Systemy Firewall. Grzegorz Blinowski. "CC" - Open Computer Systems. Grzegorz.Blinowski@cc.com.pl

Transkrypt

1 Systemy Firewall Grzegorz Blinowski "CC" - Open Computer Systems Grzegorz.Blinowski@cc.com.pl

2 Plan wykładu Zastosowanie systemów Firewall w Intranecie Rodzaje systemów Firewall Główne koncepcje stosowania Filtry pakietowe Proxy Przegląd rynku

3 Korzyści z połączenia Intranetu z Internetem Wykorzystanie tych samych narzędzi w dostępie do danych Swobodna wymiana informacji (od 'u do video-konferencji) Szybki i tani dostęp do danych na całym świecie (serwisy informacyjne, finansowe) Dostęp do danych konkurencji Ekstranet - połączenie Intranetów firm

4 Ekstranet - połączenie Intranetów firm INTERNET

5 Intranet i Internet - zagrożenia Podsłuchiwanie - poufność danych Modyfikacja przesyłanych danych - integralność Podszywanie się - autoryzacja Włamanie i kradzież danych Włamanie i modyfikacja danych Włamanie i zniszczenie danych Denial of Service - uniemożliwianie pracy

6 Firewall - "ściana ognia"? Firewall = sprzęt + oprogramowanie + polityka bezpieczeństwa Kontrola dostępu Pełen audyt - logowanie autoryzacja szyfrowanie cache zarządzanie adresami

7 Firewall wewnątrz intranetu - po co? Ograniczenie dostępu do części zasobów (podsieci) firmy ze względu na poufność danych - ochrona danych Ograniczenie dostępu do części przemysłowej Intranetu np. część sieci zajmująca się monitorowaniem i sterowaniem produkcji - bezpieczeństwo Kontrola ruchu i audyt w Intranecie - ochrona przed własnymi pracownikami

8 Firewall wewnątrz Intranetu SIEĆ PRZEMYSŁOWA ODDZIELONA CZĘŚĆ SIECI BIUROWEJ

9 Rodzaje systemów Firewall Model OSI - w którym miejscu jakie informacje? Filtrowanie pakietów (packet filtering) Analiza stanu połączeń (circuit level firewall) Proxy (application level firewall)

10 Model OSI - uproszczenie WARSTWY ZASTOSOWAŃ PREZENTACJI SESJI TRANSPORTU SIECIOWA KANAŁOWA WARSTWY APLIKACJI TRANSPORTU SIECIOWA FIZYCZNA

11 Model OSI - w którym miejscu jakie informacje? Adres IP: źródłowy/ docelowy Port TCP: źródłowy/ docelowy Stan aplikacji i przepływ danych Nagłówek IP Nagłówek TCP Nagłówek poziomu aplikacji Dane Filtry pakietów Bramy ( gateways ) z Proxy

12 Filtrowanie pakietów (packet filtering) FILTROWANIE PAKIETÓW PODSIEĆ CHRONIONA APLIKACJI TRANSPORTU SIECIOWA INTERNET IP IP IP IP

13 Analiza stanu połączeń (circuit level firewall) PODSIEĆ CHRONIONA APLIKACJI TRANSPORTU SIECIOWA INTERNET TCP TCP IP IP IP IP

14 Proxy (application level firewall) KONTROLA DOSTĘPU ZALEŻNA OD APLIKACJI TELNET FTP PODSIEĆ CHRONIONA APLIKACJI TRANSPORTU SIECIOWA INTERNET

15 Proxy ( application level firewall ) INTERNET Application Proxy Log

16 Główne koncepcje stosowania Dual-Homed Host Bastion Host Demilitarized Zone ( DMZ ) Screening router Screened subnet

17 Dual-Homed Host HOST Karta sieciowa Karta sieciowa INTRANET INTERNET

18 Bastion Host Bastion Host INTERNET INTERNET Bastion Host

19 Demilitarized Zone ( DMZ ) INTERNET DMZ Bastion Host

20 Screened Subnet INTERNET SIEĆ WEWNĘTRZNA SCREENED SUBNET Bastion Host Bastion Host

21 Filtrowanie pakietów - zalety i wady Szybkość "Przeźroczystość" Trudna konfiguracja Mała elastyczność W przypadku rozwiązań sprzętowych kłopotliwe i drogie upgrade'y

22 Proxy - zalety i wady Z zasady nie przepuszcza żadnych pakietów Pozwala wymusić dodatkową autoryzację Operuje na poziomie konkretnego protokołu Umożliwia wymuszenie surowych reguł bezp. Uzależnienie od protokołu ( zmiany, upgrade'y ) Słaba wydajność Ograniczenie ilości usług

23 Firewall - wybór systemu operacyjnego DOS (niektóre filtry pakietowe: KarlBridge, Drawbridge) Unix - systemy komercyjne (praktycznie wszystkie Firewalle) Windows NT (tak, pod warunkiem, że wymieniana jest część SO) Unix - systemy niekomercyjne: Linux, BSD. Dostępne są narzędzia darmowe.

24 Firewall - wybór platformy sprzętowej Skrajności: od PC 386 do potężnego komputera RISC Czynniki: enkrypcja logowanie przepustowość sieci ( 10 Mbit/s, 100 Mbit/s )

25 Systemy Firewall - cechy produktów NAT (Network Address Translation) IP-Masquerading filtrowanie z kojarzeniem z wyższymi warstwami OSI filtracja dla DNS filtrowanie ActiveX/ Java stateful inspection

26 Systemy Firewall - ekonomia ceny i polityka licencyjna producentów Koszty stworzenia systemu Firewall: zakup sprzętu zakup oprogramowania szkolenia zarządzanie ograniczenie niektórych usług

27 Systemy Firewall - producenci producenci niezależni ( np. CheckPoint, Raptor, Secure Computing, Trusted Information Systems ) producenci dostarczający Firewall ze swoim sprzętem i oprogramowaniem: rozwiązania zamknięte ( np. IBM ) rozwiązanie otwarte ( np. Digital ) oprogramowanie freeware/shareware/gnu

28 Systemy Firewall - podział rynku 38% 3% 6% 7% 46% Firewall-1 ( Checkpoint ) Borderware Firewall ( Secure Computing ) Gauntlet ( Trusted Information Systems ) Eagle ( Raptor Systems ) Inne

29 Produkty - BorderManager centralne zarządzanie siecią ( plus NDS, LDAP ) routing, w tym RAS ( Remote Access Service ) filtrowanie pakietów + NAT ( IPX, IP ) analiza stanu połączeń i proxy hierarchiczny cache w proxy VPN ceny od 2500 USD ( dla 5 użytkowników )

30 Produkty - Cisco PIX system typu black-box analiza stanu połączeń cut-through proxy NAT i PAT ( Port Address Translation ) filtrowanie appletów Java "przeźroczysty" dla użytkownika ceny od 9000 USD