datasikkerhet vår 2003
DESCRIPTION
Datasikkerhet vår 2003. Forelesning 12 Brannmurer. Bakgrunn. Informasjonssystemer er i konstant endring fra små lokalnett til tilknytning/ sammenknytning via Internett Sterke sikkerhetsmekanismer er ikke på plass for arbeidsstasjoner og tjenermaskiner. Design-prinsipper. - PowerPoint PPT PresentationTRANSCRIPT
Datasikkerhet vår 2003
Forelesning 12
Brannmurer
24.03.2003 HiØ Forelesning 12 2
Bakgrunn
• Informasjonssystemer er i konstant endring– fra små lokalnett til tilknytning/
sammenknytning via Internett
• Sterke sikkerhetsmekanismer er ikke på plass for arbeidsstasjoner og tjenermaskiner
24.03.2003 HiØ Forelesning 12 3
Design-prinsipper
• Brannmuren plasseres mellom eget nettverk og Internett
• Mål:– Etablere en kontrollert linje;– Beskytte eget nettverk mot Internett-baserte
angrep;– Tilby ett enkelt punkt der trafikken kan
blokkeres;
24.03.2003 HiØ Forelesning 12 4
Brannmurer
• Mål for design av brannmur– All trafikk inn og ut av nett skal passere
gjennom brannmuren– Kun autorisert trafikk, definert av den lokale
sikkerhetspolicy, skal tillates å passere– Brannmuren skal selv være immun mot
innbrudd
24.03.2003 HiØ Forelesning 12 5
Fire generelle teknikker• Kontroll med tjenestene.
– Bestemmer hvilke Internett-tjenester som kan aksesseres - innkommende og utgående.
– Kan filtrere på basis av IP-adresser og TCP portnummer; – Kan omfatte proxy-programvare som mottar og interpreterer ”service requests”
• Retningskontroll– Hvilken vei kan en gitt tjeneste initieres (skal f.eks. ftp kunne initieres innenfra,
utenfra eller begge veier)– hvilken vei kan data flyte
• Brukerkontroll– Kontrollere aksess basert på hvem brukeren er– Kan benyttes begge veier
• Oppførselskontroll– Kontrollere hvordan tjenester brukes - f.eks. filtrere epost meldinger for å hindre
”spamming”
24.03.2003 HiØ Forelesning 12 6
Muligheter• Definerer en enkel sluse;
– som holder uautoriserte brukere ute (og egne brukere og tjenester inne)
– ett punkt forenkler sikringen/konfigureringen (men kan bli en flaskehals)
• Ett enkelt sted der trafikk kan overvåkes og logges - implementere revisjon og sikkerhetsalarmer
• Et hensiktsmessig sted å plassere diverse felles funksjonalitet– adressekonvertering far eksternt til internt adresserom
• Plattform for sikkerhetsfunksjoner– IPsec
– kryptografiske tuneller
– autentisering av eksterne FW
24.03.2003 HiØ Forelesning 12 7
Begrensninger
• Beskytter ikke mot ”bakdører”– modemer eller andre offisiellle eller uoffisielle tilknytninger til
eksternt nett
• Beskytter ikke mot interne trusler
• Kan ha problemer med å stanse ondsinnet programvare ol. i vedlegg siden man på baksiden av brannmuren kan ha mange forskjellige systemer/operativsystemer
24.03.2003 HiØ Forelesning 12 8
Typer brannmurer
• Pakkefiltere
• Portnere på applikasjonsnivå
• ”Linjebasert” portnere (circuit level)
• Bastion host
24.03.2003 HiØ Forelesning 12 9
Pakkefilter
24.03.2003 HiØ Forelesning 12 10
Pakkefilter funksjonalitet
• Håndhever et sett regler på mottatte IP pakker– videreformidler (forward) eller forkaster (discard)
– filtrerer begge veier - innkommende og utgående
– filtrere på felt i IP og transport (f.eks. TCP og UDP) hode• avsender IPadresse, mottager IPadresse, protokollfelt (TCP/UDP),
portnummer
– konfigureres som et sett med regler som skal avgjøre om forward eller discard.
– Hvis ingen regel kommer til anvendelse, benyttes standard, som kan være discard (konservativ, initielt alt er stengt inntil man bevisst åpner) eller forward
24.03.2003 HiØ Forelesning 12 11
Pakkefiltereksempel AHandling Vår vert port Deres vert port Kommentar
BlokkérBlock
* * Lurum * Vi stoler ikke pådisse
TillatAllow
Vår-GW 25 * * Vår SMTP
Innkommende epost tillates, men kun til en portner (GW). Epost fra Lurum avvises. (Vi har blitt spammet av demtidligere). NB for rekkefølgen!
24.03.2003 HiØ Forelesning 12 12
Pakkefiltereksempel B
Handling Vår vert port Deres vert port Kommentar
Block * * * * Standardkonservativ
Standard (default) policy. Alle regelsett avsluttes implisittmed denne
24.03.2003 HiØ Forelesning 12 13
Pakkefiltereksempel C
Handling Source Port dest port flag Kom-mentar
Allow Våremaskiner
* * 25 SMTP uttil alle
Allow * 25 * * ACK deressvar
Avsenderadresse er en maske - vårt adresserom. Avsender fra vårt nett kan sende til alle, på port no 25. Innkommende pakker aksepteres på port 25 hvis ACK flagget er satt.
24.03.2003 HiØ Forelesning 12 14
Pakkefiltereksempel D
Handling Source Port dest port flag Kom-mentar
Allow Våremaskiner
* * 25 Våreutgående
Allow * * * * ACK Svar
Allow * * * >1024
Tillater alle pakker sendt fra oss; Svar på disse fra mottager; Tillat pakker til høye portnummer.
24.03.2003 HiØ Forelesning 12 15
Fordeler og ulemper
• Fordeler– Enkle regler– transparente for brukere– raske
• Ulemper– Vanskelig å sette opp alle reglene komplett og
riktig– Ingen autentisering
24.03.2003 HiØ Forelesning 12 16
Angrep på pakkefiltere• IP address spoofing
– Angriper sender pakker fra utsiden med avsenderadresse fra maskin på innsiden
– Tiltak: Ikke tillate pakker fra utsiden med avsenderadresse fra vårt adresserom
• Fragmenteringsangrep– Angriper sender pakker delt opp i små fragmenter, TCP header
deles på flere fragmenter. Forsøker å omgå filterregler som avhenger av TCP header info, og som kanskje kun tester på første fragment
– Tiltak: Avvise alle TCP pakker som er fragmentert (IP Fragment Offset lik 1
24.03.2003 HiØ Forelesning 12 17
Proxy basert brannmur
24.03.2003 HiØ Forelesning 12 18
Funksjonalitet Proxy gateway• Fungerer som rele på trafikk på applikasjonsnivå
• Inneholder proxyer (stedfortreder) for de aktuelle applikasjoner
• Inneholder gjerne også pakkefilterfunksjonalitet
• Kan regulere hvilke brukere som får bruke hvilke applikasjoner
• Transparent: Ingen autentisering av innsidere
• Ikke-transparent: pålogging på brannmur
• Sterk autentisering på innkommende anrop
• Aktivitet kan logges
• Isolerer intern IP trafikk fra ekstern
• Privat adresserom på innsiden av brannmur
• Skjuler eksistensen av interne systemer
• Kan regulere på applikasjonsspesifikke funksjoner - FTP Put file
• NB! Hver ny applikasjon krever ny (proxy-)programvare
24.03.2003 HiØ Forelesning 12 19
Eksempel brannmur konfigurasjon
Firewall(fw1)
Internal Network(199.199.199.0)
Internet
DMZExternal Services Network
(192.32.42.0)
Mail Server(192.32.42.102)
Web (HTTP) Server(192.32.42.104)
FTP Server(192.32.42.103)
Router
192.32..32.32 (le0)
192.32..42.32 (le1)
199.199.199..32 (le2)
Note: Standard Subnet Mask
for all interfaces is 255.255.255.0
internal client - ken(199.199.199.200)
external client - joe(24.24.24.24)
24.03.2003 HiØ Forelesning 12 20
Eksempel - aksessliste i proxy basert brannmur
24.03.2003 HiØ Forelesning 12 21
”Linjebasert” brannmur
24.03.2003 HiØ Forelesning 12 22
Linjebasert (circuit-level)
• Setter opp to forbindelser (en på innsiden og en på utsiden)
• Kopierer segmenter fra en forbindelse til den andre
• Ingen bevissthet om applikasjonsfunksjoner
• Regulerer på bakgrunn av til/fra adresser.
24.03.2003 HiØ Forelesning 12 23
Tre arkitekturer
• Screened host brannmurer (single-homed bastion host)
• Dual homed host
• Screened subnet
24.03.2003 HiØ Forelesning 12 24
Single homed bastion host
24.03.2003 HiØ Forelesning 12 25
Screened host firewallSingle-homed bastion
• Brannmur består av to systemer– Ruter med pakkefilterfunksjonalitet– En ”bastion host”
• Ruter konfigureres slik at – Trafikk fra utsiden kun aksepteres hvis mottaker er bastion.– Trafikk ut fra innsiden aksepteres kun hvis avsender er bastion.
• Hvis ruter kompromitteres vil trafikk kunne omgå brannmur• Bastion host utfører autentisering og proxy-funksjoner• Fordeler
– Implementerer både pakkefilter og applikasjonsnivåfiltrering– En angriper må trenge gjennom to forskjellige systemer
• Ulempe– Hvis ruter kompromitteres vil trafikk kunne omgå brannmur
24.03.2003 HiØ Forelesning 12 26
Dual homed host
24.03.2003 HiØ Forelesning 12 27
Dual homed host
• All trafikk må gjennom proxy server;
• Ikke helt avhengig av ruteren med pakkefilter;
24.03.2003 HiØ Forelesning 12 28
Screened subnet
24.03.2003 HiØ Forelesning 12 29
Screened subnet• Det er nå tre barrierer på veien inn
– Ruter; Bastion; Ruter.
• Innkommende– Kun adresse til subnet med Bastion kjent på utsiden
– Privat nett skjult bak innerste ruter – med eget adresseområde
• Utgående– Kun subnettets adresser kjent for systemer på privat nett;
– De kan derfor ikke selv sette opp direkte forbindelser til systemer på internett
24.03.2003 HiØ Forelesning 12 30
Brannmur og DMZ
Internett
Web-server
FTP-server
Internt nett
DMZ
DMZ= Demilitarisertsone
24.03.2003 HiØ Forelesning 12 31
Trusted Systems
• En måte å forbedre evnen til å forsvare systemer mot inntrengere og ondsinnet programvare.
24.03.2003 HiØ Forelesning 12 32
Data Access Control
• Ved login kan en bruker identifiseres og auteniseres overfor systemet
• Assosiert med hver bruker kan det finnes en profil som spesifiserer lovlige handlinger og filaksess
• Operativsystemet kan håndheve regler basert på brukerprofilen.
24.03.2003 HiØ Forelesning 12 33
Aksesskontroll
• Generelle aksesskontrollmodeller:– Aksesskontrollmatriser– Aksesskontrollister– Adgangskortlister (capability list)– Sikkerhetsmerker
24.03.2003 HiØ Forelesning 12 34
Aksesskontroll
• Aksesskontrollmatrise
24.03.2003 HiØ Forelesning 12 35
Aksesskontroll
• Aksesskontrollmatrise – grunnleggende elementer – Subjekter: “Noe” som kan aksessere objekter.
• Typisk prosess på vegne av bruker
– Objekt: Alle ressurser som er underlagt aksesskontroll• f.eks. filer, programmer, kanaler
– Aksessrettighet: Den måten som et objekt brukes av et subjekt
• f.eks. Lese, skrive, eksekvere
24.03.2003 HiØ Forelesning 12 36
Aksesskontroll
• Aksesskontrolliste: Matrisens kolonner– Til hvert objekt finnes en liste over vilke
subjekter som har rettigheter og vilke disse rettigheter er
• Adgangskort - Matrisens rader– Hvert subjekt har adgangskort som inneholder
spesifikasjoner av vilke objekter subjektet har rettigheter og og vilke rettigheter dette er
24.03.2003 HiØ Forelesning 12 37
Trusted Systems - Konseptet• Beskyttelse av data og andre ressurser på basis av
sikkerhetsnivåer (f.eks. militære)
• Brukere kan gis klarering til visse kategorier av data
• Flernivå sikkerhet– Definisjon av flere nivåer av data
• Et flernivåsikkert system må håndheve:– No read up (ikke lese ovenfor). Et subjekt kan kun lese objekter
med lavere eller samme sikkerhetsnivå.
– No write down (Ikke skrive nedover): Et subjekt kan kun skrive til et objekt på samme eller høyere sikkerhetsnivå.
24.03.2003 HiØ Forelesning 12 38
Trusted Systems - Konseptet
24.03.2003 HiØ Forelesning 12 39
Trusted Systems – Reference monitor• Refernce monitor
– Er kontrollerende element i maskinvare og operativsystem som regulerer aksess til objekter på bakgrunn av sikkerhetsparametre
– Har aksess til en fil – sikkerhetskjernens database– Håndhever sikkerhetsreglene (policyen - no read up, no write
down)
• Egenskaper ved “Reference Monitor”– Fullstendig “formidling” (mediation);
• Policy/regler håndheves for hver aksess
– Isolering: • Monitor og database beskyttet mot uautorisert modifikasjon
– Verifiserbar: • Monitorens korrekthet må kunne bevises (matematisk)
• Et system som tilfredsstiller disse krav er “Trusted”
24.03.2003 HiØ Forelesning 12 40
”Trusted Systems” som forsvar mot Trojanske hester
24.03.2003 HiØ Forelesning 12 41
”Trusted Systems” som forsvar mot Trojanske hester