2 Ajánlott irodalom Tom Thomas:, Panem, 2005 Kevin Mitnick: A Legendás hacker - A behatolás m!vészete, Perfact-Pro, 2006 Kevin Mitnick: A Legendás hacker - A megtévesztés m!vészete, Perfact-Pro, 2003 Je" Crume: Az internetes biztonság belülr#l - amit a hackerek titkolnak, Szak Kiadó, 2003 Paul Craig, Joe Grand, Tim Mullen, Ryan Russell, Jay Beale: A Háló kalózai - hogyan lopjunk kontinenst, Kiskapu, 2005
3 Alapfogalmak Biztonsági támadás adatok biztonságát fenyegeti Biztonsági mechanizmus támadások detektálására, megel#zésére, a károk elhárítására szolgáló megoldás Biztonsági szolgáltatás egy rendszer biztonságát fokozó szolgáltatás, több biztonsági mechanizmusra építve 4 Biztonsági támadások Normál információ áramlás Megszakítás Lehallgatás Módosítás Hamisítás
5 Megbízható harmadik fél Els!dleges kommunikáló fél Els!dleges kommunikáló fél Üzenet Üzenet Információs csatorna Biztonsági információk Biztonsági információk Biztonsági transzformáció Biztonsági transzformáció Ellenség 6 Biztonsági célok Titkosság csak a felhatalmazottak férjenek az információhoz Integritás jogosulatlan módosítás megakadályozása Rendelkezésre állás er#források hozzáférhet#ségének biztosítása Nem engedélyezett felhasználás megakadályozása Integritás Titkosság Rendelkezésre állás
7 Védekezési módok Titkosítás Szoftveres hozzáférés-szabályozás Hardveres hozzáférés-szabályozás Biztonsági politika 8 Biztonsági szolgáltatások Titkosság, bizalmasság biztosítása Autentikáció biztosítása Integritás biztosítása Letagadhatatlanság biztosítása Hozzáférés szabályozás Rendelkezésre állás biztosítása
9 Hálózati fenyegetettség Hálózati infrastruktúrából következ# problémák nyitott architektúra egyszer! protokollok felhasználóbarát megoldások globálisan használt protokollok Emberi tényez#k (hacker) motiváció social engineering 10 8 5 16 Hálózati támadások 7 51 4 3 33 86 19 4 24 10 Észak-Amerika Európa Ázsia Távol-Kelet Dél-Amerika Ismeretlen Afrika Földrajzi megoszlás Pénzügy Üzleti megoszlás Gépipar Szolgáltatás Oktatás Kereskedelem Gyógyszeripar Kormányzat IT ipar Egészségügy Tanácsadás Szállítmányozás (Internet Security Systems 2003)
11 A támadás folyamata Felderítés, nyomkeresés Scannelés Kiértékelés Hozzáférés megszerzése Jogosultságok kiterjesztése Hátsó ajtók nyitása, nyomok elfedése 12 Felderítés Passzív felderítés Aktív felderítés Információk IP címek (DNS) szolgáltatások operációs rendszer protokollok
13 Felderítés (pl.) dig -t MX cisco.com ; <<>> DiG 9.2.2 <<>> -t MX cisco.com ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 3133 ;; flags: qr rd ra; QUERY: 1, ANSWER: 9, AUTHORITY: 2, ADDITIONAL: 11 ;; QUESTION SECTION: ;cisco.com. IN MX ;; ANSWER SECTION: cisco.com. 60400 IN MX 11 rtp-inbound-a.cisco.com. cisco.com. 60400 IN MX 12 syd-inbound-a.cisco.com. cisco.com. 60400 IN MX 10 sj-inbound-a.cisco.com. cisco.com. 60400 IN MX 10 sj-inbound-b.cisco.com. cisco.com. 60400 IN MX 10 sj-inbound-c.cisco.com. cisco.com. 60400 IN MX 10 sj-inbound-d.cisco.com. cisco.com. 60400 IN MX 10 sj-inbound-e.cisco.com. cisco.com. 60400 IN MX 10 test-inbound-a.cisco.com. cisco.com. 60400 IN MX 11 ams-inbound-a.cisco.com. ;; AUTHORITY SECTION: cisco.com. 28220 IN NS ns1.cisco.com. cisco.com. 28220 IN NS ns2.cisco.com. ;; ADDITIONAL SECTION: sj-inbound-a.cisco.com. 81764 IN A 128.107.234.204 sj-inbound-b.cisco.com. 81764 IN A 128.107.234.205 sj-inbound-c.cisco.com. 81764 IN A 128.107.234.206 sj-inbound-d.cisco.com. 81765 IN A 128.107.243.13 sj-inbound-e.cisco.com. 81765 IN A 128.107.243.14 test-inbound-a.cisco.com. 60400 IN A 128.107.234.207 ams-inbound-a.cisco.com. 81765 IN A 64.103.36.153 rtp-inbound-a.cisco.com. 81765 IN A 64.102.255.45 syd-inbound-a.cisco.com. 81765 IN A 64.104.252.248 ns1.cisco.com. 80284 IN A 128.107.241.185 ns2.cisco.com. 80284 IN A 64.102.255.44 Cisco mail szerverek Elérhet# hosztok 14 Scannelés Portscannelés (nmap) Protokoll üzenet fejlécek (telnet) Vulnerability scanning
15 Scannelés (pl.) telnet rs1.sze.hu 80 Trying 193.224.128.1... Connected to rs1.sze.hu. Escape character is '^]'. get <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <HTML><HEAD> <TITLE>501 Method Not Implemented</TITLE> </HEAD><BODY> <H1>Method Not Implemented</H1> get to /index.html not supported.<p> Invalid method in request get<p> <HR> <ADDRESS>Apache/1.3.19 Server at rs1.szif.hu Port 80</ADDRESS> </BODY></HTML> Connection closed by foreign host. Ez itt Apache 1.3.19 Nyitott portok 16 Kiértékelés Er#forrás és account információk aktív csatlakozás, parancsok kiadása Operációs rendszer függ# állomány megosztások felhasználónevek alkalmazások
17 Hozzáférés megszerzése Támadásmódok Automatikus támadás Célzott támadás Támadási lehet#ségek operációs rendszer támadása alkalmazás támadása konfigurációs hiba kihasználása script, program támadás 18 Jogosultságok kiterjesztése Pu"er túlcsordulásos támadások set uid Jelszó bruteforce megszerzése Jelszó lehallgatása Shadow fájl megszerzése Kódolatlan jelszavak keresése Más rendszerek bizalmi viszonyainak kihasználása
19 Bruteforce jelszó törés Szótárak Algoritmikus kódtér bejárás Jelszó generálási heurisztikák Elosztott rendszerek - nagy számítási kapacitás knxtzblob/yk.:12345 ogo6nbankkssm:12345 ww/7x00na8ksc:12345 sy.c6ai21j8oo:12345 tj6wsxv2n4yh2:12345 yjxnoubuqjsnq:12345 lkfzoegzjpddm:12345 rkwhxrheqw/cc:12345 tkinbgd7a2foa:12345 Könnyen megfejthet# jelszavak (Különböz# hash értékek: jelszó sózás) 20 Nyomok elfedése Nyomok eltakarítása history fájl registry log fájl bejegyzések Rejtekajtók nyitása id#zített folyamatok trójai programok billenty! naplózók
21 Gyakori támadás típusok Szolgáltatás bénító támadások (DoS) Elosztott szolgáltatás bénítás (DDoS) Technikák SYN-árasztás ICMP-árasztás! Halálos ping Land támadás Teardrop támadás Er#források felemésztése (lemezterület, futó processzek száma) 22 Gyakori támadás típusok (folyt.) Hamis megszemélyesítés, jogosultság szerzés Jelszó megszerzése shoulder surfing keylogger jelszó fájl + bruteforce lehallgatás (sni$ng) Hoszt azonosító hamisítása IP spoofing DNS hamisítás
23 Gyakori támadás típusok (folyt.) Sebezhet#ségek kihasználása Feltérképezés portscan TCP connect scan TCP SYN scan TCP FIN scan vulnerability scan Kártékony programok Pu"er túlcsordulásos támadás Webes támadások 24 Webes támadások Web oldalak lecserélése (deface) Tartalom kezel# alkalmazás hibájának kihasználása ellen#rizetlen input állomány futtatása SQL injektálás Phishing Spoofing Cross-site scripting
25 Webes támadások Phishing példa 26 Webes támadások (folyt.) Cross-site scripting Támadó 2 rosszindulatú kód 3 reflektált kód 4 Cél site normális interakció 1 From: Malicious User To: Victim User 5 rosszindulatú kód normál érvényes session CLICK HERE email kliens biztonsági kontextus: cél site browser ablak biztonsági kontextus: cél site browser ablak
27 Gyakori támadás típusok (folyt.) Kártékony programok Vírusok fájl vírus boot vírus makró, szkript vírus Trójai programok Férgek 28 Történelmi féreg A Morris féreg rsh támadás sendmail támadás Behúzó Féreg Cél rendszer ping támadás Kérés Féreg Féreg Megfert!z!tt rendszer
29 Gyakori támadás típusok (folyt.) Pu"er túlcsordulásos támadás hibás input ellen#rzés verem túlcsordulás támadókód futtatása shellkód setuid bit 30 Gyakori támadás típusok (folyt.) Hálózati eszközök támadása osztott média LAN lehallgatása ARP mérgezés Forrás routolás Kapcsolat eltérítés Routerek támadása azonosítás default jelszavak
31 Védekezés módok Többréteg! biztonság Hozzáférés ellen#rzés Szerepkörök és biztonság Felhasználói tudatosság Fenyegetettség monitorozás Rendszerek frissítése 32 Csomagsz!rés Hozzáférés vezérl# lista Forrás, cél IP cím, Portszám Megenged# és tiltó szabályok Internet T"zfal Bels! hálózat Problémák magasabb szint! támadás ellen nem véd
33 Állapotteljes csomagsz!rés Forrás és cél IP cím, Portszám TCP kapcsolat-modell Fejléc info (flagek, szekvenciaszámok) vizsgálata Problémák csak TCP kapcsolatnak van állapota alkalmazás szint! támadás ellen nem véd 34 Proxy t!zfalak Beépül a kapcsolatba Alkalmazási réteg Tartalomsz!rés Problémák teljesítmény csökkenés protokol kompatibilitás
35 T!zfal zónák T"zfal Internet Bels! hálózat DMZ 36 Adatok titkosítása Szimmetrikus (titkos kulcsú) Kulcs Kulcs továbbítás Kulcs Nyílt szöveg Titkosító algoritmus Titkosított szöveg Visszafejt! algoritmus Nyílt szöveg Aszimmetrikus (nyilvános kulcsú) Nyilvános kulcs Kulcspár Titkos kulcs Nyílt szöveg Titkosító algoritmus Titkosított szöveg Visszafejt! algoritmus Nyílt szöveg
37 A Feistel architektúra Üzenet blokkok Kulcs (adott mérettel) Számítási menetek (rögzített szám) alkulcsok gyorsan elvégezhet#... m!veletek Blokk M!velet M!velet Kulcs M!velet Titkosított blokk 38 A DES Blokk méret 64 bit Kulcs 56(+8) bit Kever# m!veletek (Permutation) Cserél# m!veletek (Substitution) 16 menet Round 1 Round 2 Round 16 Kezdeti permutáció 56-bit kulcs Vég permutáció
39 A DES (folyt.) A DES egy lépése 40 A DES (folyt.) Blokk láncolás Block 1 Block 2 Block 3 Block 4 IV + + + + DES DES DES DES Cipher 1 Cipher 2 Cipher 3 Cipher 4
41 A 3DES Nyílt szöveg DES titkosítás Kulcs 1 DES visszafejtés Kulcs 2 DES titkosítás Kulcs 3 Titkos szöveg 42 A nyilvános kulcsú infrastruktúra Kulcselosztás Megbízhatóság - Tanúsítás Alkalmazások titkosítás digitális aláírás szimmetrikus alg. kulcs-cseréje
43 Nyilvános kulcsok megbízható szétosztása Megbízható tanusító szervezetek Kulcs menedzsment Kulcs kibocsátó Szervezeti adatok nyilvános kulcsok aláírt hash érték Szervezeti adatok nyilvános kulcsok tanusító nyilvános kulcsa Kulcs felhasználó hash képzés hash érték ellen!rzés hash képzés Digit. aláírás hash érték Tanusító tanusító privát kulcsa 44 Nyilvános kulcsú algoritmusok RSA - Ron Rives, Adi Shamir és Len Adleman MIT, 1977 Blokk titkosítás Széleskörben használt Di$e-Hellman Titkos kulcs cseréjéhez
45 Üzenet lenyomat Biztonsági ellen#rz# szám Hash fv. tetsz. hosszúságú szövegre fix hosszúságú kimenet H(x) könnyen kiszámolható adott h=h(x)-hez nem lehet x-et kiszámolni x-hez nem lehet különböz# y-t meghatározni, hogy H(x)=H(y) 46 MD5 üzenet lenyomat Kezdeti lenyomat (konstans) Üzenet (feltöltve) 512 bit 512 bit 512 bit Transzf. Transzf. Transzf. Üzenet lenyomat
47 Biztonságos levelezés Technikák CBC maradék Digitális aláírás Kulcsos üzenet kivonat Üzenet kivonat aláírva PGP nincs tanusítási rendszer változó megbízhatóság különböz# kripto algoritmusok ---BEGIN PGP SIGNED MESSAGE--- Hash: SHA1 Bob:My husband is out of town tonight.passionately yours, Alice ---BEGIN PGP SIGNATURE--- Version: PGP 5.0 Charset: noconv yhhjrhhgjghgg/12epj+lo8ge4vb3mq JhFEvZP9t6n7G6m5Gw2 ---END PGP SIGNATURE--- PGP levél 48 Biztonsági protokollok Layer 2 Tunneling Protocol VPN-ek IPSec fölött SSH TLS https, SSL IPSec
49 SSL Különöz# kripto algoritmusok Tanusító szervezetek Szolgáltatások tömörítés integritás védelem autentikáció titkosítás Application (e.g., HTTP) Secure transport layer TCP IP Subnet 50 IPSec Hálózati szint! logikai csatorna a két végpont között Security Association Szolgáltatások Encapsulated Security Protocol Authentication Header Kulcs és biztonsági paraméter csere megoldások Internet Key Exchange Internet Security Association and Key management Protocol
51 Behatolás érzékelés (IDS-ek) Behatolás a biztonsági politika rosszindulatú megsértése Behatolás érzékelés behatolással kapcsolatos események automatizált érzékelése és riasztás 52 Behatolás érzékelés (IDS-ek) Mintázat alapú detektálás Statisztikai anomália detektálás Küszöb alapú Profil alapú Mézes bödönök
53 Behatolás érzékelés (IDS-ek) Mintázat alapú detektálás korábban azonosított, ismert támadás minták kevés téves riasztás újfajta támadások érzékelése problémás 54 Behatolás érzékelés (IDS-ek) Anomália detektálás Statisztikai osztályozás normál m!ködés behatolás ~ nem szokványos m!ködés Sok téves riasztás Új fajta támadások érzékelése
55 56 Hálózatbiztonsági szervezetek CERT (www.cert.org, www.cert.hu) SANS (www.sans.org) CIS (www.cisecurity.com) National Vulnerability Database (nvd.nist.gov)