Εισαγωγή στα Δίκτυα και Διαδίκτυα Βασικά θέματα ασφάλειας δικτύων ΠΡΟ.ΜΕ.Σ.Ι.Π Δίκτυα και Διαδίκτυα
Ακαδημαϊκό Έτος Οργάνωση μαθήματος Συνδιδασκαλία Γεώργιος Παπαδημητρίου, Αναπληρωτής Καθηγητής Τμήματος Πληροφορικής Α.Π.Θ. Πετρίδου Σοφία, Διδάκτορας Τμήματος Πληροφορικής Α.Π.Θ. Υλικό μαθήματος Διαφάνειες, εργαστηριακές ασκήσεις Εισήγηση Τρίτη 16: :30 Εργαστήριο Αρχιτεκτονικής και Δικτύων Υπολογιστών, Ημιόροφος, Κτίριο Βιολογίας
Ακαδημαϊκό Έτος Απαιτήσεις Η παρακολούθηση των διαλέξεων είναι υποχρεωτική, τηρείται παρουσιολόγιο Σχηματισμός ομάδων για την εκπόνηση εργασίας εξαμήνου Παρουσίαση των εργασιών στα 4 τελευταία μαθήματα: 29/05, 12/06, 19/06 και 26/06 Η αξιολόγηση θα προκύψει από την εργασία και την παρουσίασή της
Ακαδημαϊκό Έτος Ύλη Tο μάθημα ασχολείται με τα Δίκτυα Υπολογιστών δίνοντας έμφαση σε ζητήματα Ασφάλειας και Διαχείρισης Δικτύων. Τα θέματα που καλύπτει μεταξύ άλλων είναι: Εισαγωγή στα Δίκτυα και Διαδίκτυα βασικές θέματα ασφάλειας δικτύων αρχιτεκτονική των μοντέλων OSI και TCP/IP διαδικασίες προτυποποίησης στο Internet Βασικά θέματα διαχείρισης δικτύων Το πρωτόκολλο SNMP Τεχνολογίες αναχωμάτων ασφαλείας Ασφάλεια Εφαρμογών Διαδικτύου το πρωτόκολλο SSL Βασικά θέματα Κρυπτογραφίας
Ακαδημαϊκό Έτος Οι επικρατούσες αρχιτεκτονικές σήμερα είναι δύο: TCP/IP 1. Πρωτόκολλο Ελέγχου Μετάδοσης/ Πρωτόκολλο Διαδικτύωσης TCP/IP (Transmission Control Protocol/ Internet Protocol) μοντέλο του Internet OSI 2. Διασύνδεση Ανοικτών Συστημάτων OSI (Open System Interconnection): μοντέλο OSI Και στις δύο αρχιτεκτονικές χρησιμοποιείται η μεθοδολογία της στρωμάτωσης (layering) Αρχιτεκτονικές δικτύων
Ακαδημαϊκό Έτος Μοντέλο του Internet: TCP/IP
Ακαδημαϊκό Έτος Μοντέλο OSI
Ακαδημαϊκό Έτος OSI vs TCP/IP
Ακαδημαϊκό Έτος Κατά την επικοινωνία μεταξύ στρωμάτων διακρίνονται: Μονάδα Δεδομένων Εξυπηρέτησης (SDU - Service Data Unit): τα δεδομένα και οι πληροφορίες ελέγχου του ανώτερου στρώματος Πληροφορίες Ελέγχου Πρωτοκόλλου (PCI - Protocol Control Information): είναι οι πληροφορίες του πρωτοκόλλου του εκάστοτε στρώματος Μονάδα Δεδομένων πρωτοκόλλου (PDU - Protocol Data Unit): είναι ένας συνδυασμός SDU και PCI (Ν)-PDU (Ν-1)-SDU (N-1)-PDU(N)-Στρώμα (Ν-1)-PCI (N-1)-Στρώμα Ενθυλάκωση
Ακαδημαϊκό Έτος Ενθυλάκωση στο TCP/IP
Ακαδημαϊκό Έτος Δρομολόγηση στο TCP/IP
Ακαδημαϊκό Έτος TCP/IP: Επίπεδο πρόσβασης δικτύου oΕπίπεδο πρόσβασης δικτύου (Network Access Layer): χαμηλότερο επίπεδο του μοντέλου Internet oΠρωτόκολλα τοπικών δικτύων: Ethernet, Token bus, Token ring oΤεχνολογίες συνδέσεων Σημείο-προς-σημείο (point-to-point): PPP, SLIP
Ακαδημαϊκό Έτος TCP/IP: Επίπεδο Internet Πρωτόκολλα του επιπέδου Internet (Internet layer): IP, ICMP, ARP, RARP Πρωτόκολλο IP: είναι υπεύθυνο για τη διευθυνσιοδότηση και τη δρομολόγηση των πακέτων που δημιουργούνται από πρωτόκολλα ανώτερου επιπέδου (TCP, UDP) Δεν υπάρχει άμεση σύνδεση μεταξύ των εργασιών του χρήστη και του IP οι εργασίες του χρήστη χρησιμοποιούν TCP ή UDP και το IP αναλαμβάνει τη μετάδοσή τους Σε κάθε διεπαφή του δικτύου αντιστοιχίζεται μια IP διεύθυνση Χαρακτηρίζεται ως πρωτόκολλο χωρίς σύνδεση (connectionless)
Ακαδημαϊκό Έτος TCP/IP: Επίπεδο Internet Διευθύνσεις IP Μια διεύθυνση στο TCP/IP αποτελείται από 32 bits οργανωμένα σε 4 πεδία με εύρος Παράδειγμα IP διεύθυνσης: Μια διεύθυνση IP περιλαμβάνει 2 τμήματα: την ταυτότητα δικτύου (network identifier) η οποία αναγνωρίζει με μοναδικό τρόπο ένα τμήμα του δικτύου την ταυτότητα κόμβου (host identifier) η οποία αναγνωρίζει με μοναδικό τρόπο μια μοναδική συσκευή που είναι συνδεδεμένη στο συγκεκριμένο τμήμα δικτύου
Ακαδημαϊκό Έτος TCP/IP: Επίπεδο Internet Διευθύνσεις IP Κλάση Α: 0nnnnnnn hhhhhhhh hhhhhhhh hhhhhhhh Πρώτο ψηφίο 0; 7 network bits; 24 host bits Πρώτο byte: 0 ( ) – 127 ( ) Πλήθος δικτύων: 2^7 = 128 Πλήθος hosts: 2^ =
Ακαδημαϊκό Έτος TCP/IP: Επίπεδο Internet Διευθύνσεις IP Κλάση B: 10nnnnnn nnnnnnnn hhhhhhhh hhhhhhhh Πρώτα ψηφία 10; 14 network bits; 16 host bits Πρώτο byte: 128 ( ) – 191 ( ) Πλήθος δικτύων: 2^14 = Πλήθος hosts: 2^ =
Ακαδημαϊκό Έτος TCP/IP: Επίπεδο Internet Διευθύνσεις IP Κλάση C: 110nnnnn nnnnnnnn nnnnnnnn hhhhhhhh Πρώτα ψηφία 110; 21 network bits; 8 host bits Πρώτο byte: 192 ( ) – 223 ( ) Πλήθος δικτύων: 2^21 = Πλήθος hosts: 2^8 - 2 = 254
Ακαδημαϊκό Έτος TCP/IP: Επίπεδο Internet Διευθύνσεις IP Κλάση D: χρησιμοποιείται για πολλαπλή μετάδοση μηνύματος(multicast) Κλάση E: δεσμευμένη για μελλοντική χρήση
Ακαδημαϊκό Έτος TCP/IP: Επίπεδο Internet IPv4 πακέτο
Ακαδημαϊκό Έτος Στόχος: επιτρέπει στον κόμβο να λάβει δυναμικά την IP διεύθυνση του μόλις συνδεθεί στο δίκτυο Μπορεί να την αλλάξει ανά πάσα στιγμή Επιτρέπει επαναχρησιμοποίηση διευθύνσεων (αποδεσμεύονται μόλις αποσυνδεθεί ο χρήστης) Υποστήριξη φορητών χρηστών που συνδέονται στο δίκτυο Το DHCP συνοπτικά: ο κόμβος μεταδίδει μήνυμα “DHCP discover” ο DHCP διακομιστής απαντάει με μήνυμα “DHCP offer” ο κόμβος αιτείται μια IP διεύθυνση με μήνυμα: “DHCP request” ο DHCP διακομιστής στέλνει το μήνυμα επιβεβαίωσης: “DHCP ack”
Ακαδημαϊκό Έτος A B E DHCP server ο DHCP πελάτης ζητάει διεύθυνση σε αυτό το δίκτυο
Ακαδημαϊκό Έτος Network Layer DHCP διακομιστής: πελάτης time DHCP discover src : , 68 dest.: ,67 yiaddr: transaction ID: 654 DHCP offer src: , 67 dest: , 68 yiaddrr: transaction ID: 654 Lifetime: 3600 secs DHCP request src: , 68 dest:: , 67 yiaddrr: transaction ID: 655 Lifetime: 3600 secs DHCP ACK src: , 67 dest: , 68 yiaddrr: transaction ID: 655 Lifetime: 3600 secs
Ακαδημαϊκό Έτος τοπικό δίκτυο (π.χ. οικιακό δίκτυο) /24 υπόλοιπο Διαδίκτυο Datagrams με πηγή ή προορισμό στο τοπικό δίκτυο έχουν διεύθυνση πηγής ή προορισμού x Όλα τα datagrams που φεύγουν από το τοπικό δίκτυο έχουν την ίδια μοναδική IP διεύθυνση: Η τεχνολογία NAT «κρύβει» το τοπικό δίκτυο από τον έξω κόσμο.
Ακαδημαϊκό Έτος Κίνητρο:το τοπικό δίκτυο χρησιμοποιεί μία μόνο διεύθυνση όσον αφορά τον έξω κόσμο: δεν απαιτείται εκχώρηση μπλόκ διευθύνσεων από τον ISP: Μία διεύθυνση χρησιμοποιείται για όλες τις συσκευές οι τοπικές διευθύνσεις μπορούν να αλλάξουν χωρίς να ενημερωθεί ο έξω κόσμος ο ISP μπορεί να αλλάξει χωρίς να αλλάξουν οι διευθύνσεις των τοπικών συσκευών ασφάλεια: οι συσκευές στο εσωτερικό δίκτυο δεν φαίνονται προς τα έξω
Ακαδημαϊκό Έτος Υλοποίηση:Ο δρομολογητής NAT πραγματοποιεί: εξερχόμενα datagrams:αντικατάσταση (IP αποστολέα, # πόρτας) για κάθε εξερχόμενο datagram σε (NAT IP, νέο # πόρτας)... οι απομακρυσμένοι πελάτες/διακομιστές θα στέλνουν δεδομένα έχοντας την (NAT IP, νέο # πόρτας) σαν διεύθυνση προορισμού αποθήκευση (στον πίνακα μετάφρασης NAT) κάθε ζευγάρι μετάφρασης από (IP αποστολεά, # πόρτας) σε(NAT IP, νέο # πόρτας) εισερχόμενα datagrams: αντικατάσταση (NAT IP, νέο # πόρτας) στις διευθύνσεις προορισμού όλων των εισερχόμενων datagrams με τις αντίστοιχες αποθηκευμένες τιμές (IP αποστολέα, # πόρτας)
Ακαδημαϊκό Έτος S: , 3345 D: , :ο στέλνει datagram στον , 80 πίνακας μετάφρασης NAT WAN διεύθυνση LAN διεύθυνση , , 3345 …… S: , 80 D: , S: , 5001 D: , :ο NAT αλλάζει την διεύθυνσή του datagram από , 3345 σε , 5001, ενημερώνει τον πίνακα S: , 80 D: , :Φτάνει απάντηση με διεύθυνση προορισμού: , :ο NAT αλλάζει τη διεύθυνση προορισμού από , 5001 σε , 3345
Ακαδημαϊκό Έτος Η τεχνική NAT δέχεται επικρίσεις: παραβιάζει το αρχιτεκτονικό μοντέλο του IP κάθε συσκευή πρέπει να έχει μοναδική διεύθυνση οι δρομολογητές θα πρέπει να υποστηρίζουν μέχρι το επίπεδο 3 (δικτύου) παραβιάζει τον θεμελιώδη κανόνα της απομόνωσης και ανεξαρτησίας των επιπέδων το έλλειμμα διευθύνσεων μπορεί να αντιμετωπιστεί χρησιμοποιώντας το IPv6 η χρήση NAT θα πρέπει να λαμβάνεται υπόψη από τους σχεδιαστές εφαρμογών (π.χ Torrents)
Ακαδημαϊκό Έτος Αρχικό κίνητρο: οι 32-bit διευθύνσεις τελειώνουν (<10% ελεύθερες). Επιπρόσθετα κίνητρα: η νέα επικεφαλίδα βοηθάει στην επιτάχυνση της επεξεργασίας/προώθησης των πακέτων υποστήριξη QoS στην επικεφαλίδα μορφή IPv6 πακέτων: 40 byte επικεφαλίδα σταθερού μεγέθους δεν επιτρέπεται κατακερματισμός Αναθέτει τον κατακερματισμό στα άκρα (path MTU discovery) Απορρίπτει τα μεγάλα πακέτα και απαντάει με ICMP πακέτο (fragmentation needed)
Ακαδημαϊκό Έτος Προτεραιότητα: ορισμός διαφορετικής προτεραιότητας Ετικέτα ροής: ορίζει τα datagrams που ανήκουν σε μια ροή Επόμενη επικεφαλίδα: πρωτόκολλο του πάνω επιπέδου
Ακαδημαϊκό Έτος Άθροισμα ελέγχου (Checksum): αφαιρέθηκε ώστε να επιταχυνθεί η επεξεργασία των πακέτων Παράμετεροι (Options): επιτρέπεται, αλλά έξω από την επικεφαλίδα (πεδίο επόμενης επικεφαλίδας) ICMPv6: νέα έκδοση του ICMP
Ακαδημαϊκό Έτος Δεν μπορούν όλοι οι δρομολογητές να αναβαθμιστούν ταυτόχρονα Πώς λειτουργούν τα δίκτυα ταυτόχρονα με IPv4 και IPv6 δρομολογητές; χρήση σήραγγας (Tunneling):Το IPv6 πακέτο «ενθυλακώνεται» μέσα σε IPv4 πακέτο
Ακαδημαϊκό Έτος A B E F IPv6 σήραγγα Λογική όψη: Φυσική όψη: A B E F IPv6 IPv4
Ακαδημαϊκό Έτος A B E F IPv6 σήραγγα Λογική όψη: Φυσική όψη: A B E F IPv6 C D IPv4 Flow: X Src: A Dest: F data Flow: X Src: A Dest: F data Flow: X Src: A Dest: F data Src:B Dest: E Flow: X Src: A Dest: F data Src:B Dest: E A-στο-B: IPv6 E-στο-F: IPv6 B-στο-C: IPv6 μέσα σεIPv4 D-στο-E: εξαγωγή του IPv6
Ακαδημαϊκό Έτος TCP/IP: Επίπεδο Internet Πρωτόκολλο ελέγχου μηνυμάτων στο Internet (ICMP - Internet Control Message Protocol): είναι υπεύθυνο για την αποστολή πληροφοριών και μηνυμάτων ελέγχου μεταξύ διασυνδεδεμένων ξενιστών υπολογιστών π.χ. μηνύματα echo και reply της εντολής ping Πρωτόκολλο ανάλυσης διευθύνσεων (ARP - Address Resolution Protocol): στόχος του ARP είναι η αντιστοίχηση μιας διεύθυνσης Διαδικτύου IP σε μια διεύθυνση υλικού MAC, αποθηκεύει το ζεύγος IP- MAC Πρωτόκολλο αντίστροφης ανάλυσης διευθύνσεων (RARP – Reverse Address Resolution Protocol): επιτελεί την αντίστροφη διαδικασία από το πρωτόκολλο ARP, αντιστοιχίζει μια διεύθυνσης υλικού MAC σε μια διεύθυνση Διαδικτύου IP
Ακαδημαϊκό Έτος TCP/IP: Επίπεδο μεταφοράς Πρωτόκολλα του επιπέδου μεταφοράς (Transport layer): ΤCP, UDP Πρωτόκολλο TCP (Transmission Control Protocol): προσανατολισμένο σε εγκατάσταση σύνδεσης (connection oriented): για να ξεκινήσει μετάδοση δεδομένων πρέπει να εξασφαλιστεί μια διαδρομή (νοητό κύκλωμα) για τη μετάδοση των πακέτων τα δεδομένα θα φθάσουν στον παραλήπτη χωρίς σφάλματα Πρωτόκολλο UDP (User Datagram Protocol): πρωτόκολλο χωρίς εγκατάσταση σύνδεσης (connectionless): η αποστολή πακέτων γίνεται χωρίς σχηματισμό νοητών κυκλωμάτων, υπάρχουν αυτοδύναμα πακέτα (datagrams) τα δεδομένα μπορεί να μη φθάσουν ποτέ στον παραλήπτη
Ακαδημαϊκό Έτος TCP/IP: Επίπεδο μεταφοράς Ενώ το πρωτόκολλο IP επιτελεί λειτουργίες διευθυνσιοδότησης μεταξύ των υπολογιστών, τα πρωτόκολλα ΤCP και UDP ασχολούνται με τη διευθυνσιοδότηση των εφαρμογών θύρες (ports), 16 bits (IANA): 1. well known ports (0–1023) 2. registered ports (1024–49151) 3. dynamic and/or private ports (49152–65535) standard ports non-standard ports
Ακαδημαϊκό Έτος TCP/IP: Επίπεδο μεταφοράς TCP: παρέχει μηχανισμούς ανταλλαγής δεδομένων με αξιοπιστία
Ακαδημαϊκό Έτος TCP/IP: Επίπεδο μεταφοράς TCP: πριν την ανταλλαγή δεδομένων με αξιοπιστία αρχικοποίηση (3-way handshake)
Ακαδημαϊκό Έτος TCP/IP: Επίπεδο μεταφοράς ΑΔΥΝΑΜΙΕΣ TCP/IP Δεν ελέγχεται η αυθεντικότητα των IP διευθύνσεων Χρησιμοποιούνται ψευδοτυχαίοι αριθμοί για να οριστεί το πεδίο ακολουθίας Υπερφόρτωση TCP (flooding attack) Μια οντότητα Α μπορεί να αρχικοποιήσει μια TCP σύνδεση προσποιούμενος μια άλλη οντότητα Γ
Ακαδημαϊκό Έτος TCP/IP: Επίπεδο μεταφοράς UDP: δε θεωρείται αξιόπιστο όσο αφορά την ανταλλαγή δεδομένων μέριμνα ελέγχων σε επίπεδο εφαρμογής
Ακαδημαϊκό Έτος SMTP (Simple Mail Transfer Protocol): υπηρεσία ηλεκτρονικού ταχυδρομείου ( ) TCP/IP: Επίπεδο εφαρμογής Πρωτόκολλα του επιπέδου εφαρμογής που χρησιμοποιούν το ΤCP HTTP (Hypertext Transfer Protocol): υπηρεσία παγκόσμιου ιστού FTP (File Transfer Protocol): υπηρεσία μεταφοράς αρχείων Remote Telnet Login: υπηρεσία απομακρυσμένης πρόσβασης τερματικού NNTP (Network News Transfer Protocol): υπηρεσία μεταφοράς δικτυακών νέων NTP (Network Time Protocol): υπηρεσία διατήρησης κοινής ώρας σε διασυνδεδεμένους υπολογιστές
Ακαδημαϊκό Έτος TCP/IP: Επίπεδο εφαρμογής Πρωτόκολλα του επιπέδου εφαρμογής που χρησιμοποιούν το UDP DNS (Domain Name Service): υπηρεσία αντιστοίχησης domain name-IP NFS (Network File System): υπηρεσία δικτυακής πρόσβασης αρχείων RPC (Remote Procedure Call): υπηρεσία εκτέλεσης διαδικασιών από απόσταση SNMP (Simple Network Management Protocol): υπηρεσία ανταλλαγής πληροφορίας διαχείρισης NIS (Network Information System): υπηρεσία διαμοιρασμού δεδομένων
Ακαδημαϊκό Έτος Βασικές έννοιες (1/6) πληροφορία oΟ όρος πληροφορία στην Επιστήμη των Υπολογιστών αναφέρεται στη γνώση που αποστέλλεται και λαμβάνεται και αφορά συγκεκριμένο γεγονός ή συμβάν, καθώς και στα δεδομένα που μπορούν να κωδικοποιηθούν από έναν υπολογιστή ή παρόμοιου τύπου συσκευή Τεχνολογία της Πληροφορίας (IT – Information Technology) oΟ όρος Τεχνολογία της Πληροφορίας (IT – Information Technology) αναφέρεται σε οποιαδήποτε τεχνολογία πραγματεύεται πληροφορίες και μελετά τρόπους αποτελεσματικής αποθήκευσης, επεξεργασίας και μετάδοσης δεδομένων που κωδικοποιούν πληροφορίες
Ακαδημαϊκό Έτος Βασικές έννοιες (2/6) Ασφάλεια στην Τεχνολογία της Πληροφορίας Ειδικότερα ο όρος Ασφάλεια στην Τεχνολογία της Πληροφορίας (IT Security) (IT Security) πραγματεύεται θέματα σχετικά με την: oασφάλεια ενός υπολογιστικού συστήματος (computer system security): στόχος η διαφύλαξη των υπολογιστικών πόρων από μη εξουσιοδοτημένη χρήση και η προστασία πληροφορίας από ακούσια ή σκόπιμη βλάβη, αποκάλυψη ή τροποποίησή της oασφάλεια κατά την επικοινωνία (communication security): στόχος η προστασία δεδομένων κατά τη μετάδοση σε δίκτυα υπολογιστών και κατανεμημένα συστήματα
Ακαδημαϊκό Έτος Βασικές έννοιες (3/6) Ο όρος δίκτυο υπολογιστών αναφέρεται σε μια διασυνδεδεμένη συλλογή αυτόνομων υπολογιστών. Προϋπόθεση αποτελεί η δυνατότητα ανταλλαγής δεδομένων
Ακαδημαϊκό Έτος Βασικές έννοιες (4/6) oχρήστης (user) θεωρείται μια ανθρώπινη οντότητα υπεύθυνη για τις δραστηριότητές της σε ένα δίκτυο ή κατανεμημένο σύστημα oξενιστής υπολογιστής (host) θεωρείται μια διευθυνσιοδοτούμενη οντότητα σε δίκτυο ή σε κατανεμημένο σύστημα oδιεργασία (process) θεωρείται ένα στιγμιότυπο εκτελέσιμου προγράμματος σε ένα συγκεκριμένο υπολογιστικό σύστημα: διεργασία εξυπηρετούμενου (client process): αιτείται και αποκτά υπηρεσία δικτύου διεργασία εξυπηρέτη (server process): παρέχει υπηρεσία δικτύου
Ακαδημαϊκό Έτος Βασικές έννοιες (5/6) Προτυποποίηση: oΠρότυπο (standard): έγγραφη συμφωνία που περιλαμβάνει τεχνικές προδιαγραφές και κριτήρια με στόχο τη διαφύλαξη της καταλληλότητας του σκοπού των αναπτυσσόμενων εργαλείων, προϊόντων, διεργασιών και υπηρεσιών oΜοντέλο αναφοράς (reference model): χρησιμοποιείται για να εξηγήσει τη συνεργασία των συνιστωσών συστήματος – συνήθης πρακτική η διαίρεση της λειτουργικότητας σε επίπεδα (layers)
Ακαδημαϊκό Έτος Βασικές έννοιες (6/6) oΠρωτόκολλο: ομάδα κανόνων και μηνυμάτων που στην πράξη παρέχουν μια υπηρεσία oΣτοίβα πρωτοκόλλων: ομάδα πρωτοκόλλων που συνεργάζονται μεταξύ τους oInternet: παγκόσμιο δίκτυο που βασίζεται στη στοίβα των πρωτοκόλλων επικοινωνίας του TCP/IP
Ακαδημαϊκό Έτος Τάσεις στο χώρο της ασφάλειας 1994, Συμβούλιο Αρχιτεκτονικής του Διαδικτύου (Internet Architecture Board, IAB) RFC 1636: Η ασφάλεια στην αρχιτεκτονική του Διαδικτύου (Security in the Internet Architecture) Περισσότερη και καλύτερη ασφάλεια στο Διαδίκτυο τομείς για εφαρμογή μηχανισμών ασφάλειας εξασφάλιση δικτυακής υποδομής από μη εξουσιοδοτημένη παρακολούθηση και έλεγχο της δικτυακής κίνησης εξασφάλιση επικοινωνίας τελικών χρηστών (πιστοποίηση ταυτότητας, κρυπτογράφηση)
Ακαδημαϊκό Έτος Στατιστικά στοιχεία CERT (1)
Ακαδημαϊκό Έτος Στατιστικά στοιχεία CERT (2)
Ακαδημαϊκό Έτος Πολυπλοκότητα επιθέσεων vs γνώσεις εισβολέων
Ακαδημαϊκό Έτος Ορολογία IT Security (1/2) Αδυναμία (vulnerability): ελάττωμα στο σχεδιασμό ή την υλοποίηση ενός πρωτοκόλλου, μιας υπηρεσίας ή ενός συστήματος το οποίο μπορεί να εκμεταλλευτεί ένας εισβολέας (intruder) Απειλή (threat): οντότητα που μπορεί να προκαλέσει παραβίαση της ασφάλειας σε τμήμα ή στο σύνολο του δικτύου, ή ζημιά σε πόρους του
Ακαδημαϊκό Έτος Ορολογία IT Security (2/2) Επίθεση (attack): εκμετάλλευση μιας αδυναμίας από έναν εισβολέα για την πραγματοποίηση απειλής Αντίμετρα (countermeasures): μηχανισμός ή διαδικασία με στόχο τον περιορισμό ή την εξάλειψη επιπτώσεων απειλής
Ακαδημαϊκό Έτος Επιθέσεις Παθητικές επιθέσειςΕνεργητικές επιθέσεις 1.Μη-ενεργός ή παθητική παρακολούθηση (passive tapping) 2. Ανάλυση κίνησης (traffic analysis) 1.Μη-ενεργός ή παθητική παρακολούθηση (passive tapping) 2. Ανάλυση κίνησης (traffic analysis) 1.Ενεργός παρακολούθηση (active tapping) 2.Μεταμφίεση (masquerade) 3.Επανεκπομπή (replay) 4.Άρνηση παροχής υπηρεσίας (denial of service) 5.Κακόβουλο λογισμικό (viruses, worms, trojan horses) 1.Ενεργός παρακολούθηση (active tapping) 2.Μεταμφίεση (masquerade) 3.Επανεκπομπή (replay) 4.Άρνηση παροχής υπηρεσίας (denial of service) 5.Κακόβουλο λογισμικό (viruses, worms, trojan horses)
Ακαδημαϊκό Έτος Μη-ενεργός ή παθητική παρακολούθηση (passive tapping)
Ακαδημαϊκό Έτος Ανάλυση κίνησης (traffic analysis)
Ακαδημαϊκό Έτος Ενεργός παρακολούθηση (active tapping)
Ακαδημαϊκό Έτος Μεταμφίεση (masquerade)
Ακαδημαϊκό Έτος Επανεκπομπή (replay)
Ακαδημαϊκό Έτος Άρνηση παροχής υπηρεσίας (denial of service)
Ακαδημαϊκό Έτος TCP/IP: Υποδικτύωση Ο διαχειριστής του οργανισμού έχει στη διάθεσή του το πεδίο διευθύνσεων / Ποιο είναι το μικρότερο δυνατό υποδίκτυο που μπορεί να οριστεί στην περιοχή DMZ; Δώστε τη μάσκα που θα χρησιμοποιηθεί και τις διευθύνσεις Δικτύου.
Ακαδημαϊκό Έτος Εντολή: ping Η εντολή ping είναι ένα ευρέως διαδεδομένο δικτυακό εργαλείο, το οποίο αξιοποιεί το πρωτόκολλο ICMP στέλνοντας ένα μήνυμα ECHO_REQUEST σε έναν απομακρυσμένο υπολογιστή ώστε να λάβει από αυτόν ένα ICMP ECHO_RESPONSE
Ακαδημαϊκό Έτος Η εντολή ping είναι ένα ευρέως διαδεδομένο δικτυακό εργαλείο, το οποίο αξιοποιεί το πρωτόκολλο ICMP στέλνοντας ένα μήνυμα ECHO_REQUEST σε έναν απομακρυσμένο υπολογιστή ώστε να λάβει από αυτόν ένα ICMP ECHO_RESPONSE Εντολή: ping
Ακαδημαϊκό Έτος Η εντολή ping είναι ένα ευρέως διαδεδομένο δικτυακό εργαλείο, το οποίο αξιοποιεί το πρωτόκολλο ICMP στέλνοντας ένα μήνυμα ECHO_REQUEST σε έναν απομακρυσμένο υπολογιστή ώστε να λάβει από αυτόν ένα ICMP ECHO_RESPONSE 64-52=12 hops Εντολή: ping
Ακαδημαϊκό Έτος Το tracert στέλνει ένα ICMP echo packet στον επιθυμητό προορισμό, αλλά με τιμή TTL ίση με 1. Στη συνέχεια στέλνει ένα όμοιο πακέτο με τιμή TTL ίση με 2, μετά με τιμή TTL 3 κ.ο.κ. Οπότε θα λάβουμε ένα μήνυμα "TTL expired in transit" πίσω στον αποστολέα από τους routers μέχρι τελικά να φτάσει το echo packet στον επιθυμητό προορισμό ο οποίος θα αποκριθεί τότε με ένα standard ICMP "echo reply" packet. 13 κόμβοι = 12 hops Εντολή: tracert
Ακαδημαϊκό Έτος Για επαλήθευση εκτελούμε: ping –i TTL Εντολή: ping - tracert
Ακαδημαϊκό Έτος Εντολή: netstat
Ακαδημαϊκό Έτος Εντολή: netstat
Ακαδημαϊκό Έτος Τα αποτελέσματα ενός port scanning διακρίνονται στις παρακάτω 3 περιπτώσεις: Filtered, Dropped or Blocked: όταν δεν υπάρχει απάντηση από το διακομιστή, π.χ. έχουμε το Windows firewall “On” και έναν Apache web server είτε να τρέχει είτε όχι δεν υπάρχει απάντηση, στο port scanning report δεν υπάρχει εγγραφή για τη θύρα 80 ο εισβολέας δε μπορεί να αναγνωρίσει εάν η θύρα είναι ανοιχτή (sniffing: [SYN]) Open or Accepted: ο διακομιστής αποστέλλει απάντηση η οποία υποδηλώνει ότι η υπηρεσία τρέχει και ακούει στη συγκεκριμένη θύρα, π.χ. ο Apache web server τρέχει και στο firewall υπάρχει εξαίρεση για τη θύρα 80 στο port scanning report υπάρχει εγγραφή για τη θύρα 80 ο εισβολέας αναγνωρίζει ότι η θύρα 80 είναι ανοιχτή (sniffing: 3-way handshake [SYN] - [SYN, ACK] - [SYN]) Closed or Denied or Not Listening: Ο διακομιστής αποστέλλει απάντηση η οποία υποδηλώνει ότι οι συνδέσεις στη θύρα απαγορεύονται, π.χ. o Apache web server δεν τρέχει (sniffing: [SYN] – [RST]) Port scanning (1/4)
Ακαδημαϊκό Έτος Port scanning (2/4)
Ακαδημαϊκό Έτος Port scanning (3/4)
Ακαδημαϊκό Έτος Port scanning (4/4)