Bezpečnost sítí

Nevýhody:

• musíme vědět, co každá funkce znamená

• neskrývají PC před vnějším světem

• FW většinou zbytečně obtěžuje (obchodní důvody)

• ovlivňují výkon PC

• Personální firewall

  • uzel se napojuje do různých sítí

  • chrání síť, aby můj PC nebyl zdrojem škodlivých kódů a virů

  • klientské firewally obvykle filtrují metodou SPI (uživatel si vybírá, které aplikace nebo které vyjímky budou povoleny (nebo vytvoří definici pro automatické vyjímky))

  • typické použití je, když se host připojuje přímo k ISP

  • když není správně nakonfigurován, tak dochází k narušení přístupu do internetu

  • nedoporučuje se používat více než jeden personální firewall (potom vznikají konflikty mezi sebou)

Aplikační brány

• fungují na 7. vrstvě - zkoumají obsah paketů (obsah celé zprávy)

• dokáže najít viry, SPAM a nevhodný obsah (podle začátku rámců)

• každá aplikace musí mít zvlášť svůj program (zvlášť pro mail, pro FTP, …)

Bezpečnostní protokoly:

• SSH (Secure Shell)

  • bezpečný přihlašovací systém (obdoba FTP, Rlogin, …)

  • automatická identifikace uživatelů

  • umí reagovat kladně na spoofing (podvržení adresy)

  • autentizaci dělá znovu na konci přenosu

  • šifrování, tunelování, komprese dat

Struktura firewallu:

IDS a IPS

IDS (Intrusion Detection System)

• druhá fáze ochrany sítí

• monitoruje provoz a dělá jeho analýzu - tzn. sleduje aktivity (kdo, kam, kdy, …) a sleduje integritu dat (zda nejsou změněna během cesty)

• umí rozpoznávat útoky nebo hrozby

• účelem je detekovat (najít) anomality, nikoli je řešit - když je najde, tak je oznámí administrátorovi, popř. ji oznámí na FW (zpracovává kopii zprávy, originál jde do sítě) - když se jedná o útok, tak ho nezastaví, pouze oznámí to, že je to pravděpodobně útok na síť - tzn. získává pakety duplikací nebo mirroring

• umí i vyhledávání řetězce (najde pouze známé řetězce)

• IDS pracuje na odbočce, ne na přímé cestě

Anomálie provozu:

• na jednu adresu jde příliš mnoho paketů

• komunikace nezačíná klasickým třícestným systémem

• do sítě přicházejí nedokončené pakety

• tento systém využívá fiktivní cíle zjišťování útoku

  • HoneyPot - fiktivní cíl (tento uzel má utajenou adresu, každá snaha dostat se k tomuto serveru je podezřelá - server zaznamenává přístup)

  • Decoy Server - obdoba HoneyPot - uchovává celou relaci

  • Spoofing - podvržení adresy - ze začátku se hlásí jako normální provoz, ale adresa odesílatele je změněná (nelze zjistit totožnost odesílatele)

IDS dělíme na:

• pasivní - neupozorňují firewall

• aktivní - upozorňují firewall

• HostBase - IDS nesleduje celý síťový provoz

• NetBase - IDS sleduje celý síťový provoz

IPS (Intrusion Prevention System)

• tento systém je založen na znalostní databázi (znalostní = ukládá poznatky svého provozu, nemá uloženo pouze to, co bylo naprogramováno)

• tento systém je v přímé cestě

• není definováno, zda má být před/za firewallem

• IPS musí být dvojitá (fungují jako soustava clusterů - dokáží se zastoupit)

• IPS zkoumá pakety sériově (rychlejší) nebo paralelně

• zkoumá detekci útoků (jakmile má sebemenší podezření, tak to oznámí na server - velký počet planých poplachů)

• fireproof - switche 7. vrstvy - rozhrazují cyklicky podle probíhajícího spojení nebo podle cíle