Bezpieczeństwo – zapory sieciowe
Opracował: Zbigniew Suski
1
Zapory sieciowe
Główne zagadnienia wykładu
Zapora sieciowa jest umieszczana między siecią wewnętrzną organizacji i siecią zewnętrzną.
Dostarcza ona prostego mechanizmu kontroli ilości i rodzaju ruchu sieciowego między obydwoma
sieciami. Podstawowym jej zadaniem jest ograniczenie przepływu danych między tymi sieciami.
Przed postawieniem zapory trzeba określić, jakie rodzaje danych mają być przez nią przepuszczane,
a jakie nie. Czyli trzeba zdefiniować politykę zapory. Następnie należy skonstruować mechanizmy,
które umożliwią wprowadzenie tej polityki w życie.
Podstawowe strategie definiowania zapory:
•
Domyślne przepuszczanie polega na określeniu zbioru warunków, których spełnienie będzie
powodowało blokowanie danych. Każdy host lub protokół nie objęty tą polityką będzie przepusz-
czany.
•
Domyślne blokowanie polega na określeniu protokołów, które będą mogły przechodzić przez
zaporę oraz hostów, które będą mogły przesyłać przez nią dane i z którymi komputery w sieci
wewnętrznej będą się mogły komunikować. Wszystkie elementy nie objęte definicjami będą blo-
kowane.
Dodatkowe funkcje zapory:
•
Blokowanie
dostępu do całej sieci z określonych miejsc w sieci zewnętrznej.
•
Blokowanie
dostępu określonym użytkownikom do wybranych serwerów i usług.
•
Monitorowanie komunikacji między sieciami. Przykładowo rejestracja końcowych punktów połą-
czeń i ilość przesyłanych danych.
•
Podsłuchiwanie i rejestrowanie komunikacji między sieciami w celu badania przypadków penetra-
cji sieci, wykrywania intruzów i wewnętrznych sabotażystów.
•
Automatyczne szyfrowanie i deszyfrowanie pakietów. Sieć zewnętrzna staje się własnym połą-
czeniem typu WAN (prywatna sieć wirtualna - Virtual Private Network)
Komponenty zapory sieciowej
Dławiki - Urządzenia komputerowe lub komunikacyjne służące do ograniczania przepływu pakietów
między sieciami. Często realizowane za pomocą routerów.
Bramy (hosty bastionowe) - Specjalnie skonstruowane programy, urządzenia lub komputery, które
odpowiadają na połączenia z zewnętrznych sieci i odpowiednio je obsługują.
Programy działające w bramach
•
Sieciowe programy klienckie (telnet, ftp, mosaic ...)
•
Serwery
proxy.
•
Sieciowe programy - serwery.
Podstawowe konfiguracje
•
Host z dwoma portami
•
Filtrowanie pakietów - zapora z jednym dławikiem
•
Ekranowany host - zapora z jednym dlawikiem i jedną bramą
•
Ekranowana
podsieć - zapora z dwoma dławikami i bramą
Bezpieczeństwo – zapory sieciowe
Opracował: Zbigniew Suski
2
Filtrowanie pakietów
Filtry bezstanowe (stateless),
Teoretycznie w takich filtrach decyzja o akceptacji lub odrzuceniu pakietu mogłaby brać pod uwagę
każdy element składowy nagłówka określonego protokołu. Najczęściej jednak filtrowanie oparte jest
na takich polach jak:
•
typ
protokołu (UDP, TCP, ICMP) - ta informacja jest jednak na tyle ogólna, że zwykle dopusz-
cza się wszystkie protokoły,
•
adres
IP,
•
port
TCP/UDP,
•
znacznik
fragmentu,
•
informacja o wyborze trasy (routing źródłowy).
Filtry z badaniem stanu (statefull inspection).
Przechowują informację o stanie całego ruchu przechodzącego przez filtr. Wykorzystują ją do
określania czy pojedynczy pakiet powinien być odrzucony. Filtry takie działają na poziomie warstwy
sieciowej oraz sesji. Informacja jest pobierana z pakietów przepływających podczas nawiązywania
sesji. Umożliwia to odróżnienie poprawnych pakietów zwrotnych od niepoprawnych prób połączeń
lub włamań. Adres gniazda (adres IP i numer portu zwrotnego są zapamiętywane). Zapisy w tablicy
stanów są usuwane gdy przesyłane są pakiety związane z zamknięciem sesji lub po upływie określo-
nego czasu. Jeżeli z zewnątrz przychodzi pakiet, który nie ma pozycji w tablicy stanów , to jest od-
rzucany.
Bezpieczeństwo – zapory sieciowe
Opracował: Zbigniew Suski
3
Bezpieczeństwo - Zapory sieciowe
FIR 02
Sieć zewnętrzna
Zapora sieciowa
Sieć wewnętrzna
Host z dwoma portami
Bezpieczeństwo – zapory sieciowe
Opracował: Zbigniew Suski
4
Bezpieczeństwo - Zapory sieciowe
Dławik
Sieć wewnętrzna
Sieć zewnętrzna
Dławik
Bezpieczeństwo – zapory sieciowe
Opracował: Zbigniew Suski
5
Bezpieczeństwo - Zapory sieciowe
FIR 04
Sieć zewnętrzna
Zapora sieciowa
Sieć wewnętrzna
Dławik
Dławik i brama
Bezpieczeństwo – zapory sieciowe
Opracował: Zbigniew Suski
6
Bezpieczeństwo - Zapory sieciowe
FIR05
Sieć obwodowa
Dwa dławiki i jedna brama
Dławik zewnętrzny
Brama
Sieć zewnętrzna
Dławik wewnętrzny
Zapora sieciowa
Sieć wewnętrzna
Bezpieczeństwo – zapory sieciowe
Opracował: Zbigniew Suski
7
Bezpieczeństwo - zapory sieciowe
FIR 07
Planowanie konfiguracji
☞
Co chronić ?
☞
Czy użyć własnej, czy gotowej zapory ?
☞
Czy kupić usługę monitorowanej zapory ?
☞
Ile pieniędzy wydać
☞
Czy wystarczy proste filtrowanie pakietów ?
☞
Jeśli filtrowanie nie wystarczy, czy potrzebny bę-
dzie dławik, brama, a może jedno i drugie ?
☞
Czy zezwalać na przychodzące połączenia typu
telnet ?
•
Jak weryfikować autentyczność ?
•
Jak chronić się przed podsłuchem haseł ?
☞
Jak nakłonić użytkownika do stosowania zasad
bezpieczeństwa wynikających ze stosowania za-
pory ?
Bezpieczeństwo – zapory sieciowe
Opracował: Zbigniew Suski
8
Serwery proxy
Serwery proxy pośredniczą w przekazywaniu żądań klientów sieci wewnętrznej do sieci ze-
wnętrznej. Pozwala to ukrywać klientów przed badaniem z zewnątrz. Wiele aktualnie dostępnych
pakietów tego typu realizuje również usługi filtrowania pakietów i NAT. Połączenie tych wszystkich
technologii pozwala wyeliminować pewne ataki, którym prawdopodobnie "czyste" proxy nie sprosta-
łoby. Serwery proxy najczęściej związane są z WWW (ze względów historycznych) ale podobnie
działają dla innych usług.
Proxy nasłuchuje zleceń usługi od klientów wewnętrznych i przesyła je w ich imieniu do sieci
zewnętrznej. Po otrzymaniu odpowiedzi z zewnątrz zwraca ją do rzeczywistego klienta.
Bezpieczeństwo - proxy
R - 01
Usługa proxy
Klienci
Interfejs
wewnętrzny
Interfejs
zewnętrzny
Proxy
Serwer
publiczny
żądanie strony
sprawdzenie URL
żądanie strony
przesłanie strony
filtrowanie
strony
przesłanie strony
Bezpieczeństwo – zapory sieciowe
Opracował: Zbigniew Suski
9
Bezpieczeństwo - proxy
R - 02
Zalety proxy
Ukrywanie klienta przed światem zewnętrznym
Blokowanie niebezpiecznych URL
Filtrowanie niebezpiecznej zawartości
(wirusy, konie trojańskie)
Badanie spójności przesyłanej informacji
Eliminacja routingu między sieciami
Zapewnienie pojedynczego punktu dostępu
(nadzorowanie i rejestracja zdarzeń)
Wady proxy
pojedynczy punkt - wrażliwość na awarie
oprogramowanie klienckie musi współpracować z proxy
każda usługa musi mieć proxy
proxy nie chroni systemu operacyjnego
małe bezpieczeństwo konfiguracji domyślnych
zatory
Bezpieczeństwo – zapory sieciowe
Opracował: Zbigniew Suski
10
Literatura:
1. S.Garfinkel, G.Spafford. Practical Unix and Internet Security. O’Reilly & Associates 1996 (tłum.
RM 1997).
2. V.Ahuja. Network & Internet Security. Academic Press 1996 (tłum. MIKOM 1997).
3. D.Atkins. Internet Security: Professional Reference. New Riders Publishing 1997 (tłum. LT&P
1997)
4. L.Klander. Hacker Proof. Jamsa Press, 1997 (tłum. MIKOM 1998).
5. M. Strebe, Ch. Perkins, Firewalls. SYBEX, Inc. 2000, (tłum MIKOM 2000).