Geneza Internetu - Notatki -  Informatyka - Część 3, Notatki'z Informatyka. Szczecin University of Technology
Norbert_88
Norbert_8827 February 2013

Geneza Internetu - Notatki - Informatyka - Część 3, Notatki'z Informatyka. Szczecin University of Technology

PDF (1 MB)
Pagina
945Numero di visite
Description
Powstanie Internetu , definicja "Języka C", Unixa, historia i działanie TCP/IP, czym są i jak działają poszczególne protokoły, Firewall, SSH.
20points
Punti download necessari per scaricare
questo documento
Pobierz dokument
AnteprimaPagina / 21
Questa è solo un'anteprima
%{smart_count} pagina mostrata su 21 totali
Pobierz dokument
Questa è solo un'anteprima
%{smart_count} pagina mostrata su 21 totali
Pobierz dokument
Questa è solo un'anteprima
%{smart_count} pagina mostrata su 21 totali
Pobierz dokument
Questa è solo un'anteprima
%{smart_count} pagina mostrata su 21 totali
Pobierz dokument

Parametry jądra systemu

Począwszy od wersji Red Hat 6.2 wszystkie parametry systemu znajdujące się w

“/proc/sys” mogą być teraz modyfikowane i konfigurowane podczas uruchomienia

systemu. Aby dokonać jakichkolwiek jakichkolwiek zmian należy posłużyć się pikiem

„/etc/sysctl.conf” ,który odczytywany jest za każdym razem gdy system jest bootowany.

Poniżej przedatwię kilka zmian ,jakie powinno się wprowadzić w celu poprawy

bezpieczeństwa systemu.

Zablokowanie odpowiedzi dla pakietów „ping”

Zablokowanie odpowiedzi dla pakietów „ping” może być dużym udogodnieniem dla

sieci, gdyż od tego momentu nikt nie jest w stanie użyć „pinga” do naszego serwera.

[[email protected]]# ping www.serwer.com.pl

Polecenie “ping” wysyła przykładowe pakiety danych oczekując odpowiedzi od serwera.

W ten sposób w łatwy sposób można przy pomocy polecenia „ping” zlokalizować hosta o

danym adresie IP lub hosta NS. Jeżeli na serwerze zmienimy konfigurację tak , aby

serwer nie wysyłał potwierdzenia „pinga” , serwer ten stanie się niewidoczny w

Internecie. Wystarczy na konsoli głównej wydać polecenie :

[[email protected]]# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

lub przy pomocy pliku „/etc/sysctl. conf” dopisać linijkę :

# Włączenie ignorancji dla polecenia ping

net.ipv4.icmp_echo_ignore_all = 1

Wyłączenie odpowiedzi dla broadcast

Tak samo jak dla pinga ,ważnym jest aby wyłączyć odpowiedź serwera dla usługi

broadcast. Usługa broadcast działa w ten sposób , iż wysyłając pakiet IP pod wskazany

adres

(np. 192. 168. 1. 255) z sieci lokalnej, pakiet ten dostarczany jest do wszystkich

komputerów w tej sieci lokalnej. Pakiet taki nazywany jest „ICMP echo request” i jest on

w stanie spowodować tzw. „SYN Attack” ,nazywany inaczej (DOS) – „Denial od sernice”

Komentarz [P1]: Polecenie ping

docsity.com

Podobnie jak w „pingu” należy dokonać dodatkowego wpisu w pliku „/etc/sysctl.conf”

net.ipv4.icmp_echo_ignore_broadcast = 1

Włączenia ochrony dla TCP SYN Cookie Protection

„Denial of sernice” jest atakiem spowodowanym często usługą broadcast. Zbyt wielkie

obciążenia sieci przy pomocy usługi broadcast zmusza serwer do ponownego

uruchomienia ,gdy serwer nie ma dostatecznych zasobów. Dlatego ważnym jest zapobiec

takim wydarzeniom. Wystarczy dokonać wpisu w „/etc/sysctl.conf”

net.ipv4.tcp_syncookie = 1

Po dokonaniu wszystkich wpisów należy restartować usługę „network”

[[email protected]]# /etc/rc.d/init.d/network restart

Setting network parameters [OK]

w/w przykłady są tylko niektórymi ważniejszymi parametrami jądra systemu ,które

powinny zostać ustawione przed podłączeniem serwera do Internetu.

Aspekty bezpieczeństwa i konfiguracji TCP/IP

Aby harmonijnie połączyć działanie sieci lokalnej z Internetem, nie wystarczy poprawne

skonfigurowanie modemu i mechanizmu IP Masquaradingu, choć czynności te mają

znaczenie podstawowe dla działania połączenia z siecią globalną. Trzeba się jeszcze

zastanowić, jak ułatwić użytkownikowi naszego serwera wysyłanie i odbieranie poczty

elektronicznej, korzystanie z WWW czy news. Ponadto dobrze jest uruchomić w naszej

sieci serwery takich usług jak FTP, WWW. Zwiększy to wygodę osób korzystających

korzystających sieci lokalnej i spowoduje udostępnienie im nowych możliwości.

Projektując sieć lokalną musimy pomyśleć o przydzieleniu jest adresów. Będzie to

umożliwiało późniejsze połączenie naszej sieci lokalnej z Internetem. Przyjmuijmy, że

nasza sieć będzie miała adres 192.168.10.0. Na serwerze linuksowym sieci ustawiamy

jego adres IP, maskę sieci i adres rozgłoszeniowy. Możemy to zrobić poleceniem:

docsity.com

[[email protected]]# ifconfig eth0 192.168.10.1 netmask 255.255.255.0

broadcast192.168.11.255

Ponieważ Ponieważ jądrach serii 2.2.x zautomatyzowano dodawanie adresu sieci do

tablicy routingu Kornela, pozostało nam jeszcze dodać adres domyślnego „gateway`a”

stanowiącego „wyjście na świat”.

[[email protected]]# route add defauly gw 192.168.10.1

Wszystkie w/w ustawienia zostają zapisane w pliku „/etc/sysconfig/network

NETWORKING=yes ;pozwala na pracę w sieci naszego serwera

FORWARD_IPV4=true ;włącza przekazywanie pakietów

HOSTNAME=linux ;nazwa naszego serwera

DOMAINNAME= ;nazwa naszej domeny

GATEWAY=192.168.11.1 ;adres bramki sieciowej

GATEWAYDEV=eth0 ;interfejs przez który będzie ustawiony routing

W celach bezpieczeństwa powinniśmy również wyedytować plik

„/etc/sysconfig/network/scripts/ifcfg-eth0. W pliku tym zapisane są ustawienia związane z

adresami IP, netmask oraz broadcast. Należy jednak pamiętać ,że powinniśmy w tym

pliku dopisać jedną opcję :

USERCTL=yes

Oznacza ona, że żaden użytkownik poza użytkownikiem „root” nie może kontrolować i

konfigurować urządzenia sieciowego jakim jest karta sieciowa (eth0).

W pliku „/etc/host.conf” należałoby dopisać opcję :

nospoof on

Dzięki niej nasz host będzie sprawdzam, czy w danej chwili nie odbywa się „spoofing”

Po udanej konfiguracji naszej sieci należy restartować usługę sieciową

[[email protected]]# /etc/rc.d/init.d/network restart

Setting network parameters [OK]

Bringing up interface lo [OK]

docsity.com

Bringing up interface eth0 [OK]

W tej chwili nasz host jest poprawnie skonfigurowany tak, żeby komputery w sieci

lokalnej miały dostęp do Internetu (www) oraz w pewien sposób zabezpieczony przed

atakami z zewnątrz oraz wewnątrz sieci. Należy jednek pamiętać, że na serwerach

linuksowych chodzą również usługi sieciowe, z których korzystają klienci jak : ftp, www,

e-mail. Usługi te po zainstalowaniu i skonfigurowaniu będą w pełni działać na serwerze

linuksowym. Jednak bez odpowiednich zabezpieczeń usługi te podatne będą na ataki z

sieci. Postaram się przedstawić moją koncepcję bezpieczeństwa w/w usług sieciowych,

tak żeby stały się w miarę bezpiecznymi usługami na serwerze linuksowym.1

1 Security and Optimization Linux:Red Hat Edition –Exlusively from OpenDocs, czerwiec 2002, str.34

docsity.com

Konfiguracja jądra systemu (Kornel configuration)

Podstawą Linux`a jest jego jądro (Kernel), które powinno być odpowiednio

skompilowane ,tak aby zapewniało systemowi maksymalne bezpieczeństwo. Jądro

systemu najlepiej pobrać w serwera ftp://ftp.kernel.org lub ftp://ftp.icm.edu.pl

Po instalacji systemu należy tak skompilować jądro, żeby odpowiadało naszym

potrzebom i było jak najbardziej wydajne. Zasadą jest przy tym, że im więcej

mechanizmów mechanizmów urządzeń jądro obsługuje ,tym jest większe i mniej

wydajne. Jądro obecnie obsługuje wiele mechanizmów związanych z bezpieczeństwem

protokołu TCP/IP, które warto zainstalować. Są to między innymi zapory sieciowe

(firewall), mechanizm translacji adresów sieciowych (IP Masquerading), syn cookies

protection – mechanizm zabezpieczający przed tak zwanym syn flooding ,czyli

„zalewaniem” komputera dużą ilością pakietów, co prowadzi do zawieszenia lub

spowolnienia systemu.

Najważniejszą , ale i wymagającą najwięcej nakładu pracy fazą kompilacji jądra jest jego

konfiguracja. Przeprowadzając ją powinniśmy uwzględnić kilka czynników ,z których

najważniejsze to :

 przeznaczenia jądra (dla serwera sieciowego, stacji graficznej, komputera

multimedialnego, itp.)

 rodzaj podzespołów wchodzących w skład komputera

 współpraca systemu z otoczeniem (innymi systemami operacyjnymi, urządzeniami

sieciowymi)

docsity.com

Większość dystrybucji Linuksa dostarczana jest z jądrem przygotowanym do obsługi

jak największej liczby podzespołów. W praktyce polega to na kompilacji dystrybucji

pod kątem współpracy w procesorem typu i386 (czasem i586) oraz na dołączeniu do

jądra systemu sterowników wielu urządzeń, na przykład starszych modeli napędów

CD-ROM, czy szeregu usług, jak choćby pełnej obsługi sieci komputerowej. Takie

rozwiązanie jest z pewnością uniwersalne i przygotowane w ten sposób dystrybucja

Linka z dużym prawdopodobieństwem będzie działała na większości typowych,

popularnych zestawach komputerowych. Tym niemniej nie możemy się, że

osiągniemy maksymalną wydajność systemu i jego bezpieczeństwo. Jądro stanowi

podstawową część systemu operacyjnego. Od niego zależy działanie i współpraca

między sobą pozostałych komponentów. Pierwszym i podstawowym zadaniem jądra

jest zarządzanie działającymi w danym momencie procesami oraz przydzielanie im z

góry ustalonego czasu procesora. Kolejną funkcją jądra jest zarządzanie pamięcią

operacyjną oraz obsługa urządzeń. Współczesne wersje jądra składają się ze

stosunkowo niewielkiej części stałej oraz z modułów, czyli sterowników dołączonych

do pracującego jądra w miarę pojawiania się takich potrzeb. Dzięki modularnej

budowie jądro może potencjalnie obsłużyć setki różnych urządzeń zachowując

jednocześnie niewielki rozmiar i nie tracąc dużo na wydajności. Najnowsze wersje

Linuksa są standardowo wyposażone w narzędzie kerneld, służące do automatycznego

zarządzania modułami. Moduły stosuje się do obsługi tych urządzeń, bądź systemu

plików, których używa się sporadycznie. Do operacji na modułach służą komendy

insmod - dodanie modułu do jądra

rmmod - usunięcie modułu z jądra

depmod - tworzy bazę danych skompilowanych i dostępnych modułów

lsmod - lista zainstalowanych modułów

Aby skompilować pobrane wcześniej jądro należy zainstalować pakiety:

kernel-headers-wersja.i386.rpm - nagłówki jądra systemu

kernel-source-wersja.i386.rpm - jądro systemu

Sam process kompilacji wymaga jeszcze wcześniejszego zainstalowania pakietów

make-x.x-x.rpm - program make

docsity.com

bin86-x.x-x.rpm - asembler

egcs-x.x-x.rpm - kompilator języka C

Plik ze spakowanym jądrem systemu należy rozpakować do katalogu „/usr/src/linux”

[[email protected][# tar –xvf kernel-source-x.x-x.tar /usr/src/linux

Gdy już mamy zainstalowany pakiet ze źródłami jądra systemu, należy przystąpić do

konfiguracji jego parametrów. Po wydaniu polecenia make menuconfig można przejrzeć

informacje o fabrycznej konfiguracji jądra. Wszystkie opcje podczas konfiguracji jądra

mogą zostać usuniętę z jądra systemu (puste pole), wkompilowane w jądro systemu

(gwiazdka), oraz wkompilowane jako moduł (literka „M”). Aby jądro systemu było

bezpieczne i wydajne należy odpowiednio skonfigurować opcje :

Procesor type and features

Symetric multi-processing suport(CONFIG_SMP) [Y/n] N

Loadable modules support

Enable loadable modules support (CONFIG_MODULES) [Y/n] N

General setup

Backward-compatible /proc/pci (CONFIG_PCI_OLD_PROC) [Y/n] N

Networking options

Network firewalls (CONFIG_FIREWALLS) [Y/n] Y

IP:firewalling (CONFIG_IP_FIREWALL) [Y/n] Y

IP: TCP syncookie support (CONFIG_SYN_COOKIES) [Y/n] Y

Filesystems

Quota support (CONFIG_QUOTA) [Y/n] Y

Kernel automounter support (CONFIG_AUTOFS_FS) [Y/n] N

Network File Systems

NFS filesystem support (CONFIG_NFS_FS) [Y/n] N

Wyjaśnienie do zaznaczonych opcji :

Symetric multi-processing support wsparcie dla platform wieloprocesorowych.

Jeżeli używamy jednego procesora należy

docsity.com

wyłączyć tę opcję

Enable loadable module suport

Opcja ta pozwala na ładowanie

dodatkowych modułów.W celach

bezpieczeństwa wyłącza się tę opcję i

kompiluje do jądra wszystkie potrzebne

moduły na stałe. W ten sposób żaden

użytkownik nie jest w stanie dodać nowego

moduły do istniejącego już jądra.

Backward-compatible /proc/pci

Zachowanie wstecznej kompatybilności w

katalogu /proc/pci

Network firewall

Włączenie firewalla (zapory sieciowej)

IP:Firewalling

Włączenie firewalla dla protokołu TCP/IP

IP:TCP syncookie support

Włączenie syncookie support

Quota support

Włączenie Quot systemowych

pozwalających ograniczyć przestrzeń

doskową dla użytkowników

Kernel automounter support

Wyłączenie automontowania plików

systemowych przez jądro.

NFS filesystem support

Wyłączenie wsparcia dla systemu plików

NFS (Network File System), powszechnie

używanego w systemie Linux.

Inne opcje jądra należy skonfigurować według uznania.

Abu skompilować gotowe jądro należy wydać polecenia :

[[email protected]]# make dep - sprawdzenie zależności modułów

[[email protected]]# make clean - wyczyszczenie nieużytecznych modułów

[[email protected]]# make bzImage - stworzenie pliku zawierającego nowe jądro

systemu

docsity.com

[[email protected]]# make module - kompilacja modułów do jądra

(użyteczna tylko wtedy, gdy zaznaczyliśmy jakies opcje jako loadable module)

[[email protected]]# make module_install - instalacja modułów

Po kompilacji jądra uzyskujemy plik “vmliuz-x.x-x” zawierający nasze nowe jądro. W

celu zainstalowania nowego jądra należy skopiować go do katalogu /etc/boot i

skonfigurować plik /etc/lilo.conf, który odpowiedzialny jest za wstępną inicjalizację

systemu.

[[email protected]]#vi /etc/lilo.conf

boot=/dev/hda5 Partycja z której system będzie bootowany

timeout=00 Czas po jakim zostanie zabootowany

system. Dobrze jest ustawić tę opcję na 0.

Wtedy system od razu się zabootuje i nie

będzie można skorzystać z funkcji „single

user”

restricted

password=jakies_haslo

Hasło, które przypisane będzie do danego

jądra, nie znając tego hasła nie będzie

można uruchomić systemu

image=/boot/vmlinuz-x.x-x Lokalizacja z plikiem nowego jądra

label=nowe_jadro Nazwa nowego jądra

root=/dev/hda5 Podstawowa partycja systemu linux

Read-only System tylko do odczytu

Po dokonaniu odpowiednich zmian w pliku „/etc/lili.conf” wydjąc polecenie „lilo”

instalujemy nowy bootloader z nowym jądrem systemu.

[[email protected]]# lilo

LILO version 21, [Copyright 1992-1988 Werner Almesberger]

Reading boot sector from /dev/hda

Merging with /boot/boot.b

docsity.com

Boot image: /boot/vmlinuz-x.x-x

Added nowe_jadro *

Writing boot sector

W ten sposób po ponownym restarcie systemu, parametry pracy zostaną odczytane z

nowego jądra systemu.2

2 Budowanie zabezpieczeń sieci komputerowych: Mariusz Stawowski, Wydawnictwo Arskom, Warszawa 1999, s.121

docsity.com

FIREWALL

Duża atrakcyjność Internetu wynika z faktu, że w odróżnieniu od telewizji nie jest to

medium jednokierunkowe - każdy użytkownik jednocześnie dostarcza i odbiera

informacje. Jeśli nawet wędrujemy tylko po sieci World Wide Web lub wymieniamy

pocztę elektroniczną, możemy nieświadomie stać się dostarczycielem danych ze swojego

twardego dysku oraz z lokalnej sieci.

Popularne systemy operacyjne - z Windows na czele - są bardziej przystosowane do

wygodnej wymiany danych niż do ich ochrony. O ile wartość informacji zgromadzonych

przez indywidualnego użytkownika jest niewielka, o tyle praktycznie żadna firma nie

może sobie pozwolić na rozpowszechnienie poprzez Internet swoich baz danych. Równie

duże straty może spowodować usunięcie lub zniekształcenie informacji zapisanych na

twardych dyskach. Nawet tzw. ataki Denial of Service, których celem nie jest zdobycie

jakichkolwiek informacji, lecz "tylko" unieruchomienie serwerów internetowych, mogą

spowodować poważne straty finansowe. Ich konsekwencją są przestoje w działaniu

zaatakowanych serwerów, a co za tym idzie, utrudnienia w pracy korzystających z nich

pracowników.

Wprawdzie w Internecie nie znajdziemy wcale więcej nieuczciwych osób niż w życiu

codziennym, jednak w Sieci mogą one znacznie łatwiej ukryć swoją tożsamość, w

związku z czym za swe czyny zwykle nie ponoszą odpowiedzialności. Ulubionymi

miejscami ataku hakerów są bezpłatne wejścia informacyjne serwisów sieciowych oraz

słabo chronione serwisy sieciowe uniwersytetów.

Taka działalność nie wymaga bynajmniej użycia drogiego sprzętu, gdyż z powodzeniem

wystarczy do tego zwykły domowy pecet. Wiele luk w mechanizmach zabezpieczających

jest dobrze znanych, a informacje na ten temat są powszechnie dostępne w Internecie.

Często wraz z takimi informacjami można od razu uzyskać odpowiednie

docsity.com

oprogramowanie, służące do przeprowadzenia ataku, tak więc nie musimy dysponować

umiejętnością programowania. Za pomocą automatycznych narzędzi (np. programu

SATAN) można w krótkim czasie sprawdzić poziom bezpieczeństwa danych w tysiącach

serwerów internetowych.

Podstawową zasadą działania wszelkich systemów ochronnych jest: "To co nie jest jawnie

dozwolone - jest zakazane". Firewalle (zapory ogniowe) są instalowane między sieciami

w celu wymuszenia kontroli dostępu między nimi. Generalnie rzecz ujmując, firewalle

zabezpieczają przed nieautoryzowanym dostępem z zewnątrz do sieci lokalnej. Niektóre

nawet mogą całkowicie blokować ruch pakietów z zewnątrz - dopuszczając ewentualnie

pakiety poczty elektronicznej - zezwalając jednakże na swobodne komunikowanie się

użytkowników sieci ze światem zewnętrznym. Inną pożyteczną cechą firewalli jest

możliwość wykorzystania ich do rejestrowania i śledzenia wszelkich przychodzących

pakietów (auditing). Stacje umieszczane w pierwszej linii obrony, określane również jako

bastion host, są punktami przez które przechodzą wszystkie informacje do sieci lokalnej i

na zewnątrz. Dzięki takiemu scentralizowaniu dróg dostępu do sieci w jednym

komputerze można łatwo zarządzać systemem ochrony.

Dobrze skonstruowana zapora ogniowa zabezpiecza niemal całkowicie przed atakami z

zewnątrz. Potrafi zapobiec podsłuchiwaniu i podszywaniu się pod uprawnionych, blokuje

penetrację sieci wewnętrznej oraz potrafi ochronić przed znanymi wirusami i koniami

trojańskimi.

Typy zapór ogniowych

Na rynku dostępnych jest wiele produktów sprzedawanych pod nazwą "Firewall", lecz

różnią się one poziomem oferowanych zabezpieczeń. Wyróżniamy nastepujące typy zapór

ogniowych:

Zapora ogniowa na poziomie sieci

docsity.com

Jest to router lub specjalny komputer, który kontroluje adresy pakietów i decyduje o tym,

czy przepuścić pakiet do sieci lokalnej czy go zatrzymać. Zazwyczaj blokowania

pakietów dokonuje się za pomocą pliku zawierającego adresy IP określonych ośrodków.

Router będzie wtedy blokował wszystkie pakiety pochodzące z tych ośrodków lub

zmierzające do nich. W momencie, gdy odnajduje on pakiet zawierający zastrzeżony

adres IP, zatrzymuje go uniemożliwiając mu przedostanie się do sieci lokalnej.

Blokowanie w ten sposób określonych ośrodków jest czasem nazywane czarną listą.

Przeważnie oprogramowanie routera pozwala na zablokowanie całego ośrodka, a nie

pojedynczego użytkownika.

Zapora ogniowa na poziomie aplikacji

Jest to zazwyczaj komputer główny z uruchomiony z programem zwanym

oprogramowaniem serwera proxy. Serwery proxy kontrolują wymianę danych między

dwiema sieciami komunikując się w imieniu użytkowników sieci z serwerami na

zewnątrz tej sieci. Takiej zapory ogniowej używa się wtedy, gdy sieć lokalna nie jest

fizycznie połączona z Internetem. Dane transmitowane z jednej sieci nigdy się nie stykają

z danymi drugiej sieci, ponieważ okablowanie tych sieci nie jest połączone. Rolą serwera

proxy jest transmitowanie odizolowanych kopii pakietów z jednaj sieci do drugiej. Ten

typ zapory ogniowej skutecznie maskuje źródło połączenia i chroni sieć lokalną przed

dostępem użytkowników Internetu, którzy mogą usiłować zdobyć o niej informacje.

Zapory ogniowe na poziomie aplikacji fizycznie oddzielają sieć lokalną od Internetu,

dzięki czemu dobrze pełnią funkcje ochronne. Ponieważ jednak program musi

kontrolować pakiety i decydować o ich przepuszczaniu, takie zapory zmniejszają

wydajność systemu. Ten typ zapory ogniowej działa wolniej niż zapora ogniowa na

poziomie sieci. Jeśli więc jest planowane użycie tego typu zabezpieczenia, to należy je

umieścić w najszybszym komputerze.

Zapora ogniowa na poziomie transmisji

docsity.com

Są one podobne do systemów na poziomie aplikacji (stosowanie serwerów proxy).

Różnica między nimi jest taka, że systemy działające na poziomie transmisji nie

wymagają specjalnych aplikacji typu klient obsługujących protokoły proxy. Zapory takie

tworzą obwód łączący komputer-klient z serwerem i nie wymagają żadnej aplikacji do

kontrolowania określonej usługi. Komputer-klient i serwer komunikują się ze sobą przez

zaporę ogniową na poziomie transmisji. Zapory ogniowe tego typu rozpoczynają

transmisję nie wpływając na wcześniej uruchomione procesy wymiany danych. Ich zaletą

jest możliwość obsługiwania wielu protokołów, których stosowanie w systemach

działających na poziomie aplikacji wymaga używania odpowiedniej aplikacji dla każdej

usługi. Można wciąż używać dotychczasowego oprogramowania. Kolejną zaletą tych

systemów jest to, że używa się w nich tylko jednego serwera proxy. Jest łatwiej

zarządzać, logować się i kontrolować pojedynczy serwer niż wiele serwerów.

Techniki integracji systemów ochronnych

Technika konwencjonalna.

Klasyczny system firewall składa się z zewnętrznego routera z filtrem pakietowym, tak

zwanej sieci granicznej (DMZ - demilitarized zone) i wewnętrznego routera, także z

filtrem pakietowym. W strefie DMZ umieszcza się Bastion Hosta przeznaczonego do

odparcia najcięższych ataków, na którym uruchamia się proxy servers dla poszczególnych

aplikacji. Transmisja wszelkich danych musi odbywać się poprzez właśnie Bastion Hosta,

co gwarantuje odpowiednia konfiguracja obu routerów.

Technika perspektywiczna.

Nowoczesne firewalle działają według zasady all-in-one, czyli są to pojedyncze

urządzenia łączące w sobie funkcje obu routerów i Bastion Hosta, czasami dysponując

dodatkowymi serwisami w rodzaju DNS bądź mail. W przypadku takiego systemu

serwery typu WWW najlepiej lokalizować w osobnej sieci bezpośrednio podłączonej do

firewalla. W ten sposób firewall chroni serwer przed intruzami z zewnątrz, a w razie jego

docsity.com

przełamania - sieć wewnętrzna pozostaje w dalszym ciągu dobrze zabezpieczona. Jednak

do prawidłowej pracy takiego systemu niezbędna jest współpraca firewalla z minimum

trzema kartami sieciowymi, co może w wielu przypadkach być warunkiem trudnym do

spełnienia.

Architektury zapór ogniowych

Zapora ogniowa z dwiema kartami

Zapora taka jest prostym, lecz bardzo bezpiecznym rozwiązaniem, w którym jeden

komputer oddziela sieć lokalną od Internetu. W komputerze głównym są zainstalowane

dwie karty sieciowe, do których są podłączone obie sieci. Oparta jest ona na kilku

serwerach proxy poziomu aplikacji lub na serwerze proxy poziomu transmisji.

Oprogramowanie serwerów proxy sprawuje kontrolę nad przepływem pakietów z jednej

sieci do drugiej. Ponieważ komputer główny jest "podzielony" na dwie części (dołączony

do dwóch sieci), zapora ogniowa umieszczona w tym komputerze ma dostęp do pakietów

obydwu sieci, dzięki czemu może kontrolować przepływ danych między sieciami. Mogą

to być dwie sieci lokalne lub sieć lokalna i Internet. Największą wadą tego zabezpieczenia

jest konieczność wyłączenia wewnętrznych funkcji rozsyłania. Włączenie standardowych

wewnętrznych funkcji rozsyłania w komputerze głównym sprawia, że zapora ogniowa

staje się bezużyteczna.

Zapora ogniowa z routerem ekranującym

docsity.com

Według wielu osób zapora taka jest bezpieczniejsza od zapory z dwiema kartami.

Wymaga ona dodania do sieci routera i umieszczeniu komputera głównego z dala od

Internetu (przerwania bezpośredniego połączenia tego komputera z Internetem). Taka

zapora ogniowa jest bardzo efektywna i prosta w eksploatacji. Router łączy sieć lokalną z

Internetem i jednocześnie oddziela określone typy pakietów. Można tak skonfigurować

router, aby widział on tylko jeden komputer główny w sieci lokalnej. Użytkownicy sieci,

którzy mają dostęp do Internetu, muszą korzystać z pośrednictwa tego komputera. Mają

oni więc bezpośredni dostęp do Internetu, natomiast dostęp do sieci lokalnej z zewnątrz

jest ograniczany przez komputer główny.

Umieszczenie routera ekranującego i filtra pakietowego na komputerze z dwoma kartami

sieciowymi jest najprostszym rozwiązaniem, w którym jeden komputer oddziela sieć

lokalną od potencjalnych zagrożeń. Blokuje on ruch pomiędzy konkretnymi sieciami,

hostami lub niektórymi portami.

Zapora ogniowa z dwoma routerami ekranującymi

Zapora taka wymaga zastosowania dwóch routerów i serwera proxy. Serwer proxy

znajduje się w swojej własnej sieci, gdzie współpracuje tylko z dwoma routerami. Jeden

router kontroluje przepływ danych w sieci lokalnej, a drugi kontroluje dane przychodzące

z Internetu i wysyłane do niego. Taka architektura zapory zapewnia wyjątkowo skuteczną

ochronę przed atakami. Dzięki temu, że komputer główny jest odizolowany w oddzielnej

sieci, uderzenie jest ograniczone jedynie do niego, co dodatkowo minimalizuje możliwość

wyrządzenia szkód w chronionej sieci. Ponadto router w sieci lokalnej uniemożliwia

uzyskanie nieautoryzowanego dostępu do komputera głównego z wnętrza sieci.

docsity.com

Usługi dodatkowe

Systemy firewall oferują wiele dodatkowych usług, które pomagają zabezpieczyć sieć

bądź przyspieszyć jej pracę. Wśród nich na szczególne wyróżnienie zasługują Proxy

Cache Services. Usługa ta umożliwia zoptymalizowanie ruchu na łączu WAN poprzez

przechowywanie informacji (stron WWW), do których często odwołują się użytkownicy

sieci; zwykle jest to element zintegrowany z serwerami pośredniczącymi.

 W przypadku przyspieszania pracy klientów lokalnej sieci, Proxy Cache Server

umieszczamy pomiędzy nimi a Internetem. Wówczas żądania o strony

umieszczone w pamięci serwera są obsługiwane z prędkością LAN, a łącze WAN

nie jest wcale obciążane.

 W przypadku intensywnie eksploatowanych serwerów WWW, umieszczonych w

głębi sieci lokalnej, również warto zastosować Proxy Cache Server. Odciąży on

serwery i zmniejszy transmisję w sieci LAN.

docsity.com

W przypadku bardzo dużych i intensywnie eksploatowanych serwisów WWW

możemy użyć kilku połączonych równolegle Proxy Cache Server. Mogą one

obsługiwać serwery WWW różnych producentów.

 Gdy nasza sieć jest jednym z wielu rozrzuconych elementów sieci korporacyjnej,

warto zastosować hierarchiczne połączenie wielu Proxy Cache Servers. Można

również połączyć serwery na tym samym poziomie drzewa, uzyskując ten sposób

wielopiętrowe przyśpieszenie pracy całej sieci. Taka budowa zwiększa szansę na

docsity.com

znalezienie poszukiwanej strony w pamięci podręcznej. Dostęp do stron rzadko

używanych jest wolniejszy, ale i tak przewyższa prędkość odnalezienia strony w

Internecie.

W pracy serwera bardzo istotne jest odpowiednie ustawienie parametrów. Przede

wszystkim czasu przechowywania stron w pamięci podręcznej, czasu, po którym strona

staje się nie aktualna, ilość miejsca przeznaczonego na cache.

Wiele firm, które potrzebują ciągłej wymiany informacji, staje przed dużym problemem -

jak połączyć sieci lokalne wielu oddziałów oddalonych od siebie o setki, a nawet tysiące

kilometrów. Wykupienie łącza dzierżawionego jest bardzo drogie, a czasem wręcz

niemożliwe. Jedynym wyjściem staje się podłączenie wszystkich filii do sieci globalnej,

takiej jak Internet. Virtual Private Network to usługa, która pozwala łączyć kilka sieci

prywatnych tunelami , przez które przenoszone są tylko informacje zaszyfrowane.

docsity.com

Szyfrowanie całych pakietów znacznie zwiększa bezpieczeństwo połączenia, ponieważ

ukrywa numery połączeń i przesyłane dane.

Serwer z VPN zainstalowany na obrzeżu sieci umożliwia zarządzanie całą siecią

wirtualną z dowolnego miejsca, co dodatkowo upraszcza administrację. Jedynym

elementem, który powinien zostać przekazany tradycyjną metodą jest klucz (w

BorderManager firmy Novell klucz jest 40- lub 128-bitowy; na eksport poza terytorium

USA klucza 128-bitowego nałożone są spore restrykcje) umożliwiający nawiązanie

zaszyfrowanego połączenia.

docsity.com

Narzędzia w rodzaju Novell IP Gateway umożliwiają sieciom pracującym z innymi

protokołami, bądź z adresami IP, które nie są unikalne, korzystanie z sieci Internet. Dają

możliwość całemu systemowi na korzystanie z jednego adresu IP, który również może

być przydzielany dynamicznie. Umożliwia to firmie korzystającej np. z protokołu IPX na

podłączenie do Internetu za pomocą modemu u dostawcy przydzielającego adresy

dynamicznie (TP S.A.). Dodatkową zaletą zwiększającą bezpieczeństwo przy korzystaniu

z takich usług jest ukrycie adresów lokalnych systemu.

Usługa Network Address Translation (NAT), podobnie jak IP Gateway, pozwala

klientom, którzy nie posiadają unikalnych adresów, korzystać z Internetu. Dodatkowo

może pracować jako filtr pozwalający tylko na niektóre połączenia z zewnątrz i

gwarantujący, że wewnętrzne połączenia nie będą inicjowane z sieci publicznej.

docsity.com

comments (0)
non sono stati rilasciati commenti
scrivi tu il primo!
Questa è solo un'anteprima
%{smart_count} pagina mostrata su 21 totali
Pobierz dokument