INF329,HØST

Like dokumenter
Blant de mest omtalte Internett tilpassningene i dag er brannmurer og virtuelle private nett (VPN).

Huldt & Lillevik Ansattportal. - en tilleggsmodul til Huldt & Lillevik Lønn. Teknisk beskrivelse

Forelesning 4: Kommunikasjonssikkerhet

Oppsett av brannmur / router 1.0. Innholdsfortegnelse

SonicWALL UTM. Hvorfor man bør oppgradere til siste generasjon SonicWALL brannmur. NSA E-Class serien. NSA serien. TZ serien

Forelesning Oppsummering

Brannmurer. fire wall (noun): A fireproof wall used as a barrier to prevent spread of fire.

Produksjonssettingsrapport

Konfigurasjon av nettverksløsning for Eldata 8.0 basert på PostgreSQL databasesystem.

Forord. Brukerveiledning

Resymé: I denne leksjonen vil vi se på typer brannmurer, konfigurering av brannmurer og IDS

Viktig informasjon til nye brukere av Mac-klient fra UiB

Lagene spiller sammen

Hvordan sende lønnsslipper pr. e-post til de ansatte direkte fra HogiaLønn

Internett-brannvegger

Obligatorisk oppgave nr 2 i datakommunikasjon. Høsten Innleveringsfrist: 04. november 2002 Gjennomgås: 7. november 2002

Hvordan sende lønnsslipper per e-post til de ansatte direkte fra HogiaLønn

Teknisk informasjon om bruk av BankID - Ansattes bruk av nettbank fra arbeidsplassen

6105 Windows Server og datanett

Reduser kostnadene, ikke sikkerheten. Beskyttet eiendom, beskyttet nettverk

Direct Access. Hva er det, og hvor langt har NVH kommet i innføringen? av Gjermund Holden IT-sjef, NVH

6107 Operativsystemer og nettverk

Til IT-ansvarlige på skolen

6105 Windows Server og datanett

Oppgradering av Handyman til ny versjon

HP Pull print-løsninger

ARCHICAD Installering av BIM-server 19

VPN for Norges idrettshøgskole, Windows

LAB-IT-PROSJEKTET - TEKNISKE LØSNINGER IT-FORUM 2017

Sikkerhet og tilgangskontroll i RDBMS-er

Installasjonsveiledning

Visma Contracting og tilleggsprodukter på en terminalserver. Det anbefales å sette opp egen terminalserver, som kun brukes som terminalserver.

Install av VPN klient

Installasjon pospay...1 Installasjon PosPay klient... 2 Installasjon av VPN klient... 7 Innstillinger i dxbillett for PosPay...11

En liten oppskrift på hvordan jeg installert og fikk Xastir til å virke sånn at jeg ble synlig i APRS verden.

Tjenestebeskrivelse Webhotelltjenester

Grunnleggende om datanett. Av Nils Halse Driftsleder Halsabygda Vassverk AL IT konsulent Halsa kommune

Innledende Analyse Del 1.2

VEILEDER MOTTA FJERNHJELP

Atea Anywhere Meeting Room

4.1. Kravspesifikasjon

Nettverksnavn og nettverkspassord (SSID og WPA)

Innledende Analyse Del 1: Prosjektbeskrivelse (versjon 2)

Installasjonsveiledning

BEDRE KRYPTERING AV WEB-TRAFIKK OG E-POST (TLS)

DDS-CAD. Oppsett av student-/demolisens

Skytjenester (Cloud computing)

6105 Windows Server og datanett

Våre tekniske konsulenter kan bistå slik at din bedrift får en best mulig tilpasset Handyman installasjon ut fra deres infrastruktur.

Huldt & Lillevik Lønn 5.0. Installere systemet

Managed File Transfer - MFT

6105 Windows Server og datanett

Oppgradering av Handyman til siste tilgjengelige versjon

6105 Windows Server og datanett

PRODUKTBESKRIVELSE INFRASTRUKTUR. NRDB Lokal Node (VPN)

VEILEDER MOTTA FJERNHJELP

AirLink v6 / AL59300 v6 avansert oppsett

FØR INSTALLASJON INSTALLASJON

GENERELL BRUKERVEILEDNING WEBLINE

Vi sender derfor ut litt informasjon om de grepene man må gjøre for å kunne publisere eller håndtere bestillinger fra Arkivportalen.

iseries Innføring i Client Access Express

For kunder som bruker Windows for nettverkstilkobling

Huldt & Lillevik Ansattportal. Installere systemet

VEILEDER GI FJERNHJELP

Tillitsforvaltning og inndatavalidering

Huldt & Lillevik Ansattportal. Installere systemet

Huldt & Lillevik Lønn 5.0. Oppdatere til ny versjon

Innhold. Epostprogrammer og webmail.

PowerOffice Server Service

Tjenestebeskrivelse Internett Ruter Innhold

Egenevalueringsskjema

Bilag 3: Beskrivelse av det som skal driftes

Effektiv Systemadministrasjon

KTN1 - Design av forbindelsesorientert protokoll

Veileder for innføring av geosynkronisering av plandata

6105 Windows Server og datanett

SOLICARD ARX. Adgangssystemet som gir deg ubegrenset frihet. An ASSA ABLOY Group company

PXE, nett og nettprotokoller. USIT/SAS/LIPK, Marko Andjic, Overingeniør

Installasjonsveiledning Future

Sikkerhet og internett

NiSec Network Integrator & Security AS ALT UNDER KONTROLL

Public. Sikker sone. - har konseptet en framtid? Peter Engelschiøn, Knut-Erik Gudim og Simen Myrum

IT Grunnkurs. Nettverk. Foiler av Bjørn J. Villa, Førsteamanuensis II Presentert av Rune Sætre, Førstelektor

Bilag til kjøpsavtalen for Antivirusløsning K Bilag 1 - Kundens kravspesifikasjon

Installasjonsveiledning Visma Avendo, versjon 5.2

Brukerveiledning - secure.nhh.no og secure.privnett.nhh.no

Programmering, oppsett og installasjonsløsninger av LIP-8000 serien IP apparater

DDS-CAD 7 INSTALLASJON AV NETTVERKSLÅS. DATA DESIGN SYSTEM ASA Øksnevad Næringspark, 4353 Klepp st., fax , tel.: , e-post: dds@dds.

Småteknisk Cantor Controller installasjon

Brukermanual. versjon Oktober Jensen of Scandinavia AS

Kjennetegn. Enhetlig skriveradministrasjon Utskriftspolicy Produktbasert jobbehandling Administrasjon av utskriftskø APPLIKASJONER.

ProsjektP35 Raymond Pettersen og Lars Jostein Silihagen

Installasjonsveiledning

GÅRSDAGENS TEKNOLOGI

6105 Windows Server og datanett

Oppsett og bruk av ipad

6105 Windows Server og datanett

Teknisk Tips & Triks PER TORE HOFF

1. Exhange 2013 Admin Center, Management Shell og opprette mailbox

Transkript:

TTHROUGH THROUGH THE FIREWALL KAPITTEL 16 BUILDING SECURE SOFTWARE INF329,HØST 2005 Isabel Maldonado st10900@student.uib.no 1

Innledning Kort om firewall Hva er det som foresaker at en brannmur blokkerer en applikasjonen? Hvordan designe applikasjoner slik at de går rundt hindringene som brannmuren setter? 2

Introduksjon til brannmur Plasseres mellom det lokale nettverket og det eksterne nettverket. Kun valgt datatrafikk kommer inn og ut av det interne nettverket. Skaper hodebry for utviklere av internett-aplikasjoner da det ikke fins en standard brannmur. Applikasjoner som kjøres over nettverket og skal installeres må vurdere innvirkningen av de ulike brannmur-strategiene. System administratorene ønsker å beskytte brukere fra å kjøre ondsinnet kode, mens applikasjonsutviklerne vil la brukeren kjøre enhver applikasjon de ønsker. 3

Litt mer om brannmurer Kontroll og filtrering av innkommende og utgående trafikk tvinger frem en acess control policy. Dette skal hindre angripere i å finne feil i ditt nettverk. Stoppe Trojanske hester Stoppe nedlasting av applikasjoner som kun er ondsinnet kode. To måter å kontrollere utgående trafikk: Port-basert pakkefiltrering Pakker som skal til bestemte porter, slipper gjennom Applikasjons-proxy Ingen trafikk slippes gjennom direkte. I stedet har proxyen et grensesnitt for utvalgte applikasjoner, dvs. den imiterer serveren for klienten og imiterer klienten for serveren. Mer sikkerhet enn vanlig pakkefiltrering. En proxy er skrevet for å være robust; enkel kode. 4

Gå rundt brannmuren Vanlig å la servere bruke HTTP-porten (port 80) for å få trafikken gjennom Teorien går ut på at alle lar utgående HTTP-trafikk slippe gjennom. Vil ikke fungere med en applikasjonsproxy, da HTTPproxy vanligvis er på andre porter enn port 80. Selv om det er en proxy på port 80, vil denne passe på at trafikken følger HTTP-protokollen, så du blir nødt til å pakke tilkoblingene inn i HTTP-forespørsler og svar. Dette kan være en stor utfordring for enkelte applikasjoner. Bruk port 443 (HTTPS-porten) Dette er en mer universell løsning og er mindre utsatt for trafikkanalyse. 5

Gå rundt brannmuren Unngå server-inisialiserte tilkoblinger når du utvikler protokoller for en klient/server applikasjon. Pakkefilteret vil stoppe innkommende pakker, siden den ikke kan vite at klienten har godtatt åpning av en gitt port. Kan fungere med en proxy; du kan enten lage en selv eller bruke en generisk (slik som SOCKS). Men ofte vil ikke bedrifter med pakkefilter godta installasjon av proxy. 6

Klient proxy For å støtte alle potensielle brukere, må applikasjonen fungere bra sammen med proxyene. Skrive sin egen proxy server til egne applikasjoner. Pass på å respektere ønskene til paranoide netverksadministratorer. Gjør den så enkel som mulig. Det skal være lett for folk som gjennomgår koden å sette seg inn i den, og bestemme om den er god nok til å stole på. Den bør faktisk være så enkel at den ikke trenger kommentarer. Design koden slik at den ikke trenger spesielle rettigheter, la porten være konfigurerbar og standard over 1024. Bør støtte autentisering og access control. Den skal aldri krasje, uansett grunn! 7

SOCKS Den største ulempen med proxy-baserte brannmurer er at det er vanskelig å få nye applikasjoner til å fungere med dem. Vi trenger en mer generell løsning, SOCKS. En SOCKS-server lytter på en spesifikk port, klienter kobler til denne porten og gir serveren tilkoblingsinformasjon. Serveren vil da åpne tilkobling til ønsket maskin. Det finnes biblioteker som gir en applikasjon SOCKS-støtte uten å forandre på koden; de bytter bare ut standard nettverkskall med tilsvarende SOCKS-kall. 8

SOCKS SOCKS støtter per idag ikke kryptering, bare autentisering (noe som er nytteløst uten kryptering). SOCKS er på mange måter utdatert, og har stort sett blitt byttet ut med NAT (Network Address Translation). NAT tilbyr samme funksjonalitet som SOCKS, men fremstår som en router for maskiner i det interne nettverket. Klient-applikasjoner trenger derfor ikke vite (og da heller ikke ta hensyn til) at de er bak en brannmur. 9

Konklusjon Vi må alltid foreta en avveiing mellom sikkerhet og brukervennlighet. En brannmur øker sikkerheten, men er ofte grunnen til at applikasjoner ikke fungerer som ønsket. Å få en applikasjon til å fungere uansett hvilken brannmur som benyttes er en stor utfordring. For en klient/server-applikasjon kan man ofte bruke port 443 for å få trafikken gjennom. Der det ikke går kan man legge ved egen applikasjonsproxy; men husk: La den være enkel! 10

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding