1 / 22

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΕΝΟΠΟΙΗΜΕΝΑ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ - ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΕΝΟΠΟΙΗΜΕΝΑ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ - ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ. Β. Μάγκλαρης maglaris@netmode.ntua.gr www.netmode.ntua.gr 20 /1 2 /2010. ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ. ICMP: ping, traceroute tcpdump net-snmp snmp_get snmp_walk trap snmp_set MRTG RRDtool

mora
Download Presentation

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΕΝΟΠΟΙΗΜΕΝΑ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ - ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝΕΝΟΠΟΙΗΜΕΝΑ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ - ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ Β. Μάγκλαρης maglaris@netmode.ntua.gr www.netmode.ntua.gr 20/12/2010

  2. ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ • ICMP: ping, traceroute • tcpdump • net-snmp • snmp_get • snmp_walk • trap • snmp_set • MRTG • RRDtool • Transmission (DWDM, SDH tools): CMIP, TMN, Proprietary • TL1, Q3, Corba

  3. INTEGRATED NETWORK MANAGEMENT

  4. ΟΛΟΚΛΗΡΩΜΕΝΑ ΕΡΓΑΛΕΙΑ • Αυτοματοποιούν διαδικασίες • Ομαδοποιούν λειτουργίες • Open Source • Nagios – Service Monitoring http://www.nagios.org/ • OpenNMS – Network Monitoring http://www.opennms.org/index.php/Main_Page • Ganglia – Cluster Management http://ganglia.info/ • Commercial • HP Openview • IBM Tivoli

  5. MANAGEMENT PLATFORMS

  6. NAGIOS PLUGINS RETURN CODE | TEXT OUTPUT | OPTIONAL PERFDATA | LONG TEXT LINE … | PERFDATA … 0 | PING OK - Packet loss = 0%, RTA = 0.15 ms 0 | DISK OK - free space: / 3326 MB (56%); |  /=2643MB;5948;5958;0;5968

  7. ΠΑΡΑΔΕΙΓΜΑΤΑ NAGIOS PLUGINS • check_ssh • check_ifstatus • check_ntp_time • check_imap • check_ups • check_ftp • check_http • check_snmp • check_icmp • check_ntp • check_ifoperstatus • check_mrtg Παράδειγμα: Command Line Interface (CLI) check_ping-H <host> -w <wrta>,<wpl>% -c <crta>,<cpl>% Web Interface http://mariana.netmode.ntua.gr/nagios/ Login: netmg Password: netmg

  8. ΘΕΜΑΤΙΚΕΣ ΠΕΡΙΟΧΕΣ ΑΣΦΑΛΕΙΑΣ • Είδη Απειλών και Επιθέσεων • Προστασία • Πολιτικές • Αρχιτεκτονικές Ελέγχου Πρόσβασης (Authorization & Authentication Infrastructures- ΑΑΙ) & Διαχείρισης Δημοσίων Κλειδιών (Public Key Infrastructures - PKI) • Εργαλεία (Access Control Lists – ACL’s, Firewalls) • ΣυστήματαΕντοπισμού Επιθέσεων (Intrusion Detection Systems – IDS) & Ανωμαλιών (Anomaly Detection Systems) • Κρυπτογραφία • Η σίγουρη μέθοδος εξασφάλισης ενός δικτύου:

  9. ΑΠΕΙΛΕΣ ΑΣΦΑΛΕΙΑΣ ΔΙΚΤΥΩΝ • Απόκτηση πληροφοριών για το σύστημα: • Port Scanning • Fingerprinting • Μη εξουσιοδοτημένη πρόσβαση • Υποκλοπή κωδικών • Λάθος διαμορφώσεις (ανοικτά συστήματα) • Από μη εξουσιοδοτημένα σημεία (π.χ. ανοιχτά σημεία ασύρματης πρόσβασης) • Επιθέσεις Άρνησης Υπηρεσίας (Denial of Service Attacks - DoS) • Υποκλοπή και παραποίηση επικοινωνιών • Packet sniffing • "Man-in-the-Middle" attacks • Κακόβουλο λογισμικό (malware) • Ιοί, Δούρειοι ίπποι (trojans) • Αυτόματα διαδιδόμενοι ιοί (worms)

  10. ΤΑΥΤΟΤΗΤΑ ΧΡΗΣΤΗΜη Εξουσιοδοτημένη Πρόσβαση • Ταυτότητα χρήστη (user Global ID – GID): • Μία ταυτότητα αντιστοιχεί σε ένα χρήστη user@netmode.ntua.gr • Πολλαπλές ταυτότητες μπορεί να συνυπάρχουν σε διαφορετικούς παρόχουςuser@netmode.ntua.gr, user@gmail.com …. • Ταυτοποίηση χρήστη: • Με <user_name, password> μόνο • Με ψηφιακό πιστοποιητικό σε κατάλογο χρήστη (ανά σύνοδο - session ή αποθηκευμένο σε κατάλογο χρηστών LDAP στοhome organization ενός χρήστη) • Ταυτοποίηση & Εξουσιοδοτήσεις Χρήστη: Ιδανικά σε Authorization & Authentication Infrastructure, AAI με δυνατότητες περιαγωγής (roaming)τουuser_profile • Κίνδυνοι υποκλοπής από την μεταφορά του user_profile μέσα στο Internet: Περιορισμός της ελάχιστης δυνατής πληροφορίας (π.χ. μέσω των home organizations) • Κίνδυνοι υποκλοπής • "Αδύναμοι" κωδικοί & πρωτόκολλα - onetime passwords? • Κακή προστασία μετάδοσης (π.χ. επικοινωνίες χωρίς κρυπτογράφηση, ανεπαρκώς φυλασσόμενες εγκαταστάσέις) • Φυσική απώλεια (PDA κλπ.) • «Social Engineering»

  11. ΕΠΙΘΕΣΕΙΣ ΑΡΝΗΣΗ ΥΠΗΡΕΣΙΑΣ (1)Denial of Service Attacks - DoS • Επιθέσεις που έχουν σκοπό να αποτρέψουν τη χρήση ενός συστήματοςαπό όλους • Εκμεταλλεύονται προβλήματα του λογισμικού (`Operating System ή εφαρμογές εξυπηρετητών) - Software Exploits • Θεωρητικά κινδυνεύει οποιοδήποτε σύστημα είναι συνδεδεμένο στο δίκτυο • Δρομολογητές και άλλες δικτυακές συσκευές επίσης ευάλωτες • Και ένα μοναδικό πακέτο αρκεί σε κάποιες περιπτώσεις για να θέσει εκτός λειτουργίας κάποιο τρωτό σύστημα • Δεν γίνονται προσπάθειες παραβίασης ή υποκλοπής στοιχείων • Απόκρυψη του επιτιθέμενου με παραποίηση της διεύθυνσης αποστολέα στο πακέτο • Χρησιμοποίηση: Διαμάχες hackers, επίδειξη ικανοτήτων, εκδίκηση, κυβερνοπόλεμος

  12. ΕΠΙΘΕΣΕΙΣ ΑΡΝΗΣΗΣ ΥΠΗΡΕΣΙΑΣ (2)Denial of Service Attacks - DoS • Επιθέσεις εξάντλησης πόρων • Εξάντληση υπολογιστικών ή δικτυακών πόρων • Χρήση μεγάλου αριθμού νόμιμων δικτυακών κλήσεων • Σε κάποιες περιπτώσεις χρησιμοποίηση περισσότερων του ενός συστημάτων επίθεσης– Επιθέσεις Ενίσχυσης (Amplification Attacks) • Επόμενο βήμα: Κατανεμημένες Επιθέσεις Άρνησης Υπηρεσίας – Distributed Denial of Service Attacks – DDoS • Χρήση πολλών "ελεγχόμενων" υπολογιστών από τον επιτιθέμενο • Bots • "Αυτόματη" παραβίαση και έλεγχος τους • Συνεχίζουν να λειτουργούν χωρίς ο χρήστης τους να αντιλαμβάνεται διαφορά • Ιεραρχία ελέγχου τους με ενδιάμεσα στάδια (attack masters)

  13. ΕΠΙΘΕΣΕΙΣ ΤΥΠΟΥ "Smurf" ICMP Echo request Destination: LAN broadcast Source: victim.host Στόχος (web Server) victim.host Επιτιθέμενος ICMP Echo reply Destination:victim.host ICMP Echo reply Destination:victim.host ICMP Echo reply Destination:victim.host Διαχειριστικό Πρόβλημα: Επιτρέπεται το ping στη διεύθυνση broadcast Μη ασφαλισμένο δίκτυο

  14. ΕΠΙΘΕΣΕΙΣ Distributed DoS (DDoS) Attack Master Διαχειριστικό Πρόβλημα: Λειτουργία κακόβουλου λογισμικού Δίκτυο Στόχος "Ζόμπι" ή "bots" Attack Agents X Επιτιθέμενος Attack Master Διαχειριστικό Πρόβλημα 2: Επιτρέπονται πακέτα με παράνομη διεύθυνση προέλευσης

  15. ΥΠΟΚΛΟΠΗ & ΠΑΡΑΠΟΙΗΣΗ ΔΕΔΟΜΕΝΩΝ (1) • Packet sniffing • Μπορεί να συμβεί σε δίκτυα με Hub, μη ασφαλισμένα ασύρματα δίκτυα ή σε περιπτώσεις υπερφόρτωσης του MACTable ενός Switch • Κάθε πληροφορία που κυκλοφορεί μη κρυπτογραφημένη είναι διαθέσιμη σε αυτόν που παρακολουθεί • Telnet passwords • Web passwords • Οικονομικά και προσωπικά στοιχεία (π.χ. προσωπικά email, αριθμοί πιστωτικών καρτών κ.λπ.) • "Man-in-the-Middle" attacks • Κάποιος μπορεί να παρεμβληθεί σε μια επικοινωνία και είτε να υποκλέψει τα στοιχεία είτε να "υποκριθεί" ότι είναι κάποιος τρίτος φορέας • ARP "poisoning" • TCP "session hijacking" • DNS "poisoning" – URL redirection

  16. ΥΠΟΚΛΟΠΗ & ΠΑΡΑΠΟΙΗΣΗ ΔΕΔΟΜΕΝΩΝ (2)Λύσεις • Χρήση κρυπτογραφίας • Αντικατάσταση του telnet με SSH (Secure Shell) • Κρυπτογραφημένη έκδοση του IMAP για e-mail • Γνώση των αδυναμιών των δικτυακών εφαρμογών (αποφυγή μετάδοσης κρισίμων δεδομένων χωρίς κρυπτογράφηση) • Χρήση ψηφιακών πιστοποιητικών (certificates) • Προσφέρουν κρυπτογραφία και ταυτοποίηση (επιβεβαίωση ταυτότητας) • Προσοχή στην επιλογή των σημείων σύνδεσης: • Αν χρησιμοποιείται hub χωρίς δυνατότητες διαχείρισης • Αν χρησιμοποιείται ασύρματη σύνδεση WiFi προτείνονται οι εξής εναλλακτικοί τρόποι ελέγχου πρόσβασης: • Αρχική σύνδεση (ελαφρά κρυπτογραφημένη WPA, WEP) μόνο σε τοπική σελίδα Web εξουσιοδότησης & ταυτοποίησης (authorization & authentication).Η σύνδεση ανοίγει στο Internetμε user_name, password • Access Lists εξουσιοδοτημένων διευθύνσεωνMAC • Πρωτόκολλο 802.11.Xβασισμένο σε καταλόγους authorized χρηστών LDAP και προ-εγκατεστημένο λογισμικό (certificate) στον Η/Υ

  17. ΕΙΔΗ ΚΡΥΠΤΟΓΡΑΦΙΑΣ • Συμμετρική (Ιδιωτικού Κλειδιού, Private Key Cryptography) • Χρήση μοναδικού κλειδιού και από τα δύο μέρη • Κρυπτογράφηση με συγκεκριμένου μήκους κομμάτια κειμένου (block cipher)ή ανά bit σε συνεχή ροή δεδομένων (stream cipher) • Αλγόριθμοι κρυπτογράφησης:DES, triple DES, RC2, RC4, RC5, IDEA, AES • Γρήγορη άλλα έχει προβλήματα στην ασφάλεια διανομής του κλειδιού • Έχει πολλαπλή χρήση: Encryption, authentication, non-repudiation • Μη Συμμετρική (Δημόσιου Κλειδιού, Public Key Cryptography) • Κάθε μέρος έχει ιδιωτικό και δημόσιο κλειδί. Διανέμει το τελευταίο ελεύθερα • Αλγόριθμοι κρυπτογράφησης:RSA, Diffie-Hellman • Αλγόριθμοι κατακερματισμού (hash functions) για εξαγωγή περίληψης μέρους ή του συνόλου ενός μηνύματος: SHA & SHA-1, MD2, MD4, MD5 • Ισχυρά σημεία: • Δεν διανέμονται ιδιωτικά κλειδιά – μόνο τα δημόσια κλειδιά • Αδύνατα σημεία: • Αργή στην εκτέλεση • Αμφισβήτηση εμπιστοσύνης στα δημόσια κλειδιά: γι' αυτό συνιστάται η εγκατάσταση Αρχών Πιστοποίησης (Certification Authorities,CA) και οργανωμένων υποδομών Δημοσίου Κλειδιού (Public Key Infrastructures, PKI) • Έχει πολλαπλή χρήση: Encryption, authentication, non-repudiation

  18. ΚΡΥΠΤΟΓΡΑΦΙΑ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ (1) • Αποστολέας και Παραλήπτης έχουν ανταλλάξει Δημόσια κλειδιά (π.χ. μέσω SSL ή • Κρυπτογράφηση: Με το δημόσιο κλειδί του Παραλήπτη • Αποκρυπτογράφηση: με το ιδιωτικό κλειδί του Παραλήπτη Αποστολέας Α Παραλήπτης Π Δημόσιο Κλειδί Π Ιδιωτικό Κλειδί Π Μετάδοση Αλγόριθμος Αλγόριθμος Αρχικό Μήνυμα Μήνυμα Κρυπτογραφημένο Μήνυμα Κρυπτ. Μήνυμα

  19. ΚΡΥΠΤΟΓΡΑΦΙΑ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ (2) • Χρήση για την επιβεβαίωση αποστολέα και τη μη δυνατότητα άρνησης αποστολής (non-repudiation) • Επιβεβαίωση ταυτότητας αποστολέα (ψηφιακή υπογραφή, digital signature) • Χρησιμοποιείται επίσης για την υπογραφή ψηφιακών πιστοποιητικών Παραλήπτης Π Αποστολέας Α Σύγκριση Ιδιωτικό Κλειδί Α Μήνυμα Αλγόριθμος Κατακερματισμού Αλγόριθμος Κατακερματισμού Αλγόριθμος Κρυπτογραφίας Περίληψη Μηνύματος Δημόσιο Κλειδί Α Μετάδοση

  20. ΜΕΙΚΤΟ ΣΧΗΜΑ ΔΗΜΟΣΙΟΥ – ΙΔΙΩΤΙΚΟΥ ΚΛΕΙΔΙΟΥ Συνδυασμός που αξιοποιεί τα πλεονεκτήματα και των 2 σχημάτων σε 2 φάσεις ανά σύνοδο (session) ή μήνυμα: • Φάση hand-shaking(αρχική φάση) • Ταυτοποίηση (Authentication) άκρων επικοινωνίας μέσω Public Key Cryptography • Δημιουργία (συμμετρικών) κλειδιών ανά σύνοδο με ανταλλαγή κρυπτο-μηνυμάτων (και τυχαίων ακολουθιών pseudo random) μέσω Public Key Cryptography • Φάση μετάδοσης δεδομένων σύνδεσης (1 έως πολλά πακέτα) • Χρήση συμμετρικής κρυπτογραφίαςγια περαιτέρω ανταλλαγή πακέτων με δεδομένα που αφορούν στη σύνοδο • Κυρίαρχο σχήμα στο Internet • Secure Shell, SSH:Ταυτοποίηση & κρυπτογράφηση από άκρο σε άκρο, π.χ PuTTY (ασφαλής σύνοδοςTelnet, client↔ SSH Server), SFTP • Secure Socket Layer, SSL: ΤαυτοποίησηWeb server από τους χρήστες – clients μέσω του γνωστού Public Key του server & μετάδοση πακέτων με συμμετρική κρυπτογραφία, π.χ. https(http over SSL over TCP), imaps (IMAP over SSL over TCP), OpenVPN(απαιτείται OpenVPN server και προ-εγκατεστημένο client S/W)

  21. ΨΗΦΙΑΚΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ (1) • Βεβαιώνουν την ακεραιότητα του Δημόσιου κλειδιού. • Βεβαιώνουν τη σύνδεση ενός δημόσιου κλειδιού με ένα άτομο ή οργανισμό μέσω της Έμπιστης Τρίτης Οντότητας (Trusted Third Party,TTP) – Αρχή Πιστοποίησης (Certification Authority, CA) στο πλαίσιο σχήματος Υποδομής Δημοσίου Κλειδιού (Public Key Infrastructure, PKI) • Ανάλογα με την Αρχή Πιστοποίησης το πιστοποιητικό έχει και διαφορετικό εύρος αναγνώρισης. Συνήθως υπάρχει ιεραρχία πιστοποίησης που ορίζεται από το πρότυπο X.509. • Από τι αποτελείται ένα ψηφιακό πιστοποιητικό: • Κάποια πληροφοριακά στοιχεία για το χρήστη του • Το δημόσιο κλειδί του χρήστη • Το όνομα μιας Αρχής Πιστοποίησης (CA Name) • Την ψηφιακή υπογραφή της Αρχής Πιστοποίησης(CA Digital Signature)

  22. ΨΗΦΙΑΚΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ (2) • Υπογραφή ενός ψηφιακού πιστοποιητικού με το ιδιωτικό κλειδί της Αρχής Πιστοποίησης (CA)

More Related