ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ 3 Β. Μάγκλαρης 17/01/2011
ΚΡΥΠΤΟΓΡΑΦΙΑ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ: Confidentiality Αποστολέας A και Παραλήπτης Π έχουν ανταλλάξει Δημόσια Κλειδιά (π.χ. με Ψηφιακό Πιστοποιητικό από Certification Authority CA self- signed ή υπογραμμένο από 3 ης έμπιστη οντότητα – Third Trusted Party TTP, στα πλαίσια αρχιτεκτονικής Public Key Infrastructure PKI) –Κρυπτογράφηση: Με το Δημόσιο Κλειδί του Π –Αποκρυπτογράφηση: με το Ιδιωτικό Κλειδί του Π ΜήνυμαΚρυπτογραφημένο Μήνυμα Κρυπτ. Μήνυμα Αρχικό Μήνυμα Μετάδοση Ιδιωτικό Κλειδί Π Αποστολέας Α Παραλήπτης Π Αλγόριθμος Δημόσιο Κλειδί Π
ΚΡΥΠΤΟΓΡΑΦΙΑ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ: Sender Authentication / Non Repudiation – Message Integrity Ψηφιακή Υπογραφή (Digital Signature) μηνύματος από Αποστολέα Α: Κρυπτογράφηση με το Ιδιωτικό Κλειδί του Α περίληψης του μηνύματος που προκύπτει με αλγόριθμο κατακερματισμού (hashing algorithm). Επιβεβαίωση (authentication) ταυτότητάς του Α, χωρίς δυνατότητά του άρνησης αποστολής (non-repudiation) & επιβεβαίωση μη αλλοίωσης του μηνύματος (message integrity) με βάση την σύγκριση στον Παραλήπτη Π: –Ψηφιακής Υπογραφής, αποκρυπτογραφημένης με το γνωστό Δημόσιο Κλειδί του Α –Νέας περίληψης του ληφθέντος (μη κρυπτογραφημένου) κυρίως μηνύματος, δημιουργημένης στον Π με τον ίδιο γνωστό αλγόριθμο κατακερματισμού Μήνυμα Μετάδοση Αποστολέας Α Παραλήπτης Π Αλγόριθμος Κατακερματισμού (Hashing Algorithm) Περίληψη Μηνύματος (Hash) Ιδιωτικό Κλειδί Α Αλγόριθμος Κρυπτογραφίας Αλγόριθμος Κατακερματισμού Σύγκριση Δημόσιο Κλειδί Α Digital Signature
ΨΗΦΙΑΚΗ ΥΠΟΓΡΑΦΗ ΨΗΦΙΑΚΗ ΥΠΟΓΡΑΦΗ 4
ΨΗΦΙΑΚΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ Χ Αν συνοδεύουν υπογραμμένο μήνυμα, βεβαιώνουν τη γνησιότητα του Δημοσίου Κλειδιού του αποστολέα (subject) κατά μια Τρίτη Έμπιστη Οντότητα TTP - Third Trusted Party: Την Αρχή Πιστοποίησης, Certification Authority – CA Αν χρειάζεται και έλεγχος του Δημοσίου Κλειδιού της CA, μπορεί να αποστέλλεται και 2 ο (ή και 3 ο, 4 ο …πιστοποιητικό) από ιεραρχικά δομημένες CA Η CA υπογράφει ένα ψηφιακό πιστοποιητικό με το Ιδιωτικό Κλειδί της. Το Δημόσιο Κλειδί της (ανώτερης) CA πρέπει να είναι γνωστό στους παραλήπτες (π.χ. ενσωματωμένο στον Web browser) ή αποδεκτό λόγω σχέσης εμπιστοσύνης (π.χ. σε περιπτώσεις Self-Signed CA)
Πολιτικές πρόσβασης Απαγόρευση όλων των συνδέσεων πλην εξαιρέσεων ("Deny unless allowed") – χρησιμοποιείται για ισχυρή προστασία, συνήθως στην εισερχόμενη κίνηση ενός δικτύου. Διέλευση όλων πλην εξαιρέσεων ("Allow unless denied") – δίνει μεγαλύτερη ελευθερία Επιπλέον: Διέλευση κίνησης που έχει ήδη ολοκληρώσει το TCP Three Way Handshake (Established) Απαγόρευση πακέτων που δεν έχουν τις προβλεπόμενες διευθύνσεις προέλευσης (προστασία από το spoofing) ΣΥΣΤΗΜΑΤΑ ΔΙΚΤΥΑΚΗΣ ΠΡΟΣΤΑΣΙΑΣ Firewalls
ΠΑΡΑΔΕΙΓΜΑΤΑ ΧΡΗΣΗΣ - Firewalls (1)
ΠΑΡΑΔΕΙΓΜΑΤΑ ΧΡΗΣΗΣ - Firewalls (2) "Αποστρατικοποιημένη Ζώνη" Demilitarized Zone - DMZ Παρέχει αυξημένη πρόσβαση σε κάποια συστήματα του δικτύου χωρίς να θέτει σε κίνδυνο το υπόλοιπο Το Firewall αποτελεί το σημείο υλοποίησης της πολιτικής ασφάλειας του οργανισμού: Έλεγχος συνδέσεων Έλεγχος πρόσβασης ανά περιοχή
ΠΑΡΑΔΕΙΓΜΑΤΑ ΧΡΗΣΗΣ - Firewalls (3) Το Firewall υλοποιεί πολιτικές πρόσβασης ανάμεσα στα διάφορα τμήματα του οργανισμού X
Τα υπολογιστικά συστήματα, ασχέτως κατασκευαστή και λειτουργίας, είναι ευάλωτα σε πολλαπλές απειλές, η δε πλήρης εξασφάλιση τους είναι τεχνικά δύσκολη και οικονομικά ασύμφορη. Ένα IDS παρακολουθεί το περιβάλλον στο οποίο είναι εγκατεστημένο Υπολογιστικό σύστημα (Host based IDS) Δίκτυο (Network Based IDS) Μεθοδολογίες ανίχνευσης Σύγκριση των στοιχείων που συλλέγονται με συγκεκριμένες "υπογραφές" ("signatures") γνωστών περιστατικών ασφαλείας – Misuse Detection Στατιστική ανάλυση κάποιων παραμέτρων ώστε να αναγνωριστεί η απόκλιση από τις συνηθισμένες τιμές τους – Anomaly Detection ΣΥΣΤΗΜΑΤΑ ΑΝΙΧΝΕΥΣΗ ΕΠΙΘΕΣΕΩΝ (1) Intrusion Detection Systems – IDS
ΣΥΣΤΗΜΑΤΑ ΑΝΙΧΝΕΥΣΗ ΕΠΙΘΕΣΕΩΝ (2) Το IDS Snort Σύστημα IDS που παρακολουθεί την κίνηση στο δίκτυο αναζητώντας υπογραφές γνωστών επιθέσεων στα πακέτα που παρακολουθεί. –Εγκατάσταση σε σημείο απ' όπου διέρχεται η κίνηση του δικτύου –Οι υπογραφές περιγράφονται με κανόνες που εισάγονται στο σύστημα Σύστημα ανοιχτού κώδικα (Open Source Project) Υποστήριξη επεκτάσεων (plugins) για πρόσθετη λειτουργικότητα Παράδειγμα κανόνα (προσπάθεια παράνομης εκτέλεσης εντολών με το cmd.exe στον εξυπηρετητή WEB-IIS): alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-IIS cmd.exe access"; flow:to_server,established; uricontent:"cmd.exe"; classtype:web-application-attack;)
ΣΥΣΤΗΜΑΤΑ ΑΝΙΧΝΕΥΣΗ ΕΠΙΘΕΣΕΩΝ (3) Βασική Αρχιτεκτονική IDS
Ακρίβεια: Τί συχνότητα εμφάνισης έχουν οι εσφαλμένα θετικές ανιχνεύσεις (false positives) δηλαδή η θεώρηση νόμιμων λειτουργιών ως επιθέσεις Απόδοση. Πόσο γρήγορα μπορεί να συλλέξει στοιχεία και να επεξεργαστεί αναφορές. Ειδικά σε περιπτώσεις όπου υπάρχει μεγάλη ροή πληροφορίας (π.χ. συστήματα NIDS που παρακολουθούν δικτυακές συνδέσεις υψηλής ταχύτητας) Πληρότητα Ανίχνευσης: Το ποσοστό επιθέσεων που θα καταφέρει να ανιχνεύσει. Αντοχή σε επιθέσεις προς το ίδιο το σύστημα IDS Ταχύτητα κατάληξης σε συμπεράσματα ΣΥΣΤΗΜΑΤΑ ΑΝΙΧΝΕΥΣΗ ΕΠΙΘΕΣΕΩΝ (4) Παράμετροι Αποτίμησης Ποιότητας IDS
ΕΙΔΙΚΑ ΘΕΜΑΤΑ: Αντιμετώπιση Επιθέσεων DDoS
ΕΙΔΙΚΑ ΘΕΜΑΤΑ: Πηγές Πληροφοριών για τη Κατάσταση Δικτύου Υπάρχουσες τεχνικές παθητικής παρακολούθησης δικτύων: –Packet capture –SNMP –Netflow Διάφοροι περιορισμοί: ευκολία χρήσης, χρονική ακρίβεια, δυνατότητες μέτρησης, απαιτούμενοι πόροι (υπολογιστική ισχύς, μνήμη)
Τα μετρικά bps, pps δεν είναι πάντα αποτελεσματικά. Καλό μετρικό είναι SFR (μέτρηση με packet capture) και πλήθος flows με μόνο SYN flag (μέτρηση με Netflow) λόγω συμμετρίας του TCP. ΕΙΔΙΚΑ ΘΕΜΑΤΑ: Ανίχνευση Επίθεσης TCP SYN