Sieťová bezpečnosť, firewalling Ing. Marek Lehuta

1. Sieťová bezpečnosť, firewalling Ing. Marek Lehuta Definícia a spracovanie bezpečnostnej politiky firmy Výskum FEI/FIIT STU

2. Úvod • Sieťová bezpečnostná politika firmy • Návrh a spôsob definície bezpečnostnej politiky • Spôsoby a metódy riešenia, implementácie • Voľba bezpečnostných mechanizmov, prvkov • Konkrétna implementácia vo zvolenom prostriedku

3. Ciele výskumu • Vhodná, univerzálna a zrozumiteľná forma definície sieťovej bezpečnostnej politiky • Zjednodušenie procesu návrhu a implementácie bezpečnostnej politiky • Automatizácia niektorých krokov pri implementácii bezpečnostnej politiky

4. Metódy definície a zápisu politiky • Prirodzený jazyk • Formálny jazyk pre zápis bezpečnostnej politiky • textová forma (jazyk SPL) • grafická forma (jazyk LaSCO) • Model bezpečnostnej politiky • všeobecný model (RBAC) • prispôsobený sieťový model (RBNS)

5. type = "student" type = "instructor" type = "exam_db" action = "submit-answer" time < $TP action = "post-soln" && time = $TP Formálny jazyk • Opisný jazyk SPL DutySep: ce.target.type = “paymentOrder“ & ce.action.name = “approve“ :: ce.author != ce.target.owner; • Jazyk LaSCO

6. RBNS model

7. Firewalls, bezpečnostné brány • Hlavný a najpoužívanejší prostriedok implementácie sieťovej bezpečnosti • Vo väčších sieťach časté využitie viacerých firewallov, vedie ku chybám z dôvodu zložitosti • Problém distribúcie bezpečnostných funkcií medzi jednotlivé zariadenia

8. Firewalls, bezpečnostné brány • Mnoho implementácií firewallov od rôznych výrobcov • Rôzne spôsoby konfigurácie a špeciálne konfiguračné nástroje • Rôzna úroveň kontroly a sledovania komunikácie • Aplikačné firewally (Cisco PIX, Checkpoint FW-1, ...) • Paketové filtre (Linux iptables, routre (ACL), ...)

9. Univerzálny nástroj • Nástroj pre definíciu sieťovej bezpečnostnej politikyv modeli RBNS • Definícia je nezávislá od konkrétneho cieľového zariadenia • Automatický preklad do konfiguračného súboru podporovaného firewallu (Linux iptables, Cisco ACL) • Možnosť priameho nasadenia konfigurácie na zariadení

10. User interaction Compiler Generator XML file configuration file database Funkcionalita nástroja

11. Implementácia • Hlavnou črtou nástroja dobrá prenositeľnosť a platformová nezávislosť • Implementačný jazyk Java • Úložisko dát o definovanej bezpečnostnej politike na databázovom SQL serveri

12. Panel pre definíciu rolí

13. Panel pre definíciu firewallov

14. Okno vzdialeného manažmentu

15. Príklad časti definície politiky • smtp: new service(“smtp”, “tcp”, “25”); • smtpAccess: ce.client = “smtp_client” AND ce.server = “smtp_server” :: ce.allowed_service = smtp; • corpNet: new host(“corp_net", "147.175.2.0", "255.255.255.0", { “smtp_client“, “http_client” }); • mServer: new host(“mserver", "147.175.1.11", "255.255.255.0", { “smtp_server” });

16. Príklad časti výstupu pre iptables • -A FORWARD -p tcp -m tcp -s 147.175.3.0/255.255.255.0 -d 147.175.1.11 -o dmz --dport 25 -m state --state NEW -j ACCEPT • -A FORWARD -p tcp -m tcp -s 147.175.3.0/255.255.255.0 -d 147.175.1.11 -i internal --dport 25 -m state –state NEW -j ACCEPT

17. Ďakujem za pozornosť Kontakt Simac Technik SR, s.r.o. Ing. Marek Lehuta marek.lehuta@simac.sk