Josef J. Horálek, Soňa Neradová IPS1 - Přednáška č.11

Transkript

1 Přednáška č.11

2 Virtuální LAN sítě Virtuální privátní sítě Typy VPN sítí VPN protokoly Bezpečnostní zásady Bezdrátové sítě a bezpečnost Nástroje pro ochranu otevřených sítí

3 Virtuální sítě se objevují v první polovině devadesátých let v souvislosti se zaváděním moderním přepínacích technologií. Přepínače (viz. předchozí přenášky) umožňují připojit více uživatelů, segmentovat jednotlivé části sítě atd. pro dosažení vyššího výkonu. Virtuální LAN sítě bychom mohli definovat jako logický segment LAN sítě. Jedná se o kombinované SW a HW řešení (v závislosti na typu VLAN sítě). Pro spojení VLAN sítí je třeba využít směrovač

4

5 Tyto sítě bychom dle jejich topologie mohli rozdělit dle: o portů o MAC adres uzlů o síťového protokolu nebo síťových adres uzlů o skupinového IP vysílání VLAN sítě nedoznaly zásadního rozšíření o výhodou je redukce všesměrového vysílání a logická segmentace jednotlivých sítí o v praxi jsou využívány spíše v enterprise řešeních než malých sítích

6 VPN je privátní síť, vybudovaná v rámci veřejné síťové infrastruktury, jakou je např. globální Internet. Privátní sítě můžeme rozdělit na dvě základní skupiny. o plně privátní sítě většinou spojovány s technologiemi WAN o umožňují vytvořit spojení na základě technologií X.25, ATM, FRAMERELAY pro rozsáhlé sítě o nevýhodou bývá nákladné pořízení o výhodou stálost a následná údržba pronajatých linek

7 Virtuální privátní sítě nejčastěji spojovány s INTERNETEM o využívají veřejné síťové infrastruktury pro snížení nákladů o je nutné zajistit bezpečnost v otevřené síti o jedná se o otevřený systém umožňující svobodně připojovat prakticky kohokoliv o nutné vyřešit problém přechodu přes různé síťové topologie a protokoly o existuje větší množství protokolů a způsobů, jak vytvořit virtuální privátní síť o různé protokoly spolu však nemusí vždy spolupracovat (viz. PPTP protokol) o ne každý provider umožňuje využít libovolný protokol pro tvorbu virtuální privátní sítě

8 V počítačových síti využívající veřejných služeb Internetu pro vytvoření virtuální privátní sítě rozeznáváme tři základní typy sítí VPN pro vzdálený přístup o zajišťuje bezpečné připojení jednotlivých uživatelů k síťovým službám o na vzdáleném počítači je nainstalován klient VPN o příkladem může být komutovaný způsob spojení a realizace sítě pomocí VPDN (Virtual Private Dial-up Network) o uživatel platí za spojení pouze místnímu poskytovateli a realizuje tak úsporu vytvoření virtuální sítě přes Internet

9 Intranetová VPN o aktivní a trvale připojený druh virtuální sítě o využívá se pro spojení poboček nebo vytvoření podnikové sítě o často postaven na HW VPN aktivních síťových prvcích Extranetová VPN o nejčastějším cílem je zajištění bezpečného spojení pro zajištění e-komerce a spojených služeb o jedná se o rozšíření intranetových VPN sítí o poskytují vzájemné a bezpečné propojení informačních systémů

10

11 Základní principy a implementace VPN sítí jsou značně různorodé. Neexistuje jednotný a jednoznačný přístup tvorby VPN. Virtuální privátní sítě zahrnují problematiku. o autentizace a integrity dat o tunelování dat o přenášený (původní protokol) IP, IPX, NETBEUI o obalový (zapouzdřovací) protokol GRE, IPSec, L2F, PPTP, L2TP o nosný protokol o šifrování často prováděno obalovým protokolem (např. IPSec) o ochranu relací

12 Nejznámějšími protokoly pro VPN jsou: o VLAN (VPN) linkové vrstvy o VPN síťové vrstvy o PPTP, L2TP, IPSec, GRE o VPN aplikační vrstvy o SSL (TLS) o Existuje mnoho dělení v extrémním případě můžeme považovat za VPN jakékoliv virtualizované či tunelové spojení (SSH) Mezi zásadní výhody VPN sítí můžeme řadit: o úsporu nákladů o vzdálený přístup o zabezpečení komunikace o zjednodušení topologie sítě o mobilní přístup k síťovým prostředkům

13 Realizace VPN sítě může být provedena různými způsoby. Cisco ve svých publikacích rozděluje komponenty na níže uvedené: o firewall základní bezpečnostní prvek, který by měl podporovat VPN sítě, respektive protokoly o směrovače s podporou VPN obvykle vhodné pro menší až střední sítě (rozšiřují funkce běžného směrovače) o koncentrátor sítě VPN vytvořeny specielně pro VPN sítě a vzdálený přístup uživatelů (mohou obsloužit i desetitisíce uživatelů) o klientský software podporuje konkrétní VPN protokoly a operační systémy

14 Dále je třeba zvážit následující faktory: o škálovatelnost zvolená architektura musí odpovídat informační strategii organizace a umožnit její růst v budoucnosti o ovladatelnost požadavek na efektivní a vzdálenou správu VPN sítě o spolehlivost kritický faktor každé sítě

15 PPTP (Point to Point Tunneling Protocol) byl vyvinut sdružením firem Ascend, Microsoft, 3COM, ECI Telematics a U.S. Robotics. Protokol pracuje na druhé vrstvě dle referenčního modelu OSI. Rozšiřuje možnosti původní protokolu PPP. Umožňuje připojení pomocí komutovaného připojení přes veřejnou síť Internet. Základní funkce protokolu PPTP: o přebírá data z paketů PPP a dále je zapouzdřuje o pomocí PPP se připojí do sítě poskytovatele o klient PPTP nad TCP portem 1723 vytváří řídící spojení

16 o v rámci tohoto spojení je zaveden zabezpečený tunel o pro udržování a řízení spojení se využívá protokol PPP o autentizace vychází z protokolu CHAP (CHallenge Handshake Authentication Protocol) nebo PAP (Password Authentication Protocol) Jedná se o stále rozšířený protokol podporovaný firmou Microsoft VPN server využívající PPTP je možné vybudovat na platformě Windows i Linux případně na HW bázi (například Cisco) Používá se spíše pro komunikace mezi klientem a serverem než mezi VPN servery, respektive sítěmi

17 Architektura PPTP má více omezení PPTP například nespecifikuje konkrétní způsob autentizace či šifrování dat Může docházet k problematické komunikaci v rámci nasazení VPN V odborném tisku je kritizován z důvodu nižší bezpečnosti a určitým chybám v návrhu samotného protokolu Považuje se za starší a v mnoha ohledech již překonaný protokol Díky podpoře Microsoft jej však můžeme naleznout prakticky v každém systému Windows

18 L2TP (Layer 2 Tunneling Protocol) rozšiřuje PPTP protokol, je standardizován v RFC Vyvinut firmami Cisco a Microsoft převzato to nejlepší z protokolů PPTP (Microsoft) a L2F (Cisco). Dvě nejdůležitější části protokolu. o LAC (L2TP Access Concentrator) o LNS (L2TP Network Server) zakončuje či autentizuje datový proud PPP L2TP má s PPT mnoho společných vlastností, hlavní rozdíly jsou: o šifrování se zahajuje již před procesem spojení přes PPP o využívá algoritmus DES či 3DES o dochází k autentizaci počítače a nejen uživatele

19 Výhody L2TP o lépe standardizován o za šifrování odpovídá silný protokol IPSec o podporuje víceprotokolová prostředí, přenáší libovolný směrovaný protokol o podporuje přenosové technologie WAN (Frame relay, ATM, X.25 či Sonet) na úrovni LAN přechází nad Ethernetem, Token Ringem nebo FDDI GRE (General Routing Encapsulation) protokol obecného zapouzdření sloužící pro komunikaci a vzdálený přístup je podporován L2TP GRE nevyžaduje pro přenos IP protokol

20

21 SSH (Secure Shell) je klient/server protokol v síti TCP/IP umožňující bezpečnou komunikaci, pracuje na portu TCP/22. Protokol vyvinul v roce 1995 Tatu Ylönen. Používán jako název přenosového (síťového) protokolu i jako název programu zprostředkovávající spojení. Data jsou přenášena mezi dvěma počítači přes nebezpečnou vnější síť vždy šifrovaně a volitelně s použitou kompresí. Ve skutečnosti se nejedná o shell ve smyslu interpret příkazů. Název byl odvozen z existujícího programu rsh, který má podobné funkce, ale není zabezpečený.

22 SSH je používáno jako bezpečná náhrada starších protokolů a nabízí i nové vlastnosti: o náhrada protokolu TELNET, práce na vzdáleném počítači přes nezabezpečenou síť o náhrada protokolu RLOGIN, přihlášení na vzdálený počítač o náhrada protokolu RSH, spouštění příkazů na vzdáleném počítači o tunelování spojení o přesměrování TCP portů a X11 spojení zabezpečeným kanálem o bezpečný přenos souborů pomocí SFTP nebo SCP o nevyžaduje pro přenos IP protokol.

23 IP security je zásadním protokolem v rámci budování zabezpečené infrastruktury v otevřené počítačové síti. IPsec podporuje oba současné standardy IP protokolu IPv4 a IPv6. IPSec zabezpečuje důležité služby o ochranu proti změně či záměně paketů, respektive detekci duplicitních paketů o umožňuje využívat kryptografické metody pro zabezpečení paketů o skryt před uživateli a před prvky zajišťující komunikaci v Internetu o architektura je navržena nezávisle na kryptovacím algoritmu

24 IPSec může být implementován v koncové stanici (hostu) bezpečnostní bráně tento přístup zjednodušuje bezpečnostní architekturu. Protokol IPSec má dva základní režimy šifrování: o tunelovací režim o propojení bezpečnostních bran přes nedůvěryhodnou síť o během přenosu chráněn a zapouzdřen celý IP paket o režim spolupráce s protokoly ESP a AH o přenosový režim o využíváno zpravidla ve spojení s protokolem L2TP o autentizace vzdálených klientů VPN pod Windows

25

26 Protokoly IPSec utváří systém bezpečnostních standardů o ISAKMP (Internet Security Association and Key Management Protocol) o popisuje fázi dohody IPSec o spojení o protokol Oakley zajišťuje výměnu autentizovaného klíče o klíčová metoda může být provozována na základě speciálních algoritmů (Diffie-Hellman) o součástí je standard IKE (Internet Key Exchange) bezpečnostní parametry

27 o ESP (Encapsulating Security Payload) o zajišťuje důvěrnost a ochranu dat s volitelnými službami autentizace a detekce opakování relace o komunikuje na základě TCP s porty 50 a 51 o AH (Authentification Header) o zajišťuje autentizaci a volitelně poskytuje ochranu proti opakování relace o AH hlavička se vkládá přímo do chráněných dat o použití samostatně nebo ve spojení s překonaným ESP SA (Bezpečnostní Asociace) zavádí důvěryhodný vztah mezi dvěma partnerskými zařízeními a koncovými body VPN sítě

28 Počítačové sítě jsou ze svého principu velmi zranitelné V síti umožňuje strategické využití dat, informací a znalostí v organizaci. Základním principem je přístup "Vše má hodnotu. Nejdůležitější bezpečnostní prvky tak, jak je navrhují přední odborníci firmy CISCO, jsou: o rizika a typický útok o bezpečnostní zásady o bezpečnostní technologie o bezpečnostní protokoly o firewall v síti o zabezpečení na síťové úrovni o bezpečnost bezdrátových sítí o detekce průniku o komplexní nástroje pro ochranu sítí

29 Útok můžeme rozdělit na dvě základní kategorie: o náhodný o cílený Získat přístup do systému otevřené počítačové sítě obecně probíhá v následujících krocích: o obhlídka a průzkum terénu (DNS, IP adresy, služby, řízení přístupu, firewall, detekční systémy, typy protokolů, typy spojení, mail, VPN, databáze,...) o sledování cíle (skenování portů a provozu sítě či identifikace serverů)

30 o soupis prostředí (utvoření komplexního sítě a objevení zranitelných míst) o získání přístupu (operační systém, aplikace, dekonfigurace, skriptový útok) o rozšíření oprávnění o vytvoření backdoor a zahlazení stop (skrytí své činnosti před administrátorem) Organizace pro bezpečnost sítí (CERT, SANS, CIS, SCORE, Internet Storm Center, ICAT, Security Focus...)

31 Odepření služeb (snaha dostat oběť do poruchového stavu například záplavou paketů s příznakem SYN, zaplavení UDP pakety...). Skenování portů (cílem je získat přehled o službách v síti, viz. přednáška o transportní vrstvě). Ping útoky (změna velikosti ping paketů, zasílání požadavků pro zisk IP adresy cíle). Falšování IP adres (snaha tvářit se jako legální člen sítě využívá vztahu důvěryhodnosti mezi serverem a klientem).

32 Java/ActiveX/ZIP/EXE útoky (aplety či komponenty ActiveX umožňující spustit nebezpečný útok). Záplava ICMP paketů (změna chování sítě různými typy ICMP zpráv). Směrovací útoky. Odposlech paketů. Defragmentace paketů. Hrubá síla a mnoho dalších.

33 Zásady zabezpečení znamenají jednoznačnou definici bezpečnostní politiky organizace. Bezpečnostní zásady je možné definovat na různých úrovních, které musí odpovídat informační strategii organizace a pokrývat svým zabezpečením veškeré informační potřeby organizace. Typicky můžeme definovat bezpečnostní zásady na Windows 2003 Server v řadiči domény ACTIVE DIRECTORY promítají platnou bezpečnostní politiku. Zásady zabezpečení zahrnují: o definice bezpečného chování a způsob práce v síti o kodifikace postihu za porušení pravidel

34 o definice role a zásady jednotlivých skupin o napomáhání při případném právním řešení problému o vymezení nástroje a techniky zabezpečující síť o jednoznačná deklarace odpovědné osoby o dokumentace a zveřejnění zásad

35 Bezpečnostní technologie jsou prostředkem konkrétních bezpečnostních zásad organizace. Moderní bezpečnostní technologie otevřených počítačových sítí musí zabezpečit níže uvedené potřeby: o vrstvenou bezpečnost o řízení přístupu o zabezpečení podle konkrétní role o uvědomění uživatelů o monitoring aktivit v síti o aktualizaci systémů o ochranu dat a systémů v síti

36

37 Datový přenos v TCP/IP sítích je realizován pomocí paketových přenosů. Paketové filtry jsou jedním z možných přístupů k obraně sítě rozvíjejí se v podstatě od počátku Internetu. Nejznámějšími zástupci těchto technologií jsou ACL & SPI. ACL znamená filtrování paketů na základě kontrolních seznamů. o provádí kontrolu paketu dle stanovených pravidel o povolí nebo zamezí průchod paketu o paket nese celou řadu informací (viz. přednáška o síťové vrstvě), které je možné využít pro ochranu sítě

38 o standardní přístupové seznamy se orientují jen na IP adresu o zajišťuje obranu přímo na síťové vrstvě SPI znamená stavovou inspekci paketů. o pracuje většinou jako součást firewallu umístěném zpravidla za směrovačem o každý paket je kontrolován dle soustavy definovaných pravidel o informace se porovnávají se stavovou tabulkou obsahující záznamy pro každé spojení o v případě povolení umožňuje průchod pravidel již dle stavu propojení o jedná se o efektivnější mechanizmus než běžné filtrování paketů

39 Princip fungování NAT (viz. přednáška) jako vedlejší produkt své činnosti zajišťuje dodatečné možnosti zabezpečení pro počítačové sítě. Bezpečnostní prvky překladu adres zajišťují obranu sítě proti: o mapování topologie sítě a zjišťování informací o konektivitě o zjištění počtu provozovaných systémů v síti o zjištění typu provozovaných počítačů a jejich operačních systémů o útokům zaměřeným na odepření služeb o NAT obvykle umístěn za firewallem

40 Proxy zajišťuje ochranu na aplikační úrovni. o součást moderního firewallu, respektive proxy serveru o umožňuje nastavit a sledovat pravidla až do nejvyšší úrovně síťové aplikační vrstvy o mohou se vyhledávat a definovat dle přesnějších pravidel o poskytují rozšířenou ochranu sítě o základními typy o standardní proxy firewall (neprovádí směrování, pouze pracuje nad nižšími protokoly) o dynamický proxy firewall (provádí navíc úplnou inspekci paketů) o nevýhodou bývá pomalejší činnost či aktuálnost pravidel a kompatibilita

41 Infrastruktura veřejného klíče PKI o souvisí s rozvojem počítačových sítí pro e-komerce o 3DES či SSL (Secure Socket Layer) bitovou délku mají větší než je 32 bit. délka IP adresy o technologie jejímž cíle je vytvořit základy systému podporující různé bezpečnostní služby o jedná se o kombinaci HW, SW, pracovních postupů a zásad využívání o zajišťuje autentizaci komunikace v otevřené síti

42 Technologie AAA o současná technologie zajišťující ochranu služeb a komunikace v otevřených počítačových sítích. o AAA zajišťuje: o autentizaci zajištění skutečné identity klienta o autorizaci implementace bezpečnostních zásad (definuje privilegia) o účtování shromažďuje informace o účtech a proběhlých relacích o konfigurace AAA mechanizmů provádí konkrétní server prostřednictvím protokolů RADIUS či TACAS

43 Bezpečnostní protokol zabezpečuje datovou komunikaci v síti pomocí šifrování datového přenosu. Konkrétní bezpečnostní technologie, respektive problematiku komplexní bezpečnostní strategie zahrnuje předmět OBDAI. Pro zabezpečení otevřených počítačových sítí se často používají níže uvedené bezpečnostní protokoly. o DES o přijat v roce 1976 úřadem NIST ve spolupráci s NSA o využívá 56 bitových klíčů o v současnosti překonaný bezp. protokol o 3DES o rozšíření původního protokolu DES o trojité šifrování prolomení šifry je však 5*1033 krát složitější o velmi silná šifra

44 o MD5 o algoritmus otisku zprávy MD5 o hašovací algoritmus (nešifruje data, vytváří jejich otisk) o data jsou transformována do otisku, který je klíčem k bezpečnosti MD5 o PPTP zabezpečení komunikace skrze veřejné sítě (viz. VPN) o L2TP -//- o PPTP -//- o SSH zajišťuje zabezpečení vzdálené přihlášení k počítačem (bezpečnější než TELNET) o...

45 Firewall je ochranný systém počítačové sítě. Vytváří ochranou zeď mezi jednotlivými částmi otevřené sítě. Může oddělovat veřejnou síť od privátní nebo také využít demilitarizovanou zónu v rámci počítačové sítě určité organizace. Demilitarizovaná zóna zajišťuje komplexnější řešení informační bezpečnosti v organizaci. DMZ umožňuje vystavit servery do zón se speciálními pravidly, zpravidla na hranici mezi internetem a lokální sítí.

46 Firewall může nabývat mnoha podob a řešení, mezi obvyklé činnosti řadíme: o blokování síťového provozu dle zdroje nebo cíle o blokování síťového provozu dle obsahu o management síťového provozu o definici pravidel komunikace v síti o povolení vybraných spojů například v rámci VPN sítí

47

48 V rámci zabezpečení na síťové vrstvě hrají v otevřených sítích velmi důležitou roli směrovače. Zabezpečením směrovače můžeme zvýšit bezpečnost celé sítě: o blokováním nežádoucích směrovacích informací o zastavení směrování v případě útoku o snížení zatížení sítě a dalších bezpečnostních systémů v sítí prvotní kontrolou na síťové vrstvě o omezením datových toků mezi konkrétními sítěmi Další nespornou výhodou je zvýšení výkonnosti celé sítě díky definici pravidel.

49 Níže uvedené příklad definuje konkrétní omezení provozu: o doručení pošty pouze na konkrétní server o přenosy FTP na určitou IP adresu o DNS dotazy jsou směrovány na konkrétní adresu o využití pouze některých ICMP dotazů o selekce portů v určeném směru o ostatní provoz je samozřejmě zakázán Zabezpečení na úrovni směrovačů má určitá omezení o jedná se spíše a první úroveň rozsáhlého bezpečnostního systému o odrazuje první jednoduché útoky vedené v nižších vrstvách o hlavním omezením kvalitní útok vedený ve vyšších vrstvách

50

51 Bezdrátové sítě jsou v poslední době poměrně módní záležitostí. Přinášejí velké množství výhod: o úsporu nákladů o mobilitu klientů v rámci organizace o rozvoj veřejných sítí, Bezdrátové sítě pracují převážně na standardu IEE (Wi-Fi) a jeho variantách. Největším problémem bezdrátových sítí je jejich bezpečnost. Nejčastější typy útoků: o WarChalking znamená mapování a označení míst úrovně zabezpečení či možného přístupu o WarDriving automatizované hledání bezdrátových sítí pomocí dopravních prostředků

52 o WarFlying nepříliš používaná metoda útoku za letu o WarSpaming využití nezabezpečené bezdrátové sítě pro spamming o WarSpying útok na kamerové a multimediální přenosové technologie (často na technologii X10) Nejvážnější hrozby zahrnují: o odposlech o DoS (Denial of Service) útoky o pirátské přístupové body o neznalost hrozeb a správné konfigurace bezdrátové sítě

53 Rizikový provoz bezdrátových sítí vyžaduje nutné bezpečnostní protiopatření. Mezi základní technologie a přístupy patří: o maskování identifikace přístupového dobu (SSID v daných intervalech je běžně vysílán beacon frame majákový rámec) o WEP ( Wired Equivalent Privacy) o úkolem je vyřešit bezpečnost bezdrátového přenosu o nepovinný šifrovací standard o využívá klíče o různé délce a algoritmus RC4 o obsahuje také slabá místa o menší inicializační vektor (po určité době se opakují hodnoty klíčů) o se stejným vektorem pracují 64bitové i 128bitové klíče o filtrování dle MAC adres o protokol EAP (norma sdružení IEE 802.1X)

54 o zajišťuje zabezpečení na úrovni portů o přístupový bod si vyžaduje od klienta autentizační informace o poté předá RADIUS serveru pro zajištění další bezpečné komunikace o nastavení doby komunikační relace o fyzické i logické zabezpečení sítě o umístění bezdrátové sítě až za směrované vysílání o WEP je snadno prolomitelný o doporučením je využít WPA nebo lépe WPA2 Při útoku na bezdrátové sítě je velmi často používán: o NetStumbler o Etheral - Wireshark o AirSnort

55 Průnik do otevřené počítačové sítě je těžko zjistitelný a velmi nebezpečný. Existence automatizovaných systémů zajišťujících komplexní bezpečnostní management sítě umožňuje zvýšit bezpečnost sítě. Síťové systémy detekce se obvykle umisťují do míst, ve kterých se koncentruje síťový provoz přístupové spoje nebo do páteřních sítí.

56 Při své činnosti zpravidla využívají tzv. promiskuitního režimu práce síťového rozhraní, díky kterému mají dispozici všechna data, která se vyskytnou na síťovém rozhraní bez ohledu na to, komu jsou ve skutečnosti určena. Tyto systémy detekce průniku mohou být vůči sledované síti zcela pasivní. Komunikace s nimi se pak uskutečňuje pomocí speciální sítě, do které jsou připojeny dalším síťovým rozhraním.

57 Síťové systémy detekce průniku bývají velmi často řešeny jako distribuované, tj. skládají se z řady spolupracujících částí (agenti, manažer, řídicí konsola). V rámci IETFprobíhá (The Internet Engineering Task Force) proces normalizace týkající se protokolu pro výměnu informací mezi systémy detekce narušení (Intrusion Detection Exchange Protocol). Síťové systémy detekce průniku jsou vhodným nástrojem pro zjišťování útoků probíhajících již na nižších vrstvách síťové architektury. Útoky mohou být vedeny jak proti různým službám jednoho počítače, tak i proti stejným či různým službám několika strojů (např. útoky typu DoS, DDoS).

58

59 Konec