networkcourse[-tot

8/7/2019 NetworkCourse[-Tot

1/217

Securitatea

ReelelordeCalculat

oareIon BICA, PhD, CISA

i b i ca@m t a . ro
mailto:[email protected]:[email protected]


2/217

Obiective

Prezentarea arhitecturii retelelorTCPIIP cu accent pe problemele desecuritate specifice acestora

Analiza principalelor amenintri i atacurila adresa retelelor de calculatoare

Descrierea tehnologiilor i produselor cepot fi utilizate pentru a asigurasecuritatea retelelor de calculatoare


3/217

Continut

1. Fundamente ale retelelor TCPIIP2. Securitatea la nivelul retelelor locale3. Sisteme firewall4. Sisteme pentru detectarea I prevenireaintruziunilor

5. Unelte pentru testarea securittii sistemelor


4/217

Bibliografie

William Stallings, Cryptography andNetwork Security, 31E, Prentice Hall,2003

Charlie Kaufman, Network Security, 21E,Prentice Hall, 2002

Merike Kaeo, Designing Network Security,21E, Cisco Press,2004

Resurse disponibile pe Internet


5/217

Detalii organizatorice

Numr de ore: 20 Curs + 10 Lab Examen

test gril

Informatiile aferente cursului vor fidisponibile In format electronic

note de curs1

laborator documentatie auxiliar

Ion BICA 5


6/217

Ion BICA 6


7/217

Fundamente ale

Reelelor TCP/IP


8/217

TCPIIP

Lingua franca pentru Internet

Suita de protocoale (dintre care IP iTCP sunt cele mai cunoscute)

Dezvoltat In cadrul proiectului ARPANET Robert Kahn i Vinton Cerf

prima reea cu comutare de pachete Versiunea curent: v4 TCPIIP este inclus In toate sistemele de

operare folosite pe scar larg Inmomentul de fa (Windows, Unix, Mac

OS X)


9/217

Internetul

Cel mai mare proiect de interconectareuman

reea de reele information superhighway

1,4000,000,000 utilizatori h t t p: IIw ww .in t e r n e t w o r ld s t a t s. c om Is t a t s .h t m

Aplicaii diverse telnet, e-mail, ftp, WWW procesare distribuit colaborare entertainment

Parte integrant a societii In care trim transformri majore ale societii (e-commerce,

e-business, e-banking, e-learning, e-government, e-voting)
http://www.internetworldstats.comistats.htm/http://www.internetworldstats.comistats.htm/http://www.internetworldstats.comistats.htm/


10/217

Internetul (cont.)

Backbone

Local Network

Internet Service ISPProvider (ISP)

Local Network

Ion BICA 4


11/217

Stiva de protocoale TCPIIP

Ion BICA 5


12/217

Comunicaia Intre dou host-uri

Ion BICA 6


13/217

ncapsularea datelor

Ion BICA 7


14/217

Nivelul retea

Adresare Rutare pachete Interconectare subretele (internetworking) Furnizarea de servicii de comunicatie

universale pentru nivelul transportindependente de numrul, tipul sau

topologia subretelelor de comunicatiefolosite


15/217

Transferul pachetelor Intre surs i

Ion BICA 9


16/217

Caracteristicile nivelului retea

Servicii de tip best effort, connectionless

(fara secvente desetup sau connection establishment)

Fiecare pachet este rutat In mod independent In mod normal pachetele sunt rutate dup

adresa destinatie (se specific unde trebuie s

ajung pachetele nu i cum s ajung acolo) optional, se poate folosi i source routing (se

specific ruta prin care pachetul trebuie streac pentru a ajunge la destinatie) Pachetele se pot pierde, pot ajunge la

destinatie Intr-o ordine diferit sau pot sapar duplicate!


17/217

Protocoale de nivel retea

Ion BICA 11


18/217

Protocolul IP

Regulile de atribuire a adreselor Formatul pachetelor Modul de procesare al pachetelor Versiuni IP: IPv4, IPv6

Ion BICA 12


19/217

Formatul pachetelor IPv4

Ion BICA 13


20/217

(20..60 octeti)

Formatul pachetelor IPv4 (cont.)

Versiunea (4) Lungimea antetului

specificat In cuvinte de 32 biti domeniu de valori 5..15 cuvinte

Tipul serviciului 3 biti de precedent 4 biti calitatea serviciului (QoS)

Minimize Delay (1000) Maximum Throughput (0100)

Maximize Reliability (0010)

Minimize Monetary Cost (0001)

Normal Service (0000) Lungimea total a pachetului, In octeti

Ion BICA 14


21/217


ID-ul pachetului numr unic setat de calculatorul surs permite identificarea pachetelor fragmentate

(toate fragmentele au acelai ID)

Flags controlul fragmentrii pachetelor DF (Do not Fragment)

0 fragmentarea este permis 1 fragmentarea nu este permis

MF (More Fragments) 0 ultimul fragment 1 mai urmeaz i alte fragmente

Offset-ul fragmentului reasamblarea pachetelor fragmentate numrul de segmente de 64 biti

Ion BICA 15


22/217


Time To Live

limita superioara a numrului de hop-uri prin carepoate trece pachetul, Inainte de a fi abandonat Protocolul de nivel superior ctre care trebuie livratpachetul

0: Reserved 1: Internet Control Message Protocol (ICMP)

2: Internet Group Management Protocol (IGMP) 6: Transmission Control Protocol (TCP) 17: User Datagram Protocol (UDP)

Suma de control a antetului detectia erorilor

Adresa IP sursa (32 biti)

Adresa IP destinatie (32 biti) Optiuni

timestamp source routing


23/217

Adrese IP

Valoare pe 32 biti notatia zecimal cu punct

11000001 11100111 0001010100001010 = 193.231.21.10

Fiecare interfat de retea a unui host sauruter trebuie s aib asignat o adres IP

unic IP Address = [Network ID][Host ID] Asignarea adreselor de retea se face de ctreRegional Internet

Registries (RIR): American Registry for Internet Numbers

(ARIN): America de Nord, America de Sud,Africa de Sud (h t t p : IIw w w .a rin .n e t I)

Reseaux IP Europeans (RIPE): Europa, OrientulMi lociu Africa de Nord
http://www.arin.neti/http://www.arin.neti/http://www.arin.neti/


24/217

Clase de adrese IP

Ion BICA 18


25/217

Network ID Host ID Type of Address Purposeall 0s all 0s This computer Used during

bootstrap

network all 0s Network Identifies a

network

network all 1s Directed

broadcast

Broadcast on

specified net

all 1s all 1s Limited broadcast Broadcast on

local net

127 any Loop back testing

Adrese IP rezervate

Ion BICA 19


26/217

Adrese IP private

Adrese ce se recomand a fi alocate

calculatoarelor din retelele interne(Intranet)

Nu sunt rutate In Internet! RFC 3330

10.0.0.0 .. 10.255.255.255

172.16.0.0 .. 172.31.255.255 192.168.0.0 .. 192.168.255.255


27/217

Subretele IP

Modul standard de alocare a adreselor IP

este ineficient! instalare de noi retele locale creterea numrului statiilor dintr-o retea (nevoiasegmentrii)

Pentru a evita obtinerea unei noi adrese

IP de la RIR a fost introdus conceptul desubretea IP Address = [Network ID][Subnetwork ID][Host ID] Reteaua principal este format din mai

multe subretele! Adresele subretelelor sunt gestionate local!


28/217

Class In Binary In Dotted-Decimal Using Slash

A 11111111 00000000 00000000 00000000 255.0.0.0 /8

B 11111111 11111111 00000000 00000000 255.255.0.0 /16

C 11111111 11111111 11111111 00000000 255.255.255.0 /24

Subnet mask

Ion BICA 22


29/217

Rutarea pachetelor

Hop-by-Hop Algoritmul de rutare:

se recepioneaz un pachet;

da c pachetul este pentru acest host, atun c i furnizeaz-lnivelului superior;

altfel, uitte dup next hop n tabela de rutare;

da c exist o asemenea intrare, atun c i expediazpachetul;

altfel, abandoneaz pachetul.


30/217

Tabela de rutare

Continut

adresa IP destinatie (HOST I NET) masca de retea asociat adresa IP a ruterului (next hop) flag-uri (HOSTINET, RouterIDirect) interfata de retea pe care va fi expediat pachetul

Cutarea destinatiei1. caut o intrare de tip HOST2. caut o intrare de tip NET3. caut o intrare Default

Ion BICA 24


31/217

de

fau

lt

de

fa

ul

t

Exemplu de rutare local

A B

.10.35 .10.33

Enet, 140.252.10

Ion BICA 25


32/217

Exemplu de rutare local (cont.)

140.252.10.33A B

.10.35 .10.33

Enet, 140.252.10

Enet 140.252.10.33

Ion BICA


33/217

Exemplu de rutare local (cont.)

A B140.252.10.33

.10.35 .10.33

Enet, 140.252.10

Enet 140.252.10.33

Ion BICA 27


34/217

Exemplu de rutare printr-un

D.13.4

Enet, 140.252.13 .13.183

C

.13.190

A B

.10.35 .10.33

Enet, 140.252.10

Ion BICA 28


35/217


D.13.4

Enet, 140.252.13 .13.183

C

Next = 140.252.10.33

(default)

.13.190

192.252.1.183 A B

.10.35 .10.33

Enet, 140.252.10

Ion BICA 29

l d i


36/217


D.13.4

Enet, 140.252.13 .13.183

C

Next = 140.252.10.33

(default)

.13.190

192.252.1.183A B

.10.35 .10.33

Enet, 140.252.10

Ion BICAEnet 192.252.1.183

30

E l d t i t


37/217


D

.13.4

Enet, 140.252.13 .13.183

C

192.252.1.183

Next = 140.252.13.183

(default)

.13.190

A B192.252.1.183

.10.35 .10.33

Enet, 140.252.10

Ion BICAEnet 192.252.1.183

31

E l d t i t


38/217


D.13.4 Enet 192.252.1.183

Enet, 140.252.13 .13.183

192.252.1.183Next = 140.252.13.4 C

(default)

192.252.1.183

.13.190

A B

.10.35 .10.33

Enet, 140.252.10

Ion BICA 32

E l d t i t


39/217


D.13.4 Enet 192.252.1.183

Enet, 140.252.10 .13.183

Next = 140.252.11.2 C(default)

.13.190

A B

.10.35 .10.33

Enet, 140.252.13

Ion BICA 33

Fragmentarea pachetelor


40/217

Fragmentarea pachetelor

Pachetele pot strbate una sau mai

multe subretele pn la destinatie Nivelul legturii de date din fiecare

subretea impune o limit a lungimiicadrelor - Maximum Transmission Unit(MTU)

Ethernet 1500 FDDI 4352 X.25 576 Frame Relay 1600 PPP 296..1500

MTU nu se cunoate In avans! Fragmentarea pachetelor pe traseu ireasamblarea lor la destinatie

Fragmentarea pachetelor (cont )


41/217

Fragmentarea pachetelor (cont.)

Ion BICA 35

Comenzi IP


42/217

Comenzi IP

ifconfig (Unix) I ipconfig (Windows)

configurare interfate de retea netstat

afiare conexiuni de retea, tabela de rutare,statistici, etc

route

controlul tabelei de rutare

Protocolul ICMP


43/217

Protocolul ICMP

Pentru a realiza functiile de control sau de

rutare, protocolul IP (Internet Protocol)lucreaz In conjunctie cu alte protocoalede nivel retea : functii de control (ICMP) transmisii multicast (IGMP)

actualizarea tabelelor de rutare (RIP, OSPF, BGP, ) Protocolul ICMP (Internet Control

Message Protocol) este un protocolajuttor ce permite: efectuarea de interogri simple

raportarea erorilor de transmisie a pachetelor IP

Formatul mesajelor ICMP


44/217

Formatul mesajelor ICMP

Mesajele ICMP sunt Incapsulate In pachete IP Antet de 4 octeti:

type (1 byte): tipul mesajului ICMP code (1 byte): subtipul mesajului ICMP checksum (2 bytes): suma de control (calculat peste

Intreg mesajul ICMP) Informatii aditionale (min. 4 octeti)

dac nu sunt date de transmis, cei 4 octeti sunt setati pe0

Interogri ICMP


45/217

Interogri ICMP

TypeICode Description8/0 Echo Request

0/0 Echo Reply

13/0 Timestamp Request

14/0 Timestamp Reply

10/0 Router Solicitation

9/0 Router Advertisement

Ion BICA 39

Raportarea erorilor


46/217

Raportarea erorilor

Raportarea erorilor aprute In transmisiapachetelor IP Mesajele de eroare sunt raportate

programului aplicatie de pe calculatorulsurs

Raportarea erorilor (cont )


47/217

type code checksum

Unused (0x00000000)

Raportarea erorilor (cont.)

ICMP Message

from IP datagram that triggered the error

IP header ICMP header IP header 8 bytes of payload

Mesajul de eroare include header-ul IPal pachetului care a generat eroareaImpreun cu primii 8 octeti de date

Mesaje de eroare


48/217

Type Code Description Reason

3 015 Destination

unreachable

Notification that an IP datagram could not be

forwarded and was dropped. The code field

contains an explanation.

5 03 Redirect Informs about an alternative route for the

datagram and should result in a routing table

update. The code field explains the reason forthe route change.

11 0, 1 Time

exceeded

Sent when the TTL field has reached zero

(Code 0) or when there is a timeout for the

reassembly of segments (Code 1)

12 0, 1 Parameter problem

Sent when the IP header is invalid (Code 0) orwhen an IP header option is missing (Code 1)

Mesaje de eroare

Ion BICA 42

Mesaje de eroare (cont.)


49/217

Code Description Reason

0 Network Unreachable

No routing table entry is available for thedestination network.

1 Host

Unreachable

Destination host should be directly reachable, but

does not respond to ARP Requests.

2 ProtocolUnreachable The protocol in the protocol field of the IP headeris not supported at the destination.

3 Port

Unreachable

The transport protocol at the destination host

cannot pass the datagram to an application.

4 Fragmentation

Neededand DF Bit Set

IP datagram must be fragmented, but the DF bit in

the IP header is set.

Mesaje de eroare (cont.)

Ion BICA 43

Comenzi ICMP


50/217

Comenzi ICMP

ping

folosit pentru a detecta dac o statie este activ aplicatie client-server; serverul este implementat Inkernel msoar timpul de rspuns (RTT - Roud Trip Time) din rationamente de securitate este, de regul,blocat de firewall-uri

traceroute (Unix)/ tracert(Windows) folosit pentru a determina ruta pe care sunttransmise pachetele IP

bazat pe ICMP i UDP transmisia de pachete UDP cu TTL variabil (1,2,3,

) pentru a determina ruterele intermediare princare trece pachetul; atunci cnd TTL=0 ruterulabandoneaz pachetul i Intoarce mesajul deeroare time exceeded

pachetele UDP sunt transmise pe un port

Exemplu de ping


51/217

Exemplu deping

[foobar]# ping gatekeeper.dec.comPING gatekeeper.dec.com (204.123.2.2): 56 data bytes

64 bytes from 204.123.2.2: icmp_seq=0 ttl=240 time=37 ms64 bytes from 204.123.2.2: icmp_seq=1 ttl=240 time=35 ms64 bytes from 204.123.2.2: icmp_seq=2 ttl=240 time=32 ms64 bytes from 204.123.2.2: icmp_seq=4 ttl=240 time=35 ms64 bytes from 204.123.2.2: icmp_seq=6 ttl=240 time=37 ms64 bytes from 204.123.2.2: icmp_seq=7 ttl=240 time=33 ms64 bytes from 204.123.2.2: icmp_seq=8 ttl=240 time=37 ms64 bytes from 204.123.2.2: icmp_seq=9 ttl=240 time=54 ms

64 bytes from 204.123.2.2: icmp_seq=10 ttl=240 time=63 ms64 bytes from 204.123.2.2: icmp_seq=11 ttl=240 time=34 ms64 bytes from 204.123.2.2: icmp_seq=12 ttl=240 time=36 ms

----gatekeeper.dec.com PING Statistics----13 packets transmitted, 11 packets received, 15% packet lossround-trip (ms) min/avg/max = 32/40/63 ms

Ion BICA 45

Exemplu de traceroute


52/217

p

[foobar]# traceroute gatekeeper.dec.comtraceroute to gatekeeper.dec.com (204.123.2.2), 30 hops max, 40 byte

packets

1 cs-gw3-esl (128.138.241.65) 1 ms 0 ms 0 ms2 cs-gw-dmz (128.138.243.193) 3 ms 1 ms 2 ms3 engr-cs.Colorado.EDU (128.138.80.141) 2 ms 2 ms 2 ms4 hut-engr.Colorado.EDU (128.138.80.201) 2 ms 2 ms 2 ms5 cuatm-gw.Colorado.EDU (128.138.80.2) 2 ms 2 ms 2 ms6 den-edge-11.inet.qwest.net (205.169.250.49) 2 ms 5 ms 3 ms7 den-edge-04.inet.qwest.net (205.171.16.169) 4 ms 2 ms 5 ms8 den-core-01.inet.qwest.net (205.171.16.65) 5 ms 6 ms 8 ms9 * sfo-core-03.inet.qwest.net (205.171.5.35) 28 ms 27 ms

10 sfo-core-02.inet.qwest.net (205.171.18.9) 28 ms 26 ms 27 ms11 sjo-core-01.inet.qwest.net (205.171.5.121) 27 ms 27 ms 30 ms12 sjo-edge-05.inet.qwest.net (205.171.22.46) 31 ms 31 ms 30 ms13 maw-brdr-02.inet.qwest.net (205.171.4.122) 30 ms 33 ms *14 a11-0-0-4.sanjose1-br1.bbnplanet.net (4.24.145.1) 35 ms 30 ms 35 ms15 p2-0.sanjose1-nbr1.bbnplanet.net (4.0.3.193) 33 ms 32 ms 37 ms16 p4-0.paloalto-nbr2.bbnplanet.net (4.0.1.1) 34 ms 34 ms 40 ms17 * p1-0.paloalto-nbr1.bbnplanet.net (4.0.5.65) 34 ms 35 ms18 p4-0-0.paix.bbnplanet.net (4.0.6.45) 36 ms 37 ms 40 ms19 digital-gw1.pa-x.dec.com (4.0.2.114) 40 ms 34 ms 42 ms20 core-gw1.pa-x.dec.com (204.123.1.1) 38 ms * 41 ms21 gatekeeper.dec.com (204.123.2.2) 39 ms * 35 ms

Ion BICA

Protocolul ARP


53/217

Odat ce un pachet a fost rutat ctre o

retea specific, el trebuie furnizat unuianumit host Pachetul poart cu el doar adresa IPdestinatie Transmisia efectiv a datelor se face la

nivelul Legturii deDate (Nivelul 2) unde statiile sunt identificatedup adresa MAC

ARP (Address Resolution Protocol) este unprotocol de mapare a adreselor IP In adrese

MAC

Translatarea adreselor cu ARP


54/217

Resolver FTP

TCP

ARP IP

Ethernet

Driver

Ethernet Ethernet

Driver Driver

ARP ARP IP

TCP

Ion BICA 48

Translatarea adreselor cu ARP


55/217

Ion BICA 49

Caracteristici ARP


56/217

Cererea ARP folosete pachete de tip

broadcast Rspunsul ARP folosete pachete de tipunicast

Rspunsurile ARP sunt mentinute dekernel Intr-o tabela (aa numitul cache-

ARP). Intrrile din cache expir dup 20de minute Toate host-urile din retea receptioneaz

mesajul cerere i Isi actualizeazinformatia din cache

Comanda arp permite vizualizarea I modificarea intrrilor dincache-ulu ARP

Formatul pachetelor ARP


57/217

Ion BICA 51

Proxy ARP


58/217

Host-ul A poate rspunde In numele host-ului B lacererile ARP i prin urmare, toate pacheteledestinate lui B vor fi transmise lui A; host-ul A leretransmite mai departe lui B, prin functia derutare

Poate fi folosit pentru transmisia de pachete Intresubretele

Gratuitous ARP


59/217

Detectarea conflictelor de adrese IP

n cadrul secventei de bootare, host-ultransmite o cerere ARPpentru propria-i adresa IP

Daca un alt host rspunde la aceastcerere, Inseamn c adresa IP

respectiv este deja asignat

Translatarea adreselor IP


60/217

Atunci cnd o organizatie se conecteaz

la Internet primete de la ISP un numr(redus) de adrese IP publice (rutabile) Calculatoarele din reteaua intern

(Intranet) folosesc, de regul, adreseIP private:

10.0.0.0 .. 10.255.255.255 172.16.0.0 .. 172.31.255.255 192.168.0.0 .. 192.168.255.255

Adresele IP private nu sunt rutate InInternet!

Translatarea adreselor IP (cont.)


61/217

Cum se poate realiza comunicatiadintre un calculator din reteaua interni un calculator din Internet?

Translatarea adreselor IP (cont.)


62/217

Translatarea adreselor de retea (NAT -

Network Address Translation) estemecanismul prin care se face mapareaIntre o adresa IP privat i o adresa IPpublic IP masquerading

Prin NAT se modific header-ulpachetului IP original (se schimbadresele IP) trebuie recalculat suma de control

NAT se realizeaz la nivelul ruterului ce

asigur conectarea la Internet permitndcalculatoarelor din reteaua privat scomunice cu calculatoarele din Internet

Basic Network Address Translation


63/217

Translatarea adreselor se face prin intermediul unei

tabele NAT Este nevoie de un pool de adrese IP publice

Network Address Port Translation


64/217

Translatare de adres i port Accesul In exterior se poate face printr-o singuradres IP public

Nivelul transport


65/217

Protocoale de tip end-to-end ce asigur

servicii de comunicatie pentru nivelulaplicatie Sunt implementate numai la nivelul host-urilor

Porturi de comunicatie


66/217

ID-uri folosite pentru a identificaprocesele (aplicatiile) Intre care serealizeaz comunicatia

Numr pe 16 biti (65.536 porturi per host) Porturi standard

folosite de aplicatiile server standard Telnet (23Itcp), FTP (20,21Itcp), BOOTP (67,68Iudp),

WWW (80Itcp) fiierul sistem IetcIservices

valori cuprinse Intre 1-1023 asignate de IANA (Internet Assigned NumberAuthority) pot fi folosite numai de ctre procesele

sistem sau programele executate deutilizatori privilegiati

Porturi temporare (efemere) folosite de aplicatiile client

Porturi de comunicatie (cont.)


67/217

Ion BICA 61

Protocoale de nivel transport


68/217

Ion BICA 62


69/217

Formatul datagramelor UDP


70/217

Port Surs identific procesul care a trimis datagrama

Port Destinatie identific procesul cruia Ii este destinat datagrama

Lungimea total a datagramei, In octeti Suma de control

calculat peste un pseudo-header IP i datagrama UDPpropriu-zis

Aplicatii UDP


71/217

BOOTP (67,68Iudp)

Trivial File Transfer Protocol (69Iudp) Domain Name System (53Iudp) Simple Network Management Protocol(161Iudp)

Remote Procedure Call (111Iudp)

Protocolul TCP


72/217

Protocol orientat conexiune

Fiabilitate ridicat garanteaz livrareadatelor Asigur controlul fluxului i al erorilor

protocol cu fereastr glisant Full duplex schimb de date In ambele

directii simultan Transmisii unicast

Formatul segmentelor TCP


73/217

Ion BICA 67

Formatul segmentelor TCP (cont.)


74/217

Port Surs identific procesul care a trimis datele

Port Destinatie identific procesul cruia Ii sunt destinate datele

Numr secvent fiecare octet din cadrul fluxului de date este numerotat 0


75/217

Flag-uri URG segmentul contine un mesaj urgent

ACK numrul de confirmare din cadrulsegmentului este valid PSH notific receptorul s transfere toate

datele din buffer ctre nivelul aplicatie;transmis de regul de emittor atunci cnd

buffer-ul acestuia este gol RST resetare conexiune SYN sincronizare numere de secvent;

transmis In cadrul primului pachet de stabilirea conexiunii

FIN emittorul a terminat de transferat

datele; pentru a se Inchide completconexiunea, ambele prti trebuie s transmitcte un FIN

Dimensiunea ferestrei

Formatul segmentelor TCP (cont.)


76/217

Suma de control calculat peste un pseudo-header IP, antetul TCP izona de date

Pointer date urgente offset-ul din cadrul segmentului pn la care se afldatele urgente

SeqNo


77/217

Three-way handshake

Ion BICA 71

nchiderea unei conexiuni TCP


78/217

Ion BICA 72

Exemplu de sesiune TCP

1 172 20 1 21 1303 172 20 0 81 23 2668246764 2668246764(0)


79/217

1. 172.20.1.21.1303 > 172.20.0.81.23: S 2668246764:2668246764(0)win 65535

2. 172.20.0.81.23 > 172.20.1.21.1303: S 1722058968:1722058968(0)

ack 2668246765 win 61320 3. 172.20.1.21.1303 > 172.20.0.81.23: . ack 1 win 655354. 172.20.1.21.1303 > 172.20.0.81.23: P 1:22(21) ack 1 win 655355. 172.20.0.81.23 > 172.20.1.21.1303: P 1:13(12) ack 22 win 612996. 172.20.1.21.1303 > 172.20.0.81.23: P 22:25(3) ack 13 win 655237. 172.20.1.21.1303 > 172.20.0.81.23: P 25:28(3) ack 13 win 655238. 172.20.1.21.1303 > 172.20.0.81.23: P 28:31(3) ack 13 win 655239. 172.20.0.81.23 > 172.20.1.21.1303: P 13:28(15) ack 25 win 6131710. 172.20.1.21.1303 > 172.20.0.81.23: P 31:40(9) ack 28 win 65508

11. 172.20.0.81.23 > 172.20.1.21.1303: P 28:46(18) ack 40 win 61311...12. 172.20.0.81.23 > 172.20.1.21.1303: F 1052:1052(0) ack 107 win 6132013. 172.20.1.21.1303 > 172.20.0.81.23: . ack 1053 win 6448414. 172.20.1.21.1303 > 172.20.0.81.23: F 107:107(0) ack 1053 win 6448415. 172.20.0.81.23 > 172.20.1.21.1303: . ack 108 win 61319

Ion BICA 73

Aplicatii TCP


80/217

File Transfer Protocol (20,21Itcp)

Telnet (23Itcp) Simple Mail Transfer Protocol (25Itcp) Hypertext Transfer Protocol (80Itcp) Post Office Protocol (110Itcp) Internet Message Access Protocol (143Itcp)

Lightweight Directory Access Protocol(389Itcp)

Domain Name System (DNS)


81/217

Adresele IP sunt folosite pentru a identificaun host In retea Adresele IP sunt dificil de memorat de ctreutilizatori

e dificil s memorezi numere ( ex. 193.231.21.10) e mult mai uor s retii nume (ex. w ww .m t a. r o)

Sistemul numelor de domenii (DNS DomainName System)permite conversia numelor In adrese IP iinvers

Nume de domenii

N l d d ii t i t i hi
http://www.mta.ro/http://www.mta.ro/


82/217

Numele de domenii sunt organizate ierarhicastfel Inct s se asigure unicitatea i s poat

fi uor de retinut Domenii primare:

generice: .mil, .gov, .org, .edu, .com, .int, .net, .biz, .info Internet Corporation for Assigned Names

and Numbers (ICANN) -h tt p :II ww w .icann .o r gI

state: .us, .uk, .fr, .ro,

codul trii format din 2 caractere (ISO 3166) Sub-domenii:

firme sau organizatii

Nume de calculatoare Fully Qualified Domain Name (FQDN)

concatenare de etichete (www,mta,ro) separate

prin punct (.) fiecare etichet poate s aib maxim 63 de caractere lungimea maxim este de 255 caractere www .m t a .ro sau www .m t a .ro.

Ierarhia numelor

(root)
http://www.icann.orgi/http://www.icann.orgi/http://www.mta.ro/http://www.mta.ro/http://www.icann.orgi/http://www.mta.ro/http://www.mta.ro/


83/217

. (root)

Top-leveldomanins

mil gov org edu com ro

mta

www mail cs

lms indy

Ion BICA 77

Arhitectura DNS

Ba de date distrib it


84/217

Baz de date distribuit

Spatiul de nume se divide In zone care nu trebuie s

se suprapun O zon poate include unul sau mai multe domenii

Pentru fiecare zon trebuie s existe un server denume primar(autoritar) i eventual unul sau maimulte servere secundare (replici) care realizeazconversia (rezolutia) de nume pentru host-urile dinzona respectiv

mta.ro

mm

tta

a.r.roomta.roDD

Nm

Sta

D.r

Bo

DNS DB DNNSSDDBB

DNS Root Servers

Folosite


85/217

Folositepentru a

afla caresuntservereleautoritarepentrutop-level

domains

13servereIn total

Serverecriticepentrufunctiona

DNS Root Servers (cont.)

A ROOT SERVERS NET (VeriSign


86/217

A.ROOT-SERVERS.NET. (VeriSign,Dulles, VA) 198.41.0.4

B.ROOT-SERVERS.NET. (ISI, MarinaDel Rey CA) 192.228.79.201C.ROOT-SERVERS.NET. (CogentCommunications) 192.33.4.12

D.ROOT-SERVERS.NET. (Universityof Maryland) 128.8.10.90

E.ROOT-SERVERS.NET. (Nasa AmesResearch Center) 192.203.230.10F.ROOT-SERVERS.NET. (InternetSystems Consortium) 192.5.5.241G.ROOT-SERVERS.NET. (US

Department of Defense) 192.112.36.4H.ROOT-SERVERS.NET. (US ArmyResearch Lab) 128.63.2.53I.ROOT-SERVERS.NET.

Rezolutia de nume

1 Atunci cnd o aplicatie


87/217

1. Atunci cnd o aplicatieare nevoie s fac oconversie de nume,apeleaz un programspecial denumitresolver (client DNS)

2. Resolver-ulcontacteaz serverulde nume (server DNS)

3. Serverul de nume faceconversia i returneazadresa IP resolver-ului

4. Resolver-ul comunic adresa IPaplicatiei

Servere de nume: BIND (BerkeleyInternet Name Domain) Resolvere interactive: nslookup,

hostsau dig

Interogri DNS

Exist dou tipuri de interogri DNS:


88/217

Exist dou tipuri de interogri DNS: recursive iterative (incrementale)

Interogri recursive: dac serverul DNSnu cunoate adresa pentru numelesolicitat, atunci va interoga alte servereDNS pentru a afla rspunsul

Interogri iterative: daca serverul DNSnu tie s rspund direct, atunci vareturna adresa altui server DNS (numiti referral) care ar putea s rspund lainterogare

DNS folosete portul 53 UDP I TCP UDP este folosit pentru interogri TCP este folosit pentru transferurile zonale

Interogri recursive


89/217

ntr-o interogare recursiv, resolver-ul se ateapts primeasc un rspuns de la server

Serverul de nume interogheaz pe rnd celelalteservere plecnd de la root pn afl rspunsul

Ion BICA 83

Interogri iterative


90/217

ntr-o interogare iterativ resolver-ul afl de laserverul de nume local care este serverul autoritarpentru domeniul respectiv

Toate interogrile sunt fcute de resolver

Caching

Rezultatele interogrilor se tin In


91/217

Rezultatele interogrilor se tin Incache-ul local pentru a fi refolosite

dac e cazul Toate rspunsurile DNS includ un TTL ce

specific ct timp poate fi tinutinformatia In cache

Dac rspunsul la o interogare se afl Incache atunci nu mai este cazul s secontacteze alt server de nume

n cazul In care rspunsul este dat dincache atunci acesta este marcat ca fiind

unauthoritative

Tipuri de Inregistrri

Intrrile din baza de date DNS poart


92/217

Code Name Descript

1 A A 32 bit IPv4 address.

2 NS

The DNS name of an authoritative nameserver for a domain.

5 CNAME A canonical name or alias for a DNS name.

12

PTR

A pointer to a namespace used for reverselooku .

15

MX

Name of the email server for the domain.

2 AAAA A 128 bit IPv6 address.

Intrrile din baza de date DNS poartdenumirea de resource record (RR)

Principalele tipuri de Inregistrri:

Ion BICA 86

Tipuri de Inregistrri (cont.)

$TTL 86400


93/217

abc.ro. IN SOAns.abc.ro.

a d m in @ a b c .ro. (1 ; serial28800 ; refresh7200 ; retry604800 ; expire86400 ; ttl

);abc.ro. IN NS

ns.abc.ro. abc.ro. INMX mail.abc.ro.

;localhost IN A

127.0.0.1 ns.abc.ro.IN A10.0.1.10 mail.abc.ro.IN A10.0.1.15 c1.abc.ro.

Reverse DNS

. (root) Conversia
mailto:[email protected]:[email protected]:[email protected]:[email protected]


94/217

Conversiaadreselor IP In

numearpa ro Ierarhie

separat bazatpe nume IP

193.231.21.10 estescrisin-addr mtaca 10.21.231.193.in-addr.arpa

193 www ATM gestioneaz

spatiul193.231.21.10 de nume

21.231.193.in-231 addr.arpa

Standardizarea TCPIIP

Internet Society


95/217

y promovarea folosirii i accesului la Internet

Internet Architecture Board (IAB) supervizarea dezvoltrii din punct de vedere tehnica Internetului

Internet Research Task Force (IETF) crearea de noi protocoale, aplicatii, arhitecturi i

tehnologii pentruInternet

Internet Engineering Task Force (IETF) promovarea standardelor Internet

colaborare strns cu W3C i ISOIIEC Internet Engineering Steering Group (IESG) procesul de standardizare

- -

Probleme de securitate

Atunci cnd au fost proiectate protocoalele


96/217

p pTCPIIP, securitatea nu a reprezentat o

prioritate Pachetele circul prin intermediul unor

noduri intermediare nesigure n majoritatea cazurilor, pachetele circul Inclar prin retea Adresele IP pot fi uor falsificate Existenta unor puncte unice de defectare(DNS)

Atacuri pasive


97/217

Interceptarea traficului (packet sniffing) foarte multe aplicatii transmit date confidentiale(parole) In clar

Analiza traficului

Atacuri active


98/217

Mascarada Modificarea continutului pachetelor Deturnarea sesiunilor

Blocarea functionrii serviciilor (Denial ofService I DistributedDenial of Service)

Mecanisme de protectie

Autentificarea entittilor


99/217

Criptarea traficului

Sisteme Firewall Sisteme IDSIIPS

Ion BICA 93


100/217

Ion BICA 94


101/217

Securitatea la nivel retealocala (LAN)

Securitatea la nivel LAN

De ce securitate la nivel LAN?


102/217

Atacuri specifice si contramasuri Atacuri de tip MAC Atacuri de tip DHCP Atacuri de tip ARP

Alte tipuri de atacuri

2

De ce securitate la nivel LAN ?

99% din porturile de retea aleiil t d hi


103/217

companiilor sunt deschise In mod obisnuit, orice laptop se poate

conecta pe unul din aceste porturi siobtine acces in retea

Studiul anual facut de CISIFBI (ComputerCrime and Security Survey,h tt p : IIi. cmpne t. com I gocs iIdb_ a r e a I pd f s If b iIF B I20 05 .pd farata ca:

Cel putin 55% din atacuri provin dininteriorul retelei locale

Pierderile estimate (cumulate) ale

companiilor care au raspuns la interviu (639)au fost de aproximativ 130 milioane dolari


De ce securitate la nivel LAN?


104/217



4

Adrese MAC

Rol: permit comunicatia fizica intre doua statii aflate peacelasi segment de retea


105/217

g(adresele IP, de nivel 3, permit comunicatia intre doua statii

aflate in retele diferite)

Pentru a-si indeplini rolul si a optimiza distributiatraficului, switch-urile invata aceste adrese,memorandu-le intr-o asa numita tabela MAC (se mainumeste si Content Addressable Memory CAM)

Tabela MAC a unui switch dispune de o zona limitatade memorie (parametru important al unui switch)

Functionarea normala a unui switch1I3


106/217

6



107/217

7



108/217

8

Atac de tip MAC Flooding

Depasirea capacitatii tabelei MAC


109/217

9

Contramasuri la atacurile de tip Limitarea numarului maxim de adrese MAC

invatate pe un port de switch


110/217

invatate pe un port de switch

Solutia: Limitarea numarului de adrese MAC permise

pe un port (Mecanismul Port Security)

blocarea portului in caz de depasire

informarea administratorului prin transmiterea

unei trape SNMP

10


De ce securitate la nivel LAN?Atacuri specifice si contramasuri


111/217



11

DHCP Descriere sumara


112/217

Administratorul configureaza un spatiu de adrese IPalocabil dinamic Server-ul aloca dinamic o adresa IP, la cerere Adresa este alocata pentru o perioada de timp In campul Options sunt furnizate informatiisuplimentare

Atacul de tip DHCP Starvation


113/217

Attacker

Atacatorul incearca sa inchiriezelobtina toate adresele IPdisponibile prin DHCP Atac de tip DoS

Contramasura pentru DHCPStarvation


114/217

Atacatorul face o noua cerere DHCP, utilizand o altaadresa MAC Mecanismul Port Security restrictioneaza numarulmaxim de adrese MAC

acceptate pe un port

Atacatorul nu va putea obtine un numar deadrese IP mai mare decat numarul maxim deadrese MAC acceptate pe acel port

Atacul de tip Rogue DHCP Server1l2


115/217

15

Atacul de tip Rogue DHCP Server2l2

Ce poate face serverul DHCP al atacatorului?


116/217

Furnizeaza informatii incorecte, cum ar fi:Default Gateway Adresa IP aatacatorului DNS Server Atacatorul este server DNSAdresa IP Alocata incorect(atac de tip DoS)

Contramasura pentru atacul de tipRogue DHCP Server Mecanismul


117/217

La activarea mecanismului, implicit, toate porturile unui switch sunt in stareaUntrusted Se va configura starea Trust pe portul pe care se afla server-ul DHCP

(eventual, pe portul de uplink, daca server-ul nu se afla pe acelasiswitch)

Switch-ul blocheaza mesajele DHCP Reply ce vin de pe porturile marcateUntrusted Switch-ul intercepteaza mesajele DHCP Reply ce vin de pe portul

Trusted si construieste in memorie o tabela de corespondenta Intrarile din tabela expira dupa Lease time


De ce securitate la nivel LAN? Atacuri specifice si contramasuri


118/217

p Atacuri de tip MAC Atacuri de tip DHCP Atacuri de tip ARP


18

ARP Descriere sumara 1l2

Inainte ca o statie sa poata comunica cu o alta, aceastava transmite o cerere ARP, cu scopul de a-i afla adresafizica (MAC)


119/217

ca ( C) Cererea ARP este trimisa sub forma de broadcast (atat lanivel 2, cat si la nivel 3) Toate statiile din aceeasi retea vor receptiona si procesa

cererea ARP; de raspuns, va raspunde doar statia careisi va identifica propriul IP in continutul cererii

ARP Descriere sumara 2l2

In conformitate cu standardul ARP, unei statii ii estepermis sa transmita un raspuns ARP nesolicitat, subforma de unicastlbroadcast, sau o cerere ARP pentrupropria adresa IP (Gratuitous ARP)


120/217

propria adresa IP (Gratuitous ARP) Celelalte statii din retea pot memora aceasta informatie inpropriile tabele ARP Astfel, oricine poate pretinde ca este proprietarul unuiIPlMAC Atacurile de tip ARP folosesc aceasta posibilitate, pentruredirectionarea traficului

Atac de tip ARP 1l3

Atacatorul modificatabelele ARP aleruterului si PC-ului


121/217

Atac de tip ARP 2l3

Tot traficul este, astfel, interceptat


122/217

22

Atac de tip ARP 3l3

In final, atacatorul corecteaza tabelele ARP Traficul revine la normal


123/217

23


124/217


De ce securitate la nivel LAN? Atacuri specifice si contramasuri


125/217

Atacuri de tip MAC Atacuri de tip DHCP Atacuri de tip ARP


25


Atacuri de tip Spoofing (Disimulatie) Atacuri de tip Spanning Tree


126/217

Atacuri de tip VLAN Hopping

26


127/217

27


128/217

Sisteme Firewall

Agenda

Introducere

Terminologie


129/217

Tipuri de firewall Modalitati de implementare Caracterisitici cheie

2

Introducere - Securitatea retelelor

De ce este greu de realizat ? Sisteme interconectate

Acces facil (in crestere)


130/217

Platforme ProblemeUnix, LinuxWindowsMac OSNovell

Open VMS

Patches, Bug fixes, suspiciunile cuprivire la un program bine scris Viermii

The Internet Worm, MichaelangeloMelissa, Kournakova, CodeRed, MyDoomBlaster, Nimda, SQLSlammer, SoBigBagle, Sdbot, Nachi, W32.BugbearW32/Palyh, Santy, Sober, ZotobCommwarrior.B, TK, etc

3

Pentru utilizatori Pentru alte sisteme

Securitate distribuita Datele nu mai exista intr-un singur loc (sunt distribuite)

Securitatea trebuie coordonata

Securitatea retelelor - Riscuri

Resurse si Amenintari Exemple de resurse

Servere Web, Mail Servere de aplicatii, servere de baze de date


131/217

Software-ul, aplicatiile, datele Exemple de amenintari

Angajati rau intentionati sau incompetenti Cod executabil continand vicii ascunse Crackers

Obiectivele principale pentru securizarea fiecareiresurse sunt:

Disponibilitatea Confidentialitatea Integritatea

Fiecare amenintare trebuie examinata dinperspectiva gradului in care afecteaza cele treiobiective

Zone de abordare a securitatii, pentru protectiaresurselor

Securitatea la nivelul masinii Securitatea software-ului Securitatea fizica

Securitatea la nivelul datelor

Zone de abordare a securitatii

Securitatea la nivelul datelor Datele nu trebuie sa fie accesate sau modificate

de catre persoane sau programe neautorizate


132/217

Asigurarea faptului ca datele nu pot fi alterate,sterse sau pierdute este critica pentrufunctionalitatea aplicatiilor

Proceduri de salvare si restaurareJurnalizare si audit Mecanisme de asigurare a integritatii (sume de

control, functii de hashing criptografic, etc) Securitatea la nivelul

comunicatiilor Conectarea la retea asigura accesul la date siresurse de calcul Probleme:

Care calculatoare au acces ? Ce protocoale se vor utiliza ? Cum se va asigura accesul si cui ?

Agenda

Introducere Terminologie


133/217


6

Terminologie

Pachet Filtru de pachete fara stare (stateless)


134/217

Filtru de pachete cu stare (stateful) Gateway de aplicatie DMZ Retele protejate si neprotejate

Inbound vs. outbound

7

Terminologie definitii

Pachet unitatea de informatie creata de un protocol de retea, pentrua transporta date si informatie de control. In contextul stivei TCP/IP semai numeste si datagrama.

Filtru de pachete fara stare (Stateless Packet Filter) o

d li d fil fi l i( h l ) b l d i l d l i/ d f


135/217

modalitate de filtrare a traficului(pachetelor) bazata pe numarul de port, tipul de protocol si/sau adresa, fara alua in considerare contextul

Filtru de pachete cu stare (Stateful Packet Filter) unfiltru de pachete care ia in considerare relatia dintre acestea (contextul)si mentine (memoreaza atat timp cat este necesar) informatia cu privirela conexiunile deschise

Gateway de aplicatie o modalitate de intermediere securizata aaccesului clientilor la servicii, numita adesea si proxy sau relay

DMZ (DeMilitarized Zone) un segment de retea dispus intreexterior (o retea neprotejata, Internet) si reteaua interna (protejata),avand rolul de a intermedia schimbul de informatii. Este reteaua in care,de regula, sunt dispuse serviciile publice si gateway-urile de aplicatie.

Retele protejate si neprotejate Retelele protejate sunt localizate in spatele unui firewall, fiind protejateprin politicile acestuia Retelele neprotejate, cum ar fi Internet-ul, stau in fata unui

firewall si nu sunt protejate de catre politicile acestuia

DDiirrececttiiii aallee ttrraaffiicculuuluii

Inbound = spre interiorul zonei protejate de firewall Outbound = spre exteriorul zonei protejate de firewall

Agenda


i i d fi ll


136/217


9

Ce este un Firewall ?

Reguli care determina

Cine ? Cand ?


137/217

Cine ? Cand ?Ce ? Cum ?

PC

IINNTTEERRNENETT

Retea Privata

Firewall

10

Ce nu este un Firewall ?

Un panaceu pentru toate problemele desecuritate din retea


138/217

O arhitectura de securitate completa

Ceva ce se configureaza din zbor

Un mijloc de protectie impotriva virusilor

Tipuri de firewall

Packet filtering firewall Stateful inspection firewall

P fi ll


139/217

Proxy firewall Personal firewall NAT firewall

12

Packet filtering firewall 1/2

Permite sau interzice pachetele, functie deadresa IP

/d ti ti t (TCP/UDP)


140/217

sursa/destinatie sau port (TCP/UDP) Nu memoreaza o informatie de stare;

deciziile sunt luate numai dupa continutulpachetului curent, fara a lua in considerarecontextul

Este o facilitate in software-ul oricarui rutersau switch Performanta inalta

Fragmentarea pachetelor poate cauzaprobleme

Packet filtering firewall 2/2


141/217

Filtru de pachete fara stare (stateless) sunt necesare doua liste de control alaccesului:1. Permite traficul HTTP de la 10.0.0.0/24, spreww w .y a h o o .c om2. Permite traficul HTTP de la w w w .y a h o o .c o m, spre

10.0.0.0/24

Stateful inspection firewall 1/2

Este un filtru de pachete Mentine o informatie de stare

Stateful firewall inspecteaza si memoreazainformatii de stare pentru fiecare conexiune
http://www.yahoo.com/http://www.yahoo.com/http://www.yahoo.com/http://www.yahoo.com/


142/217

Stateful firewall inspecteaza si memoreazainformatii de stare pentru fiecare conexiunece trece prin firewall

Pentru asta, firewall-ul trebuie sa inspecteze fiecarepachet Odata ce un pachet este identificat ca facand

parte dintr-o conexiune stabilita, procesarea

acestuia poate fi optimizata (lua o cale maiscurta)

Performanta inalta Cel mai popular firewall

Stateful inspection firewall 2/2


143/217

Este suficienta o singura lista de control al accesului:1. Permite traficul HTTP de la 10.0.0.0/24, sprewww . y a hoo . c o m

Proxy Firewall

Foloseste o aplicatie proxy specifica Are acces la nivel de protocol
http://www.yahoo.com/http://www.yahoo.com/


144/217

Toate cererile si raspunsurile trec prin proxy server,validate de acesta Exista doua conexiuni separate: client-proxy, proxy-server extern(intern)

Fiecare serviciu are nevoie de un proxy separat Nu toate serviciile suporta proxy

Personal firewall Versiune simplificata a unui firewall de retea, destinatacalculatoarelor personale Interzice conexiunile de intrare, daca nu au fost explicitpermise Inspecteaza traficul de intrare/iesire si protejeaza


145/217

Inspecteaza traficul de intrare/iesire si protejeazalaptop-urile si desktop-urile de unele atacuri

Se recomanda utilizarea coroborata cu o solutie de HostIntrusion Prevention

Systems (HIPS) Exemple de personal firewall:

ZoneAlarm ( w w w .z one la b s .com)

BlackICE Defender ( h tt p ://b lack ice .is s .net) Tiny Personal Firewall ( w ww . tinyso ft wa r e .com) Norton Personal Firewall (w w w .sy m an t ec .com) Windows XP Firewall (activare: Start -> Settings -> ControlPanel, selectare Local Area

Connection, apasare buton Properties, click pe tab-ulAdvanced)

NAT Firewall

NAT (Network Address Translation) modalitate de translatare a adreselor IP bazata pe mapari staticesau dinamice (many to many), utilizand un spatiu (pool) deadrese IP special destinat:

NAT-ul static nu ofera nici un fel de protectie La NAT-ul dinamic sursa este vizibila atat timp cat translatia este activa
http://www.zonelabs.com/http://blackice.iss.net/http://blackice.iss.net/http://blackice.iss.net/http://blackice.iss.net/http://www.tinysoftware.com/http://www.tinysoftware.com/http://www.symantec.com/http://www.symantec.com/http://www.zonelabs.com/http://blackice.iss.net/http://www.tinysoftware.com/http://www.symantec.com/


146/217

p NAT-ul nu asigura facilitati de securitate L3 sau L4, comune firewall-

urilor (verificarea secventei TCP, verificarea fragmentelor, etc) NAT-ul nu este un mijloc de securitate

PAT (Port Address Translation) modalitate detranslatare a adreselor IP sursa in care se foloseste mapareaacestora intr-o singura adresa IP (many to one; de regula, cea ainterfetei externe)

PAT-ul este un mecanism la nivel L4, care blocheaza fluxurile de datenedefinite La fel ca la NAT, PAT-ul nu asigura facilitati de securitate L3 sau L4 Nu inlocuieste un firewall, dar este mai bun decat nimic

Agenda


Tipuri de firewall


147/217


20

Modalitati de implementare firewall

Sistem de operare specializat, securizat Niveluri de performanta/pret multiple Usurinta in administrare


148/217

Ruleaza pe sisteme de operare de uzgeneral Pe hardware de uz general Nivel de performanta cel mult mediu

Nivel foarte inalt de performanta Se integreaza in infrastructura de reteaexistenta

Asigura o protectie a investitiei Dedicat conexiunilor WAN/Internet Trebuie avut in vedere gradul de

afectare a performantei de rutare a

pachetelor (in pps packet persecond)

Produse firewall de retea

Cisco PIX Firewall, Cisco ASA Firewall si CiscoIOS Firewall

Check Point VPN-1/FireWall-1 NGXJ i N tS


149/217

Check Point VPN 1/FireWall 1 NGX Juniper NetScreen Fortinet FortiGate

Secure Computing SnapGear SonicWall Pro Series Firewall Stonesoft StoneGate Linux netfilter/iptables

Agenda


Tipuri de firewall


150/217


23

Necesitatea tratarii avansate a

Unele protocoale sau aplicatii: negociaza conexiuni pe porturi alocate in moddinamic porturile negociate sau adresele IP sunt incapsulate


151/217

p g pin campul de date

Un firewall trebuie sa inspecteze pachetulin campul de date si trebuie sa executeurmatoarele operatiuni, functie de

protocol sau aplicatie: sa deschida sau sa inchida intr-un mod sigurporturile sau adresele IP

negociate, pentru a permite conexiuni de tip client-server prin firewall

in cazul utilizarii NAT, sa modifice adresele IP siin interiorul pachetelor de date

sa inspecteze pachetele de date pentru a

Exemplu Protocolul FTP

Modul standard Modul pasivServer

ClientServer

Client


152/217

Data Command Command Data Data Command Command Dataport port port port port port port port20 21 2008 2010 1490 21 2008 2010

Port 2010 Passive?

Port 2010 OK Passive OK Port 1490

Data Data

25

Exemplu Aplicatiile multimedia

Protocoale

H.323 v1, v2

SIP TCP or UDP SCCP request


153/217

SCCP request

Aplicatii

Cisco VoIP, IP Telephony, Video

Conference

Microsoft NetMeeting

Intel Video Phone

CUseeMe Networks

MeetingPointAdditional

CUseeMe Pro UDP or TCP

VocalTel high portsmay be opened

Internet Phone

Gatekeeper

26


154/217


155/217

28

Sisteme pentru


156/217

Sisteme pentruDetectarea /Prevenirea

Intruziunilor (IDS/IPS)

Definiii

Intruziune

set de aciuni avnd ca obiectivcompromiterea securitii unui calculator /

reea de calculatoareD i i il (i i d i )


157/217

Detectarea intruziunilor (intrusion detection)

procesul de identificare i combatere a intruziunilor

Sisteme pentru detectarea intruziunilor (IDS)

unelte i metode ce ajut la identificarea,evaluarea i raportarea intruziunilor

echivalent cu sistemele de securitate fizic:camere de supraveghere, senzori de micare,etc


158/217


159/217

Terminologie

fals pozitiv (false positive) activittile normale sunt considerate atacuri

fals negativ (false negative) activittile malitioase nu sunt detectate


160/217

atac de tip low and slow

atac I virus in the wild atac I virus in the zoo

Ion BICA 5

Arhitectura unui IDS


161/217

Ion BICA 6

Tipuri de IDS

Functie de modul de colectare aevenimentelor

IDS la nivel retea (NIDS Network based IDS)

IDS la nivel host (HIDS Host-based IDS) IDS la nivel aplicatie


162/217

IDS la nivel aplicatie

Functie de mecanismul dedetectie folosit

IDS bazat pe semnturi (signature based)

IDS bazat pe anomalii (anomaly based) Functie de modul de rspuns

la intruziuni IDS pasive IDS active

IDS la nivel retea

Monitorizarea traficului din retea captare i analiz pachete

Senzori cu interfete de retea ce opereaz Inpromiscuous mode

( t t t h t l di t )


163/217

(captarea tuturor pachetelor din retea) retele bazate pe switch-uri (spanning port)

Asamblarea pachetelor

fragmentare, pachete eronate, etc Imunitate la atacuri (hardening)

IDS la nivel retea (cont.) Avantaje:

scalabilitate ridicat (cu ctiva senzori bine plasati sepoate monitoriza o retea

Intreag)

nu afecteaz performantele sistemelor monitorizate independent de sistemul de operaret tf l I t fi i i ibil t t t i


164/217

poate opera astfel Inct s fie invizibil pentru atacatori(stealth mode)

Dezavantaje: nu protejeaz sistemele Impotriva utilizatorilor interni pot rata pachete In cazul unui volumul mare de trafic

(~Gbps) folosirea mai multor senzori In paralel implementarea hardware a functiilor critice (appliances)

nu poate analiza traficul criptat (VPN) poate identifica doar faptul c un atac a fost initiat nu idac a avut succes

IDS la nivel retea (cont.)


165/217

Ion BICA 10

IDS la nivel host

Monitorizarea evenimentelor din cadrul unuisistem de calcul

log-uri sistem procese active (hacker tools, rootkits)

integritate fiiere sistem


166/217

integritate fiiere sistem

Permite detectarea atacurilor precum ievaluarea pagubelor produse de acestea

IDS la nivel host (cont.) Avantaje:

nu necesit echipamente suplimentare seinstaleaz pe sistemele monitorizate

pot detecta atacuri ce nu pot fi vzute de ctre un NIDS(ex. Trojan Horse)functioneaz i In cazul criptrii traficului


167/217

functioneaz i In cazul criptrii traficului

Dezavantaje: scalabilitate redus afecteaz performanta sistemelor monitorizate

odat compromis sistemul, IDS-ul poate fi dezactivat nu poate detecta atacuri de scanare a retelei, DoS, etc

Ion BICA

IDS la nivel host (cont.)


168/217

Ion BICA 13

IDS la nivel aplicatie

Subclas a HIDS Monitorizarea evenimentelor din cadrul uneiaplicatii Avantaje:

i i i i di


169/217

pot monitoriza interactiunea dintreutilizator i aplicatie

Dezavantaje: In general, log-urile de aplicatie sunt mai putinprotejate

IDS bazat pe semnturi Similar sistemelor antivirus Fiecare atac cunoscut pn In momentul de

fat are o semntur - elementelecaracteristice I modul de desfurare alatacului Exemplu: land attack - pachete IP avnd adresa


170/217

surs identic cu adresa destinatie IDS dispune de o baz de date de semnturi ce trebuieactualizat periodic Presupune acumularea de cunotinte despre

fiecare atac In parte pentru construireasemnturii knowledge

based IDS Cel mai rspndit tip de IDS

IDS bazat pe semnturi (cont.)


171/217

Ion BICA 16

IDS bazat pe semnturi (cont.) Avantaje:

eficienta sistemului depinde modul In care esteactualizat baza de date de semnturi

numr relativ sczut de alarme de tip falsepositives


172/217

ofer informatii detaliate despre tipul de atac

Dezavantaje: nu poate detecta noi tipuri de atacuri

cu ct baza de date de semnturi este maimare cu att sistemul este mai lent(implementri hardware)

IDS bazat pe anomalii Anomalie = deviere de la starea normal Learning mode construirea unui profil al strii normale asistemului

acuratetea profilului depinde de durata procesului de Invtare

pe durata procesului de Invtare, nu trebuie s existe atacuri Insistem

Detection mode compararea strii curente cu cea


173/217

Detection mode compararea strii curente cu ceaprestabilit

orice deviere de la modul de comportare normal esteinterpretat drept un posibil atac ce trebuie investigat

Analiz statistic pentru detectarea anomaliilor cu

privire la traficul din retea sau activitatea utilizatorilor atunci cnd o anomalie depete un anumit prag, este generato alarm alegerea valorii de prag este foarte important!

IDS bazat pe anomalii (cont.)


174/217

Ion BICA 19

IDS bazat pe anomalii (cont.) Anomalii In comportament

cine, cnd i de unde se conecteaz? Incrcarea medie a procesoarelor

Anomalii de protocol analiza corectitudinii modului de desfurare a unui

protocol de retea (formatul pachetelor, ordinea Int t t i t )


175/217

care acestea sunt transmise, etc) 90% din atacuri sunt de acest tip! mod de derulare teoretic (conform RFC) I practic (specificfiecrei implementri)

Anomalii de trafic se tie In general cine cu cine dialogheaz i se

monitorizeaz traficul pentru a determina abateri dela norm

IDS bazat pe anomalii (cont.) Avantaje:

pot detecta tipuri noi de atacuri

pot detecta atacuri de tip low and slow

Dezavantaje: numr relativ mare de alarme de tip false positives


176/217

p p configuratia sistemelor se modific In mod constant!

transmite alarme generice personal specializat pentru investigarea cauzelor!

Ion BICA 21

Rspunsul la atacuri Rspunsuri pasive

alarme i notificri trape SNMP

Rspunsuri active TCP reset


177/217

modificare ACL din router I firewall colectare informatii suplimentare despre atacator contraatac

Ion BICA 22

Rspunsul la atacuri (cont.)


178/217

Ion BICA 23



179/217

Ion BICA 24



180/217

Ion BICA 25



181/217

Ion BICA 26

Managementul IDS


182/217

Ion BICA 27


183/217


184/217

Sisteme pentru prevenirea Intrusion Prevention Systems (IPS)

prevenire intruziuni opereaz inline

Combin functionalitti de IDS i firewall application layer firewall


185/217

Noua generatie de IDS

Ion BICA 30

IDS vs. IPS


186/217

Ion BICA 31


187/217


188/217

Concluzii Majoritatea IDSIIPS actuale folosesc ca mecanism de

detectie semnturile i anomaliile de protocol Efortul de administrare al unui IDSIIPS este destul deridicat

tuning, investigare alarme, etc managed services (outsourcing)

Eficient sczut In cazul atacurilor low and slow


189/217

Eficient sczut In cazul atacurilor low and slow

Hardware vs. software IDS

Reactioneaz la atacuri In loc s le previn

Tendinta este de integrare a functiei de IDS In cadrulfirewall-urilor (Gartner)

Referinte Crti:

C. Endorf, G. Schultz, J. Mellander - "IntrusionDetection & Prevention", McGraw-Hill, 2004

Articole: NIST Special Publication on Intrusion DetectionSystems (SP800-31)


190/217

y Cisco Systems - The Science of IDS AttackIdentification

Juniper Networks - "Intrusion Detection andPrevention


191/217

Ion BICA 36

Unelte pentruTestarea


192/217

Securitii

Reelelor

Unelte uzuale Sniffere de pachete Scannere de porturi

Scannere de vulnerabilitti Unelte pentru verificarea integrittiifiierelor


193/217

Sniffers Un sniffer de pachete este un sistem a

crui plac de retea opereaz n modulpromiscuous i capteaz toate pachetele

transmise n retea


194/217

Host A Host B

Sniffer

Sniffers (cont.) Capteaz n timp real toate pacheteletransmise n retea Filtrare pachete (n momentul captrii

sau al afirii) dup diferite criterii Afieaz informatii detaliate despre fiecarepachet n parte (list

/ t i )


195/217

/ tree view) Unealt independent sau modul

component n cadrul altui sistem(IDS/IPS, de exemplu) Diagnosticarea problemelor (inclusiv cele desecuritate)

aprute n cadrul retelelor analizor de retea Jurnalizarea traficului din retea n vederea

analizei ulterioare n cazul aparitiei unuiincident de securitate forensics analysis


196/217

Scannere de porturi Descoper calculatoarele active dintr-o retea Determin porturile de comunicatie

deschise i serviciile asociate acestora Culegere de informatii despre retea (networkmapping tool)

faza premergtoare unui atac Tehnici de scanare:


197/217

Tehnici de scanare: TCP connect() TCP SYN

UDP Ping TCP FIN TCP Xmas Tree TCP Null


198/217

TCP SYN Scan Conexiuni pe jumtate deschise (half openconnection)

se transmite un pachet SYN pentru a ceredeschiderea conexiunii dup receptionarea unui SYN/ACK se renunt la

conexiune trimitndu- se un pachet RST

Greu de detectat


199/217

majoritatea IDS i firewall-urilor nu interpreteazpachetele SYN


200/217

Ping Scan Folosit pentru a determina dac un calculatoreste activ sau nu De obicei, este blocat de firewall


201/217

TCP FIN, Xmas Tree, Null Scan Stealth scans Principiul de functionare este acelai

manipularea bitilor de control (flags) din antetul

pachetelor TCP pachete atipice (ce nu pot i ntlnite n realitate)

Conform RFC 793, atunci cnd un sistemprimete un pachet pe un port nchis,


202/217

primete un pachet pe un port nchis,trebuie s rspund cu un RST dac nu se receptioneaz nici un RST nseamn

c portul este deschis sau comunicatia estefiltrat de firewall

Nu functioneaz n cazul sistemelor Windows returneaz RST chiar dac portul este deschis

Pentru a putea efectua aceste tipuri de

scanri utilizatorul trebuie s aibdrepturi administrative

TCP FIN Scan

Closed Port


203/217

Opened Port

Ion BICA 12

TCP Xmas Tree Scan

Closed Port


204/217

Opened Port

Ion BICA 13

TCP Null Scan

Closed Port


205/217

Opened Port

Ion BICA 14

Scannere de porturi - Produse nmap (h t t p :

/

/www .ins e cu r e . o r g

/ nmap

/) cea mai performant unealt de scanare a porturilor disponibil att pentru Unix ct i Windows

OS Fingerprinting hping (h t t p :

/

/www . hp i ng .o rg ) SuperScan (h t t p :

// www . f ounds t one .c o m )
http://www.insecure.org/nmap/http://www.insecure.org/nmap/http://www.insecure.org/nmap/http://www.insecure.org/nmap/http://www.insecure.org/nmap/http://www.insecure.org/nmap/http://www.insecure.org/nmap/http://www.hping.org/http://www.hping.org/http://www.hping.org/http://www.hping.org/http://www.hping.org/http://www.foundstone.com/http://www.foundstone.com/http://www.foundstone.com/http://www.insecure.org/nmap/http://www.hping.org/http://www.foundstone.com/


206/217

ShieldsUP Gibson Research Corporation (h t t p : //w w w .g r c .c om ) online port scanner

Ion BICA 15

Vulnerabilitti Eroare de programare sau greeal de

configurare ce poate crea bree nsecuritatea sistemelor

Dac nu sunt corectate la timp pot fiexploatate de ctre un eventualatacatorM t d d ti
http://www.grc.com/http://www.grc.com/http://www.grc.com/


207/217

Metode de corectie instalare de patch-uri recomandate de productor

securizarea (hardening) sistemelor

Year 200 200 200 200 200 200 200 200

Vulnerabil 1,09 2,43 4,12 3,78 3,78 5,99 8,06 7,23

Vulnerabilitti (cont.)Total vulnerabilitti raportate

(1995-Q1,2008): 39,490Sursa: CERT

(h tt p : //w w w .cer t .o r g )
http://www.cert.org/http://www.cert.org/http://www.cert.org/http://www.cert.org/http://www.cert.org/http://www.cert.org/


208/217

9,000

8,000

7,000

6,000

5,000

4,000

3,000

2,000

1,000

02000 2001 2002 2003 2004 2005 2006 2007

Vulnerabilitti (cont.)

Numai 20% dinvulnerabilitti sunt critice!

Sursa: Secunia

(h tt p :// www .s e c u n ia . c o m)
http://www.secunia.com/http://www.secunia.com/http://www.secunia.com/


209/217

Vulnerabilitti (cont.)


210/217

Ion BICA 19

Vulnerabilitti (cont.) Common Vulnerabilities and Exposures (CVE)

lista cu denumirile standardizate ale tuturorvulnerabilittilor cunoscute public

dictionar de vulnerabilitti (nu baz de date) h t t p: //cve. m it re .o r g /

Open Vulnerability and Assessment Language(OVAL)
http://cve.mitre.org/http://cve.mitre.org/


211/217

( ) standard ce descrie modul n care poate fi

verificat existenta unei vulnerabilitti pe unsistem de calcul

h t t p: // o val.m it r e. o r g/

SANS Top 20 Internet Security Vulnerabilities h t t p: // w ww .sa n s. o r g/ to p 20/

Scannere de vulnerabilitti Automatizarea procesului de

identificare i corectare avulnerabilittilor

Clasificare functie de locatie de unde se face scanarea

network based host based

functie de credentialele folosite pe parcursul
http://oval.mitre.org/http://oval.mitre.org/http://www.sans.org/top20/http://www.sans.org/top20/http://oval.mitre.org/http://www.sans.org/top20/


212/217

functie de credentialele folosite pe parcursulscanrii

cu drepturi administrative fr drepturi administrative

Un scanner de vulnerabilitti este unscanner de porturi evoluat


213/217

File Integrity Checkers Depistarea modificrilor operate asupra

fiierelor importante din sistem Sume de control criptografice ce sunt

calculate periodic i comparate cuvalorile de referint forensics analysis

Comercializate sub forma de HIDS!


214/217

Comercializate sub forma de HIDS!

File Integrity Checkers - Produse Tripwire (h tt p :

// www .t r i p w i r es e cu r it y . co m ) cel mai cunoscut produs de acest gen disponibil att pentru Unix ct i Windows

AIDE (h t t p :

/

/sou r c e f o r ge . ne t

/ p r o

jec t s

/ a i d e ) DataSentinel (h t t p :

// www .ionx . co . u k)
http://www.tripwiresecurity.com/http://www.tripwiresecurity.com/http://www.tripwiresecurity.com/http://sourceforge.net/projects/aidehttp://sourceforge.net/projects/aidehttp://sourceforge.net/projects/aidehttp://sourceforge.net/projects/aidehttp://sourceforge.net/projects/aidehttp://sourceforge.net/projects/aidehttp://sourceforge.net/projects/aidehttp://sourceforge.net/projects/aidehttp://www.ionx.co.uk/http://www.ionx.co.uk/http://www.ionx.co.uk/http://www.ionx.co.uk/http://www.tripwiresecurity.com/http://sourceforge.net/projects/aidehttp://www.ionx.co.uk/


215/217

Ion BICA 24

Ghiduri de securizare a sistemelor NIST Special Publications

h t t p: //csrc .n is t .go v /pu b lica t ion s /n is t pu b s /

NSA Security Configuration Guides

h t t p: // w ww .n s a. go v /s n a c / SANS Institute

h t t p: // w ww .sa n s. o r g/

Security Advisories
http://csrc.nist.gov/publications/nistpubs/http://www.nsa.gov/snac/http://www.sans.org/http://csrc.nist.gov/publications/nistpubs/http://www.nsa.gov/snac/http://www.sans.org/


216/217

Security Advisories h t t p: //sec un ia. c om/

Security Portals h t t p: // w ww .sec u rit y f o c u s. c om/ h t t p: // w ww .p a c ke t s t o r m sec u rit y. o r g/ h t t p: // w ww .sec u rit ea m .c o m/ h t t p: // w ww .in s e c u re .o r g /

Ion BICA 25
http://secunia.com/http://www.securityfocus.com/http://www.securityfocus.com/http://www.packetstormsecurity.org/http://www.packetstormsecurity.org/http://www.securiteam.com/http://www.securiteam.com/http://www.insecure.org/http://secunia.com/http://www.securityfocus.com/http://www.packetstormsecurity.org/http://www.securiteam.com/http://www.insecure.org/


217/217

Ion BICA 26

networkcourse[-tot

Documents