IP alap - PowerPoint PPT Presentation

About This Presentation
Title:

IP alap

Description:

Title: Fejlett Programoz si Technik k 2. Author: Vanda Last modified by: bilickiv Created Date: 2/1/2002 7:50:30 PM Document presentation format – PowerPoint PPT presentation

Number of Views:54
Avg rating:3.0/5.0
Slides: 42
Provided by: VanDa
Category:

less

Transcript and Presenter's Notes

Title: IP alap


1
IP alapú hálózatok tervezése és üzemeltetése II.
  • 15/9

2
Az elozo eloadás tartalma
  • VoIP
  • Potenciális hálózatok
  • VoIP piac
  • Készülékek
  • VoIP módok
  • Elonyök/Hátárnyok
  • RTP/RTCP/RSTP
  • SIP
  • SDP

3
Források
  • Design the firewall system (http//www.cert.org/se
    curity-improvement/practices/p053.html )
  • Firewall Design (http//www.microsoft.com/resource
    s/documentation/msa/idc/all/solution/en-us/rag/rag
    c03.mspx )
  • Perimeter Firewall Design (http//www.microsoft.co
    m/technet/security/guidance/secmod156.mspx )
  • Perimeter Firewall Service Design for the SBO
    Scenario (http//www.microsoft.com/technet/itsolut
    ions/wssra/raguide/Firewall_Services_PG_2.mspx )
  • Perimeter Firewall Service Design for the CDC
    Scenario (http//www.microsoft.com/technet/itsolut
    ions/wssra/raguide/Firewall_Services_PG_1.mspx )
  • Internal Firewall Design (http//www.microsoft.com
    /technet/security/guidance/secmod155.mspx )
  • Extortion online (http//www.informationweek.com/s
    howArticle.jhtml?articleID47204212 )
  • The Threats To Come (http//www.securitypipeline.c
    om/54201336 )
  • Advanced Features of netfilter/iptables
    (http//linuxgazette.net/108/odonovan.html )
  • SNORT (http//www.snort.org/ )
  • Threat Management The State of Intrusion
    Detection (http//www.snort.org/docs/threatmanagem
    ent.pdf )

4
Tartalom
  • Miért érdemes hálózati biztonsággal foglalkozni
  • Tuzfal
  • Személyi
  • Hagyományos
  • Típusai
  • Állapotmentes
  • Állapotköveto
  • Proxy
  • Architektúra változatok
  • Egy rétegu
  • Több rétegu
  • Intranet tuzfal tervezés
  • Határ tuzfal tervezés
  • Megoldások
  • Linux netfilter
  • Windows ISA szerver
  • Cisco - PIX
  • Behatolás érzékelés
  • Cisco

5
Hálózati biztonsági kihívások
  • Internet nyílt, szabad közösség
  • Régebben a fizikai biztonság volt az elsodleges
    (jól bezárni a rendezo szekrényt)
  • Egyre több cég, intézmény kötodik a hálózathoz
  • Potenciális piac
  • A vásárlókkal jönnek a hacker-ek is
  • Hetente új virusok, férgek,
  • Bárki szabadon rákapcsolódhat (hot spot, )
  • Nagy populáció
  • Letöltheto hacker eszközök (http//staff.washingto
    n.edu/dittrich/misc/ddos/ )

6
Támadások fejlodése
  • Forrás Cisco

7
Online zsarolás
  • 100 cégbol 17-et megzsaroltak (http//www.informat
    ionweek.com/showArticle.jhtml?articleID47204212
    )

8
Tipikus biztonsági problémák
  • Támadási típusok
  • Külso
  • Settenkedo fizikai biztonság (zárolni a
    gépeket)
  • DoS Denial of Service
  • Nem feltétlenül okoznak kárt
  • Nehéz lekezelni
  • DDoS ugyanaz csak több géprol (zombi gépek)
  • Alkalmazás rétegbeni támadások
  • Az alkalmazások biztnsági réseit használják ki
  • A legismertebbek
  • Nem megfeleloen frissített rendszereket támadnak
    meg (Slammer 2002 augusztus-2003 január)
  • Hálózat kikémlelés az elso lépés a támadás
    elott
  • Portscan
  • DNS, IP cím keresés
  • Belso
  • Fertozött laptop gyakran tagja különbözo
    hálózatoknak
  • Nem engedélyezett eszköz pl. nem megfeleloen
    konfigurált vezetékmentes hozzáférési pont
  • Elbocsátott alkalmazott Man in the middle
  • Vírusok/Trójaiak

9
Várható támadás típusok
  • Komplex Web támadás
  • IE biztonsági rés Apache biztonsági rés (egy
    feltört web szerverre tettek az IE számára
    veszélyes kódot)
  • Web szolgáltatások elleni támadások
  • Spyware fenyegetés a Microsoft szerint a
    rendszerösszeomlások feléért felelosek, a DELL
    szerint a bejelentett hibák 12 százalékát
    okozzák (http//www.informationweek.com/showArticl
    e.jhtml?articleID19200218 )
  • Mobil eszköz elleni támadások (PDA, Telefon, ..)
  • SPAM
  • DoS
  • DDoS

10
Megoldás(talán, nincs tökéletes)
  • Elvileg nincs szükség másra, csak megfeleloen
    beállított gépekre
  • DE a szoftver hibák, emberi mulasztások, miatt
    mégis szükség van
  • Elosztott, jól koordinálható, több rétegu védelem
  • Integrált megoldás (kapcsolók, forgalomirányítók,
    szerverek, )
  • Automatikus reakció
  • Védelmi keretrendszer
  • Védelem - Védelmi rendszer
  • Szabályozás - Bizalom és identitás menedzsment
  • Titkosítás - Biztonságos kapcsolat

11
Biztonsági szabályok
  • A hálózatot biztonsági övezetekre kell osztani
  • Egy-egy biztonsági övezet saját biztonsági
    szabályrendszerrel bír
  • Ezen övezetek határán szükség van egy olyan
    eszközre mely a különbözo szabályokból adódó
    konfliktusokat feloldja
  • Ez az eszköz legtöbbször a tuzfal

12
Védelmi topológiák
  • Egyszeru határ tuzfal
  • Megbízhatatlan gép
  • Három zónás architekrúra
  • Fegyvermentes övezet (DMZ DeMilitarized Zone)
  • Kettos tuzfal

13
Határ tuzfal
  • Egyrétegu megoldás
  • Egy eszközre van telepítve minden tuzfal funkció
  • Egy eszköz köt össze minden hálózatot
  • Egyszeru
  • Olcsó
  • A legkevésbé biztonságos megoldás
  • Egy eszközön kell a biztonsági hiányosságokat
    kiaknázni

14
Megbízhatatlan gép
  • Vannak olyan szervereink melyek szolgáltatásokat
    nyújtanak a külvilágnak
  • Web
  • SMTP
  • FTP
  • NTP
  • SSH
  • RDesktop
  • VPN szerver ?
  • Mivel ez a leginkábbveszélyeztetett ezért ezt a
    tuzfalon kívül helyezzük el
  • Minimális szolgáltatásra kelltörekednünk
  • A belso gépek nem bíznak meg benne

15
Demilitarizált övezet
  • A megbízhatatlan szolgáltatókat is védeni
    szeretnénk
  • Itt egy új hálózatot alakítunk ki ezen
    szolgáltatások számára
  • Nagyobb
  • Biztonság
  • Rendelkezésre állás
  • Megbízhatóság

16
Dupla tuzfal
  • A célja ugyanaz mint az elozoé
  • Funkciók
  • Perem tuzfal
  • Belso tuzfal
  • Hálózatok
  • Határ hálózat
  • DMZ
  • Belso hálózat
  • Célszeru különbözoarchitektúrájú
    tuzfalakatválasztani

17
Védelmi eszközök
  • Tuzfal
  • Osztályai
  • Személyes (elso osztály)
  • Forgalomirányító (második osztály)
  • Alsó kategóriás hardver tuzfalak (harmadik
    osztály)
  • Felso kategóriás hardver tuzfalak (negyedik
    osztály)
  • Szerver tuzfalak (ötödik osztály)
  • Típusai
  • Csomagszuro
  • Cím transzformáló
  • Állapottartó
  • Kapcsolat szintu átjáró
  • Proxy
  • Alkalmazás rétegbeni szurés
  • Megvalósítások
  • Netfilter (http//www.netfilter.org/ )
  • ISA 2004 (http//www.microsoft.com/isaserver/ )
  • CISCO PIX (http//www.cisco.com/warp/public/cc/pd/
    fw/sqfw500/ )
  • Behatolás érzékelo rendszer

18
Tuzfal típusok Csomagszuro
  • Mivel a különbözo hálózatokat leggyakrabban
    forgalomirányítók kötik össze ezért ezen funkciók
    leggyakrabban itt található
  • Ha már van router akkor mindenképpen azon
    célszeru implementálni
  • A 3. rétegben muködik
  • Szuro feltételek
  • Forrás/Cél cím
  • Forrás/Cél port
  • Ezzel célszeru az IP spoofing-ot kivédeni
  • Ez nagyon gyors és kis eroforrás igényu tud lenni

19
Tuzfal típusok NAT
  • Tipusai
  • PAT Port Address Translation
  • NAT Network Address Translation
  • Lehet
  • Dinamikus
  • Statikus
  • Címfordítást végez
  • Elrejti a belso címeket
  • Alkalmazás réteg?

20
Tuzfal típusok Kapcsolat szintu átjáró
  • Nem vizsgál minden egyes csomagot
  • Amint a kapcsolat felépült utána az adott
    viszonyhoz tartozó összes csomag mehet
  • A 4. rétegben muködik
  • Jobb mint csak csomagszurés
  • Tartalmazhat alkalmazás rétegbeni funkciókat is
  • Pl. FTP

21
Tuzfal típusok Állapottartó
  • Az elozo ketto kombinációja
  • A 3., 4. rétegben muködik
  • Minden kimeno csomag naplózva van az állapot
    táblában
  • Forrás/Cél IP
  • Forrás/Cél port
  • A bemeno forgalomnál így ellenorizheto, hogy ki
    kezdeményezte
  • Ez a tudás mindenképpen megkövetelendo egy
    tuzfaltól
  • Egyéb információkat is eltárolhat
  • Protkoll falg-ek

22
Tuzfal típusok Proxy
  • A kommunikáció 3 vagy több fél között folyik
  • Kliens
  • Proxy
  • Szerver
  • Títkosítatlan esetben a kliens nem látja
    közvetlenül azokat a csomagokat amelyeket a
    szerver küldött és fordítva
  • Títkosított esetben a proxyellenorzi a
    fejléceket ésha minden OK akkortovábbküldi
  • Gyorsítótár
  • Protokoll validáció
  • Felh. ID alapú döntés
  • Bonyolult
  • Minden protokollt ismernie kell

23
Alkalmazás szintu szurés
  • A legintelligensebb
  • Értelmezni tudják az adott alkalmazás adatát és
    ez alapján döntéseket hoznak
  • SMTP parancsok, DNS parancsok, SPAM szurés
  • Igény alapján dinamikusan nyitja a portokat
  • DNS felé UDP csak akkor ha a DNS indította a
    kapcsolatot és addig amíg ez a kapcsolat tart
  • Títkosított forgalom kezelése
  • Ugyanaz mint a proxy-nál
  • A tuzfalon végzodtetve mindkét oldalon

24
Személyes tuzfal
  • A PC-n futó szoftver szolgáltatás
  • Egyre több otthoni kapcsolat
  • Kis hálózat védelmére is alkalmas (otthoni
    hálózat)
  • A hálózattól függetlenül ma már minden gépen
    kötelezo a használata (különösen mobil
    eszközöknél)
  • Jóval kisebb tudású mint a többi, gyakran csak
    csomagszurésre alkalmas
  • Elonyei
  • Olcsó (ingyenes)
  • Egyszeru konfigurálni
  • Hátrányai
  • Nehéz központból menedzselni
  • Kis teljesítményu
  • Korlátolt tudású

25
Forgalomirányító tuzfal
  • A forgalomirányítók gyakran rendelkeznek tuzfal
    funkciókkal is
  • Az alsó kategóriás forgalomirányítók általában
    IP cím alapján és port alapján képesek a
    forgalmat szurni valamint NAT-ot is biztosítanak
    a címek elrejtésére
  • A felso kategóriás eszközök programozhatóak ACL
    listák segítségével, állapotkövetoek, támogatják
    a magas rendelkezésre állást
  • Elonyeik
  • Olcsóak (a hardvereshez viszonyítva)
  • Egyszeru, szokványos konfiguráció
  • Hátrányaik
  • Teljesítmény
  • Limitált funkcionalitás

26
Hardver tuzfalak
  • Alsó kategóriás
  • Statikus szurés
  • Plug-and-Play
  • VPN
  • Bizonyos szintig menedzselhetoek
  • Elonyei
  • Gyakorlatilag nem kell konfigurálni
  • Olcsó
  • Hátrányai
  • Korlátozott funkicionalitás
  • Gyenge teljesítmény
  • Felso kategóriás
  • 7500-500000 kapcsolat
  • Manuális konfiguráció
  • Moduláris
  • Magas rendelkezésre állás
  • Alkalmazás szintu szurés
  • Gyors
  • Drága

27
Szerver tuzfalak
  • A legtöbb rendszergazda számára jól ismert
    környezet
  • Linux
  • Windows
  • FreeBSD
  • Jól bovítheto (sw/hw)
  • Gyors (megfelelo méretu gépen)
  • Integrálható
  • Skálázható
  • Az oprendszer hibáit kiaknázhatják a támadók

28
Belso tuzfal
  • A belso hálózathoz történo hozzáférést
    szabályozza
  • Külso nem megbízható felhasználók elvileg soha
    nem léphetnek be a belso hálózatra
  • Web szerver esetén a web szerver fog kommunikálni
    a belso részekkel

29
Tipikus beállítások
  • Minden tiltva ami nincs engedve
  • Tiltani a belso IP címek forrásként feltüntetését
    kívülrol
  • Tiltani a külso IP címek forrásként feltüntetését
    belülrol
  • Engedélyezni a DMZ DNS szerverek UDP-n történo
    megszólítását a belso DNS szerverekrol
  • Engedélyezni a belso DNS szerverek UDP-n történo
    megszólítását a DMZ-bol
  • TCP DNS forgalom engedélyezése (szerver
    figyelembe vételével)
  • Kimeno SMTP a DMZ SMTP átjáróról
  • Bejövo SMTP a DMZ SMTP átjárótól
  • Engedi a proxy-tól származó forgalmat befelé
  • Engedi a forgalmat a proxy felé
  • Szegmensek támogatása
  • Szegmensek közötti forgalom állapotkövetéses
    forgalomirányítása
  • Magas rendelkezésreállás támogatása

30
Perem tuzfal
  • Feladata a szervezet határain túli felhasználók
    kiszolgálása
  • Típusai
  • Megbízható (távoli iroda)
  • Félig megbízható (üzleti partnerek)
  • Megbízhatatlan (publikus weboldal)
  • Ez az eszköz fogja fel a támadásokat (jó esetben)

31
Tipikus beállítások
  • Minden tiltva ami nincs engedve
  • Tiltani a belso IP címek forrásként feltüntetését
    kívülrol
  • Tiltani a külso IP címek forrásként feltüntetését
    belülrol
  • Engedélyezni a külso DNS szerverek UDP-n történo
    megszólítását (DMZ-bol)
  • Engedélyezni a belso (DMZ) DNS szerverek UDP-n
    történo megszólítását
  • TCP DNS forgalom engedélyezése (szerver
    figyelembe vételével)
  • Kimeno SMTP a belso SMTP átjáróról
  • Bejövo SMTP a belso SMTP átjárónak
  • Engedi a proxy-tól származó forgalmat a külvilág
    felé
  • Engedi a forgalmat a proxy felé

32
Rendelkezésre állás (perem/belso)
  • Egy tuzfal
  • Több tuzfal

33
Linux Netfilter
  • Kernel komponens
  • Szolgáltatásai
  • Csomagszuro
  • Állapot követés
  • Csomag manipuláció
  • Kapcsolatszám figyelés, korlátozás (egy adott
    géprol a TCP kapcsolatok száma. DOS védelem)
  • Legutóbbi kapcsolatok megjegyzése (pl. port
    scan)
  • Terhelés elosztás (adott véletlen eloszlással)
  • String illesztés a tartalomban (pl. .exe)
  • Ido alapú szabályok (ebédnél szabad internetezni,
    )
  • Átviteli kvóták (pl. 2 Gbyte)
  • TTL alapú csomag vizsgálat (man in the middle)
  • Bovítheto
  • Ingyenes

34
ISA 2004
  • Alkalmazás szintu tuzfal
  • Szolgáltatásai
  • Csomagszuro
  • Állapotköveto
  • VPN támogatás
  • VPN karantén
  • Bizonyos behatolás érzékelés (portscan, halálos
    ping)
  • SSL-SSL híd
  • Alkalmazás szintu vizsgálat (http, ftp, rpc, )

35
CISCO PIX
  • Beágyazott operációs rendszer (Fitnesse OS,
    realtime nem Unix)
  • Szolgáltatásai
  • Csomagszuro
  • Állapotfigyelés
  • HTTP, FTP, Telnet hitelesités
  • VPN támogatás
  • URL szurés
  • Magas rendelkezésre állás
  • ASA - biztonsági szintek
  • 1000000 kapcsolat!!!

36
IDS
  • Behatolás érzékelés
  • Mai állapot
  • Lenyomat alapú érzékelés
  • A riasztás értékelése ma még többnyire manuális
  • A legtöbb IDS rendszerben nincs meg a kello
    intelligencia, hogy megbízhatóan ellenorizze a
    támadást figyelembe véve más információkat is és
    meghozza a megfelelo döntéseket
  • Legtöbb helyen nincs központi log (tuzfal,
    szerver, )

37
Ideális eset
  • Aggregáció
  • SNMP, Syslog,
  • Korreláció
  • Pl. idobélyeg
  • Analízis
  • A host értéke
  • Szolgáltatásai
  • Viszonya a többihez
  • Rendszergazda
  • Lehetséges sebezhetosége

38
SNORT
  • GNU GPL licensz
  • Minta alapú
  • Valós ideju forgalom analízis
  • Protokoll analízis
  • Szabályokat definiálhatunk a keresett mintákra
  • alert tcp any any -gt any 139 (content"5c
    00P00I00P00E00 5c")
  • Három üzemmód
  • Sniffer
  • Packet logger
  • NIDS
  • Muködése
  • Dekódolás protokoll dekódolás
  • Preprocesszor pl. port scan detektálás
  • Detektáló rész szabályok
  • 1 GBit/s

39
CISCO IDS
  • Lenyomat adatbázis alapján azonosítja a
    támadásokat
  • Részei
  • Senzor platform a forgalom valós ideju
    figyelése, tipikusan modulok
  • Interfészei
  • Monitor
  • Kontroll
  • Direktor platform menedzselés
  • Akciók
  • TCP reset
  • IP blokkolás
  • IP loggolás
  • 1 Gbit/s

40
Tartalom
  • Miért érdemes hálózati biztonsággal foglalkozni
  • Tuzfal
  • Személyi
  • Hagyományos
  • Típusai
  • Állapotmentes
  • Állapotköveto
  • Proxy
  • Architektúra változatok
  • Egy rétegu
  • Több rétegu
  • Intranet tuzfal tervezés
  • Határ tuzfal tervezés
  • Megoldások
  • Linux netfilter
  • Windows ISA szerver
  • Cisco - PIX
  • Behatolás érzékelés
  • Cisco

41
A következo eloadás tartalma
  • DNS
  • DNSSec
Write a Comment
User Comments (0)
About PowerShow.com