Захист комп'ютерних мереж за допомогою брандмауеру Лекція 8
Навчальні питання 1.Види загроз комп'ютерним мережам. 2.Засоби захисту комп'ютерних мереж Брандмауери. 3.Фільтрація трафіку за допомогою списків контролю доступу (Access Control List, ACL).
Хто володіє інформацією – той керує світом. Руперт Мердок
Еволюція Інтернету: погляд в перспективі до 2025 року 25 серпня 2010 р. Звіт, що був підготовлений Cisco спільно з компанією Global Business Network За даними компанії Symantec 65% користувачів Інтернету бували жертвами різного роду атак. Тому за думкою спеціалістів Cisco у Мережі можуть з'явитися безпечні аналоги з доступом до них на платній основі. Можливій розвиток Інтернету
1. Види загроз комп'ютерним мережам
6 Основні поняття безпеки Конфіденційність ЦілісністьДоступність Засоби, яки дозволяють приховувати інформацію. Звичайно це досягається за допомогою шифрування. Захист інформації від випадкового або навмисного пошкодження (видалення). Ресурс системи, який запрошує легальний користувач повинен бути наданим йому у використання. Суттю захисту інформації є її доступність при збереженні цілісності інформації та гарантованій конфіденційності.
7 Загрози Під загрозою розуміється будь-яка подія, що потенційно може завдати шкоди організації шляхом розкриття (порушення конфіденційності), модифікації або руйнування інформації (порушення цілісності), або відмови в обслуговуванні критичними сервісами (порушення доступу).
Людський фактор Однією із основних потенційних загроз для інформаційних систем є так званий людський фактор – цілеспрямовані або випадкові деструктивні дії персоналу, оскільки вони складають до 75% усіх випадків.
Види загроз черв'якивіруситрояни Програми-реклами (Adware) Програми-шпигуни (Spyware) потенційно небезпечні програми Програми-жарти руткіти атаки хакерів фішинг спам вішинг
Соціотехніка
Фішинг За даними Symantec 22% операцій на серверах хакерів пов'язані з продажею зламаних банківських рахунків. RSA conference 2008 КО квітня 2008 року
Фішинг У 2008 році компанія Symantec, яка є одним з лідерів в області інформаційної безпеки, виявила фішингових Web-сайтів, що на 66% більше, ніж у 2007 році (33428 сайтів). 76% всіх фішингових Web-сайтів відносяться до сектору фінансових послуг (проти 52% у 2007 році). КО-14 / 21 квітня 2009 року
Вішинг
Віруси, черві В перші десятиліття комп'ютерної епохи основну небезпеку представляли хакери, зараз безпека інформації прогресує через комп'ютерні віруси (черві), що розповсюджуються за допомогою глобальної мережі Internet
Віруси
Самі відомі віруси
Віруси Кількість вірусів, що були виявлені з 2003 року спеціалістами лабораторії Касперського Згідно звіту, зростання числа нових шкідливих програм в порівнянні з 2005 р. склало 41%. При цьому стрімко збільшується кількість «троянських» програм- шпигунів, орієнтованих на крадіжку даних користувачів онлайн-ігор, і спостерігається подальший розвиток «троянцев»- шифровальщиків. Також наголошується підвищена увага тих, хто пишуть віруси до Microsoft Office, в якому було знайдено багато нових уразливостей.
Черві На кінець 2008 року більш 1 млн комп'ютерів були заражені черв'яком Downadup (Conficker), який швидко розповсюджувався в Інтернет завдяки декільком механізмів розмноження. У першому кварталі 2009 року Conficker було заражено вже 3 млн комп'ютерів.
Троянський кінь Trojan-Downloader.Win32
DDoS-атака Найбільшу небезпеку для інформаційних систем в цілому складають атаки типу «відмова в обслуговуванні» (Denial of service – DOS). На даний час відсутні засоби 100% захисту компютерних мереж від атак даного типу. SYN Flood Ping of Death
Висновки
2. Засоби захисту комп'ютерних мереж. Брандмауери.
Вступ Для організації захисту компютерної мережі створюється відповідна система, яка є багатоланковою і ешелонованою.
Система захисту комп'ютерної мережі
Firewall Брандмауєром (firewall) називається стіна, що зроблена з негорючих матеріалів і перешкоджаюча розповсюдженню пожежі. Першим програмним або апаратним елементом системи захисту, який встановлюється на периметрі мережі для контролю за вхідним та вихідним трафіком є брандмауер.
Покоління брандмауерів Брандмауери експертного рівня (stateful packet inspection) 4 Фільтри пакетів (packet-filtering firewall) 1 Шлюзи прикладного рівня (application-level gateway) 3 Шлюзи рівня з'єднання (circuit-level gateway) 2 Рівень захисту t
Класифікація брандмауерів персональні брандмауери корпоративні брандмауери апаратні брандмауери програмні брандмауери
Фільтри пакетів Аналізують ІР-адреси відправника/одержувача тип протоколу номери портів протоколів ТСР/UDP Недоліки -низький рівень безпеки -складність налаштування і адміністрування - при збільшенні кількості правил зменшується продуктивність фільтрації
ММЕ рівня з'єднання Session state table – таблиця з'єднань: інформація про стан з'єднання встановлюється, встановлено, закінчено мають підвищений рівень безпеки
ММЕ прикладного рівня Можуть блокувати певні команди Переривати з'єднання, у випадку невірної послідовності команд Можуть блокувати завантаження певних файлів або файлів визначеного типу брандмауер Міжмережеві екрани (ММЕ) прикладного рівня не виробляються у вигляді окремих пристроїв, а є службами ММЕ з повною пакетною перевіркою
Statefull Packet Inspection Міжмережевий екран з повною пакетною перевіркою Мають можливість аналізувати пакети на всіх рівнях моделі OSI Більшість сучасних брандмауерів основана на використанні даної технології
Proxy – більш високий рівень безпеки, але мають невелику продуктивність Transporent Cisco ASA 5580 Міжмережеві екрані рівня з'єднання і рівня додатків бувають 2 типів: прозорі та посередники (proxy)
DMZ Демілітаризована зона – спеціальна область мережі, у якої розміщуються мережеві пристрої (сервери), до яких необхідно забезпечити доступ з боку користувачів Інтернет
DMZ
3. Фільтрація трафіку за допомогою списків контролю доступу (Access Control List, ACL)
Фільтрація трафіку Фільтрація являє собою процес аналізу вмісту пакету з метою дозволу або блокування його передачі. Фільтрація дозволяє адміністратору контролювати трафік у різних сегментах мережі. Фільтрація за протоколомза МАС-адресоюза ІР-адресоюза додатком
Списки контролю доступу Access Control List (ACL-списки) Фільтрація трафіку реалізується на основі списків доступу. ACL-списки можна використовувати для управління вхідним і існуючим трафіком в мережі та його фільтрації. Проблеми Додаткове навантаження на маршрутизатор Робота мережі може бути порушена Не вірно налаштовані списки можуть заборонити допустимий трафік і дозволити заборонений
Типи ACL-списків СтандартнийРозширенийІменований Особливість стандартних ACL-списків Такий тип ACL-списку корисний для дозволу доступу всіх служб певного користувача або локальної мережі (LAN) через маршрутизатор з забороною доступу з інших IP-адрес. Кожному стандартному ACL-списку надається номер з діапазонів: та фільтрація здійснюється на основі вихідної IP-адреси. Router(config)# access-list 1 permit host Приклад команди створення стандартного списку, яка дозволяє доступ до мережі з окремого вузла
Типи ACL-списків СтандартнийРозширенийІменований Особливість розширених ACL-списків Розширені ACL-списки використовуються частіше стандартних, оскільки вони є більш визначеними і забезпечують більш високий рівень контролю. Розширеним ACL-списками присвоюються номери з діапазонів від 100 до 199 і від 2000 до фільтрація здійснюється на основі вихідної та кінцевої IP-адреси, а також за протоколом і номерами портів Router(config)# access-list 100 deny tcp any eq telnet Забороняє доступ з підмережі /24 до будь-якого іншого вузла за допомогою протоколу Telnet
Типи ACL-списків СтандартнийРозширенийІменований Особливість іменованих ACL-списків Іменовані ACL-списки (NaCl-списки) мають формат стандартного або розширеного списку і позначаються описовим ім'ям, а не номером. При налаштуванні іменованих ACL-списків IOS маршрутизатору використовує режим підкоманд NaCl. фільтрація здійснюється на основі вихідної та кінцевої IP-адреси, а також за протоколом і номерами портів Router(config)# ip access-list standart permit-ip Router(config-ext-nacl)#permit host Створюється стандартний список доступу з ім'ям дозволу IP Дозволяє доступ з IP-адреси
Типи ACL-списків
Параметри ACL-списку permit – дозволити deny - заборонити ACL-список, який немає жодної інструкції, що дозволяє певний трафік, забороняє будь-який трафік
Вправа Мережа з маскою або /26 створює 4 підмережі: / / / /26 access-list 55 permit access-list 55 permit Якщо підсумувати маски, те команду можна записати одним рядком: access-list 55 permit Задача: надати дозвіл обміну даними з першими двома підмережами. Групова маска має вигляд: Якою буде команда, якщо умова задачі стосується 3 і 4 підмереж?
Параметр host Для фільтрації трафіку з одного визначеного вузла використовується групова маска або параметр host. R1(config)#access-list 9 deny aбо R1(config)#access-list 9 deny host
Параметр any Для фільтрації трафіку всіх вузлів використовується групова маска разом з ІР- адресою вузла або параметр any. R1(config)#access-list 9 permit aбо R1(config)#access-list 9 permit any
Обробка ACL-списку ACL-списки бувають вхідні і вихідні. Списки зв'язуються з інтерфейсами маршрутизатору. Вхідний або вихідний напрям завжди розглядається з точки зору маршрутизатора. Трафік, що поступає через інтерфейс, є вхідним, а що відправляється через інтерфейс - вихідним. Для кожного інтерфейсу маршрутизатор може мати один ACL-список для одного напрямку по кожному мережевому протоколу. Для IP-протоколу, один інтерфейс може мати один вхідний ACL-список і один вихідний ACL-список одночасно.
Застосування списків Задача застосування списків вирішується у такі етапи: вибір типу списку вибір маршрутизатору вибір інтерфейсу маршрутизатору
Розміщення списків Стандартні ACL-списки необхідно розміщувати ближче до кінцевих вузлів
Розміщення списків Завдяки аналізу по вихідній і кінцевій адресі, ACL-список дозволяє блокувати пакети, що направляються в певну кінцеву мережу перш, ніж вони покинуть вихідний маршрутизатор. Пакети фільтруються перш, ніж вони перетнуть кордон мережі, що допомагає підтримувати пропускну здатність. Розширений ACL-список краще розміщувати ближче до вихідної адреси.
Команди створення ACL-списків
Створення списку Синтаксис команди створення стандартного ACL-списку наступний: access-list [номер-списку-доступу] [deny | permit] [вихідна ІР-адреса] [вихідна-групова маска] [log] Синтаксис команди видалення ACL-списку наступний no access-list [номер списку]
Створення списку Синтаксис команди створення розширеного ACL-списку наступний access-list [номер-списку-доступу] {deny | permit} {protocol | protocol-keyword} - наприклад IP, TCP, UDP, ICMP тощо {[вихідна ІР-адреса] [вихідна-групова маска] | any} [source-port] {[кінцева ІР-адреса] [кінцева-групова маска] | any} [log] Використання параметру protocol здійснюється разом з параметром source-port – число з діапазону 0…255
Застосування списку Виконується в 2 етапи: 1.Визначається маршрутизатор та його інтерфейс, для якого буде використовуватися ACL-список. 2. Здійснюється вибір напрямку фільтрації трафіку. Router1(config)# int s0/0/0 Router1(config-if)#ip access-group 101 in Дані команди забезпечують застосування створеного ACL-списку 101 до послідовного інтерфейсу маршрутизатору s0/0/0, параметр in визначає напрям обробки трафіку, в даному випадку це вхідний трафік. Якщо трафік вихідний, те потрібно застосовувати параметр out.
Перегляд списку Переглянуті список можна за допомогою команди sh access-list, наприклад: Router3#sh access-list Extended IP access list 101 deny tcp any any eq telnet permit ip any any Router3#
Висновки
Недоліки брандмауерів МСЭ сервер Web сервер Роутер Рабочие станции Сеть Сервера Обхід скрізь модем Филиал
Недоліки брандмауерів МСЭ сервер Web сервер Роутер Рабочие станции Сеть Сервера Обхід з середини Филиал
Недоліки брандмауерів МСЭ сервер Web сервер Роутер Рабочие станции Сеть Сервера Туннелирование Филиал Разрешенный протокол
Недоліки брандмауерів брандмауер сервер Web сервер Роутер Робочі станції Мережа Сервера Неправильна конфігурація Філія
Недоліки брандмауерів МСЭ сервер Web сервер Роутер Рабочие станции Сеть Сервера Атака на ММЕ Филиал
Недоліки брандмауерів МСЭ сервер Web сервер Роутер Рабочие станции Сеть Сервера Заміна адреси Trusted Network
Недоліки брандмауерів МСЭ сервер Web сервер Роутер Рабочие станции Сеть Сервера Перехоплений пароль Trusted Network Вася Пупкин ************ Организация
Недоліки брандмауерів МСЭ сервер Web сервер Роутер Рабочие станции Сеть Сервера Заміна контекста Trusted Network
2008 рік
2010 рік Products tested against the suite with 148 tests
Висновок Застосування тільки даного засобу не забезпечує надійний захист мережі Необхідно використовувати додаткові засоби
Питання ?