advertisement

Slovak Sun Training Day 2008 - Advanced Secure Networking

0 %
100 %
advertisement
Information about Slovak Sun Training Day 2008 - Advanced Secure Networking
Education

Published on March 10, 2014

Author: m_cerveny

Source: slideshare.net

Description

Presentation from training day for Sun Solaris customers to explain features and setup of Solaris secure networking.
Some update of OpenSolaris.

Presentation covers following themes:
- Trusted Extension
- IP filter
- IPsec
- IP QoS
- news from OpenSolaris
advertisement

Sun Training Day 2008 sekce Solaris Martin Červený M.Cerveny@computer.org

Trusted Extension IP filter IP security IP QoS Novinky OpenSolarisu

Trusted Extension

Řízení přístupu ● autorizace – Discretionary Access Control (DAC) (certifikace CA PP & RBAC PP na EAL4+) ● subjekt (uživatel a jeho procesy, ověřená identita uživatele) – UID, GID ● objekt (soubory, sdílená paměť, jiné procesy, síť ...) – rwx bity – POSIX ACL, ZFS/NFSv4 ACL – Mandatory Access Control (MAC) (certifikace LS PP na EAL4+) ● subjekt + clearance label, accreditation label range, account label range, session label range ● objekt + sensitivity label TX možnosti

Definice „label“ ● označení – klasifikace (classification, level) ● vertikální hierarchická úroveň bezpečnosti příklad: „public“ < „company conf.“ < „secret“ < „top secret“ – oddělení (compartments, categories) ● horizontální příslušnost do žádného, jednoho i více oddělení bezpečnosti příklad: „education“, „marketing“, „management“, „accounting“ ● vyhodnocení – dominance subjektu nad objektem ● subjekt má stejnou nebo vyšší klasifikaci než objekt ● subjekt obsahuje všechna oddělení objektu – write-up + read-down – Compartmented Mode Workstations (CMWs) TX label

Příklady konfigurace ● firemní rozložení klasifikace: „public“ < „company confidental“ < „secret“ oddělení: „education“, „management“, „accounting“ … ● NISPOM rozložení klasifikace: „confidental“ < „secret“ < „top secret“ ● NATO rozložení klasifikace: „nato resticted“ < „nato confidental“ < „nato secred“ < „cosmic top secred“ oddělení: „atomal“ ● demo rozložení klasifikace: „unclassified (U)“ < „confidental (C)“ < „secred (S)“ < „top secred (TS)“ oddělení: „A“, „B“ ● firewall klasifikace: „system“ oddělení: „inside“, „outside“ TX label

Aplikační firewall TX label SYSTEM INSIDE OUTSIDE SYSTEM OUTSIDE SYSTEM INSIDE SYSTEM sw install audit web server application DB internet trusted gw

Použití v Solarisu ● konfigurační soubory – /etc/security/tsol/ – label_encodings, tnrhdb, tnrhtp, tnzonecfg … ● funkčnost – oddělení implementováno pomocí zón – rozšířená grafika (JDS, CDE) – sítě (CIPSO), tisk (banner) – speciální label ADMIN_LOW, ADMIN_HIGH – privilegia v kernelu ● příkazy – getlabel(1), setlabel(1), plabel(1), getzonepath(1) – chk_encodings(1M), add_allocatable(1M), remove_allocatable(1M), atohexlabel(1M), hextoalabel(1M), smtnrhdb(1M), smtnrhtp(1M), smtnzonecfg(1M), tnchkdb(1M), tnctl(1M), tnd(1M), tninfo(1M), updatehome(1M) TX administrace

Konfigurace label_encodings VERSION= CLASSIFICATIONS: name=; sname=; value=; ... INFORMATION LABELS: WORDS: REQUIRED COMBINATIONS: COMBINATION CONSTRAINTS: SENSITIVITY LABELS: WORDS: name=; sname=; minclass=; compartments=; ... REQUIRED COMBINATIONS: COMBINATION CONSTRAINTS: CLEARANCES: WORDS: REQUIRED COMBINATIONS: COMBINATION CONSTRAINTS: CHANNELS: WORDS: PRINTER BANNERS: WORDS: ACCREDITATION RANGE: NAME INFORMATION LABELS: TX administrace

Více v kurzech SC-325-S10 - Solaris Trusted Extensions Installation and Setup SC-326-S10 - Administering Solaris Trusted Extensions SC-327-S10 - Solaris Trusted Extensions Installation, Configuration and Administration WST-3251-S10 - Key Benefits of Solaris Trusted Extensions TX kurzy

IP filter

Řízení přístupu na síti ● L7 - aplikační konfigurace – ftp, sendmail, apache … – /etc/ftpd/*, /etc/mail/sendmail.cf ● L4 - tcp wrapper – tcpd, inetd, ssh … – /etc/host.allow, /etc/host.deny ● L3 – IP filter, SunScreen, IPsec – /etc/ipf/* IPF možnosti

IP filter ● vlastnosti – multiplatformní (Solaris, HPUX, AIX, *BSD, IRIX, Linux, QNX, Tru64) – stavový paketový filtr – překlad ip adres (NAT/PAT) – sledování a záznam provozu ● ip accounting, ip log – doplňující funkce IPF architektura

Začlenění do Solarisu IPF architektura usr sys UDPTCP IP ETH APPL ETHETH IP hook (dříve pfil) NAT NAT IP acct frags IP acct packet state state table firewall check rule groups funcs firewall check rule groups frags state table packet state IPF

Konfigurace v Solarisu ● konfigurační soubory /etc/ipf/ipf.conf ● filtrovací pravidla /etc/ipf/ippool.conf ● konfigurace sad ip adres pro pravidla /etc/ipf/ipnat.conf ● překlad IP adres (NAT/PAT) ● přesměrování paketů (RDR) ● příkazy – ipf(1M), ippool(1M), ipnat(1M), ipfstat(1M), ipmon(1M) IPF administrace

Konfigurace ipf.conf ● pravidla od shora dolů ● platí poslední shoda („quick“ předčasně ukončuje hledání, zlepšení výkonu) ● zvláštní sada pro „in“ a „out“ ● seskupování pravidel (zlepšení výkonu) ● sady ip adres (ippool.conf) ● proměnné ● nově zpracování loopbacku (filtrování mezi zónami) ● základní konfigurace (block|pass|log...) (in|out) [log] ... [quick] ... [proto [tcp| udp...]] … (all | [from … to …]) ... IPF administrace

Osobní firewall block in all block out all pass in quick proto icmp all icmp-type echo keep state pass in quick proto udp from any to any port = 68 pass in quick proto tcp from any to any port = 22 keep state pass out quick all keep state block return-icmp-as-dest(port-unr) in proto tcp/udp all IPF administrace

Více v kurzech SC-301-S10 - Personalizing Security on the Solaris 10 Operating systém SA-300-S10 - Network Administration for the Solaris 10 Operating System VC-SA-228-S10 - Solaris 10 Security IPF kurzy

IP security

Zabezpečení komunikace ● L7 – aplikační konfigurace – ssh, SSL/TLS aplikační protokoly (https, ldaps, …), DNSsec ● L6 – API prezentační vrstvy – SecureRPC (NIS+, NFS), GSS (kerberos) ● L3 – IPsec, SKIP, „VPN“ ● L2 – WEP, WPA IPsec možnosti

Moderní kryptografie IPsec požadavky sym. šifra sym. šifra klíč klíč asym. šifra asym. šifra veřejný privátní klíč otisk + rychlost - přenos klíče DES, AES, RC4 + přenos klíče - rychlost RSA, DSA, ECDSA MD5, SHA1 šifrovací kanál autentizační kanál

Funkce IPsec IPsec funkce ● IP security doplňuje IP o funkce – encapsulating security payload (ESP) ● šifrování obsahu paketu ● symetrické algoritmy DES, AES... – authentication header (AH) ● autentizace paketu ● ověření zdroje (včetně IP adresy) a ochrana proti modifikacím ● algoritmy otisku (s přidáním klíče - MAC) MD5, SHA1... – security association (SA) ● index do tabulky na koncových systémech adresující symetrické klíče a použitý algoritmus pro ESP a AH

Mody přenosu IPsec IPsec funkce DST SRC IP TCP/UDP data DST SRC AH SPI CHK SUM sa klíč DST SRC SPI CHK SUM ESP SPI sa klíč MD5 AES DST SRC SPI DST SRC SPI CHK SUM AH ESP+AH TUN+ESP+ESP_AH=VPN

Databáze SA ● ruční naplnění ● automaticky – Internet Key Exchange (IKE) ● Diffie-Hellman – pravidelná obměna klíčů – vytvoření podle požadavků ● ověření pomocí – symetrickými hesly (Preshared Keys) – digitálními certifikáty (Public Key Certificates) IPsec funkce

Konfigurace v Solarisu ● konfigurační soubory /etc/inet/ipsecinit.conf ● pravidla pro přidání a akceptaci ESP+AH /etc/inet/secret ipseckeys - ručně zadané klíče ike.preshared - symetrická hesla pro IKE ike.privatekeys - privátní klíče k certifikátům pro IKE /etc/inet/ike config - konfigurace IKE publickeys - certifikáty pro IKE crls - revokované certifikáty ● příkazy – ipsecconf(1M), ipseckey(1M), ipsecalgs(1M), in.iked(1M), ikeadm(1M), ikecert(1M) IPsec administrace

IPsec a IKE s hesly IPsec administrace /etc/inet/ipsecinit.conf {rport 23} ipsec {encr_algs any auth_algs any} /etc/inet/ike/config p1_lifetime_secs 14400 p1_nonce_len 20 { label "default rule" local_id_type ipv4 local_addr 0.0.0.0/0 remote_addr 0.0.0.0/0 p2_pfs 5 p1_xform {auth_method preshared oakley_group 5 auth_alg sha encr_alg aes } } /etc/inet/secret/ike.preshared { localidtype IP localid 192.168.1.173 remoteidtype IP remoteid 192.168.1.174 key 63616e676574696e }

Více v kurzech SC-301-S10 - Personalizing Security on the Solaris 10 Operating systém VC-SA-228-S10 - Solaris 10 Security IPsec kurzy

IP QoS

Řízení QoS na síti ● Integrated Services - IntServ – aplikace sdělí požadavky QoS a všechny body sítě přidělí a řídí provoz – Resource reservation protocol (RSVP) – MPLS, ATM ● Differentiated services – DiffServ – aplikace (a kdokoli jiný) vyznačí požadavky QoS a některé body sítě mohou vyhovět IP QoS možnosti

Klasifikace provozu IP DiffServ ● Assured forwarding – AF – 4 prioritní třídy a 3 priority zahození ● Expedited forwarding – EF – maximum možností, bez bufferů (nejmenší ztráta, zpoždění a jitter) ● DiffServ Control Point (DSCP) – IPv4 TOS, IPv6 Traffic Class – 3 bity třída + 2 bity zahození + 1 bit standard/experimentální + 2 bity ECN IP QoS funkce AF11 AF21 AF31 AF41 AF12 AF22 AF32 AF42 AF13 AF23 AF33 AF43 EF id třídy [0] ostatní [0] třída 1 [1] třída 2 [2] třída 3 [3] třída 4 [4] EF [5] řízení [6] řízení [7] nízké [1] střední [2] vysoké [3] 0x1c=28 0x2e=46

Klasifikace provozu VLAN CoS ● 3 bity ve ethenet VLAN CoS (802.1p)IP QoS funkce 7 řízení sítě 6 video, zpoždění menší než 10ms 5 video, zpoždění menší než 100ms 4 řízený tok dat 3 0 2 zbývající tok 1 tok na pozadí prvotřídní snaha (excellent effort) nejlepší snaha (best effort)

Konfigurace v Solarisu ● konfigurační soubory /etc/inet/ipqosinit.conf ● pravidla – klasifikátor (ipgpc) (adresa, port, uid, gid, projekt, protokol, ifc, ds) – 2 měřiče ● klouzavé okno (tswtclmt) (committed_rate, peak_rate, window) ● děravé vědro (tokenmt) (committed_rate, committed_burst, peak_rate, peak_burst) – 2 značkovače ● DSCP (dscpmk) ● VLAN CoS (dlcosmk) – účtování (flowacct) ● příkazy – ipqosconf(1M), kstat(1M) IP QoS administrace

IP QoS fmt_version 1.0 action { module ipgpc name ipgpc.classify filter { name audioout dport 60000 direction LOCAL_OUT class audio } class { name audio next_action markEF } } action { module dscpmk name markEF params { dscp_map {0-63:46} next_action continue } } IP QoS administrace

Více v kurzech ES-431 - Solaris 9 Resource Manager Administration IP QoS kurzy

Novinky OpenSolarisu

Distribuce OpenSolaris.com ● pravidelné aktualizace – 2008.05, 2008.11 ... – možné zakoupit podporu (od $324/rok) ● vlastnosti – LiveCD s možností instalace, ZFS boot – Image Packaging system (IPS) – GNU přednostně http://www.opensolaris.org/os/project/czosug/events_archive /czosug26_opensolaris.pdf ● novinky – podpora suspend/resume – více ovladačů – NWAM – nový GNOME desktop – SPARC od 2009 – síťový instalátor OpenSolaris

Novinky v kódu OpenSolaris ● ZFS root, crypto, separátní intent log ● více dtrace ● SATA AHCI ● grub findroot ● více WiFi, WPA ● více dladm ● Network Automagic (NWAM) ● Intel CPU management, microcode, FMA ● CIFS ● iSNS, SIP, NDMP, ECDSA, SHA-2, SAS/SMP, IPoIB, USBvc, xVM(XEN), SDcard, AD map (winchester), vNet/vSwitch, VTOC, ksh93 http://www.opensolaris.org/os/projects/ http://www.opensolaris.org/os/community/on/flag-days/all/ OpenSolaris

tato prezentace byla připravena s využitím komunitních materiálů z opensolaris.org

Add a comment

Related presentations

Related pages

Course Hero - Start Excelling In Your Courses Today

Course Hero provides students with course ... "Since launching in 2008, Course Hero has focused on building a hub of ... Course Hero saved the day!"
Read more

Bluemountain Training - FAQ

Welcome to Blue Mountain Training, ... of such materials due to circumstances beyond its control until the 28 day period has ... Show advanced settings. in ...
Read more

Cisco Wireless LAN Controller Command Reference, Release 6 ...

... (Hour of the day) ... > show advanced 802.11a profile AP1 Cisco AP performance profile not ... 1986-2008 by Cisco Systems, Inc. Compiled Fri 14-Nov ...
Read more

DOWNLOAD Making Sense of Education - bookalltt.ru

DOWNLOAD Making Sense of Education - bookalltt.ru
Read more

Google

Schweiz : Erweiterte Suche Sprachoptionen: Google.ch angeboten auf: English Français Italiano Rumantsch
Read more

PDF Book - Mediafile File Sharing - dloadvad.ru

How it works: 1. Register a free 1 month Trial Account. 2. Download as many books as you like (Personal use) 3. Cancel the membership at any time if not ...
Read more

Welcome! [bookalltt.ru]

Welcome!
Read more