1 / 41

Datasikkerhet vår 2003

Datasikkerhet vår 2003. Forelesning 12 Brannmurer. Bakgrunn. Informasjonssystemer er i konstant endring fra små lokalnett til tilknytning/ sammenknytning via Internett Sterke sikkerhetsmekanismer er ikke på plass for arbeidsstasjoner og tjenermaskiner. Design-prinsipper.

aimon
Download Presentation

Datasikkerhet vår 2003

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Datasikkerhet vår 2003 Forelesning 12 Brannmurer

  2. Bakgrunn • Informasjonssystemer er i konstant endring • fra små lokalnett til tilknytning/ sammenknytning via Internett • Sterke sikkerhetsmekanismer er ikke på plass for arbeidsstasjoner og tjenermaskiner HiØ Forelesning 12

  3. Design-prinsipper • Brannmuren plasseres mellom eget nettverk og Internett • Mål: • Etablere en kontrollert linje; • Beskytte eget nettverk mot Internett-baserte angrep; • Tilby ett enkelt punkt der trafikken kan blokkeres; HiØ Forelesning 12

  4. Brannmurer • Mål for design av brannmur • All trafikk inn og ut av nett skal passere gjennom brannmuren • Kun autorisert trafikk, definert av den lokale sikkerhetspolicy, skal tillates å passere • Brannmuren skal selv være immun mot innbrudd HiØ Forelesning 12

  5. Fire generelle teknikker • Kontroll med tjenestene. • Bestemmer hvilke Internett-tjenester som kan aksesseres - innkommende og utgående. • Kan filtrere på basis av IP-adresser og TCP portnummer; • Kan omfatte proxy-programvare som mottar og interpreterer ”service requests” • Retningskontroll • Hvilken vei kan en gitt tjeneste initieres (skal f.eks. ftp kunne initieres innenfra, utenfra eller begge veier) • hvilken vei kan data flyte • Brukerkontroll • Kontrollere aksess basert på hvem brukeren er • Kan benyttes begge veier • Oppførselskontroll • Kontrollere hvordan tjenester brukes - f.eks. filtrere epost meldinger for å hindre ”spamming” HiØ Forelesning 12

  6. Muligheter • Definerer en enkel sluse; • som holder uautoriserte brukere ute (og egne brukere og tjenester inne) • ett punkt forenkler sikringen/konfigureringen (men kan bli en flaskehals) • Ett enkelt sted der trafikk kan overvåkes og logges - implementere revisjon og sikkerhetsalarmer • Et hensiktsmessig sted å plassere diverse felles funksjonalitet • adressekonvertering far eksternt til internt adresserom • Plattform for sikkerhetsfunksjoner • IPsec • kryptografiske tuneller • autentisering av eksterne FW HiØ Forelesning 12

  7. Begrensninger • Beskytter ikke mot ”bakdører” • modemer eller andre offisiellle eller uoffisielle tilknytninger til eksternt nett • Beskytter ikke mot interne trusler • Kan ha problemer med å stanse ondsinnet programvare ol. i vedlegg siden man på baksiden av brannmuren kan ha mange forskjellige systemer/operativsystemer HiØ Forelesning 12

  8. Typer brannmurer • Pakkefiltere • Portnere på applikasjonsnivå • ”Linjebasert” portnere (circuit level) • Bastion host HiØ Forelesning 12

  9. Pakkefilter HiØ Forelesning 12

  10. Pakkefilter funksjonalitet • Håndhever et sett regler på mottatte IP pakker • videreformidler (forward) eller forkaster (discard) • filtrerer begge veier - innkommende og utgående • filtrere på felt i IP og transport (f.eks. TCP og UDP) hode • avsender IPadresse, mottager IPadresse, protokollfelt (TCP/UDP), portnummer • konfigureres som et sett med regler som skal avgjøre om forward eller discard. • Hvis ingen regel kommer til anvendelse, benyttes standard, som kan være discard (konservativ, initielt alt er stengt inntil man bevisst åpner) eller forward HiØ Forelesning 12

  11. Pakkefiltereksempel A Innkommende epost tillates, men kun til en portner (GW). Epost fra Lurum avvises. (Vi har blitt spammet av dem tidligere). NB for rekkefølgen! HiØ Forelesning 12

  12. Pakkefiltereksempel B Standard (default) policy. Alle regelsett avsluttes implisitt med denne HiØ Forelesning 12

  13. Pakkefiltereksempel C Avsenderadresse er en maske - vårt adresserom. Avsender fra vårt nett kan sende til alle, på port no 25. Innkommende pakker aksepteres på port 25 hvis ACK flagget er satt. HiØ Forelesning 12

  14. Pakkefiltereksempel D Tillater alle pakker sendt fra oss; Svar på disse fra mottager; Tillat pakker til høye portnummer. HiØ Forelesning 12

  15. Fordeler og ulemper • Fordeler • Enkle regler • transparente for brukere • raske • Ulemper • Vanskelig å sette opp alle reglene komplett og riktig • Ingen autentisering HiØ Forelesning 12

  16. Angrep på pakkefiltere • IP address spoofing • Angriper sender pakker fra utsiden med avsenderadresse fra maskin på innsiden • Tiltak: Ikke tillate pakker fra utsiden med avsenderadresse fra vårt adresserom • Fragmenteringsangrep • Angriper sender pakker delt opp i små fragmenter, TCP header deles på flere fragmenter. Forsøker å omgå filterregler som avhenger av TCP header info, og som kanskje kun tester på første fragment • Tiltak: Avvise alle TCP pakker som er fragmentert (IP Fragment Offset lik 1 HiØ Forelesning 12

  17. Proxy basert brannmur HiØ Forelesning 12

  18. Funksjonalitet Proxy gateway • Fungerer som rele på trafikk på applikasjonsnivå • Inneholder proxyer (stedfortreder) for de aktuelle applikasjoner • Inneholder gjerne også pakkefilterfunksjonalitet • Kan regulere hvilke brukere som får bruke hvilke applikasjoner • Transparent: Ingen autentisering av innsidere • Ikke-transparent: pålogging på brannmur • Sterk autentisering på innkommende anrop • Aktivitet kan logges • Isolerer intern IP trafikk fra ekstern • Privat adresserom på innsiden av brannmur • Skjuler eksistensen av interne systemer • Kan regulere på applikasjonsspesifikke funksjoner - FTP Put file • NB! Hver ny applikasjon krever ny (proxy-)programvare HiØ Forelesning 12

  19. Eksempel brannmur konfigurasjon HiØ Forelesning 12

  20. Eksempel - aksessliste i proxy basert brannmur HiØ Forelesning 12

  21. ”Linjebasert” brannmur HiØ Forelesning 12

  22. Linjebasert (circuit-level) • Setter opp to forbindelser (en på innsiden og en på utsiden) • Kopierer segmenter fra en forbindelse til den andre • Ingen bevissthet om applikasjonsfunksjoner • Regulerer på bakgrunn av til/fra adresser. HiØ Forelesning 12

  23. Tre arkitekturer • Screened host brannmurer (single-homed bastion host) • Dual homed host • Screened subnet HiØ Forelesning 12

  24. Single homed bastion host HiØ Forelesning 12

  25. Screened host firewallSingle-homed bastion • Brannmur består av to systemer • Ruter med pakkefilterfunksjonalitet • En ”bastion host” • Ruter konfigureres slik at • Trafikk fra utsiden kun aksepteres hvis mottaker er bastion. • Trafikk ut fra innsiden aksepteres kun hvis avsender er bastion. • Hvis ruter kompromitteres vil trafikk kunne omgå brannmur • Bastion host utfører autentisering og proxy-funksjoner • Fordeler • Implementerer både pakkefilter og applikasjonsnivåfiltrering • En angriper må trenge gjennom to forskjellige systemer • Ulempe • Hvis ruter kompromitteres vil trafikk kunne omgå brannmur HiØ Forelesning 12

  26. Dual homed host HiØ Forelesning 12

  27. Dual homed host • All trafikk må gjennom proxy server; • Ikke helt avhengig av ruteren med pakkefilter; HiØ Forelesning 12

  28. Screened subnet HiØ Forelesning 12

  29. Screened subnet • Det er nå tre barrierer på veien inn • Ruter; Bastion; Ruter. • Innkommende • Kun adresse til subnet med Bastion kjent på utsiden • Privat nett skjult bak innerste ruter – med eget adresseområde • Utgående • Kun subnettets adresser kjent for systemer på privat nett; • De kan derfor ikke selv sette opp direkte forbindelser til systemer på internett HiØ Forelesning 12

  30. Internett Brannmur og DMZ DMZ Internt nett DMZ= Demilitarisert sone Web- server FTP- server HiØ Forelesning 12

  31. Trusted Systems • En måte å forbedre evnen til å forsvare systemer mot inntrengere og ondsinnet programvare. HiØ Forelesning 12

  32. Data Access Control • Ved login kan en bruker identifiseres og auteniseres overfor systemet • Assosiert med hver bruker kan det finnes en profil som spesifiserer lovlige handlinger og filaksess • Operativsystemet kan håndheve regler basert på brukerprofilen. HiØ Forelesning 12

  33. Aksesskontroll • Generelle aksesskontrollmodeller: • Aksesskontrollmatriser • Aksesskontrollister • Adgangskortlister (capability list) • Sikkerhetsmerker HiØ Forelesning 12

  34. Aksesskontroll • Aksesskontrollmatrise HiØ Forelesning 12

  35. Aksesskontroll • Aksesskontrollmatrise – grunnleggende elementer • Subjekter: “Noe” som kan aksessere objekter. • Typisk prosess på vegne av bruker • Objekt: Alle ressurser som er underlagt aksesskontroll • f.eks. filer, programmer, kanaler • Aksessrettighet: Den måten som et objekt brukes av et subjekt • f.eks. Lese, skrive, eksekvere HiØ Forelesning 12

  36. Aksesskontroll • Aksesskontrolliste: Matrisens kolonner • Til hvert objekt finnes en liste over vilke subjekter som har rettigheter og vilke disse rettigheter er • Adgangskort - Matrisens rader • Hvert subjekt har adgangskort som inneholder spesifikasjoner av vilke objekter subjektet har rettigheter og og vilke rettigheter dette er HiØ Forelesning 12

  37. Trusted Systems - Konseptet • Beskyttelse av data og andre ressurser på basis av sikkerhetsnivåer (f.eks. militære) • Brukere kan gis klarering til visse kategorier av data • Flernivå sikkerhet • Definisjon av flere nivåer av data • Et flernivåsikkert system må håndheve: • No read up (ikke lese ovenfor). Et subjekt kan kun lese objekter med lavere eller samme sikkerhetsnivå. • No write down (Ikke skrive nedover): Et subjekt kan kun skrive til et objekt på samme eller høyere sikkerhetsnivå. HiØ Forelesning 12

  38. Trusted Systems - Konseptet HiØ Forelesning 12

  39. Trusted Systems – Reference monitor • Refernce monitor • Er kontrollerende element i maskinvare og operativsystem som regulerer aksess til objekter på bakgrunn av sikkerhetsparametre • Har aksess til en fil – sikkerhetskjernens database • Håndhever sikkerhetsreglene (policyen - no read up, no write down) • Egenskaper ved “Reference Monitor” • Fullstendig “formidling” (mediation); • Policy/regler håndheves for hver aksess • Isolering: • Monitor og database beskyttet mot uautorisert modifikasjon • Verifiserbar: • Monitorens korrekthet må kunne bevises (matematisk) • Et system som tilfredsstiller disse krav er “Trusted” HiØ Forelesning 12

  40. ”Trusted Systems” som forsvar mot Trojanske hester HiØ Forelesning 12

  41. ”Trusted Systems” som forsvar mot Trojanske hester HiØ Forelesning 12

More Related