BSI-08-zapory sieciowe

Transkrypt

Bezpieczeństwo – zapory sieciowe
Zapory sieciowe
Materiały pomocnicze do wykładu
Bezpieczeństwo
systemów informatycznych
Zapory sieciowe
(firewalls)
Zbigniew Suski
BSI – zapory sieciowe
1
Podstawowe funkcje zapory
Podstawowe mechanizmy zapory
! Filtrowanie pakietów
! Blokowanie dostępu
(packet filtering)
! Monitorowanie komunikacji
! Translacja adresów
! Podsłuchiwanie i rejestrowanie
(network address translations)
! Tunelowanie (Virtual Private Network).
! Usługi proxy
! Uwierzytelnianie
Zbigniew Suski
(proxy serwers)
2
Tradycyjne konfiguracje zapory
Zbigniew Suski
3
Zapora sieciowa
Sieć zewnętrzna
Dławik
Sieć wewnętrzna
Sieć wewnętrzna
Host z dwoma portami
Zbigniew Suski
Opracował: Zbigniew Suski
Sieć zewnętrzna
Dławik
4
Zbigniew Suski
5
1
Zapora sieciowa
Sieć zewnętrzna
Sieć zewnętrzna
Dławik
Brama
Dławik zewnętrzny
Sieć wewnętrzna
Sieć obwodowa
Zapora sieciowa
Dławik wewnętrzny
Dwa dławiki
i jedna brama
Dławik i brama
Zbigniew Suski
6
Zbigniew Suski
7
9
Filtrowanie bezstanowe
! Filtrowanie adresów IP
Sieć zewnętrzna
DMZ
! Filtrowanie portów
FTP
" Telnet,
WWW
" NetBIOS Session
Zapora
sieciowa
Poczta
" POP
" NFS
" X Windows.
! Routing źródłowy
! Fragmentacja
Strefa zdemilitaryzowana
Zbigniew Suski
8
Filtrowanie z badaniem stanu
Usługi PROXY
Zapora
Klient
157.12.30.4
Do: 157.12.6.7:80
Powrót 157.12.30.4: 1321
Zbigniew Suski
Interfejs
wewnętrzny
Serwer WWW
157.12.6.7
Interfejs
zewnętrzny
Serwer
publiczny
Do tablicy:
157.12.30.4: 1321
otwarty dla 157.12.6.7
Do: 157.12.6.7:80
Powrót 157.12.30.4: 1321
Sprawdzenie:
Proxy
Klienci
Do: 157.12.30.4: 1321
żądanie strony
Czy 157.12.30.4: 1321
Do: 157.12.30.4: 1321
sprawdzenie URL
żądanie strony
OK
Sprawdzenie:
Czy 157.12.30.4: 1321
Odrzuć
Zbigniew Suski
przesłanie strony
filtrowanie
strony
przesłanie strony
Do: 157.12.30.4:1321
Powrót 157.12.34.1
10
Zbigniew Suski
11
2
Zalety PROXY
Wady PROXY
! Ukrywanie klienta przed światem zewnętrznym
! Pojedynczy punkt - wrażliwość na awarie
! Blokowanie niebezpiecznych URL
! Oprogramowanie klienckie musi
współpracować z proxy
! Filtrowanie niebezpiecznej zawartości
(wirusy, konie trojańskie)
! Każda usługa musi mieć proxy
! Badanie spójności przesyłanej informacji
! Proxy nie chroni systemu operacyjnego
! Eliminacja routingu między sieciami
! Małe bezpieczeństwo konfiguracji
domyślnych
! Zapewnienie pojedynczego punktu dostępu
! Zatory
(nadzorowanie i rejestracja zdarzeń)
Zbigniew Suski
12
Translacja adresów (NAT)
10.1.10.1
13
Translacja adresów (NAT)
192.11.10.1
!Translacja statyczna
Zapora
Klient
10.1.10.4
Zbigniew Suski
Do:157.12.6.7:80
Od:10.1.10.4: 1321
(static translation)
Serwer WWW
157.12.6.7
! Translacja dynamiczna
Do:157.12.6.7:80
Od:192.11.10.1:15678
Zapis przekształcenia
10.1.10.4: 1321
na
192.11.10.1:15678
dla
157.12.6.7:80
(dynamic translation)
! Translacja ze zrównoważonym obciążeniem
Do:192.11.10.1:15678
Od:157.12.6.7
(load balancing translation)
!Translacja ze zwielokrotnionymi połączeniami
Do:10.1.10.4: 1321
Od:157.12.6.7
(network redundancy translation)
Zbigniew Suski
14
Zbigniew Suski
15
Etapy budowy zapory sieciowej
!Planowanie konfiguracji
"Co chronić ?
"Jaka jest topologia ?
"Jakie są potrzeby w zakresie aplikacji i protokołów?
"Jakie są zależności służbowe ?
"Jaka powinna być konfiguracja zapory ?
"Kupić czy budować ?
!Zdefiniowanie reguł dostępu do zasobów sieciowych
!Znalezienie odpowiedniej zapory
!Instalacja i konfiguracja zapory
!Drobiazgowe testowanie zapory
Zbigniew Suski
16
3

BSI-08-zapory sieciowe

Transkrypt

Podobne dokumenty

Karta informacyjna - rozsuwana zapora

przyczepa przeciwpowodziowa

Zapora przednia typ 20-105

stoppy (pl 01).qxp - Pogotowie Parkingowe

Download: CoverIntro

Windows Vista i Windows 7 Czasami programy potrzebują

BSI Certificate - Sims Lifecycle Services

Zapory firewalls - Tomasz Greszata

BSI Certificate

BSI Certificate - ATON