МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Практическая работа №4 Тема 5 «Управление сетевой безопасностью» Цель и задачи Изучить возможности управления сетевой безопасностью на примере системы ViPNet Personal Firewall. Оглавление 1. Оценка результатов работы программы ViPNet Personal Firewall 2. Описание событий, отслеживаемых ПО ViPNet 3. Работа в программе с правами администратора Контрольные вопросы Задания 1. 2. 3. 4. Познакомиться с принципами анализа IP-трафика в программе ViPNet Personal Firewall. Изучить списки отлеживаемых событий. Реализовать работу в системе с правами администратора. Подготовить отчет о проделанной работе. 1. Оценка результатов работы программы ViPNet Personal Firewall Программа ViPNet Personal Firewall фиксирует различного рода информацию по результатам своей работы на Вашем компьютере. Всю эту информацию Вы можете просматривать, оценивать и вносить коррективы. Для анализа проходящего через компьютер IP-трафика ПО ViPNet Personal Firewall ведет журналы регистрации IP-пакетов. Типы IP-пакетов, регистрируемых в журнале, определяются в окне Журнал IP-пакетов ->Настройка журнала. Для просмотра журнала в окне Журнал IP-пакетов задайте параметры запроса (или используйте параметры по умолчанию) на поиск информации в журнале регистрации и нажмите кнопку Найти. Откроется окно Журнал регистрации IP-пакетов. Окно Журнал IP-пакетов (Рис. 1) предназначено для формирования запроса на поиск информации в журнале регистрации IP-пакетов по обращениям к Вашему компьютеру и Вашим обращениям по различным адресам. Для настройки запроса установлены различные параметры. Вы можете изменить эти параметры, если желаете посмотреть определенную информацию в журнале, либо же оставить значения по умолчанию, если желаете просмотреть весь журнал за сутки до настоящего момента просмотра. Интервал дат и времени Выбор временного интервала для просмотра журнала. По умолчанию за сутки до настоящего момента просмотра. МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Рис. 1. Направление Фильтрация записей журнала по направлению IP-трафика: Все IP-пакеты – входящие и исходящие IP-пакеты; Входящие IP-пакеты – только входящие IP-пакеты; Исходящие IP-пакеты – только исходящие IP-пакеты. По умолчанию Все IP-пакеты. IP-адреса Фильтрация записей журнала по интересующим IP-адресам: Все IP-адреса – все адреса; Отдельный IP-адрес – можно указать конкретный IP-адрес или часть IP-адреса. По умолчанию – Все IP-адреса. Фильтрация осуществляется по внешнему IP-адресу. Местный порт Фильтрация записей журнала по значению местного (своего) порта: Диапазон портов – можно указать диапазон портов. По умолчанию диапазон от 0 до 65535; Отдельное значение – можно указать конкретное значение порта. По умолчанию – Диапазон портов (от 0 до 65535). Внешний порт Фильтрация записей журнала по значению внешнего порта: Диапазон портов – можно указать диапазон портов. По умолчанию диапазон от 0 до 65535; Отдельное значение – можно указать конкретное значение порта. По умолчанию – Диапазон портов (от 0 до 65535). Протокол Выбор интересующего протокола. По умолчанию Все. Счетчик Фильтрация записей журнала по параметру количества IP-пакетов одного типа (колонка журнала Счетчик): МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Диап. – можно указать диапазон значений количества IP-пакетов одного типа. По умолчанию диапазон от 0 до 65535; Отд. – можно указать конкретное значение количества IP-пакетов. По умолчанию – Диап. (от 0 до 65535). Событие Фильтрация записей журнала по событиям, которые ПО ViPNet присваивает каждому IP-пакету. По умолчанию – Все IP-пакеты, т.е. все события. Из предложенного списка можно выбрать интересующее событие или группу событий. Отображаемых записей Если включить опцию, то можно установить количество отображаемых последних записей в журнале регистрации IP-пакетов (значение 0 – означает, что отображаются все записи). По умолчанию опция выключена, т.е. отображаются все записи за заданный интервал дат и времени. Запрос на поиск информации формируется в соответствии со значениями вышеописанных полей, предлагаемых для заполнения. Начало процесса поиска информации в журнале регистрации инициируется нажатием кнопки Найти… окна Журнал IP-пакетов регистрации IP-пакетов (Рис. 2). (Рис. 1). Откроется окно Журнал Кнопка По умолчанию (Рис. 1) устанавливает значения всех параметров запроса на поиск информации в значения по умолчанию. При этом значения, введенные в полях Отдельный IP-адрес и Отображаемых записей не изменятся. Кнопка Время по умолчанию устанавливает значение временного интервала в значение по умолчанию. В окне Журнал регистрации IP-пакетов в соответствии с параметрами, указанными в окне Журнал IP-пакетов (Рис. 1), ViPNet Personal Firewall выводит информацию о входящем и/или исходящем IP-трафике, зарегистрированном ViPNet [Драйвером]. Замечание: ViPNet Драйвер запоминает определенный объем информации об IP-пакетах даже когда ViPNet Монитор не загружен. После загрузки Монитора Драйвер передает ему сохраненную информацию, и она отобразится в журнале регистрации IP-пакетов. Однако следует учитывать, что информация, сохраняемая в памяти Драйвера, ограничена 10000 записями журнала (см. ниже) и при переполнении памяти более старые данные замещаются более новыми. Поэтому если Монитор был выгружен продолжительное время, то часть информации возможно будет утеряна. МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Рис. 2. Окно Журнал регистрации IP-пакетов состоит из двух полей (Рис. 2): в верхнем поле отображаются записи журнала; в нижнем поле отображается подробная информация о записи журнала, на которой стоит курсор. Записи в журнале группируются по следующему принципу: В какой-то момент времени программа регистрирует пакет с определенными характеристиками (адресами, портами, протоколом, и т.д.) и создает запись, при этом данный момент времени записывается в графу Начало интервала. Далее в течение времени, указанного в окне Настройка Журнала (параметр Интервал регистрации IP-пакетов, подсчитывается количество пакетов с такими же характеристиками, при этом новая запись не создается. Количество пакетов фиксируется в графе Счетчик. Когда время, указанное в Интервале регистрации IP-пакетов закончится, то при регистрации очередного пакета с такими же характеристиками создастся новая запись. Соответственно. при приходе какого-либо пакета с другими характеристиками, для него создается своя запись и выполняется тот же принцип. Для каждой записи журнала выводится следующая информация: Название столбца Описание Начало интервала Дата и время создания новой записи при регистрации пакета с определенными характеристиками. Конец интервала Информация в этой графе зависит от параметра Интервал регистрации IP-пакетов окна Настройка Журнала: Если закончилось время, указанное в вышеуказанном параметре, то в этой графе отображается дата и время окончания подсчета количества IP-пакетов с одинаковыми характеристиками без создания новых записей. Это значение больше не изменится. Если указанный временной интервал еще не завершился, то Конец интервала показывает время последней регистрации IP-пакета с данной характеристикой, и если зарегистрируются еще такие IP-пакеты, то значение данного параметра будет меняться. МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE IP-адрес – Значение IP-адреса с которого/по которому произошло обращение Местный порт – Номер местного порта Внешний порт – Номер внешнего порта Протокол – Протокол, по которому происходил обмен Событие – Событие, присвоенное записи. Счетчик – Количество IP-пакетов с одинаковой характеристикой, сгруппированных в одну запись, в заданный интервал времени. т.е. Размер – Отображает размер (в байтах) всех IP-пакетов с одинаковой характеристикой в заданный интервал времени. Атрибуты – Атрибуты записи состоят из двух значений XY, где X - атрибут направления пакета, может иметь значения: И – Исходящий пакет В – Входящий пакет Y - атрибут широковещательного признака пакета: Щ – Широковещательный пакет Н – Обычный пакет По любому из вышеописанных столбцов можно отсортировать информацию (по возрастанию или убыванию, если в данном поле числа; в алфавитном или обратном алфавитном порядке, если в данном поле буквы). Для этого следует навести указатель мыши на название конкретного столбца и нажать левую кнопку (один или два раза). При необходимости есть возможность скопировать в буфер информацию из любой колонки журнала регистрации IP-пакетов. Широковещательные IP-пакеты отображены на светло-сиреневом фоне. В начале каждой записи журнала расположены два значка (Рис. 28). Первый значок указывает на тип события, присвоенного записи, второй значок – на направление IP-трафика записи: Тип события Направление В журнале регистрируется четыре типа событий, отображающиеся следующими значками: IP-пакеты заблокированы (записи присвоено одно из событий группы событий Все блокированные IP-пакеты (20-25)). IP-пакеты пропущены (записи присвоено одно из событий группы событий Все неблокированные IP-пакеты (60-61)). IP-пакеты относятся к группе событий Другие события (80-98). IP-пакеты блокированы системой обнаружения вторжений (записи присвоено одно из событий группы События системы обнаружения вторжений. Значки направления IP-трафика: входящие IP-пакеты. исходящие IP-пакеты. Эти значки дублируют атрибуты направления пакета из графы журнала Атрибуты. В строке состояния (внизу окна) (Рис. 2) отображается размер IP-пакетов выбранной записи, номер записи и общее число записей в журнале. Если МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE выделить несколько записей журнала, то отобразится сумма значений поля Размер для выделенных записей (в байтах). Вы можете выделить сразу все записи журнала, воспользовавшись комбинацией клавиш Ctrl+A. 2. Описание событий, отслеживаемых ПО ViPNet Все события разделены на группы и подгруппы. Списки событий, отслеживаемых ViPNet, а также группы, к которым относятся события, описаны в таблице 1. Таблица 1. № 20 21 22 23 24 25 60 61 80 81 82 83 85 86 87 88 89 Событие Комментарий Запрещенный фильтром IP-пакет был запрещен специальным незашифрованный IP-пакет фильтром в папке Сетевые фильтры (в режимах Пропускать только разрешенный сетевыми фильтрами IP-трафик и Бумеранг) Запрещенный основным IP-пакет был запрещен фильтром Все фильтром незашифрованный IP- незарегистрированные IP-адреса в папке пакет Сетевые фильтры (в режиме Пропускать только разрешенный сетевыми фильтрами IP-трафик) Открытый IP-пакет от От защищённого адресата пришёл защищенного адресата открытый пакет Открытый широковещательный От защищённого адресата пришёл IP-пакет от защищенного открытый широковещательный пакет адресата Незарегистрированный IP-пакет Открытый IP-пакет был запрещен режимами Бумеранг или Блокировать весь IP-трафик Запрещенный фильтром Пакет был заблокирован на сервере интерфейса незашифрованный фильтром соответствующего сетевого IP-пакет адаптера Незашифрованный IP-пакет Разрешённый открытый пакет Незашифрованный Разрешённый открытый широковещательный IP-пакет широковещательный пакет Слишком маленький заголовок в Слишком короткий IP заголовок в пакете IP -пакете Версия IP пакета отлична от 4 В данной версии поддерживается только протокол IP версии 4 Некорректная длина заголовка Длина заголовка протокола IP меньше IP пакета минимально возможного Некорректная длина IP пакета Длина пакета меньше, чем указано в заголовке протокола IP Слишком короткий заголовок Недопустимо короткий заголовок протокола TCP TCP Слишком короткий заголовок Недопустимо короткий заголовок протокола UDP UDP Дефрагментация IP- пакетов Были обработаны не все фрагменты, была отменена образующие пакет Исходящий адрес не может быть Адрес источника в пакете указан широковещательным широковещательный Пересечение фрагментов IP- Наиболее старый из пересекающихся МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE 90 91 92 93 94 95 96 97 пакета Нехватка свободных ресурсов. фрагментов был отброшен Пакет не может быть обработан из-за нехватки свободных ресурсов. Инициализация драйвера Блокировка всех пакетов во время инициализации драйвера Размер IP-пакета превышает 48 Размер пакета ограничен параметром 48 Кбайт Кбайт Превышено время сборки За допустимое время получены не все фрагментированного IP- пакета фрагменты фрагментированного пакета Недостаточно памяти Не хватило памяти во время обработки пакета В локальной сети обнаружен Поступили пакеты с одинаковыми такой же абонентский пункт идентификационными номерами АП, но разными IP-адресами Обнаружена попытка вторжения Программа обнаружила пакет, соответствующий параметрам типовых атак Соединение отвергнуто Соединение заблокировано Microsoft SQL фильтром Microsoft SQL фильтром ПО ViPNet обнаруживает следующие виды атак: Таблица 2. Атаки, основанные на особенностях протокола IP (Группа Все IP-пакеты\ События системы обнаружения вторжений\IP ) № события Название события Описание события Попытка злоумышленника замедлить работу Вашей машины. Атака использует уязвимость стека TCP/IP, заключающуюся в том, что путем передачи фальшивого TCP-пакета можно 1001 Атака Land заставить атакуемый компьютер попытаться установить соединение самому с собой, путем отправки SYNпакета с адресом отправителя, идентичным адресу атакуемого компьютера Попытка злоумышленника вывести из строя Ваш внешний сетевой экран путем 1002 IP-опции нулевой длины посылки пакета с IP- опциями нулевой длины 1003 Пустой IP-фрагмент Обнаружен пустой IP-фрагмент Обнаружен пакет с некорректным смещением фрагмента, соответствующим атаке Jolt2. Атака заключается в 1020 Атака Jolt2 посылке в течение короткого промежутка времени большого числа специально сформированных пакетов с целью замедлить атакуемую систему. Атаки, основанные на особенностях протокола ICMP (Группа Все IPпакеты\ События системы обнаружения вторжений\ICMP ) Обнаружен ICMP-запрос, отправленный 1101 Возможная атака Smurf на адрес подсети (x.x.x.0 или x.x.x.255); такой запрос способен инициировать МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE множественные эхо-ответы, которые могут перегрузить сеть или атакуемую систему. Обнаружен запрос на получение значения маски подсети. Такая ICMP-запрос маски 1104 информация может помочь хакеру подсети собрать данные о конфигурации Вашей сети ICMP-заголовок был разбит на несколько Фрагментация ICMPфрагментов в попытке обойти сетевые 1106 заголовка экраны или системы обнаружения вторжений Атаки, основанные на особенностях протокола UDP (Группа Все IPпакеты\ События системы обнаружения вторжений\UDP ) Урезанный UDPОбнаружен UDP-пакет с аномально 1203 заголовок коротким заголовком Обнаружен UDP-пакет, отправленный на адрес подсети (x.x.x.0 или x.x.x.255) и предназначенный для одного из 1204 Возможная атака Fraggle "отражающих" портов; такой пакет способен инициировать множество ответов, которые могут перегрузить сеть или атакуемую систему Обнаружен UDP-пакет, зацикленный между двумя "отражающими" портами. Зацикливание портов 1205 Такие пакеты могут отражаться UDP бесконечное число раз, перегружая сеть и ресурсы вовлеченных систем 1206 Атака Snork Попытка вызова отказа в обслуживании Атаки, основанные на особенностях протокола TCP (Группа Все IP-пакеты\ События системы обнаружения вторжений\TCP ) TCP-заголовок был разбит на несколько Фрагментация TCPфрагментов в попытке обойти сетевые 1302 заголовка экраны или системы обнаружения вторжений Обнаружен TCP-пакет с аномально 1303 Урезанный TCP-заголовок коротким TCP-заголовком Множество таких пакетов могут вызвать Неправильное смещение 1304 "зависание" у некоторых реализаций Urgent в TCP-заголовке TCP/IP Попытка привести Вашу систему к перезагрузке. Атака использует ошибку 1305 Атака WinNuke реализации стека TCP/IP при посылке пакета Out of Band Попытка злоумышленника вывести из TCP-опции нулевой строя Ваш внешний сетевой экран с 1306 длины помощью посылки пакета с TCP-опциями нулевой длины Обнаружен TCP-пакет с установленными битами FIN, URG и PUSH. 1307 Сканирование TCP XMAS Злоумышленник пытается определить наличие доступных служб на Вашей МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE 1308 Сканирование TCP null системе, посылая такие специально сформированные пакеты Обнаружен TCP-пакет со сброшенными всеми управляющими битами. Злоумышленник пытается определить наличие доступных служб на Вашей системе, посылая такие специально сформированные пакеты 3. Работа в программе с правами администратора В программу ViPNet Personal Firewall можно войти с правами Администратора. При входе в программу с правами Администратора предоставляются дополнительные возможности по настройке и работе программы. По умолчанию пароль администратора – 11111111 (восемь единиц). При необходимости его можно сменить. Для входа в программу с правами администратора, нужно при загрузке ViPNet Personal Firewall в окно ввода пароля ввести сначала пароль администратора, а затем пароль пользователя. А именно: Для того чтобы ввести пароль администратора, в поле ввода пароля набираются символы @@@@@, а затем пароль администратора и нажимается кнопка OK. Затем программа спросит о смене пароля администратора. Если Вы захотите сменить пароль, то нажмите Да, в противном случае – Нет. Если Вы нажали кнопку Да, то появляется возможность ввести собственный пароль Администратора. После ввода пароля администратора появится окно для ввода пароля пользователя (см. п.4.1, стр.10). После ввода пароля пользователя программа предоставит дополнительные возможности настройки и работы. Станет доступным: окно Администратор, где можно произвести различные настройки; просмотр журнала регистрации действий пользователей и администратора, произведенных в программе ViPNet Personal Firewall; окно Конфигурация для настройки параметров пароля. Зайти в программу с правами администратора можно и в процессе работы программы не перезапуская ее, для этого в главном окне в меню Сервис нужно выбрать пункт Смена пользователя…, появится окно с предложением ввести пароль. Введите пароли, как описано выше. Окно Администратор появляется только, если был введен пароль администратора. В окне предоставляется возможность произвести различные настройки для пользователя. Окно Администратор представлено ниже (Рис. 3): МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Рис. 3. В этом окне администратор может настроить следующие опции: Не активизировать защиту IP-трафика при загрузке операционной системы По умолчанию опция выключена. Можно настроить программу таким образом, чтобы при следующей загрузке операционной системы, ViPNet Personal Firewall запускаться не будет и установится 5 режим, т.е. компьютер будет полностью открыт для доступа извне. Если требуется такая настройка, то, для этого нужно включить данную опцию (пометить "галочкой"). Не запускать монитор после входа в операционную систему По умолчанию опция выключена. Можно настроить программу таким образом, чтобы при следующей загрузке операционной системы, ViPNet Personal Firewall запускаться не будет и установится режим, заданный по умолчанию в окне Режимы в разделе При старте программы… . Если требуется такая настройка, то, для этого нужно включить данную опцию. Обязательный ввод пароля при ходе в операционную систему По умолчанию опция выключена. Если включить эту опцию, то при следующем запуске компьютера будет запрещено отменить запуск ViPNet Personal Firewall, т.е. в окне ввода пароля кнопка Отменить и закрывающий значок [ x ] станут недоступны. Интервал автоматического блокирования Здесь можно задать время, через которое будет производиться блокировка работы компьютера. Красным цветом будет выделен текущий параметр блокировки (Рис. 3), который устанавливается кнопкой Отобразить меню блокировки на строке состояния в правом нижнем углу программы. Блокировка МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE произойдет, если в течение этого времени не дотрагиваться до клавиатуры и мыши. По умолчанию в этом поле установлено значение 0, это означает, что автоматическая блокировка отключена. Все произведенные действия можно сохранить, если Применить или отменить, если нажать кнопку Отменить. нажать кнопку После нажатия в окне Администратор кнопки Журнал событий откроется окно Журнал событий (Рис. 4). Рис. 4. В этом окне производится регистрация действий пользователей и администратора, произведенных в программе ViPNet Personal Firewall и выводится информация об этом. Каждая строка журнала содержит следующие данные: Дата и время Дата и время, когда произошло действие Имя пользователя Имя пользователя, производившего действие Событие Список событий, регистрируемый программой: Вход в систему – появляется каждый раз при входе в программу. Выход из системы – появляется каждый раз при выходе из программы. Режим администрирования – появляется при входе в программу с паролем администратора. Попытка входа в систему отвергнута (имя пользователя не установлено). появляется в случае трехкратного неверного ввода пароля пользователя. Попытка входа Администратора в систему отвергнута (имя пользователя не установлено) – появляется в случае трехкратного неверного ввода пароля Администратора. Технологический перезапуск – появляется в случае перезагрузки программы после нажатия на кнопку Блокировки (при использовании кнопки в режиме блокировки Блокировать IP-трафик или Блокировать компьютер и IP-трафик) на нижней панели основного окна программы. Технологический перезапуск – появляется в случае перезагрузки программы после аварийного завершения. МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Смена конфигурации – появляется при смене пользователем конфигурации программы из окна Конфигурации. Изменение фильтра объекта открытой сети – появляется при изменении какого-либо фильтра в окне Сетевые фильтры. Добавление фильтра объекта открытой сети – появляется при добавлении какого-либо фильтра в окне Сетевые фильтры. фильтра объекта открытой сети – появляется при удалении ранее добавленного фильтра в окне Сетевые фильтры. Изменение режима драйвера – появляется в случае изменения режима безопасности в окне Режимы. Изменение режима драйвера при старте – появляется при изменении режима безопасности в окне Режимы в списке При старте программы… Включение опции "Отключить все протоколы кроме IP, ARP, RARP" – появляется при включении опции Отключить все протоколы, кроме IP, ARP, RARP в окне Режимы. Выключение опции "Отключить все протоколы кроме IP, ARP, RARP" – появляется при выключении опции Отключить все протоколы, кроме IP, ARP, RARP в окне Режимы. Включение опции "Отключить все протоколы кроме IP, ARP, RARP при старте" – появляется при включении опции Отключить все протоколы, кроме IP, ARP, RARP раздела При старте программы… в окне Режимы. Выключение опции "Отключить все протоколы кроме IP, ARP, RARP при старте" – появляется при выключении опции Отключить все протоколы, кроме IP, ARP, RARP раздела При старте программы… в окне Режимы. Включение опции "Блокировать компьютер при старте" – появляется при включении опции Блокировать компьютер раздела При старте программы… в окне Режимы. Выключение опции "Блокировать компьютер при старте" – появляется при выключении опции Блокировать компьютер раздела При старте программы… в окне Режимы. Удаление Режим - Номер установленного режима Журнал событий можно открыть и сохранить в формате HTML и XLS, используя контекстное меню, открывающееся щелчком правой кнопки мыши (Рис. 4): Название пункта меню Описание Просмотр в HTML-формате Просмотр и сохранение журнала в формате HTML. Просмотр в XLS-формате Просмотр и сохранение журнала с помощью программы Microsoft Excel. Контрольные вопросы 1. 2. 3. 4. 5. 6. 7. Какие параметры устанавливаются для настройки запросов? Как формируется запрос на поиск информации? По какому адресу осуществляется фильтрация? На какие группы делятся события? Как сменить пароль администратора? Какие типы событий регистрируются в журнале? Как происходит регистрация действий пользователя и администратора?