ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΕΝΟΠΟΙΗΜΕΝΑ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ -...
description
Transcript of ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΕΝΟΠΟΙΗΜΕΝΑ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ -...
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝΕΝΟΠΟΙΗΜΕΝΑ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ -
ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ
Β. Μάγκλαρης[email protected]
www.netmode.ntua.gr
20/12/2010
ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ
• ICMP: ping, traceroute
• tcpdump
• net-snmp– snmp_get– snmp_walk– trap– snmp_set
• MRTG– RRDtool
• Transmission (DWDM, SDH tools): CMIP, TMN, Proprietary– TL1, Q3, Corba
INTEGRATED NETWORK MANAGEMENT
SERVICES
DMZ
PC CLUSTER
PC LAB
AUTONOMOUS SYSTEM
INTERNET
Firewall
DirectoryLDAP
Database
FTP
NETWORK OPERATION CENTER(NOC)
ADMINISTRATOR
TICKETINGSYSTEM
ALARM BROKER
CONSOLES
SNMP MANAGER
NAGIOS
OpenNMS
LOWER LAYER MANAGER
WORKFLOW ENGINE
OPERATIONAL DATABASE
NETWORK DESCRIPTION
LANGUAGE (NDL)
SMTP WEB DNS
ΟΛΟΚΛΗΡΩΜΕΝΑ ΕΡΓΑΛΕΙΑ
• Αυτοματοποιούν διαδικασίες
• Ομαδοποιούν λειτουργίες
• Open Source– Nagios – Service Monitoring http://www.nagios.org/ – OpenNMS – Network Monitoring
http://www.opennms.org/index.php/Main_Page – Ganglia – Cluster Management http://ganglia.info/
• Commercial– HP Openview– IBM Tivoli
MANAGEMENT PLATFORMS
Router PrinterSwitchServer
NETWORK MANAGEMENT PROTOCOLS(ICMP, SNMP, Q3, TL1, Remote Access - SSH)
check_ping check_ftpcheck_printer_
ink_levelcheck_smtp
SNMP
NAGIOS MRTG
WE
B IN
TE
RF
AC
EP
LUG
INS
NAGIOS PLUGINS
Plugin Return Code Service State Host State
0 OK UP
1 WARNING UP or DOWN/UNREACHABLE
2 CRITICAL DOWN/UNREACHABLE
3 UNKNOWN DOWN/UNREACHABLE
RETURN CODE | TEXT OUTPUT |OPTIONAL PERFDATA | LONG TEXT LINE … | PERFDATA …
0 | PING OK - Packet loss = 0%, RTA = 0.15 ms0 | DISK OK - free space: / 3326 MB (56%); | /=2643MB;5948;5958;0;5968
ΠΑΡΑΔΕΙΓΜΑΤΑ NAGIOS PLUGINS
• check_http• check_snmp• check_icmp• check_ntp• check_ifoperstatus• check_mrtg
• check_ssh • check_ifstatus• check_ntp_time• check_imap• check_ups• check_ftp
Παράδειγμα: Command Line Interface (CLI)
check_ping -H <host> -w <wrta>,<wpl>% -c <crta>,<cpl>%
Web Interface
http://mariana.netmode.ntua.gr/nagios/
Login: netmg
Password: netmg
ΘΕΜΑΤΙΚΕΣ ΠΕΡΙΟΧΕΣ ΑΣΦΑΛΕΙΑΣ
• Είδη Απειλών και Επιθέσεων• Προστασία
– Πολιτικές– Αρχιτεκτονικές Ελέγχου Πρόσβασης (Authorization & Authentication
Infrastructures - ΑΑΙ) & Διαχείρισης Δημοσίων Κλειδιών (Public Key Infrastructures - PKI)
– Εργαλεία (Access Control Lists – ACL’s, Firewalls)– Συστήματα Εντοπισμού Επιθέσεων (Intrusion Detection Systems –
IDS) & Ανωμαλιών (Anomaly Detection Systems)
• Κρυπτογραφία• Η σίγουρη μέθοδος εξασφάλισης ενός δικτύου:
ΑΠΕΙΛΕΣ ΑΣΦΑΛΕΙΑΣ ΔΙΚΤΥΩΝ
• Απόκτηση πληροφοριών για το σύστημα:– Port Scanning– Fingerprinting
• Μη εξουσιοδοτημένη πρόσβαση– Υποκλοπή κωδικών– Λάθος διαμορφώσεις (ανοικτά συστήματα)– Από μη εξουσιοδοτημένα σημεία (π.χ. ανοιχτά σημεία ασύρματης
πρόσβασης)• Επιθέσεις Άρνησης Υπηρεσίας (Denial of Service Attacks - DoS)• Υποκλοπή και παραποίηση επικοινωνιών
– Packet sniffing– "Man-in-the-Middle" attacks
• Κακόβουλο λογισμικό (malware)– Ιοί, Δούρειοι ίπποι (trojans)– Αυτόματα διαδιδόμενοι ιοί (worms)
ΤΑΥΤΟΤΗΤΑ ΧΡΗΣΤΗΜη Εξουσιοδοτημένη Πρόσβαση
• Ταυτότητα χρήστη (user Global ID – GID):– Μία ταυτότητα αντιστοιχεί σε ένα χρήστη [email protected]– Πολλαπλές ταυτότητες μπορεί να συνυπάρχουν σε διαφορετικούς παρόχους
[email protected], [email protected] ….– Ταυτοποίηση χρήστη:
• Με <user_name, password> μόνο• Με ψηφιακό πιστοποιητικό σε κατάλογο χρήστη (ανά σύνοδο - session ή
αποθηκευμένο σε κατάλογο χρηστών LDAP στο home organization ενός χρήστη)– Ταυτοποίηση & Εξουσιοδοτήσεις Χρήστη: Ιδανικά σε Authorization &
Authentication Infrastructure, AAI με δυνατότητες περιαγωγής (roaming) του user_profile
– Κίνδυνοι υποκλοπής από την μεταφορά του user_profile μέσα στο Internet: Περιορισμός της ελάχιστης δυνατής πληροφορίας (π.χ. μέσω των home organizations)
• Κίνδυνοι υποκλοπής– "Αδύναμοι" κωδικοί & πρωτόκολλα - one time passwords?– Κακή προστασία μετάδοσης (π.χ. επικοινωνίες χωρίς κρυπτογράφηση,
ανεπαρκώς φυλασσόμενες εγκαταστάσέις)– Φυσική απώλεια (PDA κλπ.)– «Social Engineering»
ΕΠΙΘΕΣΕΙΣ ΑΡΝΗΣΗ ΥΠΗΡΕΣΙΑΣ (1)Denial of Service Attacks - DoS
• Επιθέσεις που έχουν σκοπό να αποτρέψουν τη χρήση ενός συστήματος από όλους– Εκμεταλλεύονται προβλήματα του λογισμικού (`Operating System ή
εφαρμογές εξυπηρετητών) - Software Exploits– Θεωρητικά κινδυνεύει οποιοδήποτε σύστημα είναι συνδεδεμένο στο
δίκτυο• Δρομολογητές και άλλες δικτυακές συσκευές επίσης ευάλωτες
– Και ένα μοναδικό πακέτο αρκεί σε κάποιες περιπτώσεις για να θέσει εκτός λειτουργίας κάποιο τρωτό σύστημα
– Δεν γίνονται προσπάθειες παραβίασης ή υποκλοπής στοιχείων– Απόκρυψη του επιτιθέμενου με παραποίηση της διεύθυνσης αποστολέα
στο πακέτο
• Χρησιμοποίηση: Διαμάχες hackers, επίδειξη ικανοτήτων, εκδίκηση, κυβερνοπόλεμος
ΕΠΙΘΕΣΕΙΣ ΑΡΝΗΣΗΣ ΥΠΗΡΕΣΙΑΣ (2) Denial of Service Attacks - DoS
• Επιθέσεις εξάντλησης πόρων– Εξάντληση υπολογιστικών ή δικτυακών πόρων– Χρήση μεγάλου αριθμού νόμιμων δικτυακών κλήσεων– Σε κάποιες περιπτώσεις χρησιμοποίηση περισσότερων του ενός
συστημάτων επίθεσης – Επιθέσεις Ενίσχυσης (Amplification Attacks)
• Επόμενο βήμα: Κατανεμημένες Επιθέσεις Άρνησης Υπηρεσίας – Distributed Denial of Service Attacks – DDoS– Χρήση πολλών "ελεγχόμενων" υπολογιστών από τον επιτιθέμενο
• Bots• "Αυτόματη" παραβίαση και έλεγχος τους• Συνεχίζουν να λειτουργούν χωρίς ο χρήστης τους να αντιλαμβάνεται
διαφορά– Ιεραρχία ελέγχου τους με ενδιάμεσα στάδια (attack masters)
ΕΠΙΘΕΣΕΙΣ ΤΥΠΟΥ "Smurf"
Επιτιθέμενος
Μη ασφαλισμένο δίκτυο
ICMP Echo requestDestination: LAN broadcastSource: victim.host
Διαχειριστικό Πρόβλημα: Επιτρέπεται το ping στη διεύθυνση broadcast
Στόχος (web Server)
victim.hostICMP Echo replyDestination:victim.hostICMP Echo replyDestination:victim.hostICMP Echo replyDestination:victim.host
ΕΠΙΘΕΣΕΙΣ Distributed DoS (DDoS)
Διαχειριστικό Πρόβλημα:Λειτουργία κακόβουλου λογισμικού
Δίκτυο Στόχος
"Ζόμπι" ή "bots"Attack Agents
X
AttackMaster
AttackMaster
Επιτιθέμενος
Διαχειριστικό Πρόβλημα 2:Επιτρέπονται πακέτα με παράνομη διεύθυνση προέλευσης
ΥΠΟΚΛΟΠΗ & ΠΑΡΑΠΟΙΗΣΗ ΔΕΔΟΜΕΝΩΝ (1) • Packet sniffing
– Μπορεί να συμβεί σε δίκτυα με Hub, μη ασφαλισμένα ασύρματα δίκτυα ή σε περιπτώσεις υπερφόρτωσης του MAC Table ενός Switch
– Κάθε πληροφορία που κυκλοφορεί μη κρυπτογραφημένη είναι διαθέσιμη σε αυτόν που παρακολουθεί
• Telnet passwords• Web passwords• Οικονομικά και προσωπικά στοιχεία (π.χ. προσωπικά email, αριθμοί
πιστωτικών καρτών κ.λπ.)
• "Man-in-the-Middle" attacks– Κάποιος μπορεί να παρεμβληθεί σε μια επικοινωνία και είτε να
υποκλέψει τα στοιχεία είτε να "υποκριθεί" ότι είναι κάποιος τρίτος φορέας
• ARP "poisoning"• TCP "session hijacking"• DNS "poisoning" – URL redirection
ΥΠΟΚΛΟΠΗ & ΠΑΡΑΠΟΙΗΣΗ ΔΕΔΟΜΕΝΩΝ (2)Λύσεις
– Χρήση κρυπτογραφίας• Αντικατάσταση του telnet με SSH (Secure Shell)• Κρυπτογραφημένη έκδοση του IMAP για e-mail• Γνώση των αδυναμιών των δικτυακών εφαρμογών (αποφυγή
μετάδοσης κρισίμων δεδομένων χωρίς κρυπτογράφηση)
– Χρήση ψηφιακών πιστοποιητικών (certificates)• Προσφέρουν κρυπτογραφία και ταυτοποίηση (επιβεβαίωση
ταυτότητας)
– Προσοχή στην επιλογή των σημείων σύνδεσης:• Αν χρησιμοποιείται hub χωρίς δυνατότητες διαχείρισης• Αν χρησιμοποιείται ασύρματη σύνδεση WiFi προτείνονται οι εξής
εναλλακτικοί τρόποι ελέγχου πρόσβασης:– Αρχική σύνδεση (ελαφρά κρυπτογραφημένη WPA, WEP) μόνο σε
τοπική σελίδα Web εξουσιοδότησης & ταυτοποίησης (authorization & authentication). Η σύνδεση ανοίγει στο Internet με user_name, password
– Access Lists εξουσιοδοτημένων διευθύνσεων MAC – Πρωτόκολλο 802.11.X βασισμένο σε καταλόγους authorized χρηστών
LDAP και προ-εγκατεστημένο λογισμικό (certificate) στον Η/Υ
ΕΙΔΗ ΚΡΥΠΤΟΓΡΑΦΙΑΣ
• Συμμετρική (Ιδιωτικού Κλειδιού, Private Key Cryptography)– Χρήση μοναδικού κλειδιού και από τα δύο μέρη – Κρυπτογράφηση με συγκεκριμένου μήκους κομμάτια κειμένου (block cipher) ή ανά bit
σε συνεχή ροή δεδομένων (stream cipher)– Αλγόριθμοι κρυπτογράφησης: DES, triple DES, RC2, RC4, RC5, IDEA, AES– Γρήγορη άλλα έχει προβλήματα στην ασφάλεια διανομής του κλειδιού– Έχει πολλαπλή χρήση: Encryption, authentication, non-repudiation
• Μη Συμμετρική (Δημόσιου Κλειδιού, Public Key Cryptography)– Κάθε μέρος έχει ιδιωτικό και δημόσιο κλειδί. Διανέμει το τελευταίο ελεύθερα– Αλγόριθμοι κρυπτογράφησης: RSA, Diffie-Hellman– Αλγόριθμοι κατακερματισμού (hash functions) για εξαγωγή περίληψης μέρους ή του
συνόλου ενός μηνύματος: SHA & SHA-1, MD2, MD4, MD5– Ισχυρά σημεία:
• Δεν διανέμονται ιδιωτικά κλειδιά – μόνο τα δημόσια κλειδιά– Αδύνατα σημεία:
• Αργή στην εκτέλεση• Αμφισβήτηση εμπιστοσύνης στα δημόσια κλειδιά: γι' αυτό συνιστάται η εγκατάσταση Αρχών
Πιστοποίησης (Certification Authorities, CA) και οργανωμένων υποδομών Δημοσίου Κλειδιού (Public Key Infrastructures, PKI)
– Έχει πολλαπλή χρήση: Encryption, authentication, non-repudiation
ΚΡΥΠΤΟΓΡΑΦΙΑ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ (1)• Αποστολέας και Παραλήπτης έχουν ανταλλάξει Δημόσια κλειδιά (π.χ.
μέσω SSL ή – Κρυπτογράφηση: Με το δημόσιο κλειδί του Παραλήπτη– Αποκρυπτογράφηση: με το ιδιωτικό κλειδί του Παραλήπτη
Μήνυμα
Δημόσιο Κλειδί Π
Κρυπτογραφημένο
Μήνυμα
Κρυπτ.Μήνυμα
ΑρχικόΜήνυμ
α
ΜετάδοσηΙδιωτικό Κλειδί Π
Αποστολέας Α
Παραλήπτης Π
Αλγόριθμος Αλγόριθμος
ΚΡΥΠΤΟΓΡΑΦΙΑ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ (2)
• Χρήση για την επιβεβαίωση αποστολέα και τη μη δυνατότητα άρνησης αποστολής (non-repudiation)– Επιβεβαίωση ταυτότητας αποστολέα (ψηφιακή υπογραφή, digital
signature)– Χρησιμοποιείται επίσης για την υπογραφή ψηφιακών πιστοποιητικών
Μήνυμα
Δημόσιο Κλειδί Α
Μετάδοση
Αποστολέας Α
Παραλήπτης Π
ΑλγόριθμοςΚατακερματισ
μού
ΠερίληψηΜηνύματο
ς
Ιδιωτικό Κλειδί Α
ΑλγόριθμοςΚρυπτογρα
φίας
ΑλγόριθμοςΚατακερματι
σμού
Σύγκριση
ΜΕΙΚΤΟ ΣΧΗΜΑ ΔΗΜΟΣΙΟΥ – ΙΔΙΩΤΙΚΟΥ ΚΛΕΙΔΙΟΥ
Συνδυασμός που αξιοποιεί τα πλεονεκτήματα και των 2 σχημάτων σε 2 φάσεις ανά σύνοδο (session) ή μήνυμα:
• Φάση hand-shaking (αρχική φάση) – Ταυτοποίηση (Authentication) άκρων επικοινωνίας μέσω Public Key
Cryptography– Δημιουργία (συμμετρικών) κλειδιών ανά σύνοδο με ανταλλαγή κρυπτο-
μηνυμάτων (και τυχαίων ακολουθιών pseudo random) μέσω Public Key Cryptography
• Φάση μετάδοσης δεδομένων σύνδεσης (1 έως πολλά πακέτα)– Χρήση συμμετρικής κρυπτογραφίας για περαιτέρω ανταλλαγή πακέτων με
δεδομένα που αφορούν στη σύνοδο
• Κυρίαρχο σχήμα στο Internet– Secure Shell, SSH: Ταυτοποίηση & κρυπτογράφηση από άκρο σε άκρο, π.χ
PuTTY (ασφαλής σύνοδοςTelnet, client ↔ SSH Server), SFTP– Secure Socket Layer, SSL: Ταυτοποίηση Web server από τους χρήστες –
clients μέσω του γνωστού Public Key του server & μετάδοση πακέτων με συμμετρική κρυπτογραφία, π.χ. https (http over SSL over TCP), imaps (IMAP over SSL over TCP), OpenVPN (απαιτείται OpenVPN server και προ-εγκατεστημένο client S/W)
ΨΗΦΙΑΚΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ (1)
• Βεβαιώνουν την ακεραιότητα του Δημόσιου κλειδιού.
• Βεβαιώνουν τη σύνδεση ενός δημόσιου κλειδιού με ένα άτομο ή οργανισμό μέσω της Έμπιστης Τρίτης Οντότητας (Trusted Third Party, TTP) – Αρχή Πιστοποίησης (Certification Authority, CA) στο πλαίσιο σχήματος Υποδομής Δημοσίου Κλειδιού (Public Key Infrastructure, PKI)
• Ανάλογα με την Αρχή Πιστοποίησης το πιστοποιητικό έχει και διαφορετικό εύρος αναγνώρισης. Συνήθως υπάρχει ιεραρχία πιστοποίησης που ορίζεται από το πρότυπο X.509.
• Από τι αποτελείται ένα ψηφιακό πιστοποιητικό:– Κάποια πληροφοριακά στοιχεία για το χρήστη του– Το δημόσιο κλειδί του χρήστη– Το όνομα μιας Αρχής Πιστοποίησης (CA Name)– Την ψηφιακή υπογραφή της Αρχής Πιστοποίησης (CA Digital Signature)
ΨΗΦΙΑΚΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ (2)
• Υπογραφή ενός ψηφιακού πιστοποιητικού με το ιδιωτικό κλειδί της Αρχής Πιστοποίησης (CA)