Академический Документы
Профессиональный Документы
Культура Документы
Zapory sieciowe
Gwne zagadnienia wykadu
Zapora sieciowa jest umieszczana midzy sieci wewntrzn organizacji i sieci zewntrzn.
Dostarcza ona prostego mechanizmu kontroli iloci i rodzaju ruchu sieciowego midzy obydwoma
sieciami. Podstawowym jej zadaniem jest ograniczenie przepywu danych midzy tymi sieciami.
Przed postawieniem zapory trzeba okreli, jakie rodzaje danych maj by przez ni przepuszczane,
a jakie nie. Czyli trzeba zdefiniowa polityk zapory. Nastpnie naley skonstruowa mechanizmy,
ktre umoliwi wprowadzenie tej polityki w ycie.
Podstawowe strategie definiowania zapory:
Domylne przepuszczanie polega na okreleniu zbioru warunkw, ktrych spenienie bdzie
powodowao blokowanie danych. Kady host lub protok nie objty t polityk bdzie przepuszczany.
Domylne blokowanie polega na okreleniu protokow, ktre bd mogy przechodzi przez
zapor oraz hostw, ktre bd mogy przesya przez ni dane i z ktrymi komputery w sieci
wewntrznej bd si mogy komunikowa. Wszystkie elementy nie objte definicjami bd blokowane.
Dodatkowe funkcje zapory:
Blokowanie dostpu do caej sieci z okrelonych miejsc w sieci zewntrznej.
Blokowanie dostpu okrelonym uytkownikom do wybranych serwerw i usug.
Monitorowanie komunikacji midzy sieciami. Przykadowo rejestracja kocowych punktw pocze i ilo przesyanych danych.
Podsuchiwanie i rejestrowanie komunikacji midzy sieciami w celu badania przypadkw penetracji sieci, wykrywania intruzw i wewntrznych sabotaystw.
Automatyczne szyfrowanie i deszyfrowanie pakietw. Sie zewntrzna staje si wasnym poczeniem typu WAN (prywatna sie wirtualna - Virtual Private Network)
Komponenty zapory sieciowej
Dawiki - Urzdzenia komputerowe lub komunikacyjne suce do ograniczania przepywu pakietw
midzy sieciami. Czsto realizowane za pomoc routerw.
Bramy (hosty bastionowe) - Specjalnie skonstruowane programy, urzdzenia lub komputery, ktre
odpowiadaj na poczenia z zewntrznych sieci i odpowiednio je obsuguj.
Programy dziaajce w bramach
Sieciowe programy klienckie (telnet, ftp, mosaic ...)
Serwery proxy.
Sieciowe programy - serwery.
Podstawowe konfiguracje
Host z dwoma portami
Filtrowanie pakietw - zapora z jednym dawikiem
Ekranowany host - zapora z jednym dlawikiem i jedn bram
Ekranowana podsie - zapora z dwoma dawikami i bram
Filtrowanie pakietw
Filtry bezstanowe (stateless),
Teoretycznie w takich filtrach decyzja o akceptacji lub odrzuceniu pakietu mogaby bra pod uwag
kady element skadowy nagwka okrelonego protokou. Najczciej jednak filtrowanie oparte jest
na takich polach jak:
typ protokou (UDP, TCP, ICMP) - ta informacja jest jednak na tyle oglna, e zwykle dopuszcza si wszystkie protokoy,
adres IP,
port TCP/UDP,
znacznik fragmentu,
informacja o wyborze trasy (routing rdowy).
Filtry z badaniem stanu (statefull inspection).
Przechowuj informacj o stanie caego ruchu przechodzcego przez filtr. Wykorzystuj j do
okrelania czy pojedynczy pakiet powinien by odrzucony. Filtry takie dziaaj na poziomie warstwy
sieciowej oraz sesji. Informacja jest pobierana z pakietw przepywajcych podczas nawizywania
sesji. Umoliwia to odrnienie poprawnych pakietw zwrotnych od niepoprawnych prb pocze
lub wama. Adres gniazda (adres IP i numer portu zwrotnego s zapamitywane). Zapisy w tablicy
stanw s usuwane gdy przesyane s pakiety zwizane z zamkniciem sesji lub po upywie okrelonego czasu. Jeeli z zewntrz przychodzi pakiet, ktry nie ma pozycji w tablicy stanw , to jest odrzucany.
Sie wewntrzna
FIR 02
Dawik
Dawik
Sie zewntrzna
Sie wewntrzna
Dawik i brama
Zapora sieciowa
Sie zewntrzna
Dawik
Sie wewntrzna
FIR 04
Dawik zewntrzny
Sie obwodowa
Zapora sieciowa
Dawik wewntrzny
Sie wewntrzna
FIR05
Planowanie konfiguracji
Co chroni ?
Jeli filtrowanie nie wystarczy, czy potrzebny bdzie dawik, brama, a moe jedno i drugie ?
FIR 07
Serwery proxy
Serwery proxy porednicz w przekazywaniu da klientw sieci wewntrznej do sieci zewntrznej. Pozwala to ukrywa klientw przed badaniem z zewntrz. Wiele aktualnie dostpnych
pakietw tego typu realizuje rwnie usugi filtrowania pakietw i NAT. Poczenie tych wszystkich
technologii pozwala wyeliminowa pewne ataki, ktrym prawdopodobnie "czyste" proxy nie sprostaoby. Serwery proxy najczciej zwizane s z WWW (ze wzgldw historycznych) ale podobnie
dziaaj dla innych usug.
Proxy nasuchuje zlece usugi od klientw wewntrznych i przesya je w ich imieniu do sieci
zewntrznej. Po otrzymaniu odpowiedzi z zewntrz zwraca j do rzeczywistego klienta.
Bezpieczestwo - proxy
Usuga proxy
Interfejs
wewntrzny
Interfejs
zewntrzny
Serwer
publiczny
Proxy
Klienci
danie strony
sprawdzenie URL
danie strony
przesanie strony
filtrowanie
strony
przesanie strony
R - 01
Bezpieczestwo - proxy
Zalety proxy
Ukrywanie klienta przed wiatem zewntrznym
Blokowanie niebezpiecznych URL
Filtrowanie niebezpiecznej zawartoci
(wirusy, konie trojaskie)
Badanie spjnoci przesyanej informacji
Eliminacja routingu midzy sieciami
Zapewnienie pojedynczego punktu dostpu
(nadzorowanie i rejestracja zdarze)
Wady proxy
pojedynczy punkt - wraliwo na awarie
oprogramowanie klienckie musi wsppracowa z proxy
kada usuga musi mie proxy
proxy nie chroni systemu operacyjnego
mae bezpieczestwo konfiguracji domylnych
zatory
R - 02
Literatura:
1. S.Garfinkel, G.Spafford. Practical Unix and Internet Security. OReilly & Associates 1996 (tum.
RM 1997).
2. V.Ahuja. Network & Internet Security. Academic Press 1996 (tum. MIKOM 1997).
3. D.Atkins. Internet Security: Professional Reference. New Riders Publishing 1997 (tum. LT&P
1997)
4. L.Klander. Hacker Proof. Jamsa Press, 1997 (tum. MIKOM 1998).
5. M. Strebe, Ch. Perkins, Firewalls. SYBEX, Inc. 2000, (tum MIKOM 2000).
10