Zapory sieciowe (firewalls), serwery
proxy, bastiony
Dostęp VPN
Systemy IDS i IPS
ASK 2004
Co to jest firewall?
Zaufana i bezpieczna maszyna umieszczona
między prywatną a publiczną siecią
Wąskie przejście, dławik ( choke point,)  do kontroli i
monitoringu
A
ączy sieci o różnym zaufaniu
Wprowadza ograniczenia w usługach sieciowych
 tylko dozwolony ruch
Kontrola dostępu  możliwość alarmów
Założenie  odporny na penetracje
zasada najsłabszego ogniwa
Ochrona wyznaczonej strefy (perimeter defence)
strefa DMZ
2
ASK 2004
Ograniczenia
Nie zabezpiecza przed atakami omijącymi zaporę
Sniffery w sieci lokalnej
Bezpośredni dostęp modemowy i terminalowy
Zaufane organizacje ( współdzielone aplikacje )
Zaufane usługi  tunele VPN, SSL i SS
Nie zabezpiecza przed zagrożeniami
wewnętrznymi
Niezadowoleni pracownicy
Nie zabezpiecza przed trasferem wirusów i
zainfekowanych programów i plików
Olbrzymi zakres systemów OS i typów zbiorów
3
ASK 2004
Firewall  Zasady konstrukcji
Firewall  Zasady konstrukcji
Systemy informacyjne podlegają ciągłemu
rozwojowi i zmianom (od małych LANów do sieci
połączonych z siecią Internet)
Nie wszystkie stacje robocze i serwery mają
odpowiednio silne cechy bezpieczeństwa
Firewall jest umieszczony pomiędzy chronioną
siecią a Internetem ( lub inną siecią )
Cele:
Utworzyć kontrolowane łącze
Zabezpieczyć sieć przed atakami z sieci Internet
Lub z innych sieci ( w tym z innych podsieci firmy)
Też przed ew. atakami wychodzącymi z chronionej sieci
Zapewnia pojedynczy punkt kontroli (single choke point)
4
ASK 2004
Firewall - charakterystyka
Firewall - charakterystyka
Cele projektowe:
Cały ruch z i do sieci wewnętrznej musi
przechodzić przez firewall
Inne połączenia do sieci lokalnej muszą być
zablokowane
Tylko autoryzowany ruch, definiowany przez
właściwą politykę bezpieczeństwa będzie
przepuszczany
Sam Firewall jest odporny na penetrację (
używa zaufanego systemu z bezpiecznym
systemem operacyjnym)
5
ASK 2004
Firewall - charakterystyka
Firewall - charakterystyka
Cztery główne techniki:
Kontrola usług
Określa typy usług sieciowych dostępnych z zewnątrz lub z
wewnątrz (inbound or outbound)
Kontrola kierunków
Określa kierunki z których (lub do których) określone żądania
usług są dopuszczane
Kontrola użytkowników
Kontrola dostępu do usługi w zależności od użytkownika
(hosta)
Kontrola zachowań
Kontroluje jak poszczególne usługi są wykorzystywane np.
filtry e-mail
6
ASK 2004
Typy (elementy) zapór
Typy (elementy) zapór
Trzy typy zapór:
Filtry pakietów - Packet-filtering routers
(rutery ekranujące  screening routers)
Application-level gateways (pośrednicy -
proxy, bramki na poziomie aplikacji)
Cześć protokołów jest samopośrednicząca
Uniwersalne bramy-proxy lub specjalizowane do
pojedynczej aplikacji
Circuit-level gateways ( bramy obwodów)
Hosty bastionowe (Bastion host)
7
ASK 2004
Typy zapór  Filtr pakietów
Typy zapór  Filtr pakietów
Filtr pakietów (Packet-filtering Router)
Stosuje zestaw zasad i reguł do każdego przychodzącego pakietu (bez
kontekstu !) i następnie odrzuca lub przekazuje dalej ten pakiet
Filtruje pakiety w obu (wszystkich) kierunkach
Typowo filtr bazuje na polach w nagłówkach pakietów, głównie IP i
TCP
Np. ograniczanie dostępu do usług (portów)
Dwie standardowe polityki
Odrzucenie (discard, drop, block)
Lub przekazanie (forward, accept, allow)
Zalety:
Prostota
Przez
roczysty dla użytkowników
Duża szybkość i wydajność
Wady:
Trudności w ustaleniu właściwych reguł filtrowania
Brak autentykacji
8
ASK 2004
Firewalls  Filtr pakietów
9
ASK 2004
Firewalls  Filtr pakietów
10
ASK 2004
Ataki na filtr pakietów
IP address spoofing
Zaufany adres z
ródłowy
Reguły blokujące na routerze (filtrze pakietów)
source routing attacks
Datagramy z routingiem z
ródłowym z pominięciem lub
zmianą trasy
Blokowanie takich pakietów (opcja w IP) lub nie
uwzględnianie routingu z
ródłowego
Atak małymi fragmentami
Podzial nagłówka na wiele małych fragmentów
Odrzucenie
lub składanie w filtrze takich pakietów przed
sprawdzeniem
To może łatwiej zablokować filtr pakietów ( router)
11
ASK 2004
Firewalls  Stateful Packet Filters
Sprawdzanie datagramów IP ( i innych PDU z
wyższych warstw) z uwzglednieniem kontekstu
Śledzenie sesji klient  serwer (TCP)
Relacje pytanie  odpowiedz
( UDP)
Sprawdzanie czy pakiety należą do ważnych połączeń
A
atwiej wykrywają podejrzane pakiety ( z poza
kontestu)
Sprawdzanie protokołów
Formaty , parametry, typy usług realizowanych przez
protokoły ( np. DNS, FTP, ..)
12
ASK 2004
Typy zapór
Typy zapór
Application-level Gateway (Brama aplikacji)
Zwana proxy serwerem
Działa jako przekaz
nik ruchu warstwy właściwej
aplikacji
Zalety:
Większe bezpieczeństwo niż filtr pakietów (sam)
Potrzebny tylko do analizy kilku dozwolonych aplikacji
A
atwość logowania i audytów całości przychodzącego
(czy wychodzącego) ruchu
Czasem w oparciu o systemy logowania właściwe dla danej
usługi
Wady:
Dodatkowy nakład przetwarzania dla każdego
połączenia
Brama jako nowy węzeł pośredniczący
13
Dodatkowe koszty sprzętowe i administracyjne
ASK 2004
Firewalls - Application Level Gateway (or Proxy)
14
ASK 2004
Firewalls - Application Level Gateway (or Proxy)
Wykorzystuje specyficzne dla aplikacji rozwiązania proxy
Posiada pełen dostęp do protokołu
Użytkownik żąda usługi od pośrednika ( proxy)
Proxy sprawdza legalność żądania
Następnie przekazuje żadanie a rezultat zwraca użytkownikowi
Potrzeba oddzielnych proxy dla każdej usługi
Niektóre usługi naturalnie wspierają pośredniczenie
Jakie ?
Pozostałe są bardziej problematyczne i wymagają odpowiednich
aplikacji proxy
Usługi specjalne (custom) najcześciej nie mają takiego wsparcia
Zalety dodatkowe:
można utworzyc rejestracje zdarzeń
buforowanie
inteligentne filtrowanie np. treści WWW
uwierzytelnianie na poziomie uzytkownika
15
chronią błędne lub słabe implementacje stosu TCP/IP ??
ASK 2004
Typy zapór
Typy zapór
Circuit-level Gateway
System niezależny lub działający jako brama poziomu
aplikacji (proxy)
Tworzy dwa połączenia TCP
Typowo przekazuje segmenty TCP z jednego połączenia
do drugiego bez egzaminowania zawartości
Funkcja bezpieczeństwa określa dozwolone połączenia
Typowo używane w sytuacji zaufania do użytkowników
wewnętrznych
Przekazuje cały ruch na zewnątrz
Przykład:
pakiet SOCKS
Trudność w przekazywaniu datagramów UDP
Mniej takich aplikacji
16
ASK 2004
Firewalls - Circuit Level Gateway
17
ASK 2004
Firewalls - Circuit Level Gateway
Przekazuje dwa połączenia TCP
Bezpieczeństwo przez ograniczenie dozwolonych
połączeń
Utworzone połączenie przekazuje dane bez
sprawdzania zawartości
Typowo dla zaufanych użytkowników wewnętrznych i
zezwala generalnie na wszystkie połączenia
zewnętrzne
NAT ( PAT)
Zalety NAT :
ukrycie struktur wewnętrznych,
ogranicza ( filtruje) ruch zewnętrzny  bo akceptuje tylko
nawiązane połączenia
Wady :
zakłóca pracę systemów uwierzytelniania i szyfrowania
Problem rejestracji 18
ASK 2004
Typy zapór  BASTION
Typy zapór  BASTION
Bastion Host
Punkt krytyczny (i najsilniejszy) w systemie
bezpieczeństwa
Bastion Host służy jako platforma dla bram aplikacji i
obwodów (application-level or circuit-level gateway)
Bardzo bezpieczny system bastionu
Eksponowany i narażony na  wrogie ataki
Dostatecznie bezpieczny, by je wytrzymać
2 lub więcej połączeń sieciowych
Zaufany  separuje rozdział i pośredniczenie między
połączeniami sieciowymi
Uruchomiome pośredniczenie TCP/IP lub aplikacji
Lub świadczy usługi na dostępne z zewnątrz
19
ASK 2004
Działanie pośredniczenia
Klient:
Aplikacja umie współpracować z serwerem proxy
System operacyjny ( stos TCP/IP)
Procedury użytkownika  sam się łączy z
serwerem proxy
Ruter obsługujący pośredniczenie
Przekierowania
Rownoważenie obciążenia ( load balancing)
20
ASK 2004
Firewalle  konfiguracje systemów
Firewalle  konfiguracje systemów
Konfiguracje złożone z kilku pojedynczych
systemów ( typu filtr pakietów czy brama )
Trzy najbardziej popularne konfiguracje
Screened host firewall system ( single-homed bastion host) 
ekranowany host
Screened host firewall system ( dual-homed bastion host)
Screened-subnet firewall system (ekranowana podsieć)
Inne
Wieloczęściowe sieci ekranowane
Z hostem bastionowym przełączającym między sieciami
peryferyjnymi
Pojęcia
Strefa DMZ
Sieć peryferyjna (perimeter network)
21
ASK 2004
Firewall - Konfiguracje
Firewall - Konfiguracje
Screened host firewall system (single-
homed bastion host)
22
ASK 2004
Firewall Konfiguracje
Firewall Konfiguracje
Architektura ekranowanego hosta z konfiguracją
jednosieciowego hosta ( single-homed)
Firewall składa się z dwóch systemów:
Router  filtr pakietów
Host bastionowy
Konfiguracja na routerze ( filtr pakietów):
Tylko pakiety z i do hosta bastionowego są przepuszczane
Host bastionowy przeprowadza pośredniczenie, usługi
świadczone na zewnątrz i autentykacje
Większe bezpieczenstwo niż pojedyncze konfiguracje z
powodu:
Filtrowanie na poziomie pakietów i aplikacji, większa elastyczność
polityk
Intruz musi ( zazwyczaj ) penetrować dwa odrębne systemy
Konfiguracja daje także elastyczność w usługach
Internetowych
23
ASK 2004
Firewall Konfiguracje
Firewall Konfiguracje
Screened host firewall system (dual-homed bastion host)
Architektura ekranowanego hosta z konfiguracją dwusieciową ( dual-
homed)
Ruch do i z sieci wewnętrznej przepływa przez bastion
Adresowanie ! , Wydajność !
24
ASK 2004
Firewall Konfiguracje
Firewall Konfiguracje
Screened-subnet firewall system
25
ASK 2004
Firewall Konfiguracje
Firewall Konfiguracje
Architektura ekranowanej podsieci
Najbardziej bezpieczna ze wspomnianych 3 konfiguracji
Użycie dwóch filtrów pakietów
Tworzy izolowaną podsieć
Zalety:
Trzy poziomy obrony
Router zewnętrzny  ogłasza w Internecie tylko istnienie
ekranowanej podsieci, sieć wewnętrzna jest niewidoczna
z zewnątrz
Router wewnętrzny ogłasza istnienie sieci ekranowanej
dla sieci prywatnej (wewnętrznej)  Systemy w sieci
prywatnej nie mogą konstruować tras bezpośrednio do
sieci zewnętrznej ( Internet)
26
ASK 2004
Zasady konfiguracji firewalli
Układy dozwolone
Wiele hostów bastionowych
Połączenie routera wewnętrznego z zewnętrznym w architekturze
ekranowanej podsieci
Połączenie funkcji rutera zewnętrznego i hosta bastionowego
Kilka ruterów zewnętrznych
Układy niewskazane
A
ączenie routera wewnętrznego z bastionem
Stosowanie wielu ruterów wewnętrznych
Niewskazane jest łączenie ekranowanych podsieci i ekranowanego
hosta
Miejsce serwerów terminali, dostępu modemowego i VPN
Na zewnątrz, wewnątrz czy w podsieci DMZ ?
Oddzielne firewalle
Rozproszone zapory ogniowe
Zlokalizowane w hostach
+ te chroniące sieci peryferyjne i wewnętrzne
27
ASK 2004
Projektowanie firewalli
Określenie potrzeb
Zadania dla zapory i oferowane usługi
Poziom zabezpieczeń
Wykorzystywanie sieci (sposób użycia i wielkość ruchu)
Oczekiwany stopień niezawodności
Ograniczenia
Budżet
Personel
Środowisko ( systemy)
Ocena produktów
Skalowalność, niezawodność i nadmiarowość
Raportowanie
Ceny
Zarządzanie i konfiguracja, możliwość przystosowania
Odpowiedniość i Ustalenia dodatkowe
Raportowanie  gdzie zwykłe i alarmowe
Odbudowa systemu, dostęp i zależność od innych usług (np. DNS)
28
ASK 2004
Zasady filtrowania pakietów
Analiza usług
Ustalanie zasad
Konstrukcja list ACL ( Access Control List)
Testowanie i optymalizacja działania filtru (z list ACL i
reguł )
Zwracanie kodów błędów (?)
Wprowadzanie zmian
W filtrach stanowych
Wskazania w konfiguracji filtrów pakietów
Zmiana reguł na zewnątrz ( plik)
Pełne ( od początku) ładowanie zestawu reguł
Wymiana reguł pojedynczo
Używanie adresów IP a nie nazw DNS !
Zabezpieczanie filtrów pakietów ( sumy i hasła)
Najlepiej używać nazwanych list dostępowych (zestawy reguł)
29
ASK 2004
Reguły filtrowania
Konwencje
Składnia
Kolejność
przykład
Reguły domyślne
Filtrowanie na podstawie adresu
Niebezpieczeństwo adresu z
ródłowego
Filtrowanie na podstawie usługi (port)
Port z
ródłowy
Oddzielność filtrowania dla ruchu wchodzącego i
wychodzącego dla każdego interfejsu z osobna !!!
Ważne przy ew. decyzjach zakupowych
30
ASK 2004
Zasady dla hostów bastionowych
Prostoty
Założenie ataku i włamania do hosta
Specjalne rodzaje hostów
Nietrasujące hosty dwusieciowe
Komputery ofiary (też strategia honey-pots)
Wewnętrzne bastiony i zewnętrzne hosty usługowe
Host bastionowy jako firewall
Lokalizacja hosta
w sieci i fizyczna
Wybór usług udostępnianych przez hosta
Rodzaje usług (usługi bezpieczne, dające się zabezpieczyć, usługi
niebezpieczne i nieużywane)
Wiele usług lub wiele hostów
Wyłączenie kont użytkowników
Budowa i konfiguracja hosta
Wyłączanie usług , trasowania ( w tym z
ródłowe)
31
ASK 2004
Flitrowanie pakietów dla usług
Protokoły pośrednie ( też tunelowanie)
Protokoły związane z siecią WWW
Poczta elektroniczna i grupy dyskusyjne
Transmisja i współdzielenie plików
Protokoły drukowania
Zdalny dostęp do hostów
DNS i LDAP
Usługi uwierzytelniania
32
ASK 2004
Zasady analizy usług
Ataki na usługi internetowe
Po nawiązaniu dozwolonego połączenia
Ataki kanałem poleceń
Ataki kanałem danych (wykorzystujące dane)
Ataki na usługi trzecie
Fałszowanie uwierzytelniania klientów
Ataki bez nawiązywania połączeń
Przechwytywanie pakietów, przejmowanie sesji, wprowadzanie i modyfikowanie
danych, odtwarzanie ( atak powtórzeniowy), DoS
Zabezpieczanie usług przed atakami przez firewalle
Stopień zabezpieczeń przed powyższymi rodzajami zagrożeń
Ocena zagrożeń powodowanych przez daną usługę
Operacje protokołu
Do czego służy protokół?
Poziom autentykacji i autoryzacji w świetle zastosowania protokołu
Czy protokół zawiera dodatkowe polecenia ?
Dane przesyłane przez protokół
Implemetacja protokołu
Zagrożenia związane z przepuszczaniem  bezpiecznego protokołu
33
..
ASK 2004
Iptables & Netfilter
Uchwyty
NF_IP_PRE_ROUTING
NF_IP_LOCAL_IN
NF_IP_FORWARD
NF_IP_LOCAL_OUT
NF_IP_POST_ROUTING
Tablice i łańcuchy
Filter
INPUT, OUTPUT, Forward
Action: -j DROP, ACCEPT, LOG, Reject
NAT
PRErouting, POSTrouting, OUTPUT
Action: -j DROP ..., DNAT, SNAT, Masquerade
Mangle
PRErouting, OUTPUT, .. Dodane  POSTrouting, INPUT,
Forward
34
Action: -j DROP... , MARK, TOS, TTL
ASK 2004
NETfilter
Przepływ pakietu
Pakiety typu INPUT
MANGLE  PRErouting
NAT  PRErouting
FILTER  INPUT
MANGLE  INPUT
Pakiety typu FORWARD
Mangle  PRErouting
NAT  PRErouting
FILTER  FORWARD
Mangle, NAT  Forward
Mangle, NAT  POSTrouting
Pakiety typu OUTPUT
Mangle, Filter  OUTPUT
Mangle , NAT  POSTrouting
35
ASK 2004
Iptables  przepływ pakietów
36
ASK 2004
Iptables &NETfilter
Filtr stanowy
Moduł  ip_conntrack
IP Accouting
37
ASK 2004
Protokoły pośrednie
RPC  Remote Procedure Call  zdalne wywołanie procedury
4 bajtowe numery usług RPC
Serwery lokalizujące usługi RPC  portmapper i RPC Lokator ( Windows NT)
Port TCP i UDP 111 dla RPC Suna i 135 dla RPC MS
Serwery usług rejestrują usługę w portmapperze
NetBIOS ponad TCP/IP (NetBT)
Usługi nazewnicze  UDP 137
Datagramowe - UDP 138 , Sesyjne  TCP 139
CIFS i SMB ( Common Internet File Systems , Server Message Block)
Zwykle ponad NetBT lub czasem bezpośrednio na TCP/IP (CIFS)  TCP/UDP port 445
TLS i SSL ( Secure Socket Layer)
SSL produkt Netscape a 1993
Do przenoszenia HTTP  wydajny przy krótkich bezstanowych połączeniach, może
być podtrzymany przez serię połączeń http.
SSL3 , TLS ( Transport Layer Security  IETF RFC 2246)
IPsec
AH  Authentication Header  Protokół numer 51
ESP  Encapsulating Security Payload  Protokół numer 50
ISAKMP  Internet Security Association Key Managment Protocol  przez UDP 500
Tryb transportowy  AH lub ESP za nagłówkiem IP
Tryb tunelowy  cały pakiet umieszczony w nowym IP
38
ASK 2004
Protokoły pośredniczące
Remote Access Services ( RAS)
Tunelowanie
PPTP  Point to Point Tunneling Protocol
Rozszerzenie PPP  szyfrowanie pakietów PPP i przenoszenie ich
przez GRE
Negocjacje PPTP ( przed użyciem GRE ) port TCP 1723
L2F  Layer 2 Forwarding
Produkt Cisco
L2TP  Layer 2 Tunnelig Protocol
Działa ponad IP z własnym nagłówkiem IP i UDP port 1701
Często szyfrowany przez IPsec ESP  łącznie 3 nagłówki IP
IP  ESP  IP  UDP  L2TP  IP  TCP  Dane ....
GRE  Generic Routing Encapsulation
Enkapsulacja IP w IP
Protokół numer 47
Różne wartości typów protokołu GRE
PPP x880B
IP  GRE  PPP  IP  TCP - Dane
39
ASK 2004
Wirtualne sieci prywatne
Technologie budowy sieci wirtualnych
nakładkowe - Frame Relay, ATM ( warstwa 2)
tunelowane  IPsec, GRE, PPTP, L2TP, ( warstwa 3)
Aplikacyjne  SSH, SOCSKv5, SSLVPN
Inne np. VPN poprzez MPLS
Rozwiązania sprzętowe i programowe
Zalety i zagrożenia
Zabezpieczenie transmisji , autentykacja serwera i klienta
Rozszerzenie granic sieci (Dostęp do sieci wewnętznej lub DMZ)
Jak działają różne technologie?
Miejsce zakończenia klienta? Bezpieczeństwo OS i aplikacji klienckich
VPN jest tak bezpieczny jak laptop, PDA lub cokolwiek z
drugiego końca połączenia
Miejsca zakończenia połączeń VPN
Konfiguracja interfejsów sieciowych
Dostęp do Internetu
Wymuszanie bezpieczeństwa ( CTA  Cisco Trust Agent, MS Quarantine)40
Zakres ( antivirus, fw -config, patche , oprogramowanie etc.)
ASK 2004
SSH i RemoteDesktop
Połączenia SSH
Wersje 1 i 2
Bezpieczeństwo kryptograficzne
Tunele SSH
Zagrożenia dla sieci
Serwer
Środowisko serwera (użytkownik, katalog)
Port forwarding
Klient
Sposoby autentykacji
Wykorzystywane też przez intruzów
X11 i RDP ( Remote Desktop Protocol)
Tunelowanie X11 przez SSH
Szyfrowanie w RDP
41
ASK 2004
Literatura
Chapman, D., and Zwicky, E. Building
Internet Firewalls. O Reilly,Second Edition
2000 ( tłumaczenie RM Warszawa 2001)
M.Kaeo Tworzenie bezpiecznych sieci -
Cisco Press ( Mikom 1999)
W.Stallings Cryptography and Network
Security -
42