20TD02S_Informasjonssikkerhet_K06 - itnett/FTD02H-N GitHub Wiki

Kapittel 6: Nettverkssikkerhet - Studentressurs

Innholdsfortegnelse

  1. Oversikt
  2. Sikkerhetsprotokoller
    • Hva er en sikkerhetsprotokoll?
    • Eksempler på sikkerhetsfunksjoner/tjenester
    • Velkjente sikkerhetsprotokoller
    • TLS og IPSec i internettstakken
  3. Brannmurer
    • Formålet med DMZ
    • Beskyttelse av indre nettverkssegmenter
    • Brannmurer i internettstakken
    • Typer brannmurer
  4. TLS-Inspeksjon
    • Legitimitet av TLS-inspeksjon
    • Trusselscenarioer
    • Oppdagelse av TLS-inspeksjon
  5. Fremoverhemmelighold
    • Hva er fremoverhemmelighold?
    • Hvordan oppnås fremoverhemmelighold?
    • Protokoller som støtter/ikke støtter fremoverhemmelighold
  6. TLS
    • TLS-port og URL-prefiks
    • TLS i OSI og TCP/IP protokollagene
    • Formålet med TLS Handshake-protokollen
    • Sikkerhetstjenester støttet av TLS Record-protokollen
    • Relasjon mellom TLS Handshake og TLS Record-protokollen
  7. VPN
    • Trafikkdata skjult for ISP ved bruk av sky-VPN
    • Trafikkdata tilgjengelig for VPN-tilbyder
    • Trafikkdata skjult for ISP ved bruk av Tor
    • Trafikkdata tilgjengelig for Tor access-server
    • Hvordan forhindre at ISP vet at du bruker Tor
  8. Pakkefilter og inntrengingsdeteksjon
    • Typisk sikker konfigurasjon for brannmurer
    • Plassering av nettverks inntrengingsdeteksjon (NIDS)

Oversikt

Kapittel 6 dekker grunnleggende konsepter og teknikker innen nettverkssikkerhet, inkludert sikkerhetsprotokoller, brannmurer, TLS-inspeksjon, fremoverhemmelighold, VPN, og pakkefilter.

Sikkerhetsprotokoller

Hva er en sikkerhetsprotokoll?

En sikkerhetsprotokoll er et sett med regler som styrer hvordan data overføres sikkert over et nettverk. De sikrer konfidensialitet, integritet, autentisering og tilgjengelighet.

Eksempler på sikkerhetsfunksjoner/tjenester

  • Konfidensialitet: Kryptering av data for å forhindre uautorisert tilgang.
  • Integritet: Sikre at data ikke blir endret under overføring.
  • Autentisering: Verifisere identiteten til brukere eller enheter.
  • Tilgjengelighet: Sikre at tjenester er tilgjengelige når de trengs.

Velkjente sikkerhetsprotokoller

  • TLS (Transport Layer Security)
  • IPSec (Internet Protocol Security)
  • SSH (Secure Shell)
  • HTTPS (Hypertext Transfer Protocol Secure)

TLS og IPSec i internettstakken

  • TLS opererer på transportlaget og applikasjonslaget i OSI-modellen.
  • IPSec opererer på nettverkslaget.

Lenker for videre lesing:

Brannmurer

Formålet med DMZ

En DMZ (Demilitarized Zone) er et fysisk eller logisk subnett som skiller et internt lokalt nettverk (LAN) fra andre ufortrengte nettverk, vanligvis internett. DMZ gir et ekstra lag med sikkerhet til LAN ved å begrense eksponeringen av interne tjenester til eksterne trusler.

Beskyttelse av indre nettverkssegmenter

Indre nettverkssegmenter beskyttes ved å plassere kritiske tjenester (som DNS, web og e-post servere) i DMZ, og bruke brannmurer for å kontrollere trafikken mellom internett, DMZ og det interne nettverket.

Brannmurer i internettstakken

  • Pakkefilter opererer på nettverkslaget og transportlaget.
  • Applikasjonsbrannmurer opererer på applikasjonslaget.

Typer brannmurer

  • Tilstandsløse brannmurer: Inspekterer individuelle datapakker uavhengig av tidligere pakker.
  • Tilstandsbaserte brannmurer: Holder oversikt over tilstanden i forbindelser.
  • Applikasjonsbrannmurer: Inspekterer innholdet i datapakker og støtter spesifikke applikasjonsprotokoller.

Lenker for videre lesing:

  • Rapporten "Ti sårbarheter i norske IKT-systemer"
  • "Nasjonalt digitalt risikobilde 2023"

TLS-Inspeksjon

Legitimitet av TLS-inspeksjon

TLS-inspeksjon kan være nødvendig for:

  • Beskytte mot malware som bruker HTTPS for å skjule trafikk.
  • Forhindre datalekkasjer.
  • Sikre at ansatte følger selskapets retningslinjer for internettbruk.

Trusselscenarioer

TLS-inspeksjon kan misbrukes til:

  • Avlytte sensitiv informasjon.
  • Falske nettsider som utgir seg for å være legitime.
  • Injisere malware i trafikken.

Oppdagelse av TLS-inspeksjon

En bruker kan oppdage TLS-inspeksjon ved å:

  • Kontrollere sertifikatkjeden for HTTPS-tilkoblinger.
  • Bruke verktøy som openssl for å inspisere sertifikater.

Lenker for videre lesing:

Fremoverhemmelighold

Hva er fremoverhemmelighold?

Fremoverhemmelighold sikrer at kompromittering av en langsiktig nøkkel ikke kompromitterer tidligere øktnøkler.

Hvordan oppnås fremoverhemmelighold?

Oppnås ved bruk av protokoller som Diffie-Hellman nøkkelutveksling, som genererer midlertidige nøkler for hver økt.

Protokoller som støtter/ikke støtter fremoverhemmelighold

  • Støtter: TLS 1.3
  • Støtter ikke: TLS 1.2 uten ephemeral nøkkelutveksling

TLS

TLS-port og URL-prefiks

  • Port: 443
  • URL-prefiks: https://

TLS i OSI og TCP/IP protokollagene

TLS opererer mellom transportlaget og applikasjonslaget.

Formålet med TLS Handshake-protokollen

TLS Handshake-protokollen etablerer en sikker forbindelse ved å autentisere parter og forhandle krypteringsalgoritmer.

Sikkerhetstjenester støttet av TLS Record-protokollen

  • Konfidensialitet
  • Integritet
  • Autentisering

Relasjon mellom TLS Handshake og TLS Record-protokollen

TLS Handshake protokollen forhandler sikkerhetsparametrene som TLS Record-protokollen bruker til å beskytte data.

Lenker for videre lesing:

VPN

Trafikkdata skjult for ISP ved bruk av sky-VPN

  • IP-adresser og domenenavn til nettsteder du besøker.
  • Innholdet i trafikken.

Trafikkdata tilgjengelig for VPN-tilbyder

  • IP-adresser og domenenavn til nettsteder du besøker.
  • Innholdet i trafikken.

Trafikkdata skjult for ISP ved bruk av Tor

  • Innholdet i trafikken.
  • Destinasjonen til trafikken.

Trafikkdata tilgjengelig for Tor access-server

  • IP-adresser til inngangsnoder.
  • Mengde trafikk.

Hvordan forhindre at ISP vet at du bruker Tor

  • Bruk en VPN før du kobler til Tor.
  • Bruk Tor Bridges.

Lenker for videre lesing:

Pakkefilter og inntrengingsdeteksjon

Typisk sikker konfigurasjon for brannmurer

  • Utgående forbindelser: Tillat alle
  • Innkommende forbindelser: Tillat port 80, 443 til webserver, port 53 til DNS-serveren, port

25 til e-postserver; forby alt annet.

Plassering av nettverks inntrengingsdeteksjon (NIDS)

NIDS kan plasseres både i DMZ og i det interne nettverket.

Lenker for videre lesing:

  • "ENISA Study Best Practices Cyber Crisis Management"
  • Snort IDS

Dette dokumentet gir en omfattende guide til Kapittel 6 i "Informasjonssikkerhet: Teori og praksis" av Audun Jøsang, og inkluderer eksempler, kodesnutter, visualiseringer og lenker til ytterligere ressurser for å hjelpe studenter å forstå og anvende konseptene i praksis.