Bezpieczeństwo w sieciach TCP IP

Piotr KIJEWSKI*, Krzysztof SZCZYPIORSKI*
Bezpieczeństwo w sieciach TCP/IP1)
Klasyczne protokoły rodziny TCP/IP nie zapewniają podstawo- M systemem przetwarzania danych przeprowadzającym ope-
wych usług ochrony informacji, takich jak kontrola dostępu, pouf- racje na danych (tzw. danych przetwarzanych),
noSć, integralnoSć czy uwierzytelnienie. Podczas prac nad ich M systemem przechowywania danych składującym te dane
udoskonalaniem powstały dwie grupy zabezpieczeń: (tzw. przechowywane dane).
M systemy ochrony informacji specjalistyczne mechanizmy Te elementy funkcjonalne są składowymi komputerów siecio-
analizujące działanie protokołów wymiany danych (np. systemy wych (np. serwerów internetowych), ruterów i innych urządzeń.
wykrywania włamań), Historycznie najwczeSniej zainteresowano się ochroną infor-
M nowe protokoły zabezpieczeń i rozszerzenia aplikacji (np. macji w samodzielnie działających komputerach, a dokładnie
Transport Layer Security TLS). w systemach przechowywania danych, takich jak bazy danych
Celem artykułu jest przedstawienie metodyki ataków na sieci czy systemy plików. W momencie szerszego zainteresowania
TCP/IP, w tym na sieć Internet oraz usystematyzowanego sieciami telekomunikacyjnymi spostrzeżono, że istotna jest
przeglądu stosowanych w tych sieciach zabezpieczeń przez ochrona danych przekazywanych pomiędzy maszynami. W koń-
prezentację logicznej ewolucji
poszczególnych klas metod za-
bezpieczeń, ze szczególnym za-
znaczeniem kierunków ich
rozwoju.
W kolejnych trzech częSciach
artykułu przedstawiono uogólnio-
ne spojrzenie na te ataki oraz
wspomniane wyżej dwie grupy
metod zabezpieczeń. Następnie
przedstawiono inne istotne, zda-
niem autorów, zagadnienia zwią-
zane z kształtowaniem się metod
ochrony informacji w sieciach
TCP/IP. W podsumowaniu przed-
stawiono najważniejsze wnioski
wynikające z opracowania.
W niniejszym artykule przez
model sieci będzie rozumiany
czterowarstwowy model sieci
TCP/IP. Niestety, znane z lite-
ratury angielskiej odpowiedniki
O Rys 1. Zależności funkcjonalne pomiędzy podstawowymi elementami sieci
O
niektórych mechanizmów zabez-
pieczeń (np. circuit level gateway)
nie mają czytelnych i jednoznacznych polskich okreSleń. Używa- cu dostrzeżono rolę właSciwego, od strony bezpieczeństwa,
jąc pojęcia sieci TCP/IP, mamy na mySli wszystkie sieci wyko- przetwarzania danych za pomocą aplikacji.
rzystujące stos protokołów TCP/IP, a więc oprócz Internetu, jego Żeby lepiej zidentyfikować kwestie związane z bezpieczeń-
mniej lub bardziej lokalne odmiany, takie jak np. intranet i ekstra- stwem podstawowych elementów sieci (traktowanych dalej jako
net. zasoby), wprowadzono trzy pojęcia: zagrożenie, słaby punkt
(podatność) i skutek. Wykorzystując te pojęcia można wprowa-
dzić taksonomię ilustrującą ideę ataków na zasoby sieci Internet.
ATAKI NA SIECI TCP/IP
ródłem zagrożeń są osoby, obiekty lub zdarzenia, które mo-
gą naruszyć bezpieczeństwo danego zasobu. Przez zagrożenie
Architekturę sieci TCP/IP można opisać za pomocą relacji po- wewnętrzne rozumie się zagrożenia wynikające z posiadania
między trzema podstawowymi elementami funkcjonalnymi (rys. 1): władzy nad częScią lub całoScią zasobu, przez zagrożenia ze-
M systemem komunikacji wykorzystującym protokoły komuni- wnętrzne pozostałe.
kacyjne w celu przekazywania danych (tzw. danych w ruchu ) Słabymi punktami (podatnościami) zasobu okreSla się
pomiędzy urządzeniami sieciowymi lub maszynami, newralgiczne, ze względu na bezpieczeństwo, obszary i frag-
menty zasobu. Słaby punkt, nazywany nieformalnie dziurą ,
* Instytut Telekomunikacji Politechniki Warszawskiej, e-mail: stanowi niekontrolowaną drogę do zasobu i może zostać wykry-
P.Kijewski@tele.pw.edu.pl, K.Szczypiorski@tele.pw.edu.pl
ty, a następnie wykorzystany przez osobę, obiekt lub zdarzenie
czyli przez xródło zagrożenia. Celem wprowadzania zabezpie-
czeń jest wyeliminowanie tych słabych punktów. Słabe punkty
1)
Artykuł jest uaktualnioną i rozszerzoną wersją referatu Kierunki rozwoju
można znalexć w projekcie, w implementacji lub w konfiguracji
zabezpieczeń w sieciach TCP/IP wygłoszonego na Krajowym Sympozjum
Telekomunikacji KST 99 zasobów.
!
!
PRZEGLD TELEKOMUNIKACYJNY ! ROCZNIK LXXIV ! nr 5 6/2001 367
BezpoSredni wynik pogwałcenia integralnoSci zasobu wyko-
rzystania słabego punktu okreSla się mianem skutku. Typowe
skutki przeprowadzonego ataku to:
M nieautoryzowany dostęp wykorzystanie zasobu przez nie-
uprawnione podmioty,
M podszycie się spreparowanie danych wskazujących na in-
nego nadawcę,
M wyciek (przechwycenie) danych,
M modyfikacja danych,
M przejęcie połączenia sieciowego,
M odmowa usługi uniemożliwienie skorzystania z usługi lub
degradacja parametrów jej obsługi.
Z punktu widzenia bezpieczeństwa każdemu z wyróżnionych
elementów (zasobów) może być przypisany inny mechanizm za-
bezpieczeń.
Na rys. 2 przedstawiono cykliczną relację pomiędzy zagroże-
niem, słabym punktem a skutkiem. Zagrożenie wykorzystuje sła-
by punkt, aby osiągnąć pewien cel (skutek). Skutek może
przerodzić się w nowe potencjalne xródło zagrożenia. Na sku-
teczne wykorzystanie słabego punktu może wpłynąć kilka zagro-
O Rys. 3. Propagacja błędów w stosie protokołów TCP/IP. Oznacze-
O
żeń, podobnie jak skutek może być osiągnięty przez odkrycie
nia: ARP Address Resolution Protocol, ICMP Internet Control
(eksplorację) kilku słabych punktów. Message Protocol, IGMP Internet Group Management Protocol, IP
Internet Protocol, RARP Reverse Address Resolution Protocol,
TCP Transmission Control Protocol, UDP User Datagram Proto-
col
O Rys. 4. Schemat typowego włamania
O
Rys. 4 obrazuje schemat typowego włamania do urządzenia
sieciowego. Atakujący uzyskuje dostęp do systemu operacyjnego
(1) na poziomie zwykłego użytkownika wykorzystując słabe punk-
ty usług. Uzyskanie dostępu może być poprzedzone zbieraniem
O Rys. 2. Taksonomia ataków oparta na cyklicznej relacji pomiędzy
O
(tzw. skanowaniem) informacji o dostępnych usługach, wersjach
zagrożeniem, słabym punktem oraz skutkiem
aplikacji, wersji systemu operacyjnego, strukturze sieci i użytkow-
nikach. W kolejnym etapie (2) atakujący wykorzystuje słaby punkt
Stos protokołów TCP/IP, ze względu na niezbyt wyraxne za- w aplikacji uruchomionej w systemie operacyjnym umożliwiający
znaczenie granic pomiędzy niższymi warstwami, a także dużą uzyskanie nieograniczonych praw administratora systemu. Na-
swobodę we wprowadzaniu nowych aplikacji, cechuje się szcze- stępnie (3) może ukryć się w systemie przez modyfikację syste-
gólną podatnoScią na propagację błędów. Postępująca przeważ- mu operacyjnego (np. standardowego oprogramowania
nie od najniższych warstw propagacja polega na destabilizacji systemowego) i logów systemowych. Tak opanowany system
lub osłabieniu wiarygodnoSci protokołów warstw wyższych. Przy- może posłużyć jako baza wypadowa do następnego ataku (4).
kładowo (rys. 3) słabe punkty protokołu ARP (Address Resolu- Faza (1) i (2) może być pominięta, jeSli w trakcie zdalnego skano-
tion Protocol warstwa fizyczna) implikują niestabilne zachowa- wania celu atakujący znajdzie słaby punkt umożliwiający bezpo-
nie się protokołów ze wszystkich wyższych warstw, a słabe Srednie uzyskanie praw administratora (1 ). Przechodzenie
punkty TCP niestabilnoSć aplikacji, takich jak np. HTTP (Hyper- włamywaczy tą drogą z jednej maszyny na drugą jest czasami na-
Text Transfer Protocol), telnet, FTP (File Transfer Protocol). Sto- zywane skakaniem z wyspy na wyspę (island hopping).
sunkowo rzadko mamy do czynienia z propagacją błędów od
warstw najwyższych do najniższych, za przykład może posłużyć
EWOLUCJA SYSTEMÓW OCHRONY
wpływ protokołu SNMP (Simple Network Management Protocol
warstwa aplikacji) na konfigurację węzłów. Oprócz pionowej INFORMACJI
propagacji błędów niekiedy mamy do czynienia z propagacją po-
ziomą w obrębie jednej warstwy, np. podszycie się na poziomie Obecnie zostaną omówione dwa charakterystyczne dla sieci
DNS (Domain Name System) będzie implikować nierzetelną pra- TCP/IP systemy ochrony informacji: ściany przeciwogniowe
cę aplikacji wykorzystujących tę usługę. (firewalls) i systemy wykrywania włamań. Dla każdego z sys-
!
!
368 PRZEGLD TELEKOMUNIKACYJNY ! ROCZNIK LXXIV ! nr 5 6/2001
temów przedstawiono klasyfikację, ewolucję oraz zalety i wady prezentowane na szeSciu flagach2). Powyższego ograniczenia nie
obecnie spotykanych rozwiązań. mają aktywne filtry pakietów (stateful, active lub dynamic filters)
Zastosowanie obydwu klas jest komplementarne. Zadaniem zachowujące kontekst sesji pomiędzy aplikacjami przez utworze-
Scian przeciwogniowych jest kontrolowanie dostępu do podsieci nie wirtualnego połączenia także dla UDP.
lub pojedynczej stacji. Jest to zatem rola ukierunkowana na ze-
Bramy na poziomie aplikacji (application level
wnątrz. Systemy wykrywania intruzów analizują ruch wewnątrz
gateways)
podsieci i pracę umieszczonych w niej systemów operacyjnych,
operują na informacjach, które mają dostęp do tej podsieci. Jest Pierwszą odmianą bram na poziomie aplikacji jest prymityw-
to więc rola introwertyczna , czyli wewnętrzna. na brama, która jako dedykowana maszyna w sieci lokalnej po-
Sredniczy w komunikacji z siecią zewnętrzną. Zwyczajowo bra-
ma tej klasy jest nazywana bastion hostem. Bez jej poSrednic-
Rciany przeciwogniowe (firewalls)
twa nie jest możliwa wymiana danych pomiędzy aplikacją uru-
chomioną w sieci lokalnej a aplikacją rezydującą w sieci
Zadania i klasyfikacja
zewnętrznej. Praca z pierwszymi bastion hostami polegała na
Rciany przeciwogniowe należą do pierwszej generacji syste- uruchomieniu na nich zdalnej sesji, a następnie na połączeniu
mów zabezpieczeń dla sieci TCP/IP. Ich pojawienie się było od- się z docelową maszyną. Podstawową wadę tego rozwiązania
powiedzią na zagrożenia wynikające z faktu, że w sieciach bezpoSredni dostęp do kont na bramie usuwają proxy nie-
TCP/IP każdy węzeł może skomunikować się z dowolnym innym przezroczyste. Są one związane z konkretnym protokołem apli-
węzłem. Firewall realizuje usługę kontroli dostępu do wybranej kacyjnym zatem każdy z nich wymaga zaimplementowania
warstwy sieci przez filtrowanie lub pośredniczenie w przeka- innej wersji mechanizmu. Aplikacje oraz użytkownicy muszą być
zywaniu (funkcja proxy) jednostek danych. poinformowani o obecnoSci proxy (brak przezroczystoSci)
Ze względu na umiejscowienie w warstwach sieci (a zatem na utrudnia to zarówno zarządzanie siecią, jak i pracę w niej. Naj-
technikę działania) wyróżnia się trzy kategorie Scian przeciwo- nowsza generacja bram na poziomie aplikacji jest pozbawiona
gniowych (rys. 5): tej uciążliwej cechy i nosi nazwę proxy przezroczyste (transpa-
M filtry pakietów (warstwy: łącza danych, sieciowa, transporto- rent proxy). W tym przypadku Sciana przeciwogniowa przechwy-
wa), tuje połączenie i automatycznie kieruje je na proxy.
M bramy na poziomie sesji circuit level gateway (na gra-
Bramy na poziomie sesji
nicy warstwy transportowej i usługowej odpowiednik warstwy
sesji w OSI RM), Firewalle typu brama na poziomie sesji (circuit level gateways)
M bramy na poziomie aplikacji application level gateway pełnią rolę uogólnionych (ale nie do końca inteligentnych) pro-
(warstwą usługowa). xy nie są związane z konkretnym protokołem aplikacji. Dzięki
O Rys. 5. Ewolucja i podział systemów typu firewall
O
temu transport danych przez bastion hosta staje się o wiele
W kolejnych trzech podpunktach omówiono poszczególne ty-
prostszy, z punktu widzenia administrowania siecią. Po odpo-
py Scian przeciwogniowych.
wiednim dostosowaniu oprogramowania (np. po właSciwej
kompilacji klienta) bramy te są zawsze przezroczyste dla użyt-
Filtry pakietów
kownika3).
Pierwsze prymitywne filtry pakietów opierają swoje działanie
na analizie adresów xródła i przeznaczenia na poziomie protoko-
Adaptacyjna ściana przeciwogniowa
łu IP oraz na poziomie warstwy niższej (np. Medium Access Con-
trol MAC w sieciach LAN). Na podstawie reguł okreSlonych dla Adaptacyjna ściana przeciwogniowa (adaptive lub cut-
adresów, filtr decyduje o tym, czy przeglądany pakiet ma być -through firewall) jest hybrydą trzech poprzednich odmian jej
przekazany do odpowiedniego węzła czy też usunięty. Pasywne działanie polega na równoległym zastosowaniu wszystkich moż-
filtry pakietów (static filters) dodatkowo analizują nagłówek pro- liwych metod obsługi danego ruchu (odpowiednie poSrednicze-
tokołu warstwy transportowej rozróżniają typ protokołu (TCP, nie bądx filtrowanie). Np. początkowe połączenie klienta z ser-
UDP) oraz poszczególne flagi (tylko TCP). W przypadku protoko- werem zostaje przeanalizowane na poziomie aplikacji przez pro-
łu bezpołączeniowego, jakim jest UDP, filtr pakietu nie ma możli- xy przezroczyste, a następnie po podjęciu decyzji na temat jego
woSci wywnioskowania kontekstu wysłania datagramu; w TCP charakteru kolejne porcje danych są przetwarzane przez aktyw-
(protokole połączeniowym) informacje o stanie połączenia są re- ny filtr pakietów.
2)
Niektórych usług bazujących na TCP nie można w ten sposób bezpiecz-
3)
nie filtrować (np. aktywnego ftp) Obecnie wiekszoSć oprogramowania nie wymaga ingerencji
!
!
PRZEGLD TELEKOMUNIKACYJNY ! ROCZNIK LXXIV ! nr 5 6/2001 369
O Tabela 1. Zalety i wady obecnie dostępnych systemów typu firewall
O
Adaptacyjna ściana
Filtr pakietów Brama na poziomie aplikacji Bramy na poziomie sesji
przeciwogniowa
Zalety ! szybkoSć w działaniu zniko- ! brak bezpoSrednich połączeń ! brak bezpoSrednich połączeń ! zalety pozostałych trzech klas
my wpływ na obciążenie ! przezroczystoSć ! przezroczystoSć
węzła i spadek przepływnoSci ! możliwoSć uwierzytelnienia ! możliwoSć uwierzytelnienia
! elastycznoSć ! analiza zawartoSci informacyj- ! szybszy od bramy na
nej wydanych poleceń itp., poziomie aplikacji
! rozbudowane możliwoSci
logowania
Wady ! brak możliwoSci uwierzytel- ! wolniejszy od filtrów pakietów ! wolniejszy od filtrów pakietów� ! nadmiar elastycznoSci
nienia i od bram na poziomie sesji nie rozumie protokołu (możliwe ustawienie
! nie rozumie protokołu (circuit level gateway) warstwy aplikacji słabszego trybu
warstwy aplikacji ! brak wsparcia dla nowszych zabezpieczenia)
! bezpoSrednia komunikacja protokołów (do czasu napisa-
z siecią chronioną nia odpowiednich modułów)
! elastycznoSć
! trudna konfiguracja
M R-boxes (Response units) jednostki reagujące.
Zalety i wady
Ze względu na xródło zdarzenia zewnętrznego (a zatem
Tabela 1 zawiera zestawienie zalet i wad obecnie spotykanych i umiejscowienia E-box) systemy wykrywania włamań dzieli się
systemów typu firewall. na dwie grupy (rys.7):
M oparte na systemie operacyjnym hosta (host based), któ-
re analizują informacje w pozostałych warstwach zaimplemento-
Przyszłość firewalli
wanych w węxle działają na poziomie systemu operacyjnego
Ewolucja systemów firewall wydaje się zakończona. Zauwa-
(system based) lub uruchamianych w nim aplikacji (application
żalne na rynku trendy dotyczą przede wszystkim udoskonalenia
based),
implementacji (specjalizowane układy cyfrowe), dedykowania
M oparte na sieci (network based), które pobierają informacje
Sciany przeciwogniowej jednej maszynie, a nie całej podsieci (na
z warstwy łącza danych przez podsłuch kanału transmisyjnego,
co pozwalają współczesne komutatory), zwiększenia funkcjonal-
w tym przypadku są analizowane: nagłówki protokołów (traffic
noSci (np. ochrona antywirusowa VirusWall).
based) lub zawartoSć pola danych (content based).
Często Sciany przeciwogniowe umożliwiają konfigurowanie
W odróżnieniu od Scian przeciwogniowych, które od początku
wirtualnych sieci prywatnych (VPN Virtual Private Network)
swojego istnienia operowały na strumieniach danych w czasie
przez tworzenie szyfrowanych kanałów, np. na bazie IPsec albo
rzeczywistym, pierwsze IDS były systemami off-line.
indywidualnych rozwiązań producentów. Oprócz tego często fire-
walle są wyposażone w użyteczną, m. in. w zastosowaniach in-
tranetowych, funkcję translacji adresów z wewnętrznych na
internetowe (NAT Network Address Translation).
Systemy wykrywania włamań
Zadania. Klasyfikacja
Systemy wykrywania włamań (Intrusion Detection Systems
IDS), mimo że pojawiły się w szczątkowej formie przed firewal-
lami, należą do drugiej generacji systemów zabezpieczeń prze-
znaczonych dla sieci TCP/IP. Przez włamanie jest rozumiana
sekwencja zdarzeń zagrażających bezpieczeństwu sieci. Zada-
niem IDS jest odnotowanie faktu włamania, a także odpowiednia
na nie reakcja4).
Przedstawiona w tym artykule klasyfikacja IDS jest oparta na
architekturze CIDF (Common Intrusion Detection Framework
O Rys. 6. Wspólna architektura wykrywania włamań (por. [6])
O
wspólna architektura wykrywania włamań [5]) i uwzględnia funk-
cjonalnoSć systemów. Według CIDF w systemach wykrywania
włamań można wyróżnić cztery komponenty (rys. 6):
M E-boxes (Event generators) generatory zdarzeń systemo-
wych analizujące zewnętrzne zdarzenia,
M A-boxes (event Analyzers) analizatory zdarzeń systemo-
wych,
M D-boxes (event Databases) bazy danych,
4)
Reakcja może polegać np. na powiadomieniu administratora sieci, przez
wysłanie krótkiej informacji tekstowej (SMS) na telefon komórkowy albo na
O
odcięciu podejrzanego połączenia; w tym artykule przyjęto, że reakcja na- O Rys. 7. Ewolucja i podział systemów IDS ze względu na zródło
leży do funkcji IDS (inaczej niż w [1]) zdarzenia zewnętrznego
!
!
370 PRZEGLD TELEKOMUNIKACYJNY ! ROCZNIK LXXIV ! nr 5 6/2001
Ze względu na sposób analizy danych (A-boxes) wyróżnia się Wady związane z niewystarczającą iloScią informacji dotyczą-
systemy wykrywające anomalie (anomaly detection) i naduży- cych perspektywy działania wybranego typu IDS (np. opartego
cia (misuse detection). W systemie IDS przyjmuje się pewien na systemie operacyjnym hosta) można wyeliminować przez roz-
model standardowego zachowania użytkowników sieci. Wszelkie proszenie funkcjonalnoSci systemu IDS, np. przez zastosowanie
zachowania niezgodne z przyjętymi zasadami są uznawane za autonomicznych agentów rezydujących w węzłach sieciowych.
anomalie (np. większe wykorzystanie mocy obliczeniowej, użycie Nastąpi wtedy korelacja wiadomoSci odbieranych ze wszystkich
przez użytkownika niestandardowej sekwencji komend). Nato- warstw sieci.
miast nadużycie jest rodzajem zachowania, które IDS rozpozna- Wydaje się doSć skomplikowane analizowanie przez system
je jako konkretny atak na system. IDS zaszyfrowanego strumienia danych. W takim przypadku dla
Jednostki reagujące (R-boxes) w najnowszych systemach IDS wszystkich relacji zaufania w sieci IDS musiałby stać się zaufa-
mają zdolnoSć podejmowania decyzji służących złagodzeniu ną trzecią stroną, bądx też wszystkie systemy ochrony informa-
skutków włamania, mogą też przekierowywać intruza na spe- cji (np. TLS patrz dalej) powinny mieć wsparcie dla systemu
cjalną maszynę-pułapkę. Stare systemy jedynie logowały rozpo- IDS przekazywać dane niezbędne do jego pracy po uprzednim
znane zdarzenia i informowały o tym administratora. ich odszyfrowaniu.
Bazy danych (D-boxes) zawierają: znane wzorce ataków (zwa-
Współpraca systemów wykrywania włamań
ne niekiedy sygnaturami), profile zachowań użytkowników i sys-
ze ścianami przeciwogniowymi
temu, Scieżki Sladów (logi wygenerowane przez pozostałe
komponenty systemu). Trzecia generacja systemów zabezpieczeń będzie łączyć
w sobie funkcje systemów wykrywania włamań i Scian przeciwo-
Zalety i wady IDS
gniowych. Integracja wpłynie na większą ich elastycznoSć przy
Tabela 2 zawiera zestawienie zalet i wad obecnie spotykanych reagowaniu na anomalie czy też nadużycia, a także zmniejszy
systemów IDS. redundancje informacji przechowywanych w bazach danych.
O Tabela 2. Zalety i wady systemów IDS
O
IDS oparty na
IDS wykrywający
IDS wykrywający
systemie IDS oparty na sieci
nadużycia
anomalie
operacyjnym hosta*
Zalety ! obserwuje i interpre- ! łatwo monitoruje całe podsieci
! może wykrywać nie- ! może wykrywać
tuje zdarzenia w kon- ! obserwuje i interpretuje zdarzenia na najniższej
znane ataki znane ataki i ich
tekScie znanego warstwie sieci
warianty
systemu operacyjne-
go albo aplikacji
Analizujące nagłówki Analizujące zawartość
protokołów (traffic pól danych (content
based) based)
! generuje małą liczbę ! wykrywa więcej
logów ataków niż
! nie ingeruje analizujący nagłówki
w prywatnoSć sesji protokołów (traffic
based)
! nie obserwuje ! trudno okreSlić, co się dzieje na docelowej stacji
! potencjalnie duża ! może wykrywać tylko
Wady
warstw niższych ! podatne na takie ataki, jak odmowa usługi,
liczba fałszywych znane ataki
! trudno monitoruje modyfikacja
ataków trudny
całe podsieci ! strata pakietów przy większym obciążeniu sieci
dobór odpowiednich
! (potencjalnie)
parametrów pracy
Analizujące nagłówki Analizujące
generuje dużo logów
! możliwoSć szkole-
protokołów (traffic zawartość pól danych
nia systemu przez
based) (content based)
atakującego
! wykrywa mniej ! nie potrafi
ataków niż analizować
analizujący zaszyfrowanych
zawartoSć pól danych
danych (content ! (potencjalnie)
based) generuje dużo logów
* działający na poziomie systemu operacyjnego (system based) i uruchamianych w nim aplikacji (application based)
Przyszłość systemów IDS
EWOLUCJA PROTOKOAÓW
W przyszłoSci jest planowane rozszerzenie pola zastosowania
ZABEZPIECZEC I ROZSZERZEC
IDS do sieci rozległych (np. Internet) oraz wyeliminowanie obec-
APLIKACJI
nych ograniczeń (tabela 2). W tym celu prowadzi się prace w gru-
pie roboczej IDWG (Intrusion Detection Exchange Format) IETF
Ewolucję protokołów zabezpieczeń i rozszerzeń aplikacji wi-
oraz w ramach CIDF standaryzujące wymianę informacji na te-
dać na przykładzie zmiany warstw modelu sieci (rys. 8). Dla po-
mat wykrytych przypadków włamań pomiędzy różnymi systema-
szczególnych protokołów i aplikacji są zauważalne dwa
mi oraz komponentami IDS5).
podstawowe kierunki:
5)
M rozbudowanie (wzbogacenie) tego, co jest potraktowanie
Por. rys. 7 IDS wykorzystujący WAN sieć (WAN based) oparty na sie-
ci rozległej bezpieczeństwa jako opcji,
!
!
PRZEGLD TELEKOMUNIKACYJNY ! ROCZNIK LXXIV ! nr 5 6/2001 371
O Rys. 9. Protokół TLS: schemat, umiejscowienie w modelu sieci
O
TCP/IP. Oznaczenia: HTTP HyperText Transfer Protocol, SMTP
Simple Mail Transfer Protocol, NNTP Network News Transfer Pro-
tocol, FTP File Transfer Protocol
O Rys. 8. Ewolucja poszczególnych warstw sieci TCP/IP
O
stwy zarządzania bezpieczeństwem połączenia (usługi tej war-
M zmiana tego, co jest potraktowanie zabezpieczeń jako nie- stwy realizuje protokół TLS-HPC Handshake Protocol7) oraz
zbędnej składowej. podwarstwy tworzącej jednostki protokołu TLS-RP (TLS Record
Za pierwszym trendem przemawia przede wszystkim elastycz- Protocol) zgodnie z wynegocjowanym kontekstem (algorytmy
noSć, brak konfliktów natury prawnej, cena, za drugim pełna szyfrujące, kompresja da nych). Przy nawiązywaniu połączenia
i bezwarunkowa realizacja usług ochrony informacji. Warto do- za pomocą protokołu TLS jest uzgadniany przy użyciu algoryt-
dać, że zabezpieczenia w poszczególnych warstwach powinny mów klucza publicznego klucz sesyjny. Dane szyfrowane tym
być realizowane niezależnie. kluczem chronią informacje przed podsłuchem. Dodatkowo ist-
W dziedzinie używanych algorytmów kryptograficznych jest nieje możliwoSć uwierzytelnienia klienta bądx serwera. Protokół
zauważalny wzrost zainteresowania systemem uzgodnienia klu- TLS w obecnej formie (wersja 1.0) ma kilka ograniczeń: wymaga
cza Diffie-Hellman (DH [2]), rozszerzonym o uwierzytelnienie niezawodnego protokołu transportowego (TCP), nie ma wsparcia
za pomocą podpisów cyfrowych DSS (Digital Signature Standard dla proxy, wymaga zastosowania kosztownych obliczeniowo al-
[3]), kosztem spadku popularnoSci systemu RSA (Rivest Sha- gorytmów klucza publicznego. Trwają pracę nad zintegrowaniem
mir Adleman [13]). Wynika to z problemów związanych z pa- protokołu TLS z innymi ( starymi ) systemami kryptograficznymi,
tentami na algorytm DH patent już wygasł. Coraz większą rolę takimi jak np. Kerberos.
zaczynają odgrywać systemy kryptograficzne oparte na krzy- Należy spodziewać się, że coraz więcej usług w sieciach
wych eliptycznych [4]. TCP/IP będzie miało wsparcie dla TLS (obecnie są to m. in. pro-
W kolejnych trzech podrozdziałach przedstawiono ewolucję tokoły: HTTP, SMTP, NNTP, FTP, TELNET, IMAP4, IRC,
poszczególnych warstw sieci, z wyłączeniem warstwy łącza da- POP3). Wprowadzenie warstwy TLS (a przedtem SSL) położyło
nych, która wykracza poza zakres tego opracowania. kres nieudanym pod względem elastycznoSci próbom bezpo-
Sredniej ingerencji w protokoły warstwy transportowej TCP
i UDP (zapomniane już koncepcje typu Secure TCP).
Warstwa sieciowa
Warstwa usługowa
Protokół IP wersja 4 (IPv4) serce komunikacyjne sieci
TCP/IP nie zawiera w sobie żadnych usług ochrony informa-
cji. Ataki typu odmowa usługi, podsłuch (przechwycenie) Zabezpieczenie warstwy usługowej jest równie bogate, jak
danych, modyfikacja danych, podszycie się są doSć rozpo- liczba występujących w niej aplikacji. Najsilniej dają się zaobser-
wszechnione. wować wspomniane wczeSniej dwa równoległe trendy:
Następna wersja protokołu IPv6 (IP wersja szósta [8]) zawie- M wzbogacenie starego protokołu,
ra wsparcie dla usług ochrony informacji. Proponowane dwa M zaproponowanie nowego protokołu z zabezpieczeniami.
mechanizmy bezpieczeństwa to: IP Authentication Header Coraz częSciej wykorzystuje się także wsparcie na poziomie
(AH) nagłówek uwierzytelniający, zapewniający integralnoSć warstwy transportowej (TLS/SSL).
i uwierzytelnienie [9], IP Encapsulating Security Payload (ESP) Elementem wspólnym dla bezpieczeństwa większoSci usług
bezpieczna koperta, zapewniająca zawsze poufnoSć i zależ- jest ich powiązanie z systemem nazywania domen DNS (Domain
nie od użytego algorytmu oraz trybu także integralnoSć i uwie- Name System). System ten definiuje relacje pomiędzy adresami
rzytelnienie [10]. Wspomniane mechanizmy zostały także warstwy IP (w IPv4 32-bitowe) a hierarchicznymi nazwami sieci,
zaadaptowane dla IPv4 tak rozszerzony protokół nosi nazwę podsieci i maszyn. System DNS jest podatny na atak podszycia
IPsec. Dystrybucja klucza, połączona z uwierzytelnieniem, jest się, stąd też zaproponowane rozszerzenie [12] nazywane cza-
realizowana za pomocą protokołu IKE Internet Key Exchan- sem DNSSEC uzupełnia system o usługę uwierzytelnienia
ge [11]. przez zastosowanie dodatkowego pola z podpisem cyfrowym po-
twierdzającym wiadomoSć. Dodatkowo na poziomie DNS może
być realizowana dystrybucja klucza także na potrzeby innych
usług (również transportowych).
Warstwa transportowa
Rys. 10 ilustruje zależnoSci pomiędzy wybranymi mechani-
zmami zabezpieczeń a usługami w sieciach TCP/IP:
W warstwie transportowej zwiększa się bezpieczeństwo przez
dodanie podwarstwy TLS6) (Transport Layer Security [7])
6)
Jest to zarówno nazwa podwarstwy, jak i protokołu który realizuje jej
poSredniczącej w wymianie danych z aplikacjami (rys. 9).
usługi
Zapewnia to bezpieczną warstwę gniazd transportowych (co ko-
7)
W podwarstwie tej występują trzy protokoły: HP Handshake Protocol
responduje z poprzednią nazwą systemu: SSL Secure Socket
(uzgodnienie), AP Alert Protocol (obsługa błędów), CCSP Change Ci-
Layer). Warstwa TLS składa się z dwóch podwarstw: podwar- pher Spec Protocol (zmiana kryptosystemów)
!
!
372 PRZEGLD TELEKOMUNIKACYJNY ! ROCZNIK LXXIV ! nr 5 6/2001
M PGP (Pretty Good Privacy) i PEM (Privacy Enhancement for Omówione w artykule kierunki rozwoju zabezpieczeń prze-
Internet Electronic Mail) systemy ochrony wiadomoSci wymie- biegają dwiema równoległymi drogami. Tworzone są specjali-
nianych za pomocą poczty elektronicznej, a także grup dyskusyj- styczne systemy ochrony informacji oraz nowe protokoły zabez-
nych News, pieczeń i rozszerzeń aplikacji. Rozwój jednej grupy metod nie
M S/MIME (Secure/Multipurpose Internet Mail Extensions) zahamuje ewolucji drugiej (np. firewalle nie zostaną wyparte
rozszerzenie o usługi ochrony informacji systemu przekazywania przez IPv6).
obiektów multimedialnych przez pocztę elektroniczną, grupy dys- Status Scian przeciwogniowych wydaje się być stabilny, na-
kusyjne i protokół HTTP, tomiast systemy wykrywania intruzów czeka migracja w stronę
M S-HTTP (Secure HTTP) zmiana protokołu HTTP, sieci WAN. Zwiększenie ich funkcjonalnoSci polega na skoor-
M OTP (One Time Password) system haseł jednorazowych dynowaniu pracy na poziomie sieci i aplikacji oraz analizo-
(dynamicznych), waniu danych pochodzących z różnych xródeł. Wspomniane
systemy są SciSle związane z aplikacjami w szczególnoSci za-
stosowanie kryptografii w warstwie usług może komplikować ich
działanie.
W przypadku ewolucji stosu protokołów największe nadzieje
pokłada się w TLS (Transport Layer Security), zdecydowanie
mniejsze w IPv6/IPsec. Zabezpieczenie komunikacji pomiędzy
aplikacjami już teraz opiera się głównie na TLS, treSć na pozio-
mie usług jest chroniona właSciwie tylko w poczcie elektronicz-
nej.
Ujednolicenie systemów certyfikacji klucza publicznego
O Rys. 10. Zależność pomiędzy wybranymi mechanizmami zabez-
O
stworzenie infrastruktury klucza publicznego powinno ułatwić
pieczeń a usługami w sieciach TCP/IP. Oznaczenia wyjaśniono na
zarządzanie bezpieczeństwem w sieciach TCP/IP.
rys. 9 i w tekście
Warto zauważyć, że tworzenie zabezpieczeń w sieciach
TCP/IP jest pierwotne względem innych Srodowisk sieciowych.
M SSH (Secure Shell) system zabezpieczeń aplikacji (klient- Przykładem tego mogą być systemy wykrywania intruzów, które
-serwer) działający podobnie do protokołu TLS. w zmodyfikowanej formie mogą tworzyć (coraz popularniejsze
W odróżnieniu od innych warstw bezpieczeństwo warstwy wSród operatorów sieci telekomunikacyjnych) systemy zarządza-
usługowej jest niejednolite. Przypuszcza się, że okreSlenie nia nadużyciami (fraud management systems).
wspólnej platformy zarządzania (w tym systemu certyfikacji klu-
czy publicznych) dla zabezpieczeń umożliwi uporządkowanie
protokołów rozszerzających bezpieczeństwo aplikacji.
LITERATURA
[1] Balasubraminiyan J., Garcia-Fernandez J., Isacoff D., Spafford E.,
INNE ISTOTNE ZAGADNIENIA
Zamboni D.: An Architecture for Intrusion Detection using Autono-
mous Agents. COAST Technical Report 98/05, June 1998
[2] Diffie W., Hellman M. E.: New Directions in Cryptography. IEEE
Oprócz trendów wspomnianych w poprzednich rozdziałach
Transactions on Information Theory, V. IT-22, n. 6, June 1977
wydają się istotne z punktu widzenia rozwoju zabezpieczeń trzy
[3] NIST FIPS PUB 186 Digital Signature Standard. National Institute
poniższe zagadnienia:
of Standards and Technology, U. S. Department of Commerce, May
M rozwój komunikacji grupowej typu multicast jako zmia-
18, 1994
na unicastowej optyki postrzegania ochrony informacji,
[4] Menezes A., van Oorschot P., Vanstone S.: Handbook of Applied
M nowa generacja protokołów zarządzania (SNMPv3 Sim-
Cryptography. CRC Press, October 1996
ple Network Management Protocol version 3), która zapewni
[5] Porras P., Schnackenberg D., Staniford-Chen S. i in.: The Common
bezpieczne sterowanie zasobami sieci TCP/IP, bowiem SNMPv2
Intrusion Detection Framework Architecture, 1997
oraz jego mutacje nie zyskały popularnoSci,
[6] Ptacek T., Newsham T.: Insertion, Evasion and Denial of Service:
M ujednolicenie systemów certyfikacji klucza publicznego
Eluding Network Intrusion Detection. Secure Networks Inc., January
(na razie proponowane jest X. 509) ewentualnie wprowadzenie
1998
procedur metacertyfikacji (jeden węzeł potwierdza certyfikaty wy- [7] Dierks T., Allen C.: The TLS Protocol Version 1.0. RFC 2246, Ja-
dane w różnych systemach). nuary 1999
Stworzenie infrastruktury klucza publicznego (PKI Public [8] Kent S., Atkinson R.: Security Architecture for the Internet Protocol.
RFC 2401, November 1998
Key Infrastructure) ułatwiłoby zarządzanie ochroną informacji
[9] Kent S., Atkinson R.: IP Authentication Header. RFC 2402, Novem-
w sieciach TCP/IP przez obsługę jednolitej platformy do realiza-
ber 1998
cji usług bezpieczeństwa. W dalszej perspektywie na podstawie
[10] Kent S., Atkinson R.: IP Encapsulating Security Payload. RFC 2406,
PKI będą tworzone nowe usługi, takie jak: cyfrowi notariusze,
November 1998
anonimowe głosowanie, systemy potwierdzonej dostawy.
[11] Harkins D., Carrel D.: The Internet Key Exchange (IKE). RFC 2409,
November 1998
[12] Eastlake D.: Domain Name System Security Extensions. RFC 2535,
=' =' ='
March 1999
[13] Rivest R., Shamir A., Adleman L. M.: A Method for Obtaining Digital
Signatures and Public-Key Cryptosystems. Communications of the
Przedstawione w artykule uogólnione spojrzenie na ataki na
ACM, v. 21, n. 2, February 1978
sieci TCP/IP opiera się na cyklicznej relacji pomiędzy zagroże-
niem, słabym punktem i skutkiem. Eliminacja wszystkich słabych
punktów jest w zasadzie niemożliwa celem wprowadzania za-
bezpieczeń jest kontrola nad najpowszechniejszymi zagrożenia- Artykuł recenzowany
mi.
!
!
PRZEGLD TELEKOMUNIKACYJNY ! ROCZNIK LXXIV ! nr 5 6/2001 373

Wyszukiwarka

Podobne podstrony:
Bezpieczeństwo protokołów TCP IP oraz IPSec (2)
Bezpieczeństwo protokołów TCP IP oraz IPSec
Bardzo krótko o TCP IP adresacja w sieciach lokalnych
DNS Konfiguracja w sieci TCP IP
TCP IP a model OSI
,sieci komputerowe,Zestaw protokołów TCP IP (2)
TCP IP Księga eksperta
Protokół TCP IP R01 5
Resetujemy protokół TCP IP

więcej podobnych podstron