LABORATORIUM - SINUS Firewall



Podobne dokumenty
Zapory sieciowe i techniki filtrowania.

Zdalne logowanie do serwerów

Router programowy z firewallem oparty o iptables

MODEL WARSTWOWY PROTOKOŁY TCP/IP

Systemy Firewall. Grzegorz Blinowski. "CC" - Open Computer Systems. Grzegorz.Blinowski@cc.com.pl

Zadanie z lokalnych sieci komputerowych. 1. Cel zajęć

MASKI SIECIOWE W IPv4

iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter echo "1" > /proc/sys/net/ipv4/ip_forward

Zadania do wykonania Firewall skrypt iptables

Projektowanie bezpieczeństwa sieci i serwerów

Laboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

Na podstawie: Kirch O., Dawson T. 2000: LINUX podręcznik administratora sieci. Wydawnictwo RM, Warszawa. FILTROWANIE IP

Sieci VPN SSL czy IPSec?

9. System wykrywania i blokowania włamań ASQ (IPS)

Którą normę stosuje się dla okablowania strukturalnego w sieciach komputerowych?

Zarządzanie bezpieczeństwem w sieciach

BRINET Sp. z o. o.

Firewalle, maskarady, proxy

Sieci komputerowe. Zajęcia 3 c.d. Warstwa transportu, protokoły UDP, ICMP

Metody zabezpieczania transmisji w sieci Ethernet

Windows W celu dostępu do i konfiguracji firewall idź do Panelu sterowania -> System i zabezpieczenia -> Zapora systemu Windows.

Znak sprawy: KZp

Konfiguracja zapory Firewall w systemie Debian.

ASEM UBIQUITY PRZEGLĄD FUNKCJONALNOŚCI

Wprowadzenie do zagadnień związanych z firewallingiem

Przypisywanie adresów IP do MAC-adresów

Projektowanie Bezpieczeństwa Sieci Łukasz Jopek Projektowanie Bezpieczeństwa Sieci - Laboratorium. Konfiguracja NAP Network Access Protection

NAT/NAPT/Multi-NAT. Przekierowywanie portów

Firewall bez adresu IP

Zapory sieciowe i techniki filtrowania danych

Opis ogólny ustawień NAT na podstawie Vigora serii 2700

Zadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation).

7. Konfiguracja zapory (firewall)

System operacyjny UNIX Internet. mgr Michał Popławski, WFAiIS

Test. Administrowanie sieciowymi systemami operacyjnymi

Bezpieczeństwo w M875

Konfiguracja połączenia G.SHDSL punkt-punkt w trybie routing w oparciu o routery P-791R.

Stos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol)

Wykład 4: Protokoły TCP/UDP i usługi sieciowe. A. Kisiel,Protokoły TCP/UDP i usługi sieciowe

Pytanie 1 Z jakich protokołów korzysta usługa WWW? (Wybierz prawidłowe odpowiedzi)

Sieci Komputerowe Translacja adresów sieciowych

Przekierowanie portów w routerze - podstawy

Firewalle, maskarady, proxy

Technologie sieciowe

Program szkolenia KURS SPD i PD Administrator szkolnej pracowni internetowej Kurs MD1 Kurs MD2 Kurs MD3 (dla szkół ponadgimnazjalnych)

EGZAMIN POTWIERDZAJĄCY KWALIFIKACJE W ZAWODZIE Rok 2018 ZASADY OCENIANIA

ZiMSK NAT, PAT, ACL 1

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

Plan wykładu. 1. Sieć komputerowa 2. Rodzaje sieci 3. Topologie sieci 4. Karta sieciowa 5. Protokoły używane w sieciach LAN 6.

Firewalle, maskarady, proxy

IP: Maska podsieci: IP: Maska podsieci: Brama domyślna:

Niniejsza instrukcja przedstawia przykład konfiguracji koncentratora SSL VPN w trybie Network Extension.

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

11. Autoryzacja użytkowników

Studium przypadku Case Study CCNA2-ROUTING. Warianty projektów

Laboratorium - Używanie programu Wireshark do obserwacji mechanizmu uzgodnienia trójetapowego TCP

Zadanie 6. Ile par przewodów jest przeznaczonych w standardzie 100Base-TX do transmisji danych w obu kierunkach?

Wdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej

Oprogramowanie OpenVPN jest oprogramowaniem darmowym, które można pobrać ze strony:

Sieci komputerowe laboratorium

Zestaw ten opiera się na pakietach co oznacza, że dane podczas wysyłania są dzielone na niewielkie porcje. Wojciech Śleziak

Wykład 3 / Wykład 4. Na podstawie CCNA Exploration Moduł 3 streszczenie Dr inż. Robert Banasiak

Audytowane obszary IT

System Kancelaris. Zdalny dostęp do danych

EGZAMIN POTWIERDZAJĄCY KWALIFIKACJE W ZAWODZIE Rok 2018 ZASADY OCENIANIA

Bezpieczeństwo systemów komputerowych. Laboratorium 1

KROK 1. KONFIGURACJA URZĄDZEŃ KOŃCOWYCH (SERWERÓW)

Podstawy bezpieczeństwa

Najprostsza odpowiedź, jaka przychodzi mi do głowy to, z powodu bezpieczeństwa.

SIECI KOMPUTEROWE. Podstawowe wiadomości

Projekt i implementacja filtra dzeń Pocket PC

W routerach Vigor interfejs LAN jest wyeksponowany w postaci czterech równorzędnych portów Ethernet:

Bezpieczny system poczty elektronicznej

Instrukcja dla instalatora systemu SMDP Enterprise/Professional

Zapora systemu Windows Vista

EGZAMIN POTWIERDZAJĄCY KWALIFIKACJE W ZAWODZIE Rok 2018 ZASADY OCENIANIA

Firewalle, maskarady, proxy

Zadania z sieci Rozwiązanie

EGZAMIN POTWIERDZAJĄCY KWALIFIKACJE W ZAWODZIE Rok 2018 CZĘŚĆ PRAKTYCZNA

Rodzaje, budowa i funkcje urządzeń sieciowych

Obsługa poczty elektronicznej w domenie emeritus.ue.poznan.pl

Nowy użytkownik Modyfikacja uprawnień Odebranie uprawnień w systemie informatycznym. Imię i nazwisko użytkownika:

Protokoły sieciowe - TCP/IP

1. Zakres modernizacji Active Directory

Sieci komputerowe. Wstęp

Podstawy sieci komputerowych. Technologia Informacyjna Lekcja 19

Warstwy i funkcje modelu ISO/OSI

INSTRUKCJA INSTALACJI SYSTEMU

SIECI KOMPUTEROWE Adresowanie IP

Zarządzanie infrastrukturą sieciową Modele funkcjonowania sieci

DHCP + udostępnienie Internetu

Instrukcja korzystania z systemu IPbaza. oraz konfiguracji urządzeń

Linksys/Cisco RT31P2, WRT54GP2. Instrukcja Konfiguracji

Zdalna obsługa transcievera. H A M R A D I O D E L U X E R e m o t e S e r v e r C o n f i g u r a t i o n

Usługi sieciowe systemu Linux

Działanie komputera i sieci komputerowej.

Spis treści. Instalacja oprogramowania...j... 8 Instalacja pakietów poprzez rpm...j Listowanie zawartości folderu...j... 14

OGŁOSZENIE O ZAMÓWIENIU

Transkrypt:

1. Firewall. Najskuteczniejszą metodą ochrony sieci lokalnych przed skutkami działań kogoś z zewnątrz jest jej fizyczna izolacja. Sieć LAN bez podłączenia do sieci WAN i bez istniejących modemów dostępowych jest w miarę bezpieczna. Spełnienie tych warunków nie zapewni co prawda całkowitego bezpieczeństwa, ale zarówno środki pozostałe atakującemu do dyspozycji, jak i krąg potencjalnych osób mogących szkodzić sieci, zostaną silnie ograniczone. Jednak w obecnych czasach podłączenie do internetu (lub przynajmniej łączy WAN) jest wręcz niezbędne do działania wielu firm. Także pojawienie się zdalnych" pracowników (ang. remote emploee) wymusza istnienie mechanizmów dostępu z zewnątrz. Z tego właśnie względu zostały skonstruowane urządzenia stanowiące przegrodę pomiędzy chronioną siecią, a światem wewnętrznym. Z jednej strony chronią one zasoby sieci LAN, z drugiej pozwalaj ą na swobodną lub ograniczoną pracę zdalną Polska nazwa tego urządzenia (lub oprogramowania realizującego takie funkcje) jeszcze się nie ustaliła. Firewall często jest nazywany ścianą przeciwogniową" lub ścianą ogniową". Pierwotnie, nazwa ta wywodzi się od zabezpieczeń przeciwpożarowych montowanych w budynkach użyteczności publicznej w postaci stalowej kurtyny. Taka właśnie ściana", w przypadku pożaru, była w stanie skutecznie ochronić część budynku znajdującą się z drugiej strony niż pożar, a przynajmniej powstrzymać ogień aż do czasu nadejścia pomocy. Dlatego pierwsza nazwa ( ściana przeciwogniową") wydaje się bardziej adekwatna do zadań firewall'a i w dalszej części pracy będę się nią posługiwał. 1.1 Firewall - opis ogólny. Firewall jest specjalizowanym urządzeniem (komputerem z zainstalowanym specjalizowanym oprogramowaniem) lub grupą urządzeń, mającym za zadanie odizolować sieć wewnętrzną od zewnętrznej. Powinny również zminimalizować skutki ewentualnego włamania poprzez izolację komputerów potencjalnie narażonych na większe niebezpieczeństwo (np. publicznie dostępne serwery FTP czy WWW). Do zrealizowania tych celów firewalpe mają do dyspozycji narzędzia pozwalające zarówno blokować jak i przepuszczać ruch pakietów. Istnieją dwie odrębne ideologie budowania ścian przeciwogniowych. Jedna zakłada przepuszczanie domyślnie całego ruchu, a blokowanie jedynie specyficznych połączeń (na konkretne port lub do konkretnych maszyn). Druga bazuje na domyślnym blokowaniu całego ruchu i zezwalaniu na konkretne połączenia (np. na F

port poczty - SMTP, czy też wychodzący ruch na port HTTP). Obydwie z opisanych metod mają swoje wady i zalety. Jednak w przypadku zezwalania jedynie na istnienie bezpiecznych" połączeń, bronimy się dodatkowo przed pojawieniem się dziur" w bezpieczeństwie, nieznanych obecnie (np. nowe protokoły niosące ze sobą nowe niebezpieczeństwa) Głównym zadaniem spoczywającym na firewallu jest ochrona przed nieautoryzowanymi połączeniami z zewnątrz. Jednocześnie połączenia inicjowane z wewnątrz sieci mogą zostać zrealizowane. Dobrze skonstruowane firewalle bazują na tzw. informacji kontekstowej, tzn. przepuszczają również pakiety będące odpowiedziami na zapytania z wewnątrz sieci. Pozwala to na działanie protokołów bazujących np. na UDP a więc z definicji bezpołączeniowych. Z UDP korzy stają m. in. takie usługi jak DNS oraz NIS. Jeżeli więc przy projektowaniu sieci zakładamy np. korzystanie z zewnętrznego nameservera musimy zastosować inteligentny firewall opierający się na informacji kontekstowej. 1.2 Typy firewalli. Ze względu na sposób działania firewah'e możemy podzielić na: 1. tzw. filtry, dławiki (ang. chocke) - ich jedynym zadaniem jest filtrowanie pakietów. 2. bramy (ang. gate) - z reguły realizowany jako host-bastion. Mogą na nim być instalowane następujące oprogramowanie: klienckie (programy typu telnet, ftp, itp.) - użytkownicy mogą logować się na bastion i dopiero stąd dokonywać dalszych odwołań; proxy - żądania klientów odwołujące się na zewnątrz sieci, są maskowane przez proxy tak, jakby wychodziły z bastionu. Wymaga odpowiednio przystosowanego oprogramowania klienckiego, do korzystania z proxy. serwer sieciowy - na bastionie są realizowane takie protokoły jak SMTP, czy inne publicznie dostępne usługi. Nie zaleca się jednak instalowania takich usług jak anonymous FTP, czy WWW na bastionie. Zawierają one zbyt wiele potencjalnych możliwości przełamania zabezpieczeń, żeby ryzykować załamanie bastionu.

Ze względu na topologie sieci możemy wyróżnić następujące typy firewalli: 1. Host z dwoma portami sieciowymi (ang. dual-ported host) - najprostsza implementacja firewalla polegająca na zastosowaniu routera z dwoma portami sieciowymi. Wymogiem jest BRAK jakiegokolwiek bezpośredniego ruchu pomiędzy tymi portami. Komunikacja ze światem zewnętrznym może być realizowana dwojako: użytkownicy sieci mają prawo logowania się bastionie (nie zalecane ze względu na bezpieczeństwo bastionu) na bastionie pracują serwery proxy tych usług, które mają być dostępne dla użytkowników. Przykładowa konfiguracja może wyglądać następująco: 2. filtr pakietów - tutaj również mamy do czynienia z komputerem (lub po prostu routerem) o co najmniej dwóch portach sieciowych. Jednak w przeciwieństwie do konfiguracji przedstawionej poprzednio, działanie takiej implementacji opiera się na istnieniu komunikacji pomiędzy obydwoma portami. Przesyłanie pakietów poddane jest pewnym

specyficznym regułom. Tutaj zostaną przedstawione jedynie te prawdziwe dla większości przypadków. Jednak każda instalacja powinna być zależna od lokalnych warunków. Najbardziej oczywiste zasady można opisać następująco: ruch na wszystkie nie używane port powinien być zablokowany. pakiety o ustalonej trasie (tzw. source-routed) powinny być odrzucane. Ma to związek z odkrytymi niedawno sposobami ataku poprzez wysyłanie takich właśnie pakietów. przychodzący ruch powinien być możliwy jedynie do ściśle określonych komputerów (np. serwerów poczty elektronicznej, WWW, itp.) wedle uznania administratora można zezwolić na generowanie ruchu przez użytkowników wewnętrznych. wszystkie pakiety zawierające numery z sieci wewnętrznej, a wchodzące z zewnętrznego interfejsu również powinny zostać odrzucone. Firewall - filtr pakietów

Filtr pakietów jest najprostszą realizacją firewalla. Do zalet tego rozwiązania należy zaliczyć: łatwość implementacji, niskie (właściwie pomijalne) koszta, łatwość wprowadzania zmian 3. architektura hosta ochronnego (ang. screened host architecture) - jest bardziej zaawansowaną realizacją firewalla. Powstaje ona poprzez połączenie dwóch poprzednich realizacji. Filtr pakietów stanowi właściwą blokadę, pozwalając na ścisłą kontrolę transmitowanych danych. Przepuszcza jedynie pakiety podążające do lub z proxy. Cały więc ruch wychodzący realizowany jest jedynie poprzez bramę (definiują to reguły na filtrze). Natomiast wszyscy klienci sieci wewnętrznej mają prawo komunikacji jedynie z bastionem. W poniższej konfiguracji na bramie możemy uruchomić usługi dla świata zewnętrznego, z wyłączeniem WWW i FTP (jako usługi anonimowe i powszechnie dostępne, nie powinny być uruchamiane na jakiejkolwiek części firewalla). Proxy Firewall - filtr pakietów 4. architektura podsieci ochronnej (ang. screened subnet architecture) powstaje jako modyfikację powyższej topologii. Poprzez dodanie jeszcze jednego filtru, uzyskujemy bezpieczniejszą konfigurację. Dodatkowy filtr postawiony pomiędzy siecią lokalną a bramą ma dwa zadania: F

przepuszcza tylko pakiety kierowane do bramy w przypadku kompromitacji pierwszego filtru lub bramy stanowi dodatkowe zabezpieczenie, chroniące sieć lokalną. Przy dodaniu drugiego dławika powstał wydzielony segment sieci, na którym domyślnie instalowana jest brama. Jednak dzięki takiej topologii można rozdzielić serwery proxy, i np. postawić ich kilka (osobno dla każdej usługi) oraz host pocztowy. Podsumowując tą konfigurację mamy następujący układ: wewnętrzny filtr - przepuszcza jedynie ruch pomiędzy bramą, a siecią wewnętrzną; zewnętrzny filtr - przepuszcza ruch pomiędzy bramą, a siecią zewnętrzną; brama - realizuje usługę pośrednika (proxy). Jest jedynym elementem mogącym komunikować się zarówno z chronioną siecią wewnętrzną jak i światem zewnętrznym. 1 r mm m i Proxy n. n.

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres