Strona 1 z 2 12 OstatniOstatni
Pokaż wyniki 1 do 10 z 11

Temat: firewall - jakie warstwy, jakie ataki - zabezpieczenie

  1. #1
    Zarejestrowany
    Aug 2007
    Postów
    104

    Domyślnie firewall - jakie warstwy, jakie ataki - zabezpieczenie

    Witam,

    mam nadzieje, ze dobry dzial wybralem na moj post. Zwracam sie do was z zapytanie i prosba o rozszerzenie wiedzy dotyczacej firewalla.
    Otóz interesuje mnie to przed jakimi atakami moze pomoc w zabezpieczeniu sieci (pojedynczej stacji roboczej) dobrze skonfigurowany firewall (czy to sprzetowy czy programowy). Ponizej zamieszczam z mojego punktu widzenia najpopularniejsze i podstawowe schematy atakow - chcialbym, zebyscie uzupelnili w kazdej warstwie pominiete przeze mnie inne możliwosci (czyli moje braki wiedzy)

    warstwa 2
    -atak na tablicę MAC (rozwiązanie: port security)
    -atak na protokół ARP (przechwytanie haseł w ruchu: FTP, Telnet, SMTP, -HTTP, POP; rozwiązanie Dynamic ARP Inspection)
    -MAC spoofing
    -DHCP spoofing - rozwiazanie DHCP snooping
    -Spanning Tree – BPDU Guard, BPDU Filter

    warstwa 3
    -pingflood
    -Land
    -smurf attack
    -ip fragmentation
    -low TTL values
    -DDos attack
    -IP spoofing
    -IGMP attack

    rozwiazania:
    -uRPF
    -szyfrowanie MD5, GTSM
    -filtrowanie prefiksów

    warstwa 4
    -skanowanie portów
    -TCP Sequence Prediction Attacks
    -Port Sweeps
    -SYN floods

    rozwiazanie: firewalle programowe

    warstwa 7
    -SQL injection
    -XSS attack (Cross-Site Scripting)
    -Snort Signatures
    -Buffer Overflow Exploits
    -Phishing

    w tej warstwie wydaje mi sie, ze dochodzą jeszcze robaki, wirusy, konie trojanskie


    Za wszelkie sugestie, poprawy i komentarze - dziekuje
    Ostatnio edytowane przez Whizz_BANG : 04-23-2009 - 16:46

  2. #2
    Avatar GSG-9
    GSG-9 jest offline Shapeshifter
    Zarejestrowany
    Jul 2007
    Skąd
    C:\Perl\bin
    Postów
    1,578

    Domyślnie

    warstwa 7; jesli uwzgledniles sqli to imo powinienes rowniez
    local file include
    remote file include
    remote code execution
    arbitrary file download

    rozwiazanie warstwy7 - web application firewall
    War, war never changes.

  3. #3
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    @autor - nieco pomieszales pojecia bo pytasz o firewalle a zaczynasz od warstwy 2, no dobra... warstwa 3 jasne... warstwa 4 ok... warstwa 7 to pomylka...

    Warstwa 2 - jesli siec nie ma dostepu fizycznego do innej sieci (chyba wiadomo o czym mowie - switch-switch itp) to poza stosowaniem dynamicznych VLAN'ow i trunk'ow ryzyka wielkiego nie ma - wszystkie zagrozenia "powinny" ograniczyc sie do jednego segmentu sieci. Rozwiazania jak port-security, igmp-snooping, dhcp-snooping powinny zabezpieczyc przed atakami ze strony systemow ktore masz we wlasnej sieci LAN i sa moim zdaniem bardzo dobrym pomyslem (najlepiej w ogole pelen NAC ale to troche wiecej pracy).

    Warstwa 3 - dobrze skonfigurowany firewall to wlasnie to... w koncu firewall tutaj wlasnie dziala a nie na warstwie 2 czy >3 :-) tak wiec cala zabawa z firewallami (o ktora pytasz) odbywa sie na tej warstwie.
    Nie rozumiem o co chodzi Ci z szyfrowaniem MD5 i GTSM oraz szyfrowaniem prefixow - co to ma do rzeczy? Prosze rozjasnij...

    Rodzaje atakow ok... fragmentowane pakiety pozwalaja ominac niektore firewall'e, low TTL - nie wiem co ma dac w sumie bo jak TTL za niski to pakiet zniknie po drodze... DDoS - na to firewall srednio pomoze bo to musi wyciac Twoj uplink a nie Ty na swoim firewallu (przez ostatnie pare dni dostawalem po dupie DDoS'ami wiec znam nie tylko z teorii).

    Warstwa 4 - skanowanie portow i port sweep to dokladnie to samo (przynajmniej dla mnie)... SYN Flood - zakwalifikowalbym w wiekszosci przypadkow jako jeden z rodzajow DoS'ow, tak samo jak tcp sequence perdiction - temat dosc trudny i ciezko sie zabezpieczyc bo tak a nie inaczej zaprojektowano TCP/IP.

    Warstwa 7 - wszystko co podales (poza Snortem bo on nie ma tam zadnego zastosowania) to ataki na aplikacje, ich logike a jeszcze dokladniej mowiac na konkretne implementacje danej logiki i nie ma to nic wspolnego z firewall'ami. IDS juz bardziej albo proxy ale nie firewall sam w sobie.

    Firewall ma pojecie o adresach IP, portach, protokolach (TCP/IP/UDP/itp) oraz jesli to tzw SPI Firewall (Stateful Packet Inspection) to potrafi sledzic stan polaczenia (nowe, w toku, pakiet powiazany z polaczeniem, itd) ale firewall nie zajmuje sie generalnie analiza wyzszych protokolow. Ja wiem ze teraz wiele firm dostarcza elementy umozliwiajace analize ruchu na poziomie zawartosci ale to nie jest juz czysty frewall tylko dodatek instruujacy firewall co zrobic z pakietem jesli pasuje on do danej reguly.

    Moze sie czepiam ale tak to wyglada z mojej perspektywy.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  4. #4
    Zarejestrowany
    Aug 2007
    Postów
    104

    Domyślnie

    bardzo dobrze, ze sie czepiasz - mi to nie przeszkadza
    No to teraz pare słów ode mnie.


    Cytat Napisał TQM
    Warstwa 2 - jesli siec nie ma dostepu fizycznego do innej sieci (chyba wiadomo o czym mowie - switch-switch itp) to poza stosowaniem dynamicznych VLAN'ow i trunk'ow ryzyka wielkiego nie ma - wszystkie zagrozenia "powinny" ograniczyc sie do jednego segmentu sieci. Rozwiazania jak port-security, igmp-snooping, dhcp-snooping powinny zabezpieczyc przed atakami ze strony systemow ktore masz we wlasnej sieci LAN i sa moim zdaniem bardzo dobrym pomyslem (najlepiej w ogole pelen NAC ale to troche wiecej pracy).
    Do warstwy 2 odniosłem się tylko i wyłącznie ze względu na firewalle sprzętowe. Jak mi wiadomo trzy najbardziej popularne i stosowane to:
    - Dual-Homed Host Firewall
    - Screened Host Gateway Firewall
    - Screened Subnet Firewall
    Jakoś te routery trzeba skonfigurowac, żeby pełniły określone funkcje bezpieczeństwa.
    Z tego co mi jeszcze wiadomo firewall sprzetowy potrafi działać jako zapora filtrująca oraz zapora posrednicząca.
    Jako zapora pośrednicząca: proxy rozpoznaje komendy np. http oraz analizuje zawartość pobieranych stron WWW (działa w warstwie aplikacji , czyli 7, modelu OSI)
    Jako zapora filtrująca potrafi filtrowac nie tylko pakiety (warstwa 3) ale także ramki (co zdecydowanie odnosi się do warstwy 2)


    Cytat Napisał TQM
    Warstwa 3 - dobrze skonfigurowany firewall to wlasnie to... w koncu firewall tutaj wlasnie dziala a nie na warstwie 2 czy >3 :-) tak wiec cala zabawa z firewallami (o ktora pytasz) odbywa sie na tej warstwie.
    Nie rozumiem o co chodzi Ci z szyfrowaniem MD5 i GTSM oraz szyfrowaniem prefixow - co to ma do rzeczy? Prosze rozjasnij...

    Rodzaje atakow ok... fragmentowane pakiety pozwalaja ominac niektore firewall'e, low TTL - nie wiem co ma dac w sumie bo jak TTL za niski to pakiet zniknie po drodze... DDoS - na to firewall srednio pomoze bo to musi wyciac Twoj uplink a nie Ty na swoim firewallu (przez ostatnie pare dni dostawalem po dupie DDoS'ami wiec znam nie tylko z teorii).
    Zgadzam się, że olbrzymia część firewalla działa właśnie w tej warstwie. Co do pytań:
    - szyfrowanie MD5 – wykorzystywane tylko i wyłącznie w celu ochrony protokołów routingu (RIPv2, OSPF itd.) poprzez dodatkowe uwierzytelnienie sąsiadów lub uaktualnien – co zapobiega atakom w warstwie gdzie funkcjonują protokoły routingu.
    - GTSM – czyli Generalised TTL Security Mechanizm – dzięki temu GTSM chroni sesje BGP przed atakami, które mogą nastąpić od oddalonych hostów. Także 2 routery między którymi jest sesja eBGP wymieniają się pakietami IP z polem TTL ustawionym na 255, wszelkie wartości poniżej sa odrzucane.
    - nigdzie nie wspomniałem o szyfrowaniu prefiksów. Jeżeli chodzi o filtrowanie prefiksów:
    Filtry prefiksów rozgłaszanych do Internetu i otrzymywanych z Internetu. Wydaje mi się, że wlaśnie tutaj można zastosowac uRPF (unicast Reverse Path Filtering) do automatycznego wykrywania fałszowania adresu źródłowego (adres źródłowy będzie filtrowany po zawartości tablic routingu)
    Co do DDos kiedys czytałem o czyms takim jak Blackholing wyzwalany zdalnie (RTBH) oraz Anycast Sinkhole. Musiałbym poczytać o tym dużo więcej, żeby dokładnie objaśnic co i jak.


    Cytat Napisał TQM
    Warstwa 4 - skanowanie portow i port sweep to dokladnie to samo (przynajmniej dla mnie)... SYN Flood - zakwalifikowalbym w wiekszosci przypadkow jako jeden z rodzajow DoS'ow, tak samo jak tcp sequence perdiction - temat dosc trudny i ciezko sie zabezpieczyc bo tak a nie inaczej zaprojektowano TCP/IP.
    Wydaje mi się, ze tu się bardzo myslisz. Jak wiemy protokół TCP i UDP odpowiada warstwie 4 – transportowej. Z definicji: Porty protokołu – pojęcie związane z protokołami transportowymi TCP i UDP używanymi w Internecie do identyfikowania procesów działających na odległych systemach.
    Dla mnie to jest zdecydowanie za firewallami, które należy tak konfigurować, żeby blokowały określone porty – czyli firewall bardzo mocno łączy się z warstwą czwartą.

    Cytat Napisał TQM
    Warstwa 7 - wszystko co podales (poza Snortem bo on nie ma tam zadnego zastosowania) to ataki na aplikacje, ich logike a jeszcze dokladniej mowiac na konkretne implementacje danej logiki i nie ma to nic wspolnego z firewall'ami. IDS juz bardziej albo proxy ale nie firewall sam w sobie.
    Kolejny raz się nie zgodze. Wcześniej już odnosiłem się do proxy i dzialaniu w warstwie 7.
    Takie programy jak robaki, wirusy, konie trojańskie – działają z poziomu aplikacji i żeby się rozprzestrzenic lub dalej wysyłać przez siec musza przejść przez firewall, który blokuje niepożądanych ruch w tle i tym samym jeżeli jakis program probuje komunikowac z siecia firewall powinien zablokowac porty.
    Co do snorta, SQL injection, XSS attack (Cross-Site Scripting), Buffer Overflow Exploits
    oraz Phishing przeczytalem kiedys przykłady przeciwdzialaniu przy odpowienidm skonfigurowaniu iptables (potężne narzedzie)
    Ostatnio edytowane przez Whizz_BANG : 04-23-2009 - 23:27

  5. #5
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Dobre agrumenty... ale...

    Jest tutaj pewna dosc spora niescislosc. Firewall to filtr pakietow. Jesli firewall operuje na warstwie 7 (L7 firewall) to albo robi analize protokolu aplikacji "w locie" (czyli mozliwe ze sam jest podatny na ataki bo parsuje dane - to akurat inny temat) albo dziala jako proxy... w tym drugim przypadku jest to proxy a nie firewall. Chodzi mi o rozroznienie pojec, choc wiem ze firmy czesto mieszaja je celowo. Postaram sie to mozliwie przystepnym jezykiem wyjasnic.

    Przyklad - firewalle mam glownie sprzetowe od roznych producentow i poustawiane warstwami - WAN, fw1, front-cluster, fw2, app-cluster, fw3, db-cluster.

    FW1 to firewall (w sumie cluster firewalli) robiacy filtracje i liczenie pakietow (liczenie aby odciac niektore floody itp), przed clustrem pierwszej warstwy serwerow jest cluster load-balancerow, kotre rozkladaja polaczenia na wlasciwe serwery. Te load-balancery tez w pewnym sensie "marketingowym" mozna nazwac firewallami, bo polaczenia L3 przekazuja np round-robin jako zwykly przekaznik, ale polaczenia HTTP szczegolnie przekazuja jako L7 wiec sa pelnym proxy ale bez cache - moge podjac decyzje gdzie wyslac polaczenia bazujac na rodzaju requestu itd (obrazki z serwerow 1-5, html+js+css z serwerow 6-8, dynamiczny content serwer 9 i 10... przez nastepny firewall do nastepnego clustra).

    Czy load-balancer to firewall? Trzymajac sie definicji to nie ale patrzac funkcyjnie to tak - to firewall aplikacyjny - jesli dostanie skopany request (niezgodny z protokolem) w warstwie 7 to zamknie polaczenie i juz, mozna tez ustawic filtrowanie XSS, SQL Inj. itp ale to jest proxy, z lub bez cache, z regulami decydujacymi czy obsluzyc polaczenie czy nie - to daje wlasnie "application level firewall" albo tak zwany "L7 Firewall" - pod takim haslem znajdziesz to bardzo czesto w materialach reklamowych.


    Wracajac na chwilke do warstwy 2 - firewalle sprzetowe maja po kilka interfejsow zazwyczaj i dzialaja najczesciej w 2 trybach - L2 albo L3.
    L2 to bridge z filtrem IP - przekazuje dane miedzy portami filtrujac na bazie protokolu IP (uzywa informacji z warstwy 3) ale jest przezroczysty, tzn nie widac go jak robisz traceroute itd.
    L3 to firewall robiacy routing lub NAT - ma swoj IP, caly ruch do sieci docelowej przechodzi przez niego, widac go jak robisz traceroute'a. Jesli dziala jako router to bedzie jako nastepny hop na trasie ale mozna tez zrobic tak (to sie roznie nazywa w zaleznosci od producenta sprzetu) ze publiczny adres (lub adresy) IP sa przypisane do portu WAN firewall'a i on przekazuje pakiety do sieci LAN/DMZ czy jakos inaczej nazwanej "strefy" robiac efektywnu Destination NAT.

    Ktore rozwiazanie jest lepsze? Ja lubie uzywac L2 bo nikt nie widzi ze firewall jest ani co robi :-) ale nie zawsze sie tak daje... niektore firmy obsluguja to lepiej inne gorzej, jedne pozwalaja miksowac L2 i L3 w jednej konfiguracji (np miedzy interfejsami A i B robimy L2 a pozostale sa L3 z NAT) a inne zmuszaja wybrac czy bedzie L2 czy L3.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  6. #6
    Zarejestrowany
    Aug 2007
    Postów
    104

    Domyślnie

    sprytnie to przedstawiles dobre, na prawde dobre
    czy mozesz polecic (masz lub znasz) jakies ksiazki, ktore wiazaly by sie z bezpieczenstwem i firewallem? (wersja angielska lub ewentualnie polska)

  7. #7
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Ksiazek nie mam ale tak sie wlasnie zastanawiam ktory z producentow firewalli ma dobra dokumentacje i sporo ksiazek o swoich produktach... Cisco i Juniper - to chyba beda dwa wieksze jesli nie najwieksze... obie firmy robia outery i firewalle w sumie

    Cisco ma swoje certyfikacje (CCNA, itp) - w materialach znajdziesz mase informacji o szczegolach konfiguracji, co mozna zrobic, czego nie...

    Juniper - dwie linie systemow JunOS na routery i ScreenOS na firewalle. Pelna dokumentacje do Junipera mozna za free on-line sciagnac i to do konkretnej wersji softu wiec jest rewelka. Opisane bardzo przystepnym jezykiem (osobiscie wole dokumentacje Junipera niz Cisco ale to moje prywatne odczucie).

    Te dwie firmy to imho standard jest. Ludzie uzywaja bardzo roznych rozwiazan od roznych producentow itd. Np Juniper nie pozwala mieszac L2 z L3 ale w L3 pozwala robic NAT, prosty load-balancing, itd. Cisco nie pamietam, nie konfigurowalem sam, poza tym Cisco ma rozne produkty ktore sa mniej lub bardziej zgodne ze soba (musisz zapytac kogos kto zna Cisco), Sonicwall pozwala miksowac L2 i L3 w jednym urzadzeniu (wskazujesz ktore porty jaki tryb maja miec), to prawie kompletny UTM jest, Mikrotik potrafi robisz ogromnie wiele, ale konfiguracja staje sie z czasem bardzo skomplikowana ale znowu jest zdecydowanie najtanszy, Draytek to z tego co widzialem/uzywalem glownie routerki do domow - na ADSL, ISDN, itd, rozbudowane, VoIP, WiFi, VLAN'y, VPN'y, SPI, blokowanie P2P i HTTP wg contentu... cenowo dosc przystepny.

    Kazdy z tych produktow realizuje podobne lub te same funkcje ale na swoj sposob. Jeden bedzie analizowal pakiety uzywajac engine'u do obroki pakietow, drugi bedzie mial osobny proces do obslugi tego jeszcze inny bedzie uzywal zewnetrznego systemu (np Mikrotik - ustawiasz http proxy na zewnetrznej maszynie, mikrotik przekierowuje na proxy, proxy robi filtracje). Ile producentow tyle rozwiazan - kazde ma swoje wady i zalety.

    ... no i do tego dochodzi cala seria firewalli programowych, czy to Linux czy *BSD czy Solaris czy nawet windowsowy firewall (jesli ktos ma serwery na windowsie). One maja swoje zasady i swoje mozliwosci (czesto wynikajace z dodatkowych funkcji zaimplementowanych w kernelu - poza firewallem), generalnie sa L2/L3 i nie siegaja wyzej, chyba ze przez zewnetrzne aplikacje. Jesli o tym mowa to netfilter ma mase dodatkow ktore mozna dokompilowac do kernela - wtedy zaczyna sie fajna zabawa :P

    UPDATE
    Mam jednak jakies ksiazki...
    - Linux firewalls (pamietam ze mam ale zostala w Polsce)
    - ... manuale produktow ktore uzywam :-)

    Co moze byc ciekawe (tytuly wziete z Amazon.com)?
    - Configuring Juniper Networks NetScreen & SSG Firewalls
    - ScreenOS Cookbook
    - Cisco ASA, PIX, and FWSM Firewall Handbook
    - Building Firewalls with OpenBSD and PF
    Ostatnio edytowane przez TQM : 04-25-2009 - 11:07
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  8. #8
    Zarejestrowany
    Aug 2007
    Postów
    104

    Domyślnie

    Tez wlasnie kręce sie wokół tych dwoch firm.
    Jeszcze jakis miesiac temu trzeba bylo miec z CCNA wszsytko w glowie zeby zdac egzamin :] Także wiem, ze materialy sa szalenie dobre z CISCO. Bardzo duzo mozna wyniesc, jezeli chodzi o budowe sieci (od rzeczy podstawowych do bardzo zaawansowanych)

    Jezeli chodzi o Juniper ostatnio czytalem o niby najlepszym firewallu na swiecie wlasnie stworzonym przez ta firme. Nazywa sie on Juniper SRX 5800
    podam moze linka:
    http://www.networkworld.com/reviews/...kg=cct&ap1=rcb
    calkiem ciekawy artykuł

    Powracajac do tematu ksiazek, pare wlasnie przewinelo mi sie przez rece. Calkiem dobre na ktore wg mnie warto zwrocic uwage to
    - LINUX FIREWALLS Attack Detection and Response with iptables, psad, and fwsnort by Michael Rash
    - Configuring Juniper Networks NetScreen & SSG Firewalls by Rob Cameron, Brad Woodberg, Mohan Krishnamurthy Madwachar - ta o ktorej wspomniales

    Co do firewalli programowych zgadzam sie - jest tego cala masa.
    Dziekuje za propozycje ksiazkowe i za informacje. Postaram sie przejrzec i dowiedziec czegos wiecej

  9. #9
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    "ScreenOS Cookbook" potrakuj jako dodatek do tej o Juniperze bo ksiazka nie dosc ze ma podane receptury a dokldanie gotowce na rozwiazanie najczesciej stwarzajacych problemy elementow to do tego bardzo bardzo dokldanie omawia co, jak i dlaczego. Kazda konfiguracja rozrysowana jako schemat sieci, kod omowiony linijka po linicje. Polecam - wlasnie zakupilem :P
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  10. #10
    Zarejestrowany
    May 2009
    Postów
    1

    Domyślnie

    Hej

    Jeśli chcesz rozszerzyć wiedzę nt firewalli to zajrzyj tu:
    http://omijanie-zapor-sieciowych.eprace.edu.pl/

    to ponad 100 stron o firewallach, ich dziurach, omijaniu firewalli, a takze zabezpieczeniom przed tym

    ja dużo skorzystałem


    pzdr,
    Peter

Strona 1 z 2 12 OstatniOstatni

Podobne wątki

  1. Jakie stery?
    By natas in forum Wardriving
    Odpowiedzi: 2
    Autor: 02-08-2009, 19:56
  2. jakie proxy??
    By 4ndr1u in forum Security
    Odpowiedzi: 3
    Autor: 06-27-2008, 21:03
  3. c++ jakie ksiązki.....
    By Sardihan in forum C/C++
    Odpowiedzi: 10
    Autor: 08-18-2007, 17:01
  4. jakie środowisko??
    By studencik20 in forum C/C++
    Odpowiedzi: 1
    Autor: 06-18-2007, 12:28
  5. jakie procesy????za jakie aplikacje???
    By ironwall in forum Windows
    Odpowiedzi: 2
    Autor: 04-08-2007, 18:29

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj