ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Επανάληψη (ΙΙ) ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ ΧΡΗΣΗ ΔΗΜΟΣΙΩΝ ΚΛΕΙΔΙΩΝ ΣΥΣΤΗΜΑΤΑ ΑΣΦΑΛΟΥΣ ΠΡΟΣΒΑΣΗΣ ΗΛΕΚΤΡΟΝΙΚΟ ΤΑΧΥΔΡΟΜΕΙΟ FIREWALLS ΕΙΚΟΝΙΚΑ ΙΔΙΩΤΙΚΑ ΔΙΚΤΥΑ (VPN) ΑΝΩΝΥΜΙΑ, TOR ΣΥΓΚΛΙΣΗ ΕΠΙΚΟΙΝΩΝΙΩΝ – IMS ΕΝΟΠΟΙΗΜΕΝΑ ΣΥΣΤΗΜΑΤΑ ΔΙΑΧΕΙΡΙΣΗΣ Β. Μάγκλαρης 11/01/2016
ΘΕΜΑΤΙΚΕΣ ΠΕΡΙΟΧΕΣ ΑΣΦΑΛΕΙΑΣ Είδη Απειλών και Επιθέσεων Προστασία – Πολιτικές – Αρχιτεκτονικές Ελέγχου Πρόσβασης (Authentication & Authorization Infrastructures - ΑΑΙ) & Διαχείρισης Δημοσίων Κλειδιών (Public Key Infrastructures - PKI) – Εργαλεία (Access Control Lists – ACLs, Firewalls) – Συστήματα Εντοπισμού Επιθέσεων (Intrusion Detection Systems – IDS) & Ανωμαλιών (Anomaly Detection Systems) Κρυπτογραφία Η σίγουρη μέθοδος εξασφάλισης ενός δικτύου:
ΚΡΥΠΤΟΓΡΑΦΙΑ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ: Confidentiality Ο Αποστολέας A γνωρίζει το Δημόσιο Κλειδί του Παραλήπτη Π (π.χ. με Ψηφιακό Πιστοποιητικό από Certification Authority CA, self-signed ή υπογραμμένο από 3 ης έμπιστη οντότητα – Third Trusted Party TTP, στα πλαίσια Υποδομής Δημοσίου Κλειδιού - Public Key Infrastructure PKI) – Κρυπτογράφηση: Με το Δημόσιο Κλειδί του Π – Αποκρυπτογράφηση: με το Ιδιωτικό Κλειδί του Π ΜήνυμαΚρυπτογραφημένο Μήνυμα Κρυπτ. Μήνυμα Αρχικό Μήνυμα Μετάδοση Ιδιωτικό Κλειδί Π Αποστολέας Α Παραλήπτης Π Αλγόριθμος Δημόσιο Κλειδί Π
ΚΡΥΠΤΟΓΡΑΦΙΑ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ: Sender Authentication / Non Repudiation – Message Integrity Οι Αποστολέας Α και Παραλήπτης Π κατέχουν ζεύγη Δημοσίου & Ιδιωτικού Κλειδιού και έχουν αμοιβαία γνώση των Δημοσίων Κλειδιών & αλγορίθμων κρυπτογράφησης - κατακερματισμού Ο Αποστολέας Α προσθέτει Ψηφιακή Υπογραφή (Digital Signature) στο μήνυμα με κρυπτογράφηση με το Ιδιωτικό του κλειδί περίληψης (hash) του μηνύματος που προκύπτει με αλγόριθμο κατακερματισμού (hashing algorithm) Ο Παραλήπτης Π επιβεβαιώνει (authenticate) την ταυτότητα του Α, χωρίς δυνατότητά του Α άρνησης της αποστολής (non-repudiation) & επιβεβαιώνει την μη αλλοίωση του μηνύματος (message integrity) με βάση την σύγκριση: Ψηφιακής Υπογραφής, αποκρυπτογραφημένης στον Π με το γνωστό Δημόσιο Κλειδί του Α Νέας περίληψης του ληφθέντος (μη κρυπτογραφημένου) κυρίως μηνύματος που δημιουργεί ο Π με τον ίδιο γνωστό αλγόριθμο κατακερματισμού Μήνυμα Μετάδοση Αποστολέας ΑΠαραλήπτης Π Αλγόριθμος Κατακερματισμού (Hashing Algorithm) Περίληψη Μηνύματος (Hash) Ιδιωτικό Κλειδί Α Αλγόριθμος Κρυπτογραφίας Αλγόριθμος Κατακερματισμού Σύγκριση Δημόσιο Κλειδί Α Digital Signature
ΨΗΦΙΑΚΗ ΥΠΟΓΡΑΦΗ 5
ΨΗΦΙΑΚΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ Χ Αν συνοδεύουν υπογραμμένο μήνυμα, βεβαιώνουν τη γνησιότητα του Δημοσίου Κλειδιού του αποστολέα (subject) κατά μια Τρίτη Έμπιστη Οντότητα TTP - Third Trusted Party: Την Αρχή Πιστοποίησης, Certification Authority – CA Αν χρειάζεται και έλεγχος του Δημοσίου Κλειδιού της CA, μπορεί να αποστέλλεται και 2 ο (ή και 3 ο, 4 ο …πιστοποιητικό) από ιεραρχικά δομημένες CA Η CA υπογράφει ένα ψηφιακό πιστοποιητικό με το Ιδιωτικό Κλειδί της. Το Δημόσιο Κλειδί της (ανώτερης) CA πρέπει να είναι γνωστό στους παραλήπτες (π.χ. ενσωματωμένο στον Web browser) ή αποδεκτό λόγω σχέσης εμπιστοσύνης (π.χ. σε περιπτώσεις Self- Signed CA)
ΜΕΙΚΤΟ ΣΥΣΤΗΜΑ ΑΣΦΑΛΟΥΣ ΠΡΟΣΒΑΣΗΣ (SSL/TLS - Secure Sockets Layer / Transport Layer Security) 7 1 η Φάση: Handshaking – Ο χρήστης (User) U λαμβάνει γνώση του Δημοσίου Κλειδιού του εξυπηρετητή (Server) S με Ψηφιακό Πιστοποιητικό από Certification Authority CA self-signed ή υπογραμμένο από 3 ης έμπιστη οντότητα – Third Trusted Party TTP, στα πλαίσια αρχιτεκτονικής Public Key Infrastructure PKI – Ο U δημιουργεί Κοινό Συμμετρικό Κλειδί με τυχαίο αλγόριθμο και το κοινοποιεί στον S κρυπτογραφημένο με το Δημόσιο Κλειδί του S 2 η Φάση: Κρυπτογραφημένος Διάλογος με Κοινό Συμμετρικό Κλειδί – Γρήγορη συμμετρική κρυπτογραφία σε Secure Channel μεταξύS – U (το Συμμετρικό Κλειδί ισχύει μόνο για το συγκεκριμένο session) ΠΑΡΑΤΗΡΗΣΗ: – Ο U δεν απαιτείται να έχει Πιστοποιητικό με Δημόσιο Κλειδί (ψηφιακή υπογραφή), μόνο ο S (Server Based Authentication) – Αν απαιτείται Ταυτοποίηση – Εξουσιοδότηση του U από τον S (Client & Server Based Authentication) απαιτείται μετάδοση από το secure channel Digital Identity του Client (συνήθως User_Name/Password ή Client Certificates αν υπάρχουν) έλεγχος στον S σε Βάση Δεδομένων Χρηστών (με πρωτόκολλο LDAP - TCP π.χ. για εφαρμογές Web, Mail… και με πρωτόκολλο RADIUS – UDP αν μεσολαβεί Remote Access Server π.χ. για πρόσβαση DSL, WiFi roaming…)
Τρόποι Ταυτοποίησης Χρηστών: – Username, Password – LDAP Server (Lightweight Directory Access Protocol) – RADIUS (Remote Authentication Dial-In User Service) – Active Directory (MS Windows) Οι Υποδομές Ταυτοποίησης & Εξουσιοδότησης (ΑΑΙ) επιτρέπουν πρόσβαση Single Sign-On (SSO) σε χρήστες διαδικτυακών πόρων κατανεμημένων σε παρόχους με αμοιβαία εμπιστοσύνη: – Ταυτοποίηση (Authentication) μια φορά – Εξουσιοδότηση ξεχωριστά με κάθε πάροχο Μεσολάβηση Παρόχου Tαυτότητας (Identity Provider - IdP) π.χ. Facebook, Twitter, Google User Accounts για – Εξουσιοδότηση Single Sign-On σε υπηρεσίες με σχετικό security token συνδρομητή από IdP σε Service Providers που το εμπιστεύονται (π.χ. OAuth – Open standard for Authorization, SAML - Security Assertion Markup Language) – Επιβεβαίωση Ισχυρισμών Ταυτότητας (Identity Assertion) από WAYF (Where Are You From) servers μέσω πρωτοκόλλου SAML ή από LDAP servers με πιστοποιητικά X509 Συνέργεια IdP σε ομόσπονδα σχήματα AAI (π.χ. US Internet2 Shibboleth, GÉANT eduGAIN) ΕΛΕΓΧΟΣ ΠΡΟΣΒΑΣΗΣ ΧΡΗΣΤΗ, AAI Single Sign-On, ΠΑΡΟΧΟΙ ΤΑΥΤΟΤΗΤΑΣ IdP AAI – Authentication & Authorization Infrastructure 8
ΗΛΕΚΤΡΟΝΙΚΟ ΤΑΧΥΔΡΟΜΕΙΟ (1/2) ΗΛΕΚΤΡΟΝΙΚΟ ΤΑΧΥΔΡΟΜΕΙΟ (1/2) 9
ΗΛΕΚΤΡΟΝΙΚΟ ΤΑΧΥΔΡΟΜΕΙΟ (2/2) Σχήμα με IMAP/POP3 Clients (Outlook, Thunderbird, Fedora…) IMAP: Κρατάει αντίγραφα s και συντηρεί mail folders των users στον server POP3: Δεν κρατάει αντίγραφα s στον server αφού διώξει τα s στον client (πρόβλημα για χρήστες που λαμβάνουν σε πολλαπλούς clients) Παράδειγμα Web Mail
ΠΑΡΑΔΕΙΓΜΑ ΧΡΗΣΗΣ Firewall "Αποστρατικοποιημένη Ζώνη" Demilitarized Zone - DMZ Παρέχει αυξημένη πρόσβαση σε κάποια συστήματα του δικτύου χωρίς να θέτει σε κίνδυνο το υπόλοιπο Το Firewall αποτελεί το σημείο υλοποίησης της πολιτικής ασφάλειας του οργανισμού: Έλεγχος συνδέσεων Έλεγχος πρόσβασης ανά περιοχή
ΕΙΚΟΝΙΚΑ ΙΔΙΩΤΙΚΑ ΔΙΚΤΥΑ Virtual Private Networks - VPNs Με τα VPNs χρήστες κοινών κατανεμημένων πόρων διαμοιράζονται δημόσια δίκτυα μεγάλης αποστάσεως (public wide area networks – WANs) όπως το Internet ή δίκτυο IP/MPLS, διασφαλίζοντας: Απομόνωση από άλλες κοινότητες π.χ. μέσω ενθυλάκωσης πακέτων του VPN (μαζί με τους ιδιωτικούς headers) σε πακέτα συμβατά με πρωτόκολλα Δημοσίου Δικτύου (tunneling) Διαχείριση δικτυακών πόρων & υπηρεσιών ανά VPN: o Επέκταση πεδίου διευθύνσεων VLAN tags ή IP σε απομακρυσμένες νησίδες ενός VPN o Δρομολόγηση με περιορισμούς ασφαλείας και διαμοιρασμού φορτίου – traffic engineering o Ασφαλής μετάδοση και σηματοδοσία όπως σε ελεγχόμενο τοπικό δίκτυο (Local Area Network – LAN)
ΕΙΔΗ VPNs & Tunneling Protocols Layer 2 VPN (L2VPN): Επέκταση L2/VLAN over Provider WAN π.χ. o Point-to-point L2TP (Layer 2 Tunneling Protocol) πάνω από IP/MPLS Provider Network o Point-to-point Επεκτάσεις PW (Pseudo-Wire) πάνω από IP/MPLS Provider Network o Multipoint VPLS (Virtual Private LAN Service) πάνω από MPLS Provider Network o Επέκταση Mac-in-Mac (IEEE 802.1ah) πάνω από L2 Provider Bridge Network Layer 3 VPN (L3VPN): Επέκταση IP Intranet σε Extranet μέσω Provider WAN π.χ. o IP ή MPLS tunnels μεταξύ εικονικών δρομολογητών (Virtual Routing & Forwarding, VRF) ορισμένων στους PE Nodes (Routers) ανά VPN o Διαδικασία Ασφαλούς Επικοινωνίας IPsec Tunnels μεταξύ PE’s BGP/IP Provider Network(s) o Generic Routing Encapsulation GRE Tunnels μεταξύ PE’s BGP/IP Provider Network(s) o Διαδικασία Ασφαλούς Επικοινωνίας OpenVPN Tunnels μεταξύ τερματικών συσκευών χρηστών client - server, hosted σε διαφορετικά διαχειριστικά περιβάλλοντα μέσω SSL/TLS (συνήθως προτιμάται η χρήση πρωτοκόλλων UDP και η προ-εγκατάσταση certificates στον client) 13
IPsec TUNNELING ECE 454/CS 594, Jinyuan (Stella) Sun, Univ. of Tennessee, Fall 2011 SA: Security Associations (one way) – SPI: Security Parameter Index (Cryptographic algorithms, keys, lifetimes, sequence numbers, mode - transport or tunnel) – Εναλλακτικές SA, αποθηκευμένες σε IPsec nodes, ενεργοποιούνται με επιλογή του πακέτου AH: Authentication Header – Επιβεβαίωση ταυτότητας αποστολέα (Sender Authentication) & μη παραποίησης μηνύματος (Message Integrity) ESP: Encapsulating Security Payload – εμπιστευτικότητα, Confidentiality) IKE: Internet Key Exchange (handshaking protocol για συμφωνία SA) 14 IP header (real dest) IPsec headerTCP/UDP header + data IP header (gateway) IPsec headerTCP/UDP header + data IP header (real dest) Transport Mode Ασφάλεια Περιεχομένου Tunnel Mode Ασφάλεια Πακέτου (με το αρχικό IP header) IPsec: Ανεξάρτητο Εφαρμογών ενώ TLS: για Web SSH: για Remote Login
GENERIC ROUTING ENCAPSULATION (GRE) 15 tunneling-ipv4-gre-components.html tunneling-ipv4-gre-components.html ΔΙΑΔΙΑΚΑΣΙΑ ΕΝΘΥΛΑΚΩΣΗΣ - GRE Tunneling Το payload packet πρέπει να μεταφερθεί από C1 σε C2 όπως σε ευθείας μονοκατευθυντική σύνδεση Το encapsulation filter εισάγει GRE header με μοναδικό κλειδί για πακέτα C1 C2 (δεν ισχύει για C2 C1) Το αποτέλεσμα ενθυλακώνεται με IPv4 header και προωθείται σαν IP datagram από τον encapsulator στον de- encapsulator Το de-encapsulation filter ανακτά το payload packet και το προωθεί στον C2
Anonymity Network - The Onion Router (Tor) Tor Project: Δεκαετία του 1990! Απαιτείται ειδικός browser στον client Βασίζεται σε υπερκείμενο (overlay) δίκτυο από Tor relays συνδεμένα σε public Internet routers Ο browser του χρήστη ανοίγει encrypted TLS session με Entry Node δημιουργώντας Session Key 1 Το session επεκτείνεται σε Middle Node μέσω Node-to-Node Key και δημιουργείται Session Key 2 Ο Exit Node ανοίγει session με τον Server και μεσολαβεί για Session Key 3 χωρίς να γνωρίζει το IP του χρήστη (anonymity) Η ανταλλαγή data μεταξύ user browser και server περνά από διαδοχικά στρώματα κρυπτογράφησης (εξ’ ου και onion router)
Tor Encrypted Overlay: The Dark Web access-it access-it access-it 17 Deep Web: Sites μη ανοικτής πρόσβασης (not indexed by search engines, π.χ. Google) Dark Web: Υποσύνολο του Deep Web με προστασία ανωνυμίας sites & users μέσω Tor
ΕΝΟΠΟΙΗΜΕΝΗ ΑΡΧΙΤΕΚΤΟΝΙΚΗ IMS Άποψη της ITU-T & Τηλεπικοινωνιακών Παρόχων (TELCO Operators) για Converged Networking PS UE SGSN Internet HSS IMS P-CSCF GGSN Application Server SIP phone Media Server Gi/Mb MwMg Mb Gi Mn MGCF TDM IM-MGW ISUP Mb Cx Go Signaling CSCF — Call Session Control Function IM-MGW — IM-Media Gateway MGCF — Media Gateway Control Function MRF — Media Resource Function MRF Gm SIP Mp PSTN CPE ISC CSCF
ΕΝΟΠΟΙΗΜΕΝΗ ΠΛΑΤΦΟΡΜΑ ΔΙΑΧΕΙΡΙΣΗΣ