SZÁMÍTÓGÉP HÁLÓZATOK BIZTONSÁGI KÉRDÉSEI

GÁBOR DÉNES FŐISKOLA INFORMATIKAI RENDSZEREK INTÉZET

9

3

SZÁMÍTÓGÉP HÁLÓZATOK GYAK. Hálózati op. rsz 1/66

4

START

SZÁMÍTÓGÉP HÁLÓZATOK BIZTONSÁGI KÉRDÉSEI DR. KÓNYA LÁSZLÓ http://www.aut.bmf.hu/konya [email protected] SZERZŐI JOG DEKLARÁLÁSA: A JELEN OKTATÁSI CÉLÚ BEMUTATÓ ANYAG DR KÓNYA LÁSZLÓ SZELLEMI TULAJDONÁT KÉPEZI, EZT A LAPOKON ELHELYEZETT „DRK” VIZJEL IS JELEZHETI. EZEN TANANYAG BÁRMILYEN CÉLÚ FELHASZNÁLÁSA CSAK A SZERZŐ BELEEGYEZÉSÉVEL LEHETSÉGES

AMIT ISMERNI KELL(ENE) SZÁMÍTÓGÉP HÁLÓZATOK ALAPJAI

2006.06.08

Oktatási anyag

2005

A BEMUTATÓ EGY TANANYAG VÁZLAT, NEM ELÉG A TUDÁSHOZ!

:


9


3

4

BIZTONSÁG

:


9


3

TŰZFAL

Munkaállomás

Szerver

Internet

LAN Munkaállomás

Router

4

:

AZ INTERNETEN ALAPVETŐEN KÉTFAJTA TÁMADÁSI FORMA LÉTEZIK: A HÁLÓZATOT ALKOTÓ GÉPEK ELLENI ÉS A HÁLÓZATI FORGALOM ELLENI AKCIÓK.

Tűzfal

Munkaállomás

A TŰZFALAK (FIREWALL) TŰZFALAK, SPECIÁLIS SZÁMÍTÓGÉPEK, AMELYEKET KÖZVETLENÜL AZ INTERNET ÉS A BELSŐ HÁLÓZAT KÖZÉ ILLESZTENEK. MINDEN KÍVÜLRŐL BEFELÉ, ILLETVE BELÜLRŐL KIFELÉ HALADÓ FORGALOM EZUTÁN CSAK ÚGY FOLYTATHATJA ÚTJÁT, HA ÁTHALAD A TŰZFALON, AMELY KÉPES ELDÖNTENI, HOGY AZ ÉPPEN BEÉRKEZETT ADATOKAT TOVÁBBÍTHATJA-E, VAGY MEG KELL AKADÁLYOZNI A TOVÁBBJUTÁSUKAT.

EBBŐL A SZEMPONTBÓL TEKINTHETŐK OLYAN ÚTVONAL VÁLASZTÓKNAK (ROUTER), MELYEK “VÁLOGATÓSABBAK”, MINT AZT TŐLÜK ELVÁRNÁNK.


9

3

A TŰZFAL LEHETSÉGES FUNKCIÓI


4

A HASONLAT MAGYARÁZATA…

• • • • • •

•

ELVÁLASZTJA A BELSŐ ÉS KÜLSŐ HÁLÓZATOT A BEJÖVŐ FORGALMAT CSAK MEGHATÁROZOTT ELLENŐRZŐ PONTON ENGEDI KERESZTÜL SZABÁLYOZZA ÉS KORLÁTOZZA A BEJÖVŐ ÉS KIMENŐ FORGALMAT MEGTILT BIZONYOS KOMMUNIKÁCIÓS KAPCSOLATOKAT ELREJTI A KÜLSŐ HÁLÓZAT ELŐL A BELSŐ HÁLÓZAT IP CÍMEIT ÉS ERŐFORRÁSAIT GYANÚS ADATCSOMAGOK TOVÁBBKÜLDÉSÉT MEGAKADÁLYOZZA (CSOMAGSZŰRÉS TÖRTÉNHET A FORRÁSCÍM, A CÉLCÍM VAGY A TCP/IP PROTOKOLLBAN SZEREPLŐ EGYÉB ADAT ALAPJÁN) NAPLÓZZA A TELJES KOMMUNIKÁCIÓS FORGALMAT

:


9

3


4

TŰZFALAK CSOPORTOSÍTÁSA

VANNAK CSOMAGSZŰRŐ, TŰZFALAK.

ALKALMAZÁSSZINTŰ,

ILLETVE

:

HIBRID

A CSOMAGSZŰRŐK AZ INTERNET ALAPVETŐ PROTOKOLLJÁNAK, A TCP/IP-NEK AZ ALAPEGYSÉGEIN, VAGYIS A HÁLÓZATI CSOMAGOKON DOLGOZNAK. A FELADÓ ÉS A CÍMZETT, ESETLEG AZ IGÉNYBE VETT SZOLGÁLTATÁS SZERINTI SZŰRÉST KÉPESEK MEGVALÓSÍTANI. ÚGY KÉPZELHETŐK EL, MINT A KAPUBAN ÁLLÓ ŐR: MINDENKITŐL MEGKÉRDEZI, HONNAN JÖTT, HOVÁ TART, ÉS MI A DOLGA OTT. HA AZ ŐR LISTÁJÁN NEM SZEREPLŐ VENDÉG ÉRKEZIK, AKKOR MEGTAGADJA A BELÉPÉST. AZ ALKALMAZÁSSZINTŰ ÚN. PROXY ELVEN MŰKÖDŐ RENDSZEREK EGÉSZEN MÁS TAKTIKÁT ALKALMAZNAK: NEM A HÁLÓZATI CSOMAGOK, A PACKETEK SZINTJÉN MŰKÖDNEK, HANEM EGÉSZÉBEN VIZSGÁLJÁK AZ ADATFOLYAMOT, ÉS ANNAK TARTALMÁTÓL FÜGGŐEN KÉPESEK A MEHET/NEM MEHET DÖNTÉS MEGHOZATALÁRA.


9

3

IP CSOMAGSZŰRŐ TŰZFALAK


4

:

Ezek a tűzfalak a következő információk alapján dönti el, hogy mit kell tenni egy adott IP csomaggal: · forrás IP cím · forrás portszám (TCP vagy UDP csomagok esetén) vagy típus (ICMP esetén) · cél IP cím · cél portszám vagy típus · a csomag melyik hálózati interfészen érkezett ill. melyiken szeretne távozni · egyéb protokoll-specifikus információk: pl. TCP SYN, ACK, RST flag-ek, IP töredékek (fragments). Például a TCP SYN bitek figyelésével lehetőség nyílik kapcsolat felépítési kérések blokkolására, így bár az IP csomagokat mindkét irányban átengedjük, kapcsolatot csak az egyik irányból lehet kezdeményezni.


9

3


PROXY TŰZFALAK

4

:

A proxy szerverek megvárják, amíg az összes olyan IP csomag megérkezik, melyek az alkalmazói szinten összetartozó protokollelemet hordoznak, majd a szűrés után továbbítják azokat. A két módszer előnyeit próbálja meg egyesíteni az utóbbi években kifejlesztett technológia, mely a ma kereskedelemben kapható számos tűzfal alapját képezi. Ezeket a tűzfalakat ún. Stateful Packet Filter Firewall-oknak nevezik, melyek a vizsgálandó csomagok által tartalmazott információn túl képesek figyelembe venni az addig érkezett csomagokban lévő információt is.


9

3


4

PROXY SZERVER

:

• EZ A TŰZFAL FONTOS ELEME LEHET, MIVEL A KÜLSŐ ÉS BELSŐ HÁLÓZAT KÖZÉ ÉKELŐDVE A BELSŐ FELHASZNÁLÓK NEVÉBEN KOMMUNIKÁL A KÜLVILÁGGAL, ELREJTVE AZOK FONTOS ADATAIT. FUNKCIÓI, PL.: • A RENDSZER TEHERMENTESÍTÉSE OLY MÓDON, HOGY HA TÖBB FELHASZNÁLÓ EGYSZERRE UGYANAZZAL A KÜLSŐ ÁLLOMÁSSAL VAN KAPCSOLATBAN (PL. UGYANAZT A HONLAPOT BÖNGÉSZIK), AKKOR KIKÜSZÖBÖLI A TÖBBSZÖRÖS ADATÁTVITELT. • A BELSŐ WEB ÉS FTP SZERVEREK ELSZIGETELÉSE A KÜLSŐ HÁLÓZATTÓL

TEHERMENTESÍTÉSE

• A KOMMUNIKÁCIÓS FORGALOM NAPLÓZÁSA PROBLÉMÁK UTÓLAGOS TISZTÁZÁSA CÉLJÁBÓL.

A

ÉS

FELMERÜLT

• CSOMAGSZŰRÉS A TCP/IP PROTOKOLLBAN SZEREPLŐ ADATOK ALAPJÁN


9

3


4

DEMILITARIZÁLT ZÓNA (DMZ)

:

WWW szerver Munkaállomás

Munkaállomás

Szerver

DMZ Internet

LAN Router Tűzfal

Munkaállomás

KÉT TŰZFALLAL VÉDJÜK A BELSŐ HÁLÓZATOT, ÉS A KÉT TŰZFAL KÖZÖTT HELYEZKEDIK EL A DMZ. HÁROM TERÜLET: BELSŐ HÁLÓZAT, KIFELÉ PUBLIKUS INTERNET, KÜLSŐ HÁLÓZAT.


9

3


TŰZFAL MEGOLDÁSOK

4

:


9

3


TARTALOMSZŰRÉS – KULCSZÓ, URL SZŰRÉS

4

:

TARTALOMSZŰRÉS: A TŰZFALAK A FELHASZNÁLÓK MELLETT AZ ÁTHALADÓ ADATOKAT IS ELLENŐRIZHETIK. MEGOLDÁSOK: • KULCSSZÓ FIGYELÉS, • URL-SZŰRÉS • VÍRUSFIGYELÉS. KULCSSZÓ SZERINT: VIGYÁZZUNK, MERT: „SZEX" TILTÁSA TILTJA A „SZEXTÁNS„-T IS. URL-FILTEREK: KORLÁTOZZÁK A LÁTOGATHATÓ OLDALAK KÖRÉT. EGY FOLYAMATOSAN FRISSÍTETT ADATBÁZIST TARTALMAZNAK A WEBHELYEKRŐL, MELYBEN MINDEN WEB-HELYHEZ EGY KATEGÓRIÁT RENDELTEK, ANNAK TARTALMA SZERINT. AZ ADATBÁZIST TÖBBNYIRE A TERMÉK GYÁRTÓJA KÉSZÍTI, ILLETVE TARTJA NAPRAKÉSZEN. HA TEHÁT KORLÁTOZNI SZERETNÉNK AZ OLDALAK LÁTOGATÁSÁT, AKKOR MINDÖSSZE BE KELL ÁLLÍTANUNK, HOGY MELY KATEGÓRIÁKAT SZABAD, ILLETVE NEM SZABAD LÁTOGATNI, MAJD A TŰZFALAT AZ URL-SZŰRŐ PROGRAM HASZNÁLATÁRA UTASÍTANI.


9

3


TARTALOMSZŰRÉS – VÍRUSFIGYELÉS

4

:

A VÍRUSKERESÉS-KOR A TŰZFALAT EGY SPECIÁLIS VÍRUSKERESŐVEL EGÉSZÍTIK KI, AMELY KÉPES A TŰZFAL ÁLTAL ÁTADOTT ADATOK VÍRUSELLENŐRZÉSÉRE. HA A FILE TISZTA, AKKOR AZT SZABADON LEHET KÜLDENI/FOGADNI. HA AZONBAN FERTŐZÖTT, AKKOR A VÍRUSKERESŐ MEGPRÓBÁLHATJA ELŐSZÖR FERTŐTLENÍTENI, ILLETVE HA AZ NEM SIKERÜL, AKKOR KARANTÉNBA HELYEZI, TOVÁBBI VIZSGÁLAT CÉLJÁBÓL. ÉRDEMES TUDNI, HOGY TÖBBFAJTA ADATFORGALOM IS ELLENŐRIZHETŐ: E-MAILEK, FTP ÉS HTTP FORGALOM IS SZŰRHETŐ VÍRUSKERESŐVEL. TERMÉSZETESEN ILYENKOR A TŰZFALRA ELŐSZÖR TELJES EGÉSZÉBEN MEG KELL ÉRKEZNIE A FILE-NAK, MAJD A VÍRUSKERESŐ ELLENŐRZI, ÉS CSAK AZUTÁN KERÜLHET A FELHASZNÁLÓHOZ. MINDKÉT TARTALOMSZŰRŐ ELJÁRÁS KULCSA A NAPRAKÉSZ ADATBÁZIS - LEGYEN SZÓ URL-EKRŐL VAGY VÍRUSOKRÓL.


9

3


BELSŐ HÁLÓZATI CÍMEK

4

Kezdőcím

Végcím

Megjegyzés

10.0.0.0

10.255.255.255

Egy darab ’A’ kategóriás tartomány

172.16.0.0

172.31.255.255

16 darab ’B’ kategóriás tartomány

192.168.0.0

192.168.255.255

255 darab ’C’ kategóriás tartomány

:

BIZONYOS HÁLÓZATI CÍMEKET NEM OSZTOTTAK KI, EZEK HASZNÁLHATÓK A BELSŐ HÁLÓZATOKBAN. ILYEN CÍMEKET A ROUTER SEM TOVÁBBÍT, EZÉRT VÉDELMI CÉLOKRA IS ALKALMAZHATÓ. A BELSŐ HÁLÓZATI CÍMEKEN MŰKÖDŐ GÉPEK A KÜLVILÁGOT A NAT SEGÍTSÉGÉVEL ÉRIK EL.


9

3


NAT - CÍMÁTALAKÍTÁS

4

:

AZ EGYIK LEGFONTOSABB ÉS LEGGYAKRABBAN HASZNÁLT LEHETŐSÉG A FORRÁS CÍM (IP CÍM ÉS PORTSZÁM) ÁTÍRÁSA. EZT A TECHNIKÁT NAT-NAK (NETWORK ADDRESS TRANSLATION) VAGY NÉHA IP MASQUERADE-NAK HÍVJÁK. LÉNYEGE, HOGY MIALATT A CSOMAG ÁTHALAD A TŰZFALON A FORRÁS IP CÍMET A TŰZFAL A SAJÁT IP CÍMÉRE ÍRJA ÁT MIKÖZBEN LEFOGLAL SZABAD PORTJAI KÖZÜL EGYET, ÉS A FORRÁS PORTCÍMET IS ÁTÍRJA ERRE A PORTSZÁMRA. MIELŐTT AZ ÍGY MÓDOSÍTOTT CSOMAGOT TOVÁBBKÜLDENÉ, MEGJEGYZI A FELADÓ IP- ÉS PORTCÍMÉT, VALAMINT, HOGY MELYIK HELYI PORTOT FOGLALTA LE ENNEK. A MÁSIK IRÁNYBÓL ÉRKEZŐ ÉS A TŰZFALAT MEGCÍMZŐ CSOMAGOK ESETÉN MEGVIZSGÁLJA, HOGY AZ ADOTT CÉL PORTCÍM NINCS-E AZ ADATBÁZISÁBAN. HA BENNE VAN, AKKOR A CÉL IP- ÉS PORTCÍMET LECSERÉLI AZ ADATBÁZISÁBAN LEVŐRE, ÉS TOVÁBBÍTJA A CSOMAGOT.


9

3


NAT – CÍMÁTALAKÍTÁS - PÉLDA

4

:

Például vállalatunk egyetlen Internet-csatlakozással rendelkezik, legyen ennek a címe 152.66.213.80. Viszont 150 számítógéppel rendelkezünk, melyek mindegyikén Internet elérést akarunk lehetővé tenni. Ekkor 2 hálózati interfészt és egy NAT-ot lehetővé tevő szoftvert kell telepítenünk a direkt-Internet kapcsolattal rendelkező eszközünkre (pl. egy UNIX/WINDOWS alapú PC). Az egyik hálózati kártya megkapja az Internet eléréshez szükséges hálózati paramétereket, viszont a másik a 192.168.0.1-es címet kapja, amire a többi, belső-hálózati számítógépet csatlakoztatjuk. A belső-hálózati eszközök mind 192.168.0.2-151 címet kapják, és átjárójuk pedig a 192.168.0.1 cím lesz. A belsőhálózatban lévő számítógépeket nem lehet látni és elérni, ugyanis fizikai kapcsolat csak a NAT szerver és az Internet között létezik.


9

3 1. 2. 3. 4. 5. 6. 7. 8. 9. 10.


ELLENŐRZŐ KÉRDÉSEK Fogalmazza meg, mi az a tűzfal! Milyen típusai vannak a tűzfalaknak, és azok hogyan működnek? Hogyan működnek a csomagszűrő tűzfalak? Hogyan működnek a proxi tűzfalak, és mi az a proxy szerver? Milyen tűzfal kialakítási megoldásokat ismer? Mi az a NAT? Mi a feladata? Mik azok a belső hálózati címek? Mi az a tartalomszűrés? Milyen módszerei vannak? Mi az a kulcsszó szűrés? Mi az URL szűrés? Hogyan oldják meg a vírusfigyelését a tűzfalak esetén? Hogyan szortírozza a fájlokat vírusfigyelési szempontból?

4

:

SZÁMÍTÓGÉP HÁLÓZATOK BIZTONSÁGI KÉRDÉSEI

Recommend Documents