Upload
matasbrug
View
88
Download
23
Embed Size (px)
Citation preview
1
-MASTER STUDIJSKI PROGRAM-
SAVREMENE INFORMACIONE TEHNOLOGIJE
Dunja Adi
BEZBEDNOST RAUNARSKE MREE
- Master rad -
UNIVERZITET SINGIDUNUM
DDeeppaarrttmmaann zzaa ppoosslleeddiipplloommsskkee ssttuuddiijjee
Beograd, 2010.
2
-MASTER STUDIJSKI PROGRAM-
SAVREMENE INFORMACIONE TEHNOLOGIJE
Dunja Adi
BEZBEDNOST RAUNARSKE MREE
- Master rad -
UNIVERZITET SINGIDUNUM
DDeeppaarrttmmaann zzaa ppoosslleeddiipplloommsskkee ssttuuddiijjee
Mentor: Kandidat:
Prof. dr Mladen Veinovi Adi Dunja 410267/2009
Beograd, 2010.
3
Sadraj
1. Uvod ...........................................................................................................................................7
2. Povezivanje udaljenih lokacija .........................................................................................................9
2.1. Adresiranje ............................................................................................................................. 11
2.2. Tehnologija LAN povezivanja .................................................................................................. 12
3. Rutiranje, Napadi na OSPF i protivmere ........................................................................................ 15
3.1. Link state advertisement (LSA) ............................................................................................ 17
3.1.1. Kriptografsko reenje za Link State .................................................................................. 19
3.1.2. Specijalni tretman LS-a starosnog polja ............................................................................ 19
3.1.3. Prednosti i mane ............................................................................................................. 20
3.2. Hash Chains za Stable Link State (SLS) ..................................................................................... 20
3.2.1. Prednosti i mane ............................................................................................................. 24
3.3. Hash Chains za Fluctuating Link State ..................................................................................... 24
3.3.1. Prednosti i mane ............................................................................................................. 29
4. Context-Based Access Control (CBAC) - Cisco IOS firewall set funkcija ........................................... 29
4.1. Glavne funckije CBAC-a .......................................................................................................... 30
4.2. Proces CBAC-a ........................................................................................................................ 31
4.3. Podrani protokoli .................................................................................................................. 32
4.4. Prednosti i ogranienja CBAC-a ............................................................................................... 34
1. CBAC se oslanja na efektivnost konfiguracije access-lista na ruteru i ...................................... 35
2. CBAC ne moe pregledati saobraaj sa izvorne ili odredine adrese rutera............................. 35
To znai da se ne moe osloniti na CBAC da obezbedi bilo kakvu sigurnost za sam ruter. ........... 35
5. Bezbednost kontrole pristupa ............................................................................................... 36
5.1. RADIUS (Remote Authentication Dial In User Service) ............................................................. 36
5.2.Protokol RADIUS ..................................................................................................................... 38
5.2. Problemi sa protokolom RADIUS ............................................................................................ 39
6. IPSec ............................................................................................................................................. 40
6.1. IPSec protokoli ....................................................................................................................... 45
6.1.1. Protokol AH ..................................................................................................................... 45
6.1.2. Protokol ESP .................................................................................................................... 47
6.2.Reimi rada ............................................................................................................................. 48
6.2.1. Transportni reim rada .................................................................................................... 48
4
6.2.2. Tunelovanje ..................................................................................................................... 51
6.3. Uspostavljanje IPSec komunikacije ......................................................................................... 53
6.3.1. IKE ................................................................................................................................... 54
6.4. Resursi koje IPSec zahteva i problemi u implementaciji .......................................................... 55
6.4.1. Konfiguracija NAT-a ......................................................................................................... 57
7. Secure Shell (SHH) ......................................................................................................................... 58
8. L2 security i konfiguracija ostalih protokola ................................................................................... 60
8.1. Storm Control ......................................................................................................................... 60
8.2. DHCP snooping ....................................................................................................................... 61
8.3. RSPAN .................................................................................................................................... 61
8.4. Menadment .......................................................................................................................... 62
8.5. Kvalitet saobraaja ................................................................................................................. 63
9. IP telefonija ................................................................................................................................... 65
10. Konfiguracije rutera i switcheva .................................................................................................. 68
Cisco Ruter u Novom Sadu ........................................................................................................ 73
Cisco Ruter u Niu ..................................................................................................................... 77
Beograd Switch 1 ...................................................................................................................... 80
Beograd Switch 2 ...................................................................................................................... 83
Novi Sad Switch 1 ...................................................................................................................... 87
Novi Sad Switch 2 ...................................................................................................................... 90
Ni Switch 1............................................................................................................................... 94
Ni Switch 2............................................................................................................................... 97
11. Zakljuak ................................................................................................................................... 101
Literatura ...................................................................................................................................... 103
Slike
Slika.2.1. ema WAN povezivanja ...................................................................................................... 10 Slika.2.2. ema LAN povezivanja ....................................................................................................... 13 Slika.3.1. OSPF LSA zaglavlja .............................................................................................................. 18 Slika.3.2. Operacija SLS-a .................................................................................................................. 23 Slika.3.3. Tabela hash chain-a............................................................................................................ 25 Slika.3.4. FLS operacije ...................................................................................................................... 28 Slika.5.1. RADIUS .............................................................................................................................. 37 Slika.6.1. Mesto protokola IPSec u skupu protokola .......................................................................... 43
5
Slika.6.2. Standardni obik IP paketa ................................................................................................... 45 Slika.6.3. AH zaglavlje........................................................................................................................ 45 Slika.6.4. ESP paket ........................................................................................................................... 47 Slika.6.5. AH u transportnom reimu rada ......................................................................................... 49 Slika.6.6. ESP u transportnom reimu rada ........................................................................................ 49 Slika.6.7. ESP + AH u transportnom reimu rada ................................................................................ 50 Slika.6.8. Tunelovanje ....................................................................................................................... 51 Slika.6.9. AH tunelovanje .................................................................................................................. 52 Slika.6.10. ESP tunelovanje ............................................................................................................... 53 Slika.9.1. Multisite WAN with Centralized Call-Processing Deployment ............................................. 66
6
Saetak:
Master rad na temu bezbednosti raunarske mree pisan je sa idejom da prikae visoku zatitu mrene opreme i komunikacije na svim nivoima implementacijom bezbednosnih protokola i mehanizama. Korienjem najnovije Cisco mrene opreme, zbog svoje pouzdanosti i performansi ureaja, omoguava se visok stepen zatite mree bez smanjenja brzine protoka podataka u mrei.
Kljune rei: Bezbednost mree, Cisco, protokol.
Abstract:
This Masters thesis on computer network security is written with the idea to show the high protection of network equipment and communication at all levels of implementation of security protocols and mechanisms. Using the latest Cisco network equipment, for its reliability and performance of the devices allows that a high level of network security does not affect the flow rate of traffic in the network.
Key words: Network security, Cisco, protocol.
7
1. Uvod
U ovom master radu izraen je projekta zatite podataka celokupne mree zamiljenog preduzea DunjaInc Beograd d.o.o. U daljem tekstu koristi se re projekat, zato to bolje opisuje kompletan sadraj rada.
Preduzee DunjaInc Beograd d.o.o. iz Beograda prua usluge konsaltinga, projektovanja, implementacije i tehnike podrke u oblasti informacionih i komunikacionih tehnologija i proizvoda. U datom projektu potrebno je povezati tri lokacije (Beograd, Novi Sad , Ni), omoguiti pristup Interntetu svim ureajima u mrei, zatiti mrenu opremu i komunikaciju, instalirati mrene servise i administriratih ih, kao i obezbediti VOIP komunikaciju. Na svakoj od lokacija, bie 50 internih korisnika mree, potrebni serveri za mrene servise, ureaji koji omoguavaju rad IP telefonije (VOIP). U ovom projektu odlueno je da proizvoa mrene opreme bude Cisco, zbog svoje opte poznate pouzdanosti i performansi ureaja. Konektivnost izmeu lokacija omoguena je iznajmljivanjem L3 MPLS VPN usluga od internet servis provajdera, u ovom sluaju Telekom Srbija. Saobraaj izmeu lokacija e biti zatien IPSec-om, koji e se realizovati podizanjem virtuelnih tunel interfejsa. Cisco ruteri predvieni ovim reenjem, podravaju firewall, IPSEC, i ostale bezbednosne protokole i mehanizme. Rutiranje saobraaja unutar mree e biti realizovano podizanjem OSPF ruting protokola. Predvieno je da izlaz na internet bude obezbeen instalacijom linka na glavnoj lokaciji ( Beograd ), a ovim dizajnom je omogueno centralizovano reenje, u kojem mreni administrator ( IT odeljenje) lako moe pratiti i vriti nadzor celokupnog izlaznog i ulaznog eksternog saobraaja ( saobraaja ka i od interneta ). U okviru ovog reenja bie podignuti svi potrebni mreni servisi i protokoli neophodni za funkcionisanje mree zadatih uslova. Kao to je ve spomenuto, oprema e biti Cisco proizvoaa. Planirana je instalacija rutera na svakoj lokaciji, koji e biti povezani meusobno L3 MPLS VPN reenjem ( povezani sa provajderom optikim linkovima), a na svakoj lokaciji bie instalirana po dva L3 Cisco switcha.
U projektu koristimo sledeu opremu: C2911-VSEC/K9 --- Cisco ruter C2911, serije 2900 Cisco rutera, baziranih na preanjem iskustvu Cisco-a kao proizvoaa u pruanju integrisanih usluga. Cisco 2900 serija nudi hardversku enkrpciju, voice i video digitalne signalne procesore ( DSP moduli), opcioni firewall, sistem preventive napada ( IPS Intrusion Prevention System ), procesiranje poziva, glasovni e-mail sistem ( voicemail ), aplikativne servise, itd Ova serija, takodje podrava irok spektar opcionih modula i interfejsa za LAN, kao i za WAN/MAN arhitekture. Ono po emu se prozivodi ove serije izdvajaju su integrisani servisi ( voice, wireless, security , data center tehnologije, mobilnost ureaja, itd), visoke perforamnse, visok stepen modularnosti i mrene agilnosti, efikasno korienje elektrine energije, mogunost redundantnog napajanja,podrka za PoE ( Power Of Ethernet, prenos napajanja preko mrene infrastrukture,
8
etherneta) Cisco C2911-VSEC/K9 ruter je izabran, pored gore navedenog, zbog svojih mogunosti da podri sve protokole i servise potrebne za dizajn i konfiguraciju ovog mrenog reenja. Cisco C2911 podrava tri integrisana 10/100/100 Ethernet porta ( RJ-45 konektori), jedan servis modul slot, etiri WAN portova visoke brzine, dva DSP modula, jedan interni slot za aplikativne servise. Prua punu podrku za PoE reenje, integrisana bezbednosna reenja ( IPsec sa hardverskom enkripcijom , CBAC Firewall, IPS, ZBFW Firewall, Content Filtering reenje) i kompletne servise i protokole potrebne za instalaciju IP telefonije. Cisco 3560-48PS je izabrani model switcha u ovom projektu. Cisco 3560 serija switcheva je serija fixne konfiguracije, namenjena firmama koje imaju potrebu za inteligentnom mrenom infrastrukturom, svoje meto odlino pronalazi u pristupnom delu mree. Ima 48 10/100/100 Ethernet portova sa potpunom podrkom za PoE ( 802.3af ). Cisco 3560 ima podrku za L3 rutiranje saobraaja, implementaciju mehanizama za uspostavljanje kvaliteta servisa, multicast menadment kao i veliki broj bezbednosnih protokola i mehanizama. Kao ovakav Cisco 3560-48PS se idealno pokazao kao reenje za pristupni deo mree.
U glavi dva razmatra se povezivanje udaljenih lokacija Beograd, Ni i Novi sad, adresiranje unutranje mree i tehnologija LAN povezivanja.
U glavi tri razmatra se rutiranje internog saobraaja, koji je sproveden OSPF ruting protokolom kao i mane i prednosti kriptografskih reenja za protokol.
U glavi etiri razmatra se Contex-Based Access Control-Cisco IOS firewall set funkcija, njihova implementacija, konfiguracija, prednosti i ogranienja.
U glavi pet razmatra se bezbednost kontrole pristupa, RADIUS server i protokol, njhova implementacija i problemi sa protokolom RADIUS.
U glavi est razmatra se IPSec tehnologija, konfiguracija, reimi rada, uspostavljanje komunikacije i konfiguracija NAT-a.
U glavi sedam razmatra se zatita udaljenog pristupa ureajima SSh protokolom, konfiguracija protokola.
U glavi osam razmatra se L2 bezbednost, kao i konfiguracije ostalih protokola koji su konfiigurisani u projektu: Storm Control, DHCP snooping itd.
U glavi devet razmatra se implementacija i konfiguracija IP telefonije.
U glavi deset navedene su konfiguracije rutera i switcheva na udaljenim lokacijama (Beograd, Ni i Novi Sad).
9
2. Povezivanje udaljenih lokacija
Povezivanje izmeu udaljenih lokacija ( Beograd, Ni, Novi Sad), uspostavljena je uz pomo L3 MPLS VPN-a koji e se iznajmiti od Telekoma Srbije, prikazano na slici 2.1. L3 MPLS VPN kao servis, predstavlja reenje uz pomo kojeg klijenti ( u ovom sluaju udaljene lokacije ) dobijaju direktan link prema internet servis provajderu, objavljuju svoje interne mree ( koje ele da objave ka ostalim lokacijama ), zadravaju privatne opsege i izbegavaju potrebu za NAT-om ( Network Address Translation ), a u konfiguraciji rutiranja uestvuju potpuno samostalno ili uz pomo telekoma. MPLS kao tehnologija, prua mogunost internet servis provajderima da unificiranom mrenom infrastrukturom nude broj servisa svojim klijentima i korisnicima. MPLS je potpuno transparentan za krajne korisnike ( CE-Customer Equipment rutere ).
10
Sl.2.1. ema WAN povezivanja
11
2.1. Adresiranje Unutranja mrea e biti adresirana privatnim opsegom 10.0.0.0/8. Na svakoj lokaciji e biti 3 vlana ( Virtual Local Area Network), i to jedan vlan namenjen za data saobraaj unutar same lokacije, jedan za potrebe internet telefonije i jedan za menadment saobraaja ( mreni servisi podignuti na serverima ). Beograd
Vlan 11 data vlan -10.1.0.0/24 Vlan 12 voice vlan 10.1.1.0/24 Vlan 13 menagment vlan 10.1.2.0/24 Novi Sad Vlan 21 data vlan 10.2.0.0/24 Vlan 22 voice vlan 10.2.1.0/24 Vlan 23 menagment vlan 10.2.3.0/24 Ni Vlan 31 data vlan 10.3.0.0/24 Vlan 32 voice vlan 10.3.1.0/24 Vlan 33 menagment vlan 10.3.0.0/24
Obzirom da e izmeu lokacija biti podignuti virtuelni tunel interfejsi, radi uspostavljanja IPsec konekcije, potrebno je i njih adresirati.
Beograd - Novi Sad 10.12.0.0/24 Beograd - Ni 10.13.0.0/24 Novi Sad - Ni-- 10.23.0.0/24
12
2.2. Tehnologija LAN povezivanja
LAN svake lokacije e biti izdizajniran na sledei nain. Dva switcha e biti konektovani sa ruterom, i izmeu sebe uz pomo L2 EtherChannel tehnologije. EtherChannel tehnologija omoguava switch-evima da vise fizikih linkova spoje u jedan logiki (u ovom sluaju e biti iskorien maximum od 8 ethernet linkova brzine 100 Mbit/s), ime se postie ravnomerna raspodela saobraaja i potpuno iskorienje protoka linkova. Krajnje stanice e 100 megabitnim ethernetom biti povezane na switch, i ti portovi funkcioniu u access modu. I pored naizgled jednostavne fizike i logike topologije, gde ne postoji mogunost da se napravi petlja, spanning tree e biti implementiran. 802.1w ili Rapid Spanning Tree je protokol koji omoguava loop-free mrenu topologiju tako to jedan uredjaj u mrei postavi kao centralnu taku saobraaja, i topologiju bez redundantih putanja ime se dobija logika mrena topologija gde je mogunost petlje svedena na nulu. U sluaju promene, 802.1w konvergira i veoma brzo reaguje na promene. Za potrebe inter-vlan rutiranja ( preusmeravanje saobraaja izmeu lokalnih vlan-ova ) bie implementirani virtualni SVI interfejsi ( Switch Virtual Interface ). Svi interfejsi su logiki interfejsi koji se implementiraju u okviru VLAN-ova I koji su zadueni za inter-vlan komunikaciju. Na jednom od switcheva u svakoj od LAN mrea, bie konfigurisan VTP Server mod. VTP ( Vlan Trunking Protokol ), je protokol koji slui sa objavljivanje konfigurisanih vlanova kroz lokalnu mreu. VTP funkcionie u tri moda: server, klijent i transparent. Server mod objavljuje lokalno konfigurisane vlan-ove kroz mreu, klijent je sposoban samo da ui vlan konfiguracije koje server objavio, dok transparentan mod funkcionie sam za sebe u potpunosti, bez mogunosti da ui ili objavljuje lokalno konfigurisane vlanove. U svakoj LAN mrei na svakoj od lokacija, jedan switch e da radi u VTP server modu dok e drugi da radi u VTP kliejnt modu.
13
Sl.2.2. ema LAN povezivanja
Lan konfiguracija: Kreiranje VLAN-ova:
Switch3560(config)#vlan 11 Switch3560(config-vlan)#name Data vlan
Podesavanje VTP protokola i imena VTP domena ( parameter potreban za VTP komunikaciju):
Switch3560(config)#vtp mode server|client|transparent Switch3560(config)#vtp domain name Dunjainc
14
Konfiguracija 802.1w Spanning Tree parametara. Na jednom switch-u e biti spusten prioritet ( poetna vrednost prioriteta je 32768 ) kako bi preuzeo ulogu RSTP root-switch-a.
Switch3560(config)#spanning-tree mode rstp Switch3560(config)#spanning-tree vlan 11,12,13 priority 0
Interfejsi ka krajnjim hostovima e biti konfigurisani u access modu, i na njima e biti iskonfigurisan port-fast. Port-fast je nain da se linkovima koji vode ka krajnjim hostovima omogui brz pristup i uestvovanje u mrei, i da se zaobie konveregencija 802.1w Spanning Tree protokola.
Switch3560(config)#interface fa0/1 Switch3560(config-if)#switchport mode access Switch3560(config-if)#switchport access vlan 11 Switch3560(config-if)#spanning tree port-fast Switch3560(config-if)#no shutdown
Izmeu dva switcha, iskonfigurisan je Layer 2 EtherChannel. EtherChannel e biti trunk interfejs. Trunk interfejsi su interfejsi koji mogu prenositi saobraaj razliitih VLAN-ova. Enkapsulacija na ovim interfejsima e biti industrijski standardizovana 802.1q enkapsulacija.
Switch3560(config)#inteface port-channel 1 Switch3560(config-if)#no shutdown Switch3560(config-if)#channel-group 1 mode on Switch3560(config-if)#switchport mode trunk Switch3560(config-if)#switchport trunk encapsulation dot1q Switch3560(config)#interface range fa0/1 fa0/8 Switch3560(config-if)#no shut Switch3560(config-if)#channel-group 1 mode on
15
Konfiguracija SVI interfejsa radi inter-vlan komunikacije.
Switch3560(config)#interface vlan 10 Switch3560(config-if)#ip address 10.1.0.254 255.255.255.0 Switch3560(config-if)#no shutdown
3. Rutiranje, Napadi na OSPF i protivmere Rutiranje internog saobraaja e biti sprovedeno OSPF ruting protokolom. OSPF ( Open Shortest Path First) je standardizovan ruting protokol, iroko korien u IP mreama. OSPF je link-state ruting protokol koji rutiranje bazira na ceni linkova ( propusna mo, brzina linkova). Arhitektura samog protokola iziskuje potrebu za segmentiranjem ruting domena, zbog optimizacije celokupnog rutiranja i iskorienja hardverskih resursa samih ureaja. OSPF ovo postie konceptom area. Area je logiki domen rutiranja. Jo jedna prednost aree kao OSPF koncepta je ta to je tako omoguena adresna sumarizacija. Neophodno je implementirati jednu backbone areu ( Area 0 ), koja e u ovom sluaju biti implementirana od strane telekoma u okviru L3 MPLS VPN oblaka. Ostale lokacije e biti u zasebnim areama ( area 1,2,3). Obzirom da interna mrea ima jedan izlaz na internet, preko rutera u Beogradu, na njemu e biti konfigurisana default ruta, koja e potom biti objavljena kroz OSPF domen. Konfiguracija OSPF: Beograd :
Router2911(config)#router ospf 1 Router2911(config-r)#router-id x.x.x.x /definisanje OSPF identifikatora koji mora biti unikatan za svaki OSPF uredjaj u mrei Router2911(config-r)#network 10.0.0.0 0.255.255.255.255 area 1 Router2911(config-r)#area 1 range 10.1.0.0 255.255.0.0 Router2911(config-r)#default-information originate always /objavljivanje default rute kroz domen Router2911(config)#ip route 0.0.0.0 0.0.0.0 serial 0/0
16
Novi Sad :
Router2911(config)#router ospf 1 Router2911(config-r)#router-id x.x.x.x /definisanje OSPF identifikatora koji mora biti unikatan za svaki OSPF uredjaj u mrei Router2911(config-r)#network 10.0.0.0 0.255.255.255.255 area 1 Router2911(config-r)#area 2 range 10.2.0.0 255.255.0.0
Ni :
Router2911(config)#router ospf 1 Router2911(config-r)#router-id x.x.x.x Router2911(config-r)#network 10.0.0.0 0.255.255.255.255 area 1 Router2911(config-r)#area 3 range 10.3.0.0 255.255.0.0
Switch
Router2911(config)#router ospf 1 Router2911(config-r)#router-id x.x.x.x Router2911(config-r)#network 0.0.0.0 255.255.255.255.255 area x Router2911(config-r)#area x range 10.1.0.0 255.255.0.0 Zbog brze konveregencije u sluaju pada linka, tajmeri kojima ospf prepoznaje pad linka bie smanjenji kako bi se ceo process ubrzao. U sluaju potrebe, moe se i modifikovati OSPF cena linka.
Router2911(config)#interface fa0/0 Router2911(config-if)#ip ospf hello-interval 1 Router2911(config-if)#ip ospf dead-interval 3 Router2911(config-if)#io ospf cost 10
17
Kada koristimo link state protokole, svaki ruter radi fluding stanja svoje veze sa svojim susedima koji zauzvrat prosleuju informacije drugim ruterima u mrei. Rezultat toga je da svaki ruter ima informacije o vezama svih rutera u mrei, i na kraju ima sliku cele topologije mree. Open Shortest Path First (OSPF) je najpopularniji link state protokol. Operacije OSPF protokola se sastoje iz tri faze:
1. Sastati se sa susedima 2. Razmena informacija veze 3. Izraunavanje najkrae rute
Nakon sastanka OSPF suseda u fazi jedan, svaki OSPF ruter stavlja informacije stanja svog interfejsa i susedstva u link state oglaavanje (Link State Advertisement (LSA)) i radi fluding ruting domena u fazi 2. Fluding u LSA moe biti periodian i kad god informacija nosi promene (na primer kada se ukloni link). Nakon sakupljanja LSA-ova od suseda, ruter moe da gradi link state bazu koja predstavlja topologiju mree. U treoj fazi baza se koristi da izrauna najkrai put do destinacije. Faza dva je od kljunog znaaja za pravilnost ruting operacija. LSA je primljen, sadraj link state baze i izraunata najkraa putanja e postati netane.
3.1. Link state advertisement (LSA)
Polje starosti link-state-a odnosi se na starost LSA u sekundama. Vodei ruter i svi ruteri koji propagiraju LSA e poveati starost LSA. U vodeem ruteru prvobitno je postavljena na 0, i dodata nekom vrednou (definisana InfTransDelay-om) svakim skokom u flooding proceduri. LS starost je takoe uveana, kako se LSA nalazi u ruterovoj bazi podataka. Kada starost dostigne maksimalnu vrednost definisanu od MaxAge-a, smatra se da je zastareo i treba da bude obrisan iz baze rutera. Za Cisco rutere MaxAge je podeen na 3600 sekundi, mada to nije maksimalna vrednost na koju se polje moe podesiti. Kada ruter primi dve LSA instance koje imaju indentinu vrednost LS senkvencijalnog broja i kontrolnog zbira, LS polje starosti e biti ispitano. Instanca koja ima manju starosnu vrednost je prihvaena kao najnovija, osim u posebnom sluaju MaxAge-a. Instanca koja je dostigla starost MaxAge-a je uvek prihvaena. Da bi dozvolio starim LSA-ovima da budu brzo izbrisani iz domena rutera. Polje kontrolnog zbira LS-a koristi se da detektuje korupciju podataka LSA. Proraun kontrolnog zbira se zasniva na kompletnom sadraju, osim polja starosti LSA. On omoguava da starost LSA moe biti uveana bez auriranja kontrolnog zbira.
Postoji razlika izmeu LSA i LS instance. LSA je povezan sa odreenom vezom. Na primer ako ruter A ima link L do rutera B, ruter A mora da pokrene LSA opisujui taj link i flood
18
rutiranja domena. LSA moe biti jedinstveno indentifikovan od vrste LS-a, LS ID-a, i oglaavanja ruterovih ID polja. Prikazano na slici 3.1.
0 8 16 24 31
Starost LS-a Opcije Tip LS-a
LS ID
Matini Ruter
LS sekvencionalni broj
LS kontrolni zbir Duina
Sl.3.1. OSPF LSA zaglavlja
LSA instanca se odnosi na stanje odreenog LSA na odreeno vreme. Na primer, u vreme t1, ruter radi flooding LSA instance opisujui da je izdatak linka L 100; meutim kasnije, u vreme t2 ruter A menja izdatak linka L na 200, onda ruter A mora da radi flood druge LSA instance, navodei novi izdatak. Dakle u ruting domenu, moe biti nekoliko instanci LSA. Kako LSA instanca moe biti jedinstveno indentifikovana LS sekvencom, LS kontrolnim zbirom i Poljem starosti LS-a, da bi odredili koja je instanca skorija, ova tri polja moraju biti ispitana.
19
3.1.1. Kriptografsko reenje za Link State
Kriptografija je uobiajen pristup da se izbegne ubacivanje lanih LSA-ova od strane napadaa. U ovom odeljku su predstavljene neke od tehnika za odbranu OSPF mree koje su zasnovane na kriptografiji. U distance vector protokolima ruter rezimira primljene informacije od susednog rutera pre nego sto poalje svoje. U ovom sluaju nije mogue da se indentifikuje izvorni ruter na datoj mrei. Poto se izvor ne moe utvrditi, kriptografske tehnike se ne mogu koristiti da odrede autentinost izvora. Meutim u link state protokolima, ruter radi flooding svojih link state informacija svakom ruteru u mrei. to znai da svaki ruter u mrei dobija link state informacije od izvornog rutera. U ovom sluaju izvorni ruter moe biti indentifikovan, tako da se kriptografske tehnike mogu koristiti. Osnovna ideja obezbeenja link state protokola koristei kriptografske tehnike je da se doda digitalni potpis na svaki OSPF LSA. Ruter koji pone oglaavanje oznaava link state informacije (LSA) koristei privatni klju, i radi flood ostalim ruterima u mrei. Ruteri koji primaju informacije tada verifikuju potpis potpisanog LSA koristei privatni klju rutera koji oglaava. Ako verifikacija potpisa ne uspe, LSA e biti odbaen. Ako je verifikacija uspena, garantuje da dobijeni podaci nisu menjani tokom tranzita u mrei i da dolaze od rutera koji oglaava.
Primer konfiguracije MD5 kriptografije u OSPF-u:
Cisco2911(config)#interface serial0/0 Cisco2911(config-if)#ip ospf authentication message-digest Cisco2911(config-if)#ip ospf message-digest key 1 md5 CISCO
3.1.2. Specijalni tretman LS-a starosnog polja
LS starosno polje u OSPF LSA zaglavlju bie poveano svakim skokom tokom flooding procedure. Posto polje treba da se aurira od strane intermedijarnih rutera, generalno ne moe biti pokriveno u potpisu. Meutim ako polje nije zatieno, napadai mogu falsifikovati polje da srue ruting protokol. Jedan od primera ove vrste napada je MaxAge napad. Procedura napada MaxAge-a je sledea:
Kada napada primi LSA, promeni njegovu starost na MaxAge koji je po standardu 1 sat i radi flood modifikovanog LSA u mrei. Kada ostali ruteri prime modifikovan LSA, obrisae odgovarajui LSA iz svoje baze kao da je maksimalna starost dostignuta. Meutim u isto
20
vreme, matini ruter takoe prima modifikovani LSA od napadaa. Prema specifikacijama OSPFv2, matini ruter e uzvratiti tako to e generisati novi LSA sa tanim link informaicjama i novim sekvencionalnim brojem. Kao rezultat toga , ruteri koji su izbrisali link iz svoje baze primaju novi LSA koji im govori da je link zapravo dostupan. Ako napada nastavi da generie LSA-ove sa MayAge-om, mrea e postati nestabilna. Da bi zatitili starosno polje i spreili napad MaxAge-a, potpis moe zatititi starosno polje samo onda kada je starosna vrednost MaxAge. Drugim reima, MaxAge LSA-ovi moraju biti zatieni digitalnim potpisom.
3.1.3. Prednosti i mane
Upotreba digitalnog potpisa ima dve velike prednosti. Pored toga to osigurava da podaci stvarno dolaze samo od strane matinog rutera, osigurava i da podaci nisu modifikovani u tranzitu. Prema tome, naroito je koristan da oslabi razne naine napada na link. Sa druge strane, ako su primljeni netani podaci rutiranja, potpis pripojen podacima rutiranja moe se koristiti da nae izvor problema. Iako korienje digitalnog potpisa spreava napade na link, ne moe spreiti kompromitovan ili neispravan ruter od potpisivanja netanih ruting informacija koje e biti flood-ovane u mrei. Ipak teta bi bila minimalna. Kompromitovani ruter bi mogao da objavi sledee:
1. Link sa netanom metrikom
2. Link sa netanom tvrdnjom
3. Link koji zapravo ne postoji
Ne postoji nain da se zatite od prva dva sluaja, ali neeljeni efekti bi bili lokalizovani. U treem sluaju OSPF Dijkstra izraunavanje najkrae rute nee uzeti u obzor objavljeni nepostojei link, zato sto nema slinih objava od rutera na kraju tog linka. Druga ogranienja korienja digitalnog potpisa ukljuujui optereenje sistema, je zahtev PKI-a, kao I potrebne modifikacije protokola.
3.2. Hash Chains za Stable Link State (SLS)
Kriptografija sa javnim kljuem moe se koristiti u OSPF protokolu da obezbedi sigurnost mree. Bez obzira na efektivnosti, to zahteva skupe generacije i verifikacije digitalnih potpisa. To je vie problem za protokole rutiranja ukljuujui mnogo auriranja rutiranja, poto digitalni potpisi moraju biti generisani i verifikovani u realnom vremenu. Primeeno je da su u OSPF saobraaju, nakon auriranja rutiranja za promenu link, mnoge naknadne ispravke jednostavno ponovo izvetavaju o auriranju, i ne sadre nove informacije. Na osnovu ovog
21
posmatranja, reenje pod nazivom Stable Link State (SLS) je predloeno da smanji kriptografske trokove zajedno sa auriranjem rutiranja, procesiranjem i distribucijom.
Kljuna ideja SLS-a je da se koristi jedan lanac heeva kao tokeni za auntentifikaciju. Da bi generisali lanac hea,prvo mora biti kreiran sluajan tajni kvantitet R. Kvantitet R je heovan n puta koristei jaku jednosmernu he funkciju H, kao to su SHA i MD5. Uzastopne he vrednosti mogu se lanati na sledei nain: H1(R), H2(R), ?, Hi(R), ?, Hn(R) gde je Hi(R) = H(Hi - 1(R) ).
SLS reenje kreira dve nove aurirane link-state poruke: Anchor Link State Update (ALSU) I Chained Link State Update (CLSU). ALSU je potpisan i koristi se kad god je link state izmenjen ili je trenutni lanac hea iscrpljen, dok je CLSU nepotpisan, i koristi se kada nema izmene link state-a ali CLSU mora biti poslat.
ALSU uglavnom sadri:
n duina lanca Hn(R)- Anchor vrednost Vremenska oznaka- za vremenske intervale LSU- uobiajene informacije sadrane u OSPF LSU koje zapravo opisuju link state Digitalni potpis- za upotrebu autentifikacije
CLSU uglavnom sadri:
i indeks koji poziva broj ispravki posle ALSU Hn i (R) odgovarajua vrednost hea Vremenska oznaka za vremenske intervale
CLSU ne sadri potpis. Svrha toga je da se smanji dodatno procesiranje potpisa.
Generisanje i verifikacija ALSU-a:
ALSU je generisan kada vor detektuje promenu link state-a ili kada je trenutni lanas hea prazan. ALSU je digitalno potpisan od strane matinog rutera tako da je integritet skoka osiguran. Nakon uspene verifikacije potpisa, prijemni ruteri skladite u lokalu anchor vrednost, Hn(R), i ostale parametre noene u primljenom ALSU za buduu upotrebu verifikacije.
Generisanje i verifikacija ALSU-a:
Nakon slanja ALSU-a, CLSU je generisan ako nema promene link state-a, ali novi LSU treba biti poslat. Svaki CLSU sadri indeks i i odgovarajui Hn-i(R). Indeks ukazuje na broj ispravki posle originalno potpisanog ALSU-a, i Hn-i(R) se koristi za autentifikaciju.
Na primer ako predpostavimo da je n = 5 , prvi CLSU sadri i = 1 i H(R), drugi CLSU sadri i = 2 i H3(R), i tako dalje.
22
Ako je i vee od n, he lanac se smatra osiromaenim, i novi ALSU mora biti generisan. Kada ruter primi CLSU, nema potrebe za verifikacijom potpisa (poto CLSU nije digitalno potpisan). Umesto toga prijemni ruter verifikuje CLSU tako to proverava H(Hn-i(R)) = Hn-i+1(R). Na primer ako predpostavimo da je n = 5, kada ruter primi CLSU koji sadri i = 1 i H4(R) , on proverava H(H4(R)) = H5(R).
Primer Predpostavimo da je duina hash chain-a 5, matini ruter A, izraunava hash chain na osnovu sluajne koliine R. U vreme T1, ruter A detektuje promenu stanja Linka 1, on alje ALSU (za link 1) koji sadri vrednost H5(R) svom susedu, ruteru B. Nakon uspene verifikacije potpisa ruter B belei parametre koje nosi ALSU. Kasnije u vreme T2 ruter A mora da poalje novi LSU opisujui stanje Linka 1. Poto nema promene linka, ruter A generie CLSU koji sadri: indeks i = 1 (nagovetavajui da je to prva promena od poslenjeg ALSU-a) H4(R) (odgovarajua he vrednost). Nakon to je primio CLSU, ruter B ga verifikuje tako to rauna he od primljenog H4(R) i poredi rezultat sa uskladitenim H5(R). Ako je verifikacija uspena, stari parametri e biti zamenjeni onim koji su sadrani u ovom CLSU za buduu upotrebu verifikacije. Istovetno, sledei CLSU sadri H3(R) i ruter B ga verifikuje proveravanjem H(H3(R)) = H4(R). Ako predpostavimo da stanje linka nije promenjeno od vremena T1 i da su poslate etiri CLSU poruke koristei H4(R), H3(R), H2(R), i H1(R), naizmenino. Sada je dostignuta hash chain duina n = 5, i smatra se da je lanac istekao. Tako da ruter A mora da kreira novi hash chain koristei nova svojstva na primer R i da generie novi ALSU sa sledei izmenjeni interval. Na slici 3.2. je prikazan primer koji ilustruje operaciju SLS-a.
23
Proveriti da li: Da se zameni
Sl.3.2. Operacija SLS-a
24
3.2.1. Prednosti i mane
Glavna prednost ovog metoda je nizak stepen upotrebe dodatnih operacija. Dodatne operacije koje se koriste za generisanje CLSU-a su zanemarljive. To je zbog toga to su vrednosti hea, H4(R), su unapred izraunate. Sa druge strane, verifikacija CLSU-a je minimalna zato to se izraunava samo jedna vrednost hea. Samo treba proveriti ako je H(Hn-1(R)) = Hn-1+1(R), koji se moe tumaiti kao H(ova primljena vrednost hea) = poslednjoj uskladitenoj vrednosti hea. Poto upotreba CLSU-a ne zahteva skup proraun potpisa ili verifikaciju potpisa, to znaajno smanjuje dodatne operacije koje se koriste u tradicionalnoj emi digitlanog potpisa. Meutim kad kod ima promene stanja linka, novi ALSU mora biti generisan. Poto su ALSU-ovi potpisani, ako je link promenljiv mnogo ALSU.ova e biti generisano. U tom sluaju, bie visok stepen prorauna potpisa, i prednost SLS-a e biti umanjena.
3.3. Hash Chains za Fluctuating Link State
SLS ema koristi prednost situacije, poto mnogo LSU-ova su jednostavno ponovljeni iskaz, tako da ne nose nove informacije. Meutim efektivno je samo ako je stanje veze stabilno. U mreama gde se link esto menja predloena je ema Fluctating Link State (FLS).
Koncept i operacije FLS-a su sline onima od SLS-a. Glavna razlika je ta to SLS koristi jedan hash chain, a FLS koristi dva hash chain-a za svaki incidentni link. Jedan lanac je za gornje stanje a drugi je za donje stanje linka. De razliite funkcije hea se koriste za ova dva lanca. Na primer he funkcija F je za donji lanac poto je he funkcija Hza gornji lanac. Sa druge strane svaki link koristi jednistven i sluajno generisan kvantitet, R1. Tako da ako ruter ima k incidentnih linkova, a duina lanca je n, tada ruter generie he tabelu koja sadri (nxkx2) he vrednosti. Raspored tabele je prikazan na slici 3.3.
25
Sl.3.3. Tabela hash chain-a
Generisanje i verifikacija ALSU-a:
ALSU koji se koristi u FLS-u uglavnom sadri:
nodeID - jedinstven ID za svaki vor rutera vremenska oznaka - za vremenske intervale Hn(R1), Fn(R1),,- Set anker vrednosti za sva stanja i sve linkove
Hn(Rj), Fn(Rj),, Hn(Rk), Fn(Rk)
LSU - uobiajena informacija noena u OSPF LSU koja opisuje stanje linka Digitalni potpis za upotrebu autentifikacije
Glavna razlika izmeu ovog ALSU-a i onog koji se koristi u SLS-u je to ovaj sadri set anker vrednosti za sva stanja i sve linkove. Po prijemu ALSU-a, prijemni ruter prvo verifikuje potpis. Ako je uspeno i vremenski interval se smatra sveim, informacije noene u ALSU-u e biti uskladitene.
Generisanje i verifikacija CLSU-a:
Ako matini vor mora da poalje novo auriranje, on generie CLSU. CLSU koji se koristi u FLS-u uglavnom sadri:
nodeID - jedinstven ID za svaki vor rutera vremenska oznaka - za vremenske intervale i - indeks koji se odnosi na broj izmena posle ALSU-a LSF - Link State Flag LSV - Link State Vector
LSF i LSV su vana polja za prijemne rutere za odreivanje promena linka. Pod predposavkom da postoje k linkovi, L1Lk, definisani su kao:
Link 1
Link j
Link k
Gornji
Donji Gornji Donji Gornji Donji
H1(R1) : Hj(R1) : Hn(R1)
F1(R1) : Fj(R) : Fn(R1)
H1(Rj) : Hj(Rj) : Hn(Rj)
F1(Rj) : Fj(Rj) : Fn(Rj)
H1(Rk) : Hj(Rk) : Hn(Rk)
F1(Rk) : Fj(Rk) : Fn(Rk )
26
LSF = [L1 stanje, ,Lj stanje,, Lk stanje]
LSV = [LS(1),, LS(j),, LS(k)]
Hn-1(Rj) ako je Lj stanje = UP Gde LS(j) = Fn-1(Rj) ako je Lj stanje = DOWN
Na primer, ako je k=3, n=4, i=2, i stanja linkova su up,down, i up, odnosno LSF i LSV postaju:
LSF[UP, DOWN,UP]
LSV[H2(R1), F2(R2), H2(R3)]
Svaki prijemni vor skladiti informacije preanjeg CLSU-a, oznaen kao CLSUp, i LSVp, gde je p=i-1. Po prijemu CLSU-a, prijemni ruter obavlja:
1. Trai trenutni pristup za nodeID, i potvruje sveinu izmene na osnovu vremenske oznake.
2. Proverava d ali su stanja veze koja su noena u trenutno primljenom CLSU promenjena. To se postie tako to se poredi sa CLSUp.
Ako je stanje ne promenjeno, izraunava se:
Hi-1(LS(j)) ako je Lj stanje UP
Fi-1(LS(j)) ako je Lj stanje DOWN
i poredi sa predhodno uskladitenom vrednou u LSVp; odbacuje se na osnovu nepodudaranja.
Ako je stanje nepromenjeno, izraunava se:
Hi(Hn-1(Rj)) ako je Lj stanje UP
Fi(Fn-i(Rj)) ako je Lj stanje DOWN
i poredi sa odgovarajuim vrednostima u LSVn (koji je noen u ALSU i skladiten je lokalno); odbacuje se na osnovu nepodudaranja
3. Nakon toga, primljeni LSV zamenjuje prednodni link state vector (LSVp)
27
Primer Prvo, ruter A izraunava he vrednosti svojih konetktovanih linkova (Link 1 i Link 2). Predpostavimo da je duina lanca 4, sa dva linka i dve he funkcije, postoje 4x2x2=16 he vrednosti. Onda ruter A generie ALSU u T1, koji sadri hash chains za link 1 i link 2 za svoj susedni ruter B. ALSU takoe sadri ID i vremensku oznaku matinog rutera, i ceo proces je zatien potpisom matinog rutera. Nakon uspene verifikacije potpisa rutera A, ruter B skladiti informacije noene u ALSU, koje se koriste za verifikaciju sledeeg CLSU-a. Predpostavimo da u T2, Link 2 pada. Ruter A tada generie CLSU svom susedu za najnovije informacije stanja linka. Poto su stanja Linka 1 i Linka 2 naizmenino up i down, LSF i LSV za ovaj CLSU postaju:
LSF=[UP, DOWN]
LSV=[H3(R1),F3(R2)].
Po prijemu CLSU-a, ruter B poredi primljeni LSF i uskladiteni LSF i pronalazi da je stanje Linka 1 nepromenjeno, ali stanje Linka 2 je promenjeno. Dakle, za Link 1 izraunava se H1[H3(R1)] i poredi se sa predhodno uskladitenim H4(R1). Za Link 2, izraunava se F1[F3(R2)] i poredi se sa predhodno uskladitenim F4(R2).
Nakon ovog prorauna i uspene verifikacije primljenog CLSU-a, predhodno uskladiteni LSF i LSV e biti zamenjeni ovim upravo primljenim. Na slici 3.3. je prikazan primer FLS operacija.
28
Proveriti:
Proveriti:
Sl.3.4. FLS operacije
29
3.3.1. Prednosti i mane
Glavna prednost FLS eme u odnosu na SLS emu je to to nema potrebe za skupim proraunima potpisa, ili verifikacije potpisa iako ima promena stanja linka. Prema tome znaajno moe da smanji dodatnu obradu informacija koja se bavi digitalnim potpisom ak i ako link i vorita variraju. Ipak u odnosu na SLS enu, potrebne su dodatna memorija i snaga obrade he vrednosti.
4. Context-Based Access Control (CBAC) - Cisco IOS firewall set funkcija Izabrani ureaji u mrei, pruaju ogromne mogunosti za uspostavljanje bezbednosnih mehanizama i implementacije bezbednosnih protokola. U mrei e biti implementiran Cisco CBAC router firwall koji e zatiti ruter u Beogradu od upada i napada na mreu sa interneta. CBAC, kao firewall reenja, prua visok stepen inteligentne zatite mrene infrastruktura. Inteligentnom obradom saobraaja na najviem nivou ( Layer 4 Layer 7 ), CBAC pamti i zapisuje uspostavljene konekcije, i u sluaju malicioznog ponaanja odreenih paketa i konekcija ( iznenadno menjanje portova u TCP konekciji, dug period uspostavljana konekcije, veliki broj otvaranja konekcije ka specifinom hostu ), CBAC prekida konekciju i zabranjuje sumnjive paketa na odredjeni vremenski period. Pored intelignetne filtracije saobraaja, pamenja konekcija, i brzih, pravovremenih reakcija na napade, CBAC takodje odlino prepoznaje razne vrste napada, meu kojima su i DDOS napadi. CBAC ima i mogunost da sarauje sa aplikativnim proxy serverima. CBAC prati i dozvoljava samo one protokole i samo onaj saobraaj koji mreni administrator odredi, ostali su eksplicitno zabranjeni. Kao i svaki statefull firewall ( to CBAC i jeste ), povratni saobraaj, koji nema malicioznu tendenciju, se proputa u internu mreu.
30
Konfiguracija CBAC:
Router2911(config)#ip inspect name FWALL (protocol) / potrebno je definisati i imenovati CBAC security polisu i odrediti protokole koje e CBAC nadgledati i obezbedjivati. Pozeljno je pored UDP, TCP I ICMP saobraaj, definisati sve specificne protokole koji prolaze kroz mreu ( DNS, HTTP, Citrix, SNMP). Router2911(config)#ip inspect tcp synwait-time x/ interval koji CBAC eka da se uspostavi tcp konekcija pre nego to je zabrani Router2911(config)#ip inspect tcp finwait-time x /interval koji je potreban da prodje posle primanja TCP FIN paketa pre nego to konekcija bude odbaena Router2911(config)#ip inspect tcp idle-time x / period neaktivnosti tcp sesije koji je potreban da se ona prekine Router2911(config)#ip inspect udp idle-time x /period neaktivnosti udp sesije koji je potreban da se ona prekine Router2911(config)#ip inspect max-incomplete high/low X /maksimalan broj poluotvorenih sesija
4.1. Glavne funckije CBAC-a
Operacije CBAC-a se sastoje od tri glavne fukncije ukljui inspekciju paketa, odravanje tabele stanja i auriranje ulaza access - liste.
Inspekcija paketa odvija pod uslovom da je paket proputen kroz bilo koju relevantnu acces-listu. To ukljuuje:
1. dolazei ACL iz interne mree ili;
2. odlazei ACL u spoljnu mreu,
CBAC takoe mora biti konfigurisan da bi mogao inspektovati ovaj tip paketa. Treba odrediti interfejs i pravac gde bi inspekcija terbalo da se odvija. Bilo koji paket koji je odbijen od strane access-liste je jednostavno izbaen i nee biti inspektovan. CBAC koristi inspekciju paketa i odravanje sesije informacija da se pobolja operacija access-liste da bi bila u stanju da uradi sledee:
CBAC prati TCP senkvence brojeva i isputa pakete sa neoekivanim sekvencama brojeva.
31
CBAC e prepoznati specifine komande nekih aplikacija koje se mogu koristiti za napade na aplikativnom nivou, i blokirae te pakete.
CBAC kontrolie UDP sesije pribliavajui se sesiji informacija korienjem UDP podeavanja pasivnog tajmauta.
Tajmaut i granine vrednosti se koriste za upravljanje sesijom stanja informacija i vaan su deo IOS firewall seta funkcija. CBAC koristi tajmaut i granine vrednosti za indentifikovanje sesija koje nisu potpuno uspotavljene, prouzrokojui da te sesije budu odbaene. CBAC moe samo da inspektuje protokole koji su specifikovani u skupu pravila za inspekciju, tako da mogunost za zatitu od DOS napada se proiruje samo na navedene protokole u setu pravila. Pratei inspekciju paketa, CBAC kreira ulaz tabele stanja ili auriranje postojeih unosa da ukljui informacije o stanju sesije. Bilo koji saobraaj koji se vraa u mreu iz spoljnog izvora je dozvoljen na osnovu vaee sesije informacija koje se nalaze u tabeli stanja. Informacije sesije u tabeli stanja se konstantno auriraju kako saobraaj prolazi kroz firewall. Ulazi access-liste se dodaju ili briu dinamiki od strane CBAC na osnovu informacija sesije koje su sadrane u tabeli stanja. Ulazi se ubacuju i briu kako se informacije sesije menjaju. Otvori koji su napravljeni u access-listama su samo privremeni i odravaju se samo dok je sesija validna. Pre nego to inspekcija saobraaja pone CBAC pravila inspekcije moraju biti kreirana i dodata na interfejs. CBAC pravila inspekcije se kreiraju i dodaju na interfejs, da li na dolazei ili odlazei, na isti nain kao i access-liste. Kada paket pokua da inicira konekciju CBAC e koristiti skup pravila pregleda da utvrdi da li paket treba biti pregledan i sesija stanja praena.
4.2. Proces CBAC-a
Cisco System istraivanja o CBAC, navodi sled dogaaja u vie detalja, kao to sledi:
Paked stie na ruterov spoljni interfejs Ruter ispituje paket i proverava ih uz bilo koju dodatu access-listu na bilo kojim
interfejsima kojima paket treba da proe, i stoga proputa ili odbacuje paket. Paket je pregledan od strane CBAC ako pravilo postoji, i informacija o stanju
konekcije paketa se snima u novoj tabeli stanja koja je kreirana za ovu konekciju. Ako nema odreenog pravila za pregled paketa tog tipa, onda se jednostavno prosleuje ili odbacuje u skladu sa bilo kojom odgovarajuom access-listom.
CBAC onda kreira privremene prolaze u ulaznoj access-listi na spoljnom interfejsu da bi dozvolio povratni saobraaj za ovu konekciju. Ove stavke se odravaju, dodaju ili uklanjaju na osnovu promena stanja konekcije kao u kreiranoj tabeli tabeli stanja. Access lista koja je modifikovana mora biti proirena access-lista.
32
Odlazni paket se prosleuje iz spoljnog interfejsa Bilo koji povratni paketi za istu konekciju su opet dozvoljeni kroz spoljni interfejs
zato to su otvaranja napravljena u unutranjosti access-listi od strane CBAC. Povratni paketi su pregledani od strane CBAC i stoga se tabela stanja se aurira.
Dalje modifikacije mogu biti napravljene access-listi da odraava trenutno stanje konekcije.
Tabela stanja je obrisana i b ilo koji ulazi u unutranjosti access-liste ove konekcije su obrisani po zavretku ili pauze sesije.
4.3. Podrani protokoli
CBAC mora biti konfigurisan za pregled protokola koje elimo da budu pregledani sa liste podranih protokola. Pregledanje paketa nee poeti dok se ne kreira IP lista pregleda, koja ukljuuje protokole ili sesije koje elimo da budu pregledane. Lista se ona doda na interfejs. Neki paketi ili sesije mogu biti dozvoljene kroz firewall od strane postojee ruterove access-liste ali nisu pregledani od strane CBAC-a. To moe biti ili da nisu navedene na uvid u liste inspekcije ili nisu iz dostupnih lista protokola. I dalje su u stanju da uspostave sesiju i da rade kroz firewall ali nee biti nadgledanja niti revizije nijednog stanja sesije.
Cisco System istraivanja o CBAC navodi podrane protokole kao to sledi; CBAC se moe konfirgurisatu da pregleda sledee tipove sesije;
Sve TCP sesije, nezavisno od protokola aplikativnog sloja Sve UDP sesije, nezavisno od protokola aplikativnog sloja
Sledei protokoli aplikativnog sloja mogu biti precizirani za pregled:
CU-SeeMe ( samo white pine verzija) FTP H.323 HTTP (Java blocking) Microsoft NetShow Unix R-commands RealAudio RPC (Sun RPC) Microsoft RPC SMTP SQL*Net StreamWorks TFTP VDOLive
ICMP je esto potreba usluga za mnoge mree ali nije podran protokol za CBAC pregled. Ovo je primer protokola koji, ukoliko elimo da ga dozvolimo da proe kroz firewall,
33
mora da se upravlja od strane tradicionalnih access-lista. CBAC e i dalje dozvoliti protokolu da proe kroz firewall ali nee pratiti ili pregledati stanje sesije, i pratea revizija koja bi mogla da bude omoguena, e se odrati.
Potrebno je napraviti access-listu koja e zabranjivati sav nepotreban saobraaj osim ako nije prvo proao kroz firewall inspekciju. Access liste su stateless metod filtracije saobraaja, koje funckioniu po principu poreenja odreenih polja u paketima sa konfigurisanim parametrima.
Konfiguracija access-liste za ICMP:
Router2911(config)# access-list 100 deny tcp any any Router2911(config)# access-list 100 deny udp any any Router2911(config)# access-list 100 permit icmp any any echo-reply Router2911(config)# access-list 100 permit icmp any any time-exceeded Router2911(config)# access-list 100 permit icmp any any packet-too-big Router2911(config)# access-list 100 permit icmp any any traceroute Router2911(config)# access-list 100 permit icmp any any unreachable Router2911(config)# access-list 100 deny ip any any
Na interfejsu koji vodi ka internetu bie implementirani access lista i unapred definisana firewall polisa. Router2911(config)#interface serial0/0 Router2911(config-if)#ip access-group 100 in Router2911(config-if)#ip inspect FWALL out
34
4.4. Prednosti i ogranienja CBAC-a
CBAC ima niz prednosti nad perimetnim ruterom baziranim na IOS-u koji koristi ACL da kontrolie spoljni pristup unutranjoj mrei. Stateful inspekcija paketa prua vie sveobuhvatne i fleksibilne alternative za kontrolu protoka saobraaja nego access-liste, dok se osposobljava Cisco IOS firewall za osnovnu detekciju i prevenciju napada, na primer DoS napadi mogu biti inndentifikovani i blokirani. CBAC kontrolisane sesije i naknadne izmene na access-listama su dinamine i privremene. To znaajno smanjuje period vremena za koje je protok saobraaja dozvoljen u mrei, smanjujui trajanje bilo kakvih propusta za taj tip sesije. Funkcija upozorenja i revizorskog ispitivanja omoguava sveobuhvatno evidentiranje statistika sesije i moe se koristiti u kombinaciji sa host-based i network-based za detekciju upada za povezivanje informacija i indentifikaciju pokuaja napada. U okruenjima gde protok saobraaja u velikoj meri potie iz untranjosti mree sposobnost CBAC-a da se dinamiki auriraju access-liste omoguava znatno jau kontrolu, jau konfiguraciju access-liste i potencijalno manje administrativne trokove za upravljanje spoljnim access-listama.
CBAC ima brojna ogranienja koja mogu ograniiti njegovu efektivnost u odreenim okolnostima. CBAC podrava samo saobraaj IP protokola tako da se samo TCP i UDP paketi pregledaju. ICMP saobraaj se ne pregleda i mora biti omoguen uobiajenim access-listama. CBAC nee pregledati pakete gde je izvorna ili odredina adresa sam firewall, pristup ruteru sa spoljne mree mora biti strogo kontrolisan sa tradicionalnim access-listama. Kompabitilnost CBAC-a sa nekim drugim Ciscovim bezbednosnim funkcijama je ograniena zato to CBAC nije u stanju da precizno ispita teret enkriptovanog saobraaja koji prolazi kroz firewall i podrka za pregled protokola je dodatno ograniena ako su CBAC i enkripcija konfigurisani na samom firewall-u. CBAC radi samo sa IPSec-om ako je firewall krajnja taka IPSec-a za protok saobraaja, CBAC ne moe pregledati zaglavlje IPSec paketa koji prolazi kroz firewall. Redudantni IOS firewall-i nisu podrani jer stanje firewall sesije je unutar samog rutera. Kada su omogueni, Cisco IOS Firewall set funkcija utiu na korienje resursa sistema, i mora se osigurati da ruter ima dovoljno memorije i procesorske snage da bi zadovoljio zahteve performansi.
35
Bez obzira koliko je dobra konfiguracija CBAC-a, ruter je otvoren za napad ako nije instaliran softver za firewall. Politika bezbednosti takoe terba da bude napisana i aurirana, da bi se formirala osnova konfigurisanja bezbednosti na samom ruteru, i takoe treba konfigurisati CBAC politiku za inspekciju. Bez obzira da li konfigurisani Cisco IOS firewall radi na perimetnom ruteru ili ima odvojeni firewall i dalje treba misliti o tom ruteru kao odvojenom ureaju od firewall-a i primeniti principe dubinske odbrane , radi osiguravanja bezbednosti na svim nivoima mree. Perimetni ruter i firewall rade zajedno da bi poboljali bezbednost mree i obezbedili odbranu perimetra. Izgradnja Cisco IOS firewall instalacije na bezbedno konfigurisanom eksternom ruteru je od sutinske vanosti jer:
1. CBAC se oslanja na efektivnost konfiguracije access-lista na ruteru i
2. CBAC ne moe pregledati saobraaj sa izvorne ili odredine adrese rutera.
To znai da se ne moe osloniti na CBAC da obezbedi bilo kakvu sigurnost za sam ruter.
36
5. Bezbednost kontrole pristupa
Kontrola pristupa je sistem koji omoguava autoritet koji e da kontrolie pristup oblastima i resursima u datom fizikom objektu ili IT sistemu.
Postoje tri komponente kontrole pristupa:
Odreivanje kome je dozvoljen pristup mrei Odreivanje kojim servisima mogu pristupiti Prua detaljne raunovodstvee evidencije o servisima kojim se pristupalo
Kontrola pristupa e biti implementirana uz pomo radius servera i AAA mehanizma. AAA mehanizam je Ciscov nain da centralizuje kompletno reenje pristupa mrei. AAA vri tri funkcije, autentifikaciju, autorizaciju i akaounting. Lokalno iskonfigurisane polise daju ruteru mogunost da komunicira sa eksternim radius serverom postavljenim u mrei. Korisnici koji pristupaju ureajima budu autentifikovani, autorizovani i sav njihov rad na ureajima se belei na radius serveru. Radius server se instalira na server jedinici, i potrebno je uspostaviti UDP konektvnost izmeu servera i samih Cisco ureaja. Konfiguracija kontrole pristupa: Router2911(config)#aaa new-model Router2911(config)#radius-server host x.x.x.x /ip addresa radius servera Router2911(config)#aaa authentication login default radius local Router2911(config)#aaa authentication attempts login 3 Router2911(config)#aaa authorization exec default radius Router2911(config)#aaa authorization commands default radius Router2911(config)#aaa accounting exec default start-stop Router2911(config)#aaa accounting commands default start-stop 5.1. RADIUS (Remote Authentication Dial In User Service) RADIUS je AAA protokol tj. protokol koji se koristi za proveru indentiteta korisnika, njihovu autorizaciju i obraun usluga korisnicima. Najee se primenjuje zaproveru indentiteta korisnika na mrenim ureajima, ruterima i modemima, koji zbog ogranienih hardverskih resursa kojim raspolau, ne mogu da uvaju veliki broj parametara zaproveru identiteta razliitih korisnika. RADIUS ima i mehanizam centralizovanog administriranja korisnika, to je jako pogodno u okruenjima gde treba administrirati mnogo korisnika. Ukoliko se uz to u obzir uzme i injenica da se protokol RADIUS danas smatra de facto standardom za daljinsku
37
proveru identiteta korisnika, veina proizvoaa mrene opreme, zbog toga, u svoje ureaje ugrauje podrku za RADIUS. RADIUS se zasniva na troslojnoj klijent/server arhitekturi i koristi usluge UDP protokola transpotrnog sloja (portovi 1812 i 1813 za proveru indentiteta). ISP zahteva da se unese korisniko ime i lozinka. Te informacije se alju preko protokola PPP serveru za pristup mrei tj. NAS ureaju (Network Access Server). NAS ureaj alje te podatke RADIUS serveru preko protokola RADIUS. RADIUS server pomou PAP, CHAP ili EAP protokola proverava da li su podaci koji su zadati ispravni. Ukoliko su uneti podaci, server e odobriti pristup mrei, tj. posalti odgovor NAS ureaju koji e dalje dodeliti IP adresu i odgovarajue parametre. RADIUS server takoe moe biti obaveten o poetku i zavretku sesije korienja mree, to omoguava naplaivanje usluga prema vremenu korienja, a podaci o korienju mree mogu se dalje upotrebiti za statistiku analizu. RADIUS je incijalno razvila kompanija Livingstome Enterprises za svoju Port-Master seriju servera za pristup mrei, ali je kasnije (1997. godine) objavljen u dokumentima RFC 2058 i RFC 2059 (Tekue verzije su RFC 2865 i RFC 2866). Trenutno postoji nekoliko RADIUS serverskih paketa- neki su komercijalni, a neki pripadaju kategoriji softvera sa otvorenim kodom (open source). Ovi serverski paketi su slini po tome to je veina sposobna da uva podatke o korisnicima u obliku tekstualnih datoteka, razliitih baza podataka ili na LDAP serverima, kao da i informacije o korienju usluga izvozi u tekstualne datoteke ili razne baze podataka. Treba uzeti u obzir da je RADIUS proiriv, to veini proizvoaa RADIUS hardvera i softvera omoguava da implementiraju protokol shodno svojim potrebama.
Sl.5.1. RADIUS
38
Protokol RADIUS se koristi u sigurnosnom satandardu za beine mree 802.1x. Iako mu to nije osnovna namena, u sprezi sa protokolom EAP znaajno poveava nivo sigurnosti u odnosu na WEP standard.
5.2.Protokol RADIUS Klijent i server razmenjuju podatke preko RADIUS paketa enkapsuliranih u UDP paketima protokola transportnog sloja. Jedan RADIUS paket sadri sledee polja:
Kod (code). Polje duine jednog bajta na osnovu vrednosti definie tip RADIUS paketa- npr, zahtev za pristup mrei (Access- Request) ili prihvatanje pristupa (Access Accept).
Identifikator (indentifier,ID). Polje duine jednog bajta koji omoguava jednoznanu indentifikaciju parova zahtev - odgovor.
Duina (lenght). Polje duine dva bajta koje odreje veliinu paketa. Autentifikato (Authenticator). Vrednost koja se koristi za proveru ispravnosti
odgovora koji alje RADIUS server i za zatitu korisnike lozinke. Atributi (Attributes). Deo paketa u kome se nalaze proizvoljni atributi koji pripadaju
samoj sesiji (zahtevu ili odgovoru). Jedini obavezni atributi su korisniko ime i lozinka u zatienom obliku (User-Name i User-Password). Ostali atributi su opcioni.
Primer Tipian postupak provere identiteta u protokolu RADIUS NAS (RADIUS klijent) eli da na RADIUS serveru proveri parametre identiteta (korisniko ime i lozinku) korisnika koji moe da prostupi bazi podataka sa opisima korisnika. Na osnovu korisnikog zahteva, RADIUS klijent alje RADIUS serveru upit sa navedenim korisnikim imenom i lozinkom. Na osnovu postavljenog upita, server obrauje korisniki zahtev i - zavisno od projavljenih parametara- alje klijentu odgovarajui paket. Na osnovu sadraja primljenog paketa NAS server korisniku dozvoljava ili zabranjuje pristup resursima. Detaljnije, provere identiteta odvija se na sledei nain: Klijentov zahtev Kijent zapoinje sesiju generisanja zahteva (RADIUS Access-Request paket), Koji obavezno sadri dva atributa korisnika: User- Name i User-Password. Bajt identifikacije (ID) tog paketa klijent bira proizvoljno (algoritam za generisanje ovog broja nije zadat u protokolu). Paket takoe sadri vrednost Request Authenticator u polju Autentifikator. Ta vrednost je takoe 16-bajtni niz koji generie generator pseudo sluajnih sekvenci. Algoritam generisanja ovog niza znaajan za sigurnost ovog protokola, ali tip generatora nije zadat u protokolu i odreuje se pri konkrtenoj implementaciji protokola. RADIUS paket nije zatien ni na koji nain izuzev atributa User-Password koji je ifrovan. Na primer ako je K tajni klju koji dele klijenti servera, a RA pseudo sluajna vrednost Request Authenticator. Lozinka se deli na 16-bajtne blokove p1,,pn, pri emu se poslednji blok po potrebi dopunjuje nulama. Dalje se radi sledee:
c1 = p1 xor MD5 (S + RA) c2 = p2 xor MD5 (S + c1) cn = pn xor MD5 (S + cn-1)
Zatieni atribut User-Password dobija se spajanjem dobijenih blokova c1,..,cn.
39
Serverov odgovor Nakon primljenog zahteva, server proverava da li postoji tajni klju koji deli sa RADIUS klijentom. Ako server ne poseduje tajni klju tog klijenta, zahtev se odbija. Ukoliko takav klju postoji, server deifruje vrednost atributa User-Password i dobija korisniku lozinku. Nakon toga server proverava ispravnost lozinke; ukoliko je lozinka validna, server klijentu vraa paket Access-Acept. Lozinka ne odgovara paru korisniko ime-lozinka koji server uva u svojoj bazi, klijentu se alje paket Access-Reject kojim se odbija nastavak provere indentiteta. U oba sluaja vrednost polja ID paketa koji server alje, indentina je toj vrednosti u kijentovom zahtevu. Vrednost atributa Response Authenticator dobija se primenom MD5 he funkcije na vrednost Resposne Authenticator klijentovog zahteva. Obrada serverovog odgovora Kada primi odgovor, klijent proverava da li su vrednosti u poljima ID zahteva i odgovora identine, i na osnovu toga odreuje da li se odgovor zaista odnosi na njegov zahtev. Nakon toga se proverava polje Response Authenticator primljenog paketa. Klijent generie svoju vrednost na isti nain i uporeuje je sa dobijenom; ukoliko se vrednosti razlikuju, odgovor se smatra neregularnim i sesija se prekida. Ako je klijentu vraen Access-Accept RADIUS paket ispravnog sadraja, korisniko ime i lozinka smatraju se regularnim; Klijent smatra da je identitet korisnika uspeno proveren i odobrava mu pristup mrenim resursima. Ukoliko je klijentu vraen Access- Reject RADIUS paket ispravnog sadraja, korisniko ime i lozinka smatraju se neregularnim, pa klijent ne dozvoljava korisniku da pristupi mrenim resursima.
5.2. Problemi sa protokolom RADIUS Pri upotrebi protokola RADIUS javlja se nekoliko pitanja o sigurnosti, koje su posledica arihkteture i implementacije protokola. Kao prvo, postavlja se pitanje o adekvatnosti algoritma za zatitu korisnike lozinke. Za ifrovanje lozinki ne sme se koristiti algoritam koji pripada grupi protonih algoritama; algoritam korien uprotokolu RADIUS, naalost, pripada toj grupi i kao generator pseudo sluajnih sekvenci koristi MD5 he funkciju koja se, u ovom sluaju, smatra neprikladno odabranim alatom. Dalje, upit Access-Request koji se alje serveru ne sadri nikakav element koji e omoguiti RADIUS serveru da proveri identitet klijenta. Dovodi se u pitanje i prediktivnost (predvidivost) generatora sluajnih brojeva za generisanje atributa Request Authenticator. U sutini, sigurnost koju protokol RADIUS prua najvie zavisi od kvaliteta algoritma, za generisanje atributa Request Authenticator. Ukoliko elimo da obezbedimo sigurnost pomou protokola RADIUS, pomenuti atribut mora biti jedinstven i nepredvidljiv. Poto sama specifikacija protokola ne ukazuje na vanost postupka generisanja ovog atributa, ponekad se koriste loe i povrne implementacije mehanizma za generisanje pseudosluajnih sekvenci. Trenutno ne postiji protokol koji bi potpuno zamenio RADIUS, tj. protokol koji je
40
kompatibilan sa njim ali je sigurniji i reava sve pomenute porbleme. U skorije vreme zamena bi mogla biti protokol Diameter (za razliku od RADIUS-a, koristi usluge TCP protokola na transportnom sloju). Diamater je jo uvek u fazi razvoja.
6. IPSec IPsec. Saobraaj izmeu samih lokacija e biti zatien IPsec tehnologijom. U trenutnim poslovnim okruenjima, kritino je da korporativne mree, konektovane na globalne mree, imaju maksimalno zatien saobraaj. IPsec, kao framework, nudi maksimalnu zatitu podataka, kao vid kreiranja bezbednih virtuelnih privatnih mrea. Dizajniran je da prui kriptoloku bezbednost visokog kvaliteta i performansi. IPsec je skup protokola koji slue za autentifikaciju i enkripciju IP paleta u dvosmernoj komunikativnoj sesiji. Bezbednost IP saobraaja je omoguena tako to sam sistem bira skup unapred predefinisanih bezbednosnih protokola i polisa, koji posle obavljaju slozene matematike funkcije koje obezbeuju selektovan saobraaj. IPsec moe biti upotrebljen da se zatiti jedan ili vie kanala komunikacije izmeu para hostova, para bezbednosih ureaja ili para bezbednosnih ureaja i hosta. U bezbednosne ureaje spadaju razne vrste firewall-ova, VPN koncetratora i svih ostalih ureaja ija je funkcija da omogue mrenu i sistemsku bezbednost. Jednostavno reeno, IPsec omoguava sigurne tunele izmeu dva hosta (u ovom sluaju dva rutera). Definie se koji paketi se smatraju od kritine vanosti za zatitu i koji bi trebalo da se poalju kroz sigurne tunele, i mreni administrator definie parametre kojim bi paketi trebalo biti zatieni. Onda, kada IPsec host primeti senzitivan paket, konstruie sigurni kanal komunikacije, tunel, i alje tako zatien paket kroz taj tunel. Ti tuneli se isto tako nazivaju bezbednosne asocijacije (SA Security Association). SA definie koji protokoli i algoritmi trebaju biti primenjeni na senzitivne pakete, kao to definiu sistem razmene kljueva kao i same kljueve. SA je skup algoritama i parametara koji moraju da budu isti na obe krajnje take tunela. Izbor samih parametara,mehanizama i algoritama je na IPsec administratorima. U cilju odluke koja i koji nivo protekcije se pridodaje selktovanom paketu, IPsec koristi SPI parameter (Security Paramer Index), index koji je pokaziva na SADB (Security Association Database), koji zajedno sa destinacionom IP adresom paketom , kreira jedinitstvenu bezbednosnu asocijaciju za taj paket. IPsec u svojoj osnovi koristi tri protokola AH, ESP i IKE. AH (Authentication Header) se koristi da se omogui connectionless integritet i autentifikacija izvora paketa. AH takodje prua zatitu od replay napada. AH je definisan kroz RFC 2402. AH je mehanizam koji omoguava jak integritet i jaku autentifikaciju IP datagrama. AH ne omoguava enkripciju, tako da korisnici koji ele da kripituju saobraaj, moraju da se odlue za ESP. ESP (Encapsulating Security Payload), pored mogunosti AH, daje mogunost i enkripcije samih paketa. Trei protokol u okviru IPseca je IKE (Internet Key Exchange). IKE je hibridan
41
protokol koji uzima deo Oakley-a i deo drugog protokol skupa koji se zove Skeme unutar ISAKMP (Internet Security Association and Key Menagment Protocol) framework-a. IKE se koristi da bi se uspostavila deljena bezbednosna polisa i razmena samih kljueva. IKE radi u dve faze. U fazi jedan dva ISAKMP hosta uspostavljaju siguran, autentifikovan kanal kojim komuniciraju koji se naziva ISAKMP SA. IKE faza dva je zaduena sa samu razmenu kljueva. U projektu e biti implementiran IPsec izmeu svake od tri lokacije upotrebom predefinisanih kljueva. Prvo je potrebno ukljuiti ISAKMP kao protokol na ruteru.
Cisco2911(config)#crypto isakmp enable Sledei korak e biti definisanje ISAKMP polise. U okviru jedne polise, moe se definisati vie parametarnih mapa za definisanje same ISAKMP SA. ISAKMP polisa se definie na sledei nain: Cisco2911(config)#crypto isakmp policy 110 Cisco2911(config-isakmp)#encryption des|3des|aes Cisco2911(config-isakmp)#hash md5|sha Cisco2911(config-isakmp)#authentication pre-share Cisco2911(config-isakmp)#group 1|2|5 Cisco2901(config-isakmp)#lifetime 36000 Sledee to je potrebno je konfigurisati predefinisani klju. Definie se ime kljua i adresa hosta sa kojim se uspostavlja lokacija. Predefinisani klju se koristi da se identikfikuje i autentifikuje IPsec tunel. Klju moe biti bilo koji string. | Cisco2901(config)#crypto isakmp key cisco1234 address 10.12.0.2 Dalje se konfigurie IPsec polisa koja se jo i naziva transform-set. Transform-set predstavlja odreenu kombinaciju bezbednosnih protokola, algoritama i ostalih opcija za IPsec obezbeivanje saobraaja. Transform-set je u stvari skup protokola (AES,MD5,SHA) koji tite realan saobraaj. Tokom IPsec SA pregovaranja, hostovi se dogovore o odreenom transform-setu koji e da koriste za odreeni tok podataka. Mogue je definisati vie transform-setova i specificirati jedan ili vie transform-set u crypto mapi (mapa koja se koristi
42
za objedinjavanje kroz konfiguraciju). Da bi se uspostavila pravilna security polisa potrebno je da bar jedna polisa u okviru transform seta bude ista na peer-ovima. Primer konfigurisanog t-seta : Cisco2911(config)#crypto ipsec transform-set CISCO esp-des esp-md5-hmac Definisanje globalnog perioda vazenja IPsec SA: Cisco2911(config)#crypto ipsec security-association lifetime seconds 36000 Potrebno je definisati interesantan saobraaj koji se odreuje access-listom. Interesantan saobraaj je onaj saobraaj koji treba biti zatien kroz tunele. Poslednje to treba uraditi je kreirati crypto mape i iskonfigurisati ih na virtuelne GRE interfejse. U okviru crypto mape nalaze se sledeei parametri : interesantan saobraaj, adresa IPsec peer-a, lokalna adresa koja e biti iskoriena za IPsec saobraaj, koji transform-setovi trebaju da se iskoriste za taj saobraaj, ostali parametri koji mogu biti od manje ili vee vaznosti. Primer. Definicija interesantnog saobraaja: Access list 110 permit ip 10.1.0.0 0.0.255.255 10.2.0.0 0.0.255.255 Cisco2911(config)#crypto map MYMAP 110 ipsec-isakmp Cisco2911(config-crypto-map)#match address 110 Cisco2911(config-crypto-map)#set peer 10.12.0.2 Cisco2911(config-crypto-map)#set transform-set CISCO Cisco2911(config-crypto-map)#set security-accociation lifetime seconds 36000 Zadnja stavka zadatka je povezati mapu sa virtuelnim interfejsom:
Cisco2911(config)#interface tunnel 12 Cisco2911(config-if)#crypto map MYMAP
TCP/IP je skup protokola koji je prihvaen kao de facto standard za mrenu komunikaciju u veini dananjih raunarskih mrea. Internet, kao globalna mrea, zasnovan je na skupu
43
protokola TCP/IP, pri emu je IPv4 protokol Internet sloja. U verziji 6 protokola IP (IPv6) ispravljeni su neki nedostaci protokola IPv4. Jedan od osnovnih nedostataka skupa protokola TCP/IP jeste nepostojanje zatitnih mehanizama kojima bi se osigurao integritet podataka koji se prenose mreom i proveri identitet uesnika u komunikaciji. IPSec- skup proirenja protokola IPv4 koji obezbeuje osnovne sigurnostne aspekte mrene komunikacije su privatnost, integritet, provera identiteta i neporecivost. IPSec pored toga to je proirenje protokola IPv4 je integralni deo protokola IPv6. Poto se integrie sa IP protokolom, IPSec implementira sigurnosne mehanizme mrene komunikacije na mrenom sloju OSI referentnog modela, odnosno na Internet sloju skupa protokola TCP/IP, slika 6.1.
ISO OSI TCP/IP Protokoli
Sl.6.1. Mesto protokola IPSec u skupu protokola
44
IP protokol obezbeuje komunikacioni kanal sa kraja na kraj i ne zavisi od niih slojeva. IPSec se moe koristiti bez obzira na nain implementacije fizikog sloja i sloja veze. Komunikacioni ureaji na putu izmeu dva entiteta ne moraju podravati IPSec. Protokoli transportnog sloja koriste sigurnosne usluge koje obezbeuju Ipsec, to znai da svi podaci koji se prenose posredstvom TCP i UDP protokola, kao i ICMP poruke, mogu koristiti sigurni komunikacioni kanal koji obezbeuje IPSec. Upotreba IPSec protokola transparentna je (nevidljiva) za vie slojeve skupa protokola TCP/IP. To znai da aplikacije koriste ove usluge bez obzira na svoju funkcionalnost. IPSec definie informacije koje se moraju dodati IP paketu kako bi se obezbedili privatnost, integritet, provera identiteta i nain ifrovanja sadraja paketa. Pri radu, IPSec koristi sledee protokole i standarde:
Diffie-Hellmanov protokol za razmenu kljueva izmeu dva uesnika u komunikaciji, algoritme za digitalno potpisivanje komunikacije pri Diffie-Hellmanovoj razmeni
kljueva kako bi se potvrdio identitet oba uesnika u komunikaciji i izbegla mogunost napada tipa ovek u sredini.
AES, 3DES i DES simtrine algoritme za ifrovanje HMAC (Hashing Message Authentication) u sprezi sa algoritmima MD5 i SHA, digitalne sertifikate koje je potpisao odgovarajui autoritet.
IPSec podrava dva reima rada: prenosni (transport mode) i tunelovanje (tunnel mode).
U prenosnom reimu rada ifruju se samo podaci tj. punjenje IP paketa, dok IP zaglavlja ostaju u originalnom obliku (otvoreni tekst). Zaglavlja viih slojeva (npr, sloja aplikacije) ifrovane su, a mogunost pregledanja paketa je ograniena. Prednost ovog reima rada je to to se svakom paketu dodaje svega nekoliko okteta. U ovom nainu rada, ruteri mogu na javnoj mrei videti adrese izvorita i odredita poruka, to potrncijalnom napadau delimino omoguava da analizira mreni saobraaj.
Drugi reim rada IPSec je IP tunelovanje, pri kome se koristi poseban olik IP paketa. Tunel ine klijent i server koji su konfigurisani da koriste IPSec tunelovanje i unapred dogovorene mehanizme za enkapsulaciju i ifrovanje kompletnih IP paketa, to obezbeuje potpuno siguran prenos preko javnih ili privatnih mrea. ifrovani podaci se spajaju sa odgovarajuim neifrovanim IP zaglavljima, formirajui tako IP pakete koji se na kraju tunela deifruju i obliku u IP pakete namenje krajnjem odreditu.
45
6.1. IPSec protokoli
IPSec se implementira pomou dva meusobno nesavisna protokola. AH (Authentication Header) obezbeuje usluge integriteta, provere identita i neporecivost, dok ESP (Encapsulated Security Paylod) osim toga obezbeuje i privatnost podataka koji se prenose. Oba protokola AH i ESP, modifikuju standardni oblik IP paketa ko je prikazan na slici 6.2.
IP zaglavlje
TCP zaglavlje
Podaci
Sl.6.2. Standardni obik IP paketa
6.1.1. Protokol AH
Protokol AH Definisan je u dokumentu RFC 2402. AH obezbeuje sigurnosne usluge provere identiteta, integriteta i neporecivosti IP paketa, ali ne moe obezbediti privatnost. Protokol je definisano AH zaglavlje koje se smeta izmeu IP zaglavlja i podataka koji slede. Specifinost protokola AH je to to on, za razliku od ostalih TCP/IP protokola, ne enkapsulira podatke iz protokola kojima prua uslugu. Na slici 6.3. prikazano je zaglavlje; sva polja ovog zaglavlja su obavezna.
Sl.6.3. AH zaglavlje
46
Sledee zaglavlje (next header). Osmobitno polje za identifikaciju tipa podataka koji slede nakon AH zaglavlja. Polje sadri vrednost koja oznaava IP protokole (npr, 6-TCP, 17-UDP, 50-ESP).
Duina punjenja (Payload Length). Duina punjenja izraena brojem 32-bitnih rei, umanjenim za vrednost 2.
Rezervisano (Reserved). Polje duine 16 bitova rezervisano za budue potrebe postavlja se na vrednost 0.
Skup sigurnosnih parametara (Security Parameters Index). Ovo polje duine 32 bita sadri proizvoljnu vrednost, koja uz IP adresu i sigurnsosni protokol (u ovom sluaju AH) definie jedinstven skup sigurnosnih parametara (Security Association- SA) koji se koristi u sigurnoj komunikaciji izmeu dva entiteta. ESA skup sigurnosnih parametara definie se prilikom uspostavljanja IPSec veze. Vrednost iz intervala 1-255 rezervisala je IANA za buduu upotrebu..
Redni broj (sequence number). Polje duine 32 bita koje slui kao zatita od napada ponavljanjem paketa. Poveava se prilikom svakog slanja paketa koji ima identian SA skup sigurnosnih parametara. Poiljalac mora da generie ovo polje, a primalac moe, ali ne mora da ga interpretira. Na poetku komunikacije ovo polje se postavlja na vrednost 1.
Podaci za proveru identiteta (Authentication Data). U polju koje sadri podatke za proveru identiteta nalazi se ICV vrednost (Integrity Check Value) na osnovu koje se proverava integritet i autentinost poruke. Duina tog polja je promenljiva ali mora biti celobrojni umnoak 32-bitne rei. Ukoliko polje samo po sebi ne ispunjava taj uslov proizvoljnim nizom bitova dopunjava se do duine n x 32 bita. Vrednost ICV-a se rauna na osnovu svih polja IP zaglavlja koja se ne menjaju prilikom prenosa, itavog AH zaglavlja (koje je za tu potrebu postavljeno na vrednost 0), i svih podataka protokola vieg sloja. ICV moe biti kod (code) za proveru identiteta poruke (Message Authentication Code), izraunat pomou simetrinih algoritama za ifrovanje ili rezultat he funkcija. Algoritam koji se upotrebaljava za raunanje ICV-a definie se prilikom uspostavljanja komunikacije i deo je SA skupa sigurnosnih parametara.
47
6.1.2. Protokol ESP
Protokol ESP definisan je u dokumentu RFC 2406. ESP obezbeuje sigurnosne usluge provere identiteta, integriteta, neporecivosti i privatnosti podataka. Protokol definie ESP zaglavlje koje se u IP paket smeta posle IP zaglavlja, enkapsulira sve podatke iz protokola vieg sloja i dodaje zavrni slog u koji se mogu smestiti podaci za proveru identiteta. Na slici 6.4. prikazan je ESP paket sa odgovarajuim poljima u zaglavlju.
Sl.6.4. ESP paket
Skup sigurnosnih parametara (Security Parameters Index). Polje duine 32 bita u kome se, isto kao i u zaglavlju prtotokola AH, definie jedinstven SA skup sigurnosnih parametara (odreene prilikom uspostavljanja komunikacije) koji se koristi u komunikaciji izmeu dva entiteta. Kao i u zaglavlju protokola AH, vrednost od 1 do 255 reservisane su za buduu upotrebu.
Redni broj (Sequence Number). Ovo polje duine 32 bita slui, kao i u AH zaglavlju, za zatitu od naada ponavljanjem paketa, a poveava se prilikom svakog stanja paketa koji ima identitan SA skup sigurnosnih parametara. Poiljalac mora da generie ovo polje, a primalac moe, ali ne mora da ga interpretira. Na poetku komunikacije ovo polje se postavlja na vrednost 0 (to se razlikuje od AH zaglavlja u kome se koristi inicijalna vrednost 1).
Podaci i dopuna (Payload Data). Ovo polje proizvoljne duine sadri podatke IP paketa i dopunu. U polju mogu biti smeteni i podaci koji su nuni za kriptografsku sinhronizaciju (kao to je incijalizacioni vektor- IV), ukoliko to zahteva kriptografski algoritam koji se koristi. Dopuna se koristi iz dva razloga, prvi je da neki algoritmi ifruju blokove fiksne duine, to znai da deo ESP paketa u kome su smeteni podaci treba dopuniti do odgovarajue duine, a drugi je da razlozi implementacije- ukupna
48
duina polja podaci, dopuna, duina dopune i sledee zaglavlje treba da bude celobrojni umnoak 32-bitne rei.
Duina dopune (Padding Length). Ovo 8-bitno polje odreuje duinu (izraenu u broju okteta) predhodno koriene dopune. Dozvoljene vrednosti su od 0 do 255; vrednost 0 oznaava da dopuna ne postoji.
Sledee zaglavlje (Next Header). Sledee zaglavlje je kao i u protokolu AH 8-bitno polje koje identifikuje tip podataka koji sledi posle ESP zaglavlja. Polje sadri vrednosti iz definisanog skupa brojeva koji oznaavaju IP protokole.
Podaci za proveru identiteta(Authentication Data). Ovo polje proizvoljne duine nije obavezno, a koristi se samo kada je u SA skupu sigurnosnih parametara specificirana usluga provere identiteta. U tom sluaju, ovo polje sadri ICV koji se izraunava za ceo ESP paket (ESP zaglavlje, podaci i dopuna) izuzev polja namenjenog podacima za proveru identiteta. Duina ovog polja zavisi od primenjenog algortma za proveru identiteta.
6.2.Reimi rada
IPSec definie dva osnovna reima rada: transportni reim i tunelovanje. Oba protokola, AH i ESP, mogu se koristiti u transportnom reimu ili za tunelovanje. Ukoliko je potrebno dodatno podii nivo sigurnosti, moe se koristiti i kombinacija oba protokola.
6.2.1. Transportni reim rada
Transportni reim rada namenjen je prvenstveno za uspostavljanje sigurne komunikacije izmeu dva entiteta, tj. za komunikaciju izmeu raunara u privatnim LAN ili WAN mreama. U transportnom nainu rada potrebno je da obe krajnje take komunikacije (izvor i odredite) podravaju IPSec. Korienjem protokola AH i ESP mogu sepostii razliiti aspekti sigurne komunikacije.
Protokol AH. AH zaglavlje se dodaje odmah iza IP zaglavlja (slika 6.5.) . U tom sluaju polje protokol u IP zaglavlju sadri vrednost 51 (AH), dok polje sledee zaglavlje u AH zaglavlju sadri vrednost koja odgovara enkapsuliranom datagramu iz vieg sloja (npr. 6 za TCP segment). Kao to se na osnovu slike moe zapaziti AH u transportnom reimu obezbeuje proveru identiteta, integriteta i neporecivost celog IP paketa.
49
IP
Zaglavlje
IPSec AH zaglavlje
TCP zaglavlje podaci
proveren identitet
Sl.6.5. AH u transportnom reimu rada
Protokol ESP. U transportnom reimu rada ESP osigurava integritet, proveru identiteta, neporecivost i privatnost podataka koji se prenose. Ukoliko se za IPSec koristi ESP, polje protokol u IP zaglavlju sadrae vrednost 50 (ESP), a polje sledee zaglavlje - vrednost koja odgovara enkapsuliranim podacima iz vieg sloja, isto kao u protokolu AH. Iza enkapsuliranih podataka ESP dodaje dopunu, a opciono (ukoliko je u SA skupu sigurnosnih parametara specificirana i provera identiteta) polje podaci za proveru identiteta. Na slici 6.6. prikazan je ESP u transportnom reimu rada.
IP zaglavlje
IPSec ESP zaglavlje
TCP zaglavlje podaci
ESP dopuna
ESP aut. podaci
ifrovano
proveren identitet
Sl.6.6. ESP u transportnom reimu rada
Kao to se vidi sa slike, svi podaci iz vieg sloja (ukljuujui i ESP dopunu) ifrovani su. Takoe, moe se uoiti da za razliku od protokola AH, koji proverava identitet celog IP paketa (ukljuujui i IP zaglavlje) - ESP provera identiteta vlastitog zaglavlja i podataka, ali
50
ne i identitet IP zaglavlja, ime je teorijski ostavljena mogunost neovlaene izmene IP zaglavlja.
ESP + AH. Ah obezbeuje integritet, proveru identiteta i neporecivost celog IP paketa, a ESP privatnost podataka, i opciono integritet, proveru identiteta i neporecivost podataka i ESP zaglavlja. Ukoliko je potrebno da se dostigne veoma visok nivo zatite, to jest da se osigura privatnost podataka iprovera identiteta, integritet i neporecivost celog IP paketa, koriste se ESP i AH zajedno. U tom sluaju polje protokol u IP zaglavlju sadrae vrednost 51 (AH). Nakon toga slede: AH zaglavlje, ije polje sledee zaglavlje sadri vrednost 50 (ESP) i ESP zaglavlje ije polje sledee zaglavlje sadri vrednost koja oznaava onaj protokol vieg sloja iz kog su podaci enkapsulirani u tako formiranom paketu. 6.7. prikazuje IPSec u transportnom reimu rada kada se istovremeno koriste ESP i AH. Treba napomenuti da se prvo formira ESP deo paketa, to jest ifruju se podaci sa transportnog sloja i formira odgovarajue ESP zagavlje. Posle toga se rauna vrednost AH zaglavlja i formira se zaglavlje. U ovom sluaju, ESP deo paketa ne sadri opciono polje podaci za proveru identiteta, poto provera identiteta, integritet i neporecivost obezbeuje AH.
IP zaglavlje
IPSec AH zaglavlje
IPSec ESP zaglavlje
TCP zaglavlje podaci
ESP dopuna
ifrovano
proveren identitet
Sl.6.7. ESP + AH u transportnom reimu rada
51
6.2.2. Tunelovanje
Tunelovanje je drugi reim rada IPSec protokola, u kome IPSec slui za uspostavljanje sigurne komunikacije izmeu mrenih prolaza (Gateway) na udaljenim mreama (Gatway- to- Gateway), obezbeujui tako virtelnu privatnu komunikaciju, to jest uspostavljajui VPN mreu izmeu udaljenih lokacija. U ovom sluaju krajnji entiteti u komunikaciji ne moraju da podravaju IPSec. Za njih je itava komunikacija transparentna (nevidljiva) jer se sve operacije neophodne za sigurnu komunikaciju obavljaju u mrenim prolazima. Mreni prolazi na udaljenim mreama predtsvljaju ulaznu, odnosno izlaznu taku sigurnog komunikacionog kanala. Oni formiraju siguran tunel kroz nesiguran medijum (internet) - zbog toga se taj nain rada i zove tunelovanje slika (6.8.).
Sl.6.8. Tunelovanje
Tunelski nain rada mogue je i u komunikaciji raunar-raunar ili raunar-mreni prolaz, ali tada krajnji entiteti (odnosno entitet) moraju podravati IPSec. Za razliku od transparentnog naina rada, gde se AH, odnosno ESP zaglavlja dodaju u postojei IP paket, pri tunelovanju se formira potpuno nov IP paket koji enkapsulira kompletan originalni IP paket. Dva entiteta komuniciraju na sledei nain:
52
1. Poiljalac formira IP paket i alje ga preko lokalne mree lokalnom mrenom prolazu.
2. Mreni prolaz enkapsulira originalni IP paket nov paket i formira odgovarajua AH, odnosno ESP zaglavlja.
3. Tako formirani paket alje se preko uspostavljenog tunela do mrenog prolaza na udaljenoj mrei, koji uklanja dodatna zaglavlja, i po potrebi deifruje paket i proverava njegov integritet.
4. Nakon toga se originalni IP paket isporuuje odreditu.
Kao i u transportnom nainu rada, mogua je i implementacija IPSec-a korienjem protokola AH i ESP.
AH. Ukoliko je potrebno da se obezbede samo integritet, provera identiteta i neporecivost poruka, a privatnost nije nuna, koristi se protokol AH. U tom sluaju originalni IP paket, koji sadri adresu krajnjeg odredita, enkapsulira se u nov IP paket kojem se dodaje odgovarajue AH zaglavlje (slika 6.9.) Tada polje protokol novog IP zaglavlja , koje sadri adresu krajnje
