Министерство образования и науки Республики Казахстан Некоммерческое Акционерное Общество «Алматинский университет энергетики и связи имени Гумарбека Даукеева» Институт информационных технологий Кафедра «Кибербезопасности» Лабораторная работа №2 Дисциплина: Программно-аппаратные средства защиты информации Специальность: B-058 Системы Информационной Безопасности Группа: СИБ-21-9 Выполнила: Байсеитова Асия Проверила: Дмитриева М.В. « (оценка) (подпись) Алматы 2024 » 2023 г. (дата) Лабораторная работа №2 Практическое исследование средств контроля и фильтрации сетевого трафика. Цель работы: изучить особенности применения программного межсетевого экрана. Освоить методику настройки межсетевых экранов и безопасного обмена информацией в компьютерных сетях. Порядок выполнения работы. 1. Знакомство с интерфейсом межсетевого экрана. Когда Outpost Firewall установлен, он начинает работать автоматически вместе с запуском Windows. Таким образом, брандмауэр обеспечивает защиту Вашего компьютера раньше, чем другие программы смогут повредить сохранность Ваших данных. Когда вы запускаете Outpost Firewall Pro в первый раз, на экране отображается главное окно программы. Главное окно является основным инструментом управления программой. Через него вы можете контролировать сетевые операции компьютера и изменять настройки Outpost Firewall Pro Рисунок 1 - Вкладка "Моя безопасность" При выборе данной категории отображается общая информацию о брандмауэре, такая как текущее состояние, политика, сведения об обнаруженных атаках и общая статистика открытых соединений. Если раскрыта, категория отображает следующие подкатегории: - Сетевая активность Отображает все приложения и процессы, имеющие активные на данный момент соединения, и краткое описание этих соединений. - Используемые порты Отображает все приложения и процессы, у которых в данный момент открыты порты для соединения с сетью. Рисунок 2 - Вкладка "Брандмауэр" Вкладка настройки отображает быстрый доступ Рисунок 3 - Вкладка "Настройки" Вкладка Инструменты Рисунок 4 - Вкладка «Инструменты» Рисунок 5 - Вкладка "Обновление" Рисунок 6 - Вкладка "Помощь" Outpost Firewall обнаружил и блокировал удаленную атаку на Ваш компьютер. Сообщение показывает детальную информацию об атаке. Для получения подробной информации обо всех атаках данного типа откройте Журнал. Примечание: Это сообщение будет показано только в случае, если выбрана опция Показывать сообщения об атаках в настройках модуля Детектор Атак Рисунок 7 - Уведомление об атаке Режим загрузки Outpost Firewall Pro позволяет вам задать режим своей загрузки во время загрузки всей системы. Чтобы выбрать один из доступных режимов, щелкните Настройки на панели инструментов. На странице Общие в группе Параметры работы доступны следующие режимы загрузки: • Обычный. Режим загрузки по умолчанию. Outpost Firewall Pro загружается автоматически при запуске системы, значок продукта отображается в системном лотке. • Фоновый. При работе в Фоновом режиме загрузки, Outpost Firewall Pro работает невидимо, не отображая ни значок в системном лотке, ни диалоговые окна. Это делает продукт совершенно невидимым для пользователя, позволяя, таким образом, родителям или системному администратору незаметно для пользователя блокировать нежелательный трафик или содержимое страниц. Еще одна причина выбрать Фоновый режим - экономия системных ресурсов Рисунок 8 - Режимы загрузки Примечание: • Так как политика режима обучения не поддерживается во время работы Outpost Firewall Pro в фоновом режиме (потому что фоновый режим не поддерживает взаимодействия с пользователями), вам следует заранее определить, какая политика будет применена к Outpost Firewall Pro, когда он загружается в фоновом режиме. Для этого щелкните Настройки на панели инструментов > Брандмауэр и выберите необходимую политику из списка Политика фонового режима Изучите режимы работы межсетевого экрана. Один из самых полезных и важных параметров Outpost Firewall Pro - его политика. Политика задает, каким образом Outpost Firewall Pro будет контролировать доступ вашего компьютера к Интернету или любой другой сети, к которой он подключен. Например, Режим Блокировки предполагает особенно строгую позицию Outpost Firewall Pro, в то время как Режим Разрешения - наоборот, очень мягкую. Рисунок 9 - Политика брандмауэра Политика брандмауэра в неинтерактивном режиме — это набор правил и настроек, которые определяют, как брандмауэр должен обрабатывать сетевой трафик без вмешательства пользователя. В этом режиме брандмауэр автоматически применяет заданные правила без запросов или подтверждений от пользователя. Внимание: Ввиду того, что политика режима обучения не поддерживается, когда Outpost Firewall Pro работает в фоновом режиме или Игровом режиме (т.к. эти режимы не предполагают взаимодействия с пользователем), вам следует определить, какая политика будет применена к Outpost Firewall Pro, когда он переключается на работу в одном из этих режимов заранее. Рисунок 10 - Политика фонового режима Задайте новую конфигурацию и установите пароль для её защиты. Текущее состояние, в котором Outpost Firewall Pro находится в каждый момент времени, характеризуется указанными настройками: правилами для приложений, глобальными правилами, настройками локальной сети, списками исключений для подключаемых модулей и так далее. Совокупность этих настроек называется конфигурацией. Первоначальная конфигурация создается во время установки программы, и после этого вы можете изменять настройки и даже создавать различные конфигурации для различных целей. Это позволяет создавать отдельные конфигурации для каждого пользователя компьютера, предотвращая посещение детьми сайтов с нежелательным содержимым, закрывая им доступ к онлайн-играм или чатам в случае, если они используют компьютер родителей. Также это дает возможность передавать конфигурации с одного компьютера на другой и просто создавать резервные копии ваших настроек. Переключение между конфигурациями осуществляется очень просто Рисунок 11 - Конфигурация Для создания новой конфигурации щелкните Настройки > Конфигурация > Новая. Мастер настройки поможет вам создать новую конфигурацию: Первый шаг позволяет вам выбрать режим работы Outpost Firewall Pro. Доступны следующие режимы. Доступны следующие уровни (подробно см. Защита от действий вредоносных процессов): • Обычная – Обеспечивает пониженное число запросов программы, требующих вашей реакции, и рекомендуется в большинстве случаев. • Выборочная – Дает больше возможностей управлять предоставлением доступа и рекомендуется в большинстве случаев Рисунок 12 - Мастер конфигурации После того, как вы щелкните Далее, Outpost Firewall Pro автоматически просканирует вашу систему и установит все настройки без вашего участия. Программа настроит сетевые параметры, соберет базу данных Контроля компонентов, и, в случае выбора использования предустановленных правил, обнаружит все известные сетевые приложения, установленные на вашем компьютере, и определит, какой уровень доступа в сеть должен быть установлен для каждого из них Рисунок 13 Щелкните Готово, чтобы применить и сохранить созданную конфигурацию. По умолчанию создаваемая конфигурация получает имя configuration.conf и сохраняется в папке установки Outpost Firewall Pro. Вы можете создать несколько конфигураций на основе текущих настроек, просто присвоив каждой из них отличное имя с помощью команды Сохранить. Для переключения конфигурации выберите Загрузить и укажите файл конфигурации для загрузки. Конфигурация может быть защищена от изменения или смены на другую с помощью пароля. Установка пароля Для того, чтобы установить пароль, щелкните кнопку Настройки на панели инструментов, выберите страницу Конфигурация и отметьте параметр Включить защиту паролем: Рисунок 14 – Защита конфигурации паролем Задайте пароль, щелкните OK и подтвердите введенный пароль в появившемся окне. Щелкните еще раз OK, чтобы сохранить пароль - он начнет защищать ваши настройки сразу после закрытия окна диалога ввода пароля. Начиная с этого момента всякому, кто захочет получить доступ к настройкам Outpost Firewall Pro или созданию новой конфигурации, будет выдано сообщение с просьбой ввести пароль Изучите уровни тревоги Детектора атак. Одним из важнейших аспектов защиты с помощью системы безопасности является фильтрация входящих пакетов, используемая для контроля входящей активности и блокировки хакеров и вредоносных программ при их попытке атаковать ваш компьютер. Компонент Детектор атак обнаруживает, предотвращает и оповещает вас обо всех возможных атаках на вашу систему из Интернета и локальной сети, к которой подключен ваш компьютер. Компонент просматривает входящие данные и определяет их законность либо с помощью сравнения контрольных сумм с известными атаками, либо производя анализ поведения. Это позволяет обнаруживать не только известные типы атак, такие как сканирование портов, Отказ от обслуживания (Denial of Service, DoS-атаки), атаки классов 'short fragments' и 'my address' и многие другие, но также и будущие угрозы. Чтобы активировать компонент Детектор атак, щелкните Настройки > Детектор атак и отметьте параметр Включить детектор атак: Рисунок 15 - Детектор атак Настройка уровня обнаружения атак Вы можете определить, насколько дотошно Outpost Firewall Pro должен себя вести при обнаружении атак, установив требуемый уровень тревоги. Уровень тревоги определяет количество подозрительных пакетов, обнаруженных до того, как Outpost Firewall Pro сообщает об атаке. Для того, чтобы установить уровень тревоги, щелкните Настройки > Детектор атак и передвиньте ползунок в одно из следующих значений Максимальный. Оповещение об атаке отображается даже если обнаружено единичное сканирование одного из ваших портов; обнаруживаются и предотвращаются все атаки как внешней сети, так внутренней. Оптимальный. Оповещение об атаке отображается если просканировано несколько портов или если просканирован один из портов, которые, по мнению Outpost Firewall Pro, обычно используются для атаки; обнаруживаются все внешние атаки за исключением атак 'Фрагментированные ICMP-пакеты' и атак типа 'My address'. Низкий. Оповещение об атаке отображается при обнаружении нескольких попыток атаки; атаки типа 'Фрагментированные ICMP-пакеты' и 'My address', как и атаки внутренней сети не обнаруживаются. Измените уровень тревоги в соответствии с риском, которому подвергается ваш компьютер. или. если у вас возникли какие-либо подозрения, установите максимальный уровень Изучите возможности защиты от Ethernet-атак. Когда данные пересылаются по сети с одного компьютера на другой, исходный компьютер рассылает ARP-запрос для определения MAC-адреса по IP-адресу целевого компьютера. Между временем отправки широковещательного сообщения и ответом с Ethernet-адресом данные могут подвергаться подмене, краже или несанкционированному перенаправлению третьему лицу. Компонент Детектор атак защищает вашу систему также от вторжений со стороны локальной сети. Он обнаруживает и предотвращает некоторые Ethernet-атаки, такие как подделка IP-адреса (IP spoofing), сканирование ARP, ARP-флуд и другие, защищая вашу систему от вторжений из локальной сети. Чтобы указать настройки обнаружения Ethernet-атак, щелкните Настройки > Детектор атак > Настройка: Рисунок 16 - Защита от Ethernet-атак • Включить ARP-фильтрацию Предотвращает ARP-спуфинг (ARP spoofing) - ситуации, когда узел посылает большое количество ARP-ответов с разными MAC-адресами в течение небольшого промежутка времени, пытаясь перегрузить сетевое оборудование, пытающееся определить какой из этих адресов является реальным для данного узла. Если включена, Outpost Firewall Pro принимает только те ARP-ответы от других узлов, для которых перед этим был послан запрос. Для каждого запроса принимается только первый ARP-ответ. ARP-фильтрация также защищает от т.н. отравления ARP-кэша (ARP cache poisoning), которое происходит когда кто-то перехватывает Ethernet-трафик, используя поддельные ARP-ответы, с целью замены адреса сетевого адаптера на адрес, который атакующий может контролировать. Кроме того, она также предотвращает ARP-флуд (ARP flood) - ситуации, когда большое количество фиктивных ARP-ответов отправляется на целевой компьютер с целью "повесить" систему. Обнаруживать подмену IP-адреса и блокировать IP-флуд Обнаруживает подмену IP-адресов (IP spoofing) атакующего и блокирует большой объем трафика, который может перегрузить компьютер. Этот параметр не может предотвратить флуд в сети, но может защитить компьютер от перегрузки>. • Предотвращать подмену MAC-адреса шлюза Обнаруживает попытки атакующего связать IP-адрес сетевого адаптера шлюза со своим MACадресом, чтобы иметь возможность перехватывать пакеты. Хакер может заменить MAC-адрес своим и перенаправить трафик на контролируемый им компьютер, подменяя ARP-ответы, которые Outpost Firewall Pro обнаружит и заблокирует. Это позволяет ему просматривать пакеты и видеть все передаваемые данные. Также это позволяет перенаправлять трафик на несуществующие компьютеры, вызывая замедления в доставке данных или отказ от обслуживания. Подменяя MACадрес на Интернет-шлюзе, специализированные хакерские утилитыснифферы могут также перехватывать трафик, включая чат-сессии и прочие частные данные, такие как пароли, имена, адреса и даже зашифрованные файлы. • Защищать мои IP-адреса от ложных сообщений 'IP-адрес уже занят' Обнаруживает ситуации, когда два или более компьютеров имеют один IPадрес. Такое может случиться, если атакующий пытается получить доступ к сетевому трафику или заблокировать компьютеру доступ в сеть, но также может происходить и санкционировано, если провайдер использует несколько серверов для распределения нагрузки. При включенном параметре, Outpost Firewall Pro блокирует ARP-ответы с одинаковыми IP-адресами (но разными MAC-адресами) и таким образом защищает компьютер от последствий дублирования IP-адресов Блокировать узлы, сканирующие компьютеры в сети Ограничивает количество ARP-запросов, перебирающих IP-адреса, с одного MAC-адреса за указанный промежуток времени, что может являться сканированием локальной сети. Некоторые массово распространяющиеся вирусы перебирают узлы для распространения с одного компьютера на другой, заражая их по очереди. Этот метод также используется сканерами сети и анализаторами уязвимостей. Изучите возможности проактивной защиты Компонент Проактивная защита, входящий в состав Outpost Firewall Pro, не допускает действия таких программ и таким образом полностью защищает вас от Троянов, шпионского ПО и других угроз. Применяя технологии Контроля компонентов, Контроля Anti-Leak, Защита системы, Защита приложений и Защита файлов и папок, он обеспечивает первую линию обороны от вредоносного ПО, проактивно контролируя поведение и взаимодействие приложений на персональном компьютере. Чтобы активировать проактивную защиту, щелкните Настройки на панели инструментов, выберите страницу Проактивная защита и отметьте параметр Включить Проактивную защиту Рисунок 17 - Проактивная защита Настройка уровня защиты Anti-Leak Текущая степень защиты характеризуется настройками защиты AntiLeak, которые представляют собой комбинацию настроек для Контроля AntiLeak и Контроля компонентов. Чтобы активировать защиту Anti-Leak, щелкните Настройки на панели инструментов, выберите страницу Anti-Leak и отметьте параметр Включить Anti-Leak. Первоначальный уровень безопасности задается во время установки продукта (создания конфигурации), и может быть изменен вами в любое время в соответствии с вашими требованиями Рисунок 18 - Anti-leak Для изменения уровня безопасности щелкните Параметры на панели инструментов и выберите страницу Anti-Leak. Доступны следующие уровни безопасности: • Максимальный - обеспечивает наилучшую защиту от всех методов проникновения, часто используемых вредоносными программами для обхода средств безопасности; отслеживаются запросы на соединение от всех новых или измененных компонентов приложений; отслеживается запуск всех новых или измененных исполняемых файлов. При выборе этого уровня повышается число запросов программы, требующих реакции пользователя, поэтому он рекомендуется только для продвинутых пользователей. • Повышенный - обеспечивает наилучшую защиту от всех методов проникновения, часто используемых вредоносными программами для обхода средств безопасности; отслеживаются запросы на соединение от измененных компонентов приложений; отслеживается запуск измененных исполняемых файлов. • Оптимальный - предоставляет защиту от наиболее опасных методов проникновения; отслеживаются запросы на соединение только от изменившихся исполняемых файлов. В случае выбора Оптимального уровня безопасности, возможен отрицательный результат при прохождении некоторых тестовых программ (ликтестов). • Низкий - при выборе этого уровня Контроль Anti-Leak полностью отключается; отслеживаются только изменившиеся исполняемые файлы. Тем не менее. количество запросов программы минимально. Проверка экрана. качества функционирования межсетевого Оценку функционирования межсетевого экрана произвела с помощью программы 2ip Firewall Tester. Запустив её, предоставляется возможность достаточно просто определить, насколько правильно настроен межсетевой экран. Рисунок 19 - 2ip Firewall Tester Рисунок 20 - Обнаружено опасное соединение Рисунок 21 - Проверка пройдена При установленном Интернет-соединении программа произведет попытку установки связи с сервером её разработчиков. Если межсетевой экран настроен правильно, тогда он предпримет необходимые меры. После первой проверки переименовала FireWallTest.exe на что-нибудь известное компьютеру, что постоянно использует Интернет-соединение, например, Internet Explorer. Соответственно переименовала файл FireWallTest.exe в explore.exe. И повторила попытку теста. Как это происходит? Фаервол (firewall) может блокировать подключения по IP-адресу, используя различные методы и правила, основанные на сетевой конфигурации и настройках. 1. Списки доступа (Access Control Lists, ACL)**: Фаерволл может иметь списки IP-адресов, которые разрешены или запрещены для обмена данными через него. Если IP-адрес находится в списке запрещенных, фаерволл блокирует попытки подключения от этого IP-адреса. 2. Фильтрация трафика (Traffic Filtering)**: Фаерволл может сканировать входящий и исходящий сетевой трафик и блокировать пакеты, содержащие определенные IP-адреса в зависимости от правил фильтрации. 3. Блокировка портов (Port Blocking)**: Фаерволл может блокировать все подключения к определенным портам для определенных IP-адресов. Например, фаерволл может быть настроен на блокирование всех подключений к порту 22 (SSH) с определенного IP-адреса. 4. Стейтфул фильтрация (Stateful Filtering)**: Фаерволл может отслеживать состояние сетевых соединений и блокировать трафик, который не соответствует установленным правилам. Например, если фаерволл видит исходящий запрос на подключение от внутреннего IP-адреса к внешнему IPадресу, который не инициировался изнутри, он может блокировать этот трафик как потенциально небезопасный.