Bezpečnosť v počítačových sieťach

Lucia Kapová

Martin Vozár

Bezpečnosť v počítačových sieťach

• základné sieťové pojmy

• typy hrozieb

• zaradenie hrozieb podľa TCP/IP modelu

• šifrovaná komunikácia SSL/TLS

• IPSec (sieťová), IPv6

• Firewally

Základné pojmy

TCP/IP model• TCP – Transport Control Protocol• IP – Internet Protocol

Aplikačná vrstva (application layer)• telnet, FTP, SMTP, HTTP, DNS, SQL, ...Transpotrná vrstva (transport layer)• TCP, UDPInternetová vrstva (internet layer)• IP, ARP, RARP, ICMP ...Spojová vrstva (network access layer)• IEEE 802.x, FDDI, ATM, PPP ...

• IP je protokol sieťovej vrstvy, umožňujúci komunikáciu. Slúži na prenos datagramov, rôznymi typmi sietí

• TCP – zaručuje doručenie packetu, ak nedostane potvrdenie o doručení packet je poslaný znova

• UDP (User datagram protocol) – nezaručuje doručenie, nepreposiela packety

TCP/IP model

Internet

ISP- Internet Service Provider

Prenos dát

Zneužitie siete•Ciele:

•Získať informácie•Získať prístup do systému•Zakázať službu

•Prostriedky:•PortScan•Fingerprinting•Social engeneering

Pohľad na TCP/IP model

TCP/IP

• Z pohľadu TCP/IP modelu môžeme rozdeliť spôsoby uplatnenia ochrán proti útokom na tieto vrstvy:– Aplikačná (najvyššia)– internetová + transportná– spojová (najnižšia)

Spojová vrstva

• Riziká– odpočúvanie prenosového média a následné

dekódovanie zachytených informácií, prípadné ich využitie na „playback“ útok (napr. odpočúvanie telefónnych liniek, neautorizované zachytávanie dát pri prenose zdiľaným médiom (wireless, ethernet s hubom, …)) – odchytávanie plaintextových protokolov

– MAC spoofing (zmena MAC adresy)

Spojová vrstva

• Vrstva pracujúca s fyzickým médiom a zabezpečovaním prístupu k tomuto médiu (obvykle) prostredníctvom fyzických adries

• Ochrana– použitie silnej autentifikácie a šifrovania na

vyšších vrstvách, t.j. pri pripájaní z neznámych miest používať zabezpečené tunely

Spojová vrstva

• Problém: Ako môže klient v USA pripojiť svoj PC na intranet v EU?

• Riešenie 1:– linka: circuit-switched (ISDN, PSTN ...)– encapsulation PPP

• Výhody:– dostupnosť– jednoduchosť

• Nevýhody:– bezpečnosť (dáta nie sú zašifrované)– náklady (volania sú spoplatnené)

Spojová vrstva

• Riešenie 2:– Virtuálna privátna sieť (VPN)– „Layer 2 tunneling“

• zapuzdrenie sieťového protokolu (IP, IPX, AppleTalk ...) v PPP

• zašifrovanie PPP framov • zapuzdrenie dát v prenosovom protokole (tunneling)

najčastejšie IP– „Layer 3 tunneling“

• zapuzdrenie sieťového protokolu v VTP (Virtual Tunneling Protokol)

• zapuzdrenie dát v prenosovom protokole (tunneling) najčastejšie IP

Spojová vrstva

Spojová vrstva

• Layer 2 forwarding (L2F)• Point-to-point tunneling protocol (PPTP)• Layer 2 tunneling protocol (L2TP)• LAC - L2TP access client • LAS - L2TP access server

Spojová vrstva

• PPTP využíva na zabezpečenie bezpečnosti VPN

Spojová vrstva

• Bezpečnostná architektúra zahrňa IPSEC (IP security protocol) a IKMP (Internet key management protocol alebo IKE-Internet key exchange)

Internetová vrstva

• Riziká:– TCP seq. number guessing (TCP session

hijacking)– spomaľovanie TCP spojenia– zabíjanie TCP spojení

• Bezpečnostné protokoly transportnej vrstvy pre internet:– Secure shell protocol (SSH)– Secure sockets layer (SSL)– Private communications technology (PCT)– Transport layer security (TLS)

Transportná vrstva

• SSH vyvinutý Tatu Ylonen-om na Technickej univerzite v Helsinkách

• Poskytuje podporu pre:– Autentifikáciu používateľov– Kompresiu dát– Utajenie dát a ochranu integrity

Transportná vrstva

• SSH v1 vyžaduje manuálne distribuované a nakonfigurované verejné kľúče (pre server a nepovinne pre používateľa)

Transportná vrstva

• SSH v2 sa podobne ako SSL/TLS skladá z dvoch subprotokolov:– SSH bezpečnostný protokol transpotnej

vrstvy – šifrovaná autentifikácia hostov, kompresia dát, utajenie a integrita dát

– SSH autetifikačný protokol – autentifikácia používateľov

Transportná vrstva

• PCT (Private communication technology) – produkt Microsoftu z roku 1995

• TLS (Transport layer security) – snaha o štandardizáciu

• TLS v1 je veľmi podobná SSL v3 a je nazývaná SSL v3.1

Transportná vrstva

• Riziká:– spoofing (napr. DNS spoofing, falšovanie e-

mailových hlavičiek, HTTP redirekty...)

• Sú dve možnosti ako zabezpečiť bezpečnosť na aplikačnej vrstve:– Zabezpečiť konkrétny protokol („security-

enhanced“)– Využiť štandardizované API využívané viacerými

protokolmi (autentifikačné a distribučné systémy)

Aplikačná vrstva

• „Security-enhanced“ aplikačné protokoly:– Terminál:Telnet

• Kerberos Telnet• SSLtelnet (využíva SSL/TLS)• Encrypted session manager(ESM)• Secure RPC authentification (SRA)• Secure telnet(STEL)• Secure shell(SSH)

– Prenos súborov:FTP• Kerberos FTP• SSLFtp• SSH utility : scp, sftp

Aplikačná vrstva

– E-mail: SMTP, POP3• Kerberos e-mail (Eudora)• SMTP/POP3 na základe SSL/TLS• Secure messaging: secure MIME (S/MINE)

pretty good privacy (PGP)

– WWW: HTTP• Secure HTTP (S-HTTP)• HTTP na základe SSL/TLS (HTTPS)

Aplikačná vrstva

– Domain name system: DNS• DNS security (DNSSEC)

– Distribuované filesystémy: HTTP• Cryptographic file system (CFS)• Kerberos file system (KFS)• WIN2000 encrypting file system (EFS)

Aplikačná vrstva

• Autentifikačné a distribučné systémy:– Kerberos

• Heslo sa používa len raz pri inicializácii• Odolný voči sniffovaniu hesiel• Nevyužíva šifrovanie podľa verejného kľúča

Aplikačná vrstva

Aplikačná vrstva

• Nevýhody:– Bezvýhradna viera v KDC– Nízka skalabilita

• Vyžaduje obojstrannú dôveru pri komunikácii:

Aplikačná vrstva

Zhrnutie

1. Zabezpečiť prenosovú cestu (Spojová vrstva)

2. Zabezpečiť prenášané dáta (Aplikačná vrstva)

3. Zabezpečiť časti cesty a najcennejšie dáta (Transporná vrstva)

Zvýšenie bezpečnosti

• Šifrovanie (encipherment)• Digitálny podpis (digital signature) • Kontrola prístupu (access control)• Integrita údajov (data integrity)• Autentifikácia (authentification)• Utesnenie spojenia (traffic padding)• Kontrola routovania (routing control)• Značenie (notarization)

Typy hrozieb(čo vlastne chcú)

Typy hrozieb• získať kontrolu nad časťami programov, nad

programami alebo nad celým zariadením• získať cudzie informácie pre vlastnú potrebu

alebo pre iných, • zmeniť/poškodiť informácie• znemožniť prístup k informáciám, resp.

znemožniť funkčnosť zariadenia (napr. smerovača)

(pre osobné potešenie, alebo ako práca „na objednávku“ tretích osôb)

Typy útokov(ako to dosiahnu)

Časté typy útokov

• odpočúvanie (niekedy považované za útok)

• ARP/IP spoofing• Man-in-the-Middle• protocol exploitation• session hijacking (tcp alebo app)• DoS/DDoS• DNS/HTTP/e-mail spoofing

Pasívne odpočúvanie

• Pasívne počúvanie (wiretapping, eavesdropping)

• Analýza komunikácie za účelom získania zaujímavých informácií (loginy, heslá, e-maily, SQL výpisy, HTTP komunikácia)

Príklad

•Čítanie packetov treťou stranou

•Obrana: šifrovanie

Aktívny útok

• Manipulácia s údajmi• Spoofing

– IP spoofing, sequence number quessing (internetová, transportná)

– DNS spoofing (aplikačná)• Degradation-of-service, denial-of-service

– TCP SYN flooding (internetová)– E-mail bombing (aplikačná)

PríkladIPspoofing – zmena IP adresy s cieľom Prejsť autentifikáciou založenou na zdrojovej adrese

TCP session hijacking

• Cieľom je prebrať kontrolu nad spojením, v prípade že používateľ práve čítal mail útočník k nemu bude mať prístup, môže vykonávať príkazy. Obeť len spozoruje, že spadlo spojenie a pripojí sa ešte raz.

• Pri tomto útoku útočník najprv sleduje komunikáciu medzi dvoma počítačmi potom jeden presvedčí o zlyhaní spojenia a preberie kontrolu nad spojením druhému počítaču, ktorý o žiadnej zmene nevie.

TCP session hijacking

Príklad

Útoky typu DoS

• Obsadenie prenosovej kapacity linky:– Scenár 1: Útočník má vačšiu kapacitu linky (T1

1.544Mb/s) a zahltí pomalšiu linku (128kb/s). – Scenár 2: Využitie prístupu do viacerých

systémov, viac serverov napríklad môže zahltiť cieľovú sieť z viacerých zdrojov s tokom aj na 100 Mb/s.

• Často sa k takémuto cieľu využíva ICMP protokol.

Útoky typu DoS

• Privlastnenie systémových zdrojov:– Snaha o spotrebovanie systémových

zdrojov cieľového PC

• Chyby v programoch:– „ping-of-dead“ – zaslanie packetu s

neočákavanými parametrami

• Útok na DNS a smerovače paketov– Manipulácia so smerovacími tabuľkami

Útoky typu DDoS

• Pri distribuovaných DoS je zdrojom zahltenia viac systémov naraz. Útočník ovládne viacero systémov a potom vytvorí dátový tok zo všetkých systémov smerom k cieľovému počítaču.

Útoky typu Denial-Of-Service

„Smurf attack“• Idea: Zahltiť obeť

pingmi z viacerých zdrojov.– Vygenerujú sa ICMP

packety so zdrojovou adresou obete

– Každy host vygeneruje ICMP echo reply k zdrojovej adrese a zahltí obeť

DoS – „Denial-of-Service“

Útoky typu Exploitation a Gathering info

• Exploitation: „TCP/IP hijacking“, „password guessing“, „trojan horses“, „buffer overruns“

• Gathering info: „address/port scanning“, „fingerprinting“, DNS zone transfers, finger, SNMP

Príklad

1. Prieskum:

• traceroute

Príklad

• Skenovanie portov, SuperScan

Príklad

mythos:~# nmap -O 62.65.180.1

Starting nmap 3.50 ( http://www.insecure.org/nmap/ ) at 2004-04-22 11:55 CESTInteresting ports on cisco-ke.antik.sk (62.65.180.1):(The 1657 ports scanned but not shown below are in state: closed)PORT STATE SERVICE23/tcp open telnet514/tcp open shellDevice type: routerRunning: Cisco IOS 12.XOS details: Cisco 3600 router running IOS 12.2(6c), Cisco router running IOS

12.1.5-12.2.13a, Cisco router running IOS 12.1(5)-12.2(7a)

Nmap run completed -- 1 IP address (1 host up) scanned in 8.323 secondsmythos:~#

• Po zistení otvorených portov a hesiel(dsniff) je možné dostať sa na zariadenie v sieti ak nie je dobre chránené a získať tak dalšie informácie.

Príklad

• Napríklad:Príklad

Bezpečná komunikácia. SSL protokol.

SSL protokol

• SSL(Secure sockets protocol) bol vyvinutý firmou Netscape ako odpoveď na S-HTTP

• Základná idea je vytvorenie bezpečnostnej vrstvy medzi transportnou a aplikačnou vrstvou pre zvyšenie bezpečnosti komunikácie.

• V principe SSL môže zabezpečovať akýkoľvek TCP-orientovaný protokol (HTTP, Telnet, FTP, POP3, ...)

SSL protokol

• SSL verzie:– v1.0: interný protokol– v2.0: Netscape Navigator v1.0 až 2.x

• PCT bol vytvorený na základe tejto verzie

– v3.0: opravenie verzie SSL2.0, implementované vo vačšine browserov

• TLS bol vytvorený na základe tejto verzie

SSL protokol

• Využitie SSL:– Komunikujúce strany sa môžu autentifikovať s

použitímšifrovania podľa verejného kľúča.– Dáta sú chránené, komunikácia je zašifrovaná po

uskutočnení inicializačného handshaku a určení kľúča pre dané spojenie.

– Integrita dát je chránená(MAC).

• Nevýhody SSL:– Útoku formou analýzy spojenia– TCP SYN Flooding, Session hijacking

SSL protokol

• Pri spojení pomocou SSL je potrebné na oboch stranách vedieť o SSL na opačnej strane a uchovávať stav.

• Informácia o stave komunikácie obsahuje:• ID spojenia• Peer certifikát• Metóda kompresie• Špecifikáciu šifrovania(šifrovanie a autentifikácia dát)• Master secret(zdieľaných 48bytov pre toto spojenie)• Flag – možnosť pokračovania komunikácie

SSL protokol

• SSL môže byť využitý na rôzne typy komunikácie

• Informácia o stave spojenia obsahuje:• Náhodné bytové sekvencie vygenerované klientom a

serverom pre dané spojenie• MAC (message authentifikation key) pre klienta aj server• Šifrovacie kľuče• Inicializačný vektor• Sekvenčné číslo

SSL protokol

SSL protokol

SSL protokol• SSL RFP (Record format protocol) zabezpečuje

– Fragmentáciu– Kompresiu a dekompresiu– Kódovanie a odkódovanie

• Každý SSL záznam musí obsahovať:– Typ – informácia pre protokol vyššej vrstvy– Číslo verzie protokolu– Dĺžka– Payload– MAC

SSL protokol

SSL protokol

• SSL HP (Handshake protocol) – klient a server sa dohodnú na:– Podporovanej verzii SSL protokolu– Metóde kompresie– Šifrovaciom algoritme– Vzájomnej autetifikácii (povinne server)– Generujú zdieľané „secrets“ – master

secret

SSL protokol

Prehľad o IPSec

• Pracuje na internetovej vstve TCP/IP modelu

• je to štandardizované riešenie (IETF)

• Umožňuje vytvárať rôzne typy tunelov medzi počítačmi a sieťami, resp. medzi sieťami navzájom

IPSec

IPSec

• IPSec umožňuje– Data Confidentiality– Data Integrity– Data Origin Authentication– Anti-Replay

• Podporuje mechanizmus manuálnej alebo automatickej výmeny kľúčov (IKE)

IPSec

• IKE – poskytuje autentifikáciu koncových zariadení, dohaduje IPSec security associations a establishuje IPSec kľúče

• SPI – Security Parameter Index je číslo, ktoré spolu s IP adresou a bezpečnostným protokolom jednoznačne identifikujú SA

IPSec pojmy

• SA – Security Association popisuje ako dve alebo viac entít bude používať bezpečnostné služby (AH alebo ESP)

• SA obsahuje tieto parametre: – použitý autentifikačný a šifrovací algoritmus,

dĺžku kľúča a napr. aj platnosť kľúča– Kľúče pre autentifikáciu, šifrovanie a HMAC– IPSec AH alebo ESP enkapsulačný protokol

identifikáciu módu

IPSec pojmy

• AH – Authentication Header je bezpečnostný protokol, ktorý poskytuje autentifikáciu dát a voliteľné anti-replay služby – overenie pravosti

• AH využíva MD5 alebo SHA-1– vypočítaný vysielajúcim IPSec modulom– pridaný k IP paketu– kontrolovaný prijímacím IPSec modulom

IPSec pojmy

• ESP – Encapsulating Security Payload používa IP enkapsuláciu na kryptografickú ochranu prenášaných dát a voliteľnú autentifikáciu a anti-replay ochranu

• ESP (DES, 3DES, Blowfish)– vysielajúci IPSec modul zašifruje dáta– prijímúci IPSec modul rozšifruje dáta

IPSec pojmy

• AH a ESP používajú symetrické šifrovanie

• IPSec = AH + ESP + IKE

IPSec pojmy

AH a ESP

IPSec módy

• Transport Mode

• Tunnel Mode– host-host– host-network– network-network

AH a ESP v transportnom a tunel móde

Nadviazanie IPSec spojenia

Firewalls

Firewally

• čo je firewall?• čo chceme chrániť• klasifikácia typov firewallov• vysvetlenie často používaných pojmov• základné typy zapojenia• príklad nastavenia

Čo je firewall

• Zariadenie, ktoré môže– Obmedzovať prístup z jednotlivých časti siete na iné siete na

základe rôznych kritérií (všeobecne: podľa prihláseného užívateľa, IP adries, portov, použitých protokolov...)

– Zaznamenávať a analyzovať sieťovú prevádzku (IDS)

• Zariadenie, ktoré nevie analyzovať napr. vírus prenášaný službou FTP

• FW nevie chrániť počítače, ktoré komunikujú medzi sebou na lokálnej sieti (pretože premávka ide pomimo FW)

Čo chceme chrániť

• dáta– secrecy (utajenosť)– integrity (neporušenosť)– availability (dostupnosť)

• počítače– výpočtový výkon (zdroje)

• svoju reputáciu– zabránenie vystupovaniu útočníka pod našou

identitou

Klasifikácia typov

• Packet Filter– filtruje pakety od neautorizovaných počítačov a

filtruje pokusy o pripojenie na neautorizované služby

– Vyhodnocuje každý paket zvlášť – štandardné PFF nevedia rozoznať súvislosti medzi paketmi – kontrolujú na základe src IP, dst IP, port, …

– SPI (Stateful Packet Inspetion) – stavové firewally, priradzujú pakety k reláciám

Klasifikácia typov

Klasifikácia typov

• NAT– prekladá IP adresy vnútorných počítačov, aby ich

ochránil pred pokusmi o pripojenie z vonkajšej siete

– pre počítače na vnútornej sieti používa vyhradené adresy 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16

– z internetu firewall poskytujúci NAT vyzerá ako 1 veľmi vyťažený počítač (čo sa týka počtu spojení)

Klasifikácia typov

Klasifikácia typov

• Application level gateway– vytvárajú nové spojenie na aplikačnej vrstve

namiesto zdrojového počítača– Dual homed hosts – majú dve sieťové rozhrania,

smerovanie medzi nimi je vypnuté– známe aj ako „proxy servre“– závislé na aplikačnom protokole– špeciálny prípad – circuit level proxy –

všeobecnejší typ proxy servera predávajúceho obsah dátovej časti paketov

Application firewall

Niektoré voliteľné služby

• Overovanie užívateľov– šifrovaná autentifikácia užívateľov na preukázanie

identity za účelom povolenia vstupu do internej siete

• Virtual Private Networking– Vytvára zabezpečené spojenie medzi privátnymi

sieťami, medzi počítačmi alebo medzi počítačom a privátnou sieťou

Často používané pojmy

• Bastion host – samostaný počítač s nainštalovaným sw firewallom

• Dual-homed host – zariadenie s min. Dvoma sieť. Rozhraniami s vypnutým IP routingom

• Screened host – • Screened network – • DMZ – demilitarizovaná zóna – časť siete, do ktorej

je povolený velmi obmedzený prístup z internetu a oveľa voľnejší prístup z intranetu; fyzicky oddelený segment siete

Často používané pojmy

Politiky ochrany

• No security – žiadne zabezpečenie• Security though obscurity –

„zabezpečenie“, tým, že o existencii systému „sa nebude vedieť“

• Host security – zabezbečenie jedného počítača

• Network security – zabezpečenie sieťového segmentu

Príklady nastavenia – Linux[root@stargate]-[08:24:44]-[~]# iptables -LChain INPUT (policy DROP)target prot opt source destination all -- anywhere anywhere state NEWACCEPT all -- anywhere anywhere state RELATED,ESTABLISHEDACCEPT all -- anywhere anywhereCNL all -- 147.232.22.0/24 anywhereCNL all -- 147.232.48.0/24 anywhereCNL all -- 147.232.240.0/24 anywhereCNL all -- 212.5.207.224/27 anywhereINET all -- anywhere anywhere

Chain FORWARD (policy DROP)target prot opt source destination

Chain OUTPUT (policy ACCEPT)target prot opt source destination

Chain CNL (4 references)target prot opt source destinationACCEPT all -- anywhere anywhere

Chain INET (1 references)target prot opt source destinationACCEPT tcp -- anywhere anywhere tcp dpt:ftp flags:SYN,RST,ACK/SYN state NEWACCEPT tcp -- anywhere anywhere tcp dpt:ssh flags:SYN,RST,ACK/SYN state NEWACCEPT tcp -- anywhere anywhere tcp dpt:smtp flags:SYN,RST,ACK/SYN state NEWACCEPT tcp -- anywhere anywhere tcp dpt:www flags:SYN,RST,ACK/SYN state NEWACCEPT tcp -- anywhere anywhere tcp dpt:pop3 flags:SYN,RST,ACK/SYN state NEWACCEPT tcp -- anywhere anywhere tcp dpt:auth flags:SYN,RST,ACK/SYN state NEWACCEPT tcp -- anywhere anywhere tcp dpt:imap2 flags:SYN,RST,ACK/SYN state NEWACCEPT tcp -- anywhere anywhere tcp dpt:https flags:SYN,RST,ACK/SYN state NEWACCEPT tcp -- anywhere anywhere tcp dpt:imaps flags:SYN,RST,ACK/SYN state NEWACCEPT tcp -- anywhere anywhere tcp dpt:pop3s flags:SYN,RST,ACK/SYN state NEWACCEPT tcp -- anywhere anywhere tcp dpt:5000 flags:SYN,RST,ACK/SYN state NEWACCEPT icmp -- anywhere anywhere icmp echo-replyACCEPT icmp -- anywhere anywhere icmp destination-unreachableACCEPT icmp -- anywhere anywhere icmp redirectACCEPT icmp -- anywhere anywhere icmp echo-requestACCEPT icmp -- anywhere anywhere icmp time-exceededLOG all -- anywhere anywhere limit: avg 10/sec burst 5 LOG level warningDROP all -- anywhere anywhere

Literatúra

• http://www.networkcomputing.com/netdesign/wall2.html

• http://www.interhack.net/pubs/fwfaq/

• http://www.darmstadt.gmd.de/ice-tel/deliverables/download/firewall/theory.html

• http://quark.humbug.org.au/publications/firewall/introfirewall.html

• Strebe M., Perkinson Ch. – Firewalls 24seven, Sybex 2002

• Joel Scambray, Stuart McClure, George Kurtz – Hacking bez tajemství

• http://www.eecg.toronto.edu/~lie/ECE1724/Lectures/Lecture11.pdf

• http://www.ifi.unizh.ch/~oppliger/Presentations/InternetIntranetSecurity2e/

• http://www.cs.unibo.it/babaoglu/courses/security/lucidi/IPSec.pdf

• http://cip.uni-trier.de/mauren/internet-security/tutorial/IS-2.pdf

Ďakujeme za pozornosť