halozatbiztonsag__tuzfalak

7/30/2019 halozatbiztonsag__tuzfalak

1/31

1

Hlzatbiztonsg, Tzfalak

Lendvai Kroly

[email protected]

Mr i.e. megmondtk

Szun-Ce, A hadvisels trvnyei:

ha ismerjk az ellensget s ismerjk magunkat is,akkor szz csatban sem jutunk veszedelembe; haazonban nem ismerjk az ellensget, csak magunkatismerjk, akkor egyszer gyznk, msszor veresget

szenvednk; s ha sem az ellensget, sem magunkatnem ismerjk, akkor minden egyes csatban felttlenlvgveszly fenyeget bennnket

Hlzatbiztonsg, Tzfalak 2


2/31

2

Bruce Schneier:

A biztonsg nem egy termk,

hanem egy folyamat.


A folyamat



3/31

3

Biztonsgos hlzat

Mi az a biztonsg?Nehz definilni, mivel mindenkinek mst jelent

Pldk: Fontos adatllomny esetn illetktelenek ne juthassanak

hozz az adatokhoz (jv heti ZH feladatok) Illetktelenek adott esetben bizonyos adatokat csak

olvasni tudjanak, mdostani ne (kipublikljuk a ZHeredmnyeket, ne lehessen trni ket)

Felhasznli jogosultsgkezels


Kockzat

Tkletesen biztonsgos rendszer nem ltezik.

A dolgokat a msik oldalrl kzeltsk meg.

Kockzat

Egy adott rendszert fenyeget

veszlyeket veszi szmba,az ltaluk okozott krokat prblja megbecslni,sszegezni

Gyakorlatban: Kockzatelemzs, Kockzatcskkents Leggyengbb lncszem feldertse



4/31

4

Alapfogalmak

Srtetlensg Az elkldtt zenet vltoztats nlkl r clba Esetleges mdosts detektlhat

Hitelessg Az zenetet valban az kldte, akit feltteleznk s a

hlzati tovbbts sorn nem mdosult

Letagadhatatlansg Nemcsak a vev, hanem tetszleges harmadik fl fel is

igazolhat, hogy egy adott zenetet tnyleg a valdi kldkldtt, letagadni azt nem tudja


Alapfogalmak

Bizalmassg Az zenetet egy tmad hiba hallgatja le, azt nem tudja

rtelmezni a titkos kulcs nlkl, mivel kriptogrfiaimdszerekkel titkostva van.

Az emberek tbbnyire ezt rtik biztonsgoskommunikcin

Tvoli azonosts Akkor, ha kt fl mg nem ismeri egymst, s kzttk

nincs egy biztonsgos csatorna, akkor egyb mdszereksegtsgvel rendszerint harmadik fl bevonsvalmutatkozhatnak be egymsnak biztonsgosan.Rendszerint ezt a PKI infrastruktra segtsgvel oldjkmeg.



5/31

5

Tmads

Mit rtnk tmadson?

Adott egy illetktelen szemly (tmad), aki akommunikcink sorn keletkez zenetek biztonsgtklnbz tmadsok sorn veszlyezteti.

(Itt most nem foglalkozunk pldul azzal, hogy a tmad

ellophatja a szmtgpnket, s lemsolhatja arrl azadatokat, holott az is egy lehetsges tmads)


Mirt?

Mirt tmadnak? A tmad haszonszerzsre trekszik A tmad a szolgltat hrnevt prbja gyengteni J szndk tmad, csak a rendszer hibira szeretn

felhvni a figyelmet Erfitogtats, szrakozs

Ugrdeszka ms gpek feltrshez

A tmadsokat kt nagy csoportba osztjuk: Passzv tmadsok Aktv tmadsok



6/31

6

Passzv tmadsok

A tmad csak megfigyelst vgez, vagy informcitgyjt az informci tartalmnak s tovbbtsi mdjnakmegvltoztatsa nlkl.

Kt f tpus:

zenet tartalmnak felfedse zenetek lehallgatsa, kldtt adatllomnyok

tartalmnak megfigyelse Vdekezs: titkostssal s/vagy a kommunikl felek

azonostsval


Passzv tmadsok

Forgalomanalzis A kommunikl felek helyt, a kommunikci

gyakorisgt, idejt, idtartamt hatrozza meg Ezen tmadsok ellen nem segt a titkosts, azonosts

ltalnossgban elmondhat, hogy a passzv tmadsok

ellen vdekezni nagyon nehz, a megelzs a legjobbmd.

A tmad szemlynek, helynek feldertse nagyonnehz, mivel a tmads nem hagy nyomot azzenetekben.



7/31

7

Aktv tmadsok

Aktv tmads esetn, a tmad valamilyen mdonmegvltoztatja az zeneteket, vagy hamis zeneteketgenerl.

Az aktv tmadsoknak ngy f tpusa ltezik: lczs (masquerade), megszemlyests

(impersonation), hamists (spoofing) A tmad egy leglis partnernek adja ki magt Plda 1: FTP felhasznlnv s jelsz lehallgatsa, majd

ksbb ezen adatok felhasznlsa kapcsolat kiptsre Plda 2: Csomagban forrs IP cm cserje


Aktv tmadsok

Visszajtszs (replay) Korban megszerzett zenet / zenetvlts ksbbi

idpontban trtn jrakldse

Mdosts (modification) Egy szablyos zenet bizonyos rszeit a tmad

mdostja, kitrli, vagy j rszeket illeszt bele Nem szksges hozz a teljes zenet ismerete Real time alkalmazsa Man-In-The-Middle tmadssal

lehetsges



8/31

8

Aktv tmadsok

Szolgltatsmegtagads (Denial of Service DoS) A kommunikcis infrastruktra normlis mkdst

zavarjk meg, rontjk el Clja lehet egy adott szmtgp, vagy adott program

megbntsa, de adott esetben egy egsz hlzatmkdskptelenn ttele is

Pldul egy szmtgp elrasztsa hamis krsekkel, gy

a vals krdsekre nem tud vlaszolni Amikor a tmads egyszerre tbb gprl rkezik DDoS Distributed Denial of Service tmadsrl beszlnk

Aktv tmadsokat nehz megelzni, f cl a detektls sa norml mkds leghamarabb trtn visszalltsa,tmad helynek, szemlynek feldertse.


Social Engineering

Az ISO/OSI modellben a leggyengbb rteg a 8. rteg.. A felhasznl

A social engineering az emberek bizalomra val hajlamthasznlja ki, nem a hardver, szoftver, vagy a hlzathibit. Napjainkban nagyon npszer.

Pldul: PhishingOlvasnival:Kevin D. Mitnick A legends hacker (a behatols

mvszete)Kevin D. Mitnick A legends hacker (a megtveszts

mvszete)



9/31

9

Tmadsok

Klnbz tmadsokat fogunk megnzni, az ISO/OSImodellen fogunk vgighaladni, lentrl felfel.


Tmadsok

Nzzk meg, hogyan mkdnek a kvetkez tmadsok: Fizikai rtegbeli lehallgats Fizikai rtegbeli zavars MAC Spoofing ARP Spoofing IP Spoofing

Land attack Teardrop tmads Smurf tmads Ping of Death SYN flood DNS poisoning



10/31

10

Emlkeztet (IP fejlc)


Emlkeztet (TCP fejlc)



11/31

11

Tzfalak

Mi az a tzfal? Mire val?


Tzfalak

Mi az a tzfal? Mire val?

nem, nemcsak arra, hogy a gonosz hackert tvol tartsuk ahlzatunktl, gpnktl

Tzfal:

Hlzati hozzfrs vezrl eszkz.



12/31

12

Tzfalak tpusai Packet Filter

Csomagszrk (Packet Filter): Legegyszerbb megolds Elre definilt statikus szablygyjtemny A csomagokat egymstl fggetlenl kezeli A szrsi felttelek az egyes protokollok fejlceire

korltozdnak, nem foglalkozik a tartalommal Gyors, felhasznlk szempontjbl transzparens

Nem nzi a csomagok tartalmt, ezrt szndkosan hibscsomagok ellen nem nyjt vdelmet

Plda:192.168.0.11 forrscmrl 217.20.130.97 cmre TCP 80 OK192.168.0.12 forrscmrl TCP 22 Tilts


Tzfalak tpusai SPF

llapotgp alap csomagszrk(Stateful Packet Filter SPF): Elre definilt szablyrendszer Nemcsak az egyes csomagokat, vizsglja,

hanem a kapcsolatokat vizsglja A kapcsolatok klnbz llapotai alapjn dnti el, hogy

engedlyezze, vagy tiltsa azokat Engedlyezs utn mr nem vizsglja tovbb a

kapcsolatot Htrnya, hogy nem nzi az zenetek tartalmt

Plda:Minden olyan j bejv TCP kapcsolatot, ami nem SYN-vel

kezddik, dobjunk el.



13/31

13

Tzfalak tpusai Proxy

Proxy Server: Sz jelentse: Megbzott,

Helyettes

Logikailag a kliens s a szerverkztt helyezkedik el


A kliens amikor egy erforrst szeretne elrni, a Proxyszerverhez csatlakozik, s az a kliens nevben pti fel a

kapcsolatot A proxy a teljes protokollt tvizsglhatja, rtelmezi az

zeneteket


Proxy Server: Megbzhat s megbzhatatlan

hlzatok kztt tjrskizrlag a proxy-n keresztl

Manulis konfigurlst ignyel


Lassabb mint a csomagszrk, mivel a teljes csomagot ki

kell bontania Paramterek: Hny prhuzamos kapcsolatot tud kezelni,

hny csomagot br tengedni msodpercenknt Cache funkci Nem transzparens Titkostott forgalom

kezelse?


14/31

14


Transzparens Proxy Szerver: Hagyomnyos proxy manulis

konfigurcit ignyel. Pl: Webbngszben proxy bellts


Transzparens proxy esetn a forgalom automatikusanthalad a proxy-n, nem ignyel kln konfigurcit

Knyelmes, de nha problmt okoz, hogy azalkalmazs nem tud rla, hogy proxy-n kell thaladnia


Modulris Proxy Szerver: Ahogy az a nevben is van,

modulris felpts Jobban konfigurlhat, testre

szabhat


Kln modulok az egyes kapcsolattpusokhoz, ezek

varilhatsgaPlda:

SSL -> POP3 -> MIME -> Anti-VirusSSL -> HTTP -> HTML / XML


15/31

15

Netfilter

Mi az a netfilter?

A netfilter a Linux rendszermagjnak hlzati csomagokfeldolgozsra szolgl alrendszere. Belltst aziptables paranccsal vgezhetjk.

2.4.x s 2.6.x linux kernelekben elrhet, korbban ipchains

(2.2.x) s ipfwadm (2.0.x) volt.


Iptables

Netfilter/iptables f tulajdonsgai: Csomagszrs (IPv4 s IPv6) SPF (IPv4 s IPv6) Cmfordts, port tovbbts (IPv4) Rugalmas, bvthet rendszer Sok elrhet bvtmny

Mire hasznlhat a netfilter/iptables? Csomagszr vagy SPF kialaktsa szmtgpen NAT segtsgvel szmtgpek kztt Internet kapcsolat

megosztsa NAT segtsgvel Trasparent Proxy kialaktsa TC s iproute2 segtsgvel QoS biztosts Csomag manipulci



16/31

16

Iptables

Az iptables t kapcsoldsi pontot hatroz meg a kernelcsomag-feldolgozsnak folyamatba.

Ezekhez beptett lncok kapcsoldnak, gy mindenkapcsoldsi ponthoz szablyok sorozata adhat.

Szablyok:Lehetv teszik, hogy befolysoljuk vagy megfigyeljk acsomagok ramlst.


Iptables kapcsoldsi pontok

Kapcsoldsi pontok: FORWARD

Engedlyezi, hogy feldolgozzuk a csomagokat, amelyek aztjr gpen ramlanak keresztl, egy csatoln bejnnek,s ez msikon rgtn kimennek.

INPUT

Engedlyezi, hogy feldolgozzuk a csomagokat ppen mielttmegrkeznnek a helyi folyamathoz.

OUTPUTEngedlyezi, hogy feldolgozzuk a csomagokat rgtn

azutn, hogy egy helyi folyamat ltrehozza ket.



17/31

17

Iptables kapcsoldsi pontok

POSTROUTINGEngedlyezi, hogy feldolgozzuk a csomagokat ppen mieltt

elhagynnak egy hlzati csatolt.

PREROUTINGEngedlyezi, hogy feldolgozzuk a csomagokat amint

megrkeznek egy hlzati csatoltl (ellenrz sszegellenrzse utn).

Az egyes kapcsoldsi pontokhoz, beptett lncoktartoznak, amiket nem lehet trlni, ezekhez adhatjuk aszablyokat.


Iptables lncok

A lncok hzirendje (policy) hatrozza meg a lncok vgtelr, ms clra nem kldtt csomagok sorst.

A beptett lncok (elz slideok) hzirendjeknt azACCEPTs DROPbeptett clokat hasznlhatjuk.

A felhasznl ltal ltrehozott lncok alaprtelmezett, nemmdosthat hzirendje a RETURN.



18/31

18

Iptables tblk

Eddig a lncokrl volt sz, amik a csomagok ramlsbana kapcsoldsi pontokat jellik, a tblk pedig afeldolgozsi folyamat tpust jelzik.

Az iptables hrom beptett tblval rendelkezik.Mindegyikben megtallhat egy vagy tbb kapcsoldsipontnak megfelel lnc.


Iptables tblk

Filter tbla: Az alaprtelmezett tbla, amikor nem adunk meg konkrt

tblt az iptables-nek, akkor a filter tblt fogja hasznlni. A szmtgpbe bemen, azon thalad s abbl kijv

engedlyezett forgalomtpus hzirendjt lltja be.

Filter tbla lncai: INPUT OUTPUT FORWARD



19/31

19

Iptables tblk

Nat tbla: Kapcsolatkvetsnl hasznljuk, hogy tirnytsunk

kapcsolatokat hlzati cmfordtsra. Tbbnyire a forrs-vagy clcmen alapul.

Nat tbla lncai: OUTPUT

POSTROUTING PREROUTING


Iptables tblk

Mangle tbla: Specilis csomagmdostsokhoz hasznljuk, pldul IP-

kapcsolk levgshoz

Mangle tbla lncai: INPUT

OUTPUT FORWARD PREROUTING POSTROUTING



20/31

20

Iptables csomagramls

Hogyan ramlanak a csomagok?

A csomagok thaladnak a lncokon, s a rendszeregyesvel sszehasonltja azokat a lncok szablyaival.

Ha a csomag nem felel meg egy szably feltteleinek,akkor a lncban tallhat kvetkez szablyhoz kerl.

Ha az utols szably se illeszkedik, a lnc alaprtelmezetthzirendje lesz rvnyes.



Csomagramls kt hlzati csatol kztt (forwarding):

1. Mangle tbla PREROUTING lnc2. Nat tbla PREROUTING lnc3. Mangle tbla FORWARD lnc4. Filter tbla FORWARD lnc5. Mangle tbla POSTROUTING lnc6. Nat tbla POSTROUTING lnc



21/31

21


Csomagramls hlzati csatoltl helyi folyamathoz(input):

1. Mangle tbla PREROUTING lnc2. Nat tbla PREROUTING lnc3. Mangle tbla INPUT lnc4. Filter tbla INPUT lnc



Csomagramls helyi folyamattl hlzati csatolhoz(output):

1. Mangle tbla OUTPUT lnc2. Nat tbla OUTPUT lnc3. Filter tbla OUTPUT lnc

4. Mangle tbla POSTROUTING lnc5. Nat tbla POSTROUTING lnc



22/31

22


Csomagramls helyi folyamattl msik helyi folyamathoz(local):

1. Mangle tbla OUTPUT lnc2. Nat tbla OUTPUT lnc3. Filter tbla OUTPUT lnc4. Filter tbla INPUT lnc

5. Mangle tbla INPUT lnc


Iptables szablyok

Az iptables szablyok egy vagy tbb illesztsi felttelbls clmeghatrozsbl llnak.

Az illesztsi felttelek hatrozzk meg, hogy a szablymely hlzati csomagokra vonatkozzanak.

A csomagoknak mindegyik illesztsi felttelnek meg kellfelelnie, hogy a szably illeszkedjen.

A clmeghatrozsok azt adjk meg, hogy mi trtnjenaz adott hlzati csomaggal.

A rendszer csomag- s bjtszmllkat biztost mindenszablyhoz.

A szablynak mind az illesztsi mind a clrszeopcionlisan vlaszthat.



23/31

23

Iptables parancsok

Az iptables parancsok felptse a kvetkez:

iptables A INPUT i eth0 s 192.168.1.10 p tcp --dport22 j ACCEPT


Iptables parancsok

Lncok kezelse:-L [lnc] - kirja az adott lnc szablyait, ha nem adtunk meg

lncot az adott tbla sszes lnct listzza-P lnc cl Beptett lnc alaprtelmezett hzirendjt cl-

ra lltja. Csak beptett lncokra s clokra vonatkozik-N lnc - Ltrehoz egy j felhasznli lncot

-X [lnc] Trli a megadott felhasznli lncot, ha nemadtunk meg lncot akkor az sszes felhasznli lncot

-Z [lnc] Lenullzza a csomag s bjt szmllkat-F [lnc] Trli az sszes szablyt a lncbl, ha nem adtunk

meg lncot, akkor az adott tbln sszes lnc sszesszablyt trli. VIGYZAT! P DROP esetn



24/31

24

Iptables parancsok

Lncok kezelse:-A lnc szably A szablyt a lnchoz fzi-D lnc [index | szably] trli a szably nev vagy index

pozicinl lv szablyt a lncbl

IP protokoll illeszts:-d [!] cm[/maszk] A clcm, vagy tartomny, ha a

maszkot is megadtuk-s [!] cm[/maszk] A forrscm, vagy tartomny, ha a

maszkot is megadtuk-i [!] in in bemeneti csatol-o [!] out out kimeneti csatol


Iptables parancsok

IP protokoll illeszts:-f [!] Tredezett csomag msodik vagy tovbbi tredke.-p [!] proto A proto-val megadott protokollnv vagy-szm.

Pldul: tcp, udp, icmp

A tbbi kapcsolt s azok hasznlatt nzzk meg inkbb a

gyakorlatban



25/31

25

Iptables kapcsolatkvets

Mitl Stateful Packet Filter az iptables?Az iptables a csomagokat egytt kezeli a logikai

kapcsolatokkal, amelyhez tartoznak.A kapcsolatokat vgigkveti a ltrejttktl a

megsznskig.

Az iptables kapcsolatkvetsi logikja lehetv teszi j, dems kapcsolatokkal sszefgg kapcsolatok kezelstis. Ezekre tbbkapcsolatos protokollok esetn vanszksg. (Pldul: FTP ip_conntrack_ftp)



Kapcsolatkvetsi llapotok:

ESTABLISHED A kapcsolatkvets szerint mr mindkt irnyba

ramlanak a csomagok.

INVALID A csomag nem tartozik egyik kvetett kapcsolathoz sem.

NEW A csomag egy j kapcsolatot prbl ltrehozni, vagy egy

olyan kapcsolat rsze, amelyben a csomagok mg nemramlanak mindkt irnyba.



26/31

26


RELATED A csomag egy j kapcsolatot prbl ltrehozni, de az j

kapcsolat egy mr ltez kapcsolattal van sszefggsben(Pldul: FTP tvitel adatkapcsolat)

iptables -A INPUT -p tcp --dport 22 -m state --stateNEW,ESTABLISHED -j ACCEPT


Hlzati cmfordts

NAT Network Address Translation

A NAT a szmtgpen thalad hlzati csomagokcmeinek, illetve portjainak mdostst jelenti.

Forrs-NAT, cmlczs: Angolul: Source NAT (SNAT) Segtsgvel egy Internet kapcsolatot oszthatunk meg

tbb hlzatba kttt gp kztt. Az Internetre kapcsold gp tjrknt mkdik, az

SNAT segtsgvel trja a csomagokat.



27/31

27

Hlzati cmfordts

Forrs-NAT: A kimen csomagok forrscmt az tjr

Internetkapcsolatnak statikus IP cmre rja fell. A kls gpek vlaszzeneteinek clcm mezjben az

tjr cme szerepel Az tjr megkapja a vlaszzeneteket, majd ezt kveten

a clcmet trja a bels gp cmre, majd tovbbtja az

zenetet a bels

hlzat fel

A cmfordts a nat tbla POSTROUTING lncbantrtnik, mivel az SNAT azeltt mdostja a csomagokforrscmeit, portjait, mieltt azok elhagynk a kernelt.


Hlzati cmfordts

Kt megolds ltezik forrscmfordtsra. Az elzekbenismertetett SNAT-ot olyan helyzetekre fejlesztettk ki,ahol az tjr gp statikus IP cmmel rendelkezik.

A msik megolds a MASQUERADE, amit olyanesetekben hasznlhatunk, amikor az tjr gp cme

dinamikus.A MASQUERADE lekezeli az olyan helyzeteket is, amikor

megszakad a hlzati kapcsolat, majd eltr cmmelpl fel jra. Ez tbbletterhelst jelent, statikus cmekesetn ajnlott az SNAT hasznlata.



28/31

28

Hlzati cmfordts

SNAT plda:iptables t nat A POSTROUTING s 192.168.1.0/24

o eth0 j SNAT --to-source 152.66.249.1

MASQUERADE plda:iptables t nat A POSTROUTING o eth0

j MASQUERADE

Csomagok tovbbtsa esetn, a kvetkez fjlban 1rtknek kell szerepelni:/proc/sys/net/ipv4/ip_forward

(echo 1 > /proc/sys/net/ipv4/ip_forward)


Hlzati cmfordts

Cl-NAT: DNAT, Destination NAT A bels hlzat gpeinek bizonyos szolgltatst teszi

elrhetv a klvilg szmra, anlkl, hogy a gpekkzvetlenl kapcsoldnnak az Internetre. (~PortForward)

A cmfordts a nat tbla PREROUTING lncban trtnik.

iptables- -t nat A PREROUTING i eth0 p tcp --dport 22j DNAT --to-destination 192.168.1.10:22



29/31

29

IDS

IDS Intrusion Detection System

Egy olyan program vagy eszkz, ami monitorozza a hlzats/vagy szmtgpek mkdst, rendellenes,szablyokba tkz mkdst keresve, s az esetlegesincidenseket egy kzponti rendszer fel jelenti.

IPS Intrusion Prevention System

IDS + Beavatkozs


IDS tpusok

N-IDS Network-IDS Hlzati forgalmat monitoroz A hlzati forgalomhoz vagy HUB, vagy Switch port

mirroring funkcija segtsgvel jut hozz

H-IDS

Host-based-IDS A szmtgpen fut kliensprogram segtsgvel

monitorozza a naplllomnyokat, rendszerhvsokat,rendszerllapot, mdostsokat

F-IDS File system-IDS Fjlrendszer vltozsait monitorozza, integrits ellenrzs



30/31

30

IPS mkdse


IDS visszajelzsei

Ngy fle visszajelzst klnbztetnk meg. True Positive (TP)

Van tmads, van riaszts

True Negative (TN)Nincs tmads, nincs riaszts

False Negative (FN)Van tmads, nincs riaszts False Positive (FP)

Nincs tmads, van riaszts

A False Negative a legveszlyesebb!



31/31

IDS mkdse

Felismersi mdszerek: Szably alap felismers

Szignatra alap Behatols szignatrk Specifikci alap Legitim mkds mintja

Anomlia felismersekSzokatlant, normlistl eltrt keresnek Lehet korbbi megfigyelseken alapul mkdst

megelzi egy tanulsi szakasz Absztrakt lers matematikai modellekkel rjk le a

tmadst, pldul Markov folyamatok segtsgvel


IDS mkdse

Mikor mkdjn az IDS? Real-time

Gyors reakciid Erforrs problmk llhatnak el

Periodikus mkds Lassabb reakciid Jobb sklzhatsg

Hibrid megolds Fenti kt mdszer tvzse


Documents

halozatbiztonsag__tuzfalak