slovak sun training day 2008 - advanced secure networking
DESCRIPTION
Presentation from training day for Sun Solaris customers to explain features and setup of Solaris secure networking. Some update of OpenSolaris. Presentation covers following themes: - Trusted Extension - IP filter - IPsec - IP QoS - news from OpenSolarisTRANSCRIPT
Sun Training Day 2008sekce Solaris
Martin Červený[email protected]
Trusted Extension
IP filter
IP security
IP QoS
Novinky OpenSolarisu
Trusted Extension
Řízení přístupu
● autorizace– Discretionary Access Control (DAC)
(certifikace CA PP & RBAC PP na EAL4+)● subjekt
(uživatel a jeho procesy, ověřená identita uživatele)– UID, GID
● objekt(soubory, sdílená paměť, jiné procesy, síť ...)– rwx bity– POSIX ACL, ZFS/NFSv4 ACL
– Mandatory Access Control (MAC)(certifikace LS PP na EAL4+)● subjekt
+ clearance label, accreditation label range, account label range, session label range
● objekt+ sensitivity label
TX
možnosti
Definice „label“
● označení– klasifikace (classification, level)
● vertikální hierarchická úroveň bezpečnostipříklad: „public“ < „company conf.“ < „secret“ < „top secret“
– oddělení (compartments, categories)● horizontální příslušnost do žádného,
jednoho i více oddělení bezpečnostipříklad: „education“, „marketing“, „management“, „accounting“
● vyhodnocení– dominance subjektu nad objektem
● subjekt má stejnou nebo vyšší klasifikaci než objekt
● subjekt obsahuje všechna oddělení objektu– write-up + read-down– Compartmented Mode Workstations (CMWs)
TX
label
Příklady konfigurace
● firemní rozloženíklasifikace: „public“ < „company confidental“ < „secret“ oddělení: „education“, „management“, „accounting“ …
● NISPOM rozloženíklasifikace: „confidental“ < „secret“ < „top secret“
● NATO rozloženíklasifikace: „nato resticted“ < „nato confidental“ < „nato
secred“ < „cosmic top secred“oddělení: „atomal“
● demo rozloženíklasifikace: „unclassified (U)“ < „confidental (C)“ < „secred
(S)“ < „top secred (TS)“oddělení: „A“, „B“
● firewallklasifikace: „system“oddělení: „inside“, „outside“
TX
label
Aplikační firewallTX
labelSYSTEM INSIDE OUTSIDE
SYSTEMOUTSIDE
SYSTEMINSIDE
SYSTEM
sw install
audit
web server application
DB
internet
trusted gw
Použití v Solarisu
● konfigurační soubory – /etc/security/tsol/– label_encodings, tnrhdb, tnrhtp, tnzonecfg …
● funkčnost– oddělení implementováno pomocí zón– rozšířená grafika (JDS, CDE)– sítě (CIPSO), tisk (banner)– speciální label ADMIN_LOW, ADMIN_HIGH– privilegia v kernelu
● příkazy– getlabel(1), setlabel(1), plabel(1), getzonepath(1)– chk_encodings(1M), add_allocatable(1M),
remove_allocatable(1M), atohexlabel(1M), hextoalabel(1M), smtnrhdb(1M), smtnrhtp(1M), smtnzonecfg(1M), tnchkdb(1M), tnctl(1M), tnd(1M), tninfo(1M), updatehome(1M)
TX
administrace
Konfigurace label_encodingsVERSION=CLASSIFICATIONS: name=; sname=; value=; ...INFORMATION LABELS: WORDS: REQUIRED COMBINATIONS: COMBINATION CONSTRAINTS:SENSITIVITY LABELS: WORDS: name=; sname=; minclass=; compartments=; ... REQUIRED COMBINATIONS: COMBINATION CONSTRAINTS:CLEARANCES: WORDS: REQUIRED COMBINATIONS: COMBINATION CONSTRAINTS:CHANNELS:WORDS:PRINTER BANNERS: WORDS:ACCREDITATION RANGE:NAME INFORMATION LABELS:
TX
administrace
Více v kurzech
SC-325-S10 - Solaris Trusted Extensions Installation and Setup
SC-326-S10 - Administering Solaris Trusted Extensions
SC-327-S10 - Solaris Trusted Extensions Installation, Configuration and Administration
WST-3251-S10 - Key Benefits of Solaris Trusted Extensions
TX
kurzy
IP filter
Řízení přístupu na síti
● L7 - aplikační konfigurace– ftp, sendmail, apache …– /etc/ftpd/*, /etc/mail/sendmail.cf
● L4 - tcp wrapper – tcpd, inetd, ssh …– /etc/host.allow, /etc/host.deny
● L3 – IP filter, SunScreen, IPsec– /etc/ipf/*
IPF
možnosti
IP filter
● vlastnosti– multiplatformní (Solaris, HPUX, AIX, *BSD,
IRIX, Linux, QNX, Tru64)– stavový paketový filtr– překlad ip adres (NAT/PAT)– sledování a záznam provozu
● ip accounting, ip log– doplňující funkce
IPF
architektura
Začlenění do SolarisuIPF
architekturausrsys
UDPTCP
IP
ETH
APPL
ETHETHIP hook
(dříve pfil)
NAT NATIP acctfrags
IP acct
packetstate
statetable
firewallcheck
rulegroups
funcs
firewallcheck
rulegroups
frags
statetable
packetstate
IPF
Konfigurace v Solarisu
● konfigurační soubory/etc/ipf/ipf.conf
● filtrovací pravidla/etc/ipf/ippool.conf
● konfigurace sad ip adres pro pravidla/etc/ipf/ipnat.conf
● překlad IP adres (NAT/PAT)● přesměrování paketů (RDR)
● příkazy– ipf(1M), ippool(1M), ipnat(1M), ipfstat(1M), ipmon(1M)
IPF
administrace
Konfigurace ipf.conf● pravidla od shora dolů● platí poslední shoda („quick“ předčasně
ukončuje hledání, zlepšení výkonu) ● zvláštní sada pro „in“ a „out“● seskupování pravidel (zlepšení výkonu)● sady ip adres (ippool.conf)● proměnné● nově zpracování loopbacku (filtrování mezi
zónami)● základní konfigurace
(block|pass|log...) (in|out) [log] ... [quick] ... [proto [tcp|udp...]] … (all | [from … to …]) ...
IPF
administrace
Osobní firewallblock in allblock out all
pass in quick proto icmp all icmp-type echo keep state
pass in quick proto udp from any to any port = 68pass in quick proto tcp from any to any port = 22
keep state
pass out quick all keep state
block return-icmp-as-dest(port-unr) in proto tcp/udp all
IPF
administrace
Více v kurzech
SC-301-S10 - Personalizing Security on the Solaris 10 Operating systém
SA-300-S10 - Network Administration for the Solaris 10 Operating System
VC-SA-228-S10 - Solaris 10 Security
IPF
kurzy
IP security
Zabezpečení komunikace
● L7 – aplikační konfigurace– ssh, SSL/TLS aplikační protokoly (https,
ldaps, …), DNSsec● L6 – API prezentační vrstvy
– SecureRPC (NIS+, NFS), GSS (kerberos)● L3 – IPsec, SKIP, „VPN“● L2 – WEP, WPA
IPsec
možnosti
Moderní kryptografieIPsec
požadavky sym.šifra
sym.šifra
klíč klíč
asym.šifra
asym.šifra
veřejný privátní
klíč
otisk
+ rychlost- přenos klíčeDES, AES, RC4
+ přenos klíče- rychlostRSA, DSA, ECDSA
MD5, SHA1
šifrovacíkanál
autentizačníkanál
Funkce IPsecIPsec
funkce
● IP security doplňuje IP o funkce – encapsulating security payload (ESP)
● šifrování obsahu paketu● symetrické algoritmy DES, AES...
– authentication header (AH)● autentizace paketu● ověření zdroje (včetně IP adresy) a
ochrana proti modifikacím● algoritmy otisku (s přidáním klíče - MAC)
MD5, SHA1...– security association (SA)
● index do tabulky na koncových systémech adresující symetrické klíče a použitý algoritmus pro ESP a AH
Mody přenosu IPsecIPsec
funkce DST
SRC
IP TCP/UDP data
DST
SRC
AH
SPI
CH
KSU
M
sa klíčD
STSR
C
SPI
CH
KSU
M
ESP
SPI
sa klíč
MD5
AES
DST
SRC
SPI
DST
SRC
SPI
CH
KSU
M
AH
ESP+AH
TUN+ESP+ESP_AH=VPN
Databáze SA
● ruční naplnění● automaticky
– Internet Key Exchange (IKE) ● Diffie-Hellman
– pravidelná obměna klíčů– vytvoření podle požadavků
● ověření pomocí – symetrickými hesly (Preshared Keys)– digitálními certifikáty (Public Key Certificates)
IPsec
funkce
Konfigurace v Solarisu
● konfigurační soubory/etc/inet/ipsecinit.conf
● pravidla pro přidání a akceptaci ESP+AH/etc/inet/secret
ipseckeys - ručně zadané klíčeike.preshared - symetrická hesla pro IKEike.privatekeys - privátní klíče k
certifikátům pro IKE/etc/inet/ike
config - konfigurace IKEpublickeys - certifikáty pro IKEcrls - revokované certifikáty
● příkazy– ipsecconf(1M), ipseckey(1M), ipsecalgs(1M), in.iked(1M), ikeadm(1M), ikecert(1M)
IPsec
administrace
IPsec a IKE s heslyIPsec
administrace
/etc/inet/ipsecinit.conf{rport 23} ipsec {encr_algs any auth_algs any}/etc/inet/ike/configp1_lifetime_secs 14400p1_nonce_len 20{ label "default rule" local_id_type ipv4 local_addr 0.0.0.0/0 remote_addr 0.0.0.0/0 p2_pfs 5 p1_xform {auth_method preshared oakley_group 5
auth_alg sha encr_alg aes }}/etc/inet/secret/ike.preshared{ localidtype IP localid 192.168.1.173 remoteidtype IP remoteid 192.168.1.174 key 63616e676574696e}
Více v kurzech
SC-301-S10 - Personalizing Security on the Solaris 10 Operating systém
VC-SA-228-S10 - Solaris 10 Security
IPsec
kurzy
IP QoS
Řízení QoS na síti
● Integrated Services - IntServ– aplikace sdělí požadavky QoS a všechny
body sítě přidělí a řídí provoz– Resource reservation protocol (RSVP)– MPLS, ATM
● Differentiated services – DiffServ– aplikace (a kdokoli jiný) vyznačí
požadavky QoS a některé body sítě mohou vyhovět
IP QoS
možnosti
Klasifikace provozu IP DiffServ
● Assured forwarding – AF– 4 prioritní třídy a 3 priority zahození
● Expedited forwarding – EF– maximum možností, bez bufferů (nejmenší
ztráta, zpoždění a jitter)● DiffServ Control Point (DSCP)
– IPv4 TOS, IPv6 Traffic Class– 3 bity třída + 2 bity zahození + 1 bit
standard/experimentální + 2 bity ECN
IP QoS
funkce
AF11 AF21 AF31 AF41AF12 AF22 AF32 AF42AF13 AF23 AF33 AF43 EF
id třídy[0]
ostatní[0]
třída 1[1]
třída 2[2]
třída 3[3]
třída 4[4]
EF[5]
řízení[6]
řízení[7]
nízké [1]střední [2]vysoké [3]
0x1c=28 0x2e=46
Klasifikace provozu VLAN CoS
● 3 bity ve ethenet VLAN CoS (802.1p)IP QoS
funkce 7 řízení sítě6 video, zpoždění menší než 10ms5 video, zpoždění menší než 100ms4 řízený tok dat302 zbývající tok1 tok na pozadí
prvotřídní snaha (excellent effort)nejlepší snaha (best effort)
Konfigurace v Solarisu
● konfigurační soubory/etc/inet/ipqosinit.conf
● pravidla– klasifikátor (ipgpc) (adresa, port, uid, gid,
projekt, protokol, ifc, ds) – 2 měřiče
● klouzavé okno (tswtclmt) (committed_rate, peak_rate, window)
● děravé vědro (tokenmt) (committed_rate, committed_burst, peak_rate, peak_burst)
– 2 značkovače ● DSCP (dscpmk)● VLAN CoS (dlcosmk)
– účtování (flowacct)● příkazy
– ipqosconf(1M), kstat(1M)
IP QoS
administrace
IP QoSfmt_version 1.0
action {module ipgpcname ipgpc.classifyfilter { name audioout dport 60000 direction LOCAL_OUT class audio }
class { name audio next_action markEF }}
action {module dscpmkname markEFparams { dscp_map {0-63:46} next_action continue }
}
IP QoS
administrace
Více v kurzech
ES-431 - Solaris 9 Resource Manager Administration
IP QoS
kurzy
Novinky OpenSolarisu
Distribuce OpenSolaris.com
● pravidelné aktualizace– 2008.05, 2008.11 ...– možné zakoupit podporu (od $324/rok)
● vlastnosti– LiveCD s možností instalace, ZFS boot– Image Packaging system (IPS)– GNU přednostně
http://www.opensolaris.org/os/project/czosug/events_archive/czosug26_opensolaris.pdf
● novinky– podpora suspend/resume– více ovladačů– NWAM– nový GNOME desktop– SPARC od 2009– síťový instalátor
OpenSolaris
Novinky v kódu OpenSolaris● ZFS root, crypto, separátní intent log ● více dtrace● SATA AHCI● grub findroot● více WiFi, WPA ● více dladm● Network Automagic (NWAM)● Intel CPU management, microcode, FMA● CIFS● iSNS, SIP, NDMP, ECDSA, SHA-2, SAS/SMP,
IPoIB, USBvc, xVM(XEN), SDcard, AD map (winchester), vNet/vSwitch, VTOC, ksh93
http://www.opensolaris.org/os/projects/http://www.opensolaris.org/os/community/on/flag-days/all/
OpenSolaris
tato prezentace byla připravena s využitím komunitních materiálů z opensolaris.org