Aktív témák

• #17 rekop Topikgazda

  2023-10-05 19:51:46 #17

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  rekop

  Topikgazda

  UniFI Firewall Explained

  A tűzfalak olyan hálózati biztonsági rendszerek, amelyek figyelik, nyomon követik és szabályozzák a hálózati forgalmat. Általában a bejövő, kimenő és helyi (azaz magának a tűzfalnak szánt) forgalomra vonatkoznak. A legkorábbi tűzfalak úgynevezett Stateless tűzfalak, amik az OSI 2. 3. és 4. rétegének információ alapján szűrik a csomagokat, például a forrás és cél címek vagy port számok alapján.
  A Stateful tűzfal nyomon követi a kapcsolatok állapotát a forrás-cél IP , port és a kapcsolatjelzők alapján. Valójában csak a TCP kapcsolatok állapotát tudja követni, mert a TCP használ jelzőket (flag) a csomag fejlécekben. Nézzünk meg példának egy TCP alapú kommunikációt. (3-way handshake diagram) A kliens gép megnyit egy weboldalt. Amikor a tűzfal látja a kliens kezdeti csomagját, rögzíti a forrás-cél IP címeket, portszámokat és a TCP SYN jelzőt. Amikor a kiszolgáló válaszol SYN-ACK üzenettel, a tűzfal megkeresi az állapot táblázatában, hogy van-e egyező bejegyzés a kapcsolathoz. Mivel már rögzítette a SYN-t a klienstől, így a csomag edélyezett lesz. Ha a tűzfal RST vagy FIN-ACK csomagot lát, megjelöli a kapcsolat állapotát törlésre, és az ehhez kapcsolódó minden jövőbeni csomag elutasításra kerül. Az UDP folyamatok esetében nyomon követi a forrás-cél IP-címeket és portokat, és időtúllépési értéket társít az utolsó csomag alapján, hogy eltávolíthassa az elavult munkamentet az állapot táblából. Az UDM/USG a fejlettebb Stateful tűzfalat használja.

  Az UniFi tűzfalszabályok a hálózat típusa alapján vannak csoportosítva, melyekre vonatkoznak:

  Internet : az internetes hálózatra vonatkozó IPv4 tűzfalszabályok
  LAN : a helyi hálózatra vonatkozó IPv4 tűzfalszabályok
  Guest: a vendég hálózatra vonatkozó IPv4 tűzfalszabályok
  Internet v6 : az internetes hálózatra vonatkozó IPv6 tűzfalszabályok
  LAN v6 : a helyi hálózatra vonatkozó IPv6 tűzfalszabályok
  Guest v6 : a vendég hálózatra vonatkozó IPv6 tűzfalszabályok

  A hálózat típusán kívül a tűzfalszabályok irányra is vonatkoznak:
  Local : magának az UDM/USG-nek szánt forgalomra vonatkozik (pl. DNS, DHCP)
  In : az interfészre érkező, majd a routeren áthaladó forgalom
  Out : olyan forgalom, amely már áthaladt a routeren és elhagyja a interfészt

  A tűzfalszabályok az irány és a hálózat típusa mellett egy állapothoz is köthetőek:
  New : új kapcsolatot kérő csomag, például http kérés (SYN csomag, amely egy TCP adatfolyamot indít)
  Established : egy meglévő kapcsolat részét képező csomag (a válaszként érkezett SYNACK csomag)
  Related : a csomag amelyik új kapcsolatot kér, de egy már meglévő kapcsolat része. Például az FTP a 21-es portot használja a kapcsolat létrehozásához, de az adatok átvitele egy másik porton történik.
  Invalid : az a csomag, amely nem része egyetlen kapcsolatnak sem a connection tracking táblában.

  A tűzfalszabályokat célszerű mindig a lehető legközelebb elhelyezni a forgalom forrásához. Jellemzően arra az interfészre kell alkalmazni a szabályokat amelyre a forgalom érkezik, mert a csomagokat meg szeretnénk állítani, mielőtt áthaladnának a tűzfalon, és routolva lennének.

  Néhány példa a forgalom irányára:
  Egy internet felől érkező forgalom: Internet In --> routing --> LAN Out
  Egy weboldal felkeresése a helyi hálózatból: LAN In --> routing --> Internet Out
  Két helyi hálózat közötti forgalom: LAN In --> routing --> LAN Out

  [ Szerkesztve ]

  Eladó dolgaim: https://tinyurl.com/5n7jmuvj

Aktív témák