Download - NetworkCourse[-Tot
-
8/7/2019 NetworkCourse[-Tot
1/217
Securitatea
ReelelordeCalculat
oareIon BICA, PhD, CISA
i b i ca@m t a . ro
mailto:[email protected]:[email protected] -
8/7/2019 NetworkCourse[-Tot
2/217
Obiective
Prezentarea arhitecturii retelelorTCPIIP cu accent pe problemele desecuritate specifice acestora
Analiza principalelor amenintri i atacurila adresa retelelor de calculatoare
Descrierea tehnologiilor i produselor cepot fi utilizate pentru a asigurasecuritatea retelelor de calculatoare
-
8/7/2019 NetworkCourse[-Tot
3/217
Continut
1. Fundamente ale retelelor TCPIIP2. Securitatea la nivelul retelelor locale3. Sisteme firewall4. Sisteme pentru detectarea I prevenireaintruziunilor
5. Unelte pentru testarea securittii sistemelor
-
8/7/2019 NetworkCourse[-Tot
4/217
Bibliografie
William Stallings, Cryptography andNetwork Security, 31E, Prentice Hall,2003
Charlie Kaufman, Network Security, 21E,Prentice Hall, 2002
Merike Kaeo, Designing Network Security,21E, Cisco Press,2004
Resurse disponibile pe Internet
-
8/7/2019 NetworkCourse[-Tot
5/217
Detalii organizatorice
Numr de ore: 20 Curs + 10 Lab Examen
test gril
Informatiile aferente cursului vor fidisponibile In format electronic
note de curs1
laborator documentatie auxiliar
Ion BICA 5
-
8/7/2019 NetworkCourse[-Tot
6/217
Ion BICA 6
-
8/7/2019 NetworkCourse[-Tot
7/217
Fundamente ale
Reelelor TCP/IP
-
8/7/2019 NetworkCourse[-Tot
8/217
TCPIIP
Lingua franca pentru Internet
Suita de protocoale (dintre care IP iTCP sunt cele mai cunoscute)
Dezvoltat In cadrul proiectului ARPANET Robert Kahn i Vinton Cerf
prima reea cu comutare de pachete Versiunea curent: v4 TCPIIP este inclus In toate sistemele de
operare folosite pe scar larg Inmomentul de fa (Windows, Unix, Mac
OS X)
-
8/7/2019 NetworkCourse[-Tot
9/217
Internetul
Cel mai mare proiect de interconectareuman
reea de reele information superhighway
1,4000,000,000 utilizatori h t t p: IIw ww .in t e r n e t w o r ld s t a t s. c om Is t a t s .h t m
Aplicaii diverse telnet, e-mail, ftp, WWW procesare distribuit colaborare entertainment
Parte integrant a societii In care trim transformri majore ale societii (e-commerce,
e-business, e-banking, e-learning, e-government, e-voting)
http://www.internetworldstats.comistats.htm/http://www.internetworldstats.comistats.htm/http://www.internetworldstats.comistats.htm/ -
8/7/2019 NetworkCourse[-Tot
10/217
Internetul (cont.)
Backbone
Local Network
Internet Service ISPProvider (ISP)
Local Network
Ion BICA 4
-
8/7/2019 NetworkCourse[-Tot
11/217
Stiva de protocoale TCPIIP
Ion BICA 5
-
8/7/2019 NetworkCourse[-Tot
12/217
Comunicaia Intre dou host-uri
Ion BICA 6
-
8/7/2019 NetworkCourse[-Tot
13/217
ncapsularea datelor
Ion BICA 7
-
8/7/2019 NetworkCourse[-Tot
14/217
Nivelul retea
Adresare Rutare pachete Interconectare subretele (internetworking) Furnizarea de servicii de comunicatie
universale pentru nivelul transportindependente de numrul, tipul sau
topologia subretelelor de comunicatiefolosite
-
8/7/2019 NetworkCourse[-Tot
15/217
Transferul pachetelor Intre surs i
Ion BICA 9
-
8/7/2019 NetworkCourse[-Tot
16/217
Caracteristicile nivelului retea
Servicii de tip best effort, connectionless
(fara secvente desetup sau connection establishment)
Fiecare pachet este rutat In mod independent In mod normal pachetele sunt rutate dup
adresa destinatie (se specific unde trebuie s
ajung pachetele nu i cum s ajung acolo) optional, se poate folosi i source routing (se
specific ruta prin care pachetul trebuie streac pentru a ajunge la destinatie) Pachetele se pot pierde, pot ajunge la
destinatie Intr-o ordine diferit sau pot sapar duplicate!
-
8/7/2019 NetworkCourse[-Tot
17/217
Protocoale de nivel retea
Ion BICA 11
-
8/7/2019 NetworkCourse[-Tot
18/217
Protocolul IP
Regulile de atribuire a adreselor Formatul pachetelor Modul de procesare al pachetelor Versiuni IP: IPv4, IPv6
Ion BICA 12
-
8/7/2019 NetworkCourse[-Tot
19/217
Formatul pachetelor IPv4
Ion BICA 13
-
8/7/2019 NetworkCourse[-Tot
20/217
(20..60 octeti)
Formatul pachetelor IPv4 (cont.)
Versiunea (4) Lungimea antetului
specificat In cuvinte de 32 biti domeniu de valori 5..15 cuvinte
Tipul serviciului 3 biti de precedent 4 biti calitatea serviciului (QoS)
Minimize Delay (1000) Maximum Throughput (0100)
Maximize Reliability (0010)
Minimize Monetary Cost (0001)
Normal Service (0000) Lungimea total a pachetului, In octeti
Ion BICA 14
-
8/7/2019 NetworkCourse[-Tot
21/217
Formatul pachetelor IPv4 (cont.)
ID-ul pachetului numr unic setat de calculatorul surs permite identificarea pachetelor fragmentate
(toate fragmentele au acelai ID)
Flags controlul fragmentrii pachetelor DF (Do not Fragment)
0 fragmentarea este permis 1 fragmentarea nu este permis
MF (More Fragments) 0 ultimul fragment 1 mai urmeaz i alte fragmente
Offset-ul fragmentului reasamblarea pachetelor fragmentate numrul de segmente de 64 biti
Ion BICA 15
-
8/7/2019 NetworkCourse[-Tot
22/217
Formatul pachetelor IPv4 (cont.)
Time To Live
limita superioara a numrului de hop-uri prin carepoate trece pachetul, Inainte de a fi abandonat Protocolul de nivel superior ctre care trebuie livratpachetul
0: Reserved 1: Internet Control Message Protocol (ICMP)
2: Internet Group Management Protocol (IGMP) 6: Transmission Control Protocol (TCP) 17: User Datagram Protocol (UDP)
Suma de control a antetului detectia erorilor
Adresa IP sursa (32 biti)
Adresa IP destinatie (32 biti) Optiuni
timestamp source routing
-
8/7/2019 NetworkCourse[-Tot
23/217
Adrese IP
Valoare pe 32 biti notatia zecimal cu punct
11000001 11100111 0001010100001010 = 193.231.21.10
Fiecare interfat de retea a unui host sauruter trebuie s aib asignat o adres IP
unic IP Address = [Network ID][Host ID] Asignarea adreselor de retea se face de ctreRegional Internet
Registries (RIR): American Registry for Internet Numbers
(ARIN): America de Nord, America de Sud,Africa de Sud (h t t p : IIw w w .a rin .n e t I)
Reseaux IP Europeans (RIPE): Europa, OrientulMi lociu Africa de Nord
http://www.arin.neti/http://www.arin.neti/http://www.arin.neti/ -
8/7/2019 NetworkCourse[-Tot
24/217
Clase de adrese IP
Ion BICA 18
-
8/7/2019 NetworkCourse[-Tot
25/217
Network ID Host ID Type of Address Purposeall 0s all 0s This computer Used during
bootstrap
network all 0s Network Identifies a
network
network all 1s Directed
broadcast
Broadcast on
specified net
all 1s all 1s Limited broadcast Broadcast on
local net
127 any Loop back testing
Adrese IP rezervate
Ion BICA 19
-
8/7/2019 NetworkCourse[-Tot
26/217
Adrese IP private
Adrese ce se recomand a fi alocate
calculatoarelor din retelele interne(Intranet)
Nu sunt rutate In Internet! RFC 3330
10.0.0.0 .. 10.255.255.255
172.16.0.0 .. 172.31.255.255 192.168.0.0 .. 192.168.255.255
-
8/7/2019 NetworkCourse[-Tot
27/217
Subretele IP
Modul standard de alocare a adreselor IP
este ineficient! instalare de noi retele locale creterea numrului statiilor dintr-o retea (nevoiasegmentrii)
Pentru a evita obtinerea unei noi adrese
IP de la RIR a fost introdus conceptul desubretea IP Address = [Network ID][Subnetwork ID][Host ID] Reteaua principal este format din mai
multe subretele! Adresele subretelelor sunt gestionate local!
-
8/7/2019 NetworkCourse[-Tot
28/217
Class In Binary In Dotted-Decimal Using Slash
A 11111111 00000000 00000000 00000000 255.0.0.0 /8
B 11111111 11111111 00000000 00000000 255.255.0.0 /16
C 11111111 11111111 11111111 00000000 255.255.255.0 /24
Subnet mask
Ion BICA 22
-
8/7/2019 NetworkCourse[-Tot
29/217
Rutarea pachetelor
Hop-by-Hop Algoritmul de rutare:
se recepioneaz un pachet;
da c pachetul este pentru acest host, atun c i furnizeaz-lnivelului superior;
altfel, uitte dup next hop n tabela de rutare;
da c exist o asemenea intrare, atun c i expediazpachetul;
altfel, abandoneaz pachetul.
-
8/7/2019 NetworkCourse[-Tot
30/217
Tabela de rutare
Continut
adresa IP destinatie (HOST I NET) masca de retea asociat adresa IP a ruterului (next hop) flag-uri (HOSTINET, RouterIDirect) interfata de retea pe care va fi expediat pachetul
Cutarea destinatiei1. caut o intrare de tip HOST2. caut o intrare de tip NET3. caut o intrare Default
Ion BICA 24
-
8/7/2019 NetworkCourse[-Tot
31/217
de
fau
lt
de
fa
ul
t
Exemplu de rutare local
A B
.10.35 .10.33
Enet, 140.252.10
Ion BICA 25
-
8/7/2019 NetworkCourse[-Tot
32/217
Exemplu de rutare local (cont.)
140.252.10.33A B
.10.35 .10.33
Enet, 140.252.10
Enet 140.252.10.33
Ion BICA
-
8/7/2019 NetworkCourse[-Tot
33/217
Exemplu de rutare local (cont.)
A B140.252.10.33
.10.35 .10.33
Enet, 140.252.10
Enet 140.252.10.33
Ion BICA 27
-
8/7/2019 NetworkCourse[-Tot
34/217
Exemplu de rutare printr-un
D.13.4
Enet, 140.252.13 .13.183
C
.13.190
A B
.10.35 .10.33
Enet, 140.252.10
Ion BICA 28
-
8/7/2019 NetworkCourse[-Tot
35/217
Exemplu de rutare printr-un
D.13.4
Enet, 140.252.13 .13.183
C
Next = 140.252.10.33
(default)
.13.190
192.252.1.183 A B
.10.35 .10.33
Enet, 140.252.10
Ion BICA 29
l d i
-
8/7/2019 NetworkCourse[-Tot
36/217
Exemplu de rutare printr-un
D.13.4
Enet, 140.252.13 .13.183
C
Next = 140.252.10.33
(default)
.13.190
192.252.1.183A B
.10.35 .10.33
Enet, 140.252.10
Ion BICAEnet 192.252.1.183
30
E l d t i t
-
8/7/2019 NetworkCourse[-Tot
37/217
Exemplu de rutare printr-un
D
.13.4
Enet, 140.252.13 .13.183
C
192.252.1.183
Next = 140.252.13.183
(default)
.13.190
A B192.252.1.183
.10.35 .10.33
Enet, 140.252.10
Ion BICAEnet 192.252.1.183
31
E l d t i t
-
8/7/2019 NetworkCourse[-Tot
38/217
Exemplu de rutare printr-un
D.13.4 Enet 192.252.1.183
Enet, 140.252.13 .13.183
192.252.1.183Next = 140.252.13.4 C
(default)
192.252.1.183
.13.190
A B
.10.35 .10.33
Enet, 140.252.10
Ion BICA 32
E l d t i t
-
8/7/2019 NetworkCourse[-Tot
39/217
Exemplu de rutare printr-un
D.13.4 Enet 192.252.1.183
Enet, 140.252.10 .13.183
Next = 140.252.11.2 C(default)
.13.190
A B
.10.35 .10.33
Enet, 140.252.13
Ion BICA 33
Fragmentarea pachetelor
-
8/7/2019 NetworkCourse[-Tot
40/217
Fragmentarea pachetelor
Pachetele pot strbate una sau mai
multe subretele pn la destinatie Nivelul legturii de date din fiecare
subretea impune o limit a lungimiicadrelor - Maximum Transmission Unit(MTU)
Ethernet 1500 FDDI 4352 X.25 576 Frame Relay 1600 PPP 296..1500
MTU nu se cunoate In avans! Fragmentarea pachetelor pe traseu ireasamblarea lor la destinatie
Fragmentarea pachetelor (cont )
-
8/7/2019 NetworkCourse[-Tot
41/217
Fragmentarea pachetelor (cont.)
Ion BICA 35
Comenzi IP
-
8/7/2019 NetworkCourse[-Tot
42/217
Comenzi IP
ifconfig (Unix) I ipconfig (Windows)
configurare interfate de retea netstat
afiare conexiuni de retea, tabela de rutare,statistici, etc
route
controlul tabelei de rutare
Protocolul ICMP
-
8/7/2019 NetworkCourse[-Tot
43/217
Protocolul ICMP
Pentru a realiza functiile de control sau de
rutare, protocolul IP (Internet Protocol)lucreaz In conjunctie cu alte protocoalede nivel retea : functii de control (ICMP) transmisii multicast (IGMP)
actualizarea tabelelor de rutare (RIP, OSPF, BGP, ) Protocolul ICMP (Internet Control
Message Protocol) este un protocolajuttor ce permite: efectuarea de interogri simple
raportarea erorilor de transmisie a pachetelor IP
Formatul mesajelor ICMP
-
8/7/2019 NetworkCourse[-Tot
44/217
Formatul mesajelor ICMP
Mesajele ICMP sunt Incapsulate In pachete IP Antet de 4 octeti:
type (1 byte): tipul mesajului ICMP code (1 byte): subtipul mesajului ICMP checksum (2 bytes): suma de control (calculat peste
Intreg mesajul ICMP) Informatii aditionale (min. 4 octeti)
dac nu sunt date de transmis, cei 4 octeti sunt setati pe0
Interogri ICMP
-
8/7/2019 NetworkCourse[-Tot
45/217
Interogri ICMP
TypeICode Description8/0 Echo Request
0/0 Echo Reply
13/0 Timestamp Request
14/0 Timestamp Reply
10/0 Router Solicitation
9/0 Router Advertisement
Ion BICA 39
Raportarea erorilor
-
8/7/2019 NetworkCourse[-Tot
46/217
Raportarea erorilor
Raportarea erorilor aprute In transmisiapachetelor IP Mesajele de eroare sunt raportate
programului aplicatie de pe calculatorulsurs
Raportarea erorilor (cont )
-
8/7/2019 NetworkCourse[-Tot
47/217
type code checksum
Unused (0x00000000)
Raportarea erorilor (cont.)
ICMP Message
from IP datagram that triggered the error
IP header ICMP header IP header 8 bytes of payload
Mesajul de eroare include header-ul IPal pachetului care a generat eroareaImpreun cu primii 8 octeti de date
Mesaje de eroare
-
8/7/2019 NetworkCourse[-Tot
48/217
Type Code Description Reason
3 015 Destination
unreachable
Notification that an IP datagram could not be
forwarded and was dropped. The code field
contains an explanation.
5 03 Redirect Informs about an alternative route for the
datagram and should result in a routing table
update. The code field explains the reason forthe route change.
11 0, 1 Time
exceeded
Sent when the TTL field has reached zero
(Code 0) or when there is a timeout for the
reassembly of segments (Code 1)
12 0, 1 Parameter problem
Sent when the IP header is invalid (Code 0) orwhen an IP header option is missing (Code 1)
Mesaje de eroare
Ion BICA 42
Mesaje de eroare (cont.)
-
8/7/2019 NetworkCourse[-Tot
49/217
Code Description Reason
0 Network Unreachable
No routing table entry is available for thedestination network.
1 Host
Unreachable
Destination host should be directly reachable, but
does not respond to ARP Requests.
2 ProtocolUnreachable The protocol in the protocol field of the IP headeris not supported at the destination.
3 Port
Unreachable
The transport protocol at the destination host
cannot pass the datagram to an application.
4 Fragmentation
Neededand DF Bit Set
IP datagram must be fragmented, but the DF bit in
the IP header is set.
Mesaje de eroare (cont.)
Ion BICA 43
Comenzi ICMP
-
8/7/2019 NetworkCourse[-Tot
50/217
Comenzi ICMP
ping
folosit pentru a detecta dac o statie este activ aplicatie client-server; serverul este implementat Inkernel msoar timpul de rspuns (RTT - Roud Trip Time) din rationamente de securitate este, de regul,blocat de firewall-uri
traceroute (Unix)/ tracert(Windows) folosit pentru a determina ruta pe care sunttransmise pachetele IP
bazat pe ICMP i UDP transmisia de pachete UDP cu TTL variabil (1,2,3,
) pentru a determina ruterele intermediare princare trece pachetul; atunci cnd TTL=0 ruterulabandoneaz pachetul i Intoarce mesajul deeroare time exceeded
pachetele UDP sunt transmise pe un port
Exemplu de ping
-
8/7/2019 NetworkCourse[-Tot
51/217
Exemplu deping
[foobar]# ping gatekeeper.dec.comPING gatekeeper.dec.com (204.123.2.2): 56 data bytes
64 bytes from 204.123.2.2: icmp_seq=0 ttl=240 time=37 ms64 bytes from 204.123.2.2: icmp_seq=1 ttl=240 time=35 ms64 bytes from 204.123.2.2: icmp_seq=2 ttl=240 time=32 ms64 bytes from 204.123.2.2: icmp_seq=4 ttl=240 time=35 ms64 bytes from 204.123.2.2: icmp_seq=6 ttl=240 time=37 ms64 bytes from 204.123.2.2: icmp_seq=7 ttl=240 time=33 ms64 bytes from 204.123.2.2: icmp_seq=8 ttl=240 time=37 ms64 bytes from 204.123.2.2: icmp_seq=9 ttl=240 time=54 ms
64 bytes from 204.123.2.2: icmp_seq=10 ttl=240 time=63 ms64 bytes from 204.123.2.2: icmp_seq=11 ttl=240 time=34 ms64 bytes from 204.123.2.2: icmp_seq=12 ttl=240 time=36 ms
----gatekeeper.dec.com PING Statistics----13 packets transmitted, 11 packets received, 15% packet lossround-trip (ms) min/avg/max = 32/40/63 ms
Ion BICA 45
Exemplu de traceroute
-
8/7/2019 NetworkCourse[-Tot
52/217
p
[foobar]# traceroute gatekeeper.dec.comtraceroute to gatekeeper.dec.com (204.123.2.2), 30 hops max, 40 byte
packets
1 cs-gw3-esl (128.138.241.65) 1 ms 0 ms 0 ms2 cs-gw-dmz (128.138.243.193) 3 ms 1 ms 2 ms3 engr-cs.Colorado.EDU (128.138.80.141) 2 ms 2 ms 2 ms4 hut-engr.Colorado.EDU (128.138.80.201) 2 ms 2 ms 2 ms5 cuatm-gw.Colorado.EDU (128.138.80.2) 2 ms 2 ms 2 ms6 den-edge-11.inet.qwest.net (205.169.250.49) 2 ms 5 ms 3 ms7 den-edge-04.inet.qwest.net (205.171.16.169) 4 ms 2 ms 5 ms8 den-core-01.inet.qwest.net (205.171.16.65) 5 ms 6 ms 8 ms9 * sfo-core-03.inet.qwest.net (205.171.5.35) 28 ms 27 ms
10 sfo-core-02.inet.qwest.net (205.171.18.9) 28 ms 26 ms 27 ms11 sjo-core-01.inet.qwest.net (205.171.5.121) 27 ms 27 ms 30 ms12 sjo-edge-05.inet.qwest.net (205.171.22.46) 31 ms 31 ms 30 ms13 maw-brdr-02.inet.qwest.net (205.171.4.122) 30 ms 33 ms *14 a11-0-0-4.sanjose1-br1.bbnplanet.net (4.24.145.1) 35 ms 30 ms 35 ms15 p2-0.sanjose1-nbr1.bbnplanet.net (4.0.3.193) 33 ms 32 ms 37 ms16 p4-0.paloalto-nbr2.bbnplanet.net (4.0.1.1) 34 ms 34 ms 40 ms17 * p1-0.paloalto-nbr1.bbnplanet.net (4.0.5.65) 34 ms 35 ms18 p4-0-0.paix.bbnplanet.net (4.0.6.45) 36 ms 37 ms 40 ms19 digital-gw1.pa-x.dec.com (4.0.2.114) 40 ms 34 ms 42 ms20 core-gw1.pa-x.dec.com (204.123.1.1) 38 ms * 41 ms21 gatekeeper.dec.com (204.123.2.2) 39 ms * 35 ms
Ion BICA
Protocolul ARP
-
8/7/2019 NetworkCourse[-Tot
53/217
Odat ce un pachet a fost rutat ctre o
retea specific, el trebuie furnizat unuianumit host Pachetul poart cu el doar adresa IPdestinatie Transmisia efectiv a datelor se face la
nivelul Legturii deDate (Nivelul 2) unde statiile sunt identificatedup adresa MAC
ARP (Address Resolution Protocol) este unprotocol de mapare a adreselor IP In adrese
MAC
Translatarea adreselor cu ARP
-
8/7/2019 NetworkCourse[-Tot
54/217
Resolver FTP
TCP
ARP IP
Ethernet
Driver
Ethernet Ethernet
Driver Driver
ARP ARP IP
TCP
Ion BICA 48
Translatarea adreselor cu ARP
-
8/7/2019 NetworkCourse[-Tot
55/217
Ion BICA 49
Caracteristici ARP
-
8/7/2019 NetworkCourse[-Tot
56/217
Cererea ARP folosete pachete de tip
broadcast Rspunsul ARP folosete pachete de tipunicast
Rspunsurile ARP sunt mentinute dekernel Intr-o tabela (aa numitul cache-
ARP). Intrrile din cache expir dup 20de minute Toate host-urile din retea receptioneaz
mesajul cerere i Isi actualizeazinformatia din cache
Comanda arp permite vizualizarea I modificarea intrrilor dincache-ulu ARP
Formatul pachetelor ARP
-
8/7/2019 NetworkCourse[-Tot
57/217
Ion BICA 51
Proxy ARP
-
8/7/2019 NetworkCourse[-Tot
58/217
Host-ul A poate rspunde In numele host-ului B lacererile ARP i prin urmare, toate pacheteledestinate lui B vor fi transmise lui A; host-ul A leretransmite mai departe lui B, prin functia derutare
Poate fi folosit pentru transmisia de pachete Intresubretele
Gratuitous ARP
-
8/7/2019 NetworkCourse[-Tot
59/217
Detectarea conflictelor de adrese IP
n cadrul secventei de bootare, host-ultransmite o cerere ARPpentru propria-i adresa IP
Daca un alt host rspunde la aceastcerere, Inseamn c adresa IP
respectiv este deja asignat
Translatarea adreselor IP
-
8/7/2019 NetworkCourse[-Tot
60/217
Atunci cnd o organizatie se conecteaz
la Internet primete de la ISP un numr(redus) de adrese IP publice (rutabile) Calculatoarele din reteaua intern
(Intranet) folosesc, de regul, adreseIP private:
10.0.0.0 .. 10.255.255.255 172.16.0.0 .. 172.31.255.255 192.168.0.0 .. 192.168.255.255
Adresele IP private nu sunt rutate InInternet!
Translatarea adreselor IP (cont.)
-
8/7/2019 NetworkCourse[-Tot
61/217
Cum se poate realiza comunicatiadintre un calculator din reteaua interni un calculator din Internet?
Translatarea adreselor IP (cont.)
-
8/7/2019 NetworkCourse[-Tot
62/217
Translatarea adreselor de retea (NAT -
Network Address Translation) estemecanismul prin care se face mapareaIntre o adresa IP privat i o adresa IPpublic IP masquerading
Prin NAT se modific header-ulpachetului IP original (se schimbadresele IP) trebuie recalculat suma de control
NAT se realizeaz la nivelul ruterului ce
asigur conectarea la Internet permitndcalculatoarelor din reteaua privat scomunice cu calculatoarele din Internet
Basic Network Address Translation
-
8/7/2019 NetworkCourse[-Tot
63/217
Translatarea adreselor se face prin intermediul unei
tabele NAT Este nevoie de un pool de adrese IP publice
Network Address Port Translation
-
8/7/2019 NetworkCourse[-Tot
64/217
Translatare de adres i port Accesul In exterior se poate face printr-o singuradres IP public
Nivelul transport
-
8/7/2019 NetworkCourse[-Tot
65/217
Protocoale de tip end-to-end ce asigur
servicii de comunicatie pentru nivelulaplicatie Sunt implementate numai la nivelul host-urilor
Porturi de comunicatie
-
8/7/2019 NetworkCourse[-Tot
66/217
ID-uri folosite pentru a identificaprocesele (aplicatiile) Intre care serealizeaz comunicatia
Numr pe 16 biti (65.536 porturi per host) Porturi standard
folosite de aplicatiile server standard Telnet (23Itcp), FTP (20,21Itcp), BOOTP (67,68Iudp),
WWW (80Itcp) fiierul sistem IetcIservices
valori cuprinse Intre 1-1023 asignate de IANA (Internet Assigned NumberAuthority) pot fi folosite numai de ctre procesele
sistem sau programele executate deutilizatori privilegiati
Porturi temporare (efemere) folosite de aplicatiile client
Porturi de comunicatie (cont.)
-
8/7/2019 NetworkCourse[-Tot
67/217
Ion BICA 61
Protocoale de nivel transport
-
8/7/2019 NetworkCourse[-Tot
68/217
Ion BICA 62
-
8/7/2019 NetworkCourse[-Tot
69/217
Formatul datagramelor UDP
-
8/7/2019 NetworkCourse[-Tot
70/217
Port Surs identific procesul care a trimis datagrama
Port Destinatie identific procesul cruia Ii este destinat datagrama
Lungimea total a datagramei, In octeti Suma de control
calculat peste un pseudo-header IP i datagrama UDPpropriu-zis
Aplicatii UDP
-
8/7/2019 NetworkCourse[-Tot
71/217
BOOTP (67,68Iudp)
Trivial File Transfer Protocol (69Iudp) Domain Name System (53Iudp) Simple Network Management Protocol(161Iudp)
Remote Procedure Call (111Iudp)
Protocolul TCP
-
8/7/2019 NetworkCourse[-Tot
72/217
Protocol orientat conexiune
Fiabilitate ridicat garanteaz livrareadatelor Asigur controlul fluxului i al erorilor
protocol cu fereastr glisant Full duplex schimb de date In ambele
directii simultan Transmisii unicast
Formatul segmentelor TCP
-
8/7/2019 NetworkCourse[-Tot
73/217
Ion BICA 67
Formatul segmentelor TCP (cont.)
-
8/7/2019 NetworkCourse[-Tot
74/217
Port Surs identific procesul care a trimis datele
Port Destinatie identific procesul cruia Ii sunt destinate datele
Numr secvent fiecare octet din cadrul fluxului de date este numerotat 0
-
8/7/2019 NetworkCourse[-Tot
75/217
Flag-uri URG segmentul contine un mesaj urgent
ACK numrul de confirmare din cadrulsegmentului este valid PSH notific receptorul s transfere toate
datele din buffer ctre nivelul aplicatie;transmis de regul de emittor atunci cnd
buffer-ul acestuia este gol RST resetare conexiune SYN sincronizare numere de secvent;
transmis In cadrul primului pachet de stabilirea conexiunii
FIN emittorul a terminat de transferat
datele; pentru a se Inchide completconexiunea, ambele prti trebuie s transmitcte un FIN
Dimensiunea ferestrei
Formatul segmentelor TCP (cont.)
-
8/7/2019 NetworkCourse[-Tot
76/217
Suma de control calculat peste un pseudo-header IP, antetul TCP izona de date
Pointer date urgente offset-ul din cadrul segmentului pn la care se afldatele urgente
SeqNo
-
8/7/2019 NetworkCourse[-Tot
77/217
Three-way handshake
Ion BICA 71
nchiderea unei conexiuni TCP
-
8/7/2019 NetworkCourse[-Tot
78/217
Ion BICA 72
Exemplu de sesiune TCP
1 172 20 1 21 1303 172 20 0 81 23 2668246764 2668246764(0)
-
8/7/2019 NetworkCourse[-Tot
79/217
1. 172.20.1.21.1303 > 172.20.0.81.23: S 2668246764:2668246764(0)win 65535
2. 172.20.0.81.23 > 172.20.1.21.1303: S 1722058968:1722058968(0)
ack 2668246765 win 61320 3. 172.20.1.21.1303 > 172.20.0.81.23: . ack 1 win 655354. 172.20.1.21.1303 > 172.20.0.81.23: P 1:22(21) ack 1 win 655355. 172.20.0.81.23 > 172.20.1.21.1303: P 1:13(12) ack 22 win 612996. 172.20.1.21.1303 > 172.20.0.81.23: P 22:25(3) ack 13 win 655237. 172.20.1.21.1303 > 172.20.0.81.23: P 25:28(3) ack 13 win 655238. 172.20.1.21.1303 > 172.20.0.81.23: P 28:31(3) ack 13 win 655239. 172.20.0.81.23 > 172.20.1.21.1303: P 13:28(15) ack 25 win 6131710. 172.20.1.21.1303 > 172.20.0.81.23: P 31:40(9) ack 28 win 65508
11. 172.20.0.81.23 > 172.20.1.21.1303: P 28:46(18) ack 40 win 61311...12. 172.20.0.81.23 > 172.20.1.21.1303: F 1052:1052(0) ack 107 win 6132013. 172.20.1.21.1303 > 172.20.0.81.23: . ack 1053 win 6448414. 172.20.1.21.1303 > 172.20.0.81.23: F 107:107(0) ack 1053 win 6448415. 172.20.0.81.23 > 172.20.1.21.1303: . ack 108 win 61319
Ion BICA 73
Aplicatii TCP
-
8/7/2019 NetworkCourse[-Tot
80/217
File Transfer Protocol (20,21Itcp)
Telnet (23Itcp) Simple Mail Transfer Protocol (25Itcp) Hypertext Transfer Protocol (80Itcp) Post Office Protocol (110Itcp) Internet Message Access Protocol (143Itcp)
Lightweight Directory Access Protocol(389Itcp)
Domain Name System (DNS)
-
8/7/2019 NetworkCourse[-Tot
81/217
Adresele IP sunt folosite pentru a identificaun host In retea Adresele IP sunt dificil de memorat de ctreutilizatori
e dificil s memorezi numere ( ex. 193.231.21.10) e mult mai uor s retii nume (ex. w ww .m t a. r o)
Sistemul numelor de domenii (DNS DomainName System)permite conversia numelor In adrese IP iinvers
Nume de domenii
N l d d ii t i t i hi
http://www.mta.ro/http://www.mta.ro/ -
8/7/2019 NetworkCourse[-Tot
82/217
Numele de domenii sunt organizate ierarhicastfel Inct s se asigure unicitatea i s poat
fi uor de retinut Domenii primare:
generice: .mil, .gov, .org, .edu, .com, .int, .net, .biz, .info Internet Corporation for Assigned Names
and Numbers (ICANN) -h tt p :II ww w .icann .o r gI
state: .us, .uk, .fr, .ro,
codul trii format din 2 caractere (ISO 3166) Sub-domenii:
firme sau organizatii
Nume de calculatoare Fully Qualified Domain Name (FQDN)
concatenare de etichete (www,mta,ro) separate
prin punct (.) fiecare etichet poate s aib maxim 63 de caractere lungimea maxim este de 255 caractere www .m t a .ro sau www .m t a .ro.
Ierarhia numelor
(root)
http://www.icann.orgi/http://www.icann.orgi/http://www.mta.ro/http://www.mta.ro/http://www.icann.orgi/http://www.mta.ro/http://www.mta.ro/ -
8/7/2019 NetworkCourse[-Tot
83/217
. (root)
Top-leveldomanins
mil gov org edu com ro
mta
www mail cs
lms indy
Ion BICA 77
Arhitectura DNS
Ba de date distrib it
-
8/7/2019 NetworkCourse[-Tot
84/217
Baz de date distribuit
Spatiul de nume se divide In zone care nu trebuie s
se suprapun O zon poate include unul sau mai multe domenii
Pentru fiecare zon trebuie s existe un server denume primar(autoritar) i eventual unul sau maimulte servere secundare (replici) care realizeazconversia (rezolutia) de nume pentru host-urile dinzona respectiv
mta.ro
mm
tta
a.r.roomta.roDD
Nm
Sta
D.r
Bo
DNS DB DNNSSDDBB
DNS Root Servers
Folosite
-
8/7/2019 NetworkCourse[-Tot
85/217
Folositepentru a
afla caresuntservereleautoritarepentrutop-level
domains
13servereIn total
Serverecriticepentrufunctiona
DNS Root Servers (cont.)
A ROOT SERVERS NET (VeriSign
-
8/7/2019 NetworkCourse[-Tot
86/217
A.ROOT-SERVERS.NET. (VeriSign,Dulles, VA) 198.41.0.4
B.ROOT-SERVERS.NET. (ISI, MarinaDel Rey CA) 192.228.79.201C.ROOT-SERVERS.NET. (CogentCommunications) 192.33.4.12
D.ROOT-SERVERS.NET. (Universityof Maryland) 128.8.10.90
E.ROOT-SERVERS.NET. (Nasa AmesResearch Center) 192.203.230.10F.ROOT-SERVERS.NET. (InternetSystems Consortium) 192.5.5.241G.ROOT-SERVERS.NET. (US
Department of Defense) 192.112.36.4H.ROOT-SERVERS.NET. (US ArmyResearch Lab) 128.63.2.53I.ROOT-SERVERS.NET.
Rezolutia de nume
1 Atunci cnd o aplicatie
-
8/7/2019 NetworkCourse[-Tot
87/217
1. Atunci cnd o aplicatieare nevoie s fac oconversie de nume,apeleaz un programspecial denumitresolver (client DNS)
2. Resolver-ulcontacteaz serverulde nume (server DNS)
3. Serverul de nume faceconversia i returneazadresa IP resolver-ului
4. Resolver-ul comunic adresa IPaplicatiei
Servere de nume: BIND (BerkeleyInternet Name Domain) Resolvere interactive: nslookup,
hostsau dig
Interogri DNS
Exist dou tipuri de interogri DNS:
-
8/7/2019 NetworkCourse[-Tot
88/217
Exist dou tipuri de interogri DNS: recursive iterative (incrementale)
Interogri recursive: dac serverul DNSnu cunoate adresa pentru numelesolicitat, atunci va interoga alte servereDNS pentru a afla rspunsul
Interogri iterative: daca serverul DNSnu tie s rspund direct, atunci vareturna adresa altui server DNS (numiti referral) care ar putea s rspund lainterogare
DNS folosete portul 53 UDP I TCP UDP este folosit pentru interogri TCP este folosit pentru transferurile zonale
Interogri recursive
-
8/7/2019 NetworkCourse[-Tot
89/217
ntr-o interogare recursiv, resolver-ul se ateapts primeasc un rspuns de la server
Serverul de nume interogheaz pe rnd celelalteservere plecnd de la root pn afl rspunsul
Ion BICA 83
Interogri iterative
-
8/7/2019 NetworkCourse[-Tot
90/217
ntr-o interogare iterativ resolver-ul afl de laserverul de nume local care este serverul autoritarpentru domeniul respectiv
Toate interogrile sunt fcute de resolver
Caching
Rezultatele interogrilor se tin In
-
8/7/2019 NetworkCourse[-Tot
91/217
Rezultatele interogrilor se tin Incache-ul local pentru a fi refolosite
dac e cazul Toate rspunsurile DNS includ un TTL ce
specific ct timp poate fi tinutinformatia In cache
Dac rspunsul la o interogare se afl Incache atunci nu mai este cazul s secontacteze alt server de nume
n cazul In care rspunsul este dat dincache atunci acesta este marcat ca fiind
unauthoritative
Tipuri de Inregistrri
Intrrile din baza de date DNS poart
-
8/7/2019 NetworkCourse[-Tot
92/217
Code Name Descript
1 A A 32 bit IPv4 address.
2 NS
The DNS name of an authoritative nameserver for a domain.
5 CNAME A canonical name or alias for a DNS name.
12
PTR
A pointer to a namespace used for reverselooku .
15
MX
Name of the email server for the domain.
2 AAAA A 128 bit IPv6 address.
Intrrile din baza de date DNS poartdenumirea de resource record (RR)
Principalele tipuri de Inregistrri:
Ion BICA 86
Tipuri de Inregistrri (cont.)
$TTL 86400
-
8/7/2019 NetworkCourse[-Tot
93/217
abc.ro. IN SOAns.abc.ro.
a d m in @ a b c .ro. (1 ; serial28800 ; refresh7200 ; retry604800 ; expire86400 ; ttl
);abc.ro. IN NS
ns.abc.ro. abc.ro. INMX mail.abc.ro.
;localhost IN A
127.0.0.1 ns.abc.ro.IN A10.0.1.10 mail.abc.ro.IN A10.0.1.15 c1.abc.ro.
Reverse DNS
. (root) Conversia
mailto:[email protected]:[email protected]:[email protected]:[email protected] -
8/7/2019 NetworkCourse[-Tot
94/217
Conversiaadreselor IP In
numearpa ro Ierarhie
separat bazatpe nume IP
193.231.21.10 estescrisin-addr mtaca 10.21.231.193.in-addr.arpa
193 www ATM gestioneaz
spatiul193.231.21.10 de nume
21.231.193.in-231 addr.arpa
Standardizarea TCPIIP
Internet Society
-
8/7/2019 NetworkCourse[-Tot
95/217
y promovarea folosirii i accesului la Internet
Internet Architecture Board (IAB) supervizarea dezvoltrii din punct de vedere tehnica Internetului
Internet Research Task Force (IETF) crearea de noi protocoale, aplicatii, arhitecturi i
tehnologii pentruInternet
Internet Engineering Task Force (IETF) promovarea standardelor Internet
colaborare strns cu W3C i ISOIIEC Internet Engineering Steering Group (IESG) procesul de standardizare
- -
Probleme de securitate
Atunci cnd au fost proiectate protocoalele
-
8/7/2019 NetworkCourse[-Tot
96/217
p pTCPIIP, securitatea nu a reprezentat o
prioritate Pachetele circul prin intermediul unor
noduri intermediare nesigure n majoritatea cazurilor, pachetele circul Inclar prin retea Adresele IP pot fi uor falsificate Existenta unor puncte unice de defectare(DNS)
Atacuri pasive
-
8/7/2019 NetworkCourse[-Tot
97/217
Interceptarea traficului (packet sniffing) foarte multe aplicatii transmit date confidentiale(parole) In clar
Analiza traficului
Atacuri active
-
8/7/2019 NetworkCourse[-Tot
98/217
Mascarada Modificarea continutului pachetelor Deturnarea sesiunilor
Blocarea functionrii serviciilor (Denial ofService I DistributedDenial of Service)
Mecanisme de protectie
Autentificarea entittilor
-
8/7/2019 NetworkCourse[-Tot
99/217
Criptarea traficului
Sisteme Firewall Sisteme IDSIIPS
Ion BICA 93
-
8/7/2019 NetworkCourse[-Tot
100/217
Ion BICA 94
-
8/7/2019 NetworkCourse[-Tot
101/217
Securitatea la nivel retealocala (LAN)
Securitatea la nivel LAN
De ce securitate la nivel LAN?
-
8/7/2019 NetworkCourse[-Tot
102/217
Atacuri specifice si contramasuri Atacuri de tip MAC Atacuri de tip DHCP Atacuri de tip ARP
Alte tipuri de atacuri
2
De ce securitate la nivel LAN ?
99% din porturile de retea aleiil t d hi
-
8/7/2019 NetworkCourse[-Tot
103/217
companiilor sunt deschise In mod obisnuit, orice laptop se poate
conecta pe unul din aceste porturi siobtine acces in retea
Studiul anual facut de CISIFBI (ComputerCrime and Security Survey,h tt p : IIi. cmpne t. com I gocs iIdb_ a r e a I pd f s If b iIF B I20 05 .pd farata ca:
Cel putin 55% din atacuri provin dininteriorul retelei locale
Pierderile estimate (cumulate) ale
companiilor care au raspuns la interviu (639)au fost de aproximativ 130 milioane dolari
Securitatea la nivel LAN
De ce securitate la nivel LAN?
-
8/7/2019 NetworkCourse[-Tot
104/217
Atacuri specifice si contramasuri Atacuri de tip MAC Atacuri de tip DHCP Atacuri de tip ARP
Alte tipuri de atacuri
4
Adrese MAC
Rol: permit comunicatia fizica intre doua statii aflate peacelasi segment de retea
-
8/7/2019 NetworkCourse[-Tot
105/217
g(adresele IP, de nivel 3, permit comunicatia intre doua statii
aflate in retele diferite)
Pentru a-si indeplini rolul si a optimiza distributiatraficului, switch-urile invata aceste adrese,memorandu-le intr-o asa numita tabela MAC (se mainumeste si Content Addressable Memory CAM)
Tabela MAC a unui switch dispune de o zona limitatade memorie (parametru important al unui switch)
Functionarea normala a unui switch1I3
-
8/7/2019 NetworkCourse[-Tot
106/217
6
Functionarea normala a unui switch2I3
-
8/7/2019 NetworkCourse[-Tot
107/217
7
Functionarea normala a unui switch3I3
-
8/7/2019 NetworkCourse[-Tot
108/217
8
Atac de tip MAC Flooding
Depasirea capacitatii tabelei MAC
-
8/7/2019 NetworkCourse[-Tot
109/217
9
Contramasuri la atacurile de tip Limitarea numarului maxim de adrese MAC
invatate pe un port de switch
-
8/7/2019 NetworkCourse[-Tot
110/217
invatate pe un port de switch
Solutia: Limitarea numarului de adrese MAC permise
pe un port (Mecanismul Port Security)
blocarea portului in caz de depasire
informarea administratorului prin transmiterea
unei trape SNMP
10
Securitatea la nivel LAN
De ce securitate la nivel LAN?Atacuri specifice si contramasuri
-
8/7/2019 NetworkCourse[-Tot
111/217
Atacuri specifice si contramasuri Atacuri de tip MAC Atacuri de tip DHCP Atacuri de tip ARP
Alte tipuri de atacuri
11
DHCP Descriere sumara
-
8/7/2019 NetworkCourse[-Tot
112/217
Administratorul configureaza un spatiu de adrese IPalocabil dinamic Server-ul aloca dinamic o adresa IP, la cerere Adresa este alocata pentru o perioada de timp In campul Options sunt furnizate informatiisuplimentare
Atacul de tip DHCP Starvation
-
8/7/2019 NetworkCourse[-Tot
113/217
Attacker
Atacatorul incearca sa inchiriezelobtina toate adresele IPdisponibile prin DHCP Atac de tip DoS
Contramasura pentru DHCPStarvation
-
8/7/2019 NetworkCourse[-Tot
114/217
Atacatorul face o noua cerere DHCP, utilizand o altaadresa MAC Mecanismul Port Security restrictioneaza numarulmaxim de adrese MAC
acceptate pe un port
Atacatorul nu va putea obtine un numar deadrese IP mai mare decat numarul maxim deadrese MAC acceptate pe acel port
Atacul de tip Rogue DHCP Server1l2
-
8/7/2019 NetworkCourse[-Tot
115/217
15
Atacul de tip Rogue DHCP Server2l2
Ce poate face serverul DHCP al atacatorului?
-
8/7/2019 NetworkCourse[-Tot
116/217
Furnizeaza informatii incorecte, cum ar fi:Default Gateway Adresa IP aatacatorului DNS Server Atacatorul este server DNSAdresa IP Alocata incorect(atac de tip DoS)
Contramasura pentru atacul de tipRogue DHCP Server Mecanismul
-
8/7/2019 NetworkCourse[-Tot
117/217
La activarea mecanismului, implicit, toate porturile unui switch sunt in stareaUntrusted Se va configura starea Trust pe portul pe care se afla server-ul DHCP
(eventual, pe portul de uplink, daca server-ul nu se afla pe acelasiswitch)
Switch-ul blocheaza mesajele DHCP Reply ce vin de pe porturile marcateUntrusted Switch-ul intercepteaza mesajele DHCP Reply ce vin de pe portul
Trusted si construieste in memorie o tabela de corespondenta Intrarile din tabela expira dupa Lease time
Securitatea la nivel LAN
De ce securitate la nivel LAN? Atacuri specifice si contramasuri
-
8/7/2019 NetworkCourse[-Tot
118/217
p Atacuri de tip MAC Atacuri de tip DHCP Atacuri de tip ARP
Alte tipuri de atacuri
18
ARP Descriere sumara 1l2
Inainte ca o statie sa poata comunica cu o alta, aceastava transmite o cerere ARP, cu scopul de a-i afla adresafizica (MAC)
-
8/7/2019 NetworkCourse[-Tot
119/217
ca ( C) Cererea ARP este trimisa sub forma de broadcast (atat lanivel 2, cat si la nivel 3) Toate statiile din aceeasi retea vor receptiona si procesa
cererea ARP; de raspuns, va raspunde doar statia careisi va identifica propriul IP in continutul cererii
ARP Descriere sumara 2l2
In conformitate cu standardul ARP, unei statii ii estepermis sa transmita un raspuns ARP nesolicitat, subforma de unicastlbroadcast, sau o cerere ARP pentrupropria adresa IP (Gratuitous ARP)
-
8/7/2019 NetworkCourse[-Tot
120/217
propria adresa IP (Gratuitous ARP) Celelalte statii din retea pot memora aceasta informatie inpropriile tabele ARP Astfel, oricine poate pretinde ca este proprietarul unuiIPlMAC Atacurile de tip ARP folosesc aceasta posibilitate, pentruredirectionarea traficului
Atac de tip ARP 1l3
Atacatorul modificatabelele ARP aleruterului si PC-ului
-
8/7/2019 NetworkCourse[-Tot
121/217
Atac de tip ARP 2l3
Tot traficul este, astfel, interceptat
-
8/7/2019 NetworkCourse[-Tot
122/217
22
Atac de tip ARP 3l3
In final, atacatorul corecteaza tabelele ARP Traficul revine la normal
-
8/7/2019 NetworkCourse[-Tot
123/217
23
-
8/7/2019 NetworkCourse[-Tot
124/217
Securitatea la nivel LAN
De ce securitate la nivel LAN? Atacuri specifice si contramasuri
-
8/7/2019 NetworkCourse[-Tot
125/217
Atacuri de tip MAC Atacuri de tip DHCP Atacuri de tip ARP
Alte tipuri de atacuri
25
Securitatea la nivel LAN
Atacuri de tip Spoofing (Disimulatie) Atacuri de tip Spanning Tree
-
8/7/2019 NetworkCourse[-Tot
126/217
Atacuri de tip VLAN Hopping
26
-
8/7/2019 NetworkCourse[-Tot
127/217
27
-
8/7/2019 NetworkCourse[-Tot
128/217
Sisteme Firewall
Agenda
Introducere
Terminologie
-
8/7/2019 NetworkCourse[-Tot
129/217
Tipuri de firewall Modalitati de implementare Caracterisitici cheie
2
Introducere - Securitatea retelelor
De ce este greu de realizat ? Sisteme interconectate
Acces facil (in crestere)
-
8/7/2019 NetworkCourse[-Tot
130/217
Platforme ProblemeUnix, LinuxWindowsMac OSNovell
Open VMS
Patches, Bug fixes, suspiciunile cuprivire la un program bine scris Viermii
The Internet Worm, MichaelangeloMelissa, Kournakova, CodeRed, MyDoomBlaster, Nimda, SQLSlammer, SoBigBagle, Sdbot, Nachi, W32.BugbearW32/Palyh, Santy, Sober, ZotobCommwarrior.B, TK, etc
3
Pentru utilizatori Pentru alte sisteme
Securitate distribuita Datele nu mai exista intr-un singur loc (sunt distribuite)
Securitatea trebuie coordonata
Securitatea retelelor - Riscuri
Resurse si Amenintari Exemple de resurse
Servere Web, Mail Servere de aplicatii, servere de baze de date
-
8/7/2019 NetworkCourse[-Tot
131/217
Software-ul, aplicatiile, datele Exemple de amenintari
Angajati rau intentionati sau incompetenti Cod executabil continand vicii ascunse Crackers
Obiectivele principale pentru securizarea fiecareiresurse sunt:
Disponibilitatea Confidentialitatea Integritatea
Fiecare amenintare trebuie examinata dinperspectiva gradului in care afecteaza cele treiobiective
Zone de abordare a securitatii, pentru protectiaresurselor
Securitatea la nivelul masinii Securitatea software-ului Securitatea fizica
Securitatea la nivelul datelor
Zone de abordare a securitatii
Securitatea la nivelul datelor Datele nu trebuie sa fie accesate sau modificate
de catre persoane sau programe neautorizate
-
8/7/2019 NetworkCourse[-Tot
132/217
Asigurarea faptului ca datele nu pot fi alterate,sterse sau pierdute este critica pentrufunctionalitatea aplicatiilor
Proceduri de salvare si restaurareJurnalizare si audit Mecanisme de asigurare a integritatii (sume de
control, functii de hashing criptografic, etc) Securitatea la nivelul
comunicatiilor Conectarea la retea asigura accesul la date siresurse de calcul Probleme:
Care calculatoare au acces ? Ce protocoale se vor utiliza ? Cum se va asigura accesul si cui ?
Agenda
Introducere Terminologie
-
8/7/2019 NetworkCourse[-Tot
133/217
Tipuri de firewall Modalitati de implementare Caracterisitici cheie
6
Terminologie
Pachet Filtru de pachete fara stare (stateless)
-
8/7/2019 NetworkCourse[-Tot
134/217
Filtru de pachete cu stare (stateful) Gateway de aplicatie DMZ Retele protejate si neprotejate
Inbound vs. outbound
7
Terminologie definitii
Pachet unitatea de informatie creata de un protocol de retea, pentrua transporta date si informatie de control. In contextul stivei TCP/IP semai numeste si datagrama.
Filtru de pachete fara stare (Stateless Packet Filter) o
d li d fil fi l i( h l ) b l d i l d l i/ d f
-
8/7/2019 NetworkCourse[-Tot
135/217
modalitate de filtrare a traficului(pachetelor) bazata pe numarul de port, tipul de protocol si/sau adresa, fara alua in considerare contextul
Filtru de pachete cu stare (Stateful Packet Filter) unfiltru de pachete care ia in considerare relatia dintre acestea (contextul)si mentine (memoreaza atat timp cat este necesar) informatia cu privirela conexiunile deschise
Gateway de aplicatie o modalitate de intermediere securizata aaccesului clientilor la servicii, numita adesea si proxy sau relay
DMZ (DeMilitarized Zone) un segment de retea dispus intreexterior (o retea neprotejata, Internet) si reteaua interna (protejata),avand rolul de a intermedia schimbul de informatii. Este reteaua in care,de regula, sunt dispuse serviciile publice si gateway-urile de aplicatie.
Retele protejate si neprotejate Retelele protejate sunt localizate in spatele unui firewall, fiind protejateprin politicile acestuia Retelele neprotejate, cum ar fi Internet-ul, stau in fata unui
firewall si nu sunt protejate de catre politicile acestuia
DDiirrececttiiii aallee ttrraaffiicculuuluii
Inbound = spre interiorul zonei protejate de firewall Outbound = spre exteriorul zonei protejate de firewall
Agenda
Introducere Terminologie
i i d fi ll
-
8/7/2019 NetworkCourse[-Tot
136/217
Tipuri de firewall Modalitati de implementare Caracterisitici cheie
9
Ce este un Firewall ?
Reguli care determina
Cine ? Cand ?
-
8/7/2019 NetworkCourse[-Tot
137/217
Cine ? Cand ?Ce ? Cum ?
PC
IINNTTEERRNENETT
Retea Privata
Firewall
10
Ce nu este un Firewall ?
Un panaceu pentru toate problemele desecuritate din retea
-
8/7/2019 NetworkCourse[-Tot
138/217
O arhitectura de securitate completa
Ceva ce se configureaza din zbor
Un mijloc de protectie impotriva virusilor
Tipuri de firewall
Packet filtering firewall Stateful inspection firewall
P fi ll
-
8/7/2019 NetworkCourse[-Tot
139/217
Proxy firewall Personal firewall NAT firewall
12
Packet filtering firewall 1/2
Permite sau interzice pachetele, functie deadresa IP
/d ti ti t (TCP/UDP)
-
8/7/2019 NetworkCourse[-Tot
140/217
sursa/destinatie sau port (TCP/UDP) Nu memoreaza o informatie de stare;
deciziile sunt luate numai dupa continutulpachetului curent, fara a lua in considerarecontextul
Este o facilitate in software-ul oricarui rutersau switch Performanta inalta
Fragmentarea pachetelor poate cauzaprobleme
Packet filtering firewall 2/2
-
8/7/2019 NetworkCourse[-Tot
141/217
Filtru de pachete fara stare (stateless) sunt necesare doua liste de control alaccesului:1. Permite traficul HTTP de la 10.0.0.0/24, spreww w .y a h o o .c om2. Permite traficul HTTP de la w w w .y a h o o .c o m, spre
10.0.0.0/24
Stateful inspection firewall 1/2
Este un filtru de pachete Mentine o informatie de stare
Stateful firewall inspecteaza si memoreazainformatii de stare pentru fiecare conexiune
http://www.yahoo.com/http://www.yahoo.com/http://www.yahoo.com/http://www.yahoo.com/ -
8/7/2019 NetworkCourse[-Tot
142/217
Stateful firewall inspecteaza si memoreazainformatii de stare pentru fiecare conexiunece trece prin firewall
Pentru asta, firewall-ul trebuie sa inspecteze fiecarepachet Odata ce un pachet este identificat ca facand
parte dintr-o conexiune stabilita, procesarea
acestuia poate fi optimizata (lua o cale maiscurta)
Performanta inalta Cel mai popular firewall
Stateful inspection firewall 2/2
-
8/7/2019 NetworkCourse[-Tot
143/217
Este suficienta o singura lista de control al accesului:1. Permite traficul HTTP de la 10.0.0.0/24, sprewww . y a hoo . c o m
Proxy Firewall
Foloseste o aplicatie proxy specifica Are acces la nivel de protocol
http://www.yahoo.com/http://www.yahoo.com/ -
8/7/2019 NetworkCourse[-Tot
144/217
Toate cererile si raspunsurile trec prin proxy server,validate de acesta Exista doua conexiuni separate: client-proxy, proxy-server extern(intern)
Fiecare serviciu are nevoie de un proxy separat Nu toate serviciile suporta proxy
Personal firewall Versiune simplificata a unui firewall de retea, destinatacalculatoarelor personale Interzice conexiunile de intrare, daca nu au fost explicitpermise Inspecteaza traficul de intrare/iesire si protejeaza
-
8/7/2019 NetworkCourse[-Tot
145/217
Inspecteaza traficul de intrare/iesire si protejeazalaptop-urile si desktop-urile de unele atacuri
Se recomanda utilizarea coroborata cu o solutie de HostIntrusion Prevention
Systems (HIPS) Exemple de personal firewall:
ZoneAlarm ( w w w .z one la b s .com)
BlackICE Defender ( h tt p ://b lack ice .is s .net) Tiny Personal Firewall ( w ww . tinyso ft wa r e .com) Norton Personal Firewall (w w w .sy m an t ec .com) Windows XP Firewall (activare: Start -> Settings -> ControlPanel, selectare Local Area
Connection, apasare buton Properties, click pe tab-ulAdvanced)
NAT Firewall
NAT (Network Address Translation) modalitate de translatare a adreselor IP bazata pe mapari staticesau dinamice (many to many), utilizand un spatiu (pool) deadrese IP special destinat:
NAT-ul static nu ofera nici un fel de protectie La NAT-ul dinamic sursa este vizibila atat timp cat translatia este activa
http://www.zonelabs.com/http://blackice.iss.net/http://blackice.iss.net/http://blackice.iss.net/http://blackice.iss.net/http://www.tinysoftware.com/http://www.tinysoftware.com/http://www.symantec.com/http://www.symantec.com/http://www.zonelabs.com/http://blackice.iss.net/http://www.tinysoftware.com/http://www.symantec.com/ -
8/7/2019 NetworkCourse[-Tot
146/217
p NAT-ul nu asigura facilitati de securitate L3 sau L4, comune firewall-
urilor (verificarea secventei TCP, verificarea fragmentelor, etc) NAT-ul nu este un mijloc de securitate
PAT (Port Address Translation) modalitate detranslatare a adreselor IP sursa in care se foloseste mapareaacestora intr-o singura adresa IP (many to one; de regula, cea ainterfetei externe)
PAT-ul este un mecanism la nivel L4, care blocheaza fluxurile de datenedefinite La fel ca la NAT, PAT-ul nu asigura facilitati de securitate L3 sau L4 Nu inlocuieste un firewall, dar este mai bun decat nimic
Agenda
Introducere Terminologie
Tipuri de firewall
-
8/7/2019 NetworkCourse[-Tot
147/217
Tipuri de firewall Modalitati de implementare Caracterisitici cheie
20
Modalitati de implementare firewall
Sistem de operare specializat, securizat Niveluri de performanta/pret multiple Usurinta in administrare
-
8/7/2019 NetworkCourse[-Tot
148/217
Ruleaza pe sisteme de operare de uzgeneral Pe hardware de uz general Nivel de performanta cel mult mediu
Nivel foarte inalt de performanta Se integreaza in infrastructura de reteaexistenta
Asigura o protectie a investitiei Dedicat conexiunilor WAN/Internet Trebuie avut in vedere gradul de
afectare a performantei de rutare a
pachetelor (in pps packet persecond)
Produse firewall de retea
Cisco PIX Firewall, Cisco ASA Firewall si CiscoIOS Firewall
Check Point VPN-1/FireWall-1 NGXJ i N tS
-
8/7/2019 NetworkCourse[-Tot
149/217
Check Point VPN 1/FireWall 1 NGX Juniper NetScreen Fortinet FortiGate
Secure Computing SnapGear SonicWall Pro Series Firewall Stonesoft StoneGate Linux netfilter/iptables
Agenda
Introducere Terminologie
Tipuri de firewall
-
8/7/2019 NetworkCourse[-Tot
150/217
Tipuri de firewall Modalitati de implementare Caracterisitici cheie
23
Necesitatea tratarii avansate a
Unele protocoale sau aplicatii: negociaza conexiuni pe porturi alocate in moddinamic porturile negociate sau adresele IP sunt incapsulate
-
8/7/2019 NetworkCourse[-Tot
151/217
p g pin campul de date
Un firewall trebuie sa inspecteze pachetulin campul de date si trebuie sa executeurmatoarele operatiuni, functie de
protocol sau aplicatie: sa deschida sau sa inchida intr-un mod sigurporturile sau adresele IP
negociate, pentru a permite conexiuni de tip client-server prin firewall
in cazul utilizarii NAT, sa modifice adresele IP siin interiorul pachetelor de date
sa inspecteze pachetele de date pentru a
Exemplu Protocolul FTP
Modul standard Modul pasivServer
ClientServer
Client
-
8/7/2019 NetworkCourse[-Tot
152/217
Data Command Command Data Data Command Command Dataport port port port port port port port20 21 2008 2010 1490 21 2008 2010
Port 2010 Passive?
Port 2010 OK Passive OK Port 1490
Data Data
25
Exemplu Aplicatiile multimedia
Protocoale
H.323 v1, v2
SIP TCP or UDP SCCP request
-
8/7/2019 NetworkCourse[-Tot
153/217
SCCP request
Aplicatii
Cisco VoIP, IP Telephony, Video
Conference
Microsoft NetMeeting
Intel Video Phone
CUseeMe Networks
MeetingPointAdditional
CUseeMe Pro UDP or TCP
VocalTel high portsmay be opened
Internet Phone
Gatekeeper
26
-
8/7/2019 NetworkCourse[-Tot
154/217
-
8/7/2019 NetworkCourse[-Tot
155/217
28
Sisteme pentru
-
8/7/2019 NetworkCourse[-Tot
156/217
Sisteme pentruDetectarea /Prevenirea
Intruziunilor (IDS/IPS)
Definiii
Intruziune
set de aciuni avnd ca obiectivcompromiterea securitii unui calculator /
reea de calculatoareD i i il (i i d i )
-
8/7/2019 NetworkCourse[-Tot
157/217
Detectarea intruziunilor (intrusion detection)
procesul de identificare i combatere a intruziunilor
Sisteme pentru detectarea intruziunilor (IDS)
unelte i metode ce ajut la identificarea,evaluarea i raportarea intruziunilor
echivalent cu sistemele de securitate fizic:camere de supraveghere, senzori de micare,etc
-
8/7/2019 NetworkCourse[-Tot
158/217
-
8/7/2019 NetworkCourse[-Tot
159/217
Terminologie
fals pozitiv (false positive) activittile normale sunt considerate atacuri
fals negativ (false negative) activittile malitioase nu sunt detectate
-
8/7/2019 NetworkCourse[-Tot
160/217
atac de tip low and slow
atac I virus in the wild atac I virus in the zoo
Ion BICA 5
Arhitectura unui IDS
-
8/7/2019 NetworkCourse[-Tot
161/217
Ion BICA 6
Tipuri de IDS
Functie de modul de colectare aevenimentelor
IDS la nivel retea (NIDS Network based IDS)
IDS la nivel host (HIDS Host-based IDS) IDS la nivel aplicatie
-
8/7/2019 NetworkCourse[-Tot
162/217
IDS la nivel aplicatie
Functie de mecanismul dedetectie folosit
IDS bazat pe semnturi (signature based)
IDS bazat pe anomalii (anomaly based) Functie de modul de rspuns
la intruziuni IDS pasive IDS active
IDS la nivel retea
Monitorizarea traficului din retea captare i analiz pachete
Senzori cu interfete de retea ce opereaz Inpromiscuous mode
( t t t h t l di t )
-
8/7/2019 NetworkCourse[-Tot
163/217
(captarea tuturor pachetelor din retea) retele bazate pe switch-uri (spanning port)
Asamblarea pachetelor
fragmentare, pachete eronate, etc Imunitate la atacuri (hardening)
IDS la nivel retea (cont.) Avantaje:
scalabilitate ridicat (cu ctiva senzori bine plasati sepoate monitoriza o retea
Intreag)
nu afecteaz performantele sistemelor monitorizate independent de sistemul de operaret tf l I t fi i i ibil t t t i
-
8/7/2019 NetworkCourse[-Tot
164/217
poate opera astfel Inct s fie invizibil pentru atacatori(stealth mode)
Dezavantaje: nu protejeaz sistemele Impotriva utilizatorilor interni pot rata pachete In cazul unui volumul mare de trafic
(~Gbps) folosirea mai multor senzori In paralel implementarea hardware a functiilor critice (appliances)
nu poate analiza traficul criptat (VPN) poate identifica doar faptul c un atac a fost initiat nu idac a avut succes
IDS la nivel retea (cont.)
-
8/7/2019 NetworkCourse[-Tot
165/217
Ion BICA 10
IDS la nivel host
Monitorizarea evenimentelor din cadrul unuisistem de calcul
log-uri sistem procese active (hacker tools, rootkits)
integritate fiiere sistem
-
8/7/2019 NetworkCourse[-Tot
166/217
integritate fiiere sistem
Permite detectarea atacurilor precum ievaluarea pagubelor produse de acestea
IDS la nivel host (cont.) Avantaje:
nu necesit echipamente suplimentare seinstaleaz pe sistemele monitorizate
pot detecta atacuri ce nu pot fi vzute de ctre un NIDS(ex. Trojan Horse)functioneaz i In cazul criptrii traficului
-
8/7/2019 NetworkCourse[-Tot
167/217
functioneaz i In cazul criptrii traficului
Dezavantaje: scalabilitate redus afecteaz performanta sistemelor monitorizate
odat compromis sistemul, IDS-ul poate fi dezactivat nu poate detecta atacuri de scanare a retelei, DoS, etc
Ion BICA
IDS la nivel host (cont.)
-
8/7/2019 NetworkCourse[-Tot
168/217
Ion BICA 13
IDS la nivel aplicatie
Subclas a HIDS Monitorizarea evenimentelor din cadrul uneiaplicatii Avantaje:
i i i i di
-
8/7/2019 NetworkCourse[-Tot
169/217
pot monitoriza interactiunea dintreutilizator i aplicatie
Dezavantaje: In general, log-urile de aplicatie sunt mai putinprotejate
IDS bazat pe semnturi Similar sistemelor antivirus Fiecare atac cunoscut pn In momentul de
fat are o semntur - elementelecaracteristice I modul de desfurare alatacului Exemplu: land attack - pachete IP avnd adresa
-
8/7/2019 NetworkCourse[-Tot
170/217
surs identic cu adresa destinatie IDS dispune de o baz de date de semnturi ce trebuieactualizat periodic Presupune acumularea de cunotinte despre
fiecare atac In parte pentru construireasemnturii knowledge
based IDS Cel mai rspndit tip de IDS
IDS bazat pe semnturi (cont.)
-
8/7/2019 NetworkCourse[-Tot
171/217
Ion BICA 16
IDS bazat pe semnturi (cont.) Avantaje:
eficienta sistemului depinde modul In care esteactualizat baza de date de semnturi
numr relativ sczut de alarme de tip falsepositives
-
8/7/2019 NetworkCourse[-Tot
172/217
ofer informatii detaliate despre tipul de atac
Dezavantaje: nu poate detecta noi tipuri de atacuri
cu ct baza de date de semnturi este maimare cu att sistemul este mai lent(implementri hardware)
IDS bazat pe anomalii Anomalie = deviere de la starea normal Learning mode construirea unui profil al strii normale asistemului
acuratetea profilului depinde de durata procesului de Invtare
pe durata procesului de Invtare, nu trebuie s existe atacuri Insistem
Detection mode compararea strii curente cu cea
-
8/7/2019 NetworkCourse[-Tot
173/217
Detection mode compararea strii curente cu ceaprestabilit
orice deviere de la modul de comportare normal esteinterpretat drept un posibil atac ce trebuie investigat
Analiz statistic pentru detectarea anomaliilor cu
privire la traficul din retea sau activitatea utilizatorilor atunci cnd o anomalie depete un anumit prag, este generato alarm alegerea valorii de prag este foarte important!
IDS bazat pe anomalii (cont.)
-
8/7/2019 NetworkCourse[-Tot
174/217
Ion BICA 19
IDS bazat pe anomalii (cont.) Anomalii In comportament
cine, cnd i de unde se conecteaz? Incrcarea medie a procesoarelor
Anomalii de protocol analiza corectitudinii modului de desfurare a unui
protocol de retea (formatul pachetelor, ordinea Int t t i t )
-
8/7/2019 NetworkCourse[-Tot
175/217
care acestea sunt transmise, etc) 90% din atacuri sunt de acest tip! mod de derulare teoretic (conform RFC) I practic (specificfiecrei implementri)
Anomalii de trafic se tie In general cine cu cine dialogheaz i se
monitorizeaz traficul pentru a determina abateri dela norm
IDS bazat pe anomalii (cont.) Avantaje:
pot detecta tipuri noi de atacuri
pot detecta atacuri de tip low and slow
Dezavantaje: numr relativ mare de alarme de tip false positives
-
8/7/2019 NetworkCourse[-Tot
176/217
p p configuratia sistemelor se modific In mod constant!
transmite alarme generice personal specializat pentru investigarea cauzelor!
Ion BICA 21
Rspunsul la atacuri Rspunsuri pasive
alarme i notificri trape SNMP
Rspunsuri active TCP reset
-
8/7/2019 NetworkCourse[-Tot
177/217
modificare ACL din router I firewall colectare informatii suplimentare despre atacator contraatac
Ion BICA 22
Rspunsul la atacuri (cont.)
-
8/7/2019 NetworkCourse[-Tot
178/217
Ion BICA 23
Rspunsul la atacuri (cont.)
-
8/7/2019 NetworkCourse[-Tot
179/217
Ion BICA 24
Rspunsul la atacuri (cont.)
-
8/7/2019 NetworkCourse[-Tot
180/217
Ion BICA 25
Rspunsul la atacuri (cont.)
-
8/7/2019 NetworkCourse[-Tot
181/217
Ion BICA 26
Managementul IDS
-
8/7/2019 NetworkCourse[-Tot
182/217
Ion BICA 27
-
8/7/2019 NetworkCourse[-Tot
183/217
-
8/7/2019 NetworkCourse[-Tot
184/217
Sisteme pentru prevenirea Intrusion Prevention Systems (IPS)
prevenire intruziuni opereaz inline
Combin functionalitti de IDS i firewall application layer firewall
-
8/7/2019 NetworkCourse[-Tot
185/217
Noua generatie de IDS
Ion BICA 30
IDS vs. IPS
-
8/7/2019 NetworkCourse[-Tot
186/217
Ion BICA 31
-
8/7/2019 NetworkCourse[-Tot
187/217
-
8/7/2019 NetworkCourse[-Tot
188/217
Concluzii Majoritatea IDSIIPS actuale folosesc ca mecanism de
detectie semnturile i anomaliile de protocol Efortul de administrare al unui IDSIIPS este destul deridicat
tuning, investigare alarme, etc managed services (outsourcing)
Eficient sczut In cazul atacurilor low and slow
-
8/7/2019 NetworkCourse[-Tot
189/217
Eficient sczut In cazul atacurilor low and slow
Hardware vs. software IDS
Reactioneaz la atacuri In loc s le previn
Tendinta este de integrare a functiei de IDS In cadrulfirewall-urilor (Gartner)
Referinte Crti:
C. Endorf, G. Schultz, J. Mellander - "IntrusionDetection & Prevention", McGraw-Hill, 2004
Articole: NIST Special Publication on Intrusion DetectionSystems (SP800-31)
-
8/7/2019 NetworkCourse[-Tot
190/217
y Cisco Systems - The Science of IDS AttackIdentification
Juniper Networks - "Intrusion Detection andPrevention
-
8/7/2019 NetworkCourse[-Tot
191/217
Ion BICA 36
Unelte pentruTestarea
-
8/7/2019 NetworkCourse[-Tot
192/217
Securitii
Reelelor
Unelte uzuale Sniffere de pachete Scannere de porturi
Scannere de vulnerabilitti Unelte pentru verificarea integrittiifiierelor
-
8/7/2019 NetworkCourse[-Tot
193/217
Sniffers Un sniffer de pachete este un sistem a
crui plac de retea opereaz n modulpromiscuous i capteaz toate pachetele
transmise n retea
-
8/7/2019 NetworkCourse[-Tot
194/217
Host A Host B
Sniffer
Sniffers (cont.) Capteaz n timp real toate pacheteletransmise n retea Filtrare pachete (n momentul captrii
sau al afirii) dup diferite criterii Afieaz informatii detaliate despre fiecarepachet n parte (list
/ t i )
-
8/7/2019 NetworkCourse[-Tot
195/217
/ tree view) Unealt independent sau modul
component n cadrul altui sistem(IDS/IPS, de exemplu) Diagnosticarea problemelor (inclusiv cele desecuritate)
aprute n cadrul retelelor analizor de retea Jurnalizarea traficului din retea n vederea
analizei ulterioare n cazul aparitiei unuiincident de securitate forensics analysis
-
8/7/2019 NetworkCourse[-Tot
196/217
Scannere de porturi Descoper calculatoarele active dintr-o retea Determin porturile de comunicatie
deschise i serviciile asociate acestora Culegere de informatii despre retea (networkmapping tool)
faza premergtoare unui atac Tehnici de scanare:
-
8/7/2019 NetworkCourse[-Tot
197/217
Tehnici de scanare: TCP connect() TCP SYN
UDP Ping TCP FIN TCP Xmas Tree TCP Null
-
8/7/2019 NetworkCourse[-Tot
198/217
TCP SYN Scan Conexiuni pe jumtate deschise (half openconnection)
se transmite un pachet SYN pentru a ceredeschiderea conexiunii dup receptionarea unui SYN/ACK se renunt la
conexiune trimitndu- se un pachet RST
Greu de detectat
-
8/7/2019 NetworkCourse[-Tot
199/217
majoritatea IDS i firewall-urilor nu interpreteazpachetele SYN
-
8/7/2019 NetworkCourse[-Tot
200/217
Ping Scan Folosit pentru a determina dac un calculatoreste activ sau nu De obicei, este blocat de firewall
-
8/7/2019 NetworkCourse[-Tot
201/217
TCP FIN, Xmas Tree, Null Scan Stealth scans Principiul de functionare este acelai
manipularea bitilor de control (flags) din antetul
pachetelor TCP pachete atipice (ce nu pot i ntlnite n realitate)
Conform RFC 793, atunci cnd un sistemprimete un pachet pe un port nchis,
-
8/7/2019 NetworkCourse[-Tot
202/217
primete un pachet pe un port nchis,trebuie s rspund cu un RST dac nu se receptioneaz nici un RST nseamn
c portul este deschis sau comunicatia estefiltrat de firewall
Nu functioneaz n cazul sistemelor Windows returneaz RST chiar dac portul este deschis
Pentru a putea efectua aceste tipuri de
scanri utilizatorul trebuie s aibdrepturi administrative
TCP FIN Scan
Closed Port
-
8/7/2019 NetworkCourse[-Tot
203/217
Opened Port
Ion BICA 12
TCP Xmas Tree Scan
Closed Port
-
8/7/2019 NetworkCourse[-Tot
204/217
Opened Port
Ion BICA 13
TCP Null Scan
Closed Port
-
8/7/2019 NetworkCourse[-Tot
205/217
Opened Port
Ion BICA 14
Scannere de porturi - Produse nmap (h t t p :
/
/www .ins e cu r e . o r g
/ nmap
/) cea mai performant unealt de scanare a porturilor disponibil att pentru Unix ct i Windows
OS Fingerprinting hping (h t t p :
/
/www . hp i ng .o rg ) SuperScan (h t t p :
// www . f ounds t one .c o m )
http://www.insecure.org/nmap/http://www.insecure.org/nmap/http://www.insecure.org/nmap/http://www.insecure.org/nmap/http://www.insecure.org/nmap/http://www.insecure.org/nmap/http://www.insecure.org/nmap/http://www.hping.org/http://www.hping.org/http://www.hping.org/http://www.hping.org/http://www.hping.org/http://www.foundstone.com/http://www.foundstone.com/http://www.foundstone.com/http://www.insecure.org/nmap/http://www.hping.org/http://www.foundstone.com/ -
8/7/2019 NetworkCourse[-Tot
206/217
ShieldsUP Gibson Research Corporation (h t t p : //w w w .g r c .c om ) online port scanner
Ion BICA 15
Vulnerabilitti Eroare de programare sau greeal de
configurare ce poate crea bree nsecuritatea sistemelor
Dac nu sunt corectate la timp pot fiexploatate de ctre un eventualatacatorM t d d ti
http://www.grc.com/http://www.grc.com/http://www.grc.com/ -
8/7/2019 NetworkCourse[-Tot
207/217
Metode de corectie instalare de patch-uri recomandate de productor
securizarea (hardening) sistemelor
Year 200 200 200 200 200 200 200 200
Vulnerabil 1,09 2,43 4,12 3,78 3,78 5,99 8,06 7,23
Vulnerabilitti (cont.)Total vulnerabilitti raportate
(1995-Q1,2008): 39,490Sursa: CERT
(h tt p : //w w w .cer t .o r g )
http://www.cert.org/http://www.cert.org/http://www.cert.org/http://www.cert.org/http://www.cert.org/http://www.cert.org/ -
8/7/2019 NetworkCourse[-Tot
208/217
9,000
8,000
7,000
6,000
5,000
4,000
3,000
2,000
1,000
02000 2001 2002 2003 2004 2005 2006 2007
Vulnerabilitti (cont.)
Numai 20% dinvulnerabilitti sunt critice!
Sursa: Secunia
(h tt p :// www .s e c u n ia . c o m)
http://www.secunia.com/http://www.secunia.com/http://www.secunia.com/ -
8/7/2019 NetworkCourse[-Tot
209/217
Vulnerabilitti (cont.)
-
8/7/2019 NetworkCourse[-Tot
210/217
Ion BICA 19
Vulnerabilitti (cont.) Common Vulnerabilities and Exposures (CVE)
lista cu denumirile standardizate ale tuturorvulnerabilittilor cunoscute public
dictionar de vulnerabilitti (nu baz de date) h t t p: //cve. m it re .o r g /
Open Vulnerability and Assessment Language(OVAL)
http://cve.mitre.org/http://cve.mitre.org/ -
8/7/2019 NetworkCourse[-Tot
211/217
( ) standard ce descrie modul n care poate fi
verificat existenta unei vulnerabilitti pe unsistem de calcul
h t t p: // o val.m it r e. o r g/
SANS Top 20 Internet Security Vulnerabilities h t t p: // w ww .sa n s. o r g/ to p 20/
Scannere de vulnerabilitti Automatizarea procesului de
identificare i corectare avulnerabilittilor
Clasificare functie de locatie de unde se face scanarea
network based host based
functie de credentialele folosite pe parcursul
http://oval.mitre.org/http://oval.mitre.org/http://www.sans.org/top20/http://www.sans.org/top20/http://oval.mitre.org/http://www.sans.org/top20/ -
8/7/2019 NetworkCourse[-Tot
212/217
functie de credentialele folosite pe parcursulscanrii
cu drepturi administrative fr drepturi administrative
Un scanner de vulnerabilitti este unscanner de porturi evoluat
-
8/7/2019 NetworkCourse[-Tot
213/217
File Integrity Checkers Depistarea modificrilor operate asupra
fiierelor importante din sistem Sume de control criptografice ce sunt
calculate periodic i comparate cuvalorile de referint forensics analysis
Comercializate sub forma de HIDS!
-
8/7/2019 NetworkCourse[-Tot
214/217
Comercializate sub forma de HIDS!
File Integrity Checkers - Produse Tripwire (h tt p :
// www .t r i p w i r es e cu r it y . co m ) cel mai cunoscut produs de acest gen disponibil att pentru Unix ct i Windows
AIDE (h t t p :
/
/sou r c e f o r ge . ne t
/ p r o
jec t s
/ a i d e ) DataSentinel (h t t p :
// www .ionx . co . u k)
http://www.tripwiresecurity.com/http://www.tripwiresecurity.com/http://www.tripwiresecurity.com/http://sourceforge.net/projects/aidehttp://sourceforge.net/projects/aidehttp://sourceforge.net/projects/aidehttp://sourceforge.net/projects/aidehttp://sourceforge.net/projects/aidehttp://sourceforge.net/projects/aidehttp://sourceforge.net/projects/aidehttp://sourceforge.net/projects/aidehttp://www.ionx.co.uk/http://www.ionx.co.uk/http://www.ionx.co.uk/http://www.ionx.co.uk/http://www.tripwiresecurity.com/http://sourceforge.net/projects/aidehttp://www.ionx.co.uk/ -
8/7/2019 NetworkCourse[-Tot
215/217
Ion BICA 24
Ghiduri de securizare a sistemelor NIST Special Publications
h t t p: //csrc .n is t .go v /pu b lica t ion s /n is t pu b s /
NSA Security Configuration Guides
h t t p: // w ww .n s a. go v /s n a c / SANS Institute
h t t p: // w ww .sa n s. o r g/
Security Advisories
http://csrc.nist.gov/publications/nistpubs/http://www.nsa.gov/snac/http://www.sans.org/http://csrc.nist.gov/publications/nistpubs/http://www.nsa.gov/snac/http://www.sans.org/ -
8/7/2019 NetworkCourse[-Tot
216/217
Security Advisories h t t p: //sec un ia. c om/
Security Portals h t t p: // w ww .sec u rit y f o c u s. c om/ h t t p: // w ww .p a c ke t s t o r m sec u rit y. o r g/ h t t p: // w ww .sec u rit ea m .c o m/ h t t p: // w ww .in s e c u re .o r g /
Ion BICA 25
http://secunia.com/http://www.securityfocus.com/http://www.securityfocus.com/http://www.packetstormsecurity.org/http://www.packetstormsecurity.org/http://www.securiteam.com/http://www.securiteam.com/http://www.insecure.org/http://secunia.com/http://www.securityfocus.com/http://www.packetstormsecurity.org/http://www.securiteam.com/http://www.insecure.org/ -
8/7/2019 NetworkCourse[-Tot
217/217
Ion BICA 26