De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Computernetwerken Deel 2. Beveiliging Firewall: toegang beperken IDS: inbraak detecteren en alarmeren Encryptie: gegevens verbergen.

Verwante presentaties


Presentatie over: "Computernetwerken Deel 2. Beveiliging Firewall: toegang beperken IDS: inbraak detecteren en alarmeren Encryptie: gegevens verbergen."— Transcript van de presentatie:

1 Computernetwerken Deel 2

2 Beveiliging Firewall: toegang beperken IDS: inbraak detecteren en alarmeren Encryptie: gegevens verbergen

3 Firewall Waarom? Filteren van pakketten Wildcard mask: omgekeerd subnetmasker Pakketfiltering niet altijd voldoende Soorten firewalls Firewall in het netwerk

4 Firewall: waarom? TCP/IP – Alle hosts bereikbaar (via IP-adres) – Kunnen met elkaar communiceren Pakketten zullen verwerkt worden Bv voortdurend pingen (ICMP-bericht) – UDP of TCP als poortnummer van wachtend proces: ACK en start van verwerking

5 Firewall: waarom? Poortscannen: zoeken naar open poorten Sturen slecht geformatteerde data – Storen lopend proces – Zaken uitvoeren die niet de bedoeling zijn Elke computer beveiligen? – Beveiliging concentreren in één machine

6 Firewall: waarom? Alle ip-pakketten via één bewaakte toegang – Van binnen naar buiten en Van buiten naar binnen Geen beveiliging voor intern verkeer Geen beveiliging tegen virussen Geen beveiliging tegen DNS-spoofing – Foute dns-info om gebruiker om te leiden Het internet is ontworpen zonder beveiliging

7 Filteren van pakketten – Coax-voorstelling? – Router: Voor inkomende pakketten: nagaan welke interface verder sturen Doorsturen van pakketten if2if1 netwerk 1netwerk 2 router

8 Filteren van pakketten – Configuratiemogelijkheid van een router: filteren Eigenschappen van pakket nagaan Pakket eventueel niet verder sturen – Via ACL (Access Control List) = lijst van regels if2if1 netwerk 1netwerk 2 router

9 Filteren van pakketten Eigenschappen van pakketten om op te filteren? – IP-adres (zender en ontvanger) – Protocol IP, IPX,... TCP, UDP, ICMP,... HTTP, FTP,... – Poorten – Niet op basis van inhoud van een pakket

10 Filteren van pakketten ACL – koppelen aan interface – Per interface: ACL voor in, ACL voor uit – Syntaxis hangt af van besturingssysteem van router

11 Filteren van pakketten: vb1 – ACL voor if1, inkomende pakketten if2if /24 Naar internet router

12 Filteren van pakketten: vb1 – Van : alle pakketten weigeren – Van /25: mogen naar poort 80 (http)van elke host – Computer mag pingen (ICMP) – Al de rest wordt niet doorgelaten – Volgorde van belang

13 Filteren van pakketten: vb2 naar Internet /24 if2if1 router /24 if3 web-server mail-server dns-server Naar welke servers ( /24) kunnen pc’s van /24? Alleen naar webserver Alleen vanaf /25

14 Filteren van pakketten: vb2 naar Internet /24 if2if1 router /24 if3 web-server mail-server dns-server Hoe andere services bereikbaar maken?

15 Filteren van pakketten: vb2 naar Internet /24 if2if1 router /24 if3 web-server mail-server dns-server Hoe andere services bereikbaar maken? Tweede mogelijkheid? ACL met andere interface associëren

16 Filteren van pakketten: vb3 naar Internet /24 if2if1 router /24 if3

17 Wildcard mask ACL: – Bron = groep van IP-adressen – Bestemming = groep van IP-adressen Notatie opeenvolgende IP-adressen – Begin- en eindadres – Beginadres/aantal bits – Beginadres subnetmasker – Cisco: omgekeerd subnetmasker

18 Wildcard mask Bv = Wilcard Mask Betekenis: – 0 : bit moet gelijk zijn – 1 : bit mag om het even zijn Dus: en – – – tot

19 Pakketfiltering niet altijd voldoende TCP-intercept – Hacker stuurt geen ACK-segment Server wacht, veel open sessies, vals bron adres Server plat (DoS-aanval) – Bijhouden hoeveel half-open sessies Maximum aantal Sluiten na tijdsinterval

20 Pakketfiltering niet altijd voldoende Fragmentatie – Groot IP-pakket opdelen in fragmenten – Fragmenten verstuurd als aparte IP-pakketten – Hacker: pakketten zo klein maken dat TCP- hoofding er niet volledig in kan – ACL’s op poortnummer en protocol – ACL’s niet leesbaar

21 Pakketfiltering niet altijd voldoende FTP – Gestarte sessie (poort 21) is alleen voor besturing. – Bestandsoverdracht (active mode) Client stuurt vraag naar poort 21 en deelt een poortnummer (random) mee waarop hij luistert (PORT commando) Client wacht op verbinding Server start verbinding met client via syn,.... Bestandsoverdracht gebeurt

22 Pakketfiltering niet altijd voldoende FTP – Bestandsoverdracht (passive mode) Client stuurt vraag naar poort 21 (PASV commando) Server deelt een poortnummer mee waarop hij luistert (random) Client start verbinding met client via syn,.... Bestandsoverdracht gebeurt – Moeilijk/niet wenselijk om alle poorten op te lijsten in ACL’s

23 Stateful inspection Toestand (= State) van elke TCP-sessie wordt bijgehouden Bij TCP of UDP is poortnummer van bron willekeurig: geen vaste regels in firewall mogelijk Oplossing: dynamische ACL’s

24 Dynamische ACL’s: vb start Telnet-sessie met Clientpoort: 1234 (willekeurig > 1023) Serverpoort: 23 Dynamische ACL: – Tijdens init (syn, syn/ack, ack): regel toegevoegd aan ACL – Firewall houdt status bij – Bij opheven verbinding: schrappen regel

25 Dynamische ACL’s: vb1 ACL voor if2, inkomende pakketten naar het Internet /24 if2 if1 router

26 Dynamische ACL’s: vb2 Bij UDP en ICMP: geen init, hoe status bijhouden, wanneer schrappen? – Na timeout Gebruik van virtuele verbinding – Uitgaande verzoeken worden geregistreerd – Alleen inkomende berichten doorlaten die een antwoord zijn op een geregistreerd verzoek

27 Dynamische ACL’s: vb3 FTP: – Firewall houdt status van sessie bij Toevoegen, weglaten lijn in ACL – Firewall met Inspection engine (software in firewall) Firewall kent het toepassingsprotocol (FTP) Herkent PORT, PASV commando Voegt dynamisch regels toe aan ACL = sessiefiltering

28 Soorten firewalls Pakketfilters: filteren per pakket Sessiefilter: filteren per sessie Toepassings-proxy Statefull packet inspection Persoonlijke firewall

29 Toepassings-proxy Werkt op toepassingslaag (web-proxy, ftp- proxy,...) Is een programma – Mag gebruiker sessie starten? – Maakt verbinding met server – Inspecteert pakketten – Inspecteert (hele) inhoud van berichten

30 Statefull packet inspection State = toestand van de verbinding Voortdurende inspectie van – De toestand van de verbinding – Inhoud van pakketten Voordeel tov Proxy: geen extra verbindingen

31 Persoonlijke firewall Software op client Regels op applicatieniveau

32 Firewall in het netwerk Doel firewall: alle pakketten filteren tussen eigen netwerk en internet Verschillend beleid – Bedrijfsnetwerk – Servers die voor buitenwereld bereikbaar moeten zijn Firewall met meerdere interfaces – Per interface een apart beleid – Alle hosts aan een interface hebben zelfde eisen

33 Firewall in het netwerk 3 interfaces bedrijfsnetwerk buiten DMZ router server 2 server 1 firewall

34 Firewall in het netwerk 2 interfaces bedrijfsnetwerk buiten afgeschermd netwerk server 2 server 1 router firewall

35 Firewall in het netwerk 2 interfaces Bedrijfsnetwerk – Eigen gebruikers, vertrouwd – Achter de firewall – Alle pakketten van en naar bedrijfsnewerk: controle door Firewall Afgeschermd netwerk (DMZ) – Beperkte beveiliging door router – Beveiliging op niveau van server (Bastion Hosts)

36 Firewall in het netwerk 2 interfaces Waarom bv server 1 niet achter Firewall? – Beleid: iedereen van buiten af moet aan servers kunnen – Dus moet voorbij Firewall kunnen – Servers kunnen fouten bevatten: mogelijks uitbuiting

37 Firewall in het netwerk 3 interfaces Firewall controleert ook de toegang tot de servers DMZ: gebied met ander, milder beleid Router – Pakketfiltering – Verschillende netwerkinterfaces (ethernet, fiber,...)

38 IDS: intrusion detection system Bekijken netwerkverkeer voorbij de firewall Opsporen verdacht verkeer: – Ping door zelfde host naar meer dan 5 adressen – Poortscanning –... Alleen signaleren IPS (Intrusion Prevention System): gaat ook acties ondernemen, regels toevoegen


Download ppt "Computernetwerken Deel 2. Beveiliging Firewall: toegang beperken IDS: inbraak detecteren en alarmeren Encryptie: gegevens verbergen."

Verwante presentaties


Ads door Google