ICT Security - HS08, Netwerkverkeerbeveiliging

Hoofdstuk 8
Netwerkverkeerbeveiliging
8.1
Inleiding 190
Netwerlcverkeer analyseren
sE o RE 1G 1N G ~ 8.2
oPLos s 1N G ~
PRACTICUM~
Oneigenlijk computer- en netwerkgebruik
8.3 Monitoren 192
8.3.1 Netwerkkaart monitoren 192
8.3.2 LAN monitoren 197
8.3.3 Poorten monitoren 199
8.3-4 Proxyserver 200
8.4 Wireshark 200
8.4.1 Wireshark basis 201
8.4.2 Netwerkverkeer filteren 206
8.4.3 Datastroom analyseren 209
Netwerk beveiligen
BEDREIGING~
OPlOSSING~
PRACTICUM~
8.5 Hackers 209
8.6 FfrewaU 210
8.6.1 Firewallfilters 211
8.6;2 Firewall producten 212
8.6.3 Intrusion Detection System 213
8.6.4 Honeypot 214
8.6.5 Unified threat management 214
8.7 Firewall installeren en testen 214
8.7.1 Zonder firewall l15
8.7.2 Windows Firewall 220
8.7.3 Sygate Personal Firewall 221
8.7.4 Sygate Personaf Firewall regels 224
8.8 Samenvatting 23.0
191
8
Inleiding
Dit hoofdstuk behandelt het beveiligen van netwerkverkeer. We begeven ons dagelijks op computernetwerken, van ons online thuisnetwerk tot de grote computernetwerken van kantoren en scholen. Aangezien er grote stromen met verschillende
soorten data kriskras door het netwerk gaan, is het belangrijk dat we ervoor zorgen
dat al deze informatie .goed beveiligd is. Daarmee willen we ons beschermen tegen
de effecten van malware, hackers en dergelijke en de privacy van de gebruikers van
deze computernetwerken waarborgen.
Wanneer een computersysteem \J·an binnen of buiten a.angevaUen wordt, maakt de
aanvaller bijna altijd gebruik van een proces dat een netwerk nodig heeft om een ·
verbinding tot stand te brengen. In dit hoofdstuk zullen we deze interactie nader
onderzoeken en we zulten onderzoeken hoe we meer inzicht krijgen in het netwerkverkeer, oftewel wat er 'onder de motorkap' gebeurt.
We kijken specifiek naar enkele netwerkprotocollen en gaan het netwerkverkeer op
bepaalde poorten na. Met poorten worden netwerkpoorten bedoeld, specifiek de TCP
en UDP poorten die onderdeel uitmaken van het internetprotocol (lP}.
In dit hoofdstuk analyseren we eerst het netwerkverkeer. Vervolgens bekijken we hoe
we een netwerk kunnen beveiligen.
Bij het analyseren van netwerkverkeer gaan we vaststellen welke activiteiten we op
een netwerk kunnen waarnemen. Ook gaan we kijken naar actieve processen in het
geheugen en welke poorten deze processen gebruiken. Ook zuUen we het net monitoren op specifieke activiteiten.
Bij het gedeelte over netwerkbeveiliging bekijken we hoe de activiteiten van het
netwerkverkeer zo gefilterd worden dat daar alleen de door ons toegestane data
overheen gaat.
Leerdoelen
In dit hoofdstuk leer je
1> datastromen herkennen aan de poort waarover deze gaan,
1> de datastroom analyseren,
1> de interactie tussen poorten en processen inzichtelijk te krijgen en op risico te
beoordelen,
1> hoe je het netwerkverkeer moet beveiligen.
190
I
ICT SECURITY
Vereiste voorkennis
Om dit hoofdstuk goed te begrijpen en het practicum uit te kunnen voeren, is het
noodzakelijk dat je de volgende voorkennis bèzit:
t> basis netwerkkennis (o.a. het 051 model en de TCP/IP protocolstack),
t> verschillende soorten netwerkhardware (o.a. switch, hub),
t> wat malware is (hoofdstuk 4),
t> hoe de opdrachtprompt gebruikt moet worden (onder andere hoofdstuk 6 en 7).
Netwerkverkeer analyseren
8.2
~uuumGsNc; ~
Oneigenlijk computer- en netwerkgebruik
Wanneer we verantwoordelijk zijn voor het beheer van een computer of een computernetwerk worden we meestal geconfronteerd met computergebruikers die, bewust
of onbewust, de beschikbaar gestelde middelen voor andere doeleinden gebruiken.
Zo wil het nog wel een voorkomen dat computergebruikers binnen een kantoor- of
schoolomgeving hun werk wat willen veraangenamen door naar muziek te luisteren.
Omdat ze niet in staat zijn hun gehele cd-collectie mee te nemen naar het kantoor,
wordt er wel eens een softwareprogramma geïnstalleerd waarmee muziek gedownload kan worden, met alle problemen van dien. Ook wordt het bedrijfs- of schoolnetwerk gebruikt om de laatste films te downloaden. Daardoor is de kans op malware op
het netwerk enorm toegenomen, is het bedrijf ineens verantwoordelijk voor schending van het auteursrecht en wordt er bandbreedte ingenomen.
Verder hebben we de Trojanen die bijvoorbeeld in rondgestuurde E-cards of in een
grappige PowerPointpresentatie kunnen zitten.
Tot slot hebben we ongewenst netwerkverkeer in de vorm van bijvoorbeeld spelletjes
die over een computernetwerk gespeeld kunnen worden. Dit komt (heel soms) voor
op een schoolnetwerk.
Risico
Hoog
8 N ET w ERKV ER K EER BE V EI Ll G I N G
I
191
8
oP
ss!NG
~
Monitoren
Het oneigenlijk gebruik van een computer of een netwerk kunnen we tegengaan
met een serie aan maatregelen. De eerste stap in dit proces is het vaststellen of er
oneigenlijk gebruik gemaakt wordt van deze middelen. Dit vaststellen doen we voornamelijk door het, soms steekproefsgewijs, monitoren van een computer of netwerk.
Onder het monitoren verstaan we het nauwlettend bekijken wat er zich allemaal
afspeelt. Door de activiteiten goed te bekijken, de individuele processen te onderscheiden en te filteren op bekend ongewenst netwerkverkeer kunnen we de netwerkactiviteiten zo beheersbaar mogelijk houden.
s.3.1 --t
Netwerkkaart monitoren
Er gaat allerlei verkeer over onze netwerkkaart heen, vaak zelfs zonder dat wij dit
doorhebben. Van e-mail- en internetverkeer tot een netwerkprinter die zichzelf
192
! !CT
SECURITY
bekend maakt via het netwerk. Al dit verkeer is zichtbaar te krijgen. Wanneer we het
verkeer zichtbaar hebben is het echter wel van belang om te weten wat we zien. Om
het resultaat goed te kunnen beoordelen is het van belang om in ieder geval een
basiskennis te hebben van het 051 model (figuur 8-1).
Het 051 model
FIGUUR 8-1
051 model
Om dit verkeer te zien kunnen we gebruik maken van een netwerksniffer. Een
netwerksniffer, ook wel packetsniffer genoemd, is in staat om alle pakketjes die
over een netwerkkaart gaan te bekijken en op te slaan. Een bekend open souree
netwerksnifter is Wireshark. Wireshark toont niet alleen de waarde van elke pakketje,
ook de data per OSI laag staat gegroepeerd. Met Wireshark is het onder andere mogelijk om filters te schrijven (hierover later meer in het practicum Wireshark).
Stel dat ik verbinding maak met de website http://www.brinkman-uitgeverij.nl.
Dan laat ik mijn computersysteem een verzoek doen verbinding te maken met de
webserver van brinkman-uitgeverij.nl (figuur 8-2).
Ik wil jouw webpagina bekijken.
-------
FIGUUR 8-2
-----
-------P-
Webserver verzoek
Wanneer we het pakketje dat verstuurd word nader bekijken zien we dat we, zoals
altijd binnen het OSI model, op meerdere lagen tegelijk communiceren. We communiceren nu onder andere op:
1:> laag 7: de applicatielaag, omdat ik http pakketjes wil ontvangen,
8
NET wE RI( VERKEER BE V E lll GING
I
193
laag 4: de transportlaag, omdat ik verbinding maak met de standaardpoort waar
webservers op luisteren, poort 80,
1> laag 3: de netwerk1aag, ,omdat ik verbinding maak met het lP adres van brinkman-uitgeverij.nl, 81.26.209.71.
1>
Het geheel ziet er als volgt uit (figuur 8-3):
FIGUUR
8-3 Netwerkpakketje webserver verzoek
Wanneer we met een netwerksnifter naar het pakketje kijken zien we het volgende
(figuur 8-4):
FIGUUR
194
I
8-4 Netwerkpakketje bekeken met Wireshark
ICT SECURITY
Laten we de informatie uit Wireshark eens bekijken aan de hand van de drie eerder
gekozen lagen. We beginnen met laag 3 uit het 051 model: de netwerklaag. Zonder de
netwerklaag uitgebreider te bekijken (elke laag is open te vouwen door op het plusje
te drukken) zien we het lP adres van de zender van het pakketje en het lP adres van
de ontvanger van het pakketje (figuur 8-s).
FIGUUR
8-5 Netwerkpakketje bekeken met Wireshark, laag 3- netwerklaag
Vervolgens bekijken we de vierde laag: de transportlaag. Ook hier zien we meteen
in de omschrijving de belangrijkste informatie staan: het poortnummer waar we
verbinding mee willen maken, namelijk de webserver poort: poort 80. Wederom
staan de gegevens· van onze eigen netwerkkaart er ook, in dit geval vanaf welke poort
het netwerk pakketje afkomstig is, namelijk poort 1048. Wireshark kent de meeste
poorten en hun functies en zet bij poort 8o 'http' neer {figuur 8-6).
Tot slot kijken we naar laag 7, de applicatielaag. Hier willen we de informatie iets
uitgebreider bekijken. Wanneer we dit'doen zien we onder andere informatie over de
browser waarmee er naar de website gekeken wordt {figuur 8-7).
8
NETWERI<VERI<EERBEVEILIGING
I
195
FIGUUR 8-6 Netwerkpakketje bekeken met Wireshark, laag 4- transportlaag
Accept-unguaiJll: nl\r\n
UA•CPU: X86\r\n
<:onoec1:ion: Keep-Alive\r\n
\r\n
FIGUUR
8-7 Netwerkpakketje bekeken met Wireshark, laag 7- applicatielaag
Met een netwerksnifter is het mogelijk om het verkeer dat over jouw netwerkkaart
gaat te monitoren en analyseren.
196
I
!CT SECURITY
s.3.l
-7
LAN
monitoren
Met een sniffer is het ook mogelijk het verkeer op een LAN netwerk te monitoren.
Op deze manier kunnen we in bijvoorbeeld Wireshark een filter aanmaken op het
MSN messenger verkeer op ons LAN. Voor MSN messenger wordt standaard port 1863
gebruikt, dus wanneer we het verkeer van honderden pc's voorbij zien komen filteren
we op port 1863 om te zien of er iemand aan het chatten is.
Bij een LAN zijn er wel een tweetal zaken van belang wanneer we gaan sniffen:
1> de fysieke locatie van de sniffer in het LAN,
1> de status van de netwerkkaart.
Locatie van de snifter
Bij het sniffen van het verkeer op een LAN moet de sniffer wel op de juiste plek staan
om al het verkeer voorbij te zien komen. Wanneer we een LAN hebben waar gebruik
wordt gemaakt van hubs maakt de locatie weinig uit. Bij een hub wordt elk netwerkpakketje van ieder computersysteem naar alle poortjes op de hub gestuurd. Op deze
manier ontvangt elk werkstation alle pakketjes van alle werkstations. Terwijl een
switch, in tegenstelling tot een hub, de datapakketjes alleen bezorgt op het poortje
waar het computersysteem op aangesloten zit en waar de pakketjes voor bedoeld
zijn. In deze situatie moeten we zorgen dat we de sniffer op een punt zetten waar
bijvoorbeeld al het internetverkeer samen komt, bijvoorbeeld tussen het netwerk en
de firewall of reuter. Op deze manier vangen we al het netwerkverkeer van en naar
het internet op, en kunnen we deze analyseren op soorten verkeer.
De status van de netwerkkaart
Een netwerkkaart staat normaal zo ingesteld dat wanneer deze een pakketje
ontvangt, dit pakketje eerst door laag 1 gaat, dan door laag 2, enzovoort, om zo
uiteindelijk bij laag 7 aan te komen en door de processor verwerkt te worden.
Wanneer dit pakketje voor een ander computersysteem bedoeld is, heeft het
pakketje een ander MAC adres als bestemming. Wanneer een computer een pakketje
ontvangt dat bedoeld is voor een ander MAC adres, accepteert deze het pakketje niet
en wordt het pakketje genegeerd (laai het computersysteem het pakketje 'vallen').
Wanneer wij dus gaan sniffen zien wij alleen de pakketjes die voor ons bedoeld zijn,
of die wij zelf versturen (figuur 8-8).
We kunnen echter de netwerkkaart in Promiscuous Mode zetten. Hiervoor gebruiken
we WinPcap, dat meegeleverd wordt met Wireshark. Wanneer een netwerkkaart in
Promiscuous Mode staat worden alle netwerkpakketjes, langs atle OSllagen, doorgestuurd naar de processor, ongeacht het MAC adres waar het pakketje voor bedoeld is
(figuur 8-9).
8
N ET wERKV ER K EE RB EV Elll G i N G
I
197
Pakketje voor MAC adres:
00-13-9F-80-9C-4C
FIGUUR
Pakketje voor MAC adres:
OO-A3-FF-BS-44-38
8-8 Normaal netwerkverkeer wordt gefilterd op laag 2
Pakketjes voor
overige MAC adressen:
XX-XX-XX-XX-XX-XX
Pakketje voor MAC adres:
00-13-9F-80-9C-4C
FIGUUR 8-9
Netwerkkaart in Promiscuous Mode past geen filter toe op laag 2
Op deze manier kunnen we al het verkeer langs zien komen. Het computersysteem
reageert echter alteen op pakketjes die voor het eigen MAC adres bedoeld zijn, alle
overige pakketjes worden alleen waargenomen en opgeslagen.
198
I
ICT SECURITY
~L3.3
-7
Poorten monitoren
Een manier om te zien of er bijvoorbeeld geen Trojaan vriendelijk een achterdeur
openhoudt voor willekeurige bezoekers, is om te kijken welke poorten er open staan.
Het monitoren van poorten kan met een aantal verschillende software tools.
Netstat
De meest voor de hand liggende softwaretoo.l is Netstat, dat zowel onder Windowsals Linuxbesturingssystemen werkt.
Figuur 8-10 laat de actieve poorten zien:
ieue verbindingen
Lekaal
a~a
1.8.8.8:1.35
. 8.1.8.8:445
8.1.8.8:3319
127.8.8.1:11126
12'1.8.8.1t1i:l4
12'1.8.8.1;31616
1U .161.11.13811i9 .
192.168.233.129:139
192.168.233.129:3389
fiGUUR 8-10
Jhr.tem adrea
8.1.8.8:8
a.8 ..8.8:8
8.1.8.8:8
8.8.8.8:8
12'1.8.8.1:1113
8.1.8.111:8
8.8.8.8:0
..........,.
192.168.233.1:1323
Netstat
We zien nu dat er een aantal poorten (het nummer achter de dubbele punt) openstaat met de status Bezig met luisteren. Hoewel we nu weten dat deze poorten actief
zijn, zegt ons dit nog weinig over wat er gebeurt op deze poorten.
Fport
Wanneer we echter gebruik maken van de software tooi FPort van het bedrijf Foundstone, zien we niet alleen de openstaande poort, maar ook het proces 10, de naam
van het proces en het pad naar de executabel. We zagen bij Netstat al dat bijvoorbeeld poort 30606 open staat. Wanneer we naar de resultaten van FPort kijken zien
we dat poort 30606 opengehouden wordt door ekrn.exe: een proces van onze virusscanner NOD32 (figuur 8-n).
Zoals we kunnen zien biedt FPoft redelijk wat extra functies ten opzichte van het
standaard Netstat.
8
NETWERKVERKEERBEVEILIGING
I
199
P PPDcess to Port Mapper
loc.
Poundstone~
,--.;•;u•r,._,,._f'CIIUIIdS"llll8 .COlli
Port
-> ,Ufi;
-> Ut
-> 445
-> 11126
-> 11
-> 11
->
->
->
FIGUUR 8-11
3
Netstat
s. 3. 4 -7 Proxyserver
Een proxyserver is een server die zich in een netwerk tussen twee computersystemen bevindt. Proxy is het Engelse woord voor tussenpersoon, proxyserver is dus
'een server die als tussenpersoon fungeert'. Een veel gebruikte toepassing voor een
proxyserver is web proxy. Een web proxy is een softwarematige oplossing die men op
een computersysteem instàlleert en die vervolgens de tussenpersoon is tussen de
netwerkgebruikers en het internet. Alle gebruikers delen dezelfde internetverbinding
en elke connectie met het internet loopt dan via de web proxy. Dit biedt allerlei voordelen, maar met het oog op het monitoren biedt een webproxy het voordeel dat alle
internetgebruik van het netwerk redelijk eenvoudig in beeld te brengen is.
Een open souree web proxy is Squid cache. Deze gratis oplossing maakt het mogelijk
om op een netwerk een web proxy te hebben. Een voorbeeld van een commerciële
web proxy is Microsoft lnternetSecurity and Acceleration Server 2006. Deze tooi is
niet alleen een uitgebreide firewall, maar kan ook als web proxy dienen en volledig
geïntegreerd worden met de Active Directory.
PRAcracuM
-7
Wireshark
In dit practicum gaan we met de netwerksnifter Wireshark het netwerkverkeer monitoren. Dit is een practicum in drie delen:
1> eerst gaan we Wireshark installeren en configureren,
1> vervolgens analyseren we met een aantal filters het netwerkverkeer,
1> tot slot analyseren we, aan de hand van een reeds bestaande verzameling
netwerkpakketjes, wat er voor verkeer heeft plaats gevonden.
200
I
ICT SECURITY
Voor dit practicum heb je nodig:
t> een werkstation,
t> een internetverbinding,
t> het werkblad 'Werkblad Wireshark.doc'.
Tijdsduur:± 1:30 uur.
8.4.1
-7
Wireshark basis
We gaan eerst Wireshark downloaden en de basisfuncties verkennen.
1.
Log in op je werkstation.
2.
Open je favoriete webbrowser en ga naar http://www.wireshark.org.
3.
Download Wireshark door op Get Wireshark Now te klikken.
4.
Start de Wireshark installer. Indien Windows met een beveiligingswaarschuwing
komt, kies dan voor Uitvoeren.
5.
Installeer Wireshark met de volledige opties, tot de installatie van WinPcap
verschijnt.
6.
WinPcap is een aparte module die er voor zorgt dat de netwerkkaart in Promiscuous Mode gezet kan worden, indien de hardware dat kan. Wanneer het wizardvenster lnstall WinPcap verschijnt, zorg dan dat lnstall WinPcap X.X.X aangevinkt
is en maak de installatie vervolgens af met de standaardopties (figuur 8-12).
FIGUUR 8-12
WinPcap installatie
8 N ET wE Ri< V E R I< EE R B EV Elll G i N G
I
201
7.
Start Wireshark.
8.
Klik achtereenvolgens op Capture --7 Interfaces.
9.
Het venster met de verschillende netwerkkaarten, of interfaces, verschijnt. Als we
dit venster bekijken is de kans groot dat we verschillende pakketjes voorbij zien
komen doordat het nummer onder Packets oploopt {figuur 8-13). Klik op Options
achter de netwerkkaart waarmee je aan het internet verbonden bent.
FIGUUR 8-13 Wireshark interfaces
10. Het Wiresharkvenster Capture Options verschijnt. Zorg dat in dit venster Capture
packets in promiscuous mode aangevinkt staat (figuur 8-14). Noteer in het 'Werkblad Wireshark.doc' wat de status is van de netwerkkaart.
Klik op Start om te beginnen met het verzamelen van pakketjes.
FIGUUR 8-14 Wireshark Capture Options
-------------------------------------------------------------202
I
ICT SECU RITY
11.
Open, zodra Wireshark gestart is met het verzamelen van data, een webbrowser
en navigeer naar een website naar keuze. Noteer het website-adres in het 'Werkblad Wireshark.doc'.
12. Wanneer de website geladen is, laat je de browser open staan en ga je terug naar
Wireshark. Klik op Capture -7 Stop.
13. je krijgt de resultaten te zien.
14. Zoek de eerste twee lichtblauw gekleurde pakketjes. Hier is een ONS verzoek
gedaan om het lP adres van de bezochte website te verkrijgen. Navigeer naar
het tweede ONS pakketje en vouw achtereenvolgens de Domain Name System
(response) -7 Answers -7 www.domeinnaam.nl open.
15. Wanneer we de data in het pakketje bekijken, zien we dat de ONS server
antwoord heeft gegeven en we zien het lP adres van de website, in het voorbeeld
81.26.209.71 (figuur 8-15). Noteer het lP adres in het 'Werkblad Wireshark.doc'.
ËJ AA:SWE!I"S
r,a \V!WI.br1nkmq.n-uitgeverij.n1: 'type A, class IN, addr 81. 26.209.71
Name: WIWI. br"'nkman-u1tgeverij. n1
Type: A (Host address)
class: IN (Ox0001)
Time to live: 4 hours
Data length: 4
Addr: 81.26.209.71
FIGUUR 8-15
Wireshark ONS antwoord
16. Ga terug naar de browser en bekijk de broncode van de pagina.
Voor Internet Explorer 7: Klik achtereenvolgens op Pagina -7 Bron weergeven.
Voor Firefox 2: Klik achtereenvolgens op Beeld -7 Paginabron.
8 N ET w ER I< V ER!( EER B EV ElU G I N G
I
203
17. Bekijk de broncode, kopieer deze en plak de inhoud van de broncode in 'Werkblad
Wireshark.doc' {figuur 8-16).
<met a htt:p-equiva"Com:em-Type'' cont:em~"text:/ht:ml;
<met a http-equiv="cont:ent-Language" content•"nl" />
<meta http-equ1v="Exp1res" content="+5 days" />
<met a name""resource-tyP,e" content="document" />
.qneta name="descript:ion' content="" />
.qneta name="keywords" content:="" />
<meta name~"aut.hor" content="Synetic" /'>.qnet:a name•"copyri9ht:" cont:ent="synetic" />.
<met a name="robots content="a 11" />
<title;.erinkman uitgeverij</tit1e:>
charset:~i so-8
<link relw"st:yl es heet" href="hnp :/;w.m. brinkman-uitgeverij. nl/cs
<script src•"ht:tp ://w.hl. brinkman-uitgeverij. nl/j avascript/Swfobje
<!--[if IE)>
FIGUUR 8-16
Broncode
18. Terug bij Wireshark. Klik met de rechtermuisknop op het eerste HTIP pakketje na
de DNS pakketjes. Kies uit het contextmenu de optie Follow TCP Stream (figuur
8-17}. Deze optie filtert alle pakketjes die in dezelfde datastroom zitten.
(9 Set r.me Refsrence (rogç,!e)
Apply as Filter
Prepare a R&er
Conversation R!ter
• •. E•
• u .. @... • . . . . Q.•
• G••• P.4 E.K.gAP •
•••••• GE
/LL.Ac
FIGUUR 8-17
TI
HTTP
· : im
Wireshark Follow TCP Stream optie
19. Het venster Follow TCP Stream verschijnt. Wanneer we iets naar beneden scrollen, zien we dezelfde broncode van onze webpagina weer (figuur 8-18). Kopieer
204
I
I cT s Ecu RI T y
en plak de inhoud van het Follow TCP Stream venster in het •werkblad Wireshark.
doe'.
bril'lk~h;;;Uttgevétij .ri111ndéx. phl)?i'doo:t''>Br1nkma:n
maanterk</em>
FIGUUR 8-18
lJ1tgéVét1j</l!><
Wireshark Follow TCP Stream
Het is dus mogelijk om de netwerkdata die over een netwerkkaart heen gaat te
filteren en vervolgens te reconstrueren. We hebben met een snifter netwerkverkeer bekeken. Nu gaan we filters toepassen op ons netwerkverkeer.
Om te controteren of een computersysteem 'aan' staat, kunnen we naar een
computersysteem het PING commando sturen. Als deze aan staat krijgen we een
reactie en anders niet. Het PING commando werkt als een soort echo. We kunnen
dit commando uitvoeren door in de opdrachtprompt te typen:
ping lP-adres
Wanneer het systeem aan staat en reageert op het PING commando krijgen we
een antwoord, anders krijgen we een time-out.
8 N ET w ERKV ER K EER BE V Elll G I N G
I
205
s.4.1 ~
Netwerkverkeer filteren
20. We gaan nu wat meer data verzamelen. Voor een periode van minimaal vijf en
maximaal tJen minuten m,aak je ~epruik van het netwerk terwijl je met ~ireshark
aan het luisteren bent. In deze tijd doe je in ieder geval de volgende dingen:
bezoek minimaal tien verschillende websites,
maak minimaal drie verschillende zoekopdrachten met Google,
PING een ander computersysteem op het LAN (mag ook de router zijn).
Zorg ervoor dat alle bezochte websites, zoektermen in Google en pinggegevens
genoteerd zijn in het 'Werkblad Wireshark.doc'.
21.
Start in Wireshark een nieuwe sessie. Klik wederom achtereenvolgens op Capture
~ Interfaces en klik op Start achter de juiste netwerkkaart.
22. Voer al1e acties uit en noteer de acties in het werkblad.
23. Wanneer er voldoende tijd is verstreken en alle acties zijn uitgevoerd, klik je op
Capture
~
Stop.
24. We gaan kijken hoe we de pingpakketjes uit de data kunnen filteren. Aangezien
pingpakketjes onderdeel van het ICMP protocol uitmaken, typen we in het filterveld 'icmp'. Het filterveld is rood tijdens het typen, wat aangeeft dat de filter nog
niet compleet is. Zodra we echter de laatste letter intypen wordt het veld vanzelf
groen om aan te geven dat het een juist filter is. Klik op Apply.
25. We zien nu alleen nog alle pingpakketjes. Aangezien het PING commando onder
Windows standaard vier maal uitgevoerd wordt, zien we vier maal een request en
vier maal een reply (figuur 8-19).
26. Klik met de rechtermuisknop op het eerste ping request pakketje en klik in het
contextmenu op Copy ~ Summa!y (Text}. De samenvatting van dit pakketje is
naar het clipboard gekopieerd. Plak de inhoud nu in het 'Werkblad Wireshark.
doe'.
27. Kopieer en plak de samenvatting van het eerste ping reply pakketje in het 'Werkblad Wireshark.doc'.
206
I
I cT 5 Ecu RIT y
..
• <.< .••• v .......
. • • • o\,. • • . abcdef
~.~ ~fqrstuv
!!1111~21
FIGUUR 8·19
Wireshark ICMP filter
28. Er zijn honderden verschillende filters die Wireshark aan kan. Vete filters zijn ook
zetf samen te stellen met behulp van een wizard. Laten we eens een filter maken
voor al het verkeer over poort 80. Met een selectie van poort 80 hopen we het
meeste webverkeer te kunnen filteren.
Eerst maken we de filter weer leeg, klik op de knop Clear naast het filterveld.
29. Klik op de knop Expression, deze bevindt zich ook naast het filterveld.
Het venster Filter Expression verschijnt. Ga bij Field name naar TCP en kies daar
vervolgens tcp.port, omdat we een TCP poort gaan filteren. Kies bij Relation voor
==, omdat het precies gelijk moet zijn aan de waarde. Type in het rechtervak 80,
dit is het poort nummer. Klik tot slot op OK (figuur 8.20).
30. In het filtervenster verschijnt de fÎiter tcp.port == 80, de filter is nog niet toegepast. Klik op Apply om deze toe te passen.
31. De filter is toegepast. We zien nu alleen het poort 8o verkeer (figuur 8.21).
8 N ET w ERKV ERKEER BE V EI Ll G I N G
I
207
FIGUUR 8-20
Wireshark filter expressie
FIGUUR 8-21
Wireshark filter
32. Ontwikkel zelf een filter voor al het DNS verkeer. Schrijf de filter op in het 'Werkblad Wireshark.doc'.
33. Pas de filter toe, maak een screenshot van het resultaat in Wireshark, en plak de
screenshot in het 'Werkblad Wireshark.doc'.
208
I
ICT SECURITY
34. Ontwikkel, om echt de Wiresharkfilters onder de knie te krijgen, een filter voor
alle zoekopdrachten in Google. Schrijf de filter op in het 'Werkblad Wireshark.
doe'.
35. Pas de filter toe, maak ook van het resultaat van deze filter een screenshot en
plak het resultaat in het 'Werkblad Wires,hark.doc'.
We hebben een aantal filters toegepast op het netwerkverkeer. Nu gaan we een
grotere datastroom analyseren.
8.4.3
--7
Datastroom analyseren
36. Ga naar http://www.ict-security-boek.nlfoefeningen/wireshark, en download het
bestand netwerkverkeer.zip.
37. Pak het bestand netwerkverkeer.zip uit en open het uitgepakte bestand in Wireshark.
38. Geef een zo uitgebreid mogelijke beschrijving van de netwerkactiviteiten die in
dit bestand geregistreerd zijn.
Het practicum samengevat:
1> er is een netwerksnifter geïnstalleerd,
1> er zijn filters toegepast om specifieke informatie uit het netwerkverkeer te filteren,
1> er is een uitgebreide analyse geweest van stroom netwerkverkeer.
Netwerk beveiligen
8.5
se~>ln:HGII\IG
--7
Hackers
Een netwerk kan om meerdere redenen onderwerp van interesse worden voor hackers
en andere malafide personen. Wanneer een hacker een gewone pc kraakt kan de
hacker de data misbruiken. Ook kan hij de hardware gebruiken om iets op te slaan of
om vandaar het volgende systeem te hacken. Bij een netwerk is dit hetzelfde, echter
8
NETWERKVER KEERBEVEILIGING
I
209
op veel grotere schaal. Wanneer de beschikbare data misbruikt wordt kan dit kan
veel meer geld opleveren. En wanneer een hacker de hardware van een heel netwerk
in handen heeft gekregen kan bijvoorbeeld de dataopslag van een netwerk gebruikt
worden om grote hoeveelheden illegale data op te slaan. Daarnaast kan de rekenkracht misbruiktworden om eenaanvaLopeen ander netwerk uitte voeren; denk
bijvoorbeeld aan een DOoS aanval, waar'over meer in h'oofdstuk 15. Hackers kunnen
niet alleen zorgen voor een grote schadepost wanneer ze verschillende soorten
malware loslaten op ons netwerk, maar wanneer er data verloren gaat, of openbaar
wordt, kan dit een nog veel grotere schadepost betekenen.
Zoals we in hoofdstuk 4 hebben kunnen tezen gaat een hacker stapsgewijs te werk.
In het kort nogmaals de vier stappen op een rij:
1. doelwit verkennen
2. scannen van doelwit
3. toegang verkrijgen
4. toegang behouden
Risico
Middel
ora.ossuNG ~
Firewall
Een firewall schermt twee netwerken of systemen van elkaar af (figuur 8-22). Een
firewall beschermt een netwerk voor ongewenst verkeer vanuit de buitenwereld.
Op deze manier krijgt ongewenst verkeer uit de buitenwereld geen toegang tot het
netwerk en gewenst verkeer wel. Maar,een firewall beschermt ook tegen van binnen
naar buiten gaan van ongewenst verkeer, denk bijvoorbeeld aan een Trojaan die
verbinding zoekt met de aanvaller.
Een firewall kan op twee {OSI} lagen werken, te weten laag 3, de netwerklaag en laag
7, de applicatielaag.
210
I
ICT SECURITY
FJGUUR 8·22
8.6.1
--1
Flrewall
Firewallfilters
Een firewall kan op meerdere manieren filters toepassen. We bespreken elk van de
manieren.
Packet filtering firewalt
Een packet filtering firewall werkt op laag 3, de netwerklaag. Deze firewall kijkt op de
netwerklaag naar de pakketjes die voorbij komen en aan de hand van filters mag een
pakketje wel of niet door.
Wanneer we naar het stappenplan van een hacker kijken, zijn er stappen waar we
meer en waar we minder aan kunnen doen. Stap 1 -doelwit verkennen, is een stap
die voornamelijk door het gebruik van open bronnen wordt gekenmerkt. Hoewel we
wel enige invloed hebben op wat er in openbare bronnen voor informatie beschikbaar
is, is deze invloed beperkt. Op stap 2 en 3, respectievelijk scannen van doelwit en
toegang verkrijgen, hebben we wel veel invloed.
Wanneer de hacker tijdens het scannen van het netwerk pakketjes verstuurt, hoopt
hij dat het antwoord dat terug komt meer informatie verschaft over de hardware
en software die er bij het doelwit gebruikt wordt. Een goede packet filteringfirewall
geeft zo min mogelijk informatie weg.
Met een packet filtering firewall kunnen we instellen welke poorten er open staan,
vanaf welke lP adressen er verbinding met het netwerk gemaakt mag worden, om
welke tijden er verbinding gemaakt mag worden, en oog vele andere opties.
8
N ET wERI< VER K EER BE V Elll G I N G
I
211
Applicatielaag firewall
Een applicatielaag firewall, ook wel een application layer firewall, werkt op laag 7, de
applicatielaag. Voor elke applicatie wordt gekeken of deze verbinding mag maken. Zo
kunnen bijvoorbeeld ook virussen aan de poort tegen gehouden worden.
Wanneer we in onze packet filtering firewall instellen dat een standaard P~.er to peer
(in het vervolg P2P) poort dicht zit, kunnen we niet voorkomen dat de P2P software
over een andere poort gebruikt wordt. Een applicatiefaag firewall is echter in staat de
P2P software überhaupt geen toegang te verlenen.
De beste firewall is natuurlijk een combinatie. Wanneer we zorgen dat we met packet
filtering 99°/o van de poorten dicht gooien, kunnen we het overige verkeer dat over de
openstaande poort gaat, filteren met een applicatielaag firewall.
Statetuil firewall
Een statefull firewall is een firewall die aan statefuif packet inspeetion doet. Met
andere woorden: het is een firewall die de status van een netwerkpakketje bijhoudt.
Een statefull firewall kan bijhouden of de pakketjes die door de firewall heen gaan
een legitieme inhoud hebben. Statefull packet inspeetion ziet er op toe dat de juiste
stappen in het opzetten van een verbinding worden genomen. Dit voorkomt dat
hackers een verbinding opzetten met niet standaard pakketjes.
s.6.l ~
Firewall producten
Er zijn meerdere firewall producten beschikbaar. Eerst bespreken we twee softwarematige firewalls en vervolgens wat een hardwarematige firewall is.
Twee populaire softwarematige producten voor bedrijven zijn lptables en Microsoft
Internet Security and Acceleration Server 2006.
lptables
.
Strikt genomen is lptables de tooi waarmee in Linux het raamwerk netfilter beheerd
wordt. Maar meestal bedoelt men met lptables het geheel waarmee binnen Linux
een firewall ingericht en beheerd kan worden. Er zijn verschillende manieren en tools
waarmee lptables geconfigureerd kan worden tot een zeer gedegen statefull firewall.
Microsoft Internet Security and Acceleration Server 2006
We hebben bij de uitleg over proxyservers het al even kort over Microsoft Internet
Security and Acceleration Server 2006 (ISA server) gehad. ISA server is in de eerste
plaats een firewall. Echter, naast de standaard firewallfuncties kunnen we met ISA
212
I
ICT SECURITY
server ook VPN verbindingen opzetten, FTP en webmail sessies integreren met de
Active Directory, en nog veel meer.
Hardware firewall
T;ot slot is het ook mogelijk om een hardwarematige firewall te gebruiken. Hoewel
deze meestal een stuk prijziger zijn dan een softwarematige firewall, is de veiligheid
van eenhardwarematige firewaU meestal beter. De hardwarematige firewallwordt
vaak bij groterenetwerken gebruikt.
FIGUUR
8.6.3
-7
8-23 Voorbeeld van een hardware firewall
Intrusion Detection System
Een geavanceerd product dat naast een firewall kan staan is een intrusion detection
system (lOS). Waar een Firewall alleen pakketjes blokt of toelaat is een lOS in staat
om een aanval waar te nemen. Een IDS is eigenlijk een alarmsysteem.
Intrusion Prevention System
Sommigen beschouwen een intrusion prevention system (IPS) als een geavanceerde
versie van een lOS, en weer andere beschouwen een IPS als een op zichzelf staande
techniek. Waar iedereen het over eens is, is dat een IPS erg handig is. Een IPS is in
staat een aanval te detecteren en vervolgens actie te ondernemen, door bijvoorbeeld
al het verkeer van de aanvaller te blokkeren en het overige verkeer door te laten.
false positives
Een term die we vaak binnen de ICT Security tegenkomen is false positives, oftewel
valse positieven. Met andere woorden: een valse detectie van een aanval of malware.
Dit kan bijvoorbeeld een e-mail zijn diè tegengehouden is omdat het computersysteem dacht dat het een spam mail was terwijl het een legitieme e-mail was. De
kritiek op IDS/IPS systemen is dat er vaak vele false positives zijn, oftewel: vaak
denkt een JDS/IPS ten onrechte dat hij aangevallen wordt. Het is dus zaak een IDS/IPS
goed te configureren zodat het aantal false positives zo laag mogelijk is.
In hoofdstuk 15 gaan we uitgebreid in op de mogelijkheden van een IDS/IPS.
8 NETWERKVERKEERBEVEILIGING
I
213
s.6.4
~
Honeypot
Een honeypot is een computersysteem of zelfs een netwerk van systemen die als een
val voor de hacker werken. De honeypot kan zich voordoen als een computersysteem
dat .makke:l.ijk te kraken is. Wanneer de honeypot echter voUedig afgeschermd is,
komt de hacker bedrogen uit. De honeypot kan ervoor zorgen dat de hacker zijn tijd
verdoet aan een .onbetangrijk systeem~ Door vervalste informatie hier te plaatsen
kan een hacker met allerlei gegevens om de tuin geleid worden. Maar een honeypot
kan de beveiliger ook informatie verschaffen over de hacker, zodat er gepaste actie
ondernomen kan worden.
Een andere toepassing van e·en hon'ey;pot Is het tegeJJgaan van spam. Er wordt een
aantal nepadressen op een we.l>.s·ite·.gepubliceerd. Dezè nepad,ressen dienen alleen ·om
de spammer te identificeren. Er wordt nauwkeurig bijgehouden vanaf welke lP adressen de e-mailadressen bekeken worden. Wanneer deze nepadressen e-mail ontvangen weten we zeker dat al deze e-mail spam is. Vervolgens kunnen de servers die de
spam verzonden hebben aangemerkt worden als spamverstuurders.
Er zijn wel juridische bedenkingen bij het gebruik van een honeypot omdat het op
het randje zit van verdediging en uitlokking.
s.6.s ~ Unified threat management
De term unified threat management {UTM), oftewel verenigd bedreigingsmanagement, wordt gebruikt voor firewaUproducten die tevens allerlei soorten oplossingen
voor andere bedreigingen verenigen. Een UTM bevat onder andere een firewalt, een
IDS/IPS, een proxyserver, een webfi1ter, een virusscanner en een spamfilter. Zo'n
totaal oplossing liJkt alle problemen ineens op te lossen, echter de prijs is meestal
erg fors, en wanneer de UTM het niet doet is alle beveiliging weg. Het is dus een duur
en kwetsbaar systeem.
8.7
PRAcr•cuM ~
Firewall installeren en testen
In dit practicum gaan we de firewallfuncties configureren en testen. Dit is een practicum in vier delen:
1> eerst testen we een werkstation zonder firewalt,
1> vervolgens testen we een werkstation met de Windows firewall,
214
I
I cT s Ecu RI T y
t>
t>
daarna installeren we firewallsoftware (Sygate Persenat Firewalf} en testen we
nogmaals,
tot slot maken we enkele speciale regels aan.
Voor dit practicum heb je nodig:
t> twee personen met elk een werkstation, of twee werkstations {fysiek of
virtueel),
t> een internetverbinding,
t> het werkblad 'Werkblad Firewall.doc'.
Tijdsduur:± 2 uur.
In dit practicum wordt gebruik gemaakt van een gratis versie van Sygate Personal
Firewall. Sygate is al enige tijd geleden overgenomen door Symantec. Dit oudere
product is nog beschikbaar maar wordt niet meer ondersteund. Wij kiezen voor dit
product omdat de meeste huidige firewalls veel extra toeters en bellen hebben die
wij voor dit practicum niet nodig hebben.
In het vervolg van dit practicum noemen we het ene werkstation het aanvalswerkstation en het andere werkstation noemen we het doelwit werkstation. Tijdens het
practicum wordt door de werkstation icoontjes in de kantlijn aangegeven wanneer je
van werkstation wisselt.
aanvalswerkstation
8.7.1 ~
(t)h doelwit werkstation
<::.::>~
Zonder firewall
We gaan eerst het systeem zonder firewall testen. We gebruiken voor het testen het
softwarepakket Nmap, en wet de grafische versie voor Windows: Zen map. Nmapis
een security audit tooi waarmee de beveiligh1g van computersystemen geanalyseerd
kan worden.
~
1.
Noteer van beide werkstations. zowel het aanvalswerkstation als het doelwit
werkstation, het lP adres, het MAC adres en de computernaam in het 'Werkblad
Firewall.doc'.
2.
Log in op het doelwit werkstation.
3. Om de test realistisch te maken gaan we een veel gebruikte poort open zetten:
3389. Op deze poort werkt het Remote Desktop Protocol (ROP). Met ROP kunnen
8 N ETW ERKVERKEE RB EVE I Ll GING
I
215
we binnen Windows het externe bureaublad gebruiken. Met andere woorden:
hiermee kunnen we vanaf een ander werkstation ons eigen werkstation beheren.
4. Open een Windows Verkenner.
5.
Klik met de rechter muisknop op Deze Computer en selecteer in het contextmenu
Eigenschappen.
6.
Het Systeemeigensthappen venster verschijnt. Selecteer het tabblad Verbindingen
van buitenaf. In dit tabblad selecteer je Gebruikers mogen een externe verbinding
met deze computer maken (figuur 8-24).
r Hulp op afstand ··
I
i ~ J:!ulp op al•tand mag vanaf deze computer worden geotart
I
I
l
Wat is Hulp op afsland?
(Gs.anceerd.. J
1
L.......-·-·------~~~-·-······-···························--·····-·--J
rExtèrnbureaubla&-·-··-·--~·--··~-~---~
r
J!fi.GelwikertlfiO!I!!n een externe velbinding met,4eze computer rnaken
v~~~fern<mn:
tf\ . .
C
I
è
I '
.
.~~~--0
'Wat is Èiltem bureaublad?
I EJ!Ierne gebruikers oelecleren.•. J ·
V001 gebruiker• cle een -.never~ met deze oompuler maken. ·
tmet de gebn.ikm-nt een wachtwoord hebben
Wmowo Firewall word zodanill~rd dat eo1erne bureaubfad. .
Yerbînclngen met dezeQlrnplller waden~
I
FIGUUR s-24
7.
OK
I
Systeemeigenschappen
Om .het externe bureaublad te gebruiken moeten we ook de .firewall aanpassen,
in dit geval is dat de Windows Firewall. Ga naar het Beveiligingscentrum en kies
onder de kop Beveiligingsinstellingen beheren in: voor Windows Firewall.
8.
Het venster Windows. Firewall verschijnt. Klik op het tabblad Uitzonderingen.
9.
In het tabblad Uitzonderingen vink je Extern bureaublad aan en Hulp op afstand
(figuur 8-25). Klik op OK.
216
I
ICT SECURITY
liil Hulp op alatand
D UPnP·kamework
FIGUUR 8-25 Uitzonderingen van de Windows Firewall
10. In de eerste test gaan we testen zonder firewall, dus moeten we de Windows
Firewall uitzetten. je bevindt je nog steeds bij het Beveiligingscentrum en je kiest
onder de kop Beveiligingsinstellingen beheren in: voor Windows Firewall.
11.
Het venster Windows Firewall verschijnt. Zorg dat de optie Uitgeschakeld (niet
aanbevolen) geselecteerd is en klik op OK (figuur 8-26).
Uw computer wordt met behulp van Wtndows Frewall ~beveiligd tegen
niet-gemachtigde gebtuikers die Yia het Internet of een netwerk toegang tot uw
computer Ploberen tl> ve4«ijgen.
0
0
Ingeschakeld (aanbevolen)
Dee instelling blokkeelt alle ve~bin~ van externe bronnen met
deze computer, behalve de bronnen die zijn geselecteerd op tabblad
Uitwnderingen.
rJ lieim uilzondelingen toeslaan
FIGUUR 8-26 Windows Firewall
8 NETWERKVERKEERBEVEILIGING
I
217
12. We gaan testen of het externe bureaublad werkt. Log i nop het aanvalswerkstation.
13. Klik achtereenvolgens op Start -7 Alle programma's -7 Bureau-accessoires -7
Communicatie -7 Verbinding met extern bureau blad.
14. Het venster Verbinding met extern bureaublad verschijnt {figuur 8-27). Vul hier het
lP adres van het doelwit werkstation in en klik op Verbinding maken.
FIGUUR 8-27
Verbinding met extern bureaublad
15. Wanneer je alle handelingen goed hebt uitgevoerd dan kun je nu inloggen en
werken op het doelwit werkstation vanaf het aanvalswerkstation.
16. Verbreek de verbinding van het externe bureaublad.
17. We gaan de veiligheid van het doelwit werkstation testen. Ga met een webbrowser naar http://nmap.org/download.html.
18. Download hier de Windowsversie van Nmap, nmap-X.XX-setup.exe {X staat voor
meest recente versie nummer).
19. Voer de installatie van Nmap uit. Indien WinPcap al op het systeem geïnstalleerd
staat kan deze optie uitgevinkt worden.
20. Start de grafische versie van Nmap: Zen map.
21. Het Zenmap venster verschijnt {figuur 8-28). Vul bij Target het lP adres van het
doelwit werkstation in. Kies bij Profile voor Intense Scan. Druk op Scan.
22. Het scannen duurt even en dan verschijnt er een tekstresultaat. Het resultaat
bevat onder andere een lijst-met openstaande poorten, bijvoorbeeld:
218
I
ICT SECURITY
FIGUUR 8-28
Zenmap hoofdscherm
PORT
135/tcp
139/tcp
445/tcp
STATE
open
open
open
3389/tcp
open
SERVICE
rnsrpc?
netbios-ssn
rnicrosoft-ds
rnicrosoft-ds
ms-term-serv?
VERSION
Microsoft Windows XP
Noteer de openstaande poorten met bijbehorende service in het 'Werkblad Firewall.doc'.
23. Tevens bevatten de resultaten een inschatting van wat het besturingssysteem
van het doelwit werkstation is, in dit geval:
Running: Microsoft Windows XP
OS details: Microsoft Windows 2000 SP4. ar Windows XP SP2 ar SP3
Noteer het besturingssysteem in het 'Werkblad Firewall.doc'.
24. Kopieer tot slot het gehele Zenmap resultaat in het 'Werkblad Firewall.doc'.
8 NETWERKVERKEERBEVEILIGING
I
219
We hebben zonder firewall getest en zien dat er allerlei poorten open staan en dat
de aanvaller weet welk besturingssysteem er op het doelwit draait. Stap 2 van de
hacker, scannen van doelwit, is geslaagd. Nu gaan we met de Windows Firewall
testen.
Windows Firewall
8.7.2-)
25. Op het doelwit werkstation ga je naar het Beveiligingscentrum en kies je onder
de kop Beveiligingsinstellingen beheren in: voor Windows Firewall.
26. Het venster Windows Firewall verschijnt. Zorg dat de optie Ingeschakeld
(Aanbevolen) geselecteerd is en klik op OK.
27. Op het aanvalswerkstation. Open Zenmap.
28. Scan hetzelfde werkstation wederom met de Intense Scan.
29. Na enige tijd verschijnt er opnieuw een resultaat. Ditmaal bevat het echter
andere gegevens. De poorten worden bijna allemaal nog goed afgeschermd,
alleen de ROP poort staat nog open:
PORT
3389/tcp
STATE
open
SERVICE
ms-term-serv?
VERSION
Noteer de openstaande poorten met bijbehorende service in het 'Werkblad Firewall.doc'.
30. Met deze ene poort open kan er nog steeds een aardige schatting (97°/o) gemaakt
worden van het besturingssysteem. Zenmap is nu wel minder zeker maar geeft
toch nog een aantal zeer aardige suggesties:
'
Running (JUST GUESSING): Microsoft Windows XPI2000I2003
(97%)
Aggressive OS guesses: Microsoft Windows XP SP2 (97%),
Microsoft Windows XP SP 2 (92%), Microsoft Windows XP
Professional SP2 (91%), Microsoft Windows 2000 SP4 or
Windows XP SP2 (90%), ·Microsoft Windows Server 2003 SPI or
SP2 (90%), Microsoft Windows Server 2003 SP2 (90%), .Microsoft Windows 2003 Small Business Server (89%), Microsoft
Windows XP SP2 (firewall disabled) (88%), Microsoft Windows
220
I
ICT SECURITY
Server 2003 SPO or Windows XP SP2 (88%). Microsoft Windows
XP Professional SP2 (firewall enabled) (88%)
No exact OS matches for host (test conditions non-ideal).
Noteer het besturingssysteem in het 'Werkblad Firewall.doc' alsmede het percentage van de schatting.
31. Kopieer ook wederom het gehele Zenmap resultaat in het 'Werkblad Firewall.doc'.
We hebben met de Windows Firewall getest en zien dat er nog één poort open staat
en dat de aanvaller in ieder geval weet dat er een Windowssysteem op het doelwit
draait. Stap twee van de hacker, scannen van doelwit, is redelijk geslaagd. Nu gaan
we met de Sygate Personal Firewall testen.
8.7.3
--7
Sygate Personal Firewall
32. Op het doelwit werkstation. Open je favoriete webbrowser en ga naar
http:/fwww. iet-secu rity-boek. nIjoefen ingen/fi rewaU.
33. Gebruik hier één van de links om naar een website te gaan waar je Sygate
Personal Firewall kunt downloaden.
34. Download Sygate Personal Firewall.
35. Installeer Sygate Personal Firewall met alle standaardopties.
36. Reboot de pc wanneer de installatie voltooid is.
37. Wanneer het werkstation opnieuw opgestart is, verschijnt het Registration for
Sygate Personaf Firewa/1 venster {figuur 8-29). Vul hier je naam en e-mailadres in
en klik op Register Now.
38. Het programma probeert een website te openen die niet meer bestaat. Sluit de
website.
8 N ETW E RKVERKEERBEVEILI GING
I
221
FIGUUR 8-29
Registration for Sygate Personaf FirewaiJ
39. Er versc:hijnen vanzelf pop-up-vensters van Sygate met de vraag of een bepaald
proces wel of niet toegang moet krijgen tot het systeem. Dit is het appticatielaag
firewallgedeelte van het programma. Net als de meeste desktopfirewalls heeft
ook Sygate een applicatielaag firewallgedeelte en een packet filter firewallgedeelte.
40. Wanneer er een pop-up venster verschijnt (figuur 8-30) moeten we goed kijken of
dit proces wel of geen toegang moet krijgen.
FIGUUR 8-30
SJgate pop-up
41. Een manier om te bepalen of een proces wel of geen toegang moet krijgen is
door de details te bekijken. In figuur 8-31 zien we dat de virusscanner verbinding
probeert te maken met een server op het internet. Wanneer we alles uitgebreid
nakijken zien we dat de virusscanner hier zijn updates vandaan haalt.
222
I
ICT SECURITY
FIGUUR 8-31
Sygate pop-up uitgebreid
42. In dit voorbeeld kunnen we op Yes drukken omdat we dit proces toegang willen
verlenen. Maar aangezien een virusscanner dagelijks naar updates op zoek gaat
willen we dat dit altijd mag, daarom vinken we de optie Remember my answer,
and don't ask me again for this application aan.
43. We gaan Sygate Personal Firewall testen. Op het aanvalswerkstation, open
Zen map.
44. Scan wederom hetzelfde werkstation met de Intense Scan.
45. Op het doelwit werkstation verschijnen er tijdens de scan meerdere pop-up
vensters. Ten eerste krijgen we nu netjes de melding dat iemand ons systeem
scant (figuur 8-32).
Port Scan altack is logged
E'J Do nat $hO"" this ,Wndow agaîn
FIGUUR 8-32
Port Scan alert
46. Vervolgens zien we ook dat. iemand een verbinding met onze RDP poort probeert
te maken {figuur 8-33). Dit willen we niet, dus klik op No.
8 N ET wERKVERKEER BE VEI u G I N G
I
223
FIGUUR 8-33 ROP alert
47. Wederom terug bij.het aanvalswerkstation. Ditmaal is er een beduidend ander
resultaat. Alle poorten worden goed afgeschermd:
All 1715 scanned ports on 192.168.233.129 are filtered
Noteer de openstaande poorten met bijbehorende service in het 'Werkblad Firewall.doc'.
48. Ook het schatten van het besturingssysteem wordt een stuk ingewikkelder
zonder openstaande poorten:
Too many fingerprints match this host to give specific OS
details
Noteer het besturingssysteem in het 'Werkblad FirewaU.doc' alsmede het percentage van de schatting.
49. Kopieer wederom het gehele Zenmapresultaat in het 'Werkblad Firewall.doc'.
We hebben ook met de Sygate Personal Firewall getest en zien dat we gevraagd
worden of we processen toegang tot bepaalde poorten willen verlenen. We worden er
zelfs op attent gemaakt dat iemand een poortscan uitvoert. Stap twee van de hacker,
scannen van doelwit, is mislukt. Nu gaan we Sygate Personal Firewall verder configureren met behulp van regels.
8.7.4
Sygate Personal Firewall re'gels
--1
50. Stel nu dat we echter willen dat er een extern bureaublad verbinding (ROP)
gemaakt mag worden met het doelwit werkstation, maar alleen vanaf het
aanvalswerkstation en verder vanaf geen enkel ander werkstation. Ga naar het
doelwit werkstation.
51. Open Sygate Personal Firewall.
224
I
!CT SECURITY
52. Het Sygate Personal Firewall venster verschijnt (figuur 8-34). Ga naar Tools
--7
Advanced Ru/es ...
NT-kernel &
-systeem
FIGUUR
Es et Service
LSA Shell
(Expo...
Generic Host
Process f...
Apphcation
Layer G...
NDIS User
mode!/ ...
8-34 Sygate Personaf Firewa/1
53. Er verschijnt een waarschuwingsvenster dat geavanceerde regels een hogere
prioriteit hebben dan gewone applicatieregels (figuur 8-35). Anders gezegd staat
hier dat de packter filter firewallregels (geavanceerde regels) voorgaan op applicatielaag firewallregels (applicatieregels). Vink de optie Remember my answer, and
do notshow this message again aan klik op OK.
FIGUUR
8-35 Sygate Personaf regel prioriteit
54. Het venster Advanced Ru les verschl1nt. Klik op Add.
55. Het Advanced Rule Settings venster verschijnt. Hier geven we de regel een naam
en bepalen we of het een regel over blokkeren of toelaten is. We gaan een regel
maken die al het RDP verkeer tegenhoudt. Vul bij Rule Description in 'Blokkeer
RDP verkeer'. Bij Action kiezen we voor 'Biock this traffic' (figuur 8-36). De overige
instellingen laten we op de standaardinstellingen staan. Klik op het tabblad
Hosts.
-------------
8 NETwERKVERKEER !3 EVEI Ll G l N G
I
225
<:) AHow this traffic
FIGUUR 8-36
Sygate Advanced Rule Settings- General
56. In het Hosts tabblad kunnen we aangeven voor welke andere computersystemen
(lP adressen) de regel van toepassing is. Deze regel geldt voor al het verkeer, dus
laat Apply this rule to op All adresses staan (figuur 8-37). Klik op het tabblad Ports
and Protocols.
() MAC addr= :
0
lP Address(es):
10.001 ,1S2168.0.1·192.168.D. ï6 J
C)Subnet:
FIGUUR 8-37
Sygate Advanced Rule Settings- Hosts
57. In het Ports and Protoeals tabblad kunnen we aangeven voor welke poorten de
regel van toepassing is. Deze regel geldt alleen voor het RDP verkeer. RDP verkeer
gaat over TCP port 3389. Kies dus bij Protocol voor TCP, type bij Loco/ de waarde
3389 en kies bij Traffic Direction voor Incaming (figuur 8-38). Klik op OK.
226
I
ICT SECURITY
Aemote/Local Ports Number{For eMample: 80,1450.1024-1209)
Aemote:
L __ _ _ _ _ _ _ _ _ _ _.._'i!!!l!llil
Local:
LJ338~9--------·------'1-iiJJ
Traffie Direction: jlncoming
~~I
Aule Summary:
'''ê i
Thitrule willblock incoming traffic from aK hosts on TCP local port{s) 3389. This rule wiK
be appfred to all network interface cards.
FIGUUR
8-38 Sygate Advanced Rule Settings- Ports and Protoeals
58. De regel is aangemaakt. Nu maken we een uitzondering op de regel. Klik in het
Advanced Rule Settings venster op Add.
59. Opnieuw verschijnt het Advanced Rule Settings venster. We gaan een regel maken
die alleen het ROP verkeer vanaf het aanvalswerkstation toe staat. Vul bij Rule
Description in 'ROP vanaf aanvalswerkstation mag'. Bij Action kiezen we voor
'AIIow this traffic' (figuur 8-39). De overige instellingen laten we op de standaardinstellingen staan. Klik op het tabblad Hosts.
App[y this rule during Screensaver Mode
~nd off
:iiliJ
EJ Record !hio traffic in "Packet Log''
Aule Summary:
This rule will allow both incoming and outgoing traffic from/to all hosts on all ports and
protocols. This rule will be applied to all network interface cards.
FIGUUR
8-39 Sygate Advanced Rule Settings- General
8 N ET wER I( V ER K EER B EV Elll G I N G
I
227
6o. In het Hosts tabblad gaan we aangeven dat het om het aanvalswerkstation gaat.
Kies bij Apply this rule voor lP address(es) en vul hier het lP adres van het aanvalswerkstation in (figuur 8-40). Klik op het tabblad Ports and Protocols.
0
MAC address :
® lP Address(esj :
(lP Address{es) ewample, 10.(10. U 92.168.0.1-192.169.0. 76 )
@§.2331
0
J
SubMt lP .'\ddress·
Subnet:
Subnet Haok:
I SummarJ:
will aliow both incoming and outgoing haftic from/to lP address{es)
.1 on all ports and protocols. This rule wilt be applied to all network interface
FIGUUR 8-40
Sygate Advanced Rule Settings- Hosts
61. In het Ports and Protoeals tabblad geven we wederom aan dat deze regel alleen
geldt voor het RDP verkeer. Kies bij Protocol voor TCP, type bij Locaf de waarde
3389 en kies bij Traffic Direction voor Incaming (figuur 8-41). Klik op OK.
Remote/Local Ports Number(For ewample: 90_1 450_1 024-1209)
Rule Summary:
This rule wil! allow incoming traffic from lP address(es) 192.168.233.1 on TCP local
port{s) 3389. This rule will be applied to all network interface cards.
FIGUUR 8-41
228
I
:>1
Sygate Advanced Rule Settings- Ports and Protoeals
! cT sEc u RIT y
62. Terug in het Advanced Rules venster zien we twee regels staan. Aangezien de fire-
wall van boven naar beneden leest en de bovenste regel eerst uitvoert, moeten
we zorgen dat de regel die het verkeer toestaat bovenaan staat. Selecteer de regel
'RDP vanaf aanvalswerkstation mag' en klik op het icoon met het pijltje naar
boven {figuur 8-42). Maak: een sereensbot van hetAdvancedRules venster en plak
deze in het 'Werkblad Firewall.doc'.
fiGUUR 8-42
Sygate Advanced Ru les
63. Ga naar het aanvalswerkstation en test of er een verbinding via het externe
bureaublad te maken is.
64. Open het doelwit werkstation. We gaan nu nog een aantal regels aanmaken.
Maak een regel die PING commando's toestaat vanaf alle lP adressen die op
hetzelfde subnet zitten als het doelwit werkstation. Schrijf de regel uit in het
'Werkblad Firewall.doc'.
65. Log in op het aanvalswerkstation. Test of het mogelijk is het doelwit werkstation
te pingen.
66. Maak een regel die uitgaand verkeer toestaat naar alle Webservers, voor zowel
gewoon internetverkeer {http} als beveiligd internetverkeer {https). Schrijf de
regel uit in het 'Werkblad Firewall.doc'.
67. Maak tot slot een regel die ervoor zorgt dat MSN verkeer toegestaan is. Schrijf
ook deze regel uit in het 'Werkblad Firewall.doc'.
8 N ETWERKVERKHRBEVEILIG I NG
I
229
Het practicum samengevat
1> Nmap 1zenmap is ge:instaUeerd,
1> de beveiliging is getest zonder firewall,
1> de beveiliging is getest met de Windows Firewatl,
1> de beveiliging is getest met de Sygate Personal Firewall,
1> er zijn specifieke regels aangemaakt.
8.8
Samenvatting
In dit hoofdstuk heb je de volgende dingen geleerd:
1> hoe netwerkverkeer gemonitord kan worden,
1> hoe een netwerkkaart in promiscuous mode werkt,
1> wat een firewall is,
1> welke soorten firewalls er zijn,
1> welke andere soorten netwerkbescherming er zijn,
1> hoe de netwerkbeveiliging goed getest kan worden,
1> wat het verschil in veiligheid is tussen: geen firewall, de Windows firewall en een
aparte firewall,
1> hoe.firewallregels geschreven moeten worden.
230
I
ICT SECURITY