6. Zone Defense 6.1 Einleitung Im Folgenden wird die Konfiguration von Zone Defense gezeigt. Sie verwenden einen Rechner für die Administration, den anderen für Ihre Tests. In der Firewall können Sie entweder die Anzahl der Sessions pro Rechner/Netz begrenzen und bei überschreiten die Firewall dazu veranlassen den Switch per SNMP anzuweisen, dass bestimmte IP-Adressen gesperrt werden. Andererseits können Sie die IDS Regeln konfigurieren um einen Angreifer von innen über die Firewall zu erkennen und den Switch mit ZoneDefense zu managen. Ein Angriff wird dadurch simuliert, dass über ein TFTP Client eine passwd Datei von einem TFTP Server versucht wird zu downloaden. 6.2 Voraussetzungen 1x D-Link Firewall z.b. DFL-800 Firmware Version 2.20 D-Link Switch z.b. DGS-3627 2x Computer mit Windows XP WinAgents TFTP Client 1.4 6.3 Konfiguration Logen Sie sich über die Serielle Schnittstelle auf den Switch ein und geben Sie an der Shell Folgendes ein: 1
config ipif System ipaddress 192.168.0.50/24 enable snmp DGS-3627:5#config ipif System ipaddress 192.168.0.50/24 Command: config ipif System ipaddress 192.168.0.50/24 Success. DGS-3627:5#enable snmp Command: enable snmp Success. DGS-3627:5# 6.4 IP-Adressen Objekte Gehen Sie für die Konfiguration der IP-Adressen in folgendes Menü: GUI Objects Address Book Add IP address Name IP Address Das ist der Name des Objekts. Hier steht die IP-Adresse im Objekt. Gehen Sie folgendermaßen vor, um den Eintrag für den Switch zu konfigurieren: Bei Name tragen Sie z.b. Switch ein. Unter IP Address tragen Sie z.b. 192.168.0.50 ein. Bestätigen Sie ihren Eintrag mit OK. 2
Gehen Sie folgendermaßen vor, um den Eintrag für den Admin PC zu konfigurieren: Bei Name tragen Sie z.b. Admin_PC ein. Unter IP Address tragen Sie z.b. 192.168.0.2 ein. Bestätigen Sie ihren Eintrag mit OK. 6.5 Zone Defense Switch In der Firewall müssen Sie für Zone Defense einen Switch angeben, der per SNMP die Access Lists anlegt. Gehen Sie für die Konfiguration in folgendes Menü: GUI ZoneDefense Switches Add ZoneDefense Switch Name Switch model IP Address SNMP Community Check Switch Enabled Das ist der Name des Objekts. Wählen Sie einen Switch Type aus. Hier steht die IP-Adresse des Switch. Das SNMP Passwort mit Schreibrechte. Testet die Verbindung zum Switch. Aktivieren oder deaktivieren Sie den Eintrag. 3
Gehen Sie folgendermaßen vor, um den Eintrag für den Switch zu konfigurieren: Bei Name tragen Sie z.b. Switch ein. Als Switch model wählen Sie z.b. DGS-3600 Series. Unter IP Address Switch wählen Sie z.b. Switch. Bei SNMP Community tragen Sie z.b. private ein. Überprüfen Sie die Verbindung mit Check Switch. Der Haken Enabled ist: aktiv. Bestätigen Sie den Eintrag mit OK. 6.6 Ausnahmen konfigurieren Damit Ihr Admin-Rechner bei den Tests nicht gesperrt wird, können Sie eine Ausnahme konfigurieren. Gehen zur Konfiguration in folgendes Menü: GUI ZoneDefense Exclude list >> Fügt Objekte zu Selected hinzu. << Entfernt Objekte aus dem Bereich Selected. Wählen Bei Available den Admin_PC aus und klicken Sie >>. Bestätigen Sie den Eintrag mit OK. 4
6.7 IDS & Durchsatz Regeln Wählen Sie eine der beiden Methoden um mit der Regel Konfiguration fortzufahren: 6.7a Durchsatz Regel 6.7b IDS Regel 6.7a Durchsatz Regel Um einen Rechner zu sperren, können Sie die Sessions pro Sekunde begrenzen. Gehen Sie zur Konfiguration der Regel in folgendes Menü: GUI Traffic Management Threshold Rules Add Threshold Rule Name Service Source Interface Source Network Destination Interface Destination Network Das ist der Name der Regel. Der Dienst (Protokoll + Port) für die Regel. Das Interface, von wo die Pakete kommen. Das Netzwerk, von wo die Pakete kommen. Das Interface, zudem die Pakete gesendet werden. Das Netzwerk, zudem die Pakete gesendet werden. 5
Bei Name tragen Sie einen Namen ein z.b. Limit_http. Als Service wählen Sie z.b. http. Das Source Interface setzen Sie auf: lan. Als Source Network wählen Sie: lannet. Das Destination Interface setzen Sie auf: Internet. Als Destination Network wählen Sie: all-nets. Bestätigen Sie ihre Eingaben mit OK. Gehen Sie anschließend in den Eintrag, um eine Aktion für die Regel anzulegen: GUI Traffic Management Threshold Rules Limit_http Add Threshold Action Action Group by Threshold Use ZoneDefense Wählen Sie die Aktion bei Regelverstoß. Entscheiden Sie ob pro Host oder pro Netz die Aktion zählt. Bestimmen Sie die Anzahl der Sessions pro Sekunde. Aktivieren Sie die Zusammenarbeit mit Zone Defense.. Als Action wählen Sie z.b. Protect. Group by setzen Sie auf z.b. Host-based. 6
Unter Threshold tragen Sie z.b. 3 Connections/Second ein. Der Haken Use ZoneDefense wird: aktiviert. Bestätigen Sie Ihre Eingaben mit OK. Nach der Konfiguration müssen Sie die Konfiguration speichern und aktivieren. Aktivieren Sie die Konfiguration in folgendem Menü: Testen Sie die Verbindung, indem Sie von einem Rechner (außer der Admin_PC) eine Webseite mehrfach öffnen oder aktualisieren (F5 Taste). INFO Rechner IP-Adressen die im Switch von der Firewall gesperrt wurden, können nur manuell in dem Menü Status ZoneDefense entsperrt werden. INFO Die Access Listen können Sie am Switch über die Shell mit folgendem Befehl abrufen: show access_profile 7
6.7b IDS Regel Ein Angreifer kann anhand einer bestimmten Signatur mit Hilfe von ZoneDefense gesperrt werden. Eine Regel bestimmt, bei welchen Paketen die Überprüfung der Signaturen erfolgen soll. Erstellen Sie eine Regel in folgendem Menü: GUI IDP / IDS IDP Rules Add Name Service Source Interface Source Network Destination Interface Destination Network Das ist der Name der Regel. Der Dienst (Protokoll + Port) für die Regel. Das Interface, von wo die Pakete kommen. Das Netzwerk, von wo die Pakete kommen. Das Interface, zudem die Pakete gesendet werden. Das Netzwerk, zudem die Pakete gesendet werden. Bei Name tragen Sie einen Namen ein z.b. TFTP. Als Service wählen Sie z.b. tftp. Das Source Interface setzen Sie auf: lan. Als Source Network wählen Sie: lannet. 8
Das Destination Interface setzen Sie auf: Internet. Als Destination Network wählen Sie: all-nets. Bestätigen Sie ihre Eingaben mit OK. Legen Sie nun in der Regel fest, welche Signatur für die Prüfung genutzt wird und welche Aktion Sie verwenden möchten. Gehen Sie für die Konfiguration in folgendes Menü: GUI IDP / IDS IDP Rules TFTP Add Action Signature(s) Use ZoneDefense Enable Blacklist TimeToBlock Entscheiden Sie zwischen der Aktion blocken und Logging. Die Angreifer Signatur mit der überwacht wird. Nutzen Sie zur Abwehr ZoneDefense. Die Firewall kann bei einem Angriff die IP selber blocken. Die Zeit in Sekunden für das Blocken in der Firewall. Bei Action wählen Sie z.b. Protect. Unter Signature(s) wählen Sie z.b. FROM_INT_TFTP. Setzen Sie den Haken bei Use ZoneDefense auf: aktiv. Den Haken bei Enable Blacklist setzen Sie auf: aktiv. TimeToBlock stellen Sie auf z.b. 20. 9
Damit Sie im Log-File eine Meldung erhalten, dass ein Angriff erkannt wurde, klicken Sie auf die Registerkarte: Log Settings. Enable logging Log with severity Schaltet die Protokollierung ein. Bestimmt den Log Level bei der Meldung. Bei Enable logging setzen Sie den Haken auf: aktiv. Log with severity stellen Sie auf z.b. Default. Bestätigen Sie ihre Eingaben mit OK. Testen Sie die IDS / IDP in dem Sie an einem Rechner im Netzwerk Folgendes in der Eingabeaufforderung eingeben: c:\>tftp 62.10.10.10 GET passwd WinAgents TFTP Client version 1.4 Copyright (c)2004-2007 by Tandem Systems,Ltd. http://www.winagents.com - Software for network administrators Transfering file passwd from server in ascii mode... In folgendem Menü können Sie die Protokollierung in der Firewall überprüfen: GUI Status Logging 10