Embed Size (px)
Citation preview
Podsłuchiwanie sieciKryptografia i inne
Bezpieczeństwo w sieci lokalnej - prezentacja napotrzeby Systemów operacyjnych
Tomasz Warchoł
Wydział Matematyki, Informatyki i MechaniakiUniwersytet Warszawski
Warszawa, 16 stycznia 2007
Tomasz Warchoł Bezpieczeństwo w sieci lokalnej
Podsłuchiwanie sieciKryptografia i inne
Zarys wstępu do wprowadzeniaSnifferySłuchamyJak się przed tym bronić
Zarys wstępu do wprowadzenia
Pakiety - wszystko pływa losowo w małych kawałkach
Komunikacja w sieci - jeden mówi, reszta słuchaŁączenie podsieci
KoncentratorSwitch
PAMIĘTAJ!
Sieć NIE JEST bezpieczna!
Każdy komunikat przsyłany jest we fragmentach, zwanychpakietami. Pakiet zawiera nagłówek, w którym znajdują się międzyinnymi informacje o nadawcy i odbiorcy komunikatu oraz typpakietu; oraz treść, czyli fragment komunikatu. Treść może byćzakodowana lub nie, w zależności od typu pakietu.
Tomasz Warchoł Bezpieczeństwo w sieci lokalnej
Podsłuchiwanie sieciKryptografia i inne
Zarys wstępu do wprowadzeniaSnifferySłuchamyJak się przed tym bronić
Zarys wstępu do wprowadzenia
Pakiety - wszystko pływa losowo w małych kawałkach
Komunikacja w sieci - jeden mówi, reszta słucha
Łączenie podsieci
KoncentratorSwitch
PAMIĘTAJ!
Sieć NIE JEST bezpieczna!
Komunikacja w sieci lokalnej, w której wszystkie komputery majądostęp do jednego ośrodka (np. sieć w topologii gwiazdy) jest”jednowątkowa”. W danym momencie tylko jeden komputer wysyłapakiety do ośrodka. Pozostałe odbierają wysłany pakiet, analizujągo po czym zaczyna nadawać kolejny komputer.
Tomasz Warchoł Bezpieczeństwo w sieci lokalnej
Podsłuchiwanie sieciKryptografia i inne
Zarys wstępu do wprowadzeniaSnifferySłuchamyJak się przed tym bronić
Zarys wstępu do wprowadzenia
Pakiety - wszystko pływa losowo w małych kawałkach
Komunikacja w sieci - jeden mówi, reszta słuchaŁączenie podsieci
KoncentratorSwitch
PAMIĘTAJ!
Sieć NIE JEST bezpieczna!
W sieciach bardziej złożonych stosuje się urządzenia łącząceośrodki. Działają one jak przekaźniki odbierające pakiety z jednejgałęzi sieci i transmitujące je do drugiej.
Tomasz Warchoł Bezpieczeństwo w sieci lokalnej
Podsłuchiwanie sieciKryptografia i inne
Zarys wstępu do wprowadzeniaSnifferySłuchamyJak się przed tym bronić
Zarys wstępu do wprowadzenia
Pakiety - wszystko pływa losowo w małych kawałkach
Komunikacja w sieci - jeden mówi, reszta słuchaŁączenie podsieciKoncentrator
Switch
PAMIĘTAJ!
Sieć NIE JEST bezpieczna!
Koncentrator odbiera pakiety z jednej gałęzi i wysyła je dowszystkich innych. Sieć z koncentratoren działa tak, jakbywszystkie ośrodki były połączone w jeden.
Tomasz Warchoł Bezpieczeństwo w sieci lokalnej
Podsłuchiwanie sieciKryptografia i inne
Zarys wstępu do wprowadzeniaSnifferySłuchamyJak się przed tym bronić
Zarys wstępu do wprowadzenia
Pakiety - wszystko pływa losowo w małych kawałkach
Komunikacja w sieci - jeden mówi, reszta słuchaŁączenie podsieciKoncentratorSwitch
PAMIĘTAJ!
Sieć NIE JEST bezpieczna!
Switch analizuje ruch w sieci i przesyła pakiet tylko do tej gałęzi, wktórej jest jego odbiorca. W sieci takiej jest niezależna komunikacjapomiędzy wszystkimi gałęziami.
Tomasz Warchoł Bezpieczeństwo w sieci lokalnej
Podsłuchiwanie sieciKryptografia i inne
Zarys wstępu do wprowadzeniaSnifferySłuchamyJak się przed tym bronić
Zarys wstępu do wprowadzenia
Pakiety - wszystko pływa losowo w małych kawałkach
Komunikacja w sieci - jeden mówi, reszta słuchaŁączenie podsieciKoncentratorSwitch
PAMIĘTAJ!
Sieć NIE JEST bezpieczna!
Tomasz Warchoł Bezpieczeństwo w sieci lokalnej
Podsłuchiwanie sieciKryptografia i inne
Zarys wstępu do wprowadzeniaSnifferySłuchamyJak się przed tym bronić
Sniffery
Co to jest?
tcpdump
dsniff
Dlaczego chcemy switch’a?Dlaczego switch nam nie pomoże?
MAC floodingARP spoofingARP poisoning
Sniffer to urządzenie lub program, którego celem jestprzechwytywanie pakietów krążących w sieci bez względu na to, dokogo są adresowane.
Tomasz Warchoł Bezpieczeństwo w sieci lokalnej
Podsłuchiwanie sieciKryptografia i inne
Zarys wstępu do wprowadzeniaSnifferySłuchamyJak się przed tym bronić
Sniffery
Co to jest?
tcpdump
dsniff
Dlaczego chcemy switch’a?Dlaczego switch nam nie pomoże?
MAC floodingARP spoofingARP poisoning
Każda karta sieciowa może działać w dwóch trybach: normalnym,kiedy odbiera tylko pakiety do niej skierowane, lub tzw.”nasłuchu”, kiedy odbiera wszystkie pakiety do niej docierające.Przestawienie karty w tryb ”nasłuchu” wymaga praw root’a.
Tomasz Warchoł Bezpieczeństwo w sieci lokalnej
Podsłuchiwanie sieciKryptografia i inne
Zarys wstępu do wprowadzeniaSnifferySłuchamyJak się przed tym bronić
Sniffery
Co to jest?
tcpdump
dsniff
Dlaczego chcemy switch’a?Dlaczego switch nam nie pomoże?
MAC floodingARP spoofingARP poisoning
tcpdump to program, który wyświetla wszystkie pakietydocierające do karty sieciowej. Nie potrafi analizować pakietów,wyświetla tylko informacje o nagłówku i treść w kodzie ASCII lubszesnastkowym.
Tomasz Warchoł Bezpieczeństwo w sieci lokalnej
Podsłuchiwanie sieciKryptografia i inne
Zarys wstępu do wprowadzeniaSnifferySłuchamyJak się przed tym bronić
Sniffery
Co to jest?
tcpdump
dsniff
Dlaczego chcemy switch’a?Dlaczego switch nam nie pomoże?
MAC floodingARP spoofingARP poisoning
dsniff to pakiet narzędzi do podsłuchiwania ruchu sieciowego. Sąto wyspecjalizowane programy o bardzo konkretnym zastosowaniu,ale działające dla szerokiej klasy sieci i typów pakietów. Przykładyto programy dsniff do wychwytywania haseł z nieszyfrowanychpakietów, oraz arpspoof do przekierowywania ruchu w sieci.
Tomasz Warchoł Bezpieczeństwo w sieci lokalnej
Podsłuchiwanie sieciKryptografia i inne
Zarys wstępu do wprowadzeniaSnifferySłuchamyJak się przed tym bronić
Sniffery
Co to jest?
tcpdump
dsniff
Dlaczego chcemy switch’a?
Dlaczego switch nam nie pomoże?
MAC floodingARP spoofingARP poisoning
Dzięki inteligentnemu przekierowywaniu pakietów switch ograniczailość komputerów, na których można uprawiać pasywny nasłuch.
Tomasz Warchoł Bezpieczeństwo w sieci lokalnej
Podsłuchiwanie sieciKryptografia i inne
Zarys wstępu do wprowadzeniaSnifferySłuchamyJak się przed tym bronić
Sniffery
Co to jest?
tcpdump
dsniff
Dlaczego chcemy switch’a?Dlaczego switch nam nie pomoże?
MAC floodingARP spoofingARP poisoning
Różne rodzaje ”fałszywych” pakietów mogę przekonać sieć lubswitch’a, że trasa pakietu jest inna od planowanej.
Tomasz Warchoł Bezpieczeństwo w sieci lokalnej
Podsłuchiwanie sieciKryptografia i inne
Zarys wstępu do wprowadzeniaSnifferySłuchamyJak się przed tym bronić
Sniffery
Co to jest?
tcpdump
dsniff
Dlaczego chcemy switch’a?Dlaczego switch nam nie pomoże?MAC flooding
ARP spoofingARP poisoning
Switch pamięta lokalizacje konkretnych komputerów w skończonejtablicy. Gdy przepełnimy tablicę, zaczyna się zwykle zachowywaćjak koncentrator i wysyła ”wszystko do wszystkich”.
Tomasz Warchoł Bezpieczeństwo w sieci lokalnej
Podsłuchiwanie sieciKryptografia i inne
Zarys wstępu do wprowadzeniaSnifferySłuchamyJak się przed tym bronić
Sniffery
Co to jest?
tcpdump
dsniff
Dlaczego chcemy switch’a?Dlaczego switch nam nie pomoże?MAC floodingARP spoofing
ARP poisoning
Aby komputer mógł połączyć się z innym w sieci, musi znać adresMAC jego karty. Wysyła pakiet z zapytaniem. Jeżeli wyślemyfałszywy pakiet z odpowiedzią, atakowany komputer będziewysyłał pakiety dowolną trasą.
Tomasz Warchoł Bezpieczeństwo w sieci lokalnej
Podsłuchiwanie sieciKryptografia i inne
Zarys wstępu do wprowadzeniaSnifferySłuchamyJak się przed tym bronić
Sniffery
Co to jest?
tcpdump
dsniff
Dlaczego chcemy switch’a?Dlaczego switch nam nie pomoże?MAC floodingARP spoofingARP poisoning
Jeżeli komputer dostaje pakiet z zapytaniem o adres MAC, tozapamiętuje adres MAC nadawcy. Wysyłając fałszywe zapytaniamożemy dowolnie manipulować trasami pakietów wysyłanych zdanego komputera.
Tomasz Warchoł Bezpieczeństwo w sieci lokalnej
Podsłuchiwanie sieciKryptografia i inne
Zarys wstępu do wprowadzeniaSnifferySłuchamyJak się przed tym bronić
Na atakowanym komputerze uruchamiamy program dsniff.Program wypisuje na konsolę wszystkie przechwycone czystymtekstem loginy i hasła znajdujące się w pakietach docierającychbezpośrednio do karty sieciowej. Sprawdzamy, że ”hakerowanie”jest łatwe na następujących protokołach:
ftp
telnet
http
gadu-gadu
inne: SMTP, POP, poppass, NNTP, IMAP, SNMP, LDAP,Rlogin, RIP, OSPF, PPTP MS-CHAP, NFS, VRRP, YP/NIS,SOCKS, X11, CVS, IRC, AIM, ICQ, Napster, PostgreSQL,Meeting Maker, Citrix ICA, Symantec pcAnywhere, NAISniffer, Microsoft SMB, Oracle SQL*Net, Sybase, MicrosoftSQL protocols
Tomasz Warchoł Bezpieczeństwo w sieci lokalnej
Podsłuchiwanie sieciKryptografia i inne
Zarys wstępu do wprowadzeniaSnifferySłuchamyJak się przed tym bronić
ftp
telnet
http
gadu-gadu
inne: SMTP, POP, poppass, NNTP, IMAP, SNMP, LDAP,Rlogin, RIP, OSPF, PPTP MS-CHAP, NFS, VRRP, YP/NIS,SOCKS, X11, CVS, IRC, AIM, ICQ, Napster, PostgreSQL,Meeting Maker, Citrix ICA, Symantec pcAnywhere, NAISniffer, Microsoft SMB, Oracle SQL*Net, Sybase, MicrosoftSQL protocols
Tomasz Warchoł Bezpieczeństwo w sieci lokalnej
Podsłuchiwanie sieciKryptografia i inne
Zarys wstępu do wprowadzeniaSnifferySłuchamyJak się przed tym bronić
ftp
telnet
http
gadu-gadu
inne: SMTP, POP, poppass, NNTP, IMAP, SNMP, LDAP,Rlogin, RIP, OSPF, PPTP MS-CHAP, NFS, VRRP, YP/NIS,SOCKS, X11, CVS, IRC, AIM, ICQ, Napster, PostgreSQL,Meeting Maker, Citrix ICA, Symantec pcAnywhere, NAISniffer, Microsoft SMB, Oracle SQL*Net, Sybase, MicrosoftSQL protocols
Tomasz Warchoł Bezpieczeństwo w sieci lokalnej
Podsłuchiwanie sieciKryptografia i inne
Zarys wstępu do wprowadzeniaSnifferySłuchamyJak się przed tym bronić
ftp
telnet
http
gadu-gadu
inne: SMTP, POP, poppass, NNTP, IMAP, SNMP, LDAP,Rlogin, RIP, OSPF, PPTP MS-CHAP, NFS, VRRP, YP/NIS,SOCKS, X11, CVS, IRC, AIM, ICQ, Napster, PostgreSQL,Meeting Maker, Citrix ICA, Symantec pcAnywhere, NAISniffer, Microsoft SMB, Oracle SQL*Net, Sybase, MicrosoftSQL protocols
Tomasz Warchoł Bezpieczeństwo w sieci lokalnej
Podsłuchiwanie sieciKryptografia i inne
Zarys wstępu do wprowadzeniaSnifferySłuchamyJak się przed tym bronić
Używając programu arpspoof przekierowujemy pakiety krążącepomiędzy dowolnym komputerem a bramą naszej sieci tak, abyprzechodziły przez nsz komputer. Możemy teraz podsłuchaćwszystkie komunikaty pomiędzy ”ofiarą” a światem.
ftp
telnet
http
gadu-gadu
inne: SMTP, POP, poppass, NNTP, IMAP, SNMP, LDAP,Rlogin, RIP, OSPF, PPTP MS-CHAP, NFS, VRRP, YP/NIS,SOCKS, X11, CVS, IRC, AIM, ICQ, Napster, PostgreSQL,Meeting Maker, Citrix ICA, Symantec pcAnywhere, NAISniffer, Microsoft SMB, Oracle SQL*Net, Sybase, MicrosoftSQL protocols
Tomasz Warchoł Bezpieczeństwo w sieci lokalnej
Podsłuchiwanie sieciKryptografia i inne
Zarys wstępu do wprowadzeniaSnifferySłuchamyJak się przed tym bronić
ftp
telnet
http
gadu-gadu
inne: SMTP, POP, poppass, NNTP, IMAP, SNMP, LDAP,Rlogin, RIP, OSPF, PPTP MS-CHAP, NFS, VRRP, YP/NIS,SOCKS, X11, CVS, IRC, AIM, ICQ, Napster, PostgreSQL,Meeting Maker, Citrix ICA, Symantec pcAnywhere, NAISniffer, Microsoft SMB, Oracle SQL*Net, Sybase, MicrosoftSQL protocols
Tomasz Warchoł Bezpieczeństwo w sieci lokalnej
Podsłuchiwanie sieciKryptografia i inne
Zarys wstępu do wprowadzeniaSnifferySłuchamyJak się przed tym bronić
ftp
telnet
http
gadu-gadu
inne: SMTP, POP, poppass, NNTP, IMAP, SNMP, LDAP,Rlogin, RIP, OSPF, PPTP MS-CHAP, NFS, VRRP, YP/NIS,SOCKS, X11, CVS, IRC, AIM, ICQ, Napster, PostgreSQL,Meeting Maker, Citrix ICA, Symantec pcAnywhere, NAISniffer, Microsoft SMB, Oracle SQL*Net, Sybase, MicrosoftSQL protocols
Tomasz Warchoł Bezpieczeństwo w sieci lokalnej
Podsłuchiwanie sieciKryptografia i inne
Zarys wstępu do wprowadzeniaSnifferySłuchamyJak się przed tym bronić
Jak się przed tym bronić?
anty-sniffery
analiza ruchu w sieci
szyfrowanie
PAMIĘTAJ!
Szyfrowanie Twoim przyjacielem jest!
anty-sniffer to program lub urządzenie wyszukujące sniffery.Ponieważ sniffery często nie ingerują w sieć, wykrycie ich jesttrudne. Najczęściej wykorzystywana metoda to wysyłanie pewnychspreparowanych pakietów, których żadna normalna karta sieciowanie powinna przyjąć. Przyjmie je tylko karta w trybie ”nasłuchu”.
Tomasz Warchoł Bezpieczeństwo w sieci lokalnej
Podsłuchiwanie sieciKryptografia i inne
Zarys wstępu do wprowadzeniaSnifferySłuchamyJak się przed tym bronić
Jak się przed tym bronić?
anty-sniffery
analiza ruchu w sieci
szyfrowanie
PAMIĘTAJ!
Szyfrowanie Twoim przyjacielem jest!
Jeżeli sniffer zmienia trasy pakietów, to można czasem to wykryćanalizując ruch w sieci i tworząc schematy na różne okresyaktywności sieci. Odstępstwo od tych schematów może oznaczaćpracę sniffera.
Tomasz Warchoł Bezpieczeństwo w sieci lokalnej
Podsłuchiwanie sieciKryptografia i inne
Zarys wstępu do wprowadzeniaSnifferySłuchamyJak się przed tym bronić
Jak się przed tym bronić?
anty-sniffery
analiza ruchu w sieci
szyfrowanie
PAMIĘTAJ!
Szyfrowanie Twoim przyjacielem jest!
Jedyną w pełni skuteczną metodą uchronienia się przez wyciekieminformacji jest uniemożliwienie analizy pakietu przez jegozaszyfrowanie.
Tomasz Warchoł Bezpieczeństwo w sieci lokalnej
Podsłuchiwanie sieciKryptografia i inne
PKISSLHandshakeKryptografia w SSL
PKI
PK - Public Key
PKI - Public Key Infrastructure
Certyfikaty
Public Key to ogólna nazwa systemów kryptograficznych, wktórych szyfrowanie/podpisywanie/uwierzytelnianie odbywa się zapomocą danych podanych do wiadomości publicznej, natomiastoperacja odwrotna przy pomocy tajnych danych znanych tylkotworzącemu system.
Tomasz Warchoł Bezpieczeństwo w sieci lokalnej
Podsłuchiwanie sieciKryptografia i inne
PKISSLHandshakeKryptografia w SSL
PKI
PK - Public Key
PKI - Public Key Infrastructure
Certyfikaty
PKI to mrzonka o kryptosystemie, w którym każdy użytkownikposiada swój zatwierdzony klucz publiczny i wszelka komunikacja znim przy pomocy tego klucza jest bezpieczna. PKI nie możeistnieć, bo nie istnieje podmiot który mógłby uwierzytelnić każdegoużytkownika.
Tomasz Warchoł Bezpieczeństwo w sieci lokalnej
Podsłuchiwanie sieciKryptografia i inne
PKISSLHandshakeKryptografia w SSL
PKI
PK - Public Key
PKI - Public Key Infrastructure
Certyfikaty
Certyfikaty to praktyczna próba implementacji namiastki PKI.”Wystawca” wydaje użytkownikom certyfikaty, które potwierdzająpewne dane, np. certyfikat tożsamości serwera.
Tomasz Warchoł Bezpieczeństwo w sieci lokalnej
Podsłuchiwanie sieciKryptografia i inne
PKISSLHandshakeKryptografia w SSL
SSL - Secure Socket Layer
SSL - Secure Socket Layerprywatnośćuwierzytelnianieintegralność
TLS - Transport Layer Security
SSL to protokół umożliwiający zabezpieczenie transmisji w sieci.Parametry protokołu, jak np. algorytmy szyfrujące, są uzgadnianeprzez strony na początku transmisji w trakcie tzw. Handshake.
Tomasz Warchoł Bezpieczeństwo w sieci lokalnej
Podsłuchiwanie sieciKryptografia i inne
PKISSLHandshakeKryptografia w SSL
SSL - Secure Socket Layer
SSL - Secure Socket Layerprywatnośćuwierzytelnianieintegralność
TLS - Transport Layer Security
TLS to rozwinięcie SSL, jeszcze bezpieczniejsze i bardziejniezawodne.
Tomasz Warchoł Bezpieczeństwo w sieci lokalnej
Podsłuchiwanie sieciKryptografia i inne
PKISSLHandshakeKryptografia w SSL
Handshake
C → S dane o SSL, losowe dane
C ← S dane o SSL, certyfikatC → S uwierzytelnienie servera, premaster keyS i C generują master key
C → S end of handshakeS ← C end of handshake
Tomasz Warchoł Bezpieczeństwo w sieci lokalnej
Podsłuchiwanie sieciKryptografia i inne
PKISSLHandshakeKryptografia w SSL
Handshake
C → S dane o SSL, losowe daneC ← S dane o SSL, certyfikat
C → S uwierzytelnienie servera, premaster keyS i C generują master key
C → S end of handshakeS ← C end of handshake
Tomasz Warchoł Bezpieczeństwo w sieci lokalnej
Podsłuchiwanie sieciKryptografia i inne
PKISSLHandshakeKryptografia w SSL
Handshake
C → S dane o SSL, losowe daneC ← S dane o SSL, certyfikatC → S uwierzytelnienie servera, premaster key
S i C generują master key
C → S end of handshakeS ← C end of handshake
Tomasz Warchoł Bezpieczeństwo w sieci lokalnej
Podsłuchiwanie sieciKryptografia i inne
PKISSLHandshakeKryptografia w SSL
Handshake
C → S dane o SSL, losowe daneC ← S dane o SSL, certyfikatC → S uwierzytelnienie servera, premaster keyS i C generują master key
C → S end of handshakeS ← C end of handshake
Tomasz Warchoł Bezpieczeństwo w sieci lokalnej
Podsłuchiwanie sieciKryptografia i inne
PKISSLHandshakeKryptografia w SSL
Handshake
C → S dane o SSL, losowe daneC ← S dane o SSL, certyfikatC → S uwierzytelnienie servera, premaster keyS i C generują master key
C → S end of handshake
S ← C end of handshake
Tomasz Warchoł Bezpieczeństwo w sieci lokalnej
Podsłuchiwanie sieciKryptografia i inne
PKISSLHandshakeKryptografia w SSL
Handshake
C → S dane o SSL, losowe daneC ← S dane o SSL, certyfikatC → S uwierzytelnienie servera, premaster keyS i C generują master key
C → S end of handshakeS ← C end of handshake
Tomasz Warchoł Bezpieczeństwo w sieci lokalnej
Podsłuchiwanie sieciKryptografia i inne
PKISSLHandshakeKryptografia w SSL
Kryptografia w SSL
Najczęściej używane algorytmy w SSL:
PK – RSA, Diffie-Hellman, DSA, Fortezza
szyfrowanie – RC2, RC4, IDEA, DES, Triple DES, AES,Camellia
hashowanie – MD2, MD4, MD5, SHA-1, SHA-2
Zaznaczone algorytmy NIE są bezpieczne. Złamano je, lubujawniono poważne słabości które mogą ułatwić ataki. Samo SSLnie wystarczy, trzeba też używać bezpiecznych algorytmów.
Tomasz Warchoł Bezpieczeństwo w sieci lokalnej
Podsłuchiwanie sieciKryptografia i inne
PKISSLHandshakeKryptografia w SSL
Kryptografia w SSL
Najczęściej używane algorytmy w SSL:
PK – RSA, Diffie-Hellman, DSA, Fortezza
szyfrowanie – RC2, RC4, IDEA, DES, Triple DES, AES,Camellia
hashowanie – MD2, MD4, MD5, SHA-1, SHA-2
Zaznaczone algorytmy NIE są bezpieczne. Złamano je, lubujawniono poważne słabości które mogą ułatwić ataki. Samo SSLnie wystarczy, trzeba też używać bezpiecznych algorytmów.
Tomasz Warchoł Bezpieczeństwo w sieci lokalnej
Podsłuchiwanie sieciKryptografia i inne
Bibliografia
http://www.surasoft.com/articles/packetsniffing.php
http://www.monkey.org/ dugsong/dsniff/
http://www.pki-page.org/
Tomasz Warchoł Bezpieczeństwo w sieci lokalnej
