Bevezetés. A protokollok összehasonlítása. Célpontválasztás



Hasonló dokumentumok
Az adott eszköz IP címét viszont az adott hálózat üzemeltetői határozzákmeg.

Irányítószámok a közigazgatás szürke zónájában

tanúsítja, hogy a Kopint-Datorg Részvénytársaság által kifejlesztett és forgalmazott MultiSigno Standard aláíró alkalmazás komponens 1.

2014 UNIVERSITAS SCIENTIARUM SZEGEDIENSIS UNIVERSITY OF SZEGED

Elektronikus dokumentumtárolási (EDT) szolgáltatás

Symantec Firewall/VPN Appliance

A gyógyszerpiac szabályozásának versenypolitikai kérdései

Tűzfalak működése és összehasonlításuk

Hálózat Dynamic Host Configuration Protocol

Gyermekjóléti alapellátások és szociális szolgáltatások. - helyzetértékelés március

A tömörítési eljárás megkezdéséhez jelöljük ki a tömöríteni kívánt fájlokat vagy mappát.

Akadozó államosítás Ki viszi el a balhét?

Suri Éva Kézikönyv Kézikönyv. egy ütős értékesítési csapat mindennapjaihoz. Minden jog fenntartva 2012.

Bártfai Barnabás HÁLÓZATÉPÍTÉS OTTHONRA ÉS KISIRODÁBA

ERserver. iseries. Szolgáltatási minőség

Tűzfal megoldások. ComNETWORX nap, I. 30. ComNETWORX Rt.

LEVÉLÍRÓ MARATON 2014 DÉL-AFRIKAI KÖZTÁRSASÁG: A TERHESSÉG NE LEGYEN HALÁLOS ÍTÉLET!

8. Hálózatbiztonsági alapok. CCNA Discovery 1 8. fejezet Hálózatbiztonsági alapok

Számítógépes Hálózatok 2011

Felhasználói kézikönyv Biztonsági útmutató adminisztrátorok számára

Nyilvános WiFi szolgáltatások biztonságos használata Szerző: Gáspár Norbert Konzulens: Dr. Fehér Gábor 2012

AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREI. Hungarian Cyber Security Package

Reisinger Adrienn: Oktatás és egészségügy. 1. Bevezetés Problémafelvetés

Többrétegű műszaki nyilvántartás. NETinv

ELŐTERJESZTÉS. Dévaványa Város Önkormányzat Képviselő-testületének december 11-én tartandó ülésére

2016 UNIVERSITAS SCIENTIARUM SZEGEDIENSIS UNIVERSITY OF SZEGED

A Veres Péter Gimnázium Pedagógiai programja

IPv6 Biztonság: Ipv6 tűzfalak tesztelése és vizsgálata

Fábián Zoltán Hálózatok elmélet

KÖZB ESZERZÉSEK TANÁCSA. A Közbeszerzési Döntőbizottság (a továbbiakban: Döntőbizottság) a Közbeszerzések Tanácsa nevében meghozta az alábbi

VESZPRÉMI RENDŐRKAPITÁNYSÁG

IBM i. Hálózatkezelés DHCP 7.1

Kvantumkriptográfia III.

PREAMBULUM I. ÁLTALÁNOS RENDELKEZÉSEK AZ UTASÍTÁS ALAPELVEI

A korszerű közlekedési árképzési rendszerek hazai bevezetési feltételeinek elemzése

Az EU Strukturális Alapjai által finanszírozott programok értékelésének módszertana. MEANS füzetek 1999.

Bevezető. Az informatikai biztonság alapjai II.

8. A WAN teszthálózatának elkészítése

KÖZPONTI ÉRKEZTETÉSI ÜGYNÖK SZOLGÁLTATÁS

IV. Évfolyam 2. szám június. László Zsuzsanna Budapesti Műszaki Főiskola laszlozsuzsu@gmail.com REJTJELBIZTONSÁG.

5. Hálózati címzés. CCNA Discovery 1 5. fejezet Hálózati címzés

Mit tennék a vizek védelmében

Dualitás Dualitási tételek Általános LP feladat Komplementáris lazaság 2015/ Szegedi Tudományegyetem Informatikai Tanszékcsoport

Gyakorló feladatok a 2. ZH témakörének egyes részeihez. Számítógép-hálózatok. Dr. Lencse Gábor

AZ EURÓPAI KÖZÖSSÉGEK BIZOTTSÁGA

Az internet veszélyei - fogalomtár

18 +1 érv, amiért ajánljuk! O N L I N E MUNKAERŐ-MENEDZSMENT RENDSZER. Az emberi erőforrás értéke. A munka értéke. Az idő értéke. Mérhető.

564/2011. (13) NGM rendelet

hálózatát? Hatékony betegellátás az Ascom megoldásaival május

Ritzelés körkéses ritzelőgépeken

1. sz. füzet

Cégünk az alábbi területen kínál ügyfelei részére világszínvonalú megoldásokat.

DSI működésre. tervezve. Hogyan fog kinézni a jövő informatikai infrastruktúrája? Egész szoftverrendszerek egy

Látható tehát, hogy a forgalmi díjon ebben az esetben jelentős megtakarítás érhető el.


Egyszerűsített HACCP elveken alapuló élelmiszerbiztonsági rendszer kialakítása kiskereskedelmi egységekben

15. BESZÉD ÉS GONDOLKODÁS

Európai energiaipari célok, trendek és ezek technológiai, innovációs kihatásai

Nettó havidíj 2 éves határozott időtartamú szerződéssel (D, DN, F, K csomagok esetén) Compleo Connect csomagok alapelemei *

A Budapest Főváros Kormányhivatala Fogyasztóvédelmi Felügyelőségének tanácsai a karácsonyi vásárlásokhoz

ÁLTALÁNOS SZERZŐDÉSI FELTÉTELEK AZ INTERNET SZOLGÁLTATÁSRA


Infokommunikációs alkalmazásfejlesztő. Informatikai alkalmazásfejlesztő


Miniszterelnöki Hivatal Iktatószám: XIX- 174 / 9 /2007. Elektronikuskormányzat-központ. Előterjesztés. a Kormány részére

Internet Szolgáltatás Általános Szerződési Feltételei

J-N-SZ MEGYEI HÁMORI ANDRÁS SZAKKÖZÉPISKOLA ÉS SZAKISKOLA

BUDAPESTI KOMMUNIKÁCIÓS ÉS ÜZLETI FŐISKOLA ÚJSÁGÍRÓI KÉSZSÉGFEJLESZTÉS TRÉNING. Hallgatói elméleti anyag tavasz

Jegyzőkönyv lakossági fórumról

Nemesfémek visszanyerése katalizátorokból. 1. rész Alapelvek

Számítógép-hálózatok. Gyakorló feladatok a 2. ZH témakörének egyes részeihez

Kompetencia és performancia /Egy útkeresés tapasztalatai/

xxx József úr Miskolc, augusztus 23. rendőr ezredes, rendőrségi főtanácsos főosztályvezető részére

A minõségbiztosítás konfliktusai az iskolavezetésben

Honlapkoncepció. Miskolc város hivatalos honlapjához

Hálózatkezelés Szolgáltatási minőség (QoS)

Használt autóra is van egy év szavatosság!

EURÓPAI FÜZETEK 54. TÁRGYALÁSOK LEZÁRT FEJEZETEIBÔL. Beszteri Sára Az Európai Unió vámrendszere. Vámunió

Vásárlási feltételek

Fábián Zoltán Hálózatok elmélet

Használati útmutató / / Educatio Kht. Közoktatási Információs Iroda 9001 Győr Pf. 1646

Vásárlási feltételek (Általános Szerződési és Felhasználási Feltételek)

A csatlakozási szerződés 1. sz. melléklete

Átiktatva : J/S0. W9450: számú. Jelentés. az árak megállapításáról szóló évi LXXXVII. tőrvény módosításának vizsgálatáról

WiMAX rendszer alkalmazhatósági területének vizsgálata tesztelés elméletben és gyakorlatban

Internet of Things 2

Mesterséges intelligencia, 7. előadás október 13. Készítette: Masa Tibor (KPM V.)

Felvételi vizsga Mesterképzés, gazdaságinformatikus szak BME Villamosmérnöki és Informatikai Kar június 2.

TÖRPE GONDOLATOK TÖRPE JÖVŐ*

A szabadság motívuma

ÖKO Zrt. vezette Konzorcium

Devecser város integrált településfejlesztési stratégiája

Az Ethernet példája. Számítógépes Hálózatok Az Ethernet fizikai rétege. Ethernet Vezetékek

A foglalkozás-egészségügyi ellátás mindennapi nehézségei és problémái

ÁLTALÁNOS SZERZŐDÉSI FELTÉTELEK INTERNETSZOLGÁLTATÁSRA. Szolgáltató: Station Net Kereskedelmi És Szolgáltató Kft.

Közép-dunántúli régió területi államigazgatási szervei novemberi informatikai felmérésének összesítése, értékelése

AutoCAD Architecture 2008 A magyar építész AutoCAD újdonságai

Bódis Lajos Privatizáció, munkaszervezet és bérelosztási mechanizmusok egy nagyüzemi varrodában, II. rész

Vezetékes és mobil távközlési szolgáltatás

14.) Napirend: A Családsegít és Gyermekjóléti Szolgálat m ködtetésére kiírt közbeszerzési pályázat eredményhirdetése

Átírás:

Bevezetés Gyakran felmerül a kérdés, vajon az IPv6 protokoll hoz-e újat az informatikai biztonság területén. Korábban erre a kérdésre szinte azonnali igen volt a válasz: az IPv6 sokkal biztonságosabb, hiszen kötelező része az IPSec, amely megoldja a titkosítási és hitelesítési kérdéseket. Mára azonban kiderült, hogy a kép sokkal árnyaltabb, és egyáltalán nem olyan egyszerű az IPv4 és az IPv6 összehasonlítása a biztonság területén. A protokollok összehasonlítása Nyilvánvaló, hogy biztonsági szempontból csak teljes rendszereket lehet összehasonlítani, azonban feltételezve, hogy egy rendszerben csak egy komponenst jelen esetben a hálózati protokollt cserélünk ki, megállapíthatunk bizonyos változást az egész rendszer biztonságára vonatkozóan. A következőkben egyrészt megvizsgáljuk az IPv6 címzési rendszere által hozott változásokat a biztonság területén, másrészt pedig az IPv6 újdonságait tekintjük át. Célpontválasztás A hatalmasra nőtt címtartomány felvet néhány érdekes kérdést. Az IPv4 hálózatok támadásának rendszerint az első lépése a felderítés, amely során gyakran alkalmazott módszer a hálózat letapogatása, a szkennelés, azaz az IP címek végigpróbálgatása. Hasonló módon működnek automatizált támadások, és vírusok is. Természetesen felmerül, hogy a szegmensenként 64 bites vagy még nagyobb címtartomány lehetetlenné teszi az ilyen fajta támadást. Ez igaz is, meg nem is. Valóban, IPv6-nál a címek sorban történő végigpróbálgatása nem nagyon vezet célra. Megfelelően szervezett letapogatás azonban célra vezethet. Ha a címeket DHCP-vel osztják a hálózatban, akkor megvan az esélye annak, hogy az adminisztrátorok a címeket nem egyenletes eloszlásban allokálják, hanem csoportokban. Így elegendő egy címet megszerezni (pl. forgalom figyeléssel) és utána annak környezetét letapogatni. Állapotmentes autokonfiguráció esetében pedig ki lehet használni azt a tényt, hogy a cím interfész azonosító része (EUI-64 formátumban) az Ethernet címből származik. Az Ethernet cím pedig többek között tartalmazza a gyártó számára kiosztott azonosítót. Ha pedig feltételezzük, hogy egy nagy hálózatban több, azonos gyártótól származó Ethernet kártya van, akkor máris le lehet szűkíteni a vizsgálandó

tartományt. A hálózat lehallgatásával megfigyelhető a használt azonosító, vagy egyszerűen próbákat tehetünk népszerű típusokkal. Ebből látható, hogy bizonyos mértékben a címtartományra építés security by obscurity, de részben igaz az, hogy, jóval nagyobb intelligenciára van szükség a hatékony szkenneléshez, így a férgek és vírusok dolgát vélhetően megnehezítheti. Hasonló kérdést vet fel a NAT hiánya. IPv4-nél gyakran a NAT előnyének tartják, hogy elrejti a belső hálózatot. Az IPv6-ban viszont nincs NAT. Az egész szerencsére álprobléma, mert a NAT által megvalósított elrejtés megvalósítható megfelelő tűzfal szabályok alkalmazásával. Az nem is vitatható, hogy tűzfalakra viszont továbbra is szükség van. Igaz, jelenleg a nagy tűzfalgyártóknak csak kísérleti tűzfal megvalósításai vannak. IPSec Az már említettek alapján, a közhiedelemmel ellentétben az IPSec nem csodaszer, és egyelőre nem is látszik, hogy a közeljövőben alkalmaznák mindarra, amire annak idején elképzelték. Az IPSec képes arra, hogy hitelesítse és titkosítsa a csomagokat, ráadásul az IPv6 tervezése során kínosan ügyeltek arra, hogy minden IP szinten történjen (IPv4 esetén ez nincs így, az ARP vagy a DHCP pl. félig Ethernet szinten működik). Ebből következik, hogy elvileg az IPv6 minden funkciója védhető IPSeckel. Gyakorlatilag viszont vannak problémák. Az IPSec szinte minden nem VPN jellegű felhasználásánál, főleg a tetszőleges végpontok közti kapcsolatra nem igazán van kidolgozva a megfelelően skálázható kulcsmenedzsment mechanizmus. Márpedig követelmény, hogy lehetőség szerint könnyen kezelhető és automatikusan működő legyen minden funkció. Így kijelenthető, hogy a protokoll általános működésében az IPSec nem hoz javulást. Autokonfiguráció Az IPv6 egyik leglátványosabb része az autokonfiguráció. Mivel ez (illetve tágabb értelemben az egész szomszédfelmérési protokoll) meglehetősen összetett, ezért vannak helyek, ahol biztonsági problémák jelentkezhetnek. Az autokonfiguráció során több olyan pont van, ahol különböző hamis információkkal támadást lehet intézni a rendszer ellen. Néhány ilyen jellegzetes pont:

Hamis konfigurációs információkkal (érvénytelen prefix, stb.) csomópontok kommunikációképtelenné tehetőek. Hamis útválasztó hirdetésekkel egy teljes szegmens forgalma elterelhető, ez akár túlterheléses támadásra, akár közbeékelődéses támadásra felhasználható. A szomszédfelhívási kérésekre (elérhetőség és duplikált címek) adott hamis válaszokkal csomópontok elérhetetlenné tehetőek. Természetesen ez mind kiküszöbölhető lenne IPSec AH hitelesítéssel, de ez az említett okok miatt körülményes. Kétséget kizárólag az autokonfigurációs támadások lehetségesek, bár használhatóságuk korlátozott, mert a támadónak jelen kell lennie a kérdéses szegmensen, és megfelelő időzítéssel és értékekkel kell a támadást végrehajtani. A külső támadások ellen van pár egyszerű védekezés, például a szomszédfelmérési protokoll csomagjainak TTL mezeje a maximum érték, 255 kell, hogy legyen, így ellenőrizhető, hogy nem jött át útválasztón a csomag. Bizonyos robosztusságot ad a duplikált címek ellenőrzése, így az IPv4-nél gyakori hibát, amely során két azonos IP cím komoly problémákat okozhat, ez kiküszöböli. Ugyanakkor azt is ki lehet jelenteni, hogy az autokonfiguráció átgondoltságával és robosztusságával mindenféle egyéb kiegészítés nélkül is megbízhatóbb és biztonságosabb, mint az IPv4. Áttérési módszerek Biztonsági szempontból az áttérési módszerek kritikusak. Egyrészt a módszerek komplexek, tehát hibákat rejthetnek, másrészt pedig ideiglenesnek tekintik őket, tehát az alkalmazók hajlamosak félvállról venni a precíz megvalósítást. A legtöbb áttérési módszerrel felmerül a nehéz ellenőrizhetőség. Lássunk egy egyszerű példát: tunellinget használva összekötünk két IPv6 hálózatot, úgy hogy köztük a forgalom IPv4 felett megy. Az egyik hálózatból kijövő IPv6 csomagokat berakjuk IPv4 csomagok adatrészébe (encapsulaton), majd a másik hálózatban a beérkező csomagokat kibontjuk, kivesszük az IPv6 csomagot (decapsulation). Tegyük fel, hogy védeni szeretnénk a hálózatunkat az ellen, hogy kívülről olyan hamisított csomagok jussanak be, amelyek forráscíme a belső hálózatba tartozik. Ez a address spoofing tipikus támadási forma, azokat a szolgáltatásokat támadja,

amelyek megbíznak a saját hálózatukból származó csomagokban. Megelőzésük egyszerű, a hálózat szélén olyan tűzfal-szabályt kell használni, amely nem enged be kívülről olyan csomagot, amely forráscíme belső. Igen ám, de tunellezés esetén a tűzfal csak az IPv4 csomagot tudja ellenőrizni, hiszen számára a benne foglalt IPv6 csomag csak egyszerű adat. A támadó megteheti, hogy olyan IPv4 csomagot hamisít, amelyben nincs semmi gyanús, ugyanakkor a benne lévő IPv6 csomag viszont valóban hamis címet tartalmaz. A tunellt így felhasználhatjuk arra, hogy megkerülje a tűzfal által nyújtott ellenőrzési lehetőségeket. Természetesen a megoldás egyszerű, a kicsomagolás után az IPv6 csomagokat is ellenőrzés alá kell vetni, de a tapasztalat azt mutatja, hogy ez ritkán történik meg. Hasonló módon a tunellezés használható titkos kapcsolatok kialakítására, a tűzfal megkerülésével, mint ahogy erre ár volt párszor példa. A különböző transzlációs megoldások is hasonló problémákat rejtenek, ha az üzemeltető nem gondoskodik a megfelelő biztonsági beállításokról és szűrőkről. Bizonyos módszerek (főleg a Teredo) pedig eleve arra épít, hogy megfelelő UDP csomagokkal lyukat üt a NAT-on és a tűzfalon, hogy így oldja meg az IPv6 kapcsolatot egy belső hálózatba. Érezhető, hogy itt különös gondot kell fordítani a biztonsági beállításokra. Teljesítmény növelés A teljesítmény növelés irányába tett lépéseknek is van kihatása a biztonságra. Elsősorban a fejlécek kezelése érdekes, abból a szempontból, hogy a jelenlegi előírások szerint bizonyos fejléceket csak a végpontok, a többit pedig a közbeeső csomópontok is vizsgálhatnak. Sajnos a tűzfalak nem esnek bele egyikbe sem, tehát ha valóban hatékonyan akarjuk egy tűzfalban vizsgálni a forgalmat, jelenleg meg kell szegni a vonatkozó RFC-ket! Persze ez nem okoz nagy gondot, és várható, hogy születik rá megoldás, de mindenképpen rávilágít arra a tényre, hogy az új feljécláncolási megoldás még tartogathat meglepetéseket. Mobilitás Az IP szintű mobilitás meglehetősen összetett mechanizmus, és bár felhasználhatósága talán nem létfontosságú. Mikor van arra szükség, hogy egy idegen hálózatban, saját IP címét megtartva működjön egy eszköz? Rendszerint teljesen megfelelő, ha kap valami IP címet, az pedig könnyen megoldható. Ettől függetlenül az

IPv6 mobilitás egy elegáns mechanizmussal biztosítja a feladat elvégzését. Érdekes, hogy bár régóta tudnak róla, hogy rengeteg biztonsági kérdés van körülötte, csak nemrég jelent meg az RFC3775, amely ezzel behatóan foglalkozik. A legtöbb kérdés egyébként nem IPv6 specifikus, inkább általános jellegű, mint például az idegen hálózatban történő authentikálás, vagy a hitelesített kapcsolat a honi-ágens és a mobil hoszt között. IPv6 szempontjából a mobilitásal kapcsolatos opciós fejlécek az érdekesek, amelyek a mobil eszköz valós IP címét adja meg a vele kommunikáló feleknek. Ez ugyanis felvet mindenféle kételyeket a forgalom eltérítésével kapcsolatban, ha valaki ilyen fejléceket hamisít. A jövő Az IPv6 biztonsági kérdéseiről ma inkább találgatni lehet, mint biztosat mondani, de annyi kijelenthető, hogy az új protokoll elvileg rendelkezik azokkal a tulajdonságokkal, amelyek lehetővé teszik egy biztonságosabb rendszer megvalósítását. Ugyanakkor várható, hogy a bevezetés körüli bizonytalanság, kiforratlan rendszerek az első időben több gondot fognak okozni, mint amennyi IPv4- nél volt. Várható azonban az is, hogy hosszabb távon ez az arány megfordul, és az IPv6 biztonságosabb lesz, mint a régi protokoll. Biztonsági problémák IPv4 IPv6 Idő, az IPv6 bevezetésétől

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés