Антон Карпов - Сетевая безопасность
DESCRIPTION
TRANSCRIPT
![Page 1: Антон Карпов - Сетевая безопасность](https://reader034.vdocuments.net/reader034/viewer/2022052214/547d6560b4af9fa0238b4674/html5/thumbnails/1.jpg)
![Page 2: Антон Карпов - Сетевая безопасность](https://reader034.vdocuments.net/reader034/viewer/2022052214/547d6560b4af9fa0238b4674/html5/thumbnails/2.jpg)
Сетевая безопасность, DDoS-атаки, VPN и IPSec
Антон Карпов
![Page 3: Антон Карпов - Сетевая безопасность](https://reader034.vdocuments.net/reader034/viewer/2022052214/547d6560b4af9fa0238b4674/html5/thumbnails/3.jpg)
3
Модель TCP/IP
ПрикладнойТранспортный
СетевойКанальный
![Page 4: Антон Карпов - Сетевая безопасность](https://reader034.vdocuments.net/reader034/viewer/2022052214/547d6560b4af9fa0238b4674/html5/thumbnails/4.jpg)
4
Уязвимости канального уровня
![Page 5: Антон Карпов - Сетевая безопасность](https://reader034.vdocuments.net/reader034/viewer/2022052214/547d6560b4af9fa0238b4674/html5/thumbnails/5.jpg)
5
Уязвимости канального уровня
Коммутаторы рассылают Config BPDU Config BPDU содержит Bridge ID: Priority+MAC Коммутатор с наименьшим Bridge ID становится Root Bridge
Атаки на STP
![Page 6: Антон Карпов - Сетевая безопасность](https://reader034.vdocuments.net/reader034/viewer/2022052214/547d6560b4af9fa0238b4674/html5/thumbnails/6.jpg)
6
Уязвимости канального уровня
Атаки на L2 VLANVLAN hopping
- Switch spoofing- Double tagging
Trunk port DTP (Dynamic Trunking Protocol) Native VLAN
![Page 7: Антон Карпов - Сетевая безопасность](https://reader034.vdocuments.net/reader034/viewer/2022052214/547d6560b4af9fa0238b4674/html5/thumbnails/7.jpg)
7
Уязвимости канального уровня
Атаки на L2 VLANУстановить порт в access mode Выключить auto negotiation на порту Выключить DTP на портах Не использовать Native VLAN Включить принудительное тегирование всех VLAN
![Page 8: Антон Карпов - Сетевая безопасность](https://reader034.vdocuments.net/reader034/viewer/2022052214/547d6560b4af9fa0238b4674/html5/thumbnails/8.jpg)
8
Уязвимости канального уровня
Переполнение CAM-таблицы коммутатора Флуд DHCP-запросами Атаки на протокол CDP
![Page 9: Антон Карпов - Сетевая безопасность](https://reader034.vdocuments.net/reader034/viewer/2022052214/547d6560b4af9fa0238b4674/html5/thumbnails/9.jpg)
DDoS-атаки
![Page 10: Антон Карпов - Сетевая безопасность](https://reader034.vdocuments.net/reader034/viewer/2022052214/547d6560b4af9fa0238b4674/html5/thumbnails/10.jpg)
10
Классификация
Исчерпание полосы пропускания Исчерпание ресурсов системы Эксплуатация уязвимостей системы
![Page 11: Антон Карпов - Сетевая безопасность](https://reader034.vdocuments.net/reader034/viewer/2022052214/547d6560b4af9fa0238b4674/html5/thumbnails/11.jpg)
11
Как измерять DDoS-атаку?
Mbps/Gbps? Mpps? krps? кол-во ботов в ботнете?
![Page 12: Антон Карпов - Сетевая безопасность](https://reader034.vdocuments.net/reader034/viewer/2022052214/547d6560b4af9fa0238b4674/html5/thumbnails/12.jpg)
12
SYN flood
![Page 13: Антон Карпов - Сетевая безопасность](https://reader034.vdocuments.net/reader034/viewer/2022052214/547d6560b4af9fa0238b4674/html5/thumbnails/13.jpg)
13
HTTP Slow GET/POST
![Page 14: Антон Карпов - Сетевая безопасность](https://reader034.vdocuments.net/reader034/viewer/2022052214/547d6560b4af9fa0238b4674/html5/thumbnails/14.jpg)
14
DNS Amplification
Открытые рекурсивные DNS-резолверы EDNS0 (RFC2671) DNSSEC (RRSIG, DNSKEY)
![Page 15: Антон Карпов - Сетевая безопасность](https://reader034.vdocuments.net/reader034/viewer/2022052214/547d6560b4af9fa0238b4674/html5/thumbnails/15.jpg)
15
DNS Amplification
dig @1.2.3.4 isc.org any
Запрос: 64 байта Ответ: 3333 байт Плечо усиления 50 раз
isc.org. 7200 IN RRSIG SPF 5 2 7200 20141119233238 20141020233238 4521 isc.org. PnE7/L/4iqYkYbCpXgFBuxZjjr1g7Sk9PiCy9E/o7hZfDm3BEf7p179d v3O8WoV+1XjIqiLdws9DbqoMkp5ShOlCYtRS3vn7CrYo5hgHuRkEPv9T PH4yjPfA/3QUZz2PM+PvDa+K13OGedG1GGXEFQnpu3JUm6IGEor7TjHG hKo=
isc.org. 7200 IN SPF "v=spf1 a mx ip4:204.152.184.0/21 ip4:149.20.0.0/16 ip6:2001:04F8::0/32 ip6:2001:500:60::65/128 ~all"
isc.org. 7200 IN RRSIG DNSKEY 5 2 7200 20141119230127 20141020230127 4521 isc.org. on6wbwGMS6aVnhSfxjcnp1udQjcQIlUpCP3BQdRq24PSqcaZyOBScWbM DqU/V43bQc82y2Uwc9Cvr7iOHxdzhnFrPogzRE0r5jkkexl8bw3hEYD/ 3GwIyVzFG/+pgzvHFm7O7NhJBvhi+bnkGGn1zmgqWQ3L9CcvIc8NiT79 FeQ=
isc.org. 7200 IN RRSIG DNSKEY 5 2 7200 20141119230127 20141020230127 12892 isc.org. lJ2nlj6WALvcsXVgMsTHiaV3b4SPVUzkEMjoaeOhhxWY6nm4mfiC5KJm x1WuDsSI1kunwNbe9xsLfe8KXsmryZ19u9nxYZ/q2q5wYrTk9KiMuhSV fcc4XdeZOlMa6j8naXbjJOOcptx8bGBhlUs6Llt8Y2vfIG7DNuww/l7+ Q+L08WWBLY5T4Pam99Su47xKmCUG2vrGK76+LFE8+7viHr8VqDf+mu0g bCdHuvcNVAkm4eOAVP+rfWAlFFJkaLs/ZlKQwphZgkfgAbUuSNypYOFb ZYcwm7Wk5EQUfeOk7MqdxYjiVex0L5ZFFZw7WF1gVPRgce1uep2P4FLC q/hPaA==
isc.org. 7200 IN DNSKEY 256 3 5 AwEAAbJpDF4RemdHHE/HrJJhR3zpzAQ6zsHqFv0i4lCWTUf4sX+cq3vS u7fKO4QJtm97S1sbcnmHonVE3QPzLOsqsY630Wy5JzrPK3gUvQLgfIso vo2v+dosITL8WbvjU1mEXhIwfuuBhYmYSKySZ0X9gpHGhdxRd+J8M7ri PfN7kHLP
![Page 16: Антон Карпов - Сетевая безопасность](https://reader034.vdocuments.net/reader034/viewer/2022052214/547d6560b4af9fa0238b4674/html5/thumbnails/16.jpg)
16
NTP AmplificationNTP MONLIST Плечо усиления порядка 20
![Page 17: Антон Карпов - Сетевая безопасность](https://reader034.vdocuments.net/reader034/viewer/2022052214/547d6560b4af9fa0238b4674/html5/thumbnails/17.jpg)
17
Ingress filtering
BCP38 (RFC2827): Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing, 2000
BCP84 (RFC3704): Ingress Filtering for Multihomed Networks, 2004
Unicast Reverse Path Forwarding (uRPF) - Strict RPF - Loose RPF
![Page 18: Антон Карпов - Сетевая безопасность](https://reader034.vdocuments.net/reader034/viewer/2022052214/547d6560b4af9fa0238b4674/html5/thumbnails/18.jpg)
VPN и IPSec
![Page 19: Антон Карпов - Сетевая безопасность](https://reader034.vdocuments.net/reader034/viewer/2022052214/547d6560b4af9fa0238b4674/html5/thumbnails/19.jpg)
19
VPN
Виртуальная сеть, использующая в качестве каналов связи существующую коммуникационную инфраструктуру Обеспечение безопасности данных производится путем шифрования трафика
![Page 20: Антон Карпов - Сетевая безопасность](https://reader034.vdocuments.net/reader034/viewer/2022052214/547d6560b4af9fa0238b4674/html5/thumbnails/20.jpg)
20
IPSecРаботает на сетевом уровне Прозрачен для сетевых приложений Модульная архитектура, различные комбинации режимов работы
Обеспечение целостности (протокол AH) и целостности+конфиденциальности (протокол ESP)
![Page 21: Антон Карпов - Сетевая безопасность](https://reader034.vdocuments.net/reader034/viewer/2022052214/547d6560b4af9fa0238b4674/html5/thumbnails/21.jpg)
21
Транспортный режим работы IPSecОбеспечивается аутентификация или шифрование поля данных IP-пакета
Информация сетевого уровня известна (отправитель и адресат)
Обычно это host-to-host взаимодействие
![Page 22: Антон Карпов - Сетевая безопасность](https://reader034.vdocuments.net/reader034/viewer/2022052214/547d6560b4af9fa0238b4674/html5/thumbnails/22.jpg)
22
Туннельный режим работы IPSec
Обеспечивается аутентификация или шифрование всего пакета, включая IP-заголовок Это классический VPN
![Page 23: Антон Карпов - Сетевая безопасность](https://reader034.vdocuments.net/reader034/viewer/2022052214/547d6560b4af9fa0238b4674/html5/thumbnails/23.jpg)
23
IPSec. AH заголовокЗащита от подмены исходного пакета, включая адрес отправителя
AH заголовок располагается после IP-заголовка Несовместим с NAT
![Page 24: Антон Карпов - Сетевая безопасность](https://reader034.vdocuments.net/reader034/viewer/2022052214/547d6560b4af9fa0238b4674/html5/thumbnails/24.jpg)
24
AH Transport
![Page 25: Антон Карпов - Сетевая безопасность](https://reader034.vdocuments.net/reader034/viewer/2022052214/547d6560b4af9fa0238b4674/html5/thumbnails/25.jpg)
25
AH Tunnel
![Page 26: Антон Карпов - Сетевая безопасность](https://reader034.vdocuments.net/reader034/viewer/2022052214/547d6560b4af9fa0238b4674/html5/thumbnails/26.jpg)
26
IPSec. ESP заголовокОбеспечивает конфиденциальность передаваемых данных Опционально выполняет аутентификацию payload
(HMAC) или всего IP-пакета (если вместе с AH)
![Page 27: Антон Карпов - Сетевая безопасность](https://reader034.vdocuments.net/reader034/viewer/2022052214/547d6560b4af9fa0238b4674/html5/thumbnails/27.jpg)
27
ESP Transport
![Page 28: Антон Карпов - Сетевая безопасность](https://reader034.vdocuments.net/reader034/viewer/2022052214/547d6560b4af9fa0238b4674/html5/thumbnails/28.jpg)
28
ESP Tunnel
![Page 29: Антон Карпов - Сетевая безопасность](https://reader034.vdocuments.net/reader034/viewer/2022052214/547d6560b4af9fa0238b4674/html5/thumbnails/29.jpg)
29
![Page 30: Антон Карпов - Сетевая безопасность](https://reader034.vdocuments.net/reader034/viewer/2022052214/547d6560b4af9fa0238b4674/html5/thumbnails/30.jpg)
30
Security AssociationОба хоста на каждой стороне SA хранят в SADB информацию о режие, протоколе, ключах и алгоритмах, используемые в соединении Каждый SA реализуется в одном направлении. Для двунаправленной связи надо два SA
Security Policy Database (SPD) указывает для пакета одно из трех действий: - Отбросить пакет- Принять пакет, но не обрабатывать с помощью IPSec - Обработать с помощью IPSec
![Page 31: Антон Карпов - Сетевая безопасность](https://reader034.vdocuments.net/reader034/viewer/2022052214/547d6560b4af9fa0238b4674/html5/thumbnails/31.jpg)
31
Управление ключами
Аутентификация с помощью общего секрета, цифровых сертификатов и т.п.
IKE (Internet Key Exchange) ISAKMP (Internet Security Association Key
Management Protocol)
![Page 32: Антон Карпов - Сетевая безопасность](https://reader034.vdocuments.net/reader034/viewer/2022052214/547d6560b4af9fa0238b4674/html5/thumbnails/32.jpg)
32
Пример использования
![Page 33: Антон Карпов - Сетевая безопасность](https://reader034.vdocuments.net/reader034/viewer/2022052214/547d6560b4af9fa0238b4674/html5/thumbnails/33.jpg)
33
Настройка IPSecВключить маршрутизацию и ESP Сконфигурировать ключи Запустить демон обмена ключами (isakmpd) Описать политики IPSec Настроить фаервол для пропускания IPSec-трафика
![Page 34: Антон Карпов - Сетевая безопасность](https://reader034.vdocuments.net/reader034/viewer/2022052214/547d6560b4af9fa0238b4674/html5/thumbnails/34.jpg)
34
Пример настройки OpenBSD
net.inet.ip.forwarding=1!net.inet.esp.enable=1!net.inet.ipcomp.enable=1
ike esp from 192.168.1.0/24 to 192.168.2.0/24 peer 5.6.7.8 !ike esp from 1.2.3.4 to 192.168.2.0/24 peer 5.6.7.8!ike esp from 1.2.3.4 to 5.6.7.8
/etc/sysctl.conf
/etc/ipsec.conf
pass on $ext_if proto esp from 5.6.7.8!pass on $ext_if proto udp from 5.6.7.8 port isakmp!pass on enc0 proto ipencap from 192.168.2.0/24!pass on enc0 from 192.168.2.0/24
/etc/pf.conf