© Bencsáth Boldizsár, /15 Bencsáth Boldizsár Budapesti Műszaki Egyetem Üzleti Adatbiztonság Laboratórium Egyszerű, ingyenes titkosított alagutak linuxszal. Avagy híg-e az olcsó hús leve?
© Bencsáth Boldizsár, /15 Mire jó egy VPN eszköz? - Adatbiztonság És authentikáció /Hagyományos Cél/ -Lehallgatás Elleni Védelem -„spoofing” Elleni Védelem -Minden Protokoll Átvitele -alhálózat Védelme -Összeköttetés Biztosítása -QoS Megtartása
© Bencsáth Boldizsár, /15 Megközelítési módok Több telephely alhálózatának összekötése Csak a lehallgathatóság elleni védelem /smtp,pop3,ftp, telnet/ Csak az összeköthetőség, a tunnel fontos IPSec/FreeSWan, PPtP, Cipe, TunnelV, FreeSWan SSL,SSH Cipe,IPSec, TunnelV IPSec/FreeSWan, PPtP, Cipe, TunnelV, FreeSWan Cisco L2T
© Bencsáth Boldizsár, /15 Teljes integritás Információ- gyűjtés Hiba kiaknázás- próba Információ a rendszerről kijutott Már próbálkoztak Hiba által shellhez jutás Támadó bejutott Információ- szerzés a gép belső rendszeréről Információk a rendszer belsejéről Hiba kiaknázás- próba Már próbálkoztak (b) Egyik próba sikeres Adminisztrátori jogok és infó kijutás További célpontok és infogyűjtés Rendszer veszélyben Egész rendszer feltörése Minden feltörve IDS,LOG,FIREWALLIDS,LOG,FW AUDIT,FRISSÍTÉS IDS,LOGIDS,LOG, csapda, stb. IDS,LOG,FIREWALL(belső) * * egyéb megoldások, pl. stackshield ? !
© Bencsáth Boldizsár, /15 Árak Cisco 1600 alapáron kb Ft IP-FW Plus IPSec 56 FP kb Ft Mit tegyünk, ha nem a rendszerbe nem kerülhet külső eszköz, pl. router. ( pl. szolgáltatónál elhelyezett webszerver ) ?
© Bencsáth Boldizsár, /15 Vizsgált megoldások CIPE: kernelmodul+daemon, újraindítás nélkül TunnelVision: Ethertap + daemon FreeSWan: Kernel patch + programok PIPSec: userlink modullal + openssl kripto Cisco tunneling protokollok: kernel SSL,PPtP over ethernet, SSH, HTTPtunnel: főleg csak portokra
© Bencsáth Boldizsár, /15 PPtP,SSH,SSL,Cisco L2T… Némelyik csak biz. portok forgalmát továbbítja SSH,SSL: TCP fölött megy: teljesítménye kisebb Nem erre készült eszközök Authentikáció-Crypto korlátos lehet, protokoll erre kidolgozatlan, kulccsere mechanizmus:?
© Bencsáth Boldizsár, /15 TunnelVision, Cipe TunnelVision: Ethertap + daemon Körülményes, csak hálózat-hálózatként működött CIPE: kernelmodul+daemon, újraindítás nélkül, Jól működött gép-hálózat módban FreeSWan: Kernel patch + programok PIPSec: userlink modullal + openssl kripto
© Bencsáth Boldizsár, /15 FreeS/Wan -Szabványos IPSec -Szabadon használható -Sikeres összeköttetések más IPSec megoldásokkal /Cisco,PGP,PIPSecd …/ -„furcsa” jelenségek, hibák, nehézkes beállítás /fordítási gondok, konfigurációs gondok, rp_filter gondok, ip_forwarding, routing gondok, firewall problémák/ - Gép-Gép védelemre és „road warrior” mozgó állomással való kapcsolódásra is jó --Hiányos IKE, rejtjelezési megoldások, firewall inkompatibilitás az ESP miatt, masquerade, stb- vel nem működik együtt, automatikusan nem tud bekapcsolni (önkéntes titkosítás), 4 kapcsolat max.
© Bencsáth Boldizsár, /15 Felh. adat Linux kernel Ethernet IF Tunnel végpont vip2(virtuális), ip2 Eth kártya felé vip2 felé? Lokális hálózatra? tunnelhálózat? igen Tunnel virtuális IF Tunnel if felé /ptp/ vip2 felé? tunnelhálózat? Lokális hálózatra? igen nem Gw felé nem igen TCP/IP stack Interneten át gateway célgép CIPE
© Bencsáth Boldizsár, /15 Felh. adat Linux kernel Ethernet IF Tunnel végpont vip2==ip2 Eth kártya felé Tunnel virtuális IF Tunnel if felé /ptp/ vip2 felé? tunnelhálózat? Lokális hálózatra? igen nem TCP/IP stack Interneten át gateway célgép FreeS/Wan /IPSec/
© Bencsáth Boldizsár, /15 Egy jellemző logrészlet tcpdump -i eth0 src tcpdump: listening on eth0 Apr 13 01:05:32 mkt kernel: device eth0 entered promiscuous mode 01:05: eternal.datacontact.hu > mkt.rulez.org: ip-proto [tos 0x10] 01:05: eternal.datacontact.hu > mkt.rulez.org: ip-proto [tos 0x10] 01:05: eternal.datacontact.hu > mkt.rulez.org: ip-proto [tos 0x10] 01:05: eternal.datacontact.hu > mkt.rulez.org: ip-proto [tos 0x10] Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface eternal.datacon UGH ipsec * U eth1 localnet * U eth0 localnet * U ipsec0 default UG eth0
© Bencsáth Boldizsár, /15 Free S/Wan teljesítmény 10MBps/koax(collision)/ P-166 és Celeron 550/FreeSWan 10 Mb adatfájl Get 512 Kbyte/sec ; 20 sec Put 600 Kbyte/sec ; 17 sec Put Get 180 Kbyte/sec ; 55 sec 203 Kbyte/sec ; 51 sec IPSec nélkül: 1,13 Mbyte/sec, 9 sec
© Bencsáth Boldizsár, /15 Összegzés -Nem szabványos megoldások -Nem oldalak meg mindent -Nem készültek el, még hiányosak -Konfigurációjuk szakértőt igényel -Nem teljesen megbízhatóak bizonyos értelemben -Biztonsági szempontból nem kellőképpen megvizsgáltak -Dokumentációjuk hiányos,nincsen, a példák nem pontosak -Kevés pont összeköttetésére jók és általában manuálisan -Összességében a biztonság növelésére csak korlátosan alkalmasak
© Bencsáth Boldizsár, /15 Köszönöm a figyelmet! Bencsáth Boldizsár