Από τη στιγμή που ένα δίκτυο αποκτήσει σύνδεση στο Internet ανοίγει ένα κανάλι αμφίδρομης επικοινωνίας:

Σχετικά έγγραφα
Χρήστος Ξενάκης Τμήμα Ψηφιακών Συστημάτων

Σκοπιµότητα των firewalls

υποστηρίζουν και υλοποιούν την πολιτική ασφάλειας

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Διαχείριση Ασφαλείας (ΙΙ) Πρωτόκολλα & Αρχιτεκτονικές Firewalls Anomaly & Intrusion Detection Systems (IDS)

Cryptography and Network Security Chapter 22. Fifth Edition by William Stallings

ίκτυα υπολογιστών Στόχοι κεφαλαίου ίκτυα

Network Address Translation (NAT)

1.2.2 Το μοντέλο δικτύωσης TCP/IP 1 / 26

Πανεπιστήμιο Πειραιά Τμήμα Ψηφιακών Συστημάτων. ίκτυα Υπολογιστών Ι. To Μοντέλο OSI. Αναπλ. Καθηγ. Π. εμέστιχας

ΤΕΧΝΟΛΟΓΙΑ ΔΙΚΤΥΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ 5ο ΚΕΦΑΛΑΙΟ

Πρότυπο Αναφοράς Open Systems Interconnection (OSI) Επικοινωνίες Δεδομένων Μάθημα 5 ο

Ασφάλεια Υπολογιστικών Συστημάτων

Εισαγωγή στην επιστήμη των υπολογιστών. Υλικό Υπολογιστών Κεφάλαιο 6ο ίκτυα υπολογιστών

Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Εισαγωγή στην Επιστήμη των Υπολογιστών Δίκτυα υπολογιστών. (και το Διαδίκτυο)

Τι είναι ένα δίκτυο υπολογιστών; Αρχιτεκτονική επιπέδων πρωτοκόλλων. Δικτυακά πρωτόκολλα

Δίκτυα Υπολογιστών Firewalls. Χάρης Μανιφάβας

Τεχνολογία Δικτύων Επικοινωνιών (Ενότητα Πρωτόκολλα και Αρχιτεκτονική Δικτύου)

Εισαγωγή στο διαδίκτυο

PROXY SERVER. Άριστη πύλη διαχωρισμού μεταξύ του εσωτερικού δικτύου και του Internet.

ίκτυα - Internet Μάθηµα 3ο Ενότητα Β: Το Πρότυπο ΤCP/IP Eισαγωγή - Επικοινωνία µεταξύ δύο Υπολογιστών Παρασκευή 10 NOE 2006 ιευθύνσεις

Εισαγωγή στο TCP/IP. Π. Γαλάτης

ΕΠΛ 001: ΕΙΣΑΓΩΓΗ ΣΤΗΝ ΕΠΙΣΤΗΜΗ ΤΗΣ ΠΛΗΡΟΦΟΡΙΚΗΣ. Δίκτυα Υπολογιστών

Στόχοι. Υπολογιστικά συστήματα: Στρώματα. Βασικές έννοιες [7]

Πρωτόκολλα Διαδικτύου

Ιόνιο Πανεπιστήµιο Τµήµα Αρχειονοµίας Βιβλιοθηκονοµίας. Μοντέλο TCP/IP. Ενότητα E. Συστήµατα Επικοινωνίας

Ethernet Ethernet ΙΕΕΕ CSMA/CD

ΕΠΛ 012. Δίκτυα Τπολογιστών & Διαδίκτυο

α. Το μέγιστο μήκος δεδομένων του ωφέλιμου φορτίου του πλαισίου Ethernet είναι 1500 οκτάδες. ΣΩΣΤΟ

ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΙΣ ΤΕΧΝΟΛΟΓΙΕΣ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΩΝ ΚΑΘΩΣ ΚΑΙ ΣΤΟ ΔΙΑΔΙΚΤΥΟ

Εργαστήριο ικτύων Υπολογιστών 6η ιάλεξη: Ασφάλεια δικτύων

Τεχνολογία TCP/IP ΙΑ ΙΚΤΥΩΣΗ- INTERNET. Τεχνολογίες Τηλεκπαίδευσης & Εφαρµογές - Ιούλιος

Α5.1 Εισαγωγή στα Δίκτυα. Α Λυκείου

Βασικές Υπηρεσίες Διαδικτύου. Επικοινωνίες Δεδομένων Μάθημα 2 ο

6.2 Υπηρεσίες Διαδικτύου

ΚΕΦΑΛΑΙΟ 1.7. Πρωτόκολλα και Αρχιτεκτονική Δικτύου

Κεφάλαιο 7 Διαδικτύωση-Internet. 7.2 Τεχνολογία TCP/IP

Κεφάλαιο 2. Υπολογιστές και Τεχνολογία Επικοινωνιών Παρελθόν - Παρόν - Μέλλον

ΕΝΟΤΗΤA Σχολικό εργαστήριο πληροφορικής και εισαγωγή στα θέματα ασφάλειας

Επίπεδο Μεταφοράς. (ανεβαίνουμε προς τα πάνω) Εργαστήριο Δικτύων Υπολογιστών Τμήμα Μηχανικών Η/Υ και Πληροφορικής

Δίκτυα Υπολογιστών I

ΔΙΚΤΥΑ ΙΙ. Διδάσκων: Γεώργιος Ν. Μπάρδης

Δίκτυα Θεωρία

Επαναληπτικές Ασκήσεις Μαθήματος

Αζακά Στυλιανή Ιτζάρης Θεόδωρος

Διαδίκτυα και το Διαδίκτυο (Internetworking and the Internet)

Πρωτόκολλα Επικοινωνίας και Τείχος Προστασίας

Αρχιτεκτονική του πληροφοριακού συστήµατος Cardisoft Γραµµατεία 2003 ιαχείριση Προσωπικού

ΤΕΧΝΟΛΟΓΙΑ ΙΚΤΥΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ

ΤΕΧΝΟΛΟΓΙΑ ΔΙΚΤΥΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ 7ο ΚΕΦΑΛΑΙΟ

Δίκτυα Η/Υ στην Επιχείρηση

7.1.1 Επίπεδο δικτύου Γενικές Αρχές

ΤΕΧΝΟΛΟΓΙΑ ΔΙΚΤΥΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ

Δίκτυα Υψηλών Ταχυτήτων Ενότητα 7: Διευθυνσιοδότηση Internet Protocol (IP) v4

1.5.1 ΓΕΦΥΡΑ (BRIDGE) Εικόνα Επίπεδα λειτουργίας επαναλήπτη, γέφυρας, δρομολογητή και πύλης ως προς το μοντέλο OSI.

Ιόνιο Πανεπιστήµιο Τµήµα Πληροφορικής Συστήµατα Επικοινωνίας. Μοντέλο TCP/IP. Ενότητα E. Πόσοι εµπλέκονται σε ένα Σύστηµα Επικοινωνίας

Κεφάλαιο 13. Έλεγχος πρόσβασης με Firewall

Πρωτόκολλα Διαδικτύου Μέρος 2ο. Επικοινωνίες Δεδομένων Μάθημα 3 ο

ΔΙΑΣΥΝΔΕΣΗ ΔΙΚΤΥΩΝ (INTERNETWORKING)

ΔΙΚΤΥΑ (15-17) Π. Φουληράς

Σχεδιασμός Εικονικών Δικτύων Ενότητα 7: Μεταγλώττιση διευθύνσεων (ΝΑΤ)

ΑΣΦΑΛΕΙΑ ΔΙΚΤΥΩΝ ΑΝΤΙΠΥΡΙΚΗ ΖΩΝΗ ΠΡΟΣΤΑΣΙΑΣ (FIREWALL)

Εισαγωγή στο πως λειτουργεί το διαδίκτυο

Ασφάλεια Δικτύων. Τι (δεν) είναι Ασφάλεια Δικτύων. Γιάννης Ηλιάδης Υπεύθυνος Ασφάλειας Δικτύου ΤΕΙΡΕΣΙΑΣ Α.Ε. 24/11/07

ΤΕΙ ΗΠΕΙΡΟΥ Τμήμα Τηλεπληροφορικής & Διοίκησης

ΤΕΧΝΟΛΟΓΙΑ ΔΙΚΤΥΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ

Δίκτυα Υπολογιστών ΙΙ (Ασκήσεις Πράξης)

ΜΑΘΗΜΑ / ΤΑΞΗ : ΔΙΚΤΥΑ ΥΠΟΛΟΓΙΣΤΩΝ ΙΙ / ΕΠΑΛ(Α & Β ΟΜΑΔΑ) ΣΕΙΡΑ: ΗΜΕΡΟΜΗΝΙΑ: 11/12/2011 ΑΠΑΝΤΗΣΕΙΣ

ΣΕΜΙΝΑΡΙΟ ΔΙΚΤΥΩΝ ΜΑΡΤΙΟΣ ΜΑΙΟΣ 2010 ΔΙΟΡΓΑΝΩΣΗ ΑΜΠΑΡΙΩΤΗΣ ΑΠΟΣΤΟΛΟΣ ΓΙΑΜΜΑΚΗΣ ΓΙΑΝΝΗΣ ΛΕΒΑΝΤΗΣ ΟΔΥΣΣΕΑΣ ΠΑΠΑΔΟΠΟΥΛΟΣ ΜΑΡΙΟΣ ΨΙΑΧΟΣ ΧΡΗΣΤΟΣ

Στρατηγικές Ασφάλειας

ΕΠΛ 003: ΕΠΙΣΤΗΜΗ ΤΗΣ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΠΛΗΡΟΦΟΡΙΚΑ ΣΥΣΤΗΜΑΤΑ

4.1.1 Πρωτόκολλο TCP - Δομή πακέτου

Τεχνολογίες ιαδικτύου

Φύλλο Εργασίας 1 ου Κεφαλαίου

Ενότητα 1. Εισαγωγή στις βασικές έννοιες των ικτύων ΗΥ

Δίκτυα Υπολογιστών Ενότητα 9: Dynamic Host Configuration Protocol- DHCP

Δίκτυα και Διαδίκτυο

Πρωτόκολλα Διαδικτύου

ΔΡΟΜΟΛΟΓΗΣΗ ΠΑΚΕΤΩΝ. Η δρομολόγηση των πακέτων μπορεί να γίνει είτε κάνοντας χρήση ασυνδεσμικής υπηρεσίας είτε συνδεσμοστρεφούς υπηρεσίας.

Πρωτόκολλα Επικοινωνίας

Είναι η διαδικασία εύρεσης της διαδρομής που πρέπει να ακολουθήσει ένα πακέτο για να φτάσει στον προορισμό του. Η διαδικασία αυτή δεν είναι πάντα

Δίκτυα Υπολογιστών. Δίκτυα υπολογιστών και το Διαδίκτυο Εισαγωγή. Κ. Βασιλάκης

Κεφάλαιο 7.3. Πρωτόκολλο TCP

ίκτυα - Internet Υπηρεσίες Internet O Παγκόσµιος Ιστός (World Wide Web) Ηλεκτρονική Αλληλογραφία ( ) Υπηρεσία FTP (File Transfer Protocol)

Ασφάλεια Πληροφοριακών Συστημάτων. Διάλεξη 5 η : Πολιτικές Ασφάλειας

Πρωτόκολλα Επικοινωνίας Πρωτόκολλο IP

7.9 ροµολόγηση. Ερωτήσεις

Σύντομη παρουσίαση των εργαλείων/εντολών telnet, ping, traceroute nslookup και nmap, zenmap

ΗΜΥ Εργαστηριακή Άσκηση 2

1.2.1 Το μοντέλο αναφοράς για τη Διασύνδεση Ανοικτών Συστημάτων (OSI) 1 / 19

Επίπεδο δικτύου IP Forwading κτλ

SNMP ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΟΥ ΒΑΣΙΚΕΣ ΕΝΝΟΙΕΣ

ΠΡΟΤΕΙΝΟΜΕΝΑ ΘΕΜΑΤΑ 1 στα Δίκτυα Υπολογιστών

ΔΙΑΓΩΝΙΣΜΑ ΤΕΛΙΚΗΣ ΕΠΑΝΑΛΗΨΗΣ ΣΤΙΣ ΕΝΟΤΗΤΕΣ

ΑΣΦΑΛΕΙΕΣ ΣΤΑ ΔΙΚΤΥΑ

Π Α Ν Ε Π Ι Σ Τ Η Μ Ι Ο Π ΑΤ Ρ Ω Ν ΠΡΩΤΟΚΟΛΛΟ DHCP ΚΑΙ ΑΝΑΛΥΣΗ ΤΗΣ ΜΕΘΟΔΟΥ NAT

Μάθημα 5: To Μοντέλο Αναφοράς O.S.I.

ιαδίκτυα και το ιαδίκτυο (Internetworking and the Internet)

Συσκευές Τηλεπικοινωνιών και Δικτύωσης. Επικοινωνίες Δεδομένων Μάθημα 9 ο

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Εισαγωγή Πρότυπο τριών Διαστάσεων Λειτουργίας Μοντέλο Διαχείρισης FCAPS Το Δίκτυο του Ε.Μ.Π. Περιβάλλον Εργαστηριακών Ασκήσεων

ΤΕΧΝΟΛΟΓΙΑ ΔΙΚΤΥΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ

Transcript:

Διαχείριση Ασφάλεια Τηλεπικοινωνιακών Συστημάτων Firewalls 2015

Εισαγωγή (1/3) Από τη στιγμή που ένα δίκτυο αποκτήσει σύνδεση στο Internet ανοίγει ένα κανάλι αμφίδρομης επικοινωνίας: οι χρήστες του δικτύου (insiders) αποκτούν επαφή με τον έξω κόσμο, αλλά ταυτόχρονα και και οι εξωτερικοί χρήστες (outsiders) αποκτούν πλέον δυνατότητα πρόσβασης σε αυτό Για την προστασία του δικτύου από διάφορες εισβολές απαιτείται ένας κατάλληλος «φράκτης» firewall Το firewall ή ανάχωμα ασφαλείας θα πρέπει να είναι ικανό να επεξεργάζεται όλη την κυκλοφορία μηνυμάτων ανάμεσα σε ένα ιδιωτικό δίκτυο και στο Internet

Εισαγωγή (2/3) Ορισμός Αναχώματος Ασφάλειας (firewall): συστήματα ή ομάδες συστημάτων, τοποθετημένα στο σημείο σύνδεσης της υπό προστασία δικτυακής περιοχής με τα υπόλοιπα δίκτυα, που επιβάλλει προκαθορισμένη πολιτική ασφάλειας Εσωτερικό Δίκτυο Τις περισσότερες φορές το ένα από τα δύο δίκτυα είναι το Διαδίκτυο, ωστόσο ένα firewall μπορεί να τοποθετηθεί και μεταξύ δύο τυχαίων δικτύων Διαδίκτυο Ανάχωμα ασφάλειας

Εισαγωγή (3/3) Σκοπός: Η βελτίωση του επιπέδου προστασίας των δεδομένων και των υπολογιστικών πόρων ενός οργανισμού από εξωτερικούς εισβολείς, ώστε επικίνδυνες δραστηριότητες να παραμείνουν μακριά από το προστατευόμενο περιβάλλον Επίτευξη: Με την αποτροπή μη εξουσιοδοτημένων προσβάσεων σε μία ασφαλή περιοχή και με την αποτροπή μη εξουσιοδοτημένης εξόδου πληροφορίας από μία περιοχή Αναγκαίος, σε αρχικό στάδιο, ο καθορισμός πολιτικής ασφάλειας Ένα firewall δε μπορεί να λειτουργήσει σωστά ανεξαρτήτως από το πώς έχει σχεδιαστεί ή υλοποιηθεί εάν δεν καθοριστεί μια σαφής πολιτική ασφάλειας

Δυνατότητες (1/3) Το ανάχωμα ασφάλειας αποτελεί το επίκεντρο των αποφάσεων που σχετίζονται με θέματα δικτυακής ασφάλειας: απλοποίηση διαχείρισης ασφάλειας κεντρικό σημείο ελέγχου vs έλεγχος σε κάθε υπολογιστή χωριστά πιο αποτελεσματική πρακτική από τη διάχυση αποφάσεων ασφαλείας σε διάφορα σημεία

Δυνατότητες (1/3) Το ανάχωμα ασφάλειας αποτελεί το επίκεντρο των αποφάσεων που σχετίζονται με θέματα δικτυακής ασφάλειας: απλοποίηση διαχείρισης ασφάλειας κεντρικό σημείο ελέγχου vs έλεγχος σε κάθε υπολογιστή χωριστά πιο αποτελεσματική πρακτική από τη διάχυση αποφάσεων ασφαλείας σε διάφορα σημεία Το ανάχωμα ασφάλειας εφαρμόζει έλεγχο προσπέλασης (access control) από και προς το δίκτυο, υλοποιώντας και υποστηρίζοντας την πολιτική ασφάλειας του οργανισμού: αποτελεί πρωταρχική ενέργεια συνηθέστερη πολιτική: «Απαγορεύεται κάθε υπηρεσία, εκτός αν έχει ρητά επιτραπεί» χωρίς τα firewalls η ασφάλεια ενός εσωτερικού δικτύου είναι τόσο ισχυρή όσο το πιο αδύνατο σύστημα

Δυνατότητες (2/3) Το ανάχωμα ασφάλειας επιτρέπει καταγραφή της δραστηριότητας στο δίκτυο (network activity logging): διευκολύνει το έργο των διαχειριστών δικτύου δυνατότητα ενεργοποίησης συναγερμών (alarms) κατά τον εντοπισμό μιας ύποπτης δραστηριότητας τη στιγμή που αυτή πραγματοποιείται εντοπισμός πιθανών σημείων συμφόρησης

Δυνατότητες (2/3) Το ανάχωμα ασφάλειας επιτρέπει καταγραφή της δραστηριότητας στο δίκτυο (network activity logging): διευκολύνει το έργο των διαχειριστών δικτύου δυνατότητα ενεργοποίησης συναγερμών (alarms) κατά τον εντοπισμό μιας ύποπτης δραστηριότητας τη στιγμή που αυτή πραγματοποιείται εντοπισμός πιθανών σημείων συμφόρησης Το ανάχωμα ασφάλειας προστατεύει δίκτυα διαφορετικής ευπάθειας εντός του ίδιου οργανισμού: διαχωρισμός ενός τμήματος δικτύου από άλλο αποτροπή εξάπλωσης ενδεχόμενων προβλημάτων που επηρεάζουν ένα τμήμα σε ολόκληρο το δίκτυο κάποιο τμήμα του εσωτερικού δικτύου μπορεί να είναι πιο ευαίσθητο από κάποιο άλλο

Δυνατότητες (3/3) Το ανάχωμα ασφάλειας έχει τη δυνατότητα απόκρυψης των πραγματικών διευθύνσεων των υπολογιστών του προστατευόμενου δικτύου: ενσωμάτωση υπηρεσίας ΝΑΤ (Network Address Translator) μετάφρασης εσωτερικών διευθύνσεων σε πραγματικές οι εξωτερικοί χρήστες βλέπουν μία καθολική IP διευκολύνει το πρόβλημα μη διαθέσιμων IP διευθύνσεων

Περιορισμοί (1/3) Το ανάχωμα ασφάλειας δε μπορεί να προστατέψει από συνδέσεις οι οποίες δε διέρχονται από αυτό: παρέχει προστασία σε ένα περιβάλλον μόνον όταν ελέγχει ολόκληρη την περίμετρό του (border defence) συνδέσεις που δε διέρχονται από το ανάχωμα ασφαλείας δε μπορούν να διασφαλιστούν από αυτό σύνδεση «εσωτερικού» χρήστη προς Internet, μέσω PPP διαμέσου ενός ISP, δεν προστατεύεται Το ανάχωμα ασφάλειας δε μπορεί να προστατεύσει από προγράμματα-ιούς: μπορούν να ελεγχθούν IP διευθύνσεις ή θύρες πηγής-προορισμού, αλλά δεν είναι εφικτό να γίνει έλεγχος των δεδομένων σε βάθος, συνεπώς είναι αναγκαία η χρήση αντι-ιομορφικού λογισμικού

Περιορισμοί (2/3) Το ανάχωμα ασφάλειας δε μπορεί να προστατεύσει απέναντι στις επιθέσεις κακόβουλων χρηστών από το εσωτερικό του οργανισμού: απαιτούνται εσωτερικά μέτρα ασφάλειας άλλη περίπτωση: επιθέσεις Social Engineering απαραίτητη η εκπαίδευση των χρηστών Το ανάχωμα ασφάλειας δεν μπορεί να προστατέψει τον οργανισμό απέναντι σε επιθέσεις συσχετιζόμενες με δεδομένα (data driven attacks): προσοχή στη χρήση εισερχόμενης αλληλογραφίας μια επίθεση μπορεί να οδηγήσει στη μεταβολή των αρχείων που σχετίζονται με τα προνόμια προσπέλασης ενός εξυπηρέτη, ώστε να διευκολύνει την πρόσβαση μη εξουσιοδοτημένων χρηστών στο σύστημα

Περιορισμοί (3/3) Το ανάχωμα ασφάλειας δε μπορεί να προστατεύσει τον οργανισμό από απειλές άγνωστου τύπου: απαιτείται η προηγούμενη γνώση απειλών και αντίστοιχων μέτρων αντιμετώπισης Η αυστηρή ρύθμιση της ασφάλειας διαμέσου του αναχώματος ασφάλειας: πιθανά αρνητικά αποτελέσματα: δυσαρέσκεια χρηστών μειωμένη ευχρηστία μειωμένη διαδικτύωση

Ζητήματα Σχεδίασης (1/3) Ένα ανάχωμα ασφαλείας ΔΕΝ αρκεί για να προστατευτεί ένα δίκτυο από οποιαδήποτε απειλή δεν είναι απλά το υλικό και το λογισμικό που παρέχει προστασία Αποτελεί περισσότερο έκφραση φιλοσοφίας ασφάλειας, βοηθά στην υλοποίηση μιας ευρύτερης πολιτικής ασφάλειας που καθορίζει τις υπηρεσίες και την πολιτική προσπέλασης σε ένα δίκτυο η εγκατάσταση ενός αναχώματος ασφαλείας είναι συνιστώσα στο πλαίσιο της γενικότερης πολιτικής ασφάλειας η ύπαρξη πολιτικής ασφάλειας είναι προαπαιτούμενο

Ζητήματα Σχεδίασης (2/3) Τα σχεδιαστικά ζητήματα που πρέπει να ληφθούν υπόψη, είναι: Χρηστικότητα (usability): Να παρέχεται ασφάλεια, αλλά όχι με σημαντική μείωση της χρηστικότητας απόλυτα ασφαλές δίκτυο = μη συνδεδεμένο δίκτυο Εκτίμηση του κινδύνου (risk assessment): Πρέπει να εκτιμηθεί η επίδραση εξωτερικών εισβολών στο σύστημα, ζώνες κινδύνου Εκτίμηση των απειλών (threat assessment): Πρέπει να προσδιοριστούν οι απειλές από τις οποίες κινδυνεύει το σύστημα Εκτίμηση του κόστους (cost assessment): Σημαντικός παράγοντας, καθώς μπορεί είτε να αγοραστεί εμπορικό προϊόν είτε να κατασκευαστεί από τον ίδιο τον οργανισμό, κόστος υποστήριξης Τύπος του αναχώματος ασφάλειας (firewall type): Ανάλογα με τις ανάγκες που πρέπει να καλυφθούν

Ζητήματα Σχεδίασης (3/3) Υπάρχουν δύο επίπεδα της πολιτικής ασφάλειας ενός δικτύου τα οποία επηρεάζουν άμεσα τη σχεδίαση, την εγκατάσταση και τη χρήση ενός αναχώματος ασφάλειας: Πολιτική Υπηρεσίας Πρόσβασης στο Δίκτυο Πολιτική Σχεδίασης του αναχώματος ασφάλειας

Ζητήματα Σχεδίασης (3/3) Υπάρχουν δύο επίπεδα της πολιτικής ασφάλειας ενός δικτύου τα οποία επηρεάζουν άμεσα τη σχεδίαση, την εγκατάσταση και τη χρήση ενός αναχώματος ασφάλειας: Πολιτική Υπηρεσίας Πρόσβασης στο Δίκτυο Πολιτική Σχεδίασης του αναχώματος ασφάλειας αποτελεί υψηλού επιπέδου πολιτική ασφάλειας προσδιορίζει τις υπηρεσίες εκείνες που θα επιτρέπονται ή ρητά θα απαγορεύονται από το δίκτυο, καθώς και τον τρόπο με τον οποίο αυτές θα χρησιμοποιούνται

Ζητήματα Σχεδίασης (3/3) Υπάρχουν δύο επίπεδα της πολιτικής ασφάλειας ενός δικτύου τα οποία επηρεάζουν άμεσα τη σχεδίαση, την εγκατάσταση και τη χρήση ενός αναχώματος ασφάλειας: Πολιτική Υπηρεσίας Πρόσβασης στο Δίκτυο Πολιτική Σχεδίασης του αναχώματος ασφάλειας αποτελεί χαμηλού επιπέδου πολιτική ασφάλειας περιγράφει τους τρόπους με τους οποίους το ανάχωμα ασφάλειας θα επιβάλλει περιορισμό της πρόσβασης και φιλτράρισμα των υπηρεσιών, κατά τον τρόπο που αυτά θα έχουν ρητά διατυπωθεί στην Πολιτική Υπηρεσίας Πρόσβασης στο Δίκτυ

Ζητήματα Σχεδίασης (3/3) Υπάρχουν δύο επίπεδα της πολιτικής ασφάλειας ενός δικτύου τα οποία επηρεάζουν άμεσα τη σχεδίαση, την εγκατάσταση και τη χρήση ενός αναχώματος ασφάλειας: Πολιτική Υπηρεσίας Πρόσβασης στο Δίκτυο Πολιτική Σχεδίασης του αναχώματος ασφάλειας Πολιτική προκαθορισμένης άδειας χρήσης: Επιτρέπεται κάθε υπηρεσία, εκτός αν έχει ρητά απαγορευθεί Πολιτική προκαθορισμένης απαγόρευσης χρήσης: Απαγορεύεται κάθε υπηρεσία, εκτός αν έχει ρητά επιτραπεί

Ζητήματα Σχεδίασης (3/3) Υπάρχουν δύο επίπεδα της πολιτικής ασφάλειας ενός δικτύου τα οποία επηρεάζουν άμεσα τη σχεδίαση, την εγκατάσταση και τη χρήση ενός αναχώματος ασφάλειας: Πολιτική Υπηρεσίας Πρόσβασης στο Δίκτυο Πολιτική Σχεδίασης του αναχώματος ασφάλειας Πολιτική προκαθορισμένης άδειας χρήσης: Επιτρέπεται κάθε υπηρεσία, εκτός αν έχει ρητά απαγορευθεί Πολιτική προκαθορισμένης απαγόρευσης χρήσης: Απαγορεύεται κάθε υπηρεσία, εκτός αν έχει ρητά επιτραπεί

Κατηγοριοποίηση αναχωμάτων ασφαλείας (1/2) OSI vs TCP/IP

Κατηγοριοποίηση αναχωμάτων ασφαλείας (2/2) αναχώματα ασφάλειας επιπέδου εφαρμογής αναχώματα ασφάλειας επιπέδου δικτύου Layer 7 - Application Layer 6 Presentation Layer 5 Session Layer 4 Transport Layer 3 Network Layer 2 MAC/DLC Layer 1 Physical

Αναχώματα ασφαλείας επιπέδου δικτύου (1/11) Στην πιο συνηθισμένη τους μορφή είναι απλοί δρομολογητές (routers), αλλά με αυξημένες δυνατότητες: δρομολογητές φιλτραρίσματος (filtering or screening routers) αναχώματα ασφαλείας επιπέδου δικτύου (network level or packet filter firewalls) Κατά την παραλαβή ενός πακέτου εξετάζουν όχι μόνον εάν το πακέτο μπορεί να δρομολογηθεί προς τον προορισμό του, αλλά και το εάν πρέπει να δρομολογηθεί παρέχουν έναν εύκολο και φθηνό τρόπο υλοποίησης ενός βασικού επιπέδου φιλτραρίσματος με πραγματοποίηση ελέγχων των IP πακέτων ενός δικτύου Απαιτείται η ύπαρξη καλά καθορισμένης πολιτικής ασφάλειας

Αναχώματα ασφαλείας επιπέδου δικτύου (2/11) Δέχονται το κάθε πακέτο, εξετάζουν την IP διεύθυνση πηγής και προορισμού και με βάση συγκεκριμένους κανόνες καθορίζεται αν θα επιτραπεί η προώθησή του προς τον τελικό προορισμό Ανάχωμα ασφάλειας επιπέδου δικτύου Επίπεδο εφαρμογής Πακέτα Προώθηση Δίκτυο 1 Επίπεδο πυρήνα Δίκτυο 2 Δίκτυο 3 Φίλτρο Δρομολογητής Απόρριψη

Αναχώματα ασφαλείας επιπέδου δικτύου (3/11) Το φίλτρο πακέτων διενεργεί τον έλεγχο εφαρμόζοντας ένα σύνολο κανόνων (rules): έχουν οριστεί από το διαχειριστή του firewall κατά τη διαμόρφωσή του και υλοποιούν μια προαποφασισμένη πολιτική ασφάλειας Κάθε κανόνας έχει δυο βασικά τμήματα: το πεδίο της ενέργειας επιτρέπω (permit, allow) ή σταματώ (block, deny). το πεδίο των κριτηρίων επιλογής

Αναχώματα ασφαλείας επιπέδου δικτύου (4/11) Τα κριτήρια επιλογής βασίζονται σε παραμέτρους: Διεύθυνση προέλευσης και προορισμού IP διευθύνσεις ομαδοποιούνται με μάσκες διευθύνσεων (address masks), π.χ. Allow from 195.17.72.0/21 Allow from 195.17.88.0/22 τα πακέτα με IP προέλευσης 195.17.82.8, 195.17.79.249 και 195.17.89.92 θα περάσουν; Αριθμός θύρας προέλευσης και προορισμού (port number) Πρωτόκολλο: TCP (Transmission Control Protocol) UDP (User Datagram Protocol) κ.ά. Κατεύθυνση: ανάλογα με το αν εισέρχεται το πακέτο στο ιδιωτικό δίκτυο ή αν εξέρχεται από αυτό

Αναχώματα ασφαλείας επιπέδου δικτύου (5/11) Παραδείγματα: Πολιτική προκαθορισμένης άδειας χρήσης: Επιτρέπεται κάθε υπηρεσία, εκτός αν έχει ρητά απαγορευθεί

Αναχώματα ασφαλείας επιπέδου δικτύου (6/11) Παραδείγματα: Πολιτική προκαθορισμένης απαγόρευσης χρήσης: Απαγορεύεται κάθε υπηρεσία, εκτός αν έχει ρητά επιτραπεί

Αναχώματα ασφαλείας επιπέδου δικτύου (7/11) Παραδείγματα:

Αναχώματα ασφαλείας επιπέδου δικτύου (8/11) Παραδείγματα: insert rules show rules

Αναχώματα ασφαλείας επιπέδου δικτύου (9/11) Χώρος δράσης τους είναι τα χαμηλότερα στρώματα (network transport layers) του μοντέλου αναφοράς OSI για αυτό είναι πολύ γρήγορα στη βάση μιας συγκεκριμένης εφαρμογής (by application), αφού η ελεγχόμενη διεύθυνση είναι ο συνδυασμός της διεύθυνσης δικτύου και του αριθμού θύρας εφαρμογής (π.χ. το 21 για εφαρμογές FTP, το 25 για εφαρμογές SMTP, κλπ)

Αναχώματα ασφαλείας επιπέδου δικτύου (10/11) Πλεονεκτήματα: εγκαθίστανται και διαμορφώνονται εύκολα είναι διαφανή στους χρήστες παρουσιάζουν μεγάλη ταχύτητα εκτέλεσης επειδή ασχολούνται μόνο με το τμήμα της επικεφαλίδας του ΙΡ πακέτου χαμηλό κόστος θεωρούνται αναπόσπαστο τμήμα ενός ολοκληρωμένου συστήματος firewall

Αναχώματα ασφαλείας επιπέδου δικτύου (11/11) Μειονεκτήματα: η καταγραφή των συμβάντων είναι απλοϊκή δεν προσφέρουν μηχανισμούς συναγερμών και εποπτείας (auditing) σε ικανοποιητικό επίπεδο δε διαθέτουν μηχανισμούς αυθεντικοποίησης σε επίπεδο χρήστη είναι λιγότερο ασφαλή από τα αναχώματα ασφάλειας επιπέδου εφαρμογής, αφού δεν εξετάζονται τα δεδομένα που διακινούνται στα IP πακέτα (δεν αντιμετωπίζονται επιθέσεις IP και DNS spoofing)

Αναχώματα ασφαλείας επιπέδου εφαρμογής (1/7) Υλοποιείται ως πρόγραμμα λογισμικού σε μια συγκεκριμένη πλατφόρμα υπολογιστή (host-based firewalls) O υπολογιστής αυτός αναφέρεται ως υπολογιστής έπαλξη (bastion host). Αποτελεί το κύριο σημείο επικοινωνίας του εσωτερικού δικτύου με το Internet Αναχώματα ασφάλειας αυτής της κατηγορίας δεν επιτρέπουν σε κανένα πακέτο να περάσει κατευθείαν από το ένα δίκτυο στο άλλο. Η πραγματική σύνδεση πραγματοποιείται με μια εφαρμογή ειδικού σκοπού που εκτελείται στον υπολογιστή-έπαλξη, η οποία ονομάζεται πληρεξούσια εφαρμογή ή πληρεξούσια υπηρεσία (proxy application or proxy service) αναφέρονται και ως proxy servers, καθώς συμπεριφέρονται ως εκπρόσωποι (proxies) του υποτιθέμενου πελάτη

Αναχώματα ασφαλείας επιπέδου εφαρμογής (2/7) Η πληρεξούσια υπηρεσία δέχεται αιτήσεις χρηστών για την παροχή υπηρεσιών Διαδικτύου, FTP, Web, τις οποίες προωθεί προς τις πραγματικές υπηρεσίες σύμφωνα με την καθορισμένη πολιτική ασφάλειας Ανάχωμα ασφάλειας επιπέδου εφαρμογής Επίπεδο εφαρμογής Πακέτα Προώθηση Πληρεξούσια Πληρεξούσια Δίκτυο 1 Δίκτυο 2 υπηρεσία υπηρεσία Δίκτυο 3 Επίπεδο πυρήνα Δρομολογητής

Αναχώματα ασφαλείας επιπέδου εφαρμογής (3/7) Λειτουργούν στο υψηλότερο στρώμα επικοινωνίας, γνωστό ως το επίπεδο εφαρμογής (application layer). Έτσι: έχουν πρόσβαση σε περισσότερες πληροφορίες από ότι τα προηγούμενα συστήματα όλα τα διερχόμενα IP πακέτα εξετάζονται ως προς το περιεχόμενό τους και ανάλογα προωθούνται ή απορρίπτονται και μπορούν να προγραμματιστούν πιο έξυπνα ώστε να μπορούν να υποστηρίξουν σύνθετες πολιτικές ασφάλειας

Αναχώματα ασφαλείας επιπέδου εφαρμογής (4/7) Ο πληρεξούσιος εξυπηρέτης λειτουργεί, με λιγότερο ή περισσότερο διαφανή τρόπο, μεταξύ των εξυπηρετούμενων από το εσωτερικό δίκτυο και των πραγματικών εξυπηρετών στο εξωτερικό δίκτυο λογισμικό 2 κατευθύνσεων που δρα ταυτόχρονα και ως server και ως client Ανάχωμα ασφάλειας Πραγματικός εξυπηρέτης Πληρεξούσιος εξυπηρετούμενος Πληρεξούσιος εξυπηρέτης Διαδίκτυο Εξωτερικός φορέας Εσωτερικός φορέας Εσωτερικό Δίκτυο

Αναχώματα ασφαλείας επιπέδου εφαρμογής (5/7) Παράδειγμα: ένας χρήστης προερχόμενος από το Internet, για να αποκτήσει πρόσβαση στην υπηρεσία FTP ενός μηχανήματος του προστατευμένου δικτύου, θα πρέπει: πρώτα να συνδεθεί με τη αντίστοιχη proxy εφαρμογή, να ακολουθήσει η αναγνώριση πιστοποίησή του και στη συνέχεια αν η πολιτική ασφάλειας του firewall περιέχει για το συγκεκριμένο και αναγνωρισμένο χρήστη τις κατάλληλες εξουσιοδοτήσεις, θα προωθηθεί η σύνδεση με την υπηρεσία FTP που ζήτησε

Αναχώματα ασφαλείας επιπέδου εφαρμογής (6/7) Πλεονεκτήματα: δεν απαιτείται εγκυρότητα της περιοχής διευθύνσεων. Μπορούν να λειτουργήσουν ως Μεταφραστές Διευθύνσεων Δικτύου (Network Address Translators NATs), με απόκρυψη των εσωτερικών IP διευθύνσεων παρέχουν μεγαλύτερη ασφάλεια και καλύτερο έλεγχο προσπέλασης λήψη σελίδων του Π.Ι. αλλά απαγόρευση εκτέλεσης CGI scripts παρέχουν καλύτερη καταγραφή συμβάντων ευκολότερη διαχείριση ο ορισμός κανόνων για τη διαχείριση μιας εφαρμογής είναι πιο απλός από ότι για τον έλεγχο πακέτων

Αναχώματα ασφαλείας επιπέδου εφαρμογής (7/7) Μειονεκτήματα: δεν είναι πάντοτε διαφανή προς το χρήστη ένα ανάχωμα ασφάλειας επιπέδου εφαρμογής απαιτεί μία ξεχωριστή πληρεξούσια εφαρμογή για κάθε υπηρεσία δικτύου η ταχύτητα και η απόδοσή τους, γενικότερα, δεν είναι τόσο ικανοποιητική όσο των αναχωμάτων ασφάλειας επιπέδου δικτύου

Υβριδικά αναχώματα Η κατασκευή ενός αναχώματος ασφάλειας συνήθως δε στηρίζεται σε μια μόνο από τις παραπάνω αρχιτεκτονικές, αλλά στο συνδυασμό τους Σε μια υβριδική διάρθρωση, τα λαμβανόμενα πακέτα: αρχικά υπόκεινται στον έλεγχο τον οποίο διενεργεί το ανάχωμα ασφάλειας επιπέδου δικτύου, συνεπώς: είτε απορρίπτονται είτε διέρχονται και κατευθύνονται προς τον προορισμό τους ακολούθως μπορούν να σταλούν σε κάποια πληρεξούσια υπηρεσία για περαιτέρω επεξεργασία Προσφέρεται πολύ καλό επίπεδο ασφάλειας, αλλά με αυξημένο κόστος υλοποίησης Γνωστές υλοποιήσεις υβριδικών αναχωμάτων ασφάλειας: screened host, screened subnet, stateful inspection

Screened host (1/2) Η αρχιτεκτονική Υπολογιστή Διαλογής - Screened Host παρέχει υπηρεσίες διαμέσου ενός υπολογιστή-έπαλξη, ο οποίος βρίσκεται συνδεδεμένος μόνο στο εσωτερικό δίκτυο, έχει δηλαδή μόνο μια διεπαφή δικτύου, κάνοντας χρήση ενός ξεχωριστού screened router επιπέδου δικτύου Υπολογιστής-έπαλξη Διαδίκτυο Ασφαλές Δίκτυο

Screened host (2/2) Όλη η εισερχόμενη κίνηση προωθείται στον υπολογιστή-έπαλξη μέσω του αναχώματος ασφάλειας επιπέδου δικτύου (δρομολογητή) Για την εξερχόμενη κίνηση (από τους χρήστες του εσωτερικού δικτύου), μπορεί: είτε να επιτραπεί να συνδέονται μέσω του αναχώματος ασφάλειας επιπέδου δικτύου με κάποια υπηρεσία του εξωτερικού δικτύου είτε να χρησιμοποιήσουν πληρεξούσιες εφαρμογές στον bastion host για τις συνδέσεις αυτές Αυξημένη ασφάλεια και ευχρηστία Αν αποτύχει είτε ο δρομολογητής-διαλογής είτε ο υπολογιστήςέπαλξη, το δίκτυο εκτίθεται σε κίνδυνο

Screened subnet (1/5) Η αρχιτεκτονική Υποδικτύου Διαλογής - Screened Subnet αποτελείται από δύο δρομολογητές διαλογής, με τον υπολογιστή-έπαλξη (bastion host) να βρίσκεται ενδιάμεσα Δημιουργείται ένα μικρό απομονωμένο δίκτυο μεταξύ του εσωτερικού δικτύου και του δυνητικά εχθρικού εξωτερικού δικτύου. Ο bastion host βρίσκεται πάνω στο απομονωμένο δίκτυο, που αποκαλείται περιμετρικό δίκτυο (perimeter network)

Screened subnet (2/5) Διαδίκτυο Υπολογιστής-Έπαλξη Εξωτερικός Δρομολογητής Περιμετρικό Δίκτυο Ανάχωμα ασφάλειας Εσωτερικός Δρομολογητής Εσωτερικό Δίκτυο

Screened subnet (3/5) Περιμετρικό δίκτυο (perimeter network) αποστρατιωτικοποιημένη ζώνη (De-Militarized Zone - DMZ) η χρήση του αποτελεί πρόσθετο επίπεδο ασφάλειας, σε σχέση με τις υπόλοιπες αρχιτεκτονικές ο bastion host δέχεται τις περισσότερες επιθέσεις: αν καταληφθεί από κάποιον εξωτερικό κακόβουλο, εφόσον βρίσκεται στο περιμετρικό δίκτυο, το εσωτερικό δίκτυο παραμένει ασφαλές Υπολογιστής-έπαλξη βρίσκεται στο περιμετρικό δίκτυο και αποτελεί σημείο επικοινωνίας για τις εισερχόμενες συνδέσεις (π.χ. παράδοση e- mails) έχει εγκατεστημένους πληρεξούσιους εξυπηρέτες, που μέσω αυτών οι εσωτερικοί εξυπηρετούμενοι συνδέονται με εξωτερικούς εξυπηρέτες

Screened subnet (4/5) Εσωτερικός δρομολογητής (interior router) προστατεύει το εσωτερικό δίκτυο από το περιμετρικό δίκτυο και το εξωτερικό δίκτυο αναλαμβάνει το μεγαλύτερο βάρος στο φιλτράρισμα πακέτων απευθείας συνδέσεις με το εξωτερικό δίκτυο επιτρέπονται μόνον εφόσον μπορούν να καλυφθούν συγκεκριμένες απαιτήσεις ασφάλειας στις υπόλοιπες περιπτώσεις απαιτείται σύνδεση με τον υπολογιστή-έπαλξη, μέσω πληρεξούσιου εξυπηρέτη

Screened subnet (5/5) Εξωτερικός δρομολογητής (exterior router) προστατεύει το περιμετρικό και εσωτερικό δίκτυο από το εξωτερικό (συνήθως ανήκει στον εξοπλισμό ενός ISP) συνήθως επιτρέπει χωρίς φιλτράρισμα κίνηση από το περιμετρικό δίκτυο προς το εξωτερικό επιβάλλεται να υπάρχει συμφωνία στους κανόνες ασφάλειας, τόσο στον εξωτερικό όσο και στον εσωτερικό δρομολογητή υποστηρίζει τη δέσμευση πλαστογραφημένων πακέτων, που φαίνονται να προέρχονται από εσωτερικές IP διευθύνσεις, αλλά είναι τελικά από εξωτερικούς χρήστες

Stateful inspection (1/3) Σχετικά νέα τεχνολογία, κατηγορίας packet filtering με επιπλέον εξέταση του περιεχομένου των πακέτων αυτών καθαυτών αλλά και σε σχέση με προηγούμενες μεταδόσεις, π.χ. όταν το πρωτόκολλο που χρησιμοποιείται είναι το TCP βασίζεται στο μηχανισμό three-way handshake client initiates a new connection SYN bit set in the packet header NEW connections server replies to the SYN packet SYN and the ACK bit are set client responds ACK bit is set connection ESTABLISHED ένα stateful firewall επιτρέπει όλα τα εξερχόμενα πακέτα, αλλά επιτρέπει μόνο τα εισερχόμενα που αποτελούν μέρος μιας ESTABLISHED σύνδεσης

Stateful inspection (2/3) Χρησιμοποιούν μια εσωτερική βάση δεδομένων που συνεχώς ενημερώνεται με πληροφορίες προηγούμενων μεταδόσεων πακέτων ώστε να καταγράφονται πληροφορίες κατάστασης (state information) πληροφορίες πλαισίου (context information) κάθε μετάδοσης Οπότε διαμορφώνεται δυναμικά η λήψη της απόφασης του να επιτραπεί ή όχι μια μετάδοση πακέτου (intelligent firewall)

Stateful inspection (3/3) Χώρος δράσης, εκτείνεται: από τα χαμηλά επίπεδα δικτυακής επικοινωνίας όπου φιλτράρονται τα πακέτα μέχρι το επίπεδο εφαρμογής όπου γίνεται η διαχείριση και ο καθορισμός της πολιτικής ασφαλείας μέσω υπηρεσιών proxy Συνδυάζει τα πλεονεκτήματα των δυο βασικών τεχνολογιών Παρέχουν υψηλού επιπέδου γλώσσα προγραμματισμού (Inspect Language) για επεμβάσεις στην Inspect Engine του firewall εύκολη επεκτασιμότητα (π.χ. προσθήκη νέων εφαρμογών) Επιτρέπουν το αποτελεσματικό φιλτράρισμα μεταδόσεων με stateless πρωτόκολλα (UDP, RPC) Λόγω της πολυπλοκότητας της διαχείρισής τους, αποτελούν προσφιλή στόχο των εισβολέων

Λειτουργικές απαιτήσεις σχεδίασης Ένα ανάχωμα ασφάλειας που έχει σωστά μελετηθεί και εγκατασταθεί στο δίκτυο ενός οργανισμού, πρέπει: Να εμπλέκεται σε οποιαδήποτε συνομιλία και ολόκληρη η κίνηση να μεταδίδεται μέσα από αυτό Να είναι αδιάβλητο. Για το σκοπό αυτό πρέπει να αποτελεί ένα ξεχωριστό υπολογιστικό σύστημα, με ελάχιστη παρέμβαση χρηστών Να είναι απλό και μικρό σε μέγεθος, ώστε να μπορεί να αναλυθεί εύκολα

Ολοκληρωμένα συστήματα firewalls (1/2) 1. Μηχανισμός φίλτρου πακέτων: εμποδίζει τη πορεία των διακινούμενων πακέτων δεδομένων ανάμεσα στο Internet και το ιδιωτικό δίκτυο, ενώ επιτρέπει την κίνηση μέσω του firewall μόνο σε όσα ανήκουν σε αποδεκτούς τρόπους επικοινωνίας. 2. Λογισμικό υλοποίησης πυλών σε επίπεδο εφαρμογής: εμποδίζει τη κυκλοφορία των δεδομένων πιστοποιεί (authenticate) τους χρήστες σε επίπεδο εφαρμογών TCP/IP όπως οι υπηρεσίες HTTP, FTP κλπ

Ολοκληρωμένα συστήματα firewalls (2/2) 3. Υπηρεσία ονομασίας επικρατειών (Domain Name Service-DNS): για απόκρυψη των εσωτερικών IP διευθύνσεων του ιδιωτικού δικτύου από τους χρήστες του Διαδικτύου 4. Μηχανισμός διαχείρισης e-mail: για να διασφαλίζει ότι η ανταλλαγή ηλεκτρονικών μηνυμάτων διεκπεραιώνεται μέσω firewall 5. Ασφαλές λειτουργικό σύστημα

Διαβάθμιση ασφάλειας (connectivity vs security)

2025 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια