IP alap

1
IP alapú hálózatok tervezése és üzemeltetése II.

• 15/9

2
Az elozo eloadás tartalma

• VoIP
• Potenciális hálózatok
• VoIP piac
• Készülékek
• VoIP módok
• Elonyök/Hátárnyok
• RTP/RTCP/RSTP
• SIP
• SDP

3
Források

• Design the firewall system (http//www.cert.org/se
  curity-improvement/practices/p053.html )
• Firewall Design (http//www.microsoft.com/resource
  s/documentation/msa/idc/all/solution/en-us/rag/rag
  c03.mspx )
• Perimeter Firewall Design (http//www.microsoft.co
  m/technet/security/guidance/secmod156.mspx )
• Perimeter Firewall Service Design for the SBO
  Scenario (http//www.microsoft.com/technet/itsolut
  ions/wssra/raguide/Firewall_Services_PG_2.mspx )
• Perimeter Firewall Service Design for the CDC
  Scenario (http//www.microsoft.com/technet/itsolut
  ions/wssra/raguide/Firewall_Services_PG_1.mspx )
• Internal Firewall Design (http//www.microsoft.com
  /technet/security/guidance/secmod155.mspx )
• Extortion online (http//www.informationweek.com/s
  howArticle.jhtml?articleID47204212 )
• The Threats To Come (http//www.securitypipeline.c
  om/54201336 )
• Advanced Features of netfilter/iptables
  (http//linuxgazette.net/108/odonovan.html )
• SNORT (http//www.snort.org/ )
• Threat Management The State of Intrusion
  Detection (http//www.snort.org/docs/threatmanagem
  ent.pdf )

4
Tartalom

• Miért érdemes hálózati biztonsággal foglalkozni
• Tuzfal
• Személyi
• Hagyományos
• Típusai
• Állapotmentes
• Állapotköveto
• Proxy
• Architektúra változatok
• Egy rétegu
• Több rétegu
• Intranet tuzfal tervezés
• Határ tuzfal tervezés
• Megoldások
• Linux netfilter
• Windows ISA szerver
• Cisco - PIX
• Behatolás érzékelés
• Cisco

5
Hálózati biztonsági kihívások

• Internet nyílt, szabad közösség
• Régebben a fizikai biztonság volt az elsodleges
  (jól bezárni a rendezo szekrényt)
• Egyre több cég, intézmény kötodik a hálózathoz
• Potenciális piac
• A vásárlókkal jönnek a hacker-ek is
• Hetente új virusok, férgek,
• Bárki szabadon rákapcsolódhat (hot spot, )
• Nagy populáció
• Letöltheto hacker eszközök (http//staff.washingto
  n.edu/dittrich/misc/ddos/ )

6
Támadások fejlodése

• Forrás Cisco

7
Online zsarolás

• 100 cégbol 17-et megzsaroltak (http//www.informat
  ionweek.com/showArticle.jhtml?articleID47204212
  )

8
Tipikus biztonsági problémák

• Támadási típusok
• Külso
• Settenkedo fizikai biztonság (zárolni a
  gépeket)
• DoS Denial of Service
• Nem feltétlenül okoznak kárt
• Nehéz lekezelni
• DDoS ugyanaz csak több géprol (zombi gépek)
• Alkalmazás rétegbeni támadások
• Az alkalmazások biztnsági réseit használják ki
• A legismertebbek
• Nem megfeleloen frissített rendszereket támadnak
  meg (Slammer 2002 augusztus-2003 január)
• Hálózat kikémlelés az elso lépés a támadás
  elott
• Portscan
• DNS, IP cím keresés
• Belso
• Fertozött laptop gyakran tagja különbözo
  hálózatoknak
• Nem engedélyezett eszköz pl. nem megfeleloen
  konfigurált vezetékmentes hozzáférési pont
• Elbocsátott alkalmazott Man in the middle
• Vírusok/Trójaiak

9
Várható támadás típusok

• Komplex Web támadás
• IE biztonsági rés Apache biztonsági rés (egy
  feltört web szerverre tettek az IE számára
  veszélyes kódot)
• Web szolgáltatások elleni támadások
• Spyware fenyegetés a Microsoft szerint a
  rendszerösszeomlások feléért felelosek, a DELL
  szerint a bejelentett hibák 12 százalékát
  okozzák (http//www.informationweek.com/showArticl
  e.jhtml?articleID19200218 )
• Mobil eszköz elleni támadások (PDA, Telefon, ..)
• SPAM
• DoS
• DDoS

10
Megoldás(talán, nincs tökéletes)

• Elvileg nincs szükség másra, csak megfeleloen
  beállított gépekre
• DE a szoftver hibák, emberi mulasztások, miatt
  mégis szükség van
• Elosztott, jól koordinálható, több rétegu védelem
• Integrált megoldás (kapcsolók, forgalomirányítók,
  szerverek, )
• Automatikus reakció
• Védelmi keretrendszer
• Védelem - Védelmi rendszer
• Szabályozás - Bizalom és identitás menedzsment
• Titkosítás - Biztonságos kapcsolat

11
Biztonsági szabályok

• A hálózatot biztonsági övezetekre kell osztani
• Egy-egy biztonsági övezet saját biztonsági
  szabályrendszerrel bír
• Ezen övezetek határán szükség van egy olyan
  eszközre mely a különbözo szabályokból adódó
  konfliktusokat feloldja
• Ez az eszköz legtöbbször a tuzfal

12
Védelmi topológiák

• Egyszeru határ tuzfal
• Megbízhatatlan gép
• Három zónás architekrúra
• Fegyvermentes övezet (DMZ DeMilitarized Zone)
• Kettos tuzfal

13
Határ tuzfal

• Egyrétegu megoldás
• Egy eszközre van telepítve minden tuzfal funkció
• Egy eszköz köt össze minden hálózatot
• Egyszeru
• Olcsó
• A legkevésbé biztonságos megoldás
• Egy eszközön kell a biztonsági hiányosságokat
  kiaknázni

14
Megbízhatatlan gép

• Vannak olyan szervereink melyek szolgáltatásokat
  nyújtanak a külvilágnak
• Web
• SMTP
• FTP
• NTP
• SSH
• RDesktop
• VPN szerver ?
• Mivel ez a leginkábbveszélyeztetett ezért ezt a
  tuzfalon kívül helyezzük el
• Minimális szolgáltatásra kelltörekednünk
• A belso gépek nem bíznak meg benne

15
Demilitarizált övezet

• A megbízhatatlan szolgáltatókat is védeni
  szeretnénk
• Itt egy új hálózatot alakítunk ki ezen
  szolgáltatások számára
• Nagyobb
• Biztonság
• Rendelkezésre állás
• Megbízhatóság

16
Dupla tuzfal

• A célja ugyanaz mint az elozoé
• Funkciók
• Perem tuzfal
• Belso tuzfal
• Hálózatok
• Határ hálózat
• DMZ
• Belso hálózat
• Célszeru különbözoarchitektúrájú
  tuzfalakatválasztani

17
Védelmi eszközök

• Tuzfal
• Osztályai
• Személyes (elso osztály)
• Forgalomirányító (második osztály)
• Alsó kategóriás hardver tuzfalak (harmadik
  osztály)
• Felso kategóriás hardver tuzfalak (negyedik
  osztály)
• Szerver tuzfalak (ötödik osztály)
• Típusai
• Csomagszuro
• Cím transzformáló
• Állapottartó
• Kapcsolat szintu átjáró
• Proxy
• Alkalmazás rétegbeni szurés
• Megvalósítások
• Netfilter (http//www.netfilter.org/ )
• ISA 2004 (http//www.microsoft.com/isaserver/ )
• CISCO PIX (http//www.cisco.com/warp/public/cc/pd/
  fw/sqfw500/ )
• Behatolás érzékelo rendszer

18
Tuzfal típusok Csomagszuro

• Mivel a különbözo hálózatokat leggyakrabban
  forgalomirányítók kötik össze ezért ezen funkciók
  leggyakrabban itt található
• Ha már van router akkor mindenképpen azon
  célszeru implementálni
• A 3. rétegben muködik
• Szuro feltételek
• Forrás/Cél cím
• Forrás/Cél port
• Ezzel célszeru az IP spoofing-ot kivédeni
• Ez nagyon gyors és kis eroforrás igényu tud lenni

19
Tuzfal típusok NAT

• Tipusai
• PAT Port Address Translation
• NAT Network Address Translation
• Lehet
• Dinamikus
• Statikus
• Címfordítást végez
• Elrejti a belso címeket
• Alkalmazás réteg?

20
Tuzfal típusok Kapcsolat szintu átjáró

• Nem vizsgál minden egyes csomagot
• Amint a kapcsolat felépült utána az adott
  viszonyhoz tartozó összes csomag mehet
• A 4. rétegben muködik
• Jobb mint csak csomagszurés
• Tartalmazhat alkalmazás rétegbeni funkciókat is
• Pl. FTP

21
Tuzfal típusok Állapottartó

• Az elozo ketto kombinációja
• A 3., 4. rétegben muködik
• Minden kimeno csomag naplózva van az állapot
  táblában
• Forrás/Cél IP
• Forrás/Cél port
• A bemeno forgalomnál így ellenorizheto, hogy ki
  kezdeményezte
• Ez a tudás mindenképpen megkövetelendo egy
  tuzfaltól
• Egyéb információkat is eltárolhat
• Protkoll falg-ek

22
Tuzfal típusok Proxy

• A kommunikáció 3 vagy több fél között folyik
• Kliens
• Proxy
• Szerver
• Títkosítatlan esetben a kliens nem látja
  közvetlenül azokat a csomagokat amelyeket a
  szerver küldött és fordítva
• Títkosított esetben a proxyellenorzi a
  fejléceket ésha minden OK akkortovábbküldi
• Gyorsítótár
• Protokoll validáció
• Felh. ID alapú döntés
• Bonyolult
• Minden protokollt ismernie kell

23
Alkalmazás szintu szurés

• A legintelligensebb
• Értelmezni tudják az adott alkalmazás adatát és
  ez alapján döntéseket hoznak
• SMTP parancsok, DNS parancsok, SPAM szurés
• Igény alapján dinamikusan nyitja a portokat
• DNS felé UDP csak akkor ha a DNS indította a
  kapcsolatot és addig amíg ez a kapcsolat tart
• Títkosított forgalom kezelése
• Ugyanaz mint a proxy-nál
• A tuzfalon végzodtetve mindkét oldalon

24
Személyes tuzfal

• A PC-n futó szoftver szolgáltatás
• Egyre több otthoni kapcsolat
• Kis hálózat védelmére is alkalmas (otthoni
  hálózat)
• A hálózattól függetlenül ma már minden gépen
  kötelezo a használata (különösen mobil
  eszközöknél)
• Jóval kisebb tudású mint a többi, gyakran csak
  csomagszurésre alkalmas
• Elonyei
• Olcsó (ingyenes)
• Egyszeru konfigurálni
• Hátrányai
• Nehéz központból menedzselni
• Kis teljesítményu
• Korlátolt tudású

25
Forgalomirányító tuzfal

• A forgalomirányítók gyakran rendelkeznek tuzfal
  funkciókkal is
• Az alsó kategóriás forgalomirányítók általában
  IP cím alapján és port alapján képesek a
  forgalmat szurni valamint NAT-ot is biztosítanak
  a címek elrejtésére
• A felso kategóriás eszközök programozhatóak ACL
  listák segítségével, állapotkövetoek, támogatják
  a magas rendelkezésre állást
• Elonyeik
• Olcsóak (a hardvereshez viszonyítva)
• Egyszeru, szokványos konfiguráció
• Hátrányaik
• Teljesítmény
• Limitált funkcionalitás

26
Hardver tuzfalak

• Alsó kategóriás
• Statikus szurés
• Plug-and-Play
• VPN
• Bizonyos szintig menedzselhetoek
• Elonyei
• Gyakorlatilag nem kell konfigurálni
• Olcsó
• Hátrányai
• Korlátozott funkicionalitás
• Gyenge teljesítmény
• Felso kategóriás
• 7500-500000 kapcsolat
• Manuális konfiguráció
• Moduláris
• Magas rendelkezésre állás
• Alkalmazás szintu szurés
• Gyors
• Drága

27
Szerver tuzfalak

• A legtöbb rendszergazda számára jól ismert
  környezet
• Linux
• Windows
• FreeBSD
• Jól bovítheto (sw/hw)
• Gyors (megfelelo méretu gépen)
• Integrálható
• Skálázható
• Az oprendszer hibáit kiaknázhatják a támadók

28
Belso tuzfal

• A belso hálózathoz történo hozzáférést
  szabályozza
• Külso nem megbízható felhasználók elvileg soha
  nem léphetnek be a belso hálózatra
• Web szerver esetén a web szerver fog kommunikálni
  a belso részekkel

29
Tipikus beállítások

• Minden tiltva ami nincs engedve
• Tiltani a belso IP címek forrásként feltüntetését
  kívülrol
• Tiltani a külso IP címek forrásként feltüntetését
  belülrol
• Engedélyezni a DMZ DNS szerverek UDP-n történo
  megszólítását a belso DNS szerverekrol
• Engedélyezni a belso DNS szerverek UDP-n történo
  megszólítását a DMZ-bol
• TCP DNS forgalom engedélyezése (szerver
  figyelembe vételével)
• Kimeno SMTP a DMZ SMTP átjáróról
• Bejövo SMTP a DMZ SMTP átjárótól
• Engedi a proxy-tól származó forgalmat befelé
• Engedi a forgalmat a proxy felé
• Szegmensek támogatása
• Szegmensek közötti forgalom állapotkövetéses
  forgalomirányítása
• Magas rendelkezésreállás támogatása

30
Perem tuzfal

• Feladata a szervezet határain túli felhasználók
  kiszolgálása
• Típusai
• Megbízható (távoli iroda)
• Félig megbízható (üzleti partnerek)
• Megbízhatatlan (publikus weboldal)
• Ez az eszköz fogja fel a támadásokat (jó esetben)

31
Tipikus beállítások

• Minden tiltva ami nincs engedve
• Tiltani a belso IP címek forrásként feltüntetését
  kívülrol
• Tiltani a külso IP címek forrásként feltüntetését
  belülrol
• Engedélyezni a külso DNS szerverek UDP-n történo
  megszólítását (DMZ-bol)
• Engedélyezni a belso (DMZ) DNS szerverek UDP-n
  történo megszólítását
• TCP DNS forgalom engedélyezése (szerver
  figyelembe vételével)
• Kimeno SMTP a belso SMTP átjáróról
• Bejövo SMTP a belso SMTP átjárónak
• Engedi a proxy-tól származó forgalmat a külvilág
  felé
• Engedi a forgalmat a proxy felé

32
Rendelkezésre állás (perem/belso)

• Egy tuzfal
• Több tuzfal

33
Linux Netfilter

• Kernel komponens
• Szolgáltatásai
• Csomagszuro
• Állapot követés
• Csomag manipuláció
• Kapcsolatszám figyelés, korlátozás (egy adott
  géprol a TCP kapcsolatok száma. DOS védelem)
• Legutóbbi kapcsolatok megjegyzése (pl. port
  scan)
• Terhelés elosztás (adott véletlen eloszlással)
• String illesztés a tartalomban (pl. .exe)
• Ido alapú szabályok (ebédnél szabad internetezni,
  )
• Átviteli kvóták (pl. 2 Gbyte)
• TTL alapú csomag vizsgálat (man in the middle)
• Bovítheto
• Ingyenes

34
ISA 2004

• Alkalmazás szintu tuzfal
• Szolgáltatásai
• Csomagszuro
• Állapotköveto
• VPN támogatás
• VPN karantén
• Bizonyos behatolás érzékelés (portscan, halálos
  ping)
• SSL-SSL híd
• Alkalmazás szintu vizsgálat (http, ftp, rpc, )

35
CISCO PIX

• Beágyazott operációs rendszer (Fitnesse OS,
  realtime nem Unix)
• Szolgáltatásai
• Csomagszuro
• Állapotfigyelés
• HTTP, FTP, Telnet hitelesités
• VPN támogatás
• URL szurés
• Magas rendelkezésre állás
• ASA - biztonsági szintek
• 1000000 kapcsolat!!!

36
IDS

• Behatolás érzékelés
• Mai állapot
• Lenyomat alapú érzékelés
• A riasztás értékelése ma még többnyire manuális
• A legtöbb IDS rendszerben nincs meg a kello
  intelligencia, hogy megbízhatóan ellenorizze a
  támadást figyelembe véve más információkat is és
  meghozza a megfelelo döntéseket
• Legtöbb helyen nincs központi log (tuzfal,
  szerver, )

37
Ideális eset

• Aggregáció
• SNMP, Syslog,
• Korreláció
• Pl. idobélyeg
• Analízis
• A host értéke
• Szolgáltatásai
• Viszonya a többihez
• Rendszergazda
• Lehetséges sebezhetosége

38
SNORT

• GNU GPL licensz
• Minta alapú
• Valós ideju forgalom analízis
• Protokoll analízis
• Szabályokat definiálhatunk a keresett mintákra
• alert tcp any any -gt any 139 (content"5c
  00P00I00P00E00 5c")
• Három üzemmód
• Sniffer
• Packet logger
• NIDS
• Muködése
• Dekódolás protokoll dekódolás
• Preprocesszor pl. port scan detektálás
• Detektáló rész szabályok
• 1 GBit/s

39
CISCO IDS

• Lenyomat adatbázis alapján azonosítja a
  támadásokat
• Részei
• Senzor platform a forgalom valós ideju
  figyelése, tipikusan modulok
• Interfészei
• Monitor
• Kontroll
• Direktor platform menedzselés
• Akciók
• TCP reset
• IP blokkolás
• IP loggolás
• 1 Gbit/s

40
Tartalom

• Miért érdemes hálózati biztonsággal foglalkozni
• Tuzfal
• Személyi
• Hagyományos
• Típusai
• Állapotmentes
• Állapotköveto
• Proxy
• Architektúra változatok
• Egy rétegu
• Több rétegu
• Intranet tuzfal tervezés
• Határ tuzfal tervezés
• Megoldások
• Linux netfilter
• Windows ISA szerver
• Cisco - PIX
• Behatolás érzékelés
• Cisco

41
A következo eloadás tartalma

• DNS
• DNSSec