BSI-08-zapory sieciowe
Transkrypt
BSI-08-zapory sieciowe
Bezpieczeństwo – zapory sieciowe Zapory sieciowe Materiały pomocnicze do wykładu Bezpieczeństwo systemów informatycznych Zapory sieciowe (firewalls) Zbigniew Suski BSI – zapory sieciowe 1 Podstawowe funkcje zapory Podstawowe mechanizmy zapory ! Filtrowanie pakietów ! Blokowanie dostępu (packet filtering) ! Monitorowanie komunikacji ! Translacja adresów ! Podsłuchiwanie i rejestrowanie (network address translations) ! Tunelowanie (Virtual Private Network). ! Usługi proxy ! Uwierzytelnianie Zbigniew Suski (proxy serwers) BSI – zapory sieciowe 2 Tradycyjne konfiguracje zapory BSI – zapory sieciowe Zbigniew Suski 3 Tradycyjne konfiguracje zapory Zapora sieciowa Sieć zewnętrzna Dławik Sieć wewnętrzna Sieć wewnętrzna Host z dwoma portami Zbigniew Suski Opracował: Zbigniew Suski BSI – zapory sieciowe Sieć zewnętrzna Dławik 4 Zbigniew Suski BSI – zapory sieciowe 5 1 Bezpieczeństwo – zapory sieciowe Tradycyjne konfiguracje zapory Tradycyjne konfiguracje zapory Zapora sieciowa Sieć zewnętrzna Sieć zewnętrzna Dławik Brama Dławik zewnętrzny Sieć wewnętrzna Sieć obwodowa Zapora sieciowa Dławik wewnętrzny Dwa dławiki i jedna brama Dławik i brama BSI – zapory sieciowe Zbigniew Suski 6 Tradycyjne konfiguracje zapory Zbigniew Suski 7 BSI – zapory sieciowe 9 Filtrowanie bezstanowe ! Filtrowanie adresów IP Sieć zewnętrzna DMZ BSI – zapory sieciowe ! Filtrowanie portów FTP " Telnet, WWW " NetBIOS Session Zapora sieciowa Poczta " POP " NFS " X Windows. ! Routing źródłowy ! Fragmentacja Strefa zdemilitaryzowana BSI – zapory sieciowe Zbigniew Suski 8 Filtrowanie z badaniem stanu Usługi PROXY Zapora Klient 157.12.30.4 Do: 157.12.6.7:80 Powrót 157.12.30.4: 1321 Zbigniew Suski Interfejs wewnętrzny Serwer WWW 157.12.6.7 Interfejs zewnętrzny Serwer publiczny Do tablicy: 157.12.30.4: 1321 otwarty dla 157.12.6.7 Do: 157.12.6.7:80 Powrót 157.12.30.4: 1321 Sprawdzenie: Proxy Klienci Do: 157.12.30.4: 1321 żądanie strony Czy 157.12.30.4: 1321 otwarty dla 157.12.6.7 Do: 157.12.30.4: 1321 sprawdzenie URL żądanie strony OK Sprawdzenie: Czy 157.12.30.4: 1321 otwarty dla 157.12.4.1 Odrzuć Zbigniew Suski Opracował: Zbigniew Suski przesłanie strony filtrowanie strony przesłanie strony Do: 157.12.30.4:1321 Powrót 157.12.34.1 BSI – zapory sieciowe 10 Zbigniew Suski BSI – zapory sieciowe 11 2 Bezpieczeństwo – zapory sieciowe Zalety PROXY Wady PROXY ! Ukrywanie klienta przed światem zewnętrznym ! Pojedynczy punkt - wrażliwość na awarie ! Blokowanie niebezpiecznych URL ! Oprogramowanie klienckie musi współpracować z proxy ! Filtrowanie niebezpiecznej zawartości (wirusy, konie trojańskie) ! Każda usługa musi mieć proxy ! Badanie spójności przesyłanej informacji ! Proxy nie chroni systemu operacyjnego ! Eliminacja routingu między sieciami ! Małe bezpieczeństwo konfiguracji domyślnych ! Zapewnienie pojedynczego punktu dostępu ! Zatory (nadzorowanie i rejestracja zdarzeń) BSI – zapory sieciowe Zbigniew Suski 12 Translacja adresów (NAT) 10.1.10.1 BSI – zapory sieciowe 13 Translacja adresów (NAT) 192.11.10.1 !Translacja statyczna Zapora Klient 10.1.10.4 Zbigniew Suski Do:157.12.6.7:80 Od:10.1.10.4: 1321 (static translation) Serwer WWW 157.12.6.7 ! Translacja dynamiczna Do:157.12.6.7:80 Od:192.11.10.1:15678 Zapis przekształcenia 10.1.10.4: 1321 na 192.11.10.1:15678 dla 157.12.6.7:80 (dynamic translation) ! Translacja ze zrównoważonym obciążeniem Do:192.11.10.1:15678 Od:157.12.6.7 (load balancing translation) !Translacja ze zwielokrotnionymi połączeniami Do:10.1.10.4: 1321 Od:157.12.6.7 (network redundancy translation) Zbigniew Suski BSI – zapory sieciowe 14 Zbigniew Suski BSI – zapory sieciowe 15 Etapy budowy zapory sieciowej !Planowanie konfiguracji "Co chronić ? "Jaka jest topologia ? "Jakie są potrzeby w zakresie aplikacji i protokołów? "Jakie są zależności służbowe ? "Jaka powinna być konfiguracja zapory ? "Kupić czy budować ? !Zdefiniowanie reguł dostępu do zasobów sieciowych !Znalezienie odpowiedniej zapory !Instalacja i konfiguracja zapory !Drobiazgowe testowanie zapory Zbigniew Suski Opracował: Zbigniew Suski BSI – zapory sieciowe 16 3