Ασφάλεια και Διαχείριση Δικτύων Διαχείριση Δικτύων – Ευφυή Δίκτυα 19/12/07.

Παρουσίαση με θέμα: "Ασφάλεια και Διαχείριση Δικτύων Διαχείριση Δικτύων – Ευφυή Δίκτυα 19/12/07."— Μεταγράφημα παρουσίασης:

1 Ασφάλεια και Διαχείριση Δικτύων Διαχείριση Δικτύων – Ευφυή Δίκτυα 19/12/07

2 Βασικές Θεματικές Περιοχές Ασφάλειας Είδη Απειλών και Επιθέσεων Προστασία –Πολιτικές –Αρχιτεκτονικές –Εργαλεία Κρυπτογραφία "Η καλύτερη μέθοδος εξασφάλισης ενός δικτύου"

3 Βασικές Απειλές για την Ασφάλεια Δικτύων Απόκτηση πληροφοριών για το σύστημα: –Port Scanning –Fingerprinting Μη εξουσιοδοτημένη πρόσβαση –Υποκλοπή κωδικών –Λάθος διαμορφώσεις (ανοικτά συστήματα) –Από μη εξουσιοδοτημένα σημεία (π.χ. ανοιχτά σημεία ασύρματης πρόσβασης) Επιθέσεις Άρνησης Υπηρεσίας (Denial of Service Attacks - DoS) Υποκλοπή και παραποίηση επικοινωνιών –Packet sniffing –"Man-in-the-Middle" attacks Κακόβουλο λογισμικό (malware) –Ιοί, Δούρειοι ίπποι (trojans) –Αυτόματα διαδιδόμενοι ιοί (worms)

4 Σκοποί: –Να αποκτηθεί μια καλή εικόνα του υπό εξέταση δικτύου (αρχιτεκτονική και συστήματα) –Ποιες υπηρεσίες λειτουργούν και πού –Τι λογισμικό χρησιμοποιείται (λειτουργικά, εξυπηρετητές κ.λπ.) Μπορεί να γίνει με εντελώς "παθητικό" τρόπο (π.χ. απλή παρακολούθηση της κίνησης προς και από το δίκτυο) –Χρειάζεται παρουσία στο δίκτυο ή σε σημείο διέλευσης της κίνησης –Host discovery (IPs), ARP Tables, κ.λπ., Είδη κίνησης "Ενεργητική" διερεύνηση με τη χρήση κοινών εργαλείων δικτύου –DNS zone transfers, ping, traceroute, εξέταση σελίδων web Απόκτηση πληροφοριών για ένα δίκτυο

5 Απόκτηση πληροφοριών για ένα δίκτυο (2) Χρήση ειδικών εργαλείων –IP scanners –Nmap για εξεύρεση υπηρεσιών (λιγότερο ή περισσότερο επιθετική διερεύνηση) Finger printing: ανακάλυψη του λειτουργικού συστήματος Port Scanning: ανακάλυψη των υπηρεσιών (ports) –Εργαλεία διερεύνησης λογισμικού υπηρεσιών και αδυναμιών Αντιμετώπιση – Προστασία –Ανακάλυψη με Συστήματα Ανίχνευσης Επιθέσεων (Intrusion Detection Systems – IDS’s) –Παραπλάνηση με "Honeypots" –Λύση σε κάποιο βαθμό το IPv6 Απαγορευτικά μεγάλο πλήθος πιθανών IPs για εξέταση Μπορεί να ξεπεραστεί αν εφαρμοστούν κακές διαχειριστικές τεχνικές

6 Μη εξουσιοδοτημένη πρόσβαση Υποκλοπή κωδικών –"Social Engineering" –Κακές διαχειριστικές τακτικές "Αδύναμοι" κωδικοί Κακή προστασία τους (π.χ. Επικοινωνίες χωρίς κρυπτογράφηση) –Υπάρχει προστασία σε επιπλέον επίπεδα Έλεγχοι για χρόνο και χαρακτηριστικά χρήσης (anomaly detection) Έλεγχοι για την προέλευση πρόσβασης

7 Μη εξουσιοδοτημένη πρόσβαση (2) Λάθος διαμορφώσεις –Ανοικτά δίκτυα – πρόσβαση στο σύστημα αρχείων –Συστήματα ελεύθερης πρόσβασης που μπορεί να χρησιμοποιηθούν για (μη εξουσιοδοτημένη) προσπέλαση τρίτων συστημάτων –Μη προβλεπόμενα σημεία εξόδου του δικτύου (modems) –"Ανοικτά" ασύρματα δίκτυα Ακόμα υπάρχει μικρή κατανόηση των σχετικών τεχνολογιών Κάποια πρωτόκολλα εξασφάλισης έχουν "αδυναμίες" (Wired Equivalent Privacy - WEP) Με κακή προστασία η κάλυψη τους μπορεί να επεκταθεί σε μη ασφαλείς χώρους (με πρόσθετα – παράνομα - σημεία παρουσίας – rogue access points) Πολλές φορές δεν προβλέπονται στην πολιτική ασφαλείας Μπορεί να παρέχουν πρόσβαση απ' ευθείας στο εσωτερικό ενός κατά τ' άλλα πλήρως ασφαλούς δικτύου

8 Επιθέσεις Άρνησης Υπηρεσίας Denial of Service Attacks - DoS Επιθέσεις που έχουν σκοπό να αποτρέψουν τη χρήση ενός συστήματος από όλους –Εκμεταλλεύονται προβλήματα του λογισμικού (Λ.Σ. ή εφαρμογές εξυπηρετητών) - Software Exploits –Θεωρητικά κινδυνεύει οποιοδήποτε σύστημα είναι συνδεδεμένο στο δίκτυο Δρομολογητές και άλλες δικτυακές συσκευές επίσης ευάλωτες –Και ένα μοναδικό πακέτο αρκεί σε κάποιες περιπτώσεις για να θέσει εκτός λειτουργίας κάποιο τρωτό σύστημα –Δεν γίνονται προσπάθειες παραβίασης ή υποκλοπής στοιχείων –Απόκρυψη του επιτιθέμενου με παραποίηση της διεύθυνσης αποστολέα στο πακέτο Χρησιμοποίηση: Διαμάχες hackers, επίδειξη ικανοτήτων, εκδίκηση, κυβερνοπόλεμος

9 Επιθέσεις Άρνησης Υπηρεσίας Επιθέσεις εξάντλησης πόρων –Εξάντληση υπολογιστικών ή δικτυακών πόρων –Χρήση μεγάλου αριθμού νόμιμων δικτυακών κλήσεων –Σε κάποιες περιπτώσεις χρησιμοποίηση περισσότερων του ενός συστημάτων επίθεσης – Επιθέσεις Ενίσχυσης (Amplification Attacks) Επόμενο βήμα: Κατανεμημένες Επιθέσεις Άρνησης Υπηρεσίας – Distributed Denial of Service Attacks – DDoS –Χρήση πολλών "ελεγχόμενων" υπολογιστών από τον επιτιθέμενο Bots "Αυτόματη" παραβίαση και έλεγχος τους Συνεχίζουν να λειτουργούν χωρίς ο χρήστης τους να αντιλαμβάνεται διαφορά –Ιεραρχία ελέγχου τους με ενδιάμεσα στάδια (attack masters)

10 Επιθέσεις Ενίσχυσης – Τύπου "Smurf" Επιτιθέμενος Μη ασφαλισμένο δίκτυο ICMP Echo request Destination: LAN broadcast Source: victim.host Διαχειριστικό Πρόβλημα: Επιτρέπεται το ping στη διεύθυνση broadcast Στόχος (web Server) victim.host ICMP Echo reply Destination:victim.host ICMP Echo reply Destination:victim.host ICMP Echo reply Destination:victim.host

11 Επιθέσεις DDoS Διαχειριστικό Πρόβλημα: Λειτουργία κακόβουλου λογισμικού Δίκτυο Στόχος " Ζόμπι" ή "bots" Attack Agents X Attack Master Attack Master Επιτιθέμενος Διαχειριστικό Πρόβλημα 2: Επιτρέπονται πακέτα με παράνομη διεύθυνση προέλευσης

12 Υποκλοπή και Παραποίηση Δεδομένων Packet sniffing –Μπορεί να συμβεί σε δίκτυα με Hub, μη ασφαλισμένα ασύρματα δίκτυα ή σε περιπτώσεις υπερφόρτωσης του MAC Table ενός Switch –Κάθε πληροφορία που κυκλοφορεί μη κρυπτογραφημένη είναι διαθέσιμη σε αυτόν που παρακολουθεί Telnet passwords Web passwords Οικονομικά και προσωπικά στοιχεία (π.χ. προσωπικά email, αριθμοί πιστωτικών καρτών κ.λπ.) "Man-in-the-Middle" attacks –Κάποιος μπορεί να παρεμβληθεί σε μια επικοινωνία και είτε να υποκλέψει τα στοιχεία είτε να "υποκριθεί" ότι είναι κάποιος τρίτος φορέας ARP "poisoning" TCP "session hijacking" DNS "poisoning" – URL redirection

13 Υποκλοπή και Παραποίηση Δεδομένων (2) Λύσεις: –Χρήση κρυπτογραφίας Αντικατάσταση του telnet με ssh Κρυπτογραφημένη εκδοχή του IMAP για ηλ. Ταχυδρομείο Γνώση των αδυναμιών των δικτυακών εφαρμογών (πέρασμα δεδομένων χωρίς κρυπτογράφηση) –Προσοχή για την επιλογή των σημείων σύνδεσης βάση της ασφάλειας που παρέχουν Αν χρησιμοποιείται hub Αν χρησιμοποιείται ασύρματη σύνδεση χαμηλής ασφάλειας –Χρήση ψηφιακών πιστοποιητικών Προσφέρουν κρυπτογραφία και επιβεβαίωση ταυτότητας Κρυπτογραφία και ψηφιακά πιστοποιητικά

14 Είδη Κρυπτογραφίας Συμμετρική (Ιδιωτικού κλειδιού) –Χρήση μοναδικού κλειδιού και από τα δύο μέρη –Κρυπτογράφηση με συγκεκριμένου μήκους κομμάτια κειμένου (block cipher) ή ανά bit σε συνεχή ροή δεδομένων (stream cipher) –Γρήγορη άλλα έχει προβλήματα στην ασφάλεια διανομής του κλειδιού Αλγόριθμοι: DES, triple DES, RC2, RC4, RC5, IDEA, AES Μη Συμμετρική (Δημόσιου κλειδιού) –Κάθε μέρος έχει ιδιωτικό και δημόσιο κλειδί. Διανέμει το τελευταίο ελεύθερα –Αδύνατο σημείο η εμπιστοσύνη στα δημόσια κλειδιά γι' αυτό χρησιμοποιούνται Αρχές Πιστοποίησης (Certification Authorities) Αλγόριθμοι: RSA, Diffie-Hellman Περιλήψεις μηνυμάτων – Συναρτήσεις κατακερματισμού (Hash Functions) Αλγόριθμοι: SHA & SHA-1, MD2, MD4, MD5

15 Κρυπτογραφία Δημόσιου Κλειδιού Αποστολέας και Παραλήπτης έχουν ανταλλάξει Δημόσια κλειδιά –Κρυπτογράφηση: Με το δημόσιο κλειδί του Παραλήπτη –Αποκρυπτογράφηση: με το ιδιωτικό κλειδί του Παραλήπτη Μήνυμα Δημόσιο Κλειδί Π Κρυπτογραφημένο Μήνυμα Κρυπτ. Μήνυμα Αρχικό Μήνυμα Μετάδοση Ιδιωτικό Κλειδί Π Αποστολέας Α Παραλήπτης Π Αλγόριθμος

16 Κρυπτογραφία Δημόσιου Κλειδιού (2) Χρήση για την επιβεβαίωση αποστολέα και τη μη δυνατότητα άρνησης αποστολής ("non-repudiation") –Επιβεβαίωση αποστολέα (ψηφιακή υπογραφή) –Χρησιμοποιείται επίσης για την υπογραφή ψηφιακών πιστοποιητικών Μήνυμα Δημόσιο Κλειδί Α Μετάδοση Αποστολέας Α Παραλήπτης Π Αλγόριθμος Κατακερματισμού Περίληψη Μηνύματος Ιδιωτικό Κλειδί Α Αλγόριθμος Κρυπτογραφίας Αλγόριθμος Κατακερματισμού Σύγκριση

17 Ψηφιακά Πιστοποιητικά Βεβαιώνουν την ακεραιότητα του Δημόσιου κλειδιού. Βεβαιώνουν τη σύνδεση ενός δημόσιου κλειδιού με ένα άτομο ή οργανισμό μέσω της Έμπιστης Τρίτης Οντότητας (Trusted Third Party). Ανάλογα με την Αρχή Πιστοποίησης το πιστοποιητικό έχει και διαφορετικό εύρος αναγνώρισης. Συνήθως υπάρχει ιεραρχία πιστοποίησης που ορίζεται από το X.509. Από τι αποτελείται ένα ψηφιακό πιστοποιητικό: –Κάποια πληροφοριακά στοιχεία για το χρήστη του –Το δημόσιο κλειδί του χρήστη –Το όνομα μιας Αρχής Πιστοποίησης –Την ψηφιακή υπογραφή της Αρχής Πιστοποίησης

18 Ψηφιακά Πιστοποιητικά (2) Υπογραφή ενός ψηφιακού πιστοποιητικού με το ιδιωτικό κλειδί της Αρχής Πιστοποίησης

19 Ιοί, Δούρειοι ίπποι (trojans – προγράμματα "σε απόκρυψη") –Έχουν αργή μετάδοση, προσκείμενοι σε εκτελέσιμα προγράμματα Αυτόματα διαδιδόμενοι ιοί (worms) –Εκμεταλλεύονται συνήθως προβλήματα λογισμικού σε Λ.Σ. ή εφαρμογές για να μεταδοθούν στο Διαδίκτυο Διαδίδονται σε υπολογιστές με κοντινές σε τιμή διευθύνσεις IP και το ίδιο πρόβλημα ή από προκαθορισμένη λίστα διευθύνσεων –Σε ορισμένες περιπτώσεις χρησιμοποιούνται παραπλανητικά μηνύματα email που παρασύρουν το χρήστη στο να εκτελέσει συγκεκριμένες ενέργειες στον υπολογιστή του Μέσω email χρησιμοποιούν τον κατάλογο διευθύνσεων του χρήστη για τη μετάδοση τους σε νέους χρήστες –Εφόσον χρησιμοποιήσουν ιδιαίτερα διαδεδομένο πρόβλημα είναι δυνατόν να εξαπλωθούν με μεγάλη ταχύτητα σε ολόκληρο το Διαδίκτυο –Οι Δούρειοι Ίπποι πολλές φορές χρησιμοποιούν worms για τη μετάδοση τους Κακόβουλο λογισμικό (malware)

20 Τι είναι ένα Firewall: –"Ένα σύστημα ή συνδυασμός συστημάτων που ελέγχουν την πρόσβαση και παρέχουν έναν βαθμό ασφάλειας μεταξύ δικτύων" Marcus J. Ranum, δημιουργός του πρώτου firewall Λειτουργία –Δρομολογητής που ελέγχει την κίνηση (Screening router / Bastion Host). Μπορεί να συνδυαστεί με την ύπαρξη ιδιωτικών εσωτερικών διευθύνσεων και μετάφραση στο σύνορο (Network Address Translation). –Ο πιο απλός Firewall είναι ο δρομολογητής με σωστά στημένες ACLs Για να χρησιμοποιήσουμε Firewall χρειάζεται να σχεδιαστεί κατάλληλα το δίκτυο, σύμφωνα με τις πολιτικές ασφαλείας Συστήματα Δικτυακής Προστασίας Firewalls

21 Βασικοί κανόνες Deny ή Allow IP, TCP, UDP, ICMP, κ.λπ. Πηγή - Ξεχωριστές διευθύνσεις IP ή ομαδοποιήσεις τους Προορισμός Παράδειγμα (από δρομολογητή Cisco): 100 permit tcp any host 171.16.23.1 eq 80 access-list 100 permit tcp any host 171.16.23.1 eq 80 –Οι σύγχρονοι Firewall έχουν πολλά επιπλέον χρήσιμα χαρακτηριστικά Γραφικό περιβάλλον Ορισμό ομάδων κανόνων Ορισμό περιοχών προστασίας και ομάδων χρηστών Διαδικασία ενημέρωσης κανόνων μέσω εξυπηρετητών και σύμφωνα με τις εταιρικές πολιτικές ασφαλείας κ.λπ. Συστήματα Δικτυακής Προστασίας (2) Firewalls

22 Πολιτικές πρόσβασης –Απαγόρευση όλων των συνδέσεων πλην εξαιρέσεων ("Deny unless allowed") – χρησιμοποιείται για ισχυρή προστασία, συνήθως στην εισερχόμενη κίνηση ενός δικτύου. –Διέλευση όλων πλην εξαιρέσεων ("Allow unless denied") – δίνει μεγαλύτερη ελευθερία –Επιπλέον: Διέλευση κίνησης που έχει ήδη ολοκληρώσει το TCP-Three Way Handshake (Established) Απαγόρευση πακέτων που δεν έχουν τις προβλεπόμενες διευθύνσεις προέλευσης (προστασία από το spoofing) Συστήματα Δικτυακής Προστασίας (3) Firewalls

23 Firewalls - παραδείγματα χρήσης (1)

24 Firewalls - παραδείγματα χρήσης (2) "Αποστρατικοποιημένη Ζώνη" ("Demilitarized" Zone) –Παρέχει αυξημένη πρόσβαση σε κάποια συστήματα του δικτύου χωρίς να θέτει σε κίνδυνο το υπόλοιπο ΤοFirewall αποτελεί το σημείο υλοποίησης της πολιτικής ασφάλειας του οργανισμού: Έλεγχος συνδέσεων Έλεγχος πρόσβασης ανά περιοχή

25 Firewalls - παραδείγματα χρήσης (3) Το Firewall υλοποιεί πολιτικές πρόσβασης ανάμεσα στα διάφορα τμήματα του οργανισμού X

26 Τα υπολογιστικά συστήματα, ασχέτως κατασκευαστή και λειτουργίας, είναι ευάλωτα σε πολλαπλές απειλές, η δε πλήρης εξασφάλιση τους είναι τεχνικά δύσκολη και οικονομικά ασύμφορη. Ένα IDS παρακολουθεί το περιβάλλον στο οποίο είναι εγκατεστημένο –Υπολογιστικό σύστημα (Host based IDS) –Δίκτυο (Network Based IDS) Μεθοδολογίες ανίχνευσης –Σύγκριση των στοιχείων που συλλέγονται με συγκεκριμένες "υπογραφές" ("signatures") γνωστών περιστατικών ασφαλείας – Misuse Detection –Στατιστική ανάλυση κάποιων παραμέτρων ώστε να αναγνωριστεί η απόκλιση από τις συνηθισμένες τιμές τους – Anomaly Detection Συστήματα Ανίχνευσης Επιθέσεων (1) Intrusion Detection Systems (IDS)

27 Παράδειγμα: το σύστημα IDS Snort (2) Σύστημα IDS που παρακολουθεί την κίνηση στο δίκτυο αναζητώντας "υπογραφές" γνωστών επιθέσεων στα πακέτα που παρακολουθεί. –Εγκατάσταση σε σημείο απ' όπου διέρχεται η κίνηση του δικτύου –Οι υπογραφές περιγράφονται με κανόνες που εισάγονται στο σύστημα Σύστημα ανοιχτού κώδικα (Open Source Project) Υποστήριξη επεκτάσεων (plugins) για πρόσθετη λειτουργικότητα Παράδειγμα κανόνα (προσπάθεια παράνομης εκτέλεσης εντολών με το cmd.exe στον εξυπηρετητή WEB-IIS): alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-IIS cmd.exe access"; flow:to_server,established; uricontent:"cmd.exe"; classtype:web-application-attack;)

28 Βασική αρχιτεκτονική συστημάτων IDS Συστήματα Ανίχνευσης Επιθέσεων (3)

29 Παράμετροι αποτίμησης ποιότητας συστημάτων IDS –Ακρίβεια: Τί συχνότητα εμφάνισης έχουν οι εσφαλμένα θετικές ανιχνεύσεις (false positives) δηλαδή η θεώρηση νόμιμων λειτουργιών ως επιθέσεις –Απόδοση. Πόσο γρήγορα μπορεί να συλλέξει στοιχεία και να επεξεργαστεί αναφορές. Ειδικά σε περιπτώσεις όπου υπάρχει μεγάλη ροή πληροφορίας (π.χ. συστήματα NIDS που παρακολουθούν δικτυακές συνδέσεις υψηλής ταχύτητας) –Πληρότητα Ανίχνευσης: Το ποσοστό επιθέσεων που θα καταφέρει να ανιχνεύσει. –Αντοχή σε επιθέσεις προς το ίδιο το σύστημα IDS –Ταχύτητα κατάληξης σε συμπεράσματα Συστήματα Ανίχνευσης Επιθέσεων (3)