UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 12. Alkalmazás réteg Dr. Bilicki Vilmos Szoftverfejlesztés Tanszék

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Tartalom  Biztonság alapok  DNS Számítógép Hálózatok2

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Biztonság  Miért érdemes hálózati biztonsággal foglalkozni  Tűzfal ■Személyi ■Hagyományos ■Típusai –Állapotmentes –Állapotkövető –Proxy  Architektúra változatok ■Egy rétegű ■Több rétegű  Behatolás érzékelés ■SNORT Számítógép Hálózatok3

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Hálózati biztonsági kihívások  Internet nyílt, szabad közösség ■Régebben a fizikai biztonság volt az elsődleges (jól bezárni a rendező szekrényt) ■Egyre több cég, intézmény kötődik a hálózathoz –Potenciális piac –A vásárlókkal jönnek a hacker-ek is –Hetente új virusok, férgek, … ■Bárki szabadon rákapcsolódhat (hot spot, …) ■Nagy populáció ■Letölthető hacker eszközök ( ) Számítógép Hálózatok4

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Támadások fejlődése  Forrás: Cisco Számítógép Hálózatok5

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Tipikus biztonsági problémák  Támadási típusok ■Külső –Settenkedő – fizikai biztonság (zárolni a gépeket) –DoS Denial – of – Service »Nem feltétlenül okoznak kárt »Nehéz lekezelni –DDoS – ugyanaz csak több gépről (zombi gépek) –Alkalmazás rétegbeni támadások »Az alkalmazások biztnsági réseit használják ki »A legismertebbek »Nem megfelelően frissített rendszereket támadnak meg (Slammer 2002 augusztus-2003 január) –Hálózat kikémlelés – az első lépés a támadás előtt »Portscan »DNS, IP cím keresés ■Belső –Fertőzött laptop – gyakran tagja különböző hálózatoknak –Nem engedélyezett eszköz – pl.: nem megfelelően konfigurált vezetékmentes hozzáférési pont –Elbocsátott alkalmazott – Man in the middle –Vírusok/Trójaiak ■Vegyes –Csomag figyelés: Telnet, POP3, FTP, …. –IP spoofing: belső forrás IP címmel küldik kívülről (ACL, RFC 2827) Számítógép Hálózatok6

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Várható támadás típusok  Komplex Web támadás ■IE biztonsági rés + Apache biztonsági rés (egy feltört web szerverre tettek az IE számára veszélyes kódot)  Web szolgáltatások elleni támadások  Spyware fenyegetés – a Microsoft szerint a rendszerösszeomlások feléért felelősek, a DELL szerint a bejelentett hibák 12% százalékát okozzák ( )  Mobil eszköz elleni támadások (PDA, Telefon,..)  SPAM  DoS  DDoS Számítógép Hálózatok7

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Megoldás(talán, nincs tökéletes)  Elvileg nincs szükség másra, csak megfelelően beállított gépekre  DE a szoftver hibák, emberi mulasztások, … miatt mégis szükség van: ■Elosztott, jól koordinálható, több rétegű védelem ■Integrált megoldás (kapcsolók, forgalomirányítók, szerverek, …) ■Automatikus reakció ■Védelmi keretrendszer –Védelem - Védelmi rendszer –Szabályozás - Bizalom és identitás menedzsment –Titkosítás - Biztonságos kapcsolat Számítógép Hálózatok8

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Biztonsági szabályok  A hálózatot biztonsági övezetekre kell osztani  Egy-egy biztonsági övezet saját biztonsági szabályrendszerrel bír  Ezen övezetek határán szükség van egy olyan eszközre mely a különböző szabályokból adódó konfliktusokat feloldja  Ez az eszköz legtöbbször a tűzfal Számítógép Hálózatok9

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Védelmi topológiák  Egyszerű határ tűzfal  Megbízhatatlan gép  Három zónás architekrúra: ■Fegyvermentes övezet (DMZ DeMilitarized Zone) ■Kettős tűzfal Számítógép Hálózatok10

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Határ tűzfal  Egyrétegű megoldás  Egy eszközre van telepítve minden tűzfal funkció  Egy eszköz köt össze minden hálózatot  Egyszerű  Olcsó  A legkevésbé biztonságos megoldás ■Egy eszközön kell a biztonsági hiányosságokat kiaknázni Számítógép Hálózatok11

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Megbízhatatlan gép  Vannak olyan szervereink melyek szolgáltatásokat nyújtanak a külvilágnak ■Web ■SMTP ■FTP ■NTP ■SSH ■RDesktop ■VPN szerver ? ■…  Mivel ez a leginkább veszélyeztetett ezért ezt a tűzfalon kívül helyezzük el  Minimális szolgáltatásra kell törekednünk  A belső gépek nem bíznak meg benne Számítógép Hálózatok12

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Demilitarizált övezet  A megbízhatatlan szolgáltatókat is védeni szeretnénk  Itt egy új hálózatot alakítunk ki ezen szolgáltatások számára  Nagyobb ■Biztonság ■Rendelkezésre állás ■Megbízhatóság Számítógép Hálózatok13

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Dupla tűzfal  A célja ugyanaz mint az előzőé  Funkciók ■Perem tűzfal ■Belső tűzfal  Hálózatok: ■Határ hálózat ■DMZ ■Belső hálózat  Célszerű különböző architektúrájú tűzfalakat választani Számítógép Hálózatok14

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Védelmi eszközök  Tűzfal ■Osztályai: –Személyes (első osztály) –Forgalomirányító (második osztály) –Alsó kategóriás hardver tűzfalak (harmadik osztály) –Felső kategóriás hardver tűzfalak (negyedik osztály) –Szerver tűzfalak (ötödik osztály) ■Típusai –Csomagszűrő –Cím transzformáló –Állapottartó –Kapcsolat szintű átjáró –Proxy –Alkalmazás rétegbeni szűrés ■Megvalósítások –Netfilter ( ) –ISA 2004 ( ) –CISCO PIX ( )  Behatolás érzékelő rendszer ■SNORT ( ) ■Cisco IDS 4200 ( ) Számítógép Hálózatok15

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Tűzfal típusok: Csomagszűrő  Mivel a különböző hálózatokat leggyakrabban forgalomirányítók kötik össze ezért ezen funkciók leggyakrabban itt található  Ha már van router akkor mindenképpen azon célszerű implementálni  A 3. rétegben működik  Szűrő feltételek: ■Forrás/Cél cím ■Forrás/Cél port  Ezzel célszerű az IP spoofing-ot kivédeni  Ez nagyon gyors és kis erőforrás igényű tud lenni Számítógép Hálózatok16

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Tűzfal típusok: NAT  Tipusai: ■PAT – Port Address Translation ■NAT – Network Address Translation  Lehet: ■Dinamikus ■Statikus  Címfordítást végez  Elrejti a belső címeket  Alkalmazás réteg? Számítógép Hálózatok17

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Tűzfal típusok : Kapcsolat szintű átjáró  Nem vizsgál minden egyes csomagot  Amint a kapcsolat felépült utána az adott viszonyhoz tartozó összes csomag mehet  A 4. rétegben működik  Jobb mint csak csomagszűrés  Tartalmazhat alkalmazás rétegbeni funkciókat is ■Pl.: FTP Számítógép Hálózatok18

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Tűzfal típusok : Állapottartó  Az előző kettő kombinációja  A 3., 4. rétegben működik  Minden kimenő csomag naplózva van az állapot táblában ■Forrás/Cél IP ■Forrás/Cél port  A bemenő forgalomnál így ellenőrizhető, hogy ki kezdeményezte  Ez a tudás mindenképpen megkövetelendő egy tűzfaltól  Egyéb információkat is eltárolhat ■Protkoll falg-ek Számítógép Hálózatok19

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Tűzfal típusok : Proxy  A kommunikáció 3 vagy több fél között folyik ■Kliens ■Proxy ■Szerver  Títkosítatlan esetben a kliens nem látja közvetlenül azokat a csomagokat amelyeket a szerver küldött és fordítva  Títkosított esetben a proxy ellenőrzi a fejléceket és ha minden OK akkor továbbküldi  Gyorsítótár  Protokoll validáció  Felh. ID alapú döntés  Bonyolult  Minden protokollt ismernie kell Számítógép Hálózatok20

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Alkalmazás szintű szűrés  A legintelligensebb  Értelmezni tudják az adott alkalmazás adatát és ez alapján döntéseket hoznak  SMTP parancsok, DNS parancsok, SPAM szűrés  Igény alapján dinamikusan nyitja a portokat ■DNS felé UDP csak akkor ha a DNS indította a kapcsolatot és addig amíg ez a kapcsolat tart  Títkosított forgalom kezelése: ■Ugyanaz mint a proxy-nál ■A tűzfalon végződtetve mindkét oldalon Számítógép Hálózatok21

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Személyes tűzfal  A PC-n futó szoftver szolgáltatás  Egyre több otthoni kapcsolat  Kis hálózat védelmére is alkalmas (otthoni hálózat)  A hálózattól függetlenül ma már minden gépen kötelező a használata (különösen mobil eszközöknél)  Jóval kisebb tudású mint a többi, gyakran csak csomagszűrésre alkalmas  Előnyei: ■Olcsó (ingyenes) ■Egyszerű konfigurálni  Hátrányai: ■Nehéz központból menedzselni ■Kis teljesítményű ■Korlátolt tudású Számítógép Hálózatok22

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Forgalomirányító tűzfal  A forgalomirányítók gyakran rendelkeznek tűzfal funkciókkal is  Az alsó kategóriás forgalomirányítók általában IP cím alapján és port alapján képesek a forgalmat szűrni valamint NAT-ot is biztosítanak a címek elrejtésére  A felső kategóriás eszközök programozhatóak ACL listák segítségével, állapotkövetőek, támogatják a magas rendelkezésre állást  Előnyeik: ■Olcsóak (a hardvereshez viszonyítva) ■Egyszerű, szokványos konfiguráció  Hátrányaik: ■Teljesítmény ■Limitált funkcionalitás Számítógép Hálózatok23

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Hardver tűzfalak  Alsó kategóriás ■Statikus szűrés ■Plug-and-Play ■VPN ■Bizonyos szintig menedzselhetőek ■Előnyei: –Gyakorlatilag nem kell konfigurálni –Olcsó ■Hátrányai: –Korlátozott funkicionalitás –Gyenge teljesítmény  Felső kategóriás ■ kapcsolat ■Manuális konfiguráció ■Moduláris ■Magas rendelkezésre állás ■Alkalmazás szintű szűrés ■Gyors ■Drága Számítógép Hálózatok24

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Szerver tűzfalak  A legtöbb rendszergazda számára jól ismert környezet ■Linux ■Windows ■FreeBSD ■…  Jól bővíthető (sw/hw)  Gyors (megfelelő méretű gépen)  Integrálható  Skálázható  Az oprendszer hibáit kiaknázhatják a támadók Számítógép Hálózatok25

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS IDS  Behatolás érzékelés  Mai állapot: ■Lenyomat alapú érzékelés ■A riasztás értékelése ma még többnyire manuális ■A legtöbb IDS rendszerben nincs meg a kellő intelligencia, hogy megbízhatóan ellenőrizze a támadást figyelembe véve más információkat is és meghozza a megfelelő döntéseket ■Legtöbb helyen nincs központi log (tűzfal, szerver, …) Számítógép Hálózatok26

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Ideális eset  Aggregáció ■SNMP, Syslog, …  Korreláció ■Pl.: időbélyeg  Analízis ■A host értéke ■Szolgáltatásai ■Viszonya a többihez ■Rendszergazda ■Lehetséges sebezhetősége Számítógép Hálózatok27

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS SNORT  GNU GPL licensz  Minta alapú  Valós idejű forgalom analízis  Protokoll analízis  Szabályokat definiálhatunk a keresett mintákra  alert tcp any any -> any 139 (content:"|5c 00|P|00|I|00|P|00|E|00 5c|";)  Három üzemmód ■Sniffer ■Packet logger ■NIDS  Működése ■Dekódolás – protokoll dekódolás ■Preprocesszor – pl.: port scan detektálás ■Detektáló rész – szabályok  1 GBit/s Számítógép Hálózatok28

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 29 DNS  Bevezető  Elnevezési séma  Protokol ■Formátum ■Rekord tipusok ■Hogyan működik  Forditott keresés  DNSSec

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Bevezető  DNS – Domain Name System  Elosztott adatbázis: kulcs, érték párok ■1. DNS név IP cím kapcsolás (ADDRESS) ■2. IP cím DNS név kapcsolás (PTR) ■3. útvonalválasztás (MX) ■4. Helyettesitő nevek (ALIAS) ■…  Elosztott kliens/szerver architektúra  Hierarchikus, nagyon jól skálázható  Internet skálájú szolgáltatás Számítógép Hálózatok30

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Név feloldás  Hosts fájl  DNS  LDAP  NIS  … Számítógép Hálózatok31

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Berkley Internet Name Domain  BIND ■Named ■Resolver –Gethostbyname –Gethostbyaddr () ■Nslookup, dig Számítógép Hálózatok32

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Protokoll  Send/Receive  UDP a kérdés, válaszokra  Ha a válasz túl nagy akkor átválthat TCP- re  TCP-t használ az adatbázisok átvitelére Számítógép Hálózatok33

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS DNS névtér  Problémák ■Arpanet /etc/hosts túl nagy ■ venus nevű host  Hierarchikus névtér kell ■Jelenleg 14 Gbyte adat ■1768 lekérdezés másodpercenként Számítógép Hálózatok34

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Domain Naming System org. hu. edu. au. “.”“.” u-szeged.hu. inf.u-szeged.hu. Altartomány Második szintű tartomány Felső szintű tartomány Gyökér  Hierarchikus névtér  Elosztott adatbázis  Zóna fájlok (elsődleges, másodlagos)  FQDN  Név – IP cím leképezés Számítógép Hálózatok35

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Nevek, zóna fájlok  Nevek ■Internic menedzseli az első két szintet –13 root szerver –TLD ■Ezen felül mindenki azt csinál amit akar … ■A DNS nevek 12 illetve 64 karakteres lehetnek  Zónák ■Az adatbázis zónákra van osztva ■Minden szerveren legalább egy zóna van ■Egy-egy zónának általában több mint egy tároló szervere van Számítógép Hálózatok36

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Fontosabb bejegyzések  A – Host rekord (név -> IP hozzárendelés)  NS – Name Server (DNS szerver)  CNAME – Canonical Name (további nevek)  MX – Mail Exchange (Levelező szerver)  SOA – Start Of Authority (A Zóna kezdetét jelzi)  PTR – Pointer (IP -> név)  SRV – Service (szolgáltatás) Számítógép Hálózatok37

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS PTR Számítógép Hálózatok38

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Protokoll fejléc  Tipikusan UDP  Kérés/Válasz Számítógép Hálózatok39

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS A DNS lekérdezés áttekintése Lekérdezés Típusok Iterative Query A DNS szerver az általa válaszol más szerverek bevonása nélkül. Recursive Query A DNS szerver egy teljes választ biztosít, nem egy mutatót egy másik DNS szerverre Keresés Típusok Forward Lookup Név – ip cím Reverse Lookup ip cím név Számítógép Hálózatok40

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Lekérdezés Számítógép Hálózatok41

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Válaszok száma  Egy kérés – egy válasz ■Load balancing ■IPv6 vs. IPv4 ■SET TYPE= Számítógép Hálózatok42

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Gyorstár  Nem jó minden alkalommal végigkeresni a hierarchiát  A szerverek gyorsitótáraznak (1 nap) Számítógép Hálózatok43

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Válasz tipusa  Hiteles, mérvadó válasz (Authoritative) ■eredeti  Nem-mérvadó (Non-Authoritative) ■Gyorstár Számítógép Hálózatok44

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Zóna típusok Hagyományos Zónák Elsődleges ZónaMásodlagos Zóna Változás Zóna átvitel Active Directory Integrált Zónák Változás Zóna átvitel Számítógép Hálózatok45

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS A Zóna fájl Az erőforrás bejegyzése a számítógép: ■FQDN ■IP címét ■Alias-át tartalmazhatja. Zóna DNS Szerver Zóna Adatbázis NS casablanca.africa1.nwtraders.msft. casablanca A marrakech CNAME casablanca.africa1. nwtraders.msft in-addr.arpa. PTR NS casablanca.africa1.nwtraders.msft. casablanca A marrakech CNAME casablanca.africa1. nwtraders.msft in-addr.arpa. PTR casablanca.africa1.nwtraders.msft.RecordRecord Számítógép Hálózatok46

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 47 Hagyományos Zónák konfigurálása  Egy DNS szerver hagyományos elsődleges zónát, hagyományos másodlagos zónát vagy ezen típusok kombinációját tartalmazhatja DNS Szerver A A DNS Szerver B B Másodlagos Zóna (Master DNS Server = DNS Server A) C DNS Szerver C Másodlagos Zóna (Master DNS Server = DNS Server A) Elsődleges Zóna Zóna Információ Számítógép Hálózatok47

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 48 Zóna másolás folyamata Zóna másolás indul ha: ■A mester DNS szerver értesíti a másodlagos DNS szervereket a változásról ■A másodlagos DNS szerver lekérdezi az elsődlegest a változásokról DNS Server (Master) nwtraders training support Elsődleges Zóna Adatbázis Fájl Másodlagos Zóna Adatbázis Fájl DNS Szerver 1. Zóna Számítógép Hálózatok48

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Dinamikus Frissítések A Dinamikus DNS protokoll segítségével a kliens frissítheti a DNS bejegyzéseket 1 Számítógép IPcím kérelem 1 IP cím kiadás IP cím kiadás Zóna Adarbázis 1. Számítógép DHCP Szerver Dinamikus Frissítés Dinamikus frissítés DNS Szerver Számítógép Hálózatok49

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Minta zóna fájl Számítógép Hálózatok50

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Nslokup használata Microsoft Windows 2000 [Version ] Copyright Microsoft Corp. C:\>nslookup Default Server:london.nwtraders.msft Address: > bonn Server:london. nwtraders.msft Address: Name:bonn. nwtraders.msft Address: > Server:london. nwtraders.msft Address: Name:denver. nwtraders.msft Address: > exit C:\> Command Prompt Számítógép Hálózatok51

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Fontosabb parancsok  ipconfig /flushdns  ipconfig /registerdns  nslookup ■set type=SOA Számítógép Hálózatok52

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Biztonsági problémák  Nincs senki sem azonositva, nem lehetünk biztosak az információban  A DNS szerver kijátszása kritikus lehet  DNS nagy mennyiségü információ ■Támadáshoz is  Nagyon függ a hatékony gyorstározástól  Ha a gyorstárban rossz információ van akkor az viszonylag hosszú ideig ott is marad Számítógép Hálózatok53

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Problémák  RFC 3833 ■Célok: –Adat integritás –Adat eredet ■Nem foglalkozik –Adat titkosság –Kilens azonosítás  Problémák:  DNS átverés ■Kérés/Válasz – egyetlen titkosítatlan UDP csomag –Mokey in the middle: DNS kérések/válaszok átirása (indukált, véletlen) –Hamis válaszok (a kérés ismeret nélkül ID/port…) ■A DNS szerver feltörése  Gyorstár mérgezés ■Név láncolat (Name Chaining) – olyan RR-is küld amit nem kérdeztek ■CNAME, NS, DNAME  DOS támadás Számítógép Hálózatok54

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS DNSSEC  IETF ajánlás halmaz ■RFC 2535 – adat eredet ■RFC 2845 – azonosítás ■RFC 2930 – kuccsere  PKI alapú megoldás ■Azonositja –Kommunikáló feleket –DNS adatot –Nyilvános kulcsok Számítógép Hálózatok55

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS DNSSEC működés  DNS rekordok biztostása ■Minden tartomány aláirja a Zónát saját kulcsával (zóna szintű kulcs) ■A nyilvános kulcsok a DNS-ben vannak ■A válasz tartalmazza a rekord digitális aláirását is ■Legalább egy nyilvános kulcsot ismernie kell Számítógép Hálózatok56

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Problémák a DNSSEC-cel  Honnan szerezzük be a publikus kulcsot?  Hol, hogyan lesz telepitve  DOS támadások  Idő-szinkronizálás (relatív helyett abszolút idő)  Kulcs elvesztése Számítógép Hálózatok57

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS  Itt a nyár !  Köszönöm a félévi figyelmet!  Sok sikert! Számítógép Hálózatok