Bezpieczeństwo systemów Zapory sieciowe
Co to jest zapora sieciowa (firewall)?
Urządzenie, które kompleksowo bada sieciowy ruch
przychodzący (czasem równie\
wychodzący) i na
podstawie zdefiniowanego zbioru reguł, przepuszcza
go lub nie
Bezpieczeństwo
Zwykle jest ulokowana na granicy sieci
systemów informatycznych
Jej efektywność zale\
y od zbioru reguł, konfiguracji i
personelu obsługującego
Zapory sieciowe Czasami (lub zwykle) działa jak urządzenie
monitorujące
(firewalls)
Zapisuje informacje w dziennikach
Uruchamia alarmy
BSI  zapory sieciowe BSI  zapory sieciowe
1 2
Zbigniew Suski Zbigniew Suski
Podstawowe funkcje zapory Podstawowe mechanizmy zapory
Ochrona adresów IP i przekazywanie ruchu (forwarding)
Oddzielanie sieci
Filtrowanie pakietów
Ochrona przed atakami DoS, skanowaniem i
(packet filtering)
podsłuchiwaniem
Translacja adresów
Filtrowanie adresów IP i portów
(network address translations)
Filtrowanie zawartości
Usługi proxy
Przekierowanie pakietów
(proxy serwers)
Uwierzytelnianie i szyfrowanie
Rejestrowanie komunikacji w dziennikach
BSI  zapory sieciowe BSI  zapory sieciowe
3 4
Zbigniew Suski Zbigniew Suski
Podstawowe strategie działania Prosta sieć z pojedynczą zaporą
Internet lub inna sieć
Gdzie umieścić
Domyślne przepuszczanie polega na określeniu
nie darzona zaufaniem
serwer WWW dla
zbioru warunków, których spełnienie będzie
klientów ?
Zapora
powodowało blokowanie danych. Ka\
dy ruch sieciowy
sieciowa
nie objęty tą polityką będzie przepuszczany.
Domyślne blokowanie polega na określeniu
protokołów, które będą mogły przechodzić przez
LAN
zaporę oraz komputerów, które będą mogły przesyłać
przez nią dane i z którymi komputery w sieci
wewnętrznej będą się mogły komunikować. Ka\
dy
ruch sieciowy nie objęty tą polityką będzie blokowany.
BSI  zapory sieciowe BSI  zapory sieciowe
5 6
Zbigniew Suski Zbigniew Suski
Opracował: Zbigniew Suski
Bezpieczeństwo systemów Zapory sieciowe
Prosta strefa DMZ z pojedynczą zaporą DMZ z dwoma zaporami
Zapora
Zewnętrzna
Internet lub inna sieć
sieciowa
zapora
nie darzona zaufaniem
sieciowa
Internet lub inna sieć
nie darzona zaufaniem
Bastion (host nie
Wewnętrzna
Bastion (host nie
darzony zaufaniem)
zapora
darzony zaufaniem)
sieciowa
LAN
LAN
BSI  zapory sieciowe BSI  zapory sieciowe
7 8
Zbigniew Suski Zbigniew Suski
Szkieletowa DMZ Filtrowanie bezstanowe
Zewnętrzna
Odrzucanie (dropping) a odmawianie (denying)
zapora
sieciowa
adres IP,
Sieć DMZ
Internet lub inna sieć
typ protokołu (UDP, TCP, ICMP) - ta informacja
nie darzona zaufaniem
jest jednak na tyle ogólna, \
e zwykle dopuszcza
Wewnętrzna
się wszystkie protokoły,
zapora
Serwer
Serwer
sieciowa
port TCP/UDP,
LAN
informacja o wyborze trasy,
znacznik fragmentu.
BSI  zapory sieciowe BSI  zapory sieciowe
9 10
Zbigniew Suski Zbigniew Suski
Problemy filtrowania bezstanowego Filtry z badaniem stanu
Przechowują informację o stanie całego ruchu
Brak mo\
liwości dokładnego sprawdzania ładunków
przechodzącego przez filtr. Wykorzystują ją do określania
danych. Decyzja jest podejmowana jedynie na
czy pojedynczy pakiet powinien być odrzucony.
podstawie zawartości nagłówka. Wobec tego nie ma
Gdy host wewnętrzny łączy się z hostem zewnętrznym, w
mo\
liwości wykrycia np. koni trojańskich umieszczonych
pakiecie inicjującym umieszczony jest adres gniazda
w kontrolkach ActiveX, niewłaściwego sformatowania
zwrotnego (adres IP i numer portu) na którym oczekuje na
danych dla serwera pocztowego.
odpowiedz
.
Informacje te są zapamiętywane przez filtr.
Brak pamiętania stanu połączenia. Istnieje wobec tego
problem określenia ruchu zwrotnego do portów, z
Kiedy przychodzi odpowiedz
, sprawdzane są zapisy w
których nawiązywano połączenie. Faktycznie nie istnieje tablicy filtra w celu sprawdzenia, czy pakiet ma zostać
przepuszczony.
mo\
liwość filtrowania ruchu do portów wysokich
(powy\
ej 1024).
Je\
eli z zewnątrz przychodzi pakiet, który nie ma pozycji w
tablicy stanów, to jest odrzucany.
BSI  zapory sieciowe BSI  zapory sieciowe
11 12
Zbigniew Suski Zbigniew Suski
Opracował: Zbigniew Suski
Bezpieczeństwo systemów Zapory sieciowe
Filtrowanie z badaniem stanu (przykład) Usługi PROXY
Pierwotnym przeznaczeniem serwerów proxy było
przechowywanie w pamięci podręcznej często
Zapora
Klient Serwer WWW
157.12.30.4 157.12.6.7
przeglądanych stron WWW. Znacznie przyśpieszało to
Do: 157.12.6.7:80
Do tablicy:
Powrót 157.12.30.4: 1321
dostęp do informacji. W chwili obecnej pełnią one raczej
157.12.30.4: 1321
otwarty dla 157.12.6.7
Do: 157.12.6.7:80 funkcje zapory sieciowej.
Powrót 157.12.30.4: 1321
Sprawdzenie:
Do: 157.12.30.4: 1321
Serwery proxy pośredniczą w przekazywaniu \
ądań
Czy 157.12.30.4: 1321
otwarty dla 157.12.6.7 klientów sieci wewnętrznej do sieci zewnętrznej.
Do: 157.12.30.4: 1321
OK
Pozwala to ukrywać klientów przed badaniem z zewnątrz.
Sprawdzenie:
Proxy nasłuchuje zleceń usługi od klientów wewnętrznych
Czy 157.12.30.4: 1321
otwarty dla 157.12.4.1
Do: 157.12.30.4:1321
i przesyła je w ich imieniu do sieci zewnętrznej. Po
Powrót 157.12.34.1
Odrzuć
otrzymaniu odpowiedzi z zewnątrz zwraca ją do
rzeczywistego klienta.
BSI  zapory sieciowe BSI  zapory sieciowe
13 14
Zbigniew Suski Zbigniew Suski
Usługi PROXY Zalety PROXY
Serwer
publiczny
Interfejs Interfejs
wewnętrzny zewnętrzny
Ukrywanie klienta przed światem zewnętrznym
Blokowanie niebezpiecznych URL
Proxy
Filtrowanie niebezpiecznej zawartości
Klienci
\
ądanie strony
sprawdzenie URL (wirusy, konie trojańskie)
\
ądanie strony
Badanie spójności przesyłanej informacji
filtrowanie
przesłanie strony
Eliminacja routingu między sieciami
strony
przesłanie strony
BSI  zapory sieciowe BSI  zapory sieciowe
15 16
Zbigniew Suski Zbigniew Suski
Wady PROXY Translacja adresów (NAT)
NAT realizuje proces translacji jednego adresu w inny.
Zwykle adres publiczny jest przekształcany w adres
Pojedynczy punkt - wra\
liwość na awarie
prywatny (ukryty), który nie jest rutowalny
Oprogramowanie klienckie musi
10.0.0.0 - 10.255.255.255;
współpracować z proxy
172.16.0.0 - 172.31.255.255;
192.168.0.0 - 192.168.255.255.
Ka\
da usługa musi mieć proxy
Translacja statyczna (static translation)
Proxy nie chroni systemu operacyjnego
Translacja dynamiczna (dynamic translation)
Zatory
Przekierowanie portów (port forwarding)
Translacja ze zrównowa\
onym obcią\
eniem
(load balancing translation)
Translacja ze zwielokrotnionymi połączeniami
(network redundancy translation)
BSI  zapory sieciowe BSI  zapory sieciowe
17 18
Zbigniew Suski Zbigniew Suski
Opracował: Zbigniew Suski
Bezpieczeństwo systemów Zapory sieciowe
Translacja adresów (NAT) Techniki omijania
Wykorzystywanie słabych punktów wśród stosowanych
PAT 10.1.10.1 192.11.10.1
reguł
Zapora
Klient Serwer WWW
Dostęp do portów bez ograniczeń dotyczących adresów
10.1.10.4 157.12.6.7
IP
Do:157.12.6.7:80
Do:157.12.6.7:80
Od:10.1.10.4: 1321
Od:192.11.10.1:15678
Modemy (dial-up)
Zapis przekształcenia
10.1.10.4: 1321
na
Podejrzany ruch z DMZ do sieci wewnętrznej
192.11.10.1:15678
dla
157.12.6.7:80
Do:192.11.10.1:15678
Luki w systemie operacyjnym lub aplikacjach
Od:157.12.6.7
Otwarte porty o  wysokich numerach
Do:10.1.10.4: 1321
Od:157.12.6.7
Fragmentacja
BSI  zapory sieciowe BSI  zapory sieciowe
19 20
Zbigniew Suski Zbigniew Suski
Zapory sieciowe i klienci VPN  Stukanie w porty (Port Knocking)
Metoda pozwalająca na nawiązanie połączenia z
Problemem wielu klientów jest bezpośrednie
usługami działającymi na komputerze, do którego
podłączenie do sieci i brak jakichkolwiek mechanizmów
dostęp został drastycznie ograniczony. Z punktu
zapory sieciowej
widzenia klienta, na komputerze tym nie ma
Je\
eli intruz dokona ataku i przejmie komputer
otwartych portów.
pracownika, a następnie pracownik podłączy się przez
Klient wysyła pakiety na zamknięte porty maszyny docelowej.
VPN do sieci firmowej, to intruz mo\
e wykorzystać ten
Pakiety te są ignorowane, ale odpowiednie oprogramowanie
komputer jako bramę do sieci firmowej
śledzi je i jeśli układają się w zdefiniowaną sekwencję,
Korporacyjne rozwiązania VPN powinny uwzględniać
wówczas system zezwala na połączenia z usługą.
stosowanie produktów typu  personal firewall
Jest to bierny system ochrony - system jedynie przyjmuje
pracujących po stronie klienta, które pozwolą na
pakiety, nie wysyłając \
adnych odpowiedzi do klienta, przez
wymuszenie zasad bezpieczeństwa obowiązujących w
co jego obecność jest bardzo trudna do wykrycia przez
firmie, równie\
na stacjach utrzymujących klientów VPN
potencjalnych intruzów.
BSI  zapory sieciowe BSI  zapory sieciowe
21 22
Zbigniew Suski Zbigniew Suski
Przesłanki Cele do osiągnięcia
Odrzucanie prób dostępu nieupowa\
nionych
Pozostawienie otwartego portu stanowi
u\
ytkowników do jakichkolwiek portów
bezpośrednie zaproszenie dla intruza
System powinien sprawiać wra\
enie  głuchego i
 niemego  najlepiej nieistniejącego  nie ma
Exploit mo\
e pojawić się w ka\
dej chwili
otwartych portów  odcięty od świata
Część usług (np. HTTP, SMTP) musi być
Umo\
liwienie dostępu do portów u\
ytkownikom
publicznie dostępna
upowa\
nionym
Niektóre z istotnych usług mo\
na i nale\
y
U\
ytkownik upowa\
niony powinien mieć mo\
liwość
jednak udostępniać tylko wtedy, gdy
skorzystania z usług dostępnych na takim systemie.
zachodzi taka potrzeba Musi udowodnić, \
e ma do tego prawo (mo\
na to
traktować jako pewną formę uwierzytelnienia)
23 24
Zbigniew Suski Zbigniew Suski
Opracował: Zbigniew Suski
Bezpieczeństwo systemów Zapory sieciowe
Idea rozwiązania Problemy do rozwiązania
Wra\
enie  zamkniętości portów
osiągamy przez zastosowanie zapory
Jak odbierać pakiety na
filtrującej
zamkniętym porcie?
Wysłanie  puknięcia - pewnej
Czy do przesłania danych są
szczególnej sekwencji pakietów lub
potrzebne otwarte porty?
szczególnych pakietów na określony
zamknięte porty serwera
Właściwe pukanie otwiera drzwi
( Listonosz zawsze puka trzy razy )
Po rozpoznaniu pukającego otwieramy
drzwi
25 26
Zbigniew Suski Zbigniew Suski
Jak obsługiwać ruch sieciowy? Cechy dobrego puknięcia
Filtrowanie całego ruchu (zapora)  na Rozmiar  puknięcie powinno być jak
zewnątrz wra\
enie, \
e porty są zamknięte najkrótsze
Szyfrowanie  puknięcie lub dane
DROPPING  zablokowanie pakietu bez
wewnątrz puknięcia powinny być
powiadamiania nadawcy
szyfrowane, aby ograniczyć ataki
polegające na zmianie i powtarzaniu
REJECTING - zablokowanie pakietu z
puknięć
powiadomieniem nadawcy
Suma kontrolna (MAC?)  mo\
e być
Logowanie odbieranego ruchu
dodatkową warstwą zapewnienia
integralności lub uwierzytelnienia
Analiza logu
27 28
Zbigniew Suski Zbigniew Suski
Sposób 1 Program cd00r
Program został napisany jako tak zwany proof
of concept, czyli jako dowód na mo\
liwość
Sekwencje pakietów stanowią klucz do tabeli
napisania programu, z którym mo\
na się
poleceń
porozumiewać, nawet gdy maszyna, na której
on pracuje, zachowuje się jakby nie
Polecenie Sekwencja pakietów przyjmowała \
adnych pakietów.
Dystrybuowany w postaci z
ródłowej
Otwórz port
TCP 16483; UDP 7394; TCP 12782; TCP 6482
23
Reaguje tylko na pakiety TCP(SYN)  adres
celu i tablica z listą portów w kodzie
Zamknij
UDP 28463; TCP 8624; TCP 19635; ICMP (echo)
port 23
Reakcja wpisywana w kodzie
Nie posiada własnego klienta
Restartuj
UDP 28946; UDP 11788; TCP 9273; TCP 7298
system
Podatny na ataki powtórzeniowe
29 30
Zbigniew Suski Zbigniew Suski
Opracował: Zbigniew Suski
Bezpieczeństwo systemów Zapory sieciowe
Sposób 2 Program Cerberus
Klient buduje wiadomość według wcześniej
ustalonego schematu
Pojedynczy pakiet ICMP typ 8 (Echo Request),
{polecenie}
jako nośnik puknięcia
{port docelowy}
{adres IP klienta}
Struktura pola danych pakietu ICMP
{znacznik czasu}
{nagłówek (0xDEAD)}
{suma kontrolna}  pełni rolę podpisu (zwykle MAC)
{ID u\
ytkownika}
{ & }
{ID akcji}
{hasło jednorazowe
Wiadomość mo\
na zaszyfrować
MAC ( data, czas, tajne hasło tzw. seed,
hasło u\
ytkownika  ID z komunikatu,
Ka\
dy element mo\
na przesłać w jednym lub
adres IP z
ródła)}
kilku pakietach (w polach nagłówków lub
{adres IP z
ródła}
ładunku danych)
Nie posiada własnego klienta
31 32
Zbigniew Suski Zbigniew Suski
Program Doorman Program Cryptknock
Hasło uzgodnione pomiędzy serwerem i
Nośnikiem puknięcia jest pojedynczy
klientem słu\
y do uwierzytelnienia stron
pakiet UDP
(przesyłane przez klienta w postaci zaszyfrowanej)
Struktura pola danych pakietu UDP
Nośnikiem zaszyfrowanej wiadomości jest
{numer otwieranego portu}
pojedynczy pakiet UDP
{nazwa grupy}
{etykieta-liczba losowa}
Dodatkowe dwa pakiety UDP na ustalenie
{MAC (z wszystkich pól i tajnego hasła)
klucza kryptograficznego (DH)
Powtórzenie etykiety jest traktowane jak
Jeden z tych pakietów jest wysyłany z
atak
serwera  zaprzeczenie idei techniki port
knocking
Limit czasu na nawiązanie połączenia na
otwartym porcie
Zamyka lub otwiera wszystkie porty
Własny klient
Własny klient
33 34
Zbigniew Suski Zbigniew Suski
Modyfikacja 1 Modyfikacja 2
Wykorzystanie mechanizmu haseł
Redukowanie długości puknięcia
jednorazowych
W wielu przypadkach prowadzi to
Hasła składają się z ciągu liczb do puknięć składających się z
określających porty docelowe składające się pojedynczego pakietu
na poprawne puknięcie
Pozwala to unikać błędnego
Po zdefiniowaniu wielu sekwencji dla puknięcia spowodowanego utratą
jednego polecenia, następuje "wykreślanie" jednego z długiej sekwencji
wykorzystanych, na takich samych zasadach pakietów
jak hasła jednorazowe zabezpieczające
Zmniejsza ryzyko wykrycia
transakcje w niektórych bankach
35 36
Zbigniew Suski Zbigniew Suski
Opracował: Zbigniew Suski
Bezpieczeństwo systemów Zapory sieciowe
 Stukanie w porty (Port Knocking) Etapy budowy zapory sieciowej
Niektóre implementacje
Planowanie konfiguracji
(Perl, Java, PHP, Python, bash, C, C++)
Zdefiniowanie reguł dostępu do zasobów sieciowych
Znalezienie odpowiedniej zapory
barricade*, cd00r, cerberus, cryptknock, Doorman*,
Instalacja i konfiguracja zapory
helldoor, jPortKnock, knockd, knockd.py, ostiary,
portkey, Reverse Remote Shell*, SAdoor*, sig2knock*,
Drobiazgowe testowanie zapory
tumbler, webknocking, wknock, Port Knocking Suite,
Advanced port knocking suite
BSI  zapory sieciowe BSI  zapory sieciowe
37 38
Zbigniew Suski Zbigniew Suski
Personal firewalls  podstawowe cechy Personal firewalls  niepo\
ądane własności
Informują u\
ytkownika o próbach połączeń wyjściowych
Jest to dodatkowa usługa konsumująca zasoby i
mogąca być celem ataku
Umo\
liwiają u\
ytkownikowi sterowanie dostępem
poszczególnych aplikacji do sieci wewn. i zewn.
Je\
eli system zostanie skompromitowany przez
wrogie oprogramowanie, to programy te mogą
Chronią komputer przed skanowaniem nie odpowiadając
równie\
manipulować zaporą (np. ją wyłączyć)
na niezamawiany ruch
Często generuje du\
ą (nadmierną) ilość alarmów
Monitorują aplikacje oczekujące połączeń wejściowych
Personal firewall mo\
e spowodować niestabilność
Blokują nieoczekiwany ruch generowany przez aplikacje
systemu i wprowadzić luki w systemie zabezpieczeń
lokalne
lub inne błędy
Informują o aplikacjach próbujących nawiązać połączenia
Informują o serwerach, z którymi próbują się
skomunikować lokalne aplikacje
BSI  zapory sieciowe BSI  zapory sieciowe
39 40
Zbigniew Suski Zbigniew Suski
Opracował: Zbigniew Suski