információ- és hálózatbiztonság: alapfogalmak és alapelvek
DESCRIPTION
Információ- és hálózatbiztonság: alapfogalmak és alapelvek. w w w . c r y s y s . h u. A b i z t o n s á g k e d v é é r t. Buttyán Levente Budapesti Műszaki és Gazdaságtudományi Egyetem Híradástechnikai Tanszék CrySyS – Adatbiztonság Laboratórium [email protected]. - PowerPoint PPT PresentationTRANSCRIPT
-
Informci- s hlzatbiztonsg:alapfogalmak s alapelvekButtyn LeventeBudapesti Mszaki s Gazdasgtudomnyi EgyetemHradstechnikai TanszkCrySyS Adatbiztonsg Laboratrium
[email protected] b i z t o n s g k e d v r t .w w w . c r y s y s . h u
CrySyS A biztonsg kedvrt.Adatbiztonsg Laboratrium, BME-HIT
A biztonsg informlis defincijaegy biztonsgos rendszer kpes az ellene irnyul tmadsok megelzsre, vagy legalbb azok detektlsra
a tmads olyan szndkos ksrlet, melynek clja, hogy a rendszert nemkvnt llapotba hozza, vagy elidzze a rendszer nemkvnt viselkedst
a tmadsok ltalban a rendszer srlkeny pontjait hasznljk ki, melyek a rendszer tervezse, implementcija, vagy mkdtetse sorn elkvetett hibkbl szrmazhatnak
minden hiba potencilis tmadst, azaz fenyegetettsget, jelent, azonban nem minden fenyegetettsgbl lesz valdi tmads
CrySyS A biztonsg kedvrt.Adatbiztonsg Laboratrium, BME-HIT
A biztonsg gyakorlati megkzeltseabszolt biztonsg a gyakorlatban nem ltezik
egy rendszer biztonsgt ltalban csak valamilyen tmad-modell felttelezsei mellett van rtelme vizsglni
a tmad-modell ltalban a kvetkezket tartalmazza:lehetsges tmadk kre, osztlyaia tmadk felttelezett cljaia tmadk rendelkezsre ll tmadsi mdszerek
mivel egy rendszer biztonsgoss ttelnek ra van, ezrt kompromisszumokra (trade-off) van szksg
a biztonsgi rendszer tervezsnl alapvet fontossg a kockzatanalzistmad-modell definilsa s fenyegetettsgek azonostsaa fenyegetettsgek kockzatnak becslse az adott tmad-modellben (tmads kivitelezhetsgnek nehzsge, sikeres tmadsbl szrmaz vrhat vesztesg)kritikus fenyegetettsgek megllaptsa
CrySyS A biztonsg kedvrt.Adatbiztonsg Laboratrium, BME-HIT
Az elads tartalmaa hlzati kommunikci biztonsgatmadstpusok s biztonsgi kvetelmnyekrvid bevezets a kriptogrfibaalkalmazsi pldk: TLS s IPSec
hlzatok vdelme behatols ellenhatrvdelem (perimeter defense) tzfalakkalbehatols detektl rendszerek
aktulis hlzatbiztonsgi problmknem-kvnt forgalom, spam s elosztott szolgltats-megtagads tmadsok (DDoS)botnet-ek
kitekints a jvreaz Internet s a tvkzlsi rendszerek konvergencijbl szrmaz problmkbegyazott kommunikcis rendszerek
CrySyS A biztonsg kedvrt.Adatbiztonsg Laboratrium, BME-HIT
Rendszer- s tmad-modella kommunikcis csatorna nem ll teljes egszben a kommunikl felek befolysa alattA hlzati kommunikci biztonsgaABcsatorna
CrySyS A biztonsg kedvrt.Adatbiztonsg Laboratrium, BME-HIT
Rendszer- s tmad-modella kommunikcis csatorna nem ll teljes egszben a kommunikl felek befolysa alattpldk:Internet (on-line vsrls, on-line banki szolgltatsok, on-line ...)
Internethost Ahost BrouterrouterA hlzati kommunikci biztonsga
CrySyS A biztonsg kedvrt.Adatbiztonsg Laboratrium, BME-HIT
Rendszer- s tmad-modella kommunikcis csatorna nem ll teljes egszben a kommunikl felek befolysa alattpldk:Internet (on-line vsrls, on-line banki szolgltatsok, on-line ...)vezetk nlkli kommunikci (mobil szmtgp s WiFi hozzfrsi pont kztti kommunikci, mobil telefon s bzislloms kztti kommunikci)
mobil szmtgpWiFi hozzfrsi pontrdi linkA hlzati kommunikci biztonsga
CrySyS A biztonsg kedvrt.Adatbiztonsg Laboratrium, BME-HIT
Rendszer- s tmad-modella kommunikcis csatorna nem ll teljes egszben a kommunikl felek befolysa alattpldk:Internet (on-line vsrls, on-line banki szolgltatsok, on-line ...)vezetk nlkli kommunikci (mobil szmtgp s WiFi hozzfrsi pont kztti kommunikci, mobil telefon s bzislloms kztti kommunikci)
ltalban azzal a pesszimista feltevssel lnk, hogy a tmad teljes mrtkben kontrolllja a kommunikcis csatornt
A hlzati kommunikci biztonsgaABcsatorna
CrySyS A biztonsg kedvrt.Adatbiztonsg Laboratrium, BME-HIT
Tmadsi tpusokpasszv tmadsokzenetek lehallgatsaforgalom-statisztikk ksztsenehezen detektlhatk cl a megelzs
aktv tmadsokzenetek visszajtszsa, mdostsa, trlse, fabriklt zenetek beszrsanehezen megelzhetk cl a detektlsA hlzati kommunikci biztonsga
CrySyS A biztonsg kedvrt.Adatbiztonsg Laboratrium, BME-HIT
F biztonsgi kvetelmnyekbizalmassg vdelme (Confidentiality)zenetek tartalmhoz val illetktelen hozzfrs megakadlyozsasrtetlensg biztostsa (Integrity)zenetek illetktelen mdostsnak detektlsazenetek visszajtszsnak s trlsnek detektlsa (zenetfolyam integritsa)hitelests (Authenticity)fabriklt zenetek detektlsa
forgalomanalzis elleni vdelemmeta-infromcik rejtse (zenetek hossza, fejlcek tartalma, a kommunikci tnye, ...)letagadhatatlansg (Non-repudiation)zenet kldsnek s/vagy fogadsnak bizonythatsga
A hlzati kommunikci biztonsga
CrySyS A biztonsg kedvrt.Adatbiztonsg Laboratrium, BME-HIT
Gyakran alkalmazott kriptogrfiai eszkzkrejtjelezselsdleges clja az zenetek bizalmassgnak vdelmeezen tl szmos tovbbi kriptogrfiai eszkzben hasznlt ptelem
zenethitelest kdintegritsvdelmet (srtetlensget) s hitelessget biztostzenetek sorszmozsval kiegsztve lehetv teszi a visszajtszs s a trls detektlst
digitlis alrsintegritsvdelmet, hitelessget, s zeneteredet letagadhatatlansgot biztost
A hlzati kommunikci biztonsga
CrySyS A biztonsg kedvrt.Adatbiztonsg Laboratrium, BME-HIT
A rejtjelezs modellje s tpusaiKerckhoff-elv [1883 (!)]:a rendszer biztonsga nem plhet arra a feltevsre, hogy a tmad nem ismeri E s D mkdst (security by obscurity) ezrt feltesszk, hogy a tmad ismeri E s D rszletes specifikcijt, csak az aktulisan hasznlt dekdol kulcs ismeretlen szmra
szimmetrikus kulcs rejtjelezsa kdol s a dekdol kulcs (lnyegben) megegyezikaszimmetrikus (publikus) kulcs rejtjelezsa kdol s a dekdol kulcsok klnbzneka dekdol kulcs szmtsa a kdol kulcsbl nehz feladat (gyakorlatilag lehetetlen)EDxnylt szvegkkdol kulcskdekdol kulcsEk(x)rejtett szvegDk (Ek(x)) = xtmadA hlzati kommunikci biztonsga
CrySyS A biztonsg kedvrt.Adatbiztonsg Laboratrium, BME-HIT
Tkletes rejtjelezsone-time pad (OTP):
EK(X) = X xor K
ahol X s K azonos hosszsg binris sorozatokK bitjei fggetlen egyenletes eloszls valsznsgi vltozkxor a bitenknti xor mvelet
Shannon [1949] megadta a tkletes rejtjelezs precz defincijt:
I(X; EK(X)) = 0
s szksges felttelt:
H(K) >= H(X)A hlzati kommunikci biztonsga
CrySyS A biztonsg kedvrt.Adatbiztonsg Laboratrium, BME-HIT
Gyakorlatilag biztonsgos rejtjelezsa gyakorlatban hasznlt rejtjelezk kulcsmrete nem fgg a nylt szveg mrettl s lehetleg minnl kisebb (de nem tl kicsi!)mai tipikus kulcsmretek:szimmetrikus kulcs rejtjelezk: 128 bitaszimmetrikus kulcs rejtjelezk: 1024 bit (160 bit ECC esetn)
a gyakorlatban hasznlt rejtjelezk nem tkletesek (a shannoni rtelemben)
biztonsgukrl ltalban az albbi kijelentseket tehetjk:kulcsmretk elegenden nagy ahhoz, hogy ellenlljanak a kimert kulcskeress tmadsnakalgebrai struktrjuk ellenll a ma ismert legersebb tmadsi mdszereknek
nhny aszimmetrikus kulcs rejtjelezrl bizonythat, hogy feltrsk ekvivalens valamely jl ismert, nehznek vlt feladat megoldsval (pl. diszkrt logaritmus szmts)
ismertebb rejtjelezk: AES (Advanced Encryption Standard), RSA (Rivest-Shamir-Adleman)A hlzati kommunikci biztonsga
CrySyS A biztonsg kedvrt.Adatbiztonsg Laboratrium, BME-HIT
A hitelest kdok mkdsi modelljeaz zenethitelest kd (Message Authentication Code MAC) egy rgztett hosszsg bitsorozattipikus mrete: 96 160 bita tmadrl hasonl felttelezseket tesznk mint a rejtjelezs esetn, azzal a klnbsggel, hogy a tmad clja most ervnyes zenet MAC prok konstrulsaismertebb MAC konstrukcik: CBC-MAC (pl. AES-sel), HMAC (pl. SHA-1 hash fggvnnyel)MACMACxzenetkMAC kulcskMAC kulcsx || MACk(x)xtmadMACk(x)x=?success/failureA hlzati kommunikci biztonsga
CrySyS A biztonsg kedvrt.Adatbiztonsg Laboratrium, BME-HIT
A digitlis alrs mkdsi modelljea digitlis alrs lnyegben az zenethitelest kd aszimmetrikus kulcs megfelelje:az ellenrz kulcs publikus, az alr kulcs titkoszenethitelest kd esetben, egyik fl sem tudja bizonytani egy harmadik flnek, hogy ki az zenet kldjedigitlis alrs esetben ez lehetsges, mivel az alrst csak az egyik fl tudja generlni zeneteredet letagadhatatlansg szolgltatsismertebb alrs smk: RSA, DSA (Digital Signature Algorithm), ECDSAGenxzenetkalr kulcsx || Sigk(x)xtmadSigk(x)xsuccess/failureHashVerHashkellenrz kulcsA hlzati kommunikci biztonsga
CrySyS A biztonsg kedvrt.Adatbiztonsg Laboratrium, BME-HIT
Kulcscsere protokolloka szimmetrikus kulcs algoritmusok felttelezik, hogy a felek megosztanak egy kzs titkota kulcscsere protokollok clja ezen kzs titok dinamikus mdon trtn ltrehozsamaga a kulcscsere protokoll hasznlhat szimmetrikus vagy aszimmetrikus kriptogrfit:A hlzati kommunikci biztonsga
CrySyS A biztonsg kedvrt.Adatbiztonsg Laboratrium, BME-HIT
Transport Layer Security (TLS)a TLS protokoll biztonsgos TCP kapcsolat ltrehozst teszi lehetv egy kliens s egy szerver kzttbrmely TCP-t hasznl alkalmazs hasznlhatjatipikusan bngszk s web szerverek kztti HTTP forgalom vdelmre hasznljk
A hlzati kommunikci biztonsga
CrySyS A biztonsg kedvrt.Adatbiztonsg Laboratrium, BME-HIT
TLS handshake (egyszerstett)kliensszerverA hlzati kommunikci biztonsga
CrySyS A biztonsg kedvrt.Adatbiztonsg Laboratrium, BME-HIT
TLS record protokollers (szimmetrikus kulcs) rejtjelez s MAC algoritmusoknagy kulcsmretekklnbz irnyokban klnbz kulcsokklnbz rejtjelez s MAC kulcsok
tpusverzihosszkitltsalkalmazsi adat vagy handshake zenet(tmrtett)MACencryptedA hlzati kommunikci biztonsga
CrySyS A biztonsg kedvrt.Adatbiztonsg Laboratrium, BME-HIT
IPSecIP csomagok vdelmt biztostja lehallgats, visszajtszs, mdosts, fabrikls, s korltozott mrtkben forgalomanalzis ellen
az IPSec ltal nyjtott szolgltatsokbl minden IP-t hasznl alkalmazs profitl
alprotokollok:AH (Authentication Header)hitelests, integritsvdelem, visszajtszs elleni vdelemESP (Encapsulated Security Payload)rejtjelezs, opcionlis hitelests s integritsvdelemIKEv2 (Internet Key Exchange)algoritmus egyeztets s kulcscsere
hasznlati mdokszlltsi md (transport)alagt md (tunnel) A hlzati kommunikci biztonsga
CrySyS A biztonsg kedvrt.Adatbiztonsg Laboratrium, BME-HIT
Az AH s ESP protokollokkv. fejlchosszSecurity Parameters Index (SPI)foglaltcsomagsorszmMAC IP fejlckvetkez protokoll fejlcepl. TCP, UDP, vagy IP (tunneling esetn)Security Parameters Index (SPI)csomagsorszmMAC(opcionlis)tartalom (vltoz hossz)kitlts (0-255 byte)kv.fejlcIP fejlcA hlzati kommunikci biztonsga
CrySyS A biztonsg kedvrt.Adatbiztonsg Laboratrium, BME-HIT
VPN ltrehozsa IPSec alagt segtsgvel
Internethost A.xhost B.yrouter A.1router B.1tartalom (vltoz hossz)IP fejlcforrs: A.x cl: B.yA hlzati kommunikci biztonsga
CrySyS A biztonsg kedvrt.Adatbiztonsg Laboratrium, BME-HIT
Mirt van szksg tzfalakra?Axima (Murphy): Minden program hibs.(Emlkeztet: minden hiba potencilis tmadsi lehetsget rejt magban)
1. ttel (Nagy Programok Trvnye): A hibk szma szuperlinerisan nvekszik a program mretvel.Bizonyts: Tapasztalat alapjn egyrtelm.
2. ttel: Ha nem futtatunk egy programot, akkor mindegy, hogy a program hibs vagy sem.Bizonyts: (false true) = true
3. ttel: A kvlrl elrhet gpek ltal futtatott programok (szolgltatsok) szmt s mrett minimalizlni kell.Bizonyts: Kvetkezik az 1. s a 2. ttelbl.
Korollrium (Tzfalak Alapttele): A hlzatunkban tallhat legtbb hoszt tl sok s tl nagy programot (szolgltats) futtat. Az egyetlen praktikus megolds ezek elvlasztsa a klvilgtl egy tzfallal (amelyen minimlis szm s mret program (szolgltats) fut).Hlzatok vdelme behatols ellenForrs: Cheswick, Bellovin: Firewalls and Internet Security, Addison-Wesley, 1994
CrySyS A biztonsg kedvrt.Adatbiztonsg Laboratrium, BME-HIT
A tzfalak mkdsi elvefizikailag biztostott (pl. megfelel kbelezssel), hogy minden be- s kimen adatforgalom tmegy a tzfalon
a tzfal megszri a forgalmat s csak azokat az zeneteket engedi t melyek megfelelnek egy elre definilt biztonsgi szablyhalmaznak (security policy)
a tzfalnak magnak vdettnek kell lennie a behatolsok ellen
egy tipikus elrendezs:Hlzatok vdelme behatols ellen
Internetbels tzfal(s router)kls tzfal(s router)intranetDMZWebszerverDNSszerver...
CrySyS A biztonsg kedvrt.Adatbiztonsg Laboratrium, BME-HIT
Tzfalak fajtistatikus csomagszszrIP csomagok szrse fejlc informcik alapjn forrs s cl IP cm, protokoll, forrs s cl portszm, egyb jelz bitek (pl. ACK)llapotmentes mkds (dnts kizrlag az adott csomag alapjn)
dinamikus csomagszrTCP kapcsolatok llapotnak nylvntartsa s figyelembe vtele a szrsi dnts sorn
alkalmazs szint tjr (application level gateway)proxy-knt mkdik egy bels kliens s egy kls szerver kzttrtelmezni s naplzni tudja az tkldtt alkalmazsi adatokatltalban biztonsgosabb mint egy csomagszrminden alkalmazsnak sajt proxy-ra van szksgeHlzatok vdelme behatols ellen
CrySyS A biztonsg kedvrt.Adatbiztonsg Laboratrium, BME-HIT
Plda (egyszerstett)
Internetbels tzfal(s router)kls tzfal(s router)INDMZWebszerverDNSszerver...DMZ.WHlzatok vdelme behatols ellen
CrySyS A biztonsg kedvrt.Adatbiztonsg Laboratrium, BME-HIT
Behatols detektl rendszerekmonitorozzk s elemzik a rendszerben elfordul esemnyeket, s ez alapjn vals (vagy kzel vals) idben igyekeznek a rendszer elleni tmadsi ksrleteket azonostani s jelezni
osztlyozsvdeni kvnt rendszer alapjnhoszt alap IDS: egy hoszton trtn esemnyek (pl. rendszerhvsok) monitorozsa s elemzsehlzati IDS: hlzati forgalom monitorozsa s elemzsedetekci mdja alapjnsignature alap: ismert tmadsi mintk keresseanomlia detekci: norml mkds ismert mintitl val eltrs detektlsa
a behatols detektl rendszerek nem tkletesekfalse pozitv hibk: tves riasztsokfalse negatv hibk: nem detektlt tmadsok
Hlzatok vdelme behatols ellen
CrySyS A biztonsg kedvrt.Adatbiztonsg Laboratrium, BME-HIT
Behatols detektl rendszerek elvi felptseszenzorok: adatokat gyjtenek s tovbbtanak az elemz modulok szmra
elemez modulok: a begyjttt adatok alapjn igyekeznek a behatols tnyt detektlni
felhasznli interfsz: elemz modulok kimenetnek megjelentse a rendszergazda szmra, paramterek belltsa
Hlzatok vdelme behatols ellenszenzorokelemzmodulokfelhasznliinterfsz
CrySyS A biztonsg kedvrt.Adatbiztonsg Laboratrium, BME-HIT
Hlzati behatols detektlsszenzor s elemz modulok elhelyezse:
tmadsok detektlsahlzati szinten:IP fejlc mezinek helytelen tartalma, hamistott IP cmekszlltsi szinten:port scan, TCP specifikus tmadsok (pl. SYN flood)alkalmazsi szinten:ismert vrusok, puffer tlcsordulsi hibk, ...
Internetbels tzfal(s router)kls tzfal(s router)WebszerverDNSszerver...DBszerverHlzatok vdelme behatols ellen
CrySyS A biztonsg kedvrt.Adatbiztonsg Laboratrium, BME-HIT
Kretlen levelek (spam)sszes e-mail ~80%-a spam (1998-ban csak 10% !)ennek nagy rsze nem ri el a felhasznlkat a spam szrknek ksznhetenugyanakkor a spam egyre nagyobb problmt jelent a levelez szervereknek:a spam- s vrusszrs jelentsen reduklja a levelek feldolgozsi sebessgtsajt mrseink alapjn a szerver tejestmnye spam s vrusszrssel a szrs nlkli teljestmny 5%-a is lehet (30 levl/sec 1.5 levl/sec)
Aktulis hlzatbiztonsgi problmk
CrySyS A biztonsg kedvrt.Adatbiztonsg Laboratrium, BME-HIT
Spam szrk fajtitartalom alapjn vgzett szrs loklisanstatikus szablyok alapjnpl: spam-re utal szavak keresse (Viagra, Sex, Replica watch, ...)dinamikusan tanult szablyok alapjnpl: feedback alapjn betantott Naive Bayes osztlyoz kzponti adatbzist hasznlvapl. tartalom hash lenyomatnak ellenrzse az adatbzisban (Razor)
cm alapjn trtn szrsloklis fehr listknem spam-el e-mail cmek nylvntartsakzpontistott fekete listk (RBL Real-time Black List)spam kldssel gyanstott szerver IP cmek s/vagyspam tartalomban szerepl URL-ek nylvntartsa
fentiek kombinciipl. feedback generlsa Bayes szr szmra statikus szrsi szablyok s RBL alapjnAktulis hlzatbiztonsgi problmk
CrySyS A biztonsg kedvrt.Adatbiztonsg Laboratrium, BME-HIT
Egyb spam elleni vdekezsi technikkSPF (Sender Policy Framework)cl: hamistott e-mail cmrl rkez levelek detektlsadomain DNS rekordja tartalmazza a jogosult e-mail kld szervek cmtfogad szerver ezen DNS rekord letltsvel ellenrzi, hogy a kld szerver a levlben feltntetett felad jogosult szerveri kz tartozik-e
Domain Keys Identified Mail (DKIM)cl: hamistott e-mail cmrl rkez levelek detektlsadomain-bl kimen levelek digitlis alrssal vannak elltvaaz alrs-ellenrz kulcs a domain DNS rekordjban tallhategy spamer nem tud a hamistott feladhoz tartoz rvnyes alrst generlni a levlen
Penny Blackcl: e-mail kldst megneheztenikld fizet a levl kldsrtfizets trtnhet valdi pnzzel vagy CPU id rfordtssalAktulis hlzatbiztonsgi problmk
CrySyS A biztonsg kedvrt.Adatbiztonsg Laboratrium, BME-HIT
Szolgltats megtagads (DoS)rendelkezsre lls (availability) elleni tmads
tipikus fajtimagic packet specilis hiba kiaknzsa, mely a rendszer lellshoz vezetpl. Ping of Death
svszlessg-kimert tmadsrendszer (szerver vagy hlzat) elrasztsa nagy mennyisg forgalommal a rendszer kptelen a leglis forgalmat feldolgozni
egyb erforrs (memria vagy CPU) kimert tmadsszerver elrasztsa nagy mennyisg krssel krsek feldolgozsa memria foglalssal s CPU id rfordtssal jrpl. TCP SYN Flood
elosztott DoS (DDoS) tmadsnehezebb detektlhatsg s vdelem rdekben, a tmad tbb helyrl egyszerre indtja a tmadsttkrzs (reflection) s ersts (amplification) Aktulis hlzatbiztonsgi problmk
CrySyS A biztonsg kedvrt.Adatbiztonsg Laboratrium, BME-HIT
Tkrzs s ersts elvea kihasznlt hlzati szerverek nem feltrt szerverek, hanem normlisan mkd szolgltatsoktipikus plda a DNS szerverek kihasznlsa60 bjtos krs potencilisan 512 (jabban akr ~4000) bjtos vlaszt generla DNS rekurzv mkdsi elve mg nagyobb erstst eredmnyezhetAktulis hlzatbiztonsgi problmktmadldozatkihasznlthlzatiszerverekkis mret krsaz ldozat hamistott IP cmrlpotencilisannagy mret vlasz(ok)az ldozat IP cmre
CrySyS A biztonsg kedvrt.Adatbiztonsg Laboratrium, BME-HIT
DDoS elleni vdekezsi lehetsgekreaktv hozzllstmads detektls, tmad forgalom azonostsa s szrsehamis forrs IP cmet tartalmaz csomagok szrseidelisan az ISP-k vgezhetnk (ingress filtering)de sokszor nem teszik
proaktv hozzllsincidens kezelsi terv, tartalk kapacits, backup szerverek tervezseminimlis kezdeti llapotot ignyl protokollok hasznlataa szerver addig nem foglal le erforrsokat amg vlaszt nem kap a klienstl (egyszer cookie technika)ltez protokollok implementcijnak (esetleg specifikcijnak) mdostst ignylikriptogrfiai rejtvnyek alkalmazsaa szerver egy rejtvnyt kld a kliensnek, s csak azutn foglal le erforrsokat, hogy a kliens visszekldte a helyes megfejtsta rejtvnyek erssge dinamikusan vltoztathatAktulis hlzatbiztonsgi problmk
CrySyS A biztonsg kedvrt.Adatbiztonsg Laboratrium, BME-HIT
Botnet-eka botnet-ek a DDoS s spam tmadsok gyakori forrsaibot: zombie szmtgpen teleptett program mely tvolrl vezrelhetbotnet: bot-ok sokasga melyeket a botnet gazdja egyszerre vezrel tvolrl tipikusan valamilyen IRC (Internet Relay Chat) hlzaton keresztlegyb alkalmazsok:masszv jelsz gyjtsvrusok terjesztsetiltott tartalom elosztott trolsaon-line szavazs manipullsaGoogle AdSense tmadsa...
Aktulis hlzatbiztonsgi problmk
CrySyS A biztonsg kedvrt.Adatbiztonsg Laboratrium, BME-HIT
Botnet ltrehozsabot ltrehozsasajt bot kd rsa vagy ltez (webrl letlthet) kd adaptlsa
bot konfigurlsaIRC szerver s csatorna informci megadsabotnet gazdjnak hitelestst szolgl informci megadsa
botnet teleptsetvoli szmtgpek feltrse ismert biztonsgi hibk kihasznlsval (feltrs automatizlhat freg segtsgvel)bot-ok teleptse a zombie gpekenbotok csatlakoznak az IRC csatornhoz s parancsra vrnaktvoli konfigurci (pl. tmads cljnak megadsa)Aktulis hlzatbiztonsgi problmk
CrySyS A biztonsg kedvrt.Adatbiztonsg Laboratrium, BME-HIT
Botnetek elleni vdekezsi lehetsgekloklisan:megelzs:OS biztonsgi hibinak patch-elsevrusvdelmi eszkzk hasznlataszemlyi tzfal (personal firewall) hasznlata
detektls:gyans hlzati kapcsolatok detektlsa (pl. TCP kapcsolat a 6667-es IRC portra)IDS s tzfal naplfjlok tanulmnyozsa
globlis szinten:???
alapvet problma:nem azok szenvedik el a botnet-ek okozta krt akik megakadlyozhatnk a kialakulsukat!Aktulis hlzatbiztonsgi problmk
CrySyS A biztonsg kedvrt.Adatbiztonsg Laboratrium, BME-HIT
sszegzs s kitekints a jvrea biztonsg relatv fogalomegy rendszer biztonsgt ltalban csak valamilyen tmad-modell felttelezsei mellett van rtelme vizsglni
a hlzatbiztonsg alapvet feladatai:hlzati kommunikci vdelmebizalmassg, srtetlensg, hitelessg, letagadhatatlansghlzatok vdelme behatols ellentzfalak, behatols detektl rendszerekegyre fontosabb a rendelkezsre lls biztostsa s a DDoS tmadsok elleni vdekezs
kitekints a jvre:az Internet s a tvkzls konvergencijnak kvetkezmnyeibegyazott kommunikcis rendszerek
CrySyS A biztonsg kedvrt.Adatbiztonsg Laboratrium, BME-HIT
Az Internet s a tvkzls konvergencijaaz Internet jelenlegi biztonsgi problmihoz hasonl problmk vrhatak a tvkzlsi rendszerekben, elssorban a mobil tvkzls terletnnagyfok elterjedtsg, folyamatos s szlessv kapcsolatrzkeny informcikat kezel alkalmazsok (pl. mobil banking)komplex terminl (egyre tbb hibalehetsg)viszonylag alacsony szint felkszltsg a problmk kezelsreidelis clpont a tmadk szmra
nhny eljel: mobil telefonokat clz rosszindulat kd megjelenseSMiShing SMS alap phishingSPIT Spam over Internet Telephony...Kitekints a jvre
CrySyS A biztonsg kedvrt.Adatbiztonsg Laboratrium, BME-HIT
Mobiltelefon-hlzat DoS tmadsa az InternetrlCDMA 2000 cells mobil hlzatban az Internet s a cells forgalom kzsen hasznlja az n. paging csatorntpaging segtsgvel hatrozzk meg az adatcsomag vagy a hanghvs cmzettjnek tartzkodsi helyt
a rendszer az Internet fell elraszthat UDP csomagokkal, melyek paging zenetek generlshoz vezetnek a paging csatornn
a paging csatorna foglaltsga miatt, a hanghvsokhoz tartoz paging folyamatokat nem tudja lezrni a rendszer a folyamatot lezr Channel Assignment Message prioritsa alacsonyabb, mint a folyamatot kezdemnyez General Paging Message prioritsa
ezzel teljesen meg lehet akadlyozni a hanghvsok fogadst egy adott krzetbenKitekints a jvreForrs: J. Serror et al., Impact of paging channel overloads or attacks on a cellular network, ACM Workshop on Wireless Security, 2006
CrySyS A biztonsg kedvrt.Adatbiztonsg Laboratrium, BME-HIT
Begyazott kommunikcis rendszerekpldk:szenzorhlzatokgpjrm kommunikciRFID rendszerek
kzs kihvsok:fizikai vdelem hinyavezetk nlkli kommunikciemberi beavatkozs nlkli mkds(vltoz mrtkben) korltozott kpessgek s erforrsoktipikus szenzor platform:8-bit, 4 MHz CPU8KB instruction flash (ebbl 3.5K-t elfoglal az OS)512 bytes RAM512 bytes EEPROM10 Kbit/sec rdi kommunikciRFID tag-ek mg ennl is kevesebbet tudnakKitekints a jvre
CrySyS A biztonsg kedvrt.Adatbiztonsg Laboratrium, BME-HIT
SpamKitekints a jvre