PÄRNUMAA
KUTSEHARIDUSKESKUS
ARUTID
JA ARVUTIVÕRGUD
Oliver Kikas ARVUTIVÕRGU
DIAGNOSTIKASEADMEDReferaat
Juhendaja :
Silver Silluta
Pärnu
2013
Sisukord
Sisukord 2
Sissejuhatus 3
1. Erinevad
ohuallikad 4
1.1 Võrguründed 4
1.2 Passiivsed võrguründed 5
1.3 Aktiivsed võrguründed 5
1.4 Identiteedivargused 6
2. Tulemüürid 8
2.1 Tööpõhimõtted ja nende areng 9
2.1.1 Esimene põlvkond -
paketi -
filtrid 9
2.1.2 Teine põlvkond - rakenduskihi tulemüür 10
2.1.3 Kolmas põlvkond - olekuteadlikud tulemüürid 10
2.1.4 Järgnevad edasiarendused 11
2.2
Proksi 12
2.3 Võrguaadresside tõlkimine 12
3. Erinevad tarkvaralised lahendused 13
3.1 Windowsi integreeritud lahendused 13
3.2 Vabavaralised lahendused 16
3.2.1
Network Stuff 3.0.9 16
3.2.2 DNS
Jumper 1.0.5 16
3.3.3 CloseTheDoor 0.2.1 17
Kokkuvõte 19
Kasutatud materjal 20
Sissejuhatus
Eraldiseisvaid
seadmeid võrgu diagnostimiseks niivõrd ei ole kastutusel, pigem
täidavad selle ülesande põhilised vahelülid, mis ühendavad
võrke, milleks võivad olla nii hallatavad kommutaatorid, tulemüüri
toega marsruuter ja muu
analoogne . Järgnevas referaadis toon välja
enamkasutatavad lahendused võrgu tervise ja funktsionaalsuse
ülevaate saamiseks.
Suuremal määral esinevad needsamad lahendused
tarkvara kujul, mistõttu võib arvutivõrgu diagnostikaseadmeks
pidada vabalt mõnda tavalist tööjaama, mis varustatud vastava
tarkvaraga.
1.
Erinevad ohuallikad
Ennekõike
kui hakata asuma võrgu olukorda monitoorima ja
haldama , peaksime
olema kursis ka, mis on võimalikeks allikateks meie probleemidele.
Suuremal hulgal asuvad need pigem lokaalsest võrgust väljast.
Võrguturve on oluline teema, kuna tänapäeval ei ole reeglina
arvutit, mis poleks võrku ühendatud ja seega on iga sisselülitatud
arvuti potentsiaalne võrguründe ohver. Ründeohud võrgule,
serveritele ja arvutitele võivad saada alguse erinevatest
allikatest. Reeglina on kaasaegsed
arvutid ühendatud internetti, mis
on oluline äri- ja suhtluskeskkond, seda kasutavad
riigiasutused kodanikega suhtlemisel ja interneti kaudu edastatakse
konfidentsiaalseid isikuandmeid. Interneti muutumine peamiseks
infovahetuskanaliks muudab selle atraktiivseks erinevatele
huvigruppidele, kes soovides pahatahtlikult peatada teatud
võrguteenuste toimimise üritades neid teenuseid blokeerida või
tahtes enda valdusse saada ja ära kasutada teatud konfidentsiaalset
informatsiooni võrguliiklust pealt kuulates. Peale selle võib olla
tegu ka lihtsalt teatud isiku pahatahtliku toodanguga, mis viib
erinevate viiruste või rämpsposti tootmiseni, mis koormab võrku ja
arvutite ning serverite ressurssi ja üritab enda valdusse saanud
arvutit muuta enda hävitusplaani tööriistaks, mis omakorda muutub
ohuks võrguturvalisusele. Seetõttu on väga oluline kaitsta enda
võrgu turvalisust.
1.1
Võrguründed
Võrguründed
võib jagada kas passiivseteks või aktiivseteks. Esimesel juhul on
tegemist võrguliikluse pealtkuulamisega ja teisel juhul võib
ründaja modifitseerida, kustutada või luua uut infot. Sellest
tulenevalt jaotuvad ründeid eesmärkide järgi:
- Juurdepääsu rünne ( Access attack) - on püüd saada juurdepääs ressurssidele, millele isikul pole juurdepääsuõigust.
- Andmete moonutamine (Modification attack) - on üritus muuta informatsiooni võõras süsteemis.
- Teenusetõkestamise rünne (Denial of service attack) - on üritus tõkestada mingit võrguteenust või tervet võrku toimimast.
1.2
Passiivsed võrguründed
Üks
võimalik passiivse ründe variant on võrguliikluse pealtkuulamine
(Sniffing). Sel moel võib sissetungija tuvastada konfidentsiaalseid
andmeid, näiteks kasutaja identifitseerimise või autentimisega
seotud võrguliiklust, mida hiljem saab kasutada võrku sisenemiseks
ja edasiseks kahjutekitamiseks. Autentimisinfo pealtkuulamist,
salvestamist ja hiljem selle abil serverile juurdepääsu üritamist
nimetatakse kordusründeks (Replay attack). Teine meetod on kasutada
arvuti avatud porte info varastamiseks. Avatud
portide tuvastamine on
suhteliselt elementaarne ja utiliidid on selleks olemas igas arvutis
(
telnet ). Samas on olemas ka tõhusamaid vahendeid (Port scanners),
mis oskavad skaneerida üle kõik ründobjektiks valitud arvuti
pordid ja tuvastada, millised
nendest on avatud. Samu vahendeid saab
kasutada ka selleks, et kontrollida enda arvuti turvalisust.
Ründestsenaarium
on harilikult järgmine:
- Portide skaneerimine, mille alusel tuvastatakse aktiivsed teenused süsteemis ja nendega seotud programmid , et identifitseerida haavatavad kohad.
- Võrgu pealtkuulamine, et tuvastada edasisi elemente ründe laiendamiseks.
- Sissetung süsteemi.
1.3
Aktiivsed võrguründed
Aktiivse
ründe alla kuulub näiteks paroolide äraarvamine (Password guessing
attack) süsteemi sissetungimiseks. See jaguneb omakorda:
- Toorejõu ründeks ( Brute - force attack), mille puhul pikema perioodi vältel üritatakse järjest paroole genereerides ja süsteemi sisestades leida õige.
- Sõnaraamatu ründeks (Dictionary attack), mis kasutab etteantud sõnaraamatut paroolide äraarvamiseks.
DNS'i
võltsimisel (DNS poisoning) kasutatakse
liba DNS serverit, mis
suunab kasutajad hoopis teistele aadressidele kui kasutajad soovisid.
Selle ründega saab ümber suunata kasutajate e-posti või teha
igasugust muud ümbersuunamist.
1.4
Identiteedivargused
IP
identiteedi vargus on seotud jagatud teenusetõkestamise ründega
(
DDoS - Distributed Denial of Service attack). Lihtsamal juhul saab
selleks ära kasutada arvutite
ICMP (
Internet Control Messaging
Protocol ) pakettidele vastamist. Kui koostada selline
PING pakett ,
mis suunatakse kogu võrgule ja sihtaadressiks on määratud
ründeobjekt, siis vastuseks
saadab iga võrguarvuti teate
sihtsüsteemi ja see koormatakse nii üle, et ta lakkab normaalselt
funktsioneerimast.
Tavalised
DoS ründed on surmaping (ping of death) ja puhvriuputus (buffer
overflow), mille puhul saadetakse rünnatavasse süsteemi
suuremaid pakette kui süsteem suudab vastu võtta ja see lakkab toimimast.
PING rünnakute kaitseks on tänapäeval enamasti vastav port
serverites ja ka kliendiarvutites keelatud. Teine variant on saata
sihtarvutile pakett (SYN) TCP ühenduse loomiseks. Kui neid pakette
saata korraga paljudelt arvutitelt suures koguses siis halvatakse
süsteemi töövõime.
Hajutatud teenusetõkestamise rünne (DDoS)
Veel
üks identiteedivarguse vorm on võrguaadressi võltsimine. MAC
aadressi tuvastamine toimub ARP leviedastuse abil. Aga arvuti ei pea
ootama leviedastuse päringut vaid võib saata ka ise võrku ARP
teate enda MAC
aadressiga ja seda saab ära kasutada valekinnituse
saatmiseks. Sel kujul saadetakse teisele arvutile mõeldud paketid
võltsaadressiga arvutile ja see saab omakorda neid pakette muuta
ning siis õigele sihtarvutile edastada. Sellist rünnakut
nimetatakse vahendusmehe ründeks (Man-in-the-middleattack). Üks
selle ründe vorm on kommutaatori pordi ülevõtmine (Port Stealing),
mille puhul kasutab ründaja ära kommutaatori omadust siduda iga
port kindla MAC aadressiga.
2.
Tulemüürid
Tulemüür
(Firewall) on tarkvara või seade, mis turvakaalutlustel piirab ja
reguleerib võrguliiklust arvutivõrgus või võrkude vahel vastavalt
seadistatud reeglitele. Tavaliselt kasutatakse tulemüüri interneti
ja kohaliku kohtvõrgu vahel. Tulemüüri esmane otstarve on
väljastpoolt juurdepääsu takistamine ressursidele, millele pole
sellist juurdepääsu ette nähtud. On ka tulemüüre mis piiravad
väljuvat
liiklust . Tulemüüri saab implementeerida nii
tarkvaraliselt, riistvaraliselt kui ka kombinatsioonina mõlemast.
Tarkvaraline tulemüür on enamjaolt integreeritud enamikel uue-aja
operatsioonisüsteemidel, kuid on ka täiesti kolmandate osapoolte
loodud litsentseeritud ja tasulised lahendused.
Illustratsioon tulemüüri tööst
2.1
Tööpõhimõtted ja nende areng
2.1.1
Esimene põlvkond - paketi-filtrid
Esimene
artikkel tulemüüri
tehnoloogia kohta avaldati aastal 1988, kui
insenerid Digital
Equipment Corporation´ist arendasid
filtersüsteeme, mida
teatakse praegu pakett-
filtri tehnoloogia nime
all. See võrdlemisi lihtne süsteem oli esimene teerajaja edasises
kaugele arenenud ning tehnilises interneti turvalisuse maailmas.
Seda
tüüpi pakettide
filtreerimine ei pööra mingit tähelepanu
sellele, kas pakett on osake olemasolevast ühendusest või mitte
(s.t. mingit informatsiooni ühenduse oleku kohta ei salvestata).
Selle asemel filtreeritakse pakette ainult pakettides endas sisalduva
informatsiooni põhjal, kasutades selleks enamasti
kombinatsiooni paketi lähte- ja sihtaadressist, protokollist ning TCP ja UDP puhul
pordi
numbrist .
TCP
ja UDP
protokollid moodustavad suurema osa suhtlusest üle Interneti
ja kuna TCP ja UDP
liiklus konventsionaalselt kasutab teada-tuntud
porte teatud tüüpi
liikluse jaoks, siis ühenduse olekust
mittemidagi teadev
filter saab eristada ja kontrollida sellist tüüpi
liiklust (nagu veebilehitsemine, kaugprintimine, e-kirja
saatmine ,
faili ülekandmine), kui just
masinad kummalgi pool pakett-filtrit ei
kasuta mittestandartseid porte.
Pakette
filtreerivad tulemüürid töötavad peamiselt OSI mudeli kolmel
esimsel kihil, mis tähendab, et suurem osa tööd tehakse ära võrgu
ja füüsiliste kihtide vahel ning ainult natukene piiludes
transpordikihti, et aru saada lähte- ja sihtkoha pordinumbritest.
Kui pakett pärineb saatjalt ja jõuab tulemüürini, siis seade
kontrollib, kas pakett vastab filtreerimisreeglitele ja vastavalt
sellele, kas
laseb paketi läbi või tõrjub eemale. Kui pakett läbib
tulemüüri, siis filtreerimine toimub protokolli/pordinumbri baasil.
Näiteks, kui eksisteerib reegel tulemüüri seadetes, mis keelab
ligipääsu läbi telneti, siis tulemüür plokib IP protokollid,
milles kasutatakse pordinumbrit 23.
2.1.2
Teine põlvkond - rakenduskihi tulemüür
Peamine
kasu rakenduskihi tulemüürist on, et see saab aru teatud
rakendustest ja protokollidest (nagu File
Transfer Protocol, DNS,
või veebilehitsemine),
ja see võimaldab
avastada , kui mittesoovitud
protokoll proovib
siseneda läbi mittestandartse pordi või kui protokolli ahistatakse
mingil muul kahjulikul viisil.
Rakenduskihi
tulemüür on palju turvalisem ja usaldusväärsem võrreldes
pakett-filtri tulemüüriga, kuna see töötab kõigil seitsmel OSI
mudeli kihil, rakendusest kuni
füüsilise kihini. See on küll sarnane pakett-filtri tulemüürile,
aga siin on võimalik informatsiooni filtreerida lisaks ka sisust
lähtudes. Parim näide rakenduskihi tulemüürist on ISA(Internet
Security and Acceleration) server. Rakenduskihi tulemüür suudab
filtreerida kõrgema kihi protokolle nagu FTP, Telnet, DNS,
DHCP ,
HTTP, TCP, UDP ja TFTP (GSS). Näiteks, kui
organisatsioon tahab
blokeerida kogu informatsiooni, mis on seotud sõnaga "foo",
siis saab käivitada sisu filtreerimise tulemüüris, et see sõna
edaspidi blokeeritakse. Kui mõni
saatja poolne pakett blokeeritakse
tulemüüri poolt, siis saatjat sellest üldiselt ei teavitata.
Põhimõtteliselt suudavad rakenduskihi tulemüürid peatada kogu
soovimatu välise ligipääsu kaitstud masinatesse. Põhjalikult
uurides iga paketi sisu saavad tulemüürid ennetada võrgu-
usside või troojalaste pääsemist võrguga ühendatud arvutisse.
Igasugused lisakriteeriumid, mida pakettide läbivaatamisel
arvestatakse,
lisavad teatava
ajakulu pakettide toimetamisele
sihtkohta.
2.1.3
Kolmas põlvkond - olekuteadlikud tulemüürid
Aastast
1989-1990 kolm kolleegi Belli laboratooriumist, Dave Presetto,
Janardan
Sharma , and Kshitij Nigam, arendasid kolmanda põlvkonna
tulemüüre kutsudes neid
riistvara -taseme tulemüürideks.
Kolmanda
generatsiooni tulemüürid, lisaks esimese ja teise põlvkonna
tulemüüridele vaatab ka iga paketi asetust paketiseeria sees.
Üldiselt viidataks sellele tehnoloogiale kui olekuteadlikule
pakettide inspekteerimisele, kuna säilitatakse teave kõigist
ühendustest, mis tulemüüri läbivad, ning on võimelised määrama,
kas konkreetne pakett kujutab endast uue ühenduse algust, on osa
praegusest ühendusest või on hoopis vigane pakett. Kuigis selles
tulemüüris on ikka hulk staatilisi reegleid, ühenduse olek võib
ise olla üheks kriteeriumiks, mis ütleb, millised kindlad reeglid
kehtestada. Seda tüüpi tulemüüre on võimelised ära kasutama
Denial-of-service rünnakud, mis võivad täita ühendustabeleid
ebaseaduslike ühendustega.
2.1.4
Järgnevad edasiarendused
Aastal
1992, Bob Braden and
Annette DeSchon at the
Southern California
Ülikoolist viimistlesid tulemüüri kontseptsioni. Toode nimega
"Visas" oli esimene süsteem, millesse oli integreeritud
visuaalne
liides koos värvide ja ikoonidega ning mida oli kerge
implementeerida ja ligipääseda arvuti operatsioonisüsteemist,
nagu
Microsoft 'i Windows või
Apple 'i MacOS.
Aastal 1994 Iisraeli kompanii
Check Point Software Technologies
ehitas selle vabalt kättesaadavaks tarvaraks, mida
teatakse FireWall-1 nime
all.
Illustratsioon
tulemüüri seadistamisest Ubuntu keskkonnas
Areng
toimub ka selles suunas, et integreerida kasutaja idntiteet tulemüüri
reeglitesse. Paljud tulemüürid omavad endas omadust, et kasutaja
seotakse mingi konkreetse IP või MAC aadressiga, mis on väga üldine
ja millest on kerge mööda saada. NuFW tulemüür
pakub tõelist identifitseerimisel põhinevat tulemüüri, mis mis
nõuab igal ühenduse jaoks kasutajalt
signatuuri. authpf BSD süsteemidel
laeb tulemüüri seaded automaatselt iga kasutaja jaoks pärast
autentimist läbi SSH.
2.2
Proksi
Proksi,
mis
jookseb selleks pühendatud serveril või üldotstarbelisel
arvutil, võib käituda justkui tulemüür reageerides
sissetulevatele pakettidele (näiteks ühendumissoovidele) ning on
võimeline ka teatud liiklust
blokeerima .
Proxy serverid teevad sisesüsteemiga jändamise välisest võrgust
raskemaks ja ühe sisesüsteemi väärkasutus ei põhjusta tingimata
turvaauku, mida saaks ära kasutada väljastpoolt tulemüüri
(vähemalt nii kaua kui proxy püsib
tervena ja õigesti
seadistatuna). Vastupidiselt,
sissetungijad võivad kaaperdada mõne
avalikult kättesaadava süsteemi ja kasutada seda kui proxy serverit
omadel eesmärkidel. Kuigi siseaadressiruumi kasutamine suurendab
turvalisust, võivad sissemurdjad ikkagi kasutada
meetodeid nagu IP
spuufimine, et saata pakette sihtvõrkudesse.
2.3
Võrguaadresside tõlkimine
Tulemüürid
kasutavad tihtipeale võrguaadresside tõlkimise funktsionaalsust
ning arvutid, mis jäävad kaitsva tulemüüri taha üldiselt omavad
aadressi privaatseks kasutamiseks mõeldud aadressiruumis.
Tulemüüridel on sageli olemas funktsionaalsus, mis
peidab tulemüüriga kaitstud arvuti tegeliku võrguaadressi. Algselt oli
selline võrguaadresside tõlkimine mõeldud aadresseerimaks piiratud
ressurssidega IPv4 marsruuditavaid aadresse, mida võiksid kasutada
nii kompaniid kui
eraisikud ning et vähendada avalike
aadresside hulka ja seega ka maksumust iga võrku ühendatud arvuti jaoks.
Võrguaadresside
varjamine kaitstud masinates on saanud oluliseks
kaitsevahendiks võrguluure vastu.
3.
Erinevad tarkvaralised lahendused
3.1
Windowsi integreeritud lahendused
Windowsi
keskkonnas on võimaldatud hulk meetodeid mõne võrguprobleemi
leiuks või isegi likvideerimiseks. Enamjaolt on nendeks käsuread
sisseehitatud MS-DOS (Microsoft
Disk Operating System) keskkonnas,
kuhu saab ligi pääseda käivitades cmd.exe. Graafilisel kujul
lahendused on operatsioonisüsteemis eraldi, enamjaolt need
käivitatakse automaatselt mõne võrgutõrke puhul (Windows
Troubleshoot jne), kuid pikk ootus jätab enamjaolt külma ja tühse
tulemuse, mis puhul ei tasu mõeldagi nende kasutusele.
Toon
välja põhilised toimingud, mida tasuks järgida, kui on
esinenud ühenduse viga välisvõrku:
Esiteks
tasub ikka ja alati vaadata üle füüsiline ühendus (kas
kaabel on
ühendatud), aga see selleks.
Järgmiseks
tasub MS-DOS keskkonda trükkida
ipconfig/all, millega
kuvatakse meile IP aadress, võrgulüüsi aadress ning alamvõrgu
mask .
Kui
need andmed ei ole paigas, peame pöörduma probleemi juurde, miks ei
ole saanud kohalik seade IP aadressi?
Kui
eelnevaga on kombes, proovime suhelda mõne
seadmega kohalikus
võrgus, selle jaoks on käsk
ping, mille järgi peame
sisestama sihtaadressi, kellele päringu teeme. Selleks võib olla
suvaline IP aadressi omav seade kohtvõrgus, ka võrgulüüs ise.
Side
loomine õnnestus
Nüüd
võiks kontrollida näiteks sisevõrgus töötava DNS olekut, selleks
kasutame jälle käsku
ping, kuid
seekord ei trüki me selle
järgi mitte sihtaadressi, vaid sihtaadressile määratud domeeni.
Sellega saame teada, kas antud domeen on ilusti tõlgitud IP
aadressiks.
Sise
DNS on korras
Vaatame
üle ka välisvõrgu DNS olukorra, selleks teeme sama protseduuri,
kuid pingime mõnda välisvõrku domeeni, näiteks ww.google.com, kui
ka sealt saame vastuse, on välisvõrgu DNS korras.
Järgmiseks
võime sisestada netstat –a, millega veendume, kes on antud seadme
taha ühendatud. Ehk on mõni
viirus või trooja meie ohjad oma kätte
haaranud!
Kõik
ühendused on kohalikud
Lõpetuseks
proovime käsku
tracert, mille järgi sisestame mõne IP
aadressi või domeeni. Selle käsuga näeme ära meie sihtkohta
saadetava paketi teekonda ning vahepealseid niinimetatud „hüppeid”.
Hüpped on vahepunktid, mida meie pakett läbib, enamjaolt siis
tavaliselt marsruuterid ja muus säärane, mis ühendab mitut võrku.
Selle järgi saame vaadatud, ega meie pakett mõnd kahtlast
vahepunkti ei läbi.
3.2
Vabavaralised lahendused
3.2.1
Network Stuff 3.0.9
Et
saada põhjalik ülevaade võrgus toimuvast, on tarvis mitmeid
lahendusi, kuid kuidagi on Network Stuff suutnud nad kõik koondada
ühte.
Network
Stuff on tugev põhiasjades, milleks on: kuvada IP aadressi (nii sise
kui välis); skännida võrku, et saada ülevaade ühendatud seadmete
kohta; avaldada MAC aadresse ning viia läbi graafilisi
ping
või
tracert käske sihtaadressitele.
3.2.2
DNS Jumper 1.0.5
Seadistades
oma DNS sätteid võid sa parandada oma võrgu turvalisust, ehk anda
isegi ligipääsu veebilehtedele mida sa muidu ei saanud külastada,
sealhulgas ka kiirendada veebilehitsemist. Windows ei ole teinud seda
tegevust lihtsaks, siin tulebki mängu DNS Jumper.
See
toode kaasab hulgi olemasolemaid DNS alternatiive, kui ei ole kindel
milline on parim, ei võta väga kaua neid kõiki läbi proovida. Kui
oled tulemusega rahul, saad sa valitud sätted rakendada kõigest
klikivajutusega. Tarkvara võimaldab ka olemaolevate sätete
varundamist, juhul, kui midagi untsu läheb.
3.3.3
CloseTheDoor 0.2.1
Kui
sa
tahad turvata võrku, pead sa teadma mis teenused mis ühendusi
kuulavad. CloseTheDoor ütleb sulle kõik mis tarvis: võrguliidesed,
pordid, protokollid, teenused, seotud Windowsi teenused ja paljud
muud.
Kogu
see informatsioon võib tunduda
esmalt liiane, kuid OpenTheDoor võib
aidata. Parema hiirevajutusega millegil on võimalik millegi kohta
infot koheselt ka veebist saada.
Ja
isegi kui leiadki mõne pahavara, siis CloseTheDoor aitab ka sulgeda
selle teenuse. Ole ettevaatlik, kogemata midagi muud sulgedes võib
seade lakata töötamast.
Kokkuvõte
Pideva
suhtlusega välisvõrku oled sa kogu oma seansi jooksul avatud ka
teistele,
iseasi kuidas kõikvõimalikku vältida ning ennetada.
Võrgu ülevaate saamine ja vastavalt vajadusele liikluse
konfigureerimine on võrgu haldamise lahutamatu osa. Võimalusi selle
teostamiseks on hulgi ning täidetud on ka nõutumaid kriteeriume
võrgu turvalisuse tagamiseks.
Kasutatud
materjal
20
Tasuta
Faili alla laadimine on tasuta
~ 21 lehte
Lehekülgede arv dokumendis
2014-06-18
Kuupäev, millal dokument üles laeti
20 laadimist
Kokku alla laetud
0 arvamust
Teiste kasutajate poolt lisatud kommentaarid
oliwex
Õppematerjali autor
annaabi.ee 
Kõik kommentaarid