Upload
kalmi56
View
221
Download
0
Embed Size (px)
Citation preview
7/30/2019 halozatbiztonsag__tuzfalak
1/31
1
Hlzatbiztonsg, Tzfalak
Lendvai Kroly
Mr i.e. megmondtk
Szun-Ce, A hadvisels trvnyei:
ha ismerjk az ellensget s ismerjk magunkat is,akkor szz csatban sem jutunk veszedelembe; haazonban nem ismerjk az ellensget, csak magunkatismerjk, akkor egyszer gyznk, msszor veresget
szenvednk; s ha sem az ellensget, sem magunkatnem ismerjk, akkor minden egyes csatban felttlenlvgveszly fenyeget bennnket
Hlzatbiztonsg, Tzfalak 2
7/30/2019 halozatbiztonsag__tuzfalak
2/31
2
Bruce Schneier:
A biztonsg nem egy termk,
hanem egy folyamat.
Hlzatbiztonsg, Tzfalak 3
A folyamat
Hlzatbiztonsg, Tzfalak 4
7/30/2019 halozatbiztonsag__tuzfalak
3/31
3
Biztonsgos hlzat
Mi az a biztonsg?Nehz definilni, mivel mindenkinek mst jelent
Pldk: Fontos adatllomny esetn illetktelenek ne juthassanak
hozz az adatokhoz (jv heti ZH feladatok) Illetktelenek adott esetben bizonyos adatokat csak
olvasni tudjanak, mdostani ne (kipublikljuk a ZHeredmnyeket, ne lehessen trni ket)
Felhasznli jogosultsgkezels
Hlzatbiztonsg, Tzfalak 5
Kockzat
Tkletesen biztonsgos rendszer nem ltezik.
A dolgokat a msik oldalrl kzeltsk meg.
Kockzat
Egy adott rendszert fenyeget
veszlyeket veszi szmba,az ltaluk okozott krokat prblja megbecslni,sszegezni
Gyakorlatban: Kockzatelemzs, Kockzatcskkents Leggyengbb lncszem feldertse
Hlzatbiztonsg, Tzfalak 6
7/30/2019 halozatbiztonsag__tuzfalak
4/31
4
Alapfogalmak
Srtetlensg Az elkldtt zenet vltoztats nlkl r clba Esetleges mdosts detektlhat
Hitelessg Az zenetet valban az kldte, akit feltteleznk s a
hlzati tovbbts sorn nem mdosult
Letagadhatatlansg Nemcsak a vev, hanem tetszleges harmadik fl fel is
igazolhat, hogy egy adott zenetet tnyleg a valdi kldkldtt, letagadni azt nem tudja
Hlzatbiztonsg, Tzfalak 7
Alapfogalmak
Bizalmassg Az zenetet egy tmad hiba hallgatja le, azt nem tudja
rtelmezni a titkos kulcs nlkl, mivel kriptogrfiaimdszerekkel titkostva van.
Az emberek tbbnyire ezt rtik biztonsgoskommunikcin
Tvoli azonosts Akkor, ha kt fl mg nem ismeri egymst, s kzttk
nincs egy biztonsgos csatorna, akkor egyb mdszereksegtsgvel rendszerint harmadik fl bevonsvalmutatkozhatnak be egymsnak biztonsgosan.Rendszerint ezt a PKI infrastruktra segtsgvel oldjkmeg.
Hlzatbiztonsg, Tzfalak 8
7/30/2019 halozatbiztonsag__tuzfalak
5/31
5
Tmads
Mit rtnk tmadson?
Adott egy illetktelen szemly (tmad), aki akommunikcink sorn keletkez zenetek biztonsgtklnbz tmadsok sorn veszlyezteti.
(Itt most nem foglalkozunk pldul azzal, hogy a tmad
ellophatja a szmtgpnket, s lemsolhatja arrl azadatokat, holott az is egy lehetsges tmads)
Hlzatbiztonsg, Tzfalak 9
Mirt?
Mirt tmadnak? A tmad haszonszerzsre trekszik A tmad a szolgltat hrnevt prbja gyengteni J szndk tmad, csak a rendszer hibira szeretn
felhvni a figyelmet Erfitogtats, szrakozs
Ugrdeszka ms gpek feltrshez
A tmadsokat kt nagy csoportba osztjuk: Passzv tmadsok Aktv tmadsok
Hlzatbiztonsg, Tzfalak 10
7/30/2019 halozatbiztonsag__tuzfalak
6/31
6
Passzv tmadsok
A tmad csak megfigyelst vgez, vagy informcitgyjt az informci tartalmnak s tovbbtsi mdjnakmegvltoztatsa nlkl.
Kt f tpus:
zenet tartalmnak felfedse zenetek lehallgatsa, kldtt adatllomnyok
tartalmnak megfigyelse Vdekezs: titkostssal s/vagy a kommunikl felek
azonostsval
Hlzatbiztonsg, Tzfalak 11
Passzv tmadsok
Forgalomanalzis A kommunikl felek helyt, a kommunikci
gyakorisgt, idejt, idtartamt hatrozza meg Ezen tmadsok ellen nem segt a titkosts, azonosts
ltalnossgban elmondhat, hogy a passzv tmadsok
ellen vdekezni nagyon nehz, a megelzs a legjobbmd.
A tmad szemlynek, helynek feldertse nagyonnehz, mivel a tmads nem hagy nyomot azzenetekben.
Hlzatbiztonsg, Tzfalak 12
7/30/2019 halozatbiztonsag__tuzfalak
7/31
7
Aktv tmadsok
Aktv tmads esetn, a tmad valamilyen mdonmegvltoztatja az zeneteket, vagy hamis zeneteketgenerl.
Az aktv tmadsoknak ngy f tpusa ltezik: lczs (masquerade), megszemlyests
(impersonation), hamists (spoofing) A tmad egy leglis partnernek adja ki magt Plda 1: FTP felhasznlnv s jelsz lehallgatsa, majd
ksbb ezen adatok felhasznlsa kapcsolat kiptsre Plda 2: Csomagban forrs IP cm cserje
Hlzatbiztonsg, Tzfalak 13
Aktv tmadsok
Visszajtszs (replay) Korban megszerzett zenet / zenetvlts ksbbi
idpontban trtn jrakldse
Mdosts (modification) Egy szablyos zenet bizonyos rszeit a tmad
mdostja, kitrli, vagy j rszeket illeszt bele Nem szksges hozz a teljes zenet ismerete Real time alkalmazsa Man-In-The-Middle tmadssal
lehetsges
Hlzatbiztonsg, Tzfalak 14
7/30/2019 halozatbiztonsag__tuzfalak
8/31
8
Aktv tmadsok
Szolgltatsmegtagads (Denial of Service DoS) A kommunikcis infrastruktra normlis mkdst
zavarjk meg, rontjk el Clja lehet egy adott szmtgp, vagy adott program
megbntsa, de adott esetben egy egsz hlzatmkdskptelenn ttele is
Pldul egy szmtgp elrasztsa hamis krsekkel, gy
a vals krdsekre nem tud vlaszolni Amikor a tmads egyszerre tbb gprl rkezik DDoS Distributed Denial of Service tmadsrl beszlnk
Aktv tmadsokat nehz megelzni, f cl a detektls sa norml mkds leghamarabb trtn visszalltsa,tmad helynek, szemlynek feldertse.
Hlzatbiztonsg, Tzfalak 15
Social Engineering
Az ISO/OSI modellben a leggyengbb rteg a 8. rteg.. A felhasznl
A social engineering az emberek bizalomra val hajlamthasznlja ki, nem a hardver, szoftver, vagy a hlzathibit. Napjainkban nagyon npszer.
Pldul: PhishingOlvasnival:Kevin D. Mitnick A legends hacker (a behatols
mvszete)Kevin D. Mitnick A legends hacker (a megtveszts
mvszete)
Hlzatbiztonsg, Tzfalak 16
7/30/2019 halozatbiztonsag__tuzfalak
9/31
9
Tmadsok
Klnbz tmadsokat fogunk megnzni, az ISO/OSImodellen fogunk vgighaladni, lentrl felfel.
Hlzatbiztonsg, Tzfalak 17
Tmadsok
Nzzk meg, hogyan mkdnek a kvetkez tmadsok: Fizikai rtegbeli lehallgats Fizikai rtegbeli zavars MAC Spoofing ARP Spoofing IP Spoofing
Land attack Teardrop tmads Smurf tmads Ping of Death SYN flood DNS poisoning
Hlzatbiztonsg, Tzfalak 18
7/30/2019 halozatbiztonsag__tuzfalak
10/31
10
Emlkeztet (IP fejlc)
Hlzatbiztonsg, Tzfalak 19
Emlkeztet (TCP fejlc)
Hlzatbiztonsg, Tzfalak 20
7/30/2019 halozatbiztonsag__tuzfalak
11/31
11
Tzfalak
Mi az a tzfal? Mire val?
Hlzatbiztonsg, Tzfalak 21
Tzfalak
Mi az a tzfal? Mire val?
nem, nemcsak arra, hogy a gonosz hackert tvol tartsuk ahlzatunktl, gpnktl
Tzfal:
Hlzati hozzfrs vezrl eszkz.
Hlzatbiztonsg, Tzfalak 22
7/30/2019 halozatbiztonsag__tuzfalak
12/31
12
Tzfalak tpusai Packet Filter
Csomagszrk (Packet Filter): Legegyszerbb megolds Elre definilt statikus szablygyjtemny A csomagokat egymstl fggetlenl kezeli A szrsi felttelek az egyes protokollok fejlceire
korltozdnak, nem foglalkozik a tartalommal Gyors, felhasznlk szempontjbl transzparens
Nem nzi a csomagok tartalmt, ezrt szndkosan hibscsomagok ellen nem nyjt vdelmet
Plda:192.168.0.11 forrscmrl 217.20.130.97 cmre TCP 80 OK192.168.0.12 forrscmrl TCP 22 Tilts
Hlzatbiztonsg, Tzfalak 23
Tzfalak tpusai SPF
llapotgp alap csomagszrk(Stateful Packet Filter SPF): Elre definilt szablyrendszer Nemcsak az egyes csomagokat, vizsglja,
hanem a kapcsolatokat vizsglja A kapcsolatok klnbz llapotai alapjn dnti el, hogy
engedlyezze, vagy tiltsa azokat Engedlyezs utn mr nem vizsglja tovbb a
kapcsolatot Htrnya, hogy nem nzi az zenetek tartalmt
Plda:Minden olyan j bejv TCP kapcsolatot, ami nem SYN-vel
kezddik, dobjunk el.
Hlzatbiztonsg, Tzfalak 24
7/30/2019 halozatbiztonsag__tuzfalak
13/31
13
Tzfalak tpusai Proxy
Proxy Server: Sz jelentse: Megbzott,
Helyettes
Logikailag a kliens s a szerverkztt helyezkedik el
Hlzatbiztonsg, Tzfalak 25
A kliens amikor egy erforrst szeretne elrni, a Proxyszerverhez csatlakozik, s az a kliens nevben pti fel a
kapcsolatot A proxy a teljes protokollt tvizsglhatja, rtelmezi az
zeneteket
Tzfalak tpusai Proxy
Proxy Server: Megbzhat s megbzhatatlan
hlzatok kztt tjrskizrlag a proxy-n keresztl
Manulis konfigurlst ignyel
Hlzatbiztonsg, Tzfalak 26
Lassabb mint a csomagszrk, mivel a teljes csomagot ki
kell bontania Paramterek: Hny prhuzamos kapcsolatot tud kezelni,
hny csomagot br tengedni msodpercenknt Cache funkci Nem transzparens Titkostott forgalom
kezelse?
7/30/2019 halozatbiztonsag__tuzfalak
14/31
14
Tzfalak tpusai Proxy
Transzparens Proxy Szerver: Hagyomnyos proxy manulis
konfigurcit ignyel. Pl: Webbngszben proxy bellts
Hlzatbiztonsg, Tzfalak 27
Transzparens proxy esetn a forgalom automatikusanthalad a proxy-n, nem ignyel kln konfigurcit
Knyelmes, de nha problmt okoz, hogy azalkalmazs nem tud rla, hogy proxy-n kell thaladnia
Tzfalak tpusai Proxy
Modulris Proxy Szerver: Ahogy az a nevben is van,
modulris felpts Jobban konfigurlhat, testre
szabhat
Hlzatbiztonsg, Tzfalak 28
Kln modulok az egyes kapcsolattpusokhoz, ezek
varilhatsgaPlda:
SSL -> POP3 -> MIME -> Anti-VirusSSL -> HTTP -> HTML / XML
7/30/2019 halozatbiztonsag__tuzfalak
15/31
15
Netfilter
Mi az a netfilter?
A netfilter a Linux rendszermagjnak hlzati csomagokfeldolgozsra szolgl alrendszere. Belltst aziptables paranccsal vgezhetjk.
2.4.x s 2.6.x linux kernelekben elrhet, korbban ipchains
(2.2.x) s ipfwadm (2.0.x) volt.
Hlzatbiztonsg, Tzfalak 29
Iptables
Netfilter/iptables f tulajdonsgai: Csomagszrs (IPv4 s IPv6) SPF (IPv4 s IPv6) Cmfordts, port tovbbts (IPv4) Rugalmas, bvthet rendszer Sok elrhet bvtmny
Mire hasznlhat a netfilter/iptables? Csomagszr vagy SPF kialaktsa szmtgpen NAT segtsgvel szmtgpek kztt Internet kapcsolat
megosztsa NAT segtsgvel Trasparent Proxy kialaktsa TC s iproute2 segtsgvel QoS biztosts Csomag manipulci
Hlzatbiztonsg, Tzfalak 30
7/30/2019 halozatbiztonsag__tuzfalak
16/31
16
Iptables
Az iptables t kapcsoldsi pontot hatroz meg a kernelcsomag-feldolgozsnak folyamatba.
Ezekhez beptett lncok kapcsoldnak, gy mindenkapcsoldsi ponthoz szablyok sorozata adhat.
Szablyok:Lehetv teszik, hogy befolysoljuk vagy megfigyeljk acsomagok ramlst.
Hlzatbiztonsg, Tzfalak 31
Iptables kapcsoldsi pontok
Kapcsoldsi pontok: FORWARD
Engedlyezi, hogy feldolgozzuk a csomagokat, amelyek aztjr gpen ramlanak keresztl, egy csatoln bejnnek,s ez msikon rgtn kimennek.
INPUT
Engedlyezi, hogy feldolgozzuk a csomagokat ppen mielttmegrkeznnek a helyi folyamathoz.
OUTPUTEngedlyezi, hogy feldolgozzuk a csomagokat rgtn
azutn, hogy egy helyi folyamat ltrehozza ket.
Hlzatbiztonsg, Tzfalak 32
7/30/2019 halozatbiztonsag__tuzfalak
17/31
17
Iptables kapcsoldsi pontok
POSTROUTINGEngedlyezi, hogy feldolgozzuk a csomagokat ppen mieltt
elhagynnak egy hlzati csatolt.
PREROUTINGEngedlyezi, hogy feldolgozzuk a csomagokat amint
megrkeznek egy hlzati csatoltl (ellenrz sszegellenrzse utn).
Az egyes kapcsoldsi pontokhoz, beptett lncoktartoznak, amiket nem lehet trlni, ezekhez adhatjuk aszablyokat.
Hlzatbiztonsg, Tzfalak 33
Iptables lncok
A lncok hzirendje (policy) hatrozza meg a lncok vgtelr, ms clra nem kldtt csomagok sorst.
A beptett lncok (elz slideok) hzirendjeknt azACCEPTs DROPbeptett clokat hasznlhatjuk.
A felhasznl ltal ltrehozott lncok alaprtelmezett, nemmdosthat hzirendje a RETURN.
Hlzatbiztonsg, Tzfalak 34
7/30/2019 halozatbiztonsag__tuzfalak
18/31
18
Iptables tblk
Eddig a lncokrl volt sz, amik a csomagok ramlsbana kapcsoldsi pontokat jellik, a tblk pedig afeldolgozsi folyamat tpust jelzik.
Az iptables hrom beptett tblval rendelkezik.Mindegyikben megtallhat egy vagy tbb kapcsoldsipontnak megfelel lnc.
Hlzatbiztonsg, Tzfalak 35
Iptables tblk
Filter tbla: Az alaprtelmezett tbla, amikor nem adunk meg konkrt
tblt az iptables-nek, akkor a filter tblt fogja hasznlni. A szmtgpbe bemen, azon thalad s abbl kijv
engedlyezett forgalomtpus hzirendjt lltja be.
Filter tbla lncai: INPUT OUTPUT FORWARD
Hlzatbiztonsg, Tzfalak 36
7/30/2019 halozatbiztonsag__tuzfalak
19/31
19
Iptables tblk
Nat tbla: Kapcsolatkvetsnl hasznljuk, hogy tirnytsunk
kapcsolatokat hlzati cmfordtsra. Tbbnyire a forrs-vagy clcmen alapul.
Nat tbla lncai: OUTPUT
POSTROUTING PREROUTING
Hlzatbiztonsg, Tzfalak 37
Iptables tblk
Mangle tbla: Specilis csomagmdostsokhoz hasznljuk, pldul IP-
kapcsolk levgshoz
Mangle tbla lncai: INPUT
OUTPUT FORWARD PREROUTING POSTROUTING
Hlzatbiztonsg, Tzfalak 38
7/30/2019 halozatbiztonsag__tuzfalak
20/31
20
Iptables csomagramls
Hogyan ramlanak a csomagok?
A csomagok thaladnak a lncokon, s a rendszeregyesvel sszehasonltja azokat a lncok szablyaival.
Ha a csomag nem felel meg egy szably feltteleinek,akkor a lncban tallhat kvetkez szablyhoz kerl.
Ha az utols szably se illeszkedik, a lnc alaprtelmezetthzirendje lesz rvnyes.
Hlzatbiztonsg, Tzfalak 39
Iptables csomagramls
Csomagramls kt hlzati csatol kztt (forwarding):
1. Mangle tbla PREROUTING lnc2. Nat tbla PREROUTING lnc3. Mangle tbla FORWARD lnc4. Filter tbla FORWARD lnc5. Mangle tbla POSTROUTING lnc6. Nat tbla POSTROUTING lnc
Hlzatbiztonsg, Tzfalak 40
7/30/2019 halozatbiztonsag__tuzfalak
21/31
21
Iptables csomagramls
Csomagramls hlzati csatoltl helyi folyamathoz(input):
1. Mangle tbla PREROUTING lnc2. Nat tbla PREROUTING lnc3. Mangle tbla INPUT lnc4. Filter tbla INPUT lnc
Hlzatbiztonsg, Tzfalak 41
Iptables csomagramls
Csomagramls helyi folyamattl hlzati csatolhoz(output):
1. Mangle tbla OUTPUT lnc2. Nat tbla OUTPUT lnc3. Filter tbla OUTPUT lnc
4. Mangle tbla POSTROUTING lnc5. Nat tbla POSTROUTING lnc
Hlzatbiztonsg, Tzfalak 42
7/30/2019 halozatbiztonsag__tuzfalak
22/31
22
Iptables csomagramls
Csomagramls helyi folyamattl msik helyi folyamathoz(local):
1. Mangle tbla OUTPUT lnc2. Nat tbla OUTPUT lnc3. Filter tbla OUTPUT lnc4. Filter tbla INPUT lnc
5. Mangle tbla INPUT lnc
Hlzatbiztonsg, Tzfalak 43
Iptables szablyok
Az iptables szablyok egy vagy tbb illesztsi felttelbls clmeghatrozsbl llnak.
Az illesztsi felttelek hatrozzk meg, hogy a szablymely hlzati csomagokra vonatkozzanak.
A csomagoknak mindegyik illesztsi felttelnek meg kellfelelnie, hogy a szably illeszkedjen.
A clmeghatrozsok azt adjk meg, hogy mi trtnjenaz adott hlzati csomaggal.
A rendszer csomag- s bjtszmllkat biztost mindenszablyhoz.
A szablynak mind az illesztsi mind a clrszeopcionlisan vlaszthat.
Hlzatbiztonsg, Tzfalak 44
7/30/2019 halozatbiztonsag__tuzfalak
23/31
23
Iptables parancsok
Az iptables parancsok felptse a kvetkez:
iptables A INPUT i eth0 s 192.168.1.10 p tcp --dport22 j ACCEPT
Hlzatbiztonsg, Tzfalak 45
Iptables parancsok
Lncok kezelse:-L [lnc] - kirja az adott lnc szablyait, ha nem adtunk meg
lncot az adott tbla sszes lnct listzza-P lnc cl Beptett lnc alaprtelmezett hzirendjt cl-
ra lltja. Csak beptett lncokra s clokra vonatkozik-N lnc - Ltrehoz egy j felhasznli lncot
-X [lnc] Trli a megadott felhasznli lncot, ha nemadtunk meg lncot akkor az sszes felhasznli lncot
-Z [lnc] Lenullzza a csomag s bjt szmllkat-F [lnc] Trli az sszes szablyt a lncbl, ha nem adtunk
meg lncot, akkor az adott tbln sszes lnc sszesszablyt trli. VIGYZAT! P DROP esetn
Hlzatbiztonsg, Tzfalak 46
7/30/2019 halozatbiztonsag__tuzfalak
24/31
24
Iptables parancsok
Lncok kezelse:-A lnc szably A szablyt a lnchoz fzi-D lnc [index | szably] trli a szably nev vagy index
pozicinl lv szablyt a lncbl
IP protokoll illeszts:-d [!] cm[/maszk] A clcm, vagy tartomny, ha a
maszkot is megadtuk-s [!] cm[/maszk] A forrscm, vagy tartomny, ha a
maszkot is megadtuk-i [!] in in bemeneti csatol-o [!] out out kimeneti csatol
Hlzatbiztonsg, Tzfalak 47
Iptables parancsok
IP protokoll illeszts:-f [!] Tredezett csomag msodik vagy tovbbi tredke.-p [!] proto A proto-val megadott protokollnv vagy-szm.
Pldul: tcp, udp, icmp
A tbbi kapcsolt s azok hasznlatt nzzk meg inkbb a
gyakorlatban
Hlzatbiztonsg, Tzfalak 48
7/30/2019 halozatbiztonsag__tuzfalak
25/31
25
Iptables kapcsolatkvets
Mitl Stateful Packet Filter az iptables?Az iptables a csomagokat egytt kezeli a logikai
kapcsolatokkal, amelyhez tartoznak.A kapcsolatokat vgigkveti a ltrejttktl a
megsznskig.
Az iptables kapcsolatkvetsi logikja lehetv teszi j, dems kapcsolatokkal sszefgg kapcsolatok kezelstis. Ezekre tbbkapcsolatos protokollok esetn vanszksg. (Pldul: FTP ip_conntrack_ftp)
Hlzatbiztonsg, Tzfalak 49
Iptables kapcsolatkvets
Kapcsolatkvetsi llapotok:
ESTABLISHED A kapcsolatkvets szerint mr mindkt irnyba
ramlanak a csomagok.
INVALID A csomag nem tartozik egyik kvetett kapcsolathoz sem.
NEW A csomag egy j kapcsolatot prbl ltrehozni, vagy egy
olyan kapcsolat rsze, amelyben a csomagok mg nemramlanak mindkt irnyba.
Hlzatbiztonsg, Tzfalak 50
7/30/2019 halozatbiztonsag__tuzfalak
26/31
26
Iptables kapcsolatkvets
RELATED A csomag egy j kapcsolatot prbl ltrehozni, de az j
kapcsolat egy mr ltez kapcsolattal van sszefggsben(Pldul: FTP tvitel adatkapcsolat)
iptables -A INPUT -p tcp --dport 22 -m state --stateNEW,ESTABLISHED -j ACCEPT
Hlzatbiztonsg, Tzfalak 51
Hlzati cmfordts
NAT Network Address Translation
A NAT a szmtgpen thalad hlzati csomagokcmeinek, illetve portjainak mdostst jelenti.
Forrs-NAT, cmlczs: Angolul: Source NAT (SNAT) Segtsgvel egy Internet kapcsolatot oszthatunk meg
tbb hlzatba kttt gp kztt. Az Internetre kapcsold gp tjrknt mkdik, az
SNAT segtsgvel trja a csomagokat.
Hlzatbiztonsg, Tzfalak 52
7/30/2019 halozatbiztonsag__tuzfalak
27/31
27
Hlzati cmfordts
Forrs-NAT: A kimen csomagok forrscmt az tjr
Internetkapcsolatnak statikus IP cmre rja fell. A kls gpek vlaszzeneteinek clcm mezjben az
tjr cme szerepel Az tjr megkapja a vlaszzeneteket, majd ezt kveten
a clcmet trja a bels gp cmre, majd tovbbtja az
zenetet a bels
hlzat fel
A cmfordts a nat tbla POSTROUTING lncbantrtnik, mivel az SNAT azeltt mdostja a csomagokforrscmeit, portjait, mieltt azok elhagynk a kernelt.
Hlzatbiztonsg, Tzfalak 53
Hlzati cmfordts
Kt megolds ltezik forrscmfordtsra. Az elzekbenismertetett SNAT-ot olyan helyzetekre fejlesztettk ki,ahol az tjr gp statikus IP cmmel rendelkezik.
A msik megolds a MASQUERADE, amit olyanesetekben hasznlhatunk, amikor az tjr gp cme
dinamikus.A MASQUERADE lekezeli az olyan helyzeteket is, amikor
megszakad a hlzati kapcsolat, majd eltr cmmelpl fel jra. Ez tbbletterhelst jelent, statikus cmekesetn ajnlott az SNAT hasznlata.
Hlzatbiztonsg, Tzfalak 54
7/30/2019 halozatbiztonsag__tuzfalak
28/31
28
Hlzati cmfordts
SNAT plda:iptables t nat A POSTROUTING s 192.168.1.0/24
o eth0 j SNAT --to-source 152.66.249.1
MASQUERADE plda:iptables t nat A POSTROUTING o eth0
j MASQUERADE
Csomagok tovbbtsa esetn, a kvetkez fjlban 1rtknek kell szerepelni:/proc/sys/net/ipv4/ip_forward
(echo 1 > /proc/sys/net/ipv4/ip_forward)
Hlzatbiztonsg, Tzfalak 55
Hlzati cmfordts
Cl-NAT: DNAT, Destination NAT A bels hlzat gpeinek bizonyos szolgltatst teszi
elrhetv a klvilg szmra, anlkl, hogy a gpekkzvetlenl kapcsoldnnak az Internetre. (~PortForward)
A cmfordts a nat tbla PREROUTING lncban trtnik.
iptables- -t nat A PREROUTING i eth0 p tcp --dport 22j DNAT --to-destination 192.168.1.10:22
Hlzatbiztonsg, Tzfalak 56
7/30/2019 halozatbiztonsag__tuzfalak
29/31
29
IDS
IDS Intrusion Detection System
Egy olyan program vagy eszkz, ami monitorozza a hlzats/vagy szmtgpek mkdst, rendellenes,szablyokba tkz mkdst keresve, s az esetlegesincidenseket egy kzponti rendszer fel jelenti.
IPS Intrusion Prevention System
IDS + Beavatkozs
Hlzatbiztonsg, Tzfalak 57
IDS tpusok
N-IDS Network-IDS Hlzati forgalmat monitoroz A hlzati forgalomhoz vagy HUB, vagy Switch port
mirroring funkcija segtsgvel jut hozz
H-IDS
Host-based-IDS A szmtgpen fut kliensprogram segtsgvel
monitorozza a naplllomnyokat, rendszerhvsokat,rendszerllapot, mdostsokat
F-IDS File system-IDS Fjlrendszer vltozsait monitorozza, integrits ellenrzs
Hlzatbiztonsg, Tzfalak 58
7/30/2019 halozatbiztonsag__tuzfalak
30/31
30
IPS mkdse
Hlzatbiztonsg, Tzfalak 59
IDS visszajelzsei
Ngy fle visszajelzst klnbztetnk meg. True Positive (TP)
Van tmads, van riaszts
True Negative (TN)Nincs tmads, nincs riaszts
False Negative (FN)Van tmads, nincs riaszts False Positive (FP)
Nincs tmads, van riaszts
A False Negative a legveszlyesebb!
Hlzatbiztonsg, Tzfalak 60
7/30/2019 halozatbiztonsag__tuzfalak
31/31
IDS mkdse
Felismersi mdszerek: Szably alap felismers
Szignatra alap Behatols szignatrk Specifikci alap Legitim mkds mintja
Anomlia felismersekSzokatlant, normlistl eltrt keresnek Lehet korbbi megfigyelseken alapul mkdst
megelzi egy tanulsi szakasz Absztrakt lers matematikai modellekkel rjk le a
tmadst, pldul Markov folyamatok segtsgvel
Hlzatbiztonsg, Tzfalak 61
IDS mkdse
Mikor mkdjn az IDS? Real-time
Gyors reakciid Erforrs problmk llhatnak el
Periodikus mkds Lassabb reakciid Jobb sklzhatsg
Hibrid megolds Fenti kt mdszer tvzse
Hlzatbiztonsg, Tzfalak 62