Tűzfal megoldások ComNETWORX nap, 2001. I. 30. ComNETWORX Rt.
N W
N W
Magamról Hochenburger Róbert MCNI / MCNE
MCNI = Master CNI MCNE = Master CNE CNI = Certified Novell Instructor CNE = Certified Novell Engineer
e-mail:
[email protected]
N W
Afféle napirend miről lesz szó a következő órában?
tűzfalak és -típusok címtárral integrált tűzfal VPN (Virtual Private Network) Novell BorderManager Enterprise Edition
N W
Tűzfalak
intranet
N W
Tűzfalak ftp
intranet
www
DMZ
DMZ = demilitarizált zóna
N W
Tűzfal típusok NAT csomagszűrő proxy
N W
NAT Network Address Translation RFC1631 használata esetén az intraneten tipikusan nem regisztrált IP címeket használnak RFC1918 A osztály: 10.0.0.0 B osztály: 172.16.0.0 – 172.31.0.0 C osztály: 192.168.0.0 – 192.168.255.0
N W
NAT fajtái:
statikus
az intranet szolgáltatást (ftp, www, ...) nyújtó gépeinek számára
dinamikus
az intranet szolgáltatást nem nyújtó gépeinek számára
statikus és dinamikus
N W
NAT működése:
e gépek saját IP címükkel forgalmaznak
amely címek tehát tipikusan nem regisztráltak
a tűzfal ezen IP címet publikus (azaz az Internet felőli) portjának (egyik) IP címével helyettesíti, és így továbbítja az Internetre e cím természetesen regisztrált
a túloldali host
a tűzfal ezen publikus IP címére válaszol "azt hiszi", hogy szolgáltatásait maga a tűzfal használja
N W
NAT előnyök:
kevesebb regisztrált IP cím szükséges a belső IP címek el vannak rejtve az Internet elől viszonylag egyszerű elég gyors transzparens a felhasználók számára
hátrány:
közvetlen kapcsolat jön létre a tűzfalon keresztül
N W
NAT
N W
NAT
N W
NAT
N W
Csomagszűrés packet filter (screening router) a szűrés kritériuma: az IP csomag fejléce IP cím, portszám, ACK bit
a NAT-tal kombinálható Novell platformon:
IPFLT.NLM és FILTCFG.NLM
NetWare 4.11-től az op. rendszer tartalmazza
N W
Csomagszűrés speciális szolgáltatások ACK bit szűrés
az adott irányban csak azokat a csomagokat engedi át, amelyekben az ACK bit be van billentve meggátolja, hogy TCP kapcsolatot az Internetről kezdeményezzenek elrejti az intranet szolgáltatásait: megakadályozza, hogy az Internetről "port scan" segítségével felderítsék őket
stateful szűrés
az IP header alapján ideiglenes szűrőket hoz létre megkönnyíti a szűrők kialakítását
N W
Csomagszűrés előnyök:
egyszerű nagyon gyors transzparens a felhasználók számára
hátrányok:
közvetlen kapcsolat jön létre a tűzfalon keresztül felhasználónév nem lehet a szűrés kritériuma
N W
Proxy az ISO modell felső szintjein dolgozik ezért működése viszonylag lassú
nem szükséges az IP routing a tűzfal privát és publikus portja között legyen mindazonáltal lehetséges: ez esetben NAT-tal lehet kombinálni célszerű csomagszűréssel kombinálni
az intranet és az Internet között a csomagok továbbítását alkalmazás (t.i. a proxy) végzi az intranetes gépek totális védelmét biztosítja minden betörési kísérlet csak a proxyig jut el
N W
Proxy két fajtája van proxy
az intranetes felhasználók számára teszi lehetővé az Internetes erőforrások használatát a letöltött adatokat cache-eli, ami az Internet kapcsolat forgalmát és az intranetes felhasználók által megélt válaszidőket csökkenti
reverse proxy (web server accelerator)
az Internetes felhasználók számára teszi lehetővé az intranetes erőforrások használatát a letöltött adatokat cache-eli, ami az Internetes felhasználók által megélt válaszidőket csökkenti
N W
Proxy minden protokollnak (http, ftp, nntp, telnet, smtp, ...) van (pontosabban: lehet) saját proxyja
ezen alkalmazás-proxyk egymástól függetlenül engedélyezhetőek és konfigurálhatóak
transparent proxy
szokásos szolgáltatás milyen értelemben transzparens? hát a felhasználók számára a kliensek konfigurálását egyszerűsíti
N W
VPN Virtual Private Network
biztonságos (érdemben le nem hallgatható) adatkommunikáció nem biztonságos csatornán (pl. az Interneten) keresztül kriptográfiai megoldások felhasználásával
VPN "alagút" (tunnel) létrejöhet
VPN szerverek VPN szerver és VPN kliens között
N W
VPN VPN kliens (közvetlen kapcsolat)
"mezei" kliens
VPN kliens (az Interneten keresztül)
tunnel
intranet
DMZ Internet
"mezei" szerver
biztonságos csatorna a routereket az egyszerűség kedvéért nem tüntettem fel
N W
VPN Internet
"mezei" kliens
"mezei" kliens
tunnel intranet
intranet
"mezei" szerver
"mezei" szerver
biztonságos csatorna a routereket az egyszerűség kedvéért nem tüntettem fel
N W
Címtárral integrált tűzfal címtárunk amúgy is van — miért is tárolnánk a proxyn való átjutás (azaz az Internet használata) jogosultságokat szeparált adatbázisban? e jogosultságokat az NDS felhasználóihoz kötjük
az NDS-ben megszokott módon általában nem közvetlenül, hanem konténereknél (vagy esetleg csoportoknál) fogva öröklődés (inheritance)
N W
BorderManager Novell BorderManager Enterprise Edition
2001. január 22. óta aktuális verziószáma: 3.6
szolgáltatásai: tűzfal
proxy
autentikáció
RADIUS integráció a RAS szolgáltatás NDS-be integrálása
VPN (Virtual Private Network) caching reverse proxy
N W
BorderManager RADIUS
RADIUS over UDP
PAP / CHAP
N W
BorderManager
N W
BorderManager access rules access rules (hozzáférési szabályok)
a kért műveletet (pl. egy web lap letöltése) engedélyezik vagy tiltják az NDS-ben tárolódnak
az alábbiakat foglalhatják magukba:
port (http, ftp, ...) időtartomány source (aki a pl. letöltést kezdeményezi) destination (amit pl. le kell tölteni)
N W
BorderManager access rules a destination kapcsán pl. az alábbiakat lehet felhasználni: URL IP cím DNS név newsgroup alkalmazás (pl. a CyberPatrol)
a source kapcsán pl. az alábbiakat lehet felhasználni: NDS object DNS név IP cím
N W
BorderManager access rules
N W
BorderManager access rules
N W
BorderManager NDS autentikáció
opcionális pl. web lap lekéréséhez fajtái:
explicit: html vagy Java lappal; SSL alapú implicit: transzparens a felhasználó számára; feltétel: az NDS-be bejelentkezve kell lennie
naplózás
common log — szöveges fájl extended log — szöveges fájl indexed log — bináris fájl
N W
További információk http://www.novell.com/products/ bordermanager szórólap white paper sajtóhírek cikkek
N W
Itt a vége ... kérdések? köszönöm a figyelmet!
