Сетевая безопасность, DDoS-атаки, VPN и IPSec

Антон Карпов

3

Модель TCP/IP

ПрикладнойТранспортный

СетевойКанальный

4

Уязвимости канального уровня

5

Уязвимости канального уровня

Коммутаторы рассылают Config BPDU Config BPDU содержит Bridge ID: Priority+MAC Коммутатор с наименьшим Bridge ID становится Root Bridge

Атаки на STP

6

Уязвимости канального уровня

Атаки на L2 VLANVLAN hopping

- Switch spoofing- Double tagging

Trunk port DTP (Dynamic Trunking Protocol) Native VLAN

7

Уязвимости канального уровня

Атаки на L2 VLANУстановить порт в access mode Выключить auto negotiation на порту Выключить DTP на портах Не использовать Native VLAN Включить принудительное тегирование всех VLAN

8

Уязвимости канального уровня

Переполнение CAM-таблицы коммутатора Флуд DHCP-запросами Атаки на протокол CDP

DDoS-атаки

10

Классификация

Исчерпание полосы пропускания Исчерпание ресурсов системы Эксплуатация уязвимостей системы

11

Как измерять DDoS-атаку?

Mbps/Gbps? Mpps? krps? кол-во ботов в ботнете?

12

SYN flood

13

HTTP Slow GET/POST

14

DNS Amplification

Открытые рекурсивные DNS-резолверы EDNS0 (RFC2671) DNSSEC (RRSIG, DNSKEY)

15

DNS Amplification

dig @1.2.3.4 isc.org any

Запрос: 64 байта Ответ: 3333 байт Плечо усиления 50 раз

isc.org. 7200 IN RRSIG SPF 5 2 7200 20141119233238 20141020233238 4521 isc.org. PnE7/L/4iqYkYbCpXgFBuxZjjr1g7Sk9PiCy9E/o7hZfDm3BEf7p179d v3O8WoV+1XjIqiLdws9DbqoMkp5ShOlCYtRS3vn7CrYo5hgHuRkEPv9T PH4yjPfA/3QUZz2PM+PvDa+K13OGedG1GGXEFQnpu3JUm6IGEor7TjHG hKo=

isc.org. 7200 IN SPF "v=spf1 a mx ip4:204.152.184.0/21 ip4:149.20.0.0/16 ip6:2001:04F8::0/32 ip6:2001:500:60::65/128 ~all"

isc.org. 7200 IN RRSIG DNSKEY 5 2 7200 20141119230127 20141020230127 4521 isc.org. on6wbwGMS6aVnhSfxjcnp1udQjcQIlUpCP3BQdRq24PSqcaZyOBScWbM DqU/V43bQc82y2Uwc9Cvr7iOHxdzhnFrPogzRE0r5jkkexl8bw3hEYD/ 3GwIyVzFG/+pgzvHFm7O7NhJBvhi+bnkGGn1zmgqWQ3L9CcvIc8NiT79 FeQ=

isc.org. 7200 IN RRSIG DNSKEY 5 2 7200 20141119230127 20141020230127 12892 isc.org. lJ2nlj6WALvcsXVgMsTHiaV3b4SPVUzkEMjoaeOhhxWY6nm4mfiC5KJm x1WuDsSI1kunwNbe9xsLfe8KXsmryZ19u9nxYZ/q2q5wYrTk9KiMuhSV fcc4XdeZOlMa6j8naXbjJOOcptx8bGBhlUs6Llt8Y2vfIG7DNuww/l7+ Q+L08WWBLY5T4Pam99Su47xKmCUG2vrGK76+LFE8+7viHr8VqDf+mu0g bCdHuvcNVAkm4eOAVP+rfWAlFFJkaLs/ZlKQwphZgkfgAbUuSNypYOFb ZYcwm7Wk5EQUfeOk7MqdxYjiVex0L5ZFFZw7WF1gVPRgce1uep2P4FLC q/hPaA==

isc.org. 7200 IN DNSKEY 256 3 5 AwEAAbJpDF4RemdHHE/HrJJhR3zpzAQ6zsHqFv0i4lCWTUf4sX+cq3vS u7fKO4QJtm97S1sbcnmHonVE3QPzLOsqsY630Wy5JzrPK3gUvQLgfIso vo2v+dosITL8WbvjU1mEXhIwfuuBhYmYSKySZ0X9gpHGhdxRd+J8M7ri PfN7kHLP

16

NTP AmplificationNTP MONLIST Плечо усиления порядка 20

17

Ingress filtering

BCP38 (RFC2827): Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing, 2000

BCP84 (RFC3704): Ingress Filtering for Multihomed Networks, 2004

Unicast Reverse Path Forwarding (uRPF) - Strict RPF - Loose RPF

VPN и IPSec

19

VPN

Виртуальная сеть, использующая в качестве каналов связи существующую коммуникационную инфраструктуру Обеспечение безопасности данных производится путем шифрования трафика

20

IPSecРаботает на сетевом уровне Прозрачен для сетевых приложений Модульная архитектура, различные комбинации режимов работы

Обеспечение целостности (протокол AH) и целостности+конфиденциальности (протокол ESP)

21

Транспортный режим работы IPSecОбеспечивается аутентификация или шифрование поля данных IP-пакета

Информация сетевого уровня известна (отправитель и адресат)

Обычно это host-to-host взаимодействие

22

Туннельный режим работы IPSec

Обеспечивается аутентификация или шифрование всего пакета, включая IP-заголовок Это классический VPN

23

IPSec. AH заголовокЗащита от подмены исходного пакета, включая адрес отправителя

AH заголовок располагается после IP-заголовка Несовместим с NAT

24

AH Transport

25

AH Tunnel

26

IPSec. ESP заголовокОбеспечивает конфиденциальность передаваемых данных Опционально выполняет аутентификацию payload

(HMAC) или всего IP-пакета (если вместе с AH)

27

ESP Transport

28

ESP Tunnel

29

30

Security AssociationОба хоста на каждой стороне SA хранят в SADB информацию о режие, протоколе, ключах и алгоритмах, используемые в соединении Каждый SA реализуется в одном направлении. Для двунаправленной связи надо два SA

Security Policy Database (SPD) указывает для пакета одно из трех действий: - Отбросить пакет- Принять пакет, но не обрабатывать с помощью IPSec - Обработать с помощью IPSec

31

Управление ключами

Аутентификация с помощью общего секрета, цифровых сертификатов и т.п.

IKE (Internet Key Exchange) ISAKMP (Internet Security Association Key

Management Protocol)

32

Пример использования

33

Настройка IPSecВключить маршрутизацию и ESP Сконфигурировать ключи Запустить демон обмена ключами (isakmpd) Описать политики IPSec Настроить фаервол для пропускания IPSec-трафика

34

Пример настройки OpenBSD

net.inet.ip.forwarding=1!net.inet.esp.enable=1!net.inet.ipcomp.enable=1

ike esp from 192.168.1.0/24 to 192.168.2.0/24 peer 5.6.7.8 !ike esp from 1.2.3.4 to 192.168.2.0/24 peer 5.6.7.8!ike esp from 1.2.3.4 to 5.6.7.8

/etc/sysctl.conf

/etc/ipsec.conf

pass on $ext_if proto esp from 5.6.7.8!pass on $ext_if proto udp from 5.6.7.8 port isakmp!pass on enc0 proto ipencap from 192.168.2.0/24!pass on enc0 from 192.168.2.0/24

/etc/pf.conf