Network Security - Universität Freiburg
Transcrição
Network Security - Universität Freiburg
Network Security www.pc24berlin.de/sicherheit.htm Proseminar Thema: Network Security 1 W aru m ist dieses T h em a von In teresse? Albert Ludwigs Universität Freiburg Institut für Informatik Ivo Malenica IT ist Best andt eil des t äglichen Lebens für Behörden, Geldt ransfer, Geschäft sprozesse... Abhängigkeit von diesen Com put ersyst em en bzw. Net zwerken. Ein Ausfall bewirkt weit reichenden Schaden Proseminar Thema: Network Security 2 W aru m ist dieses T h em a von In teresse? Albert Ludwigs Universität Freiburg Institut für Informatik Ivo Malenica Aus dieser Abhängigkeit heraus st ellen sich folgende Fragen: I. Welche Möglichkeit en gibt es, sein Net zwerk zu schüt zen? II. Was sollt e m an beacht en? Proseminar Thema: Network Security 3 Passive und aktive Attacken Albert Ludwigs Universität Freiburg Institut für Informatik Ivo Malenica Aus Dat a and Com put er Com m unicat ions von William St allings m achen wir folgende Eint eilung: P assive A ttacken : I.Abhören: -einer einzelnen Verbindung, -eines ganzen Rechnernet zes. (t ools:Kism ent ,Et hereal/wireshark) II.Analyse des Net zw erksverkehrs (Krypt o-Analyse) Proseminar Thema: Network Security 4 Passive/Aktive Attacken Albert Ludwigs Universität Freiburg Institut für Informatik Ivo Malenica A ktive A ttacken -Manipulat ion des Dat enst rom s -Erzeugen ungült iger Verbindungen -Auft eilung in 4 Typen I.M asqu erade: Verbergen der Ident it ät :Manipulat ion des IP Headers II.R eplay: Erneut es Versenden aufgezeichnet er Dat en.(WEP crack) III. M odifcation of m essages: Abändern von Nachricht en. IV . D en ial of S ervice: St örung des Arbeit sprozesses durch Schwachst ellen.(dienst , OS) Proseminar Thema: Network Security 5 Einsatz von Kryptographie Albert Ludwigs Universität Freiburg Institut für Informatik Ivo Malenica Krypt ographie als Mit t el gegen passive At t acken. I. Sym m et rische Verfahren. II. Asym m et rische Verfahren In dieser Präsent at ion nicht näher bet racht et Proseminar Thema: Network Security 6 Einsatz von Kryptographie S ym Albert Ludwigs Universität Freiburg Institut für Informatik Ivo Malenica m etrisch e V erfah ren Testest St allings:Dat a and Com put er Com m unicat ion Seit e 705 Sender und Em pfänger t eilen gem einsam e Schlüssel Anforderung Proseminar Thema: Network Security 7 E in satz von K ryptograph ie Albert Ludwigs Universität Freiburg Institut für Informatik Ivo Malenica A n w en du n g St allings:Dat a and Com put er Com m unicat ion Seit e 710 nachem pfunden Erschwert passive At t acken und erhöht dam it die Sicherheit im Net z. Traffic Padding unt erst üt zt diese nochm al. Proseminar Thema: Network Security 8 E in satz von K ryptograph ie Albert Ludwigs Universität Freiburg Institut für Informatik Ivo Malenica A n w en du n g e nd-t o-end encrypt ion m it TLS/SSL St allings:Dat a and Com put er Com m unicat ion Seit e 728 SSL ist im OSI/ISO Schicht enm odell über Transport schicht . Biet et höheren unsicheren Dienst en w ie ft p,im ap,ww w,pop,... Verschlüsselung und Aut hent isieren an. Proseminar Thema: Network Security 9 E in satz von K ryptograph ie Albert Ludwigs Universität Freiburg Institut für Informatik Ivo Malenica A n w en du n g TLS ist unt ert eilt in verschiedene Prot okolle St allings:Dat a and Com put er Com m unicat ion Seit e 728 1. 2. 3. 4. SSL Record Prot okoll:Sym m et risches Verschlüsseln SSL Handshake Prot okoll: handelt den verwendet en Schlüssel aus. Alert Prot okoll: Aust ausch von SSL spezifischen Nachricht en Cipher Spec :Dient zum Aufrecht erhalt en der verwendet en Verbindung Proseminar Thema: Network Security 10 F irew alls Albert Ludwigs Universität Freiburg Institut für Informatik Ivo Malenica Firewalls t ragen im m ens zur Sicherheit von Net zen bei. Die Vorschläge und Eint eilung ort ient ieren sich an: ht t p://cone.inform at ik.uni-freiburg.de/t eaching/vorlesung/syst em e-II-s07/folien/syst em e-II-11.ppt N etzw erk F irew alls: Trennung der Net ze. H ost F irew alls: -Überwachung des Syst em s(Traffic,Prozesse). -Schut z von außen wie von innen. Proseminar Thema: Network Security 11 Firewalls Um set zungen : P aketfilter: -Benut zen Inform at ion, die im Header st ehen. In TCP/IP wären das dann = > IP (IPv4) Albert Ludwigs Universität Freiburg Institut für Informatik Ivo Malenica 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |Version| IHL |Type of Service| Total Length | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Identification |Flags| Fragment Offset | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Time to Live | Protocol | Header Checksum | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Source Address | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Destination Address | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Options | Padding | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ TCP Bekannt e Paket filt er: -pf von openBSD -ipfw von freeBSD -ipt ables für Linux 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Source Port | Destination Port | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Sequence Number | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Acknowledgment Number | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Data | |U|A|P|R|S|F| | | Offset| Reserved |R|C|S|S|Y|I| Window | | | |G|K|H|T|N|N| | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Checksum | Urgent Pointer | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Options | Padding | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ http://cone.informatik.unifreiburg.de/teaching/vorlesung/systeme-IIs07/folien/systeme-II-09.ppt • Proseminar Thema: Network Security 12 Firewalls Albert Ludwigs Universität Freiburg Institut für Informatik Ivo Malenica B astion H ost -Spezielle Hochsicherheit ssyst em e. -Dienst angebot für ext ernes Net z. -offenes Ziel http://www.aeria.phil.uni-erlangen.de/photo_html/asterix.jpg Proseminar Thema: Network Security 13 Firewalls Albert Ludwigs Universität Freiburg Institut für Informatik Ivo Malenica P roxy -Um leit ung des Dat enst rom s auf speziellen Rechner -Ant wort en auf alle Anfragen gehen auf Proxy. -Proxy kann cachen -Sicherung durch Cont ent -filt er. -Sicherung durch IDS Syst em e http://www.freetagger.com/wpcontent/uploads/2007/10/proxyserver.png Proseminar Thema: Network Security 14 F irew alls Albert Ludwigs Universität Freiburg Institut für Informatik Ivo Malenica N A T :N etw ork A ddress T ran slation -bei NAT oft gem eint NAT/PAT -Zuweisung einer Adresse für ein ganzes Net z-Segm ent -Oft anzut reffen in IP Net zen -Ext erne Rechner können keine Inform at ion über die innere St rukt ur des Net zes erhalt en. -Alle Rechner im int ernen Rechnernet z wirken wie ein Rechner Proseminar Thema: Network Security http://www.netzmafia.de/skripten/netze/netz8.html 15 Niemand ist sicher Albert Ludwigs Universität Freiburg Institut für Informatik Ivo Malenica Bis jetzt nur Absicherung bet racht et ! Gegenm aßnahm en bei erfolgreichem Angriff. Schadensbegrenzung? Isolat ion? Proseminar Thema: Network Security 16 S creen ed Subnet Albert Ludwigs Universität Freiburg Institut für Informatik Ivo Malenica Firewall Internet http://cone.informatik.unifreiburg.de/teaching/vorlesung/system e-II-s07/folien/systeme-II-11.ppt Bastion Host E xtern es N etz | D M Z | in teres N etz N u tzu n g versch ied en er E lem en te erh öh en die S ich erh eit Proseminar Thema: Network Security 17 Ende Albert Ludwigs Universität Freiburg Institut für Informatik Ivo Malenica Danke für die Aufm erksam keit Gibt es noch Fragen? Proseminar Thema: Network Security 18