Távközlési informatika II

Dr. Beinschróth József

Távközlési informatika II. 5.rész

ÓE-KVK Budapest, 2017.

Dr. Beinschróth József: Távközlési informatika II.

Tartalom 

           

2

Hálózati architektúrák: szabványgyűjtemények A fizikai réteg: bitek továbbítása Az adatkapcsolati réteg: kapcsolatvezérlés és közeghozzáférés Példák az adatkapcsolati rétegre épülő technológiákra A hálózati réteg 1: funkciók és protokollok A hálózati réteg 2: Útvonalválasztás Példa hálózati rétegre épülő technológiára A szállítási réteg Az alkalmazási réteg Kriptográfia IPSec, VPN, határfelületi védelem QOS és multimédia Kiegészítő fejezetek Dr. Beinschróth József: Távközlési informatika II.

A fejezet tartalma

       

  

Az IPSec keretrendszer Az IPSec módjai Magánhálózatok kialakítási lehetőségei VPN megvalósítások A határfelület védelmének szükségessége DMZ Tartalomszűrés Vírusvédelem SPAM szűrés Tűzfalak Mély protokollelemzés


Az IPSec keretrendszer: a security a hálózati rétegben valósul meg

4

Probléma

• Tradicionális okok • A TCP/IP kidolgozásakor a security eredetileg nem volt jelentős szempont (bizalmasság, sértetlenség). • A TCP/IP-t nem világméretű hálózatra dolgozták ki. • Az alapelvek meghatározása a 70-es években történt. • Mindezek miatt előfordul(nak) titkosítatlan (lehallgatható) átvitel, letagadható, megváltoztatható üzenetek stb.

Megoldás

• Alkalmazásokba integrálva • A forrás alkalmazás titkosít, védelemmel lát el stb., a cél alkalmazás dekódol… • Probléma: Meg kell változtatni az alkalmazásokat (egyszerre az egész világon.) • A hálózati rétegbe integrálva • Ez terjedt el. • IP Security – IPSec, keretrendszer, többféle szolgáltatást, algoritmust stb. tartalmaz • RFC 2401, 2402, 2406 • Nem opcionális, de létezik null titkosítási algoritmus: RFC 2410

Az IPSec keretrendszer


Az IPSec egy keretrendszer: titkosítás, hitelesítés (1) IPv4 és IPv6 esetén egyaránt értelmezett • IPv4: opcionális • IPv6: kötelezően megvalósítandó szolgáltatás

Többnyire szimmetrikus kriptográfiát alkalmaz

Összeköttetés alapú (a kapcsolatnak állapota van): szimplex összeköttetés a két végpont között, melyhez biztonsági azonosító is tartozik (Két irány – két kapcsolat) (Az IP kapcsolat tipikusan nem összeköttetés alapú!) A headerben újabb információ jelenik meg: biztonsági azonosító, sértetlenséget biztosító adatok stb.

5



Az IPSec egy keretrendszer: titkosítás, hitelesítés (2) Az IPSec három fő biztonsági szolgáltatást képes nyújtani • Csak hitelesítési (AH - Authentication Header) • Kombinált hitelesítés és titkosítás (ESP - Encapsulating Security Payload) • A mindkettőt kiszolgáló kulcskezelés (IKE - Internet Key Exchange).

Alapfogalma a Security Association (SA - Biztonságos Kapcsolat) • SA: egyirányú kapcsolat a kommunikáló partnerek között - összeköttetés • Kétirányú biztonságos kapcsolatokhoz két SA szükséges • Egy SA vagy egy AH, vagy egy ESP által megvalósított egyirányú biztonságos kapcsolatot ír le • Egy SA-t három paraméter azonosít egyértelműen • Security Parameter Index (SPI) - Biztonsági Paraméter Index: kulcs, algoritmusok, protokoll mód, sorszám, ablak, stb. • Az IP célcím • A használt biztonsági protokoll (AH vagy az ESP) 6



Az IPSec-nek két módja van aszerint, hogy a járulékos információ hol helyezkedik el

Transport mód

Tunnel mód

Mind az AH mind az ESP egyaránt használatos transport és tunnel módban!

7

Az IPSec módjai


Transport módban az eredeti IP header kiegészül

Transport mód

Tunnel mód

Az IPSec alkalmazását a Protocol mezőben elhelyezett kód jelzi (51), az eredeti (ami a Procol mezőben volt) az IP header kiegészítő részébe kerül.

A transzport mód tipikusan két host (IP kommunikációs szereplő) közti végpontvégpont kapcsolatokban használatos – gépek közötti forgalom védelmét biztosítja. (Szemben a tunnel móddal, amely leginkább tűzfalak ill. routerek között használatos.)

A csomagméret nem növekszik jelentősen.

Elsősorban a felsőbb szintű protokollok (jellemzően a TCP vagy UDP szegmensek), azaz az IP csomag adatmezejének a védelmére szolgál. • Az ESP az IP fejléc nélküli adat mezőt titkosítja, opcionálisan hitelesíti. • Az AH az IP csomag adatait és az IP fejléc bizonyos részeit hitelesíti.

8

Az IPSec módjai


Tunnel módban az egész eredeti csomagot egy másik IP csomag belsejébe helyezik (1)

Transport mód

Tunnel mód

A tunnel mód leginkább két csomópont (pl. tűzfal vagy router) között használatos: a két csomópont között egy VPN-t (Virtual Private Network, virtuális magánhálózat) jön létre.

Az egész eredeti csomagot egy másik IP csomag belsejébe helyezik (IP-IP tunnelezés), így biztosított, hogy az egész eredeti csomag a (publikus) hálózaton való áthaladás közben változatlan marad. Tunnel móddal biztonságos kommunikáció valósítható meg anélkül, hogy az összes kommunikáló gépen IPSec-et kellene implementálni (csak a tunnel két végpontján szükséges IPSec) – hálózatok közötti forgalom védelmére képes.

A titkosítás és autentikáció csak a tunnel két végén levő gépen (routerek) történik, a titkosítás nem terheli a hálózat gépeit.

9

Az IPSec módjai


Tunnel módban az egész eredeti csomagot egy másik IP csomag belsejébe helyezik (1)

Transport mód

Tunnel mód

A kisszámú résztvevő miatt egyszerűbb a kulcskezelés.

A csomagméret jelentősen nőhet: Az eredeti IP fejléc a célcímen kívül tartalmazhat egyéb routing információkat is (source routing utasítások, hop-by-hop opciók), emiatt az új IP fejlécbe is be kell írni az eredeti routing információkat, (Egyébként a közbülső routerek nem lesznek képesek megfelelő módon kezelni a titkosított tunnelezett csomagot - belső IP header a csomag tartalmával együtt titkosítva van, emiatt a közbülső routerek nem tudnak vele mit kezdeni).

A VPN-ként használt tunneles ESP lehetetlenné teszi a forgalmi analízisen alapuló támadásokat.

10

Az IPSec módjai


Kulcskezelés: titkos kulcsok szükségesek az authentikációhoz és a titkosításhoz egyaránt (kriptográfiai kérdés)

IKE (Internet Key Exchange)

11

Az IPSec módjai

• Az AH és ESP működése a kommunikálni szándékozó gépek titkos kulcsain alapul: titkos kulcsok szükségesek az autentikációhoz és a titkosításhoz egyaránt. • Az IPSec két kulcskezelő mechanizmus támogatását teszi kötelezővé. • Manuális: a rendszeradminisztrátor minden egyes résztvevő gépen manuálisan konfigurálja a gép saját és a kommunikáló partnerei kulcsait. • Automatizált: az automatizált kulcskezelés lehetővé teszi kulcsok új SA-k számára való igény szerinti generálását és a kulcsok automatikus propagálását (asszimmetrikus kriptográfia).


IPSec esetén a klasszikus IP header módosul/kiegészül

A klasszikus IP header (emlékeztetőként)

… Szolgálat típusa: pl. VoIP Teljes hossz.:max. 65535Byte Azonosítás: melyik csomag 32 bit

Verzió

Fejrész hossz

Szolgálat típusa

Teljes hossz

(6bit)

Azonosítás Élettartam

DF: Don’t Fragment MF: More Fragments Darabeltolás: A darab (fragment) sorszáma Protokoll: tcp (6), udp (17) …

DF, MF bitek Protokoll

Darabeltolás

Fejrész ellenőrző összeg

Forrás cím Cél cím Opciók (0 vagy több szó) 20 byte rögzített, utána változó hosszúságú opcionális rész

12

Az IPSec módjai

A továbbítás a verzióval kezdődik Dr. Beinschróth József: Távközlési informatika II.

IPSec esetén a klasszikus IP header módosul/kiegészül

AH header

13

Az IPSec módjai

ESP header


IPSec header: AH (többé-kevésbé elkülönül az IP headertől)

AH (Authentication Header)

14

Az IPSec módjai

AH header

ESP header

•Az IP headerhez kapcsolódóan megjelenik egy új header, ami több mezőből áll (AH header) •Az AH transport módban az eredeti headert kiegészíti. •Az AH tunnel módban az új és a régi IP header közé kerül. •IPv4-ben új fejlécként, IPv6-ban mint kiegészítő fejléc jelenik meg (IPv6-ban kötelező) •Fő feladatai: • A fejléc hitelesítése •Az adatmező sértetlenségének ellenőrzésére és a replay (újrajátszás) támadások elleni védelemre nyújt módot . (Replay elleni védelem: sorozatszám) •Az AH headerben az adatmező digitális aláírása is szerepel, ez biztosítja a sértetlenség kontrollját •Titkosítást nem végez


IPSec header: ESP (többé-kevésbé elkülönül az IP headertől)

ESP (Encapsulating Security Payload)

15

Az IPSec módjai

AH header

ESP header

• Elhelyezkedése az AH-hoz hasonló • Az AH alternatívája. • Alapvetően titkosítási szolgáltatást nyújt, védve az üzenet tartalmát a lehallgatások ellen, valamint korlátozott védelmet tud nyújtani a forgalmi adat-analízisen alapuló támadások ellen. • Az ESP opcionálisan az AH-hoz hasonló hitelesítési szolgáltatásokra is képes. • Az ESP perspektivikusabb az AH-nál (az opciókat is használva több szolgáltatást is nyújt – titkosítás). Dr. Beinschróth József: Távközlési informatika II.

Az AH header formátuma emlékeztet az IPv6 kiegészítő fejrész formátumára (1)

Next Header

Payload Length

AH header

ESP header

Reserved (Fenntartott)

Biztonsági paraméterek indexe Sorszám Hitelesítési adatok (HMAC) 32 bit

16

Az IPSec módjai


Az AH header formátuma emlékeztet az IPv6 kiegészítő fejrész formátumára (2) Next Header

Next Header

• Az IP header Protocol mezőjének értékét tartalmazza, miután az le lett cserélve (51-re)

AH header

ESP header

Payload Length

Reserved (Fenntartott)

Biztonsági paraméterek indexe Sorszám Hitelesítési adatok (HMAC)

Payload Length

Biztonsági paraméterek indexe

Sorszám

Hitelesítési adatok

17

Az IPSec módjai

• Az AH Headerben levő 32 bites szavak száma mínusz kettő

• Összeköttetés azonosító, az összeköttetést leíró információk (ez tartalmazza a kulcsot is)

• Az SA csomagjainak sorszáma, minden csomag új sorszámot kap még újraküldés esetén is (az újrajátszás ellen)

• Hashed Message Authentication Code: Az adatmező ( és az IP header bizonyos mezőinek) digitális aláírása


Az AH header formátuma emlékeztet az IPv6 kiegészítő fejrész formátumára (3)

AH header

ESP header

Az Authentication Header elhelyezkedése transport mód esetén

IP csomag IP header


TCP Header

Data

51

Az Authentication Header elhelyezkedése tunnel mód esetén IP header


IP header

TCP Header

IP csomag Data

Eredeti IP csomag

18

Az IPSec módjai


Az ESP header az AH headerhez hasonló adatokat tartalmaz

AH header

ESP header

Az ESP Header elhelyezkedése transport mód esetén Hiteles

IP Header

ESP Header

TCP Header

Data

HMAC

Titkos

Az ESP Header elhelyezkedése tunnel mód esetén Hiteles Új IP Header

ESP Header

Régi IP Header

TCP Data Header Titkos

HMAC

ESP Header: Biztonsági paraméterek indexe + Sorszám

19

Az IPSec módjai


A szervezeten belüli bizalmas adatok továbbításhoz titkosított csatornákra van szükség (probléma a több telephely) Szervezetei követelmény: Magánhálózat (Corporate Network) szükséges, amely a vállalat nem nyilvános (bizalmas) információinak átvitelét biztosítja biztonságos kapcsolat

• Bizalmasság Informatikai biztonság

• Sértetlenség

• Rendelkezésre állás 20

Magánhálózatok kialakítási lehetőségei


A vállalati magánhálózat két módon valósítható meg

Klasszikus bérelt vonal

21


VPN


A klasszikus bérelt vonalak bizalmasság Klasszikus bérelt vonal szempontjából megfelelők, de magas költségűek (1)

Az internettől teljesen független megoldás

22

VPN

• Már több évtizeddel az internet megjelenése előtt is létezett • A távközlési szolgáltatók szolgáltatásaként jelentkezett • A távoli kliensek számára a hozzáférés olyan mintha helyileg kapcsolódnának, de a sebesség problematikus lehet • Internet hozzáférés esetén a távoli kliensek IP címet is a magánhálózatnak kijelölt tartományból kapnak • A bizalmasság elfogadható szinten valósul meg



A klasszikus bérelt vonalak bizalmasság Klasszikus bérelt vonal szempontjából megfelelők, de magas költségűek (2)

VPN

• Magas fenntartási költség (tipikusan havi díj és nem adatforgalom utáni díj) • A távolsági összeköttetéseknek különösen magas a költsége Nem költség- • (Közbülső megoldás: modemes kapcsolat PSTN-en - régi) optimális megoldás • Olcsóbb lehet, de a hátrányok jórészt megmaradnak)

23



A telephelyek között adatkapcsolat az internet felhasználásával alacsony költségek mellett


VPN

BIZALMASSÁG?!

Titkosított virtuális összekötetések internet

1. telephely

tűzfal

tűzfal

2. telephely

tűzfal 3. telephely

Az adatátvitelei sebességek a bérelt vagy kapcsolt vonalon elérhetőknél nagyságrendekkel nagyobbak! 24



VPN (Virtual Private Network): olcsó ugyanakkor biztonságos megoldás lehet

A VPN jellemzői

25


VPN

• Virtuális: valósi fizikai összeköttetés nincs kiépítve. • Az internet nyitott infrastruktúrájának kihasználása (az interneten keresztül történő összeköttetések). • Az egymástól földrajzilag távol elhelyezkedő vállalati telephelyek közötti információcsere lehetősége az interneten keresztül. • Egységes, közös vállalati hálózat használatának lehetősége az összes telephelyen. • Relatíve alacsony hálózati költségek. Lényegesen olcsóbb, mint a hagyományos megoldások, de a biztonság problematikus lehet. • A biztonságra vonatkozó követelményeket is kielégítő megoldások léteznek. • Road Warrior (utcai harcos – utazó ügynök) is csatlakozhat!



Sokféle VPN változat képzelhető el (1)


VPN

VPN: alagút az interneten keresztül

Felhasználó kapcsolódása „kívülről” 26



Sokféle VPN változat képzelhető el (2)


VPN

VPN: alagút az interneten keresztül

Alhálózatok (telephelyek) összekapcsolása 27



A VPN a felhasználói alkalmazások számára transzparens

A VPN koncepció

28


VPN

•Minden telephely el van látva tűzfallal. •Minden, a cég telephelyein levő két tűzfal között virtuális titkosított csatorna jön létre. (A tűzfalak többnyire rendelkeznek VPN funkciókkal.) •Az interneten a csomagok ugyanúgy haladnak, mint bármely más csomag, a titkosítás a csomagtovábbítást nem befolyásolja. •A VPN a felhasználói alkalmazások számára transzparens, a távoli telephely elérése nem különbözik a lokálisétól. •Az egyes (külső munkatársak vagy) telephelyek az internet szolgáltatókhoz kapcsolódnak (ISP - Internet Service Provider). •A kliensek attól az ISP-től kapnak IP címet akihez kapcsolódnak •A kapcsolat kiépítés ugyancsak ehhez az ISP-hez történik. •Probléma: az egyes telephelyek különböző ISP-khez kapcsolódnak. Hogyan kezeljük a különböző ISP-któl kapott IP címeket?



Példa: Magánhálózat az internet nyitott infrastruktúrájának felhasználásával

29



VPN


Sokféle VPN megvalósítás létezik

30


1

• Független szoftver: Sok különböző szoftver létezik (pl. OpenVPN stb.),

2

• Operációs rendszerbe beépített szoftver (A legtöbb op. rendszer rendelkezik beépített VPN szoftverrel)

3

• Routerek és switchek támogatása (A mai routerek és switchek közül a legtöbb támogatja az elterjedt VPN protokollok használatát)

4

• Szerverként használhatunk valamilyen VPN szolgáltató szerverét, vagy saját szervert


VPN


Példa VPN megvalósításra – Open VPN

Open VPN


VPN

A szerver címének és a user azonosításának megadása kliens oldalon.

• Szerver és kliens változata is van • Ingyenes kliens szoftver • Többféle felhasználó hitelesítés • Szinte az összes elterjedt platformra elérhető • Támogatja a virtualizációs és felhős megoldásokat

31



VPN kialakítási lehetőségek

Hardver közeli megoldások

Tűzfal alapú megoldások

Tunneling protokollok

VPN megvalósítások



VPN kialakítására léteznek hardver alapú megoldások

Hardver közeli megoldások (routerek)

33




• Az adatforgalom titkosítására alkalmas routerek alkalmazása. • Minimális erőforrás igény – magas fokú hálózati áteresztőképesség. • Nem kellőképpen rugalmasak, a hozzáférés vezérlés egy részét vagy egészét átengedik más eszköznek (pl. tűzfal). • Az utazó ügynök problémájának kezelése kérdéses.



VPN kialakítására léteznek tűzfal alapú megoldások


34




• A tűzfalak + titkosítás • Kihasználják a tűzfal biztonsági mechanizmusok előnyeit • NAT • Bizonyos hálózatrészek elérésének korlátozása • Azonosítási mechanizmusok • Naplózás stb. • A performancia a titkosítás miatt kritikus lehet! • Az utazó ügynök problémájának kezelése kérdéses.


VPN kialakítására léteznek szoftver alapú megoldások (1)

Speciális protokollok (tunnelling protokollok) alkalmazása (a hardver és a tűzfal alapú megoldásnál rugalmasabb)

35





• Cél: a vállalati magánhálózat kiterjesztése a távoli kliensekhez egy közbenső hálózat felhasználásával (az utazó ügynök is kezelhető). • Privát hálózati hozzáférést biztosít a világ bármely részéről (vezetékes vagy mobil hálózatról) az internet használatával. • Megoldás: RFC 2661: L2TP (Layer 2 Tunneling Protocol) • Saját titkosítást nem tartalmaz, az IPSec-re épül, azzal együtt biztonságos adatátvitelt tesz lehetővé az interneten (L2TP over IPSec). • A Point-Point Tunneling Protocol (PPTP) és Layer 2 Forwarding Protocol (L2F) tunneling protokollok utódjának tekinthető. • A PPTP (így a L2TP is) a PPP-re épül, a PPP Authentication eljárásait (PAP, CHAP) alkalmazza • A PPTP (így a L2TP is) a PPP-re épülés alapján lehetővé teszi más hálózati címek és protokollok (IPX, SNA, NetBios) alkalmazását is. • Az L2TP menedzseli a PPP adatkapcsolati rétegét is (pl. HDLC). Dr. Beinschróth József: Távközlési informatika II.

VPN kialakítására léteznek szoftver alapú megoldások (2)

Nincs szükség tűzfalra a távoli klienseknél

36





• A távoli kliensek (Road Varrior is) ugyanúgy használhatják a vállalati hálózatot mint a helyiek • Az interneten keresztül többnyire csak a vállalati hálózatot érik el, minden csomag a vállalati hálózathoz lesz továbbítva • Az internethez többnyire csak a vállalati hálózaton keresztül kapcsolódhatnak. (Ugyanúgy kell kezelni őket, mint a belső hálózati felhasználókat.) • Ugyanazon biztonsági kapu szabályok vonatkoznak rájuk. • Korlátozni vagy tiltani lehet az internet hálózat használatát számukra. • Összetevők: • LNS - L2TP Network Server • LAC - L2TP Access Concentrator • ISP – Internet Service Provider • Az LNS a privát hálózatban a tűzfalon belül helyezkedik el így belső IP cím alkalmazása lehetséges a tunnel másik végpontján is. • A LAC a távoli helyszínen működik, vagy a távoli ISP működteti, vagy magán a távoli gépen van. • Megvalósítási módok: kötelező és önkéntes Dr. Beinschróth József: Távközlési informatika II.


Példa: Win7

37





Az L2TP (szoftveresen kialakított VPN) lehet önkéntes használatú (1)

Voluntary (önkéntes – a távoli kliensnek közvetlen internet hozzáférése van)

38





• Kialakítás: • 1. lépés: A kliens először az ISP-vel hoz létre egy PPP kapcsolatot ahonnan egy globális IP címet kap. • 2. lépés: A kliens a globális IP cím felhasználásával építi ki az L2TP tunnelt az LNS-hez. (Az LNS a privát hálózatban van.) • 3. lépés: Létrejön a virtuális PPP link a kliens és az LNS között (protokoll egyeztetés, privát IP cím kiosztás). • A távoli kliensen megvalósul az L2TP ill. a LAC (L2TP Access Concentrator). • A tunnel transzparens az ISP-re és az internet hozzáférési módszerre. • A kliens globális routolható IP címmel (is) rendelkezik, ami közvetlen internet hozzáférést biztosít, a kliens több IP címmel is rendelkezhet (lokális címe is van). Dr. Beinschróth József: Távközlési informatika II.

Az L2TP (szoftveresen kialakított VPN) lehet önkéntes használatú (2)




A tunnel létrehozása után a magánhálózatban privát IP címek használatosak a tunnel „másik végén” is. Az LNS-nek a tunnel típusától függetlenül globális IP címmel kell rendelkeznie. A Voluntary tunnel perspektivikusabb, mivel független az ISP-től. 39



Az L2TP (szoftveresen kialakított VPN) lehet kötelező használatú (1)




• Kialakítás: • 1. lépés: A távoli kliens kapcsolódik távoli ISPhez (a saját LNS-ét ismeri) • 2. lépés: Az ISP inicializálja az L2TP tunnelt Compulsory • 3. lépés: A távoli kliens PPP csomagokat küld a (kötelező - a LAC-hoz, amely L2TP-be beágyazza azokat és a távoli tunnel-en továbbítja az LNS-hez kliensnek közvetlen • Az ISP valósítja meg LAC (L2TP Access internet Concentrator) funkciót. hozzáférése • A távoli klienseknél nincs szükség L2TP funkcióra nincs) • A távoli kliens nem rendelkezik a távoli szolgáltató által adott globális IP címmel. (Csak egy session kiépítése lehetséges az LNS-hez, a kliensnek nincs közvetlen internet hozzáférési lehetősége.)

40



Az L2TP (szoftveresen kialakított VPN) lehet kötelező használatú (2)




A tunnel létrehozása után a magánhálózatban privát IP címek használatosak a tunnel „másik végén” is. Az LNS-nek a tunnel típusától függetlenül globális IP címmel kell rendelkeznie.

41



Az internethez való kapcsolódás önmagában kockázatot jelent

A szervezetek hálózatait az internet irányából számos fenyegetés éri.

Lehetséges megoldási koncepciók

 (Nem veszünk tudomást az internetről, nem kapcsolódunk hozzá.)

 A vállalat két egymástól teljesen független hálózattal rendelkezik és az egyik nem kapcsolódik az internethez. A két hálózat közötti adatcsere (adathordozón) szabályzatok által tiltott (banki, védelmi szféra).

 Határfelületi védelem: A vállalati hálózat és az internet között ill. az összekapcsolt hálózatok között jól definiált felületet határozunk meg és az ezen áthaladó forgalmat szigorúan kontrolláljuk. A felületen kívüli adatforgalmat tiltjuk ill. megakadályozzuk.

Védjük a határfelületet 42

A határfelület védelmének szükségessége


A határfelület tipikus kialakítása:DMZ (1)

DMZ (Demilitarized Zone): fegyvermentes (szabad) övezet

43

DMZ

• A határfelületen a forgalom korlátozásának kialakítása során egymásnak ellentmondó szempontok jelentkeznek. • Ha egy cég saját SMTP, HTTP és egyéb kiszolgálókat üzemeltet, mindig felmerül az a kérdés, hogy hova tegye a kiszolgálókat • A DMZ egy olyan hálózati szegmens, ami az internet felől védett, de nem a belső hálózaton van, hanem egy harmadik alhálózat • A DMZ a benne elhelyezkedő hálózati eszközökhöz és erőforrásokhoz mind a megbízott belső, mind a megbízhatatlan külső területről engedélyezi a hozzáférést, de megakadályozza, hogy a külső területről bármilyen kérés vagy hozzáférési kísérlet eljusson a belső hálózatra. Dr. Beinschróth József: Távközlési informatika II.

A határfelület tipikus kialakítása: DMZ (2)

Gép1 Proxy Gép2

Tűzfal Gép3 Gép4

44

DMZ

internet

Tűzfal DMZ

A gyakorlatban a DMZ nem két tűzfal között, hanem meghatározott szegmensként valósul meg.


A határfelületeken védelemre van szükség: Tartalomszűrés

A munkavégzéshez nem kapcsolódó tartalmak tiltottak

45

Tartalomszűrés

• A tartalomszűrés célja: • A munkaidőben végzett magáncélú tevékenység csökkentése. • Az erőforrások túlterhelésének megakadályozása • Kulcsszó szerinti keresés • Meghatározott tiltólistán szereplő szavak közötti összefüggések keresése • Képtartalom szerinti keresés • Ruha nélküli testfelületek aránya a képben • URL szűrés • Folyamatosan frissített adatbázis, amely web oldalakat és hozzájuk rendelt kategóriákat tartalmaz (többnyire a tartalomszűrő gyártója tartja karban) • A vállalat policy-jának megfelelően az egyes kategóriák tiltottak ill. meg-engedettek (tiltott web site lekérésekor a felhasználó a kért web oldal helyett figyelmeztető üzenetet kap) • Feketelista – Fehér lista Dr. Beinschróth József: Távközlési informatika II.

A határfelületeken védelemre van szükség: Vírusvédelem • Antivírus szoftverek • A vírus detektálható a rendszerbe való bekerülés előtt, a működés megkezdése előtt és működés közben. • Antivírus programok (SymantecNAV, MCAfee, F-PROT, stb): • Fertőzés megelőző (rezidens program a Vírusok memóriában) detektálása és • Fertőzés feltáró/azonosító (jelzi a fertőzés elhárítása tényét esetleg eltávolítja a vírust) • Online és offline működés (Az offline az adatbázis frissítése után fontos, ui. ekkor detektálhatók a régi változtat mellett esetlegesen bejutó vírusok.) • Nem eltávolítható vírussal fertőzött fájlok: karantén. 46

Vírusvédelem


A határfelületeken védelemre van szükség: Spamszűrés

A SPAM korlátozása

47

SPAM szűrés

• Kéretlen levél, levélszemét • Túlterhelés, erőforrások indokolatlan lekötése • Munkaidő pazarlása • SPAM szűrő alkalmazások


A határfelületeken védelemre van szükség: Tűzfal

Naplózás és korlátozás

48

Tűzfal

• Célja annak biztosítása, hogy a hálózatra ill. azon keresztül ne történhessen illetéktelen behatolás, illetve a határfelületen keresztül áramló forgalmat megszűrje. • A hálózatba belépő és onnan kilépő forgalmat naplózza és korlátozza. A forgalom korlátozás bizonyos, a tűzfalon előzetesen beállított szabályrendszer alapján történik. • A szabályrendszer alapján dől el, hogy lehetséges a továbbítás ill., hogy milyen intézkedésre van szükség (pl. csomag eldobás). • A router és a tűzfal funkció általában integrálható • Általános csoportosítás • Külső: a teljes helyi hálózatot részben elválasztja az internettől. • Belső: helyi hálózatnak egy különösen védendő részét zárja el annak többi részétől, így az internettől is. • Személyes: egy adott számítógépre elhelyezett szolgáltatás.


Miért van szükség tűzfalra?

• Az internetre kapcsolódó gépek védtelenek a nekik címzett Probléma csomagok ellen, elfogadásukhoz nem végeznek vizsgálatokat.

• A forgalmat a hálózat határfelületén kontrolláljuk Megoldás

49

Tűzfal


A határfelületi védelem központi eleme a tűzfal – többféle változata létezik SOCKS (SOCKet Secure)

A hálózati ill. szállítási rétegben működnek

Csomagszűrő tűzfal

Dinamikus csomagvizsgáló tűzfal

Socks tűzfal

Bastion host

Proxy tűzfal

Transzparens proxy

Az alkalmazási rétegben működnek

50

Tűzfal

Nem rendelhető réteghez

Moduláris proxy


Csomagszűrő tűzfal: Az IP headerek alapján hoz döntést



Socks tűzfal

Bastion host

Proxy tűzfal

Transzparens proxy

Moduláris proxy

Egyszerű, hagyományos megoldás

51

Tűzfal

• Az IP csomagokat megvizsgálja és a szabályoknak megfelelően átengedi vagy eldobja azokat. • Minden kimenő és bejövő csomag külön ellenőrzésre kerül. • Az IP header minden mezője külön ellenőrzésre kerül, de a magasabb rétegekhez tartozó információt nem vizsgálja • Megbízható címtartományok gépeivel engedélyezi a kommunikációt • A hamisított címek kiszűrésre kerülnek. • A funkció a router funkcióval könnyen integrálható gyakran nevezik csomagszűrő routernek is. • Jellemzően a hálózati rétegben működik (de pl. a port számokat is figyelembe veszi). Dr. Beinschróth József: Távközlési informatika II.



Socks tűzfal

Bastion host

Proxy tűzfal

Transzparens proxy

Mit vizsgál a csomagszűrő a headerben?

Moduláris proxy

? 52

Tűzfal

• Forrás és cél IP cím • Nem létező belső címről kifelé haladó csomag – eldobás • Nem megengedett IP címről beérkező csomag eldobás • Forrás és cél port szám (TCP ill. UDP esetén) • Nem a 80-as portra beérkező csomag - eldobás • Forrás és cél típus (ICMP esetén) • A csomagot érkeztető hálózati interface • A forgalom iránya (kimenő, bejövő • Egyéb protokollspecifikus információk


Tisztán csomagszűrő tűzfalat a gyakorlatban ma már nem használnak



Socks tűzfal

Bastion host

Proxy tűzfal

Transzparens proxy

Moduláris proxy

A csomagszűrő jellemzői

53

Tűzfal

• A csomag eldobásáról vagy megtartásáról szóló döntést kizárólag az adott csomagban szereplő információ alapján hozza meg, nem vizsgálja pl., hogy hol helyezkedik el a csomag az adatfolyamban, csak a csomag fejléce kerül vizsgálatra, a tartalma nem. • Közvetlen kapcsolat valósul meg egy külső és a védett belső gép között. • Gyors: nem szükséges felépíteni egy teljes protokollt, azt értelmezni és új csomagokat generálni. • Támogatott a NAT (Network Adress Translation) és a PAT (Port Adress Translation), amelyekkel a belső IP címek és portok a külső hálózat számára láthatatlanná tehetők. • Viszonylag egyszerű eszközökkel megkerülhető, kijátszható a védelem (bizonyos szolgáltatások számára fenntartott portokat, más szolgáltatások is használhatnak; léteznek nyitott portokat kereső alkalmazások (port scan)). • Viszonylag bonyolult konfiguráció, szabályok kimaradhatnak. • Bonyolult igények kielégítésére nem alkalmasak..

+ -


A dinamikus csomagvizsgáló tűzfal összetettebb vizsgálatokat végez (1)



Socks tűzfal

Bastion host

Proxy tűzfal

Transzparens proxy

Moduláris proxy

A dinamikus csomagvizsgáló tűzfal állapotokat is vizsgál

54

Tűzfal

• Probléma: Nem mindig adható meg a megbízható IP címtartomány. (pl. Web áruház) • Pl. a csomagszűrő tűzfal kizárólag megbízható címtartományok hostjaival engedélyezi a kommunikációt – e-kereskedelem esetén pl. ez nem elégséges megoldás: szükséges ismeretlen hostokkal történő kapcsolat felépítés is. • Dinamikus csomagvizsgáló tűzfal nemcsak egy meghatározott csomagot vizsgál, hanem a csomag állapotát is: azonosítja a kapcsolatok kezdetét és befejeződését, számon tartja a létező hálózati kapcsolatokat, a kimenő adatkérelmeket, hogy hol helyezkedik el a csomag az adatfolyamban stb. • Ezek alapján ki tudja szűrni a kapcsolatokba nem illő csomagokat • A csomagokat átmenetileg tárolja: addig, amíg a döntést képes meghozni • Kapcsolatorientált protokollok esetén (TCP) képes a csomagszűrő tűzfalnál többet nyújtani – pl. az adatokat tartalmazó csomag előtt kellett érkeznie olyan csomagnak, amely a kapcsolat kiépülésében játszik szerepet pl. egy ftp csomag akkor továbbítódik, ha korábban már felépült egy ftp kapcsolat. Dr. Beinschróth József: Távközlési informatika II.

A dinamikus csomagvizsgáló tűzfal összetettebb vizsgálatokat végez (2)



Socks tűzfal

Bastion host

Proxy tűzfal

Transzparens proxy

Moduláris proxy

A dinamikus csomagvizsgáló tűzfal erőforrás igényesebb

55

Tűzfal

• Bizonyos kapcsolattípusokat képesek hitelesítő szolgáltatásokhoz átirányítani • Meghatározott típusú csomagokat képesek kiszűrni (pl. futtatható attachementet tartalmazó levelek) • A naplózás, az ellenőrzés és elemzés nagyon lelassíthatja a hálózati kapcsolatot (különösen, ha egyidőben sok kapcsolat van és sok, bonyolult szabály él) • Csak a csomagok fejléce kerül vizsgálatra, a tartalma nem, a döntés a fejlécek alapján történik meg • Közvetlen kapcsolat valósul meg egy külső és a védett belső gép között • Viszonylag bonyolult konfiguráció, szabályok kimaradhatnak Dr. Beinschróth József: Távközlési informatika II.

A Socks átmenet a hálózati szintű és az alkalmazás szintű szűrés között (1)



Socks tűzfal

Bastion host

Proxy tűzfal

Transzparens proxy

Moduláris proxy

A csomagszűrő és a Bastion Host típusú tűzfalak között helyezkedik el (több, mint a csomagszűrő, de nem alkalmazás szinten működik) A kliens gépre telepítésre kerül egy program modul, ami minden hálózati kapcsolat kezelését átveszi az eredeti operációs rendszertől Amikor egy program kapcsolódni akar egy szerverhez, akkor a kapcsolódási kérését a modul kezeli, és a program helyett kapcsolódik az előre beállított SOCKS proxyhoz, majd megadja a proxynak, hogy milyen címre szeretne kapcsolódni Ezek után a proxy kapcsolódik a kliens program által kijelölt távoli szerverhez

A kapcsolat kiépülése után az adatforgalmat a kliens program a modul segítségével a SOCKS proxy-n keresztül a végzi.

56

Tűzfal


A Socks átmenet a hálózati szintű és az alkalmazás szintű szűrés között (2) A legális kapcsolatokhoz tartozó adatok a Socks proxy-n egy táblázatban vannak nyilvántartva. A táblázat tartalma:



Socks tűzfal

Bastion host

Proxy tűzfal

Transzparens proxy

Moduláris proxy

•a forrás és a cél IP cím,a fizikai interfészekre vonatkozó adatok •egyedi kapcsolat-azonosító, kapcsolat állapot információk Csak azok a csomagok jutnak át a tűzfalon, amelyekhez tartozik érvényes kapcsolati bejegyzés a táblázatban. Így tkp. hálózati szintű ellenőrzés valósul meg. Ha a kapcsolat lezárul, akkor a tűzfal törli a kapcsolathoz tartozó bejegyzést a táblázatból Nem nevezhető csomagszűrőnek, mivel csomagok nem közvetlenül a kliens és a szerver között közlekednek

Nem tekinthetőek alkalmazásszintű tűzfalnak sem mivel a forgalom nem alkalmazási szinten kerül szűrésre, hanem csak hálózati szinten Nem elterjedt megoldás (túlhaladott)

57

Tűzfal


Bastion Host: Nem igazi tűzfal, a felhasználónak be kell rá jelentkeznie



Socks tűzfal

Bastion host

Proxy tűzfal

Transzparens proxy

• A csomagszűrő tűzfalaktól elérő filozófiát követ, nem végez szűrést, de hálózati határvédelmi eszköz – a külső és a belső hálózat határfelületén helyezkedik el. • A Bastion Host olyan szerver gép, amely több felhasználó párhuzamos távoli hozzáférését támogatja – mind a belső, mind a külső hálózat felé direkt kapcsolattal rendelkezik. • A Bastion Host másik (külső) oldalán elérhető szolgáltatás igénybe vételéhez a felhasználónak először be kell jelentkeznie a Bastion Hostra és itt el kell indítania egy az illető szolgáltatás igénybe vételéhez szükséges programot. • A Bastion Host kizárólag azon felhasználók által küldött csomagokat továbbítja, akik előzőleg már bejelentkeztek rá. • A Bastion Hostra történő bejelentkezés után megszűnik a kommunikáló felek közötti közvetlen csomagkapcsolat • A kapcsolatnak két fázisa van • Host1 - Bastion Host, • Bastion Host - Host2 (a Bastion Host közvetít) • Fő funkciója nem a szűrés, hanem a hitelesítés • Sok konkurens kapcsolat esetén erőforrás probléma jelentkezhet Moduláris proxy

Történelmi kategória: bástya a határfelületen

58

Tűzfal




Socks tűzfal

Bastion host

Proxy tűzfal

Transzparens proxy

A proxy tűzfal alkalmazás szinten működik

Moduláris proxy

Proxy: megbízott (helyettes)

59

Tűzfal

• Megbízott: az összes gép nevében a proxy jár el (pl. a routerrel integrált csomagszűrő tűzfal csak a proxy-tól fogad el csomagokat, a proxy viszont alkalmazás szinten elvégzi a szűrést). • A proxy egyik hálózati interfészével a külső hálózathoz kapcsolódik, a másikkal pedig a belső hálózatban található kliensekhez. • Nincs közvetlen párbeszéd a proxy által összekapcsolt hálózatok A proxy tűzfalak nem csupán a csomagok fejlécét vizsgálták, hanem azok adatrészébe is belenéznek (alkalmazás szint: bizonyos protokollelemeket vizsgálnak). • A kapcsolat kettősségéből (hálózati és alkalmazási réteg) kifolyólag a proxy tűzfalak minden különösebb beállítás nélkül képesek kivédeni a csomagszintű támadásokat (pl. a csomagok elfogadása csak meghatározott IP címekről lehetséges).




Socks tűzfal

Bastion host

Proxy tűzfal

Transzparens proxy

A proxy tűzfal protokoll elemeket is vizsgál

• A kliensek, és a kiszolgálók között nem épül fel közvetlen kapcsolat, hanem mindketten a tűzfalon futó proxy alkalmazással kommunikálnak. • Lépések: • A proxy szerver fogadja a belső hálózat felől érkező kéréseket. • A szerver megvizsgálja, hogy a kapcsolat nincs-e tiltva, illetve azt, hogy a csomagok megfelelnek-e a protokoll szabványnak. • Ha mindent rendben talál, akkor a proxy szerver kapcsolódik a proxy klienshez. A proxy kliens ezek után felépíti a tényleges kapcsolatot a kért számítógéppel. • A visszafelé irányuló forgalom hasonló módon történik, a külső számítógép felveszi a kapcsolatot a proxy kliensével, ellenőrzés után a kliens továbbítja a kérést a proxy szervernek, a szerver pedig felveszi a kapcsolatot a belső hálózaton lévő számítógéppel. Moduláris proxy

A proxy csak meghatározott alkalmazásokhoz tartozó forgalmat enged át

60

Tűzfal




Socks tűzfal

Bastion host

Proxy tűzfal

Transzparens proxy

A proxy tűzfal protokoll elemeket is vizsgál

Moduláris proxy

A proxy bevárja azokat a csomagokat, amelyek egy adott protokollelemhez tartoznak

61

Tűzfal

• A proxy bevárja az összes olyan IP csomagot, amely alkalmazói szinten összetartozó protokollelemhez tartoznak, ezután valósul meg a szűrés funkció • Jelentős erőforrás igény lép fel (a részletes vizsgálatok és a store and forward működés miatt) • Minden alkalmazáshoz külön proxy-ra van szükség, ezért ennek a módszernek a használata esetén rendelkezni kell az összes használni kívánt alkalmazásnak megfelelő proxy-val. • Ha nincs telepítve egy meghatározott alkalmazáshoz tartozó alkalmazás proxy, akkor az adott alkalmazást a rendszer egésze nem fogja támogatni. • Az alkalmazás feltétele, hogy a használni kívánt protokollnak támogatnia kell a proxy-s működést.


A proxy tűzfal tipikusan átmenetileg tárolja a vizsgált tartalmakat



Socks tűzfal

Bastion host

Proxy tűzfal

Transzparens proxy

Moduláris proxy

A proxy cache felhasználása: gyorsítás

62

Tűzfal

• A proxy-k általában cache-elnek is (cache proxy – proxy cache) • Az áthaladó információ egy ideig tárolódik, újra letöltés esetén a kliens az eltárolt változatot kapja • Jelentős erőforrás megtakarítást eredményez – ami a proxy cacheben megtalálható, azt nem szükséges újra letölteni




Socks tűzfal

Bastion host

Proxy tűzfal

Transzparens proxy

A proxy tűzfal nem megkerülhető

Moduláris proxy

Gép1

Proxy tűzfal

Proxy Gép2

Tűzfal

Internet

Gép3

63

Tűzfal




Socks tűzfal

Bastion host

Proxy tűzfal

Transzparens proxy

Példa: proxy beállítása kliensen (1)

Moduláris proxy

64

Tűzfal




Socks tűzfal

Bastion host

Proxy tűzfal

Transzparens proxy

Példa: proxy beállítása kliensen (2)

Moduláris proxy

Börtsök András: Integrált spam, vírus, phising és hálózati védelem az elektronikus levelezésben http://videotorium.hu/hu/recordings/details/2825,Integralt_spam_virus_phising_es_ halozati_vedelem_az_elektronikus_levelezesben 65

Tűzfal


A transzparens proxy a proxy tűzfal egy változata



Socks tűzfal

Bastion host

Proxy tűzfal

Transzparens proxy

• Proxy tűzfal esetén minden Proxy tűzfal gépen be kell állítani a proxy elérését - a túl sok és gyorsan változó gép ill. konfiguráció miatt ez problematikus. • Megoldás: Hagyományos tűzfal elhelyezése a határfelületen, amelyen elhelyezkedéséből adódóan minden forgalom áthalad. • A csomagok nem jutnak át azonnal a tűzfalon, hanem a tűzfal a csomagokat "elkapja", és a proxy-hoz továbbítja. • Az átirányított forgalmat a proxy fogadja, és a nem transzparens proxy-k működéshez hasonlóan kezeli őket, majd visszaadja a hagyományos tűzfalnak. • A klienseken ez esetben semmilyen proxy beállítást nem kell tenni. • A transzparens proxy kiemelten támaszkodik az alacsonyabb szintű csomagszűrőre. • A hálózat adminisztrációja egyszerűbb és áttekinthetőbb. Moduláris proxy

Az adminisztráció egyszerűbb

66

Tűzfal


A transzparens proxy a hagyományos tűzfalhoz kapcsolódik, a hostok számára nem is látható



Socks tűzfal

Bastion host

Proxy tűzfal

Transzparens proxy

Moduláris proxy

Gép1

Transzparens proxy

Proxy

Gép2 Tűzfal

Internet

Gép3

67

Tűzfal


A moduláris proxy a transzparens proxy egy változata



Socks tűzfal

Bastion host

Proxy tűzfal

Transzparens proxy

• Képes az átmenő adatfolyam alkalmazásszintű szűrésére, csomagszűrő kiegészítőt tartalmaznak, valamint transzparensek a kliens számára • Különbség a transzparens proxy-hoz képest: • A transzparens tűzfalak minden protokoll értelmezésére, elemzésére különálló tűzfal komponenssel rendelkeznek, amelyek nem képesek együttműködésre • Sok esetben azonban bizonyos funkciókat mindegyik komponens megvalósít (kapcsolat fogadása, kapcsolódás a szerverhez, stb.) • A moduláris proxy részei, moduljai képesek együttműködni, valamint a különböző feladatok ellátását más-más modul végzi, csökkentve ezzel a felesleges redundanciát • A moduláris tűzfal bizonyos proxy moduljai fel vannak készítve arra, hogy a rajtuk átmenő forgalom egy részét képesek legyenek egy másik proxynak további elemzésre átadni, azaz más elemző proxy modult a bevonni, beágyazni a forgalom elemzésébe Moduláris proxy

Funkcionalitás tekintetében megegyezik a transzparens proxy-val

68

Tűzfal


A mély protokoll elemzés speciális tűzfal funkció (proxy-k rendelkezhetnek ezzel a funkcionalitással)

A protokollok betartását alapesetben egy hálózati eszköz sem ellenőrzi!

69

• A protokollok be nem tartása lehetőséget ad a rosszindulatú támadásra (pl. sok hálózati eszközben és alkalmazásban vannak olyan biztonsági rések, amiket, a protokollt sértő metódusokkal ki lehet játszani) • Amennyiben a proxy alkalmazás a teljes szabványt megvalósítja, tehát ismeri az összes utasítást és attribútumot, egyfajta hálózati rendészként minden szabványt sértő kommunikációs próbálkozást megtagadhat • A mély protokollelemzés segítségével a tűzfal „élesebben lát”: a hálózati kommunikációban jóval részletesebben tud eseményeket megkülönböztetni egymástól, aminek következtében a reakciója is kifinomultabb lehet • Példa: web – get ill. header oldal ill. fejléc lekérés, megjön, amit kértük, ezután a kapcsolat normális esetben lezárul, de mi van, ha még jön valami ami egy security rést akar kihasználni – alapesetben ezt senki sem nézi. • Content vectoring – tartalomelemzés: tipikusan vírusellenőrzésre esetleg kulcsszavak ellenőrzésére használják. A tartalomelemzés tipikusan a moduláris tűzfalak sajátja. Önálló modulként épülnek be az architektúrába, így képesek valamennyi proxy-val együttműködni.

Mély protokollelemzés


Ellenőrző kérdések (1) 1. Mi a különbség az AH és az ESP között? 2. Mi a különbség a transport és a tunnel mód között?

3. Mi a VPN? 4. Mit jelent az utazó ügynök problémája? 5. Milyen összetevői vannak a határfelületi védelemnek? 6. Mi a DMZ? 7. Milyen tűzfal típusokat ismer? 8. Mi a mély protokollelemzés?

+1: Írjon még öt ellenőrző kérdést 70


Moduláris proxy

Transzpa-rens proxy

Proxy tűzfal

Bastion host

Socks tűzfal



Teszt feladatlap (1)

Az IP header minden mezője külön ellenőrzésre kerül, de a magasabb rétegekhez tartozó információ nem vizsgált A csomagok állapotát is vizsgálja Nem csomagszűrő, de nem is alkalmazás szintű tűzfal A felhasználónak a szolgáltatás igénybe vételéhez a felhasználónak először be kell jelentkeznie az eszközön Bevárja az összes olyan IP csomagot, amelyek alkalmazói szinten összetartozó protokollelemet hordoznak, ezután valósul meg a szűrés funkció Csak bizonyos alkalmazáshoz tartozó forgalmat enged át. Ismeri és ellenőrzi az alkalmazás az összes utasítást és attribútumaikat 71


Moduláris proxy

Transzpa-rens proxy

Proxy tűzfal

Bastion host

Socks tűzfal




A külső és a belső hálózat határfelületén helyezkedik el A klienseken hálózati kapcsolatok kezelését nem az operációs rendszer végzi, hanem egy spec. program modul

Fő funkciója nem a szűrés, hanem a hitelesítés A szűréseket alkalmazásonként elkülönült szoftver egység végzi Csak a csomag fejléce kerül vizsgálatra, a tartalma nem Alkalmazás szintű szűrést valósít meg, a modulok egymás között együttműködésre képesek Alkalmazás szintű szűrés valósul meg, úgy, hogy a klienseken nincs szükség ehhez beállításokra Lehetőség van az áthaladó forgalom naplózására

72


Moduláris proxy

Transzpa-rens proxy

Proxy tűzfal

Bastion host

Socks tűzfal




A leggyorsabb tűzfal megoldás Közvetlen kapcsolat valósul meg egy külső és a védett belső gép között Tartalom cache-elési lehetőséget biztosít A klienseken az egyes alkalmazásokhoz kapcsolódóan kell beállításokat tenni

+1: Írjon még öt teszt kérdést

73


Távközlési informatika II

Recommend Documents