Sunteți pe pagina 1din 81

Securitatea sistemelor și a

aplicațiilor

Cursul XII.
Controale de securitate în rețele
Marius Joldoș
U.T. Cluj-Napoca
Subiecte
 Controale de securitate în rețele
– SSH
– SSL/TLS
– IPSec
– Pereți antifoc (firewalls)
– Sisteme de detecție a intruziunilor
– Honeypots/nets
– E-mail securizat
– Securitatea totală

SSA cursul 12 - M. Joldos - T.U. Cluj 2


SSH
 Secure shell
– Pereche de protocoale (versiunile 1 și 2),
definite original pentru Unix, dar disponibile
și sub Windows
– Furnizează o cale autentificată și cifrată spre
interpretorul de comenzi al SO.
– Înlocuiesc utilitare Unix cum sunt telnet,
rlogin, și rsh pentru acces la distanță.
– Protejează de atacuri cu falsificarea și
modificarea datelor pe durata comunicației.

SSA cursul 12 - M. Joldos - T.U. Cluj 3


Sistem de securitate integrat

 Când două părți comunică …


– Software instalat la cele două părți se ocupă
de obicei de detalii
1. Negociază metodele de securitate
2. Se autentifică reciproc
3. Schimbă între ele cheia de sesiune
simetrică
4. Pot comunica securizat folosind cheia de
sesiune simetrică și autentificarea mesaj-
cu-mesaj

SSA cursul 12 - M. Joldos - T.U. Cluj 4


Sistem de securitate integrat SSL
 SSL
– Secure Sockets Layer
– Dezvoltat de Netscape

 TLS (acum)
– Netscape a predat controlul asupra SSL lui
IETF
– IETF la re-denumit TLS (Transport Layer
Security)
– De obicei se numește încă SSL

SSA cursul 12 - M. Joldos - T.U. Cluj 5


SSL
 Localizare: sub stratul Aplicație
– IETF îl vede la nivelul transport
– Protejează toate schimburile aplicației
– Nu este limitat la o singură aplicație
• Tranzacții WWW, e-mail, etc.
E-Mail WWW E-Mail WWW
SSL SSL

 Funcționarea SSL:
– Browser & Software-le serverelor de web
implementează SSL
• Utilizatorul poate să nu știe despre asta

SSA cursul 12 - M. Joldos - T.U. Cluj 6


Funcționarea SSL
 Procesul SSL ISS(Internet Security
System)
– Două părți negociază parametrii de
securitate
– Serverul de web se autentifică
– Browser se poate autentifica, dar rareori
of face
– Browser alege o cheie de sesiune
simetrică și o trimite serverului de web
– Adaugă o semnătură digitală și cifrează
toate mesajele cu cheia simetrică
SSA cursul 12 - M. Joldos - T.U. Cluj 7
O problemă la SSL (Nivelul 4)
 TCP nu participă în criptografie
 TCP nu poate observa date periculoase inserate în
fluxul de pachete, dacă pachetul are un număr de
secvență valid
 Exemplu:
– Atacatorul inserează un pachet fals cu număr de secvență 3
înaintea pachetului real.
– TCP recepționează mai întâi pachetul fals, îl acceptă și îl
trimite SSL.
– SSL poate detecta că este un pachet ilegal și îl aruncă. Cu
toate acestea, SSL nu poate spune TCP să accepte următorul
pachet care are și el număr de secvență 3!
– SSL trebuie să închidă conexiunea.
– Atacatorul poate lansa un atac DoS prin inserția unui singur
pachet!

SSA cursul 12 - M. Joldos - T.U. Cluj 8


O problemă la SSL – ilustrare (1)
Pachet
IP TCP SSL
Date cifrate
antet antet antet

SSL

Pachet așteptat = 1 TCP

TCP SSL Este pachetul; așteptat


date Trece-l lui SSL
1 antet
Actualizează fereastra

SSL
SSL date
antet
Pachet așteptat = 2 TCP

SSA cursul 12 - M. Joldos - T.U. Cluj 9


O problemă la SSL – ilustrare (2)

SSL

Pachet așteptat = = 2 TCP

TCP SSL Este pachetul; așteptat


date Trece-l lui SSL
2 antet
Actualizează fereastra

SSL
SSL date
antet
Pachet așteptat = 3 TCP

SSA cursul 12 - M. Joldos - T.U. Cluj 10


O problemă la SSL –
SSL
ilustrare (3)
Pachet așteptat = 3 TCP

TCP antet date Este pachetul; așteptat


3 fals false Trece-l lui SSL
Actualizează fereastra
Trudy trimite
un pachet fals SSL știe că este un pachet fals
SSL îl aruncă
antet date
SSL
fals false
Pachet așteptat = 4 TCP

SSL

Pachet așteptat = 4 TCP

TCP Antet
date
3 SSL NU este pachetul așteptat
Utilizatorul legitim trimite TCP aruncă pachetul!
al treilea pachet
SSA cursul 12 - M. Joldos - T.U. Cluj 11
Importanța SSL
 Suportata de aproape toate browser-
ele
– Standard 'de facto' pentru securitatea
aplicațiilor Internet
 Probleme
– Securitate relativ slabă
– Nu implică securitate pe serverul
comerciantului
– Nu validează numere de cărți de credit
– Privit ca o abordare disponibilă, dar
temporară, a securității consumatorilor

SSA cursul 12 - M. Joldos - T.U. Cluj 12


SSL vs. TLS
 Netscape a stat la originea SSL v2 în
Navigator 1.1 in 1995
 SSL v3 s-a publicat ca RFC (Internet draft)
 IETF a format un grup de lucru pentru TLS
 Prima versiune de TLS este în esență un SSL
v3.1 și este compatibil înapoi cu SSL v3
 SSL v3 este cel mai răspândit
 TLS a mandatat folosirea DSS [Digital
Signature Standard] în loc de RSA

SSA cursul 12 - M. Joldos - T.U. Cluj 13


Alte ISSs
 Există multe alte ISSs
– IPsec
– PPP și PPTP etc.
 Toate ISSs au aceeași pași generali
– Negociază parametrii de securitate
– Autentifică partenerii
– Schimbă o cheie de sesiune între parteneri
– Comunică cu intimitate(privacy),
autentificare și integritate mesaj-cu-mesaj

SSA cursul 12 - M. Joldos - T.U. Cluj 14


IPsec
 IPsec (IP security)
 Securitate pentru transmisia peste rețele IP
– Internet
– Rețele IP interne ale corporațiilor
– Pachete IP trimise peste rețele de date publice
comutate (PSDN)

Rețea locală Internet Rețea locală

SSA cursul 12 - M. Joldos - T.U. Cluj 15


IPsec
 De ce e nevoie de IPSec?
– IP nu are securitate
– Adaugă securitate pentru a crea o rețea virtuală
privată (virtual private network −VPN), pentru a
oferi comunicație sigură peste Internet sau altă
rețea IP
 Geneza
– A fost creată de Internet Engineering Task
Force
– Atât pentru IP v4 cât și pentru IPv6
Rețea locală Internet Rețea locală

SSA cursul 12 - M. Joldos - T.U. Cluj 16


IPsec
 Moduri de operare: tunel & transport
 Modul tunel
– Server IPsec în fiecare sit
– Securizează mesajele care trec prin Internet
– Gazdele funcționează ca de obicei
• IPsec în modul tunel este transparent pentru gazde
– Nu oferă securitate înăuntrul rețelele de la
situri Internet
Rețea locală Rețea locală

Server
Comunicare securizată IPsec
SSA cursul 12 - M. Joldos - T.U. Cluj 17
IPsec
 Modul transport
– Securitate cap-la-cap (end-to-end ) între
gazde
– Securitate și înăuntrul rețelelor din situri
– Cere gazdelor să implementeze IPsec

Rețea Internet Rețea


locală locală

Comunicare securizată
SSA cursul 12 - M. Joldos - T.U. Cluj 18
IPsec
 Modul transport
– Adaugă un antet de securitate la pachetul IP
– După antetul IP principal
– Adresele gazdelor sursă și destinație pot fi
aflate de un interceptor
– Doar câmpul de date original este protejat
Antet de
Antet IP Câmp de date
securitate
original original protejat
Transport

SSA cursul 12 - M. Joldos - T.U. Cluj 19


IPsec
 Modul tunel
– Adaugă un antet de securitate la
pachetul IP înaintea antetului IP original
– Are doar adresele IP ale serverelor IPsec
sursă și destinație, nu ale gazdelor sursă
și destinație
– Protejează antetul IP principal
Antet de Antet IP
Câmp de date
securitate original
original protejat
Tunel protejat

SSA cursul 12 - M. Joldos - T.U. Cluj 20


IPsec
 Cele două moduri se pot combina
– Modul Transport pentru securitate cap-la-
cap
– Plus modul Tunel pentru a ascunde
adresele IP ale gazdelor sursă și
destinație întrecerea peste Internet

Rețea Internet Rețea


locală locală

Modul tunel Modul transport

SSA cursul 12 - M. Joldos - T.U. Cluj 21


IPsec
 Trei zone funcționale
– Autentificare: asigurarea că expeditorul
este cine pretinde pachetul că este; de
asemenea asigură că pachetul nu a fost
alterat
– Confidențialitate: prevenirea trasului cu
urechea
– Gestiunea cheilor: permite schimb de chei
sigur

SSA cursul 12 - M. Joldos - T.U. Cluj 22


IPsec
 Două forme de protecție
 Securitatea Încărcăturii de securitate care
încapsulează Encapsulating Security Payload (ESP)
oferă atât confidențialitate cât și autentificare
 Antetul de autentificare (Authentication Header
−AH) oferă autentificare, dar nu confidențialitate
– Util unde criptarea este interzisă prin lege
– Oferă o autentificarea ușor mai bună, prin
autentificarea unei părți puțin mai mari a
mesajului, dar acest lucru este rareori decisiv

SSA cursul 12 - M. Joldos - T.U. Cluj 23


Servicii IPsec
 Două protocoale:
– Antet de autentificare (AH)
– Încărcătura de securitate care încapsulează
[Encapsulating Security Payload] (ESP)

Servicii AH ESP
Controlul accesului Da Da
Integritate Da Da
Autentificare Da Da
Protecție la atac cu Da Da
reluare
Confidențialitate Nu Da
SSA cursul 12 - M. Joldos - T.U. Cluj 24
IPsec

 Modurile și metodele de protecție pot


fi aplicate în orice combinație

Modul Modul
Tunel Transport
ESP Suportat Suportat

AH Suportat Suportat

SSA cursul 12 - M. Joldos - T.U. Cluj 25


IPsec
 Asocierile de securitate (Security Associations
− SAs) sunt înțelegeri între două gazde sau
doua servere IPsec (în funcție de mod).
Caracteristici:
– “Contracte” pentru cum se va executa securitatea
– Negociate
– Guvernează transmisiile ulterioare
Negociază o
Asociere de securitate
Gazda A Gazda B

SSA cursul 12 - M. Joldos - T.U. Cluj 26


IPsec
 Asocierile de securitate (SAs) pot fi
asimetrice
– Tării diferite în cele două direcții
• Clienții și serverele ar putea avea nevoi de
securitate diferite

SA pentru mesaje
de la A la B
Gazda A Gazda B
SA pentru mesaje
de la B la A

SSA cursul 12 - M. Joldos - T.U. Cluj 27


IPsec
 Politicile pot limita ce SAs pot fi
negociate:
– Pentru a asigura că sunt SAs de tărie
adecvată pentru amenințările organizației
– Pentru a da uniformitate deciziilor de
negociere
Negocierile de
asocieri de securitate
Limitate de politici
Gazda A Gazda B

SSA cursul 12 - M. Joldos - T.U. Cluj 28


IPsec
 Mai întâi, cele două părți negociază
Asocierile de securitate IKE (schimbul
de chei Internet − Internet Key
Exchange)
– IKE nu este specific IPsec
– Poate fi folosit în alte protocoale de
securitate
Comunicare
Gazda A Guvernată de Gazda B
IKE SA

SSA cursul 12 - M. Joldos - T.U. Cluj 29


IPsec
 Sub protecția comunicării guvernate de
această SA IKE, se negociază SAs
specifice IPsec

Comunicare
Gazda A Guvernată de Gazda B
IKE SA

Negociere de SA IPsec

SSA cursul 12 - M. Joldos - T.U. Cluj 30


IPsec
 Procesul de creare a SAs IKE (și a altor
SAs):
– Negociază parametrii de securitate în cadrul
limitărilor impuse de politici
– Autentifică părțile folosind metodele agreate
prin SA
– Schimbă o cheie de sesiune simetrică folosind o
metoda agreată prin SA
– Comunică securizat cu confidențialitate,
autentificare mesaj-cu-mesaj și integritatea
mesajelor folosind metoda agreată prin SA

SSA cursul 12 - M. Joldos - T.U. Cluj 31


IPsec
 IPsec are algoritmi de securitate
obligatorii
– Îi folosește ca algoritmi impliciți dacă nu s-a
negociat un alt algoritm
– Se pot negocia alți algoritmi
– Dar algoritmii obligatorii TREBUIE suportați

SSA cursul 12 - M. Joldos - T.U. Cluj 32


IPsec
 Agrementul de cheie Diffie-Hellman
– Pentru a se înțelege asupra unei chei simetrice de
sesiune care să fie folosită pentru confidențialitate în
această sesiune
– Face și autentificare
– Fiecare parte trimite celeilalte o nonce (număr
aleator)
– nonces vor fi aproape sigur diferite
– nonces nu sunt trimise confidențial

Nonce B
Partea A Partea B
Nonce A

SSA cursul 12 - M. Joldos - T.U. Cluj 33


IPsec
 Agrementul de cheie Diffie-Hellman
– Din diferitele nonces, fiecare parte va fi
capabilă să deducă aceeași cheie de
sesiune, simetrică, pentru folosirea
ulterioară
– Nu este schimb de cheie; în loc de asta
este înțelegere privind cheia

Cheie simetrică Cheie simetrică


Din nonces,
Partea A Determină independent Partea B
aceeași cheie de sesiune
simetrică
SSA cursul 12 - M. Joldos - T.U. Cluj 34
O problemă la IPsec (Nivelul 3)
 IP lucrează pe adrese IP
 IPsec știe doar adresa de rețea, nu și
utilizatorul
– Nu poate autentifica utilizatorii
 Soluțiile de securitate din straturi diferite
oferă caracteristici de securitate diferite

SSA cursul 12 - M. Joldos - T.U. Cluj 35


Kerberos
 Kerberos (Cerberus): câine cu trei capete
din mitologia greacă
– Păzea porțile lumii subpământene (Hades) a
celor morți
– Decidea cine poate ieși
– Vorbim de securitate tare

SSA cursul 12 - M. Joldos - T.U. Cluj 36


Kerberos
 Mediu Kerberos:
– Centru de distribuire a cheilor (Key Distribution
Center − KDC),
– Un număr de clienți și
– Servere de aplicație (Application Servers)
 Key Distribution Center (KDC):
– Server/serviciu de autentificare (Authentication server − AS) și
server/serviciu de garantare a tichetelor (Ticket Granting
Server − TGS)
 AS emite tichete-care-garantează-tichete (Ticket-Granting-Tickets)
utilizatorului după verificare, iar
 TGS emite tichete-care-garantează-serviciu (Service-Granting-
Tickets) utilizatorului.

SSA cursul 12 - M. Joldos - T.U. Cluj 37


Kerberos
 Sunt prezente trei părți
– Serverul Kerberos
– Gazda care solicită (Applicant host)
– Gazda care verifică (Verificator) – server de
aplicație
Server Kerberos
(KDC =
Key Distribution Center)
Solicitant

Verificator

SSA cursul 12 - M. Joldos - T.U. Cluj 38


Kerberos
 Serverul Kerberos partajează o cheie
simetrică cu fiecare gazdă
– Cheia partajată cu solicitantul se va numi
Cheie AS (Applicant-Server)
– Cheia partajată cu verificatorul va fi Cheia VS

Server Kerberos
(KDC)
Solicitant

Verificator
Cheie AS Cheie VS
SSA cursul 12 - M. Joldos - T.U. Cluj 39
Kerberos
 Solicitantul trimite un mesaj serverului
Kerberos
– Se loghează și solicită un tichet-care-garantează-
tichet (ticket-granting ticket −TGT)
• Autentifică solicitantul față de server
– Serverul îi trimite un TGT
– TGT permite solicitantului să ceară conexiuni

Cerere
TGT Server Kerberos
Solicitant (KDC)
TGT

SSA cursul 12 - M. Joldos - T.U. Cluj 40


Kerberos
 Pentru a se conecta la verificator:
– Solicitantul cere serverului Kerberos acreditările
pentru a prezenta solicitantul verificatorului
(serverul de aplicație)
– Cererea include TGTs

Server Kerberos
Cerere de acreditări (KDC)

Solicitant

SSA cursul 12 - M. Joldos - T.U. Cluj 41


Kerberos
 Serverul Kerberos trimite acreditările
– Acreditările includ cheia de sesiune AV
(solicitant-verificator) pe care cei doi o vor folosi
la comunicarea în siguranță
– Cifrat cu cheia AS astfel încât interceptorii nu o
pot citi
Server Kerberos

Solicitant acreditări=
Cheia de sesiune AV
Tichet de serviciu

SSA cursul 12 - M. Joldos - T.U. Cluj 42


Kerberos
 Serverul Kerberos trimite acreditările
– acreditările includ și Tichetul de serviciu (Service
Ticket), cifrat cu cheia VS; Solicitantul nu îl
poate citi sau modifica

Server Kerberos

Solicitant acreditări=
Cheia de sesiune AV
Tichet de serviciu

SSA cursul 12 - M. Joldos - T.U. Cluj 43


Kerberos
 Solicitantul trimite Tichetul de serviciu plus
Autentificatorul (Authenticator) verificatorului
– Tichetul de serviciu conține cheia de sesiune
simetrică (cheia AV)
– Acum ambele părți au cheia AV și astfel pot
comunica confidențial

Tichet de serviciu
Solicitant (Conține cheia AV) Verificator
+ Autentificatorul

SSA cursul 12 - M. Joldos - T.U. Cluj 44


Kerberos
 Solicitantul trimite Tichetul de serviciu plus un
Autentificator verificatorului
– Autentificatorul conține informație cifrată cu cheia
AV
• Garantează că tichetul de serviciu a venit de la
solicitant, singurul care cunoaște cheia AV (în afara
verificatorului)
• Tichetul de serviciu are o ștampilă de timp pentru a
preveni atacurile cu reluare

Tichet de serviciu
(Conține cheia AV) + Autentificatorul

SSA cursul 12 - M. Joldos - T.U. Cluj 45


Kerberos
 Comunicările ulterioare între solicitant și verificator
folosesc cheia de sesiune simetrică (cheia AV) pentru
confidențialitate
Comunicare criptată
Solicitant cu cheia
(Applicant, Verificator,
KAV V
A)
 Tichetul de serviciu poate conține mai mult decât cheia
AV
 Dacă solicitantul este un client, iar verificatorul este un
server, tichetul de serviciu poate conține
– Numele de utilizator și parola verificatorului
– Lista de drepturi la fișiere și directoare pe server

SSA cursul 12 - M. Joldos - T.U. Cluj 46


Kerberos. Neajunsuri și limitări
 Punct de defectare global (Single point of failure): are permanent
nevoie de un server central
– În lipsa lui utilizatorii nu se pot loga
– Poate fi moderată prin folosirea de servere multiple și mecanisme de
autentificare de rezervă.
 Are cerințe de timp stricte – sincronizarea ceasurilor gazdelor în
limitele configurate
– În practică de folosește NTP pentru sincronizare
 Protocolul de administrare nu este standardizat și diferă între
implementări
 În cazul folosirii criptografiei simetrice, cum toate autentificările
sunt controlate de un KDC centralizat, compromiterea
infrastructurii de autentificare permite impostura (datul drept alt
utilizator).
 Fiecare serviciu care are nevoie de un nume de gazdă diferit are
nevoie de set de chei Kerberos propriu
 ...
SSA cursul 12 - M. Joldos - T.U. Cluj 47
Pereți Antifoc (Firewalls)
• Zid (perete) antifoc = combinație hardware/software
care restrânge accesul spre/de la o resursă de pe rețea
• Resursă pe rețea = orice entitate adresabilă dintr-o rețea de
calculatoare
 Stau între rețeaua corporației și Internet
– Previne accesul neautorizat din Internet
– Facilitează accesul utilizatorilor interni la Internet
Perete antifoc
(Firewall)
OK
Nu
Acces numai dacă
e autentificat

SSA cursul 12 - M. Joldos - T.U. Cluj 48


Pereți Antifoc (Firewalls)
 Pereți Antifoc cu filtrarea pachetelor
(Packet Filtering Firewalls)
– Examinează fiecare pachet IP care intră
– Examinează câmpurile din antetul IP și TCP
– Dacă detectează comportament
necorespunzător, refuză pachetul
– Nu știe de comunicația anterioară: analizează
fiecare pachet luat izolat

Perete Pachet IP
antifoc
IP
SSA cursul 12 - M. Joldos - T.U. Cluj 49
Pereți Antifoc (Firewalls)
 Pereți Antifoc de aplicație(Application
(Proxy) Firewalls)
– Filtrează pe baza comportamentului
aplicației
– Nu examinează pachetele izolat: folosesc
istoricul
• D.e., în HTTP, nu acceptă răspunsuri decât dacă
există o cerere HTTP spre sit
Aplicație

SSA cursul 12 - M. Joldos - T.U. Cluj 50


Pereți Antifoc (Firewalls)
 Pereți Antifoc de aplicație(Application (Proxy
= împuternicit) Firewalls)
– Ascund adresele Internet interne
– Utilizatorul intern trimite o cerere HTTP
– Programul împuternicit HTTP înlocuiește adresa de
internet a utilizatorului cu adresa IP a serverului
împuternicit și o trimite serverului de Web

Cerere cu adresa
IP a serverului
Cerere HTTP
împuternicit

SSA cursul 12 - M. Joldos - T.U. Cluj 51


Pereți Antifoc (Firewalls)
 Pereți Antifoc de aplicație(Application (Proxy
= împuternicit) Firewalls)
– Serverul de web trimite răspunsul la serverul
împuternicit, la adresa IP a acestuia
– Serverul HTTP împuternicit trimite pachetul IP
gazdei de unde a venit cererea
– Programul împuternicit acționează în numele unui
utilizator intern

Răspuns Răspuns cu
HTTP adresa IP a
serverului împuternicit
SSA cursul 12 - M. Joldos - T.U. Cluj 52
Pereți Antifoc (Firewalls)
 De ce să ascundem adresele IP interne?
– Primul pas într-un atac este de obicei găsirea
victimelor potențiale
– Programele adulmecătoare (Sniffer ) citesc
fluxuri de pachete IP în căutarea adreselor IP ale
țintelor potențiale
– La folosirea serverului împuternicit,
adulmecătoarele nu pot afla adresele IP ale
gazdelor interne

Sniffer

Adresa IP Adresă IP
reală falsă
SSA cursul 12 - M. Joldos - T.U. Cluj 53
Pereți Antifoc (Firewalls)
 Pereții Antifoc de aplicație
– Necesită un program separat (împuternicit)
pentru fiecare aplicație
– Dar, nu toate aplicațiile au reguli care să
permită filtrarea

SSA cursul 12 - M. Joldos - T.U. Cluj 54


Ce pot face pereții antifoc?

 Impune politici de securitate


 Jurnaliza eficient accesul în rețea
 Limita gradul de expunere
 Oferi trasabilitate pentru intruziuni
 Permite contabilizarea precisă a
activităților

SSA cursul 12 - M. Joldos - T.U. Cluj 55


Ce nu pot face pereții antifoc...
 Nu oferă protecție împotriva celor din interior
 Nu oferă protecție împotriva conexiunilor care
nu trec prin ele
 Nu oferă protecție împotriva amenințărilor
complet noi
 Nu pot proteja împotriva virușilor fără a avea fie
o gazdă bastion dotată cu software de scanare
a virușilor sau scanare cu reconstruirea
pachetelor
 Nu pot proteja împotriva a ceea ce arată ca o
sesiune legitimă cu partea “în care nu există
încredere”
SSA cursul 12 - M. Joldos - T.U. Cluj 56
Zona demilitarizată (DMZ)
 Demilitarized Zone (DMZ)
– Subrețea care conține serviciile externe ale unei organizații,
accesibile din Internet
– Au perete antifoc intern și extern
– Peretele antifoc extern protejează DMZ
– Peretele antifoc intern protejează rețeaua internă de atacuri
venite din DMZ
– Conține
"Gazde Bastion" =
computer care
găzduiesc o
singură aplicație,
celelalte servicii
sunt eliminate sau
reduse
SSA cursul 12 - M. Joldos - T.U. Cluj 57
Desfășurarea sistematică
 Considerațiuni
– Performanța
– Securitatea zidului antifoc în sine
– Rulează pe SO minimizat
• Funcțiile care nu țin de zidul antifoc nu ar trebui realizate pe
aceeași mașină
 Topologia rețelei
HTTP
SMTP
Internet FTP
TELNET

Filtru de pachete Gateway de


aplicație

22.05.2009 SSA cursul 12 - M. Joldos - T.U. Cluj 58


Honeypots/Honeynets
(capcane cu miere/rețele de ~)
 Cum?
– Se pune un computer (neprotejat) sau o întreagă rețea ca și
capcană pentru atacatori
– Sistemul nu are valoare pentru producție, astfel încât orice
activitate este suspectă
• Orice mesaj de e-mail primit este considerat spam
– Se observă atacatorul pentru a învăța despre atacuri noi,
pentru a identifica și opri atacatorul sau pentru a-l devia de la
a ataca un sistem real
– Evident, atacatorul nu ar trebui să poată să-și dea seama că
sistemul atacat este o capcană
• Joc de-a șoarecele și pisica

 De asemenea, atacatorul ar putea folosi honeypot/-net


pentru a pătrunde în sisteme reale

SSA cursul 12 - M. Joldos - T.U. Cluj 59


Tipuri de honeypots/-nets
 Cu interacțiune scăzută
– Daemon care emulează una sau mai multe gazde, care rulează
diferite servicii
– Ușor de instalat și de întreținut
– E posibilă adunarea unei cantități de informație limitate
– Mai ușor pentru atacator să le detecteze decât pe cele cu
interacțiune ridicată
 Cu interacțiune ridicată
– Se instalează software și hardware real, se folosesc switch-uri
de rețea invizibile sau jurnalizatoare de tastare (keyloggers)
pentru a jurnaliza datele
– Mai complicat de desfășurat
– Pot captura multe informații utile
– Pot captura comportament neașteptat de atacator
SSA cursul 12 - M. Joldos - T.U. Cluj 60
Detecția intruziunilor. Definiții
 Intruziune
– Un set de acțiuni care țintesc să
compromită scopurile securității, adică
• Integritatea, confidențialitatea sau
disponibilitatea unei resurse de calcul sau de
rețea
 Detecția intruziunilor
– Procesul de identificare și răspuns la
activitățile de intruziune

SSA cursul 12 - M. Joldos - T.U. Cluj 61


Rata bayesiană de detecție

 Rata de falsitate de bază [Base-rate


fallacy]
– Chiar dacă rata de alarme false P(A|¬I) este foarte
scăzută, rata de detecție bayesiană P(I|A) este
scăzută dacă rata de bază P(I) este scăzută
– D.e.. if P(A|I) = 1, P(A|¬I) = 10-5, P(I) = 2×10-5,
P(I|A) = 66%
 Implicațiile pentru IDS
– Proiectarea de algoritmi care să reducă rata de
alarme false
– Desfășurarea IDS la locul/nivelul potrivit care să
asigure a rată de bază suficient de mare
SSA cursul 12 - M. Joldos - T.U. Cluj 62
Exemplu de curbă ROC
(cf. http://en.wikipedia.org/wiki/Receiver_operating_characteristic)

% Detecție IDS1

IDS2

% Alarme false
 Un sistem ideal ar trebui să aibă rata de
detecție de 100% cu 0% alarme false
SSA cursul 12 - M. Joldos - T.U. Cluj 63
Detecția intruziunilor
 Software de detectare a intruziunilor
pentru a detecta și raporta intruziunile
pe măsură ce apar
– Permite organizației să stopeze intrușii,
astfel ca aceștia să nu aibă timp nelimitat
pentru a căuta slăbiciuni
– Ajută organizația să determine amenințările
la securitate
– Jurnalele de audit arată unde au fost
intrușii: vital pentru măsuri legale

SSA cursul 12 - M. Joldos - T.U. Cluj 64


Detecția intruziunilor

 IDS (=Intrusion detection System)


bazat pe semnături
– Execută potrivire cu șabloane simplă și
raportează situațiile în care s-a potrivit un
șablon cu un tip de atac cunoscut
 IDS euristice (bazate pe anomalii)
– Construiesc un model al
comportamentului acceptabil și
semnalează excepțiile de la model

SSA cursul 12 - M. Joldos - T.U. Cluj 65


Detecția intruziunilor

 IDS bazate pe rețea (NIDS) –


dispozitive de sine stătătoare atașate
la rețea pentru a monitoriza traficul
peste tot în rețea
 IDS bazate pe gazde (HIDS) – rulează
pe o singură stație de lucru sau client
sau gazdă, pentru a o proteja

SSA cursul 12 - M. Joldos - T.U. Cluj 66


Cerințe pentru IDS de rețea
 Viteză mare, monitorizare de volume
mari de trafic
– Fără căderi la filtrul de pachete
 Notificare în timp real
 Mecanismul separat de politică
 Extensibilitate
 Acoperire largă a detecției
 Economicitate în folosirea resurselor
 Rezistența la stres
 Rezistența la atacuri asupra sa!
SSA cursul 12 - M. Joldos - T.U. Cluj 67
Eludarea IDS de rețea
 Ceea ce vede IDS poate să nu fie ceea ce
primește sistemul final:
– Atacuri cu inserție și evaziune.
• IDS trebuie să efectueze asamblarea completă a
pachetelor.
– Există ambiguități în protocoale și în SO:
• D.e. TTL, fragmente.
• IDS trebuie să “normalizeze” pachetele.

SSA cursul 12 - M. Joldos - T.U. Cluj 68


Setări și contramăsuri
 Setările perimetrale
– Blochează toate protocoalele cu excepția celor permise explicit
[adică SMTP(25), DNS(53), HTTP(80), SSL(443),…]
 Setările interne
– Blochează tot traficul nenecesar între segmentele de rețea
interne, la distanță și conexiunile VPN
 Configurații de securitate
– Întărirea serverelor & stațiilor de lucru astfel încât să ruleze
doar serviciile și aplicațiile necesare
 Segmentarea rețelelor
 Managementul corecțiilor (Patch Management)

SSA cursul 12 - M. Joldos - T.U. Cluj 69


E-mail securizat
 Ce se poate întâmpla cu mesajele?
– Interceptarea mesajelor (confidențialitate)
– Interceptarea mesajelor (blocarea livrării)
– Interceptarea mesajelor și reluarea ulterioară
– Modificarea conținuturilor mesajelor
– Modificarea originilor mesajelor
– Falsificarea conținuturilor mesajelor de către un outsider
– Falsificarea originilor mesajelor de către un outsider
– Falsificarea conținuturilor mesajelor de către primitor
– Falsificarea originilor mesajelor de către primitor
– Refuzul transmiterii mesajelor (DoS)

SSA cursul 12 - M. Joldos - T.U. Cluj 70


E-mail securizat
 Cerințe și soluții
– Confidențialitatea mesajului
– Integritatea mesajului
– Autenticitatea expeditorului
– Ne-repudiere
 Exemple de sisteme pentru e-mail
securizat
– PGP (Pretty Good Privacy) – folosește inel de chei
publice; confidențialitate, integritate
– S/MIME (Secure Multipurpose Internet Mail
Extensions) – folosește certificate
SSA cursul 12 - M. Joldos - T.U. Cluj 71
Securitatea multi-nivel
 Securitatea se poate aplica la mai multe
nivele simultan
– La nivelul aplicației pentru baze de date, e-mail
etc.
– La nivelul transport: SSL
– În stratul Internet: IPsec
– La nivelul legăturii de date: PPTP, L2TP
– La nivelul fizic: zăvoare (închizători, lacăte)

SSA cursul 12 - M. Joldos - T.U. Cluj 72


Securitatea multi-nivel
 Aplicarea securității în două sau mai
multe straturi este necesară
– Dacă securitatea este spartă într-un strat,
comunicarea va fi încă sigură
 Dezavantaje:
– Securitatea încetinește procesarea
– Securitatea multi-nivel încetinește
procesarea în fiecare strat

SSA cursul 12 - M. Joldos - T.U. Cluj 73


Securitatea totală
 Securitatea rețelei este doar
o parte
 Securitatea Serverelor
– Hackerii pot scoate din uz serverele cu
atacuri cu refuzul servirii (DoS, DDoS)
– Hackerii se pot loga ca administratori și pot
prelua serverele
• Pot fura date, bloca accesul utilizatorilor legitimi
etc.

SSA cursul 12 - M. Joldos - T.U. Cluj 74


Securitatea totală
 Securitatea serverelor

– Ocazional se descoperă slăbiciuni în


sistemele de operare ale serverelor

– Aceste cunoștințe sunt diseminate rapid

• Slăbiciuni de securitate cunoscute

SSA cursul 12 - M. Joldos - T.U. Cluj 75


Securitatea totală
 Securitatea Serverelor

– Producătorii de sisteme de operare pentru


servere creează corecții

– Multe firme nu descarcă corecțiile


• Asta le face vulnerabile la hackeri, care dezvoltă
repede unelte pentru determinarea
vulnerabilităților și apoi exploatează slăbiciunile
cunoscute

SSA cursul 12 - M. Joldos - T.U. Cluj 76


Securitatea totală
 Securitatea PC Client

– Există slăbiciuni de securitate cunoscute, dar


corecțiile sunt rareori descărcate/aplicate

– Adeseori utilizatorii nu au parole sau au


parole slabe pe PC-uri

– Adversarii preiau PC-urile client și de aceea


pot lua controlul asupra SSL sau a altor
protocoale de comunicare securizată

SSA cursul 12 - M. Joldos - T.U. Cluj 77


Securitatea totală
 Software de aplicație
– Poate conține viruși
• Trebuie filtrate mesaje care intră în rețea/gazdă

– Bazele de date și alte aplicații pot adăuga


securitate proprie folosind parole și alte
protecții

SSA cursul 12 - M. Joldos - T.U. Cluj 78


Securitatea totală
 Gestiunea utilizatorilor

– Utilizatorii violează adesea procedurile de


securitate, făcând ca securitatea tehnică să
nu mai aibă valoare

– Ingineria socială: atacatorii păcălesc


utilizatorii să violeze procedurile de
securitate

SSA cursul 12 - M. Joldos - T.U. Cluj 79


Apărarea în adâncime
 Pereți Antifoc (Firewalls)
 Antiviruși
 Sisteme de detecție a intruziunilor
 Sisteme de protecție împotriva
intruziunilor

SSA cursul 12 - M. Joldos - T.U. Cluj 80


Rezumat
 Controale de securitate în rețele
– SSH
– SSL/TLS
– IPSec
– Pereți antifoc (firewalls)
– Sisteme de detecție a intruziunilor
– Honeypots/nets
– E-mail securizat
– Securitatea totală

SSA cursul 12 - M. Joldos - T.U. Cluj 81