ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΠΡΩΤΟΚΟΛΛΑ ΔΙΑΧΕΙΡΙΣΗΣ ΣΤΟ INTERNET – SNMP, ΕΝΟΠΟΙΗΜΕΝΑ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ Β. Μάγκλαρης 9/1/2012

2 ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ TCP/IP ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ TCP/IP Simple Network Management Protocol - SNMP Πρωτόκολλο του στρώματος εφαρμογής για τη διαχείριση συσκευών συνδεδεμένων στο δίκτυο με TCP/IP stack (IP addressable Network Elements). –Οι συσκευές μπορεί να είναι routers, switches με 1 πόρτα IP για management, Η/Υ, monitoring devices, sensors, έξυπνες συσκευές διαχειριζόμενες από το Internet... Το SNMP υλοποιεί απλές διαχειριστικές λειτουργίες. Ακολουθεί το μοντέλο Manager (που ρωτά) - Agent (που απαντά). Χρησιμοποιεί υπόβαθρο UDP στα Ports UDP 161 (agent demon) και UDP 162 (manager demon για αυτόνομα μηνύματα των agents - SNMP traps) –Υπενθύμιση: το UDP είναι πρωτόκολλο χωρίς επιβεβαίωση. Προτυποποίηση: RFC (Request for Comments) της IETF (Internet Engineering Task Force): –RFC 1157 SNMPv1 και RFCs 1155,1212 SMIv1 –RFCs SNMPv2 και RFCs SMIv2 –RFC & SNMPv3

3 ΜΟΝΤΕΛΛΟ ΔΙΑΧΕΙΡΙΣΗΣ SNMP Κλήση SNMP Απάντηση στην ερώτηση Ασύγχρονο μήνυμα (Trap) προς το manager Σύστημα συνδεμένο στο δίκτυο που μπορεί να εκτελεί οποιαδήποτε εργασία Network Management Station (NMS)

4 ΠΡΩΤΟΚΟΛΛΟ ΑΝΤΑΛΛΑΓΗΣ ΠΛΗΡΟΦΟΡΙΩΝ ΔΙΑΧΕΙΡΙΣΗΣ Χρειαζόμαστε ένα κοινό (standard) τρόπο για να ορίζουμε τα αντικείμενα που διαχειριζόμαστε και τη συμπεριφορά τους Χρειάζεται να γνωρίζουμε ποια αντικείμενα είναι διαθέσιμα στον agent και ποιες είναι οι ιδιότητες τους –π.χ. κατάσταση ενός Router Interface: Up, Down, Testing Τις πληροφορίες αυτές τις ορίζει η Βάση Πληροφοριών Διαχείρισης (Management Information Base - MIB) –Η ΜΙΒ δεν είναι βάση δεδομένων – απλά τυποποιεί αντικείμενα / δείκτες ώστε να απευθύνεται σε αυτά ο manager ανεξάρτητα από κατασκευαστή, λειτουργικό κ.λπ. Η πληροφορία σε αυτή δομείται σύμφωνα με τους κανόνες Structure of Management Information - SMI Υπάρχουν πολλές MIB ανάλογα με το είδος εργασιών –π.χ. ATM MIB (RFC 2515), DNS MIB (RFC 1611) κ.λπ. Όλοι οι agent σε routers στο Internet υλοποιούν τουλάχιστον την MIB II (RFC 1213)

5 ΟΡΙΣΜΟΣ ΑΝΤΙΚΕΙΜΕΝΩΝ ΣΤΗ MIB Η MIB είναι δενδρική δομή δεδομένων (data structure) που ορίζει διαχειριζόμενα αντικείμενα (managed objects) με τυποποιημένο τρόπο Κάθε διαχειριζόμενο αντικείμενο έχει ορισμένο τύπο και θέση στη ΜΙΒ –Όπου & όταν χρειάζεται, ο agent αναλαμβάνει την αντιστοίχηση των αντικειμένων της MIB με μεταβλητές τιμές που του αποδίδει το συγκεκριμένο σύστημα - operating system, π.χ. χρόνος που το σύστημα είναι σε λειτουργία, System Uptime –Οι agents γίνονται compiled για κάθε operating system που υπάρχει στα στοιχεία του δικτύου Ο ορισμός - κωδικοποίηση των αντικειμένων για να περιληφθούν στη MIB γίνεται με την συντακτική αφηρημένη γλώσσα ASN.1 και τους κανόνες Basic Encoding Rules (BER) Ο διαχειριστής χρειάζεται να γνωρίζει μόνο το είδος - τύπο της πληροφορίας και που θα τη βρει και όχι τον τρόπο που αυτή είναι εσωτερικά κωδικοποιημένη Σύνοψη των ορισμών –ASN.1: "αφηρημένη" γλώσσα περιγραφής δομών και τύπων ανεξάρτητα από την εφαρμογή –BER: Κανόνες κωδικοποίησης σε ASN.1 για τον ορισμό MIBs –SMI: Γενική περιγραφή της δομής που πρέπει να έχει μια MIB

6 ΔΕΝΔΡΙΚΗ ΔΟΜΗ MIB Τα διαχειριζόμενα αντικείμενα οργανώνονται σε μια δενδρική δομή, βάση της οποίας προκύπτει και το όνομα τους (που υποδηλώνει τη μοναδική τους θέση στο δένδρο) root ccitt(0) iso(1) joint(2) dod(6) internet(1) directory(1) mgmt(2) experimental(3) private(4) mibΙΙ(1) system(1) interfaces(2) at(3) ip(4) icmp(5) tcp(6) udp(7) egp(8) transmission(10) snmp(11) sysUpTime(3) Έτσι, π.χ. το αντικείμενο sysUptime έχει τη μοναδική αναφορά: org(3)

7 ΠΑΚΕΤΑ - ΕΝΤΟΛΕΣ SNMP get-request (NMS  Agent, UDP port 161) get-response (Agent  NMS) getnext-request (NMS  Agent) getnext-response (Agent  NMS) –walk (NMS  Agent) bulk-get-request (NMS  Agent) set-request (NMS  Agent) trap (Agent  NMS, UDP port 162) Παραδείγματα Εντολών SNMP snmpget – c – public system.sysUpTime.0 snmpwalk – c – public maria.netmode.ece.ntua.gr

8 ΣΥΝΤΑΞΗ ΑΝΤΙΚΕΙΜΕΝΩΝ Τα διαχειριζόμενα αντικείμενα κωδικοποιούνται στη μορφή (SNMPv2 SMI): OBJECT-TYPE SYNTAX MAX-ACCESS STATUS DESCRIPTION INDEX {…} DEFVAL {…} ::= { }

9 ΤΥΠΟΙ ΑΝΤΙΚΕΙΜΕΝΩΝ Syntax INTEGER (μπορεί να χρησιμοποιηθεί και για λίστα απαρίθμησης) Integer32 Unsigned32 Counter32 & Counter64 Gauge32 Timeticks (εκατοστά του δευτερολέπτου, όπως μετρούνται στο σύστημα) OCTET STRING OBJECT IDENTIFIER Opaque RowStatus (TC) DisplayString (TC) IpAddress (TC) 0 Max Gauge

ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ ICMP: ping, traceroute tcpdump net-snmp –snmp_get –snmp_walk –trap –snmp_set MRTG –RRDtool Transmission (DWDM, SDH tools): CMIP, TMN, Proprietary –TL1, Q3, Corba

INTEGRATED NETWORK MANAGEMENT

ΟΛΟΚΛΗΡΩΜΕΝΑ ΕΡΓΑΛΕΙΑ Αυτοματοποιούν διαδικασίες Ομαδοποιούν λειτουργίες Open Source –Nagios – Service Monitoring –OpenNMS – Network Monitoring –Ganglia – Cluster Management Commercial –HP Openview –IBM Tivoli

MANAGEMENT PLATFORMS

NAGIOS PLUGINS Plugin Return CodeService StateHost State 0OKUP 1WARNING UP or DOWN/UNREACHABLE 2CRITICALDOWN/UNREACHABLE 3UNKNOWNDOWN/UNREACHABLE RETURN CODE | TEXT OUTPUT | OPTIONAL PERFDATA | LONG TEXT LINE … | PERFDATA … 0 | PING OK - Packet loss = 0%, RTA = 0.15 ms 0 | DISK OK - free space: / 3326 MB (56%); | /=2643MB;5948;5958;0;5968

ΠΑΡΑΔΕΙΓΜΑΤΑ NAGIOS PLUGINS check_http check_snmp check_icmp check_ntp check_ifoperstatus check_mrtg check_ssh check_ifstatus check_ntp_time check_imap check_ups check_ftp check_ping -H -w, % -c, %

ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ Είδη Απειλών και Επιθέσεων Προστασία –Πολιτικές –Αρχιτεκτονικές Ελέγχου Πρόσβασης (Authorization & Authentication Infrastructures - ΑΑΙ) & Διαχείρισης Δημοσίων Κλειδιών (Public Key Infrastructures - PKI) –Εργαλεία (Access Control Lists – ACL’s, Firewalls) –Συστήματα Εντοπισμού Επιθέσεων (Intrusion Detection Systems – IDS) & Ανωμαλιών (Anomaly Detection Systems) Κρυπτογραφία Η σίγουρη μέθοδος εξασφάλισης ενός δικτύου:

ΑΠΕΙΛΕΣ ΑΣΦΑΛΕΙΑΣ ΔΙΚΤΥΩΝ Απόκτηση πληροφοριών για το σύστημα: –Port Scanning –Fingerprinting Μη εξουσιοδοτημένη πρόσβαση –Υποκλοπή κωδικών –Λάθος διαμορφώσεις (ανοικτά συστήματα) –Από μη εξουσιοδοτημένα σημεία (π.χ. ανοιχτά σημεία ασύρματης πρόσβασης) Επιθέσεις Άρνησης Υπηρεσίας (Denial of Service Attacks - DoS) Υποκλοπή και παραποίηση επικοινωνιών –Packet sniffing –"Man-in-the-Middle" attacks Κακόβουλο λογισμικό (malware) –Ιοί, Δούρειοι ίπποι (trojans) –Αυτόματα διαδιδόμενοι ιοί (worms)

ΤΑΥΤΟΤΗΤΑ ΧΡΗΣΤΗ Μη Εξουσιοδοτημένη Πρόσβαση Ταυτότητα χρήστη (user Global ID – GID): –Μία ταυτότητα αντιστοιχεί σε ένα χρήστη –Πολλαπλές ταυτότητες μπορεί να συνυπάρχουν σε διαφορετικούς παρόχους …. –Ταυτοποίηση χρήστη: Με μόνο Με ψηφιακό πιστοποιητικό σε κατάλογο χρήστη (ανά σύνοδο - session ή αποθηκευμένο σε κατάλογο χρηστών LDAP στο home organization ενός χρήστη) –Ταυτοποίηση & Εξουσιοδοτήσεις Χρήστη: Ιδανικά σε Authorization & Authentication Infrastructure, AAI με δυνατότητες περιαγωγής (roaming) του user_profile –Κίνδυνοι υποκλοπής από την μεταφορά του user_profile μέσα στο Internet: Περιορισμός της ελάχιστης δυνατής πληροφορίας (π.χ. μέσω των home organizations) Κίνδυνοι υποκλοπής –"Αδύναμοι" κωδικοί & πρωτόκολλα - one time passwords? –Κακή προστασία μετάδοσης (π.χ. επικοινωνίες χωρίς κρυπτογράφηση, ανεπαρκώς φυλασσόμενες εγκαταστάσέις) –Φυσική απώλεια (PDA κλπ.) –«Social Engineering»

ΕΠΙΘΕΣΕΙΣ ΑΡΝΗΣΗ ΥΠΗΡΕΣΙΑΣ (1) Denial of Service Attacks - DoS Επιθέσεις που έχουν σκοπό να αποτρέψουν τη χρήση ενός συστήματος από όλους –Εκμεταλλεύονται προβλήματα του λογισμικού (`Operating System ή εφαρμογές εξυπηρετητών) - Software Exploits –Θεωρητικά κινδυνεύει οποιοδήποτε σύστημα είναι συνδεδεμένο στο δίκτυο Δρομολογητές και άλλες δικτυακές συσκευές επίσης ευάλωτες –Και ένα μοναδικό πακέτο αρκεί σε κάποιες περιπτώσεις για να θέσει εκτός λειτουργίας κάποιο τρωτό σύστημα –Δεν γίνονται προσπάθειες παραβίασης ή υποκλοπής στοιχείων –Απόκρυψη του επιτιθέμενου με παραποίηση της διεύθυνσης αποστολέα στο πακέτο Χρησιμοποίηση: Διαμάχες hackers, επίδειξη ικανοτήτων, εκδίκηση, κυβερνοπόλεμος

ΕΠΙΘΕΣΕΙΣ ΑΡΝΗΣΗΣ ΥΠΗΡΕΣΙΑΣ (2) Denial of Service Attacks - DoS Επιθέσεις εξάντλησης πόρων –Εξάντληση υπολογιστικών ή δικτυακών πόρων –Χρήση μεγάλου αριθμού νόμιμων δικτυακών κλήσεων –Σε κάποιες περιπτώσεις χρησιμοποίηση περισσότερων του ενός συστημάτων επίθεσης – Επιθέσεις Ενίσχυσης (Amplification Attacks) Επόμενο βήμα: Κατανεμημένες Επιθέσεις Άρνησης Υπηρεσίας – Distributed Denial of Service Attacks – DDoS –Χρήση πολλών "ελεγχόμενων" υπολογιστών από τον επιτιθέμενο Bots "Αυτόματη" παραβίαση και έλεγχος τους Συνεχίζουν να λειτουργούν χωρίς ο χρήστης τους να αντιλαμβάνεται διαφορά –Ιεραρχία ελέγχου τους με ενδιάμεσα στάδια (attack masters)

ΕΠΙΘΕΣΕΙΣ ΤΥΠΟΥ "Smurf" Επιτιθέμενος Μη ασφαλισμένο δίκτυο ICMP Echo request Destination: LAN broadcast Source: victim.host Διαχειριστικό Πρόβλημα: Επιτρέπεται το ping στη διεύθυνση broadcast Στόχος (web Server) victim.host ICMP Echo reply Destination:victim.host ICMP Echo reply Destination:victim.host ICMP Echo reply Destination:victim.host

ΕΠΙΘΕΣΕΙΣ Distributed DoS (DDoS) Διαχειριστικό Πρόβλημα: Λειτουργία κακόβουλου λογισμικού Δίκτυο Στόχος " Ζόμπι" ή "bots" Attack Agents X Attack Master Attack Master Επιτιθέμενος Διαχειριστικό Πρόβλημα 2: Επιτρέπονται πακέτα με παράνομη διεύθυνση προέλευσης

ΥΠΟΚΛΟΠΗ & ΠΑΡΑΠΟΙΗΣΗ ΔΕΔΟΜΕΝΩΝ (1) ΥΠΟΚΛΟΠΗ & ΠΑΡΑΠΟΙΗΣΗ ΔΕΔΟΜΕΝΩΝ (1) Packet sniffing –Μπορεί να συμβεί σε δίκτυα με Hub, μη ασφαλισμένα ασύρματα δίκτυα ή σε περιπτώσεις υπερφόρτωσης του MAC Table ενός Switch –Κάθε πληροφορία που κυκλοφορεί μη κρυπτογραφημένη είναι διαθέσιμη σε αυτόν που παρακολουθεί Telnet passwords Web passwords Οικονομικά και προσωπικά στοιχεία (π.χ. προσωπικά , αριθμοί πιστωτικών καρτών κ.λπ.) "Man-in-the-Middle" attacks –Κάποιος μπορεί να παρεμβληθεί σε μια επικοινωνία και είτε να υποκλέψει τα στοιχεία είτε να "υποκριθεί" ότι είναι κάποιος τρίτος φορέας ARP "poisoning" TCP "session hijacking" DNS "poisoning" – URL redirection

ΥΠΟΚΛΟΠΗ & ΠΑΡΑΠΟΙΗΣΗ ΔΕΔΟΜΕΝΩΝ (2) Λύσεις –Χρήση κρυπτογραφίας Αντικατάσταση του telnet με SSH (Secure Shell) Κρυπτογραφημένη έκδοση του IMAP για Γνώση των αδυναμιών των δικτυακών εφαρμογών (αποφυγή μετάδοσης κρισίμων δεδομένων χωρίς κρυπτογράφηση) –Χρήση ψηφιακών πιστοποιητικών (certificates) Προσφέρουν κρυπτογραφία και ταυτοποίηση (επιβεβαίωση ταυτότητας) –Προσοχή στην επιλογή των σημείων σύνδεσης: Αν χρησιμοποιείται hub χωρίς δυνατότητες διαχείρισης Αν χρησιμοποιείται ασύρματη σύνδεση WiFi προτείνονται οι εξής εναλλακτικοί τρόποι ελέγχου πρόσβασης: –Αρχική σύνδεση (ελαφρά κρυπτογραφημένη WPA, WEP) μόνο σε τοπική σελίδα Web εξουσιοδότησης & ταυτοποίησης (authorization & authentication). Η σύνδεση ανοίγει στο Internet με user_name, password –Access Lists εξουσιοδοτημένων διευθύνσεων MAC –Πρωτόκολλο X βασισμένο σε καταλόγους authorized χρηστών LDAP και προ-εγκατεστημένο λογισμικό (certificate) στον Η/Υ

ΕΙΔΗ ΚΡΥΠΤΟΓΡΑΦΙΑΣ Συμμετρική (Ιδιωτικού Κλειδιού, Private Key Cryptography) –Χρήση μοναδικού κλειδιού και από τα δύο μέρη –Κρυπτογράφηση με συγκεκριμένου μήκους κομμάτια κειμένου (block cipher) ή ανά bit σε συνεχή ροή δεδομένων (stream cipher) –Αλγόριθμοι κρυπτογράφησης: DES, triple DES, RC2, RC4, RC5, IDEA, AES –Γρήγορη άλλα έχει προβλήματα στην ασφάλεια διανομής του κλειδιού –Έχει πολλαπλή χρήση: Encryption, authentication, non-repudiation Μη Συμμετρική (Δημόσιου Κλειδιού, Public Key Cryptography) –Κάθε μέρος έχει ιδιωτικό και δημόσιο κλειδί. Διανέμει το τελευταίο ελεύθερα –Αλγόριθμοι κρυπτογράφησης: RSA, Diffie-Hellman –Αλγόριθμοι κατακερματισμού (hash functions) για εξαγωγή περίληψης μέρους ή του συνόλου ενός μηνύματος: SHA & SHA-1, MD2, MD4, MD5 –Ισχυρά σημεία: Δεν διανέμονται ιδιωτικά κλειδιά – μόνο τα δημόσια κλειδιά –Αδύνατα σημεία: Αργή στην εκτέλεση Αμφισβήτηση εμπιστοσύνης στα δημόσια κλειδιά: γι' αυτό συνιστάται η εγκατάσταση Αρχών Πιστοποίησης (Certification Authorities, CA) και οργανωμένων υποδομών Δημοσίου Κλειδιού (Public Key Infrastructures, PKI) –Έχει πολλαπλή χρήση: Encryption, authentication, non-repudiation

ΚΡΥΠΤΟΓΡΑΦΙΑ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ (1) Αποστολέας και Παραλήπτης έχουν ανταλλάξει Δημόσια κλειδιά (π.χ. μέσω SSL ή –Κρυπτογράφηση: Με το δημόσιο κλειδί του Παραλήπτη –Αποκρυπτογράφηση: με το ιδιωτικό κλειδί του Παραλήπτη Μήνυμα Δημόσιο Κλειδί Π Κρυπτογραφημένο Μήνυμα Κρυπτ. Μήνυμα Αρχικό Μήνυμα Μετάδοση Ιδιωτικό Κλειδί Π Αποστολέας Α Παραλήπτης Π Αλγόριθμος

ΚΡΥΠΤΟΓΡΑΦΙΑ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ (2) Χρήση για την επιβεβαίωση αποστολέα και τη μη δυνατότητα άρνησης αποστολής (non-repudiation) –Επιβεβαίωση ταυτότητας αποστολέα (ψηφιακή υπογραφή, digital signature) –Χρησιμοποιείται επίσης για την υπογραφή ψηφιακών πιστοποιητικών Μήνυμα Δημόσιο Κλειδί Α Μετάδοση Αποστολέας Α Παραλήπτης Π Αλγόριθμος Κατακερματισμο ύ Περίληψη Μηνύματος Ιδιωτικό Κλειδί Α Αλγόριθμος Κρυπτογραφί ας Αλγόριθμος Κατακερματισμ ού Σύγκριση

ΜΕΙΚΤΟ ΣΧΗΜΑ ΔΗΜΟΣΙΟΥ – ΙΔΙΩΤΙΚΟΥ ΚΛΕΙΔΙΟΥ Συνδυασμός που αξιοποιεί τα πλεονεκτήματα και των 2 σχημάτων σε 2 φάσεις ανά σύνοδο (session) ή μήνυμα : Φάση hand-shaking (αρχική φάση) –Ταυτοποίηση (Authentication) άκρων επικοινωνίας μέσω Public Key Cryptography –Δημιουργία (συμμετρικών) κλειδιών ανά σύνοδο με ανταλλαγή κρυπτο- μηνυμάτων (και τυχαίων ακολουθιών pseudo random) μέσω Public Key Cryptography Φάση μετάδοσης δεδομένων σύνδεσης (1 έως πολλά πακέτα) –Χρήση συμμετρικής κρυπτογραφίας για περαιτέρω ανταλλαγή πακέτων με δεδομένα που αφορούν στη σύνοδο Κυρίαρχο σχήμα στο Internet –Secure Shell, SSH: Ταυτοποίηση & κρυπτογράφηση από άκρο σε άκρο, π.χ PuTTY (ασφαλής σύνοδοςTelnet, client ↔ SSH Server), SFTP –Secure Socket Layer, SSL: Ταυτοποίηση Web server από τους χρήστες – clients μέσω του γνωστού Public Key του server & μετάδοση πακέτων με συμμετρική κρυπτογραφία, π.χ. https (http over SSL over TCP), imaps (IMAP over SSL over TCP), OpenVPN (απαιτείται OpenVPN server και προ- εγκατεστημένο client S/W)

ΨΗΦΙΑΚΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ (1) Βεβαιώνουν την ακεραιότητα του Δημόσιου κλειδιού. Βεβαιώνουν τη σύνδεση ενός δημόσιου κλειδιού με ένα άτομο ή οργανισμό μέσω της Έμπιστης Τρίτης Οντότητας (Trusted Third Party, TTP) – Αρχή Πιστοποίησης (Certification Authority, CA) στο πλαίσιο σχήματος Υποδομής Δημοσίου Κλειδιού (Public Key Infrastructure, PKI) Ανάλογα με την Αρχή Πιστοποίησης το πιστοποιητικό έχει και διαφορετικό εύρος αναγνώρισης. Συνήθως υπάρχει ιεραρχία πιστοποίησης που ορίζεται από το πρότυπο X.509. Από τι αποτελείται ένα ψηφιακό πιστοποιητικό: –Κάποια πληροφοριακά στοιχεία για το χρήστη του –Το δημόσιο κλειδί του χρήστη –Το όνομα μιας Αρχής Πιστοποίησης (CA Name) –Την ψηφιακή υπογραφή της Αρχής Πιστοποίησης (CA Digital Signature)

ΨΗΦΙΑΚΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ (2) Υπογραφή ενός ψηφιακού πιστοποιητικού με το ιδιωτικό κλειδί της Αρχής Πιστοποίησης (CA)