bezpieczeństwo sieci
TRANSCRIPT
Pasywne i aktywne mechanizmy ochronne sieci komputerowych
Łukasz Bromirski
l.bromirski[at]mr0vka.eu.orghttp://mr0vka.eu.org
Organizacja wykładu
Podstawy zagadnień bezpieczeństwaProtokoły sieciowe wg. modelu ISO ze względu na bezpieczeństwoWprowadzenie do kryptografiiTopologie sieci i mechanizmy zwiększające ich bezpieczeństwoAtaki, nadużycia, narzędzia
Bezpieczeństwo
InternetPolityka bezpieczeństwa
jasnawyszczególnienie osób funkcyjnych i zakresu odpowiedzialnościwyszczególnienie elementów sieci oraz ich roli w funkcjonowaniu i bezpieczeństwie sieci
Bezpieczeństwo
Podstawowe problemybezmyślność i beztroska w zarządzaniu uprawnieniami i kontamibrak administrowania i nadzoru, nadzór nieregularny lub wykonywany przez osobę niekompetentnąbłędy w oprogramowaniu
Bezpieczeństwo
Co może być potencjalnym celem?daneserwery usług (np. ftp, dns, http...)routerysystemy przechowujące i przetwarzające daneludzie (ang. social engineering)
Bezpieczeństwo
Kto może być wrogiem?ktoś z firmy (wróg wewnętrzny)ktoś spoza firmy (wróg zewnętrzny)
Bezpieczeństwo
Twarze zza barykadyscript kiddieshakerzywhite hats (http://www.whitehats.com)gray hatsblack hats (http://www.blackhats.com)
Bezpieczeństwo
Bezpieczeństwo oprogramowania –closed vs open source
dostępność kodu – ocena możliwości i sposobu działania, wyeliminowanie możliwości pozostawienia „tylnych drzwi”, urealnienie oświadczeń twórcy
szybkość reagowania na dziury/błędy –dostępność oprogramowania, szybkość publikowania poprawek, ich dostępność i jakość
Bezpieczeństwo
Dziury w systemach operacyjnych
4297Windows NT/2000
1440Windows 3.1x/9x
3322Solaris
1011Slackware
1417OpenBSD
920NetBSD
1736FreeBSD
20012000OS
(źródło: www.securityfocus.com)
Zagrożenia
Wirusycharakterystyka• działanie niszczycielskie• rozmnażanie się
ewolucja• assembler – C/C++ (Yankee Doodle, LoveLetter)• pliki – poczta (Sircam, Badtrans, Melissa)
Melissa – 1 mld $ ’99, LoveLetter 9 mld $ ‘00
Zagrożenia
Robaki internetowecharakterystykasposób działania• poczta elektroniczna (np. Nimda)• aktywny atak (np. Nimda, CodeRed)
cel działania• obciążanie sieci (DoS/DDoS)• działalność destrukcyjna i rozmnażanie się• zdalna kontrola (np. Trinoo, stacheldracht)
straty – CodeRed 2-4 miliardy dolarów
Zagrożenia
Różne filozofie, różne podejściascript kiddieamatorhaker
Organizacja wykładu
Podstawy zagadnień bezpieczeństwaProtokoły sieciowe wg. modelu ISO ze względu na bezpieczeństwoWprowadzenie do kryptografiiTopologie sieci i mechanizmy zwiększające ich bezpieczeństwoAtaki, nadużycia, narzędzia
Model ISO
Model ISOIP
Model ISOTCP
Model ISOUDP
Model ISO - ICMP
Dwie klasy komunikatów:komunikaty o błędach:• destination unreachable, redirect, source
quench, time exceeded, parameter problem
zapytania:• echo, information, timestamp, address
mask
Organizacja wykładu
Podstawy zagadnień bezpieczeństwaProtokoły sieciowe wg. modelu ISO ze względu na bezpieczeństwoWprowadzenie do kryptografiiTopologie sieci i mechanizmy zwiększające ich bezpieczeństwoAtaki, nadużycia, narzędzia
Wprowadzenie do kryptografii
Przestrzeń klucza (ang. keyspace)
Szyfrowanie symetryczneSzyfrowanie z kluczem publicznymInfrastruktura Klucza Publicznego – PKI (ang. Public Key Infrastructure)
Publiczne Standardy Kryptograficzne –PKCS (ang. Public Key Cryptographic Standards)
Autorytet Certyfikujący – CA (ang. Certificate Authority)
Podpis cyfrowy
IPsec - narodziny
Narodziny IPSec – słabości IPsniffingspoofing, hijacking
IETF tworzy RFC2401
IPsec - architektura
AH (Authentication Header)• RFC2402
ESP (Encapsulated Payload)• RFC2406
IKE (Internet Key Exchange)• RFC2409
IPsec – co zapewnia?
uwierzytelnianie (ang. authentication)integralność (ang. integrity)poufność (ang. confidentiality)
IPsec – Security Association
Security Association (SA) opisuje:adres urządzenia (IP/nazwa)transform set: używany protokół IPSec, algorytm uwierzytelniania/kontroli, algorytm szyfrowaniaczas ważności klucza i wartości progowe IKElistę kontroli dostępu (ACL)identyfikator SPI danego SAnumer sekwencji danych w strumieniu
IPsec -pakiet
IPsec -ESP
IPsec -AH
IPsec – protokół IKE
Co zapewnia?negocjacje protokołów, algorytmów i kluczyuwierzytelnienie partnerazarządzanie kluczamiwymiana informacji służących do generowania kolejnych kluczy
IPsec – protokół IKE
Dwie fazy:stworzenie bezpiecznego kanału wymiany informacjinegocjację odpowiednich algorytmów i SA
IPsec – przykład 1
IPsec – przykład 2
IPsec – FreeBSD
Konfiguracja systemukernel: IPSEC, IPSEC_ESPnat/firewall
Ustawienie SA dla połączenia:setkey -cspdadd 193.193.193.1 193.193.193.2 any -P out ipsec
ah/transport/193.193.193.1-193.193.193.2/requirespdadd 193.193.193.2 193.193.193.1 any -P out ipsec
esp/transport/193.193.193.2-193.193.193.1/requirespdadd 193.193.193.2 193.193.193.1 any -P out ipsec
ah/transport/193.193.193.2-193.193.193.1/require
IPsec – FreeBSD
Konfiguracja IKE – ręczna:add 193.193.193.1 193.193.193.2 ah 1000
-m transport –A hmac-sha1 „12345678901234567890” ;add 193.193.193.2 193.193.193.1 esp 2000
-m transport –E des-cbc „12345678” ;
Konfiguracja IKE – automatyczna:racoon ( /usr/ports/security/racoon )isakmpd ( /usr/ports/security/isakmpd )
SSL/TLS - Wprowadzenie
Secure Sockets Layerhistoria – Netscape, 1993wersje
Transport Layer SecurityRFC2246
SSL/TLS - Możliwości
Co zapewnia?uwierzytelnianie z wykorzystaniem kluczy publicznychzachowanie anonimowości klientów i wymóg identyfikacji serweraszybkość pozwalającą na sprawną obsługę krótkich połączeń (HTTP/DNS)
SSL/TLS - Działanie
Wsparcie programowe:Serwery WWW: Zeus v3, Apache, Microsoft IIS 5.xKlienci WWW: Microsoft IE 4.x-5.x, Netscape, Mozilla, Opera, KonquerorSerwery poczty: postfix, sendmail, Microsoft IISKlienci poczty: The Bat!, Microsoft Outlook, Netscape Mail, Mozilla
SSL/TLS - Negocjacja
SSL/TLS - stunnel
Po stronie serwera:stunnel –d 465 –r smtp –p /usr/local/etc/stunnel.pem
Po stronie klienta:stunnel -c -d localhost:25 -r www:465
http://www.stunnel.org
SSH – Secure SHellHistoria – 1995 rok, FinlandiaZastosowanieAlgorytmy szyfrowania
DES, 3DESRC4TSSBlowfish/TwofishSecurIDS/KeyKerberosTISSHA-1 i MD5 dla zapewnienia i uwierzytelniania danych
SSH – Co zapewnia?Ochronę przed fałszowaniem IP ( ang. IP spoofing )Ochronę przed wymuszaniem routingu ( ang. source routing )Ochronę przed fałszowaniem wpisów DNS ( ang. DNS spoofing )Ochronę przed ujawnieniem haseł i identyfikatorówOchronę przed manipulacją przesyłanymi danymi
S/MIME
Secure/Multipurpose Internet Mail Extensions – v3Zaprojektowane dla MUA (ang. Mail User Agents):
The Bat!Microsoft OutlookMozilla
S/MIME – Co zapewnia?
uwierzytelnienieintegralność wiadomościnie-podrabialność wiadomości (podpis cyfrowy) SHA-1 (160) i MD5 (128)poufność i bezpieczeństwo danych (szyfrowanie) RC-2 (128) i 3DES (156)
PGP / OpenPGP
Pretty Good PrivacyPhilip Zimmermann, 1991 rok
MD4+RSA dla podpisów i wymiany kluczyBass-O-Matic, zastąpione przez IDEAKompresja LZH, zastąpiona przez InfoZip/zlibuuencoding, zastąpione przez base64
Problemy prawne w USA (1993-95r)
PGP / OpenPGP
Formaty:wiadomość skompresowanawiadomość podpisana cyfrowowiadomość zaszyfrowana
Nagłówek:-----BEGIN PGP typ----------END PGP typ-----
typ: MESSAGE, SIGNED MESSAGE, SIGNATURE
Organizacja wykładu
Podstawy zagadnień bezpieczeństwaProtokoły sieciowe wg. modelu ISO ze względu na bezpieczeństwoWprowadzenie do kryptografiiTopologie sieci i mechanizmy zwiększające ich bezpieczeństwoAtaki, nadużycia, narzędzia
Topologie – przykład 1
Topologie – przykład 2
Topologie – przykład 3
Topologie – przykład 4
Topologie – strefy
Firewall – co to jest?
Co to jest?programowysprzętowy
Podstawy działaniafiltrowanie pakietów (packet filtering)filtrowanie zawartości (content filtering)ograniczanie przepustowości (traffic shaping)
Firewall – sprzętowy a programowy 1/2
?270Mbit/s clear (UDP,
1454bajty)CheckPoint FW1,Sun Ultra 60
?335Mbit/s clear (UDP,
1454bajty)CheckPoint FW1,PIII-1Ghz, WinNT/2K
?395Mbit/s clear (UDP, 1454bajty)
CheckPoint FW1, PIII-1Ghz, RedHat
500,000 połączeń, 10,000VPN, 22,000/s
1Gbit/s clear, 1Gbit/s 3DESNetscreen 1000
128,000 połączeń, 19,000/s200Mbit/s clear, 200Mbit/s 3DES
Netscreen 100
30,000 połączeń, 1,000VPN100Mbit/s clear / 45Mbit/s 3DES
3COM SuperStack3
500,000 połączeń, 2000VPN, 7,000/s1Gbit/s clearCisco PIX 535
3500 połączeń, 5VPN, 100/s10Mbit/s clear / 3Mbit/s 3DES
Cisco PIX 501
Pojemność/WydajnośćWydajnośćTyp
Firewall – sprzętowy a programowy 2/2
10Mbit/s clearpf 486DX-80
130Mbit/s clearpf P233MMX
?400Mbit/s clearipfw PIII750
Ilość połączeń *100 bajtów+32bity*1.4
Dla 500,000 połączeń = 52MBDla 1,000,000 połączeń = 104MB550Mbit/s clearipf Duron 600,
256MB
150Mbit/s clearipchains 2xPIII600
32,768 standardowo327,680 potwierdzone
20,000(1)-80,000(3) połączeń/s
2Mbit/s clearipchains 386DX33
Pojemność/WydajnośćWydajnośćTyp
Firewall – uwagi do porównania
mimo RFC2647 dotyczącego mierzenia wydajności, brak ogólnie przyjętego standarduoptymalna wielkość pakietu dla nowoczesnego firewalla – 1000-1500 bajtówrealność i weryfikowalność podanych wyników
Firewall – budowa zestawu reguł
Budowa zestawu regułSposób przeglądania regułMożliwe cele:
akceptacja, utworzenie stanuodrzucenie, wyrzucenielogowanie, zwiększenie licznikainne, specyficzne dla implementacji
Firewall – reguły filtrowania
ipf/pf:pass in proto tcp from any to 192.168.0.1 port = 80 keep statepass in proto tcp from any to 210.220.230.240 port = 80 flags S/SA
iptables:iptables -A INPUT -p tcp -s 0/0 -d 192.168.0.1 --dport 80-m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -d 210.220.230.240 --dport 80
--tcp-flags ALL SYN -j ACCEPT
zalogowany pakiet:Dec 3 15:27:03 test1 ipmon[145]: 15:27:02.876150xl1 @0:6 b 192.168.86.1,16384 -> 255.255.255.255,27600PR udp len 20 43 IN
Firewall – inne możliwości
Ograniczanie przepustowościdummynet, altqiproute2, tcCisco CAR i inne mechanizmy
NATProxy
Proxy
HistoriaPodstawy działania
tradycyjne proxytransparentne proxySSL-Proxy
Microsoft Proxy 2.0/Internet Security & Acceleration Server, Network Border Manager, squid
Proxy – Co potrafi?
badać przekazywane dane, z badaniem poprawności protokołów/językaograniczać dostęp na podstawie list ACLograniczać dostęp na podstawie autoryzacjiutrzymywać cache dla często wywoływanych danychSSL-proxy – zapewniać szyfrowanie
Proxy – Przykład
Router
Łączy dwoma lub większą ilością interfejsów podsieciObsługuje wg. możliwości i potrzeb protokoły: BGP4/BGP4+, RIP/RIPv2, OSPF i innePodstawy działania i możliwości
niezawodnośćRFC1812NAT
Router - NAT
Router - NAT
IDS
Intrusion Detection SystemJak wygląda IDS?
programowe (lids, snort, nessus)sprzętowe (moduły dla IDS Cisco)
IDS - Przykład
Przykład reguły dla sieciowego IDS:alert UDP any any -> any 6838 (msg:"IDS100/ddos-mstream-agent-to-handler"; content: "newserver"; )
Przykład reguły dla stanowiskowego IDS:lidsadm -A -s /usr/sbin/httpd -o CAP_BIND_NET_SERVICE 80-80-j GRANT
IDS – Przetwarzanie danych
Zbieranie informacjipasywneaktywne
AnalizaOdpowiedź
IDS – Analiza?
Na czym polega proces analizy?nadużycia (przekroczenie praw dostępu, próba mapowania dysku do którego brak uprawnień)anomalia (wzrost obciążenia, charakterystyka czasowa pracy, charakterystyka typu pracy)
IDS – Sieciowe
snort, nessus, Enterasys Dragon:• zalety: duże pole działania, minimalne lub
brak zmian w topologii, niewidzialność dla atakującego, praca w czasie rzeczywistym
• wady: niewystarczająca przepustowość, problemy w przypadku stosowania switchów, problemy z transmisjami szyfrowanymi (SSL/TLS/inne), wrażliwość na ataki sieciowe
IDS – Przykład sieciowego
IDS – Stanowiskowe
lids, Entercept, Cybersafe Centrax• zalety: możliwość analizowania ruchu
szyfrowanego, specyfiki systemu, nieograniczone przez topologię, mogą przyczynić się do wykrycia koni trojańskich
• wady: monitoring i konfiguracja, wpływ na działanie hosta, logistyka (miejsce na logi, transport)
Topologia – Ochrona wgłąb
Organizacja wykładu
Podstawy zagadnień bezpieczeństwaProtokoły sieciowe wg. modelu ISO ze względu na bezpieczeństwoWprowadzenie do kryptografiiTopologie sieci i mechanizmy zwiększające ich bezpieczeństwoAtaki, nadużycia, narzędzia
Ataki i nadużycia
Ataki typu DoS/DDoSAtaki siecioweAtaki na usługi
Ataki DoS/DDoS
Denial of Service/Distributed Denial of Servicetrinoo, Tribe Flood Network (TFN/TFN2K), stacheldracht, shaft, mstream7-8 lutego 2000r. – Amazon.com, ebay, CNN4 maja 2001r. – grc.com, w szczycie 94,800 pakietów TCP SYN/s
Ataki DoS/DDoS - Przykład
Ataki sieciowe
sniffing (sniffit, ethereal, tcpdump)hijackingspoofing (blind-spoofing, non-blind-spoofing)mapowanie:
firewalkingport-scanningfingerprinting (pasywny i aktywny)
Ataki sieciowe
fragmentowanie/nakładanie/ zniekształcanie pakietówpowodzie TCP SYN/TCP ACK, ARP, DHCPwykorzystanie source routinguARP/DNS/DHCP poisoning
Ataki na usługi
SQL injectionbuffer i stack overflowformat string – rodzina funkcji *printf()zła/domyślna konfiguracja usług –SNMP(public!), finger/telnet (!)man-in-the-middle
Narzędzia – 1/2
nessushttp://www.nessus.org
nmaphttp://www.insecure.org/nmap
siphonhttp://siphon.datanerds.net
Xprobe & Xprobe2http://www.xprobe.org
Narzędzia – 2/2
quesohttp://www.apostols.org/projectz/queso
argushttp://www.qosient.com/argus
fragroute & dsniffhttp://www.monkey.org/~dugsong/
Pasywne i aktywne mechanizmy ochronne sieci komputerowych
Pytania?