Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

HiØ Forelesning 12 Brannmurer

PublisertTrond Corneliussen Endret for 9 år siden

Liknende presentasjoner

Presentasjon om: "HiØ Forelesning 12 Brannmurer"— Utskrift av presentasjonen:

1 HiØ Forelesning 12 Brannmurer
Datasikkerhet vår 2003 Forelesning 12 Brannmurer Forelesning 12

2 Bakgrunn Informasjonssystemer er i konstant endring
fra små lokalnett til tilknytning/ sammenknytning via Internett Sterke sikkerhetsmekanismer er ikke på plass for arbeidsstasjoner og tjenermaskiner HiØ Forelesning 12

3 Design-prinsipper Brannmuren plasseres mellom eget nettverk og Internett Mål: Etablere en kontrollert linje; Beskytte eget nettverk mot Internett-baserte angrep; Tilby ett enkelt punkt der trafikken kan blokkeres; HiØ Forelesning 12

4 Brannmurer Mål for design av brannmur
HiØ Brannmurer Mål for design av brannmur All trafikk inn og ut av nett skal passere gjennom brannmuren Kun autorisert trafikk, definert av den lokale sikkerhetspolicy, skal tillates å passere Brannmuren skal selv være immun mot innbrudd HiØ Forelesning 12 Forelesning 12

5 Fire generelle teknikker
Kontroll med tjenestene. Bestemmer hvilke Internett-tjenester som kan aksesseres - innkommende og utgående. Kan filtrere på basis av IP-adresser og TCP portnummer; Kan omfatte proxy-programvare som mottar og interpreterer ”service requests” Retningskontroll Hvilken vei kan en gitt tjeneste initieres (skal f.eks. ftp kunne initieres innenfra, utenfra eller begge veier) hvilken vei kan data flyte Brukerkontroll Kontrollere aksess basert på hvem brukeren er Kan benyttes begge veier Oppførselskontroll Kontrollere hvordan tjenester brukes - f.eks. filtrere epost meldinger for å hindre ”spamming” HiØ Forelesning 12

6 Muligheter FW Definerer en enkel sluse;
som holder uautoriserte brukere ute (og egne brukere og tjenester inne) ett punkt forenkler sikringen/konfigureringen (men kan bli en flaskehals) Ett enkelt sted der trafikk kan overvåkes og logges - implementere revisjon og sikkerhetsalarmer Et hensiktsmessig sted å plassere diverse felles funksjonalitet adressekonvertering far eksternt til internt adresserom Plattform for sikkerhetsfunksjoner IPsec kryptografiske tuneller autentisering av eksterne FW HiØ Forelesning 12

7 Begrensninger Beskytter ikke mot ”bakdører”
modemer eller andre offisiellle eller uoffisielle tilknytninger til eksternt nett Beskytter ikke mot interne trusler Kan ha problemer med å stanse ondsinnet programvare ol. i vedlegg siden man på baksiden av brannmuren kan ha mange forskjellige systemer/operativsystemer HiØ Forelesning 12

8 Typer brannmurer Pakkefiltere Portnere på applikasjonsnivå
”Linjebasert” portnere (circuit level) Bastion host HiØ Forelesning 12

9 Pakkefilter HiØ Forelesning 12

10 Pakkefilter funksjonalitet
Håndhever et sett regler på mottatte IP pakker videreformidler (forward) eller forkaster (discard) filtrerer begge veier - innkommende og utgående filtrere på felt i IP og transport (f.eks. TCP og UDP) hode avsender IPadresse, mottager IPadresse, protokollfelt (TCP/UDP), portnummer konfigureres som et sett med regler som skal avgjøre om forward eller discard. Hvis ingen regel kommer til anvendelse, benyttes standard, som kan være discard (konservativ, initielt alt er stengt inntil man bevisst åpner) eller forward HiØ Forelesning 12

11 Pakkefiltereksempel A
Innkommende epost tillates, men kun til en portner (GW). Epost fra Lurum avvises. (Vi har blitt spammet av dem tidligere). NB for rekkefølgen! HiØ Forelesning 12

12 Pakkefiltereksempel B
Standard (default) policy. Alle regelsett avsluttes implisitt med denne HiØ Forelesning 12

13 Pakkefiltereksempel C
Avsenderadresse er en maske - vårt adresserom. Avsender fra vårt nett kan sende til alle, på port no 25. Innkommende pakker aksepteres på port 25 hvis ACK flagget er satt. HiØ Forelesning 12

14 Pakkefiltereksempel D
Tillater alle pakker sendt fra oss; Svar på disse fra mottager; Tillat pakker til høye portnummer. HiØ Forelesning 12

15 Fordeler og ulemper Fordeler Ulemper Enkle regler
transparente for brukere raske Ulemper Vanskelig å sette opp alle reglene komplett og riktig Ingen autentisering HiØ Forelesning 12

16 Angrep på pakkefiltere
IP address spoofing Angriper sender pakker fra utsiden med avsenderadresse fra maskin på innsiden Tiltak: Ikke tillate pakker fra utsiden med avsenderadresse fra vårt adresserom Fragmenteringsangrep Angriper sender pakker delt opp i små fragmenter, TCP header deles på flere fragmenter. Forsøker å omgå filterregler som avhenger av TCP header info, og som kanskje kun tester på første fragment Tiltak: Avvise alle TCP pakker som er fragmentert (IP Fragment Offset lik 1 HiØ Forelesning 12

17 Proxy basert brannmur HiØ Forelesning 12

18 Funksjonalitet Proxy gateway
Fungerer som rele på trafikk på applikasjonsnivå Inneholder proxyer (stedfortreder) for de aktuelle applikasjoner Inneholder gjerne også pakkefilterfunksjonalitet Kan regulere hvilke brukere som får bruke hvilke applikasjoner Transparent: Ingen autentisering av innsidere Ikke-transparent: pålogging på brannmur Sterk autentisering på innkommende anrop Aktivitet kan logges Isolerer intern IP trafikk fra ekstern Privat adresserom på innsiden av brannmur Skjuler eksistensen av interne systemer Kan regulere på applikasjonsspesifikke funksjoner - FTP Put file NB! Hver ny applikasjon krever ny (proxy-)programvare HiØ Forelesning 12

19 Eksempel brannmur konfigurasjon
HiØ Forelesning 12

20 Eksempel - aksessliste i proxy basert brannmur
HiØ Forelesning 12

21 ”Linjebasert” brannmur
HiØ Forelesning 12

22 Linjebasert (circuit-level)
HiØ Linjebasert (circuit-level) Setter opp to forbindelser (en på innsiden og en på utsiden) Kopierer segmenter fra en forbindelse til den andre Ingen bevissthet om applikasjonsfunksjoner Regulerer på bakgrunn av til/fra adresser. HiØ Forelesning 12 Forelesning 12

23 Tre arkitekturer Screened host brannmurer (single-homed bastion host)
Dual homed host Screened subnet HiØ Forelesning 12

24 Single homed bastion host
HiØ Forelesning 12

25 Screened host firewall Single-homed bastion
Brannmur består av to systemer Ruter med pakkefilterfunksjonalitet En ”bastion host” Ruter konfigureres slik at Trafikk fra utsiden kun aksepteres hvis mottaker er bastion. Trafikk ut fra innsiden aksepteres kun hvis avsender er bastion. Hvis ruter kompromitteres vil trafikk kunne omgå brannmur Bastion host utfører autentisering og proxy-funksjoner Fordeler Implementerer både pakkefilter og applikasjonsnivåfiltrering En angriper må trenge gjennom to forskjellige systemer Ulempe HiØ Forelesning 12

26 Dual homed host HiØ Forelesning 12

27 Dual homed host All trafikk må gjennom proxy server;
Ikke helt avhengig av ruteren med pakkefilter; HiØ Forelesning 12

28 Screened subnet HiØ Forelesning 12

29 Screened subnet Det er nå tre barrierer på veien inn Innkommende
Ruter; Bastion; Ruter. Innkommende Kun adresse til subnet med Bastion kjent på utsiden Privat nett skjult bak innerste ruter – med eget adresseområde Utgående Kun subnettets adresser kjent for systemer på privat nett; De kan derfor ikke selv sette opp direkte forbindelser til systemer på internett HiØ Forelesning 12

30 Brannmur og DMZ Internett DMZ Internt nett DMZ= Demilitarisert sone
Web- server FTP- server HiØ Forelesning 12

31 Trusted Systems En måte å forbedre evnen til å forsvare systemer mot inntrengere og ondsinnet programvare. HiØ Forelesning 12

32 Data Access Control Ved login kan en bruker identifiseres og auteniseres overfor systemet Assosiert med hver bruker kan det finnes en profil som spesifiserer lovlige handlinger og filaksess Operativsystemet kan håndheve regler basert på brukerprofilen. HiØ Forelesning 12

33 Aksesskontroll Generelle aksesskontrollmodeller:
Aksesskontrollmatriser Aksesskontrollister Adgangskortlister (capability list) Sikkerhetsmerker HiØ Forelesning 12

34 Aksesskontroll Aksesskontrollmatrise HiØ Forelesning 12

35 Aksesskontroll Aksesskontrollmatrise – grunnleggende elementer
Subjekter: “Noe” som kan aksessere objekter. Typisk prosess på vegne av bruker Objekt: Alle ressurser som er underlagt aksesskontroll f.eks. filer, programmer, kanaler Aksessrettighet: Den måten som et objekt brukes av et subjekt f.eks. Lese, skrive, eksekvere HiØ Forelesning 12

36 Aksesskontroll Aksesskontrolliste: Matrisens kolonner
Til hvert objekt finnes en liste over vilke subjekter som har rettigheter og vilke disse rettigheter er Adgangskort - Matrisens rader Hvert subjekt har adgangskort som inneholder spesifikasjoner av vilke objekter subjektet har rettigheter og og vilke rettigheter dette er HiØ Forelesning 12

37 Trusted Systems - Konseptet
Beskyttelse av data og andre ressurser på basis av sikkerhetsnivåer (f.eks. militære) Brukere kan gis klarering til visse kategorier av data Flernivå sikkerhet Definisjon av flere nivåer av data Et flernivåsikkert system må håndheve: No read up (ikke lese ovenfor). Et subjekt kan kun lese objekter med lavere eller samme sikkerhetsnivå. No write down (Ikke skrive nedover): Et subjekt kan kun skrive til et objekt på samme eller høyere sikkerhetsnivå. HiØ Forelesning 12

38 Trusted Systems - Konseptet
HiØ Forelesning 12

39 Trusted Systems – Reference monitor
Refernce monitor Er kontrollerende element i maskinvare og operativsystem som regulerer aksess til objekter på bakgrunn av sikkerhetsparametre Har aksess til en fil – sikkerhetskjernens database Håndhever sikkerhetsreglene (policyen - no read up, no write down) Egenskaper ved “Reference Monitor” Fullstendig “formidling” (mediation); Policy/regler håndheves for hver aksess Isolering: Monitor og database beskyttet mot uautorisert modifikasjon Verifiserbar: Monitorens korrekthet må kunne bevises (matematisk) Et system som tilfredsstiller disse krav er “Trusted” HiØ Forelesning 12

40 ”Trusted Systems” som forsvar mot Trojanske hester
HiØ Forelesning 12

41 ”Trusted Systems” som forsvar mot Trojanske hester
HiØ Forelesning 12

Laste ned ppt "HiØ Forelesning 12 Brannmurer"

Liknende presentasjoner

Www.ctiq.net Generisk nettstruktur inklusive CT-iq Offentlig Nett (ON) Bedriftsinternt Nett (BiN) CTI(opsjon)CT-iq Bedrifts LAN IN lev. LAN InnringerINleverandør(IN)Mobiloperatør(MO)

Generisk nettstruktur inklusive CT-iq Offentlig Nett (ON) Bedriftsinternt Nett (BiN) CTI(opsjon)CT-iq Bedrifts LAN IN lev. LAN InnringerINleverandør(IN)Mobiloperatør(MO)
HVA ER ?.

HVA ER ?.
TCP/IP-modellen.

TCP/IP-modellen.
Hvordan etablere nettbutikk med GoOnline Commerce

Hvordan etablere nettbutikk med GoOnline Commerce
GoOnline publisering Hvordan komme i gang med GoOnline. Denne presentasjonen tar deg steg for steg gjennom oppsett av nettsted med bruk av GoOnline Proffesional.

GoOnline publisering Hvordan komme i gang med GoOnline. Denne presentasjonen tar deg steg for steg gjennom oppsett av nettsted med bruk av GoOnline Proffesional.
Larvik Og Omegn MS Foreningen sin PC opplæring høsten 2005 Dette undervisningsmaterielle er laget av Ole Andreas Hvatum oktober 2005.

Larvik Og Omegn MS Foreningen sin PC opplæring høsten 2005 Dette undervisningsmaterielle er laget av Ole Andreas Hvatum oktober 2005.
FEIDE,  autorisasjon og informasjonstilgang Seniorrådgiver IKT-arkitektur Carl-Fredrik Sørensen Bruk av en tjenesteorientert arkitektur for å etablere.

FEIDE,  autorisasjon og informasjonstilgang Seniorrådgiver IKT-arkitektur Carl-Fredrik Sørensen Bruk av en tjenesteorientert arkitektur for å etablere.
HiØ 13.01 2003 Datasikkerhet vår 2002 Forelesning 2 Forelesning 2.

HiØ Datasikkerhet vår 2002 Forelesning 2 Forelesning 2.
Filbehandling (Kapittel 8)

Filbehandling (Kapittel 8)
Slik kommer du til «Personverninnstillinger»: Logg inn på Facebook.

Slik kommer du til «Personverninnstillinger»: Logg inn på Facebook.
Nettprosjekt 2012-2013. Kundeservice på nett •Bakgrunn –SiT hadde gamle nettsider med mye og utdatert innhold og funksjonalitet •Formål –Bidra til at.

Nettprosjekt Kundeservice på nett •Bakgrunn –SiT hadde gamle nettsider med mye og utdatert innhold og funksjonalitet •Formål –Bidra til at.
Kapittel 8: Nettverk i praksis

Kapittel 8: Nettverk i praksis
10. Presenting Page Elements Presentere sideinformasjon.

10. Presenting Page Elements Presentere sideinformasjon.
Eksterne sikkerhetsproblemer og trusler Med fokus på Windows nettverk.

Eksterne sikkerhetsproblemer og trusler Med fokus på Windows nettverk.
Sikkerhet - bakgrunn og introduksjon til kryptosystemer

Sikkerhet - bakgrunn og introduksjon til kryptosystemer
Datakom. Gruppeundervisning 21. november. Prøveeksamen •Gjennomgang onsdag 27. november.

Datakom. Gruppeundervisning 21. november. Prøveeksamen •Gjennomgang onsdag 27. november.
Programmering i Java versjon januar 2005 Kun til bruk i tilknytning til læreboka ”Programmering i Java” skrevet av Else.

Programmering i Java versjon januar 2005 Kun til bruk i tilknytning til læreboka ”Programmering i Java” skrevet av Else.
Gruppe 6 Gunnar Henrik Mathias Morten Ronny Svein Ivar.

Gruppe 6 Gunnar Henrik Mathias Morten Ronny Svein Ivar.
04.07.2014MS kap 61 Nye trender  Vi skal se på  Virtualisering  ”Cloud computing”

MS kap 61 Nye trender  Vi skal se på  Virtualisering  ”Cloud computing”
Astrid Louise Wester Divisjon for smittevern, Folkehelseinstituttet

Astrid Louise Wester Divisjon for smittevern, Folkehelseinstituttet

Liknende presentasjoner

Annonser fra Google