Κατέβασμα παρουσίασης
Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε
1
Εισαγωγή στα Δίκτυα και Διαδίκτυα Βασικά θέματα ασφάλειας δικτύων ΠΡΟ.ΜΕ.Σ.Ι.Π Δίκτυα και Διαδίκτυα
2
Ακαδημαϊκό Έτος 2011-2012 2 Οργάνωση μαθήματος Συνδιδασκαλία Γεώργιος Παπαδημητρίου, Αναπληρωτής Καθηγητής Τμήματος Πληροφορικής Α.Π.Θ. E-mail: gp@csd.auth.gr Πετρίδου Σοφία, Διδάκτορας Τμήματος Πληροφορικής Α.Π.Θ. E-mail: spetrido@csd.auth.gr Υλικό μαθήματος Διαφάνειες, εργαστηριακές ασκήσεις Εισήγηση Τρίτη 16:00 - 17:30 Εργαστήριο Αρχιτεκτονικής και Δικτύων Υπολογιστών, Ημιόροφος, Κτίριο Βιολογίας
3
Ακαδημαϊκό Έτος 2011-2012 3 Απαιτήσεις Η παρακολούθηση των διαλέξεων είναι υποχρεωτική, τηρείται παρουσιολόγιο Σχηματισμός ομάδων για την εκπόνηση εργασίας εξαμήνου Παρουσίαση των εργασιών στα 4 τελευταία μαθήματα: 29/05, 12/06, 19/06 και 26/06 Η αξιολόγηση θα προκύψει από την εργασία και την παρουσίασή της
4
Ακαδημαϊκό Έτος 2011-2012 4 Ύλη Tο μάθημα ασχολείται με τα Δίκτυα Υπολογιστών δίνοντας έμφαση σε ζητήματα Ασφάλειας και Διαχείρισης Δικτύων. Τα θέματα που καλύπτει μεταξύ άλλων είναι: Εισαγωγή στα Δίκτυα και Διαδίκτυα βασικές θέματα ασφάλειας δικτύων αρχιτεκτονική των μοντέλων OSI και TCP/IP διαδικασίες προτυποποίησης στο Internet Βασικά θέματα διαχείρισης δικτύων Το πρωτόκολλο SNMP Τεχνολογίες αναχωμάτων ασφαλείας Ασφάλεια Εφαρμογών Διαδικτύου το πρωτόκολλο SSL Βασικά θέματα Κρυπτογραφίας
5
Ακαδημαϊκό Έτος 2011-2012 5 Οι επικρατούσες αρχιτεκτονικές σήμερα είναι δύο: TCP/IP 1. Πρωτόκολλο Ελέγχου Μετάδοσης/ Πρωτόκολλο Διαδικτύωσης TCP/IP (Transmission Control Protocol/ Internet Protocol) μοντέλο του Internet OSI 2. Διασύνδεση Ανοικτών Συστημάτων OSI (Open System Interconnection): μοντέλο OSI Και στις δύο αρχιτεκτονικές χρησιμοποιείται η μεθοδολογία της στρωμάτωσης (layering) Αρχιτεκτονικές δικτύων
6
Ακαδημαϊκό Έτος 2011-2012 6 Μοντέλο του Internet: TCP/IP
7
Ακαδημαϊκό Έτος 2011-2012 7 Μοντέλο OSI
8
Ακαδημαϊκό Έτος 2011-2012 8 OSI vs TCP/IP
9
Ακαδημαϊκό Έτος 2011-2012 9 Κατά την επικοινωνία μεταξύ στρωμάτων διακρίνονται: Μονάδα Δεδομένων Εξυπηρέτησης (SDU - Service Data Unit): τα δεδομένα και οι πληροφορίες ελέγχου του ανώτερου στρώματος Πληροφορίες Ελέγχου Πρωτοκόλλου (PCI - Protocol Control Information): είναι οι πληροφορίες του πρωτοκόλλου του εκάστοτε στρώματος Μονάδα Δεδομένων πρωτοκόλλου (PDU - Protocol Data Unit): είναι ένας συνδυασμός SDU και PCI (Ν)-PDU (Ν-1)-SDU (N-1)-PDU(N)-Στρώμα (Ν-1)-PCI (N-1)-Στρώμα Ενθυλάκωση
10
Ακαδημαϊκό Έτος 2011-2012 10 Ενθυλάκωση στο TCP/IP
11
Ακαδημαϊκό Έτος 2011-2012 11 Δρομολόγηση στο TCP/IP
12
Ακαδημαϊκό Έτος 2011-2012 12 TCP/IP: Επίπεδο πρόσβασης δικτύου oΕπίπεδο πρόσβασης δικτύου (Network Access Layer): χαμηλότερο επίπεδο του μοντέλου Internet oΠρωτόκολλα τοπικών δικτύων: Ethernet, Token bus, Token ring oΤεχνολογίες συνδέσεων Σημείο-προς-σημείο (point-to-point): PPP, SLIP
13
Ακαδημαϊκό Έτος 2011-2012 13 TCP/IP: Επίπεδο Internet Πρωτόκολλα του επιπέδου Internet (Internet layer): IP, ICMP, ARP, RARP Πρωτόκολλο IP: είναι υπεύθυνο για τη διευθυνσιοδότηση και τη δρομολόγηση των πακέτων που δημιουργούνται από πρωτόκολλα ανώτερου επιπέδου (TCP, UDP) Δεν υπάρχει άμεση σύνδεση μεταξύ των εργασιών του χρήστη και του IP οι εργασίες του χρήστη χρησιμοποιούν TCP ή UDP και το IP αναλαμβάνει τη μετάδοσή τους Σε κάθε διεπαφή του δικτύου αντιστοιχίζεται μια IP διεύθυνση Χαρακτηρίζεται ως πρωτόκολλο χωρίς σύνδεση (connectionless)
14
Ακαδημαϊκό Έτος 2011-2012 14 TCP/IP: Επίπεδο Internet Διευθύνσεις IP Μια διεύθυνση στο TCP/IP αποτελείται από 32 bits οργανωμένα σε 4 πεδία με εύρος 0-255 Παράδειγμα IP διεύθυνσης: 10.14.28.135 Μια διεύθυνση IP περιλαμβάνει 2 τμήματα: την ταυτότητα δικτύου (network identifier) η οποία αναγνωρίζει με μοναδικό τρόπο ένα τμήμα του δικτύου την ταυτότητα κόμβου (host identifier) η οποία αναγνωρίζει με μοναδικό τρόπο μια μοναδική συσκευή που είναι συνδεδεμένη στο συγκεκριμένο τμήμα δικτύου
15
Ακαδημαϊκό Έτος 2011-2012 15 TCP/IP: Επίπεδο Internet Διευθύνσεις IP Κλάση Α: 0nnnnnnn hhhhhhhh hhhhhhhh hhhhhhhh Πρώτο ψηφίο 0; 7 network bits; 24 host bits Πρώτο byte: 0 (00000000) – 127 (01111111) Πλήθος δικτύων: 2^7 = 128 Πλήθος hosts: 2^24 - 2 = 16.777.214
16
Ακαδημαϊκό Έτος 2011-2012 16 TCP/IP: Επίπεδο Internet Διευθύνσεις IP Κλάση B: 10nnnnnn nnnnnnnn hhhhhhhh hhhhhhhh Πρώτα ψηφία 10; 14 network bits; 16 host bits Πρώτο byte: 128 (10000000) – 191 (10111111) Πλήθος δικτύων: 2^14 = 16.384 Πλήθος hosts: 2^16 - 2 = 65.534
17
Ακαδημαϊκό Έτος 2011-2012 17 TCP/IP: Επίπεδο Internet Διευθύνσεις IP Κλάση C: 110nnnnn nnnnnnnn nnnnnnnn hhhhhhhh Πρώτα ψηφία 110; 21 network bits; 8 host bits Πρώτο byte: 192 (11000000) – 223 (11011111) Πλήθος δικτύων: 2^21 = 2.097.152 Πλήθος hosts: 2^8 - 2 = 254
18
Ακαδημαϊκό Έτος 2011-2012 18 TCP/IP: Επίπεδο Internet Διευθύνσεις IP Κλάση D: χρησιμοποιείται για πολλαπλή μετάδοση μηνύματος(multicast) Κλάση E: δεσμευμένη για μελλοντική χρήση
19
Ακαδημαϊκό Έτος 2011-2012 19 TCP/IP: Επίπεδο Internet IPv4 πακέτο
20
Ακαδημαϊκό Έτος 2011-2012 20 Στόχος: επιτρέπει στον κόμβο να λάβει δυναμικά την IP διεύθυνση του μόλις συνδεθεί στο δίκτυο Μπορεί να την αλλάξει ανά πάσα στιγμή Επιτρέπει επαναχρησιμοποίηση διευθύνσεων (αποδεσμεύονται μόλις αποσυνδεθεί ο χρήστης) Υποστήριξη φορητών χρηστών που συνδέονται στο δίκτυο Το DHCP συνοπτικά: ο κόμβος μεταδίδει μήνυμα “DHCP discover” ο DHCP διακομιστής απαντάει με μήνυμα “DHCP offer” ο κόμβος αιτείται μια IP διεύθυνση με μήνυμα: “DHCP request” ο DHCP διακομιστής στέλνει το μήνυμα επιβεβαίωσης: “DHCP ack”
21
Ακαδημαϊκό Έτος 2011-2012 21 223.1.1.1 223.1.1.2 223.1.1.3 223.1.1.4 223.1.2.9 223.1.2.2 223.1.2.1 223.1.3.2 223.1.3.1 223.1.3.27 A B E DHCP server ο DHCP πελάτης ζητάει διεύθυνση σε αυτό το δίκτυο
22
Ακαδημαϊκό Έτος 2011-2012 22 Network Layer DHCP διακομιστής: 223.1.2.5 πελάτης time DHCP discover src : 0.0.0.0, 68 dest.: 255.255.255.255,67 yiaddr: 0.0.0.0 transaction ID: 654 DHCP offer src: 223.1.2.5, 67 dest: 255.255.255.255, 68 yiaddrr: 223.1.2.4 transaction ID: 654 Lifetime: 3600 secs DHCP request src: 0.0.0.0, 68 dest:: 255.255.255.255, 67 yiaddrr: 223.1.2.4 transaction ID: 655 Lifetime: 3600 secs DHCP ACK src: 223.1.2.5, 67 dest: 255.255.255.255, 68 yiaddrr: 223.1.2.4 transaction ID: 655 Lifetime: 3600 secs
23
Ακαδημαϊκό Έτος 2011-2012 23 10.0.0.1 10.0.0.2 10.0.0.3 10.0.0.4 138.76.29.7 τοπικό δίκτυο (π.χ. οικιακό δίκτυο) 10.0.0/24 υπόλοιπο Διαδίκτυο Datagrams με πηγή ή προορισμό στο τοπικό δίκτυο έχουν διεύθυνση πηγής ή προορισμού 10.0.0.x Όλα τα datagrams που φεύγουν από το τοπικό δίκτυο έχουν την ίδια μοναδική IP διεύθυνση: 138.76.29.7 Η τεχνολογία NAT «κρύβει» το τοπικό δίκτυο από τον έξω κόσμο.
24
Ακαδημαϊκό Έτος 2011-2012 24 Κίνητρο:το τοπικό δίκτυο χρησιμοποιεί μία μόνο διεύθυνση όσον αφορά τον έξω κόσμο: δεν απαιτείται εκχώρηση μπλόκ διευθύνσεων από τον ISP: Μία διεύθυνση χρησιμοποιείται για όλες τις συσκευές οι τοπικές διευθύνσεις μπορούν να αλλάξουν χωρίς να ενημερωθεί ο έξω κόσμος ο ISP μπορεί να αλλάξει χωρίς να αλλάξουν οι διευθύνσεις των τοπικών συσκευών ασφάλεια: οι συσκευές στο εσωτερικό δίκτυο δεν φαίνονται προς τα έξω
25
Ακαδημαϊκό Έτος 2011-2012 25 Υλοποίηση:Ο δρομολογητής NAT πραγματοποιεί: εξερχόμενα datagrams:αντικατάσταση (IP αποστολέα, # πόρτας) για κάθε εξερχόμενο datagram σε (NAT IP, νέο # πόρτας)... οι απομακρυσμένοι πελάτες/διακομιστές θα στέλνουν δεδομένα έχοντας την (NAT IP, νέο # πόρτας) σαν διεύθυνση προορισμού αποθήκευση (στον πίνακα μετάφρασης NAT) κάθε ζευγάρι μετάφρασης από (IP αποστολεά, # πόρτας) σε(NAT IP, νέο # πόρτας) εισερχόμενα datagrams: αντικατάσταση (NAT IP, νέο # πόρτας) στις διευθύνσεις προορισμού όλων των εισερχόμενων datagrams με τις αντίστοιχες αποθηκευμένες τιμές (IP αποστολέα, # πόρτας)
26
Ακαδημαϊκό Έτος 2011-2012 26 10.0.0.1 10.0.0.2 10.0.0.3 S: 10.0.0.1, 3345 D: 128.119.40.186, 80 1 10.0.0.4 138.76.29.7 1:ο 10.0.0.1 στέλνει datagram στον 128.119.40.186, 80 πίνακας μετάφρασης NAT WAN διεύθυνση LAN διεύθυνση 138.76.29.7, 5001 10.0.0.1, 3345 …… S: 128.119.40.186, 80 D: 10.0.0.1, 3345 4 S: 138.76.29.7, 5001 D: 128.119.40.186, 80 2 2:ο NAT αλλάζει την διεύθυνσή του datagram από 10.0.0.1, 3345 σε 138.76.29.7, 5001, ενημερώνει τον πίνακα S: 128.119.40.186, 80 D: 138.76.29.7, 5001 3 3:Φτάνει απάντηση με διεύθυνση προορισμού: 138.76.29.7, 5001 4:ο NAT αλλάζει τη διεύθυνση προορισμού από138.76.29.7, 5001 σε 10.0.0.1, 3345
27
Ακαδημαϊκό Έτος 2011-2012 27 Η τεχνική NAT δέχεται επικρίσεις: παραβιάζει το αρχιτεκτονικό μοντέλο του IP κάθε συσκευή πρέπει να έχει μοναδική διεύθυνση οι δρομολογητές θα πρέπει να υποστηρίζουν μέχρι το επίπεδο 3 (δικτύου) παραβιάζει τον θεμελιώδη κανόνα της απομόνωσης και ανεξαρτησίας των επιπέδων το έλλειμμα διευθύνσεων μπορεί να αντιμετωπιστεί χρησιμοποιώντας το IPv6 η χρήση NAT θα πρέπει να λαμβάνεται υπόψη από τους σχεδιαστές εφαρμογών (π.χ Torrents)
28
Ακαδημαϊκό Έτος 2011-2012 28 Αρχικό κίνητρο: οι 32-bit διευθύνσεις τελειώνουν (<10% ελεύθερες). Επιπρόσθετα κίνητρα: η νέα επικεφαλίδα βοηθάει στην επιτάχυνση της επεξεργασίας/προώθησης των πακέτων υποστήριξη QoS στην επικεφαλίδα μορφή IPv6 πακέτων: 40 byte επικεφαλίδα σταθερού μεγέθους δεν επιτρέπεται κατακερματισμός Αναθέτει τον κατακερματισμό στα άκρα (path MTU discovery) Απορρίπτει τα μεγάλα πακέτα και απαντάει με ICMP πακέτο (fragmentation needed)
29
Ακαδημαϊκό Έτος 2011-2012 29 Προτεραιότητα: ορισμός διαφορετικής προτεραιότητας Ετικέτα ροής: ορίζει τα datagrams που ανήκουν σε μια ροή Επόμενη επικεφαλίδα: πρωτόκολλο του πάνω επιπέδου
30
Ακαδημαϊκό Έτος 2011-2012 30 Άθροισμα ελέγχου (Checksum): αφαιρέθηκε ώστε να επιταχυνθεί η επεξεργασία των πακέτων Παράμετεροι (Options): επιτρέπεται, αλλά έξω από την επικεφαλίδα (πεδίο επόμενης επικεφαλίδας) ICMPv6: νέα έκδοση του ICMP
31
Ακαδημαϊκό Έτος 2011-2012 31 Δεν μπορούν όλοι οι δρομολογητές να αναβαθμιστούν ταυτόχρονα Πώς λειτουργούν τα δίκτυα ταυτόχρονα με IPv4 και IPv6 δρομολογητές; χρήση σήραγγας (Tunneling):Το IPv6 πακέτο «ενθυλακώνεται» μέσα σε IPv4 πακέτο
32
Ακαδημαϊκό Έτος 2011-2012 32 A B E F IPv6 σήραγγα Λογική όψη: Φυσική όψη: A B E F IPv6 IPv4
33
Ακαδημαϊκό Έτος 2011-2012 33 A B E F IPv6 σήραγγα Λογική όψη: Φυσική όψη: A B E F IPv6 C D IPv4 Flow: X Src: A Dest: F data Flow: X Src: A Dest: F data Flow: X Src: A Dest: F data Src:B Dest: E Flow: X Src: A Dest: F data Src:B Dest: E A-στο-B: IPv6 E-στο-F: IPv6 B-στο-C: IPv6 μέσα σεIPv4 D-στο-E: εξαγωγή του IPv6
34
Ακαδημαϊκό Έτος 2011-2012 34 TCP/IP: Επίπεδο Internet Πρωτόκολλο ελέγχου μηνυμάτων στο Internet (ICMP - Internet Control Message Protocol): είναι υπεύθυνο για την αποστολή πληροφοριών και μηνυμάτων ελέγχου μεταξύ διασυνδεδεμένων ξενιστών υπολογιστών π.χ. μηνύματα echo και reply της εντολής ping Πρωτόκολλο ανάλυσης διευθύνσεων (ARP - Address Resolution Protocol): στόχος του ARP είναι η αντιστοίχηση μιας διεύθυνσης Διαδικτύου IP σε μια διεύθυνση υλικού MAC, αποθηκεύει το ζεύγος IP- MAC Πρωτόκολλο αντίστροφης ανάλυσης διευθύνσεων (RARP – Reverse Address Resolution Protocol): επιτελεί την αντίστροφη διαδικασία από το πρωτόκολλο ARP, αντιστοιχίζει μια διεύθυνσης υλικού MAC σε μια διεύθυνση Διαδικτύου IP
35
Ακαδημαϊκό Έτος 2011-2012 35 TCP/IP: Επίπεδο μεταφοράς Πρωτόκολλα του επιπέδου μεταφοράς (Transport layer): ΤCP, UDP Πρωτόκολλο TCP (Transmission Control Protocol): προσανατολισμένο σε εγκατάσταση σύνδεσης (connection oriented): για να ξεκινήσει μετάδοση δεδομένων πρέπει να εξασφαλιστεί μια διαδρομή (νοητό κύκλωμα) για τη μετάδοση των πακέτων τα δεδομένα θα φθάσουν στον παραλήπτη χωρίς σφάλματα Πρωτόκολλο UDP (User Datagram Protocol): πρωτόκολλο χωρίς εγκατάσταση σύνδεσης (connectionless): η αποστολή πακέτων γίνεται χωρίς σχηματισμό νοητών κυκλωμάτων, υπάρχουν αυτοδύναμα πακέτα (datagrams) τα δεδομένα μπορεί να μη φθάσουν ποτέ στον παραλήπτη
36
Ακαδημαϊκό Έτος 2011-2012 36 TCP/IP: Επίπεδο μεταφοράς Ενώ το πρωτόκολλο IP επιτελεί λειτουργίες διευθυνσιοδότησης μεταξύ των υπολογιστών, τα πρωτόκολλα ΤCP και UDP ασχολούνται με τη διευθυνσιοδότηση των εφαρμογών θύρες (ports), 16 bits (IANA): 1. well known ports (0–1023) 2. registered ports (1024–49151) 3. dynamic and/or private ports (49152–65535) standard ports non-standard ports
37
Ακαδημαϊκό Έτος 2011-2012 37 TCP/IP: Επίπεδο μεταφοράς TCP: παρέχει μηχανισμούς ανταλλαγής δεδομένων με αξιοπιστία
38
Ακαδημαϊκό Έτος 2011-2012 38 TCP/IP: Επίπεδο μεταφοράς TCP: πριν την ανταλλαγή δεδομένων με αξιοπιστία αρχικοποίηση (3-way handshake)
39
Ακαδημαϊκό Έτος 2011-2012 39 TCP/IP: Επίπεδο μεταφοράς ΑΔΥΝΑΜΙΕΣ TCP/IP Δεν ελέγχεται η αυθεντικότητα των IP διευθύνσεων Χρησιμοποιούνται ψευδοτυχαίοι αριθμοί για να οριστεί το πεδίο ακολουθίας Υπερφόρτωση TCP (flooding attack) Μια οντότητα Α μπορεί να αρχικοποιήσει μια TCP σύνδεση προσποιούμενος μια άλλη οντότητα Γ
40
Ακαδημαϊκό Έτος 2011-2012 40 TCP/IP: Επίπεδο μεταφοράς UDP: δε θεωρείται αξιόπιστο όσο αφορά την ανταλλαγή δεδομένων μέριμνα ελέγχων σε επίπεδο εφαρμογής
41
Ακαδημαϊκό Έτος 2011-2012 41 SMTP (Simple Mail Transfer Protocol): υπηρεσία ηλεκτρονικού ταχυδρομείου (E-mail) TCP/IP: Επίπεδο εφαρμογής Πρωτόκολλα του επιπέδου εφαρμογής που χρησιμοποιούν το ΤCP HTTP (Hypertext Transfer Protocol): υπηρεσία παγκόσμιου ιστού FTP (File Transfer Protocol): υπηρεσία μεταφοράς αρχείων Remote Telnet Login: υπηρεσία απομακρυσμένης πρόσβασης τερματικού NNTP (Network News Transfer Protocol): υπηρεσία μεταφοράς δικτυακών νέων NTP (Network Time Protocol): υπηρεσία διατήρησης κοινής ώρας σε διασυνδεδεμένους υπολογιστές
42
Ακαδημαϊκό Έτος 2011-2012 42 TCP/IP: Επίπεδο εφαρμογής Πρωτόκολλα του επιπέδου εφαρμογής που χρησιμοποιούν το UDP DNS (Domain Name Service): υπηρεσία αντιστοίχησης domain name-IP NFS (Network File System): υπηρεσία δικτυακής πρόσβασης αρχείων RPC (Remote Procedure Call): υπηρεσία εκτέλεσης διαδικασιών από απόσταση SNMP (Simple Network Management Protocol): υπηρεσία ανταλλαγής πληροφορίας διαχείρισης NIS (Network Information System): υπηρεσία διαμοιρασμού δεδομένων
43
Ακαδημαϊκό Έτος 2011-2012 43 Βασικές έννοιες (1/6) πληροφορία oΟ όρος πληροφορία στην Επιστήμη των Υπολογιστών αναφέρεται στη γνώση που αποστέλλεται και λαμβάνεται και αφορά συγκεκριμένο γεγονός ή συμβάν, καθώς και στα δεδομένα που μπορούν να κωδικοποιηθούν από έναν υπολογιστή ή παρόμοιου τύπου συσκευή Τεχνολογία της Πληροφορίας (IT – Information Technology) oΟ όρος Τεχνολογία της Πληροφορίας (IT – Information Technology) αναφέρεται σε οποιαδήποτε τεχνολογία πραγματεύεται πληροφορίες και μελετά τρόπους αποτελεσματικής αποθήκευσης, επεξεργασίας και μετάδοσης δεδομένων που κωδικοποιούν πληροφορίες
44
Ακαδημαϊκό Έτος 2011-2012 44 Βασικές έννοιες (2/6) Ασφάλεια στην Τεχνολογία της Πληροφορίας Ειδικότερα ο όρος Ασφάλεια στην Τεχνολογία της Πληροφορίας (IT Security) (IT Security) πραγματεύεται θέματα σχετικά με την: oασφάλεια ενός υπολογιστικού συστήματος (computer system security): στόχος η διαφύλαξη των υπολογιστικών πόρων από μη εξουσιοδοτημένη χρήση και η προστασία πληροφορίας από ακούσια ή σκόπιμη βλάβη, αποκάλυψη ή τροποποίησή της oασφάλεια κατά την επικοινωνία (communication security): στόχος η προστασία δεδομένων κατά τη μετάδοση σε δίκτυα υπολογιστών και κατανεμημένα συστήματα
45
Ακαδημαϊκό Έτος 2011-2012 45 Βασικές έννοιες (3/6) Ο όρος δίκτυο υπολογιστών αναφέρεται σε μια διασυνδεδεμένη συλλογή αυτόνομων υπολογιστών. Προϋπόθεση αποτελεί η δυνατότητα ανταλλαγής δεδομένων
46
Ακαδημαϊκό Έτος 2011-2012 46 Βασικές έννοιες (4/6) oχρήστης (user) θεωρείται μια ανθρώπινη οντότητα υπεύθυνη για τις δραστηριότητές της σε ένα δίκτυο ή κατανεμημένο σύστημα oξενιστής υπολογιστής (host) θεωρείται μια διευθυνσιοδοτούμενη οντότητα σε δίκτυο ή σε κατανεμημένο σύστημα oδιεργασία (process) θεωρείται ένα στιγμιότυπο εκτελέσιμου προγράμματος σε ένα συγκεκριμένο υπολογιστικό σύστημα: διεργασία εξυπηρετούμενου (client process): αιτείται και αποκτά υπηρεσία δικτύου διεργασία εξυπηρέτη (server process): παρέχει υπηρεσία δικτύου
47
Ακαδημαϊκό Έτος 2011-2012 47 Βασικές έννοιες (5/6) Προτυποποίηση: oΠρότυπο (standard): έγγραφη συμφωνία που περιλαμβάνει τεχνικές προδιαγραφές και κριτήρια με στόχο τη διαφύλαξη της καταλληλότητας του σκοπού των αναπτυσσόμενων εργαλείων, προϊόντων, διεργασιών και υπηρεσιών oΜοντέλο αναφοράς (reference model): χρησιμοποιείται για να εξηγήσει τη συνεργασία των συνιστωσών συστήματος – συνήθης πρακτική η διαίρεση της λειτουργικότητας σε επίπεδα (layers)
48
Ακαδημαϊκό Έτος 2011-2012 48 Βασικές έννοιες (6/6) oΠρωτόκολλο: ομάδα κανόνων και μηνυμάτων που στην πράξη παρέχουν μια υπηρεσία oΣτοίβα πρωτοκόλλων: ομάδα πρωτοκόλλων που συνεργάζονται μεταξύ τους oInternet: παγκόσμιο δίκτυο που βασίζεται στη στοίβα των πρωτοκόλλων επικοινωνίας του TCP/IP
49
Ακαδημαϊκό Έτος 2011-2012 49 Τάσεις στο χώρο της ασφάλειας 1994, Συμβούλιο Αρχιτεκτονικής του Διαδικτύου (Internet Architecture Board, IAB) RFC 1636: Η ασφάλεια στην αρχιτεκτονική του Διαδικτύου (Security in the Internet Architecture) Περισσότερη και καλύτερη ασφάλεια στο Διαδίκτυο τομείς για εφαρμογή μηχανισμών ασφάλειας εξασφάλιση δικτυακής υποδομής από μη εξουσιοδοτημένη παρακολούθηση και έλεγχο της δικτυακής κίνησης εξασφάλιση επικοινωνίας τελικών χρηστών (πιστοποίηση ταυτότητας, κρυπτογράφηση)
50
Ακαδημαϊκό Έτος 2011-2012 50 Στατιστικά στοιχεία CERT (1)
51
Ακαδημαϊκό Έτος 2011-2012 51 Στατιστικά στοιχεία CERT (2)
52
Ακαδημαϊκό Έτος 2011-2012 52 Πολυπλοκότητα επιθέσεων vs γνώσεις εισβολέων
53
Ακαδημαϊκό Έτος 2011-2012 53 Ορολογία IT Security (1/2) Αδυναμία (vulnerability): ελάττωμα στο σχεδιασμό ή την υλοποίηση ενός πρωτοκόλλου, μιας υπηρεσίας ή ενός συστήματος το οποίο μπορεί να εκμεταλλευτεί ένας εισβολέας (intruder) Απειλή (threat): οντότητα που μπορεί να προκαλέσει παραβίαση της ασφάλειας σε τμήμα ή στο σύνολο του δικτύου, ή ζημιά σε πόρους του
54
Ακαδημαϊκό Έτος 2011-2012 54 Ορολογία IT Security (2/2) Επίθεση (attack): εκμετάλλευση μιας αδυναμίας από έναν εισβολέα για την πραγματοποίηση απειλής Αντίμετρα (countermeasures): μηχανισμός ή διαδικασία με στόχο τον περιορισμό ή την εξάλειψη επιπτώσεων απειλής
55
Ακαδημαϊκό Έτος 2011-2012 55 Επιθέσεις Παθητικές επιθέσειςΕνεργητικές επιθέσεις 1.Μη-ενεργός ή παθητική παρακολούθηση (passive tapping) 2. Ανάλυση κίνησης (traffic analysis) 1.Μη-ενεργός ή παθητική παρακολούθηση (passive tapping) 2. Ανάλυση κίνησης (traffic analysis) 1.Ενεργός παρακολούθηση (active tapping) 2.Μεταμφίεση (masquerade) 3.Επανεκπομπή (replay) 4.Άρνηση παροχής υπηρεσίας (denial of service) 5.Κακόβουλο λογισμικό (viruses, worms, trojan horses) 1.Ενεργός παρακολούθηση (active tapping) 2.Μεταμφίεση (masquerade) 3.Επανεκπομπή (replay) 4.Άρνηση παροχής υπηρεσίας (denial of service) 5.Κακόβουλο λογισμικό (viruses, worms, trojan horses)
56
Ακαδημαϊκό Έτος 2011-2012 56 Μη-ενεργός ή παθητική παρακολούθηση (passive tapping)
57
Ακαδημαϊκό Έτος 2011-2012 57 Ανάλυση κίνησης (traffic analysis)
58
Ακαδημαϊκό Έτος 2011-2012 58 Ενεργός παρακολούθηση (active tapping)
59
Ακαδημαϊκό Έτος 2011-2012 59 Μεταμφίεση (masquerade)
60
Ακαδημαϊκό Έτος 2011-2012 60 Επανεκπομπή (replay)
61
Ακαδημαϊκό Έτος 2011-2012 61 Άρνηση παροχής υπηρεσίας (denial of service)
62
Ακαδημαϊκό Έτος 2011-2012 62 TCP/IP: Υποδικτύωση Ο διαχειριστής του οργανισμού έχει στη διάθεσή του το πεδίο διευθύνσεων 193.29.12.0/24 193.29.12.86 193.29.12.82193.29.12.83 193.29.12.84193.29.12.85 Ποιο είναι το μικρότερο δυνατό υποδίκτυο που μπορεί να οριστεί στην περιοχή DMZ; Δώστε τη μάσκα που θα χρησιμοποιηθεί και τις διευθύνσεις Δικτύου.
63
Ακαδημαϊκό Έτος 2011-2012 63 Εντολή: ping Η εντολή ping είναι ένα ευρέως διαδεδομένο δικτυακό εργαλείο, το οποίο αξιοποιεί το πρωτόκολλο ICMP στέλνοντας ένα μήνυμα ECHO_REQUEST σε έναν απομακρυσμένο υπολογιστή ώστε να λάβει από αυτόν ένα ICMP ECHO_RESPONSE
64
Ακαδημαϊκό Έτος 2011-2012 64 Η εντολή ping είναι ένα ευρέως διαδεδομένο δικτυακό εργαλείο, το οποίο αξιοποιεί το πρωτόκολλο ICMP στέλνοντας ένα μήνυμα ECHO_REQUEST σε έναν απομακρυσμένο υπολογιστή ώστε να λάβει από αυτόν ένα ICMP ECHO_RESPONSE Εντολή: ping
65
Ακαδημαϊκό Έτος 2011-2012 65 Η εντολή ping είναι ένα ευρέως διαδεδομένο δικτυακό εργαλείο, το οποίο αξιοποιεί το πρωτόκολλο ICMP στέλνοντας ένα μήνυμα ECHO_REQUEST σε έναν απομακρυσμένο υπολογιστή ώστε να λάβει από αυτόν ένα ICMP ECHO_RESPONSE 64-52=12 hops Εντολή: ping
66
Ακαδημαϊκό Έτος 2011-2012 66 Το tracert στέλνει ένα ICMP echo packet στον επιθυμητό προορισμό, αλλά με τιμή TTL ίση με 1. Στη συνέχεια στέλνει ένα όμοιο πακέτο με τιμή TTL ίση με 2, μετά με τιμή TTL 3 κ.ο.κ. Οπότε θα λάβουμε ένα μήνυμα "TTL expired in transit" πίσω στον αποστολέα από τους routers μέχρι τελικά να φτάσει το echo packet στον επιθυμητό προορισμό ο οποίος θα αποκριθεί τότε με ένα standard ICMP "echo reply" packet. 13 κόμβοι = 12 hops Εντολή: tracert
67
Ακαδημαϊκό Έτος 2011-2012 67 Για επαλήθευση εκτελούμε: ping –i TTL www.uowm.gr Εντολή: ping - tracert
68
Ακαδημαϊκό Έτος 2011-2012 68 1 Εντολή: netstat
69
Ακαδημαϊκό Έτος 2011-2012 69 2 Εντολή: netstat
70
Ακαδημαϊκό Έτος 2011-2012 70 Τα αποτελέσματα ενός port scanning διακρίνονται στις παρακάτω 3 περιπτώσεις: Filtered, Dropped or Blocked: όταν δεν υπάρχει απάντηση από το διακομιστή, π.χ. έχουμε το Windows firewall “On” και έναν Apache web server είτε να τρέχει είτε όχι δεν υπάρχει απάντηση, στο port scanning report δεν υπάρχει εγγραφή για τη θύρα 80 ο εισβολέας δε μπορεί να αναγνωρίσει εάν η θύρα είναι ανοιχτή (sniffing: [SYN]) Open or Accepted: ο διακομιστής αποστέλλει απάντηση η οποία υποδηλώνει ότι η υπηρεσία τρέχει και ακούει στη συγκεκριμένη θύρα, π.χ. ο Apache web server τρέχει και στο firewall υπάρχει εξαίρεση για τη θύρα 80 στο port scanning report υπάρχει εγγραφή για τη θύρα 80 ο εισβολέας αναγνωρίζει ότι η θύρα 80 είναι ανοιχτή (sniffing: 3-way handshake [SYN] - [SYN, ACK] - [SYN]) Closed or Denied or Not Listening: Ο διακομιστής αποστέλλει απάντηση η οποία υποδηλώνει ότι οι συνδέσεις στη θύρα απαγορεύονται, π.χ. o Apache web server δεν τρέχει (sniffing: [SYN] – [RST]) Port scanning (1/4)
71
Ακαδημαϊκό Έτος 2011-2012 71 Port scanning (2/4)
72
Ακαδημαϊκό Έτος 2011-2012 72 Port scanning (3/4)
73
Ακαδημαϊκό Έτος 2011-2012 73 Port scanning (4/4)
Παρόμοιες παρουσιάσεις
