Firewall Testing with NAT

Transkript

1 Firewall Testing with NAT Semesterarbeit Wintersemester 2005/06 Adrian Schüpbach Betreuerin: Diana Senn Information Security ETH Zürich 7. Februar 2006 Adrian Schüpbach (ETH Zürich) Firewall Testing with NAT SA WS 2005/06 1 / 24

2 Ziele der Arbeit Eine Instanz von fwtest Spezifikation von Testfällen, statt einzelner Testpakete Unterstützung von NAT Adrian Schüpbach (ETH Zürich) Firewall Testing with NAT SA WS 2005/06 2 / 24

3 Eine Instanz von fwtest Eve (Firewall) Interface 1 Interface 2 Alice (fwtest) zwei Netzwerkschnittstellen unterstützen keine Synchronisationsprobleme globale Sicht über gesendete und empfangene Pakete Timeout für gesendete und erwartete Pakete nötig Adrian Schüpbach (ETH Zürich) Firewall Testing with NAT SA WS 2005/06 3 / 24

4 Eine Instanz von fwtest Datenstrukturanpassung Eve (Firewall) Interface 1 Interface 2 Alice (fwtest) jedes zu sendende und erwartete Paket als Send- und Receive-Event in Datenstruktur bisher: zwei Datenstrukturen neu: Send- und Receive-Event in gleicher Datenstuktur Adrian Schüpbach (ETH Zürich) Firewall Testing with NAT SA WS 2005/06 4 / 24

5 Eine Instanz von fwtest Ablauf in jedem Zeitpunkt Pakete für aktuellen Zeitpunkt generieren Pakete senden und Timer starten Pakete löschen empfangene Pakete mit erwarteten vergleichen loggen Pakete, die ankommen sollten, aber nicht gekommen sind Pakete, die ankommen, obwohl sie nicht sollten zum nächsten Zeitpunkt übergehen Adrian Schüpbach (ETH Zürich) Firewall Testing with NAT SA WS 2005/06 5 / 24

6 Spezifikation von Testfällen Testfälle Bisher einzelne Pakete im TP-File Neu Pakete gehören zu Testfall Testfall hat eindeutige Nummer Paketnummern innerhalb des Testfalles eindeutig Adrian Schüpbach (ETH Zürich) Firewall Testing with NAT SA WS 2005/06 6 / 24

7 Spezifikation von Testfällen Elimination der absoluten Zeit Synchronisation mit absoluter Zeit funktioniert mit einer Instanz relative Zeit reicht jetzt aus relative Zeit nötig wegen Paketreihenfolge Paketreihenfolge wichtig zum Beispiel TCP-Verbindungsaufbau 1 SYN 2 SYN, ACK 3 ACK relative Zeit durch Paketnummern Paketnummer jedes Pakets eindeutig innerhalb eines Testfalles Adrian Schüpbach (ETH Zürich) Firewall Testing with NAT SA WS 2005/06 7 / 24

8 Spezifikation von Testfällen Elimination der absoluten Zeit Paket mit kleinerer Nummer vor Paket mit grösserer Nummer abarbeiten generieren senden empfangen und vergleichen zeitliche Abstände von Paketen nur vom Timeout abhängig für verschiedene Tests mit verschiedenen zeitlichen Abständen nur ein TP-File nötig absolute Zeit weder für Synchronisation noch für zeitliche Abstände nötig somit relative Zeit erreicht Adrian Schüpbach (ETH Zürich) Firewall Testing with NAT SA WS 2005/06 8 / 24

9 Spezifikation von Testfällen Beispiel-TP-File Beispiel-TP-File testcase 0{ packet 0{...} packet 4{...} } testcase 1{ packet 0{...} packet 2{...} } Pakete mit Nummer 0 gleichzeitig gesendet danach Paket 2 aus Testcase 1 danach Paket 4 aus Testcase 0 Adrian Schüpbach (ETH Zürich) Firewall Testing with NAT SA WS 2005/06 9 / 24

10 NAT-Unterstützung wichtige Punkte Beschreibung des zu sendenden und des erwarteten Paketes Variablen für IP- und Port-Nummern einführen Paket-Identifikation Pakete erst kurz vor dem Senden generieren Adrian Schüpbach (ETH Zürich) Firewall Testing with NAT SA WS 2005/06 10 / 24

11 NAT-Unterstützung Variablen :2 > :22 NAT :1066 > :22 Alice :22 > :2 Eve (Firewall) :22 > :1066 Port von Firewall gewählt Bob Source-Port von Firewall beliebig gewählt bei NAT gesendetes Paket sieht somit beim Empfang auf anderer Firewallseite anders aus Variablen für Portnummern nötig Variablen für IP-Nummern praktisch Variable innerhalb eines Testfalles gültig Adrian Schüpbach (ETH Zürich) Firewall Testing with NAT SA WS 2005/06 11 / 24

12 NAT-Unterstützung Paket-Identifikation bisher alle Felder (IP s, Port s,...) verglichen ginge immernoch mit Variablen unschön neu eindeutige Paketnummer (Paket-ID) mitgesendet Paket-ID in IP-ID-Feld mitsendbar (standard) für TCP, UDP und ICMP möglich Paket-ID als Daten mitsenden (alternativ) nur für TCP und UDP möglich vom Benützer wählbar mit Kommandozeilen-Option für ICMP-Pakete weiterhin im IP-ID-Feld Adrian Schüpbach (ETH Zürich) Firewall Testing with NAT SA WS 2005/06 12 / 24

13 NAT-Unterstützung Paket-Überprüfung empfangenes Paket anhand Paket-ID identifizieren ist empfangenes Paket wie erwartet? Überprüfung aller Felder auf Gleichheit mit erwarteten Werten IP s Port s SYN- und ACK-Nummern... Variablen im erwarteten Paket überprüfen Adrian Schüpbach (ETH Zürich) Firewall Testing with NAT SA WS 2005/06 13 / 24

14 NAT-Unterstützung Variablen in Paketen Wertzuweisung an Variablen in erwarteten Paketen Wert des Feldes des ersten erwarteten Paketes zuweisen für weitere Pakete gültig Wertüberprüfung von Variablen Spätere Pakete: Gleicher Wert wie Variablenwert im entsprechenden Feld zwingend Adrian Schüpbach (ETH Zürich) Firewall Testing with NAT SA WS 2005/06 14 / 24

15 NAT-Unterstützung Beispiel: TP-File und Testaufbau testcase 0{ packet 0{ TCP send { S 60 -} receive { VarA 22 S 60 -} } packet 1{ TCP send { VarA SA 70 61} receive { SA 70 61} } packet 2{ TCP send { A 61 71} receive { VarA 22 A 61 71} } } Eve (Firewall) Interface 1 Interface Alice (fwtest) Adrian Schüpbach (ETH Zürich) Firewall Testing with NAT SA WS 2005/06 15 / 24

16 NAT-Unterstützung Beispiel erstes Paket zu Firewall senden Eve (Firewall) :2 > :22 SYN SEQ=60, ACK= Interface 1 Interface Alice (fwtest) sende erstes Paket zur Firewall Adrian Schüpbach (ETH Zürich) Firewall Testing with NAT SA WS 2005/06 16 / 24

17 NAT-Unterstützung Beispiel erstes Paket zum Ziel Eve (Firewall) :1066 > :22 SYN SEQ=60, ACK= Interface 1 Interface Alice (fwtest) VarA==1066 Firewall wählt Source-Port 1066 sendet Paket mit gewähltem Port und eigener IP-Nummer weiter erstes Vorkommen von VarA fwtest setzt VarA=1066 Adrian Schüpbach (ETH Zürich) Firewall Testing with NAT SA WS 2005/06 17 / 24

18 NAT-Unterstützung Beispiel sende Antwort zur Firewall Eve (Firewall) :22 > :1066 SYN, ACK SEQ=70, ACK=61 Interface 1 Interface Alice (fwtest) VarA==1066 Paket mit VarA=1066 generieren zur Firewall senden Adrian Schüpbach (ETH Zürich) Firewall Testing with NAT SA WS 2005/06 18 / 24

19 NAT-Unterstützung Beispiel Firewall sendet Antwort weiter Eve (Firewall) :22 > :2 SYN, ACK SEQ=70, ACK=61 Interface 1 Interface Alice (fwtest) VarA==1066 Firewall sendet Paket mit originalem Ziel-Port weiter Adrian Schüpbach (ETH Zürich) Firewall Testing with NAT SA WS 2005/06 19 / 24

20 NAT-Unterstützung Beispiel ACK-Paket senden Eve (Firewall) :2 > :22 ACK SEQ=61, ACK=71 Interface 1 Interface Alice (fwtest) VarA==1066 sende ein ACK-Paket Adrian Schüpbach (ETH Zürich) Firewall Testing with NAT SA WS 2005/06 20 / 24

21 NAT-Unterstützung Beispiel Firewall sendet ACK-Paket weiter Eve (Firewall) :1066 > :22 ACK SEQ=61, ACK=71 Interface Alice (fwtest) Interface VarA==1066 setze für Source-Port den gleichen Wert wie vorher gewählt ein sende Paket weiter fwtest überprüft, ob Variablenwert immernoch gleich ist Adrian Schüpbach (ETH Zürich) Firewall Testing with NAT SA WS 2005/06 21 / 24

22 Generierung der Pakete Generieren der Pakete erst kurz vor dem Senden weniger Speicher zur Laufzeit benötigt Pakete nach dem Senden wieder löschen Variablenwerte für Generierung benötigt Löschen der Pakete kurz nach dem Senden Beschreibung des erwarteten Paketes immernoch vorhanden Adrian Schüpbach (ETH Zürich) Firewall Testing with NAT SA WS 2005/06 22 / 24

23 Schlussfolgerung viele Änderungen an der Programmstruktur von fwtest waren nötig um es als eine Instanz benützen zu können eine Instanz mit zwei Schnittstellen funktioniert einige Änderungen nötig, um zweite Schnittstelle in Betrieb zu nehmen Vereinfachung des Timers Unterstützung von NAT gelungen durch ID Paket eindeutig identifizierbar durch einführung von Variablen alle Felder auf Gleichheit wie erwartet überprüfbar Adrian Schüpbach (ETH Zürich) Firewall Testing with NAT SA WS 2005/06 23 / 24

24 Ausblick Variabler Timeout vom Benützer wählbarer Timeoutwert an der Kommandozeile automatische Wahl des Timeoutwertes durch fwtest Sendewiederholung von Paketen, die nicht angekommen sind Erwartung von ICMP-Paketen (ohne sie zu senden) Firewalls können Fehlermeldungen senden, die man ev. prüfen will weitere ICMP-Typen IPv6-Unterstützung Versenden von Paketen mit Daten Adrian Schüpbach (ETH Zürich) Firewall Testing with NAT SA WS 2005/06 24 / 24