הגנה במערכות מתוכנתות

24
תתתת תתתתתתת תתתתתתתת תתתתת13 - – תתתתת תתתת תIP – IPsec תתתת: תתתתת תתת תתתת תתתתתת תתתתת תתתתת תתתתתתתת תתתתתתת תתתת תתתתת, תתתתתתת תתתת תתתתת תתתת.

Upload: lee

Post on 04-Jan-2016

59 views

Category:

Documents


0 download

DESCRIPTION

הגנה במערכות מתוכנתות. תרגול 13 – אבטחה ברמת ה- IP – IPsec. הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה בלבד. אופני הפעולה של IPsec : Transport Mode Tunnel Mode. Network A. Network B. y. x. Internet. החבילה מאובטחת לאורך כל המסלול מ- x ל- y. - PowerPoint PPT Presentation

TRANSCRIPT

Page 1: הגנה במערכות מתוכנתות

הגנה במערכות מתוכנתות

IP – IPsec – אבטחה ברמת ה-13תרגול

הערה:

שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה

בלבד.

Page 2: הגנה במערכות מתוכנתות

הגנה במערכות מתוכנתות - תרגול 13 2(c) 2008אריק פרידמן

:IPsecאופני הפעולה של Transport Mode

Tunnel Mode

Page 3: הגנה במערכות מתוכנתות

הגנה במערכות מתוכנתות - תרגול 13 3(c) 2008אריק פרידמן

Transport Mode: לספק בטיחות מקצה לקצה המטרה כאשרx-רוצה לשלוח חבילה ל y:

מחשבx יפעיל IPsec-על החבילה, ישלח אותה ל y. מחשבy .יאמת ויפענח את החבילה החבילה מוגנת בפרט בתוך הרשתותA-ו B.

Internet

Network A Network B

x y

y ל-xהחבילה מאובטחת לאורך כל המסלול מ-

Page 4: הגנה במערכות מתוכנתות

הגנה במערכות מתוכנתות - תרגול 13 4(c) 2008אריק פרידמן

Transport Modeמבנה החבילה ב-

Application

TCP/UDP

IPsec

IP: x y

MAC

Application

TCP/UDP

IP

MAC

Transport Modeחבילה ב-חבילה סטנדרטית

Page 5: הגנה במערכות מתוכנתות

הגנה במערכות מתוכנתות - תרגול 13 5(c) 2008אריק פרידמן

Tunnel Mode: לספק בטיחות מחוץ לרשת הפנימית המטרה מופעל ע"יsecurity gatewaysביציאה מהרשתות GWA-ו GWB מפעילים IPsec:על החבילות

Internet

Network A Network B

x y

בלבדGWB ל-GWAהחבילה מאובטחת בין

GWA GWB

Page 6: הגנה במערכות מתוכנתות

הגנה במערכות מתוכנתות - תרגול 13 6(c) 2008אריק פרידמן

Tunnel Modeמבנה החבילה ב-

Application

TCP/UDP

IP: x y

MAC

Application

TCP/UDP

IP: x y

IPsec

IP: GWA GWB

MAC

Application

TCP/UDP

IP: x y

MAC

x yGWA GWBNetwork A Network BInternet

GWA-GWB Tunnel

Page 7: הגנה במערכות מתוכנתות

הגנה במערכות מתוכנתות - תרגול 13 7(c) 2008אריק פרידמן

מספר רמות אבטחה ברשת :למשל, מדיניות החברה

-יש להצפין כל חבילה יוצאת מA-ל B..יש להצפין כל חבילה שיוצאת מתת הרשת של המנהלים

Tunnel in Tunnel

Internet

Network A

Network Bm

zGWB

GWMGWA

Subnet M

Page 8: הגנה במערכות מתוכנתות

הגנה במערכות מתוכנתות - תרגול 13 8(c) 2008אריק פרידמן

איך יראו החבילות במקרה זה?

Application

TCP/UDP

IP: m z

MAC

Application

TCP/UDP

IP: m z

IPsec

IP: GWM GWB

IPsec

IP: GWA GWB

MAC

Application

TCP/UDP

IP: m z

MAC

m zGWA GWBSubnet M Network BInternet

GWMNetwork A

A-B TunnelM-B Tunnel

Application

TCP/UDP

IP: m z

IPsec

IP: GWM GWB

MAC

Page 9: הגנה במערכות מתוכנתות

הגנה במערכות מתוכנתות - תרגול 13 10(c) 2008אריק פרידמן

NATפרוטוקול נועד לאפשר לרשת גדולה לעבוד עם מספר קטן של

.IPכתובות בתוך הרשתA מוקצות כתובות IP.מקומיות

לא בהכרח כתובות חוקיות

-ביציאה מרשת הארגון, שרת הNAT מחליף כתובת (כנ"ל בכניסה לרשת)Aמקומית ברשת שהוקצתה לרשת

Internet

Network A

x

y

NAT

Page 10: הגנה במערכות מתוכנתות

הגנה במערכות מתוכנתות - תרגול 13 11(c) 2008אריק פרידמן

- דוגמהNATפרוטוקול

Application

TCP/UDP

IP: IPA IPy

MAC

Application

TCP/UDP

IP: IPx IPy

MAC

yNAT ServerInternet

xNetwork A

ע"י שרת IPשינוי כתובת ה- פוגע באימות של NATה-

AH: y...יזרוק את החבילה

Page 11: הגנה במערכות מתוכנתות

הגנה במערכות מתוכנתות - תרגול 13 12(c) 2008אריק פרידמן

SPD (Security Policy Database)

Page 12: הגנה במערכות מתוכנתות

הגנה במערכות מתוכנתות - תרגול 13 13(c) 2008אריק פרידמן

SPD.מגדיר את מדיניות ההגנה של המערכת

ישSPD-עבור תעבורה נכנסת, ו SPD.עבור תעבורה יוצאת טבלת חוקים המוגדרת ע"י מנהל מערכת

דומה לטבלאות שלPacket Filtering Firewall בפרט אפשר) : כזה)Firewall כ-SPDלהשתמש ב-

3 אפשרויות עבור שדה Action:dropחבילה נזרקת – forwardחבילה עוברת בצורה רגילה – secure חבילה עוברת לאחר הפעלת – IPsec

SPD מגדיר גם את אופן הפעלת IPsec) AH/ESP, SPI הפעלת ,IKE(...,

-ניתן להשתמש בWildCards.

SPDמה עושים אם עבור secureמחזיר

חבילה נכנסת ללא IPsec?

RuleSource

Address

Destination

Address

Next

Protocol

Source

Port

Destination

Port

ActionAdditional Parameters

Page 13: הגנה במערכות מתוכנתות

הגנה במערכות מתוכנתות - תרגול 13 14(c) 2008אריק פרידמן

התמונה הכללית – שליחת חבילה

Page 14: הגנה במערכות מתוכנתות

הגנה במערכות מתוכנתות - תרגול 13 15(c) 2008אריק פרידמן

התמונה הכללית – קבלת חבילהלמה צריך לבדוק את זה

אם כבר פענחנו את החבילה?!?

Page 15: הגנה במערכות מתוכנתות

הגנה במערכות מתוכנתות - תרגול 13 16(c) 2008אריק פרידמן

– למה?SPIבדיקת ) מניעת התחזותIP Spoofing(

w-מרשה ל x-ול y לבצע telnetאליו אבל הם חייבים להוסיף אימות.

-מונעים מ x לבצע IP Spoofingעל .yהכתובת של

מניעת עקיפת מדיניות מערכת-לx מותר לבצע telnet-ל wרק עם

אימות.-לx אסור לבצע http-ל w.

-מונעים מ x לשלוח http.

http data

TCP: dest. port 80

IPsec: SPI = SPItelnet

IP: x w

MAC

telnet data

TCP

IPsec: SPI = SPIx-w

IP: y w

MAC

x w

x w

Page 16: הגנה במערכות מתוכנתות

הגנה במערכות מתוכנתות - תרגול 13

שאלה ממבחן! (אביב תשס"ח, מועד א')

לחברת התוכנהNetwix שני סניפים, בישראל ובארה"ב. על מנת לאפשר תקשורת מאובטחת בין הסניפים, החברה עושה

. IPsec, התומכים ב-GWB ו-Gateway, GWAשימוש בשרתי בסניף ישראל יש תת-רשת נפרדת עבור מחלקת הכספים

)Subnet F המופרדת משאר הרשת הפנימית באמצעות ,(Gateway ,נוסף GWF.

17(c) 2008אריק פרידמן

Page 17: הגנה במערכות מתוכנתות

הגנה במערכות מתוכנתות - תרגול 13

שאלה ממבחן (המשך...)

מנהל הרשת הגדיר את מדיניות האבטחההבאה:

) לעובדי החברה מותר לגלוש באינטרנטhttp.( מותר לבצעtelnet (בשני הכיוונים) בין הסניף

הישראלי לבין הסניף האמריקאי, אולם התקשורת חייבת לעבור באינטרנט כשהיא מוצפנת וחתומה.

18(c) 2008אריק פרידמן

Page 18: הגנה במערכות מתוכנתות

הגנה במערכות מתוכנתות - תרגול 13

שאלה ממבחן (המשך...)

לעובדים ברשת הכספים מותר ליצור כל תקשורת שהיא:Netwix USAעם המחשבים ב-

-מותר להם ליצור קשרים המאובטחים בIPsec transport mode Netwix Israel. לשאר המחשבים ב-Netwix USAעם מחשבים ב-

אסורה תעבורה מוצפנת כזו.-תעבורה גלויה (כלומר שלא הוצפנה בTransport Mode בין (

, תוצפן ותאומת Netwix USAמחשבים ברשת הכספים לבין Netwix, כך שלא תעבור חשופה באינטרנט וב-Tunnel Modeב-

Israel . עבור תעבורה שכבר אובטחה (לדוגמה, ע"יGWF לא נדרשת ,(

.GWAאבטחה נוספת ע"י

19(c) 2008אריק פרידמן

Page 19: הגנה במערכות מתוכנתות

הגנה במערכות מתוכנתות - תרגול 13

שאלה ממבחן (המשך...)

SPDמלאו בטבלה את אוסף הכללים עבור ה-1. שבין רשת Gateway, ה-GWAהנמצא ב-

Netwix Israel והאינטרנט, על מנת לספק את מדיניות הרשת של החברה. עבור תעבורה

מאובטחת, עליכם לציין במפורש האם ייעשה (ייתכן גם כי AH או ESPשימוש בפרוטוקול

שניהם אפשריים), ובאיזה יכולות של הפרוטוקול נעשה שימוש (הצפנה ו/או אימות).

20(c) 2008אריק פרידמן

Page 20: הגנה במערכות מתוכנתות

הגנה במערכות מתוכנתות - תרגול 13

שאלה ממבחן (המשך...)

מדיניות הרשת מיועדת לאפשר לעובדים ברשת 2. transport modeהכספים ליזום קשר המאובטח ב-

בכל פרוטוקול , Netwix USAעם מחשבים ב- SPD. בהנחה שמסתמכים אך ורק על ה-שיחפצו

לאכיפת המדיניות, האם כתוצאה ממדיניות זו Netwix USAיתאפשר בהכרח גם למחשבים ב-

ליזום קשר בכיוון ההפוך? אם כן, הסבירו מדוע. אם כך SPDלא, הדגימו כיצד ניתן להגדיר את ה-

שיעשה הבחנה בין שני המקרים.

21(c) 2008אריק פרידמן

Page 21: הגנה במערכות מתוכנתות

הגנה במערכות מתוכנתות - תרגול 13

שאלה ממבחן (המשך...)

מנהל הכספים בארנס מנהל מדי פעם תכתובות גלויות עם 3. ע"י Tunnel mode, המוצפנות ב-Netwix USAמחשבים ברשת

chosen plaintext. מר סמיתרס מעוניין לבצע gatewaysה-attack) על התכתובות המוצפנות, ולהשיג זוגות P,C לפי (

Netwix Israelבחירתו. יש לו גישה אך ורק למחשבים ברשת (מחוץ לתת רשת כספים), אך ידוע לו כי כל התעבורה בין

GWF-ל GWB מוצפנת ע"י אותו SA כלומר, עם אותם) אלגוריתמים ומפתחות). תארו דרך בה יוכל מר סמיתרס לבצע

את זממו (לדוגמה, תוך ניצול סוגי תעבורה המותרים ).Firewallב-

22(c) 2008אריק פרידמן

Page 22: הגנה במערכות מתוכנתות

הגנה במערכות מתוכנתות - תרגול 13

שאלה ממבחן (המשך...)

מדי פעם עובדי הסניף הישראלי נוסעים לבקרבאתרי הלקוח. כדי לאפשר להם להתחבר

) באופן בטוח Netwix Israelלרשת החברה ( בכל המחשבים IPsecמאתרי הלקוח, הותקן

Tunnelהנישאים שלהם, כך שיוכלו להתחבר ב-mode הערוץ המאובטח נוצר באמצעות .

. לצורך אימות העובדים, הוקצה IKEפרוטוקול ). pssלכל אחד מהם סוד משותף (

23(c) 2008אריק פרידמן

Page 23: הגנה במערכות מתוכנתות

הגנה במערכות מתוכנתות - תרגול 13

שאלה ממבחן (המשך...)

להקמת ערוץ מאובטח IKEעבור הרצת פרוטוקול 4.בין העובדים לרשת, איזו שיטה מתאימה ועדיפה

Aggressive או Main modeיותר במקרה זה: Mode.נמקו ?

הוסיפו בנספח א' את השורות הנחוצות על מנת 5.. IKEלאפשר את התקשורת בערוץ המאובטח ואת

יש לציין במפורש היכן ישולבו השורות החדשות ביחס לשורות מסעיף א'. שימו לב כי יש לשמור ככל

האפשר על מדיניות הרשת המקורית.

24(c) 2008אריק פרידמן

Page 24: הגנה במערכות מתוכנתות

הגנה במערכות מתוכנתות - תרגול 13

שאלה ממבחן (המשך...)

המנהל בארנס ביקר באתר הלקוח "תעשיות דו" 6.). b שלו באתר הלקוח באות IP(נסמן את כתובת ה-

הוא יצר ערוץ מאובטח לצורך התחברות למחשב ). הראו xשלו ברשת המנהלים (נסמן את כתובתו ב-

, מיד b ל-xאת מבנה חבילה הנשלחת בחזרה מ-.GWAלאחר שהיא מעובדת ויוצאת מ-

– מה Transport modeבארנס הוסיף שימוש ב-7.מבנה החבילה כעת?

25(c) 2008אריק פרידמן