Слайд 1 Защита периметра сети. Межсетевые экраны Раздел 2 – Тема 9

Слайд 2 DMZ-2 DMZ-1 Защита периметра сети Внутренние серверы Рабочие места Филиал Мобильные сотрудники Ресурсы Internet Пользователи Internet МЭ

Слайд 3 Межсетевой экран Это специализированное программное или аппаратное обеспечение, позволяющее разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения сетевых пакетов из одной части в другую Что такое межсетевой экран? МЭ Сеть 1 Сеть 2

Слайд 4 Маршрутизатор Назначение МЭ Основное назначение МЭ - воплощение политики безопасности, принятой в организации в вопросах обмена информацией с внешним миром Внутренние серверы Рабочие места

Слайд 5 Механизмы защиты, реализуемые МЭ Фильтрация сетевого трафика Шифрование (создание VPN) Трансляция адресов Аутентификация (дополнительная) Противодействие некоторым видам атак (наиболее распространенным) Управление списками доступа на маршрутизаторах (необязательно) Маршрутизатор

Слайд 6 Фильтрация сетевого трафика IP-адрес отправителя IP-адрес получателя TCP/UDP-порт отправителя TCP/UDP-порт получателя Другие критерии Сегмент 1 Сегмент 2 Это основная функция МЭ! Правила фильтрации Критерии фильтрации

Слайд 7 Фильтрация сетевого трафика Уровень приложений Уровень представления Уровень соединения Уровень транспортный Уровень сетевой Уровень канальный Уровень физический Сегмент 1 Сегмент 2

Слайд 8 Трансляция адресов Внешняя сеть Внутренняя сеть Source Address= Destination Address= Source Address= Destination Address= Source Address= Destination Address= Destination Address= Source Address=

Слайд 9 Виды трансляции адресов Статическая (двунаправленная) Это задание однозначного соответствия между внутренним адресом ресурса и его адресом во внешней сети Динамическая (трансляция адресов-портов) Это отображение адресного пространства внутренней сети на один адрес из внешней сети

Слайд 10 Внешняя сеть Внутренняя сеть Source Address= Destination Address= Source Address= Destination Address= Source Address= Destination Address= Destination Address= Source Address= Статическая трансляция адресов

Слайд 11 Внешняя сеть Внутренняя сеть Динамическая трансляция адресов Source Address= Destination Address= Source Address= Destination Address= Source Address= Destination Address= Source Address= Destination Address=

Слайд 12 Нарушение прозрачности (трудности работы с приложениями, устанавливающими несколько независимых соединений) Трансляция адресов: достоинства и недостатки Маскировка внутренних IP-адресов от внешнего мира (скрытие топологии внутренней сети) Решение проблемы нехватки IP-адресов внутренней сети Трудности работы приложений, передающих IP-адреса в поле данных

Слайд 13 Шифрование Незашифрованный трафик Зашифрованный трафик Функции шифрования позволяют защитить данные, передаваемые по общим каналам связи

Слайд 14 Виртуальные частные сети Виртуальные частные сети (VPN) предназначены для безопасного обмена данными через сети общего пользования VPN-шлюз VPN-клиент

Слайд 15 Типы межсетевых экранов Прикладной уровень Уровень представления Сеансовый уровень Транспортный уровень Сетевой уровень Канальный уровень Физический уровень Прикладной уровень Уровень представления Сеансовый уровень Транспортный уровень Сетевой уровень Канальный уровень Физический уровень Шлюз прикладного уровня Шлюз уровня соединения Пакетный фильтр

Слайд 16 Прикладной уровень Уровень представления Сеансовый уровень Транспортный уровень Сетевой уровень Канальный уровень Физический уровень Пакетный фильтр IPTCP, UDP, ICMPДанные

Слайд 17 Пакетный фильтр Канальный уровень Сетевой сегмент (внутренний) Сетевой сегмент 2 (внешний) Сетевой уровень Правила фильтрации

Слайд 18 Преимущества Низкая стоимость (возможность построения пакетного фильтра средствами ОС) Минимальная задержка прохождения пакетов Недостатки Открытость (маршрутизируемость) внутренней сети Трудность описания правил фильтрации Преимущества и недостатки пакетных фильтров Прозрачность для приложений «Статичность» (отсутствие контроля соединения)

Слайд 19 Технология «Proxy» Proxy - это приложение - посредник, выполняющее следующие функции: Приём и анализ запросов от клиентов Перенаправление запросов реальному серверу

Слайд 20 ТСР IP Канальный уровень Шлюз уровня соединения Сервер Клиент Шлюз уровня соединения

Слайд 21 Протокол SOCKS Транспортный уровень (TCP, UDP) Прикладной уровень Протокол SOCKS Шлюз уровня соединения -пример

Слайд 22 Сервер SOCKS Клиент SOCKSВнешний узел Шлюз уровня соединения -пример

Слайд 23 Шлюзы прикладного уровня ТСР IP Канальный уровень HTTP-посредник Сервер HTTP Клиент HTTP

Слайд 24 Шлюзы прикладного уровня Внутренняя сеть НТТР - посредник FTP - посредник и др. Внутренние серверы Рабочие места

Слайд 25 Преимущества и недостатки технологии «PROXY» Преимущества Двухшаговая процедура для входа во внутреннюю сеть и выхода наружу Надёжная аутентификация Недостатки Закрытость внутренней сети Простые правила фильтрации Низкая производительность Высокая стоимость

Слайд 26 Технология «Stateful Inspection» IPTCPSessionApplication Inspection Module Сетевой уровень Канальный уровень Транспортный уровень Сеансовый уровень Уровень представления Прикладной уровень Пакет перехватывается на сетевом уровне Специальный модуль анализирует информацию со всех уровней Информация сохраняется и используется для анализа последующих пакетов

Слайд 27 Технология «Stateful Inspection» Хранение информации о состоянии соединения Хранение информации о состоянии приложения Модификация передаваемой информации Это анализ пакета в контексте соединения

Слайд 28 Технология «Stateful Inspection» Обработка нового соединения Клиент Сервер Первый пакет нового соединения … … … … Новое соединение Таблица соединений Проверка соответствия политике безопасности

Слайд 29 Технология «Stateful Inspection» Клиент Сервер Последующие пакеты соединения …. Соединение … … … Таблица соединений Просмотр таблицы соединений Обработка следующих пакетов

Слайд 30 Анализ содержимого (Content Security) Рабочие станции Почтовый сервер Проверка содержимого

Слайд 31 Анализ содержимого электронной почты Критерии фильтрации Адреса отправителя и получателя Параметры прикреплённых файлов (тип, размер) Наличие вирусов Содержимое письма и прикреплённых файлов Подлинность адреса отправителя

Слайд 32 Анализ содержимого (Content Security) МЭ Система анализа содержимого Роутер Рабочие станции Сеть Почтовый сервер

Слайд 33 Варианты расположения МЭ Внутренняя сеть Пакетный фильтр Внутренние серверы Рабочие места

Слайд 34 Варианты расположения МЭ Внутренняя сеть Пакетный фильтр Внутренние серверы Рабочие места Основной МЭ

Слайд 35 Варианты расположения МЭ Внутренняя сеть Пакетный фильтр Внутренние серверы Рабочие места Основной МЭ Выделенный посредник

Слайд 36 Варианты расположения МЭ Внутренняя сеть Пакетный фильтр Внутренние серверы Рабочие места Основной МЭ Система анализа содержимого

Слайд 37 Варианты расположения МЭ Внутренняя сеть Пакетный фильтр Внутренние серверы Рабочие места Основной МЭ Граничная сеть (Демилитаризованная зона)

Слайд 38 Варианты расположения МЭ Внутренняя сеть Пакетный фильтр Внутренние серверы Рабочие места Основной МЭ Тупиковая сеть (Демилитаризованная зона)

Слайд 39 Возможности МЭ по противодействию атакам IP Packet-Level Attacks All ports scan attack IP half scan attack Land attack Ping of death attack UDP bomb attack Windows out of band attack CheckPoint Firewall - технология «SmartDefence» Microsoft ISA Server: IP Packet-Level Attacks – обнаружение атак на уровне IP Application Level Attacks – обнаружение атак прикладного уровня Application Level Attacks DNS Hostname Overflow DNS Length Overflow DNS Zone Transfer from privileged ports DNS Zone Transfer from high ports POP Buffer Overflow

Слайд 40 Недостатки МЭ Обеспечение безопасности только тех соединений, которые установлены непосредственно через МЭ. Возможность наличия ошибок: - В программном обеспечении (ошибки реализации). - Допущенных при конфигурировании правил МЭ (ошибки обслуживания) Туннелирование. МЭ не способны обнаружить запрещённый трафик, передаваемый поверх разрешённого протокола

Слайд 41 Возможность наличия ошибок в программном обеспечении (ошибки реализации) МЭ сервер Рабочие станции Сеть Серверы Web сервер Злоумышленник

Слайд 42 Возможность наличия ошибок в правилах МЭ сервер Рабочие станции Сеть Серверы Web сервер SourceDestinationServiceAction Internet Server TelnetAccept Злоумышленник

Слайд 43 Туннелирование МЭ сервер Роутер Рабочие станции Сеть Серверы Web сервер Разрешенный протокол Злоумышленник

Слайд 44 Туннелирование Разрешённая прикладная служба Прикладная служба Разрешённая прикладная служба TCP или UDP

Слайд 45 Пакетный фильтр на базе ОС Linux

Слайд 46 Архитектура пакетного фильтра ipchains Input chain NIC1NIC2 Output chain Входящий трафик Исходящий трафик forward routing

Слайд 47 Состав отдельной цепочки фильтрации Input chain NIC1 Входящий трафик Правило 1 Правило 2 Правило 3 Политика по умолчанию …

Слайд 48 Архитектура пакетного фильтра iptables NIC1 NIC2 SNAT Входящий трафик Исходящий трафик forward routing DNAT Input chain Output chain

Слайд 49 Практическая работа 5 Пакетный фильтр на базе Linux Настройка фильтрации ICMP и UDP

Слайд 50 Межсетевой экран CheckPoint FireWall-1

Слайд 51 Internet Архитектура FireWall-1 CheckPoint FireWal -1 Stateful Inspection (МЭ 4-го типа)

Слайд 52 Архитектура FireWall-1 Internet Firewall Module Management Module

Слайд 53 Архитектура FireWall-1 Management Module Режим пользователя Режим ядра FireWall Module GUI клиент Management Server FireWall Daemon Security Servers Драйвер сетевого адаптера Inspection Module Уровень IP

Слайд 54 Inspection Module Реализован в виде драйвера Выполняет функции Фильтрация Аутентификация сессии Клиентская аутентификация Трансляция адресов Аудит Драйвер сетевого адаптера Inspection Module

Слайд 55 Компоненты Inspection Module Драйвер сетевого адаптера Inspection Module Kernel Attachment Kernel Virtual Machine Kernel Address Translation

Слайд 56 Работа Inspection Module IP Protocol Inspection Module NIC

Слайд 57 Работа Inspection Module IPTCPSessionApplication FW-1 Inspection Module Сетевой уровень Канальный уровень Есть правило для пакета? Log/Alert Пропустить пакет? Есть следующее правило? Send NACK Drop the Packet Да

Слайд 58 Конфигурация FireWall-1 Internet Firewall Module Management Server GUI клиент

Слайд 59 Практическая работа 6 МЭ CheckPoint Firewall-1 Управление объектами Задание правил фильтрации

Слайд 60 Защита от IPSpoofing IP Source -?

Слайд 61 Параметры настройки Задаются для сетевого интерфейса

Слайд 62 Internet Настройки на внешнем интерфейсе

Слайд 63 Internet Настройки на внутреннем интерфейсе Разрешённые адреса

Слайд 64 Internet Настройки на внутреннем интерфейсе Адреса, в которых адрес сети совпадает с адресом сети интерфейса МЭ

Слайд Адрес сети = Internet

Слайд 66 Internet Настройки на внутреннем интерфейсе Явно заданные адреса

Слайд 67 Практическая работа 7 МЭ CheckPoint Firewall-1 Настройка межсетевого экрана CheckPoint Firewall-1 для защиты от атаки IP-Spoofing

Слайд 68 Internet Что такое honeynet? Цель – изучение поведения нарушителей

Слайд 69 Назначение honeynet? Получение сведений о рисках в области безопасности и уязвимостях. Поскольку Honeynet состоит из систем и приложений, используемых в повседневной деятельности, риски и уязвимости, имеющиеся в Honeynet, полностью отображают риски и уязвимости реальной сети организации. Отработка политики реагирования на инциденты Отслеживание действий нарушителя в реальном времени (общение через IRC и т. д.).

Слайд 70 Internet Типовая схема honeynet Linux Windows Система обнаружения атак Сервер регистрации Другие ОС

Слайд 71 Internet Blackhole detectors + honeynet Внутренняя сеть Неиспользуемая (но маршрутизируемая) подсеть Основное назначение: обнаружение «червей» DMZ

Слайд 72 Internet Реализации honeynet Система обнаружения атак Сервер регистрации arpd – для ответов на arp-запросы к эмулируемым узлам honeyd – эмуляция узлов сети с различными ОС и службами

Слайд 73 Практическая работа 8 Установка и настройка «honeynet»