Мрежова сигурност. Firewall архитектури
-
Upload
stephen-drazhev -
Category
Documents
-
view
230 -
download
2
description
Transcript of Мрежова сигурност. Firewall архитектури
1
ИКОНОМИЧЕСКИ УНИВЕРСИТЕТ - ВАРНА
КУРСОВ ПРОЕКТ
тема: Мрежова сигурност. Firewall архитектури.
Разработил: Проверил: ............................ Симеон Ненов - Ф.№ 2104 доц. д-р Стефан Дражев Специалност „Приложна информатика”
2
I. Въведение
Сигурността е на преден план в мрежовото управление.
Предизвикателството е да се намери баланса между две важни изисквания:
нуждата да се “отвори” мрежата, за да може да се развиват бизнес
възможностите и нуждата да се защити личната и бизнес информацията.
Мрежовият администратор трябва да мисли като атакуващ. Целта на
атакуващия е да компроментира машина в мрежата или да стартира
приложение, което да работи в самата мрежа.
1. Типове компютърни престъпления, които могат да бъдат
повлияни чрез бдително мрежово управление:
• Вътрешна злоупотреба с достъпа до мрежата
• Отказ от услуги (Denial of Service DoS)
• Проникване в системата
• Снифиране на пароли
2. Разрешителна или забранителна стратегия?
При разрешителната стратегия всички услуги са разрешени, а се
забраняват само тези, които са потенциално опасни.
При забранителната стратегия всички услуги са забранени, а се
разрешават само определни услуги нужни за нормалното функциониране
на организацията. Тези услуги са дефинирани под формата на политика на
3
сигурността (security policy) и могат да се отнасят както за един служител в
организацията, така и за група от служители.
Разбира се втората стратегия е за предпочитане пред първата, защото
“отворените” мрежи за изключително уязвими и крият огромни рискове за
сигурността.
Както отворените така и напълно “затворени” мрежи също не са
застраховани от атаки. При “затворените” мрежи, въпреки, че са защитени
изцяло от външния свят, все пак има опасност от атаки отвътре.
Истината е някъде по средата.
3. Разработване на политика на сигурността (Security Policy)
Първата стъпка, която всяка организация трябва да направи за да
защити данните си е да разработи политика на сигурността. Според
RFC2196 политиката на сигурността представлява формално изразяване на
правилата, които хората, на които е даден достъп до мрежата и
информацията на дадена организация трябва да спазват.
Политиката на сигурността има следните цели:
• да информира потребителите, персонала и менаджерите за
задължителните изисквания по опазване на базата и информацията
• определя механизъм, чрез който тези изисквания могат да се
постигнат
• осигуряват необходимото (конфигуриране, одит на компютърната
мрежа) за да може политиката да бъде приложена
4
4. Най-чести заплахи за сигурността
4.1 Уязвимост (слабост)
Има три основни слабости:
• Технологични
o TCP/IP протокола - HTTP, FTP и ICMP са изключително
несигурни, защото информацията се изпраща в чист текст
o Слабост на операционната система – всяка ОС има някакви
проблеми със сигурността, на които трябва да се обърне
внимание
o Слабост на мрежовото оборудване – дали се използват силни
пароли, липса на автентикация, рутинг протоколи, дупки във
firewall-a
• Конфигурационни
o Необезопасени потребителски акаунти
o Администраторски акаунти с лесни за отгатване пароли
o Настройка по подразбиране
o Не добро конфигуриране на мрежовото оборудване
• Слабост в политиката на сигурност
o Липса на политика за сигурност
o Неприлагане на АCL
o Софтуерните и хардуерните инсталации не спазват политиката
o Липса на план за действие при пробив в системата
4.2 Заплахи за физическата инфраструктура
5
• Хардуерни заплахи – физическа повреда на сървъри, рутери,
работни станции и др.
• Заплахи от околната среда – температурни пикове и спадове, рязка
смяна на влажността в помещенията
• Електрически заплахи – пренапрежение, тотална липса на
електрозахранване
4.3 Мрежови заплахи
Основно се делят на 4 класа:
• Неструктурирани заплахи - от неопитни атакуващи, които
използватлесно достъпни инструменти за атака.
• Структурирани заплахи – от един или група атакуващи, които са
силно мотивирани и технически компетентни (познават добре
слабите места и използват по-сложни инструменти за атака).
• Външни заплахи – от един или група атакуващи, които нямат
оторизиран достъп до компютърните системи или мрежата
(обикновено осъществяват връзка през Интернет).
• Вътрешни заплахи – от някой, който има оторизиран достъп до
мрежата, физически или чрез акаунт.
Типове мрежови атаки
• Разузнаване – получаване на IP адресът на сървър на компанията,
сканиране на портове, снифиране на пакетите. Целата е да се види
или открадне информация от организацията.
6
• Достъп – чрез слабост в системата за автентикация, FTP услугите
или web услугите да се получи достъп до web акаунти,
конфиденциални бази от данни и друга ценна информация.
• Отказ от услуга (Denial of Service DoS) – това е най-често
срещаната атака, както и най-трудната за преодоляване. Към този
вид атаки се отнасят – ping of death (изпращане на ping с по-голям
размер), SYN Flood (атакуващия използва ТCP three-way handshake,
при което изпраща множество SYN Request, сървърите отговарят със
SYN-ACK, a атакуващия така и не потвърдава Final ACK, при което
ресурсите на сървърите сврършват и не могат да отговорят на
реалните заявки на потребителите), E-mail bombs
Червеи, вируси, Троянски коне
5. Основни техники за “отбрана”
5.1 За сървъри и работни станции:
• Промяна на новоинсталираните машини на настройките по
подразбиране
• Смяна на потребителските имена и паролите
• Достъпът до ресурсите да се забрани за всички, освен за тези, които
са оторизирани
• Всички услуги и сървиси, които не са необходими да се забранят или
деинсталират.
5.2 Антивирусен софтуер
5.3 Персонален Firewall
7
5.4 Патчове на операционната система
5.5 Превенция и засичане на атаката
II. Firewall архитектури
1. Същност на Firewall
Firewall–а представлява множество от компоненти, които ограничават
(разрешават, забраняват, криптират, декриптират) достъпа до Интернет
или до други части на мрежите:
• ограничава входа и изхода на потребителите в контролирани точки
• предпазва от атаки срещу защитени ресурси
Firewall-a представлява съвкупност от мерки разработени да
предотвратят неоторизиран достъп до компютърните мрежи и отделните
потребители.
Firewall-a може да се изгради както чрез хардуерни устройства, така и
чрез софтуер, но може да бъде и комбинация от двете.
Най-често Firewall се използва за предотвратяване на неоторизиран
достъп на Интернет потребители до private мрежите и особено до intranet.
8
Има няколко типа firewall техники:
• Packet filtering (филтриране на пакети) – всеки пакет, който влиза
или излиза от мрежата се преглежда и съответно се приема или
отхвърля на базата на предварително дефинирани правила.
• Application gateway – механизми на сигурност се прилагат на
специални приложения като FTP и Telnet сървъри.
• Circuit-level gateway – прилагат се механизми на сигурност когато
се установяват TCP и UDP конекции. След като веднъж се
осъществят конекциите, пакетите се обменят между хостовете без
повече проверки.
• Proxy server – всички съобщения, които влизат и излизат от мрежата
минават през този сървър. По този начин вътрешната мрежа остава
скрита за света.
В практиката тези техники се използват едновременно.
2. Какво може Firewall?
• той е фокусираща точка за определяне насигурността
• подсилва политиката на сигурност
• може да съхранява информация за
• Интернет трафика
• предотвратява разпространението на
• вашите проблеми
3. Какво не може Firewall?
9
• не може да ви предпази от вътрешнинедоброжелатели
• не може да ви защити от конекции, коитоне минават през него
• не може да ви предпази от най-последните заплахи
• не може да ви предпази от вируси
4. Firewall- основни понятия
• Bastion host – защитаваната машина (машината, към която имаме
публичен достъп)
• Dual-homed host – машина с 2 интерфейса
• Packet filtering – филтриране на пакети не само на база IP адрес на
източника, но и на база съдържание на IP пакета
• Perimeter network (DMZ) – гранична зона или още демилитаризирана
зона, намираща се между вътрешната мрежа и Интернет
• Proxy server – софтуер позволяващ прозрачно пропускане на заявки
5. Firewall архитектури
5.1 Dual-Homed Host – компютър с 2 мрежови карти играе роля на
опростен Firewall. Едната конекция е към вътрешната мрежа, а другата –
към Интернет. Няма директен IP трафик между Интернет и вътрешната
мрежа.
10
5.2 Dual-Homed Host + Proxy – архитектурата се обезпечава чрез
инсталиране на proxy сървър, а на клиентските машини – proxy клиент.
Proxy сървърът играе роля на посредник, като вътрешната мрежа остава
невидима за света.
5.3 Screened Host – между вътрешната мрежа и Интернет се поставя
рутер, чиято роля е да ограничава трафика до определени машини отвън,
както и да ограничава изходящия трафик от вътрешната мрежа. Това става
на база филтриране на пакети. Bastion хостът е достъпен от Интернет,
както е разрешен и трафикът от него към Интернет. Другите хостове могат
11
да комуникират с Интернет чрез proxy сървър, който е инсталиран на
Bastion хоста. Тази архитектура е по-гъвкъва от Dual-homed host + proxy.
Bastion хостът е единствената машина, която е обект на атаките. Недостатъ
е, че ако Bastion хоста се компроментира, атакуващите ще имат достъп до
цялата вътрешна мрежа.
5.4 Screened subnet – при тази архитектура има два рутера (външен и
вътрешен), а Bastion хоста се намира на отделен сегмент от хостовете от
вътрешната мрежа. Този сегмент се нарича демилитаризираната зона
(DMZ). Дори атакуващите да “пробият” през външния рутер и да стигнат
до Bastion хоста, вътрешната мрежа остава скрита.
Компоненти на Screened subnet архитектура:
• Perimeter network (DMZ)
• Bastion host
• Вътрешен рутер (choke router)
• Външен рутер (access router)
12
6. Допустими архитектурни решения
6.1. Множество Bastion хостове
13
6.2 Обединяване на вътрешен и външен рутер
6.3 Обединяване на външен рутер и Bastion хост
14
6.4 Множество външни рутери
6.5 Множество DMZ
15
7. Недопустими архитектурни решения
7.1 Обединяване на Bastion хост и вътрешния рутер
7.2 Множество вътрешни рутери