1. Bezpečnosť v počítačových sieťach Lucia Kapová Martin Vozár

2. Bezpečnosť v počítačových sieťach základné sieťové pojmy typy hrozieb zaradenie hrozieb podľa TCP/IP modelu šifrovaná komunikácia SSL/TLS IPSec (sieťová), IPv6 Firewally

3. Základné pojmy

4. TCP/IP model TCP – Transport Control Protocol IP – Internet Protocol Aplikačná vrstva (application layer) telnet, FTP, SMTP, HTTP, DNS, SQL,... Transpotrná vrstva (transport layer) TCP, UDP Internetová vrstva (internet layer) IP, ARP, RARP, ICMP... Spojová vrstva (network access layer) IEEE 802.x, FDDI, ATM, PPP...

5. IP je protokol sieťovej vrstvy, umožňujúci komunikáciu. Slúži na prenos datagramov, rôznymi typmi sietí TCP – zaručuje doručenie packetu, ak nedostane potvrdenie o doručení packet je poslaný znova UDP (User datagram protocol) – nezaručuje doručenie, nepreposiela packety TCP/IP model

8. Internet ISP- Internet Service Provider

9. Prenos dát

10. Zneužitie siete Ciele: Získať informácie Získať prístup do systému Zakázať službu Prostriedky: PortScan Fingerprinting Social engeneering

11. Pohľad na TCP/IP model

12. TCP/IP Z pohľadu TCP/IP modelu môžeme rozdeliť spôsoby uplatnenia ochrán proti útokom na tieto vrstvy: –Aplikačná (najvyššia) –internetová + transportná –spojová (najnižšia)

13. Spojová vrstva Riziká –odpočúvanie prenosového média a následné dekódovanie zachytených informácií, prípadné ich využitie na „playback“ útok (napr. odpočúvanie telefónnych liniek, neautorizované zachytávanie dát pri prenose zdiľaným médiom (wireless, ethernet s hubom, …)) – odchytávanie plaintextových protokolov –MAC spoofing (zmena MAC adresy)

14. Spojová vrstva Vrstva pracujúca s fyzickým médiom a zabezpečovaním prístupu k tomuto médiu (obvykle) prostredníctvom fyzických adries Ochrana –použitie silnej autentifikácie a šifrovania na vyšších vrstvách, t.j. pri pripájaní z neznámych miest používať zabezpečené tunely

15. Spojová vrstva Problém: Ako môže klient v USA pripojiť svoj PC na intranet v EU?

16. Riešenie 1: –linka: circuit-switched (ISDN, PSTN...) –encapsulation PPP Výhody: –dostupnosť –jednoduchosť Nevýhody: –bezpečnosť (dáta nie sú zašifrované) –náklady (volania sú spoplatnené) Spojová vrstva

17. Riešenie 2: –Virtuálna privátna sieť (VPN) –„Layer 2 tunneling“ zapuzdrenie sieťového protokolu (IP, IPX, AppleTalk...) v PPP zašifrovanie PPP framov zapuzdrenie dát v prenosovom protokole (tunneling) najčastejšie IP –„Layer 3 tunneling“ zapuzdrenie sieťového protokolu v VTP (Virtual Tunneling Protokol) zapuzdrenie dát v prenosovom protokole (tunneling) najčastejšie IP Spojová vrstva

19. Layer 2 forwarding (L2F) Point-to-point tunneling protocol (PPTP) Layer 2 tunneling protocol (L2TP) LAC - L2TP access client LAS - L2TP access server Spojová vrstva

20. PPTP využíva na zabezpečenie bezpečnosti VPN Spojová vrstva

21. Bezpečnostná architektúra zahrňa IPSEC (IP security protocol) a IKMP (Internet key management protocol alebo IKE-Internet key exchange) Internetová vrstva

22. Riziká: –TCP seq. number guessing (TCP session hijacking) –spomaľovanie TCP spojenia –zabíjanie TCP spojení Bezpečnostné protokoly transportnej vrstvy pre internet: –Secure shell protocol (SSH) –Secure sockets layer (SSL) –Private communications technology (PCT) –Transport layer security (TLS) Transportná vrstva

23. SSH vyvinutý Tatu Ylonen-om na Technickej univerzite v Helsinkách Poskytuje podporu pre: –Autentifikáciu používateľov –Kompresiu dát –Utajenie dát a ochranu integrity Transportná vrstva

24. SSH v1 vyžaduje manuálne distribuované a nakonfigurované verejné kľúče (pre server a nepovinne pre používateľa) Transportná vrstva

25. SSH v2 sa podobne ako SSL/TLS skladá z dvoch subprotokolov: –SSH bezpečnostný protokol transpotnej vrstvy – šifrovaná autentifikácia hostov, kompresia dát, utajenie a integrita dát –SSH autetifikačný protokol – autentifikácia používateľov Transportná vrstva

26. PCT (Private communication technology) – produkt Microsoftu z roku 1995 TLS (Transport layer security) – snaha o štandardizáciu TLS v1 je veľmi podobná SSL v3 a je nazývaná SSL v3.1 Transportná vrstva

27. Riziká: –spoofing (napr. DNS spoofing, falšovanie e- mailových hlavičiek, HTTP redirekty...) Sú dve možnosti ako zabezpečiť bezpečnosť na aplikačnej vrstve: –Zabezpečiť konkrétny protokol („security- enhanced“) –Využiť štandardizované API využívané viacerými protokolmi (autentifikačné a distribučné systémy) Aplikačná vrstva

28. „Security-enhanced“ aplikačné protokoly: –Terminál:Telnet Kerberos Telnet SSLtelnet (využíva SSL/TLS) Encrypted session manager(ESM) Secure RPC authentification (SRA) Secure telnet(STEL) Secure shell(SSH) –Prenos súborov:FTP Kerberos FTP SSLFtp SSH utility : scp, sftp Aplikačná vrstva

29. –E-mail: SMTP, POP3 Kerberos e-mail (Eudora) SMTP/POP3 na základe SSL/TLS Secure messaging: secure MIME (S/MINE) pretty good privacy (PGP) –WWW: HTTP Secure HTTP (S-HTTP) HTTP na základe SSL/TLS (HTTPS) Aplikačná vrstva

30. –Domain name system: DNS DNS security (DNSSEC) –Distribuované filesystémy: HTTP Cryptographic file system (CFS) Kerberos file system (KFS) WIN2000 encrypting file system (EFS) Aplikačná vrstva

31. Autentifikačné a distribučné systémy: –Kerberos Heslo sa používa len raz pri inicializácii Odolný voči sniffovaniu hesiel Nevyužíva šifrovanie podľa verejného kľúča Aplikačná vrstva

33. Nevýhody: –Bezvýhradna viera v KDC –Nízka skalabilita Vyžaduje obojstrannú dôveru pri komunikácii: Aplikačná vrstva

34. Zhrnutie 1.Zabezpečiť prenosovú cestu (Spojová vrstva) 2.Zabezpečiť prenášané dáta (Aplikačná vrstva) 3.Zabezpečiť časti cesty a najcennejšie dáta (Transporná vrstva)

35. Zvýšenie bezpečnosti Šifrovanie (encipherment) Digitálny podpis (digital signature) Kontrola prístupu (access control) Integrita údajov (data integrity) Autentifikácia (authentification) Utesnenie spojenia (traffic padding) Kontrola routovania (routing control) Značenie (notarization)

36. Typy hrozieb (čo vlastne chcú)

37. Typy hrozieb získať kontrolu nad časťami programov, nad programami alebo nad celým zariadením získať cudzie informácie pre vlastnú potrebu alebo pre iných, zmeniť/poškodiť informácie znemožniť prístup k informáciám, resp. znemožniť funkčnosť zariadenia (napr. smerovača) (pre osobné potešenie, alebo ako práca „na objednávku“ tretích osôb)

38. Typy útokov (ako to dosiahnu)

39. Časté typy útokov odpočúvanie (niekedy považované za útok) ARP/IP spoofing Man-in-the-Middle protocol exploitation session hijacking (tcp alebo app) DoS/DDoS DNS/HTTP/e-mail spoofing

40. Pasívne odpočúvanie Pasívne počúvanie (wiretapping, eavesdropping) Analýza komunikácie za účelom získania zaujímavých informácií (loginy, heslá, e- maily, SQL výpisy, HTTP komunikácia)

41. Príklad Čítanie packetov treťou stranou Obrana: šifrovanie

43. Aktívny útok Manipulácia s údajmi Spoofing –IP spoofing, sequence number quessing (internetová, transportná) –DNS spoofing (aplikačná) Degradation-of-service, denial-of-service –TCP SYN flooding (internetová) –E-mail bombing (aplikačná)

44. Príklad IPspoofing – zmena IP adresy s cieľom Prejsť autentifikáciou založenou na zdrojovej adrese

45. TCP session hijacking Cieľom je prebrať kontrolu nad spojením, v prípade že používateľ práve čítal mail útočník k nemu bude mať prístup, môže vykonávať príkazy. Obeť len spozoruje, že spadlo spojenie a pripojí sa ešte raz. Pri tomto útoku útočník najprv sleduje komunikáciu medzi dvoma počítačmi potom jeden presvedčí o zlyhaní spojenia a preberie kontrolu nad spojením druhému počítaču, ktorý o žiadnej zmene nevie.

46. TCP session hijacking

47. Príklad

48. Útoky typu DoS Obsadenie prenosovej kapacity linky: – Scenár 1: Útočník má vačšiu kapacitu linky (T1 1.544Mb/s) a zahltí pomalšiu linku (128kb/s). –Scenár 2: Využitie prístupu do viacerých systémov, viac serverov napríklad môže zahltiť cieľovú sieť z viacerých zdrojov s tokom aj na 100 Mb/s. Často sa k takémuto cieľu využíva ICMP protokol.

49. Útoky typu DoS Privlastnenie systémových zdrojov: –Snaha o spotrebovanie systémových zdrojov cieľového PC Chyby v programoch: –„ping-of-dead“ – zaslanie packetu s neočákavanými parametrami Útok na DNS a smerovače paketov –Manipulácia so smerovacími tabuľkami

50. Útoky typu DDoS Pri distribuovaných DoS je zdrojom zahltenia viac systémov naraz. Útočník ovládne viacero systémov a potom vytvorí dátový tok zo všetkých systémov smerom k cieľovému počítaču.

51. Útoky typu Denial-Of-Service „Smurf attack“ Idea: Zahltiť obeť pingmi z viacerých zdrojov. –Vygenerujú sa ICMP packety so zdrojovou adresou obete –Každy host vygeneruje ICMP echo reply k zdrojovej adrese a zahltí obeť

52. DoS – „Denial-of-Service“

53. Útoky typu Exploitation a Gathering info Exploitation: „TCP/IP hijacking“, „password guessing“, „trojan horses“, „buffer overruns“ Gathering info: „address/port scanning“, „fingerprinting“, DNS zone transfers, finger, SNMP

54. Príklad 1.Prieskum: traceroute

55. Príklad Skenovanie portov, SuperScan

56. Príklad mythos:~# nmap -O 62.65.180.1 Starting nmap 3.50 ( http://www.insecure.org/nmap/ ) at 2004-04-22 11:55 CEST Interesting ports on cisco-ke.antik.sk (62.65.180.1): (The 1657 ports scanned but not shown below are in state: closed) PORT STATE SERVICE 23/tcp open telnet 514/tcp open shell Device type: router Running: Cisco IOS 12.X OS details: Cisco 3600 router running IOS 12.2(6c), Cisco router running IOS 12.1.5-12.2.13a, Cisco router running IOS 12.1(5)-12.2(7a) Nmap run completed -- 1 IP address (1 host up) scanned in 8.323 seconds mythos:~#

57. Po zistení otvorených portov a hesiel(dsniff) je možné dostať sa na zariadenie v sieti ak nie je dobre chránené a získať tak dalšie informácie. Príklad

58. Napríklad: Príklad

59. Bezpečná komunikácia. SSL protokol.

60. SSL protokol SSL(Secure sockets protocol) bol vyvinutý firmou Netscape ako odpoveď na S-HTTP Základná idea je vytvorenie bezpečnostnej vrstvy medzi transportnou a aplikačnou vrstvou pre zvyšenie bezpečnosti komunikácie. V principe SSL môže zabezpečovať akýkoľvek TCP-orientovaný protokol (HTTP, Telnet, FTP, POP3,...)

61. SSL protokol SSL verzie: –v1.0: interný protokol –v2.0: Netscape Navigator v1.0 až 2.x PCT bol vytvorený na základe tejto verzie –v3.0: opravenie verzie SSL2.0, implementované vo vačšine browserov TLS bol vytvorený na základe tejto verzie

62. SSL protokol Využitie SSL: –Komunikujúce strany sa môžu autentifikovať s použitímšifrovania podľa verejného kľúča. –Dáta sú chránené, komunikácia je zašifrovaná po uskutočnení inicializačného handshaku a určení kľúča pre dané spojenie. –Integrita dát je chránená(MAC). Nevýhody SSL: –Útoku formou analýzy spojenia –TCP SYN Flooding, Session hijacking

63. SSL protokol Pri spojení pomocou SSL je potrebné na oboch stranách vedieť o SSL na opačnej strane a uchovávať stav. Informácia o stave komunikácie obsahuje: ID spojenia Peer certifikát Metóda kompresie Špecifikáciu šifrovania(šifrovanie a autentifikácia dát) Master secret(zdieľaných 48bytov pre toto spojenie) Flag – možnosť pokračovania komunikácie

64. SSL protokol SSL môže byť využitý na rôzne typy komunikácie Informácia o stave spojenia obsahuje: Náhodné bytové sekvencie vygenerované klientom a serverom pre dané spojenie MAC (message authentifikation key) pre klienta aj server Šifrovacie kľuče Inicializačný vektor Sekvenčné číslo

65. SSL protokol

67. SSL RFP (Record format protocol) zabezpečuje –Fragmentáciu –Kompresiu a dekompresiu –Kódovanie a odkódovanie

68. Každý SSL záznam musí obsahovať: –Typ – informácia pre protokol vyššej vrstvy –Číslo verzie protokolu –Dĺžka –Payload –MAC SSL protokol

69. SSL HP (Handshake protocol) – klient a server sa dohodnú na: –Podporovanej verzii SSL protokolu –Metóde kompresie –Šifrovaciom algoritme –Vzájomnej autetifikácii (povinne server) –Generujú zdieľané „secrets“ – master secret

70. SSL protokol

71. Prehľad o IPSec

72. Pracuje na internetovej vstve TCP/IP modelu je to štandardizované riešenie (IETF) Umožňuje vytvárať rôzne typy tunelov medzi počítačmi a sieťami, resp. medzi sieťami navzájom IPSec

74. IPSec umožňuje –Data Confidentiality –Data Integrity –Data Origin Authentication –Anti-Replay Podporuje mechanizmus manuálnej alebo automatickej výmeny kľúčov (IKE) IPSec

75. IKE – poskytuje autentifikáciu koncových zariadení, dohaduje IPSec security associations a establishuje IPSec kľúče SPI – Security Parameter Index je číslo, ktoré spolu s IP adresou a bezpečnostným protokolom jednoznačne identifikujú SA IPSec pojmy

76. SA – Security Association popisuje ako dve alebo viac entít bude používať bezpečnostné služby (AH alebo ESP) SA obsahuje tieto parametre: –použitý autentifikačný a šifrovací algoritmus, dĺžku kľúča a napr. aj platnosť kľúča –Kľúče pre autentifikáciu, šifrovanie a HMAC –IPSec AH alebo ESP enkapsulačný protokol identifikáciu módu IPSec pojmy

77. AH – Authentication Header je bezpečnostný protokol, ktorý poskytuje autentifikáciu dát a voliteľné anti-replay služby – overenie pravosti AH využíva MD5 alebo SHA-1 –vypočítaný vysielajúcim IPSec modulom –pridaný k IP paketu –kontrolovaný prijímacím IPSec modulom IPSec pojmy

78. ESP – Encapsulating Security Payload používa IP enkapsuláciu na kryptografickú ochranu prenášaných dát a voliteľnú autentifikáciu a anti-replay ochranu ESP (DES, 3DES, Blowfish) –vysielajúci IPSec modul zašifruje dáta –prijímúci IPSec modul rozšifruje dáta IPSec pojmy

79. AH a ESP používajú symetrické šifrovanie IPSec = AH + ESP + IKE IPSec pojmy

80. AH a ESP

81. IPSec módy Transport Mode Tunnel Mode –host-host –host-network –network-network

82. AH a ESP v transportnom a tunel móde

83. Nadviazanie IPSec spojenia

84. Firewalls

85. Firewally čo je firewall? čo chceme chrániť klasifikácia typov firewallov vysvetlenie často používaných pojmov základné typy zapojenia príklad nastavenia

86. Čo je firewall Zariadenie, ktoré môže –Obmedzovať prístup z jednotlivých časti siete na iné siete na základe rôznych kritérií (všeobecne: podľa prihláseného užívateľa, IP adries, portov, použitých protokolov...) –Zaznamenávať a analyzovať sieťovú prevádzku (IDS) Zariadenie, ktoré nevie analyzovať napr. vírus prenášaný službou FTP FW nevie chrániť počítače, ktoré komunikujú medzi sebou na lokálnej sieti (pretože premávka ide pomimo FW)

87. Čo chceme chrániť dáta –secrecy (utajenosť) –integrity (neporušenosť) –availability (dostupnosť) počítače –výpočtový výkon (zdroje) svoju reputáciu –zabránenie vystupovaniu útočníka pod našou identitou

88. Klasifikácia typov Packet Filter –filtruje pakety od neautorizovaných počítačov a filtruje pokusy o pripojenie na neautorizované služby –Vyhodnocuje každý paket zvlášť – štandardné PFF nevedia rozoznať súvislosti medzi paketmi – kontrolujú na základe src IP, dst IP, port, … –SPI (Stateful Packet Inspetion) – stavové firewally, priradzujú pakety k reláciám

89. Klasifikácia typov

90. NAT –prekladá IP adresy vnútorných počítačov, aby ich ochránil pred pokusmi o pripojenie z vonkajšej siete –pre počítače na vnútornej sieti používa vyhradené adresy 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 –z internetu firewall poskytujúci NAT vyzerá ako 1 veľmi vyťažený počítač (čo sa týka počtu spojení)

91. Klasifikácia typov

92. Application level gateway –vytvárajú nové spojenie na aplikačnej vrstve namiesto zdrojového počítača –Dual homed hosts – majú dve sieťové rozhrania, smerovanie medzi nimi je vypnuté –známe aj ako „proxy servre“ –závislé na aplikačnom protokole –špeciálny prípad – circuit level proxy – všeobecnejší typ proxy servera predávajúceho obsah dátovej časti paketov

93. Application firewall

94. Niektoré voliteľné služby Overovanie užívateľov –šifrovaná autentifikácia užívateľov na preukázanie identity za účelom povolenia vstupu do internej siete Virtual Private Networking –Vytvára zabezpečené spojenie medzi privátnymi sieťami, medzi počítačmi alebo medzi počítačom a privátnou sieťou

95. Často používané pojmy Bastion host – samostaný počítač s nainštalovaným sw firewallom Dual-homed host – zariadenie s min. Dvoma sieť. Rozhraniami s vypnutým IP routingom Screened host – Screened network – DMZ – demilitarizovaná zóna – časť siete, do ktorej je povolený velmi obmedzený prístup z internetu a oveľa voľnejší prístup z intranetu; fyzicky oddelený segment siete

96. Často používané pojmy

97. Politiky ochrany No security – žiadne zabezpečenie Security though obscurity – „zabezpečenie“, tým, že o existencii systému „sa nebude vedieť“ Host security – zabezbečenie jedného počítača Network security – zabezpečenie sieťového segmentu

98. Príklady nastavenia – Linux [root@stargate]-[08:24:44]-[~]# iptables -L Chain INPUT (policy DROP) target prot opt source destination all -- anywhere anywhere state NEW ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT all -- anywhere anywhere CNL all -- 147.232.22.0/24 anywhere CNL all -- 147.232.48.0/24 anywhere CNL all -- 147.232.240.0/24 anywhere CNL all -- 212.5.207.224/27 anywhere INET all -- anywhere anywhere Chain FORWARD (policy DROP) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain CNL (4 references) target prot opt source destination ACCEPT all -- anywhere anywhere Chain INET (1 references) target prot opt source destination ACCEPT tcp -- anywhere anywhere tcp dpt:ftp flags:SYN,RST,ACK/SYN state NEW ACCEPT tcp -- anywhere anywhere tcp dpt:ssh flags:SYN,RST,ACK/SYN state NEW ACCEPT tcp -- anywhere anywhere tcp dpt:smtp flags:SYN,RST,ACK/SYN state NEW ACCEPT tcp -- anywhere anywhere tcp dpt:www flags:SYN,RST,ACK/SYN state NEW ACCEPT tcp -- anywhere anywhere tcp dpt:pop3 flags:SYN,RST,ACK/SYN state NEW ACCEPT tcp -- anywhere anywhere tcp dpt:auth flags:SYN,RST,ACK/SYN state NEW ACCEPT tcp -- anywhere anywhere tcp dpt:imap2 flags:SYN,RST,ACK/SYN state NEW ACCEPT tcp -- anywhere anywhere tcp dpt:https flags:SYN,RST,ACK/SYN state NEW ACCEPT tcp -- anywhere anywhere tcp dpt:imaps flags:SYN,RST,ACK/SYN state NEW ACCEPT tcp -- anywhere anywhere tcp dpt:pop3s flags:SYN,RST,ACK/SYN state NEW ACCEPT tcp -- anywhere anywhere tcp dpt:5000 flags:SYN,RST,ACK/SYN state NEW ACCEPT icmp -- anywhere anywhere icmp echo-reply ACCEPT icmp -- anywhere anywhere icmp destination-unreachable ACCEPT icmp -- anywhere anywhere icmp redirect ACCEPT icmp -- anywhere anywhere icmp echo-request ACCEPT icmp -- anywhere anywhere icmp time-exceeded LOG all -- anywhere anywhere limit: avg 10/sec burst 5 LOG level warning DROP all -- anywhere anywhere

99. Literatúra http://www.networkcomputing.com/netdesign/wall2.html http://www.interhack.net/pubs/fwfaq/ http://www.darmstadt.gmd.de/ice- tel/deliverables/download/firewall/theory.htmlhttp://www.darmstadt.gmd.de/ice- tel/deliverables/download/firewall/theory.html http://quark.humbug.org.au/publications/firewall/introfirewall.html Strebe M., Perkinson Ch. – Firewalls 24seven, Sybex 2002 Joel Scambray, Stuart McClure, George Kurtz – Hacking bez tajemství http://www.eecg.toronto.edu/~lie/ECE1724/Lectures/Lecture11.pdf http://www.ifi.unizh.ch/~oppliger/Presentations/InternetIntranetSecurity2e/ http://www.cs.unibo.it/babaoglu/courses/security/lucidi/IPSec.pdf http://cip.uni-trier.de/mauren/internet-security/tutorial/IS-2.pdf

100. Ďakujeme za pozornosť