IP alapú hálózatok tervezése és üzemeltetése II.

Slides:



Advertisements
Hasonló előadás
A számítógépes hálózatok és az Internet
Advertisements

Virtualizált Biztonságos BOINC Németh Dénes Deák Szabolcs Szeberényi Imre.
Készítette: Nagy Márton
Hálózati és Internet ismeretek
Aruba Instant vállalati vezeték nélküli megoldások
okostelefon a vezeték nélküli Hálózatok zártságának vizsgálatában
Tempus S_JEP Számítógép hálózatok Összefoglalás Összefoglalás Összeállította: Broczkó Péter (BMF)
I NTERNET ÉS KOMMUNIKÁCIÓ Készítette: Tratnyek Csilla
Hálózatok.
Erőállóképesség mérése Találjanak teszteket az irodalomban
Szabályzás, folyamatok, tudatosság Fizikai biztonság Perimeter Belső hálózat Operációs rendszer Alkalmazások Adatok SMTP (25) HTTP (80) HTTPS (443)
HÁLÓZATOK.
1 GTS Szerver Virtualizáció – Ügyvitel a felhőben.
Tectia MobileID Express – Kétfaktoros erős autentikáció – 5 percen belül üzemkészen! január 16.
Hálózati architektúrák
Microsoft Forefront biztonsági megoldások
© 2009 Cisco Systems, Inc. All rights reserved.Cisco PublicGyors reakció 1 Gyors reakció, kifinomultabb technikák Cisco fejlesztések egy jobb védelmi rendszerért.
Hatékonyságnövelés IT biztonsági megoldásokkal Szincsák Tamás IT tanácsadó 2012.Október 17.
Mellár János 5. óra Március 12. v
Integrált tartalomszűrő rendszer a Juniper és a Websense segítségével Tartalomszűrés Juniper és Websense segítségével. Budapest, Bodnár Gábor,
Jogában áll belépni?! Détári Gábor, rendszermérnök.
IP alapú hálózatok tervezése és üzemeltetése II.
IP alapú hálózatok tervezése és üzemeltetése II.
Hálózati Operációs Rendszerek
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 12. Alkalmazás réteg Dr. Bilicki Vilmos Szoftverfejlesztés.
Globális lekapcsolás? Zelei Dániel. Elvileg… Az Anonymus nevű hekker-csoport megtámadja a 13 root DNS szervert, ezáltal az egész internet „sötétségbe.
Hálózati Operációs Rendszerek Hálózati Biztonság
4. Gyires Béla Informatikai Nap május 6.1 Márton Ágnes Debreceni Egyetem Informatikai Kar Informatikai Rendszerek és Hálózatok Tanszék A Virtual.
Egy ISA szerver naplója Sárosi György Terméktámogatási Tanácsadó Microsoft Magyarország.
Számítógépes hálózatok világa Készítette: Orbán Judit ORJPAAI.ELTE.
WEB MES (webes gyártásirányító rendszer)
TMG délelőtt / 1 Forefront Threat Management Gateway 2010 Alapozzunk!
…az ISA Server 2006 segítségével Gál Tamás Microsoft Magyarország.
Hálózatkezelési újdonságok Windows 7 / R2
A tűzfalakról Microsoft-módra Rövid áttekintés felhasználóknak (A GYIK alapján)
Tűzfalak Kónya Kinga.
szakmérnök hallgatók számára
Mobil eszközök biztonsági problémái
Confidential Asus Pocket Wireless Router WL-530gV2.
Topológia felderítés hibrid hálózatokban
WatchGuard. WatchGuard napjainkban  Központ Seattleben, Washington, további irodák APAC és EMEA régiókban  Növekedés a gazdasági válság ellenére  Eddig.
Web Architecture. Development of Computing Architectures Monolithic mainframe programming Client Server Real Client Server Web Programming.
HuWiCo Hotspotok firmware ismertető. HuWiCo hotspotok most Nyílt hálózat Nincs authentikáció Nincs csomagszűrés Nincs remote managemant Nincs titkosított.
Nagy teherbírású rendszerüzemeltetés a felhőben. Miről lesz szó? Cloud áttekintő Terheléstípusok és kezelésük CDN Loadbalancing Nézzük a gyakorlatban.
Windows Server 2008 Távoli elérés – I.
Supervizor By Potter’s team SWENG 1Szarka Gábor & Tóth Gergely Béla.
Szabályzás, folyamatok, tudatosság Fizikai biztonság Perimeter Belső hálózat Operációs rendszer Alkalmazások Adatok SMTP (25) HTTP (80) HTTPS (443)
Eszköz és identitás kezelés Korlátlan fájl szerver kapacitás Másodlagos adatközpont Korlátlanul skálázódó infrastruktúra Biztonságos DMZ Hibrid adat-
Óravázlat Készítette: Toldi Miklós
Kapcsolatok ellenőrzése
Ingyenes,Multi funkcionális tűzfal szoftver
Tûzfalak.
Számítógép hálózatok.
Live Communication Server Integrált kommunikációs infrastruktúra Mobil támogatás Munkaterület Instant üzenetküldés VOIP Alkalmazások, munkafolyamatok.
A Windows Server 2003 termékcsalád A Windows Server 2003 termékcsaládnak 4 tagja van: Windows Server 2003, Standard Edition Windows Server 2003, Enterprise.
Iskolai számítógépes hálózat bővítése Készítette Tóth László Ferenc.
2. Operációs rendszerek.
IP alapú hálózatok tervezése és üzemeltetése
.NET FRAMEWORK Röviden Krizsán Zoltán 1.0. Tulajdonságok I Rövidebb fejlesztés 20 támogatott nyelv (nyílt specifikáció) 20 támogatott nyelv (nyílt specifikáció)
Tűzfal (firewall).
1 Határtalan határvédelem Illés Márton
Biztonság kábelek nélkül Magyar Dénes május 19.
IBM-ISS © 2009 IBM Corporation május 2. KÉK ÉS ZÖLD - IBM-ISS Gyenese Péter Services Sales Specialist (ISS) IBM Magyarországi Kft.
Almási Béla - NAT 1 Network Address Translation -NAT.
Hálózatmenedzselés Network Monitoring Service Készítette: Nagy István Neptunkód: MCCB2B.
Információ és kommunikáció
Kiberbiztonság adatdiódával
IP alapú hálózatok tervezése és üzemeltetése II.
Információtechnológiai alapismeretek
Válasz a hálózatra, biztonságra, meg mindenre: 7
Előadás másolata:

IP alapú hálózatok tervezése és üzemeltetése II. 15/9

Az előző előadás tartalma VoIP Potenciális hálózatok VoIP piac Készülékek VoIP módok Előnyök/Hátárnyok RTP/RTCP/RSTP SIP SDP

Források Design the firewall system (http://www.cert.org/security-improvement/practices/p053.html ) Firewall Design (http://www.microsoft.com/resources/documentation/msa/idc/all/solution/en-us/rag/ragc03.mspx ) Perimeter Firewall Design (http://www.microsoft.com/technet/security/guidance/secmod156.mspx ) Perimeter Firewall Service Design for the SBO Scenario (http://www.microsoft.com/technet/itsolutions/wssra/raguide/Firewall_Services_PG_2.mspx ) Perimeter Firewall Service Design for the CDC Scenario (http://www.microsoft.com/technet/itsolutions/wssra/raguide/Firewall_Services_PG_1.mspx ) Internal Firewall Design (http://www.microsoft.com/technet/security/guidance/secmod155.mspx ) Extortion online (http://www.informationweek.com/showArticle.jhtml?articleID=47204212 ) The Threats To Come (http://www.securitypipeline.com/54201336 ) Advanced Features of netfilter/iptables (http://linuxgazette.net/108/odonovan.html ) SNORT (http://www.snort.org/ ) Threat Management: The State of Intrusion Detection (http://www.snort.org/docs/threatmanagement.pdf )

Tartalom Miért érdemes hálózati biztonsággal foglalkozni Tűzfal Személyi Hagyományos Típusai Állapotmentes Állapotkövető Proxy Architektúra változatok Egy rétegű Több rétegű Intranet tűzfal tervezés Határ tűzfal tervezés Megoldások Linux – netfilter Windows – ISA szerver Cisco - PIX Behatolás érzékelés Cisco SNORT

Hálózati biztonsági kihívások Internet nyílt, szabad közösség Régebben a fizikai biztonság volt az elsődleges (jól bezárni a rendező szekrényt) Egyre több cég, intézmény kötődik a hálózathoz Potenciális piac A vásárlókkal jönnek a hacker-ek is Hetente új virusok, férgek, … Bárki szabadon rákapcsolódhat (hot spot, …) Nagy populáció Letölthető hacker eszközök (http://staff.washington.edu/dittrich/misc/ddos/ )

Támadások fejlődése Forrás: Cisco

Online zsarolás 100 cégből 17-et megzsaroltak (http://www.informationweek.com/showArticle.jhtml?articleID=47204212 )

Tipikus biztonsági problémák Támadási típusok Külső Settenkedő – fizikai biztonság (zárolni a gépeket) DoS Denial – of – Service Nem feltétlenül okoznak kárt Nehéz lekezelni DDoS – ugyanaz csak több gépről (zombi gépek) Alkalmazás rétegbeni támadások Az alkalmazások biztnsági réseit használják ki A legismertebbek Nem megfelelően frissített rendszereket támadnak meg (Slammer 2002 augusztus-2003 január) Hálózat kikémlelés – az első lépés a támadás előtt Portscan DNS, IP cím keresés Belső Fertőzött laptop – gyakran tagja különböző hálózatoknak Nem engedélyezett eszköz – pl.: nem megfelelően konfigurált vezetékmentes hozzáférési pont Elbocsátott alkalmazott – Man in the middle Vírusok/Trójaiak Vegyes Csomag figyelés: Telnet, POP3, FTP, …. IP spoofing: belső forrás IP címmel küldik kívülről (ACL, RFC 2827)

Várható támadás típusok Komplex Web támadás IE biztonsági rés + Apache biztonsági rés (egy feltört web szerverre tettek az IE számára veszélyes kódot) Web szolgáltatások elleni támadások Spyware fenyegetés – a Microsoft szerint a rendszerösszeomlások feléért felelősek, a DELL szerint a bejelentett hibák 12% százalékát okozzák (http://www.informationweek.com/showArticle.jhtml?articleID=19200218 ) Mobil eszköz elleni támadások (PDA, Telefon, ..) SPAM DoS DDoS

Megoldás(talán, nincs tökéletes) Elvileg nincs szükség másra, csak megfelelően beállított gépekre DE a szoftver hibák, emberi mulasztások, … miatt mégis szükség van: Elosztott, jól koordinálható, több rétegű védelem Integrált megoldás (kapcsolók, forgalomirányítók, szerverek, …) Automatikus reakció Védelmi keretrendszer Védelem - Védelmi rendszer Szabályozás - Bizalom és identitás menedzsment Titkosítás - Biztonságos kapcsolat

Biztonsági szabályok A hálózatot biztonsági övezetekre kell osztani Egy-egy biztonsági övezet saját biztonsági szabályrendszerrel bír Ezen övezetek határán szükség van egy olyan eszközre mely a különböző szabályokból adódó konfliktusokat feloldja Ez az eszköz legtöbbször a tűzfal

Védelmi topológiák Egyszerű határ tűzfal Megbízhatatlan gép Három zónás architekrúra: Fegyvermentes övezet (DMZ DeMilitarized Zone) Kettős tűzfal

Határ tűzfal Egyrétegű megoldás Egy eszközre van telepítve minden tűzfal funkció Egy eszköz köt össze minden hálózatot Egyszerű Olcsó A legkevésbé biztonságos megoldás Egy eszközön kell a biztonsági hiányosságokat kiaknázni

Megbízhatatlan gép Vannak olyan szervereink melyek szolgáltatásokat nyújtanak a külvilágnak Web SMTP FTP NTP SSH RDesktop VPN szerver ? … Mivel ez a leginkább veszélyeztetett ezért ezt a tűzfalon kívül helyezzük el Minimális szolgáltatásra kell törekednünk A belső gépek nem bíznak meg benne

Demilitarizált övezet A megbízhatatlan szolgáltatókat is védeni szeretnénk Itt egy új hálózatot alakítunk ki ezen szolgáltatások számára Nagyobb Biztonság Rendelkezésre állás Megbízhatóság

Dupla tűzfal A célja ugyanaz mint az előzőé Funkciók Hálózatok: Perem tűzfal Belső tűzfal Hálózatok: Határ hálózat DMZ Belső hálózat Célszerű különböző architektúrájú tűzfalakat választani

Védelmi eszközök Tűzfal Behatolás érzékelő rendszer Osztályai: Típusai Személyes (első osztály) Forgalomirányító (második osztály) Alsó kategóriás hardver tűzfalak (harmadik osztály) Felső kategóriás hardver tűzfalak (negyedik osztály) Szerver tűzfalak (ötödik osztály) Típusai Csomagszűrő Cím transzformáló Állapottartó Kapcsolat szintű átjáró Proxy Alkalmazás rétegbeni szűrés Megvalósítások Netfilter (http://www.netfilter.org/ ) ISA 2004 (http://www.microsoft.com/isaserver/ ) CISCO PIX (http://www.cisco.com/warp/public/cc/pd/fw/sqfw500/ ) Behatolás érzékelő rendszer SNORT (http://www.snort.org/ ) Cisco IDS 4200 (http://www.cisco.com/warp/public/cc/pd/sqsw/sqidsz/ )

Tűzfal típusok: Csomagszűrő Mivel a különböző hálózatokat leggyakrabban forgalomirányítók kötik össze ezért ezen funkciók leggyakrabban itt található Ha már van router akkor mindenképpen azon célszerű implementálni A 3. rétegben működik Szűrő feltételek: Forrás/Cél cím Forrás/Cél port Ezzel célszerű az IP spoofing-ot kivédeni Ez nagyon gyors és kis erőforrás igényű tud lenni

Tűzfal típusok: NAT Tipusai: Lehet: Címfordítást végez PAT – Port Address Translation NAT – Network Address Translation Lehet: Dinamikus Statikus Címfordítást végez Elrejti a belső címeket Alkalmazás réteg?

Tűzfal típusok : Kapcsolat szintű átjáró Nem vizsgál minden egyes csomagot Amint a kapcsolat felépült utána az adott viszonyhoz tartozó összes csomag mehet A 4. rétegben működik Jobb mint csak csomagszűrés Tartalmazhat alkalmazás rétegbeni funkciókat is Pl.: FTP

Tűzfal típusok : Állapottartó Az előző kettő kombinációja A 3., 4. rétegben működik Minden kimenő csomag naplózva van az állapot táblában Forrás/Cél IP Forrás/Cél port A bemenő forgalomnál így ellenőrizhető, hogy ki kezdeményezte Ez a tudás mindenképpen megkövetelendő egy tűzfaltól Egyéb információkat is eltárolhat Protkoll falg-ek

Tűzfal típusok : Proxy A kommunikáció 3 vagy több fél között folyik Kliens Proxy Szerver Títkosítatlan esetben a kliens nem látja közvetlenül azokat a csomagokat amelyeket a szerver küldött és fordítva Títkosított esetben a proxy ellenőrzi a fejléceket és ha minden OK akkor továbbküldi Gyorsítótár Protokoll validáció Felh. ID alapú döntés Bonyolult Minden protokollt ismernie kell

Alkalmazás szintű szűrés A legintelligensebb Értelmezni tudják az adott alkalmazás adatát és ez alapján döntéseket hoznak SMTP parancsok, DNS parancsok, SPAM szűrés Igény alapján dinamikusan nyitja a portokat DNS felé UDP csak akkor ha a DNS indította a kapcsolatot és addig amíg ez a kapcsolat tart Títkosított forgalom kezelése: Ugyanaz mint a proxy-nál A tűzfalon végződtetve mindkét oldalon

Személyes tűzfal A PC-n futó szoftver szolgáltatás Egyre több otthoni kapcsolat Kis hálózat védelmére is alkalmas (otthoni hálózat) A hálózattól függetlenül ma már minden gépen kötelező a használata (különösen mobil eszközöknél) Jóval kisebb tudású mint a többi, gyakran csak csomagszűrésre alkalmas Előnyei: Olcsó (ingyenes) Egyszerű konfigurálni Hátrányai: Nehéz központból menedzselni Kis teljesítményű Korlátolt tudású

Forgalomirányító tűzfal A forgalomirányítók gyakran rendelkeznek tűzfal funkciókkal is Az alsó kategóriás forgalomirányítók általában IP cím alapján és port alapján képesek a forgalmat szűrni valamint NAT-ot is biztosítanak a címek elrejtésére A felső kategóriás eszközök programozhatóak ACL listák segítségével, állapotkövetőek, támogatják a magas rendelkezésre állást Előnyeik: Olcsóak (a hardvereshez viszonyítva) Egyszerű, szokványos konfiguráció Hátrányaik: Teljesítmény Limitált funkcionalitás

Hardver tűzfalak Alsó kategóriás Statikus szűrés Plug-and-Play VPN Bizonyos szintig menedzselhetőek Előnyei: Gyakorlatilag nem kell konfigurálni Olcsó Hátrányai: Korlátozott funkicionalitás Gyenge teljesítmény Felső kategóriás 7500-500000 kapcsolat Manuális konfiguráció Moduláris Magas rendelkezésre állás Alkalmazás szintű szűrés Gyors Drága

Szerver tűzfalak A legtöbb rendszergazda számára jól ismert környezet Linux Windows FreeBSD … Jól bővíthető (sw/hw) Gyors (megfelelő méretű gépen) Integrálható Skálázható Az oprendszer hibáit kiaknázhatják a támadók

Belső tűzfal A belső hálózathoz történő hozzáférést szabályozza Külső nem megbízható felhasználók elvileg soha nem léphetnek be a belső hálózatra Web szerver esetén a web szerver fog kommunikálni a belső részekkel

Tipikus beállítások Minden tiltva ami nincs engedve Tiltani a belső IP címek forrásként feltüntetését kívülről Tiltani a külső IP címek forrásként feltüntetését belülről Engedélyezni a DMZ DNS szerverek UDP-n történő megszólítását a belső DNS szerverekről Engedélyezni a belső DNS szerverek UDP-n történő megszólítását a DMZ-ből TCP DNS forgalom engedélyezése (szerver figyelembe vételével) Kimenő SMTP a DMZ SMTP átjáróról Bejövő SMTP a DMZ SMTP átjárótól Engedi a proxy-tól származó forgalmat befelé Engedi a forgalmat a proxy felé Szegmensek támogatása Szegmensek közötti forgalom állapotkövetéses forgalomirányítása Magas rendelkezésreállás támogatása

Perem tűzfal Feladata a szervezet határain túli felhasználók kiszolgálása Típusai: Megbízható (távoli iroda) Félig megbízható (üzleti partnerek) Megbízhatatlan (publikus weboldal) Ez az eszköz fogja fel a támadásokat (jó esetben)

Tipikus beállítások Minden tiltva ami nincs engedve Tiltani a belső IP címek forrásként feltüntetését kívülről Tiltani a külső IP címek forrásként feltüntetését belülről Engedélyezni a külső DNS szerverek UDP-n történő megszólítását (DMZ-ből) Engedélyezni a belső (DMZ) DNS szerverek UDP-n történő megszólítását TCP DNS forgalom engedélyezése (szerver figyelembe vételével) Kimenő SMTP a belső SMTP átjáróról Bejövő SMTP a belső SMTP átjárónak Engedi a proxy-tól származó forgalmat a külvilág felé Engedi a forgalmat a proxy felé

Rendelkezésre állás (perem/belső) Egy tűzfal Több tűzfal:

Linux Netfilter Kernel komponens Szolgáltatásai: Bővíthető Ingyenes Csomagszűrő Állapot követés Csomag manipuláció Kapcsolatszám figyelés, korlátozás (egy adott gépről a TCP kapcsolatok száma. DOS védelem) Legutóbbi kapcsolatok megjegyzése (pl.: port scan) Terhelés elosztás (adott véletlen eloszlással) String illesztés a tartalomban (pl.: .exe) Idő alapú szabályok (ebédnél szabad internetezni, …) Átviteli kvóták (pl.: 2 Gbyte) TTL alapú csomag vizsgálat (man in the middle) Bővíthető Ingyenes

ISA 2004 Alkalmazás szintű tűzfal Szolgáltatásai Csomagszűrő Állapotkövető VPN támogatás VPN karantén Bizonyos behatolás érzékelés (portscan, halálos ping) SSL-SSL híd Alkalmazás szintű vizsgálat (http, ftp, rpc, …)

CISCO PIX Beágyazott operációs rendszer (Fitnesse OS, realtime nem Unix) Szolgáltatásai Csomagszűrő Állapotfigyelés HTTP, FTP, Telnet hitelesités VPN támogatás URL szűrés Magas rendelkezésre állás ASA - biztonsági szintek 1000000 kapcsolat!!!

IDS Behatolás érzékelés Mai állapot: Lenyomat alapú érzékelés A riasztás értékelése ma még többnyire manuális A legtöbb IDS rendszerben nincs meg a kellő intelligencia, hogy megbízhatóan ellenőrizze a támadást figyelembe véve más információkat is és meghozza a megfelelő döntéseket Legtöbb helyen nincs központi log (tűzfal, szerver, …)

Ideális eset Aggregáció Korreláció Analízis SNMP, Syslog, … Pl.: időbélyeg Analízis A host értéke Szolgáltatásai Viszonya a többihez Rendszergazda Lehetséges sebezhetősége

SNORT GNU GPL licensz Minta alapú Valós idejű forgalom analízis Protokoll analízis Szabályokat definiálhatunk a keresett mintákra alert tcp any any -> any 139 (content:"|5c 00|P|00|I|00|P|00|E|00 5c|";) Három üzemmód Sniffer Packet logger NIDS Működése Dekódolás – protokoll dekódolás Preprocesszor – pl.: port scan detektálás Detektáló rész – szabályok 1 GBit/s

CISCO IDS Lenyomat adatbázis alapján azonosítja a támadásokat Részei: Senzor platform – a forgalom valós idejű figyelése, tipikusan modulok Interfészei: Monitor Kontroll Direktor platform – menedzselés Akciók TCP reset IP blokkolás IP loggolás 1 Gbit/s

Tartalom Miért érdemes hálózati biztonsággal foglalkozni Tűzfal Személyi Hagyományos Típusai Állapotmentes Állapotkövető Proxy Architektúra változatok Egy rétegű Több rétegű Intranet tűzfal tervezés Határ tűzfal tervezés Megoldások Linux – netfilter Windows – ISA szerver Cisco - PIX Behatolás érzékelés Cisco SNORT

A következő előadás tartalma DNS DNSSec