Hálózati biztonság
Hálózati fenyegetettség
• Hálózati infrastruktúrából következ! problémák • nyitott architektúra • egyszer" protokollok • felhasználóbarát megoldások • globálisan használt protokollok • Emberi tényez!k • (hacker) motiváció • social engineering 2
Az okok • Nincsenek hibátlan rendszerek • Az alkalmazott rendszerek
bonyolultsága gyorsabban n!, mint ahogy a biztonság-technika fejl!dik Nem megfelel! hozzáállás alkalmazók nincsenek tisztában a veszéllyel hanyagság, képzettség, motiváció
• • •
3
Helyi hálózat
Hozzáférési hálózat
Az alkalmazások bonyolultsága Adatbázis szerver Alkalmazás szerver
Internet infrastruktúra ISP-k Web szerver T!zfal
•Hálózati eszközök beállításai routolás, protokollok, spec. prog. nyelvek
•Különböz" böngész"k HTML, script nyelvek, beállítások •Különböz" operációs rendszerek beállítások, t!zfalak, jogosultságok •Felhasználói programok •Hálózati eszközök beállításai protokollok
•Hálózati eszközök beállításai routolás, protokollok, szabályok
•Szerver beállítások eltér" szerverek •CGI programok •Servletek •Script nyelvek
•Szerver beállítások eltér" szerverek •Adatbázis adminisztráció
•Szerver beállítások eltér" szerverek •Servletek •Script nyelvek
Szétterített m!ködési logika
4
Social engineering • A technológiák jó része megfelel! ••Biztonsági megoldások kielégít!ek
“Teljesen mindegy milyen hosszú kulcsot használunk titkosításra, ha egy keylogger van csatlakoztatva a gépünkre” (Bruce Schneier)
• Az emberek alapvet!en jószándékúak • Megismerhet!k és kihasználhatók • A bels! “ellenség” a legveszélyesebb 5
A támadás folyamata • Felderítés, nyomkeresés • Scannelés • Kiértékelés • Hozzáférés megszerzése • Jogosultságok kiterjesztése • Hátsó ajtók nyitása, nyomok elfedése 6
Felderítés • Passzív felderítés • Aktív felderítés • Információk • IP címek (DNS) • szolgáltatások • operációs rendszer • protokollok 7
Felderítés (pl.) dig -t MX cisco.com ; <<>> DiG 9.2.2 <<>> -t MX cisco.com ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 3133 ;; flags: qr rd ra; QUERY: 1, ANSWER: 9, AUTHORITY: 2, ADDITIONAL: 11 ;; QUESTION SECTION: ;cisco.com. IN ;; ANSWER SECTION: cisco.com. 60400 cisco.com. 60400 cisco.com. 60400 cisco.com. 60400 cisco.com. 60400 cisco.com. 60400 cisco.com. 60400 cisco.com. 60400 cisco.com. 60400
MX IN IN IN IN IN IN IN IN IN
MX MX MX MX MX MX MX MX MX
11 rtp-inbound-a.cisco.com. 12 syd-inbound-a.cisco.com. 10 sj-inbound-a.cisco.com. 10 sj-inbound-b.cisco.com. 10 sj-inbound-c.cisco.com. 10 sj-inbound-d.cisco.com. 10 sj-inbound-e.cisco.com. 10 test-inbound-a.cisco.com. 11 ams-inbound-a.cisco.com.
;; AUTHORITY SECTION: cisco.com. 28220 IN cisco.com. 28220 IN
NS NS
ns1.cisco.com. ns2.cisco.com.
;; ADDITIONAL SECTION: sj-inbound-a.cisco.com. 81764 IN sj-inbound-b.cisco.com. 81764 IN sj-inbound-c.cisco.com. 81764 IN sj-inbound-d.cisco.com. 81765 IN sj-inbound-e.cisco.com. 81765 IN test-inbound-a.cisco.com. 60400 IN ams-inbound-a.cisco.com. 81765 IN rtp-inbound-a.cisco.com. 81765 IN syd-inbound-a.cisco.com. 81765 IN ns1.cisco.com. 80284 IN A ns2.cisco.com. 80284 IN A
A A A A A A A A A
128.107.234.204 128.107.234.205 128.107.234.206 128.107.243.13 128.107.243.14 128.107.234.207 64.103.36.153 64.102.255.45 64.104.252.248 128.107.241.185 64.102.255.44
Cisco mail szerverei
Elérhet! hosztok
8
Scannelés • Portscannelés • (nmap) • Protokoll üzenet fejlécek • (telnet) • Vulnerability scanning 9
Scannelés (pl.)
10
Kiértékelés • Er!forrás és account információk • aktív csatlakozás, parancsok kiadása • Operációs rendszer függ! • állomány megosztások • felhasználónevek • alkalmazások 11
Hozzáférés megszerzése
• Támadásmódok • Automatikus támadás • Célzott támadás • Támadási lehet!ségek • operációs rendszer támadása • alkalmazás támadása • konfigurációs hiba kihasználása • script, program támadás 12
Jogosultságok kiterjesztése
• Pu#er túlcsordulásos támadások • set uid • Jelszó bruteforce megszerzése • Jelszó lehallgatása • Shadow fájl megszerzése • Kódolatlan jelszavak keresése • Más rendszerek bizalmi viszonyainak kihasználása
13
Bruteforce jelszó törés
• Szótárak • Algoritmikus kódtér bejárás • Jelszó generálási heurisztikák • Elosztott rendszerek - nagy számítási kapacitás
14
Nyomok elfedése • Nyomok eltakarítása • history fájl • registry • log fájl bejegyzések • Rejtekajtók nyitása • id!zített folyamatok • trójai programok • billenty" naplózók 15
Gyakori támadás típusok
• Szolgáltatás bénító támadások (DoS) • Elosztott szolgáltatás bénítás (DDoS) • Technikák • SYN-árasztás • ICMP-árasztás! • Halálos ping • Land támadás • Teardrop támadás • Er!források felemésztése
(lemezterület, futó processzek száma) 16
Gyakori támadás típusok (folyt.)
• Hamis megszemélyesítés, jogosultság szerzés • Jelszó megszerzése • shoulder surfing • keylogger • jelszó fájl + bruteforce • lehallgatás (sni$ng) • Hoszt azonosító hamisítása • IP spoofing • DNS hamisítás 17
Gyakori támadás típusok (folyt.)
• Sebezhet!ségek kihasználása • Feltérképezés • portscan • TCP connect scan • TCP SYN scan • TCP FIN scan • vulnerability scan • Kártékony programok • Pu#er túlcsordulásos támadás • Webes támadások 18
Gyakori támadás típusok (folyt.)
• Hálózati eszközök támadása • osztott média LAN lehallgatása • ARP mérgezés • Forrás routolás • Kapcsolat eltérítés • Routerek támadása • azonosítás • default jelszavak 19
Védekezés módok • Többréteg" biztonság • Hozzáférés ellen!rzés • Szerepkörök és biztonság • Felhasználói tudatosság • Fenyegetettség monitorozás • Rendszerek frissítése 20
Csomagsz!rés • Hozzáférés vezérl! lista • Forrás, cél IP cím, Portszám • Megenged! és tiltó szabályok Internet
T"zfal
Bels! hálózat
• Problémák • magasabb szint" támadás ellen nem véd
21
Állapotteljes csomagsz!rés
• Forrás és cél IP cím, Portszám • TCP kapcsolat-modell • Fejléc info (flagek, szekvenciaszámok) vizsgálata • Problémák • csak TCP kapcsolatnak van állapota • alkalmazás szint" támadás ellen nem véd
22
Proxy t!zfalak • Beépül a kapcsolatba • Alkalmazási réteg • Tartalomsz"rés • Problémák • teljesítmény csökkenés • protokol kompatibilitás 23
T!zfal zónák T"zfal
Bels! hálózat Internet
DMZ
24
Biztonsági protokollok
• Layer 2 Tunneling Protocol • VPN-ek • IPSec fölött • IPSec • SSH • TLS • https, SSL 25
IPSec • Hálózati szint" logikai csatorna a két végpont között • Security Association (SA) • Kriptográfiai védelem az IP fejlécnek • Szolgáltatások • Authentication Header (AH) • Encapsulated Security Protocol (ESP) • Kulcs és biztonsági paraméter csere megoldások • Internet Key Exchange 26
SSH protokoll • Nyílvános kulcsú autentikációra épített távoli bejelentkezési protokoll • SSH Transport Layer Protocol • egyoldalról autentikált biztonságos csatorna • lokális adatbázissal (.ssh/known_hosts) • CA-val • SSH User Authentication Protocol • pl. jelszó alapú autentikáció (.ssh/identity) • SSH Connection Protocol • titkosított kommunikációs csatorna (tunnel)
27
SSL és TLS • Netscape -> webes biztonságos tranzakciók • IETF -> szállítási réteg biztonsági megoldás • TLS Record protocol • kommunikáció biztonságos
becsomagolása (session, szimmentrikus k.) TLS Handshake protocol autentikáció, kripto egyeztetés
• •
28
SSL Application (e.g., HTTP)
• • • • • • •
Különöz! kripto algoritmusok Tanusító szervezetek Szolgáltatások tömörítés integritás védelem autentikáció titkosítás
Secure transport layer TCP IP Subnet
29
openssl • openssl toolkit • commandline tool • Creation and management of private keys, public keys and parameters • Public key cryptographic operations • Creation of X.509 certificates, CSRs and CRLs • Calculation of Message Digests • Encryption and Decryption with Ciphers • SSL/TLS Client and Server Tests • Handling of S/MIME signed or encrypted mail • Time Stamp requests, generation and verification
30
Kulcs menedzsment • public-key=F(private-key) • nyílvános kulcs ~ adott fél identitása • Directory alapú autentikáció • tanúsító szervezetek (CA) • kulcs kibocsátás/visszavonás • hierarchikus információ fa • kulcs csatorna • X.509 31
Kulcs menedzsment (folyt.) Kulcs kibocsátó
Kulcs felhasználó
Szervezeti adatok nyilvános kulcsok
hash képzés
aláírt hash érték
hash érték
ellen!rzés
tanusító nyilvános kulcsa
Szervezeti adatok nyilvános kulcsok
hash képzés
Digit. aláírás
tanusító privát kulcsa
hash érték Tanusító
32
