ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ II Β. Μάγκλαρης 07/01/2013
ΘΕΜΑΤΙΚΕΣ ΠΕΡΙΟΧΕΣ ΑΣΦΑΛΕΙΑΣ Είδη Απειλών και Επιθέσεων Προστασία –Πολιτικές –Αρχιτεκτονικές Ελέγχου Πρόσβασης (Authorization & Authentication Infrastructures - ΑΑΙ) & Διαχείρισης Δημοσίων Κλειδιών (Public Key Infrastructures - PKI) –Εργαλεία (Access Control Lists – ACLs, Firewalls) –Συστήματα Εντοπισμού Επιθέσεων (Intrusion Detection Systems – IDS) & Ανωμαλιών (Anomaly Detection Systems) Κρυπτογραφία Η σίγουρη μέθοδος εξασφάλισης ενός δικτύου:
ΑΠΕΙΛΕΣ ΑΣΦΑΛΕΙΑΣ ΔΙΚΤΥΩΝ Απόκτηση πληροφοριών για το σύστημα: –Port Scanning –Fingerprinting Μη εξουσιοδοτημένη πρόσβαση –Υποκλοπή κωδικών –Λάθος διαμορφώσεις (ανοικτά συστήματα) –Από μη εξουσιοδοτημένα σημεία (π.χ. ανοιχτά σημεία ασύρματης πρόσβασης) Επιθέσεις Άρνησης Υπηρεσίας (Denial of Service Attacks - DoS) Υποκλοπή και παραποίηση επικοινωνιών –Packet sniffing –"Man-in-the-Middle" attacks Κακόβουλο λογισμικό (malware) –Ιοί, Δούρειοι ίπποι (trojans) –Αυτόματα διαδιδόμενοι ιοί (worms)
ΥΠΟΚΛΟΠΗ & ΠΑΡΑΠΟΙΗΣΗ ΔΕΔΟΜΕΝΩΝ ΥΠΟΚΛΟΠΗ & ΠΑΡΑΠΟΙΗΣΗ ΔΕΔΟΜΕΝΩΝ Packet sniffing –Μπορεί να συμβεί σε δίκτυα με Hub, μη ασφαλισμένα ασύρματα δίκτυα ή σε περιπτώσεις υπερφόρτωσης του MAC Table ενός Switch –Κάθε πληροφορία που κυκλοφορεί μη κρυπτογραφημένη είναι διαθέσιμη σε αυτόν που παρακολουθεί Telnet passwords Web passwords Οικονομικά και προσωπικά στοιχεία (π.χ. προσωπικά , αριθμοί πιστωτικών καρτών κ.λπ.) "Man-in-the-Middle" attacks –Κάποιος μπορεί να παρεμβληθεί σε μια επικοινωνία και είτε να υποκλέψει τα στοιχεία είτε να "υποκριθεί" ότι είναι κάποιος τρίτος φορέας ARP "poisoning" TCP "session hijacking" DNS "poisoning" – URL redirection
Ιοί, Δούρειοι ίπποι (trojans – προγράμματα "σε απόκρυψη") Έχουν αργή μετάδοση, προσκείμενοι σε εκτελέσιμα προγράμματα Αυτόματα διαδιδόμενοι ιοί (worms) Εκμεταλλεύονται συνήθως προβλήματα λογισμικού σε Λ.Σ. ή εφαρμογές για να μεταδοθούν στο Διαδίκτυο Διαδίδονται σε υπολογιστές με κοντινές σε τιμή διευθύνσεις IP και το ίδιο πρόβλημα ή από προκαθορισμένη λίστα διευθύνσεων Σε ορισμένες περιπτώσεις χρησιμοποιούνται παραπλανητικά μηνύματα που παρασύρουν το χρήστη στο να εκτελέσει συγκεκριμένες ενέργειες στον υπολογιστή του Μέσω χρησιμοποιούν τον κατάλογο διευθύνσεων του χρήστη για τη μετάδοση τους σε νέους χρήστες Εφόσον χρησιμοποιήσουν ιδιαίτερα διαδεδομένο πρόβλημα είναι δυνατόν να εξαπλωθούν με μεγάλη ταχύτητα σε ολόκληρο το Διαδίκτυο Οι Δούρειοι Ίπποι πολλές φορές χρησιμοποιούν worms για τη μετάδοση τους ΚΑΚΟΒΟΥΛΟ ΛΟΓΙΣΜΙΚΟ malware
ΕΙΔΗ ΚΡΥΠΤΟΓΡΑΦΙΑΣ Συμμετρική (Ιδιωτικού Κλειδιού, Private Key Cryptography) –Χρήση μοναδικού κλειδιού και από τα δύο μέρη –Κρυπτογράφηση με συγκεκριμένου μήκους κομμάτια κειμένου (block cipher) ή ανά bit σε συνεχή ροή δεδομένων (stream cipher) –Αλγόριθμοι κρυπτογράφησης: DES, triple DES, RC2, RC4, RC5, IDEA, AES –Γρήγορη άλλα έχει προβλήματα στην ασφάλεια διανομής του κλειδιού –Έχει πολλαπλή χρήση: Encryption, authentication, non-repudiation Μη Συμμετρική (Δημόσιου Κλειδιού, Public Key Cryptography) –Κάθε μέρος έχει ιδιωτικό και δημόσιο κλειδί. Διανέμει το τελευταίο ελεύθερα –Αλγόριθμοι κρυπτογράφησης: RSA, Diffie-Hellman –Αλγόριθμοι κατακερματισμού (hash functions) για εξαγωγή περίληψης μέρους ή του συνόλου ενός μηνύματος: SHA & SHA-1, MD2, MD4, MD5 –Ισχυρά σημεία: Δεν διανέμονται ιδιωτικά κλειδιά – μόνο τα δημόσια κλειδιά –Αδύνατα σημεία: Αργή στην εκτέλεση Αμφισβήτηση εμπιστοσύνης στα δημόσια κλειδιά: γι' αυτό συνιστάται η εγκατάσταση Αρχών Πιστοποίησης (Certification Authorities, CA) και οργανωμένων υποδομών Δημοσίου Κλειδιού (Public Key Infrastructures, PKI) –Έχει πολλαπλή χρήση: Encryption, authentication, non-repudiation
ΚΡΥΠΤΟΓΡΑΦΙΑ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ: Confidentiality Αποστολέας A και Παραλήπτης Π έχουν ανταλλάξει Δημόσια Κλειδιά (π.χ. με Ψηφιακό Πιστοποιητικό από Certification Authority CA self- signed ή υπογραμμένο από 3 ης έμπιστη οντότητα – Third Trusted Party TTP, στα πλαίσια αρχιτεκτονικής Public Key Infrastructure PKI) –Κρυπτογράφηση: Με το Δημόσιο Κλειδί του Π –Αποκρυπτογράφηση: με το Ιδιωτικό Κλειδί του Π ΜήνυμαΚρυπτογραφημένο Μήνυμα Κρυπτ. Μήνυμα Αρχικό Μήνυμα Μετάδοση Ιδιωτικό Κλειδί Π Αποστολέας Α Παραλήπτης Π Αλγόριθμος Δημόσιο Κλειδί Π
ΚΡΥΠΤΟΓΡΑΦΙΑ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ: Sender Authentication / Non Repudiation – Message Integrity Ψηφιακή Υπογραφή (Digital Signature) μηνύματος από Αποστολέα Α: Κρυπτογράφηση με το Ιδιωτικό Κλειδί του Α περίληψης του μηνύματος που προκύπτει με αλγόριθμο κατακερματισμού (hashing algorithm). Επιβεβαίωση (authentication) ταυτότητάς του Α, χωρίς δυνατότητά του άρνησης αποστολής (non-repudiation) & επιβεβαίωση μη αλλοίωσης του μηνύματος (message integrity) με βάση την σύγκριση στον Παραλήπτη Π: Ψηφιακής Υπογραφής, αποκρυπτογραφημένης με το γνωστό Δημόσιο Κλειδί του Α Νέας περίληψης του ληφθέντος (μη κρυπτογραφημένου) κυρίως μηνύματος, δημιουργημένης στον Π με τον ίδιο γνωστό αλγόριθμο κατακερματισμού Μήνυμα Μετάδοση Αποστολέας Α Παραλήπτης Π Αλγόριθμος Κατακερματισμού (Hashing Algorithm) Περίληψη Μηνύματος (Hash) Ιδιωτικό Κλειδί Α Αλγόριθμος Κρυπτογραφίας Αλγόριθμος Κατακερματισμού Σύγκριση Δημόσιο Κλειδί Α Digital Signature
ΨΗΦΙΑΚΗ ΥΠΟΓΡΑΦΗ ΨΗΦΙΑΚΗ ΥΠΟΓΡΑΦΗ 9
ΨΗΦΙΑΚΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ Χ Αν συνοδεύουν υπογραμμένο μήνυμα, βεβαιώνουν τη γνησιότητα του Δημοσίου Κλειδιού του αποστολέα (subject) κατά μια Τρίτη Έμπιστη Οντότητα TTP - Third Trusted Party: Την Αρχή Πιστοποίησης, Certification Authority – CA Αν χρειάζεται και έλεγχος του Δημοσίου Κλειδιού της CA, μπορεί να αποστέλλεται και 2 ο (ή και 3 ο, 4 ο …πιστοποιητικό) από ιεραρχικά δομημένες CA Η CA υπογράφει ένα ψηφιακό πιστοποιητικό με το Ιδιωτικό Κλειδί της. Το Δημόσιο Κλειδί της (ανώτερης) CA πρέπει να είναι γνωστό στους παραλήπτες (π.χ. ενσωματωμένο στον Web browser) ή αποδεκτό λόγω σχέσης εμπιστοσύνης (π.χ. σε περιπτώσεις Self-Signed CA)
ΜΕΙΚΤΟ ΣΧΗΜΑ ΔΗΜΟΣΙΟΥ – ΙΔΙΩΤΙΚΟΥ ΚΛΕΙΔΙΟΥ Συνδυασμός που αξιοποιεί τα πλεονεκτήματα και των 2 σχημάτων σε 2 φάσεις ανά σύνοδο (session) ή μήνυμα : Φάση hand-shaking (αρχική φάση) –Ταυτοποίηση (Authentication) άκρων επικοινωνίας μέσω Public Key Cryptography –Δημιουργία (συμμετρικών) κλειδιών ανά σύνοδο με ανταλλαγή κρυπτο- μηνυμάτων (και τυχαίων ακολουθιών pseudo random) μέσω Public Key Cryptography Φάση μετάδοσης δεδομένων σύνδεσης (1 έως πολλά πακέτα) –Χρήση συμμετρικής κρυπτογραφίας για περαιτέρω ανταλλαγή πακέτων με δεδομένα που αφορούν στη σύνοδο Κυρίαρχο σχήμα στο Internet –Secure Shell, SSH: Ταυτοποίηση & κρυπτογράφηση από άκρο σε άκρο, π.χ PuTTY (ασφαλής σύνοδοςTelnet, client ↔ SSH Server), SFTP –Secure Sockets Layer, SSL: Ταυτοποίηση Web server από τους χρήστες – clients μέσω του γνωστού Public Key του server & μετάδοση πακέτων με συμμετρική κρυπτογραφία, π.χ. https (http over SSL over TCP), imaps (IMAP over SSL over TCP), OpenVPN (απαιτείται OpenVPN server και προ- εγκατεστημένο client S/W)
Τι είναι ένα Firewall: "Ένα σύστημα ή συνδυασμός συστημάτων που ελέγχουν την πρόσβαση και παρέχουν έναν βαθμό ασφάλειας μεταξύ δικτύων" Marcus J. Ranum, δημιουργός του πρώτου firewall Λειτουργία Δρομολογητής που ελέγχει την κίνηση (Screening router / Bastion Host). Μπορεί να συνδυαστεί με την ύπαρξη ιδιωτικών εσωτερικών διευθύνσεων και μετάφραση στο σύνορο (Network Address Translation). Ο πιο απλός Firewall είναι ο δρομολογητής με σωστά στημένες ACLs Για να χρησιμοποιήσουμε Firewall χρειάζεται να σχεδιαστεί κατάλληλα το δίκτυο, σύμφωνα με τις πολιτικές ασφαλείας ΣΥΣΤΗΜΑΤΑ ΔΙΚΤΥΑΚΗΣ ΠΡΟΣΤΑΣΙΑΣ (1) Firewalls
Βασικοί κανόνες Deny ή Allow IP, TCP, UDP, ICMP, κ.λπ. Πηγή - Ξεχωριστές διευθύνσεις IP ή ομαδοποιήσεις τους Προορισμός Παράδειγμα (από δρομολογητή Cisco): 100 permit tcp any host eq 80 access-list 100 permit tcp any host eq 80 Οι σύγχρονοι Firewall έχουν πολλά επιπλέον χρήσιμα χαρακτηριστικά Γραφικό περιβάλλον Ορισμό ομάδων κανόνων Ορισμό περιοχών προστασίας και ομάδων χρηστών Διαδικασία ενημέρωσης κανόνων μέσω εξυπηρετητών και σύμφωνα με τις εταιρικές πολιτικές ασφαλείας κ.λπ. ΣΥΣΤΗΜΑΤΑ ΔΙΚΤΥΑΚΗΣ ΠΡΟΣΤΑΣΙΑΣ (2) Firewalls
Πολιτικές πρόσβασης Απαγόρευση όλων των συνδέσεων πλην εξαιρέσεων ("Deny unless allowed") – χρησιμοποιείται για ισχυρή προστασία, συνήθως στην εισερχόμενη κίνηση ενός δικτύου. Διέλευση όλων πλην εξαιρέσεων ("Allow unless denied") – δίνει μεγαλύτερη ελευθερία Επιπλέον: Διέλευση κίνησης που έχει ήδη ολοκληρώσει το TCP Three Way Handshake (Established) Απαγόρευση πακέτων που δεν έχουν τις προβλεπόμενες διευθύνσεις προέλευσης (προστασία από το spoofing) ΣΥΣΤΗΜΑΤΑ ΔΙΚΤΥΑΚΗΣ ΠΡΟΣΤΑΣΙΑΣ (3) Firewalls
ΠΑΡΑΔΕΙΓΜΑΤΑ ΧΡΗΣΗΣ - Firewalls (1)
ΠΑΡΑΔΕΙΓΜΑΤΑ ΧΡΗΣΗΣ - Firewalls (2) "Αποστρατικοποιημένη Ζώνη" Demilitarized Zone - DMZ Παρέχει αυξημένη πρόσβαση σε κάποια συστήματα του δικτύου χωρίς να θέτει σε κίνδυνο το υπόλοιπο Το Firewall αποτελεί το σημείο υλοποίησης της πολιτικής ασφάλειας του οργανισμού: Έλεγχος συνδέσεων Έλεγχος πρόσβασης ανά περιοχή
ΠΑΡΑΔΕΙΓΜΑΤΑ ΧΡΗΣΗΣ - Firewalls (3) Το Firewall υλοποιεί πολιτικές πρόσβασης ανάμεσα στα διάφορα τμήματα του οργανισμού X
Τα υπολογιστικά συστήματα, ασχέτως κατασκευαστή και λειτουργίας, είναι ευάλωτα σε πολλαπλές απειλές, η δε πλήρης εξασφάλιση τους είναι τεχνικά δύσκολη και οικονομικά ασύμφορη. Ένα IDS παρακολουθεί το περιβάλλον στο οποίο είναι εγκατεστημένο Υπολογιστικό σύστημα (Host based IDS) Δίκτυο (Network Based IDS) Μεθοδολογίες ανίχνευσης Σύγκριση των στοιχείων που συλλέγονται με συγκεκριμένες "υπογραφές" ("signatures") γνωστών περιστατικών ασφαλείας – Misuse Detection Στατιστική ανάλυση κάποιων παραμέτρων ώστε να αναγνωριστεί η απόκλιση από τις συνηθισμένες τιμές τους – Anomaly Detection ΣΥΣΤΗΜΑΤΑ ΑΝΙΧΝΕΥΣΗ ΕΠΙΘΕΣΕΩΝ (1) Intrusion Detection Systems – IDS
ΣΥΣΤΗΜΑΤΑ ΑΝΙΧΝΕΥΣΗ ΕΠΙΘΕΣΕΩΝ (2) Το IDS Snort Σύστημα IDS που παρακολουθεί την κίνηση στο δίκτυο αναζητώντας υπογραφές γνωστών επιθέσεων στα πακέτα που παρακολουθεί. –Εγκατάσταση σε σημείο απ' όπου διέρχεται η κίνηση του δικτύου –Οι υπογραφές περιγράφονται με κανόνες που εισάγονται στο σύστημα Σύστημα ανοιχτού κώδικα (Open Source Project) Υποστήριξη επεκτάσεων (plugins) για πρόσθετη λειτουργικότητα Παράδειγμα κανόνα (προσπάθεια παράνομης εκτέλεσης εντολών με το cmd.exe στον εξυπηρετητή WEB-IIS): alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-IIS cmd.exe access"; flow:to_server,established; uricontent:"cmd.exe"; classtype:web-application-attack;)
ΣΥΣΤΗΜΑΤΑ ΑΝΙΧΝΕΥΣΗ ΕΠΙΘΕΣΕΩΝ (3) Βασική Αρχιτεκτονική IDS
Ακρίβεια: Τί συχνότητα εμφάνισης έχουν οι εσφαλμένα θετικές ανιχνεύσεις (false positives) δηλαδή η θεώρηση νόμιμων λειτουργιών ως επιθέσεις Απόδοση. Πόσο γρήγορα μπορεί να συλλέξει στοιχεία και να επεξεργαστεί αναφορές. Ειδικά σε περιπτώσεις όπου υπάρχει μεγάλη ροή πληροφορίας (π.χ. συστήματα NIDS που παρακολουθούν δικτυακές συνδέσεις υψηλής ταχύτητας) Πληρότητα Ανίχνευσης: Το ποσοστό επιθέσεων που θα καταφέρει να ανιχνεύσει. Αντοχή σε επιθέσεις προς το ίδιο το σύστημα IDS Ταχύτητα κατάληξης σε συμπεράσματα ΣΥΣΤΗΜΑΤΑ ΑΝΙΧΝΕΥΣΗ ΕΠΙΘΕΣΕΩΝ (4) Παράμετροι Αποτίμησης Ποιότητας IDS
ΕΙΔΙΚΑ ΘΕΜΑΤΑ: Αντιμετώπιση Επιθέσεων DDoS
ΕΙΔΙΚΑ ΘΕΜΑΤΑ: Πηγές Πληροφοριών για τη Κατάσταση Δικτύου Υπάρχουσες τεχνικές παθητικής παρακολούθησης δικτύων: –Packet capture –SNMP –Netflow Διάφοροι περιορισμοί: ευκολία χρήσης, χρονική ακρίβεια, δυνατότητες μέτρησης, απαιτούμενοι πόροι (υπολογιστική ισχύς, μνήμη)
Τα μετρικά bps, pps δεν είναι πάντα αποτελεσματικά. Καλό μετρικό είναι SFR (μέτρηση με packet capture) και πλήθος flows με μόνο SYN flag (μέτρηση με Netflow) λόγω συμμετρίας του TCP. ΕΙΔΙΚΑ ΘΕΜΑΤΑ: Ανίχνευση Επίθεσης TCP SYN