Hoofdstuk 8 Netwerkverkeerbeveiliging 8.1 Inleiding 190 Netwerlcverkeer analyseren sE o RE 1G 1N G ~ 8.2 oPLos s 1N G ~ PRACTICUM~ Oneigenlijk computer- en netwerkgebruik 8.3 Monitoren 192 8.3.1 Netwerkkaart monitoren 192 8.3.2 LAN monitoren 197 8.3.3 Poorten monitoren 199 8.3-4 Proxyserver 200 8.4 Wireshark 200 8.4.1 Wireshark basis 201 8.4.2 Netwerkverkeer filteren 206 8.4.3 Datastroom analyseren 209 Netwerk beveiligen BEDREIGING~ OPlOSSING~ PRACTICUM~ 8.5 Hackers 209 8.6 FfrewaU 210 8.6.1 Firewallfilters 211 8.6;2 Firewall producten 212 8.6.3 Intrusion Detection System 213 8.6.4 Honeypot 214 8.6.5 Unified threat management 214 8.7 Firewall installeren en testen 214 8.7.1 Zonder firewall l15 8.7.2 Windows Firewall 220 8.7.3 Sygate Personal Firewall 221 8.7.4 Sygate Personaf Firewall regels 224 8.8 Samenvatting 23.0 191 8 Inleiding Dit hoofdstuk behandelt het beveiligen van netwerkverkeer. We begeven ons dagelijks op computernetwerken, van ons online thuisnetwerk tot de grote computernetwerken van kantoren en scholen. Aangezien er grote stromen met verschillende soorten data kriskras door het netwerk gaan, is het belangrijk dat we ervoor zorgen dat al deze informatie .goed beveiligd is. Daarmee willen we ons beschermen tegen de effecten van malware, hackers en dergelijke en de privacy van de gebruikers van deze computernetwerken waarborgen. Wanneer een computersysteem \J·an binnen of buiten a.angevaUen wordt, maakt de aanvaller bijna altijd gebruik van een proces dat een netwerk nodig heeft om een · verbinding tot stand te brengen. In dit hoofdstuk zullen we deze interactie nader onderzoeken en we zulten onderzoeken hoe we meer inzicht krijgen in het netwerkverkeer, oftewel wat er 'onder de motorkap' gebeurt. We kijken specifiek naar enkele netwerkprotocollen en gaan het netwerkverkeer op bepaalde poorten na. Met poorten worden netwerkpoorten bedoeld, specifiek de TCP en UDP poorten die onderdeel uitmaken van het internetprotocol (lP}. In dit hoofdstuk analyseren we eerst het netwerkverkeer. Vervolgens bekijken we hoe we een netwerk kunnen beveiligen. Bij het analyseren van netwerkverkeer gaan we vaststellen welke activiteiten we op een netwerk kunnen waarnemen. Ook gaan we kijken naar actieve processen in het geheugen en welke poorten deze processen gebruiken. Ook zuUen we het net monitoren op specifieke activiteiten. Bij het gedeelte over netwerkbeveiliging bekijken we hoe de activiteiten van het netwerkverkeer zo gefilterd worden dat daar alleen de door ons toegestane data overheen gaat. Leerdoelen In dit hoofdstuk leer je 1> datastromen herkennen aan de poort waarover deze gaan, 1> de datastroom analyseren, 1> de interactie tussen poorten en processen inzichtelijk te krijgen en op risico te beoordelen, 1> hoe je het netwerkverkeer moet beveiligen. 190 I ICT SECURITY Vereiste voorkennis Om dit hoofdstuk goed te begrijpen en het practicum uit te kunnen voeren, is het noodzakelijk dat je de volgende voorkennis bèzit: t> basis netwerkkennis (o.a. het 051 model en de TCP/IP protocolstack), t> verschillende soorten netwerkhardware (o.a. switch, hub), t> wat malware is (hoofdstuk 4), t> hoe de opdrachtprompt gebruikt moet worden (onder andere hoofdstuk 6 en 7). Netwerkverkeer analyseren 8.2 ~uuumGsNc; ~ Oneigenlijk computer- en netwerkgebruik Wanneer we verantwoordelijk zijn voor het beheer van een computer of een computernetwerk worden we meestal geconfronteerd met computergebruikers die, bewust of onbewust, de beschikbaar gestelde middelen voor andere doeleinden gebruiken. Zo wil het nog wel een voorkomen dat computergebruikers binnen een kantoor- of schoolomgeving hun werk wat willen veraangenamen door naar muziek te luisteren. Omdat ze niet in staat zijn hun gehele cd-collectie mee te nemen naar het kantoor, wordt er wel eens een softwareprogramma geïnstalleerd waarmee muziek gedownload kan worden, met alle problemen van dien. Ook wordt het bedrijfs- of schoolnetwerk gebruikt om de laatste films te downloaden. Daardoor is de kans op malware op het netwerk enorm toegenomen, is het bedrijf ineens verantwoordelijk voor schending van het auteursrecht en wordt er bandbreedte ingenomen. Verder hebben we de Trojanen die bijvoorbeeld in rondgestuurde E-cards of in een grappige PowerPointpresentatie kunnen zitten. Tot slot hebben we ongewenst netwerkverkeer in de vorm van bijvoorbeeld spelletjes die over een computernetwerk gespeeld kunnen worden. Dit komt (heel soms) voor op een schoolnetwerk. Risico Hoog 8 N ET w ERKV ER K EER BE V EI Ll G I N G I 191 8 oP ss!NG ~ Monitoren Het oneigenlijk gebruik van een computer of een netwerk kunnen we tegengaan met een serie aan maatregelen. De eerste stap in dit proces is het vaststellen of er oneigenlijk gebruik gemaakt wordt van deze middelen. Dit vaststellen doen we voornamelijk door het, soms steekproefsgewijs, monitoren van een computer of netwerk. Onder het monitoren verstaan we het nauwlettend bekijken wat er zich allemaal afspeelt. Door de activiteiten goed te bekijken, de individuele processen te onderscheiden en te filteren op bekend ongewenst netwerkverkeer kunnen we de netwerkactiviteiten zo beheersbaar mogelijk houden. s.3.1 --t Netwerkkaart monitoren Er gaat allerlei verkeer over onze netwerkkaart heen, vaak zelfs zonder dat wij dit doorhebben. Van e-mail- en internetverkeer tot een netwerkprinter die zichzelf 192 ! !CT SECURITY bekend maakt via het netwerk. Al dit verkeer is zichtbaar te krijgen. Wanneer we het verkeer zichtbaar hebben is het echter wel van belang om te weten wat we zien. Om het resultaat goed te kunnen beoordelen is het van belang om in ieder geval een basiskennis te hebben van het 051 model (figuur 8-1). Het 051 model FIGUUR 8-1 051 model Om dit verkeer te zien kunnen we gebruik maken van een netwerksniffer. Een netwerksniffer, ook wel packetsniffer genoemd, is in staat om alle pakketjes die over een netwerkkaart gaan te bekijken en op te slaan. Een bekend open souree netwerksnifter is Wireshark. Wireshark toont niet alleen de waarde van elke pakketje, ook de data per OSI laag staat gegroepeerd. Met Wireshark is het onder andere mogelijk om filters te schrijven (hierover later meer in het practicum Wireshark). Stel dat ik verbinding maak met de website http://www.brinkman-uitgeverij.nl. Dan laat ik mijn computersysteem een verzoek doen verbinding te maken met de webserver van brinkman-uitgeverij.nl (figuur 8-2). Ik wil jouw webpagina bekijken. ------- FIGUUR 8-2 ----- -------P- Webserver verzoek Wanneer we het pakketje dat verstuurd word nader bekijken zien we dat we, zoals altijd binnen het OSI model, op meerdere lagen tegelijk communiceren. We communiceren nu onder andere op: 1:> laag 7: de applicatielaag, omdat ik http pakketjes wil ontvangen, 8 NET wE RI( VERKEER BE V E lll GING I 193 laag 4: de transportlaag, omdat ik verbinding maak met de standaardpoort waar webservers op luisteren, poort 80, 1> laag 3: de netwerk1aag, ,omdat ik verbinding maak met het lP adres van brinkman-uitgeverij.nl, 81.26.209.71. 1> Het geheel ziet er als volgt uit (figuur 8-3): FIGUUR 8-3 Netwerkpakketje webserver verzoek Wanneer we met een netwerksnifter naar het pakketje kijken zien we het volgende (figuur 8-4): FIGUUR 194 I 8-4 Netwerkpakketje bekeken met Wireshark ICT SECURITY Laten we de informatie uit Wireshark eens bekijken aan de hand van de drie eerder gekozen lagen. We beginnen met laag 3 uit het 051 model: de netwerklaag. Zonder de netwerklaag uitgebreider te bekijken (elke laag is open te vouwen door op het plusje te drukken) zien we het lP adres van de zender van het pakketje en het lP adres van de ontvanger van het pakketje (figuur 8-s). FIGUUR 8-5 Netwerkpakketje bekeken met Wireshark, laag 3- netwerklaag Vervolgens bekijken we de vierde laag: de transportlaag. Ook hier zien we meteen in de omschrijving de belangrijkste informatie staan: het poortnummer waar we verbinding mee willen maken, namelijk de webserver poort: poort 80. Wederom staan de gegevens· van onze eigen netwerkkaart er ook, in dit geval vanaf welke poort het netwerk pakketje afkomstig is, namelijk poort 1048. Wireshark kent de meeste poorten en hun functies en zet bij poort 8o 'http' neer {figuur 8-6). Tot slot kijken we naar laag 7, de applicatielaag. Hier willen we de informatie iets uitgebreider bekijken. Wanneer we dit'doen zien we onder andere informatie over de browser waarmee er naar de website gekeken wordt {figuur 8-7). 8 NETWERI<VERI<EERBEVEILIGING I 195 FIGUUR 8-6 Netwerkpakketje bekeken met Wireshark, laag 4- transportlaag Accept-unguaiJll: nl\r\n UA•CPU: X86\r\n <:onoec1:ion: Keep-Alive\r\n \r\n FIGUUR 8-7 Netwerkpakketje bekeken met Wireshark, laag 7- applicatielaag Met een netwerksnifter is het mogelijk om het verkeer dat over jouw netwerkkaart gaat te monitoren en analyseren. 196 I !CT SECURITY s.3.l -7 LAN monitoren Met een sniffer is het ook mogelijk het verkeer op een LAN netwerk te monitoren. Op deze manier kunnen we in bijvoorbeeld Wireshark een filter aanmaken op het MSN messenger verkeer op ons LAN. Voor MSN messenger wordt standaard port 1863 gebruikt, dus wanneer we het verkeer van honderden pc's voorbij zien komen filteren we op port 1863 om te zien of er iemand aan het chatten is. Bij een LAN zijn er wel een tweetal zaken van belang wanneer we gaan sniffen: 1> de fysieke locatie van de sniffer in het LAN, 1> de status van de netwerkkaart. Locatie van de snifter Bij het sniffen van het verkeer op een LAN moet de sniffer wel op de juiste plek staan om al het verkeer voorbij te zien komen. Wanneer we een LAN hebben waar gebruik wordt gemaakt van hubs maakt de locatie weinig uit. Bij een hub wordt elk netwerkpakketje van ieder computersysteem naar alle poortjes op de hub gestuurd. Op deze manier ontvangt elk werkstation alle pakketjes van alle werkstations. Terwijl een switch, in tegenstelling tot een hub, de datapakketjes alleen bezorgt op het poortje waar het computersysteem op aangesloten zit en waar de pakketjes voor bedoeld zijn. In deze situatie moeten we zorgen dat we de sniffer op een punt zetten waar bijvoorbeeld al het internetverkeer samen komt, bijvoorbeeld tussen het netwerk en de firewall of reuter. Op deze manier vangen we al het netwerkverkeer van en naar het internet op, en kunnen we deze analyseren op soorten verkeer. De status van de netwerkkaart Een netwerkkaart staat normaal zo ingesteld dat wanneer deze een pakketje ontvangt, dit pakketje eerst door laag 1 gaat, dan door laag 2, enzovoort, om zo uiteindelijk bij laag 7 aan te komen en door de processor verwerkt te worden. Wanneer dit pakketje voor een ander computersysteem bedoeld is, heeft het pakketje een ander MAC adres als bestemming. Wanneer een computer een pakketje ontvangt dat bedoeld is voor een ander MAC adres, accepteert deze het pakketje niet en wordt het pakketje genegeerd (laai het computersysteem het pakketje 'vallen'). Wanneer wij dus gaan sniffen zien wij alleen de pakketjes die voor ons bedoeld zijn, of die wij zelf versturen (figuur 8-8). We kunnen echter de netwerkkaart in Promiscuous Mode zetten. Hiervoor gebruiken we WinPcap, dat meegeleverd wordt met Wireshark. Wanneer een netwerkkaart in Promiscuous Mode staat worden alle netwerkpakketjes, langs atle OSllagen, doorgestuurd naar de processor, ongeacht het MAC adres waar het pakketje voor bedoeld is (figuur 8-9). 8 N ET wERKV ER K EE RB EV Elll G i N G I 197 Pakketje voor MAC adres: 00-13-9F-80-9C-4C FIGUUR Pakketje voor MAC adres: OO-A3-FF-BS-44-38 8-8 Normaal netwerkverkeer wordt gefilterd op laag 2 Pakketjes voor overige MAC adressen: XX-XX-XX-XX-XX-XX Pakketje voor MAC adres: 00-13-9F-80-9C-4C FIGUUR 8-9 Netwerkkaart in Promiscuous Mode past geen filter toe op laag 2 Op deze manier kunnen we al het verkeer langs zien komen. Het computersysteem reageert echter alteen op pakketjes die voor het eigen MAC adres bedoeld zijn, alle overige pakketjes worden alleen waargenomen en opgeslagen. 198 I ICT SECURITY ~L3.3 -7 Poorten monitoren Een manier om te zien of er bijvoorbeeld geen Trojaan vriendelijk een achterdeur openhoudt voor willekeurige bezoekers, is om te kijken welke poorten er open staan. Het monitoren van poorten kan met een aantal verschillende software tools. Netstat De meest voor de hand liggende softwaretoo.l is Netstat, dat zowel onder Windowsals Linuxbesturingssystemen werkt. Figuur 8-10 laat de actieve poorten zien: ieue verbindingen Lekaal a~a 1.8.8.8:1.35 . 8.1.8.8:445 8.1.8.8:3319 127.8.8.1:11126 12'1.8.8.1t1i:l4 12'1.8.8.1;31616 1U .161.11.13811i9 . 192.168.233.129:139 192.168.233.129:3389 fiGUUR 8-10 Jhr.tem adrea 8.1.8.8:8 a.8 ..8.8:8 8.1.8.8:8 8.8.8.8:8 12'1.8.8.1:1113 8.1.8.111:8 8.8.8.8:0 ..........,. 192.168.233.1:1323 Netstat We zien nu dat er een aantal poorten (het nummer achter de dubbele punt) openstaat met de status Bezig met luisteren. Hoewel we nu weten dat deze poorten actief zijn, zegt ons dit nog weinig over wat er gebeurt op deze poorten. Fport Wanneer we echter gebruik maken van de software tooi FPort van het bedrijf Foundstone, zien we niet alleen de openstaande poort, maar ook het proces 10, de naam van het proces en het pad naar de executabel. We zagen bij Netstat al dat bijvoorbeeld poort 30606 open staat. Wanneer we naar de resultaten van FPort kijken zien we dat poort 30606 opengehouden wordt door ekrn.exe: een proces van onze virusscanner NOD32 (figuur 8-n). Zoals we kunnen zien biedt FPoft redelijk wat extra functies ten opzichte van het standaard Netstat. 8 NETWERKVERKEERBEVEILIGING I 199 P PPDcess to Port Mapper loc. Poundstone~ ,--.;•;u•r,._,,._f'CIIUIIdS"llll8 .COlli Port -> ,Ufi; -> Ut -> 445 -> 11126 -> 11 -> 11 -> -> -> FIGUUR 8-11 3 Netstat s. 3. 4 -7 Proxyserver Een proxyserver is een server die zich in een netwerk tussen twee computersystemen bevindt. Proxy is het Engelse woord voor tussenpersoon, proxyserver is dus 'een server die als tussenpersoon fungeert'. Een veel gebruikte toepassing voor een proxyserver is web proxy. Een web proxy is een softwarematige oplossing die men op een computersysteem instàlleert en die vervolgens de tussenpersoon is tussen de netwerkgebruikers en het internet. Alle gebruikers delen dezelfde internetverbinding en elke connectie met het internet loopt dan via de web proxy. Dit biedt allerlei voordelen, maar met het oog op het monitoren biedt een webproxy het voordeel dat alle internetgebruik van het netwerk redelijk eenvoudig in beeld te brengen is. Een open souree web proxy is Squid cache. Deze gratis oplossing maakt het mogelijk om op een netwerk een web proxy te hebben. Een voorbeeld van een commerciële web proxy is Microsoft lnternetSecurity and Acceleration Server 2006. Deze tooi is niet alleen een uitgebreide firewall, maar kan ook als web proxy dienen en volledig geïntegreerd worden met de Active Directory. PRAcracuM -7 Wireshark In dit practicum gaan we met de netwerksnifter Wireshark het netwerkverkeer monitoren. Dit is een practicum in drie delen: 1> eerst gaan we Wireshark installeren en configureren, 1> vervolgens analyseren we met een aantal filters het netwerkverkeer, 1> tot slot analyseren we, aan de hand van een reeds bestaande verzameling netwerkpakketjes, wat er voor verkeer heeft plaats gevonden. 200 I ICT SECURITY Voor dit practicum heb je nodig: t> een werkstation, t> een internetverbinding, t> het werkblad 'Werkblad Wireshark.doc'. Tijdsduur:± 1:30 uur. 8.4.1 -7 Wireshark basis We gaan eerst Wireshark downloaden en de basisfuncties verkennen. 1. Log in op je werkstation. 2. Open je favoriete webbrowser en ga naar http://www.wireshark.org. 3. Download Wireshark door op Get Wireshark Now te klikken. 4. Start de Wireshark installer. Indien Windows met een beveiligingswaarschuwing komt, kies dan voor Uitvoeren. 5. Installeer Wireshark met de volledige opties, tot de installatie van WinPcap verschijnt. 6. WinPcap is een aparte module die er voor zorgt dat de netwerkkaart in Promiscuous Mode gezet kan worden, indien de hardware dat kan. Wanneer het wizardvenster lnstall WinPcap verschijnt, zorg dan dat lnstall WinPcap X.X.X aangevinkt is en maak de installatie vervolgens af met de standaardopties (figuur 8-12). FIGUUR 8-12 WinPcap installatie 8 N ET wE Ri< V E R I< EE R B EV Elll G i N G I 201 7. Start Wireshark. 8. Klik achtereenvolgens op Capture --7 Interfaces. 9. Het venster met de verschillende netwerkkaarten, of interfaces, verschijnt. Als we dit venster bekijken is de kans groot dat we verschillende pakketjes voorbij zien komen doordat het nummer onder Packets oploopt {figuur 8-13). Klik op Options achter de netwerkkaart waarmee je aan het internet verbonden bent. FIGUUR 8-13 Wireshark interfaces 10. Het Wiresharkvenster Capture Options verschijnt. Zorg dat in dit venster Capture packets in promiscuous mode aangevinkt staat (figuur 8-14). Noteer in het 'Werkblad Wireshark.doc' wat de status is van de netwerkkaart. Klik op Start om te beginnen met het verzamelen van pakketjes. FIGUUR 8-14 Wireshark Capture Options -------------------------------------------------------------202 I ICT SECU RITY 11. Open, zodra Wireshark gestart is met het verzamelen van data, een webbrowser en navigeer naar een website naar keuze. Noteer het website-adres in het 'Werkblad Wireshark.doc'. 12. Wanneer de website geladen is, laat je de browser open staan en ga je terug naar Wireshark. Klik op Capture -7 Stop. 13. je krijgt de resultaten te zien. 14. Zoek de eerste twee lichtblauw gekleurde pakketjes. Hier is een ONS verzoek gedaan om het lP adres van de bezochte website te verkrijgen. Navigeer naar het tweede ONS pakketje en vouw achtereenvolgens de Domain Name System (response) -7 Answers -7 www.domeinnaam.nl open. 15. Wanneer we de data in het pakketje bekijken, zien we dat de ONS server antwoord heeft gegeven en we zien het lP adres van de website, in het voorbeeld 81.26.209.71 (figuur 8-15). Noteer het lP adres in het 'Werkblad Wireshark.doc'. ËJ AA:SWE!I"S r,a \V!WI.br1nkmq.n-uitgeverij.n1: 'type A, class IN, addr 81. 26.209.71 Name: WIWI. br"'nkman-u1tgeverij. n1 Type: A (Host address) class: IN (Ox0001) Time to live: 4 hours Data length: 4 Addr: 81.26.209.71 FIGUUR 8-15 Wireshark ONS antwoord 16. Ga terug naar de browser en bekijk de broncode van de pagina. Voor Internet Explorer 7: Klik achtereenvolgens op Pagina -7 Bron weergeven. Voor Firefox 2: Klik achtereenvolgens op Beeld -7 Paginabron. 8 N ET w ER I< V ER!( EER B EV ElU G I N G I 203 17. Bekijk de broncode, kopieer deze en plak de inhoud van de broncode in 'Werkblad Wireshark.doc' {figuur 8-16). <met a htt:p-equiva"Com:em-Type'' cont:em~"text:/ht:ml; <met a http-equiv="cont:ent-Language" content•"nl" /> <meta http-equ1v="Exp1res" content="+5 days" /> <met a name""resource-tyP,e" content="document" /> .qneta name="descript:ion' content="" /> .qneta name="keywords" content:="" /> <meta name~"aut.hor" content="Synetic" /'>.qnet:a name•"copyri9ht:" cont:ent="synetic" />. <met a name="robots content="a 11" /> <title;.erinkman uitgeverij</tit1e:> charset:~i so-8 <link relw"st:yl es heet" href="hnp :/;w.m. brinkman-uitgeverij. nl/cs <script src•"ht:tp ://w.hl. brinkman-uitgeverij. nl/j avascript/Swfobje <!--[if IE)> FIGUUR 8-16 Broncode 18. Terug bij Wireshark. Klik met de rechtermuisknop op het eerste HTIP pakketje na de DNS pakketjes. Kies uit het contextmenu de optie Follow TCP Stream (figuur 8-17}. Deze optie filtert alle pakketjes die in dezelfde datastroom zitten. (9 Set r.me Refsrence (rogç,!e) Apply as Filter Prepare a R&er Conversation R!ter • •. E• • u .. @... • . . . . Q.• • G••• P.4 E.K.gAP • •••••• GE /LL.Ac FIGUUR 8-17 TI HTTP · : im Wireshark Follow TCP Stream optie 19. Het venster Follow TCP Stream verschijnt. Wanneer we iets naar beneden scrollen, zien we dezelfde broncode van onze webpagina weer (figuur 8-18). Kopieer 204 I I cT s Ecu RI T y en plak de inhoud van het Follow TCP Stream venster in het •werkblad Wireshark. doe'. bril'lk~h;;;Uttgevétij .ri111ndéx. phl)?i'doo:t''>Br1nkma:n maanterk</em> FIGUUR 8-18 lJ1tgéVét1j</l!>< Wireshark Follow TCP Stream Het is dus mogelijk om de netwerkdata die over een netwerkkaart heen gaat te filteren en vervolgens te reconstrueren. We hebben met een snifter netwerkverkeer bekeken. Nu gaan we filters toepassen op ons netwerkverkeer. Om te controteren of een computersysteem 'aan' staat, kunnen we naar een computersysteem het PING commando sturen. Als deze aan staat krijgen we een reactie en anders niet. Het PING commando werkt als een soort echo. We kunnen dit commando uitvoeren door in de opdrachtprompt te typen: ping lP-adres Wanneer het systeem aan staat en reageert op het PING commando krijgen we een antwoord, anders krijgen we een time-out. 8 N ET w ERKV ER K EER BE V Elll G I N G I 205 s.4.1 ~ Netwerkverkeer filteren 20. We gaan nu wat meer data verzamelen. Voor een periode van minimaal vijf en maximaal tJen minuten m,aak je ~epruik van het netwerk terwijl je met ~ireshark aan het luisteren bent. In deze tijd doe je in ieder geval de volgende dingen: bezoek minimaal tien verschillende websites, maak minimaal drie verschillende zoekopdrachten met Google, PING een ander computersysteem op het LAN (mag ook de router zijn). Zorg ervoor dat alle bezochte websites, zoektermen in Google en pinggegevens genoteerd zijn in het 'Werkblad Wireshark.doc'. 21. Start in Wireshark een nieuwe sessie. Klik wederom achtereenvolgens op Capture ~ Interfaces en klik op Start achter de juiste netwerkkaart. 22. Voer al1e acties uit en noteer de acties in het werkblad. 23. Wanneer er voldoende tijd is verstreken en alle acties zijn uitgevoerd, klik je op Capture ~ Stop. 24. We gaan kijken hoe we de pingpakketjes uit de data kunnen filteren. Aangezien pingpakketjes onderdeel van het ICMP protocol uitmaken, typen we in het filterveld 'icmp'. Het filterveld is rood tijdens het typen, wat aangeeft dat de filter nog niet compleet is. Zodra we echter de laatste letter intypen wordt het veld vanzelf groen om aan te geven dat het een juist filter is. Klik op Apply. 25. We zien nu alleen nog alle pingpakketjes. Aangezien het PING commando onder Windows standaard vier maal uitgevoerd wordt, zien we vier maal een request en vier maal een reply (figuur 8-19). 26. Klik met de rechtermuisknop op het eerste ping request pakketje en klik in het contextmenu op Copy ~ Summa!y (Text}. De samenvatting van dit pakketje is naar het clipboard gekopieerd. Plak de inhoud nu in het 'Werkblad Wireshark. doe'. 27. Kopieer en plak de samenvatting van het eerste ping reply pakketje in het 'Werkblad Wireshark.doc'. 206 I I cT 5 Ecu RIT y .. • <.< .••• v ....... . • • • o\,. • • . abcdef ~.~ ~fqrstuv !!1111~21 FIGUUR 8·19 Wireshark ICMP filter 28. Er zijn honderden verschillende filters die Wireshark aan kan. Vete filters zijn ook zetf samen te stellen met behulp van een wizard. Laten we eens een filter maken voor al het verkeer over poort 80. Met een selectie van poort 80 hopen we het meeste webverkeer te kunnen filteren. Eerst maken we de filter weer leeg, klik op de knop Clear naast het filterveld. 29. Klik op de knop Expression, deze bevindt zich ook naast het filterveld. Het venster Filter Expression verschijnt. Ga bij Field name naar TCP en kies daar vervolgens tcp.port, omdat we een TCP poort gaan filteren. Kies bij Relation voor ==, omdat het precies gelijk moet zijn aan de waarde. Type in het rechtervak 80, dit is het poort nummer. Klik tot slot op OK (figuur 8.20). 30. In het filtervenster verschijnt de fÎiter tcp.port == 80, de filter is nog niet toegepast. Klik op Apply om deze toe te passen. 31. De filter is toegepast. We zien nu alleen het poort 8o verkeer (figuur 8.21). 8 N ET w ERKV ERKEER BE V EI Ll G I N G I 207 FIGUUR 8-20 Wireshark filter expressie FIGUUR 8-21 Wireshark filter 32. Ontwikkel zelf een filter voor al het DNS verkeer. Schrijf de filter op in het 'Werkblad Wireshark.doc'. 33. Pas de filter toe, maak een screenshot van het resultaat in Wireshark, en plak de screenshot in het 'Werkblad Wireshark.doc'. 208 I ICT SECURITY 34. Ontwikkel, om echt de Wiresharkfilters onder de knie te krijgen, een filter voor alle zoekopdrachten in Google. Schrijf de filter op in het 'Werkblad Wireshark. doe'. 35. Pas de filter toe, maak ook van het resultaat van deze filter een screenshot en plak het resultaat in het 'Werkblad Wires,hark.doc'. We hebben een aantal filters toegepast op het netwerkverkeer. Nu gaan we een grotere datastroom analyseren. 8.4.3 --7 Datastroom analyseren 36. Ga naar http://www.ict-security-boek.nlfoefeningen/wireshark, en download het bestand netwerkverkeer.zip. 37. Pak het bestand netwerkverkeer.zip uit en open het uitgepakte bestand in Wireshark. 38. Geef een zo uitgebreid mogelijke beschrijving van de netwerkactiviteiten die in dit bestand geregistreerd zijn. Het practicum samengevat: 1> er is een netwerksnifter geïnstalleerd, 1> er zijn filters toegepast om specifieke informatie uit het netwerkverkeer te filteren, 1> er is een uitgebreide analyse geweest van stroom netwerkverkeer. Netwerk beveiligen 8.5 se~>ln:HGII\IG --7 Hackers Een netwerk kan om meerdere redenen onderwerp van interesse worden voor hackers en andere malafide personen. Wanneer een hacker een gewone pc kraakt kan de hacker de data misbruiken. Ook kan hij de hardware gebruiken om iets op te slaan of om vandaar het volgende systeem te hacken. Bij een netwerk is dit hetzelfde, echter 8 NETWERKVER KEERBEVEILIGING I 209 op veel grotere schaal. Wanneer de beschikbare data misbruikt wordt kan dit kan veel meer geld opleveren. En wanneer een hacker de hardware van een heel netwerk in handen heeft gekregen kan bijvoorbeeld de dataopslag van een netwerk gebruikt worden om grote hoeveelheden illegale data op te slaan. Daarnaast kan de rekenkracht misbruiktworden om eenaanvaLopeen ander netwerk uitte voeren; denk bijvoorbeeld aan een DOoS aanval, waar'over meer in h'oofdstuk 15. Hackers kunnen niet alleen zorgen voor een grote schadepost wanneer ze verschillende soorten malware loslaten op ons netwerk, maar wanneer er data verloren gaat, of openbaar wordt, kan dit een nog veel grotere schadepost betekenen. Zoals we in hoofdstuk 4 hebben kunnen tezen gaat een hacker stapsgewijs te werk. In het kort nogmaals de vier stappen op een rij: 1. doelwit verkennen 2. scannen van doelwit 3. toegang verkrijgen 4. toegang behouden Risico Middel ora.ossuNG ~ Firewall Een firewall schermt twee netwerken of systemen van elkaar af (figuur 8-22). Een firewall beschermt een netwerk voor ongewenst verkeer vanuit de buitenwereld. Op deze manier krijgt ongewenst verkeer uit de buitenwereld geen toegang tot het netwerk en gewenst verkeer wel. Maar,een firewall beschermt ook tegen van binnen naar buiten gaan van ongewenst verkeer, denk bijvoorbeeld aan een Trojaan die verbinding zoekt met de aanvaller. Een firewall kan op twee {OSI} lagen werken, te weten laag 3, de netwerklaag en laag 7, de applicatielaag. 210 I ICT SECURITY FJGUUR 8·22 8.6.1 --1 Flrewall Firewallfilters Een firewall kan op meerdere manieren filters toepassen. We bespreken elk van de manieren. Packet filtering firewalt Een packet filtering firewall werkt op laag 3, de netwerklaag. Deze firewall kijkt op de netwerklaag naar de pakketjes die voorbij komen en aan de hand van filters mag een pakketje wel of niet door. Wanneer we naar het stappenplan van een hacker kijken, zijn er stappen waar we meer en waar we minder aan kunnen doen. Stap 1 -doelwit verkennen, is een stap die voornamelijk door het gebruik van open bronnen wordt gekenmerkt. Hoewel we wel enige invloed hebben op wat er in openbare bronnen voor informatie beschikbaar is, is deze invloed beperkt. Op stap 2 en 3, respectievelijk scannen van doelwit en toegang verkrijgen, hebben we wel veel invloed. Wanneer de hacker tijdens het scannen van het netwerk pakketjes verstuurt, hoopt hij dat het antwoord dat terug komt meer informatie verschaft over de hardware en software die er bij het doelwit gebruikt wordt. Een goede packet filteringfirewall geeft zo min mogelijk informatie weg. Met een packet filtering firewall kunnen we instellen welke poorten er open staan, vanaf welke lP adressen er verbinding met het netwerk gemaakt mag worden, om welke tijden er verbinding gemaakt mag worden, en oog vele andere opties. 8 N ET wERI< VER K EER BE V Elll G I N G I 211 Applicatielaag firewall Een applicatielaag firewall, ook wel een application layer firewall, werkt op laag 7, de applicatielaag. Voor elke applicatie wordt gekeken of deze verbinding mag maken. Zo kunnen bijvoorbeeld ook virussen aan de poort tegen gehouden worden. Wanneer we in onze packet filtering firewall instellen dat een standaard P~.er to peer (in het vervolg P2P) poort dicht zit, kunnen we niet voorkomen dat de P2P software over een andere poort gebruikt wordt. Een applicatiefaag firewall is echter in staat de P2P software überhaupt geen toegang te verlenen. De beste firewall is natuurlijk een combinatie. Wanneer we zorgen dat we met packet filtering 99°/o van de poorten dicht gooien, kunnen we het overige verkeer dat over de openstaande poort gaat, filteren met een applicatielaag firewall. Statetuil firewall Een statefull firewall is een firewall die aan statefuif packet inspeetion doet. Met andere woorden: het is een firewall die de status van een netwerkpakketje bijhoudt. Een statefull firewall kan bijhouden of de pakketjes die door de firewall heen gaan een legitieme inhoud hebben. Statefull packet inspeetion ziet er op toe dat de juiste stappen in het opzetten van een verbinding worden genomen. Dit voorkomt dat hackers een verbinding opzetten met niet standaard pakketjes. s.6.l ~ Firewall producten Er zijn meerdere firewall producten beschikbaar. Eerst bespreken we twee softwarematige firewalls en vervolgens wat een hardwarematige firewall is. Twee populaire softwarematige producten voor bedrijven zijn lptables en Microsoft Internet Security and Acceleration Server 2006. lptables . Strikt genomen is lptables de tooi waarmee in Linux het raamwerk netfilter beheerd wordt. Maar meestal bedoelt men met lptables het geheel waarmee binnen Linux een firewall ingericht en beheerd kan worden. Er zijn verschillende manieren en tools waarmee lptables geconfigureerd kan worden tot een zeer gedegen statefull firewall. Microsoft Internet Security and Acceleration Server 2006 We hebben bij de uitleg over proxyservers het al even kort over Microsoft Internet Security and Acceleration Server 2006 (ISA server) gehad. ISA server is in de eerste plaats een firewall. Echter, naast de standaard firewallfuncties kunnen we met ISA 212 I ICT SECURITY server ook VPN verbindingen opzetten, FTP en webmail sessies integreren met de Active Directory, en nog veel meer. Hardware firewall T;ot slot is het ook mogelijk om een hardwarematige firewall te gebruiken. Hoewel deze meestal een stuk prijziger zijn dan een softwarematige firewall, is de veiligheid van eenhardwarematige firewaU meestal beter. De hardwarematige firewallwordt vaak bij groterenetwerken gebruikt. FIGUUR 8.6.3 -7 8-23 Voorbeeld van een hardware firewall Intrusion Detection System Een geavanceerd product dat naast een firewall kan staan is een intrusion detection system (lOS). Waar een Firewall alleen pakketjes blokt of toelaat is een lOS in staat om een aanval waar te nemen. Een IDS is eigenlijk een alarmsysteem. Intrusion Prevention System Sommigen beschouwen een intrusion prevention system (IPS) als een geavanceerde versie van een lOS, en weer andere beschouwen een IPS als een op zichzelf staande techniek. Waar iedereen het over eens is, is dat een IPS erg handig is. Een IPS is in staat een aanval te detecteren en vervolgens actie te ondernemen, door bijvoorbeeld al het verkeer van de aanvaller te blokkeren en het overige verkeer door te laten. false positives Een term die we vaak binnen de ICT Security tegenkomen is false positives, oftewel valse positieven. Met andere woorden: een valse detectie van een aanval of malware. Dit kan bijvoorbeeld een e-mail zijn diè tegengehouden is omdat het computersysteem dacht dat het een spam mail was terwijl het een legitieme e-mail was. De kritiek op IDS/IPS systemen is dat er vaak vele false positives zijn, oftewel: vaak denkt een JDS/IPS ten onrechte dat hij aangevallen wordt. Het is dus zaak een IDS/IPS goed te configureren zodat het aantal false positives zo laag mogelijk is. In hoofdstuk 15 gaan we uitgebreid in op de mogelijkheden van een IDS/IPS. 8 NETWERKVERKEERBEVEILIGING I 213 s.6.4 ~ Honeypot Een honeypot is een computersysteem of zelfs een netwerk van systemen die als een val voor de hacker werken. De honeypot kan zich voordoen als een computersysteem dat .makke:l.ijk te kraken is. Wanneer de honeypot echter voUedig afgeschermd is, komt de hacker bedrogen uit. De honeypot kan ervoor zorgen dat de hacker zijn tijd verdoet aan een .onbetangrijk systeem~ Door vervalste informatie hier te plaatsen kan een hacker met allerlei gegevens om de tuin geleid worden. Maar een honeypot kan de beveiliger ook informatie verschaffen over de hacker, zodat er gepaste actie ondernomen kan worden. Een andere toepassing van e·en hon'ey;pot Is het tegeJJgaan van spam. Er wordt een aantal nepadressen op een we.l>.s·ite·.gepubliceerd. Dezè nepad,ressen dienen alleen ·om de spammer te identificeren. Er wordt nauwkeurig bijgehouden vanaf welke lP adressen de e-mailadressen bekeken worden. Wanneer deze nepadressen e-mail ontvangen weten we zeker dat al deze e-mail spam is. Vervolgens kunnen de servers die de spam verzonden hebben aangemerkt worden als spamverstuurders. Er zijn wel juridische bedenkingen bij het gebruik van een honeypot omdat het op het randje zit van verdediging en uitlokking. s.6.s ~ Unified threat management De term unified threat management {UTM), oftewel verenigd bedreigingsmanagement, wordt gebruikt voor firewaUproducten die tevens allerlei soorten oplossingen voor andere bedreigingen verenigen. Een UTM bevat onder andere een firewalt, een IDS/IPS, een proxyserver, een webfi1ter, een virusscanner en een spamfilter. Zo'n totaal oplossing liJkt alle problemen ineens op te lossen, echter de prijs is meestal erg fors, en wanneer de UTM het niet doet is alle beveiliging weg. Het is dus een duur en kwetsbaar systeem. 8.7 PRAcr•cuM ~ Firewall installeren en testen In dit practicum gaan we de firewallfuncties configureren en testen. Dit is een practicum in vier delen: 1> eerst testen we een werkstation zonder firewalt, 1> vervolgens testen we een werkstation met de Windows firewall, 214 I I cT s Ecu RI T y t> t> daarna installeren we firewallsoftware (Sygate Persenat Firewalf} en testen we nogmaals, tot slot maken we enkele speciale regels aan. Voor dit practicum heb je nodig: t> twee personen met elk een werkstation, of twee werkstations {fysiek of virtueel), t> een internetverbinding, t> het werkblad 'Werkblad Firewall.doc'. Tijdsduur:± 2 uur. In dit practicum wordt gebruik gemaakt van een gratis versie van Sygate Personal Firewall. Sygate is al enige tijd geleden overgenomen door Symantec. Dit oudere product is nog beschikbaar maar wordt niet meer ondersteund. Wij kiezen voor dit product omdat de meeste huidige firewalls veel extra toeters en bellen hebben die wij voor dit practicum niet nodig hebben. In het vervolg van dit practicum noemen we het ene werkstation het aanvalswerkstation en het andere werkstation noemen we het doelwit werkstation. Tijdens het practicum wordt door de werkstation icoontjes in de kantlijn aangegeven wanneer je van werkstation wisselt. aanvalswerkstation 8.7.1 ~ (t)h doelwit werkstation <::.::>~ Zonder firewall We gaan eerst het systeem zonder firewall testen. We gebruiken voor het testen het softwarepakket Nmap, en wet de grafische versie voor Windows: Zen map. Nmapis een security audit tooi waarmee de beveiligh1g van computersystemen geanalyseerd kan worden. ~ 1. Noteer van beide werkstations. zowel het aanvalswerkstation als het doelwit werkstation, het lP adres, het MAC adres en de computernaam in het 'Werkblad Firewall.doc'. 2. Log in op het doelwit werkstation. 3. Om de test realistisch te maken gaan we een veel gebruikte poort open zetten: 3389. Op deze poort werkt het Remote Desktop Protocol (ROP). Met ROP kunnen 8 N ETW ERKVERKEE RB EVE I Ll GING I 215 we binnen Windows het externe bureaublad gebruiken. Met andere woorden: hiermee kunnen we vanaf een ander werkstation ons eigen werkstation beheren. 4. Open een Windows Verkenner. 5. Klik met de rechter muisknop op Deze Computer en selecteer in het contextmenu Eigenschappen. 6. Het Systeemeigensthappen venster verschijnt. Selecteer het tabblad Verbindingen van buitenaf. In dit tabblad selecteer je Gebruikers mogen een externe verbinding met deze computer maken (figuur 8-24). r Hulp op afstand ·· I i ~ J:!ulp op al•tand mag vanaf deze computer worden geotart I I l Wat is Hulp op afsland? (Gs.anceerd.. J 1 L.......-·-·------~~~-·-······-···························--·····-·--J rExtèrnbureaubla&-·-··-·--~·--··~-~---~ r J!fi.GelwikertlfiO!I!!n een externe velbinding met,4eze computer rnaken v~~~fern<mn: tf\ . . C I è I ' . .~~~--0 'Wat is Èiltem bureaublad? I EJ!Ierne gebruikers oelecleren.•. J · V001 gebruiker• cle een -.never~ met deze oompuler maken. · tmet de gebn.ikm-nt een wachtwoord hebben Wmowo Firewall word zodanill~rd dat eo1erne bureaubfad. . Yerbînclngen met dezeQlrnplller waden~ I FIGUUR s-24 7. OK I Systeemeigenschappen Om .het externe bureaublad te gebruiken moeten we ook de .firewall aanpassen, in dit geval is dat de Windows Firewall. Ga naar het Beveiligingscentrum en kies onder de kop Beveiligingsinstellingen beheren in: voor Windows Firewall. 8. Het venster Windows. Firewall verschijnt. Klik op het tabblad Uitzonderingen. 9. In het tabblad Uitzonderingen vink je Extern bureaublad aan en Hulp op afstand (figuur 8-25). Klik op OK. 216 I ICT SECURITY liil Hulp op alatand D UPnP·kamework FIGUUR 8-25 Uitzonderingen van de Windows Firewall 10. In de eerste test gaan we testen zonder firewall, dus moeten we de Windows Firewall uitzetten. je bevindt je nog steeds bij het Beveiligingscentrum en je kiest onder de kop Beveiligingsinstellingen beheren in: voor Windows Firewall. 11. Het venster Windows Firewall verschijnt. Zorg dat de optie Uitgeschakeld (niet aanbevolen) geselecteerd is en klik op OK (figuur 8-26). Uw computer wordt met behulp van Wtndows Frewall ~beveiligd tegen niet-gemachtigde gebtuikers die Yia het Internet of een netwerk toegang tot uw computer Ploberen tl> ve4«ijgen. 0 0 Ingeschakeld (aanbevolen) Dee instelling blokkeelt alle ve~bin~ van externe bronnen met deze computer, behalve de bronnen die zijn geselecteerd op tabblad Uitwnderingen. rJ lieim uilzondelingen toeslaan FIGUUR 8-26 Windows Firewall 8 NETWERKVERKEERBEVEILIGING I 217 12. We gaan testen of het externe bureaublad werkt. Log i nop het aanvalswerkstation. 13. Klik achtereenvolgens op Start -7 Alle programma's -7 Bureau-accessoires -7 Communicatie -7 Verbinding met extern bureau blad. 14. Het venster Verbinding met extern bureaublad verschijnt {figuur 8-27). Vul hier het lP adres van het doelwit werkstation in en klik op Verbinding maken. FIGUUR 8-27 Verbinding met extern bureaublad 15. Wanneer je alle handelingen goed hebt uitgevoerd dan kun je nu inloggen en werken op het doelwit werkstation vanaf het aanvalswerkstation. 16. Verbreek de verbinding van het externe bureaublad. 17. We gaan de veiligheid van het doelwit werkstation testen. Ga met een webbrowser naar http://nmap.org/download.html. 18. Download hier de Windowsversie van Nmap, nmap-X.XX-setup.exe {X staat voor meest recente versie nummer). 19. Voer de installatie van Nmap uit. Indien WinPcap al op het systeem geïnstalleerd staat kan deze optie uitgevinkt worden. 20. Start de grafische versie van Nmap: Zen map. 21. Het Zenmap venster verschijnt {figuur 8-28). Vul bij Target het lP adres van het doelwit werkstation in. Kies bij Profile voor Intense Scan. Druk op Scan. 22. Het scannen duurt even en dan verschijnt er een tekstresultaat. Het resultaat bevat onder andere een lijst-met openstaande poorten, bijvoorbeeld: 218 I ICT SECURITY FIGUUR 8-28 Zenmap hoofdscherm PORT 135/tcp 139/tcp 445/tcp STATE open open open 3389/tcp open SERVICE rnsrpc? netbios-ssn rnicrosoft-ds rnicrosoft-ds ms-term-serv? VERSION Microsoft Windows XP Noteer de openstaande poorten met bijbehorende service in het 'Werkblad Firewall.doc'. 23. Tevens bevatten de resultaten een inschatting van wat het besturingssysteem van het doelwit werkstation is, in dit geval: Running: Microsoft Windows XP OS details: Microsoft Windows 2000 SP4. ar Windows XP SP2 ar SP3 Noteer het besturingssysteem in het 'Werkblad Firewall.doc'. 24. Kopieer tot slot het gehele Zenmap resultaat in het 'Werkblad Firewall.doc'. 8 NETWERKVERKEERBEVEILIGING I 219 We hebben zonder firewall getest en zien dat er allerlei poorten open staan en dat de aanvaller weet welk besturingssysteem er op het doelwit draait. Stap 2 van de hacker, scannen van doelwit, is geslaagd. Nu gaan we met de Windows Firewall testen. Windows Firewall 8.7.2-) 25. Op het doelwit werkstation ga je naar het Beveiligingscentrum en kies je onder de kop Beveiligingsinstellingen beheren in: voor Windows Firewall. 26. Het venster Windows Firewall verschijnt. Zorg dat de optie Ingeschakeld (Aanbevolen) geselecteerd is en klik op OK. 27. Op het aanvalswerkstation. Open Zenmap. 28. Scan hetzelfde werkstation wederom met de Intense Scan. 29. Na enige tijd verschijnt er opnieuw een resultaat. Ditmaal bevat het echter andere gegevens. De poorten worden bijna allemaal nog goed afgeschermd, alleen de ROP poort staat nog open: PORT 3389/tcp STATE open SERVICE ms-term-serv? VERSION Noteer de openstaande poorten met bijbehorende service in het 'Werkblad Firewall.doc'. 30. Met deze ene poort open kan er nog steeds een aardige schatting (97°/o) gemaakt worden van het besturingssysteem. Zenmap is nu wel minder zeker maar geeft toch nog een aantal zeer aardige suggesties: ' Running (JUST GUESSING): Microsoft Windows XPI2000I2003 (97%) Aggressive OS guesses: Microsoft Windows XP SP2 (97%), Microsoft Windows XP SP 2 (92%), Microsoft Windows XP Professional SP2 (91%), Microsoft Windows 2000 SP4 or Windows XP SP2 (90%), ·Microsoft Windows Server 2003 SPI or SP2 (90%), Microsoft Windows Server 2003 SP2 (90%), .Microsoft Windows 2003 Small Business Server (89%), Microsoft Windows XP SP2 (firewall disabled) (88%), Microsoft Windows 220 I ICT SECURITY Server 2003 SPO or Windows XP SP2 (88%). Microsoft Windows XP Professional SP2 (firewall enabled) (88%) No exact OS matches for host (test conditions non-ideal). Noteer het besturingssysteem in het 'Werkblad Firewall.doc' alsmede het percentage van de schatting. 31. Kopieer ook wederom het gehele Zenmap resultaat in het 'Werkblad Firewall.doc'. We hebben met de Windows Firewall getest en zien dat er nog één poort open staat en dat de aanvaller in ieder geval weet dat er een Windowssysteem op het doelwit draait. Stap twee van de hacker, scannen van doelwit, is redelijk geslaagd. Nu gaan we met de Sygate Personal Firewall testen. 8.7.3 --7 Sygate Personal Firewall 32. Op het doelwit werkstation. Open je favoriete webbrowser en ga naar http:/fwww. iet-secu rity-boek. nIjoefen ingen/fi rewaU. 33. Gebruik hier één van de links om naar een website te gaan waar je Sygate Personal Firewall kunt downloaden. 34. Download Sygate Personal Firewall. 35. Installeer Sygate Personal Firewall met alle standaardopties. 36. Reboot de pc wanneer de installatie voltooid is. 37. Wanneer het werkstation opnieuw opgestart is, verschijnt het Registration for Sygate Personaf Firewa/1 venster {figuur 8-29). Vul hier je naam en e-mailadres in en klik op Register Now. 38. Het programma probeert een website te openen die niet meer bestaat. Sluit de website. 8 N ETW E RKVERKEERBEVEILI GING I 221 FIGUUR 8-29 Registration for Sygate Personaf FirewaiJ 39. Er versc:hijnen vanzelf pop-up-vensters van Sygate met de vraag of een bepaald proces wel of niet toegang moet krijgen tot het systeem. Dit is het appticatielaag firewallgedeelte van het programma. Net als de meeste desktopfirewalls heeft ook Sygate een applicatielaag firewallgedeelte en een packet filter firewallgedeelte. 40. Wanneer er een pop-up venster verschijnt (figuur 8-30) moeten we goed kijken of dit proces wel of geen toegang moet krijgen. FIGUUR 8-30 SJgate pop-up 41. Een manier om te bepalen of een proces wel of geen toegang moet krijgen is door de details te bekijken. In figuur 8-31 zien we dat de virusscanner verbinding probeert te maken met een server op het internet. Wanneer we alles uitgebreid nakijken zien we dat de virusscanner hier zijn updates vandaan haalt. 222 I ICT SECURITY FIGUUR 8-31 Sygate pop-up uitgebreid 42. In dit voorbeeld kunnen we op Yes drukken omdat we dit proces toegang willen verlenen. Maar aangezien een virusscanner dagelijks naar updates op zoek gaat willen we dat dit altijd mag, daarom vinken we de optie Remember my answer, and don't ask me again for this application aan. 43. We gaan Sygate Personal Firewall testen. Op het aanvalswerkstation, open Zen map. 44. Scan wederom hetzelfde werkstation met de Intense Scan. 45. Op het doelwit werkstation verschijnen er tijdens de scan meerdere pop-up vensters. Ten eerste krijgen we nu netjes de melding dat iemand ons systeem scant (figuur 8-32). Port Scan altack is logged E'J Do nat $hO"" this ,Wndow agaîn FIGUUR 8-32 Port Scan alert 46. Vervolgens zien we ook dat. iemand een verbinding met onze RDP poort probeert te maken {figuur 8-33). Dit willen we niet, dus klik op No. 8 N ET wERKVERKEER BE VEI u G I N G I 223 FIGUUR 8-33 ROP alert 47. Wederom terug bij.het aanvalswerkstation. Ditmaal is er een beduidend ander resultaat. Alle poorten worden goed afgeschermd: All 1715 scanned ports on 192.168.233.129 are filtered Noteer de openstaande poorten met bijbehorende service in het 'Werkblad Firewall.doc'. 48. Ook het schatten van het besturingssysteem wordt een stuk ingewikkelder zonder openstaande poorten: Too many fingerprints match this host to give specific OS details Noteer het besturingssysteem in het 'Werkblad FirewaU.doc' alsmede het percentage van de schatting. 49. Kopieer wederom het gehele Zenmapresultaat in het 'Werkblad Firewall.doc'. We hebben ook met de Sygate Personal Firewall getest en zien dat we gevraagd worden of we processen toegang tot bepaalde poorten willen verlenen. We worden er zelfs op attent gemaakt dat iemand een poortscan uitvoert. Stap twee van de hacker, scannen van doelwit, is mislukt. Nu gaan we Sygate Personal Firewall verder configureren met behulp van regels. 8.7.4 Sygate Personal Firewall re'gels --1 50. Stel nu dat we echter willen dat er een extern bureaublad verbinding (ROP) gemaakt mag worden met het doelwit werkstation, maar alleen vanaf het aanvalswerkstation en verder vanaf geen enkel ander werkstation. Ga naar het doelwit werkstation. 51. Open Sygate Personal Firewall. 224 I !CT SECURITY 52. Het Sygate Personal Firewall venster verschijnt (figuur 8-34). Ga naar Tools --7 Advanced Ru/es ... NT-kernel & -systeem FIGUUR Es et Service LSA Shell (Expo... Generic Host Process f... Apphcation Layer G... NDIS User mode!/ ... 8-34 Sygate Personaf Firewa/1 53. Er verschijnt een waarschuwingsvenster dat geavanceerde regels een hogere prioriteit hebben dan gewone applicatieregels (figuur 8-35). Anders gezegd staat hier dat de packter filter firewallregels (geavanceerde regels) voorgaan op applicatielaag firewallregels (applicatieregels). Vink de optie Remember my answer, and do notshow this message again aan klik op OK. FIGUUR 8-35 Sygate Personaf regel prioriteit 54. Het venster Advanced Ru les verschl1nt. Klik op Add. 55. Het Advanced Rule Settings venster verschijnt. Hier geven we de regel een naam en bepalen we of het een regel over blokkeren of toelaten is. We gaan een regel maken die al het RDP verkeer tegenhoudt. Vul bij Rule Description in 'Blokkeer RDP verkeer'. Bij Action kiezen we voor 'Biock this traffic' (figuur 8-36). De overige instellingen laten we op de standaardinstellingen staan. Klik op het tabblad Hosts. ------------- 8 NETwERKVERKEER !3 EVEI Ll G l N G I 225 <:) AHow this traffic FIGUUR 8-36 Sygate Advanced Rule Settings- General 56. In het Hosts tabblad kunnen we aangeven voor welke andere computersystemen (lP adressen) de regel van toepassing is. Deze regel geldt voor al het verkeer, dus laat Apply this rule to op All adresses staan (figuur 8-37). Klik op het tabblad Ports and Protocols. () MAC addr= : 0 lP Address(es): 10.001 ,1S2168.0.1·192.168.D. ï6 J C)Subnet: FIGUUR 8-37 Sygate Advanced Rule Settings- Hosts 57. In het Ports and Protoeals tabblad kunnen we aangeven voor welke poorten de regel van toepassing is. Deze regel geldt alleen voor het RDP verkeer. RDP verkeer gaat over TCP port 3389. Kies dus bij Protocol voor TCP, type bij Loco/ de waarde 3389 en kies bij Traffic Direction voor Incaming (figuur 8-38). Klik op OK. 226 I ICT SECURITY Aemote/Local Ports Number{For eMample: 80,1450.1024-1209) Aemote: L __ _ _ _ _ _ _ _ _ _ _.._'i!!!l!llil Local: LJ338~9--------·------'1-iiJJ Traffie Direction: jlncoming ~~I Aule Summary: '''ê i Thitrule willblock incoming traffic from aK hosts on TCP local port{s) 3389. This rule wiK be appfred to all network interface cards. FIGUUR 8-38 Sygate Advanced Rule Settings- Ports and Protoeals 58. De regel is aangemaakt. Nu maken we een uitzondering op de regel. Klik in het Advanced Rule Settings venster op Add. 59. Opnieuw verschijnt het Advanced Rule Settings venster. We gaan een regel maken die alleen het ROP verkeer vanaf het aanvalswerkstation toe staat. Vul bij Rule Description in 'ROP vanaf aanvalswerkstation mag'. Bij Action kiezen we voor 'AIIow this traffic' (figuur 8-39). De overige instellingen laten we op de standaardinstellingen staan. Klik op het tabblad Hosts. App[y this rule during Screensaver Mode ~nd off :iiliJ EJ Record !hio traffic in "Packet Log'' Aule Summary: This rule will allow both incoming and outgoing traffic from/to all hosts on all ports and protocols. This rule will be applied to all network interface cards. FIGUUR 8-39 Sygate Advanced Rule Settings- General 8 N ET wER I( V ER K EER B EV Elll G I N G I 227 6o. In het Hosts tabblad gaan we aangeven dat het om het aanvalswerkstation gaat. Kies bij Apply this rule voor lP address(es) en vul hier het lP adres van het aanvalswerkstation in (figuur 8-40). Klik op het tabblad Ports and Protocols. 0 MAC address : ® lP Address(esj : (lP Address{es) ewample, 10.(10. U 92.168.0.1-192.169.0. 76 ) @§.2331 0 J SubMt lP .'\ddress· Subnet: Subnet Haok: I SummarJ: will aliow both incoming and outgoing haftic from/to lP address{es) .1 on all ports and protocols. This rule wilt be applied to all network interface FIGUUR 8-40 Sygate Advanced Rule Settings- Hosts 61. In het Ports and Protoeals tabblad geven we wederom aan dat deze regel alleen geldt voor het RDP verkeer. Kies bij Protocol voor TCP, type bij Locaf de waarde 3389 en kies bij Traffic Direction voor Incaming (figuur 8-41). Klik op OK. Remote/Local Ports Number(For ewample: 90_1 450_1 024-1209) Rule Summary: This rule wil! allow incoming traffic from lP address(es) 192.168.233.1 on TCP local port{s) 3389. This rule will be applied to all network interface cards. FIGUUR 8-41 228 I :>1 Sygate Advanced Rule Settings- Ports and Protoeals ! cT sEc u RIT y 62. Terug in het Advanced Rules venster zien we twee regels staan. Aangezien de fire- wall van boven naar beneden leest en de bovenste regel eerst uitvoert, moeten we zorgen dat de regel die het verkeer toestaat bovenaan staat. Selecteer de regel 'RDP vanaf aanvalswerkstation mag' en klik op het icoon met het pijltje naar boven {figuur 8-42). Maak: een sereensbot van hetAdvancedRules venster en plak deze in het 'Werkblad Firewall.doc'. fiGUUR 8-42 Sygate Advanced Ru les 63. Ga naar het aanvalswerkstation en test of er een verbinding via het externe bureaublad te maken is. 64. Open het doelwit werkstation. We gaan nu nog een aantal regels aanmaken. Maak een regel die PING commando's toestaat vanaf alle lP adressen die op hetzelfde subnet zitten als het doelwit werkstation. Schrijf de regel uit in het 'Werkblad Firewall.doc'. 65. Log in op het aanvalswerkstation. Test of het mogelijk is het doelwit werkstation te pingen. 66. Maak een regel die uitgaand verkeer toestaat naar alle Webservers, voor zowel gewoon internetverkeer {http} als beveiligd internetverkeer {https). Schrijf de regel uit in het 'Werkblad Firewall.doc'. 67. Maak tot slot een regel die ervoor zorgt dat MSN verkeer toegestaan is. Schrijf ook deze regel uit in het 'Werkblad Firewall.doc'. 8 N ETWERKVERKHRBEVEILIG I NG I 229 Het practicum samengevat 1> Nmap 1zenmap is ge:instaUeerd, 1> de beveiliging is getest zonder firewall, 1> de beveiliging is getest met de Windows Firewatl, 1> de beveiliging is getest met de Sygate Personal Firewall, 1> er zijn specifieke regels aangemaakt. 8.8 Samenvatting In dit hoofdstuk heb je de volgende dingen geleerd: 1> hoe netwerkverkeer gemonitord kan worden, 1> hoe een netwerkkaart in promiscuous mode werkt, 1> wat een firewall is, 1> welke soorten firewalls er zijn, 1> welke andere soorten netwerkbescherming er zijn, 1> hoe de netwerkbeveiliging goed getest kan worden, 1> wat het verschil in veiligheid is tussen: geen firewall, de Windows firewall en een aparte firewall, 1> hoe.firewallregels geschreven moeten worden. 230 I ICT SECURITY
© Copyright 2024 ExpyDoc