Zapory sieciowe i techniki filtrowania.

Podobne dokumenty
Zapory sieciowe i techniki filtrowania danych

Systemy Firewall. Grzegorz Blinowski. "CC" - Open Computer Systems. Grzegorz.Blinowski@cc.com.pl

Translacja adresów - NAT (Network Address Translation)

LABORATORIUM - SINUS Firewall

MODEL WARSTWOWY PROTOKOŁY TCP/IP

ZiMSK NAT, PAT, ACL 1

MASKI SIECIOWE W IPv4

NAT/NAPT/Multi-NAT. Przekierowywanie portów

9. System wykrywania i blokowania włamań ASQ (IPS)

PBS. Wykład Filtrowanie pakietów 2. Translacja adresów 3. authentication-proxy

Firewalle, maskarady, proxy

Projektowanie bezpiecznej konfiguracji sieci

Zadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation).

Opis ogólny ustawień NAT na podstawie Vigora serii 2700

Bezpieczne konfiguracje sieci komputerowych

Projektowanie bezpiecznej konfiguracji sieci

Projektowanie bezpiecznej konfiguracji sieci

BRINET Sp. z o. o.

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

Podstawy bezpieczeństwa

Firewalle, maskarady, proxy

Którą normę stosuje się dla okablowania strukturalnego w sieciach komputerowych?

Lp. Atak (dane wg Kaspersky Lab za 2008r) Liczba. Intrusion.Win.NETAPI.bufferoverflow.exploit ,469

Stos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol)

pasja-informatyki.pl

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

Firewalle, maskarady, proxy

Zarządzanie systemami informatycznymi. Zagrożenia w sieci

Zadania z sieci Rozwiązanie

Bazy Danych i Usługi Sieciowe

Bezpieczeństwo systemów komputerowych

Firewalle, maskarady, proxy

Zdalne logowanie do serwerów

Adresy w sieciach komputerowych

Plan wykładu. 1. Sieć komputerowa 2. Rodzaje sieci 3. Topologie sieci 4. Karta sieciowa 5. Protokoły używane w sieciach LAN 6.

Akademickie Centrum Informatyki PS. Wydział Informatyki PS

DR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ ADRESACJA W SIECIACH IP. WSTĘP DO SIECI INTERNET Kraków, dn. 24 października 2016r.

Sieci komputerowe - Urządzenia w sieciach

Politechnika Łódzka. Instytut Systemów Inżynierii Elektrycznej

WALIDACJA WYBRANYCH CECH ZAPORY SIECIOWEJ W ŚRODOWISKU INTERNETOWYM

Pytanie 1 Z jakich protokołów korzysta usługa WWW? (Wybierz prawidłowe odpowiedzi)

Warstwa sieciowa. Model OSI Model TCP/IP. Aplikacji. Aplikacji. Prezentacji. Sesji. Transportowa. Transportowa

4. Podstawowa konfiguracja

SMB protokół udostępniania plików i drukarek

Protokoły sieciowe - TCP/IP

Sieci Komputerowe. Wykład 1: TCP/IP i adresowanie w sieci Internet

Sieci VPN SSL czy IPSec?

Struktura adresu IP v4

Sieć komputerowa Adresy sprzętowe Adresy logiczne System adresacji IP (wersja IPv4)

Wdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej

Skuteczne rozpoznanie oraz kontrola aplikacji i użytkowników sieci - rozwiązanie Palo Alto Networks

Ściany ogniowe - Sieci komputerowe

Sieci komputerowe - opis przedmiotu

SIECI KOMPUTEROWE Adresowanie IP

9. Zapory sieciowe (firewall) i translacja adresów

Bezpieczeństwo w M875

Sieci komputerowe i bazy danych

SIECI KOMPUTEROWE. Dariusz CHAŁADYNIAK Józef WACNIK

Przesyłania danych przez protokół TCP/IP

OUTSIDE /24. dmz. outside /24. security- level 50. inside security- level /16 VLAN /

ZiMSK. VLAN, trunk, intervlan-routing 1

Firewall bez adresu IP

Wprowadzenie do zagadnień związanych z firewallingiem

Adresacja IP w sieciach komputerowych. Adresacja IP w sieciach komputerowych

PBS. Wykład Zabezpieczenie przełączników i dostępu do sieci LAN

Sieci komputerowe - administracja

Windows W celu dostępu do i konfiguracji firewall idź do Panelu sterowania -> System i zabezpieczenia -> Zapora systemu Windows.

(źródło: pl.wikipedia.pl) (źródło:

PORADNIKI. Routery i Sieci

NAT (Network Address Translation)

Systemy operacyjne i sieci komputerowe Szymon Wilk Adresowanie w sieciach Klasy adresów IP a) klasa A

METODY I TECHNIKI ZABEZPIECZANIA SIECI

Podstawy Transmisji Danych. Wykład IV. Protokół IPV4. Sieci WAN to połączenia pomiędzy sieciami LAN

ZiMSK. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2012) 1

Sieci komputerowe laboratorium

Rodzaje, budowa i funkcje urządzeń sieciowych

Plan wykładu. Wyznaczanie tras. Podsieci liczba urządzeń w klasie C. Funkcje warstwy sieciowej

Co w sieci piszczy? Programowanie aplikacji sieciowych w C#

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

Sieci Komputerowe. Zadania warstwy sieciowej. Adres IP. Przydzielanie adresów IP. Adresacja logiczna Trasowanie (ang. routing)

Metody zabezpieczania transmisji w sieci Ethernet

Linksys/Cisco RT31P2, WRT54GP2. Instrukcja Konfiguracji

Router programowy z firewallem oparty o iptables

Na podstawie: Kirch O., Dawson T. 2000: LINUX podręcznik administratora sieci. Wydawnictwo RM, Warszawa. FILTROWANIE IP

1. Wstęp. Wizualizacja połączenia

Paweł Pokrywka, Ispara.pl. multispoof: Zaawansowany mac spoofing w sieciach lokalnych

DR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ PODSTAWY RUTINGU IP. WSTĘP DO SIECI INTERNET Kraków, dn. 7 listopada 2016 r.

Projekt i implementacja filtra dzeń Pocket PC

DR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ

Podstawy Informatyki. Inżynieria Ciepła, I rok. Wykład 13 Topologie sieci i urządzenia

PROGRAM PRAKTYKI ZAWODOWEJ. Technikum Zawód: technik informatyk

BROADBAND INTERNET ROUTER- INSTRUKCJA OBSŁUGI

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat zapory sieciowej (firewall) oraz oprogramowania iptables.

Zapory ogniowe Różne rodzaje zabezpieczeń Ochrona sieci przed włamaniami z zewnątrz

Księgarnia PWN: Mark McGregor Akademia sieci cisco. Semestr szósty

Przełączanie i Trasowanie w Sieciach Komputerowych

E.13.1 Projektowanie i wykonywanie lokalnej sieci komputerowej / Piotr Malak, Michał Szymczak. Warszawa, Spis treści

SPECYFIKACJA TECHNICZNA. LP. Parametry wymagane Parametry oferowane (pełny opis

Pożądane lektury sposobów na bezpieczeństwo sieci.

Walidacja wybranych cech zapory sieciowej w środowisku internetowym

Transkrypt:

Bezpieczeństwo systemów komputerowych. Temat seminarium: Zapory sieciowe i techniki Autor: Bartosz Biegański Zapory sieciowe i techniki. Seminarium 2004 5.04.2004 PP, SKiSR 1

Plan prezentacji Wprowadzenie Cele zastosowania zapór sieciowych Podstawowe mechanizmy działania zapór sieciowych Architektura zapor sieciowych Podsumowanie 2

Wprowadzenie Zaporą sieciowa (ang. firewall) nazywamy każdy program, układ lub sprzęt ograniczający korzystanie z sieci. [2] 3

Cele stosowania zapór sieciowych zapewnienie "bezpiecznego" dostępu do Internetu użytkownikom sieci prywatnej zapewnienie ochrony zasobów sieci prywatnej przed atakami z zewnątrz blokowanie (całkowite lub częściowe) dostępu do określonych miejsc w Internecie 4

Cele stosowania zapór sieciowych monitorowanie komunikacji pomiędzy siecią prywatną a Internetem rejestrowanie całości lub określonej części ruchu międzysieciowego ukrywanie zasobów i topologii sieci 5

Strategie definiowania polityki zapory domyślne powstrzymywanie domyślne przepuszczanie 6

Podstawowe mechanizmy działania zapór sieciowych[4] filtrowanie pakietów translacja adresów usługi proxy 7

Filtrowanie pakietów Filtrowanie pakietów jest podstawową technologią stosowaną w zaporach sieciowych. Zabezpieczenie polega na kontrolowaniu tego co może wpłynąć i wypłynąć z wewnętrznej, chronionej podsieci 8

Filtrowanie pakietów analiza adresu źródłowego i docelowego analiza numerów portów analiza znaczników brak sprawdzania kontekstu 9

Poziomy pakietów warstwa dostępu do sieci ( żródłowe i docelowe adresy MAC) warstwa internetowa (adresy IP) warstwa transportowa ( porty, znaczniki) warstwa aplikacji( protokoły takie jak FTP, HTTP, Telnet ) 10

Proste i zaawansowane filtrowanie pakietów proste analiza adresu źródłowego i docelowego oraz numerów portów zaawansowane możliwość przechowywania stanu tzn. filtry dynamiczne. Możliwość przepuszczania tylko pakietów które są odpowiedziami na nawiązane połączenie z wewnątrz sieci 11

Konfiguracja filtra pakietów określenie tego co jest dozwolone a co zabronione sprecyzowanie polityki bezpieczeństwa formalne określenie dozwolonych pakietów w postaci wyrażeń logicznych przetłumaczenie wyrażeń na składnie wykorzystywana prze dostawce zapory sieciowej 12

Zalety pakietów centralne zabezpieczenie sieci możliwość wykrycia i odrzucenia nielegalnych pakietów możliwość wykrycia podszywania się pod komputery z wewnątrz sieci 13

Wady pakietów trudna konfiguracja i testowanie reguł ( szczególnie kiedy jest ich bardzo dużo) dodatkowe obciążenie rutera występowanie błędów 14

Translacja adresów Translacja adresów sieciowych (ang. Network Address Translation - NAT) pozwala na używanie innych adresów sieciowych wewnątrz oraz na zewnątrz sieci. 15

Translacja adresów 16

Sposoby tłumaczenia adresów statyczna do każdego adresu wew. jest na stałe przydzielony adres zew. dynamiczna adresy zew. są przydzielane dynamicznie do adresów wew. dynamiczna translacja adresów i portów poza adresami również porty są przydzielane dynamicznie 17

Problemy translacji adresów przy protokole bezpołączeniowym nie można stwierdzić na podstawie nagłówka czy dany pakiet jest częścią konwersacji czy oddzielnym zdarzeniem w przypadku niektórych protokołów NAT musi na tyle rozumieć protokół aby znaleźć i zmienić ukryte adresy IP NAT nie zawsze dobrze współpracuje z systemami szyfrowania i uwierzytelniania np. IPsec gdzie nagłówek również może być szyfrowany 18

Usługi pośredniczenia Systemy pośredniczące to systemy, które mają rzeczywisty dostęp do sieci zewnętrznej i działają jako pośrednicy dla komputerów, które go nie mają. Systemy takie nazywane są też serwerami proxy 19

Cechy serwerów proxy bezpośredni dostęp do sieci zewnętrznej bezpośrednio narażone na atak potrzebuje tylko jednego ważnego adresu IP możliwość inteligentnego 20

Podział serwerów proxy działające na poziomie aplikacji i obwodu uniwersalne i specjalizowane buforujące dane inteligentne ( rejestracja zdarzeń, kontrola dostępu) 21

Architektura zapór sieciowych Ruter osłaniający Host dwusieciowy Ekranowany host Ekranowana podsieć 22

Ruter osłaniający Tanim rozwiązaniem jest zastosowanie samego filtra pakietów. Funkcję tą może spełniać ruter ekranujący (ang. screening router). Zaletą jest wysoka wydajność. Nie jest to jednak rozwiązanie zbyt elastyczne, ponieważ do dyspozycji mamy tylko filtrowanie pakietów. Rutery osłaniające mogą być więc stosowane w sieciach, gdzie wykorzystywane protokoły są proste i ich liczba jest ograniczona. Ważne jest również dobre zabezpieczenie komputerów znajdujących się w sieci wewnętrznej 23

Ruter osłaniający 24

Host dwusieciowy Zastosowanie hosta dwusieciowego (ang. dual-homed host) powoduje, że bezpośrednia komunikacja, pomiędzy Internetem a chronioną siecią, jest zablokowana. Komunikacja odbywa się wyłącznie pośrednio poprzez host dwusieciowy. Udostępnia on usługi pośredniczenia lub też przedstawia się jako ruter i realizuje przeźroczyste pośredniczenie. Pamiętać należy, że usługi pośredniczenia lepiej współpracują z usługami wychodzącymi, kiedy użytkownicy sieci wewnętrznej korzystają z zasobów sieci zewnętrznej. Z tego powodu architektura taka nie nadaje się do udostępniania usług w Internecie. Host dwusieciowy stanowi pojedyncze miejsce ochrony i dlatego musi być dobrze zabezpieczony. Rozwiązanie takie nie jest jednak zbyt wydajne i dlatego polecane jest w sytuacjach, kiedy ruch do Internetu jest niewielki 25

Host dwusieciowy 26

Ekranowany host Hosty bastionowe są bardzo ważnymi i często stosowanymi elementami firewalli. Są to wyjątkowo dobrze zabezpieczone systemy komputerowe, które widoczne są w Internecie. Z tego względu to właśnie one są celem ataków i to dlatego na nich powinny skupić się działania defensywne. 27

Ekranowany host W architekturze ekranowanego hosta (ang. screened host) host bastionowy znajduje się w sieci wewnętrznej. Jest to komputer specjalnie zabezpieczony i może on udostępniać wybrane usługi w Internecie. Konfiguracja rutera ekranującego decyduje natomiast o sposobie łączenie się z Internetem użytkowników sieci wewnętrznej. W zależności od polityki bezpieczeństwa może to być pośredniczenie realizowane w hoście bastionowym lub też filtrowanie pakietów w ruterze ekranującym. Komputery chronionej sieci powinny być dobrze zabezpieczone 28

Ekranowany host 29

Ekranowana podsieć W architekturze tego typu korzysta się z dodatkowych elementów, które pozwalają osiągnąć wyższy poziom bezpieczeństwa. W ekranowanej podsieci (ang. screened subnet) pojawia się sieć peryferyjna (ang. perimeter network), ruter wewnętrzny (ang. interior router) i zewnętrzny (ang. exterior router). Ruter wewnętrzny bywa nazywany dławiącym (ang. choke router), a zewnętrzny dostępowym (ang. access router). Sieć peryferyjna stanowi dodatkową warstwę bezpieczeństwa. W momencie włamania do hosta bastionowego napastnik uzyskuje dostęp tylko do sieci peryferyjnej. Dane przesyłane w sieci wewnętrznej są bezpieczne. Ruter dostępowy chroni sieć peryferyjną i wewnętrzną. W praktyce głównym jego zadaniem jest dodatkowa ochrona komputerów znajdujących się w sieci peryferyjnej. Ruter dławiący z kolei zabezpiecza sieć wewnętrzną zgodnie z obowiązującą polityką bezpieczeństwa. Architektura ekranowanej podsieci jest na tyle elastyczna, że sprawdza się w większości zastosowań. 30

Ekranowana podsieć 31

Bibliografia 1. Bezpieczeństwo w Unixie i Internecie. - O'Reilly. Garfinkel S. Spafford G. RM. 1997 2. Firewalle i bezpieczeństwo w sieci. Vademecum profesjonalisty - William R. Chestwick, Steven M. Bellovin, Aviel D. Rubin 2003 3.Internet Firewalls - Tworzenie zapór sieciowych - Zwicky E.D., Cooper S., Brent Chapman D.,, Wydawnictwo RM, Warszawa (2001). 4. Firewalls ściany ogniowe - Strebe M. Perkins C., Mikom Warszawa 2000 5. Zasoby WWW 32

KONIEC 33

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres