Ασφάλεια Υπολογιστικών Συστημάτων

Σχετικά έγγραφα
Σκοπιµότητα των firewalls

Ασφάλεια Υπολογιστικών Συστημάτων

Ασφάλεια Υπολογιστικών Συστημάτων

Εισαγωγή στην Διοίκηση Επιχειρήσεων

Λογιστική Κόστους Ενότητα 12: Λογισμός Κόστους (2)

Ειδικά Θέματα Δικτύων Ι

Σχεδίαση Δικτύων Υπολογιστών

Ειδικά Θέματα Δικτύων ΙΙ

Εισαγωγή στην Διοίκηση Επιχειρήσεων

Εισαγωγή στην Διοίκηση Επιχειρήσεων

Εισαγωγή στην Διοίκηση Επιχειρήσεων

Διοίκηση Εξωτερικής Εμπορικής Δραστηριότητας

Ασφάλεια Υπολογιστικών Συστημάτων. Ενότητα 9: Intrusion Detection Systems - Netfilter (Μέρος 1) Νικολάου Σπύρος Τμήμα Μηχανικών Πληροφορικής ΤΕ

Ειδικά Θέματα Δικτύων ΙΙ. Ενότητα 7: Δρομολόγηση κατάστασης ζεύξης (Μέρος 1) Νικολάου Σπύρος Τμήμα Μηχανικών Πληροφορικής ΤΕ

Λογιστική Κόστους Ενότητα 8: Κοστολογική διάρθρωση Κύρια / Βοηθητικά Κέντρα Κόστους.

Εισαγωγή στους Αλγορίθμους

Εισαγωγή στην Διοίκηση Επιχειρήσεων

Ενότητα. Εισαγωγή στις βάσεις δεδομένων

Εισαγωγή στους Αλγορίθμους

Διοικητική Λογιστική

Ειδικά Θέματα Δικτύων ΙΙ. Ενότητα 8: Δρομολόγηση κατάστασης ζεύξης (Μέρος 2) Νικολάου Σπύρος Τμήμα Μηχανικών Πληροφορικής ΤΕ

Εισαγωγή στην Διοίκηση Επιχειρήσεων

Ειδικά Θέματα Δικτύων Ι

Θερμοδυναμική. Ανοικτά Ακαδημαϊκά Μαθήματα. Πίνακες Νερού σε κατάσταση Κορεσμού. Γεώργιος Κ. Χατζηκωνσταντής Επίκουρος Καθηγητής

Βάσεις Δεδομένων. Ενότητα 1: Εισαγωγή στις Βάσεις δεδομένων. Πασχαλίδης Δημοσθένης Τμήμα Ιερατικών σπουδών

Μεθοδολογία Έρευνας Κοινωνικών Επιστημών Ενότητα 2: ΣΥΓΚΕΝΤΡΩΣΗ ΠΛΗΡΟΦΟΡΙΩΝ ΜΑΡΚΕΤΙΝΓΚ Λοίζου Ευστράτιος Τμήμα Τεχνολόγων Γεωπόνων-Kατεύθυνση

Σχεδίαση Δικτύων Υπολογιστών

Λογιστική Κόστους Ενότητα 11: Λογισμός Κόστους (1)

Ασφάλεια Πληροφοριακών Συστημάτων

Ειδικά Θέματα Δικτύων ΙΙ

Εισαγωγή στην Διοίκηση Επιχειρήσεων

Ειδικά Θέματα Δικτύων Ι

Ειδικά Θέματα Δικτύων Ι

Λογιστική Κόστους Ενότητα 11: Λογισμός Κόστους

ΣΥΣΤΗΜΑΤΑ ΗΛΕΚΤΡΙΚΗΣ ΕΝΕΡΓΕΙΑΣ ΙIΙ

ΣΥΣΤΗΜΑΤΑ ΗΛΕΚΤΡΙΚΗΣ ΕΝΕΡΓΕΙΑΣ ΙIΙ

ΣΥΣΤΗΜΑΤΑ ΗΛΕΚΤΡΙΚΗΣ ΕΝΕΡΓΕΙΑΣ ΙIΙ

Εισαγωγή στους Αλγορίθμους

Ειδικά Θέματα Δικτύων ΙΙ

Ανοικτά Ακαδημαϊκά Μαθήματα στο ΤΕΙ Αθήνας. Βιοστατιστική (Ε) Ενότητα 3: Έλεγχοι στατιστικών υποθέσεων

Ανοικτά Ακαδημαϊκά Μαθήματα στο ΤΕΙ Αθήνας. Βιοστατιστική (Ε) Ενότητα 1: Καταχώρηση δεδομένων

Εισαγωγή στη Δικτύωση Υπολογιστών

Ασφάλεια Πληροφοριακών Συστημάτων

Σχεδίαση Δικτύων Υπολογιστών

Ανοικτά Ακαδημαϊκά Μαθήματα στο ΤΕΙ Αθήνας. Βιοστατιστική (Ε) Ενότητα 2: Περιγραφική στατιστική

Ασφάλεια Υπολογιστικών Συστημάτων

Εισαγωγή στους Αλγορίθμους Ενότητα 10η Άσκηση Αλγόριθμος Dijkstra

Βάσεις Περιβαλλοντικών Δεδομένων

Μηχανολογικό Σχέδιο Ι

Σχεδίαση Δικτύων Υπολογιστών

Λογιστική Κόστους Ενότητα 10: Ασκήσεις Προτύπου Κόστους Αποκλίσεων.

ΗΛΕΚΤΡΟΤΕΧΝΙΑ-ΗΛΕΚΤΡΟΝΙΚΗ ΕΡΓΑΣΤΗΡΙΟ

Ασφάλεια Υπολογιστικών Συστημάτων. Ενότητα 10: Intrusion Detection Systems - Netfilter (Μέρος 2) Νικολάου Σπύρος Τμήμα Μηχανικών Πληροφορικής ΤΕ

Τίτλος Μαθήματος: Μαθηματική Ανάλυση Ενότητα Γ. Ολοκληρωτικός Λογισμός

Ειδικά Θέματα Δικτύων ΙΙ

Τεχνολογία Πολυμέσων. Ενότητα 8: Pool Table. Νικολάου Σπύρος Τμήμα Μηχανικών Πληροφορικής ΤΕ

Ειδικά Θέματα Δικτύων Ι

Στατιστική Ι. Ενότητα 3: Στατιστική Ι (3/4) Αναπλ. Καθηγητής Νικόλαος Σαριαννίδης Τμήμα Διοίκησης Επιχειρήσεων (Κοζάνη)

ΗΛΕΚΤΡΟΤΕΧΝΙΑ-ΗΛΕΚΤΡΟΝΙΚΗ ΕΡΓΑΣΤΗΡΙΟ

ΑΝΤΙΡΡΥΠΑΝΤΙΚΗ ΤΕΧΝΟΛΟΓΙΑ ΑΙΩΡΟΥΜΕΝΩΝ ΣΩΜΑΤΙΔΙΩΝ Ενότητα 2: Αιωρούμενα σωματίδια & Απόδοση συλλογής Αν. Καθ. Δρ Μαρία Α. Γούλα Τμήμα Μηχανικών

Ασφάλεια Υπολογιστικών Συστημάτων

Διοικητική Λογιστική

Διοίκηση Εξωτερικής Εμπορικής Δραστηριότητας

Οργάνωση και Διοίκηση Πωλήσεων

Εισαγωγή στους Αλγορίθμους Ενότητα 9η Άσκηση - Αλγόριθμος Prim

Συστήματα Αναμονής. Ενότητα 5: Ανέλιξη Poisson. Αγγελική Σγώρα Τμήμα Μηχανικών Πληροφορικής ΤΕ

Θερμοδυναμική. Ανοικτά Ακαδημαϊκά Μαθήματα. Πίνακες Νερού Υπέρθερμου Ατμού. Γεώργιος Κ. Χατζηκωνσταντής Επίκουρος Καθηγητής

Εισαγωγή στους Αλγορίθμους Ενότητα 9η Άσκηση - Αλγόριθμος Kruskal

ΗΛΕΚΤΡΟΝΙΚΗ ΙIΙ Ενότητα 6

Ιστορία της μετάφρασης

Εισαγωγή στην Πληροφορική

Διεθνείς Οικονομικές Σχέσεις και Ανάπτυξη

Οργάνωση και Διοίκηση Πωλήσεων Ενότητα 8: ΟΡΓΑΝΩΣΗ ΤΗΣ ΔΥΝΑΜΗΣ ΠΩΛΗΤΩΝ

Εισαγωγή στη Διοίκηση Επιχειρήσεων Ενότητα 3: Λήψη Αποφάσεων Επίκ. Καθηγητής Θεμιστοκλής Λαζαρίδης Τμήμα Διοίκηση Επιχειρήσεων (Γρεβενά)

Διδακτική Πληροφορικής

Βάσεις Περιβαλλοντικών Δεδομένων

ΗΛΕΚΤΡΟΤΕΧΝΙΑ-ΗΛΕΚΤΡΟΝΙΚΗ ΕΡΓΑΣΤΗΡΙΟ

Εισαγωγή στην Πληροφορική

Λογιστική Κόστους Ενότητα 5: Προορισμός Κόστους

Λογιστική Κόστους. Ενότητα 4: ΣΥΜΠΕΡΙΦΟΡΑ - ΦΥΣΗ ΚΟΣΤΟΥΣ. Μαυρίδης Δημήτριος Τμήμα Λογιστικής και Χρηματοοικονομικής

ΑΝΑΛΥΣΗ ΧΡΗΜΑΤΟΟΙΚΟΝΟΜΙΚΩΝ ΚΑΤΑΣΤΑΣΕΩΝ

Μεθοδολογία Έρευνας Κοινωνικών Επιστημών Ενότητα 4: Πηγές Δεδομένων- Δευτερογενή Στοιχεία. Λοίζου Ευστράτιος Τμήμα Τεχνολόγων Γεωπόνων-Kατεύθυνση

Ηλεκτροτεχνία ΙΙ. Ενότητα 1: Βασικές Έννοιες Ηλεκτροτεχία Ηλεκτρονική. Δημήτρης Στημονιάρης, Δημήτρης Τσιαμήτρος Τμήμα Ηλεκτρολογίας

Εισαγωγικές έννοιες θεωρίας Συστημάτων Αυτομάτου Ελέγχου Ενότητα 8 η : ΒΑΣΙΚΕΣ ΕΝΝΟΙΕΣ ΠΡΟΓΡΑΜΜΑΤΙΖΟΜΕΝΩΝ ΛΟΓΙΚΩΝ ΕΛΕΓΚΤΩΝ

ΣΥΜΠΕΡΙΦΟΡΑ ΚΑΤΑΝΑΛΩΤΗ

Σχεδίαση Δικτύων Υπολογιστών

Εισαγωγή στους Η/Υ. Ενότητα 2β: Αντίστροφο Πρόβλημα. Δημήτρης Σαραβάνος, Καθηγητής Πολυτεχνική Σχολή Τμήμα Μηχανολόγων & Αεροναυπηγών Μηχανικών

Μεθοδολογία Έρευνας Κοινωνικών Επιστημών

Εισαγωγή στην Πληροφορική

Ειδικά Θέματα Δικτύων Ι

ΟΙΚΟΝΟΜΕΤΡΙΑ. Ενότητα 3: Πολλαπλή Παλινδρόμηση. Αναπλ. Καθηγητής Νικόλαος Σαριαννίδης Τμήμα Διοίκησης Επιχειρήσεων (Γρεβενά)

Εκκλησιαστικό Δίκαιο. Ενότητα 10η: Ιερά Σύνοδος της Ιεραρχίας και Διαρκής Ιερά Σύνοδος Κυριάκος Κυριαζόπουλος Τμήμα Νομικής Α.Π.Θ.

ΟΙΚΟΝΟΜΕΤΡΙΑ. Ενότητα 1: Εκτιμητές και Ιδιότητες. Αναπλ. Καθηγητής Νικόλαος Σαριαννίδης Τμήμα Διοίκησης Επιχειρήσεων (Γρεβενά)

ΑΝΤΙΡΡΥΠΑΝΤΙΚΗ ΤΕΧΝΟΛΟΓΙΑ ΑΙΩΡΟΥΜΕΝΩΝ ΣΩΜΑΤΙΔΙΩΝ Ενότητα 6: Ηλεκτροστατικά Φίλτρα

Συστήματα Αναμονής. Ενότητα 3: Στοχαστικές Ανελίξεις. Αγγελική Σγώρα Τμήμα Μηχανικών Πληροφορικής ΤΕ

Οικονομετρία Ι. Ενότητα 6: Πολλαπλό Γραμμικό Υπόδειγμα Παλινδρόμησης. Δρ. Χαϊδώ Δριτσάκη Τμήμα Λογιστικής & Χρηματοοικονομικής

Διδακτική Πληροφορικής

Σχεδίαση Δικτύων Υπολογιστών. Ενότητα 8: Δρομολόγηση κατάστασης ζεύξης (Μέρος 1 ο ) Άγγελος Μιχάλας Τμήμα Μηχανικών Πληροφορικής ΤΕ

Οργάνωση και Διοίκηση Πωλήσεων Ενότητα 1: Ο ΡΟΛΟΣ ΤΩΝ ΠΩΛΗΣΕΩΝ ΣΤΟ ΠΛΑΙΣΙΟ ΤΗΣ ΣΤΡΑΤΗΓΙΚΗΣ ΜΑΡΚΕΤΙΝΓΚ

Προγραμματισμός H/Y Ενότητα 4: Δείκτες. Επικ. Καθηγητής Συνδουκάς Δημήτριος Τμήμα Διοίκησης Επιχειρήσεων (Γρεβενά)

Transcript:

Ασφάλεια Υπολογιστικών Συστημάτων Ενότητα 9: Τείχη Προστασίας (Firewalls) Νικολάου Σπύρος Τμήμα Μηχανικών Πληροφορικής ΤΕ

Άδειες Χρήσης Το παρόν εκπαιδευτικό υλικό υπόκειται σε άδειες χρήσης Creative Commons. Για εκπαιδευτικό υλικό, όπως εικόνες, που υπόκειται σε άλλου τύπου άδειας χρήσης, η άδεια χρήσης αναφέρεται ρητώς. 2

Χρηματοδότηση Το παρόν εκπαιδευτικό υλικό έχει αναπτυχθεί στα πλαίσια του εκπαιδευτικού έργου του διδάσκοντα. Το έργο «Ανοικτά Ακαδημαϊκά Μαθήματα στο TEI Δυτικής Μακεδονίας και στην Ανώτατη Εκκλησιαστική Ακαδημία Θεσσαλονίκης» έχει χρηματοδοτήσει μόνο τη αναδιαμόρφωση του εκπαιδευτικού υλικού. Το έργο υλοποιείται στο πλαίσιο του Επιχειρησιακού Προγράμματος «Εκπαίδευση και Δια Βίου Μάθηση» και συγχρηματοδοτείται από την Ευρωπαϊκή Ένωση (Ευρωπαϊκό Κοινωνικό Ταμείο) και από εθνικούς πόρους. 3

Σκοποί ενότητας Αυτή η ενότητα πραγματεύεται ζητήματα σχετικά με τα τείχη προστασίας (firewalls). 4

Περιεχόμενα ενότητας (1/5) Firewalls. Εξέλιξη πληροφοριακών συστημάτων. Ορισμός Firewall. Παρεχόμενη Ασφάλεια. Στόχοι σχεδιασμού των firewalls. Τεχνικές. Τί περιμένουμε από ένα firewall; 5

Περιεχόμενα ενότητας (2/5) Περιορισμοί firewall. Τύποι firewall. Packet-filtering router. Επιθέσεις σε packet filters και αντίμετρα. Πλεονεκτήματα - Μειονεκτήματα. Πύλες επιπέδου εφαρμογής. Πύλες επιπέδου κυκλώματος. 6

Περιεχόμενα ενότητας (3/5) Υπολογιστής προμαχώνα. Διευθετήσεις firewalls. Screened-host firewall system / single-homed bastion. Screened-host firewall system / dual-homed bastion. Screened subnet. Γενικές Κατευθύνσεις για χρήση firewall. 7

Περιεχόμενα ενότητας (4/5) Πλεονεκτήματα Firewall. Μειονεκτήματα firewall. Έμπιστα συστήματα. Έλεγχος πρόσβασης σε δεδομένα. Πίνακας πρόσβασης. Λίστες ελέγχου πρόσβασης. Εισιτήρια δυνατοτήτων. 8

Περιεχόμενα ενότητας (5/5) Η έννοια των έμπιστων συστημάτων. Έμπιστα συστήματα - επίπεδα. Ελεγκτής αναφοράς. Αρχείο Παρακολούθησης. Βιβλιογραφία. 9

Τείχη Προστασίας (Firewalls)

Firewalls (1/3) Γενικά. Πυρίμαχοι τοίχοι για προστασία από εξάπλωση φωτιάς. Στα υπολογιστικά συστήματα. «Φράγμα» από το οποίο περνάει η δικτυακή πληροφορία. Και προς τις 2 κατευθύνσεις (Inbound / Incoming and Outbound / Outgoing traffic). Ορίζει ποια κίνηση μπορεί να περνάει. Λειτουργεί σαν φίλτρο σε επίπεδο πακέτων ΙΡ. 11

Firewalls (2/3) Στα υπολογιστικά συστήματα (Συνέχεια). Ή λειτουργεί σαν πρωτόκολλο ανώτερου επιπέδου. Προστατεύει από δικτυακές απειλές (επόμενη διαφάνεια). Επιτρέπει την πρόσβαση στον έξω κόσμο. Μέσω WAN ή Internet. 12

Firewalls (3/3) Το firewall προστατεύει τα εσωτερικά δίκτυα από απειλές. Μη εξουσιοδοτημένη προσπέλαση δικτυακών πόρων. Π.χ. μη εξουσιοδοτημένη πρόσβαση σε αρχεία. Denial of Service (DoS). Π.χ. υπερφόρτωση δικτύου από εξωτερική οντότητα. Προσποίηση (masquerade). Π.χ. αποστολή μηνυμάτων από φαινομενικά νόμιμο χρήστη. 13

Εξέλιξη πληροφοριακών συστημάτων (1/2) Κεντρικοποιημένα συστήματα επεξεργασίας δεδομένων, με κεντρικό mainframe. Τοπικά δίκτυα που συνδέουν υπολογιστές και τερματικά. Δίκτυο κτιριακών εγκαταστάσεων. Αποτελείται από πολλά τοπικά δίκτυα. Εταιρικό δίκτυο. Αποτελείται από διάσπαρτα γεωγραφικά δίκτυα. Συνδεσιμότητα Διαδικτύου. Κτιριακά δίκτυα συνδέονται στο Διαδίκτυο. 14

Εξέλιξη πληροφοριακών συστημάτων (2/2) Πρόσβαση στο Internet = όφελος για τους οργανισμούς. Πρόσβαση στο Internet = απειλή για τους οργανισμούς. Λύση: Ισχυρή ασφάλεια σε κάθε σταθμό εργασίας. Πρακτικό πρόβλημα: απαιτείται συχνή αναβάθμιση. Εναλλακτική λύση: Firewall. Μοναδικό σημείο ελέγχου, ευκολότερη επίβλεψη Εγκαθίσταται σε ένα ή περισσότερα συστήματα. 15

Ορισμός Firewall Υλικό ή/και λογισμικό που επιτρέπει την προσπέλαση ενός δικτύου από εξωτερικούς χρήστες μόνο εφόσον αυτοί διαθέτουν συγκεκριμένα χαρακτηριστικά. Ως σύστημα firewall μπορεί να θεωρηθεί: Μια διάταξη δρομολόγησης (router). Ένας ΗΥ. Ένας διακομιστής ή ένα σύνολο διακομιστών που οχυρώνουν μια δικτυακή τοποθεσία ή ένα υποδίκτυο από πρωτόκολλα και υπηρεσίες που μπορούν να προσβληθούν από διακομιστές εκτός του υποδικτύου. 16

Παρεχόμενη Ασφάλεια Προστατεύει: Πόρους από φθορά, κατάχρηση, κλοπή. Την υπόληψη του δικτύου από δημοσιοποίηση αδυναμιών της ασφάλειάς του. Την επικρατούσα πολιτική ορθής χρήσης των υπηρεσιών διαδικτύου από τους χρήστες. 17

Στόχοι σχεδιασμού των firewalls Όλη η κίνηση θα πρέπει να διέρχεται από το firewall. Είτε προς το εσωτερικό είτε προς το εξωτερικό του δικτύου. Επιτρέπεται να διέρχεται μόνο εξουσιοδοτημένη κίνηση. Διάφορες πολιτικές ασφάλειας. Το firewall πρέπει να είναι αδιαπέραστο. Χρήση έμπιστου συστήματος με ασφαλές λειτουργικό σύστημα. 18

Τεχνικές Έλεγχος υπηρεσιών (service control). Καθορίζει τα είδη υπηρεσιών που μπορούν να προσπελαστούν. Έλεγχος κατεύθυνσης (direction control). Καθορίζει την κατεύθυνση προς την οποία επιτρέπεται να περάσουν συγκεκριμένες αιτήσεις υπηρεσιών. Έλεγχος χρήστη (user control). Ελέγχει την πρόσβαση σε μια υπηρεσία ανάλογα με το ποιος χρήστης προσπαθεί να την προσπελάσει. Έλεγχος συμπεριφοράς (behavior control). Ελέγχει με ποιον τρόπο χρησιμοποιούνται συγκεκριμένες υπηρεσίες. Π.χ. φιλτράρισμα e-mail. 19

Τί περιμένουμε από ένα firewall; Να καθορίσει ένα μοναδικό σημείο ελέγχου πρόσβασης στο δίκτυο. Απλοποίηση σχεδίασης. Κρατά τους μη εξουσιοδοτημένους χρήστες μακριά. Παρακολουθεί συμβάντα σχετικά με την ασφάλεια. Αποτελεί βολική πλατφόρμα για λειτουργίες άσχετες με την ασφάλεια. Μετάφραση διευθύνσεων Διαδικτύου σε τοπικές διευθύνσεις (NAT). Μπορεί να χρησιμοποιηθεί για την υλοποίηση VPN. 20

Περιορισμοί firewall Δεν μπορούν να προστατέψουν από επιθέσεις που τα παρακάμπτουν. Δεν προστατεύουν από εσωτερικές απειλές. Δεν προστατεύουν από μεταφορά μολυσμένων με ιούς προγραμμάτων ή αρχείων. 21

Τύποι firewall Φίλτρα πακέτων (packet filters). Πύλες επιπέδου εφαρμογής (application-level gateways). Πύλες επιπέδου κυκλώματος (circuit-level gateways). Μία ολοκληρωμένη υπηρεσία firewall συνήθως παρέχεται με συνδυασμό των παραπάνω τεχνικών. 22

Packet-filtering router (1/3) Εφαρμόζει σύνολο κανόνων σε εισερχόμενα/εξερχόμενα πακέτα ΙΡ. Προωθεί ή απορρίπτει τα πακέτα. Φιλτράρει και προς τις δύο κατευθύνσεις. Τοποθετείται στο σημείο σύνδεσης του εσωτερικού δικτύου με το εξωτερικό δίκτυο (π.χ. Internet). 23

Packet-filtering router (2/3) Οι κανόνες φιλτραρίσματος βασίζονται σε πληροφορίες των πακέτων. IP source address. IP destination address. Source/destination transport level address (ports). IP protocol field. Καθορίζει το πρωτόκολλο επιπέδου μεταφοράς. Interface δρομολογητή. Από πού προήλθε ή για πού προορίζεται το πακέτο. 24

Packet-filtering router (3/3) Το φίλτρο βασίζεται σε ταιριάσματα με τα πεδία της επικεφαλίδας. 2 πολιτικές: Απόρριψη: Ό,τι δεν επιτρέπεται ρητά, απαγορεύεται. Προώθηση: Ό,τι δεν απαγορεύεται ρητά, επιτρέπεται. 25

Επιθέσεις σε packet filters και αντίμετρα Πίνακας 1. Επιθέσεις σε packet filters και αντίμετρα. Πηγή: Διδάσκων (2015). Επίθεση Περιγραφή Αντίμετρα ΙΡ address spoofing (πλαστογράφηση ΙΡ) Source routing attacks (επιθέσεις δρομολόγησης προέλευσης) Tiny fragment attacks (επιθέσεις μικροσκοπικών τμημάτων) Μετάδοση από εξωτερική σύνδεση, πακέτων με (ψεύτικη) ΙΡ εσωτερικού υπολογιστή Η πηγή καθορίζει την διαδρομή, ελπίζοντας να παρακάμψει μέτρα ασφαλείας Κατάτμηση IP και μεταφορά επικεφαλίδας σε ξεχωριστό τμήμα (fragment) Απόρριψη πακέτων με εσωτερική source IP όταν προέρχονται από εξωτερική σύνδεση Απόρριψη πακέτων που υποστηρίζουν αυτή την επιλογή Επιβολή κανόνα που το πρώτο πακέτο θα πρέπει να περιλαμβάνει κάποια ελάχιστη πληροφορία από την επικεφαλίδα 26

Πλεονεκτήματα. Γρήγορες τεχνικές. Πλεονεκτήματα - Μειονεκτήματα Δρουν στα χαμηλά επίπεδα OSI (network-transport layers). Μειονεκτήματα. Δεν εξετάζεται το περιεχόμενο του πακέτου. Δεν προσφέρει επαρκείς μηχανισμούς επίβλεψης και ειδοποίησης του κινδύνου. Δύσκολη διαχείριση. 27

Πύλες επιπέδου εφαρμογής (1/2) Χρησιμοποιούν proxy server. Ενδιάμεσος αναμεταδότης κίνησης επιπέδου εφαρμογής. Πρόσβαση σε περισσότερες πληροφορίες. Κάθε TCP/IP υπηρεσία που ελέγχεται έχει το δικό της proxy. Πραγματοποιείται πιστοποίηση χρηστών πρώτα π.χ. telnet, ftp. Αν γίνει η πιστοποίηση, η πύλη επικοινωνεί με την κατάλληλη εφαρμογή και αναμεταδίδει τα πακέτα. Αν η πύλη δεν περιλαμβάνει κάποια εφαρμογή, η υπηρεσία δεν υποστηρίζεται. Η πύλη μπορεί να ρυθμιστεί ώστε να υποστηρίζει μόνο συγκεκριμένες ιδιότητες της κάθε εφαρμογής. 28

Πύλες επιπέδου εφαρμογής (2/2) Πλεονεκτήματα. Πιο ασφαλείς από τα φίλτρα πακέτων. Απαιτείται μόνο να εξετάζουν λίγες επιτρεπόμενες εφαρμογές. Στο επίπεδο εφαρμογών είναι ευκολότερη η παρακολούθηση της κίνησης. Γενικά εύκολη διαχείριση. Μειονεκτήματα. Πρόσθετος φόρτος επεξεργασίας σε κάθε σύνδεση. Η πύλη είναι σημείο συναρμογής ανάμεσα στους τελικούς χρήστες. 29

Πύλες επιπέδου κυκλώματος Αυτόνομο σύστημα ή εξειδικευμένη λειτουργία από πύλη επιπέδου εφαρμογής. Δημιουργία 2 συνδέσεων TCP. Δημιουργία ιδεατού κυκλώματος (virtual circuit). Η πύλη τυπικά αναμεταδίδει τα πακέτα TCP από τη μία σύνδεση στην άλλη χωρίς να εξετάζει το περιεχόμενό τους. 30

Υπολογιστής προμαχώνα Σύστημα που προσδιορίζεται από τον διαχειριστή του firewall ως κρίσιμο, ισχυρό σημείο για την ασφάλεια του δικτύου. Συνήθως λειτουργεί ως πλατφόρμα για πύλη επιπέδου εφαρμογής ή επιπέδου κυκλώματος. Στο σύστημα εγκαθίστανται μόνο υπηρεσίες που θεωρούνται απαραίτητες π.χ. Proxy services telnet, ftp, smtp. 31

Διευθετήσεις firewalls Εκτός από την χρήση απλών διευθετήσεων π.χ. δρομολογητή φιλτραρίσματος, παρέχονται και πιο περίπλοκες διευθετήσεις. Screened-host firewall system (single-homed bastion). Screened-host firewall system (dual-homed bastion). Screened subnet. 32

Screened-host firewall system / single-homed bastion (1/2) 2 συστήματα: Δρομολογητής φιλτραρίσματος πακέτων. Υπολογιστής προμαχώνα. Κίνηση από Internet: Εισέρχονται μόνο πακέτα που προορίζονται για τον υπολογιστή προμαχώνα. Ο προμαχώνας εκτελεί ενέργειες αυθεντικοποίησης και διαμεσολάβησης (proxy). Κίνηση από το εσωτερικό: Εξέρχονται μόνο πακέτα από τον υπολογιστή προμαχώνα. 33

Screened-host firewall system / single-homed bastion (2/2) Παρέχεται μεγαλύτερη ασφάλεια από τις απλές διευθετήσεις. Φιλτράρισμα και σε επίπεδο πακέτων και σε επίπεδο εφαρμογής. Οι εισβολείς πρέπει να διεισδύουν σε 2 ξεχωριστά συστήματα προκειμένου να παραβιαστεί η ασφάλεια. Παρέχεται ευελιξία στην παροχή άμεσης πρόσβασης στο Internet. Π.χ. σε περίπτωση ύπαρξης Web Server ο δρομολογητής μπορεί να ρυθμιστεί ώστε να επιτρέπεται άμεση πρόσβαση ανάμεσα στον Web server και το Internet. 34

Screened-host firewall system / dual-homed bastion Αποτρέπει το πρόβλημα της προηγούμενης διευθέτησης που δημιουργούνταν σε περίπτωση παραβίασης του δρομολογητή φιλτραρίσματος πακέτων. Η κίνηση πρέπει οπωσδήποτε να περάσει από τον υπολογιστή προμαχώνα. 35

Screened subnet Η πιο ασφαλής διευθέτηση. Χρησιμοποιούνται 2 δρομολογητές φιλτραρίσματος πακέτων και ένας υπολογιστής προμαχώνας. 3 επίπεδα άμυνας προς εισβολείς. Ο εξωτερικός δρομολογητής προβάλλει στο διαδίκτυο μόνο την ύπαρξη του ελεγχόμενου υποδικτύου. Ο εσωτερικός δρομολογητής προβάλλει στο εσωτερικό δίκτυο μόνο την ύπαρξη του ελεγχόμενου υποδικτύου. 36

Γενικές Κατευθύνσεις για χρήση firewall (1/2) Το σύστημα firewall να είναι η μόνη ορατή διεύθυνση προς τον έξω κόσμο. Οι μηχανισμοί πιστοποίησης χρηστών να γίνονται σε επίπεδο εφαρμογής. Οι proxy servers να κάνουν λεπτομερή καταγραφή σε επίπεδο εφαρμογής. Όλες οι αιτήσεις για διάφορες υπηρεσίες να διέρχονται μέσω proxy servers. Η διαχείριση του firewall να γίνεται από τοπικό τερματικό και όχι απομακρυσμένα. 37

Γενικές Κατευθύνσεις για χρήση firewall (2/2) Οι διαχειριστές να είναι έμπειροι και ενημερωμένοι. Να δημιουργούνται ανά τακτά χρονικά διαστήματα backups του λογισμικού και των δεδομένων του firewall. Να υπάρχει εφεδρικό σύστημα firewall με τις σωστές ρυθμίσεις ώστε να μπορεί να χρησιμοποιηθεί ανά πάσα στιγμή. 38

Πλεονεκτήματα Firewall Επιτρέπει αποτελεσματικά την επιβολή της πολιτικής ασφάλειας. Προστατεύει από ευπαθείς υπηρεσίες δικτύων. Καταγράφει την διερχόμενη πληροφορία και ειδοποιεί σε περίπτωση κινδύνου. Επιβάλλει ελεγχόμενη πρόσβαση στους πόρους του εσωτερικού δικτύου. Κρύβει την πληροφορία του εσωτερικού δικτύου. Συγκεντρώνει υπηρεσίες ασφάλειας με μια καλά ορισμένη οχυρωμένη ζώνη. Μπορεί να λειτουργήσει ως πύλη κρυπτογράφησης. 39

Μειονεκτήματα firewall Δεν προστατεύει από εσωτερικούς χρήστες. Μπορεί να διαπεραστεί. Αποτελεί στόχο επίδοξων επιτιθέμενων. Διαθέτει περιορισμένο έλεγχο πάνω στο περιεχόμενο των μηνυμάτων (π.χ. προστασία από ιούς). Απαιτεί σωστή εγκατάσταση, διαμόρφωση και ακριβείς ρυθμίσεις. 40

Έμπιστα συστήματα Έμπιστα συστήματα: Τρόπος ενίσχυσης της αμυντικής ικανότητας ενάντια σε εισβολείς και κακόβουλα προγράμματα. Έλεγχος πρόσβασης σε δεδομένα. Με την διαδικασία logon οι χρήστες αναγνωρίζονται από το σύστημα. Με κάθε χρήστη μπορεί να συσχετίζεται κάποιο προφίλ που να προσδιορίζει. Επιτρεπόμενες λειτουργίες. Προσπελάσεις αρχείων. Το ΛΣ μπορεί επιπλέον να επιβάλλει κανόνες με βάση το προφίλ χρήστη. 41

Έλεγχος πρόσβασης σε δεδομένα Γενικά μοντέλα ελέγχου πρόσβασης. Πίνακας πρόσβασης (access matrix). Λίστες ελέγχου πρόσβασης (access control lists). Εισιτήρια δυνατοτήτων (capability tickets). 42

Πίνακας πρόσβασης (1/2) Βασικά στοιχεία: Υποκείμενο (subject). Οντότητα ικανή να προσπελαύνει αντικείμενα, ισοδυναμεί με την έννοια της διεργασίας. Αντικείμενο (object). Οτιδήποτε για το οποίο ελέγχεται η πρόσβαση, π.χ. αρχεία, προγράμματα, μνήμη. Δικαίωμα πρόσβασης (access right). Ο τρόπος με τον οποίο γίνεται η προσπέλαση ενός αντικειμένου από ένα υποκείμενο, π.χ. ανάγνωση, εγγραφή, εκτέλεση. 43

Πίνακας πρόσβασης (2/2) Γραμμές: Υποκείμενα διεργασίες. Στήλες: Αντικείμενα. Μπορεί να είναι και μεμονωμένα πεδία δεδομένων. Εγγραφές: Δικαίωμα πρόσβασης του αντίστοιχου υποκειμένου στο αντίστοιχο αντικείμενο. 44

Λίστες ελέγχου πρόσβασης Για κάθε αντικείμενο, παραθέτουν τους χρήστες και τα επιτρεπόμενα δικαιώματα πρόσβασης. Μπορεί να περιέχει «δημόσια εγγραφή» (public entry). Επιτρέπει στους χρήστες που δεν έχουν ρητά κάποια δικαιώματα να έχουν προεπιλεγμένο σύνολο δικαιωμάτων. 45

Εισιτήρια δυνατοτήτων Καθορίζουν εξουσιοδοτημένα αντικείμενα και λειτουργίες για κάθε χρήστη. Κάθε χρήστης έχει κάποιο αριθμό εισιτηρίων. Τα εισιτήρια είναι διασκορπισμένα στο σύστημα. Πρόβλημα ως προς την ασφάλεια (πλαστογράφηση). Πρέπει να διατηρούνται σε θέσεις μνήμης που δεν είναι προσπελάσιμες στους χρήστες. 46

Η έννοια των έμπιστων συστημάτων Παρέχουν προστασία δεδομένων, πόρων με βάση επίπεδα ασφάλειας (security levels). Οι πληροφορίες οργανώνονται σε κατηγορίες και οι χρήστες λαμβάνουν άδεια πρόσβασης σε συγκεκριμένες κατηγορίες. 47

Έμπιστα συστήματα - επίπεδα Πολυεπίπεδη ασφάλεια (multilevel security). Καθορίζονται πολλαπλές κατηγορίες ή επίπεδα δεδομένων. Ένα πολυεπίπεδο σύστημα ασφάλειας πρέπει να επιβάλλει: Όχι ανάγνωση προς τα επάνω (no read up). Το υποκείμενο μπορεί μόνο να διαβάσει αντικείμενα κατώτερου ή ίδιου επιπέδου ασφάλειας (Απλή Πολιτική Ασφάλειας Simple Security Policy). Όχι εγγραφή προς τα κάτω (no write down). Το υποκείμενο μπορεί να γράψει μόνο σε αντικείμενα υψηλότερου ή ίδιου επιπέδου ασφάλειας ( *-Ιδιότητα - *- Property). Σωστή εφαρμογή των κανόνων παρέχει πολυεπίπεδη ασφάλεια. 48

Ελεγκτής αναφοράς (1/2) Στοιχείο ελέγχου σε υλικό και ΛΣ. Ρυθμίζει την πρόσβαση των υποκειμένων σε αντικείμενα. Βάση Δεδομένων Πυρήνα Ασφάλειας. Καταγράφονται τα δικαιώματα πρόσβασης κάθε υποκειμένου. Επιβάλει τους κανόνες ασφάλειας (no read up, no write down). 49

Ελεγκτής αναφοράς (2/2) Ιδιότητες. Πλήρης μεσολάβηση (complete mediation). Οι κανόνες ασφάλειας επιβάλλονται σε κάθε πρόσβαση. Απομόνωση (isolation). Ο ελεγκτής αναφοράς και η ΒΔ προστατεύονται από μη εξουσιοδοτημένη τροποποίηση. Επαληθευσιμότητα (verifiability). Η ορθότητα του ελεγκτή αναφοράς πρέπει να μπορεί να αποδειχθεί, δηλ. να μπορεί μαθηματικά να αποδειχτεί ότι επιβάλλει τους κανόνες ασφάλειας και παρέχει πλήρη μεσολάβηση και απομόνωση. Ένα σύστημα το οποίο παρέχει αυτές τις απαιτήσεις αναφέρεται σαν έμπιστο σύστημα (trusted system). 50

Αρχείο Παρακολούθησης Αποθηκεύονται σημαντικά συμβάντα ασφάλειας. Εντοπισμένες παραβιάσεις ασφάλειας. Εξουσιοδοτημένες αλλαγές στην ΒΔ κτλ. 51

Σημείωμα Αναφοράς Copyright ΤΕΙ Δυτικής Μακεδονίας, Νικολάου Σπύρος. «Ασφάλεια Υπολογιστικών Συστημάτων». Έκδοση: 1.0. Κοζάνη 2015. Διαθέσιμο από τη δικτυακή διεύθυνση: 52

Σημείωμα Αδειοδότησης Το παρόν υλικό διατίθεται με τους όρους της άδειας χρήσης Creative Commons Αναφορά, Μη Εμπορική Χρήση Παρόμοια Διανομή 4.0 [1] ή μεταγενέστερη, Διεθνής Έκδοση. Εξαιρούνται τα αυτοτελή έργα τρίτων π.χ. φωτογραφίες, διαγράμματα κ.λ.π., τα οποία εμπεριέχονται σε αυτό και τα οποία αναφέρονται μαζί με τους όρους χρήσης τους στο «Σημείωμα Χρήσης Έργων Τρίτων». [1] http://creativecommons.org/licenses/by-nc-sa/4.0/ Ως Μη Εμπορική ορίζεται η χρήση: που δεν περιλαμβάνει άμεσο ή έμμεσο οικονομικό όφελος από την χρήση του έργου, για το διανομέα του έργου και αδειοδόχο. που δεν περιλαμβάνει οικονομική συναλλαγή ως προϋπόθεση για τη χρήση ή πρόσβαση στο έργο. που δεν προσπορίζει στο διανομέα του έργου και αδειοδόχο έμμεσο οικονομικό όφελος (π.χ. διαφημίσεις) από την προβολή του έργου σε διαδικτυακό τόπο. Ο δικαιούχος μπορεί να παρέχει στον αδειοδόχο ξεχωριστή άδεια να χρησιμοποιεί το έργο για εμπορική χρήση, εφόσον αυτό του ζητηθεί. 53

Διατήρηση Σημειωμάτων Οποιαδήποτε αναπαραγωγή ή διασκευή του υλικού θα πρέπει να συμπεριλαμβάνει: το Σημείωμα Αναφοράς. το Σημείωμα Αδειοδότησης. τη δήλωση Διατήρησης Σημειωμάτων. το Σημείωμα Χρήσης Έργων Τρίτων (εφόσον υπάρχει). μαζί με τους συνοδευόμενους υπερσυνδέσμους. 54

Βιβλιογραφία 1. Κρυπτογραφία για Ασφάλεια Δικτύων Αρχές και Εφαρμογές, Stallings. 2. Βασικές Αρχές Ασφάλειας Δικτύων: Εφαρμογές και Πρότυπα, William Stallings. 3. Ασφάλεια δικτύων 6η Έκδοση, McClure Stuart, Scambray Joel, Kurtz George. 4. Ασφάλεια Πληροφοριακών συστημάτων, Παγκαλος Γ., Μαυριδης Ι. 55

Τέλος Ενότητας

2025 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια