Securitatea sistemelor și a aplicațiilor: Cursul XII. Controale de securitate în rețele Marius Joldoș U.T. Cluj-Napoca

Securitatea sistemelor și a
aplicațiilor
Cursul XII.
Controale de securitate în rețele
Marius Joldoș
U.T. Cluj-Napoca
Subiecte
 Controale de securitate în rețele
– SSH
– SSL/TLS
– IPSec
– Pereți antifoc (firewalls)
– Sisteme de detecție a intruziunilor
– Honeypots/nets
– E-mail securizat
– Securitatea totală
SSA cursul 12 - M. Joldos - T.U. Cluj 2

SSH
 Secure shell
– Pereche de protocoale (versiunile 1 și 2),
definite original pentru Unix, dar disponibile
și sub Windows
– Furnizează o cale autentificată și cifrată spre
interpretorul de comenzi al SO.
– Înlocuiesc utilitare Unix cum sunt telnet,
rlogin, și rsh pentru acces la distanță.
– Protejează de atacuri cu falsificarea și
modificarea datelor pe durata comunicației.

Sistem de securitate integrat
 Când două părți comunică …

– Software instalat la cele două părți se ocupă
de obicei de detalii
1. Negociază metodele de securitate
2. Se autentifică reciproc
3. Schimbă între ele cheia de sesiune
simetrică
4. Pot comunica securizat folosind cheia de
sesiune simetrică și autentificarea mesaj-
cu-mesaj

Sistem de securitate integrat SSL
 SSL
– Secure Sockets Layer
– Dezvoltat de Netscape
 TLS (acum)
– Netscape a predat controlul asupra SSL lui
IETF
– IETF la re-denumit TLS (Transport Layer
Security)
– De obicei se numește încă SSL

SSL
 Localizare: sub stratul Aplicație
– IETF îl vede la nivelul transport
– Protejează toate schimburile aplicației
– Nu este limitat la o singură aplicație
• Tranzacții WWW, e-mail, etc.
E-Mail WWW E-Mail WWW
SSL SSL
 Funcționarea SSL:
– Browser & Software-le serverelor de web
implementează SSL
• Utilizatorul poate să nu știe despre asta

Funcționarea SSL
 Procesul SSL ISS(Internet Security
System)
– Două părți negociază parametrii de
securitate
– Serverul de web se autentifică
– Browser se poate autentifica, dar rareori
of face
– Browser alege o cheie de sesiune
simetrică și o trimite serverului de web
– Adaugă o semnătură digitală și cifrează
toate mesajele cu cheia simetrică
O problemă la SSL (Nivelul 4)
 TCP nu participă în criptografie
 TCP nu poate observa date periculoase inserate în
fluxul de pachete, dacă pachetul are un număr de
secvență valid
 Exemplu:
– Atacatorul inserează un pachet fals cu număr de secvență 3
înaintea pachetului real.
– TCP recepționează mai întâi pachetul fals, îl acceptă și îl
trimite SSL.
– SSL poate detecta că este un pachet ilegal și îl aruncă. Cu
toate acestea, SSL nu poate spune TCP să accepte următorul
pachet care are și el număr de secvență 3!
– SSL trebuie să închidă conexiunea.
– Atacatorul poate lansa un atac DoS prin inserția unui singur
pachet!

O problemă la SSL – ilustrare (1)
Pachet
IP TCP SSL
Date cifrate
antet antet antet
SSL
Pachet așteptat = 1 TCP
TCP SSL Este pachetul; așteptat

date Trece-l lui SSL
1 antet
Actualizează fereastra
SSL
SSL date
antet

O problemă la SSL – ilustrare (2)
SSL
Pachet așteptat = = 2 TCP
TCP SSL Este pachetul; așteptat

date Trece-l lui SSL
2 antet
SSL
SSL date
antet

O problemă la SSL –
SSL
ilustrare (3)
TCP antet date Este pachetul; așteptat

3 fals false Trece-l lui SSL
Trudy trimite
un pachet fals SSL știe că este un pachet fals
SSL îl aruncă
antet date
SSL
fals false
SSL
TCP Antet
date
3 SSL NU este pachetul așteptat
Utilizatorul legitim trimite TCP aruncă pachetul!
al treilea pachet
Importanța SSL
 Suportata de aproape toate browser-
ele
– Standard 'de facto' pentru securitatea
aplicațiilor Internet
 Probleme
– Securitate relativ slabă
– Nu implică securitate pe serverul
comerciantului
– Nu validează numere de cărți de credit
– Privit ca o abordare disponibilă, dar
temporară, a securității consumatorilor

SSL vs. TLS
 Netscape a stat la originea SSL v2 în
Navigator 1.1 in 1995
 SSL v3 s-a publicat ca RFC (Internet draft)
 IETF a format un grup de lucru pentru TLS
 Prima versiune de TLS este în esență un SSL
v3.1 și este compatibil înapoi cu SSL v3
 SSL v3 este cel mai răspândit
 TLS a mandatat folosirea DSS [Digital
Signature Standard] în loc de RSA

Alte ISSs
 Există multe alte ISSs
– IPsec
– PPP și PPTP etc.
 Toate ISSs au aceeași pași generali
– Negociază parametrii de securitate
– Autentifică partenerii
– Schimbă o cheie de sesiune între parteneri
– Comunică cu intimitate(privacy),
autentificare și integritate mesaj-cu-mesaj

IPsec
 IPsec (IP security)
 Securitate pentru transmisia peste rețele IP
– Internet
– Rețele IP interne ale corporațiilor
– Pachete IP trimise peste rețele de date publice
comutate (PSDN)
Rețea locală Internet Rețea locală

IPsec
 De ce e nevoie de IPSec?
– IP nu are securitate
– Adaugă securitate pentru a crea o rețea virtuală
privată (virtual private network −VPN), pentru a
oferi comunicație sigură peste Internet sau altă
rețea IP
 Geneza
– A fost creată de Internet Engineering Task
Force
– Atât pentru IP v4 cât și pentru IPv6
Rețea locală Internet Rețea locală

IPsec
 Moduri de operare: tunel & transport
 Modul tunel
– Server IPsec în fiecare sit
– Securizează mesajele care trec prin Internet
– Gazdele funcționează ca de obicei
• IPsec în modul tunel este transparent pentru gazde
– Nu oferă securitate înăuntrul rețelele de la
situri Internet
Rețea locală Rețea locală
Server
Comunicare securizată IPsec
IPsec
 Modul transport
– Securitate cap-la-cap (end-to-end ) între
gazde
– Securitate și înăuntrul rețelelor din situri
– Cere gazdelor să implementeze IPsec
Rețea Internet Rețea

locală locală
Comunicare securizată
IPsec
 Modul transport
– Adaugă un antet de securitate la pachetul IP
– După antetul IP principal
– Adresele gazdelor sursă și destinație pot fi
aflate de un interceptor
– Doar câmpul de date original este protejat
Antet de
Antet IP Câmp de date
securitate
original original protejat
Transport

IPsec
 Modul tunel
– Adaugă un antet de securitate la
pachetul IP înaintea antetului IP original
– Are doar adresele IP ale serverelor IPsec
sursă și destinație, nu ale gazdelor sursă
și destinație
– Protejează antetul IP principal
Antet de Antet IP
Câmp de date
securitate original
original protejat
Tunel protejat

IPsec
 Cele două moduri se pot combina
– Modul Transport pentru securitate cap-la-
cap
– Plus modul Tunel pentru a ascunde
adresele IP ale gazdelor sursă și
destinație întrecerea peste Internet
Rețea Internet Rețea

locală locală
Modul tunel Modul transport

IPsec
 Trei zone funcționale
– Autentificare: asigurarea că expeditorul
este cine pretinde pachetul că este; de
asemenea asigură că pachetul nu a fost
alterat
– Confidențialitate: prevenirea trasului cu
urechea
– Gestiunea cheilor: permite schimb de chei
sigur

IPsec
 Două forme de protecție
 Securitatea Încărcăturii de securitate care
încapsulează Encapsulating Security Payload (ESP)
oferă atât confidențialitate cât și autentificare
 Antetul de autentificare (Authentication Header
−AH) oferă autentificare, dar nu confidențialitate
– Util unde criptarea este interzisă prin lege
– Oferă o autentificarea ușor mai bună, prin
autentificarea unei părți puțin mai mari a
mesajului, dar acest lucru este rareori decisiv

Servicii IPsec
 Două protocoale:
– Antet de autentificare (AH)
– Încărcătura de securitate care încapsulează
[Encapsulating Security Payload] (ESP)
Servicii AH ESP
Controlul accesului Da Da
Integritate Da Da
Autentificare Da Da
Protecție la atac cu Da Da
reluare
Confidențialitate Nu Da
IPsec
 Modurile și metodele de protecție pot

fi aplicate în orice combinație
Modul Modul
Tunel Transport
ESP Suportat Suportat
AH Suportat Suportat

IPsec
 Asocierile de securitate (Security Associations
− SAs) sunt înțelegeri între două gazde sau
doua servere IPsec (în funcție de mod).
Caracteristici:
– “Contracte” pentru cum se va executa securitatea
– Negociate
– Guvernează transmisiile ulterioare
Negociază o
Asociere de securitate
Gazda A Gazda B

IPsec
 Asocierile de securitate (SAs) pot fi
asimetrice
– Tării diferite în cele două direcții
• Clienții și serverele ar putea avea nevoi de
securitate diferite
SA pentru mesaje
de la A la B
Gazda A Gazda B
SA pentru mesaje
de la B la A

IPsec
 Politicile pot limita ce SAs pot fi
negociate:
– Pentru a asigura că sunt SAs de tărie
adecvată pentru amenințările organizației
– Pentru a da uniformitate deciziilor de
negociere
Negocierile de
asocieri de securitate
Limitate de politici
Gazda A Gazda B

IPsec
 Mai întâi, cele două părți negociază
Asocierile de securitate IKE (schimbul
de chei Internet − Internet Key
Exchange)
– IKE nu este specific IPsec
– Poate fi folosit în alte protocoale de
securitate
Comunicare
Gazda A Guvernată de Gazda B
IKE SA

IPsec
 Sub protecția comunicării guvernate de
această SA IKE, se negociază SAs
specifice IPsec
Comunicare
Gazda A Guvernată de Gazda B
IKE SA
Negociere de SA IPsec

IPsec
 Procesul de creare a SAs IKE (și a altor
SAs):
– Negociază parametrii de securitate în cadrul
limitărilor impuse de politici
– Autentifică părțile folosind metodele agreate
prin SA
– Schimbă o cheie de sesiune simetrică folosind o
metoda agreată prin SA
– Comunică securizat cu confidențialitate,
autentificare mesaj-cu-mesaj și integritatea
mesajelor folosind metoda agreată prin SA

IPsec
 IPsec are algoritmi de securitate
obligatorii
– Îi folosește ca algoritmi impliciți dacă nu s-a
negociat un alt algoritm
– Se pot negocia alți algoritmi
– Dar algoritmii obligatorii TREBUIE suportați

IPsec
 Agrementul de cheie Diffie-Hellman
– Pentru a se înțelege asupra unei chei simetrice de
sesiune care să fie folosită pentru confidențialitate în
această sesiune
– Face și autentificare
– Fiecare parte trimite celeilalte o nonce (număr
aleator)
– nonces vor fi aproape sigur diferite
– nonces nu sunt trimise confidențial
Nonce B
Partea A Partea B
Nonce A

IPsec
 Agrementul de cheie Diffie-Hellman
– Din diferitele nonces, fiecare parte va fi
capabilă să deducă aceeași cheie de
sesiune, simetrică, pentru folosirea
ulterioară
– Nu este schimb de cheie; în loc de asta
este înțelegere privind cheia
Cheie simetrică Cheie simetrică

Din nonces,
Partea A Determină independent Partea B
aceeași cheie de sesiune
simetrică
O problemă la IPsec (Nivelul 3)
 IP lucrează pe adrese IP
 IPsec știe doar adresa de rețea, nu și
utilizatorul
– Nu poate autentifica utilizatorii
 Soluțiile de securitate din straturi diferite
oferă caracteristici de securitate diferite

Kerberos
 Kerberos (Cerberus): câine cu trei capete
din mitologia greacă
– Păzea porțile lumii subpământene (Hades) a
celor morți
– Decidea cine poate ieși
– Vorbim de securitate tare

Kerberos
 Mediu Kerberos:
– Centru de distribuire a cheilor (Key Distribution
Center − KDC),
– Un număr de clienți și
– Servere de aplicație (Application Servers)
 Key Distribution Center (KDC):
– Server/serviciu de autentificare (Authentication server − AS) și
server/serviciu de garantare a tichetelor (Ticket Granting
Server − TGS)
 AS emite tichete-care-garantează-tichete (Ticket-Granting-Tickets)
utilizatorului după verificare, iar
 TGS emite tichete-care-garantează-serviciu (Service-Granting-
Tickets) utilizatorului.

Kerberos
 Sunt prezente trei părți
– Serverul Kerberos
– Gazda care solicită (Applicant host)
– Gazda care verifică (Verificator) – server de
aplicație
Server Kerberos
(KDC =
Key Distribution Center)
Solicitant
Verificator

Kerberos
 Serverul Kerberos partajează o cheie
simetrică cu fiecare gazdă
– Cheia partajată cu solicitantul se va numi
Cheie AS (Applicant-Server)
– Cheia partajată cu verificatorul va fi Cheia VS
Server Kerberos
(KDC)
Solicitant
Verificator
Cheie AS Cheie VS
Kerberos
 Solicitantul trimite un mesaj serverului
Kerberos
– Se loghează și solicită un tichet-care-garantează-
tichet (ticket-granting ticket −TGT)
• Autentifică solicitantul față de server
– Serverul îi trimite un TGT
– TGT permite solicitantului să ceară conexiuni
Cerere
TGT Server Kerberos
Solicitant (KDC)
TGT

Kerberos
 Pentru a se conecta la verificator:
– Solicitantul cere serverului Kerberos acreditările
pentru a prezenta solicitantul verificatorului
(serverul de aplicație)
– Cererea include TGTs
Server Kerberos
Cerere de acreditări (KDC)
Solicitant

Kerberos
 Serverul Kerberos trimite acreditările
– Acreditările includ cheia de sesiune AV
(solicitant-verificator) pe care cei doi o vor folosi
la comunicarea în siguranță
– Cifrat cu cheia AS astfel încât interceptorii nu o
pot citi
Server Kerberos
Solicitant acreditări=
Cheia de sesiune AV
Tichet de serviciu

Kerberos
 Serverul Kerberos trimite acreditările
– acreditările includ și Tichetul de serviciu (Service
Ticket), cifrat cu cheia VS; Solicitantul nu îl
poate citi sau modifica
Server Kerberos
Solicitant acreditări=
Cheia de sesiune AV
Tichet de serviciu

Kerberos
 Solicitantul trimite Tichetul de serviciu plus
Autentificatorul (Authenticator) verificatorului
– Tichetul de serviciu conține cheia de sesiune
simetrică (cheia AV)
– Acum ambele părți au cheia AV și astfel pot
comunica confidențial
Tichet de serviciu
Solicitant (Conține cheia AV) Verificator
+ Autentificatorul

Kerberos
 Solicitantul trimite Tichetul de serviciu plus un
Autentificator verificatorului
– Autentificatorul conține informație cifrată cu cheia
AV
• Garantează că tichetul de serviciu a venit de la
solicitant, singurul care cunoaște cheia AV (în afara
verificatorului)
• Tichetul de serviciu are o ștampilă de timp pentru a
preveni atacurile cu reluare
Tichet de serviciu
(Conține cheia AV) + Autentificatorul

Kerberos
 Comunicările ulterioare între solicitant și verificator
folosesc cheia de sesiune simetrică (cheia AV) pentru
confidențialitate
Comunicare criptată
Solicitant cu cheia
(Applicant, Verificator,
KAV V
A)
 Tichetul de serviciu poate conține mai mult decât cheia
AV
 Dacă solicitantul este un client, iar verificatorul este un
server, tichetul de serviciu poate conține
– Numele de utilizator și parola verificatorului
– Lista de drepturi la fișiere și directoare pe server

Kerberos. Neajunsuri și limitări
 Punct de defectare global (Single point of failure): are permanent
nevoie de un server central
– În lipsa lui utilizatorii nu se pot loga
– Poate fi moderată prin folosirea de servere multiple și mecanisme de
autentificare de rezervă.
 Are cerințe de timp stricte – sincronizarea ceasurilor gazdelor în
limitele configurate
– În practică de folosește NTP pentru sincronizare
 Protocolul de administrare nu este standardizat și diferă între
implementări
 În cazul folosirii criptografiei simetrice, cum toate autentificările
sunt controlate de un KDC centralizat, compromiterea
infrastructurii de autentificare permite impostura (datul drept alt
utilizator).
 Fiecare serviciu care are nevoie de un nume de gazdă diferit are
nevoie de set de chei Kerberos propriu
 ...
Pereți Antifoc (Firewalls)
• Zid (perete) antifoc = combinație hardware/software
care restrânge accesul spre/de la o resursă de pe rețea
• Resursă pe rețea = orice entitate adresabilă dintr-o rețea de
calculatoare
 Stau între rețeaua corporației și Internet
– Previne accesul neautorizat din Internet
– Facilitează accesul utilizatorilor interni la Internet
Perete antifoc
(Firewall)
OK
Nu
Acces numai dacă
e autentificat

 Pereți Antifoc cu filtrarea pachetelor
(Packet Filtering Firewalls)
– Examinează fiecare pachet IP care intră
– Examinează câmpurile din antetul IP și TCP
– Dacă detectează comportament
necorespunzător, refuză pachetul
– Nu știe de comunicația anterioară: analizează
fiecare pachet luat izolat
Perete Pachet IP
antifoc
IP
 Pereți Antifoc de aplicație(Application
(Proxy) Firewalls)
– Filtrează pe baza comportamentului
aplicației
– Nu examinează pachetele izolat: folosesc
istoricul
• D.e., în HTTP, nu acceptă răspunsuri decât dacă
există o cerere HTTP spre sit
Aplicație

 Pereți Antifoc de aplicație(Application (Proxy
= împuternicit) Firewalls)
– Ascund adresele Internet interne
– Utilizatorul intern trimite o cerere HTTP
– Programul împuternicit HTTP înlocuiește adresa de
internet a utilizatorului cu adresa IP a serverului
împuternicit și o trimite serverului de Web
Cerere cu adresa
IP a serverului
Cerere HTTP
împuternicit

 Pereți Antifoc de aplicație(Application (Proxy
= împuternicit) Firewalls)
– Serverul de web trimite răspunsul la serverul
împuternicit, la adresa IP a acestuia
– Serverul HTTP împuternicit trimite pachetul IP
gazdei de unde a venit cererea
– Programul împuternicit acționează în numele unui
utilizator intern
Răspuns Răspuns cu
HTTP adresa IP a
serverului împuternicit
 De ce să ascundem adresele IP interne?
– Primul pas într-un atac este de obicei găsirea
victimelor potențiale
– Programele adulmecătoare (Sniffer ) citesc
fluxuri de pachete IP în căutarea adreselor IP ale
țintelor potențiale
– La folosirea serverului împuternicit,
adulmecătoarele nu pot afla adresele IP ale
gazdelor interne
Sniffer
Adresa IP Adresă IP
reală falsă
 Pereții Antifoc de aplicație
– Necesită un program separat (împuternicit)
pentru fiecare aplicație
– Dar, nu toate aplicațiile au reguli care să
permită filtrarea

Ce pot face pereții antifoc?
 Impune politici de securitate

 Jurnaliza eficient accesul în rețea
 Limita gradul de expunere
 Oferi trasabilitate pentru intruziuni
 Permite contabilizarea precisă a
activităților

Ce nu pot face pereții antifoc...
 Nu oferă protecție împotriva celor din interior
 Nu oferă protecție împotriva conexiunilor care
nu trec prin ele
 Nu oferă protecție împotriva amenințărilor
complet noi
 Nu pot proteja împotriva virușilor fără a avea fie
o gazdă bastion dotată cu software de scanare
a virușilor sau scanare cu reconstruirea
pachetelor
 Nu pot proteja împotriva a ceea ce arată ca o
sesiune legitimă cu partea “în care nu există
încredere”
Zona demilitarizată (DMZ)
 Demilitarized Zone (DMZ)
– Subrețea care conține serviciile externe ale unei organizații,
accesibile din Internet
– Au perete antifoc intern și extern
– Peretele antifoc extern protejează DMZ
– Peretele antifoc intern protejează rețeaua internă de atacuri
venite din DMZ
– Conține
"Gazde Bastion" =
computer care
găzduiesc o
singură aplicație,
celelalte servicii
sunt eliminate sau
reduse
Desfășurarea sistematică
 Considerațiuni
– Performanța
– Securitatea zidului antifoc în sine
– Rulează pe SO minimizat
• Funcțiile care nu țin de zidul antifoc nu ar trebui realizate pe
aceeași mașină
 Topologia rețelei
HTTP
SMTP
Internet FTP
TELNET
Filtru de pachete Gateway de

aplicație
22.05.2009 SSA cursul 12 - M. Joldos - T.U. Cluj 58

Honeypots/Honeynets
(capcane cu miere/rețele de ~)
 Cum?
– Se pune un computer (neprotejat) sau o întreagă rețea ca și
capcană pentru atacatori
– Sistemul nu are valoare pentru producție, astfel încât orice
activitate este suspectă
• Orice mesaj de e-mail primit este considerat spam
– Se observă atacatorul pentru a învăța despre atacuri noi,
pentru a identifica și opri atacatorul sau pentru a-l devia de la
a ataca un sistem real
– Evident, atacatorul nu ar trebui să poată să-și dea seama că
sistemul atacat este o capcană
• Joc de-a șoarecele și pisica
 De asemenea, atacatorul ar putea folosi honeypot/-net

pentru a pătrunde în sisteme reale

Tipuri de honeypots/-nets
 Cu interacțiune scăzută
– Daemon care emulează una sau mai multe gazde, care rulează
diferite servicii
– Ușor de instalat și de întreținut
– E posibilă adunarea unei cantități de informație limitate
– Mai ușor pentru atacator să le detecteze decât pe cele cu
interacțiune ridicată
 Cu interacțiune ridicată
– Se instalează software și hardware real, se folosesc switch-uri
de rețea invizibile sau jurnalizatoare de tastare (keyloggers)
pentru a jurnaliza datele
– Mai complicat de desfășurat
– Pot captura multe informații utile
– Pot captura comportament neașteptat de atacator
Detecția intruziunilor. Definiții
 Intruziune
– Un set de acțiuni care țintesc să
compromită scopurile securității, adică
• Integritatea, confidențialitatea sau
disponibilitatea unei resurse de calcul sau de
rețea
 Detecția intruziunilor
– Procesul de identificare și răspuns la
activitățile de intruziune

Rata bayesiană de detecție
 Rata de falsitate de bază [Base-rate

fallacy]
– Chiar dacă rata de alarme false P(A|¬I) este foarte
scăzută, rata de detecție bayesiană P(I|A) este
scăzută dacă rata de bază P(I) este scăzută
– D.e.. if P(A|I) = 1, P(A|¬I) = 10-5, P(I) = 2×10-5,
P(I|A) = 66%
 Implicațiile pentru IDS
– Proiectarea de algoritmi care să reducă rata de
alarme false
– Desfășurarea IDS la locul/nivelul potrivit care să
asigure a rată de bază suficient de mare
Exemplu de curbă ROC
(cf. http://en.wikipedia.org/wiki/Receiver_operating_characteristic)
% Detecție IDS1
IDS2
% Alarme false
 Un sistem ideal ar trebui să aibă rata de
detecție de 100% cu 0% alarme false
Detecția intruziunilor
 Software de detectare a intruziunilor
pentru a detecta și raporta intruziunile
pe măsură ce apar
– Permite organizației să stopeze intrușii,
astfel ca aceștia să nu aibă timp nelimitat
pentru a căuta slăbiciuni
– Ajută organizația să determine amenințările
la securitate
– Jurnalele de audit arată unde au fost
intrușii: vital pentru măsuri legale

 IDS (=Intrusion detection System)

bazat pe semnături
– Execută potrivire cu șabloane simplă și
raportează situațiile în care s-a potrivit un
șablon cu un tip de atac cunoscut
 IDS euristice (bazate pe anomalii)
– Construiesc un model al
comportamentului acceptabil și
semnalează excepțiile de la model

 IDS bazate pe rețea (NIDS) –

dispozitive de sine stătătoare atașate
la rețea pentru a monitoriza traficul
peste tot în rețea
 IDS bazate pe gazde (HIDS) – rulează
pe o singură stație de lucru sau client
sau gazdă, pentru a o proteja

Cerințe pentru IDS de rețea
 Viteză mare, monitorizare de volume
mari de trafic
– Fără căderi la filtrul de pachete
 Notificare în timp real
 Mecanismul separat de politică
 Extensibilitate
 Acoperire largă a detecției
 Economicitate în folosirea resurselor
 Rezistența la stres
 Rezistența la atacuri asupra sa!
Eludarea IDS de rețea
 Ceea ce vede IDS poate să nu fie ceea ce
primește sistemul final:
– Atacuri cu inserție și evaziune.
• IDS trebuie să efectueze asamblarea completă a
pachetelor.
– Există ambiguități în protocoale și în SO:
• D.e. TTL, fragmente.
• IDS trebuie să “normalizeze” pachetele.

Setări și contramăsuri
 Setările perimetrale
– Blochează toate protocoalele cu excepția celor permise explicit
[adică SMTP(25), DNS(53), HTTP(80), SSL(443),…]
 Setările interne
– Blochează tot traficul nenecesar între segmentele de rețea
interne, la distanță și conexiunile VPN
 Configurații de securitate
– Întărirea serverelor & stațiilor de lucru astfel încât să ruleze
doar serviciile și aplicațiile necesare
 Segmentarea rețelelor
 Managementul corecțiilor (Patch Management)

E-mail securizat
 Ce se poate întâmpla cu mesajele?
– Interceptarea mesajelor (confidențialitate)
– Interceptarea mesajelor (blocarea livrării)
– Interceptarea mesajelor și reluarea ulterioară
– Modificarea conținuturilor mesajelor
– Modificarea originilor mesajelor
– Falsificarea conținuturilor mesajelor de către un outsider
– Falsificarea originilor mesajelor de către un outsider
– Falsificarea conținuturilor mesajelor de către primitor
– Falsificarea originilor mesajelor de către primitor
– Refuzul transmiterii mesajelor (DoS)

E-mail securizat
 Cerințe și soluții
– Confidențialitatea mesajului
– Integritatea mesajului
– Autenticitatea expeditorului
– Ne-repudiere
 Exemple de sisteme pentru e-mail
securizat
– PGP (Pretty Good Privacy) – folosește inel de chei
publice; confidențialitate, integritate
– S/MIME (Secure Multipurpose Internet Mail
Extensions) – folosește certificate
Securitatea multi-nivel
 Securitatea se poate aplica la mai multe
nivele simultan
– La nivelul aplicației pentru baze de date, e-mail
etc.
– La nivelul transport: SSL
– În stratul Internet: IPsec
– La nivelul legăturii de date: PPTP, L2TP
– La nivelul fizic: zăvoare (închizători, lacăte)

Securitatea multi-nivel
 Aplicarea securității în două sau mai
multe straturi este necesară
– Dacă securitatea este spartă într-un strat,
comunicarea va fi încă sigură
 Dezavantaje:
– Securitatea încetinește procesarea
– Securitatea multi-nivel încetinește
procesarea în fiecare strat

Securitatea totală
 Securitatea rețelei este doar
o parte
 Securitatea Serverelor
– Hackerii pot scoate din uz serverele cu
atacuri cu refuzul servirii (DoS, DDoS)
– Hackerii se pot loga ca administratori și pot
prelua serverele
• Pot fura date, bloca accesul utilizatorilor legitimi
etc.

Securitatea totală
 Securitatea serverelor
– Ocazional se descoperă slăbiciuni în

sistemele de operare ale serverelor
– Aceste cunoștințe sunt diseminate rapid
• Slăbiciuni de securitate cunoscute

Securitatea totală
 Securitatea Serverelor
– Producătorii de sisteme de operare pentru

servere creează corecții
– Multe firme nu descarcă corecțiile

• Asta le face vulnerabile la hackeri, care dezvoltă
repede unelte pentru determinarea
vulnerabilităților și apoi exploatează slăbiciunile
cunoscute

Securitatea totală
 Securitatea PC Client
– Există slăbiciuni de securitate cunoscute, dar

corecțiile sunt rareori descărcate/aplicate
– Adeseori utilizatorii nu au parole sau au

parole slabe pe PC-uri
– Adversarii preiau PC-urile client și de aceea

pot lua controlul asupra SSL sau a altor
protocoale de comunicare securizată

Securitatea totală
 Software de aplicație
– Poate conține viruși
• Trebuie filtrate mesaje care intră în rețea/gazdă
– Bazele de date și alte aplicații pot adăuga

securitate proprie folosind parole și alte
protecții

Securitatea totală
 Gestiunea utilizatorilor
– Utilizatorii violează adesea procedurile de

securitate, făcând ca securitatea tehnică să
nu mai aibă valoare
– Ingineria socială: atacatorii păcălesc

utilizatorii să violeze procedurile de
securitate

Apărarea în adâncime
 Pereți Antifoc (Firewalls)
 Antiviruși
 Sisteme de detecție a intruziunilor
 Sisteme de protecție împotriva
intruziunilor

Rezumat
 Controale de securitate în rețele
– SSH
– SSL/TLS
– IPSec
– Pereți antifoc (firewalls)
– Sisteme de detecție a intruziunilor
– Honeypots/nets
– E-mail securizat
– Securitatea totală

Limbă

Bine ați venit la Scribd!

Securitatea sistemelor și a aplicațiilor: Cursul XII. Controale de securitate în rețele Marius Joldoș U.T. Cluj-Napoca

Încărcat de

Informații document

Descriere:

Data încărcării

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Descriere:

Drepturi de autor:

Formate disponibile

Securitatea sistemelor și a aplicațiilor: Cursul XII. Controale de securitate în rețele Marius Joldoș U.T. Cluj-Napoca

Titlu original:

Încărcat de

Descriere:

Drepturi de autor:

Formate disponibile

Titluri conexe

Securitatea sistemelor și a

SSA cursul 12 - M. Joldos - T.U. Cluj 2

SSA cursul 12 - M. Joldos - T.U. Cluj 3

 Când două părți comunică …

SSA cursul 12 - M. Joldos - T.U. Cluj 4

SSA cursul 12 - M. Joldos - T.U. Cluj 5

SSA cursul 12 - M. Joldos - T.U. Cluj 6

SSA cursul 12 - M. Joldos - T.U. Cluj 8

Pachet așteptat = 1 TCP

TCP SSL Este pachetul; așteptat

SSA cursul 12 - M. Joldos - T.U. Cluj 9

Pachet așteptat = = 2 TCP

TCP SSL Este pachetul; așteptat

SSA cursul 12 - M. Joldos - T.U. Cluj 10

TCP antet date Este pachetul; așteptat

Pachet așteptat = 4 TCP

SSA cursul 12 - M. Joldos - T.U. Cluj 12

SSA cursul 12 - M. Joldos - T.U. Cluj 13

SSA cursul 12 - M. Joldos - T.U. Cluj 14

Rețea locală Internet Rețea locală

SSA cursul 12 - M. Joldos - T.U. Cluj 15

SSA cursul 12 - M. Joldos - T.U. Cluj 16

Rețea Internet Rețea

SSA cursul 12 - M. Joldos - T.U. Cluj 19

SSA cursul 12 - M. Joldos - T.U. Cluj 20

Rețea Internet Rețea

Modul tunel Modul transport

SSA cursul 12 - M. Joldos - T.U. Cluj 21

SSA cursul 12 - M. Joldos - T.U. Cluj 22

SSA cursul 12 - M. Joldos - T.U. Cluj 23

 Modurile și metodele de protecție pot

SSA cursul 12 - M. Joldos - T.U. Cluj 25

SSA cursul 12 - M. Joldos - T.U. Cluj 26

SSA cursul 12 - M. Joldos - T.U. Cluj 27

SSA cursul 12 - M. Joldos - T.U. Cluj 28

SSA cursul 12 - M. Joldos - T.U. Cluj 29

SSA cursul 12 - M. Joldos - T.U. Cluj 30

SSA cursul 12 - M. Joldos - T.U. Cluj 31

SSA cursul 12 - M. Joldos - T.U. Cluj 32

SSA cursul 12 - M. Joldos - T.U. Cluj 33

Cheie simetrică Cheie simetrică

SSA cursul 12 - M. Joldos - T.U. Cluj 35

SSA cursul 12 - M. Joldos - T.U. Cluj 36

SSA cursul 12 - M. Joldos - T.U. Cluj 37

SSA cursul 12 - M. Joldos - T.U. Cluj 38

SSA cursul 12 - M. Joldos - T.U. Cluj 40

SSA cursul 12 - M. Joldos - T.U. Cluj 41

SSA cursul 12 - M. Joldos - T.U. Cluj 42

SSA cursul 12 - M. Joldos - T.U. Cluj 43

SSA cursul 12 - M. Joldos - T.U. Cluj 44

SSA cursul 12 - M. Joldos - T.U. Cluj 45

SSA cursul 12 - M. Joldos - T.U. Cluj 46

SSA cursul 12 - M. Joldos - T.U. Cluj 48

SSA cursul 12 - M. Joldos - T.U. Cluj 50

SSA cursul 12 - M. Joldos - T.U. Cluj 51