Δίκτυα Υπολογιστών: Βασικά άθέ θέματα και Θέματα Ασφάλειας Χρήστος Ξενάκης Τμήμα Ψηφιακών Συστημάτων Πανεπιστήμιο Πειραιά
Βασικοί ορισμοί Πληροφορία: ρ η γνώση που αποστέλλεται και λαμβάνεται και αφορά συγκεκριμένο γεγονός ή συμβάν τα δδ δεδομένα που μπορούν νακωδικοποιηθούν από έναν υπολογιστή ή παρόμοιου τύπου συσκευή 2/87
Στόχοι Ασφάλειας Τεχνολογίας Πληροφορίας Computer Security: Διαφύλαξη υπολογιστικών πόρων από μη εξουσιοδοτημένη χρήση προστασία πληροφορίας από ακούσια ή σκόπιμη βλάβη, αποκάλυψη ή τροποποίησή της Communication Security: Προστασία δεδομένων κατά τη μετάδοση σε δίκτυα και κατανεμημένα συστήματα 3/87
Δίκτυα υπολογιστών Δίκτυο υπολογιστών: Μια διασυνδεδεμένη συλλογή αυτόνομων υπολογιστών. Προϋπόθεση αποτελεί η δυνατότητα ανταλλαγής δεδομένων 4/87
Βασικές έννοιες Χρήστης (user): Ανθρώπινη οντότητα υπεύθυνη για τις δραστηριότητές της σε ένα δίκτυο ή κατανεμημένο σύστημα Ξενιστής υπολογιστής (host): διευθυνσιοδοτούμενη οντότητα σε δίκτυο ή σε κατανεμημένο σύστημα Διεργασία (process): Στιγμιότυπο εκτελέσιμου προγράμματος σε ένα συγκεκριμένο υπολογιστικό σύστημα. Client process: Αιτείται και αποκτά υπηρεσία δικτύου Server Process: Παρέχει υπηρεσία δικτύου 5/87
Προτυποποίηση Πρότυπο (standard): Έγγραφη συμφωνία που περιλαμβάνει τεχνικές προδιαγραφές και κριτήρια. Μοντέλο αναφοράς (reference model): Χρησιμοποιείται για να εξηγήσει τη συνεργασία των συνιστωσών συστήματος συνήθης πρακτική η διαίρεση της λειτουργικότητας σε επίπεδα (layers) 6/87
Αά Ανάπτυξη του Internet t ARPANET: πρόγονος του Internet πειραματικό δίκτυο Υπουργείου Άμυνας ΗΠΑ (1960) Οι προδιαγραφές όριζαν διασφάλιση σταθερής λειτουργίας στην περίπτωση κατάρρευσης κόμβων Αποκεντρωμένο μοντέλο δικτύου Μετάδοση δδ δεδομένων με μεταγωγή πακέτων (packet switching) 7/87
Μεταγωγή πακέτων Διαμερισμός των μηνυμάτων σε διακριτά μέρη (packets) Δρομολόγηση πακέτων μεταξύ υπολογιστών Κάθε δικτυωμένος υπολογιστής ονομάζεται ξενιστής υπολογιστής (host) Εξειδικευμένοι υπολογιστές συνδέονται μεταξύ τους με φυσικές συνδέσεις (links) LINK Router LINK LINK Computer 8/87 WAN Server
Εξέλιξη ξ του Internet t ARPANET (1969) Network Control Protocol NCP BBN 1822 ARPA Internet (1983) TCP/IP BSD UNIX Ενσωμάτωση TCP/IP στην έκδοση 4.2 Internet (σήμερα): παγκόσμιο δίκτυο που βασίζεται στη στοίβα των πρωτοκόλλων επικοινωνίας TCP/IP Intranet: εταιρικό TCP/IP δίκτυο 9/87
Ζητήματα ηήμ Ασφάλειας τύποι επιθέσεων (1/3) Μη εξουσιοδοτημένη χρήση (masquerade): Μη εξουσιοδοτημένος χρήστης προσπαθεί να αποκτήσει πρόσβαση σε διαθέσιμους πόρους Μη ενεργός ή παθητική παρακολούθηση (passive tapping): Παρακολούθηση δεδομένων που διακινούνται μεταξύ χρηστών δικτύου Ενεργός παρακολούθηση (active tapping): Τροποποίηση των δεδομένων 10/87
Ζητήματα ηήμ Ασφάλειας τύποι επιθέσεων (2/3) Αποποίηση (repudiation): Κάποια οντότητα αποποιείται τη συμμετοχή της σε μία επικοινωνία Άρνηση Παροχής Υπηρεσίας (denial of service): Παρεμπόδιση ομαλής λειτουργίας δικτύου Επανεκπομπή μηνυμάτων (replay): Καταγραφή έγκυρων μηνυμάτων με στόχο μεταγενέστερη επανεκπομπή τους 11/87
Ζητήματα ηήμ Ασφάλειας τύποι επιθέσεων (3/3) Ανάλυση επικοινωνίας (traffic analysis): Υποκλοπή πληροφορίας σχετικά με διακίνηση δδ δεδομένων μεταξύ οντοτήτων, με στόχο την έμμεση εξαγωγή συμπερασμάτων Κακόβουλο λογισμικό Viruses, Trojan horses, worms 12/87
Ασφάλεια βασικές έννοιες Απειλή (Threat): Οντότητα που μπορεί να προκαλέσει ζημιά ή παραβίαση σε τμήμα ή στο σύνολο τουδικτύου Επίθεση (Attack): Είναι ηεκμετάλλευση μιας αδυναμίας από εισβολέα για την πραγματοποίηση απειλής Αντίμετρα (Countermeasures): Μηχανισμός ή διαδικασία με στόχο τον περιορισμό ή την εξάλειψη επιπτώσεων απειλής 13/87
OSI Internet t 14/87
Χαμηλότερα επίπεδα μοντέλου Internet Επίπεδο πρόσβασης δικτύου (Network Access Layer) Παραδείγματα: Token Bus, Token Ring, Ethernet, PPP και SLIP (για point-to-point) Επίπεδο Internet Internet Protocol (IP) βασικό πρωτόκολλο για διασύνδεση υπολογιστών στο ίδιο ή διαφορετικά δίκτυα. 15/87
Εθλά Ενθυλάκωση 16/87
Διαδικασία Δρομολόγησης 17/87
Επίπεδο μεταφοράς Transmission Control Protocol TCP (connection oriented). Παρέχει μηχανισμούς ανταλλαγής δεδομένων με αξιοπιστία 18/87
Χειραψία 3 σταδίων TCP 19/87
Ολισθαίνον παράθυρο (sliding window) Για την αποφυγή σπατάλης χρόνου, ο αποστολέας στέλνει περισσότερα μηνύματα πριν πάρει μήνυμα ACK 20/87
Μέθοδος ολισθαινόντων παραθύρων 21/87
Αδυναμίες TCP (1/2) Δεν ελέγχεται η αυθεντικότητα των ΙΡ διευθύνσεων Χρησιμοποιούνται ψευδοτυχαίοι αριθμοί για να οριστεί το πεδίο ακολουθίας Μία οντότητα Γ μπορεί να προκαλέσει υπερχείλιση μνήμης με συνεχείς αιτήσεις για TCP συνδέσεις που μένουν ανολοκλήρωτες λή 22/87
Αδυναμίες TCP (2/2) Μία οντότητα Α μπορεί να προσποιηθεί την ΙΡ διεύθυνση οντότητας Γ και να δημιουργήσει μήνυμα (SYN, ACK) μαντεύοντας το SEQR Workstation A Workstation B Workstation Γ SYN (Fake IP- Γ) Guess SEQr?? SYN ACK SEQa,SEQr 23/87
User Datagram Protocol - UDP Πρωτόκολλο άνευ εγκατάστασης σύνδεσης Χρήση θυρών μήκους 16 bits Αναξιόπιστο πρωτόκολλο μέριμνα ελέγχων σε επίπεδο εφαρμογής 24/87
Πακέτο UDP 25/87
Επίπεδο Εφαρμογής Πρωτόκολλα και υπηρεσίες σε επίπεδο εφαρμογής χρησιμοποιούν πρωτόκολλο είτε TCP, είτε UDP Υπηρεσία Ηλεκτρονικού Ταχυδρομείου. Υλοποιείται από το SMTP - Simple Mail Transfer Protocol Παγκόσμιος Ιστός WWW. Επιτρέπει την πρόσβαση παγκοσμίως σε αρχεία υπερκειμένου Υπηρεσία μεταφοράς αρχείων. Υλοποιείται από το πρωτόκολλο FTP 26/87
Επίπεδο Εφαρμογής χρήση TCP Υπηρεσία Απομακρυσμένης πρόσβασης τερματικού (Remote Terminal Access). Χρησιμοποιεί το Remote Telnet Login πρωτόκολλο Network News Transfer Protocol. Χρησιμοποιείται για παράδοση νέων USENET στο Internet Network Time Protocol. Χρησιμοποιείται για τη διατήρηση κοινής ώρας σε δικτυακά συνδεδεμένους υπολογιστές 27/87
Επίπεδο Εφαρμογής χρήση UDP Πρωτόκολλο Domain Name Service DNS Πρωτόκολλο Simple Network Management Protocol - SNMP Πρωτόκολλο Remote Procedure Call RPC. Ασφαλής εκτέλεση διαδικασιών σε κατανεμημένα συστήματα Σύστημα Network File System - NFS Σύστημα Network Information System NIS. Διαμοιρασμός δεδομένων σε πολλαπλά συστήματα 28/87
Πό Πρότυπα σχετικά θέματα Πρωτόκολλο. Ομάδα κανόνων και μηνυμάτων που στην πράξη παρέχουν μια υπηρεσία Στοίβα πρωτοκόλλων. Ομάδα πρωτοκόλλων που συνεργάζονται μεταξύ τους Υπηρεσία (service). Ένα είδος προγράμματος ή εφαρμογής ή πρωτόκολλο υψηλού επιπέδου που τη χρησιμοποιεί Ασφαλή ανοικτά συστήματα ή αποκλειστικής εκμετάλλευσης (proprietary) υλοποιήσεις; 29/87
Το πρότυπο OSI (ISO) - συσχέτιση επιπέδων 30/87
Πό Πρότυπο ISO υπηρεσίες Υπηρεσίες προσανατολισμένες σε σύνδεση (connection oriented). Απαιτούν την εγκατάσταση σταθερής σύνδεσης μεταξύ δύο οντοτήτων Υπηρεσίες μη προσανατολισμένες σε σύνδεση (connectionless). Δεν απαιτούν εγκατάσταση σύνδεσης τα μηνύματα μεταδίδονται αυτόνομα 31/87
Φυσικό επίπεδο (Physical layer) Ασχολείται με τη μετάδοση των bits μέσω επικοινωνιακών διαύλων Ρύθμιση της στάθμης των Volts που αντιπροσωπεύει ένα bit bt Θέματα υλικού, όπως ο αριθμός ακίδων κάθε συνδετήρα δικτύου, η σημασία καθεμιάς από αυτές κλπ. 32/87
Επίπεδο Ζεύξης Δεδομένων (Data Link) Ασχολείται με τη- χωρίς σφάλματα - μετατροπή επικοινωνιακού διαύλου σε ζεύξη Τεμαχισμός δεδομένων εισόδου σε πλαίσια (data frames) Επανεκπομπή πλαισίου σε περίπτωση απώλειας λόγω θορύβου Πρόληψη συμφόρησης 33/87
Επίπεδο Δικτύου (Network kl layer) Μετατρέπει πηγαία μηνύματα σε πακέτα και τα κατευθύνει στον προορισμό τους Καθορισμός με βάση στατιστικούς πίνακες Στατικά,, στην αρχή κάθε συνόδου Δυναμικά, λαμβάνοντας υπόψη την πραγματική κίνηση Αντιμετώπιση συμφορήσεων τήρηση λογιστικών στοιχείων κίνησης 34/87
Επίπεδο Μεταφοράς (Transport layer) Παραλαμβάνει δεδομένα από το επίπεδο συνόδου Τα τεμαχίζει, τα προωθεί στο επίπεδο δικτύου, Εξασφαλίζει τη σωστή σειρά άφιξής τους Δημιουργεί μία σύνδεση επιπέδου 3, για κάθε σύνδεση επιπέδου 4 του επιπέδου συνόδου 35/87
Επίπεδο Συνόδου (Session layer) Αποτελεί τη διεπαφή του χρήστη με το δίκτυο Αναλαμβάνει την εγκατάσταση σύνδεσης Αναλαμβάνει αυθεντικοποίηση μερών, αν αυτό απαιτείται Ρυθμίζει μζ τεχνικής ήςφύσης επιλογές γς μονόδρομη ή αμφίδρομη επικοινωνία Αποφασίζει για την ομαδοποίηση μηνυμάτων παράδοση συνολικά ομάδας μηνυμάτων (εφαρμογή σε δοσοληψίες transactions) 36/87
Αώ Ανώτερα επίπεδα OSI Επίπεδο παρουσίασης (Presentation Layer) Επιτελεί λειτουργίες που χρειάζονται συχνά για όλους τους χρήστες Επιτελεί λειτουργίες που εκτελούνται από ρουτίνες βιβλιοθήκης ή ενσωματώνονται στο λειτουργικό σύστημα (π.χ. συμπίεση) Επίπεδο Εφαρμογής (Application Layer) Τα περιεχόμενά του εξαρτώνται από το συγκεκριμένο χρήστη π.χ. η διαφάνεια (transparency) δικτύου, δηλαδή η απόκρυψη θέσης πόρων από τους χρήστες 37/87
Επικοινωνία μεταξύ επιπέδων 38/87
Μετατροπή μηνύματος μ στα διάφορα επίπεδα 39/87
Φορείς Προτύπων στο Internet t 40/87
Τεχνικοί φορείς (1/2) Internet Society ISOC. Διεθνής μη κερδοσκοπικός οργανισμός με στόχο την προώθηση του Internet για έρευνα, επικοινωνία, συνεργασία Internet Architecture Board IAB. Προσδιορίζει και προτείνει πολιτικές και τεχνολογίες Internet Research Task Force (IRTF). Ασχολείται με ερευνητικά θέματα. Εποπτεύει Research Groups που μελετούν πρωτόκολλα, εφαρμογές, αρχιτεκτονικές και τεχνολογίες Internet. 41/87
Τεχνικοί φορείς (2/2) Internet Engineering Task Force (IETF). Ασχολείται με ανάπτυξη πρωτοκόλλων, ων, υπηρεσιών και τεχνικών προδιαγραφών Οργανώνεται σε πεδία έρευνας (Technical areas) και Ομάδες εργασίας (Working Groups) Internet Assigned Numbers Authority IANA RFC Editor 42/87
Κατηγοριοποίηση εγγράφων Internet Drafts. Καλύπτουν τεχνικά θέματα όπως πρωτόκολλα, προδιαγραφές για δοκιμαστική περίοδο έξι μηνών, μετά την οποία μπορούν να γίνουν RFCs Requests For Comments (RFC). Καταγράφουν επίσημα πρότυπα στο Internet μετά από έγκριση του RFC Editor και του ΙΑΒ. Διακρίνονται σε: Internet Standards STD Best Current Practice BCP 43/87
Διαδικασία προτυποποίησης 44/87
Υιοθέτηση η αρχιτεκτονικής Ασφάλειας στο OSI/ISO To 1989 η ασφάλεια έγινε τμήμα του ISO/IEC 7498 (ISO/OSI) To 1990 η IRTF υιοθέτησε την ασφάλεια OSI ως Internet Draft Το 1991 η αρχιτεκτονική αυτή υιοθετήθηκε στο X-800 (ITU-T) 45/87
Υπηρεσίες Ασφάλειας Στην αρχιτεκτονική ασφάλειας OSI οι υπηρεσίες διαχωρίζονται σε πέντε κλάσεις: Αυθεντικοποίησης Ελέγχου πρόσβασης Εμπιστευτικότητας Ακεραιότητας δεδομένων Μη αποποίησης 46/87
Αθ Αυθεντικοποίηση Αποδεικνύει την ταυτότητα οντότητας και εξασφαλίζει τη γνησιότητα μηνυμάτων Αυθεντικοποίηση Ομότιμης Οντότητας (Peer Entity Authentication). Μία οντότητα δεν μπορεί να προσποιηθεί θίότι είναι μία άλλη Αυθεντικοποίηση Προέλευσης δεδομένων (Data Origin Authentication). Η πηγή προέλευσης μηνύματος είναι αυτή που ισχυρίζεται. 47/87
Έλεγχος προσπέλασης (Access Control) Παρέχει προστασία χρήσης πόρων του συστήματος, από μη εξουσιοδοτημένες οντότητες. Συνεργάζεται με τις υπηρεσίες αυθεντικοποίησης. 48/87
Εμπιστευτικότητα (1/2) Εγγυάται ότι τα δεδομένα δεν αποκαλύπτονται σε μη εξουσιοδοτημένες οντότητες Εμπιστευτικότητα Σύνδεσης (Connection Confidentiality Service). Παρέχει εμπιστευτικότητα των προς μετάδοση δεδομένων Εμπιστευτικότητας μη Εγκατεστημένης Σύνδεσης (Connectionless Confidentiality Service). Παρέχει ρχ εμπιστευτικότητα μμ μεμονωμένων μ τμημάτων δεδομένων 49/87
Εμπιστευτικότητα (2/2) Υπηρεσία Εμπιστευτικότητας Επιλεγμένου Πεδίου (Selected Field Confidentiality Service). Παρέχει εμπιστευτικότητα συγκεκριμένων πεδίων στα δεδομένα μιας σύνδεσης ή σε μεμονωμένα τμήματά τους Υπηρεσία Εμπιστευτικότητας Ροής Κίνησης (Traffic Flow Confidentiality Service). Παρέχει προστασία από επιθέσεις τύπου ανάλυσης κίνησης 50/87
Ακεραιότητα Δεδομένων (Data Integrity) (1/3) Εξασφαλίζει τη μη τροποποίηση των δεδομένων από μη-εξουσιοδοτημένους χρήστες. Υπηρεσία Ακεραιότητας Σύνδεσης με αποκατάσταση (Connection Integrity Service With Recovery). Εξασφαλίζει ακεραιότητα και παρέχει παράλληλα δυνατότητα ανάκτησης Υπηρεσία Ακεραιότητας Σύνδεσης Χωρίς Αποκατάσταση (Connection Integrity Service Without Recovery). Παρέχει μόνον ακεραιότητα δεδομένων 51/87
Ακεραιότητα Δεδομένων (Data Integrity) (2/3) Υπηρεσία Ακεραιότητας Σύνδεσης Επιλεγμένου Πεδίου (Selected Field Connection Integrity Service). Παρέχει ακεραιότητα μεμονωμένων πεδίων δεδομένων Υπηρεσία Ακεραιότητας Άνευ Εγκατάστασης Σύνδεσης (Connectionless Integrity Service). Παρέχει ακεραιότητα μεμονωμένων τμημάτων δεδομένων 52/87
Ακεραιότητα Δεδομένων (Data Integrity) (3/3) Υπηρεσία Ακεραιότητας Επιλεγμένου Πεδίου Άνευ Εγκατάστασης Σύνδεσης (Selected Field Connectionless Integrity Service). Παρέχει ακεραιότητα συγκεκριμένων πεδίων σε μεμονωμένα μμ μ τμήματα δεδομένων 53/87
Μη αποποίηση Μη αποποίηση με Απόδειξη Προελεύσεως (Non - Repudiation With Proof Of Origin). Παρέχει πιστοποίηση προέλευσης των ληφθέντων μηνυμάτων μ Μη αποποίηση με Απόδειξη Παραδόσεως (Non-Repudiation With Proof Of Delivery). Παρέχει πιστοποίηση παράδοσης μηνυμάτων στον αποστολέα 54/87
Υπηρεσίες Ασφάλειας ανά επίπεδο OSI 55/87
Καθορισμένοι μηχανισμοί μ Ασφάλειας (Specific Security Mechanisms) (1/3) Κρυπτογραφία. Προσφέρει εμπιστευτικότητα στα δεδομένα, υποστηρίζοντας μηχανισμούς ασφάλειας Ψηφιακές Υπογραφές. Παρέχουν το ηλεκτρονικό ανάλογο της ιδιόχειρης υπογραφής Μηχανισμοί Ελέγχου Πρόσβασης. Με χρήση αυθεντικοποίησης παρέχουν έλεγχο προσπέλασης σε πόρους συστημάτων-δικτύων Μηχανισμοί Ακεραιότητας Δεδομένων (data Integrity Mechanisms). Διαφυλάττουν την ακεραιότητα των δεδομένων που μεταδίδονται 56/87
Καθορισμένοι μηχανισμοί μ Ασφάλειας (Specific Security Mechanisms) (2/3) Μηχανισμοί Ανταλλαγής Αυθεντικοποίησης (Authentication Exchange Mechanisms). Χρησιμοποιούνται για την αμοιβαία επιβεβαίωση της ταυτότητας των οντοτήτων Μηχανισμοί Επιπρόσθετης Κίνησης. Προστασία από traffic analysis (Onion routing) Ισχυροί: Χρήση κρυπτογραφίας Ασθενείς: Χωρίς χρήση κρυπτογραφίας 57/87
Καθορισμένοι μηχανισμοί μ Ασφάλειας (Specific Security Mechanisms) (3/3) Μηχανισμοί Ελέγχου Δρομολόγησης (Routing control mechanisms). Καθιστούν εφικτή την επιλογή συγκεκριμένης πορείας για τα μεταδιδόμενα δεδομένα Μηχανισμοί ίσυμβολαιογράφου (Notarisation ti Mechanisms). Χρησιμοποιούνται για να διασφαλίσουν ιδιότητες των μεταδιδόμενων δεδομένων (μέσω Έμπιστων Τρίτων Οντοτήτων) Aκεραιότητα, προέλευση και προορισμός 58/87
ιεισδυτικοί Μηχανισμοί Ασφάλειας (Pervasive Security Mechanisms) (1/3) Χαρακτηρίζουν το απαιτούμενο επίπεδο ασφάλειας 59/87
ιεισδυτικοί Μηχανισμοί Ασφάλειας (Pervasive Security Mechanisms) (2/3) Έμπιστη Λειτουργικότητα (Trusted Functionality). Χρησιμοποιείται είτε για να επεκτείνει το εύρος, είτε την αποτελεσματικότητα άλλων μηχανισμών ασφάλειας Ετικέτες Ασφάλειας (Security Labels). Διασυνδέονται με πόρους του συστήματος Ανίχνευση Συμβάντων (Event Detection). Σχετίζεται με την ασφάλεια - μπορεί να χρησιμοποιηθεί για να ανιχνεύσει παραβιάσεις ασφάλειας 60/87
ιεισδυτικοί Μηχανισμοί Ασφάλειας (Pervasive Security Mechanisms) (3/3) Αρχείο Καταγραφής Συμβάντων Ασφάλειας (Audit Trail Security). Καταγραφής των δραστηριοτήτων του συστήματος, Με σκοπό τον έλεγχο συστήματος, την ανίχνευση παραβιάσεων και πραγματοποίηση α οίη η αλλαγών Ανάκτηση Ασφάλειας (Security Recovery). Ασχολείται με αιτήσεις μηχανισμών όπως για παράδειγμα των λειτουργιών διαχείρισης συμβάντων Μέτρα ανάκτησης μετά την εφαρμογή ενός συνόλου κανόνων 61/87
Διαχείριση Ασφάλειας (1/2) 62/87
Διαχείριση Ασφάλειας (2/2) Διαχείριση Ασφάλειας Συστήματος (System Security Management). Αφορά στη διαχείριση του δικτυακού περιβάλλοντος στο σύνολό του Διαχείριση Ασφάλειας Υπηρεσιών (Security Service Management). Παρεμβολή μηχανισμών ασφάλειας με χρήση λειτουργιών διαχείρισης ασφάλειας Διαχείριση Μηχανισμού Ασφάλειας (Security Mechanism Management). Αφορά στη διαχείριση των μηχανισμών μ ασφάλειας 63/87
Δίκτυα Υπολογιστών: Βασικά Θέματα και θέματα Ασφάλειας Ερωτήσεις... 64/64