Firewall: bezpieczeństwo obwodowe
Transkrypt
Firewall: bezpieczeństwo obwodowe
Bezpieczeństwo w Sieciach Komputerowych Firewall: bezpieczeństwo obwodowe Wykład 6 Sieci komputerowe Firewall: bezpieczeństwo obwodowe (Firewall – zapora sieciowa) Firewall: Firewall: Firewall: Firewall: Firewall: bezpieczeństwo obwodowe działanie (filtrowanie pakietów, NAT, Proxy) rozwiązania reguły filtrowania firewall osobisty XII 2005 Managing Cisco Network Security 23-04-2007 dr inŜ.Tomasz Łukaszewski 1/81 23-04-2007 Firewall: bezpieczeństwo obwodowe dr inŜ.Tomasz Łukaszewski 2/81 Firewall: bezpieczeństwo obwodowe Bezpieczeństwo obwodowe (graniczne) (perimeter security) Zbyt trudno jest zabezpieczyć kaŜdy host osobno Zabezpiecza się całe sieci: mur + brama Elementy: ִ ִ ִ ִ ִ 23-04-2007 dr inŜ.Tomasz Łukaszewski 3/81 rutery – pierwsza linia obrony DMZ – strefa częściowo bezpieczna dla ogólnodostępnych serwerów bastion hosty – zabezpieczone maszyny w strefie DMZ proxy gateway – brama aplikacji zapory – druga linia obrony 23-04-2007 Firewall: bezpieczeństwo obwodowe dr inŜ.Tomasz Łukaszewski 4/81 Firewall: bezpieczeństwo obwodowe Ruter obwodowy: 23-04-2007 dr inŜ.Tomasz Łukaszewski 5/81 chroni przed zewnętrznymi atakami na zaporę przepuszcza do strefy DMZ jedynie poŜądany ruch chroni przed podszywaniem się pod hosty z DMZ dostarcza usługi NAT – chroni strukturę sieci wewnętrznej 23-04-2007 dr inŜ.Tomasz Łukaszewski 6/81 1 Firewall: bezpieczeństwo obwodowe Firewall: bezpieczeństwo obwodowe Strefa zdemilitaryzowana (DMZ) W wielu sieciach istnieje potrzeba udostępnienia części usług uŜytkownikom Internetu – serwery WWW, pocztowe itp. Konieczne jest skonfigurowanie zabezpieczeń w ten sposób, aby do tych usług był wpuszczany z Internetu ruch z nimi związany. Rozwiązaniem wprowadzenie tzw. strefy zdemilitaryzowanej (ang. DMZ - DeMilitarized Zone). W DMZ umieszcza się maszyny świadczące usługi dla sieci o obniŜonym zaufaniu (Internet). 23-04-2007 dr inŜ.Tomasz Łukaszewski 7/81 23-04-2007 Firewall: bezpieczeństwo obwodowe dr inŜ.Tomasz Łukaszewski 8/81 Firewall: bezpieczeństwo obwodowe Bastion host System komputerowy, wysoce zabezpieczony, wystawiony na ataki, będący krytycznym komponentem sieci. Funkcje: ִ serwer FTP ִ serwer WWW ִ serwer DNS ִ serwer Proxy Instalacja systemu powinna przebiegać na maszynie nie podłączonej do sieci. Na maszynie nie naleŜy instalować równolegle innego systemu operacyjnego 23-04-2007 dr inŜ.Tomasz Łukaszewski 9/81 23-04-2007 Firewall: bezpieczeństwo obwodowe dr inŜ.Tomasz Łukaszewski 10/81 Firewall: bezpieczeństwo obwodowe Firewall (zapora ogniowa, zapora sieciowa, ściana ogniowa): Zbiór komponentów umieszczonych między dwiema sieciami, taki Ŝe ִ ִ ִ ִ cały ruch przechodzi przez zaporę przepuszczany jest tylko ruch dozwolony zapora jest odporna na penetrację zapora czyni sieć wewnętrzną niewidoczną z zewnątrz Lekarstwo na większość zagroŜeń pochodzących z Sieci – (minimalizacja strat, brak 100% gwarancji bezpieczeństwa) 23-04-2007 dr inŜ.Tomasz Łukaszewski 11/81 23-04-2007 dr inŜ.Tomasz Łukaszewski 12/81 2 Firewall: bezpieczeństwo obwodowe Firewall: mechanizmy Firewall: Mechanizmy XII 2005 Firewalls ściany ogniowe, M. Strebe, C. Perkins, Mikom, 2000 23-04-2007 dr inŜ.Tomasz Łukaszewski 13/81 23-04-2007 Firewall: mechanizmy dr inŜ.Tomasz Łukaszewski 14/81 Firewall: mechanizmy Filtrowanie pakietów Mechanizmy: ִ filtrowanie pakietów (packet filtering) ִ translacja adresów sieciowych (Network Address Translation) ִ proxy warstwy aplikacji (application proxy) Filtrowanie pakietów – na róŜnych warstwach: ִ warstwa aplikacji (protokoły SMTP, FTP, HTTP) ִ warstwa transportowa (protokoły TCP, SPX, UDP, ICMP) ִ warstwa sieciowa (protokoły IP, IPX) Sposób filtrowania - najczęściej w postaci reguł (warunek, akcja) i strategie: domyślne przepuszczanie lub domyślne blokowanie ִ szyfrowane uwierzytelnianie (encrypted authentication) ִ szyfrowane tunelowanie (encrypted tunneling) Dwa podstawowe typy filtrów: ִ kaŜdy pakiet niezaleŜnie (stateless inspection) ִ w kontekście istniejącego połączenia (stateful inspection) (circuitlevel filtering) 23-04-2007 dr inŜ.Tomasz Łukaszewski 15/81 23-04-2007 Firewall: mechanizmy Filtrowanie pakietów Filtrowanie pakietów – typ protokołu typ protokołu adres IP (źródłowy, docelowy) port TCP/UDP (źródłowy, docelowy) fragmentacja informacja o wyborze trasy 23-04-2007 dr inŜ.Tomasz Łukaszewski 16/81 Firewall: mechanizmy Filtrowanie pakietów Mechanizm filtrowania – analiza nagłówka protokołu: dr inŜ.Tomasz Łukaszewski UDP,TCP, ICMP, IGMP np. mając serwer usługi HTTP (wykorzystanie TCP), blokujemy UDP () W praktyce trzeba dopuszczać wszystkie protokoły 17/81 23-04-2007 dr inŜ.Tomasz Łukaszewski 18/81 3 Firewall: mechanizmy Filtrowanie pakietów Firewall: mechanizmy Filtrowanie pakietów Filtrowanie pakietów – adres IP Filtrowanie pakietów – porty TCP/UDP ograniczenie połączeń z (do) określonych hostów i sieci odmawianie dostępu określonym hostom nie ma sensu – naleŜy podać adresy akceptowanych hostów/sieci i blokować pozostałe Powszechnie nazywane filtrowaniem protokołów, poniewaŜ numery portów TCP/UDP identyfikują protokoły wyŜszych warstw: Daytime, Echo, Quote, FTP, Telnet, SMTP, DNS, HTTP, Gopher, POP, SNMP. NNTP, NetBIOS, IMAP, NFS, Whois, RSH () MoŜliwość podszycia się pod dopuszczalny adres IP: Rozwiązanie – lista dozwolonych, reszta blokowana. ִ atak DoS – nie jest konieczna informacja zwrotna ִ FTP – adres zwrotny jest w nagłówku i w części danych ִ „wybór trasy przez nadawcę” – intruz na trasie zwrotnej pakietu 23-04-2007 dr inŜ.Tomasz Łukaszewski 19/81 23-04-2007 Firewall: mechanizmy Filtrowanie pakietów dr inŜ.Tomasz Łukaszewski 20/81 Firewall: mechanizmy Filtrowanie pakietów Filtrowanie pakietów – fragmentacja Filtrowanie pakietów – wybór trasy przez nadawcę Porty TCP/UDP umieszczone są tylko w zerowym fragmencie - Opcja wyboru trasy przez nadawcę (source routing) pierwotnie stosowana do usuwania usterek i testowania: ִ wybór swobodny (loose source routing): zbiór hostów, przez które powinny przejść pakiety (niekoniecznie przez wszystkie) ִ wybór rygorystyczny (strict source routing): dokładna trasa dalsze fragmenty nie mogą być filtrowane w oparciu o porty – są przepuszczane (przez wiele wczesnych firewali) () Wiele błędnych wersji TCP/IP składa fragmenty od 1 do n i przetwarza je – jeśli dane tworzą poprawny pakiet to jest on akceptowany. Haker moŜe numerować od 1 i obejść filtrowanie. () Podszywanie się pod przepuszczany IP i ustalenie trasy powrotu przez host Hakera. Rozwiązania problemu: ִ Wzmocniony stos TCP/IP (SP3 dla Windows NT) ִ Filtr pakietów z zapamiętaniem stanu 23-04-2007 dr inŜ.Tomasz Łukaszewski Zaleca się odrzucanie pakietów z tą opcją 21/81 23-04-2007 Firewall: mechanizmy Filtrowanie pakietów dr inŜ.Tomasz Łukaszewski Firewall: mechanizmy Filtrowanie pakietów Filtrowanie pakietów – zasady (podstawowe) Filtrowanie pakietów – wady Odrzucanie pakietów z zewnątrz: Nie ukrywają adresów IP komputerów chronionych Nie filtrują danych pod kątem poprawnego formatowania ִ ִ ִ ִ ִ komunikatów Ŝądania echa (ICMP echo request) komunikatów zmiany trasy (ICMP redirect) z wyborem trasy przez nadawcę (IP source routed) Ŝądających zmian w protokołach RIP, OSPF ruterów wewnętrznych fragmentów o numerach >0 gdy fragment 0 został odrzucony 23-04-2007 dr inŜ.Tomasz Łukaszewski 22/81 Nie przechowują informacji o utworzonym połączeniu. Problemy występują z ruchem zwrotnym połączeń nawiązanych z wnętrza sieci – zazwyczaj otwarte są porty powyŜej 1024 by był dostęp do gniazda połączenia zwrotnego hosta nawiązującego połączenie (dot. filtrowania bezstanowego) 23/81 23-04-2007 dr inŜ.Tomasz Łukaszewski 24/81 4 Firewall: mechanizmy Filtrowanie pakietów Firewall: mechanizmy NAT Filtrowanie pakietów z badaniem stanu (stateful inspection) Translacja adresów sieciowych (NAT) Tabela zainicjowanych połączeń z wnętrza sieci – adres IP i port nasłuchującego wewnętrznego hosta. Odpowiedzi z zewnątrz są przepuszczane – nie trzeba definiować dodatkowych (i trudnych) reguł Usunięcie wpisu – zamknięcie połączenia lub upływ czasu Jest to standard umoŜliwiający komputerom w sieci lokalnej uŜywanie jednej puli adresów IP do komunikacji w ramach tej sieci, a innej puli adresów przy dostępie do sieci zewnętrznych (RFC 1597). Tablica translacji gniazda wewnętrznego na gniazdo zewnętrzne Cel – odróŜnienie poprawnych zwrotnych pakietów od niepoprawnych prób połączeń i włamań 23-04-2007 dr inŜ.Tomasz Łukaszewski Ukrywa wewnętrzne hosty – stąd inna nazwa IP masquerading 25/81 23-04-2007 Firewall: mechanizmy NAT dr inŜ.Tomasz Łukaszewski 26/81 Firewall: mechanizmy NAT Translacja adresów sieciowych (NAT) Translacja adresów sieciowych (NAT) – dynamiczna Implementacja w warstwie transportowej – duŜa szybkość ale brak analizy danych pakietu. Translacja dynamiczna (maskowanie IP) chroni wewnętrzne hosty – zewnętrzne komputery nie mają moŜliwości zaadresowania wewnętrznego hosta. Translacje: ִ dynamiczna (dynamic) (maskowanie IP) inna nazwa to Source NAT (SNAT) ִ statyczna (static) (przekierowanie portów, port forwarding) inna nazwa to Destination NAT (DNAT) ִ zrównowaŜone obciąŜenie (load balancing) ִ zwielokrotnione połączenia (network redundancy) 23-04-2007 dr inŜ.Tomasz Łukaszewski Wewnętrzny host moŜe jednak zainicjować połączenie (koń trojański, robak) i NAT nie ochroni sieci. 27/81 23-04-2007 Firewall: mechanizmy NAT dr inŜ.Tomasz Łukaszewski 28/81 Firewall: mechanizmy NAT Translacja adresów sieciowych (NAT) – dynamiczna Translacja adresów sieciowych (NAT) – dynamiczna KaŜdy protokół, który wymaga połączenia zwrotnego do klienta nawiązującego połączenie, będzie pracował poprawnie tylko wtedy, kiedy NAT jest tak zaprojektowany, Ŝe przewiduje wyjątek dla tego protokołu – wprowadzi do tabeli translacji pozycję dotyczącą publicznego hosta, który Ŝąda utworzenia kanału zwrotnego Oprogramowanie szyfrujące nagłówek nie będzie działało prawidłowo, poniewaŜ informacja TCP musi być dostępna dla NATa Rozwiązaniem jest NAT będący punktem końcowym szyfrowania Oprogramowanie, które umieszcza swój adres TCP/IP wewnątrz części z danymi pakietu i korzysta z tej informacji, moŜe nie współpracować z NATem 23-04-2007 dr inŜ.Tomasz Łukaszewski 29/81 23-04-2007 dr inŜ.Tomasz Łukaszewski 30/81 5 Firewall: mechanizmy NAT Firewall: mechanizmy NAT Translacja adresów sieciowych (NAT) – statyczna Stosowana w przypadku serwera usług wewnątrz chronionej sieci Nie chroni wewnętrznych hostów NaleŜy zmniejszyć liczbę moŜliwych kierunków ataku i dodać ochronę w postaci proxy. 23-04-2007 dr inŜ.Tomasz Łukaszewski 31/81 23-04-2007 Firewall: mechanizmy NAT dr inŜ.Tomasz Łukaszewski Firewall: mechanizmy NAT Translacja adresów sieciowych (NAT) – inne Translacja adresów sieciowych (NAT) ZrównowaŜone obciąŜenie – rozłoŜenie obciąŜenia popularnego adresu usługi na wiele serwerów (np. WWW). Adresy sieci prywatnych (IANA) ִ 10.0.0.0/8 (10.0.0.0 – 10.255.255.255) ִ 172.16.0.0/12 (172.16.0.0-172.31.255.255) ִ 192.168.0.0/16 (192.168.0.0-192.168.255.255) Zwielokrotnione połączenie – np. przekierowanie w przypadku awarii jednego z połączeń. 23-04-2007 dr inŜ.Tomasz Łukaszewski 33/81 23-04-2007 Firewall: mechanizmy Proxy Pierwotnie opracowany do przechowywania kopii często przeglądanych stron WWW (dość statycznych w owym czasie). Obecnie ִ ukrywa prawdziwych uŜytkowników ִ filtruje URL ִ odrzuca podejrzaną lub nielegalną zawartość ִ eliminuje potrzebę routingu ִ pozwala na współdzielenie łącza dr inŜ.Tomasz Łukaszewski dr inŜ.Tomasz Łukaszewski 34/81 Firewall: mechanizmy Proxy Proxy warstwy aplikacyjnej (application proxy) – moduł proxy Brama aplikacji (proxy gateway) – zbiór modułów proxy Brama warstwy obwodowej (circuit-level gateway) – uniwersalne proxy, bez funkcjonalności filtrowania poziomu aplikacji 23-04-2007 32/81 Proxy warstwy aplikacyjnej – ukrywanie uŜytkowników Regeneruje Ŝądania klientów sieci prywatnej skierowane do usług warstw wyŜszych sieci zewnętrznej – nie ma bezpośredniego połączenia host-serwer ale 2 połączenia: host-proxy i proxy-serwer Z punktu widzenia Internetu, sieć wewnętrzna wydaje się pojedynczym komputerem wysyłającym Ŝądania do Internetu Zapobiega, by hosty zewnętrzne łączyły się z usługami dostępnymi na wewnętrznych komputerach 35/81 23-04-2007 dr inŜ.Tomasz Łukaszewski 36/81 6 Firewall: mechanizmy Proxy Firewall: mechanizmy Proxy Proxy warstwy aplikacyjnej – blokowanie URL Pozwala blokować dostęp w oparciu o URL () Blokowanie moŜna ominąć, adresując liczbowo lub w sposób pełny. Często stosuje się śledzenie odwiedzanych adresów URL jako politykę bezpieczeństwa 23-04-2007 dr inŜ.Tomasz Łukaszewski 37/81 23-04-2007 Firewall: mechanizmy Proxy Proxy warstwy aplikacyjnej – eliminacja rutingu PoniewaŜ Ŝądanie jest regenerowane, proxy nie musi wyznaczać trasy dla pakietów warstwy transportowej. Przeszukiwanie danych pod kątem podejrzanej zawartości ִ kontrolki ActiveX ִ aplety Javy ִ grafika ִ załączniki dr inŜ.Tomasz Łukaszewski 38/81 Firewall: mechanizmy Proxy Proxy warstwy aplikacyjnej – filtrowanie zawartości (content filtering, application-layer filtering) 23-04-2007 dr inŜ.Tomasz Łukaszewski Eliminuje to naduŜycia: ִ wybór trasy przez nadawcę ִ fragmentacja ִ ataki odmowy usługi 39/81 23-04-2007 Firewall: mechanizmy Proxy dr inŜ.Tomasz Łukaszewski 40/81 Firewall: mechanizmy Proxy Proxy warstwy aplikacyjnej – wady Proxy warstwy aplikacyjnej – wady Pojedynczy punkt, który moŜe ulec awarii (czyste proxy, bez filtrowania są podatne na włamania) () Istnieją protokoły, dla których nie ma dobrych usług proxy i administrator musi udostępnić routing na serwerze proxy, co wpływa negatywnie na bezpieczeństwo Oprogramowanie klienckie musi współpracować z proxy KaŜda usługa (protokół) musi mieć swoje proxy – zestaw serwerów proxy to brama aplikacji (proxy gateway) Proxy musi współdziałać z filtrowaniem pakietów, by uŜytkownicy nie obchodzili proxy (najlepiej połączyć w jedną całość) Istnieją uniwersalne usługi proxy TCP (generic TCP proxy) dla dowolnego portu, które wprawdzie nie filtrują zawartości danych ale powstrzymują przepływ pakietów między sieciami. Przykład – pakiet SOCKS zwany bramą warstwy obwodowej (circuit-level gateway) Proxy nie chroni systemu operacyjnego 23-04-2007 dr inŜ.Tomasz Łukaszewski 41/81 23-04-2007 dr inŜ.Tomasz Łukaszewski 42/81 7