Προχωρημένα Θέματα Δικτύων

Παρουσίαση με θέμα: "Προχωρημένα Θέματα Δικτύων"— Μεταγράφημα παρουσίασης:

1 Προχωρημένα Θέματα Δικτύων
Πρόγραμμα Μεταπτυχιακών Σπουδών Τμήμα Πληροφορικής ΑΠΘ Μάθημα: 6 – Tunneling ανασφαλών πρωτοκόλλων

2 Aσφάλεια Δικτύων – Διαμοιρασμός Πόρων
Τα τελευταία χρόνια η έννοια “υπολογιστής” αποδομείται: Η υπολογιστική ισχύς πλέον είναι 'υπηρεσία δικτύου' (cloud computing, clusters, etc) Ο χώρος αποθήκευσης έχει επίσης καταστεί 'υπηρεσία δικτύου' (Network Attached Storage (NAS) [πρωτόκολλα: SMB/CIFS, NFS, SSHFS, SFTP, HTTP], Storage Area Network (SAN) [Fibre Channel over Ethernet, iSCSI] ) Storage cloud Server A Server B Storage 1 Storage 2

3 Aσφάλεια Δικτύων – Διαμοιρασμός Πόρων
Ασφαλής δικτυακός διαμοιρασμός ενός filesystem μέσω SSH (public-key cryptography) SSHFS::LAN Server A SSHFS::WAN Storage 1 Server B encrypted data Untrusted ISP Παρομοίως και το NFS (Network File System) αλλά χωρίς κρυπτογράφηση! encrypted data

4 Aσφάλεια Δικτύων Διαμοιρασμός Αποθηκευτικού χώρου
SAN (Storage Area Network) ls -la /dev/sd? brw-rw root disk 8, 0 Jan 30 10:23 /dev/sda ← τοπικός δίσκος iscsiadm -m node --targetname postmortem.csd.auth.gr:rmtCR –login Logging in to [iface: default, target: postmortem.csd.auth.gr:rmtCR, portal: ,3260] (multiple) Login to [iface: default, target: postmortem.csd.auth.gr:rmtCR, portal: ,3260] successful. brw-rw root disk 8, 0 Jan 30 10:23 /dev/sda brw-rw root disk 8, 16 Jan 31 21:03 /dev/sdb ← δικτυακός δίσκος fdisk -l /dev/sdb Disk /dev/sdb: 400 GiB, bytes, sectors NAS (Network Attached Storage) $ sshfs mnt1 $ ls -la mnt1 total 68 drwx root root Jan 31 21:15 . drwxr-xr-x 1 gpall gpall Jan 31 15:41 .. -rw root root Jan 31 21:15 test.txt $ fusermount -u mnt1

5 Aσφάλεια Δικτύων – Ασφαλές Tunneling ανασφαλών πρωτοκόλλων
Server ( ) MH ΑΣΦΑΛΗΣ ΕΠΙΚΟΙΝΩΝΙΑ! Client ( ) Untrusted ISP → nc → Tue Nov 30 15:28: → connection from to port 13 → replied with “Tue Nov 30 15:28: ” 'Date' service (port 13) Cleartext!!! Στο ενδιάμεσο ανασφαλές δίκτυο, η επικοινωνία μπορεί να υποκλαπεί και να τροποποιηθεί!

6 Aσφάλεια Δικτύων – Ασφαλές Tunneling ανασφαλών πρωτοκόλλων
ΑΣΦΑΛΗΣ ΕΠΙΚΟΙΝΩΝΙΑ! ssh -L (local port):(remote host):(remote port) [ssh server] 'Date' service (Port 13) ssh -L 10000: : (προώθηση του local port στο remote port 13) ssh -L 10000: : (προώθηση του local port στο remote port 13) Port 10000 SSH Tunnel → nc localhost → Tue Nov 30 15:28: Untrusted ISP Client ( ) Server ( ) → connection from to port 22 → replied with (encrypted) Encrypted!!! Στο ενδιάμεσο ανασφαλές δίκτυο, η επικοινωνία ΔΕΝ μπορεί να υποκλαπεί ούτε και να τροποποιηθεί!

7 Aσφάλεια Δικτύων – SOCKS proxying
Σε αντίθεση με κάποιον HTTP proxy όπως ο Squid που είναι ειδικά για HTTP κίνηση, o SOCKS proxy προσφέρει tunneling για όποιο πρωτόκολλο του application layer μπορεί να τον χρησιμοποιήσει (πχ. Firefox, Internet Explorer, κλπ) Για πρωτόκολλα και εφαρμογές που δεν έχουν σχεδιαστεί με υποστήριξη για SOCKS, υπάρχουν εφαρμογές όπως το tsocks που κάνουν intercept τις συνδέσεις των εφαρμογών και τις οδηγούν μέσα από τον SOCKS proxy To SSH υλοποιεί έναν SOCKS proxy· λόγω φύσης του SSH, το proxying γίνεται και με κρυπτογράφηση. ssh -D (δημιουργία SOCKS proxy που ακούει στο port 1080) Web Server Aν θέλω tsocks, τότε επιπλέον του παραπάνω, δίνω: # tsocks firefox (υποκλέπτονται οι συνδεσεις του firefox και γίνονται tunneled μέσα από τον SOCKS proxy) GET slashdot.org GET slashdot.org SSH Tunnel Client ( ) Server ( )

8 Aσφάλεια Δικτύων – SOCKS proxying CASE STUDY: Qatar
O client στο Qatar εμποδίζεται στην ελεύθερη πρόσβαση στο internet από έναν transparent proxy της κυβέρνησης του Qatar Μέσω του ssh tunneling, ο χρησιμοποιείται ως SOCKS proxy για να χειριστεί τα web αιτήματα του client. Tην επικοινωνία με τους ζητούμενους web servers αναλαμβάνει ο ο οποίος προωθεί το περιεχόμενο στον client GET slashdot.org SSH Tunnel Web Server Qatar Firewall GET slashdot.org Internet Qatar ( ) Server ( ) ssh -D (δημιουργία SOCKS proxy που ακούει στο port 1080)

9 Εργασία Εργασία ανά δύο – σε κάθε βήμα screenshots και παράθεση των σχετικών configurations/εντολών Ο ένας στήνει SSH server (επιβεβαίωση ότι ακούει στο port 22 με netstat), ο άλλος θα είναι ο client Επιβεβαιώστε ότι ο client μπορεί να συνδεθεί στον server (να ανοίξει command line interface και να εκτελέσει μια εντολή) O client να συνδεθεί στον ssh server δημιουργώντας έναν SOCKS proxy που να ακούει στο port 40000/tcp – επιβεβαιώστε με netstat ότι πράγματι ακούει σε αυτό το port Ρυθμίστε τον SOCKS proxy στον browser του client ώστε να μπορέσει να σερφάρει στο Internet με την IP του server – επιβεβαιώστε με επίσκεψη στο πριν και μετά την χρήση του SOCKS proxy – extra points αν γίνει χρήση tsocks Σχεδιάγραμμα των εμπλεκόμενων δικτυακών οντοτήτων (client, server, site (ip4.me), ISP του client, ISP του server). Δείξτε σε ποια κομμάτια του δικτύου είναι ασφαλής η επικοινωνία.