1

Hálózati Operációs Rendszerek

Hálózati biztonságTűzfalak

Behatolás érzékelésElőadó: Bilicki Vilmos

bilickiv@inf.u-szeged.hu

www.inf.u-szeged.hu/~bilickiv

2

Az előző előadás tartalma SAN – Storage Area Network

Trendek Igények Adattár kapcsolat fejlődés Adattárolási megoldások

SAS NAS SAN

Fibre Channel architektúra Pont-pont Gyűrű Kapcsolt

SAN komponensek SAN megosztott adattár SAN menedzselés

Gyűjtemények Adatmozgás, migrálás

3

Források Design the firewall system (

http://www.cert.org/security-improvement/practices/p053.html ) Firewall Design (

http://www.microsoft.com/resources/documentation/msa/idc/all/solution/en-us/rag/ragc03.mspx )

Perimeter Firewall Design (http://www.microsoft.com/technet/security/guidance/secmod156.mspx ) Perimeter Firewall Service Design for the SBO Scenario (

http://www.microsoft.com/technet/itsolutions/wssra/raguide/Firewall_Services_PG_2.mspx )

Perimeter Firewall Service Design for the CDC Scenario (http://www.microsoft.com/technet/itsolutions/wssra/raguide/Firewall_Services_PG_1.mspx )

Internal Firewall Design (http://www.microsoft.com/technet/security/guidance/secmod155.mspx )

Extortion online (http://www.informationweek.com/showArticle.jhtml?articleID=47204212 )

The Threats To Come (http://www.securitypipeline.com/54201336 ) Advanced Features of netfilter/iptables

(http://linuxgazette.net/108/odonovan.html ) SNORT (http://www.snort.org/ ) Threat Management: The State of Intrusion Detection (

http://www.snort.org/docs/threatmanagement.pdf )

4

Tartalom Miért érdemes hálózati biztonsággal foglalkozni Tűzfal

Személyi Hagyományos Típusai

Állapotmentes Állapotkövető Proxy

Architektúra változatok Egy rétegű Több rétegű

Intranet tűzfal tervezés Határ tűzfal tervezés Megoldások

Linux – netfilter Windows – ISA szerver Cisco - PIX

Behatolás érzékelés Cisco SNORT

5

Hálózati biztonsági kihívások Internet nyílt, szabad közösség

Régebben a fizikai biztonság volt az elsődleges (jól bezárni a rendező szekrényt)

Egyre több cég, intézmény kötődik a hálózathoz Potenciális piac A vásárlókkal jönnek a hacker-ek is Hetente új virusok, férgek, …

Bárki szabadon rákapcsolódhat (hot spot, …) Nagy populáció Letölthető hacker eszközök

(http://staff.washington.edu/dittrich/misc/ddos/ )

6

Támadások fejlődése Forrás: Cisco

7

Online zsarolás 100 cégből 17-et megzsaroltak

(http://www.informationweek.com/showArticle.jhtml?articleID=47204212 )

8

Tipikus biztonsági problémák Támadási típusok

Külső Settenkedő – fizikai biztonság (zárolni a gépeket) DoS Denial – of – Service

Nem feltétlenül okoznak kárt Nehéz lekezelni

DDoS – ugyanaz csak több gépről (zombi gépek) Alkalmazás rétegbeni támadások

Az alkalmazások biztnsági réseit használják ki A legismertebbek Nem megfelelően frissített rendszereket támadnak meg (Slammer 2002 augusztus-2003

január) Hálózat kikémlelés – az első lépés a támadás előtt

Portscan DNS, IP cím keresés

Belső Fertőzött laptop – gyakran tagja különböző hálózatoknak Nem engedélyezett eszköz – pl.: nem megfelelően konfigurált vezetékmentes

hozzáférési pont Elbocsátott alkalmazott – Man in the middle Vírusok/Trójaiak

Vegyes Csomag figyelés: Telnet, POP3, FTP, …. IP spoofing: belső forrás IP címmel küldik kívülről (ACL, RFC 2827)

9

Várható támadás típusok Komplex Web támadás

IE biztonsági rés + Apache biztonsági rés (egy feltört web szerverre tettek az IE számára veszélyes kódot)

Web szolgáltatások elleni támadások Spyware fenyegetés – a Microsoft szerint a

rendszerösszeomlások feléért felelősek, a DELL szerint a bejelentett hibák 12% százalékát okozzák (http://www.informationweek.com/showArticle.jhtml?articleID=19200218 )

Mobil eszköz elleni támadások (PDA, Telefon, ..) SPAM DoS DDoS

10

Megoldás(talán, nincs tökéletes) Elvileg nincs szükség másra, csak megfelelően

beállított gépekre DE a szoftver hibák, emberi mulasztások, … miatt

mégis szükség van: Elosztott, jól koordinálható, több rétegű védelem Integrált megoldás (kapcsolók, forgalomirányítók, szerverek,

…) Automatikus reakció Védelmi keretrendszer

Védelem - Védelmi rendszer Szabályozás - Bizalom és identitás menedzsment Titkosítás - Biztonságos kapcsolat

11

Biztonsági szabályok A hálózatot biztonsági övezetekre kell osztani Egy-egy biztonsági övezet saját biztonsági

szabályrendszerrel bír Ezen övezetek határán szükség van egy olyan

eszközre mely a különböző szabályokból adódó konfliktusokat feloldja

Ez az eszköz legtöbbször a tűzfal

12

Védelmi topológiák Egyszerű határ tűzfal Megbízhatatlan gép Három zónás architekrúra:

Fegyvermentes övezet (DMZ DeMilitarized Zone) Kettős tűzfal

13

Határ tűzfal Egyrétegű megoldás Egy eszközre van telepítve minden tűzfal funkció Egy eszköz köt össze minden hálózatot Egyszerű Olcsó A legkevésbé biztonságos

megoldás Egy eszközön kell a

biztonsági hiányosságokat kiaknázni

14

Megbízhatatlan gép Vannak olyan szervereink melyek szolgáltatásokat nyújtanak a külvilágnak

Web SMTP FTP NTP SSH RDesktop VPN szerver ? …

Mivel ez a leginkábbveszélyeztetett ezért ezt a tűzfalon kívül helyezzük el

Minimális szolgáltatásra kelltörekednünk

A belső gépek nem bíznak meg benne

15

Demilitarizált övezet A megbízhatatlan szolgáltatókat is védeni

szeretnénk Itt egy új hálózatot alakítunk ki ezen

szolgáltatások számára Nagyobb

Biztonság Rendelkezésre állás Megbízhatóság

16

Dupla tűzfal A célja ugyanaz mint az előzőé Funkciók

Perem tűzfal Belső tűzfal

Hálózatok: Határ hálózat DMZ Belső hálózat

Célszerű különbözőarchitektúrájú tűzfalakatválasztani

17

Védelmi eszközök Tűzfal

Osztályai: Személyes (első osztály) Forgalomirányító (második osztály) Alsó kategóriás hardver tűzfalak (harmadik osztály) Felső kategóriás hardver tűzfalak (negyedik osztály) Szerver tűzfalak (ötödik osztály)

Típusai Csomagszűrő Cím transzformáló Állapottartó Kapcsolat szintű átjáró Proxy Alkalmazás rétegbeni szűrés

Megvalósítások Netfilter (http://www.netfilter.org/ ) ISA 2004 (http://www.microsoft.com/isaserver/ ) CISCO PIX (http://www.cisco.com/warp/public/cc/pd/fw/sqfw500/ )

Behatolás érzékelő rendszer SNORT (http://www.snort.org/ ) Cisco IDS 4200 (http://www.cisco.com/warp/public/cc/pd/sqsw/sqidsz/ )

18

Tűzfal típusok: Csomagszűrő Mivel a különböző hálózatokat leggyakrabban

forgalomirányítók kötik össze ezért ezen funkciók leggyakrabban itt található

Ha már van router akkor mindenképpen azon célszerű implementálni

A 3. rétegben működik Szűrő feltételek:

Forrás/Cél cím Forrás/Cél port

Ezzel célszerű az IP spoofing-ot kivédeni Ez nagyon gyors és kis erőforrás igényű tud lenni

19

Tűzfal típusok: NAT Tipusai:

PAT – Port Address Translation NAT – Network Address Translation

Lehet: Dinamikus Statikus

Címfordítást végez

Elrejti a belső címeket

Alkalmazás réteg?

20

Tűzfal típusok : Kapcsolat szintű átjáró Nem vizsgál minden egyes csomagot Amint a kapcsolat felépült utána az adott

viszonyhoz tartozó összes csomag mehet A 4. rétegben működik Jobb mint csak csomagszűrés Tartalmazhat alkalmazás rétegbeni funkciókat is

Pl.: FTP

21

Tűzfal típusok : Állapottartó Az előző kettő kombinációja A 3., 4. rétegben működik Minden kimenő csomag naplózva van az állapot

táblában Forrás/Cél IP Forrás/Cél port

A bemenő forgalomnál így ellenőrizhető, hogy ki kezdeményezte

Ez a tudás mindenképpen megkövetelendő egy tűzfaltól

Egyéb információkat is eltárolhat Protkoll falg-ek

22

Tűzfal típusok : Proxy A kommunikáció 3 vagy több fél között folyik

Kliens Proxy Szerver

Títkosítatlan esetben a kliens nem látja közvetlenül azokat a csomagokat amelyeket a szerver küldött és fordítva

Títkosított esetben a proxyellenőrzi a fejléceket ésha minden OK akkortovábbküldi

Gyorsítótár Protokoll validáció Felh. ID alapú döntés Bonyolult Minden protokollt ismernie kell

23

Alkalmazás szintű szűrés A legintelligensebb Értelmezni tudják az adott alkalmazás adatát és

ez alapján döntéseket hoznak SMTP parancsok, DNS parancsok, SPAM

szűrés Igény alapján dinamikusan nyitja a portokat

DNS felé UDP csak akkor ha a DNS indította a kapcsolatot és addig amíg ez a kapcsolat tart

Títkosított forgalom kezelése: Ugyanaz mint a proxy-nál A tűzfalon végződtetve mindkét oldalon

24

Személyes tűzfal A PC-n futó szoftver szolgáltatás Egyre több otthoni kapcsolat Kis hálózat védelmére is alkalmas (otthoni hálózat) A hálózattól függetlenül ma már minden gépen kötelező

a használata (különösen mobil eszközöknél) Jóval kisebb tudású mint a többi, gyakran csak

csomagszűrésre alkalmas Előnyei:

Olcsó (ingyenes) Egyszerű konfigurálni

Hátrányai: Nehéz központból menedzselni Kis teljesítményű Korlátolt tudású

25

Forgalomirányító tűzfal A forgalomirányítók gyakran rendelkeznek tűzfal

funkciókkal is Az alsó kategóriás forgalomirányítók általában IP cím

alapján és port alapján képesek a forgalmat szűrni valamint NAT-ot is biztosítanak a címek elrejtésére

A felső kategóriás eszközök programozhatóak ACL listák segítségével, állapotkövetőek, támogatják a magas rendelkezésre állást

Előnyeik: Olcsóak (a hardvereshez viszonyítva) Egyszerű, szokványos konfiguráció

Hátrányaik: Teljesítmény Limitált funkcionalitás

26

Hardver tűzfalak Alsó kategóriás

Statikus szűrés Plug-and-Play VPN Bizonyos szintig menedzselhetőek Előnyei:

Gyakorlatilag nem kell konfigurálni Olcsó

Hátrányai: Korlátozott funkicionalitás Gyenge teljesítmény

Felső kategóriás 7500-500000 kapcsolat Manuális konfiguráció Moduláris Magas rendelkezésre állás Alkalmazás szintű szűrés Gyors Drága

27

Szerver tűzfalak A legtöbb rendszergazda számára jól ismert környezet

Linux Windows FreeBSD …

Jól bővíthető (sw/hw) Gyors (megfelelő méretű gépen) Integrálható Skálázható Az oprendszer hibáit kiaknázhatják a támadók

28

Belső tűzfal A belső hálózathoz történő hozzáférést

szabályozza Külső nem megbízható felhasználók elvileg

soha nem léphetnek be a belső hálózatra Web szerver esetén a web szerver fog kommunikálni

a belső részekkel

29

Tipikus beállítások Minden tiltva ami nincs engedve Tiltani a belső IP címek forrásként feltüntetését kívülről Tiltani a külső IP címek forrásként feltüntetését belülről Engedélyezni a DMZ DNS szerverek UDP-n történő megszólítását a

belső DNS szerverekről Engedélyezni a belső DNS szerverek UDP-n történő megszólítását a

DMZ-ből TCP DNS forgalom engedélyezése (szerver figyelembe vételével) Kimenő SMTP a DMZ SMTP átjáróról Bejövő SMTP a DMZ SMTP átjárótól Engedi a proxy-tól származó forgalmat befelé Engedi a forgalmat a proxy felé Szegmensek támogatása Szegmensek közötti forgalom állapotkövetéses forgalomirányítása Magas rendelkezésreállás támogatása

30

Perem tűzfal Feladata a szervezet határain túli felhasználók

kiszolgálása Típusai:

Megbízható (távoli iroda) Félig megbízható (üzleti partnerek) Megbízhatatlan (publikus weboldal)

Ez az eszköz fogja fel a támadásokat (jó esetben)

31

Tipikus beállítások Minden tiltva ami nincs engedve Tiltani a belső IP címek forrásként feltüntetését kívülről Tiltani a külső IP címek forrásként feltüntetését belülről Engedélyezni a külső DNS szerverek UDP-n történő

megszólítását (DMZ-ből) Engedélyezni a belső (DMZ) DNS szerverek UDP-n

történő megszólítását TCP DNS forgalom engedélyezése (szerver figyelembe

vételével) Kimenő SMTP a belső SMTP átjáróról Bejövő SMTP a belső SMTP átjárónak Engedi a proxy-tól származó forgalmat a külvilág felé Engedi a forgalmat a proxy felé

32

Rendelkezésre állás (perem/belső) Egy tűzfal

Több tűzfal:

33

Linux Netfilter Kernel komponens Szolgáltatásai:

Csomagszűrő Állapot követés Csomag manipuláció Kapcsolatszám figyelés, korlátozás (egy adott gépről a TCP

kapcsolatok száma. DOS védelem) Legutóbbi kapcsolatok megjegyzése (pl.: port scan) Terhelés elosztás (adott véletlen eloszlással) String illesztés a tartalomban (pl.: .exe) Idő alapú szabályok (ebédnél szabad internetezni, …) Átviteli kvóták (pl.: 2 Gbyte) TTL alapú csomag vizsgálat (man in the middle)

Bővíthető Ingyenes

34

ISA 2004 Alkalmazás szintű tűzfal Szolgáltatásai

Csomagszűrő Állapotkövető VPN támogatás VPN karantén Bizonyos behatolás érzékelés (portscan, halálos

ping) SSL-SSL híd Alkalmazás szintű vizsgálat (http, ftp, rpc, …)

35

CISCO PIX Beágyazott operációs rendszer (Fitnesse OS, realtime

nem Unix) Szolgáltatásai

Csomagszűrő Állapotfigyelés HTTP, FTP, Telnet hitelesités VPN támogatás URL szűrés Magas rendelkezésre

állás ASA - biztonsági szintek 1000000 kapcsolat!!!

36

IDS Behatolás érzékelés Mai állapot:

Lenyomat alapú érzékelés A riasztás értékelése ma még többnyire manuális A legtöbb IDS rendszerben nincs meg a kellő

intelligencia, hogy megbízhatóan ellenőrizze a támadást figyelembe véve más információkat is és meghozza a megfelelő döntéseket

Legtöbb helyen nincs központi log (tűzfal, szerver, …)

37

Ideális eset Aggregáció

SNMP, Syslog, … Korreláció

Pl.: időbélyeg Analízis

A host értéke Szolgáltatásai Viszonya a

többihez Rendszergazda Lehetséges sebezhetősége

38

SNORT GNU GPL licensz Minta alapú Valós idejű forgalom analízis Protokoll analízis Szabályokat definiálhatunk a keresett mintákra alert tcp any any -> any 139 (content:"|5c 00|P|00|I|00|P|00|E|00 5c|";)

Három üzemmód Sniffer Packet logger NIDS

Működése Dekódolás – protokoll dekódolás Preprocesszor – pl.: port scan detektálás Detektáló rész – szabályok

1 GBit/s

39

CISCO IDS Lenyomat adatbázis

alapján azonosítja a támadásokat

Részei: Senzor platform – a

forgalom valós idejű figyelése, tipikusan modulok Interfészei:

Monitor Kontroll

Direktor platform – menedzselés

Akciók TCP reset IP blokkolás IP loggolás

1 Gbit/s

40

A következő előadások tartalma

A félév anyagának áttekintése