1 / 24

הגנה במערכות מתוכנתות

הגנה במערכות מתוכנתות. תרגול 13 – אבטחה ברמת ה- IP – IPsec. הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה בלבד. אופני הפעולה של IPsec : Transport Mode Tunnel Mode. Network A. Network B. y. x. Internet. החבילה מאובטחת לאורך כל המסלול מ- x ל- y.

lee
Download Presentation

הגנה במערכות מתוכנתות

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. הגנה במערכות מתוכנתות תרגול 13 – אבטחה ברמת ה-IP – IPsec הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה בלבד.

  2. אופני הפעולה של IPsec:Transport ModeTunnel Mode הגנה במערכות מתוכנתות - תרגול 13

  3. Network A Network B y x Internet החבילה מאובטחת לאורך כל המסלול מ-x ל-y Transport Mode • המטרה :לספק בטיחות מקצה לקצה • כאשר x רוצה לשלוח חבילה ל-y: • מחשב x יפעיל IPsec על החבילה, ישלח אותה ל-y. • מחשב yיאמת ויפענח את החבילה. • החבילה מוגנת בפרט בתוך הרשתות A ו-B. הגנה במערכות מתוכנתות - תרגול 13

  4. מבנה החבילה ב-Transport Mode חבילה ב-Transport Mode חבילה סטנדרטית הגנה במערכות מתוכנתות - תרגול 13

  5. Network A Network B y x Internet GWA GWB החבילה מאובטחת בין GWA ל-GWB בלבד Tunnel Mode • המטרה :לספק בטיחות מחוץ לרשת הפנימית • מופעל ע"י security gateways ביציאה מהרשתות • GWA ו-GWB מפעילים IPsec על החבילות: הגנה במערכות מתוכנתות - תרגול 13

  6. GWA-GWB Tunnel Network A Internet Network B x y GWA GWB מבנה החבילה ב-Tunnel Mode הגנה במערכות מתוכנתות - תרגול 13

  7. Network A Network B m GWM z GWA Internet GWB Subnet M Tunnel in Tunnel • מספר רמות אבטחה ברשת • למשל, מדיניות החברה: • יש להצפין כל חבילה יוצאת מ-A ל-B. • יש להצפין כל חבילה שיוצאת מתת הרשת של המנהלים. הגנה במערכות מתוכנתות - תרגול 13

  8. A-B Tunnel M-B Tunnel Subnet M Network B Network A Internet m z GWM GWA GWB איך יראו החבילות במקרה זה? הגנה במערכות מתוכנתות - תרגול 13

  9. Network A x NAT Internet y פרוטוקול NAT • נועד לאפשר לרשת גדולה לעבוד עם מספר קטן של כתובות IP. • בתוך הרשת A מוקצות כתובות IP מקומיות. • לא בהכרח כתובות חוקיות • ביציאה מרשת הארגון, שרת ה-NAT מחליף כתובת מקומית ברשת שהוקצתה לרשת A (כנ"ל בכניסה לרשת) הגנה במערכות מתוכנתות - תרגול 13

  10. פרוטוקול NAT - דוגמה Network A Internet y x NAT Server שינוי כתובת ה-IP ע"י שרת ה-NAT פוגע באימות של AH: y יזרוק את החבילה... הגנה במערכות מתוכנתות - תרגול 13

  11. SPD (Security Policy Database) הגנה במערכות מתוכנתות - תרגול 13

  12. SPD • מגדיר את מדיניות ההגנה של המערכת. • יש SPD עבור תעבורה נכנסת, ו-SPD עבור תעבורה יוצאת. • טבלת חוקים המוגדרת ע"י מנהל מערכת • דומה לטבלאות של Packet Filtering Firewall (בפרט אפשר להשתמש ב-SPD כ-Firewall כזה): • 3 אפשרויות עבור שדה Action: • drop – חבילה נזרקת • forward – חבילה עוברת בצורה רגילה • secure – חבילה עוברת לאחר הפעלת IPsec • SPD מגדיר גם את אופן הפעלת IPsec (AH/ESP, SPI, הפעלת IKE,...) • ניתן להשתמש ב-WildCards. מה עושים אם SPD מחזיר secure עבור חבילה נכנסת ללא IPsec? הגנה במערכות מתוכנתות - תרגול 13

  13. התמונה הכללית – שליחת חבילה הגנה במערכות מתוכנתות - תרגול 13

  14. התמונה הכללית – קבלת חבילה למה צריך לבדוק את זה אם כבר פענחנו את החבילה?!? הגנה במערכות מתוכנתות - תרגול 13

  15. בדיקת SPI – למה? x w • מניעת התחזות (IP Spoofing) • w מרשה ל-x ול-y לבצע telnet אליואבל הם חייבים להוסיף אימות.  מונעים מ-x לבצע IP Spoofing עלהכתובת של y. • מניעת עקיפת מדיניות מערכת • ל-x מותר לבצע telnet ל-w רק עםאימות. • ל-x אסור לבצע http ל-w.  מונעים מ-x לשלוח http. x w הגנה במערכות מתוכנתות - תרגול 13

  16. שאלה ממבחן! (אביב תשס"ח, מועד א') הגנה במערכות מתוכנתות - תרגול 13 לחברת התוכנה Netwix שני סניפים, בישראל ובארה"ב. על מנת לאפשר תקשורת מאובטחת בין הסניפים, החברה עושה שימוש בשרתי Gateway, GWA ו-GWB, התומכים ב-IPsec. בסניף ישראל יש תת-רשת נפרדת עבור מחלקת הכספים (Subnet F), המופרדת משאר הרשת הפנימית באמצעות Gateway נוסף, GWF.

  17. שאלה ממבחן (המשך...) הגנה במערכות מתוכנתות - תרגול 13 • מנהל הרשת הגדיר את מדיניות האבטחה הבאה: • לעובדי החברה מותר לגלוש באינטרנט (http). • מותר לבצע telnet (בשני הכיוונים) בין הסניף הישראלי לבין הסניף האמריקאי, אולם התקשורת חייבת לעבור באינטרנט כשהיא מוצפנת וחתומה.

  18. שאלה ממבחן (המשך...) הגנה במערכות מתוכנתות - תרגול 13 • לעובדים ברשת הכספים מותר ליצור כל תקשורת שהיא עם המחשבים ב-Netwix USA: • מותר להם ליצור קשרים המאובטחים ב-IPsec transport mode עם מחשבים ב-Netwix USA. לשאר המחשבים ב-Netwix Israel אסורה תעבורה מוצפנת כזו. • תעבורה גלויה (כלומר שלא הוצפנה ב-Transport Mode) בין מחשבים ברשת הכספים לבין Netwix USA, תוצפן ותאומת ב-Tunnel Mode, כך שלא תעבור חשופה באינטרנט וב-Netwix Israel. • עבור תעבורה שכבר אובטחה (לדוגמה, ע"י GWF), לא נדרשת אבטחה נוספת ע"י GWA.

  19. שאלה ממבחן (המשך...) הגנה במערכות מתוכנתות - תרגול 13 מלאו בטבלה את אוסף הכללים עבור ה-SPD הנמצא ב-GWA, ה-Gateway שבין רשת Netwix Israel והאינטרנט, על מנת לספק את מדיניות הרשת של החברה. עבור תעבורה מאובטחת, עליכם לציין במפורש האם ייעשה שימוש בפרוטוקול ESP או AH (ייתכן גם כי שניהם אפשריים), ובאיזה יכולות של הפרוטוקול נעשה שימוש (הצפנה ו/או אימות).

  20. שאלה ממבחן (המשך...) הגנה במערכות מתוכנתות - תרגול 13 מדיניות הרשת מיועדת לאפשר לעובדים ברשת הכספים ליזום קשר המאובטח ב-transport mode עם מחשבים ב-Netwix USA, בכל פרוטוקול שיחפצו. בהנחה שמסתמכים אך ורק על ה-SPD לאכיפת המדיניות, האם כתוצאה ממדיניות זו יתאפשר בהכרח גם למחשבים ב-Netwix USA ליזום קשר בכיוון ההפוך? אם כן, הסבירו מדוע. אם לא, הדגימו כיצד ניתן להגדיר את ה-SPD כך שיעשה הבחנה בין שני המקרים.

  21. שאלה ממבחן (המשך...) הגנה במערכות מתוכנתות - תרגול 13 מנהל הכספים בארנס מנהל מדי פעם תכתובות גלויות עם מחשבים ברשת Netwix USA, המוצפנות ב-Tunnel mode ע"י ה-gateways. מר סמיתרס מעוניין לבצע chosen plaintext attack על התכתובות המוצפנות, ולהשיג זוגות (P,C) לפי בחירתו. יש לו גישה אך ורק למחשבים ברשת Netwix Israel (מחוץ לתת רשת כספים), אך ידוע לו כי כל התעבורה בין GWF ל-GWB מוצפנת ע"י אותו SA (כלומר, עם אותם אלגוריתמים ומפתחות). תארו דרך בה יוכל מר סמיתרס לבצע את זממו (לדוגמה, תוך ניצול סוגי תעבורה המותרים ב-Firewall).

  22. שאלה ממבחן (המשך...) הגנה במערכות מתוכנתות - תרגול 13 מדי פעם עובדי הסניף הישראלי נוסעים לבקר באתרי הלקוח. כדי לאפשר להם להתחבר לרשת החברה (Netwix Israel) באופן בטוח מאתרי הלקוח, הותקן IPsec בכל המחשבים הנישאים שלהם, כך שיוכלו להתחבר ב-Tunnel mode. הערוץ המאובטח נוצר באמצעות פרוטוקול IKE. לצורך אימות העובדים, הוקצה לכל אחד מהם סוד משותף (pss).

  23. שאלה ממבחן (המשך...) הגנה במערכות מתוכנתות - תרגול 13 עבור הרצת פרוטוקול IKE להקמת ערוץ מאובטח בין העובדים לרשת, איזו שיטה מתאימה ועדיפה יותר במקרה זה: Main mode או Aggressive Mode? נמקו. הוסיפו בנספח א' את השורות הנחוצות על מנת לאפשר את התקשורת בערוץ המאובטח ואת IKE. יש לציין במפורש היכן ישולבו השורות החדשות ביחס לשורות מסעיף א'. שימו לב כי יש לשמור ככל האפשר על מדיניות הרשת המקורית.

  24. שאלה ממבחן (המשך...) הגנה במערכות מתוכנתות - תרגול 13 המנהל בארנס ביקר באתר הלקוח "תעשיות דו" (נסמן את כתובת ה-IP שלו באתר הלקוח באות b). הוא יצר ערוץ מאובטח לצורך התחברות למחשב שלו ברשת המנהלים (נסמן את כתובתו ב-x). הראו את מבנה חבילה הנשלחת בחזרה מ-x ל-b, מיד לאחר שהיא מעובדת ויוצאת מ-GWA. בארנס הוסיף שימוש ב-Transport mode – מה מבנה החבילה כעת?

More Related