hálózati operációs rendszerek hálózati biztonság
DESCRIPTION
Hálózati Operációs Rendszerek Hálózati Biztonság. Dr. Bilicki Vilmos Szegedi Tudományegyetem Informatikai Tanszékcsoport Szoftverfejlesztés Tanszék. Tartalom. Alapok TCP/IP képességek, problémák Technológiák PKI Fogalmak, problémák Malware BotNet DOD, DDOS, SMURF Védekezés NAT/PAT - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/1.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS Hálózati Operációs Rendszerek
Hálózati Biztonság
Dr. Bilicki VilmosSzegedi TudományegyetemInformatikai TanszékcsoportSzoftverfejlesztés Tanszék
![Page 2: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/2.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
Tartalom Alapok
■ TCP/IP képességek, problémák Technológiák
■ PKI Fogalmak, problémák
■ Malware■ BotNet■ DOD, DDOS, SMURF
Védekezés■ NAT/PAT■ Tűzfal■ Proxy
Védelmi architektúrák23.04.24. 2Hálózati Operációs Rendszerek
![Page 3: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/3.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
Az Internet fizikai topológiája http://www.caida.org/tools/visualization/mapnet/Backbones/
Hálózati Operációs Rendszerek
![Page 4: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/4.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
4
Az Internet struktúrája Globális elérhetőség (a felhasználó nem
veszi észre, hogy sok hálózat van, csak egyet lát)
Hierarchikus szerkezetű■ TierI (kapcsolatot ad el vagy társul)■ TierII (társul és fizet másnak a kapcsolatért)■ Tier III. (fizet a kapcsolatért)■ Rétegei
– Felhasználók– Helyi Internet szolgáltatók– Regionális Internet szolgáltatók
■ Point of Presence – POP■ Network Access Point
A hálózatok közötti viszonyok■ Tranzit (mi fizetünk érte)■ Társ (tipikusan ingyenes)■ Szolgáltató (mások fizetnek nekünk)
Nem egészen hierarchikus■ Az egyes cége külön NAP-okat hoztak létre■ A különböző szintű szolgáltatók nem csak a
saját szintjükön tevékenykednek
ISP
Regionális
Hálózat szolgáltató
NAP
Hálózati Operációs Rendszerek
![Page 5: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/5.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
A hálózat működéseA hálózati réteg feladat:
■ Egy hierarchikus címzés segítségével azonosítani a hálózat egyes szegmenseit
■ Megkeresni közöttük a legkedvezőbb útvonalat■ Legjobb szándék szerint kézbesíteni az adat csomagokat
Elemei:■ Forgalomirányítók
– Több logikai vagy fizikai interfész és képes átvinni a forgalmat közöttük
■ Hostok, Állomások– Egy vagy több logikai vagy fizikai interfész és nem képes átvinni
a forgalmat közöttükForgalom típusok:
■ Normál (Unicast)■ Töbesküldés (Multicast)
Hálózati Operációs Rendszerek
![Page 6: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/6.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
IPv4 – TCP/IP Internet réteg Kézbesítés:
■ Legjobb szándék szerint (Best effort), nincs garancia Elemei
■ IP csomagok– TCP– UDP– ICMP– IGMP– …
■ Egyéb csomagok– ARP– RARP
■ IP címzés– Hierarchikus cím tartomány– A cím és a topológia és a cím tartomány együtt van definiálva
■ Forgalomirányítók– Tipikusan a csomag cél címe alapján hozzák meg döntéseiket– Minden csomagot külön kezelnek
Kommunikációs módok:■ Pont – Pont (Unicast)■ Üzenetszórás (Broadcast)■ Többesküldés (Multicast)
Hálózati Operációs Rendszerek
![Page 7: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/7.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
IPv4 csomag felépítése Fejléc
■ Verzió: 0100■ Fejléc hossz: min. 20 oktet max. 24 oktet■ Type of Service: Általában két részre osztják:
– Precedencia (Prioritás)– TOS (Késleltetés, Sávszélesség, Megbízhatóság, Pénz)– Diffserv-nél használják
■ Csomag hossz: max 64K, tipikusan 1500 Byte■ Azonosító (a darabolt csomag részek azonosítója)■ Jelző zászlók: nem darabolható (MTU tesztelés), darab jön még■ Time-to-Live: Hurkok kezelése, implementáció függő, tarceroute!■ Protocol: ICMP, IGMP, TCP, UDP, RSVP, OSPF, …■ Fejléc ellenőrző kód■ Opciók:
– Laza forrás forgalomirányítás– Szigorú forgalom irányítás– Útvonal naplózása– Időbélyeg rögzítés
Tartalom
Hálózati Operációs Rendszerek
![Page 8: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/8.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
Transmission Control Protocol - TCPEgyszerű, robosztusTulajdonságai:
■ Vég-Vég vezérlés■ Viszony kezelés■ Sorrendhelyes átvitel■ Torlódás vezérlés
23.04.24. 8Hálózati Operációs Rendszerek
![Page 9: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/9.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
TCP szegmens formátum
23.04.24. 9Hálózati Operációs Rendszerek
![Page 10: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/10.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
UDP szegmens formátum
23.04.24. 10Hálózati Operációs Rendszerek
![Page 11: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/11.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
Portok1024 alatt jól ismert portok1024 fölött dinamikus
23.04.24. 11Hálózati Operációs Rendszerek
![Page 12: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/12.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
TCP viszony felépítésHárom fázisú kézfogás
■ Szekvencia számok?
23.04.24. 12Hálózati Operációs Rendszerek
![Page 13: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/13.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
TCP ablakozásA sávszélesség adottAz átlagsebességet kell belőni
23.04.24. 13Hálózati Operációs Rendszerek
![Page 14: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/14.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
NAT IP címek kimerülőben vannakCím újrahasznosítás
■ DHCP■ Network Address Translation
RFC 1631(1994 – rövid távú megoldás!)■ A csonk tartományokban a klienseknek csak nagyon
kis része folytat kommunikációt a külvilággal (ez ma már nem feltétlenül igaz!)
– Belül privát cím tartomány– Kívül publikus cím tartomány
■ A TCP csomag fejlécében módosítani kell az ellenőrző összeget
■ Egyes protokolloknál le ki kell cserélni a címeket■ A többit majd meglátjuk
23.04.24. 14Hálózati Operációs Rendszerek
![Page 15: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/15.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
NAT variációk Teljes terelő (Full Cone)
■ Minden kérésnél a belső cím/port ugyanarra a külső cím/port-ra van kötve
■ Külső host a külső címre küldve tud a belsővel kommunikálni Szabályozott terelő (Restricted Cone)
■ Ugyanaz mint az előző, csak a külső alkalmazás csak akkor tud a belsővel kapcsolatba lépni, ha a belső ezt kezdeményezi
Port szabályozott terelő (Port Restricted Cone)■ Ugyanaz mint az előző, csak portokra is vonatkozik
Szimmetrikus■ A külső címzettől függő cím hozzárendelés■ Csak a csomagot megkapó külső címzett tud UDP választ
küldeni
23.04.24. 15Hálózati Operációs Rendszerek
![Page 16: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/16.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
16
PKI és társaiKivonat (Hash)Titkos kulcsú titkosítás (Symetric)Nyilvános kulcsú titkosítás (Asymetric)Digitális aláírás (Digital Siganture)Digitlis tanúsítvány (Digital Certificate)Tanúsítvány hatóság (Certificate
Authority)
Hálózati Operációs Rendszerek
![Page 17: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/17.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
17
KivonatTetszőleges bemenetPl.: 128 bites kimenetA bemeneten egy kis változtatás is
megváltoztatja a kimenete isNem visszafejthető
Hálózati Operációs Rendszerek
![Page 18: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/18.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
18
Szimmetrikus kulcsú titkosításKözös kulcsGyorsKulcselosztás?
Hálózati Operációs Rendszerek
![Page 19: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/19.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
19
Aszimmetrikus kulcsú titkosítás
Nyilvános kulcsTitkos kulcsLassú
Hálózati Operációs Rendszerek
![Page 20: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/20.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
20
Digitális aláírás
Hálózati Operációs Rendszerek
![Page 21: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/21.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
21
Digitális tanúsítvány
Hálózati Operációs Rendszerek
![Page 22: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/22.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
22
Tanúsítvány hatóság
Hálózati Operációs Rendszerek
![Page 23: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/23.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
23
Biztonsági megoldások
Hálózati Operációs Rendszerek
![Page 24: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/24.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
24
Támadások fejlődéseForrás: Cisco
![Page 25: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/25.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
Fogalmak problémákMalwareBotnetIPSpoofingDNS, DNS gyorstár mérgezésDOS, DDOS, SMURF
23.04.24. Hálózati Operációs Rendszerek 25
![Page 26: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/26.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
Malware Vírus – önmagát sokszorosító program, tipikusan
megosztott médián terjed Féreg – hasonló mint a círus, csak hálózaton
terjed Hátsó bejárat – rejtett bejárat amely lehetővé
teszi a maga jogosultsági szintű funkcionalitás elérését
Rootkit – a rendszer adott részeit lecseréli Key logger – a billentyűzetet figyeli Trójai – a normál program részeként érkező
kártékony program Spyware – infomráció gyűjtő program
23.04.24. Hálózati Operációs Rendszerek 26
![Page 27: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/27.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
FéregA fertőzés exponenciálisan terjed :
1. Kihasználja a cél eszköz valamilyen sérülékeny pontját
2. Beágyazza magát a cél eszközbe (i időbe tellik)
3. Újabb cél eszközöket keres (s időbe tellik)4. A folyamat újraindul
23.04.24. Hálózati Operációs Rendszerek 27
![Page 28: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/28.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
Felderítés (scanning)Lokális információVéletlen IPPermutációsHit List (48 MB)
23.04.24. Hálózati Operációs Rendszerek 28
![Page 29: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/29.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
DOS, DDOS, SMURFSzolgáltatás ellehtetlenítésPl.: TCP kapcsolatok nyitása, hibás
csomagokDDOS. Elosztott DOSSMURF: forgalom generálás a cél
hálózaton
23.04.24. Hálózati Operációs Rendszerek 29
![Page 30: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/30.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
BotnetInternetre kapcsolt, idegen irányítás alatt
lévő gépek csoporjaDOS, DDOS, SPAM fő forrásaKözpontosítottP2PNagy botnetek > 1M gép
23.04.24. Hálózati Operációs Rendszerek 30
![Page 31: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/31.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
IP SpoofingIP Cím hamisításDOS, DDOS egyik eszköze
23.04.24. Hálózati Operációs Rendszerek 31
![Page 32: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/32.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
32
Megoldás(talán, nincs tökéletes) Elvileg nincs szükség másra, csak megfelelően
beállított gépekre DE a szoftver hibák, emberi mulasztások, … miatt
mégis szükség van:■ Elosztott, jól koordinálható, több rétegű védelem■ Integrált megoldás (kapcsolók, forgalomirányítók,
szerverek, …)■ Automatikus reakció■ Védelmi keretrendszer
– Védelem - Védelmi rendszer– Szabályozás - Bizalom és identitás menedzsment– Titkosítás - Biztonságos kapcsolat
Hálózati Operációs Rendszerek
![Page 33: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/33.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
33
Biztonsági szabályokA hálózatot biztonsági övezetekre kell
osztaniEgy-egy biztonsági övezet saját
biztonsági szabályrendszerrel bírEzen övezetek határán szükség van egy
olyan eszközre mely a különböző szabályokból adódó konfliktusokat feloldja
Ez az eszköz legtöbbször a tűzfal
Hálózati Operációs Rendszerek
![Page 34: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/34.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
34
Védelmi eszközök Tűzfal
■ Osztályai:– Személyes (első osztály)– Forgalomirányító (második osztály)– Alsó kategóriás hardver tűzfalak (harmadik osztály)– Felső kategóriás hardver tűzfalak (negyedik osztály)– Szerver tűzfalak (ötödik osztály)
■ Típusai– Csomagszűrő– Cím transzformáló– Állapottartó– Kapcsolat szintű átjáró– Proxy– Alkalmazás rétegbeni szűrés
■ Megvalósítások– Netfilter (http://www.netfilter.org/ )– ISA 2004 (http://www.microsoft.com/isaserver/ )– CISCO PIX (http://www.cisco.com/warp/public/cc/pd/fw/sqfw500/ )
Behatolás érzékelő rendszer■ SNORT (http://www.snort.org/ )■ Cisco IDS 4200 (http://www.cisco.com/warp/public/cc/pd/sqsw/sqidsz/ )
Hálózati Operációs Rendszerek
![Page 35: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/35.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
35
Tűzfal típusok: Csomagszűrő Mivel a különböző hálózatokat leggyakrabban
forgalomirányítók kötik össze ezért ezen funkciók leggyakrabban itt található
Ha már van router akkor mindenképpen azon célszerű implementálni
A 3. rétegben működik Szűrő feltételek:
■ Forrás/Cél cím■ Forrás/Cél port
Ezzel célszerű az IP spoofing-ot kivédeni Ez nagyon gyors és kis erőforrás igényű tud lenni
Hálózati Operációs Rendszerek
![Page 36: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/36.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
36
Tűzfal típusok: NAT Tipusai:
■ PAT – Port Address Translation■ NAT – Network Address Translation
Lehet:■ Dinamikus■ Statikus
Címfordítást végez
Elrejti a belső címeket
Alkalmazás réteg?
Hálózati Operációs Rendszerek
![Page 37: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/37.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
37
Tűzfal típusok : Kapcsolat szintű átjáró
Nem vizsgál minden egyes csomagotAmint a kapcsolat felépült utána az adott
viszonyhoz tartozó összes csomag mehetA 4. rétegben működikJobb mint csak csomagszűrésTartalmazhat alkalmazás rétegbeni
funkciókat is■ Pl.: FTP
Hálózati Operációs Rendszerek
![Page 38: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/38.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
38
Tűzfal típusok : Állapottartó Az előző kettő kombinációja A 3., 4. rétegben működik Minden kimenő csomag naplózva van az állapot
táblában■ Forrás/Cél IP■ Forrás/Cél port
A bemenő forgalomnál így ellenőrizhető, hogy ki kezdeményezte
Ez a tudás mindenképpen megkövetelendő egy tűzfaltól
Egyéb információkat is eltárolhat■ Protkoll falg-ek
Hálózati Operációs Rendszerek
![Page 39: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/39.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
39
Tűzfal típusok : Proxy A kommunikáció 3 vagy több fél között folyik
■ Kliens■ Proxy■ Szerver
Títkosítatlan esetben a kliens nem látja közvetlenül azokat a csomagokat amelyeket a szerver küldött és fordítva
Títkosított esetben a proxyellenőrzi a fejléceket ésha minden OK akkortovábbküldi
Gyorsítótár Protokoll validáció Felh. ID alapú döntés Bonyolult Minden protokollt ismernie kell
Hálózati Operációs Rendszerek
![Page 40: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/40.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
40
Alkalmazás szintű szűrésA legintelligensebbÉrtelmezni tudják az adott alkalmazás adatát
és ez alapján döntéseket hoznakSMTP parancsok, DNS parancsok, SPAM
szűrés Igény alapján dinamikusan nyitja a portokat
■ DNS felé UDP csak akkor ha a DNS indította a kapcsolatot és addig amíg ez a kapcsolat tart
Títkosított forgalom kezelése:■ Ugyanaz mint a proxy-nál■ A tűzfalon végződtetve mindkét oldalon
Hálózati Operációs Rendszerek
![Page 41: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/41.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
41
Védelmi topológiákEgyszerű határ tűzfalMegbízhatatlan gépHárom zónás architekrúra:
■ Fegyvermentes övezet (DMZ DeMilitarized Zone)
■ Kettős tűzfal
Hálózati Operációs Rendszerek
![Page 42: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/42.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
42
Határ tűzfal Egyrétegű megoldás Egy eszközre van telepítve minden tűzfal funkció Egy eszköz köt össze minden hálózatot Egyszerű Olcsó A legkevésbé biztonságos
megoldás■ Egy eszközön kell a
biztonsági hiányosságokat kiaknázni
Hálózati Operációs Rendszerek
![Page 43: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/43.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
43
Megbízhatatlan gép Vannak olyan szervereink melyek szolgáltatásokat nyújtanak a
külvilágnak ■ Web■ SMTP■ FTP■ NTP■ SSH■ RDesktop■ VPN szerver ?■ …
Mivel ez a leginkábbveszélyeztetett ezért ezt a tűzfalon kívül helyezzük el
Minimális szolgáltatásra kelltörekednünk
A belső gépek nem bíznak meg benne
Hálózati Operációs Rendszerek
![Page 44: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/44.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
44
Demilitarizált övezetA megbízhatatlan szolgáltatókat is védeni
szeretnénkItt egy új hálózatot alakítunk ki ezen
szolgáltatások számáraNagyobb
■ Biztonság■ Rendelkezésre állás■ Megbízhatóság
Hálózati Operációs Rendszerek
![Page 45: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/45.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
45
Dupla tűzfal A célja ugyanaz mint az előzőé Funkciók
■ Perem tűzfal■ Belső tűzfal
Hálózatok:■ Határ hálózat■ DMZ■ Belső hálózat
Célszerű különbözőarchitektúrájú tűzfalakatválasztani
Hálózati Operációs Rendszerek
![Page 46: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/46.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
46
Belső tűzfalA belső hálózathoz történő hozzáférést
szabályozzaKülső nem megbízható felhasználók
elvileg soha nem léphetnek be a belső hálózatra■ Web szerver esetén a web szerver fog
kommunikálni a belső részekkel
Hálózati Operációs Rendszerek
![Page 47: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/47.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
47
Tipikus beállítások Minden tiltva ami nincs engedve Tiltani a belső IP címek forrásként feltüntetését kívülről Tiltani a külső IP címek forrásként feltüntetését belülről Engedélyezni a DMZ DNS szerverek UDP-n történő megszólítását a
belső DNS szerverekről Engedélyezni a belső DNS szerverek UDP-n történő megszólítását a
DMZ-ből TCP DNS forgalom engedélyezése (szerver figyelembe vételével) Kimenő SMTP a DMZ SMTP átjáróról Bejövő SMTP a DMZ SMTP átjárótól Engedi a proxy-tól származó forgalmat befelé Engedi a forgalmat a proxy felé Szegmensek támogatása Szegmensek közötti forgalom állapotkövetéses forgalomirányítása Magas rendelkezésreállás támogatása
Hálózati Operációs Rendszerek
![Page 48: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/48.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
48
Perem tűzfalFeladata a szervezet határain túli
felhasználók kiszolgálásaTípusai:
■ Megbízható (távoli iroda)■ Félig megbízható (üzleti partnerek)■ Megbízhatatlan (publikus weboldal)
Ez az eszköz fogja fel a támadásokat (jó esetben)
Hálózati Operációs Rendszerek
![Page 49: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/49.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
49
Tipikus beállítások Minden tiltva ami nincs engedve Tiltani a belső IP címek forrásként feltüntetését kívülről Tiltani a külső IP címek forrásként feltüntetését belülről Engedélyezni a külső DNS szerverek UDP-n történő
megszólítását (DMZ-ből) Engedélyezni a belső (DMZ) DNS szerverek UDP-n
történő megszólítását TCP DNS forgalom engedélyezése (szerver figyelembe
vételével) Kimenő SMTP a belső SMTP átjáróról Bejövő SMTP a belső SMTP átjárónak Engedi a proxy-tól származó forgalmat a külvilág felé Engedi a forgalmat a proxy felé
Hálózati Operációs Rendszerek
![Page 50: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/50.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
Példa netfilter conf.
23.04.24. Hálózati Operációs Rendszerek 50
![Page 51: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/51.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
51
Rendelkezésre állás (perem/belső)
Egy tűzfal
Több tűzfal:
Hálózati Operációs Rendszerek
![Page 52: Hálózati Operációs Rendszerek Hálózati Biztonság](https://reader035.vdocuments.net/reader035/viewer/2022070502/56815022550346895dbe06f6/html5/thumbnails/52.jpg)
UNIV
ERSI
TY O
F SZ
EGED
Dep
artm
ent o
f Sof
twar
e En
gine
erin
gU
NIV
ER
SIT
AS
SC
IEN
TIA
RU
M S
ZEG
ED
IEN
SIS
Tartalom Alapok
■ TCP/IP képességek, problémák Technológiák
■ PKI Fogalmak, problémák
■ Malware■ BotNet■ DOD, DDOS, SMURF
Védekezés■ NAT/PAT■ Tűzfal■ Proxy
Védelmi architektúrák23.04.24. 52Hálózati Operációs Rendszerek