bezpečnosť v po čí ta č ov ý ch sie ť ach
DESCRIPTION
Bezpečnosť v po čí ta č ov ý ch sie ť ach. Lucia Kapová Martin Vozár. Bezpečnosť v počítačových sieťach. základné sieťové pojmy typy hrozieb zaradenie hrozieb podľa TCP/IP modelu šifrovaná komunikácia SSL/TLS IPSec (sieťová), IPv6 Firewally. Základné pojmy. TCP/IP model. - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/1.jpg)
Bezpečnosť v počítačových sieťach
Lucia KapováMartin Vozár
![Page 2: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/2.jpg)
Bezpečnosť v počítačových sieťach
• základné sieťové pojmy• typy hrozieb• zaradenie hrozieb podľa
TCP/IP modelu• šifrovaná komunikácia SSL/TLS• IPSec (sieťová), IPv6• Firewally
![Page 3: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/3.jpg)
Základné pojmy
![Page 4: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/4.jpg)
TCP/IP model• TCP – Transport Control Protocol• IP – Internet Protocol
Aplikačná vrstva (application layer)• telnet, FTP, SMTP, HTTP, DNS, SQL, ...Transpotrná vrstva (transport layer)• TCP, UDPInternetová vrstva (internet layer)• IP, ARP, RARP, ICMP ...Spojová vrstva (network access layer)• IEEE 802.x, FDDI, ATM, PPP ...
![Page 5: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/5.jpg)
• IP je protokol sieťovej vrstvy, umožňujúci komunikáciu. Slúži na prenos datagramov, rôznymi typmi sietí
• TCP – zaručuje doručenie packetu, ak nedostane potvrdenie o doručení packet je poslaný znova
• UDP (User datagram protocol) – nezaručuje doručenie, nepreposiela packety
TCP/IP model
![Page 6: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/6.jpg)
![Page 7: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/7.jpg)
![Page 8: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/8.jpg)
InternetISP- Internet Service Provider
![Page 9: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/9.jpg)
Prenos dát
![Page 10: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/10.jpg)
Zneužitie siete•Ciele:
•Získať informácie•Získať prístup do systému•Zakázať službu
•Prostriedky:•PortScan•Fingerprinting•Social engeneering
![Page 11: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/11.jpg)
Pohľad na TCP/IP model
![Page 12: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/12.jpg)
TCP/IP
• Z pohľadu TCP/IP modelu môžeme rozdeliť spôsoby uplatnenia ochrán proti útokom na tieto vrstvy:– Aplikačná (najvyššia)– internetová + transportná– spojová (najnižšia)
![Page 13: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/13.jpg)
Spojová vrstva
• Riziká– odpočúvanie prenosového média a následné
dekódovanie zachytených informácií, prípadné ich využitie na „playback“ útok (napr. odpočúvanie telefónnych liniek, neautorizované zachytávanie dát pri prenose zdiľaným médiom (wireless, ethernet s hubom, …)) – odchytávanie plaintextových protokolov
– MAC spoofing (zmena MAC adresy)
![Page 14: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/14.jpg)
Spojová vrstva
• Vrstva pracujúca s fyzickým médiom a zabezpečovaním prístupu k tomuto médiu (obvykle) prostredníctvom fyzických adries
• Ochrana– použitie silnej autentifikácie a šifrovania na
vyšších vrstvách, t.j. pri pripájaní z neznámych miest používať zabezpečené tunely
![Page 15: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/15.jpg)
Spojová vrstva
• Problém: Ako môže klient v USA pripojiť svoj PC na intranet v EU?
![Page 16: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/16.jpg)
• Riešenie 1:– linka: circuit-switched (ISDN, PSTN ...)– encapsulation PPP
• Výhody:– dostupnosť– jednoduchosť
• Nevýhody:– bezpečnosť (dáta nie sú zašifrované)– náklady (volania sú spoplatnené)
Spojová vrstva
![Page 17: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/17.jpg)
• Riešenie 2:– Virtuálna privátna sieť (VPN)– „Layer 2 tunneling“
• zapuzdrenie sieťového protokolu (IP, IPX, AppleTalk ...) v PPP
• zašifrovanie PPP framov • zapuzdrenie dát v prenosovom protokole (tunneling)
najčastejšie IP– „Layer 3 tunneling“
• zapuzdrenie sieťového protokolu v VTP (Virtual Tunneling Protokol)
• zapuzdrenie dát v prenosovom protokole (tunneling) najčastejšie IP
Spojová vrstva
![Page 18: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/18.jpg)
Spojová vrstva
![Page 19: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/19.jpg)
• Layer 2 forwarding (L2F)• Point-to-point tunneling protocol (PPTP)• Layer 2 tunneling protocol (L2TP)• LAC - L2TP access client • LAS - L2TP access server
Spojová vrstva
![Page 20: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/20.jpg)
• PPTP využíva na zabezpečenie bezpečnosti VPN
Spojová vrstva
![Page 21: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/21.jpg)
• Bezpečnostná architektúra zahrňa IPSEC (IP security protocol) a IKMP (Internet key management protocol alebo IKE-Internet key exchange)
Internetová vrstva
![Page 22: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/22.jpg)
• Riziká:– TCP seq. number guessing (TCP session
hijacking)– spomaľovanie TCP spojenia– zabíjanie TCP spojení
• Bezpečnostné protokoly transportnej vrstvy pre internet:– Secure shell protocol (SSH)– Secure sockets layer (SSL)– Private communications technology (PCT)– Transport layer security (TLS)
Transportná vrstva
![Page 23: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/23.jpg)
• SSH vyvinutý Tatu Ylonen-om na Technickej univerzite v Helsinkách
• Poskytuje podporu pre:– Autentifikáciu používateľov– Kompresiu dát– Utajenie dát a ochranu integrity
Transportná vrstva
![Page 24: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/24.jpg)
• SSH v1 vyžaduje manuálne distribuované a nakonfigurované verejné kľúče (pre server a nepovinne pre používateľa)
Transportná vrstva
![Page 25: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/25.jpg)
• SSH v2 sa podobne ako SSL/TLS skladá z dvoch subprotokolov:– SSH bezpečnostný protokol transpotnej
vrstvy – šifrovaná autentifikácia hostov, kompresia dát, utajenie a integrita dát
– SSH autetifikačný protokol – autentifikácia používateľov
Transportná vrstva
![Page 26: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/26.jpg)
• PCT (Private communication technology) – produkt Microsoftu z roku 1995
• TLS (Transport layer security) – snaha o štandardizáciu
• TLS v1 je veľmi podobná SSL v3 a je nazývaná SSL v3.1
Transportná vrstva
![Page 27: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/27.jpg)
• Riziká:– spoofing (napr. DNS spoofing, falšovanie e-
mailových hlavičiek, HTTP redirekty...)• Sú dve možnosti ako zabezpečiť bezpečnosť
na aplikačnej vrstve:– Zabezpečiť konkrétny protokol („security-
enhanced“)– Využiť štandardizované API využívané viacerými
protokolmi (autentifikačné a distribučné systémy)
Aplikačná vrstva
![Page 28: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/28.jpg)
• „Security-enhanced“ aplikačné protokoly:– Terminál:Telnet
• Kerberos Telnet• SSLtelnet (využíva SSL/TLS)• Encrypted session manager(ESM)• Secure RPC authentification (SRA)• Secure telnet(STEL)• Secure shell(SSH)
– Prenos súborov:FTP• Kerberos FTP• SSLFtp• SSH utility : scp, sftp
Aplikačná vrstva
![Page 29: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/29.jpg)
– E-mail: SMTP, POP3• Kerberos e-mail (Eudora)• SMTP/POP3 na základe SSL/TLS• Secure messaging: secure MIME (S/MINE) pretty good privacy (PGP)
– WWW: HTTP• Secure HTTP (S-HTTP)• HTTP na základe SSL/TLS (HTTPS)
Aplikačná vrstva
![Page 30: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/30.jpg)
– Domain name system: DNS• DNS security (DNSSEC)
– Distribuované filesystémy: HTTP• Cryptographic file system (CFS)• Kerberos file system (KFS)• WIN2000 encrypting file system (EFS)
Aplikačná vrstva
![Page 31: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/31.jpg)
• Autentifikačné a distribučné systémy:– Kerberos
• Heslo sa používa len raz pri inicializácii• Odolný voči sniffovaniu hesiel• Nevyužíva šifrovanie podľa verejného kľúča
Aplikačná vrstva
![Page 32: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/32.jpg)
Aplikačná vrstva
![Page 33: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/33.jpg)
• Nevýhody:– Bezvýhradna viera v KDC– Nízka skalabilita
• Vyžaduje obojstrannú dôveru pri komunikácii:
Aplikačná vrstva
![Page 34: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/34.jpg)
Zhrnutie1. Zabezpečiť prenosovú
cestu (Spojová vrstva)2. Zabezpečiť prenášané dáta
(Aplikačná vrstva)3. Zabezpečiť časti cesty a
najcennejšie dáta (Transporná vrstva)
![Page 35: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/35.jpg)
Zvýšenie bezpečnosti
• Šifrovanie (encipherment)• Digitálny podpis (digital signature) • Kontrola prístupu (access control)• Integrita údajov (data integrity)• Autentifikácia (authentification)• Utesnenie spojenia (traffic padding)• Kontrola routovania (routing control)• Značenie (notarization)
![Page 36: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/36.jpg)
Typy hrozieb(čo vlastne chcú)
![Page 37: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/37.jpg)
Typy hrozieb• získať kontrolu nad časťami programov, nad
programami alebo nad celým zariadením• získať cudzie informácie pre vlastnú potrebu
alebo pre iných, • zmeniť/poškodiť informácie• znemožniť prístup k informáciám, resp.
znemožniť funkčnosť zariadenia (napr. smerovača)
(pre osobné potešenie, alebo ako práca „na objednávku“ tretích osôb)
![Page 38: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/38.jpg)
Typy útokov(ako to dosiahnu)
![Page 39: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/39.jpg)
Časté typy útokov• odpočúvanie (niekedy považované za
útok)• ARP/IP spoofing• Man-in-the-Middle• protocol exploitation• session hijacking (tcp alebo app)• DoS/DDoS• DNS/HTTP/e-mail spoofing
![Page 40: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/40.jpg)
Pasívne odpočúvanie
• Pasívne počúvanie (wiretapping, eavesdropping)
• Analýza komunikácie za účelom získania zaujímavých informácií (loginy, heslá, e-maily, SQL výpisy, HTTP komunikácia)
![Page 41: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/41.jpg)
Príklad
•Čítanie packetov treťou stranou
•Obrana: šifrovanie
![Page 42: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/42.jpg)
![Page 43: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/43.jpg)
Aktívny útok
• Manipulácia s údajmi• Spoofing
– IP spoofing, sequence number quessing (internetová, transportná)
– DNS spoofing (aplikačná)• Degradation-of-service, denial-of-service
– TCP SYN flooding (internetová)– E-mail bombing (aplikačná)
![Page 44: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/44.jpg)
PríkladIPspoofing – zmena IP adresy s cieľom Prejsť autentifikáciou založenou na zdrojovej adrese
![Page 45: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/45.jpg)
TCP session hijacking
• Cieľom je prebrať kontrolu nad spojením, v prípade že používateľ práve čítal mail útočník k nemu bude mať prístup, môže vykonávať príkazy. Obeť len spozoruje, že spadlo spojenie a pripojí sa ešte raz.
• Pri tomto útoku útočník najprv sleduje komunikáciu medzi dvoma počítačmi potom jeden presvedčí o zlyhaní spojenia a preberie kontrolu nad spojením druhému počítaču, ktorý o žiadnej zmene nevie.
![Page 46: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/46.jpg)
TCP session hijacking
![Page 47: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/47.jpg)
Príklad
![Page 48: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/48.jpg)
Útoky typu DoS
• Obsadenie prenosovej kapacity linky:– Scenár 1: Útočník má vačšiu kapacitu linky (T1
1.544Mb/s) a zahltí pomalšiu linku (128kb/s). – Scenár 2: Využitie prístupu do viacerých
systémov, viac serverov napríklad môže zahltiť cieľovú sieť z viacerých zdrojov s tokom aj na 100 Mb/s.
• Často sa k takémuto cieľu využíva ICMP protokol.
![Page 49: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/49.jpg)
Útoky typu DoS
• Privlastnenie systémových zdrojov:– Snaha o spotrebovanie systémových
zdrojov cieľového PC• Chyby v programoch:
– „ping-of-dead“ – zaslanie packetu s neočákavanými parametrami
• Útok na DNS a smerovače paketov– Manipulácia so smerovacími tabuľkami
![Page 50: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/50.jpg)
Útoky typu DDoS
• Pri distribuovaných DoS je zdrojom zahltenia viac systémov naraz. Útočník ovládne viacero systémov a potom vytvorí dátový tok zo všetkých systémov smerom k cieľovému počítaču.
![Page 51: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/51.jpg)
Útoky typu Denial-Of-Service„Smurf attack“• Idea: Zahltiť obeť
pingmi z viacerých zdrojov.– Vygenerujú sa ICMP
packety so zdrojovou adresou obete
– Každy host vygeneruje ICMP echo reply k zdrojovej adrese a zahltí obeť
![Page 52: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/52.jpg)
DoS – „Denial-of-Service“
![Page 53: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/53.jpg)
Útoky typu Exploitation a Gathering info
• Exploitation: „TCP/IP hijacking“, „password guessing“, „trojan horses“, „buffer overruns“
• Gathering info: „address/port scanning“, „fingerprinting“, DNS zone transfers, finger, SNMP
![Page 54: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/54.jpg)
Príklad
1. Prieskum: • traceroute
![Page 55: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/55.jpg)
Príklad
• Skenovanie portov, SuperScan
![Page 56: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/56.jpg)
Príkladmythos:~# nmap -O 62.65.180.1
Starting nmap 3.50 ( http://www.insecure.org/nmap/ ) at 2004-04-22 11:55 CESTInteresting ports on cisco-ke.antik.sk (62.65.180.1):(The 1657 ports scanned but not shown below are in state: closed)PORT STATE SERVICE23/tcp open telnet514/tcp open shellDevice type: routerRunning: Cisco IOS 12.XOS details: Cisco 3600 router running IOS 12.2(6c), Cisco router running IOS
12.1.5-12.2.13a, Cisco router running IOS 12.1(5)-12.2(7a)
Nmap run completed -- 1 IP address (1 host up) scanned in 8.323 secondsmythos:~#
![Page 57: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/57.jpg)
• Po zistení otvorených portov a hesiel(dsniff) je možné dostať sa na zariadenie v sieti ak nie je dobre chránené a získať tak dalšie informácie.
Príklad
![Page 58: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/58.jpg)
• Napríklad:Príklad
![Page 59: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/59.jpg)
Bezpečná komunikácia. SSL protokol.
![Page 60: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/60.jpg)
SSL protokol
• SSL(Secure sockets protocol) bol vyvinutý firmou Netscape ako odpoveď na S-HTTP
• Základná idea je vytvorenie bezpečnostnej vrstvy medzi transportnou a aplikačnou vrstvou pre zvyšenie bezpečnosti komunikácie.
• V principe SSL môže zabezpečovať akýkoľvek TCP-orientovaný protokol (HTTP, Telnet, FTP, POP3, ...)
![Page 61: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/61.jpg)
SSL protokol
• SSL verzie:– v1.0: interný protokol– v2.0: Netscape Navigator v1.0 až 2.x
• PCT bol vytvorený na základe tejto verzie
– v3.0: opravenie verzie SSL2.0, implementované vo vačšine browserov
• TLS bol vytvorený na základe tejto verzie
![Page 62: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/62.jpg)
SSL protokol
• Využitie SSL:– Komunikujúce strany sa môžu autentifikovať s
použitímšifrovania podľa verejného kľúča.– Dáta sú chránené, komunikácia je zašifrovaná po
uskutočnení inicializačného handshaku a určení kľúča pre dané spojenie.
– Integrita dát je chránená(MAC).• Nevýhody SSL:
– Útoku formou analýzy spojenia– TCP SYN Flooding, Session hijacking
![Page 63: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/63.jpg)
SSL protokol
• Pri spojení pomocou SSL je potrebné na oboch stranách vedieť o SSL na opačnej strane a uchovávať stav.
• Informácia o stave komunikácie obsahuje:• ID spojenia• Peer certifikát• Metóda kompresie• Špecifikáciu šifrovania(šifrovanie a autentifikácia dát)• Master secret(zdieľaných 48bytov pre toto spojenie)• Flag – možnosť pokračovania komunikácie
![Page 64: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/64.jpg)
SSL protokol
• SSL môže byť využitý na rôzne typy komunikácie
• Informácia o stave spojenia obsahuje:• Náhodné bytové sekvencie vygenerované klientom a
serverom pre dané spojenie• MAC (message authentifikation key) pre klienta aj server• Šifrovacie kľuče• Inicializačný vektor• Sekvenčné číslo
![Page 65: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/65.jpg)
SSL protokol
![Page 66: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/66.jpg)
SSL protokol
![Page 67: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/67.jpg)
SSL protokol• SSL RFP (Record format protocol) zabezpečuje
– Fragmentáciu– Kompresiu a dekompresiu– Kódovanie a odkódovanie
![Page 68: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/68.jpg)
• Každý SSL záznam musí obsahovať:– Typ – informácia pre protokol vyššej vrstvy– Číslo verzie protokolu– Dĺžka– Payload– MAC
SSL protokol
![Page 69: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/69.jpg)
SSL protokol
• SSL HP (Handshake protocol) – klient a server sa dohodnú na:– Podporovanej verzii SSL protokolu– Metóde kompresie– Šifrovaciom algoritme– Vzájomnej autetifikácii (povinne server)– Generujú zdieľané „secrets“ – master
secret
![Page 70: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/70.jpg)
SSL protokol
![Page 71: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/71.jpg)
Prehľad o IPSec
![Page 72: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/72.jpg)
• Pracuje na internetovej vstve TCP/IP modelu
• je to štandardizované riešenie (IETF)• Umožňuje vytvárať rôzne typy tunelov
medzi počítačmi a sieťami, resp. medzi sieťami navzájom
IPSec
![Page 73: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/73.jpg)
IPSec
![Page 74: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/74.jpg)
• IPSec umožňuje– Data Confidentiality– Data Integrity– Data Origin Authentication– Anti-Replay
• Podporuje mechanizmus manuálnej alebo automatickej výmeny kľúčov (IKE)
IPSec
![Page 75: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/75.jpg)
• IKE – poskytuje autentifikáciu koncových zariadení, dohaduje IPSec security associations a establishuje IPSec kľúče
• SPI – Security Parameter Index je číslo, ktoré spolu s IP adresou a bezpečnostným protokolom jednoznačne identifikujú SA
IPSec pojmy
![Page 76: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/76.jpg)
• SA – Security Association popisuje ako dve alebo viac entít bude používať bezpečnostné služby (AH alebo ESP)
• SA obsahuje tieto parametre: – použitý autentifikačný a šifrovací algoritmus,
dĺžku kľúča a napr. aj platnosť kľúča– Kľúče pre autentifikáciu, šifrovanie a HMAC– IPSec AH alebo ESP enkapsulačný protokol
identifikáciu módu
IPSec pojmy
![Page 77: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/77.jpg)
• AH – Authentication Header je bezpečnostný protokol, ktorý poskytuje autentifikáciu dát a voliteľné anti-replay služby – overenie pravosti
• AH využíva MD5 alebo SHA-1– vypočítaný vysielajúcim IPSec modulom– pridaný k IP paketu– kontrolovaný prijímacím IPSec modulom
IPSec pojmy
![Page 78: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/78.jpg)
• ESP – Encapsulating Security Payload používa IP enkapsuláciu na kryptografickú ochranu prenášaných dát a voliteľnú autentifikáciu a anti-replay ochranu
• ESP (DES, 3DES, Blowfish)– vysielajúci IPSec modul zašifruje dáta– prijímúci IPSec modul rozšifruje dáta
IPSec pojmy
![Page 79: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/79.jpg)
• AH a ESP používajú symetrické šifrovanie
• IPSec = AH + ESP + IKE
IPSec pojmy
![Page 80: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/80.jpg)
AH a ESP
![Page 81: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/81.jpg)
IPSec módy
• Transport Mode
• Tunnel Mode– host-host– host-network– network-network
![Page 82: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/82.jpg)
AH a ESP v transportnom a tunel móde
![Page 83: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/83.jpg)
Nadviazanie IPSec spojenia
![Page 84: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/84.jpg)
Firewalls
![Page 85: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/85.jpg)
Firewally
• čo je firewall?• čo chceme chrániť• klasifikácia typov firewallov• vysvetlenie často používaných pojmov• základné typy zapojenia• príklad nastavenia
![Page 86: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/86.jpg)
Čo je firewall
• Zariadenie, ktoré môže– Obmedzovať prístup z jednotlivých časti siete na iné siete na
základe rôznych kritérií (všeobecne: podľa prihláseného užívateľa, IP adries, portov, použitých protokolov...)
– Zaznamenávať a analyzovať sieťovú prevádzku (IDS)
• Zariadenie, ktoré nevie analyzovať napr. vírus prenášaný službou FTP
• FW nevie chrániť počítače, ktoré komunikujú medzi sebou na lokálnej sieti (pretože premávka ide pomimo FW)
![Page 87: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/87.jpg)
Čo chceme chrániť
• dáta– secrecy (utajenosť)– integrity (neporušenosť)– availability (dostupnosť)
• počítače– výpočtový výkon (zdroje)
• svoju reputáciu– zabránenie vystupovaniu útočníka pod našou
identitou
![Page 88: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/88.jpg)
Klasifikácia typov
• Packet Filter– filtruje pakety od neautorizovaných počítačov a
filtruje pokusy o pripojenie na neautorizované služby
– Vyhodnocuje každý paket zvlášť – štandardné PFF nevedia rozoznať súvislosti medzi paketmi – kontrolujú na základe src IP, dst IP, port, …
– SPI (Stateful Packet Inspetion) – stavové firewally, priradzujú pakety k reláciám
![Page 89: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/89.jpg)
Klasifikácia typov
![Page 90: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/90.jpg)
Klasifikácia typov
• NAT– prekladá IP adresy vnútorných počítačov, aby ich
ochránil pred pokusmi o pripojenie z vonkajšej siete
– pre počítače na vnútornej sieti používa vyhradené adresy 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16
– z internetu firewall poskytujúci NAT vyzerá ako 1 veľmi vyťažený počítač (čo sa týka počtu spojení)
![Page 91: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/91.jpg)
Klasifikácia typov
![Page 92: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/92.jpg)
Klasifikácia typov
• Application level gateway– vytvárajú nové spojenie na aplikačnej vrstve
namiesto zdrojového počítača– Dual homed hosts – majú dve sieťové rozhrania,
smerovanie medzi nimi je vypnuté– známe aj ako „proxy servre“– závislé na aplikačnom protokole– špeciálny prípad – circuit level proxy –
všeobecnejší typ proxy servera predávajúceho obsah dátovej časti paketov
![Page 93: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/93.jpg)
Application firewall
![Page 94: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/94.jpg)
Niektoré voliteľné služby
• Overovanie užívateľov– šifrovaná autentifikácia užívateľov na preukázanie
identity za účelom povolenia vstupu do internej siete
• Virtual Private Networking– Vytvára zabezpečené spojenie medzi privátnymi
sieťami, medzi počítačmi alebo medzi počítačom a privátnou sieťou
![Page 95: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/95.jpg)
Často používané pojmy
• Bastion host – samostaný počítač s nainštalovaným sw firewallom
• Dual-homed host – zariadenie s min. Dvoma sieť. Rozhraniami s vypnutým IP routingom
• Screened host – • Screened network – • DMZ – demilitarizovaná zóna – časť siete, do ktorej
je povolený velmi obmedzený prístup z internetu a oveľa voľnejší prístup z intranetu; fyzicky oddelený segment siete
![Page 96: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/96.jpg)
Často používané pojmy
![Page 97: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/97.jpg)
Politiky ochrany
• No security – žiadne zabezpečenie• Security though obscurity –
„zabezpečenie“, tým, že o existencii systému „sa nebude vedieť“
• Host security – zabezbečenie jedného počítača
• Network security – zabezpečenie sieťového segmentu
![Page 98: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/98.jpg)
Príklady nastavenia – Linux[root@stargate]-[08:24:44]-[~]# iptables -LChain INPUT (policy DROP)target prot opt source destination all -- anywhere anywhere state NEWACCEPT all -- anywhere anywhere state RELATED,ESTABLISHEDACCEPT all -- anywhere anywhereCNL all -- 147.232.22.0/24 anywhereCNL all -- 147.232.48.0/24 anywhereCNL all -- 147.232.240.0/24 anywhereCNL all -- 212.5.207.224/27 anywhereINET all -- anywhere anywhere
Chain FORWARD (policy DROP)target prot opt source destination
Chain OUTPUT (policy ACCEPT)target prot opt source destination
Chain CNL (4 references)target prot opt source destinationACCEPT all -- anywhere anywhere
Chain INET (1 references)target prot opt source destinationACCEPT tcp -- anywhere anywhere tcp dpt:ftp flags:SYN,RST,ACK/SYN state NEWACCEPT tcp -- anywhere anywhere tcp dpt:ssh flags:SYN,RST,ACK/SYN state NEWACCEPT tcp -- anywhere anywhere tcp dpt:smtp flags:SYN,RST,ACK/SYN state NEWACCEPT tcp -- anywhere anywhere tcp dpt:www flags:SYN,RST,ACK/SYN state NEWACCEPT tcp -- anywhere anywhere tcp dpt:pop3 flags:SYN,RST,ACK/SYN state NEWACCEPT tcp -- anywhere anywhere tcp dpt:auth flags:SYN,RST,ACK/SYN state NEWACCEPT tcp -- anywhere anywhere tcp dpt:imap2 flags:SYN,RST,ACK/SYN state NEWACCEPT tcp -- anywhere anywhere tcp dpt:https flags:SYN,RST,ACK/SYN state NEWACCEPT tcp -- anywhere anywhere tcp dpt:imaps flags:SYN,RST,ACK/SYN state NEWACCEPT tcp -- anywhere anywhere tcp dpt:pop3s flags:SYN,RST,ACK/SYN state NEWACCEPT tcp -- anywhere anywhere tcp dpt:5000 flags:SYN,RST,ACK/SYN state NEWACCEPT icmp -- anywhere anywhere icmp echo-replyACCEPT icmp -- anywhere anywhere icmp destination-unreachableACCEPT icmp -- anywhere anywhere icmp redirectACCEPT icmp -- anywhere anywhere icmp echo-requestACCEPT icmp -- anywhere anywhere icmp time-exceededLOG all -- anywhere anywhere limit: avg 10/sec burst 5 LOG level warningDROP all -- anywhere anywhere
![Page 99: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/99.jpg)
Literatúra
• http://www.networkcomputing.com/netdesign/wall2.html• http://www.interhack.net/pubs/fwfaq/• http://www.darmstadt.gmd.de/ice-tel/deliverables/download/firewall/theory.
html• http://quark.humbug.org.au/publications/firewall/introfirewall.html• Strebe M., Perkinson Ch. – Firewalls 24seven, Sybex 2002• Joel Scambray, Stuart McClure, George Kurtz – Hacking bez tajemství • http://www.eecg.toronto.edu/~lie/ECE1724/Lectures/Lecture11.pdf• http://www.ifi.unizh.ch/~oppliger/Presentations/InternetIntranetSecurity2e/• http://www.cs.unibo.it/babaoglu/courses/security/lucidi/IPSec.pdf• http://cip.uni-trier.de/mauren/internet-security/tutorial/IS-2.pdf
![Page 100: Bezpečnosť v po čí ta č ov ý ch sie ť ach](https://reader033.vdocuments.pub/reader033/viewer/2022051422/56815655550346895dc3f6d4/html5/thumbnails/100.jpg)
Ďakujeme za pozornosť