Bezpečnosť IS 2004

Marián Kováč, BIS 2004 1

Bezpečnosť IS 2004

Bezpečnosť v Internete

Protokoly SSL, IPSec, IPv6

Firewally


Obsah

1. Bezpečnosť v Internete

2. Protokol SSL

3. OpenSSL

4. TLS

5. IPSec

6. IPv6

7. Firewally

8. Zdroje



Bezpečné pripojenie siete do Internetu:

• žiadne pripojenie – počítače so strategickým významom (armáda, ...), na Internet sú pripojené iba počítače mimo tejto strategickej siete

• plné pripojenie do Internetu – bez akýchkoľvek opatrení, extrém s ktorým sa často stretávame na akademickej pôde

• prepojenie intranetu s Internetom – bez priameho prepojenia do Internetu, teda sa použité technológie ako proxy, firewall, wrapper, ...

• plné pripojenie do Internetu – cez technológie, ktoré minimalizujú riziká Internetu (SSH, HTTPS, ...), a žiadne (Telnet, FTP, NFS, ...)



Protokoly rodiny TCP/IP a bezpečnosť:

• rodina protokolov TCP/IP sa stala najpoužívanejším protokolovým systémom pre veľké siete – Internety

• sú to protokoly orientované hlavne na funkčnosť

• bezpečnostné prostriedky boli pridávané dodatočne, no ani zďaleka neriešia všetky problémy

Bezpečnosť systému:

Je možné vyjadriť pomocou troch základných vlastností:

• dostupnosti (availability) – útok „vyradenie z činnosti“ (Denial of Service, DoS)

• privátnosti (confidentiality) – útok „prienik“ (penetration)

• integrity (integrity) – útok „prienik“ (penetration)

Porušenie aspoň jednej z týchto vlastností znamená porušenie celkovej bezpečnosti systému.



Filtrácia:

• oddeľuje sieť od Internetu prostredníctvom filtra na prístupovom routeri

• môže byť použitý router ako HW zariadenie (napr. Cisco), alebo počítač s dvoma sieťovými kartami a s OS (Linux, UNIX, Nowell, WinNT)

• filtrácia na úrovni IP ale aj TCP a UDP



ISO OSI model:• hierarchický štruktúrovaný model• definuje rozhrania medzi vrstvami, nezávislosť vrstiev navzájom• nižšia vrstva poskytuje služby vyššej vrstve• protokol danej vrstvy komunikuje logicky len s protokolom tej istej

vrstvy

Popis vrstiev ISO OSI modelu:• fyzická – bit – prenos bitov cez fyzické médium• linková – rámec – poskytuje spoľahlivý prenos dát cez fyzickú linku• sieťová – paket – sieťová konektivita medzi hostami, smerovanie

paketov• transportná – segment – riadenie toku dát, detekcia chýb,

segmentácia dát• relačná – dáta – zakladá, riadi, ukončuje spojenia, zakladá dialógy• prezentačná – dáta – dátové konverzie, šifrovanie a kompresia dát• aplikačná – dáta – poskytuje sieťové služby užívateľským

aplikáciam, zisťuje dostupnosť komunikačnej služby, zakladá spojenie medzi hostami



Bezpečnosť v protokolovom zásobníku TCP/IP:

• vrstva prístupu k médiu – na vytváranie VPN pomocou PPP slúži tunelovací dvojbodový protokol PPTP, pre Windows je to implementácia MS-PPTP, ktorý je však značne zraniteľný

• Internetová vrstva – protokol IPSec, ktorý ponúka dostatočnú bezpečnosť, ale priepustnosť siete sa znižuje, IPSec protokol je povinný pre IPv6

• transportná vrstva – protokoly SSL, TLS, SSH, dané protokoly neobsahujú žiadne vážne chyby, poskytujú dostatočné zabezpečenie a preto sú v dnešnej dobe najviac využívané

• aplikačná vrstva – služby sú integrované do každého aplikač. protokolu zvlášť, alebo sa použije spoločný bezpečnostný systém, protokoly S-FTP, S-HTTP, S/MIME

ISO OSI vs TCP/IP:



Rozvrhnutie bezpečnostných riešení v TCP/IP modely:


Protokol SSL (Secure Socket Layer)

Charakteristika:• SSL protokol bol vytvorený spoločnosťou Netscape (1994 – SSL 1.0, 2.0, 1996

– SSL 3.0) pre zvýšenie bezpečnosti komunikácie v Internete, načo Microsoft odpovedal svojim protokolom PCT, oba protokoly sú si veľmi podobné

• zákl. funkciou SSL (RFC-2661) je zabezpečenie autentifikácie oboch komunikujúcich strán

• nie je postavený na báze štandardov a je chránený patentmi• je umiestnený nad transportným protokolom, je nezávislí od aplikačného

protokolu a „nevidí“ do aplikačných dát, teda nerozoznáva transakcie v prenášaných dátach (viac obr. 1)

• použitie tam kde neprekáža obmedzenie dĺžky šifrovacieho kľúča a kde sa nevyžaduje elektronické podpisovanie prenášaných transakcií => teda nie je vhodný na nasadenie napríklad do bánk

• zabezpečenie protokolu HTTP pomocou vrstvy SSL sa často označuje ako protokol HTTPS

• podporované šifry: DES, DSA, KEA, MD5, RC2, RC4, RSA, SHA-1, SKIPJACK, 3DES

• komunikujúce strany (napr. server a klient) sa dohodnú na verzii protokolu, na výbere šifrovacieho algoritmu a vymenia si verejné kľúče



• SSL berie dáta od aplikačného protokolu a šifrované ich predáva protokolu TCP, tj. nevidí do aplikačných dát

• najbežnejšie využitie je práve pre HTTPS, hotové aplikácie využívajúce HTTP je možné s minimálnymi úpravami preklopiť na prevádzku cez HTTPS

• s súčasnosti len asi 10% aplikácii na Internete sa prevádzkuje cez HTTPS

obr. 1



Zloženie protokolu SSL (4 vrstvy):

• Record Layer Protocol (RLP) – berie dáta od aplikačných protokolov, šifruje, dešifruje a počíta kontrolný súčet z prenášaných fragmentov

• Handshake Protocol (HP) – jeho pakety sa balia do protokolu RLP, pripravuje na obidvoch stranách protokolovú svitu (typ šifrovania a typ kontrolného súčtu), dohodne komprimačný algoritmus a vymieňa dáta pre výpočet zdieľaného tajomstva => symetrické šifrovacie kľúče

• Change Cipher Specification Protocol (CCSP) – obsahuje jedinú správu „skopíroval som pripravenú svitu na aktuálnu – šifrovanie je podľa novej svity“

• Alert protocol (AP) – umožňuje signalizovanie poruchy druhej strane



Zloženie protokolu SSL (4 vrstvy) - obrázok



Rezervované porty aplikačných protokolov zabezpečených protokolom SSL:

• 443 - HTTPS (HTTP cez SSL)

• 465 - SSMTP (SMTP cez SSL)

• 563 - SNNTP (NNTP cez SSL)

• 636 - Secure LDAP (LDAP cez SSL)

• 995 - POP3 cez SSL



Príklad nadväzovania spojenia:• klient zašle správu „Client Hello“, načo server odpovedá „Server Hello“. Obe

správy obsahujú info ako verzia protokolu, ID session a kompresná metóda• následne server zasiela certifikát klientovi a môže požadovať zaslanie

certifikátu od klienta• Potom server zasiela klientovi svoj verejný kľúč, správu „Server Key

Exchange“ a správu „Server Hello Done“• teraz klient zasiela svoj verejný kľúč

„Cleint Key Exchange“ a následne dochádza k aktivácii šifrovacích algoritmov na oboch stranách

• na záver zasiela klient serveru správu „Finished“, ktorá je už šifrovaná dohodnutým spôsobom a odteraz prebieha už celá komunikácia zašifrovaná



Zotavenie po páde spojenia:

• je možné znovunadviazanie spojenia s rovnakými parametrami prenosu, resp. je možné vytvoriť kópiu existujúcej session

• klient zašle serveru správu „Client Hello“ s predtým použitým ID session a server si skontroluje, či má vo svojej vyrovnávacej pamäti rovnaké údaje

• po ich nájdený zašle server klientovi správu „Server Hello“ s rovnakým ID session.

• následne klient zasiela správu „Finished“ a komunikácia pokračuje

• V prípade nenájdenia ID session vo vyrovnávacej pamäti servera sa pokračuje v klasickom nadväzovaní spojenia



Metódy šifrovania:• najsilnejšia metóda – 3DES s 168 bitovým kľúčom a SHA-1 autentifikáciou

správy, metóda použiteľná len na „území USA“ :-[ )• silná šifrovacia metóda – RC4 s 128 bitovým kľúčom a autentifikáciou správy

pomocou MD5, opäť iba na „území USA“ :-[ )• exportná šifrovacia metóda – RC4 s 40 bitovým kľúčom a autentifikáciou

pomocou MD5 (dosť slabé čo...)

Používané algoritmy v SSL 3.0:

Blokové šifrovanie:IDEA - 128 bitRC2 - 40 bitDES - 40 bitDES - 56 bit3DES - 168 bitFortezza - 80 bit

Prúdové šifrovanie:RC4 - 40 bitRC4 - 128 bit



Autentifikácia servera:

• server podporujúci SSL protokol musí mať vystavený certifikát, ktorý vystavujú CA

• certifikát obsahuje: verejný kľúč servera, sériové číslo certifikátu, dobu platnosti, jedinečný názov servera, jedinečný názov certifikačnej autority a digitálny podpis CA

• overovanie prebieha na základe doby platnosti certifikátu, následne sa klient pozrie do svojej tabuľky CA, ak v nej nájde jedinečný názov CA, prejde k overeniu digitálneho podpisu CA v certifikáte serveru pomocou verejného kľúča CA, následne sa overuje adresa servera porovnaním adresy v certifikáte so skutočnou adresou (Man In the Middle attack)

• Ak všetko prebehne OK, klient je „uistený“, že komunikuje so správnym serverom



Príklady obrany proti útokom:• útok vystrihnutím a vložením (Cut and Paste Attack) – útočník uprostred

spojenia vystrihne kus šifrovanej správy z jedného paketu a vloží ho do iného paketu, tak že sa prijímací účastník neúmyselne vzdá rozšifrovaného textu

• útok prestavením špecifikácie šifrovania – SSL 2.0 umožňovalo zmeniť za behu komunikácie úroveň zabezpečenia. Vďaka tomu bolo možné aby útočník vynútil zmenu zabezpečenia na slabšiu úroveň, známe pod názvom „CipherSuite rollback attack“. V SSL 3.0 už nie je možné meniť úroveň zabezpečenia

• útok prestavením verzie - útočník mení verziu zadanú v „client_hello message“ na verziu SSL 2.0. Tak prinútil server zvoliť slabšiu verziu SSL protokolu a tak bolo prelomenie omnoho jednoduchšie

• slovníkový útok (Dictionary attack) – útočník pozná určitú časť originálnej správy. Pokúša sa šifrovať text s akýmkoľvek možným kľúčom pokiaľ neobjaví správny výraz. Ak ho objaví, celá správa môže byť rozšifrovaná týmto kľúčom. SSL sa chráni silným šifrovacím algoritmom akými sú IDEA (128 bit) alebo DES (168 bit)

• útok na krátke bloky (Short-block attack) – ak posledný blok obsahuje 1 byte čistého textu a zostatková časť je doplnená na veľkosť, je možné tento blok relatívne ľahko rozšifrovať. SSL preto nepoužíva tak krátke bloky


OpenSSL

Popis:

• prvá verzia knižnice OpenSSL 0.9.1c v decembri 1998

• OpenSSL sa skladá z dvoch toolsov – kryptografická knižnica a SSL toolkit

• SSL library – obsahuje implementáciu všetkých verzií protokolu SSL vrátane protokolu TLSv1

• kryptografická knižnica – obsahuje mnohé populárne algoritmy pre šifrovanie symetrickými a verejnými kľúčmi, hashovacie algoritmy, pseudorandom generátor, a nástroje na managovanie certifikátov a kľúčov


TLS (Transaction Layer Security)

Protokol TLS:

• protokol vytvorený v rámci IETF v januári 1999 (RFC-2246)

• niekedy označovaný aj ako SSL 3.1

• Internetový štandard pre nahradenie SSL 3.0

• zaisťuje v prostredí Internetu súkromie a umožňuje klient/server aplikáciam predchádzať odpočúvaniu, falšovaniu alebo napádaniu správ

• vychádza z protokolu SSL 3.0, ale rozdiely sú významné v dôsledku čoho protokoly spolu nespolupracujú

• protokol TLS je obecne primaný pre overovanie a šifrovanie komunikácie medzi klientmi a servermi


IPSec

Projekt skupiny IETF (Security Working Group) http://www.ietf.org/

História:

• 1992 – zahájený vývoj sady protokolov

• 1995 – RFC-1825 „Security Architecture for the Internet Protocol“ implementované v BSDi Internet Super Server

• 1998 – RFC-2401 „Security Architecture for the Internet Protocol“

Prečo používať IPSec?

• Dôveryhodnosť – prenášané dáta vie prečítať len príjemca

• Integrita – prenášané dáta nebudú po ceste zmenené

• Pravosť – možnosť potvrdiť identitu autora dát (podpisom)

http://www.ietf.org/




IPSec

Charakteristika:

• IPSec – Internet Protocol Security extension

• zaistenie bezpečnej komunikácie už na IP úrovni (sieťovej vrstve) v sieťach TCP/IP

• podpora IP protokolov – IPv4 a IPv6

• IPSec je plne skryté pred užívateľom, teda plne transparentné vzhľadom na aplikácie

• podporuje rôzne kryptovacie algoritmy pre dosiahnutie bezpečnosti

• implementácia v bezpečnostnej bráne „Security Gateway“ alebo priamo v koncovej stanici „Host“ (viac obr)

• spojenie dvoch Hostov – „Transport Mode“ – chráni obsah paketu, nie hlavičku

• spojenie dvoch Security Gateway – „Tunnel Mode“ – chráni celý paket


IPSec

Bezpečnostné asociácie - Security Association (SA):

• kľúčový materiál, algoritmus na šifrovanie a autentifikáciu sa vyberá pomocou bezpečnostných asociácií

• základom štandardu IPSec sú dve rozšírenia IP protokolu AH a ESP

• rozšírenie AH slúži na zabezpečenie autenticity a integrity informácií

• rozšírenie ESP zabezpečuje privátnosť informácií

• bezpečnostné spojenie zabezpečujúce prenos dát pomocou jedného z protokolov - AH (Authentication Header), alebo ESP (Encapsulating Security Payload)

• pre zabezpečenie obojsmernej prevádzky medzi dvoma hostmi alebo security gateways je potrebné mať dve SA (SA – jednosmerná relácia medzi 2 uzlami)

• každý naviazaný SA spoj je určený – Security Parameter Index (SPI), čo je náhodne vybrané jedinečné číslo (uložené v IPSec hlavičke), cieľovou IP adresou a identifikátorom použitého bezp. protokolu (AH, ESP)

• momentálne je SA definované pre Point-to-Point spoje (budúcnosť – broadcast a multicast)


IPSec

Implementovaná SA medzi dvoma Security Gateway

Implementovaná SA medzi dvoma hostami


IPSec

Protokol AH:• zaisťuje integritu, autenticitu dát a chráni pred „útokom prehraním“• vhodný tam, kde samotná autentizácia postačuje a nevyžaduje sa šifrovanie

obsahu datagramov• definovaná dátová časť datagramu, ale iba pre autentizáciu• používané algoritmy pre autentizáciu sú najčastejšie – MD5, SHA-1• hlavička IP protokolu predchádza AH hlavičku• používa sa MAC v kombinácii so sekvenčným číslom

autentizačná hlavička (AH)


IPSec

Protokol ESP:

• zaisťuje integritu, autenticitu a dôveryhodnosť dát, rieši „útok prehraním“

• definuje obsah IP datagramu

• obsahuje informácie o bezpečnostnom protokole (SPI), poradové číslo, zašifrované dáta a na konci checksum

ESP hlavička


Protokol IPv6

Charakteristika:• štandardizácia protokolu IPv6 v decembri 1995 (RFC-1883)• adresný rozsah – 128 bitové IP adresy (3*10^38), adresuje sa rozhranie nie

uzol• zjednodušenie formátu IP hlavičky – vypustené málo používané údaje z

hlavičky pre zrýchlenie spracovávania paketu• rozšíriteľnosť IP hlavičiek – flexibilnejšia podpora nových vlastností• autokonfigurácia – ľahké nastavenie IP adresy, bez zásahu obsluhy• mobilita – mobilné zariadenie vystupuje identicky z hocijakého miesta• bezpečnosť – IPSec, povinná súčasť implementácie (realita je iná)• autentifikácia a utajenie – integrované v definícii protokolu• fragmentácia – smerovače nesmú fragmentovať pakety, iba používateľ• Quality of Service (Qos) – možnosť zvláštneho spracovávania paketov• adresy IPv6 sú hierarchicky usporiadané – sú teda agregovatelné


Protokol IPv6

IPv6 základná hlavička (RFC-2460):

0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

|Version| Traffic Class | Flow Label |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Payload Length | Next Header | Hop Limit |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| |

+ +

| |

+ Source Address +

| |

+ +

| |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| |

+ +

| |

+ Destination Address +

| |

+ +

| |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+


Protokol IPv6

IPv6 základná hlavička:

Traffic Class – požiadavky toku na vlastnosti siete

Flow Label – identifikátor prúdu paketu

Payload Length – dĺžka paketu bez hlavičky v oktetoch

Next Header – rozšírená IP hlavička, hlavička protokolu vyššej úrovne

Hop Limit – znižuje sa o 1 pri každom predaní paketu ďalej

Source, Destination Address – 128 bitové IPv6 adresy zdroju a cieľa

Zápis IPv6 adresy:

Zapisuje sa v hexadecimálnej sústave, dvojice bajtov sa oddeľujú znakom „:“

Príklad - FEDC:BA98:7654:3210:FEDC:BA98:7654:3210/64


Protokol IPv6

Typy IPv6 adries (RFC-3513):• unicast – označuje jediného príjemcu paketu• anycast – označuje skupinu príjemcov paketu, paket je doručený najbližšiemu

z nich• multicast – označuje skupinu príjemcov paketu, paket je doručený všetkým

príjemcom

Špeciálne IPv6 adresy:• 0:0:0:0:0:0:0:0/64 – Unspecified – môže byť použitá ako odchádzajúca adresa

pri inicializácii počítača, ktorý ešte nemá IP adresu• 0:0:0:0:0:0:0:1/64 – Loopback – používa sa na poslanie dát sám sebe• FF00::/8 – skupinové adresy• FE80::/10 – individuálne lokálne linkové adresy• FEC0::/10 – individuálne lokálne miestne adresy


Protokol IPv6

Unicast IPv6 adresy:

• Link-local unicast – použiteľná iba lokálne. Prefix: 1111 1110 10 = FE8::/10

• Site-local unicast – jedinečné v rámci jednej organizácie. Obsahujú 16 bitový prefix podsiete. Prefix: 1111 1110 11 = FEC::/10

• Global unicast – celosvetovo jedinečná adresa rozhrania

• IPv4 kompatibilné – použiteľné pre automatické tunely. Príklad: ::192.168.30.1 = ::C0A8:1E01

• IPv4 mapovaná – adresa IPv4-only uzlov v IPv6 sieti. Príklad: ::FFFF:192.168.30.1

• Loopback – spätná väzba. Prefix: ::1/128


Protokol IPv6

Globálna individuálna adresa (RFC-2374):Je rozdelená na niekoľko častí, ktorých obsah najlepšie vyhovuje hierarchickej

štruktúre siete.

• TLA – Top-Level Aggregation Identifier – identifikátor globálneho poskytovateľa alebo chrbticového prepájacieho bodu. Je spravované IANA (najvyššia autorita Internetu)

• RES – Reserved – rezervované pre budúce použitie• NLA – Next-Level Aggregation Identifier – identifikátor INET providerov• SLA – Site-Level Aggregation Identifier – identifikátor podsiete• Interface ID – identifikácia sieťového rozhrania v podsieti


Protokol IPv6

Pripojenie do IPv6 Internetu:

• 6bone – virtuálna sieť, skladá sa z lokálnych IPv6 sietí navzájom prepojenými tunelmi nad existujúcou IPv4 infraštruktúrou. Je potrebné požiadať niekoho (pseudo-TLA) o pridelenie prefixu a nakonfigurovanie tunelu. Info: http://www.6bone.net

• Freenet6 – pripojenie k sieti pomocou špeciálneho klienta, ktorý zabezpečí IPv6-over-IPv4 tunel medzi vašou podsieťou a Internetom. Info: http://www.freenet6.net/

IPv6 a programovanie:

• filozofia sieťového programovania sa s príchodom Ipv6 nemení

• je potrebné uvádzať parameter address family INET6 namiesto INET

http://www.6bone.net/

http://www.freenet6.net/


Firewally

Firewall

• širšie ponímanie: súhrn technických opatrení slúžiacich k riadeniu komunikácie medzi chránenou sieťou a okolitým svetom

• užšie ponímanie: počítač („bastion host“) vybavený SW umožňujúcim riadenie komunikácie...

• najčastejšie je to dedikovaný systém tvorený jedným alebo viacerými počítačmi určený k oddeleniu intranetu od Internetu


Firewally

Firewall - čo vie zabezpečiť • riadenie komunikácie

• schopnosť spolupracovať so sieťami adresovanými privátnymi adresami (=> preklad sieťových adries)

• zaznamenávanie udalostí do log-súborov (ako na vnútornej tak na vonkajšej strane)

• Vytváranie sumárnych prehľadov tzv. reportov

• bezpečné komunikačné kanály

• systém autentizácie užívateľov

• obsluha niektorých sieťových služieb (DNS, e-mail, ...)


Firewally

Firewall - čo nevie zabezpečiť • chrániť pred zlomyseľnými „insidermi“

• chrániť pred spojeniami, ktoré „ním neprechádzajú “ (dial-in PPP service in intranet behind router)

• chrániť pred úplne novými hrozbami

• plne chrániť pred vírusmi

• nevie sa sám správne a bezpečne nakonfigurovať (=> cena obsluhy)


Firewally

Typy Firewallov:

• bezstavový paketový filter – filtrácia na úrovni sieťovej vrstvy

• stavový paketový filter – filtrácia na úrovni sieťovej vrstvy s využitím stavových informácií

• aplikačná brána (proxy) – riadenie komunikácie na aplikačnej úrovni

• Circuit Level Proxy – riadenie komunikácie na aplikačnej úrovni, pričom jedna proxy brána slúži pre viacej aplikačných protokolov


Firewally

Firewall - bezstavový paketový filter:

• filtrácia na úrovni sieťovej vrstvy, pričom si filter nezachováva žiadne informácie o paketoch => nemôže sa rozhodnúť pri nasledujúcom filtrovaní podľa predošlých informácii

• podľa zadaných pravidiel, na základe informácii z IP, resp. TCP a UDP (napr. pre DNS) hlavičiek datagramu buď povolí prijatie paketu alebo sa paket zničí

• pravidlá sú väčšinou aplikované sekvenčne a prvé aplikovateľné pravidlo rozhoduje o povolení či zamietnutí paketu

• filter filtrujúci podľa údajov zo záhlavia IP-datagramu sa nazýva Packet Filter, zo záhlavia TCP, UDP paketu sa označuje ako Circuit Filter

• klady: vysoký výkon, flexibilita konfigurácie, jednoduchosť implementácie

• zápory: slabá filtrácia na aplikačnej úrovni, nižšia robustnosť, dodatočný preklad adries


Firewally

Príklad filtračnej tabuľky bezstavového paketového filtra:

• filter rozhoduje o prepustení paketu na základe zdrojovej a cieľovej adresy, typu prenášaného protokolu, čísla cieľového portu a príznakov protokolu

• firewall je umiestnený na hranici siete 10.1.x.x

• bezpečnostná politika pravidiel znie: „povoliť všetky spojenia zo siete von, zakázať všetky spojenia do siete okrem spojenia na server 10.1.1.10 na port 80“

• pravidlo č. 1 – povoľuje akýkoľvek TCP paket z vnútornej siete

• pravidlo č. 2 – povoľuje TCP pakety s cieľ. adresou 10.1.1.10 a cieľ. portom 80

• pravidlo č. 3 – povoľuje akékoľvek TCP pakety bez nastaveného príznaku SYN, čo zaručuje možnosť odpovede na spojenia otvorené z vnútornej siete

• pravidlo č. 4 – určuje „implicitné správanie“, zakazuje všetko čo nebolo predchádzajúcimi pravidlami explicitne povolené


Firewally

Firewall - stavový paketový filter:

• pracuje podobne ako bezstavový paketový filter, s tým rozdielom, že si zachováva stavovú informáciu o spojeniach, reláciach, apod., ktorá je vytváraná na základe analýzy predchádzajúcich paketov

• pomocou tejto stavovej informácie sa môže jednoduchšie a presnejšie rozhodnúť, či skúmaný paket porušuje bezpečnostnú politiku siete alebo nie

• väčšinu informácii čerpá z protokolových hlavičiek IP, TCP, UDP, vo veľkej miere sa však využíva aj dátová časť na kontrolu obsahu spojení

• klady: jednoduchšia konfigurácia (ako bezstavový), transparentný pre sieťové protokoly, dobre prispôsobiteľný bezpečnostnej politike

• zápory: nutnosť udržiavať stavovú informáciu (pri výpadkoch), implementácia značne náročná, vysoká cena produktov


Firewally

Príklad filtračnej tabuľky stavového paketového filtra:

• podobná bezpečnostná politika ako pri bezstavovom paketovom filtri

• pravidlo č. 1 – implementuje povolenie všetkých spojení z vnútornej siete von, a keďže je to stavová inšpekcia nie je potrebné ďalšie pravidlo na povolenie paketov v opačnom smere, firewall ich automaticky povolí ak patria k otvorenému spojeniu iniciovanému z vnútornej siete

• pravidlo č. 2 – povoľuje prístup na server 10..1.1.10 na porte 80 (http port)

• pravidlo č. 3 – povoliť prístup užívateľa JOHN zo siete 10.2.x.x na FTP servery na vnútornej sieti

• pravidlo č. 4 – určuje „implicitné správanie“, zakazuje všetko čo nebolo predchádzajúcimi pravidlami explicitne povolené


Firewally

Firewall - aplikačná brána (proxy):• riadenie komunikácie na aplikačnej vrstve (obr. 1)• nie je pre sieť transparentná => aplikácie a používatelia musia vedieť, že

existuje, aby mohli získať prístup do chránenej časti siete• poskytuje najvyššiu relatívnu bezpečnosť, keďže nesmeruje pakety ale

analyzuje aplikačný protokol• každá aplikácia musí mať na aplikačnej bráne svoj modul, ktorý je schopný

porozumieť aplikačnému protokolu a implementovať relevantnú časť bezpečnostnej politiky vzhľadom na daný aplikačný protokol (obr. 2)

• proxy brána je z pohľadu klienta „server“ a z pohľadu skutočného servera „klient“ => klient pristupuje k proxy ako k aplikačnému serveru a proxy komunikuje so skutočným aplikačným serverom (obr. 3)

obr. 3


Firewally

obr. 1 obr. 2


Firewally

Circuit level Proxy:

• firewall neinterpretuje aplikačné dáta, iba ich predáva

• proxy brána môže slúžiť pre viacej aplikačných protokolov

• implementácia – protokol SOCKS

• v súčasnosti sa používa SOCKS v5.0 z marca 1996 (RFC-1928)

• SOCKS rieši problematiku komplexne v štyroch krokoch – dohoda na autentizačnej metóde, autentizačný dialóg, požiadavka na zriadenie príslušnej proxy, komunikácia cez proxy so vzdialeným serverom


Firewally

Implementácia – pod niektorým známym operačným systémom:

• v súčasnej dobe najrozšírenejší spôsob implementácie

• možnosť využitia bezpečnostných mechanizmov v hostiteľskom OS

• automatická podpora všetkých platforiem, pre ktoré existuje implementácia hostiteľského OS

• možnosť inštaláciu do už zabehaného IT systému (časté využitie starého HW)

• nutnosť opravy bezpečnostných problémov hostiteľského OS

• nutnosť implementovať dokonalú inštalačnú procedúru schopnú overiť aktuálny stav hostiteľského OS

• menšia odolnosť proti útokom, ktoré využívajú detailnú znalosť hostiteľského OS

• inštalácia firewallu často obsahuje i záplaty do hostiteľského OS pre zvýšenie bezpečnosti

• často využívané OS: Unix BSD, Solaris, Linux, FreeBSD, WinNT a iné


Firewally

Implementácia – pod upravenou verziou niektorého operačného systému:

• v súčasnej dobe veľmi populárne riešenie

• relatívne nenáročná implementácia

• využitie existujúcich bezpečnostných mechanizmov východzieho OS

• možnosť priamej opravy prípadných bezpečnostných problémov daného OS

• obmedzený výber HW pre firewall (v prípade dodávky vrátane HW nie je výber žiadny) a tým pádom menšia možnosť neskoršieho upgradu

• výrobca firewallu musí udržiavať vlastnú implementáciu daného OS

• obmedzené možnosti upraveného OS z pohľadu administrácie v porovnaní s originálnym OS

• niektoré implementácie vnucujú užívateľovi vlastnú bezpečnostnú politiku

• najčastejšie upravované OS: Unix BSD, Linux, FreeBSD

• firewally dodávané aj s HW: GnatBox, FireBox, ...


Firewally

Implementácia – kompletne propietárna implementácia vrátane HW:

• málo implementácii na trhu v súčasnej dobe

• dokonalé vyladenie celého systému pre funkciu firewallu a tak dosiahnutie vysokého výkonu

• umožňuje neimplementovať funkcie, ktoré nie sú nevyhnuté pre beh firewallu

• poskytuje zvýšenie bezpečnosti pomocou utajenia detailov implementácie (propietárnosť), čo v súčasnej dobe nie je prístup, ktorý by zaručoval stálu ochranu

• akési „čierne skrinky“, ktorých funkcii sa dá veriť, ale sa to nedá preveriť

• úplná závislosť na jednom výrobcovi

• HW pre daný firewall je rýdzo jednoúčelový

• podpora pre menší rozsah implementovateľných bezpečnostných politík

• správa sa prevádza typicky vzdialene

• typický predstavitelia: Cisco PIX, SonicWall, SunScreen SPF


Zdroje

Použité zdroje (pure WWW):

• [1] http://fornax.elf.stuba.sk/~kubiki/projekty/TCP_IP.pdf

• [2] http://www.cpress.cz/knihy/tcp-ip-bezp/

• [3] http://www.cpress.cz/knihy/tcp-ip-bezp/CD-ssl/ssl.htm

• [4] http://www.dcs.elf.stuba.sk/~leporis/pss_iii/cvicen1/ssl/referat.html

• [5] http://www.ietf.org/html.charters/ipsec-charter.html

• [6] http://bri.kropes.cz/home/skola/p090-ipv6.html

• [7] http://www.kiv.zcu.cz/~simekm/vyuka/pd/zapocty-2003/IPv6/index.html

• [8] http://www.ipv6.cz/

• [9] http://storm.alert.sk

http://fornax.elf.stuba.sk/~kubiki/projekty/TCP_IP.pdf







http://www.cpress.cz/knihy/tcp-ip-bezp/





http://www.cpress.cz/knihy/tcp-ip-bezp/CD-ssl/ssl.htm

http://www.dcs.elf.stuba.sk/~leporis/pss_iii/cvicen1/ssl/referat.html

http://www.ietf.org/html.charters/ipsec-charter.html

http://bri.kropes.cz/home/skola/p090-ipv6.html

http://www.kiv.zcu.cz/~simekm/vyuka/pd/zapocty-2003/IPv6/index.html

http://www.ipv6.cz/

http://storm.alert.sk/

http://storm.alert.sk/

Documents

Bezpečnosť IS 2004