Technologie firewallů - Filtrování paketů Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
Představa firewallu Zdroj Microsoft, nápověda Windows
Příklad firewallu Zařízení s firewallem Chráněné počítače (síť) síťový Je-li firewall společný pro všechny PC – síťový FW osobní Chrání -li firewall jedno PC– osobní FW internet
Úvod Filtrování paketů je nejstarší technologií, založenou na prohlížení IP hlaviček. Pokud hlavička nevyhovuje předepsaným pravidlům, je paket zahozen Samotný paketový filtr však nezajistí 100% bezpečnost, proto se ve firewallech kombinuje s dalšími technologiemi: – Překladem adres (NAT) – Proxy serverem Obecně platí, že dobrý firewall musí kombinovat více technologií
Paketové filtry Základem firewallu je paketový filtr, který rozhoduje, jaké pakety pustí z vnější sítě dovnitř, nebo ven. A to na základě určitých pravidel. Ta si musí vytvořit uživatel sám dle vlastní potřeby. Existují dva typy paketových filtrů: – Bezstavové – Bezstavové – původní filtry, které často používají operační systémy, nebo směrovače – S kontrolou stavu – dokonalejší, používané ve firewallech
IP packet a firewall Z hlediska firewallu nás na IP packetu zajímají především: – Typ protokolu přenášeného uvnitř packetu – Zdrojová IP adresa – Cílová IP adresa – Číslo zdrojového portu – Číslo cílového portu data IP packet hlavička hlavička Segment (např. TCP) hlavička data
Bezstavové filtry – filtrace adres IP Filtrováním adres je možné omezit přístup: – Z vnějších počítačů a síti do našeho PC, nebo sítě (příchozí spojení) – Určit na které vnější počítače bude přístup povolen (odchozí spojení) – Zpravidla se filtrování adres kombinuje s filtrováním portů (nejen odkud, či kam je povoleno, ale také jaký protokol je omezen, nebo povolen)
Příklad firewallu Zařízení s firewallem Chráněné počítače (síť) Příchozí spojení Odchozí spojení internet
Porty Nejčastěji se asi filtrují porty, v soustavě TCP/IP jde o porty protokolů TCP, nebo UDP Port = protokol = služba, lze tak definovat, kterou službu povolíme a kterou zakážeme Běžně se všechny porty zakážou a poté povolí pouze některé
Porty - přehled Porty pevně dané – neměnné, standardní Porty „nestálé“ - otevírané dynamicky, aplikace si otevře nějaký port (pokaždé jiný)
Porty důležité pro firewally SlužbaPort TCPPort UDP DNS53 FTP20, 21 HTTP80 IMAP143 NTP123 POP3110 SMTP25 SSL449 NetBIOS137, 138 a 139 RPC Locator135 Terminal services3389 Telnet23 SNMP161 Internetové služby Služby Windows
DNS (53 UDP) Slouží pro překlad IP adres na jména a naopak – proto jej nejde deaktivovat Pro překlady internetových adres používat veřejný server Pro překlady vnitřních adres používat vnitřní server (za firewallem)
internet IP adresa:53 53 Pravidlo: 1.Povolit port 53 pro přístup ze všech PC k serveru DNS v Internetu 2.Povolit port 53 pro přístup z Internetu na všechna PC DNS (53 UDP)
FTP ( 20 a 21 TCP) Je starším protokolem ještě s příkazovou řádkou (ale existují i grafická prostředí). Jeho úkolem je stahování souborů ze serveru, případně umísťování souborů na server (např. www stránky) Port 20 je příkazový, otevírá se jím spojení se serverem Port 21 datový, jím se ze serveru data stahují Pokud data stahujete musí být povoleny oba porty a firewall musí být správně nastaven Pokud počítač slouží jako server, je to hodně nebezpečné. Uživatel musí prohlížet složky z nichž si soubory kopíruje. K PC se hlásí jménem a heslem, pokud to povolíte - může se přihlásit také jako anonymní uživatel. Pro server ftp platí: – Používat jiná přihlašovací jména a hesla než mají ostatní PC v síti – Zkontrolovat nastavení pro anonymní přihlášení a účet GHOST (viz. MBSA) – Pokud to není nutné, nepoužívat ftp server vůbec, pracovat pouze s ftp klientem
FTP ( 20 a 21 TCP) internet 20 20, 21 Pravidlo: (v kombinaci s NAT mohou být problémy) 1.Povolit port 20 pro přístup ze všech PC do Internetu 2.Povolit port 20,21 pro přístup z Internetu na všechna PC
HTTP (80 TCP) Nejpoužívanější protokol při surfování Internetem Nedá se zakázat Pokud je www stránka uložena na vašem serveru, může ji protokolem http hacker zneužít Pokud přistupujete na server můžete si z www stránek stáhnout škodlivý software (aplet java, active X) Pro server – umístit jej mimo vnitřní síť, protokolovat jeho provoz
internet 80 Pravidlo: 1.Povolit port 80 pro přístup ze všech PC do Internetu 2.Povolit port 80 pro přístup z Internetu na všechna PC HTTP (80)
IMAP (143 TCP) Slouží ke stahování pošty ze serverů v internetu na naše PC To samé dělá POP3, ale IMAP má větší konfigurační možnosti a je bezpečnější (posílá zašifrovaná hesla) Pokud to server umí, dát přednost IMAP před POP3 Povolit jen pokud jej skutečně používáme
internet IP adresa:143 Pravidlo: 1.Povolit port 143 pro přístup pouze na poštovní server 2.Povolit port 143 pro přístup pouze z poštovního serveru IMAP (143 TCP) IP adresa:143
POP3 (110 TCP) Stejně jako IMAP stahuje poštu z internetového serveru na místní PC Povolit jen pokud jej používáme
POP3 (110 TCP) internet IP adresa:110 Pravidlo: 1.Povolit port 110 pro přístup pouze na poštovní server 2.Povolit port 110 pro přístup pouze z poštovního serveru IP adresa:110
NTP (123 UDP) Synchronizace data a času (používá i Windows XP a Vista) Při otevření ve firewallu zkombinovat s cílovou adresou NTP serveru
NTP (123 UDP) internet IP adresa:123 Pravidlo: 1.Povolit port 123 pro přístup pouze na časový server 2.Povolit port 123 pro přístup pouze z časového serveru IP adresa:123
SMTP (25 TCP) Přenos pošty v internetu Nelze zakázat Nebezpečné hlavně pro poštovní servery – ty by měly mít nainstalován antivirový software, který spolupracuje s poštovním programem
SMTP (25 TCP) internet IP adresa:25 Pravidlo: 1.Povolit port 25 pro přístup pouze na server SMTP 2.Povolit port 25 pro přístup pouze ze serveru SMTP IP adresa:25
HTTPS (449) Protokol http doplněný o šifrování dat. Provoz mezi serverem a klientem je šifrován protokolem SSL Dnes hodně používané (např. spojení při elektronickém bankovnictví)
HTTPS (449) internet IP adresa:449 Kombinuje se s bezpečnou zónou v Internet Exploreru IP adresa:449 Pravidlo: 1.Povolit port 449 pro přístup pouze na server 2.Povolit port 449 pro přístup pouze ze serveru
Terminal Services (3389) Ve Windows je pro ni často používaný název Vzdálená plocha Umožňuje vzdáleně přistoupit k počítači a pracovat s ním Dobré pro administrátory při správě na dálku Zároveň velmi nebezpečné Otevřít port jen pokud budeme službu využívat a použít zvýšenou ochranu tohoto portu
Terminal Services (3389) internet IP adresa:3389 Pravidlo: 1.Povolit port 3389 pro přístup pouze na počítač správce 2.Povolit port 3389 pro přístup pouze ze počítače správce Komunikace zakázána IP adresa:
SNMP (161 UDP) Vzdálená správa sítě (směrovačů, serverů, počítačů…) Používá se v rozsáhlých sítích, případně ve větších sítích LAN Na firewallu by měl být blokován (nikdo cizí naši síť nebude řídit)
Telnet (23 TCP) Přístup ke vzdálenému počítači z příkazové řádky Ještě z doby sálových PC Nebezpečné, zakazuje se
Telnet (23 TCP) internet Komunikace zakázána 23
NetBIOS (137,138 a 139 UDP) Windows tímto protokolem (a jeho porty) přistupují k souborovým serverům a síťovým tiskům V místní lokální síti je tedy nutný, ale pokud tyto porty otevřeme i do Internetu, tak nabízíme svoje síťové zdroje Nastavit firewall tak, aby znemožnil přístup z internetu k těmto portům!!!
NetBIOS (137,138 a 139 UDP) internet Komunikace zakázána 137,138,139 Je-li však použit osobní firewall na stanicích, musí zde být komunikace povolena!
RPC lokátor (135 TCP) Jeho prostřednictvím hledají Windows síťové služby Podobně jako NetBIOS je v lokální síti nutný, ale z Internetu by měl být blokovaný
RPC lokátor (135 TCP) internet Komunikace zakázána 135 Je-li však použit osobní firewall na stanicích, musí zde být komunikace povolena!
Nevýhody bezstavových filtrů Bezstavové paketové filtry mají mnoho nedostatků: 1.Fragmentace paketu - (rámec prochází sítí, či směrovačem, které pracují s menším rámcem. Rámec je rozdělen na fragmenty, které jsou v cíli složeny). Čísla portů (TCP, UDP) s určením paketu jsou uvedena pouze v prvním fragmentu, v ostatních už ne. Toho může využít Hacker. 2.U bezstavového filtru nelze definovat požadavky na dynamické porty (porty nad číslem 1024). Proto je většina těchto filtrů jednoduše propouští – velmi nebezpečné
Filtr s kontrolou stavu Stejně jako u bezstavového filtru jsou definovány povolené porty Bezstavový filtr však sleduje celou komunikaci (povoleným portem) mezi zdrojem a cílem Pokud pakety vyhovují komunikačním pravidlům (pocházejí z důvěryhodného zdroje) jsou propuštěny Na takovém filtru se většinou nedefinují jednotlivé porty, ale nastavují se tzv. politiky – neblokujeme port 80, ale službu www apod.
Princip práce filtru s kontrolou stavu internet Vnitřní síť otevři :80 požaduje :1225 Firewall Vytvoř pravidlo: port 1225 na otevřít pro www server otevři :80 požaduje :1225 Posílám data pro :1225 Zkontroluj: je port 1225 počítače Otevřen pro ? Otevři :1225 čas Klientské PC
Princip práce filtru s kontrolou stavu internet Vnitřní síť Firewall haker server Posílám data pro :1225 Zkontroluj: je port 1225 počítače Otevřen pro ? čas Klientské PC Přístup nepovolen
Nedostatek filtru s kontrolou stavu Pokud vyjde požadavek z chráněné sítě, filtr pro něho vytvoří relaci Je-li požadavek generován červem, nebo prvkem Active X, virem … je firewall překonán
Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Použité materiály: Rita Pužmanová: TCP/IP v kostce Jaroslav Horák: Bezpečnost malých počítačových sítí