)شتآ هراوید( لاوریاف : سردce.sharif.edu/courses/94-95/1/ce442-1/resources/... ·...
TRANSCRIPT
امنیت داده و شبکه محمد صادق دوستی
صنعتی شریف دانشگاه آزمایشگاه امنیت داده و شبکه دانشکده مهندسی کامپیوتر
محمد صادق دوستی
http://dnsl.ce.sharif.edu
(دیواره آتش)فایروال : 12درس
1 / 27
امنیت داده و شبکه محمد صادق دوستی
فهرست مطالب
مقدمه
فایروالویژگیهای
فایروالهاانواع
2 / 27
امنیت داده و شبکه محمد صادق دوستی
مقدمه
ای گسترش ارتباطات شبکه
نیاز به استفاده از زیرساخت اینترنت توسط هر فرد
های مختلف ایجاد تعامل بین شبکه
مشکل بودن ایجاد امنیت در هر سیستم درون سازمانی
نیاز به یک الیه دفاعی جلوی جبهه با استفاده از فایروال
فایروال به عنوان بخشی از استراتژی کلی تامین امنیت است.
3 / 27
امنیت داده و شبکه محمد صادق دوستی
فایروال چیست؟
نقطه کنترل و نظارت شبکه
با سطوح اعتماد مختلف با یکدیگر ها شبکهامکان اتصال
ترافیک گذرنده از داخل به خارج و برعکس، باید از داخل فاایروال
.عبور کند
شابکه سیاسات هاای تنها اطالعات و اشخاص مجاز، باا توجاه باه
.محلی، می توانند از فایروال عبور کنند
با استفاده از )فایروال خود باید در مقابل نفوذ امن باشدtrusted
system.)
4 / 27
امنیت داده و شبکه محمد صادق دوستی
تجاری فایروالهایهای فراهم شده توسط سرویس
هاای امکان بازرسی و کنترل دسترسی به شبکه و منابع و سرویس
آن
امکان ثبت جریان ترافیک
ها پاالیش بر اساس محتوای بسته
سازی ترجمه نشانی فراهمNAT و نظارت بر استفاده
سازی شبکه خصوصی مجازی پیاده(VPN ) مبتنی برIPsec
5 / 27
امنیت داده و شبکه محمد صادق دوستی
فهرست مطالب
مقدمه
فایروال ویژگی های
فایروالهاانواع
6 / 27
امنیت داده و شبکه محمد صادق دوستی
سازوکارهای کنترلی در فایروال
Service Control
قابل دسترسی هستند سرویس هاییچه.
Direction Control
درخواست به یک سرویس از کدام سمت می تواناد ارساال و پاسا
.داده شود
User Control
درخواست کنندهکنترل دسترسی به سرویس بر اساس شخص
7 / 27
امنیت داده و شبکه محمد صادق دوستی
محدودیتهای فایروال
با حمالت زیر مقابله کنند نمی توانند فایروال ها:
نمی کنندحمالتی که ترافیک آنها از فایروال عبور.
ADSLیا Dial-upاتصال کارکنان از طریق مودم •
خطرات داخلی
!کارمندان ناراضی یا ساده لوح•
اجرایی مخرب فایل هایو ویروس هاممانعت کامل از انتقال
مورد پشتیبانی آنها فایل هایو انواع عامل هابا توجه به تنوع سیستم •
ترافیک رمز شده
8 / 27
امنیت داده و شبکه محمد صادق دوستی
فهرست مطالب
مقدمه
فایروالویژگیهای
فایروال هاانواع
9 / 27
27 / 10 امنیت داده و شبکه محمد صادق دوستی
انواع فایروال ها
فایروال شخصی(Personal :) روی یک میزبان نصب می شاود، و .ترافیک شبکه ورودی و خروجی به آن را کنترل می کند
مثال :iptables وWindows Firewall
قادر است به ترافیاک نهاایی کاه روی میزباان رمزگشاایی : مزیت .می شود دسترسی داشته باشد
دید محدودی نسبت به شبکه دارد: اشکال.
و ورودی ترافیاک در بخشی از شبکه نصب شاده و : فایروال شبکه .را کنترل می کند شبکهآن بخش از خروجی به
مثال :ASA سیسکو ،pfsense
27 / 11 امنیت داده و شبکه محمد صادق دوستی
وسیسک ASA: مثال
27 / 12 امنیت داده و شبکه محمد صادق دوستی
فایروال در شبکه جایدهی
DMZ: Demilitarized Zone
امنیت داده و شبکه محمد صادق دوستی
Packet Filter
مبنای کلیه سیستم های فایروال است.
هر بستهIP و بر اساس قواعاد ( صرف نظر از محتوا)را چک کرده
:امنیتی درباره عبور آن تصمیم می گیرد
اجازه عبور :Permit
ممانعت از عبور :Deny
سرآیندقواعد بر اساس IP و الیاه انتقاال(TCP/UDP/… )
.تعریف می شوند
است اِعمالپاالیش در هر دو جهت قابل. 13 / 27
امنیت داده و شبکه محمد صادق دوستی
Packet Filter
(.پورت هابا استفاده از )قابل کنترل است سرویس هادسترسی به
سادگی و پنهانی از دید کاربران: مزیت
ضعف :
عدم پشتیبانی از تصدیق هویت
اعمال قواعد متناسب با برنامه مشکل است.
می تواند وجود داشته باشد پیش فرضدو سیاست:
Discard / Block =هر آنچه که صریحاً اجازه داده نشده، غیرمجاز است.
Forward / Allow =هر آنچه که صریحاً ممنوع نشده، مجاز است.
14 / 27
امنیت داده و شبکه محمد صادق دوستی
Packet Filterروش پاالیش بسته در
نوع پروتکل(IP ،TCP ،ICMP ،)...
نشانیIP مبدأ و مقصد
مبدأ و مقصد پورت
هااای پاارچم)حالاات ارتبااا SYN ،ACK یاااRST درTCP ،
Related ،Established)
فعال کردن سرویس در یک بازه زمانی خاص: زمان
خروجی /واسط ورودی(eth0 ،eth1)
15 / 27
امنیت داده و شبکه محمد صادق دوستی
1مثال
اعمال می شوند به واسط ورودیو باال به پایینقواعد از :توضیح.
ورودی از ایمیل هایENEMY (1.2.3.* )مسدود می شوند.
ورودی ایمیاال هااای(از 25 پااورتSMTP ) فقااط ماای تواننااد بااه
.فرستاده شوندSMTP_GW (213.233.161.* )میزبان
A
action ourhost port theirhost port comment
block * 25 ENEMY * we don't trust these people
allow SMTP_GW 25 * * connection to our SMTP port
16 / 27
امنیت داده و شبکه محمد صادق دوستی
2مثال
بیان سیاست پیش فرض(default = deny.)
این قاعده به صورت صریح در انتهای مجموعه قواعد می آید.
B action ourhost port theirhost port comment
block * * * * default
17 / 27
امنیت داده و شبکه محمد صادق دوستی
3مثال
هر گره از داخل شبکه می تواند به بیارون از شابکه ایمیال ارساال
.کند
اعمال می شود خروجیواسط به این قاعده.
ممکن است بجای سرویس ایمیال، سارویس دیگاری روی : مشکل
می تواند بسته ای نفوذگردر این صورت . قرار گرفته باشد 25 پورت
!را به هر ماشین در داخل شبکه ارسال کند 25مبدأ پورتبا
C action ourhost port theirhost port comment
allow * * * 25 connection to their SMTP port
18 / 27
امنیت داده و شبکه محمد صادق دوستی
4مثال
میزباان ماشاین هاای که مبدأ آنهاا متعلاق باه لیسات هاییبسته
. باشند، اجازه عبور دارند TCPاز 25 پورتداخلی و مقصد آنها،
از 25مقصد پورتبسته های ورودی باTCP ،اجازه عباور دارناد
. آنها روشن باشد ACKبه شرطی که پرچم
پرچمACK از طارف مقابال در تأییاد هاا بستهکه کند میتأیید
.رسیده اندارسالی های بسته
D
action src port dest port flags comment
allow {our hosts} * * 25 our packets to their SMTP port
allow * 25 * * ACK their replies
19 / 27
امنیت داده و شبکه محمد صادق دوستی
Packet Filter – 1حمالت وارده به
جعل نشانیIP: فرستادن بسته از خاارج باا نشاانی مبادأ داخلای
مبدأ IPکه صرفاً نشانی سرویس هاییبا هدف دسترسی به )جعلی
(.را برای دسترسی کنترل می نمایند
فایروالهاانسداد بسته های فوق توسط : راه حل.
فرستنده، مسیر انتقال بسته را مشخص و همراه : از مبدأ مسیردهی
گزینااه . )زنااد ماایآن ماای فرسااتد و باادین ترتیااب فااایروال را دور
source routing سرآینددر IP.)
مسیریابهاانسداد بسته های حاوی اطالعات مسیر توسط : راه حل.
20 / 27
امنیت داده و شبکه محمد صادق دوستی
Packet Filter – 2حمالت وارده به
بسته هایIP بسته اصلی در بساته هاای سرآیند: شده قطعه قطعه
.کوچکتر شکسته می شود
انسداد بسته های کوچکی که گزینه تقسایم : راه حلIP آنهااset
.شده است و یا ابتدا بازسازی بسته اصلی و سپس کنترل آن
21 / 27
امنیت داده و شبکه محمد صادق دوستی
(Stateful) حالتمند های فایروال
SPI: Stateful Packet Inspection
آنها نیست سرآیندوارسی بسته ها فقط منحصر به اطالعات.
هر بسته بخشی از یک اتصال است، و باید درcontext آن اتصال
.وارسی شود
کارگزار موجود در : 1مثالDMZ حق ندارد شروع کننده اتصاال
به بیرون باشد، و فقط حق دارد به اتصالی که از بیرون برقرار شاده
.پاس دهد
2مثال: FTP در حالتActive
22 / 27
امنیت داده و شبکه محمد صادق دوستی
های حالتمند فایروال
نمایند اطالعات مربو به اتصاالت برقرار شده را نگهداری می.
23 / 27
Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1541 127.0.0.1:5354 ESTABLISHED
UDP 127.0.0.1:1542 127.0.0.1:5354 ESTABLISHED
UDP 127.0.0.1:1570 127.0.0.1:15485 ESTABLISHED
TCP 127.0.0.1:1576 127.0.0.1:27015 ESTABLISHED
TCP 127.0.0.1:5555 127.0.0.1:14181 TIME_WAIT
TCP 192.168.1.4:14198 74.125.71.19:443 TIME_WAIT
TCP 192.168.1.4:14199 74.125.71.99:443 TIME_WAIT
27 / 24 امنیت داده و شبکه محمد صادق دوستی
در شبکه حالتمندفایروال جایدهی
27 / 25 امنیت داده و شبکه محمد صادق دوستی
در شبکه حالتمندفایروال دیگر جایدهی
:جایدهیعلل استفاده از این فااایروال فقااط دو واسااط
.شبکه دارد فااااااایروال رفیاااااات
(Throughput ) .کافی را ندارد
دفاع چند الیه
27 / 26 امنیت داده و شبکه محمد صادق دوستی
فایروال الیه کاربرد
از نوع فایروالهایPacket Filter تنها می توانند بساته هاا را در .الیه شبکه و انتقال وارسی کنند
امروزه الزم است حمالت در سطح الیه کاربرد نیز وارسی شود.
خاص یک یا چند پروتکل الیه کاربرد فایروالهاییایجاد
کاربردفایروال الیه انواع معروف:
Web Application Firewall ( یاWAF :) شامل قوانینی SQL Injectionیا XSSبرای جلوگیری از حمالتی نظیر
NGINXو IISوب آپاچی، کارگزارهایبرای ModSecurity: مثال•
DB Firewall
امنیت داده و شبکه محمد صادق دوستی
پایان
:صفحه درس
/1-442/ce1/95-94http://ce.sharif.edu/courses/
16الی 15 شنبه ها :مراجعه حضوری جهت رفع اشکال
(جنب آسانسور شیشه ایطبقه پنجم دانشکده، درب )
یا در زمانهای دیگر با قرار قبلی
dousti@ce :یا به وسیله رایانامه
27 / 27