Wykład 6 21-11-2012

Uwierzytelnianie urządzeń, usług i użytkowników sieci komputerowej

Uwierzytelnianie – proces polegający na zweryfikowaniu zadeklarowanej tożsamości osoby, urządzenia lub usługi biorącej udział w wymianie danych.

• Uwierzytelnianie w warstwie II ISO/OSI

• Uwierzytelnianie w warstwie III ISO/OSI

• Usługi i serwery AAA

  • Protokoły RADIUS i TACACS

Powody uwierzytelnienia (z pkt widzenia infrastruktury sieciowej):

• Potwierdzenie prawa dostępu do zasobu, np. na serwerze

• Potwierdzenie prawa do dostępu do urządzenia, np. w celu zarządzania nim

• Potwierdzenie prawa do przesłania przez urządzenie sieciowe danych

• Posiadanie podstaw do rozliczania działań użytkowników sieci.

Czym można potwierdzić tożsamość:

• Login(konto) i hasło,

• Hasła współdzielone

• Hasło jednorazowe (OTP – One Time Password)

• Kryptografia asymetryczna (certyfikaty X.509)

• Tokeny – bazują na tym co użytkownik ma (token) i co użytkownik wie (PIN)

• Cechy biometryczne

Uwierzytelnienie urządzeń i użytkowników w warstwie II ISO/OSI

• Adresy MAC

• CHAP (Challenge Handshake Authetication Protocol) do enkapsulacji PPP.

R1(config)# username R2 password cisco

R1(config)# interface serial 0

R1(config)# ppp authentication chap

R2(config)# username R1 password cisco

R2(config)# interface serial 0

R2(config)# ppp authentication chap

Uwierzytelnianie urządzeń I użyt w warstwie II ISO/OSI – EAP

Extensible Authentication Protocol(EAP)

• Różnorodne metody uwierzytelniania w ujednolicony i niezależny od sprzętu pośredniczącego w komunikacji

• Protokół klient-serwer (suplikat – auth serv)

• Mechanizm uwierzytelniania użytkowników w takich protokołach np. jak PP IEEE802

• Proces uwierzytelnienia przeprowadzony jest zanim nastąpi inicjalizacja warstwy IP

• Przy transmisjach IEEE802 wymagane są urządzenia sieciowe wspierające:

• Dla sieci przewodowych – IEEE802.1x

• Dla bezprzewodowych – IEEE802.11i

Własności EAP

• Itnieje możliwość negocjacji używanej metody uwierzyt

• Możliwość wdrożenia nowej metody uwierzytelniania bez ingerowania w konf urządzenia pośredniczącego – wymagana jest jedynie aktualizacja oprogramowania po stronie suplikanta i zewnętrznego serwera uwierzytelniania

• EAP obowiązkowe metody uwierzyt:

  • MD5

  • Hasła jednorazowe

  • Tokeny

• Przykładowe metody opcjonalne:

  • EAP-TLS-RFC 2716

  • EAP-TTLS-draft-ietf-pppext-eap-ttls-01.txt

  • EAP-IKEv2-RFC 5106

Uwierzytelnianie urządzeń I uzty w warstwie III ISO/OSI

• Adresy IP

• Protokoły routingu, np. RIPv2

R1(config)# key chain nazwa

R1(config-keychain)# key 1

R1(config-keychain)# key-string 123

R1(config-keychain)# key 2

R1(config-keychain)# key-string abc

R1(config)# int f0/1

R1(config-if)# ip rip authentication key-chain nazwa

R1(config-if)# ip rip authentication mode md5

Usługi AAA(Authentication, Authorization, Accounting)

Wykorzystują sieciowe serwery dostępu (NAS – Network Access Sever)

Architektura NAS:

• Wszystkie funkcje realizuje NAS (odpytuje, weryfikuje, podejmuje decyzje o przepuszczeniu)

• NAS działa w powiązaniu z serwerem AAA (zalecane – dlaczego?)

Protokoły uwiezrytelniania – RADIUS - TACACS

Cechy protokołu RADIUS:

• Protokół klient-serwer,

• Uwierzytelnia klienta

• Wykorzystuje UDP (port 1645 lub 1812 – uwierzytelnianie i 1646 lub 1813 - rozlizanie),

• Połączone uwierzytenianie i autoryzacja

• Odpowiedź dostęp-akcja (Access-Accept), zawiera zestaw par atrybut-wartość opisujących paraetry, które mogą zostać użyte w aktualnie inicjowanewj sesji, np.>

  • Rodzaj protokołu

  • Adres IP przypisany użytkownikoei(stat lub dynamic)

  • Lista dostępu, która ma zostać zastosowana

  • Albo statyczna trasa, która ma być zainstalowana w tablicy routingu NAS

Radius – przykład działania:

1. Użytkownik inicjuje połączenie tym samym rozpoczynając uwierzytelnianie

2. NAS wzywa użytkownika do podania nazwy i hasła

3. Użytkownik przesyła dane do NAS

4. NAS przekazuje dane do weryfikacji serwerowi RADIUS

5. Serw Radius odpowiada akceptacją lub odrzucenie,

6. NAS kontroluje ruch sieciowy zgodnie z zaleceniami otrzymanymi od serwera RADIUS.

Wersje protokołu TACACS:

• TACACS -połączony proces uwierzytelniania i autoryzacji (TCP lub UDP port 49)

• XTACACS – oddzielne uwierzytelnianie, autoryzacja oraz rozliczanie (1990, Cisco)

• TACACS+ - jest to XTACACS z rozszerzonym sterowaniem atrybutami oraz księgowaniem (Cisco, TCP port 49)

Cechy protokołu TACACS:

• Protokół klient-serwer

• Uwierzytelnianie klienta i serwera (dwukierunkowy CHAP)

• Szyfruje całą komunikację (Radius tylko hasła)

########## FreeRadius ###########

Konf serwera Cisco we współpracy z serwerem AAA (dostęp lokalny)

R(config)# aaa new-model

Wskazanie serwera, który będzi dokonuywał uwierzytelnienia

Radius-server host nazwa_hosta port nr_portu timeout liczba key klucz

Wskazanie transmisji, które będą podlegać uwierzytelnienia

Aaa authentication login default group radius

Konf FreeRadius:

Clients.conf:

Client 192.168.2.1/24

{

Secret=”Hasło_NAS”

}

Plik Users:

“user” Clear….

Sposoby uwierzytelniania przez urządzenia pośredniczące w transmisjach sieciowych:

– Firewall authentication (auth server) – działa przeźroczyście, ale tylko dla wybranych transmisji, najczęściej http, ftp, telnet.

- WebAuth authentication – wymaga wykonania dodatkowej czynności – zalogowania się na wirtualnym serwerze www.

Konfiguracja uwierzytelniania przy pośredniczeniu w transmisji – PIX (TACACS+, ACS, Auth., )

PIX(config)# access-list 102 permit tcp any any

PIX(config)# access-group 102 in interface outside

PIX(config)# aaa authentication match 102 inbound TACACS+

Nakazanie autoryzacji dla usług telnet

PIX(config)# aaa authorization include telnet inboud 0 0 0 0 TACACS+

Systemy klasy IDS, IPS

IPS, IDP - Cele instalacji

• Uzupełnienie systemu ochrony zasobów dostępnych przez sieć komputerową poprzez:

  • Analizę transmisji przepuszczanej przez zaporę sieciową

  • Analizę lokalnego ruchu sieciowego

• Dodanie dodatkowej linii zabezpieczeń – zapora sieciowa z racji swojej przeważnie statycznej konfiguracji wprowadzanej przez człowieka jest podatna na pomyłki, nieprecyzyjności

IDS

• System wykrywania włamań analizujący ruch sieciowy, do którego ma dostęp,

• System alarmowy, informujący o tym, że pojawiła się transmisja niedozwolona

IPS

• System, który w porównaniu do IDS, dodatkowo powinien zablokować działania niedozwolone(intruza) w trakcie wykonywania ataku, nie pozwalając na osiągnięcie celu ataku (działanie w czasie rzeczywistym, tzw. in-line)

• Systemy klasy IDP

W budowie systemów IDS/IPS można wyróżnić:

• IDS Sensor – moduł programowy lub sprzętowy monitorujący ruch sieciowy (w szczególności) i przeznaczony do ochrony przed nieautoryzowaną, złośliwą aktywnością w sieci

• Intrusion Detector Director – centralny monitor pracy sensorów ID

• Oba element mogą występować w jednym miejscu

Pojęcia związane z systemami IDS/IPS

• Deep Packet Inspection (DPI)

• Anomalia transmisji sieciowej

Co może być brane pod uwagę przy wykrywaniu ataków?

• Sygnatury znanych ataków:

  • Pojedynczych

  • Seryjnych, które są określone poprzez wartości progowe, lub na podstawie korelacji sekwencji pakietów

• Prawidłowość budowy pakietów (pattern matching)

• Prawidłowość budowy protokołów sieciowych:

  • Sprawdzenie zależności pomiędzy kolejnymi pakietami (skanowanie portów, numery sekwencyjne TCP, manipulowanie numerami sekwencyjnymi)

• Anomalie w transmisjach sieciowych

  • Wykorzystywanie nowego protokołu

  • Wykorzystanie nowego portu

• Logi zbierane na systemach typu Honeypot

• Analiza heurystyczna transmisji

Sposoby reakcji:

• Alarmowanie

• Blokowanie transmisji w ramach systemu IPS:

  • Opcja Drop

  • Opcja Reset

  • Blokowanie określonej transmisji przez określony czas

  • Blokowanie określonej transmisji przekraczającej określone wartości progowe

• Współpraca z zaporami sieciowymi