Tűzfalak Kónya Kinga.

Slides:



Advertisements
Hasonló előadás
A hálózat működése 1. A DHCP és az APIPA
Advertisements

Adatbázis gyakorlat 1. Szerző: Varga Zsuzsanna ELTE-IK (2004) Budapest
Készítette: Nagy Márton
Kliens-szerver architektúra
Hálózati és Internet ismeretek
ISO International Standards Organisation OSI Open System Interconnection ISO International Standards Organisation OSI Open System Interconnection Ez a.
Az internet veszélyei KÉSZÍTETTE: Román Róbert
avagy a hálózatok hálózata
Tempus S_JEP Számítógép hálózatok Összefoglalás Összefoglalás Összeállította: Broczkó Péter (BMF)
Module 10: Supporting Remote Users távoli felhasználó támogatása.
Készítette: Bátori Béla 12.k
Számítógépes hálózatok Páll Boglárka. Meghatározás  A számítógépes hálózat, számítógépek és egyéb hardvereszközök egymással összekapcsolt együttese.
Hálózatok.
Hálózati alapfogalmak, topológiák
Szabályzás, folyamatok, tudatosság Fizikai biztonság Perimeter Belső hálózat Operációs rendszer Alkalmazások Adatok SMTP (25) HTTP (80) HTTPS (443)
Számítógép hálózatok.
HÁLÓZATOK.
1 Informatikai Szakképzési Portál Hálózati és Internet ismeretek Hálózati menedzsment.
ADNS Attestation DataNet Service
Hálózati architektúrák
Hálózatok.
Jogában áll belépni?! Détári Gábor, rendszermérnök.
OSI Modell.
A TCP/IP cím.
Iskolai Hálózat Létrehozása
Egy ISA szerver naplója Sárosi György Terméktámogatási Tanácsadó Microsoft Magyarország.
Számítógépes hálózatok világa Készítette: Orbán Judit ORJPAAI.ELTE.
HÁLÓZAT INTERNET. Weblap címek xikon/index.html xikon/index.html.
Elektronikus levelezés
Hálózatkezelési újdonságok Windows 7 / R2
Miért felügyeljük az ügyfélkörnyezetet? Tervezési segédlet Ügynök nélküli felügyelet A fontos ügyfelekről Riportok, trendek és amit ezekből tanulhatunk.
ISA Server alapok Gál Tamás
Levelezés, és a többiek Takács Béla Irodalom Bodnár –Magyari: Az Internet használata I. (Kiskapu) Bodnár –Magyari: Az Internet használata.
A tűzfalakról Microsoft-módra Rövid áttekintés felhasználóknak (A GYIK alapján)
Hálózati és Internet ismeretek
Takács Béla Eset: Egyenrangú (peer-to-peer) hálózat Mi kell hozzá? A számítógépekben (PC-kben) legyen hálózati kártya (Network Interface Card)
A protokollok határozzák meg a kapcsolattartás módját.
Hálózati eszközök.
UDP protokollok User datagram protocol- Felhasználói datagrammprotokoll.
DDoS támadások veszélyei és az ellenük való védekezés lehetséges módszerei Gyányi Sándor.
Tóth Gergely, február BME-MIT Miniszimpózium, Általános célú biztonságos anonimitási architektúra Tóth Gergely Konzulensek: Hornák Zoltán.
Confidential Asus Pocket Wireless Router WL-530gV2.
Hálózati eszközök Bridge, Switch, Router
Hálózat kiépítésével lehetőségünk nyílik más számítógépek erőforrásainak használatára. Osztott háttértár használat: egy számítógép merevlemezének megosztásával.
Az elektronikus levelezés a számítógép-hálózatok klasszikus szolgáltatása, az Internet alkalmazásának egyik legnépszerűbb formája. Szövegen kívül lehetőség.
Számítógép-hálózatok
PHP oktatási tapasztalatok
Nagy teherbírású rendszerüzemeltetés a felhőben. Miről lesz szó? Cloud áttekintő Terheléstípusok és kezelésük CDN Loadbalancing Nézzük a gyakorlatban.
A XXI. századi három testőr (avagy a hálózat bosszúja)
Szabályzás, folyamatok, tudatosság Fizikai biztonság Perimeter Belső hálózat Operációs rendszer Alkalmazások Adatok SMTP (25) HTTP (80) HTTPS (443)
Hálózat menedzsment Óravázlat Készítette: Toldi Miklós.
Óravázlat Készítette: Toldi Miklós
Kapcsolatok ellenőrzése
Ingyenes,Multi funkcionális tűzfal szoftver
Számítógép hálózatok.
Számítógépes hálózatok Páll Boglárka. Meghatározás A számítógépes hálózat, számítógépek és egyéb hardvereszközök egymással összekapcsolt együttese. Például:
Tűzfal (firewall).
1 Határtalan határvédelem Illés Márton
Biztonság kábelek nélkül Magyar Dénes május 19.
Almási Béla - NAT 1 Network Address Translation -NAT.
A szállítási réteg az OSI modell 4. rétege. Feladata megbízható adatátvitel megvalósítása két hoszt között. Ezt úgy kell megoldani, hogy az független.
IP címzés Gubó Gergely Konzulens: Piedl Péter Neumann János Számítástechnikai Szakközépiskola Cím: 1144 Budapest Kerepesi út 124.
Hálózatos programok készítése
Információ és kommunikáció
Az elektronikus levelezés a számítógép-hálózatok klasszikus szolgáltatása, az Internet alkalmazásának egyik legnépszerűbb formája. Szövegen kívül lehetőség.
Hálózatkezelés Java-ban
Hálózatok.
Internet és kommunikáció
Internet és kommunikáció
Előadás másolata:

Tűzfalak Kónya Kinga

Mi is a tűzfal?        egy szabalyozó eszköz, amely megengedi, hogy több hálózat kommunikáljon egymással egy előredefiniált biztonsági egyezmény szerint.

A tűzfalak a hálózati forgalmat figyelve megakadályozzák a rendellenes adatforgalmat. Nagygépes rendszereknél ez egy különálló speciális számítógép. Személyi használatban lévő PC esetén, Windows operációs rendszer alatt tűzfalprogram használata kifizetődőbb

A tűzfal program szabályozza, hogy mely internetes kapcsolatot létesíteni próbáló alkalmazásoknak, kéréseknek engedjen szabad utat.

Példák a tűzfal használatára: Belső hálózat és egy publikus hálózat között, mint pl. az Internet Belső hálózaton belül, azért, hogy szabályozzuk a hálózat bizonyos részeihez való hozzáférést.

Mire jó a tűzfal... megvédi a belső hálózatot és a támadható gépeket megvalósít egy hálózati hozzáférési politikát ellenőrzési pontként funkcionál a biztonsági arhitektúra fontos eszköze

és mire nem NEM véd meg, ha megkerülhető NEM védi ki a belső támadásokat NEM nyújt védelmet a megengedett szolgáltatásokon vagy a szerveralkalmazások hibáin alapuló támadások ellen

A személyes tűzfalakról A személyes tűzfalak általában háromféle feladatot látnak el:  A beérkező forgalmat blokkolni tudják szolgáltatás/program, port és protokoll (TCP/UDP) szerint.  A kimenő forgalmat blokkolni tudják program, port és protokoll szerint.  A bejövő forgalomra általában valamilyen tartalom szerinti szűrést is végeznek (scriptek, cookie-k, ... stb blokkolása).

Az első tevékenység szükséges a védelemhez. A második azt akadályozza, hogy egy fertőzött gép tovább fertőzzön (ha a féreg nem kapcsolta még ki a tuzfalat), ill. a kémprogramok sem működnek, hacsak nem egy "jogosítvánnyal" rendelkező programból (pl. böngésző) küldik az információt. A harmadik tevékenység olyan, hogy egy jó böngésző (Netscape, Mozilla, Opera,...) maga is részben elvégzi ezt a feladatot.

A tűzfalak típusai Hardware Software A fenti két típus kombinációi főleg cégek használják Software egyéni felhasználók használják A fenti két típus kombinációi

Osztályozás: Csomag vizsgálás szerint: Statikus (static) Állapotot megörző (stateful) Biztonság szerint: Csomagszűrő Proxy Statefull szűrés

Statikus tûzfal Minden csomagot a hálózati rétegben vizsgál Megnézi a címzett és a feladó IP címét, ezt egy előre definiált csomagszűrő konfigurációval hasonlítja össze: Elfogadja, Visszautasítja az illető csomagot Hasznos, de nehézkes a konfigurálása Becsapható, ha egy hacker meghamisítja az IP címét

Állapotot megörző tűzfal Statikus firewall + az alábbi sajátosságok: Megvizsgálja a csomag tartalmát is Az alkalmazási rétegig (application layer) védi a hálózatot Lehetővé teszi egy belső számítógépen a web service, e-mail, ftp működését

Megjegyzi a kapcsolatot, ahonnan a csomagok származnak Megjegyzi a kapcsolatot, ahonnan a csomagok származnak. Ezt egy <connection> tag-ben tárolja, és minden bejövő csomag származási címével összehasonlítja => ezáltal egy plusz védelmi réteget biztosít Minden portot zárva tart, amíg valaminek nincsen rá szüksége, így a számítógép “láthatatlan” (stealth mode)

Csomagszűrők (packet filters) Figyeli a hálózaton történő forgalmat a hálózati (network layer) és szállítási (transport layer) rétegben IP cím Küldő - fogadó Protokoll Küldő – fogadó port szám (TCP/UDP esetén)

Előnyök: Olcsó Elhanyagolható mennyiségű plusz memóriát, illetve processzálást igényel Hagyományos csomagszűrés: STATIKUS A már befogadott csomagok azonosítására: Állapot táblát, TCP header-eket használ

Hátrányai: Nehézkes karbantartás (hozzáférési lista beállítása) Nem figyel a hálózati és szállítási rétegek fölött

Application Proxy mint kliens és szerver

Jellemzőik: Tartalom szűrés Azonosítást biztosít Bistosít arról, hogy csak a sajátos forgalom megengedett (http exp) Caching-et biztosít

Hátrányai: Nagy mennyiségű memóriát használnak Sokáig lefoglalják a CPU-t Minden alkalmazás, amely a tűzfalon keresztül fut, proxyt igényel Egyes alkalmazásokhoz nem lehet proxyt írni Nehézkes nyomonkövetni az applikációk útját, mert a proxy maszkolja az eredeti startot és célt.

Proxy szerverek A tűzfal leggyakoribb formája Fogadja és szelektíven blokkolja a csomagokat Elrejti a belső LAN címet az internet elől Minden belső hálózati cím egységes a külvilág számára

Főbb jellemzői: Firewalling és filterezés (1) Kapcsolat megosztás (connection sharing) (2) Caching (3)

Firewalling Az alkalmazási réteg (application layer) szintjén működik Hátránya: Nehézkes installálás fenntartás Előnye: Javítja a hálózat biztonságát és teljesítményét A proxy és firewall együttesen is használható

Filterezés A proxy filterezési képességei intelligensek: A kimenő kérések URL-jét leellenőrízheti, megvizsgálva a HTTP GET és POST üzeneteket Az adminisztrátor letilthat bizonyos doméneket Filterezni tudja egy alkalmazás tartalmát az üzeneteken belül

Kapcsolat megosztás Scalable és költség hatékony megoldásokat biztosít osztott Internet hozzáférésekre A kliensek nem kapnak direkt kapcsolatot, hanem ez egy vagy több proxy-n keresztül működik.

Caching A proxy cache megoszlik az összes hozzá kapcsolódó gép között Egy internetes kérelem esetén ha az illető oldal benne van a proxy cache-ében, onnan térítődik vissza. A kérés nem hagyja el a proxy-t. Ha nincs benne, a proxy kliensként viselkedik, és továbbküldi a kérelmet

Állapotot megörző vizsgálat(stateful inspection) Dinamikus csomagszűrés Képes a kapcsolatokra vonatkozó informaciók megörzésére, az egyszerű csomagszűrés mellett Azt, hogy egy csomagot elutasít, befogad, loggol, azt az eddig tapasztalatai szerint ítéli meg az illető hoszttal

A hálozati forgalmat az Application és Network layer-en figyeli, de blokkolást több layer-ből érkező információkra alapozza Könnyen megvalosíthatók új szolgaltatások támogatása (átengedése) a biztonsági szabályzat módosításával

Hátrányai: Mivel nem minden hálozati komunikációt vizsgál meg, ezért nem a legbiztonságosabb A konfigurálás a packet filtering-hez hasonló nehézségű és nem eléggé tesztelt konfigurálás esetén kiskapuk maradhatnak

Tűzfalak arhitectúrája és elmélete Mivel a tűzfalak az OSI model felső rétegeiben működnek, teljesen informáltak az applikációról, amelyről döntést kell hozniuk Egy tűzfal megépítése többféleképpen is elképzelhető Egyes cégek saját tűzfalakat terveznek Mások kész tűzfalakat vásárolnak, és azokat saját igényeik szerint konfigurálják, átformálják (customize)

Általában a tűzfalat a belső, megbízható hálozat és a külső, idegen hálózat közé helyezik Egy ellenörző pontként viselkedik, és felügyeli az applikáció szinten a hálozati forgalmat Működhetnek hálozati és szállítási réteg szintjén is, ebben az esetben az IP, TCP fejléceket vizsgálják

A tűzfal működése

XP-firewall Állapotot megörző tűzfal (stateful) Működése: Nyomon követi az Internetről érkező kérelmeket, ha egy belső gép bizonyos időn belül nem kezdeményezett kapcsolatot a külső kérelmet küldő géppel, ezt visszautasítja Külső gép csak akkor kapcsolódhat ftp-hez, ha létezik service definíció (port, protokoll, IP cím információk) Minden portot zárva tart

Nem használandó, ha: proxy-t, Más tűzfalat használunk