View
6
Download
0
Category
Preview:
Citation preview
Varnostnielemen-:IPsec,SSLininfrastruktura
IPSec IPsecurityprotocol(varnostnaomrežniplas-)
uporabazavarovanjepovezavmeddvemaen-tetama,uporabazaVPN(navideznazasebnaomrežja)!
varnostnaomrežniplas-: zakrivanjevsehvrstpodatkov(TCPsegment,UDPsegment,ICMPsporočilo,OSPFsporočiloitd.)
zagotavljanjeavten-kacijeizvora integritetapodatkovpredspreminjanjem
zaščitapredponovitvijokomunikacije
RFC2411:pregledmehanizmovindelovanjaIPSec
Navideznazasebnaomrežja(VPN) angl.VirtualPrivateNetwork podjetja,kisonarazličnihgeografskihlokacijah,silahkoželijovisokevarnos-prikomunikaciji.Rešitvi:1. gradnjaZASEBNEGAomrežja:podjetjezgradilastnoomrežje,popolnoma
ločenoodpreostalegaInterneta(dragapostavitevinvzdrževanje‐potrebniusmerjevalniki,povezave,infrastruktura!)
2. podjetjevzpostaviNAVIDEZNOZASEBNOomrežje(VNP)zinfrastrukturojavnegaomrežja: podatkiznotrajlokalnih(zasebnih)delovomrežjaseprenašajotradicionalno
(IP),
podatki,kipotujejoprekojavnihdelovomrežjaseprenašajozaščiteno(IPSec)
IP glava
IPsec glava
VAROVANI podatki
IP
glav
a IP
sec
glav
a VA
RO
VAN
I po
datk
i
glavnapisarna podružnica
delavecnaterenu
računalnikzIPSec
UsmerjevalnikzIPv4inIPsec
UsmerjevalnikzIPv4inIPsec
Javnoomrežje
VPN:primer
ImplementacijaIPsec mehanizemIPSecponujadvaprotokolavarovanja:
AH‐Authen3ca3onHeader zagotavljaavten-kacijoizvorainintegritetopodatkov
ESP‐Encapsula3onSecurityPayload zagotavljaavten-kacijoizvora,integritetopodatkovINzaupnostpodatkov
zavsakosmerIPSeckomunikacijejepotrebnovzpostavi-SA(SecurityAssocia-on) primer:glavnapisarnainpodružnicauporabljatadvosmernokomunikacijo.Ravnotakoglavnapisarnauporabljadvosmernokomunikacijozndelavcinaterenu.KolikoSAjepotrebnovzpostavi-? 2+2n
VzpostavitevSA
UsmerjevalnikimabazoSAD(SecurityAssocia3onDatabase),kjerhranipodatkeoSA:
32bitniIDSA,imenovanSPI(SecurityParameterIndex)
izvorniinponorniIPSA vrstaenkripcije(npr.3DES)inključ vrstapreverjanjaintegritete(npr.HMAC/MD5)
ključzaavten-kacijo
IPsec IPsec
200.168.1.100 193.68.2.23SA
2načinakomunikacije transportmode‐implemen-ranmedkončnimiodjemalci(vmesnikiračunalnikov),šči-zgornjeplas-protokola.Transparentnovmesnikom,krip-rasamopodatkevpaketu.
tunnelmode‐transparentnokončnimodjemalcem,usmerjevalnik‐usmerjevalnikaliusmerjevalnik‐uporabnik.Krip-rapodatkeinglavopaketa.
TransportmodezAH
TransportmodezESP
TunnelmodezAH
TunnelmodezESP
Najboljpogosto!
IPsecTransportMode
IPsecdatagrampotujemedkončnimasistemoma šči-molezgornjeplas-
IPsec IPsec
IPsec–tunnelingmode
IPsecseizvajanakončnihusmerjevalnikih zaodjemalceninujno,daizvajajoIPsec
IPsec IPsec
IPsec IPsec
Poglejmosi,kakodelujenajboljpogostouporabljenIPSecnačin
Originalnipodatki:
IPsecdatagram:tunnelmodeinESP
originalna IP glava
originalni IP podatki
nakonecdatagramasedodaESPglava(zapolnitevjepotrebnazabločnokodiranje,nextheaderjeprotokol,vsebovanvpodatkih)
rezultatsekrip-ra(algoriteminključdoločaSA!)
IPsecdatagram:tunnelmodeinESP
originalna IP glava
originalni IP podatki
ESP rep
kriptirano
padding pad length
next header
dodaseESPglava:rezultatje"enchilada"(SPI‐indeksSA,kisegauporabizadoločanjenastavitev,Seq#‐zaščitapro-ponovitvikomunikacije)
IPsecdatagram:tunnelmodeinESP
originalni IP podatki
ESP rep
kriptirano
padding pad length
next header
originalna IP glava
ESP glava
SPI Seq #
"enchilada"
dodasepoljeESPauth,kijeizračunanazgoščenavrednostcele"enchilade".AlgoriteminključdoločaSA.
IPsecdatagram:tunnelmodeinESP
originalni IP podatki
ESP rep
kriptirano
padding pad length
next header
originalna IP glava
ESP glava
SPI Seq #
"enchilada"
ESP auth
izdelasenovaIPglava,kisedodapredpodatke oblikujesenovIPpaket,kiseklasičnopošljeskoziomrežje
IPsecdatagram:tunnelmodeinESP
originalni IP podatki
ESP rep
kriptirano
padding pad length
next header
originalna IP glava
ESP glava
SPI Seq #
"enchilada"
ESP auth
nova IP glava
GLAVA PODATKI
Kajjevnoviglavipaketa? protokol=50(pomeni,dasopodatkiESP)
IPpošiljateljainprejemnikastavozlišči,medkaterimapotekaIPsec(usmerjevalnikaR1inR2)
Kajnarediprejemnik(R2)? izSPIvglavipoiščepodatkeoSA,preveriMACenchilade,preveriSeq#,odkodiraenchilado,odstranizapolnitev,ekstrahirapodatke,posredujeciljnemuračunalniku
IPsecdatagram:tunnelmodeinESP
193.68.2.23200.168.1.100
172.16.1/24172.16.2/24
SA
R1 R2
TodoločaSecurityPolicyDatabase(SPD):določa,alinajsedatagramšči-gledenaizvorniIP,ponorniIPin-pprotokola
Določa,kateriSAnajseuporabi
SPDdoloča“KAJ”naredi-zdatagramom
SADdoloča"KAKO"tonaredi-!
Kakoizbra-datagramezaIPseczaščito?
KakšnozaščitoponujaIPsec? Denimo,dajeJaneznašman‐in‐the‐middlemedR1inR2.Janeznepoznaključev.Kajlahkonaredi?
Alilahkovidivsebinodatagrama,izvor,ponor,protokol,port?
Alilahkospremenibitevpaketu? AlilahkopošiljavimenuR1?
Alilahkoponovikomunikacijo?
ProtokolIKE IKE(angl.InternetKeyExchange),protokolzaizmenjavoključevprekointerneta
PriIPsecjepotrebnovzpostavi-SAmedodjemalci,npr:PrimervzpostavljenegaSA:
SPI:12345SourceIP:200.168.1.100DestIP:193.68.2.23Protocol:ESPEncryp-onalgorithm:3DES‐cbcHMACalgorithm:MD5Encryp-onkey:0x7aeaca…HMACkey:0xc0291f…
RočnodoločanjeSAjeneprak-čnoinzamudno:potrebnogajedoloči-zavsakosmerkomunikacijeinvsakparodjemalcev!
Rešitev:uporabimoprotokolIPsecIKE
IKEima2fazi IKEuporabljaPKIaliPSK(pre‐sharedkey)zaavten-kacijoodjemalcevmedseboj.Imadvefazi: Faza1:VzpostavidvosmerenIKESA
IKESAjeločenSAodIPsecSA,kiseuporabljasamozaizmenjavoključev(imenujesetudiISAKMPSA)
vIKESAsevzpostaviključzavarovanjenadaljnekomunikacijegledeizmenjaveključev(avten-kacijaseizvedesPSK,PKIalipodpisom)
dvanačina:Aggressivemode(krajši,vendarrazkrijeiden-tetoodjemalcev)inMainmode(daljši,skrijeiden-teto)
Faza2:IKEgeneriraključezadrugestoritve,kotjenprIPsec.VzpostavisetorejIPsecSA: edininačin:QuickMode
Širokouporabljenvarnos-protokol podprtskorajvvsehbrskalnikihinnavsehstrežnikih(hqps) zuporaboSSLseopraviza10milijarddolarjevnakupovletno
RazvilgajeNetscapeleta1993 Večvrst
TLS:transportlayersecurity,RFC2246 Zagotavljazaupnost,integriteto,avten-kacijo Ciljiprirazvoju:
uporabaprispletnihtransakcijah zakrivanjepodatkov(šeposebejštevilkkreditnihkar-c) avten-kacijaspletnihstrežnikov možnostavten-kacijeodjemalca čimmanjšinaporpriopravljanjunakupapridrugemprodajalcu
SSL:SecureSocketsLayer
22
SSLandTCP/IP
Application
TCP
IP
Običajnaaplikacija
Application
SSL
TCP
IP
aplikacijasSSL
• DostopenvsemTCPaplikacijamprekoaplikacijskegavmesnikaSSL
ZasnovaSSLLahko bi ga zasnovali na osnovi kriptografije PKI (kriptiranje z javnim ključem prejemnika, zasebnim ključem pošiljatelja, uporaba zgoščevalnih funkcij), vendar...
• želimo pošiljati tokove BYTEOV in interaktivne podatke, ne statična sporočila,
• za eno povezavo želimo imeti MNOŽICO ključev, ki se spreminjajo,
• kljub temu želimo uporabljati certifikate (ideja: uporabimo jih pri rokovanju)
PoenostavljeniSSL
PoglejmonajprejpoenostavljenoidejoprotokolaSSL.Tavsebujenaslednje4faze:
1.ROKOVANJE:AnainBraneuporabitacer-fikate,daseavten-cirataedendrugemuinizmenjataključ
2.IZPELJAVAKLJUČA:AnainBraneuporabitaizmenjaniključ,daizpeljetamnožicoključev
3.PRENOSPODATKOV:Podatki,kiseprenašajo,sozdruženivZAPISE.
4.ZAKLJUČEKPOVEZAVE:Zavarenzaključekpovezaveseuporabijoposebnasporočila
PoenostavljeniSSL:Rokovanje
MS=glavniključ(mastersecret) EMS=krip-raniglavniključ(encryptedmastersecret)
KB+‐javniključprejemnikaB
hello
certificate
KB+(MS)=EMS
26
PoenostavljeniSSL:Izpeljavaključa Slabapraksajeuporablja-is-ključzavečkriptografskihoperacij,zato:uporabimoposebenključzazakrivanjeinposebnegazapreverjanjeintegritete(MAC)
Uporabljamotorej4ključe: Kc=ključzazakrivanjepodatkov,poslanihododjemalcastrežniku
Mc=ključzazgoščanjepodatkov,poslanihododjemalcastrežniku
Ks=ključzazakrivanjepodatkov,poslanihodstrežnikaodjemalcu Ms=ključzazgoščanjepodatkov,poslanihodstrežnikaodjemalcu
Ključiseizpeljejozuporaboposebnefunkcije.Tauporabljaglavniključ(MasterSecret)indodatne(naključne)podatkezageneriranjenaslednjihključev
PoenostavljeniSSL:Pošiljanjepodatkov
Kakopreveri-integritetopodatkov? čebipošijalipozlogih(byteih),kambipripeliMAC(zgoščenovrednostsporočila)?
TudičeMACpošljemopozaključkucelegaprenosa(vsehzlogov),nimamovmesnegapreverjanjaintegritete!
REŠITEV:TokpodatkovrazbijemovZAPISE vsakemuzapisupripnemoMAC prejemniklahkoreagirana(ne)veljavnostintegriteteposameznegazapisa
PoenostavljeniSSL:Pošiljanjepodatkov Problem1:številkapaketasenahajanekrip-ranavglaviTCP.Kajlahkonaredinapadalec? napadaleclahkozajameinponovikomunikacijo?
preštevilčivrstniredpaketov? prestrežeinodstranipaket?
REŠITEV:priračunanjuMACupoštevajštevilkopaketa MAC=MAC(ključMx,zaporedna_številka||podatki)
nimamoločeneštevilkepaketa
zaščitapro-ponovitvikomunikacije:uporabienkratnižeton
PoenostavljeniSSL:Pošiljanjepodatkov Problem2:napadalecpredčasnozaključisejo
Enaaliobestranidobitav-s,dajepodatkovmanj,kotjihje.
REŠITEV:uvedimoposeben"-pzapisa",kinosiposebnovrednost,čegrezazaključnipaket npr:0pomenipodatke,1pomenizaključek
uporabimovrednostpriizračunuMACMAC=MAC(ključMx,zaporedna_št||tip||podatki)
length type data MAC
hello
certifikat,žeton
KB+(MS)=EMS
type0,seq1,datatype0,seq2,data
type0,seq1,data
type0,seq3,data
type1,seq4,close
type1,seq2,close
zakrito
PoenostavljeniSSL:Primer
PraviSSL:podrobnos- Kakšnesodolžinepoljvprotokolu? Kateriprotokolizazakrivanjenajseuporabijo?Dogovorouporabiprotokola: Želimo,daodjemalecinstrežniklahkoizbiratainsedogovarjataokriptografskihalgoritmih(angl.nego3a3on,odjemalecponudi,strežnikizbere)
Najpogostejšisimetričnialgoritmi DES–DataEncryp-onStandard:block 3DES–Triplestrength:block RC2–RivestCipher2:block RC4–RivestCipher4:stream
NajpogostejšialgoritemzaPKIkriptografijo RSA
PraviSSL:Rokovanje PoenostavljeniSSL:hello‐>,<‐cer-fikat,krip-ranMS‐> PraviSSLdejanskoizvaja:avten-kacijostrežnika,izbiro
algoritmov,določanjeključev,avten-kacijoodjemalca(opcijsko)
Postopek:
1 • odjemalecpošljeseznampodpr-halgoritmov+žeton
2 • Strežnikizberealgoritemsseznama,vrneizbiro,cer-fikatinsvojžeton
3• odjemalecprevericer-fikat,generiraPMS,zjavnimključemstrežnikagakrip-rainpošljestrežniku
4 • odjemalecinstrežnikneodvisnoizračunataenkripcijskeinMACključeizPMSinžetonov.
5 • odjemalecpošljeMACodvsehsporočilvrokovanju.
6 • StrežnikpošljeMACvsehsporočilvrokovanju.
PraviSSL:Rokovanje1. ZakajizmenjavaMACvkorakih5in6?
odjemalecobičajnoponudivečalgoritmov,nekaterisošibki,drugimočnejši.Napadalecbilahkoizbrisalizponudbemočnejšealgoritme.
Zadnjidvesporočilozagotavljataintegritetovsehprenešenihsporočilinpreprečitataknapad
2. Zakajuporabažetonov? Denimo,daZeldaposlušasporočilamedAnoinBranetomterjihshrani.NaslednjidanpošljeZeldaBobupopolnomaenakasporočila,kotjihjeprejšnjidanposlalaAna: ČeimaBranetrgovino,bomislil,daAnaponovnonaročaar-kle, Branezavsakokomunikacijouporabidrugžeton,takoZeldanebomoglaponovi-istekomunikacije
SSL:pretvorbavzapise
podatki
fragmentpodatkov fragmentpodatkovMAC MAC
zakritipodatkiinMAC
zakritipodatkiinMAC
glavazapisa
glavazapisa
• GLAVAZAPISA:vrstavsebine(1B);SSLverzija(2B);dolžina(3B)• MAC:zaporedna_številka;MACključMx• FRAGMENT:vsakjedolgdo214bytes(~16Kbytes)
handshake:ClientHello
handshake:ServerHello
handshake:Certificate
handshake:ServerHelloDone
handshake:ClientKeyExchangeChangeCipherSpec
handshake:Finished
ChangeCipherSpec
handshake:Finished
application_data
application_data
Alert:warning,close_notify
Primerpravegarokovanja
Odtunaprejjevsezakrito
SSL:izpeljavaključev ŽetonaodjemalcainstrežnikaterPMSseuporabijovfunkciji,kiizračunavapsevdo‐naključnaštevila.DobimoMS(mastersecret).
MSinnovižetonisevstavijovdruginaključnigenerator,dobimoBLOK.BLOKserazrežena6delov,dasedobi: MACključodjemalca MACključsrežnika enkripcijskiključodjemalca enkripcijskiključstrežnika inicializacijskivektor(IV)odjemalca inicializacijskivektor(IV)strežnika
enakokotpripoenostavljenemSSL!
KAJJETOLE?
potrebnasta,kadaruporabljamosimetričenalgoritemzbločnokriptografijo(3DESaliAES),kipotrebujetainicializacijo!
Varnostvomrežju Administratoromrežjalahkouporabnikedelina:
dobrifantje(goodguys):uporabniki,kilegi-mnouporabljajovireomrežja,pripadajoorganizaciji,
slabifantje(badguys):vsiostali,njihovedostopemoramoskrbnonadzorova-
Omrežjeimaobičajnoenosamotočkovstopa,kontroliramodostopevnjej: požarnizid(firewall) sistemzazaznavanjevdorov(IDS,intrusiondetec3onsystem)
sistemzapreprečevanjevdorov(IPS,intrusionpreven3onsystem)
38
Požarnizidizolirainternoomrežjeodvelikegajavnegaomrežja,določenimpaketomdovoliprehod,drugeblokira.Ima3naloge:• filtriraVESpromet,• prepuščasamopromet,kijeDOPUSTENgledenapolitiko,• jeIMUNnanapade
internoomrežje
javnoomrežje
POŽARNIZID
Požarnizid:vrstefiltriranj1. izoliranofiltriranjepaketov(angl.stateless,traditional)2. filtriranjepaketovvkontekstu(angl.statefulfilter)3. aplikacijskiprehodi(angl.applicationgateways)
Izoliranofiltriranjepaketov
filtriranjeobičajnoizvajažeusmerjevalnik,kimejinajavnoomrežje.Napodlagivsebinepaketovseodloča,aliboposredovalposamezenpaket,odločitevnapodlagi: IPizvornega/ponorneganaslova številkeIPprotokola:TCP,UDP,ICMP,OSPFitd. TCP/UDPizvornihinciljnihvrat -psporočilaICMP TCPSYN(vzpostavitevpovezave!)inACKbits(ACK=1veljazaprvisegmentpripovezovanju)
Najdovolimdohodnemupaketuvstop?Najdovolimizhodnemupaketuizstop?
Primer1:blokirajdohodnedatagramezIPprotokolom17(UDP)inizvornimialiciljnimivra-23(telnet)
rezultat:filtriramovsedohodneinodhodneUDPkomunikacijeintelnetpovezave.
Primer2:BlokirajdohodneTCPsegmentezzastavicoACK=0. rezultat:onemogočimozunanjimodjemalcem,davzpostavijopovezavoznotranjimiodjemalci,dovolimopapovezovanjevobratnosmer(navzven)
Izoliranofiltriranjepaketov:primeri
Želimodoseči: Nastavitevpožarnegazidu
Onemogočendostopnavzvendopoljubnegaspletnegastrežnika.
Zavrzivsepakete,naslovljenenapoljubenIPnaslovinnavrata80
OnemogočenevsedohodneTCPpovezaverazen-s-h,kisonamenjenejavnemuspletnemustrežnikuvpodjetju(130.207.244.203).
ZavrzivsedohodneTCPSYNpaketerazen-s-h,namenjenihIPnaslovu130.207.244.203,vrata80
Prepreči-napadSmurfDoS(uporababroadcastazapreobremenitevstoritev).
ZavrzivseICMPpakete,naslovljenenabroadcastnaslovomrežja(npr.130.207.255.255).
Prepreči-analizoomrežjastraceroute ZavrzivseodhodnepaketeICMPssporočilom"TTLexpired"
Izoliranofiltriranjepaketov:primeri
izvorni naslov
ciljni naslov protokol izvorna
vrata ciljna vrata zastavica akcija
222.22/16 izven
222.22/16 TCP > 1023 80
any dovoli
izven 222.22/16
222.22/16 TCP 80 > 1023 ACK dovoli
222.22/16 izven
222.22/16 UDP > 1023 53 --- dovoli
izven 222.22/16
222.22/16 UDP 53 > 1023 ---- dovoli
all all all all all all zavrzi
Izoliranofiltriranje:Dostopovniseznami• dostopovniseznam(angl.ACL,accesscontrollist)• tabelapravil,upoštevasejoodzgorajdospodaj.• zapisisopar:(pogoj,akcija)• primer:onemogočivesprometrazenWWWnavzveninDNSvobesmeri
Stanjskofiltriranjepaketov angl.statefulfilter,upoštevapovezavoinnjenotrenutnostanje
izoliranofiltriranjelahkodovolivstopnesmiselnimpaketom(npr.vrata=80,ACK=1;čepravnotranjiodjemalecnivzpostavilpovezave):
IZBOLJŠAVA:stanjskofiltriranjepaketovspremljainvodievidencoostanjuvsakevzpostavljeniTCPpovezavi❍ zabeleživzpostavitevpovezave(SYN)innjenkonec(FIN):natejpodlagi
odloči,alisopake-smiselni
❍ popretekudoločenegačasaobravnavajpovezavokotneveljavno(-meout)
❍ uporabljajpodobendostopovniseznam,kidoloča,kdajjepotrebnokontrolira-veljavnostpovezave(angl.checkconnec3on)
izvorni naslov
ciljni naslov protokol izvorna
vrata ciljna vrata zastavica akcija preveri
povezavo
222.22/16 izven
222.22/16 TCP > 1023 80
any dovoli
izven 222.22/16
222.22/16 TCP 80 > 1023 ACK dovoli X
222.22/16 izven
222.22/16 UDP > 1023 53 --- dovoli
izven 222.22/16
222.22/16 UDP 53 > 1023 ---- dovoli X
all all all all all all zavrzi
Filtriranjepaketovvkontekstu
omogočajododatnofiltriranjegledenaizbirouporabnikov,kilahkouporabljajodoločenostoritev
omogočajofiltriranjenapodlagipodatkovnaaplikacijskemnivojupolegpoljIP/TCP/UDP.
odjemalecnareditelnetpovezavosprehodom
prehodvzpostavioddaljenopovezavo
apl.prehod
usmerjevalnikinfilter
1.vsiuporabnikivzpostavljajotelnetpovezavoprekoprehoda,
2.samozaavtoriziraneuporabnikeprehodvzpostavipovezavodociljnegastrežnika.Prehodposredujepodatkemed2povezavama,
3.usmerjevalnikblokiravsetelnetpovezaverazen-s-h,kiizvirajoodprehoda
Aplikacijskiprehodi
Tudiaplikacijskiprehodiimajoomejitve:
čeuporabnikipotrebujejovečaplikacij(telnet,HTTP,FTPitd.),potrebujevsakaaplikacijasvojaplikacijskiprehod,
odjemalcejepotrebnonastavi-,daseznajopoveza-sprehodom(npr.IPnaslovmedstrežnikavbrskalniku)
Aplikacijskiprehodi
PožarnizidkotfilterpaketovfiltrirasamonapodlagiglaveIP,TCP,UCPinICMP,karneomogočazaznavanjavsehnapadov‐zatojepotrebnopogleda-tudipodatkevpaketu primerinapadov:portscan,TCPstackscan,DoSnapad,črvi,virusi,napadinaOS,napadinaaplikacije
dodatnanaprava‐IDS,kiizvajapoglobljenoanalizopaketov.Napodlagivstopasumljivihpaketovvomrežjelahkonapravapreprečinjihovvstopalirazpošljeobves-la.
sistemzazaznavanjevdorov(IDS)pošljesporočiloopotencialnoškodljivemprometu
sistemzapreprečevanjevdorov(IPS)filtrirasumljivpromet
Cisco,CheckPoint,SnortIDS
Sistemizazaznavanjevdorov
Sistemizazaznavanjevdorov
vomrežjuimamolahkovečIDS/IPSnaprav(koristnozaradizahtevnegaprimerjanjavsebinpaketovsshranjenimivzorci)
WWWstrežnik
FTPstrežnik
DNSstrežnik
aplikacijskiprehod
Internet
območjenižjevarnos-("demilitariziranazona")
območjevisokevarnos-(notranjeomrežje)
požarnizid
Načinizaznavanjavdorov
KakodelujeIDS/IPS?
primerjavasshranjenimivzorcinapadov(angl.signatures) opazovanjene-pičnegaprometa(angl.anomaly‐based)
Zaznavanjezvzorcinapadov
vzorcinapadovlahkohranijoizvorniIP,ponorniIP,protokol,zaporedjebitovvpodatkihpaketa,lahkosovezaninaserijopaketov
varnostjetorejodvisnaodbazeznanihvzorcev;IDS/IPSslabozaznavašenevidenenapade
možnilažnialarmi
zahtevnoprocesiranje(lahkospregledanapad)
Zaznavanjezzaznavanjemne-pičnegaprometa
sistemopazujeobičajenprometinizračunasta-s-ke,vezanenanj
sistemreagiranasta-s-čnoneobičajenpromet(npr.nenadnovelikdeležICMPpaketov)
možnozaznavanješenevidenihnapadov
težkoločevanjemednormalniminnenavadnimprometom
PrimerIDS/IPSsistema
SnortIDS public‐domain,odprtokodniIDSzaLinux,UNIX,Windows(uporabljaistoknjižnicozabranjeomrežnegaprometakotWireshark)
primervzorcanapada
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"ICMP PING NMAP"; dsize: 0; itype: 8;)
reagirajnaVESDOHODNIICMPprometprazenpaket(dolžina0)in
ICMP-p8(=PING)stalastnos-NMAPnapada
sporočilozaadministratorja
Pogos-napadinaomrežnesisteme
NAMEN?Namenjenisoškodovanjualiobhoduračunalniškihinomrežnihfunkcij.
ZAKAJ?Denarnadobrobit,škodovalnost,poneverbe,ekonomskedobrobi-.
KAKO?Ogrožanjezaupnos-,integriteteinrazpoložljivos-omrežnihsistemov napadisspreminjanjeminformacij(modifica3onaJack) zanikanjekomunikacije(repudia3onaJack)
odpoveddelovanjasistema(denial‐of‐serviceaJack) nepooblaščendostop(accessaJack)
Pogos-napadinaomrežnesisteme
Pridobivanjeinformacij• Google
• socialniinženiring• brskanjeposmetek
Aktivnopregledovanje• pregledvrat
• iskanjevarnostnihranljivosti• pregledarhitekture
Napad• izkoriščanjeranljivosti• izkoriščanjesistemov
Vzdrževanjedostopa• trojanskikonji/virusi• zakrivanjedokazov
• zavarovanjedostopasamozase• PONOVI
Pogos-napadi pregledovanjesistema(reconnaissance):napadaleczrazličnimitehnikamiposkušaodkri-arhitekturosistema,storitvevnjemitd.
pomagapripravi-napadnasistem primer(war‐dialing)napadalecsklicanjemnanaključnetelefonskeštevilkeposkušaodkri-klicnoštevilkomodemazadostopdoomrežja
Pogos-napadi prisluškovanje(eavesdropping):prestrezanjeomrežnegaprometa,prisotnozlas-pribrezžičnihomrežjih(napadalecpridobigesla,številkekreditnihkar-c,...) pasivninapadalec ak-vninapadalec
Pogos-napadi1. šibkiključi2. matemaNčninapadinakriptografskealgoritmeinključe3. ugibanjegesel(bruteforce,napadsslovarjem)
4. virusi,črvi,trojanci5. izkoriščanješibkosNvprogramskiopremi
6. socialniinženiring(prekoe‐maila,telefona,servisov)
Kakoseobrani-gornjihnevarnos-?
Pogos-napadi5. pregledvrat(portscan):napadalectes-ra,kateristrežnikiso
delujoči(npr.ping)inkaterestoritveponujajo.Napadaleclahkopridobivapodatkeosistemu:DNS,storitve,operacijskisistemi)
6. brskanjeposmeteh(dumpsterdiving):način,skaterimlahkonapadalcipridejodoinformacijosistemu(navodilazauporabo,seznamigesel,telefonskihštevilk,organizacijadela)
7. matemaNčninapadinakriptografskealgoritmeinključe(bruteforce)
8. rojstnodnevninapad(birthdayaJack):jenapadnazgoščevalnefunkcije,zakaterezahtevamo,danobenidvesporočilinegenerirataistezgoščenevrednos-.Prislabšihfunkcijahnapadaleciščesporočilo,kibodaloistozgoščenovrednost.
Pogos-napadi
9. zadnjavrata(backdoor):napadaleczaobidevarnostnekontroleindostopidosistemaprekodrugepo-
10. ponarejanjeIPnaslovov(IPspoofing):napadalecprepričaciljnisistem,dajenekdodrug(poznan)sspreminjanjempaketov,
11. prestreganjekomunikacije(man‐in‐the‐middle):napadalecprestrežekomunikacijoinseobnaša,kotdajeciljnisistem(priuporabicer-fikatovlahkožrtevuporabljatudijavniključodnapadalca)
Pogos-napadi12. ponovitevkomunikacije(replay):napadalecprestrežein
shranistarasporočilaterjihponovnopošljekasneje,predstavljajočsekotedenizmedudeležencev kakopreprečimonapadesponovitvijokomunikacije?
13. ugrabitevTCPsej(TCPhijacking):napadalecprekinekomunikacjomeduporabnikomainsevrinevmestoenegaodnjiju;drugiverjame,daševednokomunicirasprvim kajnapadalecpridobistem?
14. napadisfragmentacijo(fragmenta3onaJack):zrazbijanjempaketanafragmenterazdelimoglavopaketamedfragmentetako,dajihpožarnizidnemorefiltrira- -nyfragmentaqack:deliglavoprvegapaketa
overlappingfragmentaqack:napačenoffsetprepišeprejšnjepakete
Pogos-napadi‐DoS(1/5)
15. preprečitevdelovanjasistema(Denial‐of‐Service) Ciljnapadalca:Obremeniomrežneviretako,dasenehajoodziva-zahtevamregularnihuporabnikov(npr.vzpostavitevvelikegaštevilapovezav,zasedanjediskovnihkapacitet,...)
DDoS(distributed):DoSnapad,kigapovzročinapadaleczvečomrežnihsistemovnaenkrat
uporabnikiporazdeljenihomrežnihsistemovlahkodanevejo,dajenapadalnaopremanameščenaprinjih
Pogos-napadi‐DoS(2/5)
Primeri: prekoračitevmedpomnilnika(bufferoverflow):procesupošljemovečpodatkov,kotlahkosprejme(Pingofdeath:ICMPzvečkot65Kpodatkovjepovzročilsesutjesistema)
SYNnapad:napadalecpošljevelikoštevilozahtevzavzpostavitevpovezaveinsenaodgovorsistemaneodzove;pridedopreobremenitvevrstezahtevvsistemu rešitev:omejitevštevilaodpr-hpovezav,-meout
napadTeardrop:napadalecspremenipodatkeošteviluindolžinifragmentovvIPpaketu,karzmedeprejemnika
napadSmurf(naslednjaprosojnica):uporabaposrednegabroadcastazapreobremenitevsistema
Pogos-napadi‐napadDoSSmurf(3/5)
napadalec
Internet
omrežje,vkateremdelabroadcast
žrtev
Pogos-napadi‐DoS(4/5) Uporababot‐ov(webroBOT)zaorganizacijonapadovnaciljnisistem bo-solahkoračunalniki,okuženistrojanskimikonji
njihoviuporabnikiobičajnonevejo,dasodelujejovnapadu
Pogos-napadi‐DoS(5/5) subjek-vnapadu:napadalec,centralniračunalnikzakrmiljenjebotov(herder),boN(zombie),cilj
Tehnikeobrambe Vomrežjuzadoščaleenšibkičlen‐najšibkejšiuporabnik,kiogroziomrežje.Administratormoraprepreči-prenosškodljivihprogramovnadelovnepostajeuporabnikovinzapre-varnostneluknjevinfrastrukturi(konfiguracija):
fizičnovarovanjeposodabljanjeprogramskeopremeuporabaan-virusnegaprograma
uporabapožarnegaziduvarovanjeuporabniškihračunovvarovanjedatotečnegasistemavarovanjeomrežnihdiskov
varovanjeaplikacij
Fizičnovarovanjesistema Omejimofizičendostopdostrežnikovinračunalnikov
zaklepanjeračunalnikov nastavigeslozazagon(CMOS/BIOS)
nastavigeslozadostopdoBIOSnastavitev(varnost,zagon,ipd.) onemogočizagonsistemazdisketinzgoščenk
Posodabljanjeaplikacij Posodabljamoprogramskoopremo(krpanje,patching),sčimerproizvjalecomogočipopravljanjevarnostnihlukenj administratorpotrebujenačrttes-ranja,uvajanjainnames-tvepopravkov
UporabaAV/požarnegazidu Uporabaan-virusnihprogramov
večmožnos-:names-tevnaodjemalcu/strežniku,avtomatskoposodabljanje,zaščitavrealnemčasu. Priporočeno:names-tevnaodjemalcu,kerškodljivaopremazačenjadelova-tam.AVnaaplikacijskihprehodihponavadiskrbijozapodmnožicoprotokolovna-s-lokaciji
posodabljanje(posameznoalicentralizirano)
Uporabapožarnegazidu vomrežju/osebnipožarnizid
Varovanjeuporabniškihračunov
Napadalciiščejoneuporabljane,neak-vne,nezaščiteneračunezadostopdosistema: preimenujuporabniškaimenaadministratorja(superuser,root,administrator),
omejišteviloračunovzvisokimiprivilegiji(ločeniadminračuni,pogostemenjavegesel),
onemogočiuporabostarihračunov, uporabljajkompleksnagesla
Varovanjedatotečnega/omrežnegasistema Zašči-datotečnisistem
zadostopdodatotečnegasistemadodeliuporabnikomnajmanjšepotrebnepravice
odstraninepotrebneaplikacije zašči-zagonskapodročja.Primer‐Windows:
1. c:\autoexec.bat2. c:\config.sys3. windir\wininit.ini‐Usuallyusedbysetupprogramstohaveafilerunonceandthengetdeleted.4. windir\winstart.bat5. windir\win.ini‐[windows]"load"6. windir\win.ini‐[windows]"run"7. windir\system.ini‐[boot]"shell"8. windir\system.ini‐[boot]"scrnsave.exe"9. windir\dosstart.bat‐UsedinWin95or98whenyouselectthe"RestartinMS‐DOSmode"inthe
shutdownmenu.10. windir\system\autoexec.nt11. windir\system\config.nt12. HKEY_LOCAL_MACHINE\So�ware\Microso�\Windows\CurrentVersion\RunServicesOnce13. HKEY_CURRENT_USER\So�ware\Microso�\Windows\CurrentVersion\RunServicesOnce14. HKEY_LOCAL_MACHINE\So�ware\Microso�\Windows\CurrentVersion\RunServices15. HKEY_CURRENT_USER\So�ware\Microso�\Windows\CurrentVersion\RunServices16. HKEY_LOCAL_MACHINE\So�ware\Microso�\Windows\CurrentVersion\RunOnce17. HKEY_LOCAL_MACHINE\So�ware\Microso�\Windows\CurrentVersion\RunOnceEx18. HKEY_LOCAL_MACHINE\So�ware\Microso�\Windows\CurrentVersion\Runregistrykey
19. HKEY_CURRENT_USER\So�ware\Microso�\Windows\CurrentVersion\Runregistrykey20. C:\DocumentsandSe�ngs\AllUsers\StartMenu\Programs\Startup21. C:\wont\Profiles\AllUsers\StartMenu\Programs\Startup22. C:\DocumentsandSe�ngs\AllUsers\StartMenu\Programs\Startup23. c:\windows\startmenu\programs\startup24. C:\DocumentsandSe�ngs\LoginName\StartMenu\Programs\Startup25. HKEY_CURRENT_USER\So�ware\Microso�\Windows\CurrentVersion\RunOnce26. HKEY_LOCAL_MACHINE\So�ware\Microso�\Windows\CurrentVersion\Policies\Explorer\Run27. HKEY_CURRENT_USER\So�ware\Microso�\Windows\CurrentVersion\Policies\Explorer\Run28. HKEY_LOCAL_MACHINE\So�ware\Microso�\WindowsNT\CurrentVersion\Winlogon\Userinit29. HKEY_CURRENT_USER\So�ware\Microso�\WindowsNT\CurrentVersion\Windows\load30. HKEY_LOCAL_MACHINE\SOFTWARE\Microso�\WindowsNT\CurrentVersion\Winlogon\No-fy31. HKEY_LOCAL_MACHINE\So�ware\Microso�\WindowsNT\CurrentVersion\Windows32. HKEY_LOCAL_MACHINE\SOFTWARE\Microso�\Windows\CurrentVersion
\ShellServiceObjectDelayLoad33. HKEY_LOCAL_MACHINE\SOFTWARE\Microso�\Windows\CurrentVersion\Explorer
\SharedTaskScheduler
Varovanjeaplikacij pravilnanastavitevaplikacij(privzetevrednos-nisovednonajboljvarne!)
odstranitevodvečnihaplikacij onemogočanjepriponkve‐mailu onemogočanjeizvajanjenevarnih-povdatotek
nameščanjeaplikacijnanestandarnavratainvnestandardnemape
...
Naslednjičgremonaprej!
varnost: varnaomrežnainfrastruktura podatkizadelovanjeomrežja
77
Recommended