הגנה במערכות מתוכנתות תרגול 10 – חומות אש – Firewalls הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה בלבד.

Slides:

Advertisements

Similar presentations

1 Topic 2 – Lesson 4 Packet Filtering Part I. 2 Basic Questions What is packet filtering? What is packet filtering? What elements are inside an IP header?

Advertisements

Intro To Secure Comm. Exercise 7. Solution (review of last lesson) Assuming  CEO1:  CEO2: Use both transport mode and tunnel mode IPSec.

הגנה במערכות מתוכנתות חורף תשס"ד הרצאה 7 Firewalls ספרות : Chapman, Zwicki. Building Internet Firewalls. O’Reilly, Cheswick, Bellovin. Firewalls.

Firewalls and Intrusion Detection Systems

תרגול 8.5 – מודל השכבות, מבוא ל-TCP/IP

חורף - תשס " ג DBMS, Design1 שימור תלויות אינטואיציה : כל תלות פונקציונלית שהתקיימה בסכמה המקורית מתקיימת גם בסכמה המפורקת. מטרה : כאשר מעדכנים.

Standard, Extended and Named ACL.  In this lesson, you will learn: ◦ Purpose of ACLs  Its application to an enterprise network ◦ How ACLs are used to.

הגנה במערכות מתוכנתות תרגול 1 – המחשב האישי הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה בלבד.

1 Some TCP/IP Basics....NFSDNSTELNETSMTPFTP UDPTCP IP and ICMP Ethernet, serial line,..etc. Application Layer Transport Layer Network Layer Low-level &

Intro To Secure Comm. Exercise 6. Problem A vendor wishes to incorporate the following:  Upon any login/change the vendor updates the cookie Cookie(SessionTime||{Item||Price})

Formal Specifications for Complex Systems (236368) Tutorial #6 appendix Statecharts vs. Raphsody 7 (theory vs. practice)

1 Application TCPUDP IPICMPARPRARP Physical network Application TCP/IP Protocol Suite.

הגנה במערכות מתוכנתות תרגול 12 – אבטחה ברמת ה-IP – IPsec הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה בלבד.

Institute of Technology Sligo - Dept of Computing Semester 2 Chapter 9 The TCP/IP Protocol Suite Paul Flynn.

TCP. Learning objectives Reliable Transport in TCP TCP flow and Congestion Control.

FIREWALLS & NETWORK SECURITY with Intrusion Detection and VPNs, 2 nd ed. 6 Packet Filtering By Whitman, Mattord, & Austin© 2008 Course Technology.

Chapter 2 Networking Overview. Figure 2.1 Generic protocol layers move data between systems.

1 Spring Semester 2007, Dept. of Computer Science, Technion Internet Networking recitation #3 Internet Control Message Protocol (ICMP)

Transport Layer TCP and UDP IS250 Spring 2010

1 Lecture 20: Firewalls motivation ingredients –packet filters –application gateways –bastion hosts and DMZ example firewall design using firewalls – virtual.

Microsoft Windows Server 2003 TCP/IP Protocols and Services Technical Reference Slide: 1 Lesson 12 Transmission Control Protocol (TCP) Basics.

CS 350 Chapter-6. A brief history of TCP/IP 1983 TCP/IP came to ARPAnet ARPAnet and MILNET dissolved in 1990 BSD UNIX.

1 Figure 5-4: Drivers of Performance Requirements: Traffic Volume and Complexity of Filtering Performance Requirements Traffic Volume (Packets per Second)

_______________________________________________________________________________________________________________ E-Commerce: Fundamentals and Applications1.

Packet Filtering. 2 Objectives Describe packets and packet filtering Explain the approaches to packet filtering Recommend specific filtering rules.

Why do we need Firewalls? Internet connectivity is a must for most people and organizations  especially for me But a convenient Internet connectivity.

FIREWALL Mạng máy tính nâng cao-V1.

January 2009Prof. Reuven Aviv: Firewalls1 Firewalls.

Chapter 6: Packet Filtering

Chabot College ELEC Ports (Layer 4).

Chapter 4 TCP/IP Overview Connecting People To Information.

_______________________________________________________________________________________________________________ E-Commerce: Fundamentals and Applications1.

1 LAN Protocols (Week 3, Wednesday 9/10/2003) © Abdou Illia, Fall 2003.

Transmission Control Protocol TCP. Transport layer function.

Packet Filtering Chapter 4. Learning Objectives Understand packets and packet filtering Understand approaches to packet filtering Set specific filtering.

1 © 2004, Cisco Systems, Inc. All rights reserved. Chapter 9 Intermediate TCP/IP/ Access Control Lists (ACLs)

© Introduction to Internetworking – Alex Kooijman 04/04/2000 Introduction to internetworking Part Two.

1 Firewalls G53ACC Chris Greenhalgh. 2 Contents l Attacks l Principles l Simple filters l Full firewall l Books: Comer ch

TCP/IP Protocols Contains Five Layers

CCNA 1 v3.0 Module 11 TCP/IP Transport and Application Layers.

© 2006 Cisco Systems, Inc. All rights reserved. Cisco IOS Threat Defense Features.

Networked Graphics Building Networked Virtual Environments and Networked Games Chapter 3: Overview of the Internet.

Internet Protocol Formats. IP (V4) Packet byte 0 byte1 byte 2 byte 3 data... – up to 65 K including heading info Version IHL Serv. Type Total Length Identifcation.

1 Introduction to TCP/IP. 2 OSI and Protocol Stack OSI: Open Systems Interconnect OSI ModelTCP/IP HierarchyProtocols 7 th Application Layer 6 th Presentation.

FTP File Transfer Protocol Graeme Strachan. Agenda  An Overview  A Demonstration  An Activity.

Firewalls and proxies Unit objectives

Costs and Filters Dr. Avi Rosenfeld Department of Industrial Engineering Jerusalem College of Technology

Chapter 8 Network Security Thanks and enjoy! JFK/KWR All material copyright J.F Kurose and K.W. Ross, All Rights Reserved Computer Networking:

1 Figure 3-13: Internet Protocol (IP) IP Addresses and Security  IP address spoofing: Sending a message with a false IP address (Figure 3-17)  Gives.

VersionIHLTotal Length FlagsIdentificationFragment Offset Time To Live Destination Address OptionsPadding Protocol = 6 Type of Service IP Header TCP Destination.

McGraw-Hill©2003 The McGraw-Hill Companies, Inc. Chapter 3 Transport Layer.

Executive Director and Endowed Chair

Transport Protocols Relates to Lab 5. An overview of the transport protocols of the TCP/IP protocol suite. Also, a short discussion of UDP.

CCENT Study Guide Chapter 12 Security.

Introduction to TCP/IP

TCP/IP Internetworking

Firewall – Survey Purpose of a Firewall Characteristic of a firewall

TCP/IP Internetworking

Overview of Networking & Operating System Security

6.6 Firewalls Packet Filter (=filtering router)

תקשורת ומחשוב תרגול 1 IP, Classes and Masks.

תרגול 10 – חומות אש – Firewalls

עבודה עם נתונים באמצעות ADO.NET

Firewalls Purpose of a Firewall Characteristic of a firewall

תרגול 11 – אבטחה ברמת ה-IP – IPsec

What does this packet do?

46 to 1500 bytes TYPE CODE CHECKSUM IDENTIFIER SEQUENCE NUMBER OPTIONAL DATA ICMP Echo message.

Session 20 INST 346 Technologies, Infrastructure and Architecture

Electrical Communications Systems ECE

Presentation transcript:

הגנה במערכות מתוכנתות תרגול 10 – חומות אש – Firewalls הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה בלבד.

הגנה במערכות מתוכנתות - תרגול 102 (c) אריק פרידמן 2007 חומות אש המטרה: הגנה על תקשורת בין רשתות  Stateless Packet Filtering Firewalls  Stateful Packet Filtering Firewalls (סינון חבילות דינמי)  Proxy Servers “Choke point”

הגנה במערכות מתוכנתות - תרגול 103 (c) אריק פרידמן 2007 תזכורת – IP Header 32 bits IP Packet Destination Address Identification VerH.LenToSTotal Length FlagsFragment Offset Source Address Time to LiveProtocolHeader Checksum OptionsPadding Data (upper layers) Header

הגנה במערכות מתוכנתות - תרגול 104 (c) אריק פרידמן 2007 תזכורת – UDP Header UDP Packet 32 bits Data (upper layers) Source PortDestination Port ChecksumLength Header

הגנה במערכות מתוכנתות - תרגול 105 (c) אריק פרידמן 2007 תזכורת – TCP Header Ack 32 bits TCP Packet Window Sequence Number Acknowledgement Number Source PortDestination Port Urgent PointerChecksum H. LenReservedFlags Options Data (upper layers) Padding Header

הגנה במערכות מתוכנתות - תרגול 106 (c) אריק פרידמן 2007 מתוך ה- TCP/UPD Header Stateless Packet Filtering Firewalls מבצע סינון של החבילות על סמך ה-headers  מדיניות ההגנה מוגדרת באמצעות טבלת חוקים סטטית ActionACKDestination Port Source Port Next Protocol Destination Address Source Address DirectionRule מתוך ה-IP Header מתוך TCP “in” “out” IP Address wildcard ( *.*) “any” TCP UDP IPSec,… port number port range “any” “yes” “no” “any” “permit” “deny”

הגנה במערכות מתוכנתות - תרגול 107 (c) אריק פרידמן 2007 Stateless Packet Filtering Firewalls בהגעת חבילה מחפשים את השורה הראשונה המתאימה  בסוף הטבלה תמיד נכתוב בסוף הטבלה שורה מהצורה any,any,…,any,deny דגשים  בד"כ יש שתי שורות עבור כל כלל  עקרון מזעור הזכויות  חשיבות השדה ACK איזה צד יכול ליזום session

הגנה במערכות מתוכנתות - תרגול 108 (c) אריק פרידמן 2007 דוגמה – הגנה על NET1 מדיניות ההגנה הנדרשת  לכל המחשבים ב-NET1 פרט למחשב a מותר לבצע telnet לכל מחשב באינטרנט.  לכל המחשבים באינטרנט מותר לבצע http למחשב מיוחד ב- NET1 ששמו WS.  כל היתר אסור. NET1 a WS Internet

הגנה במערכות מתוכנתות - תרגול 109 (c) אריק פרידמן 2007 דוגמה – הטבלה המתקבלת ActionACKDestination Port Source Port Next Protocol Destination Address Source Address DirectionRule denyany NET1inspoof denyany23>1023TCPanyaoutno-a-telnet1 denyany>102323TCPaanyinno-a-telnet2 permitany23>1023TCPanyNET1outtelnet1 permityes>102323TCPNET1anyintelnet2 permitany80>1023TCPWSanyinhttp1 permityes>102380TCPanyWSouthttp2 denyany רשימה מלאה של אפליקציות ומספר הפורטים שהוקצו להן ניתן למצוא ב:

הגנה במערכות מתוכנתות - תרגול 1010 (c) אריק פרידמן 2007 FTP – File Transfer Protocol משתמש בשני sessions  Command Session – לשליחת פקודות (get, put, ls,...)  Data Session – להעברת קבצים גרסה רגילה – Active Mode Client Server Command Session port y get a.exe y>1023x> a.exe Data Session

הגנה במערכות מתוכנתות - תרגול 1011 (c) אריק פרידמן 2007 עדכון ה-Firewall: ActionACKDestination Port Source Port Next Protocol Destination Address Source Address DirectionRule permitany21>1023TCPanyNET1outftp_com_1 permityes>102321TCPNET1anyinftp_com_2 permitany>102320TCPNET1anyinftp_act_1 Permityes20>1023TCPanyNET1outftp_act_2 בעיה:  בד"כ לא נרצה לאפשר ליזום קשר מבחוץ אל מחשבים ברשת הפרטית. פתרון:  גרסת FTP "ידידותית" ל-Firewalls

הגנה במערכות מתוכנתות - תרגול 1012 (c) אריק פרידמן 2007 FTP – Passive Mode Client Server Command Session PASV get a.exe y>1023x>102321z>1023 open Data Session port z a.exe

הגנה במערכות מתוכנתות - תרגול 1013 (c) אריק פרידמן 2007 עדכון ה-Firewall: ActionACKDestination Port Source Port Next Protocol Destination Address Source Address DirectionRule permitany21>1023TCPanyNET1outftp_com_1 permityes>102321TCPNET1anyinftp_com_2 permitany>1023 TCPAnyNET1outftp_psv_1 permitYes>1023 TCPNET1anyInftp_psv_2

הגנה במערכות מתוכנתות - תרגול 1014 (c) אריק פרידמן 2007 תכונות של Stateless PF Firewall חוסר זכרון שקיפות למשתמשים ברשת דורש קונפיגורציה של ה-Firewall מהיר (בדיקה מאוד פשוטה)

הגנה במערכות מתוכנתות - תרגול 1015 (c) אריק פרידמן 2007 מגבלות של Stateless PF Firewall חוסר זכרון  תוקף יכול ליצור עומס על הרשת ההחלטות מבוססות על שכבות IP ו-TCP/UDP בלבד  אפשר לעקוף ע"י שימוש בפורטים שאינם חסומים פתרון: Stateful Packet Filtering Firewall שני סוגי חוקים: סטטיים ודינאמיים.

הגנה במערכות מתוכנתות - תרגול 1016 (c) אריק פרידמן 2007 בחזרה לדוגמה – הגנה על NET1 הפעם נניח Firewall מסוג Stateful Packet Filtering מטעמי פשטות נניח שלכלל המשתמשים ברשת (גם a) מותר לבצע telnet לכל מחשב באינטרנט NET1 a WS Internet

הגנה במערכות מתוכנתות - תרגול 1017 (c) אריק פרידמן 2007 דוגמה – הטבלה המתקבלת ActionACKDestination Port Source Port Next Protocol Destination Address Source Address DirectionRule permityes231057TCPwaouttelnet1 permityes105723TCPawintelnet2 ActionACKDestination Port Source Port Next Protocol Destination Address Source Address DirectionRule permitno23>1023TCPanyNET1outtelnet נרשום בטבלה את השורה הסטטית הבאה: כשמשתמש a מ-NET1 רוצה להתחבר לשרת ה-telnet של מחשב w באינטרנט, מתווספות לטבלה שורות דינאמיות: השורות יוסרו לאחר סגירת הקשר (במקרה של UDP – לאחר timeout)

הגנה במערכות מתוכנתות - תרגול 1018 (c) אריק פרידמן 2007 Stateful Inspection Firewalls בוחנים מידע המועבר ברמת האפליקציה  בנוסף למידע ברמת שכבות הרשת והתובלה לדוגמה – פתרון עבור FTP  ה-Firewall מזהה את פורט z אליו ייפתח ה-Data Session, ויוסיף את השורות הדינאמיות המתאימות. מניעת ניצול פורטים פתוחים לתקשורת אסורה. ה-Firewall צריך להכיר כל אחד מהפרוטוקולים עליהם הוא מעוניין להגן.

הגנה במערכות מתוכנתות - תרגול 1019 (c) אריק פרידמן 2007 סיכום - Stateful לעומת Stateless ל-Stateful יש זיכרון  החלטות דינאמיות, תלויות בחבילות קודמות אבל גם מהירות נמוכה יותר...  פתח להתקפות Denial of Service

הגנה במערכות מתוכנתות - תרגול 1020 (c) אריק פרידמן 2007 Proxy Servers מגבלה של ה-Firewalls שראינו: לא בודקים את כל המידע בשכבת האפליקציה  האם קובץ עם סיומת jpg שהועבר ב-FTP הוא באמת תמונה?  הפעלת אנטי וירוס על מידע שעובר.  דורש מספיק חבילות כדי לקבל החלטות. מענה: Proxy Server  "מתווך" בין המחשבים ברשת לבין מחשבים חיצוניים.

הגנה במערכות מתוכנתות - תרגול 1021 (c) אריק פרידמן 2007 איך זה נראה? כל Proxy Server יגן על אפליקציה יחידה. Internet Server > ’st session 2’nd session > Telnet Proxy Client

הגנה במערכות מתוכנתות - תרגול 1022 (c) אריק פרידמן 2007 מה proxy server יכול לעשות? לחכות למספיק חבילות כדי להחליט מה לעשות. להעביר את המידע, לזרוק אותו, לשנות אותו. אימות של המשתמש. למנוע ממשתמשים מסוימים שירותים מה-Proxy Server. להפעיל אנטי-וירוס. בקרה על זרימת המידע. בגלל איטיותם מתקינים אותם על מחשב בתוך רשת הארגון.

הגנה במערכות מתוכנתות - תרגול 1023 (c) אריק פרידמן 2007 תכונות של Proxy Server בעל זכרון אין שקיפות למשתמשים ברשת קונפיגורציה לא מסובכת לא כל כך מהיר

הגנה במערכות מתוכנתות - תרגול 1024 (c) אריק פרידמן 2007 התצורה המקובלת מגדירים אזור מפורז (DMZ – Demilitarized Zone)  מפריד בין הרשת הפנימית לחיצונית  יוצבו בו המחשבים הדורשים תקשורת לשאר העולם שרתי Web שרתי Proxy

הגנה במערכות מתוכנתות - תרגול 1025 (c) אריק פרידמן 2007 DMZ External Router (P.F. 2) Internet Internal Router (P.F. 1) Private Network A Bastion Host (Proxy Servers) Web Server DMZ

הגנה במערכות מתוכנתות - תרגול 1026 (c) אריק פרידמן 2007 דוגמה ActionACKDestination Port Source Port Next Protocol Destination Address Source Address DirectionRule denyany Ainspoof permitany23>1023TCPBastion HostAouttelnet1 permityes>102323TCPABastion Hostintelnet2 denyany רוצים לאפשר telnet מ-A החוצה, ושכל קשרי ה-telnet ישתמשו ב-Telnet Proxy Server. Internal Router (P.F 1)

הגנה במערכות מתוכנתות - תרגול 1027 (c) אריק פרידמן 2007 דוגמה - המשך ActionACKDestination Port Source Port Next Protocol Destination Address Source Address DirectionRule denyany Ainspoof1 denyany DMZinspoof2 permitany23>1023TCPanyBastion Hostouttelnet1 permityes>102323TCPBastion Hostanyintelnet2 denyany Anyany רוצים לאפשר telnet מ-A החוצה, ושכל קשרי ה-telnet ישתמשו ב-Telnet Proxy Server. External Router (P.F 2)