Διαχείριση & Ασφάλεια Δικτύων Ενότητα 3: Ασφάλεια Διάλεξη 7

Παρουσίαση με θέμα: "Διαχείριση & Ασφάλεια Δικτύων Ενότητα 3: Ασφάλεια Διάλεξη 7"— Μεταγράφημα παρουσίασης:

1 Διαχείριση & Ασφάλεια Δικτύων Ενότητα 3: Ασφάλεια Διάλεξη 7
Πανεπιστήμιο Πελοποννήσου Τμήμα Επιστήμης & Τεχνολογίας Τηλεπικοινωνιών Διαχείριση & Ασφάλεια Δικτύων Ενότητα 3: Ασφάλεια Διάλεξη 7 Διδάσκων: Δρ. Γενειατάκης Δημήτρης Πανεπιστήμιο Πελοποννήσου 4/12/2018

2 Πανεπιστήμιο Πελοποννήσου
Περιεχόμενα Ασφαλές Πρωτόκολλο IP Ασφάλεια σε επίπεδο εφαρμογής 4/12/2018 Πανεπιστήμιο Πελοποννήσου

3 Ασφάλεια στο Διαδίκτυο
Φυσικό Δικτύου Μεταφοράς Εφαρμογών HTTPS, SSH,SMIME, Συνθ. TLS/SSL IP Security 4/12/2018 Πανεπιστήμιο Πελοποννήσου

4 Ασφαλές IP (IP Securirty)
4/12/2018 Πανεπιστήμιο Πελοποννήσου

5 Ασφαλές IP (IP Securirty)
Παρεχόμενες Υπηρεσίες Αυθεντικοποίησης Εμπιστευτικότητας Διαχείρισης κλειδιών Παρέχει προστασία από αναξιόπιστες συνδέσεις Πιστοποίηση της εισερχόμενης κίνησης Πηγής Παρέχει διαφάνεια στα υπερ-άνω από αυτό πρωτόκολλα 4/12/2018 Πανεπιστήμιο Πελοποννήσου

6 Πανεπιστήμιο Πελοποννήσου
Security IPSec Προδιαγραφές IPSec RFC 2401, Γενική περιγραφή αρχιτεκτονική ασφαλείας RFC 2402, Περιγραφή της διαδικασίας πιστοποίησης RFC 2406, Περιγραφή της διαδικασίας κρυπτογράφησης RFC 2408, Προδιαγραφές λειτουργιών διαχείρισης κλειδιών 4/12/2018 Πανεπιστήμιο Πελοποννήσου

7 Πανεπιστήμιο Πελοποννήσου
Μηχανισμοί Ασφάλειας Μηχανισμός Αυθεντικοποίσης Κεφαλίδας (Authentication Header) Μηχανισμός Κρυπτογράφησης (Encapsulating Security Payload) 4/12/2018 Πανεπιστήμιο Πελοποννήσου

8 Πανεπιστήμιο Πελοποννήσου
Τρόποι Χρήσης Κατάσταση Λειτουργίας Μεταφοράς(Transport Mode) Παρέχει κυρίως προστασία σε πρωτόκολλα ανωτέρου επιπέδου δε λαμβάνεται υπόψη η κεφαλίδα του IP πακέτου Kατάσταση Λειτουργίας Σήραγγας (Tunnel Mode) Παρέχει προστασία σε ολόκληρο το πακέτο IP Απαιτείται η δημιουργία μιας νέας κεφαλίδας IP To ωφέλιμο φορτίο θεωρείται το προστατευμένο πακέτο IP 4/12/2018 Πανεπιστήμιο Πελοποννήσου

9 Δομικά Στοιχεία IPSec IPSec AH ESP Διαχ. Κλειδιών
Αλγόριθμος Αυθεντικοποίησης Αλγόριθμος Κρυπτογράφησης 4/12/2018 Πανεπιστήμιο Πελοποννήσου

10 Συσχετισμός Ασφάλειας-Security Association
Ο Συσχετισμός Ασφάλειας (ΣΑ) αναφέρεται σε μια συμφωνία μεταξύ δύο ή περισσοτέρων μερών σε υπηρεσίες ασφάλειας Ο ΣΑ προσδιορίζεται: Δεικτη Παραμέτρων Ασφάλειας (Security Parameters Index) Διεύθυνση IP Προορισμού Αναγνωριστικό πρωτοκόλλου ασφαλείας 4/12/2018 Πανεπιστήμιο Πελοποννήσου

11 Παράμετροι Συσχέτισης Ασφαλείας
Sequence Number Counter Anti-Replay Window Πληροφορίες AH Πληροφορίες ESP Διάρκεια ζωής του ΣΑ Maximum Transmission Unit Τρόπος λειτουργίας 4/12/2018 Πανεπιστήμιο Πελοποννήσου

12 IPSec & Συσχετισμοί Ασφάλειας
Ένα πακέτο μπορεί να αυθεντικοποιείται/κρυπτογραφείται μόνο εάν γίνει η κατάλληλη σύνδεση με το ΣΑ Security Parameters Index 4/12/2018 Πανεπιστήμιο Πελοποννήσου

13 Μηχανισμός Authentication Header
Παρέχει αυθεντικοποίηση προέλευσης δεδομένων ακεραιότητα στα IP πακέτα Προστασία από επιθέσεις επανάληψης Δε λαμβάνει υπόψη του τα τμήματα του IP πακέτου που τροποποιούνται στην κατάσταση λειτουργιάς μεταφοράς Στην κατάσταση σήραγγας δημιουργεί μια νέα κεφαλίδα και παρέχει υπηρεσίες ασφάλειας σε ολόκληρο το πακέτο 4/12/2018 Πανεπιστήμιο Πελοποννήσου

14 Μηχανισμός Authentication Header
Οι αλγόριθμοι που χρησιμοποιούνται είναι προσδιορίζονται στο συσχετισμό ασφάλειας HMAC (MD5,SHA-1) 4/12/2018 Πανεπιστήμιο Πελοποννήσου

15 Πανεπιστήμιο Πελοποννήσου
Πεδία Τροποποίησης 4/12/2018 Πανεπιστήμιο Πελοποννήσου

16 Μηχανισμός ΑΗ σε κατάσταση μεταφοράς
Δημιουργία ενός προσωρινού IP πακέτου στο οποίο δεν συμπεριλαμβάνονται τα πεδιά που υπόκεινται τροποποίηση Υπολογισμός μιας HMAC του προσωρινού IP πακέτου Προσάρτηση του αποτελέσματος στο IP πακέτο 4/12/2018 Πανεπιστήμιο Πελοποννήσου

17 Μηχανισμός ΑΗ σε κατάσταση μεταφοράς
4/12/2018 Πανεπιστήμιο Πελοποννήσου

18 Mηχανισμός AH σε κατάσταση σήραγγας
Δημιουργία ενός νέου IP πακέτου όπου ενθυλακώνει το αρχικό πακέτο IP Υπολογισμός μιας HMAC του ενθυλακωμένου IP πακέτου Προσάρτηση του αποτελέσματος στο νέο IP πακέτο 4/12/2018 Πανεπιστήμιο Πελοποννήσου

19 Μηχανισμός ΑΗ σε κατάσταση σήραγγας
4/12/2018 Πανεπιστήμιο Πελοποννήσου

20 Δομή Authentication Header
4/12/2018 Πανεπιστήμιο Πελοποννήσου

21 Προστασία από επιθέσεις επανάληψης
Το πεδίο Sequence Number έχει ως στόχο την αποτροπή επιθέσεων επανάληψης Το SN σε κάθε αποστολή νέου μηνύματος αυξάνεται Σε περίπτωση όπου η τιμή του SN φτάσει το όριο 2^32-1 τότε θα πρέπει να γίνει εγκαθίδρυση νέας SA 4/12/2018 Πανεπιστήμιο Πελοποννήσου

22 Προστασία από επιθέσεις επανάληψης
To IP είναι ένα αναξιόπιστο ασυνδεσμικό πρωτόκολλο Δεν εγγυάται την ορθή σειρά παράδοσης των πακέτων Χρήση του παραθύρου μεγέθους W To δεξιό τμήμα του παραθύρου αντιπροσωπεύει τη μεγαλύτερη τιμή N του πεδίου SN 4/12/2018 Πανεπιστήμιο Πελοποννήσου

23 Προστασία από επιθέσεις επανάληψης
Για κάθε πακέτο που έχει ληφθεί σωστά και έχει τιμή SN στο διάστημα [Ν-W+1,N] ελέγχεται Έαν έχει πραγματοποιηθεί επαλήθευση του ίδιο πακέτου ο κώδικας αυθεντικοποίησης Για κάθε πακέτο που βρίσκεται μετά το Ν, ελέγχεται ο κώδικας αυθεντικοποίησης και το παράθυρο προχωράει ώστε η τιμή του SN να είναι το δεξιό άκρο του παραθύρου 4/12/2018 Πανεπιστήμιο Πελοποννήσου

24 Προστασία από επιθέσεις επανάληψης
Κάθε πακέτου που βρίσκεται πριν από το N-W+1 και δεν είναι πιστοποιημένο Παράθυρο W ολισθαίνει δεξία εφόσον ληφθεί έκγυρο πακέτο με SN > N N N-W Δεν έχει ληφθεί έγκρυο πακέτο 4/12/2018 Πανεπιστήμιο Πελοποννήσου

25 Μηχανισμός Encapsulating Security Payload
Παρέχει υπηρεσίες εμπιστευτικότητας ακεραιότητας αυθεντικότητας 4/12/2018 Πανεπιστήμιο Πελοποννήσου

26 Πανεπιστήμιο Πελοποννήσου
Δομή ESP 4/12/2018 Πανεπιστήμιο Πελοποννήσου

27 Πανεπιστήμιο Πελοποννήσου
Mηχανισμός ESP Προτεινόμενοι αλγόριθμοι κρυπτογράφησης 3DES RC5 IDEA CAST Blowfish 4/12/2018 Πανεπιστήμιο Πελοποννήσου

28 Μηχανισμός ESP σε κατάσταση μεταφοράς
Κρυπτογράφηση των δεδομένων των ανωτέρων πρωτοκόλλων Δεν υπάρχουν επιπρόσθετες κεφαλίδες Τα δεδομένα ανωτέρου πρωτοκόλλου κρυπτογραφούνται και ενθυλακώνονται στο ESP Το ESP θεωρείται το ωφέλιμο φορτίου του IP πακέτου Οι ενδιάμεσοι κόμβοι δεν έχουν δυνατότητα πρόσβαση στο ωφέλιμο φορτίο 4/12/2018 Πανεπιστήμιο Πελοποννήσου

29 Μηχανισμός ESP σε κατάσταση μεταφοράς
IP TCP ESP σε κατάσταση Μεταφοράς IP ESP κεφ. TCP ESP επιπρ ESP Αυθ. Κρυπτογράφηση Αυθεντικοποίηση 4/12/2018 Πανεπιστήμιο Πελοποννήσου

30 Μηχανισμός ESP σε κατάσταση σήραγγας
Όλοκληρο το IP πακέτο κρυπτογραφείται Υπάρχει πρόβλημα δρομολόγησης Για αυτό δημιουργείται ένα νέο πακέτο στο οποίο ενθυλακώνεται το κρυπτογραφημένο Με τον τρόπο αυτό δημιουργείται μια ασφαλής δίοδος-σήραγγα μεταξύ των επικοινωνούντων μερών Μείωση απόδοσης Επιπρόσθετα δεδομένα (νέα κεφαλίδα) 4/12/2018 Πανεπιστήμιο Πελοποννήσου

31 Μηχανισμός ESP σε κατάσταση σήραγγας
IP TCP ESP σε κατάσταση Σήραγγας Νέα IP ESP κεφ. IP TCP ESP επιπρ ESP Αυθ. Κρυπτογράφηση Αυθεντικοποίηση Πανεπιστήμιο Πελοποννήσου 4/12/2018

32 Συνοψη Παρεχόμενων Λειτουργιών
Κατάσταση Μεταφοράς Κατάσταση Σήραγγας ΑΗ Αυθεντικοποίηση IP ωφέλιμου φορτίου και τμήμα κεφαλίδας IP Αυθεντικοποίηση ολόκληρου του εσωτερικού πακέτου, και τμήμα της εξωτερικής κεφαλίδας ESP Κρυπτογράφηση του φορτίου IP Κρυπτογράφηση ολόκληρου του εσωτερικού πακέτου 4/12/2018 Πανεπιστήμιο Πελοποννήσου

33 Πανεπιστήμιο Πελοποννήσου
Ερωτήσεις 4/12/2018 Πανεπιστήμιο Πελοποννήσου

34 Πανεπιστήμιο Πελοποννήσου
S/MIME Προδιαγράφεται RFC 2630 RFC 2632 RFC 2633 4/12/2018 Πανεπιστήμιο Πελοποννήσου

35 Μηνύματα Ηλεκτρονικού Ταχυδρομείου
Τα μηνύματα ηλεκτρονικού ταχυδρομείου αποτελούνται από ένα φάκελο και τα περιεχόμενα Ο φάκελος περιέχει πληροφορίες σχετικά με την αποστολή και παράδοση του μηνύματος Τα περιεχόμενα αποτελούν τα δεδομένα προς παράδοση 4/12/2018 Πανεπιστήμιο Πελοποννήσου

36 Μηνύματα Ηλεκτρονικού Ταχυδρομείου
Η δομή ενός μηνύματος Η.Τ αποτελείται Κεφαλίδες Σώμα μηνύματος Παράδειγμα Date: Aug EDT From: George To: Al Hello. This section begins the actual message body 4/12/2018 Πανεπιστήμιο Πελοποννήσου

37 Μηνύματα Ηλεκτρονικού Ταχυδρομείου
Βασικοί Περιορισμοί Το σύστημα ηλεκτρονικού ταχυδρομείου δε μπορεί να μεταδώσει αρχεία σε δυαδική μορφή Δε μπορεί να μεταδώσει δεδομένα κειμένου που περιλαμβάνουν μη λατινικούς χαρακτήρες Multipurpose Internet Mail Extension (MIME) προσπαθεί να επιλύσει τα προβλήματα αυτά 4/12/2018 Πανεπιστήμιο Πελοποννήσου

38 Πανεπιστήμιο Πελοποννήσου
ΜΙΜΕ Ορίζονται νέα πεδία για το προσδιορισμό των πληροφοριών που περιέχονται στο σώμα του μηνύματος Όρίζονται διαφορετικές μορφές περιεχομένων Ορίζονται μετατροπές κωδικοποίησης οι οποίες επιτρέπουν τη μετατροπή από οποιαδήποτε μορφή περιεχομένων σε κάποι μορφή που να προστατεύεται από τροποποίηση από το σύστημα ηλεκτρονικού ταχυδρομείου 4/12/2018 Πανεπιστήμιο Πελοποννήσου

39 Πανεπιστήμιο Πελοποννήσου
S/MIME Οριζόμενοι τύποι multipart/signed; protocol="application/pkcs7-signature" application/pkcs7-mime; smime-type=signed-data application/pkcs7-mime; smime-type=enveloped-data to support Προσδιορίζει τη σύνταξη των προστατευόμενων μηνυμάτων 4/12/2018 Πανεπιστήμιο Πελοποννήσου

40 Παρεχόμενες Υπηρεσίες S/MIME
Παρέχει υπηρεσίες Ακεραιότητας Εμπιστευτικότητας Πιστοποίησης οντότητας Βασίζεται σε υποδομή δημόσιου κλειδιού Αξιοποιεί τη μέθοδο του ψηφιακού φακέλου για την παροχή υπηρεσιών εμπιστευτικότητας 4/12/2018 Πανεπιστήμιο Πελοποννήσου

41 Παρεχόμενες Υπηρεσίες S/MIME
H οντότητα ΜΙΜΕ που προστατεύεται μπορεί να είναι: Ολόκληρο το μήνυμα (εκτός από τις βασικές κεφαλίδες) Τύπος περιεχομένων MIME 4/12/2018 Πανεπιστήμιο Πελοποννήσου

42 Λειτουργία Υπηρεσία Εμπιστευτικότητας S/MIME (enveloped data)
Δημιουργεί ένα τυχαίο μιας χρήσης κλειδί και κρυπτογραφεί το μήνυμα Κρυπτογραφεί το τυχαίο κλειδί με το δημόσιο του παραλήπτη Δημιουργεί το ψηφιακό φάκελο και τον αποστέλει στον παραλήπτη 4/12/2018 Πανεπιστήμιο Πελοποννήσου

43 Λειτουργία Υπηρεσία Ψηφιακής Υπογραφής S/MIME (signed data)
Επιλογή ενός αλγοριθμού συνοψής μηνύματος Υπολογισμός της σύνοψης Κρυπτογράφηση της σύνοψης μηνύματος με το ιδιωτικό κλειδί του υπογράφοντα Επισύναψη στο μήνυμα 4/12/2018 Πανεπιστήμιο Πελοποννήσου

44 Πανεπιστήμιο Πελοποννήσου
Ερωτήσεις 4/12/2018 Πανεπιστήμιο Πελοποννήσου

45 Επιθέσεις στο Διαδίκτυο
Επιθέσεις Άρνηση Παροχής Υπηρεσίας Είναι οι ενέργειες που αποτρέπουν την εξουσιοδοτημένη πρόσβαση σε μια παρεχόμενη υπηρεσία λόγω της κατανάλωσης των διαθέσιμων πόρων (π.χ μνήμη, διαθέσιμο εύρος ζώνης) Πιθανόν να δημιουργηθεί ΑΠΥ από κανονική κίνηση (π.χ γιορτές) 4/12/2018 Πανεπιστήμιο Πελοποννήσου

46 Επιθέσεις Άρνησης Υπηρεσιών
Επιθέσεις Πλημμύρας Επιθέσεις μη συμβατών μηνυμάτων Υπερχιλείσης καταχορητών (buffer overflow) 4/12/2018 Πανεπιστήμιο Πελοποννήσου

47 Πανεπιστήμιο Πελοποννήσου
Επιθέσεις Πλημμύρας Είναι δυνατόν να εκδηλωθούν σε όλα τα επίπεδα του διαδικτύου αξιοποιώντας αντίστοιχες αρχιτεκτονικές διαφοροποιώντας σε κάθε περίπτωση το πρωτόκολλο το οποίο χρησιμοποιείται Απλής Πηγής Πολλαπλών Πηγών 4/12/2018 Πανεπιστήμιο Πελοποννήσου

48 Πανεπιστήμιο Πελοποννήσου
Επιθέσεις Πλημμύρας Απλή Πηγής (single source attack) Ο επιτιθέμενος (ένα απλό σύστημα) δημιουργεί (άμεσα) την κίνηση προς το σύστημα στόχο Παράδειγμα: Ping –f O επιτιθέμενος αναγνωρίζεται εύκολα Τα συστήματα που δέχονται τις επιθέσεις θα προσπαθήσουν να αποκριθούν στην εισερχόμενη κίνηση δημιουργόντας ουσιαστικά κίνηση επίθεσης προς τον επιτιθέμενο Προσπαθεί να αποκρίψει την αληθινή του ταυτότητα 4/12/2018 Πανεπιστήμιο Πελοποννήσου

49 Επιθέσεις Πλημμύρας Απλής Πηγής
επιτιθέμενος Κίνηση Επίθεσης Κίνηση Απόκρισης Σύστημα Στόχος 4/12/2018 Πανεπιστήμιο Πελοποννήσου

50 Απόκριψη Ταυτότητας Επιτιθέμενου
Ο επιτιθέμενος σε πολλές περιπτώσεις χρησιμοποιεί πλαστές διευθύνσεις Η δημιουργιά μηνυμάτων με πλαστές διευθύνσεις θεωρείται «trivial» Χρήση libpcap Στην περίπτωση του ping –f ο επιτιθέμενος δε θα δέχεται «πίσω» κίνηση/αποκρίσεις 4/12/2018 Πανεπιστήμιο Πελοποννήσου

51 Απόκριψη Ταυτότητας Επιτιθέμενου
Κίνηση Επίθεσης Σύστημα Στόχος επιτιθέμενος Κίνηση Απόκρισης ?? 4/12/2018 Πανεπιστήμιο Πελοποννήσου

52 Απόκριψη Ταυτότητας επιτιθέμενου
Σε αυτή την περίπτωση δεν είναι δυνατός ο άμεσος εντοπισμός του επιτιθέμενου από την απλή επεξεργασία των στοιχείων της κεφαλίδας των εισερχόμενων μηνυμάτων Απαιτείται η δημιουργία του «αντίστροφου» μονοπατιού 4/12/2018 Πανεπιστήμιο Πελοποννήσου

53 Απόκριψη Ταυτότητας Επιτιθέμενου: Η Επίθεση TCP/SYN
client server SYN/ACK ACK 4/12/2018 Πανεπιστήμιο Πελοποννήσου

54 Απόκριψη Ταυτότητας Επιτιθέμενου: Η Επίθεση TCP/SYN
SYN-SPOOF client server SYN/ACK ?? 4/12/2018 Πανεπιστήμιο Πελοποννήσου

55 Απόκριψη Ταυτότητας Επιτιθέμενου: Η Επίθεση TCP/SYN
Mε τον τρόπο αυτό πραγματοποιείται πλημμύρα με εισερχόμενα SYN αιτήματα Το υπολογιστικό σύστημα είναι δυνατόν να επεξεργαστεί ένα περιορισμένο-πεπερασμένο αριθμό τέτοιων συνδέσεων Με αποτέλεσμα νέες εισερχόμενες αιτήσεις να απορίπτονται Δεν απαιτείται η δημιουργία μεγάλου όγκου δεδομένων 4/12/2018 Πανεπιστήμιο Πελοποννήσου

56 Επιθέσεις πλημμύρας πολλαπλών πηγών
4/12/2018 Πανεπιστήμιο Πελοποννήσου

57 Επιθέσεις πλημμύρας πολλαπλών πηγών: Reflection DoS (RDoS)
4/12/2018 Πανεπιστήμιο Πελοποννήσου

58 Πανεπιστήμιο Πελοποννήσου
ΙCMP smurf Ο επιτιθέμενος εντοπίζει ένα δίκτυο το οποίο απαντάει όταν του στείλουν αιτήσεις προς τη διεύθυνση broadcast. O επιτιθέμενος δημιουργεί ένα πλαστό μήνυμα στο οποίο συμπεριλαμβάνεται η διεύθυνση του θύματος και αποστέλει ένα μεγάλο αριθμό τέτοιων μηνυμάτων προς την broadcast διεύθυνση 4/12/2018 Πανεπιστήμιο Πελοποννήσου

59 Πανεπιστήμιο Πελοποννήσου
ΙCMP smurf Όλα τα υπολογιστικά συστήματα στο δίκτυο που αποστάλθηκαν τα πλαστά μηνύματα δημιουργούν αποκρίσεις όχι προς το δίκτυο του επιτιθέμενου άλλα προς το δίκτυο και το υπολογιστικό σύστημα του θύματος. Με τη μέθοδο αυτή ο επιτιθέμενος με ένα μήνυμα δημιουργεί πολλαπλάσια κίνηση προς το υπολογιστικό σύστημα του θύματος 4/12/2018 Πανεπιστήμιο Πελοποννήσου

60 Πανεπιστήμιο Πελοποννήσου
ICMP smurf Υπολογσιστικά Συστήματα Δρομολογητής Στόχος 4/12/2018 Πανεπιστήμιο Πελοποννήσου

61 Πανεπιστήμιο Πελοποννήσου
Ping of Death Πρόκειται για επίθεση που βασίζεται στην ιδέα των μη συμβατών μηνυμάτων Ο επιτιθέμενος δημιουργεί ένα μήνυμα μήκους μεγαλύτερο από αυτό που μπορεί να διαχειριστεί ένα υπολογιστικό σύστημα Συγκεκριμένα το μέγιστο μήκος ενός IP πακέτο είναι (2^16) 4/12/2018 Πανεπιστήμιο Πελοποννήσου

62 Πανεπιστήμιο Πελοποννήσου
Ping of Death O επιτιθέμενος δημιουργεί ένα πακέτο μήκους μεγαλύτερο από 65535 Το οποίο το αποστέλει σε fragments για να μπορέσει να δημιουργήσει το επιθυμητό μήκος του μηνύματος Τα περισσότερα λειτουργικά συστήματα δεν ήταν δυνατόν να επεργαστούν τέτοιου είδους μηνύματα με αποτέλεσμα να πραγματοποιείται άρνηση παροχής υπηρεσίες λόγω υπερχείλισης καταχωριτών 4/12/2018 Πανεπιστήμιο Πελοποννήσου

63 Πανεπιστήμιο Πελοποννήσου
Ερωτήσεις 4/12/2018 Πανεπιστήμιο Πελοποννήσου