Professional Documents
Culture Documents
Łukasz Bromirski
l.bromirski[at]mr0vka.eu.org
http://mr0vka.eu.org
Organizacja wykładu
Podstawy zagadnień bezpieczeństwa
Protokoły sieciowe wg. modelu ISO
ze względu na bezpieczeństwo
Wprowadzenie do kryptografii
Topologie sieci i mechanizmy
zwiększające ich bezpieczeństwo
Ataki, nadużycia, narzędzia
Bezpieczeństwo
Internet
Polityka bezpieczeństwa
jasna
wyszczególnienie osób funkcyjnych i
zakresu odpowiedzialności
wyszczególnienie elementów sieci oraz
ich roli w funkcjonowaniu i
bezpieczeństwie sieci
Bezpieczeństwo
Podstawowe problemy
bezmyślność i beztroska w zarządzaniu
uprawnieniami i kontami
brak administrowania i nadzoru, nadzór
nieregularny lub wykonywany przez
osobę niekompetentną
błędy w oprogramowaniu
Bezpieczeństwo
Co może być potencjalnym celem?
dane
serwery usług (np. ftp, dns, http...)
routery
systemy przechowujące i
przetwarzające dane
ludzie (ang. social engineering)
Bezpieczeństwo
Kto może być wrogiem?
ktoś z firmy (wróg wewnętrzny)
ktoś spoza firmy (wróg zewnętrzny)
Bezpieczeństwo
Twarze zza barykady
script kiddies
hakerzy
gray hats
haker
Organizacja wykładu
Podstawy zagadnień bezpieczeństwa
Protokoły sieciowe wg. modelu ISO
ze względu na bezpieczeństwo
Wprowadzenie do kryptografii
Topologie sieci i mechanizmy
zwiększające ich bezpieczeństwo
Ataki, nadużycia, narzędzia
Model ISO
Model ISO
IP
Model ISO
TCP
Model ISO
UDP
Model ISO - ICMP
Dwie klasy komunikatów:
komunikaty o błędach:
• destination unreachable, redirect, source
quench, time exceeded, parameter problem
zapytania:
• echo, information, timestamp, address
mask
Organizacja wykładu
Podstawy zagadnień bezpieczeństwa
Protokoły sieciowe wg. modelu ISO
ze względu na bezpieczeństwo
Wprowadzenie do kryptografii
Topologie sieci i mechanizmy
zwiększające ich bezpieczeństwo
Ataki, nadużycia, narzędzia
Wprowadzenie do
kryptografii
Przestrzeń klucza (ang. keyspace)
Szyfrowanie symetryczne
Szyfrowanie z kluczem publicznym
Infrastruktura Klucza Publicznego – PKI
(ang. Public Key Infrastructure)
Publiczne Standardy Kryptograficzne –
PKCS (ang. Public Key Cryptographic Standards)
Autorytet Certyfikujący – CA (ang. Certificate
Authority)
Podpis cyfrowy
IPsec - narodziny
Narodziny IPSec – słabości IP
sniffing
spoofing, hijacking
zarządzanie kluczami
Po stronie klienta:
stunnel -c -d localhost:25 -r www:465
http://www.stunnel.org
SSH – Secure SHell
Historia – 1995 rok, Finlandia
Zastosowanie
Algorytmy szyfrowania
DES, 3DES
RC4
TSS
Blowfish/Twofish
SecurID
S/Key
Kerberos
TIS
SHA-1 i MD5 dla zapewnienia i uwierzytelniania danych
SSH – Co zapewnia?
Ochronę przed fałszowaniem IP
( ang. IP spoofing )
Ochronę przed wymuszaniem routingu
( ang. source routing )
Ochronę przed fałszowaniem wpisów DNS
( ang. DNS spoofing )
Ochronę przed ujawnieniem haseł i
identyfikatorów
Ochronę przed manipulacją przesyłanymi
danymi
S/MIME
Secure/Multipurpose Internet Mail
Extensions – v3
Zaprojektowane dla MUA
(ang. Mail User Agents):
The Bat!
Microsoft Outlook
Mozilla
S/MIME – Co zapewnia?
uwierzytelnienie
integralność wiadomości
nie-podrabialność wiadomości
(podpis cyfrowy) SHA-1 (160) i MD5
(128)
poufność i bezpieczeństwo danych
(szyfrowanie) RC-2 (128) i 3DES
(156)
PGP / OpenPGP
Pretty Good Privacy
Philip Zimmermann, 1991 rok
MD4+RSA dla podpisów i wymiany kluczy
Bass-O-Matic, zastąpione przez IDEA
Kompresja LZH, zastąpiona przez InfoZip/zlib
uuencoding, zastąpione przez base64
Problemy prawne w USA (1993-95r)
PGP / OpenPGP
Formaty:
wiadomość skompresowana
wiadomość podpisana cyfrowo
wiadomość zaszyfrowana
Nagłówek:
-----BEGIN PGP typ-----
-----END PGP typ-----
Podstawy działania
filtrowanie pakietów (packet filtering)
filtrowanie zawartości (content filtering)
iptables:
iptables -A INPUT -p tcp -s 0/0 -d 192.168.0.1 --dport 80
-m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -d 210.220.230.240 --dport 80
--tcp-flags ALL SYN -j ACCEPT
zalogowany pakiet:
Dec 3 15:27:03 test1 ipmon[145]: 15:27:02.876150
xl1 @0:6 b 192.168.86.1,16384 -> 255.255.255.255,27600
PR udp len 20 43 IN
Firewall – inne możliwości
Ograniczanie przepustowości
dummynet, altq
iproute2,tc
Cisco CAR i inne mechanizmy
NAT
Proxy
Proxy
Historia
Podstawy działania
tradycyjne proxy
transparentne proxy
SSL-Proxy
Przykład
reguły dla
stanowiskowego IDS:
lidsadm -A -s /usr/sbin/httpd -o CAP_BIND_NET_SERVICE 80-80
-j GRANT
IDS – Przetwarzanie danych
Zbieranie informacji
pasywne
aktywne
Analiza
Odpowiedź
IDS – Analiza?
Na czym polega proces analizy?
nadużycia (przekroczenie praw
dostępu, próba mapowania dysku do
którego brak uprawnień)
anomalia (wzrost obciążenia,
charakterystyka czasowa pracy,
charakterystyka typu pracy)
IDS – Sieciowe
snort, nessus, Enterasys Dragon:
• zalety: duże pole działania, minimalne lub
brak zmian w topologii, niewidzialność dla
atakującego, praca w czasie rzeczywistym
• wady: niewystarczająca przepustowość,
problemy w przypadku stosowania
switchów, problemy z transmisjami
szyfrowanymi (SSL/TLS/inne), wrażliwość
na ataki sieciowe
IDS – Przykład sieciowego
IDS – Stanowiskowe
lids, Entercept, Cybersafe Centrax
• zalety: możliwość analizowania ruchu
szyfrowanego, specyfiki systemu,
nieograniczone przez topologię, mogą
przyczynić się do wykrycia koni trojańskich
• wady: monitoring i konfiguracja, wpływ na
działanie hosta, logistyka (miejsce na logi,
transport)
Topologia – Ochrona wgłąb
Organizacja wykładu
Podstawy zagadnień bezpieczeństwa
Protokoły sieciowe wg. modelu ISO
ze względu na bezpieczeństwo
Wprowadzenie do kryptografii
Topologie sieci i mechanizmy
zwiększające ich bezpieczeństwo
Ataki, nadużycia, narzędzia
Ataki i nadużycia
Ataki typu DoS/DDoS
Ataki sieciowe
Ataki na usługi
Ataki DoS/DDoS
Denial of Service/Distributed Denial of
Service
trinoo, Tribe Flood Network (TFN/TFN2K),
stacheldracht, shaft, mstream
7-8 lutego 2000r. – Amazon.com, ebay,
CNN
4 maja 2001r. – grc.com, w szczycie
94,800 pakietów TCP SYN/s
Ataki DoS/DDoS - Przykład
Ataki sieciowe
sniffing (sniffit, ethereal, tcpdump)
hijacking
spoofing (blind-spoofing, non-blind-
spoofing)
mapowanie:
firewalking
port-scanning
fingerprinting (pasywny i aktywny)
Ataki sieciowe
fragmentowanie/nakładanie/
zniekształcanie pakietów
powodzie TCP SYN/TCP ACK, ARP,
DHCP
wykorzystanie source routingu
ARP/DNS/DHCP poisoning
Ataki na usługi
SQL injection
buffer i stack overflow
format string – rodzina funkcji
*printf()
zła/domyślna konfiguracja usług –
SNMP(public!), finger/telnet (!)
man-in-the-middle
Narzędzia – 1/2
nessus
http://www.nessus.org
nmap
http://www.insecure.org/nmap
siphon
http://siphon.datanerds.net
Xprobe & Xprobe2
http://www.xprobe.org
Narzędzia – 2/2
queso
http://www.apostols.org/projectz/queso
argus
http://www.qosient.com/argus
fragroute & dsniff
http://www.monkey.org/~dugsong/
Pasywne i aktywne mechanizmy
ochronne sieci komputerowych
Pytania?