IP alapú hálózatok tervezése és üzemeltetése II.

Az előadások a következő témára: "IP alapú hálózatok tervezése és üzemeltetése II."— Előadás másolata:

1 IP alapú hálózatok tervezése és üzemeltetése II.
15/9

2 Tartalom Miért érdemes hálózati biztonsággal foglalkozni Tűzfal
Személyi Hagyományos Típusai Állapotmentes Állapotkövető Proxy Architektúra változatok Egy rétegű Több rétegű Intranet tűzfal tervezés Határ tűzfal tervezés Megoldások Linux – netfilter Windows – ISA szerver Cisco - PIX Behatolás érzékelés Cisco SNORT

3 Hálózati biztonsági kihívások
Internet nyílt, szabad közösség Régebben a fizikai biztonság volt az elsődleges (jól bezárni a rendező szekrényt) Egyre több cég, intézmény kötődik a hálózathoz Potenciális piac A vásárlókkal jönnek a hacker-ek is Hetente új virusok, férgek, … Bárki szabadon rákapcsolódhat (hot spot, …) Nagy populáció Letölthető hacker eszközök ( )

4 Támadások fejlődése Forrás: Cisco

5 Tipikus biztonsági problémák
Támadási típusok Külső Settenkedő – fizikai biztonság (zárolni a gépeket) DoS Denial – of – Service Nem feltétlenül okoznak kárt Nehéz lekezelni DDoS – ugyanaz csak több gépről (zombi gépek) Alkalmazás rétegbeni támadások Az alkalmazások biztnsági réseit használják ki A legismertebbek Nem megfelelően frissített rendszereket támadnak meg (Slammer 2002 augusztus-2003 január) Hálózat kikémlelés – az első lépés a támadás előtt Portscan DNS, IP cím keresés Belső Fertőzött laptop – gyakran tagja különböző hálózatoknak Nem engedélyezett eszköz – pl.: nem megfelelően konfigurált vezetékmentes hozzáférési pont Elbocsátott alkalmazott – Man in the middle Vírusok/Trójaiak Vegyes Csomag figyelés: Telnet, POP3, FTP, …. IP spoofing: belső forrás IP címmel küldik kívülről (ACL, RFC 2827)

6 Várható támadás típusok
Komplex Web támadás IE biztonsági rés + Apache biztonsági rés (egy feltört web szerverre tettek az IE számára veszélyes kódot) Web szolgáltatások elleni támadások Spyware fenyegetés – a Microsoft szerint a rendszerösszeomlások feléért felelősek, a DELL szerint a bejelentett hibák 12% százalékát okozzák ( ) Mobil eszköz elleni támadások (PDA, Telefon, ..) SPAM DoS DDoS

7 Megoldás(talán, nincs tökéletes)
Elvileg nincs szükség másra, csak megfelelően beállított gépekre DE a szoftver hibák, emberi mulasztások, … miatt mégis szükség van: Elosztott, jól koordinálható, több rétegű védelem Integrált megoldás (kapcsolók, forgalomirányítók, szerverek, …) Automatikus reakció Védelmi keretrendszer Védelem - Védelmi rendszer Szabályozás - Bizalom és identitás menedzsment Titkosítás - Biztonságos kapcsolat

8 Biztonsági szabályok A hálózatot biztonsági övezetekre kell osztani
Egy-egy biztonsági övezet saját biztonsági szabályrendszerrel bír Ezen övezetek határán szükség van egy olyan eszközre mely a különböző szabályokból adódó konfliktusokat feloldja Ez az eszköz legtöbbször a tűzfal

9 Védelmi topológiák Egyszerű határ tűzfal Megbízhatatlan gép
Három zónás architekrúra: Fegyvermentes övezet (DMZ DeMilitarized Zone) Kettős tűzfal

10 Határ tűzfal Egyrétegű megoldás
Egy eszközre van telepítve minden tűzfal funkció Egy eszköz köt össze minden hálózatot Egyszerű Olcsó A legkevésbé biztonságos megoldás Egy eszközön kell a biztonsági hiányosságokat kiaknázni

11 Megbízhatatlan gép Vannak olyan szervereink melyek szolgáltatásokat nyújtanak a külvilágnak Web SMTP FTP NTP SSH RDesktop VPN szerver ? … Mivel ez a leginkább veszélyeztetett ezért ezt a tűzfalon kívül helyezzük el Minimális szolgáltatásra kell törekednünk A belső gépek nem bíznak meg benne

12 Demilitarizált övezet
A megbízhatatlan szolgáltatókat is védeni szeretnénk Itt egy új hálózatot alakítunk ki ezen szolgáltatások számára Nagyobb Biztonság Rendelkezésre állás Megbízhatóság

13 Dupla tűzfal A célja ugyanaz mint az előzőé Funkciók Hálózatok:
Perem tűzfal Belső tűzfal Hálózatok: Határ hálózat DMZ Belső hálózat Célszerű különböző architektúrájú tűzfalakat választani

14 Védelmi eszközök Tűzfal Behatolás érzékelő rendszer Osztályai: Típusai
Személyes (első osztály) Forgalomirányító (második osztály) Alsó kategóriás hardver tűzfalak (harmadik osztály) Felső kategóriás hardver tűzfalak (negyedik osztály) Szerver tűzfalak (ötödik osztály) Típusai Csomagszűrő Cím transzformáló Állapottartó Kapcsolat szintű átjáró Proxy Alkalmazás rétegbeni szűrés Megvalósítások Netfilter ( ) ISA 2004 ( ) CISCO PIX ( ) Behatolás érzékelő rendszer SNORT ( ) Cisco IDS 4200 ( )

15 Tűzfal típusok: Csomagszűrő
Mivel a különböző hálózatokat leggyakrabban forgalomirányítók kötik össze ezért ezen funkciók leggyakrabban itt található Ha már van router akkor mindenképpen azon célszerű implementálni A 3. rétegben működik Szűrő feltételek: Forrás/Cél cím Forrás/Cél port Ezzel célszerű az IP spoofing-ot kivédeni Ez nagyon gyors és kis erőforrás igényű tud lenni

16 Tűzfal típusok: NAT Tipusai: Lehet: Címfordítást végez
PAT – Port Address Translation NAT – Network Address Translation Lehet: Dinamikus Statikus Címfordítást végez Elrejti a belső címeket Alkalmazás réteg?

17 Tűzfal típusok : Kapcsolat szintű átjáró
Nem vizsgál minden egyes csomagot Amint a kapcsolat felépült utána az adott viszonyhoz tartozó összes csomag mehet A 4. rétegben működik Jobb mint csak csomagszűrés Tartalmazhat alkalmazás rétegbeni funkciókat is Pl.: FTP

18 Tűzfal típusok : Állapottartó
Az előző kettő kombinációja A 3., 4. rétegben működik Minden kimenő csomag naplózva van az állapot táblában Forrás/Cél IP Forrás/Cél port A bemenő forgalomnál így ellenőrizhető, hogy ki kezdeményezte Ez a tudás mindenképpen megkövetelendő egy tűzfaltól Egyéb információkat is eltárolhat Protkoll falg-ek

19 Tűzfal típusok : Proxy A kommunikáció 3 vagy több fél között folyik
Kliens Proxy Szerver Títkosítatlan esetben a kliens nem látja közvetlenül azokat a csomagokat amelyeket a szerver küldött és fordítva Títkosított esetben a proxy ellenőrzi a fejléceket és ha minden OK akkor továbbküldi Gyorsítótár Protokoll validáció Felh. ID alapú döntés Bonyolult Minden protokollt ismernie kell

20 Alkalmazás szintű szűrés
A legintelligensebb Értelmezni tudják az adott alkalmazás adatát és ez alapján döntéseket hoznak SMTP parancsok, DNS parancsok, SPAM szűrés Igény alapján dinamikusan nyitja a portokat DNS felé UDP csak akkor ha a DNS indította a kapcsolatot és addig amíg ez a kapcsolat tart Títkosított forgalom kezelése: Ugyanaz mint a proxy-nál A tűzfalon végződtetve mindkét oldalon

21 Személyes tűzfal A PC-n futó szoftver szolgáltatás
Egyre több otthoni kapcsolat Kis hálózat védelmére is alkalmas (otthoni hálózat) A hálózattól függetlenül ma már minden gépen kötelező a használata (különösen mobil eszközöknél) Jóval kisebb tudású mint a többi, gyakran csak csomagszűrésre alkalmas Előnyei: Olcsó (ingyenes) Egyszerű konfigurálni Hátrányai: Nehéz központból menedzselni Kis teljesítményű Korlátolt tudású

22 Forgalomirányító tűzfal
A forgalomirányítók gyakran rendelkeznek tűzfal funkciókkal is Az alsó kategóriás forgalomirányítók általában IP cím alapján és port alapján képesek a forgalmat szűrni valamint NAT-ot is biztosítanak a címek elrejtésére A felső kategóriás eszközök programozhatóak ACL listák segítségével, állapotkövetőek, támogatják a magas rendelkezésre állást Előnyeik: Olcsóak (a hardvereshez viszonyítva) Egyszerű, szokványos konfiguráció Hátrányaik: Teljesítmény Limitált funkcionalitás

23 Hardver tűzfalak Alsó kategóriás Statikus szűrés Plug-and-Play VPN
Bizonyos szintig menedzselhetőek Előnyei: Gyakorlatilag nem kell konfigurálni Olcsó Hátrányai: Korlátozott funkicionalitás Gyenge teljesítmény Felső kategóriás kapcsolat Manuális konfiguráció Moduláris Magas rendelkezésre állás Alkalmazás szintű szűrés Gyors Drága

24 Szerver tűzfalak A legtöbb rendszergazda számára jól ismert környezet
Linux Windows FreeBSD … Jól bővíthető (sw/hw) Gyors (megfelelő méretű gépen) Integrálható Skálázható Az oprendszer hibáit kiaknázhatják a támadók

25 Belső tűzfal A belső hálózathoz történő hozzáférést szabályozza
Külső nem megbízható felhasználók elvileg soha nem léphetnek be a belső hálózatra Web szerver esetén a web szerver fog kommunikálni a belső részekkel

26 Tipikus beállítások Minden tiltva ami nincs engedve
Tiltani a belső IP címek forrásként feltüntetését kívülről Tiltani a külső IP címek forrásként feltüntetését belülről Engedélyezni a DMZ DNS szerverek UDP-n történő megszólítását a belső DNS szerverekről Engedélyezni a belső DNS szerverek UDP-n történő megszólítását a DMZ-ből TCP DNS forgalom engedélyezése (szerver figyelembe vételével) Kimenő SMTP a DMZ SMTP átjáróról Bejövő SMTP a DMZ SMTP átjárótól Engedi a proxy-tól származó forgalmat befelé Engedi a forgalmat a proxy felé Szegmensek támogatása Szegmensek közötti forgalom állapotkövetéses forgalomirányítása Magas rendelkezésreállás támogatása

27 Perem tűzfal Feladata a szervezet határain túli felhasználók kiszolgálása Típusai: Megbízható (távoli iroda) Félig megbízható (üzleti partnerek) Megbízhatatlan (publikus weboldal) Ez az eszköz fogja fel a támadásokat (jó esetben)

28 Tipikus beállítások Minden tiltva ami nincs engedve
Tiltani a belső IP címek forrásként feltüntetését kívülről Tiltani a külső IP címek forrásként feltüntetését belülről Engedélyezni a külső DNS szerverek UDP-n történő megszólítását (DMZ-ből) Engedélyezni a belső (DMZ) DNS szerverek UDP-n történő megszólítását TCP DNS forgalom engedélyezése (szerver figyelembe vételével) Kimenő SMTP a belső SMTP átjáróról Bejövő SMTP a belső SMTP átjárónak Engedi a proxy-tól származó forgalmat a külvilág felé Engedi a forgalmat a proxy felé

29 Rendelkezésre állás (perem/belső)
Egy tűzfal Több tűzfal:

30 Linux Netfilter Kernel komponens Szolgáltatásai: Bővíthető Ingyenes
Csomagszűrő Állapot követés Csomag manipuláció Kapcsolatszám figyelés, korlátozás (egy adott gépről a TCP kapcsolatok száma. DOS védelem) Legutóbbi kapcsolatok megjegyzése (pl.: port scan) Terhelés elosztás (adott véletlen eloszlással) String illesztés a tartalomban (pl.: .exe) Idő alapú szabályok (ebédnél szabad internetezni, …) Átviteli kvóták (pl.: 2 Gbyte) TTL alapú csomag vizsgálat (man in the middle) Bővíthető Ingyenes

31 Netfilter Architektúra
Kampók Egy kernel modul regisztrálhatja magát a különböző állapotban lévő csomagok megfigyelésére/elérésére IPv4-ben 5 kampót definiáltak: PRE_ROUTING, LOCAL_IN, FORWARD, LOCAL_OUT, POST_ROUTING. A kapók segítségével megtekinthetőek/módosíthatóak a csomagok NF_DROP, NF_ACCEPT, NF_QUEUE, NF_REPEAT or NF_STOLEN.

32 Netfilter Kampók PRE_ROUTING LOCAL_IN FORWARD LOCAL_OUT POST_ROUTING
A bejövő csomagok átmennek ezen a kampón az ip_rcv() –ben mielőtt a forgalomirányításba kerülnek LOCAL_IN Minden a helyi eszköznek címzett csomagok a ip_local_deliver()-en keresztül elérhetőek FORWARD Minden bejövő és nem az adott eszköznek szánt csomag átmegy ezen: ip_forward() LOCAL_OUT Minden az aktuális host által készített csomag átmegy ezen: ip_build_and_send_pkt() POST_ROUTING Minden kimenő csomag (forrástól függetlenül) átmegy ezen: ip_finish_output()

33 Linux Internet Protocol implementáció
Higher Layers ip_input.c ip_output.c ip_queue_xmit ip_local_deliver MULTICAST . . . IP_LOCAL_OUTPUT ip_mr_input IP_LOCAL_INPUT ip_queue_xmit2 ip_forward.c IP_FORWARD ip_local_deliver ip_forward ip_forward_finish ip_output ip_rcv_finish ip_fragment ip_finish_output ROUTING Forwarding Information Base IP_PRE_ROUTING IP_POST_ROUTING ip_rcv ip_route_input ip_finish_output2 ARP ARP neigh_resolve_ output dev.c dev.c dev_queue_xmit net_rx_action

34 Netfilter Kampók PRE_ROUTING POST_ROUTING FORWARD LOCAL_IN LOCAL_OUT

35 Netfilter Funkcionalitás
IP csomagszűrés Álapottartó tűzfal NAT Csomag manipulálás

36 IP csomagszűrés IP Szűrő IP Szűrő szabályok
A csomagok szűrésére használják A szabályok bevitelére az iptables-t használják A kernelen belüli keretrendszert netfilter-nek nevezik Teljes megadhatóság az IP, TCP, UDP és ICMP csomagok mezőihez IP Szűrő szabályok Beszúrási pont Egyezés Cél

37 IP csomagszűrő példa # ping -c 1 127.0.0.1
PING ( ): 56 data bytes 64 bytes from : icmp_seq=0 ttl=64 time=0.2 ms ping statistics --- 1 packets transmitted, 1 packets received, 0% packet loss round-trip min/avg/max = 0.2/0.2/0.2 ms # iptables -A INPUT -s p icmp -j DROP 1 packets transmitted, 0 packets received, 100% packet loss #

38 Állapottartó tűzfal Teljes állapot kezelés TCP, UDP, ICMP
Egy általános kapcsolatkövető modult használ: conntrack A Conntrack külön-külön kezeli az egyes kapcsolatokat és ezekhez rendeli az adott kimen/bejövő csomagokat Új kapcsolat bejezést hoz létre amint a kapcsolatkövető modul egy kapcsolat létrehozó csomagot regisztrál Így a NAT implementációk megállapíthatják, hogy az egyes csomagokhoz új IP/port tratozik, vagy már egy meglévőhöz kell rendelni

39 Állapottartó tűzfalazás
Egye protokollok komplexek és külön modulokat igényelnek (conntrack helpers) Egy példa az FTP. A kliens nyit egy vezérlő csatornát 21-es TCP portra és FTP vezérlő utasításokat küld. A fájl átvitelére a szerver nyit egy csatornát a kliensre a szerver 20-as portjáról a kliens tetszőleges portjára

40 Állapotartó tűzfal Felhasználói térbeli állapotok NEW ESTABLISHED
Minden új kapcsolat Ide tartoznak a nem SYN TCP csomagok ESTABLISHED Minden kapcsolat ahol már láttak forgalmat mindkét irányba RELATED Minden kapcsolat/csomag ami valamilyen visznba van más kapcoslatokkal Példák: ICMP hiba, FTP-Data, DCC INVALID Bizonyos hibás csomagok az állapotoktól függően Pl. FIN/ACK amikor nem volt FIN küldve # iptables -A FORWARD -i ppp0 -m state ! --state NEW -j DROP

41 NAT NAT - Network Address Translation Két típusa van NAT in Linux 2.4
Netfilter NAT Fast NAT Használata LAN mint egy forrás Külön szerverek egy IP … DNAT - Destination Network Address Translation SNAT - Source Network Address Translation Szüksége van a kapcsolatok követésére

42 NAT Példa SNAT ## Change source addresses to 1.2.3.4.
# iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to ## Change source addresses to , or # iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to ## Change source addresses to , ports # iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to :1-1023 DNAT ## Change destination addresses to # iptables -t nat -A PREROUTING -i eth0 -j DNAT --to ## Change destination addresses to , or # iptables -t nat -A PREROUTING -i eth0 -j DNAT --to ## Change destination addresses of web traffic to , port 8080. # iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 \ -j DNAT --to :8080

43 Csomag manipuláció A tűzfalon keresztülmenő csomagokat manipulálja
Sokfajta lehetőség Példa felhasználás: Minden IP opció törlése A TOS érték átállítása A TTL mező átállítása Az ECN mezők törlése A csomagok megjelölése a kernelen belül A kapcsolatok megjelölése a kernelelen belül

44 Mit használunk? Jelenleg három táblázat van: filter, nat, mangle.
filter table a szűrő rendszer használja a LOCAL_IN (INPUT), FORWARD, LOCAL_OUT (OUTPUT) –ba kapcsolódik iptable_filter kapcsolódik és minden csomagot továbbad az iptables-nak Az alap táblát az iptables program kezeli

45 A szűrő kapmói

46 A nat táblázat A nat tablázatot a nat vezérlésére használják
A LOCAL_OUT (OUTPUT), PREROUTING, POSTROUTING pontokhoz kapcsolódik Az iptable_nat bekapcsolódik és átadja azokat a csomagokat akiknek a kapcsolatait még nem látták a NAT táblázatban

47 NAT kampók

48 A mangle tábla A mangle table a speciális műveletekhez használják
A LOCAL_OUT (OUTPUT), PREROUTING –hoz csatlakozik iptable_mangle kapcsolódik és átad minden csomagot a táblának

49 Alapvető iptables szintakszis
iptables [table] [command] [options] <matches> <target> parancsok: append, insert, replace, delete, list, policy, etc. opciók: verbose, line numbers, exact, etc. találatok: dport, dst, sport, src, states, TCP options, owner, etc. célok: ACCEPT, DROP, REJECT, SNAT, DNAT, TOS, LOG, etc.

50 Iptables szintakszis Protocol -p, --protocol [!] [protocol]
tcp, udp, icmp or all Numeric value /etc/protocols Cél IP & Port -d, --destination [!] address[/mask] Destination address Resolvable (/etc/resolve.conf) --dport, --destination-port [!] port[:port] Destination port Numeric or resolvable (/etc/services) Port range

51 Iptables szintakszis Source IP & Port -s, --source [!] address[/mask]
Resolvable (/etc/resolve.conf) --sport, --source-port [!] port[:port] Source port Numeric or resolvable (/etc/services) Port range

52 Iptables szintakszis Incoming and Outgoing interface
-i, --in-interface [!] interface -o, --out-interface [!] interface

53 Iptables szintakszis ACCEPT DROP Elfogadja a csomagot
Befejezi a megfelelő lánc további feldolgozását Minden előző lánc feldolgozását befejezi Ez nem vonatkozik más fő láncokra és táblákra DROP Eldobja a csomagot Nincs válasz Befejez minden további feldolgozást

54 Iptables szintakszis REJECT RETURN Eldobja a csomagot Válaszol
Felhasználó által megadott válasz Számított válasz TCP-RST vagy ICMP hibaüzenet Befejez minden további feldolgozást RETURN Visszatér a láncból a hívó láncba

55 Példa test Input Rule1: -p ICMP –j DROP Rule1: -s 192.168.1.1
Rule2: -p TCP –j test Rule2: -d Rule3: -p UDP –j DROP Mi történik a forráscímű TCP csomaggal ha a célcím ?

56 Egyszerű szabályok iptables -A INPUT -p tcp -m state --state NEW ! --syn -j REJECT --reject-with-tcp-reset iptables -A INPUT -p tcp --dport 80:1024 -j DROP iptables -A FORWARD -p tcp --dport 22:113 -j DROP iptables -A FORWARD -p tcp --dport ftp-data:ftp -j DROP iptables -A OUTPUT -p tcp -o eth0 -j ACCEPT iptables -A OUTPUT -p tcp -o lo -j ACCEPT iptables -P OUTPUT DROP

57 Iptables szintakszis A szabályok listázása -L, --list [chain]
-F, --flush [chain] Flushes (erases) all rules in a chain Or a table -N, --new chain Creates a user-specified chain There must be no target with that name previously -X, --delete-chain [chain] Deletes a user-created chain No rules may reference the chain Can delete all user-created chains in a table

58 Iptables szintakszis Creating... and Deleting a chain
iptables -t filter -N badtcppackets and Deleting a chain iptables -t filter -X badtcppackets and Deleting all user-created chains iptables -t filter -X

59 Példa: A célok A tűzfal és a LAN Saját maga tűzfala Bejövő: Kimenő:
ICMP Echo request & reply Identd kérdések HTTP kérések Kimenő: Minden amit a host generált Kivéve "nonet" csoport és a LAN Internet-ről LAN-ra Related traffic Established traffic LAN-ról Internet-re Minden

60 Részletek Tűzfal LAN LAN az eth0 LAN IP 192.168.1.1 Internet az eth1
Internet IP /32 LAN IP range /24

61 A POSTROUTING lánc NAT iptables -t nat -A POSTROUTING -i eth0 -o eth1 -j SNAT --to-source

62 INPUT lánc A kiválasztott bejövő, minden kimenő forgalom
Default to DROP iptables -P INPUT DROP iptables -A INPUT -p tcp --dport 113 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

63 Output lánc Mindent elfogadunk kivéve a nonet csoportot
iptables -A OUTPUT -m owner --gid-owner nonet -j DROP

64 FORWARD lánc Everything from LAN to Internet
ICMP replies, related and Established traffic from Internet to LAN iptables -P FORWARD DROP iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

65 Példák iptables -A INPUT -p tcp -m state --state NEW ! --syn -j REJECT --reject-with-tcp-reset iptables -A INPUT -p tcp --dport 80:1024 -j DROP iptables -A FORWARD -p tcp --dport 22:113 -j DROP iptables -A FORWARD -p tcp --dport ftp-data:ftp -j DROP iptables -A OUTPUT -p tcp -o eth0 -j ACCEPT iptables -A OUTPUT -p tcp -o lo -j ACCEPT iptables -P OUTPUT DROP

66 ISA 2004 Alkalmazás szintű tűzfal Szolgáltatásai Csomagszűrő
Állapotkövető VPN támogatás VPN karantén Bizonyos behatolás érzékelés (portscan, halálos ping) SSL-SSL híd Alkalmazás szintű vizsgálat (http, ftp, rpc, …)

67 CISCO PIX Beágyazott operációs rendszer (Fitnesse OS, realtime nem Unix) Szolgáltatásai Csomagszűrő Állapotfigyelés HTTP, FTP, Telnet hitelesités VPN támogatás URL szűrés Magas rendelkezésre állás ASA - biztonsági szintek kapcsolat!!!

68 IDS Behatolás érzékelés Mai állapot: Lenyomat alapú érzékelés
A riasztás értékelése ma még többnyire manuális A legtöbb IDS rendszerben nincs meg a kellő intelligencia, hogy megbízhatóan ellenőrizze a támadást figyelembe véve más információkat is és meghozza a megfelelő döntéseket Legtöbb helyen nincs központi log (tűzfal, szerver, …)

69 Ideális eset Aggregáció Korreláció Analízis SNMP, Syslog, …
Pl.: időbélyeg Analízis A host értéke Szolgáltatásai Viszonya a többihez Rendszergazda Lehetséges sebezhetősége

70 SNORT GNU GPL licensz Minta alapú Valós idejű forgalom analízis
Protokoll analízis Szabályokat definiálhatunk a keresett mintákra alert tcp any any -> any 139 (content:"|5c 00|P|00|I|00|P|00|E|00 5c|";) Három üzemmód Sniffer Packet logger NIDS Működése Dekódolás – protokoll dekódolás Preprocesszor – pl.: port scan detektálás Detektáló rész – szabályok 1 GBit/s

71 CISCO IDS Lenyomat adatbázis alapján azonosítja a támadásokat Részei:
Senzor platform – a forgalom valós idejű figyelése, tipikusan modulok Interfészei: Monitor Kontroll Direktor platform – menedzselés Akciók TCP reset IP blokkolás IP loggolás 1 Gbit/s

72 Tartalom Miért érdemes hálózati biztonsággal foglalkozni Tűzfal
Személyi Hagyományos Típusai Állapotmentes Állapotkövető Proxy Architektúra változatok Egy rétegű Több rétegű Intranet tűzfal tervezés Határ tűzfal tervezés Megoldások Linux – netfilter Windows – ISA szerver Cisco - PIX Behatolás érzékelés Cisco SNORT

73 A következő előadás tartalma
DNS DNSSec