Lecture # 7 Firewalls الجدر النارية. Lecture # 7 Firewalls الجدر النارية.

Slides:



Advertisements
Similar presentations
Network Security Essentials Chapter 11
Advertisements

Lecture slides for “Computer Security: Principles and Practice”, 2/e, by William Stallings and Lawrie Brown, Chapter 9 “Firewalls and Intrusion Prevention.
Firewalls By Tahaei Fall What is a firewall? a choke point of control and monitoring interconnects networks with differing trust imposes restrictions.
Computer Security: Principles and Practice Chapter 9 – Firewalls and Intrusion Prevention Systems.
IUT– Network Security Course 1 Network Security Firewalls.
FIREWALLS Chapter 11.
Firewalls Dr.P.V.Lakshmi Information Technology GIT,GITAM University
FIREWALLS. What is a Firewall? A firewall is hardware or software (or a combination of hardware and software) that monitors the transmission of packets.
FIREWALLS The function of a strong position is to make the forces holding it practically unassailable —On War, Carl Von Clausewitz On the day that you.
FIREWALLS – Chapter 20 network-based threats access to outside world Functionality, Design Security – trusted system.
Fall 2008CS 334: Computer Security1 Firewalls Special Thanks to our friends at The Blekinge Institute of Technology, Sweden for providing the basis for.
Kittiphan Techakittiroj (21/05/58 10:00 น. 21/05/58 10:00 น. 21/05/58 10:00 น.) Firewall Kittiphan Techakittiroj
Lecture 14 Firewalls modified from slides of Lawrie Brown.
Security Firewall Firewall design principle. Firewall Characteristics.
—On War, Carl Von Clausewitz
Chapter 11 Firewalls.
Access Control for Networks Problems: –Enforce an access control policy Allow trust relationships among machines –Protect local internet from outsiders.
5/4/01EMTM 5531 EMTM 553: E-commerce Systems Lecture 7b: Firewalls Insup Lee Department of Computer and Information Science University of Pennsylvania.
1 Some TCP/IP Basics....NFSDNSTELNETSMTPFTP UDPTCP IP and ICMP Ethernet, serial line,..etc. Application Layer Transport Layer Network Layer Low-level &
Electronic Commerce 2. Definition Ecommerce is the process of buying and selling products and services via distributed electronic media, usually the World.
Firewalls1 Firewalls Mert Özarar Bilkent University, Turkey
Beth Johnson April 27, What is a Firewall Firewall mechanisms are used to control internet access An organization places a firewall at each external.
Circuit & Application Level Gateways CS-431 Dick Steflik.
Firewall and Proxy Server Director: Dr. Mort Anvari Name: Anan Chen Date: Summer 2000.
1 Lecture 20: Firewalls motivation ingredients –packet filters –application gateways –bastion hosts and DMZ example firewall design using firewalls – virtual.
Firewalls CS432. Overview  What are firewalls?  Types of firewalls Packet filtering firewalls Packet filtering firewalls Sateful firewalls Sateful firewalls.
Hafez Barghouthi. Model for Network Access Security (our concern) Patrick BoursAuthentication Course 2007/20082.
Chapter 20 Firewalls.
Why do we need Firewalls? Internet connectivity is a must for most people and organizations  especially for me But a convenient Internet connectivity.
Intranet, Extranet, Firewall. Intranet and Extranet.
Network Security Essentials Chapter 11 Fourth Edition by William Stallings Lecture slides by Lawrie Brown.
January 2009Prof. Reuven Aviv: Firewalls1 Firewalls.
1 Pertemuan 13 IDS dan Firewall Matakuliah: H0242 / Keamanan Jaringan Tahun: 2006 Versi: 1.
Chapter 11 Firewalls.
8: Network Management1 Firewalls. 8: Network Management2 Firewalls Two firewall types: m packet filter m application gateways To prevent denial of service.
1 Internet Firewalls What it is all about Concurrency System Lab, EE, National Taiwan University R355.
11 SECURING YOUR NETWORK PERIMETER Chapter 10. Chapter 10: SECURING YOUR NETWORK PERIMETER2 CHAPTER OBJECTIVES  Establish secure topologies.  Secure.
NS-H /11041 Intruder. NS-H /11042 Intruders Three classes of intruders (hackers or crackers): –Masquerader –Misfeasor –Clandestine user.
TCP/IP Protocols Contains Five Layers
Firewall – Survey Purpose of a Firewall – To allow ‘proper’ traffic and discard all other traffic Characteristic of a firewall – All traffic must go through.
Karlstad University Firewall Ge Zhang. Karlstad University A typical network topology Threats example –Back door –Port scanning –…–…
Overview of Firewalls. Outline Objective Background Firewalls Software Firewall Hardware Firewall Demilitarized Zone (DMZ) Firewall Types Firewall Configuration.
Firewall – Survey  Purpose of a Firewall  To allow ‘proper’ traffic and discard all other traffic  Characteristic of a firewall  All traffic must go.
INTRODUCTION Firewall is a concept which blocks unwanted traffic and passes desirable traffic to and from both sides of the network.
CSCE 201 Network Security Firewalls Fall CSCE Farkas2 Traffic Control – Firewall Brick wall placed between apartments to prevent the spread.
Networking Components Quick Guide. Hubs Device that splits a network connection into multiple computers Data is transmitted to all devices attached Computers.
COSC513 Final Project Firewall in Internet Security Student Name: Jinqi Zhang Student ID: Instructor Name: Dr.Anvari.
1 CNLab/University of Ulsan Chapter 19 Firewalls  Packet Filtering Firewall  Application Gateway Firewall  Firewall Architecture.
Firewalls. Overview of Firewalls As the name implies, a firewall acts to provide secured access between two networks A firewall may be implemented as.
25/09/ Firewall, IDS & IPS basics. Summary Firewalls Intrusion detection system Intrusion prevention system.
Polytechnic University Firewall and Trusted Systems Presented by, Lekshmi. V. S cos
أمن المعلومات لـ أ. عبدالرحمن محجوب حمد mtc.edu.sd أمن المعلومات Information Security أمن المعلومات Information Security  أ. عبدالرحمن محجوب  Lec (5)
FIREWALL APOORV SRIVASTAVA VAIBHAV KUMAR
Firewall Techniques Matt Cupp.
Why do we need Firewalls?
Firewall.
Firewalls.
Computer Data Security & Privacy
Prepared By : Pina Chhatrala
Firewall – Survey Purpose of a Firewall Characteristic of a firewall
Kittiphan Techakittiroj
Firewalls.
* Essential Network Security Book Slides.
Firewalls Purpose of a Firewall Characteristic of a firewall
POOJA Programmer, CSE Department
Chapter 8 Network Perimeter Security
Firewalls Jiang Long Spring 2002.
دیواره ی آتش.
Firewalls.
Implementing Firewalls
Presentation transcript:

Lecture # 7 Firewalls الجدر النارية

Outline خصائص الجدار الناري (Firewall Characteristic ) مبادئ تصميم الجدار الناري Firewall Design) (Principles : خصائص الجدار الناري (Firewall Characteristic ) أنواع الجدار الناري (Types of Firewalls) تهيئة الجدار الناري ((Firewall Configurations

مقدمة: الجدر النارية هي نظام تأمين الحاسب وحمايته وهذا النظام يقوم بحماية الحاسب الشخصي والشبكة من المخربين. الجدار الناري يمكن أن يكون عبارة عن برنامج(Software) أو جهاز(Hardware device) يقوم بتصفية الحركة(Filter) في الجهاز الشخصي او الشبكة عبر الانترنت.

نظم التشغيل الحديثة صمم الجدار الناري معها أو يتم شرائه مستقلاً Hardware: Example: Router , Ethernet card and hub Software: نظم التشغيل الحديثة صمم الجدار الناري معها أو يتم شرائه مستقلاً

أهداف جدار النار Firewall aim 1- يؤسس ارتباط يمكن التحكم به Establish a controlled link)) 2- يحمى الشبكة الفرضية (Premises Network) من الهجمات المعتمدة من الأنترنت (Internet-based Attacks) Premises Network: مجموعة من شبكات ال LANs وتزود بالربط الداخلي (ال PC وال Server)

خصائص الجدر النارية Firewall characteristic الأهداف التصميمية: (Designing Goals) كل عمليات المرور (Traffic) من الداخل والخارج او العكس يجب ان تمر عبر ال الجدار الناري ويمكن أنجاز هذا المفهوم عبر المنع الفيزيائي ((Blocking . المرور المصرح له (Authorized traffic ) كما في سياسة التامين هو فقط الذى يسمح له بالمرور. يجب أن يكون الجدار الناري نفسة محصناً ضد عمليات الاختراق وذلك ب: استخدام نظام موثوق به Trusted system) ) مع نظام تشغيل آمن Secure O. S) )

تقنيات الجدار الناري : Fire ware Technique هناك أربعة تقنيات تستخدمها الجدر النارية للتحكم في الدخول وتمكين سياسات السرية : خدمة التحكم (Service Control): التحكم بالاتجاه (Direction Control): التحكم بالمستخدم User Control ) ): التحكم بالسلوك (Behavior Control):

خدمة التحكم (Service Control): وهى خدمة تحدد انواع خدمات الأنترنت Internet Services)) التي يمكن الوصول اليها حيث يقوم الجدار الناري بتصفية المرور اعتمادا على عنوان ال IP))

التحكم بالاتجاه (Direction Control): وهى تقنية تحدد الاتجاه الذى يمكن أن تبدأ طلبات خدمة معينة بسلوكه, حيث يسمح لها بالمرور عبرة لاجتياز الجدار الناري.

التحكم بالمستخدم User Control ) ): هي تقنية الغرض منها الوصول الى الخدمة اعتمادا على ماهية المستخدم الذى يحاول الوصول اليها.

التحكم بالسلوك (Behavior Control): وتتحكم هذه التقنية في كيفية استخدام الخدمات مثلاً قد يقوم الجدار الناري بتنقية البريد الإلكتروني Filter E-mail))

أنواع جدران النار: Types of Firewalls موجهات تقنية الحزم Packet-filtering Router : تقوم بتطبيق مجموعة من القواعد على كل (IP packet) قادمة ومن ثم ارسال هذه الpacket )) او التخلي عنها. يتم تهيئة ال (router) بحيث يقوم بعمل تنقية ال(packets) المرسلة في كلا الاتجاهين من والى الشبكة الداخلية.

تعتمد قواعد التقنية Filtering rules) ) على مطابقاتها مع بعض الحقول في ال IP header ) )و ال( header TCP)حيث يتم نداء تلك ال rule لتحديد فيما اذا كان يجب ارسال ال (packet) او التخلي عنها. من الامثلة على هذه الحقول: 1-عنوان بروتكول الانترنيت للمصدر( IP address source) -2 عنوان بروتكول الانترنيت للوجهة destination IP address)) 3-حقل بروتكول الانترنيت (IP protocol field )وهذه الحقل يعرف بروتكول النقل ( protocol Transport)

اذا لم يكن هنالك أي تطابق مع أي rule فسيتم حينها اتخاذ حدث افتراضي (default action) هنالك سياستان افتراضيتان ممكنتان هما : 1- سياسة التخلي default = discard) : )وتعنى ما لم يسمح لهو بشكل واضح فانه يمنع 2- سياسة الارسال default = forward ): )وتعنى مالم يمنع بشكل واضح فسيتم السماح له

Packet-filtering Router

Advantages of packet Filtering Router البساطة( Simplicity) الشفافية بالنسبة للمستخدمين( Transparency to users) السرعة العالية (High speed) Disadvantages of packet Filtering Router صعوبة وضع قواعد تنقية الحزم (Difficulty of setting up packet filter rules) نقص التحققية (Lack of Authentication )

النوع الثاني بوابات المستوى التطبيقي (level gateways - (Application: يسمى ايضا بال proxy server ويعمل قناة لمرور المستوى التطبيقي ) Application-level Traffic) - يتصل المستخدم بال gateway باستخدام تطبيق من تطبيقات( (TCP/IP مثل الTelnet او ال FTP - تطلب ال gateway من المستخدم ادخال اسم الhost البعيد المراد الوصول اليه - عندما يستجيب المستخدم بتزويده للUser ID ومعلومات التحقق الصحيحة فان ال gateway تتصل بالتطبيق الموجود على ال host البعيد وتنقل اجزاء الTCP التي تحتوى على بيانات التطبيق بين النهايتين الطرفيتين.

- اذا لم تقد ال gateway شفرة ال proxy لتطبيق محدد فان الخدمة لن تكون مدعومة ولن يتم ارسالها عبر ال Firewall

Application-level Gateway

Advantage of Application -level gateways s 1- اكثر سريه من النوع السابق Higher security than packet filters 2- يحتاج فقط للفحص الدقيق للقليل من التطبيقات المسموحة Only need to scrutinize a few allowable applications 3- من السهل تسجيل وتدقيق كل المرورات القادمة Easy to log and audit all incoming traffic

الحاجة الى زيادة معالجة اضافية لكل ارتباط Disadvantages of Application -level gateways الحاجة الى زيادة معالجة اضافية لكل ارتباط (Additional processing overhead on each connection)

END SLIDE SHOW L: Rania Tabeidi

Lecture # 8 Cont. Firewalls الجدر النارية

النوع الثالث : بوابات على مستوى الدائرة circuit- level gateways يمكن ان يكون هذا النوع نظاما مستقلا stand – alone system او وظيفة مخصصة specialized function يتم انجازها بواسطة application level gateways لا يسمح بارتباطات ال end –to-end TCP وبدلا عن ذألك يقوم بوضع اثنين من ارتباطات ال TCP احدهما بين الgateways نفسها ومستخدم الTCP على الhost الداخلي والاخر بين الgateways نفسها ومستخدم ال TCP على الhost الخارجي.

بوابات على مستوى الدائرة circuit- level gateways

عندما يتم انشاء هذين الارتباطين فان الgateways ستقوم بنقل الTCP segments من ارتباط الى اخر دون فحص المحتويات. تكون وظيفة السرية هنا هي تحديد أي من الارتباطات سيسمح لها يستخدم هذا النوع من حالة ان يكون مدير النظام واثقا من المستخدمين الداخليين من الامثلة علية ال socks package

مضيف الحصن Bastion host وهو نظام معرف من قبل مدير ال firewall كنقطة حرجة قوية في سرية الشبكة يعمل ال bastion host كبيئة لأى من الapplication-level gateways او ال circuit –level gateways

اعداد جدار النار firewall configuration بالإضافة الى استخدام التهيئة البسيطة لنظام وحيد single packet filtering router single gateways فان هنالك انواع من تهيئة اكثر تعقيدا سنتطرق هنا على اكثر ثلاثة تهيئات شيوعا :

التهيئة الاولى : ال Screened host firewall system (single –homed bastion host) ال packet-filtering router ال Bastion host يتم تهيئة ال router بحيث : 1- فيما يخص الtraffic القادم من الانترنيت يسمح فقط لل IP packets (المخصصة لل Bastion host 2- فيما يخص ال traffic من الشبكة الداخلية يسمح فقط لل IP packets القادم من ال Bastion host يقوم ال Bastion host بإنجاز عمليات ال authentication وال proxy functions

التهيئة الثانية : الScreened host firewall system (dual-homed bastion host) لا يفضح ال packet-filtering router بشكل عام يجب ان يتدفق ال traffic بين الانترنيت وال hosts الاخرين في الشبكة الخاصة عبر ال Bastion host

السرية هنا افضل مما هو علية الحال في ال single configuration ( وذألك لسببين : 1- ان هذا ال configuration ينفذ كلا من ال packet-level filtering وال application-level filtering ويسمح بالمرونة عند تعريف سياسة السرية 2- يجب على ال intruder بشكل عام ان يخترق نظامين منفصلين ايضا تتوافر هنا المرونة في تزويد الوصل المباشر الى الانترنيت خادم المعلومات العام مثل ال web server

Screened host firewall system (dual-homed bastion host)

التهيئة الثالثة screened –subnet firewall system اكثر الثلاثة ال configurations امناً يتم استخدام اثنين من ال packet-filtering routers يتم توليد شبكة جزئية sub-network معزولة مزايا هذا النوع : يوجد ثلاثة مستويات من الحماية لإحباط ال intruders يعلن ال router الخارجي في الانترنيت فقط عن وجود الscreened subnet بمعنى ان الشبكة الداخلية تكون غير مرئية على شبكة الانترنيت يعلن ال router الداخلي في الشبكة الداخلية فقط عن وجود ال screened subnet بمعنى انا الانظمة على الشبكة الداخلية لا مكن ان تنشى مسارات مباشره الى شبكة الانترنيت

Screened-subnet firewall system

فوائد الجدار الناري :-   1 – منع الدخول الغير مصرح ألي الشبكة وذلك من خلال التحقيق من المستخدمين بحيث يطلب أسم المستخدم وكلمة المرور ................ الخ 2 – منع من الاتصال المباشر بين الشبكة والحواسيب الخارجية وذلك من خلال توجيه الاتصالات عبر الأجهزة والبرامج الخاصة التي نقوم بتحديد كيفية الاتصال ونوعيتها 3 – المحافظة علي سلامة الحاسوب وذلك بتسجيل المعلومات التي تصل إليه من حواسيب أخري

4 – إعطاء المستخدم فترة إضافية تمكنه من السيطرة علي البيانات الموجود في حواسيب ألأخرى 5 – توفر خط دفاع في مواجهه ألأشخاص أو الفيروسات أو البرامج الضارة التي تحاول الدخول أو الاتصال بالحواسيب الشبكة بدون أذن بمعني منع البرمجيات الغير موثوق و الغير مرغوب فيها من الوصول ألي الحاسوب غير الشبكة كما تطلب من المستخدم الحاسوب ألأذن عملية الاتصال معه أو منعه

المهام التي لا يستطيع الجدار الناري القيام بها: 1 – الكشف عن الفيروسات أو إبطال مفعولها في حال كانت داخل الحاسوب مسبقا ينصح باستخدام برامج حماية من فيروسات وتحديثها باستمرار 2 – لا يستطيع منع مستخدم الحاسوب من فتح رسالة الالكترونية التي تحتوي علي مرفقات ضارة لذا ينصح بعدم فتح الرسالة الالكتروني مجهولة المصدر 3 – لا يستطيع حماية الشبكة من الهجمات الداخلية 4 – لا يستطيع حماية الشبكة من دخول الغير المصرح عبر المنافذ الخلفية

التأثيرات السلبية عند إضافة الجدار الناري :- 1– اختناقات الشبكة حيث إن بعض الإعدادات التطبيقات لجدار الناري تعمل علي مراقبة جميع التحركات في الشبكة وتلزم المرور عبر الجار الناري أولا مما قد يسبب في احتمال حدوث اختناق 2 – تعطل الجار الناري قد يعطل الشبكة بالكامل حيث أن الجار الناري وفي أغلب الحالات يعتبر نقطة الربط الوحيدة بين الشبكة الداخلية الموثوق والشبكة الخارجية الغير موثوق بالتالي فأن تعطل الجدار الناري حتى في الإعدادات الغير صحيحة سيؤدي ألي انقطاع الاتصال بين الشبكتين 3 – مشاكل ناتجة من مستخدمين الداخلين فقد يشير بعض المستخدمين بإحباط نتيجه لعدم تمكنهم من الوصول ألي خدمات معينه أو صعوبة الوصول مما يؤدي ألي قيام المستخدم بتعطيل أو تغيير إعدادات ألجدار الناري 4 – إضافة المسؤولية عبر الشبكة حيث أن إضافة الجدار الناري يزيد من المهام ومسؤوليات كمدير الشبكة في حال وجود أعطال في شبكة أو في حال إهمال أو عدم تتبع رسائل الأخطاء أو تقارير وإصلاح الأخطاء بالشبكة  

* المصطلحات التي قد تظهر عند استخدام الجدار الناري Traffic 1 – مقصود بذلك البيانات أو المعلومات المتداخل والمتعارضة من خلال الاتصال بالشبكة سواء كانت داخلية أو خارجية Packet 2 – وهي بيانات مقسمه ألي عدة حزم مختلفة الأحجام Protocol 3 – وهو مجموعه القواعد التي تحدد كيفية تبادل البيانات بين الزبون والمزود Pots 4 – منفذ إرسال و استقبال البيانات Address 5 – عنوان الاتصال أو أسم الاتصال Black all 6 – إغلاق كل شيء وإتباع القواعد بشكل دقيق Normal 7 – تتبع القواعد مع إمكانيه تحديها Allow all8- السماح لكل الحزم للمرور وبدون تدقيق  

ومن أشهر برنامج الجدار الناري Zone alarm – tipsy personal – Norman fire wall

END SLIDE SHOW L: Rania Tabeidi