ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Επανάληψη (ΙΙ) ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ ΧΡΗΣΗ ΔΗΜΟΣΙΩΝ ΚΛΕΙΔΙΩΝ ΣΥΣΤΗΜΑΤΑ ΑΣΦΑΛΟΥΣ ΠΡΟΣΒΑΣΗΣ ΗΛΕΚΤΡΟΝΙΚΟ ΤΑΧΥΔΡΟΜΕΙΟ FIREWALLS ΕΙΚΟΝΙΚΑ ΙΔΙΩΤΙΚΑ ΔΙΚΤΥΑ (VPN) ΑΝΩΝΥΜΙΑ, TOR ΣΥΓΚΛΙΣΗ ΕΠΙΚΟΙΝΩΝΙΩΝ IMS ΕΝΟΠΟΙΗΜΕΝΑ ΣΥΣΤΗΜΑΤΑ ΔΙΑΧΕΙΡΙΣΗΣ Β. Μάγκλαρης maglaris@netmode.ntua.gr www.netmode.ntua.gr 11/01/2016
Άδεια Χρήσης Το παρόν εκπαιδευτικό υλικό υπόκειται σε άδειες χρήσης Creative Commons. Για εκπαιδευτικό υλικό, όπως εικόνες, που υπόκειται σε άδεια χρήσης άλλου τύπου, αυτή πρέπει να αναφέρεται ρητώς.
ΘΕΜΑΤΙΚΕΣ ΠΕΡΙΟΧΕΣ ΑΣΦΑΛΕΙΑΣ Είδη Απειλών και Επιθέσεων Προστασία Πολιτικές Αρχιτεκτονικές Ελέγχου Πρόσβασης (Authentication & Authorization Infrastructures - ΑΑΙ) & Διαχείρισης Δημοσίων Κλειδιών (Public Key Infrastructures - PKI) Εργαλεία (Access Control Lists ACLs, Firewalls) Συστήματα Εντοπισμού Επιθέσεων (Intrusion Detection Systems IDS) & Ανωμαλιών (Anomaly Detection Systems) Κρυπτογραφία Η σίγουρη μέθοδος εξασφάλισης ενός δικτύου:
ΚΡΥΠΤΟΓΡΑΦΙΑ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ: Confidentiality Ο Αποστολέας A γνωρίζει το Δημόσιο Κλειδί του Παραλήπτη Π (π.χ. με Ψηφιακό Πιστοποιητικό από Certification Authority CA, self-signed ή υπογραμμένο από 3 ης έμπιστη οντότητα Third Trusted Party TTP, στα πλαίσια Υποδομής Δημοσίου Κλειδιού - Public Key Infrastructure PKI) Κρυπτογράφηση: Με το Δημόσιο Κλειδί του Π Αποκρυπτογράφηση: με το Ιδιωτικό Κλειδί του Π Αποστολέας Α Δημόσιο Κλειδί Π Μετάδοση Παραλήπτης Π Ιδιωτικό Κλειδί Π Μήνυμα Αλγόριθμος Κρυπτογραφημένο Μήνυμα Κρυπτ. Μήνυμα Αλγόριθμος Αρχικό Μήνυμα
ΚΡΥΠΤΟΓΡΑΦΙΑ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ: Sender Authentication / Non Repudiation Message Integrity Οι Αποστολέας Α και Παραλήπτης Π κατέχουν ζεύγη Δημοσίου & Ιδιωτικού Κλειδιού και έχουν αμοιβαία γνώση των Δημοσίων Κλειδιών & αλγορίθμων κρυπτογράφησης - κατακερματισμού Ο Αποστολέας Α προσθέτει Ψηφιακή Υπογραφή (Digital Signature) στο μήνυμα με κρυπτογράφηση με το Ιδιωτικό του κλειδί περίληψης (hash) του μηνύματος που προκύπτει με αλγόριθμο κατακερματισμού (hashing algorithm) Ο Παραλήπτης Π επιβεβαιώνει (authenticate) την ταυτότητα του Α, χωρίς δυνατότητά του Α άρνησης της αποστολής (non-repudiation) & επιβεβαιώνει την μη αλλοίωση του μηνύματος (message integrity) με βάση την σύγκριση: Ψηφιακής Υπογραφής, αποκρυπτογραφημένης στον Π με το γνωστό Δημόσιο Κλειδί του Α Νέας περίληψης του ληφθέντος (μη κρυπτογραφημένου) κυρίως μηνύματος που δημιουργεί ο Π με τον ίδιο γνωστό αλγόριθμο κατακερματισμού Μήνυμα Αποστολέας Α Περίληψη Μηνύματος (Hash) Αλγόριθμος Μετάδοση Κρυπτογραφίας Παραλήπτης Π Αλγόριθμος Κατακερματισμού Σύγκριση Αλγόριθμος Κατακερματισμού (Hashing Algorithm) Ιδιωτικό Κλειδί Α Digital Signature Δημόσιο Κλειδί Α
ΨΗΦΙΑΚΗ ΥΠΟΓΡΑΦΗ http://en.wikipedia.org/wiki/digital_signature 6
ΨΗΦΙΑΚΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ Χ.509 https://technet.microsoft.com/en-us/library/cc962029.aspx Αν συνοδεύουν υπογραμμένο μήνυμα, βεβαιώνουν τη γνησιότητα του Δημοσίου Κλειδιού του αποστολέα (subject) κατά μια Τρίτη Έμπιστη Οντότητα TTP - Third Trusted Party: Την Αρχή Πιστοποίησης, Certification Authority CA Αν χρειάζεται και έλεγχος του Δημοσίου Κλειδιού της CA, μπορεί να αποστέλλεται και 2 ο (ή και 3 ο, 4 ο πιστοποιητικό) από ιεραρχικά δομημένες CA Η CA υπογράφει ένα ψηφιακό πιστοποιητικό με το Ιδιωτικό Κλειδί της. Το Δημόσιο Κλειδί της (ανώτερης) CA πρέπει να είναι γνωστό στους παραλήπτες (π.χ. ενσωματωμένο στον Web browser) ή αποδεκτό λόγω σχέσης εμπιστοσύνης (π.χ. σε περιπτώσεις Self- Signed CA)
ΜΕΙΚΤΟ ΣΥΣΤΗΜΑ ΑΣΦΑΛΟΥΣ ΠΡΟΣΒΑΣΗΣ (SSL/TLS - Secure Sockets Layer / Transport Layer Security) 1 η Φάση: Handshaking Ο χρήστης (User) U λαμβάνει γνώση του Δημοσίου Κλειδιού του εξυπηρετητή (Server) S με Ψηφιακό Πιστοποιητικό από Certification Authority CA self-signed ή υπογραμμένο από 3 ης έμπιστη οντότητα Third Trusted Party TTP, στα πλαίσια αρχιτεκτονικής Public Key Infrastructure PKI Ο U δημιουργεί Κοινό Συμμετρικό Κλειδί με τυχαίο αλγόριθμο και το κοινοποιεί στον S κρυπτογραφημένο με το Δημόσιο Κλειδί του S 2 η Φάση: Κρυπτογραφημένος Διάλογος με Κοινό Συμμετρικό Κλειδί Γρήγορη συμμετρική κρυπτογραφία σε Secure Channel μεταξύs U (το Συμμετρικό Κλειδί ισχύει μόνο για το συγκεκριμένο session) ΠΑΡΑΤΗΡΗΣΗ: Ο U δεν απαιτείται να έχει Πιστοποιητικό με Δημόσιο Κλειδί (ψηφιακή υπογραφή), μόνο ο S (Server Based Authentication) Αν απαιτείται Ταυτοποίηση Εξουσιοδότηση του U από τον S (Client & Server Based Authentication) απαιτείται μετάδοση από το secure channel Digital Identity του Client (συνήθως User_Name/Password ή Client Certificates αν υπάρχουν) έλεγχος στον S σε Βάση Δεδομένων Χρηστών (με πρωτόκολλο LDAP - TCP π.χ. για εφαρμογές Web, Mail και με πρωτόκολλο RADIUS UDP αν μεσολαβεί Remote Access Server π.χ. για πρόσβαση DSL, WiFi roaming ) 8
ΕΛΕΓΧΟΣ ΠΡΟΣΒΑΣΗΣ ΧΡΗΣΤΗ, AAI Single Sign-On, ΠΑΡΟΧΟΙ ΤΑΥΤΟΤΗΤΑΣ IdP AAI Authentication & Authorization Infrastructure Τρόποι Ταυτοποίησης Χρηστών: Username, Password LDAP Server (Lightweight Directory Access Protocol) RADIUS (Remote Authentication Dial-In User Service) Active Directory (MS Windows) Οι Υποδομές Ταυτοποίησης & Εξουσιοδότησης (ΑΑΙ) επιτρέπουν πρόσβαση Single Sign-On (SSO) σε χρήστες διαδικτυακών πόρων κατανεμημένων σε παρόχους με αμοιβαία εμπιστοσύνη: Ταυτοποίηση (Authentication) μια φορά Εξουσιοδότηση ξεχωριστά με κάθε πάροχο Μεσολάβηση Παρόχου Tαυτότητας (Identity Provider - IdP) π.χ. Facebook, Twitter, Google User Accounts για Εξουσιοδότηση Single Sign-On σε υπηρεσίες με σχετικό security token συνδρομητή από IdP σε Service Providers που το εμπιστεύονται (π.χ. OAuth Open standard for Authorization, SAML - Security Assertion Markup Language) Επιβεβαίωση Ισχυρισμών Ταυτότητας (Identity Assertion) από WAYF (Where Are You From) servers μέσω πρωτοκόλλου SAML ή από LDAP servers με πιστοποιητικά X509 Συνέργεια IdP σε ομόσπονδα σχήματα AAI (π.χ. US Internet2 Shibboleth, GÉANT edugain) 9
ΗΛΕΚΤΡΟΝΙΚΟ ΤΑΧΥΔΡΟΜΕΙΟ (1/2) 10
ΗΛΕΚΤΡΟΝΙΚΟ ΤΑΧΥΔΡΟΜΕΙΟ (2/2) Σχήμα με IMAP/POP3 Clients (Outlook, Thunderbird, Fedora ) IMAP: Κρατάει αντίγραφα emails και συντηρεί mail folders των users στον server POP3: Δεν κρατάει αντίγραφα emails στον server αφού διώξει τα emails στον client (πρόβλημα για χρήστες που λαμβάνουν email σε πολλαπλούς clients) Client A (Source) SMTP Session 1 INTERNET SMTP Session 2 IMAP/ POP3 Client B (Destination) http/https Client A (Source) Παράδειγμα Web Mail SMTP Session 1 Web Server SMTP Client IMAP Client INTERNET SMTP Session 2 IMAP http/https Client B (Destination) Outgoing SMTP Server Incoming Mail Server Outgoing SMTP Server Incoming Mail Server
ΠΑΡΑΔΕΙΓΜΑ ΧΡΗΣΗΣ Firewall Διαδίκτυο Δρομολογητής Πρόσβασης Firewall Το Firewall αποτελεί το σημείο υλοποίησης της πολιτικής ασφάλειας του οργανισμού: Έλεγχος συνδέσεων Έλεγχος πρόσβασης ανά περιοχή Εσωτερικό Δίκτυο Web Άλλες Υπηρεσίες "Αποστρατικοποιημένη Ζώνη" Demilitarized Zone - DMZ Παρέχει αυξημένη πρόσβαση σε κάποια συστήματα του δικτύου χωρίς να θέτει σε κίνδυνο το υπόλοιπο
ΕΙΚΟΝΙΚΑ ΙΔΙΩΤΙΚΑ ΔΙΚΤΥΑ Virtual Private Networks - VPNs https://en.wikipedia.org/wiki/virtual_private_network Με τα VPNs χρήστες κοινών κατανεμημένων πόρων διαμοιράζονται δημόσια δίκτυα μεγάλης αποστάσεως (public wide area networks WANs) όπως το Internet ή δίκτυο IP/MPLS, διασφαλίζοντας: Απομόνωση από άλλες κοινότητες π.χ. μέσω ενθυλάκωσης πακέτων του VPN (μαζί με τους ιδιωτικούς headers) σε πακέτα συμβατά με πρωτόκολλα Δημοσίου Δικτύου (tunneling) Διαχείριση δικτυακών πόρων & υπηρεσιών ανά VPN: o Επέκταση πεδίου διευθύνσεων VLAN tags ή IP σε απομακρυσμένες νησίδες ενός VPN o Δρομολόγηση με περιορισμούς ασφαλείας και διαμοιρασμού φορτίου traffic engineering o Ασφαλής μετάδοση και σηματοδοσία όπως σε ελεγχόμενο τοπικό δίκτυο (Local Area Network LAN)
ΕΙΔΗ VPNs & Tunneling Protocols Layer 2 VPN (L2VPN): Επέκταση L2/VLAN over Provider WAN π.χ. o Point-to-point L2TP (Layer 2 Tunneling Protocol) πάνω από IP/MPLS Provider Network o Point-to-point Επεκτάσεις PW (Pseudo-Wire) πάνω από IP/MPLS Provider Network o Multipoint VPLS (Virtual Private LAN Service) πάνω από MPLS Provider Network o Επέκταση Mac-in-Mac (IEEE 802.1ah) πάνω από L2 Provider Bridge Network Layer 3 VPN (L3VPN): Επέκταση IP Intranet σε Extranet μέσω Provider WAN π.χ. o IP ή MPLS tunnels μεταξύ εικονικών δρομολογητών (Virtual Routing & Forwarding, VRF) ορισμένων στους PE Nodes (Routers) ανά VPN o Διαδικασία Ασφαλούς Επικοινωνίας IPsec Tunnels μεταξύ PE s BGP/IP Provider Network(s) o Generic Routing Encapsulation GRE Tunnels μεταξύ PE s BGP/IP Provider Network(s) o Διαδικασία Ασφαλούς Επικοινωνίας OpenVPN Tunnels μεταξύ τερματικών συσκευών χρηστών client - server, hosted σε διαφορετικά διαχειριστικά περιβάλλοντα μέσω SSL/TLS (συνήθως προτιμάται η χρήση πρωτοκόλλων UDP και η προ-εγκατάσταση certificates στον client) 14
IPsec TUNNELING ECE 454/CS 594, Jinyuan (Stella) Sun, Univ. of Tennessee, Fall 2011 IPsec: Ανεξάρτητο Εφαρμογών ενώ TLS: για Web SSH: για Remote Login Transport Mode Ασφάλεια Περιεχομένου IP header (real dest) IPsec header TCP/UDP header + data Tunnel Mode Ασφάλεια Πακέτου (με το αρχικό IP header) IP header (gateway) IPsec header IP header (real dest) TCP/UDP header + data SA: Security Associations (one way) SPI: Security Parameter Index (Cryptographic algorithms, keys, lifetimes, sequence numbers, mode - transport or tunnel) Εναλλακτικές SA, αποθηκευμένες σε IPsec nodes, ενεργοποιούνται με επιλογή του πακέτου AH: Authentication Header Επιβεβαίωση ταυτότητας αποστολέα (Sender Authentication) & μη παραποίησης μηνύματος (Message Integrity) ESP: Encapsulating Security Payload εμπιστευτικότητα, Confidentiality) IKE: Internet Key Exchange (handshaking protocol για συμφωνία SA) 15
GENERIC ROUTING ENCAPSULATION (GRE) http://www.juniper.net/documentation/en_us/junos13.2/topics/concept/firewall-filtertunneling-ipv4-gre-components.html ΔΙΑΔΙΑΚΑΣΙΑ ΕΝΘΥΛΑΚΩΣΗΣ - GRE Tunneling Το payload packet πρέπει να μεταφερθεί από C1 σε C2 όπως σε ευθείας μονοκατευθυντική σύνδεση Το encapsulation filter εισάγει GRE header με μοναδικό κλειδί για πακέτα C1 C2 (δεν ισχύει για C2 C1) Το αποτέλεσμα ενθυλακώνεται με IPv4 header και προωθείται σαν IP datagram από τον encapsulator στον deencapsulator Το de-encapsulation filter ανακτά το payload packet και το προωθεί στον C2 16
Anonymity Network - The Onion Router (Tor) http://fossbytes.com/everything-tor-tor-tor-works/ Tor Project: Δεκαετία του 1990! Απαιτείται ειδικός browser στον client Βασίζεται σε υπερκείμενο (overlay) δίκτυο από Tor relays συνδεμένα σε public Internet routers Ο browser του χρήστη ανοίγει encrypted TLS session με Entry Node δημιουργώντας Session Key 1 Το session επεκτείνεται σε Middle Node μέσω Node-to-Node Key και δημιουργείται Session Key 2 Ο Exit Node ανοίγει session με τον Server και μεσολαβεί για Session Key 3 χωρίς να γνωρίζει το IP του χρήστη (anonymity) Η ανταλλαγή data μεταξύ user browser και server περνά από διαδοχικά στρώματα κρυπτογράφησης (εξ ου και onion router) 17
Tor Encrypted Overlay: The Dark Web https://www.quora.com/what-is-the-deep-web-and-how-do-youaccess-it Deep Web: Sites μη ανοικτής πρόσβασης (not indexed by search engines, π.χ. Google) Dark Web: Υποσύνολο του Deep Web με προστασία ανωνυμίας sites & users μέσω Tor 18
ΕΝΟΠΟΙΗΜΕΝΗ ΑΡΧΙΤΕΚΤΟΝΙΚΗ IMS Άποψη της ITU-T & Τηλεπικοινωνιακών Παρόχων (TELCO Operators) για Converged Networking Media Server Application Server Internet UE SGSN PS Gm HSS GGSN Go IMS Gi Gi/Mb Cx MRF Mp Mb Mb ISC Mb Mb IM-MGW TDM ISUP SIP phone PSTN Mw Mg Mn P-CSCF CSCF MGCF CPE Signaling CSCF Call Session Control Function IM-MGW IM-Media Gateway MGCF Media Gateway Control Function MRF Media Resource Function SIP
ΕΝΟΠΟΙΗΜΕΝΗ ΠΛΑΤΦΟΡΜΑ ΔΙΑΧΕΙΡΙΣΗΣ
Χρηματοδότηση Το παρόν εκπαιδευτικό υλικό έχει αναπτυχθεί στα πλαίσια του εκπαιδευτικού έργου του διδάσκοντα. Το έργο «Ανοικτά Ακαδημαϊκά Μαθήματα» του ΕΜΠ έχει χρηματοδοτήσει μόνο την αναδιαμόρφωση του υλικού. Το έργο υλοποιείται στο πλαίσιο του Επιχειρησιακού Προγράμματος «Εκπαίδευση και Δια Βίου Μάθηση» και συγχρηματοδοτείται από την Ευρωπαϊκή Ένωση (Ευρωπαϊκό Κοινωνικό Ταμείο) και από εθνικούς πόρους.