עניינים תוכן1. ארגונית – רשת ומתכננים בונים כיצד מאובטחת רשת
מאובטחת :בצורה
כלליים .מושגים
כתובות וחלוקת IP.סגמנטציה
רשת עלי DMZ ? , מהי מגנה הסגמנטציה .וכיצד
לפי הפנימית ברשת כתובות RFC 1819.חלוקת
כתובות תרגום .שימושים, סוגים ( NAT) , מהו
הבחירה "" אל הבחירה המסע אל ". . .". . .המסע
עניינים תוכן
1. מידע אבטחת FireWall -מערכות מערכת FireWallמהי.
ה מערכת של - FireWall.תפקידיה
מערכת ליישום ,חסרונות \ יתרונות FireWall , מתודולוגיותממערכת לצפות ניתן FireWall.מה
2. אבטחה – פתרון בבחירת צרכים ואפיון ניתוח למי מתאים :מה
חומרה תוכנה (Appliance) VS פתרונות פתרונות
ע הפתרון הארגון "התאמת סוג : / SOHO / SMBפ Enterprise
עניינים תוכן1. ה לשוק המובילים הפתרונות SMB / Enterpriseהצגת
Check Point
Cisco PIX
Net Screen
פתרונות מגוון . . .ועוד
כללים מושגים
והיום אז מידע אבטחת . . .פתרונות
R
R
QOS VPN FireWallInternal Network
QOS + VPN + FireWallInternal Network
Internet
Internet
הארגונית הארגונית הרשת הפשוטההפשוטה הרשת
ה הארגונית , DMZרשת הרשת על מגנה היא ?וכיצד
DMZ - Demilitarized Zone (“ המפורז” האזור ) הארגונית לרשת חיצוני הפנימית (סגמנט ניתוב ) הרשת בעלת
הארגון של החיצונות האינטרנט” (לרשתות לרשת ניתוב כ בד ) ,ה בד DMZברשת ל "נחבר שמספקים השרתים את עולם"כ "
שרתי :כגון,שירותים Web / FTP, שרתיMail / Mail Relay , . .ועוד ,Content Inspectionשרתי
העולם לכלל נגישים מספר , השרתים יתכנו גדולים בארגוניםDMZרשתות
DMZ שפת ב Cisco גם : FTZ – Free Trade Zoneנקרא
RFC - Request for comment’s• RFC - טכניים בדיווחים מתועדים האינטרנט פרוטוקולי
ה , RFCהנקראים באתר אלה תקנים לקרוא ניתן Web שלIETF (Internet Engineering Task Force)ארגון
באתרים חיפוש לבצע מאד www.Google.com :מומלץhttp://www.rfc-editor.org http://www.ietf.org
Class First Byte Range
Decimal Format
Binary Format
A 1-127 10.1.1.13 00001010.00000001.00000001.00001101
B 128-191 130.14.1.2 10000010.00001110.00000001.00000010
C 192-223 204.30.13.45 11001100.00011110.00001101.00101101
3 main classes of IP addresses: A, B and C:• A class address: 1-126
127 networks, ~16M hosts/network• B class address: 128 - 191
16,000 networks, 65,532 hosts/network• C class address: 192 - 223
~2M networks, 254 hosts/network• D class address: 224 – 241 (Multi Cast)• E class address: 242 – 255 (Testing)
כתובות האינטרנט IPחלוקת ברשת
RFC 1918 כתובות של של קבוצות מספר מגדיר IP שמורותכתובות לחלוקת ארגונית IPהמיועדות הפנים .ברשת
1 Class A Network Number: 10.0.0.0 - 10.255.255.255
16 Class B Network Numbers: 172.16.0.0 - 172.31.255.255
256 Class C Network Numbers: 192.168.0.0 - 192.168.255.255
לפי הפנימית ברשת כתובות RFC 1918חלוקת
ע המוגדרות פ “הכתובות RFC 1918 , האינטרנט ברשת ניתוב בעלות אינן
Network Address Translation - NAT
שימושים: מידע ה - אבטחת כתובות גילוי .שלי LANמניעת תפעולית בכתובות - סיבה .חוקיותIP חוסר
יישוםNAT ל שיטות3 מתחלק : כתובות ).סוגים- Static NAT ( 2 תרגום כתובות Hide NAT ( -.(Dynamic NAT הסתרת
How FireWall-1 Reads IP Addresses
NAT Modes• Static Source Mode
כתובת מ כתובת IPתרגום ל הפנימית מהרשת חוקית חוקית IPלאהחיצונית , לרשת האינטרנט (ביציאה רשת .(
• Static Destination Modeכתובת מ כתובת IPתרגום ל הפנימית IPחוקית ברשת חוקית ,לא
הפנימית לרשת החיצונית מהרשת .בכניסה• Hide Mode
כתובות קבוצת מאחורי IPמסתיר הפנימית מהרשת חוקיות לא) IPכתובת מ , חוקית ) אחת וגישה ניתוב הרשת \ בעלת ואל
.החיצונית
Static Source Mode
כתובת מ כתובת IPתרגום ל הפנימית מהרשת חוקית לרשת , חוקית IPלא ביציאההאינטרנט (החיצונית רשת .(
Static Source NAT
Address Translation Using Static Source Mode
Static Destination Mode
כתובת מ כתובת IPתרגום ל הפנימית IPחוקית ברשת חוקית בכניסה, לאהפנימית לרשת החיצונית .מהרשת
Address Translation Using Static Destination Mode
Address Translation Using Static Destination Mode
Hide Mode\ Hidden Nat \ Dynamic Mode
כתובות קבוצת כתובת IPמסתיר מאחורי הפנימית מהרשת חוקיות IPלא( מ , חוקית ) אחת וגישה ניתוב החיצונית \ בעלת הרשת ואל .
Dynamic NAT
Hide Mode Address Translation
Static NAT - כתובות תרגום
כתובת אחרת IPתרגום לכתובת .אחת ה כתובות בין הוא IPהיחס המתורגמת הכתובת לבין
הצלבה של יחס IP <=> IP Translation
חוזר ניתוב בעלת להיות צריכה הכתובת Static NAT מ אפשרויות2 בנוי :
Src-Static - מקור Dst-Static - יעד
Hide NAT – Dynamic NAT כתובות הסתרת
של Many To One : IP X1…Xn==> IPיחס ההסתרה חוזר כתובת ניתוב בעלת להיות צריכה
שמחיבות : חיסרון מערכות יש Static IP תקין באופן לעבוד .כדי הגבלה: Hide Mode (Dynamic NAT) עם עובד לא
ה של דינמי בשינוי תומכים שאינם .Number Port -פרוטוקולים הExternal Interface ה להיות FWשל המועדף הוא
ההסתרה את לבצע ” ,הכתובת ונגישה מנותבת כ בד הכתובת . ההסתרה לביצוע דינמית כתובת להגדיר 0.0.0.0ניתן
Applying Hide NAT on Check Point NG
Applying Hide NAT on Check Point NG
Applying Static NAT on Check Point NG
Applying Static NAT on Check Point NG
Applying Dynamic NAT on Cisco Pix
בין שמחבר יותר 2 התקן או מידניות ) פנימית\ חיצונית ( רשתות אכיפת כדי תוךמידע אבטחת
בכלל זה מה בכלל אז זה מה ? FireWall ?FireWallאז
מאיזה חשיבות המידע Interfaceאין ה , מגיע FW מפעילללא דרכו שעובר המידע על החוקים מערכת את ובודק
המקור מהו חיצוני (התייחסות או פנימי .(
בכלל זה מה ? FireWallאז
What a Firewall Cannot Protect
Against malicious authorized users
Against connections that don’t go through it
100% against all threats*
A firewall is only as effective as the security policy it supports
and the networks it protects.
* New ways to break through networks are continually developed. To combat this, Check Point continually develops and distributes new methods of protection against unauthorized access to your network.
Firewall Cannot ... תוכן לבדוק יכול ה , לא את רק לבדוק יכול Header הפאקט של
מוגבלות FW-1ל ) הם אך תוכן לבדיקת אפשרויות ).יש ב לו רשום שלא מה לאכוף יכול .Rule Baseלא
לו ידועים שלא בפרוטוקולים שימוש כנגד להגן יכול .לא ” מבפנים “ אידיוטים כנגד להגן יכול .לא
חדשים שלו FW -איומים ההתקנה לזמן לבצע , טוב חייביםהמערכת לגרסת שוטפים יישום , עדכונים של תקופתיות ובדיקות
החוקים .מערכת
Firewall Can ...
רשתות .לחבר הארגון של המידע אבטחת מידניות את לאכוףהפנימית התקשורת לקישור חיצונית\ ביחס . היוצאת הרשת תעבורת על נכנסת\ בקרה .
העולם כלפי הפנימיות הרשתות של החשיפה .הגבלת
TCP/IP Stack - OSI Module
ה ברמת Portזיהוי
ה ברמת IPזיהוי
האפליקציה ברמת \זיהויההצפנה
ה ברמת Session IDזיהוי
אבטחה מנגנוני של מודלים
Packet Filtering (Network Level (ACL on router
Application Layer Gateway(Application Level (Proxy Server
Stateful InspectionBefore Network Level
Packet Filtering Path in the OSI Model
פאקטים שרשומים ” , מסנן נתונים אותם פ ע החלטות לקבל יודעה ברמת עצמו IP: Sou, Des, Tcp/Udp des/sou, Port #, Icmp -בפאקט
ל הזהה Routerב Access Listיישום
של ליישום בנתב Access Listדוגמא
access-list 102 permit tcp any any establishedaccess-list 102 permit icmp any anyaccess-list 102 permit tcp any any eq smtpaccess-list 102 permit tcp any any eq pop3access-list 102 permit tcp any any gt 1023access-list 102 permit udp any any gt 1023access-list 102 permit tcp host 192.116.132.2 any eq telnetaccess-list 102 permit tcp host 192.116.132.3 any eq telnetaccess-list 102 permit tcp host 194.90.10.10 any eq telnet
Packet Filter FTP Example
ליישום Packet Filteringיתרונות
בחינם (זול תוכנות מספר יש .(למשתמש .שקוף
דברים - נתב למספר אותי משמש .טובים ) - חומרה(נתב יותר ביצועיים .
קלה , אמינות שוטפת תחזוקה .
Application
Presentation
Session
Transport
Network
Data Link
Physical
ליישום Packet Filteringחסרונות
נמוכה ברמה .אבטחהכל לגלות " מוצר"לא יודע IP Spoofing.ליישם ניתן .SecurityContent לא
אחרי תמה ” ההגנה הרשת “ שכבת . חומרה של שידרוג - במקרה לבצע ניתן לא .
ולהגדיר ליישם .Access Listקשהטובים שהגדרתי החוקים אם לבדוק .קשה
LOG - מלא תמיד לא הלוג .קובץלהתקפות יותר . D.O.S פגיע
High Port - מעל פורטים על שליטה לי 1024.אין
Application
Presentation
Session
Transport
Network
Data Link
Physical
Application Layer Gateway (Proxy)Application Layer Gateway (Proxy)
Application Layer Gateway (Proxy)
Web Server
ServerClient
Client
1
43
2
Proxy Server
ליישום Application Layer Gatewayיתרונות
גבוה ברמה .אבטחהCache ( סטטי\ דינמי .(
פאקטים של מעבר אין . נופלהאפליקציה לשכבת מלאה .מודעות
.? -מחיר
Application
Presentation
Session
Transport
Network
Data Link
Physical
ליישום Application Layer Gatewayחסרונות
Overhead גדול .חומרה : ביצועים מעבד ,זיכרון" (חזקה"דרושה ,
HDD ).• בפרוטוקולים בתמיכה בהגדרת ( מוגבל גמיש לא
חדשים ).פרוטוקולים• חדשות בד \ אפליקציות מוכרות לא "לא כ
.נתמכות למשתמש שקוף ה - לא ישומי רוב Proxy -
התקנת . Agentדורשים
? -מחיר
Application
Presentation
Session
Transport
Network
Data Link
Physical
Check Point VPN-1/FireWall-1 Enforcement Module
Statetfull InspectionStatetfull Inspection
Statetfull Inspectionעובד זה עובד איך זה ??איך
שניהם של :שילובהאפליקציה ברמת ה + בדיקה ברמת בדיקה ACL
יתרונות: החוקים במערכת האבטחה רמת ויסות .יכולת ה ויסות במערכת - overheadיכולת .הנוצר
התקשורת של דינמית פעולות טבלה שומרת המערכתיוזמים , ( sou,des,port-sou,port-des )שיזמנו כאשר
תשובה ומקבלת נבדקת , תקשורת המקור אמינותמאושר , בטבלה הקשר תקין הכל אם .
Benefits of Stateful Inspection
• ביותר הגבוה ברמה .אבטחה
• גבוהים גבוה + ביצועים וויסות סינון יכולת .• האפליקציה לשכבת מלאה .מודעות
• שידרוג במוצר (יכולת תלוי . (• חוקים בהגדרת מלאה .גמישות
• פרוטוקולים בהגדרת מלאה חדשות \ גמישות אפליקציות .• למשתמש .שקוף
Check point FireWall-1 Inspect Engine
Located in the Kernel Module
Accepts, Rejects or Drops Packets•Rejects -> Connection Refuse•Drop -> No Answer, Connection Time Out
Saves system processing time and resources
Inspection Engine Inspects Packets
• The Inspection Engine in the kernel module inspects the packets by accessing its rule base
Allow, Drop or Reject Packets
• If packets do not pass inspection, they are rejected, or dropped, according to the rule base.
VPN-1/FireWall-1 NG Enforcement Module
INSPECT Engine Flow
INSPECT Engine Flow
למי מתאים ? מהאבטחה פתרון בבחירת צרכים ואפיון ניתוח
חומרה תוכנה VS (Appliance)פתרונות פתרונות
חומרה :יתרונות - (Appliance)פתרונותטובים מערכת .ביצועיגבוה \אמינות שרידות .
בד – גבוה מוכרת "אבטחה לא הפעלה מערכת כ .לבצע – צורך אין גובה .Host Securityאבטחה
ההפעלה למערכת שוטפת בתחזוקה צורך .איןמהירים \ גיבוי שיחזור .
חומרה לרכוש צורך ייעודי - אין שרת .הפעלה למערכת תוכנה רשיון לרכוש צורך .אין
משולבות מערכות נתב קיימות + FireWall.בחיבור בניהול .Consoleתמיכה
חומרה תוכנה VS (Appliance)פתרונות פתרונות
חומרה :חסרונות - (Appliance)פתרונותסגורה • מערכת "בד: מערכת בהגדרות שינויים לבצע ניתן לא כ
.ההפעלה שידרוג "בד: חומרה • לבצע ניתן לא כ .
רשת • הרשת "בד: כרטיסי כרטיסי במספר מוגבל כ .לוג "בד: לוגים • קובצי לשמירת מצומצם מקום מוקצה כ .
חריגות \ תמיכה • בתמיכה : תקלות הפעלה "בד, קושי מערכת כמוכרת .לא
מרחוק • מסך : ניהול לחבר ניתן ישירות + לא מקלדת .הפתרון : מחיר • במחיר נכללת החומרה .
חומרה • אחריות
חומרה תוכנה VS (Appliance)פתרונות פתרונות
תוכנה חסרונות- פתרונות : ארוך התקנה המערכות ( תהליך בכל לא .(
לבצע המערכות ) Host Securityצריך בכל ).לאלבצע צורך ההפעלה קיים למערכת שוטפת תחזוקה .
בד המערכת לכלל מלא שיחזור וארוך "תהליך מסובך כ .ייעודי - חומרה המערכות ( שרת בכל לא .(
הפעלה למערכת תוכנה רשיון המערכות ( דורש בכל לא .(
חומרה תוכנה VS (Appliance)פתרונות פתרונות
תוכנה יתרונות- פתרונות : פתוחה • מערכת "בד: מערכת בהגדרות שינויים לבצע ניתן כ
ה \ ההפעלה מערכת לגרסת עדכונים FireWall.החומרה "בד: חומרה • את לשדרג ניתן כ .
רשת • הרשת : כרטיסי כרטיסי במספר מוגבל לא .לוג : לוגים • קובצי לשמירת מקום הגבלת אין .
חריגות \ תמיכה • מוכרות "בד: תקלות הפעלה מערכת כ .מקומי • מסך : ניהול לחבר לשרת + ניתן ישירות מקלדת .
חומרה • ב : מחיר להסתפק ניתן לעיתים אך בפתרון תחנת "תלויחזקה" עבודה .
ע הפתרון הארגון "התאמת סוג פ
SOHO - Small Office - Home Office
הביתי למשתמש קטן \ פתרונות .משרד
משתמשים : 5 \ 10 \ 15 \ 25מספר
כעד "בד המוגבלים פתרונות רשת - 2 כ אין "בד(כרטיסי כ
ל רשת ).DMZכרטיס
גודל : מחיר 200$ - 1,200 $סדר
ע הפתרון הארגון "התאמת סוג פ
SMB - Small \ Medium Business
הקטן למשרד .בנוני\ פתרונות
משתמשים IP.: 25 \ 50 \ 100כתובות \ מספר
כעד "בד המוגבלים פתרונות רשת -3 כ .כרטיסי
:מחיר
ע הפתרון הארגון "התאמת סוג פ
Solutions / ISP Solutions Enterprise
גדולות לחברות .פתרונות
משתמשים .IP : 100 \ 250 \Unlimitedכתובות \ מספר
ב "בד התומכים פתרונות .High Availabilityכ
של : מחיר גודל ).ומעלה$ (20,000 $ - 4,500סדרי
http://www.icsalabs.com/index.shtml
SOHO / SMB / Enterprise
חברות פתרונות\ מוצרים \ הצגת
ZyWall 10 / ZyWall 50
ZyWall 100
http://www.zywall.com
•Packet Filter •Stateful Packet Inspection
SofaWare – S-Box Safe@Office
http://www.sofaware.com
• Check Point Stateful Inspection
http://www.sonicwall.com/products/demo/index.html
Sonic WALL SOHO 3Sonic WALL PRO 100
Sonic WALL TELE3 TZX
•stateful packet firewall
Check Point - Intrusion.Com
• Check Point Stateful Inspection
WebUI (HTTP/HTTPS)
WebUI (HTTP/HTTPS)
WebUI (HTTP/HTTPS)
Router-Based Firewall Functionality — Available on a wide range of Cisco IOS-based routers, the Cisco IOS Firewall offers sophisticated security and policy enforcement for connections within an organization (intranet) and between partner networks (extranets), as well as for securing Internet connectivity for remote and branch offices.
Cisco IOS Firewall
Check Point – FireWall-1מוצר מוצר גרסאות ::גרסאות
1.0 \ 1.1גרסה :19932.5גרסה 3.0גרסה 4.0גרסה :19984.1גרסה :1999
2000: Check Point 2000 - FireWall-1 4.1 sp 12000: FireWall-1 4.1 sp 22001: FireWall-1 4.1 sp 3
2001:/ 5 FireWall-1 4.1 sp 42002: FireWall-1 4.1 sp 6
2002: FireWall-1 N.G (Next Generation)
בישראל 80% מהשוקה 60% בעולם VPNמפתרונות
Check Point – FireWall-1
ה מערכת של תוכנה :NGגרסאות2. Check Point NG (not release for public)
3. Check Point NG HP-1 (Hot Fix 1)4. Check Point NG HP-2 (Hot Fix 2)
5. Check Point NG FP-1 (Feature Pack 1)6. Check Point NG FP-2 (Feature Pack 2)7. Check Point NG FP-3 (Feature Pack 3)
פלטפורמות איזה להתקין \ על ניתן הפעלה מערכות Check Point (רשימה):חלקית
Software (NG FP-3) Windows NT Server / 2000 Server Sun Solaris Linux (Red Hat) Secure Platform
Hardware: • Nokia (free BSD )• Intrusion.com (Linux – Red Hat)• Nortel (Alteon Switched Firewall)• VPN Dynamics• Compaq / IBM • SofaWare (S-Box)
Check Point - Secure Platform
ה מערכת , Secure Platform FP-3מערכת מערכת FireWall-1/VPN-1הינה גבי על המותקנת מלאהה Linux Red hat 7.3הפעלה מערכת את חברת FireWall-1וכוללת של ביותר והמתקדמת העדכנית
Check Point ה 3- מערכת -Next Generation Feature Pack.
ע במיוחד והותאמה פותחה ההפעלה י "מערכת Check Point ה מערכת ,שלה FireWall-1/VPN-1עבורביותר "ע גבוהה אבטחה ורמת משופרים הפעלה מערכת ביצועי להשיג מ .
שוטף באופן ההפעלה מערכת של ופשוט קל ניהול המאפשרת משוכללת תפריטים מערכת כוללת גם(המערכתלינוקס מבוססת הפעלה במערכות רקע ).לחסרי
ע מתבצעת במערכת החוקים של "הגדרת הרגילים הניהול כלי י CP FireWall-1 FP-3.
כדוגמת ומשופרות חדשות אבטחה יכולות שולבו ב : במערכת התומכת מתקדמת קבצים מערכת -Journaled File System , ע מרוחק י "ניהול SSH , לגיבוי מהירים \אפשרות מערכת שיחזור .
Check Point - Secure Platform
מערכת להטמיע כשרוצים בודקים FireWallמה
פתרון ראשונית :עלות ע , עלות כתובת "תמחור פ IP אוConcurrent Session.
שנתית חומרה אחריות מאוד ( עלות של !!! חשוב במקרה Appliance).
גרסאות חידוש שנתיים \ עלות עדכונים .
שוטפות ) TCOעלויות שנתיות תחזוקה ).עלויות
טכנית תמיכה תומך (עלות המוצר ? , מי כמה בארץ" מוכר"עד .(
שידרוג – לבצע ניתן האם רשת \ שינויים \ חומרה כרטיסי הוספת ?.
מיוחדת תכונות וכדומה , VPN Module ): עלות אוטינטיקציה מערכות עם .)שילוב
כספיים שיקולים
מערכת להטמיע כשרוצים בודקים FireWallמה
טכנולוגיים שיקוליםהטכנולוגי והסמכות (הפתרון תקן גופי בדיקת .(
חוקים בהגדרת הפתרון וכו \ גמישות חדשים פרוטוקולים ...
חיצוניות למערכות לוגים ( חיבור מערכות \אוטינטיקציה \ ניתוח PKI \
( Content Securityמערכות
בהצפנה VPN ( / Remote Access – Client To GateWay \תמיכה
GateWay to GateWay)
ה מערכת מוצפן\הצפוי רגיל Throughput-ה ) FireWallביצועי .(
מערכת להטמיע כשרוצים בודקים FireWallמה
ואחרים טכנולוגים שיקולים
שליטה – כלי מרוחק ובקרה, ניהול ,ניהול :(SSH/Telnet / Web Base / CLI / Console Gui Client /).
מקומי מסך \ Console)ניהול לחבר ניתן מקלדת + האם ? ).
שוטף המוצר : ניהול את לנהל קל כמה ניסיון ? (עד לחסרי .(
מוכרת ההפעלה מערכת לתפעול \ האם קלה .
מרכזית ניהול מערכת קיימת .האם
המוצר הגדרת לגבי תיעוד קיים אינטרנט(תחזוקה + האם .(
הדרכה קורסי קיימים רשמיים \ האם הסמכה .
מערכת להטמיע כשרוצים בודקים FireWallמה
ואחרים טכנולוגים שיקולים
חומרה – גבוהה בשרידות חומרה (תמיכה תוכנה\ ברמת .(
ב פנימית ) High Availabilityתמיכה חיצונית \ תוכנה מערכת .(
הקצה למשתמש הארגון \ שקיפות ברשתות הטמעה .