Presentation is loading. Please wait.

Presentation is loading. Please wait.

הגנה במערכות מתוכנתות תרגול 10 – חומות אש – Firewalls הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה בלבד.

Published by Modified over 9 years ago

Similar presentations

Presentation on theme: "הגנה במערכות מתוכנתות תרגול 10 – חומות אש – Firewalls הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה בלבד."— Presentation transcript:

1 הגנה במערכות מתוכנתות תרגול 10 – חומות אש – Firewalls הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה בלבד.

2 הגנה במערכות מתוכנתות - תרגול 102 (c) אריק פרידמן 2007 חומות אש המטרה: הגנה על תקשורת בין רשתות  Stateless Packet Filtering Firewalls  Stateful Packet Filtering Firewalls (סינון חבילות דינמי)  Proxy Servers “Choke point”

3 הגנה במערכות מתוכנתות - תרגול 103 (c) אריק פרידמן 2007 תזכורת – IP Header 32 bits IP Packet Destination Address Identification VerH.LenToSTotal Length FlagsFragment Offset Source Address Time to LiveProtocolHeader Checksum OptionsPadding Data (upper layers) Header

4 הגנה במערכות מתוכנתות - תרגול 104 (c) אריק פרידמן 2007 תזכורת – UDP Header UDP Packet 32 bits Data (upper layers) Source PortDestination Port ChecksumLength Header

5 הגנה במערכות מתוכנתות - תרגול 105 (c) אריק פרידמן 2007 תזכורת – TCP Header Ack 32 bits TCP Packet Window Sequence Number Acknowledgement Number Source PortDestination Port Urgent PointerChecksum H. LenReservedFlags Options Data (upper layers) Padding Header

6 הגנה במערכות מתוכנתות - תרגול 106 (c) אריק פרידמן 2007 מתוך ה- TCP/UPD Header Stateless Packet Filtering Firewalls מבצע סינון של החבילות על סמך ה-headers  מדיניות ההגנה מוגדרת באמצעות טבלת חוקים סטטית ActionACKDestination Port Source Port Next Protocol Destination Address Source Address DirectionRule מתוך ה-IP Header מתוך TCP “in” “out” IP Address wildcard (132.64.*.*) “any” TCP UDP IPSec,… port number port range “any” “yes” “no” “any” “permit” “deny”

7 הגנה במערכות מתוכנתות - תרגול 107 (c) אריק פרידמן 2007 Stateless Packet Filtering Firewalls בהגעת חבילה מחפשים את השורה הראשונה המתאימה  בסוף הטבלה תמיד נכתוב בסוף הטבלה שורה מהצורה any,any,…,any,deny דגשים  בד"כ יש שתי שורות עבור כל כלל  עקרון מזעור הזכויות  חשיבות השדה ACK איזה צד יכול ליזום session

8 הגנה במערכות מתוכנתות - תרגול 108 (c) אריק פרידמן 2007 דוגמה – הגנה על NET1 מדיניות ההגנה הנדרשת  לכל המחשבים ב-NET1 פרט למחשב a מותר לבצע telnet לכל מחשב באינטרנט.  לכל המחשבים באינטרנט מותר לבצע http למחשב מיוחד ב- NET1 ששמו WS.  כל היתר אסור. NET1 a WS Internet

9 הגנה במערכות מתוכנתות - תרגול 109 (c) אריק פרידמן 2007 דוגמה – הטבלה המתקבלת ActionACKDestination Port Source Port Next Protocol Destination Address Source Address DirectionRule denyany NET1inspoof denyany23>1023TCPanyaoutno-a-telnet1 denyany>102323TCPaanyinno-a-telnet2 permitany23>1023TCPanyNET1outtelnet1 permityes>102323TCPNET1anyintelnet2 permitany80>1023TCPWSanyinhttp1 permityes>102380TCPanyWSouthttp2 denyany רשימה מלאה של אפליקציות ומספר הפורטים שהוקצו להן ניתן למצוא ב: http://www.iana.org/assignments/port-numbers

10 הגנה במערכות מתוכנתות - תרגול 1010 (c) אריק פרידמן 2007 FTP – File Transfer Protocol משתמש בשני sessions  Command Session – לשליחת פקודות (get, put, ls,...)  Data Session – להעברת קבצים גרסה רגילה – Active Mode Client Server Command Session port y get a.exe y>1023x>10232120 a.exe Data Session

11 הגנה במערכות מתוכנתות - תרגול 1011 (c) אריק פרידמן 2007 עדכון ה-Firewall: ActionACKDestination Port Source Port Next Protocol Destination Address Source Address DirectionRule permitany21>1023TCPanyNET1outftp_com_1 permityes>102321TCPNET1anyinftp_com_2 permitany>102320TCPNET1anyinftp_act_1 Permityes20>1023TCPanyNET1outftp_act_2 בעיה:  בד"כ לא נרצה לאפשר ליזום קשר מבחוץ אל מחשבים ברשת הפרטית. פתרון:  גרסת FTP "ידידותית" ל-Firewalls

12 הגנה במערכות מתוכנתות - תרגול 1012 (c) אריק פרידמן 2007 FTP – Passive Mode Client Server Command Session PASV get a.exe y>1023x>102321z>1023 open Data Session port z a.exe

13 הגנה במערכות מתוכנתות - תרגול 1013 (c) אריק פרידמן 2007 עדכון ה-Firewall: ActionACKDestination Port Source Port Next Protocol Destination Address Source Address DirectionRule permitany21>1023TCPanyNET1outftp_com_1 permityes>102321TCPNET1anyinftp_com_2 permitany>1023 TCPAnyNET1outftp_psv_1 permitYes>1023 TCPNET1anyInftp_psv_2

14 הגנה במערכות מתוכנתות - תרגול 1014 (c) אריק פרידמן 2007 תכונות של Stateless PF Firewall חוסר זכרון שקיפות למשתמשים ברשת דורש קונפיגורציה של ה-Firewall מהיר (בדיקה מאוד פשוטה)

15 הגנה במערכות מתוכנתות - תרגול 1015 (c) אריק פרידמן 2007 מגבלות של Stateless PF Firewall חוסר זכרון  תוקף יכול ליצור עומס על הרשת ההחלטות מבוססות על שכבות IP ו-TCP/UDP בלבד  אפשר לעקוף ע"י שימוש בפורטים שאינם חסומים פתרון: Stateful Packet Filtering Firewall שני סוגי חוקים: סטטיים ודינאמיים.

16 הגנה במערכות מתוכנתות - תרגול 1016 (c) אריק פרידמן 2007 בחזרה לדוגמה – הגנה על NET1 הפעם נניח Firewall מסוג Stateful Packet Filtering מטעמי פשטות נניח שלכלל המשתמשים ברשת (גם a) מותר לבצע telnet לכל מחשב באינטרנט NET1 a WS Internet

17 הגנה במערכות מתוכנתות - תרגול 1017 (c) אריק פרידמן 2007 דוגמה – הטבלה המתקבלת ActionACKDestination Port Source Port Next Protocol Destination Address Source Address DirectionRule permityes231057TCPwaouttelnet1 permityes105723TCPawintelnet2 ActionACKDestination Port Source Port Next Protocol Destination Address Source Address DirectionRule permitno23>1023TCPanyNET1outtelnet נרשום בטבלה את השורה הסטטית הבאה: כשמשתמש a מ-NET1 רוצה להתחבר לשרת ה-telnet של מחשב w באינטרנט, מתווספות לטבלה שורות דינאמיות: השורות יוסרו לאחר סגירת הקשר (במקרה של UDP – לאחר timeout)

18 הגנה במערכות מתוכנתות - תרגול 1018 (c) אריק פרידמן 2007 Stateful Inspection Firewalls בוחנים מידע המועבר ברמת האפליקציה  בנוסף למידע ברמת שכבות הרשת והתובלה לדוגמה – פתרון עבור FTP  ה-Firewall מזהה את פורט z אליו ייפתח ה-Data Session, ויוסיף את השורות הדינאמיות המתאימות. מניעת ניצול פורטים פתוחים לתקשורת אסורה. ה-Firewall צריך להכיר כל אחד מהפרוטוקולים עליהם הוא מעוניין להגן.

19 הגנה במערכות מתוכנתות - תרגול 1019 (c) אריק פרידמן 2007 סיכום - Stateful לעומת Stateless ל-Stateful יש זיכרון  החלטות דינאמיות, תלויות בחבילות קודמות אבל גם מהירות נמוכה יותר...  פתח להתקפות Denial of Service

20 הגנה במערכות מתוכנתות - תרגול 1020 (c) אריק פרידמן 2007 Proxy Servers מגבלה של ה-Firewalls שראינו: לא בודקים את כל המידע בשכבת האפליקציה  האם קובץ עם סיומת jpg שהועבר ב-FTP הוא באמת תמונה?  הפעלת אנטי וירוס על מידע שעובר.  דורש מספיק חבילות כדי לקבל החלטות. מענה: Proxy Server  "מתווך" בין המחשבים ברשת לבין מחשבים חיצוניים.

21 הגנה במערכות מתוכנתות - תרגול 1021 (c) אריק פרידמן 2007 איך זה נראה? כל Proxy Server יגן על אפליקציה יחידה. Internet Server >1023 8023 1’st session 2’nd session >1023 23 Telnet Proxy Client

22 הגנה במערכות מתוכנתות - תרגול 1022 (c) אריק פרידמן 2007 מה proxy server יכול לעשות? לחכות למספיק חבילות כדי להחליט מה לעשות. להעביר את המידע, לזרוק אותו, לשנות אותו. אימות של המשתמש. למנוע ממשתמשים מסוימים שירותים מה-Proxy Server. להפעיל אנטי-וירוס. בקרה על זרימת המידע. בגלל איטיותם מתקינים אותם על מחשב בתוך רשת הארגון.

23 הגנה במערכות מתוכנתות - תרגול 1023 (c) אריק פרידמן 2007 תכונות של Proxy Server בעל זכרון אין שקיפות למשתמשים ברשת קונפיגורציה לא מסובכת לא כל כך מהיר

24 הגנה במערכות מתוכנתות - תרגול 1024 (c) אריק פרידמן 2007 התצורה המקובלת מגדירים אזור מפורז (DMZ – Demilitarized Zone)  מפריד בין הרשת הפנימית לחיצונית  יוצבו בו המחשבים הדורשים תקשורת לשאר העולם שרתי Web שרתי Proxy

25 הגנה במערכות מתוכנתות - תרגול 1025 (c) אריק פרידמן 2007 DMZ External Router (P.F. 2) Internet Internal Router (P.F. 1) Private Network A Bastion Host (Proxy Servers) Web Server DMZ

26 הגנה במערכות מתוכנתות - תרגול 1026 (c) אריק פרידמן 2007 דוגמה ActionACKDestination Port Source Port Next Protocol Destination Address Source Address DirectionRule denyany Ainspoof permitany23>1023TCPBastion HostAouttelnet1 permityes>102323TCPABastion Hostintelnet2 denyany רוצים לאפשר telnet מ-A החוצה, ושכל קשרי ה-telnet ישתמשו ב-Telnet Proxy Server. Internal Router (P.F 1)

27 הגנה במערכות מתוכנתות - תרגול 1027 (c) אריק פרידמן 2007 דוגמה - המשך ActionACKDestination Port Source Port Next Protocol Destination Address Source Address DirectionRule denyany Ainspoof1 denyany DMZinspoof2 permitany23>1023TCPanyBastion Hostouttelnet1 permityes>102323TCPBastion Hostanyintelnet2 denyany Anyany רוצים לאפשר telnet מ-A החוצה, ושכל קשרי ה-telnet ישתמשו ב-Telnet Proxy Server. External Router (P.F 2)

Download ppt "הגנה במערכות מתוכנתות תרגול 10 – חומות אש – Firewalls הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה בלבד."

Similar presentations

1 Topic 2 – Lesson 4 Packet Filtering Part I. 2 Basic Questions What is packet filtering? What is packet filtering? What elements are inside an IP header?

1 Topic 2 – Lesson 4 Packet Filtering Part I. 2 Basic Questions What is packet filtering? What is packet filtering? What elements are inside an IP header?
Intro To Secure Comm. Exercise 7. Solution (review of last lesson) Assuming  CEO1:10.0.0.1  CEO2:11.0.0.1 Use both transport mode and tunnel mode IPSec.

Intro To Secure Comm. Exercise 7. Solution (review of last lesson) Assuming  CEO1:  CEO2: Use both transport mode and tunnel mode IPSec.
הגנה במערכות מתוכנתות חורף תשסד הרצאה 7 Firewalls ספרות : Chapman, Zwicki. Building Internet Firewalls. O’Reilly, 1995. Cheswick, Bellovin. Firewalls.

הגנה במערכות מתוכנתות חורף תשס"ד הרצאה 7 Firewalls ספרות : Chapman, Zwicki. Building Internet Firewalls. O’Reilly, Cheswick, Bellovin. Firewalls.
Firewalls and Intrusion Detection Systems

Firewalls and Intrusion Detection Systems
תרגול 8.5 – מודל השכבות, מבוא ל-TCP/IP

תרגול 8.5 – מודל השכבות, מבוא ל-TCP/IP
חורף - תשס ג 236363- DBMS, Design1 שימור תלויות אינטואיציה : כל תלות פונקציונלית שהתקיימה בסכמה המקורית מתקיימת גם בסכמה המפורקת. מטרה : כאשר מעדכנים.

חורף - תשס " ג DBMS, Design1 שימור תלויות אינטואיציה : כל תלות פונקציונלית שהתקיימה בסכמה המקורית מתקיימת גם בסכמה המפורקת. מטרה : כאשר מעדכנים.
Standard, Extended and Named ACL.  In this lesson, you will learn: ◦ Purpose of ACLs  Its application to an enterprise network ◦ How ACLs are used to.

Standard, Extended and Named ACL.  In this lesson, you will learn: ◦ Purpose of ACLs  Its application to an enterprise network ◦ How ACLs are used to.
הגנה במערכות מתוכנתות תרגול 1 – המחשב האישי הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה בלבד.

הגנה במערכות מתוכנתות תרגול 1 – המחשב האישי הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה בלבד.
1 Some TCP/IP Basics....NFSDNSTELNETSMTPFTP UDPTCP IP and ICMP Ethernet, serial line,..etc. Application Layer Transport Layer Network Layer Low-level &

1 Some TCP/IP Basics....NFSDNSTELNETSMTPFTP UDPTCP IP and ICMP Ethernet, serial line,..etc. Application Layer Transport Layer Network Layer Low-level &
Intro To Secure Comm. Exercise 6. Problem A vendor wishes to incorporate the following:  Upon any login/change the vendor updates the cookie Cookie(SessionTime||{Item||Price})

Intro To Secure Comm. Exercise 6. Problem A vendor wishes to incorporate the following:  Upon any login/change the vendor updates the cookie Cookie(SessionTime||{Item||Price})
Formal Specifications for Complex Systems (236368) Tutorial #6 appendix Statecharts vs. Raphsody 7 (theory vs. practice)

Formal Specifications for Complex Systems (236368) Tutorial #6 appendix Statecharts vs. Raphsody 7 (theory vs. practice)
1 Application TCPUDP IPICMPARPRARP Physical network Application TCP/IP Protocol Suite.

1 Application TCPUDP IPICMPARPRARP Physical network Application TCP/IP Protocol Suite.
הגנה במערכות מתוכנתות תרגול 12 – אבטחה ברמת ה-IP – IPsec הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה בלבד.

הגנה במערכות מתוכנתות תרגול 12 – אבטחה ברמת ה-IP – IPsec הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה בלבד.
Institute of Technology Sligo - Dept of Computing Semester 2 Chapter 9 The TCP/IP Protocol Suite Paul Flynn.

Institute of Technology Sligo - Dept of Computing Semester 2 Chapter 9 The TCP/IP Protocol Suite Paul Flynn.
TCP. Learning objectives Reliable Transport in TCP TCP flow and Congestion Control.

TCP. Learning objectives Reliable Transport in TCP TCP flow and Congestion Control.
FIREWALLS & NETWORK SECURITY with Intrusion Detection and VPNs, 2 nd ed. 6 Packet Filtering By Whitman, Mattord, & Austin© 2008 Course Technology.

FIREWALLS & NETWORK SECURITY with Intrusion Detection and VPNs, 2 nd ed. 6 Packet Filtering By Whitman, Mattord, & Austin© 2008 Course Technology.
Chapter 2 Networking Overview. Figure 2.1 Generic protocol layers move data between systems.

Chapter 2 Networking Overview. Figure 2.1 Generic protocol layers move data between systems.
1 Spring Semester 2007, Dept. of Computer Science, Technion Internet Networking recitation #3 Internet Control Message Protocol (ICMP)

1 Spring Semester 2007, Dept. of Computer Science, Technion Internet Networking recitation #3 Internet Control Message Protocol (ICMP)
Transport Layer TCP and UDP IS250 Spring 2010

Transport Layer TCP and UDP IS250 Spring 2010
1 Lecture 20: Firewalls motivation ingredients –packet filters –application gateways –bastion hosts and DMZ example firewall design using firewalls – virtual.

1 Lecture 20: Firewalls motivation ingredients –packet filters –application gateways –bastion hosts and DMZ example firewall design using firewalls – virtual.

Similar presentations

Ads by Google