Tartalom. Internet. Példák LAN és WAN technológiákra

Tartalom


Internet






a mai gyakorlatban




WAN technológiák Vezeték nélküli technológiák Statikus és dinamikus routing Multiprotokoll routing – a 2. réteg vonatkozásában Internet szcenáriók



Támadás Védekezés

1

2

A routerek a nagy intranetek és az Internet gerinc-eszközei. Az OSI modell 3. 3étegén működnek és hálózati címek (például IP-címek) alapján hozzák meg döntéseiket.

Példák LAN és WAN technológiákra


LAN technológiák




Ethernet Token Ring FDDI

A routereket alkalmazhatjuk a LA'-ok szegmentálására is, viszont fontosabb a WA'-eszközként történő alkalmazásuk.

3

A ruotereknek lehet mind LA', mind pedig WA' interfészük. Gyakran használnak WA' technológiákat arra, hogy összekapcsolják a routereket.

communication server – a betárcsázásos (dial-in és dialout) felhasználói kommunikációt biztosítja

A WA' (wide area network) technológiák az OSI hivatkozási modell fizikai és adatkapcsolati rétegén működnek.

Ezek olyan LA'-okat (local area networks) kötnek össze, melyek tipikusan nagy földrajzi távolságra vannak egymástól.

router – sokféle szolgáltatást nyújt, többek között WAN interfészekkel is rendelkezhet

WA switch – a routerhez hasonló feladatokat lát el 5

4

modem – a hang alapú telefonszolgáltatás interfésze; – a T1/E1 szolgáltatás channel service units/digital service units (CSU/DSU) interfésze; – az Integrated Services Digital Network (ISDN) szolgáltatás Terminal Adapters/Network Termination 1 (TA/NT1) interfésze; – az xDSL szolgáltatás interfésze

6

1

WA' szabványokat egy sor elismert cég dolgozta ki és menedzseli, köztük: •International Telecommunication UnionTelecommunication Standardization Sector (ITU-T), formerly the Consultative Committee for International Telegraph and Telephone (CCITT) A WA' fizikai réteg protokoll azt írja le, hogyan biztosítják az elketromos, a mechanikai, az üzemelési és a funkcionális kapcsolatokat. Ezeket a szolgáltatásokat tipikusan a telefon-társaságok nyújtják.

•International Organization for Standardization (ISO) •Internet Engineering Task Force (IETF) •Electronic Industries Association (EIA)

A WA' adatkapcsolati réteg protokollok azt írják le, hogyan kezelik a kereteket a rendsezrek között egyetlen adatlinken belül.

A WA' szabványok tipikusan meghatározzák mind a fizikai réteg, mind peidg az adatkapcsolati réteg iránt támaasztott követelményeket.

Ezek magukban foglalják a dedikált pont-pont, a multipont és a többes-hozzáféréses kapcsolt (Frame Relay) szolgáltatások esetén. 7

8

High-Level Data Link Control (HDLC) – ez egy IEEE szabvány; különböző gyártónkénti, egymással inkompatibilis megvalósításai vannak; mind a pontpont, mind pedig a multipont konfigurációhoz alkalmas, csekély mennyiségű kiegészítő információval

A WA' fizikai réteg leírja DTE (data terminal equipment) és a DCE (data circuit-terminating equipment) közötti interfészt.

Frame Relay – jó minőségű digitális eszközöket használ; egyszerűsített keretezést alkalmaz hibajavítási mechanizmus nélkül, így gyors keretküldést biztosít

Tipikusan a DCE a szolgáltató és a DTE pedig a csatlakoztatott eszköz (például a router). Több fizikai réteg szabvány specifikálja ezt az interfészt:

Ebben a modellben a DTE számára nyújtott szolgáltatások modemen vagy CSU/DSU-n keresztül válnak elérhetővé.

•EIA/TIA-232 •EIA/TIA-449 •V.24 •V.35

Link Access Procedure Frame (LAPF) - a FrameMode Bearer Services számára; a LAPD-hez hasonló WAN adatkapcsolati réteg protokoll, amit a frame relay technológiáknál használnak Point-to-Point Protocol (PPP) - described by RFC 1661; az IETF dolgozta ki; egy protokoll-mezőt tartalmaz a hálózati réteg protokoll azonosítására Simple Data Link Control Protocol (SDLC) – az IBM tervezte adatkapcsolati réteg protokoll az System Network Architecture (SNA) környezet számára; a rugalmasabb HDLC lépett a helyébe Serial Line Interface Protocol (SLIP) – korai, igen népszerű WAN adatkapcsolati réteg protokoll; később a rugalmasabb PPP váltotta fel

•X.21

Link Access Procedure Balanced (LAPB) - az X.25 által használt adatkapcsolati réteg protokoll ; hibaellenőrzése kiváló

•G.703

Link Access Procedure D-channel (LAPD) - ISDN D-csatorna által a vezérlésre használt adatkapcsolati réteg 9

•EIA-530

Vonal-kapcsolt szolgáltatás POTS (Plain Old Telephone Service), azaz a hagyományos telefon ISD Integrated Services Digital Network Packet-Switched Services

protokoll. Maga az adatátvitel az ISDN B csatornákon történik

10

Az Internet az autonóm rendszerek hálózata. Ezek mindegyike az alábbi négy szerep közül az egyiket végzi: •belső router - autonóm rendszeren belüli router •border router – az autonóm rendszert a külvilággal összekapcsoló router •gerinc router – más hálózatban keletkezett és más hálózat felé haladó forgalmat forgalmat biztosító nagy teljesítményű router

X.25 Frame Relay (ISDN)

•autonóm rendszereket összekapcsoló router – más autonóm rendszerekkel kommunikálnak, például egy globális cég egyik autonóm rendszerének a többi autonóm rendszerével fennálló kapcsolat

Cella-kapcsolt v ATM SMDS (Switched Multimegabit Data Service) Dedikált digitális szolgáltatás T1, T3, E1, E3 xDSL (DSL - Digital Subscriber Line) Other WA' Services betárcsázásos modem (kapcsolt analóg) Kábel modem (megosztott analóg) Vezeték nélküli

11

12

2

Vezeték nélküli technológiák



Vezeték nélküli technológiák

elektromágneses hullámokat használnak csoportosításuk alkalmazási szempontból








csoportosításuk felhasználhatóságuk szerint


A rádiós és televíziós műsorszórások frekvenciái, a látható fény, a röntgen és a gamma sugarak. ezek közül mindegyik külön hullámhossz tartománnyal és megfelelő energiaszinttel rendelkezik




bizonyos típusú elektromágneses hullámok nem alkalmasak adatátvitelre A frekvenciatartomány más részei állami szabályozás alatt állnak





használatuk különféle szervezetek számára engedélyezett meghatározott tevékenységek ellátására

a tartomány bizonyos részeit közhasználatra tartják fenn, anélkül, hogy engedélyekhez kötnék használatukat.


A nyilvános vezeték nélküli kommunikációra használt leggyakoribb hullámhosszok közé tartozik,


13

Vezeték nélküli technológiák





az infravörös kommunikáció viszonylag alacsony energiaszintű












jelei nem képesek áthatolni falakon vagy egyéb akadályokon tipikusan kis hatótávolságú, rálátást igénylő kommunikációra használják IrDA (Infrared Direct Access) port csak pont-pont típusú kapcsolat




a rádió frekvenciás hullámok nagyobb teljesítményűek





képesek áthatolni a falakon és más akadályokon az infravörös hullámokhoz képest jóval nagyobb a hatótávolságuk

a rádiófrekvenciás tartomány bizonyos részeit szabadon használható eszközök működésére tartják fenn


például a zsinór nélküli telefonok, vezeték nélküli helyihálózatok és egyéb számítógépes perifériák

távirányítók, vezeték nélküli egerek, billentyűzetek, továbbá PC-k és PDA (Personal digital Assistent) vagy nyomtató között 15

Vezeték nélküli technológiák


14

rádió frekvencia




használata


az infravörös és a rádiófrekvenciás tartomány

Vezeték nélküli technológiák

infravörös





16

Címfordítás - NAT

Bluetooth








a 2.4 GHz-es sávon működik korlátozott sebességű rövid hatótávolságú egyidejűleg több eszköz kommunikációját teszi lehetővé emiatt népszerűbb a Bluetooth technológia, mint az infravörös a számítógépes perifériák (nyomtatók, egerek és billentyűzetek) kapcsolatainál

17

18

3

Címfordítás - NAT

Statikus forgalomirányítás





A NAT lehetővé teszi, hogy a belső hálózatokban privát címteret használjunk








a routing táblát manuálisan konfiguráljuk előnye



A privát címek alkalmazása nélkül az IPv4 címek már másfél évtizede elfogytak volna

A NAT segítségével „letakarhatjuk” a belső címeinket, ami megnehezíti a támadók dolgát




Hátránya








nincs internetes karbantartás nem foglal tehát sávszélességet nagyobb hálózatoknál igen munkaigényes a konfigurálás változás esetén nincs automatikus konvergencia

Alkalmazás


végrouterekben (ez routerek milliói)

19

Hálózati rétegek

Dinamikus forgalomirányítás




a routing táblát a routing protokollok automatikusan konfigurálják előnye




hátránya










20

változás esetén automatikus konvergencia az információ-szerzéshez forgalmat generál

Mag réteg Elosztási réteg Hozzáférési réteg

21

22

Internet szcenáriók Támadás

23

24

4

MAC cím szűrés A titkosítás szükségessége








a forgalomirányító adatbázisában előzetesen rögzíteni kell az engedélyezett eszközök MACcímeit csak a listában szereplő eszközök csatlakozhatnak Gondok:





minden csatlakozandó eszközt először fel kell vinni a listába a támadó felhasználhatja egy hozzáféréssel rendelkező, engedélyezett eszköz MAC címét







egy vezeték nélküli hálózatnak nincsenek pontosan definiálható határai és és az adatátvitel a levegőn keresztül történik





egy támadó számára egyszerű a vezeték nélküli keretek elfogása vagy más néven lehallgatása (sniffing).

A titkosítási folyamat



az adatok átalakítása így az elfogott információk használhatatlanok lesznek

25

WEP (Wired Equivalency Protocol)








WPA (Wi-Fi Protected Access)

előre beállított kulcsok használatával kódolja és fejti vissza az adatokat


tipikusan 64 vagy 128 bit hosszúságúak, ritkán 256 bitesek a hozzáférési pontnál és az összes engedélyezett állomáson ugyanazon WEP kulcsot kell megadni

Hátránya


26

az Internetről letölthetők olyan programok, melyek segítségével a támadók kideríthetik a WEP kulcsot










a WPA 64 és 256 bit közötti hosszúságú kulcsokat használ dinamikus kulcsok minden alkalommal, amikor egy állomás kapcsolódik a hozzáférési ponthoz a WPA jóval biztonságosabb, mint a WEP

27

28

Vírusok Férgek (worm)


a vírus egy program, mely lefut






tevékenységei









más programok vagy fájlok módosításával terjed vírus önmagát nem tudja futtatni, szüksége van arra, hogy valamilyen befogadó állománya – gazdaprogramja - legyen




károkozás szaporodás-terjedés

honnan kaphatjuk?








pendrive, e-mail, internetes böngészés 29

nincs szükségük arra, hogy egy programhoz kapcsolódjanak a férgek önállóan tudnak futni, nincs szükségük gazdaprogramra a féreg a hálózatot használja arra, hogy elküldje saját másolatát bármelyik kapcsolódó állomásra. Igen gyorsan terjednek 30

5

DDoS (Distributed Denial of Service)

Trójai lovak a trójai ló a férgektől és vírusoktól abban különbözik, hogy nem automatikusan sokszorozza meg magát trójai ló név történelmi mintán alapul










a felhasználó számára nem kívánatos funkció kerül a számítógépre




előkészítés – a támadó program telepítése és „zombivá” alakítása


például:




megakadályozza a program-telepítést, vagy backdoor-t nyit a támadó számára, amin keresztül az bejuthat számítógépünkbe











terjedése:







tipikusan ingyenes programoknak az internetről való letöltésével, például képernyővédők, játékprogramok, illegálisan feltört programok













Nyers erő (Brute force)


a „zombi” gépek távolról vezérelhetőek egy „mester” gépről (a támadó gépéről). a „mester” állomás jelt ad a „zombiknak”, hogy kezdjék meg a támadást a kiszemelt célpont vagy célpontok ellen a „zombik” egyenként kis mennyiségű adattal dolgoznak, de több száz, vagy akár százezer támadó gép - hatalmas adatáramlás







egy gyors számítógép használatával kísérlik meg kitalálni a jelszavakat vagy visszafejteni egy titkosítási kódot gyors egymásutánban












33

hozzáféréshez jussunk vagy feltörjük a kódot

lehetséges közvetlen kár a nagy forgalom miatt


a támadók beazonosítása tűzfalon vagy router hozzáférési listán azok manuális átállítással történő kitiltása

kellően nagy számú lehetőség kipróbálása ahhoz, hogy


Védekezés, például


az irányítás előkészítése: akár többszintű fastruktúra 32

a támadás menete


„zombi” akarat és értelem nélküli élőhalottak, akik külső utasításra támadnak

31

DDoS (Distributed Denial of Service)


a sebezhető számítógépek felkutatása egy automatizált eszközzel (alkalmazással, azaz programmal) számítógépes vírusokkal vagy trójai programokkal

szolgáltatás-megtagadás a felhasználói fiók zárolásával

közvetett kár


visszaélés a megszerzett jelszóval

34

Tűzfal Internet szcenáriók Védekezés

35

36

6

Tűzfal


célja:






Tűzfal





a bejövő és a kimenő forgalom ellenőrzése a jogosulatlan hozzáférés elleni védelem




lehetőségek














URL vagy kulcsszó szerint







a kiszolgáló-alapú tűzfal egy tűzfal-alkalmazás, amely valamilyen hálózati operációs rendszer alatt fut (UNIX, Windows, Novell).

Integrált tűzfal


állapot-alapú csomagvizsgálat A bejövő csomagok csak a belső hálózat állomásairól kezdeményezett kérések válaszcsomagjai lehetnek NAT (Network Address Translation)

az eszköz-alapú tűzfal egy biztonsági készülékként ismert célhardverbe van beépítve.

Kiszolgáló-alapú tűzfal


szűrés az IP vagy MAC-cím alapján szűrés alkalmazás alapján szűrés webhely alapján


Eszköz-alapú tűzfal

meglevő eszköz (pl.: forgalomirányító) tűzfalszolgáltatással kiegészítve.

Személyes tűzfal


a munkaállomáson helyezkedik el. Lehet



a belső címek külső felhasználók elől való elrejtése

az operációs rendszer beépített szolgáltatása, vagy származhat külső gyártótól is.

37

38

Hozzáférési lista (Access list ACL)

A tűzfalak formái







szerepe, mint a tűzfalé a forgalomirányítón konfigurálhatjuk szabályozhatjuk a hálózati forgalmat engedélyezhetünk és tilthatunk






39

forrás és célcím alapján, beleértve a címtartományokat is 3. vagy 4. rétegű protokoll alapján 3. rétegben alkalmazhatunk ACL-t IP, IPX, AppleTalk vonatkozásában 40

Vége 41

7