- 1 - Tűzfalak (Firewalls) Miért van szükség tűzfalakra? Mit akarunk védeni? Mi ellen védekezünk? Hogyan védhetjük meg a hálózatunkat? Mi az Internet tűzfal? Mit akarunk védeni? A számítógépeken lévő adatainkat, Az erőforrásainkat: a számítógépeket, A jó hírnevünket. A számítógépeken lévő adataink védelme Titkosság (secrecy): illetéktelenek ne olvashassák el az adatainkat. Integritás (integrity): illetéktelenek ne változtathassák meg az adatainkat. Elérhetőség (availability): amikor szükségünk van az adatokra, elérhessük. Az erőforrásaink védelme Ne használják illetéktelenek a számítógépeket, ne foglaljanak diszk kapacitást, ne használják a hálózatot. A jó hírnevünk védelme Betolakodók a nevünkben cselekedhetnek. Mi ellen védekezünk? Betolakodás (intrusion) A betolakodók használják a számítógépeket. Csak érvényes azonosítóval és jelszóval lehessen belépni. A tűzfal úgy konfigurálható, hogy a jelszó csak egyszer használható. A bejelentkezések auditálása. A használat akadályozása (denial of service)
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
- 1 -
Tűzfalak (Firewalls)
Miért van szükség tűzfalakra?
Mit akarunk védeni? Mi ellen védekezünk? Hogyan védhetjük meg a hálózatunkat? Mi az Internet tűzfal?
Mit akarunk védeni?
A számítógépeken lévő adatainkat, Az erőforrásainkat: a számítógépeket, A jó hírnevünket.
A számítógépeken lévő adataink védelmeTitkosság (secrecy): illetéktelenek ne olvashassák el az adatainkat.Integritás (integrity): illetéktelenek ne változtathassák meg az adatainkat.Elérhetőség (availability): amikor szükségünk van az adatokra, elérhessük.
Az erőforrásaink védelmeNe használják illetéktelenek a számítógépeket, ne foglaljanak diszk kapacitást, ne használják a hálózatot.
A jó hírnevünk védelmeBetolakodók a nevünkben cselekedhetnek.
Mi ellen védekezünk?
Betolakodás (intrusion)A betolakodók használják a számítógépeket. Csak érvényes azonosítóval és jelszóval lehessen belépni. A tűzfal úgy konfigurálható, hogy a jelszó csak egyszer használható. A bejelentkezések auditálása.
A használat akadályozása (denial of service)A betolakodó elárasztja a számítógépet vagy a hálózatot üzenetekkel, feldolgozási vagy hálózati kérésekkel, így a valódi munka lehetetlenné válik. Pl. elektronikus levél áradat.Vagy az account használhatatlanná válik néhány hibás jelszó megadás után.Gyakran nehéz védekezni ellene.
Információ ellopása (information theft)Aktív: lekérik az információt, tettetve, hogy egy bizonyos gépről, vagy legális
felhasználóként jelentkezünk be.Passzív: lehallgatják (sniffing) a hálózati forgalmat. Ethernet vagy token ring
hálózatot a technológiából eredően viszonylag könnyű lehallgatni.
- 2 -
A jelszavak megszerzése sajnos gyakran elég könnyű.A jelszavakat gyakran lehallgatással szerzik meg.
Védekezés: tűzfal alkalmazásával megakadályozhatjuk, hogy illetéktelenek beha–toljanak. Azonban ha az Interneten keresztül nyújtunk szolgáltatást, nehéz védekezni a lehallgatás ellen.
Hogyan védhetjük meg a hálózatunkat?
Hosztok védelme:Sok, és különféle gépet tartalmazó hálózatoknál nehéz minden egyes gépet külön védeni, és figyelemmel lenni az összes biztonsági problémára. Minden gép védelme gyakran lehetetlen program hibák miatt, vagy, mert bizonyos funkciók eleve nem biztonságosak. A hálózat védelmével együtt használják
Hálózat védelme:Gyakran a hálózatot, és az általa felkínált szolgáltatásokat védik, ahelyett, hogy a hosztok egyenkénti védelmére helyeznék a hangsúlyt.Tűzfalat használnak, szigorú autentikációt követelnek meg (pl. egyszeri jelszó használata), és az adatokat titkosítják az átvitel során.
Egy tűzfal a hálózat összes gépét képes megvédeni a tűzfalon kívülről jövő támadásokkal szemben. A hosztok védelme azonban ekkor is fontos a belső támadások lehetősége miatt.
Mi az Internet tűzfal?
Az Internet tűzfal megakadályozza, hogy az Internet fenyegetései a belső hálózatra is átterjedjenek.
A tűzfalat az Internet és a belső hálózat határára telepítik:
- 3 -
Minden forgalom az Internet és a belső hálózat között keresztül halad a tűzfalon, ezért szabályozható, hogy milyen forgalom elfogadható. A forgalom (pl. E-mail, file átvitel, távoli bejelentkezés) elfogadhatósága a hálózat biztonsági politikájától függ, és ezért hálózatonként különböző.A tűzfal
logikailag egy elválasztó, korlátozó és elemző eszköz, fizikailag gyakran több komponens együttese: router-ek, számítógépek és hálóza–tok
kombinációja megfelelő szoftverrel ellátva, és megfelelően konfigurálva.
A tűzfal nem véd olyan támadóktól, akik már bent vannak. Általában más védekezési mechanizmusokkal együtt kell használni.A tűzfalnak hátrányai is vannak: költséges, fáradságos az elkészítése, és gyakran a bosszantó korlátozásokkal jár a hálózat belső használói számára is.
Mit tud a tűzfal?
A biztonságra vonatkozó döntések fókuszpontja.Minden forgalom ezen a szűk ponton megy keresztül. A biztonságra vonatkozó döntéseinket ide koncentrálhatjuk. A tűzfal létesítése költséges, általában mégis olcsóbb és hatékonyabb, mint más megoldások.
A tűzfal kikényszeríti biztonsági politika alkalmazását.Csak jóváhagyott szolgáltatások mehetnek keresztül a tűzfalon, és ezek is csak meghatározott szabályok betartásával.A tűzfal ilyen módon a potenciálisan veszélyes szolgáltatásokat a tűzfalon belül tartja. Pl:. NFS.Vagy előírható, hogy csak egyetlen gép kommunikálhat a külvilággal.
- 4 -
Vagy csak bizonyos gépek végezhetnek file átvitelt az Internet-en, és korlátozva e gépek felhasználóit, végül is a felhasználók file átviteli lehetőségeit tarthatjuk kézben.
A tűzfal hatékonyan rögzítheti a hálózat Internet forgalmát.A tűzfal gyűjthet információt a hálózat használatáról és annak sikertelenségéről.
Mit nem tud a tűzfal?
A tűzfal nem véd a rosszindulatú belső felhasználók ellen.Másolatok készítése, adatlopás, hardver és szoftverrongálás lehetséges.
A tűzfal nem véd olyan kapcsolatoktól, amelyek nem mennek rajta keresztül.Telefonos kapcsolat is létesíthető a belső hálózat és az Internet között.
A tűzfal nem véd meg egészen újfajta fenyegetésekkel szemben.A tűzfalat nem örökre készítjük, időnként felül kell vizsgálni. Időnként újfajta támadások bukkannak elő, amelyeket korábban nem ismertünk.
A tűzfal nem véd vírusok ellen.A tűzfalon csomagok haladnak át. Annak felismerése, hogy a csomag egy program része, megállapítani, hogyan kellene kinéznie annak a programnak, és hogy a változást vírus okozta úgyszólván lehetetlen.
Internet szolgáltatások
Milyen szolgáltatásokat akarunk biztosítani az Interneten?A standard szolgáltatások, amelyeket a legtöbb hálózat biztosít:
Elektronikus levelezés (SMTP) File átvitel (FTP) Távoli terminál használata és parancs végrehajtás (Telnet, rlogin, rsh) Usenet News (NNTP) World Wide Web (WWW) Egyéb információszolgáltatás (Gopher, Wais, Archie) Információ személyekről (finger, whois) Real-Time konferencia rendszer (talk, IRC) Névszolgáltatás (DNS) Hálózat menedzsmentszolgáltatás (SNMP, ping, traceroot) Időszolgáltatás (Time Service: NTP) Hálózati file rendszer (NFS) X-Window rendszer (X11 window system) Hálózati nyomtatás (lp, lpr) Stb.
Egyik szolgáltatás sem igazán biztonságos, mindegyiknek megvan a maga gyenge pontja. Csak a legszükségesebb alkalmazásokat használjuk az Interneten, azokat is csak olyan gépen, amelynek implementációja kellően biztonságos.
- 5 -
Tűzfallal (Firewall) kapcsolatos definíciók
TűzfalKomponens vagy komponensek, amelyek korlátozzák a védett hálózat és az Internet közötti forgalmat.
Hoszt (Host)Hálózatra kapcsolt számítógép.
Bástya gép (Bastion Host)A belső hálózat felhasználóinak kapcsolódási pontja az Internet-tel. E gép biztonságát a lehető legmagasabb szinten kell biztosítani.
Dual-homed hostÁltalános célú számítógép, amely legalább két hálózati interfésszel rendelkezik.
Csomagszűrés (Packet filtering)Csomagok áthaladásának engedélyezését vagy blokkolását egyik hálózatról a másikra bizonyos szabályok alapján végzik. A szűrést végezheti egy router vagy hoszt az IP címek, port számok vagy a protokoll alapján. A szűrést screening-nek is nevezik.
Határ hálózat (Perimeter network)Az Internet és a védett hálózat közé iktatott hálózat, amely fokozott védelmet biztosít.
Proxy szerverProgram, amely külső szerverekkel tart kapcsolatot, a belső hálózaton lévő kliensek kiszolgálása érdekében. Proxy kliensek a proxy szerverrel kommunikálnak, amely az engedélyezett kliens kéréseket a valódi szerverekhez továbbítják, a válaszokat pedig a kliensekhez küldik vissza.
Csomagszűrés (Packet Filtering)
A csomagszűrő rendszer a csomagokat szelektíven továbbítja a belső és a külső számítógép között. Az alkalmazott router-t screening router-nek nevezzük.
Az IP csomagok a fejlécükben az alábbi információkat tartalmazzák:
IP forrás cím IP cél cím Protokoll (TCP, UDP, ICMP) TCP vagy UDP port ICMP üzenet típusa
Ezek segítségével lehet a screening router-ekben a továbbításra vagy a blokkolásra vonatkozó szabályokat megadni.
- 6 -
Egy normál router arról dönt, hogyan továbbítsa a bejövő csomagot.A screening router a csomag fejrésze és a beállított szabály rendszer alapján eldönti, hogy kell-e továbbítani a csomagot vagy sem, és csak ezután dönt a hogyanról.
Példák: Blokkolhatjuk az összes Internet-ről bejövő forgalmat az SMTP kivételével (csak E-
mail fogadás engedélyezett. Csak bizonyos IP című gépek közötti forgalom engedélyezett. E-mail és FTP szolgáltatás engedélyezett, de tiltott a TFTP, az X Window, az RPC.
Proxy szolgáltatások
A Proxy szolgáltatások különleges alkalmazások vagy szerver programok, amelyek egy tűzfal gépen futnak, amely vagy egy:
dual-homed host (interfésszel rendelkezik a belső hálózat és az Internet felé, vagy egybastion host (eléri az Internet-et, és elérik a belső hálózat gépei)
Ezek a programok fogadják a felhasználók Internet szolgáltatások (Telnet, FTP) iránti kéréseit, és a biztonsági politikának megfelelően továbbítják ezeket a valós szerverek felé, vagy elutasítják.A proxy-kat application-level gateway-eknek is nevezik.A proxy-k többnyire transzparensek. A kliens és a szerver úgy látják, mintha közvetlenül kommunikálnának egymással, valójában a proxy közvetít közöttük.A proxy szolgáltatások csak akkor érnek valamit, ha nem létesíthető közvetlen kapcsolat a kliens és a szerver között.Az alábbi dual-homed host proxy szoftverrel biztosítja, hogy a tűzfal nem megkerülhető, és a szolgáltatás (amit a proxy megvalósít), szelektíven igénybe vehető.
- 7 -
A proxy kliens a normál kliens egy különleges változata, amely a proxy szerverrel beszél a valós szerver helyett. A proxy szerver kiértékeli a kérést, és eldönti, hogy elfogadja vagy elutasítsa. Ha elfogadja, közvetíti a kliens kérését a valós szerver felé, majd a választ vissza a valós szervertől a proxy kliens felé.Néha a normál kliens programok is alkalmasak proxy-kkal való kommunikációra, különleges beállítással.
Néhány kitűnő proxy:
A SOCKS egy proxy készítő eszköz készlet, amely meglévő kliens/szerver alkalmazásokat alakít proxy alkalmazásokká.
Trusted Information System Internet Firewall Toolkit (TIS FWTK) proxy szervereket tartalmaz (Telnet, FTP, HTTP, stb.). A normál kliensek használhatók speciális felhasználói eljárásokkal.
A technikák és technológiák kombinációja
Néhány protokoll (Telnet, SMTP) hatékonyabban kezelhető csomagszűréssel, más protokollok pedig proxy-kkal. A legtöbb tűzfal a csomag szűrés és a proxy szolgáltatások kombinációja.
- 8 -
Tűzfal architektúrák
A különböző tűzfal komponensek összeillesztése: Dual-Homed Host architektúra Screened Host architektúra Screened Subnet architektúra
Dual-Homed Host architektúra
Ez az architektúra a dual-homed host köré épül.
Legalább két interfésszel rendelkezik, de a routing funkció le van tiltva. A dual-homed host működhet proxy-ként, vagy a felhasználók be is jelentkezhetnek és így vehetik igénybe az Internet szolgáltatásait. Ez utóbbi megoldás biztonsági szempontból veszélyeket rejt magában.
Screened Host architektúra
Ez az architektúra úgy biztosítja a szolgáltatásokat, hogy a szolgáltatást nyújtó gép csak a belső hálózatra csatlakozik. Az elsődleges biztonságot a csomagszűrő router adja. A csomag–szűrő megakadályozza, hogy a felhasználói gépek közvetlenül hozzáférjenek az Internet-hez.
- 9 -
A bástya gép a belső hálózatra csatlakozik. A csomagszűrő router-t úgy konfigurálják, hogy az Internet gépei csak a bástya géppel léphetnek érintkezésbe.A bástya gép biztonsága elsőrendűen fontos.
A bástya gép proxy-ként működik. A screning router akár úgy is konfigurálható, hogy bizonyos szolgáltatások közvetlenül is elérhetők legyenek, míg más szolgáltatások csak a proxy szerveren keresztül működtethetők.
A screened host architektúra nagyobb biztonságot nyújt, mint a dual-homed host architektúra.A screened host architektúra hátránya, hogy ha egy támadónak sikerül betörnie a bástya gépre, már semmi sem állja útját a belső hálózat többi gépe felé. Ebből a szempontból a screened subnet architektúra biztonságosabb.
Screened Subnet architektúra
A screened subnet architektúra egy újabb biztonsági réteget helyez el az Internet és a belső hálózat közé. Ez a határ (perimeter) hálózat.A bástya gép sebezhető, ezt támadják leginkább. Ha a támadó bejut a bástya gépre, még mindig útját állja a belső router.
- 10 -
Perimeter hálózat
Ha a támadó bejut a bástya gépre, csak a perimeter hálózat forgalmát tudja lehallgatni, a belső hálózat forgalmát nem láthatja. A perimeter hálózaton megy keresztül a bástya gépre és közvetlenül az Internet-re irányuló forgalom, de két belső gép egymás közötti forgalom nem.
Bástya gép
A bejövő forgalom kezelésének helye. Kezeli a bejövő E-mail forgalmat (SMTP), a bejövő FTP forgalmat (anonymous FTP), a bejövő DNS kéréseket, stb.
A kifelé irányuló szolgáltatások két módon is kezelhetők: a belső és a külső router-ek csomagszűrő szabályainak beállításával, proxy szerverek futtatásával a bástya gépen. Ekkor is megfelelően kell beállítani a
csomagszűrőket.
- 11 -
Belső router (Choke router)
Szabályozza, hogy a belső hálózatról mely szolgáltatások érhetők el közvetlenül: pl. Telnet, FTP, Wais, Archie, Gopher, stb.Szabályozza a belső hálózat és a bástya gép közötti forgalmat. Ezt a forgalmat is lehetőleg kevés számú protokollra (SMTP, DNS) és kevés számú belső gépre kell redukálni, hogy a bástya gépről minél kevesebb belső gép legyen támadható.
Külső router (Access router)
Védi a perimeter és a belső hálózatot az Internet felől.Általában minden forgalmat kienged a perimeter hálózatról. A belső hálózat védelmét biztosító csomagszűrési szabályok mindkét router-en azonosak.Csak azon szabályok különlegesek, amelyek a bástya gépet védik az Internet felől.
Tűzfal architektúrák variációi
Az eddig tárgyalt architektúrák néhány variácója:
Több bástya gépet is lehet alkalmazni A belső és a külső router összevonható A bástya gép és a külső router összevonható Több külső router is alkalmazható, ha szükséges
Nem javasolt: A bástya gép és a belső router összevonása Több belső router alkalmazása
Csomagszűrés
A csomagok szűrése elvégezhető az:IP címek, aprotokoll port számok és a protokoll típusa alapján.
A router-ek különböző port-jaira külön-külön szabályok adhatók meg, és külön szabályok vonatkozhatnak a bejövő és a kimenő forgalomra.
A csomag szűrők előnyei:
Egyetlen screening router képes védeni az egész hálózatot A felhasználók részéről semmilyen különleges tudást vagy együttműködést nem
igényel A legtöbb router-ben rendelkezésre áll.
- 12 -
A csomag szűrők hátrányai:
Nehéz konfigurálni Nehéz tesztelni A szabályok általában nem kompatiblisek a különböző termékekben Néhány protokoll nem jól kezelhető csomagszűréssel (RPC, NFS, "r" protokollok) Bizonyos biztonsági politikák nem érvényesíthetők: felhasználóra nem lehet
szűrni, vagy az alkalmazásokat csak a port számuk alapján szűrhetjük.
A csomagszűrő router-ek konfigurálása:
Figyelembe kell venni, hogy a
Protokollok kétirányúak (kérés - válasz), Különbséget kell tenni a bejövő és a kimenő szolgáltatás között (pl. külső gépre
jelentkezünk be Telnet-tel belülről, vagy fordítva). A bejövő és a kimenő szolgáltatásnak egyaránt kétirányú forgalma van.
Mik az alapértelmezett szabályok: eutasító vagy megengedő. Az elutasító azt jelenti, hogy minden forgalom tiltva van, ami explicite nincs megengedve. Ez a megoldás rövidebb szabálylistát eredményez, és biztonságosabb, mint a megengedő.
Példák
Szűrés cím alapján
Egy megbízható külső hoszt és a belső hálózat között bármilyen IP forgalom megengedett
Szabály Irány Forrás cím Cél cím ACK bitbeállítás
Tennivaló
A Bejövő Megbízható külső hoszt
Belső Bármi Megenged
B Kimenő Belső Megbízható külső hoszt
Bármi Megenged
C Bármelyik Bármi Bármi Bármi Elutasít
Az ACK (acknowledgement) bit a TCP kapcsolat felvételekor, az első üzenetben mindig 0, minden további üzenetben 1. A legtöbb router ezt is tudja vizsgálni.
- 13 -
Cisco router-en a fenti szamályokat érvényesítő parancsok:
A külső gép IP címe: 172.16.51.50A C osztályú belső hálózat: 192.190.173.0
access-list 101 permit ip 172.16.51.50 0.0.0.0 192.190.173.0 0.0.0.255access-list 101 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255interface ethernet 0access-group 101 in
access-list 102 permit ip 192.190.173.0 0.0.0.255 172.16.51.50 0.0.0.0access-list 102 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255interface ethernet 0access-group 102 out
Szűrés szolgáltatás alapján
Egy belső hoszt igénybeveheti bármelyik külső Telnet szerver szolgáltatásátA Telnet protokoll szerver oldali port száma: 23A kliens port száma: > 1023
Szabály Irány Forráscím
Célcím
Proto-koll
Forrásport
Célport
ACK bitbeállítás
Tennivaló
A Bejövő Belső Bármi TCP > 1023 23 Bármi MegengedB Kimenő Bármi Belső TCP 23 > 1023 1 MegengedC Bármely Bármi Bármi Bármi Bármi Bármi Bármi Elutasít
Az A szabály a külső Telnet szerver felé irányuló forgalmat engedi meg.
A B szabály a visszajövő csomagokat engedi át. De az ACK = 1 beállítás letiltja, hogy külső gép Telnet kapcsolatot kezdeményezzen a belső hoszt Telnet szerverével.
A C szabály az alapértelmezett.
Related Documents
