Please download to get full document.

View again

of 25
All materials on our website are shared by users. If you have any questions about copyright issues, please report us to resolve them. We are always happy to assist you.

Halozatbiztonsag-10

Category:

Documents

Publish on:

Views: 0 | Pages: 25

Extension: PDF | Download: 0

Share
Related documents
Description
Hálózatbiztonság
Transcript
    Hálózatbiztonság    –   MÉRÉSI SEGÉDLET    –   Készítette : Fodor Péter   fodorp@david.ttt.bme.hu   Átdolgozta : Pallos B. Richárd  pallos@tmit.bme.hu  verzió 1.0 B udapesti Műszaki és Gazdaságtudományi Egyetem   Távközlési és Médiainformatika Tanszék  2006.   2 Tartalomjegyzék   1 Alapok ................................................................................................................................ 3 1.1 A bizton ságról általában  ............................................................................................. 3 1.2 Kliens-Szerver modell ................................................................................................ 3 1.3 Biztonságos kommunikáció [2]  .................................................................................. 4 1.4 Biztonsági elvek   ......................................................................................................... 4 2 Támadási módszerek   .......................................................................................................... 5 2.1 Belső támadás  ............................................................................................................. 5 2.2 Social Engineering ..................................................................................................... 6 2.3 Külső támadás  ............................................................................................................ 6 2.3.1 Hamisítás alapú támadások   ................................................................................ 6 2.3.2 Szolgáltatás lebénítása (Denial of Service, DoS)  ............................................... 7 2.3.3 Információszerzés  ............................................................................................... 8 3 Védekezési lehetőségek, módszerek   .................................................................................. 8 3.1 Védekezés belső támadás ellen  .................................................................................. 8 3.2 Védekezés külső támadások ellen  .............................................................................. 9 3.2.1 Snifferek ........................................................................................................... 10 3.2.2 Portscanek ........................................................................................................ 10 3.2.3 Távoli operációs rendszer detektálás  (OS fingerprinting) ................................ 11 3.3  Naplózás  ................................................................................................................... 13 4 A hálózati forgalom védelme  ........................................................................................... 13 4.1 Az SSL/TLS protokoll [10] ...................................................................................... 13 4.1.1 SSL kézfogás  .................................................................................................... 14 4.1.2 A szerver hitelesítése  ........................................................................................ 15 4.1.3 A kliens hitelesítése  .......................................................................................... 15 4.1.4 Titkosítási algoritmusok   ................................................................................... 16 5 A Linux operációs rendszer biztonsági megoldásai  ......................................................... 16 5.1 A chroot környezet  ................................................................................................... 16 5.1.1 A chroot támadása  ............................................................................................ 17 5.1.2 A szolgáltatások elzárásának biztonságos megoldása  ...................................... 18 5.2 A Pluggable Authentication Modules (PAM) .......................................................... 18 5.3 Az Access Control List (ACL) ................................................................................. 19 5.4 Az Nmap portscan program ..................................................................................... 20 5.5 A GrSecurity rendszermagfolt ................................................................................. 20 5.5.1 Hozzáférés - vezérlés (ACL)  .............................................................................. 20 5.5.2 Hálózati kiegészítések   ...................................................................................... 21 5.5.3 Rendszer kiegészítések   ..................................................................................... 21 Felkészüléshez feladatok   .......................................................................................................... 22 Mérési feladatok   ....................................................................................................................... 23 Segédletek a mérési feladatokhoz  ............................................................................................ 24 Irodalomjegyzék   ....................................................................................................................... 25   3 „ ha ismerjük az ellenséget és ismerjük magunkat is, akkor száz csatában sem  jutunk veszedelembe; ha azonban nem is merjük az ellenséget, csak magunkat ismerjük, akkor egyszer győzünk, másszor vereséget szenvedünk; és ha sem az ellenséget, sem magunkat nem ismerjük, akkor minden egyes csatában feltétlenül végveszély fenyeget bennünket.”   Szun- Ce: A hadviselés törvényei   1 Alapok   A számítógépes rendszerek bonyolultsági foka egyre inkább nő. Még a legjobb szakemberek sem ismerik részletekbe menően a pontos működési mechanizmusokat, így rendkívül nehéz arról meggyőződni, hogy egy rendszer tényleg úgy működik  -e, ahogy kellene, valóban  biztonságos -e [1].  A mérés során a hálózatbiztonság kiemeltebb kérdéseivel fogunk foglalkozni a teljesség igénye nélkül, szubjektíven kiemelve részeket. A mérésnek nem   célja támadási tippeket - trükkö ket ismertetnie, spe ciális hibák kihasználását megmutatnia, mivel ezen információk nagyon hamar elvesztik értéküket. A mérés sokkal inkább egy átfogó ismerethalmazt tartalmaz, mely igyekszik az elméletben tanult biztonsági szemléletet gyakorlati példákkal kiegészíteni.   1.1 A bizt onságról általában   A biztonságot, mint fogalmat különböző szituációkban különbözőképpen értelmezhetjük. Informatikai rendszerek esetében nem elegendő, hogy egy rendszer jó, működőképes állapotban maradjon, hanem azt is meg kell gátolni, hogy bizalmas információk a rendszeren kívülre jussanak.   Míg a biztonság   fogalma pozitív oldalról közelíti meg a kívánt állapotot, addig a kockázat   gyakorlatiasabb szemlélettel dolgozik: egy adott rendszert fenyegető veszélyeket veszi számba, és az általuk okozott károkat próbálja megbecsülni, összegezni. Informatikai rendszerek esetén  –    mivel a károk áttételesen továbbterjednek, és ez a hatás nehezen mutatható ki pénzben –   a kockázat pontosan nem állapítható meg a gyakorlatban. Ezért inkább csak kockázatelemzés ről, a kockázat csökkentés éről, menedzseléséről szokás beszélni ezen a területen. Az egyes fenyegető tényezők egymáshoz viszonyított kockázatbecslés e az informatikai biztonság területén is jól kijelöli azon leggyengébb láncszemeket, ahol a védelmet célszerű erősíteni.   Általában elmondható, hogy informatikai rendszerek esetén nem létezik tökéletes biztonság. A később bemutatásra kerülő módszerek és gondolatok a tudatos kockázatvállalás jegyében  próbálják megvilágítani a biztonság sarkalatos kérdéseit. A biztonság növelésére irányuló erőfeszítéseknek a biztonságot olyan mértékre kell növelnie, melyet a védendő rendszer megkíván.   1.2 Kliens-Szerver modell Az Interneten keresztül elérhető szolgáltatások a kliens - szerver modell alapján működnek. A szolgáltatást nyújtó üzemeltet egy számítógépet, a szervert, ami a hozzá érkező kéréseket kiszolgálja. A szolgáltatást igénybe vevő felhasználó ehhez a szerverhez csatlakozik a saját számítógépével, a klienssel, általában az Internet hálózatán keresztül. Ebben a modellben a kommunikáció alapja általában az, hogy a kliens üzenetet küld a szervernek, melyben valamilyen feladat elvégzését kéri tőle. Miután a szerver elvégezte a feladatot, visszaküld egy válaszüzenetet.   A mérés során a hálózatbiztonsági kérdések gyökerének a kliens -szerver mod  ellt tekintjük.     4 1.3 Biztonságos kommunikáció  [2] Az, hogy két távoli fél biztonságosan szeretne kommunikálni egymással a konkrét esetektől függően jelentősen eltérő követelményeket is jelenthet. Az, hogy mit tekintünk biztonságosna k nagyon függ az adott szituációtól. Előfordulhat például, hogy a másik fél megbízható azonosítása alapkövetelmény, de lehet, hogy éppen az anonimitás biztosítása a kulcskérdés. Látni fogjuk, hogy a biztonságos kommunikációnak több egymástól függetleníthető és mégis egymással összefüggő összetevője van :    Sértetlenség : Annak garantálása, hogy hibamentesen (változás nélkül ) ér célba egy elküldött üzenet, illetve egy esetleges hiba detektálható, így újraadással javítható.      Hitelesség : A sértetlenség önmagában még nem garantálja, hogy az üzenetet valóban az küldte, akit feltételezünk, pusztán azt, hogy a hálózati továbbítás során nem sérült. A hitelesség a sértetlenségen felül a vevő fél felé garantálja, hogy az adott üzenet a feltételezett küldőtől származik és annak tartalma nem módosult.      Letagadhatatlanság : A letagadhatatlanság a hitelességnél annyival több, hogy ez esetben nem csak a vevő felé, hanem tetszőleges harmadik személy felé is igazolható, hogy egy adott üzenetet (megrendelést, nyilatkozatot) a valódi küldő küldte, tettét letagadni nem tudja. A letagadhatatlanság követelményét csak az úgynevezett aszimmetrikus vagy nyilvános kulcsú kriptográfia módszereivel lehet biztosítani, amikor már a harmadik fél számára is bizonyítható, hogy az aláírást ki készíte tte.    Bizalmasság : A biztonságos kommunikáció kapcsán legtöbben a bizalmasság, avagy titkosság biztosítását értik. Kriptográfiai módszerekkel ugyanis elérhető, hogy olyan formában kódolva továbbítódjon egy üzenet, hogy azt egy támadó lehallgatva, a titkos k  ulcs ismerete nélkül ne értse meg, illetve szigorúbb esetben magának az üzenetnek a tartalmára még valószínűségi alapon se tudjon következtetni.      Távoli azonosítás : A mennyiben két fél személyesen még nem találkozott, illetve kettejük között nincs biztonságos (manipulálhatatlan, lehallgathatatlan) csatorna (pl. személyes találkozó), akkor egyéb módszerekkel, tipikusan külső szereplő(k)  bevonásával kell biztosítani, hogy őket egymásnak biztonságosan mutassák be és a későbbiekben hitelt érdemlően tudják egymást azonosítani. Gyakorlatban a távoli azonosítást az úgynevezett elektronikus igazolványok rendszerével, illetve ezen igazolványok hitelességét biztosító PKI (Public Key Infrastructure) infrastruktúrával oldják meg.   1.4 Biztonsági elvek Titkolózásra alapozott biztonság ( Security Through Obscurity, [3])  a z olyan biztonsági intézkedések összefoglaló neve, amelyek arra építenek, hogy valamilyen információt titokban tartanak a támadók elől. (pl.: egy ismeretlen kódolási eljárás, biztonsági hibák titokban tartása, zárt forráskódra alapozott biztonság). Amennyiben ez a titok kiderül, akkor a biztonság sérül. Az ilyen technikák legjobb esetben is csak kiegészítő védelmi intézkedésnek felelnek meg, a tapasztalat azt mutatja, hogy ez az elv önmagában nem működik. Minden esetben úgy kell összeállítani a biztonsági rendszert, hogy ha a támadó pontosan ismeri a felépítését, akkor se legyen képes áthatolni rajta. Ilyen módszer minden általánosan ismert titkosító eljárás (DES, AES, SHA, stb…), ahol nem az eljárás titokban tartása a biztonság záloga, hanem az, hogy a kulcs ismerete nélkül a titkosított üzenet nem törhető fel ésszerű idő alatt.   A titkolózásra alapozott biztonsággal szemben a Teljes közlés  (Full Disclosure)   elve áll.   Mindent tiltunk, az on kívül, amit kifejezetten engedün k.  G yakorlatban bevett szokás, hogy a bonyolult rendszerek biztonsági szabályozását nem a tiltások oldaláról közelítjük meg. Éppen ellenkezőleg, számba vesszük azon műveleteket, melyeket engedélyezünk, majd a hozzáférés v ezérlést ennek megfelelően úgy építjük fel, hogy minden hozzáférés tiltása után
Similar documents
View more...
Search Related
We Need Your Support
Thank you for visiting our website and your interest in our free products and services. We are nonprofit website to share and download documents. To the running of this website, we need your help to support us.

Thanks to everyone for your continued support.

No, Thanks