Seguretat de Xarxa

401 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
401
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Seguretat de Xarxa

  1. 1. SeguretatSeguretat Seguretat de XarxaSeguretat de XarxaV2011/02V2011/02 Carles Mateu – Cèsar Fernández – Ramon Bèjar – Enric GuitartCarles Mateu – Cèsar Fernández – Ramon Bèjar – Enric Guitart Departament d'Informàtica i Enginyeria IndustrialDepartament d'Informàtica i Enginyeria Industrial Universitat de LleidaUniversitat de Lleida
  2. 2. Les 5 P d'un Atac de xarxa
  3. 3. Probe
  4. 4. Penetrate
  5. 5. Persist
  6. 6. Propagate
  7. 7. Profit
  8. 8. Probe ● Obtenció informació pública: ● WHOIS, ARIN, DNS, etc. ● Web corporativa ● Reconeixement bàsic (web?) ● Rutes, IPs, etc.
  9. 9. Probe ● Port scan i scan de programari/versió ● Esbrinar ports oberts -> serveis ● Esbrinar versions sistemes operatius ● Esbrinar versions de programari servidor ● “detectar” firewalls, etc. NMAP: www.nmap.org
  10. 10. Probe ● Detectors de vulnerabilitats automàtics: ● Esbrinar potencials errors / exploits ● Decidir vector d'atac ● Esbrinar potencials males configuracions ● Detectar aplicacions errònies (web) Nessus, OpenVAS, nikto.pl, etc.
  11. 11. Penetrate ● Força bruta -> autenticació ● Buffer overflows ● Application behaviour boundary flaws ● Errors de configuració de sistema ● Validació errònia d'input d'usuari Metasploit, XSS, etc.
  12. 12. Persist ● Més exploits (locals) ● Backdoors ● Rootkits ● Troians ● Passwords ● Logs/audit John the ripper, etc.
  13. 13. Propagate ● Altres màquines: ● Circuits de confiança ● Ports accessibles ● Passwords similars ● BBDD autenticació
  14. 14. Profit ● Fer el que voliem fer: ● Robar dades ● Enviar SPAM ● Phishing ● ... ● DoS/DDoS
  15. 15. The function of a strong position is to make the forces holding it practically unassailable. On War, Carl Von Clausewitz On the day that you take up your command, block the frontier passes, destroy the official tallies, and stop the passage of all emissaries. The Art of War, Sun Tzu
  16. 16. Seguretat Perimetral ● La finalitat de la seguretat perimetral és establir un perímetre (un contorn) de confiança. ● És a dir: definir un àrea segura, aixecar barreres que l'envoltin, definir mecanismes d'ingrés i sortida de la zona, mecanismes de vigilancia de la zona. ● La finalitat és que dins de l'àrea poguem confiar en el trànsit i en que els hosts són segurs.
  17. 17. Eines per seguretat perimetral ● Firewalls ● Proxys ● Bandwidth managers ● Passive Sniffers / Packet Screening ● Port Access Control ● IDS de xarxa ● VPNs ● Honeypots
  18. 18. ● Un firewall (tallafocs) és una barrera que tot el trànsit de xarxa (bidireccional) ha de traspassar. ● El firewall permetrà o denegarà aquest pas en funció de la definició de polítiques de l'organització. ● Un firewall pot operar a nivell IP (packet screening) o a nivell d'aplicació (application proxy).
  19. 19. ● Del firewall individual a la xarxa moderna: ● Múltiples xarxes interconnectades ● Accés remot des del domicili ● Accés en roaming ● Múltiples serveis de xarxa ● Connectivitat a Internet ● Múltiples serveis en xarxa
  20. 20. ● Técniques de control de trànsit: ● Control de trànsit: En funció del servei emprat (port) es permet o no, o es redirecciona el trànsit. ● Control d'usuaris: requerint validació per cada accés a un servei. ● Control de comportament: revisa patrons d'utilització per permetre/denegar serveis. ● Control horàri/entorn: només permet trànsit en funció de paràmetres externs (horaris, etc.).
  21. 21. Bondats/Febleses ● Únic punt de control: ● Facilita implantació i gestió ● SPOF ● Cost raonable ● Altres usos: ● Monitorització d'events de seguretat ● NAT/PAT/etc. ● Túnels/IPSec/VPN/etc.
  22. 22. Bondats/Febleses ● Només protegeix contra problemes trànsit: ● No controla altres connexions (modem, mòbils, wifi, etc.). ● No proporciona seguretat interna. ● No controla continguts. ● No “agrada” als usuaris ● Complica disseny de xarxa
  23. 23. Tipus ● Packet-Screening Router ● Application Gateway ● Circuit Gateway/Protocol Proxy
  24. 24. Application Layer Presentation Layer Session Layer Transport Layer Network Layer Data Link Layer Physical Layer Application Layer Presentation Layer Session Layer Transport Layer Network Layer Data Link Layer Physical Layer Network Layer Application A Application B Data Link Layer Physical Layer Network Layer Data Link Layer Physical Layer Communication Network
  25. 25. Packet Screening ● Packet-Screening Router ● Equipament de xarxa, nivell 3 ● Inspecciona TOTS els packets de xarxa ● En funció de dades de packet pren decisions: – IP Origen – IP Destinació – Port/Servei – Interfície
  26. 26. Packet Screening ● Política per defecte: – Discard - Forward ● Tipus HW: – “Servidor” – Router – Switch
  27. 27. Packet Screening ● Simples → Fàcils de mantenir/montar ● No examinen payload: ● Sensibles a contingut maliciós ● Logging limitat: ● Paquets ● “connexió”/fluxe ● Sobre-logging ● No disponibles esquemes autenticació
  28. 28. Packet Screening ● Vulnerables a enganys de falsejament IP (spoofing, source routing, fragmentation) ● Sensibles a DoS/DDos: ● Limitats en capacitat ● Decisió sobre dades no correlades ● Fàcil fer una mala configuració. ● Tendència a donar sensació d'invulnerabilitat.
  29. 29. Stateful Inspection Firewalls ● Evolució dels packet screening. ● Mantenen informació sobre connexions establertes i en curs. ● Relacionen diverses connexions (ex: FTP). ● Poden revisar part del payload del paquet (FTP, H.323, etc.). ● Permet crear regles realistes: ● Permetre FTP cap a hosts externs.
  30. 30. Application Gateway ● (Application proxy) ● L'accés a aplicacions de xarxa no és directe: ● Accedeixes al gateway no a l'aplicació ● Més segurs. ● Fàcils de configurar. ● Dificulten evolució/creixement. ● Molesten als usuaris.
  31. 31. Circuit Gateway ● (Circuit proxy) ● L'accés a aplicacions de xarxa no és directe però tampoc accedeixes al gateway. ● Més segurs. ● Fàcils de configurar. ● Dificulten evolució/creixement (no tant com appl.) ● Molesten als usuaris (no tant com appl.) ● Bon suport en alguns casos (p.e. HTTP)
  32. 32. Bastió ● Sistema particularment segur: ● Tot el que s'ha explicat a seguretat de sistemes. ● Executa gateways. ● Pot requerir autenticació als gateways. ● Filtres als gateways: ● Destinacions, prestacions, etc. ● Juntament amb packet screening: ● Molt bona seguretat.
  33. 33. Configuració IPTABLES ● Firewall de LINUX (Kernel level) ● Evolució de IPCHAINS ● Permet definir cadenes i taules de processament i inspecció de paquets. ● Permet definir regles d'inspecció de paquets.
  34. 34. Configuració IPTABLES ● Una cadena és una llista de regles “programa”. ● Cada regla pot aplicar una acció als paquets (si hi ha matching). ● Una acció pot ser: ● DROP ● DENY ● ACCEPT ● xNAT ● Saltar a un altra cadena
  35. 35. Seqüencia processament IP PAS TAULA CADENA Processament 1 2 mangle PREROUTING 3 nat PREROUTING Desfer DNAT. 4 ROUTING 5 mangle INPUT 6 INPUT Filtratge de paquets entrants. Nivell Físic: Ethernet, etc. Modificacions de paquets (TOS, TTL, MARK) “mangoneo” Modificacions de paquets entrants. filter ● Destinació host local
  36. 36. Seqüencia processament IP PAS TAULA CADENA Processament 1 ROUTING 2 mangle OUTPUT 3 nat OUTPUT 4 OUTPUT Filtratge de paquets sortints 5 mangle POSTROUTING 6 nat POSTROUTING SNAT paquets enviats Modificacions de paquets sortints (no filtrat) NAT als paquets originats firewall filter Modificacions de paquets sortints (nostres i forward) ● Origen host local
  37. 37. Seqüencia processament IP 1 mangle PREROUTING Canvis TOS, etc. 2 nat PREROUTING DNAT (Destinació) 3 ROUTING 4 mangle FORWARD Modificacions de paquets 5 FORWARD 6 mangle POSTROUTING Modificacions de paquets 7 nat POSTROUTING filter Filtrat de TOTS els paquets reenviats SNAT (Source) ● A través de host local
  38. 38. Seqüencia processament IP
  39. 39. Seqüencia processament IP ● Taula mangle: ● Modificació de paquets: – TTL – TOS – MARK ● MARK assigna “marques” reconegudes per IPR2 i CBQ – Routing basat en marques – Qualitat de servei
  40. 40. Seqüencia processament IP ● Taula nat: ● Modificació adreces de paquets. ● DNAT: Destination NAT ● SNAT: Source NAT ● MASQUERADE: n -> 1 NAT
  41. 41. Seqüencia processament IP ● Taula filter: ● Taula bàsica de filtrat ● Regles de DROP, ACCEPT, REJECT, REDIRECT, etc. ● Aquí s'aplica tot el filtrat.
  42. 42. Una Regla ● Una regla: iptables -A INPUT -s 231.45.134.23 -i eth0 -p tcp --dport 3306 -j ACCEPT ● -A --append: Afegir a una cadena. ● -D --delete ● -R --replace ● -I --insert ● -L --list ● -F --flush ● -N --new-chain ● -P --policy
  43. 43. Una Regla ● Una regla: iptables -A INPUT -s 231.45.134.23 -i eth0 -p tcp --dport 3306 -j ACCEPT ● -s --src --source : Origen IP o màscara ● -d --dst --destination: Destinació IP o màscara ● -p --protocol: Protocol (tcp, udp, icmp, all) ● -i --in-interface: I/F xarxa entrada ● -o --out-interface: I/F xarxa sortida Soporten (!) per negació
  44. 44. Una Regla ● Una regla: iptables -A INPUT -s 231.45.134.23 -i eth0 -p tcp --dport 3306 -j ACCEPT ● --sport --source-port : Port origen ● --dport --destination-port: Port destinació Soporten rangs de ports: 22:80
  45. 45. Una Regla ● Una regla: iptables -A INPUT -s 231.45.134.23 -i eth0 -p tcp --dport 3306 -j ACCEPT ● -j CADENA: ● Salta a <CADENA> ● Cadena pot ser acció o nova cadena: – ACCEPT, DROP, MASQUERADE
  46. 46. Una Regla ● Podem a més comparar: ● Flags TCP: – --tcp-flags – --syn ● Opcions TCP: – --tcp-option ● Tipus ICMP: – --icmp-type
  47. 47. Una Regla ● Vía “moduls” (-m ) podem controlar més coses: ● -m limit – --limit <lim>: Limitem el nombre de matchings màxim (p.e. 3 per dia, etc.) – --limit-burts <n> : Nombre màxim de paquets (en –limit) ● -m mac – MAC orígen i destinació (--mac-source –mac-destination) ● -m mark – Marques (que podem posar amb iptables).
  48. 48. Una Regla ● Vía “moduls” (-m ) podem controlar més coses: ● -m owner – UID “propietàri” del paquet ● -m state – Estat de la connexió: ● RELATED, ESTABLISHED, NEW, INVALID ● -m tos – TCP TOS ● -m ttl – TCP TTL
  49. 49. Exemple ## FLUSH iptables -F iptables -X iptables -Z iptables -t nat -F ## DEFAULT POLICY iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT ## FILTRES ## eth0: ETHERNET CAP AL ROUTER ## eth1: ETHERNET A XARXA # LOCALHOST (simple) iptables -A INPUT -i lo -j ACCEPT # SSH del firewall desde xarxa local iptables -A INPUT -s 192.168.1.0/24 -i eth1 --dport 22 -j ACCEPT (cont)
  50. 50. Exemple (cont) # # Fem NAT, Obrim a l'exterior el port 80 d'un servidor intern # iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.1.12:80 # # Permetem accedir al MYSQL del servidor de l'empresa a només el servidor web # que tenim hostatjat al ISP # iptables -t nat -A PREROUTING -s 2.3.4.5 -i eth0 -p tcp --dport 3306 -j DNAT --to 192.168.1.12:3306 # # Només deixem accedir al correu (25) al server del ISP iptables -A FORWARD -s 192.168.1.0/24 -d 2.3.4.5 -i eth1 -p tcp --dport 25 -j ACCEPT (cont)
  51. 51. Exemple (cont) # Consulta de DNS iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p udp --dport 53 -j ACCEPT # Permetem navegació WEB # (i HTTPS) iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT # Xat XMPP (jabber/google talk) iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp --dport 5222 -j ACCEPT # TOTA LA RESTA DENEGADA iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -j DROP ## Ara ve el MASQ (NAT n->1) iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE # Linux, per defecte, no fa Forwarding de paquets. # S'ha d'activar echo 1 > /proc/sys/net/ipv4/ip_forward

×