1 / 17

04.28.

Tûzfalak. 04.28. Mi az a tûzfal?. Nehéz kérdés, vagy inkább könnyû?! „Csodaszer, kint tartja a virusokat, meg a csúnya-gonosz hackereket!” „Hálózati határvédelmi eszköz, ami a biztonságtechnikai szabályzat hálózati forgalomra vonatkozó szabályait betartatja.”

madison
Download Presentation

04.28.

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Tûzfalak 04.28.

  2. Mi az a tûzfal? • Nehéz kérdés, vagy inkább könnyû?! • „Csodaszer, kint tartja a virusokat, meg a csúnya-gonosz hackereket!” • „Hálózati határvédelmi eszköz, ami a biztonságtechnikai szabályzat hálózati forgalomra vonatkozó szabályait betartatja.” • Értsd: valamilyen módon szûri a hálózati forgalmat • A kérdés általában csak az, hogy ezt milyen módon teszi (flame-war)

  3. Vírus-keresõk újra • A legtõbb vírus/trójai/spyware már nem diskeken terjed, hanem a hálózaton keresztül • Ha sikerülne megfogni a veszélyes tartalmat a hálózaton, az jó lenne... • Worm-ok miatt a legtõbb kliens gép az interneten ki van téve valamilyen támadásnak • Egy alap winXP az interneten csak pár percet él túl • Megoldás: • Hálózati kapcsolatok ellenõrzése a kliens gépeken

  4. Personal-tûzfalak • Ez is tûzfal, még ha a „komoly-tûzfalasok” le is nézik... • Egy gép, általában kliens védelmét látják el • Ma többnyire integrálva vannak valamilyen vírus-keresõ megoldással • Nem csupán a hálózati forgalmat ellenõrzik! • Alap-elv: • Kivülrõl -> befelé mindent tilos • Belülrõl -> kifelé van pár dlog engedélyezve

  5. Personal-tûzfalak mûködése • Csomagokat általában kapcsolatonként kezelik, szûrik (tiltás, engedélyezés) • Kimenõ kapcsolatokat programokhoz, és ezen keresztül felhasználókhoz kötik. • Leginkább beépített policy-kat használnak, és automatikusan tanulnak • Kimenõ kacsolat kezelésére rákérdeznek a felhasználónál...

  6. Hálozati tûzfalak • Cél: hálózati határpontokon a forgalom szûrése • Markáns példa: Internet – Intranet • „Hálózati hozzáférés-vezérlés” • Hasonlóan mint egy „szerveren” a fájl-elérés • Probléma: hálózati szinten nehéz definiálni a hozzáférés tipusokat • Pl: egy web oldal lekérése az minek minõsül? • Cél: covert-channel-el minimalizálása • Mindent tilos, ami explicit nem engedélyezett! • (Minimal privilage) • Hardware – software megoldások

  7. Tûzfal transzparencia • Egy tûzfal transzparens, ha az engedélyezett szolgáltatások tekintetében észrevehetetlen • A kliens oldalon nem igényel semmilyen speciális beállítást, programot • A kliens ilyenkor közvetlenül a szerverhez kapcsolódik • Nem-transzparens eset, pl: böngészõben a proxy • Szerver oldalon a kapcsolatot a szerver a kliens felől érzékeli, nem a tûzfaltól

  8. Tûzfalak fejlõdése • Meglévõ eszközök kibõvítése • Router -> csomagszürõk • Bastion-host -> proxy • IDS+csomagszürõ -> IPS • A fõ cél általában a kényelem és az ár volt...

  9. Tûzfalak fejlõdése SOCKS PROXY IDS/IPS

  10. Tûzfalak szabályrendszere • Szabály rendszer legtõbbször valamilyen rule-settel van reprezentálva • ACL = Access Control List: • FROM 0.0.0.0/0 TO 0.0.0.0/0 PORT 80 ACCEPT • FROM 1.2.3.4 TO 5.6.7.8 PORT 22 ACCEPT • DENY

  11. L7 ellenörzés • Mai támadások általában az alkalmazás-szinten vannak, cél: ezt a szintet ellenörizni! • Probléma: csomgszürõ rendszerek inkább csak a hálózati réteggel foglalkoznak • IDS = Intrusion Detection System • Ismert minták alapján behatolás, támadás érzékelése, és riasztás • IPS = Intrusion Prevention System • IDS ami nem csak riaszt • Mindent szabad, ami nincs tiltva!

  12. IDS - IPS • Vannak host és hálózati szintû IDS-ek • Hálózati IDS figyeli a hálózati forgalmat (sniff) • Host IDS a gép egyes mûködési paramétereit ellenörzi (pl: syscal, napló stb.) • Preventiv – Detectiv hozzá-állás • Preventiv nem 100%-os, ezért kell a detectiv • Javítás Korektiv módszerekkel • Mi van a nem ismert támadásokkal? (0-day) • Vírus-keresõkhöz hasonló heurisztikák • Agregált, és statisztikai ingadozások figyelése

  13. UTM • Unified Threat Management • Egységes fenyegetés kezelés • Célja: a különbözõ veszély-források egységes kezelése • Általában probléma a túl nagy mennyiségû információ, és azok kezelése • Általában integrált vírus-keresõ, tûzfal, IDS/IPS rendszer (kávét sajnos nem fõz!) • Tipikus felhasználás: SMB piac • Ma már elterjedt enterprise környezetben is • Általános incidens menedzsment, even-corelation, risk mgmt stb.

  14. Speciális tûzfalak • Bizonyos „tûzfalak” speciális protokolok kezelésére vannak tervezve: gateway-ek • Nem a teljes forgalommal foglalkoznak, hanem csak egy jól meghatározott részével. • Virus-wall: virus/spam szûrés a hálózaton • Http, smtp, pop3 stb protokolokban • WEB-tûzfalak: csak a webes forgalom ellenõrzése, tartalom szûrés • XML-tûzfalak, sok kommunikáció használ XML alapu ûzeneteket: SOAP, XML-RPC (middleware)

  15. Pár tûzfal „termék” • Proxy • TIS FWTK, Gauntlet, Cyberguard, Zorp, Rex, Sidewinder G2, ALF • Csomagszürõ alap • CheckPoint/Nokia FW-1, Juniper Netscreen, Cisco PIX, iptables/ipchains/pf/ipf, Astaro Security Linux, • SonicWall • Socks + egyéb • MS ISA 2000

  16. Források • https://listserv.icsalabs.com/mailman/listinfo/firewall-wizards • http://www.icsalabs.com/icsa/main.php?pid=gddfg • http://www.balabi.hut/common-dl/wps/WP_theevolutionofthefirewall_060626_hu.pdf

  17. Szorgalmi feladat • Állítsd össze egy átlagos internet felhasználáshoz szükséges tűzfal szabályzatát! • Topológia: • Kliens – Tűzfal – Internet • „Mit állítanál be az adsl-router-en?” • Milyen tűzfal-tipust választanál?

More Related