Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Tűzfalak Kónya Kinga. Mi is a tűzfal? egy szabalyozó eszköz, amely megengedi, hogy több hálózat kommunikáljon egymással egy előredefiniált biztonsági.

Hasonló előadás


Az előadások a következő témára: "Tűzfalak Kónya Kinga. Mi is a tűzfal? egy szabalyozó eszköz, amely megengedi, hogy több hálózat kommunikáljon egymással egy előredefiniált biztonsági."— Előadás másolata:

1 Tűzfalak Kónya Kinga

2 Mi is a tűzfal? egy szabalyozó eszköz, amely megengedi, hogy több hálózat kommunikáljon egymással egy előredefiniált biztonsági egyezmény szerint. egy szabalyozó eszköz, amely megengedi, hogy több hálózat kommunikáljon egymással egy előredefiniált biztonsági egyezmény szerint.

3 A tűzfalak a hálózati forgalmat figyelve megakadályozzák a rendellenes adatforgalmat. Nagygépes rendszereknél ez egy különálló speciális számítógép. Személyi használatban lévő PC esetén, Windows operációs rendszer alatt tűzfalprogram használata kifizetődőbb

4 A tűzfal program szabályozza, hogy mely internetes kapcsolatot létesíteni próbáló alkalmazásoknak, kéréseknek engedjen szabad utat. A tűzfal program szabályozza, hogy mely internetes kapcsolatot létesíteni próbáló alkalmazásoknak, kéréseknek engedjen szabad utat.

5 Példák a tűzfal használatára: Belső hálózat és egy publikus hálózat között, mint pl. az Internet Belső hálózat és egy publikus hálózat között, mint pl. az Internet Belső hálózaton belül, azért, hogy szabályozzuk a hálózat bizonyos részeihez való hozzáférést. Belső hálózaton belül, azért, hogy szabályozzuk a hálózat bizonyos részeihez való hozzáférést.

6 Mire jó a tűzfal... megvédi a belső hálózatot és a támadható gépeket megvédi a belső hálózatot és a támadható gépeket megvalósít egy hálózati hozzáférési politikát megvalósít egy hálózati hozzáférési politikát ellenőrzési pontként funkcionál ellenőrzési pontként funkcionál a biztonsági arhitektúra fontos eszköze a biztonsági arhitektúra fontos eszköze

7 és mire nem NEM véd meg, ha megkerülhető NEM véd meg, ha megkerülhető NEM védi ki a belső támadásokat NEM védi ki a belső támadásokat NEM nyújt védelmet a megengedett szolgáltatásokon vagy a szerveralkalmazások hibáin alapuló támadások ellen NEM nyújt védelmet a megengedett szolgáltatásokon vagy a szerveralkalmazások hibáin alapuló támadások ellen

8 A személyes tűzfalakról A személyes tűzfalak általában háromféle feladatot látnak el: A beérkező forgalmat blokkolni tudják szolgáltatás/program, port és protokoll (TCP/UDP) szerint. A beérkező forgalmat blokkolni tudják szolgáltatás/program, port és protokoll (TCP/UDP) szerint. A kimenő forgalmat blokkolni tudják program, port és protokoll szerint. A kimenő forgalmat blokkolni tudják program, port és protokoll szerint. A bejövő forgalomra általában valamilyen tartalom szerinti szűrést is végeznek (scriptek, cookie-k,... stb blokkolása). A bejövő forgalomra általában valamilyen tartalom szerinti szűrést is végeznek (scriptek, cookie-k,... stb blokkolása).

9 Az első tevékenység szükséges a védelemhez. Az első tevékenység szükséges a védelemhez. A második azt akadályozza, hogy egy fertőzött gép tovább fertőzzön (ha a féreg nem kapcsolta még ki a tuzfalat), ill. a kémprogramok sem működnek, hacsak nem egy "jogosítvánnyal" rendelkező programból (pl. böngésző) küldik az információt. A második azt akadályozza, hogy egy fertőzött gép tovább fertőzzön (ha a féreg nem kapcsolta még ki a tuzfalat), ill. a kémprogramok sem működnek, hacsak nem egy "jogosítvánnyal" rendelkező programból (pl. böngésző) küldik az információt. A harmadik tevékenység olyan, hogy egy jó böngésző (Netscape, Mozilla, Opera,...) maga is részben elvégzi ezt a feladatot. A harmadik tevékenység olyan, hogy egy jó böngésző (Netscape, Mozilla, Opera,...) maga is részben elvégzi ezt a feladatot.

10 A tűzfalak típusai Hardware Hardware  főleg cégek használják Software Software  egyéni felhasználók használják A fenti két típus kombinációi A fenti két típus kombinációi

11 Osztályozás: Csomag vizsgálás szerint: Statikus (static) Statikus (static) Állapotot megörző (stateful) Állapotot megörző (stateful) Biztonság szerint: Csomagszűrő Csomagszűrő Proxy Proxy Statefull szűrés Statefull szűrés

12 Statikus tûzfal Minden csomagot a hálózati rétegben vizsgál Minden csomagot a hálózati rétegben vizsgál Megnézi a címzett és a feladó IP címét, ezt egy előre definiált csomagszűrő konfigurációval hasonlítja össze: Megnézi a címzett és a feladó IP címét, ezt egy előre definiált csomagszűrő konfigurációval hasonlítja össze: –Elfogadja, –Visszautasítja az illető csomagot Hasznos, de nehézkes a konfigurálása Hasznos, de nehézkes a konfigurálása Becsapható, ha egy hacker meghamisítja az IP címét Becsapható, ha egy hacker meghamisítja az IP címét

13 Állapotot megörző tűzfal Statikus firewall + az alábbi sajátosságok: Statikus firewall + az alábbi sajátosságok: Megvizsgálja a csomag tartalmát is Megvizsgálja a csomag tartalmát is Az alkalmazási rétegig (application layer) védi a hálózatot Az alkalmazási rétegig (application layer) védi a hálózatot Lehetővé teszi egy belső számítógépen a web service, , ftp működését Lehetővé teszi egy belső számítógépen a web service, , ftp működését

14 Megjegyzi a kapcsolatot, ahonnan a csomagok származnak. Ezt egy tag-ben tárolja, és minden bejövő csomag származási címével összehasonlítja => ezáltal egy plusz védelmi réteget biztosít Megjegyzi a kapcsolatot, ahonnan a csomagok származnak. Ezt egy tag-ben tárolja, és minden bejövő csomag származási címével összehasonlítja => ezáltal egy plusz védelmi réteget biztosít Minden portot zárva tart, amíg valaminek nincsen rá szüksége, így a számítógép “láthatatlan” (stealth mode) Minden portot zárva tart, amíg valaminek nincsen rá szüksége, így a számítógép “láthatatlan” (stealth mode)

15 Csomagszűrők (packet filters) Figyeli a hálózaton történő forgalmat a hálózati (network layer) és szállítási (transport layer) rétegben Figyeli a hálózaton történő forgalmat a hálózati (network layer) és szállítási (transport layer) rétegben  IP cím –Küldő - fogadó  Protokoll  Küldő – fogadó port szám (TCP/UDP esetén)

16 Előnyök: Olcsó Olcsó Elhanyagolható mennyiségű plusz memóriát, illetve processzálást igényel Elhanyagolható mennyiségű plusz memóriát, illetve processzálást igényel Hagyományos csomagszűrés: STATIKUS Hagyományos csomagszűrés: STATIKUS A már befogadott csomagok azonosítására: A már befogadott csomagok azonosítására:  Állapot táblát,  TCP header-eket használ

17 Hátrányai: Nehézkes karbantartás (hozzáférési lista beállítása) Nehézkes karbantartás (hozzáférési lista beállítása) Nem figyel a hálózati és szállítási rétegek fölött Nem figyel a hálózati és szállítási rétegek fölött

18 Application Proxy mint kliens és szerver

19 Jellemzőik: Tartalom szűrés Tartalom szűrés Azonosítást biztosít Azonosítást biztosít Bistosít arról, hogy csak a sajátos forgalom megengedett (http exp) Bistosít arról, hogy csak a sajátos forgalom megengedett (http exp) Caching-et biztosít Caching-et biztosít

20 Hátrányai: Nagy mennyiségű memóriát használnak Nagy mennyiségű memóriát használnak Sokáig lefoglalják a CPU-t Sokáig lefoglalják a CPU-t Minden alkalmazás, amely a tűzfalon keresztül fut, proxyt igényel Minden alkalmazás, amely a tűzfalon keresztül fut, proxyt igényel Egyes alkalmazásokhoz nem lehet proxyt írni Egyes alkalmazásokhoz nem lehet proxyt írni Nehézkes nyomonkövetni az applikációk útját, mert a proxy maszkolja az eredeti startot és célt. Nehézkes nyomonkövetni az applikációk útját, mert a proxy maszkolja az eredeti startot és célt.

21

22 Proxy szerverek A tűzfal leggyakoribb formája A tűzfal leggyakoribb formája Fogadja és szelektíven blokkolja a csomagokat Fogadja és szelektíven blokkolja a csomagokat Elrejti a belső LAN címet az internet elől Elrejti a belső LAN címet az internet elől Minden belső hálózati cím egységes a külvilág számára Minden belső hálózati cím egységes a külvilág számára

23 Főbb jellemzői: Főbb jellemzői:  Firewalling és filterezés (1)  Kapcsolat megosztás (connection sharing) (2)  Caching (3)

24 Firewalling Az alkalmazási réteg (application layer) szintjén működik Az alkalmazási réteg (application layer) szintjén működik Hátránya: Hátránya:  Nehézkes installálás  fenntartás Előnye: Előnye:  Javítja a hálózat biztonságát és teljesítményét  A proxy és firewall együttesen is használható

25 Filterezés A proxy filterezési képességei intelligensek: A proxy filterezési képességei intelligensek:  A kimenő kérések URL-jét leellenőrízheti, megvizsgálva a HTTP GET és POST üzeneteket  Az adminisztrátor letilthat bizonyos doméneket  Filterezni tudja egy alkalmazás tartalmát az üzeneteken belül

26 Kapcsolat megosztás Scalable és költség hatékony megoldásokat biztosít osztott Internet hozzáférésekre Scalable és költség hatékony megoldásokat biztosít osztott Internet hozzáférésekre A kliensek nem kapnak direkt kapcsolatot, hanem ez egy vagy több proxy-n keresztül működik. A kliensek nem kapnak direkt kapcsolatot, hanem ez egy vagy több proxy-n keresztül működik.

27 Caching A proxy cache megoszlik az összes hozzá kapcsolódó gép között A proxy cache megoszlik az összes hozzá kapcsolódó gép között Egy internetes kérelem esetén Egy internetes kérelem esetén  ha az illető oldal benne van a proxy cache-ében, onnan térítődik vissza. A kérés nem hagyja el a proxy-t.  Ha nincs benne, a proxy kliensként viselkedik, és továbbküldi a kérelmet

28 Állapotot megörző vizsgálat(stateful inspection) Dinamikus csomagszűrés Dinamikus csomagszűrés  Képes a kapcsolatokra vonatkozó informaciók megörzésére, az egyszerű csomagszűrés mellett  Azt, hogy egy csomagot elutasít, befogad, loggol, azt az eddig tapasztalatai szerint ítéli meg az illető hoszttal

29 A hálozati forgalmat az Application és Network layer-en figyeli, de blokkolást több layer-ből érkező információkra alapozza A hálozati forgalmat az Application és Network layer-en figyeli, de blokkolást több layer-ből érkező információkra alapozza Könnyen megvalosíthatók új szolgaltatások támogatása (átengedése) a biztonsági szabályzat módosításával Könnyen megvalosíthatók új szolgaltatások támogatása (átengedése) a biztonsági szabályzat módosításával

30 Hátrányai: Mivel nem minden hálozati komunikációt vizsgál meg, ezért nem a legbiztonságosabb Mivel nem minden hálozati komunikációt vizsgál meg, ezért nem a legbiztonságosabb A konfigurálás a packet filtering-hez hasonló nehézségű és nem eléggé tesztelt konfigurálás esetén kiskapuk maradhatnak A konfigurálás a packet filtering-hez hasonló nehézségű és nem eléggé tesztelt konfigurálás esetén kiskapuk maradhatnak

31 Tűzfalak arhitectúrája és elmélete Mivel a tűzfalak az OSI model felső rétegeiben működnek, teljesen informáltak az applikációról, amelyről döntést kell hozniuk Mivel a tűzfalak az OSI model felső rétegeiben működnek, teljesen informáltak az applikációról, amelyről döntést kell hozniuk Egy tűzfal megépítése többféleképpen is elképzelhető Egy tűzfal megépítése többféleképpen is elképzelhető  Egyes cégek saját tűzfalakat terveznek  Mások kész tűzfalakat vásárolnak, és azokat saját igényeik szerint konfigurálják, átformálják (customize)

32 Általában a tűzfalat a belső, megbízható hálozat és a külső, idegen hálózat közé helyezik Általában a tűzfalat a belső, megbízható hálozat és a külső, idegen hálózat közé helyezik Egy ellenörző pontként viselkedik, és felügyeli az applikáció szinten a hálozati forgalmat Egy ellenörző pontként viselkedik, és felügyeli az applikáció szinten a hálozati forgalmat Működhetnek hálozati és szállítási réteg szintjén is, ebben az esetben az IP, TCP fejléceket vizsgálják Működhetnek hálozati és szállítási réteg szintjén is, ebben az esetben az IP, TCP fejléceket vizsgálják

33 A tűzfal működése

34 XP-firewall Állapotot megörző tűzfal (stateful) Állapotot megörző tűzfal (stateful) Működése: Működése:  Nyomon követi az Internetről érkező kérelmeket, ha egy belső gép bizonyos időn belül nem kezdeményezett kapcsolatot a külső kérelmet küldő géppel, ezt visszautasítja  Külső gép csak akkor kapcsolódhat ftp-hez, ha létezik service definíció (port, protokoll, IP cím információk)  Minden portot zárva tart

35 Nem használandó, ha: Nem használandó, ha: proxy-t, proxy-t, Más tűzfalat használunk Más tűzfalat használunk


Letölteni ppt "Tűzfalak Kónya Kinga. Mi is a tűzfal? egy szabalyozó eszköz, amely megengedi, hogy több hálózat kommunikáljon egymással egy előredefiniált biztonsági."

Hasonló előadás


Google Hirdetések