הגנה במערכות מתוכנתות
DESCRIPTION
הגנה במערכות מתוכנתות. תרגול 10 – חומות אש – Firewalls. חומות אש. המטרה: הגנה על תקשורת בין רשתות Stateless Packet Filtering Firewalls Stateful Packet Filtering Firewalls (סינון חבילות דינמי) Proxy Servers. “Choke point”. Stateless Packet Filtering Firewalls. - PowerPoint PPT PresentationTRANSCRIPT
2007אריק פרידמן ( c)10הגנה במערכות מתוכנתות - תרגול
חומות אש
רשתותביןהמטרה: הגנה על תקשורת Stateless Packet Filtering FirewallsStateful Packet Filtering Firewalls)סינון חבילות דינמי( Proxy Servers
Internet
“Choke point”
2
2007אריק פרידמן ( c)10הגנה במערכות מתוכנתות - תרגול
מתוך ה-TCP/UDP Header
Stateless Packet Filtering Firewalls
-מבצע סינון של החבילות על סמך הheaders סטטיתמדיניות ההגנה מוגדרת באמצעות טבלת חוקים
Action ACK DestinationPort
SourcePort
NextProtocol
DestinationAddress
SourceAddress
Direction Rule
מתוךIP Headerה-
מתוךTCP
“in”“out”
IP Addresswildcard )132.64.*.*(
“any”
TCP UDPIPSec…,
port numberport range
“any”
“yes”“no”“any”
“permit”“deny”
3
2007אריק פרידמן ( c)10הגנה במערכות מתוכנתות - תרגול
Stateless Packet Filtering Firewalls
השורה הראשונה בהגעת חבילה מחפשים אתהמתאימה
בסוף הטבלה תמיד נכתוב בסוף הטבלה שורה מהצורהany,any,…,any,deny
דגשיםבד"כ יש שתי שורות עבור כל כללהחשיבות של סדר השורותעקרון מזעור הזכויות חשיבות השדהACK
איזה צד יכול ליזוםsession
4
2007אריק פרידמן ( c)10הגנה במערכות מתוכנתות - תרגול
NET1דוגמה – הגנה על
מדיניות ההגנה הנדרשת-לכל המחשבים בNET1 פרט למחשב a מותר לבצע telnet
לכל מחשב באינטרנט. לכל המחשבים באינטרנט מותר לבצעhttp למחשב מיוחד
.WS ששמו NET1ב-.כל היתר אסור
NET1
a
WS
Internet
5
2007אריק פרידמן ( c)10הגנה במערכות מתוכנתות - תרגול
דוגמה – הטבלה המתקבלת
Action ACK
Destination
Port
SourcePort
NextProtocol
Destination
Address
SourceAddress
Direction
Rule
deny any any any any any NET1 in spoof
deny any 23 >1023 TCP any a out no-a-telnet1
deny any >1023 23 TCP a any in no-a-telnet2
permit any 23 >1023 TCP any NET1 out telnet1
permit yes >1023 23 TCP NET1 any in telnet2
permit any 80 >1023 TCP WS any in http1
permit yes >1023 80 TCP any WS out http2
deny any any any any any any any defaultרשימה מלאה של אפליקציות ומספר הפורטים שהוקצו להן ניתן למצוא ב:
http://www.iana.org/assignments/port-numbers6
2007אריק פרידמן ( c)10הגנה במערכות מתוכנתות - תרגול
FTP – File Transfer Protocol משתמש בשניsessions
Command Session – לשליחת פקודות
( get, put, ls)... ,Data Session להעברת –
קבצים – גרסה רגילהActive Mode
Client Server
Command Session
port y
get a.exe
y>1023 x>1023 21 20
a.exe
Data Session
7
2007אריק פרידמן ( c)10הגנה במערכות מתוכנתות - תרגול
:Firewallעדכון ה-Action AC
KDestinatio
nPort
SourcePort
NextProtocol
Destination
Address
SourceAddress
Direction
Rule
permit any 21 >1023 TCP any NET1 out ftp_com_1
permit yes >1023 21 TCP NET1 any in ftp_com_2
permit any >1023 20 TCP NET1 any in ftp_act_1
Permit yes 20 >1023 TCP any NET1 out ftp_act_2
:בעיה בד"כ לא נרצה לאפשר ליזום קשר מבחוץ אל מחשבים ברשת
הפרטית.:פתרון
גרסתFTP-ידידותית" ל" Firewalls
8
2007אריק פרידמן ( c)10הגנה במערכות מתוכנתות - תרגול
FTP – Passive Mode
Client Server
Command Session
PASV
get a.exe
y>1023 x>1023 21 z>1023
open
Data Session
port z
a.exe
9
2007אריק פרידמן ( c)10הגנה במערכות מתוכנתות - תרגול
:Firewallעדכון ה-
Action ACK
Destination
Port
SourcePort
NextProtocol
Destination
Address
SourceAddress
Direction
Rule
permit any 21 >1023 TCP any NET1 out ftp_com_1
permit yes >1023 21 TCP NET1 any in ftp_com_2
permit any >1023 >1023 TCP Any NET1 out ftp_psv_1
permit Yes >1023 >1023 TCP NET1 any In ftp_psv_2
10
2007אריק פרידמן ( c)10הגנה במערכות מתוכנתות - תרגול
Stateless PF Firewallתכונות של
חוסר זכרוןשקיפות למשתמשים ברשת-דורש קונפיגורציה של הFirewall)מהיר )בדיקה מאוד פשוטה
11
2007אריק פרידמן ( c)10הגנה במערכות מתוכנתות - תרגול
Stateless PF Firewallמגבלות של
חוסר זכרוןתוקף יכול ליצור עומס על הרשת
ההחלטות מבוססות על שכבותIP-ו TCP/UDP בלבד
אפשר לעקוף ע"י שימוש בפורטים שאינם חסומים
Stateful Packet Filtering Firewallפתרון: .שני סוגי חוקים: סטטיים ודינאמיים
12
Action ACK
Destination
Port
SourcePort
NextProtocol
Destination
Address
SourceAddress
Direction
Rule
permit no 21 >1023 TCP any NET1 out ftp_com_1
Stateful Packet Firewall עבור FTP Active-Modeפרוטוקול
10הגנה במערכות מתוכנתות - תרגול 13(c ) 2007אריק פרידמן
Client Server
y x 21 20port y
get a.exe
a.exe
Action ACK
Destination
Port
SourcePort
NextProtocol
Destination
Address
SourceAddress
Direction
Rule
permit no 21 >1023 TCP any NET1 out ftp_com_1
permit yes x 21 TCP client server in ftp_com_2
permit yes 21 x TCP server client out ftp_com_3
permit any >1023 20 TCP client server in ftp_act_1
Permit yes 20 >1023 TCP server client out ftp_act_2
2007אריק פרידמן ( c)10הגנה במערכות מתוכנתות - תרגול
Stateful Inspection Firewalls
בוחנים מידע המועבר ברמת האפליקציהבנוסף למידע ברמת שכבות הרשת והתובלה
לדוגמה – פתרון עבורFTP-הFirewall מזהה את פורט y-אליו ייפתח ה Data
Session.ויוסיף את השורות הדינאמיות המתאימות ,.מניעת ניצול פורטים פתוחים לתקשורת אסורה-הFirewall צריך להכיר כל אחד מהפרוטוקולים
עליהם הוא מעוניין להגן.
14
2007אריק פרידמן ( c)10הגנה במערכות מתוכנתות - תרגול
Stateless לעומת Statefulסיכום -
-לStatefulיש זיכרון החלטות דינאמיות, תלויות בחבילות קודמות
...אבל גם מהירות נמוכה יותר פתח להתקפותDenial of Service
15
2007אריק פרידמן ( c)10הגנה במערכות מתוכנתות - תרגול
Proxy Servers
-מגבלה של הFirewalls שראינו: לא בודקים את כל המידע בשכבת האפליקציה
האם קובץ עם סיומתjpg-שהועבר ב FTP הוא באמת תמונה?
.הפעלת אנטי וירוס על מידע שעובר.דורש מספיק חבילות כדי לקבל החלטות
:מענהProxy Server.מתווך" בין המחשבים ברשת לבין מחשבים חיצוניים"
16
2007אריק פרידמן ( c)10הגנה במערכות מתוכנתות - תרגול
איך זה נראה?
יגן על אפליקציה יחידה.Proxy Serverכל
Internet
Server
>1023
8023
1’st session
2’nd session
>1023
23
Telnet Proxy
Client
17
2007אריק פרידמן ( c)10הגנה במערכות מתוכנתות - תרגול
יכול לעשות?proxy serverמה
.לחכות למספיק חבילות כדי להחליט מה לעשות.להעביר את המידע, לזרוק אותו, לשנות אותו.אימות של המשתמש-למנוע ממשתמשים מסוימים שירותים מהProxy
Server..להפעיל אנטי-וירוס.בקרה על זרימת המידע
רשת בתוך בגלל איטיותם מתקינים אותם על מחשב הארגון.
18
2007אריק פרידמן ( c)10הגנה במערכות מתוכנתות - תרגול
Proxy Serverתכונות של
בעל זכרוןאין שקיפות למשתמשים ברשתקונפיגורציה לא מסובכתלא כל כך מהיר
19
2007אריק פרידמן ( c)10הגנה במערכות מתוכנתות - תרגול
התצורה המקובלת
( מגדירים אזור מפורזDMZ – Demilitarized Zone)
מפריד בין הרשת הפנימית לחיצונית יוצבו בו המחשבים הדורשים תקשורת לשאר
העולם שרתיWeb שרתיProxy
20
2007אריק פרידמן ( c)10הגנה במערכות מתוכנתות - תרגול
DMZ
External Router (P.F. 2)
Internet
Internal Router (P.F. 1)
Private Network
A
Bastion Host(Proxy Servers)
Web Server
DMZ
21
2007אריק פרידמן ( c)10הגנה במערכות מתוכנתות - תרגול
דוגמה
Action ACK
Destination
Port
SourcePort
NextProtocol
DestinationAddress
SourceAddress
Direction
Rule
deny any any any any any A in spoof
permit any 8023 >1023 TCP Bastion Host A out telnet1
permit yes >1023 8023 TCP A Bastion Host in telnet2
deny any any any any any any any
רוצים לאפשרtelnet-מ A-החוצה, ושכל קשרי ה telnet .Telnet Proxy Serverישתמשו ב-
Internal Router )P.F 1(
22
2007אריק פרידמן ( c)10הגנה במערכות מתוכנתות - תרגול
דוגמה - המשך
Action ACK
Destination
Port
SourcePort
NextProtocol
DestinationAddress
SourceAddress
Direction
Rule
deny any any any any any A in spoof1
deny any any any any any DMZ in spoof2
permit any 23 >1023 TCP any Bastion Host out telnet1
permit yes >1023 23 TCP Bastion Host any in telnet2
deny any any any any any Any any default
רוצים לאפשרtelnet-מ A-החוצה, ושכל קשרי ה telnet .Telnet Proxy Serverישתמשו ב-
External Router )P.F 2(
23