2. הגנה במערכות מתוכנתות חורף תשס"ד הרצאה 7 Firewalls ספרות : Chapman, Zwicki. Building Internet Firewalls. O’Reilly, 1995. Cheswick, Bellovin. Firewalls and Internet Security. Addison Wesley, 1994.

3. הגנה - חורף תשס"ד - הרצאה 72 על מה ולמה להגן? כמעט כל הרשתות המקומיות (של ארגונים/חברות או בתים) מחוברות היום לאינטרנט יש להתגונן כנגד –תוקפים מהאינטרנט –הדלפת מידע מהרשת המקומית –חשיפה, בטעות, של הרשת הפנימית, להתקפות מבחוץ, ע"י משתמשים פנימיים

4. הגנה - חורף תשס"ד - הרצאה 73 Firewalls מטרות : – להגן על רשת של ארגון בפני מתקיפים מבחוץ – לשלוט על תעבורה יוצאת ונכנסת – שליטה ברוחב פס Firewall – כלי למימוש מדיניות הגנה, בעל יכולת ( מוגבלת ) להגן כנגד ההתקפות מהשקף הקודם. הרעיון : נמקם את ה -Firewall בנקודה דרכה עוברת כל התעבורה בין הרשת של הארגון לבין העולם החיצוני (choke point). זה מאפשר פיקוח על התעבורה וסינון שלה. היינו רוצים שה -firewall יאפשר מעבר חבילות מותרות ו " תמימות ", לא יאפשר מעבר חבילות אסורות וכך יגן כנגד התקפות

5. הגנה - חורף תשס"ד - הרצאה 74 private network HUB Server Router Internet Server Router

6. הגנה - חורף תשס"ד - הרצאה 75 מהו Firewall? Firewall היא מערכת שמפרידה בין שני אזורים ברשת וכופה מדיניות אבטחה על התקשורת בינהם האיזורים יכולים להיות: –רשת פרטית / ציבורית. –תתי רשתות בעלות סיווגים שונים (הרשת של מחלקת כספים וכל המחלקות האחרות). Firewall מבצע סינון של התעבורה שעוברת בין שני האזורים

7. הגנה - חורף תשס"ד - הרצאה 76 מהו Firewall - המשך Firewall יכול להיות מורכב ממחשב או נתב אחד, או מאוסף של מחשבים, נתבים וכו'. Firewall, שאיננו על מחשב אישי (משתמש קצה), חייב להכיל לפחות multi-homed host אחד (קופסא עם חיבור לשתי רשתות או יותר) חשוב: יש למקם את ה-Firewall בצורה כזאת שכל התעבורה בין שני האזורים תעבור דרכו. אם ניתן לעקוף Firewall, אין שום טעם להתקין אותו

8. הגנה - חורף תשס"ד - הרצאה 77 עקרונות תיכון של Firewalls Choke point - ניתוב כל התעבורה דרך נתיב צר. כל זרימת המידע אל העולם החיצוני וממנו עוברת דרך ה -Firewall Fail safe - נפילה איננה פריצה מבנה פשוט

9. הגנה - חורף תשס"ד - הרצאה 78 היכן למקם Firewall? התשובה תלויה בצרכי הארגון. ניתן להשתמש ב -Firewall: לצורך הגנה של הרשת הפרטית מפני הרשת הציבורית - ה -Firewall יישב בין הרשת הפרטית לרשת הציבורית. לצורך הגנה בתוך הרשת הפרטית – ה -Firewall יישב בין שתי רשתות פנימיות בארגון ויסנן מידע שעובר בינהן.

10. הגנה - חורף תשס"ד - הרצאה 79 הרשת המוגנת בתצורה זו ה -Firewall מפריד בין הרשת הציבורית לרשת הפרטית private network Server HUB Router Internet

11. הגנה - חורף תשס"ד - הרצאה 710 Bastion Host (BH) Bastion host הוא מחשב שניתן לגשת אליו מהרשת הציבורית ( בד " כ הוא מכיל שרתים שמשרתים את הרשת הציבורית, ולפעמים גם את הרשת הפרטית ). מחשב זה צריך להיות מאובטח היטב. לדוגמא : – לא כדאי לשים עליו נתונים רגישים, ומידע מסווג. – יש לדאוג לכך שהתוקפים לא יוכלו לנצל את ה -BH לצורך התקפה על הרשת הפרטית. יתכנו מספר Bastion Hosts לאותה רשת פרטית.

12. הגנה - חורף תשס"ד - הרצאה 711 דוגמא לרשת עם Bastion hosts private network Server HUB Router Internet

13. הגנה - חורף תשס"ד - הרצאה 712 סוגים של Bastion Hosts 1.Non-routing dual-homed host – מחשב שמחובר למספר רשתות (למשל הרשת הפרטית והרשת הציבורית), נותן להן שירותים, אך לא מעביר חבילות בין הרשתות. 2.BH קורבן: בד"כ זה מחשב שקשה לאבטח אותו ולכן הוא כמעט ולא מאובטח כלל. מיועד לשרת משתמשים מהאינטרנט. חשוב לדאוג שלא ניתן יהיה לתקוף דרכו את הרשת הפרטית. 3.BH פנימי : ממוקם פיסית בתוך הרשת הפרטית ונותן שירותים למשתמשים מהאינטרנט. יש לאבטח בצורה מיוחדת. רצוי להמנע מ-BH מסוג זה.

14. הגנה - חורף תשס"ד - הרצאה 713 האיזור המפורז (DMZ) ( לפעמים גם נקרא Perimeter Network). זוהי רשת שמפרידה בין הרשת הפרטית, המוגנת, ובין הרשת הציבורית. ברשת זו בדרך כלל יושבים שרתים שניתן לגשת אליהם מהרשת הציבורית (Bastion hosts). DMZ מוסיף עוד שכבה של הגנה על הרשת הפרטית. המחשבים בתוכו יכולים לשמש כ - proxies.

15. הגנה - חורף תשס"ד - הרצאה 714 איזור מפורז DMZ– 1 private network Server HUB Router Internet

16. הגנה - חורף תשס"ד - הרצאה 715 איזור מפורז DMZ - 2 private network Server HUB Router Internet

17. הגנה - חורף תשס"ד - הרצאה 716 עקרונות תיכון רשתות ומדיניות הגנה יש לזכור כי מחשבים שקיימת אפשרות לתקשורת ישירה מהאינטרנט אליהם (ובמיוחד שרתים שנותנים שירותים ל-clients שנמצאים באינטרנט) חשופים יותר להתקפות אפילו אם המחשבים (הניגשים והנגישים) שייכים לחברה, תוקף שמשתלט עליהם, עלול לתקוף דרכם את שאר מחשבי החברה מצד שני, בד"כ נרצה לאפשר למשתמשים ברשת הפנימית לגשת לאינטרנט ולתת שירותים (כמו web server של החברה) למשתמשים מהאינטרנט

18. הגנה - חורף תשס"ד - הרצאה 717 עקרונות תיכון רשתות ומדיניות הגנה - המשך רצוי: לא לאפשר קשר ישיר מבחוץ לרשת הפנימית במיוחד, לא לאפשר למשתמש מהאינטרנט ליזום sessions אל המחשבים בתוך הרשת. לא לשים מחשבים שחשופים להתקפות מהאינטרנט (למשל שרתים) במקומות רגישים –התקפה מוצלחת נגדם תאפשר לפרוץ לרשת הרגישה. –כדאי לשים מחשבים כאלה ב-DMZ –רצוי שתקשורת לאינטרנט וממנה תתבצע דרך proxy servers

19. הגנה - חורף תשס"ד - הרצאה 718 טכניקות Firewall קיימות שתי טכניקות מובילות : –Proxy server a.k.a. Application level relays –Packet filters ניתן גם להשתמש בשילוב של שתי הטכניקות

20. הגנה - חורף תשס"ד - הרצאה 719 מעבר ה-IP datagram ברשת MAC IP TCPUDP Application MAC IP TCPUDP Application Host AHost B MAC IP MAC IP Gateway G 2 Gateway G 1

21. הגנה - חורף תשס"ד - הרצאה 720 Packet filtering MAC IP TCPUDP Application MAC IP TCPUDP Application Host AHost B MAC IP Packet filtering Firewall

22. הגנה - חורף תשס"ד - הרצאה 721 Packet Filter Packet filter סורק כל חבילה שעוברת דרכו, ומחליט האם להעביר אותה הלאה או לא ל -Packet filter יש טבלת חוקים שעל פיה הוא מחליט האם להעביר (to forward) חבילה מסוימת או לא הטבלה נכתבת ע " י מנהלי הרשת בהתאם למדיניות ההגנה

23. הגנה - חורף תשס"ד - הרצאה 722 הסינון מתבצע על סמך השדות הבאים : כתובת IP המקור והיעד. הפרוטוקול (TCP, UDP). פורט המקור והיעד. ביט ה -ACK כיוון החבילה (in/out) ביחס לרשת עליה מגינים. חוקי ה-Packet filter TCP/UDP header IP header TCP header

24. הגנה - חורף תשס"ד - הרצאה 723 השימוש בטבלה כל חבילה נבדקת מול הטבלה, לפי סדר השורות בטבלה. החבילה מועברת הלאה או נזרקת לפי השורה הראשונה בטבלה שמתאימה לחבילה. אם אף שורה לא מתאימה, החבילה נזרקת.

25. הגנה - חורף תשס"ד - הרצאה 724 השימוש בשדה ה -Ack רלוונטי רק לחבילות TCP. בכל TCP session, בחבילה הראשונה שיוזמת את ה-session, ack=0. בשאר החבילות השייכות לאותו session, ack=1. לכן, אם מגיעה חבילה עם ack=0, סימן שהיא יוזמת session חדש. מדיניות הגנה נפוצה היא לא לאפשר ליזום sessions מבחוץ אל תוך הרשת הפרטית.

26. הגנה - חורף תשס"ד - הרצאה 725 דוגמא: חוקי Packet filter מדיניות ההגנה : –telnet ממשתמשים ברשת הפרטית לשרתים ברשת הציבורית מותר. – כל תעבורה אחרת מהרשת הפרטית ואליה, אסורה.

27. הגנה - חורף תשס"ד - הרצאה 726 דוגמא לחוקי Packet filter (המשך)

28. הגנה - חורף תשס"ד - הרצאה 727 דוגמא : FTP FTP הוא פרוטוקול שעובד מעל TCP, ומשתמש בשני port- ים קבועים לשרתים : port 21 למטרות שליטה ובקרה - command port, ו -port 20 למטרת העברת המידע בהגדרת המקורית של ה -FTP, ה -client מעביר ב - command session את מספר ה -port שישמש אותו ב -data session. השרת פותח את ה -data session מ -port 20 שלו אל מספר ה -port שקיבל מה -client. צורה זו נקראית FTP אקטיבי.

29. הגנה - חורף תשס"ד - הרצאה 728 FTP גירסה ידידותית ל-Firewalls ה -FTP המקורי בעייתי עבור firewall, מכיון ש -server מאתחל את ה -data session בגירסה הידידותית ל -firewalls, ה -client שולח את פקודת pasv ב -command session השרת מגיב עם מספר port אקראי (>1023) ה -client פותח session מ -port אקראי שלו, אל ה -port שקיבל מה -server שיטה זו נקראית FTP פאסיבי.

30. הגנה - חורף תשס"ד - הרצאה 729 FTP גירסה ידידותית ל-Firewalls (המשך) נראה בהמשך סוג של Firewalls המסוגל לבחון את תוכן ה -session. במקרה כזה ניתן להמשיך להשתמש במוד האקטיבי. סוג זה של Firewall נקרא Stateful inspection מאפשר ל -packet filter לחבר בין ה -command session ובין ה -data session ( בלתי אפשרי ב - packet filter שעובד עם חוקים סטטיים )

31. הגנה - חורף תשס"ד - הרצאה 730 הערה חלק ניכר מהפרוטוקולים החדשים יותר לטיפול במולטימדיה ( העברת קול או וידאו ) משתמשים בטכניקה דומה לזו ש -FTP משתמש בה ( לדוגמא RTP, H323) פרוטוקול מסוג זה מחולק לשני חלקים : – בחלק הראשון קובעים שני המשתתפים את מספרי ה - port- ים שמעליהם יעבורו הנתונים. חלק זה לרוב רץ מעל TCP – בחלק השני, שלרוב רץ מעל UDP מועברים הנתונים

32. הגנה - חורף תשס"ד - הרצאה 731 Proxy server MAC IP TCPUDP Application MAC IP TCPUDP Application Host AHost B Proxy server MAC IP TCPUDP Application

33. הגנה - חורף תשס"ד - הרצאה 732 Proxy Servers תכניות אפליקציה שרצות במערכת ה -Firewall ה -Client וה -Server אינם מדברים ישירות, ה - client מפנה בקשת ל -proxy server, שמעביר / לא מעביר אותה אל ה -server Server Client Proxy Server

34. הגנה - חורף תשס"ד - הרצאה 733 Proxy servers (המשך) ה -Proxy server מאפשר מעבר מידע אך ורק דרך ה -Proxy applications כל מידע אחר איננו עובר Proxy server שעובד מעל TCP חייב להגן על עצמו כנגד התקפות נפוצות על TCP מכיון ש -Proxy server עובד ברמת האפליקציה, הוא יכול לבצע בדיקות שאינן יכולות להתבצע ע " י Packet filter. – דוגמא : אנטי וירוס

35. הגנה - חורף תשס"ד - הרצאה 734 דוגמא : telnet (ללא Proxy server) sara_pc.radguard.com tx.technion.ac.il 1778 23

36. הגנה - חורף תשס"ד - הרצאה 735 דוגמא : telnet (עם Proxy server) sara_pc.radguard.com 1778 proxy.radguard.com 8023 c tx.technion.ac.il tx.technion.ac.il 23 1889

37. הגנה - חורף תשס"ד - הרצאה 736 Proxy servers יתרונות : – אפשרות ל -access control על ישויות שקיימות אך ורק ברמת האפליקציה ( לדוגמא - משתמשים ב -telnet וב - ftp) – אין קשר tcp ישיר בין client ל -server חסרונות : – לכל אפליקציה חדשה, יש לכתוב proxy חדש – אין ( בד ” כ ) שקיפות לקצוות

38. הגנה - חורף תשס"ד - הרצאה 737 Packet filters יתרונות : – שקוף למשתמש – שקוף לאפליקציות חדשות – ניתן למימוש על routers חסרונות : – קשה לקונפיגורציה – מוגבל ( עם Stateful inspection פחות )

39. הגנה - חורף תשס"ד - הרצאה 738 חיבור משתמשים ניידים לרשת פרטית ב -Proxy server : בקרת כניסה, גישה וסינון אפשריים ברמת האפליקציה ב -Packet filter : לא אפשרי - כתובת ה -IP איננה קבועה. בד ” כ לא קיימת אפשרות לסינון ברמת האפליקציה – פתרון : Authentication אל ה -firewall לפני ( או תוך כדי ה -session)

40. הגנה - חורף תשס"ד - הרצאה 739 Packet Filtering דינאמי

41. הגנה - חורף תשס"ד - הרצאה 740 Packet filtering דינאמי במקום להשתמש בחוקים סטטיים, ניתן לזכור אילו sessions חוקיים נפתחו, ולאפשר אך ורק העברת חבילות השייכות ל-session קיים או שפותחות session חדש חוקי.

42. הגנה - חורף תשס"ד - הרצאה 741 שמירת Session context ציינו כבר ש -Session מאופיין חד - ערכית על ידי החמישיה <protocol, source addr, source port, dest addr, dest port> לגבי החבילה הראשונה שפותחת session, נשתמש בחוקים סטטיים ע " מ להחליט האם זהו session חוקי. נשמור את החמישיות הנ " ל לכל session פתוח. כל חבילה שאינה מתחילה session חדש ואינה שייכת ל - session פתוח, תזרק.

43. הגנה - חורף תשס"ד - הרצאה 742 סריקת שדות האפליקציה Stateful inspection שיפור זה של Packet filter מסוגל לסרוק כל שדה בחבילה, בפרט הוא מסוגל לסרוק את שדות האפליקציה. נזכור ש-packet filter ממומש בד"כ ב-gateway, ולכן החבילות אינן בהכרח מגיעות לפי הסדר. שדה מסוים באפליקציה יכול לחצות גבולות חבילה. בכדי שה-packet filter יוכל לבצע סריקה אחרי שדות בעלי משמעות ברמת האפליקציה, הוא חייב לזהות את כל החבילות ששייכות לאותו ה-session, ולסרוק אותם לפי הסדר – תהליך זה נקרא stateful inspection.

44. הגנה - חורף תשס"ד - הרצאה 743 דוגמא – Stateful inspection Stateful inspection יחד עם שמירת session context מאפשרים להתגבר על אי הידידותיות של FTP (או פרוטוקולים לטיפול במולטימדיה) ל-packet filters. כאשר נפתח ה-command session, הלקוח שולח לשרת את מספר הפורט שלו עבור ה-data session. מערכת ה-stateful inspection מציצה לתוכן ההודעה וזוכרת את מספר הפורט המועבר. לאחר מכן, היא תאפשר את מעבר החבילה שפותחת את ה-data session מהשרת אל הלקוח.

45. הגנה - חורף תשס"ד - הרצאה 744 חסרונות ה-Firewalls אין הגנה על התעבורה שאינה עוברת דרך ה- Firewall. –מניחים שכל המשתמשים ברשת הפנימית הם הגונים. –אם פורץ מבחוץ מצליח להשתלט על מחשב אחד בתוך החברה, ה-Firewall לא ימנע ממנו להשתלט על מחשבים נוספים. ניתן "להתלבש" על אפליקציות חוקיות: –FTP active mode –“firewall-friendly protocols”. אין הגנה על תוכן החבילה ואין אימות משתמש.

46. הגנה - חורף תשס"ד - הרצאה 745 השוואה בין סוגי ה-Firewall ProxyStateful Inspection Packet Filtering Packet Filtering חיבור עקיףחיבור ישיר רגיש לפרוטוקול אינו רגיש לפרוטוקול שומר מצב אינו שומר מצב (stateless) מסוגל לממש בקרת זרימה לא מסוגל לממש בקרת זרימה

47. הגנה - חורף תשס"ד - הרצאה 746 Firewalls - עדכון יעילות חסימת ההתקפות של firewalls ירדה משמעותית ב-5 השנים האחרונות –תעבורה עוקפת Firewall: לדוגמא מחשבים ניידים –התקפות על פורטים שלרוב פתוחים ב- firewalls: לדוגמא פורט 80