Title: IP alap
1IP alapú hálózatok tervezése és üzemeltetése II.
2Tartalom
- Miért érdemes hálózati biztonsággal foglalkozni
- Tuzfal
- Személyi
- Hagyományos
- Típusai
- Állapotmentes
- Állapotköveto
- Proxy
- Architektúra változatok
- Egy rétegu
- Több rétegu
- Intranet tuzfal tervezés
- Határ tuzfal tervezés
- Megoldások
- Linux netfilter
- Windows ISA szerver
- Cisco - PIX
- Behatolás érzékelés
- Cisco
3Hálózati biztonsági kihívások
- Internet nyílt, szabad közösség
- Régebben a fizikai biztonság volt az elsodleges
(jól bezárni a rendezo szekrényt) - Egyre több cég, intézmény kötodik a hálózathoz
- Potenciális piac
- A vásárlókkal jönnek a hacker-ek is
- Hetente új virusok, férgek,
- Bárki szabadon rákapcsolódhat (hot spot, )
- Nagy populáció
- Letöltheto hacker eszközök (http//staff.washingto
n.edu/dittrich/misc/ddos/ )
4Támadások fejlodése
5Tipikus biztonsági problémák
- Támadási típusok
- Külso
- Settenkedo fizikai biztonság (zárolni a
gépeket) - DoS Denial of Service
- Nem feltétlenül okoznak kárt
- Nehéz lekezelni
- DDoS ugyanaz csak több géprol (zombi gépek)
- Alkalmazás rétegbeni támadások
- Az alkalmazások biztnsági réseit használják ki
- A legismertebbek
- Nem megfeleloen frissített rendszereket támadnak
meg (Slammer 2002 augusztus-2003 január) - Hálózat kikémlelés az elso lépés a támadás
elott - Portscan
- DNS, IP cím keresés
- Belso
- Fertozött laptop gyakran tagja különbözo
hálózatoknak - Nem engedélyezett eszköz pl. nem megfeleloen
konfigurált vezetékmentes hozzáférési pont - Elbocsátott alkalmazott Man in the middle
- Vírusok/Trójaiak
6Várható támadás típusok
- Komplex Web támadás
- IE biztonsági rés Apache biztonsági rés (egy
feltört web szerverre tettek az IE számára
veszélyes kódot) - Web szolgáltatások elleni támadások
- Spyware fenyegetés a Microsoft szerint a
rendszerösszeomlások feléért felelosek, a DELL
szerint a bejelentett hibák 12 százalékát
okozzák (http//www.informationweek.com/showArticl
e.jhtml?articleID19200218 ) - Mobil eszköz elleni támadások (PDA, Telefon, ..)
- SPAM
- DoS
- DDoS
7Megoldás(talán, nincs tökéletes)
- Elvileg nincs szükség másra, csak megfeleloen
beállított gépekre - DE a szoftver hibák, emberi mulasztások, miatt
mégis szükség van - Elosztott, jól koordinálható, több rétegu védelem
- Integrált megoldás (kapcsolók, forgalomirányítók,
szerverek, ) - Automatikus reakció
- Védelmi keretrendszer
- Védelem - Védelmi rendszer
- Szabályozás - Bizalom és identitás menedzsment
- Titkosítás - Biztonságos kapcsolat
8Biztonsági szabályok
- A hálózatot biztonsági övezetekre kell osztani
- Egy-egy biztonsági övezet saját biztonsági
szabályrendszerrel bír - Ezen övezetek határán szükség van egy olyan
eszközre mely a különbözo szabályokból adódó
konfliktusokat feloldja - Ez az eszköz legtöbbször a tuzfal
9Védelmi topológiák
- Egyszeru határ tuzfal
- Megbízhatatlan gép
- Három zónás architekrúra
- Fegyvermentes övezet (DMZ DeMilitarized Zone)
- Kettos tuzfal
10Határ tuzfal
- Egyrétegu megoldás
- Egy eszközre van telepítve minden tuzfal funkció
- Egy eszköz köt össze minden hálózatot
- Egyszeru
- Olcsó
- A legkevésbé biztonságos megoldás
- Egy eszközön kell a biztonsági hiányosságokat
kiaknázni
11Megbízhatatlan gép
- Vannak olyan szervereink melyek szolgáltatásokat
nyújtanak a külvilágnak - Web
- SMTP
- FTP
- NTP
- SSH
- RDesktop
- VPN szerver ?
-
- Mivel ez a leginkábbveszélyeztetett ezért ezt a
tuzfalon kívül helyezzük el - Minimális szolgáltatásra kelltörekednünk
- A belso gépek nem bíznak meg benne
12Demilitarizált övezet
- A megbízhatatlan szolgáltatókat is védeni
szeretnénk - Itt egy új hálózatot alakítunk ki ezen
szolgáltatások számára - Nagyobb
- Biztonság
- Rendelkezésre állás
- Megbízhatóság
13Dupla tuzfal
- A célja ugyanaz mint az elozoé
- Funkciók
- Perem tuzfal
- Belso tuzfal
- Hálózatok
- Határ hálózat
- DMZ
- Belso hálózat
- Célszeru különbözoarchitektúrájú
tuzfalakatválasztani
14Védelmi eszközök
- Tuzfal
- Osztályai
- Személyes (elso osztály)
- Forgalomirányító (második osztály)
- Alsó kategóriás hardver tuzfalak (harmadik
osztály) - Felso kategóriás hardver tuzfalak (negyedik
osztály) - Szerver tuzfalak (ötödik osztály)
- Típusai
- Csomagszuro
- Cím transzformáló
- Állapottartó
- Kapcsolat szintu átjáró
- Proxy
- Alkalmazás rétegbeni szurés
- Megvalósítások
- Netfilter (http//www.netfilter.org/ )
- ISA 2004 (http//www.microsoft.com/isaserver/ )
- CISCO PIX (http//www.cisco.com/warp/public/cc/pd/
fw/sqfw500/ ) - Behatolás érzékelo rendszer
15Tuzfal típusok Csomagszuro
- Mivel a különbözo hálózatokat leggyakrabban
forgalomirányítók kötik össze ezért ezen funkciók
leggyakrabban itt található - Ha már van router akkor mindenképpen azon
célszeru implementálni - A 3. rétegben muködik
- Szuro feltételek
- Forrás/Cél cím
- Forrás/Cél port
- Ezzel célszeru az IP spoofing-ot kivédeni
- Ez nagyon gyors és kis eroforrás igényu tud lenni
16Tuzfal típusok NAT
- Tipusai
- PAT Port Address Translation
- NAT Network Address Translation
- Lehet
- Dinamikus
- Statikus
- Címfordítást végez
- Elrejti a belso címeket
- Alkalmazás réteg?
17Tuzfal típusok Kapcsolat szintu átjáró
- Nem vizsgál minden egyes csomagot
- Amint a kapcsolat felépült utána az adott
viszonyhoz tartozó összes csomag mehet - A 4. rétegben muködik
- Jobb mint csak csomagszurés
- Tartalmazhat alkalmazás rétegbeni funkciókat is
- Pl. FTP
18Tuzfal típusok Állapottartó
- Az elozo ketto kombinációja
- A 3., 4. rétegben muködik
- Minden kimeno csomag naplózva van az állapot
táblában - Forrás/Cél IP
- Forrás/Cél port
- A bemeno forgalomnál így ellenorizheto, hogy ki
kezdeményezte - Ez a tudás mindenképpen megkövetelendo egy
tuzfaltól - Egyéb információkat is eltárolhat
- Protkoll falg-ek
19Tuzfal típusok Proxy
- A kommunikáció 3 vagy több fél között folyik
- Kliens
- Proxy
- Szerver
- Títkosítatlan esetben a kliens nem látja
közvetlenül azokat a csomagokat amelyeket a
szerver küldött és fordítva - Títkosított esetben a proxyellenorzi a
fejléceket ésha minden OK akkortovábbküldi - Gyorsítótár
- Protokoll validáció
- Felh. ID alapú döntés
- Bonyolult
- Minden protokollt ismernie kell
20Alkalmazás szintu szurés
- A legintelligensebb
- Értelmezni tudják az adott alkalmazás adatát és
ez alapján döntéseket hoznak - SMTP parancsok, DNS parancsok, SPAM szurés
- Igény alapján dinamikusan nyitja a portokat
- DNS felé UDP csak akkor ha a DNS indította a
kapcsolatot és addig amíg ez a kapcsolat tart - Títkosított forgalom kezelése
- Ugyanaz mint a proxy-nál
- A tuzfalon végzodtetve mindkét oldalon
21Személyes tuzfal
- A PC-n futó szoftver szolgáltatás
- Egyre több otthoni kapcsolat
- Kis hálózat védelmére is alkalmas (otthoni
hálózat) - A hálózattól függetlenül ma már minden gépen
kötelezo a használata (különösen mobil
eszközöknél) - Jóval kisebb tudású mint a többi, gyakran csak
csomagszurésre alkalmas - Elonyei
- Olcsó (ingyenes)
- Egyszeru konfigurálni
- Hátrányai
- Nehéz központból menedzselni
- Kis teljesítményu
- Korlátolt tudású
22Forgalomirányító tuzfal
- A forgalomirányítók gyakran rendelkeznek tuzfal
funkciókkal is - Az alsó kategóriás forgalomirányítók általában
IP cím alapján és port alapján képesek a
forgalmat szurni valamint NAT-ot is biztosítanak
a címek elrejtésére - A felso kategóriás eszközök programozhatóak ACL
listák segítségével, állapotkövetoek, támogatják
a magas rendelkezésre állást - Elonyeik
- Olcsóak (a hardvereshez viszonyítva)
- Egyszeru, szokványos konfiguráció
- Hátrányaik
- Teljesítmény
- Limitált funkcionalitás
23Hardver tuzfalak
- Alsó kategóriás
- Statikus szurés
- Plug-and-Play
- VPN
- Bizonyos szintig menedzselhetoek
- Elonyei
- Gyakorlatilag nem kell konfigurálni
- Olcsó
- Hátrányai
- Korlátozott funkicionalitás
- Gyenge teljesítmény
- Felso kategóriás
- 7500-500000 kapcsolat
- Manuális konfiguráció
- Moduláris
- Magas rendelkezésre állás
- Alkalmazás szintu szurés
- Gyors
- Drága
24Szerver tuzfalak
- A legtöbb rendszergazda számára jól ismert
környezet - Linux
- Windows
- FreeBSD
-
- Jól bovítheto (sw/hw)
- Gyors (megfelelo méretu gépen)
- Integrálható
- Skálázható
- Az oprendszer hibáit kiaknázhatják a támadók
25Belso tuzfal
- A belso hálózathoz történo hozzáférést
szabályozza - Külso nem megbízható felhasználók elvileg soha
nem léphetnek be a belso hálózatra - Web szerver esetén a web szerver fog kommunikálni
a belso részekkel
26Tipikus beállítások
- Minden tiltva ami nincs engedve
- Tiltani a belso IP címek forrásként feltüntetését
kívülrol - Tiltani a külso IP címek forrásként feltüntetését
belülrol - Engedélyezni a DMZ DNS szerverek UDP-n történo
megszólítását a belso DNS szerverekrol - Engedélyezni a belso DNS szerverek UDP-n történo
megszólítását a DMZ-bol - TCP DNS forgalom engedélyezése (szerver
figyelembe vételével) - Kimeno SMTP a DMZ SMTP átjáróról
- Bejövo SMTP a DMZ SMTP átjárótól
- Engedi a proxy-tól származó forgalmat befelé
- Engedi a forgalmat a proxy felé
- Szegmensek támogatása
- Szegmensek közötti forgalom állapotkövetéses
forgalomirányítása - Magas rendelkezésreállás támogatása
27Perem tuzfal
- Feladata a szervezet határain túli felhasználók
kiszolgálása - Típusai
- Megbízható (távoli iroda)
- Félig megbízható (üzleti partnerek)
- Megbízhatatlan (publikus weboldal)
- Ez az eszköz fogja fel a támadásokat (jó esetben)
28Tipikus beállítások
- Minden tiltva ami nincs engedve
- Tiltani a belso IP címek forrásként feltüntetését
kívülrol - Tiltani a külso IP címek forrásként feltüntetését
belülrol - Engedélyezni a külso DNS szerverek UDP-n történo
megszólítását (DMZ-bol) - Engedélyezni a belso (DMZ) DNS szerverek UDP-n
történo megszólítását - TCP DNS forgalom engedélyezése (szerver
figyelembe vételével) - Kimeno SMTP a belso SMTP átjáróról
- Bejövo SMTP a belso SMTP átjárónak
- Engedi a proxy-tól származó forgalmat a külvilág
felé - Engedi a forgalmat a proxy felé
29Rendelkezésre állás (perem/belso)
30Linux Netfilter
- Kernel komponens
- Szolgáltatásai
- Csomagszuro
- Állapot követés
- Csomag manipuláció
- Kapcsolatszám figyelés, korlátozás (egy adott
géprol a TCP kapcsolatok száma. DOS védelem) - Legutóbbi kapcsolatok megjegyzése (pl. port
scan) - Terhelés elosztás (adott véletlen eloszlással)
- String illesztés a tartalomban (pl. .exe)
- Ido alapú szabályok (ebédnél szabad internetezni,
) - Átviteli kvóták (pl. 2 Gbyte)
- TTL alapú csomag vizsgálat (man in the middle)
- Bovítheto
- Ingyenes
31Netfilter Architektúra
- Kampók
- Egy kernel modul regisztrálhatja magát a
különbözo állapotban lévo csomagok
megfigyelésére/elérésére - IPv4-ben 5 kampót definiáltak
- PRE_ROUTING, LOCAL_IN, FORWARD, LOCAL_OUT,
POST_ROUTING. - A kapók segítségével megtekinthetoek/módosíthatóak
a csomagok NF_DROP, NF_ACCEPT, NF_QUEUE,
NF_REPEAT or NF_STOLEN.
32Netfilter Kampók
- PRE_ROUTING
- A bejövo csomagok átmennek ezen a kampón az
ip_rcv() ben mielott a forgalomirányításba
kerülnek - LOCAL_IN
- Minden a helyi eszköznek címzett csomagok a
ip_local_deliver()-en keresztül elérhetoek - FORWARD
- Minden bejövo és nem az adott eszköznek szánt
csomag átmegy ezen ip_forward() - LOCAL_OUT
- Minden az aktuális host által készített csomag
átmegy ezen ip_build_and_send_pkt() - POST_ROUTING
- Minden kimeno csomag (forrástól függetlenül)
átmegy ezen ip_finish_output()
33Linux Internet Protocol implementáció
Higher Layers
ip_input.c
ip_output.c
ip_queue_xmit
ip_local_deliver
MULTICAST
IP_LOCAL_OUTPUT
. . .
ip_mr_input
IP_LOCAL_INPUT
ip_queue_xmit2
ip_forward.c
IP_FORWARD
ip_local_deliver
ip_forward_finish
ip_forward
ip_output
ip_fragment
ip_rcv_finish
ip_finish_output
ROUTING
ForwardingInformation Base
IP_POST_ROUTING
IP_PRE_ROUTING
ip_route_input
ip_rcv
ip_finish_output2
ARP
ARP
neigh_resolve_output
dev.c
dev.c
dev_queue_xmit
net_rx_action
34Netfilter Kampók
PRE_ROUTING
POST_ROUTING
FORWARD
LOCAL_IN
LOCAL_OUT
35Netfilter Funkcionalitás
- IP csomagszurés
- Álapottartó tuzfal
- NAT
- Csomag manipulálás
36IP csomagszurés
- IP Szuro
- A csomagok szurésére használják
- A szabályok bevitelére az iptables-t használják
- A kernelen belüli keretrendszert netfilter-nek
nevezik - Teljes megadhatóság az IP, TCP, UDP és ICMP
csomagok mezoihez - IP Szuro szabályok
- Beszúrási pont
- Egyezés
- Cél
37IP csomagszuro példa
- ping -c 1 127.0.0.1
- PING 127.0.0.1 (127.0.0.1) 56 data bytes
- 64 bytes from 127.0.0.1 icmp_seq0 ttl64
time0.2 ms - --- 127.0.0.1 ping statistics ---
- 1 packets transmitted, 1 packets received, 0
packet loss round-trip min/avg/max 0.2/0.2/0.2
ms - iptables -A INPUT -s 127.0.0.1 -p icmp -j DROP
- ping -c 1 127.0.0.1
- PING 127.0.0.1 (127.0.0.1) 56 data bytes
- --- 127.0.0.1 ping statistics ---
- 1 packets transmitted, 0 packets received, 100
packet loss
38Állapottartó tuzfal
- Teljes állapot kezelés
- TCP, UDP, ICMP
- Egy általános kapcsolatköveto modult használ
conntrack - A Conntrack külön-külön kezeli az egyes
kapcsolatokat és ezekhez rendeli az adott
kimen/bejövo csomagokat - Új kapcsolat bejezést hoz létre amint a
kapcsolatköveto modul egy kapcsolat létrehozó
csomagot regisztrál - Így a NAT implementációk megállapíthatják, hogy
az egyes csomagokhoz új IP/port tratozik, vagy
már egy meglévohöz kell rendelni
39Állapottartó tuzfalazás
- Egye protokollok komplexek és külön modulokat
igényelnek (conntrack helpers) - Egy példa az FTP.
- A kliens nyit egy vezérlo csatornát 21-es TCP
portra és FTP vezérlo utasításokat küld. - A fájl átvitelére a szerver nyit egy csatornát a
kliensre a szerver 20-as portjáról a kliens
tetszoleges portjára
40Állapotartó tuzfal
- Felhasználói térbeli állapotok
- NEW
- Minden új kapcsolat
- Ide tartoznak a nem SYN TCP csomagok
- ESTABLISHED
- Minden kapcsolat ahol már láttak forgalmat
mindkét irányba - RELATED
- Minden kapcsolat/csomag ami valamilyen visznba
van más kapcoslatokkal - Példák ICMP hiba, FTP-Data, DCC
- INVALID
- Bizonyos hibás csomagok az állapotoktól függoen
- Pl. FIN/ACK amikor nem volt FIN küldve
- iptables -A FORWARD -i ppp0 -m state ! --state
NEW -j DROP
41NAT
- NAT - Network Address Translation
- Két típusa van NAT in Linux 2.4
- Netfilter NAT
- Fast NAT
- Használata
- LAN mint egy forrás
- Külön szerverek egy IP
-
- Netfilter NAT
- DNAT - Destination Network Address Translation
- SNAT - Source Network Address Translation
- Szüksége van a kapcsolatok követésére
42NAT Példa
- SNAT
- Change source addresses to 1.2.3.4.
- iptables -t nat -A POSTROUTING -o eth0 -j SNAT
--to 1.2.3.4 - Change source addresses to 1.2.3.4, 1.2.3.5 or
1.2.3.6 - iptables -t nat -A POSTROUTING -o eth0 -j SNAT
--to 1.2.3.4-1.2.3.6 - Change source addresses to 1.2.3.4, ports
1-1023 - iptables -t nat -A POSTROUTING -p tcp -o eth0
-j SNAT --to 1.2.3.41-1023 - DNAT
- Change destination addresses to 5.6.7.8
- iptables -t nat -A PREROUTING -i eth0 -j DNAT
--to 5.6.7.8 - Change destination addresses to 5.6.7.8,
5.6.7.9 or 5.6.7.10. - iptables -t nat -A PREROUTING -i eth0 -j DNAT
--to 5.6.7.8-5.6.7.10 - Change destination addresses of web traffic to
5.6.7.8, port 8080. - iptables -t nat -A PREROUTING -p tcp --dport 80
-i eth0 \ -j DNAT --to 5.6.7.88080
43Csomag manipuláció
- A tuzfalon keresztülmeno csomagokat manipulálja
- Sokfajta lehetoség
- Példa felhasználás
- Minden IP opció törlése
- A TOS érték átállítása
- A TTL mezo átállítása
- Az ECN mezok törlése
- A csomagok megjelölése a kernelen belül
- A kapcsolatok megjelölése a kernelelen belül
44Mit használunk?
- Jelenleg három táblázat van filter, nat, mangle.
- filter table a szuro rendszer használja
- a LOCAL_IN (INPUT), FORWARD, LOCAL_OUT (OUTPUT)
ba kapcsolódik - iptable_filter kapcsolódik és minden csomagot
továbbad az iptables-nak - Az alap táblát az iptables program kezeli
45A szuro kapmói
46A nat táblázat
- A nat tablázatot a nat vezérlésére használják
- A LOCAL_OUT (OUTPUT), PREROUTING, POSTROUTING
pontokhoz kapcsolódik - Az iptable_nat bekapcsolódik és átadja azokat a
csomagokat akiknek a kapcsolatait még nem látták
a NAT táblázatban
47NAT kampók
48A mangle tábla
- A mangle table a speciális muveletekhez
használják - A LOCAL_OUT (OUTPUT), PREROUTING hoz csatlakozik
- iptable_mangle kapcsolódik és átad minden
csomagot a táblának
49Alapveto iptables szintakszis
- iptables table command options ltmatchesgt
lttargetgt - parancsok
- append, insert, replace, delete, list, policy,
etc. - opciók
- verbose, line numbers, exact, etc.
- találatok
- dport, dst, sport, src, states, TCP options,
owner, etc. - célok
- ACCEPT, DROP, REJECT, SNAT, DNAT, TOS, LOG, etc.
50Iptables szintakszis
- Protocol
- -p, --protocol ! protocol
- tcp, udp, icmp or all
- Numeric value
- /etc/protocols
- Cél IP Port
- -d, --destination ! address/mask
- Destination address
- Resolvable (/etc/resolve.conf)
- --dport, --destination-port ! portport
- Destination port
- Numeric or resolvable (/etc/services)
- Port range
51Iptables szintakszis
- Source IP Port
- -s, --source ! address/mask
- Source address
- Resolvable (/etc/resolve.conf)
- --sport, --source-port ! portport
- Source port
- Numeric or resolvable (/etc/services)
- Port range
52Iptables szintakszis
- Incoming and Outgoing interface
- -i, --in-interface ! interface
- -o, --out-interface ! interface
53Iptables szintakszis
- ACCEPT
- Elfogadja a csomagot
- Befejezi a megfelelo lánc további feldolgozását
- Minden elozo lánc feldolgozását befejezi
- Ez nem vonatkozik más fo láncokra és táblákra
- DROP
- Eldobja a csomagot
- Nincs válasz
- Befejez minden további feldolgozást
54Iptables szintakszis
- REJECT
- Eldobja a csomagot
- Válaszol
- Felhasználó által megadott válasz
- Számított válasz
- TCP-RST vagy ICMP hibaüzenet
- Befejez minden további feldolgozást
- RETURN
- Visszatér a láncból a hívó láncba
55Példa
test
Input
Rule1 -p ICMP j DROP
Rule1 -s 192.168.1.1
Rule2 -p TCP j test
Rule2 -d 192.168.1.1
Rule3 -p UDP j DROP
Mi történik a 192.168.1.1 forráscímu TCP
csomaggal ha a célcím 1.2.3.4?
56Egyszeru szabályok
- iptables -A INPUT -p tcp -m state --state NEW !
--syn -j REJECT --reject-with-tcp-reset - iptables -A INPUT -p tcp --dport 801024 -j DROP
- iptables -A FORWARD -p tcp --dport 22113 -j DROP
- iptables -A FORWARD -p tcp --dport ftp-dataftp
-j DROP - iptables -A OUTPUT -p tcp -o eth0 -j ACCEPT
- iptables -A OUTPUT -p tcp -o lo -j ACCEPT
- iptables -P OUTPUT DROP
57Iptables szintakszis
- A szabályok listázása
- -L, --list chain
- -F, --flush chain
- Flushes (erases) all rules in a chain
- Or a table
- -N, --new chain
- Creates a user-specified chain
- There must be no target with that name previously
- -X, --delete-chain chain
- Deletes a user-created chain
- No rules may reference the chain
- Can delete all user-created chains in a table
58Iptables szintakszis
- Creating...
- iptables -t filter -N badtcppackets
- and Deleting a chain
- iptables -t filter -X badtcppackets
- and Deleting all user-created chains
- iptables -t filter -X
59Példa A célok
- A tuzfal
- Saját maga tuzfala
- Bejövo
- ICMP Echo request reply
- Identd kérdések
- HTTP kérések
- Kimeno
- Minden amit a host generált
- Kivéve "nonet" csoport
- és a LAN
- Internet-rol LAN-ra
- Related traffic
- Established traffic
- LAN-ról Internet-re
- Minden
60Részletek
- Tuzfal
- LAN az eth0
- LAN IP 192.168.1.1
- Internet az eth1
- Internet IP 10.0.0.1/32
- LAN
- IP range 192.168.1.0/24
61A POSTROUTING lánc
- NAT
- iptables -t nat -A POSTROUTING -i eth0 -o eth1 -j
SNAT --to-source 10.0.0.1
62INPUT lánc
- A kiválasztott bejövo, minden kimeno forgalom
- Default to DROP
- iptables -P INPUT DROP
- iptables -A INPUT -p tcp --dport 113 -j ACCEPT
- iptables -A INPUT -p tcp --dport 80 -j ACCEPT
- iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
- iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
- iptables -A INPUT -m state --state
ESTABLISHED,RELATED -j ACCEPT
63Output lánc
- Mindent elfogadunk kivéve a nonet csoportot
- iptables -A OUTPUT -m owner --gid-owner nonet -j
DROP
64FORWARD lánc
- Everything from LAN to Internet
- ICMP replies, related and Established traffic
from Internet to LAN - iptables -P FORWARD DROP
- iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
- iptables -A FORWARD -i eth1 -m state --state
ESTABLISHED,RELATED -j ACCEPT
65Példák
- iptables -A INPUT -p tcp -m state --state NEW !
--syn -j REJECT --reject-with-tcp-reset - iptables -A INPUT -p tcp --dport 801024 -j DROP
- iptables -A FORWARD -p tcp --dport 22113 -j DROP
- iptables -A FORWARD -p tcp --dport ftp-dataftp
-j DROP - iptables -A OUTPUT -p tcp -o eth0 -j ACCEPT
- iptables -A OUTPUT -p tcp -o lo -j ACCEPT
- iptables -P OUTPUT DROP
66ISA 2004
- Alkalmazás szintu tuzfal
- Szolgáltatásai
- Csomagszuro
- Állapotköveto
- VPN támogatás
- VPN karantén
- Bizonyos behatolás érzékelés (portscan, halálos
ping) - SSL-SSL híd
- Alkalmazás szintu vizsgálat (http, ftp, rpc, )
67CISCO PIX
- Beágyazott operációs rendszer (Fitnesse OS,
realtime nem Unix) - Szolgáltatásai
- Csomagszuro
- Állapotfigyelés
- HTTP, FTP, Telnet hitelesités
- VPN támogatás
- URL szurés
- Magas rendelkezésre állás
- ASA - biztonsági szintek
- 1000000 kapcsolat!!!
68IDS
- Behatolás érzékelés
- Mai állapot
- Lenyomat alapú érzékelés
- A riasztás értékelése ma még többnyire manuális
- A legtöbb IDS rendszerben nincs meg a kello
intelligencia, hogy megbízhatóan ellenorizze a
támadást figyelembe véve más információkat is és
meghozza a megfelelo döntéseket - Legtöbb helyen nincs központi log (tuzfal,
szerver, )
69Ideális eset
- Aggregáció
- SNMP, Syslog,
- Korreláció
- Pl. idobélyeg
- Analízis
- A host értéke
- Szolgáltatásai
- Viszonya a többihez
- Rendszergazda
- Lehetséges sebezhetosége
70SNORT
- GNU GPL licensz
- Minta alapú
- Valós ideju forgalom analízis
- Protokoll analízis
- Szabályokat definiálhatunk a keresett mintákra
- alert tcp any any -gt any 139 (content"5c
00P00I00P00E00 5c") - Három üzemmód
- Sniffer
- Packet logger
- NIDS
- Muködése
- Dekódolás protokoll dekódolás
- Preprocesszor pl. port scan detektálás
- Detektáló rész szabályok
- 1 GBit/s
71CISCO IDS
- Lenyomat adatbázis alapján azonosítja a
támadásokat - Részei
- Senzor platform a forgalom valós ideju
figyelése, tipikusan modulok - Interfészei
- Monitor
- Kontroll
- Direktor platform menedzselés
- Akciók
- TCP reset
- IP blokkolás
- IP loggolás
- 1 Gbit/s
72Tartalom
- Miért érdemes hálózati biztonsággal foglalkozni
- Tuzfal
- Személyi
- Hagyományos
- Típusai
- Állapotmentes
- Állapotköveto
- Proxy
- Architektúra változatok
- Egy rétegu
- Több rétegu
- Intranet tuzfal tervezés
- Határ tuzfal tervezés
- Megoldások
- Linux netfilter
- Windows ISA szerver
- Cisco - PIX
- Behatolás érzékelés
- Cisco
73A következo eloadás tartalma