Firewalle, maskarady, proxy



Podobne dokumenty
Firewalle, maskarady, proxy

Firewalle, maskarady, proxy

Firewalle, maskarady, proxy

Zapory sieciowe i techniki filtrowania danych

Router programowy z firewallem oparty o iptables

Na podstawie: Kirch O., Dawson T. 2000: LINUX podręcznik administratora sieci. Wydawnictwo RM, Warszawa. FILTROWANIE IP

Sieci komputerowe. Zajęcia 4 Bezpieczeństwo w sieciach komputerowych

iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter echo "1" > /proc/sys/net/ipv4/ip_forward

Wdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej

Zarządzanie bezpieczeństwem w sieciach

Instalacja i konfiguracja pakietu iptables

Sieci komputerowe. Wykład 11: Podstawy bezpieczeństwa sieci. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

Zapory sieciowe i techniki filtrowania.

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat zapory sieciowej (firewall) oraz oprogramowania iptables.

Zdalne logowanie do serwerów

Systemy Firewall. Grzegorz Blinowski. "CC" - Open Computer Systems. Grzegorz.Blinowski@cc.com.pl

Najprostsza odpowiedź, jaka przychodzi mi do głowy to, z powodu bezpieczeństwa.

Bezpieczeństwo w M875

Sieci komputerowe. Tadeusz Kobus, Maciej Kokociński Instytut Informatyki, Politechnika Poznańska

Zadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation).

Wykład 4: Protokoły TCP/UDP i usługi sieciowe. A. Kisiel,Protokoły TCP/UDP i usługi sieciowe

Wprowadzenie do zagadnień związanych z firewallingiem

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

Tomasz Greszata - Koszalin

Podstawy bezpieczeństwa

Sieci komputerowe. Wykład 5: Warstwa transportowa: TCP i UDP. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

Sieci VPN SSL czy IPSec?

Firewall bez adresu IP

Sieci Komputerowe Translacja adresów sieciowych

LABORATORIUM - SINUS Firewall

Wybrane metody obrony przed atakami Denial of Service Synflood. Przemysław Kukiełka

Sieci komputerowe. Wykład 7: Transport: protokół TCP. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

Sieci komputerowe. Zajęcia 3 c.d. Warstwa transportu, protokoły UDP, ICMP

9. System wykrywania i blokowania włamań ASQ (IPS)

Translacja adresów - NAT (Network Address Translation)

Pakiet Iptables. Filtrowanie pakietów i filtrowanie stanowe

7. Konfiguracja zapory (firewall)

Bazy Danych i Usługi Sieciowe

NAT/NAPT/Multi-NAT. Przekierowywanie portów

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat zapory sieciowej.

Podstawy Transmisji Danych. Wykład IV. Protokół IPV4. Sieci WAN to połączenia pomiędzy sieciami LAN

MODEL WARSTWOWY PROTOKOŁY TCP/IP

Pakiet Iptables. Filtrowanie pakietów i filtrowanie stanowe

Studium przypadku Case Study CCNA2-ROUTING. Warianty projektów

ZiMSK NAT, PAT, ACL 1

Stan faktyczny bezpieczeństwa w polskich przedsiębiorstwach- 1/3

Robaki sieciowe. + systemy IDS/IPS

Księgarnia PWN: Greg Bastien, Christian Abera Degu Ściany ogniowe Cisco PIX

Zarządzanie bezpieczeństwem w sieciach dr inż. Robert Banasiak, mgr inż. Rafał Jachowicz, Instytut Informatyki Stosowanej PŁ, 2013

pasja-informatyki.pl

Którą normę stosuje się dla okablowania strukturalnego w sieciach komputerowych?

DHCP + udostępnienie Internetu

Tomasz Greszata - Koszalin

Programowanie współbieżne i rozproszone

Opis ogólny ustawień NAT na podstawie Vigora serii 2700

Zadania do wykonania Firewall skrypt iptables

Akademickie Centrum Informatyki PS. Wydział Informatyki PS

Dr Michał Tanaś(

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

Protokół DHCP. DHCP Dynamic Host Configuration Protocol

(źródło: pl.wikipedia.pl) (źródło:

4. Podstawowa konfiguracja

Sieci komputerowe. Wykład 3: Protokół IP. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski. Sieci komputerowe (II UWr) Wykład 3 1 / 25

MASKI SIECIOWE W IPv4

Wykład 3 Filtracja i modyfikacja pakietów za pomocą iptables.

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Lp. Atak (dane wg Kaspersky Lab za 2008r) Liczba. Intrusion.Win.NETAPI.bufferoverflow.exploit ,469

Zadanie z lokalnych sieci komputerowych. 1. Cel zajęć

Zarządzanie systemami informatycznymi. Zagrożenia w sieci

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

Zabezpieczenia w systemach Linux. Autorzy: Krzysztof Majka, Mirosław Mika IVFDS

iptables/netfilter co to takiego?

Plan wykładu. 1. Sieć komputerowa 2. Rodzaje sieci 3. Topologie sieci 4. Karta sieciowa 5. Protokoły używane w sieciach LAN 6.

Warsztaty z Sieci komputerowych Lista 9

NAT (Network Address Translation)

Stos TCP/IP. Warstwa aplikacji cz.2

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Co w sieci piszczy? Programowanie aplikacji sieciowych w C#

Sieci komputerowe - administracja

Sieci komputerowe. Tadeusz Kobus, Maciej Kokociński Instytut Informatyki, Politechnika Poznańska

Protokoły sieciowe - TCP/IP

Adresy w sieciach komputerowych

Załącznik nr 02 do OPZ - Zapora ogniowa typu A

Protokół IPsec. Patryk Czarnik. Bezpieczeństwo sieci komputerowych MSUI 2010/11. Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski

Rys. 1. Wynik działania programu ping: n = 5, adres cyfrowy. Rys. 1a. Wynik działania programu ping: l = 64 Bajty, adres mnemoniczny

ARCHIWUM PAŃSTWOWE W ZIELONEJ GÓRZE. Parametry graniczne i wymagalne dla sprzętu dostarczonego przez oferenta.

ASEM UBIQUITY PRZEGLĄD FUNKCJONALNOŚCI

Instytut Teleinformatyki

Zestaw ten opiera się na pakietach co oznacza, że dane podczas wysyłania są dzielone na niewielkie porcje. Wojciech Śleziak

Autorytatywne serwery DNS w technologii Anycast + IPv6 DNS NOVA. Dlaczego DNS jest tak ważny?

E.13.1 Projektowanie i wykonywanie lokalnej sieci komputerowej / Piotr Malak, Michał Szymczak. Warszawa, Spis treści

Sieci komputerowe laboratorium

Procedura konfiguracji programu Outlook Express z wykorzystaniem protokołu POP3

Specyfikacja techniczna

Sieci komputerowe. Tadeusz Kobus, Maciej Kokociński Instytut Informatyki, Politechnika Poznańska

Bezpieczeństwo systemów komputerowych. Laboratorium 1

11. Autoryzacja użytkowników

Bezpieczeństwo systemów komputerowych

Co to jest iptables?

Transkrypt:

Firewalle, maskarady, proxy Patryk Czarnik Bezpieczeństwo sieci komputerowych MSUI 2010/11 Kontrola dostępu Polityka kontroli dostępu określa sposób dostępu do poszczególnych zasobów organizacji. Może być zależna od: kierunku czy żadanie (dane) pochodzi z sieci wewnętrznej czy zewnętrznej, usługi rodzaju usługi sieciowej (np. HTTP, poczta, FTP), węzła sieci grupa adresów sieciowych, z których dostęp jest dozwolony/zabroniony, użytkownika czasem granularność zapewniana przez adresy węzłów nie jest wystarczajaca, czasu dostęp może być dozwolony tylko w pewnych godzinach, jakości usługi można nałożyć ograniczenia na ilość zasobów (przepustowość sieci, liczba połaczeń) dostępnych dla żadaj acego.

Kontrola dostępu najważniejsze wytyczne Organizacja powinna mieć spisana politykę dostępu do sieci, zatwierdzona przez szefów. Jeśli coś nie musi być dostępne nie jest. Reguły zezwalajace sa tak ścisłe jak to możliwe. Wybór oprogramowania pozwalajacego zrealizować politykę bezpieczeństwa (m.in. decyzja czy firewall, czy proxy zależna od ustalonej polityki). Zapora sieciowa Terminologia Firewall Tłumaczenia: ściana/zapora ogniowa/przeciwogniowa Może lepiej: zapora sieciowa Funkcjonalność System (lub grupa systemów) wymuszajacy politykę kontroli dostępu W praktyce chodzi o filtrowanie ruchu sieciowego w oparciu o mniej lub bardziej wyrafinowane reguły Ochrona przed większości a ataków aktywnych pod warunkiem, właściwej konfiguracji

Umiejscowienie zapór sieciowych (1) Granica podsieci (bramka) Rozwiazanie tradycyjne Zapewnia kontrolę administratora nad ruchem z/do całej podsieci Cała konfiguracja w jednym miejscu to zaleta To także wada konfiguracja specyficzna ze względu na maszyny wewnatrz sieci może bardzo sie rozrosnać, a jej aktualizacja może być uciażliwa Nie uwzględnia ruchu wewnatrz sieci Umiejscowienie zapór sieciowych (2) Idywidualny komputer (np. terminal użytkownia) Rozwiazanie zalecane od niedawna Jako dodatek do poprzedniego, a nie zamiast A gdy komputer nie jest chroniony zapora w bramce, to indywidualna zapora zalecana tym bardziej :) Łatwiejsza konfiguracja specyficzna dla danej maszyny (np. uwzględniajaca majace tam działać aplikacje) Możliwa konfiguracja specyficzna dla użytkowników (o ile oprogramowanie pozwala)

Rodzaje zapór sieciowych Statyczne (bezstanowe, pakietowe) pierwsza generacja. Stanowe (dynamiczne) druga generacja. Poziomu aplikacji (oparte o proxy) trzecia generacja. Możliwe dodatkowe funkcjonalności (często połaczone we wspólna infrastrukturę): translacja adresów (NAT), maskarada, dodatkowe funkcje proxy. Skad wiemy czy wpuścić? Podstawowa metoda różnicowania żadań informacje zawarte w nagłówkach pakietów, m.in.: port (uznajemy za rodzaj usługi); 20000 zarezerwowanych i standardowo używanych portów, np.: 23 Telnet, 25 SMTP, 53 DNS, 110 POP-3, adres źródłowy żadania, adres docelowy żadania.

Statyczne filtrowanie pakietów Każdy pakiet traktowany indywidualnie. Dopuszcza lub blokuje połaczenia pomiędzy określonymi parami portów. Najsłabszy sposób kontroli dostępu: nie bierze pod uwagę dynamiki i historii ruchu sieciowego. Wiele routerów ma wbudowana możliwość statycznego filtrowania pakietów. Dynamiczne filtrowanie pakietów Tablica połaczeń, możliwość pamiętania stanu połaczenia. Dopasowywanie pakietu do połaczenia w tablicy (lub nowy wpis). Bardziej dokładna kontrola ruchu, np.: możliwość odrzucania pakietów wyrwanych z kontekstu, możliwość akceptacji pakietów wychodzacych należacych do zaakceptowanego wcześniej połaczenia przychodzacego (i tylko takich). iptables reguły bezstanowe i stanowe, wtyczki dla poziomu aplikacji

Serwery pośredniczace (Proxy) Aplikacja służaca jako pośrednik w ruchu pomiędzy siecia wewnętrzna a Internetem. Dzięki temu węzły sieci wewnętrznej nie sa nigdy bezpośrednio podłaczone do komputerów w Internecie. Moga uzupełniać filtrowanie pakietów przez zapory. Działaja na poziomie aplikacji (np. HTTP lub FTP), a więc maja dostęp nie tylko do nagłówków pakietu ale także do danych w nich zawartych. Dlatego możemy za ich pomoca wymusić kontrolę dostępu na wyższym poziomie szczegółowości niż w przypadku standardowych zapór. Application Proxy Firewall Zapora rozumie poziom aplikacji i jest w stanie kontrolować ruch w zależności od jego znaczenia na poziomie aplikacji. Filtrowanie na poziomie aplikacji; przykładowe zastosowania: FTP blokowanie wszystkich żadań PUT oraz MPUT. HTTP dostęp do określonych katalogów tylko dla określonych adresów źródłowych. Możliwość odszyfrowywania danych i analizowania treści o ile skonfigurowane parametry kryptograficzne (np. znany prywatny klucz SSL serwera https). Uwierzytelnianie użytkowników nawiazuj acych połaczenia. Zapamiętywanie informacji o połaczeniach do późniejszej analizy. Funkcjonalność odpowiada funkcjonalności serwerów proxy, ale tu jest przezroczysta dla aplikacji.

Wady i koszty serwerów proxy Niezbędna osobna implementacja dla każdego nowego protokołu/usługi. Nie przezroczyste klient musi skonfigurować aplikację tak aby korzystała ona z serwera pośredniczacego. Nie dotyczy to zapór typu proxy, tylko zwykłych serwerów proxy. Bardziej skomplikowana niż w przypadku prostych zapór konfiguracja. Przykładowa konfiguracja iptables (nieciekawa :) ) :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p 50 -j ACCEPT -A RH-Firewall-1-INPUT -p 51 -j ACCEPT -A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited COMMIT

SOCKS Socks inny typ serwerów pośredniczacych. Można go porównać do centrali telefonicznej która zajmuje się łaczeniem połaczeń przychodzacych z wychodzacymi. Serwery SOCKS działaja z TCP oraz UDP (od wersji 5tej). Zapewniaja zarówno logowanie jak i silne uwierzytelniania (także od wersji 5.0) połaczeń. SOCKS może łaczyć węzły z adresami IP v.4, IP v.6 jak i pomiędzy nimi. Działanie SOCKS Konfiguracja obsługi SOCKS po stronie klienta: Aby skonfigurować połaczenie przez SOCKS po stronie klienta niezbędna jest biblioteka SOCKS która jest warstwa pośredniczaca pomiędzy warstwa aplikacji i warstwa gniazd. Aplikacja jest w ten sposób "oszukiwana" - wywołania funkcji z API gniazd i DNS sa zastępowane przez wywołania funkcji z SOCKS Lib o tej samej nazwie. Rozwiazanie takie jest przezroczyste dla aplikacji klienckich.

Tłumaczenie adresów (Network Address Translation) Ukrywanie adresów wewnętrznych przed siecia zewnętrzna. Translacja adresu źródłowego z wewnętrznego na adres z puli zewnętrznej przy wychodzeniu pakietu na zewnatrz. Translacja adresu docelowego z zewnętrznego na odpowiadajacy mu adres wewnętrzny przy przychodzeniu pakietu z zewnatrz. Na poziomie IP. NAT 1 do 1 relacja 1-1 między adresami wewnętrznymi a zewnętrznymi. Zalety i wady NAT Zalety: Serwery NAT sa dostępne dla większości systemów operacyjnych (w Linuxie zintegrowane z firewallami). NAT nie wymaga specjalnego oprogramowania na poziomie aplikacji. NAT jest w wysokim stopniu konfigurowalne. Wady: Konieczność zapewnienia dużej puli adresowej dla odpowiednio dużej sieci.

Maskarada Nazywana także NAT 1 do wielu lub PAT (Port Address Translation). Jeden adres IP (zwykle samego serwera maskarady) dla wszystkich adresów wewnętrznych. Rozróżnienie na poziomie portów. Działanie: 1. serwer w sieci wewnętrznej wysyła pakiet do Internetu przez serwer Maskarady, 2. serwer zmienia w pakiecie adres źródłowy na własny oraz port źródłowy na wolny zapisujac jednocześnie pary adresów i portów w specjalnej tablicy, 3. gdy nadejdzie odpowiedź z Internetu serwer Maskarady sprawdza czy ma odpowiednia parę adresów i portów w tablicy i jeśli tak to tłumaczy adres i port na ich odpowiedniki wzięte z tablicy i wysyła tak zmieniony pakiet do sieci wewnętrznej. Zalety i wady maskarady Zalety: potrzebny jest tylko jeden adres IP nie wymaga specjalnego wsparcia ze strony aplikacji dobrze zintegrowane z oprogramowaniem zapór sieciowych - zapewnia większe bezpieczeństwo Wady: mniejsze wsparcie (ale w Linuxie jest OK) pewne typy protokołów wymagaja specjalnego wsparcia ze strony zapory aby działać poprawnie (dostępne na Linuksie), serwery w sieci wewnętrznej nie będa widoczne dla klientów z zewnatrz - każdy ruch wchodzacy musi być wcześniej zainicjowany przez węzeł w sieci wewnętrznej,

IDS Intrusion Detection Systems Systemy IDS sa dopełnieniem zapór sieciowych. Ich zadaniem jest monitorowanie sieci i wykrywanie wszelkich podejrzanych zachowań. Jeśli założymy, że włamywacz prześliznał się przez zaporę to czeka na niego system IDS, który będzie logował wszelka aktywność sieciowa i ewentualnie podniesie alarm (np. przez wysłanie listu do administratora systemu). Systemy IDS korzystaja z bazy danych zawierajacej historię dotychczasowego ruchu w sieci i dokonuja na jej podstawie analizy statystycznej która pozwala im odróżniać zachowania typowe od nietypowych. Potrafia też rozpoznawać typowe ataki na podstawie wbudowanych w nie algorytmów. Zaleta systemów typu IDS jest też to, że utrudniaja ataki nadchodzace z wnętrza systemu (sieci wewnętrznej). Odmowa świadczenia usług (Denial of Services) Jest to atak aktywny którego celem nie jest włamanie się do systemu, ale uniemożliwienie mu normalnej pracy. Zazwyczaj polega na zapchaniu serwerów lawina pakietów. Jeśli będzie to atak rozproszony to przy obecnej infrastrukturze Internetu jest on właściwie nie do uniknięcia. Możemy jedynie starać się odciać fizycznie ruch przychodzacy od podejrzanych węzłów kontaktujac się z administratorami routerów leżacych na jego trasie.

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres