Rechnernetze und verteilte Systeme (BSRvS II)

Transkript

1 Rechnernetze und verteilte Systeme (BSRvS II) Prof. Dr. Heiko Krumm FB Informatik, LS IV, AG RvS Universität Dortmund Sicherheitsziele Kryptographie abstrakt Authentifikation Integrität Schlüsselverteilung und Zertifikate Firewalls Angriffe und Gegenmaßnahmen IPsec Computernetze und das Internet Anwendung Transport Vermittlung Verbindung Multimedia Sicherheit Netzmanagement Middleware Verteilte Algorithmen H. Krumm, RvS, Informatik IV, Uni Dortmund 1

2 Kap. 7: Sicherheit im Netz Lernziele: Prinzipien der Sicherheit im Netz Kryptographie und Nutzungen, die über Vertraulichkeitsschutz hinausgehen Authentifikation Nachrichtenintegrität Schlüsselverteilung Sicherheit in der Praxis Firewalls Sicherheitsfunktionen in den Kommunikationsschichten Eigentümer Angreifer hat Interesse an will minimieren weiß u.u. von erwirkt Schutzmaßnahme kann reduziert werden durch Bedrohung erzeugt missbraucht / schädigt reduziert u.u. behaftet mit Schwachstelle nutzt aus erhöht von führt zu Risiko für Wert H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 2

3 Kap. 7: Übersicht 7.1 Sicherheitsziele 7.2 Kryptographie abstrakt 7.3 Authentifikation 7.4 Integrität 7.5 Schlüsselverteilung und Zertifikate 7.6 Firewalls 7.7 Angriffe und Gegenmaßnahmen 7.8 Sicherheit in den verschiedenen Kommunikationsschichten H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 3

4 Sicherheitsziele Vertraulichkeit Integrität Verfügbarkeit Die drei immer genannten Hauptziele Anonymität Es gibt weitere Ziele. Ziele können gegensätzlich sein Nachvollziehbarkeit / Zurechenbarkeit Authentifikation Autorisierung Die beiden grundlegenden Hilfsdienste Im Netz: Nachrichtenvertraulichkeit / Integrität Nachrichten--Absenderauthentifikation, Empfängerauthentifikation H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 4

5 Freunde und Feinde: Alice, Bob, Trudy In der Welt der Netzsicherheit wohlbekannt Bob und Alice (befreundet!) wollen sicher kommunizieren Trudy (der Eindringling) kann Nachrichten abfangen, löschen, verändern, einschleusen Alice Kanal Daten und Kontrollnachrichten Bob data Sicherer Sender Sicherer Empfänger data Trudy H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 5

6 Wer kann Bob und Alice sein? natürlich real-life Bobs und Alices! Web-Browser und Server, die elektronische Transaktionen asusführen (e.g., On-line-Shop Einkauf) On-line Banking-Client und Server DNS-Server Router, die Routingtabellen aktualisieren weitere Beispiele? H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 6

7 Es gibt aber überall auch bad Guys (und Girls)! F: Was kann ein bad Guy tun? A: Jede Menge! Abhören aktiv neue Nachirchten einfügen / unterschieben Maskerade: fälschen (spoof) der Quelladresse eines Pakets (oder anderer Kontrollfelder) Sitzungsübernahme (Hijacking) / Verbindungsübernahme Verfügbarkeitsattacke (Denial of Service / DoS-Attacke) darüber später mehr H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 7

8 Kryptographie abstrakt K A Alices Verschlüsselungsschlüssel K B Bobs Entschlüsselungsschlüssel Klartext/Plaintext encryption algorithm ciphertext decryption algorithm Klartext/ Plaintext Symmetrische Verschlüsselung: Beide Schlüssel sind identisch Shared Secret Asymmetrische Verschlüsselung: Paar aus öffentlichem und privatem Schlüssel (Public Key, Private Key), (Privater Schlüssel ist geheim) H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 8

9 Symmetrische Verschlüsselung K A-B K A-B plaintext message, m encryption algorithm ciphertext K A-B (m) decryption algorithm plaintext m = K ( K (m) ) A-B A-B Symmetrische Verschlüsselung: Bob and Alice kennen beide gemeinsam denselben Schlüssel: Shared Secret K A-B Problem Das Shared Secret muss irgendwann vorher einmal auf sichere Weise kommuniziert worden sein: Man kann nur dann sicher kommunizieren, wenn man vorher schon einmal sicher kommunizieren konnte! Vorteil Leistungsfähige Algorithmen und Implementierungen verfügbar. Beispiele: DES, TripleDES, AES H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 9

10 Public Key Kryptographie Asymmetrische Verschlüsselung + K B - K B Bob s public key Bob s private key plaintext message, m encryption algorithm ciphertext + K (m) B decryption algorithm plaintext message - + m = K (K (m)) B B Public Key Kryptographie [Diffie-Hellman76, RSA78] Es gibt kein geteiltes Geheimnis Alle kennen den öffentlichen Schlüssel Nur der Empfänger kennt den privaten Entschlüsselungsschlüssel H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 10

11 Authentifikation Bob und Alice kommunizieren per Nachrichtenaustausch. Ziel: Bob möchte, dass Alice ihm beweist, dass sie wirklich Alice ist Protokoll ap1.0: Alice teilt mit Ich bin Alice I am Alice Fehlermöglichkeiten?? H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 11

12 Authentifikation Bob und Alice kommunizieren per Nachrichtenaustausch. Ziel: Bob möchte, dass Alice ihm beweist, dass sie wirklich Alice ist Protokoll ap1.0: Alice teilt mit Ich bin Alice I am Alice Da Bob Alice nicht sehen kann, kann Trudy einfach behaupten, selbst Alice zu sein H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 12

13 Authentifikation Protokoll ap2.0: Alice teilt per IP-Paket mit ihrer IP-Adresse als Absenderadresse mit Ich bin Alice Alice s IP address I am Alice Fehlermöglichkeiten?? H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 13

14 Authentifikation Protokoll ap2.0: Alice teilt per IP-Paket mit ihrer IP-Adresse als Absenderadresse mit Ich bin Alice Alice s IP address I am Alice Trudy can ein IP-Paket mit gefälschter Absenderadresse erzeugen (IP-Spoofing) H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 14

15 Authentifikation Protokoll ap3.0: Alice teilt mit Ich bin Alice und sendet ihr geheimes Passwort als Beweis mit Alice s IP addr Alice s password I m Alice Alice s IP addr OK Schwachstellen?? H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 15

16 Authentifikation Protokoll ap3.0: Alice teilt mit Ich bin Alice und sendet ihr geheimes Passwort als Beweis mit Alice s IP addr Alice s password I m Alice Alice s IP addr OK Alice s IP addr Alice s password I m Alice Wiedereinspiel-Attacke (Playback): Trudy hört Alices Paket mit, kopiert es und sendet es später an Bob H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 16

17 Authentifikation Protokoll ap3.1: Alice teilt mit Ich bin Alice und sendet ihr geheimes Passwort in verschlüsselter Form als Beweis mit Alice s IP addr encrypted password I m Alice Alice s IP addr OK Schwachstellen?? H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 17

18 Authentifikation Protokoll ap3.1: Alice teilt mit Ich bin Alice und sendet ihr geheimes Passwort in verschlüsselter Form als Beweis mit Alice s IP addr encrypted password I m Alice Alice s IP addr OK Alice s IP addr encrypted password I m Alice Wiedereinspiel-Attacke funktioniert immer noch H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 18

19 Authentifikation: Nächster Versuch Ziel: Verhindere erfolgreiche Playback-Attacken Nonce: Zahl, die nicht vorhersagbar ist und nur einmal benutzt wird (N once ) ap4.0: Als Beweis dafür, dass Alices Antwort frisch ist, sendet Bob eine Nonce R an Alice, Alice muss R in verschlüsselter Weise zurücksenden (Challenge-Response-Authentifkation) I am Alice Schwachstellen?? Achtung Alice: Bob hat sich nicht authentifiziert! R K A-B H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 19 (R) Die Antwort ist frisch, und sie kommt von Alice, da nur sie (außer Bob) K A-B kennt und R verschlüsseln konnte.

20 Authentifikation mit Public Key Kryptographie ap4.0 benötigt ein Shared Secret K A-B, das initial beiden bekannt sein muss Geht es auch mit Public-Key-Verschlüsselung? ap5.0: Nonce und Signatur R I am Alice - K A (R) send me your public key + K A K A Bob berechnet + - (K (R)) = R A und weiß, dass nur Alice ihren privaten Schlüssel kennt, so dass nur sie die Nachricht erzeugen konnte H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 20

21 ap5.0: Schwachstelle Man in the Middle Angriff Man (woman) in the middle attack: Trudy gibt sich bei Bob als Alice und bei Alice als Bob aus - + m = K (K (m)) A A I am Alice R - K (R) A Send me your public key K + A + K (m) A Trudy gets - + m = K (K (m)) sends T m to T Alice encrypted with Alice s public key I am Alice R - K (R) T Send me your public key K + T + K (m) T Problem: Zuordnung K Alice + A sollte für Bob prüfbar sein H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 21

22 Digitale Unterschrift (Digital Signature) Kryptographische Technik, welche die Funktion handschriftlicher Unterschriften erfüllen soll Sender (Bob) signiert ein Dokument digital und bestätigt damit, dass er das Dokument so erzeugt hat verifizierbar, fälschungssicher: Empfänger (Alice) kann Dritten gegenüber beweisen, dass Bob, und niemand anders (auch Alice nicht), das Doklument signiert haben muss ABER: Kryptoalgorithmen sind nicht ewig sicher: Digitale Unterschriften müssen alle paar Jahre aufgefrischt werden Private Schlüssel können korrumpiert werden: Rückrufe H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 22

23 Digitale Signatur Einfache digitale Signatur für eine Nachricht m: Bob signiert m dadurch, dass er m mit seinem privaten Schlüssel K B - verschlüsselt: K B - (m) Bob s message, m Dear Alice Oh, how I have missed you. I think of you all the time! (blah blah blah) Bob - K B Public key encryption algorithm Bob s private key - K B (m) Bob s message, m, signed (encrypted) with his private key Wenn Alice diese Nachricht empfängt, den öffentlichen Schlüssel von Bob kennt und davon ausgehen kann, dass Bobs privater Schlüssel nur Bob bekannt ist: Bob und kein anderer hat diese Nachricht so signiert Bob kann nicht abstreiten, dass er die Nachricht signiert hat Probleme: Asymmetrische Verschlüsselung ist rechenaufwendig Wie erfährt Alice den öffentlichen Schlüssel K B + von Bob? H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 23

24 Message Digest Kryptographische Hashfunktion Das direkte Signieren langer Nachrichten kostet viel Rechenzeit Ziel: effizient berechenbarer Fingerabdruck einer Nachricht m: Message Digest H(m) H ist kryptographische Hashfunktion Beispiele MD5 (RFC 1321) computes 128-bit message digest in 4- step process. arbitrary 128-bit string x, appears difficult to construct msg m whose MD5 hash is equal to x. SHA-1 (NIST Standard) large message m H: Hash Function H(m) Eigenschaften kryptographischer Hashfunktionen: Abbildung langer Bytefolgen auf kürzere Folge Nicht umkehrbar: Gegeben x = H(m), so ist es allzu aufwendig daraus m zu berechnen Gegeben m und x=h(m), so ist es allzu aufwendig ein m m zu finden, so dass x=h(m ) gilt. Es ist allzu aufwendig, überhaupt zwei m, m zu finden, so dass H(m)=H(m ) gilt H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 24

25 Internet Checksum: Zu schwach um Kryptohashfunktion zu sein Internet Checksum hat einige Hashfunktionseigenschaften: Abbildung auf kurze Bytefolge Streuung Aber, es ist sehr leicht, zu einer Nachricht m eine andere Nachricht m zu finden, welche denselben Funktionswert hat: message ASCII format message ASCII format I O U B O B 49 4F E D2 42 I O U B O B 49 4F E D2 42 B2 C1 D2 AC B2 C1 D2 AC Verschiedene Nachrichten aber gleiche Prüfsummen! H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 25

26 Digitale Signatur = Signierter Message Digest Bob sendet digital signierte Nachricht Alice verifiziert die Signatur und die Integrität der signierten Nachricht large message m + H: Hash function Bob s private key - K B H(m) digital signature (encrypt) encrypted msg digest - K B (H(m)) large message m H: Hash function H(m) Bob s public key + K B equal? encrypted msg digest - K B (H(m)) digital signature (decrypt) H(m) H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 26

27 Vertrauenswürdige dritte Parteien Verwaltung symmetrischer Schlüssel: Wie können 2 Parteien im Netz ein Shared Secret etablieren? Lösung: Key Distribution Center (KDC) wirkt als Mittler zwischen den Parteien statt n 2 Shared Secrets zwischen allen Paaren sind initial nur n Shared Secrets zwischen KDC und den Parteien einzurichten KDC generiert bei Bedarf Sitzungsschlüssel für 2 Parteien Public Key Zertifizierung: Wenn Alice den öffentlichen Schlüssel von Bob erfährt, wie kann sie sicher sein, dass das wirklich Bobs öffentlicher Schlüssel ist Lösung: Zertifizierungsstelle (Certification Authority CA) H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 27

28 Key Distribution Center (KDC) Alice, Bob brauchen ein Shared Secret zur effizienten sicheren Kommunikation KDC: Server verwaltet je Partei einen geheimen Schlüssel Alice und Bob kennen jeweils ihre eigenen geheimen Schlüssel, K A-KDC K B-KDC, mit deren Hilfe sie mit dem KDC authentifiziert kommunizieren können. Wenn Alice eine Sitzung mit Bob durchführen will, lassen sie sich vom KDC einen Sitzungsschlüssel als Shared Secret zwischen Alice und Bob erzeugen K Bauzi- KDC K A-KDC K B-KDC K A-KDC K B-KDC K Bauzi- KDC K X-KDC K Y-KDC K Z-KDC KDC H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 28

29 Key Distribution Center (KDC) Wie erfährt Bob den Sitzungsschlüssel R1? KDC erzeugt Ticket, das von Alice unveränderbar an Bob weitergegeben wird K A-KDC (A,B) KDC generates R1 Alice knows R1 K A-KDC (R1, K B-KDC (A,R1) ) K B-KDC (A,R1) Bob knows to use R1 to communicate with Alice Alice und Bob kommunizieren effizient: Sie nutzen R1 als Session Key für die symmetrische Verschlüsselung H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 29

30 Zertifizierungsstellen (Certification Authorities CAs) Certification Authority (CA): Verwalte die Bindung eines öffentlichen Schlüssels an Person / Partei E. E registriert seinen öffentlichen Schlüssel bei CA. E weist sich bei CA aus (z.b. mit dem Personalausweis) CA erzeugt einen Datensatz, das Zertifikat, das die Bindung von K E + an E dokumentiert Zertifikat: K E + ist öffentlicher Schlüssel von E digital signiert von CA Bob s identifying information Bob s public + key K B digital signature (encrypt) CA private key K - CA + K B certificate for Bob s public key, signed by CA H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 30

31 Inhalt eines Zertifikats Seriennummer (eindeutig für alle Zertifikate derselben CA) Information zur Partei: Name, Art auch (hier nicht sichtbar) öffentlicher Schlüssel sowie Angaben zu unterstützten Kryptoalgorithmen Info zu CA Gültigkeitszeitdauer Signatur der CA Weitere Aufgaben einer CA Zeitstempel Rückruf-Listen H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 31

32 Firewalls Firewall Verkehrskontrolleinrichtung an Grenze eines Firmennetzes zum öffentlichen Netz hin (auch an Innennetzgrenzen zu sensiblen Subnetzen): Lässt manche Kommunikation zu, manche nicht. administered network public Internet firewall H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 32

33 Firewalls: Motivation Eigentlich sind Firewalls nicht nötig, weil alle Hosts und Router nur vorgesehene Dienste an vorgesehene Nutzer erbringen sollen und dies durch die Autorisierungs- und Authentifikationsdienste der Rechner kontrolliert wird. Aber es gibt immer wieder unvorhergesehene Schwachstellen, die aus Programmierund Administrationsfehlern resultieren. Deshalb sollen Firewalls zusätzlich unabhängig von den anderen Diensten unerwünschten Verkehr abblocken und damit die Angriffsfläche verkleinern. Ferner Abwehr von Verfügbarkeitsangriffen auf das Innennetz Abwehr von IP-Spoofing-Angriffen Oft in Verbindung mit NAT Oft in Verbindung mit VPN H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 33

34 Firewalls: Architektur Drei Aspekte Netztopologie Innennetz Außennetz, Firewall an Verbindungswegen Filterfunktion 3 Filtertypen Applikationsfilter Verbindungsfilter Paketfilter (statisch / dynamisch) Filteranordnung nur ein Router mit Paketfilter mehrere zusammenwirkende Filter und Knoten» Dual homed Bastion Host» Screened Subnet administered network public Internet H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 34

35 Paket-Filter Router, der Innen- und Außennetz verbindet, hat Paketfilterfunktion Liste aus Filterregeln der Form Interface, Bedingung über Paket-Header, Aktion Bedingung: source IP address, destination IP address, TCP/UDP source and destination port numbers ICMP message type, TCP SYN and ACK bits Aktion: Paket durchlassen, verwerfen (mit / ohne Alarm) Statische und dynamische Filter Filterlisten Aufbau Should arriving packet be allowed in? Departing packet let out? Vorne: Anti-Spoofing Regeln verbieten, dass von außen Pakete mit Innenadressen durchkommen Mitte: Nur positive Regeln für den notwendigen Verkehr Hinten: Negative Regeln, die den ganzen Rest verbieten. H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 35

36 Verbindungsfilter Realisierung durch einen Prozess Verbindungs-Gateway auf einem Firewall-Host Es werden keine direkten Transportverbindungen mehr zwischen Außen- und Innennetz zugelassen: Stattdessen 2 Verbindungen: Client Gateway und Gateway Server Gateway packt die TCP-Nutzdaten aus und verpackt sie selbst wieder Prüfung der TCP-Adressen und Formate, Erschweren von Formatfehler- und Segmentierungsattacken Die eigentlichen Anwendungsdaten können nicht untersucht werden, weil das Verbindungsgateway das Anwendungsprotokoll nicht kennt TCP-Verbindung Host -- Gateway Verbindungs- Gateway TCP-Verbindung Gateway -- Server H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 36

37 Applikationsfilter Realisierung durch einen Prozess Applikationsgateway auf einem Firewall-Host, z.b. Telnet-Gateway Es werden keine direkten Anwendungsverbindungen mehr zwischen Außen- und Innennetz zugelassen: Stattdessen 2 Verbindungen: Client Gateway und Gateway Server Gateway packt die Anwendungsnutzdaten aus und verpackt sie selbst wieder Gateway kann Anwendungsdaten interpretieren, da speziell für bestimmten Anwendungstyp erzeugt: Nutzerkennungen, Authentifikation und Autorisierung Zusatzdaten (z.b. Mail-Anhänge, Active X, Applets) host-to-gateway telnet session application gateway gateway-to-remote host telnet session Ein Applikationsgateway wird oft auch Applikations-Proxy oder Applikationsfilter genannt H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 37

38 Firewall Filteranordnung Screening Router Innennetz Router mit Paketfilterfunktion Außennetz Bastion Host Innennetz Host mit Anwendungs- oder Verbindungsfiltern Außennetz Dual Homed Bastion Host Innennetz Host mit Anwendungs- oder Verbindungsfiltern und 2 Netzinterfaces Außennetz H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 38

39 Firewall Filteranordnung Innennetz Screened Subnet Firewall Screened Subnet Außennetz Interior Screening Router Bastion Hosts Exterior Screening Router Firewall besteht aus 2 Paketfiltern und einigen Bastion Hosts Paketfilter schützen die Bastion Hosts und erzwingen, dass Verkehr nur über die Gateways der Bastion Hosts stattfindet Bastion Hosts tragen die Anwendungsgateways z.b. auch -Proxy mit Virenscanner H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 39

40 Firewall Filteranordnung Innennetz Firewall DMZ Exterior Screening Router Außennetz Bastion- Hosts Demilitarisierte Zone (DMZ) Niemandsland enthält Server, die von außen zugänglich sein sollen, z.b.: WWW-Server FTP-Server Server-Hosts DMZ Firewall: Separate Firewalls zum Schutz der DMZ und des Innennetzes nötig Wenn ein Angreifer einen Server-Host übernehmen konnte, versucht er von dort aus, das Innennetz anzugreifen H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 40

41 Typische Bedrohungen im Internet (Internet Security Threats) Mapping und Scanning: Vor dem eigentlichen Angriff: Erkunde das Netz, finde heraus, welche Hosts, Dienste, Betriebssysteme vorhanden sind ping kann zeigen, welche Host-Adressen vergeben sind (auch Verzeichnisse sind nützlich) Port-Scanning: Versuch, zu jedem TCP Port eine Verbindung aufzubauen bzw. jeden UDP-Port anzusprechen Kommt eine Reaktion, welche? Bekannte Schwachstellen und Angriffsmuster durchspielen.» nmap ( mapper: network exploration and security auditing Ferner: Versuch, sich einzuloggen, Versuch FTP-Server-Account anzusprechen. Nutzernamen und Passwörter raten. Defaultmäßig eingerichete Accounts antesten. Schutzmaßnahmen? H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 41

42 Internet Security Threats: Schutzmaßnahmen Verkleinere Angriffsfläche Firewalls Auf Desktop-PC: Personal Firewall Gehärtete Konfiguration Bemerke Besonderheiten Log-Erzeugung und Prüfung (Logging and Audit) Verkehrsstatistiken führen und überwachen Systemkonfiguration und Dateien überwachen (Tripwire) IDS Automatische Angriffserkennunng (Intrusion Detection Systeme) Entferne Schwachstellen Aktualisiere Systeme, wenn Patches verfügbar Scanne selbst, um Schwachstellen zu finden Wehre bösartigen Code ab Virenscanner, Firewall, gehärtete Konfiguration, eingeschränkte Nutzeraccounts H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 42

43 Internet Security Threats Auch das Innennetz ist nicht sicher: Packet Sniffing Ethernet hat Broadcast-Segmente Angreifer kann seinen NIC so einstellen, dass er jedes Paket mitliest (promiscuous Mode) nicht-verschlüsselte Daten können gelesen werden (e.g. Passwörter) verschlüsselte Pakete können wieder eingespielt werden e.g.: C snifft Bs Pakete A C Schutzmaßnahmen? 1 Host per Segment (Switches) geschützte VPN-Verbindungen src:b dest:a payload B H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 43

44 Internet Security Threats IP-Spoofing: Der Sender eines IP-Pakets fälscht die Absender-Adresse Der Empfänger kann nie sicher sein, dass die Absender-Adresse stimmt e.g.: C pretends to be B A C src:b dest:a payload B Schutzmaßnahmen? Paketfilter enthalten Anti-Spoofing Regel (Grober Schutz gegen Adressbereichs-übergreifendes Spoofing) authentifizierte VPN-Verbindungen H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 44

45 Internet Security Threats Verfügbarkeitsangriffe (Denial of Service Attacken DoS): Flut böswillig generierter Pakete überlastet den Empfänger Distributed DoS (DDoS): koordinierte Angriffe vieler Sender (z.b. durch von Trojanern verseuchten Internet-User-PCs aus) e.g., SYN-Angriff (führt zu halboffenen TCP-Verbindungen) A C SYN SYN Schutzmaßnahmen? SYN SYN SYN SYN H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 45 SYN Herausfiltern (Firewall) - Problem: Wie trennt man Gute von Schlechten? Rückverfolgen B

46 Sichere Vertraulichkeit Alice will vertrauliche Mail m an Bob senden Bob hat zertifizierten öffentlichen Schlüssel K S m. K S ( ) K S (m ) K S (m ). K S ( ) m K S +. K B ( ) + K B + K B (K S ) + - Internet + K B (K S ) Alice: Prüft Bobs Zertifikat: Gültig? Generiert per Zufallsgenerator symmetrischen Secret Key K S Verschlüsellt Nachricht mit K S (Effizienz) verschlüsselt K S mit Bobs öffentlichem Schlüssel sendet beides, K S (m) und K B (K S ), in an Bob Bob entschlüsselt erst K B (K S ), dann K S (m) H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 46 - K B K S -. K B ( )

47 Sichere Integrität und Authentizität Alice möchte, dass Bob von der Authentizität und Integrität der Mail ausgehen kann m - K A. H( ) K A ( ) -. - K A (H(m)) + - Internet - K A (H(m)) + K A +. K A ( ) H(m ) compare m m. H( ) H(m ) Alice signiert ihre Nachricht digital sie sendet Klartextnachricht, Signatur und Zertifikat H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 47

48 Sichere Vertraulichkeit, Integrität und Authentizität Alice möchte Vertraulichkeit, Integrität und Authentizität gewährleisten. m m - K A. H( ) K A ( ) -. - K A (H(m)) Alice benutzt drei Schlüssel: Ihren eigenen privaten Schlüssel, Bobs öffentlichen Schlüssel und einen zufällig erzeugten symmetrischen Schlüssel + K S. K S ( ) +. K B ( ) H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 48 + K B K S + + K B (K S ) Internet

49 Sichere Problem PKI PKI: Public Key Infrastructure 1. anerkannte Certification Authorities (CAs) 2. Nutzer müssen dort auch ein Zertifikat haben Kosten der Zertifikate Interessant Billige Lösungen z.b. PGP Web of Trust: Nutzer zertifizieren sich gegenseitig H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 49

50 TLS / SSL: Transport Layer Security / Secure Socket Layer Aufsatz auf TCP-Verbindungen: (optionale) Authentifikation der Partnerprozesse Vertraulichkeit, Integrität und Authentizität der Nachrichten per Verschlüsselung in Anwendungsprozessen zu implementieren, z.b. im Web- Browser und im Web-Server (shttp) Betrieb in 2 Phasen 1. Vorbereitung Authentifikation, Kryptoparameterabstimmung, Sitzungsschlüsselaustausch 2. Kommunikation Wie TCP über Sockets Server Authentifikation: SSL-Enabled Browser enthält Zertifikate vertrauenswürdiger CAs. Browser fordert von einem kontaktierten Server dessen Zertifikat an, das von einer dieser CAs ausgestellt sein muss Browser prüft mit dem CA-Zertifikat, ob das Server-Zertifikat gültig ist (Problem: Rückrufe) Schauen Sie mal in die Einstellungen Ihres Browsers um die CA-Liste einzusehen H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 50

51 IPsec: Network Layer Security IPsec ist im Protokoll IP V6 enthalten Es kann auch in IP V4 eingesetzt werden IPsec sichert den IP- Paketaustausch zwischen Netzknoten IPsec wird als Aufsatz auf IP im Kern des Host-Betriebssystems implementiert und durch Administrationsparameter aktiviert Vorteil: Keine Änderungen oder Ergänzungen der Anwendungsprozesse nötig Nachteil: Knoten und nicht individuelle Anwendungsprozesse bilden die Endpunkte der gesicherten Kommunikation Problem: IP ist verbindungslos/sitzungslos Effiziente Kommunikation verlangt Sitzungsschlüssel als Shared Secret Lösung: Konzept der Security Association SA Je Paar aus Quelle und Ziel (also auch je Richtung) wird SA definiert Alle passenden IP-Pakete gehören zur SA, solange SA existiert Betrieb ähnlich SSL: 2 Phasen SA Aufbau Paketaustausch SA-Aufbau wird durch Knotenadministration gesteuert: Security Policy Definition (SPD) legt für Quelle Ziel fest, ob und mit welchen Parametern eine SA einzurichten ist, so dass die IP-Pakete, die diesem Muster folgen, nur innerhalb einer solchen SA ausgetauscht werden. H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 51

52 IPsec: Network Layer Security statisch Administration Security Policy Definition zur Laufzeit IP-Paket (soll gesendet werden) Schreibt ein SPD- Eintrag eine SA vor? Wenn ja: Erzeuge zunächst SA und sende Paket danach entsprechend Gibt es schon passende SA? Wenn ja: Sende Paket entsprechend IP-Paket (kommt an) Security Association Database Paket enthält SA-Verweis: Behandle entsprechend H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 52

53 IPsec: Network Layer Security Es gibt zwei Betriebsarten Transportmodus gesicherte Kommunikation zwischen Anwendungsprozessen (fast wie SSL, aber nicht durch Anwendungsprozess selbst, sondern durch Knotenadministrator eingerichtet) Tunnelmodus gesicherte Kommunikation zwischen Knoten insgesamt Nutzung zur Bildung Virtueller Privater Netze (VPNs) VPN-Bildung Firmennetz besteht aus Filialnetzen Sie werden über das öffentliche Internet verbunden Die Grenzrouter der Filialnetze richten dazu zueinander IPsec Tunnel ein TCP/UDP-PDU wird als IP-Paket-Nutzdatum geschützt Innennetz 1 IP- Paket Grenzrouter 1 Internet IP- Paket IP- Paket IP-Paket wird in neues IP-Paket als Nutzdatum verpackt und geschützt Grenzrouter 2 Tunnel Innennetz 2 IP- Paket H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 53

54 IPsec: Network Layer Security Es gibt zwei Schutzfunktionen, jede entspricht einem Zusatzheader des IP-Pakets Authentication Header (AH) IP header AH header data (e.g., TCP, UDP segment) Authentifikation von Absender und Empfänger Integrität keine Vertraulichkeit Encapsulated Security Payload (ESP) IP header ESP header authenticated encrypted TCP/UDP segment ESP trailer ESP authent. Authentifikation, Integrität und Vertraulichkeit Die Art der Schutzfunktion und die Parameter werden durch die SA bestimmt (die ihrerseits wieder durch einen SPD-Eintrag bestimmt wird) H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 54

55 IEEE Wireless LAN Security WLAN-Frames können leicht abgehört werden Funkwellen halten sich nicht an die Grundstücksgrenzen es gibt Richtantennen Sicherheitsfunktionen Authentifikation und Verschlüsselung Wired Equivalent Privacy (WEP): Ein schwacher Versuch Authentifikation a la ap4.0, Shared Secret und Challenge Response basiert» Host sendet Request an Access Point, der antwortet mit 128-Bit Nonce» Host sendet verschlüsselte Nonce zurück Keine dynamische Schlüsselverteilung Es gibt für Access Point und alle Hosts ein Gruppen- Shared Secret Daraus werden alle benötigten Schlüssel abgeleitet. Verschlüsselung ist relativ leicht zu brechen H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 55

56 WEP Verschlüsselung Host/AP share 40 bit symmetric key Host appends 24-bit initialization vector (IV) to create 64-bit key IV 64 bit key used to generate stream of keys, k i IV IV k i used to encrypt ith byte, d i, in frame: c i = d i XOR k i IV and encrypted bytes, c i sent in frame IV (p e r fra m e ) K S : 40-b it se c re t s y m m e tr ic k e y p la in te x t fra m e d a ta p lu s C R C IV IV IV k 1 k 2 k 3 k e y se q u e n c e g e n e ra to r ( fo r g iv e n K S, IV ) IV k N k IV IV N + 1 k N + 1 d 1 d 2 d 3 d N C R C 1 C R C h ea d er IV W E P -e n c ryp ted d a ta p lu s C R C c 1 c 2 c 3 c N c N + 1 c N + 4 F ig u r e 7.8 -n e w 1 : W E P p ro to co l H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 56

57 Brechen der WEP Verschlüsselung Schwachstelle: 24-bit IV, one IV per frame, IV s eventually reused IV transmitted in plaintext IV reuse detected Angriff: Trudy causes Alice to encrypt known plaintext d 1 d 2 d 3 d 4 Trudy sees: c i = d i XOR k i IV Trudy knows c i d i, so can compute k i IV Trudy knows encrypting key sequence k 1 IV k 2 IV k 3 IV Next time IV is used, Trudy can decrypt! H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 57

58 802.11i: Verbesserte Sicherheit im WLAN man kann deutlich stärker verschlüsseln dynamische Schlüsselverteilung wird unterstützt bindet einen separaten Authentifikationsserver ein, der nicht mit dem Access Point zusammenfällt (z.b. Kerberos, RADIUS) H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 58

59 802.11i: Vier Phasen des Betriebs STA: client station AP: access point wired network AS: Authentication server 1 Discovery of security capabilities 2 STA and AS mutually authenticate, together generate Master Key (MK). AP servers as pass through 3 STA derives Pairwise Master Key (PMK) 3 AS derives same PMK, sends to AP 4 STA, AP use PMK to derive Temporal Key (TK) used for message encryption, integrity H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 59

60 EAP: Extensible Authentication Protocol EAP: Protokoll zwischen mobilem Client und dem Authentifikationsserver Ist erweiterbar, d.h. kann verschiedene Authentifikationsverfahren einbetten, z.b. RADIUS Authentifikation über verschiedene Teilstrecken abgewickelt mobiler Client Access Point (EAP over LAN) Access Point Authentifikationsserver (RADIUS over UDP) wired network EAP TLS EAP EAP over LAN (EAPoL) IEEE RADIUS UDP/IP H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 60