Hálózati Operációs Rendszerek

Hálózati Operációs Rendszerek Hálózati biztonság Tűzfalak Behatolás érzékelés Előadó: Bilicki Vilmos bilickiv@inf.u-szeged.hu www.inf.u-szeged.hu/~bilickiv

Az előző előadás tartalma • SAN – Storage Area Network • Trendek Igények • Adattár kapcsolat fejlődés • Adattárolási megoldások • SAS • NAS • SAN • Fibre Channel architektúra • Pont-pont • Gyűrű • Kapcsolt • SAN komponensek • SAN megosztott adattár • SAN menedzselés • Gyűjtemények • Adatmozgás, migrálás

Források • Design the firewall system (http://www.cert.org/security-improvement/practices/p053.html ) • Firewall Design (http://www.microsoft.com/resources/documentation/msa/idc/all/solution/en-us/rag/ragc03.mspx ) • Perimeter Firewall Design (http://www.microsoft.com/technet/security/guidance/secmod156.mspx ) • Perimeter Firewall Service Design for the SBO Scenario (http://www.microsoft.com/technet/itsolutions/wssra/raguide/Firewall_Services_PG_2.mspx ) • Perimeter Firewall Service Design for the CDC Scenario (http://www.microsoft.com/technet/itsolutions/wssra/raguide/Firewall_Services_PG_1.mspx ) • Internal Firewall Design (http://www.microsoft.com/technet/security/guidance/secmod155.mspx ) • Extortion online (http://www.informationweek.com/showArticle.jhtml?articleID=47204212 ) • The Threats To Come (http://www.securitypipeline.com/54201336 ) • Advanced Features of netfilter/iptables (http://linuxgazette.net/108/odonovan.html ) • SNORT (http://www.snort.org/ ) • Threat Management: The State of Intrusion Detection (http://www.snort.org/docs/threatmanagement.pdf )

Tartalom • Miért érdemes hálózati biztonsággal foglalkozni • Tűzfal • Személyi • Hagyományos • Típusai • Állapotmentes • Állapotkövető • Proxy • Architektúra változatok • Egy rétegű • Több rétegű • Intranet tűzfal tervezés • Határ tűzfal tervezés • Megoldások • Linux – netfilter • Windows – ISA szerver • Cisco - PIX • Behatolás érzékelés • Cisco • SNORT

Hálózati biztonsági kihívások • Internet nyílt, szabad közösség • Régebben a fizikai biztonság volt az elsődleges (jól bezárni a rendező szekrényt) • Egyre több cég, intézmény kötődik a hálózathoz • Potenciális piac • A vásárlókkal jönnek a hacker-ek is • Hetente új virusok, férgek, … • Bárki szabadon rákapcsolódhat (hot spot, …) • Nagy populáció • Letölthető hacker eszközök (http://staff.washington.edu/dittrich/misc/ddos/ )

Támadások fejlődése • Forrás: Cisco

Online zsarolás • 100 cégből 17-et megzsaroltak (http://www.informationweek.com/showArticle.jhtml?articleID=47204212 )

Tipikus biztonsági problémák • Támadási típusok • Külső • Settenkedő – fizikai biztonság (zárolni a gépeket) • DoS Denial – of – Service • Nem feltétlenül okoznak kárt • Nehéz lekezelni • DDoS – ugyanaz csak több gépről (zombi gépek) • Alkalmazás rétegbeni támadások • Az alkalmazások biztnsági réseit használják ki • A legismertebbek • Nem megfelelően frissített rendszereket támadnak meg (Slammer 2002 augusztus-2003 január) • Hálózat kikémlelés – az első lépés a támadás előtt • Portscan • DNS, IP cím keresés • Belső • Fertőzött laptop – gyakran tagja különböző hálózatoknak • Nem engedélyezett eszköz – pl.: nem megfelelően konfigurált vezetékmentes hozzáférési pont • Elbocsátott alkalmazott – Man in the middle • Vírusok/Trójaiak • Vegyes • Csomag figyelés: Telnet, POP3, FTP, …. • IP spoofing: belső forrás IP címmel küldik kívülről (ACL, RFC 2827)

Várható támadás típusok • Komplex Web támadás • IE biztonsági rés + Apache biztonsági rés (egy feltört web szerverre tettek az IE számára veszélyes kódot) • Web szolgáltatások elleni támadások • Spyware fenyegetés – a Microsoft szerint a rendszerösszeomlások feléért felelősek, a DELL szerint a bejelentett hibák 12% százalékát okozzák (http://www.informationweek.com/showArticle.jhtml?articleID=19200218 ) • Mobil eszköz elleni támadások (PDA, Telefon, ..) • SPAM • DoS • DDoS

Megoldás(talán, nincs tökéletes) • Elvileg nincs szükség másra, csak megfelelően beállított gépekre • DE a szoftver hibák, emberi mulasztások, … miatt mégis szükség van: • Elosztott, jól koordinálható, több rétegű védelem • Integrált megoldás (kapcsolók, forgalomirányítók, szerverek, …) • Automatikus reakció • Védelmi keretrendszer • Védelem - Védelmi rendszer • Szabályozás - Bizalom és identitás menedzsment • Titkosítás - Biztonságos kapcsolat

Biztonsági szabályok • A hálózatot biztonsági övezetekre kell osztani • Egy-egy biztonsági övezet saját biztonsági szabályrendszerrel bír • Ezen övezetek határán szükség van egy olyan eszközre mely a különböző szabályokból adódó konfliktusokat feloldja • Ez az eszköz legtöbbször a tűzfal

Védelmi topológiák • Egyszerű határ tűzfal • Megbízhatatlan gép • Három zónás architekrúra: • Fegyvermentes övezet (DMZ DeMilitarized Zone) • Kettős tűzfal

Határ tűzfal • Egyrétegű megoldás • Egy eszközre van telepítve minden tűzfal funkció • Egy eszköz köt össze minden hálózatot • Egyszerű • Olcsó • A legkevésbé biztonságos megoldás • Egy eszközön kell a biztonsági hiányosságokat kiaknázni

Megbízhatatlan gép • Vannak olyan szervereink melyek szolgáltatásokat nyújtanak a külvilágnak • Web • SMTP • FTP • NTP • SSH • RDesktop • VPN szerver ? • … • Mivel ez a leginkábbveszélyeztetett ezért ezt a tűzfalon kívül helyezzük el • Minimális szolgáltatásra kelltörekednünk • A belső gépek nem bíznak meg benne

Demilitarizált övezet • A megbízhatatlan szolgáltatókat is védeni szeretnénk • Itt egy új hálózatot alakítunk ki ezen szolgáltatások számára • Nagyobb • Biztonság • Rendelkezésre állás • Megbízhatóság

Dupla tűzfal • A célja ugyanaz mint az előzőé • Funkciók • Perem tűzfal • Belső tűzfal • Hálózatok: • Határ hálózat • DMZ • Belső hálózat • Célszerű különbözőarchitektúrájú tűzfalakatválasztani

Védelmi eszközök • Tűzfal • Osztályai: • Személyes (első osztály) • Forgalomirányító (második osztály) • Alsó kategóriás hardver tűzfalak (harmadik osztály) • Felső kategóriás hardver tűzfalak (negyedik osztály) • Szerver tűzfalak (ötödik osztály) • Típusai • Csomagszűrő • Cím transzformáló • Állapottartó • Kapcsolat szintű átjáró • Proxy • Alkalmazás rétegbeni szűrés • Megvalósítások • Netfilter (http://www.netfilter.org/ ) • ISA 2004 (http://www.microsoft.com/isaserver/ ) • CISCO PIX (http://www.cisco.com/warp/public/cc/pd/fw/sqfw500/ ) • Behatolás érzékelő rendszer • SNORT (http://www.snort.org/ ) • Cisco IDS 4200 (http://www.cisco.com/warp/public/cc/pd/sqsw/sqidsz/ )

Tűzfal típusok: Csomagszűrő • Mivel a különböző hálózatokat leggyakrabban forgalomirányítók kötik össze ezért ezen funkciók leggyakrabban itt található • Ha már van router akkor mindenképpen azon célszerű implementálni • A 3. rétegben működik • Szűrő feltételek: • Forrás/Cél cím • Forrás/Cél port • Ezzel célszerű az IP spoofing-ot kivédeni • Ez nagyon gyors és kis erőforrás igényű tud lenni

Tűzfal típusok: NAT • Tipusai: • PAT – Port Address Translation • NAT – Network Address Translation • Lehet: • Dinamikus • Statikus • Címfordítást végez • Elrejti a belső címeket • Alkalmazás réteg?

Tűzfal típusok : Kapcsolat szintű átjáró • Nem vizsgál minden egyes csomagot • Amint a kapcsolat felépült utána az adott viszonyhoz tartozó összes csomag mehet • A 4. rétegben működik • Jobb mint csak csomagszűrés • Tartalmazhat alkalmazás rétegbeni funkciókat is • Pl.: FTP

Tűzfal típusok : Állapottartó • Az előző kettő kombinációja • A 3., 4. rétegben működik • Minden kimenő csomag naplózva van az állapot táblában • Forrás/Cél IP • Forrás/Cél port • A bemenő forgalomnál így ellenőrizhető, hogy ki kezdeményezte • Ez a tudás mindenképpen megkövetelendő egy tűzfaltól • Egyéb információkat is eltárolhat • Protkoll falg-ek

Tűzfal típusok : Proxy • A kommunikáció 3 vagy több fél között folyik • Kliens • Proxy • Szerver • Títkosítatlan esetben a kliens nem látja közvetlenül azokat a csomagokat amelyeket a szerver küldött és fordítva • Títkosított esetben a proxyellenőrzi a fejléceket ésha minden OK akkortovábbküldi • Gyorsítótár • Protokoll validáció • Felh. ID alapú döntés • Bonyolult • Minden protokollt ismernie kell

Alkalmazás szintű szűrés • A legintelligensebb • Értelmezni tudják az adott alkalmazás adatát és ez alapján döntéseket hoznak • SMTP parancsok, DNS parancsok, SPAM szűrés • Igény alapján dinamikusan nyitja a portokat • DNS felé UDP csak akkor ha a DNS indította a kapcsolatot és addig amíg ez a kapcsolat tart • Títkosított forgalom kezelése: • Ugyanaz mint a proxy-nál • A tűzfalon végződtetve mindkét oldalon

Személyes tűzfal • A PC-n futó szoftver szolgáltatás • Egyre több otthoni kapcsolat • Kis hálózat védelmére is alkalmas (otthoni hálózat) • A hálózattól függetlenül ma már minden gépen kötelező a használata (különösen mobil eszközöknél) • Jóval kisebb tudású mint a többi, gyakran csak csomagszűrésre alkalmas • Előnyei: • Olcsó (ingyenes) • Egyszerű konfigurálni • Hátrányai: • Nehéz központból menedzselni • Kis teljesítményű • Korlátolt tudású

Forgalomirányító tűzfal • A forgalomirányítók gyakran rendelkeznek tűzfal funkciókkal is • Az alsó kategóriás forgalomirányítók általában IP cím alapján és port alapján képesek a forgalmat szűrni valamint NAT-ot is biztosítanak a címek elrejtésére • A felső kategóriás eszközök programozhatóak ACL listák segítségével, állapotkövetőek, támogatják a magas rendelkezésre állást • Előnyeik: • Olcsóak (a hardvereshez viszonyítva) • Egyszerű, szokványos konfiguráció • Hátrányaik: • Teljesítmény • Limitált funkcionalitás

Hardver tűzfalak • Alsó kategóriás • Statikus szűrés • Plug-and-Play • VPN • Bizonyos szintig menedzselhetőek • Előnyei: • Gyakorlatilag nem kell konfigurálni • Olcsó • Hátrányai: • Korlátozott funkicionalitás • Gyenge teljesítmény • Felső kategóriás • 7500-500000 kapcsolat • Manuális konfiguráció • Moduláris • Magas rendelkezésre állás • Alkalmazás szintű szűrés • Gyors • Drága

Szerver tűzfalak • A legtöbb rendszergazda számára jól ismert környezet • Linux • Windows • FreeBSD • … • Jól bővíthető (sw/hw) • Gyors (megfelelő méretű gépen) • Integrálható • Skálázható • Az oprendszer hibáit kiaknázhatják a támadók

Belső tűzfal • A belső hálózathoz történő hozzáférést szabályozza • Külső nem megbízható felhasználók elvileg soha nem léphetnek be a belső hálózatra • Web szerver esetén a web szerver fog kommunikálni a belső részekkel

Tipikus beállítások • Minden tiltva ami nincs engedve • Tiltani a belső IP címek forrásként feltüntetését kívülről • Tiltani a külső IP címek forrásként feltüntetését belülről • Engedélyezni a DMZ DNS szerverek UDP-n történő megszólítását a belső DNS szerverekről • Engedélyezni a belső DNS szerverek UDP-n történő megszólítását a DMZ-ből • TCP DNS forgalom engedélyezése (szerver figyelembe vételével) • Kimenő SMTP a DMZ SMTP átjáróról • Bejövő SMTP a DMZ SMTP átjárótól • Engedi a proxy-tól származó forgalmat befelé • Engedi a forgalmat a proxy felé • Szegmensek támogatása • Szegmensek közötti forgalom állapotkövetéses forgalomirányítása • Magas rendelkezésreállás támogatása

Perem tűzfal • Feladata a szervezet határain túli felhasználók kiszolgálása • Típusai: • Megbízható (távoli iroda) • Félig megbízható (üzleti partnerek) • Megbízhatatlan (publikus weboldal) • Ez az eszköz fogja fel a támadásokat (jó esetben)

Tipikus beállítások • Minden tiltva ami nincs engedve • Tiltani a belső IP címek forrásként feltüntetését kívülről • Tiltani a külső IP címek forrásként feltüntetését belülről • Engedélyezni a külső DNS szerverek UDP-n történő megszólítását (DMZ-ből) • Engedélyezni a belső (DMZ) DNS szerverek UDP-n történő megszólítását • TCP DNS forgalom engedélyezése (szerver figyelembe vételével) • Kimenő SMTP a belső SMTP átjáróról • Bejövő SMTP a belső SMTP átjárónak • Engedi a proxy-tól származó forgalmat a külvilág felé • Engedi a forgalmat a proxy felé

Rendelkezésre állás (perem/belső) • Egy tűzfal • Több tűzfal:

Linux Netfilter • Kernel komponens • Szolgáltatásai: • Csomagszűrő • Állapot követés • Csomag manipuláció • Kapcsolatszám figyelés, korlátozás (egy adott gépről a TCP kapcsolatok száma. DOS védelem) • Legutóbbi kapcsolatok megjegyzése (pl.: port scan) • Terhelés elosztás (adott véletlen eloszlással) • String illesztés a tartalomban (pl.: .exe) • Idő alapú szabályok (ebédnél szabad internetezni, …) • Átviteli kvóták (pl.: 2 Gbyte) • TTL alapú csomag vizsgálat (man in the middle) • Bővíthető • Ingyenes

ISA 2004 • Alkalmazás szintű tűzfal • Szolgáltatásai • Csomagszűrő • Állapotkövető • VPN támogatás • VPN karantén • Bizonyos behatolás érzékelés (portscan, halálos ping) • SSL-SSL híd • Alkalmazás szintű vizsgálat (http, ftp, rpc, …)

CISCO PIX • Beágyazott operációs rendszer (Fitnesse OS, realtime nem Unix) • Szolgáltatásai • Csomagszűrő • Állapotfigyelés • HTTP, FTP, Telnet hitelesités • VPN támogatás • URL szűrés • Magas rendelkezésre állás • ASA - biztonsági szintek • 1000000 kapcsolat!!!

IDS • Behatolás érzékelés • Mai állapot: • Lenyomat alapú érzékelés • A riasztás értékelése ma még többnyire manuális • A legtöbb IDS rendszerben nincs meg a kellő intelligencia, hogy megbízhatóan ellenőrizze a támadást figyelembe véve más információkat is és meghozza a megfelelő döntéseket • Legtöbb helyen nincs központi log (tűzfal, szerver, …)

Ideális eset • Aggregáció • SNMP, Syslog, … • Korreláció • Pl.: időbélyeg • Analízis • A host értéke • Szolgáltatásai • Viszonya a többihez • Rendszergazda • Lehetséges sebezhetősége

SNORT • GNU GPL licensz • Minta alapú • Valós idejű forgalom analízis • Protokoll analízis • Szabályokat definiálhatunk a keresett mintákra • alert tcp any any -> any 139 (content:"|5c 00|P|00|I|00|P|00|E|00 5c|";) • Három üzemmód • Sniffer • Packet logger • NIDS • Működése • Dekódolás – protokoll dekódolás • Preprocesszor – pl.: port scan detektálás • Detektáló rész – szabályok • 1 GBit/s

CISCO IDS • Lenyomat adatbázis alapján azonosítja a támadásokat • Részei: • Senzor platform – a forgalom valós idejű figyelése, tipikusan modulok • Interfészei: • Monitor • Kontroll • Direktor platform – menedzselés • Akciók • TCP reset • IP blokkolás • IP loggolás • 1 Gbit/s

A következő előadások tartalma • A félév anyagának áttekintése

Hálózati Operációs Rendszerek

Hálózati Operációs Rendszerek

Presentation Transcript

ÁLTALÁNOS GÉPTAN

Diszkrét rendszerek

Vezetői Információs Rendszerek

XML kutatási irányok

TÉRINFORMATIKA

MinőségBIZTOSÍTÁSI információs rendszerek

Tatabánya, 2013. december 10.

Operációs rendszerek

Indoor Wireless LAN (Technology)

Üzleti folyamatok modellezése az ARIS folyamatmodellező és tervező szoftver segítségével

FELSZÍNI ÉS FELSZÍN ALATTI VÍZ MONITORING

zitosola

Integrált vállalatirányítási információs rendszerek

Bioenergia

Nyílt fejlesztőrendszerek

VASÚTI PÁLYÁK

Szénhidrogén technológia és katalízis Reaktorok- katalitikus rendszerek, speciális eszközök

Kommunikációs rendszerek

Gyógyszeripari vízkezelő rendszerek

Indoor Wireless LAN (Technology)

Kondor Imre Collegium Budapest és E LTE Rendezetlen rendszerek ELTE, 2007/08 II. félév

Hálózati Operációs Rendszerek ITIL (forrás: Georgiu Achilles - IBM)