Projektowanie Bezpieczeństwa Sieci i Serwerów mgr inż. Adam Mencwal Katedra Informatyki Stosowanej

Transkrypt

1 Projektowanie Bezpieczeństwa Sieci i Serwerów mgr inż. Adam Mencwal Katedra Informatyki Stosowanej amencwal@kis.p.lodz.pl

2 Bezpieczeństwo teleinformatyczne Bezpieczeństwo teleinformatyczne zbiór zagadnień z dziedziny telekomunikacji i informatyki związany z szacowaniem i kontrolą ryzyka wynikającego z korzystania z komputerów, sieci komputerowych i przesyłania danych do zdalnych lokalizacji, rozpatrywany z perspektywy: - poufności (szyfrowanie/utajnianie danych) - integralności (podmiana stron www, wykradanie baz danych, kradzież tożsamości, botnety) - dostępności (ataki typu Denial-of-Service, spam) (źródło:

3 Źródła zagrożeń Użytkownik social engineering (np. wykradanie hase ł) malware (opr. 'złośliwe') System Operacyjny exploity/rootkity scanning (skanowanie) Denial of Service spam Sprzęŧ i Sieć Komputerowa spoofing(fałszowanie) sniffing (podsłuchiwanie)

4 Sniffing, podsłuch Sniffer program przechwytujący dane na łączu przy włączonym trybie 'promiscuous' karty sieciowej. Umożliwia przegląd i analizę treści pakietów wraz z informacjami kontrolnymi takimi jak: -adresy źródłowe i docelowe IP i MAC -numery portów źródłowych i docelowych -numery sekwencyjne TCP -flagi TCP -wartości TTL i inne

5 Nagłówek protokołu IP (Internet Protocol) wersja długość nagłówka Typ usługi (TOS) łączna długość pakietu (TL) identyfikator znaczniki przesunięcie fragmentu czas życia pakietu (TTL) protokół warstwy wyższej adres źródłowy adres docelowy opcje dane suma kontrolna nagłówka dopełnienie

6 Pola nagłówka protokołu TCP port źródłowy port docelowy numer sekwencyjny numer potwierdzający przesunięcie danych zarezerwowane bity sterujące rozmiar okna suma kontrolna nagłówka wskaźnik danych pilnych opcje dopełnienie dane

7 Uwierzytelnianie i bezpieczeństwo w sieciach bezprzewodowych OPEN )))))))))))))))))))))))) zwykly_tekst PRE-SHARED KEY (WEP) )))))))))))))))))))))))) d#2f37f2hj WPA PSK (PERSONAL) )))))))))))))))))))))))) d#2f37f2hj WPA 802.1X (ENTERPRISE) )))))))))))))))))))))))) d#2f37f2hj A P A P A P A P BRAK JAKIEGOKOLWIEK SZYFROWANIA!!! transmisja nawiązywana na podstawie SSID szyfrowanie słabym (64 bit) algorytmem na podstawie stałego klucza znanego obu stronom przed rozpoczęciem procesu autentykacji możliwość deszyfracji klucza metodą brute-force możliwość podmiany danych w ramce bez znajomośći klucza(!) szyfrowanie silnym (172 bit) algorytmem na podstawie początkowego stałego klucza znanego obu stronom przed rozpoczęciem procesu autentykacji dynamiczna zmiana klucza (algorytm TKIP) zabezpieczenie przed podmianą danych w ramce (MIC message integrity code) te same cechy co WPA PSK ale z zastosowaniem złożonej infrastruktury autentykacyjnej (np. serwer RADIUS) możliwość wszechstronnej konfiguracji ( wyzwanieodpowiedź, hasła tymczasowe, żetony, certyfikaty, klucz publiczny, itp)

8 Zasada działania przełącznika, mac-flooding 00:0F:B0:75:DD:38 odebrałem wysyłam ramkę dood od 0B:BF:10:5E:CD:13 1A:0A:AC:3C:7D:01 nr portu Tablica CAM adres MAC 00:0F:B0:75:DD:38 0B:BF:10:5E:CD:13 C5:C4:AC:17:D3:18 1A:0A:AC:3C:7D:01 C5:C4:AC:17:D3:18 wysyłam ramkę do 0B:BF:10:5E:CD:13 0B:BF:10:5E:CD:13 wysyłam odebrałem ramkę dood 00:0F:B0:75:DD:38 C5:C4:AC:17:D3: dostałem ramkę od dostałem ramkę od C5:C4:AC:17:D3:18 0B:BF:10:5E:CD:13 dostałem do do ramkę 0B:BF:10:5E:CD:13 00:0F:B0:75:DD:38 od 1A:0A:AC:3C:7D:01 do 00:0F:B0:75:DD:38 od 00:0F:B0:75:DD:38 dopisuję adres nadawcy do 1A:0A:AC:3C:7D:01 do tablicy CAM dopisuję adres nadawcy do tablicy CAM znam dopisuję adresata, adres więc nadawcy wysyłam do tablicy tylko na CAM port 12 znam adresata, więc wysyłam tylko na port nie znam adresata, więc rozsyłam na wszystkie porty 1A:0A:AC:3C:7D:01 wysyłam odpowiedź do 00:0F:B0:75:DD:38

9 Protokół ARP (Address Resolution Protocol) tablica ARP chce wysłać pakiet do IP MAC jednak nie wiem jak zaadresować ja nie mam ramkę bo nie mam w adresu tablicy dostałem ARP żadnej ramkę nie IP: informacji adresowaną nt temat.. odpowiadam do... MAC: AA:0C:11:32:79:1E Wysyłam więc mnie, zapytanie z do wszystkich nieznanego (na adres mi broadcastowy adresu MAC... FF:FF:FF:FF:FF:FF) wpisuję go do tablicy ARP dostałem odpowiedź ARP! już wiem jak adresować ramkę do ! dopisuję informację do tablicy ARP i wysyłam ramkę. IP: IP: MAC: 00:0F:B0:75:DD:38MAC: 0B:BF:10:5E:CD:13 tablica ARP tablica ARP IP MAC IP MAC :0F:B0:75:DD: A:0A:AC:3C:7D: IP tablica ARP MAC :0F:B0:75:DD: IP: MAC: BA:00:A0:76:DD:01 ja nie mam adresu nie odpowiadam.. chcę wysłać pakiet do wiem jak ja zaadresować nie mam ramkę adresu bo mam w nie tablicy odpowiadam ARP... informacje o jego adresie MAC IP: MAC: 1A:0A:AC:3C:7D:01 tablica ARP IP MAC ja mam adres ! odpowiadam nadawcy!

10 ARP Spoofing, DNS Spoofing IP: MAC: AA:0C:11:32:79:1E OFIARA tablica ARP IP MAC B:BF:10:5E:CD:13 (!) otrzymałem ramkę broadcastową, rozsyłam na wszystkie porty IP: MAC: BA:00:A0:76:DD:01 chce wysłać pakiet do jednak nie wiem jak zaadresować ramkę bo nie mam w tablicy ARP żadnej informacji nt temat.. Wysyłam więc zapytanie do wszystkich (na adres broadcastowy FF:FF:FF:FF:FF:FF) otrzymałem odpowiedź ARP, uzupełniam tablice ARP ATAKUJĄCY przechwyciłem zapytanie ARP, wysyłam sfałszowaną odpowiedź do nadawcy ( ) IP: MAC: 0B:BF:10:5E:CD:13

11 Ataki Man-in-the-middle tablica ARP IP MAC B:BF:10:5E:CD:13 (!) IP: MAC: AA:0C:11:32:79:1E IP: MAC: BA:00:A0:76:DD:01 OFIARA chcę połączyć się poprzez SSH z adresem wysyłam nieświadomie pakiety do Atakującego.. certyfikat jest zmieniony..(?) ale podaję swoje dane poufne Ofiara podała dane poufne! Przesyłam je do , i pośredniczę w transmisji, tak aby Ofiara nie zauważyła ataku. Ofiara kieruje do mnie strumień danych SSH.. podstawiam fałszywy ATAKUJĄCY certyfikat ale wciąż oczekuję na wprowadzenie danych IP: poufnych (login,hasło,itp) MAC: 0B:BF:10:5E:CD:13

12 wyznaczanie ścieżki rutowania pakietów na przykładzie działania programu traceroute TTL=1 TTL=2 TTL=3 TTL=0 TTL=0 TTL=0 ICMP : TTL Exceeded ICMP : TTL Exceeded ICMP : TTL Exceeded ilość skoków adres IP

13 Nawiązanie, negocjacja, zamknięcie połączenia w sesji TCP inne pola... numer sekwencyjny numer potwierdzający przesunięcie danych zarezerwowane bity sterujące rozmiar okna inne pola URG ACK PSH RST SYN FIN INICJUJĘ POŁĄCZENIE: wysyłam segment z nastawionym bitem SYN nastawiam nr sekwencyjny na X określam rozmiar okna na A POTWIERDZAM POŁĄCZENIE: wysyłam segment z nastawionym bitem ACK nastawiam nr potwierdzający na Y+1 FIN SYN INICJUJĘ POŁĄCZENIE: wysyłam segment z nastawionym bitem SYN+ACK FIN+ACK SYN+ACK nastawiam nr (RST) sekwencyjny na Y ACK nastawiam nr ACK potwierdzający na X +1 określam rozmiar okna na B

14 metody skanowania portów ATAKUJĄCY OFIARA skanowanie typu 'SYN': SYN port otwarty: port zamknięty: SYN,ACK RST skanowanie typu: ACK: ACK FIN: NULL: FIN - brak odpowiedzi RST XMAS: FIN,URG,PSH

15 OS Fingerprinting Badanie sygnatury ( odcisku palca ) systemu operacyjnego polega na analizie wybranych pól nagłówka IP i TCP takich jak: Initial TTL (8 bits) Window size (16 bits) Maximum segment size (16 bits) "Don't fragment" flag (1 bit) sackok option (1 bit) nop option (1 bit) Window scaling option (8 bits) Initial packet size (16 bits) przy założeniu że implementacje stosu TCP/IP w różnych systemach operacyjnych różnią się. Fingerprinting aktywny Analiza odpowiedzi na spreparowaną sekwencję pakietów (TCP/UDP/ICMP) wysłaną na wcześniej wykryte zamknięte i otwarte porty. Więcej informacji o testach używanych przy OS-fingerprintingu:

16 Ataki Denial-of-Service (DoS) Distributed DoS master master Distributed Reflection DoS komenda rozpoczęcia ataku komenda rozpoczęcia ataku TCP SYN (SRC IP ofiary) zombie zombie TCP SYN TCP SYN UDP UDP ICMP ICMP TCP SYN ICMP TCP SYN UDP (SRC IP ofiary) TCP SYN+ACK TCP SYN+ACK ofiara ataku ofiara ataku

17 Podstawy konfiguracji i monitorowania środowiska sieciowego w systemie GNU/Linux ifconfig <= konfiguracja interfejsu sieciowego route <= konfiguracja rutingu statycznego netstat <= wyświetlanie otwartych gniazd UDP, połączeń TCP, tablicy rutingu,itp. ping, traceroute <= testowanie drożności tras /etc/hosts <= rozwiazywanie nazw(stat.) /etc/resolv.conf <= rozwiązywanie nazw(dyn.) /etc/hosts.{allow/deny} <= restrykcje dostępu do usług

18 ifconfig przykład wyjścia polecenia eth0 Link encap:ethernet HWaddr 00:0F:B0:75:DD:38 inet addr: Bcast: Mask: inet6 addr: fe80::20f:b0ff:fe75:dd38/64 Scope:Link UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1 RX packets: errors:0 dropped:0 overruns:0 frame:0 TX packets: errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes: (220.5 MB) TX bytes: (224.2 MB)

19 netstat przykład wyjścia polecenia (fragment) Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State tcp : :* LISTEN tcp : :* LISTEN tcp : :* LISTEN tcp : :105 FIN_WAIT2 tcp : :2456 TIME_WAIT tcp : :3414 ESTABLISHED udp : :* udp : :* Proto Ref Cnt Flags Type State I-Node Path unix 16 [ ] DGRAM 983 /dev/log unix 2 [ACC] STREAM LISTENING /var/run/mysqld.sock