Ewolucja zabezpieczeń w sieciach TCP/IP
Transkrypt
Ewolucja zabezpieczeń w sieciach TCP/IP
Plan prezentacji Politechnika Warszawska Instytut Telekomunikacji • Ewolucja zabezpieczeń: – ewolucja systemów zabezpieczeń (zastosowanie, klasyfikacja, działanie, wady i zalety) Ewolucja zabezpieczeń w sieciach TCP/IP • ściany przeciwogniowe • systemy wykrywania włamań • współpraca systemów – ewolucja protokołów zabezpieczeń i rozszerzeń aplikacji (zastosowanie, cechy) Krzysztof Szczypiorski, Piotr Kijewski • warstwa sieciowa • warstwa transportowa • warstwa usługowa e-mail:{K.Szczypiorski,P.Kijewski}@tele.pw.edu.pl – w podsumowaniu: inne trendy NETSEC’99 - Katowice, 20-21 maja 1999 Szczypiorski, Kijewski - IT PW Ewolucja zabezpieczeń w sieciach TCP/IP 2 Ewolucja systemów zabezpieczeń Ściany przeciwogniowe (firewalls) Zastosowanie Klasyfikacja. Działanie. Usługi ochrony informacji: FW: kontrola dostępu + inne IDS: audyt Application level-gateway (Intrusion Detection System system wykrywania włamań) Warstwa usługowa Prymitywny gateway Warstwa transportowa Proxy przezroczyste Circuit level gateway Warstwa sieciowa Warstwa łÿcza danych Proxy nieprzezroczyste Prymitywny filtr pakietów Pasywny filtr pakietów Adaptacyjny firewall Aktywny filtr pakietów Filtry pakietów Metody komplementarne IDS Szczypiorski, Kijewski - IT PW Ewolucja zabezpieczeń w sieciach TCP/IP = sensor IDS 3 Szczypiorski, Kijewski - IT PW Ewolucja zabezpieczeń w sieciach TCP/IP 4 Ściany przeciwogniowe (firewalls) Systemy wykrywania włamań (IDS) Zalety i wady Działanie IDS na bazie architektury Common Intrusion Detection Framework Filtr pakietów Application level gateway zalety • szybkość w działaniu – znikomy • brak bezpośrednich połączeń wpływ na obciążenie węzła i spadek przepływności • elastyczność • • • • wady • brak możliwości uwierzytelnienia • nie rozumie protokołu warstwy aplikacji • bezpośrednia komunikacja z siecią chronioną • elastyczność • trudna konfiguracja • • Circuit level gateway • brak bezpośrednich połączeń przezroczystość • przezroczystość możliwość uwierzytelnienia analiza zawartości informacyjnej – • możliwość uwierzytelnienia wydanych poleceń itp., • szybszy od application rozbudowane możliwości level gateway logowania wolniejszy od filtrów pakietów i • wolniejszy od filtrów od circuit level gateway pakietów brak wsparcia dla nowszych • nie rozumie protokołu protokołów (do czasu napisania warstwy aplikacji odpowiednich modułów) Wynik: Reakcja na zdarzenia systemowe Adaptacyjny firewall • zalety pozostałych trzech klas Jednostki reaguj ce (R-boxes) Wynik: zdarzenia systemowe na wysokim poziomie • nadmiar elastyczności (możliwe ustawienie słabszego trybu zabezpieczenia) Wynik: składowanie zdarze Analizatory zdarzeÿ (A-boxes) Bazy danych (D-boxes) Generatory zdarzeÿ systemowych (E-boxes) Wynik: zdarzenia systemowe na niskim poziomie Perspektywy rozwoju? (rozbudowa wsparcia dla VPN, NAT;VirusWall) ÿródło zdarze zewn trznych Szczypiorski, Kijewski - IT PW Ewolucja zabezpieczeń w sieciach TCP/IP 5 Szczypiorski, Kijewski - IT PW Ewolucja zabezpieczeń w sieciach TCP/IP 6 Systemy wykrywania włamań (IDS) Systemy wykrywania włamań (IDS) Klasyfikacja Zalety i wady IDS bazujący na systemie operacyjnym hosta Podział ze względu na umiejscowienie E-box: ÿródło zdarze zewn trznych: zalety Proxy przezroczyste Host based Warstwa usługowa bazujÿce na systemie operacyjnym hosta System based Application based WAN based (”IDMEP”) • obserwuje i interpretuje zdarzenia w kontekście znanego systemu operacyjnego albo aplikacji Warstwa transportowa wady Warstwa sieciowa Network based bazujÿce na sieci Warstwa łÿcza danych Traffic based Content based Podział ze względu na sposób analizy danych (A-box): • IDS wykrywające anomalie (czyli zachowania niezgodne z przyjętymi zasadami) • IDS wykrywające nadużycia (czyli konkretny atak na system) Szczypiorski, Kijewski - IT PW Ewolucja zabezpieczeń w sieciach TCP/IP 7 • nie obserwuje warstw niższych • trudno monitoruje całe podsieci • (potencjalnie) generuje dużo logów IDS bazujący na sieci • łatwo monitoruje całe podsieci • obserwuje i interpretuje zdarzenia na najniższej warstwie sieci Traffic based IDS wykrywający IDS anomalie wykrywający nadużycia • może wykrywać nieznane ataki • może wykrywać znane ataki i ich warianty • potencjalnie duża ilość fałszywych ataków - trudny dobór odpowiednich parametrów pracy • możliwość "szkolenia" systemu przez atakującego • może wykrywać tylko znane ataki Content based • generuje małą ilość logów • wykrywa więcej ataków • nie ingeruje w prywatność niż traffic based sesji (analizuje zawartość) • trudno określić co się dzieje na docelowej stacji • podatne na takie ataki typu odmowa usługi, modyfikacja • strata pakietów przy większym obciążeniu sieci Perspektywy rozwoju (”IDMEP*”, problemy z zaszyfrowanym strumieniem danych) Współpraca ze ścianami przeciwogniowymi. *IDMEP = Intrusion Detection Message Exchange Protocol Szczypiorski, Kijewski - IT PW Ewolucja zabezpieczeń w sieciach TCP/IP 8 Ewolucja protokołów zabezpieczeń Ewolucja w poszczególnych warstwach Ewolucja poszczególnych warstw modelu sieci TCP/IP 2 Warstwa usługowa zmiana/wzbogacenie protokołów np. S-HTTP • IPv6/IPsec - Authentication Header, Encapsulating Security Payload, Internet Key Exchange • np. Secure-TCP??? • TLS/SSL 4 HTTP SMTP NNTP ... FTP Warstwa usługowa Warstwa usługowa Podwarstwa poÿrednicz ca SSL/TLS np. HTTP, FTP, SMTP Warstwa transportowa 3 3 Warstwa transportowa Transport Layer Security TLS Handshake Protocol TCP TLS Record Protocol Handshake protocol Alert protocol Change cipher spec protocol TCP,UDP IPv6, IPsec IP PEM, PGP 2 SMTP S/MIME NNTP S-HTTP HTTP OTP ... FTP 4 SSH DNSSEC Protokoły zdalnej pracy DNS Warstwa usługowa Szczypiorski, Kijewski - IT PW Ewolucja zabezpieczeń w sieciach TCP/IP 9 Szczypiorski, Kijewski - IT PW Ewolucja zabezpieczeń w sieciach TCP/IP Podsumowanie • zabezpieczenia podążają dwiema drogami: – specjalistyczne systemy ochrony informacji • status ścian przeciwogniowych wydaje się być stabilny • systemy wykrywania włamań czeka: – migracja w stronę sieci WAN – zwiększenie funkcjonalności poprzez skoordynowanie pracy na poziomie sieci i aplikacji – analizowane danych z różnych źródeł – nowe protokoły zabezpieczeń i rozszerzenia aplikacji KONIEC • TLS, w mniejszym stopniu IPv6/IPsec – żadna z dróg nie wyeliminuje drugiej (FW vs. IPv6) • inne trendy: Czy mają Państwo pytania? − ujednolicenie systemów certyfikacji klucza publicznego − nowa generacja protokołów zarządzania − rozwój komunikacji grupowej • zabezpieczeniach w sieciach TCP/IP a zabezpieczenia w innych sieciach telekomunikacyjnych: • rozwiązania pierwotne • np. IDS vs. Fraud Management System (system zarządzania nadużyciami) Szczypiorski, Kijewski - IT PW Ewolucja zabezpieczeń w sieciach TCP/IP 11 10 Literatura • IDS: – J. Balasubraminiyan, J. Garcia-Fernandez, D. Isacoff, E. Spafford, D. Zamboni - An Architecture for Intrusion Detection using Autonomous Agents - COAST Technical Report 98/05 - June 1998 – P. Porras, D. Schnackenberg, S. Staniford-Chen i in. - The Common Intrusion Detection Framework Architecture - 1997 – T. Ptacek, T. Newsham - Insertion, Evasion and Denial of Service: Eluding Network Intrusion Detection - Secure Networks Inc., January 1998 • • • • • • • • • • TLS 1.0 - RFC 2246 IPv6/IPsec - RFC 2401, 2402, 2406, 2409 bezpieczny DNS - RFC 2535 PGP - RFC 1991 PEM - RFC 1421-1424 SNMPv3 - RFC 2264 S/MIME - RFC 2311-2312 SSH - http://www.ietf.org/html.charters/secsh-charter.html S-HTTP - http://www.ietf.org/html.charters/wts-charter.html OTP - RFC 2289, 2243-2244 Szczypiorski, Kijewski - IT PW Ewolucja zabezpieczeń w sieciach TCP/IP 13