Firewalle, maskarady, proxy

Podobne dokumenty
Firewalle, maskarady, proxy

Firewalle, maskarady, proxy

Firewalle, maskarady, proxy

Zapory sieciowe i techniki filtrowania.

Zapory sieciowe i techniki filtrowania danych

Zdalne logowanie do serwerów

Systemy Firewall. Grzegorz Blinowski. "CC" - Open Computer Systems. Grzegorz.Blinowski@cc.com.pl

Router programowy z firewallem oparty o iptables

Wprowadzenie do zagadnień związanych z firewallingiem

Na podstawie: Kirch O., Dawson T. 2000: LINUX podręcznik administratora sieci. Wydawnictwo RM, Warszawa. FILTROWANIE IP

LABORATORIUM - SINUS Firewall

Księgarnia PWN: Greg Bastien, Christian Abera Degu Ściany ogniowe Cisco PIX

Sieci komputerowe. Zajęcia 4 Bezpieczeństwo w sieciach komputerowych

Sieci VPN SSL czy IPSec?

Podstawy bezpieczeństwa

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

Wykład 4: Protokoły TCP/UDP i usługi sieciowe. A. Kisiel,Protokoły TCP/UDP i usługi sieciowe

Sieci komputerowe. Wykład 5: Warstwa transportowa: TCP i UDP. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

9. System wykrywania i blokowania włamań ASQ (IPS)

Zadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation).

Wybrane metody obrony przed atakami Denial of Service Synflood. Przemysław Kukiełka

Translacja adresów - NAT (Network Address Translation)

Bezpieczeństwo w M875

Sieci komputerowe. Wykład 11: Podstawy bezpieczeństwa sieci. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

Sieci komputerowe. Zajęcia 3 c.d. Warstwa transportu, protokoły UDP, ICMP

NAT/NAPT/Multi-NAT. Przekierowywanie portów

pasja-informatyki.pl

Sieci komputerowe. Wykład 7: Transport: protokół TCP. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

Zarządzanie bezpieczeństwem w sieciach

MODEL WARSTWOWY PROTOKOŁY TCP/IP

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

Robaki sieciowe. + systemy IDS/IPS

Stan faktyczny bezpieczeństwa w polskich przedsiębiorstwach- 1/3

Bazy Danych i Usługi Sieciowe

Sieci Komputerowe Translacja adresów sieciowych

7. Konfiguracja zapory (firewall)

ZiMSK NAT, PAT, ACL 1

Programowanie współbieżne i rozproszone

Dr Michał Tanaś(

Studium przypadku Case Study CCNA2-ROUTING. Warianty projektów

Którą normę stosuje się dla okablowania strukturalnego w sieciach komputerowych?

Akademickie Centrum Informatyki PS. Wydział Informatyki PS

(źródło: pl.wikipedia.pl) (źródło:

Podstawy Transmisji Danych. Wykład IV. Protokół IPV4. Sieci WAN to połączenia pomiędzy sieciami LAN

Firewall bez adresu IP

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat zapory sieciowej (firewall) oraz oprogramowania iptables.

Opis ogólny ustawień NAT na podstawie Vigora serii 2700

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

Wdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej

Protokół DHCP. DHCP Dynamic Host Configuration Protocol

iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter echo "1" > /proc/sys/net/ipv4/ip_forward

Stos TCP/IP. Warstwa aplikacji cz.2

4. Podstawowa konfiguracja

Lp. Atak (dane wg Kaspersky Lab za 2008r) Liczba. Intrusion.Win.NETAPI.bufferoverflow.exploit ,469

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa

Bezpieczeństwo systemów komputerowych

MASKI SIECIOWE W IPv4

Sieci komputerowe. Tadeusz Kobus, Maciej Kokociński Instytut Informatyki, Politechnika Poznańska

Autorytatywne serwery DNS w technologii Anycast + IPv6 DNS NOVA. Dlaczego DNS jest tak ważny?

Załącznik nr 02 do OPZ - Zapora ogniowa typu A

DHCP + udostępnienie Internetu

Procedura konfiguracji programu Outlook Express z wykorzystaniem protokołu POP3

Zarządzanie systemami informatycznymi. Zagrożenia w sieci

E.13.1 Projektowanie i wykonywanie lokalnej sieci komputerowej / Piotr Malak, Michał Szymczak. Warszawa, Spis treści

Plan wykładu. 1. Sieć komputerowa 2. Rodzaje sieci 3. Topologie sieci 4. Karta sieciowa 5. Protokoły używane w sieciach LAN 6.

Co w sieci piszczy? Programowanie aplikacji sieciowych w C#

Zarządzanie bezpieczeństwem w sieciach dr inż. Robert Banasiak, mgr inż. Rafał Jachowicz, Instytut Informatyki Stosowanej PŁ, 2013

ARCHIWUM PAŃSTWOWE W ZIELONEJ GÓRZE. Parametry graniczne i wymagalne dla sprzętu dostarczonego przez oferenta.

OPIS PRZEDMIOTU ZAMÓWIENIA

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Protokół IPsec. Patryk Czarnik. Bezpieczeństwo sieci komputerowych MSUI 2010/11. Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski

cennik usługi transmisja danych DSL tp Tabela 1 Tabela 2 Opłaty instalacyjne za usługę transmisja danych DSL TP

Architektura oraz testowanie systemu DIADEM Firewall Piotr Piotrowski

NAT (Network Address Translation)

Adresy w sieciach komputerowych

Wykład 3 / Wykład 4. Na podstawie CCNA Exploration Moduł 3 streszczenie Dr inż. Robert Banasiak

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Protokół IPsec. Patryk Czarnik

Zadania do wykonania Firewall skrypt iptables

Specyfikacja techniczna

ASEM UBIQUITY PRZEGLĄD FUNKCJONALNOŚCI

Przesyłania danych przez protokół TCP/IP

Zestaw ten opiera się na pakietach co oznacza, że dane podczas wysyłania są dzielone na niewielkie porcje. Wojciech Śleziak

Sieci komputerowe laboratorium

11. Autoryzacja użytkowników

BEZPIECZEŃSTWO W SIECIACH

Zadanie z lokalnych sieci komputerowych. 1. Cel zajęć

Tomasz Greszata - Koszalin

1.2. Urządzenie ma obsługiwać translacje adresów NAT, PAT, 1-PAT.

Rys. 1. Wynik działania programu ping: n = 5, adres cyfrowy. Rys. 1a. Wynik działania programu ping: l = 64 Bajty, adres mnemoniczny

Instytut Teleinformatyki

WYMAGANE PARAMETRY TECHNICZNE OFEROWANYCH URZĄDZEŃ ZABEZPIECZAJĄCYCH

FORMULARZ ASORTYMENTOWO CENOWY

Sieci komputerowe i bazy danych

Sieci komputerowe - administracja

Sieci komputerowe. Wykład 3: Protokół IP. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski. Sieci komputerowe (II UWr) Wykład 3 1 / 25

Przewodnik technologii ActivCard

Wykład 5: Najważniejsze usługi sieciowe: DNS, SSH, HTTP, . A. Kisiel,Protokoły DNS, SSH, HTTP,

Transkrypt:

Firewalle, maskarady, proxy Patryk Czarnik Bezpieczeństwo sieci komputerowych MSUI 2009/10 Kontrola dostępu Polityka kontroli dostępu określa sposób dostępu do poszczególnych zasobów organizacji. Może być zależna od: kierunku czy żadanie (dane) pochodzi z sieci wewnętrznej czy zewnętrznej, usługi rodzaju usługi sieciowej (np. HTTP, poczta, FTP), węzła sieci grupa adresów sieciowych, z których dostęp jest dozwolony/zabroniony, użytkownika czasem granularność zapewniana przez adresy węzłów nie jest wystarczajaca, czasu dostęp może być dozwolony tylko w pewnych godzinach, jakości usługi można nałożyć ograniczenia na ilość zasobów (przepustowość sieci, liczba połaczeń) dostępnych dla żadaj acego.

Kontrola dostępu najważniejsze wytyczne Organizacja powinna mieć spisana politykę dostępu do sieci, zatwierdzona przez szefów. Jeśli coś nie musi być dostępne nie jest. Reguły zezwalajace sa tak ścisłe jak to możliwe. Wybór oprogramowania pozwalajacego zrealizować politykę bezpieczeństwa (m.in. decyzja czy firewall, czy proxy zależna od ustalonej polityki). Zapora sieciowa Terminologia Firewall Tłumaczenia: ściana/zapora ogniowa/przeciwogniowa Może lepiej: zapora sieciowa Funkcjonalność System (lub grupa systemów) wymuszajacy politykę kontroli dostępu W praktyce chodzi o filtrowanie ruchu sieciowego w oparciu o mniej lub bardziej wyrafinowane reguły Ochrona przed większości a ataków aktywnych pod warunkiem, właściwej konfiguracji

Umiejscowienie zapór sieciowych (1) Granica podsieci (bramka) Rozwiazanie tradycyjne Zapewnia kontrolę administratora nad ruchem z/do całej podsieci Cała konfiguracja w jednym miejscu to zaleta To także wada konfiguracja specyficzna ze względu na maszyny wewnatrz sieci może bardzo sie rozrosnać, a jej aktualizacja być uciażliwa Nie uwzględnia ruchu wewnatrz sieci Umiejscowienie zapór sieciowych (2) Idywidualny komputer (np. terminal użytkownia) Rozwiazanie zalecane od niedawna Jako dodatek do poprzedniego, a nie zamiast Łatwiejsza konfiguracja specyficzna dla danej maszyny (np. uwzględniajaca majace tam działać aplikacje) Możliwa konfiguracja specyficzna dla użytkowników (o ile oprogramowanie pozwala) (Oczywiście) zalecane szczególnie gdy komputer nie jest chroniony zapora w bramce

Rodzaje ścian ogniowych Statyczne (bezstanowe, pakietowe) pierwsza generacja. Stanowe (dynamiczne) druga generacja. Poziomu aplikacji (oparte o proxy) trzecia generacja. Możliwe dodatkowe funkcjonalności (często połaczone we wspólna infrastrukturę): translacja adresów (NAT), maskarada, dodatkowe funkcje proxy. Skad wiemy czy wpuścić? Podstawowa metoda różnicowania żadań informacje zawarte w nagłówkach pakietów, m.in.: port (uznajemy za rodzaj usługi); 20000 zarezerwowanych i standardowo używanych portów, np.: 23 Telnet, 25 SMTP, 53 DNS, 110 POP-3, adres źródłowy żadania, adres docelowy żadania.

Statyczne filtrowanie pakietów Każdy pakiet traktowany indywidualnie. Dopuszcza lub blokuje połaczenia pomiędzy określonymi parami portów. Najsłabszy sposób kontroli dostępu: nie bierze pod uwagę dynamiki i historii ruchu sieciowego. Wiele ruterów ma wbudowana możliwość statycznego filtrowania pakietów. Dynamiczne filtrowanie pakietów Tablica połaczeń, możliwość pamiętania stanu połaczenia. Dopasowywanie pakietu do połaczenia w tablicy (lub nowy wpis). Bardziej dokładna kontrola ruchu, np.: możliwość odrzucania pakietów wyrwanych z kontekstu, możliwość akceptacji pakietów wychodzacych należacych do zaakceptowanego wcześniej połaczenia przychodzacego (i tylko takich). iptables reguły bezstanowe i stanowe, wtyczki dla poziomu aplikacji

Serwery pośredniczace (Proxy) Aplikacja służaca jako pośrednik w ruchu pomiędzy siecia wewnętrzna a Internetem. Dzięki temu węzły sieci wewnętrznej nie sa nigdy bezpośrednio podłaczone do komputerów w Internecie. Moga uzupełniać filtrowanie pakietów przez ściany ogniowe. Działaja na poziomie aplikacji (np. HTTP lub FTP), a więc maja dostęp nie tylko do nagłówków pakietu ale także do danych w nich zawartych. Dlatego możemy za ich pomoca wymusić kontrolę dostępu na wyższym poziomie szczegółowości niż w przypadku ścian ogniowych. Application Proxy Firewall Zapora rozumie poziom aplikacji i jest w stanie kontrolować ruch w zależności od jego znaczenia na poziomie aplikacji. Filtrowanie na poziomie aplikacji; przykładowe zastosowania: FTP blokowanie wszystkich żadań PUT oraz MPUT. HTTP dostęp do określonych katalogów tylko dla określonych adresów źródłowych. Możliwość odszyfrowywania danych i analizowania treści o ile skonfigurowane parametry kryptograficzne (np. znany prywatny klucz SSL serwera https) Uwierzytelnianie użytkowników nawiazuj acych połaczenia. Zapamiętywanie informacji o połaczeniach do późniejszej analizy. Funkcjonalność odpowiada funkcjonalności serwerów proxy, ale tu jest przezroczysta dla aplikacji.

Wady i koszty serwerów proxy Niezbędna osobna implementacja dla każdego nowego protokołu/usługi. Nie przezroczyste klient musi skonfigurować aplikację tak aby korzystała ona z serwera pośredniczacego. Nie dotyczy to zapór typu proxy, tylko zwykłych serwerów proxy. Bardziej skomplikowana niż w przypadku prostych zapór konfiguracja. SOCKS Socks inny typ serwerów pośredniczacych. Można go porównać do centrali telefonicznej która zajmuje się łaczeniem połaczeń przychodzacych z wychodzacymi. Serwery SOCKS działaja z TCP oraz UDP (od wersji 5tej). Zapewniaja zarówno logowanie jak i silne uwierzytelniania (także od wersji 5.0) połaczeń. SOCKS może ł aczyć węzły z adresami IP v.4, IP v.6 jak i pomiędzy nimi.

Działanie SOCKS Konfiguracja obsługi SOCKS po stronie klienta: Aby skonfigurować połaczenie przez SOCKS po stronie klienta niezbędna jest biblioteka SOCKS która jest warstwa pośredniczaca pomiędzy warstwa aplikacji i warstwa gniazd. Aplikacja jest w ten sposób "oszukiwana" - wywołania funkcji z API gniazd i DNS sa zastępowane przez wywołania funkcji z SOCKS Lib o tej samej nazwie. Rozwiazanie takie jest przezroczyste dla aplikacji klienckich. Tłumaczenie adresów (Network Address Translation) Ukrywanie adresów wewnętrznych przed siecia zewnętrzna. Translacja adresu źródłowego z wewnętrznego na adres z puli zewnętrznej przy wychodzeniu pakietu na zewnatrz. Translacja adresu docelowego z zewnętrznego na odpowiadajacy mu adres wewnętrzny przy przychodzeniu pakietu z zewnatrz. Na poziomie IP. Relacja 1-1 między adresami wewnętrznymi a zewnętrznymi.

Zalety i wady NAT Zalety: Serwery NAT sa dostępne dla większości systemów operacyjnych (w Linuxie zintegrowane z firewallami). NAT nie wymaga specjalnego oprogramowania na poziomie aplikacji. NAT jest w wysokim stopniu konfigurowalne. Wady: Konieczność zapewnienia dużej puli adresowej dla odpowiednio dużej sieci. Maskarada Nazywana także NAT 1 do wielu lub PAT (Port Address Translation). Jeden adres IP (zwykle samego serwera maskarady) dla wszystkich adresów wewnętrznych. Rozróżnienie na poziomie portów. Działanie: 1. serwer w sieci wewnętrznej wysyła pakiet do Internetu przez serwer Maskarady, 2. serwer zmienia w pakiecie adres źródłowy na własny oraz port źródłowy na wolny zapisujac jednocześnie pary adresów i portów w specjalnej tablicy, 3. gdy nadejdzie odpowiedź z Internetu serwer Maskarady sprawdza czy ma odpowiednia parę adresów i portów w tablicy i jeśli tak to tłumaczy adres i port na ich odpowiedniki wzięte z tablicy i wysyła tak zmieniony pakiet do sieci wewnętrznej.

Zalety i wady maskarady Zalety: potrzebny jest tylko jeden adres IP nie wymaga specjalnego wsparcia ze strony aplikacji dobrze zintegrowane z oprogramowaniem ścian ogniowych - zapewnia większe bezpieczeństwo Wady: oprogramowanie maskarady jest w tej chwili dostępne jedynie w systemie Linuks oraz niektórych ruterach ISDN, pewne typy protokołów wymagaja specjalnego wsparcia ze strony ściany ogniowej aby działać poprawnie (dostępne na Linuksie), serwery w sieci wewnętrznej nie będa widoczne dla klientów z zewnatrz - każdy ruch wchodzacy musi być wcześniej zainicjowany przez węzeł w sieci wewnętrznej, IDS Intrusion Detection Systems Systemy IDS sa dopełnieniem ścian ogniowych. Ich zadaniem jest monitorowanie sieci i wykrywanie wszelkich podejrzanych zachowań. Jeśli założymy, że włamywacz prześliznał się przez ścianę ogniowa to czeka na niego system IDS, który będzie logował wszelka aktywność sieciowa i ewentualnie podniesie alarm (np. przez wysłanie listu do administratora systemu). Systemy IDS korzystaja z bazy danych zawierajacej historię dotychczasowego ruchu w sieci i dokonuja na jej podstawie analizy statystycznej która pozwala im odróżniać zachowania typowe od nietypowych. Potrafia też rozpoznawać typowe ataki na podstawie wbudowanych w nie algorytmów. Zaleta systemów typu IDS jest też to, że utrudniaja ataki nadchodzace z wnętrza systemu (sieci wewnętrznej).

Odmowa świadczenia usług - (Denial of Services) Jest to atak aktywny którego celem nie jest włamanie się do systemu ale uniemożliwienie mu normalnej pracy. Zazwyczaj polega na zapchaniu serwerów lawina pakietów. Jeśli będzie to atak rozproszony to przy obecnej infrastrukturze Internetu jest on właściwie nie do uniknięcia. Możemy jedynie starać się odciać fizycznie ruch przychodzacy od podejrzanych węzłów kontaktujac się z administratorami ruterów leżacych na jego trasie.

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres