Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

1 IP alapú hálózatok tervezése és üzemeltetése II. 15/9.

Hasonló előadás


Az előadások a következő témára: "1 IP alapú hálózatok tervezése és üzemeltetése II. 15/9."— Előadás másolata:

1 1 IP alapú hálózatok tervezése és üzemeltetése II. 15/9

2 IP alapú hálózatok tervezése és üzemeltetése II. 2 Az előző előadás tartalma VoIP  Potenciális hálózatok  VoIP piac  Készülékek  VoIP módok  Előnyök/Hátárnyok  RTP/RTCP/RSTP  SIP  SDP

3 IP alapú hálózatok tervezése és üzemeltetése II. 3 Források Design the firewall system (http://www.cert.org/security- improvement/practices/p053.html )http://www.cert.org/security- improvement/practices/p053.html Firewall Design (http://www.microsoft.com/resources/documentation/msa/idc/all/solution/e n-us/rag/ragc03.mspx )http://www.microsoft.com/resources/documentation/msa/idc/all/solution/e n-us/rag/ragc03.mspx Perimeter Firewall Design (http://www.microsoft.com/technet/security/guidance/secmod156.mspx )http://www.microsoft.com/technet/security/guidance/secmod156.mspx  Perimeter Firewall Service Design for the SBO Scenario (http://www.microsoft.com/technet/itsolutions/wssra/raguide/Firewall_Services_ PG_2.mspx )http://www.microsoft.com/technet/itsolutions/wssra/raguide/Firewall_Services_ PG_2.mspx  Perimeter Firewall Service Design for the CDC Scenario (http://www.microsoft.com/technet/itsolutions/wssra/raguide/Firewall_Services_ PG_1.mspx )http://www.microsoft.com/technet/itsolutions/wssra/raguide/Firewall_Services_ PG_1.mspx Internal Firewall Design (http://www.microsoft.com/technet/security/guidance/secmod155.mspx )http://www.microsoft.com/technet/security/guidance/secmod155.mspx Extortion online (http://www.informationweek.com/showArticle.jhtml?articleID= )http://www.informationweek.com/showArticle.jhtml?articleID= The Threats To Come (http://www.securitypipeline.com/ )http://www.securitypipeline.com/ Advanced Features of netfilter/iptables (http://linuxgazette.net/108/odonovan.html )http://linuxgazette.net/108/odonovan.html SNORT (http://www.snort.org/ )http://www.snort.org/ Threat Management: The State of Intrusion Detection (http://www.snort.org/docs/threatmanagement.pdf ) Threat Management: The State of Intrusion Detectionhttp://www.snort.org/docs/threatmanagement.pdf

4 IP alapú hálózatok tervezése és üzemeltetése II. 4 Tartalom Miért érdemes hálózati biztonsággal foglalkozni Tűzfal  Személyi  Hagyományos  Típusai Állapotmentes Állapotkövető Proxy Architektúra változatok  Egy rétegű  Több rétegű Intranet tűzfal tervezés Határ tűzfal tervezés Megoldások  Linux – netfilter  Windows – ISA szerver  Cisco - PIX Behatolás érzékelés  Cisco  SNORT

5 IP alapú hálózatok tervezése és üzemeltetése II. 5 Hálózati biztonsági kihívások Internet nyílt, szabad közösség  Régebben a fizikai biztonság volt az elsődleges (jól bezárni a rendező szekrényt)  Egyre több cég, intézmény kötődik a hálózathoz Potenciális piac A vásárlókkal jönnek a hacker-ek is Hetente új virusok, férgek, …  Bárki szabadon rákapcsolódhat (hot spot, …)  Nagy populáció  Letölthető hacker eszközök (http://staff.washington.edu/dittrich/misc/ddos/ )http://staff.washington.edu/dittrich/misc/ddos/

6 IP alapú hálózatok tervezése és üzemeltetése II. 6 Támadások fejlődése Forrás: Cisco

7 IP alapú hálózatok tervezése és üzemeltetése II. 7 Online zsarolás 100 cégből 17-et megzsaroltak (http://www.informationweek.com/showArticle.jhtml?articleID= )http://www.informationweek.com/showArticle.jhtml?articleID=

8 IP alapú hálózatok tervezése és üzemeltetése II. 8 Tipikus biztonsági problémák Támadási típusok  Külső Settenkedő – fizikai biztonság (zárolni a gépeket) DoS Denial – of – Service  Nem feltétlenül okoznak kárt  Nehéz lekezelni DDoS – ugyanaz csak több gépről (zombi gépek) Alkalmazás rétegbeni támadások  Az alkalmazások biztnsági réseit használják ki  A legismertebbek  Nem megfelelően frissített rendszereket támadnak meg (Slammer 2002 augusztus-2003 január) Hálózat kikémlelés – az első lépés a támadás előtt  Portscan  DNS, IP cím keresés  Belső Fertőzött laptop – gyakran tagja különböző hálózatoknak Nem engedélyezett eszköz – pl.: nem megfelelően konfigurált vezetékmentes hozzáférési pont Elbocsátott alkalmazott – Man in the middle Vírusok/Trójaiak  Vegyes Csomag figyelés: Telnet, POP3, FTP, …. IP spoofing: belső forrás IP címmel küldik kívülről (ACL, RFC 2827)

9 IP alapú hálózatok tervezése és üzemeltetése II. 9 Várható támadás típusok Komplex Web támadás  IE biztonsági rés + Apache biztonsági rés (egy feltört web szerverre tettek az IE számára veszélyes kódot) Web szolgáltatások elleni támadások Spyware fenyegetés – a Microsoft szerint a rendszerösszeomlások feléért felelősek, a DELL szerint a bejelentett hibák 12% százalékát okozzák (http://www.informationweek.com/showArticle.jhtml?articleID= )http://www.informationweek.com/showArticle.jhtml?articleID= Mobil eszköz elleni támadások (PDA, Telefon,..) SPAM DoS DDoS

10 IP alapú hálózatok tervezése és üzemeltetése II. 10 Megoldás(talán, nincs tökéletes) Elvileg nincs szükség másra, csak megfelelően beállított gépekre DE a szoftver hibák, emberi mulasztások, … miatt mégis szükség van:  Elosztott, jól koordinálható, több rétegű védelem  Integrált megoldás (kapcsolók, forgalomirányítók, szerverek, …)  Automatikus reakció  Védelmi keretrendszer Védelem - Védelmi rendszer Szabályozás - Bizalom és identitás menedzsment Titkosítás - Biztonságos kapcsolat

11 IP alapú hálózatok tervezése és üzemeltetése II. 11 Biztonsági szabályok A hálózatot biztonsági övezetekre kell osztani Egy-egy biztonsági övezet saját biztonsági szabályrendszerrel bír Ezen övezetek határán szükség van egy olyan eszközre mely a különböző szabályokból adódó konfliktusokat feloldja Ez az eszköz legtöbbször a tűzfal

12 IP alapú hálózatok tervezése és üzemeltetése II. 12 Védelmi topológiák Egyszerű határ tűzfal Megbízhatatlan gép Három zónás architekrúra:  Fegyvermentes övezet (DMZ DeMilitarized Zone)  Kettős tűzfal

13 IP alapú hálózatok tervezése és üzemeltetése II. 13 Határ tűzfal Egyrétegű megoldás Egy eszközre van telepítve minden tűzfal funkció Egy eszköz köt össze minden hálózatot Egyszerű Olcsó A legkevésbé biztonságos megoldás  Egy eszközön kell a biztonsági hiányosságokat kiaknázni

14 IP alapú hálózatok tervezése és üzemeltetése II. 14 Megbízhatatlan gép Vannak olyan szervereink melyek szolgáltatásokat nyújtanak a külvilágnak  Web  SMTP  FTP  NTP  SSH  RDesktop  VPN szerver ?  … Mivel ez a leginkább veszélyeztetett ezért ezt a tűzfalon kívül helyezzük el Minimális szolgáltatásra kell törekednünk A belső gépek nem bíznak meg benne

15 IP alapú hálózatok tervezése és üzemeltetése II. 15 Demilitarizált övezet A megbízhatatlan szolgáltatókat is védeni szeretnénk Itt egy új hálózatot alakítunk ki ezen szolgáltatások számára Nagyobb  Biztonság  Rendelkezésre állás  Megbízhatóság

16 IP alapú hálózatok tervezése és üzemeltetése II. 16 Dupla tűzfal A célja ugyanaz mint az előzőé Funkciók  Perem tűzfal  Belső tűzfal Hálózatok:  Határ hálózat  DMZ  Belső hálózat Célszerű különböző architektúrájú tűzfalakat választani

17 IP alapú hálózatok tervezése és üzemeltetése II. 17 Védelmi eszközök Tűzfal  Osztályai: Személyes (első osztály) Forgalomirányító (második osztály) Alsó kategóriás hardver tűzfalak (harmadik osztály) Felső kategóriás hardver tűzfalak (negyedik osztály) Szerver tűzfalak (ötödik osztály)  Típusai Csomagszűrő Cím transzformáló Állapottartó Kapcsolat szintű átjáró Proxy Alkalmazás rétegbeni szűrés  Megvalósítások Netfilter (http://www.netfilter.org/ )http://www.netfilter.org/ ISA 2004 (http://www.microsoft.com/isaserver/ )http://www.microsoft.com/isaserver/ CISCO PIX (http://www.cisco.com/warp/public/cc/pd/fw/sqfw500/ )http://www.cisco.com/warp/public/cc/pd/fw/sqfw500/ Behatolás érzékelő rendszer  SNORT (http://www.snort.org/ )http://www.snort.org/  Cisco IDS 4200 (http://www.cisco.com/warp/public/cc/pd/sqsw/sqidsz/ )http://www.cisco.com/warp/public/cc/pd/sqsw/sqidsz/

18 IP alapú hálózatok tervezése és üzemeltetése II. 18 Tűzfal típusok: Csomagszűrő Mivel a különböző hálózatokat leggyakrabban forgalomirányítók kötik össze ezért ezen funkciók leggyakrabban itt található Ha már van router akkor mindenképpen azon célszerű implementálni A 3. rétegben működik Szűrő feltételek:  Forrás/Cél cím  Forrás/Cél port Ezzel célszerű az IP spoofing-ot kivédeni Ez nagyon gyors és kis erőforrás igényű tud lenni

19 IP alapú hálózatok tervezése és üzemeltetése II. 19 Tűzfal típusok: NAT Tipusai:  PAT – Port Address Translation  NAT – Network Address Translation Lehet:  Dinamikus  Statikus Címfordítást végez Elrejti a belső címeket Alkalmazás réteg?

20 IP alapú hálózatok tervezése és üzemeltetése II. 20 Tűzfal típusok : Kapcsolat szintű átjáró Nem vizsgál minden egyes csomagot Amint a kapcsolat felépült utána az adott viszonyhoz tartozó összes csomag mehet A 4. rétegben működik Jobb mint csak csomagszűrés Tartalmazhat alkalmazás rétegbeni funkciókat is  Pl.: FTP

21 IP alapú hálózatok tervezése és üzemeltetése II. 21 Tűzfal típusok : Állapottartó Az előző kettő kombinációja A 3., 4. rétegben működik Minden kimenő csomag naplózva van az állapot táblában  Forrás/Cél IP  Forrás/Cél port A bemenő forgalomnál így ellenőrizhető, hogy ki kezdeményezte Ez a tudás mindenképpen megkövetelendő egy tűzfaltól Egyéb információkat is eltárolhat  Protkoll falg-ek

22 IP alapú hálózatok tervezése és üzemeltetése II. 22 Tűzfal típusok : Proxy A kommunikáció 3 vagy több fél között folyik  Kliens  Proxy  Szerver Títkosítatlan esetben a kliens nem látja közvetlenül azokat a csomagokat amelyeket a szerver küldött és fordítva Títkosított esetben a proxy ellenőrzi a fejléceket és ha minden OK akkor továbbküldi Gyorsítótár Protokoll validáció Felh. ID alapú döntés Bonyolult Minden protokollt ismernie kell

23 IP alapú hálózatok tervezése és üzemeltetése II. 23 Alkalmazás szintű szűrés A legintelligensebb Értelmezni tudják az adott alkalmazás adatát és ez alapján döntéseket hoznak SMTP parancsok, DNS parancsok, SPAM szűrés Igény alapján dinamikusan nyitja a portokat  DNS felé UDP csak akkor ha a DNS indította a kapcsolatot és addig amíg ez a kapcsolat tart Títkosított forgalom kezelése:  Ugyanaz mint a proxy-nál  A tűzfalon végződtetve mindkét oldalon

24 IP alapú hálózatok tervezése és üzemeltetése II. 24 Személyes tűzfal A PC-n futó szoftver szolgáltatás Egyre több otthoni kapcsolat Kis hálózat védelmére is alkalmas (otthoni hálózat) A hálózattól függetlenül ma már minden gépen kötelező a használata (különösen mobil eszközöknél) Jóval kisebb tudású mint a többi, gyakran csak csomagszűrésre alkalmas Előnyei:  Olcsó (ingyenes)  Egyszerű konfigurálni Hátrányai:  Nehéz központból menedzselni  Kis teljesítményű  Korlátolt tudású

25 IP alapú hálózatok tervezése és üzemeltetése II. 25 Forgalomirányító tűzfal A forgalomirányítók gyakran rendelkeznek tűzfal funkciókkal is Az alsó kategóriás forgalomirányítók általában IP cím alapján és port alapján képesek a forgalmat szűrni valamint NAT-ot is biztosítanak a címek elrejtésére A felső kategóriás eszközök programozhatóak ACL listák segítségével, állapotkövetőek, támogatják a magas rendelkezésre állást Előnyeik:  Olcsóak (a hardvereshez viszonyítva)  Egyszerű, szokványos konfiguráció Hátrányaik:  Teljesítmény  Limitált funkcionalitás

26 IP alapú hálózatok tervezése és üzemeltetése II. 26 Hardver tűzfalak Alsó kategóriás  Statikus szűrés  Plug-and-Play  VPN  Bizonyos szintig menedzselhetőek  Előnyei: Gyakorlatilag nem kell konfigurálni Olcsó  Hátrányai: Korlátozott funkicionalitás Gyenge teljesítmény Felső kategóriás  kapcsolat  Manuális konfiguráció  Moduláris  Magas rendelkezésre állás  Alkalmazás szintű szűrés  Gyors  Drága

27 IP alapú hálózatok tervezése és üzemeltetése II. 27 Szerver tűzfalak A legtöbb rendszergazda számára jól ismert környezet  Linux  Windows  FreeBSD  … Jól bővíthető (sw/hw) Gyors (megfelelő méretű gépen) Integrálható Skálázható Az oprendszer hibáit kiaknázhatják a támadók

28 IP alapú hálózatok tervezése és üzemeltetése II. 28 Belső tűzfal A belső hálózathoz történő hozzáférést szabályozza Külső nem megbízható felhasználók elvileg soha nem léphetnek be a belső hálózatra  Web szerver esetén a web szerver fog kommunikálni a belső részekkel

29 IP alapú hálózatok tervezése és üzemeltetése II. 29 Tipikus beállítások Minden tiltva ami nincs engedve Tiltani a belső IP címek forrásként feltüntetését kívülről Tiltani a külső IP címek forrásként feltüntetését belülről Engedélyezni a DMZ DNS szerverek UDP-n történő megszólítását a belső DNS szerverekről Engedélyezni a belső DNS szerverek UDP-n történő megszólítását a DMZ- ből TCP DNS forgalom engedélyezése (szerver figyelembe vételével) Kimenő SMTP a DMZ SMTP átjáróról Bejövő SMTP a DMZ SMTP átjárótól Engedi a proxy-tól származó forgalmat befelé Engedi a forgalmat a proxy felé Szegmensek támogatása Szegmensek közötti forgalom állapotkövetéses forgalomirányítása Magas rendelkezésreállás támogatása

30 IP alapú hálózatok tervezése és üzemeltetése II. 30 Perem tűzfal Feladata a szervezet határain túli felhasználók kiszolgálása Típusai:  Megbízható (távoli iroda)  Félig megbízható (üzleti partnerek)  Megbízhatatlan (publikus weboldal) Ez az eszköz fogja fel a támadásokat (jó esetben)

31 IP alapú hálózatok tervezése és üzemeltetése II. 31 Tipikus beállítások Minden tiltva ami nincs engedve Tiltani a belső IP címek forrásként feltüntetését kívülről Tiltani a külső IP címek forrásként feltüntetését belülről Engedélyezni a külső DNS szerverek UDP-n történő megszólítását (DMZ-ből) Engedélyezni a belső (DMZ) DNS szerverek UDP-n történő megszólítását TCP DNS forgalom engedélyezése (szerver figyelembe vételével) Kimenő SMTP a belső SMTP átjáróról Bejövő SMTP a belső SMTP átjárónak Engedi a proxy-tól származó forgalmat a külvilág felé Engedi a forgalmat a proxy felé

32 IP alapú hálózatok tervezése és üzemeltetése II. 32 Rendelkezésre állás (perem/belső) Egy tűzfal Több tűzfal:

33 IP alapú hálózatok tervezése és üzemeltetése II. 33 Linux Netfilter Kernel komponens Szolgáltatásai:  Csomagszűrő  Állapot követés  Csomag manipuláció  Kapcsolatszám figyelés, korlátozás (egy adott gépről a TCP kapcsolatok száma. DOS védelem)  Legutóbbi kapcsolatok megjegyzése (pl.: port scan)  Terhelés elosztás (adott véletlen eloszlással)  String illesztés a tartalomban (pl.:.exe)  Idő alapú szabályok (ebédnél szabad internetezni, …)  Átviteli kvóták (pl.: 2 Gbyte)  TTL alapú csomag vizsgálat (man in the middle) Bővíthető Ingyenes

34 IP alapú hálózatok tervezése és üzemeltetése II. 34 ISA 2004 Alkalmazás szintű tűzfal Szolgáltatásai  Csomagszűrő  Állapotkövető  VPN támogatás  VPN karantén  Bizonyos behatolás érzékelés (portscan, halálos ping)  SSL-SSL híd  Alkalmazás szintű vizsgálat (http, ftp, rpc, …)

35 IP alapú hálózatok tervezése és üzemeltetése II. 35 CISCO PIX Beágyazott operációs rendszer (Fitnesse OS, realtime nem Unix) Szolgáltatásai  Csomagszűrő  Állapotfigyelés  HTTP, FTP, Telnet hitelesités  VPN támogatás  URL szűrés  Magas rendelkezésre állás  ASA - biztonsági szintek  kapcsolat!!!

36 IP alapú hálózatok tervezése és üzemeltetése II. 36 IDS Behatolás érzékelés Mai állapot:  Lenyomat alapú érzékelés  A riasztás értékelése ma még többnyire manuális  A legtöbb IDS rendszerben nincs meg a kellő intelligencia, hogy megbízhatóan ellenőrizze a támadást figyelembe véve más információkat is és meghozza a megfelelő döntéseket  Legtöbb helyen nincs központi log (tűzfal, szerver, …)

37 IP alapú hálózatok tervezése és üzemeltetése II. 37 Ideális eset Aggregáció  SNMP, Syslog, … Korreláció  Pl.: időbélyeg Analízis  A host értéke  Szolgáltatásai  Viszonya a többihez  Rendszergazda  Lehetséges sebezhetősége

38 IP alapú hálózatok tervezése és üzemeltetése II. 38 SNORT GNU GPL licensz Minta alapú Valós idejű forgalom analízis Protokoll analízis Szabályokat definiálhatunk a keresett mintákra alert tcp any any -> any 139 (content:"|5c 00|P|00|I|00|P|00|E|00 5c|";) Három üzemmód  Sniffer  Packet logger  NIDS Működése  Dekódolás – protokoll dekódolás  Preprocesszor – pl.: port scan detektálás  Detektáló rész – szabályok 1 GBit/s

39 IP alapú hálózatok tervezése és üzemeltetése II. 39 CISCO IDS Lenyomat adatbázis alapján azonosítja a támadásokat Részei:  Senzor platform – a forgalom valós idejű figyelése, tipikusan modulok Interfészei:  Monitor  Kontroll  Direktor platform – menedzselés Akciók  TCP reset  IP blokkolás  IP loggolás 1 Gbit/s

40 IP alapú hálózatok tervezése és üzemeltetése II. 40 Tartalom Miért érdemes hálózati biztonsággal foglalkozni Tűzfal  Személyi  Hagyományos  Típusai Állapotmentes Állapotkövető Proxy Architektúra változatok  Egy rétegű  Több rétegű Intranet tűzfal tervezés Határ tűzfal tervezés Megoldások  Linux – netfilter  Windows – ISA szerver  Cisco - PIX Behatolás érzékelés  Cisco  SNORT

41 IP alapú hálózatok tervezése és üzemeltetése II. 41 A következő előadás tartalma DNS DNSSec


Letölteni ppt "1 IP alapú hálózatok tervezése és üzemeltetése II. 15/9."

Hasonló előadás


Google Hirdetések