Bezpieczeństwo systemów komputerowych. Temat seminarium: Zapory sieciowe i techniki Autor: Bartosz Biegański Zapory sieciowe i techniki. Seminarium 2004 5.04.2004 PP, SKiSR 1
Plan prezentacji Wprowadzenie Cele zastosowania zapór sieciowych Podstawowe mechanizmy działania zapór sieciowych Architektura zapor sieciowych Podsumowanie 2
Wprowadzenie Zaporą sieciowa (ang. firewall) nazywamy każdy program, układ lub sprzęt ograniczający korzystanie z sieci. [2] 3
Cele stosowania zapór sieciowych zapewnienie "bezpiecznego" dostępu do Internetu użytkownikom sieci prywatnej zapewnienie ochrony zasobów sieci prywatnej przed atakami z zewnątrz blokowanie (całkowite lub częściowe) dostępu do określonych miejsc w Internecie 4
Cele stosowania zapór sieciowych monitorowanie komunikacji pomiędzy siecią prywatną a Internetem rejestrowanie całości lub określonej części ruchu międzysieciowego ukrywanie zasobów i topologii sieci 5
Strategie definiowania polityki zapory domyślne powstrzymywanie domyślne przepuszczanie 6
Podstawowe mechanizmy działania zapór sieciowych[4] filtrowanie pakietów translacja adresów usługi proxy 7
Filtrowanie pakietów Filtrowanie pakietów jest podstawową technologią stosowaną w zaporach sieciowych. Zabezpieczenie polega na kontrolowaniu tego co może wpłynąć i wypłynąć z wewnętrznej, chronionej podsieci 8
Filtrowanie pakietów analiza adresu źródłowego i docelowego analiza numerów portów analiza znaczników brak sprawdzania kontekstu 9
Poziomy pakietów warstwa dostępu do sieci ( żródłowe i docelowe adresy MAC) warstwa internetowa (adresy IP) warstwa transportowa ( porty, znaczniki) warstwa aplikacji( protokoły takie jak FTP, HTTP, Telnet ) 10
Proste i zaawansowane filtrowanie pakietów proste analiza adresu źródłowego i docelowego oraz numerów portów zaawansowane możliwość przechowywania stanu tzn. filtry dynamiczne. Możliwość przepuszczania tylko pakietów które są odpowiedziami na nawiązane połączenie z wewnątrz sieci 11
Konfiguracja filtra pakietów określenie tego co jest dozwolone a co zabronione sprecyzowanie polityki bezpieczeństwa formalne określenie dozwolonych pakietów w postaci wyrażeń logicznych przetłumaczenie wyrażeń na składnie wykorzystywana prze dostawce zapory sieciowej 12
Zalety pakietów centralne zabezpieczenie sieci możliwość wykrycia i odrzucenia nielegalnych pakietów możliwość wykrycia podszywania się pod komputery z wewnątrz sieci 13
Wady pakietów trudna konfiguracja i testowanie reguł ( szczególnie kiedy jest ich bardzo dużo) dodatkowe obciążenie rutera występowanie błędów 14
Translacja adresów Translacja adresów sieciowych (ang. Network Address Translation - NAT) pozwala na używanie innych adresów sieciowych wewnątrz oraz na zewnątrz sieci. 15
Translacja adresów 16
Sposoby tłumaczenia adresów statyczna do każdego adresu wew. jest na stałe przydzielony adres zew. dynamiczna adresy zew. są przydzielane dynamicznie do adresów wew. dynamiczna translacja adresów i portów poza adresami również porty są przydzielane dynamicznie 17
Problemy translacji adresów przy protokole bezpołączeniowym nie można stwierdzić na podstawie nagłówka czy dany pakiet jest częścią konwersacji czy oddzielnym zdarzeniem w przypadku niektórych protokołów NAT musi na tyle rozumieć protokół aby znaleźć i zmienić ukryte adresy IP NAT nie zawsze dobrze współpracuje z systemami szyfrowania i uwierzytelniania np. IPsec gdzie nagłówek również może być szyfrowany 18
Usługi pośredniczenia Systemy pośredniczące to systemy, które mają rzeczywisty dostęp do sieci zewnętrznej i działają jako pośrednicy dla komputerów, które go nie mają. Systemy takie nazywane są też serwerami proxy 19
Cechy serwerów proxy bezpośredni dostęp do sieci zewnętrznej bezpośrednio narażone na atak potrzebuje tylko jednego ważnego adresu IP możliwość inteligentnego 20
Podział serwerów proxy działające na poziomie aplikacji i obwodu uniwersalne i specjalizowane buforujące dane inteligentne ( rejestracja zdarzeń, kontrola dostępu) 21
Architektura zapór sieciowych Ruter osłaniający Host dwusieciowy Ekranowany host Ekranowana podsieć 22
Ruter osłaniający Tanim rozwiązaniem jest zastosowanie samego filtra pakietów. Funkcję tą może spełniać ruter ekranujący (ang. screening router). Zaletą jest wysoka wydajność. Nie jest to jednak rozwiązanie zbyt elastyczne, ponieważ do dyspozycji mamy tylko filtrowanie pakietów. Rutery osłaniające mogą być więc stosowane w sieciach, gdzie wykorzystywane protokoły są proste i ich liczba jest ograniczona. Ważne jest również dobre zabezpieczenie komputerów znajdujących się w sieci wewnętrznej 23
Ruter osłaniający 24
Host dwusieciowy Zastosowanie hosta dwusieciowego (ang. dual-homed host) powoduje, że bezpośrednia komunikacja, pomiędzy Internetem a chronioną siecią, jest zablokowana. Komunikacja odbywa się wyłącznie pośrednio poprzez host dwusieciowy. Udostępnia on usługi pośredniczenia lub też przedstawia się jako ruter i realizuje przeźroczyste pośredniczenie. Pamiętać należy, że usługi pośredniczenia lepiej współpracują z usługami wychodzącymi, kiedy użytkownicy sieci wewnętrznej korzystają z zasobów sieci zewnętrznej. Z tego powodu architektura taka nie nadaje się do udostępniania usług w Internecie. Host dwusieciowy stanowi pojedyncze miejsce ochrony i dlatego musi być dobrze zabezpieczony. Rozwiązanie takie nie jest jednak zbyt wydajne i dlatego polecane jest w sytuacjach, kiedy ruch do Internetu jest niewielki 25
Host dwusieciowy 26
Ekranowany host Hosty bastionowe są bardzo ważnymi i często stosowanymi elementami firewalli. Są to wyjątkowo dobrze zabezpieczone systemy komputerowe, które widoczne są w Internecie. Z tego względu to właśnie one są celem ataków i to dlatego na nich powinny skupić się działania defensywne. 27
Ekranowany host W architekturze ekranowanego hosta (ang. screened host) host bastionowy znajduje się w sieci wewnętrznej. Jest to komputer specjalnie zabezpieczony i może on udostępniać wybrane usługi w Internecie. Konfiguracja rutera ekranującego decyduje natomiast o sposobie łączenie się z Internetem użytkowników sieci wewnętrznej. W zależności od polityki bezpieczeństwa może to być pośredniczenie realizowane w hoście bastionowym lub też filtrowanie pakietów w ruterze ekranującym. Komputery chronionej sieci powinny być dobrze zabezpieczone 28
Ekranowany host 29
Ekranowana podsieć W architekturze tego typu korzysta się z dodatkowych elementów, które pozwalają osiągnąć wyższy poziom bezpieczeństwa. W ekranowanej podsieci (ang. screened subnet) pojawia się sieć peryferyjna (ang. perimeter network), ruter wewnętrzny (ang. interior router) i zewnętrzny (ang. exterior router). Ruter wewnętrzny bywa nazywany dławiącym (ang. choke router), a zewnętrzny dostępowym (ang. access router). Sieć peryferyjna stanowi dodatkową warstwę bezpieczeństwa. W momencie włamania do hosta bastionowego napastnik uzyskuje dostęp tylko do sieci peryferyjnej. Dane przesyłane w sieci wewnętrznej są bezpieczne. Ruter dostępowy chroni sieć peryferyjną i wewnętrzną. W praktyce głównym jego zadaniem jest dodatkowa ochrona komputerów znajdujących się w sieci peryferyjnej. Ruter dławiący z kolei zabezpiecza sieć wewnętrzną zgodnie z obowiązującą polityką bezpieczeństwa. Architektura ekranowanej podsieci jest na tyle elastyczna, że sprawdza się w większości zastosowań. 30
Ekranowana podsieć 31
Bibliografia 1. Bezpieczeństwo w Unixie i Internecie. - O'Reilly. Garfinkel S. Spafford G. RM. 1997 2. Firewalle i bezpieczeństwo w sieci. Vademecum profesjonalisty - William R. Chestwick, Steven M. Bellovin, Aviel D. Rubin 2003 3.Internet Firewalls - Tworzenie zapór sieciowych - Zwicky E.D., Cooper S., Brent Chapman D.,, Wydawnictwo RM, Warszawa (2001). 4. Firewalls ściany ogniowe - Strebe M. Perkins C., Mikom Warszawa 2000 5. Zasoby WWW 32
KONIEC 33