Elosztott rendszerek

Méret: px

Mutatás kezdődik a ... oldaltól:

Download "Elosztott rendszerek"

Alexandra Sipos
7 évvel ezelőtt
Látták:

1 Elosztott rendszerek NGM_IN005_1 Biztonsági kérdések Alapfogalmak Biztonsági támadás adatok biztonságát fenyegeti Biztonsági mechanizmus támadások detektálására, megel!zésére, a károk elhárítására szolgáló megoldás Biztonsági szolgáltatás egy rendszer biztonságát fokozó szolgáltatás, több biztonsági mechanizmusra építve 2

2 Biztonsági támadások Normál információ áramlás Megszakítás Lehallgatás Módosítás Hamisítás 3 Biztonsági célok Titkosság csak a felhatalmazottak férjenek az információhoz Integritás jogosulatlan módosítás megakadályozása Rendelkezésre állás er!források hozzáférhet!ségének biztosítása Nem engedélyezett felhasználás megakadályozása 4

3 Biztonsági szolgáltatások Titkosság, bizalmasság biztosítása Autentikáció biztosítása Integritás biztosítása Letagadhatatlanság biztosítása Hozzáférés szabályozás Rendelkezésre állás biztosítása 5 Védelmi módszerek Titkosítás Szoftveres hozzáférés-szabályozás Hardveres hozzáférés-szabályozás Biztonság politika Fizikai hozzáférés-szabályozás 6

4 Hálózati fenyegetettség Hálózati infrastruktúrából következ! problémák nyitott architektúra egyszer" protokollok felhasználóbarát megoldások globálisan használt protokollok Emberi tényez!k (hacker) motiváció social engineering 7 Biztonságos kommunikáció Célok titkosság autentikáció üzenet sértetlenség 8

5 Kriptográfia szimmetrikus kulcsú küld! és fogadó kulcsa megegyezik aszimmetrikus, nyilvános kulcsú két kulcs, az egyik nyilvános a másik titkos 9 Szimmetrikus titkosítás Szubsztitúciós titkosítás monoalfabetikus, polialfabetikus kód eltolás támadási módszerek csak titkos szöveg áll rendelkezésre ismert nyílt és titkosított szöveg tetsz!leges nyílt szöveg 10

6 Szimmetrikus titkosítás (folyt.) Transzpozíciós titkosítás üzenet karaktersorrendjének megváltoztatása pl. oszlopos átírás 11 A Feistel architektúra Üzenet blokkok Kulcs (adott mérettel) Számítási menetek (rögzített szám) alkulcsok gyorsan elvégezhet! m"veletek permutációk helyettesítés Blokk M!velet M!velet... M!velet Titkosított blokk Kulcs 12

7 A DES Blokk méret 64 bit Kulcs 56(+8) bit Kever! m"veletek (Permutation) Cserél! m"veletek (Substitution) 16 menet Round 1 Round 2 Round 16 Kezdeti permutáció 56-bit kulcs Vég permutáció 13 A DES (folyt.) A DES egy lépése 14

8 A DES (folyt.) Blokk láncolás Block 1 Block 2 Block 3 Block 4 IV DES DES DES DES Cipher 1 Cipher 2 Cipher 3 Cipher 4 15 A DES (folyt.) Próbálkozások kriptanalítikus támadással nagyszámú nyílt szöveggel kisebb elméleti komplexitás, mint nyerser!vel (nem realisztikus) Bruteforce speciális hardver elosztott rendszerek néhány nap alatt feltörhet! 16

9 A 3DES Nyílt szöveg DES titkosítás Kulcs 1 DES visszafejtés Kulcs 2 DES titkosítás Kulcs 3 Titkos szöveg 17 Az RC5 algoritmus Paraméterezhet! blokkméret kulcsméret menetek száma Gyorsan végezhet! m"veletek rot (adatfügg!), xor, mod Kulcs expanzió hash függvénnyel 18

10 A nyilvános kulcsú infrastruktúra Kulcselosztás Megbízhatóság - Tanúsítás Alkalmazások titkosítás digitális aláírás szimmetrikus alg. kulcs-cseréje 19 Nyilvános kulcsú algoritmusok RSA - Ron Rivest, Adi Shamir, Len Adleman (MIT 1977) az RSA blokk titkosítás széleskörben használt és implementált Diffie-Hellman titkos kulcs cseréjére 20

11 Az RSA algoritmus choose two large prime numbers p and q multiply p and q together to get n chose the encryption key e, such that e and (p-1) x (q-1) are relatively prime. compute decryption key d such that d = e -1 mod((p-1) x (q-1)) construct public key as <e, n> construct private key as <d, n> discard (do not disclose) original primes p and q c = m e mod n m = c d mod n 21 Az RSA algoritmus (folyt.) Nagy prímszámok választása Rabin-Miller teszt összetett vagy valószín"leg prím konkrét implemetációkban a teszt pontossága szabályozható (futási id!) Moduló inverz meghatározása Euklidészi algoritmus Java java.math BigInteger isprobableprime(p) modpow(n,m) 22

12 Diffie-Hellman algoritmus kulcs megegyezési protokoll p is prime, g<p is integer Alice generates random private a Bob generates random private b public: g a mod p, g b mod p session key generation: g ab =(g b ) a mod p g ba =(g a ) b mod p k=g ab =g ba 23 Kulcs menedzsment Kulcs kibocsátó Kulcs felhasználó Nyilvános kulcsok megbízható szétosztása Megbízható tanusító szervezetek Szervezeti adatok nyilvános kulcsok aláírt hash érték Szervezeti adatok nyilvános kulcsok hash képzés Digit. aláírás tanusító nyilvános kulcsa hash képzés hash érték ellen!rzés hash érték Tanusító tanusító privát kulcsa 24

13 Üzenet lenyomat Biztonsági ellen!rz! szám Hash fv. tetsz. hosszúságú szövegre fix hosszúságú kimenet H(x) könnyen kiszámolható adott h=h(x)-hez nem lehet x-et kiszámolni x-hez nem lehet különböz! y-t meghatározni, hogy H(x)=H(y) 25 MD5 üzenet lenyomat Kezdeti lenyomat (konstans) Üzenet (feltöltve) 512 bit 512 bit 512 bit Transzf. Transzf. Transzf. Üzenet lenyomat 26

14 Biztonságos üzenettovábbítás Technikák CBC maradék Digitális aláírás Kulcsos üzenet kivonat Üzenetkivonat aláírva PGP nincs tanusítási rendszer változó megbízhatóság különböz! kripto algoritmusok ---BEGIN PGP SIGNED MESSAGE--- Hash: SHA1 Bob:My husband is out of town tonight.passionately yours, Alice ---BEGIN PGP SIGNATURE--- Version: PGP 5.0 Charset: noconv yhhjrhhgjghgg/12epj+lo8ge4vb3mq JhFEvZP9t6n7G6m5Gw2 ---END PGP SIGNATURE--- PGP levél 27 Biztonságos üzenettovábbítás (folyt.) digitális aláírás RSA-val egész üzenet aláírása (titkosítása) privát kulccsal lassú kulcsos MD5 m+md5(m+k) (k közös kulcs) m+md5(m+k)+e(k,private) nyílvánoskulcsú megoldás MD5 aláírással m+e(md5(m),private) 28

15 SSL/TLS Különöz! kripto algoritmusok Tanusító szervezetek Szolgáltatások tömörítés integritás védelem autentikáció titkosítás Application (e.g., HTTP) Secure transport layer TCP IP Subnet 29 IPSec Hálózati szint" logikai csatorna a két végpont között Security Association Szolgáltatások Encapsulated Security Protocol Authentication Header Kulcs és biztonsági paramétercsere megoldások Internet Key Exchange Internet Security Association and Key management Protocol 30

16 Támadási folyamatok Felderítés, nyomkeresés Scannelés Kiértékelés Hozzáférés megszerzése Jogosultságok kiterjesztése Hátsó ajtók nyitása, nyomok elfedése 31 Jogosultságok kiterjesztése Puffer túlcsordulásos támadások set uid Jelszó bruteforce megszerzése Jelszó lehallgatása Shadow fájl megszerzése Kódolatlan jelszavak keresése Más rendszerek bizalmi viszonyainak kihasználása 32

17 Jelszavas autentikálás Jelszavak titkosságának meg!rzése gyakori változtatás nehezen kitalálható, megtippelhet! jelszavak érvénytelen kisérletek naplózása Jelszavak kitudódása begépelés megfigyelése Jelszó bruteforce megszerzése (szankcionálatlan kísérletezés) Jelszó lehallgatása Shadow fájl megszerzése Kódolatlan jelszavak keresése 33 Jelszavak tárolása Kódolás és sózás Tárolás Jelszó fájl Ellen!rzés Felh. név Jelszó Hash fv. Felh. név Kódolt jelszó random érték Hash fv. Felh. név Jelszó Random érték Összehasonlítás OK? 34

18 Gyakori támadás típusok Szolgáltatás bénító támadások (DoS) Elosztott szolgáltatás bénítás (DDoS) Technikák SYN-árasztás ICMP-árasztás! Halálos ping Land támadás Teardrop támadás Er!források felemésztése (lemezterület, futó processzek száma) 35 Gyakori támadás típusok (folyt.) Hamis megszemélyesítés, jogosultság szerzés Jelszó megszerzése shoulder surfing keylogger jelszó fájl + bruteforce lehallgatás (sniffing) Hoszt azonosító hamisítása IP spoofing DNS hamisítás 36

19 Gyakori támadás típusok (folyt.) Sebezhet!ségek kihasználása Feltérképezés portscan TCP connect scan TCP SYN scan TCP FIN scan vulnerability scan Kártékony programok Puffer túlcsordulásos támadás Webes támadások 37 Gyakori támadás típusok (folyt.) Puffer túlcsordulásos támadás hibás input ellen!rzés verem túlcsordulás támadókód futtatása shellkód setuid bit 38

20 Gyakori támadás típusok Hálózati eszközök támadása osztott média LAN lehallgatása ARP mérgezés Forrás routolás Kapcsolat eltérítés Routerek támadása azonosítás default jelszavak 39 Védekezés módok Többréteg" biztonság Hozzáférés ellen!rzés Szerepkörök és biztonság Felhasználói tudatosság Fenyegetettség monitorozás Rendszerek frissítése 40

21 Csomagsz"rés Hozzáférés vezérl! lista Forrás, cél IP cím, Portszám Megenged! és tiltó szabályok Internet T"zfal Bels! hálózat Problémák magasabb szint" támadás ellen nem véd 41 Állapotteljes csomagsz"rés Forrás és cél IP cím, Portszám TCP kapcsolat-modell Fejléc info (flagek, szekvenciaszámok) vizsgálata Problémák csak TCP kapcsolatnak van állapota alkalmazás szint" támadás ellen nem véd 42

22 Proxy t"zfalak Beépül a kapcsolatba Alkalmazási réteg Tartalomsz"rés Problémák teljesítmény csökkenés protokol kompatibilitás 43 T"zfal zónák T"zfal Internet Bels! hálózat DMZ 44

23 Behatolás érzékelés (IDS-ek) Behatolás a biztonsági politika rosszindulatú megsértése Behatolás érzékelés behatolással kapcsolatos események automatizált érzékelése és riasztás 45 Behatolás érzékelés (IDS-ek) Mintázat alapú detektálás Statisztikai anomália detektálás Küszöb alapú Profil alapú Mézes bödönök 46

24 Behatolás érzékelés (IDS-ek) Mintázat alapú detektálás korábban azonosított, ismert támadás minták kevés téves riasztás újfajta támadások érzékelése problémás 47 Behatolás érzékelés (IDS-ek) Anomália detektálás Statisztikai osztályozás normál m"ködés behatolás ~ nem szokványos m"ködés Sok téves riasztás Új fajta támadások érzékelése 48

Hasonló dokumentumok

Hálózati biztonság. Hálózati biztonság. 2 Ajánlott irodalom

Hálózati biztonság. Hálózati biztonság. 2 Ajánlott irodalom 2 Ajánlott irodalom Tom Thomas:, Panem, 2005 Kevin Mitnick: A Legendás hacker - A behatolás m!vészete, Perfact-Pro, 2006 Kevin Mitnick: A Legendás hacker - A megtévesztés m!vészete, Perfact-Pro, 2003 Je"