ΠΡΟ.ΜΕ.Σ.Ι.Π Δίκτυα και Διαδίκτυα

Εισαγωγή στα Δίκτυα και Εισαγωγή στα Δίκτυα και ΔιαδίκτυαΔιαδίκτυα

Βασικά θέματα ασφάλειας Βασικά θέματα ασφάλειας δικτύωνδικτύων

ΠΡΟ.ΜΕ.Σ.Ι.ΠΔίκτυα και Διαδίκτυα

Ακαδημαϊκό Έτος 2011-2012 2

Οργάνωση μαθήματος

Συνδιδασκαλία Γεώργιος Παπαδημητρίου, Αναπληρωτής Καθηγητής

Τμήματος Πληροφορικής Α.Π.Θ. E-mail: [email protected] Πετρίδου Σοφία, Διδάκτορας Τμήματος Πληροφορικής

Α.Π.Θ. E-mail: [email protected] Υλικό μαθήματος

Διαφάνειες, εργαστηριακές ασκήσεις Εισήγηση

Τρίτη 16:00 - 17:30 Εργαστήριο Αρχιτεκτονικής και Δικτύων Υπολογιστών,

Ημιόροφος, Κτίριο Βιολογίας


Απαιτήσεις

Η παρακολούθηση των διαλέξεων είναι υποχρεωτική, τηρείται παρουσιολόγιο

Σχηματισμός ομάδων για την εκπόνηση εργασίας εξαμήνου

Παρουσίαση των εργασιών στα 4 τελευταία μαθήματα: 29/05, 12/06, 19/06 και 26/06

Η αξιολόγηση θα προκύψει από την εργασία και την παρουσίασή της


ΎληTο μάθημα ασχολείται με τα Δίκτυα Υπολογιστών δίνονταςέμφαση σε ζητήματα Ασφάλειας και Διαχείρισης Δικτύων. Ταθέματα που καλύπτει μεταξύ άλλων είναι: Εισαγωγή στα Δίκτυα και Διαδίκτυα

βασικές θέματα ασφάλειας δικτύων αρχιτεκτονική των μοντέλων OSI και TCP/IP διαδικασίες προτυποποίησης στο Internet

Βασικά θέματα διαχείρισης δικτύων Το πρωτόκολλο SNMP Τεχνολογίες αναχωμάτων ασφαλείας Ασφάλεια Εφαρμογών Διαδικτύου

το πρωτόκολλο SSL Βασικά θέματα Κρυπτογραφίας


Οι επικρατούσες αρχιτεκτονικές σήμερα είναι δύο:

1. Πρωτόκολλο Ελέγχου Μετάδοσης/ Πρωτόκολλο

Διαδικτύωσης TCPTCP//IPIP (Transmission Control Protocol/

Internet Protocol) μοντέλο του Internet

2. Διασύνδεση Ανοικτών Συστημάτων OSIOSI (Open System

Interconnection): μοντέλο OSI

Και στις δύο αρχιτεκτονικές χρησιμοποιείται η μεθοδολογία

της στρωμάτωσης (layering)

Αρχιτεκτονικές δικτύων


Μοντέλο του Internet: TCP/IP


Μοντέλο OSI


OSI vs TCP/IP


Κατά την επικοινωνία μεταξύστρωμάτων διακρίνονται:

Μονάδα Δεδομένων Εξυπηρέτησης (SDU - Service Data Unit): τα δεδομένα και οι πληροφορίες ελέγχου του ανώτερου στρώματος

Πληροφορίες Ελέγχου Πρωτοκόλλου (PCI - Protocol Control Information): είναι οι πληροφορίες του πρωτοκόλλου του εκάστοτε στρώματος

Μονάδα Δεδομένων πρωτοκόλλου (PDU - Protocol Data Unit): είναι ένας συνδυασμός SDU και PCI

(Ν)-PDU

(Ν-1)-SDU

(N-1)-PDU

(N)-Στρώμα(N)-Στρώμα

(Ν-1)-PCI

(N-1)-Στρώμα(N-1)-Στρώμα

Ενθυλάκωση


Ενθυλάκωση στο TCP/IP


Δρομολόγηση στο TCP/IP


TCP/IP: Επίπεδο πρόσβασης δικτύου

o Επίπεδο πρόσβασης δικτύου (Network Access Layer): χαμηλότερο

επίπεδο του μοντέλου Internet

o Πρωτόκολλα τοπικών δικτύων: Ethernet, Token bus, Token ring

o Τεχνολογίες συνδέσεων Σημείο-προς-σημείο (point-to-point): PPP, SLIP


TCP/IP: Επίπεδο Internet

Πρωτόκολλα του επιπέδου Internet (Internet layer): IP, ICMP, ARP, RARP

Πρωτόκολλο IP: είναι υπεύθυνο για τη διευθυνσιοδότηση και τη

δρομολόγηση των πακέτων που δημιουργούνται από πρωτόκολλα

ανώτερου επιπέδου (TCP, UDP) Δεν υπάρχει άμεση σύνδεση μεταξύ των εργασιών του χρήστη και του

IP οι εργασίες του χρήστη χρησιμοποιούν TCP ή UDP και το IP

αναλαμβάνει τη μετάδοσή τους Σε κάθε διεπαφή του δικτύου αντιστοιχίζεται μια IP διεύθυνση Χαρακτηρίζεται ως πρωτόκολλο χωρίς σύνδεση (connectionless)



Διευθύνσεις IP

Μια διεύθυνση στο TCP/IP αποτελείται από 32 bits οργανωμένα σε 4 πεδία με εύρος 0-255

Παράδειγμα IP διεύθυνσης: 10.14.28.135

Μια διεύθυνση IP περιλαμβάνει 2 τμήματα: την ταυτότητα δικτύου (network identifier) η οποία αναγνωρίζει με

μοναδικό τρόπο ένα τμήμα του δικτύου την ταυτότητα κόμβου (host identifier) η οποία αναγνωρίζει με

μοναδικό τρόπο μια μοναδική συσκευή που είναι συνδεδεμένη στο συγκεκριμένο τμήμα δικτύου



Διευθύνσεις IP Κλάση Α: 0nnnnnnn hhhhhhhh hhhhhhhh hhhhhhhh

Πρώτο ψηφίο 0; 7 network bits; 24 host bits

Πρώτο byte: 0 (00000000) – 127 (01111111)

Πλήθος δικτύων: 2^7 = 128

Πλήθος hosts: 2^24 - 2 = 16.777.214



Διευθύνσεις IP Κλάση B: 10nnnnnn nnnnnnnn hhhhhhhh hhhhhhhh

Πρώτα ψηφία 10; 14 network bits; 16 host bits

Πρώτο byte: 128 (10000000) – 191 (10111111)

Πλήθος δικτύων: 2^14 = 16.384

Πλήθος hosts: 2^16 - 2 = 65.534



Διευθύνσεις IP Κλάση C: 110nnnnn nnnnnnnn nnnnnnnn hhhhhhhh

Πρώτα ψηφία 110; 21 network bits; 8 host bits

Πρώτο byte: 192 (11000000) – 223 (11011111)

Πλήθος δικτύων: 2^21 = 2.097.152

Πλήθος hosts: 2^8 - 2 = 254



Διευθύνσεις IP

Κλάση D: χρησιμοποιείται για πολλαπλή μετάδοση μηνύματος(multicast)

Κλάση E: δεσμευμένη για μελλοντική χρήση



IPv4 πακέτο


Στόχος: επιτρέπει στον κόμβο να λάβει δυναμικά την IP διεύθυνση του μόλις συνδεθεί στο δίκτυο Μπορεί να την αλλάξει ανά πάσα στιγμή Επιτρέπει επαναχρησιμοποίηση διευθύνσεων (αποδεσμεύονται μόλις

αποσυνδεθεί ο χρήστης) Υποστήριξη φορητών χρηστών που συνδέονται στο δίκτυο

Το DHCP συνοπτικά: ο κόμβος μεταδίδει μήνυμα “DHCP discover” ο DHCP διακομιστής απαντάει με μήνυμα “DHCP offer” ο κόμβος αιτείται μια IP διεύθυνση με μήνυμα: “DHCP request” ο DHCP διακομιστής στέλνει το μήνυμα επιβεβαίωσης: “DHCP ack”


223.1.1.1

223.1.1.2

223.1.1.3

223.1.1.4 223.1.2.9

223.1.2.2

223.1.2.1

223.1.3.2223.1.3.1

223.1.3.27

A

BE

DHCP server

ο DHCP πελάτης ζητάειδιεύθυνση σε αυτότο δίκτυο

Ακαδημαϊκό Έτος 2011-2012 22Network Layer

DHCP διακομιστής: 223.1.2.5 πελάτης

time

DHCP discover

src : 0.0.0.0, 68 dest.: 255.255.255.255,67yiaddr: 0.0.0.0transaction ID: 654

DHCP offer

src: 223.1.2.5, 67 dest: 255.255.255.255, 68yiaddrr: 223.1.2.4transaction ID: 654Lifetime: 3600 secs

DHCP request

src: 0.0.0.0, 68 dest:: 255.255.255.255, 67yiaddrr: 223.1.2.4transaction ID: 655Lifetime: 3600 secs

DHCP ACK

src: 223.1.2.5, 67 dest: 255.255.255.255, 68yiaddrr: 223.1.2.4transaction ID: 655Lifetime: 3600 secs


10.0.0.1

10.0.0.2

10.0.0.3

10.0.0.4

138.76.29.7

τοπικό δίκτυο(π.χ. οικιακό δίκτυο)

10.0.0/24

υπόλοιποΔιαδίκτυο

Datagrams με πηγή ή προορισμό στο τοπικό δίκτυο

έχουν διεύθυνση πηγής ή προορισμού 10.0.0.x

Όλα τα datagrams που φεύγουν από το τοπικό δίκτυο έχουν την ίδια

μοναδική IP διεύθυνση: 138.76.29.7

Η τεχνολογία NAT «κρύβει» το τοπικό δίκτυο από τον έξω κόσμο.


Κίνητρο:το τοπικό δίκτυο χρησιμοποιεί μία μόνο διεύθυνση όσον αφορά τον έξω κόσμο: δεν απαιτείται εκχώρηση μπλόκ διευθύνσεων από τον ISP: Μία

διεύθυνση χρησιμοποιείται για όλες τις συσκευές οι τοπικές διευθύνσεις μπορούν να αλλάξουν χωρίς να ενημερωθεί ο

έξω κόσμος ο ISP μπορεί να αλλάξει χωρίς να αλλάξουν οι διευθύνσεις των

τοπικών συσκευών ασφάλεια: οι συσκευές στο εσωτερικό δίκτυο δεν φαίνονται προς τα

έξω


Υλοποίηση:Ο δρομολογητής NAT πραγματοποιεί:

εξερχόμενα datagrams:αντικατάσταση (IP αποστολέα, # πόρτας) για κάθε εξερχόμενο datagram σε (NAT IP, νέο # πόρτας) . . . οι απομακρυσμένοι πελάτες/διακομιστές θα στέλνουν δεδομένα έχοντας την (NAT IP, νέο # πόρτας) σαν διεύθυνση προορισμού

αποθήκευση (στον πίνακα μετάφρασης NAT) κάθε ζευγάρι μετάφρασης από (IP αποστολεά, # πόρτας) σε(NAT IP, νέο # πόρτας)

εισερχόμενα datagrams: αντικατάσταση (NAT IP, νέο # πόρτας) στις διευθύνσεις προορισμού όλων των εισερχόμενων datagrams με τις αντίστοιχες αποθηκευμένες τιμές (IP αποστολέα, # πόρτας)


10.0.0.1

10.0.0.2

10.0.0.3

S: 10.0.0.1, 3345D: 128.119.40.186, 80

1

10.0.0.4

138.76.29.7

1:ο 10.0.0.1 στέλνει datagram στον128.119.40.186, 80

πίνακας μετάφρασης NATWAN διεύθυνση LAN διεύθυνση

138.76.29.7, 5001 10.0.0.1, 3345…… ……

S: 128.119.40.186, 80 D: 10.0.0.1, 3345 4

S: 138.76.29.7, 5001D: 128.119.40.186, 80

2

2:ο NAT αλλάζειτην διεύθυνσή τουdatagram από10.0.0.1, 3345 σε138.76.29.7, 5001,ενημερώνει τονπίνακα

S: 128.119.40.186, 80 D: 138.76.29.7, 5001 3

3:Φτάνει απάντησημε διεύθυνση προορισμού: 138.76.29.7, 5001

4:ο NAT αλλάζει τη διεύθυνση προορισμούαπό138.76.29.7, 5001 σε 10.0.0.1, 3345


Η τεχνική NAT δέχεται επικρίσεις: παραβιάζει το αρχιτεκτονικό μοντέλο του IP

κάθε συσκευή πρέπει να έχει μοναδική διεύθυνση οι δρομολογητές θα πρέπει να υποστηρίζουν μέχρι το

επίπεδο 3 (δικτύου) παραβιάζει τον θεμελιώδη κανόνα της απομόνωσης

και ανεξαρτησίας των επιπέδων το έλλειμμα διευθύνσεων μπορεί να αντιμετωπιστεί

χρησιμοποιώντας το IPv6 η χρήση NAT θα πρέπει να λαμβάνεται υπόψη από

τους σχεδιαστές εφαρμογών (π.χ Torrents)


Αρχικό κίνητρο: οι 32-bit διευθύνσεις τελειώνουν (<10% ελεύθερες). Επιπρόσθετα κίνητρα:

η νέα επικεφαλίδα βοηθάει στην επιτάχυνση της επεξεργασίας/προώθησης των πακέτων

υποστήριξη QoS στην επικεφαλίδα

μορφή IPv6 πακέτων: 40 byte επικεφαλίδα σταθερού μεγέθους δεν επιτρέπεται κατακερματισμός

Αναθέτει τον κατακερματισμό στα άκρα (path MTU discovery) Απορρίπτει τα μεγάλα πακέτα και απαντάει με ICMP πακέτο

(fragmentation needed)


Προτεραιότητα: ορισμός διαφορετικής προτεραιότηταςΕτικέτα ροής: ορίζει τα datagrams που ανήκουν σε μια ροήΕπόμενη επικεφαλίδα: πρωτόκολλο του πάνω επιπέδου


Άθροισμα ελέγχου (Checksum): αφαιρέθηκε ώστε να επιταχυνθεί η επεξεργασία των πακέτων

Παράμετεροι (Options): επιτρέπεται, αλλά έξω από την επικεφαλίδα (πεδίο επόμενης επικεφαλίδας)

ICMPv6: νέα έκδοση του ICMP


Δεν μπορούν όλοι οι δρομολογητές να αναβαθμιστούν ταυτόχρονα Πώς λειτουργούν τα δίκτυα ταυτόχρονα με IPv4

και IPv6 δρομολογητές; χρήση σήραγγας (Tunneling):Το IPv6 πακέτο

«ενθυλακώνεται» μέσα σε IPv4 πακέτο


A B E F

IPv6 IPv6 IPv6 IPv6

σήραγγαΛογική όψη:

Φυσική όψη:A B E F

IPv6 IPv6 IPv6 IPv6IPv4 IPv4


A B E F

IPv6 IPv6 IPv6 IPv6

σήραγγαΛογική όψη:

Φυσική όψη:A B E F

IPv6 IPv6 IPv6 IPv6

C D

IPv4 IPv4

Flow: XSrc: ADest: F

data


data


data

Src:BDest: E


data

Src:BDest: E

A-στο-B:IPv6

E-στο-F:IPv6

B-στο-C:IPv6 μέσα

σεIPv4

D-στο-E:εξαγωγή του IPv6



Πρωτόκολλο ελέγχου μηνυμάτων στο Internet (ICMP - Internet Control

Message Protocol): είναι υπεύθυνο για την αποστολή πληροφοριών

και μηνυμάτων ελέγχου μεταξύ διασυνδεδεμένων ξενιστών

υπολογιστών π.χ. μηνύματα echo και reply της εντολής ping

Πρωτόκολλο ανάλυσης διευθύνσεων (ARP - Address Resolution Protocol): στόχος του ARP είναι η αντιστοίχηση μιας διεύθυνσης Διαδικτύου IP σε μια διεύθυνση υλικού MAC, αποθηκεύει το ζεύγος IP- MAC

Πρωτόκολλο αντίστροφης ανάλυσης διευθύνσεων (RARP – Reverse Address Resolution Protocol): επιτελεί την αντίστροφη διαδικασία από το πρωτόκολλο ARP, αντιστοιχίζει μια διεύθυνσης υλικού MAC σε μια διεύθυνση Διαδικτύου IP


TCP/IP: Επίπεδο μεταφοράς

Πρωτόκολλα του επιπέδου μεταφοράς (Transport layer): ΤCP, UDP

Πρωτόκολλο TCP (Transmission Control Protocol): προσανατολισμένο

σε εγκατάσταση σύνδεσης (connection oriented): για να ξεκινήσει

μετάδοση δεδομένων πρέπει να εξασφαλιστεί μια διαδρομή (νοητό

κύκλωμα) για τη μετάδοση των πακέτων τα δεδομένα θα φθάσουν

στον παραλήπτη χωρίς σφάλματα

Πρωτόκολλο UDP (User Datagram Protocol): πρωτόκολλο χωρίς

εγκατάσταση σύνδεσης (connectionless): η αποστολή πακέτων γίνεται

χωρίς σχηματισμό νοητών κυκλωμάτων, υπάρχουν αυτοδύναμα πακέτα

(datagrams) τα δεδομένα μπορεί να μη φθάσουν ποτέ στον

παραλήπτη



Ενώ το πρωτόκολλο IP επιτελεί

λειτουργίες διευθυνσιοδότησης

μεταξύ των υπολογιστών, τα

πρωτόκολλα ΤCP και UDP

ασχολούνται με τη

διευθυνσιοδότηση

των εφαρμογών

θύρες (ports), 16 bits (IANA):

1. well known ports (0–1023)

2. registered ports (1024–49151)

3. dynamic and/or private ports

(49152–65535)

standard ports

non-standard ports



TCP: παρέχει μηχανισμούς ανταλλαγής δεδομένων με αξιοπιστία



TCP: πριν την ανταλλαγή δεδομένων με αξιοπιστία

αρχικοποίηση (3-way handshake)



ΑΔΥΝΑΜΙΕΣ TCP/IP

Δεν ελέγχεται η αυθεντικότητα των

IP διευθύνσεων

Χρησιμοποιούνται ψευδοτυχαίοι αριθμοί για να

οριστεί το πεδίο ακολουθίας

Υπερφόρτωση TCP (flooding attack)

Μια οντότητα Α μπορεί να αρχικοποιήσει μια

TCP σύνδεση προσποιούμενος μια

άλλη οντότητα Γ



UDP: δε θεωρείται αξιόπιστο όσο αφορά την ανταλλαγή δεδομένων

μέριμνα ελέγχων σε επίπεδο

εφαρμογής


SMTP (Simple Mail Transfer Protocol):

υπηρεσία ηλεκτρονικού ταχυδρομείου (E-mail)

SMTP (Simple Mail Transfer Protocol):

υπηρεσία ηλεκτρονικού ταχυδρομείου (E-mail)

TCP/IP: Επίπεδο εφαρμογής

Πρωτόκολλα του επιπέδου εφαρμογής που χρησιμοποιούν το ΤCP

HTTP (Hypertext Transfer

Protocol): υπηρεσία

παγκόσμιου ιστού

HTTP (Hypertext Transfer


παγκόσμιου ιστού

FTP (File Transfer Protocol): υπηρεσία μεταφοράς αρχείων

FTP (File Transfer Protocol): υπηρεσία μεταφοράς αρχείων

Remote Telnet Login: υπηρεσία

απομακρυσμένης πρόσβασης τερματικού

Remote Telnet Login: υπηρεσία

απομακρυσμένης πρόσβασης τερματικού

NNTP (Network News Transfer


μεταφοράς δικτυακών νέων

NNTP (Network News Transfer


μεταφοράς δικτυακών νέων

NTP (Network Time Protocol): υπηρεσία διατήρησης κοινής

ώρας σε διασυνδεδεμένους

υπολογιστές

NTP (Network Time Protocol): υπηρεσία διατήρησης κοινής

ώρας σε διασυνδεδεμένους

υπολογιστές


TCP/IP: Επίπεδο εφαρμογής

Πρωτόκολλα του επιπέδου εφαρμογής που χρησιμοποιούν το UDP

DNS (Domain Name Service): υπηρεσία

αντιστοίχησης domain name-IP

DNS (Domain Name Service): υπηρεσία

αντιστοίχησης domain name-IP

NFS (Network File System):

υπηρεσία δικτυακής

πρόσβασης αρχείων

NFS (Network File System):

υπηρεσία δικτυακής

πρόσβασης αρχείων

RPC (Remote Procedure Call):

υπηρεσία εκτέλεσης

διαδικασιών από απόσταση

RPC (Remote Procedure Call):

υπηρεσία εκτέλεσης

διαδικασιών από απόσταση

SNMP (Simple Network Management Protocol): υπηρεσία

ανταλλαγής πληροφορίας διαχείρισης

SNMP (Simple Network Management Protocol): υπηρεσία

ανταλλαγής πληροφορίας διαχείρισης

NIS (Network Information

System): υπηρεσία διαμοιρασμού

δεδομένων

NIS (Network Information

System): υπηρεσία διαμοιρασμού

δεδομένων


Βασικές έννοιες (1/6)

o Ο όρος πληροφορίαπληροφορία στην Επιστήμη των Υπολογιστών αναφέρεται στη γνώση που αποστέλλεται και λαμβάνεται και αφορά συγκεκριμένο γεγονός ή συμβάν, καθώς και στα δεδομένα που μπορούν να κωδικοποιηθούν από έναν υπολογιστή ή παρόμοιου τύπου συσκευή

o Ο όρος Τεχνολογία της Πληροφορίας (Τεχνολογία της Πληροφορίας (IT – Information IT – Information TechnologyTechnology)) αναφέρεται σε οποιαδήποτε τεχνολογία πραγματεύεται πληροφορίες και μελετά τρόπους αποτελεσματικής αποθήκευσης, επεξεργασίας και μετάδοσης δεδομένων που κωδικοποιούν πληροφορίες



Ειδικότερα ο όρος Ασφάλεια στην Τεχνολογία της Πληροφορίας Ασφάλεια στην Τεχνολογία της Πληροφορίας ((IT SecurityIT Security)) πραγματεύεται θέματα σχετικά με την:

o ασφάλεια ενός υπολογιστικού συστήματος (computer system security): στόχος η διαφύλαξη των υπολογιστικών πόρων από μη εξουσιοδοτημένη χρήση και η προστασία πληροφορίας από ακούσια ή σκόπιμη βλάβη, αποκάλυψη ή τροποποίησή της

o ασφάλεια κατά την επικοινωνία (communication security): στόχος η προστασία δεδομένων κατά τη μετάδοση σε δίκτυα υπολογιστών και κατανεμημένα συστήματα



Ο όρος δίκτυο υπολογιστών αναφέρεται σε μια

διασυνδεδεμένη συλλογή αυτόνομων υπολογιστών. Προϋπόθεση αποτελεί η δυνατότητα ανταλλαγής

δεδομένων



o χρήστης (user) θεωρείται μια ανθρώπινη οντότητα υπεύθυνη για τις δραστηριότητές της σε ένα δίκτυο ή κατανεμημένο σύστημα

o ξενιστής υπολογιστής (host) θεωρείται μια διευθυνσιοδοτούμενη οντότητα σε δίκτυο ή σε κατανεμημένο σύστημα

o διεργασία (process) θεωρείται ένα στιγμιότυπο εκτελέσιμου προγράμματος σε ένα συγκεκριμένο υπολογιστικό σύστημα: διεργασία εξυπηρετούμενου (client process): αιτείται και αποκτά υπηρεσία δικτύου διεργασία εξυπηρέτη (server process): παρέχει υπηρεσία δικτύου



Προτυποποίηση:

o Πρότυπο (standard): έγγραφη συμφωνία που περιλαμβάνει τεχνικές προδιαγραφές και κριτήρια με στόχο τη διαφύλαξη της καταλληλότητας του σκοπού των αναπτυσσόμενων εργαλείων, προϊόντων, διεργασιών και υπηρεσιών

o Μοντέλο αναφοράς (reference model): χρησιμοποιείται για να εξηγήσει τη συνεργασία των συνιστωσών συστήματος – συνήθης πρακτική η διαίρεση της λειτουργικότητας σε επίπεδα (layers)



o Πρωτόκολλο: ομάδα κανόνων και μηνυμάτων που στην πράξη παρέχουν μια υπηρεσία

o Στοίβα πρωτοκόλλων: ομάδα πρωτοκόλλων που συνεργάζονται μεταξύ τους

o Internet: παγκόσμιο δίκτυο που βασίζεται στη στοίβα των πρωτοκόλλων επικοινωνίας του TCP/IP


Τάσεις στο χώρο της ασφάλειας

1994, Συμβούλιο Αρχιτεκτονικής του Διαδικτύου (Internet Architecture Board, IAB)

RFC 1636: Η ασφάλεια στην αρχιτεκτονική του Διαδικτύου (Security in the Internet Architecture)

Περισσότερη και καλύτερη ασφάλεια στο Διαδίκτυο τομείς για εφαρμογή μηχανισμών ασφάλειας εξασφάλιση δικτυακής υποδομής από μη

εξουσιοδοτημένη παρακολούθηση και έλεγχο της δικτυακής κίνησης

εξασφάλιση επικοινωνίας τελικών χρηστών (πιστοποίηση ταυτότητας, κρυπτογράφηση)


Στατιστικά στοιχεία CERT (1)

Sophia

Computer Emergency Response Team


Στατιστικά στοιχεία CERT (2)


Πολυπλοκότητα επιθέσεων vs γνώσεις εισβολέων


Ορολογία IT Security (1/2)

Αδυναμία (vulnerability): ελάττωμα στο σχεδιασμό ή

την υλοποίηση ενός πρωτοκόλλου, μιας υπηρεσίας ή ενός

συστήματος το οποίο μπορεί να εκμεταλλευτεί ένας εισβολέας (intruder)

Αδυναμία (vulnerability): ελάττωμα στο σχεδιασμό ή

την υλοποίηση ενός πρωτοκόλλου, μιας υπηρεσίας ή ενός

συστήματος το οποίο μπορεί να εκμεταλλευτεί ένας εισβολέας (intruder) Απειλή (threat): οντότητα

που μπορεί να προκαλέσει παραβίαση της ασφάλειας σε τμήμα

ή στο σύνολο του δικτύου, ή ζημιά σε

πόρους του

Απειλή (threat): οντότητα που μπορεί να

προκαλέσει παραβίαση της ασφάλειας σε τμήμα

ή στο σύνολο του δικτύου, ή ζημιά σε

πόρους του


Ορολογία IT Security (2/2)

Επίθεση (attack): εκμετάλλευση μιας

αδυναμίας από έναν εισβολέα για την

πραγματοποίηση απειλής

Επίθεση (attack): εκμετάλλευση μιας

αδυναμίας από έναν εισβολέα για την

πραγματοποίηση απειλής

Αντίμετρα (countermeasures):

μηχανισμός ή διαδικασία με στόχο τον περιορισμό

ή την εξάλειψη επιπτώσεων απειλής

Αντίμετρα (countermeasures):

μηχανισμός ή διαδικασία με στόχο τον περιορισμό

ή την εξάλειψη επιπτώσεων απειλής


ΕπιθέσειςΠαθητικές επιθέσεις Ενεργητικές επιθέσεις

1. Μη-ενεργός ή παθητική παρακολούθηση (passive tapping)

2. Ανάλυση κίνησης (traffic analysis)

1. Ενεργός παρακολούθηση (active tapping)

2. Μεταμφίεση (masquerade)3. Επανεκπομπή (replay)4. Άρνηση παροχής

υπηρεσίας (denial of service)

5. Κακόβουλο λογισμικό (viruses, worms, trojan horses)


Μη-ενεργός ή παθητική παρακολούθηση (passive tapping)


Ανάλυση κίνησης (traffic analysis)


Ενεργός παρακολούθηση (active tapping)


Μεταμφίεση (masquerade)


Επανεκπομπή (replay)


Άρνηση παροχής υπηρεσίας (denial ofservice)


TCP/IP: ΥποδικτύωσηΟ διαχειριστής του οργανισμού έχει στη διάθεσή του το πεδίο διευθύνσεων 193.29.12.0/24

193.29.12.86 193.29.12.82 193.29.12.83

193.29.12.84 193.29.12.85

Ποιο είναι το μικρότερο δυνατό υποδίκτυο που μπορεί να οριστεί στην περιοχή DMZ; Δώστε τη μάσκα που θα χρησιμοποιηθεί και τις διευθύνσεις Δικτύου.


Εντολή: pingΗ εντολή ping είναι ένα ευρέως διαδεδομένο δικτυακό εργαλείο, το οποίο αξιοποιεί το πρωτόκολλο ICMP στέλνοντας ένα μήνυμα ECHO_REQUEST σε έναν απομακρυσμένο υπολογιστή ώστε να λάβει από αυτόν ένα ICMP ECHO_RESPONSE


Η εντολή ping είναι ένα ευρέως διαδεδομένο δικτυακό εργαλείο, το οποίο αξιοποιεί το πρωτόκολλο ICMP στέλνοντας ένα μήνυμα ECHO_REQUEST σε έναν απομακρυσμένο υπολογιστή ώστε να λάβει από αυτόν ένα ICMP ECHO_RESPONSE

Εντολή: ping


Η εντολή ping είναι ένα ευρέως διαδεδομένο δικτυακό εργαλείο, το οποίο αξιοποιεί το πρωτόκολλο ICMP στέλνοντας ένα μήνυμα ECHO_REQUEST σε έναν απομακρυσμένο υπολογιστή ώστε να λάβει από αυτόν ένα ICMP ECHO_RESPONSE

64-52=12 hops

Εντολή: ping


Το tracert στέλνει ένα ICMP echo packet στον επιθυμητό προορισμό, αλλά με τιμή TTL ίση με 1. Στη συνέχεια στέλνει ένα όμοιο πακέτο με τιμή TTL ίση με 2, μετά με τιμή TTL 3 κ.ο.κ. Οπότε θα λάβουμε ένα μήνυμα "TTL expired in transit" πίσω στον αποστολέα από τους routers μέχρι τελικά να φτάσει το echo packet στον επιθυμητό προορισμό ο οποίος θα αποκριθεί τότε με ένα standard ICMP "echo reply" packet.

13 κόμβοι = 12 hops

Εντολή: tracert


Για επαλήθευση εκτελούμε: ping –i TTL www.uowm.gr

Εντολή: ping - tracert


1

Εντολή: netstat


2

Εντολή: netstat


Τα αποτελέσματα ενός port scanning διακρίνονται στις παρακάτω 3

περιπτώσεις: Filtered, Dropped or Blocked: όταν δεν υπάρχει απάντηση από το

διακομιστή, π.χ. έχουμε το Windows firewall “On” και έναν Apache web server είτε να τρέχει είτε όχι δεν υπάρχει απάντηση, στο port scanning report δεν υπάρχει εγγραφή για τη θύρα 80 ο εισβολέας δε μπορεί να αναγνωρίσει εάν η θύρα είναι ανοιχτή (sniffing: [SYN])

Open or Accepted: ο διακομιστής αποστέλλει απάντηση η οποία υποδηλώνει ότι η υπηρεσία τρέχει και ακούει στη συγκεκριμένη θύρα, π.χ. ο Apache web server τρέχει και στο firewall υπάρχει εξαίρεση για τη θύρα 80 στο port scanning report υπάρχει εγγραφή για τη θύρα 80 ο εισβολέας αναγνωρίζει ότι η θύρα 80 είναι ανοιχτή (sniffing: 3-way handshake [SYN] - [SYN, ACK] - [SYN])

Closed or Denied or Not Listening: Ο διακομιστής αποστέλλει απάντηση η οποία υποδηλώνει ότι οι συνδέσεις στη θύρα απαγορεύονται, π.χ. o Apache web server δεν τρέχει (sniffing: [SYN] – [RST])

Port scanning (1/4)


Port scanning (2/4)


Port scanning (3/4)


Port scanning (4/4)

ΠΡΟ.ΜΕ.Σ.Ι.Π Δίκτυα και Διαδίκτυα

Documents

Transcript of ΠΡΟ.ΜΕ.Σ.Ι.Π Δίκτυα και Διαδίκτυα