Lectures for 2008 - KTH

More documents

Recommendations

Info

KURSKOMPENDIUM NÄTVERKSSÄKERHETSKURS ___________________________________________________________________________ ursprungsadress, ursprungsport, översatt adress, översatt port samt viss metadata såsom tidsstämplar. När svar ankommer den översatta port och IP-adressen möjliggör NAT-regeln översättning och vidaretransport av paketet till frågans ursprungsavsändare. Det finns olika översättningsstrategier för NAT. En metod är en många-till-mångaöversättning där varje privat adress på insidan översätts till motsvarande, fast unik, publik adress på utsidan. En annan metod många-till-en-översättning där privata adresser på insidan översätts till en enda publik adress, andressöversättarens egen adress, på utsidan. Se även portöversättning nedan. Figur 16 Adressöversättare som gömmer intern RFC 1918-nät och utåt nyttjar officiell adress Många applikationer och applikationsprotokoll fungerar inte med NAT. Applikationer som anropar dynamiskt tilldelade portnummer på adressöversättarens insidesnät fungerar inte. Protokoll som i datadelen skickar med en kopia på domännamn, IP-adresser, portnummer eller snarlik information får problem. Det vanligaste exemplet på en applikation som har problem med NAT av denna anledning är filöverföringsprotokollet FTP, som skickar med IPadress och portnummer vid start av filöverföring. Ett annat problem med NAT är protokoll som nyttjar kryptering, tunnlar eller kombinationen krypterade tunnlar. Det vanligaste exemplet är problemet med IPSec i transportmod. Några andra exempel är: • IKE/ISAKMP kräver att avsändaradressen är satt till 500, så att adressöversätta påverkar avsändaradressen. • Berkley r-tjänster (rsh, rlogin och rcp) kräver en avsändaradress < 1024. Översatta NATportar brukar nästan alltid bli > 1024. • Applikationer som anropar dynamiskt tilldelade portnummer på adressöversättarens insidesnät fungerar inte. Avancerade brandväggars NAT-funktion brukar även ha specialstöd för standardprokoll, såsom FTP, så att dessa fungerar tillsammans med adressöversättningen. Egenutvecklade eller mindre spridda applikationer kan dock ha problem och måste stödjas via en egenutvecklad proxylösning. Adressöversättning är i sig inte någon garanti för att man har ett skydd på nätverksnivå. I princip kan adressöversättning tillåta envägs- eller tvåvägsöversättning av nya uppkopplingar. I en tvåvägs, dubbelriktad, adressöversättning sker översättning både för uppkopplingar i alla trafikriktningar, vilket gör att system som anslutits bakom adressöversättaren kan bli åtkomliga. När man installerar en utrustning som använder sig av adressöversättning som ett Copyright (c) 2003-2008 Robert Malmgren AB. All rights reserved Sid 70 (139)
KURSKOMPENDIUM NÄTVERKSSÄKERHETSKURS ___________________________________________________________________________ skydd av bakomliggande system bör man försäkra sig om att den inte adressöversätter uppkopplingsförsök via inkommande trafik. NAT-utrustning kan för vissa tjänster, såsom webbservers, ofta konfigureras att vara envägs-NAT även för externa uppkopplingar. En funktion snarlik adressöversättnin är så kallad portöversättning, något som ofta kallas PAT (eng. Port Address Translation). PAT kan ses som NAT med metoden många-till-enöversättning där privata adresser på insidan översätts till en enda publik adress, andressöversättarens egen adress. Portöversättning används till exempel för att flytta eller gömma den verkliga porten för en viss tjänst. Om en webbserver är installerad att använda port 8081 kan den via en portöversättningsfunktion ändå göras nåbar via port 80, standardporten för webbtjänsten. Om man använder detta i kombination med adressöversättning skulle man kunna ha flera olika servrar installerade på andra portar, tex 8082 och 8083, och tilldela dessa unika publika nätadresser, alla med webbtjänster nåbara via port 80. Detta är ett scenario som ibland används istället för IP-aliases för att ha flera tjänster installerade på en och samma dator. Ibland kallas PAT även för IP masquerading eller NAT overload. 4.4 Logisk åtkomstkontroll Ett standardproblem i nätverkssammanhang är att kunna förhindra obehöriga från att ansluta till det egna nätverket, vilket är något man försöker hantera med hjälp av logisk åtkomstkontroll. I fallet med trådbundna nätverk så innebär det att den obehörige personen fysiskt måste finnas på plats för att ansluta sin utrustning, t.ex. i ett konferensrum eller i en mer öppen lokal såsom en reception eller en vänthall på en flygplats. Det gäller därför att skydda nätverksuttag från anslutningsmöjlighet samt nättjänster från att tillåta trafik från obehörig eller okänd utrustning. I fallet med trådbundna nätverk så finns det inte nätverksuttag på samma sätt, utan anslutningsmöjlighet till själva nätverket som sådant måste skyddas. Enklare metoder bygger på att nätverks- eller säkerhetsadministratören lägger in spärrar mot okänd nätverksutrustning i form av listor av MAC-adresser som adderas till DHCP-servern. Detta förhindrar att okända nätverkskort tilldelas en IP-adress av DHCP-servern. En angripare kan dock lätt gå runt denna spärr genom att sätta en statisk IP-adress alternativt avlyssna nätverket och därefter stjäla en IP-adress. En annan metod är att använda låsning av nätswitcharnas portar att enbart tillåta kända nätverksutrustning. En modern metod för logisk åtkomstkontroll är standarden IEEE 802.1x där nätverkskomponenter såsom switchar kan integreras med mot centrala behörighetsservers och sedan genom att autentisera enskilda switchportar. 802.1x används för såväl trådbundna som trådlösa nätverk. 802.1x använder sig av en variant av EAP, Extensible Authentication Protocol, kallat EAPOL, EAP over LANs. EAP är ett autentiseringsramverk framtaget av IETF. EAP finns beskrivet i RFC 3748 72 . 72 Extensible Authentication Protocol (EAP) http://tools.ietf.org/html/rfc3748 Copyright (c) 2003-2008 Robert Malmgren AB. All rights reserved Sid 71 (139)
Page 1 and 2:
KURSKOMPENDIUM NÄTVERKSSÄKERHETSK
Page 3 and 4:
Page 5 and 6:
Page 7 and 8:
Page 9 and 10:
Page 11 and 12:
Page 13 and 14:
Page 15 and 16:
Page 17 and 18:
Page 19 and 20: KURSKOMPENDIUM NÄTVERKSSÄKERHETSK
Page 69: KURSKOMPENDIUM NÄTVERKSSÄKERHETSK
Page 121 and 122:
Page 123 and 124:
Page 125 and 126:
Page 127 and 128:
Page 129 and 130:
Page 131 and 132:
Page 133 and 134:
Page 135 and 136:
Page 137 and 138:
Page 139:
show all

Lectures for 2008 - KTH

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?