Ewolucja zabezpieczeń w sieciach TCP/IP

Plan prezentacji
Politechnika Warszawska
Instytut Telekomunikacji
• Ewolucja zabezpieczeń:
– ewolucja systemów zabezpieczeń (zastosowanie,
klasyfikacja, działanie, wady i zalety)
Ewolucja zabezpieczeń
w sieciach TCP/IP
• ściany przeciwogniowe
• systemy wykrywania włamań
• współpraca systemów
– ewolucja protokołów zabezpieczeń i rozszerzeń
aplikacji (zastosowanie, cechy)
Krzysztof Szczypiorski, Piotr Kijewski
• warstwa sieciowa
• warstwa transportowa
• warstwa usługowa
e-mail:{K.Szczypiorski,P.Kijewski}@tele.pw.edu.pl
– w podsumowaniu: inne trendy
NETSEC’99 - Katowice, 20-21 maja 1999
Szczypiorski, Kijewski - IT
PW
Ewolucja zabezpieczeń w sieciach TCP/IP
2
Ewolucja systemów zabezpieczeń
Ściany przeciwogniowe (firewalls)
Zastosowanie
Klasyfikacja. Działanie.
Usługi ochrony informacji:
FW:
kontrola dostępu + inne
IDS:
audyt
Application level-gateway
(Intrusion Detection System system wykrywania włamań)
Warstwa usługowa
Prymitywny
gateway
Warstwa transportowa
Proxy
przezroczyste
Circuit level
gateway
Warstwa sieciowa
Warstwa łÿcza danych
Proxy
nieprzezroczyste
Prymitywny
filtr pakietów
Pasywny
filtr pakietów
Adaptacyjny
firewall
Aktywny
filtr pakietów
Filtry pakietów
Metody komplementarne
IDS
Szczypiorski, Kijewski - IT
PW
Ewolucja zabezpieczeń w sieciach TCP/IP
= sensor IDS
3
Szczypiorski, Kijewski - IT
PW
Ewolucja zabezpieczeń w sieciach TCP/IP
4
Ściany przeciwogniowe (firewalls)
Systemy wykrywania włamań (IDS)
Zalety i wady
Działanie IDS na bazie architektury Common Intrusion Detection Framework
Filtr pakietów
Application level gateway
zalety • szybkość w działaniu – znikomy • brak bezpośrednich połączeń
wpływ na obciążenie węzła i
spadek przepływności
• elastyczność
•
•
•
•
wady • brak możliwości
uwierzytelnienia
• nie rozumie protokołu warstwy
aplikacji
• bezpośrednia komunikacja z
siecią chronioną
• elastyczność
• trudna konfiguracja
•
•
Circuit level gateway
• brak bezpośrednich
połączeń
przezroczystość
• przezroczystość
możliwość uwierzytelnienia
analiza zawartości informacyjnej – • możliwość
uwierzytelnienia
wydanych poleceń itp.,
• szybszy od application
rozbudowane możliwości
level gateway
logowania
wolniejszy od filtrów pakietów i
• wolniejszy od filtrów
od circuit level gateway
pakietów
brak wsparcia dla nowszych
• nie rozumie protokołu
protokołów (do czasu napisania
warstwy aplikacji
odpowiednich modułów)
Wynik: Reakcja na zdarzenia systemowe
Adaptacyjny firewall
• zalety pozostałych
trzech klas
Jednostki
reaguj ce
(R-boxes)
Wynik: zdarzenia
systemowe na
wysokim poziomie
• nadmiar elastyczności
(możliwe ustawienie
słabszego trybu
zabezpieczenia)
Wynik: składowanie zdarze
Analizatory
zdarzeÿ
(A-boxes)
Bazy danych
(D-boxes)
Generatory
zdarzeÿ
systemowych
(E-boxes)
Wynik: zdarzenia systemowe
na niskim poziomie
Perspektywy rozwoju? (rozbudowa wsparcia dla VPN, NAT;VirusWall)
ÿródło zdarze zewn trznych
Szczypiorski, Kijewski - IT
PW
Ewolucja zabezpieczeń w sieciach TCP/IP
5
Szczypiorski, Kijewski - IT
PW
Ewolucja zabezpieczeń w sieciach TCP/IP
6
Systemy wykrywania włamań (IDS)
Systemy wykrywania włamań (IDS)
Klasyfikacja
Zalety i wady
IDS bazujący na
systemie
operacyjnym hosta
Podział ze względu na umiejscowienie E-box:
ÿródło zdarze zewn trznych:
zalety
Proxy
przezroczyste
Host based
Warstwa usługowa
bazujÿce na systemie operacyjnym hosta
System based
Application based
WAN based
(”IDMEP”)
• obserwuje i interpretuje
zdarzenia w kontekście
znanego systemu
operacyjnego albo
aplikacji
Warstwa transportowa
wady
Warstwa sieciowa
Network based
bazujÿce na sieci
Warstwa łÿcza danych
Traffic based
Content based
Podział ze względu na sposób analizy danych (A-box):
• IDS wykrywające anomalie (czyli zachowania niezgodne z przyjętymi zasadami)
• IDS wykrywające nadużycia (czyli konkretny atak na system)
Szczypiorski, Kijewski - IT
PW
Ewolucja zabezpieczeń w sieciach TCP/IP
7
• nie obserwuje warstw
niższych
• trudno monitoruje całe
podsieci
• (potencjalnie) generuje
dużo logów
IDS bazujący na sieci
• łatwo monitoruje całe podsieci
• obserwuje i interpretuje zdarzenia na najniższej warstwie
sieci
Traffic based
IDS wykrywający
IDS
anomalie
wykrywający
nadużycia
• może wykrywać
nieznane ataki
• może
wykrywać
znane ataki i
ich warianty
• potencjalnie duża
ilość fałszywych
ataków - trudny
dobór odpowiednich
parametrów pracy
• możliwość
"szkolenia" systemu
przez atakującego
• może
wykrywać
tylko znane
ataki
Content based
• generuje małą ilość logów
• wykrywa więcej ataków
• nie ingeruje w prywatność
niż traffic based
sesji
(analizuje zawartość)
• trudno określić co się dzieje na docelowej stacji
• podatne na takie ataki typu odmowa usługi, modyfikacja
• strata pakietów przy większym obciążeniu sieci
Perspektywy rozwoju (”IDMEP*”, problemy z zaszyfrowanym strumieniem danych)
Współpraca ze ścianami przeciwogniowymi.
*IDMEP = Intrusion Detection Message Exchange Protocol
Szczypiorski, Kijewski - IT
PW
Ewolucja zabezpieczeń w sieciach TCP/IP
8
Ewolucja protokołów zabezpieczeń
Ewolucja w poszczególnych warstwach
Ewolucja poszczególnych warstw modelu sieci TCP/IP
2
Warstwa usługowa
zmiana/wzbogacenie protokołów
np. S-HTTP
• IPv6/IPsec - Authentication Header, Encapsulating Security Payload,
Internet Key Exchange
• np. Secure-TCP???
• TLS/SSL
4
HTTP
SMTP
NNTP
...
FTP
Warstwa usługowa
Warstwa usługowa
Podwarstwa poÿrednicz ca
SSL/TLS
np. HTTP, FTP, SMTP
Warstwa transportowa
3
3
Warstwa transportowa
Transport Layer Security
TLS Handshake Protocol
TCP
TLS Record Protocol
Handshake
protocol
Alert
protocol
Change
cipher
spec
protocol
TCP,UDP
IPv6, IPsec
IP
PEM, PGP
2
SMTP
S/MIME
NNTP
S-HTTP
HTTP
OTP
...
FTP
4
SSH
DNSSEC
Protokoły
zdalnej
pracy
DNS
Warstwa usługowa
Szczypiorski, Kijewski - IT
PW
Ewolucja zabezpieczeń w sieciach TCP/IP
9
Szczypiorski, Kijewski - IT
PW
Ewolucja zabezpieczeń w sieciach TCP/IP
Podsumowanie
• zabezpieczenia podążają dwiema drogami:
– specjalistyczne systemy ochrony informacji
• status ścian przeciwogniowych wydaje się być stabilny
• systemy wykrywania włamań czeka:
– migracja w stronę sieci WAN
– zwiększenie funkcjonalności poprzez skoordynowanie pracy na poziomie sieci i aplikacji
– analizowane danych z różnych źródeł
– nowe protokoły zabezpieczeń i rozszerzenia aplikacji
KONIEC
• TLS, w mniejszym stopniu IPv6/IPsec
– żadna z dróg nie wyeliminuje drugiej (FW vs. IPv6)
• inne trendy:
Czy mają Państwo pytania?
− ujednolicenie systemów certyfikacji klucza publicznego
− nowa generacja protokołów zarządzania
− rozwój komunikacji grupowej
• zabezpieczeniach w sieciach TCP/IP a zabezpieczenia w
innych sieciach telekomunikacyjnych:
• rozwiązania pierwotne
• np. IDS vs. Fraud Management System (system zarządzania nadużyciami)
Szczypiorski, Kijewski - IT
PW
Ewolucja zabezpieczeń w sieciach TCP/IP
11
10
Literatura
• IDS:
– J. Balasubraminiyan, J. Garcia-Fernandez, D. Isacoff, E. Spafford, D. Zamboni
- An Architecture for Intrusion Detection using Autonomous Agents - COAST
Technical Report 98/05 - June 1998
– P. Porras, D. Schnackenberg, S. Staniford-Chen i in. - The Common Intrusion
Detection Framework Architecture - 1997
– T. Ptacek, T. Newsham - Insertion, Evasion and Denial of Service: Eluding
Network Intrusion Detection - Secure Networks Inc., January 1998
•
•
•
•
•
•
•
•
•
•
TLS 1.0 - RFC 2246
IPv6/IPsec - RFC 2401, 2402, 2406, 2409
bezpieczny DNS - RFC 2535
PGP - RFC 1991
PEM - RFC 1421-1424
SNMPv3 - RFC 2264
S/MIME - RFC 2311-2312
SSH - http://www.ietf.org/html.charters/secsh-charter.html
S-HTTP - http://www.ietf.org/html.charters/wts-charter.html
OTP - RFC 2289, 2243-2244
Szczypiorski, Kijewski - IT
PW
Ewolucja zabezpieczeń w sieciach TCP/IP
13