Firewalls i VPN

Network Sigurnost i Virtual Private Networks

Cilj

Cilj ovog laba je da se posmatra uloga firewalla i Virtual Private Networks

(VPNs) u osiguranju sigurnosti preko javne mreze kao što je Internet.

Pregled

Računarske mreže su dijeljeni resurs koji koriste mnogobrojne aplikacije u

različite svrhe. Ponekada su podaci koji se prenose povjerljive prirode i
korisnici određenih aplikacija bi htjeli da ostali ne mogu pristupati i čitati te
podatke.
Firewall je specijalni uređaj koji se nalazi između privatne i javne mreže i ima
za cilj da filtrira saobraćaj koji prolazi kroz njegove interfejse. Firewall
omogučava administratoru da implementira sigurnosnu politiku firme u kojoj
radi. Filter bazirani firewall su najjednostavnija vrsta firewalla. Konfigurišu se
sa listom uslova od kojih zavisi da li ce paket biti prosljedjen ili odbačen.

VPN je primjer osiguranja konrolisane konektivnosti preko javne mreze kao

što je Interent. VPN koristi koncept poznat kao "IP Tuneliranje", - kreiranje
virtualnog linka između dva čvora u mreži. Virtualni link se uspostavlja
između dva routera koji predatavljaju ulaznu odnosno izlaznu tačku iz tunela.
Sadržaj koji će biti prosljeđen kroz tunel biva enkaspuliran u IP datagram.
Izvorisna i destinacijska adresa su "ulaz i izlaz" iz tunela,a kada se na drugom
kraju deenkapsulira koriste se informacije iz enkapsuliranog paketa.

U ovom labu postavljamo mrežu gdje se serverima pristupa preko Interneta od

strane korisnika sa različitim privilegijama. Posmatrat ćemo kako firewall i
VPN može osigurati sigurnost sa aspekta pristupa serveru.
 Postupak

Kreiramo New Project

1. Start OPNET IT Guru Academic Edition ⇒ Selektuj New iz File menija.

2. Selektuj Project klikni OK ⇒ Imenuj projekat<inicijali>_VPN, i scenario

NoFirewall ⇒ Klikni OK.

3. Klikni Quit u Startup Wizardu.

4. da uklonite pozadinu, Selektuj View menu ⇒ Background ⇒ Set Border Map ⇒

Selektuj NONE iz padajućeg menija ⇒ Klikni OK.

Kreirajmo i konfigurišimo mrežu

Inijalizacija mreže:

1. Otvori Object Palette dialog box klikom na . Provjerite da li je

internet_toolbox selektovano iz padajućeg menija object palette.

Voditi računa da se
2. Dodaj sljedeće objekte, sa palete, na radnu povrsinu prijekta (kao na slici):
greškom ne selektuje Application Config, Profile Config, ip32_cloud, ppp_server, tri
ethernet server. Kliknuti
ethernet4_slip8_gtwy routera i dvije ppp_wkstn.
verifikaciju linkova
nakon sto izvrite
spajanja. 3. Reimenujte objekte koje dodate i spojite ih korištenjem PPP DS1 linka.

PPP DS1 = 1.544

Mbps.

4. Snimite projekat.

2
 Konfiguracija
Cvorova:

1. Desni-klik na Applications node ⇒ Edit Attributes ⇒ Dodjeliti Default za

Application Definitions attribute ⇒ Klikni OK.
2. Desni - klik na Profiles node ⇒ Edit Attributes ⇒ Dodijeli Sample Profiles
Profile Configuration attributu ⇒ Klikni OK.
3. Desni - klik na Server node ⇒ Edit Attributes ⇒ Dodijeli All
Application: Supported Services attributu ⇒ Klikni OK.
4. Desni - klik na Sales A node ⇒ Selektuj Similar Nodes (pobrinitie se da su
Sales A i Sales B selektovani).
i. Desni - klik na Sales A node ⇒ Edit Attributes ⇒ Uključiti Apply
Changes to Selektujed Objects check-box.
ii. Proširite Application: Supported Profiles attribute ⇒ Setuj rows to 1 ⇒
Proširiti row 0 hijerarhiju ⇒ Profile Name = Sales Person.
iii. Klikni OK.

5. Snimite projekat.

Choose the Statistics

DQ Query Response
1. Desni - klik bilo gdje na radnu površinu i Selektuj Choose Individual
Time se mjeri od Statistics iz pop up menija.
trennutka kada
database aplikacija 2. U Choose Results dialogu, selektujte sljedeće statistike:
pošalje upit serveru
pa do vremena kada
i. Global Statistics ⇒ DB Query ⇒ Response Time (sec).
dodje odgovor. ii. Global Statistics ⇒ HTTP ⇒ Page Response Time (seconds).

3. Klikni OK.
HTTP Page Response
Vrijeme potrebno da
browser dobije web
4. Desni - klikna Sales A node i Selektuj Choose Individual Statistics u pop
sadrzaj sa web servera. up meniju.

5. U Choose Results dialog, selektujte sljedeće statistike:

i. Client DB ⇒ Traffic Received (bytes/sec).
ii. Client Http ⇒ Traffic Received (bytes/sec).

6. Klikni OK.

7. Desni - klikna Sales B node i Selektuj Choose Individual Statistics u pop

up meniju.

8. U Choose Results dialogu, provjerite sljedeće statistike:

i. Client DB ⇒ Traffic Received (bytes/sec).
ii. Client Http ⇒ Traffic Received (bytes/sec).
9. Klikni OK a zatim Snimite projekat.

3
 The Firewall Scenario

U mreži koji smo kreirali, Sales Person profil omogučava da obje prodavnice
pristupe serveru sa aplikacijama poput Database Access, Email, and Web Browsing.
Pretpostavimo da imamo potrebu da zaštitimo bazu na serveru od externog pristupa,
uključujući i Sales Person (oba PC a). Jedan od načina je da router C zamjenimo sa
firewallom na sljedeći način:

1. Selektuj Duplicate Scenario sa Scenarios menu i imenuj ga sa Firewall ⇒

Klikni OK.

2. U novom scenariju, Desni - klik na Router C ⇒ Edit Attributes.

3. Dodijeli ethernet2_slip8_firewall kao model attribute.

4. Proširi hijerarhijski Proxy Server Information attribut ⇒ Proširi row 1, koji je

za Database aplikaciju, ⇒ Dodijeli No za Proxy Server Deployed atribut kao
na slici:

Proxy Server
Information je
tabela koja definiše
konfiguraciju proxy
servera za firewall.
Svaki red ukazuje da li
proxy server
prosljeđuje ili ne
pojedine aplikacije i
moguće kašnjenje za
svaki paket na proxy
serveru.

5. Klikni OK a zatim Snimite projekat.

4
 Naša Firewall konfiguracija ne dozvoljava database-related saobraćaj da prođe
kroz firewall. Na ovaj način štitimo pristup database serveru sa vana. Firewall
scenario bi trebao da izgleda ovako:

The Firewall_VPN Scenario

U Firewall scenariju, zaštitili smo pristup bazi podataka na serveru sa bilo koje
lokacije van lokalne mreže. Pretpostavimo da želimo da dozvolimo korisniku Sales A
da ima pristup database serveru. S obzirom da firewall filtrira sav database-related
saobraćaj, bez obzira na izvorište tog zahtjeva, potrebno je rezmotriti VPN soluciju.
Virtualni tunnel može biti upotrebljen od strane Sales A da pošalje database zahtjeve
prema serveru. Firewall neće filtrirati saobraćaj kreiran od strane Sales A jer je IP
paket u tuneliranju enkapsuliran unutar IP datagrama.

1. Dok ste na Firewall scenariju, Selektuj Duplicate Scenario sa Scenarios

menu i imenuj ga kao Firewall_VPN ⇒ Klikni OK.

2. Ukloni link između Router C i Server.

3. Otvori Object Palette dialog box klikom na . Provjeriti da je otvorena paleta

. internet_toolbox.

i. Na radnu površinu dodati ethernet4_slip8_gtwy i jedan IP VPN Config

(kao na slici).
ii. Sa Object Palette, koritstiti dva PPP DS1 linka da spojite novi Router sa
Router C (the firewall) kao i Server, kao na slici.

iii. Zatvorite Object Palette dialog box.

4. Reimenuj IP VPN Config object u VPN.

5
 5. Reimenuj novi router u Router D kao na slici:

Konfiguracija VPN:

1. Desni - klik na VPN node ⇒ Edit Attributes.

i. Proširiti VPN Configuration hijerarhiju ⇒ Setuj rows na 1 ⇒ Proširiti row 0

hijerarhiju ⇒ Edituj vrijednost Tunnel Source Name i napišite Router A ⇒
Edituj vrijednost Tunnel Destination Name i napiši Router D.
ii. Proširiti Remote Client List hijerarhiju ⇒ Setuj rows to 1 ⇒ Proširiti row 0
hijerarhiju ⇒ Edituj vrijednost Client Node Name i napiši Sales A.
iii. Klikni OK a zatim Snimite projekat.

6
Pokrenite Simulaciju

Da bi u isto vrijeme pokrenuli simulaciju:

1. Selektujte Scenarios menu ⇒ Selektuj Manage Scenarios.

2. Promjenite vrijednosti rubrike Results na <collect> (ili <recollect>) za
ova tri scenarija. Zadržite defaultne vrijednosti Sim Duration (1 hour). Kao
na slici.

3. Klikni OK da pokrenete sve tri simulacije. U zavisnosti od brzine procesora

ovo može potrajati minut ili dvije.

4. Nakon što se sve tri simulacije izvrše, jedna za svaki scenario, klikni Close
⇒ Snimite projekat.

Analiza rezultata

Da bi vidjeli i analizirali rezultate:

1. Selektuj Compare Results sa Results menu.

2. Proširiti Sales A hijerarhiju ⇒ Proširiti Client DB hijerarhiju ⇒ Selektuj

Traffic Received statistike.
3. Promjenite drop-down meni u donjem dijelu Compare Results dijaloškog
okvira sa As Is na time_average kao na slici.

7
4. Klikni na Show i rezultirajući graf bi trebao da se pojavi kao zaseban
prozor.

5. Uradite isto samo za Sales B:

Zaključak

Rezultati pokazuju sljedeće

Sales A

I scenario: bazni scenarij u kojem se vidi da postoji database saobraćaj.

II scenario: nakon što smo aplicirali firewall, on filtrira bilo kakav database saobraćaj i
normalno je da nema database saobraćaja

III scenario: dokazuje nam da VPN tunel funkcioniše i da korisnik može pristupiti database
serveru što je vidljivo sa grafa.

Sales B

I scenario: bazni scenarij u kojem se vidi da postoji database saobraćaj.

II scenario: nakon što smo aplicirali firewall, on filtrira bilo kakav database saobraćaj i
normalno je da nema database saobraćaja

III scenario: postoji VPN tunel ali on samo omogučava Sales A da pristupa sereru, dok je to
jos uvijek nemoguće za Sales B. Na grafu se poklapaju grafovi II i III scenarija i predstavljeni
su jednom linijom.