IP alap

1
IP alapú hálózatok tervezése és üzemeltetése II.

• 15/9

2
Tartalom

• Miért érdemes hálózati biztonsággal foglalkozni
• Tuzfal
• Személyi
• Hagyományos
• Típusai
• Állapotmentes
• Állapotköveto
• Proxy
• Architektúra változatok
• Egy rétegu
• Több rétegu
• Intranet tuzfal tervezés
• Határ tuzfal tervezés
• Megoldások
• Linux netfilter
• Windows ISA szerver
• Cisco - PIX
• Behatolás érzékelés
• Cisco

3
Hálózati biztonsági kihívások

• Internet nyílt, szabad közösség
• Régebben a fizikai biztonság volt az elsodleges
  (jól bezárni a rendezo szekrényt)
• Egyre több cég, intézmény kötodik a hálózathoz
• Potenciális piac
• A vásárlókkal jönnek a hacker-ek is
• Hetente új virusok, férgek,
• Bárki szabadon rákapcsolódhat (hot spot, )
• Nagy populáció
• Letöltheto hacker eszközök (http//staff.washingto
  n.edu/dittrich/misc/ddos/ )

4
Támadások fejlodése

• Forrás Cisco

5
Tipikus biztonsági problémák

• Támadási típusok
• Külso
• Settenkedo fizikai biztonság (zárolni a
  gépeket)
• DoS Denial of Service
• Nem feltétlenül okoznak kárt
• Nehéz lekezelni
• DDoS ugyanaz csak több géprol (zombi gépek)
• Alkalmazás rétegbeni támadások
• Az alkalmazások biztnsági réseit használják ki
• A legismertebbek
• Nem megfeleloen frissített rendszereket támadnak
  meg (Slammer 2002 augusztus-2003 január)
• Hálózat kikémlelés az elso lépés a támadás
  elott
• Portscan
• DNS, IP cím keresés
• Belso
• Fertozött laptop gyakran tagja különbözo
  hálózatoknak
• Nem engedélyezett eszköz pl. nem megfeleloen
  konfigurált vezetékmentes hozzáférési pont
• Elbocsátott alkalmazott Man in the middle
• Vírusok/Trójaiak

6
Várható támadás típusok

• Komplex Web támadás
• IE biztonsági rés Apache biztonsági rés (egy
  feltört web szerverre tettek az IE számára
  veszélyes kódot)
• Web szolgáltatások elleni támadások
• Spyware fenyegetés a Microsoft szerint a
  rendszerösszeomlások feléért felelosek, a DELL
  szerint a bejelentett hibák 12 százalékát
  okozzák (http//www.informationweek.com/showArticl
  e.jhtml?articleID19200218 )
• Mobil eszköz elleni támadások (PDA, Telefon, ..)
• SPAM
• DoS
• DDoS

7
Megoldás(talán, nincs tökéletes)

• Elvileg nincs szükség másra, csak megfeleloen
  beállított gépekre
• DE a szoftver hibák, emberi mulasztások, miatt
  mégis szükség van
• Elosztott, jól koordinálható, több rétegu védelem
• Integrált megoldás (kapcsolók, forgalomirányítók,
  szerverek, )
• Automatikus reakció
• Védelmi keretrendszer
• Védelem - Védelmi rendszer
• Szabályozás - Bizalom és identitás menedzsment
• Titkosítás - Biztonságos kapcsolat

8
Biztonsági szabályok

• A hálózatot biztonsági övezetekre kell osztani
• Egy-egy biztonsági övezet saját biztonsági
  szabályrendszerrel bír
• Ezen övezetek határán szükség van egy olyan
  eszközre mely a különbözo szabályokból adódó
  konfliktusokat feloldja
• Ez az eszköz legtöbbször a tuzfal

9
Védelmi topológiák

• Egyszeru határ tuzfal
• Megbízhatatlan gép
• Három zónás architekrúra
• Fegyvermentes övezet (DMZ DeMilitarized Zone)
• Kettos tuzfal

10
Határ tuzfal

• Egyrétegu megoldás
• Egy eszközre van telepítve minden tuzfal funkció
• Egy eszköz köt össze minden hálózatot
• Egyszeru
• Olcsó
• A legkevésbé biztonságos megoldás
• Egy eszközön kell a biztonsági hiányosságokat
  kiaknázni

11
Megbízhatatlan gép

• Vannak olyan szervereink melyek szolgáltatásokat
  nyújtanak a külvilágnak
• Web
• SMTP
• FTP
• NTP
• SSH
• RDesktop
• VPN szerver ?
• Mivel ez a leginkábbveszélyeztetett ezért ezt a
  tuzfalon kívül helyezzük el
• Minimális szolgáltatásra kelltörekednünk
• A belso gépek nem bíznak meg benne

12
Demilitarizált övezet

• A megbízhatatlan szolgáltatókat is védeni
  szeretnénk
• Itt egy új hálózatot alakítunk ki ezen
  szolgáltatások számára
• Nagyobb
• Biztonság
• Rendelkezésre állás
• Megbízhatóság

13
Dupla tuzfal

• A célja ugyanaz mint az elozoé
• Funkciók
• Perem tuzfal
• Belso tuzfal
• Hálózatok
• Határ hálózat
• DMZ
• Belso hálózat
• Célszeru különbözoarchitektúrájú
  tuzfalakatválasztani

14
Védelmi eszközök

• Tuzfal
• Osztályai
• Személyes (elso osztály)
• Forgalomirányító (második osztály)
• Alsó kategóriás hardver tuzfalak (harmadik
  osztály)
• Felso kategóriás hardver tuzfalak (negyedik
  osztály)
• Szerver tuzfalak (ötödik osztály)
• Típusai
• Csomagszuro
• Cím transzformáló
• Állapottartó
• Kapcsolat szintu átjáró
• Proxy
• Alkalmazás rétegbeni szurés
• Megvalósítások
• Netfilter (http//www.netfilter.org/ )
• ISA 2004 (http//www.microsoft.com/isaserver/ )
• CISCO PIX (http//www.cisco.com/warp/public/cc/pd/
  fw/sqfw500/ )
• Behatolás érzékelo rendszer

15
Tuzfal típusok Csomagszuro

• Mivel a különbözo hálózatokat leggyakrabban
  forgalomirányítók kötik össze ezért ezen funkciók
  leggyakrabban itt található
• Ha már van router akkor mindenképpen azon
  célszeru implementálni
• A 3. rétegben muködik
• Szuro feltételek
• Forrás/Cél cím
• Forrás/Cél port
• Ezzel célszeru az IP spoofing-ot kivédeni
• Ez nagyon gyors és kis eroforrás igényu tud lenni

16
Tuzfal típusok NAT

• Tipusai
• PAT Port Address Translation
• NAT Network Address Translation
• Lehet
• Dinamikus
• Statikus
• Címfordítást végez
• Elrejti a belso címeket
• Alkalmazás réteg?

17
Tuzfal típusok Kapcsolat szintu átjáró

• Nem vizsgál minden egyes csomagot
• Amint a kapcsolat felépült utána az adott
  viszonyhoz tartozó összes csomag mehet
• A 4. rétegben muködik
• Jobb mint csak csomagszurés
• Tartalmazhat alkalmazás rétegbeni funkciókat is
• Pl. FTP

18
Tuzfal típusok Állapottartó

• Az elozo ketto kombinációja
• A 3., 4. rétegben muködik
• Minden kimeno csomag naplózva van az állapot
  táblában
• Forrás/Cél IP
• Forrás/Cél port
• A bemeno forgalomnál így ellenorizheto, hogy ki
  kezdeményezte
• Ez a tudás mindenképpen megkövetelendo egy
  tuzfaltól
• Egyéb információkat is eltárolhat
• Protkoll falg-ek

19
Tuzfal típusok Proxy

• A kommunikáció 3 vagy több fél között folyik
• Kliens
• Proxy
• Szerver
• Títkosítatlan esetben a kliens nem látja
  közvetlenül azokat a csomagokat amelyeket a
  szerver küldött és fordítva
• Títkosított esetben a proxyellenorzi a
  fejléceket ésha minden OK akkortovábbküldi
• Gyorsítótár
• Protokoll validáció
• Felh. ID alapú döntés
• Bonyolult
• Minden protokollt ismernie kell

20
Alkalmazás szintu szurés

• A legintelligensebb
• Értelmezni tudják az adott alkalmazás adatát és
  ez alapján döntéseket hoznak
• SMTP parancsok, DNS parancsok, SPAM szurés
• Igény alapján dinamikusan nyitja a portokat
• DNS felé UDP csak akkor ha a DNS indította a
  kapcsolatot és addig amíg ez a kapcsolat tart
• Títkosított forgalom kezelése
• Ugyanaz mint a proxy-nál
• A tuzfalon végzodtetve mindkét oldalon

21
Személyes tuzfal

• A PC-n futó szoftver szolgáltatás
• Egyre több otthoni kapcsolat
• Kis hálózat védelmére is alkalmas (otthoni
  hálózat)
• A hálózattól függetlenül ma már minden gépen
  kötelezo a használata (különösen mobil
  eszközöknél)
• Jóval kisebb tudású mint a többi, gyakran csak
  csomagszurésre alkalmas
• Elonyei
• Olcsó (ingyenes)
• Egyszeru konfigurálni
• Hátrányai
• Nehéz központból menedzselni
• Kis teljesítményu
• Korlátolt tudású

22
Forgalomirányító tuzfal

• A forgalomirányítók gyakran rendelkeznek tuzfal
  funkciókkal is
• Az alsó kategóriás forgalomirányítók általában
  IP cím alapján és port alapján képesek a
  forgalmat szurni valamint NAT-ot is biztosítanak
  a címek elrejtésére
• A felso kategóriás eszközök programozhatóak ACL
  listák segítségével, állapotkövetoek, támogatják
  a magas rendelkezésre állást
• Elonyeik
• Olcsóak (a hardvereshez viszonyítva)
• Egyszeru, szokványos konfiguráció
• Hátrányaik
• Teljesítmény
• Limitált funkcionalitás

23
Hardver tuzfalak

• Alsó kategóriás
• Statikus szurés
• Plug-and-Play
• VPN
• Bizonyos szintig menedzselhetoek
• Elonyei
• Gyakorlatilag nem kell konfigurálni
• Olcsó
• Hátrányai
• Korlátozott funkicionalitás
• Gyenge teljesítmény
• Felso kategóriás
• 7500-500000 kapcsolat
• Manuális konfiguráció
• Moduláris
• Magas rendelkezésre állás
• Alkalmazás szintu szurés
• Gyors
• Drága

24
Szerver tuzfalak

• A legtöbb rendszergazda számára jól ismert
  környezet
• Linux
• Windows
• FreeBSD
• Jól bovítheto (sw/hw)
• Gyors (megfelelo méretu gépen)
• Integrálható
• Skálázható
• Az oprendszer hibáit kiaknázhatják a támadók

25
Belso tuzfal

• A belso hálózathoz történo hozzáférést
  szabályozza
• Külso nem megbízható felhasználók elvileg soha
  nem léphetnek be a belso hálózatra
• Web szerver esetén a web szerver fog kommunikálni
  a belso részekkel

26
Tipikus beállítások

• Minden tiltva ami nincs engedve
• Tiltani a belso IP címek forrásként feltüntetését
  kívülrol
• Tiltani a külso IP címek forrásként feltüntetését
  belülrol
• Engedélyezni a DMZ DNS szerverek UDP-n történo
  megszólítását a belso DNS szerverekrol
• Engedélyezni a belso DNS szerverek UDP-n történo
  megszólítását a DMZ-bol
• TCP DNS forgalom engedélyezése (szerver
  figyelembe vételével)
• Kimeno SMTP a DMZ SMTP átjáróról
• Bejövo SMTP a DMZ SMTP átjárótól
• Engedi a proxy-tól származó forgalmat befelé
• Engedi a forgalmat a proxy felé
• Szegmensek támogatása
• Szegmensek közötti forgalom állapotkövetéses
  forgalomirányítása
• Magas rendelkezésreállás támogatása

27
Perem tuzfal

• Feladata a szervezet határain túli felhasználók
  kiszolgálása
• Típusai
• Megbízható (távoli iroda)
• Félig megbízható (üzleti partnerek)
• Megbízhatatlan (publikus weboldal)
• Ez az eszköz fogja fel a támadásokat (jó esetben)

28
Tipikus beállítások

• Minden tiltva ami nincs engedve
• Tiltani a belso IP címek forrásként feltüntetését
  kívülrol
• Tiltani a külso IP címek forrásként feltüntetését
  belülrol
• Engedélyezni a külso DNS szerverek UDP-n történo
  megszólítását (DMZ-bol)
• Engedélyezni a belso (DMZ) DNS szerverek UDP-n
  történo megszólítását
• TCP DNS forgalom engedélyezése (szerver
  figyelembe vételével)
• Kimeno SMTP a belso SMTP átjáróról
• Bejövo SMTP a belso SMTP átjárónak
• Engedi a proxy-tól származó forgalmat a külvilág
  felé
• Engedi a forgalmat a proxy felé

29
Rendelkezésre állás (perem/belso)

• Egy tuzfal
• Több tuzfal

30
Linux Netfilter

• Kernel komponens
• Szolgáltatásai
• Csomagszuro
• Állapot követés
• Csomag manipuláció
• Kapcsolatszám figyelés, korlátozás (egy adott
  géprol a TCP kapcsolatok száma. DOS védelem)
• Legutóbbi kapcsolatok megjegyzése (pl. port
  scan)
• Terhelés elosztás (adott véletlen eloszlással)
• String illesztés a tartalomban (pl. .exe)
• Ido alapú szabályok (ebédnél szabad internetezni,
  )
• Átviteli kvóták (pl. 2 Gbyte)
• TTL alapú csomag vizsgálat (man in the middle)
• Bovítheto
• Ingyenes

31
Netfilter Architektúra

• Kampók
• Egy kernel modul regisztrálhatja magát a
  különbözo állapotban lévo csomagok
  megfigyelésére/elérésére
• IPv4-ben 5 kampót definiáltak
• PRE_ROUTING, LOCAL_IN, FORWARD, LOCAL_OUT,
  POST_ROUTING.
• A kapók segítségével megtekinthetoek/módosíthatóak
  a csomagok NF_DROP, NF_ACCEPT, NF_QUEUE,
  NF_REPEAT or NF_STOLEN.

32
Netfilter Kampók

• PRE_ROUTING
• A bejövo csomagok átmennek ezen a kampón az
  ip_rcv() ben mielott a forgalomirányításba
  kerülnek
• LOCAL_IN
• Minden a helyi eszköznek címzett csomagok a
  ip_local_deliver()-en keresztül elérhetoek
• FORWARD
• Minden bejövo és nem az adott eszköznek szánt
  csomag átmegy ezen ip_forward()
• LOCAL_OUT
• Minden az aktuális host által készített csomag
  átmegy ezen ip_build_and_send_pkt()
• POST_ROUTING
• Minden kimeno csomag (forrástól függetlenül)
  átmegy ezen ip_finish_output()

33
Linux Internet Protocol implementáció
Higher Layers
ip_input.c
ip_output.c
ip_queue_xmit
ip_local_deliver
MULTICAST
IP_LOCAL_OUTPUT
. . .
ip_mr_input
IP_LOCAL_INPUT
ip_queue_xmit2
ip_forward.c
IP_FORWARD
ip_local_deliver
ip_forward_finish
ip_forward
ip_output
ip_fragment
ip_rcv_finish
ip_finish_output
ROUTING
ForwardingInformation Base
IP_POST_ROUTING
IP_PRE_ROUTING
ip_route_input
ip_rcv
ip_finish_output2
ARP
ARP
neigh_resolve_output
dev.c
dev.c
dev_queue_xmit
net_rx_action
34
Netfilter Kampók
PRE_ROUTING
POST_ROUTING
FORWARD
LOCAL_IN
LOCAL_OUT
35
Netfilter Funkcionalitás

• IP csomagszurés
• Álapottartó tuzfal
• NAT
• Csomag manipulálás

36
IP csomagszurés

• IP Szuro
• A csomagok szurésére használják
• A szabályok bevitelére az iptables-t használják
• A kernelen belüli keretrendszert netfilter-nek
  nevezik
• Teljes megadhatóság az IP, TCP, UDP és ICMP
  csomagok mezoihez
• IP Szuro szabályok
• Beszúrási pont
• Egyezés
• Cél

37
IP csomagszuro példa

• ping -c 1 127.0.0.1
• PING 127.0.0.1 (127.0.0.1) 56 data bytes
• 64 bytes from 127.0.0.1 icmp_seq0 ttl64
  time0.2 ms
• --- 127.0.0.1 ping statistics ---
• 1 packets transmitted, 1 packets received, 0
  packet loss round-trip min/avg/max 0.2/0.2/0.2
  ms
• iptables -A INPUT -s 127.0.0.1 -p icmp -j DROP
• ping -c 1 127.0.0.1
• PING 127.0.0.1 (127.0.0.1) 56 data bytes
• --- 127.0.0.1 ping statistics ---
• 1 packets transmitted, 0 packets received, 100
  packet loss

38
Állapottartó tuzfal

• Teljes állapot kezelés
• TCP, UDP, ICMP
• Egy általános kapcsolatköveto modult használ
  conntrack
• A Conntrack külön-külön kezeli az egyes
  kapcsolatokat és ezekhez rendeli az adott
  kimen/bejövo csomagokat
• Új kapcsolat bejezést hoz létre amint a
  kapcsolatköveto modul egy kapcsolat létrehozó
  csomagot regisztrál
• Így a NAT implementációk megállapíthatják, hogy
  az egyes csomagokhoz új IP/port tratozik, vagy
  már egy meglévohöz kell rendelni

39
Állapottartó tuzfalazás

• Egye protokollok komplexek és külön modulokat
  igényelnek (conntrack helpers)
• Egy példa az FTP.
• A kliens nyit egy vezérlo csatornát 21-es TCP
  portra és FTP vezérlo utasításokat küld.
• A fájl átvitelére a szerver nyit egy csatornát a
  kliensre a szerver 20-as portjáról a kliens
  tetszoleges portjára

40
Állapotartó tuzfal

• Felhasználói térbeli állapotok
• NEW
• Minden új kapcsolat
• Ide tartoznak a nem SYN TCP csomagok
• ESTABLISHED
• Minden kapcsolat ahol már láttak forgalmat
  mindkét irányba
• RELATED
• Minden kapcsolat/csomag ami valamilyen visznba
  van más kapcoslatokkal
• Példák ICMP hiba, FTP-Data, DCC
• INVALID
• Bizonyos hibás csomagok az állapotoktól függoen
• Pl. FIN/ACK amikor nem volt FIN küldve
• iptables -A FORWARD -i ppp0 -m state ! --state
  NEW -j DROP

41
NAT

• NAT - Network Address Translation
• Két típusa van NAT in Linux 2.4
• Netfilter NAT
• Fast NAT
• Használata
• LAN mint egy forrás
• Külön szerverek egy IP
• Netfilter NAT
• DNAT - Destination Network Address Translation
• SNAT - Source Network Address Translation
• Szüksége van a kapcsolatok követésére

42
NAT Példa

• SNAT
• Change source addresses to 1.2.3.4.
• iptables -t nat -A POSTROUTING -o eth0 -j SNAT
  --to 1.2.3.4
• Change source addresses to 1.2.3.4, 1.2.3.5 or
  1.2.3.6
• iptables -t nat -A POSTROUTING -o eth0 -j SNAT
  --to 1.2.3.4-1.2.3.6
• Change source addresses to 1.2.3.4, ports
  1-1023
• iptables -t nat -A POSTROUTING -p tcp -o eth0
  -j SNAT --to 1.2.3.41-1023
• DNAT
• Change destination addresses to 5.6.7.8
• iptables -t nat -A PREROUTING -i eth0 -j DNAT
  --to 5.6.7.8
• Change destination addresses to 5.6.7.8,
  5.6.7.9 or 5.6.7.10.
• iptables -t nat -A PREROUTING -i eth0 -j DNAT
  --to 5.6.7.8-5.6.7.10
• Change destination addresses of web traffic to
  5.6.7.8, port 8080.
• iptables -t nat -A PREROUTING -p tcp --dport 80
  -i eth0 \ -j DNAT --to 5.6.7.88080

43
Csomag manipuláció

• A tuzfalon keresztülmeno csomagokat manipulálja
• Sokfajta lehetoség
• Példa felhasználás
• Minden IP opció törlése
• A TOS érték átállítása
• A TTL mezo átállítása
• Az ECN mezok törlése
• A csomagok megjelölése a kernelen belül
• A kapcsolatok megjelölése a kernelelen belül

44
Mit használunk?

• Jelenleg három táblázat van filter, nat, mangle.
  
• filter table a szuro rendszer használja
• a LOCAL_IN (INPUT), FORWARD, LOCAL_OUT (OUTPUT)
  ba kapcsolódik
• iptable_filter kapcsolódik és minden csomagot
  továbbad az iptables-nak
• Az alap táblát az iptables program kezeli

45
A szuro kapmói
46
A nat táblázat

• A nat tablázatot a nat vezérlésére használják
• A LOCAL_OUT (OUTPUT), PREROUTING, POSTROUTING
  pontokhoz kapcsolódik
• Az iptable_nat bekapcsolódik és átadja azokat a
  csomagokat akiknek a kapcsolatait még nem látták
  a NAT táblázatban

47
NAT kampók
48
A mangle tábla

• A mangle table a speciális muveletekhez
  használják
• A LOCAL_OUT (OUTPUT), PREROUTING hoz csatlakozik
• iptable_mangle kapcsolódik és átad minden
  csomagot a táblának

49
Alapveto iptables szintakszis

• iptables table command options ltmatchesgt
  lttargetgt
• parancsok
• append, insert, replace, delete, list, policy,
  etc.
• opciók
• verbose, line numbers, exact, etc.
• találatok
• dport, dst, sport, src, states, TCP options,
  owner, etc.
• célok
• ACCEPT, DROP, REJECT, SNAT, DNAT, TOS, LOG, etc.

50
Iptables szintakszis

• Protocol
• -p, --protocol ! protocol
• tcp, udp, icmp or all
• Numeric value
• /etc/protocols
• Cél IP Port
• -d, --destination ! address/mask
• Destination address
• Resolvable (/etc/resolve.conf)
• --dport, --destination-port ! portport
• Destination port
• Numeric or resolvable (/etc/services)
• Port range

51
Iptables szintakszis

• Source IP Port
• -s, --source ! address/mask
• Source address
• Resolvable (/etc/resolve.conf)
• --sport, --source-port ! portport
• Source port
• Numeric or resolvable (/etc/services)
• Port range

52
Iptables szintakszis

• Incoming and Outgoing interface
• -i, --in-interface ! interface
• -o, --out-interface ! interface

53
Iptables szintakszis

• ACCEPT
• Elfogadja a csomagot
• Befejezi a megfelelo lánc további feldolgozását
• Minden elozo lánc feldolgozását befejezi
• Ez nem vonatkozik más fo láncokra és táblákra
• DROP
• Eldobja a csomagot
• Nincs válasz
• Befejez minden további feldolgozást

54
Iptables szintakszis

• REJECT
• Eldobja a csomagot
• Válaszol
• Felhasználó által megadott válasz
• Számított válasz
• TCP-RST vagy ICMP hibaüzenet
• Befejez minden további feldolgozást
• RETURN
• Visszatér a láncból a hívó láncba

55
Példa
test
Input
Rule1 -p ICMP j DROP
Rule1 -s 192.168.1.1
Rule2 -p TCP j test
Rule2 -d 192.168.1.1
Rule3 -p UDP j DROP
Mi történik a 192.168.1.1 forráscímu TCP
csomaggal ha a célcím 1.2.3.4?
56
Egyszeru szabályok

• iptables -A INPUT -p tcp -m state --state NEW !
  --syn -j REJECT --reject-with-tcp-reset
• iptables -A INPUT -p tcp --dport 801024 -j DROP
• iptables -A FORWARD -p tcp --dport 22113 -j DROP
• iptables -A FORWARD -p tcp --dport ftp-dataftp
  -j DROP
• iptables -A OUTPUT -p tcp -o eth0 -j ACCEPT
• iptables -A OUTPUT -p tcp -o lo -j ACCEPT
• iptables -P OUTPUT DROP

57
Iptables szintakszis

• A szabályok listázása
• -L, --list chain
• -F, --flush chain
• Flushes (erases) all rules in a chain
• Or a table
• -N, --new chain
• Creates a user-specified chain
• There must be no target with that name previously
• -X, --delete-chain chain
• Deletes a user-created chain
• No rules may reference the chain
• Can delete all user-created chains in a table

58
Iptables szintakszis

• Creating...
• iptables -t filter -N badtcppackets
• and Deleting a chain
• iptables -t filter -X badtcppackets
• and Deleting all user-created chains
• iptables -t filter -X

59
Példa A célok

• A tuzfal
• Saját maga tuzfala
• Bejövo
• ICMP Echo request reply
• Identd kérdések
• HTTP kérések
• Kimeno
• Minden amit a host generált
• Kivéve "nonet" csoport
• és a LAN
• Internet-rol LAN-ra
• Related traffic
• Established traffic
• LAN-ról Internet-re
• Minden

60
Részletek

• Tuzfal
• LAN az eth0
• LAN IP 192.168.1.1
• Internet az eth1
• Internet IP 10.0.0.1/32
• LAN
• IP range 192.168.1.0/24

61
A POSTROUTING lánc

• NAT
• iptables -t nat -A POSTROUTING -i eth0 -o eth1 -j
  SNAT --to-source 10.0.0.1

62
INPUT lánc

• A kiválasztott bejövo, minden kimeno forgalom
• Default to DROP
• iptables -P INPUT DROP
• iptables -A INPUT -p tcp --dport 113 -j ACCEPT
• iptables -A INPUT -p tcp --dport 80 -j ACCEPT
• iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
• iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
• iptables -A INPUT -m state --state
  ESTABLISHED,RELATED -j ACCEPT

63
Output lánc

• Mindent elfogadunk kivéve a nonet csoportot
• iptables -A OUTPUT -m owner --gid-owner nonet -j
  DROP

64
FORWARD lánc

• Everything from LAN to Internet
• ICMP replies, related and Established traffic
  from Internet to LAN
• iptables -P FORWARD DROP
• iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
• iptables -A FORWARD -i eth1 -m state --state
  ESTABLISHED,RELATED -j ACCEPT

65
Példák

• iptables -A INPUT -p tcp -m state --state NEW !
  --syn -j REJECT --reject-with-tcp-reset
• iptables -A INPUT -p tcp --dport 801024 -j DROP
• iptables -A FORWARD -p tcp --dport 22113 -j DROP
• iptables -A FORWARD -p tcp --dport ftp-dataftp
  -j DROP
• iptables -A OUTPUT -p tcp -o eth0 -j ACCEPT
• iptables -A OUTPUT -p tcp -o lo -j ACCEPT
• iptables -P OUTPUT DROP

66
ISA 2004

• Alkalmazás szintu tuzfal
• Szolgáltatásai
• Csomagszuro
• Állapotköveto
• VPN támogatás
• VPN karantén
• Bizonyos behatolás érzékelés (portscan, halálos
  ping)
• SSL-SSL híd
• Alkalmazás szintu vizsgálat (http, ftp, rpc, )

67
CISCO PIX

• Beágyazott operációs rendszer (Fitnesse OS,
  realtime nem Unix)
• Szolgáltatásai
• Csomagszuro
• Állapotfigyelés
• HTTP, FTP, Telnet hitelesités
• VPN támogatás
• URL szurés
• Magas rendelkezésre állás
• ASA - biztonsági szintek
• 1000000 kapcsolat!!!

68
IDS

• Behatolás érzékelés
• Mai állapot
• Lenyomat alapú érzékelés
• A riasztás értékelése ma még többnyire manuális
• A legtöbb IDS rendszerben nincs meg a kello
  intelligencia, hogy megbízhatóan ellenorizze a
  támadást figyelembe véve más információkat is és
  meghozza a megfelelo döntéseket
• Legtöbb helyen nincs központi log (tuzfal,
  szerver, )

69
Ideális eset

• Aggregáció
• SNMP, Syslog,
• Korreláció
• Pl. idobélyeg
• Analízis
• A host értéke
• Szolgáltatásai
• Viszonya a többihez
• Rendszergazda
• Lehetséges sebezhetosége

70
SNORT

• GNU GPL licensz
• Minta alapú
• Valós ideju forgalom analízis
• Protokoll analízis
• Szabályokat definiálhatunk a keresett mintákra
• alert tcp any any -gt any 139 (content"5c
  00P00I00P00E00 5c")
• Három üzemmód
• Sniffer
• Packet logger
• NIDS
• Muködése
• Dekódolás protokoll dekódolás
• Preprocesszor pl. port scan detektálás
• Detektáló rész szabályok
• 1 GBit/s

71
CISCO IDS

• Lenyomat adatbázis alapján azonosítja a
  támadásokat
• Részei
• Senzor platform a forgalom valós ideju
  figyelése, tipikusan modulok
• Interfészei
• Monitor
• Kontroll
• Direktor platform menedzselés
• Akciók
• TCP reset
• IP blokkolás
• IP loggolás
• 1 Gbit/s

72
Tartalom

• Miért érdemes hálózati biztonsággal foglalkozni
• Tuzfal
• Személyi
• Hagyományos
• Típusai
• Állapotmentes
• Állapotköveto
• Proxy
• Architektúra változatok
• Egy rétegu
• Több rétegu
• Intranet tuzfal tervezés
• Határ tuzfal tervezés
• Megoldások
• Linux netfilter
• Windows ISA szerver
• Cisco - PIX
• Behatolás érzékelés
• Cisco

73
A következo eloadás tartalma

• DNS
• DNSSec