Δημιουργία εργαστηριακών ασκήσεων τεχνολογίας δικτύων στο λογισμικό προσομοίωσης δικτύων Riverbed. Πτυχιακή Εργασία Τορλαχίδου Σοφία Επιβλέπων καθηγητής: Χειλάς Κωνσταντίνος
ΕΙΣΑΓΩΓΗ Σκοπός της άσκησης είναι η μελέτη των δυνατοτήτων περιμετρικής προστασίας ενός δικτύου και των εργαλείων που προσφέρονται για το σκοπό αυτό. Έτσι δημιουργήσαμε κάποια σενάρια ώστε να καταλάβουμε καλύτερα τον σκοπό της άσκησης. Δημιουργήσαμε λοιπόν διαφορετικά σενάρια προστασίας ενός δικτύου. Τα εργαλεία που χρησιμοποιήσαμε για την προστασία του δικτύου βασίζονται σε τρεις διαφορετικές τεχνικές.
ΕΙΣΑΓΩΓΗ Οι τεχνικές είναι οι εξής: 1.χρήση τοίχου προστασίας (firewall), ο οποίος λειτουργεί ως φίλτρο πακέτων με βάση το επίπεδο εφαρμογής (proxy) 2.χρήση εικονικών δικτύων (VLANs) για την επικοινωνία απομονωμένων στοιχείων του δικτύου 3.χρήση λιστών πρόσβασης (access lists-ACL) οι οποίες λειτουργούν ως φίλτρο πακέτων στο τρίτο επίπεδο με βάση την περιοχή των IP διευθύνσεων που θέλουμε να απομονώσουμε.
Εργαστηριακή Άσκηση: Προστασία δικτύων, Firewalls, Proxy, DMZ, Access Lists Σενάριο 1 ο (Basic Scenarios) Εξοικειωθήκαμε με τη δυνατότητα που μας δίνει το Riverbed Modeler να ρυθμίσουμε με κάθε λεπτομέρεια τις παραμέτρους των δικτυακών συσκευών, όπως για παράδειγμα η διεύθυνση, η προεπιλεγμένη πύλη, κ.α.
Αποτελέσματα Σεναρίου 1 ου (Basic Scenarios) Δεν χρησιμοποιήσαμε κάποια τεχνική προστασίας δικτύου και διαπιστώσαμε ότι υπάρχει κίνηση μεταξύ των συσκευών και τα ping γίνονται κανονικά.
Εργαστηριακή Άσκηση: Προστασία δικτύων, Firewalls, Proxy, DMZ, Access Lists Σενάριο 2 ο (ExtendedACL_Filters) Ο σκοπός μας τώρα είναι να ορίσουμε στο συνοριακό δρομολογητή του δικτύου μας (Border Router) λίστες πρόσβασης και φίλτρα που θα ελέγχουν την κίνηση από τον εξωτερικό κόσμο προς το εσωτερικό δίκτυο. Έτσι βλέπουμε πως χάνεται το ping από τον εξωτερικό σταθμό προς τον εσωτερικό εξυπηρετητή 1. Αυτή είναι και η απόδειξη ότι οι λίστες πρόσβασης και τα φίλτρα που ενεργοποιήσαμε επιτρέπουν ό,τι θέλαμε να επιτρέψουμε και αποκλείουν κάθε κίνηση προς εκεί που θέλαμε να την αποκλείσουμε.
Αποτελέσματα Σεναρίου 2 ου (ExtendedACL_Filters)
Εργαστηριακή Άσκηση: Προστασία δικτύων, Firewalls, Proxy, DMZ, Access Lists Σενάριο 3 ο (ScreenedHost_Step1) Τοποθετήσαμε έναν τοίχο προστασίας (firewall) με στόχο να ελέγξουμε ακόμη καλύτερα την κίνηση από και προς το δίκτυό μας. Ο firewall θα λειτουργεί ως ενδιάμεσος (proxy) και θα υποχρεώσουμε όλη την κίνηση, από και προς το εσωτερικό δίκτυο, να περνάει μέσα από αυτόν και να φιλτράρεται. Συγκεκριμένα ρυθμίσαμε τον proxy να φιλτράρει (απαγορεύει) τη κίνηση προς εφαρμογές βάσεων δεδομένων (επομένως να αρνείται την κίνηση προς τον Internal Server 1) και να φιλτράρει (απαγορεύει) τη κίνηση προς εφαρμογές μεταφοράς αρχείων (άρα να αρνείται και την κίνηση προς τον Internal Server 2).
Αποτελέσματα Σεναρίου 3 ο (ScreenedHost_Step1) Στην αριστερή εικόνα παρατηρούμε ότι ο extst1 «βλέπει» μόνο το ping προς τον intServ2 και στην δεξιά εικόνα βλέπουμε ότι ο extst1 έχει κίνηση μόνο προς τον HTTP.
Εργαστηριακή Άσκηση: Προστασία δικτύων, Firewalls, Proxy, DMZ, Access Lists Σενάριο 4 ο (ScreenedHost_Step2) Ο συνοριακός δρομολογητής απορρίπτει πακέτα που λαμβάνονται απευθείας από το εσωτερικό δίκτυο. Η διάταξη πρέπει να επιβάλει όλη η κίνηση να περνάει μέσα και από τον proxy. Αυτό μπορεί να επιτευχθεί με χρήση VLANs.
Αποτελέσματα Σεναρίου 4 ου (ScreenedHost_Step2) Παρατηρήσαμε λοιπόν ότι στον proxy η απόρριψη πακέτων είναι πολύ μεγαλύτερη σε σχέση με του συνοριακού δρομολογητή.
Εργαστηριακή Άσκηση: Προστασία δικτύων, Firewalls, Proxy, DMZ, Access Lists Σενάριο 5 ο (ScreenedNet_and_DMZ ) Σε αυτό το σενάριο προσθέτουμε κάποιες συσκευές και αλλάζουμε λίγο τη διαρρύθμιση του δικτύου μας.
Εργαστηριακή Άσκηση: Προστασία δικτύων, Firewalls, Proxy, DMZ, Access Lists Σενάριο 5 ο (ScreenedNet_and_DMZ) Ορίσαμε λίστες πρόσβασης στον καινούριο δρομολογητή για να αρνείται τη διέλευση οποιασδήποτε κίνησης από και προς τον εσωτερικό εξυπηρετητή 1 και τροποποιήσαμε λίγο και τις λίστες πρόσβασης στον συνοριακό δρομολογητή. Με αυτές τις ρυθμίσεις καταφέραμε να δουλεύουν μονό τα ping προς τον εσωτερικό εξυπηρετητή 2.
ΣΥΜΠΕΡΑΣΜΑ Μέσα από τη μελέτη των σεναρίων μπορέσαμε να δούμε πώς με τη χρήση τοίχου προστασίας (firewalls), εικονικών δικτύων (VLANs) και λιστών πρόσβασης (access lists) προστατεύουμε έναν εξυπηρετητή τόσο από εξωτερική πρόσβαση όσο και από εσωτερική. Είναι φανερό λοιπόν πως οι τεχνικές που χρησιμοποιήσαμε μπορούν να βοηθήσουν σημαντικά στο να πετύχουμε την προστασία του δικτύου μας. Επίσης με την εφαρμογή των τεχνικών αυτών βήμα βήμα σε κάθε σενάριο μπορέσαμε να κατανοήσουμε καλυτέρα τη χρήση τους.
ΒΙΒΛΙΟΓΡΑΦΙΑ l-riverbed-modeler.html#Modeler_University_Program Guiomar Corral, Agustin Zaballos, Cesc Canet, “Proposal of new challenge labs for the OPNET IT Guru Academic Edition,” OPNETWORK'2004, Washington: onfiguration/guide/fsecur_c/scfacls.html BA%CE%BF%CE%BD%CE%B9%CE%BA%CF%8C_ %CE%B4%CE%AF%CE%BA%CF%84%CF%85%CE %BF BA%CE%BF%CE%BD%CE%B9%CE%BA%CF%8C_ %CE%B4%CE%AF%CE%BA%CF%84%CF%85%CE %BF
ΒΙΒΛΙΟΓΡΑΦΙΑ CISCO, “Configuring IP Access Lists,” CISCO Document ID: 23602, Updated: Dec 27, 2007, Προσβάσιμο στη διεύθυνση: firewall/23602-confaccesslists.html firewall/23602-confaccesslists.html CISCO, “Configuring Commonly Used IP ACLs,” CISCO Document ID: 26448, Updated: Sep 26, Προσβάσιμο στη διεύθυνση: lists/26448-ACLsamples.html lists/26448-ACLsamples.html Douglas E. Comer, ΔΙΚΤΥΑ ΚΑΙ ΔΙΑΔΙΚΤΥΑ ΥΠΟΛΟΓΙΣΤΩΝ και εφαρμογές τους στο Internet, 4 η Αμερικανική έκδοση, Εκδόσεις Κλειδάρθιμος. Michael E. Whitman, Herbert J. Mattord, Andrew Green. Guide to Firewalls and VPNs. Delmar Cengage Learning; 3 edition, 2011