Presentation is loading. Please wait.

Presentation is loading. Please wait.

תרגול 10 – חומות אש – Firewalls

Published byBarnard Richards Modified over 5 years ago

Similar presentations

Presentation on theme: "תרגול 10 – חומות אש – Firewalls"— Presentation transcript:

1 תרגול 10 – חומות אש – Firewalls
הגנה במערכות מתוכנתות תרגול 10 – חומות אש – Firewalls

2 הגנה במערכות מתוכנתות - תרגול 10
חומות אש המטרה: הגנה על תקשורת בין רשתות Stateless Packet Filtering Firewalls Stateful Packet Filtering Firewalls (סינון חבילות דינמי) Proxy Servers “Choke point” (c) אריק פרידמן 2007 הגנה במערכות מתוכנתות - תרגול 10

3 Stateless Packet Filtering Firewalls
מבצע סינון של החבילות על סמך ה-headers מדיניות ההגנה מוגדרת באמצעות טבלת חוקים סטטית IP Address wildcard ( *.*) “any” TCP UDP IPSec,… port number port range “any” “yes” “no” “any” “in” “out” “permit” “deny” Action ACK Destination Port Source Next Protocol Address Direction Rule מתוך ה-IP Header מתוך ה- TCP/UDP Header מתוך TCP (c) אריק פרידמן 2007 הגנה במערכות מתוכנתות - תרגול 10

4 Stateless Packet Filtering Firewalls
בהגעת חבילה מחפשים את השורה הראשונה המתאימה בסוף הטבלה תמיד נכתוב בסוף הטבלה שורה מהצורה any,any,…,any,deny דגשים בד"כ יש שתי שורות עבור כל כלל עקרון מזעור הזכויות חשיבות השדה ACK איזה צד יכול ליזום session (c) אריק פרידמן 2007 הגנה במערכות מתוכנתות - תרגול 10

5 Stateless Packet Filtering Firewalls
בהגעת חבילה מחפשים את השורה הראשונה המתאימה בסוף הטבלה תמיד נכתוב בסוף הטבלה שורה מהצורה any,any,…,any,deny דגשים בד"כ יש שתי שורות עבור כל כלל עקרון מזעור הזכויות חשיבות השדה ACK איזה צד יכול ליזום session (c) אריק פרידמן 2007 הגנה במערכות מתוכנתות - תרגול 10

6 הגנה במערכות מתוכנתות - תרגול 10
דוגמה – הגנה על NET1 מדיניות ההגנה הנדרשת לכל המחשבים ב-NET1 פרט למחשב a מותר לבצע telnet לכל מחשב באינטרנט. לכל המחשבים באינטרנט מותר לבצע http למחשב מיוחד ב-NET1 ששמו WS. כל היתר אסור. NET1 a WS Internet (c) אריק פרידמן 2007 הגנה במערכות מתוכנתות - תרגול 10

7 הגנה במערכות מתוכנתות - תרגול 10
דוגמה – הטבלה המתקבלת Action ACK Destination Port Source Next Protocol Address Direction Rule deny any NET1 in spoof 23 >1023 TCP a out no-a-telnet1 no-a-telnet2 permit telnet1 yes telnet2 80 WS http1 http2 default רשימה מלאה של אפליקציות ומספר הפורטים שהוקצו להן ניתן למצוא ב: (c) אריק פרידמן 2007 הגנה במערכות מתוכנתות - תרגול 10

8 FTP – File Transfer Protocol
משתמש בשני sessions Command Session – לשליחת פקודות (get, put, ls, ...) Data Session – להעברת קבצים גרסה רגילה – Active Mode Client Server y>1023 x>1023 21 20 port y get a.exe Command Session a.exe Data Session (c) אריק פרידמן 2007 הגנה במערכות מתוכנתות - תרגול 10

9 הגנה במערכות מתוכנתות - תרגול 10
עדכון ה-Firewall: Action ACK Destination Port Source Next Protocol Address Direction Rule permit any 21 >1023 TCP NET1 out ftp_com_1 yes in ftp_com_2 20 ftp_act_1 Permit ftp_act_2 בעיה: בד"כ לא נרצה לאפשר ליזום קשר מבחוץ אל מחשבים ברשת הפרטית. פתרון: גרסת FTP "ידידותית" ל-Firewalls (c) אריק פרידמן 2007 הגנה במערכות מתוכנתות - תרגול 10

10 הגנה במערכות מתוכנתות - תרגול 10
FTP – Passive Mode Client Server y>1023 x>1023 21 z>1023 PASV port z get a.exe Command Session open a.exe Data Session (c) אריק פרידמן 2007 הגנה במערכות מתוכנתות - תרגול 10

11 הגנה במערכות מתוכנתות - תרגול 10
עדכון ה-Firewall: Action ACK Destination Port Source Next Protocol Address Direction Rule permit any 21 >1023 TCP NET1 out ftp_com_1 yes in ftp_com_2 Any ftp_psv_1 Yes In ftp_psv_2 (c) אריק פרידמן 2007 הגנה במערכות מתוכנתות - תרגול 10

12 תכונות של Stateless PF Firewall
חוסר זכרון שקיפות למשתמשים ברשת דורש קונפיגורציה של ה-Firewall מהיר (בדיקה מאוד פשוטה) (c) אריק פרידמן 2007 הגנה במערכות מתוכנתות - תרגול 10

13 מגבלות של Stateless PF Firewall
חוסר זכרון תוקף יכול ליצור עומס על הרשת ההחלטות מבוססות על שכבות IP ו-TCP/UDP בלבד אפשר לעקוף ע"י שימוש בפורטים שאינם חסומים פתרון: Stateful Packet Filtering Firewall שני סוגי חוקים: סטטיים ודינאמיים. (c) אריק פרידמן 2007 הגנה במערכות מתוכנתות - תרגול 10

14 Stateful Packet Firewall עבור פרוטוקול FTP Active-Mode
Action ACK Destination Port Source Next Protocol Address Direction Rule permit no 21 >1023 TCP any NET1 out ftp_com_1 yes x client server in ftp_com_2 ftp_com_3 20 ftp_act_1 Permit y ftp_act_2 Action ACK Destination Port Source Next Protocol Address Direction Rule permit no 21 >1023 TCP any NET1 out ftp_com_1 y x 21 20 port y Server Client get a.exe a.exe (c) אריק פרידמן 2007 הגנה במערכות מתוכנתות - תרגול 10

15 Stateful Inspection Firewalls
בוחנים מידע המועבר ברמת האפליקציה בנוסף למידע ברמת שכבות הרשת והתובלה לדוגמה – פתרון עבור FTP ה-Firewall מזהה את פורט z אליו ייפתח ה-Data Session, ויוסיף את השורות הדינאמיות המתאימות. מניעת ניצול פורטים פתוחים לתקשורת אסורה. ה-Firewall צריך להכיר כל אחד מהפרוטוקולים עליהם הוא מעוניין להגן. (c) אריק פרידמן 2007 הגנה במערכות מתוכנתות - תרגול 10

16 סיכום - Stateful לעומת Stateless
החלטות דינאמיות, תלויות בחבילות קודמות אבל גם מהירות נמוכה יותר... פתח להתקפות Denial of Service (c) אריק פרידמן 2007 הגנה במערכות מתוכנתות - תרגול 10

17 הגנה במערכות מתוכנתות - תרגול 10
Proxy Servers מגבלה של ה-Firewalls שראינו: לא בודקים את כל המידע בשכבת האפליקציה האם קובץ עם סיומת jpg שהועבר ב-FTP הוא באמת תמונה? הפעלת אנטי וירוס על מידע שעובר. דורש מספיק חבילות כדי לקבל החלטות. מענה: Proxy Server "מתווך" בין המחשבים ברשת לבין מחשבים חיצוניים. (c) אריק פרידמן 2007 הגנה במערכות מתוכנתות - תרגול 10

18 הגנה במערכות מתוכנתות - תרגול 10
איך זה נראה? Internet Server >1023 8023 1’st session 2’nd session 23 Telnet Proxy Client כל Proxy Server יגן על אפליקציה יחידה. (c) אריק פרידמן 2007 הגנה במערכות מתוכנתות - תרגול 10

19 מה proxy server יכול לעשות?
לחכות למספיק חבילות כדי להחליט מה לעשות. להעביר את המידע, לזרוק אותו, לשנות אותו. אימות של המשתמש. למנוע ממשתמשים מסוימים שירותים מה-Proxy Server. להפעיל אנטי-וירוס. בקרה על זרימת המידע. בגלל איטיותם מתקינים אותם על מחשב בתוך רשת הארגון. (c) אריק פרידמן 2007 הגנה במערכות מתוכנתות - תרגול 10

20 הגנה במערכות מתוכנתות - תרגול 10
תכונות של Proxy Server בעל זכרון אין שקיפות למשתמשים ברשת קונפיגורציה לא מסובכת לא כל כך מהיר (c) אריק פרידמן 2007 הגנה במערכות מתוכנתות - תרגול 10

21 הגנה במערכות מתוכנתות - תרגול 10
התצורה המקובלת מגדירים אזור מפורז (DMZ – Demilitarized Zone) מפריד בין הרשת הפנימית לחיצונית יוצבו בו המחשבים הדורשים תקשורת לשאר העולם שרתי Web שרתי Proxy (c) אריק פרידמן 2007 הגנה במערכות מתוכנתות - תרגול 10

22 הגנה במערכות מתוכנתות - תרגול 10
DMZ External Router (P.F. 2) Internet Internal Router (P.F. 1) Private Network A Bastion Host (Proxy Servers) Web Server DMZ (c) אריק פרידמן 2007 הגנה במערכות מתוכנתות - תרגול 10

23 הגנה במערכות מתוכנתות - תרגול 10
דוגמה רוצים לאפשר telnet מ-A החוצה, ושכל קשרי ה-telnet ישתמשו ב-Telnet Proxy Server. Internal Router (P.F 1) Action ACK Destination Port Source Next Protocol Address Direction Rule deny any A in spoof permit 23 >1023 TCP Bastion Host out telnet1 yes telnet2 (c) אריק פרידמן 2007 הגנה במערכות מתוכנתות - תרגול 10

24 הגנה במערכות מתוכנתות - תרגול 10
דוגמה - המשך רוצים לאפשר telnet מ-A החוצה, ושכל קשרי ה-telnet ישתמשו ב-Telnet Proxy Server. External Router (P.F 2) Action ACK Destination Port Source Next Protocol Address Direction Rule deny any A in spoof1 DMZ spoof2 permit 23 >1023 TCP Bastion Host out telnet1 yes telnet2 Any (c) אריק פרידמן 2007 הגנה במערכות מתוכנתות - תרגול 10

Download ppt "תרגול 10 – חומות אש – Firewalls"

Similar presentations

Firewalls By Tahaei Fall 2012. What is a firewall? a choke point of control and monitoring interconnects networks with differing trust imposes restrictions.

Firewalls By Tahaei Fall What is a firewall? a choke point of control and monitoring interconnects networks with differing trust imposes restrictions.
IUT– Network Security Course 1 Network Security Firewalls.

IUT– Network Security Course 1 Network Security Firewalls.
1 Topic 2 – Lesson 4 Packet Filtering Part I. 2 Basic Questions What is packet filtering? What is packet filtering? What elements are inside an IP header?

1 Topic 2 – Lesson 4 Packet Filtering Part I. 2 Basic Questions What is packet filtering? What is packet filtering? What elements are inside an IP header?
Intro To Secure Comm. Exercise 7. Solution (review of last lesson) Assuming  CEO1:10.0.0.1  CEO2:11.0.0.1 Use both transport mode and tunnel mode IPSec.

Intro To Secure Comm. Exercise 7. Solution (review of last lesson) Assuming  CEO1:  CEO2: Use both transport mode and tunnel mode IPSec.
Network Security. Reasons to attack Steal information Modify information Deny service (DoS)

Network Security. Reasons to attack Steal information Modify information Deny service (DoS)
הגנה במערכות מתוכנתות חורף תשסד הרצאה 7 Firewalls ספרות : Chapman, Zwicki. Building Internet Firewalls. O’Reilly, 1995. Cheswick, Bellovin. Firewalls.

הגנה במערכות מתוכנתות חורף תשס"ד הרצאה 7 Firewalls ספרות : Chapman, Zwicki. Building Internet Firewalls. O’Reilly, Cheswick, Bellovin. Firewalls.
Firewalls and Intrusion Detection Systems

Firewalls and Intrusion Detection Systems
תרגול 8.5 – מודל השכבות, מבוא ל-TCP/IP

תרגול 8.5 – מודל השכבות, מבוא ל-TCP/IP
Controlling access with packet filters and firewalls.

Controlling access with packet filters and firewalls.
חורף - תשס ג 236363- DBMS, Design1 שימור תלויות אינטואיציה : כל תלות פונקציונלית שהתקיימה בסכמה המקורית מתקיימת גם בסכמה המפורקת. מטרה : כאשר מעדכנים.

חורף - תשס " ג DBMS, Design1 שימור תלויות אינטואיציה : כל תלות פונקציונלית שהתקיימה בסכמה המקורית מתקיימת גם בסכמה המפורקת. מטרה : כאשר מעדכנים.
Standard, Extended and Named ACL.  In this lesson, you will learn: ◦ Purpose of ACLs  Its application to an enterprise network ◦ How ACLs are used to.

Standard, Extended and Named ACL.  In this lesson, you will learn: ◦ Purpose of ACLs  Its application to an enterprise network ◦ How ACLs are used to.
1 Some TCP/IP Basics....NFSDNSTELNETSMTPFTP UDPTCP IP and ICMP Ethernet, serial line,..etc. Application Layer Transport Layer Network Layer Low-level &

1 Some TCP/IP Basics....NFSDNSTELNETSMTPFTP UDPTCP IP and ICMP Ethernet, serial line,..etc. Application Layer Transport Layer Network Layer Low-level &
הגנה במערכות מתוכנתות תרגול 12 – אבטחה ברמת ה-IP – IPsec הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה בלבד.

הגנה במערכות מתוכנתות תרגול 12 – אבטחה ברמת ה-IP – IPsec הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה בלבד.
הגנה במערכות מתוכנתות תרגול 10 – חומות אש – Firewalls הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה בלבד.

הגנה במערכות מתוכנתות תרגול 10 – חומות אש – Firewalls הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה בלבד.
FIREWALLS & NETWORK SECURITY with Intrusion Detection and VPNs, 2 nd ed. 6 Packet Filtering By Whitman, Mattord, & Austin© 2008 Course Technology.

FIREWALLS & NETWORK SECURITY with Intrusion Detection and VPNs, 2 nd ed. 6 Packet Filtering By Whitman, Mattord, & Austin© 2008 Course Technology.
1 Spring Semester 2007, Dept. of Computer Science, Technion Internet Networking recitation #3 Internet Control Message Protocol (ICMP)

1 Spring Semester 2007, Dept. of Computer Science, Technion Internet Networking recitation #3 Internet Control Message Protocol (ICMP)
1 Lecture 20: Firewalls motivation ingredients –packet filters –application gateways –bastion hosts and DMZ example firewall design using firewalls – virtual.

1 Lecture 20: Firewalls motivation ingredients –packet filters –application gateways –bastion hosts and DMZ example firewall design using firewalls – virtual.
1 Figure 5-4: Drivers of Performance Requirements: Traffic Volume and Complexity of Filtering Performance Requirements Traffic Volume (Packets per Second)

1 Figure 5-4: Drivers of Performance Requirements: Traffic Volume and Complexity of Filtering Performance Requirements Traffic Volume (Packets per Second)
_______________________________________________________________________________________________________________ E-Commerce: Fundamentals and Applications1.

_______________________________________________________________________________________________________________ E-Commerce: Fundamentals and Applications1.
Packet Filtering. 2 Objectives Describe packets and packet filtering Explain the approaches to packet filtering Recommend specific filtering rules.

Packet Filtering. 2 Objectives Describe packets and packet filtering Explain the approaches to packet filtering Recommend specific filtering rules.

Similar presentations

Ads by Google