1 / 100

Bezpečnosť v po čí ta č ov ý ch sie ť ach

Bezpečnosť v po čí ta č ov ý ch sie ť ach. Lucia Kapová Martin Vozár. Bezpečnosť v počítačových sieťach. základné sieťové pojmy typy hrozieb zaradenie hrozieb podľa TCP/IP modelu šifrovaná komunikácia SSL/TLS IPSec (sieťová), IPv6 Firewally. Základné pojmy. TCP/IP model.

haracha
Download Presentation

Bezpečnosť v po čí ta č ov ý ch sie ť ach

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Bezpečnosť v počítačových sieťach Lucia Kapová Martin Vozár

  2. Bezpečnosť v počítačových sieťach • základné sieťové pojmy • typy hrozieb • zaradenie hrozieb podľa TCP/IP modelu • šifrovaná komunikácia SSL/TLS • IPSec (sieťová), IPv6 • Firewally

  3. Základné pojmy

  4. TCP/IP model • TCP – Transport Control Protocol • IP – Internet Protocol Aplikačná vrstva (application layer) • telnet, FTP, SMTP, HTTP, DNS, SQL, ... Transpotrná vrstva (transport layer) • TCP, UDP Internetová vrstva (internet layer) • IP, ARP, RARP, ICMP ... Spojová vrstva (network access layer) • IEEE 802.x, FDDI, ATM, PPP ...

  5. TCP/IP model • IP je protokol sieťovej vrstvy, umožňujúci komunikáciu. Slúži na prenos datagramov, rôznymi typmi sietí • TCP – zaručuje doručenie packetu, ak nedostane potvrdenie o doručení packet je poslaný znova • UDP (User datagram protocol) – nezaručuje doručenie, nepreposiela packety

  6. Internet ISP- Internet Service Provider

  7. Prenos dát

  8. Zneužitie siete • Ciele: • Získať informácie • Získať prístup do systému • Zakázať službu • Prostriedky: • PortScan • Fingerprinting • Social engeneering

  9. Pohľad na TCP/IP model

  10. TCP/IP • Z pohľadu TCP/IP modelu môžeme rozdeliť spôsoby uplatnenia ochrán proti útokom na tieto vrstvy: • Aplikačná (najvyššia) • internetová + transportná • spojová (najnižšia)

  11. Spojová vrstva • Riziká • odpočúvanie prenosového média a následné dekódovanie zachytených informácií, prípadné ich využitie na „playback“ útok (napr. odpočúvanie telefónnych liniek, neautorizované zachytávanie dát pri prenose zdiľaným médiom (wireless, ethernet s hubom, …)) – odchytávanie plaintextových protokolov • MAC spoofing (zmena MAC adresy)

  12. Spojová vrstva • Vrstva pracujúca s fyzickým médiom a zabezpečovaním prístupu k tomuto médiu (obvykle) prostredníctvom fyzických adries • Ochrana • použitie silnej autentifikácie a šifrovania na vyšších vrstvách, t.j. pri pripájaní z neznámych miest používať zabezpečené tunely

  13. Spojová vrstva • Problém: Ako môže klient v USA pripojiť svoj PC na intranet v EU?

  14. Spojová vrstva • Riešenie 1: • linka: circuit-switched (ISDN, PSTN ...) • encapsulation PPP • Výhody: • dostupnosť • jednoduchosť • Nevýhody: • bezpečnosť (dáta nie sú zašifrované) • náklady (volania sú spoplatnené)

  15. Spojová vrstva • Riešenie 2: • Virtuálna privátna sieť (VPN) • „Layer 2 tunneling“ • zapuzdrenie sieťového protokolu (IP, IPX, AppleTalk ...) v PPP • zašifrovanie PPP framov • zapuzdrenie dát v prenosovom protokole (tunneling) najčastejšie IP • „Layer 3 tunneling“ • zapuzdrenie sieťového protokolu v VTP (Virtual Tunneling Protokol) • zapuzdrenie dát v prenosovom protokole (tunneling) najčastejšie IP

  16. Spojová vrstva

  17. Spojová vrstva • Layer 2 forwarding (L2F) • Point-to-point tunneling protocol (PPTP) • Layer 2 tunneling protocol (L2TP) • LAC - L2TP access client • LAS - L2TP access server

  18. Spojová vrstva • PPTP využíva na zabezpečenie bezpečnosti VPN

  19. Internetová vrstva • Bezpečnostná architektúra zahrňa IPSEC (IP security protocol) a IKMP (Internet key management protocol alebo IKE-Internet key exchange)

  20. Transportná vrstva • Riziká: • TCP seq. number guessing (TCP session hijacking) • spomaľovanie TCP spojenia • zabíjanie TCP spojení • Bezpečnostné protokoly transportnej vrstvy pre internet: • Secure shell protocol (SSH) • Secure sockets layer (SSL) • Private communications technology (PCT) • Transport layer security (TLS)

  21. Transportná vrstva • SSH vyvinutý Tatu Ylonen-om na Technickej univerzite v Helsinkách • Poskytuje podporu pre: • Autentifikáciu používateľov • Kompresiu dát • Utajenie dát a ochranu integrity

  22. Transportná vrstva • SSH v1 vyžaduje manuálne distribuované a nakonfigurované verejné kľúče (pre server a nepovinne pre používateľa)

  23. Transportná vrstva • SSH v2 sa podobne ako SSL/TLS skladá z dvoch subprotokolov: • SSH bezpečnostný protokol transpotnej vrstvy – šifrovaná autentifikácia hostov, kompresia dát, utajenie a integrita dát • SSH autetifikačný protokol – autentifikácia používateľov

  24. Transportná vrstva • PCT (Private communication technology) – produkt Microsoftu z roku 1995 • TLS (Transport layer security) – snaha o štandardizáciu • TLS v1 je veľmi podobná SSL v3 a je nazývaná SSL v3.1

  25. Aplikačná vrstva • Riziká: • spoofing (napr. DNS spoofing, falšovanie e-mailových hlavičiek, HTTP redirekty...) • Sú dve možnosti ako zabezpečiť bezpečnosť na aplikačnej vrstve: • Zabezpečiť konkrétny protokol („security-enhanced“) • Využiť štandardizované API využívané viacerými protokolmi (autentifikačné a distribučné systémy)

  26. Aplikačná vrstva • „Security-enhanced“ aplikačné protokoly: • Terminál:Telnet • Kerberos Telnet • SSLtelnet (využíva SSL/TLS) • Encrypted session manager(ESM) • Secure RPC authentification (SRA) • Secure telnet(STEL) • Secure shell(SSH) • Prenos súborov:FTP • Kerberos FTP • SSLFtp • SSH utility : scp, sftp

  27. Aplikačná vrstva • E-mail:SMTP, POP3 • Kerberos e-mail (Eudora) • SMTP/POP3 na základe SSL/TLS • Secure messaging: secure MIME(S/MINE) pretty good privacy(PGP) • WWW: HTTP • Secure HTTP (S-HTTP) • HTTP na základe SSL/TLS(HTTPS)

  28. Aplikačná vrstva • Domain name system: DNS • DNS security (DNSSEC) • Distribuované filesystémy: HTTP • Cryptographic file system (CFS) • Kerberos file system (KFS) • WIN2000 encrypting file system (EFS)

  29. Aplikačná vrstva • Autentifikačné a distribučné systémy: • Kerberos • Heslo sa používa len raz pri inicializácii • Odolný voči sniffovaniu hesiel • Nevyužíva šifrovanie podľa verejného kľúča

  30. Aplikačná vrstva

  31. Aplikačná vrstva • Nevýhody: • Bezvýhradna viera v KDC • Nízka skalabilita • Vyžaduje obojstrannú dôveru pri komunikácii:

  32. Zhrnutie • Zabezpečiť prenosovú cestu (Spojová vrstva) • Zabezpečiť prenášané dáta (Aplikačná vrstva) • Zabezpečiť časti cesty a najcennejšie dáta (Transporná vrstva)

  33. Zvýšenie bezpečnosti • Šifrovanie (encipherment) • Digitálny podpis (digital signature) • Kontrola prístupu (access control) • Integrita údajov (data integrity) • Autentifikácia (authentification) • Utesnenie spojenia (traffic padding) • Kontrola routovania (routing control) • Značenie (notarization)

  34. Typy hrozieb(čo vlastne chcú)

  35. Typy hrozieb • získať kontrolu nad časťami programov, nad programami alebo nad celým zariadením • získať cudzie informácie pre vlastnú potrebu alebo pre iných, • zmeniť/poškodiť informácie • znemožniť prístup k informáciám, resp. znemožniť funkčnosť zariadenia (napr. smerovača) (pre osobné potešenie, alebo ako práca „na objednávku“ tretích osôb)

  36. Typy útokov(ako to dosiahnu)

  37. Časté typy útokov • odpočúvanie (niekedy považované za útok) • ARP/IP spoofing • Man-in-the-Middle • protocol exploitation • session hijacking (tcp alebo app) • DoS/DDoS • DNS/HTTP/e-mail spoofing

  38. Pasívne odpočúvanie • Pasívne počúvanie (wiretapping, eavesdropping) • Analýza komunikácie za účelom získania zaujímavých informácií (loginy, heslá, e-maily, SQL výpisy, HTTP komunikácia)

  39. Príklad • Čítanie packetov • treťou stranou • Obrana: šifrovanie

  40. Aktívny útok • Manipulácia s údajmi • Spoofing • IP spoofing, sequence number quessing (internetová, transportná) • DNS spoofing (aplikačná) • Degradation-of-service, denial-of-service • TCP SYN flooding (internetová) • E-mail bombing (aplikačná)

  41. Príklad IPspoofing – zmena IP adresy s cieľom Prejsť autentifikáciou založenou na zdrojovej adrese

  42. TCP session hijacking • Cieľom je prebrať kontrolu nad spojením, v prípade že používateľ práve čítal mail útočník k nemu bude mať prístup, môže vykonávať príkazy. Obeť len spozoruje, že spadlo spojenie a pripojí sa ešte raz. • Pri tomto útoku útočník najprv sleduje komunikáciu medzi dvoma počítačmi potom jeden presvedčí o zlyhaní spojenia a preberie kontrolu nad spojením druhému počítaču, ktorý o žiadnej zmene nevie.

  43. TCP session hijacking

  44. Príklad

  45. Útoky typu DoS • Obsadenie prenosovej kapacity linky: • Scenár 1: Útočník má vačšiu kapacitu linky (T1 1.544Mb/s) a zahltí pomalšiu linku (128kb/s). • Scenár 2: Využitie prístupu do viacerých systémov, viac serverov napríklad môže zahltiť cieľovú sieť z viacerých zdrojov s tokom aj na 100 Mb/s. • Často sa k takémuto cieľu využíva ICMP protokol.

  46. Útoky typu DoS • Privlastnenie systémových zdrojov: • Snaha o spotrebovanie systémových zdrojov cieľového PC • Chyby v programoch: • „ping-of-dead“ – zaslanie packetu s neočákavanými parametrami • Útok na DNS a smerovače paketov • Manipulácia so smerovacími tabuľkami

  47. Útoky typu DDoS • Pri distribuovaných DoS je zdrojom zahltenia viac systémov naraz. Útočník ovládne viacero systémov a potom vytvorí dátový tok zo všetkých systémov smerom k cieľovému počítaču.

More Related