Zapory sieciowe i techniki filtowania
Transkrypt
Zapory sieciowe i techniki filtowania
Bezpieczeństwo systemów komputerowych. Temat seminarium: Zapory sieciowe i techniki filtrowania Autor: Bartosz Biegański Zapory sieciowe i techniki filtrowania. Seminarium 2004 – 5.04.2004 PP, SKiSR 1 Zapory sieciowe i techniki filtrowania Plan prezentacji ● ● ● ● ● Wprowadzenie Cele zastosowania zapór sieciowych Podstawowe mechanizmy działania zapór sieciowych Architektura zapor sieciowych Podsumowanie Seminarium 2004 – PP, SKiSR 2 Zapory sieciowe i techniki filtrowania Wprowadzenie Zaporą sieciowa (ang. firewall) nazywamy każdy program, układ lub sprzęt ograniczający korzystanie z sieci. [2] Seminarium 2004 – PP, SKiSR 3 Zapory sieciowe i techniki filtrowania Cele stosowania zapór sieciowych ● ● zapewnienie "bezpiecznego" dostępu do Internetu użytkownikom sieci prywatnej zapewnienie ochrony zasobów sieci prywatnej przed atakami z zewnątrz ● blokowanie (całkowite lub częściowe) dostępu do określonych miejsc w Internecie Seminarium 2004 – PP, SKiSR 4 Zapory sieciowe i techniki filtrowania Cele stosowania zapór sieciowych ● monitorowanie komunikacji pomiędzy siecią prywatną a Internetem ● rejestrowanie całości lub określonej części ruchu międzysieciowego ● ukrywanie zasobów i topologii sieci Seminarium 2004 – PP, SKiSR 5 Zapory sieciowe i techniki filtrowania Strategie definiowania polityki zapory ● domyślne powstrzymywanie ● domyślne przepuszczanie Seminarium 2004 – PP, SKiSR 6 Zapory sieciowe i techniki filtrowania Podstawowe mechanizmy działania zapór sieciowych[4] ● filtrowanie pakietów ● translacja adresów ● usługi proxy Seminarium 2004 – PP, SKiSR 7 Zapory sieciowe i techniki filtrowania Filtrowanie pakietów Filtrowanie pakietów jest podstawową technologią stosowaną w zaporach sieciowych. Zabezpieczenie polega na kontrolowaniu tego co może wpłynąć i wypłynąć z wewnętrznej, chronionej podsieci Seminarium 2004 – PP, SKiSR 8 Zapory sieciowe i techniki filtrowania Filtrowanie pakietów ● analiza adresu źródłowego i docelowego ● analiza numerów portów ● analiza znaczników ● brak sprawdzania kontekstu Seminarium 2004 – PP, SKiSR 9 Zapory sieciowe i techniki filtrowania Poziomy filtrowania pakietów ● warstwa dostępu do sieci ( żródłowe i docelowe adresy MAC) ● warstwa internetowa (adresy ● warstwa transportowa ( ● warstwa aplikacji( IP) porty, znaczniki) protokoły takie jak FTP, HTTP, Telnet ) Seminarium 2004 – PP, SKiSR 10 Zapory sieciowe i techniki filtrowania Proste i zaawansowane filtrowanie pakietów ● proste – analiza adresu źródłowego i docelowego oraz numerów portów ● zaawansowane – możliwość przechowywania stanu tzn. filtry dynamiczne. Możliwość przepuszczania tylko pakietów które są odpowiedziami na nawiązane połączenie z wewnątrz sieci Seminarium 2004 – PP, SKiSR 11 Zapory sieciowe i techniki filtrowania Konfiguracja filtra pakietów ● określenie tego co jest dozwolone a co zabronione – sprecyzowanie polityki bezpieczeństwa ● formalne określenie dozwolonych pakietów w postaci wyrażeń logicznych ● przetłumaczenie wyrażeń na składnie wykorzystywana prze dostawce zapory sieciowej Seminarium 2004 – PP, SKiSR 12 Zapory sieciowe i techniki filtrowania Zalety filtrowania pakietów ● centralne zabezpieczenie sieci ● możliwość wykrycia i odrzucenia nielegalnych pakietów ● możliwość wykrycia podszywania się pod komputery z wewnątrz sieci Seminarium 2004 – PP, SKiSR 13 Zapory sieciowe i techniki filtrowania Wady filtrowania pakietów ● trudna konfiguracja i testowanie reguł ( szczególnie kiedy jest ich bardzo dużo) ● dodatkowe obciążenie rutera ● występowanie błędów Seminarium 2004 – PP, SKiSR 14 Zapory sieciowe i techniki filtrowania Translacja adresów Translacja adresów sieciowych (ang. Network Address Translation - NAT) pozwala na używanie innych adresów sieciowych wewnątrz oraz na zewnątrz sieci. Seminarium 2004 – PP, SKiSR 15 Zapory sieciowe i techniki filtrowania Translacja adresów Seminarium 2004 – PP, SKiSR 16 Zapory sieciowe i techniki filtrowania Sposoby tłumaczenia adresów ● statyczna – do każdego adresu wew. jest na stałe przydzielony adres zew. ● dynamiczna – adresy zew. są przydzielane dynamicznie do adresów wew. ● dynamiczna translacja adresów i portów – poza adresami również porty są przydzielane dynamicznie Seminarium 2004 – PP, SKiSR 17 Zapory sieciowe i techniki filtrowania Problemy translacji adresów ● przy protokole bezpołączeniowym nie można stwierdzić na podstawie nagłówka czy dany pakiet jest częścią konwersacji czy oddzielnym zdarzeniem ● w przypadku niektórych protokołów NAT musi na tyle rozumieć protokół aby znaleźć i zmienić ukryte adresy IP ● NAT nie zawsze dobrze współpracuje z systemami szyfrowania i uwierzytelniania np. IPsec gdzie nagłówek również może być szyfrowany Seminarium 2004 – PP, SKiSR 18 Zapory sieciowe i techniki filtrowania Usługi pośredniczenia Systemy pośredniczące to systemy, które mają rzeczywisty dostęp do sieci zewnętrznej i działają jako pośrednicy dla komputerów, które go nie mają. Systemy takie nazywane są też serwerami proxy Seminarium 2004 – PP, SKiSR 19 Zapory sieciowe i techniki filtrowania Cechy serwerów proxy ● bezpośredni dostęp do sieci zewnętrznej ● bezpośrednio narażone na atak ● potrzebuje tylko jednego ważnego adresu IP ● możliwość inteligentnego filtrowania Seminarium 2004 – PP, SKiSR 20 Zapory sieciowe i techniki filtrowania Podział serwerów proxy ● działające na poziomie aplikacji i obwodu ● uniwersalne i specjalizowane ● buforujące dane ● inteligentne ( rejestracja zdarzeń, kontrola dostępu) Seminarium 2004 – PP, SKiSR 21 Zapory sieciowe i techniki filtrowania Architektura zapór sieciowych ● Ruter osłaniający ● Host dwusieciowy ● Ekranowany host ● Ekranowana podsieć Seminarium 2004 – PP, SKiSR 22 Zapory sieciowe i techniki filtrowania Ruter osłaniający Tanim rozwiązaniem jest zastosowanie samego filtra pakietów. Funkcję tą może spełniać ruter ekranujący (ang. screening router). Zaletą jest wysoka wydajność. Nie jest to jednak rozwiązanie zbyt elastyczne, ponieważ do dyspozycji mamy tylko filtrowanie pakietów. Rutery osłaniające mogą być więc stosowane w sieciach, gdzie wykorzystywane protokoły są proste i ich liczba jest ograniczona. Ważne jest również dobre zabezpieczenie komputerów znajdujących się w sieci wewnętrznej Seminarium 2004 – PP, SKiSR 23 Zapory sieciowe i techniki filtrowania Ruter osłaniający Seminarium 2004 – PP, SKiSR 24 Zapory sieciowe i techniki filtrowania Host dwusieciowy Zastosowanie hosta dwusieciowego (ang. dual-homed host) powoduje, że bezpośrednia komunikacja, pomiędzy Internetem a chronioną siecią, jest zablokowana. Komunikacja odbywa się wyłącznie pośrednio poprzez host dwusieciowy. Udostępnia on usługi pośredniczenia lub też przedstawia się jako ruter i realizuje przeźroczyste pośredniczenie. Pamiętać należy, że usługi pośredniczenia lepiej współpracują z usługami wychodzącymi, kiedy użytkownicy sieci wewnętrznej korzystają z zasobów sieci zewnętrznej. Z tego powodu architektura taka nie nadaje się do udostępniania usług w Internecie. Host dwusieciowy stanowi pojedyncze miejsce ochrony i dlatego musi być dobrze zabezpieczony. Rozwiązanie takie nie jest jednak zbyt wydajne i dlatego polecane jest w sytuacjach, kiedy ruch do Internetu jest niewielki Seminarium 2004 – PP, SKiSR 25 Zapory sieciowe i techniki filtrowania Host dwusieciowy Seminarium 2004 – PP, SKiSR 26 Zapory sieciowe i techniki filtrowania Ekranowany host Hosty bastionowe są bardzo ważnymi i często stosowanymi elementami firewalli. Są to wyjątkowo dobrze zabezpieczone systemy komputerowe, które widoczne są w Internecie. Z tego względu to właśnie one są celem ataków i to dlatego na nich powinny skupić się działania defensywne. Seminarium 2004 – PP, SKiSR 27 Zapory sieciowe i techniki filtrowania Ekranowany host W architekturze ekranowanego hosta (ang. screened host) host bastionowy znajduje się w sieci wewnętrznej. Jest to komputer specjalnie zabezpieczony i może on udostępniać wybrane usługi w Internecie. Konfiguracja rutera ekranującego decyduje natomiast o sposobie łączenie się z Internetem użytkowników sieci wewnętrznej. W zależności od polityki bezpieczeństwa może to być pośredniczenie realizowane w hoście bastionowym lub też filtrowanie pakietów w ruterze ekranującym. Komputery chronionej sieci powinny być dobrze zabezpieczone Seminarium 2004 – PP, SKiSR 28 Zapory sieciowe i techniki filtrowania Ekranowany host Seminarium 2004 – PP, SKiSR 29 Zapory sieciowe i techniki filtrowania Ekranowana podsieć W architekturze tego typu korzysta się z dodatkowych elementów, które pozwalają osiągnąć wyższy poziom bezpieczeństwa. W ekranowanej podsieci (ang. screened subnet) pojawia się sieć peryferyjna (ang. perimeter network), ruter wewnętrzny (ang. interior router) i zewnętrzny (ang. exterior router). Ruter wewnętrzny bywa nazywany dławiącym (ang. choke router), a zewnętrzny dostępowym (ang. access router). Sieć peryferyjna stanowi dodatkową warstwę bezpieczeństwa. W momencie włamania do hosta bastionowego napastnik uzyskuje dostęp tylko do sieci peryferyjnej. Dane przesyłane w sieci wewnętrznej są bezpieczne. Ruter dostępowy chroni sieć peryferyjną i wewnętrzną. W praktyce głównym jego zadaniem jest dodatkowa ochrona komputerów znajdujących się w sieci peryferyjnej. Ruter dławiący z kolei zabezpiecza sieć wewnętrzną zgodnie z obowiązującą polityką bezpieczeństwa. Architektura ekranowanej podsieci jest na tyle elastyczna, że sprawdza się w większości zastosowań. Seminarium 2004 – PP, SKiSR 30 Zapory sieciowe i techniki filtrowania Ekranowana podsieć Seminarium 2004 – PP, SKiSR 31 Zapory sieciowe i techniki filtrowania Bibliografia 1. Bezpieczeństwo w Unixie i Internecie. - O'Reilly. Garfinkel S. Spafford G. RM. 1997 2. Firewalle i bezpieczeństwo w sieci. Vademecum profesjonalisty - William R. Chestwick, Steven M. Bellovin, Aviel D. Rubin 2003 3.Internet Firewalls - Tworzenie zapór sieciowych - Zwicky E.D., Cooper S., Brent Chapman D., , Wydawnictwo RM, Warszawa (2001). 4. Firewalls ściany ogniowe - Strebe M. Perkins C. , Mikom Warszawa 2000 5. Zasoby WWW Seminarium 2004 – PP, SKiSR 32 Zapory sieciowe i techniki filtrowania KONIEC Seminarium 2004 – PP, SKiSR 33