Lectures for 2008 - KTH

More documents

Recommendations

Info

KURSKOMPENDIUM NÄTVERKSSÄKERHETSKURS ___________________________________________________________________________ Flera system, såsom Windows XP, MacOS X och Linux har personliga brandväggar förinstallerade som en del i operativsystemet. Det är viktigt att den personliga brandväggen nyttjas konstant eftersom spyware, trojanska hästar, nätmaskar och liknande ständigt är ett problem för hemanvändare, bredbandsanslutna datorer eller på kontoret. 4.2.7 Vad är en brandvägg inte? Ett av de vanliga säkerhetsproblemen med brandväggar i allmänhet, och i paketfiltrerande brandväggar i synnerhet, är att attacker sker via tillåtna tjänster som släpps igenom brandväggen. Skolboksexemplen är attacker mot webbtjänster, till exempel buggar i Microsofts IIS-tjänst (Internet Information Server). Trots att man skaffat sig en brandvägg som skydd för nätverket så kvarstår många säkerhetsproblem. Tyvärr tror många att även dessa mer abstrakta problem automatiskt blir lösta i samband med att man skaffat sig en brandvägg. Men brandväggar kan i sig själva vara osäkra, innehålla säkerhetsluckor eller ha alltför öppna standardinställningar. Ibland är de servrar som inte bara används som brandväggar utan också som tjänsteservrar. En brandvägg kan också vara dåligt installerad, till exempel sakna härdning. Dessutom kan den vara dåligt administrerad, till exempel via klartextprotokoll, eller ha en eftersatt administration. Det är också viktigt att ha i åtanke att brandväggar inte skyddar mot allt. Det finns många exempel på vad brandväggar inte skyddar mot: • attacker som sker via godkända protokoll • krypterade tunnlar genom brandväggen • krypterade data som sänds via klartextprotokoll • datadrivna attacker • användares aningslöshetoch dumhet • nät och datorkommunikation som går andra vägar än via brandväggen 4.2.8 Brandväggens framtid Man kan fundera över brandväggens framtid. Å ena sidan ser vi situationen med en huvudsaklig brandvägg ut mot Internet där användningen blir svårare och svårare. Användare kräver att brandväggen får allt mer öppna portar, nya protokoll ställer till problem samt tunnling av protokoll, exempelvis Microsoft RPC över HTTP, holkar ut värdet av att öppna eller stänga enskilda portar. Utökad användning av krypterade protokoll och även okrypterade tunnlingar försvårar också för brandväggen att utföra ett korrekt arbete i perimetern. Å andra sidan kan vi inte heller säga att brandväggen skall plockas bort, för vad finns idag för alternativ, även om vissa intresseorganisationer 69 lovsjunger borttagandet av det elektroniska skalskyddet som sådant. En sannolikt utveckling som vi redan sett tendenser på är att använda ett distribuerat skydd. Istället för en huvudbrandvägg så får var och en av alla datorer och ansluten utrustning stå för sitt eget skydd. Ironiskt nog så är detta en slags tillbakagång till hur säkerhetsfilosofin var innan trenden var att all säkerhet skall skötas på nätverksnivån. Tidigt i Internets historia så stod var och en ansvarig för säkerheten på respektive ansluten dator, man hade ett hostbaserat 69 http://www.opengroup.org/jericho/ Copyright (c) 2003-2008 Robert Malmgren AB. All rights reserved Sid 68 (139)
KURSKOMPENDIUM NÄTVERKSSÄKERHETSKURS ___________________________________________________________________________ fokus. Därefter kom den något självbedrägliga tanken att en brandvägg förenklar säkerhetsarbetet så att man inte behöver underhålla och säkra upp varje enskild enhet. Ett sätt att uppnå detta är att införa distribuerade brandväggar som har centraliserad administration. Detta uppmärksammades i diverse forskningsprojekt i slutet på 1990-talet, främst genom Steve Bellovins banbrytande rapport ”Distributed Firewalls” 70 . Bellovin föreslog att man skulle använda IPSecteknologins möjligheter till paketfiltrering i kombination med dess hantering av elektroniska certifikat och PKI. Genom att med centralstyrda policymekanismer kontrollera filtreringen kan varje nod i nätet skydda sig mot såväl uppkopplingar och sedan kan de använda PKI för att autentisera användare och anslutande system. Speciella certifikat skulle dessutom kunna användas för att intyga att man hade en viss nivå och typ av installerad programvara. Ett anslutande system med alltför gammal eller en programvara som var i strid mot policyn kunde nekas åtkomst till tjänsten även fast den IP-mässigt redan kommit över första hindret – att ansluta till en viss port. Vissa produkter finns idag på marknaden för denna typ av distribuerade brandväggar. Dock har det primära användningsområdet hittils varit att styra personliga brandväggar på distansarbetsplatser. Då problem med maskar och olika typer av attacker som idag slipper igenom huvudbrandväggen eller helt uppstår bakom denna så kommer behovet tvinga fram en användning av denna typ av arkitektur även inom de interna nätverken. 4.3 Adress- och portöversättning Tillgången av IPv4-adresser är begränsad och organisationer får i allmänhet inte tillgång till IP-adresser i önskad mängd. För att hantera problemet med adresstillgången nyttjas adressöversättning i vissa brandväggar eller andra system med adressöversättningskapacitet. Definition 51: Adressöversättning är en automatisk metod att via konverternigstabell förändra adresser i IPpaket som passerar via addressöversättningsutrustningen. (eng. Network Address Translation, NAT) För att kunna skicka eller ta emot svar behåller adressöversättaren information i en konverteringstabell om de paket ingår i kommunikationen mellan parterna. Adressöversättning, som funktion, anses ofta vara en säkerhetshöjande åtgärd. Säkerheten består i att man internt i en organisation använder IP-adresser som inte är publikt tillgängliga. Adressöversättning används till exempel för att översätta IP-paket mellan ett internt nät som använder privata IP-adresser 71 (s.k. RFC1918-adresser) - vilka inte får förekomma ute på Internet - och en eller flera officiellt tilldelade IP-adresser och som är synliga på utsidan av adressöversättaren. Adressöversättning som säkerhetsmetod förekommer vanligt i mindre brandväggsutrustning typ bredbandsrouters eller s.k. SOHO-brandväggar för hem- och småföretagsmarkaden. Adressöversättare består av två eller fler nätverksanslutningar. De olika nätvkersanslutningarna har egna IP-adresser. För att kunna skicka eller ta emot svar behåller adressöversättaren information i en konverteringstabell om de paket ingår i kommunikationen mellan parterna. När ett trafikflöde startar så skapas en NAT-regel innehållande 70 Bellovin, Steven M. ”Distributed firewalls” http://www.cs.columbia.edu/~smb/papers/distfw.pdf 71 Rekhter mfl. (1996) RFC 1918 Address Allocation for Private Internets. ftp://ftp.ietf.org/ rfc/rfc1918.txt Copyright (c) 2003-2008 Robert Malmgren AB. All rights reserved Sid 69 (139)
Page 1 and 2:
KURSKOMPENDIUM NÄTVERKSSÄKERHETSK
Page 3 and 4:
Page 5 and 6:
Page 7 and 8:
Page 9 and 10:
Page 11 and 12:
Page 13 and 14:
Page 15 and 16:
Page 17 and 18: KURSKOMPENDIUM NÄTVERKSSÄKERHETSK
Page 67: KURSKOMPENDIUM NÄTVERKSSÄKERHETSK
Page 119 and 120:
Page 121 and 122:
Page 123 and 124:
Page 125 and 126:
Page 127 and 128:
Page 129 and 130:
Page 131 and 132:
Page 133 and 134:
Page 135 and 136:
Page 137 and 138:
Page 139:
show all

Lectures for 2008 - KTH

Create successful ePaper yourself

Delete template?

Save as template?