Мрежова сигурност. Firewall архитектури by Dr. Stephen Drazhev

ИКОНОМИЧЕСКИ УНИВЕРСИТЕТ - ВАРНА

КУРСОВ ПРОЕКТ

тема: Мрежова сигурност. Firewall архитектури.

Разработил: Проверил: ............................ Симеон Ненов - Ф.№ 2104 доц. д-р Стефан Дражев Специалност „Приложна информатика”

I. Въведение Сигурността

на

преден

план

мрежовото

управление.

Предизвикателството е да се намери баланса между две важни изисквания: нуждата да се “отвори” мрежата, за да може да се развиват бизнес възможностите и нуждата да се защити личната и бизнес информацията. Мрежовият администратор трябва да мисли като атакуващ. Целта на атакуващия е да компроментира машина в мрежата или да стартира приложение, което да работи в самата мрежа. 1. Типове компютърни престъпления, които могат да бъдат повлияни чрез бдително мрежово управление: • Вътрешна злоупотреба с достъпа до мрежата • Отказ от услуги (Denial of Service DoS) • Проникване в системата • Снифиране на пароли 2. Разрешителна или забранителна стратегия? При разрешителната стратегия всички услуги са разрешени, а се забраняват само тези, които са потенциално опасни. При забранителната стратегия всички услуги са забранени, а се разрешават само определни услуги нужни за нормалното функциониране на организацията. Тези услуги са дефинирани под формата на политика на

сигурността (security policy) и могат да се отнасят както за един служител в организацията, така и за група от служители. Разбира се втората стратегия е за предпочитане пред първата, защото “отворените” мрежи за изключително уязвими и крият огромни рискове за сигурността. Както отворените така и напълно “затворени” мрежи също не са застраховани от атаки. При “затворените” мрежи, въпреки, че са защитени изцяло от външния свят, все пак има опасност от атаки отвътре. Истината е някъде по средата. 3. Разработване на политика на сигурността (Security Policy) Първата стъпка, която всяка организация трябва да направи за да защити данните си е да разработи политика на сигурността. Според RFC2196 политиката на сигурността представлява формално изразяване на правилата, които хората, на които е даден достъп до мрежата и информацията на дадена организация трябва да спазват. Политиката на сигурността има следните цели: • да

информира

потребителите,

персонала

менаджерите

за

задължителните изисквания по опазване на базата и информацията • определя механизъм, чрез който тези изисквания могат да се постигнат • осигуряват необходимото (конфигуриране, одит на компютърната мрежа) за да може политиката да бъде приложена

4. Най-чести заплахи за сигурността 4.1 Уязвимост (слабост) Има три основни слабости: • Технологични o TCP/IP протокола - HTTP, FTP и ICMP са изключително несигурни, защото информацията се изпраща в чист текст o Слабост на операционната система – всяка ОС има някакви проблеми със сигурността, на които трябва да се обърне внимание o Слабост на мрежовото оборудване – дали се използват силни пароли, липса на автентикация, рутинг протоколи, дупки във firewall-a • Конфигурационни o Необезопасени потребителски акаунти o Администраторски акаунти с лесни за отгатване пароли o Настройка по подразбиране o Не добро конфигуриране на мрежовото оборудване • Слабост в политиката на сигурност o Липса на политика за сигурност o Неприлагане на АCL o Софтуерните и хардуерните инсталации не спазват политиката o Липса на план за действие при пробив в системата 4.2 Заплахи за физическата инфраструктура

• Хардуерни заплахи – физическа повреда на сървъри, рутери, работни станции и др. • Заплахи от околната среда – температурни пикове и спадове, рязка смяна на влажността в помещенията • Електрически заплахи – пренапрежение, тотална липса на електрозахранване 4.3 Мрежови заплахи Основно се делят на 4 класа: • Неструктурирани заплахи -

от неопитни атакуващи, които

използватлесно достъпни инструменти за атака. • Структурирани заплахи – от един или група атакуващи, които са силно мотивирани и технически компетентни (познават добре слабите места и използват по-сложни инструменти за атака). • Външни заплахи – от един или група атакуващи, които нямат оторизиран

достъп

до

компютърните

системи

или

мрежата

(обикновено осъществяват връзка през Интернет). • Вътрешни заплахи – от някой, който има оторизиран достъп до мрежата, физически или чрез акаунт. Типове мрежови атаки • Разузнаване – получаване на IP адресът на сървър на компанията, сканиране на портове, снифиране на пакетите. Целата е да се види или открадне информация от организацията.

• Достъп – чрез слабост в системата за автентикация, FTP услугите или web услугите да се получи достъп до web акаунти, конфиденциални бази от данни и друга ценна информация. • Отказ от услуга (Denial of Service DoS) – това е най-често срещаната атака, както и най-трудната за преодоляване. Към този вид атаки се отнасят – ping of death (изпращане на ping с по-голям размер), SYN Flood (атакуващия използва ТCP three-way handshake, при което изпраща множество SYN Request, сървърите отговарят със SYN-ACK, a атакуващия така и не потвърдава Final ACK, при което ресурсите на сървърите сврършват и не могат да отговорят на реалните заявки на потребителите), E-mail bombs Червеи, вируси, Троянски коне 5. Основни техники за “отбрана” 5.1 За сървъри и работни станции: • Промяна

на

новоинсталираните

машини на

настройките

по

подразбиране • Смяна на потребителските имена и паролите • Достъпът до ресурсите да се забрани за всички, освен за тези, които са оторизирани • Всички услуги и сървиси, които не са необходими да се забранят или деинсталират. 5.2 Антивирусен софтуер 5.3 Персонален Firewall

5.4 Патчове на операционната система 5.5 Превенция и засичане на атаката

II. Firewall архитектури 1. Същност на Firewall Firewall–а представлява множество от компоненти, които ограничават (разрешават, забраняват, криптират, декриптират) достъпа до Интернет или до други части на мрежите: • ограничава входа и изхода на потребителите в контролирани точки • предпазва от атаки срещу защитени ресурси Firewall-a

представлява

съвкупност

от

мерки

разработени

да

предотвратят неоторизиран достъп до компютърните мрежи и отделните потребители. Firewall-a може да се изгради както чрез хардуерни устройства, така и чрез софтуер, но може да бъде и комбинация от двете. Най-често Firewall се използва за предотвратяване на неоторизиран достъп на Интернет потребители до private мрежите и особено до intranet.

Има няколко типа firewall техники: • Packet filtering (филтриране на пакети) – всеки пакет, който влиза или излиза от мрежата се преглежда и съответно се приема или отхвърля на базата на предварително дефинирани правила. • Application gateway – механизми на сигурност се прилагат на специални приложения като FTP и Telnet сървъри. • Circuit-level gateway – прилагат се механизми на сигурност когато се установяват TCP и UDP конекции. След като веднъж се осъществят конекциите, пакетите се обменят между хостовете без повече проверки. • Proxy server – всички съобщения, които влизат и излизат от мрежата минават през този сървър. По този начин вътрешната мрежа остава скрита за света. В практиката тези техники се използват едновременно. 2. Какво може Firewall? • той е фокусираща точка за определяне насигурността • подсилва политиката на сигурност • може да съхранява информация за • Интернет трафика • предотвратява разпространението на • вашите проблеми 3. Какво не може Firewall?

• не може да ви предпази от вътрешнинедоброжелатели • не може да ви защити от конекции, коитоне минават през него • не може да ви предпази от най-последните заплахи • не може да ви предпази от вируси 4. Firewall- основни понятия • Bastion host – защитаваната машина (машината, към която имаме публичен достъп) • Dual-homed host – машина с 2 интерфейса • Packet filtering – филтриране на пакети не само на база IP адрес на източника, но и на база съдържание на IP пакета • Perimeter network (DMZ) – гранична зона или още демилитаризирана зона, намираща се между вътрешната мрежа и Интернет • Proxy server – софтуер позволяващ прозрачно пропускане на заявки 5. Firewall архитектури 5.1 Dual-Homed Host – компютър с 2 мрежови карти играе роля на опростен Firewall. Едната конекция е към вътрешната мрежа, а другата – към Интернет. Няма директен IP трафик между Интернет и вътрешната мрежа.

5.2 Dual-Homed Host + Proxy – архитектурата се обезпечава чрез инсталиране на proxy сървър, а на клиентските машини – proxy клиент. Proxy сървърът играе роля на посредник, като вътрешната мрежа остава невидима за света.

5.3 Screened Host – между вътрешната мрежа и Интернет се поставя рутер, чиято роля е да ограничава трафика до определени машини отвън, както и да ограничава изходящия трафик от вътрешната мрежа. Това става на база филтриране на пакети. Bastion хостът е достъпен от Интернет, както е разрешен и трафикът от него към Интернет. Другите хостове могат

да комуникират с Интернет чрез proxy сървър, който е инсталиран на Bastion хоста. Тази архитектура е по-гъвкъва от Dual-homed host + proxy. Bastion хостът е единствената машина, която е обект на атаките. Недостатъ е, че ако Bastion хоста се компроментира, атакуващите ще имат достъп до цялата вътрешна мрежа.

5.4 Screened subnet – при тази архитектура има два рутера (външен и вътрешен), а Bastion хоста се намира на отделен сегмент от хостовете от вътрешната мрежа. Този сегмент се нарича

демилитаризираната зона

(DMZ). Дори атакуващите да “пробият” през външния рутер и да стигнат до Bastion хоста, вътрешната мрежа остава скрита. Компоненти на Screened subnet архитектура: • Perimeter network (DMZ) • Bastion host • Вътрешен рутер (choke router) • Външен рутер (access router)

6. Допустими архитектурни решения 6.1. Множество Bastion хостове

6.2 Обединяване на вътрешен и външен рутер

6.3 Обединяване на външен рутер и Bastion хост

6.4 Множество външни рутери

6.5 Множество DMZ

7. Недопустими архитектурни решения 7.1 Обединяване на Bastion хост и вътрешния рутер

7.2 Множество вътрешни рутери