clase 14 prof. javier echaiz d.c.i.c. – u.n.s. ...ldm/mypage/data/ss/apuntes/2017-modulo17.pdf ·...
Post on 06-Oct-2018
219 Views
Preview:
TRANSCRIPT
Clase 14
Prof. Javier EchaizD.C.I.C. – U.N.S.
http://cs.uns.edu.ar/~jechaizje@cs.uns.edu.ar
JAVIERECHAIZ
Seguridad en Sistemas: Seguridad en RedesSeguridad en Sistemas: Seguridad en RedesJAVIERECHAIZ
2
“The network is the security problem”
-- parafraseando a Sun :-)
Seguridad en Redes
Seguridad en Sistemas: Seguridad en RedesSeguridad en Sistemas: Seguridad en RedesJAVIERECHAIZ
3
• Clientes
• Servidores
• Dispositivos
• Comunicaciones (analógica vs. digital)
• Medios/Topologías
• Protocolos:
• Open Systems Interconnection (OSI)
• Transmission Control Protocol and Internet Protocol(TCP/IP)
Conceptos Básicos
Seguridad en Sistemas: Seguridad en RedesSeguridad en Sistemas: Seguridad en RedesJAVIERECHAIZ
4
Topologías Usuales
Seguridad en Sistemas: Seguridad en RedesSeguridad en Sistemas: Seguridad en RedesJAVIERECHAIZ
5
• Arquitectura de Referencia
• Capas – Layer i obtiene servicios unicamente de Layer i-1.
• Peer layers
• Standard internacional
Open Systems Interconnection (OSI)
Seguridad en Sistemas: Seguridad en RedesSeguridad en Sistemas: Seguridad en RedesJAVIERECHAIZ
6
Modelo de Arquitectura: OSI
Seguridad en Sistemas: Seguridad en RedesSeguridad en Sistemas: Seguridad en RedesJAVIERECHAIZ
7
Red OSI
Seguridad en Sistemas: Seguridad en RedesSeguridad en Sistemas: Seguridad en RedesJAVIERECHAIZ
8
DATA
HEADER DATA
HEADER HEADER
HEADER HEADER HEADER DATA
DATA
Application Layer
Transport Layer
Internet Layer
Network Layer
Cada capa requiere headers adicionales.
Modelo de Arquitectura: TCP/IP
Seguridad en Sistemas: Seguridad en RedesSeguridad en Sistemas: Seguridad en RedesJAVIERECHAIZ
9
Protocolos/Capas
Seguridad en Sistemas: Seguridad en RedesSeguridad en Sistemas: Seguridad en RedesJAVIERECHAIZ
10
Todos los modelos de red implementan un sistema dedireccionado. Una dirección es una identificación única de unúnico punto en una red.
Un host en una red TCP/IP tiene una dirección IP de 32 bits.
Además de la dirección de cada host, hay direcciones para lasaplicaciones que están corriendo en un dado host: ports.
Socket: dirección de red + port, i.e. dirección de red de unaaplicación.
Nombres Lógicos
Traducción de direcciones: ARP, RARP, DNS, portmapper.
Direccionado (Addressing)
Seguridad en Sistemas: Seguridad en RedesSeguridad en Sistemas: Seguridad en RedesJAVIERECHAIZ
11
Direcciones
Seguridad en Sistemas: Seguridad en RedesSeguridad en Sistemas: Seguridad en RedesJAVIERECHAIZ
12
Los problemas de seguridad en redes provienen de:
• Sharing
• Complejidad del sistema
• Perímetro desconocido
• Muchos puntos de ataque
• Anonimato
• Camino desconocido
Seguridad en Redes
Seguridad en Sistemas: Seguridad en RedesSeguridad en Sistemas: Seguridad en RedesJAVIERECHAIZ
13
• Eavesdropping
• Cable
• Microondas
• Satélite
• Fibra óptica
• Robo de identidad (impersonation) (1)
• Guessing
• Eavesdropping
• Evasión
Amenazas de red (1)
Seguridad en Sistemas: Seguridad en RedesSeguridad en Sistemas: Seguridad en RedesJAVIERECHAIZ
14
• Robo de identidad (impersonation) (2)
• Autentificación inexistente
• Autentificación conocida
• Confianza
Amenazas de red (2)
Seguridad en Sistemas: Seguridad en RedesSeguridad en Sistemas: Seguridad en RedesJAVIERECHAIZ
15
Otras vulnerabilidades que pueden afectar laconfidencialidad:
• Misdelivery
• Exposición
• Análisis de Control de Flujo
Violación de la Confidencialidad del Msj.
Seguridad en Sistemas: Seguridad en RedesSeguridad en Sistemas: Seguridad en RedesJAVIERECHAIZ
16
• Fabricación
• Reply
• Cut & Paste
• Modificación
• Reemplazo
• Redirección
• Delay
• Destrucción
• Ruido
Violación de la Integridad del Msj.
Seguridad en Sistemas: Seguridad en RedesSeguridad en Sistemas: Seguridad en RedesJAVIERECHAIZ
17
Hacking
Integridad del código• Problemas con Java y otras formas de código móvil:active-X, AOL, etc.
Más problemas de autenticidad de msj• Repudio
• Negación de recibo
Más problemas
Seguridad en Sistemas: Seguridad en RedesSeguridad en Sistemas: Seguridad en RedesJAVIERECHAIZ
18
La última fuente de problemas en las comunicaciones queveremos es DoS.
• Conectividad
• Flooding
• Problemas de ruteo
• Ruptura de servicio
• Otras formas de DoS: redirección, port hammering, synattack, llenado de memoria/disco/servicio, winnuke, bufferoverflow, etc.
Denial of Service
Clase 14 (Sigue)
Prof. Javier EchaizD.C.I.C. – U.N.S.
http://cs.uns.edu.ar/~jechaizje@cs.uns.edu.ar
JAVIERECHAIZ
Seguridad en Sistemas: Seguridad en RedesSeguridad en Sistemas: Seguridad en RedesJAVIERECHAIZ
20
Vimos una larga lista de posibles amenazas a la seguridad apartir de ataques a través de la red. Ahora veremos quécontroles pueden enfrentar estos problemas.
Controles de Seguridad en Redes
Seguridad en Sistemas: Seguridad en RedesSeguridad en Sistemas: Seguridad en RedesJAVIERECHAIZ
21
La criptografía es una herramienta muy poderosa. Provee:
• confidencialidad
• autenticidad
• integridad
Puede aplicarse entre dos hosts o entre dos aplicaciones.
Dos formas:
• Encripción a nivel Link
• Encripción End-to-End
Encripción
Seguridad en Sistemas: Seguridad en RedesSeguridad en Sistemas: Seguridad en RedesJAVIERECHAIZ
22
Encripción a nivel Link
• La información se encripta justo antes de que el sistema labaje al nivel Link (capa 1 ó 2 OSI o 1 TCP/IP).
• La encripción protege el mensaje en tránsito entre doscomputadoras pero es texto plano dentro de los hosts (y loshosts pueden no ser confiables).
• Es transparente al usuario.
¿Cuándo es razonable usar esta técnica?
Seguridad en Sistemas: Seguridad en RedesSeguridad en Sistemas: Seguridad en RedesJAVIERECHAIZ
23
• Como el nombre lo indica provee seguridad desde un puntode la transmisión hasta el otro punto.
• Se aplica en la capa 6 ó 7 del modelo OSI ó en la capa 4 delmodelo TCP/IP.
¿Uso?
Comparación entre ambos métodos
Ver tabla 9-2 Pfleeger.
Encripción End-to-End
Seguridad en Sistemas: Seguridad en RedesSeguridad en Sistemas: Seguridad en RedesJAVIERECHAIZ
24
La encripción es especialmente buena para proteger datosque viajan por una red. Sin embargo el acceso a los datos,programas, y a otros recursos es también importante.
• Protección de Ports
• Call-Back
• Accesos diferenciados
• Modem silencioso
Control de Acceso
Seguridad en Sistemas: Seguridad en RedesSeguridad en Sistemas: Seguridad en RedesJAVIERECHAIZ
25
La autentificación y el control de acceso puede implementarsecompletamente a nivel host-host. Dos problemas:
• ¿Cómo puede comprobar un host la autenticidad del hostremoto?
• ¿Cómo puede comprobar un host la autenticidad del usuarioque está en el host remoto?
Veremos autentificación host-to-host y user-to-host.
Pregunta: ¿comó podemos utilizar mecanismos criptográficospara diseñar protocolos seguros?
Autentificación en Sistemas Distribuidos
Seguridad en Sistemas: Seguridad en RedesSeguridad en Sistemas: Seguridad en RedesJAVIERECHAIZ
26
Digital (HP hoy en día) creó una arquitectura simple contralas siguientes amenazas:
• Usurpación de identidad de un server mediante un procesomalicioso.
• Intercepción o modificación de mensajes intercambiadosentre los servers.
• Replay de autentificación previa.
Ver detalles en Capítulo 9 – Pfleeger.
Digital Distributed Autentication
Seguridad en Sistemas: Seguridad en RedesSeguridad en Sistemas: Seguridad en RedesJAVIERECHAIZ
27
Perro de tres cabezas y cola de serpiente segúnmitología griega, guardián de la entrada delTemplo de Hades.
Tres componentes guardarán la puerta:Autentificación, Contabilidad y Auditoría. Las dosúltimas cabezas nunca han sido implementadas.
Servicio de autentificacióndesarrollado en el MassachusettsInstitute of Technology (MIT)
Kerberos
Seguridad en Sistemas: Seguridad en RedesSeguridad en Sistemas: Seguridad en RedesJAVIERECHAIZ
28
• Proyecto Athena. Mit 1980.
• Basado en el protocolo de clave compartida basado en elprotocolo de Needham y Schroeder.
• Los usuarios necesitan acceder a servicios remotos.
• Existen tres tipos de amenazas:
• Un usuario se hace pasar por alguien más.
• Un usuario altera la dirección de red de un host.
• Usuario usa técnicas de eavesdrop y replay attack.
Kerberos: Introducción (1)
Seguridad en Sistemas: Seguridad en RedesSeguridad en Sistemas: Seguridad en RedesJAVIERECHAIZ
29
• Provee un server (centralizado) de autentificación paraautentificar usuarios en servers y servers a usuarios.
• Utiliza criptografía convencional.
• 2 versiones: 4 y 5.
• La versión 4 utiliza DES.
Kerberos: Introducción (2)
Seguridad en Sistemas: Seguridad en RedesSeguridad en Sistemas: Seguridad en RedesJAVIERECHAIZ
30
Kerberos v. 4
Notación:– C = cliente– AS = servidor de autentificación– V = servidor– IDc = identificador del usuario en C– IDv = identificador de V– Pc = password del usuario en C– ADc = dirección de red de C– Kv = clave secreta de encripción compartida por AS y V– TS = timestamp– || = concatenación
Seguridad en Sistemas: Seguridad en RedesSeguridad en Sistemas: Seguridad en RedesJAVIERECHAIZ
31
Diálogo de Autentificación Simple
(1) C AS: IDc || Pc || IDv(2) AS C: Ticket(3) C V: IDc || Ticket
Ticket = EKv[IDc || Pc || IDv]
Seguridad en Sistemas: Seguridad en RedesSeguridad en Sistemas: Seguridad en RedesJAVIERECHAIZ
32
Diálogo de Autentificación v. 4
• Problemas:– El tiempo de vida asociado con los tickets.– Si es muy corto: se deberá entrar el password repetidas
veces.– Si es muy largo: mayor oportunidad de replay.
• La amenaza:– Que el atacante robe el tiquet y lo use antes de que expire.– Denial of Service: clock o TGS
Seguridad en Sistemas: Seguridad en RedesSeguridad en Sistemas: Seguridad en RedesJAVIERECHAIZ
33
Diálogo de Autentificación v. 4
Authentication Service Exhange: Para obtener Ticket-Granting Ticket
(1) C AS: IDc || IDtgs ||TS1
(2) AS C: EKc [Kc,tgs|| IDtgs || TS2 || Lifetime2 || Tickettgs]
Ticket-Granting Service Echange: Para obtener Service-Granting Ticket
(3) C TGS: IDv ||Tickettgs ||Authenticatorc
(4) TGS C: EKc [Kc,¨v|| IDv || TS4 || Ticketv]
Client/Server Authentication Exhange: Para obtener Service(5) C V: Ticketv || Authenticatorc
(6) V C: EKc,v[TS5 +1]
Seguridad en Sistemas: Seguridad en RedesSeguridad en Sistemas: Seguridad en RedesJAVIERECHAIZ
34
KerberosAS
TGS
DBPedido de ticket-granting ticket
Ticket +session key
Kerberos: Overview
Seguridad en Sistemas: Seguridad en RedesSeguridad en Sistemas: Seguridad en RedesJAVIERECHAIZ
35
Kerberos: Overview
Seguridad en Sistemas: Seguridad en RedesSeguridad en Sistemas: Seguridad en RedesJAVIERECHAIZ
36
Pedido de servicio en otro Realm
Seguridad en Sistemas: Seguridad en RedesSeguridad en Sistemas: Seguridad en RedesJAVIERECHAIZ
37
Diferencias entre las versiones 4 y 5
• Dependecia del sistema de encripción (V.4 DES)• Dependencia del protocolo de red• Orden de los bytes en el mensaje• Tiempo de vida de los tickets• Forwarding de autentificación• Autentificación interrealm
Seguridad en Sistemas: Seguridad en RedesSeguridad en Sistemas: Seguridad en RedesJAVIERECHAIZ
38
Encripción en Kerberos
Seguridad en Sistemas: Seguridad en RedesSeguridad en Sistemas: Seguridad en RedesJAVIERECHAIZ
39
Modo PCBC
Seguridad en Sistemas: Seguridad en RedesSeguridad en Sistemas: Seguridad en RedesJAVIERECHAIZ
40
Kerberos en la Práctica
• Dos versiones de Kerberos:– 4 : un solo realm– 5 : permite inter-realm– Kerberos v5 es un Internet standard– RFC1510, utilizado por muchas aplicaciones
• Para utilizar Kerberos:– Necesita tener un KDC en su red– Necesita aplicaciones kerberizadas– Exportación fuera de US!
• Recientemente solucionado
Seguridad en Sistemas: Seguridad en RedesSeguridad en Sistemas: Seguridad en RedesJAVIERECHAIZ
41
Autentificación en Windows 2000
• MS adopta y extiende kerberos para su Win2K.• Extensión: criptografía pública para proteger los
mensajes cliente/AS (en lugar de passwords que protegenclaves).
• Esto permite smartcards.• Otra extensión: incluye la transmisión de privilegios de
acceso (data auth field (en gral. vacío)).• Extensión no std hace que no sea compatible con
aplicaciones no M$.• ¿Extraño?
Seguridad en Sistemas: Seguridad en RedesSeguridad en Sistemas: Seguridad en RedesJAVIERECHAIZ
42
Kerberos en la WWW
• http://www.google.com (buscar kerberos)• Bryant, W. Designing an Authentication System: A
Dialogue in Four Scenes.http://web.mit.edu/kerberos/www/dialogue.html
• Kohl, J.; Neuman, B. “The Evolution of the KerberosAuthentication Service”http://web.mit.edu/kerberos/www/papers.html
• http://www.isi.edu/gost/info/kerberos/• Paper en CeCom, papers en mi www y Capítulo 4
Stallings.
Seg. enRedes (2)
JAVIERECHAIZ
ComingNext!
top related