Pasywne i aktywne mechanizmy ochronne sieci komputerowych

Łukasz Bromirski

l.bromirski[at]mr0vka.eu.orghttp://mr0vka.eu.org

Organizacja wykładu

Podstawy zagadnień bezpieczeństwaProtokoły sieciowe wg. modelu ISO ze względu na bezpieczeństwoWprowadzenie do kryptografiiTopologie sieci i mechanizmy zwiększające ich bezpieczeństwoAtaki, nadużycia, narzędzia

Bezpieczeństwo

InternetPolityka bezpieczeństwa

jasnawyszczególnienie osób funkcyjnych i zakresu odpowiedzialnościwyszczególnienie elementów sieci oraz ich roli w funkcjonowaniu i bezpieczeństwie sieci

Bezpieczeństwo

Podstawowe problemybezmyślność i beztroska w zarządzaniu uprawnieniami i kontamibrak administrowania i nadzoru, nadzór nieregularny lub wykonywany przez osobę niekompetentnąbłędy w oprogramowaniu

Bezpieczeństwo

Co może być potencjalnym celem?daneserwery usług (np. ftp, dns, http...)routerysystemy przechowujące i przetwarzające daneludzie (ang. social engineering)

Bezpieczeństwo

Kto może być wrogiem?ktoś z firmy (wróg wewnętrzny)ktoś spoza firmy (wróg zewnętrzny)

Bezpieczeństwo

Twarze zza barykadyscript kiddieshakerzywhite hats (http://www.whitehats.com)gray hatsblack hats (http://www.blackhats.com)

Bezpieczeństwo

Bezpieczeństwo oprogramowania –closed vs open source

dostępność kodu – ocena możliwości i sposobu działania, wyeliminowanie możliwości pozostawienia „tylnych drzwi”, urealnienie oświadczeń twórcy

szybkość reagowania na dziury/błędy –dostępność oprogramowania, szybkość publikowania poprawek, ich dostępność i jakość

Bezpieczeństwo

Dziury w systemach operacyjnych

4297Windows NT/2000

1440Windows 3.1x/9x

3322Solaris

1011Slackware

1417OpenBSD

920NetBSD

1736FreeBSD

20012000OS

(źródło: www.securityfocus.com)

Zagrożenia

Wirusycharakterystyka• działanie niszczycielskie• rozmnażanie się

ewolucja• assembler – C/C++ (Yankee Doodle, LoveLetter)• pliki – poczta (Sircam, Badtrans, Melissa)

Melissa – 1 mld $ ’99, LoveLetter 9 mld $ ‘00

Zagrożenia

Robaki internetowecharakterystykasposób działania• poczta elektroniczna (np. Nimda)• aktywny atak (np. Nimda, CodeRed)

cel działania• obciążanie sieci (DoS/DDoS)• działalność destrukcyjna i rozmnażanie się• zdalna kontrola (np. Trinoo, stacheldracht)

straty – CodeRed 2-4 miliardy dolarów

Zagrożenia

Różne filozofie, różne podejściascript kiddieamatorhaker

Organizacja wykładu

Podstawy zagadnień bezpieczeństwaProtokoły sieciowe wg. modelu ISO ze względu na bezpieczeństwoWprowadzenie do kryptografiiTopologie sieci i mechanizmy zwiększające ich bezpieczeństwoAtaki, nadużycia, narzędzia

Model ISO

Model ISOIP

Model ISOTCP

Model ISOUDP

Model ISO - ICMP

Dwie klasy komunikatów:komunikaty o błędach:• destination unreachable, redirect, source

quench, time exceeded, parameter problem

zapytania:• echo, information, timestamp, address

mask

Organizacja wykładu

Podstawy zagadnień bezpieczeństwaProtokoły sieciowe wg. modelu ISO ze względu na bezpieczeństwoWprowadzenie do kryptografiiTopologie sieci i mechanizmy zwiększające ich bezpieczeństwoAtaki, nadużycia, narzędzia

Wprowadzenie do kryptografii

Przestrzeń klucza (ang. keyspace)

Szyfrowanie symetryczneSzyfrowanie z kluczem publicznymInfrastruktura Klucza Publicznego – PKI (ang. Public Key Infrastructure)

Publiczne Standardy Kryptograficzne –PKCS (ang. Public Key Cryptographic Standards)

Autorytet Certyfikujący – CA (ang. Certificate Authority)

Podpis cyfrowy

IPsec - narodziny

Narodziny IPSec – słabości IPsniffingspoofing, hijacking

IETF tworzy RFC2401

IPsec - architektura

AH (Authentication Header)• RFC2402

ESP (Encapsulated Payload)• RFC2406

IKE (Internet Key Exchange)• RFC2409

IPsec – co zapewnia?

uwierzytelnianie (ang. authentication)integralność (ang. integrity)poufność (ang. confidentiality)

IPsec – Security Association

Security Association (SA) opisuje:adres urządzenia (IP/nazwa)transform set: używany protokół IPSec, algorytm uwierzytelniania/kontroli, algorytm szyfrowaniaczas ważności klucza i wartości progowe IKElistę kontroli dostępu (ACL)identyfikator SPI danego SAnumer sekwencji danych w strumieniu

IPsec -pakiet

IPsec -ESP

IPsec -AH

IPsec – protokół IKE

Co zapewnia?negocjacje protokołów, algorytmów i kluczyuwierzytelnienie partnerazarządzanie kluczamiwymiana informacji służących do generowania kolejnych kluczy

IPsec – protokół IKE

Dwie fazy:stworzenie bezpiecznego kanału wymiany informacjinegocjację odpowiednich algorytmów i SA

IPsec – przykład 1

IPsec – przykład 2

IPsec – FreeBSD

Konfiguracja systemukernel: IPSEC, IPSEC_ESPnat/firewall

Ustawienie SA dla połączenia:setkey -cspdadd 193.193.193.1 193.193.193.2 any -P out ipsec

ah/transport/193.193.193.1-193.193.193.2/requirespdadd 193.193.193.2 193.193.193.1 any -P out ipsec

esp/transport/193.193.193.2-193.193.193.1/requirespdadd 193.193.193.2 193.193.193.1 any -P out ipsec

ah/transport/193.193.193.2-193.193.193.1/require

IPsec – FreeBSD

Konfiguracja IKE – ręczna:add 193.193.193.1 193.193.193.2 ah 1000

-m transport –A hmac-sha1 „12345678901234567890” ;add 193.193.193.2 193.193.193.1 esp 2000

-m transport –E des-cbc „12345678” ;

Konfiguracja IKE – automatyczna:racoon ( /usr/ports/security/racoon )isakmpd ( /usr/ports/security/isakmpd )

SSL/TLS - Wprowadzenie

Secure Sockets Layerhistoria – Netscape, 1993wersje

Transport Layer SecurityRFC2246

SSL/TLS - Możliwości

Co zapewnia?uwierzytelnianie z wykorzystaniem kluczy publicznychzachowanie anonimowości klientów i wymóg identyfikacji serweraszybkość pozwalającą na sprawną obsługę krótkich połączeń (HTTP/DNS)

SSL/TLS - Działanie

Wsparcie programowe:Serwery WWW: Zeus v3, Apache, Microsoft IIS 5.xKlienci WWW: Microsoft IE 4.x-5.x, Netscape, Mozilla, Opera, KonquerorSerwery poczty: postfix, sendmail, Microsoft IISKlienci poczty: The Bat!, Microsoft Outlook, Netscape Mail, Mozilla

SSL/TLS - Negocjacja

SSL/TLS - stunnel

Po stronie serwera:stunnel –d 465 –r smtp –p /usr/local/etc/stunnel.pem

Po stronie klienta:stunnel -c -d localhost:25 -r www:465

http://www.stunnel.org

SSH – Secure SHellHistoria – 1995 rok, FinlandiaZastosowanieAlgorytmy szyfrowania

DES, 3DESRC4TSSBlowfish/TwofishSecurIDS/KeyKerberosTISSHA-1 i MD5 dla zapewnienia i uwierzytelniania danych

SSH – Co zapewnia?Ochronę przed fałszowaniem IP ( ang. IP spoofing )Ochronę przed wymuszaniem routingu ( ang. source routing )Ochronę przed fałszowaniem wpisów DNS ( ang. DNS spoofing )Ochronę przed ujawnieniem haseł i identyfikatorówOchronę przed manipulacją przesyłanymi danymi

S/MIME

Secure/Multipurpose Internet Mail Extensions – v3Zaprojektowane dla MUA (ang. Mail User Agents):

The Bat!Microsoft OutlookMozilla

S/MIME – Co zapewnia?

uwierzytelnienieintegralność wiadomościnie-podrabialność wiadomości (podpis cyfrowy) SHA-1 (160) i MD5 (128)poufność i bezpieczeństwo danych (szyfrowanie) RC-2 (128) i 3DES (156)

PGP / OpenPGP

Pretty Good PrivacyPhilip Zimmermann, 1991 rok

MD4+RSA dla podpisów i wymiany kluczyBass-O-Matic, zastąpione przez IDEAKompresja LZH, zastąpiona przez InfoZip/zlibuuencoding, zastąpione przez base64

Problemy prawne w USA (1993-95r)

PGP / OpenPGP

Formaty:wiadomość skompresowanawiadomość podpisana cyfrowowiadomość zaszyfrowana

Nagłówek:-----BEGIN PGP typ----------END PGP typ-----

typ: MESSAGE, SIGNED MESSAGE, SIGNATURE

Organizacja wykładu

Podstawy zagadnień bezpieczeństwaProtokoły sieciowe wg. modelu ISO ze względu na bezpieczeństwoWprowadzenie do kryptografiiTopologie sieci i mechanizmy zwiększające ich bezpieczeństwoAtaki, nadużycia, narzędzia

Topologie – przykład 1

Topologie – przykład 2

Topologie – przykład 3

Topologie – przykład 4

Topologie – strefy

Firewall – co to jest?

Co to jest?programowysprzętowy

Podstawy działaniafiltrowanie pakietów (packet filtering)filtrowanie zawartości (content filtering)ograniczanie przepustowości (traffic shaping)

Firewall – sprzętowy a programowy 1/2

?270Mbit/s clear (UDP,

1454bajty)CheckPoint FW1,Sun Ultra 60

?335Mbit/s clear (UDP,

1454bajty)CheckPoint FW1,PIII-1Ghz, WinNT/2K

?395Mbit/s clear (UDP, 1454bajty)

CheckPoint FW1, PIII-1Ghz, RedHat

500,000 połączeń, 10,000VPN, 22,000/s

1Gbit/s clear, 1Gbit/s 3DESNetscreen 1000

128,000 połączeń, 19,000/s200Mbit/s clear, 200Mbit/s 3DES

Netscreen 100

30,000 połączeń, 1,000VPN100Mbit/s clear / 45Mbit/s 3DES

3COM SuperStack3

500,000 połączeń, 2000VPN, 7,000/s1Gbit/s clearCisco PIX 535

3500 połączeń, 5VPN, 100/s10Mbit/s clear / 3Mbit/s 3DES

Cisco PIX 501

Pojemność/WydajnośćWydajnośćTyp

Firewall – sprzętowy a programowy 2/2

10Mbit/s clearpf 486DX-80

130Mbit/s clearpf P233MMX

?400Mbit/s clearipfw PIII750

Ilość połączeń *100 bajtów+32bity*1.4

Dla 500,000 połączeń = 52MBDla 1,000,000 połączeń = 104MB550Mbit/s clearipf Duron 600,

256MB

150Mbit/s clearipchains 2xPIII600

32,768 standardowo327,680 potwierdzone

20,000(1)-80,000(3) połączeń/s

2Mbit/s clearipchains 386DX33

Pojemność/WydajnośćWydajnośćTyp

Firewall – uwagi do porównania

mimo RFC2647 dotyczącego mierzenia wydajności, brak ogólnie przyjętego standarduoptymalna wielkość pakietu dla nowoczesnego firewalla – 1000-1500 bajtówrealność i weryfikowalność podanych wyników

Firewall – budowa zestawu reguł

Budowa zestawu regułSposób przeglądania regułMożliwe cele:

akceptacja, utworzenie stanuodrzucenie, wyrzucenielogowanie, zwiększenie licznikainne, specyficzne dla implementacji

Firewall – reguły filtrowania

ipf/pf:pass in proto tcp from any to 192.168.0.1 port = 80 keep statepass in proto tcp from any to 210.220.230.240 port = 80 flags S/SA

iptables:iptables -A INPUT -p tcp -s 0/0 -d 192.168.0.1 --dport 80-m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p tcp -d 210.220.230.240 --dport 80

--tcp-flags ALL SYN -j ACCEPT

zalogowany pakiet:Dec 3 15:27:03 test1 ipmon[145]: 15:27:02.876150xl1 @0:6 b 192.168.86.1,16384 -> 255.255.255.255,27600PR udp len 20 43 IN

Firewall – inne możliwości

Ograniczanie przepustowościdummynet, altqiproute2, tcCisco CAR i inne mechanizmy

NATProxy

Proxy

HistoriaPodstawy działania

tradycyjne proxytransparentne proxySSL-Proxy

Microsoft Proxy 2.0/Internet Security & Acceleration Server, Network Border Manager, squid

Proxy – Co potrafi?

badać przekazywane dane, z badaniem poprawności protokołów/językaograniczać dostęp na podstawie list ACLograniczać dostęp na podstawie autoryzacjiutrzymywać cache dla często wywoływanych danychSSL-proxy – zapewniać szyfrowanie

Proxy – Przykład

Router

Łączy dwoma lub większą ilością interfejsów podsieciObsługuje wg. możliwości i potrzeb protokoły: BGP4/BGP4+, RIP/RIPv2, OSPF i innePodstawy działania i możliwości

niezawodnośćRFC1812NAT

Router - NAT

Router - NAT

IDS

Intrusion Detection SystemJak wygląda IDS?

programowe (lids, snort, nessus)sprzętowe (moduły dla IDS Cisco)

IDS - Przykład

Przykład reguły dla sieciowego IDS:alert UDP any any -> any 6838 (msg:"IDS100/ddos-mstream-agent-to-handler"; content: "newserver"; )

Przykład reguły dla stanowiskowego IDS:lidsadm -A -s /usr/sbin/httpd -o CAP_BIND_NET_SERVICE 80-80-j GRANT

IDS – Przetwarzanie danych

Zbieranie informacjipasywneaktywne

AnalizaOdpowiedź

IDS – Analiza?

Na czym polega proces analizy?nadużycia (przekroczenie praw dostępu, próba mapowania dysku do którego brak uprawnień)anomalia (wzrost obciążenia, charakterystyka czasowa pracy, charakterystyka typu pracy)

IDS – Sieciowe

snort, nessus, Enterasys Dragon:• zalety: duże pole działania, minimalne lub

brak zmian w topologii, niewidzialność dla atakującego, praca w czasie rzeczywistym

• wady: niewystarczająca przepustowość, problemy w przypadku stosowania switchów, problemy z transmisjami szyfrowanymi (SSL/TLS/inne), wrażliwość na ataki sieciowe

IDS – Przykład sieciowego

IDS – Stanowiskowe

lids, Entercept, Cybersafe Centrax• zalety: możliwość analizowania ruchu

szyfrowanego, specyfiki systemu, nieograniczone przez topologię, mogą przyczynić się do wykrycia koni trojańskich

• wady: monitoring i konfiguracja, wpływ na działanie hosta, logistyka (miejsce na logi, transport)

Topologia – Ochrona wgłąb

Organizacja wykładu

Podstawy zagadnień bezpieczeństwaProtokoły sieciowe wg. modelu ISO ze względu na bezpieczeństwoWprowadzenie do kryptografiiTopologie sieci i mechanizmy zwiększające ich bezpieczeństwoAtaki, nadużycia, narzędzia

Ataki i nadużycia

Ataki typu DoS/DDoSAtaki siecioweAtaki na usługi

Ataki DoS/DDoS

Denial of Service/Distributed Denial of Servicetrinoo, Tribe Flood Network (TFN/TFN2K), stacheldracht, shaft, mstream7-8 lutego 2000r. – Amazon.com, ebay, CNN4 maja 2001r. – grc.com, w szczycie 94,800 pakietów TCP SYN/s

Ataki DoS/DDoS - Przykład

Ataki sieciowe

sniffing (sniffit, ethereal, tcpdump)hijackingspoofing (blind-spoofing, non-blind-spoofing)mapowanie:

firewalkingport-scanningfingerprinting (pasywny i aktywny)

Ataki sieciowe

fragmentowanie/nakładanie/ zniekształcanie pakietówpowodzie TCP SYN/TCP ACK, ARP, DHCPwykorzystanie source routinguARP/DNS/DHCP poisoning

Ataki na usługi

SQL injectionbuffer i stack overflowformat string – rodzina funkcji *printf()zła/domyślna konfiguracja usług –SNMP(public!), finger/telnet (!)man-in-the-middle

Narzędzia – 1/2

nessushttp://www.nessus.org

nmaphttp://www.insecure.org/nmap

siphonhttp://siphon.datanerds.net

Xprobe & Xprobe2http://www.xprobe.org

Narzędzia – 2/2

quesohttp://www.apostols.org/projectz/queso

argushttp://www.qosient.com/argus

fragroute & dsniffhttp://www.monkey.org/~dugsong/

Pasywne i aktywne mechanizmy ochronne sieci komputerowych

Pytania?