Β. Μάγκλαρης maglaris@netmode.ntua.gr www.netmode.ntua.gr 10/11/2014 ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ 1. ΑΡΧΙΤΕΚΤΟΝΙΚΕΣ & ΑΛΓΟΡΙΘΜΟΙ ΔΡΟΜΟΛΟΓΗΣΗΣ ΣΤΟ INTERNET: Επίπεδο 2 (VLANs, Bridged Ethernets - STP) 2. ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ: Δημόσια & Ιδιωτικά Κλειδιά, Έλεγχος Πρόσβασης, ΑΑΙ (Authentication & Authorization Infrastructure) Β. Μάγκλαρης maglaris@netmode.ntua.gr www.netmode.ntua.gr 10/11/2014

ΠΑΡΑΔΕΙΓΜΑ ΕΣΩΤΕΡΙΚΗΣ ΔΡΟΜΟΛΟΓΗΣΗΣ: ΤΟ ΔΙΚΤΥΟ ΤΟΥ Ε. Μ. Π. ntua ΠΑΡΑΔΕΙΓΜΑ ΕΣΩΤΕΡΙΚΗΣ ΔΡΟΜΟΛΟΓΗΣΗΣ: ΤΟ ΔΙΚΤΥΟ ΤΟΥ Ε.Μ.Π. ntua.gr (147.102.0.0/16, ASN 3323) ΠΡΟΣΟΧΗ Οι πίνακες δρομολόγησης στο Internet για λόγους ομοιομορφίας είναι της μορφής: Prefix Δικτύου Τελικού Προορισμού :: IP Interface Εισόδου Επόμενου Κόμβου ΠΑΡΑΔΕΙΓΜΑ: Ο δρομολογητή του Ε.Μ.Π. 147.102.224.33 βρίσκει τον δρομολογητή του ΕΚΠΑ 147.102.224.34 σαν μέλος του υποδικτύου: 147.102.224.32/30 (παροχή διευθύνσεων από Ε.Μ.Π.) Η γραμμή Ε.Μ.Π. – ΕΚΠΑ (όπως όλες οι γραμμές σε Δίκτυα Internet) ορίζεται σαν υποδίκτυο (prefix) με 4 τουλάχιστον διευθύνσεις IP: Υποδίκτυο: 147.102.224.32 Άκρο Ε.Μ.Π.: 147.102.224.33 Άκρο ΕΚΠΑ: 147.102.224.34 Broadcast: 147.102.224.35 ΑΝΤΙ-ΠΑΡΑΔΕΙΓΜΑ: Ο δρομολογητή του Ε.Μ.Π. 62.217.96.177 βρίσκει τον δρομολογητή του ΕΔΕΤ 62.217.96.176 σαν μέλος του υποδικτύου: 62.217.96.176/31 (παροχή διευθύνσεων από ΕΔΕΤ)

ΕΠΑΝΑΛΗΨΗ: ΑΛΓΟΡΙΘΜΟΙ ΕΥΡΕΣΗΣ ΔΡΟΜΩΝ ΣΤΟ ΕΠΙΠΕΔΟ 3 ΤΟΥ INTERNET DV: Distance Vector (αλγόριθμος Bellman-Ford) EGP: BGP (Border Gateway Protocol) e-BGP: External BGP (μεταξύ AS’s) i-BGP: Internal BGP (μεταξύ δρομολογητών κορμού ενός AS) LS: Link State (αλγόριθμος Dijkstra) IGP: OSPF (Open Shortest Path First): Link State Data Base + αλγόριθμος Dijkstra στον κορμό Αυτόνομου Δικτύου (Core of an Autonomous System, OSPF Area 0) Κατάσταση (τοπολογία, κόστος) γραμμών δικτύου: Κόστος ανάλογο με την ταχύτητα ή οριζόμενα από τον Διαχειριστή Σε δρομολογητές κορμού (OSPF Area 0): Ανανέωση κατάστασης γραμμών μέσω LSA (Link State Advertisements) Στα περιφερειακά υποδίκτυα (OSPF Stub Areas): Default G/W Για δίκτυα εκτός AS: Ανακοινώσεις εντός AS μέσω i-BGP

ΔΡΟΜΟΛΟΓΙΣΗ ΕΠΙΠΕΔΟΥ 2 - LINK LAYER ΕΙΚΟΝΙΚΑ ΤΟΠΙΚΑ ΔΙΚΤΥΑ VLANs (IEEE 802.1Q) VLAN “Red” (VID 00d) Switch Ports 1 & 9 Subnet 147.102.13.0/24 Default Gateway 147.102.13.200 VLAN “Blue” (VID 003) Switch Ports 4 & 12 IP Subnet 147.102.3.0/24 Default Gateway 147.102.3.200 Trunk Switch Port 5 IP ROUTER warp.core.ntua.gr 00:08:7c:63:e4:00 147.102.13.200 147.102.3.200 ETHERNET SWITCH ΦΥΣΙΚΗ ΣΥΝΔΕΣΗ: ΛΟΓΙΚΗ ΔΙΑΣΥΝΔΕΣΗ: matrix.netmode.ntua.gr 147.102.13.60 00:13:a9:34:dd:aa DG: 147.102.13.200 00:08:7c:63:e4:00 DNS ARP 147.102.3.1 00:13:72:f6:5f:83 DG: 147.102.3.200 00:08:7c:63:e4:00 147.102.13.38 00:50:da:51:95:10 DG: 147.102.13.200 00:08:7c:63:e4:00 147.102.3.90 00:16:17:72:72:76 DG: 10.2.0.200 00:08:7c:63:e4:00 802.1Q Framing Add-On’s TPID: Tag Protocol ID PCP: Priority Code Point CFI: Canonical Format Identifier VID: VLAN ID (< 4096) MAC Address ETHERNET II TPID PCP CFI VID 16 bits 3 bits 1 bit 12 bits IP, TCP/UDP, Data

ΠΡΩΤΟΚΟΛΛΟ ΔΙΑΜΟΡΦΩΣΗΣ ΔΕΝΔΡΙΚΗΣ ΤΟΠΟΛΟΓΙΑΣ ΜΕΤΑΓΩΓΕΩΝ ETHERNET (1/2) Spanning Tree Protocol - STP, IEEE 802.1D Εξέλιξη των Αλγορίθμων Διάρθρωσης Διαφανών Γεφυρών Spanning Tree Protocol (STP) for Transparent Ethernet Bridges Radia Perlman, DEC & MIT 1985 http://www1.cs.columbia.edu/~ji/F02/ir02/p44-perlman.pdf Αναδιαμόρφωση Spanning Tree http://en.wikipedia.org/wiki/Spanning_tree_protocol Χρόνος Αντίδρασης σε Βλάβη: ~ 60 sec Γέφυρες (Bridges, Switches): 3 (Root), 24, 92, 4, 5, 7, 12 Τοπικά δίκτυα Ethernet: a, b, c, d, e, f RP: Root Port DP: Designated Port BP: Blocking Port

ΠΡΩΤΟΚΟΛΛΟ ΔΙΑΜΟΡΦΩΣΗΣ ΔΕΝΔΡΙΚΗΣ ΤΟΠΟΛΟΓΙΑΣ ΜΕΤΑΓΩΓΕΩΝ ETHERNET (2/2) Spanning Tree Protocol - STP, IEEE 802.1D RP: Root Port DP: Designated Port BP: Blocked Port SWITCH 1: Root Bridge PC_1 Layer 2 Manager Ενεργή σύνδεση PC_2 Ανενεργή σύνδεση DP DP SWITCH 2 SWITCH 3 Γνωστό στο Switch 4 Άγνωστο στο Switch 4 Aging: 300 sec (default) BP BP RP DP RP Forwarding Data Base per Switch Port Forward MAC frames to known destinations, e.g.. PC_6, PC_7, PC_2, PC_3, PC_5 to port from which it last heard them prior to aging, e.g. RP Forward to PC_10 only MAC frames addressed to it & broadcasts Broadcast unknown destination MAC frames (promiscuous mode) PC_8 PC_3 PC_6 PC_7 PC_4 PC_5 Bridge Protocol Data Units (BPDUs) Περιοδικά μηνύματα πρωτοκόλλου STP κάθε 2 sec (default) SWITCH 4 RP PORT STATES Listening: Ακούει τα BPDU’s Learning: Μαθαίνει τις διευθύνσεις MAC πίσω της & δημιουργεί την filtering ή switching data base. Blocking: Ακούει τα BPDU’s αλλά δεν ενεργοποιεί προώθηση πακέτων εκτός να αντιληφθεί ότι το επικαλύπτον δένδρο έχει διασπαστεί Forwarding: Ακούει τα BPDU’s και προωθεί κανονικά τα πακέτα Disabled: Μη ενεργή PC_9 PC_10

ΕΠΕΚΤΑΣΗ ΓΕΦΥΡΩΜΕΝΩΝ ETHERNET ΣΕ ΔΙΚΤΥΑ ΠΑΡΟΧΩΝ Provider Backbone Bridges - PBB PE: Provider Edge Bridge CE: Customer Edge Bridge RB: Regular Bridge PE PE Provider Network RB CE CE CE CE Customer Network Customer Network RB Regular bridges PBB, IEEE 802.1ah (2007): Επέκταση Ethernet (GigE, 10 Gig) σε Μητροπολιτικά Δίκτυα (MAN’s) & WANs Τυποποίηση πρωτοκόλλων VPLS, MAC-in-MAC και Q-in-Q για επέκταση VLAN’s μεταξύ τοπικών δικτύων LAN’s με διαχείριση ποιότητας υπηρεσίας Προς συρρίκνωση τοπολογίας επιπέδου 3  collapsed backbone με μηχανισμούς μεταφοράς επιπέδου 2: 10 Gig point-to-point Ethernet transport

ΘΕΜΑΤΙΚΕΣ ΠΕΡΙΟΧΕΣ ΑΣΦΑΛΕΙΑΣ Είδη Απειλών και Επιθέσεων Προστασία Πολιτικές Αρχιτεκτονικές Ελέγχου Πρόσβασης (Authentication & Authorization Infrastructures - ΑΑΙ) & Διαχείρισης Δημοσίων Κλειδιών (Public Key Infrastructures - PKI) Εργαλεία (Access Control Lists – ACLs, Firewalls) Συστήματα Εντοπισμού Επιθέσεων (Intrusion Detection Systems – IDS) & Ανωμαλιών (Anomaly Detection Systems) Κρυπτογραφία Η σίγουρη μέθοδος εξασφάλισης ενός δικτύου:

ΑΠΕΙΛΕΣ ΑΣΦΑΛΕΙΑΣ ΔΙΚΤΥΩΝ Απόκτηση πληροφοριών για το σύστημα: Port Scanning Fingerprinting Μη εξουσιοδοτημένη πρόσβαση Υποκλοπή κωδικών Λάθος διαμορφώσεις (ανοικτά συστήματα) Από μη εξουσιοδοτημένα σημεία (π.χ. ανοιχτά σημεία ασύρματης πρόσβασης) Επιθέσεις Άρνησης Υπηρεσίας (Denial of Service Attacks - DoS) Υποκλοπή και παραποίηση επικοινωνιών Packet sniffing "Man-in-the-Middle" attacks Κακόβουλο λογισμικό (malware) Ιοί, Δούρειοι ίπποι (trojans) Αυτόματα διαδιδόμενοι ιοί (worms)

ΥΠΟΚΛΟΠΗ & ΠΑΡΑΠΟΙΗΣΗ ΔΕΔΟΜΕΝΩΝ Packet sniffing Μπορεί να συμβεί σε δίκτυα με Hub, μη ασφαλισμένα ασύρματα δίκτυα ή σε περιπτώσεις υπερφόρτωσης του MAC Table ενός Switch Κάθε πληροφορία που κυκλοφορεί μη κρυπτογραφημένη είναι διαθέσιμη σε αυτόν που παρακολουθεί Telnet passwords Web passwords Οικονομικά και προσωπικά στοιχεία (π.χ. προσωπικά email, αριθμοί πιστωτικών καρτών κ.λπ.) "Man-in-the-Middle" attacks Κάποιος μπορεί να παρεμβληθεί σε μια επικοινωνία και είτε να υποκλέψει τα στοιχεία είτε να "υποκριθεί" ότι είναι κάποιος τρίτος φορέας ARP "poisoning" TCP "session hijacking" DNS "poisoning" – URL redirection

ΚΑΚΟΒΟΥΛΟ ΛΟΓΙΣΜΙΚΟ malware Ιοί, Δούρειοι ίπποι (trojans – προγράμματα "σε απόκρυψη") Έχουν αργή μετάδοση, προσκείμενοι σε εκτελέσιμα προγράμματα Αυτόματα διαδιδόμενοι ιοί (worms) Εκμεταλλεύονται συνήθως προβλήματα λογισμικού σε Λ.Σ. ή εφαρμογές για να μεταδοθούν στο Διαδίκτυο Διαδίδονται σε υπολογιστές με κοντινές σε τιμή διευθύνσεις IP και το ίδιο πρόβλημα ή από προκαθορισμένη λίστα διευθύνσεων Σε ορισμένες περιπτώσεις χρησιμοποιούνται παραπλανητικά μηνύματα email που παρασύρουν το χρήστη στο να εκτελέσει συγκεκριμένες ενέργειες στον υπολογιστή του Μέσω e-mail χρησιμοποιούν τον κατάλογο διευθύνσεων του χρήστη για τη μετάδοση τους σε νέους χρήστες Εφόσον χρησιμοποιήσουν ιδιαίτερα διαδεδομένο πρόβλημα είναι δυνατόν να εξαπλωθούν με μεγάλη ταχύτητα σε ολόκληρο το Διαδίκτυο Οι Δούρειοι Ίπποι πολλές φορές χρησιμοποιούν worms για τη μετάδοση τους

ΕΙΔΗ ΚΡΥΠΤΟΓΡΑΦΙΑΣ Συμμετρική (Ιδιωτικού Κλειδιού, Private Key Cryptography) Χρήση μοναδικού κλειδιού και από τα δύο μέρη Κρυπτογράφηση με συγκεκριμένου μήκους κομμάτια κειμένου (block cipher) ή ανά bit σε συνεχή ροή δεδομένων (stream cipher) Αλγόριθμοι κρυπτογράφησης: DES, triple DES, RC2, RC4, RC5, IDEA, AES Γρήγορη άλλα έχει προβλήματα στην ασφάλεια διανομής του κλειδιού Έχει πολλαπλή χρήση: Encryption, authentication, non-repudiation Μη Συμμετρική (Δημόσιου Κλειδιού, Public Key Cryptography) Κάθε μέρος έχει ιδιωτικό και δημόσιο κλειδί. Διανέμει το τελευταίο ελεύθερα Αλγόριθμοι κρυπτογράφησης: RSA, Diffie-Hellman Αλγόριθμοι κατακερματισμού (hash functions) για εξαγωγή περίληψης μέρους ή του συνόλου ενός μηνύματος: SHA & SHA-1, MD2, MD4, MD5 Ισχυρά σημεία: Δεν διανέμονται ιδιωτικά κλειδιά – μόνο τα δημόσια κλειδιά Αδύνατα σημεία: Αργή στην εκτέλεση Αμφισβήτηση εμπιστοσύνης στα δημόσια κλειδιά: γι' αυτό συνιστάται η εγκατάσταση Αρχών Πιστοποίησης (Certification Authorities, CA) και οργανωμένων υποδομών Δημοσίου Κλειδιού (Public Key Infrastructures, PKI) Βλι κε

ΚΡΥΠΤΟΓΡΑΦΙΑ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ: Confidentiality Αποστολέας A και Παραλήπτης Π έχουν ανταλλάξει Δημόσια Κλειδιά (π.χ. με Ψηφιακό Πιστοποιητικό από Certification Authority CA self-signed ή υπογραμμένο από 3ης έμπιστη οντότητα – Third Trusted Party TTP, στα πλαίσια αρχιτεκτονικής Public Key Infrastructure PKI) Κρυπτογράφηση: Με το Δημόσιο Κλειδί του Π Αποκρυπτογράφηση: με το Ιδιωτικό Κλειδί του Π Αποστολέας Α Παραλήπτης Π Δημόσιο Κλειδί Π Ιδιωτικό Κλειδί Π Μετάδοση Εξήγηση για την "επαλληλία" των κλειδιών (ιδιωτικού και δημόσιου) μεταξύ τους Αλγόριθμος Αλγόριθμος Μήνυμα Κρυπτογραφημένο Μήνυμα Κρυπτ. Μήνυμα Αρχικό Μήνυμα

Κατακερματισμού (Hashing Algorithm) ΚΡΥΠΤΟΓΡΑΦΙΑ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ: Sender Authentication / Non Repudiation – Message Integrity Ψηφιακή Υπογραφή (Digital Signature) μηνύματος από Αποστολέα Α: Κρυπτογράφηση με το Ιδιωτικό Κλειδί του Α περίληψης του μηνύματος που προκύπτει με αλγόριθμο κατακερματισμού (hashing algorithm). Επιβεβαίωση (authentication) ταυτότητάς του Α, χωρίς δυνατότητά του άρνησης αποστολής (non-repudiation) & επιβεβαίωση μη αλλοίωσης του μηνύματος (message integrity) με βάση την σύγκριση στον Παραλήπτη Π: Ψηφιακής Υπογραφής, αποκρυπτογραφημένης με το γνωστό Δημόσιο Κλειδί του Α Νέας περίληψης του ληφθέντος (μη κρυπτογραφημένου) κυρίως μηνύματος, δημιουργημένης στον Π με τον ίδιο γνωστό αλγόριθμο κατακερματισμού Αλγόριθμος Κατακερματισμού Αποστολέας Α Παραλήπτης Π Μήνυμα Περίληψη Μηνύματος (Hash) Μετάδοση Εξήγηση για την "επαλληλία" των κλειδιών (ιδιωτικού και δημόσιου) μεταξύ τους Να γίνει κάποιο σχήμα Αλγόριθμος Κρυπτογραφίας Σύγκριση Αλγόριθμος Κατακερματισμού (Hashing Algorithm) Digital Signature Ιδιωτικό Κλειδί Α Δημόσιο Κλειδί Α

ΨΗΦΙΑΚΗ ΥΠΟΓΡΑΦΗ http://en.wikipedia.org/wiki/Digital_signature

ΨΗΦΙΑΚΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ Χ. 509 http://www. verisign. com ΨΗΦΙΑΚΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ Χ.509 http://www.verisign.com.au/repository/tutorial/digital/intro1.shtml Αν συνοδεύουν υπογραμμένο μήνυμα, βεβαιώνουν τη γνησιότητα του Δημοσίου Κλειδιού του αποστολέα (subject) κατά μια Τρίτη Έμπιστη Οντότητα TTP - Third Trusted Party: Την Αρχή Πιστοποίησης, Certification Authority – CA Αν χρειάζεται και έλεγχος του Δημοσίου Κλειδιού της CA, μπορεί να αποστέλλεται και 2ο (ή και 3ο, 4ο …πιστοποιητικό) από ιεραρχικά δομημένες CA Η CA υπογράφει ένα ψηφιακό πιστοποιητικό με το Ιδιωτικό Κλειδί της. Το Δημόσιο Κλειδί της (ανώτερης) CA πρέπει να είναι γνωστό στους παραλήπτες (π.χ. ενσωματωμένο στον Web browser) ή αποδεκτό λόγω σχέσης εμπιστοσύνης (π.χ. σε περιπτώσεις Self-Signed CA)

ΜΕΙΚΤΟ ΣΧΗΜΑ ΔΗΜΟΣΙΟΥ – ΙΔΙΩΤΙΚΟΥ ΚΛΕΙΔΙΟΥ Συνδυασμός που αξιοποιεί τα πλεονεκτήματα και των 2 σχημάτων σε 2 φάσεις ανά σύνοδο (session) ή μήνυμα: Φάση hand-shaking (αρχική φάση) Ταυτοποίηση (Authentication) άκρων επικοινωνίας μέσω Public Key Cryptography Δημιουργία (συμμετρικών) κλειδιών ανά σύνοδο με ανταλλαγή κρυπτο-μηνυμάτων (και τυχαίων ακολουθιών pseudo random) μέσω Public Key Cryptography Φάση μετάδοσης δεδομένων σύνδεσης (1 έως πολλά πακέτα) Χρήση συμμετρικής κρυπτογραφίας για περαιτέρω ανταλλαγή πακέτων με δεδομένα που αφορούν στη σύνοδο Κυρίαρχο σχήμα στο Internet Secure Shell, SSH: Ταυτοποίηση & κρυπτογράφηση από άκρο σε άκρο, π.χ PuTTY (ασφαλής σύνοδοςTelnet, client ↔ SSH Server), SFTP Secure Sockets Layer, SSL: Ταυτοποίηση Web server από τους χρήστες – clients μέσω του γνωστού Public Key του server & μετάδοση πακέτων με συμμετρική κρυπτογραφία, π.χ. https (http over SSL over TCP), imaps (IMAP over SSL over TCP), OpenVPN (απαιτείται OpenVPN server και προ-εγκατεστημένο client S/W)