Varnostnielemen-:IPsec,SSLininfrastruktura

IPSec  IPsecurityprotocol(varnostnaomrežniplas-)

 uporabazavarovanjepovezavmeddvemaen-tetama,uporabazaVPN(navideznazasebnaomrežja)!

 varnostnaomrežniplas-:  zakrivanjevsehvrstpodatkov(TCPsegment,UDPsegment,ICMPsporočilo,OSPFsporočiloitd.)

  zagotavljanjeavten-kacijeizvora  integritetapodatkovpredspreminjanjem

  zaščitapredponovitvijokomunikacije

 RFC2411:pregledmehanizmovindelovanjaIPSec

Navideznazasebnaomrežja(VPN) angl.VirtualPrivateNetwork podjetja,kisonarazličnihgeografskihlokacijah,silahkoželijovisokevarnos-prikomunikaciji.Rešitvi:1.  gradnjaZASEBNEGAomrežja:podjetjezgradilastnoomrežje,popolnoma

ločenoodpreostalegaInterneta(dragapostavitevinvzdrževanje‐potrebniusmerjevalniki,povezave,infrastruktura!)

2.  podjetjevzpostaviNAVIDEZNOZASEBNOomrežje(VNP)zinfrastrukturojavnegaomrežja:  podatkiznotrajlokalnih(zasebnih)delovomrežjaseprenašajotradicionalno

(IP),

  podatki,kipotujejoprekojavnihdelovomrežjaseprenašajozaščiteno(IPSec)

IP glava

IPsec glava

VAROVANI podatki

IP

glav

a IP

sec

glav

a VA

RO

VAN

I po

datk

i

glavnapisarna podružnica

delavecnaterenu

računalnikzIPSec

UsmerjevalnikzIPv4inIPsec

UsmerjevalnikzIPv4inIPsec

Javnoomrežje

VPN:primer

ImplementacijaIPsec mehanizemIPSecponujadvaprotokolavarovanja:

  AH‐Authen3ca3onHeader  zagotavljaavten-kacijoizvorainintegritetopodatkov

  ESP‐Encapsula3onSecurityPayload  zagotavljaavten-kacijoizvora,integritetopodatkovINzaupnostpodatkov

  zavsakosmerIPSeckomunikacijejepotrebnovzpostavi-SA(SecurityAssocia-on)  primer:glavnapisarnainpodružnicauporabljatadvosmernokomunikacijo.Ravnotakoglavnapisarnauporabljadvosmernokomunikacijozndelavcinaterenu.KolikoSAjepotrebnovzpostavi-? 2+2n

VzpostavitevSA

  UsmerjevalnikimabazoSAD(SecurityAssocia3onDatabase),kjerhranipodatkeoSA:

  32bitniIDSA,imenovanSPI(SecurityParameterIndex)

  izvorniinponorniIPSA  vrstaenkripcije(npr.3DES)inključ  vrstapreverjanjaintegritete(npr.HMAC/MD5)

  ključzaavten-kacijo

IPsec IPsec

200.168.1.100 193.68.2.23SA

2načinakomunikacije  transportmode‐implemen-ranmedkončnimiodjemalci(vmesnikiračunalnikov),šči-zgornjeplas-protokola.Transparentnovmesnikom,krip-rasamopodatkevpaketu.

  tunnelmode‐transparentnokončnimodjemalcem,usmerjevalnik‐usmerjevalnikaliusmerjevalnik‐uporabnik.Krip-rapodatkeinglavopaketa.

TransportmodezAH

TransportmodezESP

TunnelmodezAH

TunnelmodezESP

Najboljpogosto!

IPsecTransportMode

  IPsecdatagrampotujemedkončnimasistemoma  šči-molezgornjeplas-

IPsec IPsec

IPsec–tunnelingmode

  IPsecseizvajanakončnihusmerjevalnikih  zaodjemalceninujno,daizvajajoIPsec

IPsec IPsec

IPsec IPsec

  Poglejmosi,kakodelujenajboljpogostouporabljenIPSecnačin

 Originalnipodatki:

IPsecdatagram:tunnelmodeinESP

originalna IP glava

originalni IP podatki

  nakonecdatagramasedodaESPglava(zapolnitevjepotrebnazabločnokodiranje,nextheaderjeprotokol,vsebovanvpodatkih)

  rezultatsekrip-ra(algoriteminključdoločaSA!)

IPsecdatagram:tunnelmodeinESP

originalna IP glava

originalni IP podatki

ESP rep

kriptirano

padding pad length

next header

  dodaseESPglava:rezultatje"enchilada"(SPI‐indeksSA,kisegauporabizadoločanjenastavitev,Seq#‐zaščitapro-ponovitvikomunikacije)

IPsecdatagram:tunnelmodeinESP

originalni IP podatki

ESP rep

kriptirano

padding pad length

next header

originalna IP glava

ESP glava

SPI Seq #

"enchilada"

  dodasepoljeESPauth,kijeizračunanazgoščenavrednostcele"enchilade".AlgoriteminključdoločaSA.

IPsecdatagram:tunnelmodeinESP

originalni IP podatki

ESP rep

kriptirano

padding pad length

next header

originalna IP glava

ESP glava

SPI Seq #

"enchilada"

ESP auth

  izdelasenovaIPglava,kisedodapredpodatke  oblikujesenovIPpaket,kiseklasičnopošljeskoziomrežje

IPsecdatagram:tunnelmodeinESP

originalni IP podatki

ESP rep

kriptirano

padding pad length

next header

originalna IP glava

ESP glava

SPI Seq #

"enchilada"

ESP auth

nova IP glava

GLAVA PODATKI

  Kajjevnoviglavipaketa?  protokol=50(pomeni,dasopodatkiESP)

  IPpošiljateljainprejemnikastavozlišči,medkaterimapotekaIPsec(usmerjevalnikaR1inR2)

  Kajnarediprejemnik(R2)?  izSPIvglavipoiščepodatkeoSA,preveriMACenchilade,preveriSeq#,odkodiraenchilado,odstranizapolnitev,ekstrahirapodatke,posredujeciljnemuračunalniku

IPsecdatagram:tunnelmodeinESP

193.68.2.23200.168.1.100

172.16.1/24172.16.2/24

SA

R1 R2

  TodoločaSecurityPolicyDatabase(SPD):določa,alinajsedatagramšči-gledenaizvorniIP,ponorniIPin-pprotokola

 Določa,kateriSAnajseuporabi

  SPDdoloča“KAJ”naredi-zdatagramom

  SADdoloča"KAKO"tonaredi-!

Kakoizbra-datagramezaIPseczaščito?

KakšnozaščitoponujaIPsec? Denimo,dajeJaneznašman‐in‐the‐middlemedR1inR2.Janeznepoznaključev.Kajlahkonaredi?

  Alilahkovidivsebinodatagrama,izvor,ponor,protokol,port?

  Alilahkospremenibitevpaketu?  AlilahkopošiljavimenuR1?

  Alilahkoponovikomunikacijo?

ProtokolIKE  IKE(angl.InternetKeyExchange),protokolzaizmenjavoključevprekointerneta

  PriIPsecjepotrebnovzpostavi-SAmedodjemalci,npr:PrimervzpostavljenegaSA:

SPI:12345SourceIP:200.168.1.100DestIP:193.68.2.23Protocol:ESPEncryp-onalgorithm:3DES‐cbcHMACalgorithm:MD5Encryp-onkey:0x7aeaca…HMACkey:0xc0291f…

  RočnodoločanjeSAjeneprak-čnoinzamudno:potrebnogajedoloči-zavsakosmerkomunikacijeinvsakparodjemalcev!

  Rešitev:uporabimoprotokolIPsecIKE

IKEima2fazi  IKEuporabljaPKIaliPSK(pre‐sharedkey)zaavten-kacijoodjemalcevmedseboj.Imadvefazi:  Faza1:VzpostavidvosmerenIKESA

  IKESAjeločenSAodIPsecSA,kiseuporabljasamozaizmenjavoključev(imenujesetudiISAKMPSA)

  vIKESAsevzpostaviključzavarovanjenadaljnekomunikacijegledeizmenjaveključev(avten-kacijaseizvedesPSK,PKIalipodpisom)

  dvanačina:Aggressivemode(krajši,vendarrazkrijeiden-tetoodjemalcev)inMainmode(daljši,skrijeiden-teto)

  Faza2:IKEgeneriraključezadrugestoritve,kotjenprIPsec.VzpostavisetorejIPsecSA:  edininačin:QuickMode

  Širokouporabljenvarnos-protokol  podprtskorajvvsehbrskalnikihinnavsehstrežnikih(hqps)  zuporaboSSLseopraviza10milijarddolarjevnakupovletno

  RazvilgajeNetscapeleta1993  Večvrst

  TLS:transportlayersecurity,RFC2246  Zagotavljazaupnost,integriteto,avten-kacijo  Ciljiprirazvoju:

  uporabaprispletnihtransakcijah  zakrivanjepodatkov(šeposebejštevilkkreditnihkar-c)  avten-kacijaspletnihstrežnikov  možnostavten-kacijeodjemalca  čimmanjšinaporpriopravljanjunakupapridrugemprodajalcu

SSL:SecureSocketsLayer

22

SSLandTCP/IP

Application

TCP

IP

Običajnaaplikacija

Application

SSL

TCP

IP

aplikacijasSSL

•  DostopenvsemTCPaplikacijamprekoaplikacijskegavmesnikaSSL

ZasnovaSSLLahko bi ga zasnovali na osnovi kriptografije PKI (kriptiranje z javnim ključem prejemnika, zasebnim ključem pošiljatelja, uporaba zgoščevalnih funkcij), vendar...

•  želimo pošiljati tokove BYTEOV in interaktivne podatke, ne statična sporočila,

•  za eno povezavo želimo imeti MNOŽICO ključev, ki se spreminjajo,

•  kljub temu želimo uporabljati certifikate (ideja: uporabimo jih pri rokovanju)

PoenostavljeniSSL

PoglejmonajprejpoenostavljenoidejoprotokolaSSL.Tavsebujenaslednje4faze:

  1.ROKOVANJE:AnainBraneuporabitacer-fikate,daseavten-cirataedendrugemuinizmenjataključ

  2.IZPELJAVAKLJUČA:AnainBraneuporabitaizmenjaniključ,daizpeljetamnožicoključev

  3.PRENOSPODATKOV:Podatki,kiseprenašajo,sozdruženivZAPISE.

  4.ZAKLJUČEKPOVEZAVE:Zavarenzaključekpovezaveseuporabijoposebnasporočila

PoenostavljeniSSL:Rokovanje

 MS=glavniključ(mastersecret)  EMS=krip-raniglavniključ(encryptedmastersecret)

  KB+‐javniključprejemnikaB

hello

certificate

KB+(MS)=EMS

26

PoenostavljeniSSL:Izpeljavaključa  Slabapraksajeuporablja-is-ključzavečkriptografskihoperacij,zato:uporabimoposebenključzazakrivanjeinposebnegazapreverjanjeintegritete(MAC)

  Uporabljamotorej4ključe:  Kc=ključzazakrivanjepodatkov,poslanihododjemalcastrežniku

  Mc=ključzazgoščanjepodatkov,poslanihododjemalcastrežniku

  Ks=ključzazakrivanjepodatkov,poslanihodstrežnikaodjemalcu  Ms=ključzazgoščanjepodatkov,poslanihodstrežnikaodjemalcu

  Ključiseizpeljejozuporaboposebnefunkcije.Tauporabljaglavniključ(MasterSecret)indodatne(naključne)podatkezageneriranjenaslednjihključev

PoenostavljeniSSL:Pošiljanjepodatkov

 Kakopreveri-integritetopodatkov?  čebipošijalipozlogih(byteih),kambipripeliMAC(zgoščenovrednostsporočila)?

  TudičeMACpošljemopozaključkucelegaprenosa(vsehzlogov),nimamovmesnegapreverjanjaintegritete!

 REŠITEV:TokpodatkovrazbijemovZAPISE  vsakemuzapisupripnemoMAC  prejemniklahkoreagirana(ne)veljavnostintegriteteposameznegazapisa

PoenostavljeniSSL:Pošiljanjepodatkov  Problem1:številkapaketasenahajanekrip-ranavglaviTCP.Kajlahkonaredinapadalec?  napadaleclahkozajameinponovikomunikacijo?

  preštevilčivrstniredpaketov?  prestrežeinodstranipaket?

  REŠITEV:priračunanjuMACupoštevajštevilkopaketa  MAC=MAC(ključMx,zaporedna_številka||podatki)

  nimamoločeneštevilkepaketa

  zaščitapro-ponovitvikomunikacije:uporabienkratnižeton

PoenostavljeniSSL:Pošiljanjepodatkov  Problem2:napadalecpredčasnozaključisejo

  Enaaliobestranidobitav-s,dajepodatkovmanj,kotjihje.

  REŠITEV:uvedimoposeben"-pzapisa",kinosiposebnovrednost,čegrezazaključnipaket  npr:0pomenipodatke,1pomenizaključek

  uporabimovrednostpriizračunuMACMAC=MAC(ključMx,zaporedna_št||tip||podatki)

length type data MAC

hello

certifikat,žeton

KB+(MS)=EMS

type0,seq1,datatype0,seq2,data

type0,seq1,data

type0,seq3,data

type1,seq4,close

type1,seq2,close

zakrito

PoenostavljeniSSL:Primer

PraviSSL:podrobnos-  Kakšnesodolžinepoljvprotokolu?  Kateriprotokolizazakrivanjenajseuporabijo?Dogovorouporabiprotokola:  Želimo,daodjemalecinstrežniklahkoizbiratainsedogovarjataokriptografskihalgoritmih(angl.nego3a3on,odjemalecponudi,strežnikizbere)

  Najpogostejšisimetričnialgoritmi  DES–DataEncryp-onStandard:block  3DES–Triplestrength:block  RC2–RivestCipher2:block  RC4–RivestCipher4:stream

  NajpogostejšialgoritemzaPKIkriptografijo  RSA

PraviSSL:Rokovanje  PoenostavljeniSSL:hello‐>,<‐cer-fikat,krip-ranMS‐>  PraviSSLdejanskoizvaja:avten-kacijostrežnika,izbiro

algoritmov,določanjeključev,avten-kacijoodjemalca(opcijsko)

  Postopek:

1 • odjemalecpošljeseznampodpr-halgoritmov+žeton

2 • Strežnikizberealgoritemsseznama,vrneizbiro,cer-fikatinsvojžeton

3• odjemalecprevericer-fikat,generiraPMS,zjavnimključemstrežnikagakrip-rainpošljestrežniku

4 • odjemalecinstrežnikneodvisnoizračunataenkripcijskeinMACključeizPMSinžetonov.

5 • odjemalecpošljeMACodvsehsporočilvrokovanju.

6 • StrežnikpošljeMACvsehsporočilvrokovanju.

PraviSSL:Rokovanje1.  ZakajizmenjavaMACvkorakih5in6?

  odjemalecobičajnoponudivečalgoritmov,nekaterisošibki,drugimočnejši.Napadalecbilahkoizbrisalizponudbemočnejšealgoritme.

  Zadnjidvesporočilozagotavljataintegritetovsehprenešenihsporočilinpreprečitataknapad

2.  Zakajuporabažetonov?  Denimo,daZeldaposlušasporočilamedAnoinBranetomterjihshrani.NaslednjidanpošljeZeldaBobupopolnomaenakasporočila,kotjihjeprejšnjidanposlalaAna:  ČeimaBranetrgovino,bomislil,daAnaponovnonaročaar-kle,  Branezavsakokomunikacijouporabidrugžeton,takoZeldanebomoglaponovi-istekomunikacije

SSL:pretvorbavzapise

podatki

fragmentpodatkov fragmentpodatkovMAC MAC

zakritipodatkiinMAC

zakritipodatkiinMAC

glavazapisa

glavazapisa

•  GLAVAZAPISA:vrstavsebine(1B);SSLverzija(2B);dolžina(3B)•  MAC:zaporedna_številka;MACključMx•  FRAGMENT:vsakjedolgdo214bytes(~16Kbytes)

handshake:ClientHello

handshake:ServerHello

handshake:Certificate

handshake:ServerHelloDone

handshake:ClientKeyExchangeChangeCipherSpec

handshake:Finished

ChangeCipherSpec

handshake:Finished

application_data

application_data

Alert:warning,close_notify

Primerpravegarokovanja

Odtunaprejjevsezakrito

SSL:izpeljavaključev  ŽetonaodjemalcainstrežnikaterPMSseuporabijovfunkciji,kiizračunavapsevdo‐naključnaštevila.DobimoMS(mastersecret).

 MSinnovižetonisevstavijovdruginaključnigenerator,dobimoBLOK.BLOKserazrežena6delov,dasedobi:  MACključodjemalca  MACključsrežnika  enkripcijskiključodjemalca  enkripcijskiključstrežnika  inicializacijskivektor(IV)odjemalca  inicializacijskivektor(IV)strežnika

enakokotpripoenostavljenemSSL!

KAJJETOLE?

potrebnasta,kadaruporabljamosimetričenalgoritemzbločnokriptografijo(3DESaliAES),kipotrebujetainicializacijo!

Varnostvomrežju Administratoromrežjalahkouporabnikedelina:

  dobrifantje(goodguys):uporabniki,kilegi-mnouporabljajovireomrežja,pripadajoorganizaciji,

  slabifantje(badguys):vsiostali,njihovedostopemoramoskrbnonadzorova-

 Omrežjeimaobičajnoenosamotočkovstopa,kontroliramodostopevnjej:  požarnizid(firewall)  sistemzazaznavanjevdorov(IDS,intrusiondetec3onsystem)

  sistemzapreprečevanjevdorov(IPS,intrusionpreven3onsystem)

38

Požarnizidizolirainternoomrežjeodvelikegajavnegaomrežja,določenimpaketomdovoliprehod,drugeblokira.Ima3naloge:•  filtriraVESpromet,•  prepuščasamopromet,kijeDOPUSTENgledenapolitiko,•  jeIMUNnanapade

internoomrežje

javnoomrežje

POŽARNIZID

Požarnizid:vrstefiltriranj1.  izoliranofiltriranjepaketov(angl.stateless,traditional)2.  filtriranjepaketovvkontekstu(angl.statefulfilter)3.  aplikacijskiprehodi(angl.applicationgateways)

Izoliranofiltriranjepaketov

  filtriranjeobičajnoizvajažeusmerjevalnik,kimejinajavnoomrežje.Napodlagivsebinepaketovseodloča,aliboposredovalposamezenpaket,odločitevnapodlagi:  IPizvornega/ponorneganaslova  številkeIPprotokola:TCP,UDP,ICMP,OSPFitd.  TCP/UDPizvornihinciljnihvrat  -psporočilaICMP  TCPSYN(vzpostavitevpovezave!)inACKbits(ACK=1veljazaprvisegmentpripovezovanju)

Najdovolimdohodnemupaketuvstop?Najdovolimizhodnemupaketuizstop?

  Primer1:blokirajdohodnedatagramezIPprotokolom17(UDP)inizvornimialiciljnimivra-23(telnet)

  rezultat:filtriramovsedohodneinodhodneUDPkomunikacijeintelnetpovezave.

  Primer2:BlokirajdohodneTCPsegmentezzastavicoACK=0.  rezultat:onemogočimozunanjimodjemalcem,davzpostavijopovezavoznotranjimiodjemalci,dovolimopapovezovanjevobratnosmer(navzven)

Izoliranofiltriranjepaketov:primeri

Želimodoseči: Nastavitevpožarnegazidu

Onemogočendostopnavzvendopoljubnegaspletnegastrežnika.

Zavrzivsepakete,naslovljenenapoljubenIPnaslovinnavrata80

OnemogočenevsedohodneTCPpovezaverazen-s-h,kisonamenjenejavnemuspletnemustrežnikuvpodjetju(130.207.244.203).

ZavrzivsedohodneTCPSYNpaketerazen-s-h,namenjenihIPnaslovu130.207.244.203,vrata80

Prepreči-napadSmurfDoS(uporababroadcastazapreobremenitevstoritev).

ZavrzivseICMPpakete,naslovljenenabroadcastnaslovomrežja(npr.130.207.255.255).

Prepreči-analizoomrežjastraceroute ZavrzivseodhodnepaketeICMPssporočilom"TTLexpired"

Izoliranofiltriranjepaketov:primeri

izvorni naslov

ciljni naslov protokol izvorna

vrata ciljna vrata zastavica akcija

222.22/16 izven

222.22/16 TCP > 1023 80

any dovoli

izven 222.22/16

222.22/16 TCP 80 > 1023 ACK dovoli

222.22/16 izven

222.22/16 UDP > 1023 53 --- dovoli

izven 222.22/16

222.22/16 UDP 53 > 1023 ---- dovoli

all all all all all all zavrzi

Izoliranofiltriranje:Dostopovniseznami•  dostopovniseznam(angl.ACL,accesscontrollist)•  tabelapravil,upoštevasejoodzgorajdospodaj.•  zapisisopar:(pogoj,akcija)•  primer:onemogočivesprometrazenWWWnavzveninDNSvobesmeri

Stanjskofiltriranjepaketov  angl.statefulfilter,upoštevapovezavoinnjenotrenutnostanje

  izoliranofiltriranjelahkodovolivstopnesmiselnimpaketom(npr.vrata=80,ACK=1;čepravnotranjiodjemalecnivzpostavilpovezave):

  IZBOLJŠAVA:stanjskofiltriranjepaketovspremljainvodievidencoostanjuvsakevzpostavljeniTCPpovezavi❍  zabeleživzpostavitevpovezave(SYN)innjenkonec(FIN):natejpodlagi

odloči,alisopake-smiselni

❍  popretekudoločenegačasaobravnavajpovezavokotneveljavno(-meout)

❍  uporabljajpodobendostopovniseznam,kidoloča,kdajjepotrebnokontrolira-veljavnostpovezave(angl.checkconnec3on)

izvorni naslov

ciljni naslov protokol izvorna

vrata ciljna vrata zastavica akcija preveri

povezavo

222.22/16 izven

222.22/16 TCP > 1023 80

any dovoli

izven 222.22/16

222.22/16 TCP 80 > 1023 ACK dovoli X

222.22/16 izven

222.22/16 UDP > 1023 53 --- dovoli

izven 222.22/16

222.22/16 UDP 53 > 1023 ---- dovoli X

all all all all all all zavrzi

Filtriranjepaketovvkontekstu

  omogočajododatnofiltriranjegledenaizbirouporabnikov,kilahkouporabljajodoločenostoritev

  omogočajofiltriranjenapodlagipodatkovnaaplikacijskemnivojupolegpoljIP/TCP/UDP.

odjemalecnareditelnetpovezavosprehodom

prehodvzpostavioddaljenopovezavo

apl.prehod

usmerjevalnikinfilter

1.vsiuporabnikivzpostavljajotelnetpovezavoprekoprehoda,

2.samozaavtoriziraneuporabnikeprehodvzpostavipovezavodociljnegastrežnika.Prehodposredujepodatkemed2povezavama,

3.usmerjevalnikblokiravsetelnetpovezaverazen-s-h,kiizvirajoodprehoda

Aplikacijskiprehodi

Tudiaplikacijskiprehodiimajoomejitve:

  čeuporabnikipotrebujejovečaplikacij(telnet,HTTP,FTPitd.),potrebujevsakaaplikacijasvojaplikacijskiprehod,

  odjemalcejepotrebnonastavi-,daseznajopoveza-sprehodom(npr.IPnaslovmedstrežnikavbrskalniku)

Aplikacijskiprehodi

  PožarnizidkotfilterpaketovfiltrirasamonapodlagiglaveIP,TCP,UCPinICMP,karneomogočazaznavanjavsehnapadov‐zatojepotrebnopogleda-tudipodatkevpaketu  primerinapadov:portscan,TCPstackscan,DoSnapad,črvi,virusi,napadinaOS,napadinaaplikacije

  dodatnanaprava‐IDS,kiizvajapoglobljenoanalizopaketov.Napodlagivstopasumljivihpaketovvomrežjelahkonapravapreprečinjihovvstopalirazpošljeobves-la.

  sistemzazaznavanjevdorov(IDS)pošljesporočiloopotencialnoškodljivemprometu

  sistemzapreprečevanjevdorov(IPS)filtrirasumljivpromet

  Cisco,CheckPoint,SnortIDS

Sistemizazaznavanjevdorov

Sistemizazaznavanjevdorov

  vomrežjuimamolahkovečIDS/IPSnaprav(koristnozaradizahtevnegaprimerjanjavsebinpaketovsshranjenimivzorci)

WWWstrežnik

FTPstrežnik

DNSstrežnik

aplikacijskiprehod

Internet

območjenižjevarnos-("demilitariziranazona")

območjevisokevarnos-(notranjeomrežje)

požarnizid

Načinizaznavanjavdorov

KakodelujeIDS/IPS?

  primerjavasshranjenimivzorcinapadov(angl.signatures)  opazovanjene-pičnegaprometa(angl.anomaly‐based)

Zaznavanjezvzorcinapadov

  vzorcinapadovlahkohranijoizvorniIP,ponorniIP,protokol,zaporedjebitovvpodatkihpaketa,lahkosovezaninaserijopaketov

  varnostjetorejodvisnaodbazeznanihvzorcev;IDS/IPSslabozaznavašenevidenenapade

 možnilažnialarmi

  zahtevnoprocesiranje(lahkospregledanapad)

Zaznavanjezzaznavanjemne-pičnegaprometa

  sistemopazujeobičajenprometinizračunasta-s-ke,vezanenanj

  sistemreagiranasta-s-čnoneobičajenpromet(npr.nenadnovelikdeležICMPpaketov)

 možnozaznavanješenevidenihnapadov

  težkoločevanjemednormalniminnenavadnimprometom

PrimerIDS/IPSsistema

  SnortIDS  public‐domain,odprtokodniIDSzaLinux,UNIX,Windows(uporabljaistoknjižnicozabranjeomrežnegaprometakotWireshark)

  primervzorcanapada

alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"ICMP PING NMAP"; dsize: 0; itype: 8;)

reagirajnaVESDOHODNIICMPprometprazenpaket(dolžina0)in

ICMP-p8(=PING)stalastnos-NMAPnapada

sporočilozaadministratorja

Pogos-napadinaomrežnesisteme

 NAMEN?Namenjenisoškodovanjualiobhoduračunalniškihinomrežnihfunkcij.

  ZAKAJ?Denarnadobrobit,škodovalnost,poneverbe,ekonomskedobrobi-.

  KAKO?Ogrožanjezaupnos-,integriteteinrazpoložljivos-omrežnihsistemov  napadisspreminjanjeminformacij(modifica3onaJack)  zanikanjekomunikacije(repudia3onaJack)

  odpoveddelovanjasistema(denial‐of‐serviceaJack)  nepooblaščendostop(accessaJack)

Pogos-napadinaomrežnesisteme

Pridobivanjeinformacij•  Google

•  socialniinženiring•  brskanjeposmetek

Aktivnopregledovanje•  pregledvrat

•  iskanjevarnostnihranljivosti•  pregledarhitekture

Napad•  izkoriščanjeranljivosti•  izkoriščanjesistemov

Vzdrževanjedostopa•  trojanskikonji/virusi•  zakrivanjedokazov

•  zavarovanjedostopasamozase•  PONOVI

Pogos-napadi  pregledovanjesistema(reconnaissance):napadaleczrazličnimitehnikamiposkušaodkri-arhitekturosistema,storitvevnjemitd.

  pomagapripravi-napadnasistem  primer(war‐dialing)napadalecsklicanjemnanaključnetelefonskeštevilkeposkušaodkri-klicnoštevilkomodemazadostopdoomrežja

Pogos-napadi  prisluškovanje(eavesdropping):prestrezanjeomrežnegaprometa,prisotnozlas-pribrezžičnihomrežjih(napadalecpridobigesla,številkekreditnihkar-c,...)  pasivninapadalec  ak-vninapadalec

Pogos-napadi1.  šibkiključi2.  matemaNčninapadinakriptografskealgoritmeinključe3.  ugibanjegesel(bruteforce,napadsslovarjem)

4.  virusi,črvi,trojanci5.  izkoriščanješibkosNvprogramskiopremi

6.  socialniinženiring(prekoe‐maila,telefona,servisov)

Kakoseobrani-gornjihnevarnos-?

Pogos-napadi5.  pregledvrat(portscan):napadalectes-ra,kateristrežnikiso

delujoči(npr.ping)inkaterestoritveponujajo.Napadaleclahkopridobivapodatkeosistemu:DNS,storitve,operacijskisistemi)

6.  brskanjeposmeteh(dumpsterdiving):način,skaterimlahkonapadalcipridejodoinformacijosistemu(navodilazauporabo,seznamigesel,telefonskihštevilk,organizacijadela)

7.  matemaNčninapadinakriptografskealgoritmeinključe(bruteforce)

8.  rojstnodnevninapad(birthdayaJack):jenapadnazgoščevalnefunkcije,zakaterezahtevamo,danobenidvesporočilinegenerirataistezgoščenevrednos-.Prislabšihfunkcijahnapadaleciščesporočilo,kibodaloistozgoščenovrednost.

Pogos-napadi

9.  zadnjavrata(backdoor):napadaleczaobidevarnostnekontroleindostopidosistemaprekodrugepo-

10. ponarejanjeIPnaslovov(IPspoofing):napadalecprepričaciljnisistem,dajenekdodrug(poznan)sspreminjanjempaketov,

11. prestreganjekomunikacije(man‐in‐the‐middle):napadalecprestrežekomunikacijoinseobnaša,kotdajeciljnisistem(priuporabicer-fikatovlahkožrtevuporabljatudijavniključodnapadalca)

Pogos-napadi12. ponovitevkomunikacije(replay):napadalecprestrežein

shranistarasporočilaterjihponovnopošljekasneje,predstavljajočsekotedenizmedudeležencev  kakopreprečimonapadesponovitvijokomunikacije?

13. ugrabitevTCPsej(TCPhijacking):napadalecprekinekomunikacjomeduporabnikomainsevrinevmestoenegaodnjiju;drugiverjame,daševednokomunicirasprvim  kajnapadalecpridobistem?

14. napadisfragmentacijo(fragmenta3onaJack):zrazbijanjempaketanafragmenterazdelimoglavopaketamedfragmentetako,dajihpožarnizidnemorefiltrira-  -nyfragmentaqack:deliglavoprvegapaketa

  overlappingfragmentaqack:napačenoffsetprepišeprejšnjepakete

Pogos-napadi‐DoS(1/5)

15.  preprečitevdelovanjasistema(Denial‐of‐Service)  Ciljnapadalca:Obremeniomrežneviretako,dasenehajoodziva-zahtevamregularnihuporabnikov(npr.vzpostavitevvelikegaštevilapovezav,zasedanjediskovnihkapacitet,...)

  DDoS(distributed):DoSnapad,kigapovzročinapadaleczvečomrežnihsistemovnaenkrat

  uporabnikiporazdeljenihomrežnihsistemovlahkodanevejo,dajenapadalnaopremanameščenaprinjih

Pogos-napadi‐DoS(2/5)

  Primeri:  prekoračitevmedpomnilnika(bufferoverflow):procesupošljemovečpodatkov,kotlahkosprejme(Pingofdeath:ICMPzvečkot65Kpodatkovjepovzročilsesutjesistema)

  SYNnapad:napadalecpošljevelikoštevilozahtevzavzpostavitevpovezaveinsenaodgovorsistemaneodzove;pridedopreobremenitvevrstezahtevvsistemu  rešitev:omejitevštevilaodpr-hpovezav,-meout

  napadTeardrop:napadalecspremenipodatkeošteviluindolžinifragmentovvIPpaketu,karzmedeprejemnika

  napadSmurf(naslednjaprosojnica):uporabaposrednegabroadcastazapreobremenitevsistema

Pogos-napadi‐napadDoSSmurf(3/5)

napadalec

Internet

omrežje,vkateremdelabroadcast

žrtev

Pogos-napadi‐DoS(4/5) Uporababot‐ov(webroBOT)zaorganizacijonapadovnaciljnisistem  bo-solahkoračunalniki,okuženistrojanskimikonji

  njihoviuporabnikiobičajnonevejo,dasodelujejovnapadu

Pogos-napadi‐DoS(5/5)  subjek-vnapadu:napadalec,centralniračunalnikzakrmiljenjebotov(herder),boN(zombie),cilj

Tehnikeobrambe  Vomrežjuzadoščaleenšibkičlen‐najšibkejšiuporabnik,kiogroziomrežje.Administratormoraprepreči-prenosškodljivihprogramovnadelovnepostajeuporabnikovinzapre-varnostneluknjevinfrastrukturi(konfiguracija):

fizičnovarovanjeposodabljanjeprogramskeopremeuporabaan-virusnegaprograma

uporabapožarnegaziduvarovanjeuporabniškihračunovvarovanjedatotečnegasistemavarovanjeomrežnihdiskov

varovanjeaplikacij

Fizičnovarovanjesistema Omejimofizičendostopdostrežnikovinračunalnikov

  zaklepanjeračunalnikov  nastavigeslozazagon(CMOS/BIOS)

  nastavigeslozadostopdoBIOSnastavitev(varnost,zagon,ipd.)  onemogočizagonsistemazdisketinzgoščenk

Posodabljanjeaplikacij  Posodabljamoprogramskoopremo(krpanje,patching),sčimerproizvjalecomogočipopravljanjevarnostnihlukenj  administratorpotrebujenačrttes-ranja,uvajanjainnames-tvepopravkov

UporabaAV/požarnegazidu Uporabaan-virusnihprogramov

  večmožnos-:names-tevnaodjemalcu/strežniku,avtomatskoposodabljanje,zaščitavrealnemčasu.  Priporočeno:names-tevnaodjemalcu,kerškodljivaopremazačenjadelova-tam.AVnaaplikacijskihprehodihponavadiskrbijozapodmnožicoprotokolovna-s-lokaciji

  posodabljanje(posameznoalicentralizirano)

 Uporabapožarnegazidu  vomrežju/osebnipožarnizid

Varovanjeuporabniškihračunov

 Napadalciiščejoneuporabljane,neak-vne,nezaščiteneračunezadostopdosistema:  preimenujuporabniškaimenaadministratorja(superuser,root,administrator),

  omejišteviloračunovzvisokimiprivilegiji(ločeniadminračuni,pogostemenjavegesel),

  onemogočiuporabostarihračunov,  uporabljajkompleksnagesla

Varovanjedatotečnega/omrežnegasistema  Zašči-datotečnisistem

  zadostopdodatotečnegasistemadodeliuporabnikomnajmanjšepotrebnepravice

  odstraninepotrebneaplikacije  zašči-zagonskapodročja.Primer‐Windows:

1.  c:\autoexec.bat2.  c:\config.sys3.  windir\wininit.ini‐Usuallyusedbysetupprogramstohaveafilerunonceandthengetdeleted.4.  windir\winstart.bat5.  windir\win.ini‐[windows]"load"6.  windir\win.ini‐[windows]"run"7.  windir\system.ini‐[boot]"shell"8.  windir\system.ini‐[boot]"scrnsave.exe"9.  windir\dosstart.bat‐UsedinWin95or98whenyouselectthe"RestartinMS‐DOSmode"inthe

shutdownmenu.10.  windir\system\autoexec.nt11.  windir\system\config.nt12.  HKEY_LOCAL_MACHINE\So�ware\Microso�\Windows\CurrentVersion\RunServicesOnce13.  HKEY_CURRENT_USER\So�ware\Microso�\Windows\CurrentVersion\RunServicesOnce14.  HKEY_LOCAL_MACHINE\So�ware\Microso�\Windows\CurrentVersion\RunServices15.  HKEY_CURRENT_USER\So�ware\Microso�\Windows\CurrentVersion\RunServices16.  HKEY_LOCAL_MACHINE\So�ware\Microso�\Windows\CurrentVersion\RunOnce17.  HKEY_LOCAL_MACHINE\So�ware\Microso�\Windows\CurrentVersion\RunOnceEx18.  HKEY_LOCAL_MACHINE\So�ware\Microso�\Windows\CurrentVersion\Runregistrykey

19.  HKEY_CURRENT_USER\So�ware\Microso�\Windows\CurrentVersion\Runregistrykey20.  C:\DocumentsandSe�ngs\AllUsers\StartMenu\Programs\Startup21.  C:\wont\Profiles\AllUsers\StartMenu\Programs\Startup22.  C:\DocumentsandSe�ngs\AllUsers\StartMenu\Programs\Startup23.  c:\windows\startmenu\programs\startup24.  C:\DocumentsandSe�ngs\LoginName\StartMenu\Programs\Startup25.  HKEY_CURRENT_USER\So�ware\Microso�\Windows\CurrentVersion\RunOnce26.  HKEY_LOCAL_MACHINE\So�ware\Microso�\Windows\CurrentVersion\Policies\Explorer\Run27.  HKEY_CURRENT_USER\So�ware\Microso�\Windows\CurrentVersion\Policies\Explorer\Run28.  HKEY_LOCAL_MACHINE\So�ware\Microso�\WindowsNT\CurrentVersion\Winlogon\Userinit29.  HKEY_CURRENT_USER\So�ware\Microso�\WindowsNT\CurrentVersion\Windows\load30.  HKEY_LOCAL_MACHINE\SOFTWARE\Microso�\WindowsNT\CurrentVersion\Winlogon\No-fy31.  HKEY_LOCAL_MACHINE\So�ware\Microso�\WindowsNT\CurrentVersion\Windows32.  HKEY_LOCAL_MACHINE\SOFTWARE\Microso�\Windows\CurrentVersion

\ShellServiceObjectDelayLoad33.  HKEY_LOCAL_MACHINE\SOFTWARE\Microso�\Windows\CurrentVersion\Explorer

\SharedTaskScheduler

Varovanjeaplikacij  pravilnanastavitevaplikacij(privzetevrednos-nisovednonajboljvarne!)

  odstranitevodvečnihaplikacij  onemogočanjepriponkve‐mailu  onemogočanjeizvajanjenevarnih-povdatotek

  nameščanjeaplikacijnanestandarnavratainvnestandardnemape

  ...

Naslednjičgremonaprej!

  varnost:  varnaomrežnainfrastruktura  podatkizadelovanjeomrežja

77