SZÁMÍTÓGÉP HÁLÓZATOK BIZTONSÁGI KÉRDÉSEI

HTML
DOWNLOAD

Méret: px

Mutatás kezdődik a ... oldaltól:

Download "SZÁMÍTÓGÉP HÁLÓZATOK BIZTONSÁGI KÉRDÉSEI"

Tamás Szekeres
10 évvel ezelőtt
Látták:

1 Hálózati op. rsz 1/66 START SZÁMÍTÓGÉP HÁLÓZATOK BIZTONSÁGI KÉRDÉSEI DR. KÓNYA LÁSZLÓ SZERZŐI JOG DEKLARÁLÁSA: A JELEN OKTATÁSI CÉLÚ BEMUTATÓ ANYAG DR KÓNYA LÁSZLÓ SZELLEMI TULAJDONÁT KÉPEZI, EZT A LAPOKON ELHELYEZETT DRK VIZJEL IS JELEZHETI. EZEN TANANYAG BÁRMILYEN CÉLÚ FELHASZNÁLÁSA CSAK A SZERZŐ BELEEGYEZÉSÉVEL LEHETSÉGES AMIT ISMERNI KELL(ENE) SZÁMÍTÓGÉP HÁLÓZATOK ALAPJAI A BEMUTATÓ EGY TANANYAG VÁZLAT, NEM ELÉG A TUDÁSHOZ! Oktatási anyag 2005

hu SZERZŐI JOG DEKLARÁLÁSA: A JELEN OKTATÁSI CÉLÚ BEMUTATÓ ANYAG DR KÓNYA LÁSZLÓ SZELLEMI TULAJDONÁT KÉPEZI, EZT A LAPOKON

2 Hálózati op. rsz 2/66 BIZTONSÁG

3 Hálózati op. rsz 3/66 TŰZFAL Munkaállomás Munkaállomás LAN Szerver Tűzfal Router Internet AZ INTERNETEN ALAPVETŐEN KÉTFAJTA TÁMADÁSI FORMA LÉTEZIK: A HÁLÓZATOT ALKOTÓ GÉPEK ELLENI ÉS A HÁLÓZATI FORGALOM ELLENI AKCIÓK. Munkaállomás A TŰZFALAK (FIREWALL) TŰZFALAK, SPECIÁLIS SZÁMÍTÓGÉPEK, AMELYEKET KÖZVETLENÜL AZ INTERNET ÉS A BELSŐ HÁLÓZAT KÖZÉ ILLESZTENEK. MINDEN KÍVÜLRŐL BEFELÉ, ILLETVE BELÜLRŐL KIFELÉ HALADÓ FORGALOM EZUTÁN CSAK ÚGY FOLYTATHATJA ÚTJÁT, HA ÁTHALAD A TŰZFALON, AMELY KÉPES ELDÖNTENI, HOGY AZ ÉPPEN BEÉRKEZETT ADATOKAT TOVÁBBÍTHATJA-E, VAGY MEG KELL AKADÁLYOZNI A TOVÁBBJUTÁSUKAT. EBBŐL A SZEMPONTBÓL TEKINTHETŐK OLYAN ÚTVONAL VÁLASZTÓKNAK (ROUTER), MELYEK VÁLOGATÓSABBAK, MINT AZT TŐLÜK ELVÁRNÁNK.

HÁLÓZATI FORGALOM ELLENI AKCIÓK. Munkaállomás A TŰZFALAK (FIREWALL) TŰZFALAK, SPECIÁLIS SZÁMÍTÓGÉPEK, AMELYEKET KÖZVETLENÜL AZ INTERNET ÉS A BELSŐ HÁLÓZAT KÖZÉ ILLESZTENEK.

4 Hálózati op. rsz 4/66 A HASONLAT MAGYARÁZATA A TŰZFAL LEHETSÉGES FUNKCIÓI ELVÁLASZTJA A BELSŐ ÉS KÜLSŐ HÁLÓZATOT A BEJÖVŐ FORGALMAT CSAK MEGHATÁROZOTT ELLENŐRZŐ PONTON ENGEDI KERESZTÜL SZABÁLYOZZA ÉS KORLÁTOZZA A BEJÖVŐ ÉS KIMENŐ FORGALMAT MEGTILT BIZONYOS KOMMUNIKÁCIÓS KAPCSOLATOKAT ELREJTI A KÜLSŐ HÁLÓZAT ELŐL A BELSŐ HÁLÓZAT IP CÍMEIT ÉS ERŐFORRÁSAIT GYANÚS ADATCSOMAGOK TOVÁBBKÜLDÉSÉT MEGAKADÁLYOZZA (CSOMAGSZŰRÉS TÖRTÉNHET A FORRÁSCÍM, A CÉLCÍM VAGY A TCP/IP PROTOKOLLBAN SZEREPLŐ EGYÉB ADAT ALAPJÁN) NAPLÓZZA A TELJES KOMMUNIKÁCIÓS FORGALMAT

ELLENŐRZŐ PONTON ENGEDI KERESZTÜL SZABÁLYOZZA ÉS KORLÁTOZZA A BEJÖVŐ ÉS KIMENŐ FORGALMAT MEGTILT BIZONYOS KOMMUNIKÁCIÓS KAPCSOLATOKAT

5 Hálózati op. rsz 5/66 TŰZFALAK CSOPORTOSÍTÁSA VANNAK CSOMAGSZŰRŐ, ALKALMAZÁSSZINTŰ, ILLETVE HIBRID TŰZFALAK. A CSOMAGSZŰRŐK AZ INTERNET ALAPVETŐ PROTOKOLLJÁNAK, A TCP/IP-NEK AZ ALAPEGYSÉGEIN, VAGYIS A HÁLÓZATI CSOMAGOKON DOLGOZNAK. A FELADÓ ÉS A CÍMZETT, ESETLEG AZ IGÉNYBE VETT SZOLGÁLTATÁS SZERINTI SZŰRÉST KÉPESEK MEGVALÓSÍTANI. ÚGY KÉPZELHETŐK EL, MINT A KAPUBAN ÁLLÓ ŐR: MINDENKITŐL MEGKÉRDEZI, HONNAN JÖTT, HOVÁ TART, ÉS MI A DOLGA OTT. HA AZ ŐR LISTÁJÁN NEM SZEREPLŐ VENDÉG ÉRKEZIK, AKKOR MEGTAGADJA A BELÉPÉST. AZ ALKALMAZÁSSZINTŰ ÚN. PROXY ELVEN MŰKÖDŐ RENDSZEREK EGÉSZEN MÁS TAKTIKÁT ALKALMAZNAK: NEM A HÁLÓZATI CSOMAGOK, A PACKETEK SZINTJÉN MŰKÖDNEK, HANEM EGÉSZÉBEN VIZSGÁLJÁK AZ ADATFOLYAMOT, ÉS ANNAK TARTALMÁTÓL FÜGGŐEN KÉPESEK A MEHET/NEM MEHET DÖNTÉS MEGHOZATALÁRA.

A FELADÓ ÉS A CÍMZETT, ESETLEG AZ IGÉNYBE VETT SZOLGÁLTATÁS SZERINTI SZŰRÉST KÉPESEK MEGVALÓSÍTANI.

6 Hálózati op. rsz 6/66 IP CSOMAGSZŰRŐ TŰZFALAK Ezek a tűzfalak a következő információk alapján dönti el, hogy mit kell tenni egy adott IP csomaggal: forrás IP cím forrás portszám (TCP vagy UDP csomagok esetén) vagy típus (ICMP esetén) cél IP cím cél portszám vagy típus a csomag melyik hálózati interfészen érkezett ill. melyiken szeretne távozni egyéb protokoll-specifikus információk: pl. TCP SYN, ACK, RST flag-ek, IP töredékek (fragments). Például a TCP SYN bitek figyelésével lehetőség nyílik kapcsolat felépítési kérések blokkolására, így bár az IP csomagokat mindkét irányban átengedjük, kapcsolatot csak az egyik irányból lehet kezdeményezni.

portszám (TCP vagy UDP csomagok esetén) vagy típus (ICMP esetén) cél IP cím cél portszám vagy típus a csomag melyik hálózati interfészen érkezett ill.

7 Hálózati op. rsz 7/66 PROXY TŰZFALAK A proxy szerverek megvárják, amíg az összes olyan IP csomag megérkezik, melyek az alkalmazói szinten összetartozó protokollelemet hordoznak, majd a szűrés után továbbítják azokat. A két módszer előnyeit próbálja meg egyesíteni az utóbbi években kifejlesztett technológia, mely a ma kereskedelemben kapható számos tűzfal alapját képezi. Ezeket a tűzfalakat ún. Stateful Packet Filter Firewall-oknak nevezik, melyek a vizsgálandó csomagok által tartalmazott információn túl képesek figyelembe venni az addig érkezett csomagokban lévő információt is.

protokollelemet hordoznak, majd a szűrés után továbbítják azokat.

8 Hálózati op. rsz 8/66 PROXY SZERVER EZ A TŰZFAL FONTOS ELEME LEHET, MIVEL A KÜLSŐ ÉS BELSŐ HÁLÓZAT KÖZÉ ÉKELŐDVE A BELSŐ FELHASZNÁLÓK NEVÉBEN KOMMUNIKÁL A KÜLVILÁGGAL, ELREJTVE AZOK FONTOS ADATAIT. FUNKCIÓI, PL.: A RENDSZER TEHERMENTESÍTÉSE OLY MÓDON, HOGY HA TÖBB FELHASZNÁLÓ EGYSZERRE UGYANAZZAL A KÜLSŐ ÁLLOMÁSSAL VAN KAPCSOLATBAN (PL. UGYANAZT A HONLAPOT BÖNGÉSZIK), AKKOR KIKÜSZÖBÖLI A TÖBBSZÖRÖS ADATÁTVITELT. A BELSŐ WEB ÉS FTP SZERVEREK TEHERMENTESÍTÉSE ÉS ELSZIGETELÉSE A KÜLSŐ HÁLÓZATTÓL A KOMMUNIKÁCIÓS FORGALOM NAPLÓZÁSA A FELMERÜLT PROBLÉMÁK UTÓLAGOS TISZTÁZÁSA CÉLJÁBÓL. CSOMAGSZŰRÉS A TCP/IP PROTOKOLLBAN SZEREPLŐ ALAPJÁN ADATOK

ELREJTVE AZOK FONTOS ADATAIT. FUNKCIÓI, PL.

9 Hálózati op. rsz 9/66 DEMILITARIZÁLT ZÓNA (DMZ) Munkaállomás Szerver WWW szerver DMZ Munkaállomás LAN Router Internet Tűzfal Munkaállomás KÉT TŰZFALLAL VÉDJÜK A BELSŐ HÁLÓZATOT, ÉS A KÉT TŰZFAL KÖZÖTT HELYEZKEDIK EL A DMZ. HÁROM TERÜLET: BELSŐ HÁLÓZAT, KIFELÉ PUBLIKUS INTERNET, KÜLSŐ HÁLÓZAT.

Munkaállomás LAN Router Internet Tűzfal Munkaállomás KÉT TŰZFALLAL VÉDJÜK

10 Hálózati op. rsz 10/66 TŰZFAL MEGOLDÁSOK

11 Hálózati op. rsz 11/66 TARTALOMSZŰRÉS KULCSZÓ, URL SZŰRÉS TARTALOMSZŰRÉS: A TŰZFALAK A FELHASZNÁLÓK MELLETT AZ ÁTHALADÓ ADATOKAT IS ELLENŐRIZHETIK. MEGOLDÁSOK: KULCSSZÓ FIGYELÉS, URL-SZŰRÉS VÍRUSFIGYELÉS. KULCSSZÓ SZERINT: VIGYÁZZUNK, MERT: SZEX" TILTÁSA TILTJA A SZEXTÁNS -T IS. URL-FILTEREK: KORLÁTOZZÁK A LÁTOGATHATÓ OLDALAK KÖRÉT. EGY FOLYAMATOSAN FRISSÍTETT ADATBÁZIST TARTALMAZNAK A WEB- HELYEKRŐL, MELYBEN MINDEN WEB-HELYHEZ EGY KATEGÓRIÁT RENDELTEK, ANNAK TARTALMA SZERINT. AZ ADATBÁZIST TÖBBNYIRE A TERMÉK GYÁRTÓJA KÉSZÍTI, ILLETVE TARTJA NAPRAKÉSZEN. HA TEHÁT KORLÁTOZNI SZERETNÉNK AZ OLDALAK LÁTOGATÁSÁT, AKKOR MINDÖSSZE BE KELL ÁLLÍTANUNK, HOGY MELY KATEGÓRIÁKAT SZABAD, ILLETVE NEM SZABAD LÁTOGATNI, MAJD A TŰZFALAT AZ URL-SZŰRŐ PROGRAM HASZNÁLATÁRA UTASÍTANI.

EGY FOLYAMATOSAN FRISSÍTETT ADATBÁZIST TARTALMAZNAK A WEB- HELYEKRŐL, MELYBEN MINDEN WEB-HELYHEZ EGY KATEGÓRIÁT RENDELTEK, ANNAK TARTALMA SZERINT.

12 Hálózati op. rsz 12/66 TARTALOMSZŰRÉS VÍRUSFIGYELÉS A VÍRUSKERESÉS-KOR A TŰZFALAT EGY SPECIÁLIS VÍRUSKERESŐVEL EGÉSZÍTIK KI, AMELY KÉPES A TŰZFAL ÁLTAL ÁTADOTT ADATOK VÍRUSELLENŐRZÉSÉRE. HA A FILE TISZTA, AKKOR AZT SZABADON LEHET KÜLDENI/FOGADNI. HA AZONBAN FERTŐZÖTT, AKKOR A VÍRUSKERESŐ MEGPRÓBÁLHATJA ELŐSZÖR FERTŐTLENÍTENI, ILLETVE HA AZ NEM SIKERÜL, AKKOR KARANTÉNBA HELYEZI, TOVÁBBI VIZSGÁLAT CÉLJÁBÓL. ÉRDEMES TUDNI, HOGY TÖBBFAJTA ADATFORGALOM IS ELLENŐRIZHETŐ: EK, FTP ÉS HTTP FORGALOM IS SZŰRHETŐ VÍRUSKERESŐVEL. TERMÉSZETESEN ILYENKOR A TŰZFALRA ELŐSZÖR TELJES EGÉSZÉBEN MEG KELL ÉRKEZNIE A FILE-NAK, MAJD A VÍRUSKERESŐ ELLENŐRZI, ÉS CSAK AZUTÁN KERÜLHET A FELHASZNÁLÓHOZ. MINDKÉT TARTALOMSZŰRŐ ELJÁRÁS KULCSA A NAPRAKÉSZ ADATBÁZIS -LEGYEN SZÓ URL-EKRŐL VAGY VÍRUSOKRÓL.

HA AZONBAN FERTŐZÖTT, AKKOR A VÍRUSKERESŐ MEGPRÓBÁLHATJA ELŐSZÖR FERTŐTLENÍTENI, ILLETVE HA AZ NEM SIKERÜL, AKKOR KARANTÉNBA HELYEZI, TOVÁBBI VIZSGÁLAT CÉLJÁBÓL.

13 Hálózati op. rsz 13/66 BELSŐ HÁLÓZATI CÍMEK Kezdőcím Végcím Megjegyzés Egy darab A kategóriás tartomány darab B kategóriás tartomány darab C kategóriás tartomány BIZONYOS HÁLÓZATI CÍMEKET NEM OSZTOTTAK KI, EZEK HASZNÁLHATÓK A BELSŐ HÁLÓZATOKBAN. ILYEN CÍMEKET A ROUTER SEM TOVÁBBÍT, EZÉRT VÉDELMI CÉLOKRA IS ALKALMAZHATÓ. A BELSŐ HÁLÓZATI CÍMEKEN MŰKÖDŐ GÉPEK A KÜLVILÁGOT A NAT SEGÍTSÉGÉVEL ÉRIK EL.

14 Hálózati op. rsz 14/66 NAT - CÍMÁTALAKÍTÁS AZ EGYIK LEGFONTOSABB ÉS LEGGYAKRABBAN HASZNÁLT LEHETŐSÉG A FORRÁS CÍM (IP CÍM ÉS PORTSZÁM) ÁTÍRÁSA. EZT A TECHNIKÁT NAT-NAK (NETWORK ADDRESS TRANSLATION) VAGY NÉHA IP MASQUERADE-NAK HÍVJÁK. LÉNYEGE, HOGY MIALATT A CSOMAG ÁTHALAD A TŰZFALON A FORRÁS IP CÍMET A TŰZFAL A SAJÁT IP CÍMÉRE ÍRJA ÁT MIKÖZBEN LEFOGLAL SZABAD PORTJAI KÖZÜL EGYET, ÉS A FORRÁS PORTCÍMET IS ÁTÍRJA ERRE A PORTSZÁMRA. MIELŐTT AZ ÍGY MÓDOSÍTOTT CSOMAGOT TOVÁBBKÜLDENÉ, MEGJEGYZI A FELADÓ IP- ÉS PORTCÍMÉT, VALAMINT, HOGY MELYIK HELYI PORTOT FOGLALTA LE ENNEK. A MÁSIK IRÁNYBÓL ÉRKEZŐ ÉS A TŰZFALAT MEGCÍMZŐ CSOMAGOK ESETÉN MEGVIZSGÁLJA, HOGY AZ ADOTT CÉL PORTCÍM NINCS-E AZ ADATBÁZISÁBAN. HA BENNE VAN, AKKOR A CÉL IP- ÉS PORTCÍMET LECSERÉLI AZ ADATBÁZISÁBAN LEVŐRE, ÉS TOVÁBBÍTJA A CSOMAGOT.

LÉNYEGE, HOGY MIALATT A CSOMAG ÁTHALAD A TŰZFALON A FORRÁS IP CÍMET A TŰZFAL A SAJÁT IP CÍMÉRE ÍRJA ÁT MIKÖZBEN LEFOGLAL SZABAD PORTJAI KÖZÜL EGYET, ÉS A FORRÁS PORTCÍMET IS ÁTÍRJA ERRE A PORTSZÁMRA.

15 Hálózati op. rsz 15/66 NAT CÍMÁTALAKÍTÁS - PÉLDA Például vállalatunk egyetlen Internet-csatlakozással rendelkezik, legyen ennek a címe Viszont 150 számítógéppel rendelkezünk, melyek mindegyikén Internet elérést akarunk lehetővé tenni. Ekkor 2 hálózati interfészt és egy NAT-ot lehetővé tevő szoftvert kell telepítenünk a direkt-internet kapcsolattal rendelkező eszközünkre (pl. egy UNIX/WINDOWS alapú PC). Az egyik hálózati kártya megkapja az Internet eléréshez szükséges hálózati paramétereket, viszont a másik a es címet kapja, amire a többi, belső-hálózati számítógépet csatlakoztatjuk. A belső-hálózati eszközök mind címet kapják, és átjárójuk pedig a cím lesz. A belsőhálózatban lévő számítógépeket nem lehet látni és elérni, ugyanis fizikai kapcsolat csak a NAT szerver és az Internet között létezik.

Ekkor 2 hálózati interfészt és egy NAT-ot lehetővé tevő szoftvert kell telepítenünk a direkt-internet kapcsolattal rendelkező eszközünkre (pl. egy UNIX/WINDOWS alapú PC).

16 Hálózati op. rsz 16/66 ELLENŐRZŐ KÉRDÉSEK 1. Fogalmazza meg, mi az a tűzfal! 2. Milyen típusai vannak a tűzfalaknak, és azok hogyan működnek? 3. Hogyan működnek a csomagszűrő tűzfalak? 4. Hogyan működnek a proxi tűzfalak, és mi az a proxy szerver? 5. Milyen tűzfal kialakítási megoldásokat ismer? 6. Mi az a NAT? Mi a feladata? Mik azok a belső hálózati címek? 7. Mi az a tartalomszűrés? Milyen módszerei vannak? 8. Mi az a kulcsszó szűrés? 9. Mi az URL szűrés? 10. Hogyan oldják meg a vírusfigyelését a tűzfalak esetén? Hogyan szortírozza a fájlokat vírusfigyelési szempontból?

Milyen tűzfal kialakítási megoldásokat ismer? 6. Mi az a NAT? Mi a feladata? Mik azok a belső hálózati címek? 7. Mi az a tartalomszűrés?

Hasonló dokumentumok

Fábián Zoltán Hálózatok elmélet

Fábián Zoltán Hálózatok elmélet Tűzfal fogalma Olyan alkalmazás, amellyel egy belső hálózat megvédhető a külső hálózatról (pl. Internet) érkező támadásokkal szemben Vállalati tűzfal Olyan tűzfal, amely