IP hálózatbiztonság megvalósítása új generációs ASIC alapú gerincroutereken
Tóth Péter Zoltán, Siemens Rt. Információs és
Kommunikációs Hálózatok
Bevezető
A szolgáltatói IP routerek legújabb generációja erős ASIC (Alkalmazás-specifikus integrált áramkör) támogatással kerül piacra. Az ASIC alapú tervezés előnyei a nagyobb kapacitásban, a magasabb port-sűrűségben, a nagyobb megbízhatóságban, a gazdagabb szolgáltatás készletben rejlenek. Jelen előadás azt mutatja be, hogy az ASIC alapú architektúra milyen előnyöket hordoz a hálózatbiztonság szempontjából.
"Denial of Service" támadások általánosak az Interneten. Az utóbbi időben fokozódott a routerekre és más hálózati elemekre irányuló támadások száma, ami a nyilvános szolgáltatói hálózatok biztonsági kérdéseire irányította a hálózati szakemberek figyelmét. A DoS támadások közös jellemzője, hogy a hálózatokat képtelenné teszik valamilyen elvárható szolgáltatás nyújtására vagy megfosztanak felhasználókat valamilyen szolgáltatás igénybevételétől.
Növekvő veszély
Az utóbbi
években tapasztalható támadási statisztikák jelentős felfutása és számos
egyéb körülmény hatására egyre inkább előtérbe kerülnek a kommunikációs
hálózatok biztonsági kérdései. Kormányzati oldalaktól, on-line brókercégeken és
bankokon keresztül, politikai szervezetekig mindenki az Internet irányából
növekvő veszéllyel néz szembe. A nemzetközi terrorizmus
előretörésével párhuzamosan a védelmi és a kormányzati portálok, szerverek
kiemelten veszélyeztetettek. A nagyobb web-helyek, hálózatok ellen hackerek
indítanak DoS támadásokat. Bárki aki a figyelem középpontjában van, a hackerek
áldozatává válhat. Valójában bármely hálózat lehet célpont és bárki, aki üzleti
folyamataiban az Internetet használja, rosszindulatú támadás áldozatául eshet.
A legfrissebb
statisztikai adatok aggodalomra adnak okot. A Computer Emergency Response Team
(CERT) az utóbbi évtizedben a támadások számában exponenciális növekedést
regisztrált. Egy nemrég megjelent tanulmány egy három hetes időintervallum
alatt 12000 külön támadást regisztrált 5000 különböző internetes hely
ellen. Szemben a korai Ethernet snifferekel és a számítógépes login
képernyőt emuláló programokkal szemben, a mai támadások már jóval
kifinomultabbak. A férgek (worms) elég okosak ahhoz, hogy egyszerre
többfajta technikákat használjanak távoli gépek lokalizálásához és
megfertőzéséhez. Elosztott DoS támadások zombikból indíthatók,
amelyek csöndben várnak számítógépek tízezrein, hogy egy adott jelre
aktivizálják magukat.
Mindezek
eredményeképpen számos komoly incidens történt. Olyan jelentős site-ok,
mint a Microsoft, Yahoo, vagy eBay órákig elérhetetlenek voltak. Egy
szigetországi Internetszolgáltató kénytelen volt végleg felfüggeszteni
tevékenységét. Egy felmérés becslése szerint ezen incidensek és a vállalkozások
által nem publikált esetek, mintegy 300 milliárd dollár kárt okoznak évente. Az
esetek túlnyomó többsége azonban eltusolva marad. Számos esetben a cégek
hírnevüket féltik, ezért nem hozzák nyilvánosságra rendszereikbe történt
illetéktelen behatolásokat.
A hálózatbiztonság fajtái
A
hálózatbiztonságnak számos területe van. Az eszközökhöz történő fizikai
hozzáférés korlátozása azt a nyilvánvaló tényt jelenti, hogy a hálózati
biztonság alapeleme az, hogy csak az arra illetékes személyek juthatnak be az
eszközök elhelyezésére szolgáló üzemeltetői helységekbe. Magától
értetődő, hogy a szolgáltatói infrastruktúra hálózati eszközei védett
helyen kerülnek telepítésre.
Ha egy operációs
rendszer önmagában nem biztonságos, akkor az óvatos konfiguráció biztonsági
szempontból már hiábavaló. Ez felveti az operációs rendszerek védelmi képességeinek
kérdését. A biztonsági szempontoknak egy robusztus biztonsági képességekkel
rendelkező operációs rendszer felel meg. Ez mérnöki tervezés kérdése.
Jellemzően a kevésbé strukturált, monolitikus kódolású, nehezen
karbantartható operációs rendszerek sebezhetőbbek.
A konfigurációs
biztonság azt jelenti, hogy a router operációs rendszerében rejlő
biztonsági képességeket az üzemeltető megfelelő szinten alkalmazza.
Ha ezeket az eszközöket nem, vagy nem megfelelően alkalmazzuk, akkor a
router könnyen sebezhetővé válik. Ezen belül beszélhetünk a routerekhez
való hozzáférés védelméről, a routing protokollok biztonsági
képességeiről, illetve akár magának a routing engine-nek a
védelméről. Szintén szükséges olyan biztonsági auditok elvégzése, amelyek
során a biztonság megsértésére irányuló tevékenység kerül monitorozásra.
Az előadás
- további részében - a forgalmi biztonság kérdéseivel és
megvalósíthatóságával foglalkozik részletesen. A forgalmi biztonság alatt a
hálózati adatforgalom zavartalanságának biztosítását értjük. A kérdés az, hogy
a hálózati eszközök képesek-e kivédeni az olyan támadásokat, amelyek az általuk
nyújtott szolgáltatás megszakítására vagy minőségének rontására
irányulnak.
"Denial of Service" támadások
A "Denial of
Service" (DoS) kifejezés szolgáltatásmegtagadást jelent. Olyan támadásokról
van szó, amelyek a hálózat valamely erőforrását destruktív szándékkal
igénybe veszik, lefoglalják és ezáltal a hálózat által nyújtott szolgáltatás
szintje degradálódik, végső esetben a hálózat megtagadja a szolgáltatás
nyújtását. A DoS támadó célja tehát nem illegális hozzáférés nyerése, hanem más
jogos felhasználók akadályozása a szolgáltatás igénybevétele során.
A DoS
támadásoknak számos fajtája van és ezeket számos különböző szempont
szerint lehet csoportosítani. Lehet például aszerint, hogy egy támadás egy
TCP/IP protokoll szabványos sajátosságait használja-e ki vagy egy bizonyos
szállító szoftverében rejlő sajátosságokat, védelmi réseket. Esetleg a
támadás egy erőforrást eláraszt (flood) vagy egy viszonylag kis
számú ügyesen összeállított csomaggal bombázva ér el kellően negatív
hatást. Fontos további szempont, hogy a támadás milyen erőforrást támad,
köt le: processzor-ciklust, buffert, sávszélességet, stb.
Az összes DoS
támadás felsorolása meghaladja az előadás kereteit. Rendszeresen újabb és
újabb technikák születnek és terjednek el, ezért szinte lehetetlen egy
naprakész listát bemutatni. A következőkben a DoS támadások alapvető
működési mechanizmusai és az azok elleni védekezési lehetőségek
kerülnek ismertetésre.
SYN áradat
A DoS támadások
egyik legalapvetőbb fajtája a SYN áradat (SYN flood), amely a TCP
kapcsolat-felépítési mechanizmusát használja a cél erőforrásainak lekötése
érdekében. Vizsgáljuk meg először, hogyan épül fel egy TCP kapcsolat. Az
első ábra egy TCP kapcsolat-felépítést mutat. A kliens elküld egy SYN
üzenetet a szervernek, amely egy kérés egy bizonyos erőforrás számára
(telnet, FTP, stb.) Ha az erőforrás rendelkezésre áll, akkor azt
lefoglalja és küld egy SYN-ACK visszaigazolást. Erre a kliens küld egy ACK
visszaigazolást és a kapcsolat felépült.
Ezzel szemben SYN
áradat esetén a támadó meghamisított forrás címmel küldi el a SYN üzenetet.
A szerver lefoglalja az erőforrást és a meghamisított címre küldi a
SYN-ACK választ, vár az ACK visszaigazolásra, ami azonban nem érkezik meg.
Önmagában egy ilyen "félig-nyitott" állapot nem okoz kárt a szervernek, de ha a
támadó a szervert elárasztja hamisított forrás címmel rendelkező SYN
üzenetekkel, akkor a szerver addig folytatja a erőforrások lefoglalását,
amíg a jóindulatú felhasználók számára már nem marad szabad erőforrás.
Végső soron az eszköz elérhetetlenné válik és ezzel a támadó elérte
célját.
ICMP áradat
Az ICMP
áradat támadás során a támadó megkísérli elárasztani a célpontot és annak
access linkjét ICMP üzenetekkel. Az egyik legnépszerűbb ICMP áradat
a Smurf, nevét egy programról kapta. A Smurf közvetítő
eszközöket használ az általa okozott terhelés sokszorozása érdekében.
A második ábra
a Smurf működését mutatja be. A támadó kijelöl egy célpontot és egy
közvetítő csoportot, amely egy hálózaton vagy egy alhálózaton helyezkedik
el. A támadó egy ICMP Echo request csomagot küld a közvetítő
hálózat broadcast címére. Az ábrán a közvetítő alhálózat a 172.16.5.0/24,
tehát a broadcast cím a 172.16.5.255. Az Echo request-ben szereplő
forrás cím hamísított: nem a támadóé, hanem a célponté. A közvetítő
alhálózat minden eszköze, aki az ICMP Echo request-et fogadja, küld egy Echo
reply válasz üzenetet a célpont címére.
A Smurf
támadások előszeretettel választanak nagy számú host-ot tartalmazó
alhálózatokat, hogy maximalizálják az elérni kívánt hatást. Ha nagy számú ICMP
Echo reply üzenet próbálja meg egyszerre elhagyni az alhálózatot, akkor annak
routere tapasztalja a probléma jelentős részét, nemcsak a célpont. Ezért
mind a közvetítő hálózat, mind pedig a célpont áldozata a támadásnak.
UDP áradat (fraggle)
A fraggle
hasonlít a smurf-höz. A különbség pusztán annyi, hogy UDP echo
request-eket használ az ICMP helyett. A fraggle leggyakrabban egy diagnosztikai
portot céloz meg. Ha a port nyitva van, akkor a közvetítő hálózat
diagnosztikai üzeneteket küld szét. Ha a port nincs nyitva, akkor a
közvetítők ICMP Port unreachable üzeneteket küldenek a célpontnak.
A fraggle azért hatékony, mert a közvetítő eszközök mindenképpen
küldenek üzenetet, akár nyitva van a port akár nem. Ezért az ellenük való
védekezésben a szűrőket inkább a közvetítő hálózat előtt
kell elhelyezni, mint a célpont előtt.
UDP áradat (chargen és echo)
Bármelyik UDP
diagnosztikai szolgáltatás kiaknázható, amelyik output-ot generál. A karakter
generáló szolgáltatás a 19-es UDP portot használja, az Echo szolgáltatás
pedig a 7-es UDP portot.
Amikor egy UDP
csomagot küldünk a chargen portra, a fogadó eszköz egy ASCII
karaktersorozattal válaszol. Az UDP echo service hasonló az ICMP echo
service-hez. A LAN környezetet kivéve általában nincs szükség az UDP
diagnosztikai szolgáltatásaira, ezért ezekre a portokra nyugodtan lehet
szűrőket alkalmazni.
Elosztott DoS támadások
A smurf-höz
hasonló támadásokat sokszorozott támadásoknak (amplifier attacks) is hívják,
mert köztes hálózatokat használnak a célponthoz küldött csomagok számának
megsokszorozása érdekében. Az elosztott DoS támadások ezt a koncepciót tovább
viszik. Ők nemcsak a végrehajtók (agents) installálását és indítását
automatizálják, hanem több vezérlőt
(controlling agent) is telepítenek. A legismertebb elosztott DoS
támadások a Tribe Flood Netowrk (TFN), a TFN2K, a Stacheldraht,
a Trinoo, a Shaft és az Mstream. A támadás azzal
kezdődik, hogy a kliens nagy számú rendszert pásztáz végig ismert biztonsági
rések után kutatva. Amikor elegendő számú sebezhető rendszert talált,
akkor elkezdi a mester és démon programok telepítését vezérlő és
végrehajtó funkciójú eszközökre. A kliens program a vezérlőkre installált
mestereket felügyeli, amelyek végső soron a végrehajtókra telepített
démonokat vezérlik. Ezek a démonok hajtják végre a piszkos munkát.
Az elosztott
DoS támadások jobban elfedik a támadó kilétét, ezért nehezebb ellene védekezni.
A kliens és a vezérlő közötti kommunikáció gyakran kódolt ezért a támadás
észlelése ezen a ponton nehézkes. Az elosztott DoS támadás típustól
függően az előbbiekben felsorolt DoS támadások közül egyet vagy
többet is alkalmazhat. (A Stacheldraht például TCP SYN, ICMP és UDP áradatokat
indít a smurf-ön felül). Az elosztott DoS támadások rendkívül hatékonyak,
masszívan elárasztják csomagokkal a cél-rendszert.
Védekezési módszerek
A
következőkben olyan módszerek kerülnek bemutatásra, amelyekkel a DoS
támadások kivédhetők. A felsorolás a legalapvetőbb megoldás-elemeket
sorolja fel a teljesség igénye nélkül.
Hamis forráscím szűrés
A forráscím
meghamisítása a DoS támadások alapvető eleme, mivel elrejti a támadó
kilétét. Szerencsére a hamisított címeket könnyű kiszűrni. A Juniper
megoldása "route-filter"-eket használ. Ezeknek kettős célja van:
egyrészt védi az ügyfél hálózatát a hamis forráscímmel rendelkező
csomagoktól, másrészt a szolgáltató hálózatába sem engedi az ügyfél hálózata
irányából érkezett hamis forráscímmel érkező csomagokat. Ezenkívül az RFC
1918 alá eső privát IP címeket is ki kell szűrni a célcímek közül. Az
ilyen címek továbbítása domain-határokon keresztül tiltva van és hibára vagy
rossz szándékra utal.
Broadcast korlátozása
A Juniper
routerek alapértelmezésben nem továbbítanak irányított broadcast csomagokat a
közvetlen alhálózatokra (directly connected subnet). Ez a viselkedés
megfelel az RFC 2644-nek és védelmet nyújt a közvetítőkön keresztül
történő támadások ellen, mivel blokkolja a célhelyre irányuló direkt
broadcast-ot, valamint a közvetítőktől származó direkt broadcast-ot.
Jelentősebb kihívás annak kivédése, hogy az ügyfél hálózatában lévő
eszközök közvetítőkké váljanak. Hamis forráscímek szűrése - amely
valószínűleg a támadás egyik eleme - hasznos lehet. ICMP, UDP és TCP
csomagok sávszélesség-korlátozása szintén hatásos lehet. Ezek a
következőkben kerülnek bemutatásra.
ICMP szűrők
A legtöbb ICMP
üzenetnek csak a helyi hálózaton van jelentősége, ahol generálódik. Ezért
a legtöbb ICMP üzenet, ami el kívánja hagyni az ügyfél hálózatát vagy oda be
kíván jutni kiszűrhető minden különösebb gond nélkül. Bizonyos ICMP
üzenetek, mint például az Echo vagy az Echo reply lényegesek vagy
lényegtelenek lehetnek az ügyfél számára, attól függően hogy az ügyfél
kíván-e pingelni vagy pingelhető lenni. Bizonyos esetekben hasznos lehet
korlátozni a pingelést.
TCP és UDP szűrők
A TCP és UDP
forgalom alapvető jelentőségű az Internet forgalom
szempontjából. Ezen forgalom agresszív szűrése olyan nem kívánt
jelenségekhez vezethet, amelyek maguk is DoS jellegű hatásokat
eredményezhetnek. Szűrők alkalmazása előtt egy megfelelően
hosszú időtartam alatt monitorozni kell a forgalmat és ebből kell
megállapítani a forgalom jellegzetességeit: milyen portok vannak használatban.
Ezután olyan szűrőket kell létrehozni amelyek ezt a forgalmat átengedik,
a többit pedig kiszűrik. Különösen fontos a helytelenül használt a TCP
SYN, ACK megfelelő blokkolása.
Sávszélesség korlátozás
Az
előzőek alapján nyilvánvaló, hogy a TCP és UDP forgalmak
kiszűrése számos kedvezőtlen mellékhatással járhat. A legtöbb DoS
támadás megpróbálja elárasztani a célpontot valamilyen csomagtömeggel.
Ahelyett, hogy valamilyen csomagtípust megpróbálunk teljesen kiszűrni,
elégséges csupán az adott forgalom mennyiségének felső határt szabni.
Például az ICMP forgalom szűrése megoldható úgy, hogy a hibaüzenetek és a
ping-ek akadálytalanul átmehetnek. Ha azonban elérnek egy bizonyos
(sávszélességbeli) határt, akkor már nem kerülnek áteresztésre. Ez a határ
jelentősen alacsonyabb, mint az adott link sávszélessége. Így a hibás vagy
rosszindulatú forgalmak csak korlátozott mértékben befolyásolhatják az átviteli
kapacitást. Természetesen a sávszélesség-korlát beállításánál megfelelő
körültekintéssel kell eljárni.
Számlálás és naplózás
A hamis
forráscímek szűrése, a direkt broadcast célú csomagok eldobása és a
sávszélesség-korlátozás a leghatásosabb eszközök a DoS támadások elleni
védekezésben. Nemcsak a támadások kivédése, hanem azok azonosítása és a forrás
feltérképezése is fontos feladat. A számlázás és a naplózás ebben segít,
megvalósításához csak egy kulcsszót kell hozzáadni a konfigurált
szűrőkhöz. Bizonyos esetekben a teljes szűrés, illetve a
sávszélesség-korlátozás nem elfogadható az ügyfél számára. Ilyenkor a
szűrőket nem csomageldobásra, hanem csak számlálásra és naplózásra
konfiguráljuk. Az így keletkező adatokat scriptek értékelik ki és
támadás észlelésekor a támadó csomagok eldobását megvalósító szűrők
kerülnek aktiválásra.
Az ASIC szerepe a védekezésben
Az eredetileg
magánhálózati célra tervezett berendezések alapvetően nem tartalmaztak
biztonsági követelményeket. A biztonság a magánhálózatokban általában külön
berendezésekkel, tűzfalakkal kerül megvalósításra. Ennek eredményeképpen
számos magánhálózati router nem tartalmazott semmilyen szűrési funkciót
vagy a kínált képességek alacsony teljesítményt nyújtottak.
A szolgáltatói
routerek peering pontokon, ügyfélforgalom-gyűjtő pontokon, a
gerincben vagy hosting helyeken kerülnek telepítésre, ahol az ipar által
általánosan elfogadott megelőzési technikák gyakorlatilag használhatatlanok.
A támadó csomagok például az edge-en könnyedén bekerülnek a hálózatba és
rontják az ügyfél hálózati kapcsolatának teljesítményét.
A gerinc
szintén ki van téve támadásoknak. Magas hamisított forgalom megbonthatja a
gerinc stabilitását. A peering pontokon a forgalomkorlátozás eldobásokat
eredményezhet, vevői elégedetlenséget okozhat. A hosting központokban a
kellő teljesítmény hiányában szűrők bekapcsolása szintén
csomagvesztéshez vezethet csökkentve ezáltal az áteresztőképességet.
Az elmaradott
technológia alkalmazása révén a teljesítmény és a szolgáltatások közötti
folyamatos küzdelemben kompromisszumok megkötésére kényszerülnek a
szolgáltatók, hálózatüzemeltetők. A Juniper koncepciójában a hálózati
biztonság nem képezi kompromisszum tárgyát.
Minden Juniper
Networks M/T sorozató router az Internet Processor II-vel van kiépítve. Az
integrált hardverrel támogatott tűzfal megoldás előnye, hogy a
szűrő logikai bonyolultságának növekedésével a router csomagtovábbító
képessége nem csökken. CPU alapú routerek esetében a szűrők számának
növekedése drasztikus csomagtovábbító-képesség csökkenést eredményez, ami
kompromisszumok megkötésére kényszeríti a hálózat üzemeltetőjét: "teljesítmény
vagy biztonság". A Juniper megoldásában az Internet ASIC nem az interfész
kártyákon helyezkedik el, ezért a tűzfal szolgáltatások bármelyik fizikai
interfészen megkötöttségek nélkül vehetők igénybe.
Az Internet
Processor II ASIC segítségével lehetővé válik tetszőleges mintájú
csomagok mintavételezése, újraroute-olása, eldobása, monitorozása és
sávszélesség-korlátozása. Ez a képesség kivételesen nagy terhelés mellett is
teljesítménycsökkenés nélkül működik. Így lehetővé válnak
megelőző intézkedések, mint például ICMP sávszélesség-korlátozás
alkalmazása, vagy forráscím ellenőrzés, loopback szűrés annak
érdekében, hogy a hálózatüzemeltető saját és ügyfelei hálózatát
folyamatosan védje. Szűrők aktiválása nem jár forgalomkieséssel vagy
átviteli kapacitáscsökkenéssel.
A Juniper Networks és a Siemens
A Juniper
Networks 1996-ban jött létre a szolgáltatói hálózatok által támasztott
legszigorúbb követelményeknek megfelelő routerek fejlesztésére. Az
alkalmazott csúcstechnológia és az átgondolt architektúra révén rövid idő
alatt a világ legnagyobb hálózatait üzemeltető cégek vezető
szállítójává vált. 2002-ben a Siemens tulajdonában lévő Unisphere Networks
felvásárlásával stratégiai együttműködési szerződést kötött a Siemens
Információs és Kommunikációs Hálózatok ágazatával. A Siemens 10%-os
részesedéssel rendelkezik a Juniper Networks-ben, számos közös fejlesztési
projektben vesz részt és a Juniper legnagyobb értékesítési csatornája és helyi
rendszerintegrátora.
A Juniper Networks a kezdetektől fogva a szolgáltatói igények kielégítésére tervezi routereit. Az Internet Processor ASIC nemcsak a cég technológiai vezető szerepének bizonyítéka, hanem egy alapvető eszköz a skálázható, biztonságos, szolgáltatásokban gazdag, szolgáltatói megbízhatóságú router platform megvalósításához.
Juniper Networks
routerek alkotják az Európai akadémiai hálózatokat összekötő hálózat, a
GEANT magját és jelen vannak számos nemzeti akadémiai hálózatban is. A Juniper
Networks T640 ma az egyetlen IP hálózati platform amely elő van készítve a
terrabites routolásra.