שתי שאלות שקשורות לאבטחת מידע וfirewalls - כללי - HWzone פורומים
עבור לתוכן
  • צור חשבון

שתי שאלות שקשורות לאבטחת מידע וfirewalls

Wz4

נוצר על ידי Wz4
ב כללי

Recommended Posts

Wz4 Zone Wannabe

Wz4

פורסם
פורסם

שתי שאלות מש"ב שיש לי בקורס כלשהו בתואר (מדעי המחשב) והייתי רוצה לדעת אם התשובות שלי נכונות (הקטע שהוא שהמרצה לא ממש נגע בנושאים האלו עדיין ולכן עניתי תשובות אינטואיטיביות,גם לא מצאתי ממש מידע שיעזור בגוגל).אשמח אם יש כאן אנשים שיודעים את התשובות בוודאות ויוכלו להגיד אם צדקתי

השאלות:

1)כאשר רוצים לחבר שרת WEB בודד ומוקשח שמאזין רק לפורטים 80 ו443 וכל שאר הservices אינם פעילים לרשת האינטרנט,יש הצדקה להגנה על השרת באמצעות firewall? נמק תשובתך.

2)היכן צריך למקם את הwireless access point ביחס לfirewall (האם מחוץ לפיירוואל או מאחורי הפיירוואל?) נמק תשובתך.

התשובות שלי:

1)כאשר רוצים לחבר שרת WEB בודד ומוקשח שמאזין רק לפורטים 80 ו443 וכל שאר הservices אינם פעילים לרשת האינטרנט עדיין יש הצדקה בהגנה באמצעות firewall זאת משום שללא firewall אין חסימת פורטים למשל ולכן יש אפשרות לפתוח פורטים ודבר זה מסוכן שכן תוקפים יכולים לנצל זאת (למשל ע"י שליחת סוס טרויאני דרך פורט 80 שהוגדר כפתוח,הסוס הטרויאני יפתח פורט נוסף על השרת ודרכו הגורם העוין יוכל לפרוץ לשרת).כמו כן בstatful packet filtering firewall יש גם בדיקה עבור כל פקטה האם היא מתאימה לsession state של החיבור אליו היא משוייכת,דבר זה עוזר למנוע גם הוא שליחת פקטות פיקטיביות.לכן הגנה באמצעות firewall על אף שרק הפורטים 80 ו443 פתוחים ומדובר בשרת בודד עדיין תוכל להקטין את הסיכויים להתקפה עליו.

2)את הwireless access point יש למקם מאחורי הfirewall וזאת משום שבכדי לאבטח את התקשורת בין הרשת הפנימית לרשת החיצונית דרך הwireless access point הנתונים המגיעים אל\מהרשת החיצונית צריכים לעבור דרך הfirewall בכדי שהוא יבדוק כל פקטה לפי סט החוקים שלו. כאשר הwireless access point נמצא מאחורי הfirewall אזי פקטה שיוצאת מהרשת הפנימית אל הרשת החיצונית עוברת דרך הfirewall ואז במידה והפקטה עונה על סט החוקים היא תמשיך הלאה דרך ה wireless access point אל הרשת החיצונית.פקטה שנכנסת מהרשת החיצונית לפנימית תעבור גם היא דרך הfirewall ויבדקו החוקים שבסט החוקים עבורה ואם היא עונה עליהם אז היא תגיע לרשת הפנימית.

אם היינו ממקמים את ה wireless access point מחוץ לfirewall אזי הפקטות לא היו עוברים דרך הfirewall אלא ישירות אל הרשת הפנימית ללא ההגנות של הfirewall מן הסתם.

תודה

קישור לתוכן
שתף באתרים אחרים
Demagh Zone Freak

Demagh

פורסם
פורסם

עם השאלה הראשונה אני מסכים, אבל השניה מאוד כללית.

אמנם זה נכון שבדרך כלל ממקסמי נקודות גישה מאחורי חומות אש, אבל זה תלוי מאוד בסוג השרתות הפעילות, אבל אם השאלה מדברת על פנימית אחת אז כן, אתה צודק.

קישור לתוכן
שתף באתרים אחרים
domiel Zone Junkie

domiel

פורסם
פורסם

השאלה הראשונה חסרת משמעות אם אתה מניח שסוס טרוייני הוחדר למחשב שלך. במקרה הזה תניח שהוא יכול לפתוח פורטים בפיירוול שלך דיי בפשטות. (הוא בפנים, עם גישה לפאנל ניהול של הפיירוול)

אין שום סיבה אמיתית לשים פירוול אם אתה מקשיח את השרת לרמת הפורטים הרלוונטים לרשת החיצונית. (מה שאף פעם לא קורה כי תמיד יש איזה DB עליו, וכנראה שאתה לא המחשב היחידי ברשת-ואז שמים את השרת בDMZ וחושפים רק דברים רלוונטים החוצה)

לגבי שאלה 2, אין כאן שום צל של ספק שהרשת הפנימית שלך אמורה לשבת מאחורי פירוול ולא לפניו, אין שום משמעות לפירוול בין פנימיות שלך אלא אם אתה מעוניין לבדל אותן אחת מהשניה. (ואז תשים בנוסף עוד פירוול בין הרשת הפנימית הקרובה לאינטרנט לבין האינטרנט)

קישור לתוכן
שתף באתרים אחרים
Wz4 Zone Wannabe

Wz4

פורסם
  • מחבר
פורסם

תודה על התגובות :) ...שניכם מאוד עזרתם לי.

סתם לידע כללי,איך בעצם הפיירוואל מגן אם למשל הוא מאפשר פתיחה רק של פורטים ספציפיים? כי גם אם הוא מאפשר רק פתיחת חיבורים על פורטים ספציפיים אז עדיין אפשר דרכם להתקיף\לפרוץ את השרת,איך באה לידי ביטוי ההגנה שלו?(הכוונה היא לpacket filter firewall פשוט ברמת הפורט שלא יודע לנתח את הdata ולא לfirewall "אמיתי" כי בנתיים על זה אנחנו לומדים)

קישור לתוכן
שתף באתרים אחרים
domiel Zone Junkie

domiel

פורסם
פורסם

פירוול שלא עושה deep packet inspection לא עושה יותר מלפלטר על פורטים ולהגביל מה אפשר לשלוח החוצה ומה אפשר לקבל.

שים לב שבגלל שסוסים יושבים על המחשב שלך כמעט כל בקשה שהם עושים נראית לגיטימית.(אחרת לא תוכל לפנות לאינטרנט)

פיירוולים לא מגבילים בדיפולט פורטים שהם לא well known(כלומר מעל 1000) ברגע שהתחנה המקומית עושה בקשה- הסיבה דיי ברורה:

ברגע עשיית בקשה התחנה מגרילה את הsource port ע"מ לייחד את הבקשה אל מול שרת ספציפי.

תחנה יכולה לפתוח רק socket אחד על port נתון ולכן יש רצון שכל קו תקשורות החוצה יוגרל ויהיה יחודי.

קישור לתוכן
שתף באתרים אחרים
Wz4 Zone Wannabe

Wz4

פורסם
  • מחבר
פורסם

אבל איך בפועל הpacket filter firewalls מגנים בצורה אפקטיבית אם כל מה שהם עושים זה רק לחסום פורטים כשפשוט אפשר לפרוץ\לגרום נזק דרך הפורטים שהם לא חוסמים?

קישור לתוכן
שתף באתרים אחרים
domiel Zone Junkie

domiel

פורסם
פורסם

dmz לא מגן בשום שכבה מעבר לפיירולל, dmz נועד כדי לשים מערכת שנועדה לתת שירותים חיצוניים בין שני פיירוולים לוגים/פיזים ע"מ שהמערכת תוכל לתקשר פנימה ומערכות פנימיות יוכלו לתקשר איתה, ולהגביל גישה מבחוץ אל המערכת החיצונית.

idsים מתוחכמים מגנים עד שכבה 7.

קישור לתוכן
שתף באתרים אחרים

ארכיון

דיון זה הועבר לארכיון ולא ניתן להוסיף בו תגובות חדשות.

עבור לרשימת הדיונים
×
  • צור חדש...