Netværkssikkerhed
Netværkssikkerhed
Netværkssikkerhed
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
<strong>Netværkssikkerhed</strong><br />
Netv rkssikkerhed<br />
Intrusion Detection og Firewalls<br />
09/10/2012 ITU 7.1
Indhold<br />
• Computer netværk og distribuerede systemer<br />
• TCP/IP protokolsuite<br />
• Sårbarheder og trusler i et netværk<br />
• VLAN<br />
• Firewalls<br />
• Intrusion detection system (IDS)<br />
• IPsec<br />
• Virtual Private Network (VPN)<br />
09/10/2012 ITU 7.2
Netværksterminologi<br />
Computing system Computing netværk<br />
Link<br />
Distributed system:<br />
a piece of software that ensures that:<br />
a collection of independent computers appears<br />
to its users as a single coherent system<br />
Noder, knuder, hosts, sites...<br />
09/10/2012 ITU 7.3
Udstrækning, type & topologi<br />
• Udstrækning<br />
• Type<br />
—WAN, MAN, LAN, PAN, BAN<br />
—Fixed og Wireless (f.eks. WLAN)<br />
• Topologi (logisk og fysisk)<br />
—Ring / bus / star / mesh<br />
• broadcast<br />
• point to point<br />
• Interaktion<br />
• klient-server (eng. client-server)<br />
• peer-to-peer<br />
• multi-tier arkitektur<br />
09/10/2012 ITU 7.4
Transmissionsmedier<br />
• Kobber (wire)<br />
• Prisbilligt og let at installere, men interferens og dæmpning<br />
• Twisted pair (10/100/1000Base-T). UTP, STP.<br />
• Kategorier 1 - 7 , Fire rating<br />
• Lysledere (fiber optic)<br />
—Stor båndbredde, ingen interferens og lille dæmpning.<br />
Kompliceret at reparere<br />
• Trådløs<br />
—radiobølge<br />
—mikrobølge<br />
—satellit<br />
• Geosynkrone<br />
• VSAT (Very Small Aperture Terminal)<br />
• Low Earth Orbit<br />
—Infrarød<br />
09/10/2012 ITU 7.5
• ISO/OSI referencemodel<br />
Referencemodeller<br />
ISO/OSI & TCP/IP<br />
• (lagdelt model)<br />
• De jure standard - påbegyndt 1977<br />
• Eksempler på OSI protokoller er:<br />
— FTAM, X.400, X.500, X.25<br />
— Netværksadresser er 128 bit<br />
• TCP/IP<br />
• Defineret ved protokoller<br />
• De facto standard (RFC)<br />
• Netværksadresser er 32 bit<br />
Application<br />
Layer<br />
Transport<br />
Layer<br />
Network<br />
Layer<br />
Data Link<br />
Layer<br />
Physical<br />
Layer<br />
09/10/2012 ITU 7.6
ping<br />
application<br />
ICMP<br />
IGMP<br />
DHCP<br />
TCP/IP protokol suite<br />
HTTP<br />
ARP<br />
Telnet<br />
TCP UDP<br />
FTP SMTP<br />
DNS<br />
IP<br />
Ethernet<br />
Token ring<br />
FDDI<br />
WLAN<br />
...<br />
Routing Protocols<br />
Application<br />
Layer<br />
Transport<br />
Layer<br />
Network<br />
Layer<br />
Data Link<br />
Layer<br />
Physical<br />
Layer<br />
09/10/2012 ITU 7.7<br />
RIP<br />
PIM<br />
OSPF<br />
Logical Link Control<br />
Media Access Control<br />
SNMP
Internettet er et typisk pakkekoblet<br />
netværk<br />
Header data Header data<br />
Header data<br />
09/10/2012 ITU 7.8
Applikationslaget<br />
HELO itu.dk<br />
MAIL FROM: <br />
RCPT TO: <br />
DATA<br />
Bla bla bla<br />
.<br />
QUIT<br />
ping<br />
application HTTP Telnet FTP SMTP DNS<br />
09/10/2012 ITU 7.9<br />
SNMP<br />
socket = new Socket("smtp.mail.dk",25);<br />
out= new PrintStream(socket.getOutputStream());<br />
inp= new DataInputStream(socket.getInputStream());<br />
inp.readLine();<br />
out.println("HELO bar.com”);<br />
inp.readLine();<br />
out.println("MAIL FROM:");
Port numbers<br />
• 16 bit integer (unsigned)<br />
• Well Known Ports: 0 - 1023.<br />
• Registered Ports: 1024 - 49151<br />
• Dynamic and/or Private Ports: 49152 - 65535<br />
• Eksempler (TCP porte):<br />
—daytime 13/tcp Daytime (RFC 867)<br />
—ftp-data 20/tcp File Transfer [Default Data]<br />
—ftp 21/tcp File Transfer [Control]<br />
—ssh 22/tcp SSH Remote Login Protocol<br />
—telnet 23/tcp Telnet<br />
—smtp 25/tcp Simple Mail Transfer<br />
—http 80/tcp World Wide Web HTTP<br />
09/10/2012 ITU 7.10
UDP-header<br />
Connection less<br />
Transportlaget<br />
TCP/UDP headers<br />
TCP-header<br />
Connection oriented<br />
09/10/2012 ITU 7.11
Header<br />
IP header<br />
Data<br />
IP protokollen er stateless<br />
09/10/2012 ITU 7.12
IP - Netværkslaget<br />
• Notation<br />
192.168.0.1 = 3232235521<br />
• Tre typer af IP adresser:<br />
• unicast<br />
• broadcast<br />
• multicast IP<br />
• Reservede IP adresser for private netværk<br />
• 10.0.0.0 - 10.255.255.255<br />
• 172.16.0.0 - 172.31.255.255<br />
• 192.168.0.0 - 192.168.255.255<br />
• Multicast adresser<br />
• 224.0.0.0 - 239.255.255.255<br />
• Domain Name Service (DNS)<br />
09/10/2012 ITU 7.13
LAN standarder (IEEE 802)<br />
•Fixed<br />
—Ethernet<br />
•IEEE 802.3<br />
—Token bus<br />
•IEEE 802.4<br />
—Token ring<br />
•IEEE 802.5<br />
—FDDI<br />
•IEEE 802.8<br />
—…<br />
•Wireless<br />
—WLAN<br />
•IEEE 802.11 (a, b, g), Hiberlan, Wimax<br />
—Bluetooth,<br />
•IEEE 802.15<br />
—…<br />
•ATM er både en LAN og WAN standard<br />
09/10/2012 ITU 7.14
LAN<br />
Header<br />
Transceiver<br />
Frames<br />
Network<br />
interface<br />
hardware<br />
Data<br />
CPU<br />
RAM<br />
MAC adresser er brændt i HW: Eks: 00-60-08-BB-D2-B0<br />
Unicasting<br />
Broadcasting<br />
Multicasting<br />
09/10/2012 ITU 7.15
Address resolution protocol (ARP)<br />
• Danner forbindelse mellem IP og MAC<br />
adresser<br />
Router<br />
Router<br />
Hub: Trafik sendes til alle noder<br />
Switch: Virtual forbindelser, men broadcast sendes til alle noder<br />
Router: Adskiller to net<br />
09/10/2012 ITU 7.16
Trusler og sårbarheder<br />
• Sniffing<br />
—IP trafik<br />
—password og følsomme oplysninger<br />
—trafik analyse<br />
• Probe (undersøgelse af indre netværk)<br />
—Traceroute (sæt TTL)<br />
—Portscan<br />
• Spoofing<br />
—IP spoofing<br />
—Password spoofing<br />
• f.eks. telnet, ftp, distributed login<br />
—DNS spoofing<br />
—ARP spoofing<br />
—Pfarming<br />
• TCP as authentication & session hijacking<br />
• Man in the middle attack<br />
• DoS og DDoS attacks<br />
Passive trusler<br />
Aktive trusler<br />
09/10/2012 ITU 7.17
Drive-by pharming<br />
09/10/2012 ITU 7.18
Mulige modmidler<br />
• Boundary Control (protection) Systems<br />
• switch kontra hub<br />
• router<br />
• firewall<br />
• Intrusion Detection System (IDS)<br />
• evt distribuerede<br />
• Honey pot & Padded cell<br />
• Vulnerability scanner<br />
• Kryptering<br />
• VPN<br />
09/10/2012 ITU 7.19
VLAN<br />
Traditionelt netværk med switches<br />
VLAN<br />
Trunk<br />
09/10/2012 ITU 7.20
IEEE 802.1q<br />
12 bits til VLAN, dvs, 4096 forskellige LANs<br />
09/10/2012 ITU 7.21
Firewalls (boundary protection)<br />
• Fordele<br />
• Ulemper<br />
—Koncentreret (punkt) beskyttelse<br />
—Brandmur mellem indre og ydre netværk<br />
—Policy enforcing<br />
—Logning, audit<br />
—Strong authentication<br />
• Smartcard eller authentication Tokens<br />
Subjects<br />
—Blokering af ønskede services<br />
—Mindre effektiv mod data-driven attacks<br />
—alle æg i samme kurv (single point of failure)<br />
09/10/2012 ITU 7.22<br />
Reference<br />
monitor<br />
audit<br />
autorisation<br />
objects
Firewall komponenter<br />
• Sikkerhedspolitik (policy)<br />
—Hvem skal have adgang?<br />
—Hvad skal stilles til rådighed (data + ressourcer)<br />
—Hvordan reguleres adgangen?<br />
• Advanced authentication<br />
—Smartcard<br />
—token<br />
• Eksempel på typer:<br />
—Pakkefiltrering<br />
—Proxy firewall<br />
• Application- and circuit-level firewall<br />
—Stateful firewall<br />
—Dynamisk pakkefiltrering<br />
—Kernel proxy firewall<br />
09/10/2012 ITU 7.23
Pakkefiltrering<br />
• Kaldes også screening router<br />
• Filtrerer på TCP/IP protokollag<br />
• Vanskeligt<br />
• source IP address<br />
• destination IP address<br />
• TCP/UDP source port<br />
• TCP/UDP destination port<br />
• at programmere for store net med forskellige behov<br />
• at teste<br />
09/10/2012 ITU 7.24
Felter for filtrering (TCP/IP)<br />
TYPISKE FELTER<br />
FOR FILTRERING<br />
TCP HEADER<br />
TYPISKE FELTER<br />
FOR FILTRERING<br />
09/10/2012 ITU 7.25
Application gateway<br />
• Kaldes også proxy gateway<br />
—Filtrerer på applikationslag<br />
• Kræver proxy (stedfortræder) for hver applikation<br />
2.<br />
User request<br />
forwarded<br />
FIREWALL<br />
User request<br />
Proxy<br />
Server response Proxy<br />
Proxy<br />
3.<br />
Proxy<br />
Server response<br />
forwarded<br />
4.<br />
SERVER KLIENT<br />
Audit log<br />
09/10/2012 ITU 7.26<br />
1.
Packet filtering firewall system<br />
• Fordele<br />
• Simpel og billig.<br />
• Fleksibel.<br />
• Ulemper<br />
• Filtreringsreglerne kan være vanskelige at<br />
konfigurere og teste.<br />
• Visse services lader sig ikke let filtrere.<br />
• Skjuler normalt ikke adresser på det indre netværk.<br />
• Single point of failure.<br />
09/10/2012 ITU 7.27
Dual-homed gateway firewall<br />
system<br />
• Fordele<br />
• Gode muligheder for log og audit.<br />
• Mulighed for strong authentication.<br />
• Mulighed for at skjule opbygningen af det indre<br />
netværk.<br />
• Udnyttelse af høj assurance komponenter (guards).<br />
• Ulemper<br />
• Manglende fleksibilitet.<br />
• Kræver udvikling af proxies.<br />
• Flaskehalsproblemer.<br />
• Single point of failure. (Uden screening router).<br />
09/10/2012 ITU 7.28
Screened subnet firewall system<br />
09/10/2012 ITU 7.29
Firewall implementering<br />
• Backup og fysisk beskyttelse af FW<br />
• Daglig overvågning (mail, personsøger)<br />
• Modificeret OS (hardened, f.eks C2 complient)<br />
—fjern unødvendige services<br />
—fjern IP forwarding og source routing<br />
—fjern sensitive filer og unødvendige applicationer<br />
—fjern unødvendige brugeraccounts<br />
• forbyd remote login og begræns root adgang<br />
• Design politik for selve firewall systemet<br />
—Al trafik, der ikke direkte er tilladt, er forbudt<br />
—Al trafik, der ikke direkte er forbudt, er tilladt<br />
09/10/2012 ITU 7.30
Personal firewalls<br />
• Installeres på klient maskinen<br />
—ZoneAlarm<br />
—Norton<br />
—Tiny Personal Firewall<br />
—McAfee<br />
—…<br />
—Iptables<br />
• Et “must” når man er koblet på Internet.<br />
• Ekstra features:<br />
—Learning mode<br />
—Application policy<br />
09/10/2012 ITU 7.31
McAfee Desktop Firewall<br />
09/10/2012 ITU 7.32
Dual home firewall<br />
iptables - eksempel<br />
# Flush all the rules and set the default policy for the FORWARD chain to deny all<br />
iptables -F INPUT<br />
iptables –F OUTPUT<br />
iptables –F FORWARD<br />
iptables -P FORWARD deny<br />
# Block all incoming and outgoing traffic on eth0<br />
iptables -A INPUT -i eth0 -j DROP<br />
iptables -A OUTPUT -o eth0 -j DROP<br />
# Instruct Netfilter to accept fragmented packets (-f)<br />
iptables -A FORWARD -f -j ACCEPT<br />
# Accept incoming TCP packets from established connections<br />
iptables -A FORWARD -m state -p tcp --state ESTABLISHED,RELATED -j ACCEPT<br />
# Accept incoming TCP connections to SSH arriving at eth0<br />
iptables -A FORWARD -p tcp -i eth0 -d 208.209.210.0/24 --dport ssh -j ACCEPT<br />
# Accept all outgoing TCP and UDP connections entering the private interface (eth1)<br />
iptables -A FORWARD -p tcp -i eth1 -j ACCEPT<br />
iptables -A FORWARD -p udp -i eth1 -j ACCEPT<br />
# Accept incoming ICMP packet of "echo reply (=0)" type (ping replies)<br />
iptables -A FORWARD -p icmp -i eth0 -d 208.209.210.0/24 --icmp-type 0 -j ACCEPT<br />
# Accept all outgoing ICMP connections entering the private interface (eth1)<br />
iptables -A FORWARD -p icmp -i eth1 -j ACCEPT<br />
# Drop all other traffic in the FORWARD chain<br />
iptables -A FORWARD -j DROP<br />
iptables –A OUTPUT –j LOG<br />
09/10/2012 ITU 7.33
Intrusion detection systemer (IDS)<br />
• Detektion/reaktion kontra opbygning af fort<br />
• Tre klasser af intruders (hackers or crackers):<br />
—Masquerader (outsider)<br />
—Misfeasor (insider)<br />
—Clandestine user (out- or insider)<br />
09/10/2012 ITU 7.34
Intrusion detection systemer (IDS)<br />
• Kategorier<br />
—Misuse<br />
• Signature-based<br />
—Anomaly-based<br />
• Statistics, packet sizes, destinations, protocol<br />
distributions, etc<br />
• Typer<br />
—NIDS<br />
—HIDS<br />
—IPS<br />
• Produkter<br />
—Tripwire, Snort, ISS<br />
• Problemer<br />
—Synkronisering (f.eks. tid), datamængder, switches, signaturdatabase,<br />
fastlæggelse af normalbillede<br />
09/10/2012 ITU 7.35
Internet Security Systems (ISS)<br />
09/10/2012 ITU 7.36
TCP/IP suite<br />
Application layer<br />
Transport layer (TCP/UDP)<br />
Network layer (IP)<br />
Physical layer<br />
TCP/IP suite<br />
Application layer<br />
Transport layer (TCP/UDP)<br />
Network layer (IP)<br />
Physical layer<br />
Kryptografisk beskyttelse<br />
End to end kryptering<br />
beskyttet hele ruten<br />
sikrer bruger autenticitet<br />
max nøgler (DES): n*(n-1)/2<br />
data beskyttet mellem computere (ikke host)<br />
sikrer ikke bruger (men node) autenticitet<br />
skjult service, evt hardware<br />
Link kryptering<br />
TCP/IP suite<br />
Application layer<br />
Transport layer (TCP/UDP)<br />
Network layer (IP)<br />
Physical layer<br />
TCP/IP suite<br />
Application layer<br />
Transport layer (TCP/UDP)<br />
Network layer (IP)<br />
Physical layer<br />
09/10/2012 ITU 7.37
IPv6 kontra IPv4<br />
• Flere og mere hierarkiske netværksadresser<br />
—128 bits adressefelt<br />
—3,4×1038 adresser<br />
—eller ca. 5×1028 (~295 ) adresser for hver af de ca. 6,5 milliarder<br />
folk i 2006<br />
• Bedre understøttelse af tidskritiske applikationer<br />
—prioriteter (0-15) og virtuel kredsløb (Flow kontrol)<br />
• Forberedt for IPSEC (sikkerhed)<br />
• Mere effektiv routing (simpel header)<br />
• One or more extension headers<br />
frame ip x x<br />
tcp data<br />
09/10/2012 ITU 7.38
IPSEC (IP-security)<br />
• Kan både anvendes med IPv4 og IPv6<br />
• Access control<br />
• Connectionless integrity (per packet)<br />
• data origin authentication<br />
• confidentiality<br />
• Protection against<br />
• replay<br />
• trafic analysis<br />
• DoS<br />
09/10/2012 ITU 7.39
Two modes supported by IPSEC<br />
• Transport mode<br />
• Typisk end to end kommunikation mellem to hosts<br />
• Bekytter lagene over IP-laget. Dvs. TCP, UDP,<br />
ICMP…<br />
• Tunnel mode<br />
• Skaber en virtuel forbindelse mellem to netværk.<br />
Hele IP-pakken indkaples i en ny IP-pakke.<br />
• Beskytter hele IP-pakken og hindrer til dels<br />
trafikanalyse<br />
09/10/2012 ITU 7.40
IPSEC headers<br />
• Authentication Header (AH)<br />
—Connectionless autenticitet og integritet<br />
• transport mode<br />
• tunnel mode<br />
• Encapsulating Security Packet (ESP)<br />
—Confidentiality<br />
• transport mode<br />
• tunnel mode<br />
• Security Association (SA)<br />
—Simplex forbindelse<br />
—Identificerer algoritmer, nøgler og lifetime<br />
• Både AH og ESP har beskyttelse mod replay<br />
09/10/2012 ITU 7.41
Authentication header (AH)<br />
• Sekvensnummeret nulstilles for hver ny SA<br />
• AH standarder<br />
—HMAC med MD5<br />
—HMAC med SHA-1<br />
• Anti replay service<br />
09/10/2012 ITU 7.42
Transport mode<br />
AH in IP<br />
Tunnel mode<br />
09/10/2012 ITU 7.43
Encapsulating Security Payload<br />
(ESP)<br />
• ESP standarder<br />
• Triple DES<br />
• RC5<br />
• IDEA<br />
• CAST<br />
• AES<br />
• ...<br />
•Authentication er optional<br />
Transport mode Tunnel mode<br />
09/10/2012 ITU 7.44
• ISAKMP<br />
Key distribution<br />
(Internet Security Association Key Management Protocol)<br />
• Nøglefordeling<br />
• Host-oriented keying<br />
• User-oriented keying<br />
• Session-unique keying<br />
• manuelt<br />
• IKE, Diffie-Hellman evt. Kerberos<br />
09/10/2012 ITU 7.45
Lokalnet<br />
Virtual Private Network<br />
Internet<br />
Lokalnet<br />
Alternativt (fastopkoblede) telefonlinjer<br />
09/10/2012 ITU 7.46