Bezpieczeństwo Sieci

Pasywne i aktywne mechanizmy ochronne sieci komputerowychukasz Bromirski

l.bromirski[at]mr0vka.eu.org http://mr0vka.eu.org

Organizacja wykaduPodstawy zagadnie bezpieczestwa Protokoy sieciowe wg. modelu ISO ze wzgldu na bezpieczestwo Wprowadzenie do kryptografii Topologie sieci i mechanizmy zwikszajce ich bezpieczestwo Ataki, naduycia, narzdzia

BezpieczestwoInternet Polityka bezpieczestwajasna wyszczeglnienie osb funkcyjnych i zakresu odpowiedzialnoci wyszczeglnienie elementw sieci oraz ich roli w funkcjonowaniu i bezpieczestwie sieci

BezpieczestwoPodstawowe problemybezmylno i beztroska w zarzdzaniu uprawnieniami i kontami brak administrowania i nadzoru, nadzr nieregularny lub wykonywany przez osob niekompetentn bdy w oprogramowaniu

BezpieczestwoCo moe by potencjalnym celem?dane serwery usug (np. ftp, dns, http...) routery systemy przechowujce i przetwarzajce dane ludzie (ang. social engineering)

BezpieczestwoKto moe by wrogiem?kto z firmy (wrg wewntrzny) kto spoza firmy (wrg zewntrzny)

BezpieczestwoTwarze zza barykadyscript kiddies hakerzy white hats (http://www.whitehats.com) gray hats black hats (http://www.blackhats.com)

BezpieczestwoBezpieczestwo oprogramowania closed vs open sourcedostpno kodu ocena moliwoci i sposobu dziaania, wyeliminowanie moliwoci pozostawienia tylnych drzwi, urealnienie owiadcze twrcy

dostpno oprogramowania, szybko publikowania poprawek, ich dostpno i jako

szybko reagowania na dziury/bdy

BezpieczestwoDziury w systemach operacyjnychOSFreeBSD NetBSD OpenBSD Slackware Solaris Windows 3.1x/9x Windows NT/2000

200036 20 17 11 22 40 97

200117 9 14 10 33 14 42(rdo: www.securityfocus.com)

ZagroeniaWirusycharakterystyka dziaanie niszczycielskie rozmnaanie si

ewolucja assembler C/C++ (Yankee Doodle, LoveLetter) pliki poczta (Sircam, Badtrans, Melissa)

Melissa 1 mld $ 99, LoveLetter 9 mld $ 00

ZagroeniaRobaki internetowecharakterystyka sposb dziaania poczta elektroniczna (np. Nimda) aktywny atak (np. Nimda, CodeRed)

cel dziaania obcianie sieci (DoS/DDoS) dziaalno destrukcyjna i rozmnaanie si zdalna kontrola (np. Trinoo, stacheldracht)

straty CodeRed 2-4 miliardy dolarw

ZagroeniaRne filozofie, rne podejciascript kiddie amator haker

Organizacja wykaduPodstawy zagadnie bezpieczestwa Protokoy sieciowe wg. modelu ISO ze wzgldu na bezpieczestwo Wprowadzenie do kryptografii Topologie sieci i mechanizmy zwikszajce ich bezpieczestwo Ataki, naduycia, narzdzia

Model ISO

Model ISO IP

Model ISO TCP

Model ISO UDP

Model ISO - ICMPDwie klasy komunikatw:komunikaty o bdach: destination unreachable, redirect, source quench, time exceeded, parameter problem

zapytania: echo, information, timestamp, address mask

Organizacja wykaduPodstawy zagadnie bezpieczestwa Protokoy sieciowe wg. modelu ISO ze wzgldu na bezpieczestwo Wprowadzenie do kryptografii Topologie sieci i mechanizmy zwikszajce ich bezpieczestwo Ataki, naduycia, narzdzia

Wprowadzenie do kryptografiiPrzestrze klucza (ang. keyspace) Szyfrowanie symetryczne Szyfrowanie z kluczem publicznym Infrastruktura Klucza Publicznego PKI(ang. Public Key Infrastructure)

Publiczne Standardy Kryptograficzne PKCS (ang. Public Key Cryptographic Standards) Autorytet Certyfikujcy CA (ang. CertificateAuthority)

Podpis cyfrowy

IPsec - narodzinyNarodziny IPSec saboci IPsniffing spoofing, hijacking

IETF tworzy RFC2401

IPsec - architekturaAH (Authentication Header) RFC2402

ESP (Encapsulated Payload) RFC2406

IKE (Internet Key Exchange) RFC2409

IPsec co zapewnia?uwierzytelnianie (ang. authentication) integralno (ang. integrity) poufno (ang. confidentiality)

IPsec Security AssociationSecurity Association (SA) opisuje:adres urzdzenia (IP/nazwa) transform set: uywany protok IPSec, algorytm uwierzytelniania/kontroli, algorytm szyfrowania czas wanoci klucza i wartoci progowe IKE list kontroli dostpu (ACL) identyfikator SPI danego SA numer sekwencji danych w strumieniu

IPsec pakiet

IPsec ESP

IPsec AH

IPsec protok IKECo zapewnia?negocjacje protokow, algorytmw i kluczy uwierzytelnienie partnera zarzdzanie kluczami wymiana informacji sucych do generowania kolejnych kluczy

IPsec protok IKEDwie fazy:stworzenie bezpiecznego kanau wymiany informacji negocjacj odpowiednich algorytmw i SA

IPsec przykad 1

IPsec przykad 2

IPsec FreeBSDKonfiguracja systemukernel: IPSEC, IPSEC_ESP nat/firewall

Ustawienie SA dla poczenia:setkey -c spdadd 193.193.193.1 193.193.193.2 any -P out ipsec ah/transport/193.193.193.1-193.193.193.2/require spdadd 193.193.193.2 193.193.193.1 any -P out ipsec esp/transport/193.193.193.2-193.193.193.1/require spdadd 193.193.193.2 193.193.193.1 any -P out ipsec ah/transport/193.193.193.2-193.193.193.1/require

IPsec FreeBSDKonfiguracja IKE rczna:add add 193.193.193.1 193.193.193.2 ah 1000 -m transport A hmac-sha1 12345678901234567890 ; 193.193.193.2 193.193.193.1 esp 2000 -m transport E des-cbc 12345678 ;

Konfiguracja IKE automatyczna:racoon ( /usr/ports/security/racoon ) isakmpd ( /usr/ports/security/isakmpd )

SSL/TLS - WprowadzenieSecure Sockets Layerhistoria Netscape, 1993 wersje

Transport Layer SecurityRFC2246

SSL/TLS - MoliwociCo zapewnia?uwierzytelnianie z wykorzystaniem kluczy publicznych zachowanie anonimowoci klientw i wymg identyfikacji serwera szybko pozwalajc na sprawn obsug krtkich pocze (HTTP/DNS)

SSL/TLS - DziaanieWsparcie programowe:Serwery WWW: Zeus v3, Apache, Microsoft IIS 5.x Klienci WWW: Microsoft IE 4.x-5.x, Netscape, Mozilla, Opera, Konqueror Serwery poczty: postfix, sendmail, Microsoft IIS Klienci poczty: The Bat!, Microsoft Outlook, Netscape Mail, Mozilla

SSL/TLS - Negocjacja

SSL/TLS - stunnelPo stronie serwera:stunnel d 465 r smtp p /usr/local/etc/stunnel.pem

Po stronie klienta:stunnel -c -d localhost:25 -r www:465

http://www.stunnel.org

SSH Secure SHellHistoria 1995 rok, Finlandia Zastosowanie Algorytmy szyfrowaniaDES, 3DES RC4 TSS Blowfish/Twofish SecurID S/Key Kerberos TIS SHA-1 i MD5 dla zapewnienia i uwierzytelniania danych

SSH Co zapewnia?Ochron przed faszowaniem IP ( ang. IP spoofing ) Ochron przed wymuszaniem routingu ( ang. source routing ) Ochron przed faszowaniem wpisw DNS ( ang. DNS spoofing ) Ochron przed ujawnieniem hase i identyfikatorw Ochron przed manipulacj przesyanymi danymi

S/MIMESecure/Multipurpose Internet Mail Extensions v3 Zaprojektowane dla MUA (ang. Mail User Agents):The Bat! Microsoft Outlook Mozilla

S/MIME Co zapewnia?uwierzytelnienie integralno wiadomoci nie-podrabialno wiadomoci (podpis cyfrowy) SHA-1 (160) i MD5 (128) poufno i bezpieczestwo danych (szyfrowanie) RC-2 (128) i 3DES (156)

PGP / OpenPGPPretty Good Privacy Philip Zimmermann, 1991 rokMD4+RSA dla podpisw i wymiany kluczy Bass-O-Matic, zastpione przez IDEA Kompresja LZH, zastpiona przez InfoZip/zlib uuencoding, zastpione przez base64

Problemy prawne w USA (1993-95r)

PGP / OpenPGPFormaty:wiadomo skompresowana wiadomo podpisana cyfrowo wiadomo zaszyfrowana

Nagwek:-----BEGIN PGP typ---------END PGP typ-----

typ:

MESSAGE, SIGNED MESSAGE, SIGNATURE

Organizacja wykaduPodstawy zagadnie bezpieczestwa Protokoy sieciowe wg. modelu ISO ze wzgldu na bezpieczestwo Wprowadzenie do kryptografii Topologie sieci i mechanizmy zwikszajce ich bezpieczestwo Ataki, naduycia, narzdzia

Topologie przykad 1

Topologie przykad 2

Topologie przykad 3

Topologie przykad 4

Topologie strefy

Firewall co to jest?Co to jest?programowy sprztowy

Podstawy dziaaniafiltrowanie pakietw (packet filtering) filtrowanie zawartoci (content filtering) ograniczanie przepustowoci (traffic shaping)

Firewall sprztowy a programowy 1/2TypCisco PIX 501 Cisco PIX 535 3COM SuperStack3 Netscreen 100 Netscreen 1000 CheckPoint FW1, PIII-1Ghz, RedHat CheckPoint FW1, PIII-1Ghz, WinNT/2K CheckPoint FW1, Sun Ultra 60

Wydajno10Mbit/s clear / 3Mbit/s 3DES 1Gbit/s clear 100Mbit/s clear / 45Mbit/s 3DES 200Mbit/s clear, 200Mbit/s 3DES 1Gbit/s clear, 1Gbit/s 3DES 395Mbit/s clear (UDP, 1454bajty) 335Mbit/s clear (UDP, 1454bajty) 270Mbit/s clear (UDP, 1454bajty)

Pojemno/Wydajno3500 pocze, 5VPN, 100/s 500,000 pocze, 2000VPN, 7,000/s 30,000 pocze, 1,000VPN 128,000 pocze, 19,000/s 500,000 pocze, 10,000VPN, 22,000/s ?

?

?

Firewall sprztowy a programowy 2/2Typipchains 386DX33 ipchains 2xPIII600 ipfw PIII750 pf 486DX-80 pf P233MMX ipf Duron 600, 256MB

Wydajno2Mbit/s clear 150Mbit/s clear 400Mbit/s clear 10Mbit/s clear 130Mbit/s clear

Pojemno/Wydajno32,768 standardowo 327,680 potwierdzone 20,000(1)-80,000(3) pocze/s ?

550Mbit/s clear

Ilo pocze *100 bajtw+32bity*1.4 Dla 500,000 pocze = 52MB Dla 1,000,000 pocze = 104MB

Firewall uwagi do porwnaniamimo RFC2647 dotyczcego mierzenia wydajnoci, brak oglnie przyjtego standardu optymalna wielko pakietu dla nowoczesnego firewalla 10001500 bajtw realno i weryfikowalno podanych wynikw

Firewall budowa zestawu reguBudowa zestawu regu Sposb przegldania regu Moliwe cele:akceptacja, utworzenie stanu odrzucenie, wyrzucenie logowanie, zwikszenie licznika inne, specyficzne dla implementacji

Firewall reguy filtrowaniaipf/pf:pass in proto tcp from any to 192.168.0.1 port = 80 keep state pass in proto tcp from any to 210.220.230.240 port = 80 flags S/SA

iptables:iptables -A INPUT -p tcp -s 0/0 -d 192.168.0.1 --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp -d 210.220.230.240 --dport 80 --tcp-flags ALL SYN -j ACCEPT

zalogowany pakiet: