Firewall

Firewall
• evolucija informacionih sistema
• Žele da budu na Internetu
• Da se povežu mreže
• Stalne sigurnosne brige
– Nije lako zaštititi svaki sistem u organizaciji
• Kako olakšati zaštitu
• Firewall je deo te filozofije
 Šta je Firewall?
• Jedinstvena tačka kontrole i nadzora
• Povezuje mreže sa različitim nivoom poverenja
• Uključuje restrikcije za mrežne servise
– Samo se autorizovan saobraćaj dozvoljava
• Provera i kontrola pristupa
– Može da implementira alarme za nenormalno
ponašanje
• Sam je imun na provaljivanje
• Pruža perimeter defence
 Kontrole koje pruža firewall
• Kontrola servisa – koji mrežni
servisi/aplikacije mogu da prođu kroz
njega
• Kontrola smera – u kom smeru je
dozvoljen određeni saobraćaj
• Kontrola korisnika – ko sme da pristupi
pojedinom servisu/mreži – IPsec
• Kontrola ponašanja – da li se neki servis
korisni na uobičajeni način
 Ograničenja Firewall-a
• Ne štiti od napada koji ga premošćuju
– Virusi na USB stikovima, dial-out modemi,
wireless mreže, problemi u organizacijama
kojima se veruje
• Ne štiti od unutrašnjih napada
– Nezadovoljni zaposleni
• Ne može da štiti od prenosa svih
zaraženih programa ili datoteka
– Ogroman dijapazon O/S & tipova datoteka
Firewalls – Packet Filters
 Firewalls – Packet Filters
• najjednostavniji
• Osnova bilo koga firewall sistema
• Pregleda svaki IP paket (ne ulazeći u
kontekst) i dozvoljava ili odbacuje u skladu
sa pravilima
• Ograničava pristup na servise (portove)
• Moguće default politike
– Što nije jasno odobreno je zabranjeno
– Što nije jasno zabranjeno, odobreno je
Firewalls – Packet Filters
 Paket filter: primeri
[edit firewall family inet]
#show
Extended IP access list NAME_in filter first-junos-filter {
10 permit ip any host 147.91.6.94 term permit-trusted-sources {
20 permit udp any host 147.91.6.194 eq 1194 from {
30 permit tcp any eq www host 147.91.6.202 source-address {
40 permit udp any eq 80 host 147.91.6.202 192.168.0.1;
50 permit ip any 78.28.128.0 0.0.63.255 192.168.0.2;
60 deny 53 any any 192.168.0.3;
70 deny 55 any any }
80 deny 77 any any }
90 deny udp host 98.131.15.23 any then accept;
100 deny udp host 211.49.99.53 any }
110 permit ip host 147.91.0.127 any [edit interfaces fe-5/0/0]
120 permit ip host 147.91.0.55 any #show
130 permit ip host 147.91.6.86 any unit 0 {
140 permit ip host 147.91.6.90 any filter {
input permit-trusted-sources;
}
address 192.168.0.10/24;
}
}
 Napadi na paketske filtre
• IP address spoofing
– Lažna izvorna adresa kojoj se poveruje
– Dodavanje filtara na rutere koji blokiraju
• source routing attacks
– Napadači postavljaju rutu drugačiju od predodređene
– blokirati source routed packets
• tiny fragment attacks
– Rasprostrti header na više malih paketa
– Odbacivati veoma kratke pakete ili reasemblirati pre
provere
 Firewalli – Stateful Packet Filters

• Ispituje svaki paket u okviru konteksta

– Prati klijent-server sesije
– Proverava da li svaki paket validno pripada
nekome u sesiji
• Može bolje da otkrije čudne pakete izvan
konteksta
 Primer: Cisco IOS konfiguracija

ip inspect name OUTBOUND tcp

ip inspect name OUTBOUND udp
ip inspect name OUTBOUND icmp
!
interface FastEthernet0/0
ip access-group OUTSIDEACL in
!
interface FastEthernet0/1
ip inspect OUTBOUND in
ip access-group INSIDEACL in
!
ip access-list extended OUTSIDEACL
permit icmp any any packet-too-big
deny ip any any log
!
ip access-list extended INSIDEACL
permit tcp any any
permit udp any any
permit icmp any any
Firewalls - Application Level
Gateway (or Proxy)
 Firewalls - Application Level
Gateway (or Proxy)
• Koristi application specific gateway / proxy
• Ima puni pristup protokolu
– Korisnik zahteva servis od proxy
– proxy proverava da li je zahtev legalan
– Tada započinje akciju i vraća rezultat korisniku
• Zahteva različite proxy za svaki servis
– Neki servisi prirodno podržavaju proxy
– Drugi su problematičniji
– Mali broj servisa
Firewalls - Circuit Level Gateway
 Firewalls - Circuit Level Gateway
• Prepovezuje dve TCP konekcije
• Unosi sigurnost ograničavanjem koja
takva prepovezivanja konekcija su
dozvoljena
• Jednom uspostavljena, prepovezivanja se
rade bez analize sadržaja
• Tipično se koristi da se odvoje korisnici
iznutra koji mogu da imaju odgovarajuće
izlazne konekcije
 Bastion Host
• Siguran host sistem
• Platforma za ALG i CLG
• Izložen napadima
• Treba da bude siguran da izdrži napade
• Može da podrži 2 ili više mrežnih konekcija
• Može mu se verovati da može da odvoji dve
mrežne konekcije
• Izvršavaju se na njemu circuit / application level
gateways
• Ili pruža spolja dostupne servise
Firewall Configurations
Firewall Configurations
Firewall Configurations
 Osiguranje DMZ – privatni
VLAN-ovi, promiskuitetni portovi

Host 1 (FTP)

Sekundarni VLAN
Portovi
Host 2 (HTTP)

Promiskuitetni Port

Host 3 (Admin)
 IDS/IPS
• IDS - Intrusion Detection sistemi
– Tipično pasivni uređaji
– Saobraćaj ne prolazi kroz njih
– Kreiraju obaveštenja
• IPS - Intrusion Prevention sistemi
– Aktivno blokiraju sumnjivi saobraćaj
– Saobraćaj prolazi kroz njih
• Mogu da se koriste i zajedno – IDS
proverava rad IPS
 Vrste IPS/IDS
• Po mestu instalacije
– Na hostu
– Mrežni uređaj
• Po načinu rada
– Signature-based – pronalazi stringove u paketima karakteristične
za pojedine napade. Zahteva bazu potpisa koja se stalno osvežava
– Policy-based – pronalazi odstupanja od predefinisanog očekivanog
ponašanja u mreži (npr. konekcija na www server putem FTP
protokola). Zahteva postojanje dozvoljene politike
– Anomaly-based – pronalazi odstupanja od “normalnog” ponašanja
mreže. Definicija “normalnog”, detekcija odstupanja?
– Honeypot – uređaj postavljen u mrežu, na izgled običan server koji
služi za to da se snimaju potencijalni napadi na njega (radi kao
IDS)
 Primeri potpisa
• Unknown IP Protocol – Potpis se aktivira kada stigne IP
datagram sa poljem protocol u kojem je vrednost 134 ili
veća.
• TCP Window Size Variation – Potpis se aktivira kada se
veličina TCP prozora menja na određeni sumnjiv način
• TCP SYN Port Sweep – Potpis se aktivira kada se pojavi
veliki broj uzastopnih paketa sa setovanim TCP SYN
flagom ka jednom ili više hostova.
• WWW HTML string match– Potpis se aktivira kada se
pronađe određeni sumnjiv string u HTML delu paketa.
Primeri potpisa
Kraj 2010
 Access Control
• given system has identified a user
• determine what resources they can access
• general model is that of access matrix with
– subject - active entity (user, process)
– object - passive entity (file or resource)
– access right – way object can be accessed
• can decompose by
– columns as access control lists
– rows as capability tickets
Access Control Matrix
 Trusted Computer Systems
• information security is increasingly important
• have varying degrees of sensitivity of
information
– cf military info classifications: confidential, secret etc
• subjects (people or programs) have varying
rights of access to objects (information)
• want to consider ways of increasing confidence
in systems to enforce these rights
• known as multilevel security
– subjects have maximum & current security level
– objects have a fixed security level classification
 Bell LaPadula (BLP) Model
• one of the most famous security models
• implemented as mandatory policies on system
• has two key policies:
• no read up (simple security property)
– a subject can only read/write an object if the current
security level of the subject dominates (>=) the
classification of the object
• no write down (*-property)
– a subject can only append/write to an object if the
current security level of the subject is dominated by
(<=) the classification of the object
Reference Monitor
 Evaluated Computer Systems
• governments can evaluate IT systems
• against a range of standards:
– TCSEC, IPSEC and now Common Criteria
• define a number of “levels” of evaluation
with increasingly stringent checking
• have published lists of evaluated products
– though aimed at government/defense use
– can be useful in industry also