Network Security Chapter 7 Firewalls

งานนำเสนอเรื่อง: "Network Security Chapter 7 Firewalls"— ใบสำเนางานนำเสนอ:

1 Network Security Chapter 7 Firewalls
Slides by H. Johnson & S. Malladi- Modified & Translated by Sukchatri P.

2 Introduction Functionality and design principals
11/01/2011 Introduction Functionality and design principals Firewall characteristics Security of Firewall Concept of trusted system or secure operating system

3 Firewalls and Network Defense
11/01/2011 ไฟร์วอลล์สามารถปกป้องระบบเครือข่ายจากการคุกคามได้ อย่างมีประสิทธิภาพได้ ในขณะเดียวกันก็มีการเข้าถึงโลกภายนอกได้โดยผ่าน เครือข่าย WANs และอินเทอร์เน็ต

4 Information System Evolution
11/01/2011 เครื่องเมนเฟรมเป็นศูนย์กลางกับการเชื่อมต่อเครื่อง terminals LANs เชื่อมต่อกับ PC และเครื่องเมนเฟรมคอมพิวเตอร์ ต่อถึงกันหมด เครือข่ายประกอบด้วยหลาย LANs, PCs Servers, และเมนเฟรม มากกว่าหนึ่งเครื่อง องค์กรต่างๆ เชื่อมต่อเครือข่ายกันหลายๆ เครือข่ายกระจายออกไปโดยผ่าน WAN การเชื่อมต่ออินเทอร์เน็ต -- ทุกเครือข่ายสามารถเชื่อมโดยต่อผ่านเครือข่าย อินเทอร์เน็ตหรืออาจจะไม่เชื่อมต่อโดยผ่าน WAN ก็ได้

5 Firewall Design Principles
11/01/2011 การเชื่อมต่ออินเทอร์เน็ต -- ไม่ใช่เป็นทางเลือกกับหน่วยงานส่วนใหญ่ แล้วแต่เป็นสิ่งจำเป็นพื้นฐานสำหรับทุกหน่วยงานหรือองค์กรไปแล้ว (มีประโยชน์ แต่ก็ยังถูกคุกคามอีก) สามารถป้องกันการบุกรุกในแต่ละเครื่องลูกข่ายได้ – แต่อาจไม่ทุกกรณี การเลือกใช้ไฟร์วอลล์ถูกใช้ในการป้องกันการโจมตีจากอินเทอร์เน็ตเป็น หลัก

6 Firewalls Idea: separate local network from the Internet Intranet DMZ
11/01/2011 Idea: separate local network from the Internet Trusted hosts and networks Firewall Router Intranet DMZ Demilitarized Zone: publicly accessible servers and networks

7 Firewall Characteristics (ลักษณะ Firewall)
11/01/2011 Firewall Characteristics (ลักษณะ Firewall) ทุก traffic สองทิศทาง (ภายใน <--> นอก) ต้องผ่านไฟร์วอลล์ เฉพาะ traffic ที่ได้รับอนุญาต จากนโยบายการรักษาความ ปลอดภัยที่กำหนดจะผ่านได้ ไฟร์วอลล์เป็นด่านคุ้มกันเพื่อให้การป้องกันการบุกรุก

8 Firewall Limitations 11/01/2011 ไม่สามารถป้องกันจากการโจมตีโดย เช่น sneaker net, utility modems, trusted organizations, trusted services (eg SSL/SSH) ไม่สามารถป้องกันภัยคุกคามจากภายในได้ เช่น disgruntled employee (พนักงานที่ไม่พอใจ) ไม่สามารถป้องกันการถ่ายโอนโปรแกรมหรือไฟล์ที่มีการติดเชื้อไวรัสแล้ว อันเนื่องมาจากมีความหลากหลายของระบบปฏิบัติการและชนิดของไฟล์

9 Firewall Locations in the Network (ตำแหน่งการตั้ง Firewall)
11/01/2011 อยู่ระหว่างLAN และ เครือข่ายภายนอก ที่เกทเวย์มีผลมากต่อเครือข่ายย่อยภายในองค์กร LAN เช่น เครือข่ายที่ทำงานด้านการบัญชีเงินเดือนจะต้องได้รับความคุ้มครองแยก ออกจากกันภายในเครือข่ายขององค์กร บนเครื่องคอมพิวเตอร์ของผู้ใช้ “Personal firewall” Microsoft’s Internet Connection Firewall (ICF) comes standard with Windows XP

10 Firewall Types (ชนิด Firewall)
11/01/2011 Firewall Types (ชนิด Firewall) Packet- filtering Routers Application level gateways Circuit level Gateways

11 Firewalls – Packet Filters
11/01/2011

12 Firewall Types: Packet Filters (การกรอง packet)
11/01/2011 Packet- or session-filtering router (filter) filters packets ทั้งสองทิศทาง, ขึ้นอยู่กับ IP address, IP protocol และ interface ตั้งเป็นรายการของกฎขึ้นอยู่กับการจับคู่กับเขตข้อมูล ถ้าตรงกับกฎก็จะถูกเกี่ยวข้องหรือมิฉะนั้นก็จะมีการดำเนินการไปตามที่กำหนดไว้ หรือ ค่า default เช่น default = ทิ้ง packet ที่ไม่ได้อยู่ในกฏ หรือ default = forward packet ทุก ตัวที่ไม่ต้องห้าม ข้อดี – ง่ายและความเร็ว จุดอ่อน : ไม่สามารถป้องกันการโจมตีที่ใช้ช่องโหว่จากการใช้โปรแกรมเฉพาะได้; มีหน้าที่ ที่จำกัด, ไม่ support ผู้ใช้ที่มีสิทธิในระดับสูง; เสี่ยงต่อการละเมิดเครือข่ายการปลอมแปลง IP และการรักษาความปลอดภัยที่เกิดจากการตั้งค่าที่ไม่เหมาะสม

13 Packet Filtering 11/01/2011 สำหรับแต่ละแพ็กเก็ต, ไฟร์วอลล์จะตัดสินใจว่าจะอนุญาตให้ดำเนินการต่อไป การตัดสินใจจะต้องทำบนพื้นฐานแต่ละแพ็คเก็ต Stateless; ไม่สามารถตรวจสอบ packet’s context (TCP connection, application to which it belongs, etc.) การตัดสินเลือกใช้, ใช้ข้อมูลที่มีอยู่ใน packet IP source และ destination addresses, ports Protocol identifier (TCP, UDP, ICMP, etc.) TCP flags (SYN, ACK, RST, PSH, FIN) ICMP message type กฎการกรองจะขึ้นอยู่กับรูปแบบการจับคู่หรือ pattern-matching

14 Packet Filtering Examples
11/01/2011

15 Firewalls – Stateful Packet Filters
11/01/2011 Firewalls – Stateful Packet Filters ตรวจสอบแต่ละแพ็คเก็ตในแต่ละส่วน รักษาเส้นทางช่วงระหว่าง client-server ตรวจสอบแต่ละแพ็คเก็ตให้คงสภาพเดิม ตรวจจับแพ็คเก็ตและคัดออก

16 Example: Variable Port Use
11/01/2011 Inbound SMTP Outbound SMTP

17 Session Filtering 11/01/2011 การตัดสินใจจะทำการแยกต่างหากสำหรับแต่ละแพ็กเก็ต แต่ในส่วนของการ เชื่อมต่อ ถ้าการเชื่อมต่อใหม่แล้วตรวจสอบตามนโยบายการรักษาความปลอดภัย หากการเชื่อมต่อที่มีอยู่แล้ว ให้ไปดูเทียบในตารางและปรับปรุงตารางใน กรณีที่จำเป็น พอร์ตที่อยู่นอกเหนือกว่าที่กำหนดจะเป็นช่องโหวของระบบ ยากต่อการกรอง protocols (UDP) และ ICMP การกรองโดยทั่วไป : ห้ามทุกแพ็คเก็ตที่ไม่ได้รับอนุญาต ต้องมีความระวังสูงในการกรอง service traffic เช่น ICMP การกรองสามารถถูกข้ามโดยการใช้ IP tunneling

18 Example: Connection State Table
11/01/2011 Example: Connection State Table

19 Example: FTP (borrowed from Wenke Lee)
11/01/2011 FTP server FTP client 20 Data 21 Command 5150 5151 Connection from a random port on an external host  Client opens command channel to server; tells server second port number  “PORT 5151”   “OK”  Server acknowledges DATA CHANNEL  Server opens data channel to client’s second port  TCP ACK  Client acknowledges

20 11/01/2011 FTP Packet Filter ตามตัวอย่างกฏการกรองที่อนุญาตให้ผู้ใช้ FTP จากทุก IP address สามารถใช้ FTP server ที่ IP access-list 100 permit tcp any gt 1023 host eq 21 access-list 100 permit tcp any gt 1023 host eq 20 ! Allows packets from any client to the FTP control and data ports access-list 101 permit tcp host eq 21 any gt 1023 access-list 101 permit tcp host eq 20 any gt 1023 ! Allows the FTP server to send packets back to any IP address with TCP ports > 1023 interface Ethernet 0 access-list 100 in ! Apply the first rule to inbound traffic access-list 101 out ! Apply the second rule to outbound traffic ! ทุกแพ็คเก็ตที่ไม่ได้เป็นไปตามกฏจะถูกตัดออก

21 Weaknesses of Packet Filters
11/01/2011 จะไม่ป้องกันการโจมตีจากโปรแกรมเฉพาะบางตัว ตัวอย่างเช่นถ้ามีหน่วยความจำล้นในการถอดรหัส URL ไฟร์วอลล์จะไม่ป้องกันการโจมตีแบบ attack string ไม่มีกลไกการตรวจสอบผู้ใช้ การตรวจสอบสิทธิตามที่อยู่หรือ address-based ไฟร์วอลล์ไม่มีฟังก์ชั่นระดับสูง เสี่ยงต่อการโจมตี TCP / IP เช่นการหลอกลวง (spoofing ) การแก้ไข : รายการของที่อยู่สำหรับแต่ละอินเตอร์เฟซ (แพ็คเก็ตที่มีที่อยู่ภายในไม่ควรมาจากภายนอก) การละเมิดการรักษาความปลอดภัยเนื่องจาก misconfiguration

22 Abnormal Fragmentation
11/01/2011 ตัวอย่างเช่นบิต ACK ตั้งอยู่ในส่วนทั้งสอง แต่เมื่อประกอบขึ้นใหม่, บิต SYN ถูกตั้งขึ้นใหม่ (ทำให้เกิดการ SYN ท่วมผ่านไฟร์วอลล์ได้

23 Fragmentation Attack (borrowed from Wenke Lee)
11/01/2011 Fragmentation Attack (borrowed from Wenke Lee) Telnet Server Telnet Client , Send 2 fragments with the ACK bit set; fragment offsets are chosen so that the full datagram re-assembled by server forms a packet with the SYN bit set (the fragment offset of the second packet overlaps into the space of the first packet) Allow only if ACK bit set 23 1234  FRAG1 (with ACK)  FRAG2 (with ACK) SYN packet (no ACK)  ACK  All following packets will have the ACK bit set

24 Attacks on Packet Filters
11/01/2011 Attacks on Packet Filters IP address spoofing แหล่งที่อยู่ปลอมเป็นที่เชื่อถือได้ เพิ่มตัวกรองในเราเตอร์ source routing attacks Attacker กำหนดเส้นทางอื่นที่ไม่ใช่ค่าเริ่มต้น (default) ปิดกั้นเส้นทางที่มาของแพ็คเก็ต tiny fragment attacks ข้อมูลส่วนหัวแยกไปย่อยไปหลายแพ็คเก็ตเล็ก ๆ หรือไม่ก็ตัดทิ้งหรือรวม fragment ก่อนการตรวจสอบ

25 Firewall Types: Gateways
11/01/2011 Firewall Types: Gateways Proxy gateway traffice ทุกตัวที่เข้ามาจะไปยัง firewall โดยตรง และจะต้องออกมาจาก firewall ทุกตัวด้วย Application-level: proxy จะแยกแต่ละโปรแกรม Proxy ที่แตกต่างกันสำหรับ SMTP ( ), HTTP, FTP, etc. มีกฏการกรองสำหรับโปรแกรมเฉพะ Circuit-level: application-independent, “transparent” มีการกรอง IP traffic เท่านั้น(ตัวอย่าง : SOCKS) Personal firewall กับ application-specific rules เช่น ไม่มีการตอบสนองการเชื่องต่อแบบ telnet

26 Application-Level Gateway
11/01/2011 การเชื่อมต่อระหว่างสองโปรแกรมเฉพาะ ตัวอย่าง: Web browser proxy สามารถตรวจพบเมื่อมีกระบวนต่างๆผ่าน proxy การประมวลผลจำนวนมาก็สามารถตรวจสอบได้ทุกสถานะการณ์ สามารถใช้ได้กับสิทธิผู้ใช้ในระดับสูงขึ้น มีการเข้าใช้ proxy server ด้วย user name และnd password กฏการกรองแบบง่ายๆ สำหรับ TCP/IP traffic แต่ละ application ต้องการมีและใช้ proxy เป็นของตัวเอง

27 Circuit-Level Gateway
11/01/2011 เชื่อมต่อระหว่างสอง TCP, หน่วง TCP segments มีการควบคุมข้อมูลน้อยกว่าระดับ application-level gateway ไม่ได้มีการตรวจสอบเนื้อหาของ TCP segment ลำดับของ TCP จากเครื่องลูกข่ายต้องรู้ gateway โปรแกรมที่เครื่องลูกข่ายจะต้องปรับเพื่อให้รองรับการเชื่อมต่อ SOCKS มีการใช้เมื่อผู้ใช้ภายในมีสิทธิที่ถูกต้อง Application-level proxy มีการเชื่อมต่อกับการ inbound, circuit-level proxy จะมีการ เอมต่อกับการ outbound (lower overhead)

28 Firewall Types: Summary
11/01/2011

29 Comparison Packet filter Best No No Session filter No Maybe
11/01/2011 Modify client application Defends against fragm. attacks Performance Packet filter Best No No Session filter No Maybe Circuit-level gateway Yes (SOCKS) Yes Application-level Worst Yes Yes gateway

30 Bastion Host ระบบเครื่องแม่ข่ายที่มีความปลอดภัยสูง
11/01/2011 Bastion Host ระบบเครื่องแม่ข่ายที่มีความปลอดภัยสูง Potentially exposed to "hostile" elements and is secured to withstand this ใช้ในการเชื่อมต่อสองเครือข่ายขึ้นไป มีความเชื่อถือในการแยกระหว่างเครือข่าย เป็นตัวที่ทำงานในแบบ circuit / application level gateways สามารถเข้าถึงจากภายนอกได้

31 Bastion Host 11/01/2011 Bastion host เป็นระบบป้องกันที่แข็งแกร่งอันหนึ่งในการติดตั้งระดับ application- level gateway หลังการป้องกันแบบ packet filter All non-essential services are turned off ทุกบริการไม่จำเป็นต้องปิด Application-specific proxies for supported services พร็อกซี่แต่ละคนจะสนับสนุนเฉพาะชุดย่อยของคำสั่งของโปรแกรมประยุกต์คือ เข้าสู่ระบบและตรวจสอบการเข้าถึงดิสก์ ที่จำกัด , ทำงานในฐานะผู้ใช้ที่ใน ไดเรกทอรีแยกต่างหาก (อิสระจากคนอื่น ๆ ) รองรับผู้ใช้ที่มีสิทธิตามปกติ ทุก traffic ต้องไหลผ่าน bastion host อนุญาตให้แพ็คเก็ตจากภายนอกเข้ามาได้และอนุญาตให้แพ็คเก็ตภายในที่จะออก จากแหล่งเริ่มต้นได้เท่านั้น

32 Single-Homed Bastion Host
11/01/2011 Single-Homed Bastion Host If packet filter is compromised, traffic can flow to interrnal network

33 Dual-Homed Bastion Host
11/01/2011 No physical connection between internal and external networks

34 Screened Subnet Only the screened subnet is visible
11/01/2011 Only the screened subnet is visible to the external network; internal network is invisible

35 Protecting Addresses and Routes
11/01/2011 ซ่อน IP addresses ของทุกเครื่องอยู่ภายในเครือข่าย เครื่องที่ให้บริการเท่านั้นที่จะถูกเข้าถึงจากภายนอกและเปิดเผย IP addresses รักษา IP addresses ตัวอื่นๆ เป็นความลับ เพื่อยากต่อการโจมตีแบบ spoofing ใช้ NAT (network address translation) ในการทำ map addresses ใน packet headers กับ internal addresses 1-to-1 or N-to-1 mapping กำหนดการกรองเส้นทาง ไม่ต้องกำหนดเส้นทางให้กับเครือข่ายภายใน ป้องกันการโจมตีจากการกำหนดเส้นทางที่สั้นที่สุดไปยังโฮสต์ที่อยู่ภายใน

36 General Problems with Firewalls
11/01/2011 แทรกแซงด้วยการใช้งานเครือข่าย ไม่สามารถแก้ไขปัญหาจริง Buggy software (เกี่ยวกับการเกิด buffer overflow ) ออกแบบหรือใช้ protocol ที่ไม่ดี (WEP in b) โดยทั่วไปแล้วจะใม่ป้องกันเครื่องที่ให้การบริการ ไม่สามารถป้องกันผู้บุกรุกภายใน การเพิ่มความซับซ้อนและศักยภาพในการ misconfiguration

37 Access Control ให้ระบบระบุผู้เข้าใช้งาน
11/01/2011 Access Control ให้ระบบระบุผู้เข้าใช้งาน กำหนดสิ่งที่สามารถเข้าถึงทรัพยากรให้ผู้ใช้ รูปแบบทั่วไปเป็นการเข้าถึงแบบเมทริกซ์กับ subject - active entity (user, process) object - passive entity (file or resource) access right – เส้นทางที่สามารถเข้าถึงได้ แยกย่อยโดย columns : access control lists rows

38 Access Control Matrix 11/01/2011

39 Trusted Computer Systems
11/01/2011 Trusted Computer Systems ความปลอดภัยของข้อมูลเป็นสิ่งสำคัญมากขึ้น การมีความสำคัญของข้อมูลในระดับที่สูงขึ้น การจำแนกประเภทข้อมูลทางทหาร : ไม่เป็นความลับ, ความลับ, ความลับ , ความลับสุดยอด ฯลฯ คนหรือโปรแกรม มีสิทธิที่แตกต่างกันในการเข้าถึงข้อมูล ต้องการพิจารณาวิธีการเพิ่มความเชื่อมั่นให้กับระบบในการบังคับ ใช้สิทธิ รู้จักการรักษาความปลอดภัยในหลายระดับ คนหรือโปรแกรม มีระดับสูงและระดับปกติในการักษาความปลอดภัย แหล่งข้อมูล มีระดับการรักษาความปลอดภัยที่คงที่

40 Reference Monitor Concept แนวคิดการตรวจสอบการอ้างอิง
11/01/2011 ตรวจสอบการอ้างอิงเป็นองค์ประกอบในการควบคุมระบบฮาร์ดแวร์และการดำเนินงานที่ ควบคุมการเข้าถึงของคนกับแหล่งข้อมูลบนพื้นฐานของการรักษาความปลอดภัย ไฟล์หรือ kernel security database ในการรักษาความปลอดภัยฐานข้อมูล - รายชื่อสิทธิ์ การเข้าใช้ ตรวจสอบและบังคับใช้กฎมี 3 คุณสมบัติ : complete mediation การไกล่เกลี่ยเสร็จสมบูรณ์ - มีการบังคับใช้กฎระเบียบด้านความ ปลอดภัยในการเข้าถึง Isolation แยก - ตรวจสอบการอ้างอิงจากฐานข้อมูล ที่ไม่ถูกดัดแปลงจากผู้ไม่ได้รับ อนุญาตverify ability- ความสามารถในการตรวจสอบ ความถูกต้อง จะต้องสามารถ พิสูจน์ได้

41 Reference Monitor 11/01/2011

42 Summary มีการเรียนรู้ถึง firewalls types of firewalls configurations
11/01/2011 Summary มีการเรียนรู้ถึง firewalls types of firewalls configurations access control trusted systems

43 Reading Assignment Stallings Chapter 11
11/01/2011 Stallings Chapter 11 Optional: “Firewall Gateways” (chapter 3 of “Firewalls and Internet Security” by Cheswick and Bellovin)