Tőzfalak. Kerekes Dávid Kerekes Dávid - BCE

Tőzfalak

Kerekes Dávid Kerekes Dávid - BCE - 2007

Veszélyek az Interneten (1) Minden az Internetre kapcsolódó gép ki van téve különbözı támadási lehetıségeknek: 1.

2.

3.

4.

5.

6.

Távoli hozzáférés (valaki, aki képes ártó szándékkal hozzáférni egy számítógéphez, és ott jogosulatlanul tevékenykedni pl.: fájlokat megnyitni vagy futtatni) Operációs rendszerek és különféle programok biztonsági rései és hátsó ajtói (és az ezeket kihasználó programok) Spam (valaki hozzáfér egy levelezési listához és kéretlen (többnyire ártalmatlan de idegesítı) leveleket küld ezekre a címekre) DOS és DDOS (Denial of Service és Distributed Denial of Service) (szerverek megbénítása: több ezer fertızött gép (bot-okkal fertızött zombi gépek→ botnet) egyszerre akar letölteni egy oldalt) Spyware programok (személyes adatok pl.: jelszavak megszerzése, billentyőzet leütést figyelı programok) E-mail bomba (ugyanazt az e-mailt több ezer példányban küldik el egy címre (harmadik félen keresztül), hogy a címzett ne tudjon fogadni újabbakat) Kerekes Dávid - BCE - 2007

Veszélyek az Interneten (2) Károkozó (malware) programok lehetnek:














E-mail vírusok (egy levél csatolmányaként terjedı vírus, emberi „segítség” kell a terjedéséhez) Makró vírusok (táblázatok, adatbázisok részeiként ártalmas kódot tartalmazó programok) Scriptek (weblapokhoz írt kliens oldali (VBS és JavaScript) programok, ActiveX vezérlık) Trójai programok (önmagukat hasznos programként feltüntetı károkozók) Férgek (worms) (emberi beavatkozás nélkül terjedı és önmagukat másoló programok pl.: egy személy e-mail címlistájának minden egyes elemére továbbküldi magát → exponenciális terjedés)

Kerekes Dávid - BCE - 2007 (http://www.webopedia.com/DidYouKnow/Internet/2004/virus.asp)

Malware programok

Kerekes Dávid - BCE - 2007 (http://www.livinginternet.com/i/is_vir.htm)

Veszélyek az Interneten (3) „Az elmúlt tizenkét hónap során számos rekord megdılt az informatikai biztonság világában. A McAfee jóval 100 000 feletti számban regisztrált új vírusokat, amely 50 százalékos növekedést jelent az összes valaha regisztrált fenyegetés számában.” „A felmérések szerint a világon napjainkban mintegy 100 millió zombigép van, amelyeknek a száma naponta 200 ezerrel nı.” „A mobil eszközöket támadó vírusok száma 2004 és 2006 között félévente megkétszerezıdött, így látszik, hogy a hackerek új célpontjai egyre inkább ezek lesznek.” „Az elmúlt idıszakban megváltozott a hackerek és a csalók magatartása is: míg korábban egy-egy internetes támadás indítója büszke volt tevékenységére és örült a nagy hírverésnek, a mostani, anyagi haszonszerzésre törekvık már abban érdekeltek, hogy minél rejtettebb módon dolgozhassanak. Ha ugyanis kevesebb hír jelenik meg a támadásokról, a felhasználók is kevésbé törekednek a biztonságos megoldásokra.”

(http://www.sg.hu/cikkek/56470/mcafee_a_tiz_legfenyegetobb_biztonsagi_kockazat http://www.sg.hu/cikkek/54776/egyre_tobb_internetes_tamadas_eri_a_felhasznalokat Kerekes Dávid - BCE - 2007 http://www.sg.hu/cikkek/54548/a_cegek_87_szazalekanak_nem_megfelelo_a_vedelme)

Példa egy (elterjedt) trójaira Trojan-Downloader.Zlob.Media-Codec (a Sunbelt cég CounterSpy tőzfalának 2007 júliusi adatbázisa szerinti legelterjedtebb kémprogram): Bizonyos felnıtt tartalmakat kínáló honlapokon lévı videók lejátszásához szükséges Windows Media Player bıvítményként tünteti fel magát, valójában viszont további (biztonsági szoftvereknek álcázott) káros alkalmazásokat és kémprogramokat (SpywareQuake, SpyFalcon, WinAntivirusPro) tölt le és telepít a felhasználó számítógépére, amik késıbb újabb és újabb károkozók letöltéséhez vezetnek. Ezek közül a WinAntivirusPro egy komplett „biztonsági csomag”-ból áll: tartalmaz kémprogram eltávolítót, antivírus programot, pop-up ablak blokkolót, tőzfalat. Természetesen ezek a „védelmi” programok távolról sem azt csinálják, amit ígérnek.

Kerekes Dávid - BCE - 2007 (http://www.sg.hu/cikkek/53629/egyre_tobb_trojai_van_a_gepeken)

Tőzfal A tőzfal egy szoftver- vagy hardvereszköz ami (a beállításoknak megfelelıen) megszőri az Internet-hez kapcsolódó lokális hálózatok vagy egyes számí-tógépek (ki- és bemenı) adatáramlását

Kerekes Dávid - BCE - 2007

Tőzfal generációk (1) 1.

2.

3.

Csomagszőrı tőzfalak (1988): minden egyes adatcsomag keresztül megy egy szőrın, ami az elızetes adatok alapján vagy átengedi a csomagot, vagy nem Állapottartó csomagszőrı tőzfalak (1990): Egy csomagsorozat nem minden egyes elemét vizsgálja meg külön-külön, hanem bizonyos kulcsfontosságú részeket hasonlít össze egy meglévı adatbázis tagjaival Alkalmazási réteg tőzfal (proxy tőzfal – 1991): az adatcserét szabályozó protokollokat ellenırzi (pl.: egy LAN gépei közül csak egy gépnek van engedélyezve az FTP protokoll használata). Proxy szerver: a kért információkat biztosító gép nem tud közvetlenül csak egy tőzfalként mőködı szerveren keresztül kapcsolatba lépni a kliens géppel

Kerekes Dávid - BCE - 2007 (http://en.wikipedia.org/wiki/Firewall)

Tőzfal generációk (2) 4.

5.

6.

Dinamikus csomagszőrı tőzfalak: korábbi tőzfal generációk tulajdonságait hordozó, de az UDP átviteli protokoll ellenırzésével kiegészített tőzfal Visas (elsı grafikus felhasználói felülető tőzfal – 1992): Windows és MacOS alá tervezték Egységes veszélyforrás kezelı rendszerek (Unified Threat Management - 2004): behatolás megelızı rendszert (Intrusion Prevention Systems), antivírus alkalmazást, VPN-t, spamszőrıt, webes tartalomszőrıt, tőzfalat tartalmazó komplex rendszer (pl.: Cisco ASA)

(http://en.wikipedia.org/wiki/Firewall

Kerekes Dávid - BCE - 2007 http://www.cisco.com/univercd/cc/td/doc/product/iaabu/centri4/user/scf4ch3.htm)

Hardveres tőzfalak Gateway (egy kapcsolódási pont az Internet és a lokális hálózat között): → ez többnyire egy router vagy egy proxy szerver. Többféle módon szőrhet: IPcím, domain név, protokoll (FTP, UDP, HTTP, SMTP, POP3, telnet), vagy port szám alapján. Szőrhet tartalom szerint is: egy bizonyos karaktersorozatot keres az adatfolyamban és ha megtalálta blokkolja Vírusok és férgek ellen kevésbé hatékonyak mint a szoftveres tőzfalak, lévén ezek jelentıs része e-mail-eken terjed (tehát az engedélyezett SMTP és POP3 protokollok szerint) Kerekes Dávid - BCE - 2007 (http://computer.howstuffworks.com/firewall3.htm)

Tőzfal szoftverek











A tőzfal programok többsége elsısorban Microsoft operációs rendszerekre lett tervezve lévén ez a piacvezetı termék és a legtöbb károkozó program ilyen gépekre lett írva Csak egyes gépeket védenek, nem pedig lokális hálózatok gépeinek összességét Vannak ingyenes (pl.: Sunbelt Kerio, Sygate, Zone Alarm, Comodo) és fizetıs változatok (pl.: Agnitum Outpost, McAfee, Norton 360, Panda, Sunbelt CounterSpy) OS X Leopard-ban van integrált tőzfal, mint ahogy a Linux disztribúciókban is megtalálható a Netfilter keretrendszert vezérlı iptables program Kerekes Dávid - BCE - 2007

Windows (1)











A Vista kiadása után az elsı kilenc hónapban tizenkilenc sérülékenységet jeleztek, míg az XP esetében tizenhat volt ugyanennyi idı alatt Körülbelül húsz percig bírja egy Windows közvetlenül telepítés után, amíg el nem lepik a vírusok és férgek (2004-es adat, a helyzet azóta nyílván csak rosszabb lett) Windows beépített tőzfala semmit sem ér, sıt rosszabb mint a semmi, mert hamis biztonságérzetet ad (nem felügyeli a kimenı adatforgalmat, azaz egy fertızött gép ellenırzés nélkül küldhet kifelé információt) Windows felhasználók nagy része az adminisztrációs fiókot használja mindennapi munkája során → ez is jelentıs veszélyforrás

(http://index.hu/tech/biztonsag/virus1127/ http://index.hu/tech/biztonsag/patch0819)

Kerekes Dávid - BCE - 2007

Windows (2)






A PC vírusok többsége tulajdonképpen nem PC vírus, hanem Windows vírus Feltétlenül kell telepíteni valamilyen tőzfalalat A fizetıs szoftverek a tesztek tanúsága szerint nem feltétlenül jobbak mint az ingyenesek (egy öt windows-os tőzfalprogramot (ZoneAlarm, Kerio, Norton, BlackICE és Outpost) összehasonlító teszt például ezt a sorrendet adta eredményül: 1. 2. 3. 4. 5.

ZoneAlarm Outpost Norton BlackICE Kerio

Kerekes Dávid - BCE - 2007 (http://www.matousec.com/projects/windows-personal-firewall-analysis/top-five-comparison.php)

 



Az Outpost az orosz Agnitum cég fizetıs terméke Általában minden teszten jól szerepel (a honlapjukon egy méretes lista szerepel az eddig elnyert díjakról) (http://www.agnitum.com/news/awards.php) Negatívum, hogy szinte minden program minden rezdülésérıl (pl.: egy alkalmazás olyan módon próbál meg a hálózathoz hozzáférni, ahogy az az addigi szabályok szerint nincs engedélyezve) egy felpattanó figyelmeztetı ablakban jelez vissza olyan gyakorisággal, hogy a felhasználó ezeket többnyire figyelmen kívül hagyja Kerekes Dávid - BCE - 2007

Kerekes Dávid - BCE - 2007

• Kimenı és bejövı adatforgalom szőrése (IP fejléc (IP-cím, port) ellenırzése mindkét irányban) • Kimenı forgalmat alkalmazásokhoz (különféle programokhoz) köti és ezek viselkedésére szabályokat (policy) lehet alkotni a felhasználó szándéka szerint (mindent lehet engedélyezni vagy tiltani, vagy egyenként mindent be lehet állítani → mikor egy program külsı géphez akar hozzáférni a tőzfal program rákérdez, hogy mi legyen a teendı → a tulajdonos dönthet a tőzfal pedig megjegyzi a döntést és tárolja (ez késıbb megváltoztatható) • A program a rendszer indításakor automatikusan elindul és folyamatosan figyeli az adatforgalmat (adott idıpontban adott folyamatok által használt portok kijelzése: Open Ports, Network Activity) Kerekes Dávid - BCE - 2007



 

A tőzfal részletes beállítását az Options menüben tehetjük meg (General, Applicaion, System, Policy, Plug-Ins menüpontok alatt) General: általános beállítások (pl.: legyen-e jelszóval védve a tőzfal) Application: konkrétan meg lehet adni, hogy melyik program milyen jogosultságokkal rendelkezzen (Create Rule: pl.: adott alkalmazás, adott porton, adott IP-címre ne küldjön kifelé adatokat, vagy egyáltalán ne kommunikáljon) → ha egy program (vagy megfertızött rendszerfájl pl.: services.exe, svchost.exe) gyanúsan viselkedik (pl.: gyors sorozatban egymás után küld a legkülönfélébb címekre adatokat) akkor le lehet blokkolni a fájl kimenı adatforgalmát

Kerekes Dávid - BCE - 2007

Policy: itt lehet beállítani, hogy a az összes alkalmazás kimenı és bejövı adatforgalmára milyen általános szabályok vonatkozzanak: 1) mindent engedéyez 2) a nem gyanús programokat engedélyezi 3) minden esetben egyenként rákérdez és az adott programra beállított szabályokat tárolja (Rules Wizard) 4) tıbbnyire mindent tilt 5) semmit sem engedélyez

Kerekes Dávid - BCE - 2007



A Plug - Ins menüpontban érhetıek el a kiegészítı funkciók beállításai:  Active Content (JavaScript, ActiveX, VBS, animált gif képek, flash, és pop - up ablakok szabályozása)  Ads (bizonyos reklámok letiltása)  Anti- Spyware (kémprogram blokkoló, keresı és írtó alkalmazás)  Attachment Quarantine (levek csatolmányainak kezelése)  Attack Detection (veszélyes mőveletekrıl (pl.: port- s can) való visszajelzés beállításai)  Content (itt lehet konkrét URL vagy kulcsszavak alapján oldalakat letiltani, vagy honlapokat fölvenni a megbízhatók közé) Kerekes Dávid - BCE - 2007

Linux (1)





Linux rendszerekre nagyságrendekkel kevesebb vírust írnak (kb. 100 db lehet), mint Microsoft szoftverekre (kb. 120 000 db) - de azért vannak Linuxos vírusok és férgek is pl.: Devnull, Vit Ez elsısorban két ok miatt van így: 1.

2.

Az adminisztrátori és felhasználói jogosultságok szétválasztása miatt nehéz megszerezni egy Linuxos gép felett az uralmat (egy károkozó csak az adott felhasználó fájljait rongálhatja meg, rendszerfájlokhoz nem tud hozzáférni csak biztonsági réseken keresztül, melyekbıl számottevıen kevesebb van mint MS rendszerekben) A Linux sokkal kevésbé elterjedt mint a Windows (A különbözı windows verziók együttesen 92,63%-os (!!!) piaci részesedéssel bírnak)

Kerekes Dávid - BCE - 2007 (1) http://en.wikipedia.org/wiki/List_of_Linux_computer_viruses 2) http://en.wikipedia.org/wiki/Windows/)

Linux (2)





Veszélyt jelent ugyanakkor, ha Linuxos környezetben (pl.: Open Office segítségével) megnyitnak egy vírust tartalmazó MS Office fájlt → Linux alatt nem történik semmi, viszont ha az illetı továbbküldi egy Windows gépre, ott gyanútlanul megnyitják, lévén a fájl megbízhatónak tartott forrásból érkezett Vannak ugyanakkor mindkét rendszert megfertızni képes károkozók is

Kerekes Dávid - BCE - 2007 (http://www.desktoplinux.com/articles/AT3307459975.html/)







A Firestarter a Netfilter keretrendszerre valamint az iptables programra épülı grafikus felhasználói felülettel rendelkezı tőzfal Sokkal egyszerőbben kezelhetı alkalmazás mint Windowsos társai (elsı indításkor egy varázsló segítségével néhány egyszerő kérdés megválaszolásával (pl.: DHCP-s (ideiglenes) IP címünk van-e, otthoni hálózatot, vagy csak egy gépet csatlakoztatunk az Internethez, stb...) már mőködik is a program Természetesen ingyenes (szabadon letölthetı a www.fssecurity.com oldalról de egyszerőbb beszerezni a különféle Linux disztribúciók csomagkezelıje segítségével (pl.: dpkg, apt, synaptic) Kerekes Dávid - BCE - 2007

Kerekes Dávid - BCE - 2007

 

 

A Linux kernel része a hálózati adatcsomagok kezelésére létrehozott Netfilter keretrendszer (framework) Ennek része az iptables nevő program mellyel konzolos környezetben lehet a Netfiltert parancssorból módosítani és így manuálisan „fölépíteni” egy tőzfalat (ez kifejezetten rendszergazdai ismeretekkel rendelkezıket célzó alkalmazás) Néhány tőzfalként is funkcionáló routerre ugyancsak telepítve van az iptables program A Firestarter azoknak a dolgát könnyíti meg akik nem tudják kezelni a kevéssé felhasználóbarát iptables-t programot

Kerekes Dávid - BCE - 2007







Alap beállításként a Firestarter engedélyez minden kimenı (outbound) kapcsolatot de a bejövıket (inbound) csak akkor, ha azt biztonságosnak ítéli meg (pl.: egy kimenı kérésre (böngészı le akar tölteni egy weblapot és ehhez a http protokoll 80-as portját használja) válaszul érkeznek az adatcsomagok Természetesen beállítható ugyanakkor, hogy a kimenı adatforgalmat is szőrje a tőzfal (Policy fül alatt “outbound traffic policy” pont alatt a beállítást: “permissive by default”-ról “restrictive by default”-ra kell állítani) Az Events fül alatt tájékozódhatunk a blokkolt folyamatok adatairól (mikor, honnan, milyen porton, ki) Kerekes Dávid - BCE - 2007

Outbound traffic policy: 







Itt lehet a kimenı forgalmat szabályozni Ha restcrictive-re állítjuk akkor minden egyes általunk megbízhatónak tartott programnak be kell írnunk az adatait Permissive-nél pedig fordítva van: azokét kell beírnunk amiket le akarunk tiltani Beállíthatjuk még azt is, hogy mely webhelyeket akarjuk tiltani/engedélyezni (Deny connections to host) Kerekes Dávid - BCE - 2007

Inbound traffic policy: 



Ha a bejövı forgalomra vonatkozó szabályokat akarjuk kiegészíteni akkor azt itt tehetjük meg Például szükség lehet (mondjuk egy fájlcserélı program optimális mőködéséhez) egyes portok megnyitására

Kerekes Dávid - BCE - 2007

ICMP: 

Paranoiások még a diagnosztikai eszközöket is kikapcsolthatják a Preferences menü ICMP filtering pontjánál (ez lehetetlenné teszi mások számára a gépünket traceroute vagy a ping parancsokkal való bemérését)

Kerekes Dávid - BCE - 2007