Tűzfal megoldások ComNETORX nap, 2001. I. 30. ComNETORX Rt. N
Magamról Hochenburger Róbert MCNI / MCNE MCNI = Master CNI MCNE = Master CNE CNI = Certified Novell Instructor CNE = Certified Novell Engineer e-mail: hochenbr@comnetworx.hu
Afféle napirend miről lesz szó a következő órában? tűzfalak és -típusok címtárral integrált tűzfal VPN (Virtual Private Network) Novell BorderManager Enterprise Edition
Tűzfalak intranet
Tűzfalak ftp www intranet DMZ DMZ = demilitarizált zóna
Tűzfal típusok NAT csomagszűrő proxy
NAT Network Address Translation RFC1631 használata esetén az intraneten tipikusan nem regisztrált IP címeket használnak RFC1918 A osztály: 10.0.0.0 B osztály: 172.16.0.0 172.31.0.0 C osztály: 192.168.0.0 192.168.255.0
NAT fajtái: statikus az intranet szolgáltatást (ftp, www,...) nyújtó gépeinek számára dinamikus az intranet szolgáltatást nem nyújtó gépeinek számára statikus és dinamikus
NAT működése: e gépek saját IP címükkel forgalmaznak amely címek tehát tipikusan nem regisztráltak a tűzfal ezen IP címet publikus (azaz az Internet felőli) portjának (egyik) IP címével helyettesíti, és így továbbítja az Internetre e cím természetesen regisztrált a túloldali host a tűzfal ezen publikus IP címére válaszol "azt hiszi", hogy szolgáltatásait maga a tűzfal használja
NAT előnyök: kevesebb regisztrált IP cím szükséges a belső IP címek el vannak rejtve az Internet elől viszonylag egyszerű elég gyors transzparens a felhasználók számára hátrány: közvetlen kapcsolat jön létre a tűzfalon keresztül
NAT
NAT
NAT
Csomagszűrés packet filter (screening router) a szűrés kritériuma: az IP csomag fejléce IP cím, portszám, ACK bit a NAT-tal kombinálható Novell platformon: IPFLT.NLM és FILTCFG.NLM Netare 4.11-től az op. rendszer tartalmazza
Csomagszűrés speciális szolgáltatások ACK bit szűrés az adott irányban csak azokat a csomagokat engedi át, amelyekben az ACK bit be van billentve meggátolja, hogy TCP kapcsolatot az Internetről kezdeményezzenek elrejti az intranet szolgáltatásait: megakadályozza, hogy az Internetről "port scan" segítségével felderítsék őket stateful szűrés az IP header alapján ideiglenes szűrőket hoz létre megkönnyíti a szűrők kialakítását
Csomagszűrés előnyök: egyszerű nagyon gyors transzparens a felhasználók számára hátrányok: közvetlen kapcsolat jön létre a tűzfalon keresztül felhasználónév nem lehet a szűrés kritériuma
Proxy az ISO modell felső szintjein dolgozik ezért működése viszonylag lassú nem szükséges az IP routing a tűzfal privát és publikus portja között legyen mindazonáltal lehetséges: ez esetben NAT-tal lehet kombinálni célszerű csomagszűréssel kombinálni az intranet és az Internet között a csomagok továbbítását alkalmazás (t.i. a proxy) végzi az intranetes gépek totális védelmét biztosítja minden betörési kísérlet csak a proxyig jut el
Proxy két fajtája van proxy az intranetes felhasználók számára teszi lehetővé az Internetes erőforrások használatát a letöltött adatokat cache-eli, ami az Internet kapcsolat forgalmát és az intranetes felhasználók által megélt válaszidőket csökkenti reverse proxy (web server accelerator) az Internetes felhasználók számára teszi lehetővé az intranetes erőforrások használatát a letöltött adatokat cache-eli, ami az Internetes felhasználók által megélt válaszidőket csökkenti
Proxy minden protokollnak (http, ftp, nntp, telnet, smtp,...) van (pontosabban: lehet) saját proxyja ezen alkalmazás-proxyk egymástól függetlenül engedélyezhetőek és konfigurálhatóak transparent proxy szokásos szolgáltatás milyen értelemben transzparens? hát a felhasználók számára a kliensek konfigurálását egyszerűsíti
VPN Virtual Private Network biztonságos (érdemben le nem hallgatható) adatkommunikáció nem biztonságos csatornán (pl. az Interneten) keresztül kriptográfiai megoldások felhasználásával VPN "alagút" (tunnel) létrejöhet VPN szerverek VPN szerver és VPN kliens között
VPN VPN kliens (közvetlen kapcsolat) VPN kliens (az Interneten keresztül) "mezei" kliens tunnel "mezei" szerver intranet DMZ Internet biztonságos csatorna a routereket az egyszerűség kedvéért nem tüntettem fel
VPN "mezei" kliens Internet tunnel "mezei" kliens "mezei" szerver intranet intranet "mezei" szerver biztonságos csatorna a routereket az egyszerűség kedvéért nem tüntettem fel
Címtárral integrált tűzfal címtárunk amúgy is van miért is tárolnánk a proxyn való átjutás (azaz az Internet használata) jogosultságokat szeparált adatbázisban? e jogosultságokat az NDS felhasználóihoz kötjük az NDS-ben megszokott módon általában nem közvetlenül, hanem konténereknél (vagy esetleg csoportoknál) fogva öröklődés (inheritance)
BorderManager Novell BorderManager Enterprise Edition 2001. január 22. óta aktuális verziószáma: 3.6 szolgáltatásai: tűzfal proxy autentikáció RADIUS integráció a RAS szolgáltatás NDS-be integrálása VPN (Virtual Private Network) caching reverse proxy
BorderManager RADIUS RADIUS over UDP PAP / CHAP
BorderManager
BorderManager access rules access rules (hozzáférési szabályok) a kért műveletet (pl. egy web lap letöltése) engedélyezik vagy tiltják az NDS-ben tárolódnak az alábbiakat foglalhatják magukba: port (http, ftp,...) időtartomány source (aki a pl. letöltést kezdeményezi) destination (amit pl. le kell tölteni)
BorderManager access rules a destination kapcsán pl. az alábbiakat lehet felhasználni: URL IP cím DNS név newsgroup alkalmazás (pl. a CyberPatrol) a source kapcsán pl. az alábbiakat lehet felhasználni: NDS object DNS név IP cím
BorderManager access rules
BorderManager access rules
BorderManager NDS autentikáció opcionális pl. web lap lekéréséhez fajtái: explicit: html vagy Java lappal; SSL alapú implicit: transzparens a felhasználó számára; feltétel: az NDS-be bejelentkezve kell lennie naplózás common log szöveges fájl extended log szöveges fájl indexed log bináris fájl
További információk http://www.novell.com/products/ bordermanager szórólap white paper sajtóhírek cikkek
Itt a vége... kérdések? köszönöm a figyelmet!