Upload
yandex
View
163
Download
14
Embed Size (px)
DESCRIPTION
Citation preview
Сетевая безопасность, DDoS-атаки, VPN и IPSec
Антон Карпов
3
Модель TCP/IP
ПрикладнойТранспортный
СетевойКанальный
4
Уязвимости канального уровня
5
Уязвимости канального уровня
Коммутаторы рассылают Config BPDU Config BPDU содержит Bridge ID: Priority+MAC Коммутатор с наименьшим Bridge ID становится Root Bridge
Атаки на STP
6
Уязвимости канального уровня
Атаки на L2 VLANVLAN hopping
- Switch spoofing- Double tagging
Trunk port DTP (Dynamic Trunking Protocol) Native VLAN
7
Уязвимости канального уровня
Атаки на L2 VLANУстановить порт в access mode Выключить auto negotiation на порту Выключить DTP на портах Не использовать Native VLAN Включить принудительное тегирование всех VLAN
8
Уязвимости канального уровня
Переполнение CAM-таблицы коммутатора Флуд DHCP-запросами Атаки на протокол CDP
DDoS-атаки
10
Классификация
Исчерпание полосы пропускания Исчерпание ресурсов системы Эксплуатация уязвимостей системы
11
Как измерять DDoS-атаку?
Mbps/Gbps? Mpps? krps? кол-во ботов в ботнете?
12
SYN flood
13
HTTP Slow GET/POST
14
DNS Amplification
Открытые рекурсивные DNS-резолверы EDNS0 (RFC2671) DNSSEC (RRSIG, DNSKEY)
15
DNS Amplification
dig @1.2.3.4 isc.org any
Запрос: 64 байта Ответ: 3333 байт Плечо усиления 50 раз
isc.org. 7200 IN RRSIG SPF 5 2 7200 20141119233238 20141020233238 4521 isc.org. PnE7/L/4iqYkYbCpXgFBuxZjjr1g7Sk9PiCy9E/o7hZfDm3BEf7p179d v3O8WoV+1XjIqiLdws9DbqoMkp5ShOlCYtRS3vn7CrYo5hgHuRkEPv9T PH4yjPfA/3QUZz2PM+PvDa+K13OGedG1GGXEFQnpu3JUm6IGEor7TjHG hKo=
isc.org. 7200 IN SPF "v=spf1 a mx ip4:204.152.184.0/21 ip4:149.20.0.0/16 ip6:2001:04F8::0/32 ip6:2001:500:60::65/128 ~all"
isc.org. 7200 IN RRSIG DNSKEY 5 2 7200 20141119230127 20141020230127 4521 isc.org. on6wbwGMS6aVnhSfxjcnp1udQjcQIlUpCP3BQdRq24PSqcaZyOBScWbM DqU/V43bQc82y2Uwc9Cvr7iOHxdzhnFrPogzRE0r5jkkexl8bw3hEYD/ 3GwIyVzFG/+pgzvHFm7O7NhJBvhi+bnkGGn1zmgqWQ3L9CcvIc8NiT79 FeQ=
isc.org. 7200 IN RRSIG DNSKEY 5 2 7200 20141119230127 20141020230127 12892 isc.org. lJ2nlj6WALvcsXVgMsTHiaV3b4SPVUzkEMjoaeOhhxWY6nm4mfiC5KJm x1WuDsSI1kunwNbe9xsLfe8KXsmryZ19u9nxYZ/q2q5wYrTk9KiMuhSV fcc4XdeZOlMa6j8naXbjJOOcptx8bGBhlUs6Llt8Y2vfIG7DNuww/l7+ Q+L08WWBLY5T4Pam99Su47xKmCUG2vrGK76+LFE8+7viHr8VqDf+mu0g bCdHuvcNVAkm4eOAVP+rfWAlFFJkaLs/ZlKQwphZgkfgAbUuSNypYOFb ZYcwm7Wk5EQUfeOk7MqdxYjiVex0L5ZFFZw7WF1gVPRgce1uep2P4FLC q/hPaA==
isc.org. 7200 IN DNSKEY 256 3 5 AwEAAbJpDF4RemdHHE/HrJJhR3zpzAQ6zsHqFv0i4lCWTUf4sX+cq3vS u7fKO4QJtm97S1sbcnmHonVE3QPzLOsqsY630Wy5JzrPK3gUvQLgfIso vo2v+dosITL8WbvjU1mEXhIwfuuBhYmYSKySZ0X9gpHGhdxRd+J8M7ri PfN7kHLP
16
NTP AmplificationNTP MONLIST Плечо усиления порядка 20
17
Ingress filtering
BCP38 (RFC2827): Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing, 2000
BCP84 (RFC3704): Ingress Filtering for Multihomed Networks, 2004
Unicast Reverse Path Forwarding (uRPF) - Strict RPF - Loose RPF
VPN и IPSec
19
VPN
Виртуальная сеть, использующая в качестве каналов связи существующую коммуникационную инфраструктуру Обеспечение безопасности данных производится путем шифрования трафика
20
IPSecРаботает на сетевом уровне Прозрачен для сетевых приложений Модульная архитектура, различные комбинации режимов работы
Обеспечение целостности (протокол AH) и целостности+конфиденциальности (протокол ESP)
21
Транспортный режим работы IPSecОбеспечивается аутентификация или шифрование поля данных IP-пакета
Информация сетевого уровня известна (отправитель и адресат)
Обычно это host-to-host взаимодействие
22
Туннельный режим работы IPSec
Обеспечивается аутентификация или шифрование всего пакета, включая IP-заголовок Это классический VPN
23
IPSec. AH заголовокЗащита от подмены исходного пакета, включая адрес отправителя
AH заголовок располагается после IP-заголовка Несовместим с NAT
24
AH Transport
25
AH Tunnel
26
IPSec. ESP заголовокОбеспечивает конфиденциальность передаваемых данных Опционально выполняет аутентификацию payload
(HMAC) или всего IP-пакета (если вместе с AH)
27
ESP Transport
28
ESP Tunnel
29
30
Security AssociationОба хоста на каждой стороне SA хранят в SADB информацию о режие, протоколе, ключах и алгоритмах, используемые в соединении Каждый SA реализуется в одном направлении. Для двунаправленной связи надо два SA
Security Policy Database (SPD) указывает для пакета одно из трех действий: - Отбросить пакет- Принять пакет, но не обрабатывать с помощью IPSec - Обработать с помощью IPSec
31
Управление ключами
Аутентификация с помощью общего секрета, цифровых сертификатов и т.п.
IKE (Internet Key Exchange) ISAKMP (Internet Security Association Key
Management Protocol)
32
Пример использования
33
Настройка IPSecВключить маршрутизацию и ESP Сконфигурировать ключи Запустить демон обмена ключами (isakmpd) Описать политики IPSec Настроить фаервол для пропускания IPSec-трафика
34
Пример настройки OpenBSD
net.inet.ip.forwarding=1!net.inet.esp.enable=1!net.inet.ipcomp.enable=1
ike esp from 192.168.1.0/24 to 192.168.2.0/24 peer 5.6.7.8 !ike esp from 1.2.3.4 to 192.168.2.0/24 peer 5.6.7.8!ike esp from 1.2.3.4 to 5.6.7.8
/etc/sysctl.conf
/etc/ipsec.conf
pass on $ext_if proto esp from 5.6.7.8!pass on $ext_if proto udp from 5.6.7.8 port isakmp!pass on enc0 proto ipencap from 192.168.2.0/24!pass on enc0 from 192.168.2.0/24
/etc/pf.conf