Computernetwerken Deel 2
Beveiliging Firewall: toegang beperken IDS: inbraak detecteren en alarmeren Encryp>e: gegevens verbergen
Firewall Waarom? Filteren van pakkeben Wildcard mask: omgekeerd subnetmasker PakkeDiltering niet al>jd voldoende Soorten firewalls Firewall in het netwerk
Firewall: waarom? TCP/IP Alle hosts bereikbaar (via IP- adres) Kunnen met elkaar communiceren PakkeBen zullen verwerkt worden Bv voortdurend pingen (ICMP- bericht) UDP of TCP als poortnummer van wachtend proces: ACK en start van verwerking
Firewall: waarom? Poortscannen: zoeken naar open poorten Sturen slecht geformabeerde data Storen lopend proces Zaken uitvoeren die niet de bedoeling zijn Elke computer beveiligen? Beveiliging concentreren in één machine
Firewall: waarom? Alle ip- pakkeben via één bewaakte toegang Van binnen naar buiten en Van buiten naar binnen Geen beveiliging voor intern verkeer Geen beveiliging tegen virussen Geen beveiliging tegen DNS- spoofing Foute dns- info om gebruiker om te leiden Het internet is ontworpen zonder beveiliging
Filteren van pakkeben router if1 if2 Coax- voorstelling? Router: Voor inkomende pakkeben: nagaan welke interface verder sturen Doorsturen van pakkeben netwerk 1 netwerk 2
Filteren van pakkeben router if1 if2 netwerk 1 netwerk 2 Configura>emogelijkheid van een router: filteren Eigenschappen van pakket nagaan Pakket eventueel niet verder sturen Via ACL (Access Control List) = lijst van regels
Filteren van pakkeben Eigenschappen van pakkeben om op te filteren? IP- adres (zender en ontvanger) Protocol IP, IPX,... TCP, UDP, ICMP,... HTTP, FTP,... Poorten Niet op basis van inhoud van een pakket
Filteren van pakkeben ACL koppelen aan interface Per interface: ACL voor in, ACL voor uit Syntaxis hangt af van besturingssysteem van router
Filteren van pakkeben: vb1 router if1 if2 200.201.202.0/24 Naar internet ACL voor if1, inkomende pakkeben
Filteren van pakkeben: vb1 Van 200.201.202.200: alle pakkeben weigeren Van 200.201.202.128/25: mogen naar poort 80 (hbp) van elke host Computer 200.201.202.1 mag pingen (ICMP) Al de rest wordt niet doorgelaten Volgorde van belang
Filteren van pakkeben: vb2 web-server mail-server dns-server 200.201.203.0/24 if3 router Naar welke servers (200.201.203.0/24) kunnen pc s van 200.201.202.0/24? 200.201.202.0/24 if1 if2 Alleen naar webserver Alleen vanaf 200.201.202.128/25 naar Internet
Filteren van pakkeben: vb2 web-server mail-server dns-server 200.201.203.0/24 if3 router Hoe andere services bereikbaar maken? 200.201.202.0/24 if1 if2 naar Internet
Filteren van pakkeben: vb2 web-server mail-server dns-server 200.201.203.0/24 if3 router Hoe andere services bereikbaar maken? Tweede mogelijkheid? 200.201.202.0/24 if1 if2 ACL met andere interface associëren naar Internet
Filteren van pakkeben: vb3 200.201.203.0/24 if3 router if1 200.201.202.0/24 if2 naar Internet
Wildcard mask ACL: Bron = groep van IP- adressen Bestemming = groep van IP- adressen Nota>e opeenvolgende IP- adressen Begin- en eindadres Beginadres/aantal bits Beginadres subnetmasker Cisco: omgekeerd subnetmasker
Wildcard mask Bv 200.201.202.128 0.0.0.127 0.0.0.127 = Wilcard Mask Betekenis: 0 : bit moet gelijk zijn 1 : bit mag om het even zijn Dus: 200.201.202.128 en 0.0.0.127 11001000 11001001 11001010 10000000 00000000 00000000 00000000 01111111 200.201.202.128 tot 200.201.202.255
PakkeDiltering niet al>jd voldoende TCP- intercept Hacker stuurt geen ACK- segment Server wacht, veel open sessies, vals bron adres Server plat (DoS- aanval) Bijhouden hoeveel half- open sessies Maximum aantal Sluiten na >jdsinterval
PakkeDiltering niet al>jd voldoende Fragmenta>e Groot IP- pakket opdelen in fragmenten Fragmenten verstuurd als aparte IP- pakkeben Hacker: pakkeben zo klein maken dat TCP- hoofding er niet volledig in kan ACL s op poortnummer en protocol ACL s niet leesbaar
PakkeDiltering niet al>jd voldoende FTP Gestarte sessie (poort 21) is alleen voor besturing. Bestandsoverdracht (ac>ve mode) Client stuurt vraag naar poort 21 en deelt een poortnummer (random) mee waarop hij luistert (PORT commando) Client wacht op verbinding Server start verbinding met client via syn,... Bestandsoverdracht gebeurt
PakkeDiltering niet al>jd voldoende FTP Bestandsoverdracht (passive mode) Client stuurt vraag naar poort 21 (PASV commando) Server deelt een poortnummer mee waarop hij luistert (random) Client start verbinding met client via syn,... Bestandsoverdracht gebeurt Moeilijk/niet wenselijk om alle poorten op te lijsten in ACL s
Stateful inspec>on Toestand (= State) van elke TCP- sessie wordt bijgehouden Bij TCP of UDP is poortnummer van bron willekeurig: geen vaste regels in firewall mogelijk Oplossing: dynamische ACL s
Dynamische ACL s: vb1 200.201.202.17 start Telnet- sessie met 34.45.67.89 Clientpoort: 1234 (willekeurig > 1023) Serverpoort: 23 Dynamische ACL: Tijdens init (syn, syn/ack, ack): regel toegevoegd aan ACL Firewall houdt status bij Bij opheven verbinding: schrappen regel
Dynamische ACL s: vb1 ACL voor if2, inkomende pakkeben router if1 200.201.202.0/24 if2 naar het Internet
Dynamische ACL s: vb2 Bij UDP en ICMP: geen init, hoe status bijhouden, wanneer schrappen? Na >meout Gebruik van virtuele verbinding Uitgaande verzoeken worden geregistreerd Alleen inkomende berichten doorlaten die een antwoord zijn op een geregistreerd verzoek
Dynamische ACL s: vb3 FTP: Firewall houdt status van sessie bij Toevoegen, weglaten lijn in ACL Firewall met Inspec>on engine (solware in firewall) Firewall kent het toepassingsprotocol (FTP) Herkent PORT, PASV commando Voegt dynamisch regels toe aan ACL = sessiefiltering
Soorten firewalls PakkeDilters: filteren per pakket Sessiefilter: filteren per sessie Toepassings- proxy Statefull packet inspec>on Persoonlijke firewall
Toepassings- proxy Werkt op toepassingslaag (web- proxy, lp- proxy,...) Is een programma Mag gebruiker sessie starten? Maakt verbinding met server Inspecteert pakkeben Inspecteert (hele) inhoud van berichten
Statefull packet inspec>on State = toestand van de verbinding Voortdurende inspec>e van De toestand van de verbinding Inhoud van pakkeben Voordeel tov Proxy: geen extra verbindingen
Persoonlijke firewall Solware op client Regels op applica>eniveau
Firewall in het netwerk Doel firewall: alle pakkeben filteren tussen eigen netwerk en internet Verschillend beleid Bedrijfsnetwerk Servers die voor buitenwereld bereikbaar moeten zijn Firewall met meerdere interfaces Per interface een apart beleid Alle hosts aan een interface hebben zelfde eisen
Firewall in het netwerk 3 interfaces server 1 server 2 router buiten DMZ bedrijfsnetwerk firewall
Firewall in het netwerk 2 interfaces router server 1 server 2 afgeschermd netwerk buiten bedrijfsnetwerk firewall
Firewall in het netwerk Bedrijfsnetwerk 2 interfaces Eigen gebruikers, vertrouwd Achter de firewall Alle pakkeben van en naar bedrijfsnewerk: controle door Firewall Afgeschermd netwerk (DMZ) Beperkte beveiliging door router Beveiliging op niveau van server (Bas>on Hosts)
Firewall in het netwerk 2 interfaces Waarom bv server 1 niet achter Firewall? Beleid: iedereen van buiten af moet aan servers kunnen Dus moet voorbij Firewall kunnen Servers kunnen fouten bevaben: mogelijks uitbui>ng
Firewall in het netwerk 3 interfaces Firewall controleert ook de toegang tot de servers DMZ: gebied met ander, milder beleid Router PakkeDiltering Verschillende netwerkinterfaces (ethernet, fiber,...)
IDS: intrusion detec>on system Bekijken netwerkverkeer voorbij de firewall Opsporen verdacht verkeer: Ping door zelfde host naar meer dan 5 adressen Poortscanning... Alleen signaleren IPS (Intrusion Preven>on System): gaat ook ac>es ondernemen, regels toevoegen