Implementarea Unui Sistem de Securitate pe Retea

2014

CUPRINS

CAPITOLUL 1. INTRODUCERE

I.1. Descriere domeniu. Modelul TCP/IP

Din punct de vedere istoric și tehnic, modelul OSI este universal recunoscut în ceea ce privește Internetul, standardul aplicat este TCP/IP (Transmission Control Protocol/Internet Protocol).

TCP/IP și stiva sa de protocoale fac posibilă comunicarea între două calculatoare care se află în orice colț al lumii la viteze care cresc pe zi ce trece.

În laboratoarele armatei americane a luat naștere TCP/IP în speranța de a crea un mod de comunicare posibil în orice condiții, chiar și într-un război. A fost mai târziu preluat de dezvoltatorii de UNIX și adus la un nivel care să permită comunicarea în Internet, datorită fiabilității sale, astăzi fiind cea mai răspândită ”limbă” în care vorbesc calculatoarele oriunde în lume.

TCP/IP este un model în patru straturi: aplicație, transport, internet și nod de rețea.

1.Nivel rețea nu are niveluri distincte pentru prezentare și sesiune, iar nivelurile fizic și legătură de date sunt comasate în nod-rețea.

2.Nivelul Internet a fost conceput pentru comutarea de pachete. Este posibil ca pachetele să ajungă la destinație în altă ordine decât cea de la emisie, sunt rearanjate de nivelurile superioare.

3.Nivelul transport asigură calitatea comunicării, siguranța liniei de transport, controlul fluxului și detecția controlului erorilor corespunde în bună măsură cu cel de la OSI. Are 2 protocoale principale: TCP (cu conexiune) și UDP (fără conexiune).

4.Nivelul aplicației se ocupă cu protocoalele de nivel înalt, codificarea și controlul dialogului, împachetarea datelor și trimiterea lor la următoarele niveluri. Comasează nivelurile Aplicație, Prezentare și Sesiune din modelul OSI. Protocoale mai cunoscute: TelNet (terminal virtual), FTP (transfer de fișiere), SMTP (poșta electronică), DNS (nume de domenii), HTTP (hypertext – pagini Web). Prezentate în Fig. 1.1 și Fig. 1.1.a.

Modelul TCP/IP a fost utilizat de ArpaNet și de succesorul acesteia, numele provenind de la protocoalele care stau la baza modelului: TCP (Transmission Control Protocol) IP (internet Protocol).

I.2. Scopul lucrării

Implementarea unui router/firewall complex cu funcționalitate avansată, asemeni unor soluții firewall comerciale scumpe – începând de la 600-700 de dolari (ex cisco) utilizând un sistem de calcul x86, ieftin și simplu ca și specificații tehnice (soluții second-hand foarte ieftine) împreună cu o soluție softwere open source, la un preț foarte mic.

Sistemul de calcul utilizat este asamblat din componente ieftine, cu o vechime medie de 7-8 ani, ceea ce a condus la un preț de cost foarte scăzut. S-a utilizat o carcasă gen ”tower”, format ATX, împreună cu o sursă, în care s-a montat o placă de bază ATX, AK31 V2.0, fabricată de firma Shuttle.

Pe placa de bază s-au montat un procesor AMD Afhlon XP 1600+, răcit de un radiator cu ventilator generic, 2x 512MB memorie DDR1 333Mhz, o placă video AGP 8x Ati, 4 interfețe interne PCI de rețea wireless (Trendnet – ath0), un HardDisk Western Digital cu o capacitate de 30 GB și o unitate optică generică.

S-a ales această soluție softwere, dintre multe altele de acest gen, deoarcece PfSense are ca și bază sistemul de operare tip Unix, FreeBsd, un sistem solid și sigur; este o soluție testată și utilizată cu succes de multe alte organizații, este relativ simplu de utilizat, pentru care sunt totuși necesare minime cunoștințe de operare ale sistemului Unix și este relativ simplu de implementat.

Am utilizat PfSense pentru a implementa un router/firewall, punct de acces wireless, server DHCP, client DNS dinamic.

Având la bază sistemul de operare FreeBsd, pfSense poate fi ”îmbogățit”cu diverse ”extensii” (programe adiționale) ce-i sporesc funcționalitatea și totodată i se pot adăuga din depozitul softwere (repository) al FeedBsd multe alte aplicații.

Ca și extensii considerate utile de exemplificat, am abordat sistemul de detecție și prevenire a intruziuniilor în rețea Snort și serviciul de DNS dinamic pentru a fi ușor găsiți în internet fără a plăti taxe de înregistrare de domeniu.

Sistemul de operare pfSense s-a instalat direct pe Harddiscul PC-ului astfel încât să poată fi adăugate ultimele actualizări de securitate oferite de producător, putând fi configurate prin interfața web furnizată de producător, doar din rețeaua internă.

Am configurat cele 5 plăci de rețea, 2 WAN pentru accesul la rețeaua externă (internet) și 2 LAN pentru accesul la rețeaua internă și o placă wireless.

Acest router/firewall oferă acces la internet (WAN) prin 2 căi de acces pentru calculatoare din rețea, atât prin conexiune prin cablu ethernet, cât și prin wireless, cu funcționalitatea adițională de server DHCP, server DNS, sistem de detecție a intuziunilor (snort) și serviciul de DNS dinamic.

Pentru aceasta avem 2 plăci de rețea ethernet de acces la WAN (se consideră accesul prin soluțiile oferite în mod comun în România, RDS/UPC – fibră optică). Accesul la calculatorul router se va face fie printr-un swith sau printr-un cablu crossover, fie direct prin intermediul plăcii de rețea wireless ce va funcționa prin acces point.

Se urmărește și configurarea și utilizarea sistemului router/firewall pentru funcționarea uzuală: firewall și routing, obținerea prin DHCP a adreselor IP de către clienții din rețea, port-forwaeding pentru diverse servicii necesare clienților din rețea, gestionarea drepturilor de acces înspre rețeaua internă/internet, monitorizarea traficului pentru identificarea încercărilor de intruziune în rețeaua internă.

I.3. Structura lucrării

Menționez că lucrarea este structurată pe 6 capitole, iar studiul de caz l-am realizat prin crearea unui router/firewall bazat pe sistemul de operare pfSense care are ca și bază sistemul de operare tip UNIX, FreeBsd, un sistem solid și sigur.

Primul capitol – Introducere; este structurat pe 3 subcapitole: I.1 Descriere domeniu. Modelul TCP/IP; I.2. Scopul lucrării; I.3. Structura lucrării.

În primul subcapitol am descris domeniul de activitate și am prezentat pe scurt modelul TCP/IP.

În al 2-lea subcapitol am urmărit obținerea unui router/firewall multi-wan la un preț foarte mic, care să asigure o conexiune securizată și permanentă la internet de la mai mulți provideri.

În subcapitolul trei este prezentată structura lucrării pe capitole, subcapitole, bibliografie și anexe.

Al 2-lea capitol – Distribuția pfSense – Descriere, instalare și utilizare; cuprinde 5 subcapitole: II.1. Structură, descriere PFSense; II.2. Scurtă descriere FreeBsd; II.3. Introducere, funcționalități, distribuție pfSense; II.4. Descrierea funcționalității de bază, fundamente; II.5. Instalarea distribuției pe HardDisk-ul sistemului de calcul.

În primul subcapitol descriem sistemul de operare FreeBsd.

Introducerea funcționalității distribuită de sistemul de operare pfSense este prezentată în cel de al 3-lea subcapitol.

Al 4-lea subcapitol prezintă descrierea funcționalitații de bază în mod Live CD și configurarea plăcilor de rețea.

În al 5-lea subcapitol este prezentată instalarea sistemului de operare pfSense pe HardDisk-ul sistemului de calcul.

Capitolul al 3-lea Reprezintă configurarea distribuției pfSense – utilitarul de configurare web Configurator; și cuprinde 5 subcapitole: III.1. Prezentarea generală a interfeței webconfigurator; III.2. Modul de configurare a interfețelor de rețea; III.3. Configurarea serviciului DHCP server; III.4. Configurarea serviciului DNS dinamic; III.5. Actualizarea distribuției, adăugarea de noi pachete softwere.

Primul subcapitol prezintă interfața webconfigurator de unde se configurează în prima fază WAN și LAN.

Al 2-lea ssubcapitol arată modul de configurare a interfețelor de rețea, a fiecărei placă de rețea.

În al 3-lea sucapitol se prezintă configurarea seviciului DHCP server pentru LAN, OPT2 LAN2 si OPT3 wireless.

Al 4-lea subcapitol prezintă interfața de configurare a serviciului DNS dinamic.

În al 5-lea subcapitol se recomandă menținerea la zi, din punct de vedere al actualizărilor softwere, a distribuției pfSense. Actualizările softwere, pe lângă faptul că aduc îmbunătățiri și noi versiuni au și rolul de a repera anumite probleme.

Capitolul al 4-lea Securizarea prin firewall cuprinde 2 subcapitole:

IV.1. Configurarea a firewalului PfSense; IV.2. Configurarea regurilor NAT (Network Address Translation).

La primul subcapitol studiem modul în care firewall-ul este implicit configurat, modul în care adăugăm noi reguli de configurare și modul de interdependență dintre acestea.

Ordinea regulilor noi create este foarte importantă, deoarece prima regulă întâlnită este cea aplicată. Așadar, în contextul dat, regulile care permit acces dinspre exterior către rețeaua locală trebuie să fie înaintea celorlalte reguli care interzic accesul.

La al 2-lea subcapitol am configurat în secțiunea precedentă firewall-ul pentru a permite trafic înspre rețeaua noastră pe porturile HTTPS(443) și FTP(20), am configurat mecanismul, adică se face o legătură între portul extern și portul intern, mai exact tot traficul destinat serverului este redirecționat către calculatorul ce găzduiește serviciul furnizat.

Capitolul al 5-lea, Facilități de utilizare; Implementarea unor exemple concrete de utilizare a sistemului de operare pfSense, cuprinde 2 subcapitole: V.1. Load Balance – trafic echilibrat pe căi multiple wan; V.2. Un exemplu de utilizare.

În primul subcapitol distribuția permite crearea mai multor grupuri de acces concomitent la rețeaua externă, condiția fiind să existe suficiente interfețe de acces WAN.

În cazul nostru, având doar două interfețe de acces WAN, vom putea crea un singur grup de acces, condiția creării unui astfel de grup fiind existența a minimum 2 interfețe de acces WAN, grupul creat PF_LOAD_B.

Al 2-lea subcapitol se referă la exemple de utilizare a router-ului/firewall-ului multi WAN.

Capitolul VI cuprinde concluzii referitoare la lucrarea realizată.

În finalul lucrării se regăsesc Bibliografia și Anexele.

CAPITOLUL II. DISTRIBUȚIA PFSENSE – DESCRIERE, INSTALARE ȘI UTILIZARE

II.1. Structură descriere pfSense

PfSense este o distribuție BSD derivată din m0n0wall, care este la rândul său derivat din FreeBSD. Scopul pfSense este acela de a fi un firewall puternic, bayat pe tehnologii open sorce, în principal BSD.

Diferența pfSense față de m0n0wall este că m0n0wall se orientează mai mult spre sistemeembedded și ca atare multe funcționalități care sunt în pfSense nu se pot regăsi în m0n0wall,din motive obiective.

pfSense versiunea 1.0.1 a fost lansată la 20 Octombrie 2006. La 10 iulie 2007 echipa pfSense anunță suport comercial pentru softwere. La 7 noiembrie 2007 a fost lansată versiunea 1.2 a lui pfSense. La 20 decembrie 2011 a fost lansată versiunea 2.0.1 a lui pfSense.

II.2. Scurtă descriere FreeBSD

FreeBSD este un sistem de opereare liber UNIX-like descendent din AT&T. Unix prin ramură Berkelez Softwere Distribution, mai exact provine din sistemele de operare 386BSD și 4.4BSD. Rulează pe calculatoarele cu procesoare compatibile cu familia Intel x86, dar și pe procesoare DEC Alpha, UltraSPARC, Idanium (IA-64), AMD 64, Power PC, PC-98, ARM și MIPS.

FreeBSD este un sistem de operare complet, dezvoltat unitar. Nucleul, driverele pentru dispozitive și utilitare din spațiul utilizatorului, cum ar fi interpretorul de comenzi sau shell-ul, sunt ținute în același arbore de urmărire a revizirilor codului sursa. Această metodă de dezvoltare vine în contrast cu cea folosită pentru Linux, unde nucleul este dezvoltat de o echipă de dezvoltatori, utilitarele din spațiul utilizator și aplicațiile sunt dezvoltate de alte echipe, iar apoi toate acestea sunt împachetate împreună și publicate de alte echipe sub formă de distribuții Linux.

Ca sistem de operare, FreeBSD este privit în general ca fiind foarte fiabil și robust, iar dintre sistemele de operare ce raportează la distanță timpul de funcționare de la ultima inițializare a sistemului, FreeBSD este cea eeBSD este cea mai populară alegere dintre sistemele de operare libere afișate în lista Netcraft a primelor 50 de servere web cu cel mai lung uptime, uptime-ul în unele versiuni de Linux nu poate fi calculat.

Un uptime lung indică de asemenea faptul că nu au fost necesare actualizări ale nucleului sistemului de operare, pentru că instalarea unui nou nucleu implică reinițialirarea sistemului și rescrierea de la zero a contorului sistemului.

Dezvoltarea inițială a sistemului FreeBSD a început în 1993, pornind de la sursele 386BSD. Totuși din cauza îngrijorărilor privind legalitatea tuturor surselor folosite în 386BSD și a unui proces între Novell (proprieterul drepturilor UNIX) si Berkeley, FreeBSD a sfârșit prin reproiectarea unei mari părți a sistemului pentru versiunea FreeBSD 2.0 în 1995, folosind versiunea 4.4 BDS-lite de la Universitatea din California, Berkeley. Manualul FreeBSD cuprinde mai multe date istorice despre geneza sistemului de operare FreeBSD. În momentul de față, SO FreeBSD se află la versiunea 9.0.

Distribuția pfSense, pe care o vom studia, este versiunea 2.0.1 și este bazată pe versiunea 8.1 a So-ului FreeBSD.

O gamă largă de produse sunt bazate direct sau indirect pe FreeBSD. Această gamă cuprinde de la dispozitive de tip embedded, cum ar fi routere Juniper Network și sisteme de operare firewall de la Nokia, la porțiuni întregi ale altor sisteme de operare incluzând aici Linux și RTOS WxWorks. Darwin, inima MacOS X de la Apple, se bazează în mare măsură pe FreeBSD, incluzând aici sistemul de fișiere virtual, stiva de rețea și componente din spațiul utilizator.

II.3. Introducere, funcționalități, distribuție pfSense

pfSense – distribuție pentru a crea un firewall care s-a desprins din proiectul m0n0wall. pfSense se bazează pe FreeBSD și este proiectat pentru instalare pe computerele personale. pfSense oferă un număr de facilități suplimentare față de m0n0wall, dar necesită mai multă memorie și capacitate de HardDisk. Sistemul de operare oferă posibilitatea de a conecta mai multe conexiuni WAN, precum și load balancing. pfSense oferă și un Captive Portal care îi permite administratorului să limiteze sesiunile într-un mod similar cu programele folosite de cafenelele Internet.

Ca și caracteristici speciale, enumerăm următoarele funcționalități:

● Firewall

● Tabelul de stat

● NAT

● Redundanță

○ CARP-CARP din OpenBSD vă permite să creați o toleranță de eroare de hardwere;

Două sau mai multe firewall-uri pot fi combinate într-un grup de rezistență de altă parte. PfSense oferă posibilitatea de a sincroniza setările, dacă vă schimbați setările de pe un firewall, acestea vor fi sincronizate în mod automat la alta.

○ Pfsync – Pfsync prevede firewalls de replicare de stare. Acest lucru înseamnă că toate conexiunile de rețea existente sunt menținute în caz de defectare a uneia dintre firewall-uri, este important să se asigure elasticitatea de rețea.

● Outbound și Inbound Load Balancing

● VPN – Ipsec, OpenVPN,PPTP

● PPPoE Server

● Grafice RRD de rapoarte

● Informații în timp real – Folosirea AJAX

● Dynamic DNS

● Captive portal

● DHCP Server și releu

● LiveCD disponibile Version

● Server proxy

● Suport pentru extensii softwere

○ Extinderi notabile sunt: Squid proxy server și prevenire a intruziunilor Snort.

II.4. Descrierea funcționalitații de bază (primare) – Fundamente

Distributia este ”clădită” pe o ”fundație” de bază, la care, în măsura necesităților, i se adaugă noi funcționalități din ce în ce mai avansate.

Ideea de la care pornește este că pentru a asigura funcționalitatea de bază, aceea de router și firewall pentru o rețea, sistem de calcul pe care se va implementa soluția pfSense, trebuie să conțină minimum două plăci de rețea, una pentru accesul la rețeaua internă (LAN) și una pentru accesul la rețeaua externă, metropolitana (WAN). Astfel, distribuția vine pregatită cu o serie de reguli firewall implicite pentru cele 2 interfețe de rețea (locală și externă). Pe lângă cele 2 plăci de rețea pot exista o serie de plăci secundare, opționale cu funcționalitatea, atât de rețea locală, cât și de acces la rețea răspândită geografic. Distribuția pfSense se prezintă sub forma unui fișier .iso ce poate fi descărcat de pe site-ul dezvoltatorului și care va fi inscripționat pe suport CD. Pe scurt, modul de lucru este urmatorul: se pornește calculatorul cu rol de router de pe CD-ul pe care a fost inscripționat fișierul .iso descărcat, urmând a se încărca interfața de bază a distribuției, ce va funcționa în mod Live CD. După ce se realizează configurarea de bază în care se specifică funcționalitatea fiecărei plăci de rețea și de modul de conectare la internet, se poate trece la instalarea propriu-zisă a SO-ului pe hard disk-ul sitemului de calcul.

Instalarea pe hard disk este opțională, dar recomandabilă, distribuția putând funcționa satisfăcător în mod Live CD. În modul Live CD, toate setările efectuate se vor pierde în momentul în care sistemul de calcul va fi oprit. Există totuși posibilitatea ca setările să fie salvate pe un stick USB, urmând a fi recuperate la următoarele boot-ări a sistemului.

În figura următoare (Figura 2.1.) se alege placa de rețea ce va avea funcționalitatea LAN, din cele 5 plăci de rețea disponibile (x10,fxp0,lr0,lr1,ath0).

Dintre cele 5 interfețe de rețea detectate, 4 sunt interfețe ethernet (x10,fxp0,lr0,lr1) și una este o interfața wireless (ath0).

Ca și o paranteză, SO FreeBSD notează plăcile de rețea cu o denumire compusă din numele driver-ului de rețea (ex. „xl”, „fxp” în figura 3) și numărul plăcii de rețea pentru care se utilizează acel driver, pornind de la cifra 0.

În exemplul nostru (Figura 2.2.), avem o interfață 3com(x10), o interfață cu chipset intel(fxp0), 2 plăci de rețea de la realtek (rl0 și rl1) și o interfața cu chipset Atheros(ath0).

Figura 2.1. Pornirea configurării celor 5 plăci de rețea prezentate în sistemul de calcul detectate

În următoarele 2 figuri se poate vedea modul în care se face atribuirea rolului pe care îl va juca fiecare interfață.

Figura 2.2. Asocierea funcționalității jucate de fiecare interfață în parte

În figura 2.2. se observă că celor 5 interfețe de rețea detectate le-a fost ales rolul jucat de fiecare: x10:LAN (interfața pentru rețeaua locală); fxp0: WAN (interfață pentru rețeaua răspândită geographic – acces la internet); rl0: OPT1 (interfață opțională 1), rl1: OPT2 (interfață opțională 2) și ath0: OPT3 (interfață opțională 3).

Interfețele cu rol de LAN și WAN sunt considerate interfețe principale, iar celelalte interfețe detectate sunt considerate interfețe opționale, de aici și denumirea lor: OPTi (I fiind indicele lor, indice ce pornește de la 1).

Rolul fiecărei interfețe opționale va fi stabilit după incărcarea completă a SO-ului, prin accesul la interfață grafică a acestuia.

Odată ce s-a atribuit funcționalitatea fiecărei interfețe de rețea și s-a confirmat alegerea făcută (după cum se vede în Figura 2.3.), se încarcă o consolă text, ce conține meniul principal, după cum se observă și în Figura 2.4..

Figura 2.3. Se cere confirmarea funcționalității alese fiecărei interfețe.

Meniul principal constă în 16 opțiuni, fiecare numerotate de la 0 la 14, respective 99 (Figura 2.4.) ultima opțiune.

Tastând numărul opțiunii urmat de tasta Enter se activează opțiunea respectivă.

Figura 2.4. Sistemul nostru de calcul înainte de începerea instalării pe hard disk

Dintre opțiunile mai importante enumerăm:

1 – Assign interfaces: pentru a atriubi rolul jucat fiecarei interfețe de rețea;

2 – Set interface(s) IP address: pentru a seta adresa de IP a fiecărei interfețe de rețea;

5 – Reboot system: pentru a reporni sistemul;

6 – Halt system: pentru a opri sistemul;

8 – Shell: pentru a avea acces la o interfață de monenzi în mof text;

99 – Install pfSense to a hard drive, etc.: pentru a instala pfSense pe hard disk a sistemului de calcul.

Meniul principal oferă posibilitatea unor configurări minimale ale sistemului. Pentru configurarea funcționalităților complexe, sistemul pfSense pune la dispoziție o interfață grafică web. Serverul ce oferă aplicația de configurare a distribuției rulează la adresa de rețea configurată la interfața LAN. Aplicația web de configurare poartă numele webConfigurator.

Accesul la interfața de configurare web se face pe baza unui nume de utilizator și a unei parole de acces. Implicit acestea sunt admin, respective pfSense.

Meniul principal oferă câteva opțiuni ce fac referire la acest instrument de configurare- webConfigurator:

3 – Reset webConfigurator password: pentru resetarea parolei de acces la interfața web;

11 – Restart webConfigurator: pentru restartarea interfeței web, de obicei în urma unor modificări efectuate;

4 – Reset to factory defaults: pentru revenirea la valorile implicite ale parametrilor de configurare.

II.5. Instalarea distribuției pe hard disk-ul sistemului de calcul

II.5.1. Prezentarea instalării distribuției pe hard disk-ul sistemului de calcul

Pentru a instala distribuția pe hard disk se selectează opțiunea 99. Instalarea este relativ simplă, fără a fi necesare cunoștințe avansate ale SO-ului FreeBSD.

Pe scurt, instalarea presupune a urma mai mulți pași: configurarea consolei (modul video, tipul fontului utilizat, tipul tastaturii utilizate) ,(Figura 2.5.), urmată de copierea datelor pe disc.

Utilitarul de instalare oferă un mod rapid de copiere (Figura 2.6.) pe disc, care în mod automat se crează partițiile necesare pe disc, urmând copierea fișierelor (Figura 2.7.) și un mod complex de copier pe disc, în care utilizatorul partiționează manual discul și selectează locația în care vor fi copiate fișierele componente ale distribuției.

Urmează apoi selectarea nucleului SO de utilizat (Figura 2.8.): un kernel multiprocessor, unul pentru sisteme gen embedded sau dezvoltator, unde vor fi instalate și unelte pentru dezvoltarea aplicațiilor.

După selectarea nucleului, sistemul de calcul va fi repornit, urmând a încarca sistemul pfSense proaspăt instalat pe hard disk. După instalare meniul consolei ca avea forma din Figura 2.9..

Figura 2.5. Configurarea consolei (modul video,tipul fontului utilizat,tipul tastaturii utilizate)

Figura 2.6. Opțiune instalare rapidă(partiționarea hard disk-ului și copiere a fișierelor automată)

Figura 2.7. Copierea fișierelor necesare Figura 2.8. Selectarea nucleului SO

Figura 2.9. Sistemul de calcul pe care s-a instalat pfSense 2.0.1

Se observă (în Figura 2.9.) disparitia opțiunii cu numarul 99, cea care se referă la instalarea distribuției pe hard disk-ul sistemului.

II.5.2 Prezentarea sistemului de calcul utilizat

Sistemul de calcul utilizat este asamblat din componente ieftine, cu o vechime medie de 7-8 ani, ceea ce a condus la un preț foarte scăzut. S-a utilizat o carcasă tower, format ATX, împreună cu o sursă de 300W, în care s-a montat o placă de bază ATX, AK31 v2.0.

Pe placa de bază s-au montat un procesor AMD Athlon XP 1600+, răcit de un radiator cu ventilator generic, 2x 512MB memorie DDR1 333MHz, o placă video AGP 8x Ati, 4 interfețe interne PCI de rețea Ethernet, o interfață internă PCI de rețea wireless, un hard disk Western Dgital cu o capacitate de 80GB și o unitate optică generică (Figura 2.10.).

Figura 2.10. Interiorul sistemului de calcul Figura 2.11.a. Placă bază AK31 v2.0

Figura 2.11.b. Placă rețea Figura 2.11.c. Placă rețea wireless

CAPITOLUL III. CONFIGURAREA DISTRIBUȚIEI PFSENSE – UTILITARUL DE CONFIGURARE WEBCONFIGURATOR

III.1. Prezentare generală a interfeței webConfigurator

Utilitarul webConfigurator se prezintă ca un server web la care accesul se face prin intermediul protocolului HTTP securizat. Implicit adresa serverului web este https://192.168.1.1.

Dacă se alocă o altă adresă IP, interfeței LAN, decât cea implicită, atunci adresa serverului va fi: https://adresa_lan_alocata, unde adresa_lan_alocata este adresa IP a interfeței LAN. Interfața webConfigurator este formată dintr-un meniu principal, cu 8 opțiuni principale, care la accesarea determinată apariția altor submeniuri.

Opțiunile Meniului Principal sunt: ”System”, ”Interfaces”, ”Firewall”, ”Services”, ”VPN”, ”Status”, ”Diagnostics” Și ”Help”.

În figura de mai jos (Figura 3.1.) este prezentată interfața standard webConfigurator. Pe lângă meniul principal, mai sunt prezentate un sumar al sistemului (System Information) și starea interfețelor de rețea active. În cazul de față WAN (la care a fost alocat prin DHCP adresa 86.125.252.143), LAN (i-a fost alocat manual adresa 192.168.1.1).

Figura 3.1. Interfața standard webConfigurator(meniul principal,informații de sistem)

III.2. Modul de configurare a interfețelor de rețea

În practică, primul lucru care se face după instalarea distribuției, este configurarea interfețelor de rețea. După cum s-a menționat mai sus, interfața text de configurare a distribuției, permite doar o configurare de bază a plăcilor de rețea cu rol de LAN și WAN, în sensul în care adresa de IP, alocată acestora se poate face ori manual, ori automat prin DHCP.

DHCP este un acronim pentru Dynamic Host Configuration Protocol, un protocol de rețea de calculatoare folosit de gazde pantru a-și obține adrese IP și alte informații de configurare de rețea importante în mod dinamic.

Dynamic Host Configuration Protocol automatizează alocarea parametrilor de rețea la dispozitive de către unul sau mai multe servere DHCP, servere ce gestionează o rezervă de adrese IP și informații despre configurarea parametrilor clientului, ca gateway-ul implicit, numele domeniului, serverul DNS, alte servere ca serverul de timp, ș.a.m.d.. La primirea unei cereri valide, serverul atribuie calculatorului o adresă de IP, un contract de leasing (perioada de validitate a alocării respective), precum și alți parametri de configurare de IP, cum ar fi masca de subrețea și gateway-ul implicit.

Având în vedere că cele două moduri de conectare la o rețea nu sunt singulare, existând și alte protocoale prin care un client se conectează la rețea, interfața webConfiguratoe pune la dispoziție o secțiune de configurare avansată a interfețelor de rețea.

Figura 3.2. Meniul Interfaces Figura 3.3. Fereastră de configurare

Selectând opțiunea ”Interfaces” din meniul principal, apare un submeniu format din opțiunea (assign) și un număr de opțiuni egal cu numărul de interfețe de rețea detectate, câte o opțiune pentru fiecare interfață detectată, opțiune ce va conține denumirea plăcii detectate (LAN, WAN, LAN2, OPT3, WAN2, etc.) (Figura 3.8.). Selectând opținea dată de numele interfeței de rețea, obținem o fereastră de configurare a interfeței respective. În Figura 3.3. este prezentată fereastra de configurare a interfeței WAN. Conexiunea se realizează prin protocolul PPPOE (Figura 3.3. – Type: PPPoE), accesul fiind asigurat de către furnizorul de servicii internet (RDS România). Accesul se realizează pe baza numelui de utilizator și a parolei furnizate de către firmă (Figura 3.3. – PPPoE Configuration – Username/Password).

Tot în această secțiune se pot seta o serie de parametrii de interfață la nivel fizic – clonarea adresei fizice MAC, valoare MTU (maximum transmission unit) – parametrii legați de modul și timpul de conectare – conectarea la cererea clienților din rețea (Figura 3.3. – PPPoE configuration-Enable-dial-on-demand mode), perioada de timp în care se va deconecta de la rețeaua furnizorului de servicii internet, în cazul în care nu există trafic pe interfața (Figura 3.3.-PPPoE Configuration-Periodic reset).

Tot aici ni se oferă și posibilitatea de a bloca sau nu traficul pe interfață WAN înspre interfețe cu adrese IP private sau aparținând claselor D și E (Figura 3.3. Private networks-Block private networks, respective Block bogon networks).

Notă: Adresele de noduri IP (v4) sunt reprezentate pe 32 biți, alocate în mod unic la nivel global. (IPv6 are adrese pe 128 biți). Există 5 clase de adrese, separate prin valoarea din biți cei mai semnificativi (Clasa A, B, C, D și E). Clasele A, B și C se folosesc în mod curent, în timp ce clasa D se folosește pentru comunicație multi cast, iar clasa IP E este rezervată pentru cercetare și uz viitor. Totodată adresele IP se împart în alte 2 categorii :publice și private, utilizabile într-o rețea locală. Adresele publice au caracter de unicitate și sunt rutate în Internet, iar cele private pot fi utulizate intern într-o organizație, fără a fi vizibile în afară (nu sunt rutate). Adresele private sunt: 10.0.0.0-10.255.255.255 (rețea de clasa A), 172.16.0.0-172.31.255.255 (bloc de rețele de clasa B) și 192.168.0.0-192.168.255.255 (bloc de rețele de clasa C).

Sistemul nostru conține pe lângă interfețele principale (LAN și WAN), alte trei interfețe secundare (opționale). Aceste interfețe opționale în mod implicit sunt inactive. Pentru a le utiliza, ele trebuiesc activate. Activarea și configurarea acestora se realizează în opțiunea cu numele interfeței opționale din meniul ”Interfaces”.

În fereastra de configurare a interfeței de rețea, se activează interfața (Enable Interdace), i se atribuie o descriere (Discription), rolul pe care interfața îl joacă (acela de interfață locală sau de acces la rețeaua geografică WAN), modul de conectare, adrese IP alocată, serverele de serviciu de nume, de domenii, etc..

Figurile 3.5. și 3.6. prezintă fereastra de configurare a celorlalte interfețe opționale (secundare) cu rol de LAN (reteaua locală): OPT2 și OPT3, cărora le alocă în mod static adresa IP (private).

În Figura 3.6. se configurează interfața OPT2, căreia îi selectăm rol de rețea locală, o denumim LAN 2 și îi setăm în mod static adresa de rețea: 192.168.3.1.Se observă că pe această interfață vom permite traficul înspre adrese IP private și de lasă D/E (nu sunt bifate căsuțele Block private networks/Block bogon netwoeks (Figura 3.3.)).

În Figura 3.5. se configurează interfața OP3, o interfață wireless, căreia îi selectăm rol de rețea locală, o denumim WIRELESS și îi setăm în mod static adresa de rețea 192.168.2.1.

Interfața opțională OPT1 joacă rol de acces WAN, furnizorul fiind UPC România. Interfața este conectată la un modem de cablu furnizat de UPC, de la care i se alocă o adresă prin serviciul DHCP. Configurarea acesteia se face în mod analog cu cea WAN, cu excepția modului de atribuire adresei IP (prin serviciul DHCP).

Tot în mod analog se va bloca traficul spre/dinspre adresele IP private și de clasă D/E.

Figura 3.4. Configurarea interfeței LAN

Figura 3.5. Configurarea interfeței opționale OPT3 (interfața wireless)

Figura 3.6. Configurarea interfeței opționale OPT2-LAN2

Figura 3.7. Configurarea interfeței optionale OPT1-WAN2

În Figura 3.8. se poate vedea că pentru fiecare interfață detectată, opțiune ce va conține denumirea plăcii detectate (LAN, WAN, LAN2, OPT3, WAN2, etc.) interfața opțională WAN2 (la care i-a fost alocată adresa 89.136.42.231, tot prin DHCP), interfața opțională LAN2 (la care manual i-a fost alocată adresa IP 192.168.3.1) și interfața opțională OPT3 – o interfață wireless la care i s-a alocat manual adresa IP 192.168.2.1.

Figura 3.8.

Pentru interfețele locale se dorește activarea serviciului de server DHCP, astfel încât celelalte calculatoare din subrețeaua aferentă să își poată prelua în mod automat adresele IP și ceilalți parametrii de configurare. Pentru aceasta trebuie să acționăm opțiunea ”Services” din meniul principal, subopțiunea ”DHCP Server”(Figura 3.9.).

III.3. Configurarea serviciului DHCP server

Configurarea serviciului DHCP server se realizează prin intermediul opțiunii”DHCP Server” din meniul ”Services” (Figura 3.8.).

Prin acționarea respectivei opțiuni, obținem o fereastră de configurare ce conține toate interfețele de rețea cu rol local, pentru care s-a stabilit o adresă IP, ca și posibile ”candidate” pentu rolul de server DHCP.

În cazul nostru toate cele 3 rețele ”locale”(LAN, OPT2 (LAN2) și OP3 (wireless) ) sunt recunoscute ca și candidate pentu postul de server DHCP (Figura 3.8.).

În fereastra de configurare a severelui DHCP, se reactivează funcționalitatea de server, se alege intervalul de alocare de adrese IP de către server, serverul de nume de domeniu folosit, gateway-ul implicit folosit, numele de domeniu ales pentru subrețea.

În Figura 3.10, interfața LAN are adresa de subrețea 192.168.1.0, cu o mască de rețea 255.255.255.0, are un interval de alocare adrese IP de la 192.168.1.100 până la 192.168.1.199 (ales de noi), folosește ca și serviciu de nume de domenii interfața 208.67.222.222 (serviciul OpenDNS) și i s-a alocat un nume de domeniu oarecare (neludl).

Figura 3.9. Configurarea serviciului DHCP server Figura 3.10. Serviciul server DHCP, Interfața LAN

Figura 3.11. Serviciul server DHCP, configurare interfața LAN2

Figura 3.12. Serviciul server DHCP, configure interfața opțională OPT3 wireless

OPT2 (LAN2) și OPT3 (wireless) sunt recunoscute ca și candidați pentru server DHCP. În Figura 3.12, interfața opțională OPT3, interfața wireless, are adresa de subrețea 192.168.2.0, cu o mască de rețea de 255.255.255.0, are un interval de alocare adrese IP de la 192.168.2.100 până la 192.168.2.250 (ales de noi), folosește ca și serviciul de nume de domenii interfața 208.67.222.222 (serviciul OpenDNS).

De menționat ar fi și faptul că interfeței opționale OPT2, i-am activat rândul serviciului de server DHCP. Adresa de subrețea a acesteia este 192.168.3.0, cu o mască de rețea de 255.255.255.0, are un interval de alocare adrese IP de la 192.168.3.100 până la 192.168.3.200 (ales de noi) și folosește ca și serviciul de nume de domenii interfața 208.67.222.222 (serviciul OpenDNS).

Tot de menționat este și faptul că ar fi fost posibilă configurarea interfeței secundare cu rol de rețea locală și ca o interfața legată in BRIDGE cu interfața locală principal. În acest mod, tot traficul din subrețea care ar fi ajuns la această rețea opțională ”punte” ar fi fost retransmis mai departe către interfața locală principal, urmând ca ”răspunsul” de la acasta sa fie recondiționat înapoi către ”expeditorul” inițial. Astfel interfețele din subrețea își pot aloca dinamic prin intermediul rețelei opționale adresele IP de la interfața principal LAN (serverul DHCP). În mod implicit distribuția e configurată ca traficul pe interfețele opționale să fie oprit. Pentru a putea exista trafic pe aceste interfețe terbuiesc adăugate noi reguli la firewall-ul sistemului.

III.4. Configurarea Serviciului DNS dinamic

Rețeaua locală, protejată de firewall-ul pfSense, se dorește a fi accesibilă din internet. Se dorește a fi activate câteva servicii de rețea (server HTTP/FTP), accesibile în mod public, pe baza unui nume de domeniu. Având în vedere faptul că accesul la internet se realizează în principal pe baza conexiunii PPPoE (RDS) și implicit a unui IP dinamic, configurarea unui nume de domeniu standard nu este posibilă (datorită schimbării în mod des a adresei de IP, la fiecare reconectare). Datorită acestui fapt s-a mers pe ideea utilizării unei adrese de nume de domeniu dinamice. Distribuția pfSense include un client de serviciu dinamic de nume de domeniu (dynamic DNS), ce poate conlucra cu o serie de furnizori mai importanți de serviciu DNS dinamic. Printre furnizorii principali cu care clientul DNS dinamic este compatibil enumerăm: DNS-O-Matic, DynDNS, No-IP, ODS.org, ZoneEdit, Loopia, freeDNS, DNSexit, OpenDNS, Namecheap, HE.net (furnizori de servicii gratuite), DHS, DyNS, easyDNS (furnizori de servicii comerciale). Pentru început s-a ales serviciul No-Ipp ca și furnizor de DNS dinamic. În mare, pașii de urmat sunt urmatorii: se crează un cont pe pagina web a furnizorului http://www.no-ip.com (se primește un nume de utilizator și o parolă) și se alege un nume de domeniu (care trebuie să fie disponibil) de genul: nume_gazda_ales.no-ip.biz.

În acest moment se poate trece la configurarea clientului pfSense: în meniul ”Service” alegem opțiunea”Dynamic DNS”. Apare apoi o fereastră de configurare a serviciului, gen cea prezentată în Figura 3.13..

Figura 3.13. Setarea clientului DNS dynamic (no-ip.org) Figura 3.14. Lista clienților DNS dinamic

După cum se vede în Figura 3.13., se alege tipul serviciului utilizat Dynamic DNS client-Service type (din lista de furnizori compatibili se alege No-IP, interfața pentru care va fi activat serviciul Dynamic DNS client-Interface to monitor – interfața WAN, numele gazdei (numele nostru de domeniu) Dynamic DNS client-Hostname – neludl60.no-ip.biz (numrlr complet de domeniu, neludl60 fiind numele gazdei ales de noi), numele de utilizator și parola de acces la serverul No-IP, Dynamic DNS client-Username (neludl60), respectiv Dynamic DNS client-Password și o eventuală descriere a serviciului Dynamic DNS client-Description.

După salvarea configurarii (prin acțiunea butonului „save”) apare o nouă fereastră în care se prezintă lista clienților de nume de domeniu dinamic configurați în sistem (Figura 3.14.). Fiecare client poate fi modificat (prin acționarea butonului cu inscripția X), respectiv se pot adăuga noi configurări (prin acționarea butonului cu inscripția +) (Figura 3.14.).

Notă: Protocol DNS: DNS (domain name service) este un protocol care traduce adresele Internet literale în adrese Internet numerice, adrese utilizate de un calculator pentru a găsi un calculator receptor, de exemplu adresa literală www.pfsense.org se referă la adresa IP 69.64.6.21 (in Figura 3.15 avem rezultatul comenzii unix”dig www.pfsense.org”). Sistemul de nume de domeniu (DNS) folosește o structură cuprinsă dintr-o bază de date cu numele și adresele IP. Baza de date DNS se zice distribuită deoarece nu există un singur server care să aibă toată informația necesară traducerii oricărui domeniu într-o adresă IP. Fiecare server are o bază de date cu propriile domenii, la care au acces toate sistemele de pe internet. Fiecare server DNS are un server DNS superior cu care face periodic schimb de informație de aici și afirmația ca acest sistem este o ”structura ierarhică”.

În Figura 3.16 (sursa http://en.wikipedia.org/wiki/file:domain_name_space.svg ) se prezintă sistemul ierarhic Domain Name Space,organizat în zone, fiecare zonă fiind deservită de către un server de nume de domeniu.

Figura 3.15. Rezultatul comenzii dig

Figura 3.16. Sistemul ierarhic Domain Name Space

III.5. Actualizarea distribuției, adăugarea de noi pachete softwere

Se recomandă menținerea la zi, din punct de vedere al actualizărilor softwere, a distribuției pfSense. Actualizările softwere, neremediate, ar putea fi utilizate de către un atacator pentru a accesa în mod neautorizat sistemul, rețeaua etc.. Distribuția pfSense pune la dispoziție două moduri de actualizare a colecției principale de programe –Firmware- manual și automat.

Modul manual presupune că avem descărcată de pe pagina web a dezvoltatorului o imagine cd a distribuției pe care o vom folosi pentru actualizare, online de pe una dintre paginile web ale dezvoltatorului. Accesarea funcției de actualizare se realizează prin opțiunea Firmwere din meniul System. Fereastra de configurare conține trei tabele de control: Manual Update (actualizare manuală), Auto Update (actualizare automată) și Updater Settings (locul de setare al unor parametric de actualizare).

Figura 3.17. Setarea parametrilor de actualizare (locație, felul actualizării)

Figura 3.18. Actualizare automată (rezultatul actualizării): se utilizează ultima versiune curentă

În figura 3.17., interfața de configurare a parametrilor de actualizarea se poate seta felul actualizării (ultima actualizare stabilită, ultima actualizare de test (mod beta) sau ultima variantă de dezvoltare). Firmware Branch-Default Auto Update URLs: pfSense i386 stable update, adresa la care se află actualizarea Firmware Branch-Firmware Auto Update URL: http://update.pfsense.org/_update și posibilitatea selectării de a utiliza pachete softwere nesemnate criptografic (nerecomandat).

În figura 3.18. se prezintă realizarea procedurii de actualizare automate ce are ca și rezultat faptul că pachetele softwere utilizate sunt la zi (utilizăm cea mai recentă versiune). Totodată, avem la dispoziție o suită de programe adiționale, opționale, ce pot fi instalate pentru a adăuga diverse funcționalități distribuției. Dintre aceste programe opționale enumerăm câteva mai importante: squid (web proxy) împreuna cu squidGuard (program de filtrare trafic ce conlucrează cu proxy-ul squid) și Sarg (program de generare de raporturi de analiză a traficului efectuat de utilizatori, program ce conlucrează cu squid) HAVP antivirus (un program asemănător proxy ce conlucrează cu squid și care are rol de a scana traficul web cu scanerul clamav), Snort (o soluție NIPS – sistem de preventive a intruziunilor în rețea). Un exemplu de instalare se regăsește în Anexa 1-instalarea pachetului Snort.

CAPITOLUL IV. SECURIZAREA PRIN FIREWALL

IV.1. Configurarea (primară) a Firewall-ului pfSense(pf)

Distribuția pfSense vine cu un set de reguli implicite ale firewall-ului. Acestea dau acces limitat pe interfețele principale și interzic traficul pe interfețele opționale. Pe interfața WAN este permis traficul inițiat din afara rețelei (traficul înspre rețea). (Figura 4.1.). Deci orice fel de servicii server care se doresc a fi accesibile dinspre rețeaua internet vor trebui admise explicit prin crearea de noi reguli (Figura 4.2.). Ordinea regulilor este foarte importantă, deoarece prima regulă întâlnită este cea aplicată. Așadar, în contextul dat, regulile care permit acces dinspre exterior spre rețeaua locală să fie înaintea celorlalte reguli care interzic accesul.

Figura 4.1. În mod implicit tot traficul dinspre exterior (spre rețeaua locală) e blocat

Figura 4.2. Tot traficul din exterior (spre rețeaua locală) e blocat, cu excepția traficului pe portul 21 (FTP) și 443 (HTTPS) ce are ca și sursă adresa IP 79.114.95.103

În figurile 4.3. și 4.4. este prezentat modul în care creăm celor două noi reguli ce permit accesul la porturile 21(FTP) și 443(HTTPS) prin protocolul TCP. Am imaginat, pentru exemplificare, două servere în rețeaua locală: 192.168.1.101 pe care este activ seviciul HTTPS și 192.168.1.105 pe care este activ serviciul FTP. Se presupune că sistemul de la adresa 79.114.95.103 este de încredere și că i se acordă dreptul de a accesa serviciile FTP și HTTPS găzduite de cele două servere din rețeaua locală.

În practică accesul la rețeaua locală poate avea loc pentru a face schimb de fișiere (FTP cât și HTTPS), cât și pentru a accesa un server HTTPS local.

Figura 4.3. Crearea noii reguli ce permit accesul la serviciul FTP de la adresa IP 79.114.95.103

În figura 4.3. avem fereastra de configurare a regulii de acces FTP: se selectează acțiunea de a permite traficul Action: Pass, se selectează interfața de rețea pe care această regulă va fi aplicată Interface: WAN, protocolul Protocol: TCP, sursa pachetelor de date Sorce: Type Single host or alias, Address 79.114.95.103, adresa IP și portul Destination-Type WAN address, Destination port range-from FTP/to FTP, cerem înscrierea în jurnalul de trafic al evenimentului legat de aplicarea acestei reguli (permiterea traficului) – bifăm Log packets that are handled by this rule și notăm o descriere a acestei reguli, pentru a fi ușor de citit în lista de reguli-Description: Acces la serverul FTP situate la 192.168.1.105.

Analog în Figura 4.5. avem fereastra de configurare a regulii de acces HTTPS: se selectează acțiunea de a permite traficul Action: Pass, se selectează interfața de rețea pe care această regulă va fi aplicată Interface: WAN, protocolul Protocol: TCP, sursa pachetelor de date Source: Type Single host or alias, Address 79.114.95.103, adresa IP și portul Destination-Type WAN address, Destination port range-from HTPS/to HTTPS, cerem înscrierea în jurnalul de trafic al evenimentului legat de aplicarea acestei reguli (permiterea traficului) – bifăm Log packets that are handled by this rule și notăm o descriere a acestei reguli, pentru a fi ușor de citit în lista de reguli – Description: Acces la serverul HTPPS situat la 192.168.1.101.

Figura 4.5. Crearea noii reguli ce permite accesul la serviciul HTTPS de la adresa IP 79.114.95.103

Pe rețeaua locală este admis traficul aparținător rețelei locale protejate de firewall (Figura 4.6.). Se observă că există două reguli, prima dând în mod explicit acces la porturile TCP 80(HTTP) și 443(HTTPS), iar cealaltă permițând orice trafic ce se desfașoară prin intermediul interfeței LAN. Logica primei reguli, este aceea de a se putea furniza în orice condiții accesul la interfața de configurare webConfigurator a distrbuției pfSense. Interfața de configurare este defapt un serviciu web ce poate fi configurat pentru a funcționa în mod normal (HTTP pe portul 80) sau securizat (HTTPS pe portul 443).

Figura 4.6. Regulile implicite (1-acces expres la interfața de configurare; 2-trafic nerestricționat pe interfața de rețea LAN)

Figura 4.7.

În figura 4.8. avem fereastra de configurare a regulii de acces nerestricționat pe rețeaua internă (Default allow Lan to any rule): se selectează acțiunea de a permite traficul Action: Pass, se selectează interfața de rețea pe care această regulă va fi aplicată Interface: LAN, protocolul Protocol: any, sursa pachetelor de date Source: Type Lan Subnet, destinația pachetelor, Destination-Type any (deci orice destinație din rețeaua internă) și descrierea regulii-Description: Default allow lan to any rule. De menționat ar mai fi faptul că regulile firewall-ului pot fi modificate, utilizând opțiunea Rules din submeniul Firewall (Figura 4.9.).

Figura 4.8. Crearea regulii de acces nerestricționat pe interfața de rețea

Fereastra Firewall-Rules (Figura 4.9.) prezintă o listă cu interfețele detectate, configurate și cu regulile aferente fiecărei interfețe. Regulile pot fi adăugate, editate/modificate și șterse. Din lista de interfețe detectate, interfața curentă, cea asupra căreia se editează reguli, este interfața opțională OPT3. După cum se observă, aceasta are o singură regulă adăugată, cea mai simplă posibilă, aceea de a permite orice trafic pe interfața de rețea. Regula poate fi modificată în sensul în care să existe un control mai strict al traficului pe interfață, însă la modul în care este configurat întregul sistem, nu este nevoie de a fi mult mai stricți. Având în vedere că pe fiecare interfață de rețea locală este configurat câte un server DHCP, trebuie avut grijă să existe o regulă care să permită traficul de acest gen. În figura 4.11. este prezentată configurarea regulii de bază a interfeței locale OPT3. Se observă că în mod analog regulii de acces a interfeței LAN, prezentate anterior (în figura 4.5.), se realizează și configurarea interfeței OPT3.

Figura 4.9. Opțiunea Rules din submeniul Firewall Figura 4.10. Regulile aferente interfeței OPT3

Figura 4.11. Fereastra de editare a regulii aferente interfeței OPT3 (permite acces total pe interfață)

Notă: Serviciile HTTP/HTTPS, FTP, DHCP menționate anterior sunt o suită de protocoale ce fac parte din modelul de protocoale TCP/IP.

TCP/IP este un set de protocoale de comunicație, logic structurată în patru straturi (aplicație, transport, internet și nod de rețea), utilizat pentru Internet și rețele similare, fiind la ora actuală cel mai utilizat set de protocoale de rețea de comunicație.

Modelul TCP/IP furnizează posibilitatea conectării end-to-end (de la un punct la altul), pe baza unor specificații bine determinate despre cum datele vehiculate trebuiesc a fi formatate, adresate, transmise, recepționate și rutate la destinație. Pentru asigurarea funcționalităților mai sus enumerate, suita de protocoale a fost abstractizată pe patru nivele funcționale. Nivelul de aplicație, cel mai înalt nivel, cuprinde o serie de protocoale de comunicație la nivel de proces. Protocoalele mai importante la acest nivel sunt DNS, DHCP, HTTP/HTTPS, FTP/FTPS.

IV.2. Configurarea regulilor NAT(Network Address Translation)

Figura 4.12. Meniul firewall NAT Figura 4.13.

Este configurat în secțiunea precedentă firewall-ul pentru a permite trafic înspre rețeaua noastră pe porturile HTTPS(443) și FTP(21). Totuși pentru ca traficul să ajungă la destinatar (serverele noastre 192.168.1.101:443 și 192.168.1.105:21) trebuie configurat mecanismul de port forwarding adică se face o legătură între portul extern (la nivel de wan) și portul intern (la care este activ serviciul), adică tot traficul destinat serverului este redirecționat către calculatorul ce găzduiește serviciul furnizat. Pentru aceasta vom acționa opțiunea NAT din meniul Firewall. Va apărea o fereastră de configurare ca în figura 4.14., ce prezintă lista regulilor NAT extinse. Inițial lista va fi goală, neexistând reguli configurate. În figura 4.15 avem noua listă cu reguli adăugate.

Figura 4.14. Fereastra de configurare reguli (NAT inițial nicio regulă prezentată)

Figura 4.15. Fereastra de configurare reguli (NAT – 4 Reguli prezentate)

În continuare vom prezenta modul de creare a acestor reguli (Figurile 4.16. – 4.17.). Având în vedere că utilizăm 2 canale de acces la rețeaua Internet (WAN-rds și WAN2-upc) am creat 2 perechi, o pereche pentru interfața WAN și una pentru interfața WAN2. În figura 4.16. se redirectionează traficul către portul FTP pe interfața WAN către interfața 192.168.1.105 poftul FTP: selectăm interfața unde redirectionăm traficul (WAN) – Edit Redirect, Entry-Interface:WAN, selectăm protocolul utilizat (TCP în cazul nostru), Edit Redirect Entry-Protoco: TCP, destinația inițială (de la care se face redirecționarea) – Edit Redirect Entry –Destination: WAN address, portul (sau porturile) pe care le redirecționăm – Edit Redirect Entry-Destination Port Range: from FTP to FTP, adresa IP țintă – Edit Redirect Entry-Redirect Target IP: 192.168.1.105 și portul țintă. Edit Redirect Entry-Redirect Target Port.

Figura 4.16. Configurarea redirecționată a contului 21(FTP) către gazda 192.168.1.105(traficul venit pe interfața WAN)

În figura 4.17. configurăm redirecționarea traficului către portul HTTPS pe interfața WAN către interfața 192.168.1.101 portul HTTPS: selectăm interfața de la care redirecționăm traficul (WAN) – Edit Redirect Entry-Interface: WAN, selectăm protocolul utilizat (TCP în cazul nostru) – Edit Redirect Entry-Protoco: TCP, destinația inițială (de la care face redirecționarea) – Edit Redirect Entry-Destination:WAN address, portul (sau porturile) pe care îl redirecționăm – Edit Redirect Entry-Destination Port Range: from HTTPS to HTTPS, adresa IP țintă, – Edit Redirect Entry-Redirect Target IP: 192.168.1.105 și portul țintă. Edit Redirect Entry-Redirect target port (implicit este același port cu portul extern).

Figura 4.17. Configurare redirecționarea contului 443(HTTPS) către gazda 192.168.1.101

În mod analog creăm cele două reguli aferente interfeței WAN2. Modul de creare este aproape identic cu cel prezentat în figurile 4.18 – 4.19. cu excepția faptului că interfața de redirecționat va fi de această dată WAN2 (Edit Redirect Entry-Interface: WAN2). În mod simplist s-au utilizat porturile TCP standard asociate serviicilor (21-FTP/443-HTTPS). Totuși pentru a adăuga o treaptă de securitate în plus și interfețele externe porturi nestandard care vor fi redirecționate către porturile standard. Inițial se va crea o regulă firewall care permite intrarea traficului TCP pe un port nestandard (de exemplu 31422) apoi în fereastra de configurare a regulii NAT specificăm redirecționarea traficului de pe portul destinației, 31422, în cazul nostru către portul țintă 21.

Figura 4.18. Se acceptă traficul către intervalul de porturi 31422 -31423

În figura 4.18. se observă că am creat un interval de porturi (31422/31423). Pentru care dăm acces traficului. Raționamentul este că avem 2 servicii furnizate (FTP si HTTPS) pentru care dorim acces din exterior. În loc să creăm câte o regulă pentru fiecare port în parte, am creat o singură cale de acces către ambele porturi. În figura 4.14. redirecționăm portul nestandard 31422 –Redirect Entry-Destination Port Range: from 31422 to 31422, către portul standard 21 – Edit Redirect Entry-Redirect target port 20, a gazdei cu adresa IP 192.168.1.105 – Edit Redirect Entry-Redirect Target IP: 192.168.1.105. În mod analog creăm regula de redirecționare a portului nestandard 31423 – Redirect Entry-Destination Port Range: from 31423 to 31423, către portul standard 443 Edit Redirect Entry-Redirect target port HTTPS, a gazdei cu adresa IP 192.168.1.101 – Edit Redirect Entry-Redirect Target IP: 192.168.1.101.

Figura 4.19. Redirecționarea portului 31422 către portul 20

CAPITOLUL V. FACILITĂȚI DE UTILIZARE, IMPLEMENTAREA UNOR EXEMPLE CONCRETE DE UTILIZARE A SISTEMULUI DE OPERARE PFSENSE

V.1. Load Balance – trafic echilibrat pe căi multiple WAN

Ideea de bază în utilizarea mai multor căi de acces NET WAN este aceea de a îmbunătăți lățimea de bandă a conexiunii internet, de a avea un trafic echilibrat pe multiple căi de acces la internet, de a asigura faptul că funcționarea defectuasă a unei căi de acces este cu succes contrabalansată de funcționarea celorlalte.

Distribuția pfSense oferă posibilitatea gestionării traficului dinspre rețeaua prin mai multe căi de acces concomitent la internet. Pentru aceasta se utilizează opțiunea Load Balancer din meniul Services în fereastra ce apare se selectează „pools”, după care se selectează opțiunea Gateway Groups (Figurile 4.16., 4.17., 4.18.).

Figura 5.1.

Figura 5.2.

Distribuția permite crearea mai multor grupuri de acces concomitent la rețeaua externă (internet), condiția fiind să existe suficiente interfețe de acces WAN. În cazul nostru, având doar două interfețe de acces WAN, vom putea crea un singur grup de acces, condiția creării unui astfel de grup fiind existența a minimum două interfețe de acces WAN. În figurile următoare vom prezenta crearea unui astfel de grup (figura 5.3.) – lista inițială a grupurilor, (figura 5.4.) – lista grupurilor create și (figura 5.5.) – modul de creare a unui grup. Se observă în figura 5.4. că lista este vidă și în figura 5.3. că lista conține o înregistrare, detaliile grupului PF_LOAD_B, grupul creat, operațiune prezentată în Figura 5.5..

Figura 5.3. Lista inițială a grupurilor (este vidă)

Figura 5.4. Lista grupurilor, conținând grupul PF_LOAD_B

În figura 5.4. – crearea grupului de căi de acces – se prezintă modul în care se alocă numele grupului Edit gateway entry-Group Name: PF_LOAD_B, prioritatea ficărei interfețe de acces WAN, Edit gateway entry-Gateway Priority: Tier1: WAN – Interface WAN Dynamic Gateway, Tier1: WAN2_G – WAN2 Gateway, alegerea modului de excludere a interfețelor din grup, Eit gateway entry-Trigger Level: Member Down și o descriere a grupului Edit gateway entry-Desciptin: GROUP FOR LOAD BALANCING.

Se oservă că momentul excluderii poate fi unul dintre urmatoarele: Member Down (interfața este nefuncțională), Packet loss (se pierd pachete de date pe interfața respectivă), High Latency (întârzieri mari pe recepționarea pachetelor de date) sau Packet Loss or High Latency (pachete de date pierdute sau întârzieri mari de recepționare a acestora). De menționat și faptul că prioritatea interfeței de iesire se încadrează între șase valori: o valoare de prioritate 0 (never) – interfața nu va fi niciodată folosită și valoarea cinci (cu prioritatea cea mai mică), trecând prin valorile intermediare 1, 2, 3, 4 cu priorități descrescătoare (valoarea cea mai mică -1- are cea mai mare prioritate).

Interfețele cu aceeași prioritate vor fi folosite concomitent, până când una dintre acestea va ceda, moment în care intră în funcțiune din grup cu prioritatea imediat următoare.

Figura 5.5. Crearea grupului PF_LOAD_B

V.2. Un exemplu de utilizare

Echipamentul descris are o gamă foarte largă de utilizare în foarte multe firme și institutii având în vedere necesitatea folosirii pe scară foarte largă a rețelei Internet. Punctul forte al acestei lucrări practice este dat de asigurarea în cadrul unei unități organizaționale a unei conexiuni permanente la internet de la mai mulți provideri. Putem exemplifica, astfel folosirea în cadrul unei agenții de pariuri, pentru care întreruperea conexiunii la site-urile de pariuri denotă o slabă seriozitate.

O altă utilizare ar putea fi la o firmă ce are ca obiect de activitate un site de comerț electronic unde prezența unui router/firewall multi-wan asigură prezența permanentă pe internet, creste rata de accesare și astfel crește proporțional profitul.

O cafenea/bar care dorește să ofere clienților internet gratuit wireless. Pe placa wireless (OPT3) se realizează accesul la internet pentru clienții spațiului respectiv. Accesul trebuie să se realizeze securizat, cliențiilor trebuind să le fie oferită o primă barieră de protecție la atacurile cibernetice.

De remarcat că cei din subrețeaua 192.168.3.x nu au voie să acceseze celelalte subrețele (192.168.1.x și 192.168.2.x). Subrețeaua 192.168.1.x este rezervată personalului it/management și este utilizată pentru accesul la interfața de configurare a router-ului și a serviicilor Server din rețea.

Subrețeaua 192.168.2.x este rezervată pentru a fi accesibilă din afara rețelei.

Internet cafe pe: 192.168.2.x (fir) și 192.168.3.x (fară fir) se conectează clienții internet cafe.192.168.1.x poate fi accesată doar de către angajatii unității, fiind utilizată pentru accesul la internet a acestora, pentru accesul la serverele unității (server de mail, server ftp, file server samba/nfs aplicație de gestionare a clienților din rețea, aplicație economico-financiară, etc.).

Soluția pfSense poate fi utilizată împreună cu soluția open source pentru internet-cafe webconverger (distribuție Linux).

O utilizare mai importantă ar fi la o instituție de învățământ, care are mai multe laboratoare de informatică și pentru care întreruperea conexiunii la internet ar perturba desfășurarea procesului educațional. Aici se poate seta rata de transfer de la fiecare provider de internet pentru a asigura o bandă de transfer constantă și comutarea pe un alt provider care nu are încărcarea așa mare la anumite perioade de timp. Se poate astfel asigura accesul din cadrul instituției la serverele locale și mai ales accesul securizat al elevilor și studenților din exterior la datele necesare procesului de studiu (teme, proiecte, referate, depunera lucrărilor și studiul cursurilor, efectuarea testelor online, etc.). Toate aceste unități trebuiesc susținute de mai multe conexiuni internet de la diferiți provideri și de un echipament puternic de gestionare. Acest echipament este destul de costisitor și de obicei nu poate gestiona mai multe conexiuni de WAN. Echipamentul creat poate face acest lucru printr-o interfață destul de prietenoasă ușor de folosit și mai ales securizată.

CAPITOLUL VI. CONCLUZII

Crearea unui router/firewall complex cu funcționarea avansată, asemeni unor soluții firewall comerciale scumpe de la 600-700 de dolari (cisco) utilizând un sistem de calcul x86, ieftin și simplu ca și specificații tehnice împreună cu o soluție softwere open source la un preț foarte mic.

Sistemul de calcul utilizat este asamblat din componente ieftine, cu o vechime medie de 7-8 ani, ceea ce a condus la un cost foarte scăzut. S-a utilizat o carcasă tower, format ATX, împreună cu o sursă de 300W, în care s-a montat o placă de bază ATX, AK31 v2.0 fabricată de firma Shuttle. Pe placa de bază s-au montat un procesor AMD Athlon XP 1600+, răcit de un radiator cu ventilator generic, 2 x 512MB memorie DDR1 333MHz, o placă video AGP 8x Ati, 4 interfețe interne PCI de rețea Ethernet 10/100 (una intel-fxp0, două Realtek-rl0 și rl1, una 3com-xlo), o interfață internă PCI de rețea wireless (Trendnet-ath0), un hard disk Western Digital cu o capacitate de 30GB și o unitate optică generică. Am ales această soluție softwere, pfSense deoarece are ca și bază sistemul de operare tip Unix, FreeBsd, un sistem solid și sigur este o soluție testată și utilizată cu succes de multe alte instituții, este relativ simplu de utilizat, cu minim de cunostințe de operare ale sitemului unix.

S-a utilizat pfSense pentru a crea un router/firewall, punct de acces wireless, server DHCP, client DNS dynamic. Având la bază sistemul de operare FreeBSD, pfSense poate fi îmbogățit cu diverse extensii ce-i sporesc funcționalitatea și totodată i se pot adăuga din depozitul softwere al FreeBSD multe alte aplicații, sunt necesare minime cunostințe de Unix/FreeBSD.

Ca și extensii considerate utile de exemplificat, s-a abordat sistemul de detecție și prevenire a intruziuniilor în rețea Snort și serviciul de DNS dynamic pentru a fi ușor găsiți în internet, fără a plăti taxe de înregistrare de domeniu. Sistemul de operare pfSense s-a instalat direct pe hard disk-ul PC-ului, astfe încât să poată fi adăugate ultimele actualizări de securitate oferite de producător, putând fi configurat prin interfața web furnizată de producător, doar din rețeaua internă. S-au configurat cele 5 plăci de rețea, dintre care 2 WAN pentru accesul la rețeaua externă și 2 LAN pentru accesul la rețeaua internă și o placă wireless. Acest router/firewall oferă acces la internet (WAN) prin 2 căi de acces pentru calculatoarele din rețea, atât prin conexiune cablu ethernet, cât și prin conexiune wireless cu funcționalitae adițională de servere DHCP, server DNS, sistem de detecție a intruziunilor si serviciului de DNS dynamic. Pentru aceasta, avem 2 plăci de rețea Ethernet de acces WAN. Accesul la calculatorul router se va face fie printr-un switch sau printr-un cablu crossover fie prin intermediul plăcii de rețea wireless ce va funcționa prin acces point. Se urmărește configurarea și utilizarea sistemului router/firewall pentru funcționalitatea de rețea uzuală: Firewall și routing, obținerea prin DHCP a adreselor IP de către clienții din rețea, port-forwarding pentru diverse servicii necesare clienților din rețea, gestionarea drepturilor de acces înspre rețeaua internă/externă, monitorizarea traficului pentru identificarea încercărilor de intruziune în rețeaua internă.

BIBLIOGRAFIE

pfSense. Ghidul definitiv la open pfSense firewall sursă de distribuție și router-ul – Christopher M.Buechler, Jim Pingle, 1 noiembrie 2009.

PC pentru toți. Aplicații curente, descriere și utilizare – Elena Nechita, Gloria Cerasela Crișan – Editura Polirom, Iași, 2003.

Rețele de calculatoare – Cristea Valentin, Nicolae Țăpus, Editura Teora, București, 1992.

Rețele de comunicații între calculatoare.Bănica Ion,editura Teora București 1998.

Rețele de calculatoare,proiectare și administrare.Munteanu Adrian,Greavu Valerică Iasi,editura Polirom 2006.

Comnunicații de date.Held Gilbert București,editura Teora 1998.

***. http://www.iana.org

***. http://www.cs.ubbcluj.ro/~rlupsa/edu/retele-2003

***. http://www.cisco.natacad.net

***. http://www.wikipedia.org

***. http://profs.info.uaic.ro/~busaco/teach/courses/net/docs/protocoale_rutare.pdf

***. http://jan.newmarch.name/distjava/socket/lecture.html

***. http://www.usv.ro

***. http://profs.info.uaic.ro/~busaco/teach/courses/web/web-film.html

***. http://www.runceanu.com

Anexe

Instalarea programului de prevenție a intruziunilor în rețea Snort.

Pas 1 – selectăm opțiunea Packages din meniul System

Pasul 2 – selectarea pachetului snort din lista softwere disponibilă

Pasul 3 – după acționarea butonului ”+” se cere confirmarea instalării

Pasul – 4 instalare: se descarcă pachetul snort și pachetele dependente

Pasul 5 – finalizare instalare

BIBLIOGRAFIE

pfSense. Ghidul definitiv la open pfSense firewall sursă de distribuție și router-ul – Christopher M.Buechler, Jim Pingle, 1 noiembrie 2009.

PC pentru toți. Aplicații curente, descriere și utilizare – Elena Nechita, Gloria Cerasela Crișan – Editura Polirom, Iași, 2003.

Rețele de calculatoare – Cristea Valentin, Nicolae Țăpus, Editura Teora, București, 1992.

Rețele de comunicații între calculatoare.Bănica Ion,editura Teora București 1998.

Rețele de calculatoare,proiectare și administrare.Munteanu Adrian,Greavu Valerică Iasi,editura Polirom 2006.

Comnunicații de date.Held Gilbert București,editura Teora 1998.

***. http://www.iana.org

***. http://www.cs.ubbcluj.ro/~rlupsa/edu/retele-2003

***. http://www.cisco.natacad.net

***. http://www.wikipedia.org

***. http://profs.info.uaic.ro/~busaco/teach/courses/net/docs/protocoale_rutare.pdf

***. http://jan.newmarch.name/distjava/socket/lecture.html

***. http://www.usv.ro

***. http://profs.info.uaic.ro/~busaco/teach/courses/web/web-film.html

***. http://www.runceanu.com

Anexe

Instalarea programului de prevenție a intruziunilor în rețea Snort.

Pas 1 – selectăm opțiunea Packages din meniul System

Pasul 2 – selectarea pachetului snort din lista softwere disponibilă

Pasul 3 – după acționarea butonului ”+” se cere confirmarea instalării

Pasul – 4 instalare: se descarcă pachetul snort și pachetele dependente

Pasul 5 – finalizare instalare