Bezpečnosť v počítačových sieťach Lucia Kapová Martin Vozár.

Slides:



Advertisements
Similar presentations
IP Security have considered some application specific security mechanisms –eg. S/MIME, PGP, Kerberos, SSL/HTTPS however there are security concerns that.
Advertisements

Spring 2012: CS419 Computer Security Vinod Ganapathy SSL, etc.
Socket Layer Security. In this Presentation: need for web security SSL/TLS transport layer security protocols HTTPS secure shell (SSH)
Working Connection Computer and Network Security - SSL, IPsec, Firewalls – (Chapter 17, 18, 19, and 23)
BASIC CRYPTOGRAPHY CONCEPT. Secure Socket Layer (SSL)  SSL was first used by Netscape.  To ensure security of data sent through HTTP, LDAP or POP3.
Network Security. Reasons to attack Steal information Modify information Deny service (DoS)
McGraw-Hill © ©The McGraw-Hill Companies, Inc., 2004 Chapter 31 Security Protocols in the Internet.
ECE 454/CS 594 Computer and Network Security Dr. Jinyuan (Stella) Sun Dept. of Electrical Engineering and Computer Science University of Tennessee Fall.
Chapters 8 Network Security Professor Rick Han University of Colorado at Boulder
Guide to Network Defense and Countermeasures Second Edition
TCP/IP Protocol Suite 1 Copyright © The McGraw-Hill Companies, Inc. Permission required for reproduction or display. Chapter 30 Internet Security.
K. Salah 1 Chapter 31 Security in the Internet. K. Salah 2 Figure 31.5 Position of TLS Transport Layer Security (TLS) was designed to provide security.
1 IP Security Outline of the session –IP Security Overview –IP Security Architecture –Key Management Based on slides by Dr. Lawrie Brown of the Australian.
Securing TCP/IP Chapter 6. Introduction to Transmission Control Protocol/Internet Protocol (TCP/IP) TCP/IP comprises a suite of four protocols The protocols.
1 Pertemuan 11 IPSec dan SSL Matakuliah: H0242 / Keamanan Jaringan Tahun: 2006 Versi: 1.
Chapter 6 IP Security. Outline Internetworking and Internet Protocols (Appendix 6A) IP Security Overview IP Security Architecture Authentication Header.
Chapter 2 Networking Overview. Figure 2.1 Generic protocol layers move data between systems.
K. Salah1 Security Protocols in the Internet IPSec.
Network Security Philadelphia UniversitylAhmad Al-Ghoul Module 12 Module 12 Virtual Private Networks  MModified by :Ahmad Al Ghoul  PPhiladelphia.
1 Chapter 6 Network Security Threats. 2 Objectives In this chapter, you will: Learn how to defend against packet sniffers Understand the TCP, UDP, and.
_______________________________________________________________________________________________________________ E-Commerce: Fundamentals and Applications1.
Computer Security: Principles and Practice First Edition by William Stallings and Lawrie Brown Lecture slides by Lawrie Brown Chapter 21 – Internet Security.
SYSTEM ADMINISTRATION Chapter 13 Security Protocols.
Network Security7-1 Today r Collect Ch6 HW r Assign Ch7 HW m Ch7 #2,3,4,5,7,9,10,12 m Due Wednesday Nov 19 r Continue with Chapter 7 (Security)
CHAPTER 2 PCs on the Internet Suraya Alias. The TCP/IP Suite of Protocols Internet applications – client/server applications The client requested data.
1. Collision domains are unsecure 2. The employees often need to remote access to corporate network resources  The Internet traffic is much more vulnerable.
Secure connections.
Computer Net Lab/Praktikum Datenverarbeitung 2 1 Overview VPN VPN requirements Encryption VPN-Types Protocols VPN and Firewalls.
Network Protocols. Why Protocols?  Rules and procedures to govern communication Some for transferring data Some for transferring data Some for route.
32.1 Chapter 32 Security in the Internet: IPSec, SSL/TLS, PGP, VPN, and Firewalls Copyright © The McGraw-Hill Companies, Inc. Permission required for reproduction.
WAN Technologies Dial-up modem connections
每时每刻 可信安全 1The two most common implementations of Intrusion Detection are which of the following? A Netware-based and Host-based. B Network-based and Guest-based.
Secure Socket Layer (SSL)
1 Defining Network Security Security is prevention of unwanted information transfer What are the components? –...Physical Security –…Operational Security.
Internet Security - Farkas1 CSCE 813 Midterm Topics Overview.
1 Chapter 8 Panko, Corporate Computer and Network Security Copyright 2004 Prentice-Hall Cryptographic Systems: SSL/TLS, VPNs, and Kerberos.
1 Chapter 8 Copyright 2003 Prentice-Hall Cryptographic Systems: SSL/TLS, VPNs, and Kerberos.
ECE Prof. John A. Copeland fax Office: GCATT.
CIT 384: Network AdministrationSlide #1 CIT 384: Network Administration VPNs.
Cosc 4765 SSL/TLS and VPN. SSL and TLS We can apply this generally, but also from a prospective of web services. Multi-layered: –S-http (secure http),
_______________________________________________________________________________________________________________ E-Commerce: Fundamentals and Applications1.
Krerk Piromsopa. Network Security Krerk Piromsopa. Department of Computer Engineering. Chulalongkorn University.
Advanced Unix 25 Oct 2005 An Introduction to IPsec.
Network Security Fundamentals Chapter 6: Securing Network Transmission.
CHAPTER 2 PCs on the Internet Suraya Alias. The TCP/IP Suite of Protocols Internet applications – client/server applications ◦The client requested data.
CSC 382: Computer SecuritySlide #1 Firewalls. CSC 382: Computer SecuritySlide #2 Single Host Firewall Simplest type of firewall—one host acts as a gateway.
TCP/IP Protocols Contains Five Layers
Packet Protocols University of Sunderland CSEM02 Harry R. Erwin, PhD.
Tunneling and Securing TCP Services Nathan Green.
1 Security Protocols in the Internet Source: Chapter 31 Data Communications & Networking Forouzan Third Edition.
Karlstad University IP security Ge Zhang
IPSec ● IP Security ● Layer 3 security architecture ● Enables VPN ● Delivers authentication, integrity and secrecy ● Implemented in Linux, Cisco, Windows.
Data Communications and Networks
IP Security: Security Across the Protocol Stack. IP Security There are some application specific security mechanisms –eg. S/MIME, PGP, Kerberos, SSL/HTTPS.
Chapter 32 Internet Security Copyright © The McGraw-Hill Companies, Inc. Permission required for reproduction or display.
IP security Ge Zhang Packet-switched network is not Secure! The protocols were designed in the late 70s to early 80s –Very small network.
IPSec – IP Security Protocol By Archis Raje. What is IPSec IP Security – set of extensions developed by IETF to provide privacy and authentication to.
Network Access for Remote Users Dr John S. Graham ULCC
K. Salah1 Security Protocols in the Internet IPSec.
@Yuan Xue CS 285 Network Security IP Security Yuan Xue Fall 2013.
IPSec Detailed Description and VPN
Bezpečnosť v počítačových sieťach
Chapter 4 Core TCP/IP Protocols
תרגול 11 – אבטחה ברמת ה-IP – IPsec
Security Protocols in the Internet
Security in the Internet: IPSec, SSL/TLS, PGP, VPN, and Firewalls
Networking Essentials For Firewall-1 Administrators
Presentation transcript:

Bezpečnosť v počítačových sieťach Lucia Kapová Martin Vozár

Bezpečnosť v počítačových sieťach základné sieťové pojmy typy hrozieb zaradenie hrozieb podľa TCP/IP modelu šifrovaná komunikácia SSL/TLS IPSec (sieťová), IPv6 Firewally

Základné pojmy

TCP/IP model TCP – Transport Control Protocol IP – Internet Protocol Aplikačná vrstva (application layer) telnet, FTP, SMTP, HTTP, DNS, SQL,... Transpotrná vrstva (transport layer) TCP, UDP Internetová vrstva (internet layer) IP, ARP, RARP, ICMP... Spojová vrstva (network access layer) IEEE 802.x, FDDI, ATM, PPP...

IP je protokol sieťovej vrstvy, umožňujúci komunikáciu. Slúži na prenos datagramov, rôznymi typmi sietí TCP – zaručuje doručenie packetu, ak nedostane potvrdenie o doručení packet je poslaný znova UDP (User datagram protocol) – nezaručuje doručenie, nepreposiela packety TCP/IP model

Internet ISP- Internet Service Provider

Prenos dát

Zneužitie siete Ciele: Získať informácie Získať prístup do systému Zakázať službu Prostriedky: PortScan Fingerprinting Social engeneering

Pohľad na TCP/IP model

TCP/IP Z pohľadu TCP/IP modelu môžeme rozdeliť spôsoby uplatnenia ochrán proti útokom na tieto vrstvy: –Aplikačná (najvyššia) –internetová + transportná –spojová (najnižšia)

Spojová vrstva Riziká –odpočúvanie prenosového média a následné dekódovanie zachytených informácií, prípadné ich využitie na „playback“ útok (napr. odpočúvanie telefónnych liniek, neautorizované zachytávanie dát pri prenose zdiľaným médiom (wireless, ethernet s hubom, …)) – odchytávanie plaintextových protokolov –MAC spoofing (zmena MAC adresy)

Spojová vrstva Vrstva pracujúca s fyzickým médiom a zabezpečovaním prístupu k tomuto médiu (obvykle) prostredníctvom fyzických adries Ochrana –použitie silnej autentifikácie a šifrovania na vyšších vrstvách, t.j. pri pripájaní z neznámych miest používať zabezpečené tunely

Spojová vrstva Problém: Ako môže klient v USA pripojiť svoj PC na intranet v EU?

Riešenie 1: –linka: circuit-switched (ISDN, PSTN...) –encapsulation PPP Výhody: –dostupnosť –jednoduchosť Nevýhody: –bezpečnosť (dáta nie sú zašifrované) –náklady (volania sú spoplatnené) Spojová vrstva

Riešenie 2: –Virtuálna privátna sieť (VPN) –„Layer 2 tunneling“ zapuzdrenie sieťového protokolu (IP, IPX, AppleTalk...) v PPP zašifrovanie PPP framov zapuzdrenie dát v prenosovom protokole (tunneling) najčastejšie IP –„Layer 3 tunneling“ zapuzdrenie sieťového protokolu v VTP (Virtual Tunneling Protokol) zapuzdrenie dát v prenosovom protokole (tunneling) najčastejšie IP Spojová vrstva

Layer 2 forwarding (L2F) Point-to-point tunneling protocol (PPTP) Layer 2 tunneling protocol (L2TP) LAC - L2TP access client LAS - L2TP access server Spojová vrstva

PPTP využíva na zabezpečenie bezpečnosti VPN Spojová vrstva

Bezpečnostná architektúra zahrňa IPSEC (IP security protocol) a IKMP (Internet key management protocol alebo IKE-Internet key exchange) Internetová vrstva

Riziká: –TCP seq. number guessing (TCP session hijacking) –spomaľovanie TCP spojenia –zabíjanie TCP spojení Bezpečnostné protokoly transportnej vrstvy pre internet: –Secure shell protocol (SSH) –Secure sockets layer (SSL) –Private communications technology (PCT) –Transport layer security (TLS) Transportná vrstva

SSH vyvinutý Tatu Ylonen-om na Technickej univerzite v Helsinkách Poskytuje podporu pre: –Autentifikáciu používateľov –Kompresiu dát –Utajenie dát a ochranu integrity Transportná vrstva

SSH v1 vyžaduje manuálne distribuované a nakonfigurované verejné kľúče (pre server a nepovinne pre používateľa) Transportná vrstva

SSH v2 sa podobne ako SSL/TLS skladá z dvoch subprotokolov: –SSH bezpečnostný protokol transpotnej vrstvy – šifrovaná autentifikácia hostov, kompresia dát, utajenie a integrita dát –SSH autetifikačný protokol – autentifikácia používateľov Transportná vrstva

PCT (Private communication technology) – produkt Microsoftu z roku 1995 TLS (Transport layer security) – snaha o štandardizáciu TLS v1 je veľmi podobná SSL v3 a je nazývaná SSL v3.1 Transportná vrstva

Riziká: –spoofing (napr. DNS spoofing, falšovanie e- mailových hlavičiek, HTTP redirekty...) Sú dve možnosti ako zabezpečiť bezpečnosť na aplikačnej vrstve: –Zabezpečiť konkrétny protokol („security- enhanced“) –Využiť štandardizované API využívané viacerými protokolmi (autentifikačné a distribučné systémy) Aplikačná vrstva

„Security-enhanced“ aplikačné protokoly: –Terminál:Telnet Kerberos Telnet SSLtelnet (využíva SSL/TLS) Encrypted session manager(ESM) Secure RPC authentification (SRA) Secure telnet(STEL) Secure shell(SSH) –Prenos súborov:FTP Kerberos FTP SSLFtp SSH utility : scp, sftp Aplikačná vrstva

– SMTP, POP3 Kerberos (Eudora) SMTP/POP3 na základe SSL/TLS Secure messaging: secure MIME (S/MINE) pretty good privacy (PGP) –WWW: HTTP Secure HTTP (S-HTTP) HTTP na základe SSL/TLS (HTTPS) Aplikačná vrstva

–Domain name system: DNS DNS security (DNSSEC) –Distribuované filesystémy: HTTP Cryptographic file system (CFS) Kerberos file system (KFS) WIN2000 encrypting file system (EFS) Aplikačná vrstva

Autentifikačné a distribučné systémy: –Kerberos Heslo sa používa len raz pri inicializácii Odolný voči sniffovaniu hesiel Nevyužíva šifrovanie podľa verejného kľúča Aplikačná vrstva

Nevýhody: –Bezvýhradna viera v KDC –Nízka skalabilita Vyžaduje obojstrannú dôveru pri komunikácii: Aplikačná vrstva

Zhrnutie 1.Zabezpečiť prenosovú cestu (Spojová vrstva) 2.Zabezpečiť prenášané dáta (Aplikačná vrstva) 3.Zabezpečiť časti cesty a najcennejšie dáta (Transporná vrstva)

Zvýšenie bezpečnosti Šifrovanie (encipherment) Digitálny podpis (digital signature) Kontrola prístupu (access control) Integrita údajov (data integrity) Autentifikácia (authentification) Utesnenie spojenia (traffic padding) Kontrola routovania (routing control) Značenie (notarization)

Typy hrozieb (čo vlastne chcú)

Typy hrozieb získať kontrolu nad časťami programov, nad programami alebo nad celým zariadením získať cudzie informácie pre vlastnú potrebu alebo pre iných, zmeniť/poškodiť informácie znemožniť prístup k informáciám, resp. znemožniť funkčnosť zariadenia (napr. smerovača) (pre osobné potešenie, alebo ako práca „na objednávku“ tretích osôb)

Typy útokov (ako to dosiahnu)

Časté typy útokov odpočúvanie (niekedy považované za útok) ARP/IP spoofing Man-in-the-Middle protocol exploitation session hijacking (tcp alebo app) DoS/DDoS DNS/HTTP/ spoofing

Pasívne odpočúvanie Pasívne počúvanie (wiretapping, eavesdropping) Analýza komunikácie za účelom získania zaujímavých informácií (loginy, heslá, e- maily, SQL výpisy, HTTP komunikácia)

Príklad Čítanie packetov treťou stranou Obrana: šifrovanie

Aktívny útok Manipulácia s údajmi Spoofing –IP spoofing, sequence number quessing (internetová, transportná) –DNS spoofing (aplikačná) Degradation-of-service, denial-of-service –TCP SYN flooding (internetová) – bombing (aplikačná)

Príklad IPspoofing – zmena IP adresy s cieľom Prejsť autentifikáciou založenou na zdrojovej adrese

TCP session hijacking Cieľom je prebrať kontrolu nad spojením, v prípade že používateľ práve čítal mail útočník k nemu bude mať prístup, môže vykonávať príkazy. Obeť len spozoruje, že spadlo spojenie a pripojí sa ešte raz. Pri tomto útoku útočník najprv sleduje komunikáciu medzi dvoma počítačmi potom jeden presvedčí o zlyhaní spojenia a preberie kontrolu nad spojením druhému počítaču, ktorý o žiadnej zmene nevie.

TCP session hijacking

Príklad

Útoky typu DoS Obsadenie prenosovej kapacity linky: – Scenár 1: Útočník má vačšiu kapacitu linky (T Mb/s) a zahltí pomalšiu linku (128kb/s). –Scenár 2: Využitie prístupu do viacerých systémov, viac serverov napríklad môže zahltiť cieľovú sieť z viacerých zdrojov s tokom aj na 100 Mb/s. Často sa k takémuto cieľu využíva ICMP protokol.

Útoky typu DoS Privlastnenie systémových zdrojov: –Snaha o spotrebovanie systémových zdrojov cieľového PC Chyby v programoch: –„ping-of-dead“ – zaslanie packetu s neočákavanými parametrami Útok na DNS a smerovače paketov –Manipulácia so smerovacími tabuľkami

Útoky typu DDoS Pri distribuovaných DoS je zdrojom zahltenia viac systémov naraz. Útočník ovládne viacero systémov a potom vytvorí dátový tok zo všetkých systémov smerom k cieľovému počítaču.

Útoky typu Denial-Of-Service „Smurf attack“ Idea: Zahltiť obeť pingmi z viacerých zdrojov. –Vygenerujú sa ICMP packety so zdrojovou adresou obete –Každy host vygeneruje ICMP echo reply k zdrojovej adrese a zahltí obeť

DoS – „Denial-of-Service“

Útoky typu Exploitation a Gathering info Exploitation: „TCP/IP hijacking“, „password guessing“, „trojan horses“, „buffer overruns“ Gathering info: „address/port scanning“, „fingerprinting“, DNS zone transfers, finger, SNMP

Príklad 1.Prieskum: traceroute

Príklad Skenovanie portov, SuperScan

Príklad mythos:~# nmap -O Starting nmap 3.50 ( ) at :55 CEST Interesting ports on cisco-ke.antik.sk ( ): (The 1657 ports scanned but not shown below are in state: closed) PORT STATE SERVICE 23/tcp open telnet 514/tcp open shell Device type: router Running: Cisco IOS 12.X OS details: Cisco 3600 router running IOS 12.2(6c), Cisco router running IOS a, Cisco router running IOS 12.1(5)-12.2(7a) Nmap run completed -- 1 IP address (1 host up) scanned in seconds mythos:~#

Po zistení otvorených portov a hesiel(dsniff) je možné dostať sa na zariadenie v sieti ak nie je dobre chránené a získať tak dalšie informácie. Príklad

Napríklad: Príklad

Bezpečná komunikácia. SSL protokol.

SSL protokol SSL(Secure sockets protocol) bol vyvinutý firmou Netscape ako odpoveď na S-HTTP Základná idea je vytvorenie bezpečnostnej vrstvy medzi transportnou a aplikačnou vrstvou pre zvyšenie bezpečnosti komunikácie. V principe SSL môže zabezpečovať akýkoľvek TCP-orientovaný protokol (HTTP, Telnet, FTP, POP3,...)

SSL protokol SSL verzie: –v1.0: interný protokol –v2.0: Netscape Navigator v1.0 až 2.x PCT bol vytvorený na základe tejto verzie –v3.0: opravenie verzie SSL2.0, implementované vo vačšine browserov TLS bol vytvorený na základe tejto verzie

SSL protokol Využitie SSL: –Komunikujúce strany sa môžu autentifikovať s použitímšifrovania podľa verejného kľúča. –Dáta sú chránené, komunikácia je zašifrovaná po uskutočnení inicializačného handshaku a určení kľúča pre dané spojenie. –Integrita dát je chránená(MAC). Nevýhody SSL: –Útoku formou analýzy spojenia –TCP SYN Flooding, Session hijacking

SSL protokol Pri spojení pomocou SSL je potrebné na oboch stranách vedieť o SSL na opačnej strane a uchovávať stav. Informácia o stave komunikácie obsahuje: ID spojenia Peer certifikát Metóda kompresie Špecifikáciu šifrovania(šifrovanie a autentifikácia dát) Master secret(zdieľaných 48bytov pre toto spojenie) Flag – možnosť pokračovania komunikácie

SSL protokol SSL môže byť využitý na rôzne typy komunikácie Informácia o stave spojenia obsahuje: Náhodné bytové sekvencie vygenerované klientom a serverom pre dané spojenie MAC (message authentifikation key) pre klienta aj server Šifrovacie kľuče Inicializačný vektor Sekvenčné číslo

SSL protokol

SSL RFP (Record format protocol) zabezpečuje –Fragmentáciu –Kompresiu a dekompresiu –Kódovanie a odkódovanie

Každý SSL záznam musí obsahovať: –Typ – informácia pre protokol vyššej vrstvy –Číslo verzie protokolu –Dĺžka –Payload –MAC SSL protokol

SSL HP (Handshake protocol) – klient a server sa dohodnú na: –Podporovanej verzii SSL protokolu –Metóde kompresie –Šifrovaciom algoritme –Vzájomnej autetifikácii (povinne server) –Generujú zdieľané „secrets“ – master secret

SSL protokol

Prehľad o IPSec

Pracuje na internetovej vstve TCP/IP modelu je to štandardizované riešenie (IETF) Umožňuje vytvárať rôzne typy tunelov medzi počítačmi a sieťami, resp. medzi sieťami navzájom IPSec

IPSec umožňuje –Data Confidentiality –Data Integrity –Data Origin Authentication –Anti-Replay Podporuje mechanizmus manuálnej alebo automatickej výmeny kľúčov (IKE) IPSec

IKE – poskytuje autentifikáciu koncových zariadení, dohaduje IPSec security associations a establishuje IPSec kľúče SPI – Security Parameter Index je číslo, ktoré spolu s IP adresou a bezpečnostným protokolom jednoznačne identifikujú SA IPSec pojmy

SA – Security Association popisuje ako dve alebo viac entít bude používať bezpečnostné služby (AH alebo ESP) SA obsahuje tieto parametre: –použitý autentifikačný a šifrovací algoritmus, dĺžku kľúča a napr. aj platnosť kľúča –Kľúče pre autentifikáciu, šifrovanie a HMAC –IPSec AH alebo ESP enkapsulačný protokol identifikáciu módu IPSec pojmy

AH – Authentication Header je bezpečnostný protokol, ktorý poskytuje autentifikáciu dát a voliteľné anti-replay služby – overenie pravosti AH využíva MD5 alebo SHA-1 –vypočítaný vysielajúcim IPSec modulom –pridaný k IP paketu –kontrolovaný prijímacím IPSec modulom IPSec pojmy

ESP – Encapsulating Security Payload používa IP enkapsuláciu na kryptografickú ochranu prenášaných dát a voliteľnú autentifikáciu a anti-replay ochranu ESP (DES, 3DES, Blowfish) –vysielajúci IPSec modul zašifruje dáta –prijímúci IPSec modul rozšifruje dáta IPSec pojmy

AH a ESP používajú symetrické šifrovanie IPSec = AH + ESP + IKE IPSec pojmy

AH a ESP

IPSec módy Transport Mode Tunnel Mode –host-host –host-network –network-network

AH a ESP v transportnom a tunel móde

Nadviazanie IPSec spojenia

Firewalls

Firewally čo je firewall? čo chceme chrániť klasifikácia typov firewallov vysvetlenie často používaných pojmov základné typy zapojenia príklad nastavenia

Čo je firewall Zariadenie, ktoré môže –Obmedzovať prístup z jednotlivých časti siete na iné siete na základe rôznych kritérií (všeobecne: podľa prihláseného užívateľa, IP adries, portov, použitých protokolov...) –Zaznamenávať a analyzovať sieťovú prevádzku (IDS) Zariadenie, ktoré nevie analyzovať napr. vírus prenášaný službou FTP FW nevie chrániť počítače, ktoré komunikujú medzi sebou na lokálnej sieti (pretože premávka ide pomimo FW)

Čo chceme chrániť dáta –secrecy (utajenosť) –integrity (neporušenosť) –availability (dostupnosť) počítače –výpočtový výkon (zdroje) svoju reputáciu –zabránenie vystupovaniu útočníka pod našou identitou

Klasifikácia typov Packet Filter –filtruje pakety od neautorizovaných počítačov a filtruje pokusy o pripojenie na neautorizované služby –Vyhodnocuje každý paket zvlášť – štandardné PFF nevedia rozoznať súvislosti medzi paketmi – kontrolujú na základe src IP, dst IP, port, … –SPI (Stateful Packet Inspetion) – stavové firewally, priradzujú pakety k reláciám

Klasifikácia typov

NAT –prekladá IP adresy vnútorných počítačov, aby ich ochránil pred pokusmi o pripojenie z vonkajšej siete –pre počítače na vnútornej sieti používa vyhradené adresy /8, /12, /16 –z internetu firewall poskytujúci NAT vyzerá ako 1 veľmi vyťažený počítač (čo sa týka počtu spojení)

Klasifikácia typov

Application level gateway –vytvárajú nové spojenie na aplikačnej vrstve namiesto zdrojového počítača –Dual homed hosts – majú dve sieťové rozhrania, smerovanie medzi nimi je vypnuté –známe aj ako „proxy servre“ –závislé na aplikačnom protokole –špeciálny prípad – circuit level proxy – všeobecnejší typ proxy servera predávajúceho obsah dátovej časti paketov

Application firewall

Niektoré voliteľné služby Overovanie užívateľov –šifrovaná autentifikácia užívateľov na preukázanie identity za účelom povolenia vstupu do internej siete Virtual Private Networking –Vytvára zabezpečené spojenie medzi privátnymi sieťami, medzi počítačmi alebo medzi počítačom a privátnou sieťou

Často používané pojmy Bastion host – samostaný počítač s nainštalovaným sw firewallom Dual-homed host – zariadenie s min. Dvoma sieť. Rozhraniami s vypnutým IP routingom Screened host – Screened network – DMZ – demilitarizovaná zóna – časť siete, do ktorej je povolený velmi obmedzený prístup z internetu a oveľa voľnejší prístup z intranetu; fyzicky oddelený segment siete

Často používané pojmy

Politiky ochrany No security – žiadne zabezpečenie Security though obscurity – „zabezpečenie“, tým, že o existencii systému „sa nebude vedieť“ Host security – zabezbečenie jedného počítača Network security – zabezpečenie sieťového segmentu

Príklady nastavenia – Linux iptables -L Chain INPUT (policy DROP) target prot opt source destination all -- anywhere anywhere state NEW ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT all -- anywhere anywhere CNL all /24 anywhere CNL all /24 anywhere CNL all /24 anywhere CNL all /27 anywhere INET all -- anywhere anywhere Chain FORWARD (policy DROP) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain CNL (4 references) target prot opt source destination ACCEPT all -- anywhere anywhere Chain INET (1 references) target prot opt source destination ACCEPT tcp -- anywhere anywhere tcp dpt:ftp flags:SYN,RST,ACK/SYN state NEW ACCEPT tcp -- anywhere anywhere tcp dpt:ssh flags:SYN,RST,ACK/SYN state NEW ACCEPT tcp -- anywhere anywhere tcp dpt:smtp flags:SYN,RST,ACK/SYN state NEW ACCEPT tcp -- anywhere anywhere tcp dpt:www flags:SYN,RST,ACK/SYN state NEW ACCEPT tcp -- anywhere anywhere tcp dpt:pop3 flags:SYN,RST,ACK/SYN state NEW ACCEPT tcp -- anywhere anywhere tcp dpt:auth flags:SYN,RST,ACK/SYN state NEW ACCEPT tcp -- anywhere anywhere tcp dpt:imap2 flags:SYN,RST,ACK/SYN state NEW ACCEPT tcp -- anywhere anywhere tcp dpt:https flags:SYN,RST,ACK/SYN state NEW ACCEPT tcp -- anywhere anywhere tcp dpt:imaps flags:SYN,RST,ACK/SYN state NEW ACCEPT tcp -- anywhere anywhere tcp dpt:pop3s flags:SYN,RST,ACK/SYN state NEW ACCEPT tcp -- anywhere anywhere tcp dpt:5000 flags:SYN,RST,ACK/SYN state NEW ACCEPT icmp -- anywhere anywhere icmp echo-reply ACCEPT icmp -- anywhere anywhere icmp destination-unreachable ACCEPT icmp -- anywhere anywhere icmp redirect ACCEPT icmp -- anywhere anywhere icmp echo-request ACCEPT icmp -- anywhere anywhere icmp time-exceeded LOG all -- anywhere anywhere limit: avg 10/sec burst 5 LOG level warning DROP all -- anywhere anywhere

Literatúra tel/deliverables/download/firewall/theory.htmlhttp:// tel/deliverables/download/firewall/theory.html Strebe M., Perkinson Ch. – Firewalls 24seven, Sybex 2002 Joel Scambray, Stuart McClure, George Kurtz – Hacking bez tajemství

Ďakujeme za pozornosť

Feedback: Privacy Policy Feedback
Do Not Sell My Personal Information
About project: SlidePlayer Terms of Service

© 2025 SlidePlayer.com. Inc. All rights reserved.