Firewall: bezpieczeństwo obwodowe

Transkrypt

Bezpieczeństwo w Sieciach
Komputerowych
Wykład 6
Sieci komputerowe
Firewall:
bezpieczeństwo
obwodowe
(Firewall – zapora sieciowa)
Firewall:
Firewall:
Firewall:
Firewall:
Firewall:
bezpieczeństwo obwodowe
działanie (filtrowanie pakietów, NAT, Proxy)
rozwiązania
reguły filtrowania
firewall osobisty
XII 2005
Managing Cisco Network Security
23-04-2007
dr inŜ.Tomasz Łukaszewski
1/81
23-04-2007
2/81
Bezpieczeństwo obwodowe (graniczne) (perimeter security)
Zbyt trudno jest zabezpieczyć kaŜdy host osobno
Zabezpiecza się całe sieci: mur + brama
Elementy:
ִ
ִ
ִ
ִ
ִ
23-04-2007
3/81
rutery – pierwsza linia obrony
DMZ – strefa częściowo bezpieczna dla ogólnodostępnych serwerów
bastion hosty – zabezpieczone maszyny w strefie DMZ
proxy gateway – brama aplikacji
zapory – druga linia obrony
23-04-2007
4/81
Ruter obwodowy:
23-04-2007
5/81
chroni przed zewnętrznymi atakami na zaporę
przepuszcza do strefy DMZ jedynie poŜądany ruch
chroni przed podszywaniem się pod hosty z DMZ
dostarcza usługi NAT – chroni strukturę sieci wewnętrznej
23-04-2007
6/81
1
Strefa zdemilitaryzowana (DMZ)
W wielu sieciach istnieje potrzeba udostępnienia części usług
uŜytkownikom Internetu – serwery WWW, pocztowe itp.
Konieczne jest skonfigurowanie zabezpieczeń w ten sposób, aby do
tych usług był wpuszczany z Internetu ruch z nimi związany.
Rozwiązaniem wprowadzenie tzw. strefy zdemilitaryzowanej
(ang. DMZ - DeMilitarized Zone). W DMZ umieszcza się maszyny
świadczące usługi dla sieci o obniŜonym zaufaniu (Internet).
23-04-2007
7/81
23-04-2007
8/81
Bastion host
System komputerowy, wysoce zabezpieczony, wystawiony na ataki,
będący krytycznym komponentem sieci.
Funkcje:
ִ serwer FTP
ִ serwer WWW
ִ serwer DNS
ִ serwer Proxy
Instalacja systemu powinna przebiegać na maszynie nie
podłączonej do sieci. Na maszynie nie naleŜy instalować równolegle
innego systemu operacyjnego
23-04-2007
9/81
23-04-2007
10/81
Firewall (zapora ogniowa, zapora sieciowa, ściana ogniowa):
Zbiór komponentów umieszczonych między dwiema sieciami, taki Ŝe
ִ
ִ
ִ
ִ
cały ruch przechodzi przez zaporę
przepuszczany jest tylko ruch dozwolony
zapora jest odporna na penetrację
zapora czyni sieć wewnętrzną niewidoczną z zewnątrz
Lekarstwo na większość zagroŜeń pochodzących z Sieci –
(minimalizacja strat, brak 100% gwarancji bezpieczeństwa)
23-04-2007
11/81
23-04-2007
12/81
2
Firewall: mechanizmy
Firewall:
Mechanizmy
XII 2005
Firewalls ściany ogniowe, M. Strebe, C. Perkins, Mikom, 2000
23-04-2007
13/81
23-04-2007
14/81
Filtrowanie pakietów
Mechanizmy:
ִ filtrowanie pakietów (packet filtering)
ִ translacja adresów sieciowych (Network Address Translation)
ִ proxy warstwy aplikacji (application proxy)
Filtrowanie pakietów – na róŜnych warstwach:
ִ warstwa aplikacji (protokoły SMTP, FTP, HTTP)
ִ warstwa transportowa (protokoły TCP, SPX, UDP, ICMP)
ִ warstwa sieciowa (protokoły IP, IPX)
Sposób filtrowania - najczęściej w postaci reguł (warunek, akcja) i
strategie: domyślne przepuszczanie lub domyślne blokowanie
ִ szyfrowane uwierzytelnianie (encrypted authentication)
ִ szyfrowane tunelowanie (encrypted tunneling)
Dwa podstawowe typy filtrów:
ִ kaŜdy pakiet niezaleŜnie (stateless inspection)
ִ w kontekście istniejącego połączenia (stateful inspection) (circuitlevel filtering)
23-04-2007
15/81
23-04-2007
Filtrowanie pakietów – typ protokołu
typ protokołu
adres IP (źródłowy, docelowy)
port TCP/UDP (źródłowy, docelowy)
fragmentacja
informacja o wyborze trasy
23-04-2007
16/81
Mechanizm filtrowania – analiza nagłówka protokołu:
UDP,TCP, ICMP, IGMP
np. mając serwer usługi HTTP (wykorzystanie TCP), blokujemy UDP
() W praktyce trzeba dopuszczać wszystkie protokoły
17/81
23-04-2007
18/81
3
Filtrowanie pakietów – adres IP
Filtrowanie pakietów – porty TCP/UDP
ograniczenie połączeń z (do) określonych hostów i sieci
odmawianie dostępu określonym hostom nie ma sensu – naleŜy
podać adresy akceptowanych hostów/sieci i blokować pozostałe
Powszechnie nazywane filtrowaniem protokołów, poniewaŜ numery
portów TCP/UDP identyfikują protokoły wyŜszych warstw: Daytime,
Echo, Quote, FTP, Telnet, SMTP, DNS, HTTP, Gopher, POP, SNMP.
NNTP, NetBIOS, IMAP, NFS, Whois, RSH
() MoŜliwość podszycia się pod dopuszczalny adres IP:
Rozwiązanie – lista dozwolonych, reszta blokowana.
ִ atak DoS – nie jest konieczna informacja zwrotna
ִ FTP – adres zwrotny jest w nagłówku i w części danych
ִ „wybór trasy przez nadawcę” – intruz na trasie zwrotnej pakietu
23-04-2007
19/81
23-04-2007
20/81
Filtrowanie pakietów – fragmentacja
Filtrowanie pakietów – wybór trasy przez nadawcę
Porty TCP/UDP umieszczone są tylko w zerowym fragmencie -
Opcja wyboru trasy przez nadawcę (source routing) pierwotnie
stosowana do usuwania usterek i testowania:
ִ wybór swobodny (loose source routing): zbiór hostów, przez
które powinny przejść pakiety (niekoniecznie przez wszystkie)
ִ wybór rygorystyczny (strict source routing): dokładna trasa
dalsze fragmenty nie mogą być filtrowane w oparciu o porty – są
przepuszczane (przez wiele wczesnych firewali)
() Wiele błędnych wersji TCP/IP składa fragmenty od 1 do n i
przetwarza je – jeśli dane tworzą poprawny pakiet to jest on
akceptowany. Haker moŜe numerować od 1 i obejść filtrowanie.
() Podszywanie się pod przepuszczany IP i ustalenie trasy powrotu
przez host Hakera.
Rozwiązania problemu:
ִ Wzmocniony stos TCP/IP (SP3 dla Windows NT)
ִ Filtr pakietów z zapamiętaniem stanu
23-04-2007
Zaleca się odrzucanie pakietów z tą opcją
21/81
23-04-2007
Filtrowanie pakietów – zasady (podstawowe)
Filtrowanie pakietów – wady
Odrzucanie pakietów z zewnątrz:
Nie ukrywają adresów IP komputerów chronionych
Nie filtrują danych pod kątem poprawnego formatowania
ִ
ִ
ִ
ִ
ִ
komunikatów Ŝądania echa (ICMP echo request)
komunikatów zmiany trasy (ICMP redirect)
z wyborem trasy przez nadawcę (IP source routed)
Ŝądających zmian w protokołach RIP, OSPF ruterów wewnętrznych
fragmentów o numerach >0 gdy fragment 0 został odrzucony
23-04-2007
22/81
Nie przechowują informacji o utworzonym połączeniu. Problemy
występują z ruchem zwrotnym połączeń nawiązanych z
wnętrza sieci – zazwyczaj otwarte są porty powyŜej 1024 by
był dostęp do gniazda połączenia zwrotnego hosta nawiązującego
połączenie (dot. filtrowania bezstanowego)
23/81
23-04-2007
24/81
4
NAT
Filtrowanie pakietów z badaniem stanu (stateful inspection)
Translacja adresów sieciowych (NAT)
Tabela zainicjowanych połączeń z wnętrza sieci – adres IP i port
nasłuchującego wewnętrznego hosta.
Odpowiedzi z zewnątrz są przepuszczane – nie trzeba definiować
dodatkowych (i trudnych) reguł
Usunięcie wpisu – zamknięcie połączenia lub upływ czasu
Jest to standard umoŜliwiający komputerom w sieci
lokalnej uŜywanie jednej puli adresów IP do komunikacji w
ramach tej sieci, a innej puli adresów przy dostępie do sieci
zewnętrznych (RFC 1597).
Tablica translacji gniazda wewnętrznego na gniazdo zewnętrzne
Cel – odróŜnienie poprawnych zwrotnych pakietów od
niepoprawnych prób połączeń i włamań
23-04-2007
Ukrywa wewnętrzne hosty – stąd inna nazwa IP masquerading
25/81
23-04-2007
NAT
26/81
NAT
Translacja adresów sieciowych (NAT) – dynamiczna
Implementacja w warstwie transportowej – duŜa szybkość ale brak
analizy danych pakietu.
Translacja dynamiczna (maskowanie IP) chroni wewnętrzne hosty
– zewnętrzne komputery nie mają moŜliwości zaadresowania
wewnętrznego hosta.
Translacje:
ִ dynamiczna (dynamic) (maskowanie IP)
inna nazwa to Source NAT (SNAT)
ִ statyczna (static) (przekierowanie portów, port forwarding)
inna nazwa to Destination NAT (DNAT)
ִ zrównowaŜone obciąŜenie (load balancing)
ִ zwielokrotnione połączenia (network redundancy)
23-04-2007
Wewnętrzny host moŜe jednak zainicjować połączenie (koń
trojański, robak) i NAT nie ochroni sieci.
27/81
23-04-2007
NAT
28/81
NAT
KaŜdy protokół, który wymaga połączenia zwrotnego do klienta
nawiązującego połączenie, będzie pracował poprawnie tylko wtedy,
kiedy NAT jest tak zaprojektowany, Ŝe przewiduje wyjątek dla tego
protokołu – wprowadzi do tabeli translacji pozycję dotyczącą
publicznego hosta, który Ŝąda utworzenia kanału zwrotnego
Oprogramowanie szyfrujące nagłówek nie będzie działało
prawidłowo, poniewaŜ informacja TCP musi być dostępna dla NATa
Rozwiązaniem jest NAT będący punktem końcowym szyfrowania
Oprogramowanie, które umieszcza swój adres TCP/IP wewnątrz
części z danymi pakietu i korzysta z tej informacji, moŜe nie
współpracować z NATem
23-04-2007
29/81
23-04-2007
30/81
5
NAT
NAT
Translacja adresów sieciowych (NAT) – statyczna
Stosowana w przypadku serwera usług wewnątrz chronionej sieci
Nie chroni wewnętrznych hostów
NaleŜy zmniejszyć liczbę moŜliwych kierunków ataku i dodać
ochronę w postaci proxy.
23-04-2007
31/81
23-04-2007
NAT
NAT
Translacja adresów sieciowych (NAT) – inne
ZrównowaŜone obciąŜenie – rozłoŜenie obciąŜenia popularnego
adresu usługi na wiele serwerów (np. WWW).
Adresy sieci prywatnych (IANA)
ִ 10.0.0.0/8
(10.0.0.0 – 10.255.255.255)
ִ 172.16.0.0/12
(172.16.0.0-172.31.255.255)
ִ 192.168.0.0/16
(192.168.0.0-192.168.255.255)
Zwielokrotnione połączenie – np. przekierowanie w przypadku
awarii jednego z połączeń.
23-04-2007
33/81
23-04-2007
Proxy
Pierwotnie opracowany do przechowywania kopii często
przeglądanych stron WWW (dość statycznych w owym czasie).
Obecnie
ִ ukrywa prawdziwych uŜytkowników
ִ filtruje URL
ִ odrzuca podejrzaną lub nielegalną zawartość
ִ eliminuje potrzebę routingu
ִ pozwala na współdzielenie łącza
34/81
Proxy
Proxy warstwy aplikacyjnej (application proxy) – moduł proxy
Brama aplikacji (proxy gateway) – zbiór modułów proxy
Brama warstwy obwodowej (circuit-level gateway) – uniwersalne
proxy, bez funkcjonalności filtrowania poziomu aplikacji
23-04-2007
32/81
Proxy warstwy aplikacyjnej – ukrywanie uŜytkowników
Regeneruje Ŝądania klientów sieci prywatnej skierowane do usług
warstw wyŜszych sieci zewnętrznej – nie ma bezpośredniego
połączenia host-serwer ale 2 połączenia: host-proxy i proxy-serwer
Z punktu widzenia Internetu, sieć wewnętrzna wydaje się
pojedynczym komputerem wysyłającym Ŝądania do Internetu
Zapobiega, by hosty zewnętrzne łączyły się z usługami dostępnymi
na wewnętrznych komputerach
35/81
23-04-2007
36/81
6
Proxy
Proxy
Proxy warstwy aplikacyjnej – blokowanie URL
Pozwala blokować dostęp w oparciu o URL
() Blokowanie moŜna ominąć, adresując liczbowo lub w sposób
pełny.
Często stosuje się śledzenie odwiedzanych adresów URL jako
politykę bezpieczeństwa
23-04-2007
37/81
23-04-2007
Proxy
Proxy warstwy aplikacyjnej – eliminacja rutingu
PoniewaŜ Ŝądanie jest regenerowane, proxy nie musi wyznaczać
trasy dla pakietów warstwy transportowej.
Przeszukiwanie danych pod kątem podejrzanej zawartości
ִ kontrolki ActiveX
ִ aplety Javy
ִ grafika
ִ załączniki
38/81
Proxy
Proxy warstwy aplikacyjnej – filtrowanie zawartości (content
filtering, application-layer filtering)
23-04-2007
Eliminuje to naduŜycia:
ִ wybór trasy przez nadawcę
ִ fragmentacja
ִ ataki odmowy usługi
39/81
23-04-2007
Proxy
40/81
Proxy
Proxy warstwy aplikacyjnej – wady
Proxy warstwy aplikacyjnej – wady
Pojedynczy punkt, który moŜe ulec awarii (czyste proxy, bez
filtrowania są podatne na włamania)
() Istnieją protokoły, dla których nie ma dobrych usług proxy i
administrator musi udostępnić routing na serwerze proxy, co wpływa
negatywnie na bezpieczeństwo
Oprogramowanie klienckie musi współpracować z proxy
KaŜda usługa (protokół) musi mieć swoje proxy – zestaw serwerów
proxy to brama aplikacji (proxy gateway)
Proxy musi współdziałać z filtrowaniem pakietów, by uŜytkownicy
nie obchodzili proxy (najlepiej połączyć w jedną całość)
Istnieją uniwersalne usługi proxy TCP (generic TCP proxy) dla
dowolnego portu, które wprawdzie nie filtrują zawartości danych ale
powstrzymują przepływ pakietów między sieciami. Przykład – pakiet
SOCKS zwany bramą warstwy obwodowej (circuit-level gateway)
Proxy nie chroni systemu operacyjnego
23-04-2007
41/81
23-04-2007
42/81
7

Firewall: bezpieczeństwo obwodowe

Transkrypt

Podobne dokumenty

„Projekt i implementacja filtra pakietów dla urządzeń Pocket PC”