Székely Károly szaklíceum, bemutató anyag,

Tanár: Blénessy Csaba

XIIA IIM
 AZ INTERNETEN ALAPVETŐEN KÉTFAJTA TÁMADÁSI FORMA
 LÉTEZIK: A HÁLÓZATOT ALKOTÓ GÉPEK ELLENI ÉS A
HÁLÓZATI FORGALOM ELLENI AKCIÓK.

 A TŰZFALAK (FIREWALL) TŰZFALAK, SPECIÁLIS

SZÁMÍTÓGÉPEK, AMELYEKET KÖZVETLENÜL AZ INTERNET ÉS A
BELSŐ HÁLÓZAT KÖZÉ ILLESZTENEK.
 • ELVÁLASZTJA A BELSŐ ÉS KÜLSŐ HÁLÓZATOT
 • A BEJÖVŐ FORGALMAT CSAK MEGHATÁROZOTT
ELLENŐRZŐ PONTON ENGEDI KERESZTÜL
 • SZABÁLYOZZA ÉS KORLÁTOZZA A BEJÖVŐ ÉS
KIMENŐ FORGALMAT
 • MEGTILT BIZONYOS KOMMUNIKÁCIÓS
KAPCSOLATOKAT
 • ELREJTI A KÜLSŐ HÁLÓZAT ELŐL A BELSŐ HÁLÓZAT
IP CÍMEIT ÉS ERŐFORRÁSAIT
 • GYANÚS ADATCSOMAGOK TOVÁBBKÜLDÉSÉT
MEGAKADÁLYOZZA (CSOMAGSZŰRÉS TÖRTÉNHET A
FORRÁSCÍM, A CÉLCÍM VAGY A TCP/IP
 • PROTOKOLLBAN SZEREPLŐ EGYÉB ADAT ALAPJÁN)
 • NAPLÓZZA A TELJES KOMMUNIKÁCIÓS FORGALMAT
 VANNAK CSOMAGSZŰRŐ, ALKALMAZÁSSZINTŰ, ILLETVE HIBRID
 TŰZFALAK.

◦ A CSOMAGSZŰRŐK AZ INTERNET ALAPVETŐ PROTOKOLLJÁNAK, A

 TCP/IP-NEK AZ ALAPEGYSÉGEIN, VAGYIS A HÁLÓZATI CSOMAGOKON
 DOLGOZNAK. A FELADÓ ÉS A CÍMZETT, ESETLEG AZ IGÉNYBE VETT
 SZOLGÁLTATÁS SZERINTI SZŰRÉST KÉPESEK MEGVALÓSÍTANI. ÚGY
 KÉPZELHETŐK EL, MINT A KAPUBAN ÁLLÓ ŐR: MINDENKITŐL
 MEGKÉRDEZI, HONNAN JÖTT, HOVÁ TART, ÉS MI A DOLGA OTT. HA AZ
 ŐR LISTÁJÁN NEM SZEREPLŐ VENDÉG ÉRKEZIK, AKKOR MEGTAGADJA A
BELÉPÉST.

◦ AZ ALKALMAZÁSSZINTŰ ÚN. PROXY ELVEN MŰKÖDŐ RENDSZEREK

 EGÉSZEN MÁS TAKTIKÁT ALKALMAZNAK: NEM A HÁLÓZATI
 CSOMAGOK, A PACKETEK SZINTJÉN MŰKÖDNEK, HANEM EGÉSZÉBEN
 VIZSGÁLJÁK AZ ADATFOLYAMOT, ÉS ANNAK TARTALMÁTÓL
 FÜGGŐEN KÉPESEK A MEHET/NEM MEHET DÖNTÉS MEGHOZATALÁRA.
 Ezek a tűzfalak a következő információk alapján dönti el, hogy
mit kell
 tenni egy adott IP csomaggal:
 · forrás IP cím
 · forrás portszám (TCP vagy UDP csomagok esetén) vagy típus
(ICMP
 esetén)
 · cél IP cím
 · cél portszám vagy típus
 · a csomag melyik hálózati interfészen érkezett ill. melyiken
szeretne
 távozni
 · egyéb protokoll-specifikus információk: pl. TCP SYN, ACK, RST
 flag-ek, IP töredékek (fragments). Például a TCP SYN bitek
 figyelésével lehetőség nyílik kapcsolat felépítési kérések
 blokkolására, így bár az IP csomagokat mindkét irányban
 átengedjük, kapcsolatot csak az egyik irányból lehet
 kezdeményezni.
 A proxy szerverek megvárják, amíg az összes olyan IP
 csomag megérkezik, melyek az alkalmazói szinten
 összetartozó protokollelemet hordoznak, majd a szűrés
után
 továbbítják azokat.
 A két módszer előnyeit próbálja meg egyesíteni az utóbbi
 években kifejlesztett technológia, mely a ma
 kereskedelemben kapható számos tűzfal alapját képezi.
 Ezeket a tűzfalakat ún. Stateful Packet Filter Firewall-
oknak
 nevezik, melyek a vizsgálandó csomagok által tartalmazott
 információn túl képesek figyelembe venni az addig
érkezett
 csomagokban lévő információt is.
 EZ A TŰZFAL FONTOS ELEME LEHET, MIVEL A KÜLSŐ ÉS BELSŐ
 HÁLÓZAT KÖZÉ ÉKELŐDVE A BELSŐ FELHASZNÁLÓK NEVÉBEN
 KOMMUNIKÁL A KÜLVILÁGGAL, ELREJTVE AZOK FONTOS
ADATAIT.
 FUNKCIÓI, PL.:
 • A RENDSZER TEHERMENTESÍTÉSE OLY MÓDON, HOGY HA TÖBB
 FELHASZNÁLÓ EGYSZERRE UGYANAZZAL A KÜLSŐ ÁLLOMÁSSAL
 VAN KAPCSOLATBAN (PL. UGYANAZT A HONLAPOT BÖNGÉSZIK),
 AKKOR KIKÜSZÖBÖLI A TÖBBSZÖRÖS ADATÁTVITELT.
 • A BELSŐ WEB ÉS FTP SZERVEREK TEHERMENTESÍTÉSE ÉS
 ELSZIGETELÉSE A KÜLSŐ HÁLÓZATTÓL
 • A KOMMUNIKÁCIÓS FORGALOM NAPLÓZÁSA A FELMERÜLT
 PROBLÉMÁK UTÓLAGOS TISZTÁZÁSA CÉLJÁBÓL.
 • CSOMAGSZŰRÉS A TCP/IP PROTOKOLLBAN SZEREPLŐ ADATOK
 ALAPJÁN
 KÉT TŰZFALLAL VÉDJÜK A BELSŐ
HÁLÓZATOT, ÉS A KÉT TŰZFAL
 KÖZÖTT HELYEZKEDIK EL A DMZ. HÁROM
TERÜLET: BELSŐ HÁLÓZAT,
 KIFELÉ PUBLIKUS INTERNET, KÜLSŐ HÁLÓZAT.
 TARTALOMSZŰRÉS: A TŰZFALAK A FELHASZNÁLÓK MELLETT AZ
 ÁTHALADÓ ADATOKAT IS ELLENŐRIZHETIK.
 MEGOLDÁSOK:
 • KULCSSZÓ FIGYELÉS,
 • URL-SZŰRÉS
 • VÍRUSFIGYELÉS.
 KULCSSZÓ SZERINT: VIGYÁZZUNK, MERT: „SZEX" TILTÁSA TILTJA A
 „SZEXTÁNS„-T IS.
 URL-FILTEREK: KORLÁTOZZÁK A LÁTOGATHATÓ OLDALAK KÖRÉT. EGY
 FOLYAMATOSAN FRISSÍTETT ADATBÁZIST TARTALMAZNAK A
WEBHELYEKRŐL,
 MELYBEN MINDEN WEB-HELYHEZ EGY KATEGÓRIÁT
 RENDELTEK, ANNAK TARTALMA SZERINT.
 AZ ADATBÁZIST TÖBBNYIRE A TERMÉK GYÁRTÓJA KÉSZÍTI, ILLETVE
 TARTJA NAPRAKÉSZEN.
 AZ EGYIK LEGFONTOSABB ÉS LEGGYAKRABBAN HASZNÁLT
 LEHETŐSÉG A FORRÁS CÍM (IP CÍM ÉS PORTSZÁM) ÁTÍRÁSA. EZT A
 TECHNIKÁT NAT-NAK (NETWORK ADDRESS TRANSLATION) VAGY
 NÉHA IP MASQUERADE-NAK HÍVJÁK.
 LÉNYEGE, HOGY MIALATT A CSOMAG ÁTHALAD A TŰZFALON A
 FORRÁS IP CÍMET A TŰZFAL A SAJÁT IP CÍMÉRE ÍRJA ÁT MIKÖZBEN
 LEFOGLAL SZABAD PORTJAI KÖZÜL EGYET, ÉS A FORRÁS
 PORTCÍMET IS ÁTÍRJA ERRE A PORTSZÁMRA.
 MIELŐTT AZ ÍGY MÓDOSÍTOTT CSOMAGOT TOVÁBBKÜLDENÉ,
 MEGJEGYZI A FELADÓ IP- ÉS PORTCÍMÉT, VALAMINT, HOGY MELYIK
 HELYI PORTOT FOGLALTA LE ENNEK.
 A MÁSIK IRÁNYBÓL ÉRKEZŐ ÉS A TŰZFALAT MEGCÍMZŐ CSOMAGOK
 ESETÉN MEGVIZSGÁLJA, HOGY AZ ADOTT CÉL PORTCÍM NINCS-E AZ
 ADATBÁZISÁBAN. HA BENNE VAN, AKKOR A CÉL IP- ÉS PORTCÍMET
 LECSERÉLI AZ ADATBÁZISÁBAN LEVŐRE, ÉS TOVÁBBÍTJA A
 CSOMAGOT.
 Például vállalatunk egyetlen Internet-csatlakozással
 rendelkezik, legyen ennek a címe 152.66.213.80. Viszont 150
 számítógéppel rendelkezünk, melyek mindegyikén Internet
 elérést akarunk lehetővé tenni. Ekkor 2 hálózati interfészt és
 egy NAT-ot lehetővé tevő szoftvert kell telepítenünk a
 direkt-Internet kapcsolattal rendelkező eszközünkre (pl. egy
 UNIX/WINDOWS alapú PC). Az egyik hálózati kártya
 megkapja az Internet eléréshez szükséges hálózati
 paramétereket, viszont a másik a 192.168.0.1-es címet kapja,
 amire a többi, belső-hálózati számítógépet csatlakoztatjuk.
 A belső-hálózati eszközök mind 192.168.0.2-151 címet
 kapják, és átjárójuk pedig a 192.168.0.1 cím lesz. A
belsőhálózatban
 lévő számítógépeket nem lehet látni és elérni,
 ugyanis fizikai kapcsolat csak a NAT szerver és az Internet
 között létezik.
 1.Fogalmazza meg, mi az a tűzfal!
 2. Milyen típusai vannak a tűzfalaknak, és azok
hogyan működnek?
 3. Hogyan működnek a csomagszűrő tűzfalak?
 4. Hogyan működnek a proxi tűzfalak, és mi az a
proxy szerver?
 5. Mi az a NAT? Mi a feladata?
 7. Mi az a tartalomszűrés? Milyen módszerei
vannak?
 8. Mi az a kulcsszó szűrés?
 9. Mi az URL szűrés?