bezpečnosť is 2004
DESCRIPTION
Bezpečnosť IS 2004. Bezpečnosť v Internete Protokoly SSL, IPSec, IPv6 Firewally. Obsah. Bezpečnosť v Internete Protokol SSL OpenSSL TLS IPSec IPv6 Firewally Zdroje. Bezpečnosť v Internete. Bezpečné pripojenie siete do Internetu : - PowerPoint PPT PresentationTRANSCRIPT
Marián Kováč, BIS 2004 1
Bezpečnosť IS 2004
Bezpečnosť v Internete
Protokoly SSL, IPSec, IPv6
Firewally
Marián Kováč, BIS 2004 2
Obsah
1. Bezpečnosť v Internete
2. Protokol SSL
3. OpenSSL
4. TLS
5. IPSec
6. IPv6
7. Firewally
8. Zdroje
Marián Kováč, BIS 2004 3
Bezpečnosť v Internete
Bezpečné pripojenie siete do Internetu:
• žiadne pripojenie – počítače so strategickým významom (armáda, ...), na Internet sú pripojené iba počítače mimo tejto strategickej siete
• plné pripojenie do Internetu – bez akýchkoľvek opatrení, extrém s ktorým sa často stretávame na akademickej pôde
• prepojenie intranetu s Internetom – bez priameho prepojenia do Internetu, teda sa použité technológie ako proxy, firewall, wrapper, ...
• plné pripojenie do Internetu – cez technológie, ktoré minimalizujú riziká Internetu (SSH, HTTPS, ...), a žiadne (Telnet, FTP, NFS, ...)
Marián Kováč, BIS 2004 4
Bezpečnosť v Internete
Protokoly rodiny TCP/IP a bezpečnosť:
• rodina protokolov TCP/IP sa stala najpoužívanejším protokolovým systémom pre veľké siete – Internety
• sú to protokoly orientované hlavne na funkčnosť
• bezpečnostné prostriedky boli pridávané dodatočne, no ani zďaleka neriešia všetky problémy
Bezpečnosť systému:
Je možné vyjadriť pomocou troch základných vlastností:
• dostupnosti (availability) – útok „vyradenie z činnosti“ (Denial of Service, DoS)
• privátnosti (confidentiality) – útok „prienik“ (penetration)
• integrity (integrity) – útok „prienik“ (penetration)
Porušenie aspoň jednej z týchto vlastností znamená porušenie celkovej bezpečnosti systému.
Marián Kováč, BIS 2004 5
Bezpečnosť v Internete
Filtrácia:
• oddeľuje sieť od Internetu prostredníctvom filtra na prístupovom routeri
• môže byť použitý router ako HW zariadenie (napr. Cisco), alebo počítač s dvoma sieťovými kartami a s OS (Linux, UNIX, Nowell, WinNT)
• filtrácia na úrovni IP ale aj TCP a UDP
Marián Kováč, BIS 2004 6
Bezpečnosť v Internete
ISO OSI model:• hierarchický štruktúrovaný model• definuje rozhrania medzi vrstvami, nezávislosť vrstiev navzájom• nižšia vrstva poskytuje služby vyššej vrstve• protokol danej vrstvy komunikuje logicky len s protokolom tej istej
vrstvy
Popis vrstiev ISO OSI modelu:• fyzická – bit – prenos bitov cez fyzické médium• linková – rámec – poskytuje spoľahlivý prenos dát cez fyzickú linku• sieťová – paket – sieťová konektivita medzi hostami, smerovanie
paketov• transportná – segment – riadenie toku dát, detekcia chýb,
segmentácia dát• relačná – dáta – zakladá, riadi, ukončuje spojenia, zakladá dialógy• prezentačná – dáta – dátové konverzie, šifrovanie a kompresia dát• aplikačná – dáta – poskytuje sieťové služby užívateľským
aplikáciam, zisťuje dostupnosť komunikačnej služby, zakladá spojenie medzi hostami
Marián Kováč, BIS 2004 7
Bezpečnosť v Internete
Bezpečnosť v protokolovom zásobníku TCP/IP:
• vrstva prístupu k médiu – na vytváranie VPN pomocou PPP slúži tunelovací dvojbodový protokol PPTP, pre Windows je to implementácia MS-PPTP, ktorý je však značne zraniteľný
• Internetová vrstva – protokol IPSec, ktorý ponúka dostatočnú bezpečnosť, ale priepustnosť siete sa znižuje, IPSec protokol je povinný pre IPv6
• transportná vrstva – protokoly SSL, TLS, SSH, dané protokoly neobsahujú žiadne vážne chyby, poskytujú dostatočné zabezpečenie a preto sú v dnešnej dobe najviac využívané
• aplikačná vrstva – služby sú integrované do každého aplikač. protokolu zvlášť, alebo sa použije spoločný bezpečnostný systém, protokoly S-FTP, S-HTTP, S/MIME
ISO OSI vs TCP/IP:
Marián Kováč, BIS 2004 8
Bezpečnosť v Internete
Rozvrhnutie bezpečnostných riešení v TCP/IP modely:
Marián Kováč, BIS 2004 9
Protokol SSL (Secure Socket Layer)
Charakteristika:• SSL protokol bol vytvorený spoločnosťou Netscape (1994 – SSL 1.0, 2.0, 1996
– SSL 3.0) pre zvýšenie bezpečnosti komunikácie v Internete, načo Microsoft odpovedal svojim protokolom PCT, oba protokoly sú si veľmi podobné
• zákl. funkciou SSL (RFC-2661) je zabezpečenie autentifikácie oboch komunikujúcich strán
• nie je postavený na báze štandardov a je chránený patentmi• je umiestnený nad transportným protokolom, je nezávislí od aplikačného
protokolu a „nevidí“ do aplikačných dát, teda nerozoznáva transakcie v prenášaných dátach (viac obr. 1)
• použitie tam kde neprekáža obmedzenie dĺžky šifrovacieho kľúča a kde sa nevyžaduje elektronické podpisovanie prenášaných transakcií => teda nie je vhodný na nasadenie napríklad do bánk
• zabezpečenie protokolu HTTP pomocou vrstvy SSL sa často označuje ako protokol HTTPS
• podporované šifry: DES, DSA, KEA, MD5, RC2, RC4, RSA, SHA-1, SKIPJACK, 3DES
• komunikujúce strany (napr. server a klient) sa dohodnú na verzii protokolu, na výbere šifrovacieho algoritmu a vymenia si verejné kľúče
Marián Kováč, BIS 2004 10
Protokol SSL (Secure Socket Layer)
• SSL berie dáta od aplikačného protokolu a šifrované ich predáva protokolu TCP, tj. nevidí do aplikačných dát
• najbežnejšie využitie je práve pre HTTPS, hotové aplikácie využívajúce HTTP je možné s minimálnymi úpravami preklopiť na prevádzku cez HTTPS
• s súčasnosti len asi 10% aplikácii na Internete sa prevádzkuje cez HTTPS
obr. 1
Marián Kováč, BIS 2004 11
Protokol SSL (Secure Socket Layer)
Zloženie protokolu SSL (4 vrstvy):
• Record Layer Protocol (RLP) – berie dáta od aplikačných protokolov, šifruje, dešifruje a počíta kontrolný súčet z prenášaných fragmentov
• Handshake Protocol (HP) – jeho pakety sa balia do protokolu RLP, pripravuje na obidvoch stranách protokolovú svitu (typ šifrovania a typ kontrolného súčtu), dohodne komprimačný algoritmus a vymieňa dáta pre výpočet zdieľaného tajomstva => symetrické šifrovacie kľúče
• Change Cipher Specification Protocol (CCSP) – obsahuje jedinú správu „skopíroval som pripravenú svitu na aktuálnu – šifrovanie je podľa novej svity“
• Alert protocol (AP) – umožňuje signalizovanie poruchy druhej strane
Marián Kováč, BIS 2004 12
Protokol SSL (Secure Socket Layer)
Zloženie protokolu SSL (4 vrstvy) - obrázok
Marián Kováč, BIS 2004 13
Protokol SSL (Secure Socket Layer)
Rezervované porty aplikačných protokolov zabezpečených protokolom SSL:
• 443 - HTTPS (HTTP cez SSL)
• 465 - SSMTP (SMTP cez SSL)
• 563 - SNNTP (NNTP cez SSL)
• 636 - Secure LDAP (LDAP cez SSL)
• 995 - POP3 cez SSL
Marián Kováč, BIS 2004 14
Protokol SSL (Secure Socket Layer)
Príklad nadväzovania spojenia:• klient zašle správu „Client Hello“, načo server odpovedá „Server Hello“. Obe
správy obsahujú info ako verzia protokolu, ID session a kompresná metóda• následne server zasiela certifikát klientovi a môže požadovať zaslanie
certifikátu od klienta• Potom server zasiela klientovi svoj verejný kľúč, správu „Server Key
Exchange“ a správu „Server Hello Done“• teraz klient zasiela svoj verejný kľúč
„Cleint Key Exchange“ a následne dochádza k aktivácii šifrovacích algoritmov na oboch stranách
• na záver zasiela klient serveru správu „Finished“, ktorá je už šifrovaná dohodnutým spôsobom a odteraz prebieha už celá komunikácia zašifrovaná
Marián Kováč, BIS 2004 15
Protokol SSL (Secure Socket Layer)
Zotavenie po páde spojenia:
• je možné znovunadviazanie spojenia s rovnakými parametrami prenosu, resp. je možné vytvoriť kópiu existujúcej session
• klient zašle serveru správu „Client Hello“ s predtým použitým ID session a server si skontroluje, či má vo svojej vyrovnávacej pamäti rovnaké údaje
• po ich nájdený zašle server klientovi správu „Server Hello“ s rovnakým ID session.
• následne klient zasiela správu „Finished“ a komunikácia pokračuje
• V prípade nenájdenia ID session vo vyrovnávacej pamäti servera sa pokračuje v klasickom nadväzovaní spojenia
Marián Kováč, BIS 2004 16
Protokol SSL (Secure Socket Layer)
Metódy šifrovania:• najsilnejšia metóda – 3DES s 168 bitovým kľúčom a SHA-1 autentifikáciou
správy, metóda použiteľná len na „území USA“ :-[ )• silná šifrovacia metóda – RC4 s 128 bitovým kľúčom a autentifikáciou správy
pomocou MD5, opäť iba na „území USA“ :-[ )• exportná šifrovacia metóda – RC4 s 40 bitovým kľúčom a autentifikáciou
pomocou MD5 (dosť slabé čo...)
Používané algoritmy v SSL 3.0:
Blokové šifrovanie:IDEA - 128 bitRC2 - 40 bitDES - 40 bitDES - 56 bit3DES - 168 bitFortezza - 80 bit
Prúdové šifrovanie:RC4 - 40 bitRC4 - 128 bit
Marián Kováč, BIS 2004 17
Protokol SSL (Secure Socket Layer)
Autentifikácia servera:
• server podporujúci SSL protokol musí mať vystavený certifikát, ktorý vystavujú CA
• certifikát obsahuje: verejný kľúč servera, sériové číslo certifikátu, dobu platnosti, jedinečný názov servera, jedinečný názov certifikačnej autority a digitálny podpis CA
• overovanie prebieha na základe doby platnosti certifikátu, následne sa klient pozrie do svojej tabuľky CA, ak v nej nájde jedinečný názov CA, prejde k overeniu digitálneho podpisu CA v certifikáte serveru pomocou verejného kľúča CA, následne sa overuje adresa servera porovnaním adresy v certifikáte so skutočnou adresou (Man In the Middle attack)
• Ak všetko prebehne OK, klient je „uistený“, že komunikuje so správnym serverom
Marián Kováč, BIS 2004 18
Protokol SSL (Secure Socket Layer)
Príklady obrany proti útokom:• útok vystrihnutím a vložením (Cut and Paste Attack) – útočník uprostred
spojenia vystrihne kus šifrovanej správy z jedného paketu a vloží ho do iného paketu, tak že sa prijímací účastník neúmyselne vzdá rozšifrovaného textu
• útok prestavením špecifikácie šifrovania – SSL 2.0 umožňovalo zmeniť za behu komunikácie úroveň zabezpečenia. Vďaka tomu bolo možné aby útočník vynútil zmenu zabezpečenia na slabšiu úroveň, známe pod názvom „CipherSuite rollback attack“. V SSL 3.0 už nie je možné meniť úroveň zabezpečenia
• útok prestavením verzie - útočník mení verziu zadanú v „client_hello message“ na verziu SSL 2.0. Tak prinútil server zvoliť slabšiu verziu SSL protokolu a tak bolo prelomenie omnoho jednoduchšie
• slovníkový útok (Dictionary attack) – útočník pozná určitú časť originálnej správy. Pokúša sa šifrovať text s akýmkoľvek možným kľúčom pokiaľ neobjaví správny výraz. Ak ho objaví, celá správa môže byť rozšifrovaná týmto kľúčom. SSL sa chráni silným šifrovacím algoritmom akými sú IDEA (128 bit) alebo DES (168 bit)
• útok na krátke bloky (Short-block attack) – ak posledný blok obsahuje 1 byte čistého textu a zostatková časť je doplnená na veľkosť, je možné tento blok relatívne ľahko rozšifrovať. SSL preto nepoužíva tak krátke bloky
Marián Kováč, BIS 2004 19
OpenSSL
Popis:
• prvá verzia knižnice OpenSSL 0.9.1c v decembri 1998
• OpenSSL sa skladá z dvoch toolsov – kryptografická knižnica a SSL toolkit
• SSL library – obsahuje implementáciu všetkých verzií protokolu SSL vrátane protokolu TLSv1
• kryptografická knižnica – obsahuje mnohé populárne algoritmy pre šifrovanie symetrickými a verejnými kľúčmi, hashovacie algoritmy, pseudorandom generátor, a nástroje na managovanie certifikátov a kľúčov
Marián Kováč, BIS 2004 20
TLS (Transaction Layer Security)
Protokol TLS:
• protokol vytvorený v rámci IETF v januári 1999 (RFC-2246)
• niekedy označovaný aj ako SSL 3.1
• Internetový štandard pre nahradenie SSL 3.0
• zaisťuje v prostredí Internetu súkromie a umožňuje klient/server aplikáciam predchádzať odpočúvaniu, falšovaniu alebo napádaniu správ
• vychádza z protokolu SSL 3.0, ale rozdiely sú významné v dôsledku čoho protokoly spolu nespolupracujú
• protokol TLS je obecne primaný pre overovanie a šifrovanie komunikácie medzi klientmi a servermi
Marián Kováč, BIS 2004 21
IPSec
Projekt skupiny IETF (Security Working Group) http://www.ietf.org/
História:
• 1992 – zahájený vývoj sady protokolov
• 1995 – RFC-1825 „Security Architecture for the Internet Protocol“ implementované v BSDi Internet Super Server
• 1998 – RFC-2401 „Security Architecture for the Internet Protocol“
Prečo používať IPSec?
• Dôveryhodnosť – prenášané dáta vie prečítať len príjemca
• Integrita – prenášané dáta nebudú po ceste zmenené
• Pravosť – možnosť potvrdiť identitu autora dát (podpisom)
Marián Kováč, BIS 2004 22
IPSec
Charakteristika:
• IPSec – Internet Protocol Security extension
• zaistenie bezpečnej komunikácie už na IP úrovni (sieťovej vrstve) v sieťach TCP/IP
• podpora IP protokolov – IPv4 a IPv6
• IPSec je plne skryté pred užívateľom, teda plne transparentné vzhľadom na aplikácie
• podporuje rôzne kryptovacie algoritmy pre dosiahnutie bezpečnosti
• implementácia v bezpečnostnej bráne „Security Gateway“ alebo priamo v koncovej stanici „Host“ (viac obr)
• spojenie dvoch Hostov – „Transport Mode“ – chráni obsah paketu, nie hlavičku
• spojenie dvoch Security Gateway – „Tunnel Mode“ – chráni celý paket
Marián Kováč, BIS 2004 23
IPSec
Bezpečnostné asociácie - Security Association (SA):
• kľúčový materiál, algoritmus na šifrovanie a autentifikáciu sa vyberá pomocou bezpečnostných asociácií
• základom štandardu IPSec sú dve rozšírenia IP protokolu AH a ESP
• rozšírenie AH slúži na zabezpečenie autenticity a integrity informácií
• rozšírenie ESP zabezpečuje privátnosť informácií
• bezpečnostné spojenie zabezpečujúce prenos dát pomocou jedného z protokolov - AH (Authentication Header), alebo ESP (Encapsulating Security Payload)
• pre zabezpečenie obojsmernej prevádzky medzi dvoma hostmi alebo security gateways je potrebné mať dve SA (SA – jednosmerná relácia medzi 2 uzlami)
• každý naviazaný SA spoj je určený – Security Parameter Index (SPI), čo je náhodne vybrané jedinečné číslo (uložené v IPSec hlavičke), cieľovou IP adresou a identifikátorom použitého bezp. protokolu (AH, ESP)
• momentálne je SA definované pre Point-to-Point spoje (budúcnosť – broadcast a multicast)
Marián Kováč, BIS 2004 24
IPSec
Implementovaná SA medzi dvoma Security Gateway
Implementovaná SA medzi dvoma hostami
Marián Kováč, BIS 2004 25
IPSec
Protokol AH:• zaisťuje integritu, autenticitu dát a chráni pred „útokom prehraním“• vhodný tam, kde samotná autentizácia postačuje a nevyžaduje sa šifrovanie
obsahu datagramov• definovaná dátová časť datagramu, ale iba pre autentizáciu• používané algoritmy pre autentizáciu sú najčastejšie – MD5, SHA-1• hlavička IP protokolu predchádza AH hlavičku• používa sa MAC v kombinácii so sekvenčným číslom
autentizačná hlavička (AH)
Marián Kováč, BIS 2004 26
IPSec
Protokol ESP:
• zaisťuje integritu, autenticitu a dôveryhodnosť dát, rieši „útok prehraním“
• definuje obsah IP datagramu
• obsahuje informácie o bezpečnostnom protokole (SPI), poradové číslo, zašifrované dáta a na konci checksum
ESP hlavička
Marián Kováč, BIS 2004 27
Protokol IPv6
Charakteristika:• štandardizácia protokolu IPv6 v decembri 1995 (RFC-1883)• adresný rozsah – 128 bitové IP adresy (3*10^38), adresuje sa rozhranie nie
uzol• zjednodušenie formátu IP hlavičky – vypustené málo používané údaje z
hlavičky pre zrýchlenie spracovávania paketu• rozšíriteľnosť IP hlavičiek – flexibilnejšia podpora nových vlastností• autokonfigurácia – ľahké nastavenie IP adresy, bez zásahu obsluhy• mobilita – mobilné zariadenie vystupuje identicky z hocijakého miesta• bezpečnosť – IPSec, povinná súčasť implementácie (realita je iná)• autentifikácia a utajenie – integrované v definícii protokolu• fragmentácia – smerovače nesmú fragmentovať pakety, iba používateľ• Quality of Service (Qos) – možnosť zvláštneho spracovávania paketov• adresy IPv6 sú hierarchicky usporiadané – sú teda agregovatelné
Marián Kováč, BIS 2004 28
Protokol IPv6
IPv6 základná hlavička (RFC-2460):
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|Version| Traffic Class | Flow Label |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Payload Length | Next Header | Hop Limit |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
+ +
| |
+ Source Address +
| |
+ +
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
+ +
| |
+ Destination Address +
| |
+ +
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Marián Kováč, BIS 2004 29
Protokol IPv6
IPv6 základná hlavička:
Traffic Class – požiadavky toku na vlastnosti siete
Flow Label – identifikátor prúdu paketu
Payload Length – dĺžka paketu bez hlavičky v oktetoch
Next Header – rozšírená IP hlavička, hlavička protokolu vyššej úrovne
Hop Limit – znižuje sa o 1 pri každom predaní paketu ďalej
Source, Destination Address – 128 bitové IPv6 adresy zdroju a cieľa
Zápis IPv6 adresy:
Zapisuje sa v hexadecimálnej sústave, dvojice bajtov sa oddeľujú znakom „:“
Príklad - FEDC:BA98:7654:3210:FEDC:BA98:7654:3210/64
Marián Kováč, BIS 2004 30
Protokol IPv6
Typy IPv6 adries (RFC-3513):• unicast – označuje jediného príjemcu paketu• anycast – označuje skupinu príjemcov paketu, paket je doručený najbližšiemu
z nich• multicast – označuje skupinu príjemcov paketu, paket je doručený všetkým
príjemcom
Špeciálne IPv6 adresy:• 0:0:0:0:0:0:0:0/64 – Unspecified – môže byť použitá ako odchádzajúca adresa
pri inicializácii počítača, ktorý ešte nemá IP adresu• 0:0:0:0:0:0:0:1/64 – Loopback – používa sa na poslanie dát sám sebe• FF00::/8 – skupinové adresy• FE80::/10 – individuálne lokálne linkové adresy• FEC0::/10 – individuálne lokálne miestne adresy
Marián Kováč, BIS 2004 31
Protokol IPv6
Unicast IPv6 adresy:
• Link-local unicast – použiteľná iba lokálne. Prefix: 1111 1110 10 = FE8::/10
• Site-local unicast – jedinečné v rámci jednej organizácie. Obsahujú 16 bitový prefix podsiete. Prefix: 1111 1110 11 = FEC::/10
• Global unicast – celosvetovo jedinečná adresa rozhrania
• IPv4 kompatibilné – použiteľné pre automatické tunely. Príklad: ::192.168.30.1 = ::C0A8:1E01
• IPv4 mapovaná – adresa IPv4-only uzlov v IPv6 sieti. Príklad: ::FFFF:192.168.30.1
• Loopback – spätná väzba. Prefix: ::1/128
Marián Kováč, BIS 2004 32
Protokol IPv6
Globálna individuálna adresa (RFC-2374):Je rozdelená na niekoľko častí, ktorých obsah najlepšie vyhovuje hierarchickej
štruktúre siete.
• TLA – Top-Level Aggregation Identifier – identifikátor globálneho poskytovateľa alebo chrbticového prepájacieho bodu. Je spravované IANA (najvyššia autorita Internetu)
• RES – Reserved – rezervované pre budúce použitie• NLA – Next-Level Aggregation Identifier – identifikátor INET providerov• SLA – Site-Level Aggregation Identifier – identifikátor podsiete• Interface ID – identifikácia sieťového rozhrania v podsieti
Marián Kováč, BIS 2004 33
Protokol IPv6
Pripojenie do IPv6 Internetu:
• 6bone – virtuálna sieť, skladá sa z lokálnych IPv6 sietí navzájom prepojenými tunelmi nad existujúcou IPv4 infraštruktúrou. Je potrebné požiadať niekoho (pseudo-TLA) o pridelenie prefixu a nakonfigurovanie tunelu. Info: http://www.6bone.net
• Freenet6 – pripojenie k sieti pomocou špeciálneho klienta, ktorý zabezpečí IPv6-over-IPv4 tunel medzi vašou podsieťou a Internetom. Info: http://www.freenet6.net/
IPv6 a programovanie:
• filozofia sieťového programovania sa s príchodom Ipv6 nemení
• je potrebné uvádzať parameter address family INET6 namiesto INET
Marián Kováč, BIS 2004 34
Firewally
Firewall
• širšie ponímanie: súhrn technických opatrení slúžiacich k riadeniu komunikácie medzi chránenou sieťou a okolitým svetom
• užšie ponímanie: počítač („bastion host“) vybavený SW umožňujúcim riadenie komunikácie...
• najčastejšie je to dedikovaný systém tvorený jedným alebo viacerými počítačmi určený k oddeleniu intranetu od Internetu
Marián Kováč, BIS 2004 35
Firewally
Firewall - čo vie zabezpečiť • riadenie komunikácie
• schopnosť spolupracovať so sieťami adresovanými privátnymi adresami (=> preklad sieťových adries)
• zaznamenávanie udalostí do log-súborov (ako na vnútornej tak na vonkajšej strane)
• Vytváranie sumárnych prehľadov tzv. reportov
• bezpečné komunikačné kanály
• systém autentizácie užívateľov
• obsluha niektorých sieťových služieb (DNS, e-mail, ...)
Marián Kováč, BIS 2004 36
Firewally
Firewall - čo nevie zabezpečiť • chrániť pred zlomyseľnými „insidermi“
• chrániť pred spojeniami, ktoré „ním neprechádzajú “ (dial-in PPP service in intranet behind router)
• chrániť pred úplne novými hrozbami
• plne chrániť pred vírusmi
• nevie sa sám správne a bezpečne nakonfigurovať (=> cena obsluhy)
Marián Kováč, BIS 2004 37
Firewally
Typy Firewallov:
• bezstavový paketový filter – filtrácia na úrovni sieťovej vrstvy
• stavový paketový filter – filtrácia na úrovni sieťovej vrstvy s využitím stavových informácií
• aplikačná brána (proxy) – riadenie komunikácie na aplikačnej úrovni
• Circuit Level Proxy – riadenie komunikácie na aplikačnej úrovni, pričom jedna proxy brána slúži pre viacej aplikačných protokolov
Marián Kováč, BIS 2004 38
Firewally
Firewall - bezstavový paketový filter:
• filtrácia na úrovni sieťovej vrstvy, pričom si filter nezachováva žiadne informácie o paketoch => nemôže sa rozhodnúť pri nasledujúcom filtrovaní podľa predošlých informácii
• podľa zadaných pravidiel, na základe informácii z IP, resp. TCP a UDP (napr. pre DNS) hlavičiek datagramu buď povolí prijatie paketu alebo sa paket zničí
• pravidlá sú väčšinou aplikované sekvenčne a prvé aplikovateľné pravidlo rozhoduje o povolení či zamietnutí paketu
• filter filtrujúci podľa údajov zo záhlavia IP-datagramu sa nazýva Packet Filter, zo záhlavia TCP, UDP paketu sa označuje ako Circuit Filter
• klady: vysoký výkon, flexibilita konfigurácie, jednoduchosť implementácie
• zápory: slabá filtrácia na aplikačnej úrovni, nižšia robustnosť, dodatočný preklad adries
Marián Kováč, BIS 2004 39
Firewally
Príklad filtračnej tabuľky bezstavového paketového filtra:
• filter rozhoduje o prepustení paketu na základe zdrojovej a cieľovej adresy, typu prenášaného protokolu, čísla cieľového portu a príznakov protokolu
• firewall je umiestnený na hranici siete 10.1.x.x
• bezpečnostná politika pravidiel znie: „povoliť všetky spojenia zo siete von, zakázať všetky spojenia do siete okrem spojenia na server 10.1.1.10 na port 80“
• pravidlo č. 1 – povoľuje akýkoľvek TCP paket z vnútornej siete
• pravidlo č. 2 – povoľuje TCP pakety s cieľ. adresou 10.1.1.10 a cieľ. portom 80
• pravidlo č. 3 – povoľuje akékoľvek TCP pakety bez nastaveného príznaku SYN, čo zaručuje možnosť odpovede na spojenia otvorené z vnútornej siete
• pravidlo č. 4 – určuje „implicitné správanie“, zakazuje všetko čo nebolo predchádzajúcimi pravidlami explicitne povolené
Marián Kováč, BIS 2004 40
Firewally
Firewall - stavový paketový filter:
• pracuje podobne ako bezstavový paketový filter, s tým rozdielom, že si zachováva stavovú informáciu o spojeniach, reláciach, apod., ktorá je vytváraná na základe analýzy predchádzajúcich paketov
• pomocou tejto stavovej informácie sa môže jednoduchšie a presnejšie rozhodnúť, či skúmaný paket porušuje bezpečnostnú politiku siete alebo nie
• väčšinu informácii čerpá z protokolových hlavičiek IP, TCP, UDP, vo veľkej miere sa však využíva aj dátová časť na kontrolu obsahu spojení
• klady: jednoduchšia konfigurácia (ako bezstavový), transparentný pre sieťové protokoly, dobre prispôsobiteľný bezpečnostnej politike
• zápory: nutnosť udržiavať stavovú informáciu (pri výpadkoch), implementácia značne náročná, vysoká cena produktov
Marián Kováč, BIS 2004 41
Firewally
Príklad filtračnej tabuľky stavového paketového filtra:
• podobná bezpečnostná politika ako pri bezstavovom paketovom filtri
• pravidlo č. 1 – implementuje povolenie všetkých spojení z vnútornej siete von, a keďže je to stavová inšpekcia nie je potrebné ďalšie pravidlo na povolenie paketov v opačnom smere, firewall ich automaticky povolí ak patria k otvorenému spojeniu iniciovanému z vnútornej siete
• pravidlo č. 2 – povoľuje prístup na server 10..1.1.10 na porte 80 (http port)
• pravidlo č. 3 – povoliť prístup užívateľa JOHN zo siete 10.2.x.x na FTP servery na vnútornej sieti
• pravidlo č. 4 – určuje „implicitné správanie“, zakazuje všetko čo nebolo predchádzajúcimi pravidlami explicitne povolené
Marián Kováč, BIS 2004 42
Firewally
Firewall - aplikačná brána (proxy):• riadenie komunikácie na aplikačnej vrstve (obr. 1)• nie je pre sieť transparentná => aplikácie a používatelia musia vedieť, že
existuje, aby mohli získať prístup do chránenej časti siete• poskytuje najvyššiu relatívnu bezpečnosť, keďže nesmeruje pakety ale
analyzuje aplikačný protokol• každá aplikácia musí mať na aplikačnej bráne svoj modul, ktorý je schopný
porozumieť aplikačnému protokolu a implementovať relevantnú časť bezpečnostnej politiky vzhľadom na daný aplikačný protokol (obr. 2)
• proxy brána je z pohľadu klienta „server“ a z pohľadu skutočného servera „klient“ => klient pristupuje k proxy ako k aplikačnému serveru a proxy komunikuje so skutočným aplikačným serverom (obr. 3)
obr. 3
Marián Kováč, BIS 2004 43
Firewally
obr. 1 obr. 2
Marián Kováč, BIS 2004 44
Firewally
Circuit level Proxy:
• firewall neinterpretuje aplikačné dáta, iba ich predáva
• proxy brána môže slúžiť pre viacej aplikačných protokolov
• implementácia – protokol SOCKS
• v súčasnosti sa používa SOCKS v5.0 z marca 1996 (RFC-1928)
• SOCKS rieši problematiku komplexne v štyroch krokoch – dohoda na autentizačnej metóde, autentizačný dialóg, požiadavka na zriadenie príslušnej proxy, komunikácia cez proxy so vzdialeným serverom
Marián Kováč, BIS 2004 45
Firewally
Implementácia – pod niektorým známym operačným systémom:
• v súčasnej dobe najrozšírenejší spôsob implementácie
• možnosť využitia bezpečnostných mechanizmov v hostiteľskom OS
• automatická podpora všetkých platforiem, pre ktoré existuje implementácia hostiteľského OS
• možnosť inštaláciu do už zabehaného IT systému (časté využitie starého HW)
• nutnosť opravy bezpečnostných problémov hostiteľského OS
• nutnosť implementovať dokonalú inštalačnú procedúru schopnú overiť aktuálny stav hostiteľského OS
• menšia odolnosť proti útokom, ktoré využívajú detailnú znalosť hostiteľského OS
• inštalácia firewallu často obsahuje i záplaty do hostiteľského OS pre zvýšenie bezpečnosti
• často využívané OS: Unix BSD, Solaris, Linux, FreeBSD, WinNT a iné
Marián Kováč, BIS 2004 46
Firewally
Implementácia – pod upravenou verziou niektorého operačného systému:
• v súčasnej dobe veľmi populárne riešenie
• relatívne nenáročná implementácia
• využitie existujúcich bezpečnostných mechanizmov východzieho OS
• možnosť priamej opravy prípadných bezpečnostných problémov daného OS
• obmedzený výber HW pre firewall (v prípade dodávky vrátane HW nie je výber žiadny) a tým pádom menšia možnosť neskoršieho upgradu
• výrobca firewallu musí udržiavať vlastnú implementáciu daného OS
• obmedzené možnosti upraveného OS z pohľadu administrácie v porovnaní s originálnym OS
• niektoré implementácie vnucujú užívateľovi vlastnú bezpečnostnú politiku
• najčastejšie upravované OS: Unix BSD, Linux, FreeBSD
• firewally dodávané aj s HW: GnatBox, FireBox, ...
Marián Kováč, BIS 2004 47
Firewally
Implementácia – kompletne propietárna implementácia vrátane HW:
• málo implementácii na trhu v súčasnej dobe
• dokonalé vyladenie celého systému pre funkciu firewallu a tak dosiahnutie vysokého výkonu
• umožňuje neimplementovať funkcie, ktoré nie sú nevyhnuté pre beh firewallu
• poskytuje zvýšenie bezpečnosti pomocou utajenia detailov implementácie (propietárnosť), čo v súčasnej dobe nie je prístup, ktorý by zaručoval stálu ochranu
• akési „čierne skrinky“, ktorých funkcii sa dá veriť, ale sa to nedá preveriť
• úplná závislosť na jednom výrobcovi
• HW pre daný firewall je rýdzo jednoúčelový
• podpora pre menší rozsah implementovateľných bezpečnostných politík
• správa sa prevádza typicky vzdialene
• typický predstavitelia: Cisco PIX, SonicWall, SunScreen SPF
Marián Kováč, BIS 2004 48
Zdroje
Použité zdroje (pure WWW):
• [1] http://fornax.elf.stuba.sk/~kubiki/projekty/TCP_IP.pdf
• [2] http://www.cpress.cz/knihy/tcp-ip-bezp/
• [3] http://www.cpress.cz/knihy/tcp-ip-bezp/CD-ssl/ssl.htm
• [4] http://www.dcs.elf.stuba.sk/~leporis/pss_iii/cvicen1/ssl/referat.html
• [5] http://www.ietf.org/html.charters/ipsec-charter.html
• [6] http://bri.kropes.cz/home/skola/p090-ipv6.html
• [7] http://www.kiv.zcu.cz/~simekm/vyuka/pd/zapocty-2003/IPv6/index.html
• [8] http://www.ipv6.cz/
• [9] http://storm.alert.sk