ΑΡΙΣΤΟΤΕΛΕΙΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΘΕΣΣΑΛΟΝΙΚΗΣ ΠΟΛΥΤΕΧΝΙΚΗ ΣΧΟΛΗ ΤΜΗΜΑ ΗΛΕΚΤΡΟΛΟΓΩΝ ΜΗΧΑΝΙΚΩΝ & ΜΗΧΑΝΙΚΩΝ ΗΛΕΚΤΡΟΝΙΚΩΝ ΥΠΟΛΟΓΙΣΤΩΝ Τεχνολογίες ψηφιακών ραδιοδικτύων υψηλής ταχύτητας IEEE 802.11 «Διασύνδεση και ασφάλεια υπολογιστών» Διπλωματική Εργασία των : Νούκα Κωνσταντίνου Α.Ε.Μ. 4088 Παππή Χρίστου Α.Ε.Μ. 4213 Επιβλέπων Καθηγητής : Δημήτρης Μητράκος ΘΕΣΣΑΛΟΝΙΚΗ 2006 2
3 VPNs, Διασύνδεση & Ασφάλεια Υπολογιστών
ΠΕΡΙΕΧΟΜΕΝΑ Ενότητα 1 : Θεωρητικό Μέρος 1. Εισαγωγή 1.1 Το μοντέλο αναφοράς OSI 1.2 Το Πρωτόκολλο TCP/IP 1.3 ΝΑΤ ( Network Address Translation ) ( Μετάφραση Διευθύνσεων Δικτύου ) 1.4 Σχέση μεταξύ Intranet και VPNs 1.5 Από τα ενσύρματα στα ασύρματα δίκτυα 1.6 Ασφάλεια Δικτύων Υπολογιστών 1.6.1Προβλήματα Ασφάλειας Δικτύων 1.6.2 Ασφάλεια και Διαδίκτυο 1.6.3 Βασικοί Μέθοδοι Ασφάλειας 2. Βασικές τεχνολογίες σε VPNs 2.1 Εφαρμογή τείχους προστασίας 2.2 Κωδικοποίηση & Αυθεντικοποίηση 2.2.1 Κρυπτογραφία 2.3 Πρωτόκολλα VPN 2.3.1 IPSec 2.3.2 ESP ( Encapsulating Security Payload ) 2.3.3 AH ( Authentication Header ) 2.3.4 Internet Key Exchange ( IKE ), ISAMKP/Oakley 2.3.5 ISO X.509 v.3 ( Ψηφιακά Πιστοποιητικά ) 2.3.6 LDAP (Lightweight Directory Access Protocol) 2.3.7 Radius 2.3.8 Εφαρμογή συνδέσεων σε επίπεδο 2 ( Layer 2 connections ) 2.3.8.1 Διαφορές μεταξύ PPTP, L2F και L2TP 4
2.3.9 PPTP (Point-to-Point Tunnelling Protocol) 2.3.9.1 Generic Route Encapsulation (GRE) 2.3.9.2 Επεκτάσεις αυθεντικοποίησης του Microsoft PPTP ( MS-CHAPv2 ) 2.3.9.3 MS-CHAP, 1 η και 2 η Έκδοση 2.3.9.4 MS-CHAPv2: Εξαγωγή της 8-byte πρόκλησης για την 24-byte απάντηση 2.3.9.5 Επιθέσεις τύπου υποχώρησης σε παλαιότερη έκδοση 2.3.9.6 Αλλαγές στο MPPΕ 2.3.9.7 Δημιουργώντας κλειδιά ΜΡΡΕ με βάση το MS-CHAPv2 2.3.10 OpenVPN 2.3.11 SSL (Secure Sockets Layer )/TLS (Transport Layer Security ) 2.4 Τρόποι επίθεσης σε VPNs 2.4.1 Επιθέσεις κρυπτανάλυσης (Cryptographic Assaults) 2.4.1.1 Επίθεση εκμεταλλευόμενη κωδικοποιημένο κείμενο ( Ciphertextonly attack ) 2.4.1.2 Επίθεση εκμεταλλευόμενη γνωστό αρχικό κείμενο (Known plaintext attack ) 2.4.1.3 Επίθεση εκμεταλλευόμενη επιλεγμένο αρχικό κείμενο (Chosen plaintext attack ) 2.4.1.4 Επίθεση εκμεταλλευόμενη επιλεγμένο κωδικοποιημένο κείμενο (Chosen ciphertext attack ) 2.4.1.5 Brute force attacks 2.4.1.6 Επιθέσεις λεξικού ( dictionary attacks ) 2.4.1.7 Κοινωνική μηχανική ( Social engineering ) 2.4.2 Επιθέσεις σε Δίκτυα ( Network Attacks ) 2.4.2.1 Επιθέσεις άρνησης εξυπηρέτησης (Denial of service attacks ) 2.4.2.2 Address spoofing 2.4.2.3 Session hijacking 2.4.2.4 Man-in-the-middle attack 2.4.2.5 Replay attack 5
Ενότητα 2 : Πρακτικό Μέρος 3. Εφαρμογές των VPN 3.1 Ασύρματα κοινοτικά δίκτυα 3.1.1 Τοπολογία Δικτύου 3.1.2 Διευθυνσιοδότηση 3.1.3 Δρομολόγηση 3.1.4 Κρυπτογράφηση 3.2 PPTP/MPPE 3.2.1 PPTP server 3.2.2 Ρυθμίσεις Firewall 3.2.3 PPTP client 3.2.4 PPTP tunnel 3.2.5 VPN από εξωτερικό χρήστη 3.2.6 ΤΗΜΜΥ VPN server 3.3 OPENVPN 3.3.1 Σύνδεση δύο μεγάλων δικτύων υπολογιστών 3.3.2 Ρυθμίσεις OpenVPN 3.3.3 Ρυθμίσεις Firewall 3.3.4 Διασύνδεση των χρηστών 3.3.5 Στατιστικά κίνησης του tunnel 6
7 VPNs, Διασύνδεση & Ασφάλεια Υπολογιστών
Ενότητα 1 Θεωρητικό μέρος 8
9 VPNs, Διασύνδεση & Ασφάλεια Υπολογιστών
1. Εισαγωγή Μέχρι πριν λίγο καιρό υπήρχε ένας ξεκάθαρος διαχωρισμός μεταξύ ιδιωτικών και δημόσιων δικτύων. Ένα δημόσιο δίκτυο, όπως το δημόσιο τηλεφωνικό δίκτυο και το διαδίκτυο, αποτελείται από μια μεγάλη συλλογή άσχετων μεταξύ τους οντοτήτων που ανταλλάσουν πληροφορίες ελεύθερα. Ένα ιδιωτικό δίκτυο αποτελείται από υπολογιστές, οι οποίοι ανήκουν σε ένα οργανισμό και ανταλλάσουν πληροφορίες μόνο μεταξύ τους. Είναι βέβαιοι ότι είναι οι μόνοι, οι οποίοι χρησιμοποιούν το συγκεκριμένο δίκτυο και οι ανταλλασσόμενες πληροφορίες ( στην χειρότερη περίπτωση ) θα είναι προσβάσιμες από υπολογιστές που ανήκουν στο ιδιωτικό δίκτυο. Τυπικά παραδείγματα ιδιωτικών δικτύων είναι τα LAN ( Local Area Network ) και WAN ( Wide Area Network ). Η διαχωριστική γραμμή μεταξύ του ιδιωτικού και του δημόσιου δικτύου βρίσκεται στον υπολογιστή - δρομολογητή πύλης ( gateway router ), όπου τοποθετείται ένα τείχος ασφαλείας ( firewall ) για να κρατήσει εκτός του ιδιωτικού δικτύου τους εισβολείς ή για να περιορίσει τους εσωτερικούς χρήστες από το δημόσιο δίκτυο. Τα Εικονικά Ιδιωτικά Δίκτυα ( Virtual Private Networks ) που από εδώ και στο εξής θα αποκαλούμε VPNs για συντομία «θολώνουν» τη διαχωριστική γραμμή μεταξύ δημόσιων και ιδιωτικών δικτύων. Πιο συγκεκριμένα τα VPNs επιτρέπουν τη δημιουργία ασφαλών ιδιωτικών δικτύων πάνω από ένα δημόσιο δίκτυο όπως το διαδίκτυο. Μπορούν να δημιουργηθούν χρησιμοποιώντας λογισμικό, υλικό ή ένα συνδυασμό των δύο επιτρέποντας τη δημιουργία μιας ασφαλούς διασύνδεσης μεταξύ δύο άκρων. Ένα τέτοιο εικονικό δίκτυο είναι ουσιαστικά μία προσομοίωση ενός ιδιωτικού δικτύου πάνω από το διαδίκτυο. Ονομάζεται εικονικό επειδή βασίζεται σε εικονικές διασυνδέσεις, δηλαδή διασυνδέσεις που δεν έχουν φυσική υπόσταση αλλά αποτελούνται από πακέτα που δρομολογούνται μέσω διάφορων ενδιάμεσων κόμβων του διαδικτύου. VPNs μπορούν να δημιουργηθούν μεταξύ δύο μηχανημάτων, μεταξύ ενός μηχανήματος και ενός δικτύου και μεταξύ δύο δικτύων. 10
1.1 Το μοντέλο αναφοράς OSI Το μοντέλο αναφοράς OSI ( Open Systems Interconnection Διασύνδεση Ανοιχτών Συστημάτων ) αναφέρεται σε συνδέσεις ανοιχτών συστημάτων δηλαδή αυτά τα οποία είναι ανοιχτά για επικοινωνία με άλλα συστήματα. Το μοντέλο OSI έχει εφτά επίπεδα. 1.1.1 Το φυσικό επίπεδο ( physical layer ) Το φυσικό επίπεδο ( physical layer ) ασχολείται με τη μετάδοση ακατέργαστων bits σε ένα κανάλι επικοινωνίας. Τα θέματα σχεδίασης έχουν να κάνουν με τη διασφάλιση ότι, όταν η μία πλευρά στέλνει ένα bit 1, αυτό λαμβάνεται από την άλλη πλευρά ως bit 1 και όχι ως bit 0. Τα θέματα σχεδίασης εδώ, στην πλειοψηφία τους ασχολούνται με μηχανικές, ηλεκτρικές και διαδικασιακές διασυνδέσεις καθώς και με το φυσικό μέσο μετάδοσης, το οποίο βρίσκεται κάτω από φυσικό επίπεδο. 11
1.1.2 Το επίπεδο σύνδεσης δεδομένων ( data link layer ) Η κύρια αποστολή του επιπέδου σύνδεσης δεδομένων ( data link layer ) είναι να μετασχηματίσει το ακατέργαστο μέσο μετάδοσης σε μια γραμμή που εμφανίζεται ελεύθερη από σφάλματα μετάδοσης στο επίπεδο δικτύου. Ο σκοπός αυτός επιτυγχάνεται με τη διάσπαση των δεδομένων εισόδου από τον αποστολέα σε πλαίσια δεδομένων ( data frames ) μετάδοση αυτών με τη σειρά και επεξεργασία των πλαισίων επιβεβαίωσης λήψης ( acknowledgement frames ), που επιστρέφονται από τον αποδέκτη. Εφόσον το φυσικό επίπεδο απλώς αποδέχεται και μεταδίδει ένα συρμό bits, χωρίς να νοιάζεται για το νόημα και τη δομή, η δημιουργία και η αναγνώριση των ορίων των πλαισίων εξαρτάται πλέον από το επίπεδο σύνδεσης δεδομένων. Αυτή μπορεί να επιτευχθεί με την επισύναψη ειδικών ακολουθιών bits στην αρχή και στο τέλος των πλαισίων. 1.1.3 Το επίπεδο δικτύου ( network layer ) Το επίπεδο δικτύου ( network layer ) με τον έλεγχο της λειτουργίας του υποδικτύου. Ένα βασικό θέμα στη σχεδίαση είναι ο καθορισμός του τρόπου δρομολόγησης των πακέτων από την αφετηρία στον προορισμό τους. Οι διαδρομές θα μπορούσαν να βασιστούν σε στατικούς πίνακες οι οποίοι είναι «καλωδιομένοι» ( wired ) στο δίκτυο και σπάνια τροποποιούνται. Ακόμη θα μπορούσαν να οριστούν στην αρχή κάθε συνομιλίας, για παράδειγμα μιας συνόδου τερματικών. Τέλος θα μπορούσαν να είναι δυναμικές και να καθορίζονται εκ νέου για κάθε πακέτο για να απεικονίζουν το τρέχων φορτίο του δικτύου. Εάν στο υποδίκτυο είναι παρόντα πολλά πακέτα την ίδια χρονική στιγμή, θα εμπλακεί το ένα στην διαδρομή του άλλου,δημιουργώντας συμφόρηση ( bottleneck ). Ο έλεγχος μιας τέτοιας συμφόρησης επίσης ανήκει στις αρμοδιότητες του επιπέδου δικτύου. 12
1.1.4 Το επίπεδο μεταφοράς ( transport layer ) Η βασική λειτουργία του επιπέδου μεταφοράς ( transport layer ) είναι η αποδοχή δεδομένων από το επίπεδο συνόδου ή διάσπαση αυτών σε μικρότερες μονάδες εάν χρειαστεί, η μεταφορά τους στο επίπεδο δικτύου και η διασφάλιση ότι όλα τα τμήματα φτάνουν σωστά στην άλλη πλευρά. Επιπλέον όλα αυτά πρέπει να γίνουν αποδοτικά και με τέτοιο τρόπο ώστε να απομονώνουν το επίπεδο συνόδου από τις αναπόφευκτες αλλαγές στην τεχνολογία του υλικού. Υπό κανονικές συνθήκες, το επίπεδο μεταφοράς δημιουργεί μια ξεχωριστή σύνδεση δικτύου για κάθε σύνδεση μεταφοράς που απαιτείται από το επίπεδο συνόδου. Εάν η σύνδεση μεταφοράς απαιτεί υψηλό ρυθμό εξυπηρέτησης ( throughput ), το επίπεδο μεταφοράς μπορεί να δημιουργήσει πολλαπλές συνδέσεις δικτύου, μοιράζοντας τα δεδομένα ανάμεσα στις συνδέσεις δικτύου για να βελτιώσει το ρυθμό εξυπηρέτησης. Από την άλλη πλευρά εάν η δημιουργία ή η συντήρηση μιας σύνδεσης δικτύου είναι ακριβή, το επίπεδο μεταφοράς μπορεί να πολυπλέκει πολλές συνδέσεις μεταφοράς στην ίδια σύνδεση δικτύου για να ελαττώσει το κόστος. Σε όλες τις περιπτώσεις το επίπεδο μεταφοράς χρειάζεται πάντα για να κάνει την πολυπλεξία διάφανη στο επίπεδο συνόδου. Το επίπεδο μεταφοράς καθορίζει επίσης τι είδους υπηρεσίες θα παρέχει το επίπεδο συνόδου. Ο πιο γνωστός τύπος σύνδεσης μεταφοράς είναι ένα ελεύθερο από σφάλματα από σημείο σε σημείο κανάλι ( point to point ), το οποίο παραδίδει μηνύματα με την σειρά με την οποία έχουν σταλεί. 1.1.5 Το επίπεδο συνόδου ( session layer ) Το επίπεδο συνόδου ( session layer ) επιτρέπει στους χρήστες διαφορετικών μηχανημάτων να εγκαθιστούν συνόδους ( sessions ) μεταξύ τους. Μία σύνοδος επιτρέπει μια συνήθη μεταφορά δεδομένων, όπως και το επίπεδο μεταφοράς, αλλά παρέχει και μερικές πρόσθετες υπηρεσίες που είναι χρήσιμες σε πολλές εφαρμογές. Μία σύνοδος μπορεί να χρησιμοποιηθεί για να επιτρέψει τη σύνδεση ενός χρήστη σ ένα απομακρυσμένο σύστημα καταμερισμού χρόνου ( time sharing ) ή για να μεταφέρει ένα αρχείο μεταξύ δύο μηχανών. 13
1.1.6 Το επίπεδο παρουσίασης ( presentation layer ) Το επίπεδο παρουσίασης ( presentation layer ) εκτελεί συγκεκριμένες λειτουργίες οι οποίες ζητούνται αρκετά συχνά από τους χρήστες, για να εξασφαλίζουν την εύρεση μιας γενικής λύσης γι αυτούς, ώστε να μην αφήνεται ο κάθε χρήστης να λύνει τα προβλήματα μόνος του. Συγκεκριμένα, ενώ όλα τα κατώτερα επίπεδα ενδιαφέρονται μόνο για την αξιόπιστη μετακίνηση bits από το ένα μέρος στο άλλο, το επίπεδο παρουσίασης καταπιάνεται με το συντακτικό και τη σημασιολογία των πληροφοριών που μεταδίδονται. Ένα τυπικό παράδειγμα υπηρεσίας παρουσίασης είναι η κωδικοποίηση δεδομένων σε ένα κώδικα που συμφωνήθηκε στη διαδρομή. Επίσης το επίπεδο παρουσίασης ενδιαφέρεται και για άλλα θέματα όπως η αναπαράσταση πληροφοριών. Για παράδειγμα η συμπίεση των δεδομένων χρησιμοποιείται για να ελαττώσει τον αριθμό των bits που πρόκειται να μεταδοθούν και συχνά απαιτείται κρυπτογράφηση για να εξασφαλιστεί η μυστικότητα ( privacy ) και η γνησιότητα ( authentication ) της πληροφορίας. 1.1.7 Το επίπεδο εφαρμογής ( application layer) Το επίπεδο εφαρμογής ( application layer) περιέχει μια ποικιλία πρωτοκόλλων που χρειάζονται συχνά. Για παράδειγμα μπορούμε να αναφέρουμε το λογισμικό των νοητών τερματικών δικτύων ( network virtual terminals ) ή την εφαρμογή της μεταφοράς αρχείων. Στην τελευταία περίπτωση διαφορετικά συστήματα αρχείων έχουν διαφορετικούς μεθόδους καθορισμού ονομασίας, διαφορετικούς τρόπους αναπαράστασης των γραμμών κειμένου και ούτω καθεξής. Η μεταφορά ενός αρχείου μεταξύ δύο διαφορετικών συστημάτων απαιτεί αντιμετώπιση αυτών και άλλων μη συμβατών καταστάσεων. Η εργασία αυτή επίσης ανήκει στο επίπεδο εφαρμογής, όπως επίσης και το ηλεκτρονικό ταχυδρομείο, η εμφάνιση καταλόγων αρχείων και διάφορες άλλες ειδικού και γενικού σκοπού ευκολίες. 14
1.2 Το Πρωτόκολλο TCP/IP Στην καθημερινή μας ζωή, πρωτόκολλο είναι ένα σύνολο από συμβάσεις που καθορίζουν το πώς πρέπει να πραγματοποιηθεί κάποια διαδικασία. Στον κόσμο των δικτύων, πρωτόκολλο είναι ένα σύνολο από συμβάσεις που καθορίζουν το πώς ανταλλάσσουν μεταξύ τους δεδομένα οι υπολογιστές του δικτύου. Το πρωτόκολλο είναι αυτό που καθορίζει το πώς διακινούνται τα δεδομένα, το πώς γίνεται ο έλεγχος και ο χειρισμός των λαθών, κλπ. Όλοι οι υπολογιστές που είναι συνδεδεμένοι στο διαδίκτυο τρέχουν το πρωτόκολλο TCP/IP κι έτσι μιλούν μια κοινή γλώσσα που τους επιτρέπει να συνεννοούνται παρά τις διαφορές τους. Το διαδίκτυο χρησιμοποιεί την τεχνολογία μεταγωγής πακέτων για τη μεταφορά των δεδομένων: τα δεδομένα κόβονται σε κομμάτια που ονομάζονται πακέτα και σε κάθε πακέτο μπαίνει μια επικεφαλίδα με τις διευθύνσεις του υπολογιστή - αποστολέα και του υπολογιστή - παραλήπτη. Σε κάθε υπολογιστή του διαδικτύου αντιστοιχίζεται μία διεύθυνση που ονομάζεται διεύθυνση IP. Το πρωτόκολλο IP είναι υπεύθυνο για το πέρασμα του πακέτου από υπολογιστή σε υπολογιστή μέσα από το σύννεφο των συνδέσεων. Καθώς το IP δρομολογεί το κάθε πακέτο μέσα στο δίκτυο, προσπαθεί να το παραδώσει, αλλά δεν μπορεί να εγγυηθεί ούτε ότι το πακέτο θα φτάσει στον προορισμό του ούτε ότι τα διάφορα πακέτα που αποτελούν τα αρχικά δεδομένα θα φτάσουν με τη σειρά με την οποία στάλθηκαν ούτε ότι το περιεχόμενο των πακέτων θα φτάσει αναλλοίωτο. Το πρωτόκολλο TCP προσφέρει ένα αξιόπιστο πρωτόκολλο πάνω από το IP. Εγγυάται ότι τα πακέτα θα παραδοθούν στον προορισμό τους, ότι θα φτάσουν με τη σειρά με την οποία στάλθηκαν και ότι τα περιεχόμενα των πακέτων θα φτάσουν αναλλοίωτα (δηλ. όπως στάλθηκαν). Το TCP δουλεύει ως εξής: το κάθε πακέτο δεδομένων αριθμείται. Ο υπολογιστής - παραλήπτης και ο υπολογιστής - αποστολέας, αλλά όχι οι ενδιάμεσοι υπολογιστές, παρακολουθούν τους αριθμούς των πακέτων και ανταλλάσσουν μεταξύ τους πληροφορίες. Ο παραλήπτης λαμβάνει το πρώτο πακέτο, το δεύτερο, κλπ. Σε περίπτωση που παρουσιαστεί κάποιο πρόβλημα στο δίκτυο είτε χαθεί κάποιο πακέτο κατά τη διάρκεια της μετάδοσης, το ξαναζητάει και ο αποστολέας είναι υπεύθυνος για την αναμετάδοση του. Ο παραλήπτης ελέγχει επίσης αν το περιεχόμενο των πακέτων φτάνει σωστά. 15
1.2.1 Διευθύνσεις IP Το Internet αποτελείται από χιλιάδες δίκτυα στα οποία είναι συνδεδεμένοι εκατομμύρια υπολογιστές. Σε κάθε υπολογιστή αντιστοιχίζεται μια μοναδική διεύθυνση, που ονομάζεται διεύθυνση IP (IP address) και η οποία αποτελεί την ταυτότητα του στο διαδίκτυο. Μια διεύθυνση IP αποτελείται από 4 αριθμούς χωρισμένους με τελείες. Π.χ. 18.75.0.10, 147.102.154.12 ή 194.177.200.6. Στην πραγματικότητα μία IP διεύθυνση είναι ένας δυαδικός αριθμός 32-bit που για να γίνει περισσότερο κατανοητός στους ανθρώπους, χωρίζεται σε 4 ομάδες των 8 bit και κατόπιν κάθε ομάδα μεταφράζεται στον αντίστοιχο δεκαδικό αριθμό. Για να λειτουργήσει αποδοτικά ένα ευρύτερο δίκτυο TCP/IP ως συλλογή δικτύων, οι δρομολογητές που μεταβιβάζουν πακέτα δεδομένων μεταξύ δικτύων δεν γνωρίζουν την ακριβή θέση του κεντρικού υπολογιστή για τον οποίο προορίζεται ένα πακέτο πληροφοριών. Οι δρομολογητές γνωρίζουν μόνο σε ποιο δίκτυο ανήκει ο κεντρικός υπολογιστής και χρησιμοποιούν τις πληροφορίες που είναι αποθηκευμένες στον πίνακα διαδρομών τους, για να καθορίσουν τον τρόπο μεταβίβασης του πακέτου στο δίκτυο κεντρικού υπολογιστή προορισμού. Μετά την παράδοση του πακέτου στο δίκτυο προορισμού, το πακέτο παραδίδεται στον κατάλληλο κεντρικό υπολογιστή. Για να λειτουργήσει αυτή η διαδικασία, μια διεύθυνση IP έχει δύο μέρη. Το πρώτο μέρος μιας διεύθυνσης IP χρησιμοποιείται ως διεύθυνση δικτύου και το τελευταίο μέρος ως διεύθυνση κεντρικού υπολογιστή. Για παράδειγμα το 192.168.123.132 : 192.168.123. Δίκτυο.132 Κεντρικός υπολογιστής 1.2.2 Μάσκα υποδικτύου ( Subnet ) Η μάσκα υποδικτύου χρησιμοποιείται από το πρωτόκολλο TCP/IP για να προσδιορίσει αν ένας κεντρικός υπολογιστής βρίσκεται στο τοπικό υποδίκτυο ή σε απομακρυσμένο δίκτυο. 16
Στο TCP/IP, τα μέρη της διεύθυνσης IP που χρησιμοποιούνται ως το δίκτυο και οι διευθύνσεις κεντρικού υπολογιστή δεν είναι σταθερές, επομένως το δίκτυο και οι διευθύνσεις κεντρικού υπολογιστή παραπάνω δεν μπορούν να καθοριστούν, εκτός αν έχετε περισσότερες πληροφορίες. Αυτές οι πληροφορίες παρέχονται σε έναν άλλο αριθμό 32 bit, που ονομάζεται μάσκα υποδικτύου. Οι διευθύνσεις διαδικτύου εκχωρούνται από την InterNIC, τον οργανισμό που διαχειρίζεται το διαδίκτυο. Αυτές οι διευθύνσεις IP διαιρούνται σε κλάσεις. Οι πιο κοινές από αυτές είναι οι κλάσεις A, B και C. Οι κλάσεις D και E υπάρχουν, αλλά γενικά δεν χρησιμοποιούνται από τελικούς χρήστες. Κάθε κλάση διεύθυνσης έχει διαφορετική προεπιλεγμένη μάσκα υποδικτύου. Μπορεί να προσδιοριστεί η κλάση μιας διεύθυνσης IP, εξετάζοντας την πρώτη οκτάδα της. Ακολουθούν οι περιοχές των διευθύνσεων για τις κλάσεις A, B και C. Τα δίκτυα της κλάσης A χρησιμοποιούν μια προεπιλεγμένη μάσκα υποδικτύου 255.0.0.0 και έχουν την περιοχή 0-127 ως την πρώτη οκτάδα τους. Τα δίκτυα της κλάσης Β χρησιμοποιούν μια προεπιλεγμένη μάσκα υποδικτύου 255.255.0.0 και έχουν την περιοχή 128-191 ως την πρώτη οκτάδα τους. Τα δίκτυα της κλάσης C χρησιμοποιούν μια προεπιλεγμένη μάσκα υποδικτύου 255.255.255.0 και έχουν την περιοχή 192-223 ως την πρώτη οκτάδα τους. 17
Οι διευθύνσεις ΙΡ χωρίζονται σε ιδιωτικές ( private ) που χρησιμοποιούνται σε ιδιωτικά δίκτυα και δημόσιες ( registered ) που χρησιμοποιούνται στο διαδίκτυο. Οι ιδιωτικές διευθύνσεις ΙΡ είναι οι εξής : 10.0.0.1 έως 10.255.255.254 o 16,777,214 διευθύνσεις o 16,777,214 υπολογιστές σε 1 δίκτυο (10.x.x.x) o Χρησιμοποιεί μάσκα 255.0.0.0 o Τάξη Α ( Class A ) 172.16.0.1 έως 172.31.255.254 o 1,048,574 διευθύνσεις o 65,534 υπολογιστές σε καθένα από τα 16 δυνατά δίκτυα (172.16.x.x to 172.31.x.x) o Χρησιμοποιεί μάσκα 255.255.0.0 o Τάξη Β ( Class B ) 192.168.0.1 έως 192.168.255.254 o 65,534 διευθύνσεις o 254 υπολογιστές σε καθένα από τα 256 δυνατά δίκτυα (192.168.0 to 255.x) o Χρησιμοποιεί μάσκα 255.255.255.0 o Τάξη Γ ( Class C ) 18
1.3 ΝΑΤ ( Network Address Translation ) ( Μετάφραση Διευθύνσεων Δικτύου ) Αρχικά το ΝΑΤ ( Network Address Translation ) ( Μετάφραση Διευθύνσεων Δικτύου ) διαδόθηκε σαν ένας τρόπος για να αντιμετωπιστεί η έλλειψη διευθύνσεων ΙΡ. Έχει γίνει πλέον καθιερωμένο χαρακτηριστικό σε όλους τους δρομολογητές ( routers ). Τα περισσότερα συστήματα χρησιμοποιούν το ΝΑΤ για να δώσουν την δυνατότητα σε πολλούς χρήστες σε ένα ιδιωτικό δίκτυο να έχουν πρόσβαση στο διαδίκτυο χρησιμοποιώντας μια μοναδική ΙΡ. Ένα ιδιωτικό δίκτυο σε μια τυπική ρύθμιση του χρησιμοποιεί «ιδιωτικές» διευθύνσεις ΙΡ όπως 192.168.χ.χ ή 10.χ.χ.χ και ο δρομολογητής ( router ) συνήθως έχει την ΙΡ 192.168.0.1. Ο δρομολογητής είναι επίσης συνδεδεμένος στο διαδίκτυο χρησιμοποιώντας μια και μοναδική δημόσια ΙΡ διεύθυνση. Η κίνηση διεκπεραιώνεται από το ιδιωτικό δίκτυο προς το διαδίκτυο μέσω του δρομολογητή και η διεύθυνση αποστολέα κάθε πακέτου μεταφράζεται από ιδιωτική σε δημόσια. Ο δρομολογητής καταγράφει τις βασικές πληροφορίες για κάθε ενεργή σύνδεση ( ιδιαίτερα την διεύθυνση προορισμού και την θύρα ). Όταν επιστρέφει απάντηση από το διαδίκτυο στον δρομολογητή, ο τελευταίος χρησιμοποιεί το ιστορικό καταγραφής κατά την διάρκεια της εξερχόμενης επικοινωνίας για να αποφασίσει σε ποιο σύστημα του εσωτερικού ιδιωτικού δικτύου θα προωθήσει την απάντηση. Για ένα σύστημα που βρίσκεται στο διαδίκτυο ο δρομολογητής παρουσιάζεται σαν να είναι αυτός ο αποστολέας και ο αποδέκτης της διαδικτυακής κίνησης. Το ΝΑΤ αναπτύχθηκε από την εταιρία Cisco και χρησιμοποιείται σε συσκευές που βρίσκονται ανάμεσα στο εσωτερικό δίκτυο και στον υπόλοιπο κόσμο. Το ΝΑΤ έχει πολλές μορφές και μπορεί να εφαρμοστεί με διάφορους τρόπους : 19
Στις ακόλουθες παραγράφους τα m και n ορίζονται ως εξής : m : Αριθμός ΙΡ διευθύνσεων προς μετάφραση ( εσωτερικές ΙΡ ) n : Αριθμός ΙΡ διευθύνσεων διαθέσιμων για μετάφραση ( εξωτερικές ΙΡ ΝΑΤ-ΙΡ ) ή Στατικό NAT ( m,n>=1 και m=n ) : Συνδέει μία ιδιωτική ΙΡ διεύθυνση με μια αποκλειστικά δημόσια ΙΡ διεύθυνση. Χρησιμοποιείται όταν επιθυμούμε μια συσκευή να είναι προσβάσιμη από το εξωτερικό δίκτυο. Στην περίπτωση αυτή δεν χρειάζεται να κρατείται αρχείο με την κατάσταση των συνδέσεων που γίνονται. Δυναμικό ΝΑΤ (m>=1 και m>=n ) : Συνδέει μία ιδιωτική ΙΡ διεύθυνση με μια δημόσια ΙΡ διεύθυνση από μια ομάδα δημόσιων διευθύνσεων. Χρησιμοποιείται όταν ο αριθμός των εσωτερικών διευθύνσεων ΙΡ δεν ισούται με τον αριθμό των εξωτερικών διευθύνσεων ΙΡ ή αν είναι ο ίδιος δεν είναι επιθυμητή μια στατική 20
αντιστοίχηση. Ο αριθμός των εσωτερικών συστημάτων που μπορούν να επικοινωνήσουν προς τα έξω περιορίζεται από τον αριθμό των ΝΑΤ ΙΡs που είναι διαθέσιμες. Όταν όλες οι εξωτερικές διευθύνσεις ΙΡ χρησιμοποιούνται τότε δεν μπορούν να επιτευχθούν νέες συνδέσεις και οι αιτήσεις απορρίπτονται από τον δρομολογητή. Το δυναμικό ΝΑΤ είναι πιο περίπλοκο από το στατικό, αφού θα πρέπει να διατηρείται αρχείο των επικοινωνιών που συμβαίνουν και των συνδέσεων που απαιτεί την παρατήρηση των πληροφοριών των πακέτων TCP. Το δυναμικό ΝΑΤ είναι χρήσιμο και στην περίπτωση που υπάρχουν τόσες εξωτερικές διευθύνσεις, όσες και εσωτερικές. Αυτό μπορεί να χρησιμοποιηθεί σα μέτρο ασφάλειας. Είναι αδύνατο για κάποιον εκτός εσωτερικού δικτύου να γνωρίζει εσωτερικές ΙΡ διευθύνσεις για να συνδεθεί παρατηρώντας τις συνδέσεις που γίνονται, αφού την επόμενη φορά το ίδιο σύστημα θα χρησιμοποιήσει διαφορετική διεύθυνση. Σε αυτήν την ειδική περίπτωση χρήσιμο είναι να υπάρχουν διαθέσιμες περισσότερες εξωτερικές διευθύνσεις από εσωτερικές. Οι συνδέσεις από έξω προς τα μέσα είναι εφικτές μόνο αν το σύστημα προορισμού έχει ακόμη μια προσδιορισμένη ΝΑΤ-ΙΡ διεύθυνση και είναι καταχωρημένη σε έναν πίνακα που τηρεί ο δρομολογητής ( ΝΑΤ table ). Για παράδειγμα σε μια μη παθητική συνεδρία ανταλλαγής αρχείων ( active FTP session ) δεν υπάρχει πρόβλημα αφού την αρχική αίτηση σύνδεσης την είχε κάνει το σύστημα στο εσωτερικό δίκτυο και επομένως υπάρχει σχετική καταχώρηση στον πίνακα ΝΑΤ του δρομολογητή. Μία ειδική περίπτωση δυναμικού ΝΑΤ αποτελεί το ip-masquerading (m>=1 και n=1 ) και είναι η μορφή του ΝΑΤ με την μεγαλύτερη εφαρμογή σήμερα. Στην περίπτωση αυτή πολλές ΙΡ διευθύνσεις «κρύβονται» πίσω από μια, αλλά σε αντίθεση με το αρχικό δυναμικό ΝΑΤ αυτό δεν σημαίνει ότι μπορεί να υπάρχει μόνο μια σύνδεση κάθε φορά. Ουσιαστικά ένας αριθμός συνδέσεων πολυπλέκονται χρησιμοποιώντας πληροφορίες της θύρας TCP. Ο αριθμός των συνδέσεων περιορίζεται μόνο από τον αριθμό των διαθέσιμων θυρών TCP. Συνδέσεις από έξω προς τα μέσα με αυτήν την τεχνική είναι αδύνατες αφού ακόμη και όταν το σύστημα έχει καταχωρηθεί στον πίνακα ΝΑΤ του δρομολογητή, αυτή 21
η καταχώρηση ισχύει μόνο για την σύνδεση που είναι ενεργή. Το μεγαλύτερο πλεονέκτημα του ip-masquerading είναι ότι επιτρέπει σε πολλά εσωτερικά σύστημα να έχουν πρόσβαση στο διαδίκτυο χρησιμοποιώντας μόνο μια επίσημη διαδικτυακή διεύθυνση ΙΡ. Είναι επίσης γνωστό και με την ονομασία Network Address Port Translation (NAPT). Το ΝΑΤ λειτουργεί στο επίπεδο 3 του μοντέλου αναφοράς OSI. 1.4 Σχέση μεταξύ Intranet και VPNs Τα τελευταία χρόνια η χρήση των δικτύων τύπου Intranet έχει αυξηθεί σημαντικά με κύρια εφαρμογή σε επιχειρήσεις ή οργανισμούς. Οι οργανισμοί χρησιμοποιούν TCP/IP δίκτυα, δημοσιεύουν πληροφορίες σε εσωτερικές ιστοσελίδες, και χρησιμοποιούν προγράμματα εμφάνισης ιστοσελίδων σαν ένα κοινό εργαλείο παραγωγής έργου. Σαν παράδειγμα θα μπορούσαμε να αναφέρουμε μία βάση δεδομένων με όλους τους πελάτες, που είναι προσβάσιμη και από όλους τους εργαζόμενους μιας εταιρίας μέσω του πρωτοκόλλου HTML ( HyperText Mark-Up Language ). Στη βάση δεδομένων θα έχουν την δυνατότητα πρόσβασης οι ενδιαφερόμενοι μόνο με ένα απλό πρόγραμμα εμφάνισης ιστοσελίδων. Δηλαδή ένα δίκτυο Intranet είναι ουσιαστικά η τεχνολογία του διαδικτύου εφαρμοζόμενη σε ένα ιδιωτικό δίκτυο. 22
Τα VPNs μπορούν να χρησιμοποιηθούν για να επεκτείνουν την χρήση των Intranet. Συνήθως σε αυτά τα δίκτυα διακινούνται διαβαθμισμένες πληροφορίες που δεν είναι επιθυμητό να είναι προσβάσιμες από το διαδίκτυο. Όμως είναι πιθανό να χρειαστεί να μοιραστούν πληροφορίες σε απομακρυσμένους χρήστες, οι οποίοι σαν μέσο σύνδεσης θα χρησιμοποιούν το διαδίκτυο. Η χρήση ενός VPN σε αυτή την περίπτωση θα επιτρέψει στους απομακρυσμένους χρήστες να συνδεθούν με ασφάλεια με το τοπικό Intranet και όλες οι πληροφορίες που θα εξέρχονται από αυτό θα είναι «προστατευμένες». Έτσι γίνεται σαφές το πώς ένα εικονικό ιδιωτικό δίκτυο μπορεί να επεκτείνει την λειτουργικότητα ενός τοπικού Intranet. Σε συνέχεια του παραδείγματος αναφέρουμε την περίπτωση που ένας εργαζόμενος είναι μακριά από το τοπικό δίκτυο της εταιρίας του ( Intranet ) ή απλά δουλεύει από το σπίτι του και πρέπει να έχει πρόσβαση σε πληροφορίες της εταιρίας. Τότε χρησιμοποιώντας σαν βάση το διαδίκτυο μπορεί να το κάνει. Ουσιαστικά εκμεταλλεύεται την δυνατότητα επικοινωνίας που του δίνει το διαδίκτυο και στήνει ένα εικονικό δίκτυο δημιουργώντας 23
μια ασφαλή διασύνδεση ανάμεσα στον εργαζόμενο και την εταιρία και συγχρόνως κωδικοποιεί τα δεδομένα που διακινούνται μεταξύ τους. Τα VPNs προσφέρουν μεγάλη ευελιξία και πρακτικά επιτρέπουν την ασφαλή πρόσβαση σε οποιοδήποτε ιδιωτικό δίκτυο μέσω του διαδικτύου. Ένα τυπικό παράδειγμα VPN φαίνεται στο παρακάτω σχήμα : Βλέπουμε για παράδειγμα ότι μεταξύ τελικού χρήστη και κεντρικού δικτύου υπάρχει ένα VPN δίκτυο σε μορφή ΡΡΤΡ, ενώ μεταξύ ενός απομακρυσμένου δικτύου και του κεντρικού έχει εφαρμοστεί η τεχνολογία IPSec. Πρόκειται για πρωτόκολλα δημιουργίας εικονικών ιδιωτικών δικτύων για τα οποία εκτενής αναφορά θα γίνει παρακάτω. Τα επικοινωνούντα μέρη χρησιμοποιούν το διαδίκτυο για να δημιουργήσουν εικονικά δίκτυα επικοινωνίας. 24
1.5 Από τα ενσύρματα στα ασύρματα δίκτυα Τα τελευταία χρόνια παρατηρείται μια μεγάλη εξέλιξη στο θέμα των ασύρματων δικτύων υπολογιστών. Τα δίκτυα αυτά βασίστηκαν στο πρότυπο 802.11 του IEEE για την ασύρματη δικτύωση. Ένα ασύρματο τοπικό δίκτυο (Wireless Local Area Network ή WLAN) αποτελεί ένα επικοινωνιακό σύστημα που δίνει τη δυνατότητα πρόσβασης σε δεδομένα χωρίς τους περιορισμούς των καλωδίων και διάφορων πολύπλοκων διαδικασιών εγκατάστασης. Όπως συμβαίνει με όλες τις εφαρμογές δικτύωσης, έτσι και τα ασύρματα δίκτυα υστερούν στον τομέα παρεχόμενης ασφάλειας, καθώς υπάρχουν πολλοί τρόποι επίθεσης από επίδοξους εισβολείς. Επιπρόσθετα το ότι τα δεδομένα που διακινούνται ανά πάσα στιγμή στο δίκτυο, διαχέονται «ελεύθερα» στον περιβάλλοντα χώρο μειώνει το επίπεδο ασφάλειας σημαντικά. Για το σκοπό αυτό δημιουργήθηκαν διάφοροι μέθοδοι κρυπτογράφησης δεδομένων, όπως το WEP (Wireless Equivalent Privacy) και το WPA. 1.5.1 WEP ( Wired Equivalent Privacy ) Στο WEP ( Wired Equivalent Privacy ) η εμπιστευτικότητα και ακεραιότητα των δεδομένων εξασφαλίζεται συγχρόνως όπως φαίνεται στο παρακάτω σχήμα. Πριν την κρυπτογράφηση, το πλαίσιο ( frame ) περνά από ένα αλγόριθμο ελέγχου ακεραιότητας ( integrity check algorithm ) δημιουργώντας μια συνόψιση που ονομάζεται τιμή ελέγχου ακεραιότητας ICV ( Integrity Check Value ). Το ICV προστατεύει τα περιεχόμενα από αλλαγή διασφαλίζοντας ότι το πλαίσιο δεν έχει μεταποιηθεί κατά την μεταφορά. Το πλαίσιο αλλά και το ICV κρυπτογραφούνται, ώστε να μην είναι διαθέσιμα στους επίδοξους εισβολείς. 25
Το WEP κάνει χρήση ενός μυστικού κλειδιού μήκους 40 bit. Το μυστικό WEP κλειδί συνδυάζεται με ένα διάνυσμα αρχικοποίησης IV ( Initialization Vector ) μήκους 24 bit για να προκύψει ένα RC4 64-bit κλειδί. Τα πρώτα 24 bits του RC4 κλειδιού αποτελούν το IV ακολουθούμενα από το WEP 40-bit κλειδί. Η κωδικοποίηση RC4 δέχεται σαν είσοδο τα 64 bit και εξάγει μια κλειδοροή ίση σε μήκος με το σώμα του πλαισίου συν το διάνυσμα IV. Η κλειδοροή στην συνέχεια εισάγεται σε μια συνάρτηση XOR μαζί με το σώμα του πλαισίου και το διάνυσμα IV. Για να μπορεί ο δέκτης να αποκρυπτογραφήσει το πλαίσιο, το διάνυσμα IV τοποθετείται στην κεφαλή του πλαισίου. Μήκη κλειδιών WEP Οι τυποποιημένες εφαρμογές με WEP χρησιμοποιούν συνήθως 64 bit RC4 διαμοιραζόμενα κλειδιά. Οι κατασκευαστές χρησιμοποιούν διάφορες ονομασίες για την εφαρμογή WEP τεχνικών όπως : "standard WEP ", "802.11- compliant WEP " "40-bit WEP ", "40+24-bit WEP" ή "64-bit WEP". Βέβαια για να εξασφαλιστεί μεγαλύτερη ασφάλεια χρησιμοποιείται πλέον το WEP με 128-bit RC4 κλειδί. Από αυτά μόνο τα 104 bits είναι μυστικά Το WEP έχει αρκετές αδυναμίες βασικά επειδή χρησιμοποιεί ένα στατικό κλειδί διαμοιραζόμενο από όλους που πρέπει να έχουν πρόσβαση στο δίκτυο Έτσι υπεισέρχεται ο ανθρώπινος παράγοντας που σχεδόν πάντα είναι ο πιο αδύναμος κρίκος στην αλυσίδα της πολιτική ασφάλειας ενός συστήματος. Επίσης απαιτείται 26
αυθεντικοποίηση μόνο προς μια κατεύθυνση, δηλαδή οι πελάτες ελέγχουν τα Access Points και τα τελευταία δεν έχουν τρόπο να ελέγξουν τις συσκευές που προσπαθούν να συνδεθούν πάνω τους. Η πιο σημαντική αδυναμία είναι η εξάρτηση του WEP από τον αλγόριθμο RC4 που έχει πλέον αποδειχθεί ανεπαρκής. 1.5.2 WPA Wireless (Wi-Fi) Protected Access Το πρωτόκολλο WPA δημιουργήθηκε από την Wi-Fi alliance σαν ένα μέσο να αναβαθμιστεί η ασφάλεια των 802.11 δικτύων και έχει προς τα πίσω συμβατότητα με το πρότυπο WEP. Οι βασικές βελτιώσεις που εισάγει είναι η επέκταση του μήκους του διανύσματος IV από τα 24 bit στα 48 bit, μειώνοντας δραματικά την πιθανότητα δυο όμοιων IVs και η αποφυγή χρησιμοποίησης των ονομαζόμενων «αδύναμων» διανυσμάτων IV. Αυτοί οι νέοι παράγοντες ενσωματώθηκαν σε ένα καινούριο πρωτόκολλο ασφάλειας που ονομάστηκε TKIP ( Temporary Key Integrity Protocol ). Το πρωτόκολλο TKIP είναι σαφώς ανώτερο του WEP, αφού χρησιμοποιεί προσωρινά ( δυναμικά εναλλασσόμενα ) κλειδιά που προέρχονται από ένα αρχικό κλειδί ( master key ), το οποίο βρίσκεται στην κορυφή της ιεραρχίας κλειδιών του TKIP. Για πρακτικούς λόγους το WPA πρέπει να είναι συμβατό με το WEP και για αυτό το λόγο ακόμη βασίζεται στον αλγόριθμο RC4. Έτσι προσφέρει ασφάλεια σε μεγαλύτερο βαθμό σε σχέση με το WEP αλλά θεωρείται ότι πλέον και αυτό έχει ξεπεραστεί. 27
1.6 Ασφάλεια Δικτύων Υπολογιστών 1.6.1 Προβλήματα Ασφάλειας Δικτύων Ένα σύστημα που έχει πρόσβαση σε δίκτυο είναι επιρρεπές σε μεγάλο αριθμό απειλών που προέρχονται από επίδοξους εισβολείς αλλά και από νόμιμους χρήστες του συστήματος. Η αυξημένη περιπλοκότητα περιορίζει το αίσθημα εμπιστοσύνης για την ασφάλεια των δικτύων Υπάρχει αύξηση στον αριθμό των διαύλων επικοινωνίας και άρα των πιθανών σημείων επίθεσης Έχουν γίνει ασαφή τα όρια των δικτύων και οι διακρίσεις μεταξύ των τμημάτων ενός οργανισμού. Κάθε κόμβος οφείλει να είναι ικανός να αντιδράσει σωστά στην παρουσία ενός νέου και μη έμπιστου κόμβου. Επίσης κάθε κόμβος μπορεί να ανήκει ταυτόχρονα σε περισσότερα από ένα δίκτυα, με αποτέλεσμα να μην είναι ξεκάθαρη η εικόνα των νόμιμων χρηστών του κάθε δικτύου. Η δυνατότητα ανωνυμίας ενός χρήστη απαιτεί ισχυρούς μηχανισμούς πιστοποίησης μεταξύ των υπολογιστών, που συνήθως είναι διαφορετικοί από αυτούς που πιστοποιούν τους ανθρώπους ( χρήστες ) στα υπολογιστικά συστήματα Υπάρχει αδυναμία ελέγχου της δρομολόγησης των δεδομένων που διακινούνται μέσω των δικτύων 28