Διαχείριση Ασφάεια Τηεπιοι ωιαώ...

2015

Διαχείριση Ασφάλεια Διαχείριση Ασφάλεια Τηλεπικοινωνιακών Τηλεπικοινωνιακών ΣυστημάτωνΣυστημάτων

FirewallsFirewalls

Από τη στιγμή που ένα δίκτυο αποκτήσει σύνδεση στο Internet

ανοίγει ένα κανάλι αμφίδρομης επικοινωνίας:

οι χρήστες του δικτύου (insiders) αποκτούν επαφή με τον έξω

κόσμο, αλλά ταυτόχρονα και

και οι εξωτερικοί χρήστες (outsiders) αποκτούν πλέον

δυνατότητα πρόσβασης σε αυτό

Για την προστασία του δικτύου από διάφορες εισβολές

απαιτείται ένας κατάλληλος «φράκτης» firewallfirewall

Εισαγωγή (1/3)

Το firewall ή ανάχωμα ασφαλείας θα πρέπει να είναι ικανό να

επεξεργάζεται όλη την κυκλοφορία μηνυμάτων ανάμεσα σε ένα ιδιωτικό

δίκτυο και στο Internet

Ορισμός Αναχώματος Ασφάλειας (firewall): συστήματα ή ομάδες

συστημάτων, τοποθετημένα στο σημείο σύνδεσης της

υπό προστασία δικτυακής περιοχής με τα υπόλοιπα δίκτυα, που

επιβάλλει προκαθορισμένη πολιτική ασφάλειας


Διαδίκτυο

Εσωτερικό Δίκτυο

Ανάχωμα

ασφάλειας

Τις περισσότερες φορές το ένα από τα δύο

δίκτυα είναι το Διαδίκτυο, ωστόσο ένα

firewall μπορεί να τοποθετηθεί και μεταξύ δύο τυχαίων δικτύων

Σκοπός: Η βελτίωση του επιπέδου προστασίας των δεδομένων και

των υπολογιστικών πόρων ενός οργανισμού από εξωτερικούς

εισβολείς, ώστε επικίνδυνες δραστηριότητες να παραμείνουν

μακριά από το προστατευόμενο περιβάλλον

Επίτευξη: Με την αποτροπή μη εξουσιοδοτημένων προσβάσεων σε μία ασφαλή περιοχή και με την αποτροπή μη εξουσιοδοτημένης εξόδου πληροφορίας από μία περιοχή

Αναγκαίος, σε αρχικό στάδιο, ο καθορισμός πολιτικής ασφάλειας


Ένα firewall δε μπορεί να λειτουργήσει σωστά ανεξαρτήτως από το πώς έχει σχεδιαστεί ή υλοποιηθεί

εάν δεν καθοριστεί μια σαφής πολιτική ασφάλειας

Το ανάχωμα ασφάλειας αποτελεί το επίκεντρο των αποφάσεων που

σχετίζονται με θέματα δικτυακής ασφάλειας:

απλοποίηση διαχείρισης ασφάλειας

κεντρικό σημείο ελέγχου vs έλεγχος σε κάθε υπολογιστή χωριστά

πιο αποτελεσματική πρακτική από τη διάχυση αποφάσεων ασφαλείας σε

διάφορα σημεία

Δυνατότητες (1/3)

Το ανάχωμα ασφάλειας αποτελεί το επίκεντρο των αποφάσεων που

σχετίζονται με θέματα δικτυακής ασφάλειας:

απλοποίηση διαχείρισης ασφάλειας

κεντρικό σημείο ελέγχου vs έλεγχος σε κάθε υπολογιστή χωριστά

πιο αποτελεσματική πρακτική από τη διάχυση αποφάσεων ασφαλείας σε

διάφορα σημεία

Το ανάχωμα ασφάλειας εφαρμόζει έλεγχο προσπέλασης (access

control) από και προς το δίκτυο, υλοποιώντας και υποστηρίζοντας

την πολιτική ασφάλειας του οργανισμού:

αποτελεί πρωταρχική ενέργεια

συνηθέστερη πολιτική: «Απαγορεύεται κάθε υπηρεσία, εκτός αν έχει ρητά

επιτραπεί»

χωρίς τα firewalls η ασφάλεια ενός εσωτερικού δικτύου είναι τόσο ισχυρή

όσο το πιο αδύνατο σύστημα


Το ανάχωμα ασφάλειας επιτρέπει καταγραφή της δραστηριότητας

στο δίκτυο (network activity logging):

διευκολύνει το έργο των διαχειριστών δικτύου

δυνατότητα ενεργοποίησης συναγερμών (alarms) κατά τον εντοπισμό

μιας ύποπτης δραστηριότητας τη στιγμή που αυτή πραγματοποιείται

εντοπισμός πιθανών σημείων συμφόρησης


Το ανάχωμα ασφάλειας επιτρέπει καταγραφή της δραστηριότητας

στο δίκτυο (network activity logging):

διευκολύνει το έργο των διαχειριστών δικτύου

δυνατότητα ενεργοποίησης συναγερμών (alarms) κατά τον εντοπισμό

μιας ύποπτης δραστηριότητας τη στιγμή που αυτή πραγματοποιείται

εντοπισμός πιθανών σημείων συμφόρησης

Το ανάχωμα ασφάλειας προστατεύει δίκτυα διαφορετικής ευπάθειας

εντός του ίδιου οργανισμού:

διαχωρισμός ενός τμήματος δικτύου από άλλο

αποτροπή εξάπλωσης ενδεχόμενων προβλημάτων που επηρεάζουν ένα

τμήμα σε ολόκληρο το δίκτυο

κάποιο τμήμα του εσωτερικού δικτύου μπορεί να είναι πιο ευαίσθητο

από κάποιο άλλο


Το ανάχωμα ασφάλειας έχει τη δυνατότητα απόκρυψης των

πραγματικών διευθύνσεων των υπολογιστών του προστατευόμενου

δικτύου:

ενσωμάτωση υπηρεσίας ΝΑΤ (Network Address Translator) μετάφρασης εσωτερικών διευθύνσεων σε πραγματικές

οι εξωτερικοί χρήστες βλέπουν μία καθολική IP

διευκολύνει το πρόβλημα μη διαθέσιμων IP διευθύνσεων


Το ανάχωμα ασφάλειας δε μπορεί να προστατέψει από συνδέσεις οι

οποίες δε διέρχονται από αυτό:

παρέχει προστασία σε ένα περιβάλλον μόνον όταν ελέγχει ολόκληρη την

περίμετρό του (border defence)

συνδέσεις που δε διέρχονται από το ανάχωμα ασφαλείας δε μπορούν να

διασφαλιστούν από αυτό

σύνδεση «εσωτερικού» χρήστη προς Internet, μέσω PPP διαμέσου ενός

ISP, δεν προστατεύεται

Το ανάχωμα ασφάλειας δε μπορεί να προστατεύσει από

προγράμματα-ιούς:

μπορούν να ελεγχθούν IP διευθύνσεις ή θύρες πηγής-προορισμού, αλλά

δεν είναι εφικτό να γίνει έλεγχος των δεδομένων σε βάθος, συνεπώς είναι

αναγκαία η χρήση αντι-ιομορφικού λογισμικού

Περιορισμοί (1/3)

Το ανάχωμα ασφάλειας δε μπορεί να προστατεύσει απέναντι στις

επιθέσεις κακόβουλων χρηστών από το εσωτερικό του οργανισμού:

απαιτούνται εσωτερικά μέτρα ασφάλειας

άλλη περίπτωση: επιθέσεις Social Engineering

απαραίτητη η εκπαίδευση των χρηστών

Το ανάχωμα ασφάλειας δεν μπορεί να προστατέψει τον οργανισμό

απέναντι σε επιθέσεις συσχετιζόμενες με δεδομένα (data driven

attacks):

προσοχή στη χρήση εισερχόμενης αλληλογραφίας

μια επίθεση μπορεί να οδηγήσει στη μεταβολή των αρχείων που

σχετίζονται με τα προνόμια προσπέλασης ενός εξυπηρέτη, ώστε να

διευκολύνει την πρόσβαση μη εξουσιοδοτημένων χρηστών στο σύστημα


Το ανάχωμα ασφάλειας δε μπορεί να προστατεύσει τον οργανισμό

από απειλές άγνωστου τύπου:

απαιτείται η προηγούμενη γνώση απειλών και αντίστοιχων μέτρων αντιμετώπισης

Η αυστηρή ρύθμιση της ασφάλειας διαμέσου του αναχώματος ασφάλειας:

πιθανά αρνητικά αποτελέσματα:

δυσαρέσκεια χρηστών

μειωμένη ευχρηστία

μειωμένη διαδικτύωση


Ένα ανάχωμα ασφαλείας ΔΕΝ αρκεί για να προστατευτεί ένα δίκτυο

από οποιαδήποτε απειλή

δεν είναι απλά το υλικό και το λογισμικό που παρέχει προστασία

Αποτελεί περισσότερο έκφραση φιλοσοφίας ασφάλειας, βοηθά στην

υλοποίηση μιας ευρύτερης πολιτικής ασφάλειας που καθορίζει τις

υπηρεσίες και την πολιτική προσπέλασης σε ένα δίκτυο

η εγκατάσταση ενός αναχώματος ασφαλείας είναι συνιστώσα στο

πλαίσιο της γενικότερης πολιτικής ασφάλειας

η ύπαρξη πολιτικής ασφάλειας είναι προαπαιτούμενο

Ζητήματα Σχεδίασης (1/3)

Τα σχεδιαστικά ζητήματα που πρέπει να ληφθούν υπόψη, είναι:

Χρηστικότητα (usability): Να παρέχεται ασφάλεια, αλλά όχι με

σημαντική μείωση της χρηστικότητας απόλυτα ασφαλές δίκτυο

= μη συνδεδεμένο δίκτυο

Εκτίμηση του κινδύνου (risk assessment): Πρέπει να εκτιμηθεί η

επίδραση εξωτερικών εισβολών στο σύστημα, ζώνες κινδύνου

Εκτίμηση των απειλών (threat assessment): Πρέπει να

προσδιοριστούν οι απειλές από τις οποίες κινδυνεύει το σύστημα

Εκτίμηση του κόστους (cost assessment): Σημαντικός παράγοντας,

καθώς μπορεί είτε να αγοραστεί εμπορικό προϊόν είτε να

κατασκευαστεί από τον ίδιο τον οργανισμό, κόστος υποστήριξης

Τύπος του αναχώματος ασφάλειας (firewall type): Ανάλογα με τις

ανάγκες που πρέπει να καλυφθούν


Υπάρχουν δύο επίπεδα της πολιτικής ασφάλειας ενός δικτύου τα

οποία επηρεάζουν άμεσα τη σχεδίαση, την εγκατάσταση και τη

χρήση ενός αναχώματος ασφάλειας:

Πολιτική Υπηρεσίας Πρόσβασης στο Δίκτυο

Πολιτική Σχεδίασης του αναχώματος ασφάλειας








αποτελεί υψηλού επιπέδου πολιτική ασφάλειας προσδιορίζει τις υπηρεσίες εκείνες που θα επιτρέπονται ή ρητά θα απαγορεύονται από το δίκτυο, καθώς και τον τρόπο με τον οποίο αυτές θα χρησιμοποιούνται







αποτελεί χαμηλού επιπέδου πολιτική ασφάλειας περιγράφει τους τρόπους με τους οποίους το ανάχωμα ασφάλειας θα επιβάλλει περιορισμό της πρόσβασης και φιλτράρισμα των υπηρεσιών, κατά τον τρόπο που αυτά θα έχουν ρητά διατυπωθεί στην Πολιτική Υπηρεσίας Πρόσβασης στο Δίκτυ







Πολιτική προκαθορισμένης

άδειας χρήσης: Επιτρέπεται κάθε

υπηρεσία, εκτός αν έχει ρητά

απαγορευθεί

Πολιτική προκαθορισμένης

απαγόρευσης χρήσης:

Απαγορεύεται κάθε υπηρεσία, εκτός αν έχει ρητά επιτραπεί

OSI OSI vs TCP/IPvs TCP/IP

Κατηγοριοποίηση αναχωμάτων

ασφαλείας (1/2)

Κατηγοριοποίηση αναχωμάτων

ασφαλείας (2/2)

Layer 7 - Application

Layer 6 – Presentation

Layer 5 – Session

Layer 4 – Transport

Layer 3 – Network

Layer 2 – MAC/DLC

Layer 1 – Physical

αναχώματα ασφάλειας επιπέδου εφαρμογής

αναχώματα ασφάλειας επιπέδου δικτύου

Αναχώματα ασφαλείας επιπέδου

δικτύου (1/11)

Στην πιο συνηθισμένη τους μορφή είναι απλοί δρομολογητές

(routers), αλλά με αυξημένες δυνατότητες:

δρομολογητές φιλτραρίσματος (filtering or screening routers)

αναχώματα ασφαλείας επιπέδου δικτύου (network level or packet

filter firewalls)

Κατά την παραλαβή ενός πακέτου εξετάζουν όχι μόνον εάν το

πακέτο μπορεί να δρομολογηθεί προς τον προορισμό του, αλλά και

το εάν πρέπει να δρομολογηθεί

παρέχουν έναν εύκολο και φθηνό τρόπο υλοποίησης ενός

βασικού επιπέδου φιλτραρίσματος με πραγματοποίηση ελέγχων

των IP πακέτων ενός δικτύου

Απαιτείται η ύπαρξη καλά καθορισμένης πολιτικής ασφάλειας



Δέχονται το κάθε πακέτο, εξετάζουν την IP διεύθυνση πηγής και

προορισμού και με βάση συγκεκριμένους κανόνες καθορίζεται αν θα

επιτραπεί η προώθησή του προς τον τελικό προορισμό

Ανάχωμα ασφάλειας

επιπέδου δικτύου

Δίκτυο 1 Δίκτυο 2

Δίκτυο 3

Επίπεδο εφαρμογής

Επίπεδο πυρήνα

Φίλτρο Δρομολογητής

Πακέτα

Απόρριψη

Προώθηση



Το φίλτρο πακέτων διενεργεί τον έλεγχο εφαρμόζοντας ένα σύνολο

κανόνων (rules):

έχουν οριστεί από το διαχειριστή του firewall κατά τη

διαμόρφωσή του και

υλοποιούν μια προαποφασισμένη πολιτική ασφάλειας

Κάθε κανόνας έχει δυο βασικά τμήματα:

το πεδίο της ενέργειας

επιτρέπω (permit, allow) ή

σταματώ (block, deny).

το πεδίο των κριτηρίων επιλογής



Τα κριτήρια επιλογής βασίζονται σε παραμέτρους:

Διεύθυνση προέλευσης και προορισμού

IP διευθύνσεις ομαδοποιούνται με μάσκες διευθύνσεων (address masks), π.χ.

Allow from 195.17.72.0/21

Allow from 195.17.88.0/22

τα πακέτα με IP προέλευσης 195.17.82.8, 195.17.79.249 και 195.17.89.92 θα περάσουν;

Αριθμός θύρας προέλευσης και προορισμού (port number)

Πρωτόκολλο:

TCP (Transmission Control Protocol)

UDP (User Datagram Protocol) κ.ά.

Κατεύθυνση: ανάλογα με το

αν εισέρχεται το πακέτο στο ιδιωτικό δίκτυο ή

αν εξέρχεται από αυτό



Παραδείγματα: Πολιτική

προκαθορισμένης άδειας χρήσης:

Επιτρέπεται κάθε υπηρεσία, εκτός αν έχει

ρητά απαγορευθεί



Παραδείγματα: Πολιτική προκαθορισμένης

απαγόρευσης χρήσης:

Απαγορεύεται κάθε υπηρεσία, εκτός αν έχει ρητά επιτραπεί



Παραδείγματα:



Παραδείγματα:

insert rules

show rules



Χώρος δράσης τους είναι

τα χαμηλότερα στρώματα (network – transport layers)

του μοντέλου αναφοράς OSI

για αυτό είναι πολύ γρήγορα

στη βάση μιας συγκεκριμένης εφαρμογής (by

application),

αφού η ελεγχόμενη διεύθυνση είναι ο συνδυασμός

της διεύθυνσης δικτύου και του αριθμού θύρας

εφαρμογής (π.χ. το 21 για εφαρμογές FTP, το 25 για

εφαρμογές SMTP, κλπ)



Πλεονεκτήματα:

εγκαθίστανται και διαμορφώνονται εύκολα

είναι διαφανή στους χρήστες

παρουσιάζουν μεγάλη ταχύτητα εκτέλεσης επειδή

ασχολούνται μόνο με το τμήμα της επικεφαλίδας του

ΙΡ πακέτου

χαμηλό κόστος

θεωρούνται αναπόσπαστο τμήμα ενός ολοκληρωμένου

συστήματος firewall



Μειονεκτήματα:

η καταγραφή των συμβάντων είναι απλοϊκή

δεν προσφέρουν μηχανισμούς συναγερμών και εποπτείας (auditing) σε ικανοποιητικό επίπεδο

δε διαθέτουν μηχανισμούς αυθεντικοποίησης σε επίπεδο χρήστη

είναι λιγότερο ασφαλή από τα αναχώματα ασφάλειας επιπέδου εφαρμογής, αφού δεν εξετάζονται τα δεδομένα που διακινούνται στα IP πακέτα (δεν αντιμετωπίζονται επιθέσεις IP και DNS spoofing)


εφαρμογής (1/7)

Υλοποιείται ως πρόγραμμα λογισμικού σε μια συγκεκριμένη

πλατφόρμα υπολογιστή (host-based firewalls)

O υπολογιστής αυτός αναφέρεται ως υπολογιστής –έπαλξη (bastion

host). Αποτελεί το κύριο σημείο επικοινωνίας του εσωτερικού

δικτύου με το Internet

Αναχώματα ασφάλειας αυτής της κατηγορίας δεν επιτρέπουν σε

κανένα πακέτο να περάσει κατευθείαν από το ένα δίκτυο στο άλλο.

Η πραγματική σύνδεση πραγματοποιείται με μια εφαρμογή ειδικού

σκοπού που εκτελείται στον υπολογιστή-έπαλξη, η οποία ονομάζεται

πληρεξούσια εφαρμογή ή πληρεξούσια υπηρεσία (proxy application

or proxy service)

αναφέρονται και ως proxy servers, καθώς συμπεριφέρονται ως

εκπρόσωποι (proxies) του υποτιθέμενου πελάτη

Ανάχωμα ασφάλειαςεπιπέδου εφαρμογής

Δίκτυο 1 Δίκτυο 2

Δίκτυο 3

Επίπεδο εφαρμογής

Επίπεδο πυρήνα

Πληρεξούσια

υπηρεσία

Δρομολογητής

Πακέτα Προώθηση

Πληρεξούσια

υπηρεσία

Η πληρεξούσια υπηρεσία δέχεται αιτήσεις χρηστών για την παροχή

υπηρεσιών Διαδικτύου, FTP, Web, τις οποίες προωθεί προς τις

πραγματικές υπηρεσίες σύμφωνα με την καθορισμένη πολιτική

ασφάλειας





Λειτουργούν στο υψηλότερο στρώμα επικοινωνίας,

γνωστό ως το επίπεδο εφαρμογής (application layer).

Έτσι:

έχουν πρόσβαση σε περισσότερες πληροφορίες από ότι

τα προηγούμενα συστήματα όλα τα διερχόμενα IP

πακέτα εξετάζονται ως προς το περιεχόμενό τους και

ανάλογα προωθούνται ή απορρίπτονται

και μπορούν να προγραμματιστούν πιο έξυπνα ώστε

να μπορούν να υποστηρίξουν σύνθετες πολιτικές

ασφάλειας

Ο πληρεξούσιος εξυπηρέτης

λειτουργεί, με λιγότερο ή

περισσότερο διαφανή τρόπο,

μεταξύ των

εξυπηρετούμενων από το

εσωτερικό δίκτυο και των

πραγματικών εξυπηρετών

στο εξωτερικό δίκτυο

λογισμικό 2 κατευθύνσεων

που δρα ταυτόχρονα και ως

server και ως client



Διαδίκτυο

Εσωτερικός φορέας


Ανάχωμαασφάλειας

Πληρεξούσιοςεξυπηρέτης

Εξωτερικός φορέας

Πραγματικόςεξυπηρέτης

Πληρεξούσιοςεξυπηρετούμενος



Παράδειγμα: ένας χρήστης προερχόμενος από το

Internet, για να αποκτήσει πρόσβαση στην υπηρεσία FTP

ενός μηχανήματος του προστατευμένου δικτύου, θα

πρέπει:

πρώτα να συνδεθεί με τη αντίστοιχη proxy εφαρμογή,

να ακολουθήσει η αναγνώριση – πιστοποίησή του και

στη συνέχεια αν η πολιτική ασφάλειας του firewall

περιέχει για το συγκεκριμένο και αναγνωρισμένο

χρήστη τις κατάλληλες εξουσιοδοτήσεις, θα προωθηθεί

η σύνδεση με την υπηρεσία FTP που ζήτησε



Πλεονεκτήματα:

δεν απαιτείται εγκυρότητα της περιοχής διευθύνσεων.

Μπορούν να λειτουργήσουν ως Μεταφραστές Διευθύνσεων

Δικτύου (Network Address Translators – NATs), με

απόκρυψη των εσωτερικών IP διευθύνσεων

παρέχουν μεγαλύτερη ασφάλεια και καλύτερο έλεγχο

προσπέλασης

λήψη σελίδων του Π.Ι. αλλά απαγόρευση εκτέλεσης CGI

scripts

παρέχουν καλύτερη καταγραφή συμβάντων

ευκολότερη διαχείριση

ο ορισμός κανόνων για τη διαχείριση μιας εφαρμογής

είναι πιο απλός από ότι για τον έλεγχο πακέτων



Μειονεκτήματα:

δεν είναι πάντοτε διαφανή προς το χρήστη

ένα ανάχωμα ασφάλειας επιπέδου εφαρμογής απαιτεί

μία ξεχωριστή πληρεξούσια εφαρμογή για κάθε

υπηρεσία δικτύου

η ταχύτητα και η απόδοσή τους, γενικότερα, δεν είναι

τόσο ικανοποιητική όσο των αναχωμάτων ασφάλειας


Η κατασκευή ενός αναχώματος ασφάλειας συνήθως δε στηρίζεται σε

μια μόνο από τις παραπάνω αρχιτεκτονικές, αλλά στο συνδυασμό

τους

Σε μια υβριδική διάρθρωση, τα λαμβανόμενα πακέτα:

αρχικά υπόκεινται στον έλεγχο τον οποίο διενεργεί το ανάχωμα ασφάλειας επιπέδου δικτύου, συνεπώς:

είτε απορρίπτονται

είτε διέρχονται και κατευθύνονται προς τον προορισμό τους

ακολούθως μπορούν να σταλούν σε κάποια πληρεξούσια υπηρεσία για περαιτέρω επεξεργασία

Προσφέρεται πολύ καλό επίπεδο ασφάλειας, αλλά με αυξημένο κόστος υλοποίησης

Γνωστές υλοποιήσεις υβριδικών αναχωμάτων ασφάλειας: screened host, screened subnet, stateful inspection

Υβριδικά αναχώματα

Η αρχιτεκτονική Υπολογιστή Διαλογής - Screened Host παρέχει

υπηρεσίες διαμέσου ενός υπολογιστή-έπαλξη, ο οποίος βρίσκεται

συνδεδεμένος μόνο στο εσωτερικό δίκτυο, έχει δηλαδή μόνο μια

διεπαφή δικτύου, κάνοντας χρήση ενός ξεχωριστού screened router


Screened host (1/2)

Διαδίκτυο Ασφαλές Δίκτυο

Υπολογιστής-έπαλξη

Όλη η εισερχόμενη κίνηση προωθείται στον υπολογιστή-έπαλξη μέσω

του αναχώματος ασφάλειας επιπέδου δικτύου (δρομολογητή)

Για την εξερχόμενη κίνηση (από τους χρήστες του εσωτερικού

δικτύου), μπορεί:

είτε να επιτραπεί να συνδέονται μέσω του αναχώματος ασφάλειας

επιπέδου δικτύου με κάποια υπηρεσία του εξωτερικού δικτύου

είτε να χρησιμοποιήσουν πληρεξούσιες εφαρμογές στον bastion

host για τις συνδέσεις αυτές

Αυξημένη ασφάλεια και ευχρηστία

Αν αποτύχει είτε ο δρομολογητής-διαλογής είτε ο υπολογιστής-

έπαλξη, το δίκτυο εκτίθεται σε κίνδυνο

Screened host (2/2)

Η αρχιτεκτονική Υποδικτύου Διαλογής - Screened Subnet

αποτελείται από δύο δρομολογητές διαλογής, με τον

υπολογιστή-έπαλξη (bastion host) να βρίσκεται ενδιάμεσα

Δημιουργείται ένα μικρό απομονωμένο δίκτυο μεταξύ

του εσωτερικού δικτύου και του δυνητικά εχθρικού

εξωτερικού δικτύου. Ο bastion host βρίσκεται πάνω στο

απομονωμένο δίκτυο, που αποκαλείται περιμετρικό

δίκτυο (perimeter network)

Screened subnet (1/5)


Διαδίκτυο


Ανάχωμαασφάλειας

Υπολογιστής-Έπαλξη

ΕσωτερικόςΔρομολογητής

Περιμετρικό Δίκτυο

ΕξωτερικόςΔρομολογητής

Περιμετρικό δίκτυο (perimeter network)

αποστρατιωτικοποιημένη ζώνη (De-Militarized Zone - DMZ)

η χρήση του αποτελεί πρόσθετο επίπεδο ασφάλειας, σε σχέση με τις υπόλοιπες αρχιτεκτονικές

ο bastion host δέχεται τις περισσότερες επιθέσεις: αν καταληφθεί από κάποιον εξωτερικό κακόβουλο, εφόσον βρίσκεται στο περιμετρικό δίκτυο, το εσωτερικό δίκτυο παραμένει ασφαλές

Υπολογιστής-έπαλξη

βρίσκεται στο περιμετρικό δίκτυο και αποτελεί σημείο επικοινωνίας για τις εισερχόμενες συνδέσεις (π.χ. παράδοση e-mails)

έχει εγκατεστημένους πληρεξούσιους εξυπηρέτες, που μέσω αυτών οι εσωτερικοί εξυπηρετούμενοι συνδέονται με εξωτερικούς εξυπηρέτες


Εσωτερικός δρομολογητής (interior router)

προστατεύει το εσωτερικό δίκτυο από το περιμετρικό δίκτυο και το

εξωτερικό δίκτυο

αναλαμβάνει το μεγαλύτερο βάρος στο φιλτράρισμα πακέτων

απευθείας συνδέσεις με το εξωτερικό δίκτυο επιτρέπονται μόνον

εφόσον μπορούν να καλυφθούν συγκεκριμένες απαιτήσεις

ασφάλειας

στις υπόλοιπες περιπτώσεις απαιτείται σύνδεση με τον

υπολογιστή-έπαλξη, μέσω πληρεξούσιου εξυπηρέτη


Εξωτερικός δρομολογητής (exterior router)

προστατεύει το περιμετρικό και εσωτερικό δίκτυο από το εξωτερικό

(συνήθως ανήκει στον εξοπλισμό ενός ISP)

συνήθως επιτρέπει χωρίς φιλτράρισμα κίνηση από το περιμετρικό

δίκτυο προς το εξωτερικό

επιβάλλεται να υπάρχει συμφωνία στους κανόνες ασφάλειας, τόσο

στον εξωτερικό όσο και στον εσωτερικό δρομολογητή

υποστηρίζει τη δέσμευση πλαστογραφημένων πακέτων, που

φαίνονται να προέρχονται από εσωτερικές IP διευθύνσεις, αλλά

είναι τελικά από εξωτερικούς χρήστες


Σχετικά νέα τεχνολογία,

κατηγορίας packet filtering

με επιπλέον εξέταση του περιεχομένου των πακέτων αυτών καθαυτών αλλά και σε σχέση με προηγούμενες μεταδόσεις, π.χ. όταν το πρωτόκολλο που χρησιμοποιείται είναι το TCP βασίζεται στο μηχανισμό three-way handshake

client initiates a new connection SYN bit set in the packet header NEW connections

server replies to the SYN packet SYN and the ACK bit are set

client responds ACK bit is set

connection ESTABLISHED

ένα stateful firewall επιτρέπει όλα τα εξερχόμενα πακέτα, αλλά επιτρέπει μόνο τα εισερχόμενα που αποτελούν μέρος μιας ESTABLISHED σύνδεσης

Stateful inspection (1/3)

http://en.wikipedia.org/wiki/Three_way_handshake



http://en.wikipedia.org/wiki/Packet_(information_technology)

http://en.wikipedia.org/wiki/Header_(information_technology)

Χρησιμοποιούν μια εσωτερική βάση δεδομένων που συνεχώς

ενημερώνεται με πληροφορίες προηγούμενων μεταδόσεων πακέτων

ώστε να καταγράφονται

πληροφορίες κατάστασης (state information)

πληροφορίες πλαισίου (context information) κάθε μετάδοσης

Οπότε διαμορφώνεται δυναμικά η λήψη της απόφασης του να

επιτραπεί ή όχι μια μετάδοση πακέτου (intelligent firewall)


Χώρος δράσης, εκτείνεται:

από τα χαμηλά επίπεδα δικτυακής επικοινωνίας

όπου φιλτράρονται τα πακέτα

μέχρι το επίπεδο εφαρμογής

όπου γίνεται η διαχείριση και ο καθορισμός της πολιτικής ασφαλείας μέσω υπηρεσιών proxy

Συνδυάζει τα πλεονεκτήματα των δυο βασικών τεχνολογιών

Παρέχουν υψηλού επιπέδου γλώσσα προγραμματισμού (Inspect Language) για επεμβάσεις στην Inspect Engine του firewall

εύκολη επεκτασιμότητα (π.χ. προσθήκη νέων εφαρμογών)

Επιτρέπουν το αποτελεσματικό φιλτράρισμα μεταδόσεων με stateless πρωτόκολλα (UDP, RPC)

Λόγω της πολυπλοκότητας της διαχείρισής τους, αποτελούν προσφιλή στόχο των εισβολέων


Ένα ανάχωμα ασφάλειας που έχει σωστά μελετηθεί και εγκατασταθεί στο δίκτυο ενός οργανισμού, πρέπει:

Να εμπλέκεται σε οποιαδήποτε συνομιλία και ολόκληρη η κίνηση να μεταδίδεται μέσα από αυτό

Να είναι αδιάβλητο. Για το σκοπό αυτό πρέπει να αποτελεί ένα ξεχωριστό υπολογιστικό σύστημα, με ελάχιστη παρέμβαση χρηστών

Να είναι απλό και μικρό σε μέγεθος, ώστε να μπορεί να αναλυθεί εύκολα

Λειτουργικές απαιτήσεις σχεδίασης

1. Μηχανισμός φίλτρου πακέτων:

εμποδίζει τη πορεία των διακινούμενων πακέτων δεδομένων

ανάμεσα στο Internet και το ιδιωτικό δίκτυο,

ενώ επιτρέπει την κίνηση μέσω του firewall μόνο σε όσα ανήκουν

σε αποδεκτούς τρόπους επικοινωνίας.

2. Λογισμικό υλοποίησης πυλών σε επίπεδο εφαρμογής:

εμποδίζει τη κυκλοφορία των δεδομένων

πιστοποιεί (authenticate) τους χρήστες σε επίπεδο εφαρμογών

TCP/IP

όπως οι υπηρεσίες HTTP, FTP κλπ

Ολοκληρωμένα συστήματα firewalls

(1/2)

3. Υπηρεσία ονομασίας επικρατειών (Domain Name Service-DNS):

για απόκρυψη των εσωτερικών IP διευθύνσεων του ιδιωτικού

δικτύου από τους χρήστες του Διαδικτύου

4. Μηχανισμός διαχείρισης e-mail:

για να διασφαλίζει ότι η ανταλλαγή ηλεκτρονικών μηνυμάτων

διεκπεραιώνεται μέσω firewall

5. Ασφαλές λειτουργικό σύστημα

Ολοκληρωμένα συστήματα firewalls

(2/2)

Διαβάθμιση ασφάλειας (connectivity

vs security)

Διαχείριση Ασφάεια Τηεπιοι ωιαώ...

Documents

Transcript of Διαχείριση Ασφάεια Τηεπιοι ωιαώ...