Säkerhetslösningar för Enterprisenät

Transkript

1 Säkerhetslösningar för Enterprisenät En utvärdering av autenticeringsoch segmenteringsalternativ i lokala nät MARTIN EDQUIST Examensarbete Stockholm, Sverige 2004 TRITA-NA-E04153

2 Numerisk analys och datalogi Department of Numerical Analysis KTH and Computer Science Stockholm Royal Institute of Technology SE Stockholm, Sweden Säkerhetslösningar för Enterprisenät En utvärdering av autenticerings- och segmenteringsalternativ i lokala nät MARTIN EDQUIST TRITA-NA-E04153 Examensarbete i datalogi om 20 poäng vid Programmet för datateknik, Kungliga Tekniska Högskolan år 2004 Handledare på Nada var Stefan Nilsson Examinator var Stefan Arnborg

3 Sammanfattning Dagens interna nät hos företag och andra institutioner blir allt större och mer komplexa. Samtidigt ökar hoten från nätmaskar och virus vilket gör att man behöver större kontroll över vem som kopplar upp sig mot nätet och vad för data som skickas. Denna rapport kommer titta på de olika autenticerings- och segmenteringsalternativ som finns tillgängliga och när de är lämpliga att använda. Examensarbetet har begränsats till att endast titta på säkerheten i lokala nät och konfiguration av nätutrustingen. Säkerheten i de applikationer som körs i nätet kommer ej behandlas. Arbetet har genomförts under våren och sommaren Och många av de presenterade brandväggsteknologierna har lanserats under arbetets gång. De åtgärdsförslag för att öka säkerheten i lokala nätet som framkommit genom arbetet är följande: Införandet av ett autenticeringssytem för uppkoppling till nätet. Detta ger en fullständig spårbarhet och kontroll över vem som kopplar upp sig till nätet. Övergång till ett nytt autenticeringssystem för administration av nätet. Även detta ger en mycket mer detaljerad spårbarhet över vem som utför ändringar i konfigurationen av nätutrustningen. Segmentering av det interna nätet till mindre segment avdelade med brandväggar för kontroll av den trafik som flödar genom nätet.

4 Security solutions for Enterprise networks A study of authentication and segmentation alternatives for local networks Abstract Today s internal networks at companies and other institutions are becoming ever bigger and more complex. At the same time the threats from worms and viruses are making it increasingly more important to have full control over who connects to the network and what type of data is being sent across the net. This report will evaluate the different alternatives available for authentication and segmentation of internal networks and when they are applicable. The master s thesis is limited to examining the security of the network itself and the configuration of the network equipment. The security of the different applications being run on the network will not be examined. The work has been performed during the spring and summer of Many of the presented firewall technologies have been introduced during the course of this project. In conclusion, the following proposals to increase security in local networks came forward during this project: The introduction of an authentication system for connecting to the network. This gives a complete log and control of who is connected to the network. Changing to a new authentication system for administration of the network. This too gives a more detailed log of who is performing changes to the network configuration. Segmentation of the internal network with the aid of firewalls to give more control of the traffic flowing across the network.

5 Innehållsförteckning 1 Inledning Bakgrund Syfte Problemformulering Metod Avgränsningar Företaget AB:s nät Accesslager Uppkoppling av användare Uppkoppling av servrar Testnät Distributionslager Corelager WAN Internetkoppling och kundkopplingar Riskanalys Redundans och tillgänglighet Administrationssäkerhet Routingsäkerhet OSPF passive interface OSPF authentication Reverse path forwarding Autenticering Skydd mot nätmaskar och virus Metoder för nätverksautenticering Filtrering med hjälp av MAC adresser Nätautenticering med IEEE 802.1x EAP RADIUS Användarautenticering Metoder för nätadministration Console Consolservrar Telnet OOB nät TACACS Nätsegmentering Brandväggar Olika typer av brandväggar OSI lagermodell Paketfilter Paketfilter med stateful inspection Applikationsbrandvägg...22

6 6.3 Brandväggsprodukter Cisco PIX Checkpoint Interspect Juniper Netscreen Designalternativ vid införande av brandväggar Applikationsbrandväggar placerade i distributionslagret Cisco FWSM placerade i coreroutrar Cisco FWSM placerade i distributionsroutrar Rekommendation Införande av system för nätautenticering Nätadministration med hjälp av TACACS Segmentering Framtid...31 Källförteckning...32 Bilagor...34 A: Cisco Firewall Services Module for Catalyst B: Checkpoint Interspect 610F...36 C: Juniper Netscreen-IDP D: Förkortningsordlista...38

7 Läsanvisning Denna beskrivning är till för att underlätta läsningen av examensarbetet. En kort beskrivning av varje kapitels innehåll ges för att ge olika läsare en snabb överblick till att hitta intressant information. Kapitel 1 Inledning Här ges en kort bakgrund till examensarbetet med de problemställningar som fanns i början av arbetets gång. Här presenteras även arbetets syfte och avgränsningar. Kapitel 2 Företaget AB:s nät I detta kapitel ges en grundlig beskrivning av den fysiska uppbyggnaden av Företaget AB:s nät. De olika delarna som ingår samt hur de är ihopkopplade. Kapitel 3 Riskanalys Detta kapitel tar upp de svagheter som upptäckts i nätet och varför de ät viktiga att åtgärda. Kapitel 4 Metoder för nätautenticering Detta kapitel ger en presentation av de olika tekniker som finns för att begränsa åtkomsten till ett lokalt nät. Kapitel 5 Olika administrationstekniker Här ges en genomgång av möjliga lösningar för administration av nätutrustning. Kapitel 6 Brandväggar I detta kapitel presenteras de olika tekniker som finns för uppbyggnad av brandväggar. En genomgång av lämpliga produkter för segmentering av Företaget AB:s nät ges också. Kapitel 7 Designalternativ vid införande av brandväggar Här presenteras de olika designförslag som tagits fram för att segmentera Företaget AB:s nät. Kapitel 8 Rekommendation Detta kapitel ger rekommendationer för vilka av de alternativ som presenterats i tidigare kapitel som bör införas i Företaget AB:s nät för att förbättra säkerheten. Kapitel 9 Framtid En inblick i de tekniker som är på väg inom områdena för nätautenticering och brandväggar. Bilagor Tekniska specifikationer för de brandväggar som presenteras i rapporten samt en förkortningsordlista.

8 1 Inledning 1 Inledning Denna rapport sammanfattar ett examensarbete på instutitionen för Numerisk Analys och Datalogi, Nada, vid KTH i Stockholm. Arbetet genomfördes under våren och sommaren 2004 och är en del av civilingenjörsutbildningen i datateknik på KTH. Uppdragsgivare har varit ett stort företag i Sverige i fortsättningen kallat Företaget AB. Mina handledare på Nada har varit Stefan Nilsson och på KTHNOC Björn Rhoads. Examensarbetet har utförts i teknologins framkant och många av de tekniker och produkter som beskrivs, särskilt inom brandväggsområdet, har lanserats under arbetets gång. 1.1 Bakgrund Företaget AB har idag ett till största delen switchat nätverk som är relativt platt designat. Få restriktioner finns i nätet med avseende på vilken trafik som får passera. Nätet innehåller alla företagets dataresurser och sträcker sig över hela Sverige. För att få mer kontroll över trafiken i nätet önskar Företaget AB introducera en åtkomstkontroll för fysisk åtkomst till nätet. Man önskar även gå mot en mer segmenterad design av sitt nät med interna brandväggar som avgränsning mellan olika avdelningar och mellan servrar och användare. Detta för att få mer kontroll över den trafik som passerar mellan de olika delarna i nätet. 1.2 Syfte Examensarbetet blir i första steget att utreda det nuvarande nätet och ta fram en riskanalys av nätet. Nästa steg blir att titta på lösningar för en segmentering av nätet med en ny administrationslösning. Målet är att ta fram en ny design som kan användas som beslutsunderlag för framtida utveckling. Nätet måste designas med hänsyn till att en övergång måste ske utan avbrott i nätet. 1.3 Problemformulering Problemformuleringen består av ett antal punkter: Inventering av Företaget AB:s befintliga nät. Genomföra en riskanalys av nätet för att hitta var och hur eventuella säkerhets och tillgänglighetsproblem kan uppstå. Undersöka möjligheterna för en mer segmenterad design av nätet. Föreslå lämpliga tekniker och produkter för att uppnå en mer segmenterad design. Målsättningen är att lösa dessa problem och därigenom ta fram en referensdesign som kan användas som grund för en vidareutveckling av nätet. 1

9 1 Inledning 1.4 Metod Uppgiften har lösts genom en grundlig genomgång av det befintliga nätet för att få en uppfattning om nätets organisation och struktur. Detta har gällt både hur det fysiska nätet ser ut, hur det är konfigurerat samt hur det administreras. Information om detta hämtades från internt material hos Företaget AB. Därefter genomfördes en analys av hur olika kända nätattacker skulle kunna påverka nätet i fråga om dataintegritet och tillgänglighet. Kartläggningen av de brister som hittades i nätet användes sedan som grund för att söka reda på lämpliga tekniker och produkter för att åtgärda dessa. En genomgång har också gjorts för att avgöra vilka åtgärder som är lättast att genomföra och hur de ska introduceras i nätet. 1.5 Avgränsningar För att skapa en säker it-miljö är det många komponenter som måste säkras. Denna rapport kommer att ta upp de viktigaste områdena för att skapa ett säkert datanät. Inriktningen ligger på att undersöka säkerheten hos nätutrustningen och hur nätet bör fungera för att skydda klientdatorer och servrar på bästa sätt. Någon analys av säkerheten hos specifika applikationer som körs i nätet kommer inte att ges. 2

10 2 Företaget AB:s nät 2 Företaget AB:s nät Företaget AB har ett IP-baserat nät som kopplar ihop samtliga datorresurser inom företaget. Detta kapitel kommer att ge en överblick av hur nätet är uppbyggt, vilken utrustning som ingår i nätet samt hur kopplingarna mellan nätets olika delar ser ut. Nätet är uppbyggt enligt en traditionell lagermodell och har följande lager: Accesslager - Detta lager kopplar upp användare, servrar och andra nätverksenheter till nätet. Distributionslager - Aggregerar användare från hela byggnader eller servrar från serverhallar. Corelager - Detta lager aggregerar samtliga routergrupper i distributionslagret. Alla nätets kopplingar ut mot andra nät finns även här. 2.1 Accesslager Accesslagrets uppgift är att koppla upp samtliga klienter i nätet som står ute i kontorsmiljö samt servrar i serverhallar. Dessa placeras sedan på korrekt VLAN som är konfigurerat per port i alla switchar i accesslagret Uppkoppling av användare En typisk uppkoppling av användare består av ett flertal Cisco Catalyst 2950 switchar som ger 48 användare var tillgång till varsin switchad 100 Mbit/s fast-ethernet port. Varje Catalyst 2950 har sedan en gigabit länk kopplad till sin respektive switch i distributionslagret (se figur 2.1). 3

11 2 Företaget AB:s nät Catalyst 6500 Catalyst 6500 Distributionslager Catalyst 2950 Catalyst 2950 Accesslager Användare Användare Skrivare Användare Användare Figur 2.1: Uppkoppling av användare till accesslagret. Skrivare Varje port i accessswitcharna är konfigurerad att tillhöra något av de VLAN som finns tillgängliga för användare. Några exempel på VLAN som finns tillgängliga i användarswitchar är VLAN för skrivare, användare med fast IP-adress och användare med dynamisk IP-adress Uppkoppling av servrar Uppkopplingen för servrar är designad för högre tillgänglighet än uppkopplingen av användare då varje server har två nätverksinterface kopplade till separata switchar. Huvudkopplingen för servrarna är en gigabitlänk till en Cisco Catalyst Catalyst 4503 är en mycket robust switch med dubbla nätaggregat för redundant strömförsörjning. Varje Catalyst 4503 är sedan kopplad till distributionslagret med dubbla gigabitlänkar. Som reservlina har varje server en andra koppling till en Cisco Catalyst 2948G. Denna länk är på 100 Mbit/s och används i händelse av att den ordinarie uppkopplingen av någon anledning skulle sluta fungera (se figur 2.2). 4

12 2 Företaget AB:s nät Catalyst 6500 Catalyst 6500 Distributionslager Accesslager Catalyst 4503 Catalyst 2948G Figur 2.2: Uppkoppling av servrar till accesslagret Testnät Förutom uppkoppling av användare och servrar har Företaget AB även ett relativt stort testnät för testning av klienter, servrar och nätverksutrustning under realistiska förhållanden. Testnätet består av ett stort antal switchar och datorer ihopkopplade med länkar från 100 Mbit/s ner till några få Kbit/s. Detta för utprovning av applikationer under ett brett spektrum av nätverksförhållanden. Nätverksutrustningen i testnätet är sedan kopplad till två Catalyst 6500 i distributionslagret (se figur 2.3). Testnätet måste vara ihopkopplat med Företaget AB:s övriga nät för att ge tillgång till Internet och olika resurser från servrar i drift. 5

13 2 Företaget AB:s nät Catalyst 6500 Catalyst 6500 Distributionslager Accesslager Testnät Figur 2.3: Uppkoppling av testnätet till distributionslagret 2.2 Distributionslager Distributionslagret består av Cisco Catalyst 6500 switchar. Dessa switchar är modulära och kan terminera de flesta mediatyper och hastigheter upp till gigabithastighet. Detta innebär att det är lätt att koppla in en mängd olika typer av enheter från accesslagret, vare sig det rör sig om 10, 100 eller 1000 Mbit/s, twisted pair eller fiber. Detta är speciellt viktigt i testnätet där en mängd olika typer av nätutrustning kan behöva testas. Varje Catalyst 6500 kopplas ihop med en annan 6500 och för maximal redundans och säkerhet är dessa placerade i separata datahallar. Detta switchpar ansvarar sedan för uppkopplingen av varsin grupp från accesslagret. För att switcharna lätt ska kunna ta över kommunikation från varandra om någon av dem skulle fallera används HSRP, Hot Standby Router Protocol, detta protokoll ger alla klienter i accesslagret illusionen av en enda virtuell router i varje grupp i distributionslagret. Länkarna mellan de två switcharna är vanligen 4*1 Gbit/s och varje switch har sedan 2*1 Gbit/s länkar till de två coreroutrarna (se figur 2.4). 6

14 2 Företaget AB:s nät Catalyst 6500 Catalyst 6500 Corelager Distributionslager Catalyst 6500 Catalyst 6500 Figur 2.4: Kopplingar mellan en distributionsgrupp och corenät. I detta lager introduceras också routing i nätet. Samtliga switchar i distributionslagret använder OSPF för att kommunicera med coreroutrarna och den 6500 som den är ihopkopplad med. De två routrarna agerar default gateway för samtliga klienter som är kopplade under dem. På denna nivå i nätet filtreras även en hel del broadcasttrafik bort. Distributionslagret består huvudsakligen av fyra par Catalyst 6500: Kontor A, Kontor B, Servrar och Testnät till vilka de olika grupperna i accesslagret, beskrivna ovan, är kopplade. 2.3 Corelager Corelagret består av två stycken Cisco Catalyst Även dessa är separerade i olika datahallar för att skydda mot störningar. De är sammankopplade med tredubbla länkar för redundans. Till corelagret är samtliga grupper i distributionslagret kopplade samt ett antal andra block i Företaget AB:s nät. Dessa inkluderar företagets stordatorer som är kopplade direkt till coreroutrarna, ett WAN-nät som kopplar upp lokala kontor runt om i landet samt Företaget AB:s koppling mot Internet och kopplingar till kunder med direktuppkoppling till Företaget AB:s nät (se figur 2.5). 7

15 2 Företaget AB:s nät WAN Internet Kundkopplingar Stordatorer Catalyst 6500 Catalyst 6500 Corelager Distributionslager Kontor A Kontor B Servrar Testnät Figur 2.5: Inkommande kopplingar till corenätet. 2.4 WAN Företaget AB har förutom sitt centrala nät ett WAN som spänner över stora delar av Sverige. Detta nät används för att koppla upp lokalkontor och datautrustning placerad över hela Sverige. WAN-nätet består av en mängd routrar och switchar placerade ute i landet. Dessa samt de fjärrlänkar som binder samman nätet administreras av en inhyrd operatör som står för driften av nätet. Hela WAN-nätet samlas sedan ihop i två routrar som via BGP lämnar över nätet direkt i Företaget AB:s coreroutrar Internetkoppling och kundkopplingar De länkar som leder in och ut ur Företaget AB:s nät är länkar mot Internet och länkar till externa kunder med direktkoppling till nätet. Dessa länkar möts av en rad brandväggar innan de släpps in i det interna nätet där de kopplas in direkt i coreroutrarna (se figur 2.6). 8

16 2 Företaget AB:s nät Internet Kundkopplingar Catalyst 2948 Catalyst 2948 FW Block FW Block Catalyst 6500 Catalyst 6500 Corelager Figur 2.6: uppkoppling av internetaccess och kundkopplingar till corenätet. 9

17 3 Riskanalys 3 Riskanalys Denna riskanalys tar upp de säkerhetsrisker som existerar i Företaget AB:s nät. Större risker med flera olika lösningsalternativ kommer sedan diskuteras i efterföljande kapitel. 3.1 Redundans och tillgänglighet Redundansen i nätet är mycket god med samtliga större switchar och routrar duplicerade och dubbla uppkopplingar för servrar. De switchar som används från Cisco är dessutom oerhört driftsäkra och med duplicering uppnås i stort sett 100% tillgänglighet. 3.2 Administrationssäkerhet Administrationen av nätet sker idag till största delen via telnet till de olika switcharna och routrarna i nätet. Detta kan ge vissa problem att få bra spårbarhet i administrationen av nätutrustningen då ingen loggning av konfigurationen sker. Olika alternativ för nätadministration diskuteras i kapitel Routingsäkerhet Säker routing är ett område som det ofta inte läggs så stor vikt vid under konfigurationen av nätet. Injicering av felaktiga rutter i nätet kan dock skapa stora problem i tillgänglighet, något som dessutom inte gå att skydda sig mot genom duplicering och redundans då samtliga routrar påverkas. I ett nät finns alltid endast en routingtabell och lyckas någon påverka denna kan stora säkerhets- och tillgänglighetsproblem uppstå. De routingprotokoll som används i nätet är OSPF som körs på samtliga routrar i distributionslagret samt coreroutrarna. Coreroutrarna använder också BGP för att kommunicera rutter med WAN-nätet. BGP är genom sin design i form av ett externt routingprotokoll redan från början ett mycket säkert protokoll. Varje BGP-koppling mellan routrar måste konfigureras manuellt och det är mycket svårt att via BGP införa felaktig routinginformation. Med OSPF är läget ett annat då routern automatiskt kommunicerar med grannar genom OSPF broadcast. Detta ger möjligheter att skicka falska OSPF-paket till routrarna i nätet och få dem att införa nya rutter i nätet. Eftersom en router alltid letar efter den mest specifika matchningen av en rutt kan man på detta sätt stjäla rutter och få trafik att gå genom specifik dator där den kan avlyssnas. Alternativt kan man införa felaktiga rutter i routingtabellen som lurar samtliga routrar att skicka trafik i felaktiga riktningar och därigenom skapa störningar i nätet. 10

18 3 Riskanalys OSPF passive interface För att förhindra att en router sprider och lyssnar på OSPF-information på ett specifikt interface sätts det till ett så kallat passive interface. I Företaget AB:s nät är samtliga interface mot accesslagret satta till passive vilket omöjliggör OSPF-kommunikation med routrarna från användarnät och nätuttag i kontorsmiljön OSPF authentication För att få ytterligare säkerhet går OSPF att konfigurera med en så kallad authentication-key. Det innebär att ett lösenord hårdkodas i varje router. Dessa routrar lyssnar därefter enbart på OSPF paket som försetts med en 64-bitars hashkod utifrån detta lösenord. Detta säkrar OSPF routingen i händelse av att något passive interface skulle glömmas bort i konfigureringen och därigenom ge möjlighet att påverka routingen från användarnät. Att slå på denna säkerhetsfiness i Företaget AB:s nät skulle tillföra ytterligare ett lager av säkerhet i den redan säkra routingen Reverse path forwarding Reverse path forwarding (RPF) är en teknik som används av routrar för att kasta paket som inte har en källadress som går att verifiera. Tekniken är mycket effektiv som skydd mot ett antal olika typer av överbelastningsattacker eftersom dessa ofta använder spoofade IP-adresser, det vill säga paket med falsk avsändare, när de skickar sina paket från olika datorer. När RPF är påslaget på ett interface i en router sker två routinguppslagningar varje gång ett paket passerar routern. Normalt tittar routern endast på destinationsadressen hos IP paketet för att sedan kunna avgöra på vilket interface paketet ska skickas vidare. Med RPF tittar routern även på källadressen på IP-paket och kontrollerar att adressen stämmer överens med de nät som är anslutna på det inkommande interfacet. Har paketet en källadress som inte hör hemma på interfacet som paketet kommer in på kastas det helt enkelt. På så sätt kan man enkelt skydda sig mot de flesta spoofade paket som någon kan vilja injicera i nätet. Ett visst pris i form av prestandaförlust måste dock betalas eftersom routern med RPF påslaget gör dubbelt så många uppslagningar i routingtabellen. De flesta moderna routrar har dock tillräcklig kapacitet att utföra RPF kontroll upp till linjehastighet. RPF skulle med fördel kunna slås på i Företaget AB:s nät på routrarna i distributionslagret. Dessa har full kontroll över vilka subnät som är kopplade till deras respektive interface och skulle effektivt kunna stoppa spoofade paket från att nå corenätet. De routingmoduler som används i Catalyst 6500 har även de mer än tillräcklig kapacitet att hantera RPF och de dubbeluppslagningar det medför. 3.4 Autenticering I dagsläget finns inga spärrar hos switcharna i nätet för vilka datorer som får koppla upp sig och skicka paket. Detta innebär att man måste förlita sig helt på fysiska 11

19 3 Riskanalys skalskydd för att hindra obehöriga från att koppla upp sig mot nätet. De olika metoder som finns för nätverksautenticering kommer diskuteras i kapitel Skydd mot nätmaskar och virus Företaget AB:s nät är i dag helt öppet designat och paket tillåts passera fritt mellan samtliga delar av nätet. Detta ger stora möjligheter för virus och nätmaskar att snabbt sprida sig i hela nätet. En segmentering av nätet vore därför mycket önskvärd då det är mycket lättare att stoppa virus och nätmaskar innan de hinner sprida sig till stora delar av nätet med ett nät uppbyggt av flera segment. Olika brandväggstekniker och deras för och nackdelar presenteras i kapitel 5 och lämpliga produkter och designalternativ för segmentering av interna nät diskuteras i kapitel 6. 12

20 4 Metoder för nätverksautenticering 4 Metoder för nätverksautenticering Med nätautenticering menas ett sätt att kontrollera att en dator eller annan typ av nätutrustning har rätt att koppla upp sig mot det lokala nätverket. Autenticeringen är till för att hindra obehöriga från att skicka paket i nätet, till skillnad från en vanlig nätinloggning då användaren autenticerar sig mot en server för att få tillgång till olika resurser på nätverket. Nätverksautenticering sker på en mycket lägre nivå innan användarens dator har fått tillgång till IP-adress. Normalt tillåter en switch att en dator börjar skicka ethernetpaket så fort den är inkopplad, något som inte alltid är önskvärt. Visserligen kanske en dator som kopplas in inte kan komma åt de tjänster som körs på servrar och andra klienter i nätet eftersom den inte är inloggad på nätverket, men den kan ändå skicka ethernet frames och IP-paket fritt i nätet och därigenom kunna utnyttja eventuella säkerhetsbrister i operativsystem och programvaror hos andra datorer i nätet. 4.1 Filtrering med hjälp av MAC adresser När en dator kommunicerar över ett ethernetnät skickas data i små paket, så kallade ethernet frames. Dessa frames innehåller en avsändaradress och en destinationsadress. Dessa adresser kallas för MAC-adresser och är unika adresser på avsändarens och mottagarens nätverksinterface. Enkelt kan man säga att varje nätverkskort har en unik adress som är tilldelad vid tillverkningen. Den enklaste formen av nätautenticering är att ta denna MAC-adress och associera den med en användare. Denna användare är sedan kopplad till en specifik port i en switch och man filtrerar helt enkelt bort alla paket som passerar den porten och har en annan MAC-adress som avsändaradress än den tillåtna. Denna metod är dock inte så säker då det relativt lätt går att spoofa MAC-adresser och genom att stjäla adressen från det autenticerade användaren kan en obehörig person ändå få tillgång till nätet. Det krävs dock vanligen att man avlyssnar ledningen mellan användaren och switchen för att ta reda på användarens MAC-adress, men det går även att helt enkelt titta på användarens nätverkskort om man har tillgång till detta då MAC-adressen ofta står utskriven på kretskortet. 4.2 Nätautenticering med IEEE 802.1x Att i en switch manuellt låsa varje port till specifika MAC adresser är en mycket stelbent metod att kontrollera vem som kopplar upp sig mot sitt lokala nät. Det kräver stora mängder administration i stora nät där datorer ofta flyttas runt och är dessutom inte helt säker. Många företag började därför arbeta fram egna lösningar för hur man skulle kunna koppla ihop nätautenticeringen med någon form av nätinloggning. Dessa olika system ledde sedan fram till en standard från IEEE som spikades år 2001 och kallas 802.1x. Denna standard används mest inom trådlösa nät för att autenticera användarna som försöker koppla upp sig till en accesspunkt. IEEE 802.1x ger dock även många fördelar i trådburna nät. 13

21 4 Metoder för nätverksautenticering För att kommunicera autenticeringsinformation genom nätet använder sig 802.1x standarden av två olika protokoll EAP och RADIUS. Dessa är två beprövade protokoll för autenticering. EAP används för att skicka autenticeringsinformation fram och tillbaka mellan den dator som försöker koppla upp sig mot nätet och den närmsta switchen i nätet. RADIUS används för kommunikationen mellan switchen som ska autenticera datorn och den server som tillhandahåller alla användaruppgifter EAP EAP står för extensible authentication protocol och var från början ett protokoll för att överföra autenticeringsinformation över PPP länkar vilket lämpar sig väl eftersom länken mellan den dator som vill koppla upp sig mot nätet och den switch den är kopplad till kan ses som en PPP länk. Protokollet finns definierat i RFC I 802.1x använder man två utökningar till detta protokoll som kallas EAPOL och EAPOW, EAP over LAN och EAP over Wireless, för att kunna kommunicera EAP över ett trådbundet eller trådlöst nät. Denna rapport kommer att koncentrera sig på 802.1x i trådburna nät och därigenom endast EAPOL. EAPOL fungerar i många olika typer av nätverk såsom Ethernet, Token Ring och FDDI. Det största kravet som finns på nätet är att det ska vara ett switchat nät och inte ett delat medium man transporterar EAPOL paket på. Detta då identifieringen endast sker med MAC-adresser vilka lätt kan spoofas RADIUS Remote Address Dial-In User Service (RADIUS) är ett autenticeringsprotkoll som från början till största delen användes för uppringda förbindelser men som nu används som ett generellt autenticeringsprotokoll med en mängd användningsområden. Protokollet använder UDP som transport för att undvika den relativt resurskrävande process det innebär att öppna TCP sessioner för varje autenticeringsförfrågan. Detta drar ner protokollets serverlast betydligt. På grund av detta har protokollet egen hantering av omsändning och timeouts då UDP inte har denna funktionalitet inbyggd. Protokollet finns beskrivet i RFC 2865 och RFC Användarautenticering I autenticeringsprocessen är tre parter inblandade: Klient Klienten är enheten som försöker koppla upp sig mot nätet. För att autenticera sig behöver klienten skicka ett användarnamn och lösenord till autenticeraren, vilket är den närmaste switchen i nätet. För att kommunicera med autenticeraren använder sig klienten av EAP som är de enda paket autenticeraren accepterar på en oautenticerad port. Autenticerare Autenticeraren är switchen som ansvarar för portsäkerheten och tillgängligheten för datorer till nätet. Den tar emot användarnamn och lösenord från klienten och skickar vidare dessa till autenticeringsservern. Efter att den fått svar från autenticeringsservern huruvida klienten är godkänd eller ej låses eller öppnas den aktuella nätverksporten. I detta steg kan även fler funktioner utföras av switchen 14

22 4 Metoder för nätverksautenticering såsom att placera porten i ett specifikt VLAN eller aktivera speciella accesslistor beroende på vilken användare som autenticerat sig. Autenticeraren arbetar med två olika protokoll EAP mot klienter och RADIUS för kommunikation med autenticeringsservern. Autenticeringsserver Autenticeringsserver validerar klientens användarnamn och lösenord och specificerar för autenticeraren om klienten ska få tillgång till nätet eller ej. Det är också autenticeringsservern som skickar information till autenticeraren om eventuella extra parametrar såsom vilket VLAN klienten ska höra till. För att använda 802.1x i sitt lokala nät krävs stöd hos både klienten och den närmsta switchen, dvs. den switch som klienten har en direkt anslutning till. Autenticeringsprocessen startar med att autenticeraren upptäcker en ny dator på någon av dess länkar och en process av förfrågningar skickas mellan klienten och autenticeringsserver via autenticeraren (se figur 4.1). Klienten och autenticeringsservern kommunicerar aldrig direkt med varandra utan all kommunikation sker via autenticeraren. Klient Autenticerare (Switch) Autenticeringsserver (RADIUS) Port Unauthorized EAP Request Identity EAP Response Identity RADIUS Access Request EAP Request Challange RADIUS Access Challange EAP Response Identity RADIUS Access Request EAP Success RADIUS Access Accept Port Authorized EAP Logoff Port Unauthorized Figur 4.1: Autenticering av klient med hjälp av 802.1x. 15

23 5 Metoder för nätadministration 5 Metoder för nätadministration All nätverksutrustning behöver ibland konfigureras och leverantörer brukar tillhandahålla många olika sätt att utföra denna administration. Detta kapitel kommer ta upp de vanligaste metoderna och när de är lämpliga att använda. 5.1 Console Den enklaste metoden att konfigurera nätverksutrustning är via den consoleport, vanligtvis en RS-232 serieport, som sitter på de flesta typer av konfigurerbar nätverksutrustning. Med nätutrustning avses här främst routrar och switchar av olika slag. Vanligtvis konfigureras en enhet via consoleporten enbart vid installation när man behöver få in de grundinställningar som behövs för att få enheten att passa in i nätet. I ett stort nät vill man undvika att behöva ha fysisk tillgång till nätverksutrustning för att konfigurera den vilket gör att consolekonfiguration är högst olämplig i de flesta fall. För att administrera nätutrusning via consoleporten krävs ett så kallad enable lösenord, detta är till för att ingen obehörig ska kunna konfigurera den även om man råkar ha fysisk tillgång till den. Den stora fördelen en consoleport är att det alltid går att konfigurera nätutrustningen via denna. Även om samtliga nätinterface gått ner är den fortfarande nåbar via consoleporten. 5.2 Consolservrar En lösning på problemet att behöva koppla upp sig via en seriekabel till den nätutrustning man vill konfigurera är att koppla in en consoleserver till consoleporten. En consoleserver är helt enkelt en extern server som används för att komma åt consoleporten på distans. Consoleservrar brukar ha uppkopplingar för modem, ISDN, eller ethernet beroende på hur man vill kunna koppla upp sig till sin nätutrustning. Detta ger fördelen att man kan ansluta till consoleservern på distans samtidigt som man får alla fördelar som finns med att konfigurera nätutrustning via consoleporten. 5.3 Telnet Den vanligaste formen för vardaglig administration av nätutrustning är genom telnetuppkoppling. För att kunna koppla upp sig via telnet krävs att utrustningen är korrekt konfigurerad med en giltig IP-adress och påslagna nätinterface. Även vid konfiguration via telnet används ett enable lösenord för att få tillgång till nätutrustningen. Detta lösenord skickas i klartext över nätet då telnet är en okrypterad uppkoppling. 5.4 OOB nät För att vara säker på att kunna komma åt att konfigurera sin nätutrustning även om nätet av någon anledning är otillgängligt på grund av till exempel överlastningsattacker eller kabelbrott kan man bygga ett så kallat OOB nät eller Out Of Band nät. Det är ett nät uppbyggt av consoleservrar kopplade till all nätutrustning och med separat nätkablage eller uppringda förbindelser. Om en switch eller router 16

24 5 Metoder för nätadministration sedan blir otillgänglig via det normala nätet om den till exempel tappat konfigurationen för sina interface går det enkelt att komma åt den på distans via OOB nätet. Denna typ av administration lämpar sig ofta om nätutrustningen står väldigt otillgängligt med stora avstånd till administrationspersonal. 5.5 TACACS+ När man har ett stort nät med många switchar och routrar som ska administreras av en grupp människor kan en lösning med enbart enable lösenord på nätutrustningen bli för svårhanterlig. Det slutar ofta med att man använder sig av samma lösenord på all utrustning och att samtliga administratörer känner till detta. Detta ger problem med spårbarhet och vem som gjorde vad frågor kan lätt uppkomma. En lösning skulle kunna vara att upprätta en databas med användare och lösenord på varje switch eller router. Detta blir dock i längden ohållbart då man måste uppdatera varje enhet individuellt varje gång ett användarkonto ska läggas till eller tas bort. Det som därför behövs är en central databas över användare och lösenord som all utrustning är kopplad till, en så kallad Access Control Server (ACS). Det finns ett flertal sådana lösningar som till exempel KERBEROS, RADIUS och TACACS+. Vi kommer här att titta närmare på TACACS+ då det är en lösning som stöds av en stor del av Ciscos utrustning. TACACS står för Terminal Access Control Access Control Server och användes först av det amerikanska försvarsdepartementet. Cisco gjorde en del förändringar av det ursprungliga TACACS protokollet och lanserade TACACS+ som är ett Ciscospecifikt protokoll. De främsta tjänsterna TACACS+ levererar är: Autenticering TACACS+ ger stora möjligheter för att fastställa identiteten hos användare vid inlogging. Det vanligaste inloggningsförfarandet vid nätadministration med TACACS+ är att logga in med användarnamn och lösenord men det finns även stöd för en mängd andra lösningar såsom certifikat och smartcards. Auktorisering Genom att från autenticeringsservern tala om vad en användare får göra går det att styra nätadministreringen mycket mer än med enbart ett enable lösenord. Det går till exempel att ge administratörer full tillgång till nätutrustningen när de administrerar den från sin arbetsplats och samtidigt en begränsad tillgång till några få funktioner om man loggar in från en annan plats. Loggning Ger möjlighet att logga när en användare loggar in eller ut från en nätenhet samt en detaljerad logg över vilka kommandon som exekverats. Allt detta gör TACACS+ till en mycket attraktiv lösning för nätadministration. Systemet fungerar så att när en användare väl autenticerat sig mot TACACS+ servern kan man automatiskt logga in på all nätverksutrustning man har rätt att logga in på, så 17

25 5 Metoder för nätadministration kallad single sign-on. Uppkopplingarna mot nätutrustningen sker dessutom med SSH vilket betyder att all kommunikation krypteras. 18

26 6 Nätsegmentering 6 Nätsegmentering Att segmentera ett internt nät innebär införandet av begränsningar för hur trafik kan flöda i nätet. För att kunna kontrollera detta behöver man införa brandväggar internt i nätet. Här ges en överblick över de olika filtreringstekniker brandväggar använder sig av och produkter intressanta för nätsegmentering. 6.1 Brandväggar En brandvägg har traditionellt betytt ett skydd mellan den osäkra miljön på Internet och ett företags interna nätverk. Det vanligaste förfarandet hos en traditionell brandvägg är att man blockerar all trafik in till användarnas datorer och tillåter i stort sett all trafik ut från dessa datorer utom möjligen några få specifika protokoll eller portar såsom Peer2Peer program. Oavsett vilken brandvägg man använder sig av finns det ett antal grundläggande tjänster en brandvägg tillhandahåller. De mest grundläggande tjänsterna är: IP adressöversättning De flesta brandväggar tillhandahåller adressöversättning av IP-paket så kallad Network Adress Translation (NAT). Denna funktion används oftast för att konfigurera datorerna i det interna nätet att använda privata IP-adresser och sedan låta dessa dela på en gemensam extern adress ut mot Internet. Brandväggen är i detta fall konfigurerad som gateway på datorerna och översättningen sker omärkbart både för datorer i det interna nätet och ute på Internet. Det går även att låta varje intern IPadress motsvaras av en unik extern IP. Fördelen med detta är att datorerna blir tillgängliga från internet precis som en dator med extern adress men underlättar samtidigt om man behöver byta ut sina externa adresser vid byte av ISP då man inte behöver konfigurera om samtliga datorer i det interna nätet. Nätsegmentering En brandväggs primära uppgift är att skapa en gräns mellan två olika nät. Denna gräns gör det sedan möjligt att kontrollera och inspektera flödet mellan de olika näten. Brandväggen behöver inte nödvändigtvis placeras mellan ett osäkert nät såsom Internet och ett kontrollerat nät såsom ett företags interna nät. Något som istället blir mer och mer vanligt är att placera brandväggen i det interna nätet för att kontrollera hur de olika delarna i företaget kommunicerar med varandra. IP och portfiltrering Den mest lättförståeliga och primära funktionen hos en brandvägg är IP och portfiltrering. Denna filtrering tittar enbart på huvudet hos IP-paketen som passerar och kontrollerar därefter mot en uppsättning regler för vilka adresser och portar som är tillåtna. Alla regler man inför förs in i en lista i brandväggen som kallas Access Control List eller ACL. Dessa regler kan bli relativt komplexa då man kan filtrera både på källadress och på destinationsadress hos IP-paketen. Skydd mot DoS attacker 19

27 6 Nätsegmentering Då all nätverkstrafik, både inkommande och utgående, passerar genom brandväggen på sin väg mellan de två olika nät brandväggen är ansluten till är det den plats där det är lättast att upptäcka och stoppa DoS attacker. Innehållsfiltrering Denna funktion fanns ursprungligen endast i proxyservrar som var de enda som tittade på IP-paket på en tillräckligt hög nivå för att upptäcka specifika URL adresser. Numera har de flesta brandväggar tillräcklig kapacitet för att identifiera paket på applikationsnivå och studera och blockera specifikt innehåll. Omdirigering av paket Det är ibland önskvärt att styra om paket från en port till en annan. Detta möjliggör att ha flera servrar igång på samma port men som utanför brandväggen ser ut att svara på olika portar. Loggning En av de viktigaste funktionerna hos en brandvägg är dess förmåga att logga vad som sker på nätverket. Det gör det möjligt att studera försök till intrång och i händelse av intrång i nätet kunna spåra vad som hänt. Brandväggar kan generellt logga mycket detaljerat och det kan vara svårt att hitta en lämplig nivå av vad som ska sparas då loggning av ett nät snabbt kan generera mycket stora loggar. Ofta krävs programvara i form av logganalysatorer för att få en överblick över loggarna. 6.2 Olika typer av brandväggar Brandväggar finns i en mängd olika typer och skiljer sig ganska fundamentalt i hur de analyserar IP-trafik. Den största skillnaden är på vilken nivå i TCP/IP protokollstacken som analyseringen av paket sker OSI lagermodell OSI står för Open Systems Interconnect och är en ISO standard som beskriver kommunikationsprotokoll på en hög abstraktionsnivå. Denna beskrivning passar väl in på TCP/IP protokollet då de olika nätverkslagren i OSI modellen återfinns i olika delar av TCP/IP protokollet och den nätverkshårdvara den körs på (se figur 6.1). 7 Applikationslager FTP, SSH 6 Presentationslager HTTP, SMTP 5 Sessionslager NetBIOS, NFS 4 Transportlager TCP, UDP 3 Nätverkslager IP, ICMP 2 Data-länklager Ethernet, Token Ring, FDDI 1 Fysiskt lager Kopparkabel, Optofiber, Radio Figur 6.1: de olika lagren hos TCP/IP protokollet baserat på OSI modellen Det fysiska lagret specificerar kommunikationen på en väldigt låg nivå såsom vilken spänning och strömstyrka som ska användas eller vid trådlös överföring vilka radiofrekvenser som används. 20

28 6 Nätsegmentering Det andra lagret, data-länklagret, introducerar paketkonceptet med så kallade frames som är en bitström med avsändaradress och destinationsadress för data-länk protkollet inkluderad. Nätverkslagret är lagret som hanterar IP-paket och skickar dem vidare till datalänklagret. I detta lager sker en anpassning av paketen från högre lager. Exempelvis kan TCP paket vara ganska stora men för att fysiskt kunna skickas ut på nätverket delar nätverkslagret upp dessa i mindre paket för att sedan sätta ihop dem på andra sidan överföringen. Det ansvar som finns hos transportlagret är att skapa en tillförlitlig kommunikation för applikationer som inte ska behöva bekymra sig för att lägre lager kan fallera och tappa paket. Hos TCP/IP finns två olika protokoll att välja mellan i transportlagret, TCP eller UDP beroende på vilka tjänster som krävs av applikationen. Applikationslagret består av de program som använder nätverket. Exempelvis e-post eller FTP program. Varje program i applikationslagret väljer ett av protokollen i transportlagret som det finner lämpligt och lämnar sedan data i korrekta paket till transportlagret. De lager som är intressanta i tal om brandväggar är lager 3 till och med 7. Det finns brandväggar som opererar endast på lager 3 och det finns de som klarar att analysera paket ända upp till lager 7. En brandvägg som analyserar paket på applikationsnivå kräver dock mycket mer datakraft än en som endast filtrerar paket på nivå 3. Nivå 3 brandväggar kan fås att analysera paket i stort sett lika snabbt som en router medan en mer avancerad brandvägg kostar betydligt mer för samma prestanda Paketfilter En av de enklaste och vanligaste formerna av brandvägg är ett paketfilter. Ett paketfilter beslutar att släppa igenom ett paket baserat på den information som finns i IP och TCP eller UDP huvudet hos paketet. Ett paketfilter tittar endast på enskilda paket och inte på serier av paket. Detta gör att det är relativt lätt att lura dessa och genom att skicka spoofade paket med avsändaradress annan än ens egen kunna stoppa in paket i en befintlig TCP session mellan två andra datorer. Ett paketfilter kan filtrera paket beroende på avsändar eller destinationsadress, avsändar eller destinationsport och beroende på vilket transportlagerprotokoll som paketet består av (TCP eller UDP). Största anledningen till att välja en brandvägg med paketfilter är att de är oerhört snabba. De filtrerar oftast paket lika snabbt som en router och många routrar har enkla paketfilter inbyggda Paketfilter med stateful inspection En vidareutveckling av paketfiltren är paketfilter med stateful inspection. Denna utökning förbättrar säkerheten hos paketfiltret men behåller fortfarande den snabbhet som finns hos vanliga paketfilter. Ett paketfilter med stateful inspection håller reda på de olika nätverkssessioner som finns och när ett paket passerar slår det upp i en sessionstabell om paketet hör till en etablerad TCP session eller inte. En session måste 21

29 6 Nätsegmentering kopplas upp på ett korrekt sätt med ett så kallat SYN paket för att föras in i sessionstabellen annars kommer samtliga paket som följer efter att kastas. En session tas bort ur sessionstabellen om inga paket skickats inom en bestämd tid. För att förstå hur statful inspection fungerar på TCP/IP protokollet behöver man förstå hur TCP strömmar fungerar. Varje IP-paket som passerar en brandvägg är märkta med mål och källadress och mål och källport samt och ett antal identifieringsnummer såsom sekvensnummer och så kallade TCP flaggor. Allt detta gör att enskilda TCP/IP paket kan kopplas samman med en specifik TCP ström. En brandvägg med stateful inspection kan sedan kontrollera att en TCP session initieras innanför brandväggen och att kommunikationen följer det mönster som väntas. Ett exempel är när ett anrop efter en websida genomförs så sker detta alltid på ett liknande sett med handskakningspaket och GET kommandon från användarens dator. Endast om denna handskakning gått rätt till tillåts sedan serverns paket att passera in genom brandväggen till användarens dator. Stateful inspection kan även användas på UDP paket även om de inte har samma strikta definition på en session som TCP paket. Detta genom att tillåta UDP paket i vissa riktningar endast om de efterföljer ett UDP paket i den andra riktningen. Exempelvis kan ett program få tillåtelse att skicka UDP paket in till ett specifikt nät endast om ett korrekt UDP anrop kommit inifrån nätet tidigare Applikationsbrandvägg Dessa typer av brandväggar som även kallas för deep inspection brandväggar analyserar paketen som passerar bit för bit. De nöjer sig inte med att titta på endast IP eller TCP huvuden utan går igenom hela IP-paketet. Detta gör att dessa brandväggar kan se exakt till vilken applikation i nätet ett specifikt paket hör. Detta innebär ett ytterligare skydd mot de applikationer som körs i nätet. Som exempel kan dessa brandväggar rätt konfigurerade skydda mot en del bufferöverflödningsattacker genom att kasta paket som inte håller sig inom specifikationerna för den applikationsbuffer som de har som destination. Nackdelen med dessa brandväggar är att de är oerhört resurskrävande och därmed dyrare än paketfilter. De måste dessutom hållas uppdaterade så fort en ny applikation introduceras eller ändras i nätet. Ofta har dessa typer av brandväggar en stor databas med applikationer de gör sina uppslagningar mot. Denna databas hålls uppdaterad av brandväggstillverkaren och man är då beroende av denna då nya säkerhetshot upptäcks. 6.3 Brandväggsprodukter Idag finns det en stor mängd leverantörer av brandväggar. Till denna rapport har tre av de största tillverkarna valts ut och i detta kapitel presenteras den produktserie från respektive leverantör som är intressantast för segmentering av interna nät. 22

30 6 Nätsegmentering Cisco PIX Den serie brandväggar som levereras av Cisco heter PIX. Dessa brandväggar finns i varierande storlekar från små brandväggar som lämpar sig för mindre kontor till brandväggar som klarar trafikgenomströmning på flera gigabit per sekund avsedda för corenät hos stora företag. Ciscos brandväggar bygger till stor del på stateful inspection och har stöd för de flesta av de grundläggande tjänsterna hos brandväggar såsom VPN terminering och NAT. Hårdvaran som Ciscos PIX brandväggarna är byggda kring är standardprocessorer från Intel och AMD men man använder sig ändå av ett eget operativsystem som körs från flash minne. Detta ger ökad säkerhet jämfört med en mjukvarubrandvägg som körs under ett Unix eller Windows. En stor fördel med Cisco PIX är att de genast passar in i ett nät byggt på övrig Ciscoutrustning. Den kommandobaserade administrationen liknar till stor del IOS och brandväggarna passar även in i Ciscos övriga administratörsverktyg såsom CiscoWorks. ASA Grunden i PIX brandväggarna är Ciscos Adaptive Security Algorithm (ASA). Det är den algoritm som avgör om ett paket får passera brandväggen eller ej. ASA är Ciscos variant av en stateful inspection algoritm. För att identifiera TCP strömmar använder sig Cisco till största delen av det unika portpar mellan de två datorer som kommunikationen sker mellan. Detta portpar kallas socket och är hos servern en känd port som servertjänsten svarar på och en slumpmässig port hos klientdatorn. För att ytterligare öka säkerheten hos de paket som passerar brandväggen kan en PIX brandvägg utföra randomisering av de sekvensnummer som hör till paketen i varje TCP ström. När en TCP ström initieras ska båda parter komma överens om ett initialt värde på dessa sekvensnummer som skickas med varje paket. Många program är dock dåligt skrivna och börjar alltid på samma sekvensnummer vilket gör att det är lätt att gissa sig till ungefär vilket nummer som är aktuellt i TCP strömmen. Med ett korrekt gissat nummer är det sedan lättare att föra in spoofade paket i dessa TCP strömmar. Med PIX sekvensnummerrandomisering undviker man problemet. Säkerhetsnivåer De första brandväggarna hade till en början endast två olika nätinterface. Ett interface ut mot Internet och ett mot det interna nätet. Man tillät sedan i stort sett all trafik att gå från det interna nätet ut mot Internet och blockerade all Internettrafik in till det interna nätet. Cisco PIX kan konfigureras med en mängd interface vilket gör att det kan vara svårt att vet hur man vänt sin brandvägg. Varje interface konfigureras därför med en säkerhetsnivå som består av ett nummer mellan 0 och 100 där 0 står för ett nät man inte alls litar på och 100 står för ett nät man litar fullt på. Trafik kan sedan endast flöda från ett nät med högre säkerhetsnivå till ett nät med lägre säkerhetsnivå. Varje konfigurerat nät blir därmed definierat som osäkert eller säkert relativt de andra näten. Tillsammans med ASA definerar säkerhetsnivåerna hur brandväggen beter sig. Inga paket kan passera brandväggen utan att vara associerade med en session. Paket kan 23