bezpečnosť v počítačových sieťach lucia kapová martin vozár
Post on 28-Dec-2015
243 Views
Preview:
TRANSCRIPT
Bezpečnosť v počítačových sieťach
Lucia Kapová
Martin Vozár
Bezpečnosť v počítačových sieťach
• základné sieťové pojmy
• typy hrozieb
• zaradenie hrozieb podľa TCP/IP modelu
• šifrovaná komunikácia SSL/TLS
• IPSec (sieťová), IPv6
• Firewally
Základné pojmy
TCP/IP model• TCP – Transport Control Protocol• IP – Internet Protocol
Aplikačná vrstva (application layer)• telnet, FTP, SMTP, HTTP, DNS, SQL, ...Transpotrná vrstva (transport layer)• TCP, UDPInternetová vrstva (internet layer)• IP, ARP, RARP, ICMP ...Spojová vrstva (network access layer)• IEEE 802.x, FDDI, ATM, PPP ...
• IP je protokol sieťovej vrstvy, umožňujúci komunikáciu. Slúži na prenos datagramov, rôznymi typmi sietí
• TCP – zaručuje doručenie packetu, ak nedostane potvrdenie o doručení packet je poslaný znova
• UDP (User datagram protocol) – nezaručuje doručenie, nepreposiela packety
TCP/IP model
Internet
ISP- Internet Service Provider
Prenos dát
Zneužitie siete•Ciele:
•Získať informácie•Získať prístup do systému•Zakázať službu
•Prostriedky:•PortScan•Fingerprinting•Social engeneering
Pohľad na TCP/IP model
TCP/IP
• Z pohľadu TCP/IP modelu môžeme rozdeliť spôsoby uplatnenia ochrán proti útokom na tieto vrstvy:– Aplikačná (najvyššia)– internetová + transportná– spojová (najnižšia)
Spojová vrstva
• Riziká– odpočúvanie prenosového média a následné
dekódovanie zachytených informácií, prípadné ich využitie na „playback“ útok (napr. odpočúvanie telefónnych liniek, neautorizované zachytávanie dát pri prenose zdiľaným médiom (wireless, ethernet s hubom, …)) – odchytávanie plaintextových protokolov
– MAC spoofing (zmena MAC adresy)
Spojová vrstva
• Vrstva pracujúca s fyzickým médiom a zabezpečovaním prístupu k tomuto médiu (obvykle) prostredníctvom fyzických adries
• Ochrana– použitie silnej autentifikácie a šifrovania na
vyšších vrstvách, t.j. pri pripájaní z neznámych miest používať zabezpečené tunely
Spojová vrstva
• Problém: Ako môže klient v USA pripojiť svoj PC na intranet v EU?
• Riešenie 1:– linka: circuit-switched (ISDN, PSTN ...)– encapsulation PPP
• Výhody:– dostupnosť– jednoduchosť
• Nevýhody:– bezpečnosť (dáta nie sú zašifrované)– náklady (volania sú spoplatnené)
Spojová vrstva
• Riešenie 2:– Virtuálna privátna sieť (VPN)– „Layer 2 tunneling“
• zapuzdrenie sieťového protokolu (IP, IPX, AppleTalk ...) v PPP
• zašifrovanie PPP framov • zapuzdrenie dát v prenosovom protokole (tunneling)
najčastejšie IP– „Layer 3 tunneling“
• zapuzdrenie sieťového protokolu v VTP (Virtual Tunneling Protokol)
• zapuzdrenie dát v prenosovom protokole (tunneling) najčastejšie IP
Spojová vrstva
Spojová vrstva
• Layer 2 forwarding (L2F)• Point-to-point tunneling protocol (PPTP)• Layer 2 tunneling protocol (L2TP)• LAC - L2TP access client • LAS - L2TP access server
Spojová vrstva
• PPTP využíva na zabezpečenie bezpečnosti VPN
Spojová vrstva
• Bezpečnostná architektúra zahrňa IPSEC (IP security protocol) a IKMP (Internet key management protocol alebo IKE-Internet key exchange)
Internetová vrstva
• Riziká:– TCP seq. number guessing (TCP session
hijacking)– spomaľovanie TCP spojenia– zabíjanie TCP spojení
• Bezpečnostné protokoly transportnej vrstvy pre internet:– Secure shell protocol (SSH)– Secure sockets layer (SSL)– Private communications technology (PCT)– Transport layer security (TLS)
Transportná vrstva
• SSH vyvinutý Tatu Ylonen-om na Technickej univerzite v Helsinkách
• Poskytuje podporu pre:– Autentifikáciu používateľov– Kompresiu dát– Utajenie dát a ochranu integrity
Transportná vrstva
• SSH v1 vyžaduje manuálne distribuované a nakonfigurované verejné kľúče (pre server a nepovinne pre používateľa)
Transportná vrstva
• SSH v2 sa podobne ako SSL/TLS skladá z dvoch subprotokolov:– SSH bezpečnostný protokol transpotnej
vrstvy – šifrovaná autentifikácia hostov, kompresia dát, utajenie a integrita dát
– SSH autetifikačný protokol – autentifikácia používateľov
Transportná vrstva
• PCT (Private communication technology) – produkt Microsoftu z roku 1995
• TLS (Transport layer security) – snaha o štandardizáciu
• TLS v1 je veľmi podobná SSL v3 a je nazývaná SSL v3.1
Transportná vrstva
• Riziká:– spoofing (napr. DNS spoofing, falšovanie e-
mailových hlavičiek, HTTP redirekty...)
• Sú dve možnosti ako zabezpečiť bezpečnosť na aplikačnej vrstve:– Zabezpečiť konkrétny protokol („security-
enhanced“)– Využiť štandardizované API využívané viacerými
protokolmi (autentifikačné a distribučné systémy)
Aplikačná vrstva
• „Security-enhanced“ aplikačné protokoly:– Terminál:Telnet
• Kerberos Telnet• SSLtelnet (využíva SSL/TLS)• Encrypted session manager(ESM)• Secure RPC authentification (SRA)• Secure telnet(STEL)• Secure shell(SSH)
– Prenos súborov:FTP• Kerberos FTP• SSLFtp• SSH utility : scp, sftp
Aplikačná vrstva
– E-mail: SMTP, POP3• Kerberos e-mail (Eudora)• SMTP/POP3 na základe SSL/TLS• Secure messaging: secure MIME (S/MINE)
pretty good privacy (PGP)
– WWW: HTTP• Secure HTTP (S-HTTP)• HTTP na základe SSL/TLS (HTTPS)
Aplikačná vrstva
– Domain name system: DNS• DNS security (DNSSEC)
– Distribuované filesystémy: HTTP• Cryptographic file system (CFS)• Kerberos file system (KFS)• WIN2000 encrypting file system (EFS)
Aplikačná vrstva
• Autentifikačné a distribučné systémy:– Kerberos
• Heslo sa používa len raz pri inicializácii• Odolný voči sniffovaniu hesiel• Nevyužíva šifrovanie podľa verejného kľúča
Aplikačná vrstva
Aplikačná vrstva
• Nevýhody:– Bezvýhradna viera v KDC– Nízka skalabilita
• Vyžaduje obojstrannú dôveru pri komunikácii:
Aplikačná vrstva
Zhrnutie
1. Zabezpečiť prenosovú cestu (Spojová vrstva)
2. Zabezpečiť prenášané dáta (Aplikačná vrstva)
3. Zabezpečiť časti cesty a najcennejšie dáta (Transporná vrstva)
Zvýšenie bezpečnosti
• Šifrovanie (encipherment)• Digitálny podpis (digital signature) • Kontrola prístupu (access control)• Integrita údajov (data integrity)• Autentifikácia (authentification)• Utesnenie spojenia (traffic padding)• Kontrola routovania (routing control)• Značenie (notarization)
Typy hrozieb(čo vlastne chcú)
Typy hrozieb• získať kontrolu nad časťami programov, nad
programami alebo nad celým zariadením• získať cudzie informácie pre vlastnú potrebu
alebo pre iných, • zmeniť/poškodiť informácie• znemožniť prístup k informáciám, resp.
znemožniť funkčnosť zariadenia (napr. smerovača)
(pre osobné potešenie, alebo ako práca „na objednávku“ tretích osôb)
Typy útokov(ako to dosiahnu)
Časté typy útokov
• odpočúvanie (niekedy považované za útok)
• ARP/IP spoofing• Man-in-the-Middle• protocol exploitation• session hijacking (tcp alebo app)• DoS/DDoS• DNS/HTTP/e-mail spoofing
Pasívne odpočúvanie
• Pasívne počúvanie (wiretapping, eavesdropping)
• Analýza komunikácie za účelom získania zaujímavých informácií (loginy, heslá, e-maily, SQL výpisy, HTTP komunikácia)
Príklad
•Čítanie packetov treťou stranou
•Obrana: šifrovanie
Aktívny útok
• Manipulácia s údajmi• Spoofing
– IP spoofing, sequence number quessing (internetová, transportná)
– DNS spoofing (aplikačná)• Degradation-of-service, denial-of-service
– TCP SYN flooding (internetová)– E-mail bombing (aplikačná)
PríkladIPspoofing – zmena IP adresy s cieľom Prejsť autentifikáciou založenou na zdrojovej adrese
TCP session hijacking
• Cieľom je prebrať kontrolu nad spojením, v prípade že používateľ práve čítal mail útočník k nemu bude mať prístup, môže vykonávať príkazy. Obeť len spozoruje, že spadlo spojenie a pripojí sa ešte raz.
• Pri tomto útoku útočník najprv sleduje komunikáciu medzi dvoma počítačmi potom jeden presvedčí o zlyhaní spojenia a preberie kontrolu nad spojením druhému počítaču, ktorý o žiadnej zmene nevie.
TCP session hijacking
Príklad
Útoky typu DoS
• Obsadenie prenosovej kapacity linky:– Scenár 1: Útočník má vačšiu kapacitu linky (T1
1.544Mb/s) a zahltí pomalšiu linku (128kb/s). – Scenár 2: Využitie prístupu do viacerých
systémov, viac serverov napríklad môže zahltiť cieľovú sieť z viacerých zdrojov s tokom aj na 100 Mb/s.
• Často sa k takémuto cieľu využíva ICMP protokol.
Útoky typu DoS
• Privlastnenie systémových zdrojov:– Snaha o spotrebovanie systémových
zdrojov cieľového PC
• Chyby v programoch:– „ping-of-dead“ – zaslanie packetu s
neočákavanými parametrami
• Útok na DNS a smerovače paketov– Manipulácia so smerovacími tabuľkami
Útoky typu DDoS
• Pri distribuovaných DoS je zdrojom zahltenia viac systémov naraz. Útočník ovládne viacero systémov a potom vytvorí dátový tok zo všetkých systémov smerom k cieľovému počítaču.
Útoky typu Denial-Of-Service
„Smurf attack“• Idea: Zahltiť obeť
pingmi z viacerých zdrojov.– Vygenerujú sa ICMP
packety so zdrojovou adresou obete
– Každy host vygeneruje ICMP echo reply k zdrojovej adrese a zahltí obeť
DoS – „Denial-of-Service“
Útoky typu Exploitation a Gathering info
• Exploitation: „TCP/IP hijacking“, „password guessing“, „trojan horses“, „buffer overruns“
• Gathering info: „address/port scanning“, „fingerprinting“, DNS zone transfers, finger, SNMP
Príklad
1. Prieskum:
• traceroute
Príklad
• Skenovanie portov, SuperScan
Príklad
mythos:~# nmap -O 62.65.180.1
Starting nmap 3.50 ( http://www.insecure.org/nmap/ ) at 2004-04-22 11:55 CESTInteresting ports on cisco-ke.antik.sk (62.65.180.1):(The 1657 ports scanned but not shown below are in state: closed)PORT STATE SERVICE23/tcp open telnet514/tcp open shellDevice type: routerRunning: Cisco IOS 12.XOS details: Cisco 3600 router running IOS 12.2(6c), Cisco router running IOS
12.1.5-12.2.13a, Cisco router running IOS 12.1(5)-12.2(7a)
Nmap run completed -- 1 IP address (1 host up) scanned in 8.323 secondsmythos:~#
• Po zistení otvorených portov a hesiel(dsniff) je možné dostať sa na zariadenie v sieti ak nie je dobre chránené a získať tak dalšie informácie.
Príklad
• Napríklad:Príklad
Bezpečná komunikácia. SSL protokol.
SSL protokol
• SSL(Secure sockets protocol) bol vyvinutý firmou Netscape ako odpoveď na S-HTTP
• Základná idea je vytvorenie bezpečnostnej vrstvy medzi transportnou a aplikačnou vrstvou pre zvyšenie bezpečnosti komunikácie.
• V principe SSL môže zabezpečovať akýkoľvek TCP-orientovaný protokol (HTTP, Telnet, FTP, POP3, ...)
SSL protokol
• SSL verzie:– v1.0: interný protokol– v2.0: Netscape Navigator v1.0 až 2.x
• PCT bol vytvorený na základe tejto verzie
– v3.0: opravenie verzie SSL2.0, implementované vo vačšine browserov
• TLS bol vytvorený na základe tejto verzie
SSL protokol
• Využitie SSL:– Komunikujúce strany sa môžu autentifikovať s
použitímšifrovania podľa verejného kľúča.– Dáta sú chránené, komunikácia je zašifrovaná po
uskutočnení inicializačného handshaku a určení kľúča pre dané spojenie.
– Integrita dát je chránená(MAC).
• Nevýhody SSL:– Útoku formou analýzy spojenia– TCP SYN Flooding, Session hijacking
SSL protokol
• Pri spojení pomocou SSL je potrebné na oboch stranách vedieť o SSL na opačnej strane a uchovávať stav.
• Informácia o stave komunikácie obsahuje:• ID spojenia• Peer certifikát• Metóda kompresie• Špecifikáciu šifrovania(šifrovanie a autentifikácia dát)• Master secret(zdieľaných 48bytov pre toto spojenie)• Flag – možnosť pokračovania komunikácie
SSL protokol
• SSL môže byť využitý na rôzne typy komunikácie
• Informácia o stave spojenia obsahuje:• Náhodné bytové sekvencie vygenerované klientom a
serverom pre dané spojenie• MAC (message authentifikation key) pre klienta aj server• Šifrovacie kľuče• Inicializačný vektor• Sekvenčné číslo
SSL protokol
SSL protokol
SSL protokol• SSL RFP (Record format protocol) zabezpečuje
– Fragmentáciu– Kompresiu a dekompresiu– Kódovanie a odkódovanie
• Každý SSL záznam musí obsahovať:– Typ – informácia pre protokol vyššej vrstvy– Číslo verzie protokolu– Dĺžka– Payload– MAC
SSL protokol
SSL protokol
• SSL HP (Handshake protocol) – klient a server sa dohodnú na:– Podporovanej verzii SSL protokolu– Metóde kompresie– Šifrovaciom algoritme– Vzájomnej autetifikácii (povinne server)– Generujú zdieľané „secrets“ – master
secret
SSL protokol
Prehľad o IPSec
• Pracuje na internetovej vstve TCP/IP modelu
• je to štandardizované riešenie (IETF)
• Umožňuje vytvárať rôzne typy tunelov medzi počítačmi a sieťami, resp. medzi sieťami navzájom
IPSec
IPSec
• IPSec umožňuje– Data Confidentiality– Data Integrity– Data Origin Authentication– Anti-Replay
• Podporuje mechanizmus manuálnej alebo automatickej výmeny kľúčov (IKE)
IPSec
• IKE – poskytuje autentifikáciu koncových zariadení, dohaduje IPSec security associations a establishuje IPSec kľúče
• SPI – Security Parameter Index je číslo, ktoré spolu s IP adresou a bezpečnostným protokolom jednoznačne identifikujú SA
IPSec pojmy
• SA – Security Association popisuje ako dve alebo viac entít bude používať bezpečnostné služby (AH alebo ESP)
• SA obsahuje tieto parametre: – použitý autentifikačný a šifrovací algoritmus,
dĺžku kľúča a napr. aj platnosť kľúča– Kľúče pre autentifikáciu, šifrovanie a HMAC– IPSec AH alebo ESP enkapsulačný protokol
identifikáciu módu
IPSec pojmy
• AH – Authentication Header je bezpečnostný protokol, ktorý poskytuje autentifikáciu dát a voliteľné anti-replay služby – overenie pravosti
• AH využíva MD5 alebo SHA-1– vypočítaný vysielajúcim IPSec modulom– pridaný k IP paketu– kontrolovaný prijímacím IPSec modulom
IPSec pojmy
• ESP – Encapsulating Security Payload používa IP enkapsuláciu na kryptografickú ochranu prenášaných dát a voliteľnú autentifikáciu a anti-replay ochranu
• ESP (DES, 3DES, Blowfish)– vysielajúci IPSec modul zašifruje dáta– prijímúci IPSec modul rozšifruje dáta
IPSec pojmy
• AH a ESP používajú symetrické šifrovanie
• IPSec = AH + ESP + IKE
IPSec pojmy
AH a ESP
IPSec módy
• Transport Mode
• Tunnel Mode– host-host– host-network– network-network
AH a ESP v transportnom a tunel móde
Nadviazanie IPSec spojenia
Firewalls
Firewally
• čo je firewall?• čo chceme chrániť• klasifikácia typov firewallov• vysvetlenie často používaných pojmov• základné typy zapojenia• príklad nastavenia
Čo je firewall
• Zariadenie, ktoré môže– Obmedzovať prístup z jednotlivých časti siete na iné siete na
základe rôznych kritérií (všeobecne: podľa prihláseného užívateľa, IP adries, portov, použitých protokolov...)
– Zaznamenávať a analyzovať sieťovú prevádzku (IDS)
• Zariadenie, ktoré nevie analyzovať napr. vírus prenášaný službou FTP
• FW nevie chrániť počítače, ktoré komunikujú medzi sebou na lokálnej sieti (pretože premávka ide pomimo FW)
Čo chceme chrániť
• dáta– secrecy (utajenosť)– integrity (neporušenosť)– availability (dostupnosť)
• počítače– výpočtový výkon (zdroje)
• svoju reputáciu– zabránenie vystupovaniu útočníka pod našou
identitou
Klasifikácia typov
• Packet Filter– filtruje pakety od neautorizovaných počítačov a
filtruje pokusy o pripojenie na neautorizované služby
– Vyhodnocuje každý paket zvlášť – štandardné PFF nevedia rozoznať súvislosti medzi paketmi – kontrolujú na základe src IP, dst IP, port, …
– SPI (Stateful Packet Inspetion) – stavové firewally, priradzujú pakety k reláciám
Klasifikácia typov
Klasifikácia typov
• NAT– prekladá IP adresy vnútorných počítačov, aby ich
ochránil pred pokusmi o pripojenie z vonkajšej siete
– pre počítače na vnútornej sieti používa vyhradené adresy 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16
– z internetu firewall poskytujúci NAT vyzerá ako 1 veľmi vyťažený počítač (čo sa týka počtu spojení)
Klasifikácia typov
Klasifikácia typov
• Application level gateway– vytvárajú nové spojenie na aplikačnej vrstve
namiesto zdrojového počítača– Dual homed hosts – majú dve sieťové rozhrania,
smerovanie medzi nimi je vypnuté– známe aj ako „proxy servre“– závislé na aplikačnom protokole– špeciálny prípad – circuit level proxy –
všeobecnejší typ proxy servera predávajúceho obsah dátovej časti paketov
Application firewall
Niektoré voliteľné služby
• Overovanie užívateľov– šifrovaná autentifikácia užívateľov na preukázanie
identity za účelom povolenia vstupu do internej siete
• Virtual Private Networking– Vytvára zabezpečené spojenie medzi privátnymi
sieťami, medzi počítačmi alebo medzi počítačom a privátnou sieťou
Často používané pojmy
• Bastion host – samostaný počítač s nainštalovaným sw firewallom
• Dual-homed host – zariadenie s min. Dvoma sieť. Rozhraniami s vypnutým IP routingom
• Screened host – • Screened network – • DMZ – demilitarizovaná zóna – časť siete, do ktorej
je povolený velmi obmedzený prístup z internetu a oveľa voľnejší prístup z intranetu; fyzicky oddelený segment siete
Často používané pojmy
Politiky ochrany
• No security – žiadne zabezpečenie• Security though obscurity –
„zabezpečenie“, tým, že o existencii systému „sa nebude vedieť“
• Host security – zabezbečenie jedného počítača
• Network security – zabezpečenie sieťového segmentu
Príklady nastavenia – Linux[root@stargate]-[08:24:44]-[~]# iptables -LChain INPUT (policy DROP)target prot opt source destination all -- anywhere anywhere state NEWACCEPT all -- anywhere anywhere state RELATED,ESTABLISHEDACCEPT all -- anywhere anywhereCNL all -- 147.232.22.0/24 anywhereCNL all -- 147.232.48.0/24 anywhereCNL all -- 147.232.240.0/24 anywhereCNL all -- 212.5.207.224/27 anywhereINET all -- anywhere anywhere
Chain FORWARD (policy DROP)target prot opt source destination
Chain OUTPUT (policy ACCEPT)target prot opt source destination
Chain CNL (4 references)target prot opt source destinationACCEPT all -- anywhere anywhere
Chain INET (1 references)target prot opt source destinationACCEPT tcp -- anywhere anywhere tcp dpt:ftp flags:SYN,RST,ACK/SYN state NEWACCEPT tcp -- anywhere anywhere tcp dpt:ssh flags:SYN,RST,ACK/SYN state NEWACCEPT tcp -- anywhere anywhere tcp dpt:smtp flags:SYN,RST,ACK/SYN state NEWACCEPT tcp -- anywhere anywhere tcp dpt:www flags:SYN,RST,ACK/SYN state NEWACCEPT tcp -- anywhere anywhere tcp dpt:pop3 flags:SYN,RST,ACK/SYN state NEWACCEPT tcp -- anywhere anywhere tcp dpt:auth flags:SYN,RST,ACK/SYN state NEWACCEPT tcp -- anywhere anywhere tcp dpt:imap2 flags:SYN,RST,ACK/SYN state NEWACCEPT tcp -- anywhere anywhere tcp dpt:https flags:SYN,RST,ACK/SYN state NEWACCEPT tcp -- anywhere anywhere tcp dpt:imaps flags:SYN,RST,ACK/SYN state NEWACCEPT tcp -- anywhere anywhere tcp dpt:pop3s flags:SYN,RST,ACK/SYN state NEWACCEPT tcp -- anywhere anywhere tcp dpt:5000 flags:SYN,RST,ACK/SYN state NEWACCEPT icmp -- anywhere anywhere icmp echo-replyACCEPT icmp -- anywhere anywhere icmp destination-unreachableACCEPT icmp -- anywhere anywhere icmp redirectACCEPT icmp -- anywhere anywhere icmp echo-requestACCEPT icmp -- anywhere anywhere icmp time-exceededLOG all -- anywhere anywhere limit: avg 10/sec burst 5 LOG level warningDROP all -- anywhere anywhere
Literatúra
• http://www.networkcomputing.com/netdesign/wall2.html
• http://www.interhack.net/pubs/fwfaq/
• http://www.darmstadt.gmd.de/ice-tel/deliverables/download/firewall/theory.html
• http://quark.humbug.org.au/publications/firewall/introfirewall.html
• Strebe M., Perkinson Ch. – Firewalls 24seven, Sybex 2002
• Joel Scambray, Stuart McClure, George Kurtz – Hacking bez tajemství
• http://www.eecg.toronto.edu/~lie/ECE1724/Lectures/Lecture11.pdf
• http://www.ifi.unizh.ch/~oppliger/Presentations/InternetIntranetSecurity2e/
• http://www.cs.unibo.it/babaoglu/courses/security/lucidi/IPSec.pdf
• http://cip.uni-trier.de/mauren/internet-security/tutorial/IS-2.pdf
Ďakujeme za pozornosť
top related