© Bencsáth Boldizsár, 2000 1/15 Bencsáth Boldizsár Budapesti Műszaki Egyetem Üzleti.

Az előadások a következő témára: "© Bencsáth Boldizsár, 2000 1/15 Bencsáth Boldizsár Budapesti Műszaki Egyetem Üzleti."— Előadás másolata:

1 http://www.ebizlab.hit.bme.hu © Bencsáth Boldizsár, 2000 1/15 Bencsáth Boldizsár Bencsath.Boldizsar@ebizlab.hit.bme.hu Budapesti Műszaki Egyetem Üzleti Adatbiztonság Laboratórium Egyszerű, ingyenes titkosított alagutak linuxszal. Avagy híg-e az olcsó hús leve?

2 http://www.ebizlab.hit.bme.hu © Bencsáth Boldizsár, 2000 2/15 Mire jó egy VPN eszköz? - Adatbiztonság És authentikáció /Hagyományos Cél/ -Lehallgatás Elleni Védelem -„spoofing” Elleni Védelem -Minden Protokoll Átvitele -alhálózat Védelme -Összeköttetés Biztosítása -QoS Megtartása

3 http://www.ebizlab.hit.bme.hu © Bencsáth Boldizsár, 2000 3/15 Megközelítési módok Több telephely alhálózatának összekötése Csak a lehallgathatóság elleni védelem /smtp,pop3,ftp, telnet/ Csak az összeköthetőség, a tunnel fontos IPSec/FreeSWan, PPtP, Cipe, TunnelV, FreeSWan SSL,SSH Cipe,IPSec, TunnelV IPSec/FreeSWan, PPtP, Cipe, TunnelV, FreeSWan Cisco L2T

4 http://www.ebizlab.hit.bme.hu © Bencsáth Boldizsár, 2000 4/15 Teljes integritás Információ- gyűjtés Hiba kiaknázás- próba Információ a rendszerről kijutott Már próbálkoztak Hiba által shellhez jutás Támadó bejutott Információ- szerzés a gép belső rendszeréről Információk a rendszer belsejéről Hiba kiaknázás- próba Már próbálkoztak (b) Egyik próba sikeres Adminisztrátori jogok és infó kijutás További célpontok és infogyűjtés Rendszer veszélyben Egész rendszer feltörése Minden feltörve IDS,LOG,FIREWALLIDS,LOG,FW AUDIT,FRISSÍTÉS IDS,LOGIDS,LOG, csapda, stb. IDS,LOG,FIREWALL(belső) * * egyéb megoldások, pl. stackshield ? ! 

5 http://www.ebizlab.hit.bme.hu © Bencsáth Boldizsár, 2000 5/15 Árak Cisco 1600 alapáron kb. 350000 Ft IP-FW Plus IPSec 56 FP kb. 260000 Ft Mit tegyünk, ha nem a rendszerbe nem kerülhet külső eszköz, pl. router. ( pl. szolgáltatónál elhelyezett webszerver ) ?

6 http://www.ebizlab.hit.bme.hu © Bencsáth Boldizsár, 2000 6/15 Vizsgált megoldások CIPE: kernelmodul+daemon, újraindítás nélkül TunnelVision: Ethertap + daemon FreeSWan: Kernel patch + programok PIPSec: userlink modullal + openssl kripto Cisco tunneling protokollok: kernel SSL,PPtP over ethernet, SSH, HTTPtunnel: főleg csak portokra

7 http://www.ebizlab.hit.bme.hu © Bencsáth Boldizsár, 2000 7/15 PPtP,SSH,SSL,Cisco L2T… Némelyik csak biz. portok forgalmát továbbítja SSH,SSL: TCP fölött megy: teljesítménye kisebb Nem erre készült eszközök Authentikáció-Crypto korlátos lehet, protokoll erre kidolgozatlan, kulccsere mechanizmus:?

8 http://www.ebizlab.hit.bme.hu © Bencsáth Boldizsár, 2000 8/15 TunnelVision, Cipe TunnelVision: Ethertap + daemon Körülményes, csak hálózat-hálózatként működött CIPE: kernelmodul+daemon, újraindítás nélkül, Jól működött gép-hálózat módban FreeSWan: Kernel patch + programok PIPSec: userlink modullal + openssl kripto

9 http://www.ebizlab.hit.bme.hu © Bencsáth Boldizsár, 2000 9/15 FreeS/Wan -Szabványos IPSec -Szabadon használható -Sikeres összeköttetések más IPSec megoldásokkal /Cisco,PGP,PIPSecd …/ -„furcsa” jelenségek, hibák, nehézkes beállítás /fordítási gondok, konfigurációs gondok, rp_filter gondok, ip_forwarding, routing gondok, firewall problémák/ - Gép-Gép védelemre és „road warrior” mozgó állomással való kapcsolódásra is jó --Hiányos IKE, rejtjelezési megoldások, firewall inkompatibilitás az ESP miatt, masquerade, stb- vel nem működik együtt, automatikusan nem tud bekapcsolni (önkéntes titkosítás), 4 kapcsolat max.

10 http://www.ebizlab.hit.bme.hu © Bencsáth Boldizsár, 2000 10/15 Felh. adat Linux kernel Ethernet IF Tunnel végpont vip2(virtuális), ip2 Eth kártya felé vip2 felé? Lokális hálózatra? tunnelhálózat? igen Tunnel virtuális IF Tunnel if felé /ptp/ vip2 felé? tunnelhálózat? Lokális hálózatra? igen nem Gw felé nem igen TCP/IP stack Interneten át gateway célgép CIPE

11 http://www.ebizlab.hit.bme.hu © Bencsáth Boldizsár, 2000 11/15 Felh. adat Linux kernel Ethernet IF Tunnel végpont vip2==ip2 Eth kártya felé Tunnel virtuális IF Tunnel if felé /ptp/ vip2 felé? tunnelhálózat? Lokális hálózatra? igen nem TCP/IP stack Interneten át gateway célgép FreeS/Wan /IPSec/

12 http://www.ebizlab.hit.bme.hu © Bencsáth Boldizsár, 2000 12/15 Egy jellemző logrészlet root@mkt:/etc# tcpdump -i eth0 src www.dc.hu tcpdump: listening on eth0 Apr 13 01:05:32 mkt kernel: device eth0 entered promiscuous mode 01:05:35.143066 eternal.datacontact.hu > mkt.rulez.org: ip-proto-50 92 [tos 0x10] 01:05:35.153066 eternal.datacontact.hu > mkt.rulez.org: ip-proto-50 84 [tos 0x10] 01:05:35.153066 eternal.datacontact.hu > mkt.rulez.org: ip-proto-50 116 [tos 0x10] 01:05:35.353066 eternal.datacontact.hu > mkt.rulez.org: ip-proto-50 84 [tos 0x10] Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface eternal.datacon 146.110.36.1 255.255.255.255 UGH 0 0 0 ipsec0 10.51.1.0 * 255.255.255.0 U 0 0 0 eth1 localnet * 255.255.255.0 U 0 0 0 eth0 localnet * 255.255.255.0 U 0 0 0 ipsec0 default 146.110.36.1 0.0.0.0 UG 1 0 0 eth0

13 http://www.ebizlab.hit.bme.hu © Bencsáth Boldizsár, 2000 13/15 Free S/Wan teljesítmény 10MBps/koax(collision)/ P-166 és Celeron 550/FreeSWan 10 Mb adatfájl Get 512 Kbyte/sec ; 20 sec Put 600 Kbyte/sec ; 17 sec Put Get 180 Kbyte/sec ; 55 sec 203 Kbyte/sec ; 51 sec IPSec nélkül: 1,13 Mbyte/sec, 9 sec

14 http://www.ebizlab.hit.bme.hu © Bencsáth Boldizsár, 2000 14/15 Összegzés -Nem szabványos megoldások -Nem oldalak meg mindent -Nem készültek el, még hiányosak -Konfigurációjuk szakértőt igényel -Nem teljesen megbízhatóak bizonyos értelemben -Biztonsági szempontból nem kellőképpen megvizsgáltak -Dokumentációjuk hiányos,nincsen, a példák nem pontosak -Kevés pont összeköttetésére jók és általában manuálisan -Összességében a biztonság növelésére csak korlátosan alkalmasak

15 http://www.ebizlab.hit.bme.hu © Bencsáth Boldizsár, 2000 15/15 Köszönöm a figyelmet! Bencsáth Boldizsár Bencsath.Boldizsar@ebizlab.hit.bme.hu http://www.ebizlab.hit.bme.hu/~boldi/nws2000