Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 12. Alkalmazás réteg Dr. Bilicki Vilmos Szoftverfejlesztés.

Hasonló előadás


Az előadások a következő témára: "UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 12. Alkalmazás réteg Dr. Bilicki Vilmos Szoftverfejlesztés."— Előadás másolata:

1 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 12. Alkalmazás réteg Dr. Bilicki Vilmos Szoftverfejlesztés Tanszék

2 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Tartalom  Biztonság alapok  DNS 2014. 07. 15.Számítógép Hálózatok2

3 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Biztonság  Miért érdemes hálózati biztonsággal foglalkozni  Tűzfal ■Személyi ■Hagyományos ■Típusai –Állapotmentes –Állapotkövető –Proxy  Architektúra változatok ■Egy rétegű ■Több rétegű  Behatolás érzékelés ■SNORT 2014. 07. 15.Számítógép Hálózatok3

4 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Hálózati biztonsági kihívások  Internet nyílt, szabad közösség ■Régebben a fizikai biztonság volt az elsődleges (jól bezárni a rendező szekrényt) ■Egyre több cég, intézmény kötődik a hálózathoz –Potenciális piac –A vásárlókkal jönnek a hacker-ek is –Hetente új virusok, férgek, … ■Bárki szabadon rákapcsolódhat (hot spot, …) ■Nagy populáció ■Letölthető hacker eszközök (http://staff.washington.edu/dittrich/misc/ddos/ )http://staff.washington.edu/dittrich/misc/ddos/ 2014. 07. 15.Számítógép Hálózatok4

5 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Támadások fejlődése  Forrás: Cisco 2014. 07. 15.Számítógép Hálózatok5

6 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Tipikus biztonsági problémák  Támadási típusok ■Külső –Settenkedő – fizikai biztonság (zárolni a gépeket) –DoS Denial – of – Service »Nem feltétlenül okoznak kárt »Nehéz lekezelni –DDoS – ugyanaz csak több gépről (zombi gépek) –Alkalmazás rétegbeni támadások »Az alkalmazások biztnsági réseit használják ki »A legismertebbek »Nem megfelelően frissített rendszereket támadnak meg (Slammer 2002 augusztus-2003 január) –Hálózat kikémlelés – az első lépés a támadás előtt »Portscan »DNS, IP cím keresés ■Belső –Fertőzött laptop – gyakran tagja különböző hálózatoknak –Nem engedélyezett eszköz – pl.: nem megfelelően konfigurált vezetékmentes hozzáférési pont –Elbocsátott alkalmazott – Man in the middle –Vírusok/Trójaiak ■Vegyes –Csomag figyelés: Telnet, POP3, FTP, …. –IP spoofing: belső forrás IP címmel küldik kívülről (ACL, RFC 2827) 2014. 07. 15.Számítógép Hálózatok6

7 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Várható támadás típusok  Komplex Web támadás ■IE biztonsági rés + Apache biztonsági rés (egy feltört web szerverre tettek az IE számára veszélyes kódot)  Web szolgáltatások elleni támadások  Spyware fenyegetés – a Microsoft szerint a rendszerösszeomlások feléért felelősek, a DELL szerint a bejelentett hibák 12% százalékát okozzák (http://www.informationweek.com/showArticle.jhtml?articleID=19200218 )http://www.informationweek.com/showArticle.jhtml?articleID=19200218  Mobil eszköz elleni támadások (PDA, Telefon,..)  SPAM  DoS  DDoS 2014. 07. 15.Számítógép Hálózatok7

8 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Megoldás(talán, nincs tökéletes)  Elvileg nincs szükség másra, csak megfelelően beállított gépekre  DE a szoftver hibák, emberi mulasztások, … miatt mégis szükség van: ■Elosztott, jól koordinálható, több rétegű védelem ■Integrált megoldás (kapcsolók, forgalomirányítók, szerverek, …) ■Automatikus reakció ■Védelmi keretrendszer –Védelem - Védelmi rendszer –Szabályozás - Bizalom és identitás menedzsment –Titkosítás - Biztonságos kapcsolat 2014. 07. 15.Számítógép Hálózatok8

9 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Biztonsági szabályok  A hálózatot biztonsági övezetekre kell osztani  Egy-egy biztonsági övezet saját biztonsági szabályrendszerrel bír  Ezen övezetek határán szükség van egy olyan eszközre mely a különböző szabályokból adódó konfliktusokat feloldja  Ez az eszköz legtöbbször a tűzfal 2014. 07. 15.Számítógép Hálózatok9

10 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Védelmi topológiák  Egyszerű határ tűzfal  Megbízhatatlan gép  Három zónás architekrúra: ■Fegyvermentes övezet (DMZ DeMilitarized Zone) ■Kettős tűzfal 2014. 07. 15.Számítógép Hálózatok10

11 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Határ tűzfal  Egyrétegű megoldás  Egy eszközre van telepítve minden tűzfal funkció  Egy eszköz köt össze minden hálózatot  Egyszerű  Olcsó  A legkevésbé biztonságos megoldás ■Egy eszközön kell a biztonsági hiányosságokat kiaknázni 2014. 07. 15.Számítógép Hálózatok11

12 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Megbízhatatlan gép  Vannak olyan szervereink melyek szolgáltatásokat nyújtanak a külvilágnak ■Web ■SMTP ■FTP ■NTP ■SSH ■RDesktop ■VPN szerver ? ■…  Mivel ez a leginkább veszélyeztetett ezért ezt a tűzfalon kívül helyezzük el  Minimális szolgáltatásra kell törekednünk  A belső gépek nem bíznak meg benne 2014. 07. 15.Számítógép Hálózatok12

13 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Demilitarizált övezet  A megbízhatatlan szolgáltatókat is védeni szeretnénk  Itt egy új hálózatot alakítunk ki ezen szolgáltatások számára  Nagyobb ■Biztonság ■Rendelkezésre állás ■Megbízhatóság 2014. 07. 15.Számítógép Hálózatok13

14 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Dupla tűzfal  A célja ugyanaz mint az előzőé  Funkciók ■Perem tűzfal ■Belső tűzfal  Hálózatok: ■Határ hálózat ■DMZ ■Belső hálózat  Célszerű különböző architektúrájú tűzfalakat választani 2014. 07. 15.Számítógép Hálózatok14

15 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Védelmi eszközök  Tűzfal ■Osztályai: –Személyes (első osztály) –Forgalomirányító (második osztály) –Alsó kategóriás hardver tűzfalak (harmadik osztály) –Felső kategóriás hardver tűzfalak (negyedik osztály) –Szerver tűzfalak (ötödik osztály) ■Típusai –Csomagszűrő –Cím transzformáló –Állapottartó –Kapcsolat szintű átjáró –Proxy –Alkalmazás rétegbeni szűrés ■Megvalósítások –Netfilter (http://www.netfilter.org/ )http://www.netfilter.org/ –ISA 2004 (http://www.microsoft.com/isaserver/ )http://www.microsoft.com/isaserver/ –CISCO PIX (http://www.cisco.com/warp/public/cc/pd/fw/sqfw500/ )http://www.cisco.com/warp/public/cc/pd/fw/sqfw500/  Behatolás érzékelő rendszer ■SNORT (http://www.snort.org/ )http://www.snort.org/ ■Cisco IDS 4200 (http://www.cisco.com/warp/public/cc/pd/sqsw/sqidsz/ )http://www.cisco.com/warp/public/cc/pd/sqsw/sqidsz/ 2014. 07. 15.Számítógép Hálózatok15

16 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Tűzfal típusok: Csomagszűrő  Mivel a különböző hálózatokat leggyakrabban forgalomirányítók kötik össze ezért ezen funkciók leggyakrabban itt található  Ha már van router akkor mindenképpen azon célszerű implementálni  A 3. rétegben működik  Szűrő feltételek: ■Forrás/Cél cím ■Forrás/Cél port  Ezzel célszerű az IP spoofing-ot kivédeni  Ez nagyon gyors és kis erőforrás igényű tud lenni 2014. 07. 15.Számítógép Hálózatok16

17 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Tűzfal típusok: NAT  Tipusai: ■PAT – Port Address Translation ■NAT – Network Address Translation  Lehet: ■Dinamikus ■Statikus  Címfordítást végez  Elrejti a belső címeket  Alkalmazás réteg? 2014. 07. 15.Számítógép Hálózatok17

18 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Tűzfal típusok : Kapcsolat szintű átjáró  Nem vizsgál minden egyes csomagot  Amint a kapcsolat felépült utána az adott viszonyhoz tartozó összes csomag mehet  A 4. rétegben működik  Jobb mint csak csomagszűrés  Tartalmazhat alkalmazás rétegbeni funkciókat is ■Pl.: FTP 2014. 07. 15.Számítógép Hálózatok18

19 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Tűzfal típusok : Állapottartó  Az előző kettő kombinációja  A 3., 4. rétegben működik  Minden kimenő csomag naplózva van az állapot táblában ■Forrás/Cél IP ■Forrás/Cél port  A bemenő forgalomnál így ellenőrizhető, hogy ki kezdeményezte  Ez a tudás mindenképpen megkövetelendő egy tűzfaltól  Egyéb információkat is eltárolhat ■Protkoll falg-ek 2014. 07. 15.Számítógép Hálózatok19

20 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Tűzfal típusok : Proxy  A kommunikáció 3 vagy több fél között folyik ■Kliens ■Proxy ■Szerver  Títkosítatlan esetben a kliens nem látja közvetlenül azokat a csomagokat amelyeket a szerver küldött és fordítva  Títkosított esetben a proxy ellenőrzi a fejléceket és ha minden OK akkor továbbküldi  Gyorsítótár  Protokoll validáció  Felh. ID alapú döntés  Bonyolult  Minden protokollt ismernie kell 2014. 07. 15.Számítógép Hálózatok20

21 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Alkalmazás szintű szűrés  A legintelligensebb  Értelmezni tudják az adott alkalmazás adatát és ez alapján döntéseket hoznak  SMTP parancsok, DNS parancsok, SPAM szűrés  Igény alapján dinamikusan nyitja a portokat ■DNS felé UDP csak akkor ha a DNS indította a kapcsolatot és addig amíg ez a kapcsolat tart  Títkosított forgalom kezelése: ■Ugyanaz mint a proxy-nál ■A tűzfalon végződtetve mindkét oldalon 2014. 07. 15.Számítógép Hálózatok21

22 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Személyes tűzfal  A PC-n futó szoftver szolgáltatás  Egyre több otthoni kapcsolat  Kis hálózat védelmére is alkalmas (otthoni hálózat)  A hálózattól függetlenül ma már minden gépen kötelező a használata (különösen mobil eszközöknél)  Jóval kisebb tudású mint a többi, gyakran csak csomagszűrésre alkalmas  Előnyei: ■Olcsó (ingyenes) ■Egyszerű konfigurálni  Hátrányai: ■Nehéz központból menedzselni ■Kis teljesítményű ■Korlátolt tudású 2014. 07. 15.Számítógép Hálózatok22

23 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Forgalomirányító tűzfal  A forgalomirányítók gyakran rendelkeznek tűzfal funkciókkal is  Az alsó kategóriás forgalomirányítók általában IP cím alapján és port alapján képesek a forgalmat szűrni valamint NAT-ot is biztosítanak a címek elrejtésére  A felső kategóriás eszközök programozhatóak ACL listák segítségével, állapotkövetőek, támogatják a magas rendelkezésre állást  Előnyeik: ■Olcsóak (a hardvereshez viszonyítva) ■Egyszerű, szokványos konfiguráció  Hátrányaik: ■Teljesítmény ■Limitált funkcionalitás 2014. 07. 15.Számítógép Hálózatok23

24 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Hardver tűzfalak  Alsó kategóriás ■Statikus szűrés ■Plug-and-Play ■VPN ■Bizonyos szintig menedzselhetőek ■Előnyei: –Gyakorlatilag nem kell konfigurálni –Olcsó ■Hátrányai: –Korlátozott funkicionalitás –Gyenge teljesítmény  Felső kategóriás ■7500-500000 kapcsolat ■Manuális konfiguráció ■Moduláris ■Magas rendelkezésre állás ■Alkalmazás szintű szűrés ■Gyors ■Drága 2014. 07. 15.Számítógép Hálózatok24

25 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Szerver tűzfalak  A legtöbb rendszergazda számára jól ismert környezet ■Linux ■Windows ■FreeBSD ■…  Jól bővíthető (sw/hw)  Gyors (megfelelő méretű gépen)  Integrálható  Skálázható  Az oprendszer hibáit kiaknázhatják a támadók 2014. 07. 15.Számítógép Hálózatok25

26 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS IDS  Behatolás érzékelés  Mai állapot: ■Lenyomat alapú érzékelés ■A riasztás értékelése ma még többnyire manuális ■A legtöbb IDS rendszerben nincs meg a kellő intelligencia, hogy megbízhatóan ellenőrizze a támadást figyelembe véve más információkat is és meghozza a megfelelő döntéseket ■Legtöbb helyen nincs központi log (tűzfal, szerver, …) 2014. 07. 15.Számítógép Hálózatok26

27 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Ideális eset  Aggregáció ■SNMP, Syslog, …  Korreláció ■Pl.: időbélyeg  Analízis ■A host értéke ■Szolgáltatásai ■Viszonya a többihez ■Rendszergazda ■Lehetséges sebezhetősége 2014. 07. 15.Számítógép Hálózatok27

28 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS SNORT  GNU GPL licensz  Minta alapú  Valós idejű forgalom analízis  Protokoll analízis  Szabályokat definiálhatunk a keresett mintákra  alert tcp any any -> any 139 (content:"|5c 00|P|00|I|00|P|00|E|00 5c|";)  Három üzemmód ■Sniffer ■Packet logger ■NIDS  Működése ■Dekódolás – protokoll dekódolás ■Preprocesszor – pl.: port scan detektálás ■Detektáló rész – szabályok  1 GBit/s 2014. 07. 15.Számítógép Hálózatok28

29 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 29 DNS  Bevezető  Elnevezési séma  Protokol ■Formátum ■Rekord tipusok ■Hogyan működik  Forditott keresés  DNSSec

30 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Bevezető  DNS – Domain Name System  Elosztott adatbázis: kulcs, érték párok ■1. DNS név IP cím kapcsolás (ADDRESS) ■2. IP cím DNS név kapcsolás (PTR) ■3. Email útvonalválasztás (MX) ■4. Helyettesitő nevek (ALIAS) ■…  Elosztott kliens/szerver architektúra  Hierarchikus, nagyon jól skálázható  Internet skálájú szolgáltatás 2014. 07. 15.Számítógép Hálózatok30

31 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Név feloldás  Hosts fájl  DNS  LDAP  NIS  … 2014. 07. 15.Számítógép Hálózatok31

32 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Berkley Internet Name Domain  BIND ■Named ■Resolver –Gethostbyname –Gethostbyaddr () ■Nslookup, dig 2014. 07. 15.Számítógép Hálózatok32

33 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Protokoll  Send/Receive  UDP a kérdés, válaszokra  Ha a válasz túl nagy akkor átválthat TCP- re  TCP-t használ az adatbázisok átvitelére 2014. 07. 15.Számítógép Hálózatok33

34 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS DNS névtér  Problémák ■Arpanet /etc/hosts túl nagy ■30000+ venus nevű host  Hierarchikus névtér kell ■Jelenleg 14 Gbyte adat ■1768 lekérdezés másodpercenként 2014. 07. 15.Számítógép Hálózatok34

35 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Domain Naming System org. hu. edu. au. “.”“.” u-szeged.hu. inf.u-szeged.hu. Altartomány Második szintű tartomány Felső szintű tartomány Gyökér  Hierarchikus névtér  Elosztott adatbázis  Zóna fájlok (elsődleges, másodlagos)  FQDN  Név – IP cím leképezés 2014. 07. 15.Számítógép Hálózatok35

36 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Nevek, zóna fájlok  Nevek ■Internic menedzseli az első két szintet –13 root szerver –TLD ■Ezen felül mindenki azt csinál amit akar … ■A DNS nevek 12 illetve 64 karakteres lehetnek  Zónák ■Az adatbázis zónákra van osztva ■Minden szerveren legalább egy zóna van ■Egy-egy zónának általában több mint egy tároló szervere van 2014. 07. 15.Számítógép Hálózatok36

37 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Fontosabb bejegyzések  A – Host rekord (név -> IP hozzárendelés)  NS – Name Server (DNS szerver)  CNAME – Canonical Name (további nevek)  MX – Mail Exchange (Levelező szerver)  SOA – Start Of Authority (A Zóna kezdetét jelzi)  PTR – Pointer (IP -> név)  SRV – Service (szolgáltatás) 2014. 07. 15.Számítógép Hálózatok37

38 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS PTR 2014. 07. 15.Számítógép Hálózatok38

39 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Protokoll fejléc  Tipikusan UDP  Kérés/Válasz 2014. 07. 15.Számítógép Hálózatok39

40 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS A DNS lekérdezés áttekintése Lekérdezés Típusok Iterative Query A DNS szerver az általa válaszol más szerverek bevonása nélkül. Recursive Query A DNS szerver egy teljes választ biztosít, nem egy mutatót egy másik DNS szerverre Keresés Típusok Forward Lookup Név – ip cím Reverse Lookup ip cím név 2014. 07. 15.Számítógép Hálózatok40

41 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Lekérdezés 2014. 07. 15.Számítógép Hálózatok41

42 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Válaszok száma  Egy kérés – egy válasz ■Load balancing ■IPv6 vs. IPv4 ■SET TYPE= 2014. 07. 15.Számítógép Hálózatok42

43 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Gyorstár  Nem jó minden alkalommal végigkeresni a hierarchiát  A szerverek gyorsitótáraznak (1 nap) 2014. 07. 15.Számítógép Hálózatok43

44 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Válasz tipusa  Hiteles, mérvadó válasz (Authoritative) ■eredeti  Nem-mérvadó (Non-Authoritative) ■Gyorstár 2014. 07. 15.Számítógép Hálózatok44

45 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Zóna típusok Hagyományos Zónák Elsődleges ZónaMásodlagos Zóna Változás Zóna átvitel Active Directory Integrált Zónák Változás Zóna átvitel 2014. 07. 15.Számítógép Hálózatok45

46 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS A Zóna fájl Az erőforrás bejegyzése a számítógép: ■FQDN ■IP címét ■Alias-át tartalmazhatja. Zóna DNS Szerver Zóna Adatbázis Fájl @ NS casablanca.africa1.nwtraders.msft. casablanca A 192.168.11.1 marrakech CNAME casablanca.africa1. nwtraders.msft. 1.11.168.192.in-addr.arpa. PTR casablanca.africa1.nwtraders.msft. @ NS casablanca.africa1.nwtraders.msft. casablanca A 192.168.11.1 marrakech CNAME casablanca.africa1. nwtraders.msft. 1.11.168.192.in-addr.arpa. PTR casablanca.africa1.nwtraders.msft.RecordRecord 2014. 07. 15.Számítógép Hálózatok46

47 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 47 Hagyományos Zónák konfigurálása  Egy DNS szerver hagyományos elsődleges zónát, hagyományos másodlagos zónát vagy ezen típusok kombinációját tartalmazhatja DNS Szerver A A DNS Szerver B B Másodlagos Zóna (Master DNS Server = DNS Server A) C DNS Szerver C Másodlagos Zóna (Master DNS Server = DNS Server A) Elsődleges Zóna Zóna Információ 2014. 07. 15.Számítógép Hálózatok47

48 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 48 Zóna másolás folyamata Zóna másolás indul ha: ■A mester DNS szerver értesíti a másodlagos DNS szervereket a változásról ■A másodlagos DNS szerver lekérdezi az elsődlegest a változásokról DNS Server (Master) nwtraders training support Elsődleges Zóna Adatbázis Fájl Másodlagos Zóna Adatbázis Fájl DNS Szerver 1. Zóna 2014. 07. 15.Számítógép Hálózatok48

49 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Dinamikus Frissítések A Dinamikus DNS protokoll segítségével a kliens frissítheti a DNS bejegyzéseket 1 Számítógép IPcím kérelem 1 IP cím kiadás 192.168.120.133 IP cím kiadás 192.168.120.133 2 Zóna Adarbázis 1. Számítógép 192.168.120.133 DHCP Szerver Dinamikus Frissítés Dinamikus frissítés DNS Szerver 2014. 07. 15.Számítógép Hálózatok49

50 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Minta zóna fájl 2014. 07. 15.Számítógép Hálózatok50

51 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Nslokup használata Microsoft Windows 2000 [Version 5.00.2195] Copyright 1985-1999 Microsoft Corp. C:\>nslookup Default Server:london.nwtraders.msft Address:192.168.1.200 > bonn Server:london. nwtraders.msft Address:192.168.1.200 Name:bonn. nwtraders.msft Address:192.168.1.1 > 192.168.1.2 Server:london. nwtraders.msft Address:192.168.1.200 Name:denver. nwtraders.msft Address:192.168.1.2 > exit C:\> Command Prompt 2014. 07. 15.Számítógép Hálózatok51

52 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Fontosabb parancsok  ipconfig /flushdns  ipconfig /registerdns  nslookup ■set type=SOA 2014. 07. 15.Számítógép Hálózatok52

53 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Biztonsági problémák  Nincs senki sem azonositva, nem lehetünk biztosak az információban  A DNS szerver kijátszása kritikus lehet  DNS nagy mennyiségü információ ■Támadáshoz is  Nagyon függ a hatékony gyorstározástól  Ha a gyorstárban rossz információ van akkor az viszonylag hosszú ideig ott is marad 2014. 07. 15.Számítógép Hálózatok53

54 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Problémák  RFC 3833 ■Célok: –Adat integritás –Adat eredet ■Nem foglalkozik –Adat titkosság –Kilens azonosítás  Problémák:  DNS átverés ■Kérés/Válasz – egyetlen titkosítatlan UDP csomag –Mokey in the middle: DNS kérések/válaszok átirása (indukált, véletlen) –Hamis válaszok (a kérés ismeret nélkül ID/port…) ■A DNS szerver feltörése  Gyorstár mérgezés ■Név láncolat (Name Chaining) – olyan RR-is küld amit nem kérdeztek ■CNAME, NS, DNAME  DOS támadás 2014. 07. 15.Számítógép Hálózatok54

55 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS DNSSEC  IETF ajánlás halmaz ■RFC 2535 – adat eredet ■RFC 2845 – azonosítás ■RFC 2930 – kuccsere  PKI alapú megoldás ■Azonositja –Kommunikáló feleket –DNS adatot –Nyilvános kulcsok 2014. 07. 15.Számítógép Hálózatok55

56 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS DNSSEC működés  DNS rekordok biztostása ■Minden tartomány aláirja a Zónát saját kulcsával (zóna szintű kulcs) ■A nyilvános kulcsok a DNS-ben vannak ■A válasz tartalmazza a rekord digitális aláirását is ■Legalább egy nyilvános kulcsot ismernie kell 2014. 07. 15.Számítógép Hálózatok56

57 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Problémák a DNSSEC-cel  Honnan szerezzük be a publikus kulcsot?  Hol, hogyan lesz telepitve  DOS támadások  Idő-szinkronizálás (relatív helyett abszolút idő)  Kulcs elvesztése 2014. 07. 15.Számítógép Hálózatok57

58 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS  Itt a nyár !  Köszönöm a félévi figyelmet!  Sok sikert! 2014. 07. 15.58Számítógép Hálózatok


Letölteni ppt "UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 12. Alkalmazás réteg Dr. Bilicki Vilmos Szoftverfejlesztés."

Hasonló előadás


Google Hirdetések