02.03.26. -%- PRD 21 - Ugunsmūris

Tēma: Ugunsmūru konfigurēšana un tīkla drošības pārbaude

Darba mērķis: Praktiski apgūt programmatūras ugunsmūra konfigurēšanu (noteikumu izveidi, portu bloķēšanu), iepazīties ar maršrutētāja iebūvētā ugunsmūra iespējām un veikt pamata drošības testēšanu.

Nepieciešamais aprīkojums:

1. Dators ar Windows 10/11 operētājsistēmu (vai virtuālā mašīna).

2. Piekļuve bezvadu maršrutētājam (fiziskam maršrutētājam laboratorijā vai maršrutētāja interfeisa emulatoram, piem., TP-Link Emulator: https://emulator.tp-link.com/).

3. Interneta pieslēgums.

4. Programmatūra: Windows Defender Firewall with Advanced Security, Command Prompt (CMD) / PowerShell.

Scenārijs: Jūs esat jaunais sistēmu administrators uzņēmumā. Jūsu pirmais uzdevums ir nodrošināt darbinieku datoru drošību ar programmatūras ugunsmūri un sagatavot pamata drošības konfigurāciju uzņēmuma bezvadu maršrutētājam, lai novērstu nesankcionētu piekļuvi.

________________________________________

Darba gaita un uzdevumi

1. daļa: Programmatūras ugunsmūris (Windows Defender Firewall)

Mērķis: Izveidot konkrētus ienākošos (Inbound) un izejošos (Outbound) noteikumus, lai kontrolētu datu plūsmu datorā.

1.1. Esošās situācijas pārbaude (Ping tests)

1. Atveriet Command Prompt (cmd).

2. Noskaidrojiet sava datora IP adresi (ipconfig). Pierakstiet to.

3. Palūdziet blakussēdētājam (vai izmantojiet otro virtuālo mašīnu) "nopingot" jūsu datoru: ping [jūsu_IP_adrese]. Pārliecinieties, ka ping atbildes tiek saņemtas.

1.2. Ienākošā noteikuma (Inbound Rule) izveide (Ping bloķēšana)

1. Atveriet Windows Defender Firewall with Advanced Security (varat to atrast iekš Start meklēšanas).

2. Sadaļā Inbound Rules izveidojiet jaunu noteikumu (New Rule...).

3. Izvēlieties tipu: Custom -> Next.

4. Program: All programs -> Next.

5. Protocol type: ICMPv4 -> Next (šis protokols atbild par ping komandām).

6. Scope: Any IP address (atstājiet abus pēc noklusējuma) -> Next.

7. Action: Block the connection -> Next.

8. Profile: Atstājiet atzīmētus visus trīs (Domain, Private, Public) -> Next.

9. Name: Nosauciet to kā Bloket_Ping_Ienakoso. Finish.

10. Pārbaude: Vēlreiz lūdziet blakussēdētājam nopingot jūsu datoru. Šoreiz jārādās Request timed out.

11. Uzņemiet ekrānuzņēmumu (Ekrānuzņēmums 1), kur redzams aktīvais noteikums sarakstā un (vai) ping kļūdas paziņojums.

1.3. Izejošā noteikuma (Outbound Rule) izveide (Kādas programmas bloķēšana)

1. Mērķis: Aizliegt konkrētai programmai (piemēram, tīmekļa pārlūkam Microsoft Edge vai Google Chrome) piekļūt internetam.

2. Sadaļā Outbound Rules izveidojiet jaunu noteikumu (New Rule...).

3. Izvēlieties tipu: Program -> Next.

4. This program path: Norādiet ceļu uz pārlūkprogrammas izpildāmo failu (piemēram, %ProgramFiles(x86)%\Microsoft\Edge\Application\msedge.exe). -> Next.

5. Action: Block the connection -> Next.

6. Profile: Atzīmējiet visus trīs -> Next.

7. Name: Nosauciet kā Bloket_Edge_Internetu. Finish.

8. Pārbaude: Atveriet šo pārlūkprogrammu un mēģiniet atvērt www.google.com. Pārlūkam vajadzētu parādīt paziņojumu, ka interneta savienojums ir bloķēts.

9. Uzņemiet ekrānuzņēmumu (Ekrānuzņēmums 2), kur redzams bloķētais pārlūks.

10. Svarīgi: Pēc pārbaudes atslēdziet (Disable Rule) šo noteikumu, lai varētu turpināt darbu.

________________________________________

2. daļa: Maršrutētājs un bezvadu maršrutētājs (Aparatūras/Tīkla ugunsmūris)

Mērķis: Iepazīties ar maršrutētāja drošības iestatījumiem un izprast portu pāradresāciju (Port Forwarding), kas apiet NAT ugunsmūri.

(Ja laboratorijā nav fizisku maršrutētāju, izmantojiet TP-Link emulatoru internetā: https://emulator.tp-link.com/, izvēlieties kādu no jaunākajiem "Wireless Routers" (piem., Archer C7).)

2.1. Piekļuve maršrutētājam un ugunsmūra (SPI Firewall) pārbaude

1. Atveriet pārlūkprogrammā maršrutētāja IP adresi (parasti 192.168.1.1 vai 192.168.0.1, vai atveriet emulatoru).

2. Autorizējieties (noklusējuma paroles parasti ir admin/admin).

3. Atrodiet sadaļu Security vai Firewall.

4. Pārliecinieties, ka funkcija SPI Firewall (Stateful Packet Inspection) ir ieslēgta (Enabled). SPI seko līdzi datu pakešu stāvoklim un automātiski bloķē nelegitīmu ienākošo trafiku, ko nepieprasīja iekšējais tīkls.

5. Uzņemiet ekrānuzņēmumu (Ekrānuzņēmums 3), kur redzams ieslēgts SPI Firewall.

2.2. Portu pāradresācija (Virtual Servers / Port Forwarding)

Situācija: Jums iekšējā tīklā uz datora (IP: 192.168.1.100) darbojas Web serveris (ports 80). NAT dēļ no ārpuses tam klāt netiek, tāpēc ugunsmūrī jāizveido "caurums" - Port Forwarding.

1. Maršrutētāja interfeisā atrodiet sadaļu NAT Forwarding vai Forwarding -> Virtual Servers.

2. Izveidojiet jaunu ierakstu (Add New):

• External Port: 80

• Internal IP: 192.168.1.100 (vai jūsu datora IP)

• Internal Port: 80

• Protocol: TCP

• Status: Enabled

3. Saglabājiet iestatījumu.

4. Uzņemiet ekrānuzņēmumu (Ekrānuzņēmums 4), kur redzams izveidotais pāradresācijas noteikums.

2.3. Bezvadu (Wi-Fi) drošības konfigurācija

1. Atrodiet sadaļu Wireless -> Wireless Security.

2. Pārliecinieties, ka tīklam ir iestatīta vismaz WPA2-PSK (vai WPA3) šifrēšana (nekad neizmantot WEP vai brīvu piekļuvi).

3. Atrodiet sadaļu WPS (bieži pie Wireless vai Advanced). Drošības nolūkos WPS bieži tiek rekomendēts atslēgt (Disable), jo tas var būt ievainojams pret bruteforce uzbrukumiem.

________________________________________

3. daļa: Ārējā tīkla drošības pārbaude (Portu skenēšana)

Mērķis: Pārbaudīt, kā ugunsmūris izskatās no interneta skatpunkta.

1. Datorā, kuram ir izeja uz internetu, atveriet vietni Gibson Research Corporation (GRC): https://www.grc.com/shieldsup

2. Izvēlieties Proceed, piekrītiet noteikumiem.

3. Noklikšķiniet uz pogas Common Ports (šis rīks mēģinās pieslēgties jūsu IP adresei no interneta, pārbaudot tipiskākos portus - FTP, SSH, Telnet, HTTP, uc.).

4. Sagaidiet rezultātu. Jūsu maršrutētāja/Windows ugunsmūrim visus portus vajadzētu uzrādīt kā Stealth (zaļi - porti klusē, it kā dators neeksistētu) vai Closed (zili - porti atbild, ka ir slēgti). Ja porti ir Open (sarkani), tā ir potenciāla drošības problēma.

5. Uzņemiet ekrānuzņēmumu (Ekrānuzņēmums 5) ar skenēšanas rezultātu tabulu.

________________________________________

Atskaites prasības izglītojamajam

Sagatavojiet un nododiet atskaiti PDF formātā (PD_UgunsMuri_Vards_Uzvards.pdf), kurā secīgi ietverti:

1. Darba īss apraksts: (1-2 teikumi par darba mērķi).

2. Ekrānuzņēmums 1 ar komentāru: Windows Defender Firewall – Ienākošais noteikums ping bloķēšanai un/vai rezultāts.

3. Ekrānuzņēmums 2 ar komentāru: Windows Defender Firewall – Izejošais noteikums, kas bloķē pārlūkprogrammu.

4. Ekrānuzņēmums 3 ar komentāru: Maršrutētāja interfeiss – ieslēgts SPI Firewall.

5. Ekrānuzņēmums 4 ar komentāru: Maršrutētāja interfeiss – izveidots Port Forwarding ieraksts (ports 80).

6. Ekrānuzņēmums 5 ar komentāru: ShieldsUP! portu skenēšanas rezultāts.

7. Jautājumi un secinājumi: Atbildiet uz šādiem jautājumiem:

• Jautājums 1: Kāda ir atšķirība starp Windows Defender Firewall (programmatūras ugunsmūri) un maršrutētājā iebūvēto ugunsmūri? Kurš aizsargā pret kuriem draudiem?

• Jautājums 2: Kāpēc izveidojot Port Forwarding (80. portam) mēs faktiski vājinām ugunsmūra drošību? Kādās situācijās tas ir neizbēgami?

• Jautājums 3: Ko portu skenēšanā nozīmē statusi Closed (slēgts) un Stealth (neredzams/maskēts), un kurš no tiem ir drošāks pret uzbrucējiem?

________________________________________

Vērtēšanas kritēriji (Kopā 10 punkti)

Kārtas nr. Vērtēšanas kritērijs Punkti

1. Sekmīgi izveidots un testēts ienākošais noteikums (ICMP/Ping) Windows ugunsmūrī (Ekrānuzņēmums 1). 2

2. Sekmīgi izveidots un testēts izejošais noteikums (programmas bloķēšana) (Ekrānuzņēmums 2). 2

3. Atrasti un fiksēti maršrutētāja SPI Firewall iestatījumi (Ekrānuzņēmums 3). 1

4. Pareizi konfigurēta portu pāradresācija (Virtual Server / Port Forwarding) (Ekrānuzņēmums 4). 2

5. Veikta ārējā portu skenēšana ar rīku (Ekrānuzņēmums 5). 1

6. Sniegtas pamatotas un korektas atbildes uz visiem trīs noslēguma jautājumiem. 2