

Innehåll. 1 Om detta dokument. 1 Om detta dokument 1. 2 Kundnytta Introduktion till BACnet 2

Routerinställning. Denna guide tar dig genom de enkla steg som behövs för att ställa in routern så den fungerar trådlöst.

Introduktion Lync-/SfB-Infrastruktur Cellips infrastruktur Brandväggskrav Lync/SfB Server PSTN Gateway...

Vilka är vi. Magnus Ahltorp KTHLAN Ragnar Sundblad KTHLAN & NADA

LAN Port: 4 X RJ45 10/100BASE-TX Fast Ethernet med Auto MDI/MDIX. Resetknapp: Återställer enheten till fabriks inställningar

Säker IP telefoni? Hakan Nohre, CISSP

Handbok Remote Access TBRA

DI a/11g Dualband 108Mbps trådlös router

Bildslinga Användarguide

Snabbguide Installation Linkmanager och ansluta till SiteManager

Kapitel 6, 7, 8 o 9: Data och protokoll. LUNET o SUNET

The Pirate Bay-rättegången, dag 6 Fritt nedtecknat

Milesight Motion Detection V1.0

Konfiguration av synkronisering fo r MSB RIB Lupp

IPTABLES från grunden. Anders Sikvall, Sommarhack 2015

Föregående föreläsning. Dagens föreläsning. Brandväggar - Vad är det? Säker överföring. Distribuerad autenticering.

Konfigurera Xenta från Point

Startanvisning för Bornets Internet

Ethernet-anslutning. För mer information om skrivarens Ethernet-funktion klickar du på avsnittet nedan: Ethernet-lampor. nätverkskonfigurationssida

Installationsanvisning för Access Direct Bredbands Adapter - Till kortterminalen Point S3000

Så här gör du för att lägga till nytt e-postkonto i Windows 8. Öppna E-post från startskärmen.

Transkript:

LABORATIONSRAPPORT Säkerhet och Sårbarhet Laboration 1 Laborant/er: Klass: Laborationsansvarig: Robin Cedermark Erik Gylemo Jimmy Johansson Oskar Löwendahl Jakob Åberg DD12 Martin Andersson Hans Ericsson Utskriftsdatum: 2013-04-02 Godkänd / Ej Godkänd den Signatur: Ev anm:

1 Syfte Att få en inblick i hur man praktiskt sätter upp en brandvägg för ett mindre till medelstort företag, enligt DMZ-modellen. 2 Förberedelser En föreläsning om brandväggar och grundläggande konfigurerande av hem- brandväggar. 3 Genomförande 3.1 Stateful och Stateless En Stateful brandvägg är en brandvägg som kan ha koll på nätverkskopplingar (T.ex. TCP paketströmmar) och lagrar sessioner i sitt minne. Brandväggen kollar på attributen i sessionen, attributen kan t.ex. vara IP-nummer, portnummer och sekvensnummer. En Stateful behöver alltså inte granska varje paket individuellt som är del av en etablerad session. Bara paket som matchar aktiva nätverkskopplingar släpps igenom brandväggen. För att inte minnet ska bli fullt så kastas sessioner som inte har haft någon trafik under en viss period. En Stateless brandvägg är en brandvägg som arbetar väldigt enkelt och effektivt. Den kan sortera små paket väldigt snabbt. Den kan inte avgöra om ett paket finns med i en session och kan alltså inte se om det finns etablerad trafik mellan två datorer som skickas, utan ser bara enskilda paket och sorterar efter vilka attribut den har och efter vilka brandväggsregler som gäller. Skillnaden mellan Stateful och Stateless är att Stateless inte har någon aning om ett paket är med i en existerande nätverkskoppling och måste därför granska varje paket. Stateful kan släppa igenom strömmar av paket i en etablerad session. Stateless brandväggen behöver mindre minne än vad en Stateful brandvägg behöver. Formatmall: Laborationsrapport.dot Sidan 2 av 16

4 Resultat 4.1 Cisco ASA Detta är den logiska uppkopplingen för vårt Cisco ASA nät. Servern i DMZ nätet använde vi oss av en vanliga PC med Filezilla och Apache för att köra FTPen och webbservern. Formatmall: Laborationsrapport.dot Sidan 3 av 16

aaa authentication http console LOCAL http server enable http 193.10.160.0 255.255.255.0 inside, senare i labben bytte vi ut IP adressen här till 192.168.100.0 samt att vi bytte VLANet från inside till management för att hindra så att alla från labbnätet skulle kunna komma åt vår ASA. De här tre kommandona samt grundläggande VLAN interface konfiguration gav oss tillgång till brandväggens grafiska gränssnitt, ASDM. Utan tidigare kunskap med ASDM valde vi att använda Startup Wizarden, här valde vi vilka Ethernet portar på brandväggen skulle allokeras till vilket VLAN och med det till vilket nät. Formatmall: Laborationsrapport.dot Sidan 4 av 16

Vi behövde en default route på brandväggen för att kunna komma åt internet. Vi valde att använda statisk och dynamisk NAT. Den statiska NATen vi använde oss av var därför vår server i DMZ nätet. Vår dynamiska NAT använde vi för resten av näten. Denna brandväggsregelen används för att tillåta FTP och Webbserver tjänsternas trafik från de publika IP adresserna till DMZ servern. Det här ändrade vi senare när vi var tvungna att byta IP adressen på DMZ servern till 192.168.10.40 istället för 192.168.10.2. DMZ hade 3 regler i sin ACL, inkluderat Implicit deny regeln. Den första regeln tillät vem som helst i DMZ nätet att komma åt MS-UPDATE servern. Den andra regeln tillät vem som helst i DMZ nätet att få en tid från NTP servern för att få en korrekt klocka. Formatmall: Laborationsrapport.dot Sidan 5 av 16

Inside hade 3 regler i sin ACL, inkluderat Implicit deny regeln. Första regeln var till för att blockera peer-2-peer program från det privata nätverket. Den andra regeln tillät all IP trafik från Inside nätverket utåt. Outside hade 3 regler i sin ACL, inkluderat Implicit deny regeln. Den första regeln gjorde vi i relation till filtreringen på väg in till DMZan, den skapades för att tillåta FTP och http trafik till 193.10.160.64 som sen blir NATat till 192.168.10.40 som är DMZ server IP adressen. Den andra regeln skapades för att tillåta alla trafik från dnlab DNS servern till hela nätet. Fungerar! Här hade vi fått igång webbservern att kunna bli åtkommen från datorer utanför nätet som anslöt mot 193.10.160.64 adressen. Formatmall: Laborationsrapport.dot Sidan 6 av 16

Här är FTP servern igång på DMZ servern och det har varit ett uppkopplingsförsök(som skulle fungerat om vi konfigurerat användarkonton på filezilla). IP adressen på datorn är 192.168.10.40 och uppkopplingen gjordes på en dator utanför nätet som anslöt mot IP adressen 193.10.160.64 dvs Inside global adressen för DMZ servern. Formatmall: Laborationsrapport.dot Sidan 7 av 16

4.2 Gnatbox Hur Gnatboxen kopplades och de olika IP-adresserna på outside interfacet (.145,.146) är alias,.147 är det som är satt på interfacet. Vi började med att ansluta till Gnatboxen med hjälp av console-porten och skapade en användare. Vi gav den användaren rättigheter att ansluta via nätet. Vi anslöt oss till klientnätet och surfade in på 192.168.71.254 vilket är standard adressen för Gnatgateway. Formatmall: Laborationsrapport.dot Sidan 8 av 16

Vi började med att konfigurera upp näten. Det finns även en default route som är riktad till default gateway. Det konto vi skapade för att konfigurera Gnatboxen. Formatmall: Laborationsrapport.dot Sidan 9 av 16

Vi skapade accesslistor så att trafik från dmz nätet bara skulle kunna ansluta till MS.Update och NTP. Klientnätet kan ansluta till DMZ och till internet men inte använda peer-2-peer eftersom att port 411 är blockerad. Internet kommer inte åt något nät, för att de ska komma åt DMZ så är vi tvungna att skapa alias och tunnlar. Två alias var skapade, det ena går till webb/ftp servern och det andra går till DMZ nätet (för att det ska komma åt MS.update och NTP). Formatmall: Laborationsrapport.dot Sidan 10 av 16

Tunnlar kopplade till alias, så att internet kommer åt det de ska komma åt. Formatmall: Laborationsrapport.dot Sidan 11 av 16

4.3 pfsense Här visar vi en översiktsbild på hur vårt nätverk ser ut. Vi valde att köra pfsense virtuellt via en fysisk HP DL360 rackserver och genom VM Ware vsphere. Vi använde oss utav tre stycken fysiska interface på rackservern som vi kopplade till våran virtuella pfsense. Val av interface i skapandet av pfsense Här ser vi interfacen som finns på HP DL360 Formatmall: Laborationsrapport.dot Sidan 12 av 16

När vi hade installerat pfsense så konfigurerade vi upp våra olika interface så att vi kunde ansluta via webben för att fortsätta konfigurera via webbgui. När vi började konfigurera via webbinterfacet så började vi med att gå igenom kravspecifikationen i uppgiften och kryssa av punkt för punkt. *För att lösa så att det skulle kunna finnas två administratörer med tillgång till pfsense så skapade vi två användare och la med de i admins gruppen som har tillgång till brandväggen. *Sen för att skydda företagets servrar från externa och interna hot skall dessa ligga på ett separat nät, enligt DMZ- modellen har vi gjort vilket visas i bilden längst upp där vi har alla servrar i DMZnätet och alla klienter finns under LAN-nätet. Formatmall: Laborationsrapport.dot Sidan 13 av 16

*För att ingen skall kunna använda företagets serverar för att slå mot andra och för att servrarna inte skall kunna sprida virus till andra nät skall dessa inte kunna initiera kontakt med annat än med MS- Update (Simuleras här av: 193.10.208.145 port 80 TCP). Servrarna i DMZ ska även kunna ställa sina klockor med hjälp av NTP, t.ex. ntp1.sth.netnod.se. För att lösa detta så satte vi upp brandväggsregler för DMZ-nätet där vi började med att tillåta all trafik in från ntp1.sth.netnod.se som hade ip-adress 192.36.144.22 och från 193.10.208.145. Här hade vi kunnat välja till vilka servrar de ska få åtkomst till istället för alla maskiner i DMZ-nätet men eftersom vi specificerar på portnummer så tycker vi att det räcker. Vi avslutar vår lista med att blockera all annan trafik. *På grund av ett växande problem med peer-2-peer program skall även port 411 förbjudas från det privata nätet. För att blockera den typen av trafik så sätter vi upp ännu en brandväggsregel fast den här gången på LAN-interfacet. Här fanns det redan två regler från början så när vi lade till vår regel som blockerar trafiken från det lokala nätet på port 411 till alla så hamnar den längst ner. För att vår regel ska fungera då måste man flytta upp den ovanför den regeln som tillåter all trafik. Sen måste vi se till så våra medarbetare kan surfa från sitt LAN-nät ut på internet så då måste vi aktivera NAT. Formatmall: Laborationsrapport.dot Sidan 14 av 16

Sen så har vi ju vår Webb och FTP server som vi måste tillåta trafik in till. Det gör vi först med hjälp av brandväggsregler för WAN-interfacet, vi tillåter http och ftp trafik till vår server som har ip-adress 10.0.1.10 sen väljer vi att blockera all annan trafik in. Formatmall: Laborationsrapport.dot Sidan 15 av 16

Sen måste vi se till att brandväggen förstår vart den ska skicka trafiken vilket vi gör med en NATregel. Samt med hjälp av ett alias Formatmall: Laborationsrapport.dot Sidan 16 av 16

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss