HiØ Forelesning 12 Brannmurer

Slides:



Advertisements
Liknende presentasjoner
Generisk nettstruktur inklusive CT-iq Offentlig Nett (ON) Bedriftsinternt Nett (BiN) CTI(opsjon)CT-iq Bedrifts LAN IN lev. LAN InnringerINleverandør(IN)Mobiloperatør(MO)
Advertisements

HVA ER ?.
TCP/IP-modellen.
Hvordan etablere nettbutikk med GoOnline Commerce
GoOnline publisering Hvordan komme i gang med GoOnline. Denne presentasjonen tar deg steg for steg gjennom oppsett av nettsted med bruk av GoOnline Proffesional.
Larvik Og Omegn MS Foreningen sin PC opplæring høsten 2005 Dette undervisningsmaterielle er laget av Ole Andreas Hvatum oktober 2005.
FEIDE,  autorisasjon og informasjonstilgang Seniorrådgiver IKT-arkitektur Carl-Fredrik Sørensen Bruk av en tjenesteorientert arkitektur for å etablere.
HiØ Datasikkerhet vår 2002 Forelesning 2 Forelesning 2.
Filbehandling (Kapittel 8)
Slik kommer du til «Personverninnstillinger»: Logg inn på Facebook.
Nettprosjekt Kundeservice på nett •Bakgrunn –SiT hadde gamle nettsider med mye og utdatert innhold og funksjonalitet •Formål –Bidra til at.
Kapittel 8: Nettverk i praksis
10. Presenting Page Elements Presentere sideinformasjon.
Eksterne sikkerhetsproblemer og trusler Med fokus på Windows nettverk.
Sikkerhet - bakgrunn og introduksjon til kryptosystemer
Datakom. Gruppeundervisning 21. november. Prøveeksamen •Gjennomgang onsdag 27. november.
Programmering i Java versjon januar 2005 Kun til bruk i tilknytning til læreboka ”Programmering i Java” skrevet av Else.
Gruppe 6 Gunnar Henrik Mathias Morten Ronny Svein Ivar.
MS kap 61 Nye trender  Vi skal se på  Virtualisering  ”Cloud computing”
Astrid Louise Wester Divisjon for smittevern, Folkehelseinstituttet
D ATASIKKERHET For foreldre med barn og unge som bruker datamaskin og internett - Hvilke trusler står vi ovenfor, og hvordan kan vi avverge disse?
Java Server Faces (JSF) en introduksjon Frode Eika Sandnes.
Aksess kontroll None shall pass.
FUNNKe Risikovurdering informasjonssikkerhet Nettverksmøte Tromsø 10. okt Eva Henriksen, Eva Skipenes,
Oppgave gjennomgang Kap. 3 og 4.
Klient - server nettverk Et nettverk består (ofte) av en (eller flere) server(e), og mange klienter. Klientene bruker tjenester levert av servere(ne).
1 Cryptography and Network Security Fourth Edition by William Stallings Lecture slides by Lawrie Brown.
1 Innføring i IDS (Intrusion Detection System) Som en enkel start på forskjellige måter å oppdage inntrengere på, skal vi se på en variant av dette som.
Oppkobling VPN.
IPSec og VPN.
Kryptering og nettverkssikkerhet Third Edition by William Stallings.
Presentasjon av masteroppgave
Arena Helse – Prosjekt St.Olav PC hjelp. 2 Starte Microsoft Outlook første gang Når du starter Outlook første gang får du opp et skjermbilde som vist.
Sikkerhetssystemer UIO-cert
8.4 Sikkerhetshåndtering Nøkkelhåndtering Gruppe av servere skal legge til et nytt medlem Autentisering/delegering (kapabiliteter, sertifikater)
3 Kommunikasjonsmodeller
Gruppe 3 – Presentasjon 2 Henning Kristiansen, Mats Lindh, André Hauge og Vegard Simensen.
Programmering i Java versjon desember 2002 Kun til bruk i tilknytning til læreboka ”Programmering i Java” skrevet av Else.
Kommunikasjon og Nettverk
Pakkesvitsjing prinsipp
Nettverksmøte FUNNKe 18.juni 2012 Elektronisk meldingsutveksling Forberedelser.
Fjernstyring av PCer med NTRconnect Svein/ALEPH brukermøte 2007.
Publisering på verdensveven Kursdag 1 VÅFF, våren 2002.
Skjema/Forms HTML II IT og læring 2/20 november 2001.
PARLAY/OSA Referanser: Referanser Foredraget er i all hovedsak basert på to artikler. Disse kan finnes på:
Dynamiske honeypotter. Definisjon av honeypot En ressurs som har sin verdi i å bli angrepet og kompromittert. Den er forventet å bli testet, angrepet.
Kapittel 5 Nettverkslaget
Avdelings ingeniør ved HiB (AHS)
The Peer-to-Peer Architecture Av Ingunn Lund og Anja Lønningen.
BasWare PM bestillingssystem - selvstudiemateriell:
Framside.
Hovedprosjekt Konfigurering av Virtuelle Private Nettverk (VPN) Veileder: Olav Skundberg Tom A. Trosterud og Lars Reidar Andersen.
Opplæring: Pålogging Prosedyre for logge på og av, låse og åpne PC’er DatoVersjonForfatterGodkjent avEndringer utført André S. MathiesenTore.
Malvik Videregående Skole Overvåking av brukeraktivitet og fjerndistribuering av Windows 2003 Server.
1 BasWare PM bestillingssystem - selvstudiemateriell: 1.Opprette anmodning/bestilling (denne presentasjon) 2.Godkjenne bestilling (egen presentasjon) 3.Utføre.
Prosjekt 52E Installasjon, konfigurasjon og bruk av System Management Server 2003.
The attack Håvard Ibenholt Meldahl Dataetterforsker – Ibas AS
Publish-Subscribe Middleware Informasjonsflyt fra en applikasjon til en annen applikasjon som er interessert i å motta informasjonen. Eksempel: Aksjeselskap.
Oppgavestiller: Stein Meisingseth ved Aitel. OPPGAVE: Sette opp og konfigurere en testlab med Live Communications Server Sette opp og konfigurere en testlab.
Protokoller Pensum: Olsen, kap. 5 og 6. Kommunikasjonsprotokoll Rutiner for å administrere og kontrollere oversending av data Telefonsamtale (”Hallo”,
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 1 Best Practice Noe av det som er lurt.
1 Kap. 57 – Cloud Computing How Information Technology Is Conquering the World: Workplace, Private Life, and Society Professor Kai A. Olsen, Universitetet.
Bakgrunn for prosjektet Lage en veiledning for små tjenestetilbydere av bredbånd, slik at de kan tilby sine kunder IP-telefoni ved å bruke SIP.
WLAN meg her og WLAN meg der
1 Utvikling av kritiske systemer Kort sammendrag Kap. 1 og 2.
Kvalitetssikring. er alle tiltak som er nødvendig for å sikre at et produkt vil tilfredsstille angitte krav til kvalitet og trygghet Kvalitetsarbeid krever.
Nye trender Vi skal se på Virtualisering ”Cloud computing”
Gå til – Klikk på «lag konto».
Søppelpost/Spam/Junk – hva er det, egentlig?
Internett som elektronisk kommunikasjonsmiddel
Utskrift av presentasjonen:

HiØ Forelesning 12 Brannmurer 24.03.2003 Datasikkerhet vår 2003 Forelesning 12 Brannmurer Forelesning 12

Bakgrunn Informasjonssystemer er i konstant endring fra små lokalnett til tilknytning/ sammenknytning via Internett Sterke sikkerhetsmekanismer er ikke på plass for arbeidsstasjoner og tjenermaskiner 24.03.2003 HiØ Forelesning 12

Design-prinsipper Brannmuren plasseres mellom eget nettverk og Internett Mål: Etablere en kontrollert linje; Beskytte eget nettverk mot Internett-baserte angrep; Tilby ett enkelt punkt der trafikken kan blokkeres; 24.03.2003 HiØ Forelesning 12

Brannmurer Mål for design av brannmur HiØ 24.03.2003 Brannmurer Mål for design av brannmur All trafikk inn og ut av nett skal passere gjennom brannmuren Kun autorisert trafikk, definert av den lokale sikkerhetspolicy, skal tillates å passere Brannmuren skal selv være immun mot innbrudd 24.03.2003 HiØ Forelesning 12 Forelesning 12

Fire generelle teknikker Kontroll med tjenestene. Bestemmer hvilke Internett-tjenester som kan aksesseres - innkommende og utgående. Kan filtrere på basis av IP-adresser og TCP portnummer; Kan omfatte proxy-programvare som mottar og interpreterer ”service requests” Retningskontroll Hvilken vei kan en gitt tjeneste initieres (skal f.eks. ftp kunne initieres innenfra, utenfra eller begge veier) hvilken vei kan data flyte Brukerkontroll Kontrollere aksess basert på hvem brukeren er Kan benyttes begge veier Oppførselskontroll Kontrollere hvordan tjenester brukes - f.eks. filtrere epost meldinger for å hindre ”spamming” 24.03.2003 HiØ Forelesning 12

Muligheter FW Definerer en enkel sluse; som holder uautoriserte brukere ute (og egne brukere og tjenester inne) ett punkt forenkler sikringen/konfigureringen (men kan bli en flaskehals) Ett enkelt sted der trafikk kan overvåkes og logges - implementere revisjon og sikkerhetsalarmer Et hensiktsmessig sted å plassere diverse felles funksjonalitet adressekonvertering far eksternt til internt adresserom Plattform for sikkerhetsfunksjoner IPsec kryptografiske tuneller autentisering av eksterne FW 24.03.2003 HiØ Forelesning 12

Begrensninger Beskytter ikke mot ”bakdører” modemer eller andre offisiellle eller uoffisielle tilknytninger til eksternt nett Beskytter ikke mot interne trusler Kan ha problemer med å stanse ondsinnet programvare ol. i vedlegg siden man på baksiden av brannmuren kan ha mange forskjellige systemer/operativsystemer 24.03.2003 HiØ Forelesning 12

Typer brannmurer Pakkefiltere Portnere på applikasjonsnivå ”Linjebasert” portnere (circuit level) Bastion host 24.03.2003 HiØ Forelesning 12

Pakkefilter 24.03.2003 HiØ Forelesning 12

Pakkefilter funksjonalitet Håndhever et sett regler på mottatte IP pakker videreformidler (forward) eller forkaster (discard) filtrerer begge veier - innkommende og utgående filtrere på felt i IP og transport (f.eks. TCP og UDP) hode avsender IPadresse, mottager IPadresse, protokollfelt (TCP/UDP), portnummer konfigureres som et sett med regler som skal avgjøre om forward eller discard. Hvis ingen regel kommer til anvendelse, benyttes standard, som kan være discard (konservativ, initielt alt er stengt inntil man bevisst åpner) eller forward 24.03.2003 HiØ Forelesning 12

Pakkefiltereksempel A Innkommende epost tillates, men kun til en portner (GW). Epost fra Lurum avvises. (Vi har blitt spammet av dem tidligere). NB for rekkefølgen! 24.03.2003 HiØ Forelesning 12

Pakkefiltereksempel B Standard (default) policy. Alle regelsett avsluttes implisitt med denne 24.03.2003 HiØ Forelesning 12

Pakkefiltereksempel C Avsenderadresse er en maske - vårt adresserom. Avsender fra vårt nett kan sende til alle, på port no 25. Innkommende pakker aksepteres på port 25 hvis ACK flagget er satt. 24.03.2003 HiØ Forelesning 12

Pakkefiltereksempel D Tillater alle pakker sendt fra oss; Svar på disse fra mottager; Tillat pakker til høye portnummer. 24.03.2003 HiØ Forelesning 12

Fordeler og ulemper Fordeler Ulemper Enkle regler transparente for brukere raske Ulemper Vanskelig å sette opp alle reglene komplett og riktig Ingen autentisering 24.03.2003 HiØ Forelesning 12

Angrep på pakkefiltere IP address spoofing Angriper sender pakker fra utsiden med avsenderadresse fra maskin på innsiden Tiltak: Ikke tillate pakker fra utsiden med avsenderadresse fra vårt adresserom Fragmenteringsangrep Angriper sender pakker delt opp i små fragmenter, TCP header deles på flere fragmenter. Forsøker å omgå filterregler som avhenger av TCP header info, og som kanskje kun tester på første fragment Tiltak: Avvise alle TCP pakker som er fragmentert (IP Fragment Offset lik 1 24.03.2003 HiØ Forelesning 12

Proxy basert brannmur 24.03.2003 HiØ Forelesning 12

Funksjonalitet Proxy gateway Fungerer som rele på trafikk på applikasjonsnivå Inneholder proxyer (stedfortreder) for de aktuelle applikasjoner Inneholder gjerne også pakkefilterfunksjonalitet Kan regulere hvilke brukere som får bruke hvilke applikasjoner Transparent: Ingen autentisering av innsidere Ikke-transparent: pålogging på brannmur Sterk autentisering på innkommende anrop Aktivitet kan logges Isolerer intern IP trafikk fra ekstern Privat adresserom på innsiden av brannmur Skjuler eksistensen av interne systemer Kan regulere på applikasjonsspesifikke funksjoner - FTP Put file NB! Hver ny applikasjon krever ny (proxy-)programvare 24.03.2003 HiØ Forelesning 12

Eksempel brannmur konfigurasjon 24.03.2003 HiØ Forelesning 12

Eksempel - aksessliste i proxy basert brannmur 24.03.2003 HiØ Forelesning 12

”Linjebasert” brannmur 24.03.2003 HiØ Forelesning 12

Linjebasert (circuit-level) HiØ 24.03.2003 Linjebasert (circuit-level) Setter opp to forbindelser (en på innsiden og en på utsiden) Kopierer segmenter fra en forbindelse til den andre Ingen bevissthet om applikasjonsfunksjoner Regulerer på bakgrunn av til/fra adresser. 24.03.2003 HiØ Forelesning 12 Forelesning 12

Tre arkitekturer Screened host brannmurer (single-homed bastion host) Dual homed host Screened subnet 24.03.2003 HiØ Forelesning 12

Single homed bastion host 24.03.2003 HiØ Forelesning 12

Screened host firewall Single-homed bastion Brannmur består av to systemer Ruter med pakkefilterfunksjonalitet En ”bastion host” Ruter konfigureres slik at Trafikk fra utsiden kun aksepteres hvis mottaker er bastion. Trafikk ut fra innsiden aksepteres kun hvis avsender er bastion. Hvis ruter kompromitteres vil trafikk kunne omgå brannmur Bastion host utfører autentisering og proxy-funksjoner Fordeler Implementerer både pakkefilter og applikasjonsnivåfiltrering En angriper må trenge gjennom to forskjellige systemer Ulempe 24.03.2003 HiØ Forelesning 12

Dual homed host 24.03.2003 HiØ Forelesning 12

Dual homed host All trafikk må gjennom proxy server; Ikke helt avhengig av ruteren med pakkefilter; 24.03.2003 HiØ Forelesning 12

Screened subnet 24.03.2003 HiØ Forelesning 12

Screened subnet Det er nå tre barrierer på veien inn Innkommende Ruter; Bastion; Ruter. Innkommende Kun adresse til subnet med Bastion kjent på utsiden Privat nett skjult bak innerste ruter – med eget adresseområde Utgående Kun subnettets adresser kjent for systemer på privat nett; De kan derfor ikke selv sette opp direkte forbindelser til systemer på internett 24.03.2003 HiØ Forelesning 12

Brannmur og DMZ Internett DMZ Internt nett DMZ= Demilitarisert sone Web- server FTP- server 24.03.2003 HiØ Forelesning 12

Trusted Systems En måte å forbedre evnen til å forsvare systemer mot inntrengere og ondsinnet programvare. 24.03.2003 HiØ Forelesning 12

Data Access Control Ved login kan en bruker identifiseres og auteniseres overfor systemet Assosiert med hver bruker kan det finnes en profil som spesifiserer lovlige handlinger og filaksess Operativsystemet kan håndheve regler basert på brukerprofilen. 24.03.2003 HiØ Forelesning 12

Aksesskontroll Generelle aksesskontrollmodeller: Aksesskontrollmatriser Aksesskontrollister Adgangskortlister (capability list) Sikkerhetsmerker 24.03.2003 HiØ Forelesning 12

Aksesskontroll Aksesskontrollmatrise 24.03.2003 HiØ Forelesning 12

Aksesskontroll Aksesskontrollmatrise – grunnleggende elementer Subjekter: “Noe” som kan aksessere objekter. Typisk prosess på vegne av bruker Objekt: Alle ressurser som er underlagt aksesskontroll f.eks. filer, programmer, kanaler Aksessrettighet: Den måten som et objekt brukes av et subjekt f.eks. Lese, skrive, eksekvere 24.03.2003 HiØ Forelesning 12

Aksesskontroll Aksesskontrolliste: Matrisens kolonner Til hvert objekt finnes en liste over vilke subjekter som har rettigheter og vilke disse rettigheter er Adgangskort - Matrisens rader Hvert subjekt har adgangskort som inneholder spesifikasjoner av vilke objekter subjektet har rettigheter og og vilke rettigheter dette er 24.03.2003 HiØ Forelesning 12

Trusted Systems - Konseptet Beskyttelse av data og andre ressurser på basis av sikkerhetsnivåer (f.eks. militære) Brukere kan gis klarering til visse kategorier av data Flernivå sikkerhet Definisjon av flere nivåer av data Et flernivåsikkert system må håndheve: No read up (ikke lese ovenfor). Et subjekt kan kun lese objekter med lavere eller samme sikkerhetsnivå. No write down (Ikke skrive nedover): Et subjekt kan kun skrive til et objekt på samme eller høyere sikkerhetsnivå. 24.03.2003 HiØ Forelesning 12

Trusted Systems - Konseptet 24.03.2003 HiØ Forelesning 12

Trusted Systems – Reference monitor Refernce monitor Er kontrollerende element i maskinvare og operativsystem som regulerer aksess til objekter på bakgrunn av sikkerhetsparametre Har aksess til en fil – sikkerhetskjernens database Håndhever sikkerhetsreglene (policyen - no read up, no write down) Egenskaper ved “Reference Monitor” Fullstendig “formidling” (mediation); Policy/regler håndheves for hver aksess Isolering: Monitor og database beskyttet mot uautorisert modifikasjon Verifiserbar: Monitorens korrekthet må kunne bevises (matematisk) Et system som tilfredsstiller disse krav er “Trusted” 24.03.2003 HiØ Forelesning 12

”Trusted Systems” som forsvar mot Trojanske hester 24.03.2003 HiØ Forelesning 12

”Trusted Systems” som forsvar mot Trojanske hester 24.03.2003 HiØ Forelesning 12

Tilbakemelding: Konfidensialitetspolitikk Tilbakemelding
Om prosjektet: SlidePlayer Bruksavtale

© 2024 SlidePlayer.no Inc. All rights reserved.