Στρατηγικές Ασφάλειας Ασφάλεια Πληροφοριακών Συστημάτων. Διδάσκων: Σ. Κοντογιάννης
Least/(Most) Privileges
Defense in Depth
Συγκεντρωτική Στρατηγική
Weakest Link Strategy
Fail Safe Stance
Fail Safe Stance
Παγκόσμια συμμετοχή
Skin-Deep Differences
Simplicity
Security Through Obscurity
Εισαγωγή στα διαδικτυακά πρωτόκολλα
Ethernet Header Ethernet Header ATM Header
IPv4 Header
UDP Header
TCP header
TCP Flags I
TCP Flags II
TCP Handshake
TCP Handshake II
ARP packet Μέγεθος πακέτου 28 bytes: HTYPE για Ethernet=1 PTYPE=0x0800 για το TCP/IP HLEN=Μήκος της φυσικής διεύθυνσης σε octets=6 PLEN=IP address length = 4 octets Operation=1 for request/2 for reply SHA = Mac of the sender SPA=Sender IP address THA=Mac of the receiver TPA=Receiver IP address
ARP / RARP protocol An ARP probe is an ARP request constructed with an all-zero sender IP address. The term is used in the IPv4 Address Conflict Detection specification (RFC 5227). Before beginning to use an IPv4 address (whether received from manual configuration, DHCP, or some other means), a host implementing this specification must test to see if the address is already in use, by broadcasting ARP probe packets. ARP may also be used as a simple announcement protocol. This is useful for updating other hosts' mapping of a hardware address when the sender's IP address or MAC address has changed. Such an announcement, also called a gratuitous ARP message, is usually broadcast as an ARP request containing the sender's protocol address (SPA) in the target field (TPA=SPA), with the target hardware address (THA) set to zero. An alternative is to broadcast an ARP reply with the sender's hardware and protocol addresses (SHA and SPA) duplicated in the target fields (TPA=SPA, THA=SHA). The Reverse Address Resolution Protocol (RARP) is an obsolete computer networking protocol used by a host computer to request its Internet Protocol (IPv4) address from an administrative host, when it has available its Link Layer or hardware address, such as a MAC address. See DHCP/BOOTP.
Firewall Πολλοί οργανισμοί έχουν συνδέσει τα εσωτερικά τους δίκτυα με το Internet: Για λήψη χρήσιμων πληροφοριών Εκμετάλλευση των δυνατοτήτων ηλεκτρονικού επιχειρείν Χρήση υπηρεσιών ηλεκτρονικής διακυβέρνησης. Αποτέλεσμα: συστήματα ευπρόσβλητα σε κακόβουλη χρήση και επίθεση από εξωτερικούς χρήστες. Λύση: firewall δηλ. μία διάταξη εξειδικευμένων μηχανισμών ασφάλειας που ελέγχει την πρόσβαση και τη μετακίνηση της πληροφορίας μεταξύ ενός δικτύου που δεν εμπιστεύομαι απαραίτητα.
Firewall ΟΡΙΣΜΟΣ: συστήματα ή ομάδες συστημάτων τα οποία υλοποιούν τους κανόνες μιας πολιτικής ασφάλειας μεταξύ δύο δικτύων. Τις περισσότερες φορές το ένα από τα δύο δίκτυα είναι το Internet αλλά στη γενική περίπτωση μπορεί να τοποθετηθεί και μεταξύ δύο τυχαίων δικτύων υπολογιστών. Σκοπός: βελτίωση του επιπέδου προστασίας των δεδομένων και των υπολογιστικών πόρων του οργανισμού από εισβολείς. Το firewall δεν είναι απλά μια συλλογή υλικού και λογισμικού, αλλά η τεχνική έκφρασης μιας συγκεκριμένης στρατηγικής προστασίας των πόρων του οργανισμού
Firewall Το firewall εφαρμόζει έλεγχο πρόσβασης από και προς το δίκτυο, υλοποιώντας και υποστηρίζοντας την πολιτική ασφαλείας του οργανισμού: επιτυγχάνεται συγκεντρώνοντας όσο το δυνατόν περισσότερες πληροφορίες για τα πακέτα και τις συνόδους. Με βάση αυτήν την πληροφόρηση και τις πολιτικές ασφαλείας που καθορίζουν σε ποια πακέτα και ποιες συνόδους επιτρέπεται η είσοδος και η έξοδος, το firewall αποφασίζει αν θα επιτρέψει ή θα αρνηθεί την είσοδο ή έξοδο ενός πακέτου ή την έναρξη μιας συνόδου. Αποτελεσματική καταγραφή της δραστηριότητας στο δίκτυο: πληροφορίες τόσο για τη χρήση των υπηρεσιών όσο και τη χρήση του δικτύου. Προστασία των διαφορετικών δικτύων ενός οργανισμού: προστασία ευαίσθητων σημείων του δικτύου απέναντι σε πρόσβαση από άλλα σημεία μέσα στο ίδιο δίκτυο Απόκρυψη των πραγματικών διευθύνσεων της επιχείρησης: επειδή υπάρχει έλλειψη διευθύνσεων IP, ένα firewall μπορεί να περιλαμβάνει ένα NAT (network address translation)
Firewall/Symbols Internet Firewall
Firewall Βασικές Έννοιες I
Firewall Βασικές Έννοιες II
Firewall Βασικές Έννοιες III NAT/NAPT (Full Nat ή Network Address Port Translation) S-NAT ή Masquerade (Source NAT) D-NAT ή Port Forwarding (Destination NAT) IP Alias: Πολλές IP Διευθύνσεις στον ίδιο προσαρμογέα δικτύου Proxy arp: Όταν μια συσκευή σε ένα δίκτυο απαντά σε ARP queries για μια MAC address και προσφέρει τη δική της MAC address (να συνδεθεί δηλαδή με την IP διεύθυνση αποστολής). Hidden interface: Όταν μια συσκευή δεν απαντά σε arp αιτήσεις για κάποιον προσαρμογέα του. Promiscous mode: Όταν ο προσαρμογέας δικτύου παρακολουθεί όλη την κίνηση δικτύου ανεξαρτήτως αν προορίζεται για αυτόν ή όχι Switch/Hub: Τα switch δρομολογούν πακέτα μόνο που προορίζονται για μια θύρα ενώ τα hub αποστέλλουν τυφλά όλα τα πακέτα σε όλες τις θύρες (repeating mode). Σε κατάσταση υπερφόρτωσης τα switch γυρίζουν σε repeating mode.
Firewall Βασικές Έννοιες IV
Firewall Routers