2) Serwery pośredniczące (proxy) Serwery pośredniczące służą nie do wybiórczego przekazywania pakietów IP (jak filtry pakietów), ale do wybiórczego przekazywania.

Prezentacja na temat: "2) Serwery pośredniczące (proxy) Serwery pośredniczące służą nie do wybiórczego przekazywania pakietów IP (jak filtry pakietów), ale do wybiórczego przekazywania."— Zapis prezentacji:

1 2) Serwery pośredniczące (proxy) Serwery pośredniczące służą nie do wybiórczego przekazywania pakietów IP (jak filtry pakietów), ale do wybiórczego przekazywania treści zawartej w pakietach (żądań i odpowiedzi protokołów warstwy aplikacji) – z tego powodu są czasami nazywane „filtrami na poziomie aplikacji”. Ich podstawowym zastosowaniem jest separacja klientów umieszczonych w sieci lokalnej od serwerów umieszczonych w nieznanych sieciach (w Internecie). Serwery pośredniczące wobec klientów z sieci wewnętrznej zachowują się tak, jak serwery docelowe (udzielają odpowiedzi w ich imieniu), zaś wobec serwerów zewnętrznych – jak klienty (przysyłają żądania w imieniu klientów). Proxy może też podejmować decyzję, które żądania i odpowiedzi przekazywać, a które nie (może, na przykład, uniemożliwiać kierowanie żądań przesłania stron domowych do serwerów znajdujących się na czarnej liście, jak również pozbawiać przysyłane strony niepożądanych dodatków, takich jak skrypty wykonywane po stronie klienta). Serwer proxy, który nie wprowadza żadnej „cenzury” żądań i odpowiedzi (przekazuje wszystko, opakowując jedynie w nowe pakiety), nazywany jest uniwersalnym serwerem pośredniczącym.

2 Uniwersalny serwer pośredniczący (generic proxy) w gruncie rzeczy jest w stanie zapewnić ten sam stopień bezpieczeństwa, co filtr pakietów – chroni maszyny w sieci wewnętrznej przed złośliwie zmodyfikowanymi pakietami, ale sam jest narażony na ich otrzymywanie i musi posiadać odpowiednio zabezpieczone oprogramowanie. Jeśli serwer pośredniczący dysponuje wystarczająco obszerną pamięcią, może pełnić rolę buforującego serwera proxy. Serwer taki zapamiętuje odpowiedzi udzielane na często zadawane pytania przez klienty z sieci lokalnej (na przykład magazynuje treści często odwiedzanych stron domowych) i w razie potrzeby jest w stanie od razu udzielić odpowiedzi, nie przekazując w ogóle żądania do serwera docelowego – może to w istotnym stopniu zmniejszyć ruch w sieci i przyspieszyć działanie. Jest możliwe zastosowanie pośredniczenia nie tylko po stronie klienta, ale i po stronie serwera. Pośrednik po stronie serwera (odwrotny pośrednik, ang. reverse proxy) ma zwykle za zadanie: – zwiększenie zabezpieczenia serwera przed atakami z zewnątrz; – równomierne rozkładanie obciążenia na kilka serwerów pracujących równolegle.

3 W zależności od swojego rodzaju serwery proxy mogą być w mniejszym lub większym stopniu kłopotliwe w działaniu dla klientów. Przekazanie pośrednikowi żądania połączenia się z docelowym serwerem może być wykonane przez: – oprogramowanie klienta (które musi być odpowiednio zmodyfikowane tak, aby automatycznie łączyło się z pośrednikiem, a nie próbowało łączyć się bezpośrednio z serwerem docelowym; – oprogramowanie systemu operacyjnego klienta (które musi mieć zmodyfikowane oprogramowanie protokołów komunikacyjnych tak, aby automatycznie zamieniało adresy i numery portów w pakietach generowanych przez program klienta); – świadome działanie użytkownika klienta (który musi podjąć odpowiednie działanie, na przykład wstępne zalogowanie się na serwerze proxy); – ruter obsługujący pośredniczenie (który będzie przekierowywał pakiety przychodzące z sieci wewnętrznej do serwera proxy zamiast do serwera docelowego). Ostatnie z wymienionych rozwiązań jest najdogodniejsze dla użytkowników i klientów, gdyż nie muszą w ogóle o nim wiedzieć (jest to tak zwane pośredniczenie niewidoczne – ang. transparent proxying). Jednocześnie jest niestety najmniej dogodne dla administratora i najmniej bezpieczne.

4 Zalety pośredniczenia: - możliwość bardziej inteligentnego filtrowania ruchu, niż przez filtry pakietów; - lepsze (bardziej precyzyjne i oszczędne) rejestrowanie zdarzeń w dziennikach; - możliwość buforowania (i późniejszego odtwarzania) odpowiedzi serwerów; - możliwość uwierzytelniania użytkowników połączeń wychodzących (nie wszystkim wszystko wolno); - ochrona słabych implementacji protokołów komunikacyjnych. Wady pośredniczenia: - jest (przeciętnie) mniej wydajne, niż filtrowanie pakietów; - nie wszystkie usługi umożliwiają pośredniczenie; - różne usługi mogą wymagać różnych pośredników; - bardziej bezpieczne rodzaje pośredniczenia wymagają zmian oprogramowania klienckiego i/lub sposobu jego użytkowania.

5 3) Translacja adresów sieciowych Translacja adresów sieciowych (NAT –Network Address Translation) służy do tego, żeby w sieci wewnętrznej można było używać innego zestawu adresów sieciowych, niż zestaw adresów używanych do komunikacji z sieciami zewnętrznymi. Ma dwa podstawowe cele: - umożliwienie jednoczesnej komunikacji z sieciami zewnętrznymi większej liczbie klientów, niż wynosi liczba adresów przydzielonych przez dostarczyciela łącza zewnętrznego; - ukrycie przed użytkownikami sieci zewnętrznych systemu adresowania (i struktury) sieci wewnętrznej. Do wyłącznego użytkowania w sieciach wewnętrznych przeznaczone są trzy zakresy adresów IP (tak zwane pule adresów prywatnych): od 10.0.0.0 do 10.255.255.255 (maska /8) od 172.16.0.0 do 172.31.255.255 (maska /12) od 192.168.0.0 do 192.168.255.255 (maska /16)

6 W najprostszym przypadku („czysty” NAT) następuje jednoznaczne odwzorowanie adresów wewnętrznych na zewnętrzne – ogranicza to liczbę hostów równolegle komunikujących się z siecią zewnętrzną do liczby adresów zewnętrznych udostępnionych przez ISP (w obecnych czasach często jest to tylko jeden adres). Bardziej typowym przypadkiem jest PAT (Port and Address Translation). Polega on na dynamicznym przydziale pary (adres zewnętrzny, numer portu zewnętrzny) każdej parze (adres wewnętrzny, numer portu wewnętrzny) wykorzystywanej przez któryś z hostów w sieci wewnętrznej do nawiązania połączenia z siecią zewnętrzną. Aktualna tablica translacji jest przechowywana w pamięci urządzenia dokonującego translacji (zazwyczaj rutera na wejściu do sieci wewnętrznej). Ponieważ zarówno zakres numeracji portów TCP, jak i portów UDP wynosi od 0 do 64 K – 1 (od tego należy odjąć numery portów przyporządkowane usługom standardowym), więc zazwyczaj PAT jest w stanie obsłużyć całe zapotrzebowanie na równoległe połączenia wychodzące. Uwaga: w oczywisty sposób translacja adresów uniemożliwia inicjowanie połączeń z zewnątrz do hostów w sieci wewnętrznej.

7 Zalety translacji adresów: - zwiększa możliwości równoległego komunikowania się wielu hostów z sieciami zewnętrznymi); - polepsza nadzór nad połączeniami wychodzącymi (wymusza przejście przez firewall); - prawie uniemożliwia inicjowanie połączeń z sieci zewnętrznej; - ukrywa konfigurację sieci wewnętrznej przed użytkownikami sieci zewnętrznych. Wady translacji adresów: - w przypadku komunikacji przez UDP lub ICMP (nie przez TCP) trudno jest dobrać najwłaściwszy czas przechowywania informacji w tablicy translacji adresów; - powoduje kłopoty, jeżeli protokół komunikacyjny zapisuje adresy źródłowe i numery portów nie tylko w nagłówkach pakietów, ale również w innych miejscach; - utrudnia działanie niektórych systemów szyfrowania i uwierzytelniania (zamiana adresów i numerów portów narusza integralność pakietów); - utrudnia rejestrowanie zdarzeń (wymaga precyzyjnego pomiaru czasu dokonywania i usuwania wpisów w tablicy translacji adresów; - niewłaściwa konfiguracja może zakłócić prawidłowe filtrowanie pakietów (PAT nie powinien przydzielać numerów portów przewidzianych dla usług standardowych).

8 4) Wirtualne sieci prywatne Wirtualne sieci prywatne (VPN – Virtual Private Networks) służą do zapewniania bezpiecznych połączeń między dwiema sieciami, do których mamy zaufanie („prywatnymi” – na przykład należącymi do jednego właściciela), które są oddzielone od siebie obszarem sieci publicznej (do której nie mamy zaufania). Stanowią korzystną cenowo alternatywę dla prowadzenia prywatnych połączeń fizycznych. Działanie VPN opiera się na szyfrowaniu i sprawdzaniu integralności całej informacji przesyłanej pomiędzy dwiema sieciami prywatnymi przez sieć publiczną (zewnętrzną). Bezpieczeństwo VPN w dużym stopniu zależy od siły zastosowanego szyfrowania i jakości funkcji skrótu stosowanej do sprawdzania integralności. Istotną sprawą jest też sposób przekazywania kluczy do rozszyfrowywania informacji. Może być zastosowane szyfrowanie z kluczem symetrycznym lub z kluczem asymetrycznym (publicznym). Będzie to omówione dokładniej przy okazji omawiania zagadnień kryptograficznych.

9 Istotnym aspektem, który trzeba rozważyć, konfigurując wirtualną sieć prywatną, jest umieszczenie elementów szyfrujących/deszyfrujących (przed, czy za firewallem). 1) Szyfrowanie za firewallem (po stronie zabezpieczonej sieci wewnętrznej) wiąże się z tym, że firewall praktycznie nie ma możliwości filtrowania zaszyfrowanych pakietów i przepuszcza wszystkie pakiety przychodzące z ustalonym adresem nadawcy (z drugiej sieci prywatnej). Istnieje zatem możliwość łatwego ataku z tej drugiej sieci, gdyby była ona wcześniej zdobyta przez atakującego. 2) Szyfrowanie przed firewallem (po stronie sieci niezabezpieczonej) grozi możliwością podsłuchu niezaszyfrowanej komunikacji, gdyby atakującemu udało się tam go założyć.

10 Zalety wirtualnych sieci prywatnych: - umożliwiają szyfrowanie całego ruchu pomiędzy dwiema sieciami prywatnymi (zarówno treści pakietów, jak i ich oryginalnych nagłówków); - pozwalają na zdalne używanie protokołów trudnych do zabezpieczenia innymi metodami (na przykład przez proxy); Wady wirtualnych sieci prywatnych: - wymagają starannego zabezpieczenia obu końców szyfrowanego kanału komunikacyjnego (jest to szczególnie trudne w przypadku wykorzystywania VPN przez sprzęt mobilny na terenie publicznym); - w przypadku udanego ataku na jedną z sieci prywatnych łączących się przez VPN, druga z nich również stoi otworem dla atakującego.