hálózati operációs rendszerek
DESCRIPTION
Hálózati Operációs Rendszerek. Hálózati biztonság Tűzfalak Behatolás érzékelés Előadó: Bilicki Vilmos [email protected] www.inf.u-szeged.hu/~bilickiv. Az előző előadás tartalma. SAN – Storage Area Network Trendek Igények Adattár kapcsolat fejlődés Adattárolási megoldások SAS - PowerPoint PPT PresentationTRANSCRIPT
1
Hálózati Operációs Rendszerek
Hálózati biztonságTűzfalak
Behatolás érzékelésElőadó: Bilicki Vilmos
www.inf.u-szeged.hu/~bilickiv
2
Az előző előadás tartalma SAN – Storage Area Network
Trendek Igények Adattár kapcsolat fejlődés Adattárolási megoldások
SAS NAS SAN
Fibre Channel architektúra Pont-pont Gyűrű Kapcsolt
SAN komponensek SAN megosztott adattár SAN menedzselés
Gyűjtemények Adatmozgás, migrálás
3
Források Design the firewall system (
http://www.cert.org/security-improvement/practices/p053.html ) Firewall Design (
http://www.microsoft.com/resources/documentation/msa/idc/all/solution/en-us/rag/ragc03.mspx )
Perimeter Firewall Design (http://www.microsoft.com/technet/security/guidance/secmod156.mspx ) Perimeter Firewall Service Design for the SBO Scenario (
http://www.microsoft.com/technet/itsolutions/wssra/raguide/Firewall_Services_PG_2.mspx )
Perimeter Firewall Service Design for the CDC Scenario (http://www.microsoft.com/technet/itsolutions/wssra/raguide/Firewall_Services_PG_1.mspx )
Internal Firewall Design (http://www.microsoft.com/technet/security/guidance/secmod155.mspx )
Extortion online (http://www.informationweek.com/showArticle.jhtml?articleID=47204212 )
The Threats To Come (http://www.securitypipeline.com/54201336 ) Advanced Features of netfilter/iptables
(http://linuxgazette.net/108/odonovan.html ) SNORT (http://www.snort.org/ ) Threat Management: The State of Intrusion Detection (
http://www.snort.org/docs/threatmanagement.pdf )
4
Tartalom Miért érdemes hálózati biztonsággal foglalkozni Tűzfal
Személyi Hagyományos Típusai
Állapotmentes Állapotkövető Proxy
Architektúra változatok Egy rétegű Több rétegű
Intranet tűzfal tervezés Határ tűzfal tervezés Megoldások
Linux – netfilter Windows – ISA szerver Cisco - PIX
Behatolás érzékelés Cisco SNORT
5
Hálózati biztonsági kihívások Internet nyílt, szabad közösség
Régebben a fizikai biztonság volt az elsődleges (jól bezárni a rendező szekrényt)
Egyre több cég, intézmény kötődik a hálózathoz Potenciális piac A vásárlókkal jönnek a hacker-ek is Hetente új virusok, férgek, …
Bárki szabadon rákapcsolódhat (hot spot, …) Nagy populáció Letölthető hacker eszközök
(http://staff.washington.edu/dittrich/misc/ddos/ )
6
Támadások fejlődése Forrás: Cisco
7
Online zsarolás 100 cégből 17-et megzsaroltak
(http://www.informationweek.com/showArticle.jhtml?articleID=47204212 )
8
Tipikus biztonsági problémák Támadási típusok
Külső Settenkedő – fizikai biztonság (zárolni a gépeket) DoS Denial – of – Service
Nem feltétlenül okoznak kárt Nehéz lekezelni
DDoS – ugyanaz csak több gépről (zombi gépek) Alkalmazás rétegbeni támadások
Az alkalmazások biztnsági réseit használják ki A legismertebbek Nem megfelelően frissített rendszereket támadnak meg (Slammer 2002 augusztus-2003
január) Hálózat kikémlelés – az első lépés a támadás előtt
Portscan DNS, IP cím keresés
Belső Fertőzött laptop – gyakran tagja különböző hálózatoknak Nem engedélyezett eszköz – pl.: nem megfelelően konfigurált vezetékmentes
hozzáférési pont Elbocsátott alkalmazott – Man in the middle Vírusok/Trójaiak
Vegyes Csomag figyelés: Telnet, POP3, FTP, …. IP spoofing: belső forrás IP címmel küldik kívülről (ACL, RFC 2827)
9
Várható támadás típusok Komplex Web támadás
IE biztonsági rés + Apache biztonsági rés (egy feltört web szerverre tettek az IE számára veszélyes kódot)
Web szolgáltatások elleni támadások Spyware fenyegetés – a Microsoft szerint a
rendszerösszeomlások feléért felelősek, a DELL szerint a bejelentett hibák 12% százalékát okozzák (http://www.informationweek.com/showArticle.jhtml?articleID=19200218 )
Mobil eszköz elleni támadások (PDA, Telefon, ..) SPAM DoS DDoS
10
Megoldás(talán, nincs tökéletes) Elvileg nincs szükség másra, csak megfelelően
beállított gépekre DE a szoftver hibák, emberi mulasztások, … miatt
mégis szükség van: Elosztott, jól koordinálható, több rétegű védelem Integrált megoldás (kapcsolók, forgalomirányítók, szerverek,
…) Automatikus reakció Védelmi keretrendszer
Védelem - Védelmi rendszer Szabályozás - Bizalom és identitás menedzsment Titkosítás - Biztonságos kapcsolat
11
Biztonsági szabályok A hálózatot biztonsági övezetekre kell osztani Egy-egy biztonsági övezet saját biztonsági
szabályrendszerrel bír Ezen övezetek határán szükség van egy olyan
eszközre mely a különböző szabályokból adódó konfliktusokat feloldja
Ez az eszköz legtöbbször a tűzfal
12
Védelmi topológiák Egyszerű határ tűzfal Megbízhatatlan gép Három zónás architekrúra:
Fegyvermentes övezet (DMZ DeMilitarized Zone) Kettős tűzfal
13
Határ tűzfal Egyrétegű megoldás Egy eszközre van telepítve minden tűzfal funkció Egy eszköz köt össze minden hálózatot Egyszerű Olcsó A legkevésbé biztonságos
megoldás Egy eszközön kell a
biztonsági hiányosságokat kiaknázni
14
Megbízhatatlan gép Vannak olyan szervereink melyek szolgáltatásokat nyújtanak a külvilágnak
Web SMTP FTP NTP SSH RDesktop VPN szerver ? …
Mivel ez a leginkábbveszélyeztetett ezért ezt a tűzfalon kívül helyezzük el
Minimális szolgáltatásra kelltörekednünk
A belső gépek nem bíznak meg benne
15
Demilitarizált övezet A megbízhatatlan szolgáltatókat is védeni
szeretnénk Itt egy új hálózatot alakítunk ki ezen
szolgáltatások számára Nagyobb
Biztonság Rendelkezésre állás Megbízhatóság
16
Dupla tűzfal A célja ugyanaz mint az előzőé Funkciók
Perem tűzfal Belső tűzfal
Hálózatok: Határ hálózat DMZ Belső hálózat
Célszerű különbözőarchitektúrájú tűzfalakatválasztani
17
Védelmi eszközök Tűzfal
Osztályai: Személyes (első osztály) Forgalomirányító (második osztály) Alsó kategóriás hardver tűzfalak (harmadik osztály) Felső kategóriás hardver tűzfalak (negyedik osztály) Szerver tűzfalak (ötödik osztály)
Típusai Csomagszűrő Cím transzformáló Állapottartó Kapcsolat szintű átjáró Proxy Alkalmazás rétegbeni szűrés
Megvalósítások Netfilter (http://www.netfilter.org/ ) ISA 2004 (http://www.microsoft.com/isaserver/ ) CISCO PIX (http://www.cisco.com/warp/public/cc/pd/fw/sqfw500/ )
Behatolás érzékelő rendszer SNORT (http://www.snort.org/ ) Cisco IDS 4200 (http://www.cisco.com/warp/public/cc/pd/sqsw/sqidsz/ )
18
Tűzfal típusok: Csomagszűrő Mivel a különböző hálózatokat leggyakrabban
forgalomirányítók kötik össze ezért ezen funkciók leggyakrabban itt található
Ha már van router akkor mindenképpen azon célszerű implementálni
A 3. rétegben működik Szűrő feltételek:
Forrás/Cél cím Forrás/Cél port
Ezzel célszerű az IP spoofing-ot kivédeni Ez nagyon gyors és kis erőforrás igényű tud lenni
19
Tűzfal típusok: NAT Tipusai:
PAT – Port Address Translation NAT – Network Address Translation
Lehet: Dinamikus Statikus
Címfordítást végez
Elrejti a belső címeket
Alkalmazás réteg?
20
Tűzfal típusok : Kapcsolat szintű átjáró Nem vizsgál minden egyes csomagot Amint a kapcsolat felépült utána az adott
viszonyhoz tartozó összes csomag mehet A 4. rétegben működik Jobb mint csak csomagszűrés Tartalmazhat alkalmazás rétegbeni funkciókat is
Pl.: FTP
21
Tűzfal típusok : Állapottartó Az előző kettő kombinációja A 3., 4. rétegben működik Minden kimenő csomag naplózva van az állapot
táblában Forrás/Cél IP Forrás/Cél port
A bemenő forgalomnál így ellenőrizhető, hogy ki kezdeményezte
Ez a tudás mindenképpen megkövetelendő egy tűzfaltól
Egyéb információkat is eltárolhat Protkoll falg-ek
22
Tűzfal típusok : Proxy A kommunikáció 3 vagy több fél között folyik
Kliens Proxy Szerver
Títkosítatlan esetben a kliens nem látja közvetlenül azokat a csomagokat amelyeket a szerver küldött és fordítva
Títkosított esetben a proxyellenőrzi a fejléceket ésha minden OK akkortovábbküldi
Gyorsítótár Protokoll validáció Felh. ID alapú döntés Bonyolult Minden protokollt ismernie kell
23
Alkalmazás szintű szűrés A legintelligensebb Értelmezni tudják az adott alkalmazás adatát és
ez alapján döntéseket hoznak SMTP parancsok, DNS parancsok, SPAM
szűrés Igény alapján dinamikusan nyitja a portokat
DNS felé UDP csak akkor ha a DNS indította a kapcsolatot és addig amíg ez a kapcsolat tart
Títkosított forgalom kezelése: Ugyanaz mint a proxy-nál A tűzfalon végződtetve mindkét oldalon
24
Személyes tűzfal A PC-n futó szoftver szolgáltatás Egyre több otthoni kapcsolat Kis hálózat védelmére is alkalmas (otthoni hálózat) A hálózattól függetlenül ma már minden gépen kötelező
a használata (különösen mobil eszközöknél) Jóval kisebb tudású mint a többi, gyakran csak
csomagszűrésre alkalmas Előnyei:
Olcsó (ingyenes) Egyszerű konfigurálni
Hátrányai: Nehéz központból menedzselni Kis teljesítményű Korlátolt tudású
25
Forgalomirányító tűzfal A forgalomirányítók gyakran rendelkeznek tűzfal
funkciókkal is Az alsó kategóriás forgalomirányítók általában IP cím
alapján és port alapján képesek a forgalmat szűrni valamint NAT-ot is biztosítanak a címek elrejtésére
A felső kategóriás eszközök programozhatóak ACL listák segítségével, állapotkövetőek, támogatják a magas rendelkezésre állást
Előnyeik: Olcsóak (a hardvereshez viszonyítva) Egyszerű, szokványos konfiguráció
Hátrányaik: Teljesítmény Limitált funkcionalitás
26
Hardver tűzfalak Alsó kategóriás
Statikus szűrés Plug-and-Play VPN Bizonyos szintig menedzselhetőek Előnyei:
Gyakorlatilag nem kell konfigurálni Olcsó
Hátrányai: Korlátozott funkicionalitás Gyenge teljesítmény
Felső kategóriás 7500-500000 kapcsolat Manuális konfiguráció Moduláris Magas rendelkezésre állás Alkalmazás szintű szűrés Gyors Drága
27
Szerver tűzfalak A legtöbb rendszergazda számára jól ismert környezet
Linux Windows FreeBSD …
Jól bővíthető (sw/hw) Gyors (megfelelő méretű gépen) Integrálható Skálázható Az oprendszer hibáit kiaknázhatják a támadók
28
Belső tűzfal A belső hálózathoz történő hozzáférést
szabályozza Külső nem megbízható felhasználók elvileg
soha nem léphetnek be a belső hálózatra Web szerver esetén a web szerver fog kommunikálni
a belső részekkel
29
Tipikus beállítások Minden tiltva ami nincs engedve Tiltani a belső IP címek forrásként feltüntetését kívülről Tiltani a külső IP címek forrásként feltüntetését belülről Engedélyezni a DMZ DNS szerverek UDP-n történő megszólítását a
belső DNS szerverekről Engedélyezni a belső DNS szerverek UDP-n történő megszólítását a
DMZ-ből TCP DNS forgalom engedélyezése (szerver figyelembe vételével) Kimenő SMTP a DMZ SMTP átjáróról Bejövő SMTP a DMZ SMTP átjárótól Engedi a proxy-tól származó forgalmat befelé Engedi a forgalmat a proxy felé Szegmensek támogatása Szegmensek közötti forgalom állapotkövetéses forgalomirányítása Magas rendelkezésreállás támogatása
30
Perem tűzfal Feladata a szervezet határain túli felhasználók
kiszolgálása Típusai:
Megbízható (távoli iroda) Félig megbízható (üzleti partnerek) Megbízhatatlan (publikus weboldal)
Ez az eszköz fogja fel a támadásokat (jó esetben)
31
Tipikus beállítások Minden tiltva ami nincs engedve Tiltani a belső IP címek forrásként feltüntetését kívülről Tiltani a külső IP címek forrásként feltüntetését belülről Engedélyezni a külső DNS szerverek UDP-n történő
megszólítását (DMZ-ből) Engedélyezni a belső (DMZ) DNS szerverek UDP-n
történő megszólítását TCP DNS forgalom engedélyezése (szerver figyelembe
vételével) Kimenő SMTP a belső SMTP átjáróról Bejövő SMTP a belső SMTP átjárónak Engedi a proxy-tól származó forgalmat a külvilág felé Engedi a forgalmat a proxy felé
32
Rendelkezésre állás (perem/belső) Egy tűzfal
Több tűzfal:
33
Linux Netfilter Kernel komponens Szolgáltatásai:
Csomagszűrő Állapot követés Csomag manipuláció Kapcsolatszám figyelés, korlátozás (egy adott gépről a TCP
kapcsolatok száma. DOS védelem) Legutóbbi kapcsolatok megjegyzése (pl.: port scan) Terhelés elosztás (adott véletlen eloszlással) String illesztés a tartalomban (pl.: .exe) Idő alapú szabályok (ebédnél szabad internetezni, …) Átviteli kvóták (pl.: 2 Gbyte) TTL alapú csomag vizsgálat (man in the middle)
Bővíthető Ingyenes
34
ISA 2004 Alkalmazás szintű tűzfal Szolgáltatásai
Csomagszűrő Állapotkövető VPN támogatás VPN karantén Bizonyos behatolás érzékelés (portscan, halálos
ping) SSL-SSL híd Alkalmazás szintű vizsgálat (http, ftp, rpc, …)
35
CISCO PIX Beágyazott operációs rendszer (Fitnesse OS, realtime
nem Unix) Szolgáltatásai
Csomagszűrő Állapotfigyelés HTTP, FTP, Telnet hitelesités VPN támogatás URL szűrés Magas rendelkezésre
állás ASA - biztonsági szintek 1000000 kapcsolat!!!
36
IDS Behatolás érzékelés Mai állapot:
Lenyomat alapú érzékelés A riasztás értékelése ma még többnyire manuális A legtöbb IDS rendszerben nincs meg a kellő
intelligencia, hogy megbízhatóan ellenőrizze a támadást figyelembe véve más információkat is és meghozza a megfelelő döntéseket
Legtöbb helyen nincs központi log (tűzfal, szerver, …)
37
Ideális eset Aggregáció
SNMP, Syslog, … Korreláció
Pl.: időbélyeg Analízis
A host értéke Szolgáltatásai Viszonya a
többihez Rendszergazda Lehetséges sebezhetősége
38
SNORT GNU GPL licensz Minta alapú Valós idejű forgalom analízis Protokoll analízis Szabályokat definiálhatunk a keresett mintákra alert tcp any any -> any 139 (content:"|5c 00|P|00|I|00|P|00|E|00 5c|";)
Három üzemmód Sniffer Packet logger NIDS
Működése Dekódolás – protokoll dekódolás Preprocesszor – pl.: port scan detektálás Detektáló rész – szabályok
1 GBit/s
39
CISCO IDS Lenyomat adatbázis
alapján azonosítja a támadásokat
Részei: Senzor platform – a
forgalom valós idejű figyelése, tipikusan modulok Interfészei:
Monitor Kontroll
Direktor platform – menedzselés
Akciók TCP reset IP blokkolás IP loggolás
1 Gbit/s
40
A következő előadások tartalma
A félév anyagának áttekintése