© 2001-09-24 Jørgen Thomsen, jth@jth.net

ZyXEL ZyWALL 10 Internet Security Gateway

ZyXEL producerer en router med firewall funktionalitet ZyWALL10. Med en snart (d.d. 24-9-2001) frigivet firmware vil routeren også understøtte Virtual Private Network (VPN) som giver mulighed for at køre sit netværk via Internet som var det en dedikeret linje uden at data kan aflyttes.

Routeren kan ikke erstatte SpeedStream 5711 eller en lignende router i en Pro@access ADSL konfiguration, fordi den forventer Ethernet på forbindelsen til Internettet. Derimod kan den sættes op som en firewall mellem fx. Speedstream 5711 routeren og LANet.

Hardwaren

Størrelsen af routeren (16*23*3 cm) svarer stort set til Speedstream 5711 routeren, blot med et lidt mere firkantet design i sølvfarvet plastic. Der medfølger de nødvendige kabler. Routeren har en RJ-45 10/100 Mbps Ethernet port til LAN og en RJ-45 10 Mbps Ethernet port til WAN (Internet). Der er lamper for tændt/slukket, system, LAN 10/100 Mbps og WAN.

Softwaren

Der anvendes ZyXELs eget operativsystem ZyNOS, hvortil man kan downloade gratis opdateringer efterhånden som de bliver udgivet. Routeren har en browserbaseret konfigurationsmulighed til det mest almindelige konfigurationsbehov.

Hvis ikke browserkonfigurationen er tilstrækkelig, kan man med det medfølgende serielle konsolkabel konfigurere nogle flere ting. Der er indbygget en tekstmenubaseret konfigurationsmulighed i selve routeren.

hovedmenu

Hvis denne mulighed også er for snærende, så kan man komme ud i et kommandolinjeinterface, som det kendes fra Speedstream 5711 og Cisco routere. Herfra er samtlige muligheder i routeren tilgængelige.

ZyWALL 10 som firewall mellem Speedstream 5711 eller anden router og LAN
(endnu ikke udarbejdet, da virusbeskyttelsen havde højere prioritet. Skal indeholde kort karakteristik af firewall mulighederne samt konfiguration af opsætning)

Virusbeskyttelse vha. ZyWALL 10 filtre

Beskyttelse mod angreb ud fra indholdet i datapakker er ikke ZyWALL 10s store styrke. Det er muligt, men opsætningen kræver teknisk indsigt og omhu. Et filter kan teste på max. 8 tegn ad gangen i en pakke. Disse 8 tegn skal være fast placeret på et bestemt sted i pakken og skal opgives i hexadecimal notation. Dog kan man ved kombination af flere filtre forlænge de 8 tegn med 8 tegn ad gangen. Positionen beregnes ud fra placeringen i den helt rå pakke, der flyttes på LANet inklusive Ethernet headers og TCP/IP headers. Det gør det vanskeligt ud fra fx. en webservers log at angive de rigtige parametre.

Nedenfor har jeg ud fra empiriske forsøg fundet frem til parametre, som i min opstilling virker som en rimelig beskyttelse mod de to Internet vira: Code Red og Nimda. Det ser ud, som om datadelen i pakkerne starter med et offset på 54 bytes.

Code Red er karakteriseret ved at sende en http-transaktion "GET /default.ida.......".
Jeg har valgt at teste på, om der i en http-transaktion står 'fault.id' på det pågældende sted ud fra overbevisningen om, at det er meget få URLer, der ser ud som http://xxxxx/xxfault.ida

Nimda er karakteriseret tilsvarende, men desværre ved flere forskellige transaktioner

Nedenfor vil jeg vise, hvordan ZyWALL10 kan sættes op til at beskytte mod de to vira, hvorimod jeg ikke vil gå nærmere ind på, hvordan firewall funktionaliteten sættes op. Hvis der kommer flere alvorlige vira, vil jeg forsøge at holde denne side opdateret.

filtervalg

Filtersæt 3 indeholder tests imod virus. De to øvrige sæt er standardsæt til beskyttelse mod NETBIOS angreb.

filtersæt

Oversigt over filtre. Det første er mod Code Red. De øvrige mod Nimda.

filtre

Code Red filter, detaljer

filtre

Nimda, filter mod "GET /scripts...". Test på "/scripts".

filtre

Nimda, filter mod "GET /msadc/..." og "GET /MSADC/...". Test på "/MSADC/".

filtre

Nimda, filter mod "GET /c/winnt....." og "GET /d/winnt....". Test på "/./winnt".

filtre

Nimda, filter mod "GET /_vti_bin...." og "GET /_mem_bin...". Test på "_..._bin".

filtre

For at få filtrene bragt i anvendelse skal LAN interfacet konfigureres

hovedmenu

hovedmenu

Valid XHTML 1.0! Valid CSS! Dette er en FRAME-fri zone!