Előadást letölteni
Az előadás letöltése folymat van. Kérjük, várjon
KiadtaBarnabás Faragó Megváltozta több, mint 10 éve
1
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 12. Alkalmazás réteg Dr. Bilicki Vilmos Szoftverfejlesztés Tanszék
2
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Tartalom Biztonság alapok DNS 2014. 07. 15.Számítógép Hálózatok2
3
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Biztonság Miért érdemes hálózati biztonsággal foglalkozni Tűzfal ■Személyi ■Hagyományos ■Típusai –Állapotmentes –Állapotkövető –Proxy Architektúra változatok ■Egy rétegű ■Több rétegű Behatolás érzékelés ■SNORT 2014. 07. 15.Számítógép Hálózatok3
4
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Hálózati biztonsági kihívások Internet nyílt, szabad közösség ■Régebben a fizikai biztonság volt az elsődleges (jól bezárni a rendező szekrényt) ■Egyre több cég, intézmény kötődik a hálózathoz –Potenciális piac –A vásárlókkal jönnek a hacker-ek is –Hetente új virusok, férgek, … ■Bárki szabadon rákapcsolódhat (hot spot, …) ■Nagy populáció ■Letölthető hacker eszközök (http://staff.washington.edu/dittrich/misc/ddos/ )http://staff.washington.edu/dittrich/misc/ddos/ 2014. 07. 15.Számítógép Hálózatok4
5
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Támadások fejlődése Forrás: Cisco 2014. 07. 15.Számítógép Hálózatok5
6
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Tipikus biztonsági problémák Támadási típusok ■Külső –Settenkedő – fizikai biztonság (zárolni a gépeket) –DoS Denial – of – Service »Nem feltétlenül okoznak kárt »Nehéz lekezelni –DDoS – ugyanaz csak több gépről (zombi gépek) –Alkalmazás rétegbeni támadások »Az alkalmazások biztnsági réseit használják ki »A legismertebbek »Nem megfelelően frissített rendszereket támadnak meg (Slammer 2002 augusztus-2003 január) –Hálózat kikémlelés – az első lépés a támadás előtt »Portscan »DNS, IP cím keresés ■Belső –Fertőzött laptop – gyakran tagja különböző hálózatoknak –Nem engedélyezett eszköz – pl.: nem megfelelően konfigurált vezetékmentes hozzáférési pont –Elbocsátott alkalmazott – Man in the middle –Vírusok/Trójaiak ■Vegyes –Csomag figyelés: Telnet, POP3, FTP, …. –IP spoofing: belső forrás IP címmel küldik kívülről (ACL, RFC 2827) 2014. 07. 15.Számítógép Hálózatok6
7
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Várható támadás típusok Komplex Web támadás ■IE biztonsági rés + Apache biztonsági rés (egy feltört web szerverre tettek az IE számára veszélyes kódot) Web szolgáltatások elleni támadások Spyware fenyegetés – a Microsoft szerint a rendszerösszeomlások feléért felelősek, a DELL szerint a bejelentett hibák 12% százalékát okozzák (http://www.informationweek.com/showArticle.jhtml?articleID=19200218 )http://www.informationweek.com/showArticle.jhtml?articleID=19200218 Mobil eszköz elleni támadások (PDA, Telefon,..) SPAM DoS DDoS 2014. 07. 15.Számítógép Hálózatok7
8
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Megoldás(talán, nincs tökéletes) Elvileg nincs szükség másra, csak megfelelően beállított gépekre DE a szoftver hibák, emberi mulasztások, … miatt mégis szükség van: ■Elosztott, jól koordinálható, több rétegű védelem ■Integrált megoldás (kapcsolók, forgalomirányítók, szerverek, …) ■Automatikus reakció ■Védelmi keretrendszer –Védelem - Védelmi rendszer –Szabályozás - Bizalom és identitás menedzsment –Titkosítás - Biztonságos kapcsolat 2014. 07. 15.Számítógép Hálózatok8
9
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Biztonsági szabályok A hálózatot biztonsági övezetekre kell osztani Egy-egy biztonsági övezet saját biztonsági szabályrendszerrel bír Ezen övezetek határán szükség van egy olyan eszközre mely a különböző szabályokból adódó konfliktusokat feloldja Ez az eszköz legtöbbször a tűzfal 2014. 07. 15.Számítógép Hálózatok9
10
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Védelmi topológiák Egyszerű határ tűzfal Megbízhatatlan gép Három zónás architekrúra: ■Fegyvermentes övezet (DMZ DeMilitarized Zone) ■Kettős tűzfal 2014. 07. 15.Számítógép Hálózatok10
11
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Határ tűzfal Egyrétegű megoldás Egy eszközre van telepítve minden tűzfal funkció Egy eszköz köt össze minden hálózatot Egyszerű Olcsó A legkevésbé biztonságos megoldás ■Egy eszközön kell a biztonsági hiányosságokat kiaknázni 2014. 07. 15.Számítógép Hálózatok11
12
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Megbízhatatlan gép Vannak olyan szervereink melyek szolgáltatásokat nyújtanak a külvilágnak ■Web ■SMTP ■FTP ■NTP ■SSH ■RDesktop ■VPN szerver ? ■… Mivel ez a leginkább veszélyeztetett ezért ezt a tűzfalon kívül helyezzük el Minimális szolgáltatásra kell törekednünk A belső gépek nem bíznak meg benne 2014. 07. 15.Számítógép Hálózatok12
13
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Demilitarizált övezet A megbízhatatlan szolgáltatókat is védeni szeretnénk Itt egy új hálózatot alakítunk ki ezen szolgáltatások számára Nagyobb ■Biztonság ■Rendelkezésre állás ■Megbízhatóság 2014. 07. 15.Számítógép Hálózatok13
14
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Dupla tűzfal A célja ugyanaz mint az előzőé Funkciók ■Perem tűzfal ■Belső tűzfal Hálózatok: ■Határ hálózat ■DMZ ■Belső hálózat Célszerű különböző architektúrájú tűzfalakat választani 2014. 07. 15.Számítógép Hálózatok14
15
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Védelmi eszközök Tűzfal ■Osztályai: –Személyes (első osztály) –Forgalomirányító (második osztály) –Alsó kategóriás hardver tűzfalak (harmadik osztály) –Felső kategóriás hardver tűzfalak (negyedik osztály) –Szerver tűzfalak (ötödik osztály) ■Típusai –Csomagszűrő –Cím transzformáló –Állapottartó –Kapcsolat szintű átjáró –Proxy –Alkalmazás rétegbeni szűrés ■Megvalósítások –Netfilter (http://www.netfilter.org/ )http://www.netfilter.org/ –ISA 2004 (http://www.microsoft.com/isaserver/ )http://www.microsoft.com/isaserver/ –CISCO PIX (http://www.cisco.com/warp/public/cc/pd/fw/sqfw500/ )http://www.cisco.com/warp/public/cc/pd/fw/sqfw500/ Behatolás érzékelő rendszer ■SNORT (http://www.snort.org/ )http://www.snort.org/ ■Cisco IDS 4200 (http://www.cisco.com/warp/public/cc/pd/sqsw/sqidsz/ )http://www.cisco.com/warp/public/cc/pd/sqsw/sqidsz/ 2014. 07. 15.Számítógép Hálózatok15
16
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Tűzfal típusok: Csomagszűrő Mivel a különböző hálózatokat leggyakrabban forgalomirányítók kötik össze ezért ezen funkciók leggyakrabban itt található Ha már van router akkor mindenképpen azon célszerű implementálni A 3. rétegben működik Szűrő feltételek: ■Forrás/Cél cím ■Forrás/Cél port Ezzel célszerű az IP spoofing-ot kivédeni Ez nagyon gyors és kis erőforrás igényű tud lenni 2014. 07. 15.Számítógép Hálózatok16
17
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Tűzfal típusok: NAT Tipusai: ■PAT – Port Address Translation ■NAT – Network Address Translation Lehet: ■Dinamikus ■Statikus Címfordítást végez Elrejti a belső címeket Alkalmazás réteg? 2014. 07. 15.Számítógép Hálózatok17
18
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Tűzfal típusok : Kapcsolat szintű átjáró Nem vizsgál minden egyes csomagot Amint a kapcsolat felépült utána az adott viszonyhoz tartozó összes csomag mehet A 4. rétegben működik Jobb mint csak csomagszűrés Tartalmazhat alkalmazás rétegbeni funkciókat is ■Pl.: FTP 2014. 07. 15.Számítógép Hálózatok18
19
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Tűzfal típusok : Állapottartó Az előző kettő kombinációja A 3., 4. rétegben működik Minden kimenő csomag naplózva van az állapot táblában ■Forrás/Cél IP ■Forrás/Cél port A bemenő forgalomnál így ellenőrizhető, hogy ki kezdeményezte Ez a tudás mindenképpen megkövetelendő egy tűzfaltól Egyéb információkat is eltárolhat ■Protkoll falg-ek 2014. 07. 15.Számítógép Hálózatok19
20
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Tűzfal típusok : Proxy A kommunikáció 3 vagy több fél között folyik ■Kliens ■Proxy ■Szerver Títkosítatlan esetben a kliens nem látja közvetlenül azokat a csomagokat amelyeket a szerver küldött és fordítva Títkosított esetben a proxy ellenőrzi a fejléceket és ha minden OK akkor továbbküldi Gyorsítótár Protokoll validáció Felh. ID alapú döntés Bonyolult Minden protokollt ismernie kell 2014. 07. 15.Számítógép Hálózatok20
21
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Alkalmazás szintű szűrés A legintelligensebb Értelmezni tudják az adott alkalmazás adatát és ez alapján döntéseket hoznak SMTP parancsok, DNS parancsok, SPAM szűrés Igény alapján dinamikusan nyitja a portokat ■DNS felé UDP csak akkor ha a DNS indította a kapcsolatot és addig amíg ez a kapcsolat tart Títkosított forgalom kezelése: ■Ugyanaz mint a proxy-nál ■A tűzfalon végződtetve mindkét oldalon 2014. 07. 15.Számítógép Hálózatok21
22
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Személyes tűzfal A PC-n futó szoftver szolgáltatás Egyre több otthoni kapcsolat Kis hálózat védelmére is alkalmas (otthoni hálózat) A hálózattól függetlenül ma már minden gépen kötelező a használata (különösen mobil eszközöknél) Jóval kisebb tudású mint a többi, gyakran csak csomagszűrésre alkalmas Előnyei: ■Olcsó (ingyenes) ■Egyszerű konfigurálni Hátrányai: ■Nehéz központból menedzselni ■Kis teljesítményű ■Korlátolt tudású 2014. 07. 15.Számítógép Hálózatok22
23
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Forgalomirányító tűzfal A forgalomirányítók gyakran rendelkeznek tűzfal funkciókkal is Az alsó kategóriás forgalomirányítók általában IP cím alapján és port alapján képesek a forgalmat szűrni valamint NAT-ot is biztosítanak a címek elrejtésére A felső kategóriás eszközök programozhatóak ACL listák segítségével, állapotkövetőek, támogatják a magas rendelkezésre állást Előnyeik: ■Olcsóak (a hardvereshez viszonyítva) ■Egyszerű, szokványos konfiguráció Hátrányaik: ■Teljesítmény ■Limitált funkcionalitás 2014. 07. 15.Számítógép Hálózatok23
24
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Hardver tűzfalak Alsó kategóriás ■Statikus szűrés ■Plug-and-Play ■VPN ■Bizonyos szintig menedzselhetőek ■Előnyei: –Gyakorlatilag nem kell konfigurálni –Olcsó ■Hátrányai: –Korlátozott funkicionalitás –Gyenge teljesítmény Felső kategóriás ■7500-500000 kapcsolat ■Manuális konfiguráció ■Moduláris ■Magas rendelkezésre állás ■Alkalmazás szintű szűrés ■Gyors ■Drága 2014. 07. 15.Számítógép Hálózatok24
25
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Szerver tűzfalak A legtöbb rendszergazda számára jól ismert környezet ■Linux ■Windows ■FreeBSD ■… Jól bővíthető (sw/hw) Gyors (megfelelő méretű gépen) Integrálható Skálázható Az oprendszer hibáit kiaknázhatják a támadók 2014. 07. 15.Számítógép Hálózatok25
26
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS IDS Behatolás érzékelés Mai állapot: ■Lenyomat alapú érzékelés ■A riasztás értékelése ma még többnyire manuális ■A legtöbb IDS rendszerben nincs meg a kellő intelligencia, hogy megbízhatóan ellenőrizze a támadást figyelembe véve más információkat is és meghozza a megfelelő döntéseket ■Legtöbb helyen nincs központi log (tűzfal, szerver, …) 2014. 07. 15.Számítógép Hálózatok26
27
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Ideális eset Aggregáció ■SNMP, Syslog, … Korreláció ■Pl.: időbélyeg Analízis ■A host értéke ■Szolgáltatásai ■Viszonya a többihez ■Rendszergazda ■Lehetséges sebezhetősége 2014. 07. 15.Számítógép Hálózatok27
28
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS SNORT GNU GPL licensz Minta alapú Valós idejű forgalom analízis Protokoll analízis Szabályokat definiálhatunk a keresett mintákra alert tcp any any -> any 139 (content:"|5c 00|P|00|I|00|P|00|E|00 5c|";) Három üzemmód ■Sniffer ■Packet logger ■NIDS Működése ■Dekódolás – protokoll dekódolás ■Preprocesszor – pl.: port scan detektálás ■Detektáló rész – szabályok 1 GBit/s 2014. 07. 15.Számítógép Hálózatok28
29
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 29 DNS Bevezető Elnevezési séma Protokol ■Formátum ■Rekord tipusok ■Hogyan működik Forditott keresés DNSSec
30
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Bevezető DNS – Domain Name System Elosztott adatbázis: kulcs, érték párok ■1. DNS név IP cím kapcsolás (ADDRESS) ■2. IP cím DNS név kapcsolás (PTR) ■3. Email útvonalválasztás (MX) ■4. Helyettesitő nevek (ALIAS) ■… Elosztott kliens/szerver architektúra Hierarchikus, nagyon jól skálázható Internet skálájú szolgáltatás 2014. 07. 15.Számítógép Hálózatok30
31
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Név feloldás Hosts fájl DNS LDAP NIS … 2014. 07. 15.Számítógép Hálózatok31
32
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Berkley Internet Name Domain BIND ■Named ■Resolver –Gethostbyname –Gethostbyaddr () ■Nslookup, dig 2014. 07. 15.Számítógép Hálózatok32
33
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Protokoll Send/Receive UDP a kérdés, válaszokra Ha a válasz túl nagy akkor átválthat TCP- re TCP-t használ az adatbázisok átvitelére 2014. 07. 15.Számítógép Hálózatok33
34
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS DNS névtér Problémák ■Arpanet /etc/hosts túl nagy ■30000+ venus nevű host Hierarchikus névtér kell ■Jelenleg 14 Gbyte adat ■1768 lekérdezés másodpercenként 2014. 07. 15.Számítógép Hálózatok34
35
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Domain Naming System org. hu. edu. au. “.”“.” u-szeged.hu. inf.u-szeged.hu. Altartomány Második szintű tartomány Felső szintű tartomány Gyökér Hierarchikus névtér Elosztott adatbázis Zóna fájlok (elsődleges, másodlagos) FQDN Név – IP cím leképezés 2014. 07. 15.Számítógép Hálózatok35
36
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Nevek, zóna fájlok Nevek ■Internic menedzseli az első két szintet –13 root szerver –TLD ■Ezen felül mindenki azt csinál amit akar … ■A DNS nevek 12 illetve 64 karakteres lehetnek Zónák ■Az adatbázis zónákra van osztva ■Minden szerveren legalább egy zóna van ■Egy-egy zónának általában több mint egy tároló szervere van 2014. 07. 15.Számítógép Hálózatok36
37
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Fontosabb bejegyzések A – Host rekord (név -> IP hozzárendelés) NS – Name Server (DNS szerver) CNAME – Canonical Name (további nevek) MX – Mail Exchange (Levelező szerver) SOA – Start Of Authority (A Zóna kezdetét jelzi) PTR – Pointer (IP -> név) SRV – Service (szolgáltatás) 2014. 07. 15.Számítógép Hálózatok37
38
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS PTR 2014. 07. 15.Számítógép Hálózatok38
39
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Protokoll fejléc Tipikusan UDP Kérés/Válasz 2014. 07. 15.Számítógép Hálózatok39
40
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS A DNS lekérdezés áttekintése Lekérdezés Típusok Iterative Query A DNS szerver az általa válaszol más szerverek bevonása nélkül. Recursive Query A DNS szerver egy teljes választ biztosít, nem egy mutatót egy másik DNS szerverre Keresés Típusok Forward Lookup Név – ip cím Reverse Lookup ip cím név 2014. 07. 15.Számítógép Hálózatok40
41
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Lekérdezés 2014. 07. 15.Számítógép Hálózatok41
42
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Válaszok száma Egy kérés – egy válasz ■Load balancing ■IPv6 vs. IPv4 ■SET TYPE= 2014. 07. 15.Számítógép Hálózatok42
43
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Gyorstár Nem jó minden alkalommal végigkeresni a hierarchiát A szerverek gyorsitótáraznak (1 nap) 2014. 07. 15.Számítógép Hálózatok43
44
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Válasz tipusa Hiteles, mérvadó válasz (Authoritative) ■eredeti Nem-mérvadó (Non-Authoritative) ■Gyorstár 2014. 07. 15.Számítógép Hálózatok44
45
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Zóna típusok Hagyományos Zónák Elsődleges ZónaMásodlagos Zóna Változás Zóna átvitel Active Directory Integrált Zónák Változás Zóna átvitel 2014. 07. 15.Számítógép Hálózatok45
46
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS A Zóna fájl Az erőforrás bejegyzése a számítógép: ■FQDN ■IP címét ■Alias-át tartalmazhatja. Zóna DNS Szerver Zóna Adatbázis Fájl @ NS casablanca.africa1.nwtraders.msft. casablanca A 192.168.11.1 marrakech CNAME casablanca.africa1. nwtraders.msft. 1.11.168.192.in-addr.arpa. PTR casablanca.africa1.nwtraders.msft. @ NS casablanca.africa1.nwtraders.msft. casablanca A 192.168.11.1 marrakech CNAME casablanca.africa1. nwtraders.msft. 1.11.168.192.in-addr.arpa. PTR casablanca.africa1.nwtraders.msft.RecordRecord 2014. 07. 15.Számítógép Hálózatok46
47
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 47 Hagyományos Zónák konfigurálása Egy DNS szerver hagyományos elsődleges zónát, hagyományos másodlagos zónát vagy ezen típusok kombinációját tartalmazhatja DNS Szerver A A DNS Szerver B B Másodlagos Zóna (Master DNS Server = DNS Server A) C DNS Szerver C Másodlagos Zóna (Master DNS Server = DNS Server A) Elsődleges Zóna Zóna Információ 2014. 07. 15.Számítógép Hálózatok47
48
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 48 Zóna másolás folyamata Zóna másolás indul ha: ■A mester DNS szerver értesíti a másodlagos DNS szervereket a változásról ■A másodlagos DNS szerver lekérdezi az elsődlegest a változásokról DNS Server (Master) nwtraders training support Elsődleges Zóna Adatbázis Fájl Másodlagos Zóna Adatbázis Fájl DNS Szerver 1. Zóna 2014. 07. 15.Számítógép Hálózatok48
49
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Dinamikus Frissítések A Dinamikus DNS protokoll segítségével a kliens frissítheti a DNS bejegyzéseket 1 Számítógép IPcím kérelem 1 IP cím kiadás 192.168.120.133 IP cím kiadás 192.168.120.133 2 Zóna Adarbázis 1. Számítógép 192.168.120.133 DHCP Szerver Dinamikus Frissítés Dinamikus frissítés DNS Szerver 2014. 07. 15.Számítógép Hálózatok49
50
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Minta zóna fájl 2014. 07. 15.Számítógép Hálózatok50
51
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Nslokup használata Microsoft Windows 2000 [Version 5.00.2195] Copyright 1985-1999 Microsoft Corp. C:\>nslookup Default Server:london.nwtraders.msft Address:192.168.1.200 > bonn Server:london. nwtraders.msft Address:192.168.1.200 Name:bonn. nwtraders.msft Address:192.168.1.1 > 192.168.1.2 Server:london. nwtraders.msft Address:192.168.1.200 Name:denver. nwtraders.msft Address:192.168.1.2 > exit C:\> Command Prompt 2014. 07. 15.Számítógép Hálózatok51
52
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Fontosabb parancsok ipconfig /flushdns ipconfig /registerdns nslookup ■set type=SOA 2014. 07. 15.Számítógép Hálózatok52
53
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Biztonsági problémák Nincs senki sem azonositva, nem lehetünk biztosak az információban A DNS szerver kijátszása kritikus lehet DNS nagy mennyiségü információ ■Támadáshoz is Nagyon függ a hatékony gyorstározástól Ha a gyorstárban rossz információ van akkor az viszonylag hosszú ideig ott is marad 2014. 07. 15.Számítógép Hálózatok53
54
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Problémák RFC 3833 ■Célok: –Adat integritás –Adat eredet ■Nem foglalkozik –Adat titkosság –Kilens azonosítás Problémák: DNS átverés ■Kérés/Válasz – egyetlen titkosítatlan UDP csomag –Mokey in the middle: DNS kérések/válaszok átirása (indukált, véletlen) –Hamis válaszok (a kérés ismeret nélkül ID/port…) ■A DNS szerver feltörése Gyorstár mérgezés ■Név láncolat (Name Chaining) – olyan RR-is küld amit nem kérdeztek ■CNAME, NS, DNAME DOS támadás 2014. 07. 15.Számítógép Hálózatok54
55
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS DNSSEC IETF ajánlás halmaz ■RFC 2535 – adat eredet ■RFC 2845 – azonosítás ■RFC 2930 – kuccsere PKI alapú megoldás ■Azonositja –Kommunikáló feleket –DNS adatot –Nyilvános kulcsok 2014. 07. 15.Számítógép Hálózatok55
56
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS DNSSEC működés DNS rekordok biztostása ■Minden tartomány aláirja a Zónát saját kulcsával (zóna szintű kulcs) ■A nyilvános kulcsok a DNS-ben vannak ■A válasz tartalmazza a rekord digitális aláirását is ■Legalább egy nyilvános kulcsot ismernie kell 2014. 07. 15.Számítógép Hálózatok56
57
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Problémák a DNSSEC-cel Honnan szerezzük be a publikus kulcsot? Hol, hogyan lesz telepitve DOS támadások Idő-szinkronizálás (relatív helyett abszolút idő) Kulcs elvesztése 2014. 07. 15.Számítógép Hálózatok57
58
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Itt a nyár ! Köszönöm a félévi figyelmet! Sok sikert! 2014. 07. 15.58Számítógép Hálózatok
Hasonló előadás
© 2024 SlidePlayer.hu Inc.
All rights reserved.