firewall rules - curs

7/25/2019 Firewall Rules - Curs

1/27

5. Sisteme Firewall


2/27

Ion BICA 2

Sisteme Firewall

Conectarea la Internet este o cerin de business pentruaproape toate organizaiile

Un calculator conectat direct la Internet este o int posibilpentru atacatori

Orice disfuncionalitate a sistemelor de calcul cost bani(direct sau indirect)

Sunt necesare mecanisme de protecie a reelelor internempotriva atacurilor externe


3/27

Ion BICA 3

Rolul unui firewall

O manifestare fizic a politicii de securitate n retea

Punct de control i monitorizare a traficului, ntre dou reele

Mecanism pentru limitarea accesului la resursele/serviciilereelei interne

Similar unui zid de aprare


4/27

Ion BICA 4

Rolul unui firewall (cont.)

INTERNET

Firewall

Retea Privata

Cine ? Cand ?

Ce ? Cum ?

PC


5/27

Ion BICA 5

Cerine pe care trebuie s le satisfac un firewall

1. Tot traficul din interior spre exterior i vice versa, trebuie streac prin firewall nu trebuie s existe puncte de acces n reea necontrolate (backdoors)

2. Numai traficul autorizat, stabilit prin politica de securitateintern, poate s treac prin firewall reguli de acces stricte

3. Firewall-ul nsui trebuie s fie imun la atacuri. Aceastapresupune folosirea unui sistem de ncredere care a fostsupus n prealabil unui proces de securizare (hardening) maini dedicate pe care nu trebuie s mai ruleze alte servicii


6/27

Ion BICA 6

Terminologie

Pachet unitatea de informaie creat de un protocol de reea,pentru a transporta date i informaii de control. n contextul stiveiTCP/IP se mai numete i datagram.

DMZ (DeMilitarized Zone) un segment de reea dispus ntreexterior (o reea neprotejat, Internet) i reeaua intern (protejat),avnd rolul de a intermedia schimbul de informaii. Este reeaua ncare, de regula, sunt dispuse serviciile publice i gateway-urile deaplicaie.

Reele protejate i neprotejate Reelele protejate sunt localizate n spatele unui firewall, fiind protejate prin

politicile acestuia Reelele neprotejate, cum ar fi Internet-ul, stau n fata unui firewall i nu sunt

protejate de ctre politicile acestuia Direcii ale traficului

Inbound = spre interiorul zonei protejate de firewall Outbound = spre exteriorul zonei protejate de firewall


7/27

Ion BICA 7

Terminologie (cont.)

Inbound sau Outbound Inbound = spre interiorul zonei protejate de firewall

Outbound = spre exteriorul zonei protejate de firewall

FWInternal

NetworkExternalNetwork


8/27

Ion BICA 8

Exemplu de firewall

InternetRFW

InternalNetwork

Protected UnprotectedDMZ


9/27

Ion BICA 9

Exemplu de firewall (cont.)

RFW

Policy 1 Cor Np e

o tr w

a ot r

e k

FW

FW

SW

FW

Serv1

Serv2

Serv3

Policy 2

Policy 3

Serv4


10/27

Ion BICA 10

Parametri de control al accesului

Exemple de politici (reguli):

La nivel legatur de date Interzice toate pachetele de la adresa MAC 00-1c-bf-01-02-03 Nu cere autentificarea daca adresa MAC este 00-1c-2b-aa-bb-cc

La nivel reea

Interzice orice trafic, cu excepia pachetelor de ieire ce vin de la reeaua10.10.10.0/24 Permite numai trafic ESP (IPsec) Interzice orice trafic, cu excepia traficului de la reeaua 172.16.30.0/24, spre

reeaua 192.168.10.0/24


11/27

Ion BICA 11

Parametri de control al accesului (cont.)

Exemple de politici (reguli):

La nivel transport

Permite traficul de Web de oriunde (inclusiv Internet), cu condiia ca adresadestinaie s fie a serverului propriu 192.168.0.10

Permite traficul FTP de oriunde, spre propriul server 192.168.0.11

La nivel aplicaie Interzice tot traficul de tip peer-to-peer

Nu permite trafic HTTP n al crui header exist comanda POST

Nu permite opiunea DEBUG n comenzile SMTP (e-mail)


12/27

Ion BICA 12

Tipuri de firewall

1. Packet filtering firewall

2. Stateful inspection firewall

3. Application firewall4. Proxy gateway

5. Personal firewall


13/27

Ion BICA 13

Packet filtering firewall

Permite sau interzice pachetele, funcie de adresa IP sau portulsursa/destinaie reguli de filtrare (ACL Access Control List): deny / allow deny all regula default

Verificarea pachetelor se face n ambele direcii (inboundrespectivoutbound trafic)

Payload-ul pachetelor (zona de date) nu este inspectat

Nu memoreaz informaii de stare; pachetele sunt tratate individual, far a

ine cont de context Funcie suportat de majoritatea ruterelor actuale

Avantaje simplu, rapid, transparent pentru utilizatori

Dezavantaje nu poate bloca toate tipurile de trafic ineficient mpotriva atacurilor care exploateaz vulnerabilitile protocoalelor

din stiva TCP/IP

eficien sczut n cazul fragmentrii pachetelor


14/27

Ion BICA 14

Packet filtering firewall (cont.)

Filtru de pachete fr stare (stateless) sunt necesare doualiste de control al accesului:1. Permite traficul HTTP de la 10.0.0.0/24, spre www.yahoo.com

2. Permite traficul HTTP de la www.yahoo.com, spre 10.0.0.0/24


15/27

Ion BICA 15

Stateful inspection firewall

Bazat tot pe filtrarea de pachete

Inspecteaz pachetele i memoreaz informaii de stare pentrufiecare conexiune n parte odat ce un pachet este identificat ca fcnd parte dintr-o conexiune

stabilit, procesarea acestuia poate fi optimizat (lua o cale mai scurt)

informaia de stare ce se memoreaz difer de la productor laproductor

Cel mai popular tip de firewall

Performane ridicate


16/27

Ion BICA

Stateful inspection firewall (cont.)

Fiecare pachet primit este analizat n conformitate cu coninutul tabelei de stare:

daca starea pachetului corespunde strii din tabel, atunci pachetul este lsat s treac Maini de stare pentru fiecare protocol (TCP, UDP, etc)

blocarea pachetelor care nu ader strict la starea mainii din momentul respectiv (deexemplu, numrul de secven TCP este n afara ordinii)

Ce se ntmpl n cazul protocoalelor de tip connectionless (UDP)?

se urmrete doar adresele i porturile surs i destinaie

un rspuns DNS va fi lsat s treac numai dac a existat n prealabil o interogare DNS

intrrile din tabel sunt terse automat dup un interval de timp

16


17/27

Ion BICA 17

Stateful inspection firewall (cont.)

Este suficient o singur list de control al accesului:1. Permite traficul HTTP de la 10.0.0.0/24, spre www.yahoo.com


18/27

Ion BICA

Application firewall

Deep pachet inspection

Filtrare funcie de datele / comenzile transmise la nivelaplicaie: blocarea tuturor e-mailurilor care conin fiiere executabile ca

ataament, blocarea paginilor de Web cu coninut activ (Java, ActiveX),blocarea comenzii FTP put

Produse specializate funcie de protocolul de nivel aplicaie: Web (HTTP) Database (SQL)

E-mail (SMTP, POP3, IMAP)

18


19/27

Ion BICA 19

Proxy gateways

Application Level Gateway - control la nivel de protocol

Toate cererile i rspunsurile trec prin proxy server unde sunt validate

Exista doua conexiuni separate: client-proxy, proxy-server

Avantaje:

adresele IP interne nu sunt vizibile n exterior permit autentificarea utilizatorilor care acceseaz Internet-ul permit analiza traficului SSL

Fiecare serviciu are nevoie de un proxy separat nu toate serviciile suport proxy

HTTP proxy filtrare, loggare, caching pagini Web forward vs reverse proxy


20/27

Ion BICA 20

Personal firewall

Versiune simplificat a unui firewall de reea, destinat staiilorde lucru

Interzice conexiunile de intrare, daca nu au fost explicitpermise

Inspecteaz traficul de intrare/ieire i protejeaz staiile delucru de atacuri

Management centralizat pentru impunerea politicilor desecuritate la nivel organizaional

Exemple de personal firewall

Windows XP Firewall (SP2) ZoneAlarm (www.zonelabs.com)

Norton Personal Firewall (www.symantec.com)

Comodo Firewall (www.comodo.com)


21/27

Ion BICA

Alte tehnologii firewall

Network Access Control (NAC) / Network Acces Protection (NAP)

verificarea calculatoarelor utilizatorilor nainte de a le da accesul n reeauaintern

calculatorul este pus iniial ntr-o zon de carantin (reea special), verificatdin punct de vedere al securitii (antivirus, update-uri, etc) i apoi i se permiteaccesul n reeaua intern

Unified Threat Management (UTM)

implementarea mai multor funcionaliti de securitate (firewall, IPS, antivirus,

VPN, DLP) pe un singur echipament reduce efortul de administrare

limitri din punct de vedere al performanei

Firewall pentru infrastructuri virtuale

reele virtualizate filtrarea traficului ntre maini virtuale

21


22/27

Ion BICA 22

Implementare firewall

Sistem de operare specializat, securizat Diferite niveluri de performanta/pret Uor de instalat i administrat

Ruleaz pe sisteme de uz general Nivel de performan mediu

Nivel foarte ridicat de performan

Se integreaz n infrastructura de reea existent

Protecia investiiei existente Dedicat conexiunilor WAN/Internet

Influeneaz performanele de rutare a pachetelorale ruterului


23/27

Ion BICA 23

Caracteristici cheie pentru un firewall

Performana viteza de procesare (bps, pps, cps) scalabilitatea ASIC vs NP vs CPU (uz general)

Politici de filtrare suportate pe baz de adrese i protocoale funcie de aplicaiile de reea utilizate pe baza identitii utilizatorilor

Disponibilitatea activ-pasiv activ-activ

Integrarea cu infrastructura existent

cu serviciile de autentificare (Radius, Tacacs+) cu serviciile de logging i monitorizare

Management SSH, HTTPS


24/27

Ion BICA 24

Limitrile unui firewall

Nu asigur protecie mpotriva atacurilor interne 60 % din atacuri sunt din interior!

Nu asigur protecie mpotriva viruilor transmii prin e-mailsau Web traficul SMTP i HTTP este permis de firewall!

Nu pot inspecta traficul criptat / tunelat

Sisteme complexe configurarea i administrarea unui firewall nu este simpl!


25/27

Ion BICA 25

Produse firewall

Cisco ASA

Check Point FireWall-1

Juniper NetScreen Palo Alto Networks PA/VM

Fortinet FortiGate

McAfee Firewall Enterprise

Stonesoft NGFW

Linux netfilter/iptables


26/27

Ion BICA 26

Gartner Magic Quadrant for Enterprise Network Firewalls


27/27

Ion BICA 27

firewall rules - curs

Documents