Chapter 9 Protecting Advanced Communications Security+ Guide to Network Security Fundamentals Second Edition Instructor by Sukchatri PRASOMSUK
Objectives Harden File Transfer Protocol (FTP) Secure remote access Protect directory services Secure digital cellular telephony Harden wireless local area networks (WLAN)
Hardening File Transfer Protocol (FTP) Web browser FTP client Command line FTP เซิร์ฟเวอร์กำหนดให้ผู้ใช้ทั่วไปถ่ายโอนแฟ้มได้ (anonymous FTP หรือเรียกว่า blind FTP)
Hardening File Transfer Protocol (FTP) (continued) ไฟล์จะถูกโอนโดย FTP จะเสี่ยงต่อการโจมตี man-in-the-middle attacks การใช้ secure FTP เพื่อลดความเสี่ยงของการโจมตี Secure FTP เป็นคำที่ใช้โดยผู้ขายเพื่ออธิบายการส่งผ่านการเข้ารหัส FTP ผลิตภัณฑ์ secure FTP ส่วนใหญ่ ใช้ Secure Socket Layers (SSL) ในการเข้ารหัส encryption
Hardening File Transfer Protocol (FTP) (continued) FTP active mode เครื่องลูกข่ายเชื่อมต่อแบบสุ่มด้วย port >1,024 (PORT N) กับ FTP server ที่ port 21 (Step 1) เครื่องลูกข่ายเริ่ม listening ที่ PORT N+1 และส่งคำสั่ง FTP ที่ PORT N+1 กับ FTP server FTP passive mode เครื่องลูกข่ายเริ่มติดตั้งการเชื่อมต่อกับ server เมื่อการเชื่อมต่อ FTP ได้เปิดขึ้น, เครื่องลูกข่ายเปิดพอร์ตแบบสุ่มที่มีports >1,024
Hardening File Transfer Protocol (FTP) (continued)
Secure Remote Access Windows NT ได้รวมเอาการจัดการผู้ใช้ให้ใช้สายโทรศัพท์ในการเข้าถึงในขณะที่ Windows 2003 จะใช้การจัดการคอมพิวเตอร์เพื่อการเข้าใช้เวิร์กกรุ๊ปและ Active Directory สำหรับการกำหนดค่าการเข้าถึงโดเมน Windows 2003 Remote Access สามารถกำหนดนโยบายให้ล็อคระบบการเข้าถึงจากระยะไกลเพื่อให้มีเพียงผู้ใช้ที่มีตัวตนจริงได้มีการเข้าถึงใช้จริง
Tunneling Protocols Tunneling: เทคนิคการห่อหุ้มแพ็คเก็ตของข้อมูลภายในเพื่อสร้างการเชื่อมโยงความปลอดภัยของการขนส่งข้อมูล
Tunneling Protocols (continued)
Point-to-Point Tunneling Protocol (PPTP) การเชื่อมต่อจะขึ้นอยู่กับ Point - to - Point Protocol (PPP) โปรโตคอลที่ใช้กันอย่างแพร่หลายสำหรับการสร้างการเชื่อมต่อผ่านสายแบบอนุกรมหรือ Dial - up เชื่อมต่อระหว่างจุดสองจุด Client เชื่อมต่อกับเซิร์ฟเวอร์โดยการเข้าถึงเครือข่ายแบบ (NAS : network access server) ที่ใช้ในการเริ่มการเชื่อมต่อ ส่วนการใช้ PPTP ก็คือการเชื่อมโยง Control Protocol (LCP) ซึ่ง config ได้, เพื่อการกำหนดค่าและการทดสอบการเชื่อมต่อ
Point-to-Point Tunneling Protocol (PPTP) (continued)
Layer 2 Tunneling Protocol (L2TP) หมายถึงการรวมคุณลักษณะของ PPTP เข้ากับ Layer 2 Forwarding Protocol (L2F) ของ Cisco ที่ได้รับการออกแบบจากเดิมเพื่อจุดบกพร่องของ PPTP ไม่เหมือนกับ PPTP, ที่ซึ่งถูกติดตั้งเป็นซอฟแวร์หลักที่อยู่ในครื่องลูกข่าย, L2TP สามารถพบได้ในอุปกรณ์เช่น routers
Authentication Technologies การตรวจสอบผู้มีสิทธิที่มีการส่งข้อมูลจะต้องแน่ใจและพิสูจน์ได้ว่ามาจากตัวผู้ส่งจริงและต้องสามารถเพิ่มระดับการรักษาความปลอดภัยสำหรับการเข้าใช้จากระยะไกลได้
IEEE 802.1x เป็นมาตราฐานที่จัดตั้งขึ้นโดยสถาบัน Electrical and Electronic Engineers (IEEE) ได้รับความนิยมอย่างกว้างขวาง มีการจัดเตรียมไว้สำหรับ 802-based LANs (Ethernet, Token Ring, wireless LANs) ใช้พอร์ตที่ใช้กลไกการตรวจสอบ Switch จะปฏิเสธการเข้าถึงบุคคลอื่นที่ไม่มีสิทธิ์ และจะพยายามที่จะเชื่อมต่อกับเครือข่ายผ่านพอร์ตที่นั้นๆ
IEEE 802.1x (continued) เครือข่ายที่ใช้มาตราฐานโปรโตคอล 802.1x จะประกอบไปด้วย 3 ส่วนหลักคือ : Supplicant : เครื่องลูกข่ายต่างๆ เช่น desktop computer หรือpersonal digital assistant (PDA), ที่ต้องใช้ระบบการรักษาความปลอดภัยในการเข้าใช้ Authenticator: เป็นการบริการที่อยู่ระหว่าง supplicant และ authentication server Authentication server: รับความต้องการจาก supplicant ไปยัง authenticator
IEEE 802.1x (continued)
IEEE 802.1x (continued) มีหลายรูปแบบของ EAP สามารถใช้ได้กับ 802.1x: EAP-Transport Layer Security (EAP-TLS) Lightweight EAP (LEAP) EAP-Tunneled TLS (EAP-TTLS) Protected EAP (PEAP) Flexible Authentication via Secure Tunneling (FAST)
Remote Authentication Dial-In User Service (RADIUS) กำหนดไว้เพื่อเป็นศูนย์กลางการตรวจสอบ การควบคุมการเข้าถึง และ PPP sessions ความต้องการถูกส่งผ่านไปยัง RADIUS server. รองรับ authentication, authorization, and auditing functions หลังจากที่มีการเชื่อมต่อแล้ว RADIUS server เพิ่มและบันทึกการเข้าใช้ อนุญาตให้เก็บประวัติผู้ใช้ทุกคนที่ฐานข้อมลกลางที่สามารถใช้ร่วมกันได้ที่ remote server
Terminal Access Control Access Control System (TACACS+) คุณลักษณะของ Industry standard protocol สามารถส่งผ่านข้อมูลที่เกี่ยวกับ username และ password ไปยัง server กลาง ในขณะที่การสื่อสารระหว่าง NAS และ TACACS + Server จะถูกเข้ารหัส แต่การสื่อสารระหว่างลูกค้าและ NAS ทำไม่ได้
Secure Transmission Protocols PPTP และ L2TP ให้กลไกการรักษาความปลอดภัยเพื่อป้องกัน การสูญหายจากการเฝ้าดูระหว่างการส่งข้อมูล
Secure Shell (SSH) เป็นเป้าหมายหลักของ ARPANET (ซึ่งเป็นที่นิยมใช้ในอินเตอร์เน็ตในทุกวันนี้) คือการเข้าถึงระยะไกล (remote access) SSH คือคำสั่งที่ใช้ในระบบ UNIX และ protocol สำหรับการเข้าใช้คอมพิวเตอร์ระยะไกล ชุดของโปรแกรมอรรถประโยชน์เหล่านี้คือ slogin, ssh, and scp สามารถป้องกัน : IP spoofing DNS spoofing Intercepting information
Secure Shell (SSH) (continued)
IP Security (IPSec) เป็นเครื่องมือรักษาความปลอดภัยที่แตกต่างกัน ทำงานที่แตกต่างกันในชั้นของระบบ Open System Interconnection Model (OSI) Secure / Multipurpose Internet Mail Extensions (S / MIME) และ Pretty Good Privacy (PGP) ทำงานที่ชั้น Application หน้าที่ Kerberos ทำงานที่ Session layer
IP Security (IPSec) (continued)
IP Security (IPSec) (continued) ถือได้ว่าเป็นโปรโตคอลการรักษาความปลอดภัยที่ดีอันหนึ่ง ใช้ได้กับ applications, users, และ software ให้การป้องกันกลุ่มที่ใช้ IPSec protocols: Authentication Confidentiality Key management
IP Security (IPSec) (continued) ใช้ได้กับ encryption modes: Transport mode เข้ารหัสข้อมูลเพียงบางส่วน (payload) ของแต่ละแพ็กเก็ต Tunnel mode เข้ารหัสข้อมูลทั้ง header และ data IPSec จะทำการส่งและใช้ tunnel modes โดยการเพิ่ม headers ใหม่กับที่ IP packet แพ็คเก็ตเดิมทั้งหมดแล้วจะถือว่าเป็นส่วนข้อมูลของแพ็กเก็ตใหม่
IP Security (IPSec) (continued)
IP Security (IPSec) (continued) ทั้งสองของ Authentication Header (AH) และ Encapsulating Security Payload (ESP) สามารถที่จะใช้ได้กับ Transport หรือ Tunnel mode, ในการสร้างกลไกลที่สามารถส่งไปได้ : AH ใน transport mode AH ใน tunnel mode ESP ใน transport mode ESP ใน tunnel mode
Virtual Private Networks (VPNs) ใช้ข้อดีของการใช้ public Internet เพื่อสร้างเครือข่ายส่วนตัวหรือ private network อนุญาตการใช้ public Internet ให้เป็นการใช้แบบส่วนตัว ก่อนที่จะใช้ VPNs, องค์กรถูกบังคับให้เช่าการเชื่อมต่อจากผู้ให้บริการเอกชนเพื่อให้พนักงานจากระยะไกลสามารถเชื่อมต่อกับเครือข่ายขององค์กรได้
Virtual Private Networks (VPNs) (continued) Remote-access VPN หรือ virtual private dial-up network (VPDN): การเชื่อมต่อ user-to-LAN ใช้โดยการทำ remote users Site-to-site VPN: หลายๆ ลูกข่ายสามารถเชื่อมต่อกับแม่ข่ายอื่นๆได้โดยผ่านอินเตอร์เน็ต VPN สามารถส่งผ่านได้ด้วยการสื่อสารไปยังจุดปลายทางเครื่องลูกข่าย ซึ่งจุดปลายทางสามารถเป็น softwareที่อยู่บนเครื่องลูกข่าย, โดยเฉพาะอุปกรณ์ฮาร์ดแวร์เช่น อุปกรณ์พวก VPN, หรือแม้กระทั่งไฟร์วอลล์
Virtual Private Networks (VPNs) (continued)
Protecting Directory Services directory service มีข้อมูลเช่นชื่อของผู้ใช้นามสกุลโทรศัพท์ที่อยู่ e - mail และชื่อการเข้าสู่ระบบ The International Standards Organization (ISO) สร้างมาตรฐานการให้บริการไดเรกทอรีที่รู้จักกันคือ X500
Protecting Directory Services (continued) จุดประสงค์ของ X500 คือกำหนดมาตรฐานวิธีที่ข้อมูลถูกจัดเก็บไว้เพื่อที่ระบบคอมพิวเตอร์ใด ๆ สามารถเข้าถึงไดเรกทอรีเหล่านี้ได้ ข้อมูลถูกเก็บไว้ใน directory information base (DIB) รายการต่างๆใน DIB จัดเรียงอยู่ในไดเรกทอรีข้อมูลแบบ directory information tree (DIT)
Protecting Directory Services (continued) มาตรฐาน X500 กำหนดโพรโทคอสำหรับโปรแกรมประยุกต์ของไคลเอ็นต์ในการเข้าถึงไดเรกทอรี X500 เรียกว่า Directory Access Protocol (DAP) DAP มีขนาดใหญ่เกินไปที่จะทำงานบนคอมพิวเตอร์ส่วนบุคคล Lightweight Directory Access Protocol (LDAP), or X500 Lite, เป็นส่วนหนึ่งของ DAP
Securing Digital Cellular Telephony ก่อนการใช้ wireless cellular technology เป็นที่รู้จักันในยุคแรกๆ หรือFirst Generation (1G) 1G เป็นลักษณะคลื่นความถี่วิทยุแบบอะนาล็อก (RF) การส่งสัญญาณที่ความเร็วสูงสุดของ 96 Kbps เครือข่าย 1G ใช้ circuit-switching technology Digital cellular technology, เริ่มในต้นปี 1990s, ใช้ระบบ digital แทนการส่งรับสัญญารณแบบ analog Digital cellular ใช้ packet switching แทนการใช้ circuit-switching technology
Wireless Application Protocol (WAP) เป็นมาตรฐานในการส่งข้อมูลในรูปแบบและแสดงข้อมูลในแบบอินเทอร์เน็ตกับอุปกรณ์ต่างๆเช่นโทรศัพท์มือถือ WAP โทรศัพท์มือถือที่ใช้ทำงาน microbrowser Wireless Markup Language (WML) แทน HTML WML ถูกออกแบบมาเพื่อแสดงเนื้อหาของเว็บแบบข้อความบนหน้าจอขนาดเล็กของโทรศัพท์มือถือ เนื่องจากมาตรฐานอินเทอร์เน็ตเป็น HTML, WAP Gateway (หรือ WAP พร็อกซี่) จะต้องแปลระหว่าง WML และ HTML
Wireless Application Protocol (WAP) (continued)
Wireless Transport Layer Security (WTLS) Security layer ของ WAP Provides privacy, data integrity, and authentication for WAP services ความเป็นส่วนตัวให้, ความสมบูรณ์ของข้อมูลและการตรวจสอบการให้บริการ WAP ออกแบบเป็นพิเศษสำหรับ wireless cellular telephony มีพื้นฐานมาจาก TLS security layer ที่ใช้บนอินเตอร์เน็ต ถูกแทนที่โดย TLS ใน WAP 2.0
Hardening Wireless Local Area Networks (WLAN) ปี 2007, >98% ของ notebooks ทั้งหมดเปิดใช้ wireless-LAN มีช่องโหว่ของการรักษาความปลอดภัยเกิดขึ้นเมื่อใช้เทคโนโลยีแบบไร้สาย : ผู้ใช้ที่ไม่ได้รับอนุญาตสามารถเข้าถึงสัญญาณไร้สายจากภายนอกอาคารและเชื่อมต่อกับเครือข่าย ผู้โจมตีสามารถดักจับและดูข้อมูลที่ส่งกันได้ พนักงานในสำนักงานสามารถติดตั้งอุปกรณ์ไร้สายส่วนบุคคลและต้องยอมรับมาตรการรักษาความปลอดภัย ผู้โจมตีสามารถเข้าถึงระบบการรักษาความปลอดภัยแบบไร้สายด้วยสคริปต์เล็กๆ ได้ง่าย
IEEE 802.11 Standards มีลักษณะเดียวกันกับการใช้ระบบ LAN โดยต่างกันที่ไม่ใช้สายเคเบิลในการเชื่อมต่อกับเครือข่ายเท่านั้น RF ถูกใช้ในการส่งและรับ packets ในบางครั้งเรียกว่า Wi-Fi สำหรับ Wireless Fidelity, อุปกรณ์เครือข่ายสามารถส่งข้อมูลได้ 11 ถึง 108 Mbps ที่มีระยะตั้งแต่ 10 เมตรขึ้นไป 802.11มีอัตราความเร็วสูงสุดที่ 54 Mbps และยังรองรับ 48, 36, 24, 18, 12, 9, และ 6 Mbps ในการส่งที่ 5 GHz ได้ด้วย
IEEE 80211 Standards (continued) ในเดือนกันยายนปี 1999, ได้เกิด 802.11b High Rate ซึ่งเป็นการแก้ไขเพิ่มเติมจาก 802.11 มาตรฐานเดิม เป็น 802.11b ด้วยความเร็วที่สูงขึ้น, 802.11b จึงกลายมาเป็นมาตราฐานสำหรับ WLAN ในปัจจุบัน ในเวลาเดียวกัน 802.11a ก็เป็นมาตราฐานอีกตัวหนึ่งที่ได้ออกมาแล้วด้วย
WLAN Components อุปกรณ์เครือข่ายแต่ละเครื่องจะต้องมีเครือข่ายไร้สายอินเตอร์เฟซการ์ดติดตั้งอยู่ Wireless NICs มีอยู่ในหลากหลายรูปแบบ : Type II PC card – Mini PCI CompactFlash (CF) card – USB device USB stick
WLAN Components (continued) Access point (AP) ประกอบด้วย 3 ส่วนหลักๆ คือ : An antenna and a radio transmitter/receiver to send and receive signals เสาอากาศและเครื่องส่งวิทยุรับ / ส่งและรับสัญญาณ อินเตอร์เฟซที่ต่อเครือข่ายโดยมีพอร์ต RJ – 45 ช่วยให้การเชื่อมต่อด้วยสายเคเบิลเครือข่ายแบบมาตรฐาน Special bridging software
Basic WLAN Security แบ่งเป็น 2 ชนิด: Enterprise WLAN security การรักษาความปลอดภัยขั้นพื้นฐาน WLAN ใช้เครื่องมือสองชนิดคือแบบไร้สายและเครื่องมือหนึ่งจากแบบมีสาย : Service Set Identifier (SSID) Beaconing MAC address filtering Wired Equivalent Privacy (WEP)
Service Set Identifier (SSID) Beaconing A service set is a technical term used to describe a WLAN network เป็นบริการกลุ่มหนึ่งที่ใช้ในทางเทคนิคที่ใช้อธิบายเกี่ยวกับเครือข่าย WLAN มีด้วยกัน 3 ลักษณะคือ : Independent Basic Service Set (IBSS) Basic Service Set (BSS) Extended Service Set (ESS) แต่ละ WLAN จะมี SSID เพียงอันเดียว
MAC Address Filtering วิธีที่ดีในการป้องกัน WLAN คือการ filtering MAC addresses MAC address ของอุปกรณ์ wireless devices จะเข้าไปที่ AP MAC address สามารถถูก spoof ได้ เมื่ออุปกรณ์ที่มี wireless และ AP, packets ตัวแรกที่ออกไป, ค่า MAC address ของอุปกรณ์ ที่ถูกส่งไปใน plaintext, จะทำให้พวก attacker สามารถทำการ sniffing และเห็นค่า MAC address ของอุปกรณ์นั้นได้
Wired Equivalent Privacy (WEP) เป็นตัวเลือกในการกำหนดค่าสำหรับ WLANs ที่เข้ารหัสแพ็กเก็ตในระหว่างการส่งเพื่อป้องกันการโจมตีจากการดูเนื้อข้อมูล การใช้คีย์ที่ใช้ร่วมกัน – key ที่เหมือนกันสำหรับการเข้ารหัสและถอดรหัสจะต้องติดตั้งอยู่ใน AP รวมทั้งแต่ละอุปกรณ์ไร้สาย ช่องโหว่ที่น่ากลัวของ WEP ที่ใช้กับ IP version IV ยังไม่ได้รับการแก้ไขหรือใช้อย่างถูกต้อง ทุกๆ ครั้งที่ packet ได้เข้ารหัส ควรที่จะเป็นหนึ่งเดียวของ IV
Wired Equivalent Privacy (WEP) (continued)
Untrusted Network (เครือข่ายที่ไม่น่าเชื่อถือ) การรักษาความปลอดภัย WLAN พื้นฐานของบีคอน SSID, MAC address กรองและการเข้ารหัส WEP ไม่ปลอดภัยเพียงพอสำหรับองค์กรที่จะใช้ วิธีการหนึ่งเพื่อรักษาความปลอดภัย WLAN คือการป้องกันความไม่น่าเชื่อถือและเครือข่ายที่ไม่ปลอดภัยหรือไม่มีระบบรักษาความปลอดภัย ความต้องการที่ WLAN มีการวางอยู่นอกระบบที่มีการรักษาความปลอดภัยของเครือข่ายที่ดี
Untrusted Network (continued)
Trusted Network เป็นไปได้ที่จะให้การรักษาความปลอดภัยสำหรับ WLAN และรักษามันเป็นเครือข่ายที่เชื่อถือได้ Wi-Fi Protected Access (WPA) ถูกสร้างขึ้นมาโดย WECA ในปี 2002 เป็นมาตรฐานการรักษาความปลอดภัยอย่างถาวรแบบไร้สายที่จะต้องได้รับการติดตั้ง มีด้วยกันสองส่วนประกอบคือ : WPA encryption WPA access control
Trusted Network (continued) WPA encryption addresses เป็นจุดอ่อนของ WEP โดยการใช้ Temporal Key Integrity Protocol (TKIP) TKIP คีย์แบบผสมบนพื้นฐานต่อแพ็คเก็ต – ก็เพื่อปรับปรุงการรักษาความปลอดภัยให้ดีขึ้น WPA ต้องปรับปรุงระบบรักษาความปลอดภัยให้สูงขึ้น ตามมาตราฐาน IEEE 802.11i 80211i ออกใช้เมื่อปี 2004
Summary โปรโตคอล FTP มีจุดอ่อนมากมายเกี่ยวกับด้านความปลอดภัยหลายอย่าง - ซึ่งจะไม่ มีรากฐานการใช้การเข้ารหัสและเสี่ยงต่อการโจมตีแบบ man - in – the middle FTP สามารถสร้างจุดแข็งได้โดยใช้ secure FTP (ที่ซึ่งถูก encrypts ไว้โดยใช้ SSL) การป้องกันการส่งผ่านการเข้าถึงระยะไกลมีความสำคัญมากในปัจจุบัน ขณะที่ผู้ใช้มีมากขึ้นและหันมาใช้อินเทอร์เน็ตเป็นโครงสร้างพื้นฐานสำหรับการเข้าถึงข้อมูลที่ถูกปกป้อง
Summary (continued) การตรวจสอบเพื่อให้แน่ใจว่า ผู้ส่งมาจากผู้ส่งจริงและสามารถเพิ่มให้มีระบบความปลอดภัยสำหรับผู้ใช้ที่เข้าถึงจากระยะไกล SSH คือการติดต่อกับคำสั่ง UNIX - based และโปรโตคอลสำหรับการรักษาความปลอดภัยของการเข้าถึงคอมพิวเตอร์ระยะไกล Directory service เป็นฐานข้อมูลที่เก็บไว้ในเครือข่ายของตัวเองและมีข้อมูลทั้งหมดเกี่ยวกับผู้ใช้และอุปกรณ์เครือข่าย โทรศัพท์มือถือมีคุณสมบัติต่างๆที่ทำงานบนอุปกรณ์เคลื่อนที่ไร้สายดิจิตอลได้ มีผลกระทบอย่างมากต่อผู้ใช้ที่สามารถเข้าถึงข้อมูลได้