Bezpieczestwo zapory sieciowe

Zapory sieciowe
Gwne zagadnienia wykadu

Zapora sieciowa jest umieszczana midzy sieci wewntrzn organizacji i sieci zewntrzn.
Dostarcza ona prostego mechanizmu kontroli iloci i rodzaju ruchu sieciowego midzy obydwoma
sieciami. Podstawowym jej zadaniem jest ograniczenie przepywu danych midzy tymi sieciami.
Przed postawieniem zapory trzeba okreli, jakie rodzaje danych maj by przez ni przepuszczane,
a jakie nie. Czyli trzeba zdefiniowa polityk zapory. Nastpnie naley skonstruowa mechanizmy,
ktre umoliwi wprowadzenie tej polityki w ycie.
Podstawowe strategie definiowania zapory:
Domylne przepuszczanie polega na okreleniu zbioru warunkw, ktrych spenienie bdzie
powodowao blokowanie danych. Kady host lub protok nie objty t polityk bdzie przepuszczany.
Domylne blokowanie polega na okreleniu protokow, ktre bd mogy przechodzi przez
zapor oraz hostw, ktre bd mogy przesya przez ni dane i z ktrymi komputery w sieci
wewntrznej bd si mogy komunikowa. Wszystkie elementy nie objte definicjami bd blokowane.
Dodatkowe funkcje zapory:
Blokowanie dostpu do caej sieci z okrelonych miejsc w sieci zewntrznej.
Blokowanie dostpu okrelonym uytkownikom do wybranych serwerw i usug.
Monitorowanie komunikacji midzy sieciami. Przykadowo rejestracja kocowych punktw pocze i ilo przesyanych danych.
Podsuchiwanie i rejestrowanie komunikacji midzy sieciami w celu badania przypadkw penetracji sieci, wykrywania intruzw i wewntrznych sabotaystw.
Automatyczne szyfrowanie i deszyfrowanie pakietw. Sie zewntrzna staje si wasnym poczeniem typu WAN (prywatna sie wirtualna - Virtual Private Network)
Komponenty zapory sieciowej
Dawiki - Urzdzenia komputerowe lub komunikacyjne suce do ograniczania przepywu pakietw
midzy sieciami. Czsto realizowane za pomoc routerw.
Bramy (hosty bastionowe) - Specjalnie skonstruowane programy, urzdzenia lub komputery, ktre
odpowiadaj na poczenia z zewntrznych sieci i odpowiednio je obsuguj.
Programy dziaajce w bramach
Sieciowe programy klienckie (telnet, ftp, mosaic ...)
Serwery proxy.
Sieciowe programy - serwery.
Podstawowe konfiguracje
Host z dwoma portami
Filtrowanie pakietw - zapora z jednym dawikiem
Ekranowany host - zapora z jednym dlawikiem i jedn bram
Ekranowana podsie - zapora z dwoma dawikami i bram

Opracowa: Zbigniew Suski

Bezpieczestwo zapory sieciowe

Filtrowanie pakietw
Filtry bezstanowe (stateless),
Teoretycznie w takich filtrach decyzja o akceptacji lub odrzuceniu pakietu mogaby bra pod uwag
kady element skadowy nagwka okrelonego protokou. Najczciej jednak filtrowanie oparte jest
na takich polach jak:
typ protokou (UDP, TCP, ICMP) - ta informacja jest jednak na tyle oglna, e zwykle dopuszcza si wszystkie protokoy,
adres IP,
port TCP/UDP,
znacznik fragmentu,
informacja o wyborze trasy (routing rdowy).
Filtry z badaniem stanu (statefull inspection).
Przechowuj informacj o stanie caego ruchu przechodzcego przez filtr. Wykorzystuj j do
okrelania czy pojedynczy pakiet powinien by odrzucony. Filtry takie dziaaj na poziomie warstwy
sieciowej oraz sesji. Informacja jest pobierana z pakietw przepywajcych podczas nawizywania
sesji. Umoliwia to odrnienie poprawnych pakietw zwrotnych od niepoprawnych prb pocze
lub wama. Adres gniazda (adres IP i numer portu zwrotnego s zapamitywane). Zapisy w tablicy
stanw s usuwane gdy przesyane s pakiety zwizane z zamkniciem sesji lub po upywie okrelonego czasu. Jeeli z zewntrz przychodzi pakiet, ktry nie ma pozycji w tablicy stanw , to jest odrzucany.

Opracowa: Zbigniew Suski

Bezpieczestwo zapory sieciowe

Bezpieczestwo - Zapory sieciowe

Host z dwoma portami

Zapora sieciowa
Sie zewntrzna

Sie wewntrzna

FIR 02

Opracowa: Zbigniew Suski

Bezpieczestwo zapory sieciowe

Bezpieczestwo - Zapory sieciowe

Dawik

Dawik

Sie zewntrzna

Sie wewntrzna

Opracowa: Zbigniew Suski

Bezpieczestwo zapory sieciowe

Bezpieczestwo - Zapory sieciowe

Dawik i brama
Zapora sieciowa
Sie zewntrzna
Dawik

Sie wewntrzna

FIR 04

Opracowa: Zbigniew Suski

Bezpieczestwo zapory sieciowe

Bezpieczestwo - Zapory sieciowe

Dwa dawiki i jedna brama

Brama
Sie zewntrzna

Dawik zewntrzny
Sie obwodowa

Zapora sieciowa
Dawik wewntrzny
Sie wewntrzna

FIR05

Opracowa: Zbigniew Suski

Bezpieczestwo zapory sieciowe

Bezpieczestwo - zapory sieciowe

Planowanie konfiguracji

Co chroni ?

Czy uy wasnej, czy gotowej zapory ?

Czy kupi usug monitorowanej zapory ?

Ile pienidzy wyda

Czy wystarczy proste filtrowanie pakietw ?

Jeli filtrowanie nie wystarczy, czy potrzebny bdzie dawik, brama, a moe jedno i drugie ?

Czy zezwala na przychodzce poczenia typu

telnet ?
Jak weryfikowa autentyczno ?
Jak chroni si przed podsuchem hase ?

Jak nakoni uytkownika do stosowania zasad

bezpieczestwa wynikajcych ze stosowania zapory ?

FIR 07

Opracowa: Zbigniew Suski

Bezpieczestwo zapory sieciowe

Serwery proxy
Serwery proxy porednicz w przekazywaniu da klientw sieci wewntrznej do sieci zewntrznej. Pozwala to ukrywa klientw przed badaniem z zewntrz. Wiele aktualnie dostpnych
pakietw tego typu realizuje rwnie usugi filtrowania pakietw i NAT. Poczenie tych wszystkich
technologii pozwala wyeliminowa pewne ataki, ktrym prawdopodobnie "czyste" proxy nie sprostaoby. Serwery proxy najczciej zwizane s z WWW (ze wzgldw historycznych) ale podobnie
dziaaj dla innych usug.
Proxy nasuchuje zlece usugi od klientw wewntrznych i przesya je w ich imieniu do sieci
zewntrznej. Po otrzymaniu odpowiedzi z zewntrz zwraca j do rzeczywistego klienta.
Bezpieczestwo - proxy

Usuga proxy
Interfejs
wewntrzny

Interfejs
zewntrzny

Serwer
publiczny

Proxy
Klienci
danie strony
sprawdzenie URL
danie strony

przesanie strony

filtrowanie
strony

przesanie strony

R - 01

Opracowa: Zbigniew Suski

Bezpieczestwo zapory sieciowe

Bezpieczestwo - proxy

Zalety proxy

Ukrywanie klienta przed wiatem zewntrznym

Blokowanie niebezpiecznych URL

Filtrowanie niebezpiecznej zawartoci
(wirusy, konie trojaskie)

Badanie spjnoci przesyanej informacji

Eliminacja routingu midzy sieciami

Zapewnienie pojedynczego punktu dostpu
(nadzorowanie i rejestracja zdarze)

Wady proxy

pojedynczy punkt - wraliwo na awarie

oprogramowanie klienckie musi wsppracowa z proxy

kada usuga musi mie proxy

proxy nie chroni systemu operacyjnego

mae bezpieczestwo konfiguracji domylnych

zatory

R - 02

Opracowa: Zbigniew Suski

Bezpieczestwo zapory sieciowe

Literatura:
1. S.Garfinkel, G.Spafford. Practical Unix and Internet Security. OReilly & Associates 1996 (tum.
RM 1997).
2. V.Ahuja. Network & Internet Security. Academic Press 1996 (tum. MIKOM 1997).
3. D.Atkins. Internet Security: Professional Reference. New Riders Publishing 1997 (tum. LT&P
1997)
4. L.Klander. Hacker Proof. Jamsa Press, 1997 (tum. MIKOM 1998).
5. M. Strebe, Ch. Perkins, Firewalls. SYBEX, Inc. 2000, (tum MIKOM 2000).

Opracowa: Zbigniew Suski

10