Angewandte IT-Sicherheit Vorlesung im Herbstsemester 2006/2007 Prof. F. Freiling

Transkript

1 Angewandte IT-Sicherheit Vorlesung im Herbstsemester 2006/2007 Prof. F. Freiling Dipl.-Inform. Martin Mink Lehrstuhl Praktische Informatik 1 Crashkurs TCP/IP-Netzwerke Übung Angewandte IT-Sicherheit TCP/IP-Netzwerke 1

2 Übersicht Schicht 2 MAC-Adresse, Hub/Switch Schicht 3 Internet Protocol (IP), ARP, ICMP Adressierung Schicht 4 Transmission Control Protocol (TCP) User Datagram Protocol (UDP) nicht: Aufgaben der Schichten (z.b. Routing) Aufbau/Geschichte des Internet Übung Angewandte IT-Sicherheit TCP/IP-Netzwerke 2

3 Schichtenmodelle: Prinzipien Jede Schicht erfüllt bestimmte Funktionen und stellt der darüberliegenden Schicht ihre Dienste zur Verfügung Hierarchie mit zunehmend abstrakterer Betrachtung von Kommunikationsvorgängen: physikalische Übertragung Interpretation der übertragenen Daten Kommunikation zwischen Anwendungsprogrammen Nichtbeachtung der (internen) Realisierung (d.h. keine Implementierungsvorschriften) Definition von Protokollen zu jeder Schicht in eigenen Normen Übung Angewandte IT-Sicherheit TCP/IP-Netzwerke 3

4 TCP/IP und das ISO OSI- Referenzmodell Anwendungsebene (Application Layer) Anwendungsebene Darstellungsebene (Presentation Layer) Sitzungsebene (Session Layer) Transportebene (Transport Layer) Netzwerkebene (Network Layer) Sicherungsebene (Data Link Layer) Bitebene (Physical Layer) Transportebene (TCP/UDP) Internetebene (IP) Host-to-Network-Ebene ISO/OSI TCP/IP Übung Angewandte IT-Sicherheit TCP/IP-Netzwerke 4

5 Die TCP/IP Protocol Suite HTTP FTP Telnet SMTP DNS DHCP TFTP Application Layer Protokolle TCP UDP Transport Layer IGMP ICMP IP ARP RARP Internet Layer Netze Ethernet Token Ring ATM Wireless LAN Host-to-network Layer Übung Angewandte IT-Sicherheit TCP/IP-Netzwerke 5

6 Layer 2: MAC-Adressen Netzwerkkarten sind im LAN mittels der Media Access Control (MAC) Adresse identifizierbar 48 Bit, als Hexadezimalzahl geschrieben Beisp.: 08:00:46:43:D1:EB (eigentlich) weltweit eindeutige Adresse aber: lässt sich fälschen MAC Adressen sind nur im lokalen Netzwerk sichtbar (nicht hinter dem nächsten Router) Übung Angewandte IT-Sicherheit TCP/IP-Netzwerke 6

7 Layer 2: Hardware Hardware zum Verbinden von Rechnern Hub schickt Pakete an alle angeschlossenen Rechner (Broadcast) Switch schickt Pakete nur an den jeweiligen Empfänger Übung Angewandte IT-Sicherheit TCP/IP-Netzwerke 7

8 IP Internet Protocol IP: verbindungslose, unzuverlässige Übertragung von Paketen ( Best effort ) Transparente Ende-zu-Ende-Kommunikation zwischen Rechnern Routing, Interoperabilität zwischen verschiedenen Netztypen IP-Adressierung (IPv4): stellt eine logische 32-Bit-Adresse zur Verfügung eindeutige IP-Adresse für jeden Host und für jeden Router Fragmentierung und Wiederherstellung der Pakete Maximale Paketgröße: 64 KByte (in der Praxis: 1500 Byte) Derzeit flächendeckend eingesetzt: Version 4 des IP-Protokolls: IPv4 Übung Angewandte IT-Sicherheit TCP/IP-Netzwerke 8

9 IP-Paket 32 Bits (4 Bytes) Version IHL Type of Service Total Length Time to Live Identification Protocol D M F F Fragment Offset Header Checksum IP Header, normalerweise 20 Bytes Source Address Destination Address Options (variable, 0-40 Byte) Padding DATA (variable) Header Data Übung Angewandte IT-Sicherheit TCP/IP-Netzwerke 9

10 Der IP-Header (Auswahl) Source Address / Destination Address: Netz- und Hostnummern von Sender und Empfänger. Diese Information benutzen die Router zur Wegebestimmung. Version: IP-Versionsnummer (mehrere IP-Versionen gleichzeitig einsetzbar) Total Length: Länge des gesamten Datagramms (in Byte, = Bytes) Time-to-Live (TTL): Lebenszeit von Datagrammen begrenzen auf maximal 255 Hops (verhindert endloses Kreisen von Paketen im Netz). Der Zähler wird bei jedem Hop verringert, bei 0 wird das Datagramm verworfen. Header Checksum: Muss bei jedem Hop neu berechnet werden (da sich TTL ändert) Protocol: welches Transportprotokoll wird im Datenteil verwendet (UDP, TCP,...)? DF: Don't Fragment: Paket soll nicht fragmentiert werden (kann dann evtl. nicht jeden möglichen Weg im Netz nehmen). MF: More Fragments. "1" - es folgen weitere Fragmente. "0" - letztes Fragment eines Datagramms) Fragment Offset: Folgenummern der Fragmente eines Datagramms Übung Angewandte IT-Sicherheit TCP/IP-Netzwerke 10

11 IP-Adressierung IP-Adressen sind 32 Bit lang und weltweit eindeutig Zur besseren Lesbarkeit Darstellung in der sog. Dotted Decimal Notation (jeweils 8 Bit werden zu einer Dezimalzahl zusammengefasst, durch. getrennt) Beisp.: ð Struktur der Adresse: Netzwerk-Adresse für physikalisches Netz (z.b ) und Rechner-Adresse für einen Host (z.b ) 5 Netzklassen: Class 32 Bits 126 Netze 2 24 Hosts adressierbar (ab ) A B C D E 0 Network Host 10 Network Host 110 Network Host 1110 Multicast-Adresse 1111 Für künftige Nutzung reserviert Netze 2 16 Hosts (ab ) Netze (LANs) 256 Hosts (ab ) Übung Angewandte IT-Sicherheit TCP/IP-Netzwerke 11

12 Spezielle Adressen bzw. localhost : bezeichnet den lokalen Rechner ( loopback ) : falls kein DHCP- Server vorhanden ( link local ) private Adressbereiche ( private address space ) frei verwendbar für interne Netze dürfen nicht im Internet geroutet werden : 1 Class A-Netz : 16 Class B-Netze : 256 Class C-Netze Übung Angewandte IT-Sicherheit TCP/IP-Netzwerke 12

13 Classless Inter-Domain Routing Problem: starre Klasseneinteilung Abhilfe: Classless Inter-Domain Routing (CIDR) Trennung von starrer Klasseneinteilung durch Ersetzen der festen Klassen durch Netzwerk-Präfixe variabler Länge einige Bits der Rechner-Adresse werden als Netzwerk- ID genutzt eine Subnetz-Maske identifiziert die missbrauchten Bits Class B- Adresse Network Host Subnetz- Maske Network Subnet Host Übung Angewandte IT-Sicherheit TCP/IP-Netzwerke 13

14 Netzmaske ist ebenfalls 32 Bit breit gibt die Trennung zwischen Netzwerk und Host an enthält an den Stellen eine 1, die Netzwerk und Subnetz bezeichnen Ermitteln des Netzteils durch AND mit IP-Adresse Beisp.: IP-Adresse: Netzmaske: AND: Netz: Übung Angewandte IT-Sicherheit TCP/IP-Netzwerke 14

15 Netzmaske (2) platzsparende Notation: Netz/Maske z.b.: /18 Die /18 bedeutet: 18 Bits der Netzmaske gesetzt, also (255 entspricht 8 gesetzten Bits) Class C-Netz? Class B-Netz? Subnetting meist aus organisatorischen (Broadcasts), aber auch Sicherheitsgründen (Router mit Paketfiltern) Übung Angewandte IT-Sicherheit TCP/IP-Netzwerke 15

16 IP Version 6 Dramatisch anwachsender Bedarf für neue IP-Adressen keine Unterstützung von Mobilität, Sicherheitsmechanismen, Echtzeitanwendungen Verbesserungend durch IPv6 128-Bit-Adressen (8 Gruppen zu je 4 Hexadezimal-Zahlen) Header: Version (4) Priority (4) PayloadLen (16) SourceAddress (128) FlowLabel (24) NextHeader (8) HopLimit (8) Anycast Address: Erreiche irgendeinen von mehreren Authentifizierung und Privacy DestinationAddress (128) Einfacher Header: keine Optionen, Protocol, Fragmentierung, Checksum NextHeader/Data Übung Angewandte IT-Sicherheit TCP/IP-Netzwerke 16

17 ARP: Address Resolution Protocol Schnittstelle zum Layer 2 Problem: im lokalen Netzwerk nur Adressierung über MAC-Adresse (nicht IP-Adresse) möglich Gesucht: Zuordnung einer MAC- zu einer IP-Adresse Lösung: ARP 2 Nachrichten: ARP-Request (sendender Rechner): Who has <IP>? ARP-Reply (gesuchter Rechner): <IP> is at <MAC> Zuordnung MAC-/IP-Adresse wird im ARP-Cache zwischengespeichert warum? Übung Angewandte IT-Sicherheit TCP/IP-Netzwerke 17

18 ICMP - Internet Control Message Protocol Steuerprotokoll der Ebene 3 für Fehler- und Kontrollnachrichten. Type/Code gibt die Art der Nachricht an, z.b.: 0 Destination unreachable (Paket kann nicht zugestellt werden) 3 Echo Request/Reply (Zustandsabfrage, z.b. beim ping) 4 Source Quench (Choke-Paket, Bitte um Reduktion der Datenrate) 11 Time exceeded for Datagram (TTL hat 0 erreicht, das Paket wird verworfen) 12 Parameter Problem on Datagram (Ein Header-Feld ist falsch ausgefüllt) 30 Traceroute (Der Netzwerkpfad wird nachverfolgt) Host Router ICMP Message ICMP Reply ICMP Request Host Router ICMP Request: Zustandsabfrage ICMP Reply: Antwort darauf ICMP Message: Übermittlung von Zustandsinformationen und Kontrollnachrichten Übung Angewandte IT-Sicherheit TCP/IP-Netzwerke 18

19 TCP und UDP - Die Transportschicht verbindungsorientiert verbindungslos HTTP FTP Telnet SMTP DNS DHCP TFTP Application Layer TCP UDP Transport Layer IGMP ICMP IP ARP RARP Internet Layer Ethernet Token Ring ATM Wireless LAN Host-to-network Layer TCP (Transmission Control Protocol): Zuverlässig, verbindungsorientiert UDP (User Datagram Protocol): best effort, verbindungslos Stellen eine Kommunikation zwischen Anwendungsprozessen bereit Übung Angewandte IT-Sicherheit TCP/IP-Netzwerke 19

20 Eigenschaften von TCP Verbindungsorientiert und zuverlässig (fehlerfrei, reihenfolgetreu, ohne Duplikate) Fehlerbehandlung, Quittierung, Flusskontrolle (Sliding-Window-Verfahren) Adressierung der Applikation über Portnummern (16-Bit-Adresse) File Transfer Secure Shell World Wide Web Secure Sockets Layer Electronic Mail FTP SSH SMTP HTTP SSL / well-known (TCP) Ports RFC 1700 Übung Angewandte IT-Sicherheit TCP/IP-Netzwerke 20

21 Der TCP-Header 20 Byte Header zzgl. Optionen dann folgen bis zu Datenbytes Bit Position HL Source Port Res. Sequence Number Acknowledgement Number 6 Flags Destination Port Window Size Checksum Options Urgent Pointer Padding Data Übung Angewandte IT-Sicherheit TCP/IP-Netzwerke 21

22 Der TCP-Header (Auswahl) Source- und Destination-Port: Port-Nummer von Sender bzw. Empfänger Sequence Number/Acknowledgement Number: Segmente haben eine eigene 32 Bit Sequenz- und Bestätigungsnummer für den Fenstermechanismus zur Flusskontrolle (Sliding Window). Die Bestätigungsnummer gibt das nächste erwartete Byte an! HL: Wie bei IP verfügt auch der TCP-Header über eine Angabe seiner Länge. Die Angabe erfolgt in 32-Bit-Worten. Window Size: Größe des Pufferspeichers für die Verbindung. Zeigt an, wie viele Dateneinheiten der Empfänger gleichzeitig speichern kann. Hierdurch wird das Fenster der Flusskontrolle angepasst. Flags (u.a.): ACK: Bestätigungsfeld, für den Fall, dass eine Quittung mitgesendet wird. SYN: auf 1 gesetzt beim Aufbau einer Verbindung FIN: auf 1 gesetzt beim Abbau einer Verbindung RST: sofortiger Abbruch einer Verbindung Übung Angewandte IT-Sicherheit TCP/IP-Netzwerke 22

23 TCP: 3-Wege- Verbindungsaufbau Client Server Der Client startet unter Angabe von IP-Adresse, Portnummer und maximal akzeptabler Segment- Größe eine CONNECT-Operation. SYN, SEQ=x CONNECT sendet ein SYN. SYN, SEQ=y, ACK=x+1 Ist der Destination Port der CONNECT-Anfrage identisch zu der Port-Nummer, auf der der Server wartet, wird die Verbindung akzeptiert, andernfalls mit RST abgelehnt. ACK=y+1, SEQ=x+1 Der Server schickt seinerseits das SYN zum Client und bestätigt zugleich den Erhalt des ersten SYN- Segments. Der Client schickt eine Bestätigung des SYN- Segments des Servers. Damit ist die Verbindung aufgebaut. Three-Way-Handshake Übung Angewandte IT-Sicherheit TCP/IP-Netzwerke 23

24 Sliding Window (Flusskontrolle) Sender sendet entsprechend der Fenstergröße (Bytes) Fenster wird um n Bytes versetzt, sobald ein ACK für n Bytes eingetroffen ist Ausnahme: Dringende Daten (URGENT-Flag) werden sofort gesendet Besonderheit: die Fenstergröße kann während der Übertragungsphase geändert werden Initial window Segment 1, 2 und 3 acknowledged Window slides Übung Angewandte IT-Sicherheit TCP/IP-Netzwerke 24

25 Prinzip: Keep it simple! 8 Byte Header Das User Datagram Protocol Wie IP: verbindungslos und unzuverlässig (UDP) geringe Zuverlässigkeit, aber schneller Austausch von Informationen keine Bestätigung der Pakete auf der UDP-Schicht, fehlerhafte Pakete werden schlicht und einfach verworfen. Weiterhin sind Duplikation, Reihenfolgevertauschung, Paketverlust möglich. die Checksumme bietet die einzige Möglichkeit, die Pakete auf Übertragungsfehler zu testen Möglich: ACKs und Neuübertragungen werden von der Anwendung selbst übernommen. Nutzung für Multicast (nicht möglich bei TCP) Warum überhaupt UDP? Erst die Hinzunahme eines Ports zu einer Netzwerkadresse kennzeichnet eine Kommunikation eindeutig. Übung Angewandte IT-Sicherheit TCP/IP-Netzwerke 25

26 UDP-Header Bit Positon Source Port Message Length Destination Port Checksum Data Adressierung der Applikationen über Portnummern Message-Length gibt die Gesamtlänge (Header + Daten) in 32 Bit Worten an Checksum (optional!) IP hat keine Checksumme für den Datenteil, daher kann sie hier eine sinnvolle Ergänzung sein. Ablauf der Berechnung wie bei TCP Daten werden bei Bedarf auf eine gerade Bytezahl aufgefüllt (da Message Length in 32 Bit Worten angegeben wird) Übung Angewandte IT-Sicherheit TCP/IP-Netzwerke 26

27 Credits Folien basierend auf der Vorlesung Datenkommunikation im WS 03/04 der RWTH Aachen Übung Angewandte IT-Sicherheit TCP/IP-Netzwerke 27