Hálózati fenyegetettség

Méret: px

Mutatás kezdődik a ... oldaltól:

Download "Hálózati fenyegetettség"

Piroska Kerekes
8 évvel ezelőtt
Látták:

1 Hálózati biztonság Hálózati fenyegetettség Hálózati infrastruktúrából következ! problémák nyitott architektúra egyszer" protokollok felhasználóbarát megoldások globálisan használt protokollok Emberi tényez!k (hacker) motiváció social engineering 2

2 z okok Nincsenek hibátlan rendszerek z alkalmazott rendszerek bonyolultsága gyorsabban n!, mint ahogy a biztonság-technika fejl!dik Nem megfelel! hozzáállás alkalmazók nincsenek tisztában a veszéllyel hanyagság, képzettség, motiváció 3 Helyi hálózat Hozzáférési hálózat z alkalmazások bonyolultsága datbázis szerver lkalmazás szerver Internet infrastruktúra ISP-k Web szerver T!zfal Hálózati eszközök beállításai routolás, protokollok, spec. prog. nyelvek Különböz" böngész"k HTML, script nyelvek, beállítások Különböz" operációs rendszerek beállítások, t!zfalak, jogosultságok Felhasználói programok Hálózati eszközök beállításai protokollok Hálózati eszközök beállításai routolás, protokollok, szabályok Szerver beállítások eltér" szerverek CGI programok Servletek Script nyelvek Szerver beállítások eltér" szerverek datbázis adminisztráció Szerver beállítások eltér" szerverek Servletek Script nyelvek Szétterített m!ködési logika 4

infrastruktúra ISP-k Web szerver T!zfal Hálózati eszközök beállításai routolás, protokollok, spec. prog.

3 Social engineering technológiák jó része megfelel! Biztonsági megoldások kielégít!ek Teljesen mindegy milyen hosszú kulcsot használunk titkosításra, ha egy keylogger van csatlakoztatva a gépünkre (Bruce Schneier) z emberek alapvet!en jószándékúak Megismerhet!k és kihasználhatók bels! ellenség a legveszélyesebb 5 támadás folyamata Felderítés, nyomkeresés Scannelés Kiértékelés Hozzáférés megszerzése Jogosultságok kiterjesztése Hátsó ajtók nyitása, nyomok elfedése 6

(Bruce Schneier) z emberek alapvet!en jószándékúak Megismerhet!k és kihasználhatók bels!

4 Felderítés Passzív felderítés ktív felderítés Információk IP címek (DNS) szolgáltatások operációs rendszer protokollok 7 Felderítés (pl.) dig -t cisco.com ; <<>> DiG <<>> -t cisco.com ;; global options: printcmd ;; Got answer: ;; ->>HEDER<<- opcode: QUERY, status: NOERROR, id: 3133 ;; flags: qr rd ra; QUERY: 1, NSWER: 9, UTHORITY: 2, DDITIONL: 11 ;; QUESTION SECTION: ; ;; NSWER SECTION: 11 rtp-inbound-a. 12 syd-inbound-a. 10 sj-inbound-a. 10 sj-inbound-b. 10 sj-inbound-c. 10 sj-inbound-d. 10 sj-inbound-e. 10 test-inbound-a. 11 ams-inbound-a. ;; UTHORITY SECTION: NS NS ns1. ns2. ;; DDITIONL SECTION: sj-inbound-a sj-inbound-b sj-inbound-c sj-inbound-d sj-inbound-e test-inbound-a. ams-inbound-a rtp-inbound-a syd-inbound-a ns ns Cisco mail szerverei Elérhet! hosztok 8

NSWER SECTION: 11 rtp-inbound-a. 12 syd-inbound-a. 10 sj-inbound-a. 10 sj-inbound-b. 10 sj-inbound-c. 10 sj-inbound-d. 10 sj-inbound-e. 10 test-inbound-a. 11 ams-inbound-a.

5 Scannelés Portscannelés (nmap) Protokoll üzenet fejlécek (telnet) Vulnerability scanning 9 Scannelés (pl.) 10

6 Kiértékelés Er!forrás és account információk Operációs rendszer függ! állomány megosztások aktív csatlakozás, parancsok kiadása felhasználónevek alkalmazások 11 Hozzáférés megszerzése Támadásmódok utomatikus támadás Célzott támadás Támadási lehet!ségek operációs rendszer támadása alkalmazás támadása konfigurációs hiba kihasználása script, program támadás 12

11 Hozzáférés megszerzése Támadásmódok utomatikus támadás Célzott támadás Támadási lehet!

7 Jogosultságok kiterjesztése Pu#er túlcsordulásos támadások set uid Jelszó bruteforce megszerzése Jelszó lehallgatása Shadow fájl megszerzése Kódolatlan jelszavak keresése Más rendszerek bizalmi viszonyainak kihasználása 13 Bruteforce jelszó törés Szótárak lgoritmikus kódtér bejárás Jelszó generálási heurisztikák Elosztott rendszerek - nagy számítási kapacitás 14

rendszerek bizalmi viszonyainak kihasználása 13 Bruteforce jelszó törés Szótárak

8 Nyomok elfedése Nyomok eltakarítása history fájl registry Rejtekajtók nyitása trójai programok billenty" naplózók log fájl bejegyzések id!zített folyamatok 15 Gyakori támadás típusok Szolgáltatás bénító támadások (DoS) Elosztott szolgáltatás bénítás (DDoS) Technikák SYN-árasztás ICMP-árasztás! Halálos ping Land támadás Teardrop támadás Er!források felemésztése (lemezterület, futó processzek száma) 16

zített folyamatok 15 Gyakori támadás típusok Szolgáltatás bénító támadások (DoS) Elosztott

9 Gyakori támadás típusok (folyt.) Hamis megszemélyesítés, jogosultság szerzés Jelszó megszerzése shoulder surfing keylogger jelszó fájl + bruteforce lehallgatás (sni$ng) Hoszt azonosító hamisítása IP spoofing DNS hamisítás 17 Gyakori támadás típusok (folyt.) Sebezhet!ségek kihasználása Feltérképezés portscan TCP connect scan TCP SYN scan TCP F scan vulnerability scan Kártékony programok Pu#er túlcsordulásos támadás Webes támadások 18

bruteforce lehallgatás (sni$ng) Hoszt azonosító hamisítása IP spoofing DNS hamisítás 17 ) Sebezhet!

10 Gyakori támadás típusok (folyt.) Hálózati eszközök támadása RP mérgezés Forrás routolás Kapcsolat eltérítés Routerek támadása azonosítás default jelszavak osztott média LN lehallgatása 19 Védekezés módok Többréteg" biztonság Hozzáférés ellen!rzés Rendszerek frissítése Szerepkörök és biztonság Felhasználói tudatosság Fenyegetettség monitorozás 20

támadása azonosítás default jelszavak osztott média LN lehallgatása 19 Védekezés módok

11 Csomagsz!rés Hozzáférés vezérl! lista Forrás, cél IP cím, Portszám Megenged! és tiltó szabályok Internet T"zfal Bels! hálózat Problémák magasabb szint" támadás ellen nem véd 21 Állapotteljes csomagsz!rés Forrás és cél IP cím, Portszám TCP kapcsolat-modell Fejléc info (flagek, szekvenciaszámok) vizsgálata Problémák csak TCP kapcsolatnak van állapota alkalmazás szint" támadás ellen nem véd 22

hálózat Problémák magasabb szint" támadás ellen nem véd 21 Állapotteljes csomagsz!

12 Proxy t!zfalak Beépül a kapcsolatba lkalmazási réteg Tartalomsz"rés Problémák teljesítmény csökkenés protokol kompatibilitás 23 T!zfal zónák T"zfal Bels! hálózat Internet DMZ 24

13 Biztonsági protokollok Layer 2 Tunneling Protocol VPN-ek IPSec fölött IPSec SSH TLS https, SSL 25 IPSec Hálózati szint" logikai csatorna a két végpont között Security ssociation (S) Kriptográfiai védelem az IP fejlécnek Szolgáltatások uthentication Header (H) Encapsulated Security Protocol (ESP) Kulcs és biztonsági paraméter csere megoldások Internet Key Exchange 26

Kriptográfiai védelem az IP fejlécnek Szolgáltatások uthentication Header (H) Encapsulated

14 SSH protokoll Nyílvános kulcsú autentikációra épített távoli bejelentkezési protokoll SSH Transport Layer Protocol egyoldalról autentikált biztonságos csatorna C-val SSH User uthentication Protocol SSH Connection Protocol lokális adatbázissal (.ssh/known_hosts) pl. jelszó alapú autentikáció (.ssh/identity) titkosított kommunikációs csatorna (tunnel) 27 SSL és TLS Netscape -> webes biztonságos tranzakciók IETF -> szállítási réteg biztonsági megoldás TLS Record protocol kommunikáció biztonságos becsomagolása (session, szimmentrikus k.) TLS Handshake protocol autentikáció, kripto egyeztetés 28

15 SSL pplication (e.g., HTTP) Különöz! kripto algoritmusok Tanusító szervezetek Szolgáltatások tömörítés integritás védelem autentikáció titkosítás Secure transport layer TCP IP Subnet 29 openssl openssl toolkit commandline tool Creation and management of private keys, public keys and parameters Public key cryptographic operations Creation of X.509 certificates, CSRs and CRLs Calculation of Message Digests Encryption and Decryption with Ciphers SSL/TLS Client and Server Tests Handling of S/MIME signed or encrypted mail Time Stamp requests, generation and verification 30

Subnet 29 openssl openssl toolkit commandline tool Creation and management of private keys, public keys and parameters Public key cryptographic

16 Kulcs menedzsment public-key=f(private-key) nyílvános kulcs ~ adott fél identitása Directory alapú autentikáció tanúsító szervezetek (C) kulcs kibocsátás/visszavonás hierarchikus információ fa kulcs csatorna X Kulcs menedzsment (folyt.) Kulcs kibocsátó Szervezeti adatok nyilvános kulcsok Kulcs felhasználó hash képzés aláírt hash érték hash érték ellen!rzés Szervezeti adatok nyilvános kulcsok hash képzés Digit. aláírás tanusító nyilvános kulcsa hash érték Tanusító tanusító privát kulcsa 32

) Kulcs kibocsátó Szervezeti adatok nyilvános kulcsok Kulcs felhasználó hash képzés aláírt hash érték hash érték ellen!

Hasonló dokumentumok

Hálózati biztonság. Hálózati biztonság. 2 Ajánlott irodalom

Hálózati biztonság. Hálózati biztonság. 2 Ajánlott irodalom 2 Ajánlott irodalom Tom Thomas:, Panem, 2005 Kevin Mitnick: A Legendás hacker - A behatolás m!vészete, Perfact-Pro, 2006 Kevin Mitnick: A Legendás hacker - A megtévesztés m!vészete, Perfact-Pro, 2003 Je"