Sunuyu indir
Sunum yükleniyor. Lütfen bekleyiniz
YayınlayanMelis Aksoy Değiştirilmiş 10 yıl önce
1
Chapter 6
2
Copyright Pearson Prentice-Hall 2010 Chapter 5 covered many techniques for access control This chapter will discuss an additional tool for access control—firewalls Firewalls filter out traffic that consists of provable attack packets 2
3
Copyright Pearson Prentice-Hall 2010 Bölüm 5 de erişim kontrolü için birçok teknik anlatılacak Bu bölümde erişim kontrolü-güvenlik duvarları için ek bir araç tartışılacak Güvenlik duvarları kanıtlanabilir saldırı paketlerini içeren trafiği filtreler 3
4
Copyright Pearson Prentice-Hall 2010 4
5
5
6
6
7
The Problem ◦ If a firewall cannot filter all of the traffic passing through it, it drops packets it cannot process ◦ This is secure because it prevents attack packets from getting through ◦ This creates a self-inflicted DoS attack by dropping legitimate traffic 7
8
Copyright Pearson Prentice-Hall 2010 Problem ◦ Bir güvenlik duvarı üzerinden geçen trafiği filtreleyemezse, işlenmeyen bütün paketleri düşürür ◦ Bu güvenlidir, çünkü saldırı peketlerinin geçmesi engellenir ◦ Bu geçerli trafiği düşürerek bir kendi kendine DOS saldırısı oluşturur 8
9
Copyright Pearson Prentice-Hall 2010 Firewall Capacity ◦ Firewalls must have the capacity to handle the incoming traffic volume ◦ Some cannot handle traffic during heavy attacks! ◦ Firewalls must be able to handle incoming traffic at “wire speed” the maximum speed of data coming into each port 9
10
Copyright Pearson Prentice-Hall 2010 Güvenlik duvarı Kapasitesi ◦ Güvenlik duvarları gelen trafik hacmini idare edebilecek kapasitede olmalıdır ◦ Bazı ağır saldırılar sırasında trafiği idare edemiyorlar! ◦ Güvenlik duvarları “kablo hızı" nda gelen trafiği idare edebilmesi gerekir Her bir port için gelen verilerin maksimum hızı 10
11
Copyright Pearson Prentice-Hall 2010 Computer Processing Power Is Increasing Rapidly ◦ As processing power increases, more sophisticated filtering methods possible ◦ We can have unified threat management (UTM) A single firewall can use many forms of filtering including antivirus filtering and even spam filtering. Increasing traffic is consumes much of processing power 11
12
Copyright Pearson Prentice-Hall 2010 Bilgisayar İşleme Gücü Hızla Artar ◦ Işlemci gücü arttıkça, daha sofistike filtreleme yöntemleri mümkün ◦ Biz (UTM) birleşik tehdit yönetimine sahip olabiliriz Tek bir güvenlik duvarı birçok filtreleme formları kullanabilir Antivirüs filtreleme ve hatta spam filtreleme dahil.. Trafik Artması çok işlemci gücü tüketir 12
13
Copyright Pearson Prentice-Hall 2010 Firewall Filtering Mechanisms ◦ There are many filteering types Stateless filtering (packet inspection) Stateful filtering (packet inspection) ◦ We focus on the stateful packet inspection (SPI) ◦ Single firewalls can use multiple filtering mechanisms 13
14
Copyright Pearson Prentice-Hall 2010 Güvenlik duvarı Mekanizmaları Filtreleme ◦ Birçok filteering türleri vardır Stateless filtering (paket denetleme) Stateful filtering (paket denetleme) ◦ Biz Stateful Packet Inspection (SPI) odaklanıyoruz ◦ Tek güvenlik duvarları birden fazla filtreleme mekanizması kullanabilir 14
15
15
16
Copyright Pearson Prentice-Hall 2010 ◦ Earliest firewall filtering mechanism, but has Limitations Examines packets one at a time, in isolation Only looks at some internet and transport headers Unable to stop many types of attacks ◦ The firewall must pass packets containing SYN/ACK ◦ If it receives a packet containing a SYN/ACK, this may be a legitimate response to an internally initiated SYN segment ◦ Also, a SYN/ACK could be an external attack A static packet filtering firewall cannot stop this attack 16
17
Copyright Pearson Prentice-Hall 2010 ◦ eski güvenlik duvarı filtreleme mekanizma, ama Sınırlamalar var Izole edilmiş durumda, birim zamanda bir paket inceler Sadece bazı internet ve ulaşım başlıklarına bakar Saldırılarının birçok çeşidi durdurulamıyor ◦ Güvenlik duvarı SYN / ACK içeren paketleri geçirmelidir ◦ Bir SYN / ACK içeren bir paket alırsa, SYN segment inin başlattığı geçerli bir yanıt olabilir ◦ Ayrıca, bir SYN / ACK harici bir saldırı olabilir Bir statik paket filtreleme güvenlik duvarı bu saldırıyı durduramaz 17
18
Copyright Pearson Prentice-Hall 2010 18
19
Copyright Pearson Prentice-Hall 2010 Attacks that can be detected by static packet filtering ◦ Incoming ICMP echo packets and other scanning probe packets ◦ Outgoing responses to scanning probe packets ◦ Packets with spoofed IP addresses 19
20
Copyright Pearson Prentice-Hall 2010 Saldırı, statik paket filtreleme ile tespit edilebilir ◦ Gelen ICMP echo paketleri ve diğer prob tarama paketleri ◦ Prob paketlerini giden cevaplar ile tarama ◦ Sahte IP adresleri ile paketler ◦ 20
21
Copyright Pearson Prentice-Hall 2010 Market Status of Static Packet Filtering ◦ No longer used as the main filtering mechanism for border firewalls ◦ May be used as a secondary filtering mechanism on main border firewalls ◦ It can stop simple, high-volume attacks This reduce the load on the main border firewall 21
22
Copyright Pearson Prentice-Hall 2010 Statik Paket Filtreleme Piyasa Durumu ◦ Sınır güvenlik duvarları için artık ana filtreleme mekanizması olarak kullanımaz ◦ Ana sınır güvenlik duvarlarında ikinci filtreleme mekaznizması olarak kullanılabilir ◦ Basit, yüksek hacimli saldırıları durdurabilir ana sınır duvarı üzerindeki yükü azaltır 22
23
23
24
Copyright Pearson Prentice-Hall 2010 Connections have distinct states or stages Different states are subject to different attacks Stateful firewalls use different filtering rules for different states 24 Connection Opening State Connection Opening State Ongoing Communication State Ongoing Communication State Connection Closing State Connection Closing State
25
Copyright Pearson Prentice-Hall 2010 Bağlantıların ayrı durumları veya aşamaları var Farklı durumlarıfarklı saldırılara maruz kalır Stateful güvenlik duvarları farklı ülkeler için farklı filtreleme kuralları kullanır 25 Connection Opening State Connection Opening State Ongoing Communication State Ongoing Communication State Connection Closing State Connection Closing State
26
Copyright Pearson Prentice-Hall 2010 26
27
Copyright Pearson Prentice-Hall 2010 27
28
Copyright Pearson Prentice-Hall 2010 28
29
Copyright Pearson Prentice-Hall 2010 29 PortPrimary Protocol* Application 20TCPFTP Data Traffic 21TCPFTP Supervisory Connection 22TCPSecure Shell (SSH) 23TCPTelnet 25TCPSimple Mail Transfer Protocol (SMTP) 53TCPDomain Name System (DNS) Typically, applications use of either TCP or UDP However, in some cases both TCP and UDP can be used - in such cases, the same port number is used for both
30
Copyright Pearson Prentice-Hall 2010 30 PortPrimary Protocol* Application 20TCPFTP Data Traffic 21TCPFTP Supervisory Connection 22TCPSecure Shell (SSH) 23TCPTelnet 25TCPSimple Mail Transfer Protocol (SMTP) 53TCPDomain Name System (DNS) tipik olarak, uygulamalar TCP veya UDP kullanır bazı durumlarda ikiside beraber kullanılabilir - bazı durumlarda aynı port numarası ikisinide kullanır
31
Copyright Pearson Prentice-Hall 2010 31 PortPrimary Protocol Application 69UDPTrivial File Transfer Protocol (TFTP) 80TCPHypertext Transfer Protocol (HTTP) 110TCPPost Office Protocol (POP) 135-139TCPNETBIOS service for peer-to-peer file sharing in older versions of Windows 143TCPInternet Message Access Protocol (IMAP) 161UDPSimple Network Management Protocol (SNMP) 443TCPHTTP over SSL/TLS
32
Copyright Pearson Prentice-Hall 2010 32 PortPrimary Protocol Application 69UDPTrivial File Transfer Protocol (TFTP) 80TCPHypertext Transfer Protocol (HTTP) 110TCPPost Office Protocol (POP) 135-139TCPNETBIOS service for peer-to-peer file sharing in older versions of Windows 143TCPInternet Message Access Protocol (IMAP) 161UDPSimple Network Management Protocol (SNMP) 443TCPHTTP over SSL/TLS
33
Copyright Pearson Prentice-Hall 2010 Access Control List (ACL) Operation ◦ An ACL is a series of rules for allowing or disallowing connections ◦ The rules are executed in order beginning with the first If a rule DOES NOT apply to the connection, the firewall goes to the next ACL rule If the rule DOES apply, the firewall follows the rule, no further rules are executed If the firewall reaches the last rule in the ACL, it follows that rule 33
34
Copyright Pearson Prentice-Hall 2010 Access Control List (ACL) Operasyonu ◦ ACL izin veya izin verilmeyen bağlantılar için bir dizi kurallardır ◦ Kurallar sırayla çalıştırılır İlkiyle başlatılır Eğer bir kural bağlantıyı kabul etmezse Güvenlik duvarı ikinci ACL kuralına geçer Eper kural kabul ederse, Güvenlik duvarı kuralı takip eder, daha kural çalıştırılmaz Eğer son kurala ulaşıldıysa, Bu kural takip edilir 34
35
Copyright Pearson Prentice-Hall 2010 Ingress ACL’s Purpose ◦ The default behavior is to drop all attempts to open a connection from the outside (external) ◦ All ACL rules except for the last give exceptions to the default behavior under specified circumstances ◦ The last rule applies the default behavior to all connection opening attempts that are not allowed by earlier rules are executed by this last rule 35
36
Copyright Pearson Prentice-Hall 2010 Girşi ACL’nin amacı ◦ Varsayılan davranış dışarıdan açılan bütün bağlantı girişimleri düşürmektir. ◦ All ACL rules except for the last give exceptions to the default behavior under specified circumstances ◦ Son kural tüm bağlantı için varsayılan davranışı uygular önceki kurallar tarafından izin verilmeyen açma girişimleri bu son kural tarafından yürütülür 36
37
Copyright Pearson Prentice-Hall 2010 Simple Ingress ACL with Three Rules ◦ 1. If TCP destination port = 80 or TCP destination port = 443, then Allow Connection [Permits connection to ALL internal webservers] ◦ 2. If TCP destination port = 25 AND IP destination address = 60.47.3.35, then Allow Connection [Permits connections to A SINGLE internal mail server] ◦ 3. Disallow ALL Connections [Disallows all other externally initiated connections; this is the default behavior] 37
38
Copyright Pearson Prentice-Hall 2010 Üç kurallı basit giriş ACL ◦ 1. TCP hedef port = 80 ya da TCP hedef bağlantı port = 443, sonra Bağlantıya izin ver [TÜM iç webserverlarda için bağlantı izini] ◦ 2. TCP hedef bağlantı noktası = 25 VE IP hedef adresi = 60.47.3.35, Bağlantıya izin ver [TEK iç posta sunucusuna bağlantı izini] ◦ 3. TÜM Bağlantıları engelle [tüm diğer dıştan başlatılan bağlantıları engelle, bu varsayılan davranıştır] 38
39
39
40
Copyright Pearson Prentice-Hall 2010 40
41
41
42
Copyright Pearson Prentice-Hall 2010 42
43
Copyright Pearson Prentice-Hall 2010 43
44
Copyright Pearson Prentice-Hall 2010 Protections for Internal Clients against Malicious Webservers ◦ URL blacklists for known attack sites ◦ Protection against some or all scripts in webpages ◦ The disallowing of HTTP response messages with prohibited MIME types that indicate malware Protections against Misbehaving Internal Clients ◦ Disallowing the HTTP POST method which can be use to send out sensitive files Protections for Internal Webservers against Malicious Clients ◦ Disallow HTTP POST methods, which could allow malware files to be placed on the server ◦ Indications of SQL injection attacks 44
45
Copyright Pearson Prentice-Hall 2010 Kötü niyetli webserverlara karşı İç Müşteriler için Korumalar ◦ Bilinen saldırı siteleri için URL karalistesi ◦ web sayfaların bazı kısımları veya tüm scriptlerine karşı koruma ◦ The disallowing of HTTP response messages with prohibited MIME types that indicate malware İstenmeyen davranışlı iç Müşteriler karşısında Korumalar ◦ HTTP POST yöntemine izin vermemek, hassas dosyaları göndermek için hangileri kullanılmış olabilir Kötü niyetli istemcilere karşı İç webserverlar için Koruma ◦ Serverdaki kötü niyetli dosyalara izin veren HTTP POST methodlarını engelle ◦ SQL enjeksiyon saldırılarını içerir 45
46
Copyright Pearson Prentice-Hall 2010 Automatic Protections ◦ Hiding of internal host IP addresses from “sniffers” ◦ Header destruction Data link, internet, and transport headers are discarded ◦ Protocol fidelity If the client or server does not follow the protocol of the indicated port number, communication with the firewall automatically breaks down 46
47
Copyright Pearson Prentice-Hall 2010 Otomatik Koruma ◦ "izleyiciler“ den iç bilgisayar IP adreslerinin gizlenmesi ◦ Başlıkların yokedilmesi Veri bağlantı, internet ve ulaşım başlıkları atılır ◦ Protocol fidelity istemci veya sunucu belirtilen port numarasının protokol ünütakip etmezse, güvenlik duvarı ile iletişimi otomatik olarak ayırır 47
48
Intrusion Detection Systems and Intrusion Prevention Systems 48
49
Copyright Pearson Prentice-Hall 2010 Intrusion Detection Systems (IDSs) ◦ Firewalls drop provable attack packets only ◦ Intrusion detection systems (IDSs) look for suspicious traffic Does not drop because the packet is suspicious Sends an alarm message if the attack appears to be serious 49
50
Copyright Pearson Prentice-Hall 2010 Saldırı Tespit Sistemleri (IDSs) ◦ Güvenlik duvarları kanıtlanabilir saldırı paketleri sadece düşürür ◦ Saldırı tespit sistemleri (IDS 'lere) şüpheli trafik ararlar Düşürmez paketi çünkü paket şüpheli bir alarm mesajı gönderir saldırı ciddi olarak görünüyorsa 50
51
Copyright Pearson Prentice-Hall 2010 Intrusion Detection Systems (IDSs) ◦ Problem: If too many false positives (false alarms) Alarms are ignored or the system is discontinued Can reduce false positives by tuning the IDSs Eliminate inapplicable rules Reduce the number of rules allowed to generate alarms Most alarms will still be false alarms 51
52
Copyright Pearson Prentice-Hall 2010 Saldırı Tespit Sistemleri (IDSs) ◦ Sorun: Eğer çok fazla yanlış pozitif (yanlış alarm) Alarmlar göz ardı edilir veya sistem kesilir Yanlış pozitif ler azaltılabilir IDSs lere ayar yapılarak uygulanamaz kuralları ortadan kaldırmak Alarm oluşturmaya izin veren kuralların sayısını azaltın Pek çok alarm hala yanlış alaramdır 52
53
Copyright Pearson Prentice-Hall 2010 Intrusion Detection Systems (IDSs) ◦ Problem: Heavy processing requirements because of sophisticated filtering Deep packet inspection Looks at application content, transport and internet headers Packet stream analysis Looks at patterns across a series of packets 53
54
Copyright Pearson Prentice-Hall 2010 Saldırı Tespit Sistemleri(IDSs) ◦ Sorun: sofistike filtrelemeden dolayı Ağır işleme gereksinimleri Derin paket inceleme Uygulama içerik, ulaşım ve internet başlıkları bakar Paket akışı analizi Bir dizi Paketlerin içinden “desen” bakar 54
55
Copyright Pearson Prentice-Hall 2010 Intrusion Prevention Systems (IPSs) ◦ Attack confidence identification spectrum Somewhat likely Very likely Provable ◦ May allow firewall to stop traffic at the high end of the attack confidence spectrum Decides which attacks to stop This allows it to manage its risks 55
56
Copyright Pearson Prentice-Hall 2010 Saldırı Önleme Sistemleri(IPSs) ◦ Saldırı güvenli kimlik spektrumu Biraz olasılıkla Büyük olasılıkla Kanıtlanabilir ◦ Saldırı güvenlik spektrumunun en üst sonunda güvenlik duvarının trafiği durdurmasına izin verebilir Hangi saldırının durdurulacağına karar verir Bu riskleri yönetmek için izin verir 56
57
Copyright Pearson Prentice-Hall 2010 Possible Actions ◦ Droping packets Risky for suspicious traffic even with high confidence ◦ Bandwidth limitation for certain types of traffic ◦ Limit to a certain percentage of all traffic Less risky than dropping packets Useful when confidence is lower 57
58
Copyright Pearson Prentice-Hall 2010 Mümkün Eylemler ◦ Paketlerin düşürülmesi Yüksek güvende bile şüpheli trafik riskli ◦ Belirli Trafik türleri için Bayt sınırlama ◦ belli bir yüzdedeki tüm trafik için Limit Paketleri düşürmekten daha riskli Güven az olduğunda kullanışlıdır 58
59
59
60
Copyright Pearson Prentice-Hall 2010 60 Traditional Firewalls Do Not Do Antivirus Filtering They Pass Files Needing Filtering to an Antivirus Server
61
Copyright Pearson Prentice-Hall 2010 61 Geleneksel Firewalllar Antivirus Filtreleme Yapmaz Dosyaları Antivirüs sunucya filtrelenmek için gönderir
62
Copyright Pearson Prentice-Hall 2010 Unified Threat Management (UTM) Firewalls Go Beyond Traditional Firewall Filtering ◦ SPI ◦ VPNs ◦ DoS Protection ◦ NAT ◦ Antivirus Filtering 62
63
Copyright Pearson Prentice-Hall 2010 Birleştirilmiş Tehdit Yönetimi(UTM) güvenlik duvarları geleneksel güvenlik duvarlarının ötesine geçer ◦ SPI ◦ VPNs ◦ DoS Koruması ◦ NAT ◦ Antivirüs Filtreleme 63
64
64
65
Copyright Pearson Prentice-Hall 2010 Perspective ◦ Done by most main border firewalls ◦ DOS attacks are easy to detect but difficult to stop because their traffic looks like legitimate packets 65
66
Copyright Pearson Prentice-Hall 2010 Perspektif ◦ en temel sınır güvenlik duvarları tarafından yapılır ◦ DOS saldırıları tespit etmek kolay ama durdurmak zor çünkü onların trafiği doğru (meşru) paketleri gibi görünüyor 66
67
Copyright Pearson Prentice-Hall 2010 TCP Half-Opening Attacks ◦ Attacks Attacker sends a TCP SYN segment to a port The application program sends back a SYN/ACK segment and sets aside resources The attacker never sends back an ACK so the victim keeps the resources reserved The victim soon runs out of resources and crashes or can no longer serve legitimate traffic 67 SYN SYN/ ACK No ACK SYN
68
Copyright Pearson Prentice-Hall 2010 TCP Yarım-Açılış Saldırıları ◦ Saldırılar Saldırgan, bir porta bir TCP SYN gönderir uygulama programı geri SYN / ACK segmenti gönderir ve kaynakları bir kenara toplar Saldırgan, hiç bir zaman ACK geri göndermez kurban kaynakları ayrılmış olarak tutar kurbanın yakında kaynakları tükenir ve çöker ya da artık doğru trafik hizmeti veremez 68 SYN SYN/ ACK No ACK SYN
69
Copyright Pearson Prentice-Hall 2010 TCP Half- Opening Attacks ◦ Defenses Firewall intercepts the SYN from an external host Firewall sends back an SYN/ACK without passing the segment on to the target host Only if the firewall receives a timely ACK, then it send the original SYN the destination host 69 SYN SYN/ ACK No ACK
70
Copyright Pearson Prentice-Hall 2010 TCP Yarım-Açılış Saldırıları ◦ Savunma Firewall harici bir bilgisayardan SYN engeller Güvenlik duvarı hedef üzerine geçmeden geri bir SYN / ACK gönderir Sadece eğer güvenlik duvarı zamanlı ACK alırsa, o zaman orijinal SYN hedef host’a gönderir 70 SYN SYN/ ACK No ACK
71
Copyright Pearson Prentice-Hall 2010 Rate Limiting ◦ Set a limit on all traffic to a server both legitimate and DoS attack packets ◦ Keeps the entire network from being overloaded DoS Protection Is a Community Problem ◦ If an organization cannot solve the problem itself, its ISP or other upstream agencies must help 71
72
Copyright Pearson Prentice-Hall 2010 Oranı Sınırlama ◦ Bir sunucuya tüm trafiği üzerinde ayarlama sınırı hem uygun hemde DoS saldırısı paketleri ◦ Aşırı yüklenmeden korur tüm ağı DoS Koruma Toplum Sorun mu ◦ Bir organizasyon sorunu kendisi çözemezse, kendi ISP veya diğer upstream kuruluşları yardımcı olmalıdır 72
73
73
74
Copyright Pearson Prentice-Hall 2010 74
75
Copyright Pearson Prentice-Hall 2010 DMZs Use Tri-Homed Main Firewalls ◦ One subnet to the border router ◦ One subnet to the DMZ ◦ accessible to the outside world ◦ One subnet to the internal network Access from the internal subnet to the Internet is nonexistent or minimal Access from the internal subnet to the DMZ is also strongly controlled 75 DMZ Internal Network Internal Network Border Router Border Router
76
Copyright Pearson Prentice-Hall 2010 DMZs Üç girişli Ana Firewall kullanır ◦ bir alt küme sınır yönlendirici ◦ bir alt küme DMZ ‘ ye ◦ dış dünya ya erişilebilir ◦ bir alt küme iç ağa İç altağdan internete erişim yoktur veya çok azfır İç altağdan DMZ ye erişim çok güçlü kontrol edilir 76 DMZ Internal Network Internal Network Border Router Border Router
77
Copyright Pearson Prentice-Hall 2010 Demilitarized Zone (DMZ) ◦ Subnet for servers and application proxy firewalls accessible via the Internet ◦ Hosts in the DMZ must be especially hardened because they will be accessible to attackers on the Internet 77
78
Copyright Pearson Prentice-Hall 2010 Demilitarized Zone (DMZ) ◦ Suncuların alt ağları ve uygulama proxy firewall ları internete erişebilir ◦ DMZ deki makinalar güçlendirilmeldir çünkü internette saldırganlar tarafında erişilebilirlerdir 78
79
Copyright Pearson Prentice-Hall 2010 Hosts in the DMZ ◦ Public servers (public webservers, FTP servers, etc.) ◦ Application proxy firewalls require all Internet traffic to pass through the DMZ ◦ External DNS server that knows only host names in the DMZ 79
80
Copyright Pearson Prentice-Hall 2010 DMZ deki makinalar ◦ Public servers (public webservers, FTP servers, etc.) ◦ Uygulama proxy firewalls DMZ üzerinden geçen bütün trafiğe ihtiyaç duyar ◦ Harici DNS server sadece DMZ deki host ların isimlerini bilir 80
81
81
82
Copyright Pearson Prentice-Hall 2010 Firewalls Are Ineffective Without Planning Defining Firewall Policies ◦ Policies are high-level statements about what to do E.g., HTTP connections from the Internet may only go to servers in the DMZ ◦ Policies are more comprehensible than actual firewall rules ◦ There may be multiple ways to implement a policy ◦ Defining policies (instead of specific rules) gives implementers freedom to choose the best way to implement a policy 82
83
Copyright Pearson Prentice-Hall 2010 Güvenlik duvarları Planlama olmadan Etkisiz dir Güvenlik duvarı Politikaları tanımlama ◦ Politikaları ne yapılacağı hakkında ne üst düzey açıklamalardır E.g., Örneğin, Internet'ten HTTP bağlantıları yalnızca DMZ sunucularda gidebilir ◦ Politikalar gerçek güvenlik duvarı kurallarından daha anlaşılır ◦ Bir politika uygulamak için birden fazla yol olabilir ◦ Politikaları tanımlamak (özel kurallar yerine) bir politika uygulamak için en iyi yolu seçmek için uygulayıcıya özgürlük verir 83
84
Copyright Pearson Prentice-Hall 2010 Implementation ◦ Firewall hardening Firewall appliances are hardened at the manufacturer Vendors sell software plus a server with a pre- hardened operating system (OS) Firewall software on a general-purpose computer requires the most on-site hardening 84
85
Copyright Pearson Prentice-Hall 2010 Uygulama ◦ Güvenlik duvarı güçlendirme Güvenlik duvarı cihazları üretici de güçlendirilir Satıcılar bir ön güçlendirme işletim sistemi (OS) ile bir sunucu yazılım satar Genel amaçlı bir bilgisayarda güvenlik duvarı yazılımı en yerinde güçlendirmleri yapılması gerekir 85
86
Copyright Pearson Prentice-Hall 2010 Implementation ◦ Central firewall management systems Creates a policy database Changes policies into ACL rules Sends ACL rules out to individual firewalls 86 Policy Server Firewall Administrator Policy ACL Rule
87
Copyright Pearson Prentice-Hall 2010 Uygulama ◦ Merkezi güvenlik duvarı yönetim sistemleri Bir politika veritabanı oluşturur ACL kurallarında politikaları değiştirir bireysel güvenlik duvarları için ACL kuralları gönderir 87 Policy Server Firewall Administrator Policy ACL Rule
88
Copyright Pearson Prentice-Hall 2010 Implementation ◦ Reading the firewall logs Should be done frequently Strategy is to find unusual traffic patterns Top ten source IP addresses whose packets were dropped Number of DNS failures today versus in an average day 88
89
Copyright Pearson Prentice-Hall 2010 Uygulama ◦ güvenlik duvarı günlükleri okunur Sık sık yapılmalı Strateji, alışılmadık trafik modelleri bulmaktır düşen paketlerin ilk on kaynak IP adresleri DNS başarısızlıklarının günlük ortalama sayısı 89
90
Copyright Pearson Prentice-Hall 2010 90 PolicySourceDestinationServiceActionTrackFirewalls 1InternalDNS Servers UDP dnsPassNoneAll 2ExternalInternalTCP httpDropLogAll 3ExternalDMZ webserver TCP httpPassNoneBorder 4InternalExternalTCP httpPassLogBorder 5InternalExternalICMPDropNoneBorder 6InternalMail ServerTCP smtpAuthenticateLog if Fail Central 7MarketingPlans Server TCP httpAuthenticateAlert if Fail Marketing 8AnyPlans Server TCP httpDropLogMarketing 9Any DropLogAll
91
Copyright Pearson Prentice-Hall 2010 91 IDTimeRuleSource IPDestination IPService 115:34:005Echo Probe14.17.3.13960.3.87.6ICMP 215:34:007Echo Probe14.17.3.13960.3.87.7ICMP 315:34:008Forbidden Webserver Access 128.171.17.360.17.14.8HTTP 415:34:012External Access to Internal FTP Server 14.8.23.9660.8.123.56FTP 515:34:015Echo Probe14.17.3.13960.3.87.8ICMP 615:34:020External Access to Internal FTP Server 128.171.17.3460.19.8.20FTP 715:34:021Echo Probe1.124.82.660.14.42.68ICMP 815:34:023External Access to Internal FTP Server 14.17.3.13924.65.56.97FTP 915:34:040External Access to Internal FTP Server 14.17.3.13960.8.123.56FTP
92
Copyright Pearson Prentice-Hall 2010 92 IDTimeRuleSource IPDestination IPService 1015:34:047Forbidden Webserver Access 128.171.17.360.17.14.8HTTP 1115:34:048Echo Probe14.17.3.13960.3.87.9ICMP 1215:34:057Echo Probe1.30.7.4560.32.29.102ICMP 1315:34:061External Packet with Private IP Source Address 10.17.3.13960.32.29.102ICMP 1415:34:061External Access to Internal FTP Server 1.32.6.1860.8.123.56FTP 1515:34:062Echo Probe14.17.3.13960.3.87.10ICMP 1615:34:063Insufficient Capacity1.32.23.860.3.12.47DNS 1715:34:064Echo Probe14.17.3.13960.3.87.11ICMP 1815:34:065Forbidden Webserver Access 128.171.17.360.17.14.8HTTP
93
Death of the Perimeter The Need for Anomaly Detection 93
94
Copyright Pearson Prentice-Hall 2010 Protecting the Perimeter Is No Longer Possible ◦ There are too many ways to get through the perimeter ◦ Internal attackers are inside the firewall already ◦ Compromised internal hosts are inside the firewall ◦ Hackers enter through wireless access points that are inside the site ◦ Home notebooks, mobile phones, and media brought into the site 94
95
Copyright Pearson Prentice-Hall 2010 Çevre Koruma Artık Mümkün değil ◦ Çevrenin üstesinden gelmek için çok fazla yol vardır ◦ Iç saldırganlar zaten güvenlik duvarı içinde ◦ Tehlikeli host lar güvenlik duvarı içinde ◦ Hackerlar içeriye kablosuz erişim noktaları aracılığıyla girer ◦ Home notebooks, mobile phones, and media brought into the site 95
96
Copyright Pearson Prentice-Hall 2010 Extending the Perimeter ◦ Remote employees can be given access ◦ Consultants, outsourcers, customers, suppliers, and other subsidiaries must be given access ◦ Essentially, all of these tend to use VPNs to make external parties “internal” to your site 96
97
Copyright Pearson Prentice-Hall 2010 Çevreyi genişletme ◦ Uzaktan çalışanlara erişim verilebilir ◦ Danışmanlaı, işverenlee, müşteriler, tedarikçilei ve diğer iştiraklere erişim verilmelidir ◦ Esasen, tüm site harici partileri “dahili" yapmak için VPN'ler kullanımına gidilir 97
98
Copyright Pearson Prentice-Hall 2010 Most Filtering Methods Use Attack Signature Detection ◦ Each attack has a signature ◦ This attack signature is discovered ◦ The attack signature is added to the firewall ◦ But zero-day attacks are attacks without warning, since it occur before a signature is developed ◦ Signature defense cannot stop zero-day attacks 98
99
Copyright Pearson Prentice-Hall 2010 En fazla Filtreleme Yöntemleri Saldırı İmza Algılama kullanır ◦ Her saldırı bir imzaya sahip ◦ Bu saldırı imzası keşfedilir ◦ Saldırı imzası güvenlik duvarına eklenir ◦ Fakat zero-day saldırıları uyarı içermeyen saldırılardır, çünkü bir imza geliştirmeden önce oluşur ◦ İmza savunmaSI zero-day saldırıalrını durdurmaz 99
100
Copyright Pearson Prentice-Hall 2010 Anomaly Detection ◦ Detects an unusual pattern indicating a possible attack ◦ This is difficult, so there are many false positives ◦ Shrinking time needed to define signatures ◦ Anomaly detection is necessary in today’s firewalls 100
101
Copyright Pearson Prentice-Hall 2010 Anomaly Detection ◦ Olası bir saldırıyı gösteren bir model tespit eder ◦ Bu zor, böylece bu kadar çok yanlış oluşur ◦ Daralan zaman imza tanımlamak için gerekli ◦ Sapma tespiti bugünün güvenlik duvarı için gereklidir 101
Benzer bir sunumlar
© 2024 SlidePlayer.biz.tr Inc.
All rights reserved.