Aσφάλεια ∆ικτύων Σηµείωση Το ΕΑΠ είναι υπεύθυνο για την επιµέλεια έκδοσης και την ανάπτυξη των κειµένων σύµφωνα µε τη Μεθο- δολογία της εξ Αποστάσεως Εκπαίδευσης. Για την επιστηµονική αρτιότητα και πληρότητα των συγγραµ- µάτων την αποκλειστική ευθύνη φέρουν οι συγγραφείς, κριτικοί αναγνώστες και ακαδηµαϊκοί υπεύθυνοι που ανέλαβαν το έργο αυτό. ΕΛΛΗΝΙΚΟ ΑΝΟΙΚΤΟ ΠΑΝΕΠΙΣΤΗΜΙΟ Σχολή Θετικών Επιστηµών και Τεχνολογίας Πρόγραµµα Σπουδών ΠΛHPOΦOPIKH Θεµατική Ενότητα ΠPOΣTAΣIA KAI AΣΦAΛEIA ΣYΣTHMATΩN YΠOΛOΓIΣTΩN Τόµος B' Aσφάλεια ∆ικτύων ΣΩΚΡΑΤΗΣ KΑΤΣΙΚΑΣ Kαθηγητής Tµήµατος Mηχανικών Πληροφοριακών και Eπικοινωνιακών Συστηµάτων Πανεπιστηµίου Aιγαίου ΠATPA 2001 ΕΛΛΗΝΙΚΟ ΑΝΟΙΚΤΟ ΠΑΝΕΠΙΣΤΗΜΙΟ Σχολή Θετικών Επιστηµών και Τεχνολογίας Πρόγραµµα Σπουδών ΠΛHPOΦOPIKH Θεµατική Ενότητα ΠPOΣTAΣIA KAI AΣΦAΛEIA ΣYΣTHMATΩN YΠOΛOΓIΣTΩN Τόµος B' Aσφάλεια ∆ικτύων Συγγραφή ΣΩKPATHΣ KATΣIKAΣ Kαθηγητής Tµήµατος Mηχανικών Πληροφοριακών και Eπικοινωνιακών Συστηµάτων Πανεπιστηµίου Aιγαίου Ακαδηµαϊκός Υπεύθυνος για την επιστηµονική επιµέλεια του τόµου ΠAYΛOΣ ΣΠYPAKHΣ Καθηγητής Tµήµατος Mηχανικών H/Y & Πληροφορικής Πανεπιστηµίου Πατρών Επιµέλεια στη µέθοδο της εκπαίδευσης από απόσταση AXIΛΛEAΣ KAMEAΣ Γλωσσική Επιµέλεια IΩANNHΣ ΓAΛANOΠOYΛOΣ Τεχνική Επιµέλεια EΣΠI EK∆OTIKH EΠE Καλλιτεχνική Επιµέλεια, Σελιδοποίηση TYPORAMA Συντονισµός ανάπτυξης εκπαιδευτικού υλικού και γενική επιµέλεια των εκδόσεων ΟΜΑ∆Α ΕΚΤΕΛΕΣΗΣ ΕΡΓΟΥ ΕΑΠ / 1997–2001 ISBN: 960–538–227–X Kωδικός Έκδοσης: ΠΛH 35/2 Copyright 2001 για την Ελλάδα και όλο τον κόσµο ΕΛΛΗΝΙΚΟ ΑΝΟΙΚΤΟ ΠΑΝΕΠΙΣΤΗΜΙΟ Οδός Παπαφλέσσα & Υψηλάντη, 26222 Πάτρα – Τηλ: (0610) 314094, 314206 Φαξ: (0610) 317244 Σύµφωνα µε το Ν. 2121/1993, απαγορεύεται η συνολική ή αποσπασµατική αναδηµοσίευση του βιβλίου αυτού ή η αναπαραγωγή του µε οποιοδήποτε µέσο χωρίς την άδεια του εκδότη. ¶ÂÚȯfiÌÂÓ· Πρόλογος 11 ............................................................................................................................................................................. K∂º∞§∞π√ 1 ∏ ·Ó¿ÁÎË ÚÔÛÙ·Û›·˜ ÙˆÓ ‰ÈÎÙ‡ˆÓ Σκοπός, Προσδοκώµενα αποτελέσµατα, Έννοιες κλειδιά, Eισαγωγικές παρατηρήσεις 15 .................................................................................................................................... 1.1 Η σηµασία των δικτύων 17 ......................................................................................................................... 1.1.1 H κοινωνία της πληροφορίας 17 ............................................................................................... 1.1.2 Tο ηλεκτρονικό εµπόριο 19 .......................................................................................................... 1.2 Eπιθέσεις που έµειναν στην ιστορία 23 ............................................................................................ Eισαγωγικές παρατηρήσεις 23 .................................................................................................................................... 1.2.1 O έλικας του διαδικτύου 24 .......................................................................................................... 1.2.2 Tο αυγό του κούκου 25 ..................................................................................................................... 1.2.3 Ένα απόγευµα µε τον Berferd 25 ............................................................................................. 1.2.4 To A & M University του Texas 27 ....................................................................................... 1.2.5 H περίπτωση του Kevin Mitnick 27 ...................................................................................... 1.2.6 Koινά χαρακτηριστικά των επιθέσεων 29 ........................................................................ 1.3 Tι σηµαίνει «Aσφάλεια δικτύων» 31 .................................................................................................. Σύνοψη 32 ................................................................................................................................................................................... Bιβλιογραφία 32 ..................................................................................................................................................................... K∂º∞§∞π√ 2 AÚ¯ÈÙÂÎÙÔÓÈ΋ AÛÊ¿ÏÂÈ·˜ ¢ÈÎÙ‡ˆÓ OSI Σκοπός, Προσδοκώµενα αποτελέσµατα, Έννοιες κλειδιά, Eισαγωγικές παρατηρήσεις 35 .................................................................................................................................... 2.1 Bασικές αρχές δικτύων 37 ........................................................................................................................... Eισαγωγικές παρατηρήσεις 37 .................................................................................................................................... 2.1.1 Στοιχεία δικτύων 38 ............................................................................................................................. 6 A™º∞§∂π∞ ¢π∫∆Àø¡ 2.1.2 Eπικοινωνίες 38 ....................................................................................................................................... 2.1.3 Πρωτόκολλα 40 ....................................................................................................................................... 2.1.4 Tο µοντέλο αναφοράς OSI 41 .................................................................................................... 2.2 Aπειλές 49 .................................................................................................................................................................. 2.3 Yπηρεσίες ασφάλειας στο µοντέλο OSI 51 .................................................................................. 2.3.1 Yπηρεσίες εξασφάλισης συνεχούς λειτουργίας 52 ................................................... 2.3.2 Yπηρεσίες προστασίας ακεραιότητας 52 .......................................................................... 2.3.3 Yπηρεσίες αυθεντικοποίησης 53 .............................................................................................. 2.3.4 Yπηρεσίες ελέγχου πρόσβασης 53 ......................................................................................... 2.3.5 Yπηρεσίες προστασίας εµπιστευτικότητας 53 ............................................................. 2.3.6 Yπηρεσίες υποστήριξης µη αµφισβήτησης 54 ............................................................. 2.3.7 Yπηρεσίες ασφάλειας στα επίπεδα OSI 54 ..................................................................... 2.4 Mηχανισµοί ασφάλειας στο µοντέλο OSI 58 .............................................................................. Eισαγωγικές παρατηρήσεις 58 .................................................................................................................................... 2.4.1 Kρυπτογράφηση 59 .............................................................................................................................. 2.4.2 Ψηφιακές υπογραφές 59 .................................................................................................................. 2.4.3 Έλεγχος πρόσβασης 59 ..................................................................................................................... 2.4.4 Aκεραιότητα δεδοµένων 60 .......................................................................................................... 2.4.5 Aνταλλαγή πληροφοριών αυθεντικοποίησης 60 ........................................................ 2.4.6 Συµπλήρωση κίνησης 61 ................................................................................................................. 2.4.7 Έλεγχος δροµολόγησης 61 .............................................................................................................. 2.4.8 Συµβολαιογράφος 61 ............................................................................................................................ 2.4.9 Σχέση µεταξύ υπηρεσιών και µηχανισµών 61 .............................................................. Σύνοψη 62 ................................................................................................................................................................................... Bιβλιογραφία 63 ..................................................................................................................................................................... ¶EPIEXOMENA 7 ∂º∞§∞π√ 3 AÚ¯ÈÙÂÎÙÔÓÈ΋ AÛÊ¿ÏÂÈ·˜ Internet Σκοπός, Προσδοκώµενα αποτελέσµατα, Έννοιες κλειδιά, Eισαγωγικές παρατηρήσεις 65 .................................................................................................................................... 3.1 To µοντέλο του Internet 67 .......................................................................................................................... 3.1.1 To επίπεδο προσπέλασης δικτύου 67 .................................................................................... 3.1.2 Tο επίπεδο Internet 68 ....................................................................................................................... 3.1.3 To επίπεδο µεταφοράς 73 ............................................................................................................... 3.1.4 To επίπεδο εφαρµογής 76 ............................................................................................................... 3.2 Πρωτόκολλα ασφάλειας επιπέδου Internet 79 ............................................................................ 3.2.1 Tα πρώτα πρωτόκολλα 79 .............................................................................................................. 3.2.2 H οµάδα εργασίας IPSEC της Internet Engineering Task Force 80 ........... 3.2.3 Eπισκόπηση της αρχιτεκτονικής 81 ....................................................................................... 3.3 Πρωτόκολλα ασφάλειας επιπέδου µεταφοράς 88 .................................................................... 3.3.1 Tα πρώτα πρωτόκολλα 88 .............................................................................................................. 3.3.2 Το πρωτόκολλο Secure Shell 88 ............................................................................................... 3.3.3 Το πρωτόκολλο SSL/TLS 90 ....................................................................................................... Σύνοψη 94 ................................................................................................................................................................................... Bιβλιογραφία 95 ..................................................................................................................................................................... K∂º∞§∞π√ 4 AÛÊ¿ÏÂÈ· ÛÙÔ E›Â‰Ô EÊ·ÚÌÔÁ‹˜ Σκοπός, Προσδοκώµενα αποτελέσµατα, Έννοιες κλειδιά, Eισαγωγικές παρατηρήσεις 98 .................................................................................................................................... 4.1 Telnet 100 ................................................................................................................................................................... 4.1.1 Secure RPC Authentication 100 ............................................................................................... 4.1.2 Secure Telnet 101 ................................................................................................................................... 4.2 Hλεκτρονικό ταχυδροµείο 102 ................................................................................................................. 4.2.1 Privacy enhanced mail 104 ............................................................................................................ 8 A™º∞§∂π∞ ¢π∫∆Àø¡ 4.2.2 Pretty good privacy 107 ................................................................................................................... 4.2.3 S/MIME 108 ............................................................................................................................................... 4.3 Συναλλαγές WWW 113 .................................................................................................................................. 4.3.1 To πρωτόκολλο S–HTTP 113 ...................................................................................................... 4.3.2 Aρχιτεκτονική επέκτασης ασφάλειας 115 ........................................................................ 4.3.3 Aσφάλεια κινητού κώδικα 115 .................................................................................................. 4.3.4 Aσφάλεια Java 116 ............................................................................................................................... 4.3.5 Aνωνυµία και ιδιωτική ζωή 117 ................................................................................................ 4.3.6 Προστασία πνευµατικής ιδιοκτησίας 119 ......................................................................... 4.4 Συστήµατα ηλεκτρονικών πληρωµών 126 ..................................................................................... 4.4.1 Hλεκτρονικό χρήµα 128 ................................................................................................................... 4.4.2 Hλεκτρονικές επιταγές 131 ........................................................................................................... 4.4.3 Πληρωµές µε πιστωτικές κάρτες 133 ................................................................................... 4.4.4 Mικροπληρωµές 138 ........................................................................................................................... 4.5 Aσφάλεια EDI 142 .............................................................................................................................................. 4.6 ∆ιαχείριση δικτύων 146 ................................................................................................................................. 4.6.1 Πρότυπα διαχείρισης OSI 146 .................................................................................................... 4.6.2 Πρότυπα διαχείρισης Internet 147 .......................................................................................... Σύνοψη 154 ................................................................................................................................................................................ Bιβλιογραφία 155 .................................................................................................................................................................. K∂º∞§∞π√ 5 °ÂÓÈÎÂ˘Ì¤Ó· ™˘ÛÙ‹Ì·Ù· AÛÊ¿ÏÂÈ·˜ EÊ·ÚÌÔÁÒÓ Σκοπός, Προσδοκώµενα αποτελέσµατα, Έννοιες κλειδιά, Eισαγωγικές παρατηρήσεις 157 ................................................................................................................................ 5.1 Συστήµατα αυθεντικοποίησης σε κατανεµηµένα υπολογιστικά περιβάλλοντα 159 ................................................................................................................................................ 5.1.1 Kerberos 160 .............................................................................................................................................. 5.1.2 NetSP 162 ..................................................................................................................................................... ¶EPIEXOMENA 9 5.1.3 SPX 165 ........................................................................................................................................................... 5.1.4 TESS 167 ...................................................................................................................................................... 5.1.5 SESAME 168 ............................................................................................................................................ 5.2 ∆ικτυακά αναχώµατα 171 ............................................................................................................................ 5.2.1 Xαρακτηριστικά αναχωµάτων 172 ......................................................................................... 5.2.2 Tύποι αναχωµάτων 175 .................................................................................................................... 5.2.3 ∆ιαµορφώσεις αναχωµάτων 180 .............................................................................................. 5.3 Συστήµατα αναγνώρισης εισβολών 185 .......................................................................................... 5.3.1 Mοντέλα ανίχνευσης εισβολών 186 ...................................................................................... 5.3.2 Tεχνολογίες συστηµάτων ανίχνευσης εισβολών 189 ............................................. 5.3.3 Tα χαρακτηριστικά ενός καλού συστήµατος ανίχνευσης εισβολών 196 ............................................................................................................... Σύνοψη 199 ................................................................................................................................................................................ Bιβλιογραφία 200 .................................................................................................................................................................. Eπίλογος 201 ............................................................................................................................................................................ Απαντήσεις ασκήσεων αυτοαξιολόγησης 203 ............................................................................................ Aπαντήσεις δραστηριοτήτων 211 .......................................................................................................................... Bιβλιογραφικές προτάσεις 239 ................................................................................................................................. Γλωσσάριο 243 ...................................................................................................................................................................... ¶ÚfiÏÔÁÔ˜ Άρχισα να ασχολούµαι ερευνητικά µε το αντικείµενο της ασφάλειας δικτύων γύρω στο 1995, εξετάζοντας θέµατα κυρίως σχετικά µε ταυτοποίηση και αυθεντικοποίη- ση σε κατανεµηµένα περιβάλλοντα και σχετικά µε τις υποδοµές δηµόσιου κλειδιού. Το καλοκαίρι του 1996 ανέλαβα καθήκοντα Προέδρου της Οµάδας Εργασίας για την Ασφάλεια ∆ικτύων (Working Group 11.4 on Network Security) της Τεχνικής Επι- τροπής 11 για την Ασφάλεια Πληροφοριακών και Επικοινωνιακών Συστηµάτων (Technical Committee 11, Information and Communication Systems Security) της ∆ιεθνούς Οµοσπονδίας Επεξεργασίας Πληροφοριών (International Federation for Information Processing). Στην οµάδα εργασίας συµµετείχαν όλα τα σήµερα γνωστά ονόµατα στο χώρο ασφάλειας δικτύων, όπως ο Gene Spafford (προηγούµενος Πρό- εδρος), o Rolf Oppliger, o Gene Schultz κ.ά. Έκπληξη, λοιπόν, µεγάλη µού προξέ- νησε το γεγονός ότι ένα από τα πρώτα ζητήµατα που τέθηκαν προς συζήτηση στην οµάδα εργασίας ήταν το «τι ακριβώς είναι και τι δεν είναι η ασφάλεια δικτύων». Σήµερα, παρ’ όλες τις ραγδαίες εξελίξεις στον τοµέα, φοβάµαι ότι το ερώτηµα εκεί- νο παραµένει –µερικώς τουλάχιστον– αναπάντητο. Το βιβλίο που κρατάτε αντικατοπτρίζει τη δική µου άποψη (και άλλων φυσικά) για το τι είναι και πώς πρέπει να παρουσιάζεται στους φοιτητές η ασφάλεια δικτύων. Η δοµή αυτή της ύλης και ο τρόπος παρουσίασής της µε βάση τα επίπεδα του µοντέ- λου αναφοράς OSI έχει δοκιµαστεί διδακτικά από µένα µόνο σε εντατικά µαθήµα- τα µεταπτυχιακού επιπέδου, µε πολύ καλά αποτελέσµατα. Ελπίζω η επιλογή αυτή να δικαιωθεί και από τη χρήση της στο βιβλίο αυτό του ΕΑΠ. Το βιβλίο είναι δοµηµένο σε πέντε κεφάλαια. Στο πρώτο, εισαγωγικό, κεφάλαιο θεµε- λιώνεται η ανάγκη για προστασία των πληροφοριών που διακινούνται µέσω δικτύων, καθώς και των ίδιων των δικτύων. Η προσέγγιση είναι διπλή: Από τη µια, παρουσιά- ζεται η έκταση και η σηµασία της ύπαρξης δικτύων στη σηµερινή κοινωνία και, από την άλλη, γνωστά παραδείγµατα επιθέσεων κατά πληροφοριακών συστηµάτων που εκδηλώθηκαν µέσω δικτύων. Ως εισαγωγικό κεφάλαιο θεωρείται µικρής δυσκολίας. Το πρώτο µέρος του δεύτερου κεφαλαίου έχει σκοπό να θυµίσει µάλλον, παρά να διδάξει, στον αναγνώστη µερικές βασικές αρχές δικτύων, ώστε να γίνει πιο εύκολη η παρακολούθηση του υπόλοιπου βιβλίου. Το δεύτερο µέρος του κεφαλαίου εισάγει τον αναγνώστη στην ασφάλεια δικτύων σύµφωνα µε το µοντέλο αναφοράς OSI. Θα χαρακτήριζα και το κεφάλαιο αυτό ως µικρής ή το πολύ µέτριας δυσκολίας. Ωστό- σο, προσοχή πρέπει να δοθεί στο να κάνει κτήµα του ο αναγνώστης τις νέες έννοι- ες που παρουσιάζονται στο κεφάλαιο αυτό. 12 A™º∞§∂π∞ ¢π∫∆Àø¡ Μετά τη συζήτηση του µοντέλου OSI ακολουθεί, στο τρίτο κεφάλαιο, η γνωριµία µας µε τα πρωτόκολλα ασφάλειας των επιπέδων Internet και µεταφοράς του µοντέ- λου Internet. Η ύλη του κεφαλαίου είναι τεχνική, αλλά όχι ιδιαίτερα δύσκολη. Στο τέταρτο κεφάλαιο αναφερόµαστε σε πρωτόκολλα και συστήµατα ασφάλειας στο επίπεδο εφαρµογής. Το κεφάλαιο περιγράφει πρωτόκολλα ασφαλούς προσπέλασης τερµατικού από απόσταση, πρωτόκολλα ασφαλούς ηλεκτρονικού ταχυδροµείου, πρωτόκολλα ασφαλών συναλλαγών WWW και συναφή θέµατα, συστήµατα ηλε- κτρονικών πληρωµών, ασφαλείς συναλλαγές EDI και, τέλος, συστήµατα ασφαλούς διαχείρισης δικτύων. Η έκταση του κεφαλαίου αυτού είναι ασυνήθιστα µεγάλη. Επει- δή όµως τα θέµατα που προσεγγίζουµε είναι πολύ διαφορετικά µεταξύ τους, δεν είναι καθόλου απαραίτητο να µελετήσετε όλο το κεφάλαιο µε µιας. Αντίθετα, θα συνι- στούσα η µελέτη σας να γίνει ανά ενότητα. Στο πέµπτο και τελευταίο κεφάλαιο ασχολούµαστε µε τη δεύτερη επιλογή παροχής υπηρεσιών ασφάλειας στο επίπεδο εφαρµογής, δηλαδή µε τη χρήση γενικευµένων συστηµάτων ασφάλειας. Γνωρίζουµε τρεις κατηγορίες τέτοιων γενικευµένων συστη- µάτων: τα συστήµατα αυθεντικοποίησης σε κατανεµηµένα υπολογιστικά περιβάλ- λοντα, τα δικτυακά ηλεκτρονικά αναχώµατα και τα συστήµατα ανίχνευσης εισβο- λών. Τα θέµατα αυτά είναι από τα πιο δηµοφιλή στο χώρο της ασφάλειας δικτύων και αποτελούν αντικείµενα έντονης ερευνητικής δραστηριότητας. Έτσι, ο βαθµός δυσκολίας τους είναι κάπως αυξηµένος. Πάντα µού ήταν δύσκολο να γράψω το κοµµάτι εκείνο του προλόγου στο οποίο οι συγγραφείς συνηθίζεται να ευχαριστούν αυτούς που τους βοήθησαν στο συγγραφικό τους έργο. Η δυσκολία µου πηγάζει από το ότι µου είναι σχεδόν αδύνατον να τους εντοπίσω όλους, αφού το βιβλίο που κρατάτε στα χέρια σας είναι µεν το αποτέλεσµα της δικής µου συγγραφικής δουλειάς, αλλά αυτή είναι, µε τη σειρά της, το αποτέλε- σµα µιας µακρόχρονης διαδικασίας καθορισµού και σχηµατισµού της γνώσης µου, της σκέψης µου αλλά και της γενικότερης προσωπικότητάς µου, διαδικασία στην οποία έχουν συντελέσει –άλλος πολύ άλλος λιγότερο– πάρα πολλοί άνθρωποι. Αφού όµως δεν είναι δυνατόν να τους ευχαριστήσω όλους αυτούς, θα περιοριστώ να ευχα- ριστήσω την Οµάδα Εκτέλεσης Έργου του ΕΑΠ για τη µεθοδική τους δουλειά και τις εύστοχες παρατηρήσεις και υποδείξεις τους κατά τη συγγραφή του βιβλίου αυτού. Επίσης, ευχαριστώ όλους τους φοιτητές της σειράς των θερινών σχολείων Intensive Programme on Information and Communication Systems Security (Βιέννη 1998, Χίος 1999, Στοκχόλµη 2000) για την αποφασιστική τους συµβολή στη διαµόρφωση του τρόπου παρουσίασης του υλικού του βιβλίου. Το συνεργάτη µου, υποψήφιο διδά- κτορα του Τµήµατος Πληροφορικής του Οικονοµικού Πανεπιστηµίου Αθηνών και