Захист комп'ютерних мереж за допомогою брандмауеру Лекція № 8
Навчальні питання 1. Види загроз комп'ютерним мережам. 2. Засоби захисту комп'ютерних мереж Брандмауери. 3. Фільтрація трафіку за допомогою списків контролю доступу (Access Control List, ACL).
Хто володіє інформацією – той керує світом. Руперт Мердок
Можливій розвиток Інтернету Еволюція Інтернету: погляд в перспективі до 2025 року 25 серпня 2010 р. Звіт, що був підготовлений Cisco спільно з компанією Global Business Network За даними компанії Symantec 65% користувачів Інтернету бували жертвами різного роду атак. Тому за думкою спеціалістів Cisco у Мережі можуть з'явитися безпечні аналоги з доступом до них на платній основі.
1. Види загроз комп'ютерним мережам
Основні поняття безпеки Цілісність Конфіденційність Доступність Захист інформації від випадкового або навмисного пошкодження (видалення). Засоби, яки дозволяють приховувати інформацію. Звичайно це досягається за допомогою шифрування. Ресурс системи, який запрошує легальний користувач повинен бути наданим йому у використання. Суттю захисту інформації є її доступність при збереженні цілісності інформації та гарантованій конфіденційності. 6
Загрози • Під загрозою розуміється будь-яка подія, що потенційно може завдати шкоди організації шляхом розкриття (порушення конфіденційності), модифікації або руйнування інформації (порушення цілісності), або відмови в обслуговуванні критичними сервісами (порушення доступу). 7
Людський фактор Однією із основних потенційних загроз для інформаційних систем є так званий людський фактор – цілеспрямовані або випадкові деструктивні дії персоналу, оскільки вони складають до 75% усіх випадків.
Види загроз Програми-реклами (Adware) Програми-шпигуни (Spyware) потенційно небезпечні програми Програми-жарти атаки хакерів черв'яки віруси руткіти фішинг спам вішинг трояни
Соціотехніка
Фішинг За даними Symantec 22% операцій на серверах хакерів пов'язані з продажею зламаних банківських рахунків. RSA conference 2008 КО № 16 22 квітня 2008 року
Фішинг У 2008 році компанія Symantec, яка є одним з лідерів в області інформаційної безпеки, виявила 55389 фішингових Web-сайтів, що на 66% більше, ніж у 2007 році (33428 сайтів). 76% всіх фішингових Web-сайтів відносяться до сектору фінансових послуг (проти 52% у 2007 році). КО-14 / 21 квітня 2009 року
Вішинг
Віруси, черві В перші десятиліття комп'ютерної епохи основну небезпеку представляли хакери, зараз безпека інформації прогресує через комп'ютерні віруси (черві), що розповсюджуються за допомогою глобальної мережі Internet
Віруси
Самі відомі віруси
Віруси Згідно звіту, зростання числа нових шкідливих програм в порівнянні з 2005 р. склало 41%. Кількість вірусів, що були виявлені з 2003 року спеціалістами лабораторії Касперського При цьому стрімко збільшується кількість «троянських» програмшпигунів, орієнтованих на крадіжку даних користувачів онлайн-ігор, і спостерігається подальший розвиток «троянцев» шифровальщиків. Також наголошується підвищена увага тих, хто пишуть віруси до Microsoft Office, в якому було знайдено багато нових уразливостей.
Черві На кінець 2008 року більш 1 млн комп'ютерів були заражені черв'яком Downadup (Conficker), який швидко розповсюджувався в Інтернет завдяки декільком механізмів розмноження. У першому кварталі 2009 року Conficker було заражено вже 3 млн комп'ютерів.
Троянський кінь Trojan-Downloader. Win 32
DDo. S-атака Найбільшу небезпеку для інформаційних систем в цілому складають атаки типу «відмова в обслуговуванні» (Denial of service – DOS). На даний час відсутні засоби 100% захисту комп’ютерних мереж від атак даного типу. SYN Flood Ping of Death
Висновки
2. Засоби захисту комп'ютерних мереж. Брандмауери.
Вступ Для організації захисту комп’ютерної мережі створюється відповідна система, яка є багатоланковою і ешелонованою.
Система захисту комп'ютерної мережі
Firewall Першим програмним або апаратним елементом системи захисту, який встановлюється на периметрі мережі для контролю за вхідним та вихідним трафіком є брандмауер. Брандмауєром (firewall) називається стіна, що зроблена з негорючих матеріалів і перешкоджаюча розповсюдженню пожежі.
Покоління брандмауерів 4 Рівень захисту 3 Шлюзи прикладного рівня (application-level gateway) 2 1 Брандмауери експертного рівня (stateful packet inspection) Шлюзи рівня з'єднання (circuit-level gateway) Фільтри пакетів (packet -filtering firewall) t
Класифікація брандмауерів апаратні брандмауери програмні брандмауери корпоративні брандмауери персональні брандмауери
Фільтри пакетів Недоліки -низький рівень безпеки -складність налаштування і адміністрування - при збільшенні кількості правил зменшується продуктивність фільтрації Аналізують ІР-адреси відправника/одержувача тип протоколу номери портів протоколів ТСР/UDP
ММЕ рівня з'єднання мають підвищений рівень безпеки Session state table – таблиця з'єднань: інформація про стан з'єднання встановлюється, встановлено, закінчено
ММЕ прикладного рівня Міжмережеві екрани (ММЕ) прикладного рівня не виробляються у вигляді окремих пристроїв, а є службами ММЕ з повною пакетною перевіркою брандмауер Можуть блокувати певні команди Переривати з'єднання, у випадку невірної послідовності команд Можуть блокувати завантаження певних файлів або файлів визначеного типу
Statefull Packet Inspection Міжмережевий екран з повною пакетною перевіркою Мають можливість аналізувати пакети на всіх рівнях моделі OSI Більшість сучасних брандмауерів основана на використанні даної технології
Transporent Міжмережеві екрані рівня з'єднання і рівня додатків бувають 2 типів: прозорі та посередники (proxy) Proxy – більш високий рівень безпеки, але мають невелику продуктивність Cisco ASA 5580
DMZ Демілітаризована зона – спеціальна область мережі, у якої розміщуються мережеві пристрої (сервери), до яких необхідно забезпечити доступ з боку користувачів Інтернет
DMZ
3. Фільтрація трафіку за допомогою списків контролю доступу (Access Control List, ACL)
Фільтрація трафіку Фільтрація являє собою процес аналізу вмісту пакету з метою дозволу або блокування його передачі. Фільтрація дозволяє адміністратору контролювати трафік у різних сегментах мережі. Фільтрація за протоколом за МАС-адресою за ІР-адресою за додатком
Списки контролю доступу Access Control List (ACL-списки) Фільтрація трафіку реалізується на основі списків доступу. ACL-списки можна використовувати для управління вхідним і існуючим трафіком в мережі та його фільтрації. Проблеми Додаткове навантаження на маршрутизатор Робота мережі може бути порушена Не вірно налаштовані списки можуть заборонити допустимий трафік і дозволити заборонений
Типи ACL-списків Стандартний фільтрація здійснюється на основі вихідної IP-адреси. Розширений Іменований Особливість стандартних ACL-списків Такий тип ACL-списку корисний для дозволу доступу всіх служб певного користувача або локальної мережі (LAN) через маршрутизатор з забороною доступу з інших IP-адрес. Кожному стандартному ACL-списку надається номер з діапазонів: 1. . 99 та 1300. . 1999. Router(config)# access-list 1 permit host 172. 34. 12. 1 Приклад команди створення стандартного списку, яка дозволяє доступ до мережі з окремого вузла
Типи ACL-списків Стандартний Розширений Іменований фільтрація здійснюється на основі вихідної та кінцевої IP-адреси, а також за протоколом і номерами портів Особливість розширених ACL-списків Розширені ACL-списки використовуються частіше стандартних, оскільки вони є більш визначеними і забезпечують більш високий рівень контролю. Розширеним ACL-списками присвоюються номери з діапазонів від 100 до 199 і від 2000 до 2699. Router(config)# access-list 100 deny tcp 172. 16. 2. 0 0. 0. 0. 255 any eq telnet Забороняє доступ з підмережі 172. 16. 2. 0/24 до будь-якого іншого вузла за допомогою протоколу Telnet
Типи ACL-списків Стандартний Розширений Іменований фільтрація здійснюється на основі вихідної та кінцевої IP-адреси, а також за протоколом і номерами портів Особливість іменованих ACL-списків Іменовані ACL-списки (Na. Cl-списки) мають формат стандартного або розширеного списку і позначаються описовим ім'ям, а не номером. При налаштуванні іменованих ACL-списків IOS маршрутизатору використовує режим підкоманд Na. Cl. Router(config)# ip access-list standart permit-ip Router(config-ext-nacl)#permit host 192. 168. 5. 47 Створюється стандартний список доступу з ім'ям дозволу IP Дозволяє доступ з IP-адреси 192. 168. 5. 47
Типи ACL-списків
Параметри ACL-списку permit – дозволити deny - заборонити ACL-список, який немає жодної інструкції, що дозволяє певний трафік, забороняє будь-який трафік
Вправа Мережа 192. 168. 77. 0 з маскою 255. 192 або /26 створює 4 підмережі: 192. 168. 77. 0/26 192. 168. 77. 64/26 192. 168. 77. 128/26 192. 168. 77. 192/26 access-list 55 permit Задача: надати дозвіл обміну даними з першими двома підмережами. Групова маска має вигляд: 0. 0. 0. 63 192. 168. 77. 0 192. 168. 77. 64 0. 0. 0. 63 Якщо підсумувати маски, те команду можна записати одним рядком: access-list 55 permit 192. 168. 77. 0 0. 0. 0. 127 Якою буде команда, якщо умова задачі стосується 3 і 4 підмереж?
Параметр host Для фільтрації трафіку з одного визначеного вузла використовується групова маска 0. 0 або параметр host. R 1(config)#access-list 9 deny 192. 168. 15. 99 0. 0 aбо R 1(config)#access-list 9 deny host 192. 168. 15. 99
Параметр any Для фільтрації трафіку всіх вузлів використовується групова маска 255 разом з ІРадресою вузла 0. 0 або параметр any. R 1(config)#access-list 9 permit 0. 0 255 aбо R 1(config)#access-list 9 permit any
Обробка ACL-списку ACL-списки бувають вхідні і вихідні. Списки зв'язуються з інтерфейсами маршрутизатору. Вхідний або вихідний напрям завжди розглядається з точки зору маршрутизатора. Трафік, що поступає через інтерфейс, є вхідним, а що відправляється через інтерфейс - вихідним. Для кожного інтерфейсу маршрутизатор може мати один ACL-список для одного напрямку по кожному мережевому протоколу. Для IP-протоколу, один інтерфейс може мати один вхідний ACL-список і один вихідний ACL-список одночасно.
Застосування списків Задача застосування списків вирішується у такі етапи: • вибір типу списку • вибір маршрутизатору • вибір інтерфейсу маршрутизатору
Розміщення списків Стандартні ACL-списки необхідно розміщувати ближче до кінцевих вузлів
Розміщення списків Завдяки аналізу по вихідній і кінцевій адресі, ACL-список дозволяє блокувати пакети, що направляються в певну кінцеву мережу перш, ніж вони покинуть вихідний маршрутизатор. Пакети фільтруються перш, ніж вони перетнуть кордон мережі, що допомагає підтримувати пропускну здатність. Розширений ACL-список краще розміщувати ближче до вихідної адреси.
Команди створення ACL-списків
![Створення списку Синтаксис команди створення стандартного ACL-списку наступний: access-list [номер-списку-доступу] [deny | permit] [вихідна](https://present5.com/presentation/18904567_14673368/image-53.jpg "Створення списку Синтаксис команди створення стандартного ACL-списку наступний: access-list [номер-списку-доступу] [deny | permit] [вихідна")
Створення списку Синтаксис команди створення стандартного ACL-списку наступний: access-list [номер-списку-доступу] [deny | permit] [вихідна ІР-адреса] [вихідна-групова маска] [log] Синтаксис команди видалення ACL-списку наступний no access-list [номер списку]
![Створення списку Синтаксис команди створення розширеного ACL-списку наступний access-list [номер-списку-доступу] {deny | permit} {protocol](https://present5.com/presentation/18904567_14673368/image-54.jpg "Створення списку Синтаксис команди створення розширеного ACL-списку наступний access-list [номер-списку-доступу] {deny | permit} {protocol")
Створення списку Синтаксис команди створення розширеного ACL-списку наступний access-list [номер-списку-доступу] {deny | permit} {protocol | protocol-keyword} - наприклад IP, TCP, UDP, ICMP тощо {[вихідна ІР-адреса] [вихідна-групова маска] | any} [source-port] {[кінцева ІР-адреса] [кінцева-групова маска] | any} [log] Використання параметру protocol здійснюється разом з параметром source-port – число з діапазону 0… 255
Застосування списку Виконується в 2 етапи: 1. Визначається маршрутизатор та його інтерфейс, для якого буде використовуватися ACL-список. 2. Здійснюється вибір напрямку фільтрації трафіку. Router 1(config)# int s 0/0/0 Router 1(config-if)#ip access-group 101 in Дані команди забезпечують застосування створеного ACL-списку 101 до послідовного інтерфейсу маршрутизатору s 0/0/0, параметр in визначає напрям обробки трафіку, в даному випадку це вхідний трафік. Якщо трафік вихідний, те потрібно застосовувати параметр out.
Перегляд списку Переглянуті список можна за допомогою команди sh access-list, наприклад: Router 3#sh access-list Extended IP access list 101 deny tcp any eq telnet permit ip any Router 3#
Висновки
Недоліки брандмауерів Филиал Web сервер Сервера Роутер МСЭ Сеть Рабочие станции E-Mail сервер Обхід скрізь модем
Недоліки брандмауерів Обхід з середини Филиал Web сервер Сервера Роутер МСЭ Сеть Рабочие станции E-Mail сервер
Недоліки брандмауерів Филиал Web сервер Сервера Роутер МСЭ Сеть Рабочие станции E-Mail сервер Туннелирование Разрешенный протокол
Недоліки брандмауерів Філія Web сервер Сервера Роутер Мережа брандмауер Робочі станції E-Mail сервер Неправильна конфігурація
Недоліки брандмауерів Филиал Web сервер Сервера Роутер МСЭ Сеть Рабочие станции E-Mail сервер Атака на ММЕ
Недоліки брандмауерів Trusted Network Web сервер Сервера Роутер МСЭ Сеть Рабочие станции E-Mail сервер Заміна адреси
Недоліки брандмауерів Trusted Network Web сервер Сервера Роутер МСЭ Сеть Рабочие станции E-Mail сервер Перехоплений пароль Вася Пупкин ****** Организация
Недоліки брандмауерів Trusted Network Web сервер Сервера Роутер МСЭ Сеть Рабочие станции E-Mail сервер Заміна контекста
2008 рік
http: //www. matousec. com/projects/proactive-security-challenge/results. php
Products tested against the suite with 148 tests 2010 рік
Висновок Застосування тільки даного засобу не забезпечує надійний захист мережі Необхідно використовувати додаткові засоби
Питання ?
Скачать презентацию Захист комп ютерних мереж за допомогою брандмауеру Лекція
Lection - 8.ppt