Lectures for 2008 - KTH
Lectures for 2008 - KTH
Lectures for 2008 - KTH
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
KURSKOMPENDIUM NÄTVERKSSÄKERHETSKURS<br />
___________________________________________________________________________<br />
fokus. Därefter kom den något självbedrägliga tanken att en brandvägg förenklar<br />
säkerhetsarbetet så att man inte behöver underhålla och säkra upp varje enskild enhet.<br />
Ett sätt att uppnå detta är att införa distribuerade brandväggar som har centraliserad<br />
administration. Detta uppmärksammades i diverse <strong>for</strong>skningsprojekt i slutet på 1990-talet,<br />
främst genom Steve Bellovins banbrytande rapport ”Distributed Firewalls” 70 . Bellovin<br />
föreslog att man skulle använda IPSecteknologins möjligheter till paketfiltrering i<br />
kombination med dess hantering av elektroniska certifikat och PKI. Genom att med<br />
centralstyrda policymekanismer kontrollera filtreringen kan varje nod i nätet skydda sig mot<br />
såväl uppkopplingar och sedan kan de använda PKI för att autentisera användare och<br />
anslutande system. Speciella certifikat skulle dessutom kunna användas för att intyga att man<br />
hade en viss nivå och typ av installerad programvara. Ett anslutande system med alltför<br />
gammal eller en programvara som var i strid mot policyn kunde nekas åtkomst till tjänsten<br />
även fast den IP-mässigt redan kommit över första hindret – att ansluta till en viss port.<br />
Vissa produkter finns idag på marknaden för denna typ av distribuerade brandväggar. Dock<br />
har det primära användningsområdet hittils varit att styra personliga brandväggar på<br />
distansarbetsplatser. Då problem med maskar och olika typer av attacker som idag slipper<br />
igenom huvudbrandväggen eller helt uppstår bakom denna så kommer behovet tvinga fram en<br />
användning av denna typ av arkitektur även inom de interna nätverken.<br />
4.3 Adress- och portöversättning<br />
Tillgången av IPv4-adresser är begränsad och organisationer får i allmänhet inte tillgång till<br />
IP-adresser i önskad mängd. För att hantera problemet med adresstillgången nyttjas<br />
adressöversättning i vissa brandväggar eller andra system med adressöversättningskapacitet.<br />
Definition 51: Adressöversättning är en automatisk metod att via konverternigstabell förändra adresser i IPpaket<br />
som passerar via addressöversättningsutrustningen.<br />
(eng. Network Address Translation, NAT) För att kunna skicka eller ta emot svar behåller<br />
adressöversättaren in<strong>for</strong>mation i en konverteringstabell om de paket ingår i kommunikationen<br />
mellan parterna.<br />
Adressöversättning, som funktion, anses ofta vara en säkerhetshöjande åtgärd. Säkerheten<br />
består i att man internt i en organisation använder IP-adresser som inte är publikt tillgängliga.<br />
Adressöversättning används till exempel för att översätta IP-paket mellan ett internt nät som<br />
använder privata IP-adresser 71 (s.k. RFC1918-adresser) - vilka inte får förekomma ute på<br />
Internet - och en eller flera officiellt tilldelade IP-adresser och som är synliga på utsidan av<br />
adressöversättaren. Adressöversättning som säkerhetsmetod förekommer vanligt i mindre<br />
brandväggsutrustning typ bredbandsrouters eller s.k. SOHO-brandväggar för hem- och<br />
småföretagsmarkaden.<br />
Adressöversättare består av två eller fler nätverksanslutningar. De olika<br />
nätvkersanslutningarna har egna IP-adresser. För att kunna skicka eller ta emot svar behåller<br />
adressöversättaren in<strong>for</strong>mation i en konverteringstabell om de paket ingår i kommunikationen<br />
mellan parterna. När ett trafikflöde startar så skapas en NAT-regel innehållande<br />
70 Bellovin, Steven M. ”Distributed firewalls” http://www.cs.columbia.edu/~smb/papers/distfw.pdf<br />
71 Rekhter mfl. (1996) RFC 1918 Address Allocation <strong>for</strong> Private Internets. ftp://ftp.ietf.org/ rfc/rfc1918.txt<br />
Copyright (c) 2003-<strong>2008</strong> Robert Malmgren AB. All rights reserved Sid 69 (139)