НАЦІОНАЛЬНИЙ АВІАЦІЙНИЙ УНІВЕРСИТЕТ

Факультет кібербезпеки, комп’ютерної та програмної інженерії

кафедра Комп’ютеризованих систем захисту інформації

ЗВІТ

З ЛАБОРАТОРНОЇ РОБОТИ № 3
З ДИСЦИПЛІНИ « Технології створення та
застосування систем захисту кіберпростору»

Роботу виконав студент:

Кузьменко Є.Р.

група БІ-142м

захищено з оцінкою   _____

Викладач: Мартинюк І.В.

______________________
(підпис)

“__”______ 2022 р.

КИЇВ 2022
 Мета роботи: набути практичних навичок щодо інсталювання,
конфігурування та супроводження брандмауерів (фаєрволів), а також умінь
щодо розробки ефективної політики міжмережевої взаємодії в ОС Windows та
Ubuntu (на базі ядра Linux 2.6).

Короткі теоретичні відомості

Особливості застосування міжмережевих екранів

Брандмауер Windows - вбудований в ОС Windows міжмережевий екран,

що з'явився у версії Windows ХР Sp2. Головною його відмінністю від
попередника (яким був Internet Connection Firewall) є контроль доступу програм
у мережу. Брандмауер Windows є складовою частиною Центру забезпечення
безпеки Windows і є вбудованим у наступних версіях - Windows Vista та
Windows 7. За допомогою брандмауера можна запобігти проникненню на
комп'ютер хакерів або зловмисних програм (наприклад, мережевих хробаків)
через мережу або Інтернет (рис. 1). Крім того, брандмауер запобігатиме
надсиланню зловмисних програм із вашого комп'ютера па інші.

Рис.1 - Схематичне зображення роботи мережевого екрану

Для того щоб задовольнити вимогам широкого кола користувачів, існує

три типи фаєрволів: мережного рівня, прикладного рівня і рівня з'єднань. Кожен
з цих трьох типів використовує свій, відмінний від інших, підхід до захисту
мережі:

● фаєрвол мережного рівня представлений екрануючим

маршрутизатором. Він контролює лише дані мережевого і транспортного рівнів
службової інформації пакетів. Мінусом таких маршрутизаторів є те, що інші
п'ять рівнів залишаються неконтрольованими. Нарешті, адміністратори, які
працюють з екрануючими маршрутизаторами, повинні пам'ятати, що у
більшості приладів, які здійснюють фільтрацію пакетів, відсутні механізми
аудиту та подачі сигналу тривоги, іншими словами, маршрутизатори можуть
піддаватися атакам і відбивати велику їх кількість, а адміністратори навіть не
будуть проінформовані.
● фаєрвол прикладного рівня, також відомий як проксі-сервер (proxy
server, сервер-посередник). Фаєрволи прикладного рівня встановлюють певний
фізичний поділ між локальною мережею та Internet, тому вони мають
відповідати найвищим вимогам безпеки. Проте, оскільки програма повинна
аналізувати пакети і приймати рішення щодо контролю доступу до них,
фаєрволи прикладного рівня неминуче зменшують продуктивність мережі, тому
в якості сервера-посередника необхідно використовувати більш швидкі
комп'ютери;
● фаєрвол рівня з'єднань схожий на фаєрвол прикладного рівня тим, що
обидва є серверами-посередниками. Відмінність полягає у тому, що фаєрволи
прикладного рівня вимагають спеціального програмного забезпечення для
кожної мережевої служби (на зразок FTP або HTTP). Натомість, фаєрволи рівня
з'єднання обслуговують велику кількість протоколів.
Для розв’язання різноманітних задач в ОС Ubuntu є можливість
встановлювати додаткові програми за рахунок пакетів, які завантажуються з
репозиторіїв (Repository) в Іитериет. Для того, щоб завантажити та встановити
необхідний пакет, необхідно виконати команду apt-get install
 Синтаксис команди:

apt-getinstall [... назвапакету...]

Для виконання даної команди необхідні права адміністратора, тому її

потрібно використовувати з параметром sudo. Також, під час встановлення
інколи є необхідною участь користувача, який підтвердить встановлення чи
здійснить вибір каталогу для встановлення. Приклад команди:

sudo apt-get install dkms

Хід роботи

2.1. Налаштування фаєрвола та політики безпеки в ОС Ubuntu

Для виконання лабораторної роботи необхідні - фаєрвол ірtables та

FігеWall Builder:

● пакети фаєрволу - iptables ssh

● пакети FireWallBuilder - fwbuilderrcsfwbuilder-doc (документація).
 При відсутності їх в системі, встановіть їх. Після завершення
встановлення FireWall Builder перезавантажте систему. Приклад:

1) Створіть папку StudentName для роботи в домашньому каталозі

Ubuntu (де StudentName - ваше ім’я ). Запустіть FireWall Builder (Приложения -
Интернет - FireWall Builder, рис. 1.5).
 2) Створіть новий проект (Проект - «Создать новый», рис. 1.6)

3) Виберіть бібліотеку User, та натисніть кнопку «Создать объект»

ліворуч від назви бібліотеки. Тип об’єкту - міжмережевий екран (рис. 1.7).

Назвіть об’єкт - StudentNameAndAge, виберіть тип екрану - ірtables, та ОС

– Linuх. Також виберіть використання шаблонів (рис. 1.8).

4) Ознайомитесь з усіма запропонованими шаблонами (рис. 1.9) та

виберіть найбільш доцільний для вашої мережі.
 Після вибору шаблону, натисніть кнопку «Готово». Перед вами буде вікно
вашого проекту, де можливо в подальшому редагувати права.

4) Готовий міжмережевий екран необхідно скомпілювати та

встановити. Спочатку необхідно скомпілювати (треба натиснути кнопку
«Компілювати правила»,рис. 1.10).
 Перед встановленням необхідно налаштувати фаєрвол - у його
налаштуваннях на вкладці «Установщик» необхідно вказати папку для файлів
проекту, що має вигляд «Робоча папка проекту/tmp» (папку /tmp необхідно
створити заздалегіть).

В опціях установки необхідно вказати логін і пароль, адресу хоста, на

якому знаходиться фаєрвол, та деякі опції за бажанням (рис. 1.11).
 Про вдалу установку політик вас буде проінформовано. Для перевірки
успішності виконаної операції у терміналі хоста, на якому встановлений
фаєрвол, необхідно виконати команду sudo iptables -L

2.2. Випробування стійкості міжмережевих екранів у ОС Windows

1) Використовуючи наведені теоретичні відомості, налаштуйте систему

(Windows) засобами вбудованого брандмауера від проникнення і протестуйте за
допомогою утиліти AWFT 3.1 та сканера Networkmonitor vl.0. Проаналізуйте
отримані результати з точки зору захищеності та зробіть відповідні висновки.
 2) Установіть фаєрволи Agnitum Outpost Firewall Pro v 2.7.493.416, Tiny
Personal I ire wall Pro 6.0, Sygate Personal Firewall Pro 5.5 та налаштуйте їх з
метою максимальної протидії мережевим атакам. Дослідіть можливості
запропонованих міжмережевих екранів та зробіть висновки щодо доцільності їх
використання в різного класу автоматизованих системах (1, 2, 3).
 Варіанти завдань для виконання лабораторної роботи:

Варіант 1. Створити правило для доступу локальної мережі до Інтернет

через будь-який протокол. За можливості - створити правило для доступу в
Інтернет лише за допомогою протоколу HTTP (TCP Service, порт - 80);
 Варіант 2. Створити правило для блокування IP адрес з:

● Канади (код 124);

● Аргентини (код 032);
● Албанії (код 008);
● Ефіопії (код 231).
Необхідно створити текстовий файл, в якому будуть міститися коди країн
з нового рядка. Створити у фаєрволі об’єкт «Таблица адресов», в настройках
якого вказати шлях до файлу з кодами країн. Створити правило, що забороняє
доступ до даних IP;
 First of all, we will create a set that will contain the countries whose IP
addresses we want to ban.
 You can check the creation with ipset list which should return you:

Now we add the IP addresses of the countries we want with the following
script. This script will get the list of all the IP addresses of the countries we want.

Create a ban-ip-countries.sh file in /root/ipset and give it the execution rights:

nano /root/ipset/ban-ip-countries.sh
 Press CTRL + X to exit the editor and save the file.

Now we just have to execute the script:

Now that we have the list of IPs to ban, we just need to link them to the firewall
iptables. Create a file /root/iptables.sh :
 Edit the file with nano /root/iptables.sh and add the following content:

Варіант 3. Заборона певних пакетів. Створити новий сервіс (IP Service) та

заборонити в обох напрямках пакети, які являють собою фрагменти (відмітити
галочками 2 пункти в налаштуваннях нового сервісу). Створити правило для
заборони пакетів-фрагментів.
 Висновок

Під час виконання лабораторної роботи було набуто практичні навички

щодо інсталювання, конфігурування та супроводження брандмауерів
(фаєрволів), а також умінь щодо розробки ефективної політики міжмережевої
взаємодії в ОС Windows та Ubuntu.
 Контрольні запитання

1. Що таке брандмауер і з яких компонентів складається?

В мережевій безпеці фаєрвол — це система на основі програмного

або апаратного забезпечення, яка є своєрідним посередником між

безпечними

та неперевіреними мережами, а також їх частинами. Головна функція

брандмауера — фільтрація шкідливого та потенційно небезпечного контенту та
з’єднань.

Основними компонентами брандмауера є:

● політика мережного доступу

● механізми посиленої аутентифікації
● фільтрація пакетів
● прикладні шлюзи
2. Які існують три типи фаєрволів?
Існує три типи фаєрволів: мережного рівня, прикладного рівня і рівня
з'єднання. Кожен з цих трьох типів використовує свій, відмінний від інших
підхід до захисту мережі.

3. Що таке політика міжмережевої взаємодії?

Є два види політики мережного доступу, які впливають на проектування,
встановлення та використання системи брандмауера. Політика верхнього рівня
є проблемною концептуальною політикою, яка визначає, доступ до яких
сервісів буде дозволено або явно заборонено з мережі, що захищається, як ці
сервіси будуть використовуватися, і за яких умов буде робитися виняток і
політика не буде дотримуватися. Політика нижнього рівня визначає, як
брандмауер повинен насправді обмежувати доступ та фільтрувати послуги, які
вказані у політиці верхнього рівня. Наступні розділи стисло описують ці
політики.

4. Яке необхідне додаткове програмне забезпечення для налаштування

фаєрволу в ОС Ubuntu?
Для розв’язання різноманітних задач в ОС Ubuntu є можливість
встановлювати додаткові програми за рахунок пакетів, які завантажуються з
репозиторіїв (Repository) в Іитериет. Для того, щоб завантажити та встановити
необхідний пакет, необхідно виконати команду apt-get install

Синтаксис команди:

apt-getinstall [... назвапакету...]

Для виконання даної команди необхідні права адміністратора, тому її

потрібно використовувати з параметром sudo. Також, під час встановлення
інколи є необхідною участь користувача, який підтвердить встановлення чи
здійснить вибір каталогу для встановлення. Приклад команди:

sudo apt-get install dkms

5. Які основні відмінності у налаштуванні роботи фаєрволів у ОС

Windows та Ubuntu?
В Ubuntu дуже зручна і гнучка можливість встановлення та налаштування
фаєрволу в терміналі. Але у обох ОС Windows та Ubuntu можливо використати
програмн засоби.