הגנה במערכות מתוכנתות חורף תשס"ד הרצאה 6 מבוא לרשתות מודל TCP/IP איומים על רשתות.

Slides:

Advertisements

Similar presentations

Completeness and Expressiveness. תזכורת למערכת ההוכחה של לוגיקה מסדר ראשון : אקסיומות 1. ) ) (( 2. )) ) (( )) ( ) ((( 3. ))) F( F( ( 4. ) v) ( ) v ((

Advertisements

מבוא למדעי המחשב לתעשייה וניהול

1 Formal Specifications for Complex Systems (236368) Tutorial #4 Refinement in Z: data refinement; operations refinement; their combinations.

Cisco 2 - Routers Perrine. J Page 14/30/2015 Chapter 10 TCP/IP Protocol Suite The function of the TCP/IP protocol stack is to transfer information from.

Lecture 5: TCP/IP OSI layers 3 (IP) and 4 (TCP/UDP) IPv4 – addresses and routing, “best-effort” service Ethernet, Appletalk, etc wrap IP packets with their.

Intro To Secure Comm. Exercise 7. Solution (review of last lesson) Assuming  CEO1:  CEO2: Use both transport mode and tunnel mode IPSec.

הגנה במערכות מתוכנתות חורף תשס"ד הרצאה 7 Firewalls ספרות : Chapman, Zwicki. Building Internet Firewalls. O’Reilly, Cheswick, Bellovin. Firewalls.

מערכות הפעלה ( אביב 2008) חגית עטיה © 1 מערכות קבצים מבוזרות  מבוא : שקיפות ושמירת מצב.  דוגמה : Network File System.

תרגול 8.5 – מודל השכבות, מבוא ל-TCP/IP

Time Based Identification of Web Attackers המעבדה לאבטחת מידע המעבדה לאבטחת מידע סמסטר חורף תשס " ט הטכניון מנחים: עמיחי שולמן אלדד שי מבצעים: גליה סימנובסקי.

חורף - תשס " ג DBMS, Design1 שימור תלויות אינטואיציה : כל תלות פונקציונלית שהתקיימה בסכמה המקורית מתקיימת גם בסכמה המפורקת. מטרה : כאשר מעדכנים.

מכון ויצמן למדע - שמוליק מתוך 8 חישוב מקבילי ומבוזר מה זה יחידה חמישית במדעי המחשב... n ענף מתקדם במדעי המחשב העוסק במערכות ממוחשבות מרובות ישויות.

RSS אוקטובר RSS – Really Simple Syndication תקן שמשמש להפצת תכנים ברשת – חדשות והודעות למעקב אחר עדכונים חדשים מוזן ב- XML - Extensible Markup Language.

שאלות חזרה לבחינה. שאלה דיסקים אופטיים מסוג WORM (write-once-read-many) משמשים חברות לצורך איחסון כמויות גדולות של מידע באופן קבוע ומבלי שניתן לשנותו.

מערכות הפעלה ( אביב 2009) חגית עטיה © 1 אפליקציות שרת - לקוח  פרדיגמת שרת לקוח  מושג ה socket  מבנה שרת - לקוח  קצת יותר על רשתות.

הגנה במערכות מתוכנתות תרגול 1 – המחשב האישי הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה בלבד.

ספר סקיצות ספר סקיצות קלאסי עם יכולות ממוחשבות. ספר סקיצות רגיל  יתרונות : נוח לנשיאה, מהיר ונוח לעבודה, עמיד.  חסרונות : הכול ידני, קשה לקבל דיוקים.

חורף - תשס " ג DBMS, צורות נורמליות 1 צורה נורמלית שלישית - 3NF הגדרה : תהי R סכמה רלציונית ותהי F קבוצת תלויות פונקציונליות מעל R. R היא ב -3NF.

Map-Reduce Input: a collection of scientific articles on different topics, each marked with a field of science –Mathematics, Computer Science, Biology,

1 Formal Specifications for Complex Systems (236368) Tutorial #5 Refinement in Z: data refinement; operations refinement; their combinations.

Intro To Secure Comm. Exercise 6. Problem A vendor wishes to incorporate the following:  Upon any login/change the vendor updates the cookie Cookie(SessionTime||{Item||Price})

TCP/IP Network and Firewall. IP Packet Protocol  1 ICMP packet  6 TCP packet  17 UDP packet.

CCN CCN Central Control Network Final presentation Winter & Spring 2002/03 Student : Kormas Tal Guide : Gerber Alex.

א " ב, מילים, ושפות הפקולטה למדעי המחשב אוטומטים ושפות פורמליות ( ) תרגיל מספר 1.

א " ב, מילים, ושפות הפקולטה למדעי המחשב אוטומטים ושפות פורמליות ( ) תרגיל מספר 1.

Formal Specifications for Complex Systems (236368) Tutorial #6 appendix Statecharts vs. Raphsody 7 (theory vs. practice)

תורת הקבוצות חלק ב'. קבוצה בת מניה הגדרה: קבוצה אינסופית X היא ניתנת למניה אם יש התאמה חד-חד ערכית בין X לבין .

1 Formal Specifications for Complex Systems (236368) Tutorial #1 Course site : T.A. :Emilia Katz.

ספריה וירטואלית בטכנולוגית J2EE הטכניון – מכון טכנולוגי לישראל הפקולטה להנדסת חשמל המעבדה למערכות תוכנה עזרן אייל טרבלסי אורדן סמסטר חורף תשס " ד מנחה.

מערכות הפעלה ( אביב 2009) חגית עטיה ©1 מערכת קבצים log-structured  ה log הוא העותק היחיד של הנתונים  כאשר משנים בלוק (data, header) פשוט כותבים את הבלוק.

א " ב, מילים, ושפות הפקולטה למדעי המחשב אוטומטים ושפות פורמליות ( ) תרגיל מספר 1.

תהליכים  מהו תהליך ?  מבני הנתונים לניהול תהליכים.  החלפת הקשר.  ניהול תהליכים ע " י מערכת ההפעלה.

הגנה במערכות מתוכנתות תרגול 12 – אבטחה ברמת ה-IP – IPsec הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה בלבד.

מרץ 2002אלן אזאגורי ©1 חוטים Threads. מרץ 2002 אלן אזאגורי ©2עמוד נושאים הגדרות –חוטים –חוטים לעומת תהליכים תמיכת מערכת ההפעלה בחוטים דוגמאות –Mach –Windows.

פרוטוקולי תקשורת חזרה כללית. מודל 7 השכבות Layer 1 – physical layer זוהי השכבה הפיסית, ומגדירה את האיפיונים הפיסיים והחשמליים של הרשת. בשכבה זאת רצים.

אלכסנדר ברנגולץ דואר אלקטרוני: אלכסנדר ברנגולץ דואר אלקטרוני: פעולות מורפולוגיות.

משטר דינמי – © Dima Elenbogen :14. הגדרת cd ו -pd cd - הזמן שעובר בין הרגע שראשון אותות הכניסה יוצא מתחום לוגי עד אשר אות המוצא יוצא מתחום.

עקרון ההכלה וההדחה.

יחס סדר חלקי.

מערכות הפעלה ( אביב 2006) חגית עטיה © 1 סיכום הקורס.

מבוא למדעי המחשב תרגול 3 שעת קבלה : יום שני 11:00-12:00 דוא " ל :

החיים המקוונים Networking הרצאה מספר היום בהרצאה החומר היום אינו למבחן, אבל חיוני לפרויקט הסיום תקשורת בין מחשבים תקשורת TCP/UDP פרוטוקול HTTP ושימושיו.

מבוא למערכות מידע סמסטר ב', תש"ע הרצאה 3

1 Spring Semester 2007, Dept. of Computer Science, Technion Internet Networking recitation #3 Internet Control Message Protocol (ICMP)

רשת האינטרנט ויישומיה האינטרנט היא הרשת הגדולה ביותר בעולם המקשרת בין מחשבים ואנשים המפעילים אותם במדינות רבות בעולם. ב העריכו שהאינטרנט מקשרת קרוב.

Text to speech In Mobile Phones איתי לוי. הקדמה שימוש בהודעות טקסט על המכשירים הסלולארים היא דרך תקשורת מאוד פופולארית בימינו אשר משתמשים בה למטרות רבות,

הרצאה 1 מסחר אלקטרוני ובסיסי נתונים. דרישות הקורס  ציון הקורס יינתן על תרגילים ופרויקט ( אין מבחן )  תרגילים 1-8 ביחד 40% (5 % כל אחד )  תרגיל 9 10%

Fall 2004FSU CIS 5930 Internet Protocols1 TCP/IP Protocol Suite Reading: Chapter 13.

1 Formal Specifications for Complex Systems (236368) Tutorial #1 Course site:

עקרונות תכנות מונחה עצמים תרגול 11: OOP in C++. Outline  Where do the objects live ?  Inheritance  Slicing  Overriding vs Shadowing.

קשר לוגי : סיבה ותוצאה. במשפט – דוגמות קלות בגלל הגשם החלטנו לא לנסוע לטיול לחיפה. הרצון שלי להצליח הניע אותי להשקיע בלימודים. ציפורים נודדות בין יבשות.

מבוא לתקשורת נתונים מודל 7 השכבות Protocol‏ (TCP/IP)

קצת היסטוריה 1981דיווח ראשון על תסמונת כשל חיסוני נרכש בקרב מספר הומוסקסואלים. 1981דיווח על ביטויים שונים של איידס בקרב מזריקי סמים, חולי המופיליה, מקבלי.

מצגת סוף סמסטר מנחה: ד"ר גבי נקבלי מגיש: ויקטור מרגוליס

תקשורת מחשבים ואלגוריתמים מבוזרים

SimpliciTI RF Network for M2M Connection Presenters: Assaf Matalon

תקשורת ומחשוב תרגול 9 CMD vs Networking.

תקשורת מחשבים "מודל OSI" Open System Interconnection reference model

תקשורת ומחשוב תרגול 1 IP, Classes and Masks.

מהלך שיעור מבנה ותפקיד מודל ה – OSI פרוטוקול TCP/IP ומודל DoD

תרגול 10 – חומות אש – Firewalls

פרוקטוז, C6H12O6 , חד-סוכר מיוחד

Marina Kogan Sadetsky –

תקשורת סריאלית מגיש: דביר דדון מנחה: ד"ר מרטין לנד.

בחירת חומר גלם כתב: עמרי שרון.

תקשורת ומחשוב תרגול סוקטים.

תהליכים-דייאט: חוטים מוטיבציה חוטי משתמש וחוטי מערכת

Shell Scripts בסביבת UNIX

מודל OSI (מודל 7 השכבות).

הגנה במערכות מתוכנתות אביב תשס"ג הרצאה 3

Presentation transcript:

הגנה במערכות מתוכנתות חורף תשס"ד הרצאה 6 מבוא לרשתות מודל TCP/IP איומים על רשתות

הגנה - חורף תשס"ד - הרצאה 62 מבוא רשתות גדולות דוגמת האינטרנט מחברות מספר גדול של רשתות מקומיות. הרשתות המקומיות מבוססות על תשתיות פיסיות שונות – קווי טלפון, רשתות Ethernet וכיו " ב. רשתות פיסיות שונות מקושרות בעזרת gateways (routers). לכל gateway יש מספר ממשקים פיסיים. הערה : למחשבים עם מספר ממשקים פיסיים קוראים multi-homed hosts. כל gateway חייב להיות לפחות dual-homed host.

הגנה - חורף תשס"ד - הרצאה 63 מודל השכבות התוכניות לשליחת הודעות מחולקות ל"תתי תוכניות" שנקראות שכבות. כל שכבה מבצעת תת משימה משלה. כל שכבה מקבלת שירותים מהשכבה שמתחתיה, מספקת שירותים לשכבה שמעליה, ו"מדברת" עם השכבה המקבילה במחשב השני. נתרכז בארכיטקטורת TCP/IP: חלוקה לשכבות + סט של פרוטוקולים לתקשורת בין מחשבים.

הגנה - חורף תשס"ד - הרצאה 64 החלוקה לשכבות של TCP/IP Media Access Control Network Layer (IP) Application Layer (telnet, ftp, emal,…) Transport Layer (TCP,UDP)

הגנה - חורף תשס"ד - הרצאה 65 עיבוד החבילה בשליחה Application Application Layer ApplicationTCP/UDPIPMAC ApplicationTCP/UDPIP Internet Layer ApplicationTCP/UDP Transport Layer

הגנה - חורף תשס"ד - הרצאה 66 עיבוד החבילה בקבלה Application Application Layer ApplicationTCP/UDPIPMAC ApplicationTCP/UDPIP Internet Layer ApplicationTCP/UDP Transport Layer

הגנה - חורף תשס"ד - הרצאה 67 Media Access Control (MAC) התפקיד: ניתוב החבילה בתוך רשת מקומית. השכבה מטפלת בכל הפרטים הקשורים בחומרה ובממשק עם הרשת הפיסית. הניתוב מתבצע על סמך כתובת MAC פיסית (ברשת Ethernet בת 48 ביטים), שהיא ייחודית לכל מחשב בתוך הרשת המקומית. הפרוטוקול שונה מרשת לרשת ותלוי ברשת הפיסית. Gateways בד"כ מדברים מספר פרוטוקולי MAC.

הגנה - חורף תשס"ד - הרצאה 68 שכבת ה-Network התפקיד העיקרי: ניתוב החבילה ממחשב המקור למחשב היעד (גם אם הם נמצאים ברשתות מקומיות שונות). הניתוב בין רשתות פיסיות שונות מתבצע בעזרת gateways. קטע על מסלול החבילה ששייך לרשת פיסית אחת (למשל בין זוג gateways) נקרא hop. קיימים מספר פרוטוקולים לשכבה זו, אך נתמקד ב-IP (Internet Protocol).

הגנה - חורף תשס"ד - הרצאה 69 MAC IP MAC IP Gateway G 2 Gateway G 1 MAC IP TCPUDP Application MAC IP TCPUDP Application Host AHost B מעבר החבילה ברשת

הגנה - חורף תשס"ד - הרצאה 610 Internet Protocol הניתוב מתבצע על סמך כתובת IP. – כתובת IP היא באורך 32 סיביות. –כתובת IP מיצגים על ידי 4 מספרים עשרוניים בצורה x.y.z.w. השירות ש-IP מספק הנו unreliable ו-connectionless.

הגנה - חורף תשס"ד - הרצאה 611 שכבת ה-Transport התפקיד: לספק תקשורת לאפליקציות מהשכבה שמעליה. קיימים שני פרוטוקולים עיקריים: UDP ו-TCP. –UDP (user datagram protocol) מספק שירות connectionless, unreliable. –TCP (transport control protocol) מספק שירות שהוא reliable, connection-oriented.

הגנה - חורף תשס"ד - הרצאה 612 שרת-לקוח TCP ו-UDP הם פרוטוקולי שרת-לקוח. בין השרת ללקוח מתנהל session. התקשורת בין האפליקציות מתבצעת בעזרת פורטים. בכל מחשב קיימות שתי סדרות של פורטים: UDP ו-TCP. בתוך כל חבילה כתובים פורט המקור ופורט היעד, והם מהווים חלק מכתובת המקור והיעד של החבילה ברמת האפליקציה.

הגנה - חורף תשס"ד - הרצאה 613 מושג הפורט לכל אפליקציה סטנדרטית קיים פורט משלה. למשל: telnet – TCP 23, http – TCP 80 וכו'. דוגמא: על-מנת לבצע telnet: הלקוח יפנה לפורט TCP 23 של השרת, מתוך פורט פנוי כלשהו שמספרו x>1023 במחשב הלקוח. השרת ישלח תשובה לאותו פורט x של הלקוח (שמספרו מופיע בחבילה שהלקוח שלח).

הגנה - חורף תשס"ד - הרצאה 614 מושג ה-socket בשרת (למשל telnet), כל ה-telnet sessions מתנהלות מפורט אחד. על-מנת שניתן יהיה לנהל מספר sessions במקביל, משתמשים ב- sockets. לכל session מתאים זוג sockets בשרת ובלקוח. ניתן לזהות כל session באופן חד-חד ערכי ע"י: כתובת ה-IP של המקור והיעד ומספרי הפורטים במקור וביעד.

הגנה - חורף תשס"ד - הרצאה 615 מושג ה-socket - המשך ב-client: כל session נפתח מתוך פורט חדש >1023. בכל פורט כזה יש socket יחיד שמנהל את ה-session. בשרת, האפליקציה מבצעת listen על הפורט שלה. בכל פעם שמתקבלת בקשה ל-session חדש, נוצר socket חדש שינהל session זה.

הגנה - חורף תשס"ד - הרצאה 616 דוגמא Client בכתובת פותח telnet session אל שרת telnet בכתובת , מתוך פורט נוצר socket ( ,1024, , 23) אותו client פותח telnet session נוסף, מפורט נוצר socket ( ,1030, , 23)

הגנה - חורף תשס"ד - הרצאה 617 שכבת האפליקציה כתובות ה -IP, מספרי ה -port של המקור והיעד והפרוטוקול (TCP או UDP) מציינים את האפליקציה דוגמאות : –FTP –HTTP –telnet –SMTP

הגנה - חורף תשס"ד - הרצאה 618 מבנה ה -IP Datagram Application DataTCP/UDP headerIP headerMAC header MAC header - משתנה לפי המדיה הפיסיקלית. מכיל את כתובת ה-MAC ואינפורמציה נוספת. IP header מכיל: כתובות IP של השולח, והמקבל, TTL, מספר הפרוטוקול הבא (TCP/UDP או אחר) UDP/TCP header מכיל מספרי את הפורטים של השולח והמקבל. TCP מכיל בנוסף חווים (ack) ומספרים סידוריים.

איומים על רשתות מחשבים

הגנה - חורף תשס"ד - הרצאה 620 רשתות מחשבים ובטיחות התחברות הרשת לאינטרנט פוגעת בביטחון המידע. קיים trade-off בין נוחות המשתמש ברשת לבין בטיחות המידע. התחברות לרשת יוצרת נקודות תורפה, שמיהן ניתן לפרוץ למערכת. ביזור נתונים ומשאבים. שירותים רבים, מגוונים, ולא מוגנים.

הגנה - חורף תשס"ד - הרצאה 621 Internetworking Security Domains external network HUB Server HUB private network HUB Server untrusted network Router Internet

התקפות התקפות על IP

הגנה - חורף תשס"ד - הרצאה 623 IP spoofing מטרה : התחזות. IP spoofing הוא שינוי כתובת ה-IP של host. במירב מערכות ההפעלה קל לשנות את כתובת ה-IP של host. ע"י שנוי כתובת ה-IP יכול מתקיף (A) לשכנע את המותקף שהחבילות שהוא שולח, מגיעות ממחשב אחר (B) אבל – חבילות התשובה שהמחשב המותקף שולח לא יגיעו אל המחשב המתחזה, אלא אל המחשב B.

הגנה - חורף תשס"ד - הרצאה 624 IP spoofing – למה זה טוב לעיתים זיהוי משתמש מתבצע על סמך כתובת IP בלבד (rlogin עם הקבים.rhost, /etc/hosts.equiv). פעמים רבות תוקפים משנים את כתובות ה-IP שלהם בכדי שיהיה קשה להתחקות על עקבותיהם.

הגנה - חורף תשס"ד - הרצאה 625 IP spoofing ו-cookies הגנה אפשרית נגד IP spoofing – שימוש ב-cookies. הרעיון: נשלח ליוזם ה-session מחרוזת בלתי ניתנת לחיזוי ונדרוש שיחזיר אותה.

הגנה - חורף תשס"ד - הרצאה 626 IP spoofing דו כיווני מטרה : התחזות IP spoofing דו כיווני מאפשר למחשב מתחזה לשלוח חבילות מכתובת IP שאיננה שלו, ואף לקבל אליה תשובה. IP spoofing דו כיווני הרבה יותר קשה לביצוע מ -IP spoofing רגיל, מכיוון שהוא מצריך ביצוע של שינויים ברשת ( בנתבים ), ולא רק במחשב המתחזה. IP spoofing דו כיווני הינה התקפה שקשה מאוד להתגונן נגדה.

הגנה - חורף תשס"ד - הרצאה 627 התקפות על TCP ועל UDP

הגנה - חורף תשס"ד - הרצאה 628 התקפות על TCP שרתים שרצים מעל TCP חשופים להתקפות רבות, אליהן שרתים שרצים מעל UDP אינם חשופים. אנו נזכיר אחת מהן. הסיבה – כאשר מתחיל TCP session, מערכת ההפעלה מקצה משאבים. כל המשאבים נשארים מוקצים עד ש-TCP מחליט שה-Session סגור (2 דקות במקרה של TCP תקני). פתיחה של TCP sessions רבים מדי יכולה להפיל את המחשב.

הגנה - חורף תשס"ד - הרצאה 629 TCP - Three way hand shake TCP Session מתחיל תמיד ב-Three way hand shake (לחיצת יד משולשת). הלקוח שולח לשרת חבילה שבה סיבית ה-Syn דלוקה, השרת שולח חזרה חבילה שבה ה-Syn וה-Ack דלוקות, ובתגובה שולח הקליינט חבילה שבה ה-Ack דלוק. בהמשך, רק סיבית ה-Ack תהיה דלוקה. מידע מתחיל לעבור רק החל מהחבילה הרביעית (או השלישית בתקני TCP חדשים).

הגנה - חורף תשס"ד - הרצאה 630 Syn Attack מטרה: DoS (Denial of Service) ב-Syn attack שולח המתקיף אל המותקף כמות גדולה מאד של חבילות ראשונות ב- TCP session במטרה להפיל את המותקף. הגנה אפשרית: נגביל את מספר ה-sessions מורשים עם כתובת IP זהה. התקפה אפשרית: syn attack + IP spoofing. הגנה אפשרית: cookies. התקפה אפשרית: Distributed DoS (using zombies or victim machines)

הגנה - חורף תשס"ד - הרצאה 631 התקפות על TCP ועל UDP UDP חשוף יותר מה-TCP להתקפות של IP spoofing חד כיווני. זאת משום שב- TCP, המתקיף אינו יכול לסיים את ה- three way hand shake.

הגנה - חורף תשס"ד - הרצאה 632 התקפות על אפליקציות ההתקפות תלויות באפליקציות. דוגמאות: באגים. שימוש בפונקציות לא בטוחות (כמו gets, scanf). שימוש במוד debug. Session hijacking –פיתרון: לקשור session key עם זהות המשתמש DoS DDoS

הגנה - חורף תשס"ד - הרצאה 633 Cookie Poisoning פרוטוקול הגלישה ברשת (http) מאפשר לשרת לשמור מידע אצל הלקוח דרך מכניזם שנקרא cookies. ה-cookies מאפשרת לשרת לשמור את המצב של הגולש באתר (לדוגמא, סל קניות) על הכונן הקשיח של המשתמש, כך שגם אם השרת נופל, או התקשורת ניתקת, המידע עדיין קיים וזמין.

הגנה - חורף תשס"ד - הרצאה 634 Cookie Poisoning יש לזכור כי העוגיות נשמרות אצל המשתמש! המשתמש יכול לשנות את תוכנן וערכן של העוגיות. לשינוי שכזה קוראים Cookie Poisoning.

הגנה - חורף תשס"ד - הרצאה 635 SQL Injection SQL הינה שפת תכנות למאגרי נתונים (Databases). בהרבה מקרים, שאילתות ברשת מועברות למנגנון SQL שמטפל בבקשה. אם המכניזם שמפעיל את ה-SQL לא בודק שהשאילתא "תקינה" ניתן יהיה להעביר ל-SQL פקודות או הוראות.

הגנה - חורף תשס"ד - הרצאה 636 Ping Flood פרוטוקול נוסף שקיים מעל שכבת ה-IP הינו פרוטוקול ה-ICMP (Internet Control Message Protocol). פרוטוקול זה עוזר לשכבת ה-IP, אך הוא נמצא מעט מעליה. לדוגמא, כשאתם מריצים ping לשרת מרוחק, אתם שולחים הודעות ICMP מסוג ping אל השרת, ומחכים לתגובת pong ממנו.

הגנה - חורף תשס"ד - הרצאה 637 Ping Flood (המשך) מערכות הפעלה רבות מקצות תורים וחוצצים (buffers) נפרדים להודעות ICMP כפי שהמערכת מפרידה בין הודעות TCP והודעות UDP. בהרבה מקרים חוצצים אלה היו קטנים, וע"י שליחת הרבה שאילתות ping גרמו למילוי החוצצים, ולעיתים לקריסת מערכת ההפעלה שלו.