1 / 28

Information Security Fundamentals and Practices 資訊安全概論與實務

Information Security Fundamentals and Practices 資訊安全概論與實務. 潘天佑博士 主編. 版權聲明:本教學投影片僅供教師授課講解使用,投影片內之圖片、文字及其相關內容 , 未經 著作權人許可,不得以任何形式或方法轉載使用 。. 第三篇 第 9 章. 防火牆與使用政策. 築起防火牆. 防火牆 (firewall) 是一個元件,能夠藉著過濾進入或流出的資訊來執行資訊安全的管理政策。它依據一組設定的規則來決定該資訊應被放行或是予以阻擋。

abiola
Download Presentation

Information Security Fundamentals and Practices 資訊安全概論與實務

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Information Security Fundamentals and Practices資訊安全概論與實務 潘天佑博士 主編 版權聲明:本教學投影片僅供教師授課講解使用,投影片內之圖片、文字及其相關內容, 未經著作權人許可,不得以任何形式或方法轉載使用。

  2. 第三篇 第9章 防火牆與使用政策

  3. 築起防火牆 • 防火牆 (firewall) 是一個元件,能夠藉著過濾進入或流出的資訊來執行資訊安全的管理政策。它依據一組設定的規則來決定該資訊應被放行或是予以阻擋。 • 防火牆技術已相當成熟,它可以和其它防火牆或是入侵偵測系統 (IDS) 協調,可以檢查郵件或網站的病毒和惡意程式,家庭用戶也可以藉由作業系統中的個人防火牆,比較安全地連接網際網路。

  4. 防火牆簡介 (I) • 防火牆的功用是保護一個網點 (site),使它在 TCP/IP 上的弱點不會遭人利用。另外它可以區隔安全性或安全需求不同的區域,例如網站伺服器和它的資料庫 (對外) 與組織內部資訊系統 (不對外) 之間就可以用防火牆做區隔。也可以用防火牆來區隔組織內不同的部門,例如財務部的資料敏感,就單獨加一道防火牆。 • 防火牆的種類很多,從簡單地過濾 IP 封包的邊界路由器 (boundary routers),到較複雜可以過濾資訊內容的產品,不一而足。選擇防火牆的考慮因素包括:網點的大小、資訊流量的大小、系統與資料的敏感性、以及組織所需要的應用。 • 防火牆的功能差別很大,即使同一類型的產品也有很大的功能與價格的落差。通常我們會在組織網路的邊界使用具備進出控制能力的路由器;然後在路由器的後方裝置功能較複雜的防火牆。

  5. 防火牆簡介 (II) • 許多相關的元件可以組織成一個防火牆環境,例如: • 一個網點架設邊界路由器,以較簡單的方式過濾並阻擋不受歡迎的資訊流入,過濾的方法可能只是拒絕某些 IP 位址傳送過來的所有封包。 • 路由器的後方裝置防火牆,可以做封包內容的過濾。 • 另外有 IDS 連接受保護的網路。 • 為了提供安全的遠端存取,防火牆可能與 VPN 整合,使資訊流可以加密的方式上網際網路。 • 防火牆本身也可能是受攻擊的目標,因此要正確的設定並下載需要的補丁。組織應該加強防禦縱深 (defense in depth),網路可以使用多層不同形態的防火牆與其它安全系統。

  6. 防火牆與 OSI 模型 • 防火牆的種類可以用第十章介紹的網路 OSI 模型來瞭解,各類防火牆使用到以下幾層: • 資料連結層 (L2) 負責乙太網路的 MAC 位址。 • 網路層 (L3) 負責 IP 位址。 • 傳輸層 (L4) 負責 TCP 的會談身分。 • 應用層 (L7) 負責使用者的應用如電子郵件等。 • 只在 L2 及 L3 運作的防火牆通常不會識別任何特定使用者;但較高級的應用代理閘道防火牆就可以進行使用者認證,並記錄特定使用者的網路活動。 應用層 展現層 會談層 傳輸層 網路層 資料連結層 實體層

  7. 封包過濾防火牆 • 最基本的防火牆是封包過濾器 (packet filter),它可被視為一個能針對系統位址做存取控制的路由器。 • 單純的封包過濾器運作在 L3(網路層),因此存取控制是依據以下的封包資訊: • 封包的來源 IP 位址,例如 192.168.1.1。 • 封包的目的地 IP 位址,例如 192.168.1.2。 • 資訊流的類型,通常是指來源與目的地系統之間的網路通訊協定,通常 L3 使用 IP 而 L2 使用 Ethernet。 • 可能包含一些 L4 的訊息,像是來源與目的地的連接埠。例如 HTTP 使用 TCP:80 埠。 • 可能包含來源與目的地路由器的介面訊息。 應用層 展現層 會談層 傳輸層 網路層 資料連結層 實體層

  8. 封包過濾規則範例

  9. 封包過濾防火牆的長處 • 封包過濾防火牆的長處是「速度」與「彈性」。 • 速度與彈性的長處讓封包過濾器很適合做為邊界路由器 (boundary router),如右圖所示,它可以是連接外部 ISP 的第一關。 • 封包過濾防火牆可以阻擋某些攻擊種類,尤其是在短時間湧入大量封包的 DoS;它可以過濾一些不受歡迎的通訊協定,可以做基本的存取控制。 網際網路服務供應商 (ISP) 封包過濾防火牆 外部DMZ網路 主要 防火牆 受保護的內部網路

  10. 封包過濾防火牆的弱點 • 由於封包過濾防火牆沒有檢視OSI較上層的資料,所以無法避免利用應用層級弱點的攻擊。如果防火牆允許某種應用,這應用的所有功能都被允許。 • 由於封包過濾防火牆只檢視少量的資料,所以它記錄的資料也少,例如來源與目的地位址與資料類型等。一旦需要做事件調查或稽核時,能提供的證據性薄弱。 • 這種低層的防火牆通常不具備使用者認證的功能。 • 封包過濾防火牆很難避免 「IP 位址偽裝」之類的攻擊。因為位址是這類防火牆的主要判斷依據,一旦被造假,就無法察覺。 • 由於用以判斷的資料有限,當封包過濾防火牆的設定不當時,就可能造成門戶洞開的現象。就像前面的範例,如果第七個規則未寫入,任何外部存取要求都會被允許。

  11. 狀態檢查防火牆 (I) • 狀態檢查防火牆 (stateful inspection firewalls) 是一個封包過濾器再加上對 L4 (傳輸層) 的瞭解。 • 當系統與遠端建立 TCP 會談時,會建立一個連接埠來接收遠端系統端傳回的訊息;這個連接埠的編號會大於 1023 (這個編號以內為特殊用途埠)。 • 封包過濾防火牆必須允許所有外部傳給連接埠編號大於 1023 的封包,因為它們可能都是目的地系統回覆的封包。然而開放這麼多連接埠造成巨大的風險,駭客可能使用各種技術攻擊這些開放區域。 • 狀態檢查防火牆彌補這個弱點,它以一個狀態表 (state table) 追蹤那些連接埠被打開,而不是一直維持全開的狀態。 應用層 展現層 會談層 傳輸層 網路層 資料連結層 實體層

  12. 狀態檢查防火牆 (II) • 前述封包過濾防火牆範例的第一個規則如下表;它永遠允許所有由外向內的連結,只要目的埠大於 1023。 • 狀態檢查防火牆會檢查狀態表,例如發現 192.168.1.100 開啟 1030 埠, 192.168.1.101 開啟 1033 埠,192.168.1.103 開啟 3321 埠;其它都沒有開。這時若有外部系統要連結不屬於以上的連接埠,就會被拒絕。 • 由此可知,狀態檢查防火牆比單純的封包過濾要安全,因為它能靠狀態的記憶來判斷是否允許存取,而不只依據靜態的規則。

  13. 應用代理閘道防火牆 • 應用代理閘道防火牆 (application-proxy gateway firewalls) 是較先進的防火牆,結合了較低層級的存取控制與較高層級 (L7) 的功能。 • 應用代理閘道防火牆可被視為私人網路與任何其它網路的中間人,它接到外部網路的請求之後,依據一些預定的原則做判斷該轉送這個請求或是拒絕。代理人防火牆將所有進出的封包都做加工處理,包括隱藏IP位址。 • 除了依據規則做存取控制外,應用代理閘道防火牆可以要求網路使用者做身分認證 • 下一頁的圖形顯示一個應用代理伺服器。外部請求存取某個應用伺服器,但實際與其連接的是代理伺服器;每一種應用需要一個代理伺服器。 應用層 展現層 會談層 傳輸層 網路層 資料連結層 實體層

  14. 應用代理閘道防火牆圖示 代理伺服器 (例如網站伺服器) DNS FTP HTTP LDAP SMTP Telnet 真實的連結 真實的連結 外部網路 內部網路 外部所感受的連結 外部要求存取 伺服器之系統 內部真實的伺服器 (例如網站伺服器) 各種代理伺服器

  15. 應用代理閘道防火牆優缺點 • 與前述的防火牆比較,應用代理閘道防火牆的長處包括: • 可以檢查整個網路封包,所以能留下較完整的記錄為稽核或調查之用。例如它可以記錄外部傳來的封包對網路內的應用下了哪些指令,而不只是記錄誰 (IP 位址) 傳來了封包。 • 由於使用到 L7 的應用層,因此可讓安全管理員對網路使用者做身分認證。L3/L4 防火牆的身分認證則只針對 IP 位址而非真正的使用者。 • 因為不只檢查 L3 資料,所以「IP 位址偽裝」之類的攻擊較不易成功。 • 應用代理閘道防火牆的弱點如下: • 檢查整個封包所花費的時間較長,代理人防火牆較不適合流量過大或要求即時性的網路。 • 代理伺服器需要針對應用或協定來設計,因此當新的應用或協定問世時,未必能及時在市面上找到對應的代理伺服器。

  16. 個人防火牆 • 前面討論的防火牆都是以一個網路為保護對象,但依據防禦縱深 (defense in depth) 原則,個人電腦或工作站上也可以有防火牆專門保護使用者。 • 撥接 ISP 的家庭用戶尤其缺乏防火牆保護,因為 ISP 的防火牆需要妥協於各種不同的安全政策之下,所以保護性不足,因此家庭用戶尤其需要個人防火牆。 • 個人防火牆通常操作簡單、介面友善,但是防火牆該有的功能通常頗為完備。

  17. 建立防火牆環境 • 防火牆環境 (firewall environment) 是指在網路中提供或支援完整防火牆功能的一組系統與元件。 • 一個最簡單的防火牆環境可能只有封包過濾防火牆;複雜一點的可能包括數個防火牆、代理伺服器與特定的網路拓墣來支援系統與安全。 • 建立防火牆環境應該注意以下四個重點: • 儘量保持簡單,符合 KISS 原則 (keep it simple and stupid)。複雜的設計及功能容易導致設定錯誤。 • 按照元件的功能來使用元件。例如,雖然有些路由器也有封包過濾功能,但路由器的設計還是以路由為主,不應被當防火牆使用。 • 創造防禦縱深。我們曾經一再提醒:防禦不能只有一層。 • 留意內部的威脅。組織內員工或是已經侵入的駭客都可能發動內部攻擊,因此不能只做外部防禦,一些重要系統要加強內部的存取管制。

  18. 防火牆環境範例 連結到 ISP 網路 IDS 邊界路由器 (封包過濾) 撥接伺服器 外部 DMZ 網路 網路 IDS 外部網站 伺服器 外部 DNS 伺服器 主要防火牆 & VPN 伺服器 內部 DMZ 網路 網路 IDS 網站代理 伺服器 內部防火牆 電郵伺服器 DNS 伺服器 內部保護網路 本圖參考 NST SP800-41

  19. DMZ 網路 • 安全區 (de-militarization zone, DMZ) 通常是指兩個防火牆之間所夾的網路,這塊區域的系統或元件需要被外部或內部所存取,因此不能放在內部保護網路區。 • 上一頁的範例有一個邊界路由器、主要防火牆和內部防火牆,將網路分割為外部 DMZ 網路、內部 DMZ 網路與內部保護網路。 • 邊界路由器過濾封包,避免 DoS 類型的攻擊,但並不做細部的封包檢查。放在外部 DMZ 網路的是可以讓外部較自由存取的系統與資料,例如網站及 DNS 伺服器等。 • 內部 DMZ 網路則在主要防火牆的後面,存放讓內部較自由存取的系統與資料。如果從外部要進這個區域,例如員工從組織外撥接進來,則須要通過主要防火牆的使用者身分認證。 • 有許多敏感的系統或資料並不希望內部人員任意存取,所以用內部防火牆隔離出內部保護網路,它可以同時防禦外部與內部的攻擊。

  20. VPN VPN • 防火牆及防火牆環境可以建構虛擬私人網路 (virtual private network, VPN),如右圖所示。在網際網路外的使用者與VPN 伺服器之間使用 IPSec 等加密技術築起一條安全通道,遠端使用者就像在置身於內部 DMZ 網路一樣。 • VPN 伺服器最好與防火牆結合。如果VPN 伺服器置於防火牆之後,那麼通過防火牆的資訊仍為加密資訊。 遠端 使用者 網際網路 邊界路由器 (封包過濾) 主要防火牆 & VPN 伺服器 電郵伺服器

  21. 防火牆安全政策 • 資訊安全政策主導組織的安全活動,而防火牆政策則在描述如何安排及設定防火牆來實踐資訊安全政策。如果沒有清楚的防火牆政策,管理員對防火牆的管理會無所適從,資訊安全事件也將層出不窮。 • 防火牆政策決定防火牆如何處理應用程式的資訊流,要先以風險評鑑瞭解每個應用的弱點和所受的威脅,據此訂定防火牆政策。 • 訂定防火牆政策的步驟如下: • 識別必須要的網路應用。 • 識別每個應用的安全弱點。 • 強化這些應用的安全性所需要的成本分析。 • 產生應用資訊流矩陣 (application traffic matrix) 顯示保護方法。 • 依據應用資訊流矩陣來產生防火牆規則。

  22. 應用資訊流矩陣範例

  23. 訂定防火牆規則 • 對於外部進入的封包,防火牆的預設值 (default) 應設為「除了規則允許的,其餘拒絕」;而不是「除了規則拒絕的,其餘允許」。 • 防火牆規則應該拒絕以下種類的資訊流: • 由不明外部系統所傳來的封包,目的位址是防火牆自己。這一類的封包常是對防火牆的探測或攻擊。 • 外部進入的封包,但來源位址卻標示為內部的位址。這種封包通常是某種欺騙的攻擊。 • 外部進入的 ICMP (Internet control message protocol) 例如 ping。由於 ICMP 會透露太多網路訊息,所由外部進入的 ICMP 應予阻擋。 • 由不明外部系統所傳來的 SNMP(simple network management protocol)。這種封包很可能代表外部入侵者正在探測內部網路。 • 往內或往外的封包有任一位址為 0.0.0.0 者。有的作業系統對這個位址有特殊的定義,所以常被攻擊者利用。

  24. 防火牆的故障復原策略 2000年九月,全球首屈一指的金融服務機構 Western Union 關閉網站五天,因為遭到駭客入侵並盜走一萬五千筆信用卡資料。駭客利用系統維修時沒有防火牆的十五分鐘空檔入侵。 • 防火牆一旦故障,內部網路門戶洞開,即使很短的時間都足以讓長期覬覦的駭客有可乘之機。 • 防火牆備援及故障復原的方法很多。一種是使用網路交換器,它持續監視使用中的防火牆,一旦故障就將所有的流量導入備援防火牆。通常交換器可以偽裝成它後面這兩個防火牆,所以當使用中防火牆故障時,交換到備援系統這個動作不影響進行中的會談。 • 另一種比較便宜的方法是當使用中的防火牆故障時,使用稱做「心跳 (heartbeat) 」的機制啟動備援防火牆。這種方法就無法避免進行中的會談會中斷。

  25. 應該拒絕的檔案 • 應該阻擋以下類型的檔案進入網路及系統,尤其是以電子郵件的附件形態。這些檔案大多是可執行檔。 • 以下檔案類型的意義及特性可以參考以下網站: http://www.file-extensions.org/ .ade .cmd .eml .ins .mdb .mst .reg .url .wsf .adp .com .exe .isp .mde .pcd .scr .vb .wsh .bas .cpl .hlp .js .msc .pif .sct .vbe .bat .crt .hta .jse .msi .pl .scx .vbs .chm .dll .inf .lnk .msp .pot .shs .wsc

  26. 防火牆管理 • 如果防火牆架設在作業系統上,例如 Windows 或 UNIX,則應注意: • 移除作業系統上非必要的應用程式。 • 強化作業系統對攻擊的防禦能力。 • 及時安裝作業系統的更新與補丁。 • 定時進行防火牆之備份 (backup),應使用防火牆內建的機制將備份儲存在磁帶等媒體上。專做集中備份的伺服器並不適合用來備份防火牆,以免產生網路安全漏洞。 • 防火牆要能記錄各種資訊安全活動,管理員應每天檢視記錄。防火牆及入侵偵測系統應使用 NTP 等時間同步機制,藉由同步記錄可以還原資訊安全事件的發生狀況。

More Related