Luento 13: Tietoliikenteen turvallisuus: Palomuurit. Syksy 2014, Tiina Niklander

Samankaltaiset tiedostot
Salausmenetelmät (ei käsitellä tällä kurssilla)

Tietoliikenteen perusteet. Tietoturvasta. Kurose, Ross: Ch 1.6, Ch 8.1, Ch Tietoliikenteen perusteet /2009/ Liisa Marttinen 1

Tietoliikenteen perusteet. Tietoturvasta. Kurose, Ross: Ch 1.6, Ch 8.1, Ch Tietoliikenteen perusteet /2009/ Liisa Marttinen 1

Tietoliikenteen perusteet. Tietoturvasta

Tietoliikenteen perusteet

Tietoliikenteen perusteet. Tietoturvasta. Kurose, Ross: Ch 1.6, Ch 8.1, Ch Tietoliikenteen perusteet /2010 1

Tietoturva-kurssit: kryptografian perusteet IPSec

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2012

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2011

OSI ja Protokollapino

Palomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri

Luento 11: Tiedonsiirron turvallisuus: kryptografiaa ja salausavaimia. Syksy 2014, Tiina Niklander

Yritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus

Tietokone. Tietokone ja ylläpito. Tietokone. Tietokone. Tietokone. Tietokone

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2013

Langattomat lähiverkot. Matti Puska

S Tietoliikennetekniikan perusteet. Pakettikytkentäiset verkot. Helsinki University of Technology Networking Laboratory

Tietoliikenteen perusteet. Langaton linkki

Tietoliikenteen perusteet. Langaton linkki

Tietoliikenteen perusteet

Luento 11: Tietoturvasta ja kertausta

Turvallisuus verkkokerroksella

Turvallisuus verkkokerroksella

AH-otsake. Turvallisuus verkkokerroksella. AH-otsake. AH-otsake. ESP-otsake. IP-otsake

WL54AP2. Langattoman verkon laajennusohje WDS

Luento 12: Tietoliikenteen turvallisuus: protokollat (kuten SSL, VPN, IPsec, WEP) Syksy 2014, Tiina Niklander

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) TLS:n suojaama sähköposti

Langaton linkki. Langaton verkko. Tietoliikenteen perusteet. Sisältö. Linkkikerros. Langattoman verkon komponentit. Langattoman linkin ominaisuuksia

Tietoliikenne II. Syksy 2005 Markku Kojo. Tietoliikenne II (2 ov,, 4 op) Page1. Markku Kojo Helsingin yliopisto Tietojenkäsittelytieteen laitos

Tietoliikenteen perusteet. Langaton linkki. Kurose, Ross: Ch 6.1, 6.2, 6.3. (ei: 6.2.1, ja 6.3.5)

Security server v6 installation requirements

DPI (DEEP PACKET INSPECTION) By Sami Lehtinen

ICMP-sanomia. 3. IP-kerroksen muita protokollia ja mekanismeja ICMP (Internet Control Message Protocol)

3. IP-kerroksen muita protokollia ja

Siltojen haitat. Yleisesti edut selvästi suuremmat kuin haitat 2/19/ Kytkin (switch) Erittäin suorituskykyisiä, moniporttisia siltoja

Laitteessa tulee olla ohjelmisto tai uudempi, tarvittaessa päivitä laite

3. Kuljetuskerros 3.1. Kuljetuspalvelu

Diplomityöseminaari

Palomuurit. Tehtävän suorittaminen. Palomuuri. Teoriaa. Pakettitason palomuuri

Luento 11: Tietoturvasta ja kertausta

Tietoliikenne II (2 ov)

Tietoturvan perusteet - Syksy SSH salattu yhteys & autentikointi. Tekijät: Antti Huhtala & Asko Ikävalko (TP02S)

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

T Cryptography and Data Security

TW- EAV510 ketjutustoiminto (WDS): Kaksi TW- EAV510 laitetta

ELEC-C7241 Tietokoneverkot Kuljetuskerros

Kymenlaakson Kyläportaali

SuomiCom-sähköpostiasetukset Microsoft Outlook 2016

Internet ja tietoverkot 2015 Harjoitus 5: (ISO/OSI-malli: Verkkokerros, TCP/IP-malli: internet-kerros)

Internet Protocol version 6. IPv6

TeleWell TW-EA711 ADSL modeemi & reititin ja palomuuri. Pikaohje

S Teletekniikan perusteet

Kytkentäopas. Tuetut käyttöjärjestelmät. Tulostimen asentaminen. Kytkentäopas

Salaustekniikat. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2010

Security server v6 installation requirements

Tietoliikenteen perusteet. Langaton linkki. Kurose, Ross: Ch 6.1, 6.2, 6.3. (ei: 6.2.1, ja 6.3.5)

Siltojen haitat Yleisesti edut selvästi suuremmat kuin haitat

100 % Kaisu Keskinen Diat

TI09. Seminaarityö Opintojakso: A Linux järjestelmät Opettaja: Tomi Pahula Opintojakson toteutus: Syksy 2011.

Tietoliikenteen perusteet

Vuonimiö on pelkkä tunniste

Vuonimiö on pelkkä tunniste

... Laajennusotsakkeet. Reititysotsake. Vuonimiö on pelkkä tunniste. Vuonimiöiden käsittely solmuissa

TW- EAV510 v2: WDS- TOIMINTO TW- EAV510 V2 LAITTEEN ja TW- LTE REITITTIMEN VÄLILLÄ. Oletus konfiguroinnissa on, että laitteet ovat tehdasasetuksilla

Linkkikerros, tiedonsiirron perusteet. Jyry Suvilehto T Johdatus tietoliikenteeseen ja multimediatekniikkaan kevät 2013

Tietoliikenne II (2 ov)

Web-palvelut ja niihin kohdistuneiden poikkeavuuksien tunnistamisen. Harri Mäkelä

Tietokoneiden ja mobiililaitteiden suojaus

D-Link DSL-504T ADSL Reitittimen Asennusohje ver. 1.0

Taloyhtiön laajakaistan käyttöohje, Tekniikka: Ethernet. Käyttöjärjestelmä: Mac OS X

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) TLS:n turvaama HTTP. TLS:n suojaama sähköposti

Luento 7: Verkkokerros verkkokerroksen tehtävät, IP-protokolla, reititin. Syksy 2014, Tiina Niklander

Tietoliikenteen perusteet

Tietoliikenteen perusteet

TW-EA510v4 TW-EA510 VERSIO 4. - Ulkoinen ADSL-modeemi, kytkin, palomuuri, WLAN-tukiasema 54 Mb, VPN PPTP - 4 Ethernet-porttia 10/100 Mbps

Lyhyt oppimäärä mistä tietojen salauksessa on oikeasti kyse? Risto Hakala, Kyberturvallisuuskeskus, Viestintävirasto

Tietoa ja ohjeita Hämäläisten ylioppilassäätiön asuntoloiden laajakaistaverkon käytöstä

INTERNET-yhteydet E L E C T R O N I C C O N T R O L S & S E N S O R S

Kuljetuskerros. Tietokoneverkot. Matti Siekkinen Pasi Sarolahti

Option GlobeSurfer III pikakäyttöopas

F-SECURE TOTAL. Pysy turvassa verkossa. Suojaa yksityisyytesi. Tietoturva ja VPN kaikille laitteille. f-secure.com/total

D-Link DSL-G604T ADSL Reitittimen Asennusohje ver. 0.1

Verkkoliikenteen rajoittaminen tietoturvasta huolehtimiseksi ja häiriön korjaamiseksi

Kuva maailmasta Pakettiverkot (Luento 1)

Yritysturvallisuuden perusteet

KEMI-TORNIONLAAKSON KOULUTUSKUNTAYHTYMÄ LAPPIA LANGATON VIERAILIJAVERKKO 2(7) VERKKOYHTEYDEN MÄÄRITTELY WINDOWS XP:LLE (WINDOWS XP SP3)

Maailman ensimmäinen Plug & Go etäyhteyslaite

Sonera sovelluspalomuurin muutoshallintaohjeistus

Taloyhtiön laajakaistan käyttöohje, Tekniikka: Ethernet. Käyttöjärjestelmä: Windows Vista

Taloyhtiön laajakaistan käyttöohje, Tekniikka: Ethernet. Käyttöjärjestelmä: Windows XP

Luento 10: Kaikki yhteen ja langaton linkki

Tietoturvan perusteita

Pertti Pennanen OSI 1 (4) EDUPOLI ICTPro

Javan asennus ja ohjeita ongelmatilanteisiin

Palvelukuvaus LOUNEA VERKKOTURVA PALVELUKUVAUS.

Yhteydensaantiongelmien ja muiden ongelmien ratkaisuita

Tietoturvan perusteet. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2010

Opinnäytetyön loppuseminaari

Kuljetus/Sovelluskerroksen tietoturvaratkaisut

Tämän luennon aiheet. Kuljetus/Sovelluskerroksen tietoturvaratkaisut. TLS:n turvaama HTTP. Transport Layer Security (TLS) TLS:n suojaama sähköposti

Transkriptio:

Tietoliikenteen perusteet Luento 13: Tietoliikenteen turvallisuus: Palomuurit Syksy 2014, Tiina Niklander Kurose&Ross: Ch 8 Pääasiallisesti kuvien J.F Kurose and K.W. Ross, All Rights Reserved Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 16.2.2005

sanoma segmentti paketti tai datagrammi, H n kehys H l H n H t H t H t M M M M Lähettäjä (source) Sovellusk. Kuljetusk. Verkkok. Linkkik. Fyysinen k. Luennon sisältöä linkki fyysinen Kytkin (switch) message segment datagram frame H l Vastaanottaja (destination) H n H n H t H t H t M M M M application transport network link physical H l H n H n H t H t M M network link physical H n H t M Reititin (router) Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 2

Sisältö Uhkia ja vastatoimia Palomuuri Tunkeutumisen havaitseminen (IDS) WEP (torstain luennolta) Oppimistavoitteet: - Osata kuvailla tietoliikenteeseen kohdistuvat riskitekijät ja turvallisuusuhat - Osata selittää, kuinka palomuuri toimii - Ymmärtää tietoturvasta sen verran, että osaa huolehtia oman koneen turvallisuudesta Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 3

UHKIA Ch 1.6 Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 4

Hyökkääjän toimia? Koputtelee koneen portteja (mapping) Turva-aukkojen löytämiseksi ja koneen valtaamiseksi Salakuuntelee (eavesdropping, sniffing) Sieppaa sanoman matkalla ja tutkii sisällön Väärentää, peukaloi, tekeytyy (impersonation, spoofing) Vaihtaa paketin tietoja, esim. IP-osoitteen Tekeytyy toiseksi osapuoleksi Tehtailee sanomia, satuilee (fabrication) Tekee ja lisää liikenteeseen ylimääräisiä sanomia Kaappaa yhteyden (hijacking) Vaihtaa oman IPosoitteen lähettäjän / vastaanottajan tilalle Estää palvelun (DoS, Denial of Service) Kuormittaa palvelinta, jotta se ei ehdi palvella oikeita käyttäjiä Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 5

Koputtelu ja kartoitus (mapping) Kaivelee ensin taustatietoja IP-osoitteista, käyttöjärjestelmistä, verkko-ohjelmista Hyödyntää sitten tunnettuja turva-aukkoja Ping Lähettää kyselyjä valittuihin verkon IP-osoitteisiin Hengissä olevat koneet vastaavat Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 6

Koputtelu ja kartoitus (mapping) Porttiselaus (port scanning) Kokeilee systemaattisesti TCP/UDP-yhteyttä koneen portteihin Vastauksista saa selville tarjotut palvelut Onko niissä tunnettuja turva-aukoja? Firefox-selain 27.3.08, Facebook 25.3.08, Sampo Pankki, Applen Quicktime Player, FlashPlayer turva-aukkojen paikkausta Internet Explorer 7, DNS, BGP, Linux-päivityksen turva-aukko => laitoksen salasanojen vaihto (muutama vuosi sitten) Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 7

Salakuuntelu (packet sniffing) Tutkii linkkikerroksen kehysten sisältöä A Yleislähetys: kaikki kuulevat kaikki kehykset Valikoimattomassa moodissa (promiscuous) toimiva sovitinkortti kopioi kaikki kehykset itselleen Kuuntelevan koneen oltava samassa LAN:ssa C Ohjelmia, joilla paketit voidaan purkaa tekstimuotoon Hyödyllisiä verkon valvojalle, mutta... Hyökkääjä etsii erityisesti salasanoja Salasanat verkkoon vain salakirjoitettuina Älä käytä telnet:iä etäyhteyksiin, käytä ssh:ta (leap of faith security) src:b dest:a payload Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 8 B

Väärentäminen (spoofing) Vastaanottaja ei voi tietää, kuka on todellinen lähettäjä Jokainen, joka kontrolloi koneensa ohjelmistoa (erityisesti KJ:tä) voi väärentää mm. IP-osoitteen Sovellus voi tehdä itse IP-paketin ja ohittaa KJ:n pakettia lähettäessä ('raw' mode) A C src:b dest:a payload B Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 9

Palvelunestohyökkäys (DoS) Kuormittaa palvelua, jotta oikeat käyttäjät eivät pääse lainkaan käyttämään SYN-tulvitus Pakottaa uhrin suuriin määriin TCP-yhteydenmuodostuksia Lähettää SYN-segmenttejä, mutta ei ACK-segmenttejä Uhri varaa puskuritilaa, muisti voi loppua Väärentää lähteen IP-osoitteen A SYN SYN SYN SYN SYN SYN SYN Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 10 C B

Palvelunestohyökkäys (jatkuu) IPv4-paloittelu Lähettää runsaasti IP-pakettien osia (M=1), mutta ei lainkaan sitä viimeistä palaa (M=0). Vastaanottaja puskuroi ja jää odottamaan puuttuvia paloja Muisti loppuu Smurf-hyökkäys Lähettää suurelle määrälle koneita uhrin IP-osoitteella varustettuja ICMP Echo request -paketteja ja niihin tulevat vastaukset tukkivat uhrin koneen. Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 11

Hajautettu DoS-hyökkäys (DDoS) Hyökkääjä ottaa ensin haltuun ison joukon koneita niiden omistajien huomaamatta Koputtelee ja löytää turva-aukot Asentaa hyökkäysohjelman, joka vain odottelee käskyä/kellonaikaa Kaapatut koneet aloittavat samaan aikaan hyökkäyksen uhrin kimppuun hajautetusti IP-osoitteet peukaloituja (harvoin) Fig 1.25 [KR12] Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 12

Yhteyden kaappaus (hijacking) Hyökkääjä C kaappaa itselleen A:n ja B:n välisen yhteyden Kuuntelee ensin yhteyttä ja selvittää mm. tavunumeroinnin, kuittausnumeroinnin, ikkunan koon,... Poistaa B:n pelistä palvelunestohyökkäyksellä Tekeytyy itse B:ksi Oltava fyysisesti kytkettynä linkkiin C A B Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 13

Haittaohjelma (malware) (1) Itseään monistava: kun on saastuttanut yhden koneen, pyrkii levittämään kopioitaan muihin koneisiin Virus Tarvitsee isännän levitäkseen ja vaatii yleensä käyttäjän toimintoa Sähköpostin liitetiedosto, joka avataan Mato Tulee tietoturva-aukosta ja leviää automaattisesti (Sasser) Slammer (2003 kaatoi 5 nimipalvelijaa)) Levinneimmät madot kulkivat sähköpostin liitetiedostoina Morrisin mato (1988), Melissa (1999), Nimda (2001),Sobig (2003), ILoveYou, Downadup (2007-2008): hyödyntää Microsoftin Windows-käyttöjärjestelmässä löytynyttä turvareikää, arvaa admin salasanoja ja tartuttaa USB-muistitikkuja Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 14

Haittaohjelma (2) Troijalainen on ohjelma, joka sisältää myös jotakin muuta kuin käyttäjä uskoo sen sisältävän. Suorittaa kyllä jonkun hyödyllisen toiminnon Mutta lisäksi se voi käynnistää viruksen, madon, avata takaportin tai muun haavoittuvuuden tietojärjestelmään tehdä tiedonhakua, tietojen tuhoamista tai vastaavaa jopa jättämättä mitään jälkiä. Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 15

Koputtelu Käytä palomuuria Vastatoimet? (1) Seuraa liikennettä, reagoi, jos normaalista poikkeavaa Seuraa aktiviteettia (IP-osoite, porttien koputtelu) Salakuuntelu Käytä kaksipisteyhteyksiä; Ethernet-kytkin keskittimen sijasta Salakirjoitus Tarkista, ettei verkkokortti ole promiscuous-moodissa IP-osoitteen väärentäminen Lähetysverkossa helppo havaita ja estää Yhdyskäytäväreititin voi tarkistaa, että lähettäjän IP-osoite kuuluu lähettävään verkkoon (ingress filtering) Tutkimista ei voi tehdä pakolliseksi Pidä KJ:n turvapäivitykset ajan tasalla! Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 16

Palvelunesto Vastatoimet (2) Vaikea todeta / estää Miloin SYN on oikea yhteyspyyntö, millloin osa hyökkäystä? Hyökkäyksen havaitsemis- ja estämisjärjestelmät SYN cookie ISP Hotline Haittaohjelmat Turva-aukkopäivitysten asentaminen heti Varovaisuus sähköpostiliitteiden kanssa Älä asenna tai käytä tuntemattomia ohjelmia Käytä palomuuria ja virustorjuntaohjelmia HYVÄ TIETOLÄHDE: www.cert.org Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 17

PALOMUURI Ch 8.9.1 Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 18

Palomuuri Palomuuri (firewall) Suodattaa (filter) liikennettä organisaation oman verkon (intranet) ja julkisen Internetin välillä. Päästää osan liikenteestä sisäverkkoon ja estää loput. administered network trusted good guys firewall public Internet Fig 8.33 [KR12] untrusted bad guys Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 19

Miksi palomuureja? Suojaa palvelunestohyökkäyksiltä: v SYN tulvituksessa hyökkääjä yrittää luoda paljon vaillinaisia TCPyhteyksiä, jolloin resursseja ei jää oikeille yhteyksille Estää luvattoman sisäverkon tietojen lukemisen/muuttamisen v esim. Hyökkääjä vaihtaa organisaation kotisivun sisällön Sallii vain oikeiden käyttäjien pääsyn sisäverkkoon v joukko tunnistettuja käyttäjiä / palvelimia Kaksi (tai kolme) palomuurityyppiä: v Paketteja suodattava palomuuri (packet filtering) v Tilaton (stateless) v Tilallinen (stateful) v Sovellustason yhdyskäytävä (application-level gateway) Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 20

Palomuurityypit Paketteja suodattava palomuuri (packet filtering firewall) Toimii verkkotasolla (reititys) Tutkii pakettien IP- ja TCP/UDP-otsakkeita Karkea suodatus Sovellustason yhdyskäytävä (application-level gateway) Toimii sovelluskerroksella välittäjänä (relay) Tutkii sovellusdataa Hienojakoisempi suodatus Should arriving packet be allowed in? Departing packet let out? Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 21

Tilaton pakettien suodatus Should arriving packet be allowed in? Departing packet let out? Sisäverkko yhdistetty internetiin reitittimen ja palomuurin yhdistelmällä (router firewall) Reititin suodattaa paketin kerrallaan, sallii etenemisen tai pudottaa paketin Ennalta määritellyt säännöt Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 22

Suodatussäännöistä Ennalta annetut säännöt suodatukselle Salliiko vai kieltääkö paketin etenemisen Säännöt otsakekenttien perusteella Lähettäjän ja vastaanottajan IP-osoite Protokollan tyyppi TCP- ja UDP-porttinumerot Kontrollisanoman (ICMP) tyyppi TCP:n kättelysegmenttien SYN / ACK-bitit Eri säännöt lähteville ja tuleville paketeille Eri säännöt eri linkeille Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 23

Esimerkkejä säännöistä Esim 1: Estä IP-pakettien liikenne (sisään/ulos), jos protokolla = 17 tai portti = 23 Palomuuri hävittää kaikki UDP-paketit ja estää telnet-yhteydet Esim 2: Estä sellaisten tulevien TCP-pakettien liikenne, joissa ACK = 0 Vain ensimmäisessä segmentissä SYN = 1, ACK = 0 Palomuuri hävittää kaikki ulkoa tulevat TCPyhteyspyyntöpaketit Oman verkon koneet voivat silti ottaa yhteyttä organisaation ulkopuolisiin palveluihin Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 24

Lisää esimerkkejä (tilaton suodatus) Policy No outside Web access. No incoming TCP connections, except those for institution s public Web server only. Prevent Web-radios from eating up the available bandwidth. Prevent your network from being used for a smurf DoS attack. Prevent your network from being tracerouted Firewall Setting Drop all outgoing packets to any IP address, port 80 Drop all incoming TCP SYN packets to any IP except 130.207.244.203, port 80 Drop all incoming UDP packets - except DNS and router broadcasts. Drop all ICMP packets going to a broadcast address (e.g. 130.207.255.255). Drop all outgoing ICMP TTL expired traffic Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 25

Pääsynvalvontalistat (Access Control Lists, ACL) v Taulukollinen sääntöjä (toimenpide+ehdot), joita sovelletaan järjestyksessä alusta loppuun. Esimerkkitaulu saapuville paketeille source dest source dest flag action protocol address address port port bit outside of any allow 222.22/16 TCP > 1023 80 222.22/16 allow outside of 222.22/16 TCP 80 > 1023 ACK 222.22/16 outside of allow 222.22/16 UDP > 1023 53 --- 222.22/16 allow outside of 222.22/16 UDP 53 > 1023 ---- 222.22/16 deny all all all all all all Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 26

Tilallinen pakettien suodatus (Stateful packet filter) Säännöillä on hankala toteuttaa monimutkaisia estopolitiikkoja Sääntöjä tarvitaan helposti paljon, jopa tuhansia Niitä käydään läpi jossain järjestyksessä => väärä järjestys voi aiheuttaa ongelmia / virheitä paketin käsittelyssä Suodatus kohdistuu yksittäiseen pakettiin Päästää tarpeettomasti läpi paketin porttiin 80, jossa ACK, silloinkin kun todellisuudessa TCP-yhteys puuttuu action source address dest address protocol source port dest port flag bit allow outside of 222.22/16 222.22/16 TCP 80 > 1023 ACK Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 27

Tilallinen pakettien suodatus (Stateful packet filter) Tilallinen pakettien suodatus(stateful packet filter): pitää kirjaa kaikkien TCP-yhteyksien tilasta Suodatin tietää, mitkä TCP-yhteydet ovat käytössä Taulukko voimassa olevista TCP-yhteyksistä SYN, SYNACK ja ACK => yhteys muodostetaan FIN-paketit => yhteys puretaan / poistetaan, Purku myös ajastimella, jos ei käytetä (60 s) Esim. intranetistä lähetetty web-kysely => päästetään vastaus läpi Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 28

Tilallinen pakettien suodatus v Pääsynvalvontalistoihin (ACL) mukaan myös tieto pitääkö yhteyksien tilataulu (connection state table) tarkistaa ennen paketin hyväksymistä action source address dest address proto source port dest port flag bit check conxion allow 222.22/16 allow outside of 222.22/16 allow 222.22/16 outside of 222.22/16 222.22/16 outside of 222.22/16 any TCP > 1023 80 TCP 80 > 1023 ACK x UDP > 1023 53 --- allow outside of 222.22/16 222.22/16 UDP 53 > 1023 ---- x deny all all all all all all Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 29

Sovellustason yhdyskäytävä (Application gateway) Kun halutaan hienojakoisempaa suodatusta Esim. Telnet-yhteyden salliminen tunnetuille käyttäjille, mutta näiden identiteetti on ensin todennettava Tähän pelkkä IP/TCP/UDP-otsakkeiden tutkiminen ei riitä Toimii välittävänä koneena (relay) sisäverkon ja Internetin välissä Fig 8.34 [KR12] Eri sovelluksilla oma yhdyskäytävä Esim. IMAP, SMTP, HTTP Ulkoa yhteys ensin yhdyskäytäväkoneeseen Todennus tarvittaessa Muodostaa yhteyden sisäverkon koneeseen (palomuuri sallii vain sille) Välittää sanomat sisään/ulos host-to-gateway telnet session application gateway gateway-to-remote host telnet session router and filter Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 30

Sovellustason yhdyskäytävä Suodattaa paketteja sekä sovellusprotokollan että IP/TCP/UDP kenttien avulla. host-to-gateway telnet session application gateway router and filter Esim: sallii valikoitujen sisäisten käyttäjien telnet- yhteydet ulos. gateway-to-remote host telnet session 1. Vaatii kaikkia telnet-käyttäjiä käyttämään yhdyskäytävää. 2. Oikeutetuille käyttäjille muodostaa telnet-yhteyden kohdekoneelle. Yhdyskäytävä välittää tietoa näiden päätepisteiden välillä. 3. Reititin/palomuuri estää kaikki ulospäin menevät telnetyhteydet, jotka eivät tule yhdyskäytäväkoneelta. Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 31

Palomuuri / Yhdyskäytävä Yhteyttä haluavan on osattava ottaa yhteyttä yhdyskäytävään Esim. Web-selaajalle on kerrottava proxy-palvelimen osoite Ei auta kaikkiin turvaongelmiin IP-osoitteiden ja porttinumeroiden väärentäminen Yhdyskäytäväohjelmissa voi olla turva-aukkoja Langattomat yhteydet ja soittoyhteydet Myös hyvin ylläpidetyt järjestelmät kärsivät hyökkäyksistä! Tasapainoilua tietoturvan tason ja ulkoisten yhteyksien määrän välillä Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 32

Tunkeilijan havaitsemisjärjestelmät (intrusion detection systems, IDS) Tavoitteena havaita alkaneita hyökkäyksiä Lähinnä kerää tietoa verkon liikenteestä Tunkeilijan havaitsemisjärjestelmä (IDS) Pakettien sisällöllinen analysointi: Tutkii paketin datasisältöä, esim. etsii tunnettujen virusten tai hyökkäysten sormenjälkiä yms muita etukäteen tunnettuja malleja (pattern) Tutkii korrelaatioita. Useiden pakettien suhteita, esiintymistä, yms. Etsii tilastollisia poikkeamia normaalista liikenteestä Koputtelu, porttiskannaus (port scanning) Verkon rakenteen selvitys (network mapping) Palvelunestohyökkäys (DoS attack) Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 33

Tunkeilijan havaitsemisjärjestelmä Paljon erilaisia IDS-toteutuksia. Snort avoimen lähdekoodin toteutus internal network firewall Fig 8.36 [KR12] Internet IDS sensors Web server FTP server DNS server demilitarized zone Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 34

Uusi kone Käytännön ohjeita Älä kytke verkkoon ennenkuin olet ottanut palomuurin käyttöön Päivitä käyttöjärjestelmä heti Yliopiston lisenssillä saat koneellesi F-Securen ja Symantecin virustorjunta- ja palomuuriohjelmat https://ohjelmistojakelu.helsinki.fi -antivirus Muitakin ilmaisia ohjelmia löytyy Käytä palomuuria Huolehdi KJ:n päivityksistä Käytä virustorjuntaa Hävitä haittaohjelmat Viestintäviraston kyberturvallisuuskeskus: Seuraa tiedotuksia: https://www.viestintavirasto.fi/tietoturva.html Myös www.tietoturvaopas.fi vie samalle sivulle Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 35

LINKKIKERROS: WEP Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 36

WEP ÄLÄ KÄYTÄ, jos haluat suojatun yhteyden! Suojausmenetelmä murrettu jo 2001 Nopeampi purkualgoritmi jo 2007 Myös WPA on murrettu Valitse linkkikerrokselle vahvin tarjolla oleva! WEP parempi kuin ei mitään, mutta vain hiukan Käytämme esimerkkinä, koska se on riittävän yksinkertainen kuvaamaan linkkikerroksen salauksen toimintaidean Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 37

WEP lähtökohta Symmetrisen avaimen salaus Luottamuksellisuus (confidentiality) Käyttöoikeus (end host authorization) Tiedon eheys Jokainen paketti salataan erikseen Kun tunnetaan avain ja salattu paketti, voidaan paketti purkaa vaikka edellinen paketti olisikin kadonnut (siis ei ketjuteta kuten Cipher Block Chaining(CBC)) Tehokkuus Toteutettavissa laitteistolla tai ohjelmistolla Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 38

Symmetrinen jonosalaus (symmetric stream cipher) avain jonosalaimen generointi jonosalain Yhdistetään tavuittain (kukin tavu erikseen) jonosalaimen ja selväkielisen viestin tavut salatuksi viestiksi Jonosalausta käytetään tilanteissa, joissa salauksen on oltava nopeaa ja reaaliaikaista tiedon synnyn kanssa Jonosalausta ei pidetä täysin turvallisena WEPin käyttämä RC4 on tunnetuin Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 39

Jonosalaus ja pakettien riippumattomuus Kukin paketti salataan erikseen, ei saa ketjuttaa Jos kehykselle n+1 käytetään jonosalainta siitä kohtaa mihin kehyksen n jälkeen jäätiin, eivät kehykset olekaan salattuina riippumattomia WEP: generoidaan jonosalain kullekin paketille erikseen käyttäen syötteenä avainta ja paketin omaa uutta alustusvektoria (initialization vector, IV) Key+IV packet keystream generator keystream packet Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 40

WEP salaus (1) Lähettäjä laskee datalle eheystarkisteen (Integrity Check Value, ICV) Kummallakin käytössä 104-bittinen jaettu avain Lähettäjä luo 24-bittisen alustusvektorin (IV), katenoi sen avaimen kanssa ja saa näin 128-bittisen avaimen Lähettäjä vielä katenoi mukaan avaintunnisteen keyid (8-bittinen) 128-bittinen avain on siemen näennäissatunnaislukuja tuottavalle funktiolle, nämä luvut muodostavat jonosalaimen Kehyksen data ja eheystarkiste salataan käyttäen RC4:ää Jonosalaimen ja data(+icv)n tavut XOR:illa yhteen 802.11 Kehyksen data-alueelle (payload): IV, KeyID ja salattu data+icv encrypted IV Key ID data ICV MAC payload Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 41

WEP salaus (2) IV (per frame) K S : 104-bit secret symmetric key plaintext frame data plus CRC key sequence generator ( for given KS, IV) k 1 IV k 2 IV k 3 IV k N IV k N+1 IV k N+1 IV d 1 d 2 d 3 d N CRC 1 CRC 4 802.11 header IV WEP-encrypted data plus ICV c 1 c 2 c 3 c N c N+1 c N+4 uusi IV kullekin kehykselle m(i) = ith unit of message ks(i) = ith unit of keystream c(i) = ith unit of ciphertext c(i) = ks(i) Å m(i) (Å = exclusive or) m(i) = ks(i) Å c(i) Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 42

WEP salauksen purku encrypted IV Key ID data ICV MAC payload Vastaanottaja erottaa IV:n Muodostaa avaimesta ja IV:stä siemenen näennäissatunnaislukugeneraattorille ja saa jonosalaimen XOR puretaan vain tekemällä se uudelleen, eli XOR (salattu data, jonosalain) Tarkistaa datan eheystarkisteen ICV HUOM: datan eheyden käsite on hiukan erilainen kuin allekirjoituksissa ja viestien todentamisessa (MAC). Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 43

Vastapuolen todentaminen haasteella Haaste: numero (R) jota käytetään vain kerran Kuinka todentaa Alicen olemassaolo : Bob lähettää haasteen R. Alicen täytyy palauttaa haaste R salattuna jaetulla salaisella avaimella I am Alice R K (R) A-B Alice on olemassa ja koska Alice on ainoa joka tietää salaisen avaimen, vastapuolen täytyy olla Alice! Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 44

WEP todentaminen authentication request Haaste/nonce (128 bytes) nonce encrypted shared key Huom: success if decrypted value equals nonce v Kaikki tukiasemat (AP) eivät käytä, vaikka WEP käytössä v Tukiasema kertoo todentamistarpeen merkkikehyksessä v Tehdään ennen yhdistämistä (association) Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 45

802.11 WEP salauksen murtaminen Turva-aukko (security hole): 24-bittinen IV, yksi IV kehyksessä, -> IV:n uudelleenkäyttö IV siirretään salaamatta -> IV:n uudelleenkäyttö voidaan havaita Hyökkäys: Hyökkääjä houkuttelee lähettäjän lähettämään jokin tunnettu viesti d 1 d 2 d 3 d 4 Hyökkäjä havaitsee: c i = d i XORk i IV Hyökkääjä tietää c i d i, joten voi laskea k i IV Hyökkääjä tietää nyt jonosalaimen k 1 IV k 2 IV k 3 IV Kun IV käytetään uudelleen, hyökkääjä voi purkaa viestin! Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 46

802.11i = WPA2: parannetaan turvallisuutta Otetaan käyttöön vahvempi salausmenetelmä Näitä on paljon tarjolla WPA2:ssa käytössä AES lohkosalaus Huolehditaan avaintenjakelusta Käyttäjän todentaminen ei tukiaseman tehtävä, vaan erillinen toiminnallisuus WPA2 on nykyinen käytössä oleva langattomien yhteyksien salausmenetelmä Käytä tätä muut liian heikkoja! Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 47

802.11i: nelivaiheinen toiminta STA: client station AP: access point wired network AS: Authentication server 1 Discovery of security capabilities 2 STA and AS mutually authenticate, together generate Master Key (MK). AP serves as pass through EAP 3 STA derives Pairwise Master Key (PMK) 3 AS derives same PMK, sends to AP 4 STA, AP use PMK to derive Temporal Key (TK) used for message encryption, integrity Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 48

Laajennettava autentikointiprotokolla (extensible authentication protocol, EAP) EAP: (langattomien) asiakkaiden ja todentamispalvelimen välinen protokolla EAP voidaan välittää erillisten linkkien yli Mobiililaitteelta tukiasemalle: EAP over LAN Tukiasemalta autentikointipalvelimelle: RADIUS over UDP wired network EAP over LAN (EAPoL) IEEE 802.11 EAP TLS EAP RADIUS UDP/IP Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 49

WPA2:n heikkous Koskee vain WPA2:n käyttöä laitteissa, jossa on myös Wi-Fi Protected Setup (WPS) Wikipediasta suoraan: A major security flaw was revealed in December 2011 that affects wireless routers with the WPS PIN feature, which most recent models have enabled by default. The flaw allows a remote attacker to recover the WPS PIN in a few hours with a brute-force attack and, with the WPS PIN, the network's WPA/WPA2 pre-shared key. [4] Users have been urged to turn off the WPS PIN feature, [5] although this may not be possible on some router models. Suunnitteluvirhe, ainoa suojautumiskeino: Estä WPS! Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 50

Verkon tietoturva - yhteenveto Perustekniikat... kryptografia (symmetrinen salaus ja julkisen avaimen järj.) Viestien eheys ja viestinnän luottamuksellisuus Osapuolien todentaminen. käytössä useissa erilaisissa protokollatoteutuksissa Turvallinen sähköposti secure transport (SSL&TLS) IPsec 802.11 (WPA2) operational security: firewalls and IDS Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 51

Kertauskysymyksiä Kryptografian periaatteet? Symmetrisen avaimen / julkisen avaimen salaus? Avaintenvaihtoprotokollat? Salaus ja suojausprotokollat? Palomuuri? Tietoturvan uhat? Suojautusmiskeinoja? ks. kurssikirja s. 770-772 Tietoliikenteen perusteet, syksy 2014 Tiina Niklander 52

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute