Übersicht. Netzwerk-Technologien. QoS Parameter. Quality of Service (QoS) QoS Komponenten. Bestehende Probleme. Quality of Service (QoS) Sicherheit

Transkript

1 Übersicht Netzwerk-Technologien Quality of Service (QoS) Sicherheit Daniel Preisig Dario Zogg Quality of Service (QoS) Überblick Integrated Services/RSVP Differentiated Services Ende-zu-Ende QoS QoS Parameter Weitläufiger Begriff Wird in untersch. Grössen gemessen: Service Availability Delay Delay Jitter Troughput Packet Loss Rate QoS Komponenten Signalisierung und Admission Control Shaping Policing Routing Scheduling Buffer Management Verkehr Bestehende Probleme Einführung Domänen bilden Tunneling Heterogenität Link-Layer Protokolle 1

2 Lösungsansätze In jedem Router der Teilstrecke, pro Fluss Ressourcen reservieren. IntServ In einige wenige Dienstgüte-Klassen zusammenfassen, Aggregate bilden DiffServ Integrated Service/IntServ (1) Best-Effort-Service Controlled-Load Service: Performanz so gut wie in einem unbelasteten Netzwerk. Keine quantitativen Zusicherungen Guaranteed Service: Garantierte Bandbreite und obere Delay-Grenze Integrated Service/IntServ (2) Benötigt ein Signalisierungsprotokol: RSVP Ähnliche Designphilosophie wie ATM: Pro-Fluss Behandlung Ende-zu-Ende Singalisierung RSVP Ressource Reservation Protocoll Signalisierungsprozess: IntServ/Bestandteile Tunneling: PATH und RESV Nachrichten werden in IP-Packete eingepackt. Admission Control: muss in jedem IntServfähigen Gerät vorhanden sein Prüft, ob genügend Ressourcen vorhanden und ob gewünschter Dienst machbar Policy Control IntServ Probleme (1) Komplexität in den Routern: Klassifizierung, Scheduling, etc. Nicht skalierbar mit # der Flüsse -> ungeeignet für Backbone Benötigt Konzept von virtual Paths oder aggregated flow groups für den Backbone 2

3 IntServ Probleme (2) Policy Kontrolle: wer kann Reservationen machen? Ungenügend Empfänger basiert Soft State: benötigt Routen/Pfad pinnig Keine Verhandlungen und Rückverfolgung möglich Trend: Differenzieren Nicht Integrieren Wenige QoS-Klassen Flüsse werden zu Aggregaten zusammengefasst -> Reduktion der Statusinformationen DiffServ-Cloud DS-Feld TOS-Feld des IPv4 bzw. Traffic Class Octett von IPv6. 6 Bit def. DS-Codepoint: DSCP Jedem DSCP wird genau ein PHB zugeordnet. Aktive Komponente entscheidet anhand dieser PHB Bearbeitungsverhalten Per Hop Behaviors (PHB) Verhalten angewant auf ein Aggregat Vereinbarung Ressourcen (z.b Bandbreite) Verkehrseigenschaften (z.b delay) Priorität relativ zu anderen PHBs Lokale Bedeutung innerhalb DS-Wolke Zwischen Domänen: SLA (Service Level Agreements) Expedited Forwarding Wie Controlled Load Service -> besserer Best-Effort-Service Auch als Premium Service bezeichnet Durchsatz muss unabhängig von der Belastung auf dem Netz gewährleistet bleiben 3

4 Assured Forwarding 4 unabhängige Klassen Drop-Precedence Bei Überlast -> Verwerfe Pakete mit grösster Drop-Precedence Weiterleitungswahscheinlichkeit Grösse der resv. Ressourcen Höhe der Netzbelastung Verlustwahrscheinlichkeit Zusammenfassung (1) IntServ Verkompliziert Router (Module, RSVP) Schlecht skalierbar Empfängerbasiert Soft States -> Monitoring, Admin Aufwand Um Problem der Skalierbarkeit zu lösen, wurde DiffServ vorgeschlagen Zusammenfassung (2) Mögliche Entwicklung DiffServ Etappenweise Anbietung von QoS kann kein Ende-zu-Ende QoS garantieren Senderorientiert Grosse Flüsse, wie z.b Videokonferenzen benötigen Pro-Fluss Garantien; DiffServ bietet diese aber nur den Aggregaten Sicherheit in Netzwerken Sicherheitsanforderungen Sicherheitskriterien Angriffsmöglichkeiten Kryptographie Sicherheitsverfahren im Internet SSL IPSec Sicherheitskriterien Authentizität Integrität Verbindlichkeit Verfügbarkeit Vertraulichkeit 4

5 Angriffsmöglichkeiten Lauschen Ändern von Daten Man-in-the-Middle Attacken Kennwortattacken Angriffe mit komprimitierten Schlüsseln Angriffe auf die Dienstverfügbarkeit Angriffe auf der Anwendungsschicht Lauschen Analyse von Netzinfrastruktur und Erlangen von Daten mit deren Hilfe das Netz angegriffen werden kann Mitlesen der Kommunikation Chiffrieren Ausspähen von Kennwörtern Man-in-the-Middle Attack Der Angreifer stellt sich zwischen Sender und Empfänger Umleiten oder ändern der Daten, ohne dass die Kommunikationspartner etwas davon bemerken Chiffrieren + Signieren IP-Spoofing Verfälschen oder Nachahmen von IP- Adressen im Netz Modifikation, Umleiten durch Manipulation der unzureichend geschützten Routingtabellen IP- signieren Kennwortattacken Ältere Programme und Protokolle verschlüsseln die Kennwörter nicht oder nur unzureichend Chiffrieren / Challenge Protokoll Denial-of-Service Senden von falschen Daten zu Netzdiensten oder Applikationen, was zu abnormalen Reaktionen bis hin zum Ausfall führt Überfluten von Rechnern mit Anfragen bis sie auf Grund der Überlastung vom Netz genommen werden müssen Auf bessere Zeiten hoffen 5

6 Angriffe auf Anwendungsebene Lesen, Hinzufügen, Löschen oder Ändern der Daten oder des Betriebsystems Einschleusen von Viren und Trojanern Installation eines Sniffers Firewall, Patches, Schulung Kryptoverfahren Symmetrische Verfahren (zum Verschlüsseln) DES / 3DES IDEA Asymmetrische Verfahren (für Digitale Signaturen & Schlüsselaustausch) RSA Problem: Public-Key-Infrastructure (PKI) Diffie-Hellman Man-in-the-middle Attacke möglich SSL Secure Socket Layer Von Netscape entwickelt Legt zusätzlichen Schicht zwischen Applikations- und Netzwerkebene Muss vom Anwendungsprogramm unterstützt und implementiert werden Kommunikation zum Anwendungsprogramm hin im Klartext Für verschiedene Protokolle wie HTTP, FTP, IMAP oder Telnet einsetzbar Verify server certificate, extract server public key Encyrpt pre-master secret with server public-key Generate keys from pre-master secret and randoms SSL Handshake Client Client Hello Client random + gmt time + session ID cipher suites + compression methods Server Hello Server random + controller certificate + session ID cipher suites + compression methods Client Key Exchange Master secret encrypted with server public key Finished Application data CAUTION: This might allow a "manin-the-middle" attack by editing the cipher suite list to force client and server to use 40-bit encryption. Server Decrypt pre-master secret with server private key Generate keys from premaster secret and randoms SSL Session Reuse (1) SSL Session Reuse (2) Generate keys from cached master secret and current randoms Client Client Hello Client random + gmt time + session ID cipher suites + compression methods Server Server Hello + Finish Server random + controller certificate + session ID cipher suites + compression methods Generate keys from cached master secret and current randoms Finished Application data 6

7 SSL Load Balancer (1) Load Balancer verteilt die HTTP-Requests im Round-Robin Verfahren auf alle Server SSL-Sessions gehen verloren! SSL Load Balancer (2) Server ID = f(request-ip) grosse Netze hinter Firewalls führen zu Ungleichgewicht bei der Zuteilung Session-Cache Sharing Aufwendig Änderung an den SSL-Libraries Load Balancer analysiert SSL-: Server ID = f(session ID) SSL Vor- & Nachteile Vorteile Hohe Verbreitung durch gute Unterstützung in den wichtigsten WWW- Browsern Nachteile Anwendungen müssen modifiziert werden um SSL zu unterstützen Keine Unterstützung für UDP IPSec - Übersicht Definiert von der Internet Engineering Task Force Besteht aus AAH (Authentication ) Protokoll ESP (Encapsulation Security Payload) Protokoll IKE (Internet Key Exchange) Protokoll. Arbeitet auf IP-Ebene Bestandteil von IPv6 und Erweiterung für IPv4 IPSec - IKE Erstellt eine sogenannte SA (Security Association) zwischen Sender und Empfänger Verwendete Algorithmen Schlüssel Verbindungsdauer Schlüsselaustausch erfolgt mittels Diffie- Hellman und Austausch digitaler Signaturen Initialisert anschliessend AH und ESP IPSec AH Authentizität und Integrität eines IP-Pakets werden garantiert Kann zur Sicherung von bereits verschlüsselten Daten (z.b SSH Sessions) verwendet werden IPv4 AH Next Length Reserved IP-Payload Security Parameters Index (32-bit) Authentication Data (MD5 or SHA Fingerprint) 7

8 IPSec ESP Tunnel Mode (optional) Verschlüsselt IP-Payload + IP- und fügt neuen IP- ein Wahre IP-Adresse bleibt geheim Firewall-Firewall Verbindung in VPN Transport Mode IPv6 IPSec IPv4 vs. IPv6 IPv4 AH Other IP s Hop-by-Hop Options ESP AH ESP Payload Other IP s Destination Options ESP ESP Payload IP IP-Payload* Transport Mode Tunnel Mode IP IP Payload IP IP Payload IP * IP-Payload* IPSec Vor- & Nachteile Vorteile Transparent gegenüber Anwendungsprogrammen Untersützung von UDP (wichtig für Multimedia- und Realtime-Anwendungen) Nachteile IP-Stack muss geändert werden Geschwindigkeit (?) Fazit Gefahr kommt von Trojanern, Hintertüren, überforderten Sysadmins und fehlendem Sicherheitsverständnis der Benutzern Für das WWW hat sich SSL etabliert Für neue Multimedia- und Realtime- Anwendungen bietet sich IPSec an Verbreitung von IPv6 fördert IPSec kein Patch von IPv4 mehr nötig vereinfacht den Einsatz von VPN Diskussion (1) Fragen? Wir versuchen unser Bestes... QoS Ist am Schluss Modell mit DiffServ im Kern und IntServ an den Enden des Netzwerks realistisch Besteht überhaupt der Bedarf nach QoS 8

9 Diskussion (2) Sicherheit Ist IPSec = VPN? Wird SSL durch IPSec verdrängt? Kann IPSec jemals völlig transparent funktionieren? Wieso wird DES und 3DES immer noch verwendet, obwohl es diverse Gerüchte über eine Hintertür für die NSA gibt? Ist 128-Bit Verschlüsselung noch sicher? Immerhin hat die NSA zugestimmt das Exportverbot aufzuheben. NSA (National Security Acency) Grösser als FBI und CIA Jahresbudget von Mrd. US-$ Weltweit grösster Arbeitgeber für Mathematiker (20'000-40'000) Weltweit grösster Käufer von Computer- Hardware Brute Force Code-Breaking 64 EFF (Electronic Frontier Foundation) Einheiten pro Chip 64 Chips pro Board mit Ethernet-Karte Takt mind. 100 Mhz Das System enthält 2 20 =1'048'576 Boards (512 PC's) Knackt RC5/6 64 Bit in ~3.6 Minuten, 80 Bit in ~80 Tagen Boards $ 240'000'000 Kosten: PC's Netzwerk Design Software Total $ $ $ 10'500'000 $ $ 276'500'000 Code-Breaking Alternativen Bestechung / Erpressung Unprofessioneller Einsatz von Kryptosystemen Hintertüren von den Herstellern Manipulation von Software, so dass nur schwach kodiert wird 9