You are on page 1of 81

Pasywne i aktywne mechanizmy

ochronne sieci komputerowych

Łukasz Bromirski

l.bromirski[at]mr0vka.eu.org
http://mr0vka.eu.org

Organizacja wykładu
„ Podstawy zagadnień bezpieczeństwa
„ Protokoły sieciowe wg. modelu ISO
ze względu na bezpieczeństwo
„ Wprowadzenie do kryptografii
„ Topologie sieci i mechanizmy
zwiększające ich bezpieczeństwo
„ Ataki, nadużycia, narzędzia

Bezpieczeństwo
„ Internet
„ Polityka bezpieczeństwa
„ jasna
„ wyszczególnienie osób funkcyjnych i
zakresu odpowiedzialności
„ wyszczególnienie elementów sieci oraz
ich roli w funkcjonowaniu i
bezpieczeństwie sieci

Bezpieczeństwo
„ Podstawowe problemy
„ bezmyślność i beztroska w zarządzaniu
uprawnieniami i kontami
„ brak administrowania i nadzoru, nadzór
nieregularny lub wykonywany przez
osobę niekompetentną
„ błędy w oprogramowaniu

http. social engineering) .Bezpieczeństwo „ Co może być potencjalnym celem? „ dane „ serwery usług (np.. ftp.) „ routery „ systemy przechowujące i przetwarzające dane „ ludzie (ang.. dns.

Bezpieczeństwo „ Kto może być wrogiem? „ ktoś z firmy (wróg wewnętrzny) „ ktoś spoza firmy (wróg zewnętrzny) .

whitehats.com) .Bezpieczeństwo „ Twarze zza barykady „ script kiddies „ hakerzy „ white hats (http://www.com) „ gray hats „ black hats (http://www.blackhats.

Bezpieczeństwo „ Bezpieczeństwo oprogramowania – closed vs open source „ dostępność kodu – ocena możliwości i sposobu działania. wyeliminowanie możliwości pozostawienia „tylnych drzwi”. urealnienie oświadczeń twórcy „ szybkość reagowania na dziury/błędy – dostępność oprogramowania. ich dostępność i jakość . szybkość publikowania poprawek.

com) .1x/9x Windows 97 42 NT/2000 (źródło: www.securityfocus.Bezpieczeństwo „ Dziury w systemach operacyjnych OS 2000 2001 FreeBSD 36 17 NetBSD 20 9 OpenBSD 17 14 Slackware 11 10 Solaris 22 33 Windows 40 14 3.

LoveLetter) • pliki – poczta (Sircam.Zagrożenia „ Wirusy „ charakterystyka • działanie niszczycielskie • rozmnażanie się „ ewolucja • assembler – C/C++ (Yankee Doodle. Melissa) „ Melissa – 1 mld $ ’99. LoveLetter 9 mld $ ‘00 . Badtrans.

Nimda.Zagrożenia „ Robaki internetowe „ charakterystyka „ sposób działania • poczta elektroniczna (np. stacheldracht) „ straty – CodeRed 2-4 miliardy dolarów . Trinoo. CodeRed) „ cel działania • obciążanie sieci (DoS/DDoS) • działalność destrukcyjna i rozmnażanie się • zdalna kontrola (np. Nimda) • aktywny atak (np.

różne podejścia „ script kiddie „ amator „ haker .Zagrożenia „ Różne filozofie.

Organizacja wykładu „ Podstawy zagadnień bezpieczeństwa „ Protokoły sieciowe wg. narzędzia . modelu ISO ze względu na bezpieczeństwo „ Wprowadzenie do kryptografii „ Topologie sieci i mechanizmy zwiększające ich bezpieczeństwo „ Ataki. nadużycia.

Model ISO .

Model ISO IP .

Model ISO TCP .

Model ISO UDP .

address mask .ICMP „ Dwie klasy komunikatów: „ komunikaty o błędach: • destination unreachable. source quench. parameter problem „ zapytania: • echo.Model ISO . redirect. information. time exceeded. timestamp.

narzędzia . modelu ISO ze względu na bezpieczeństwo „ Wprowadzenie do kryptografii „ Topologie sieci i mechanizmy zwiększające ich bezpieczeństwo „ Ataki. nadużycia.Organizacja wykładu „ Podstawy zagadnień bezpieczeństwa „ Protokoły sieciowe wg.

Certificate Authority) „ Podpis cyfrowy . Public Key Infrastructure) „ Publiczne Standardy Kryptograficzne – PKCS (ang. Public Key Cryptographic Standards) „ Autorytet Certyfikujący – CA (ang. keyspace) „ Szyfrowanie symetryczne „ Szyfrowanie z kluczem publicznym „ Infrastruktura Klucza Publicznego – PKI (ang.Wprowadzenie do kryptografii „ Przestrzeń klucza (ang.

hijacking „ IETF tworzy RFC2401 .IPsec .narodziny „ Narodziny IPSec – słabości IP „ sniffing „ spoofing.

IPsec .architektura „ AH (Authentication Header) • RFC2402 „ ESP (Encapsulated Payload) • RFC2406 „ IKE (Internet Key Exchange) • RFC2409 .

integrity) „ poufność (ang.IPsec – co zapewnia? „ uwierzytelnianie (ang. authentication) „ integralność (ang. confidentiality) .

IPsec – Security Association „ Security Association (SA) opisuje: „ adres urządzenia (IP/nazwa) „ transform set: używany protokół IPSec. algorytm szyfrowania „ czas ważności klucza i wartości progowe IKE „ listę kontroli dostępu (ACL) „ identyfikator SPI danego SA „ numer sekwencji danych w strumieniu . algorytm uwierzytelniania/kontroli.

IPsec - pakiet .

IPsec - ESP .

IPsec - AH .

algorytmów i kluczy „ uwierzytelnienie partnera „ zarządzanie kluczami „ wymiana informacji służących do generowania kolejnych kluczy .IPsec – protokół IKE „ Co zapewnia? „ negocjacje protokołów.

IPsec – protokół IKE „ Dwie fazy: „ stworzenie bezpiecznego kanału wymiany informacji „ negocjację odpowiednich algorytmów i SA .

IPsec – przykład 1 .

IPsec – przykład 2 .

193.2-193.193.193. IPSEC_ESP „ nat/firewall „ Ustawienie SA dla połączenia: setkey -c spdadd 193.193.IPsec – FreeBSD „ Konfiguracja systemu „ kernel: IPSEC.193.193.193.1 any -P out ipsec ah/transport/193.193.193.2 193.1-193.193.193.193.193.2 any -P out ipsec ah/transport/193.193.193.193.193.2 193.193.193.1 any -P out ipsec esp/transport/193.2-193.1/require spdadd 193.1 193.193.2/require spdadd 193.193.1/require .193.193.193.

„ Konfiguracja IKE – automatyczna: „ racoon ( /usr/ports/security/racoon ) „ isakmpd ( /usr/ports/security/isakmpd ) .193.193.193.2 193. add 193.1 esp 2000 -m transport –E des-cbc „12345678” .IPsec – FreeBSD „ Konfiguracja IKE – ręczna: add 193.193.193.2 ah 1000 -m transport –A hmac-sha1 „12345678901234567890” .193.1 193.193.193.

SSL/TLS . 1993 „ wersje „ Transport Layer Security „ RFC2246 .Wprowadzenie „ Secure Sockets Layer „ historia – Netscape.

Możliwości „ Co zapewnia? „ uwierzytelnianie z wykorzystaniem kluczy publicznych „ zachowanie anonimowości klientów i wymóg identyfikacji serwera „ szybkość pozwalającą na sprawną obsługę krótkich połączeń (HTTP/DNS) .SSL/TLS .

Mozilla . Konqueror „ Serwery poczty: postfix. Microsoft IIS 5.x „ Klienci WWW: Microsoft IE 4. Mozilla. Apache. sendmail. Microsoft IIS „ Klienci poczty: The Bat!.Działanie „ Wsparcie programowe: „ Serwery WWW: Zeus v3.x-5.SSL/TLS . Opera. Netscape. Netscape Mail. Microsoft Outlook.x.

Negocjacja .SSL/TLS .

stunnel.pem „ Po stronie klienta: „ stunnel -c -d localhost:25 -r www:465 „ http://www.SSL/TLS .org .stunnel „ Po stronie serwera: „ stunnel –d 465 –r smtp –p /usr/local/etc/stunnel.

3DES „ RC4 „ TSS „ Blowfish/Twofish „ SecurID „ S/Key „ Kerberos „ TIS „ SHA-1 i MD5 dla zapewnienia i uwierzytelniania danych .SSH – Secure SHell „ Historia – 1995 rok. Finlandia „ Zastosowanie „ Algorytmy szyfrowania „ DES.

IP spoofing ) „ Ochronę przed wymuszaniem routingu ( ang.SSH – Co zapewnia? „ Ochronę przed fałszowaniem IP ( ang. DNS spoofing ) „ Ochronę przed ujawnieniem haseł i identyfikatorów „ Ochronę przed manipulacją przesyłanymi danymi . source routing ) „ Ochronę przed fałszowaniem wpisów DNS ( ang.

S/MIME „ Secure/Multipurpose Internet Mail Extensions – v3 „ Zaprojektowane dla MUA (ang. Mail User Agents): „ The Bat! „ Microsoft Outlook „ Mozilla .

S/MIME – Co zapewnia? „ uwierzytelnienie „ integralność wiadomości „ nie-podrabialność wiadomości (podpis cyfrowy) SHA-1 (160) i MD5 (128) „ poufność i bezpieczeństwo danych (szyfrowanie) RC-2 (128) i 3DES (156) .

1991 rok „ MD4+RSA dla podpisów i wymiany kluczy „ Bass-O-Matic.PGP / OpenPGP „ Pretty Good Privacy „ Philip Zimmermann. zastąpiona przez InfoZip/zlib „ uuencoding. zastąpione przez IDEA „ Kompresja LZH. zastąpione przez base64 „ Problemy prawne w USA (1993-95r) .

SIGNED MESSAGE.PGP / OpenPGP „ Formaty: „ wiadomość skompresowana „ wiadomość podpisana cyfrowo „ wiadomość zaszyfrowana „ Nagłówek: -----BEGIN PGP typ----- -----END PGP typ----- „ typ: MESSAGE. SIGNATURE .

nadużycia. narzędzia .Organizacja wykładu „ Podstawy zagadnień bezpieczeństwa „ Protokoły sieciowe wg. modelu ISO ze względu na bezpieczeństwo „ Wprowadzenie do kryptografii „ Topologie sieci i mechanizmy zwiększające ich bezpieczeństwo „ Ataki.

Topologie – przykład 1 .

Topologie – przykład 2 .

Topologie – przykład 3 .

Topologie – przykład 4 .

Topologie – strefy .

Firewall – co to jest? „ Co to jest? „ programowy „ sprzętowy „ Podstawy działania „ filtrowanie pakietów (packet filtering) „ filtrowanie zawartości (content filtering) „ ograniczanie przepustowości (traffic shaping) .

395Mbit/s clear (UDP. WinNT/2K 1454bajty) CheckPoint FW1.000 połączeń. ? RedHat 1454bajty) CheckPoint FW1. 7.000/s 100Mbit/s clear / 45Mbit/s 3COM SuperStack3 30. 200Mbit/s Netscreen 100 128.000VPN 3DES 200Mbit/s clear. 1Gbit/s 3DES 22.000/s 3DES 500. PIII-1Ghz.000 połączeń.000/s CheckPoint FW1.000 połączeń. 1. 335Mbit/s clear (UDP.000 połączeń. 19. 100/s 3DES Cisco PIX 535 1Gbit/s clear 500.000VPN. 2000VPN. 10. 270Mbit/s clear (UDP. ? PIII-1Ghz. Netscreen 1000 1Gbit/s clear. Firewall – sprzętowy a programowy 1/2 Typ Wydajność Pojemność/Wydajność 10Mbit/s clear / 3Mbit/s Cisco PIX 501 3500 połączeń. ? Sun Ultra 60 1454bajty) . 5VPN.

000 połączeń = 104MB 550Mbit/s clear 256MB .000(3) połączeń/s ipfw PIII750 400Mbit/s clear ? pf 486DX-80 10Mbit/s clear pf P233MMX 130Mbit/s clear Ilość połączeń *100 bajtów+32bity*1. Firewall – sprzętowy a programowy 2/2 Typ Wydajność Pojemność/Wydajność ipchains 386DX33 2Mbit/s clear 32.000(1)-80.768 standardowo 327. Dla 1.4 Dla 500.000 połączeń = 52MB ipf Duron 600.000.680 potwierdzone ipchains 2xPIII600 150Mbit/s clear 20.

Firewall – uwagi do porównania „ mimo RFC2647 dotyczącego mierzenia wydajności. brak ogólnie przyjętego standardu „ optymalna wielkość pakietu dla nowoczesnego firewalla – 1000- 1500 bajtów „ realność i weryfikowalność podanych wyników .

specyficzne dla implementacji . wyrzucenie „ logowanie.Firewall – budowa zestawu reguł „ Budowa zestawu reguł „ Sposób przeglądania reguł „ Możliwe cele: „ akceptacja. zwiększenie licznika „ inne. utworzenie stanu „ odrzucenie.

1.230.16384 -> 255.0.Firewall – reguły filtrowania „ ipf/pf: pass in proto tcp from any to 192.168.220.168.255.168.ESTABLISHED.1 port = 80 keep state pass in proto tcp from any to 210.27600 PR udp len 20 43 IN .RELATED -j ACCEPT iptables -A INPUT -p tcp -d 210.255.86.876150 xl1 @0:6 b 192.255.1 --dport 80 -m state --state NEW.0.220.240 port = 80 flags S/SA „ iptables: iptables -A INPUT -p tcp -s 0/0 -d 192.240 --dport 80 --tcp-flags ALL SYN -j ACCEPT „ zalogowany pakiet: Dec 3 15:27:03 test1 ipmon[145]: 15:27:02.230.

Firewall – inne możliwości „ Ograniczanie przepustowości „ dummynet.tc „ Cisco CAR i inne mechanizmy „ NAT „ Proxy . altq „ iproute2.

squid .Proxy „ Historia „ Podstawy działania „ tradycyjne proxy „ transparentne proxy „ SSL-Proxy „ Microsoft Proxy 2. Network Border Manager.0/Internet Security & Acceleration Server.

Proxy – Co potrafi? „ badać przekazywane dane. z badaniem poprawności protokołów/języka „ ograniczać dostęp na podstawie list ACL „ ograniczać dostęp na podstawie autoryzacji „ utrzymywać cache dla często wywoływanych danych „ SSL-proxy – zapewniać szyfrowanie .

Proxy – Przykład .

Router „ Łączy dwoma lub większą ilością interfejsów podsieci „ Obsługuje wg. możliwości i potrzeb protokoły: BGP4/BGP4+. RIP/RIPv2. OSPF i inne „ Podstawy działania i możliwości „ niezawodność „ RFC1812 „ NAT .

NAT .Router .

Router .NAT .

snort. nessus) „ sprzętowe (moduły dla IDS Cisco) .IDS „ Intrusion Detection System „ Jak wygląda IDS? „ programowe (lids.

IDS . ) „ Przykład reguły dla stanowiskowego IDS: lidsadm -A -s /usr/sbin/httpd -o CAP_BIND_NET_SERVICE 80-80 -j GRANT . content: "newserver".Przykład „ Przykład reguły dla sieciowego IDS: alert UDP any any -> any 6838 (msg: "IDS100/ddos-mstream-agent-to-handler".

IDS – Przetwarzanie danych „ Zbieranie informacji „ pasywne „ aktywne „ Analiza „ Odpowiedź .

próba mapowania dysku do którego brak uprawnień) „ anomalia (wzrost obciążenia.IDS – Analiza? „ Na czym polega proces analizy? „ nadużycia (przekroczenie praw dostępu. charakterystyka typu pracy) . charakterystyka czasowa pracy.

wrażliwość na ataki sieciowe . problemy z transmisjami szyfrowanymi (SSL/TLS/inne).IDS – Sieciowe „ snort. minimalne lub brak zmian w topologii. problemy w przypadku stosowania switchów. nessus. niewidzialność dla atakującego. Enterasys Dragon: • zalety: duże pole działania. praca w czasie rzeczywistym • wady: niewystarczająca przepustowość.

IDS – Przykład sieciowego .

mogą przyczynić się do wykrycia koni trojańskich • wady: monitoring i konfiguracja. Cybersafe Centrax • zalety: możliwość analizowania ruchu szyfrowanego. specyfiki systemu.IDS – Stanowiskowe „ lids. wpływ na działanie hosta. logistyka (miejsce na logi. nieograniczone przez topologię. Entercept. transport) .

Topologia – Ochrona wgłąb .

Organizacja wykładu
„ Podstawy zagadnień bezpieczeństwa
„ Protokoły sieciowe wg. modelu ISO
ze względu na bezpieczeństwo
„ Wprowadzenie do kryptografii
„ Topologie sieci i mechanizmy
zwiększające ich bezpieczeństwo
„ Ataki, nadużycia, narzędzia

Ataki i nadużycia
„ Ataki typu DoS/DDoS
„ Ataki sieciowe
„ Ataki na usługi

Ataki DoS/DDoS
„ Denial of Service/Distributed Denial of
Service
„ trinoo, Tribe Flood Network (TFN/TFN2K),
stacheldracht, shaft, mstream
„ 7-8 lutego 2000r. – Amazon.com, ebay,
CNN
„ 4 maja 2001r. – grc.com, w szczycie
94,800 pakietów TCP SYN/s

Ataki DoS/DDoS - Przykład

Ataki sieciowe „ sniffing (sniffit. non-blind- spoofing) „ mapowanie: „ firewalking „ port-scanning „ fingerprinting (pasywny i aktywny) . ethereal. tcpdump) „ hijacking „ spoofing (blind-spoofing.

Ataki sieciowe „ fragmentowanie/nakładanie/ zniekształcanie pakietów „ powodzie TCP SYN/TCP ACK. DHCP „ wykorzystanie source routingu „ ARP/DNS/DHCP poisoning . ARP.

Ataki na usługi „ SQL injection „ buffer i stack overflow „ format string – rodzina funkcji *printf() „ zła/domyślna konfiguracja usług – SNMP(public!). finger/telnet (!) „ man-in-the-middle .

org .org „ nmap „ http://www.datanerds.nessus.xprobe.org/nmap „ siphon „ http://siphon.Narzędzia – 1/2 „ nessus „ http://www.insecure.net „ Xprobe & Xprobe2 „ http://www.

monkey.com/argus „ fragroute & dsniff „ http://www.qosient.org/projectz/queso „ argus „ http://www.org/~dugsong/ .apostols.Narzędzia – 2/2 „ queso „ http://www.

Pasywne i aktywne mechanizmy ochronne sieci komputerowych Pytania? .