firewall - jakie warstwy, jakie ataki - zabezpieczenie

[Whizz_BANG]

Witam,

mam nadzieje, ze dobry dzial wybralem na moj post. Zwracam sie do was z zapytanie i prosba o rozszerzenie wiedzy dotyczacej firewalla.
Otóz interesuje mnie to przed jakimi atakami moze pomoc w zabezpieczeniu sieci (pojedynczej stacji roboczej) dobrze skonfigurowany firewall (czy to sprzetowy czy programowy). Ponizej zamieszczam z mojego punktu widzenia najpopularniejsze i podstawowe schematy atakow - chcialbym, zebyscie uzupelnili w kazdej warstwie pominiete przeze mnie inne możliwosci (czyli moje braki wiedzy)

warstwa 2
-atak na tablicę MAC (rozwiązanie: port security)
-atak na protokół ARP (przechwytanie haseł w ruchu: FTP, Telnet, SMTP, -HTTP, POP; rozwiązanie Dynamic ARP Inspection)
-MAC spoofing
-DHCP spoofing - rozwiazanie DHCP snooping
-Spanning Tree – BPDU Guard, BPDU Filter

warstwa 3
-pingflood
-Land
-smurf attack
-ip fragmentation
-low TTL values
-DDos attack
-IP spoofing
-IGMP attack

rozwiazania:
-uRPF
-szyfrowanie MD5, GTSM
-filtrowanie prefiksów

warstwa 4
-skanowanie portów
-TCP Sequence Prediction Attacks
-Port Sweeps
-SYN floods

rozwiazanie: firewalle programowe

warstwa 7
-SQL injection
-XSS attack (Cross-Site Scripting)
-Snort Signatures
-Buffer Overflow Exploits
-Phishing

w tej warstwie wydaje mi sie, ze dochodzą jeszcze robaki, wirusy, konie trojanskie


Za wszelkie sugestie, poprawy i komentarze - dziekuje

[GSG-9]

warstwa 7; jesli uwzgledniles sqli to imo powinienes rowniez
local file include
remote file include
remote code execution
arbitrary file download

rozwiazanie warstwy7 - web application firewall

[TQM]

@autor - nieco pomieszales pojecia bo pytasz o firewalle a zaczynasz od warstwy 2, no dobra... warstwa 3 jasne... warstwa 4 ok... warstwa 7 to pomylka...

Warstwa 2 - jesli siec nie ma dostepu fizycznego do innej sieci (chyba wiadomo o czym mowie - switch-switch itp) to poza stosowaniem dynamicznych VLAN'ow i trunk'ow ryzyka wielkiego nie ma - wszystkie zagrozenia "powinny" ograniczyc sie do jednego segmentu sieci. Rozwiazania jak port-security, igmp-snooping, dhcp-snooping powinny zabezpieczyc przed atakami ze strony systemow ktore masz we wlasnej sieci LAN i sa moim zdaniem bardzo dobrym pomyslem (najlepiej w ogole pelen NAC ale to troche wiecej pracy).

Warstwa 3 - dobrze skonfigurowany firewall to wlasnie to... w koncu firewall tutaj wlasnie dziala a nie na warstwie 2 czy >3 :-) tak wiec cala zabawa z firewallami (o ktora pytasz) odbywa sie na tej warstwie.
Nie rozumiem o co chodzi Ci z szyfrowaniem MD5 i GTSM oraz szyfrowaniem prefixow - co to ma do rzeczy? Prosze rozjasnij...

Rodzaje atakow ok... fragmentowane pakiety pozwalaja ominac niektore firewall'e, low TTL - nie wiem co ma dac w sumie bo jak TTL za niski to pakiet zniknie po drodze... DDoS - na to firewall srednio pomoze bo to musi wyciac Twoj uplink a nie Ty na swoim firewallu (przez ostatnie pare dni dostawalem po dupie DDoS'ami wiec znam nie tylko z teorii).

Warstwa 4 - skanowanie portow i port sweep to dokladnie to samo (przynajmniej dla mnie)... SYN Flood - zakwalifikowalbym w wiekszosci przypadkow jako jeden z rodzajow DoS'ow, tak samo jak tcp sequence perdiction - temat dosc trudny i ciezko sie zabezpieczyc bo tak a nie inaczej zaprojektowano TCP/IP.

Warstwa 7 - wszystko co podales (poza Snortem bo on nie ma tam zadnego zastosowania) to ataki na aplikacje, ich logike a jeszcze dokladniej mowiac na konkretne implementacje danej logiki i nie ma to nic wspolnego z firewall'ami. IDS juz bardziej albo proxy ale nie firewall sam w sobie.

Firewall ma pojecie o adresach IP, portach, protokolach (TCP/IP/UDP/itp) oraz jesli to tzw SPI Firewall (Stateful Packet Inspection) to potrafi sledzic stan polaczenia (nowe, w toku, pakiet powiazany z polaczeniem, itd) ale firewall nie zajmuje sie generalnie analiza wyzszych protokolow. Ja wiem ze teraz wiele firm dostarcza elementy umozliwiajace analize ruchu na poziomie zawartosci ale to nie jest juz czysty frewall tylko dodatek instruujacy firewall co zrobic z pakietem jesli pasuje on do danej reguly.

Moze sie czepiam ale tak to wyglada z mojej perspektywy.

[Whizz_BANG]

bardzo dobrze, ze sie czepiasz - mi to nie przeszkadza
No to teraz pare słów ode mnie.

Warstwa 2 - jesli siec nie ma dostepu fizycznego do innej sieci (chyba wiadomo o czym mowie - switch-switch itp) to poza stosowaniem dynamicznych VLAN'ow i trunk'ow ryzyka wielkiego nie ma - wszystkie zagrozenia "powinny" ograniczyc sie do jednego segmentu sieci. Rozwiazania jak port-security, igmp-snooping, dhcp-snooping powinny zabezpieczyc przed atakami ze strony systemow ktore masz we wlasnej sieci LAN i sa moim zdaniem bardzo dobrym pomyslem (najlepiej w ogole pelen NAC ale to troche wiecej pracy).

Do warstwy 2 odniosłem się tylko i wyłącznie ze względu na firewalle sprzętowe. Jak mi wiadomo trzy najbardziej popularne i stosowane to:
- Dual-Homed Host Firewall
- Screened Host Gateway Firewall
- Screened Subnet Firewall
Jakoś te routery trzeba skonfigurowac, żeby pełniły określone funkcje bezpieczeństwa.
Z tego co mi jeszcze wiadomo firewall sprzetowy potrafi działać jako zapora filtrująca oraz zapora posrednicząca.
Jako zapora pośrednicząca: proxy rozpoznaje komendy np. http oraz analizuje zawartość pobieranych stron WWW (działa w warstwie aplikacji , czyli 7, modelu OSI)
Jako zapora filtrująca potrafi filtrowac nie tylko pakiety (warstwa 3) ale także ramki (co zdecydowanie odnosi się do warstwy 2)

Warstwa 3 - dobrze skonfigurowany firewall to wlasnie to... w koncu firewall tutaj wlasnie dziala a nie na warstwie 2 czy >3 :-) tak wiec cala zabawa z firewallami (o ktora pytasz) odbywa sie na tej warstwie.
Nie rozumiem o co chodzi Ci z szyfrowaniem MD5 i GTSM oraz szyfrowaniem prefixow - co to ma do rzeczy? Prosze rozjasnij...

Rodzaje atakow ok... fragmentowane pakiety pozwalaja ominac niektore firewall'e, low TTL - nie wiem co ma dac w sumie bo jak TTL za niski to pakiet zniknie po drodze... DDoS - na to firewall srednio pomoze bo to musi wyciac Twoj uplink a nie Ty na swoim firewallu (przez ostatnie pare dni dostawalem po dupie DDoS'ami wiec znam nie tylko z teorii).

Zgadzam się, że olbrzymia część firewalla działa właśnie w tej warstwie. Co do pytań:
- szyfrowanie MD5 – wykorzystywane tylko i wyłącznie w celu ochrony protokołów routingu (RIPv2, OSPF itd.) poprzez dodatkowe uwierzytelnienie sąsiadów lub uaktualnien – co zapobiega atakom w warstwie gdzie funkcjonują protokoły routingu.
- GTSM – czyli Generalised TTL Security Mechanizm – dzięki temu GTSM chroni sesje BGP przed atakami, które mogą nastąpić od oddalonych hostów. Także 2 routery między którymi jest sesja eBGP wymieniają się pakietami IP z polem TTL ustawionym na 255, wszelkie wartości poniżej sa odrzucane.
- nigdzie nie wspomniałem o szyfrowaniu prefiksów. Jeżeli chodzi o filtrowanie prefiksów:
Filtry prefiksów rozgłaszanych do Internetu i otrzymywanych z Internetu. Wydaje mi się, że wlaśnie tutaj można zastosowac uRPF (unicast Reverse Path Filtering) do automatycznego wykrywania fałszowania adresu źródłowego (adres źródłowy będzie filtrowany po zawartości tablic routingu)
Co do DDos kiedys czytałem o czyms takim jak Blackholing wyzwalany zdalnie (RTBH) oraz Anycast Sinkhole. Musiałbym poczytać o tym dużo więcej, żeby dokładnie objaśnic co i jak.

Warstwa 4 - skanowanie portow i port sweep to dokladnie to samo (przynajmniej dla mnie)... SYN Flood - zakwalifikowalbym w wiekszosci przypadkow jako jeden z rodzajow DoS'ow, tak samo jak tcp sequence perdiction - temat dosc trudny i ciezko sie zabezpieczyc bo tak a nie inaczej zaprojektowano TCP/IP.

Wydaje mi się, ze tu się bardzo myslisz. Jak wiemy protokół TCP i UDP odpowiada warstwie 4 – transportowej. Z definicji: Porty protokołu – pojęcie związane z protokołami transportowymi TCP i UDP używanymi w Internecie do identyfikowania procesów działających na odległych systemach.
Dla mnie to jest zdecydowanie za firewallami, które należy tak konfigurować, żeby blokowały określone porty – czyli firewall bardzo mocno łączy się z warstwą czwartą.

Warstwa 7 - wszystko co podales (poza Snortem bo on nie ma tam zadnego zastosowania) to ataki na aplikacje, ich logike a jeszcze dokladniej mowiac na konkretne implementacje danej logiki i nie ma to nic wspolnego z firewall'ami. IDS juz bardziej albo proxy ale nie firewall sam w sobie.

Kolejny raz się nie zgodze. Wcześniej już odnosiłem się do proxy i dzialaniu w warstwie 7.
Takie programy jak robaki, wirusy, konie trojańskie – działają z poziomu aplikacji i żeby się rozprzestrzenic lub dalej wysyłać przez siec musza przejść przez firewall, który blokuje niepożądanych ruch w tle i tym samym jeżeli jakis program probuje komunikowac z siecia firewall powinien zablokowac porty.
Co do snorta, SQL injection, XSS attack (Cross-Site Scripting), Buffer Overflow Exploits
oraz Phishing przeczytalem kiedys przykłady przeciwdzialaniu przy odpowienidm skonfigurowaniu iptables (potężne narzedzie)

[TQM]

Dobre agrumenty... ale...

Jest tutaj pewna dosc spora niescislosc. Firewall to filtr pakietow. Jesli firewall operuje na warstwie 7 (L7 firewall) to albo robi analize protokolu aplikacji "w locie" (czyli mozliwe ze sam jest podatny na ataki bo parsuje dane - to akurat inny temat) albo dziala jako proxy... w tym drugim przypadku jest to proxy a nie firewall. Chodzi mi o rozroznienie pojec, choc wiem ze firmy czesto mieszaja je celowo. Postaram sie to mozliwie przystepnym jezykiem wyjasnic.

Przyklad - firewalle mam glownie sprzetowe od roznych producentow i poustawiane warstwami - WAN, fw1, front-cluster, fw2, app-cluster, fw3, db-cluster.

FW1 to firewall (w sumie cluster firewalli) robiacy filtracje i liczenie pakietow (liczenie aby odciac niektore floody itp), przed clustrem pierwszej warstwy serwerow jest cluster load-balancerow, kotre rozkladaja polaczenia na wlasciwe serwery. Te load-balancery tez w pewnym sensie "marketingowym" mozna nazwac firewallami, bo polaczenia L3 przekazuja np round-robin jako zwykly przekaznik, ale polaczenia HTTP szczegolnie przekazuja jako L7 wiec sa pelnym proxy ale bez cache - moge podjac decyzje gdzie wyslac polaczenia bazujac na rodzaju requestu itd (obrazki z serwerow 1-5, html+js+css z serwerow 6-8, dynamiczny content serwer 9 i 10... przez nastepny firewall do nastepnego clustra).

Czy load-balancer to firewall? Trzymajac sie definicji to nie ale patrzac funkcyjnie to tak - to firewall aplikacyjny - jesli dostanie skopany request (niezgodny z protokolem) w warstwie 7 to zamknie polaczenie i juz, mozna tez ustawic filtrowanie XSS, SQL Inj. itp ale to jest proxy, z lub bez cache, z regulami decydujacymi czy obsluzyc polaczenie czy nie - to daje wlasnie "application level firewall" albo tak zwany "L7 Firewall" - pod takim haslem znajdziesz to bardzo czesto w materialach reklamowych.


Wracajac na chwilke do warstwy 2 - firewalle sprzetowe maja po kilka interfejsow zazwyczaj i dzialaja najczesciej w 2 trybach - L2 albo L3.
L2 to bridge z filtrem IP - przekazuje dane miedzy portami filtrujac na bazie protokolu IP (uzywa informacji z warstwy 3) ale jest przezroczysty, tzn nie widac go jak robisz traceroute itd.
L3 to firewall robiacy routing lub NAT - ma swoj IP, caly ruch do sieci docelowej przechodzi przez niego, widac go jak robisz traceroute'a. Jesli dziala jako router to bedzie jako nastepny hop na trasie ale mozna tez zrobic tak (to sie roznie nazywa w zaleznosci od producenta sprzetu) ze publiczny adres (lub adresy) IP sa przypisane do portu WAN firewall'a i on przekazuje pakiety do sieci LAN/DMZ czy jakos inaczej nazwanej "strefy" robiac efektywnu Destination NAT.

Ktore rozwiazanie jest lepsze? Ja lubie uzywac L2 bo nikt nie widzi ze firewall jest ani co robi :-) ale nie zawsze sie tak daje... niektore firmy obsluguja to lepiej inne gorzej, jedne pozwalaja miksowac L2 i L3 w jednej konfiguracji (np miedzy interfejsami A i B robimy L2 a pozostale sa L3 z NAT) a inne zmuszaja wybrac czy bedzie L2 czy L3.

[Whizz_BANG]

sprytnie to przedstawiles dobre, na prawde dobre
czy mozesz polecic (masz lub znasz) jakies ksiazki, ktore wiazaly by sie z bezpieczenstwem i firewallem? (wersja angielska lub ewentualnie polska)

[TQM]

Ksiazek nie mam ale tak sie wlasnie zastanawiam ktory z producentow firewalli ma dobra dokumentacje i sporo ksiazek o swoich produktach... Cisco i Juniper - to chyba beda dwa wieksze jesli nie najwieksze... obie firmy robia outery i firewalle w sumie

Cisco ma swoje certyfikacje (CCNA, itp) - w materialach znajdziesz mase informacji o szczegolach konfiguracji, co mozna zrobic, czego nie...

Juniper - dwie linie systemow JunOS na routery i ScreenOS na firewalle. Pelna dokumentacje do Junipera mozna za free on-line sciagnac i to do konkretnej wersji softu wiec jest rewelka. Opisane bardzo przystepnym jezykiem (osobiscie wole dokumentacje Junipera niz Cisco ale to moje prywatne odczucie).

Te dwie firmy to imho standard jest. Ludzie uzywaja bardzo roznych rozwiazan od roznych producentow itd. Np Juniper nie pozwala mieszac L2 z L3 ale w L3 pozwala robic NAT, prosty load-balancing, itd. Cisco nie pamietam, nie konfigurowalem sam, poza tym Cisco ma rozne produkty ktore sa mniej lub bardziej zgodne ze soba (musisz zapytac kogos kto zna Cisco), Sonicwall pozwala miksowac L2 i L3 w jednym urzadzeniu (wskazujesz ktore porty jaki tryb maja miec), to prawie kompletny UTM jest, Mikrotik potrafi robisz ogromnie wiele, ale konfiguracja staje sie z czasem bardzo skomplikowana ale znowu jest zdecydowanie najtanszy, Draytek to z tego co widzialem/uzywalem glownie routerki do domow - na ADSL, ISDN, itd, rozbudowane, VoIP, WiFi, VLAN'y, VPN'y, SPI, blokowanie P2P i HTTP wg contentu... cenowo dosc przystepny.

Kazdy z tych produktow realizuje podobne lub te same funkcje ale na swoj sposob. Jeden bedzie analizowal pakiety uzywajac engine'u do obroki pakietow, drugi bedzie mial osobny proces do obslugi tego jeszcze inny bedzie uzywal zewnetrznego systemu (np Mikrotik - ustawiasz http proxy na zewnetrznej maszynie, mikrotik przekierowuje na proxy, proxy robi filtracje). Ile producentow tyle rozwiazan - kazde ma swoje wady i zalety.

... no i do tego dochodzi cala seria firewalli programowych, czy to Linux czy *BSD czy Solaris czy nawet windowsowy firewall (jesli ktos ma serwery na windowsie). One maja swoje zasady i swoje mozliwosci (czesto wynikajace z dodatkowych funkcji zaimplementowanych w kernelu - poza firewallem), generalnie sa L2/L3 i nie siegaja wyzej, chyba ze przez zewnetrzne aplikacje. Jesli o tym mowa to netfilter ma mase dodatkow ktore mozna dokompilowac do kernela - wtedy zaczyna sie fajna zabawa :P

UPDATE
Mam jednak jakies ksiazki...
- Linux firewalls (pamietam ze mam ale zostala w Polsce)
- ... manuale produktow ktore uzywam :-)

Co moze byc ciekawe (tytuly wziete z Amazon.com)?
- Configuring Juniper Networks NetScreen & SSG Firewalls
- ScreenOS Cookbook
- Cisco ASA, PIX, and FWSM Firewall Handbook
- Building Firewalls with OpenBSD and PF

[Whizz_BANG]

Tez wlasnie kręce sie wokół tych dwoch firm.
Jeszcze jakis miesiac temu trzeba bylo miec z CCNA wszsytko w glowie zeby zdac egzamin :] Także wiem, ze materialy sa szalenie dobre z CISCO. Bardzo duzo mozna wyniesc, jezeli chodzi o budowe sieci (od rzeczy podstawowych do bardzo zaawansowanych)

Jezeli chodzi o Juniper ostatnio czytalem o niby najlepszym firewallu na swiecie wlasnie stworzonym przez ta firme. Nazywa sie on Juniper SRX 5800
podam moze linka:
http://www.networkworld.com/reviews/...kg=cct&ap1=rcb
calkiem ciekawy artykuł

Powracajac do tematu ksiazek, pare wlasnie przewinelo mi sie przez rece. Calkiem dobre na ktore wg mnie warto zwrocic uwage to
- LINUX FIREWALLS Attack Detection and Response with iptables, psad, and fwsnort by Michael Rash
- Configuring Juniper Networks NetScreen & SSG Firewalls by Rob Cameron, Brad Woodberg, Mohan Krishnamurthy Madwachar - ta o ktorej wspomniales

Co do firewalli programowych zgadzam sie - jest tego cala masa.
Dziekuje za propozycje ksiazkowe i za informacje. Postaram sie przejrzec i dowiedziec czegos wiecej

[TQM]

"ScreenOS Cookbook" potrakuj jako dodatek do tej o Juniperze bo ksiazka nie dosc ze ma podane receptury a dokldanie gotowce na rozwiazanie najczesciej stwarzajacych problemy elementow to do tego bardzo bardzo dokldanie omawia co, jak i dlaczego. Kazda konfiguracja rozrysowana jako schemat sieci, kod omowiony linijka po linicje. Polecam - wlasnie zakupilem :P

[recarep]

Hej

Jeśli chcesz rozszerzyć wiedzę nt firewalli to zajrzyj tu:
http://omijanie-zapor-sieciowych.eprace.edu.pl/

to ponad 100 stron o firewallach, ich dziurach, omijaniu firewalli, a takze zabezpieczeniom przed tym

ja dużo skorzystałem


pzdr,
Peter