1 / 24

INFORMACINĖ SAUGA III. LOKALIŲ TINKLŲ APSAUGA

INFORMACINĖ SAUGA III. LOKALIŲ TINKLŲ APSAUGA. KTU Kompiuterių katedra Doc. A. Venčkauskas algvenck @ifko.ktu.lt www.ifko.ktu.lt/~algvenck i s0 3. Lokalaus tinklo atakos. slaptažodžių “nulaužimas”, operacinės sistemos trūkumų apsaugos srityje panaudojimas, IP adreso pavogimas,

lola
Download Presentation

INFORMACINĖ SAUGA III. LOKALIŲ TINKLŲ APSAUGA

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. INFORMACINĖ SAUGAIII. LOKALIŲ TINKLŲ APSAUGA KTU Kompiuterių katedra Doc. A. Venčkauskas algvenck@ifko.ktu.ltwww.ifko.ktu.lt/~algvenck is03

  2. Lokalaus tinklo atakos • slaptažodžių “nulaužimas”, • operacinės sistemos trūkumų apsaugos srityje panaudojimas, • IP adreso pavogimas, • tinklu keliaujančių paketų analizavimas, • terminalo ar prisijungimo sesijos užgrobimas

  3. Kai kurie užtvarų apibrėžimai • Užtvara - komponentas ar aibė sudėtinių komponentų, kurie uždraudžia priėjimą prie apsaugoto tinklo ir Internet’o arba tarp kelių atskirų tinklų. • Host - kompiuterinė sistema, prijungta prie tinklo. • Bastion host (įtvirtintas) - kompiuterinė sistema, kuri turi turėti labai gerą apsaugą, nes ji gali būti pirmiausia pažeista atakų. Dažniausiai ši sistema yra matoma iš Internet’o ir ji yra pagrindinis taškas, per kurį vartotojai gali prieiti iš kitų tinklų.

  4. Kai kurie užtvarų apibrėžimai(2) • Dual-homes host - tai specializuotos kompiuterinės sistemos, kurios turi mažiausiai du tinklinius interfeisus (arba homes). • Paketas - esminis ryšio elementas Internete.

  5. Pagrindiniai LAN apsaugos metodai • Paketų filtravimas • Perimetrinis tinklas (perimeter network) • Įgaliotasis serveris (Proxy server)

  6. Paketų filtravimas

  7. Įgaliotieji (Proxy) servisai

  8. Dual-Homed Host tinklo architektūra

  9. Ekranuoto hosto architektūra

  10. Ekranuoto potinklio architektūra

  11. Kelių bastioninių hostų panaudojimas

  12. Architektūra, naudojanti vidinio ir išorinio maršrutizatorių apjungimą

  13. Bastioninio hosto apjungimas su išoriniu maršrutizatoriumi

  14. Architektūra, panaudojanti apjungtą bastioninį hostą ir vidinį maršrutizatorių

  15. Keletas vidinių tinklų (atskirti interfeisai viename maršrutizatoriuje)

  16. Keletas vidinių tinklų, magistralinė architektūra

  17. Linux ipchains • Paketų filtras - programa, analizuojanti paketų pradžią ir draudžianti ar leidžianti paketui judėti toliau. Yra skirtumas tarp draudimo (deny) ir atsisakymo (reject). Draudimas - sistema atmeta paketą taip, kad siuntėjas manytų, jog paketas dingo pakeliui. Atsisakymas - kai sistema praneša siuntėjui, jog jo paketas nepraleidžiamas.

  18. Kam reikia paketų filtro? • Valdymas - galimybė valdyti duomenų srautą. Pvz., jūs turite būti tikras, kad svarbi informacija neišeis iš vidinio tinklo į interneto platybes. • Saugumas. Kai Linux stovi vienas prieš vieną su interneto chaosu ir dar dirba kaip tiltas į internetą vidinio tinklo kompiuteriams, jūs turite žinoti, kas ir kur vaikšto per tiltą. Ar tiltu nesinaudojama tam, kad pašalinis veikėjas galėtų šniukštinėti jūsų vidiniame tinkle? “Ugnies siena” gali apsaugoti nuo išorės jūsų vidinį tinklą.

  19. ipchains - taisyklių sąrašai, grandinėlės (chains). • input (įėjimo taisyklės) • output (išėjimo taisyklės) • forward (persiuntimo taisyklės)

  20. Ipchains darbo algoritmas • Kontrolinės sumos tikrinimas (Checksum) - tikrinama, ar paketas nepažeistas. Jei paketas pažeistas - jis atmetamas. • Paskirtis (Sanity) - tikrinama, kam skirtas paketas, kam jo reikia ir kodėl. Daugelis paketų atmetama čia, bet iėjimo grandinėlė turi aukštesnį prioritetą. • Įėjimo grandinėlė (input) - pirmoji grandis, kur paketai atsijojami. Jei grandinėlės sprendimas praleisti (ACCEPT) - paketas juda toliau.

  21. Ipchains darbo algoritmas (2) • Kaukės nuėmimas (Demasquaerade) - jei paketas yra atsakymas į ankstesnį paketą su kauke - jis “demaskaradinamas” ir iškart praleidžiamas į išėjimo grandinėlę. • Maršrutizavimas (routing) - paketo laukas “gavėjas” tikrinamas programa, atsakinga už tai, kur paketas keliaus toliau - ar jis bus tikrinamas lokaliai, ar bus persiųstas į kitą mašiną. Žr. Persiuntimas.

  22. Ipchains darbo algoritmas (3) • Lokalus tikrinimas (local) - uždavinys, paleistas lokaliame kompiuteryje, paketas gali gauti tik tada, kai jis praeis maršrutizavimą. Atsakymo paketai eis per išėjimo grandinėlę, po to per “lo” interfeiso įėjimo grandinėlę, jei paketas skirtas procesui šitoje pačioje mašinoje arba per išėjimo grandinėlę. Jei paketas sukurtas ne programos, veikiančios lokaliame kompiuteryje, tai tikrinama persiuntimo (forward) grandis, kitu atveju paketas eina iškart I išejima (output).

  23. Ipchains darbo algoritmas (4) • Persiuntimas (forward) - visi tranzitiniai paketai praeina šios grandinėlės patikrinimą. • Išėjimo (output) grandinėlė - ši grandinėlė skirta visiems paketams, kuriuos siunčia ši mašina.

  24. Ipchains taisyklių turinys • Gavėjų ir siuntėjų ip adresai • Protokolas • TCP ir UDP portai • ICMP tipas ir kodas • Interfeisas (NIC) • TCP SYN paketų aprašymas • Paketų fragmentavimas

More Related