Hálózati biztonság
Hálózati biztonság
2
Ajánlott irodalom
• Tom Thomas: Hálózati biztonság, Panem, 2005 • Kevin Mitnick: A Legendás hacker - A behatolás m!vészete, Perfact-Pro, 2006 • Kevin Mitnick: A Legendás hacker - A • •
megtévesztés m!vészete, Perfact-Pro, 2003 Je" Crume: Az internetes biztonság belülr#l - amit a hackerek titkolnak, Szak Kiadó, 2003 Paul Craig, Joe Grand, Tim Mullen, Ryan Russell, Jay Beale: A Háló kalózai - hogyan lopjunk kontinenst, Kiskapu, 2005
Hálózati biztonság
3
Alapfogalmak
• Biztonsági támadás • adatok biztonságát fenyegeti • Biztonsági mechanizmus • támadások detektálására, •
megel#zésére, a károk elhárítására szolgáló megoldás Biztonsági szolgáltatás egy rendszer biztonságát fokozó szolgáltatás, több biztonsági mechanizmusra építve
•
Hálózati biztonság
4
Biztonsági támadások
Normál információ áramlás
Megszakítás Lehallgatás
Módosítás
Hamisítás
Hálózati biztonság
5
Hálózati biztonság Megbízható harmadik fél Els!dleges kommunikáló fél
Els!dleges kommunikáló fél
Üzenet
Üzenet Információs csatorna
Biztonsági információk
Biztonsági információk Biztonsági transzformáció
Biztonsági transzformáció
Ellenség
Hálózati biztonság
6
Biztonsági célok
• Titkosság • csak a felhatalmazottak férjenek az információhoz • Integritás • jogosulatlan módosítás megakadályozása • Rendelkezésre állás • er#források hozzáférhet#ségének biztosítása • • Nem engedélyezett felhasználás
Titkosság
Integritás
megakadályozása
Rendelkezésre állás
Hálózati biztonság
7
Védekezési módok
• Titkosítás • Szoftveres hozzáférés-szabályozás • Hardveres hozzáférés-szabályozás • Biztonsági politika
Hálózati biztonság
8
Biztonsági szolgáltatások
• Titkosság, bizalmasság biztosítása • Autentikáció biztosítása • Integritás biztosítása • Letagadhatatlanság biztosítása • Hozzáférés szabályozás • Rendelkezésre állás biztosítása
Hálózati biztonság
9
Hálózati fenyegetettség
• Hálózati infrastruktúrából következ# problémák
• nyitott architektúra • egyszer! protokollok • felhasználóbarát megoldások • globálisan használt protokollok
• Emberi tényez#k • (hacker) motiváció • social engineering
Hálózati biztonság
10
Hálózati támadások Észak-Amerika Európa Ázsia Távol-Kelet Dél-Amerika Ismeretlen Afrika
51
7
86
8 5
43
33
19 10
16 4
24
Pénzügy Gépipar Szolgáltatás Oktatás Kereskedelem Gyógyszeripar Kormányzat IT ipar Egészségügy Tanácsadás Szállítmányozás
Földrajzi megoszlás Üzleti megoszlás
(Internet Security Systems 2003)
Hálózati biztonság
11
A támadás folyamata
• Felderítés, nyomkeresés • Scannelés • Kiértékelés • Hozzáférés megszerzése • Jogosultságok kiterjesztése • Hátsó ajtók nyitása, nyomok elfedése
Hálózati biztonság
12
Felderítés
• Passzív felderítés • Aktív felderítés • Információk • IP címek (DNS) • szolgáltatások • operációs rendszer • protokollok
Hálózati biztonság
13
Felderítés (pl.) dig -t MX cisco.com ; <<>> DiG 9.2.2 <<>> -t MX cisco.com ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 3133 ;; flags: qr rd ra; QUERY: 1, ANSWER: 9, AUTHORITY: 2, ADDITIONAL: 11 ;; QUESTION SECTION: ;cisco.com. IN ;; ANSWER SECTION: cisco.com. 60400 cisco.com. 60400 cisco.com. 60400 cisco.com. 60400 cisco.com. 60400 cisco.com. 60400 cisco.com. 60400 cisco.com. 60400 cisco.com. 60400
MX
IN IN IN IN IN IN IN IN IN
MX MX MX MX MX MX MX MX MX
11 rtp-inbound-a.cisco.com. 12 syd-inbound-a.cisco.com. 10 sj-inbound-a.cisco.com. 10 sj-inbound-b.cisco.com. 10 sj-inbound-c.cisco.com. 10 sj-inbound-d.cisco.com. 10 sj-inbound-e.cisco.com. 10 test-inbound-a.cisco.com. 11 ams-inbound-a.cisco.com.
;; AUTHORITY SECTION: cisco.com. 28220 IN cisco.com. 28220 IN
NS NS
ns1.cisco.com. ns2.cisco.com.
;; ADDITIONAL SECTION: sj-inbound-a.cisco.com. 81764 IN sj-inbound-b.cisco.com. 81764 IN sj-inbound-c.cisco.com. 81764 IN sj-inbound-d.cisco.com. 81765 IN sj-inbound-e.cisco.com. 81765 IN test-inbound-a.cisco.com. 60400 IN ams-inbound-a.cisco.com. 81765 IN rtp-inbound-a.cisco.com. 81765 IN syd-inbound-a.cisco.com. 81765 IN ns1.cisco.com. 80284 IN A ns2.cisco.com. 80284 IN A
A 128.107.234.204 A 128.107.234.205 A 128.107.234.206 A 128.107.243.13 A 128.107.243.14 A 128.107.234.207 A 64.103.36.153 A 64.102.255.45 A 64.104.252.248 128.107.241.185 64.102.255.44
Elérhet# hosztok
Cisco mail szerverek
Hálózati biztonság
14
Scannelés
• Portscannelés • (nmap) • Protokoll üzenet fejlécek • (telnet) • Vulnerability scanning
Hálózati biztonság
15
Scannelés (pl.)
telnet rs1.sze.hu 80 Trying 193.224.128.1... Connected to rs1.sze.hu. Escape character is '^]'. get <TITLE>501 Method Not Implemented
Method Not Implemented
get to /index.html not supported.
Invalid method in request get
Apache/1.3.19 Server at rs1.szif.hu Port 80 Connection closed by foreign host.
Ez itt Apache 1.3.19
Nyitott portok
Hálózati biztonság
16
Kiértékelés
• Er#forrás és account információk • aktív csatlakozás, parancsok kiadása
• Operációs rendszer függ# • állomány megosztások • felhasználónevek • alkalmazások
Hálózati biztonság
17
Hozzáférés megszerzése
• Támadásmódok • Automatikus támadás • Célzott támadás • Támadási lehet#ségek • operációs rendszer támadása • alkalmazás támadása • konfigurációs hiba kihasználása • script, program támadás Hálózati biztonság
18
Jogosultságok kiterjesztése
• Pu"er túlcsordulásos támadások • set uid • Jelszó bruteforce megszerzése • Jelszó lehallgatása • Shadow fájl megszerzése • Kódolatlan jelszavak keresése • Más rendszerek bizalmi viszonyainak kihasználása
Hálózati biztonság
19
Bruteforce jelszó törés
• Szótárak • Algoritmikus kódtér bejárás • Jelszó generálási heurisztikák • Elosztott rendszerek - nagy számítási kapacitás knxTZbLob/YK.:12345 ogO6nbAnkkssM:12345 ww/7x00NA8ksc:12345 sy.C6AI21j8oo:12345 tj6wSxV2n4YH2:12345 yjxnOUbUQjSNQ:12345 lkFzOeGZjPdDM:12345 rkWHXRHEqW/cc:12345 tkinbgd7A2foA:12345
Könnyen megfejthet# jelszavak (Különböz# hash értékek: jelszó sózás)
Hálózati biztonság
20
Nyomok elfedése
• Nyomok eltakarítása • history fájl • registry • log fájl bejegyzések • Rejtekajtók nyitása • id#zített folyamatok • trójai programok • billenty! naplózók
Hálózati biztonság
21
Gyakori támadás típusok
• Szolgáltatás bénító támadások (DoS) • Elosztott szolgáltatás bénítás (DDoS) • Technikák • SYN-árasztás • ICMP-árasztás! • Halálos ping • Land támadás • Teardrop támadás • Er#források felemésztése (lemezterület, futó processzek száma)
Hálózati biztonság
22
Gyakori támadás típusok (folyt.)
• Hamis megszemélyesítés, jogosultság szerzés • Jelszó megszerzése • shoulder surfing • keylogger • jelszó fájl + bruteforce • lehallgatás (sni$ng) • Hoszt azonosító hamisítása • IP spoofing • DNS hamisítás
Hálózati biztonság
23
Gyakori támadás típusok (folyt.)
• Sebezhet#ségek kihasználása • Feltérképezés • portscan • TCP connect scan • TCP SYN scan • TCP FIN scan • vulnerability scan • Kártékony programok • Pu"er túlcsordulásos támadás • Webes támadások
Hálózati biztonság
24
Webes támadások
• Web oldalak lecserélése (deface) • Tartalom kezel# alkalmazás hibájának kihasználása
• ellen#rizetlen input • állomány futtatása • SQL injektálás • Phishing • Spoofing • Cross-site scripting
Hálózati biztonság
25
Webes támadások
• Phishing példa
Hálózati biztonság
26
Webes támadások (folyt.)
• Cross-site scripting Cél site
Támadó rosszindulatú 3 kód
2
From: Malicious User To: Victim User
CLICK HERE email kliens
1 “reflektált” kód
5
4
normális interakció
rosszindulatú kód
normál érvényes session
biztonsági kontextus: cél site browser ablak
biztonsági kontextus: cél site browser ablak
Hálózati biztonság
27
Gyakori támadás típusok (folyt.)
• Kártékony programok • Vírusok • fájl vírus • boot vírus • makró, szkript vírus • Trójai programok • Férgek
Hálózati biztonság
28
Történelmi féreg
• A Morris féreg rsh támadás sendmail támadás Behúzó
ping támadás Féreg Kérés
Féreg Féreg Cél rendszer
Megfert!z!tt rendszer
Hálózati biztonság
29
Gyakori támadás típusok (folyt.)
• Pu"er túlcsordulásos támadás • hibás input ellen#rzés • verem túlcsordulás • támadókód futtatása • shellkód • setuid bit
Hálózati biztonság
30
Gyakori támadás típusok (folyt.)
• Hálózati eszközök támadása • osztott média LAN lehallgatása • ARP mérgezés • Forrás routolás • Kapcsolat eltérítés • Routerek támadása • azonosítás • default jelszavak
Hálózati biztonság
31
Védekezés módok
• Többréteg! biztonság • Hozzáférés ellen#rzés • Szerepkörök és biztonság • Felhasználói tudatosság • Fenyegetettség monitorozás • Rendszerek frissítése
Hálózati biztonság
32
Csomagsz!rés
• Hozzáférés vezérl# lista • Forrás, cél IP cím, Portszám • Megenged# és tiltó szabályok Internet
T"zfal
Bels! hálózat
• Problémák • magasabb szint! támadás ellen nem véd
Hálózati biztonság
33
Állapotteljes csomagsz!rés
• Forrás és cél IP cím, Portszám • TCP kapcsolat-modell • Fejléc info (flagek,
szekvenciaszámok) vizsgálata
• Problémák • csak TCP kapcsolatnak van állapota
• alkalmazás szint! támadás ellen nem véd
Hálózati biztonság
34
Proxy t!zfalak
• Beépül a kapcsolatba • Alkalmazási réteg • Tartalomsz!rés • Problémák • teljesítmény csökkenés • protokol kompatibilitás
Hálózati biztonság
35
T!zfal zónák T"zfal
Bels! hálózat Internet
DMZ
Hálózati biztonság
36
Adatok titkosítása
• Szimmetrikus (titkos kulcsú) Kulcs
Nyílt szöveg
Titkosító algoritmus
Kulcs továbbítás
Titkosított szöveg
Kulcs
Visszafejt! algoritmus
Nyílt szöveg
• Aszimmetrikus (nyilvános kulcsú) Nyílt szöveg
Nyilvános kulcs
Kulcspár
Titkos kulcs
Titkosító algoritmus
Titkosított szöveg
Visszafejt! algoritmus
Nyílt szöveg
Hálózati biztonság
37
A Feistel architektúra
• Üzenet blokkok • Kulcs (adott mérettel) • Számítási menetek (rögzített szám)
• • gyorsan elvégezhet# alkulcsok
m!veletek
Blokk Kulcs
M!velet
M!velet
...
M!velet
Titkosított blokk
Hálózati biztonság
38
A DES
(Permutation)
• Cserél# m!veletek (Substitution)
• 16 menet
Kezdeti permutáció
Round 1
Round 2 56-bit kulcs
…
• Blokk méret 64 bit • Kulcs 56(+8) bit • Kever# m!veletek
Round 16
Vég permutáció
Hálózati biztonság
39
A DES (folyt.)
• A DES egy lépése
Hálózati biztonság
40
A DES (folyt.)
• Blokk láncolás IV
Block1
Block2
Block3
Block4
+
+
+
+
DES
DES
DES
DES
Cipher1
Cipher2
Cipher3
Cipher4
Hálózati biztonság
41
A 3DES Nyílt szöveg
DES titkosítás
Kulcs 1
DES visszafejtés
Kulcs 2
DES titkosítás
Kulcs 3
Titkos szöveg
Hálózati biztonság
42
A nyilvános kulcsú infrastruktúra
• Kulcselosztás • Megbízhatóság - Tanúsítás • Alkalmazások • titkosítás • digitális aláírás • szimmetrikus alg. kulcs-cseréje
Hálózati biztonság
43
Kulcs menedzsment
• Nyilvános
kulcsok megbízható szétosztása
Kulcs kibocsátó
Kulcs felhasználó
Szervezeti adatok nyilvános kulcsok
hash képzés
aláírt hash érték
hash érték
• Megbízható
tanusító szervezetek
ellen!rzés
tanusító nyilvános kulcsa
Szervezeti adatok nyilvános kulcsok
hash képzés
Digit. aláírás
tanusító privát kulcsa
hash érték Tanusító
Hálózati biztonság
44
Nyilvános kulcsú algoritmusok
• RSA - Ron Rives, Adi Shamir és Len Adleman MIT, 1977
• Blokk titkosítás • Széleskörben használt
• Di$e-Hellman • Titkos kulcs cseréjéhez
Hálózati biztonság
45
Üzenet lenyomat
• Biztonsági ellen#rz# szám • Hash fv. • tetsz. hosszúságú szövegre • fix hosszúságú kimenet • H(x) könnyen kiszámolható • adott h=H(x)-hez nem lehet x-et kiszámolni
• x-hez nem lehet különböz# y-t meghatározni, hogy H(x)=H(y)
Hálózati biztonság
46
MD5 üzenet lenyomat Kezdeti lenyomat (konstans)
Üzenet (feltöltve) 512 bit
Transzf.
…
Transzf.
Transzf.
Üzenet lenyomat
512 bit
…
512 bit
Hálózati biztonság
47
Biztonságos levelezés
• Technikák • CBC “maradék” • Digitális aláírás • Kulcsos üzenet kivonat • Üzenet kivonat aláírva • PGP • nincs tanusítási rendszer • változó megbízhatóság • különböz# kripto algoritmusok
---BEGIN PGP SIGNED MESSAGE--Hash: SHA1 Bob:My husband is out of town tonight.Passionately yours, Alice ---BEGIN PGP SIGNATURE--Version: PGP 5.0 Charset: noconv yhHJRHhGJGhgg/12EpJ+lo8gE4vB3mq JhFEvZP9t6n7G6m5Gw2 ---END PGP SIGNATURE---
PGP levél
Hálózati biztonság
48
Biztonsági protokollok
• Layer 2 Tunneling Protocol • VPN-ek • IPSec fölött • SSH • TLS • https, SSL • IPSec
Hálózati biztonság
49
SSL
• Különöz# kripto algoritmusok • Tanusító szervezetek • Szolgáltatások • tömörítés • integritás védelem • autentikáció • titkosítás
Application (e.g., HTTP) Secure transport layer TCP IP Subnet
Hálózati biztonság
50
IPSec
• Hálózati szint! logikai csatorna a két végpont között • Security Association • Szolgáltatások • Encapsulated Security Protocol • Authentication Header • Kulcs és biztonsági paraméter csere megoldások • Internet Key Exchange • Internet Security Association and Key management Protocol
Hálózati biztonság
51
Behatolás érzékelés (IDS-ek)
• Behatolás • a biztonsági politika rosszindulatú megsértése
• Behatolás érzékelés • behatolással kapcsolatos események automatizált érzékelése és riasztás
Hálózati biztonság
52
Behatolás érzékelés (IDS-ek)
• Mintázat alapú detektálás • Statisztikai anomália detektálás • Küszöb alapú • Profil alapú • Mézes bödönök
Hálózati biztonság
53
Behatolás érzékelés (IDS-ek)
• Mintázat alapú detektálás • korábban azonosított, ismert támadás minták
• kevés téves riasztás • újfajta támadások érzékelése problémás
Hálózati biztonság
54
Behatolás érzékelés (IDS-ek)
• Anomália detektálás • Statisztikai osztályozás • normál m!ködés • behatolás ~ nem szokványos m!ködés
• Sok téves riasztás • Új fajta támadások érzékelése
Hálózati biztonság
55
Hálózati biztonság
56
Hálózatbiztonsági szervezetek
• CERT (www.cert.org, www.cert.hu) • SANS (www.sans.org) • CIS (www.cisecurity.com) • National Vulnerability Database (nvd.nist.gov)
