Part 17-A INTERNET: basisbegrippen techniek & beveiliging

Part 17-A INTERNET: basisbegrippen techniek & beveiliging Fridoline van Binsbergen – Stierum KPN AUDIT vrije Universiteit amsterdam 7 April 2003

File 17-A Internet techniek & beveiliging

© 2003

FvB/VU APR/2003

Programma

PROGRAMMA • Introductie Internet • Netwerken en protocollen • Basisbegrippen TCP/IP • Internet Service Provider • Inleiding Internetbeveiliging

Internet: basisbegrippen techniek & beveiliging

2

Page 1 1

FvB/VU APR/2003

Introductie Internet

Verwachtingen Internet: Een netwerk dat goed zou kunnen functioneren, • onafhankelijk van knooppunten, • onafhankelijk van soort onderliggend netwerk, • onafhankelijk van kwaliteit onderliggend netwerk.


3

FvB/VU APR/2003

Introductie Internet

Ontwikkeling gebruik Internet 1967: ARPA 1969: Eerste prototype 1982: NSF(National Science Foundation) net 1987: Eerste commerciële ISP: Uunet 1992: World Wide Web 2002: > 100 miljoen hosts


4

Page 2 2

Groei gebruikers Internet

FvB/VU APR/2003

Groei Internet


5


FvB/VU APR/2003

• Introductie Internet: – onafhankelijk van (onderliggende) netwerken – stormachtige groei door commercie • Netwerken en netwerkprotocollen – Protocollen – Header protocol – Stapelen van netwerken – Soorten netwerkprotocollen • Basisbegrippen TCP/IP • Internet Service Provider • Inleiding internetbeveiliging


6

Page 3 3

FvB/VU APR/2003

Netwerken

NETWERKEN

X

X X

X X

X

X

X


7

FvB/VU APR/2003

Protocollen

PROTOCOLLEN

Logisch netwerk

7. Applicatie laag 6. Presentatie laag 5. Sessie laag 4. Transport laag 3. Netwerk laag 2. Datalink laag 1. Fysieke laag


Fysiek netwerk

8

Page 4 4

FvB/VU APR/2003

Header protocol

TCP UDP IP

7 6 5 4 3 2 1

7 6 5 4 3 2 1


9

FvB/VU APR/2003

Stapelen van netwerken

IP datagrammen

IP datagrammen ATM protocol netwerken SDH protocol


10

Page 5 5

FvB/VU APR/2003

Soorten netwerkprotocollen

X

X X

X

Schakelen

Routeren


11


FvB/VU APR/2003

• Introductie Internet • Netwerken & protocollen: – Protocollen & header – Stapelen van netwerken – Soorten netwerkprotocollen

• Basisbegrippen TCP/IP – Internetprotocollen – IP adressen – Domain Name Server

• Internet Service Provider (ISP) • Inleiding Internetbeveiliging Internet: basisbegrippen techniek & beveiliging

12

Page 6 6

FvB/VU APR/2003

Internet protocollen

Application Application TCP TCP

UDP UDP IP IP

ICMP ICMP

Data Data Link Link Physical Physical Internet: basisbegrippen techniek & beveiliging

13

FvB/VU APR/2003

Werking router

IP ‘netwerk’

• •

•

Verzender maakt header IP datagram aan. Router leest informatie uit header IP datagram en stuurt door. Ontvanger stript header datagram.

computer/ communicatie

‘transmissie IP’

‘transmissie IP’ host/server

host/server netwerk/ transport

Verzender IP adres A

node 1

routetabel: IP C via B

Router (IP adres B)

node 2

Ontvanger IP adres C

routetabel: IP C via C


14

Page 7 7

FvB/VU APR/2003

IP netwerk

router

Host A

ATM SDH X25 FR

Ethernet

Host B Internet: basisbegrippen techniek & beveiliging

15

FvB/VU APR/2003

Header IP-datagram

8 bits versie fragmentatie control

IP-HL

8 bits

8 bits

type service

protocol

levensduur

totale lengte van IP datagram vlag

fragment-identificatie

8 bits

fragment typering

header checksum

bron adres bestemmingsadres

opties

opvulling


16

Page 8 8

FvB/VU APR/2003

Header ICMP-datagram

8 bits

8 bits

8 bits

8 bits

IP header ICM type

ICMP code

ICMP

ICMP checksum

ICMP data ICMP data


17

FvB/VU APR/2003

Poorten en buffers

E-mail

FTP

Http

logische toegangspoorten source poorten

logische buffers

1:1 Verschillende OSI lagen met buffers IP adressen

modempools fysieke toegangspoorten


18

Page 9 9

FvB/VU APR/2003

UDP-datagram

8 bits

8 bits

8 bits

8 bits

IP header bronpoort UDP

bestemmingspoort

lengte

UDP checksum UDP data


19

FvB/VU APR/2003

TCP-datagram

8 bits

8 bits

8 bits

8 bits

IP header bestemmingspoort

bronpoort volgorde nummer IP payload

bevestigings nummer data waarde checksum

window urgentie wijzer opvulling

TCP opties TCP data


20

Page 10 10

FvB/VU APR/2003

TCP verbinding


Basisbegrippen TCP/IP: netwerkprotocollen

Application Application TCP TCP

UDP UDP IP IP

ICMP ICMP

21

FvB/VU APR/2003

– Werking router – IP netwerk – Header IP/ICMP – Poorten & buffers – Header UDP/TCP – TCP verbinding

Data Data Link Link Physical Physical Internet: basisbegrippen techniek & beveiliging

22

Page 11 11

FvB/VU APR/2003

IP adressen: structuur

139.

10001011

130.

204.

10000010

8

11001100

00001000

0 Klasse A 1110 Klasse D

10 Klasse B

1111 Klasse E

110 Klasse C


23

FvB/VU APR/2003

Domain Name Server (DNS)

DNS netwerkcomputer B @kpn.com

vanderwijk @12.34.45.67

E-mail smits

@12.34.45.68

DNS

netwerkcomputer A

publieke IP adressen B Internet: basisbegrippen techniek & beveiliging

24

Page 12 12

FvB/VU APR/2003

Domeinen van domeinen

“.”

COM

BAR

ZZ



25

FvB/VU APR/2003

• Introductie Internet • Netwerken & -protocollen • Basisbegrippen TCP/IP – Internetprotocollen – IP adressen – Domain Name Server

• Internet Service Provider (ISP) – Toegang en topologie – Rollen en partijen

• Inleiding Internet beveiliging Internet: basisbegrippen techniek & beveiliging

26

Page 13 13

FvB/VU APR/2003

ISP en haar omgeving

Service Providers

Eindgebruiker IP Backbone OLO

ADSL access

Internet

Interconnect

Eindgebruiker

IP Backbone KPN

ADSL access

Internet Access

Service Providers

Service & Facilities Packager

Service Providers


27

FvB/VU APR/2003

Soorten ISP SP

Access P. SP

NP

NP

SP

SP

NP

SP

Access P.

SP

NP Access P.

Access P.

SP

Access P.

NP Access P.


28

Page 14 14

FvB/VU APR/2003

Vraagstuk ISP

• Soort klanten: eigen netwerk of inbellen • Soort diensten: beschikbaarheid versus breedte portfolio • Soort (intern) netwerk: bandbreedte versus kosten Dus: toegang en beschikbaarheid tegen zo laag mogelijke kosten


29

FvB/VU APR/2003

Toegang netwerkklant

PoP

Netwerkklant

ISP

Klantrouter


30

Page 15 15

FvB/VU APR/2003

Toegang inbelklant

Webserver Mail Server

NAS

PoP

Radius Server Internet

Inbelklant Internet: basisbegrippen techniek & beveiliging

31

FvB/VU APR/2003

Netwerktopologie


32

Page 16 16

FvB/VU APR/2003

Rollen en partijen

Internet Service Provider

Service operator

Service Provider

Eind gebruiker

Netwerk Operator



• • • •

33

FvB/VU APR/2003

Introductie Internet Netwerken & -protocollen Basisbegrippen TCP/IP Internet Service Provider (ISP) – Toegang en topologie – Rollen en partijen

• Inleiding Internet beveiliging – Classificatie & beveiliging – Middelen & toepassing


34

Page 17 17

FvB/VU APR/2003

Inleiding Internetbeveiliging

Publieke netwerkomgeving 1. Fysieke beveiliging - informatieserver 2. Logische beveiliging - programmatuur & gegevens 3. Beveiliging van het berichtenverkeer - payload met data 4. Beveiliging van (sub)netwerk - toegang tot informatieserver Internet: basisbegrippen techniek & beveiliging

35

FvB/VU APR/2003

Classificatie van netwerkbeveiliging

Classificatie gegevens

Fysieke maatregelen

Logische maatregelen

Beveilging van subnet

Standaard

Op de afdeling plaatsen

Geen

Packetfiltering

Vertrouwelijk

CD rom station eruit

Password

Firewall

Kritisch

Afgesloten kamer

Smart Card

Netwerktopologie plus packetfiltering plus firewall


36

Page 18 18

FvB/VU APR/2003

Beveiligingsmatrix (sub)netwerk

Organisatorische maatregelen

Beleid

Realisatie

Doelstellingen Budgettering Eigendom & beheer Classificatie

Toedeling gegevens klassen Verantwoordelijkheden (sub) netwerken toedelen Netwerkbeheerders opleiden Gebruikers autoriseren

Technische middelen Compartimentering Netwerktopologie


Onderscheiden van (sub) netwerken Installatie van routers, firewalls en/of IDS

37

FvB/VU APR/2003

Technische middelen

• Packetfiltering firewall (router) • Application filtering firewall • Intrusion Detection System (IDS)


38

Page 19 19

FvB/VU APR/2003

Packetfiltering

Extranet

10

Intranet Router Standaard gegevens 11

12

Vertrouwelijke gegevens

21

22


39

FvB/VU APR/2003

Soorten packetfiltering

•Straight packetfiltering •Stateful inspection packetfiltering •Service dependent filtering •Service independent filtering Voor-/nadelen – Weinig implementatiekosten – Weinig impact op performance router – Transparant voor gebruiker – Beperking aantal rules Internet: basisbegrippen techniek & beveiliging

40

Page 20 20

FvB/VU APR/2003

Firewall

• Proxy applicaties: network application filtering • Varianten in zwaartes, o.a. afhankelijk van installatie server • Meest zware variant: bastion host

Webserver Proxy HTTP Proxy B Extranet

Intranet

Proxy C Gateway


41

FvB/VU APR/2003

Kenmerken bastion host

– Hardened versie van besturingssysteem – Zo beperkt mogelijke set proxy applicaties – Additionele authenticatie toegang proxy (b.v. Smart card) – Authenticatie per applicatie (proxy-) – Beperkte set gebruiksfuncties per applicatie – Beperkte set verbindingen met subnetwerk – Onafhankelijk van andere proxy – Proxy: klein, simpel programma – Non privileged mode (BS) – Geen schijftoegang, behalve bij laden Internet: basisbegrippen techniek & beveiliging

42

Page 21 21

FvB/VU APR/2003

Screened host firewall system

Extranet

Packetfiltering router

10

Standaard gegevens 11

Intranet: één subnetwerk

12

Bastion host 20


21

22


43

FvB/VU APR/2003

Dual homed bastion host configuration

Extranet

Packetfiltering Router

10


20 Bastion Host

11

Intranet: één subnetwerk

12

Kritische gegevens

21

22


44

Page 22 22

FvB/VU APR/2003

Demilitarized Zone (DMZ)

Extranet

10 Packetfiltering router

Intranet: subnet DMZ Vertrouwelijke gegevens

20

Bastion Host

11

12

30

Subnet kritisch deel Kritische gegevens

Packetfiltering router 21

22


45

FvB/VU APR/2003

Intrusion Detection System Gedragsmonitoring

Aanvulling op (al dan niet) logische toegangsbeveiliging, gericht op herkenning ongewenst gedrag • Patroonherkenning (anomalie) óf • Focus op gedefinieerd ongewenst gedrag (misuse intrusion)


46

Page 23 23

FvB/VU APR/2003

Voorwaarden IDS

– – – – – –

Permanent draaien Onafhankelijk van overige programmatuur Bestand tegen subversieve acties Minimale belasting performance (overhead) Flexibele configuratie Adaptief vermogen


47

Beveiliging van berichtenverkeer

FvB/VU APR/2003

Beveiliging van netwerk: knooppunten • toegang • topologie • technische middelen Beveiliging van berichten: verkeer tussen knooppunten • gevaar van afluisteren • encryptie: versleutelen van berichten met algoritmes • kwaliteit sleutelbeheer op knooppunten


48

Page 24 24

FvB/VU APR/2003

Conclusie internetbeveiliging

Internetbeveiliging moet bestaan uit een afgewogen mix van: 1. fysieke beveiliging, 2. logische beveiliging, 3. netwerktopologie, 4. compartimentering, 5. beveiliging van berichtenverkeer, 6. gedragsmonitoring. Dit alles afgestemd op de classificatie van de beveiligen gegevens.


49

FvB/VU APR/2003

Afronding programma

• Introductie Internet • Netwerken & -protocollen • Basisbegrippen TCP/IP • Internet Service Provider (ISP) – Toegang en topologie – Rollen en partijen • Inleiding Internet beveiliging – Classificatie & beveiliging – Middelen & toepassing Internet: basisbegrippen techniek & beveiliging

50

Page 25 25

Part 17-A INTERNET: basisbegrippen techniek & beveiliging

Recommend Documents