1. Sikkerhet i nettverk

Transkript

1 1. Sikkerhet i nettverk Stiftelsen TISIP i samarbeid med Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag Nettverk Olav Skundberg Opphavsrett: Forfatter og Stiftelsen TISIP Lærestoffet er utviklet for faget 1.1. Sikkerhet i lagdelt kommunikasjonsmodell Læringsmål: Kunne gi eksempler på sikringstiltak knyttet til de ulike lagene. Meldinger mellom applikasjoner styres av protokoller på applikasjonslaget, og transportlaget overfører pakkene i en ende-til-ende forbindelse mellom de to programmene. Innholdet kan krypteres med digitale sertifikater slik at bare de to applikasjonene kan kjenne dette. Under transportlaget i lagmodellen finner vi nettverkslaget og lenkelaget. Behovet for sikker kommunikasjon ivaretas her på forskjellig vis, og har forskjellig siktemål, det er dette denne leksjonen omhandler. Applikasjons- og transportlaget handler om kommunikasjon mellom to program Nettverkslaget handler om kommunikasjon mellom maskiner (IP-grensesnitt) over hele nettet. Lenkelaget handler om kommunikasjon mellom to noder (deres nettverkskort) innenfor samme lokalnett. Klientmaskin Applikasjonslag, transportlag HTTPS, S/MIME, Digitale sertifikat Ende-ende, mellom program Tjenermaskin Applikasjonslag, transportlag HTTPS, S/MIME, Digitale sertifikat Nettverkslag VPN-tunnel Mellom maskiner i ulike nettverk Nettverkslag VPN-tunnel Lenkelag, lokalnett Lenkelag, lokalnett Mellom nettverkskort i samme lokalnettverk Hvorfor trenger man kryptering internt i lokalnett og mellom lokalnett når man allikevel kan kjøre sikker forbindelse ende-til-ende mellom applikasjoner? Sikker kommunikasjon, dersom den skal kjøres på alle lagene samtidig, har jo sin pris med større krav til prosessering og mer komplisert administrasjon. side 1

2 Det er to hovedgrunner til dette behovet. For det første vil kryptering mellom lokalnett gjøre det mulig å ha forbindelser over det åpne Internett på et enkelt vis. For det andre vil sikring internt i lokalnettet hindre uvedkommende å få tilgang til dette. Sikkerhet i kablet lokalnett vil hindre uvedkommende i å fange opp pakker, og selv om man kan kjøre kryptert er det ikke sikkert man gjøre det. Hvor mange leser e-post i det interne nettet med åpen sending av passord? Med andre ord, lett å fange opp. Sikkerhet i trådløst nett hindrer uvedkommende å faktisk være en part av lokalnettet med alle brannmurer er kortsluttet. Med andre ord: Sikkerhet i lokalnett og mellom lokalnett handler om å beskytte seg både mot inntrenging og avlytting på nettet. Til forskjell fra sikker kommunikasjon på applikasjonslaget, hvor tiltakene bare gjelder hver enkelt applikasjon, vil tiltakene på nettlag og lenkelag gjelde all trafikk som overføres. Et vesentlig prinsipp med den lagdelt modellen er at lagene bygger på hverandre. Det er derfor fullt mulig å ha sikkerhet på alle lagene samtidig. Eksempel: Jeg sitter hjemme på min bærbare PC, med trådløsnett kryptert. PC er koplet med sikker VPN-forbindelse til bedriftsnettet, og fra bedriftsnettet har jeg Internett-forbindelse til min nettbank hvor jeg har en sikker https-forbindelse støttet med digitalt sertifikat VPN på nettverkslaget Læringsmål: Kunne forklare formålet med VPN og hvordan en hjemme-pc kan kople seg til bedriftsnettet med OpenVPN VPN er forkortelse for Virtuelle Private Nett. Private nett er kjennetegnet ved at eierorganisasjon har full kontroll over hvem som har tilgang til hva i nettet. Ofte kan priavte nett også ha private IP-adresser, men det er ingen forutsetning. Når en virksomhet er spredt på flere geografisk atskilte lokasjoner er det behov for å kople sammen disse nettene. Leide linjer er et dyrt, men funksjonelt alternativ. Mer vanlig er å bruke Internett for å kople sammen lokasjonene til et samlet, privat nett. Internett er et åpent, pakkesvitsjet nettverk hvor man ikke riktig hvilken vei pakkene tar. Derfor må man ha sikker kommunikasjon mellom lokalnettene, man må etablere et VPN. To systemer for VPN kalles IP-sec og OpenVPN. Prinsippene for disse er enkle å forstå selv om de involverer avanserte protokoller. Den originale IP-pakken krypteres og pakkes inn med ny IP-pakkeheadere. Den nye IP-pakkeheaderen sørger for at den krypterte pakken overføres fra den ene lokasjonen til den andre over det åpne Internett. Teknikken med å kople sammen de atskilte nettene i et VPN kalles tunnelering. Man oppretter en tunnel gjennom Internett, slik at pakkene kan sendes frem og tilbake uten at andre forstår innholdet. Det blir mye det samme som å sette en bil på et godstog. I hver ende av tunnelen står det en ruter med VPN-funksjonalitet som er dørvakt. Når pakken kommer ut av tunnelen, blir ekstraheaderen fjernet og innholdet dekryptert. Pakken ser da ut som en helt alminnelig pakke i lokalnettet. side 2 av 5

3 VPN-funksjonalitet i rutere for tilkopling til Internett Bedrifts internt LAN 1 Pakker sendes over Internett med kryptert innhold og ekstra pakkeheadere Bedrifts internt LAN 2 IP IP IP IP IP Figuren over skisserer en VPN-tunnel mellom to lokalnett. Her kreves ingen tilpasninger i den enkelte PC i lokalnettene. Hjemme-PC koblet opp som en del av bedriftsnettet kan man betrakte som et spesialtilfelle, og her må det gjøres VPN-installasjon på hver enkelt hjemme-pc. Dette blir som et lokalnett med kun en bruker. OpenVPN er et produkt som kan kople hjemme-pc til bedriftsnettet. I hver PC er det en intern rutingtabell som bestemmer hvor pakken skal sendes. Når OpenVPN installeres, får man et virtuelt nettverkskort, kalt Tap-w32 på bildet, som blir lagt inn i rutingtabellen. Bruk av OpenVPN på hjemme-pc: Klientside installasjoner på PC APPL 1 Her blir IP-pakkene kryptert og får ekstra header: OpenVPN mottaker APPL 2 APPL 3 Routing Table 2) 3) 1) Tap-w32 Eth1 Internet APPL 4 Resten av Internett 1) Pakker med adresser som sendes ut på åpent Internett 2) Pakker som rutingstabell ser er adressert til OpenVPN-mottaker 3) Pakker til VPN-mottaker, ferdig kryptert og pakket inn i ekstra pakkeheader 1.3. Sikring på lenkelaget Læringsmål: Kunne beskrive tiltak for sikring av kablet og trådløs kommunikasjon i LAN og WLAN Lokalnett er et nettverk hvor alle noder kan kommunisere direkte med hverandre gjennom nettverksort. Nettverkskort for Ethernet og trådløst LAN bruker delt medium (kabel, luft) for side 3 av 5

4 å overføre signalene. Med andre ord, signalene kan fanges opp av andre med tilgang til overføringsmediet. Det er nettopp det vi gjør med pakkesniffere som Wireshark Sikkerhet på kablet LAN (Ethernet) Sikkerheten ivaretas først og fremst av nettstrukturen, det vil si hvem som deler kabel med hvem og hvem som hører til i samme LAN. Sikkerhet ivaretas med 1. bruk av svitsjer 2. oppdeling i flere separate LAN (ulike IP-nett, ulike nettadresser). En annen side av saken er fysisk sikring, det vil si at ledninger er skjult og koplingsskap er avlåst. For eksempel er fiberkabel vanskeligere å kople seg på og avlytte enn kobberkabel. Svitsjer hører til på lenkelaget og har et antall porter for tilkopling av utstyr. Pakker kan svitsjes mellom porter uavhengig av hverandre. Ved hjelp av svitsjer kan man strukturere et kablet lokalnett slik at ingen sender pakker på felles kabel. Avlytting blir dermed vanskeligere. Dette har også den fordelen at kapasiteten for hver enkelt node øker vesentlig, i og med at man hele kabelen for seg selv. Lokalnett med delt kabel ruter Lokalnett med svitsj Svitsj Figur: Forskjell på delt kabel og svitsj i LAN. I et lokalnett kan alle kommunisere med alle selv om de henger på forskjellige svitsjeporter. Det betyr at man ikke kan bruke brannmur for å styre hvem som har tilgang til hva. Dersom man ønsker å skille brukergrupper, for eksempel ansatte og studenter, må man gruppere disse i forskjellige LAN og ha en brannmur mellom disse. Avanserte svitsjer kan gruppere brukere i VLAN, Virtuelle LAN. Dette er prinsipielt det samme som fysisk separate lokalnett, bare med litt annen drifts- og kostnadsstruktur. Ulike VLAN må kommunisere gjennom ruter Sikkerhet på trådløst LAN Sikkerheten ivaretas av kryptert radiotransmisjon mellom nettverkskort og basestasjon. Lufta er for alle, alle kan fange opp signalene som sendes trådløst.. Riktignok er ikke Wireshark og Windows klar for dette i utgangspunktet, men ved å kjøpe en enkel dings, som det for øvrig reklameres for på hjemmesidene til Wireshark, kan disse fanges opp. Trådløsnett har flere nivå av beskyttelse for radiotransmisjon, bare den siste WPA2 gir god sikkerhet. Ingen beskyttelse: Vises som åpent nettverk i administrasjon av trådløsnett. Alle med en PC i dekningsområdet kan avlytte nettet, eller også bruke det for egen kommunikasjon. Merk at det ikke nødvendigvis er lurt å bruke andres åpne trådløsnett fordi man selv kan bli utsatt for avlytting. Skjult SSID, navnet på trådløsnettet vises ikke i listen over tilgjengelige nett. Et lite hinder men kan enkelt knekkes. side 4 av 5

5 MAC-adressekontroll, bare utvalgte nettverksortadresser får tilgang. Dette er heller ingen reell beskyttelse for den målrettede angriper, MAC-adressen på nettverkskort kan nemlig forfalskes av inntrenger til å være det samme som en lovlig bruker. WEP, Wired Equivalent Privacy. Navnet tilsier at brukerne har kabelekvivalent sikkerhet/privacy, altså som om man var på felles kablet nett og kan fange hverandres pakker. Det er et felles passord som alle nettverkskortene må bruke for å kryptere pakkene. WEPpassord er enkelt å knekke, det er egne program for dette. WPA, Wi-Fi Protected Access. Dette er en krypteringsmetode som ble utviklet for å virke på trådløst utstyr som kunne håndtere WEP og allikevel gi bedre beskyttelse enn denne. WPA var ment som en mellomfase frem til en mer permanent, sikrere standard ble laget. WPA2 følger de påbudte elementene i standarden til IETF for trådløs kommunikasjon som er spesifisert i i. Fra mars 2006 må alt nytt trådløst utstyr være tilpasset denne for å ha merket Wi-Fi. WPA2 introduserer AES (Advanced Encryption Standard, bruker symmetriske nøkler) som regnes for å være sikker kryptering. En mulig svakhet er imidlertid valg av enkle passord, derfor har WPA2 også mulighet for automatisk generering av gode passord. Det er en trussel i trådløs nett at noen kan fange opp din kommunikasjon. Det er også en annen og enda mer alvorlig trussel. Nettverket er beskyttet av en brannmur. Dersom en angriper kan bruke trådløsnettet vil dette kortslutte brannmuren og det interne nettet ligger åpent for angrep. side 5 av 5