Documente Academic
Documente Profesional
Documente Cultură
7
Securizarea reelei
15 noiembrie 2011
Obiective
Cursul 7
Rol
Definiia unui port
Protocoale
Exemple
Puin recapitulare
OSI
TCP/IP
Adresare
7. Aplicaie
6. Prezentare
Aplicaie
5. Sesiune
4. Transport
Transport
Port
3. Reea
Internet
Adres IP
2. Legtur de date
Adres MAC
Acces la mediu
1. Fizic
Sigurana
transmisiei
Adresare
Multiplexare
Controlul
fluxului
Iniiere de
conexiuni
TCP vs UDP
TCP
Transmission Control Protocol
Orientat conexiune
Protocol sigur (reliable)
datele ajung garantat la destinaie
datele ajung n ordine la destinaie
Controlul fluxului
Controlul congestiei
UDP
User Datagram Protocol
Neorientat conexiune
Nesigur (unreliable)
segmente pierdute
Fr controlul fluxului
segmente fr ordine
Exemple
Controlul erorii
IPTV
Exemple:
VoIP
SSH
HTTP
SYN
protocolul de iniiere a conexiunii (handshake)
stabilirea/sincronizarea numerelor de secven
FIN
protocolul de ncheiere a conexiunii
ncheierea transmisiei de la FIN-sender
Send SYN
Seq = x
Receive SYN
Seq = y,
Ack = x + 1
Send ACK
Seq = x+1
Ack = y + 1
Receive SYN
Seq = x
Send SYN
Seq = y,
Ack = x + 1
Receive ACK
Seq = x+1
Ack = y + 1
ncheierea conexiunii
Send FIN
Receive FIN
Send ACK
Send FIN
Receive ACK
Receive FIN
Send ACK
Receive ACK
Cursul 7
Ce este un firewall
Mecanism folosit pentru blocarea traficul nedorit din reea
Poate fi implementat:
Pe un dispozitiv de reea
Ruter Cisco
Ca un dispozitiv dedicat
Cisco ASA
Fortinet Fortigate
11
De acces
Atacarea unei parole (cu dicionar sau brute-force)
Buffer overflow
Man-in-the-middle
12
13
14
Tipuri de firewall
Stateless firewall
Stateful firewall
7. Aplicaie
7. Aplicaie
7. Aplicaie
6. Prezentare
6. Prezentare
6. Prezentare
5. Sesiune
5. Sesiune
5. Sesiune
4. Transport
4. Transport
4. Transport
3. Reea
3. Reea
3. Reea
2. Legtur de date
2. Legtur de date
2. Legtur de date
1. Fizic
1. Fizic
1. Fizic
15
Cursul 7
iptables
Funcii
Structur
Tabelele iptables
Lanuri predefinite
Exerciii
iptables
Utilitar Linux
Face parte din proiectul Netfilter
Permite unei maini Linux s:
Filtreze pachetele
Translateze adrese
Rescrie cmpurile unui pachet
17
Tabele iptables
Filter
Conine reguli ce spun ce trafic poate s treac si ce trafic trebuie aruncat
Exemplu:
O adres extern a euat n mod repetat s se conecteze la un server Linux prin
SSH
Se adaug o regul de filtrare care blocheaz orice trafic de la adresa
respectiv
Nat
Conine reguli pentru translatarea adreselor n procesul de NAT
Exemplu:
Mangle
Conine reguli pentru alterarea specializat a pachetelor
18
Lanuri iptables
Liste de reguli aplicate implicit unui anumit subset de trafic
Prerouting
N
Forward
M
Input
M
F
nat
Postrouting
N
Output
N M
F
Proces din ruter
filter
mangle
19
Aciunea asupra
pachetului
Condiiile pe care trebuie s le
ndeplineasc pachetul
-A: Tipul de operaie (A = Adugare)
INPUT: Numele lanului la care se adaug
Tabela n care se adaug regula
20
filter
nat
mangle
raw
Folosit pentru configurarea excepiilor de monitorizare a conexiunilor
21
--append
--delete
--list
Afiare reguli
--flush
--new-chain
--delete-chain
ters lan
--policy
Interfaa de intrare ( -i )
Interfaa de ieire ( -o )
Adresa IP destinaie ( -d)
Adresa IP surs ( -s )
23
24
Exerciiul 1
S se scrie o regul iptables care permite trecerea traficului de la
staia 192.168.10.1 ctre serverul 192.168.10.40.
R: iptables A FORWARD s 192.168.10.1 d 192.168.10.40 j ACCEPT
DHCP
Fa0/1: 192.168.0.1/28
ISP
R1
DHCP
LAN1
Fa0/0: DHCP
25
Tabel: filter
Lan: FORWARD
s 192.168.0.5 j DROP
Politici iptables
Fiecare lan predefinit are o politic implicit
Lanurile create de utilizator NU pot avea politic implicit
27
Exerciiul 2
Ruterele de la marginea unei reele private implementeaz de
obicei antispoofing:
Nu permit intrarea n reea a pachetelor cu adrese private
Nu permit ieirea din reea a pachetelor cu adrese private
iptables
iptables
iptables
iptables
iptables
iptables
A
A
A
A
A
A
FORWARD
FORWARD
FORWARD
FORWARD
FORWARD
FORWARD
s 192.168.0.0/16 j DROP
s 172.16.0.0/12 j DROP
s 10.0.0.0/8 j DROP
d 192.168.0.0/16 j DROP
d 172.16.0.0/12 j DROP
d 10.0.0.0/8 j DROP
28
Extensii iptables
Adesea adresele IP i interfeele fizice nu sunt suficiente pentru a
implementa cerinele de securitate
Se poate permite accesul doar ctre serviciul de HTTP?
Se poate permite stabilirea conexiunilor TCP doar ntr-o direcie?
Se pot bloca ping-urile ctre interior pstrnd nc posibilitatea de a da
ping ctre exterior?
Extensii iptables
Extensia tcp permite filtrarea traficului dup:
Port destinaie --dport --destination-port
Port surs --sport --source-port
Flag-uri TCP (SYN, ACK, FIN, etc.) --tcp-flags, --syn
30
Cursul 7
SSH
Rol
Etapele stabilirii unei conexiuni
Diffie-Hellman
Conectarea prin chei
SSH
Secure SHell
Protocol folosit pentru accesul sigur la distan
Permite execuia de comenzi pe maina accesat
Dou versiuni majore existente: SSH-1 i SSH-2
SSH-1 are vulnerabiliti majore
Cursul va aborda n continuare versiunea SSH-2
32
Conceptele securitii
Autentificare
Sursa i destinaia sunt cine spun c sunt
Confidenialitate
Doar sursa i destinaia pot vizualiza
informaia
Integritate
Mesajul ajuns la destinaie nu a fost
modificat pe parcurs
33
34
Server (Bob)
p=7
g=3
p, g?
p = 7, g = 3
p=7
g=3
a = 12
Genereaz a
(aleator)
Genereaz b
(aleator)
b=7
A=6
B=3
K=6
Calculeaz k
Calculeaz k
K=6
35
36
Chei asimetrice
37
1. DH
K=6
Diffie-Hellman
K=6
38
1. DH
2. Cerere
K=6
Diffie-Hellman
K=6
39
1. DH
2. Cerere
3. Challenge
K=6
Diffie-Hellman
K=6
40
1. DH
2. Cerere
3. Challenge
K=6
Diffie-Hellman
K=6
41
1. DH
2. Cerere
3. Challenge
K=6
Diffie-Hellman
K=6
5. Reply
43
Mesaj
Algoritm
MAC
0xA0132FEE
key: student
Receptor
Mesaj
Mesaj
Cheie
Algoritm
MAC
Cheie
Mesaj
MAC
Algoritm
MAC
MAC
MAC
Nu:
Mesajul e modificat
Da:
Mesajul e intact
45
46
Confidenialitate
Integritate
Autentificare???
47
Confidenialitate
Integritate
48
SSH
SSH is a big topic
Dac dorii s aflai mai multe detalii, putei ncerca:
Daniel J. Barrett, Richard E. Silverman, and Robert G. Byrnes, SSH: The
Secure Shell (The Definitive Guide), O'Reilly 2005 (2nd edition)
49
Exerciiul final
Fie topologia de mai jos
Ruterul este o main Linux ce a fost deja configurat cu regulile iptables
din stnga
Determinai comenzile necesare pentru a rezolva fiecare ticket
Switch-ul reprezint o reea de host-uri cu adresare DHCP
Server
142.31.16.9
eth1
eth0
eth2
Internet
LAN
Admin
142.31.16.128/25
214.13.177.2
50
Exerciiul final
Ticket #1
Staiile din LAN nu pot comunica cu Server.
Care este motivul? Care este soluia?
linux# iptables P FORWARD ACCEPT
Server
142.31.16.9
eth1
eth0
eth2
Internet
ACCEPT
LAN
Admin
142.31.16.128/25
214.13.177.2
51
Exerciiul final
Ticket #2
Configurai iptables a.. doar staiile din LAN s poat folosi serviciul de
HTTP de pe Server.
linux# iptables F FORWARD
linux# iptables A FORWARD s 142.31.16.128/25 p tcp --dport 80 j ACCEPT
linux# iptables A FORWARD d 142.31.16.9 p tcp --dport 80 j DROP
Server
142.31.16.9
eth1
eth0
eth2
Internet
LAN
Admin
142.31.16.128/25
214.13.177.2
52
Exerciiul final
Ticket #3
Configurai iptables a.. doar Admin s poat accesa prin SSH ruterul
linux# iptables F INPUT
linux# iptables A INPUT s 214.13.177.2 p tcp --dport 22 j ACCEPT
linux# iptables A INPUT p tcp --dport 22 j DROP
Server
-i eth0 j DROP
s 214.13.177.2 p tcp --dport 22 j ACCEPT
p tcp --dport 22 j DROP
142.31.16.9
eth1
eth0
eth2
Internet
LAN
Admin
142.31.16.128/25
214.13.177.2
53
Exerciiul final
Ticket #4
Configurai iptables a.. sesiunile TCP din LAN s poat fi iniiate doar
dinspre interior
linux# iptables A FORWARD p tcp --syn j DROP
???
Server
142.31.16.9
eth1
eth0
eth2
Internet
LAN
Admin
142.31.16.128/25
214.13.177.2
54
Cuvinte cheie
DoS
Acces
TCP
Nivelul
transport
Atacuri
Recunoatere
Chei
publice/private
Autentificare
UDP
nat
filter
SSH
Integritate
Confidenialitate
Tabele
mangle
DiffieHellman
Politic
Stateful
target
Firewall
Stateless
Nivel
aplicaie
iptables
INPUT
Lanuri
OUTPUT
FORWARD
55