IT Arkitektur og Sikkerhed Netværks-, Internet- og applikationssikkerhed

Indhold Authentikering Firewalls Intrusion Detection IPSec

2. Authorization (Adgang) 3. Accounting Username: Password: User 0. Identificati on Jeg er: "Username" asteffen 1.Authentication Bevise at jeg er "Username" ******** Authentication

Hvad du ved (password, PIN, shared secret) Username: aznHu4Um Password: asteffen FaceIris/Retina ScanningFingerprintVoice Hvad du har (Token, Smartcard, Certifikat, Scratch List Hvad du er (Bilogisk pattern, f.eks. ffingeraftryk) 01 Z4GH 06 IKDX 02 67TS 07 9PL7 03 UR2A 08 NFLB 04 TIQV 09 K91D 05 3Z5P 10 HA85 Typer af Authentikering

Physical Security Perimeter Direkte Authentication Password kan blive sniffet Mest til små sites? Authentication Mechanism Access Control Mechanism SysAdmin

Problem???

Indirekte Authentication Bruges ofte med one-time passwords, F.eks. RSA‘s SecureID Ved hjælp af Extensible Authentication Protocol (EAP) supporterer radius i dag også andre typer (smartcards, biometrical devices, etc.). RADIUS Agent RADIUS Server user: jdoe pw: asdf Brugeren vil gerne have adgang til en server eller ressource logon at... or access denied Access Request Access-Accept or Access-Reject Secured Radius Protocol

Eksepmpler på indirekte Remote authentication protocols TACACS+ óg RADIUS Microsoft Windows NT LAN Manager (NTLM) Domain Controllers er authentication servere Kerberos En nøgle distributions protokol der også kan lave authentication Internet Standard, oprindeligt udviklet på MIT Bliver brugt i Windows 2000 og fremefter med det formål at erstatte NTLM

NTLM protokollen Windows NT LAN Manager er en propritær Microsoft standard Meget typisk eksempel på en Challenge-Response protocol. User Alice Server Domain Controller (DC) Domain:Wonderland Username:Alice Password:2Uh7& Alice 51ff1d83 f68ba0537 OK H: Hash function E(x, k): Encryption of x with key k H(2Uh7&) = Key A E(f68ba0537, Key A ) = 51ff1d83 User Alice: Key A Alice, f68ba0537, 51ff1d83 Challenge: f68ba0537 E(f68ba0537, Key A ) = 51ff1d83 Comparison with 51ff1d83 – ok?

Kerberos

Off-line authentication F.eks. af browser til verifikation af server Check af credentials off-line F.eks. public keys til verifikation af digitale signaturer

Biometriske passwords Sammenligner brugers biometriske data med tidligere pattern False Acceptance Rate (FAR) måler sandsynligheden for et falsk match. VIGTIGT!

Biometriske passwords

Hvor stærke er de forskellige (ellers)?

Forskellige typer firewall’s Packet Filtering Stateful Inspection Application-Layer Internet

Sammenhæng med OSI Typiske netværks firewall Applikations firewall

Content scanner Typisk ikke ”stand-alone” firewall men i sammenhæng med firewall (ICAP) ”Højere” end application layer Tjekker for data i f.eks. HTTP eller SMTP strøm. Kunne være ting som: Virus scanning Java/ActiveX Ord Downlaod af ulovlige filtyper Screening for P2P, Messaging etc.

Firewalls – Ekstra sikkert Internet External Firewall LAN Internal Firewall Screened Subnet

Internet LAN Firewall Firewalls – Normal firewall design

Trafik, der ikke kommer gennem den Malicious trafik, som kommer på en åben port, og som ikke tjekkes på applikationslaget Malicious krypteret trafik på en lovlig port Angreb efter at et netværk er kompromiteret Trafik, der ser legitim ud Brugere, der kommer til at installere en virus Hvad beskytter en firewall ikke mod?

Gode principper ved valg af firewall Minimum to lag firewall Firewall lag bør være af forskellig fabrikat - Cisco, CheckPoint, CyberGuard etc.) Firewall bør være forskellig type - netværks firewall (stateful inspection), applikations firewall (i.e. ikke circuit- level) Ingen direkte sessioner. Alle sessioner til og fra internt netværk termineres/proxies i DMZ Alle udgående sessioner SKAL authentikeres (Kerberos, Certifikat etc.)

Gode principper ved valg af firewall Udgående WWW sessioner SKAL content checkes (virus, kode, SSL osv.) Indgående sessioner skal anvende stærk authenikering (certifikat/two-factor) Indgående og udgående sessioner og pakker må ikke være krypterede MEDMINDRE de bliver content scannede centralt Indgående sessioner skal gennem application layer filter (check af datastrøm med applikationsforståelse) Intrusion Detection på DMZ + logging af alt på alle sikkerhedskomponenter til central logkonsoliderings server

Hvad er Intrusion Detection? The art of detecting inappropriate, incorrect, or anomalous activity. ID systems that operate on a host to detect malicious activity on that host are called host-based ID systems, and ID systems that operate on network data flows are called network-based ID systems.

HIDS og NIDS Host Based Intrusion Detection System (HIDS) Er typisk noget software installeret på et system Agent-baseret Monitorerer multiple data sources, f.eks. filsystem, meta-data og logfiler Wrapper-baseret Virker som en slags firewall – forbyder eller accepterer forbindelser eller logon baseret på en policy

HIDS og NIDS Network Intrusion Detection System (NIDS) Monitorerer trafik på netværket Reporterer om trafik der ikke ser normal ud Anomaly-baseret Pakkestørrelse, destination, protokoldistribution etc. Kan være svært at lave en god base-line for, hvad “normal” trafik er Signatur-baseret Anvender signatur fra DB Fleste produkter i dag bruger signatur-baserede teknologier

Signaturbaserede NIDS Signaturbaserede Prøver at matche header fields, portnumre, indhold Sniffer trafik Fordele Ingen indlæringskurve Virker out-of-the-box for velkendte angreb Snort har ~1900 signaturer Dragon har ~1700 signaturer Ulemper Nye angreb! Falske positive Nemt at overvinde

Signaturer T A A S IRC:XDCC /5Bxdcc/5Dslt | | | | | | | | | | | | | | | | | SEARCH STRING | | | | | | | EVENT NAME | | | | | | PORT | | | | | | | | COMPARE BYTES | | | | | | | | | DYNAMIC LOG | | | | | BINARY OR STRING | | | | | PROTECTED NETWORKS | | DIRECTION | PROTOCOL

NIDS – Styring Korrelation er vigtigt!!! Brug mange sensorer Et enkelt data opsamlingssted Syslog DBMS Tekstfiler

NIDS – Hvor??? Indenfor firewall’en Mange gange for meget data, men færre falsk positive Udenfor Viser også ting som alligevel bliver afvist NIDS SKAL kunne klare alt data!!!

Intrusion Prevention Skal være in-line Hardware Redundans Er en slags IDS/Firewall hybrid Hogwash

VPN VPN er en privat forbindelse over en åben forbindelse VPN inkludere adgangskontrol og kryptering 31 VPN Internet Acme Site 2

VPN - Typer Remote Access VPN (Tunnel Mode) Bruges til at tilgå et firmas interne netværk fra Internettet 32 Internet Corporate Site

VPN - Typer Site-to-Site VPN (Tunnel Mode) Sammenkobling af kontorer via Internettet 33 Internet Branch Office Corporate Site

VPN - Typer Extranet VPN Opkobling af partnere til firmaets interne netværk fra Internettet 34 Corporate Site Internet Partner #1 Partner #2

VPN - Typer Client/Server VPN (Transport mode) Beskytter sensitive interne ressourcer De fleste angreb inde fra en virksomhed 35 Internet LAN clients Database Server LAN clients with sensitive data

VPN – Hvad består den af? Protokoller Sikkerhed Kryptering Bruger/System kontrol Data kontrol 36

VPN - Protokoller PPTP (Point-to-Point Tunneling Protocol) Kører på OSI Lag 2 og er primært understøttet i Windows verdenen. Baseret på PPP (Point-to-Point Protocol) Benytter proprietær adgangskontrol og kryptering Begrænset support for brugerstyring og også problemer med skalering Kendte svagheder 37

VPN - Protokoller L2PT (Layer 2 Tunelling Protocol) Kombinere og udvider PPTP og L2F (Cisco protokol) Svag adgangskontrol og kryptering Kan ikke bruges alene til enterprise løsninger, men skal kombineres med IPSec 38

VPN - Protokoller IPSec (Internet Protocol Security) Kører på OSI lag 3 Er baseret på Internet standard for VPN Stærk adgangskontrol og kryptering Enterprise løsning med nøgle håndtering IKE og ESP/AH 39

Can use security protocols to encrypt or digitally sign traffic Can use tunnel mode to secure traffic between two networks Can use transport mode to secure traffic between any two hosts Router Tunnel Mode Transport Mode Router IPSec modes

Og så… Til gruppe arbejde