Távközlési informatika II.

Átírás

1 Dr. Beinschróth József Távközlési informatika II. 5.rész ÓE-KVK Budapest, 2017.

2 Tartalom Hálózati architektúrák: szabványgyűjtemények A fizikai réteg: bitek továbbítása Az adatkapcsolati réteg: kapcsolatvezérlés és közeghozzáférés Példák az adatkapcsolati rétegre épülő technológiákra A hálózati réteg 1: funkciók és protokollok A hálózati réteg 2: Útvonalválasztás Példa hálózati rétegre épülő technológiára A szállítási réteg Az alkalmazási réteg Kriptográfia IPSec, VPN, határfelületi védelem QOS és multimédia Kiegészítő fejezetek 2

3 A fejezet tartalma Az IPSec keretrendszer Az IPSec módjai Magánhálózatok kialakítási lehetőségei VPN megvalósítások A határfelület védelmének szükségessége DMZ Tartalomszűrés Vírusvédelem SPAM szűrés Tűzfalak Mély protokollelemzés

4 Az IPSec keretrendszer: a security a hálózati rétegben valósul meg Probléma Tradicionális okok A TCP/IP kidolgozásakor a security eredetileg nem volt jelentős szempont (bizalmasság, sértetlenség). A TCP/IP-t nem világméretű hálózatra dolgozták ki. Az alapelvek meghatározása a 70-es években történt. Mindezek miatt előfordul(nak) titkosítatlan (lehallgatható) átvitel, letagadható, megváltoztatható üzenetek stb. Megoldás Alkalmazásokba integrálva A forrás alkalmazás titkosít, védelemmel lát el stb., a cél alkalmazás dekódol Probléma: Meg kell változtatni az alkalmazásokat (egyszerre az egész világon.) A hálózati rétegbe integrálva Ez terjedt el. IP Security IPSec, keretrendszer, többféle szolgáltatást, algoritmust stb. tartalmaz RFC 2401, 2402, 2406 Nem opcionális, de létezik null titkosítási algoritmus: RFC Az IPSec keretrendszer

5 Az IPSec egy keretrendszer: titkosítás, hitelesítés (1) IPv4 és IPv6 esetén egyaránt értelmezett IPv4: opcionális IPv6: kötelezően megvalósítandó szolgáltatás Többnyire szimmetrikus kriptográfiát alkalmaz Összeköttetés alapú (a kapcsolatnak állapota van): szimplex összeköttetés a két végpont között, melyhez biztonsági azonosító is tartozik (Két irány két kapcsolat) (Az IP kapcsolat tipikusan nem összeköttetés alapú!) A headerben újabb információ jelenik meg: biztonsági azonosító, sértetlenséget biztosító adatok stb. 5 Az IPSec keretrendszer

6 Az IPSec egy keretrendszer: titkosítás, hitelesítés (2) Az IPSec három fő biztonsági szolgáltatást képes nyújtani Csak hitelesítési (AH - Authentication Header) Kombinált hitelesítés és titkosítás (ESP - Encapsulating Security Payload) A mindkettőt kiszolgáló kulcskezelés (IKE - Internet Key Exchange). Alapfogalma a Security Association (SA - Biztonságos Kapcsolat) SA: egyirányú kapcsolat a kommunikáló partnerek között - összeköttetés Kétirányú biztonságos kapcsolatokhoz két SA szükséges Egy SA vagy egy AH, vagy egy ESP által megvalósított egyirányú biztonságos kapcsolatot ír le Egy SA-t három paraméter azonosít egyértelműen Security Parameter Index (SPI) - Biztonsági Paraméter Index: kulcs, algoritmusok, protokoll mód, sorszám, ablak, stb. Az IP célcím A használt biztonsági protokoll (AH vagy az ESP) 6 Az IPSec keretrendszer

7 Az IPSec-nek két módja van aszerint, hogy a járulékos információ hol helyezkedik el Transport mód Tunnel mód Mind az AH mind az ESP egyaránt használatos transport és tunnel módban! 7 Az IPSec módjai

8 Transport módban az eredeti IP header kiegészül Transport mód Tunnel mód Az IPSec alkalmazását a Protocol mezőben elhelyezett kód jelzi (51), az eredeti (ami a Procol mezőben volt) az IP header kiegészítő részébe kerül. A transzport mód tipikusan két host (IP kommunikációs szereplő) közti végpontvégpont kapcsolatokban használatos gépek közötti forgalom védelmét biztosítja. (Szemben a tunnel móddal, amely leginkább ak ill. routerek között használatos.) A csomagméret nem növekszik jelentősen. Elsősorban a felsőbb szintű protokollok (jellemzően a TCP vagy UDP szegmensek), azaz az IP csomag adatmezejének a védelmére szolgál. Az ESP az IP fejléc nélküli adat mezőt titkosítja, opcionálisan hitelesíti. Az AH az IP csomag adatait és az IP fejléc bizonyos részeit hitelesíti. 8 Az IPSec módjai

9 Tunnel módban az egész eredeti csomagot egy másik IP csomag belsejébe helyezik (1) Transport mód Tunnel mód A tunnel mód leginkább két csomópont (pl. vagy router) között használatos: a két csomópont között egy VPN-t (Virtual Private Network, virtuális magánhálózat) jön létre. Az egész eredeti csomagot egy másik IP csomag belsejébe helyezik (IP-IP tunnelezés), így biztosított, hogy az egész eredeti csomag a (publikus) hálózaton való áthaladás közben változatlan marad. Tunnel móddal biztonságos kommunikáció valósítható meg anélkül, hogy az összes kommunikáló gépen IPSec-et kellene implementálni (csak a tunnel két végpontján szükséges IPSec) hálózatok közötti forgalom védelmére képes. A titkosítás és autentikáció csak a tunnel két végén levő gépen (routerek) történik, a titkosítás nem terheli a hálózat gépeit. 9 Az IPSec módjai

10 Tunnel módban az egész eredeti csomagot egy másik IP csomag belsejébe helyezik (1) Transport mód Tunnel mód A kisszámú résztvevő miatt egyszerűbb a kulcskezelés. A csomagméret jelentősen nőhet: Az eredeti IP fejléc a célcímen kívül tartalmazhat egyéb routing információkat is (source routing utasítások, hop-by-hop opciók), emiatt az új IP fejlécbe is be kell írni az eredeti routing információkat, (Egyébként a közbülső routerek nem lesznek képesek megfelelő módon kezelni a titkosított tunnelezett csomagot - belső IP header a csomag tartalmával együtt titkosítva van, emiatt a közbülső routerek nem tudnak vele mit kezdeni). A VPN-ként használt tunneles ESP lehetetlenné teszi a forgalmi analízisen alapuló támadásokat. 10 Az IPSec módjai

11 Kulcskezelés: titkos kulcsok szükségesek az authentikációhoz és a titkosításhoz egyaránt (kriptográfiai kérdés) IKE (Internet Key Exchange) Az AH és ESP működése a kommunikálni szándékozó gépek titkos kulcsain alapul: titkos kulcsok szükségesek az autentikációhoz és a titkosításhoz egyaránt. Az IPSec két kulcskezelő mechanizmus támogatását teszi kötelezővé. Manuális: a rendszeradminisztrátor minden egyes résztvevő gépen manuálisan konfigurálja a gép saját és a kommunikáló partnerei kulcsait. Automatizált: az automatizált kulcskezelés lehetővé teszi kulcsok új SA-k számára való igény szerinti generálását és a kulcsok automatikus propagálását (asszimmetrikus kriptográfia). 11 Az IPSec módjai

12 IPSec esetén a klasszikus IP header módosul/kiegészül A klasszikus IP header (emlékeztetőként) Szolgálat típusa: pl. VoIP Teljes hossz.:max Byte Azonosítás: melyik csomag 32 bit DF: Don t Fragment MF: More Fragments Darabeltolás: A darab (fragment) sorszáma Protokoll: tcp (6), udp (17) Verzió Azonosítás Fejrész hossz Szolgálat típusa (6bit) Teljes hossz DF, MF bitek Darabeltolás Élettartam Protokoll Fejrész ellenőrző összeg Forrás cím Cél cím Opciók (0 vagy több szó) 20 byte rögzített, utána változó hosszúságú opcionális rész A továbbítás a verzióval kezdődik 12 Az IPSec módjai

13 IPSec esetén a klasszikus IP header módosul/kiegészül AH header ESP header 13 Az IPSec módjai

14 IPSec header: AH (többé-kevésbé elkülönül az IP headertől) AH header ESP header AH (Authentication Header) Az IP headerhez kapcsolódóan megjelenik egy új header, ami több mezőből áll (AH header) Az AH transport módban az eredeti headert kiegészíti. Az AH tunnel módban az új és a régi IP header közé kerül. IPv4-ben új fejlécként, IPv6-ban mint kiegészítő fejléc jelenik meg (IPv6-ban kötelező) Fő feladatai: A fejléc hitelesítése Az adatmező sértetlenségének ellenőrzésére és a replay (újrajátszás) támadások elleni védelemre nyújt módot. (Replay elleni védelem: sorozatszám) Az AH headerben az adatmező digitális aláírása is szerepel, ez biztosítja a sértetlenség kontrollját Titkosítást nem végez 14 Az IPSec módjai

15 IPSec header: ESP (többé-kevésbé elkülönül az IP headertől) AH header ESP header ESP (Encapsulating Security Payload) Elhelyezkedése az AH-hoz hasonló Az AH alternatívája. Alapvetően titkosítási szolgáltatást nyújt, védve az üzenet tartalmát a lehallgatások ellen, valamint korlátozott védelmet tud nyújtani a forgalmi adat-analízisen alapuló támadások ellen. Az ESP opcionálisan az AH-hoz hasonló hitelesítési szolgáltatásokra is képes. Az ESP perspektivikusabb az AH-nál (az opciókat is használva több szolgáltatást is nyújt titkosítás). 15 Az IPSec módjai

16 Az AH header formátuma emlékeztet az IPv6 kiegészítő fejrész formátumára (1) AH header ESP header Next Header Payload Length Reserved (Fenntartott) Biztonsági paraméterek indexe Sorszám Hitelesítési adatok (HMAC) 32 bit 16 Az IPSec módjai

17 Az AH header formátuma emlékeztet az IPv6 kiegészítő fejrész formátumára (2) AH header ESP header Next Header Az IP header Protocol mezőjének értékét tartalmazza, miután az le lett cserélve (51-re) Next Header Payload Length Biztonsági paraméterek indexe Sorszám Hitelesítési adatok (HMAC) Reserved (Fenntartott) Payload Length Az AH Headerben levő 32 bites szavak száma mínusz kettő Biztonsági paraméterek indexe Összeköttetés azonosító, az összeköttetést leíró információk (ez tartalmazza a kulcsot is) Sorszám Az SA csomagjainak sorszáma, minden csomag új sorszámot kap még újraküldés esetén is (az újrajátszás ellen) Hitelesítési adatok Hashed Message Authentication Code: Az adatmező ( és az IP header bizonyos mezőinek) digitális aláírása 17 Az IPSec módjai

18 Az AH header formátuma emlékeztet az IPv6 kiegészítő fejrész formátumára (3) Az Authentication Header elhelyezkedése transport mód esetén AH header ESP header IP csomag IP header AH (Authentication Header) TCP Header Data 51 Az Authentication Header elhelyezkedése tunnel mód esetén IP csomag IP header AH (Authentication Header) IP header TCP Header Data Eredeti IP csomag 18 Az IPSec módjai

19 Az ESP header az AH headerhez hasonló adatokat tartalmaz AH header ESP header Az ESP Header elhelyezkedése transport mód esetén Hiteles IP Header ESP Header TCP Header Data HMAC Titkos Az ESP Header elhelyezkedése tunnel mód esetén Új IP Header ESP Header Régi IP Header Hiteles TCP Data Header Titkos HMAC ESP Header: Biztonsági paraméterek indexe + Sorszám 19 Az IPSec módjai

20 A szervezeten belüli bizalmas adatok továbbításhoz titkosított csatornákra van szükség (probléma a több telephely) Szervezetei követelmény: Magánhálózat (Corporate Network) szükséges, amely a vállalat nem nyilvános (bizalmas) információinak átvitelét biztosítja - biztonságos kapcsolat Bizalmasság Informatikai biztonság Sértetlenség Rendelkezésre állás 20 Magánhálózatok kialakítási lehetőségei

21 A vállalati magánhálózat két módon valósítható meg Klasszikus bérelt vonal VPN 21 Magánhálózatok kialakítási lehetőségei

22 A klasszikus bérelt vonalak bizalmasság szempontjából megfelelők, de magas költségűek (1) Klasszikus bérelt vonal VPN Az internettől teljesen független megoldás Már több évtizeddel az internet megjelenése előtt is létezett A távközlési szolgáltatók szolgáltatásaként jelentkezett A távoli kliensek számára a hozzáférés olyan mintha helyileg kapcsolódnának, de a sebesség problematikus lehet Internet hozzáférés esetén a távoli kliensek IP címet is a magánhálózatnak kijelölt tartományból kapnak A bizalmasság elfogadható szinten valósul meg 22 Magánhálózatok kialakítási lehetőségei

23 A klasszikus bérelt vonalak bizalmasság szempontjából megfelelők, de magas költségűek (2) Klasszikus bérelt vonal VPN Nem költségoptimális megoldás Magas fenntartási költség (tipikusan havi díj és nem adatforgalom utáni díj) A távolsági összeköttetéseknek különösen magas a költsége (Közbülső megoldás: modemes kapcsolat PSTN-en - régi) Olcsóbb lehet, de a hátrányok jórészt megmaradnak) 23 Magánhálózatok kialakítási lehetőségei

24 A telephelyek között adatkapcsolat az internet felhasználásával alacsony költségek mellett Klasszikus bérelt vonal VPN Titkosított virtuális összekötetések internet BIZALMASSÁG?! 1. telephely 2. telephely 3. telephely Az adatátvitelei sebességek a bérelt vagy kapcsolt vonalon elérhetőknél nagyságrendekkel nagyobbak! 24 Magánhálózatok kialakítási lehetőségei

25 VPN (Virtual Private Network): olcsó ugyanakkor biztonságos megoldás lehet Klasszikus bérelt vonal VPN A VPN jellemzői Virtuális: valósi fizikai összeköttetés nincs kiépítve. Az internet nyitott infrastruktúrájának kihasználása (az interneten keresztül történő összeköttetések). Az egymástól földrajzilag távol elhelyezkedő vállalati telephelyek közötti információcsere lehetősége az interneten keresztül. Egységes, közös vállalati hálózat használatának lehetősége az összes telephelyen. Relatíve alacsony hálózati költségek. Lényegesen olcsóbb, mint a hagyományos megoldások, de a biztonság problematikus lehet. A biztonságra vonatkozó követelményeket is kielégítő megoldások léteznek. Road Warrior (utcai harcos utazó ügynök) is csatlakozhat! 25 Magánhálózatok kialakítási lehetőségei

26 Sokféle VPN változat képzelhető el (1) VPN: alagút az interneten keresztül Klasszikus bérelt vonal VPN Felhasználó kapcsolódása kívülről 26 Magánhálózatok kialakítási lehetőségei

27 Sokféle VPN változat képzelhető el (2) VPN: alagút az interneten keresztül Klasszikus bérelt vonal VPN Alhálózatok (telephelyek) összekapcsolása 27 Magánhálózatok kialakítási lehetőségei

28 A VPN a felhasználói alkalmazások számára transzparens Klasszikus bérelt vonal VPN A VPN koncepció Minden telephely el van látva lal. Minden, a cég telephelyein levő két között virtuális titkosított csatorna jön létre. (A ak többnyire rendelkeznek VPN funkciókkal.) Az interneten a csomagok ugyanúgy haladnak, mint bármely más csomag, a titkosítás a csomagtovábbítást nem befolyásolja. A VPN a felhasználói alkalmazások számára transzparens, a távoli telephely elérése nem különbözik a lokálisétól. Az egyes (külső munkatársak vagy) telephelyek az internet szolgáltatókhoz kapcsolódnak (ISP - Internet Service Provider). A kliensek attól az ISP-től kapnak IP címet akihez kapcsolódnak A kapcsolat kiépítés ugyancsak ehhez az ISP-hez történik. Probléma: az egyes telephelyek különböző ISP-khez kapcsolódnak. Hogyan kezeljük a különböző ISP-któl kapott IP címeket? 28 Magánhálózatok kialakítási lehetőségei

29 Példa: Magánhálózat az internet nyitott infrastruktúrájának felhasználásával Klasszikus bérelt vonal VPN 29 Magánhálózatok kialakítási lehetőségei

30 Sokféle VPN megvalósítás létezik Klasszikus bérelt vonal VPN 1 Független szoftver: Sok különböző szoftver létezik (pl. OpenVPN stb.), 2 Operációs rendszerbe beépített szoftver (A legtöbb op. rendszer rendelkezik beépített VPN szoftverrel) 3 Routerek és switchek támogatása (A mai routerek és switchek közül a legtöbb támogatja az elterjedt VPN protokollok használatát) 4 Szerverként használhatunk valamilyen VPN szolgáltató szerverét, vagy saját szervert 30 Magánhálózatok kialakítási lehetőségei

31 Példa VPN megvalósításra Open VPN Klasszikus bérelt vonal VPN Open VPN A szerver címének és a user azonosításának megadása kliens oldalon. Szerver és kliens változata is van Ingyenes kliens szoftver Többféle felhasználó hitelesítés Szinte az összes elterjedt platformra elérhető Támogatja a virtualizációs és felhős megoldásokat 31 Magánhálózatok kialakítási lehetőségei

32 VPN kialakítási lehetőségek Hardver közeli megoldások Tűzfal alapú megoldások Tunneling protokollok VPN megvalósítások

33 VPN kialakítására léteznek hardver alapú megoldások Hardver közeli megoldások Tunneling protokollok Tűzfal alapú megoldások Hardver közeli megoldások (routerek) Az adatforgalom titkosítására alkalmas routerek alkalmazása. Minimális erőforrás igény magas fokú hálózati áteresztőképesség. Nem kellőképpen rugalmasak, a hozzáférés vezérlés egy részét vagy egészét átengedik más eszköznek (pl. ). Az utazó ügynök problémájának kezelése kérdéses. 33 VPN megvalósítások

34 VPN kialakítására léteznek alapú megoldások Hardver közeli megoldások Tunneling protokollok Tűzfal alapú megoldások Tűzfal alapú megoldások A ak + titkosítás Kihasználják a biztonsági mechanizmusok előnyeit NAT Bizonyos hálózatrészek elérésének korlátozása Azonosítási mechanizmusok Naplózás stb. A performancia a titkosítás miatt kritikus lehet! Az utazó ügynök problémájának kezelése kérdéses. 34 VPN megvalósítások

35 VPN kialakítására léteznek szoftver alapú megoldások (1) Hardver közeli megoldások Tunneling protokollok Tűzfal alapú megoldások Speciális protokollok (tunnelling protokollok) alkalmazása (a hardver és a alapú megoldásnál rugalmasabb) Cél: a vállalati magánhálózat kiterjesztése a távoli kliensekhez egy közbenső hálózat felhasználásával (az utazó ügynök is kezelhető). Privát hálózati hozzáférést biztosít a világ bármely részéről (vezetékes vagy mobil hálózatról) az internet használatával. Megoldás: RFC 2661: L2TP (Layer 2 Tunneling Protocol) Saját titkosítást nem tartalmaz, az IPSec-re épül, azzal együtt biztonságos adatátvitelt tesz lehetővé az interneten (L2TP over IPSec). A Point-Point Tunneling Protocol (PPTP) és Layer 2 Forwarding Protocol (L2F) tunneling protokollok utódjának tekinthető. A PPTP (így a L2TP is) a PPP-re épül, a PPP Authentication eljárásait (PAP, CHAP) alkalmazza A PPTP (így a L2TP is) a PPP-re épülés alapján lehetővé teszi más hálózati címek és protokollok (IPX, SNA, NetBios) alkalmazását is. Az L2TP menedzseli a PPP adatkapcsolati rétegét is (pl. HDLC). 35 VPN megvalósítások

36 VPN kialakítására léteznek szoftver alapú megoldások (2) Hardver közeli megoldások Tunneling protokollok Tűzfal alapú megoldások Nincs szükség ra a távoli klienseknél A távoli kliensek (Road Varrior is) ugyanúgy használhatják a vállalati hálózatot mint a helyiek Az interneten keresztül többnyire csak a vállalati hálózatot érik el, minden csomag a vállalati hálózathoz lesz továbbítva Az internethez többnyire csak a vállalati hálózaton keresztül kapcsolódhatnak. (Ugyanúgy kell kezelni őket, mint a belső hálózati felhasználókat.) Ugyanazon biztonsági kapu szabályok vonatkoznak rájuk. Korlátozni vagy tiltani lehet az internet hálózat használatát számukra. Összetevők: LNS - L2TP Network Server LAC - L2TP Access Concentrator ISP Internet Service Provider Az LNS a privát hálózatban a on belül helyezkedik el így belső IP cím alkalmazása lehetséges a tunnel másik végpontján is. A LAC a távoli helyszínen működik, vagy a távoli ISP működteti, vagy magán a távoli gépen van. Megvalósítási módok: kötelező és önkéntes 36 VPN megvalósítások

37 Példa: Win7 Hardver közeli megoldások Tunneling protokollok Tűzfal alapú megoldások 37 VPN megvalósítások

38 Az L2TP (szoftveresen kialakított VPN) lehet önkéntes használatú (1) Hardver közeli megoldások Tunneling protokollok Tűzfal alapú megoldások Voluntary (önkéntes a távoli kliensnek közvetlen internet hozzáférése van) Kialakítás: 1. lépés: A kliens először az ISP-vel hoz létre egy PPP kapcsolatot ahonnan egy globális IP címet kap. 2. lépés: A kliens a globális IP cím felhasználásával építi ki az L2TP tunnelt az LNS-hez. (Az LNS a privát hálózatban van.) 3. lépés: Létrejön a virtuális PPP link a kliens és az LNS között (protokoll egyeztetés, privát IP cím kiosztás). A távoli kliensen megvalósul az L2TP ill. a LAC (L2TP Access Concentrator). A tunnel transzparens az ISP-re és az internet hozzáférési módszerre. A kliens globális routolható IP címmel (is) rendelkezik, ami közvetlen internet hozzáférést biztosít, a kliens több IP címmel is rendelkezhet (lokális címe is van). 38 VPN megvalósítások

39 Az L2TP (szoftveresen kialakított VPN) lehet önkéntes használatú (2) Hardver közeli megoldások Tunneling protokollok Tűzfal alapú megoldások A tunnel létrehozása után a magánhálózatban privát IP címek használatosak a tunnel másik végén is. Az LNS-nek a tunnel típusától függetlenül globális IP címmel kell rendelkeznie. A Voluntary tunnel perspektivikusabb, mivel független az ISP-től. 39 VPN megvalósítások

40 Az L2TP (szoftveresen kialakított VPN) lehet kötelező használatú (1) Hardver közeli megoldások Tunneling protokollok Tűzfal alapú megoldások Compulsory (kötelező - a távoli kliensnek közvetlen internet hozzáférése nincs) Kialakítás: 1. lépés: A távoli kliens kapcsolódik távoli ISPhez (a saját LNS-ét ismeri) 2. lépés: Az ISP inicializálja az L2TP tunnelt 3. lépés: A távoli kliens PPP csomagokat küld a LAC-hoz, amely L2TP-be beágyazza azokat és a tunnel-en továbbítja az LNS-hez Az ISP valósítja meg LAC (L2TP Access Concentrator) funkciót. A távoli klienseknél nincs szükség L2TP funkcióra A távoli kliens nem rendelkezik a távoli szolgáltató által adott globális IP címmel. (Csak egy session kiépítése lehetséges az LNS-hez, a kliensnek nincs közvetlen internet hozzáférési lehetősége.) 40 VPN megvalósítások

41 Az L2TP (szoftveresen kialakított VPN) lehet kötelező használatú (2) Hardver közeli megoldások Tunneling protokollok Tűzfal alapú megoldások A tunnel létrehozása után a magánhálózatban privát IP címek használatosak a tunnel másik végén is. Az LNS-nek a tunnel típusától függetlenül globális IP címmel kell rendelkeznie. 41 VPN megvalósítások

42 Az internethez való kapcsolódás önmagában kockázatot jelent A szervezetek hálózatait az internet irányából számos fenyegetés éri. (Nem veszünk tudomást az internetről, nem kapcsolódunk hozzá.) Lehetséges megoldási koncepciók A vállalat két egymástól teljesen független hálózattal rendelkezik és az egyik nem kapcsolódik az internethez. A két hálózat közötti adatcsere (adathordozón) szabályzatok által tiltott (banki, védelmi szféra). 42 Védjük a határfelületet A határfelület védelmének szükségessége Határfelületi védelem: A vállalati hálózat és az internet között ill. az összekapcsolt hálózatok között jól definiált felületet határozunk meg és az ezen áthaladó forgalmat szigorúan kontrolláljuk. A felületen kívüli adatforgalmat tiltjuk ill. megakadályozzuk.

43 A határfelület tipikus kialakítása:dmz (1) DMZ (Demilitarized Zone): fegyvermentes (szabad) övezet A határfelületen a forgalom korlátozásának kialakítása során egymásnak ellentmondó szempontok jelentkeznek. Ha egy cég saját SMTP, HTTP és egyéb kiszolgálókat üzemeltet, mindig felmerül az a kérdés, hogy hova tegye a kiszolgálókat A DMZ egy olyan hálózati szegmens, ami az internet felől védett, de nem a belső hálózaton van, hanem egy harmadik alhálózat A DMZ a benne elhelyezkedő hálózati eszközökhöz és erőforrásokhoz mind a megbízott belső, mind a megbízhatatlan külső területről engedélyezi a hozzáférést, de megakadályozza, hogy a külső területről bármilyen kérés vagy hozzáférési kísérlet eljusson a belső hálózatra. 43 DMZ

44 A határfelület tipikus kialakítása: DMZ (2) Gép1 Proxy Gép2 Tűzfal Tűzfal internet Gép3 Gép4 DMZ A gyakorlatban a DMZ nem két között, hanem meghatározott szegmensként valósul meg. 44 DMZ

45 A határfelületeken védelemre van szükség: Tartalomszűrés A munkavégzéshez nem kapcsolódó tartalmak tiltottak A tartalomszűrés célja: A munkaidőben végzett magáncélú tevékenység csökkentése. Az erőforrások túlterhelésének megakadályozása Kulcsszó szerinti keresés Meghatározott tiltólistán szereplő szavak közötti összefüggések keresése Képtartalom szerinti keresés Ruha nélküli testfelületek aránya a képben URL szűrés Folyamatosan frissített adatbázis, amely web oldalakat és hozzájuk rendelt kategóriákat tartalmaz (többnyire a tartalomszűrő gyártója tartja karban) A vállalat policy-jának megfelelően az egyes kategóriák tiltottak ill. meg-engedettek (tiltott web site lekérésekor a felhasználó a kért web oldal helyett figyelmeztető üzenetet kap) Feketelista Fehér lista 45 Tartalomszűrés

46 A határfelületeken védelemre van szükség: Vírusvédelem Vírusok detektálása és elhárítása Antivírus szoftverek A vírus detektálható a rendszerbe való bekerülés előtt, a működés megkezdése előtt és működés közben. Antivírus programok (SymantecNAV, MCAfee, F-PROT, stb): Fertőzés megelőző (rezidens program a memóriában) Fertőzés feltáró/azonosító (jelzi a fertőzés tényét esetleg eltávolítja a vírust) Online és offline működés (Az offline az adatbázis frissítése után fontos, ui. ekkor detektálhatók a régi változtat mellett esetlegesen bejutó vírusok.) Nem eltávolítható vírussal fertőzött fájlok: karantén. 46 Vírusvédelem

47 A határfelületeken védelemre van szükség: Spamszűrés A SPAM korlátozása Kéretlen levél, levélszemét Túlterhelés, erőforrások indokolatlan lekötése Munkaidő pazarlása SPAM szűrő alkalmazások 47 SPAM szűrés

48 A határfelületeken védelemre van szükség: Tűzfal Naplózás és korlátozás Célja annak biztosítása, hogy a hálózatra ill. azon keresztül ne történhessen illetéktelen behatolás, illetve a határfelületen keresztül áramló forgalmat megszűrje. A hálózatba belépő és onnan kilépő forgalmat naplózza és korlátozza. A forgalom korlátozás bizonyos, a on előzetesen beállított szabályrendszer alapján történik. A szabályrendszer alapján dől el, hogy lehetséges a továbbítás ill., hogy milyen intézkedésre van szükség (pl. csomag eldobás). A router és a funkció általában integrálható Általános csoportosítás Külső: a teljes helyi hálózatot részben elválasztja az internettől. Belső: helyi hálózatnak egy különösen védendő részét zárja el annak többi részétől, így az internettől is. Személyes: egy adott számítógépre elhelyezett szolgáltatás. 48 Tűzfal

49 Miért van szükség ra? Probléma Az internetre kapcsolódó gépek védtelenek a nekik címzett csomagok ellen, elfogadásukhoz nem végeznek vizsgálatokat. Megoldás A forgalmat a hálózat határfelületén kontrolláljuk 49 Tűzfal

50 A határfelületi védelem központi eleme a többféle változata létezik SOCKS (SOCKet Secure) A hálózati ill. szállítási rétegben működnek Csomagszűrő Dinamikus csomagvizsgáló Socks Nem rendelhető réteghez Bastion host Proxy Transzparens proxy Az alkalmazási rétegben működnek Moduláris proxy 50 Tűzfal

51 Csomagszűrő : Az IP headerek alapján hoz döntést Csomagszűrő Bastion host Dinamikus csomagvizsgáló Proxy Socks Transzparens proxy Moduláris proxy Egyszerű, hagyományos megoldás Az IP csomagokat megvizsgálja és a szabályoknak megfelelően átengedi vagy eldobja azokat. Minden kimenő és bejövő csomag külön ellenőrzésre kerül. Az IP header minden mezője külön ellenőrzésre kerül, de a magasabb rétegekhez tartozó információt nem vizsgálja Megbízható címtartományok gépeivel engedélyezi a kommunikációt A hamisított címek kiszűrésre kerülnek. A funkció a router funkcióval könnyen integrálható - gyakran nevezik csomagszűrő routernek is. Jellemzően a hálózati rétegben működik (de pl. a port számokat is figyelembe veszi). 51 Tűzfal

52 Mit vizsgál a csomagszűrő a headerben? Csomagszűrő Bastion host Dinamikus csomagvizsgáló Proxy Socks Transzparens proxy Moduláris proxy? Forrás és cél IP cím Nem létező belső címről kifelé haladó csomag eldobás Nem megengedett IP címről beérkező csomag - eldobás Forrás és cél port szám (TCP ill. UDP esetén) Nem a 80-as portra beérkező csomag - eldobás Forrás és cél típus (ICMP esetén) A csomagot érkeztető hálózati interface A forgalom iránya (kimenő, bejövő Egyéb protokollspecifikus információk 52 Tűzfal

53 Tisztán csomagszűrő at a gyakorlatban ma már nem használnak Csomagszűrő Bastion host Dinamikus csomagvizsgáló Proxy Socks Transzparens proxy A csomagszűrő jellemzői + Moduláris proxy A csomag eldobásáról vagy megtartásáról szóló döntést kizárólag az adott csomagban szereplő információ alapján hozza meg, nem vizsgálja pl., hogy hol helyezkedik el a csomag az adatfolyamban, csak a csomag fejléce kerül vizsgálatra, a tartalma nem. Közvetlen kapcsolat valósul meg egy külső és a védett belső gép között. Gyors: nem szükséges felépíteni egy teljes protokollt, azt értelmezni és új csomagokat generálni. Támogatott a NAT (Network Adress Translation) és a PAT (Port Adress Translation), amelyekkel a belső IP címek és portok a külső hálózat számára láthatatlanná tehetők. Viszonylag egyszerű eszközökkel megkerülhető, kijátszható a védelem (bizonyos szolgáltatások számára fenntartott portokat, más szolgáltatások is használhatnak; léteznek nyitott portokat kereső - alkalmazások (port scan)). Viszonylag bonyolult konfiguráció, szabályok kimaradhatnak. Bonyolult igények kielégítésére nem alkalmasak.. 53 Tűzfal

54 A dinamikus csomagvizsgáló összetettebb vizsgálatokat végez (1) Csomagszűrő Bastion host Dinamikus csomagvizsgáló Proxy Socks Transzparens proxy A dinamikus csomagvizsgáló állapotokat is vizsgál Moduláris proxy Probléma: Nem mindig adható meg a megbízható IP címtartomány. (pl. Web áruház) Pl. a csomagszűrő kizárólag megbízható címtartományok hostjaival engedélyezi a kommunikációt e-kereskedelem esetén pl. ez nem elégséges megoldás: szükséges ismeretlen hostokkal történő kapcsolat felépítés is. Dinamikus csomagvizsgáló nemcsak egy meghatározott csomagot vizsgál, hanem a csomag állapotát is: azonosítja a kapcsolatok kezdetét és befejeződését, számon tartja a létező hálózati kapcsolatokat, a kimenő adatkérelmeket, hogy hol helyezkedik el a csomag az adatfolyamban stb. Ezek alapján ki tudja szűrni a kapcsolatokba nem illő csomagokat A csomagokat átmenetileg tárolja: addig, amíg a döntést képes meghozni Kapcsolatorientált protokollok esetén (TCP) képes a csomagszűrő nál többet nyújtani pl. az adatokat tartalmazó csomag előtt kellett érkeznie olyan csomagnak, amely a kapcsolat kiépülésében játszik szerepet pl. egy ftp csomag akkor továbbítódik, ha korábban már felépült egy ftp kapcsolat. 54 Tűzfal

55 A dinamikus csomagvizsgáló összetettebb vizsgálatokat végez (2) Csomagszűrő Bastion host Dinamikus csomagvizsgáló Proxy Socks Transzparens proxy A dinamikus csomagvizsgáló erőforrás igényesebb Moduláris proxy Bizonyos kapcsolattípusokat képesek hitelesítő szolgáltatásokhoz átirányítani Meghatározott típusú csomagokat képesek kiszűrni (pl. futtatható attachementet tartalmazó levelek) A naplózás, az ellenőrzés és elemzés nagyon lelassíthatja a hálózati kapcsolatot (különösen, ha egyidőben sok kapcsolat van és sok, bonyolult szabály él) Csak a csomagok fejléce kerül vizsgálatra, a tartalma nem, a döntés a fejlécek alapján történik meg Közvetlen kapcsolat valósul meg egy külső és a védett belső gép között Viszonylag bonyolult konfiguráció, szabályok kimaradhatnak 55 Tűzfal

56 A Socks átmenet a hálózati szintű és az alkalmazás szintű szűrés között (1) Csomagszűrő Bastion host Dinamikus csomagvizsgáló Proxy Socks Transzparens proxy Moduláris proxy A csomagszűrő és a Bastion Host típusú ak között helyezkedik el (több, mint a csomagszűrő, de nem alkalmazás szinten működik) A kliens gépre telepítésre kerül egy program modul, ami minden hálózati kapcsolat kezelését átveszi az eredeti operációs rendszertől Amikor egy program kapcsolódni akar egy szerverhez, akkor a kapcsolódási kérését a modul kezeli, és a program helyett kapcsolódik az előre beállított SOCKS proxyhoz, majd megadja a proxynak, hogy milyen címre szeretne kapcsolódni Ezek után a proxy kapcsolódik a kliens program által kijelölt távoli szerverhez A kapcsolat kiépülése után az adatforgalmat a kliens program a modul segítségével a SOCKS proxy-n keresztül a végzi. 56 Tűzfal

57 A Socks átmenet a hálózati szintű és az alkalmazás szintű szűrés között (2) Csomagszűrő Bastion host Dinamikus csomagvizsgáló Proxy Socks Transzparens proxy A legális kapcsolatokhoz tartozó adatok a Socks proxy-n egy táblázatban vannak nyilvántartva. A táblázat tartalma: Moduláris proxy a forrás és a cél IP cím,a fizikai interfészekre vonatkozó adatok egyedi kapcsolat-azonosító, kapcsolat állapot információk Csak azok a csomagok jutnak át a on, amelyekhez tartozik érvényes kapcsolati bejegyzés a táblázatban. Így tkp. hálózati szintű ellenőrzés valósul meg. Ha a kapcsolat lezárul, akkor a törli a kapcsolathoz tartozó bejegyzést a táblázatból Nem nevezhető csomagszűrőnek, mivel csomagok nem közvetlenül a kliens és a szerver között közlekednek Nem tekinthetőek alkalmazásszintű nak sem mivel a forgalom nem alkalmazási szinten kerül szűrésre, hanem csak hálózati szinten Nem elterjedt megoldás (túlhaladott) 57 Tűzfal

58 Bastion Host: Nem igazi, a felhasználónak be kell rá jelentkeznie Csomagszűrő Bastion host Dinamikus csomagvizsgáló Proxy Socks Transzparens proxy Történelmi kategória: bástya a határfelületen A csomagszűrő aktól elérő filozófiát követ, nem Moduláris proxy végez szűrést, de hálózati határvédelmi eszköz a külső és a belső hálózat határfelületén helyezkedik el. A Bastion Host olyan szerver gép, amely több felhasználó párhuzamos távoli hozzáférését támogatja mind a belső, mind a külső hálózat felé direkt kapcsolattal rendelkezik. A Bastion Host másik (külső) oldalán elérhető szolgáltatás igénybe vételéhez a felhasználónak először be kell jelentkeznie a Bastion Hostra és itt el kell indítania egy az illető szolgáltatás igénybe vételéhez szükséges programot. A Bastion Host kizárólag azon felhasználók által küldött csomagokat továbbítja, akik előzőleg már bejelentkeztek rá. A Bastion Hostra történő bejelentkezés után megszűnik a kommunikáló felek közötti közvetlen csomagkapcsolat A kapcsolatnak két fázisa van Host1 - Bastion Host, Bastion Host - Host2 (a Bastion Host közvetít) Fő funkciója nem a szűrés, hanem a hitelesítés Sok konkurens kapcsolat esetén erőforrás probléma jelentkezhet 58 Tűzfal

59 A proxy alkalmazás szinten működik Csomagszűrő Bastion host Dinamikus csomagvizsgáló Proxy Socks Transzparens proxy Proxy: megbízott (helyettes) Moduláris proxy Megbízott: az összes gép nevében a proxy jár el (pl. a routerrel integrált csomagszűrő csak a proxy-tól fogad el csomagokat, a proxy viszont alkalmazás szinten elvégzi a szűrést). A proxy egyik hálózati interfészével a külső hálózathoz kapcsolódik, a másikkal pedig a belső hálózatban található kliensekhez. Nincs közvetlen párbeszéd a proxy által összekapcsolt hálózatok A proxy ak nem csupán a csomagok fejlécét vizsgálták, hanem azok adatrészébe is belenéznek (alkalmazás szint: bizonyos protokollelemeket vizsgálnak). A kapcsolat kettősségéből (hálózati és alkalmazási réteg) kifolyólag a proxy ak minden különösebb beállítás nélkül képesek kivédeni a csomagszintű támadásokat (pl. a csomagok elfogadása csak meghatározott IP címekről lehetséges). 59 Tűzfal

60 A proxy protokoll elemeket is vizsgál Csomagszűrő Bastion host Dinamikus csomagvizsgáló Proxy Socks Transzparens proxy A proxy csak meghatározott alkalmazásokhoz tartozó forgalmat enged át Moduláris proxy A kliensek, és a kiszolgálók között nem épül fel közvetlen kapcsolat, hanem mindketten a on futó proxy alkalmazással kommunikálnak. Lépések: A proxy szerver fogadja a belső hálózat felől érkező kéréseket. A szerver megvizsgálja, hogy a kapcsolat nincs-e tiltva, illetve azt, hogy a csomagok megfelelnek-e a protokoll szabványnak. Ha mindent rendben talál, akkor a proxy szerver kapcsolódik a proxy klienshez. A proxy kliens ezek után felépíti a tényleges kapcsolatot a kért számítógéppel. A visszafelé irányuló forgalom hasonló módon történik, a külső számítógép felveszi a kapcsolatot a proxy kliensével, ellenőrzés után a kliens továbbítja a kérést a proxy szervernek, a szerver pedig felveszi a kapcsolatot a belső hálózaton lévő számítógéppel. 60 Tűzfal

61 A proxy protokoll elemeket is vizsgál Csomagszűrő Bastion host Dinamikus csomagvizsgáló Proxy Socks Transzparens proxy Moduláris proxy A proxy bevárja azokat a csomagokat, amelyek egy adott protokollelemhez tartoznak A proxy bevárja az összes olyan IP csomagot, amely alkalmazói szinten összetartozó protokollelemhez tartoznak, ezután valósul meg a szűrés funkció Jelentős erőforrás igény lép fel (a részletes vizsgálatok és a store and forward működés miatt) Minden alkalmazáshoz külön proxy-ra van szükség, ezért ennek a módszernek a használata esetén rendelkezni kell az összes használni kívánt alkalmazásnak megfelelő proxy-val. Ha nincs telepítve egy meghatározott alkalmazáshoz tartozó alkalmazás proxy, akkor az adott alkalmazást a rendszer egésze nem fogja támogatni. Az alkalmazás feltétele, hogy a használni kívánt protokollnak támogatnia kell a proxy-s működést. 61 Tűzfal

62 A proxy tipikusan átmenetileg tárolja a vizsgált tartalmakat Csomagszűrő Bastion host Dinamikus csomagvizsgáló Proxy Socks Transzparens proxy Moduláris proxy A proxy cache felhasználása: gyorsítás A proxy-k általában cache-elnek is (cache proxy proxy cache) Az áthaladó információ egy ideig tárolódik, újra letöltés esetén a kliens az eltárolt változatot kapja Jelentős erőforrás megtakarítást eredményez ami a proxy cacheben megtalálható, azt nem szükséges újra letölteni 62 Tűzfal

63 A proxy nem megkerülhető Csomagszűrő Bastion host Dinamikus csomagvizsgáló Proxy Socks Transzparens proxy Moduláris proxy Gép1 Proxy Proxy Gép2 Gép3 Tűzfal Internet 63 Tűzfal

64 Példa: proxy beállítása kliensen (1) Csomagszűrő Bastion host Dinamikus csomagvizsgáló Proxy Socks Transzparens proxy Moduláris proxy 64 Tűzfal

65 Példa: proxy beállítása kliensen (2) Csomagszűrő Bastion host Dinamikus csomagvizsgáló Proxy Socks Transzparens proxy Moduláris proxy 65 Tűzfal Börtsök András: Integrált spam, vírus, phising és hálózati védelem az elektronikus levelezésben halozati_vedelem_az_elektronikus_levelezesben

66 A transzparens proxy a proxy egy változata Csomagszűrő Bastion host Dinamikus csomagvizsgáló Proxy Socks Transzparens proxy Az adminisztráció egyszerűbb Moduláris proxy Proxy esetén Proxy minden gépen be kell állítani a proxy elérését - a túl sok és gyorsan változó gép ill. konfiguráció miatt ez problematikus. Megoldás: Hagyományos elhelyezése a határfelületen, amelyen elhelyezkedéséből adódóan minden forgalom áthalad. A csomagok nem jutnak át azonnal a on, hanem a a csomagokat "elkapja", és a proxy-hoz továbbítja. Az átirányított forgalmat a proxy fogadja, és a nem transzparens proxy-k működéshez hasonlóan kezeli őket, majd visszaadja a hagyományos nak. A klienseken ez esetben semmilyen proxy beállítást nem kell tenni. A transzparens proxy kiemelten támaszkodik az alacsonyabb szintű csomagszűrőre. A hálózat adminisztrációja egyszerűbb és áttekinthetőbb. 66 Tűzfal

67 A transzparens proxy a hagyományos hoz kapcsolódik, a hostok számára nem is látható Csomagszűrő Bastion host Dinamikus csomagvizsgáló Proxy Socks Transzparens proxy Moduláris proxy Gép1 Proxy Transzparens proxy Gép2 Gép3 Tűzfal Internet 67 Tűzfal

68 A moduláris proxy a transzparens proxy egy változata Funkcionalitás tekintetében megegyezik a transzparens proxy-val Képes az átmenő adatfolyam alkalmazásszintű szűrésére, csomagszűrő kiegészítőt tartalmaznak, valamint transzparensek a kliens számára Különbség a transzparens proxy-hoz képest: Csomagszűrő Bastion host Dinamikus csomagvizsgáló Proxy Moduláris proxy A transzparens ak minden protokoll értelmezésére, elemzésére különálló komponenssel rendelkeznek, amelyek nem képesek együttműködésre Sok esetben azonban bizonyos funkciókat mindegyik komponens megvalósít (kapcsolat fogadása, kapcsolódás a szerverhez, stb.) A moduláris proxy részei, moduljai képesek együttműködni, valamint a különböző feladatok ellátását más-más modul végzi, csökkentve ezzel a felesleges redundanciát A moduláris bizonyos proxy moduljai fel vannak készítve arra, hogy a rajtuk átmenő forgalom egy részét képesek legyenek egy másik proxynak további elemzésre átadni, azaz más elemző proxy modult a bevonni, beágyazni a forgalom elemzésébe Socks Transzparens proxy 68 Tűzfal

69 A mély protokoll elemzés speciális funkció (proxy-k rendelkezhetnek ezzel a funkcionalitással) A protokollok betartását alapesetben egy hálózati eszköz sem ellenőrzi! A protokollok be nem tartása lehetőséget ad a rosszindulatú támadásra (pl. sok hálózati eszközben és alkalmazásban vannak olyan biztonsági rések, amiket, a protokollt sértő metódusokkal ki lehet játszani) Amennyiben a proxy alkalmazás a teljes szabványt megvalósítja, tehát ismeri az összes utasítást és attribútumot, egyfajta hálózati rendészként minden szabványt sértő kommunikációs próbálkozást megtagadhat A mély protokollelemzés segítségével a élesebben lát : a hálózati kommunikációban jóval részletesebben tud eseményeket megkülönböztetni egymástól, aminek következtében a reakciója is kifinomultabb lehet Példa: web get ill. header oldal ill. fejléc lekérés, megjön, amit kértük, ezután a kapcsolat normális esetben lezárul, de mi van, ha még jön valami ami egy security rést akar kihasználni alapesetben ezt senki sem nézi. Content vectoring tartalomelemzés: tipikusan vírusellenőrzésre esetleg kulcsszavak ellenőrzésére használják. A tartalomelemzés tipikusan a moduláris ak sajátja. Önálló modulként épülnek be az architektúrába, így képesek valamennyi proxy-val együttműködni. 69 Mély protokollelemzés

70 Ellenőrző kérdések (1) 1. Mi a különbség az AH és az ESP között? 2. Mi a különbség a transport és a tunnel mód között? 3. Mi a VPN? 4. Mit jelent az utazó ügynök problémája? 5. Milyen összetevői vannak a határfelületi védelemnek? 6. Mi a DMZ? 7. Milyen típusokat ismer? 8. Mi a mély protokollelemzés? +1: Írjon még öt ellenőrző kérdést 70

71 Csomagszűrő Dinamikus csomagvizsgáló Socks Bastion host Proxy Transzpa-rens proxy Moduláris proxy Teszt feladatlap (1) Az IP header minden mezője külön ellenőrzésre kerül, de a magasabb rétegekhez tartozó információ nem vizsgált A csomagok állapotát is vizsgálja Nem csomagszűrő, de nem is alkalmazás szintű A felhasználónak a szolgáltatás igénybe vételéhez a felhasználónak először be kell jelentkeznie az eszközön Bevárja az összes olyan IP csomagot, amelyek alkalmazói szinten összetartozó protokollelemet hordoznak, ezután valósul meg a szűrés funkció Csak bizonyos alkalmazáshoz tartozó forgalmat enged át. Ismeri és ellenőrzi az alkalmazás az összes utasítást és attribútumaikat 71

72 Csomagszűrő Dinamikus csomagvizsgáló Socks Bastion host Proxy Transzpa-rens proxy Moduláris proxy Teszt feladatlap (2) A külső és a belső hálózat határfelületén helyezkedik el A klienseken hálózati kapcsolatok kezelését nem az operációs rendszer végzi, hanem egy spec. program modul Fő funkciója nem a szűrés, hanem a hitelesítés A szűréseket alkalmazásonként elkülönült szoftver egység végzi Csak a csomag fejléce kerül vizsgálatra, a tartalma nem Alkalmazás szintű szűrést valósít meg, a modulok egymás között együttműködésre képesek Alkalmazás szintű szűrés valósul meg, úgy, hogy a klienseken nincs szükség ehhez beállításokra Lehetőség van az áthaladó forgalom naplózására 72

73 Csomagszűrő Dinamikus csomagvizsgáló Socks Bastion host Proxy Transzpa-rens proxy Moduláris proxy Teszt feladatlap (3) A leggyorsabb megoldás Közvetlen kapcsolat valósul meg egy külső és a védett belső gép között Tartalom cache-elési lehetőséget biztosít A klienseken az egyes alkalmazásokhoz kapcsolódóan kell beállításokat tenni +1: Írjon még öt teszt kérdést 73