Elosztott rendszerek NGM_IN005_1 Biztonsági kérdések
Alapfogalmak Biztonsági támadás adatok biztonságát fenyegeti Biztonsági mechanizmus támadások detektálására, megel!zésére, a károk elhárítására szolgáló megoldás Biztonsági szolgáltatás egy rendszer biztonságát fokozó szolgáltatás, több biztonsági mechanizmusra építve 2
Biztonsági támadások Normál információ áramlás
Megszakítás Lehallgatás
Módosítás
Hamisítás
3
Biztonsági célok Titkosság csak a felhatalmazottak férjenek az információhoz Integritás jogosulatlan módosítás megakadályozása Rendelkezésre állás er!források hozzáférhet!ségének biztosítása Nem engedélyezett felhasználás megakadályozása 4
Biztonsági szolgáltatások Titkosság, bizalmasság biztosítása Autentikáció biztosítása Integritás biztosítása Letagadhatatlanság biztosítása Hozzáférés szabályozás Rendelkezésre állás biztosítása 5
Védelmi módszerek Titkosítás Szoftveres hozzáférés-szabályozás Hardveres hozzáférés-szabályozás Biztonság politika Fizikai hozzáférés-szabályozás 6
Hálózati fenyegetettség Hálózati infrastruktúrából következ! problémák nyitott architektúra egyszer" protokollok felhasználóbarát megoldások globálisan használt protokollok Emberi tényez!k (hacker) motiváció social engineering 7
Biztonságos kommunikáció Célok titkosság autentikáció üzenet sértetlenség
8
Kriptográfia szimmetrikus kulcsú küld! és fogadó kulcsa megegyezik aszimmetrikus, nyilvános kulcsú két kulcs, az egyik nyilvános a másik titkos
9
Szimmetrikus titkosítás Szubsztitúciós titkosítás monoalfabetikus, polialfabetikus kód eltolás támadási módszerek csak titkos szöveg áll rendelkezésre ismert nyílt és titkosított szöveg tetsz!leges nyílt szöveg 10
Szimmetrikus titkosítás (folyt.) Transzpozíciós titkosítás üzenet karaktersorrendjének megváltoztatása pl. oszlopos átírás
11
A Feistel architektúra Üzenet blokkok Kulcs (adott mérettel) Számítási menetek (rögzített szám) alkulcsok gyorsan elvégezhet! m"veletek permutációk helyettesítés
Blokk Kulcs
M!velet
M!velet
...
M!velet
Titkosított blokk
12
A DES Kulcs 56(+8) bit Kever! m"veletek (Permutation) Cserél! m"veletek (Substitution) 16 menet
Round 1
Round 2 56-bit kulcs
…
Blokk méret 64 bit
Kezdeti permutáció
Round 16
Vég permutáció
13
A DES (folyt.) A DES egy lépése
14
A DES (folyt.) Blokk láncolás
IV
Block1
Block2
Block3
Block4
+
+
+
+
DES
DES
DES
DES
Cipher1
Cipher2
Cipher3
Cipher4
15
A DES (folyt.) Próbálkozások kriptanalítikus támadással nagyszámú nyílt szöveggel kisebb elméleti komplexitás, mint nyerser!vel (nem realisztikus) Bruteforce speciális hardver elosztott rendszerek néhány nap alatt feltörhet! 16
A 3DES Nyílt szöveg
DES titkosítás
Kulcs 1
DES visszafejtés
Kulcs 2
DES titkosítás
Kulcs 3
Titkos szöveg
17
Az RC5 algoritmus Paraméterezhet! blokkméret kulcsméret menetek száma Gyorsan végezhet! m"veletek rot (adatfügg!), xor, mod Kulcs expanzió hash függvénnyel 18
A nyilvános kulcsú infrastruktúra Kulcselosztás Megbízhatóság - Tanúsítás Alkalmazások titkosítás digitális aláírás szimmetrikus alg. kulcs-cseréje 19
Nyilvános kulcsú algoritmusok RSA - Ron Rivest, Adi Shamir, Len Adleman (MIT 1977) az RSA blokk titkosítás széleskörben használt és implementált Diffie-Hellman titkos kulcs cseréjére 20
Az RSA algoritmus – – – –
choose two large prime numbers p and q multiply p and q together to get n chose the encryption key e, such that e and (p-1) x (q-1) are relatively prime. compute decryption key d such that d = e-1 mod((p-1) x (q-1))
– construct public key as <e, n> – construct private key as
– discard (do not disclose) original primes p and q
– c = me mod n – m = cd mod n
21
Az RSA algoritmus (folyt.) Nagy prímszámok választása Rabin-Miller teszt összetett vagy “valószín"leg prím” konkrét implemetációkban a teszt pontossága szabályozható (futási id!) Moduló inverz meghatározása Euklidészi algoritmus Java java.math BigInteger isProbablePrime(p) modPow(n,m) 22
Diffie-Hellman algoritmus kulcs megegyezési protokoll p is prime, g
Kulcs menedzsment Nyilvános kulcsok megbízható szétosztása Megbízható tanusító szervezetek
Kulcs kibocsátó
Kulcs felhasználó
Szervezeti adatok nyilvános kulcsok
hash képzés
aláírt hash érték
hash érték
ellen!rzés
tanusító nyilvános kulcsa
Szervezeti adatok nyilvános kulcsok
hash képzés
Digit. aláírás
tanusító privát kulcsa
hash érték Tanusító
24
Üzenet lenyomat Biztonsági ellen!rz! szám Hash fv. tetsz. hosszúságú szövegre fix hosszúságú kimenet H(x) könnyen kiszámolható adott h=H(x)-hez nem lehet x-et kiszámolni x-hez nem lehet különböz! y-t meghatározni, hogy H(x)=H(y) 25
MD5 üzenet lenyomat Kezdeti lenyomat (konstans)
Üzenet (feltöltve) 512 bit
512 bit
…
512 bit
Transzf.
…
Transzf.
Transzf.
Üzenet lenyomat 26
Biztonságos üzenettovábbítás Technikák CBC “maradék” Digitális aláírás Kulcsos üzenet kivonat Üzenetkivonat aláírva PGP nincs tanusítási rendszer változó megbízhatóság különböz! kripto algoritmusok
---BEGIN PGP SIGNED MESSAGE--Hash: SHA1 Bob:My husband is out of town tonight.Passionately yours, Alice ---BEGIN PGP SIGNATURE--Version: PGP 5.0 Charset: noconv yhHJRHhGJGhgg/12EpJ+lo8gE4vB3mq JhFEvZP9t6n7G6m5Gw2 ---END PGP SIGNATURE---
PGP levél
27
Biztonságos üzenettovábbítás (folyt.) digitális aláírás RSA-val egész üzenet aláírása (titkosítása) privát kulccsal lassú kulcsos MD5 m+MD5(m+k) (k közös kulcs) m+MD5(m+k)+E(k,private) nyílvánoskulcsú megoldás MD5 aláírással m+E(MD5(m),private) 28
SSL/TLS Különöz! kripto algoritmusok Tanusító szervezetek Szolgáltatások tömörítés integritás védelem autentikáció titkosítás
Application (e.g., HTTP) Secure transport layer TCP IP Subnet
29
IPSec Hálózati szint" logikai csatorna a két végpont között Security Association Szolgáltatások Encapsulated Security Protocol Authentication Header Kulcs és biztonsági paramétercsere megoldások Internet Key Exchange Internet Security Association and Key management Protocol 30
Támadási folyamatok Felderítés, nyomkeresés Scannelés Kiértékelés Hozzáférés megszerzése Jogosultságok kiterjesztése Hátsó ajtók nyitása, nyomok elfedése 31
Jogosultságok kiterjesztése Puffer túlcsordulásos támadások set uid Jelszó bruteforce megszerzése Jelszó lehallgatása Shadow fájl megszerzése Kódolatlan jelszavak keresése Más rendszerek bizalmi viszonyainak kihasználása 32
Jelszavas autentikálás Jelszavak titkosságának meg!rzése “gyakori” változtatás nehezen kitalálható, megtippelhet! jelszavak érvénytelen kisérletek naplózása Jelszavak kitudódása begépelés megfigyelése Jelszó bruteforce megszerzése (szankcionálatlan kísérletezés) Jelszó lehallgatása Shadow fájl megszerzése Kódolatlan jelszavak keresése 33
Jelszavak tárolása Kódolás és sózás Tárolás
Jelszó fájl
Ellen!rzés
Kódolt jelszó
Felh. név
Felh. név Hash fv.
Felh. név
random érték Hash fv.
Jelszó
Jelszó Random érték
Összehasonlítás
OK?
34
Gyakori támadás típusok Szolgáltatás bénító támadások (DoS) Elosztott szolgáltatás bénítás (DDoS) Technikák SYN-árasztás ICMP-árasztás! Halálos ping Land támadás Teardrop támadás Er!források felemésztése (lemezterület, futó processzek száma) 35
Gyakori támadás típusok (folyt.) Hamis megszemélyesítés, jogosultság szerzés Jelszó megszerzése shoulder surfing keylogger jelszó fájl + bruteforce lehallgatás (sniffing) Hoszt azonosító hamisítása IP spoofing DNS hamisítás 36
Gyakori támadás típusok (folyt.) Sebezhet!ségek kihasználása Feltérképezés portscan TCP connect scan TCP SYN scan TCP FIN scan vulnerability scan Kártékony programok Puffer túlcsordulásos támadás Webes támadások 37
Gyakori támadás típusok (folyt.) Puffer túlcsordulásos támadás hibás input ellen!rzés verem túlcsordulás támadókód futtatása shellkód setuid bit 38
Gyakori támadás típusok Hálózati eszközök támadása osztott média LAN lehallgatása ARP mérgezés Forrás routolás Kapcsolat eltérítés Routerek támadása azonosítás default jelszavak 39
Védekezés módok Többréteg" biztonság Hozzáférés ellen!rzés Szerepkörök és biztonság Felhasználói tudatosság Fenyegetettség monitorozás Rendszerek frissítése 40
Csomagsz"rés Hozzáférés vezérl! lista Forrás, cél IP cím, Portszám Megenged! és tiltó szabályok Internet
T"zfal
Bels! hálózat
Problémák magasabb szint" támadás ellen nem véd 41
Állapotteljes csomagsz"rés Forrás és cél IP cím, Portszám TCP kapcsolat-modell Fejléc info (flagek, szekvenciaszámok) vizsgálata Problémák csak TCP kapcsolatnak van állapota alkalmazás szint" támadás ellen nem véd 42
Proxy t"zfalak Beépül a kapcsolatba Alkalmazási réteg Tartalomsz"rés Problémák teljesítmény csökkenés protokol kompatibilitás 43
T"zfal zónák T"zfal
Bels! hálózat Internet
DMZ
44
Behatolás érzékelés (IDS-ek) Behatolás a biztonsági politika rosszindulatú megsértése Behatolás érzékelés behatolással kapcsolatos események automatizált érzékelése és riasztás 45
Behatolás érzékelés (IDS-ek) Mintázat alapú detektálás Statisztikai anomália detektálás Küszöb alapú Profil alapú Mézes bödönök 46
Behatolás érzékelés (IDS-ek) Mintázat alapú detektálás korábban azonosított, ismert támadás minták kevés téves riasztás újfajta támadások érzékelése problémás
47
Behatolás érzékelés (IDS-ek) Anomália detektálás Statisztikai osztályozás normál m"ködés behatolás ~ nem szokványos m"ködés Sok téves riasztás Új fajta támadások érzékelése 48
