20. tétel Flashcards
(9 cards)
Tűzfaltechnológiák
Tűzfalak alkalmazása többes céllal történhet. Céljuk egyfelől, hogy forgalomszabályozási pontot képezzenek a szervezet belső hálózata és az internet között mindkét irányba. Az internet vagy a szervezet szemszögéből nézve bármely, külső hálózatnak minősülő irányból csak a szervezet házirendjének megfelelő, és csak a szükséges hálózati forgalmat szabad beengednie. Másfelől saját szervezetünk kifelé irányuló hálózati forgalmát is szabályozhatjuk tűzfalakkal. Ennek megvalósításához a tűzfalat a hálózat határán kell elhelyezni.
Ugyanakkor alkalmazhatunk tűzfalakat szerverekre és munkaállomásokra telepítve is. Ezek célja, hogy kikényszerítsék az adott szerverre vagy munkaállomásra vonatkozó házirendet, valamint védjék azokat mind a külső, mind pedig a belső hálózat felől érkező támadások ellen. Tipikusan elhárítandó jelenségnek számít egy adott hálózat gépein futó szolgáltatások miatt futtatott portszkennelés (port scan) vagy a különböző elárasztásos támadások. Ne feledjük, hogy egy adott hálózat állomásai nem csupán kívülről, hanem belülről is támadhatók, ha a támadó már sikeresen hozzáférést szerzett valamely géphez vagy belső eszközhöz.
Tűzfalat szoftveres és hardveres eszközökkel egyaránt megvalósíthatunk, ahol a hardveres megvalósítás tartalmaz szoftverkomponenst is.
A szabályrendszerek határozzák meg a tűzfal működését. A tűzfal kétféle döntést hozhat: adott forgalmat engedélyez vagy sem. A döntés meghozatala előre meghatározott szabályok szerint történik. A szabályoknak sorrendjét mi határozzuk meg. A szabályok fentről lefelé (topdown) értékelődnek ki. Minden szabálynál megvizsgálja a tűzfal, hogy a szabályban rögzített feltételeknek megfelel-e a beérkező forgalom. Addig folytatódik a szabályok kiértékelése, amíg olyan szabályhoz nem ér, ami illeszkedik a beérkező csomagra. Ekkor a szabály eldöntheti, hogy a forgalom áthaladhat, visszautasításra kerül, de akár utasíthatja a tűzfalat további szabálycsoportok kiértékelésére. Ha egyik szabály esetén sem volt illeszkedés, akkor a beállított alapértelmezés szerinti akció hajtódik végre, azaz a tűzfal mindent visszautasít vagy mindent elfogad.
Csomagszűrő tűzfalak
A csomagszűrő tűzfalak az OSI rétegmodell adatkapcsolati (L2), hálózati (L3) és szállítási (L4) rétegében működnek. A tűzfal megkap minden csomagot az operációs rendszer kernelétől, és azokat egyesével vizsgálja, legyen az kintről befelé, vagy bentről kifelé irányított csomag. A tűzfal dönti el, hogy adott csomag áthaladhat vagy eldobásra kerül, esetleg a megfelelő ICMP válaszüzenet küldésével egy kapcsolat visszautasítása vagy – már felépült kapcsolatok esetén – bontása történjen meg.
A szabályok a csomag egy vagy több paraméterét is vizsgálhatják. Ilyen lehet például a forrás- vagy célcím, a forrás- vagy célport, a szállítási protokoll (pl.: TCP/UDP/ICMP), IP-verzió (IPv4, IPv6), fizikai cím (MAC), esetleg valamely TCP/UDP jelzőbit (flag).
A csomagszűrő tűzfalak általában nem vizsgálják a csomagok adattartalmát, kizárólag a csomagok fejléceiben található információk alapján döntenek.
Nem állapottartó (stateless) tűzfalak
Ebben a működési módban a csomagszűrő tűzfal nem tart fenn saját adatbázist az új, már felépült vagy lezárásra váró kapcsolatokról. Nincs úgynevezett kapcsolatkövetés (connection tracking), így nincs információ egy adott adatfolyam állapotáról. A döntés mindig kizárólag a kapott csomag fejléceinek vizsgálata alapján történik. Sok hálózati protokoll esetén ez a mechanizmus elengedőnek bizonyulhat, főleg olyanoknál, ahol egy szolgáltatás csak egy portot használ.
Állapottartó (stateful) tűzfalak
A tűzfal feljegyzi az engedélyezett kapcsolatokat, az abban résztvevő állomások IP-címeit, a portszámokat, a kapcsolat állapotát (új kapcsolat, felépült kapcsolat, bontásra váró kapcsolat). Így megadhatók olyan szabályok is, amelyek megengedik, hogy a feljegyzett kapcsolatok további ellenőrzés nélkül átjussanak a tűzfalon.
Zóna alapú tűzfalak
A zóna alapú tűzfalak tervezésekor a hálózatunkat zónákra osztjuk és meghatározzuk, hogy ezek a zónák milyen feltételek mellett tarthatják egymással a kapcsolatot, milyen adatokat forgalmazhatnak egymás között.
Zónák:
* Inside: belső hálózatot magába foglaló zóna.
* Outside: külső hálózatot magába foglaló zóna.
* DMZ: demilitarizált zóna. Az itt található végberendezések kommunikálhatnak a külső hálózatokkal, megbíznak egymásban, a belső (inside) hálózat felé külön kapcsolattal rendelkezik. A támadó innen nem jut direkt hozzáféréshez a belső hálózat irányába, mivel a DMZ-ből csak erősen korlátozott kommunikáció indítható az Inside zónába.
IDS rendszer
A behatolás-érzékelő rendszer olyan hardveres, illetve szoftveres megoldás, amely a hálózati forgalomba történő beavatkozás nélkül, válogatás nélkül figyeli az áthaladó csomagokat. Passzív működési jellege miatt az IDS csak korlátozott válaszadási képességekkel rendelkezik. Ilyen például, ha rosszindulatú forgalmat érzékel, akkor egy figyelmeztetést küld a hozzá kapcsolódó felügyeleti állomásnak.
IPS rendszer
A behatolás-megelőző rendszer olyan aktív, a hálózat forgalmát áteresztő és vizsgáló eszköz, amely a hálózatba érkező csomagokat átengedi vagy eldobja. Elhelyezésénél ügyelni kell arra, hogy lehetőség szerint minden forgalom áthaladjon az IPS-en. Amennyiben az IPS rosszindulatú forgalmat érzékel, lehetősége van az azonnali beavatkozásra. Riasztást küld a hozzá kapcsolódó felügyeleti állomásnak, majd a beállítások megváltoztatásával azonnal blokkolja a rosszindulatú forgalmat. Működése ezáltal proaktív, mivel a riasztást kiváltó, majd az ezt követő forgalmat egyaránt képes blokkolni.
Az IDS és IPS rendszerek típusai
Az IDS és IPS megoldások típusainak csoportosítása a hálózatban elfoglalt helyük, valamint a rosszindulatú forgalom azonosítására használt módszerük alapján lehetséges. Az előbbi alapján beszélhetünk hálózat alapú (NIPS), illetve állomás alapú rendszerekről (HIPS).
Az állomás alapú IPS (HIPS) minden egyes számítógép és állomás tevékenységét külön vizsgálja. Teljes hozzáféréssel rendelkezik a végberendezés belső adataihoz, ezáltal a bejövő forgalmat az állomás tevékenységeinek viszonylatában vizsgálja. VPN környezetben, ahol az adat titkosítva halad át a hálózaton, a HIPS az egyetlen módja, hogy a célállomáson a valódi forgalmat megvizsgáljuk. Hátránya, hogy jellemzően egy adott operációs rendszert támogat, és nem véd az alacsonyabb szintű – az OSI rétegmodell első és harmadik rétegét érintő – támadások ellen. További hátránya, hogy kellő felderítés után a támadó tudni fog az állomás létezéséről, sőt arra is rájöhet, hogy az állomást HIPS védi. Technikái:
* Szignatúra alapú: a mintaegyezéshez előre meghatározott, fix bájtszekvenciákat keres a csomagok fejlécében és adattartalmában. A legtöbb esetben csak akkor beszélhetünk mintaegyezésről, ha a gyanús csomag bizonyos szolgáltatásokhoz van társítva. Ezzel a módszerrel csökkenthető a vizsgálatból adódó hálózati terhelés.
* Házirend (policy) alapú: a házirend megsértése esetén az IDS és az IPS blokkolhatja a forgalmat vagy riasztást küldhet az eseményről. A riasztás szükségességéről egy algoritmus alapján dönt. A módszer azért is rendkívül népszerű, mert képes a még nem ismert támadásokat is detektálni.
* Anomália alapú: a normáltól eltérő hálózati forgalmat keresi. Ebből adódik a fő problémájuk is: mit tekintünk normálnak? Anomáliának tekintjük például bizonyos típusú forgalom szokatlan mértékű növekedését, a vizsgált hálózaton jellemzően nem előforduló típusú forgalom megjelenését, de akár egy ismert protokoll deformált üzenetét.
* Mézescsupor (honeypot) alapú: azon az ötleten alapul, hogy a támadást minél messzebbre kell terelni a valódi hálózati eszközöktől. A mézescsupor tulajdonképpen nem más, mint egy speciálisan erre a célra kialakított – az éles hálózat többi eszközétől teljesen elszigetelt – eszköz, amely irányított körülmények között lehetővé teszi a bejövő támadások és rosszindulatú forgalmi minták elemzését, és elegendő időt biztosít a felkészülésre, mielőtt a forgalom elérné a valódi eszközöket.
A hálózat alapú IPS (NIPS) a hálózaton áthaladó minden egyes csomagot analizál, ezáltal olyan rosszindulatú csomagok felismerésére is alkalmas, amelyek egy tűzfal egyszerű szűrési szabályain átjutnak. A NIPS hálózatban történő elhelyezésénél ügyelni kell arra, hogy lehetőség szerint a teljes, de legalább a kritikus forgalom vizsgálható legyen. A NIPS képes kiszűrni az alacsonyabb szintű támadásokat, de a szenzoron áthaladó titkosított forgalmat nem tudja vizsgálni. A NIPS a támadásokat kizárólag a hálózat szemszögéből, kontextus nélkül analizálja, ezért előfordulhat, hogy az amúgy ártalmatlan forgalmat is támadásnak véli. Ebbéli hiányosságai miatt mindig fenntartásokkal kell a NIPS következtetéseit kezelni.
Port tükrözés
Ezt a technikát a switchek használják, hogy egy csomagot lemásoljanak a kimenő portjáról egy másik, monitorozó / figyelő portra. Ezt a technikát a hálózati forgalom figyelésének megkönnyítése céljából találták ki. A hálózati mérnökök és rendszergazdák port tükrözést használnak az adatok elemzéséhez és hibakereséséhez, ill. a hálózati hibák diagnosztizálásához. Segítségével figyelemmel kísérhetjük még a hálózat teljesítményét is. Bejövő és kimenő forgalom tükrözésére egyaránt használható akár több interfészen is.
