Upload
mauro-tapajos-santos
View
215
Download
0
Embed Size (px)
Citation preview
8/3/2019 Apresentação da Tese de Mestrado - Mauro Tapajós Santos
http://slidepdf.com/reader/full/apresentacao-da-tese-de-mestrado-mauro-tapajos-santos 1/32
Propostas de Autenticação para oProtocolo de Gerência de RedesSNMP
Mauro Tapajós Santos
Rafael T. De Sousa Jr. (Orientador)
ENE - FT - UnB
8/3/2019 Apresentação da Tese de Mestrado - Mauro Tapajós Santos
http://slidepdf.com/reader/full/apresentacao-da-tese-de-mestrado-mauro-tapajos-santos 2/32
Proposta deste Trabalho
Realizar um estudo sobre a segurança do protocolo de gerência de redes SNMP
Analisar o desenvolvimento da nova versãodo SNMP: SNMPv3
Propor soluções para o problema da
segurança em SNMP Implementar as soluções propostas e
discuti-las
8/3/2019 Apresentação da Tese de Mestrado - Mauro Tapajós Santos
http://slidepdf.com/reader/full/apresentacao-da-tese-de-mestrado-mauro-tapajos-santos 3/32
Estudo Teórico e Análises
8/3/2019 Apresentação da Tese de Mestrado - Mauro Tapajós Santos
http://slidepdf.com/reader/full/apresentacao-da-tese-de-mestrado-mauro-tapajos-santos 4/32
SNMP
É o protocolo de gerência mais usado por fabricantes e operadores de redes de
comunicação Baseado na arquitetura TCP/IP
Simples para ser implementado em todo
tipo de equipamentos Flexível o bastante para aceitar futuras
modificações
8/3/2019 Apresentação da Tese de Mestrado - Mauro Tapajós Santos
http://slidepdf.com/reader/full/apresentacao-da-tese-de-mestrado-mauro-tapajos-santos 5/32
Arquitetura SNMP
Gerente SNMP
PC
MIB Agente SNMP
Interface FDDI
MIB Agente SNMP
Roteador
MIBAgente SNMP
Software de aplicação
MIBAgente SNMP
8/3/2019 Apresentação da Tese de Mestrado - Mauro Tapajós Santos
http://slidepdf.com/reader/full/apresentacao-da-tese-de-mestrado-mauro-tapajos-santos 6/32
Operações SNMP
Gerente
GetRequest
Agente
Trap
GetResponse
MIB
Porta161Porta161
Porta
162
GetNextRequest
GetResponse
SetRequest
GetResponse
8/3/2019 Apresentação da Tese de Mestrado - Mauro Tapajós Santos
http://slidepdf.com/reader/full/apresentacao-da-tese-de-mestrado-mauro-tapajos-santos 7/32
Mensagem SNMP
Versão Community-string PDU (Protocol Data Unit)
Este campo carrega o nome decomunidade que o originador da
mensagem está usando.
Número inteiro indicandoa versão do SNMP sendousada
Dados efetivos de gerênciaa serem analisados eprocessados
8/3/2019 Apresentação da Tese de Mestrado - Mauro Tapajós Santos
http://slidepdf.com/reader/full/apresentacao-da-tese-de-mestrado-mauro-tapajos-santos 8/32
SNMPv2 Evolução natural para corrigir falhas, limitações e,
principalmente, falta de segurança
A abrangente proposta SNMPv2 ³Clássica´ baseada em parties fracasso
SNMPv2c: assimilou somente as novasmensagens e correções, esperando ainda:
Segurança Configuração Remota Infra-estrutura Administrativa
SNMPv2c é a atual versão do protocolo
8/3/2019 Apresentação da Tese de Mestrado - Mauro Tapajós Santos
http://slidepdf.com/reader/full/apresentacao-da-tese-de-mestrado-mauro-tapajos-santos 9/32
Operações SNMPv2
Agente
Trap
MIB
GetNextRequest GetResponse
SetRequest
GetResponse
Gerente
Porta161
Porta
162
Gerente
Porta161
GetRequest
GetResponse
informRequest GetResponse
Porta161
8/3/2019 Apresentação da Tese de Mestrado - Mauro Tapajós Santos
http://slidepdf.com/reader/full/apresentacao-da-tese-de-mestrado-mauro-tapajos-santos 10/32
SNMPv3
Não é toda uma nova versão, e sim umcomplemento para as atuais versões do
SNMP Pretende oferecer serviços de segurança,
infra-estrutura administrativa e
configuração remota de agentes Muda o formato da mensagem SNMP
Ainda está em discussão
8/3/2019 Apresentação da Tese de Mestrado - Mauro Tapajós Santos
http://slidepdf.com/reader/full/apresentacao-da-tese-de-mestrado-mauro-tapajos-santos 11/32
Modelo de Segurança Baseado em
Usuário (USM) É o único modelo sendo proposto para
SNMPv3
Cada usuário armazena dados de segurança próprios
Serviços/protocolos de segurança:
Autenticação (HMAC - MD5 ou SHA)
Proteção de replays
Privacidade (DES)
8/3/2019 Apresentação da Tese de Mestrado - Mauro Tapajós Santos
http://slidepdf.com/reader/full/apresentacao-da-tese-de-mestrado-mauro-tapajos-santos 12/32
Observações sobre o Modelo
USM Apenas um único método é proposto para a
troca de chaves no modelo USM
Esta troca depende de serviços de privacidade
Seu único protocolo de privacidade sendo
proposto é baseado no algoritmo DES Neste modelo, autentica-se um usuário
definido dentro do mesmo
8/3/2019 Apresentação da Tese de Mestrado - Mauro Tapajós Santos
http://slidepdf.com/reader/full/apresentacao-da-tese-de-mestrado-mauro-tapajos-santos 13/32
Situação Atual do Protocolo
SNMP SNMP v1 e v2c são largamente usadas por
fabricantes e operadores
Utiliza esquema de segurança trivial baseada em community-string s
Inibição do uso das operação de controle( sets)
A aceitação de SNMPv3 é uma incógnita
8/3/2019 Apresentação da Tese de Mestrado - Mauro Tapajós Santos
http://slidepdf.com/reader/full/apresentacao-da-tese-de-mestrado-mauro-tapajos-santos 14/32
Diretrizes para a solução
Tentar manter a coerência com os esforçosde desenvolvimento do SNMPv3
Oferecer um serviço de autenticação sem anecessidade de um serviço de privacidade
Não mudar a operação normal do protocolo
nem o formato básico de sua mensagem As especificações não impedem a utilização
de outros procedimentos de autenticação
8/3/2019 Apresentação da Tese de Mestrado - Mauro Tapajós Santos
http://slidepdf.com/reader/full/apresentacao-da-tese-de-mestrado-mauro-tapajos-santos 15/32
Desenvolvimento das Propostas
8/3/2019 Apresentação da Tese de Mestrado - Mauro Tapajós Santos
http://slidepdf.com/reader/full/apresentacao-da-tese-de-mestrado-mauro-tapajos-santos 16/32
Ameaças à Segurança do
Protocolo SNMP Consideradas Quem está requisitando a operação?
(Mascaramento/Identificação da origem)
Os dados foram alterados no seu percurso pela rede? (Modificação da Informação)
Serviços de Segurança DesejadosAutenticação da origem
Integridade dos dados
8/3/2019 Apresentação da Tese de Mestrado - Mauro Tapajós Santos
http://slidepdf.com/reader/full/apresentacao-da-tese-de-mestrado-mauro-tapajos-santos 17/32
Idéias Básicas das Propostas
Implementar chaves de autenticação que variamconstantemente (chaves dinâmicas)
Propor solução integrada com a operaçao do protocolo, sem prejudicá-la
Utilizar o campo community para transportar ainformação de autenticação
Autenticar as respostas com as mesmas chavesusadas no requests
Usar um novo reqID e uma nova chave deautenticação para cada novo request
8/3/2019 Apresentação da Tese de Mestrado - Mauro Tapajós Santos
http://slidepdf.com/reader/full/apresentacao-da-tese-de-mestrado-mauro-tapajos-santos 18/32
Chaves Dinâmicas
A informação de autenticação deverá ser gerada em função da mensagem, da chave
de autenticação e do nome de comunidade(controle de acesso)
No caso de um ataque, somente a
mensagem em questão é comprometida Tamanho das chaves de autenticação: 128
bits
8/3/2019 Apresentação da Tese de Mestrado - Mauro Tapajós Santos
http://slidepdf.com/reader/full/apresentacao-da-tese-de-mestrado-mauro-tapajos-santos 19/32
Novo campo community
Campo community total (OCTET STRING)
NOME DACOMUNIDADE
LTDIGEST DAMENSAGEM
LTINFORMAÇÃO DE
CHAVELTLT
8/3/2019 Apresentação da Tese de Mestrado - Mauro Tapajós Santos
http://slidepdf.com/reader/full/apresentacao-da-tese-de-mestrado-mauro-tapajos-santos 20/32
Processo de Autenticação de uma
Mensagem
Gerente SNMP
Informação de autenticação
gerada é inserida no campo
c ommunity da mensagem
Na recepção é gerada a informação de
autenticação da mensagem a partir das
informações da mensagem e da chave de
autenticação local esperada.
Se forem iguais, a mensagem é aceita
Agente SNMP Mensagem SNMP enviada
Informação de Autenticação VersãoPDU
8/3/2019 Apresentação da Tese de Mestrado - Mauro Tapajós Santos
http://slidepdf.com/reader/full/apresentacao-da-tese-de-mestrado-mauro-tapajos-santos 21/32
Protocolo Auth-P
Gerente SNMP
Agente SNMP
Ktransação
Kmestre
Kmestre
Gerador
Aleatório
C
Kcipher
digest (Ktransação
)comunidade
C
Ktransação
Teste da
Autenticação (H )
Geração do
Digest (H )
8/3/2019 Apresentação da Tese de Mestrado - Mauro Tapajós Santos
http://slidepdf.com/reader/full/apresentacao-da-tese-de-mestrado-mauro-tapajos-santos 22/32
Protocolo Auth-N
Gerente SNMP
Agente SNMP
Kgeradora
Ktransação
hn
n digest (Ktransação
)comunidade
Teste da
Autenticação (H )
Geração do
Digest (H )
Kgeradora
Ktransação
h
n
8/3/2019 Apresentação da Tese de Mestrado - Mauro Tapajós Santos
http://slidepdf.com/reader/full/apresentacao-da-tese-de-mestrado-mauro-tapajos-santos 23/32
Algoritmos Criptográficos
Utilizadosj P r ot ocolo Auth-N
Função de hash chaveada H : HMAC-MD5
Função de hash h : MD5
j P r ot ocolo Auth- P
Função de hash chaveada H : HMAC-MD5
Cifrador de blocos C : blowf ish
8/3/2019 Apresentação da Tese de Mestrado - Mauro Tapajós Santos
http://slidepdf.com/reader/full/apresentacao-da-tese-de-mestrado-mauro-tapajos-santos 24/32
Análise dos Protocolos Auth-P e
Auth-N A origem sendo autenticada é um endereço
de rede
Existirá uma tabela Endereço deRede/Chaves de Autenticaçao para cadaentidade SNMP
Implementações Auth-P ou Auth-Nconviverão na mesma rede com dispositivosSNMPv1/v2c básicos
8/3/2019 Apresentação da Tese de Mestrado - Mauro Tapajós Santos
http://slidepdf.com/reader/full/apresentacao-da-tese-de-mestrado-mauro-tapajos-santos 25/32
Análise dos Protocolos Auth-P e
Auth-N (cont.) Auth-P atravessa a chave de autenticação
criptografada pela rede
Auth-N não atravessa qualquer informação
direta da chave de autenticação usada
Auth-N depende da sequência demensagens, está sujeito à perda de
sincronismo das chaves
8/3/2019 Apresentação da Tese de Mestrado - Mauro Tapajós Santos
http://slidepdf.com/reader/full/apresentacao-da-tese-de-mestrado-mauro-tapajos-santos 26/32
Demonstração da ImplementaçãoRealizada
8/3/2019 Apresentação da Tese de Mestrado - Mauro Tapajós Santos
http://slidepdf.com/reader/full/apresentacao-da-tese-de-mestrado-mauro-tapajos-santos 27/32
Esquema da Demonstração
Má quina Linux apli c_snmp:
aplicações SNMP de teste,
simulando um gerente
Má quina Linux agente _snmp:
Agente SNMP
Máquina Windows
Controle da Apresentação
Hub
Requests SNMP
Responses SNMP
8/3/2019 Apresentação da Tese de Mestrado - Mauro Tapajós Santos
http://slidepdf.com/reader/full/apresentacao-da-tese-de-mestrado-mauro-tapajos-santos 28/32
Tabela Comparativa
Auth-P Auth-NGeração deInformação Aleatória
Necessita de um bomgerador aleatório
Não precisa
Dados a SeremInicializados
1 chave: chavemestre
2 chaves: chaves matriz egeradora inicial
Algoritmos
CriptográficosImplementados
2, MD5 para a funçãoH (HMAC-MD5) e
blowfish para afunção C
Apenas 1, MD5 para as
funçõesh
(MD5) eH
(HMAC-MD5)
Aumento do CódigoExecutável 9 % 4,43 %
Aumento daUtilização de Memória 2 % 0,4 %
Velocidade daAutenticação
2,37 a velocidade doagente SNMP normal
Depende do valor de w . Osvalores testados estão entre
3 (w =50) a 22 (w =1000)vezes a velocidade do agente
SNMP normal.Autenticação de
Mensagens
Espontâneas (traps) ?
Sim Não
8/3/2019 Apresentação da Tese de Mestrado - Mauro Tapajós Santos
http://slidepdf.com/reader/full/apresentacao-da-tese-de-mestrado-mauro-tapajos-santos 29/32
Conclusão
Ainda é possível se implementar segurançanas versões v1 e v2c do protocolo SNMP
Existe a necessidade de inicialização dedados de segurança, assim como SNMPv3
Auth-P e Auth-N poderiam ser outras
opções para protocolo de autenticaçãodentro do modelo USM de SNMPv3)
Com estes protocolos, o agente ainda permanece simples
8/3/2019 Apresentação da Tese de Mestrado - Mauro Tapajós Santos
http://slidepdf.com/reader/full/apresentacao-da-tese-de-mestrado-mauro-tapajos-santos 30/32
Sugestões
Implementação de um possível ³escudoautenticador´ para dispositivos SNMP que
usam autenticação trivial Projeto de novos protocolo de autenticacão
para o modelo USM, baseados na propostas
apresentadas Estudo da possibilidade de se autenticar
somente algumas mensagens (como os sets)
8/3/2019 Apresentação da Tese de Mestrado - Mauro Tapajós Santos
http://slidepdf.com/reader/full/apresentacao-da-tese-de-mestrado-mauro-tapajos-santos 31/32
Perguntas / Observações
8/3/2019 Apresentação da Tese de Mestrado - Mauro Tapajós Santos
http://slidepdf.com/reader/full/apresentacao-da-tese-de-mestrado-mauro-tapajos-santos 32/32
Mauro Tapajós Santos
e-mail:[email protected]