Χρήστος Ξενάκης Τμήμα Ψηφιακών Συστημάτων

Σχετικά έγγραφα
Από τη στιγμή που ένα δίκτυο αποκτήσει σύνδεση στο Internet ανοίγει ένα κανάλι αμφίδρομης επικοινωνίας:

υποστηρίζουν και υλοποιούν την πολιτική ασφάλειας

Σκοπιµότητα των firewalls

ΤΕΧΝΟΛΟΓΙΑ ΔΙΚΤΥΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ 5ο ΚΕΦΑΛΑΙΟ

Ασφάλεια Υπολογιστικών Συστημάτων

Cryptography and Network Security Chapter 22. Fifth Edition by William Stallings

Ασφάλεια Πληροφοριακών Συστημάτων

ΑΣΦΑΛΕΙΕΣ ΣΤΑ ΔΙΚΤΥΑ

ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΙΣ ΤΕΧΝΟΛΟΓΙΕΣ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΩΝ ΚΑΘΩΣ ΚΑΙ ΣΤΟ ΔΙΑΔΙΚΤΥΟ

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Διαχείριση Ασφαλείας (ΙΙ) Πρωτόκολλα & Αρχιτεκτονικές Firewalls Anomaly & Intrusion Detection Systems (IDS)

Πρότυπο Αναφοράς Open Systems Interconnection (OSI) Επικοινωνίες Δεδομένων Μάθημα 5 ο

Εργαστήριο ικτύων Υπολογιστών 6η ιάλεξη: Ασφάλεια δικτύων

1.5.1 ΓΕΦΥΡΑ (BRIDGE) Εικόνα Επίπεδα λειτουργίας επαναλήπτη, γέφυρας, δρομολογητή και πύλης ως προς το μοντέλο OSI.

1.2.1 Το μοντέλο αναφοράς για τη Διασύνδεση Ανοικτών Συστημάτων (OSI) 1 / 19

ίκτυα - Internet Μάθηµα 3ο Ενότητα Β: Το Πρότυπο ΤCP/IP Eισαγωγή - Επικοινωνία µεταξύ δύο Υπολογιστών Παρασκευή 10 NOE 2006 ιευθύνσεις

Ethernet Ethernet ΙΕΕΕ CSMA/CD

Μάθημα 5: To Μοντέλο Αναφοράς O.S.I.

Πανεπιστήμιο Πειραιά Τμήμα Ψηφιακών Συστημάτων. ίκτυα Υπολογιστών Ι. To Μοντέλο OSI. Αναπλ. Καθηγ. Π. εμέστιχας

Είναι η διαδικασία εύρεσης της διαδρομής που πρέπει να ακολουθήσει ένα πακέτο για να φτάσει στον προορισμό του. Η διαδικασία αυτή δεν είναι πάντα

Μοντέλο OSI 1.8. Κεφάλαιο 1. ΕΠΑ.Λ. Άμφισσας Σχολικό Έτος : Τάξη. : Β Τομέα Πληροφορικής Μάθημα. : Δίκτυα Υπολογιστών I Διδάσκων

ΤΕΧΝΟΛΟΓΙΑ ΔΙΚΤΥΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ 7ο ΚΕΦΑΛΑΙΟ

Επαναληπτικές Ασκήσεις Μαθήματος

ΔΙΚΤΥΑ ΙΙ. Διδάσκων: Γεώργιος Ν. Μπάρδης

Τεχνολογία Δικτύων Επικοινωνιών (Ενότητα Πρωτόκολλα και Αρχιτεκτονική Δικτύου)

Αρχιτεκτονική του πληροφοριακού συστήµατος Cardisoft Γραµµατεία 2003 ιαχείριση Προσωπικού

7.9 ροµολόγηση. Ερωτήσεις

Φύλλο Κατανόησης 1.8

Ασφάλεια Δικτύων. Τι (δεν) είναι Ασφάλεια Δικτύων. Γιάννης Ηλιάδης Υπεύθυνος Ασφάλειας Δικτύου ΤΕΙΡΕΣΙΑΣ Α.Ε. 24/11/07

Συσκευές Τηλεπικοινωνιών και Δικτύωσης. Επικοινωνίες Δεδομένων Μάθημα 9 ο

Δίκτυα Υπολογιστών Firewalls. Χάρης Μανιφάβας

ΠΡΟΓΡΑΜΜΑΤΙΣΜΟΣ ΔΙΚΤΥΩΝ

Network Address Translation (NAT)

ΔΙΑΓΩΝΙΣΜΑ ΤΕΛΙΚΗΣ ΕΠΑΝΑΛΗΨΗΣ ΣΤΙΣ ΕΝΟΤΗΤΕΣ

ίκτυα υπολογιστών Στόχοι κεφαλαίου ίκτυα

Εισαγωγή στο TCP/IP. Π. Γαλάτης

ΜΑΘΗΜΑ / ΤΑΞΗ : ΔΙΚΤΥΑ ΥΠΟΛΟΓΙΣΤΩΝ ΙΙ / ΕΠΑΛ(Α & Β ΟΜΑΔΑ) ΣΕΙΡΑ: ΗΜΕΡΟΜΗΝΙΑ: 11/12/2011 ΑΠΑΝΤΗΣΕΙΣ

ΔΙΑΣΥΝΔΕΣΗ ΔΙΚΤΥΩΝ (INTERNETWORKING)

Δίκτυα Η/Υ Θεωρία. Διάλεξη 2η

SNMP ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΟΥ ΒΑΣΙΚΕΣ ΕΝΝΟΙΕΣ

ΗY335: Δίκτυα Υπολογιστών Χειμερινό Εξάμηνο Τμήμα Επιστήμης Υπολογιστών Πανεπιστήμιο Κρήτης Διδάσκουσα: Μαρία Παπαδοπούλη 16 Νοεμβρίου 2013

Δίκτυα Θεωρία

Δίκτυα Υψηλών Ταχυτήτων Ενότητα 7: Διευθυνσιοδότηση Internet Protocol (IP) v4

Εισαγωγή στην επιστήμη των υπολογιστών. Υλικό Υπολογιστών Κεφάλαιο 6ο ίκτυα υπολογιστών

Ιόνιο Πανεπιστήµιο Τµήµα Αρχειονοµίας Βιβλιοθηκονοµίας. Μοντέλο TCP/IP. Ενότητα E. Συστήµατα Επικοινωνίας

Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Εισαγωγή στην Επιστήμη των Υπολογιστών Δίκτυα υπολογιστών. (και το Διαδίκτυο)

Τι είναι ένα δίκτυο υπολογιστών; Αρχιτεκτονική επιπέδων πρωτοκόλλων. Δικτυακά πρωτόκολλα

Επίπεδο δικτύου IP Forwading κτλ

Κεφάλαιο 2. Υπολογιστές και Τεχνολογία Επικοινωνιών Παρελθόν - Παρόν - Μέλλον

Διαδίκτυα και το Διαδίκτυο (Internetworking and the Internet)

Δίκτυα Υψηλών Ταχυτήτων Ενότητα 9: MPLS

ΤΕΧΝΟΛΟΓΙΑ ΔΙΚΤΥΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ

ΔΡΟΜΟΛΟΓΗΣΗ ΠΑΚΕΤΩΝ. Η δρομολόγηση των πακέτων μπορεί να γίνει είτε κάνοντας χρήση ασυνδεσμικής υπηρεσίας είτε συνδεσμοστρεφούς υπηρεσίας.

Κινητές Επικοινωνίες & Τηλεπικοινωνιακά Δίκτυα

Α5.1 Εισαγωγή στα Δίκτυα. Α Λυκείου

7.5 Πρωτόκολλο IP. & Ερωτήσεις

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Εισαγωγή Πρότυπο τριών Διαστάσεων Λειτουργίας Μοντέλο Διαχείρισης FCAPS Το Δίκτυο του Ε.Μ.Π. Περιβάλλον Εργαστηριακών Ασκήσεων

ΤΕΧΝΟΛΟΓΙΑ ΔΙΚΤΥΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ

Πρωτόκολλα Διαδικτύου

1 Ερωτήσεις σωστό-λάθος

ΔΙΚΤΥΑ ΥΠΟΛΟΓΙΣΤΩΝ Ι. Σημειώσεις Θεωρίας

Προχωρημένα Θέματα Προγραμματισμού Δικτύων Ενότητα 12: Διαφοροποιημένες Υπηρεσίες διαδικτύου MPLS Φώτης Βαρζιώτης

Στόχοι. Υπολογιστικά συστήματα: Στρώματα. Βασικές έννοιες [7]

Ερώτηση 1 η μεταγωγής κυκλώματος? : Ποια είναι τα κύρια χαρακτηριστικά της. Ερώτηση 2 η : Ποια είναι τα κύρια χαρακτηριστικά της μεταγωγής μηνύματος?

ΕΠΛ 001: ΕΙΣΑΓΩΓΗ ΣΤΗΝ ΕΠΙΣΤΗΜΗ ΤΗΣ ΠΛΗΡΟΦΟΡΙΚΗΣ. Δίκτυα Υπολογιστών

7.9.2 Άμεση δρομολόγηση 1

Ενότητα 1. Εισαγωγή στις βασικές έννοιες των ικτύων ΗΥ

Πρωτόκολλα Διαδικτύου Μέρος 2ο. Επικοινωνίες Δεδομένων Μάθημα 3 ο

Εισαγωγή στην πληροφορική

1.2.2 Το μοντέλο δικτύωσης TCP/IP 1 / 26

Κεφάλαιο 12. Πρότυπα. Ανακεφαλαίωση Ερωτήσεις

ιαδίκτυα & Ενδοδίκτυα Η/Υ

Αζακά Στυλιανή Ιτζάρης Θεόδωρος

DDoS (Denial of Service Attacks)

ΟΔΗΓΟΣ ΓΡΗΓΟΡΗΣ ΕΝΑΡΞΗΣ

Εργαστήριο «Δίκτυα Υπολογιστών Ι»

Δίκτυα Υπολογιστών I

Επίπεδο Δικτύου: Διαδικτύωση

Δίκτυα Υπολογιστών Ενότητα 9: Dynamic Host Configuration Protocol- DHCP

Δίκτυα Η/Υ στην Επιχείρηση

Ιατρική Πληροφορική. Δρ. Π. ΑΣΒΕΣΤΑΣ ΤΜΗΜΑ ΜΗΧΑΝΙΚΩΝ ΒΙΟΪΑΤΡΙΚΗΣ ΤΕΧΝΟΛΟΓΙΑΣ Τ. Ε. Χρήσιμοι Σύνδεσμοι

Πρακτικά όλα τα προβλήματα ασφαλείας οφείλονται σε λάθη στον κώδικα

Τεχνολογία TCP/IP ΙΑ ΙΚΤΥΩΣΗ- INTERNET. Τεχνολογίες Τηλεκπαίδευσης & Εφαρµογές - Ιούλιος

Η παροχή εξειδικευμένων εξωτερικών υπηρεσιών διαχείρισης των απειλών ενάντια στα πληροφοριακά συστήματα του ΟΒΙ.

Αρχιτεκτονική Λογισμικού

ΕΠΙΚΟΙΝΩΝΙΕΣ ΔΕΔΟΜΕΝΩΝ ΚΑΙ ΤΕΧΝΟΛΟΓΙΕΣ INTERNET

Στρατηγικές Ασφάλειας

Χρήστος Ξενάκης Τμήμα Ψηφιακών Συστημάτων Πανεπιστήμιο Πειραιώς

ΔΙΚΤΥΑ (15-17) Π. Φουληράς

Δίκτυα ΙΙ. Κεφάλαιο 7

Ολοκληρωµένα ικτυακά ΣυστήµαταΚορµού (Backbone Networks)

ΚΕΦΑΛΑΙΟ 2: Βασικό Υλικό σε τοπικά Δίκτυα και Network Hosts

3.6 Δρομολόγηση 1 22 /

7.1 Επίπεδο δικτύου. Ερωτήσεις. λέξεις κλειδιά:

ΕΝΟΤΗΤA Σχολικό εργαστήριο πληροφορικής και εισαγωγή στα θέματα ασφάλειας

Ερωτήσεις / Απαντήσεις Πιστοποίησης (Επικοινωνίες Δεδομένων)

ΔΙΚΤΥΑ (18-19) Π. Φουληράς

ΟΔΗΓΟΣ ΓΡΗΓΟΡΗΣ ΕΝΑΡΞΗΣ

Snort. A multi-mode packet analysis tool 3-1. Ασφάλεια Δικτύων, Τμήμα Πληροφορικής, Ο.Π.Α.,

ΤΙΤΛΟΣ ΜΑΘΗΜΑΤΟΣ: Δίκτυα Μεταγωγής & Τεχνικές Μεταγωγής Σε Δίκτυα Ευρείας Περιοχής

ιαδίκτυα και το ιαδίκτυο (Internetworking and the Internet)

Transcript:

Τεχνολογίες Αναχωμάτων Ασφάλειας Χρήστος Ξενάκης Τμήμα Ψηφιακών Συστημάτων Πανεπιστήμιο Πειραιά

Αντικείμενο μελέτης Προσέγγιση της έννοιας των αναχωμάτων ασφάλειας Δυνατότητες και περιορισμοί που επέρχονται από την εγκατάστασή τους σε ένα δίκτυο Σχεδιαστικά ζητήματα αναχωμάτων ασφάλειας Αρχιτεκτονική των διαφόρων κατηγοριών αναχωμάτων ασφάλειας Πλεονεκτήματα και μειονεκτήματά τους Βοηθητικά βήματα κατά την εγκατάσταση ενός αναχώματος ασφάλειας 2/47

Αναχώματα Ασφάλειας (1/3) Επιθυμία σύνδεσης του επιχειρησιακού δικτύου ενός οργανισμού με το Internet Τα εσωτερικά εταιρικά συστήματα γίνονται ευπρόσβλητα σε κακόβουλη χρήση και επίθεση από εξωτερικούς χρήστες Ανάγκη προστασίας των προστατευόμενων συστημάτων με αξιοποίηση Αναχώματος Ασφάλειας. 3/47

Αναχώματα Ασφάλειας (2/3) Ορισμός Αναχώματος Ασφάλειας (firewall): Σλλ Συλλογή από κατάλληλα συστήματα, τοποθετημένα στο σημείο σύνδεσης της υπό προστασία δικτυακής περιοχής με τα υπόλοιπα δίκτυα, που επιβάλλει προκαθορισμένη πολιτική ασφάλειας Εσωτερικό Δίκτυο Ανάχωμα ασφάλειας Διαδίκτυο 4/47

Αναχώματα Ασφάλειας (3/3) Σκοπός: Η βελτίωση του επιπέδου προστασίας των δεδομένων και των υπολογιστικών πόρων του οργανισμού από εισβολείς Επίτευξη: Με την αποτροπή μη εξουσιοδοτημένων προσβάσεων σε μία ασφαλή περιοχή και με την αποτροπή μη εξουσιοδοτημένης εξόδου πληροφορίας από μία περιοχή Αναγκαίος, σε αρχικό στάδιο, ο καθορισμός πολιτικής ασφάλειας 5/47

Αναχώματα Ασφάλειας: Δυνατότητες (1/3) Το ανάχωμα ασφάλειας αποτελεί το επίκεντρο των αποφάσεων που σχετίζονται με θέματα δικτυακής ασφάλειας Κεντρικό σημείο ελέγχου Απλοποίηση διαχείρισης ασφάλειας Το ανάχωμα ασφάλειας εφαρμόζει έλεγχο προσπέλασης (access control) από και προς το δίκτυο. Συνηθέστερη πολιτική: «Απαγορεύεται κάθε υπηρεσία, εκτός αν έχει ρητά επιτραπεί» 6/47

Αναχώματα Ασφάλειας: Δυνατότητες (2/3) Το ανάχωμα ασφάλειας επιτρέπει καταγραφή της δραστηριότητας στο δίκτυο (network activity logging) Διευκολύνει το έργο των διαχειριστών δικτύου Δυνατότητα ενεργοποίησης συναγερμών κατά τον εντοπισμό μιας ύποπτης δραστηριότητας τη στιγμή που αυτή πραγματοποιείται Το ανάχωμα ασφάλειας προστατεύει τα διαφορετικά δίκτυα εντός του ίδιου οργανισμού. Κάποιο τμήμα του εσωτερικού δικτύου μπορεί να είναι πιο ευαίσθητο από κάποιο άλλο. 7/47

Αναχώματα Ασφάλειας: Δυνατότητες (3/3) Το ανάχωμα ασφάλειας έχει τη δυνατότητα απόκρυψης των πραγματικών διευθύνσεων των υπολογιστών του προστατευόμενου δικτύου. Υπηρεσία ΝΑΤ (Network Address Translator) Οι εξωτερικοί χρήστες βλέπουν μία καθολική IP Διευκολύνει το πρόβλημα μη διαθέσιμων IP διευθύνσεων 8/47

Αναχώματα Ασφάλειας: Περιορισμοί (1/3) Το ανάχωμα ασφάλειας δεν μπορεί να προστατέψει από συνδέσεις οι οποίες δε διέρχονται από αυτό Σύνδεση «εσωτερικού» ύ χρήστη προς Internet tμέσω PPP δεν προστατεύεται Το ανάχωμα ασφάλειας δεν μπορεί να προστατεύσει από προγράμματα-ιούς. Μπορούν να ελεγχθούν IP διευθύνσεις ή θύρες ρςπηγής-προορισμού, ρ, Δεν είναι εφικτό να γίνει έλεγχος των δεδομένων σε βάθος, Συνεπώς είναι αναγκαία η χρήση αντιιομορφικού λογισμικού 9/47

Αναχώματα Ασφάλειας: Περιορισμοί (2/3) Το ανάχωμα ασφάλειας δεν μπορεί να προστατεύσει απέναντι στις επιθέσεις κακόβουλων χρηστών από το εσωτερικό του οργανισμού Απαιτούνται εσωτερικά μέτρα ασφάλειας Άλλη περίπτωση : Επιθέσεις Social Engineering Απαραίτητη η εκπαίδευση των χρηστών Το ανάχωμα ασφάλειας δεν μπορεί να προστατέψει τον οργανισμό απέναντι σε επιθέσεις συσχετιζόμενες με δεδομένα (data driven attacks) Προσοχή στη χρήση εισερχόμενης αλληλογραφίας 10/47

Αναχώματα Ασφάλειας: Περιορισμοί (3/3) Το ανάχωμα ασφάλειας δεν μπορεί να προστατεύσει τον οργανισμό από απειλές άγνωστου τύπου Απαιτείται η προηγούμενη γνώση απειλών και αντίστοιχων μέτρων αντιμετώπισης Η αυστηρή ρύθμιση της ασφάλειας διαμέσου του αναχώματος ασφάλειας Πιθανά αρνητικά ρη αποτελέσματα: Δυσαρέσκεια χρηστών Μειωμένη ευχρηστία Μειωμένη διαδικτύωση 11/47

Αναχώματα Ασφάλειας: Ζητήματα Σχεδίασης (1/6) Ένα ανάχωμα ασφαλείας ΔΕΝ αρκεί για να προστατευτεί ένα δίκτυο από οποιαδήποτε απειλή Αποτελεί έκφραση φιλοσοφίας ασφάλειας Βοηθά στην υλοποίηση ημιας ευρύτερης ρης πολιτικής ασφάλειας καθορίζει τις υπηρεσίες και την πολιτική προσπέλασης σε ένα δίκτυο 12/47

Αναχώματα Ασφάλειας: Ζητήματα Σχεδίασης (2/6) Τα σχεδιαστικά ζητήματα που πρέπει να ληφθούν υπόψη: Χρηστικότητα: Να παρέχεται ασφάλεια, αλλά όχι με σημαντική μείωση της χρηστικότητας Εκτίμηση του κινδύνου: Πρέπει να εκτιμηθεί η επίδραση εξωτερικών εισβολών στο σύστημα Εκτίμηση των απειλών: Πρέπει να προσδιοριστούν οι απειλές από τις οποίες κινδυνεύει το σύστημα Εκτίμηση του κόστους: Σημαντικός παράγοντας, καθώς μπορεί είτε να αγοραστεί εμπορικό προϊόν είτε να κατασκευαστεί από τον ίδιο τον οργανισμό Τύπος του αναχώματος ασφάλειας: : Ανάλογα με τις ανάγκες που πρέπει να καλυφθούν 13/47

Αναχώματα Ασφάλειας: Ζητήματα Σχεδίασης (3/6) Υπάρχουν δύο επίπεδα της πολιτικής ασφάλειας ενός δικτύου τα οποία επηρεάζουν άμεσα τη σχεδίαση εγκατάσταση και χρήση ενός αναχώματος ασφάλειας: 1. Πολιτική ήυπηρεσίας Πόβ Πρόσβασης στο Δίκτυο 2. Πολιτική Σχεδίασης του αναχώματος ασφάλειας 14/47

Αναχώματα Ασφάλειας: Ζητήματα Σχεδίασης (4/6) Πολιτική Υπηρεσίας Πρόσβασης στο Δίκτυο Υψηλού επιπέδου πολιτική ασφάλειας Προσδιορίζει τις υπηρεσίες εκείνες που θα επιτρέπονται ή ρητά θα απαγορεύονται από το δίκτυο καθώς και τον τρόπο με τον οποίο αυτές θα χρησιμοποιούνται 15/47

Αναχώματα Ασφάλειας: Ζητήματα Σχεδίασης (5/6) Πολιτική Σχεδίασης του αναχώματος ασφάλειας Χαμηλού επιπέδου πολιτική ασφάλειας Περιγράφει τους τρόπους με τους οποίους το ανάχωμα ασφάλειας θα επιβάλλει περιορισμό της πρόσβασης και φιλτράρισμα των υπηρεσιών Με τον τρόπο που αυτά έχουν ρητά διατυπωθεί στην Πολιτική Υπηρεσίας Πρόσβασης στο Δίκτυο 16/47

Αναχώματα Ασφάλειας: Ζητήματα Σχεδίασης (6/6) Υπάρχουν δύο κύριες πολιτικές σχεδίασης: Πολιτική οιτιήπροκαθορισμένης άδειας χρήσης: Επιτρέπεται κάθε υπηρεσία, εκτός αν έχει ρητά απαγορευθεί Πολιτική προκαθορισμένης απαγόρευσης χρήσης Απαγορεύεται κάθε υπηρεσία, εκτός αν έχει ρητά επιτραπεί Προτεινόμενη τακτική είναι η χρήση της πολιτικής προκαθορισμένης απαγόρευσης χρήσης 17/47

Κατηγοριοποίηση Αναχωμάτων Ασφάλειας αναχώματα ασφάλειας επιπέδου εφαρμογής αναχώματα ασφάλειας επιπέδου δικτύου Layer 7 - Application Layer 6 Presentation Layer 5 Session Layer 4 Transport Layer 3 Network Layer 2 MAC/DLC Layer 1 Physical Επίπεδα OSI που καλύπτει το εν λόγω ανάχωμα ασφάλειας 18/47

Αναχώματα Ασφάλειας επιπέδου δικτύου (1/4) Στην πιο συνηθισμένη τους μορφή είναι απλοί δρομολογητές (routers), αλλά με αυξημένες δυνατότητες Κατά την παραλαβή ενός πακέτου εξετάζουν εάν το πακέτο μπορεί να δρομολογηθεί προς τον προορισμό του, αλλά και εάν πρέπει να δρομολογηθεί Απαιτείται η ύπαρξη καλά καθορισμένης πολιτικής ασφάλειας 19/47

Αναχώματα Ασφάλειας επιπέδου δικτύου (2/4) Δέχονται το κάθε πακέτο, εξετάζουν την IP διεύθυνση πηγής και προορισμού και με βάση συγκεκριμένους κανόνες καθορίζεται ρζ αν θα επιτραπεί η προώθησή του προς τον τελικό προορισμό Ανάχωμα ασφάλειας επιπέδου δικτύου Επίπεδο εφαρμογής Πακέτα Προώθηση Δίκτυο 1 Επίπεδο πυρήνα Δίκτυο 2 Δίκτυο 3 Φίλτρο Δρομολογητής Απόρριψη 20/47

Αναχώματα Ασφάλειας επιπέδου δικτύου (3/4) Πλεονεκτήματα Εγκαθίστανται και διαμορφώνονται εύκολα Είναι διαφανή στους χρήστες Παρουσιάζουν μεγάλη ταχύτητα εκτέλεσης ασχολούνται μόνο με τοτμήμα της επικεφαλίδας του ΙΡ πακέτου Χαμηλό κόστος 21/47

Αναχώματα Ασφάλειας επιπέδου δικτύου (4/4) Μειονεκτήματα H καταγραφή των συμβάντων είναι απλοϊκή Δεν προσφέρουν μηχανισμούς συναγερμών και εποπτεία (auditing) σε ικανοποιητικό επίπεδο Δε διαθέτουν μηχανισμούς αυθεντικοποίησης σε επίπεδο χρήστη Είναι λιγότερο ασφαλή από τα αναχώματα ασφάλειας επιπέδου εφαρμογής, αφού δεν εξετάζονται τα δεδομένα που διακινούνται στα IP πακέτα 22/47

Αναχώματα Ασφάλειας επιπέδου εφαρμογής (1/5) Υλοποιείται ως πρόγραμμα λογισμικού σε μια συγκεκριμένη πλατφόρμα υπολογιστή (host-based firewalls) O υπολογιστής αυτός αναφέρεται ως υπολογιστής έπαλξη (bastion host). Δεν επιτρέπει σε κανένα πακέτο να περάσει κατευθείαν από το δίκτυο σε ένα άλλο. Η πραγματική σύνδεση πραγματοποιείται με μια εφαρμογή ειδικού σκοπού που εκτελείται στον υπολογιστή-έπαλξη έπαλξη, Ονομάζεται πληρεξούσια εφαρμογή ή πληρεξούσια υπηρεσία (proxy application or proxy service) 23/47

Αναχώματα Ασφάλειας επιπέδου εφαρμογής (2/5) Η πληρεξούσια υπηρεσία δέχεται αιτήσεις και κρίνει εάν θα τις δρομολογήσει προς τον τελικό παραλήπτη Ανάχωμα ασφάλειας επιπέδου εφαρμογής Επίπεδο εφαρμογής Πακέτα Προώθηση Πληρεξούσια Πληρεξούσια Δίκτυο 1 Δίκτυο 2 υπηρεσία υπηρεσία Δίκτυο 3 Δρομολογητής Επίπεδο πυρήνα 24/47

Αναχώματα Ασφάλειας επιπέδου εφαρμογής (3/5) Πληρεξούσιος εξυπηρετούμενος Εσωτερικός φορέας Εσωτερικό Δίκτυο Ανάχωμα ασφάλειας Πληρεξούσιος εξυπηρέτης Πραγματικός εξυπηρέτης Διαδίκτυο Εξωτερικός φορέας 25/47

Αναχώματα Ασφάλειας επιπέδου εφαρμογής (4/5) Πλεονεκτήματα Δεν απαιτείται εγκυρότητα της περιοχής διευθύνσεων. Μπορούν να λειτουργήσουν ως NATs, με απόκρυψη των εσωτερικών IP διευθύνσεων Παρέχουν μεγαλύτερη ασφάλεια και καλύτερο έλεγχο προσπέλασης Παρέχουν καλύτερη καταγραφή συμβάντων 26/47

Αναχώματα Ασφάλειας επιπέδου εφαρμογής (5/5) Μειονεκτήματα Είναι δυσκολότερα στην υλοποίηση Δεν είναι πάντοτε διαφανή προς το χρήστη Απαιτεί μία ξεχωριστή πληρεξούσια εφαρμογή για κάθε υπηρεσία δικτύου H ταχύτητα και η απόδοσή τους, γενικότερα, δεν είναι τόσο ικανοποιητική όσο των αναχωμάτων ασφάλειας επιπέδου δικτύου 27/47

Υβριδικά Αναχώματα Ασφάλειας (1/11) Σε μια υβριδική διάρθρωση, τα λαμβανόμενα πακέτα: Υπόκεινται πρώτα στον έλεγχο τον οποίο διενεργεί το ανάχωμα ασφάλειας επιπέδου δικτύου, συνεπώς: είτε απορρίπτονται είτε διέρχονται και κατευθύνονται προς τον προορισμό τους Μπορούν επίσης να σταλούν σε κάποια πληρεξούσια υπηρεσία για περαιτέρω επεξεργασία Πολύ καλό επίπεδο ασφάλειας, αλλά με αυξημένο κόστος υλοποίησης Τρεις κύριες αρχιτεκτονικές υβριδικών αναχωμάτων ασφάλειας 28/47

Υβριδικά Αναχώματα Ασφάλειας (2/11) Αρχιτεκτονική Διπλοσυνδεδεμένων Αναχωμάτων Ασφάλειας (Dual-homed Gateway) (1/2) Διαδίκτυο Ασφαλές Δίκτυο Απενεργοποιημένη δρομολόγηση / προώθηση H αρχιτεκτονική αυτή στηρίζεται στην ύπαρξη ενός υπολογιστή ο οποίος έχει δύο διεπαφές δικτύου: Η μία διεπαφή τον συνδέει με το εσωτερικό ασφαλές δίκτυο, ενώ η άλλη τονσυνδέει με το εξωτερικό, δυνητικά εχθρικό δίκτυο, συνήθως το Internet 29/47

Υβριδικά Αναχώματα Ασφάλειας (3/11) Αρχιτεκτονική Διπλοσυνδεδεμένων Αναχωμάτων Ασφάλειας (Dual-homed Gateway) (2/2) Ο υπολογιστής ελέγχει την IP κίνηση μεταξύ των δικτύων, δεν επικοινωνούν άμεσα Υπηρεσίες στους χρήστες παρέχονται μόνο με τη χρήση πληρεξούσιων εφαρμογών Η αρχιτεκτονική αυτή απαιτεί μικρό κόστος υλοποίησης Αποτελεί σημείο δυνητικής αποτυχίας (single point of failure) στο δίκτυο 30/47

Υβριδικά Αναχώματα Ασφάλειας (4/11) Αρχιτεκτονική ήυπολογιστή ήδιαλογής (Screened Host) (1/2) Υπολογιστής -Έπαλξη Διαδίκτυο Ασφαλές Δίκτυο Η αρχιτεκτονική Screened Host παρέχει υπηρεσίες διαμέσου ενός bastion host, οοποίοςβρίσκεται συνδεδεμένος μόνο στο εσωτερικό δίκτυο, έχει δηλαδή δήμόνο μια διεπαφή δικτύου, κάνοντας χρήση ενός ξεχωριστού screened router (επιπέδου δικτύου) 31/47

Υβριδικά Αναχώματα Ασφάλειας (5/11) Αρχιτεκτονική ήυπολογιστή ήδιαλογής (Screened Host) (2/2) Στους χρήστες του εσωτερικού δικτύου, μπορεί: Είτε να επιτραπεί να συνδέονται μέσω του αναχώματος ασφάλειας επιπέδου δικτύου μεκάποιαυπηρεσία του εξωτερικού δικτύου Είτε να χρησιμοποιήσουν πληρεξούσιες εφαρμογές στον bastion host για τις συνδέσεις αυτές Αυξημένη ασφάλεια και ευχρηστία 32/47

Υβριδικά Αναχώματα Ασφάλειας (6/11) Αρχιτεκτονική Υποδικτύου Διαλογής (Screened Subnet) (1/6) Διαδίκτυο Υπολογιστής-Έπαλξη Εξωτερικός Δρομολογητής Περιμετρικό Δίκτυο Ανάχωμα ασφάλειας Εσωτερικός Δρομολογητής Εσωτερικό Δίκτυο 33/47

Υβριδικά Αναχώματα Ασφάλειας (7/11) Αρχιτεκτονική Υποδικτύου Διαλογής (Screened Subnet) (2/6) Η αρχιτεκτονική αυτή αποτελείται λί από δύο δρομολογητές διαλογής, με τον bastion host να βρίσκεται ενδιάμεσα Δημιουργείται ένα μικρό απομονωμένο δίκτυο μεταξύ του εσωτερικού δικτύου και του δυνητικά εχθρικού εξωτερικού δικτύου. Ο bastion host βρίσκεται πάνω στο απομονωμένο δίκτυο, που αποκαλείται περιμετρικό δίκτυο 34/47

Υβριδικά Αναχώματα Ασφάλειας (8/11) Αρχιτεκτονική Υποδικτύου Διαλογής (Screened Subnet) (3/6) Περιμετρικό Δίκτυο Πρόσθετο επίπεδο ασφάλειας, σε σχέση με τις υπόλοιπες αρχιτεκτονικές Ο bastion host δέχεται τις περισσότερες επιθέσεις: Αν καταληφθεί από κάποιον εξωτερικό κακόβουλο, εφόσον βρίσκεται στο περιμετρικό δίκτυο, το εσωτερικό δίκτυο παραμένει ασφαλές 35/47

Υβριδικά Αναχώματα Ασφάλειας (9/11) Αρχιτεκτονική Υποδικτύου Διαλογής (Screened Subnet) (4/6) Bastion Host Βρίσκεται στο περιμετρικό δίκτυο Αποτελεί σημείο επικοινωνίας για τις εισερχόμενες συνδέσεις (π.χ. παράδοση e-mails) Έχει εγκατεστημένους πληρεξούσιους εξυπηρέτες, μέσω αυτών οι εσωτερικοί εξυπηρετούμενοι συνδέονται με εξωτερικούς εξυπηρέτες 36/47

Υβριδικά Αναχώματα Ασφάλειας (10/11) Αρχιτεκτονική Υποδικτύου Διαλογής (Screened Subnet) (5/6) Εσωτερικός Δρομολογητής Προστατεύει το εσωτερικό δίκτυο από το περιμετρικό και εξωτερικό δίκτυο Αναλαμβάνει το μεγαλύτερο βάρος στο φιλτράρισμα πακέτων Απευθείας συνδέσεις με το εξωτερικό δίκτυο επιτρέπονται μόνον εφόσον η εξωτερική ιστοθέση μπορεί να καλύπτει συγκεκριμένες απαιτήσεις ασφάλειας Στις υπόλοιπες περιπτώσεις απαιτείται σύνδεση ύδ με τον bastion host, μέσω πληρεξούσιου εξυπηρέτη 37/47

Υβριδικά Αναχώματα Ασφάλειας (11/11) Αρχιτεκτονική Υποδικτύου Διαλογής (Screened Subnet) (6/6) Εξωτερικός Δρομολογητής Προστατεύει το περιμετρικό και εσωτερικό δίκτυο από το εξωτερικό Συνήθως επιτρέπει χωρίς φιλτράρισμα κίνηση από το περιμετρικό δίκτυο προς το εξωτερικό Επιβάλλεται να υπάρχει συμφωνία στους κανόνες ασφάλειας, τόσο στον εξωτερικό όσο και στον εσωτερικό δρομολογητή Υποστηρίζει τη δέσμευση πλαστογραφημένων πακέτων, που φαίνονται να προέρχονται από εσωτερικές IP διευθύνσεις, αλλά είναι τελικά από εξωτερικούς χρήστες. 38/47

Κατά την εγκατάσταση (1/7) Διακρίνονται οι εξής διαδοχικές φάσεις: Σχεδιασμός Πολιτικής Ασφάλειας Απόκτηση Υλικού και Λογισμικού Απόκτηση τεκμηρίωσης, εκπαίδευσης και υποστήριξης Εγκατάσταση υλικού και λογισμικού Ρύθμιση της δρομολόγησης και των κανόνων φιλτραρίσματος πακέτων Ρύθμιση μηχανισμών καταγραφής και έγκυρης προειδοποίησης Δοκιμαστικός έλεγχος του συστήματος Εγκατάσταση 39/47

Κατά την εγκατάσταση (2/7) Σχεδιασμός Πολιτικής Ασφάλειας Οριοθέτηση των περιοχών του δικτύου που πρέπει να προστατευτούν Καθορισμός πολιτικής για κάθε περιοχή (πιθανές διαφοροποιήσεις από περιοχή σε περιοχή) Επιλογή αρχιτεκτονικής αναχώματος ασφάλειας που πρέπει να χρησιμοποιηθεί 40/47

Κατά την εγκατάσταση (3/7) Απόκτηση τεκμηρίωσης, εκπαίδευσης και υποστήριξης Απαραίτητη η εκπαίδευση των τελικών διαχειριστών του αναχώματος ασφάλειας, για λόγους βελτιστοποίησης χρήσης και αποφυγής φγήςσφαλμάτων από τη χρήση του Υποστήριξη για τη συντήρηση του υλικού και λογισμικού του αναχώματος ασφάλειας 41/47

Κατά την εγκατάσταση (4/7) Εγκατάσταση υλικού και λογισμικού Εγκατάσταση του λειτουργικού συστήματος στο υλικό του αναχώματος ασφάλειας Απενεργοποίηση περιττών υπηρεσιών του λειτουργικού συστήματος Εγκατάσταση του λογισμικού αναχώματος ασφάλειας Ρύθμιση του λογισμικού αναχώματος ασφάλειας στο περιβάλλον δοκιμαστικών ελέγχων 42/47

Κατά την εγκατάσταση (5/7) Ρύθμιση της δρομολόγησης και των κανόνων φιλτραρίσματος πακέτων Αποφασίζεται η δρομολόγηση συγκεκριμένων πακέτων όποτε φτάνουν σε ένα δρομολογητή (εάν περιλαμβάνεται στο ανάχωμα ασφάλειας) Βελτιστοποίηση της απόδοσης και αξιοπιστίας Υλοποιεί την εφαρμοζόμενη πολιτική ασφάλειας 43/47

Κατά την εγκατάσταση (6/7) Ρύθμιση μηχανισμών καταγραφής και έγκυρης προειδοποίησης Απαίτηση για καταγραφή όλων των δραστηριοτήτων στο δίκτυο Βάση γνώσης για πιθανό σύστημα ανίχνευσης εισβολών (IDS - Intrusion Detection System) Ρύθμιση ενεργοποίησης συναγερμών 44/47

Κατά την εγκατάσταση (7/7) Δοκιμαστικός έλεγχος του Συστήματος Έλεγχος λειτουργίας για ανίχνευση πιθανών σφαλμάτων και παραλείψεων Χρησιμοποιούνται υποβοηθητικά η IDS, port scanners κλπ. 45/47

Λειτουργικές απαιτήσεις σχεδίασης Ένα ανάχωμα ασφαλείας που έχει σωστά μελετηθεί και εγκατασταθεί στο δίκτυο ενός οργανισμού, πρέπει: Να εμπλέκεται σε οποιαδήποτε συνομιλία και ολόκληρηηκίνηση λ να μεταδίδεται μέσα από αυτό Να είναι αδιάβλητο. Για το σκοπό αυτό πρέπει να αποτελεί ένα ξεχωριστό υπολογιστικό σύστημα, με ελάχιστη παρέμβαση χρηστών Να είναι απλό και μικρό σε μέγεθος, ώστε να μπορεί να αναλυθεί εύκολα 46/47

Τεχνολογίες Αναχωμάτων Ασφάλειας Ερωτήσεις... 47/47

2024 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια