Firewalle, maskarady, proxy

Podobne dokumenty
Firewalle, maskarady, proxy

Firewalle, maskarady, proxy

Firewalle, maskarady, proxy

Zapory sieciowe i techniki filtrowania.

Zapory sieciowe i techniki filtrowania danych

Zdalne logowanie do serwerów

Systemy Firewall. Grzegorz Blinowski. "CC" - Open Computer Systems. Grzegorz.Blinowski@cc.com.pl

Router programowy z firewallem oparty o iptables

Wprowadzenie do zagadnień związanych z firewallingiem

Podstawy bezpieczeństwa

Na podstawie: Kirch O., Dawson T. 2000: LINUX podręcznik administratora sieci. Wydawnictwo RM, Warszawa. FILTROWANIE IP

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

LABORATORIUM - SINUS Firewall

Księgarnia PWN: Greg Bastien, Christian Abera Degu Ściany ogniowe Cisco PIX

Sieci komputerowe. Zajęcia 4 Bezpieczeństwo w sieciach komputerowych

Sieci VPN SSL czy IPSec?

Sieci komputerowe. Wykład 5: Warstwa transportowa: TCP i UDP. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

Wykład 4: Protokoły TCP/UDP i usługi sieciowe. A. Kisiel,Protokoły TCP/UDP i usługi sieciowe

9. System wykrywania i blokowania włamań ASQ (IPS)

Zadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation).

Bezpieczeństwo w M875

Protokół IPsec. Patryk Czarnik. Bezpieczeństwo sieci komputerowych MSUI 2010/11. Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski

Translacja adresów - NAT (Network Address Translation)

Sieci komputerowe. Wykład 11: Podstawy bezpieczeństwa sieci. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

pasja-informatyki.pl

Stan faktyczny bezpieczeństwa w polskich przedsiębiorstwach- 1/3

Zarządzanie bezpieczeństwem w sieciach

Wybrane metody obrony przed atakami Denial of Service Synflood. Przemysław Kukiełka

Sieci komputerowe. Wykład 7: Transport: protokół TCP. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

Protokół DHCP. Patryk Czarnik. Bezpieczeństwo sieci komputerowych MSUI 2010/11. Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski

7. Konfiguracja zapory (firewall)

Bazy Danych i Usługi Sieciowe

Sieci komputerowe. Zajęcia 3 c.d. Warstwa transportu, protokoły UDP, ICMP

NAT/NAPT/Multi-NAT. Przekierowywanie portów

Którą normę stosuje się dla okablowania strukturalnego w sieciach komputerowych?

MODEL WARSTWOWY PROTOKOŁY TCP/IP

Akademickie Centrum Informatyki PS. Wydział Informatyki PS

Robaki sieciowe. + systemy IDS/IPS

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat zapory sieciowej (firewall) oraz oprogramowania iptables.

Sieci Komputerowe Translacja adresów sieciowych

ZiMSK NAT, PAT, ACL 1

Programowanie współbieżne i rozproszone

4. Podstawowa konfiguracja

Firewall bez adresu IP

Podstawy Transmisji Danych. Wykład IV. Protokół IPV4. Sieci WAN to połączenia pomiędzy sieciami LAN

Dr Michał Tanaś(

(źródło: pl.wikipedia.pl) (źródło:

Studium przypadku Case Study CCNA2-ROUTING. Warianty projektów

iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter echo "1" > /proc/sys/net/ipv4/ip_forward

Lp. Atak (dane wg Kaspersky Lab za 2008r) Liczba. Intrusion.Win.NETAPI.bufferoverflow.exploit ,469

Bezpieczeństwo systemów komputerowych

Opis ogólny ustawień NAT na podstawie Vigora serii 2700

Zarządzanie bezpieczeństwem w sieciach dr inż. Robert Banasiak, mgr inż. Rafał Jachowicz, Instytut Informatyki Stosowanej PŁ, 2013

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

Protokół DHCP. DHCP Dynamic Host Configuration Protocol

Sieci komputerowe. Tadeusz Kobus, Maciej Kokociński Instytut Informatyki, Politechnika Poznańska

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

Wdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej

Załącznik nr 02 do OPZ - Zapora ogniowa typu A

Zarządzanie systemami informatycznymi. Zagrożenia w sieci

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Stos TCP/IP. Warstwa aplikacji cz.2

MASKI SIECIOWE W IPv4

Autorytatywne serwery DNS w technologii Anycast + IPv6 DNS NOVA. Dlaczego DNS jest tak ważny?

E.13.1 Projektowanie i wykonywanie lokalnej sieci komputerowej / Piotr Malak, Michał Szymczak. Warszawa, Spis treści

DHCP + udostępnienie Internetu

Procedura konfiguracji programu Outlook Express z wykorzystaniem protokołu POP3

ARCHIWUM PAŃSTWOWE W ZIELONEJ GÓRZE. Parametry graniczne i wymagalne dla sprzętu dostarczonego przez oferenta.

Co w sieci piszczy? Programowanie aplikacji sieciowych w C#

Plan wykładu. 1. Sieć komputerowa 2. Rodzaje sieci 3. Topologie sieci 4. Karta sieciowa 5. Protokoły używane w sieciach LAN 6.

11. Autoryzacja użytkowników

OPIS PRZEDMIOTU ZAMÓWIENIA

Sieci komputerowe laboratorium

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

cennik usługi transmisja danych DSL tp Tabela 1 Tabela 2 Opłaty instalacyjne za usługę transmisja danych DSL TP

Zadanie z lokalnych sieci komputerowych. 1. Cel zajęć

Architektura oraz testowanie systemu DIADEM Firewall Piotr Piotrowski

NAT (Network Address Translation)

Adresy w sieciach komputerowych

Tomasz Greszata - Koszalin

Zadania do wykonania Firewall skrypt iptables

Wykład 3 / Wykład 4. Na podstawie CCNA Exploration Moduł 3 streszczenie Dr inż. Robert Banasiak

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Specyfikacja techniczna

ASEM UBIQUITY PRZEGLĄD FUNKCJONALNOŚCI

Akademickie Centrum Informatyki PS. Wydział Informatyki PS

Konfiguracja zapory Firewall w systemie Debian.

Sieci komputerowe. Wykład 3: Protokół IP. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski. Sieci komputerowe (II UWr) Wykład 3 1 / 25

Podziękowania... xv. Wstęp... xvii

Przesyłania danych przez protokół TCP/IP

Protokół IPsec. Patryk Czarnik

SIECI KOMPUTEROWE. Dariusz CHAŁADYNIAK Józef WACNIK

Szkolenie autoryzowane. STORMSHIELD Network Security Administrator. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Zestaw ten opiera się na pakietach co oznacza, że dane podczas wysyłania są dzielone na niewielkie porcje. Wojciech Śleziak

BEZPIECZEŃSTWO W SIECIACH

Najprostsza odpowiedź, jaka przychodzi mi do głowy to, z powodu bezpieczeństwa.

Windows W celu dostępu do i konfiguracji firewall idź do Panelu sterowania -> System i zabezpieczenia -> Zapora systemu Windows.

OGŁOSZENIE O ZAMÓWIENIU

Transkrypt:

Firewalle, maskarady, proxy Patryk Czarnik Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski Bezpieczeństwo sieci komputerowych MSUI 2009/10 Patryk Czarnik (MIMUW) 08 Firewall BSK 2009/10 1 / 21

Kontrola dostępu Kontrola dostępu do sieci Polityka kontroli dostępu określa sposób dostępu do poszczególnych zasobów organizacji. Może być zależna od: kierunku czy żadanie (dane) pochodzi z sieci wewnętrznej czy zewnętrznej, usługi rodzaju usługi sieciowej (np. HTTP, poczta, FTP), węzła sieci grupa adresów sieciowych, z których dostęp jest dozwolony/zabroniony, użytkownika czasem granularność zapewniana przez adresy węzłów nie jest wystarczajaca, czasu dostęp może być dozwolony tylko w pewnych godzinach, jakości usługi można nałożyć ograniczenia na ilość zasobów (przepustowość sieci, liczba połaczeń) dostępnych dla żadaj acego. Patryk Czarnik (MIMUW) 08 Firewall BSK 2009/10 2 / 21

Kontrola dostępu do sieci Kontrola dostępu najważniejsze wytyczne Organizacja powinna mieć spisana politykę dostępu do sieci, zatwierdzona przez szefów. Jeśli coś nie musi być dostępne nie jest. Reguły zezwalajace sa tak ścisłe jak to możliwe. Wybór oprogramowania pozwalajacego zrealizować politykę bezpieczeństwa (m.in. decyzja czy firewall, czy proxy zależna od ustalonej polityki). Patryk Czarnik (MIMUW) 08 Firewall BSK 2009/10 3 / 21

Zapory sieciowe Zapora sieciowa Terminologia Firewall Tłumaczenia: ściana/zapora ogniowa/przeciwogniowa Może lepiej: zapora sieciowa Funkcjonalność System (lub grupa systemów) wymuszajacy politykę kontroli dostępu W praktyce chodzi o filtrowanie ruchu sieciowego w oparciu o mniej lub bardziej wyrafinowane reguły Ochrona przed większościa ataków aktywnych pod warunkiem, właściwej konfiguracji Patryk Czarnik (MIMUW) 08 Firewall BSK 2009/10 4 / 21

Zapory sieciowe Umiejscowienie zapór sieciowych (1) Granica podsieci (bramka) Rozwiazanie tradycyjne Zapewnia kontrolę administratora nad ruchem z/do całej podsieci Cała konfiguracja w jednym miejscu to zaleta To także wada konfiguracja specyficzna ze względu na maszyny wewnatrz sieci może bardzo sie rozrosnać, a jej aktualizacja być uciażliwa Nie uwzględnia ruchu wewnatrz sieci Patryk Czarnik (MIMUW) 08 Firewall BSK 2009/10 5 / 21

Zapory sieciowe Umiejscowienie zapór sieciowych (2) Idywidualny komputer (np. terminal użytkownia) Rozwiazanie zalecane od niedawna Jako dodatek do poprzedniego, a nie zamiast Łatwiejsza konfiguracja specyficzna dla danej maszyny (np. uwzględniajaca majace tam działać aplikacje) Możliwa konfiguracja specyficzna dla użytkowników (o ile oprogramowanie pozwala) (Oczywiście) zalecane szczególnie gdy komputer nie jest chroniony zapora w bramce Patryk Czarnik (MIMUW) 08 Firewall BSK 2009/10 6 / 21

Zapory sieciowe Rodzaje ścian ogniowych Statyczne (bezstanowe, pakietowe) pierwsza generacja. Stanowe (dynamiczne) druga generacja. Poziomu aplikacji (oparte o proxy) trzecia generacja. Możliwe dodatkowe funkcjonalności (często połaczone we wspólna infrastrukturę): translacja adresów (NAT), maskarada, dodatkowe funkcje proxy. Patryk Czarnik (MIMUW) 08 Firewall BSK 2009/10 7 / 21

Zapory sieciowe Skad wiemy czy wpuścić? Podstawowa metoda różnicowania żadań informacje zawarte w nagłówkach pakietów, m.in.: port (uznajemy za rodzaj usługi); 20000 zarezerwowanych i standardowo używanych portów, np.: 23 Telnet, 25 SMTP, 53 DNS, 110 POP-3, adres źródłowy żadania, adres docelowy żadania. Patryk Czarnik (MIMUW) 08 Firewall BSK 2009/10 8 / 21

Zapory sieciowe Statyczne filtrowanie pakietów Każdy pakiet traktowany indywidualnie. Dopuszcza lub blokuje połaczenia pomiędzy określonymi parami portów. Najsłabszy sposób kontroli dostępu: nie bierze pod uwagę dynamiki i historii ruchu sieciowego. Wiele ruterów ma wbudowana możliwość statycznego filtrowania pakietów. Patryk Czarnik (MIMUW) 08 Firewall BSK 2009/10 9 / 21

Zapory sieciowe Dynamiczne filtrowanie pakietów Tablica połaczeń, możliwość pamiętania stanu połaczenia. Dopasowywanie pakietu do połaczenia w tablicy (lub nowy wpis). Bardziej dokładna kontrola ruchu, np.: możliwość odrzucania pakietów wyrwanych z kontekstu, możliwość akceptacji pakietów wychodzacych należacych do zaakceptowanego wcześniej połaczenia przychodzacego (i tylko takich). iptables reguły bezstanowe i stanowe, wtyczki dla poziomu aplikacji Patryk Czarnik (MIMUW) 08 Firewall BSK 2009/10 10 / 21

Proxy Serwery pośredniczace (Proxy) Aplikacja służaca jako pośrednik w ruchu pomiędzy siecia wewnętrzna a Internetem. Dzięki temu węzły sieci wewnętrznej nie sa nigdy bezpośrednio podłaczone do komputerów w Internecie. Moga uzupełniać filtrowanie pakietów przez ściany ogniowe. Działaja na poziomie aplikacji (np. HTTP lub FTP), a więc maja dostęp nie tylko do nagłówków pakietu ale także do danych w nich zawartych. Dlatego możemy za ich pomoca wymusić kontrolę dostępu na wyższym poziomie szczegółowości niż w przypadku ścian ogniowych. Patryk Czarnik (MIMUW) 08 Firewall BSK 2009/10 11 / 21

Proxy Application Proxy Firewall Zapora rozumie poziom aplikacji i jest w stanie kontrolować ruch w zależności od jego znaczenia na poziomie aplikacji. Filtrowanie na poziomie aplikacji; przykładowe zastosowania: FTP blokowanie wszystkich żadań PUT oraz MPUT. HTTP dostęp do określonych katalogów tylko dla określonych adresów źródłowych. Możliwość odszyfrowywania danych i analizowania treści o ile skonfigurowane parametry kryptograficzne (np. znany prywatny klucz SSL serwera https) Uwierzytelnianie użytkowników nawiazuj acych połaczenia. Zapamiętywanie informacji o połaczeniach do późniejszej analizy. Funkcjonalność odpowiada funkcjonalności serwerów proxy, ale tu jest przezroczysta dla aplikacji. Patryk Czarnik (MIMUW) 08 Firewall BSK 2009/10 12 / 21

Proxy Wady i koszty serwerów proxy Niezbędna osobna implementacja dla każdego nowego protokołu/usługi. Nie przezroczyste klient musi skonfigurować aplikację tak aby korzystała ona z serwera pośredniczacego. Nie dotyczy to zapór typu proxy, tylko zwykłych serwerów proxy. Bardziej skomplikowana niż w przypadku prostych zapór konfiguracja. Patryk Czarnik (MIMUW) 08 Firewall BSK 2009/10 13 / 21

SOCKS SOCKS Socks inny typ serwerów pośredniczacych. Można go porównać do centrali telefonicznej która zajmuje się łaczeniem połaczeń przychodzacych z wychodzacymi. Serwery SOCKS działaja z TCP oraz UDP (od wersji 5tej). Zapewniaja zarówno logowanie jak i silne uwierzytelniania (także od wersji 5.0) połaczeń. SOCKS może łaczyć węzły z adresami IP v.4, IP v.6 jak i pomiędzy nimi. Patryk Czarnik (MIMUW) 08 Firewall BSK 2009/10 14 / 21

Działanie SOCKS SOCKS Konfiguracja obsługi SOCKS po stronie klienta: Aby skonfigurować połaczenie przez SOCKS po stronie klienta niezbędna jest biblioteka SOCKS która jest warstwa pośredniczaca pomiędzy warstwa aplikacji i warstwa gniazd. Aplikacja jest w ten sposób "oszukiwana" - wywołania funkcji z API gniazd i DNS sa zastępowane przez wywołania funkcji z SOCKS Lib o tej samej nazwie. Rozwiazanie takie jest przezroczyste dla aplikacji klienckich. Patryk Czarnik (MIMUW) 08 Firewall BSK 2009/10 15 / 21

NAT Tłumaczenie adresów (Network Address Translation) Ukrywanie adresów wewnętrznych przed siecia zewnętrzna. Translacja adresu źródłowego z wewnętrznego na adres z puli zewnętrznej przy wychodzeniu pakietu na zewnatrz. Translacja adresu docelowego z zewnętrznego na odpowiadajacy mu adres wewnętrzny przy przychodzeniu pakietu z zewnatrz. Na poziomie IP. Relacja 1-1 między adresami wewnętrznymi a zewnętrznymi. Patryk Czarnik (MIMUW) 08 Firewall BSK 2009/10 16 / 21

Zalety i wady NAT NAT Zalety: Serwery NAT sa dostępne dla większości systemów operacyjnych (w Linuxie zintegrowane z firewallami). NAT nie wymaga specjalnego oprogramowania na poziomie aplikacji. NAT jest w wysokim stopniu konfigurowalne. Wady: Konieczność zapewnienia dużej puli adresowej dla odpowiednio dużej sieci. Patryk Czarnik (MIMUW) 08 Firewall BSK 2009/10 17 / 21

Zalety i wady NAT NAT Zalety: Serwery NAT sa dostępne dla większości systemów operacyjnych (w Linuxie zintegrowane z firewallami). NAT nie wymaga specjalnego oprogramowania na poziomie aplikacji. NAT jest w wysokim stopniu konfigurowalne. Wady: Konieczność zapewnienia dużej puli adresowej dla odpowiednio dużej sieci. Patryk Czarnik (MIMUW) 08 Firewall BSK 2009/10 17 / 21

Maskarada NAT Nazywana także NAT 1 do wielu lub PAT (Port Address Translation). Jeden adres IP (zwykle samego serwera maskarady) dla wszystkich adresów wewnętrznych. Rozróżnienie na poziomie portów. Działanie: 1 serwer w sieci wewnętrznej wysyła pakiet do Internetu przez serwer Maskarady, 2 serwer zmienia w pakiecie adres źródłowy na własny oraz port źródłowy na wolny zapisujac jednocześnie pary adresów i portów w specjalnej tablicy, 3 gdy nadejdzie odpowiedź z Internetu serwer Maskarady sprawdza czy ma odpowiednia parę adresów i portów w tablicy i jeśli tak to tłumaczy adres i port na ich odpowiedniki wzięte z tablicy i wysyła tak zmieniony pakiet do sieci wewnętrznej. Patryk Czarnik (MIMUW) 08 Firewall BSK 2009/10 18 / 21

Zalety i wady maskarady NAT Zalety: potrzebny jest tylko jeden adres IP nie wymaga specjalnego wsparcia ze strony aplikacji dobrze zintegrowane z oprogramowaniem ścian ogniowych - zapewnia większe bezpieczeństwo Wady: oprogramowanie maskarady jest w tej chwili dostępne jedynie w systemie Linuks oraz niektórych ruterach ISDN, pewne typy protokołów wymagaja specjalnego wsparcia ze strony ściany ogniowej aby działać poprawnie (dostępne na Linuksie), serwery w sieci wewnętrznej nie będa widoczne dla klientów z zewnatrz - każdy ruch wchodzacy musi być wcześniej zainicjowany przez węzeł w sieci wewnętrznej, Patryk Czarnik (MIMUW) 08 Firewall BSK 2009/10 19 / 21

Zalety i wady maskarady NAT Zalety: potrzebny jest tylko jeden adres IP nie wymaga specjalnego wsparcia ze strony aplikacji dobrze zintegrowane z oprogramowaniem ścian ogniowych - zapewnia większe bezpieczeństwo Wady: oprogramowanie maskarady jest w tej chwili dostępne jedynie w systemie Linuks oraz niektórych ruterach ISDN, pewne typy protokołów wymagaja specjalnego wsparcia ze strony ściany ogniowej aby działać poprawnie (dostępne na Linuksie), serwery w sieci wewnętrznej nie będa widoczne dla klientów z zewnatrz - każdy ruch wchodzacy musi być wcześniej zainicjowany przez węzeł w sieci wewnętrznej, Patryk Czarnik (MIMUW) 08 Firewall BSK 2009/10 19 / 21

IDS IDS Intrusion Detection Systems Systemy IDS sa dopełnieniem ścian ogniowych. Ich zadaniem jest monitorowanie sieci i wykrywanie wszelkich podejrzanych zachowań. Jeśli założymy, że włamywacz prześliznał się przez ścianę ogniowa to czeka na niego system IDS, który będzie logował wszelka aktywność sieciowa i ewentualnie podniesie alarm (np. przez wysłanie listu do administratora systemu). Systemy IDS korzystaja z bazy danych zawierajacej historię dotychczasowego ruchu w sieci i dokonuja na jej podstawie analizy statystycznej która pozwala im odróżniać zachowania typowe od nietypowych. Potrafia też rozpoznawać typowe ataki na podstawie wbudowanych w nie algorytmów. Zaleta systemów typu IDS jest też to, że utrudniaja ataki nadchodzace z wnętrza systemu (sieci wewnętrznej). Patryk Czarnik (MIMUW) 08 Firewall BSK 2009/10 20 / 21

IDS Odmowa świadczenia usług - (Denial of Services) Jest to atak aktywny którego celem nie jest włamanie się do systemu ale uniemożliwienie mu normalnej pracy. Zazwyczaj polega na zapchaniu serwerów lawina pakietów. Jeśli będzie to atak rozproszony to przy obecnej infrastrukturze Internetu jest on właściwie nie do uniknięcia. Możemy jedynie starać się odciać fizycznie ruch przychodzacy od podejrzanych węzłów kontaktujac się z administratorami ruterów leżacych na jego trasie. Patryk Czarnik (MIMUW) 08 Firewall BSK 2009/10 21 / 21

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres