Part 17-A INTERNET: basisbegrippen techniek & beveiliging Fridoline van Binsbergen – Stierum KPN AUDIT vrije Universiteit amsterdam 7 April 2003
File 17-A Internet techniek & beveiliging
© 2003
FvB/VU APR/2003
Programma
PROGRAMMA • Introductie Internet • Netwerken en protocollen • Basisbegrippen TCP/IP • Internet Service Provider • Inleiding Internetbeveiliging
Internet: basisbegrippen techniek & beveiliging
2
Page 1 1
FvB/VU APR/2003
Introductie Internet
Verwachtingen Internet: Een netwerk dat goed zou kunnen functioneren, • onafhankelijk van knooppunten, • onafhankelijk van soort onderliggend netwerk, • onafhankelijk van kwaliteit onderliggend netwerk.
Internet: basisbegrippen techniek & beveiliging
3
FvB/VU APR/2003
Introductie Internet
Ontwikkeling gebruik Internet 1967: ARPA 1969: Eerste prototype 1982: NSF(National Science Foundation) net 1987: Eerste commerciële ISP: Uunet 1992: World Wide Web 2002: > 100 miljoen hosts
Internet: basisbegrippen techniek & beveiliging
4
Page 2 2
Groei gebruikers Internet
FvB/VU APR/2003
Groei Internet
Internet: basisbegrippen techniek & beveiliging
5
Internet: basisbegrippen techniek & beveiliging
FvB/VU APR/2003
• Introductie Internet: – onafhankelijk van (onderliggende) netwerken – stormachtige groei door commercie • Netwerken en netwerkprotocollen – Protocollen – Header protocol – Stapelen van netwerken – Soorten netwerkprotocollen • Basisbegrippen TCP/IP • Internet Service Provider • Inleiding internetbeveiliging
Internet: basisbegrippen techniek & beveiliging
6
Page 3 3
FvB/VU APR/2003
Netwerken
NETWERKEN
X
X X
X X
X
X
X
Internet: basisbegrippen techniek & beveiliging
7
FvB/VU APR/2003
Protocollen
PROTOCOLLEN
Logisch netwerk
7. Applicatie laag 6. Presentatie laag 5. Sessie laag 4. Transport laag 3. Netwerk laag 2. Datalink laag 1. Fysieke laag
Internet: basisbegrippen techniek & beveiliging
Fysiek netwerk
8
Page 4 4
FvB/VU APR/2003
Header protocol
TCP UDP IP
7 6 5 4 3 2 1
7 6 5 4 3 2 1
Internet: basisbegrippen techniek & beveiliging
9
FvB/VU APR/2003
Stapelen van netwerken
IP datagrammen
IP datagrammen ATM protocol netwerken SDH protocol
Internet: basisbegrippen techniek & beveiliging
10
Page 5 5
FvB/VU APR/2003
Soorten netwerkprotocollen
X
X X
X
Schakelen
Routeren
Internet: basisbegrippen techniek & beveiliging
11
Internet: basisbegrippen techniek & beveiliging
FvB/VU APR/2003
• Introductie Internet • Netwerken & protocollen: – Protocollen & header – Stapelen van netwerken – Soorten netwerkprotocollen
• Basisbegrippen TCP/IP – Internetprotocollen – IP adressen – Domain Name Server
• Internet Service Provider (ISP) • Inleiding Internetbeveiliging Internet: basisbegrippen techniek & beveiliging
12
Page 6 6
FvB/VU APR/2003
Internet protocollen
Application Application TCP TCP
UDP UDP IP IP
ICMP ICMP
Data Data Link Link Physical Physical Internet: basisbegrippen techniek & beveiliging
13
FvB/VU APR/2003
Werking router
IP ‘netwerk’
• •
•
Verzender maakt header IP datagram aan. Router leest informatie uit header IP datagram en stuurt door. Ontvanger stript header datagram.
computer/ communicatie
‘transmissie IP’
‘transmissie IP’ host/server
host/server netwerk/ transport
Verzender IP adres A
node 1
routetabel: IP C via B
Router (IP adres B)
node 2
Ontvanger IP adres C
routetabel: IP C via C
Internet: basisbegrippen techniek & beveiliging
14
Page 7 7
FvB/VU APR/2003
IP netwerk
router
Host A
ATM SDH X25 FR
Ethernet
Host B Internet: basisbegrippen techniek & beveiliging
15
FvB/VU APR/2003
Header IP-datagram
8 bits versie fragmentatie control
IP-HL
8 bits
8 bits
type service
protocol
levensduur
totale lengte van IP datagram vlag
fragment-identificatie
8 bits
fragment typering
header checksum
bron adres bestemmingsadres
opties
opvulling
Internet: basisbegrippen techniek & beveiliging
16
Page 8 8
FvB/VU APR/2003
Header ICMP-datagram
8 bits
8 bits
8 bits
8 bits
IP header ICM type
ICMP code
ICMP
ICMP checksum
ICMP data ICMP data
Internet: basisbegrippen techniek & beveiliging
17
FvB/VU APR/2003
Poorten en buffers
E-mail
FTP
Http
logische toegangspoorten source poorten
logische buffers
1:1 Verschillende OSI lagen met buffers IP adressen
modempools fysieke toegangspoorten
Internet: basisbegrippen techniek & beveiliging
18
Page 9 9
FvB/VU APR/2003
UDP-datagram
8 bits
8 bits
8 bits
8 bits
IP header bronpoort UDP
bestemmingspoort
lengte
UDP checksum UDP data
Internet: basisbegrippen techniek & beveiliging
19
FvB/VU APR/2003
TCP-datagram
8 bits
8 bits
8 bits
8 bits
IP header bestemmingspoort
bronpoort volgorde nummer IP payload
bevestigings nummer data waarde checksum
window urgentie wijzer opvulling
TCP opties TCP data
Internet: basisbegrippen techniek & beveiliging
20
Page 10 10
FvB/VU APR/2003
TCP verbinding
Internet: basisbegrippen techniek & beveiliging
Basisbegrippen TCP/IP: netwerkprotocollen
Application Application TCP TCP
UDP UDP IP IP
ICMP ICMP
21
FvB/VU APR/2003
– Werking router – IP netwerk – Header IP/ICMP – Poorten & buffers – Header UDP/TCP – TCP verbinding
Data Data Link Link Physical Physical Internet: basisbegrippen techniek & beveiliging
22
Page 11 11
FvB/VU APR/2003
IP adressen: structuur
139.
10001011
130.
204.
10000010
8
11001100
00001000
0 Klasse A 1110 Klasse D
10 Klasse B
1111 Klasse E
110 Klasse C
Internet: basisbegrippen techniek & beveiliging
23
FvB/VU APR/2003
Domain Name Server (DNS)
DNS netwerkcomputer B @kpn.com
vanderwijk @12.34.45.67
E-mail smits
@12.34.45.68
DNS
netwerkcomputer A
publieke IP adressen B Internet: basisbegrippen techniek & beveiliging
24
Page 12 12
FvB/VU APR/2003
Domeinen van domeinen
“.”
COM
BAR
ZZ
Internet: basisbegrippen techniek & beveiliging
Internet: basisbegrippen techniek & beveiliging
25
FvB/VU APR/2003
• Introductie Internet • Netwerken & -protocollen • Basisbegrippen TCP/IP – Internetprotocollen – IP adressen – Domain Name Server
• Internet Service Provider (ISP) – Toegang en topologie – Rollen en partijen
• Inleiding Internet beveiliging Internet: basisbegrippen techniek & beveiliging
26
Page 13 13
FvB/VU APR/2003
ISP en haar omgeving
Service Providers
Eindgebruiker IP Backbone OLO
ADSL access
Internet
Interconnect
Eindgebruiker
IP Backbone KPN
ADSL access
Internet Access
Service Providers
Service & Facilities Packager
Service Providers
Internet: basisbegrippen techniek & beveiliging
27
FvB/VU APR/2003
Soorten ISP SP
Access P. SP
NP
NP
SP
SP
NP
SP
Access P.
SP
NP Access P.
Access P.
SP
Access P.
NP Access P.
Internet: basisbegrippen techniek & beveiliging
28
Page 14 14
FvB/VU APR/2003
Vraagstuk ISP
• Soort klanten: eigen netwerk of inbellen • Soort diensten: beschikbaarheid versus breedte portfolio • Soort (intern) netwerk: bandbreedte versus kosten Dus: toegang en beschikbaarheid tegen zo laag mogelijke kosten
Internet: basisbegrippen techniek & beveiliging
29
FvB/VU APR/2003
Toegang netwerkklant
PoP
Netwerkklant
ISP
Klantrouter
Internet: basisbegrippen techniek & beveiliging
30
Page 15 15
FvB/VU APR/2003
Toegang inbelklant
Webserver Mail Server
NAS
PoP
Radius Server Internet
Inbelklant Internet: basisbegrippen techniek & beveiliging
31
FvB/VU APR/2003
Netwerktopologie
Internet: basisbegrippen techniek & beveiliging
32
Page 16 16
FvB/VU APR/2003
Rollen en partijen
Internet Service Provider
Service operator
Service Provider
Eind gebruiker
Netwerk Operator
Internet: basisbegrippen techniek & beveiliging
Internet: basisbegrippen techniek & beveiliging
• • • •
33
FvB/VU APR/2003
Introductie Internet Netwerken & -protocollen Basisbegrippen TCP/IP Internet Service Provider (ISP) – Toegang en topologie – Rollen en partijen
• Inleiding Internet beveiliging – Classificatie & beveiliging – Middelen & toepassing
Internet: basisbegrippen techniek & beveiliging
34
Page 17 17
FvB/VU APR/2003
Inleiding Internetbeveiliging
Publieke netwerkomgeving 1. Fysieke beveiliging - informatieserver 2. Logische beveiliging - programmatuur & gegevens 3. Beveiliging van het berichtenverkeer - payload met data 4. Beveiliging van (sub)netwerk - toegang tot informatieserver Internet: basisbegrippen techniek & beveiliging
35
FvB/VU APR/2003
Classificatie van netwerkbeveiliging
Classificatie gegevens
Fysieke maatregelen
Logische maatregelen
Beveilging van subnet
Standaard
Op de afdeling plaatsen
Geen
Packetfiltering
Vertrouwelijk
CD rom station eruit
Password
Firewall
Kritisch
Afgesloten kamer
Smart Card
Netwerktopologie plus packetfiltering plus firewall
Internet: basisbegrippen techniek & beveiliging
36
Page 18 18
FvB/VU APR/2003
Beveiligingsmatrix (sub)netwerk
Organisatorische maatregelen
Beleid
Realisatie
Doelstellingen Budgettering Eigendom & beheer Classificatie
Toedeling gegevens klassen Verantwoordelijkheden (sub) netwerken toedelen Netwerkbeheerders opleiden Gebruikers autoriseren
Technische middelen Compartimentering Netwerktopologie
Internet: basisbegrippen techniek & beveiliging
Onderscheiden van (sub) netwerken Installatie van routers, firewalls en/of IDS
37
FvB/VU APR/2003
Technische middelen
• Packetfiltering firewall (router) • Application filtering firewall • Intrusion Detection System (IDS)
Internet: basisbegrippen techniek & beveiliging
38
Page 19 19
FvB/VU APR/2003
Packetfiltering
Extranet
10
Intranet Router Standaard gegevens 11
12
Vertrouwelijke gegevens
21
22
Internet: basisbegrippen techniek & beveiliging
39
FvB/VU APR/2003
Soorten packetfiltering
•Straight packetfiltering •Stateful inspection packetfiltering •Service dependent filtering •Service independent filtering Voor-/nadelen – Weinig implementatiekosten – Weinig impact op performance router – Transparant voor gebruiker – Beperking aantal rules Internet: basisbegrippen techniek & beveiliging
40
Page 20 20
FvB/VU APR/2003
Firewall
• Proxy applicaties: network application filtering • Varianten in zwaartes, o.a. afhankelijk van installatie server • Meest zware variant: bastion host
Webserver Proxy HTTP Proxy B Extranet
Intranet
Proxy C Gateway
Internet: basisbegrippen techniek & beveiliging
41
FvB/VU APR/2003
Kenmerken bastion host
– Hardened versie van besturingssysteem – Zo beperkt mogelijke set proxy applicaties – Additionele authenticatie toegang proxy (b.v. Smart card) – Authenticatie per applicatie (proxy-) – Beperkte set gebruiksfuncties per applicatie – Beperkte set verbindingen met subnetwerk – Onafhankelijk van andere proxy – Proxy: klein, simpel programma – Non privileged mode (BS) – Geen schijftoegang, behalve bij laden Internet: basisbegrippen techniek & beveiliging
42
Page 21 21
FvB/VU APR/2003
Screened host firewall system
Extranet
Packetfiltering router
10
Standaard gegevens 11
Intranet: één subnetwerk
12
Bastion host 20
Vertrouwelijke gegevens
21
22
Internet: basisbegrippen techniek & beveiliging
43
FvB/VU APR/2003
Dual homed bastion host configuration
Extranet
Packetfiltering Router
10
Vertrouwelijke gegevens
20 Bastion Host
11
Intranet: één subnetwerk
12
Kritische gegevens
21
22
Internet: basisbegrippen techniek & beveiliging
44
Page 22 22
FvB/VU APR/2003
Demilitarized Zone (DMZ)
Extranet
10 Packetfiltering router
Intranet: subnet DMZ Vertrouwelijke gegevens
20
Bastion Host
11
12
30
Subnet kritisch deel Kritische gegevens
Packetfiltering router 21
22
Internet: basisbegrippen techniek & beveiliging
45
FvB/VU APR/2003
Intrusion Detection System Gedragsmonitoring
Aanvulling op (al dan niet) logische toegangsbeveiliging, gericht op herkenning ongewenst gedrag • Patroonherkenning (anomalie) óf • Focus op gedefinieerd ongewenst gedrag (misuse intrusion)
Internet: basisbegrippen techniek & beveiliging
46
Page 23 23
FvB/VU APR/2003
Voorwaarden IDS
– – – – – –
Permanent draaien Onafhankelijk van overige programmatuur Bestand tegen subversieve acties Minimale belasting performance (overhead) Flexibele configuratie Adaptief vermogen
Internet: basisbegrippen techniek & beveiliging
47
Beveiliging van berichtenverkeer
FvB/VU APR/2003
Beveiliging van netwerk: knooppunten • toegang • topologie • technische middelen Beveiliging van berichten: verkeer tussen knooppunten • gevaar van afluisteren • encryptie: versleutelen van berichten met algoritmes • kwaliteit sleutelbeheer op knooppunten
Internet: basisbegrippen techniek & beveiliging
48
Page 24 24
FvB/VU APR/2003
Conclusie internetbeveiliging
Internetbeveiliging moet bestaan uit een afgewogen mix van: 1. fysieke beveiliging, 2. logische beveiliging, 3. netwerktopologie, 4. compartimentering, 5. beveiliging van berichtenverkeer, 6. gedragsmonitoring. Dit alles afgestemd op de classificatie van de beveiligen gegevens.
Internet: basisbegrippen techniek & beveiliging
49
FvB/VU APR/2003
Afronding programma
• Introductie Internet • Netwerken & -protocollen • Basisbegrippen TCP/IP • Internet Service Provider (ISP) – Toegang en topologie – Rollen en partijen • Inleiding Internet beveiliging – Classificatie & beveiliging – Middelen & toepassing Internet: basisbegrippen techniek & beveiliging
50
Page 25 25