Pasywne i aktywne mechanizmy
ochronne sieci komputerowych
A
ukasz Bromirski
l.bromirski[at]mr0vka.eu.org
http://mr0vka.eu.org
Organizacja wykładu
Podstawy zagadnień bezpieczeństwa
Protokoły sieciowe wg. modelu ISO
ze względu na bezpieczeństwo
Wprowadzenie do kryptografii
Topologie sieci i mechanizmy
zwiększające ich bezpieczeństwo
Ataki, nadużycia, narzędzia
Bezpieczeństwo
Internet
Polityka bezpieczeństwa
jasna
wyszczególnienie osób funkcyjnych i
zakresu odpowiedzialności
wyszczególnienie elementów sieci oraz
ich roli w funkcjonowaniu i
bezpieczeństwie sieci
Bezpieczeństwo
Podstawowe problemy
bezmyślność i beztroska w zarządzaniu
uprawnieniami i kontami
brak administrowania i nadzoru, nadzór
nieregularny lub wykonywany przez
osobę niekompetentną
błędy w oprogramowaniu
Bezpieczeństwo
Co może być potencjalnym celem?
dane
serwery usług (np. ftp, dns, http...)
routery
systemy przechowujące i
przetwarzające dane
ludzie (ang. social engineering)
Bezpieczeństwo
Kto może być wrogiem?
ktoś z firmy (wróg wewnętrzny)
ktoś spoza firmy (wróg zewnętrzny)
Bezpieczeństwo
Twarze zza barykady
script kiddies
hakerzy
white hats (http://www.whitehats.com)
gray hats
black hats (http://www.blackhats.com)
Bezpieczeństwo
Bezpieczeństwo oprogramowania 
closed vs open source
dostępność kodu  ocena możliwości i sposobu
działania, wyeliminowanie możliwości pozostawienia  tylnych
drzwi , urealnienie oświadczeń twórcy
szybkość reagowania na dziury/błędy 
dostępność oprogramowania, szybkość publikowania
poprawek, ich dostępność i jakość
Bezpieczeństwo
Dziury w systemach operacyjnych
OS 2000 2001
FreeBSD 36 17
NetBSD 20 9
OpenBSD 17 14
Slackware 11 10
Solaris 22 33
Windows 40 14
3.1x/9x
Windows 97 42
NT/2000
(z
ródło: www.securityfocus.com)
Zagrożenia
Wirusy
charakterystyka
" działanie niszczycielskie
" rozmnażanie się
ewolucja
" assembler  C/C++ (Yankee Doodle, LoveLetter)
" pliki  poczta (Sircam, Badtrans, Melissa)
Melissa  1 mld $  99, LoveLetter 9 mld $  00
Zagrożenia
Robaki internetowe
charakterystyka
sposób działania
" poczta elektroniczna (np. Nimda)
" aktywny atak (np. Nimda, CodeRed)
cel działania
" obciążanie sieci (DoS/DDoS)
" działalność destrukcyjna i rozmnażanie się
" zdalna kontrola (np. Trinoo, stacheldracht)
straty  CodeRed 2-4 miliardy dolarów
Zagrożenia
Różne filozofie, różne podejścia
script kiddie
amator
haker
Organizacja wykładu
Podstawy zagadnień bezpieczeństwa
Protokoły sieciowe wg. modelu ISO
ze względu na bezpieczeństwo
Wprowadzenie do kryptografii
Topologie sieci i mechanizmy
zwiększające ich bezpieczeństwo
Ataki, nadużycia, narzędzia
Model ISO
Model ISO
IP
Model ISO
TCP
Model ISO
UDP
Model ISO - ICMP
Dwie klasy komunikatów:
komunikaty o błędach:
" destination unreachable, redirect, source
quench, time exceeded, parameter problem
zapytania:
" echo, information, timestamp, address
mask
Organizacja wykładu
Podstawy zagadnień bezpieczeństwa
Protokoły sieciowe wg. modelu ISO
ze względu na bezpieczeństwo
Wprowadzenie do kryptografii
Topologie sieci i mechanizmy
zwiększające ich bezpieczeństwo
Ataki, nadużycia, narzędzia
Wprowadzenie do
kryptografii
Przestrzeń klucza (ang. keyspace)
Szyfrowanie symetryczne
Szyfrowanie z kluczem publicznym
Infrastruktura Klucza Publicznego  PKI
(ang. Public Key Infrastructure)
Publiczne Standardy Kryptograficzne 
PKCS (ang. Public Key Cryptographic Standards)
Autorytet Certyfikujący  CA (ang. Certificate
Authority)
Podpis cyfrowy
IPsec - narodziny
Narodziny IPSec  słabości IP
sniffing
spoofing, hijacking
IETF tworzy RFC2401
IPsec - architektura
AH (Authentication Header)
" RFC2402
ESP (Encapsulated Payload)
" RFC2406
IKE (Internet Key Exchange)
" RFC2409
IPsec  co zapewnia?
uwierzytelnianie
(ang. authentication)
integralność
(ang. integrity)
poufność
(ang. confidentiality)
IPsec  Security Association
Security Association (SA) opisuje:
adres urządzenia (IP/nazwa)
transform set: używany protokół IPSec,
algorytm uwierzytelniania/kontroli, algorytm
szyfrowania
czas ważności klucza i wartości progowe IKE
listę kontroli dostępu (ACL)
identyfikator SPI danego SA
numer sekwencji danych w strumieniu
IPsec -
pakiet
IPsec -
ESP
IPsec -
AH
IPsec  protokół IKE
Co zapewnia?
negocjacje protokołów, algorytmów i
kluczy
uwierzytelnienie partnera
zarządzanie kluczami
wymiana informacji służących do
generowania kolejnych kluczy
IPsec  protokół IKE
Dwie fazy:
stworzenie bezpiecznego kanału
wymiany informacji
negocjację odpowiednich algorytmów i
SA
IPsec  przykład 1
IPsec  przykład 2
IPsec  FreeBSD
Konfiguracja systemu
kernel: IPSEC, IPSEC_ESP
nat/firewall
Ustawienie SA dla połączenia:
setkey -c
spdadd 193.193.193.1 193.193.193.2 any -P out ipsec
ah/transport/193.193.193.1-193.193.193.2/require
spdadd 193.193.193.2 193.193.193.1 any -P out ipsec
esp/transport/193.193.193.2-193.193.193.1/require
spdadd 193.193.193.2 193.193.193.1 any -P out ipsec
ah/transport/193.193.193.2-193.193.193.1/require
IPsec  FreeBSD
Konfiguracja IKE  ręczna:
add 193.193.193.1 193.193.193.2 ah 1000
-m transport  A hmac-sha1  12345678901234567890 ;
add 193.193.193.2 193.193.193.1 esp 2000
-m transport  E des-cbc  12345678 ;
Konfiguracja IKE  automatyczna:
racoon ( /usr/ports/security/racoon )
isakmpd ( /usr/ports/security/isakmpd )
SSL/TLS - Wprowadzenie
Secure Sockets Layer
historia  Netscape, 1993
wersje
Transport Layer Security
RFC2246
SSL/TLS - Możliwości
Co zapewnia?
uwierzytelnianie z wykorzystaniem
kluczy publicznych
zachowanie anonimowości klientów i
wymóg identyfikacji serwera
szybkość pozwalającą na sprawną
obsługę krótkich połączeń (HTTP/DNS)
SSL/TLS - Działanie
Wsparcie programowe:
Serwery WWW: Zeus v3, Apache,
Microsoft IIS 5.x
Klienci WWW: Microsoft IE 4.x-5.x,
Netscape, Mozilla, Opera, Konqueror
Serwery poczty: postfix, sendmail,
Microsoft IIS
Klienci poczty: The Bat!, Microsoft
Outlook, Netscape Mail, Mozilla
SSL/TLS - Negocjacja
SSL/TLS - stunnel
Po stronie serwera:
stunnel  d 465  r smtp  p /usr/local/etc/stunnel.pem
Po stronie klienta:
stunnel -c -d localhost:25 -r www:465
http://www.stunnel.org
SSH  Secure SHell
Historia  1995 rok, Finlandia
Zastosowanie
Algorytmy szyfrowania
DES, 3DES
RC4
TSS
Blowfish/Twofish
SecurID
S/Key
Kerberos
TIS
SHA-1 i MD5 dla zapewnienia i uwierzytelniania danych
SSH  Co zapewnia?
Ochronę przed fałszowaniem IP
( ang. IP spoofing )
Ochronę przed wymuszaniem routingu
( ang. source routing )
Ochronę przed fałszowaniem wpisów DNS
( ang. DNS spoofing )
Ochronę przed ujawnieniem haseł i
identyfikatorów
Ochronę przed manipulacją przesyłanymi
danymi
S/MIME
Secure/Multipurpose Internet Mail
Extensions  v3
Zaprojektowane dla MUA
(ang. Mail User Agents):
The Bat!
Microsoft Outlook
Mozilla
S/MIME  Co zapewnia?
uwierzytelnienie
integralność wiadomości
nie-podrabialność wiadomości
(podpis cyfrowy) SHA-1 (160) i MD5
(128)
poufność i bezpieczeństwo danych
(szyfrowanie) RC-2 (128) i 3DES
(156)
PGP / OpenPGP
Pretty Good Privacy
Philip Zimmermann, 1991 rok
MD4+RSA dla podpisów i wymiany kluczy
Bass-O-Matic, zastąpione przez IDEA
Kompresja LZH, zastąpiona przez InfoZip/zlib
uuencoding, zastąpione przez base64
Problemy prawne w USA (1993-95r)
PGP / OpenPGP
Formaty:
wiadomość skompresowana
wiadomość podpisana cyfrowo
wiadomość zaszyfrowana
Nagłówek:
-----BEGIN PGP typ-----
-----END PGP typ-----
typ: MESSAGE, SIGNED MESSAGE, SIGNATURE
Organizacja wykładu
Podstawy zagadnień bezpieczeństwa
Protokoły sieciowe wg. modelu ISO
ze względu na bezpieczeństwo
Wprowadzenie do kryptografii
Topologie sieci i mechanizmy
zwiększające ich bezpieczeństwo
Ataki, nadużycia, narzędzia
Topologie  przykład 1
Topologie  przykład 2
Topologie  przykład 3
Topologie  przykład 4
Topologie  strefy
Firewall  co to jest?
Co to jest?
programowy
sprzętowy
Podstawy działania
filtrowanie pakietów (packet filtering)
filtrowanie zawartości (content filtering)
ograniczanie przepustowości (traffic
shaping)
Firewall  sprzętowy a
programowy 1/2
Typ Wydajność Pojemność/Wydajność
10Mbit/s clear / 3Mbit/s
Cisco PIX 501 3500 połączeń, 5VPN, 100/s
3DES
Cisco PIX 535 1Gbit/s clear 500,000 połączeń, 2000VPN, 7,000/s
100Mbit/s clear / 45Mbit/s
3COM SuperStack3 30,000 połączeń, 1,000VPN
3DES
200Mbit/s clear, 200Mbit/s
Netscreen 100 128,000 połączeń, 19,000/s
3DES
500,000 połączeń, 10,000VPN,
Netscreen 1000 1Gbit/s clear, 1Gbit/s 3DES
22,000/s
CheckPoint FW1, PIII-1Ghz, 395Mbit/s clear (UDP,
?
RedHat 1454bajty)
CheckPoint FW1,
335Mbit/s clear (UDP,
?
1454bajty)
PIII-1Ghz, WinNT/2K
CheckPoint FW1,
270Mbit/s clear (UDP,
?
1454bajty)
Sun Ultra 60
Firewall  sprzętowy a
programowy 2/2
Typ Wydajność Pojemność/Wydajność
ipchains 386DX33 2Mbit/s clear 32,768 standardowo
327,680 potwierdzone
ipchains 2xPIII600 150Mbit/s clear
20,000(1)-80,000(3) połączeń/s
ipfw PIII750 400Mbit/s clear ?
pf 486DX-80 10Mbit/s clear
Ilość połączeń *100
pf P233MMX 130Mbit/s clear
bajtów+32bity*1.4
Dla 500,000 połączeń = 52MB
ipf Duron 600, Dla 1,000,000 połączeń = 104MB
550Mbit/s clear
256MB
Firewall  uwagi do
porównania
mimo RFC2647 dotyczącego
mierzenia wydajności, brak ogólnie
przyjętego standardu
optymalna wielkość pakietu dla
nowoczesnego firewalla  1000-
1500 bajtów
realność i weryfikowalność podanych
wyników
Firewall  budowa zestawu
reguł
Budowa zestawu reguł
Sposób przeglądania reguł
Możliwe cele:
akceptacja, utworzenie stanu
odrzucenie, wyrzucenie
logowanie, zwiększenie licznika
inne, specyficzne dla implementacji
Firewall  reguły filtrowania
ipf/pf:
pass in proto tcp from any to 192.168.0.1 port = 80 keep state
pass in proto tcp from any to 210.220.230.240 port = 80 flags S/SA
iptables:
iptables -A INPUT -p tcp -s 0/0 -d 192.168.0.1 --dport 80
-m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -d 210.220.230.240 --dport 80
--tcp-flags ALL SYN -j ACCEPT
zalogowany pakiet:
Dec 3 15:27:03 test1 ipmon[145]: 15:27:02.876150
xl1 @0:6 b 192.168.86.1,16384 -> 255.255.255.255,27600
PR udp len 20 43 IN
Firewall  inne możliwości
Ograniczanie przepustowości
dummynet, altq
iproute2, tc
Cisco CAR i inne mechanizmy
NAT
Proxy
Proxy
Historia
Podstawy działania
tradycyjne proxy
transparentne proxy
SSL-Proxy
Microsoft Proxy 2.0/Internet
Security & Acceleration Server,
Network Border Manager, squid
Proxy  Co potrafi?
badać przekazywane dane, z badaniem
poprawności protokołów/języka
ograniczać dostęp na podstawie list ACL
ograniczać dostęp na podstawie
autoryzacji
utrzymywać cache dla często
wywoływanych danych
SSL-proxy  zapewniać szyfrowanie
Proxy  Przykład
Router
A
ączy dwoma lub większą ilością
interfejsów podsieci
Obsługuje wg. możliwości i potrzeb
protokoły: BGP4/BGP4+, RIP/RIPv2,
OSPF i inne
Podstawy działania i możliwości
niezawodność
RFC1812
NAT
Router - NAT
Router - NAT
IDS
Intrusion Detection System
Jak wygląda IDS?
programowe (lids, snort, nessus)
sprzętowe (moduły dla IDS Cisco)
IDS - Przykład
Przykład reguły dla sieciowego
IDS:
alert UDP any any -> any 6838 (msg:
"IDS100/ddos-mstream-agent-to-handler"; content:
"newserver"; )
Przykład reguły dla
stanowiskowego IDS:
lidsadm -A -s /usr/sbin/httpd -o CAP_BIND_NET_SERVICE 80-80
-j GRANT
IDS  Przetwarzanie danych
Zbieranie informacji
pasywne
aktywne
Analiza
Odpowiedz

IDS  Analiza?
Na czym polega proces analizy?
nadużycia (przekroczenie praw
dostępu, próba mapowania dysku do
którego brak uprawnień)
anomalia (wzrost obciążenia,
charakterystyka czasowa pracy,
charakterystyka typu pracy)
IDS  Sieciowe
snort, nessus, Enterasys Dragon:
" zalety: duże pole działania, minimalne lub
brak zmian w topologii, niewidzialność dla
atakującego, praca w czasie rzeczywistym
" wady: niewystarczająca przepustowość,
problemy w przypadku stosowania
switchów, problemy z transmisjami
szyfrowanymi (SSL/TLS/inne), wrażliwość
na ataki sieciowe
IDS  Przykład sieciowego
IDS  Stanowiskowe
lids, Entercept, Cybersafe Centrax
" zalety: możliwość analizowania ruchu
szyfrowanego, specyfiki systemu,
nieograniczone przez topologię, mogą
przyczynić się do wykrycia koni trojańskich
" wady: monitoring i konfiguracja, wpływ na
działanie hosta, logistyka (miejsce na logi,
transport)
Topologia  Ochrona wgłąb
Organizacja wykładu
Podstawy zagadnień bezpieczeństwa
Protokoły sieciowe wg. modelu ISO
ze względu na bezpieczeństwo
Wprowadzenie do kryptografii
Topologie sieci i mechanizmy
zwiększające ich bezpieczeństwo
Ataki, nadużycia, narzędzia
Ataki i nadużycia
Ataki typu DoS/DDoS
Ataki sieciowe
Ataki na usługi
Ataki DoS/DDoS
Denial of Service/Distributed Denial of
Service
trinoo, Tribe Flood Network (TFN/TFN2K),
stacheldracht, shaft, mstream
7-8 lutego 2000r.  Amazon.com, ebay,
CNN
4 maja 2001r.  grc.com, w szczycie
94,800 pakietów TCP SYN/s
Ataki DoS/DDoS - Przykład
Ataki sieciowe
sniffing (sniffit, ethereal, tcpdump)
hijacking
spoofing (blind-spoofing, non-blind-
spoofing)
mapowanie:
firewalking
port-scanning
fingerprinting (pasywny i aktywny)
Ataki sieciowe
fragmentowanie/nakładanie/
zniekształcanie pakietów
powodzie TCP SYN/TCP ACK, ARP,
DHCP
wykorzystanie source routingu
ARP/DNS/DHCP poisoning
Ataki na usługi
SQL injection
buffer i stack overflow
format string  rodzina funkcji
*printf()
zła/domyślna konfiguracja usług 
SNMP(public!), finger/telnet (!)
man-in-the-middle
Narzędzia  1/2
nessus
http://www.nessus.org
nmap
http://www.insecure.org/nmap
siphon
http://siphon.datanerds.net
Xprobe & Xprobe2
http://www.xprobe.org
Narzędzia  2/2
queso
http://www.apostols.org/projectz/queso
argus
http://www.qosient.com/argus
fragroute & dsniff
http://www.monkey.org/~dugsong/
Pasywne i aktywne mechanizmy
ochronne sieci komputerowych
Pytania?