d34e901f623e6b7b8adbb469e0bd7861.ppt
- Количество слайдов: 24
הגנה במערכות מתוכנתות תרגול 11 – אבטחה ברמת ה- IPsec – IP הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה בלבד.
אופני הפעולה של : IPsec Transport Mode Tunnel Mode 2 הגנה במערכות מתוכנתות - תרגול 11 אריק פרידמן 8002 ) (c
Transport Mode n n המטרה : לספק בטיחות מקצה לקצה כאשר x רוצה לשלוח חבילה ל- : y ¨ מחשב x יפעיל IPsec על החבילה, ישלח אותה ל-. y ¨ מחשב y יאמת ויפענח את החבילה. ¨ החבילה מוגנת בפרט בתוך הרשתות A ו-. B Network A Network B y Internet x החבילה מאובטחת לאורך כל המסלול מ- x ל- y 3 הגנה במערכות מתוכנתות - תרגול 11 אריק פרידמן 8002 ) (c
Transport Mode- מבנה החבילה ב Transport Mode- חבילה ב חבילה סטנדרטית Application TCP/UDP IPsec IP: x y MAC (c) 2008 אריק פרידמן 11 הגנה במערכות מתוכנתות - תרגול Application TCP/UDP IP MAC 4
Tunnel Mode n n n המטרה : לספק בטיחות מחוץ לרשת הפנימית מופעל ע"י security gateways ביציאה מהרשתות GWA ו- GWB מפעילים IPsec על החבילות: Network A Network B y GWB Internet GWA x החבילה מאובטחת בין GWA ל- GWB בלבד 5 הגנה במערכות מתוכנתות - תרגול 11 אריק פרידמן 8002 ) (c
Tunnel Mode- מבנה החבילה ב x Network A GWA Internet GWB Network B G W A -G W B T u n n e l Application TCP/UDP IP: x y MAC IPsec MAC IP: GWA GWB MAC (c) 2008 אריק פרידמן 11 הגנה במערכות מתוכנתות - תרגול 6 y
Tunnel in Tunnel n מספר רמות אבטחה ברשת ¨ למשל, מדיניות החברה: n n יש להצפין כל חבילה יוצאת מ- A ל-. B יש להצפין כל חבילה שיוצאת מתת הרשת של המנהלים. Network A Network B z GWM GWB 7 Internet הגנה במערכות מתוכנתות - תרגול 11 m GWA Subnet M אריק פרידמן 8002 ) (c
? איך יראו החבילות במקרה זה m Subnet M GWM Network A M-B T u n n e l Application TCP/UDP IP: m z MAC Application TCP/UDP IP: m z IPsec IP: GWM GWB MAC GWA Internet GWB A -B T u n n e l Application TCP/UDP Application IP: m z TCP/UDP IPsec IP: m z IP: GWM GWB MAC IPsec IP: GWA GWB MAC (c) 2008 אריק פרידמן Network B 11 הגנה במערכות מתוכנתות - תרגול 8 z
פרוטוקול NAT n נועד לאפשר לרשת גדולה לעבוד עם מספר קטן של כתובות . IP ¨ בתוך הרשת A מוקצות כתובות IP מקומיות. n לא בהכרח כתובות חוקיות ¨ ביציאה מרשת הארגון, שרת ה- NAT מחליף כתובת מקומית ברשת שהוקצתה לרשת ) A כנ"ל בכניסה לרשת( Network A Internet NAT x y 01 הגנה במערכות מתוכנתות - תרגול 11 אריק פרידמן 8002 ) (c
- דוגמה NAT פרוטוקול x Network A NAT Server Internet Application TCP/UDP IP: IPx IPy IP: IPA IPy MAC - ע"י שרת ה IP- שינוי כתובת ה y : AH פוגע באימות של NAT. . . יזרוק את החבילה (c) 2008 אריק פרידמן 11 הגנה במערכות מתוכנתות - תרגול 11
SPD ) (Security Policy Database 21 הגנה במערכות מתוכנתות - תרגול 11 אריק פרידמן 8002 ) (c
SPD n מגדיר את מדיניות ההגנה של המערכת. ¨ יש SPD עבור תעבורה נכנסת, ו- SPD עבור תעבורה יוצאת. n טבלת חוקים המוגדרת ע"י מנהל מערכת ¨ דומה לטבלאות של ) Packet Filtering Firewall בפרט אפשר להשתמש ב- SPD כ- Firewall כזה(: Source Destination Next Source Destination Action Additional Parameters Address Protocol Port n 3 אפשרויות עבור שדה : Action ¨ – drop חבילה נזרקת ¨ – forward חבילה עוברת בצורה רגילה ¨ – secure חבילה עוברת לאחר הפעלת IPsec n n Rule מה עושים אם SPD מחזיר secure עבור חבילה נכנסת ללא ? IPsec SPD מגדיר גם את אופן הפעלת , SPI , AH/ESP) IPsec הפעלת (. . . , IKE ניתן להשתמש ב-. Wild. Cards 31 הגנה במערכות מתוכנתות - תרגול 11 אריק פרידמן 8002 ) (c
התמונה הכללית – שליחת חבילה 41 הגנה במערכות מתוכנתות - תרגול 11 אריק פרידמן 8002 ) (c
התמונה הכללית – קבלת חבילה למה צריך לבדוק את זה אם כבר פענחנו את החבילה? !? 51 הגנה במערכות מתוכנתות - תרגול 11 אריק פרידמן 8002 ) (c
בדיקת – SPI למה? x w telnet data n מניעת התחזות ) (IP Spoofing TCP IPsec: SPI = SPIx-w ¨ w מרשה ל- x ול- y לבצע telnet אליו אבל הם חייבים להוסיף אימות. מונעים מ- x לבצע IP Spoofing על הכתובת של . y n מניעת עקיפת מדיניות מערכת IP: y w MAC w ¨ ל- x מותר לבצע telnet ל- w רק עם אימות. ¨ ל- x אסור לבצע http ל-. w מונעים מ- x לשלוח . http 61 הגנה במערכות מתוכנתות - תרגול 11 x http data 08 TCP: dest. port IPsec: SPI = SPItelnet IP: x w MAC אריק פרידמן 8002 ) (c
שאלה ממבחן! )אביב תשס"ח, מועד א'( n לחברת התוכנה Netwix שני סניפים, בישראל ובארה"ב. על מנת לאפשר תקשורת מאובטחת בין הסניפים, החברה עושה שימוש בשרתי GWA , Gateway ו- , GWB התומכים ב- . IPsec בסניף ישראל יש תת-רשת נפרדת עבור מחלקת הכספים ) , (Subnet F המופרדת משאר הרשת הפנימית באמצעות Gateway נוסף, . GWF 71 הגנה במערכות מתוכנתות - תרגול 21 אריק פרידמן 8002 ) (c
שאלה ממבחן )המשך. . . ( n מנהל הרשת הגדיר את מדיניות האבטחה הבאה: ¨ לעובדי החברה מותר לגלוש באינטרנט ). (http ¨ מותר לבצע ) telnet בשני הכיוונים( בין הסניף הישראלי לבין הסניף האמריקאי, אולם התקשורת חייבת לעבור באינטרנט כשהיא מוצפנת וחתומה. 81 הגנה במערכות מתוכנתות - תרגול 21 אריק פרידמן 8002 ) (c
שאלה ממבחן )המשך. . . ( ¨ לעובדים ברשת הכספים מותר ליצור כל תקשורת שהיא עם המחשבים ב- : Netwix USA n n n מותר להם ליצור קשרים המאובטחים ב- IPsec transport mode עם מחשבים ב- . Netwix USA לשאר המחשבים ב- Netwix Israel אסורה תעבורה מוצפנת כזו. תעבורה גלויה )כלומר שלא הוצפנה ב- (Transport Mode בין מחשבים ברשת הכספים לבין , Netwix USA תוצפן ותאומת ב- , Tunnel Mode כך שלא תעבור חשופה באינטרנט וב-. Netwix Israel עבור תעבורה שכבר אובטחה )לדוגמה, ע"י , (GWF לא נדרשת אבטחה נוספת ע"י . GWA 91 הגנה במערכות מתוכנתות - תרגול 21 אריק פרידמן 8002 ) (c
שאלה ממבחן )המשך. . . ( 1. מלאו בטבלה את אוסף הכללים עבור ה- SPD הנמצא ב- , GWA ה- Gateway שבין רשת Netwix Israel והאינטרנט, על מנת לספק את מדיניות הרשת של החברה. עבור תעבורה מאובטחת, עליכם לציין במפורש האם ייעשה שימוש בפרוטוקול ESP או ) AH ייתכן גם כי שניהם אפשריים(, ובאיזה יכולות של הפרוטוקול נעשה שימוש )הצפנה ו/או אימות(. 02 הגנה במערכות מתוכנתות - תרגול 11 אריק פרידמן 8002 ) (c
שאלה ממבחן )המשך. . . ( 2. מדיניות הרשת מיועדת לאפשר לעובדים ברשת הכספים ליזום קשר המאובטח ב- transport mode עם מחשבים ב- , Netwix USA בכל פרוטוקול שיחפצו. בהנחה שמסתמכים אך ורק על ה- SPD לאכיפת המדיניות, האם כתוצאה ממדיניות זו יתאפשר בהכרח גם למחשבים ב- Netwix USA ליזום קשר בכיוון ההפוך? אם כן, הסבירו מדוע. אם לא, הדגימו כיצד ניתן להגדיר את ה- SPD כך שיעשה הבחנה בין שני המקרים. 12 הגנה במערכות מתוכנתות - תרגול 11 אריק פרידמן 8002 ) (c
שאלה ממבחן )המשך. . . ( 3. מנהל הכספים בארנס מנהל מדי פעם תכתובות גלויות עם מחשבים ברשת , Netwix USA המוצפנות ב- Tunnel mode ע"י ה- . gateways מר סמיתרס מעוניין לבצע chosen plaintext attack על התכתובות המוצפנות, ולהשיג זוגות ) (P, C לפי בחירתו. יש לו גישה אך ורק למחשבים ברשת ) Netwix Israel מחוץ לתת רשת כספים(, אך ידוע לו כי כל התעבורה בין GWF ל- GWB מוצפנת ע"י אותו ) SA כלומר, עם אותם אלגוריתמים ומפתחות(. תארו דרך בה יוכל מר סמיתרס לבצע את זממו )לדוגמה, תוך ניצול סוגי תעבורה המותרים ב-. (Firewall 22 הגנה במערכות מתוכנתות - תרגול 11 אריק פרידמן 8002 ) (c
שאלה ממבחן )המשך. . . ( n מדי פעם עובדי הסניף הישראלי נוסעים לבקר באתרי הלקוח. כדי לאפשר להם להתחבר לרשת החברה ) (Netwix Israel באופן בטוח מאתרי הלקוח, הותקן IPsec בכל המחשבים הנישאים שלהם, כך שיוכלו להתחבר ב-. Tunnel mode הערוץ המאובטח נוצר באמצעות פרוטוקול . IKE לצורך אימות העובדים, הוקצה לכל אחד מהם סוד משותף ). (pss 32 הגנה במערכות מתוכנתות - תרגול 11 אריק פרידמן 8002 ) (c
שאלה ממבחן )המשך. . . ( 4. 5. עבור הרצת פרוטוקול IKE להקמת ערוץ מאובטח בין העובדים לרשת, איזו שיטה מתאימה ועדיפה יותר במקרה זה: Main mode או ? Aggressive Mode נמקו. הוסיפו בנספח א' את השורות הנחוצות על מנת לאפשר את התקשורת בערוץ המאובטח ואת . IKE יש לציין במפורש היכן ישולבו השורות החדשות ביחס לשורות מסעיף א'. שימו לב כי יש לשמור ככל האפשר על מדיניות הרשת המקורית. 42 הגנה במערכות מתוכנתות - תרגול 11 אריק פרידמן 8002 ) (c
שאלה ממבחן )המשך. . . ( 6. 7. המנהל בארנס ביקר באתר הלקוח "תעשיות דו" )נסמן את כתובת ה- IP שלו באתר הלקוח באות . (b הוא יצר ערוץ מאובטח לצורך התחברות למחשב שלו ברשת המנהלים )נסמן את כתובתו ב- . (x הראו את מבנה חבילה הנשלחת בחזרה מ- x ל- , b מיד לאחר שהיא מעובדת ויוצאת מ-. GWA בארנס הוסיף שימוש ב- – Transport mode מה מבנה החבילה כעת? 52 הגנה במערכות מתוכנתות - תרגול 11 אריק פרידמן 8002 ) (c
d34e901f623e6b7b8adbb469e0bd7861.ppt