תרגול 10 – חומות אש – Firewalls

Slides:



Advertisements
Similar presentations
Firewalls By Tahaei Fall What is a firewall? a choke point of control and monitoring interconnects networks with differing trust imposes restrictions.
Advertisements

IUT– Network Security Course 1 Network Security Firewalls.
1 Topic 2 – Lesson 4 Packet Filtering Part I. 2 Basic Questions What is packet filtering? What is packet filtering? What elements are inside an IP header?
Intro To Secure Comm. Exercise 7. Solution (review of last lesson) Assuming  CEO1:  CEO2: Use both transport mode and tunnel mode IPSec.
Network Security. Reasons to attack Steal information Modify information Deny service (DoS)
הגנה במערכות מתוכנתות חורף תשס"ד הרצאה 7 Firewalls ספרות : Chapman, Zwicki. Building Internet Firewalls. O’Reilly, Cheswick, Bellovin. Firewalls.
Firewalls and Intrusion Detection Systems
תרגול 8.5 – מודל השכבות, מבוא ל-TCP/IP
Controlling access with packet filters and firewalls.
חורף - תשס " ג DBMS, Design1 שימור תלויות אינטואיציה : כל תלות פונקציונלית שהתקיימה בסכמה המקורית מתקיימת גם בסכמה המפורקת. מטרה : כאשר מעדכנים.
Standard, Extended and Named ACL.  In this lesson, you will learn: ◦ Purpose of ACLs  Its application to an enterprise network ◦ How ACLs are used to.
1 Some TCP/IP Basics....NFSDNSTELNETSMTPFTP UDPTCP IP and ICMP Ethernet, serial line,..etc. Application Layer Transport Layer Network Layer Low-level &
הגנה במערכות מתוכנתות תרגול 12 – אבטחה ברמת ה-IP – IPsec הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה בלבד.
הגנה במערכות מתוכנתות תרגול 10 – חומות אש – Firewalls הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה בלבד.
FIREWALLS & NETWORK SECURITY with Intrusion Detection and VPNs, 2 nd ed. 6 Packet Filtering By Whitman, Mattord, & Austin© 2008 Course Technology.
1 Spring Semester 2007, Dept. of Computer Science, Technion Internet Networking recitation #3 Internet Control Message Protocol (ICMP)
1 Lecture 20: Firewalls motivation ingredients –packet filters –application gateways –bastion hosts and DMZ example firewall design using firewalls – virtual.
1 Figure 5-4: Drivers of Performance Requirements: Traffic Volume and Complexity of Filtering Performance Requirements Traffic Volume (Packets per Second)
_______________________________________________________________________________________________________________ E-Commerce: Fundamentals and Applications1.
Packet Filtering. 2 Objectives Describe packets and packet filtering Explain the approaches to packet filtering Recommend specific filtering rules.
Why do we need Firewalls? Internet connectivity is a must for most people and organizations  especially for me But a convenient Internet connectivity.
FIREWALL Mạng máy tính nâng cao-V1.
January 2009Prof. Reuven Aviv: Firewalls1 Firewalls.
Chapter 6: Packet Filtering
Firewalls A note on the use of these ppt slides:
1 Firewalls Types of Firewalls Inspection Methods  Static Packet Inspection  Stateful Packet Inspection  NAT  Application Firewalls Firewall Architecture.
_______________________________________________________________________________________________________________ E-Commerce: Fundamentals and Applications1.
Internet and Intranet Fundamentals Class 9 Session A.
Transmission Control Protocol TCP. Transport layer function.
Packet Filtering Chapter 4. Learning Objectives Understand packets and packet filtering Understand approaches to packet filtering Set specific filtering.
1 Firewalls G53ACC Chris Greenhalgh. 2 Contents l Attacks l Principles l Simple filters l Full firewall l Books: Comer ch
TCP/IP Protocols Contains Five Layers
Firewall – Survey Purpose of a Firewall – To allow ‘proper’ traffic and discard all other traffic Characteristic of a firewall – All traffic must go through.
Network Security. 2 SECURITY REQUIREMENTS Privacy (Confidentiality) Data only be accessible by authorized parties Authenticity A host or service be able.
© 2006 Cisco Systems, Inc. All rights reserved. Cisco IOS Threat Defense Features.
CIT 384: Network AdministrationSlide #1 CIT 384: Network Administration Access Lists.
1 Firewalls Types of Firewalls Inspection Methods  Static Packet Inspection  Stateful Packet Inspection  NAT  Application Firewalls Firewall Architecture.
Network Security Part III: Security Appliances Firewalls.
Karlstad University Firewall Ge Zhang. Karlstad University A typical network topology Threats example –Back door –Port scanning –…–…
Firewalls and proxies Unit objectives
Costs and Filters Dr. Avi Rosenfeld Department of Industrial Engineering Jerusalem College of Technology
Security fundamentals Topic 10 Securing the network perimeter.
Chapter 8 Network Security Thanks and enjoy! JFK/KWR All material copyright J.F Kurose and K.W. Ross, All Rights Reserved Computer Networking:
Firewall Matthew Prestifilippo, Bill Kazmierski, Pat Sparrow.
1 An Introduction to Internet Firewalls Dr. Rocky K. C. Chang 12 April 2007.
Polytechnic University Firewall and Trusted Systems Presented by, Lekshmi. V. S cos
Security fundamentals
Executive Director and Endowed Chair
CIS 6930 Report Presentation Schedule
CCENT Study Guide Chapter 12 Security.
Why do we need Firewalls?
Firewalls.
Firewall – Survey Purpose of a Firewall Characteristic of a firewall
6.6 Firewalls Packet Filter (=filtering router)
Lecture # 7 Firewalls الجدر النارية. Lecture # 7 Firewalls الجدر النارية.
תקשורת ומחשוב תרגול 1 IP, Classes and Masks.
Firewalls (March 2, 2016) © Abdou Illia – Spring 2016.
עבודה עם נתונים באמצעות ADO.NET
Access Control Lists CCNA 2 v3 – Module 11
Firewalls Purpose of a Firewall Characteristic of a firewall
Firewalls אבטחת מחשבים ורשתות תקשורת.
תרגול 11 – אבטחה ברמת ה-IP – IPsec
תוכנה 1 תרגול 13 – סיכום.
POOJA Programmer, CSE Department
Firewalls Jiang Long Spring 2002.
دیواره ی آتش.
Firewalls Chapter 8.
46 to 1500 bytes TYPE CODE CHECKSUM IDENTIFIER SEQUENCE NUMBER OPTIONAL DATA ICMP Echo message.
Computer Networks Protocols
Session 20 INST 346 Technologies, Infrastructure and Architecture
Presentation transcript:

תרגול 10 – חומות אש – Firewalls הגנה במערכות מתוכנתות תרגול 10 – חומות אש – Firewalls

הגנה במערכות מתוכנתות - תרגול 10 חומות אש המטרה: הגנה על תקשורת בין רשתות Stateless Packet Filtering Firewalls Stateful Packet Filtering Firewalls (סינון חבילות דינמי) Proxy Servers “Choke point” (c) אריק פרידמן 2007 הגנה במערכות מתוכנתות - תרגול 10

Stateless Packet Filtering Firewalls מבצע סינון של החבילות על סמך ה-headers מדיניות ההגנה מוגדרת באמצעות טבלת חוקים סטטית IP Address wildcard (132.64.*.*) “any” TCP UDP IPSec,… port number port range “any” “yes” “no” “any” “in” “out” “permit” “deny” Action ACK Destination Port Source Next Protocol Address Direction Rule מתוך ה-IP Header מתוך ה- TCP/UDP Header מתוך TCP (c) אריק פרידמן 2007 הגנה במערכות מתוכנתות - תרגול 10

Stateless Packet Filtering Firewalls בהגעת חבילה מחפשים את השורה הראשונה המתאימה בסוף הטבלה תמיד נכתוב בסוף הטבלה שורה מהצורה any,any,…,any,deny דגשים בד"כ יש שתי שורות עבור כל כלל עקרון מזעור הזכויות חשיבות השדה ACK איזה צד יכול ליזום session (c) אריק פרידמן 2007 הגנה במערכות מתוכנתות - תרגול 10

Stateless Packet Filtering Firewalls בהגעת חבילה מחפשים את השורה הראשונה המתאימה בסוף הטבלה תמיד נכתוב בסוף הטבלה שורה מהצורה any,any,…,any,deny דגשים בד"כ יש שתי שורות עבור כל כלל עקרון מזעור הזכויות חשיבות השדה ACK איזה צד יכול ליזום session (c) אריק פרידמן 2007 הגנה במערכות מתוכנתות - תרגול 10

הגנה במערכות מתוכנתות - תרגול 10 דוגמה – הגנה על NET1 מדיניות ההגנה הנדרשת לכל המחשבים ב-NET1 פרט למחשב a מותר לבצע telnet לכל מחשב באינטרנט. לכל המחשבים באינטרנט מותר לבצע http למחשב מיוחד ב-NET1 ששמו WS. כל היתר אסור. NET1 a WS Internet (c) אריק פרידמן 2007 הגנה במערכות מתוכנתות - תרגול 10

הגנה במערכות מתוכנתות - תרגול 10 דוגמה – הטבלה המתקבלת Action ACK Destination Port Source Next Protocol Address Direction Rule deny any NET1 in spoof 23 >1023 TCP a out no-a-telnet1 no-a-telnet2 permit telnet1 yes telnet2 80 WS http1 http2 default רשימה מלאה של אפליקציות ומספר הפורטים שהוקצו להן ניתן למצוא ב: http://www.iana.org/assignments/port-numbers (c) אריק פרידמן 2007 הגנה במערכות מתוכנתות - תרגול 10

FTP – File Transfer Protocol משתמש בשני sessions Command Session – לשליחת פקודות (get, put, ls, ...) Data Session – להעברת קבצים גרסה רגילה – Active Mode Client Server y>1023 x>1023 21 20 port y get a.exe Command Session a.exe Data Session (c) אריק פרידמן 2007 הגנה במערכות מתוכנתות - תרגול 10

הגנה במערכות מתוכנתות - תרגול 10 עדכון ה-Firewall: Action ACK Destination Port Source Next Protocol Address Direction Rule permit any 21 >1023 TCP NET1 out ftp_com_1 yes in ftp_com_2 20 ftp_act_1 Permit ftp_act_2 בעיה: בד"כ לא נרצה לאפשר ליזום קשר מבחוץ אל מחשבים ברשת הפרטית. פתרון: גרסת FTP "ידידותית" ל-Firewalls (c) אריק פרידמן 2007 הגנה במערכות מתוכנתות - תרגול 10

הגנה במערכות מתוכנתות - תרגול 10 FTP – Passive Mode Client Server y>1023 x>1023 21 z>1023 PASV port z get a.exe Command Session open a.exe Data Session (c) אריק פרידמן 2007 הגנה במערכות מתוכנתות - תרגול 10

הגנה במערכות מתוכנתות - תרגול 10 עדכון ה-Firewall: Action ACK Destination Port Source Next Protocol Address Direction Rule permit any 21 >1023 TCP NET1 out ftp_com_1 yes in ftp_com_2 Any ftp_psv_1 Yes In ftp_psv_2 (c) אריק פרידמן 2007 הגנה במערכות מתוכנתות - תרגול 10

תכונות של Stateless PF Firewall חוסר זכרון שקיפות למשתמשים ברשת דורש קונפיגורציה של ה-Firewall מהיר (בדיקה מאוד פשוטה) (c) אריק פרידמן 2007 הגנה במערכות מתוכנתות - תרגול 10

מגבלות של Stateless PF Firewall חוסר זכרון תוקף יכול ליצור עומס על הרשת ההחלטות מבוססות על שכבות IP ו-TCP/UDP בלבד אפשר לעקוף ע"י שימוש בפורטים שאינם חסומים פתרון: Stateful Packet Filtering Firewall שני סוגי חוקים: סטטיים ודינאמיים. (c) אריק פרידמן 2007 הגנה במערכות מתוכנתות - תרגול 10

Stateful Packet Firewall עבור פרוטוקול FTP Active-Mode Action ACK Destination Port Source Next Protocol Address Direction Rule permit no 21 >1023 TCP any NET1 out ftp_com_1 yes x client server in ftp_com_2 ftp_com_3 20 ftp_act_1 Permit y ftp_act_2 Action ACK Destination Port Source Next Protocol Address Direction Rule permit no 21 >1023 TCP any NET1 out ftp_com_1 y x 21 20 port y Server Client get a.exe a.exe (c) אריק פרידמן 2007 הגנה במערכות מתוכנתות - תרגול 10

Stateful Inspection Firewalls בוחנים מידע המועבר ברמת האפליקציה בנוסף למידע ברמת שכבות הרשת והתובלה לדוגמה – פתרון עבור FTP ה-Firewall מזהה את פורט z אליו ייפתח ה-Data Session, ויוסיף את השורות הדינאמיות המתאימות. מניעת ניצול פורטים פתוחים לתקשורת אסורה. ה-Firewall צריך להכיר כל אחד מהפרוטוקולים עליהם הוא מעוניין להגן. (c) אריק פרידמן 2007 הגנה במערכות מתוכנתות - תרגול 10

סיכום - Stateful לעומת Stateless החלטות דינאמיות, תלויות בחבילות קודמות אבל גם מהירות נמוכה יותר... פתח להתקפות Denial of Service (c) אריק פרידמן 2007 הגנה במערכות מתוכנתות - תרגול 10

הגנה במערכות מתוכנתות - תרגול 10 Proxy Servers מגבלה של ה-Firewalls שראינו: לא בודקים את כל המידע בשכבת האפליקציה האם קובץ עם סיומת jpg שהועבר ב-FTP הוא באמת תמונה? הפעלת אנטי וירוס על מידע שעובר. דורש מספיק חבילות כדי לקבל החלטות. מענה: Proxy Server "מתווך" בין המחשבים ברשת לבין מחשבים חיצוניים. (c) אריק פרידמן 2007 הגנה במערכות מתוכנתות - תרגול 10

הגנה במערכות מתוכנתות - תרגול 10 איך זה נראה? Internet Server >1023 8023 1’st session 2’nd session 23 Telnet Proxy Client כל Proxy Server יגן על אפליקציה יחידה. (c) אריק פרידמן 2007 הגנה במערכות מתוכנתות - תרגול 10

מה proxy server יכול לעשות? לחכות למספיק חבילות כדי להחליט מה לעשות. להעביר את המידע, לזרוק אותו, לשנות אותו. אימות של המשתמש. למנוע ממשתמשים מסוימים שירותים מה-Proxy Server. להפעיל אנטי-וירוס. בקרה על זרימת המידע. בגלל איטיותם מתקינים אותם על מחשב בתוך רשת הארגון. (c) אריק פרידמן 2007 הגנה במערכות מתוכנתות - תרגול 10

הגנה במערכות מתוכנתות - תרגול 10 תכונות של Proxy Server בעל זכרון אין שקיפות למשתמשים ברשת קונפיגורציה לא מסובכת לא כל כך מהיר (c) אריק פרידמן 2007 הגנה במערכות מתוכנתות - תרגול 10

הגנה במערכות מתוכנתות - תרגול 10 התצורה המקובלת מגדירים אזור מפורז (DMZ – Demilitarized Zone) מפריד בין הרשת הפנימית לחיצונית יוצבו בו המחשבים הדורשים תקשורת לשאר העולם שרתי Web שרתי Proxy (c) אריק פרידמן 2007 הגנה במערכות מתוכנתות - תרגול 10

הגנה במערכות מתוכנתות - תרגול 10 DMZ External Router (P.F. 2) Internet Internal Router (P.F. 1) Private Network A Bastion Host (Proxy Servers) Web Server DMZ (c) אריק פרידמן 2007 הגנה במערכות מתוכנתות - תרגול 10

הגנה במערכות מתוכנתות - תרגול 10 דוגמה רוצים לאפשר telnet מ-A החוצה, ושכל קשרי ה-telnet ישתמשו ב-Telnet Proxy Server. Internal Router (P.F 1) Action ACK Destination Port Source Next Protocol Address Direction Rule deny any A in spoof permit 23 >1023 TCP Bastion Host out telnet1 yes telnet2 (c) אריק פרידמן 2007 הגנה במערכות מתוכנתות - תרגול 10

הגנה במערכות מתוכנתות - תרגול 10 דוגמה - המשך רוצים לאפשר telnet מ-A החוצה, ושכל קשרי ה-telnet ישתמשו ב-Telnet Proxy Server. External Router (P.F 2) Action ACK Destination Port Source Next Protocol Address Direction Rule deny any A in spoof1 DMZ spoof2 permit 23 >1023 TCP Bastion Host out telnet1 yes telnet2 Any (c) אריק פרידמן 2007 הגנה במערכות מתוכנתות - תרגול 10