הגנה במערכות מתוכנתות
DESCRIPTION
הגנה במערכות מתוכנתות. תרגול 13 – אבטחה ברמת ה- IP – IPsec. הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה בלבד. אופני הפעולה של IPsec : Transport Mode Tunnel Mode. Network A. Network B. y. x. Internet. החבילה מאובטחת לאורך כל המסלול מ- x ל- y. - PowerPoint PPT PresentationTRANSCRIPT
הגנה במערכות מתוכנתות
IP – IPsec – אבטחה ברמת ה-13תרגול
הערה:
שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה
בלבד.
הגנה במערכות מתוכנתות - תרגול 13 2(c) 2008אריק פרידמן
:IPsecאופני הפעולה של Transport Mode
Tunnel Mode
הגנה במערכות מתוכנתות - תרגול 13 3(c) 2008אריק פרידמן
Transport Mode: לספק בטיחות מקצה לקצה המטרה כאשרx-רוצה לשלוח חבילה ל y:
מחשבx יפעיל IPsec-על החבילה, ישלח אותה ל y. מחשבy .יאמת ויפענח את החבילה החבילה מוגנת בפרט בתוך הרשתותA-ו B.
Internet
Network A Network B
x y
y ל-xהחבילה מאובטחת לאורך כל המסלול מ-
הגנה במערכות מתוכנתות - תרגול 13 4(c) 2008אריק פרידמן
Transport Modeמבנה החבילה ב-
Application
TCP/UDP
IPsec
IP: x y
MAC
Application
TCP/UDP
IP
MAC
Transport Modeחבילה ב-חבילה סטנדרטית
הגנה במערכות מתוכנתות - תרגול 13 5(c) 2008אריק פרידמן
Tunnel Mode: לספק בטיחות מחוץ לרשת הפנימית המטרה מופעל ע"יsecurity gatewaysביציאה מהרשתות GWA-ו GWB מפעילים IPsec:על החבילות
Internet
Network A Network B
x y
בלבדGWB ל-GWAהחבילה מאובטחת בין
GWA GWB
הגנה במערכות מתוכנתות - תרגול 13 6(c) 2008אריק פרידמן
Tunnel Modeמבנה החבילה ב-
Application
TCP/UDP
IP: x y
MAC
Application
TCP/UDP
IP: x y
IPsec
IP: GWA GWB
MAC
Application
TCP/UDP
IP: x y
MAC
x yGWA GWBNetwork A Network BInternet
GWA-GWB Tunnel
הגנה במערכות מתוכנתות - תרגול 13 7(c) 2008אריק פרידמן
מספר רמות אבטחה ברשת :למשל, מדיניות החברה
-יש להצפין כל חבילה יוצאת מA-ל B..יש להצפין כל חבילה שיוצאת מתת הרשת של המנהלים
Tunnel in Tunnel
Internet
Network A
Network Bm
zGWB
GWMGWA
Subnet M
הגנה במערכות מתוכנתות - תרגול 13 8(c) 2008אריק פרידמן
איך יראו החבילות במקרה זה?
Application
TCP/UDP
IP: m z
MAC
Application
TCP/UDP
IP: m z
IPsec
IP: GWM GWB
IPsec
IP: GWA GWB
MAC
Application
TCP/UDP
IP: m z
MAC
m zGWA GWBSubnet M Network BInternet
GWMNetwork A
A-B TunnelM-B Tunnel
Application
TCP/UDP
IP: m z
IPsec
IP: GWM GWB
MAC
הגנה במערכות מתוכנתות - תרגול 13 10(c) 2008אריק פרידמן
NATפרוטוקול נועד לאפשר לרשת גדולה לעבוד עם מספר קטן של
.IPכתובות בתוך הרשתA מוקצות כתובות IP.מקומיות
לא בהכרח כתובות חוקיות
-ביציאה מרשת הארגון, שרת הNAT מחליף כתובת (כנ"ל בכניסה לרשת)Aמקומית ברשת שהוקצתה לרשת
Internet
Network A
x
y
NAT
הגנה במערכות מתוכנתות - תרגול 13 11(c) 2008אריק פרידמן
- דוגמהNATפרוטוקול
Application
TCP/UDP
IP: IPA IPy
MAC
Application
TCP/UDP
IP: IPx IPy
MAC
yNAT ServerInternet
xNetwork A
ע"י שרת IPשינוי כתובת ה- פוגע באימות של NATה-
AH: y...יזרוק את החבילה
הגנה במערכות מתוכנתות - תרגול 13 12(c) 2008אריק פרידמן
SPD (Security Policy Database)
הגנה במערכות מתוכנתות - תרגול 13 13(c) 2008אריק פרידמן
SPD.מגדיר את מדיניות ההגנה של המערכת
ישSPD-עבור תעבורה נכנסת, ו SPD.עבור תעבורה יוצאת טבלת חוקים המוגדרת ע"י מנהל מערכת
דומה לטבלאות שלPacket Filtering Firewall בפרט אפשר) : כזה)Firewall כ-SPDלהשתמש ב-
3 אפשרויות עבור שדה Action:dropחבילה נזרקת – forwardחבילה עוברת בצורה רגילה – secure חבילה עוברת לאחר הפעלת – IPsec
SPD מגדיר גם את אופן הפעלת IPsec) AH/ESP, SPI הפעלת ,IKE(...,
-ניתן להשתמש בWildCards.
SPDמה עושים אם עבור secureמחזיר
חבילה נכנסת ללא IPsec?
RuleSource
Address
Destination
Address
Next
Protocol
Source
Port
Destination
Port
ActionAdditional Parameters
הגנה במערכות מתוכנתות - תרגול 13 14(c) 2008אריק פרידמן
התמונה הכללית – שליחת חבילה
הגנה במערכות מתוכנתות - תרגול 13 15(c) 2008אריק פרידמן
התמונה הכללית – קבלת חבילהלמה צריך לבדוק את זה
אם כבר פענחנו את החבילה?!?
הגנה במערכות מתוכנתות - תרגול 13 16(c) 2008אריק פרידמן
– למה?SPIבדיקת ) מניעת התחזותIP Spoofing(
w-מרשה ל x-ול y לבצע telnetאליו אבל הם חייבים להוסיף אימות.
-מונעים מ x לבצע IP Spoofingעל .yהכתובת של
מניעת עקיפת מדיניות מערכת-לx מותר לבצע telnet-ל wרק עם
אימות.-לx אסור לבצע http-ל w.
-מונעים מ x לשלוח http.
http data
TCP: dest. port 80
IPsec: SPI = SPItelnet
IP: x w
MAC
telnet data
TCP
IPsec: SPI = SPIx-w
IP: y w
MAC
x w
x w
הגנה במערכות מתוכנתות - תרגול 13
שאלה ממבחן! (אביב תשס"ח, מועד א')
לחברת התוכנהNetwix שני סניפים, בישראל ובארה"ב. על מנת לאפשר תקשורת מאובטחת בין הסניפים, החברה עושה
. IPsec, התומכים ב-GWB ו-Gateway, GWAשימוש בשרתי בסניף ישראל יש תת-רשת נפרדת עבור מחלקת הכספים
)Subnet F המופרדת משאר הרשת הפנימית באמצעות ,(Gateway ,נוסף GWF.
17(c) 2008אריק פרידמן
הגנה במערכות מתוכנתות - תרגול 13
שאלה ממבחן (המשך...)
מנהל הרשת הגדיר את מדיניות האבטחההבאה:
) לעובדי החברה מותר לגלוש באינטרנטhttp.( מותר לבצעtelnet (בשני הכיוונים) בין הסניף
הישראלי לבין הסניף האמריקאי, אולם התקשורת חייבת לעבור באינטרנט כשהיא מוצפנת וחתומה.
18(c) 2008אריק פרידמן
הגנה במערכות מתוכנתות - תרגול 13
שאלה ממבחן (המשך...)
לעובדים ברשת הכספים מותר ליצור כל תקשורת שהיא:Netwix USAעם המחשבים ב-
-מותר להם ליצור קשרים המאובטחים בIPsec transport mode Netwix Israel. לשאר המחשבים ב-Netwix USAעם מחשבים ב-
אסורה תעבורה מוצפנת כזו.-תעבורה גלויה (כלומר שלא הוצפנה בTransport Mode בין (
, תוצפן ותאומת Netwix USAמחשבים ברשת הכספים לבין Netwix, כך שלא תעבור חשופה באינטרנט וב-Tunnel Modeב-
Israel . עבור תעבורה שכבר אובטחה (לדוגמה, ע"יGWF לא נדרשת ,(
.GWAאבטחה נוספת ע"י
19(c) 2008אריק פרידמן
הגנה במערכות מתוכנתות - תרגול 13
שאלה ממבחן (המשך...)
SPDמלאו בטבלה את אוסף הכללים עבור ה-1. שבין רשת Gateway, ה-GWAהנמצא ב-
Netwix Israel והאינטרנט, על מנת לספק את מדיניות הרשת של החברה. עבור תעבורה
מאובטחת, עליכם לציין במפורש האם ייעשה (ייתכן גם כי AH או ESPשימוש בפרוטוקול
שניהם אפשריים), ובאיזה יכולות של הפרוטוקול נעשה שימוש (הצפנה ו/או אימות).
20(c) 2008אריק פרידמן
הגנה במערכות מתוכנתות - תרגול 13
שאלה ממבחן (המשך...)
מדיניות הרשת מיועדת לאפשר לעובדים ברשת 2. transport modeהכספים ליזום קשר המאובטח ב-
בכל פרוטוקול , Netwix USAעם מחשבים ב- SPD. בהנחה שמסתמכים אך ורק על ה-שיחפצו
לאכיפת המדיניות, האם כתוצאה ממדיניות זו Netwix USAיתאפשר בהכרח גם למחשבים ב-
ליזום קשר בכיוון ההפוך? אם כן, הסבירו מדוע. אם כך SPDלא, הדגימו כיצד ניתן להגדיר את ה-
שיעשה הבחנה בין שני המקרים.
21(c) 2008אריק פרידמן
הגנה במערכות מתוכנתות - תרגול 13
שאלה ממבחן (המשך...)
מנהל הכספים בארנס מנהל מדי פעם תכתובות גלויות עם 3. ע"י Tunnel mode, המוצפנות ב-Netwix USAמחשבים ברשת
chosen plaintext. מר סמיתרס מעוניין לבצע gatewaysה-attack) על התכתובות המוצפנות, ולהשיג זוגות P,C לפי (
Netwix Israelבחירתו. יש לו גישה אך ורק למחשבים ברשת (מחוץ לתת רשת כספים), אך ידוע לו כי כל התעבורה בין
GWF-ל GWB מוצפנת ע"י אותו SA כלומר, עם אותם) אלגוריתמים ומפתחות). תארו דרך בה יוכל מר סמיתרס לבצע
את זממו (לדוגמה, תוך ניצול סוגי תעבורה המותרים ).Firewallב-
22(c) 2008אריק פרידמן
הגנה במערכות מתוכנתות - תרגול 13
שאלה ממבחן (המשך...)
מדי פעם עובדי הסניף הישראלי נוסעים לבקרבאתרי הלקוח. כדי לאפשר להם להתחבר
) באופן בטוח Netwix Israelלרשת החברה ( בכל המחשבים IPsecמאתרי הלקוח, הותקן
Tunnelהנישאים שלהם, כך שיוכלו להתחבר ב-mode הערוץ המאובטח נוצר באמצעות .
. לצורך אימות העובדים, הוקצה IKEפרוטוקול ). pssלכל אחד מהם סוד משותף (
23(c) 2008אריק פרידמן
הגנה במערכות מתוכנתות - תרגול 13
שאלה ממבחן (המשך...)
להקמת ערוץ מאובטח IKEעבור הרצת פרוטוקול 4.בין העובדים לרשת, איזו שיטה מתאימה ועדיפה
Aggressive או Main modeיותר במקרה זה: Mode.נמקו ?
הוסיפו בנספח א' את השורות הנחוצות על מנת 5.. IKEלאפשר את התקשורת בערוץ המאובטח ואת
יש לציין במפורש היכן ישולבו השורות החדשות ביחס לשורות מסעיף א'. שימו לב כי יש לשמור ככל
האפשר על מדיניות הרשת המקורית.
24(c) 2008אריק פרידמן
הגנה במערכות מתוכנתות - תרגול 13
שאלה ממבחן (המשך...)
המנהל בארנס ביקר באתר הלקוח "תעשיות דו" 6.). b שלו באתר הלקוח באות IP(נסמן את כתובת ה-
הוא יצר ערוץ מאובטח לצורך התחברות למחשב ). הראו xשלו ברשת המנהלים (נסמן את כתובתו ב-
, מיד b ל-xאת מבנה חבילה הנשלחת בחזרה מ-.GWAלאחר שהיא מעובדת ויוצאת מ-
– מה Transport modeבארנס הוסיף שימוש ב-7.מבנה החבילה כעת?
25(c) 2008אריק פרידמן