bsi zapory sieciowe CDH2VVTCA3D Nieznany (2)

background image

Bezpieczeństwo – zapory sieciowe

Opracował: Zbigniew Suski

1

Zapory sieciowe

Główne zagadnienia wykładu

Zapora sieciowa jest umieszczana między siecią wewnętrzną organizacji i siecią zewnętrzną.

Dostarcza ona prostego mechanizmu kontroli ilości i rodzaju ruchu sieciowego między obydwoma
sieciami. Podstawowym jej zadaniem jest ograniczenie przepływu danych między tymi sieciami.
Przed postawieniem zapory trzeba określić, jakie rodzaje danych mają być przez nią przepuszczane,
a jakie nie. Czyli trzeba zdefiniować politykę zapory. Następnie należy skonstruować mechanizmy,
które umożliwią wprowadzenie tej polityki w życie.
Podstawowe strategie definiowania zapory:

Domyślne przepuszczanie polega na określeniu zbioru warunków, których spełnienie będzie

powodowało blokowanie danych. Każdy host lub protokół nie objęty tą polityką będzie przepusz-
czany.

Domyślne blokowanie polega na określeniu protokołów, które będą mogły przechodzić przez

zaporę oraz hostów, które będą mogły przesyłać przez nią dane i z którymi komputery w sieci
wewnętrznej będą się mogły komunikować. Wszystkie elementy nie objęte definicjami będą blo-
kowane.

Dodatkowe funkcje zapory:

Blokowanie

dostępu do całej sieci z określonych miejsc w sieci zewnętrznej.

Blokowanie

dostępu określonym użytkownikom do wybranych serwerów i usług.

Monitorowanie komunikacji między sieciami. Przykładowo rejestracja końcowych punktów połą-

czeń i ilość przesyłanych danych.

Podsłuchiwanie i rejestrowanie komunikacji między sieciami w celu badania przypadków penetra-

cji sieci, wykrywania intruzów i wewnętrznych sabotażystów.

Automatyczne szyfrowanie i deszyfrowanie pakietów. Sieć zewnętrzna staje się własnym połą-

czeniem typu WAN (prywatna sieć wirtualna - Virtual Private Network)

Komponenty zapory sieciowej
Dławiki
- Urządzenia komputerowe lub komunikacyjne służące do ograniczania przepływu pakietów

między sieciami. Często realizowane za pomocą routerów.

Bramy (hosty bastionowe) - Specjalnie skonstruowane programy, urządzenia lub komputery, które

odpowiadają na połączenia z zewnętrznych sieci i odpowiednio je obsługują.

Programy działające w bramach

Sieciowe programy klienckie (telnet, ftp, mosaic ...)

Serwery

proxy.

Sieciowe programy - serwery.

Podstawowe konfiguracje

Host z dwoma portami

Filtrowanie pakietów - zapora z jednym dławikiem

Ekranowany host - zapora z jednym dlawikiem i jedną bramą

Ekranowana

podsieć - zapora z dwoma dławikami i bramą

background image

Bezpieczeństwo – zapory sieciowe

Opracował: Zbigniew Suski

2

Filtrowanie pakietów

Filtry bezstanowe (stateless),
Teoretycznie w takich filtrach decyzja o akceptacji lub odrzuceniu pakietu mogłaby brać pod uwagę
każdy element składowy nagłówka określonego protokołu. Najczęściej jednak filtrowanie oparte jest
na takich polach jak:

typ

protokołu (UDP, TCP, ICMP) - ta informacja jest jednak na tyle ogólna, że zwykle dopusz-

cza się wszystkie protokoły,

adres

IP,

port

TCP/UDP,

znacznik

fragmentu,

informacja o wyborze trasy (routing źródłowy).

Filtry z badaniem stanu (statefull inspection).

Przechowują informację o stanie całego ruchu przechodzącego przez filtr. Wykorzystują ją do

określania czy pojedynczy pakiet powinien być odrzucony. Filtry takie działają na poziomie warstwy
sieciowej oraz sesji. Informacja jest pobierana z pakietów przepływających podczas nawiązywania
sesji. Umożliwia to odróżnienie poprawnych pakietów zwrotnych od niepoprawnych prób połączeń
lub włamań. Adres gniazda (adres IP i numer portu zwrotnego są zapamiętywane). Zapisy w tablicy
stanów są usuwane gdy przesyłane są pakiety związane z zamknięciem sesji lub po upływie określo-
nego czasu. Jeżeli z zewnątrz przychodzi pakiet, który nie ma pozycji w tablicy stanów , to jest od-
rzucany.

background image

Bezpieczeństwo – zapory sieciowe

Opracował: Zbigniew Suski

3

Bezpieczeństwo - Zapory sieciowe

FIR 02

Sieć zewnętrzna

Zapora sieciowa

Sieć wewnętrzna

Host z dwoma portami

background image

Bezpieczeństwo – zapory sieciowe

Opracował: Zbigniew Suski

4

Bezpieczeństwo - Zapory sieciowe

Dławik

Sieć wewnętrzna

Sieć zewnętrzna

Dławik

background image

Bezpieczeństwo – zapory sieciowe

Opracował: Zbigniew Suski

5

Bezpieczeństwo - Zapory sieciowe

FIR 04

Sieć zewnętrzna

Zapora sieciowa

Sieć wewnętrzna

Dławik

Dławik i brama

background image

Bezpieczeństwo – zapory sieciowe

Opracował: Zbigniew Suski

6

Bezpieczeństwo - Zapory sieciowe

FIR05

Sieć obwodowa

Dwa dławiki i jedna brama

Dławik zewnętrzny

Brama

Sieć zewnętrzna

Dławik wewnętrzny

Zapora sieciowa

Sieć wewnętrzna

background image

Bezpieczeństwo – zapory sieciowe

Opracował: Zbigniew Suski

7

Bezpieczeństwo - zapory sieciowe

FIR 07

Planowanie konfiguracji

Co chronić ?

Czy użyć własnej, czy gotowej zapory ?

Czy kupić usługę monitorowanej zapory ?

Ile pieniędzy wydać

Czy wystarczy proste filtrowanie pakietów ?

Jeśli filtrowanie nie wystarczy, czy potrzebny bę-
dzie dławik, brama, a może jedno i drugie ?

Czy zezwalać na przychodzące połączenia typu
telnet ?

Jak weryfikować autentyczność ?

Jak chronić się przed podsłuchem haseł ?

Jak nakłonić użytkownika do stosowania zasad
bezpieczeństwa wynikających ze stosowania za-
pory ?

background image

Bezpieczeństwo – zapory sieciowe

Opracował: Zbigniew Suski

8

Serwery proxy

Serwery proxy pośredniczą w przekazywaniu żądań klientów sieci wewnętrznej do sieci ze-

wnętrznej. Pozwala to ukrywać klientów przed badaniem z zewnątrz. Wiele aktualnie dostępnych
pakietów tego typu realizuje również usługi filtrowania pakietów i NAT. Połączenie tych wszystkich
technologii pozwala wyeliminować pewne ataki, którym prawdopodobnie "czyste" proxy nie sprosta-
łoby. Serwery proxy najczęściej związane są z WWW (ze względów historycznych) ale podobnie
działają dla innych usług.

Proxy nasłuchuje zleceń usługi od klientów wewnętrznych i przesyła je w ich imieniu do sieci

zewnętrznej. Po otrzymaniu odpowiedzi z zewnątrz zwraca ją do rzeczywistego klienta.

Bezpieczeństwo - proxy

R - 01

Usługa proxy

Klienci

Interfejs

wewnętrzny

Interfejs

zewnętrzny

Proxy

Serwer

publiczny

żądanie strony

sprawdzenie URL

żądanie strony

przesłanie strony

filtrowanie

strony

przesłanie strony

background image

Bezpieczeństwo – zapory sieciowe

Opracował: Zbigniew Suski

9

Bezpieczeństwo - proxy

R - 02

Zalety proxy

 Ukrywanie klienta przed światem zewnętrznym
 Blokowanie niebezpiecznych URL
 Filtrowanie niebezpiecznej zawartości

(wirusy, konie trojańskie)

 Badanie spójności przesyłanej informacji
 Eliminacja routingu między sieciami
 Zapewnienie pojedynczego punktu dostępu

(nadzorowanie i rejestracja zdarzeń)

Wady proxy

 pojedynczy punkt - wrażliwość na awarie
 oprogramowanie klienckie musi współpracować z proxy
 każda usługa musi mieć proxy
 proxy nie chroni systemu operacyjnego
 małe bezpieczeństwo konfiguracji domyślnych
 zatory

background image

Bezpieczeństwo – zapory sieciowe

Opracował: Zbigniew Suski

10

Literatura:
1. S.Garfinkel, G.Spafford. Practical Unix and Internet Security. O’Reilly & Associates 1996 (tłum.

RM 1997).

2. V.Ahuja. Network & Internet Security. Academic Press 1996 (tłum. MIKOM 1997).
3. D.Atkins. Internet Security: Professional Reference. New Riders Publishing 1997 (tłum. LT&P

1997)

4. L.Klander. Hacker Proof. Jamsa Press, 1997 (tłum. MIKOM 1998).
5. M. Strebe, Ch. Perkins, Firewalls. SYBEX, Inc. 2000, (tłum MIKOM 2000).


Wyszukiwarka

Podobne podstrony:
Mapowanie Dyskow Sieciowych id Nieznany
referat Zapory sieciowe
bsi lab2 id 93526 Nieznany
zapory sieciowe by PSYCHOMAN
ochrona sieci lokalnej za pomocą zapory sieciowej, Pomoce naukowe, studia, informatyka
Zapory sieciowe w systemie Linux Kompendium wiedzy o nftables Wydanie IV zasili
Zapory sieciowe w systemie Linux Kompendium wiedzy o nftables Wydanie IV zasili
Zapory sieciowe
Zapory sieciowe w systemie Linux Kompendium wiedzy o nftables Wydanie IV
Zapory sieciowe w systemie Linux Kompendium wiedzy o nftables Wydanie IV
II STRUKTURA KOMUNIKACJI SIECIO Nieznany
BSI id 93515 Nieznany (2)
harmonogram sieciowy id 199264 Nieznany
BSI-wsti-03b-ataki sieciowe -spoofing
Bsi 08 lab id 93519 Nieznany
Bsi 01 lab id 93517 Nieznany (2)
INSTRUKCJE SIECIOWE id 217569 Nieznany

więcej podobnych podstron