500 likes | 720 Views
Bezpečnosť IS 2004. Bezpečnosť v Internete Protokoly SSL, IPSec, IPv6 Firewally. Obsah. Bezpečnosť v Internete Protokol SSL OpenSSL TLS IPSec IPv6 Firewally Zdroje. Bezpečnosť v Internete. Bezpečné pripojenie siete do Internetu :
E N D
Bezpečnosť IS 2004 Bezpečnosť v Internete Protokoly SSL, IPSec, IPv6 Firewally Marián Kováč, BIS 2004
Obsah • Bezpečnosť v Internete • Protokol SSL • OpenSSL • TLS • IPSec • IPv6 • Firewally • Zdroje Marián Kováč, BIS 2004
Bezpečnosť v Internete Bezpečné pripojenie siete do Internetu: • žiadne pripojenie – počítače so strategickým významom (armáda, ...), na Internet sú pripojené iba počítače mimo tejto strategickej siete • plné pripojenie do Internetu – bez akýchkoľvek opatrení, extrém s ktorým sa často stretávame na akademickej pôde • prepojenie intranetu s Internetom – bez priameho prepojenia do Internetu, teda sa použité technológie ako proxy, firewall, wrapper, ... • plné pripojenie do Internetu – cez technológie, ktoré minimalizujú riziká Internetu (SSH, HTTPS, ...), a žiadne (Telnet, FTP, NFS, ...) Marián Kováč, BIS 2004
Bezpečnosť v Internete Protokoly rodiny TCP/IP a bezpečnosť: • rodina protokolov TCP/IP sa stala najpoužívanejším protokolovým systémom pre veľké siete – Internety • sú to protokoly orientované hlavne na funkčnosť • bezpečnostné prostriedky boli pridávané dodatočne, no ani zďaleka neriešia všetky problémy Bezpečnosť systému: Je možné vyjadriť pomocou troch základných vlastností: • dostupnosti (availability) – útok „vyradenie z činnosti“ (Denial of Service, DoS) • privátnosti (confidentiality) – útok „prienik“ (penetration) • integrity (integrity) – útok „prienik“ (penetration) Porušenie aspoň jednej z týchto vlastností znamená porušenie celkovej bezpečnosti systému. Marián Kováč, BIS 2004
Bezpečnosť v Internete Filtrácia: • oddeľuje sieť od Internetu prostredníctvom filtra na prístupovom routeri • môže byť použitý router ako HW zariadenie (napr. Cisco), alebo počítač s dvoma sieťovými kartami a s OS (Linux, UNIX, Nowell, WinNT) • filtrácia na úrovni IP ale aj TCP a UDP Marián Kováč, BIS 2004
ISO OSI model: hierarchický štruktúrovaný model definuje rozhrania medzi vrstvami, nezávislosť vrstiev navzájom nižšia vrstva poskytuje služby vyššej vrstve protokol danej vrstvy komunikuje logicky len s protokolom tej istej vrstvy Popis vrstiev ISO OSI modelu: fyzická – bit – prenos bitov cez fyzické médium linková – rámec – poskytuje spoľahlivý prenos dát cez fyzickú linku sieťová – paket – sieťová konektivita medzi hostami, smerovanie paketov transportná – segment – riadenie toku dát, detekcia chýb, segmentácia dát relačná – dáta – zakladá, riadi, ukončuje spojenia, zakladá dialógy prezentačná – dáta – dátové konverzie, šifrovanie a kompresia dát aplikačná – dáta – poskytuje sieťové služby užívateľským aplikáciam, zisťuje dostupnosť komunikačnej služby, zakladá spojenie medzi hostami Bezpečnosť v Internete Marián Kováč, BIS 2004
Bezpečnosť v protokolovom zásobníku TCP/IP: vrstva prístupu k médiu – na vytváranie VPN pomocou PPP slúži tunelovací dvojbodový protokol PPTP, pre Windows je to implementácia MS-PPTP, ktorý je však značne zraniteľný Internetová vrstva – protokol IPSec, ktorý ponúka dostatočnú bezpečnosť, ale priepustnosť siete sa znižuje, IPSec protokol je povinný pre IPv6 transportná vrstva – protokoly SSL, TLS, SSH, dané protokoly neobsahujú žiadne vážne chyby, poskytujú dostatočné zabezpečenie a preto sú v dnešnej dobe najviac využívané aplikačná vrstva – služby sú integrované do každého aplikač. protokolu zvlášť, alebo sa použije spoločný bezpečnostný systém, protokoly S-FTP, S-HTTP, S/MIME ISO OSI vs TCP/IP: Bezpečnosť v Internete Marián Kováč, BIS 2004
Bezpečnosť v Internete Rozvrhnutie bezpečnostných riešení v TCP/IP modely: Marián Kováč, BIS 2004
Protokol SSL (Secure Socket Layer) Charakteristika: • SSL protokol bol vytvorený spoločnosťou Netscape (1994 – SSL 1.0, 2.0, 1996 – SSL 3.0) pre zvýšenie bezpečnosti komunikácie v Internete, načo Microsoft odpovedal svojim protokolom PCT, oba protokoly sú si veľmi podobné • zákl. funkciou SSL (RFC-2661) je zabezpečenie autentifikácie oboch komunikujúcich strán • nie je postavený na báze štandardov a je chránený patentmi • je umiestnený nad transportným protokolom, je nezávislí od aplikačného protokolu a „nevidí“ do aplikačných dát, teda nerozoznáva transakcie v prenášaných dátach (viac obr. 1) • použitie tam kde neprekáža obmedzenie dĺžky šifrovacieho kľúča a kde sa nevyžaduje elektronické podpisovanie prenášaných transakcií => teda nie je vhodný na nasadenie napríklad do bánk • zabezpečenie protokolu HTTP pomocou vrstvy SSL sa často označuje ako protokol HTTPS • podporované šifry: DES, DSA, KEA, MD5, RC2, RC4, RSA, SHA-1, SKIPJACK, 3DES • komunikujúce strany (napr. server a klient) sa dohodnú na verzii protokolu, na výbere šifrovacieho algoritmu a vymenia si verejné kľúče Marián Kováč, BIS 2004
Protokol SSL (Secure Socket Layer) • SSL berie dáta od aplikačného protokolu a šifrované ich predáva protokolu TCP, tj. nevidí do aplikačných dát • najbežnejšie využitie je práve pre HTTPS, hotové aplikácie využívajúce HTTP je možné s minimálnymi úpravami preklopiť na prevádzku cez HTTPS • s súčasnosti len asi 10% aplikácii na Internete sa prevádzkuje cez HTTPS obr. 1 Marián Kováč, BIS 2004
Protokol SSL (Secure Socket Layer) Zloženie protokolu SSL (4 vrstvy): • Record Layer Protocol (RLP) – berie dáta od aplikačných protokolov, šifruje, dešifruje a počíta kontrolný súčet z prenášaných fragmentov • Handshake Protocol (HP) – jeho pakety sa balia do protokolu RLP, pripravuje na obidvoch stranách protokolovú svitu (typ šifrovania a typ kontrolného súčtu), dohodne komprimačný algoritmus a vymieňa dáta pre výpočet zdieľaného tajomstva => symetrické šifrovacie kľúče • Change Cipher Specification Protocol (CCSP) – obsahuje jedinú správu „skopíroval som pripravenú svitu na aktuálnu – šifrovanie je podľa novej svity“ • Alert protocol (AP) – umožňuje signalizovanie poruchy druhej strane Marián Kováč, BIS 2004
Protokol SSL (Secure Socket Layer) Zloženie protokolu SSL (4 vrstvy) - obrázok Marián Kováč, BIS 2004
Protokol SSL (Secure Socket Layer) Rezervované porty aplikačných protokolov zabezpečených protokolom SSL: • 443 - HTTPS (HTTP cez SSL) • 465 - SSMTP (SMTP cez SSL) • 563 - SNNTP (NNTP cez SSL) • 636 - Secure LDAP (LDAP cez SSL) • 995 - POP3 cez SSL Marián Kováč, BIS 2004
Protokol SSL (Secure Socket Layer) Príklad nadväzovania spojenia: • klient zašle správu „Client Hello“, načo server odpovedá „Server Hello“. Obe správy obsahujú info ako verzia protokolu, ID session a kompresná metóda • následne server zasiela certifikát klientovi a môže požadovať zaslanie certifikátu od klienta • Potom server zasiela klientovi svoj verejný kľúč, správu „Server Key Exchange“ a správu „Server Hello Done“ • teraz klient zasiela svoj verejný kľúč „Cleint Key Exchange“ a následne dochádza k aktivácii šifrovacích algoritmov na oboch stranách • na záver zasiela klient serveru správu „Finished“, ktorá je už šifrovaná dohodnutým spôsobom a odteraz prebieha už celá komunikácia zašifrovaná Marián Kováč, BIS 2004
Protokol SSL (Secure Socket Layer) Zotavenie po páde spojenia: • je možné znovunadviazanie spojenia s rovnakými parametrami prenosu, resp. je možné vytvoriť kópiu existujúcej session • klient zašle serveru správu „Client Hello“ s predtým použitým ID session a server si skontroluje, či má vo svojej vyrovnávacej pamäti rovnaké údaje • po ich nájdený zašle server klientovi správu „Server Hello“ s rovnakým ID session. • následne klient zasiela správu „Finished“ a komunikácia pokračuje • V prípade nenájdenia ID session vo vyrovnávacej pamäti servera sa pokračuje v klasickom nadväzovaní spojenia Marián Kováč, BIS 2004
Protokol SSL (Secure Socket Layer) Metódy šifrovania: • najsilnejšia metóda – 3DES s 168 bitovým kľúčom a SHA-1 autentifikáciou správy, metóda použiteľná len na „území USA“ :-[ ) • silná šifrovacia metóda – RC4 s 128 bitovým kľúčom a autentifikáciou správy pomocou MD5, opäť iba na „území USA“ :-[ ) • exportná šifrovacia metóda – RC4 s 40 bitovým kľúčom a autentifikáciou pomocou MD5 (dosť slabé čo...) Používané algoritmy v SSL 3.0: Marián Kováč, BIS 2004
Protokol SSL (Secure Socket Layer) Autentifikácia servera: • server podporujúci SSL protokol musí mať vystavený certifikát, ktorý vystavujú CA • certifikát obsahuje: verejný kľúč servera, sériové číslo certifikátu, dobu platnosti, jedinečný názov servera, jedinečný názov certifikačnej autority a digitálny podpis CA • overovanie prebieha na základe doby platnosti certifikátu, následne sa klient pozrie do svojej tabuľky CA, ak v nej nájde jedinečný názov CA, prejde k overeniu digitálneho podpisu CA v certifikáte serveru pomocou verejného kľúča CA, následne sa overuje adresa servera porovnaním adresy v certifikáte so skutočnou adresou (Man In the Middle attack) • Ak všetko prebehne OK, klient je „uistený“, že komunikuje so správnym serverom Marián Kováč, BIS 2004
Protokol SSL (Secure Socket Layer) Príklady obrany proti útokom: • útok vystrihnutím a vložením (Cut and Paste Attack) – útočník uprostred spojenia vystrihne kus šifrovanej správy z jedného paketu a vloží ho do iného paketu, tak že sa prijímací účastník neúmyselne vzdá rozšifrovaného textu • útok prestavením špecifikácie šifrovania – SSL 2.0 umožňovalo zmeniť za behu komunikácie úroveň zabezpečenia. Vďaka tomu bolo možné aby útočník vynútil zmenu zabezpečenia na slabšiu úroveň, známe pod názvom „CipherSuite rollback attack“. V SSL 3.0 už nie je možné meniť úroveň zabezpečenia • útok prestavením verzie - útočník mení verziu zadanú v „client_hello message“ na verziu SSL 2.0. Tak prinútil server zvoliť slabšiu verziu SSL protokolu a tak bolo prelomenie omnoho jednoduchšie • slovníkový útok (Dictionary attack) – útočník pozná určitú časť originálnej správy. Pokúša sa šifrovať text s akýmkoľvek možným kľúčom pokiaľ neobjaví správny výraz. Ak ho objaví, celá správa môže byť rozšifrovaná týmto kľúčom. SSL sa chráni silným šifrovacím algoritmom akými sú IDEA (128 bit) alebo DES (168 bit) • útok na krátke bloky (Short-block attack) – ak posledný blok obsahuje 1 byte čistého textu a zostatková časť je doplnená na veľkosť, je možné tento blok relatívne ľahko rozšifrovať. SSL preto nepoužíva tak krátke bloky Marián Kováč, BIS 2004
OpenSSL Popis: • prvá verzia knižnice OpenSSL 0.9.1c v decembri 1998 • OpenSSL sa skladá z dvoch toolsov – kryptografická knižnica a SSL toolkit • SSL library – obsahuje implementáciu všetkých verzií protokolu SSL vrátane protokolu TLSv1 • kryptografická knižnica – obsahuje mnohé populárne algoritmy pre šifrovanie symetrickými a verejnými kľúčmi, hashovacie algoritmy, pseudorandom generátor, a nástroje na managovanie certifikátov a kľúčov Marián Kováč, BIS 2004
TLS (Transaction Layer Security) Protokol TLS: • protokol vytvorený v rámci IETF v januári 1999 (RFC-2246) • niekedy označovaný aj ako SSL 3.1 • Internetový štandard pre nahradenie SSL 3.0 • zaisťuje v prostredí Internetu súkromie a umožňuje klient/server aplikáciam predchádzať odpočúvaniu, falšovaniu alebo napádaniu správ • vychádza z protokolu SSL 3.0, ale rozdiely sú významné v dôsledku čoho protokoly spolu nespolupracujú • protokol TLS je obecne primaný pre overovanie a šifrovanie komunikácie medzi klientmi a servermi Marián Kováč, BIS 2004
IPSec Projekt skupiny IETF (Security Working Group)http://www.ietf.org/ História: • 1992 – zahájený vývoj sady protokolov • 1995 – RFC-1825 „Security Architecture for the Internet Protocol“ implementované v BSDi Internet Super Server • 1998 – RFC-2401 „Security Architecture for the Internet Protocol“ Prečo používať IPSec? • Dôveryhodnosť – prenášané dáta vie prečítať len príjemca • Integrita – prenášané dáta nebudú po ceste zmenené • Pravosť – možnosť potvrdiť identitu autora dát (podpisom) Marián Kováč, BIS 2004
IPSec Charakteristika: • IPSec – Internet Protocol Security extension • zaistenie bezpečnej komunikácie už na IP úrovni (sieťovej vrstve) v sieťach TCP/IP • podpora IP protokolov – IPv4 a IPv6 • IPSec je plne skryté pred užívateľom, teda plne transparentné vzhľadom na aplikácie • podporuje rôzne kryptovacie algoritmy pre dosiahnutie bezpečnosti • implementácia v bezpečnostnej bráne „Security Gateway“ alebo priamo v koncovej stanici „Host“ (viac obr) • spojenie dvoch Hostov – „Transport Mode“ – chráni obsah paketu, nie hlavičku • spojenie dvoch Security Gateway – „Tunnel Mode“ – chráni celý paket Marián Kováč, BIS 2004
IPSec Bezpečnostné asociácie - Security Association (SA): • kľúčový materiál, algoritmus na šifrovanie a autentifikáciu sa vyberá pomocou bezpečnostných asociácií • základom štandardu IPSec sú dve rozšírenia IP protokolu AH a ESP • rozšírenie AH slúži na zabezpečenie autenticity a integrity informácií • rozšírenie ESP zabezpečuje privátnosť informácií • bezpečnostné spojenie zabezpečujúce prenos dát pomocou jedného z protokolov - AH (Authentication Header), alebo ESP (Encapsulating Security Payload) • pre zabezpečenie obojsmernej prevádzky medzi dvoma hostmi alebo security gateways je potrebné mať dve SA (SA – jednosmerná relácia medzi 2 uzlami) • každý naviazaný SA spoj je určený – Security Parameter Index (SPI), čo je náhodne vybrané jedinečné číslo (uložené v IPSec hlavičke), cieľovou IP adresou a identifikátorom použitého bezp. protokolu (AH, ESP) • momentálne je SA definované pre Point-to-Point spoje (budúcnosť – broadcast a multicast) Marián Kováč, BIS 2004
IPSec Implementovaná SA medzi dvoma Security Gateway Implementovaná SA medzi dvoma hostami Marián Kováč, BIS 2004
IPSec Protokol AH: • zaisťuje integritu, autenticitu dát a chráni pred „útokom prehraním“ • vhodný tam, kde samotná autentizácia postačuje a nevyžaduje sa šifrovanie obsahu datagramov • definovaná dátová časť datagramu, ale iba pre autentizáciu • používané algoritmy pre autentizáciu sú najčastejšie – MD5, SHA-1 • hlavička IP protokolu predchádza AH hlavičku • používa sa MAC v kombinácii so sekvenčným číslom autentizačná hlavička (AH) Marián Kováč, BIS 2004
IPSec Protokol ESP: • zaisťuje integritu, autenticitu a dôveryhodnosť dát, rieši „útok prehraním“ • definuje obsah IP datagramu • obsahuje informácie o bezpečnostnom protokole (SPI), poradové číslo, zašifrované dáta a na konci checksum ESP hlavička Marián Kováč, BIS 2004
Protokol IPv6 Charakteristika: • štandardizácia protokolu IPv6 v decembri 1995 (RFC-1883) • adresný rozsah – 128 bitové IP adresy (3*10^38), adresuje sa rozhranie nie uzol • zjednodušenie formátu IP hlavičky – vypustené málo používané údaje z hlavičky pre zrýchlenie spracovávania paketu • rozšíriteľnosť IP hlavičiek – flexibilnejšia podpora nových vlastností • autokonfigurácia – ľahké nastavenie IP adresy, bez zásahu obsluhy • mobilita – mobilné zariadenie vystupuje identicky z hocijakého miesta • bezpečnosť – IPSec, povinná súčasť implementácie (realita je iná) • autentifikácia a utajenie – integrované v definícii protokolu • fragmentácia – smerovače nesmú fragmentovať pakety, iba používateľ • Quality of Service (Qos) – možnosť zvláštneho spracovávania paketov • adresy IPv6 sú hierarchicky usporiadané – sú teda agregovatelné Marián Kováč, BIS 2004
Protokol IPv6 IPv6 základná hlavička (RFC-2460): 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |Version| Traffic Class | Flow Label | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Payload Length | Next Header | Hop Limit | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | | + + | | + Source Address + | | + + | | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | | + + | | + Destination Address + | | + + | | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Marián Kováč, BIS 2004
Protokol IPv6 IPv6 základná hlavička: Traffic Class – požiadavky toku na vlastnosti siete Flow Label – identifikátor prúdu paketu Payload Length – dĺžka paketu bez hlavičky v oktetoch Next Header – rozšírená IP hlavička, hlavička protokolu vyššej úrovne Hop Limit – znižuje sa o 1 pri každom predaní paketu ďalej Source, Destination Address – 128 bitové IPv6 adresy zdroju a cieľa Zápis IPv6 adresy: Zapisuje sa v hexadecimálnej sústave, dvojice bajtov sa oddeľujú znakom„:“ Príklad - FEDC:BA98:7654:3210:FEDC:BA98:7654:3210/64 Marián Kováč, BIS 2004
Protokol IPv6 Typy IPv6 adries (RFC-3513): • unicast – označuje jediného príjemcu paketu • anycast – označuje skupinu príjemcov paketu, paket je doručený najbližšiemu z nich • multicast – označuje skupinu príjemcov paketu, paket je doručený všetkým príjemcom Špeciálne IPv6 adresy: • 0:0:0:0:0:0:0:0/64 – Unspecified – môže byť použitá ako odchádzajúca adresa pri inicializácii počítača, ktorý ešte nemá IP adresu • 0:0:0:0:0:0:0:1/64 – Loopback – používa sa na poslanie dát sám sebe • FF00::/8 – skupinové adresy • FE80::/10 – individuálne lokálne linkové adresy • FEC0::/10 – individuálne lokálne miestne adresy Marián Kováč, BIS 2004
Protokol IPv6 Unicast IPv6 adresy: • Link-local unicast – použiteľná iba lokálne. Prefix: 1111 1110 10 = FE8::/10 • Site-local unicast – jedinečné v rámci jednej organizácie. Obsahujú 16 bitový prefix podsiete. Prefix: 1111 1110 11 = FEC::/10 • Global unicast – celosvetovo jedinečná adresa rozhrania • IPv4 kompatibilné – použiteľné pre automatické tunely. Príklad: ::192.168.30.1 = ::C0A8:1E01 • IPv4 mapovaná – adresa IPv4-only uzlov v IPv6 sieti. Príklad: ::FFFF:192.168.30.1 • Loopback – spätná väzba. Prefix: ::1/128 Marián Kováč, BIS 2004
Protokol IPv6 Globálna individuálna adresa (RFC-2374): Je rozdelená na niekoľko častí, ktorých obsah najlepšie vyhovuje hierarchickej štruktúre siete. • TLA – Top-Level Aggregation Identifier – identifikátor globálneho poskytovateľa alebo chrbticového prepájacieho bodu. Je spravované IANA (najvyššia autorita Internetu) • RES – Reserved – rezervované pre budúce použitie • NLA – Next-Level Aggregation Identifier – identifikátor INET providerov • SLA – Site-Level Aggregation Identifier – identifikátor podsiete • Interface ID – identifikácia sieťového rozhrania v podsieti Marián Kováč, BIS 2004
Protokol IPv6 Pripojenie do IPv6 Internetu: • 6bone – virtuálna sieť, skladá sa z lokálnych IPv6 sietí navzájom prepojenými tunelmi nad existujúcou IPv4 infraštruktúrou. Je potrebné požiadať niekoho (pseudo-TLA) o pridelenie prefixu a nakonfigurovanie tunelu. Info: http://www.6bone.net • Freenet6 – pripojenie k sieti pomocou špeciálneho klienta, ktorý zabezpečí IPv6-over-IPv4 tunel medzi vašou podsieťou a Internetom. Info: http://www.freenet6.net/ IPv6 a programovanie: • filozofia sieťového programovania sa s príchodom Ipv6 nemení • je potrebné uvádzať parameter address family INET6 namiesto INET Marián Kováč, BIS 2004
Firewally Firewall • širšie ponímanie: súhrn technických opatrení slúžiacich k riadeniu komunikácie medzi chránenou sieťou a okolitým svetom • užšie ponímanie: počítač („bastion host“) vybavený SW umožňujúcim riadenie komunikácie... • najčastejšie je to dedikovaný systém tvorený jedným alebo viacerými počítačmi určený k oddeleniu intranetu od Internetu Marián Kováč, BIS 2004
Firewally Firewall - čo vie zabezpečiť • riadenie komunikácie • schopnosť spolupracovať so sieťami adresovanými privátnymi adresami (=> preklad sieťových adries) • zaznamenávanie udalostí do log-súborov (ako na vnútornej tak na vonkajšej strane) • Vytváranie sumárnych prehľadov tzv. reportov • bezpečné komunikačné kanály • systém autentizácie užívateľov • obsluha niektorých sieťových služieb (DNS, e-mail, ...) Marián Kováč, BIS 2004
Firewally Firewall - čo nevie zabezpečiť • chrániť pred zlomyseľnými „insidermi“ • chrániť pred spojeniami, ktoré „ním neprechádzajú “ (dial-in PPP service in intranet behind router) • chrániť pred úplne novými hrozbami • plne chrániť pred vírusmi • nevie sa sám správne a bezpečne nakonfigurovať (=> cena obsluhy) Marián Kováč, BIS 2004
Firewally Typy Firewallov: • bezstavový paketový filter – filtrácia na úrovni sieťovej vrstvy • stavový paketový filter – filtrácia na úrovni sieťovej vrstvy s využitím stavových informácií • aplikačná brána (proxy) – riadenie komunikácie na aplikačnej úrovni • Circuit Level Proxy – riadenie komunikácie na aplikačnej úrovni, pričom jedna proxy brána slúži pre viacej aplikačných protokolov Marián Kováč, BIS 2004
Firewally Firewall - bezstavový paketový filter: • filtrácia na úrovni sieťovej vrstvy, pričom si filter nezachováva žiadne informácie o paketoch => nemôže sa rozhodnúť pri nasledujúcom filtrovaní podľa predošlých informácii • podľa zadaných pravidiel, na základe informácii z IP, resp. TCP a UDP (napr. pre DNS) hlavičiek datagramu buď povolí prijatie paketu alebo sa paket zničí • pravidlá sú väčšinou aplikované sekvenčne a prvé aplikovateľné pravidlo rozhoduje o povolení či zamietnutí paketu • filter filtrujúci podľa údajov zo záhlavia IP-datagramu sa nazýva Packet Filter, zo záhlavia TCP, UDP paketu sa označuje ako Circuit Filter • klady: vysoký výkon, flexibilita konfigurácie, jednoduchosť implementácie • zápory: slabá filtrácia na aplikačnej úrovni, nižšia robustnosť, dodatočný preklad adries Marián Kováč, BIS 2004
Firewally Príklad filtračnej tabuľky bezstavového paketového filtra: • filter rozhoduje o prepustení paketu na základe zdrojovej a cieľovej adresy, typu prenášaného protokolu, čísla cieľového portu a príznakov protokolu • firewall je umiestnený na hranici siete 10.1.x.x • bezpečnostná politika pravidiel znie: „povoliť všetky spojenia zo siete von, zakázať všetky spojenia do siete okrem spojenia na server 10.1.1.10 na port 80“ • pravidlo č. 1 – povoľuje akýkoľvek TCP paket z vnútornej siete • pravidlo č. 2 – povoľuje TCP pakety s cieľ. adresou 10.1.1.10 a cieľ. portom80 • pravidlo č. 3 – povoľuje akékoľvek TCP pakety bez nastaveného príznaku SYN, čo zaručuje možnosť odpovede na spojenia otvorené z vnútornej siete • pravidlo č. 4 – určuje „implicitné správanie“, zakazuje všetko čo nebolo predchádzajúcimi pravidlami explicitne povolené Marián Kováč, BIS 2004
Firewally Firewall - stavový paketový filter: • pracuje podobne ako bezstavový paketový filter, s tým rozdielom, že si zachováva stavovú informáciu o spojeniach, reláciach, apod., ktorá je vytváraná na základe analýzy predchádzajúcich paketov • pomocou tejto stavovej informácie sa môže jednoduchšie a presnejšie rozhodnúť, či skúmaný paket porušuje bezpečnostnú politiku siete alebo nie • väčšinu informácii čerpá z protokolových hlavičiek IP, TCP, UDP, vo veľkej miere sa však využíva aj dátová časť na kontrolu obsahu spojení • klady: jednoduchšia konfigurácia (ako bezstavový), transparentný pre sieťové protokoly, dobre prispôsobiteľný bezpečnostnej politike • zápory: nutnosť udržiavať stavovú informáciu (pri výpadkoch), implementácia značne náročná, vysoká cena produktov Marián Kováč, BIS 2004
Firewally Príklad filtračnej tabuľky stavového paketového filtra: • podobná bezpečnostná politika ako pri bezstavovom paketovom filtri • pravidlo č. 1 – implementuje povolenie všetkých spojení z vnútornej siete von, a keďže je to stavová inšpekcia nie je potrebné ďalšie pravidlo na povolenie paketov v opačnom smere, firewall ich automaticky povolí ak patria k otvorenému spojeniu iniciovanému z vnútornej siete • pravidlo č. 2 – povoľuje prístup na server 10..1.1.10 na porte 80 (http port) • pravidlo č. 3 – povoliť prístup užívateľa JOHN zo siete 10.2.x.x na FTP servery na vnútornej sieti • pravidlo č. 4 – určuje „implicitné správanie“, zakazuje všetko čo nebolo predchádzajúcimi pravidlami explicitne povolené Marián Kováč, BIS 2004
Firewally Firewall - aplikačná brána (proxy): • riadenie komunikácie na aplikačnej vrstve (obr. 1) • nie je pre sieť transparentná => aplikácie a používatelia musia vedieť, že existuje, aby mohli získať prístup do chránenej časti siete • poskytuje najvyššiu relatívnu bezpečnosť, keďže nesmeruje pakety ale analyzuje aplikačný protokol • každá aplikácia musí mať na aplikačnej bráne svoj modul, ktorý je schopný porozumieť aplikačnému protokolu a implementovať relevantnú časť bezpečnostnej politiky vzhľadom na daný aplikačný protokol (obr. 2) • proxy brána je z pohľadu klienta „server“ a z pohľadu skutočného servera „klient“ => klient pristupuje k proxy ako k aplikačnému serveru a proxy komunikuje so skutočným aplikačným serverom (obr. 3) obr. 3 Marián Kováč, BIS 2004
Firewally obr. 1 obr. 2 Marián Kováč, BIS 2004
Firewally Circuit level Proxy: • firewall neinterpretuje aplikačné dáta, iba ich predáva • proxy brána môže slúžiť pre viacej aplikačných protokolov • implementácia – protokol SOCKS • v súčasnosti sa používa SOCKS v5.0 z marca 1996 (RFC-1928) • SOCKS rieši problematiku komplexne v štyroch krokoch – dohoda na autentizačnej metóde, autentizačný dialóg, požiadavka na zriadenie príslušnej proxy, komunikácia cez proxy so vzdialeným serverom Marián Kováč, BIS 2004
Firewally Implementácia – pod niektorým známym operačným systémom: • v súčasnej dobe najrozšírenejší spôsob implementácie • možnosť využitia bezpečnostných mechanizmov v hostiteľskom OS • automatická podpora všetkých platforiem, pre ktoré existuje implementácia hostiteľského OS • možnosť inštaláciu do už zabehaného IT systému (časté využitie starého HW) • nutnosť opravy bezpečnostných problémov hostiteľského OS • nutnosť implementovať dokonalú inštalačnú procedúru schopnú overiť aktuálny stav hostiteľského OS • menšia odolnosť proti útokom, ktoré využívajú detailnú znalosť hostiteľského OS • inštalácia firewallu často obsahuje i záplaty do hostiteľského OS pre zvýšenie bezpečnosti • často využívané OS: Unix BSD, Solaris, Linux, FreeBSD, WinNT a iné Marián Kováč, BIS 2004
Firewally Implementácia – pod upravenou verziou niektorého operačného systému: • v súčasnej dobe veľmi populárne riešenie • relatívne nenáročná implementácia • využitie existujúcich bezpečnostných mechanizmov východzieho OS • možnosť priamej opravy prípadných bezpečnostných problémov daného OS • obmedzený výber HW pre firewall (v prípade dodávky vrátane HW nie je výber žiadny) a tým pádom menšia možnosť neskoršieho upgradu • výrobca firewallu musí udržiavať vlastnú implementáciu daného OS • obmedzené možnosti upraveného OS z pohľadu administrácie v porovnaní s originálnym OS • niektoré implementácie vnucujú užívateľovi vlastnú bezpečnostnú politiku • najčastejšie upravované OS: Unix BSD, Linux, FreeBSD • firewally dodávané aj s HW: GnatBox, FireBox, ... Marián Kováč, BIS 2004
Firewally Implementácia – kompletne propietárna implementácia vrátane HW: • málo implementácii na trhu v súčasnej dobe • dokonalé vyladenie celého systému pre funkciu firewallu a tak dosiahnutie vysokého výkonu • umožňuje neimplementovať funkcie, ktoré nie sú nevyhnuté pre beh firewallu • poskytuje zvýšenie bezpečnosti pomocou utajenia detailov implementácie (propietárnosť), čo v súčasnej dobe nie je prístup, ktorý by zaručoval stálu ochranu • akési „čierne skrinky“, ktorých funkcii sa dá veriť, ale sa to nedá preveriť • úplná závislosť na jednom výrobcovi • HW pre daný firewall je rýdzo jednoúčelový • podpora pre menší rozsah implementovateľných bezpečnostných politík • správa sa prevádza typicky vzdialene • typický predstavitelia: Cisco PIX, SonicWall, SunScreen SPF Marián Kováč, BIS 2004
Zdroje Použité zdroje (pure WWW): • [1] http://fornax.elf.stuba.sk/~kubiki/projekty/TCP_IP.pdf • [2]http://www.cpress.cz/knihy/tcp-ip-bezp/ • [3] http://www.cpress.cz/knihy/tcp-ip-bezp/CD-ssl/ssl.htm • [4] http://www.dcs.elf.stuba.sk/~leporis/pss_iii/cvicen1/ssl/referat.html • [5] http://www.ietf.org/html.charters/ipsec-charter.html • [6]http://bri.kropes.cz/home/skola/p090-ipv6.html • [7] http://www.kiv.zcu.cz/~simekm/vyuka/pd/zapocty-2003/IPv6/index.html • [8]http://www.ipv6.cz/ • [9] http://storm.alert.sk Marián Kováč, BIS 2004