Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Vybudujte si svůj vlastní internetovský ochranný val Dr. Ing. Pavel Šmrha Západočeská univerzita v Plzni © 9.5.1998.

Podobné prezentace


Prezentace na téma: "Vybudujte si svůj vlastní internetovský ochranný val Dr. Ing. Pavel Šmrha Západočeská univerzita v Plzni © 9.5.1998."— Transkript prezentace:

1 Vybudujte si svůj vlastní internetovský ochranný val Dr. Ing. Pavel Šmrha Západočeská univerzita v Plzni ©

2 (c) Pavel Šmrha2 Filozofie tvorby ochranných valů l Minimalizace míst napadnutelných zvenčí u Filtrace paketů vycházející ze známé topologie u Princip demilitarizované zóny (DMZ): n Subsíť dostupná z obou logicky oddělených světů: n jak z Inernetu, tak i z chráněného intranetu n Obvykle je z Internetu přímo dostupný pouze jediný bezpečně nakonfigurovaný počítač (bastion host) l Strategie: u Vše, co není explicitně povoleno, je zakázáno

3 (c) Pavel Šmrha3 Základní typy ochranných valů l Paketové filtry (screening routers - packet fiters) u Filtrace podle zdrojové/cílové IP adresy, protokolu, služby/portu pro zpřístupnění vybraných služeb/počítačů DMZ nebo intranetu l Translace adres (NAT - Network Address Translation) u Automatické „přepisování“ IP adres při směrování (skryté adresy) l Proxy servery n Převádění paketů na úrovni aplikační vrstvy (změna IP adresy) n Virtuální spojení = dvě spojení (intranet-proxy-Internet) n Protokolově závislé (Telnet, FTP, HTTP, SMTP, POP3,...) u Okruhově orientované brány/převaděče n Proxy server realizuje předkonfigurované spojení za klienta u Aplikační brány/převaděče n Extenzivní analýza paketů podle typu aplikačního protokolu n Vyšší bezpečnost (přístupové seznamy, autentizace, analýza,...) l Technika stavové inspekce u Bitová komparace částí paketů podle „důvěryhodného“ vzoru

4 (c) Pavel Šmrha4 Topologie ochranného valu

5 (c) Pavel Šmrha5 Vstupního filtr routeru intra-gw

6 (c) Pavel Šmrha6 Typická konfigurace s DMZ

7 (c) Pavel Šmrha7 Typická konfigurace bez DMZ

8 (c) Pavel Šmrha8 Volně dostupný software l „Secured“ Linux v2.0.x kernel: u Speciálně vygenerované (bezpečné) jádro u IP filtrace paketů na úrovní jádra („anti IP spoofing“) l TIS Firewall Toolkit v1.3 (modifikovaný FWTK): u Proxy servery (volitelně transparentní) n Přístupové seznamy (ACL), autentizace uřivatelů,... n Aplikační převaděče TCP: n SMTP , Telnet, rlogin, FTP, HTTP, Gopher, SSL n Okruhový převaděč TCP: n Generický TCP převaděč (NNTP, POP3, SSH,...) l NEC Socks v5: u Proxy server (protokoly Socks 4/5) l Squid v1.1.x u Caching proxy server: WWW/HTTP, Gopher, FTP, SSL

9 (c) Pavel Šmrha9 Konfigurace základních služeb

10 (c) Pavel Šmrha10 Vlastnosti navrženého řešení l Optimální kombinace filtrace a proxy serverů l Skrytý IP adresní i jmenný prostor intranetu u Velký počet použitelných IP adres (RFC 1918) u Duální konfigurace DNS (Internet vs. skrytý intranet) l Autentizace: ACL, otevřené heslo, MD5, S/Key... l Transparentní přístup: proxy cache (WWW, Gopher, FTP, SSL) l Systém automatického generování statistik (reports) l Vyhodnocování alarmů v reálném čase u Automatické vyhodnocování podezřelých aktivit u Generování automatických akcí (echo, beep, exec, pipe, mail)

11 (c) Pavel Šmrha11 Konfigurace duálního DNS

12 (c) Pavel Šmrha12 Možnosti dalšího rozšíření l Vzdálená administrace kryptovaným kanálem u Secure shell (ssh): RSA, IDEA, 3DES,... u Secure Sockets Layer (SSL): https (RSA, RC4,...) l Automatické vyhodnocování stavu: u Athena-inetd: zákaz určitého typu služby (při ohrožení) u Kontrola běhu + autorestart sledovaných démonů l UDP převaděč (UDPrelay): NTP, SNMP,... l NAT (Network Address Translation): u IP masquerading (automatické „přepisování“ IP adres) u Transparentní přístup klientů ze skrytého IP adresního prostoru intranetu do Internetu l Synchronizace času (NTP3 server)

13 (c) Pavel Šmrha13 Komplexní bezpečné řešení l Transparentní přístup klientů z intranetu do Internetu (omezení přístupu pomocí ACL: squid proxy cache, NAT - IP masquerading, „socksifikovaný“ klient) l Transparentní přístup klientů z Internetu k bezpečným službám určitých serverů v intranetu (podle ACL: TIS FWTK pro TCP nebo UDPrelay pro UDP) l Vzdálená administrace pomocí kryptovaného kanálu (Secure shell, SSL)

14 (c) Pavel Šmrha14 Děkuji za pozornost a Váš čas Dr. Ing. Pavel Šmrha Síťový expert Centrum informatizace a vzdělávání Západočeská univerzita Univerzitní Plzeň Tel. (019) / 215 Fax (019)


Stáhnout ppt "Vybudujte si svůj vlastní internetovský ochranný val Dr. Ing. Pavel Šmrha Západočeská univerzita v Plzni © 9.5.1998."

Podobné prezentace


Reklamy Google