Yeni Nesil Ağ Güvenliği

Ebat: px

Şu sayfadan göstermeyi başlat:

Download "Yeni Nesil Ağ Güvenliği"

Kelebek Taşçı
5 yıl önce
İzleme sayısı:

1 Yeni Nesil Ağ Güvenliği Ders Notu 3 TLS, IPsec, Firewall, DDoS, IDS/IPS Mehmet Demirci 1

2 Bugün Taşıma katmanı güvenliği (TLS, SSL) İnternet katmanı güvenliği (IPSec) Kablosuz bağlantı güvenliği Güvenlik duvarları Denial of Service Intrusion Detection 2

3 SSL/TLS SSL ilk olarak Netscape tarafından geliştirildi ve IETF in TLS standardına temel oldu. Webden alışverişin güvenliğine çözüm amacıyla önerildi. Gizlilik Ödeme bilgilerinin başkasının eline geçmemesi Bütünlük Alıcının isteği dışında işlem yapılmaması Kimlik doğrulama Satıcının gerçek ve güvenilir olması 3

4 SSL/TLS SSL/TLS, uygulama katmanının altında çalışır ve uygulamaya güvenli bir taşıma katmanı olarak görünür. Ama TCP gibi taşıma protokollerinde bir değişiklik yapmaz yani onların üstünde çalışır ve TCP özelliklerinden faydalanır. HTTP, SSL/TLS üzerinde çalışında HTTPS olur. 4

5 SSL/TLS TLS te iletişimin başlangıcında kripto bileşenleri seçilir. Bütünlük için hash türü Gizlilik için simetrik şifreleme türü Oturum anahtarı oluşturmak için yöntem Buna el sıkışma protokolü denir. 5

6 SSL/TLS Daha sonra kayıt protokolü (record protocol) taşımayı güvenli hale getirir. Uygulamadan gelen mesajlar Bloklara bölünür. HMAC ile bütünlük kazandırılmış hale getirilir. Simetrik anahtarlı algoritmayla şifrelenir. TCP ye gönderim için iletilir. 6

7 IPsec Birçok protokolü barındıran bir çerçeve (framework) IPv4 da isteğe bağlı, IPv6 te zorunlu. Modüler: Kullanıcı/admin farklı algoritma ve protokollerden istediğini seçebilir. Özellik seçimi yapılabilir. Bütünlük, kimlik doğrulama vs. Etki kapsamı seçimi yapılabilir. Tek bir uçtan uca akış veya iki yönlendirici arasındaki tüm paketler gibi. 7

8 IPsec IPSec te iki protokol vardır: Authentication Header (AH) ve Encapsulating Security Payload (ESP). AH pek kullanılmaz, ESP kullanılır. ESP de erişim denetimi, mesaj bütünlüğü, kimlik doğrulama ve gizlilik vardır. Altta Security Association (SA) denen tek yönlü bir bağlantı vardır. 8

9 IPsec Her SA iki moddan birinde çalışır. 1. Taşıma (transport) modu IP paketinin sadece payload kısmı şifrelenir/hashlenir. Başlık değişmez. ESP payloadu alıp üst protokole iletir. 2. Tünel (tunnel) modu IP paketinin bütünü şifrelenir/hashlenir ve başka bir IP paketi içine koyulur (encapsulation). VPN veya uzaktan kullanıcı erişimi gibi sistemlerde kullanılır. 9

10 Kablosuz Bağlantı Güvenliği Fiziksel güvenlik konrolleri geçerli olmadığından kablosuz bağlantılar saldırılara daha açıktır için ilk güvenlik tekniklerinden biri olan WEP, ciddi açıkları yüzünden kolayca kırılabilir. Onun yerine WPA ve WPA2 getirilmiştir. 10

11 Kablosuz Bağlantı Güvenliği: WPA2 Kablosuz cihaz ile erişim noktası (AP) arasında paroladan üretilen bir ana anahtar (master key) bulunur. Mode 1 AP, bir AS (auth. server) ile bağlantılı çalışır, cihaz ile AS arasındaki EAP (extensible auth. protocol) mesajlarını iletir. AS, Pairwise Master Key oluşturur ve AP ye bildirir. Mode 2 Bir de kişisel mod (Personal Mode) vardır. AS bulunmaz. Her cihaz auth. için paroladan türetilen aynı anahtarı kullanır. 11

12 Güvenlik Duvarı Firewall Bilgi güvenliğinde kriptografinin çözüm olmadığı birçok alan vardır. Sistemlerde kriptografi ile çözülemeyecek açıklar ve zayıf noktalar varsa, kötü amaçlı yazılımlar bunları kullanırlar. Ağları zararlı trafikten korumak için yaygın olarak kullanılan yöntemlerden biri güvenllik duvarlarıdır. 12

13 Güvenlik Duvarı Firewall Genellikle ağla İnternet i ayıran bir noktada durup gelen-giden trafiği filtreleyen bir sistem. Ağı az güvenilir ve daha fazla güvenilir iki alana ayırmış olur. İki firewall ile üçe de ayrılabilir: İç ağ, DMZ (demilitarized zone tampon bölge), İnternet. DMZ de DNS, e-posta sunucuları gibi dışarıdan erişilebilmesi gereken servisler tutulur. 13

14 Güvenlik Duvarı Firewall neye göre filtreler? IP, TCP, UDP gibi protokollere dair bilgiler (adres, port vs.) < Kaynak IP, Kaynak port, Varış IP, Varış port > Bazı kurallar engelleme, bazıları ise izin verme amaçlı olabilir. Bunları çelişmeyecek şekilde düzenlemek önemli ve zordur. Açıkça izinli olmayan bütün paketleri engellemek tutarlı bir yöntem olabilir. İhtiyaç duyuldukça yeni izinler eklenir. 14

15 Güvenlik Duvarı Firewall neye göre filtreler? HTTP gibi protokollerin bilgilerine (URL) göre de filtreleme olabilir. Çoğu sunucu, istemciye cevap verirken dinamik port numarası kullanır. İstemci tarafındaki firewall bunu önceden bilemez. Firewall stateful (durum tutan) şekilde çalışırsa, istemci isteklerinin kaydını tutar. Gelen cevap kayıtlı bir istekle alakalıysa izin verir. 15

16 Güvenlik Duvarı Firewall neye yarar? İstenen şekilde çalışırsa ağı İnternet ten gelecek istenmeyen erişimlerden korur. Fakat iletişimin güvenliğini sağlamaz. Tek tarafta uygulanabilir olması, birtakım güvenlik kontrollerini tek noktada toplayıp ağın içindeki cihaz ve kullanıcıları bazı endişelerden kurtarması avantajdır. 16

17 Güvenlik Duvarı Firewall: Zayıf noktalar Ağın içinde herhangi bir etkisi yoktur. İçeriye normal erişim sağlayan kötü niyetli kullanıcıyı bu noktadan sonra durduramaz. Firewall dan geçiş hakkı verilen her uzak sistem yeni bir güvenlik zaafı oluşturabilir. 17

18 Denial-of-Service Attacks Denial-of-Service (DoS) attacks target availability. NIST definition of DoS: An action that prevents or impairs the authorized use of networks, systems or applications by exhausting resources such as CPU, memory, bandwidth, and disk space. 18

19 Simple DoS Attacks Single attacker launches an attack such as ping flood. This has two major disadvantages for the attacker: The source is easy to detect. Responses will be sent to the source, so the attack will be reflected. 19

20 IP Address Spoofing IP Address Spoofing (or Source Address Spoofing) can be used by attackers in order to conceal themselves. The attacker has the ability to generate and use a different source IP address for each packet sent. 20

21 SYN Flood and Spoofing Normal TCP operation: SYN Flood: 21

22 Distributed DoS (DDoS) Attacks Usually, the attacker controls many bots or zombie systems. All of these attack the target together. 22

23 Defenses Against DoS Attacks Prevention: Backup resources, system modification, antispoofing Egress filtering: Do not allow outgoing packets with spoofed source address. Rate limiting: Limit the rate for certain packet types such as ICMP packets. Detection: Identifying suspicious patterns and filtering Source identification: Not very useful during the attack Reaction: Analyzing and learning lessons 23

24 Intruder Types and Behavior Masquerader: Unauthorized user who gains control of a legitimate user s account Misfeasor: Legitimate user who uses the system to do things for which she is not authorized. Hacker White Hat: harmless Black Hat: harmful Grey Hat: somewhere in between 24

25 Intruder Types and Behavior Intruders can attack a software vulnerability to obtain access, or they can try to crack passwords. After gaining access, they can Copy critical data, Deface a web server, Capture usernames and passwords, Turn machines into bots, And do many more things. 25

26 Intrusion Detection: Concepts Intrusion: Gaining unauthorized access (in short) Intrusion detection: Finding attempts for unauthorized access IDS: Intrusion detection system Sensors collect data. Analyzers interpret the data and decide whether an intrusion has occurred. User interface communicates with the user. 26

27 Intrusion Detection: Principles Why do we want to detect intrusions? Let s discuss. How are we able to detect intrusions? Intruders behave differently from legitimate users. IDS must be lightweight, configurable, adaptive, fault tolerant, robust,... 27

28 Host-Based Intrusion Detection A host-based IDS monitors the events within a single host to detect intrusions. 1. Anomaly detection Collect data for legitimate users. If new behavior is found to be different as a result of statistical tests, it is considered an anomaly. General thresholds or user profiles can be used. 28

29 Host-Based Intrusion Detection A host-based IDS monitors the events within a single host to detect intrusions. 2. Signature detection Define a common pattern of behavior for attacks and attackers. Actions/users who fit this pattern are labeled as intrusions/intruders. 29

30 Network-Based Intrusion Detection A network-based IDS monitors network traffic to detect intrusions. NIDS sensors may be deployed at different points. Outside the external firewall. Just inside the external firewall. In front of servers or workstation networks. 30

31 Network-Based Intrusion Detection A network-based IDS monitors network traffic to detect intrusions. Similar to host-based ID, network-based ID uses anomaly and/or signature detection. Anomaly detection is useful against DoS attacks, worms etc. Signature detection is useful against password guessing, buffer overflows, scans for vulnerabilities etc. 31

Benzer belgeler

Yeni Nesil Ağ Güvenliği

Yeni Nesil Ağ Güvenliği Ders 6 Mehmet Demirci 1 Bugün Taşıma katmanı güvenliği (TLS, SSL) İnternet katmanı güvenliği (IPSec) Kablosuz bağlantı güvenliği Güvenlik duvarları 2 SSL/TLS SSL ilk olarak Netscape