Metodologia wdroŜenia bezpiecznych sieci korporacyjnych dla początkujących administratorów bezpieczeństwa
Transkrypt
Metodologia wdroŜenia bezpiecznych sieci korporacyjnych dla początkujących administratorów bezpieczeństwa
Metodologia wdroŜenia bezpiecznych sieci korporacyjnych dla początkujących administratorów bezpieczeństwa Teoria w praktyce Autor: Tomasz Turba Opole, 2009r [email protected] http://tturba.tk 1 [email protected] http://tturba.tk SPIS TREŚCI 1. Wstęp .................................................................................................................................. 4 2. Cel i zakres publikacji ...................................................................................................... 9 3. Współczesne zagroŜenia komputerowe ......................................................................... 10 3.1. 3.1.1. Ataki klimatyczne ............................................................................................. 16 3.1.2. Ataki związane z fizycznym kontaktem ......................................................... 24 3.1.3. Atak socjotechniczny........................................................................................ 33 3.2. 4. Przedstawienie ataków i sposobów obrony po stronie fizycznej ......................... 15 Przedstawienie ataków i sposobów obrony po stronie komputerowej ............... 44 3.2.1. Atak pasywny.................................................................................................... 48 3.2.2. Atak aktywny i jego wariacje .......................................................................... 61 Implementacja bezpiecznej infrastruktury sieciowej .................................................. 86 4.1. Zastosowanie modelu SDLC w projekcie .............................................................. 87 4.1.1. Dokumentacja techniczna................................................................................ 93 4.1.2. Polityka bezpieczeństwa .................................................................................. 95 4.3. Skuteczny monitoring i zarządzanie .................................................................... 115 5. Testowanie zabezpieczeń .............................................................................................. 121 6. Podsumowanie ............................................................................................................... 126 7. Literatura ....................................................................................................................... 131 Spis rysunków ....................................................................................................................... 132 2 [email protected] http://tturba.tk 3 [email protected] http://tturba.tk 1. Wstęp Z historycznego punktu widzenia, z bezpieczeństwem bezpiecze ludzkość jak i wszystkie Ŝyjące istoty związane są od samego początku pocz swojego istnienia. Ubarwienie skóry niebezpiecznych zwierząt, t, cechy gatunkowe takie jak kły, szpony, twardość twardo skóry czy teŜ ludzka potrzeba habitacji są typowymi mechanizmami obrony.. W rozumieniu powstania potrzeby bezpieczeństwa stwa komputerowego (potrzeby obrony) istotne jest zapoznanie się si z trzema historycznymi faktami będącymi ę ącymi grupą przełomowych wydarzeń w świecie komputerów i jego nierozerwalnego zerwalnego dzisiaj współdziałania z człowiekiem. W 1943r. na potrzeby armii Stanów Zjednoczonych powstał pierwszy komputer „Eniac” określany lany mianem prekursora współczesnych komputerów personalnych. Miał masę mas ponad 27 ton i jego konstrukcja była skierowana do wykonywania precyzyjnych i skomplikowanych obliczeń balistycznych. Twórcy nie sądzili, s Ŝe powołają do Ŝycia ycia zupełnie nową, now nieznaną branŜę,, która w krótkim czasie obejmie pół świata. BranŜę technologii informacyjnej. informacyjnej Wówczas nikt nie interesował się si zbytnio zakresem zabezpieczania takich maszyn (jak i komputerów architektury Von Neumanna) poza ich bezpieczeństwem stwem na płaszczyźnie płaszczy fizycznego dostępu. Rys. 1.1.. Oryginalne zdjęcie komputera Eniac zajmującego powierzchnię 140m2 Źródło: http://pl.wikipedia.org/wiki/ENIAC (03.04.2009r.) Rzeczywista gałąź bezpieczeństwa bezpieczeń komputerowego pojawiła się w przełomowej dla branŜy bran IT chwili – w momencie usprawnienia komunikacji między mi co najmniej iej dwoma komputerami znajdującymi się w jednym budynku. Zanim powstał rodzaj sieci łączącej ł ącej komputery w jeden segment, pracownicy danej firmy, w której mieściło mie się kilka komputerów musieli biegać między dzy oddziałami z dyskietkami, gdy dane wymagały relacji z innymi aplikacjami niezainstalowanymi na komputerze skąd sk d została nagrana dyskietka. Dodatkowym problemem był fakt, Ŝee nie istniały drukarki sieciowe, co wiązało wi się z korzystaniem z jednego jedn komputera 4 [email protected] http://tturba.tk do wielu wydruków i powodowało kolejki. Zastosowanie rozwiązania polegającego na dostawianiu drukarki do kaŜdej stacji roboczej nie było funkcjonalne i skalowalne ze względu na dynamiczny rozwój sprzętu. Obie uciąŜliwości zniknęły, gdy to firma Xerox w 1978r. opracowała swój standard komunikacji w sieci lokalnej – Xerox Ethernet. „Jest to historycznie najwcześniejsza sieć LAN stosująca okablowanie. Jej ideą było przesyłanie informacji we wspólnym medium, którym był kabel koncentryczny o maksymalnej długości 2500 m. Co 500 metrów umieszczano urządzenia regenerujące sygnał. Na końcach kabla stosowano tłumiki zapobiegające odbiciu sygnału. Komputery były dołączane do medium za pomocą nakręcanych na kabel nadajnikówodbiorników. Prędkość transmisji wynosiła 2,94 Mbit/s. Po raz pierwszy wprowadzono teŜ nasłuchiwanie medium przed wysłaniem wiadomości oraz detekcję kolizji”.1 Z uwagi na zastosowanie współdzielonej magistrali – ówczesna sieć opierała swoje działanie na algorytmie wykrywania kolizji – CSMA/CD (ang. Carrier-Sense Multiple Access with Collission Detection). Algorytm ten zezwala na nadawanie bitów na współdzielone medium tylko jednemu urządzeniu w danym momencie. Co w zamierzchłych czasach było wystarczającym zapotrzebowaniem, lecz na krótko. W razie wystąpienia kolizji, tudzieŜ gdy nadawać będzie więcej niŜ jedno urządzenie w tym samym czasie, algorytm zablokuje wszystkie transmisje sygnałem zagłuszającym dla kaŜdej stacji z innym czasem wygaśnięcia. Ta stacja, która jako pierwsza przekroczy czas licznika sygnału zagłuszającego będzie miała prawo nadawać. Algorytm nie jest problemem samym w sobie lecz konstrukcja całej procedury transmisji moŜe powodować zator, czyli zahamowanie prawidłowego działania sieci. Większym problemem jednak jest urządzenie zastosowane do łączenia komputerów, jakim jest hub, który pomimo spięcia urządzeń w logiczną topologię gwiazdy, od strony fizycznej nadal spinał urządzenia w współdzielone medium magistrali. Rys. 1.2. Typowy historyczny schemat logiczny sieci Ethernet w topologii współdzielonej magistrali Źródło: Opracowanie własne 1 Źródło: http://pl.wikipedia.org/wiki/Xerox_Ethernet 5 [email protected] http://tturba.tk Współczesny rodzaj ramki Ethernet opatrzony standardem IEEE 802.3 bardzo niewiele róŜni się od swojego pierwowzoru – ramki DIX2. Rys. 1.3. Wzór ramki DIX Źródło: Opracowanie własne Krótki opis ramki: • • • • • • Preambuła – ośmiobajtowa stała naprzemiennej wartości bitów słuŜąca do synchronizacji odbiornika z nadajnikiem Adres docelowy – sześciobajtowy fizyczny adres MAC3 odbiornika Adres źródłowy – sześciobajtowy fizyczny adres MAC urządzenia nadającego sygnał do odbiornika Typ – jest to dwubajtowy identyfikator procesu po stronie odbiornika Dane – z reguły są to dane wyŜszych warstw modelu odniesienia OSI, które podczas transmisji ulegają enkapsulacji FCS – „Frame Check Sequence” – jest to pole wykrycia błędu w transmisji za pomocą sumy kontrolnej CRC4. Pole FCS w Ŝaden sposób nie zapewnia retransmisji uszkodzonej ramki. Krótko po powstaniu ramki DIX, stowarzyszenie IEEE zaczęło pracę nad standaryzacją sposobu komunikacji w sieciach lokalnych. W 1980r. LAN Ethernet opatrzony numerem IEEE 802.3 został oficjalnie otwartym i darmowym standardem komunikacji między hostami. Rys. 1.4. Oficjalny wzór ramki Ethernet IEEE 802.3 stosowany w sieciach LAN wraz z różnicami do pierwowzoru Źródło: Opracowanie własne RóŜnice między ramkami: • SoF – „Start of Frame” – ostatni bajt preambuły został rozdzielony do osobnego pola synchronizacyjnego oznaczanego bajtem 10101011 w celu określenia początku ramki i kompatybilności z równocześnie powstałymi standardami Token Ring (IEEE 802.5) 2 DIX - Struktura ramki została opracowana przez firmy DEC, Intel i Xerox, nazwa powstała od pierwszych liter twórców. MAC – „Media Access Control” – 48-bitowy fizyczny adres hosta w sieci Ethernet, unikatowy w skali światowej. 4 CRC – „Cyclic Redundancy Check” - matematyczny algorytm weryfikacji integralności transferowanej ramki 3 6 [email protected] http://tturba.tk • Typ / Długość – oznacza całkowitą długość ramki Ethernet, której dolna granica wynosi 64B (nie wliczając mechanizmu detekcji kolizji). JeŜeli natomiast wartość przekroczy 1500B pole to jest określane mianem Typu, co zapewnia kompatybilność MTU5 z innymi standardami transmisji lokalnej (DIX). Dzisiejsza społeczność komputerowa, uŜywa ramki Ethernet juŜ od ponad 30 lat. Naturalną prawidłowością jest fakt, Ŝe technologia podczas swego tworzenia nie była rozwijana na odpowiednio wysokim poziomie w porównaniu do czasów w jakich dzisiaj mogłaby być. W przeszłości standard IEEE 802.3 spełniał swoje role i nikt nie myślał, Ŝe nastąpi wielki wybuch w sferze komunikacji na skalę światową. Biorąc pod uwagę czas istnienia standardu, co raz więcej moŜna wykryć w nim usterek, których wcześniej nie moŜna było przewidzieć. Z uwagi na szybkość transmisji, konstruktorzy byli świadomi rozwoju prędkości łącza w niedalekiej przyszłości. Stąd połoŜenie pola adresu docelowego przed adresem źródłowym, by urządzenia spinające mogły szybciej decydować przez jaką lokalizację ma ramka zostać wysłana by dotrzeć do celu. Początkowo sieci lokalne spinane były za pomocą kabla koncentrycznego w topologię magistrali, bądź pierścienia. W raz z pojawieniem się standardu 802.3 opatentowano urządzenie warstwy fizycznej modelu OSI – hub. Hub ustanawiał pierwsze powaŜne luki w bezpieczeństwie wykryte krótko po jego powstaniu ze względu na swoją budowę. Zasada działania huba, jak i jego poprzednika – regeneratora sygnału, polega na tym, Ŝe transmitowane bity nie są kontrolowane w taki sposób by trafić konkretnie do jednego celu (w transmisji Unicast). Regenerator sam w sobie jedynie wzmacnia sygnał, gdy odległość pomiędzy stacjami komunikującymi jest zbyt duŜa i powoduje tłumienie sygnału ze względu na stosowanie impulsów elektrycznych w kablu miedzianym (kabel koncentryczny / współczesna skrętka). Hub jest określany mianem wieloportowego regeneratora, gdyŜ jego zasada działania jest podobna. Nadajnik wysyła ramkę, która dociera do urządzenia. Gdyby był to regenerator, ramka podąŜyłaby w jednym, fizycznym kierunku. W przypadku huba, ramka podąŜa we wszystkich kierunkach, tudzieŜ urządzeniach podpiętych do huba, które nie są nadajnikiem. W praktyce wygląda to tak, Ŝe przesłana zostaje ramka do jednego konkretnego źródła, a prawo jej odczytu ma kaŜdy, kto nie jest nadajnikiem i jest podpięty do urządzenia. Poprzez ramkę przy transmisji na płaszczyźnie fizycznej rozumie się –oczywiście- kodowane bity. Problem bezpieczeństwa jest więc powaŜny biorąc pod uwagę powyŜszy przykład, w którym moŜna jasno odczytać, Ŝe luki w zabezpieczeniach pojawiają się juŜ od prostej warstwy fizycznej modelu OSI. JednakŜe sieć lokalna nie jest najbardziej niebezpieczną instancją w przedsiębiorstwie. Pierwowzór sieci internetowej – ARPANET (1969r.), miał słuŜyć armii Stanów Zjednoczonych do prowadzenia szczegółowych obliczeń i badań symulacji wybuchu 5 MTU – „Maximum Transmision Unit” – maksymalna dopuszczalna wielkość ramki, która nie ulegnie fragmentacji na mniejsze porcje. 7 [email protected] http://tturba.tk nuklearnego. Celem projektowym było stworzenie sieci bez wyraźnego centralnego punktu zarządzania, którego awaria mogłaby zniszczyć działanie pozostałych węzłów. Przodek Internetu stanowił wdroŜony koncept pierwszej złoŜonej sieci rozproszonej. Kilka lat po powstaniu najwaŜniejszych dzisiejszych filarów sieciowej komunikacji - stosu protokołów TCP i DNS, Tim Berners-Lee6 w 1989r. złoŜył do agencji CERN7 projekt „World Wide Web” do odczytywania dokumentów hipertekstowych. W 1990 stworzył podstawy języka HTML i pierwszą stronę WWW. Narodził się Internet. Dostęp do światowej sieci otwiera miliony moŜliwości hakerom na wykonanie ataku. Konstrukcja sieci Internet – jej rozproszony model sprawia, Ŝe dowolna osoba z załoŜenia moŜe być w sieci anonimowa. Co z psychicznego punktu odniesienia budzi w człowieku skrywane uczucia, nieznaną ciekawość, które wraz z wpływem róŜnych postaw społecznych moŜe stanowić namacalny pion motywacyjny do wykonania ataku. Nawet jeśli osoba wykorzystuje tylko gotowe aplikacje to dalej stanowi zagroŜenie dla poprawnego działania dowolnej sieci padającej ofiarą ataku. [1] 6 Sir Timothy Berners-Lee - współtwórca i jeden z pionierów usługi WWW. Od roku 1994 jest Przewodniczącym Konsorcjum W3C. 7 Europejska Organizacja Badań Jądrowych CERN (fr. Organisation Européenne pour la Recherche Nucléaire) — ośrodek naukowo-badawczy połoŜony na północno-zachodnich przedmieściach Genewy. NajwaŜniejszym narzędziem ich pracy jest największy na świecie akcelerator cząstek – Wielki Zderzacz Hadronów. Obecnie do organizacji naleŜy dwadzieścia państw. 8 [email protected] http://tturba.tk 2. Cel i zakres publikacji Celem niniejszej publikacji, jest uświadomienie uŜytkownika o zagroŜeniach w poszczególnych warstwach modelu OSI w rozumieniu bezpieczeństwa komputerowego, będącego krytycznym w dzisiejszym skomputeryzowanym świecie czynnikiem wpływającym na zysk, bądź stratę wkładu pienięŜnego zainwestowanego w firmie. Zrozumienie zagroŜeń, sposobów wykrycia oraz ich usunięcia stanowi fundament wiedzy myślącego o karierze inŜyniera ds. bezpieczeństwa. Z uwagi na fakt, Ŝe firma Cisco Systems jest pionierem w produkcji niezawodnego sprzętu sieciowego na całym świecie, skupię się na wdroŜeniu i konfiguracji wymienionych produktów wyŜej opisanej firmy: W zakresie routerów: - routery serii 3600, 2800 W zakresie firewalli, sensorów IPS: - routery serii ISR 7200 W zakresie przełączników: - przełączniki serii Catalyst 2900 Jak równieŜ opierając swoją wiedzę na podstawie zdobytych certyfikatów firmy Cisco i innych z zakresu obsługi i bezpieczeństwa sieci komputerowych. Publikacja podzielona jest na trzy części: a) teoretyczną – obejmującą rozdziały: o rozdział 3.1 – opis zagroŜeń po stronie fizycznej powodujących szkody. o rozdział 3.2 – opis zagroŜeń po stronie komputerowej. o rozdział 4.1 – obejmuje wdroŜenie modelu SDLC do projektowania sieci, oraz szczegóły dokumentacji technicznej jakie powinny być zawarte w realnej implementacji. b) praktyczną – w tej części rozdziały zostały skupione na fizycznej implementacji zaprezentowanych rozwiązań teoretycznych na sprzęcie firmy Cisco. Przedstawione działanie skonstruowanej sieci, jej podatności na ataki oraz zapewnienie skutecznego monitoringu: o rozdział 4.2 – implementacja konkretnych rozwiązań zabezpieczających przed zagroŜeniami z rozdziałów 3.1 oraz 3.2. o rozdział 4.3 – przedstawienie zasad i implementacji skutecznego monitorowania. o rozdział 5 – stanowi część testującą, gdzie zostaną przeprowadzone wybrane ataki na zaimplementowany system informatyczny. c) podsumowującą – rozdział 6 zbiera i opisuje zaobserwowane wnioski autora na podstawie skonstruowanej i skonfigurowanej bezpiecznej sieci komputerowej. 9 [email protected] http://tturba.tk 3. Współczesne zagroŜenia komputerowe Istnieje nieskończenie wiele powodów dla których człowiek pragnie zdobyć informacje. Największym zagroŜeniem komputerowym nie jest luka w systemie, czy teŜ nieuprawniona próba włamania róŜnymi mechanizmami. Głównym zagroŜeniem jest człowiek, potrafiący odnajdować owe luki, czy bardziej negatywnie oddziaływać na system – włamując się. Jest to ogólna definicja „hakera”, przestępcy komputerowego którego technologiczna wiedza wykracza ponad przeciętne standardy statystyczne. W początkach istnienia sieci i wczesnej telefonii tonowej istniały tylko dwa rodzaje hakerów. Ten „zły” – dzisiaj nazywany „black hat” hakerem (hakerem w czarnym kapeluszu8) i „phreaker” – haker znający się na mechanizmach telefonicznych, który w łatwy sposób moŜe je wykorzystać za darmo do własnych celów. O ile liczba phreakerów znacznie się obniŜyła z uwagi na tanie połączenia operatorów, o tyle liczba „czarnych kapeluszy” rośnie. PoniŜsza tabela reprezentuje współczesny podział pozyskania informacji według potrzeby oraz sposobu w jaki zostanie odnaleziona kondensując dane do odpowiedniego uŜytkownika: Cel pozyskania informacji Naukowo-badawczy Sposób pozyskania informacji Legalny zwykły uŜytkownik, naukowiec Nielegalny student, "white hat" Materialny, dla zysku pracownik, reklamobiorca "black hat" Prywatny zwykły uŜytkownik, "grey hat" "grey hat" Wewnętrzna potrzeba Inne zwykły uŜytkownik, p2p zwykły uŜytkownik, "script kiddie" "hacktivist" "phreaker", "script kiddie" Rys 3.1. Rodzaje użytkowników pozyskujących informacje i ich współczesny podział Źródło: Opracowanie własne Cele jakimi kierują się uŜytkownicy dla pozyskania informacji mogą być róŜne. Z reguły jest to wewnętrzna potrzeba pozyskania wiedzy. Np. surfowanie po ulubionym portalu z wiadomościami sportowymi, lub ze względu na istnienie anonimowości w sieci, pozyskanie nielegalnych pirackich kopii utworów do celów własnych. Haker moŜe zostać opłacony do wydobycia, bądź naraŜenia na szkody konkurencji, lub moŜe dostać zlecenie na przeprowadzenie szerokiego audytu bezpieczeństwa wychwytując wszystkie luki i zabezpieczając je na przyszłość. 8 Określenia kolorów kapeluszy odnoszą się do czasów amerykańskiego dzikiego zachodu, gdzie kowboje - przestępcy nosili kapelusze czarne, a polujący na nich szeryfowie białe. 10 [email protected] http://tturba.tk Rodzaje uŜytkowników: a) zwykły uŜytkownik ytkownik – osoba na co dzień pracująca, bądźź relaksująca relaksuj się przy komputerze. Stanowi uogólnioną uogólnion klasę nadrzędną dla pozostałych rodzajów uŜytkowników. b) pracownik – osoba, której zawód jest ściśle związany zany z komputerem. Nieświadomy zagroŜeń sam w sobie stanowi bardzo podatny wyciek informacji z wnętrza wn sieci korporacyjnej. c) haker „white hat” – osoba, która posiada ogromną wiedzę dzę nt. zabezpieczeń komputerów, lecz nie wykorzystuje wykorzystuj jej w ogóle w złych celach. Haker w „białym „ kapeluszu” uogólniając bardziej stanowi postawę ideologiczną i zbiór zasad etycznych jakimi powinni kierować się inni znawcy bezpiecze ezpieczeństwa komputerowego. Najbardziej znanym hakerem etycznym jest Richard Stallman – twórca ruchu wolnego oprogramowania, oprogramowania licencji GNU i załoŜyciel yciel Fundacji Wolnego Oprogramowania. Jego programistyczne umiejętności umiej przyczyniły się do utworzenia kluczowych aplikacji dla systemu GNU/Linux takich jak kompilator GCC czy edytor Emacs. Powszechnie znany z pozytywnego nastawienia do d Ŝycia. Rys. 3.2.. Richard Stallman „Ostatni wielki haker”. haker” Haker-aktywista aktywista w białym kapeluszu Źródło: http://www.benchmark.pl/aktualnosci/Richard_Stallman_na_konferencji_IT_Giants_2009_w_Krakowie http://www.benchmark.pl/aktualnosci/Richard_Stallman_na_konferencji_IT_Giants_2009_w_Krakowie-16101.html (04.06.2009r) 11 [email protected] http://tturba.tk d) haker „black hat” – najbardziej znany filmowy przykład osoby, która zna się si na zabezpieczeniach, lecz wykrada te informacje w celach materialnych. Dla sławy, dla pieniędzy, dzy, na zlecenie. Kevin Mitnick jest przykładem na to jak moŜna mo stać się sławnym po tym, gdy zostanie się si pochwyconym. Pomimo, Ŝe Mitnick Mit stosował głównie ataki socjotechniczne to nie zarzuca mu się si braku wiedzy o mechanizmach telekomunikacyjnych. W nagłośnieniu nagło nieniu przez media Mitnicka jako hakera o czarnym kapeluszu po odsiedzeniu wyroku wydał bestsellerową bestsellerow ksiąŜkę – „Sztuka Sztuka Podstępu”. Podst Rys. 3.3. Kevin Mitnick – najsłynniejszy pochwycony socjotechnik, phreaker phreaker i haker w czarnym kapeluszu Źródło: http://fergdawg.blogspot.com/2008/08/kevin-mitnick-looks-back-in-forbes.html http://fergdawg.blogspot.com/2008/08/kevin (04.06.2009r) e) haker „grey hat” – stanowi granicę granic między dzy czarnym, a białym. Najpowszechniejszy rodzaj hakera. Zna się na bezpieczeństwie, bezpiecze lecz potrafi zostawić sobie tylne drzwi do systemu, który został mu zlecony w celach diagnostycznych, bądź b przeprowadzenia audytu bezpieczeństwa. stwa. Zdobyte informacje wykorzystuje w celach własnych. f) „hacktivist” – haker-aktywista. haker Osoba, która moŜe działać na zlecenie, bądź b pod przymusem wydobywającc poufne informacje sklasyfikowane jako bardziej tajne niŜ ni poufne (np. rządowe). MoŜee działać według własnych wewnętrznych trznych przekonań. przekona RównieŜ jest filmowym przykładem hakera „walczącego „walcz z systemem”. g) „script kiddie” – osoba w gruncie rzeczy nie znająca ca się na mechanizmach bezpieczeństwa, stwa, lecz wykorzystująca wykorzystuj darmowe oprogramowanie napisane isane przez hakerów. Stanowi największą część ęść zewnętrznych zewn uŜytkowników zagraŜających cych wewnętrznej wewn sieci firmowej, lecz ataki, którymi operują operuj są dość proste w ominięciu i zablokowaniu. 12 [email protected] http://tturba.tk JednakŜe z pojawieniem się powaŜnej luki w większości buforów programów komputerowych, sprzętowych i protokołów (atak DoS) grupa ta równieŜ musi być mocno brana pod uwagę przy zabezpieczaniu i audycie bezpieczeństwa firmowej sieci. Za najogólniejszy podział rodzajów ataków przyjęto podział ze względu na źródło powstania. W ten sposób ataki dzielone są na: a) Zewnętrzne b) Wewnętrzne Zewnętrzne – czyli wszystkie, które powstają poza firmową siecią, z reguły w Internecie. Stanowią grupę ataków, które zachodzą najczęściej ze względu na fakt istnienia anonimowości w globalnej sieci internetowej. KaŜdy internauta silniej związany z komputerem prędzej czy później ogląda film „Hakerzy”, bądź wchodzi na stronę o tematyce bezpieczeństwa. Sam zaczyna próbować wywoływać ataki za pomocą dostępnego oprogramowania i zostaje „script kiddie” pozostając jednocześnie anonimowym. Zupełnie jak w przypadku namacalnego ataku na drugą osobę. Napastnik z reguły pragnie zachować swoją toŜsamość i przykładowo atakuje ofiarę w masce. Napastnik komputerowy tak samo zostawia ślady, lecz są one trudniejsze do analizy ze względu na zasięg sieci globalnej – mogą być dokonywane zewsząd. W wypadku ataku fizycznego istnieje zawęŜone pole poszukiwań do miasta, czy państwa. Ataki zewnętrzne z załoŜenia swojego umiejscowienia są atakami wyłącznie komputerowymi. Jedynym realnym przykładem moŜe być włamanie przez osobę niepowołaną i nieznaną do pomieszczenia w którym znajdują się urządzenia sieciowe – lecz przy dzisiejszych zabezpieczeniach fizycznych, owy rodzaj ataku moŜna zaobserwować na hollywoodzkich filmach, lecz nie moŜna oczywiście lekcewaŜyć ich istnienia. JednakŜe bardziej niebezpieczne są ataki, które powstają wewnątrz sieci firmowej – przez bardzo długi okres czasu, przedsiębiorstwa na tej płaszczyźnie były bezradne. JeŜeli pracownik został przekupiony przez konkurencję do wykradzenia danych, bądź nieświadomie podłączał niesprawdzone urządzenia – atak był realny i w zasadzie nie istniała na niego skuteczna obrona. W dzisiejszych czasach specjaliści ds. bezpieczeństwa komputerowego zwracają duŜą uwagę na zabezpieczenie sieci po obu stronach granicy. W dobie rozwiązań telepracy, łączenia oddziałów tunelami VPN rzec moŜna, Ŝe zabezpieczenie wnętrza sieci jest waŜniejsze niŜ od lat sprawdzone i działające techniki ograniczania dostępu od zewnątrz za pomocą firewalli, które de facto są juŜ bardzo skuteczne. Ataki ze względu na źródło powstania dzielą się na równorzędne podgrupy ataków komputerowych i uzyskania fizycznego dostępu do sprzętu komputerowego. 13 [email protected] http://tturba.tk Istnieją trzy główne cele ataków z zastosowaniem powyŜszych podziałów, w sumie będącymi równocześnie wskaźnikami prawidłowego podziału sektorów bezpieczeństwa komputerowego: a) Poufność danej b) Integralność danej c) Dostępność danej Ad. a). Za poufność rozumie się, Ŝe informacja, sklasyfikowana jako tajna ma zostać przetransferowana z bezpiecznego, znanego źródła do celu, do którego jest przynaleŜna i do Ŝadnego innego. Grupa ataków na poufność zawiera w sobie obie podgrupy ataków równorzędnych (fizycznych i komputerowych). Ad. b). Integralność – skoro dana przesyłana jest z zaufanego źródła do zaufanego celu to podczas swojej podróŜy winna nie zostać w Ŝaden sposób zmodyfikowana w celu dokonania przekłamania bądź innych niejawnych malwersacji. Grupa ataków na integralność danych w głównej mierze skupia się wokół ataków komputerowych. Ad. c). Dostępność – jeŜeli dana jest przesyłana z zaufanego źródła do zaufanego celu i działa mechanizm badania jej integralności po obu stronach stacji to naleŜy zapewnić danej bezpieczną trasę oraz nieprzerwalną działalność punktów transmisyjnych by pakiet mógł zostać poprawnie przesłany. Grupa ta jest najtrudniejsza do obrony ze względu na powszechność błędów w konstrukcjach protokołów, programów, a nawet mechanizmów zabezpieczających. Atak na dostępność nawet nie musi być atakiem, a jedynie nagłą zbyt mocną eksploatacją zasobów sieci. NaleŜy włoŜyć duŜy nacisk w prawidłowe zabezpieczenie klasy ataków na dostępność zasobów sieciowych. [2] 14 [email protected] http://tturba.tk 3.1. Przedstawienie ataków i sposobów obrony po stronie fizycznej Pierwszorzędną i najczęściej najsłabiej zabezpieczoną linią obrony jest zabezpieczenie fizycznego dostępu do zasobów przedsiębiorstwa. Nie chodzi jedynie o zamknięcie na klucz pomieszczeń. Włamywacz potrafi wykorzystać kaŜdą fizyczną lukę w zabezpieczeniu by móc dostać się do informacji, które musi uzyskać. Głównymi celami ataku są tutaj: - oczywista dostęp fizyczny, - niedopatrzenie w kontaktowym zabezpieczaniu informacji, - podatność pracownika, - podatność sprzętu na warunki klimatyczne (korozje, przegrzania, zalania), - podatność sprzętu na zakłócenia elektryczne Ochrona dostępu fizycznego jest podstawowym czynnikiem utrudniającym włamanie, lecz w przypadku powstania niedopatrzenia gdy firma moŜe posiadać doskonałe drzwi, zamki, systemy monitorowania, rozumie się, Ŝe firma pada ofiarą włamania nie dbając o właściwą procedurę usuwania danych uwaŜanych za niepotrzebne. W przypadku małych firm problem ten jest uwaŜany za mniej-waŜny, jednakŜe jeśli mamy do czynienia z ogromnym przedsiębiorstwem drukującym dziennie kilogramy makulatury i nagrywającym setki płyt – problem staje się równie waŜny co wdroŜenie skutecznego monitoringu. RównieŜ pracownik sam w sobie wykonujący swoją pracę poprawnie, moŜe zostać ofiarą technik socjotechnicznych wykorzystywanych w celu pozyskania zestawu nazwy uŜytkownika i hasła dla zestawienia zaufanej relacji wewnątrz firmy pomiędzy urządzeniami. Dobry inŜynier projektujący bezpieczną, zbieŜną sieć musi myśleć przyszłościowo. Nie tylko patrząc na rozwój sprzętu i oprogramowania zabezpieczającego, lecz musi zwracać uwagę na fakt, Ŝe sprzęt ciągle eksploatowany –jak wszystko inne- po czasie ulega częściowemu zniszczeniu. Przez niewłaściwą konserwację, nie dbanie o prawidłowe warunki klimatyczne panujące w pomieszczeniach, nieświadomy administrator moŜe doprowadzić do stworzenia przypadkowej, samo rozwijającej się podatności w bezpieczeństwie systemu prowadzącej do zniszczenia sieci. 15 [email protected] http://tturba.tk 3.1.1. Ataki klimatyczne Zwykle najgorszą grupą ataków są takie, o których się nie wie. Mając wiedzę i świadomość z której strony system moŜe zostać zaatakowany, moŜna się przygotować na taką ewentualność. JednakŜe w przypadku wystąpienia ataku, o którym administrator, czy szef działu bezpieczeństwa informatycznego nie mają pojęcia – trudno jest nagle zapanować nad zaistniałym kryzysem. Ataki klimatyczne są taką grupą ataków wykonanych nieświadomie, czasem bez wyraźnego ludzkiego winowajcy. W zasadzie nie biorąc pod uwagę czynniku ludzkiego to nie naleŜałoby pisać o atakach, a raczej podatności metalowego sprzętu komputerowego na wpływy róŜnych czynników środowiska. Łatwo jest przeoczyć środowiskowe zabezpieczenia skupiając się na innych, dobrze udokumentowanych, powszechnych sposobach obrony komputerowej. Do grupy zagroŜeń klimatycznych zalicza się (od najpowszechniejszych): a) Zakłócenia elektryczne b) Zaburzenia temperatury, wilgotności, zaniedbania c) Kataklizm i inne Ad. a) Najczęściej spotykanym zagroŜeniem dowolnego sprzętu, nie tylko komputerowego jest jego ogromna podatność na występujące zakłócenia elektryczne powodujące w najlepszym wypadku przerwę w działaniu, a w najgorszym trwałe jego uszkodzenie. Zakłócenia elektryczne moŜna podzielić w następujący sposób: - zaciemnienie – krótkotrwałe obniŜenie się poziomu napięć. Jest to najpowszechniej występujące zakłócenie dotyczące aŜ 87% usterek sprzętu związanego z zakłóceniami elektrycznymi. Zaciemnienie spowodowane jest najczęściej przez podłączenie do sieci i uruchomienie wielu urządzeń w jednej chwili. Jest równieŜ powiązane z wysoką temperaturą w pomieszczeniu, która moŜe wpływać na poziom napięcia na urządzeniach. W wyniku wystąpienia zaciemnienia moŜe wystąpić twardy restart komputera, błędne działanie urządzeń peryferyjnych. NajwaŜniejszym efektem jednak jest procentowa utrata Ŝywotności kaŜdego z urządzeń. - zanik napięcia – jak sama nazwa wskazuje, jest to całkowita utrata napięcia przez urządzenie spowodowana dowolnym czynnikiem zewnętrznym takim jak: wyładowania elektrostatyczne (pioruny), uszkodzenie linii przesyłowych wysokiego napięcia, kataklizmy itp. Dla pracownika zanik napięcia oznacza całkowitą utratę zawartości pamięci RAM i schowka z którym pracował, dlatego tak często w firmach podkreśla się cykliczne zapisywanie części wykonanej pracy. Gorszym scenariuszem moŜe być jeszcze przykładowo uszkodzenie tablicy alokacji plików dysku twardego. Zanik napięcia tak jak zaciemnienie wpływa na zmniejszenie Ŝywotności kaŜdego urządzenia, lecz w mniejszym stopniu. 16 [email protected] http://tturba.tk - skok napięcia – dramatyczny wzrost wartości napięcia. MoŜe przedostać się dowolnym medium elektrycznym do dowolnego podpiętego urządzenia w sieci korporacyjnej. Poprzez kabel UTP, linię telefoniczną, przez prąd przemienny. Najczęstszą przyczyną wystąpienia skoku wysokiego napięcia jest niewłaściwe uziemienie okablowania zewnętrznego i nieprawidłowa instalacji piorunochronów. Niestety natura bywa nieobliczalna i nawet najlepsze zabezpieczenia mogą nie powstrzymać całkowitego zniszczenia elektronicznego sprzętu, który miał styczność ze skokiem napięcia. - nagły wzrost napięcia – krótkotrwały, trwający zwykle 1/120 sekundy wzrost wartości napięcia. Jest antagonizmem zaciemnienia, tudzieŜ w przypadku nagłego wyłączenia wielu urządzeń pobierających duŜe napięcie, pozostaje ono na linii docierając do reszty podłączonego sprzętu. Wszystkie urządzenia elektroniczne są skonstruowane by otrzymywać napięcie mieszczące się w odpowiednim zakresie. Jeśli owy zakres zostanie przekroczony, urządzenie odczuwa delikatne uszkodzenia, przepalenia w zaleŜności od tego jak bardzo zakres został przekroczony. - szum, EMI, RFI – zaszumienie pojawia się wtedy, gdy w pobliŜu pracują urządzenia wytwarzające swoje pole elektromagnetyczne, które będąc odpowiednio duŜe moŜe zaburzyć prawidłową falę sinusoidalną, której oczekuje inne urządzenie. W przypadku okablowania miedzianego ma się do czynienia z interferencjami elektromagnetycznymi (EMI), natomiast w przypadku transmisji bezprzewodowej z interferencjami radiowymi (RFI). Poza przekłamaniem i błędami w działaniu oprogramowania na sprzęcie dotkniętym zaszumieniem, większe zagroŜenia nie występują. Do obowiązków szefa działu bezpieczeństwa informatycznego przedsiębiorstwa nie naleŜy instalacja sieci elektrycznej. Robi to wykwalifikowany elektryk, specjalista. W sprawach elektrycznych informatyk w firmie winien znać się do poziomu instalacji i konserwacji systemów podtrzymywania napięcia – UPS, które chronią przed nagłą awarią zasilania. Jednak serwerownie z reguły są skonstruowane jako strefa w której się nie pracuje, a system UPS nie podtrzymuje napięcia bardzo długo, więc teoretycznie w przypadku awarii czas reakcji pracownika mógłby być dłuŜszy niŜ czas przez jaki UPS podtrzymuje zasilanie. Stąd istnieje potrzeba implementacji układu zewnętrznego monitorującego stan UPS’a. Firma TechBase w swojej ofercie prezentuje komputer przemysłowy NPE 9201-GPRS, który po instalacji odpowiednich modułów i czujników potrafi przekazać informacje o zaistniałej anomalii bądź braku zasilania z odpowiednich urządzeń do organów zarządzających serwerownią, bądź układem elektrycznym w budynku. 17 [email protected] http://tturba.tk Rys. 3.1.1.1. Schemat ideowy współpracy komputera NPE 9201 i systemów UPS Źródło: http://www.a2s.pl/monitoring-zasilaczy-awaryjnych-systemach-informatycznych-a-1775.html (23.05.2009r) Osobny zarządzający komputer przemysłowy jest więc czynnikiem krytycznym we właściwym zabezpieczeniu infrastruktury informatycznej. Szczególnie waŜnym atutem takiego rozwiązania jest moŜliwość automatycznego zamknięcia systemu poddanemu awaryjnemu zasilaniu, co wpływa na skuteczną ochronę sprzętu i danych przed zniszczeniem. Zasilacze UPS umoŜliwiają połączenia logiczne poprzez szeregowe łącza i moŜna się z nimi komunikować poprzez protokół SNMP gdzie moŜna monitorować parametry zasilacza i zasilania (napięcie, wartość obciąŜenia, nominalny czas pracy z baterii). Za pomocą kontroli SNMP administrator moŜe ułatwić sobie kontrolę zasilania czyniąc z kaŜdego UPS’a niezaleŜny węzeł sieci. W przypadku zaistnienia zawieszenia się serwera administrator nie mający moŜliwości wykonania jego restartu moŜe wyłączyć UPS’a zasilającego owy serwer to spowoduje zamknięcie systemu operacyjnego w sposób nieuszkadzający pliki. Wykorzystując komputer NPE-9201 moŜna zaplanować odpowiednią reakcję systemów zasilania awaryjnego na konkretne zdarzenie elektryczne. Ad. b) O ile zakłóceń elektrycznych moŜna się spodziewać, o tyle zakłóceń działania sprzętu w przypadku grupy zagroŜeń klimatycznych nie. Trudno jest je wychwycić z uwagi na fakt, Ŝe zakłócenia te nie mają nagłego skutku, a są pracą długotrwałego niedopatrzenia. Np. zbyt wysokiej temperatury w pomieszczeniu, złego poziomu wilgotności co powoduje korozję miedzi. Sprzęt po pewnym czasie skorodowania nie psuje się nagle, lecz początkowo 18 [email protected] http://tturba.tk uŜytkownik moŜe odczuwać jedynie dyskomfort w szybkości transmisji w sieci bądź istnieniu pewnych przekłamań, a sprzęt w dalszym ciągu ulega nieuchronnej korozji. Mając na uwadze zabezpieczenie sieci naleŜy brać pod uwagę kaŜdy czynnik, który potencjalnie moŜe wydawać się, Ŝe nie ma Ŝadnego związku z bezpieczeństwem. W przypadku zagroŜeń klimatycznych poza wyŜej wymienionymi czynnikami takimi jak właściwa wilgotność i temperatura w pomieszczeniach naleŜy zadbać teŜ o estetykę samego sprzętu. Nieprawidłowe rozmieszczenie okablowania i osprzętu w sposób niechlujny moŜe doprowadzić do: - braku rozeznania w topologii – przy zaistnieniu niewielkiej usterki o podłoŜu sprzętowym poruszając się po serwerowni inŜynier pragnie jak najszybciej naprawić zaistniały problem. W przypadku porozrzucanego sprzętu i okablowania zapewnia on sobie stratę czasu na dochodzenie do tego, który kabel jest do czego wpięty. Rys. 3.1.1.2. Instalacja grożąca zagrożeniem braku rozeznania w topologii Źródło: http://englishrussia.com/?p=1836 (02.05.2009r) 19 [email protected] http://tturba.tk - mechanicznego uszkodzenia instalacji – przy wyjątkowo niechlujnej instalacji oprócz porozrzucanego okablowania w pomieszczeniu moŜe być teŜ nieprawidłowo przymocowany sprzęt do ścian, szaf rakowych czy innych miejsc. W wyniku powstałych napręŜeń okablowania owy sprzęt moŜe ulec uszkodzeniu w wyniku upadku, lub w najlepszym przypadku dla administratora – rozłączyć się. ZagroŜenie mechanicznego uszkodzenia instalacji sieciowej w jasny sposób moŜe się spotęgować z nieprawidłowym rozmieszczeniem okablowania. - poŜaru – ostatecznie nieprawidłowo zaimplementowana instalacja moŜe doprowadzić do małego wewnętrznego kataklizmu, jakim jest poŜar. Jest to najgorsze moŜliwe zagroŜenie wynikające z niedbałości o sprzęt. Zapalenie się instalacji zaleŜy od kaŜdego z wyŜej wymienionych typów zagroŜeń, zwłaszcza elektrycznych i naleŜy skupić się na tym problemie gdyŜ jego wystąpienie jest realne i zniszczenia są długotrwałe, czasami nieodwracalne. Rys. 3.1.1.3. Przykład instalacji sumującej zagrożenie nieznajomości topologii, naprężenia sprzętu i pożaru Źródło: http://englishrussia.com/?p=1836 (02.05.2009r.) 20 [email protected] http://tturba.tk Jedyną znaną obroną przed takimi nieprzewidzianymi zachowaniami się sprzętu sieciowego jest jego właściwa instalacja od samego początku. Z ustalonym, przemyślanym projektem, rozpisaną dokumentacją i kompetentnym personelem technicznym realizującym załoŜenia wymienionych dokumentów (Model SDLC, rozdział 4.1). Natomiast jeŜeli chodzi o anomalia w pomieszczeniu, to niezbędne jest zainstalowanie specjalnie zaprojektowanych czujników temperatury, wilgotności i wycieku wody. Wcześniej wspomniana firma TechBase oferuje rozwiązania dla informatyki przemysłowej pokrywające się z załoŜeniami bezpieczeństwa takŜe przed anomaliami klimatycznymi. Przykładem jest juŜ wcześniej opisany komputer przemysłowy NPE 9201-EDGE lub 9201-GPRS instalowany na linii szafy serwerowej i klimatyzatora. Rys. 3.1.1.4. Schemat ideowy działania komputera przemysłowego TechBase NPE 9201 Źródło: http://www.a2s.pl/monitoring-klimatyzatora-pomieszczeniu-serwerem-a-1774.html (23.05.2009r) Zawiera w zestawie dwa czujniki temperatury. Jeden wykonujący pomiary w pomieszczeniu, a drugi w samej szafie z głównymi serwerami. Oprócz tego jest zewnętrzny czujnik wilgotności i oddzielnie czujnik wycieku wody. W razie wystąpienia jakichkolwiek odchyleń od ustalonych norm (temperatura: 21ºC, relatywna wilgotność: 45%) system powiadamia personel odpowiedzialny za utrzymanie i konserwacje właściwej struktury w serwerowni poprzez wysłanie SMS’a i wiadomości e-mail. Ad. c) Przed kataklizmami moŜna się zabezpieczyć, lecz w przypadku braku istnienia tzw. lokalizacji odtwórczej, sprzęt dotknięty przez poŜar, powódź, trzęsienie ziemi na pewno w jakimś stopniu ulegnie trwałemu uszkodzeniu. Człowiek nie ma na to wielkiego wpływu, lecz moŜe zrobić jak najwięcej by zaradzić skutkom wystąpienia katastrofy. 21 [email protected] http://tturba.tk O ile szef działu bezpieczeństwa sam nie stworzy projektu lokalizacji odtwórczej to jest wiele firm oferujących taką usługę. Rys. 3.1.1.5. Przykładowa topologia logiczna struktury sieciowej przedsiębiorstwa podczas codziennej pracy Źródło: Opracowanie własne Polega ona na odzwierciedleniu fizycznego stanu sprzętowego przedsiębiorstwa w innej lokalizacji, której to teoretycznie kataklizm nie powinien sięgnąć, lub dotknąć w minimalnym stopniu powodującym uszkodzenia. W zaleŜności od tego ile firma jest w stanie zapłacić, tudzieŜ jak dla nich waŜne jest jak najszybsze przywrócenie sprzętu i konfiguracji do stanu sprzed katastrofy wyróŜnia się trzy podstawowe lokalizacje odtwórcze: a) Gorąca lokalizacja odtwórcza (ang. hot site) – stanowi całkowitą redundancję prawdziwego sprzętu korporacyjnego i aktualnej konfiguracji. Koszty utrzymania drugiej, identycznej struktury informatycznej dokładnie odzwierciedlonej w innej lokalizacji geograficznej są ogromne, jednakŜe w pewnych przypadkach bardziej opłaca się takie rozwiązanie aniŜeli firma miałaby w ciągu kilku dni lub nawet tygodni odtworzyć wszystko co zostało zniszczone przez ten czas tracąc jeszcze większe sumy pienięŜne niŜ zostały przeznaczone na lokalizację odtwórczą. W razie wystąpienia kataklizmu, redundantna struktura informatyczna jest w stanie przejąć rolę głównej lokalizacji w ciągu kilku minut. b) Ciepła lokalizacja odtwórcza (ang. warm site) – stanowi pośrednią redundancję, gdyŜ odzwierciedla jedynie stan fizyczny sprzętu przedsiębiorstwa bez jego konfiguracji. Jest to najbardziej optymalne rozwiązanie, gdyŜ przeniesienie konfiguracji moŜe zająć maksymalnie kilka dni. Ciepła lokalizacja jest najczęściej wybierana przez przedsiębiorstwa, którym nie zaleŜy na tyle na priorytetowym 22 [email protected] http://tturba.tk działaniu sieci, Ŝe są w stanie poczekać z naprawą usterek do kilku dni. Z reguły jednak przeniesienie konfiguracji dobrym administratorom zajmuje nie więcej niŜ jeden dzień. c) Chłodna lokalizacja odtwórcza (ang. cold site) – jest to najsłabsza lokalizacja odtwórcza. Nie zawiera redundancji pod względem sprzętu, ani konfiguracji. Stanowi alternatywne źródło działania w przypadku wystąpienia awarii. Czynnikiem decydującym jest bardzo niska cena utrzymania takiej struktury. W przypadku małych przedsiębiorstw w zasadzie moŜna mówić, Ŝe chłodna lokalizacja moŜe być ciepłą, gdyŜ firmowy sprzęt jest na tyle tani i nierozległy, Ŝe alternatywne źródła działania jest podobne parametrami do lokalizacji głównej. Zwykle gdy mała firma wymaga jedynie stałego dostępu do Internetu bez osobnych funkcji to poprowadzone zostaje wolne łącze ISDN lub DSL stanowiące chłodną redundancję. Utrzymanie jest bardzo tanie, lecz w przypadku wystąpienia katastrofy sprzęt z lokalizacji nią dotkniętą moŜe być serwisowany w naprawie przez bardzo długi okres czasu sięgający kilku tygodni. Rys. 3.1.1.6. Przykłady wszystkich lokalizacji odtwórczych dla topologii przedsiębiorstwa z rysunku 3.1.1.3 Źródło: Opracowanie własne Z punktu widzenia obrony przed zagroŜeniem kataklizmu lokalizacja odtwórcza jest najskuteczniejszym rozwiązaniem dającym gwarancję powrotu do normalnego działania infrastruktury przedsiębiorstwa w czasie zaleŜnym od tego ile firma przeznaczyła na ten cel środków. [2] 23 [email protected] http://tturba.tk 3.1.2. Ataki związane z fizycznym kontaktem Historycznie najstarsze i najprymitywniejsze zagroŜenie jest związane z naruszeniem prywatności niepodległego terytorium, np. poprzez włamanie do pomieszczenia, naruszenie nietykalności ciała człowieka itp. W przypadku świata komputerów jest tak samo. Maszyny są naraŜone na konfrontację z włamywaczem i w zasadzie wtedy Ŝadne stricte komputerowe zabezpieczenia nie pomagają, gdyŜ jak ktoś ma fizyczny dostęp do sprzętu, ma dostęp do wszystkiego co z nim związane. Istnieją trzy zadania jakimi moŜe kierować się włamywacz uzyskujący dostęp do sprzętu: a) Podpięcie sprzętowego podsłuchu – celem włamywacza jest kradzieŜ informacji. Zadanie to moŜe być wielokrokowe. Podsłuch moŜe zostać załoŜony w celu wydobycia zestawu nazwy uŜytkownika i hasła, które dopiero da dostęp do zdobycia poŜądanej informacji, ewentualnie naruszenia zabezpieczeń systemu w celu czysto destrukcyjnym, bądź pozostawienia sobie tylnej furtki (być moŜe dla dostępu zdalnego). Dlatego waŜne jest by nawet w serwerowni, gdzie ruch zarządzany na zewnątrz moŜe być nieosiągalny, nie zostawiać standardowych nazw uŜytkownika i hasła. Dla przykładu na znaczącej ilości domowych i dla średnich firm routerów (SOHO9) bezprzewodowych zestaw ten to po prostu: nazwa uŜytkownika: admin hasło: admin Podsłuch komputerowy ma dwie definicje: - sniffer – jest to rodzaj sprzętu lub oprogramowania, który przechwytuje pakiety przemieszczające się w sieci lokalnej. Poprzez odpowiednie filtry widokowe w łatwy sposób moŜna odczytać zawartość przechwyconych, niezabezpieczonych pakietów. Sprzętem podsłuchującym w sieciach komputerowych moŜe być zwykły rozdzielacz sygnału niezauwaŜalnie wpięty w kabel. Sniffer ma teŜ dobre znaczenie. W kwestii programowej moŜe równieŜ być narzędziem pracy administratora, który analizuje działanie sieci. 9 SOHO – Small Office, Home Office – określenie dla sprzętu, który swoją funkcjonalnością odpowiada zapotrzebowaniom małego biura, lub domowego uŜytkownika 24 [email protected] http://tturba.tk Rys. 3.1.2.1. Przykład umiejscowienia podsłuchu sprzętowego Źródło: Opracowanie własne Stosunkowo trudno jest wykryć sprzętowy podsłuch. Bez analizy wartości napięć jakie przepływają przez oba końce kabla w zasadzie pozostaje jedynie odnalezienie podsłuchu za pomocą własnej percepcji wzrokowej. Dlatego tak waŜne jest zabezpieczenie sprzętu przed niepowołanym fizycznym dostępem. Hub z uwagi na sposób w jaki działa równieŜ moŜe być sprzętowym podsłuchem, lecz dzisiaj nie jest uwaŜany za zagroŜenie, a jedynie niedopatrzenie administratora, więc zostanie opisany w sekcji zagroŜeń komputerowych. Rys. 3.1.2.2. Przykłady snifferów, podsłuch w sieci Ethernet kabla UTP; podsłuch w sieci Thicknet kabla RG-8 Źródło: http://atel.com.pl, http://yagi.pl. (10.05.2009r.) 25 [email protected] http://tturba.tk - keylogger – podsłuch klawiszowy równieŜ dzieli się na sprzętowy i programowy rodzaj, lecz jego funkcja jest zawęŜona. Sprowadza się do przechwytywania wprowadzonych wartości z urządzeń IO (wejścia-wyjścia) takich jak klawiatura, myszka. Przykładowo uŜytkownik wpisuje w przeglądarce nazwę uŜytkownika i hasła, a keylogger przechwytuje i zapisuje w swojej pamięci kolejność i wartości klawiszy jakie zostały wciśnięte. Keylogger PS/2 Cechy charakterystyczne: 1. Wygląd – keylogger wygląda jak typowa przelotka kabla PS/2, nawet jeśli zostanie przez kogoś spostrzeŜony to istnieje duŜe prawdopodobieństwo, Ŝe zostanie zignorowany. 2. Niewykrywalny przez oprogramowanie z uwagi na swoją konstrukcję. 3. Pojemność: ~2MB czyli około 2.000 000 przechwyconych stuknięć w klawiaturę co odpowiada 12 miesiącom pracy przy komputerze 4. Cena: 125zł/szt. Keylogger USB Cechy charakterystyczne: 1. Wygląd – tak jak keylogger PS/2 ten podsłuch imituje przelotkę kabla USB stosowanego w urządzeniach firmy Apple, gdzie biały kabel i płaska końcówka są ich produkcją seryjną. 2. Monitoring aktywności – potrafi zapisywać strony po jakich surfowała ofiara. 3. Zwiększona pojemność w stosunku do keyloggera PS/2 (~4MB). 4. Cena: 200zł/szt. 26 [email protected] http://tturba.tk Keylogger wewnętrzny Cechy charakterystyczne: 1. Niewykrywalny 2. Wymaga podmiany klawiatury 3. Wysoka cena (289zł/sztuka) Rys. 3.1.2.3. Przykłady różnych sprzętowych przechwytywaczy Źródło: http://keylogger.com.pl (10.05.2009r.) Rys. 3.1.2.4. Miejsca potencjalnych prób instalacji podsłuchu klawiszowego Źródło: Opracowanie własne Główną cechą sprzętowego podsłuchu klawiszowego jest jego kamuflujący wygląd, lecz porównując go cenowo do sniffera wychodzi o wiele droŜej, za mniejszą funkcjonalność, ale mniejszym trudem moŜna osiągnąć zamierzony cel. Keylogger programowy działa dokładnie tak samo jak sprzętowy, lecz nie ma takich wąskich ograniczeń pojemnościowych, gdyŜ moŜe wysyłać wciśnięte klawisze co pewien okres czasu na skrzynkę pocztową atakującego, bądź przechowywać te informacje na dysku. W obu przypadkach istnieje ryzyko wykrycia przez programy zabezpieczające. b) Podsłuch drogą elektromagnetyczną – w zapewnieniu bezpiecznego przetwarzania poufnych danych w branŜy IT nie naleŜy mówić o braku ryzyka podsłuchu elektromagnetycznego. Fale elektromagnetyczne przenikają człowieka dzisiaj na kaŜdym etapie jego Ŝycia. Poczynając od tego, Ŝe ich zbyt duŜe natęŜenie moŜe nieść negatywne skutki zdrowotne, a kończąc na tym, Ŝe prywatność człowieka całkowicie 27 [email protected] http://tturba.tk zanika (telefon komórkowy – idealne źródło antenowe rozsyłające w około emisję elektromagnetyczną). W wyniku wyświetlania lub przetwarzania informacji podzespoły komputerowe emitują silne fale radiowe. Płyta główna stacji roboczej jest w stanie stać się nadajnikiem radiowym w wyniku przetwarzania, który osiąga częstotliwości z zakresu kilku GHz. Wynika to z faktu, Ŝe producenci sprzętu zrezygnowali z metalowego ekranowania obudów komputerów zastępując go tanim plastikiem. Istnieje szyfrowanie informacji w transmisji, jednakŜe w przypadku podsłuchu elektromagnetycznego nie jest to Ŝadne zabezpieczenie. W końcu dana prezentowana na monitorze nie jest w postaci zaszyfrowanej i napastnik za pomocą odpowiedniego sprzętu odczytuje zawartość monitora ofiary, bądź częstotliwość dysku twardego, gdzie dane te nie są szyfrowane przed ludzkim okiem. Emisja ujawniająca jest problemem powszechnym kaŜdego sprzętu, medium przez które przepływa prąd, gdyŜ kaŜde z tych urządzeń zgodnie z prawami fizyki emituje wtedy część swojej energii elektrycznej jako pole elektromagnetyczne. Rys. 3.1.2.5. Sposób emisji pola elektromagnetycznego przez urządzenie elektryczne Źródło: Opracowanie własne Jedyną skuteczną metodą ochrony jest zapewnienie ekranowania i zabezpieczenie moŜliwych miejsc wycieku fali radiowej. Ekranowanie jest obniŜeniem natęŜenia elektromagnetycznego pola urządzenia na zewnątrz za pomocą strat cieplnych lub 28 [email protected] http://tturba.tk odbić na ekranie. Sam ekran jest to bardzo cienka siatka o drobnych otworach skonstruowana z metalu i jego pochodnych (blacha, folia). Głównym jego zadaniem jest powstrzymanie rozchodzenia się fal radiowych. W projekcie implementacyjnym działu IT jako pomieszczenie serwerowe z reguły wybiera się pomieszczenia nie posiadające okien i podwieszanych sufitów – wynika to z faktu, Ŝe ekranowanie jest skuteczne tylko wtedy gdy jest szczelne. Gdyby w serwerowni były okna, byłoby to potencjalne miejsce podsłuchu i nieświadomego wycieku emisji elektromagnetycznej. Tanim sposobem zabezpieczenia pokoju serwerowni jest zbudowanie w niej klatki Faradaya. NaleŜy dokładnie pokryć całe ściany, podłogę i sufit metalową, bardzo drobną siatką, np. z miedzi. Powstanie w ten sposób rodzaj wewnętrznego płaszcza ekranującego. Nie naleŜy takŜe zapomnieć o zabezpieczeniu paneli i przewodów wentylacyjnych za pomocą wkładek przewodzących, które przepuszczają strumień powietrza, a nie przepuszczają fal elektromagnetycznych. Po zamontowaniu takiego ekranowania warto jest przeprowadzić bardzo prosty test polegający na sprawdzeniu zasięgu w telefonie komórkowym poza pomieszczeniem i w nim samym. Celem jest osiągnięcie minimalnego zasięgu antenowego lub jego brak. Telefon komórkowy moŜe posłuŜyć więc jako tester fal elektromagnetycznych do potencjalnych wycieków, które będzie moŜna sprawnie załatać spoiwem lub taśmą termoprzewodzącą. Kable w serwerowni (poza horyzontalnymi dochodzącymi do szaf rakowych) powinny być kablami światłowodowymi, które nie emitują fal elektromagnetycznych. Kabel typu skrętka z uwagi na swoje parametry stanowi idealną antenę nadawczą dla napastnika. JeŜeli chodzi o pomieszczenie serwerowe to ochrona na tym etapie się kończy, lecz znacznie trudniej jest chronić komputery robocze, gdyŜ istnieje wiele pomieszczeń i Ŝaden nie powinien być obłoŜony miedzianą siatką, poza specjalnym przypadkiem z pomieszczeniami zawierającymi ściśle tajne dane. Raczej chodzi tutaj o zwykłe pomieszczenia biurowe, pracownicze, więc nie byłoby to rozwiązanie estetyczne. Problemem jest takŜe podsłuch w tym samym pomieszczeniu z uwagi na jego rozmiary, więc taka ochrona klatką nie sprawdziłaby się. NaleŜy więc zabezpieczać kaŜdą stację roboczą indywidualnie. MoŜna osiągnąć bezpieczeństwo zakupując niedrogie ekranowane obudowy. W duŜym stopniu ograniczą one wyciek informacji. Jednak największym uznawanym źródłem emisji jest przewód wideo łączący monitor z portem w obudowie. Są dość długie, ustawione przewaŜnie w bliskim pionie i nieekranowane, dlatego łatwo emitują informacje trafiające na monitor uŜytkownika. NaleŜy wtedy zastosować ekran elektromagnetyczny ze specjalnej folii ochronnej. 29 [email protected] http://tturba.tk Rys. 3.1.2.6. Przykład oryginalnego obrazu i jego wycieku elektromagnetycznego na monitorze oddalonym 15m Źródło: http://g1.computerworld.pl/news/1/9/191811 (27.05.2009r) W celu zapewnienia większej ochrony naleŜy równieŜ zaopatrzyć się w telefony cyfrowe z mechanizmem DECT z kodowaniem przekazu pomiędzy telefonem, a jego słuchawką. Na pewno w transmisji sieciowej nie zaszkodzi szyfrować pakiety, gdyŜ sprzęt do podsłuchu kabla jest relatywnie tańszy niŜ ten do podsłuchu elektromagnetycznego z monitora (około kilkadziesiąt tys. złotych). [4] c) Przełamanie fizycznej kontroli dostępu – jeŜeli celem włamania jest uszkodzenie sprzętu to jeśli włamywacz przejdzie przez drzwi serwerowni i dostanie się do szafy rakowej to moŜna uznać, Ŝe sprzęt nie zostanie w Ŝaden sposób przed zagroŜeniem uchroniony. Wynika to z faktu, Ŝe jest to sprzęt elektroniczny. Szkodzi mu uszkodzenie mechaniczne, elektryczne, zbyt niska i zbyt wysoka temperatura, poŜar, zalanie. Włamywacz mający na celu zniszczenie sprzętu ma więc do wyboru w jaki sposób to osiągnie. Co ciekawe poprzez uszkodzenie mechaniczne, takie jak uderzenie sprzętu moŜe dojść do spięcia w instalacji elektrycznej, która następnie moŜe się zapalić i w wyniku naszego zabezpieczenia przeciwogniowego zostać zalana wodą. Zapewne po takim zestawie uszkodzeń sprzęt w Ŝaden sposób nie będzie nadawał się do uŜytku. Wprowadzenie zabezpieczeń fizycznej kontroli dostępu jest stosunkowo proste w porównaniu do przeprowadzenia komputerowego audytu bezpieczeństwa. Podstawową składową obrony są solidne drzwi. MontaŜ skomplikowanych, specjalistycznych zamków w mało solidnych drzwiach mija się z celem. Zamiast drzwi wewnętrznych z reguły zbudowanych z cienkich warstw sklejek naleŜy stosować bardzo solidne drzwi kancelaryjne. Są wytrzymałe z uwagi na pokrycie ich warstwą stali o grubości około 2mm. Podstawą do takich drzwi są zamki rozporowe zamykające się na kaŜdą ścianę w połączeniu z blokadą przeciwwywaŜeniową. JeŜeli chodzi o zamek moŜna zastosować tradycyjne rozwiązanie mechaniczne, lecz preferowanym sposobem z uwagi na funkcjonalność i programowalność, jest stosowanie zamków cyfrowych z elektronicznymi wkładkami. Plusem takiego zamka jest fakt, Ŝe nie musi być montowany w drzwiach chroniących wyłącznie pokoje. Pracownik ochrony moŜe zaprogramować kartę w taki sposób by blokowała dostęp do 30 [email protected] http://tturba.tk innych miejsc. Przykładowo, jeŜeli czytnik karty umieszczony jest w windzie to omija ona wyznaczone przez pasaŜera piętro jeśli nie zostanie zautoryzowany. Dodatkową wadą kluczy tradycyjnych jest sposób ich opisywania. Mając pęk kluczy z reguły kaŜdy jest podpisany z etykietą jakiego dotyczy pokoju. W przypadku karty magnetycznej lub zbliŜeniowej, nie jest ona oznaczana (co najwyŜej kolorem), ani podpisywana, co utrudnia włamywaczowi, który pozyskał kartę odnalezienie właściwego pomieszczenia. Warto pamiętać o dodatkowych elementach bezpieczeństwa jeŜeli naleŜy w sposób szczególny zabezpieczyć cenne rzeczy. Drzwi dodatkowo mogą być ognioodporne (do 60min) i posiadać certyfikat Ministerstwa Obrony Narodowej z 17.11.205r oznaczony numerem EI60 związany z funkcjonowaniem i organizacją kancelarii tajnych (norma PN-90/B-92270 lub Rozporządzenie RM z 18.10.2005 Dz. U. 208, poz. 1741). Jako wyposaŜenie warto pamiętać o ryglu elektromagnetycznym, mechanizmie samozamykacza i o gałce z zewnątrz. Drzwi w razie niedopatrzenia pracownika poprzez niedomykanie lub szarpanie, nie mogą zostać otwarte bez uŜycia karty. Lecz po co komu solidne drzwi jeśli są wmontowane w ścianę działową z płyty kartonowo-gipsowej lub warstw spienionego betonu. Włamywacz jest inteligentny. Włamanie z pewnością zostało zaplanowane, więc jeśli przeprowadził on rekonesans to sprawdził, Ŝe łatwiej będzie mu się przebić przez cienką ścianę niŜ forsować antywłamaniowe, wzmocnione drzwi. Intruz moŜe stosunkowo szybko wyciąć otwór za pomocą młota udarowego lub piły mechanicznej. Jest to głośne rozwiązanie, lecz krótkie i skuteczne. W ochronie pomieszczenia, więc waŜne jest zabezpieczenie kaŜdego miejsca przez które włamywacz jest w stanie się przedrzeć – okna, drzwi, ściany, kanały wentylacyjne, sufit, podłoga. Mniej wartościowe przedmioty mogą być przechowywane w szafach na dokumenty. Te droŜsze – w sejfach. Odporność sejfu i szafy zaleŜy od ich przeznaczenia. Szafy na dokumenty typowo mogą być wyposaŜone w zamki mechaniczne lub elektroniczne, regulowane półki i miejsce do zaplombowania. Warto przeczytać regulację prawną o wymaganiach wobec szaf na dokumenty niejawne w rozporządzeniu Rady Ministrów (Dz. U. 208, poz. 1741). Przedmiotami przechowywanymi w takich szafach mogą być teczki osobowe zatrudnionych pracowników, dokumentacja techniczna lub handlowa, bądź inne poufne dokumenty. 31 [email protected] http://tturba.tk Konstrukcja skrzydła: 1. Blacha stalowa ocynkowana gr. 1,25 mm 2. Pianka poliuretanowa (samo gasnąca, bezfreonowa) 3. Stalowe Ŝebra i pręty ze stali hartowanej 4. Panele dekoracyjne odporne na warunki atmosferyczne 5. Zamek centralny 6. Zamki pomocnicze 7. Zamek dodatkowy 8. Sztywny łańcuch 9. Stałe bolce przeciwwywaŜeniowe 10. Regulowane zawiasy 11. Dolna listwa zamykająca z uszczelką szczotkową Rys. 3.1.2.7. Parametry techniczne drzwi antywłamaniowych firmy Gerda Star SX Źródło: http://www.gerda.agp.pl/drzwi-starsx.html (22.05.2009r.) DroŜszym rozwiązaniem, lecz bezpieczniejszym jest zaopatrzenie firmy w kasę pancerną, w której moŜna np. przechowywać bardzo waŜne informacje, takie jak krytyczne kopie bezpieczeństwa systemów informatycznych przedsiębiorstwa, bądź walory pienięŜne. Sejf stanowi jeden z najtrudniejszych elementów do sforsowania podczas włamania. MoŜe być zamontowany ze specjalnym systemem samo reakcji na próbę włamania, jakim jest obrona przed wyrwaniem zawiasów czy system samoczynnego ryglowania. Dodatkowo popularnym rozwiązaniem są zamki ze szklaną płytką. Jeśli sejf zostanie poddany zbyt intensywnym wstrząsom, bądź rozwiercaniu to płytka pęka i sejf ulega zaryglowaniu od wewnątrz i nie jest moŜliwe jego otwarcie w sposób szybki i konwencjonalny. Szafy i sejfy mogą być ognioodporne, lecz nie są wodoodporne. Jednak jednym z waŜniejszych czynników bezpieczeństwa jest instalacja monitoringu przemysłowego, czyli regularne, całodobowe badanie aktywności w pomieszczeniach waŜnych i poufnych z wykorzystaniem do tego celu pracownika ochrony. W przedsiębiorstwie kaŜdy sektor, nawet najmniej waŜny obszar powinien być stale monitorowany. Newralgicznymi punktami są przejścia słuŜbowe i bezpośrednie korytarze do waŜnych pomieszczeń. 32 [email protected] http://tturba.tk 3.1.3. Atak socjotechniczny O socjotechnice, inaczej zwaną inŜynierią społeczną słyszał prawie kaŜdy człowiek. Większość zastrzega się, Ŝe w skuteczny sposób potrafią się przed jej atakami obronić, lecz kaŜdy kiedyś staje się na nie podatny. Z technikami wpływania na innych, człowiek ma do czynienia przez całe swoje Ŝycie i w kaŜdym środowisku społecznym. W większości przypadków nie jest nawet świadomy, Ŝe padł ich ofiarą. Przykładowo klient sklepu elektronicznego skusił się na zakup nowego telewizora LCD, bo był on w promocji, po obniŜonej cenie, gdzie tabliczka cenowa zawierała równieŜ przekreśloną –rzekomo- wyŜszą wartość. Klient zrozumiał to jako okazję. Jest to typowy, Ŝyciowy przykład zastosowania elementów socjotechniki. Jednak najpowszechniejszym i najbardziej rozpoznawanym przykładem inŜynierii społecznej jest reklama telewizyjna, mająca na celu nastawić odbiorcę na zakup produktu, bądź usługi. Z reguły wywołuje w widzu pozytywne emocje takie jak radość, śmiech, upodobnienie do nadawcy. Aktorzy są weseli, pewni siebie, dobrze dobrani do roli. Często są to osoby sławne – rozpoznawalne przez widza. Przedstawiany produkt jest takŜe często idealizowany poprzez porównanie go do innego, gorszego produktu. Socjotechnika wykorzystuje wszystkie moŜliwe luki umysłu ludzkiego: - zaciekawienie - pewność bezpiecznej relacji z rozmówcą - podatność człowieka na kłamstwo - emocje, w tym strach Nie jest waŜne w jaki sposób zdobędzie się informacje, czy to poprzez typowe kłamstwo, czy moŜe bardziej skomplikowany scenariusz. Liczy się fakt uzyskania informacji, bądź zachęty ofiary do wykonania odpowiednich działań mających na celu przynieść atakującemu poŜądane korzyści. Socjotechnika stanowi bardzo skuteczne narzędzie, wystarczy poznać mechanizmy kierujące ludzką psychiką. Rys. 3.1.3.1. Cykl życiowy ataku socjotechnicznego Źródło: Opracowanie własne 33 [email protected] http://tturba.tk Występuje wiele technik inŜynierii społecznej. Do najpowszechniejszych naleŜą: a) Pozorny wybór – socjotechnik przedstawia kilka punktów widzenia, jednakŜe zdanie odpowiadające jego poglądom jest przedstawiane w bardziej pozytywnym odczuciu. Jednocześnie daje widzowi rzekomą władzę nad dokonaniem własnego, świadomego wyboru. b) Ośmieszanie – socjotechnik manipuluje ofiarą ośmieszając nie odpowiadające mu idee zgodnie z zasadą - Jeśli coś zostało ośmieszone – nie moŜe zostać pozytywnie przyjęte. c) Świadectwo autorytatywne – powołanie się na powszechnie rozpoznawany autorytet (np. aktor, naukowiec, dyrektor lub szef). d) Przeniesienie – manipulator przeprowadza skojarzenie swojego przesłania z ugruntowanym pozytywnym pojęciem wśród odbiorcy. Budzenie pozytywnych wspomnień np. z dzieciństwa, tworzenie otoczki do całości. e) NiezaleŜne zdanie - kształtowanie przekazu w taki sposób, aby sprawiał wraŜenie, Ŝe mówcy nie zaleŜy na uzyskaniu aprobaty widza, lecz buduje szacunek „własnego zdania”. Technika powoduje w odbiorcy poczucie słuszności wypowiedzi mówcy. f) Selekcja faktów – częsta technika inŜynierii społecznej nieświadomie wykorzystywana przez dzieci. Wypowiedzenie tylko tych faktów, które odpowiadają manipulatorowi przy jednoczesnym zatajeniu pozostałej prawdy. g) Nowomowa – tworzenie nowego pojęcia z silnym tłem emocjonalnym, często przywoływanym w przyszłości. Technika bardzo popularna w reklamach telewizyjnych telefonów komórkowych. h) Wskazywanie negatywnego odniesienia – konsolidacja promowanych idei przez manipulatora w świetle wskazania ich wroga. i) Zdanie większości – stworzenie trwałej relacji z odbiorcami, często nazywanych „swoimi”, którzy mają takie same zdanie jak mówca. Skoro większość ma rację to musi być dobra decyzja. j) Kłamstwo – niemówienie prawdy z jednoczesnym ograniczeniem odbiorcy do dostępu do innych źródeł informacji o prawdzie. k) Tworzenie stereotypu – uŜywanie stworzonego stereotypu. Często przywoływany o silnym podłoŜu emocjonalnym. l) Slogan – powtarzanie specjalnie spreparowanego tekstu – sloganu wykorzystującego mieszane techniki socjotechniczne. Stosowane przez polityków podczas wyborów, bądź w promocjach sklepowych. Socjotechnika komputerowa w dzisiejszym świecie traktowana jest po macoszemu. KaŜdy ma świadomość jej istnienia, lecz nie kaŜdy wie jak się przed nią świadomie obronić. Zdobycie informacji technikami socjotechnicznymi poprzez komputer w zasadzie niczym nie róŜni się od typowego wydobycia informacji od człowieka bez komputera, gdyŜ to właśnie sam człowiek jest głównym celem ataku jako najsłabsze ogniwo w sieci korporacyjnej, a dopiero później komputer słuŜy jako narzędzie włamania. 34 [email protected] http://tturba.tk W rozdziale 3. wspomniany został Kevin Mitnick, najsłynniejszy komputerowy socjotechnik. Został oskarŜony i osadzony w więzieniu za wykorzystywanie umiejętności inŜynierii społecznej do wyłudzania informacji. W zarzucie moŜna wyczytać, Ŝe Mitnick wcielał się często w osoby trzecie. Najciekawszym aspektem jego kradzieŜy jest jednak to, Ŝe de facto nie była to kradzieŜ! Wszystkie informacje naruszające zabezpieczenia firmowe słuŜące mu do dalszych celów zdobył poprzez prośby skierowane do zwykłych ludzi, pracowników danej firmy. W jednej ze swoich ksiąŜek pt. „Sztuka podstępu” opisuje on siedem metod jakimi posługiwał się podczas infiltracji przedsiębiorstw. a) Metoda pytania bezpośredniego – trudny do oparcia błyskawiczny „atak” z zaskoczenia. Napastnik wprost pyta ofiarę o konkretne dane, bądź kieruje ją dobrym uzasadnieniem, pewnością siebie. PRZYKŁAD: Napastnik: „Dzień dobry Pani, moje nazwisko Jan Swojski, mamy w firmie problemy z działaniem sieci. Proszę na chwilę zmienić swoje hasło na „test123”… … Ok. wygląda na to, Ŝe w tym segmencie sieci wszystko jest w porządku. Dziękuję Pani za pomoc. MoŜe juŜ Pani zmienić swoje hasło na stare. W razie problemów proszę dzwonić do nas na dział techniczny. Pozdrawiam. PowyŜszy dialog z pozoru wygląda jak normalna rozmowa z firmowym technikiem. Cechy jakimi operuje to: grzeczność, gra na emocjach, nakaz, pozorny wybór. Pracownik firmy nieświadomej zagroŜenia w rozmowie z grzeczną osobą z działu technicznego wydaje się, Ŝe ma władzę nad tym co robi, bo przecieŜ nie podaje mu swojego hasła. Technik tylko sprawdzi czy wszystko jest w porządku. Lecz w momencie zmiany hasła socjotechnik moŜe podejrzeć pytanie pomocnicze w razie zapomnienia hasła, zmienić szybko hasło blokując pracownicy dostęp lub po prostu wykorzystać zaufaną relację konta pracownicy z serwerem instalując w szybkim tempie swoje konie trojańskie. Socjotechnik grzecznie kończy rozmowę, więc pracownicy wydaje się, Ŝe postąpiła jak najbardziej słusznie. JeŜeli wyszedłby jakiś problem podczas rozmowy, albo rozmówca nie byłby przyjemny, z pewnością pozostałoby to w pamięci pracownika co mogłoby w konsekwencji doprowadzić do namierzenia źródła wystąpienia przyszłego (z punktu widzenia pracownika – zaszłego) problemu. b) Metoda budowania sztucznej osobowości – socjotechnik moŜe zebrać niepozorne, z punktu bezpieczeństwa firmy nieistotne informacje odpowiednio uzasadniając swoje prośby. Do zbiorów mogą naleŜeć m.in. dane osobowe administratora, numer pracownika, numery telefonów wewnętrznych, znajomość wewnętrznej terminologii. Dzięki zebraniu tychŜe informacji socjotechnik moŜe wcielić się w pracownika korporacji. Kogoś zaufanego, kogoś z wewnątrz. Napastnik, który wykaŜe się znajomością pewnych nazwisk, informacji wewnętrznych firmy jest w stanie potwierdzić swoją sfałszowaną toŜsamość. 35 [email protected] http://tturba.tk PRZYKŁAD: Zdobyte imię administratora: Stefan Napastnik dzwoni do ofiary: Ofiara: „Dział handlowy, w czym mogę pomóc?” Napastnik: „Dzień dobry, jest tam moŜe w pobliŜu gdzieś Stefan?” Ofiara: „Jaki Stefan?” Napastnik: „No Stefcio z informatycznego, bo padł jeden segment sieci i nie ma się do niego przelogować jak nie przez waszą handlówkę” Ofiara: „A, ten Stefan, nie niestety nie ma go” Napastnik: „Cholera! Miał juŜ tam u was być, przecieŜ to musi działać! MoŜe Pani zmienić u siebie hasło na „test123” sprawdzę czy wszystko jest w porządku na serwerze. Ofiara: „… juŜ.” <<MOMENT ATAKU>> Napastnik: „Ok., uf, juŜ gotowe. Wszystko OK., niech Pani juŜ zmieni z powrotem na swoje hasło, a jak tam Stefcio do Pani przyjdzie to proszę przekazać, Ŝe wszystko juŜ działa.” Ofiara: „Dobrze, dziękuję za pomoc” Napastnik: „RównieŜ dziękuję, do zobaczenia” Z reguły owa metoda jest skuteczniejsza im więcej informacji jest w stanie wydobyć napastnik przed wykonaniem właściwego ataku. c) Metoda budowania zaufania z wykorzystaniem emocji do przełamania barier psychicznych – połączenie tych dwóch metod w jedną daje praktycznie zawsze dobre rezultaty. Czynnikiem znaczącym jest tutaj jedynie fakt ile czasu jest w stanie napastnik poświęcić by ofiara była w stanie mu w jakiś sposób zaufać. Czasami moŜe to potrwać kilkanaście dni. Socjotechnik moŜe stworzyć ciekawy scenariusz w raz z odpowiednim wyborem osobowości jaką będzie musiał odgrywać. PRZYKŁAD: Napastnik odgrywa rolę nowego, zagubionego pracownika, który potrzebuje pomocy, gdyŜ nie potrafi sobie jeszcze zbytnio poradzić na nowym stanowisku w nowej firmie. Napastnik: „Dzień dobry, nazywam się Zenon Marchewka, czy moŜe mi Pani pomóc?” 36 [email protected] http://tturba.tk Ofiara: „W czym problem?” Napastnik: „Dzwonię z działu księgowego, pracuję tutaj od wczoraj i mi bardzo zaleŜy na nie straceniu tej posady. Czy mogłaby mi Pani podać numer do administratora, gdyŜ mój komputer coś szwankuje? Ofiara: „Tak, niech Pan dzwoni do Bolka pod wewnętrzny 45” Napastnik: „Ślicznie Pani dziękuję i pozdrawiam!” Ofiara: „Do widzenia.” <<MOMENT ATAKU>> W ten sposób mamy numer do administratora, a nawet za darmo została wydobyta informacja o jego imieniu. Im więcej takich nieproszonych informacji socjotechnik jest w stanie przechwycić tym więcej moŜe dzięki nim osiągnąć. d) Metoda wykorzystania autorytetu – socjotechnik powołując się na osobę z wyŜszego stanowiska w pewien sposób kontroluje zachowanie pracownika. Nikt nie sprzeciwi się bez uzasadnienia decyzji swojego przełoŜonego, więc z reguły wykona przekazane polecenie. PRZYKŁAD: Ofiara: „Dzień dobry” Napastnik: „Dzień dobry Pani, tu Antek z marketingu, szef prosił przekazać, Ŝe ma mi Pani przesłać na pocztę faktury z tego tygodnia” Ofiara: „Na maila czy faksem?” Napastnik: „A jak Pani woli… myślę, Ŝe mailem będzie szybciej, proszę słać na [email protected]” <<MOMENT ATAKU>> Dobry socjotechnik musi mieć zawsze przygotowany scenariusz typowych odpowiedzi i zachowań na jakie powinien w odpowiedni sposób reagować. Z przykładu powyŜej, manipulant był przygotowany na ewentualne pytanie o sposób przesłania informacji, gdyŜ nie uwzględnił je w swojej pierwszej wypowiedzi. Dał pracownikowi pozorny wybór, lecz wyraźnie nakreślił negatywne odniesienie nieodpowiadającej mu metody odbioru. Faks zostałby przesłany na wewnętrzny numer firmowy, a z załoŜenia napastnik nie ma autoryzacji do przebywania w pomieszczeniu biurowym z faksem przeznaczonym dla pracowników. e) Metoda ankiety – najbardziej popularna metoda wyciągania informacji od rozmówcy, jednakŜe ze względu nasilonej liczby swoich wystąpień jest w duŜej mierze powszechnie uwaŜana juŜ za nieskuteczną. Ankieter-napastnik moŜe zadać wiele 37 [email protected] http://tturba.tk pytań pośród których będzie tylko jedno, które go interesuje. Dodatkowo moŜe stymulować psychikę ofiary zapewniając np. o przysłaniu zestawu upominkowego złoŜonego z drobiazgów za wypełnienie ankiety. Oczywiście pobierając od ofiary w tym celu dane prywatne o zamieszkaniu. Lepszym typem napastnika w wypadku ankiety jest kobieta z uwagi na delikatność głosu, wrodzony brak agresji i typowość wykonywania takiej pracy przez płeć piękną (co usilnie w telewizji potwierdzają róŜnego rodzaju reklamy). PRZYKŁAD: Napastnik: „Dzień dobry Panu, moje nazwisko Ola Poter, czy zechciałby Pan otrzymać ode mnie upominkowy zestaw złoŜony z kremu do golenia i naszej nowej maszynki Philips 3 w 1?” Ofiara: „Za darmo? Ale co muszę zrobić w tym celu?” Napastnik: „Tak, oczywiście zestaw jest całkowicie darmowy. Wystarczy, Ŝe odpowie nam Pan na dwa króciutkie pytania. Czy mogę je teraz Panu zadać?” Ofiara: „No słucham” Napastnik: „Czy goli się Pan codziennie?” Ofiara: „Nie, co drugi dzień” Napastnik: „Czy stosuje Pan kremy pielęgnacyjne po goleniu?” Ofiara: „Nie, wystarczy woda” Napastnik: „Super, dziękuję za udział Pana w naszej ankiecie. Proszę teraz podać dane adresowe, na który zostanie przesłany Panu zestaw upominkowy” Ofiara: „Krzysztof Jarzyna Ul. Rozbójników 40 Szczecin” Napastnik: „Dziękuję ślicznie, listonosz przyniesie paczkę, do usłyszenia” <<MOMENT ATAKU>> Zadając pytania socjotechnik zataił fakt uzyskania adresu pod pretekstem otrzymania darmowego prezentu. KaŜdy chce coś otrzymać minimalnym wkładem, a ofiara i tak uwaŜa, Ŝe naleŜy jej się owy upominek chociaŜby przez fakt, Ŝe postanowił poświęcić chwilę swojego cennego czasu na odpowiedzenie na pytania bez większego znaczenia dla jego Ŝycia. Mając pewność, Ŝe rozmawiano z pracownikiem firmy i mając jego dane osobowe moŜna je w odpowiedni sposób wykorzystać w rozmowie z inną osobą pracującą z ofiarą potwierdzając tym samym jej znajomość. 38 [email protected] http://tturba.tk f) Metoda socjotechniki zwrotnej – skomplikowana metoda wymagająca synchronizacji w rozmowie z wieloma ofiarami. Interesując ofiarę scenariuszem postępowania socjotechnik skłania ją do nawiązania ze sobą kontaktu w przypadku wystąpienia odpowiedniego zdarzenia. PRZYKŁAD: Napastnik przedstawiający się jako administrator dzwoni do pierwszej ofiary informując ją o moŜliwych problemach w działaniu sieci. Napastnik: „Dzień dobry, Ryszard z serwerownii, informuję Panią, Ŝe przez najbliŜszą godzinę mogą wystąpić problemy z otwieraniem się stron WWW, w razie ich wystąpienia prosiłbym o kontakt na mój numer 123-456-789” Ofiara#1: „Dobrze, dziękuję” Następnie napastnik wykonuje telefon do działu administracyjnego przedstawiając się za pracownika firmy, który ma problem ze swoim komputerem. Napastnik: „Witam, czy to dział komputerowy?” Ofiara#2: „Tak w czym mogę pomóc?” Napastnik: „Nie działają mi strony internetowe a obok zegarka mam napisane w takiej Ŝółtej chmurce, Ŝe kabel sieciowy jest odłączony, mógłby Pan to jakoś u siebie sprawdzić?” Ofiara#2: „Dobrze, juŜ sprawdzam, momencik” W tym czasie istnieje szansa, Ŝe administrator sprawdzi połączenie kabla przełącznikiem na chwile go wypinając. JeŜeli w tym momencie pracownica próbowała przeglądać strony internetowe to wyskoczy jej komunikat przekroczenia czasu połączenia. Zgodnie z zaleceniami powinna zadzwonić do napastnika, który będzie mógł rozwiązać jej problem” Ofiara#1: „Dzień dobry, dzwonił Pan przed chwilą do mnie” Napastnik: „A witam, i co? Przestało coś działać, prawda?” Ofiara#1: „Tak no właśnie przeglądałam stronę jednego producenta i wyskoczyło mi, Ŝe „przekroczono czas połączenia, co z tym zrobić?” Napastnik: „Tak jak myślałem, w porządku, proszę zmienić swoje hasło na chwilkę na „pracownik000”, system ustawi sobie standardowe parametry internetowe po naszej zmianie” Ofiara#1: „Gotowe” <<MOMENT ATAKU>> 39 [email protected] http://tturba.tk Napastnik: „Proszę sprawdzić czy strony teraz działają” Ofiara#1: „O rzeczywiście działają” Napastnik: „No to po problemie, proszę z powrotem ustawić swoje hasło” Ofiara#1: „Super, dziękuje ślicznie Panu za pomoc” Napastnik: „Do usłyszenia!” Metoda wymaga pewnej elastyczności i zaawansowania w stosowaniu technik inŜynierii społecznej. Na pewno nie jest zalecana dla początkujących napastników. Dodatkowo wymaga posiadania kilku informacji wewnętrznych. Wadą jest, Ŝe napastnik podaje swój numer telefonu i o ile nie dzwoni z budki, bądź innego nienamierzanego źródła to w przypadku niepowodzenia moŜe zostać schwytany. g) Metoda socjotechniki odwrotnej – jest wariacją socjotechniki zwrotnej. Napastnik nawiązuje kontakt z ofiarą, lecz w rozmowie objaśniając potrzebę stara się być stroną pasywną. Metoda takŜe wymaga elastyczności i zaawansowania w stosowaniu technik. Uczy wykorzystywać w rozmowie jak najmniej słów, a nawet milczenia we właściwym momencie. Socjotechnika odwrotna często jest stosowana w przesłuchaniach policyjnych. PRZYKŁAD: Napastnik wszedł w posiadanie skradzionego telefonu komórkowego pracownika. Dzwoni do serwisu komórkowego bez konieczności przedstawiania się. Krótko opisuje problem: Napastnik: „Dzień dobry, wypadła mi bateria, a nie pamiętam jaki ustawiałem ten kod początkowy, mógłby mi Pan jakoś pomóc?” Ofiara: „Chodzi Panu o kod PIN. Proszę podać markę i model telefonu.”… Ofiara: „(…)” Ofiara: „Musi Pan zrobić (…) następnie (…) i ustawić (…).” Napastnik: „Ślicznie dziękuję, do widzenia.” 40 [email protected] http://tturba.tk Wszystkie wyŜej opisane techniki i metody są jedynie składowymi ataku łączących się w większą całość, w tzw. klasę ataków socjotechnicznych, do których zalicza się: Pretekst Wabik Zasada Quid Pro Quo Vishing i IVR Pretekst – jest to akt stworzenia i uŜycia wymyślnego scenariusza (pretekstu), który posłuŜy za zbudowanie w ofierze punktu zaufania do napastnika. Celem jest perswazja ofiary, której efektem jest zdobycie poŜądanej informacji. Częstokroć pretekst wymaga wstępnego rozeznania z atakowaną firmą i zebranie cząstkowych informacji wykorzystanych do scenariusza. Z tej definicji jasno wynika, Ŝe jest to najbardziej podstawowa klasa ataku. Wykorzystywana w dowolnym środowisku, nie tylko komputerowym. Socjotechnik atakując pretekstem musi dobrze przemyśleć scenariusz, który stworzy i ewentualne odpowiedzi na pytania jakie mogłyby paść ze strony ofiary, która nie moŜe wyczuć niebezpieczeństwa np. poprzez zawahanie, zamyślenie. Wabik – klasa stricte komputerowego ataku socjotechnicznego. Jest to zmyślne pozostawienie haczyka, który ma zostać połknięty. Wabienie ofiary jest podobne jak w wędkarstwie. Poprzez analogię naleŜy przyjąć wędkarza za napastnika, a rybę za ofiarę. Natomiast haczyk jest przykładowo pozostawionym pendrivem na schodach firmy. Na dzień dzisiejszy pendrive USB jest bardzo popularnym urządzeniem. Pojemność pokrywa zapotrzebowanie pracownika, wymiary takŜe, lecz cena niejednokrotnie jest wysoka. Dlaczego pracownik nie miałby przyswoić drugiego pendrive’a i sprawdzić jego zawartość? KaŜdy z nas znajdując na ulicy, w biurze, w szkole owe kompaktowe urządzenie z pewnością wpiąłby do swojego komputera i sprawdził co się na nim znajduje. W tym momencie zostałby odpalony atak poprzez zainicjowanie konia trojańskiego bądź innego szkodliwego oprogramowania. Nawet jeśli pracownik ma świadomość bezpieczeństwa i nie wepnie go w swój komputer to moŜe to zrobić inny powiadomiony pracownik. O ile komputer sam nie zablokuje infekcji to w jeśli w systemie jest ustawiona opcja automatycznego uruchamiania to juŜ od tego momentu zabezpieczenia systemu zostają naruszone bez przeglądania zawartości przez ofiarę. Zasada Quid Pro Quo – jest to łaciński zwrot oznaczający „coś za coś”. Napastnik wchodzi w korelację z ofiarą. Dobrym przykładem obrazującym ataki z klasy QPQ jest atak metodą socjotechniki zwrotnej opisany wyŜej. Ofiara otrzymuje od socjotechnika telefon kontaktowy w razie wystąpienia problemu. Zgłasza się sama do niego realizując jego polecenia i kończy rozmowę z czystym sumieniem. Vishing i IVR10 – Vishing jest to odmiana phishingu11 stosowanego w telefonii. Napastnik wyłudza poufne informacje za pomocą telefonu róŜnymi technikami i metodami socjotechnicznymi. Np. za pomocą połączenia stworzonego skutecznego pretekstu i 10 IVR – ang. Interactive Voice Response. Phishing – sposób wyłudzenia poufnych informacji drogą elektroniczną. Z reguły jest to fałszywa informacja e-mail prosząca o połączenie się ze sfałszowaną stroną, która zachowuje się i wygląda jak oryginalna. 11 41 [email protected] http://tturba.tk sfałszowanego systemu IVR. IVR jest to automatyczny system interakcji z obsługiwanym uŜytkownikiem stosowany w telekomunikacji. Osoba, która dzwoni na system IVR po wysłuchaniu serii komunikatów ma za zadanie wybrać odpowiedni numer klawisza do którego przypisana jest zakomunikowana funkcja. Np. wybór języku rozmowy, aktualizacja usług, autentykacja, dostęp do wybranych informacji z bazy danych. Atak socjotechniczny na system polega na podszyciu się pod system IVR by odtworzyć oryginalne nagranie firmowej instytucji np. banku w celu wyłudzenia informacji. Klasa wymaga połączenia kilku metod i technik socjotechnicznych, gdyŜ uŜytkownik najpierw musi zostać skłoniony do połączenia się z systemem w konkretnym celu. Np. moŜe do niego zostać wysłana informacja na e-mail, Ŝe powinien połączyć się telefonicznie do oddziału banku, gdyŜ wygasa jego lista haseł jednorazowych do obsługi transakcji i winien on potwierdzić wysłanie do niego nowej listy. W tej sposób socjotechnik nagrywając wybory klawiszy od ofiary otrzymuje kod PIN lub inne hasła potrzebne do logowania do banku. Dobry socjotechnik potrafi skorelować ze sobą wszystkie klasy, co jest bardzo trudnym elementem do wykrycia, gdyŜ jedynym punktem odniesienia jest ludzki umysł i jego podatność na podświadome kontrolowanie sposobu myślenia. Podstawowym czynnikiem obronnym jest zasada ograniczonego zaufania. Jeśli nie jest wymagane podawanie jakichkolwiek informacji to nie naleŜy tego robić. Jeśli natomiast istnieje potrzeba ich podania to naleŜy zweryfikować cel do którego zostaną przekazane informacje. KaŜdy pracownik winien mieć tę zasadę „zakodowaną” w swojej głowie. By zrozumieć problem naleŜy odpowiedzieć sobie na trzy pytania do następującej sceny: Obca niezatrudniona osoba wchodzi sobie bez problemów do siedziby firmy, siada do komputera i zaczyna w nim przeszukiwać informacje. Pytania: - czy któryś z pracowników stałby się podejrzany wobec tego zdarzenia? (Potencjalnie przecieŜ moŜe to być nowy pracownik, bądź jakikolwiek usługobiorca, przykładowo serwisant komputerowy) - czy któryś z pracowników postanowiłby to zdarzenie zgłosić? (Czy pracownikowi na tyle zaleŜy na firmie i swoich danych, by mógł to zgłosić?) - czy pracownik wiedziałby w jaki sposób zgłosić zdarzenie i komu? (Czy istnieje odpowiednio napisany zestaw reguł i zachowań w takich sytuacjach?) JeŜeli na któreś z pytań odpowiedź pada negatywna naleŜy zainwestować w przedsiębiorstwie w odpowiednie szkolenia i seminaria dla pracowników. Powszechnie stosowanym, skutecznym sposobem obrony przed atakami socjotechnicznymi jest przeprowadzanie periodycznych szkoleń pracowników, zwłaszcza nowozatrudnionych w przedsiębiorstwie. Pobudzenie ludzkiej świadomości na obowiązkowym szkoleniu na których 42 [email protected] http://tturba.tk przedstawiane są przykładowe podejścia ataku stanowią źródło przyszłej obrony w gotowym umyśle pracowniczym. Dodatkową motywacją dla pracownika moŜe być takŜe powaŜniejsze szkolenie, zakańczane egzaminem. Jeśli pracownik zda go pozytywnie – otrzyma certyfikat. W przypadku duŜych przedsiębiorstw moŜe się to wiązać z podwyŜką, więc jeśli nawet nie obchodzą pracownika losy firmy, to na pewno obchodzi go ilość banknotów we własnym portfelu. Pracownik ma własną motywację (zarobek) i dyrektor ma takŜe swoją (pobudzenie umysłu do zapamiętania skali problemu socjotechniki). Jest to podstawowa linia obrony przed atakiem wyłudzającym informacje. Wspomniano, Ŝe pracownikowi moŜe nie zaleŜeć na losach jego firmy. W końcu moŜe odbyć całe szkolenie, uzyskać certyfikat, osiągnąć swój cel – wyŜszy zarobek, a dalej przekazać socjotechnikowi poufne informacje. Świadomie, lub nie. Istnieje więc dodatkowa linia obrony, która obowiązuje kaŜdego z pracowników – prawnie chroniona polityka bezpieczeństwa. Jest to dokument przedstawiany pracownikowi w formie drukowanej, z którym musi się zapoznać. Treść dotyczy posługiwania się sprzętem komputerowym i sieciowym w przedsiębiorstwie. Jakie zadania moŜna wykonywać, jakie czynności są zabronione oraz czym to grozi. Pracownik jest zobowiązany takŜe złoŜyć podpis na takim dokumencie oświadczając w ten sposób, Ŝe zna konsekwencje niewłaściwego postępowania i na jakie sankcje prawne mógłby zostać naraŜony. W ten prosty sposób wyklucza się niejawnych sabotaŜystów – pracowników w przedsiębiorstwie, którym los firmy jest obojętny. [3] W pełni zabezpieczone przedsiębiorstwo przed atakami socjotechnicznymi obrazuje poniŜszy rysunek zbierający powyŜsze informacje: Rys. 3.1.3.2. Algorytm skutecznej obrony w strukturze przedsiębiorczej Źródło: Opracowanie własne 43 [email protected] http://tturba.tk 3.2. Przedstawienie ataków i sposobów obrony po stronie komputerowej O ile atak na fizyczny dostęp do urządzeń jest moŜliwy do wykrycia to atak komputerowy moŜe zostać tak skonstruowany, Ŝe nie będzie on zauwaŜalny. Ataki komputerowe są w dzisiejszych czasach najpowszechniejszym zagroŜeniem, ale takŜe najniebezpieczniejszym. JeŜeli system zawiedzie i przepuści niedozwoloną transmisję w sieć korporacyjną to zostaje ona powaŜnie naraŜona na uszkodzenie danych na stacjach roboczych, a co gorsza – na serwerach, a przecieŜ dana jest dzisiaj krytycznym czynnikiem zysku w dowolnej branŜy w której narzędziem pośrednim jest komputer – czyli teoretycznie w kaŜdej. Sposobów na wykradzenie informacji czy teŜ na naruszenie spójności systemu przybywa z dnia na dzień w ilości postępu geometrycznego. Są to w przykładowo wirusy, konie trojańskie, a przede wszystkim tzw. złośliwe oprogramowanie (malware i spyware), czyli robaki internetowe, krąŜące samoczynnie po sieci, dołączające się do stron, do treści wiadomości e-mail itp. Sposoby te mogą słuŜyć róŜnym celom: włamaniu, podszyciu się, zebraniu informacji, uszkodzeniu systemu, replikacji i dalszej infekcji. Pozostałymi sposobami są przewaŜnie niegroźne skanowania systemów, próby ataków wyszkolonego hakera oraz ataki typu DoS. Jako specjalista do spraw bezpieczeństwa informatycznego, warto przyjrzeć się aktualnym raportom stworzonym przez największe stowarzyszenia, firmy zajmujące się reakcją i kreowaniem zespołów bezpieczeństwa. W Polsce największą z takich organizacji jest CERT Polska12 będący zespołem działającym w ramach Naukowej Akademickiej Sieci Komputerowej NASK.pl. Zespół CERT zajmuje się reagowaniem na zdarzenia naruszające jakiekolwiek działania w stronę bezpieczeństwa komputerowego w Internecie. Co roku organizacja na podstawie zgłoszonych informacji, przygotowuje i udostępnia statystki dotyczące przypadków naruszenia bezpieczeństwa w zasobach polskiego Internetu. Przedstawiony zostaje fragment raportu z 2008r. 12 CERT - Computer Emergency Response Team Polska – www.cert.pl 44 [email protected] http://tturba.tk Rys. 3.2.1. Prezentowane kategorie ataków odnotowanych do CERT Polska w 2008r Źródło: http://www.cert.pl/PDF/Raport_CP_2008.pdf (24.05.2009r) Rysunek 3.2.1 opisuje procentowy udział zanotowanych ataków z konkretnych kategorii na polskie systemy. W poprzednim roku, tj. 2008 została znacząco uwydatniona przewaga kategorii Oszustwa komputerowe, na które składa się głównie atak typu phishing i vishing (z podgrupy ataków socjotechnicznych) – średnio co piąte zgłoszenie. Pozwala to zobrazować jak łatwym celem ataku na system komputerowy jest jego uŜytkownik, podatny na inŜynierię społeczną. Kategoria Obraźliwe i nielegalne treści podobnie jak w latach poprzednich utrzymuje się na wysokim poziomie procentowego udziału zgłoszeń. Co czwarty przypadek był zgłoszeniem o próbie rozsyłania niechcianej korespondencji – spamu. Niechciane systemy reklamowe rozwijają się w niezwykłym tempie i filtry pocztowe nie są w stanie codziennie wszystkich wychwycić. Kategoria Złośliwe oprogramowanie podobnie jak spamming, utrzymuje swój poziom od kilku lat na podobnej wysokości powolnie zwiększając skalę zasięgu. W duŜej mierze by doszło do infekcji złośliwym oprogramowanie wymagane jest działanie człowieka, który wejdzie na daną stronę (drive by download) lub włączy niesprawdzony program. Kategoria Gromadzenie informacji nazywana po prostu skanowaniem uległa znacznemu spadkowi, gdyŜ dotychczas ataki rekonesansowe uwaŜane były za najliczniejszą grupę ataków na jakie naraŜony jest system. Zmiana nastąpiła w wyniku tego, Ŝe zabezpieczenia w sektorze obrony przed skanowaniem znacznie się polepszyły, a z uwagi na fakt, Ŝe nikt nie jest w stanie kontrolować kaŜdego skanowania przechodzącego przez sieć globalną, zostało ono uznane za naturalny szum Internetu. [5] 45 [email protected] http://tturba.tk Grupa i typ ataku Obraźliwe i nielegalne treści Spam Dyskredytacja Przemoc / pornografia dziecięca Złośliwe oprogramowanie Wirus Robak sieciowy Koń trojański Oprogramowanie szpiegujące Dialer Gromadzenie informacji Skanowanie Podsłuch InŜynieria społeczna Próby włamań Wykorzystanie znanych luk systemowych Próby nieuprawnionego logowania Wykorzystanie nieznanych luk systemowych Włamania Włamania na konto uprzywilejowane Włamania na konto zwykłe Włamanie do aplikacji Atak na dostępność zasobów DoS DDoS SabotaŜ komputerowy Atak na bezpieczeństwo informacji Nieuprawniony dostęp do informacji Nieuprawniona zmiana informacji Oszustwa komputerowe Nieuprawnione wykorzystanie zasobów Naruszenie praw autorskich KradzieŜ toŜsamości, phishing Inne Inne Liczba zanotowanych ataków SUMA 466 8 8 482 3 24 104 2 0 133 84 0 2 86 24 62 0 88 6 16 57 79 4 22 0 26 5 1 6 5 316 400 721 10 10 Rys. 3.2.2. Rozkład liczbowy zaprezentowanych typów incydentów w kategoriach Źródło: Opracowanie własne na podstawie: http://www.cert.pl/PDF/Raport_CP_2008.pdf (24.05.2009r) 46 [email protected] http://tturba.tk WyŜej opisane są jedynie kategorie ogólne ataków, jednak są to tylko wytyczne ataków egzekwowane w konkretnym celu. Nadrzędne cele ataku zostały opisane w rozdziale 1 i są to: - Atak na poufność danej - Naruszenie integralności danej - Ograniczenie dostępności danej I tak moŜna wykreować drzewo powiązań celów nadrzędnych do poszczególnych grup ogólnych ataków jakimi są: a) atak pasywny b) atak aktywny, w którego w skład wchodzą: • atak zbliŜeniowy • atak wewnętrzny • atak dystrybucyjny Rys. 3.2.3. Powiązane klasy ataków z celami nadrzędnymi naruszenia bezpieczeństwa danej Źródło: Opracowanie własne Ataki opisane na rysunku 3.2.3 stanowią próbę ogólnego sklasyfikowania kategorii ataków. Stąd istnieją powiązania jednego ataku nie tylko z jednym celem. Przykładowo naruszyć integralność danej moŜna na wiele sposobów, za pomocą typowego włamania (atak aktywny), lub za pomocą ataku wewnętrznego (przez pracownika firmy naruszającego politykę bezpieczeństwa i jeszcze instalując złośliwe oprogramowanie replikujące się po wnętrzu sieci korporacyjnej (atak dystrybucyjny). Wszystkie mogą doprowadzić do zmiany danej przechodzącej przez sieć, lub komputer roboczy, gdzie atak miał miejsce. [8] 47 [email protected] http://tturba.tk 3.2.1. Atak pasywny Atak pasywny – jak nazwa wskazuje, jest to atak nie powodujący uszkodzeń systemu. Rodzaj rekonesansu, gdzie następuje próba wydobycia poŜądanych informacji, które mogą posłuŜyć do wykonania ataku aktywnego, wewnętrznego, lub dystrybucyjnego. W czasie wojennej bitwy, dowódca wysyła swoich zwiadowców w celu przeprowadzenia zbiórki informacji o siłach wroga, ich słabych stronach. Tak samo jest w przypadku zdobywania informacji o systemie komputerowym. RóŜnymi sposobami są wysyłani automatyczni „zwiadowcy” zbierający dla napastnika informacje o dziurach w systemie, otwartych portach itp. Skanowania przeprowadzane są w ogromnych ilościach w całej sieci globalnej i nikt nie jest w stanie je kontrolować, czy teŜ zabronić. W większości przypadków ze względu, Ŝe są wykonywane przez aplikacje diagnostyczne słuŜące administratorom sieci do wykrycia własnych luk zanim zrobi to ktoś inny. 90% aplikacji skanujących jest całkowicie legalnych (oczywiście, niekoniecznie darmowych) i powszechnie wykorzystywanych przez uŜytkowników. Do sposobów wywołania ataku pasywnego zalicza się: - narzędzie ping, trace, finger - skanowanie w poszukiwaniu otwartych portów - przechwycenie pakietów za pomocą podsłuchu programowego - wyłudzenie informacji za pomocą technik inŜynierii społecznej - grzebanie w wyrzuconych biurowych odpadach a) Ping i trace Najprostszym przykładem jest narzędzie ping badające osiągalność połączenia źródła z celem. Narzędzie w podstawowej wersji jest bardzo proste. Operując protokołem ICMP w warstwie sieci (L3) modelu OSI , podając w syntaktyce komendy docelowy adres IP, otrzymuje się w odpowiedzi średni czas potrzebny na wysłanie zapytania i otrzymanie odpowiedzi od celu. Protokół ICMP jest wykorzystywany równieŜ w narzędziu trace, słuŜącym do szczegółowej analizy trasy routingu jaką obiera pakiet. W transmisji od źródła do celu podawane są kolejne adresy interfejsów routerów przez które on przechodzi. Narzędzie trace przyjmuje róŜne nazwy w konkurentnych systemach operacyjnych. W Windowsie XP jest to tracert, w Linuksie w zaleŜności od dystrybucji jest to komenda traceroute lub trace, a w systemie Cisco IOS – komenda traceroute. 48 [email protected] http://tturba.tk Rys. 3.2.1.1. Przykład użycia narzędzia ping i tracert w systemie Windows XP Źródło: Opracowanie własne Rys. 3.2.1.2. Przykład użycia narzędzia ping i traceroute na routerze Cisco 7200 Źródło: Opracowanie własne 49 [email protected] http://tturba.tk Rys. 3.2.1.3. Przykład użycia narzędzia ping i traceroute w systemie Linux Źródło: Opracowanie własne Za pomocą polecenia ping i trace napastnik moŜe zebrać informacje o urządzeniach składających się na sieć firmową. W praktyce takie skanowanie jest z reguły przeprowadzane z Internetu, gdzie napastnik ma moŜliwość zakrycia swojej toŜsamości. Atakujący ma za cel włamanie się. Mając wiedzę, Ŝe większość firm na świecie wykorzystuje w swojej sieci protokół IPv4 – musi ona takŜe wykorzystywać usługę translacji adresów prywatnych na publiczne. Adresami prywatnymi są oznaczane interfejsy wewnątrz sieci i te adresy nie są routowalne w Internecie. Oznacza to tyle, Ŝe jest miliony takich samych adresów IP, przewaŜnie zaczynających się prefiksem klasy C takim jak 192.168.*.*, którymi są zaadresowane róŜne stacje robocze, interfejsy, terminale, lecz nikt poza wewnętrzną siecią ich nie widzi. Odwrotnie jest z adresami publicznymi, które są przydzielane przez odpowiednie organizacje. Firma z reguły moŜe dostać jeden globalny adres IP, który widzą wszyscy. Takie rozwiązanie musiało zaistnieć, gdyŜ nikt nie przewidywał, Ŝe sieć Internet stanie się siecią o zasięgu globalnym i tak szybko wyczerpie się całkowita pula adresów o długości 32bitów poprzez ciągłe podłączanie do sieci nowych maszyn. Informatyk w przedsiębiorstwie musi sobie radzić więc stawiając usługę NAT (PAT), gdzie setki komputerów z wnętrza sieci widziane są na Internecie jako jeden globalny adres IP. Klasy i zasięgi adresów dla konkretnych masek opisuje dokument RFC 1918. Napastnik mając świadomość, Ŝe adresacja wewnętrzna w firmie to zapewne 192.168.*.* wykonuje on polecenie ping na adres rozgłoszeniowy dla tej sieci. W tablicy ARP napastnika pojawiają się odpowiedzi ICMP Echo Reply z adresami IP komputerów, których napastnik nie musiał zgadywać, gdyŜ wysłał polecenie ICMP Echo Request na całą pulę adresową, a komunikacja typu broadcast (rozgłoszenie) jest komunikacją do wszystkich komputerów z danej podsieci. 50 [email protected] http://tturba.tk Rys. 3.2.1.4. Schemat skanowania sieci za pomocą polecenia ping Źródło: Opracowanie własne Haker w ten prosty sposób zyskuje wiedzę o ewentualnych komputerach, serwerach czy interfejsach, które mogą posiadać potencjalne luki, które on moŜe wykorzystać by dostać się do systemu. Świadomą obroną przed tym zagroŜeniem jest blokowanie puli adresów z dokumentu RFC 3330. Przenigdy z Internetu do wnętrza sieci nie powinien trafić pakiet z adresem z puli adresów prywatnych lub zarezerwowanych. Blokowanie moŜna przeprowadzić na kilka sposobów. - za pomocą listy kontroli dostępu (ACL13) w kierunku wchodzącym do interfejsu od strony Internetu, wycinać adresy: - 0.0.0.0 - 10.0.0.0/8 - 127.0.0.1/32 - 172.16.0.0/12 - 192.168.0.0/16 13 ACL – Access Control List – prymitywna forma ściany ogniowej. 51 [email protected] http://tturba.tk - za pomocą usługi SPI14 badać stan pakietu z wnętrza sieci, jeŜeli nie został on zainicjowany wewnątrz (sesja TCP, pakiet ICMP), to naleŜy go zablokować. - za pomocą mechanizmu ZFW15 - nie zezwalać na przychodzenie pakietów z Internetu jeśli nie zostały one do tego uprawnione między strefą zaufaną, a niezaufaną. b) Skanowanie portów Po skutecznie przeprowadzonym rekonesansie pingiem moŜna przeprowadzić skanowanie portów. Jest to podobny mechanizm, lecz dotyczy adresacji warstwy transportowej, a nie sieciowej. Wszystkie aplikacje, usługi komputerowe działają na przypisanych portach na stałe lub dynamicznie. JeŜeli na danym porcie pracuje jakaś aplikacja to uwaŜa się to za podatność na atak. UwaŜa się wtedy, Ŝe port jest otwarty - podatny. Analogicznie jeŜeli przyjąć, Ŝe port to furtka do domu i jest otwarta to niejako wysyła się zaproszenie dla włamywacza, który ma mniej zabezpieczeń do sforsowania. Tak samo jest w przypadku furtek komputerowych. Napastnik łącząc się na otwarty port moŜe wykonać z niego próbę logowania, lub odpalić na nim tzw. exploit’a, czyli aplikacje wykorzystującą błędy oprogramowania. O ile próba skanowania na maszynie brzegowej łączącej sieć wewnętrzną i globalną, z reguły kończy się niepowodzeniem (zwraca się uwagę na zabezpieczanie tych maszyn) to po przeprowadzeniu skutecznego rekonesansu za pomocą ping’a moŜliwe jest przeskanowanie odnalezionej maszyny, która nie dość, Ŝe moŜe mieć otwarte porty to dodatkowo wewnątrz sieci ma zaufaną relację z innymi urządzeniami. Haker włamując się do takiej maszyny ma wtedy ułatwione zadanie podwójnie. Istnieje wiele narzędzi do skanowania portów. Najbardziej znanym jest program Nmap posiadający wiele zróŜnicowanych funkcji. Wykorzystują go zarówno administratorzy w audycie swojej sieci jak i anonimowi napastnicy z Internetu. Dodatkowym atutem jest fakt, Ŝe program jest darmowy i wieloplatformowy. UŜywać powinien go kaŜdy świadomy swojego niebezpieczeństwa w sieci uŜytkownik, lecz z uwagi, Ŝe program jest dość skomplikowany w obsłudze to wykorzystywany w dobrym celu jest tylko przed administratorów i informatyków. Poprzez dobry cel rozumie się przeprowadzenie własnego audytu bezpieczeństwa w zgodzie z zasadą, Ŝe jeśli samemu się czegoś nie sprawdzi, to nie ma się pewności czy jest to skuteczne rozwiązanie problemu, zwłaszcza w przypadku bezpieczeństwa systemu informatycznego. 14 15 SPI – Stateful Packet Inspection – rodzaj starej ściany ogniowej, lecz nadal skutecznej. ZFW – Zone-Based Firewall – rodzaj nowej technologicznie implementacji ściany ogniowej. 52 [email protected] http://tturba.tk Rys. 3.2.1.5. Zrzut ekranu z udanego skanowania przeprowadzonego przez narzędzie Nmap Źródło: Opracowanie własne Analizując rysunek 3.2.1.5 widać, Ŝe porty 37, 53, 80, 81, 82, 90 i 113 są portami otwartymi. Działają na nich odpowiednie usługi takie jak TIME, DNS i HTTP, które stanowią potencjalne miejsce luk w systemie. Dodatkowo narzędzie Nmap moŜe próbować rozpoznać system operacyjny ofiary i adres fizyczny karty sieciowej której skanował przydzielony adres IP. 53 [email protected] http://tturba.tk c) Skanowanie uŜytkownika Do lat 90. XX wieku narzędzie finger było powszechnie w sieciach stosowane w celu sprawdzenia kto jest w danym momencie zalogowany na skanowanej maszynie dając o nim podstawowe informacje takie jak: - nazwa uŜytkownika - jego dane osobowe - czas nieaktywności jego klawiatury (tzw. czas idle) Finger jest to historyczny protokół komunikacyjny wycofany juŜ z uŜytku, ze względu, Ŝe stanowił duŜą lukę bezpieczeństwie. Przez podawanie informacji o nazwie uŜytkownika moŜna było na systemie przeprowadzać próby logowań za pomocą ataku siłowego lub słownikowego. Narzędzie słuŜyło administratorom do podglądania systemu by zapewnić mu spójne działanie przed niewłaściwymi, często nieświadomymi czynnościami pracowników. Rys. 3.2.1.6. Przykład użycia narzędzia finger w systemie Linux Źródło: http://pl.wikipedia.org/wiki/Finger (27.05.2009r) Linijka „No plan.” informuje, Ŝe uŜytkownik nie posiada w swoim katalogu domowym ukrytego pliku .plan, który zawiera plany do realizacji na najbliŜszy czas i czym uŜytkownik się w danej chwili zajmuje. Plik w prawach dostępu ma odczyt dla wszystkich – więc równieŜ jest to kolejna luka w bezpieczeństwie. Pomimo, Ŝe protokół został wycofany z uŜytku, to jest zaimplementowany w kaŜdym systemie, gdzie niegdzie nawet świeŜo po instalacji pozostaje nadal włączony. O ile w sieci nie stosuje się pułapki „honey-pot” na włamywaczy to naleŜy niezwłocznie tę usługę wyłączyć. Obecnie finger został zastąpiony narzędziem who (whois), które informuje jedynie o zalogowanych uŜytkownikach do systemu. Who moŜna uŜywać tylko lokalnie i badać tylko system na którym jest zainstalowany, więc nie stanowi potencjalnego wycieku informacji. 54 [email protected] http://tturba.tk d) Przechwytywanie pakietów – sniffer programowy Zasada działania podsłuchu programowego jest taka sama jak wcześniej opisanego podsłuchu sprzętowego. Liczy się umiejscowienie sniffera. Jednak podsłuch programowy moŜe być realizowany w sposób legalny – przez administratora w celach czysto diagnostycznych, lub nielegalny – przez włamywacza. Większość sieci LAN w dzisiejszych czasach jest oparte o technologię Ethernet, czyli urządzenia są spięte kablem UTP/STP/FTP w topologię gwiazdy z jednym centralnym punktem przełączania, lub w topologię rozgałęzionej gwiazdy, gdzie kaŜdy centralny punkt posiada węzeł do innego centralnego punktu. Rys. 3.2.1.7. Współczesne topologie sieci lokalnej Ethernet Źródło: Opracowanie własne Uzyskując dostęp do urządzenia centralnego, zwykle jest to hub lub przełącznik, osoba ma kontrolę nad ruchem jaki przepływa między węzłami. O tyle jest to łatwo zrobić w przypadku koncentratora, Ŝe ruch który otrzymuje na dany port, przesyła do wszystkich innych poza portem źródłowym, więc podsłuchiwanie wymaga jedynie instalacji sniffera lub ustawienie karty sieciowej w tryb rozwiązły (promiscuous ). W normalnym trybie pracy komputer analizuje ruch sieciowy z kaŜdym otrzymanym pakietem. Bada czy ramka jest adresowana do niego. Jeśli jest to deenkapsuluje jej zawartość. Natomiast jeśli adres fizyczny ramki jest inny niŜ karty sieciowej to zostaje ona zignorowana przez interfejs. W trybie promisc karta sieciowa przyjmuje kaŜdy ruch niezaleŜny od adresacji. Tryb ten powstał jak kaŜdy inny sniffer, w celu badania wydajności sieci przez administratora za pomocą wczesnej zuboŜałej wersji narzędzia typu SPAN16. Mając narzędzie typu Cisco Wireshark moŜna analizować dowolny pakiet krąŜący po sieci lokalnej. 16 SPAN – SwitchPort Analyzer – tryb analizowania ruchu sieciowego. 55 [email protected] http://tturba.tk Rys. 3.2.1.8. 3.2. Zrzut ekranu z programu Wireshark firmy Cisco Źródło: http://www.topsofts.com/images/product/screenshot/4/48380.gif (27.05.2009r) Rys. 3.2.1.9.. Schemat rozgłaszania pakietów przez koncentrator i przechwytywania przechwytywania ruchu przez napastnika Źródło: Opracowanie własne 56 [email protected] http://tturba.tk Ten rodzaj podsłuchu jako samego ataku nosi nazwę „Man-In-The-Middle”, czyli „osoba w środku”. Technika MITM jest często stosowana przy atakach wewnętrznych i aktywnych. Koncentrator z uwagi na swoje powaŜne wady konstrukcyjne wynikające z działania jedynie w warstwie fizycznej, został powoli wyparty w komercyjnym stosowaniu w przedsiębiorstwach przez przełączniki, niemniej nadal są w sprzedaŜy i sprawdzają się w rozwiązaniach domowych. Jednak z uwagi na fakt, Ŝe przełącznik jest znacznie bezpieczniejszy, a jest w podobnej cenie zaleca się kupić go kupić zamiast hub’a. Znacznie trudniej jest przechwytywać pakiety, gdy jako punkt centralny w topologiach gwiazd jest uŜywany przełącznik. Pracuje on w warstwie łącza danych i nie rozgłasza kaŜdego pakietu, a jedynie wtedy gdy został tak zaadresowany. Switch otrzymując ramkę od źródła uczy się jego adresu MAC i zapisuje go do swojej tablicy adresów CAM (ContentAddressable Memory) wraz z portem z którego ramka przybyła. W ten sposób po zbudowaniu swojej topologii przełącznik bada wartość pola adresu docelowego w ramce Ethernet i przełącza ją na odpowiedni port docelowy. Szczegółowy opis budowania tablicy CAM zostanie przeprowadzony w sekcji ataków aktywnych. Sposób podsłuchiwania przełącznika jest inny, dopóki nie dozna on uszkodzeń w wyniku ataku wewnętrznego. Normalnie kaŜdy pakiet nie zostaje przechwytywany przez sniffer, a mogą zostać wychwytywane jedynie te, które idą przez przełącznik do serwera i z serwera są badane. Innymi słowy, dopóki przełącznikowi nic nie przerwie prawidłowej pracy to będzie on przesyłał tylko ramki od źródła do celu i nigdzie indziej. Natomiast administrator z poziomu serwera moŜe uruchomić narzędzie tcpdump lub linsniff i tylko z tamtego poziomu analizować pakiety. Napastnik mając dostęp do serwera moŜe równieŜ przechwytywać pakiety, lecz opłaca się to stosować tylko w przypadku transmisji otwartych, czyli nieszyfrowanych, takich jak Telnet, http, ftp/tftp, smtp, gdyŜ czas rozkodowania zaszyfrowanych pakietów SSH/SSL byłby zbyt długi. 57 [email protected] http://tturba.tk Rys. 3.2.1.10. Schemat przełączania ramki w topologii Ethernet z zastosowaniem przełącznika Źródło: Opracowanie własne Rys. 3.2.1.11. Zrzut ekranu z programu tcpdump ustawionego do przechwytywania pakietów SMTP Źródło: Opracowanie własne Przełącznik według powyŜszych argumentów, sam w sobie stanowi więc obronę przed podsłuchiwaniem, lecz Ŝeby była ona skuteczna przełącznik winien być zarządzany. Dodatkowo administrator powinien wyłączyć usługi transmitujące pakiety w sposób nieszyfrowany, takie jak: Telnet, FTP/TFTP, HTTP, SMTP i zastąpić je protokołami 58 [email protected] http://tturba.tk szyfrowanymi: SSH, SCP, HTTPS, ESMTP. Zdecydowanie utrudni to napastnikowi odczytanie zawartości pakietów. e) Podsłuch socjotechniczny Oczywiście atakiem pasywnym są takŜe niektóre z technik inŜynierii społecznej, za pomocą której zbierane są cząstkowe informacje słuŜące do zdobycia tej krytycznej, właściwej dla napastnika. Wszystko w kwestii vishingu i metod stosowanych w socjotechnice zostało opisane w rozdziale 3.1.3. JednakŜe dodatkowo administrator moŜe sam przeprowadzić tzw. samodzielny test penetracyjny. Powinien podszyć się pod pracownika firmy i wykorzystać metody socjotechniczne sprawdzając poziom kompetencji pracownika z którym rozmawia przez telefon lub prowadzi konwersację za pomocą faksu i poczty elektronicznej. Ostatecznie po przeprowadzonych testach nie powinien on zdradzać swojej toŜsamości. Taki samodzielny legalny rekonesans uczy takŜe pracowników jak mają postępować w takich sytuacjach. Jednak mogliby stać się wyczuleni na kolejne próby traktując je jako kolejne testy, a jak wiadomo bezpieczeństwo IT to nieustanny monitoring i testowanie. Mogłoby to spowodować potencjalny wyciek informacji znuŜonego pracownika, który na Ŝarty mógłby podać swoje poufne dane w celu sprawdzenia co moŜe się stać. MoŜe on jednak nie wiedzieć, Ŝe podaje je napastnikowi, zamiast człowiekowi ze swojej firmy. Innym rodzajem ataku socjotechnicznego podsłuchującego jest tzw. atak „przez ramię”. Potencjalny napastnik stoi za uŜytkownikiem logującym się do systemu patrząc mu w klawiaturę jaką kombinację klawiszy naciska. Napastnik teŜ moŜe celowo zerknąć na wyświetlone na monitorze dane konfiguracyjne, gdzie jest wypisane niezaszyfrowane hasło. Rozwiązaniem jest oczywiście zaszyfrowanie hasła, które utrudni jego zapamiętanie, oraz nauka szybkiego pisania na klawiaturze ☺. Rys. 3.2.1.12. Zrzut ekranu z konfiguracji routera z zagrożeniem ataku „przez-ramię” Źródło: Opracowanie własne 59 [email protected] http://tturba.tk f) Wydobywanie informacji ze śmietnika Pomimo, Ŝe tytuł podpunktu wydaje się być śmieszny, problem wycieku informacji przez błędną utylizację nośników jest powaŜny. Niewłaściwe niszczenie dokumentów, nośników informacji moŜe być czynnikiem powodującym skuteczne odpalenie ataku w stronę sieci korporacyjnej. Człowiek jest w stanie zrobić bardzo wiele by osiągnąć swój cel i nie zawaha się ubrudzić śmieciami z kontenera jeśli tam znajdzie potrzebne mu dane. Terminem „dumpster diving” jednak nie określa się tylko wydobywaniem informacji z kontenerów. Poufne dane moŜna znaleźć na pracowniczych biurkach, tabliczkach, zostawionych notesach, kartkach, niezamykanych szafkach. Podobnie jak w przypadku podsłuchu socjotechnicznego administrator mógłby wykonać test penetracyjny w celu sprawdzenia jak poufne informacje są przechowywane przez pracowników podając się np. za sprzątacza, lub przeglądając biurka po godzinach pracy. Pracownicy bardzo często zostawiają zapisane kartki z hasłami do systemów. Wynika to z faktu, Ŝe dobry administrator wymaga od swoich uŜytkowników dobrych haseł złoŜonych ze znaków alfabetu, cyfr, znaków specjalnych i róŜnicowania wielkości liter. Na domiar wszystkiego wymaga dodatkowo cyklicznych zmian haseł np. co okres kwartalny. Początkowo kaŜdy pracownik moŜe mieć problem z zapamiętaniem swojego hasła, więc w dobrej wierze moŜe je sobie gdzieś zapisać. Polityka bezpieczeństwa przedstawiona pracownikowi, pod którą się on podpisuje powinna bardzo wyraźnie zabraniać takich sposobów przechowywania haseł. Jeśli juŜ gdzieś musiałyby być składowane to w miejscu trudno dostępnym i zabezpieczonym. Nie tylko dokument papierowy jest zagroŜeniem. Powoli standardowym nośnikiem informacji staje się pendrive, jednak płyty CD jeszcze przez pewien okres czasu na pewno będą istniały jako nośniki waŜnych informacji w wielu przedsiębiorstwach. NaleŜy pamiętać o ich skutecznej utylizacji poprzez składowanie w specjalnych pomieszczeniach do okresu aŜ ich poufność nie będzie miała znaczenia, lub poprzez usuwanie za pomocą specjalnych niszczarek biurowych z wkładami do niszczenia płyt CD. RównieŜ polityka bezpieczeństwa winna zawierać informacje o prawidłowej utylizacji nośników. 60 [email protected] http://tturba.tk 3.2.2. Atak aktywny i jego wariacje JeŜeli celem nie jest jedynie zdobycie informacji poprzez naruszenie jej poufności poprzez atak pasywny to jedynie inną moŜliwością jest naruszenie tej informacji poprzez atak aktywny. Przez naruszenie rozumie się wpływ na jej integralność – czyli zmianę danych, lub wpływ na jej dostępność – czyli jej istnienie w systemie i moŜliwość jej odczytania. O ile atak pasywny w Ŝaden sposób nie musi szkodzić poza wyciekiem danych (oczywiście krytycznie waŜnym) o tyle atak aktywny zawsze niesie za sobą konkretne, namacalne szkody. Sam atak aktywny polega na włamaniu się do systemu, naruszeniu jego zabezpieczeń za pomocą dostępu zdalnego, z poziomu zaufanej relacji, lub poprzez kontakt fizyczny. Atak aktywny niesie za sobą powaŜne konsekwencje karne pomimo raczkowania w ustalaniu ustaw w sektorze prawa komputerowego. W głównej mierze skazywani są jednak przestępcy naruszający komputerowe praco autorskie, czyli piraci, nielegalni dystrybutorzy, uŜytkownicy nielegalnego oprogramowania (głównie systemu operacyjnego). Jednak by zwycięŜyć w takiej sprawie naleŜy mieć trzy efektywne argumenty oskarŜające jakimi są: - motyw – odpowiadający na pytanie „dlaczego przestępca dokonał czynu karalnego?” Motyw zadaje pytanie o cel jaki przyświeca przestępcy komputerowemu. W zaleŜności o tego jakim jest hakerem według klasyfikacji moŜe mieć róŜne cele opisane w rozdziale 3. - dowody rzeczowe – „czym przestępca posługiwał się podczas dokonania czynu karalnego?” Dowodem rzeczowym mogą być umiejętności przestępcy, bądź zebrany materiał dowodowy (płyty CD, logi ze sprzętu). Jest to trudne z uwagi, Ŝe logi komputerowe łatwo moŜna spreparować, jednak właściwe ich zabezpieczanie i tworzenie rutynowych kopii bezpieczeństwa poświadczane przez inne osoby z sektora bezpieczeństwa stanowią mocną podstawę oskarŜającą. - sposobność – „w jakich okolicznościach przestępca mógł dokonać czynu karalnego?” Sposobność, powszechnie nazwana „alibi” oznacza czy przestępca mógł dokonać tego czynu, czy nie był w tym czasie w innym miejscu co moŜe go wykluczyć z kręgu podejrzanych. Podobnie jak dowody rzeczowe, sposobność przestępcy komputerowemu jest dosyć trudno udowodnić, ze względu, Ŝe atak mógł zostać wywołany z dowolnej lokalizacji, z dowolnego komputera. Atak pasywny z reguły wygląda tak samo, zawiera te same algorytmy postępowania. W przypadku ataku aktywnego występuje wiele jego postaci. Jest modyfikowalny, kaŜdy atak moŜe wyglądać inaczej. 61 [email protected] http://tturba.tk Pomijając wariację, wyróŜnia się trzy podstawowe ataki aktywne nazwane po głównych celach nadrzędnych zagroŜenia komputerowego wraz z podklasami ataków: a) Ogólny aktywny atak na poufność danej • Wewnętrzne i zbliŜeniowe ataki na poufność: • MAC Spoofing • DHCP Spoofing • ARP Spoofing • Wykorzystanie podatności protokołu DTP i VLAN Hopping • Atak idle b) Ogólny aktywny atak na integralność danej • Dystrybucyjne i zbliŜeniowe ataki na integralność: • Złośliwe oprogramowanie: • Koń trojański • Wirus • Robak • Metody ataku na logowanie lub deszyfrowanie danej c) Ogólny aktywny atak na dostępność danej • Wewnętrzne i zbliŜeniowe ataki na dostępność: • Wykorzystanie podatności protokołu STP • Wykorzystanie podatności protokołu VTP • Wykorzystanie podatności protokołu NTP • Wykorzystanie podatności protokołu SNMP • Szkodliwe debugowanie i niekontrolowany sztorm rozgłoszeniowy 62 [email protected] http://tturba.tk Ad. a) Ogólny atak na poufność danej - najmniej szkodliwy atak aktywny. Charakteryzuje się wykradzeniem informacji po naruszeniu zabezpieczeń systemu bez jego modyfikacji lub uszkadzania. Rys. 3.2.2.1. Schemat aktywnego ataku na poufność danej na przykładzie ataku na bank Źródło: Opracowanie własne Typowy schemat postępowania: [1] – Napastnik przeprowadził skuteczny rekonesans na system komputerowy banku. ZauwaŜył, Ŝe serwer stron internetowych posiada przestarzałe zabezpieczenia. Włamuje się na serwer za pomocą swoich umiejętności i narzędzi jakimi dysponuje (exploity, programy). [2] – ZauwaŜa, Ŝe serwer bazy danych z danymi kart kredytowych jest bardzo dobrze zabezpieczony i nie uda mu się tak prosto włamać jak na serwer HTTP. Wykorzystuje on więc zaufaną relację jaka istnieje wewnątrz systemu banku pomiędzy serwerem HTTP, a serwerem bazy danych. Napastnik zbiera poufne informacje o kartach kredytowych, hasłach dostępu i danych osobowych właścicieli kart. [3] – Napastnik po zebraniu poufnych danych wykorzystuje numery kart kredytowych do wykonania całkowicie legalnych zakupów, bądź przetransferowania pieniędzy na odległe konto, stamtąd na jeszcze jedno i tak dalej w odległe zapętlenie uniemoŜliwiające szybkie jego schwytanie. [8] 63 [email protected] http://tturba.tk IP Spoofing Dostęp do systemu, przestępca moŜe uzyskać wykorzystując skierowany atak podszywania się pod adres IP (IP Spoofing). Rys. 3.2.2.2. Schemat ataku IP Spoofing Źródło: Opracowanie własne W transmisji wykorzystującej protokół połączeniowy – TCP w celu nawiązania połączenia stosuje się tzw. sekwencje „potrójnego uścisku dłoni” (ang. three-way handshake). Polega ona na zsynchronizowaniu się źródła z celem na odpowiednim porcie w zaleŜności od Ŝądanej usługi. Składa się z tytułowych trzech kroków: - wysłaniu ze źródła segmentu powitalnego (pakiet SYN), numer sekwencyjny wynosi 1. - odpowiedzi celu w postaci segmentu potwierdzającego (pakiet SYN-ACK), numer sekwencyjny wynosi np. 2 co oznacza, Ŝe cel otrzymał sekwencję numer 1 i oczekuje na przesłanie sekwencji numer 2. - wysłaniu przez źródło segmentu odpowiadającego i zatwierdzającego połączenie (pakiet ACK), potwierdzenie wysłania sekwencji numer 2. W praktyce zostają wysłane kolejne numery sekwencyjne, oczywiście liczba ta jest losowa, tak samo jak port źródłowy. Jednak jeśli napastnik posiadałby wiedzę jaki numer sekwencyjny potrzebuje CEL, jako potwierdzenie mógłby w odpowiednim czasie przesłać 64 [email protected] http://tturba.tk pakiet ACK szybciej niŜ rzeczywiste źródło i to z napastnikiem wtedy serwer nawiązałby połączenie, gdyŜ w procesie enkapsulacji, w segmencie nie jest juŜ badany adres IP, a same porty, więc komputer nie ma świadomości, Ŝe jest w transmisji z napastnikiem. Potwierdził on losowy numer sekwencyjny oczekiwany przez serwer więc jest zaufaną relacją do czasu wygaśnięcia transmisji. Istnieją dwa rodzaje ataku IP Spoofing: - non-blind – komputer źródłowy, cel i napastnik są komputerami z jednej sieci i napastnik wykorzystuje podsłuch (np. sniffer) w celu zdobycia informacji o numerze sekwencyjnym – łatwy atak, lecz wymaga duŜej mocy obliczeniowej komputera, gdyŜ nawiązanie połączenia w sieci lokalnej trwa relatywnie krócej niŜ w sieci Internet. - blind – komputer źródłowy, cel lub napastnik znajdują się w róŜnych sieciach. Z reguły komputer źródłowy i cel są w jednej, a napastnik w drugiej, stąd określenie „ślepe trasowanie”. W celu zdobycia informacji o numerze sekwencyjnym wykorzystuje on jeden z podstawowych ataków na integralność danej – tzw. trasowanie pakietu (ang. IP source-routing). Rys. 3.2.2.3. Schemat ataku IP source-route Źródło: Opracowanie własne Istnieją dwie wariacje: - loose ip soure-route – napastnik określa listę interfejsów IP przez które pakiet moŜe przejść, lecz moŜe obrać w ostateczności inną trasę by dojść do napastnika. - strict ip source-route – napastnik określa listę interfejsów IP przez które pakiet musi przejść. Jak widać ataki aktywne z reguły są mieszaniną powiązanych ze sobą technik w celu osiągnięcia ostatecznego celu. W przypadku aktywnego ataku na poufność danej 65 [email protected] http://tturba.tk wykorzystuje się techniki spotykane przy ataku Man-In-The-Middle, co wynika z umiejscowienia napastnika pomiędzy stacją źródłową, a docelową. Formą obrony przed atakiem podszywania się pod adres IP i trasowania pakietu jest włączenie na routerze trybu TCP Intercept, implementacja refleksyjnej listy kontroli dostępu lub nowsza metoda – implementacja firewalla (SPI/ZFW). NaleŜy takŜe wyłączyć usługę IP source-routing i IP redirects. MAC Spoofing Podszywanie się pod adres fizyczny karty sieciowej jest wewnętrznym atakiem aktywnym na poufność danych. Zmiana adresu MAC na inny, prawdopodobnie dostępny w sieci jako inny komputer moŜe spowodować, Ŝe komputer źródłowy będzie przesyłał pakiety do niewłaściwego komputera. Zmiana adresu MAC, pomimo, Ŝe jest to adres fizyczny jest bardzo prosta. [10] W systemie Windows naleŜy uŜyć narzędzia SMAC. Natomiast w systemie Linux wystarczy wydać polecenie: z3@darkstAr#: ifconfig eth0 ether 00:01:02:03:04:ff I w ten sposób adres fizyczny karty sieciowej z interfejsu eth0 został zmieniony na heksadecymalną wartość 00:01:02:03:04:ff. Rys. 3.2.2.4. Przedstawienie zapełniania tablicy CAM na przełączniku w normalnej pracy i przy podszywaniu się Źródło: Opracowanie własne 66 [email protected] http://tturba.tk Ataki polegające na podszywaniu się do adres MAC są stosunkowo takŜe proste do wykrycia. W celu zabezpieczenia sieci lokalnej przed podszyciem naleŜy włączyć usługę port-security na przełączniku, przypisać statycznie adresy MAC do portów i ustawić odpowiednią reakcję (wyłącz port, ogranicz dostęp i powiadom, ogranicz dostęp) na zaistnienie innego adresu MAC na porcie na którym został przypisany statycznie przez administratora. DHCP Spoofing Kolejny z ataków typu MITM polega podszyciu się w lokalnej sieci za serwer DHCP, od którego stacja robocza dostaje konfigurację sieciową. W ten sposób napastnik moŜe przejmować cały ruch z komputera na który wysłał ustawienia DHCP np. ustawiając bramkę domyślną na swój komputer. Atak DHCP Spoofing jest wewnętrznym atakiem aktywnym na poufność informacji. Rys. 3.2.2.5. Schemat ataku DHCP Spoofing Źródło: Opracowanie własne. Komputer po włączeniu zasilania i załadowaniu systemu operacyjnego jeśli jest podpięty do sieci zaczyna rozgłaszać broadcastowe pakiety DHCP DISCOVER w cel odnalezienia serwera DHCP od którego mógłby pobrać automatyczną konfigurację bez potrzeby jej statycznego wpisywania [1]. JeŜeli napastnik usłyszy pakiet DHCP DISCOVER to jeśli będzie szybszy w transmisji niŜ prawdziwy serwer DHCP i spreparuje pakiet DHCP OFFER z przedstawieniem swojej oferty konfiguracji protokołu IP to komputer oczekujący ją po prostu przyjmie [2]. Potwierdzi to pakietem DHCP REQUEST [3] i napastnik w celu zakończenia procesu konfiguracji wyśle swoje potwierdzenie zajęcia danego adresu IP przez komputer o 67 [email protected] http://tturba.tk odpowiednim adresie fizycznym [4].W ten sposób jeśli napastnik ustawił w przekazywanej konfiguracji jako bramkę domyślną lub serwer DNS swój adres IP, lub adres IP komputera do którego ma bezpośredni dostęp to przez nie będzie przechodził cały ruch sieciowy z komputera źródłowego. W szczególności podmiany bramki domyślnej, bo zmiana DNS’a wpłynie jedynie kopiowanie pakietów z protokołów wykorzystujących rozwiązywanie nazw. Rozwiązaniem tego problemu jest implementacja usługi DHCP Snooping, w której wyróŜnia się dwa rodzaje portów konfigurowanych przez administratora: - port zaufany – port przełącznika, który moŜe otrzymywać odpowiedzi serwera DHCP. - port niezaufany – port przełącznika, jeśli otrzyma pakiet z serwera DHCP to przejdzie w stan nieuŜywalny, err-disabled. Jednak jeŜeli napastnikiem jest osoba z wewnątrz firmy to moŜe ona wykorzystać zaufany port w celu postawienia na nim swojego serwera DHCP. MoŜna zapobiec otrzymaniu konfiguracji przez taki serwer ograniczając liczbę pakietów DHCP przyjmowanych na sekundę, np. do wartości 3. JeŜeli wartość ta zostanie przekroczona zostanie wygenerowana informacja Syslog na przełączniku i port będzie posiadał status ograniczonego dostępu. ARP Spoofing W sieci Ethernet istnieje mechanizm wykrywania konfliktów konfiguracji IP/MAC komputerów. Konfliktem w tym wypadku jest duplikacja adresów IP w podsieci, co moŜe prowadzić do złego trasowania pakietów. Większość systemów operacyjnych podczas uruchamiania generuje pakiet GARP (Gratuitous ARP) w celu odnalezienia komputera o takiej samej konfiguracji adresowej i wyświetleniu odpowiedniego komunikatu. Dzieje się to w sposób, Ŝe pakiet GARP Probe jest rozgłaszany na całą podsieć zawierając w nagłówku własny adres IP. Jeśli nie wróci do niego pakiet ARP Reply z odpowiedzią tzn. Ŝe komputer posiada skonfigurowany adres IP, który nie jest aktualnie w podsieci uŜywany przez inny komputer. Powinny wrócić tylko odpowiedzi z adresami MAC i IP innych komputerów. Mechanizm GARP z załoŜenia – jak wiele stworzonych mechanizmów – miał pomagać, jednak w ostateczności tworzy podatność dla napastnika, który w łatwy sposób moŜe przechwytywać pakiety. W czasie rozsyłania przez stacje pakietów ARP Probe, napastnik moŜe sfałszować pakiety ARP Reply i posłać je do komputerów, w których tablice ARP Cache zmienią wpisy powiązań IP-MAC. Zmyślnie ustawiając powiązanie na swój komputer, transmisja z innych hostów będzie przebiegać przez jego własny. 68 [email protected] http://tturba.tk Rys. 3.2.2.6. Schemat wstrzykiwania pakietów ARP Reply i konsekwencje przekłamań w tablicach ARP komputerów Źródło: Opracowanie własne Napastnik wie, Ŝe komputery w sieci lokalnej ciągle wysyłają zapytania ARP. Preparując odpowiedzi ARP Reply, mając wiedzę o hostach przesyła on informacje do hosta A o odnalezieniu w podsieci hosta B z jego adresem IP lecz z adresem MAC napastnika. Przełączniki działają w warstwie drugiej, więc trasowanie polega na przesyłaniu pakietów na odpowiedni adres fizyczny, a nie jak w przypadku routingu – na logiczny. Stąd cały ruch z hosta A do hosta B będzie przechodził przez napastnika. Analogicznie jest w przypadku wysłania odpowiedzi ARP do hosta B z adresem IP hosta A, lecz z adresem MAC napastnika. [11] Sposobem obrony jest wyłączenie usługi Gratuitous ARP na przełączniku, routerze i stacjach roboczych. Jednak takie rozwiązanie moŜe spowodować konflikt w działaniu sieci lokalnej, gdyŜ nie wiadomo, czy któraś stacja robocza nie ma statycznie skonfigurowanego adresu IP, pomimo zabezpieczenia przed duplikacją dzieląc adresy IP przez serwer DHCP. Dodatkowo naleŜy wykorzystać mechanizm DAI (ang. Dynamic ARP Inspection) działający jedynie przy współpracy z mechanizmem DHCP Snooping, który równieŜ dzieli porty przełącznika na dwa typy: 69 [email protected] http://tturba.tk - port zaufany – zezwalaj na odpowiedzi ARP Reply - port niezaufany – porównaj zawartość odpowiedzi ARP Reply z tabelą powiązań DHCP. JeŜeli powiązanie IP-MAC jest identyczne – zezwalaj na ruch. JeŜeli nie jest – wyłącz port. Porównanie zawartości odpowiedzi pakietu ARP Reply moŜna wykonywać na trzy sposoby: porównując źródłowy adres fizyczny, docelowy lub porównanie adresów IP – najmniej skuteczne. Z załoŜenia by wykluczyć atak ARP Spoofing całkowicie naleŜy ustawić porty stacji roboczych jako niezaufane, natomiast porty łączące przełączniki jako zaufane. Dodatkowo na waŜnych stacjach moŜna wprowadzić statyczne wpisy ARP, które nie są dynamicznie usuwane z tablicy. [2] Wykorzystanie podatności protokołu DTP i VLAN Hopping Protokół DTP (ang. Dynamic Trunking Protocol) jest to firmowy protokół firmy Cisco Systems zbudowany w celu zapewnienia automatycznej negocjacji typu portu trunkowego17 pomiędzy dwoma przełącznikami i rodzaju enkapsulacji wykorzystanej w oznaczaniu ramek konkretnym VLAN’em. Po spięciu ze sobą dwóch przełączników kablem krosowanym następuje automatyczna negocjacja trybu portu na trunk, gdzie od tego momentu moŜe zaistnieć komunikacja między tymi dwoma urządzeniami. Istnieją trzy stany portów przełącznika: - dynamic – jeŜeli jest moŜliwe nawiązanie połączenia trunkowego (auto, on, desirable) to port przełącznika automatycznie z pomocą protokołu DTP stanie się portem trunkowym. - access – port przełącznika na stałe jest przypisane jako port dostępowy w VLAN’ie dla stacji roboczej. - trunk – port przełącznika na stałe jest przypisany jako port trunkowy pomiędzy przełącznikami. Istnieje kilka ustalanych trybów portów protokołu DTP: - auto – port nie stanie się portem trunkowym jeśli po drugiej stronie urządzenie nie jest ustawione w tryb desirable. Jest to tryb standardowy kaŜdego portu przełącznika. - on – powoduje, Ŝe port na stałe staje się portem trunkowym, nawet jeśli urządzenie po drugiej stronie się na to nie zgadza. - off – powoduje, Ŝe port na stałe staje się portem dostępowym, nawet jeśli urządzenie po drugiej stronie się na to nie zgadza. 17 Trunk – główny szlak komunikacyjny wymiany pakietów pomiędzy przełącznikami. 70 [email protected] http://tturba.tk - desirable – port aktywnie próbuje stać się portem trunkowym dla portów typu auto, on i desirable po drugiej stronie. - nonegotiate – powoduje, Ŝe przełącznik przestaje rozsyłać ramki DTP w celu nawiązania połączenia trunkowego. Protokół DTP odciąŜa administratora przy instalacji przełączników do manualnego formowania połączeń trunkowych między nimi, lecz stanowi takŜe sporą podatność na zbliŜeniowy atak wewnętrzny. Standardowy typ portu po włączeniu nieskonfigurowanego przełącznika to: dynamic auto, więc napastnik mając fizyczny dostęp do przełącznika moŜe podpiąć się kablem krosowanym z własnym przełącznikiem co spowoduje nawiązanie połączenia trunkowego między przełącznikami i to, Ŝe ramki przechodzące przez pierwszy przełącznik trafią teŜ na ten drugi przy transmisji pomiędzy VLAN’ami. Ramki pomiędzy VLAN’ami mogą być enkapsułowane dwoma standardami: - ISL – jest to enkapsulacja całej ramki według Cisco, obecnie standard jest wymarły. - IEEE 802.1Q (w skrócie: dot1q) – jest to otwarty standard i enkapsuluje tylko nagłówek ramki, zmniejszając w ten sposób narzut na sieć lokalną. JednakŜe standard dot1q otwiera pewną metodę ataku. W standardzie dot1q istnieje pojęcie tzw. VLAN’u natywnego, jest to VLAN zarządzany przełącznika, na którym nie powinno być Ŝadnych portów, a jedynie fizyczny interfejs VLAN1 słuŜący do zdalnego połączenia się z przełącznikiem. 802.1q w celu zmniejszenia narzutu nie dodaje informacji VLAN’owej do ramki jeŜeli jest to VLAN natywny, więc jeŜeli napastnik wyśle na przełącznik ramkę oznaczoną VLAN’em natywnym to przełącznik usunie z nagłówka tę informację. W tym momencie nic to nie daje napastnikowi, lecz moŜe on spreparować ramkę podwójnym oznaczeniem VLAN’u. Ma do czynienia wtedy z atakiem VLAN Hopping. Rys. 3.2.2.7. Schemat ataku VLAN Hopping Źródło: Opracowanie własne Pomimo, Ŝe z załoŜenia dostęp do VLAN20 jest zamknięty z komputerów z innego VLAN’u to napastnik podwójnie oznaczając ramkę jest w stanie przedostać się przez przełączniki, gdzie ramka prawidłowo zostanie przesłana do komputerów z VLAN20. Ramki tak przesłane 71 [email protected] http://tturba.tk mogą transportować inne ataki takie jak robaki, konie trojańskie czy moŜe podatności wyŜej opisane. Podstawową linią obrony jest właściwe przypisanie portów. Dla portów przełącznika łączącymi stacje robocze ma to być tryb access, natomiast dla trunków – ma to być na sztywno trunk. Dodatkowo moŜna zmienić wartość natywnego VLAN’u ze standardowej liczby 1 na inną. Napastnik nie mający dostępu do sieci musiałby go najpierw odgadnąć by wykorzystać atak VLAN Hopping. Zabezpieczenie przed wpinaniem portów zostanie szerzej opisane w podrozdziale dotyczącym ataków na protokół STP, gdyŜ tam odgrywa to większe znaczenie. Atak idle Ostatnim atakiem aktywnym na poufność danej jest atak zbliŜeniowy polegający na pozostawieniu stacji roboczej pracownika bez nadzoru fizycznego. Pracownik moŜe być właśnie zalogowany w jakieś waŜne miejsce i nagle otrzymał telefon (być moŜe od socjotechnika), Ŝe musiał zmienić on swoją lokalizację w krótkim czasie, więc pozostawił swój komputer włączony. JeŜeli nie miał zdefiniowanego licznika mierzącego czas nieaktywności klawiatury lub myszki to jest naraŜony na włamanie fizyczne. W celu obrony naleŜy zdefiniować na przełącznikach i routerach liczniki exec-timeout na odpowiednią wartość, a na stacji roboczej w najłatwiejszy sposób ustawić automatyczne włączanie wygaszacza ekranu, który na powrót prosi o podanie hasła. Ad. b) Ogólny atak na integralność danej – polega na podmianie danych, naruszeniu ich struktury i jej zamianie. Jest to najczęściej spotykany atak komputerowy. Stosowany np. przy hakowaniu stron internetowych, gdzie haker po udanym włamaniu pod firmową domeną zostawia swoje przesłanie, podpis, logotypy itp. Rys. 3.2.2.8. Schemat ogólnego ataku na integralność danej Źródło: Opracowanie własne 72 [email protected] http://tturba.tk Na rysunku 3.2.2.8 przedstawiono sposób ataku napastnika, w którym przechwytuje on transmisję pakietów zawierające dane do transakcji bankowej. Klient banku nie zauwaŜył, Ŝe numer konta do przelewu został zmieniony na konto napastnika, gdyŜ z reguły w ostatnim kroku potwierdzenia sprawdza się jedynie czy właściwa kwota została wpisana. Klient banku zatwierdza transakcję i wszystko przebiegło po myśli napastnika. Na domiar złego jeŜeli klient po czasie zorientuje się, Ŝe się pomylił to nie moŜe mieć do banku Ŝadnych roszczeń gdyŜ widział przed sobą dane do przelewu i sam je potwierdził. Inną sprawą oczywiście jest bezpieczny transfer, który bank gwarantuje, o to juŜ klient moŜe wystąpić w roszczeniach swoich praw do zwrotu. Ogólny atak na integralność danej posiada swoje trzy wariacje. - atak salami – polega na wykonaniu ogólnego ataku na integralność danej jednak powodując bardzo małe szkody, przykładowo powyŜszy przelew mógłby być realizowany z kwotą 0,01zł lecz zastosowany na ogromnej ilości klientów. Łatwo nie zauwaŜyć takiego ataku, a odpalany moŜe być za pomocą hakera, bądź robaków, wirusów i koni trojańskich. - atak Ŝonglerski – jest wariacją ataku ogólnego z tą róŜnicą, Ŝe ofiara nie widzi wprowadzonych zmian na monitorze. W sensie, widzi na monitorze dane które sam podał, a w rzeczywistości w transmisji pakietów następuje naruszenie ich integralności i dopiero w efekcie końcowym moŜna odnaleźć nieprawidłowości. RównieŜ nie jest łatwo zauwaŜalny i moŜe zostać tak samo odpalony jak atak salami. - atak z zaufaną relacją – jest to atak podobny do ogólnego ataku aktywnego na poufność danych gdzie wykorzystywana jest zaufana relacja pomiędzy maszynami, lecz tam jedynie wydobywało się informacje, a tutaj następuje takŜe ich zmiana. Skuteczną obroną przeciwko powyŜszym atakom na integralność danej są rozwiązania mieszane takie jak szyfrowane tunele VPN w Internecie, zaawansowane technologicznie ściany ogniowe i systemy IPS wczesnego wykrywania zagroŜeń. Złośliwe oprogramowanie W zasadzie poza wyŜej wymienionymi typami ataków na integralność to w tej grupie dominują próby zdobywania hasła do systemu za pomocą: - sniffera programowego (przykładowo Wireshark) – opisano w rozdziale 3.2.1d. - konia trojańskiego - wirusa - robaka - ataku siłowego i słownikowego Wszystkie wymienione sposoby powyŜej są inteligentnymi fragmentami kodu, niewielkimi programami napisanymi w celu szkodliwego oddziaływania na system lub wiele systemów. Złośliwe oprogramowanie w dzisiejszym świecie jest bardzo szeroko sklasyfikowane na wiele podgrup. Najpowszechniejszymi są: koń trojański, wirus i robak, jednak jest ich znacznie 73 [email protected] http://tturba.tk więcej. Klasyfikacja reszty polega stricte na działaniu bądź treści z jaką program konsoliduje. Wszystkie jednak noszą wspólną nazwę: malware. Rys. 3.2.2.9. Drzewo klasyfikacji złośliwego oprogramowania Źródło: http://pl.wikipedia.org/wiki/Złośliwe_oprogramowanie (30.05.2009r) Zostaną opisane tylko najpowszechniejsze rodzaje oprogramowania złośliwego, ze względu na fakt, Ŝe są to takŜe główne zagroŜenia malware jakie moŜna spotkać w firmie. Koń trojański Jest to niewielki program podszywający się pod przydatną aplikację dla uŜytkownika, która dodatkowo zawiera w swoim kodzie inną specjalnie ukrytą funkcjonalność mającą na celu wpłynięcie szkodliwie na system (poprzez wydobycie informacji, kontrolę nad systemem lub jego sparaliŜowanie). Nazwa pochodzi oczywiście z mitologii, gdyŜ ideologia tego oprogramowania odpowiada załoŜeniom oszustwa spod bram Troi. Do głównych celów konia trojańskiego naleŜą: - atak dystrybucyjny – pozostawienie w systemie furtki dla napastnika w celu kontrolowanego rozsyłania konia trojańskiego do dalszych systemów lub odpalenie innego dowolnego ataku aktywnego - utrudnianie pracy programów antywirusowych - kontrola nad systemem – zmienianie stron startowych przeglądarki, zmiana tapety pulpitu, niekontrolowane wysunięcia się tacek napędów optycznych czy po prostu zawieszenia się systemu, wyłączenia monitora. 74 [email protected] http://tturba.tk Rys. 3.2.2.10. Zrzuty ekranów głównych najbardziej znanych koni trojańskich – NetBus oraz Back Oriffice Źródło: http://www.columbia.edu/acis/rhno/security/moredetails.html (30.05.2009r) Koń trojański z uwagi na swoją architekturę klienta (zainfekowanej maszyny) i serwera (maszyny napastnika) często jest teŜ podsłuchem programowym. Nie posiada on wtedy Ŝadnej innej funkcji poza podsłuchiwaniem klawiatury i innych czynności jakie przeprowadza uŜytkownik na swoim komputerze (przeglądanie stron WWW itp.). Głównym sposobem obrony przed końmi trojańskimi jest trwała profilaktyka polegająca na ostroŜnym przestrzeganiu zasad polityki bezpieczeństwa, w której powinno być jasno napisane, Ŝe naleŜy zwrócić szczególną uwagę na otwieranie nieznanych załączników do wiadomości e-mail. Do roli administratora naleŜy natomiast uŜywanie ściany ogniowej i zapewnienie stacjom roboczym aktualnego oprogramowania chroniącego z automatycznymi aktualizacjami definicji koni trojańskich. Wirus Jest takŜe prostym programem komputerowym, który zupełnie jak wirus biologiczny powiela się w sposób niekontrolowany, lecz wymaga nosiciela – w tym wypadku innego programu komputerowego, pliku. Najczęściej ofiarami wirusów padają niedoświadczeni uŜytkownicy systemów operacyjnych surfujący po Internecie i ściągający róŜne pliki bez ich weryfikacji lub nawet zainstalowanego systemie pakietu antywirusowego. Rodzajów wirusów jest bardzo wiele. Ogólnie wirus róŜni się tym od konia trojańskiego, Ŝe nie jest aplikacją typu klientserwer i napastnik nie ma wpływu w jaki sposób jego program się namnoŜy i gdzie się namnoŜy poza pierwszym nosicielem. ZagroŜenie wirusami jest powszechnie znane i nie wymaga większego komentarza, poza faktem, Ŝe naleŜy się przed nimi zabezpieczać instalując na stacjach roboczych dobre, aktualne programy antywirusowe, gdyŜ stacje robocze z reguły mają zainstalowany system Windows, a to on w szczególności jest podatny na wirusy (dystrybucje linuksowe z uwagi na architekturę nie są w ogóle podatne na zagroŜenie wirusem). 75 [email protected] http://tturba.tk Robak Robak komputerowy jest obecnie najpowszechniejszym zagroŜeniem z grupy złośliwego oprogramowania. Najszybciej się rozprzestrzenia z tego względu, Ŝe jego samo replikacja na inne maszyny nie wymaga interakcji człowieka. Zadania robaka są przede wszystkim złoŜone. W celu replikacji musi on pozyskać dane o innych maszynach (za pomocą ksiąŜek adresowych, samopingowania sieci, bądź replikacji rozgłoszeniowej), musi zebrać informacje poufne z systemu i szkodliwie na niego oddziaływać. Robak dodatkowo moŜe pełnić dowolną funkcję innego złośliwego oprogramowania – wirusa, konia trojańskiego, aplikacji spyware czy dialera połączeniowego. Rys. 3.2.2.11. Fazy ataku robaka komputerowego Źródło: Opracowanie własne Fazy ataku robaka komputerowego: - skanowanie – robak opuszczając maszynę napastnika przeprowadza rekonesans ogólny w poszukiwaniu podatnych systemów na mechanizmy jego ataku - próba włamania – po pomyślnym skanowaniu robak próbuje dostać się do systemu, w zaleŜności od tego w jaki sposób został napisany moŜe atakować z poziomu przeglądarki stron internetowych, z załączników e-mail lub innych źródeł. - zapewnienie przetrwania – jeŜeli włamanie przebiegło pomyślnie to robak musi zapewnić sobie przetrwanie w systemie na wypadek ponownego uruchomienia komputera, w tym wypadku kopiuje się na dysk. Z reguły w postaci pliku systemowego o nazwie niebudzącej zastrzeŜeń. - samo replikacja – po zapewnieniu sobie stałego miejsca do ataku, robak przeprowadza samo replikację na systemy lokalne ofiary do której się włamał, przeprowadzając ponownie skanowanie maszyn. 76 [email protected] http://tturba.tk - szkodliwe działanie – jeŜeli robak odnalazł inne podatne systemy to wykonuje zamierzone szkodliwe działanie na systemie wedle celów jego autora. Czasami robak moŜe oddziaływać na system takŜe gdy wystąpiło niepowodzenie w stosunku do samo replikacji, jednakŜe w dobie komputerów kaŜdy w jakiś sposób ma kontakt z innym komputerem, co zapewnia robakowi przetrwanie. Bardzo trudno jest się bronić przeciwko oprogramowaniu złośliwemu jeŜeli uŜytkownik systemu nie jest świadomy zagroŜenia. W przedsiębiorstwie najlepszym wtedy rozwiązaniem jest implementacja narzędzi NIPS i HIPS słuŜących do wczesnego wykrywania i oddziaływania na intruzów. [2] Atak siłowy i słownikowy Atak siłowy (ang. brute force) jest najprymitywniejszą formą ataku komputerowego. Stąd jego nazwa, Ŝe nie wymaga Ŝadnych specjalnych technik do włamania, a jedynie siłowo, łopatologicznie wypróbowywane są kolejne ciągi znaków celu odgadnięcia prawidłowego hasła uzyskując ten sam ciąg. Atak słownikowy jest bardzo podobny do siłowego, lecz nie wykonuje on prób wszystkich znaków, a podawane są znane ciągi znaków stosowane w mowie i piśmie. Stąd nazwa ataku słownikowego, Ŝe z reguły pliki z ciągami znaków są słownikami wyrazów wzmocnionymi o typowe kombinacje i modyfikacje zwrotów. Np. w dobrym pliku słownikowym moŜna odnaleźć wyraz „kot” i jego społeczne wariacje: „Kot”, „KOt”, „KOT”, „kOt”, „kOT” oraz „k0t”, „K0t” i „k07”, „K07”. Na domiar złego nie potrzeba samemu konstruować tak skomplikowanego słownika złoŜonego z ogromnej liczby ciągu znaków, gdyŜ są takie dostępne w sieci. Jednak te najstarsze ataki nie są dość skuteczne jeŜeli chodzi o próby logowań do systemu, gdyŜ wystarczy ograniczyć tę próbę do odpowiedniej liczby w odpowiednim czasie i w ten sposób konstruując trudne hasło napastnik musiałby spędzić kilka tysięcy lat na odgadnięciu właściwego ciągu nawet gdy atak słownikowy jest o wiele szybszy od siłowego. Atak siłowy i słownikowy jednak zyskuje na znaczeniu gdy napastnik uzyskał dostęp do poufnego, zaszyfrowanego pliku. Wtedy mając odpowiednią maszynę o duŜej mocy obliczeniowej jest w stanie rozszyfrować zawartość pliku, więc naleŜy się skupić na prawidłowym zabezpieczaniu dostępu do plików, co w sektorze bezpieczeństwa komputerowego jest sprawą oczywistą. 77 [email protected] http://tturba.tk Rys. 3.2.2.12. Zrzut ekranu z wydobytymi hasłami za pomocą narzędzia Cain Źródło: Program Cain: http://oxid.it/ (30.05.2009r) Istnieje wiele narzędzi wykorzystujących atak siłowy i słownikowy. Jednym z potęŜniejszych jest kombajn łamiący o nazwie Cain, słuŜący jako narzędzie rozszyfrowujące, podsłuch i dekoder. Program jest darmowy i kaŜdy po minucie jest w stanie nauczyć się z niego korzystać. WaŜne jest by uwzględnić w polityce bezpieczeństwa, Ŝe pracownicy nie mogą ze swojego komputera transferować Ŝadnych plików systemowych, gdyŜ kaŜdy moŜe zawierać informacje o podatności na ten system. Pliki mogą zostać wydobyte takŜe w sposób socjotechniczny, więc naleŜy zwrócić na ten fakt pracownikowi uwagę. 78 [email protected] http://tturba.tk Ad. c) Ogólny aktywny atak na dostępność danej – charakteryzuje się tym, Ŝe atak jest swoistą próbą jednej lub wielu stacji mających na celu ograniczyć uŜywalność atakowanego systemu. Jest to najniebezpieczniejszy atak, powodujący znaczne uszkodzenia w sieci produkcyjnej z powodu, Ŝe przerywa jej działanie. Dodatkowo do niedawna ataki na ograniczenie dostępności były trudno wykrywalne, gdyŜ potencjalnie nie wykorzystują luk w systemach lecz jego ograniczenia zasobowe. Ogólny atak aktywny na dostępność jest właśnie próbą zajęcia wszystkich zasobów serwera. Rys. 3.2.2.13. Schemat ogólnego aktywnego wyżerania zasobów z atakowanego serwera Źródło: Opracowanie własne WyróŜnia się następujące ataki na ograniczenie dostępności: DoS (TCP SYN Flood, atak ICMP) Atak DoS (Denial of Service) jest atakiem znamiennym grupy ataków na dostępność. Przykładem jest atak TCP SYN Flood. Stacja robocza napastnika generuje ogromną ilość pakietów synchronizacyjnych w trybie TCP Three-way Handshake, jednak nie wysyła pakietu ACK na sam koniec tym samym pozostawiając otwarte gniazda na serwerze, których ilość w końcu się skończy. Rys. 3.2.2.14. Schemat ataku TCP SYN Flood Źródło: Opracowanie własne 79 [email protected] http://tturba.tk Obrona przed atakiem typu TCP-SYN Flood polega na włączeniu usługi TCP Intercept badającej stan nawiązywania połączenia zorientowanego. MoŜe działać w dwóch trybach: - intercept – router symuluje rolę serwera wysyłając na pakiet SYN odpowiedź SYNACK, jeŜeli otrzyma on pakiet ACK to wtedy przenosi konwersację na serwer i nawiązuje połączenie z nadawcą. Jest to rozwiązanie obciąŜające router, lecz bezpieczniejsze niŜ przepuszczanie ruchu na serwer produkcyjny - watch – w trybie patrzenia router sprawdza czy połączenia są całe, jeŜeli nie to tworzy blokadę dla połączenia pomiędzy serwerem, a nadawcą. Z kolei atak ICMP, zwany równieŜ „Pingiem Śmierci” polega na wysłaniu wielu pakietów z tak dobranym rozmiarem, Ŝe powoli zacznie obciąŜać zasoby ofiary poprzez fragmentację duŜych pakietów na mniejsze, częściej występujące. Rozmiar dobranego pakietu zaleŜy od wielu czynników takich jak przepustowość łącza ofiary, którą wersję Ethernetu obsługuje karta sieciowa oraz system operacyjny. DDoS (atak Smurf, atak Botnetu) Atak DDoS jest nowszą wersją ataku Denial of Service. Dodano słowo „Distributed” oznaczające, Ŝe atak na dostępność jest przeprowadzany z wielu komputerów napastniczych i skierowanych w jedną ofiarę co spowoduje szybsze przepełnienie się zasobów serwerowych. Zbiór nieświadomie posłusznych komputerów wykonujących za napastnika atak jest nazywana botnetem. Przykładem ataku DDoS jest Smurf, wykorzystujący legalne małe narzędzie ping do wywołania lawiny pakietów pochłaniającej zasoby odbiorcy, który próbuje na nie odpowiedzieć. Rys. 3.2.2.15. Schemat ataku Smurf Źródło: Opracowanie własne 80 [email protected] http://tturba.tk Zgodnie z normalnym trybem działania protokołu ICMP przy zapytaniu ping jest odpowiedź na adres IP źródłowy z jakiego przyszło zapytanie, więc jeŜeli napastnik wyśle zapytanie ze sfałszowanym adresem źródłowym na adres rozgłoszeniowy sieci zawierającej wiele komputerów to zaczną one jednocześnie odpowiadać na zapytanie do serwera, który ich się nie spodziewa i jego zasoby określające przepustowość zaczną być ograniczane. Ogólną wadą wyŜej wymienionych ataków jest czas w którym muszą one działać by przynieść poŜądany dla napastnika szkodliwy skutek. Czas ten jest zaleŜny od tego jaką mocą obliczeniową i jakim łączem dysponuje ofiara. JeŜeli te parametry są lepsze to atak musi potrwać dłuŜej. Inaczej jest w przypadku ataków wewnętrznych i zbliŜeniowych na dostępność. Skutek, którym moŜe być awaria, przerwanie działania sieci jest natychmiastowy. Atak na protokół STP i VTP Protokół drzewa opinającego STP (ang. Spanning-tree Protocol) wykorzystywany jest w celu zapewnienia redundantnych łącz lokalnych na przełącznikach. Został stworzony by zniwelować moŜliwość wystąpienia pętli przełączeniowych w sieci lokalnej na skutek podłączenia do przełącznika innego przełącznika za pomocą dwóch lub większej ilości kabli. W protokole STP występuje pojęcie przełącznika głównego (ang. Root bridge), który jest wybierany z pomocą algorytmów przeliczających lepszą wartość w protokole. Algorytmy STP porównując tzw. BID (Bridge Identifier) – identyfikator przełącznika wybiera na przełącznik główny ten, którego BID jest najniŜszą wartością pomiędzy liczbą 32768, a 1. BID składa się z wartości priorytetu, adresu fizycznego przełącznika i numeru VLAN. Protokół VTP (VLan Trunking Protocol) powstał w celu usprawnienia przesyłania informacji o bazie sieci wirtualnych do innych przełączników bez konieczności wprowadzania tych danych oddzielnie na kaŜdy z nich. W protokole występują tzw. numery rewizyjne konfiguracji na podstawie których przełącznik wie, czy przyjąć rozgłaszaną konfigurację VTP, czy moŜe jest to juŜ nieaktualna wersja i naleŜy ją zignorować. Oba protokoły mogą być w jawny sposób wykorzystane w celu zniszczenia sieci produkcyjnej za pomocą ataku wewnętrznego lub zbliŜeniowego z grupy ataków na dostępność. W wersji ataku zbliŜeniowego na protokół STP, napastnik moŜe pojawić się w miejscu gdzie przełącznik firmowy jest słabiej chroniony i podłączyć do niego swój przełącznik, który będzie miał specjalnie spreparowaną niŜszą wartość BID w taki sposób, Ŝe przy przeliczaniu wartości topologii po jego wpięciu wygra elekcję na przełącznik główny. Porty, które początkowo przesyłały dane nagle mogą zmienić swój tryb na blokowanie ruchu w celu zapewnienia topologii wolnej od zapętleń. 81 [email protected] http://tturba.tk Rys. 3.2.2.16. Schemat ataku zbliżeniowego STP Źródło: Opracowanie własne Takie działanie napastnika moŜe zakłócić nieprzerwalną pracę całej sieci produkcyjnej, która będzie przesyłać ramki w inny niŜ ustalony wcześniej sposób, lecz atak zbliŜeniowy STP moŜe być takŜe niewiedzą pracownika. ZałóŜmy, Ŝe pracownik przyszedł do pracy ze swoim laptopem, mając na biurku komputer stacjonarny i jedno gniazdo Ethernetowe. Przyniósł swój przełącznik i go podłączył, nagle sieć przestała działać, bo przełącznik był starszy niŜ firmowe, czyli jego MAC adres był na pewno niŜszy, więc jego urządzenie zwycięŜyło w nowej elekcji na przełącznik główny odcinając sieć od zasobów serwerowych. Inaczej jest w przypadku świadomego działania, lecz w sposób wewnętrzny. Napastnik być moŜe ma moŜliwość przeprowadzania zmian konfiguracyjnych na urządzeniach. Uzyskał ten dostęp wykorzystując dowolną podatność w systemie. Zmienia on priorytet zaatakowanego przełącznika na niŜszy co znowu spowoduje rekalkulacje i zakłócenie działania sieci. Dwa pierwsze przypadki winny być opisane w sekcji zagroŜeń fizycznych, lecz nie powodują one takich uszkodzeń, a jedynie komputerowe, więc sklasyfikowano je do grupy ataków komputerowych. Podobnie jest atakiem zbliŜeniowym na protokół VTP. Napastnik lub pracownik firmy moŜe podłączyć przełącznik, który został skonfigurowany świadomie bądź nie w taki sposób, Ŝe numer rewizyjny konfiguracji będzie większy niŜ te w sieci produkcyjnej. Oznacza to wtedy, Ŝe wszystkie przełączniki w trybie klienckim lub serwerowym przyjmą tę konfigurację VLANów za swoją, zwiększając swoje numery rewizyjne do wartości z wpiętego przełącznika +1. 82 [email protected] http://tturba.tk Rys. 3.2.2.17. Schemat ataku VTP Źródło: Opracowanie własne Nowe informacje z serwera VTP mogą powodować wymazanie prawidłowo dla firmy skonfigurowanych informacji o VLAN’ach i na jakich portach pracują, co całkowicie ograniczy funkcjonalność sieci produkcyjnej w działaniu. Sposobami obrony na ataki STP są trzy rozwiązania. Włączenie mechanizmu ochrony portów przełącznika (port-security). Włączenie Root Guard chroniącego przełącznik główny przed niespodziewaną elekcją. Włączenie BPDU Guard – mechanizmu wyłączającego porty stacji roboczych wtedy gdy otrzymają one ramki z BPDU (porty na stacjach roboczych nigdy nie powinny jej otrzymać, gdyŜ komputer pracowniczy takich ramek nie wysyła, a jedynie przełącznik. Jeśli pojawił się przełącznik na porcie typu access oznacza to naruszenie zasad bezpieczeństwa.). W przypadku obrony przed atakami VTP równieŜ stosuje się mechanizm port-security. Reszta zabezpieczeń wynika z ulepszeń w nowej wersji protokołu VTP, chronionej hasłem i przypisaniem do domeny. Ewentualnie jeŜeli wszystko w sieci produkcyjnej jest prawidłowo ustawione moŜna zmienić tryby VTP przełączników na przeźroczyste co spowoduje ignorowanie ramek rozgłoszeniowych VTP z numerami rewizyjnymi. Z innowacyjnych metod moŜna zastosować autentykację 802.1x po porcie przełącznika. Jednak wymaga ona obsługi protokołu EAPoL na stacji roboczej (dopiero od Windows Vista), na przełączniku i serwerze 802.1x. Nie mniej jest to rozwiązanie bardzo skuteczne i elastyczne. Np. za pomocą mechanizmu dot1x moŜna przenieść nieprawidłowo zautentykowanego uŜytkownika do osobnego VLANu z bardziej rygorystycznymi zasobami 83 [email protected] http://tturba.tk lub uŜytkownika, który jest ograniczony brakiem moŜliwości logowania z pomocą protokołu EAPoL, do ograniczonych zasobów. [2] Atak na protokół SNMP Napastnik, który uzyskał dostęp do sieci produkcyjnej i działa w niej zarządzanie zdalne za pomocą protokołu SNMP – moŜe on spowodować zmianę konfiguracji urządzeń lub pozyskać z nich poufne informacje. Problem zostanie szerzej opisany w rozdziale dotyczącym skutecznego monitoringu i zarządzania, jednak z uwagi na fakt, Ŝe jest to atak aktywny na dostępność – informacja została tutaj zamieszczona. Atak na protokół NTP Protokół synchronizacji czasu NTP z pozoru nie ma zbyt wielkiego znaczenia w istnieniu sieci produkcyjnej. Lecz często atak na protokół NTP jest powiązany z groźniejszym atakiem aktywnym. Atak dystrybucyjny na czas ma na celu pozostawienie furtki dla napastnika dla przyszłych ataków i włamań. JeŜeli zaatakuje on sektor sieci odpowiedzialny za synchronizację czasu urządzeń to jest w stanie zmodyfikować czasy logów urządzeń w taki sposób, Ŝe w teorii nikt nigdy nie zauwaŜyłby, Ŝe napastnik włamał się do systemu. Taka zmiana równieŜ w razie wpadki włamywacza jest trudniejsza do udowodnienia przed sądem, gdzie głównym przewaŜnie dowodem w sprawie są właśnie logi wydrukowane z urządzeń. Łatwo jednak się przed atakiem NTP zabezpieczyć, gdyŜ wystarczy wysyłać te logi w kilka niezaleŜnych od siebie miejsc i starannie konserwować. Groźne debugowanie i niekontrolowany sztorm rozgłoszeniowy Debugowanie – czyli podglądanie komunikatów systemowych na bieŜąco, mocno obciąŜa dany system. Nie jest to polecane działanie w przypadku sieci produkcyjnych, gdyŜ moŜe spowodować to zator lub przerwę w działaniu ze względu na ogromne ilości danych jakie musi generować urządzenie w celu pokazania ich człowiekowi. W polityce bezpieczeństwa winna być napisana informacja, Ŝe nie wolno debugować urządzeń. Jednak napastnik mając dostęp zbliŜeniowy do urządzenia moŜe włączyć debugowanie na urządzeniach i w szybkim tempie się oddalić. W krótkim czasie szybkość działania sieci na pewno zmaleje, a znalezienie winowajcy moŜe się wtedy okazać bardzo trudne. Skutecznym sposobem obrony przed takim działaniem jest odpowiedni przydział praw dostępu dla odpowiednich pracowników. Innymi słowy, jeŜeli pracownik nie potrzebuje czegoś w swojej pracy to powinno to zostać dla niego ograniczone w dostępie. Pojęcie sztormu rozgłoszeniowego oznacza, Ŝe przez sieć zaczyna przepływać za duŜo pakietów typu broadcast, które w krótkim czasie zaczynają się namnaŜać nie mając ujścia. Powodem moŜe być zapętlenie się przełączników, gdy protokół STP lub VTP zacznie źle działać w przypadku wpięcia przez napastnika jego przełącznika lub poprzez atak typu DoS/DDoS wysyłający zapytania ICMP na adresy rozgłoszeniowe wewnątrz sieci. JeŜeli w sieci lokalnej wystąpi sztorm rozgłoszeniowy to normalna transmisja juŜ się nie mieści w granicy przepustowości urządzeń i medium, co ogranicza lub wyłącza działanie sieci. O tyle jest to groźny atak, Ŝe uderza nie tylko w urządzenia produkcyjne w sieci, ale takŜe w zwykłe 84 [email protected] http://tturba.tk stacje robocze, które równieŜ mogą zostać wyłączone z prawidłowego działania poprzez zbyt duŜy napływ pakietów do karty sieciowej. Powszechnie stosowanym rozwiązaniem jest implementacja usługi Kontroli Sztormu na przełączniku i routerze. Poprzez zdefiniowanie procentowego poziomu przepustowości osiągniętego przez pakiety rozgłoszeniowe i zdefiniowanie typu akcji na to zdarzenie moŜna w prosty sposób kontrolować przepływność transmisji w sieci lokalnej. 85 [email protected] http://tturba.tk 4. Implementacja bezpiecznej infrastruktury sieciowej WdraŜanie dobrych rozwiązań zabezpieczających poufne dane i urządzenia w przedsiębiorstwie nie naleŜy do prostych zadań. Jest to proces długotrwały i ciągły. Od początku istnienia systemu informatycznego administrator ma na co dzień do czynienia z aspektami bezpieczeństwa jakie musi zrozumieć, opanować i wdroŜyć by osłonić przedsiębiorstwo przed nowymi zagroŜeniami i nie zostać zwolnionym z pracy. W celu zapewnienia spójnego, dobrze zaplanowanego i udokumentowanego wdroŜenia moŜna wykorzystać model SDLC (ang. Systems Development Life Cycle) stosowany w inŜynierii oprogramowania i inŜynierii systemowej. Przechodząc przez kolejne fazy projektu i wdroŜeń łatwiej jest administratorom ogarnąć projekt jako całość. Zaletą zastosowania modelu SDLC jest jego dokładność opisanych zadań do realizacji przypadających na konkretną fazę w pięciu podstawowych etapach. - planowania - analizy - projektowania - implementacji - zarządzania Zaletą stosowania etapów jest podział pracy pomiędzy pracowników, specjalistów, przykładowo etapem analizy powinni zajmować się firmowi analitycy przy współpracy projektantów, a fazą implementacji i zarządzania – administratorzy. WaŜnym czynnikiem kaŜdego systemu informatycznego jest konstrukcja polityki bezpieczeństwa zgodnej z wewnętrznymi regulacjami prawnymi firmy oraz krajowymi ustawami. Po skutecznej implementacji całe wdroŜenie winno być dobrze udokumentowane wraz z narysowaniem schematu topologicznego całej sieci. Jest to krytyczny czynnik długotrwały, tudzieŜ w razie zmiany pracownika (administratora), łatwo jest mu się odnaleźć w nowym systemie niŜ jak miałby wszystko analizować od początku. Zajęłoby mu to duŜo czasu, podczas gdy podatność nieaktualizowanego systemu rosłaby z kaŜdym nowym zagroŜeniem. W projekcie zaprezentowano przykłady konfiguracji z routerów i przełączników firmy Cisco. Zastosowana konfiguracja zapewnia ochronę przed atakami opisanymi w rozdziałach wcześniejszych co zostanie zweryfikowane w testach penetracyjnych (rozdział 5.). 86 [email protected] http://tturba.tk 4.1. Zastosowanie modelu SDLC w projekcie Cykl śycia Rozwoju Systemu SDLC (ang. Systems Development Life Cycle) w inŜynierii systemowej i inŜynierii oprogramowania jest procesem tworzenia lub modyfikowania systemu stosując modelowanie i metodologię, której ludzie uŜywają by zbudować owy system. Metodologie tworzą fundament podstaw w procesie planowania i kontrolowania etapu tworzenia systemu. Model SDLC jest więc procesem logicznym uŜywanym przez róŜnych analityków systemu (w tym analityków bezpieczeństwa informacji) by stworzyć system oparty na swoich załoŜeniach. Wynikiem pracy z modelem SDLC powinien być wysokiej jakości system informatyczny, który spełnia lub przekracza oczekiwania klienckie wpływając pozytywnie na czas planowania i estymowany koszt wdroŜenia. Model SDLC składa się z pięciu głównych etapów potrzebnych do tego, aby w pełni zrealizować załoŜenia projektowe i wymagania klienckie. Są nimi: faza planowania, analizy przydatności, projektowania, implementacji i konserwacji systemu. Istnieje wiele modeli opartych o ogólny model SDLC. W dzisiejszych czasach rozwiniętych technologii i róŜnorodności rozwiązań sprzętowych i programowych w planowaniu powinny zostać wykorzystane dwa modele w sposób scalony. Model wodospadowy i model spiralny powinny ze sobą całkowicie współdziałać, zwłaszcza jeŜeli chodzi o budowanie bezpiecznego systemu informatycznego, który wymaga stałego rozwoju i opieki. ZałoŜeniami modelu wodospadowego jest inkrementująca przepływność danej z kolejnych faz. NaleŜy przejść po kolei kaŜdą fazę, której wynik wykorzystuje się w następnej i tak do końca. Powoduje to stworzenie gruntownego podkładu pod skalowalny, funkcjonalny system informatyczny. Natomiast załoŜeniem modelu spiralnego jest ciągły rozwój systemu. W modelu spiralnym fazy ze sobą są powiązane cyklicznie. Tzn. po przejściu przez fazę konserwacji po pewnym czasie moŜe nastąpić powrót do fazy planowania w celu zapewnienia stuprocentowej funkcjonalności w sposób nieprzerwalny. W obu modelach występują oczywiście te same fazy i ich załoŜenia wewnętrzne są jednakowe. RóŜnica wynika, Ŝe jeden model stanowi fundament dla drugiego, zapewniającego ciągłą skalowalność i rozwój. [12] 87 [email protected] http://tturba.tk Rys. 4.1.1. Schemat modelu wodospadowego na podstawie ogólnego modelu SDLC Źródło: Opracowanie własne Jak widać na rys. 4.1.1. poszczególne fazy modelu wodospadowego zawierają kolejne tematy jakie naleŜy zrealizować zanim przejdzie się do kolejnej fazy. Jest to swoiste ułatwienie dające analitykowi, projektantowi i administratorowi pojęcie o zakresie ich obowiązków wykonawczych. W lewych górnych rogach kaŜdej fazy zostały opisane tytułowo, główne fazy wynikające z definicji modelu ogólnego SDLC. 88 [email protected] http://tturba.tk Rys. 4.1.2. Schemat modelu spiralnego na podstawie ogólnego modelu SDLC Źródło: Opracowanie własne Model spiralny jest szczególnie waŜny w przypadku budowania trwale zabezpieczonej infrastruktury sieciowej przedsiębiorstwa informatycznego. Bezpieczeństwo jest w dzisiejszych czasach krytycznym czynnikiem prawidłowej pracy systemu informatycznego, z uwagi na fakt, Ŝe powstaje kaŜdego dnia nowe zagroŜenie. W raz z nowym zagroŜeniem istnieje ryzyko, Ŝe system będzie na niego podatny. Przeprowadzając testy penetracyjne wykorzystując w ich planowaniu model spiralny zapewnia się w przedsiębiorstwie prawidłowy przepływ faz, co usprawnia pracę. W skrócie zostaną opisane kolejne fazy modelu SDLC wraz z krokami z modelu wodospadowego, gdyŜ tematem publikacji nie jest projektowanie infrastruktury sieciowej, a jedynie wdraŜanie konkretnych metodologii związanych z bezpieczeństwem systemu informatycznego. a) Faza planowania SłuŜy do stworzenia wysoko-poziomowego spojrzenia na projekt z właściwej perspektywy wraz z określeniem celów jakie mają zostać zrealizowane. Z zasady faza planowania jest wykorzystywana do przedstawienia projektu wyŜszej grupie trzymającej władze w celu pozyskania funduszy na realizację projektu. ZłoŜona jest z dwóch kroków: - kategoryzacja potrzeb bezpieczeństwa – odpowiada na pytanie czy dane rozwiązania będą potrzebne w przedsiębiorstwie. - wstępne sporządzenie analizy ryzyka – nawiązuje do kategoryzacji potrzeb, jednak skupia się na fakcie, czy opłaca się wkładać w cały projekt fundusze, czy moŜe istnieje 89 [email protected] http://tturba.tk inny, łatwiejszy, a przede wszystkim tańszy sposób jego realizacji. Przedstawia się tutaj głównie argumenty mogące przekonać zarząd w celu pozyskania funduszy. b) Faza analizy Faza analizy jest często nazywana fazą określenia wymagań. Po zatwierdzeniu projektu przez zarząd musi nastąpić dogłębna analiza w jaki sposób projekt będzie musiał być realizowany, oraz potwierdzić jego opłacalność sporządzając szczegółowy kosztorys w którym oblicza się takŜe moŜliwość wystąpienia zagroŜenia, oraz jak nowe rozwiązanie projektowe moŜe wpłynąć na zmniejszenie jego szkodliwości bądź je wykluczyć. Analiza określenia wymagań jest najwaŜniejszą fazą z ekonomicznego. Jest wyjściem do wszystkich pozostałych faz. punktu widzenia Składa się z siedmiu kroków: - sporządzenie analizy ryzyka – jest rozwinięciem z kroku drugiego fazy planowania. Zawiera szczegółowe dane nt. opłacalności rozwiązania. Analiza ryzyka składa się z dwóch mniejszych analiz stanowiących całość (analiza ilościowa i jakościowa). Stosowane są tutaj następujące wzory: - analiza ilościowa: ALE = AV * EF * ARO - analiza jakościowa: SLE = AV * EF Poprzez analizę ilościową rozumie się określenie wartości ryzyka włoŜonych w projekt funduszy względem wystąpienia ogólnie pojętego zagroŜenia. ALE (ang. Annualized Loss Expectancy) – uśredniona roczna wartość strat przewidywana jeŜeli przedsiębiorstwo nie zainwestuje funduszy w projekt. AV (ang. Asset Value) – ogólny koszt zakupionego sprzętu i jego utrzymania. EF (ang. Exposure Factor) – procentowa strata zainwestowanych funduszy gdy wystąpi zagroŜenie. ARO (ang. Annualized Rate of Occurence) – uśredniona roczna liczba zagroŜeń jakimi moŜe zostać system dotknięty. Poprzez analizę jakościową rozumie się określenie konkretnych wartości ryzyka w przypadku wystąpienia pojedynczego zagroŜenia. SLE (ang. Single Loss Expectancy) – określa wartość funduszy jaką firma moŜe stracić za kaŜdym razem gdy wystąpi zagroŜenie. 90 [email protected] http://tturba.tk - analiza wymagań funkcjonalnych - określenie przydatności rozwiązań, oraz ich prawidłowe zaplanowanie. Które rozwiązanie będzie spełniało swoją rolę, a które z projektu naleŜy wykluczyć. - analiza szczegółowych rozwiązań bezpieczeństwa - szczegółowa analiza w propozycji konkretnych rozwiązań z zakresu bezpieczeństwa i ich przydatności na podstawie ich funkcjonalności względem zwykłego uŜytkownika, który będzie korzystał z systemu. - sporządzenie kosztorysu i raportu – naleŜy zebrać wszystkie czynniki do których realizacji będą potrzebne fundusze (urządzenia, media transmisyjne, opłacenie projektantów, wdroŜeniowców). NaleŜy równieŜ stworzyć raport porównujący analizę ryzyka do wartości z kosztorysu. - ustalenie kroków postępowania – krok ten stanowi wyznacznik w jakich okolicznościach czasowych kolejne etapy implementacji będą realizowane, oraz naleŜy zdefiniować jakie to będą etapy. - określenie etapów implementacji - jest to szerzej opisany krok poprzedni z dokładnymi fragmentami opisującymi kolejne kroki na etapie wdraŜania bezpieczeństwa do systemu. - rozwaŜanie skuteczności zaproponowanych rozwiązań – krok stanowi meritum poprzednich kroków, wyznaczając opłacalność realizacji projektu. c) Faza projektowania Faza projektowania jest częściowo kopią ostatnich kroków z fazy analizy. WdroŜenie rozwiązania jest nie stanowi problemu, lecz by rozwiązanie było skalowalne i funkcjonalne naleŜy zatroszczyć się o jego właściwe zaprojektowanie. Dlatego początkowe kroki są powtarzane w celu upewnienia się, Ŝe rozwiązania naprawdę mogą przynieść poŜądany efekt. Faza składa się z czterech kroków, które są dokumentami: - inspekcja i akceptacja rozwiązań – jak wyŜej, krok ma zapewnić prawidłowość rozwiązania i w tym celu jest poświadczany przez wszystkie osoby biorące udział w etapie projektowania, które przedstawiają dokument projektowy zarządowi w celu ostatecznego zatwierdzenia. - zadbanie o spójność systemu – jest to krok przedstawiający rozwiązania projektowe pracownikom przedsiębiorstwa bezpośrednio w przyszłości z nim związanymi, np. administratorzy będą odpowiedzialni za nieprzerwalną pracę systemu, więc muszą się z nim zapoznać i takŜe go zaakceptować poprzez weryfikację własną. - poświadczenie prawidłowości rozwiązań kaŜdy z projektantów musi poświadczyć własnym podpisem, Ŝe projekt, który zostanie przez nich realizowany jest projektem chronionym prawnie i wszelkie konsekwencje wynikające z zaniedbań 91 [email protected] http://tturba.tk na etapie jego tworzenia, będą stanowiły podstawę do obarczenia tym faktem projektantów. - zatwierdzenie implementacji – ostateczna weryfikacja wszystkich dokumentów i podpis osoby zarządzającej przedsiębiorstwem, bądź odpowiedzialnej za przydział funduszy. d) Faza implementacji Faza implementacji stanowi wdroŜenie projektu w rzeczywistość. - konfiguracja, kontrola i zarządzanie – jest to normalny tryb pracy systemu informatycznego po wykonaniu kroków instalacyjnych i konfiguracyjnych. - obserwacja systemu – krok stanowi monitoring świeŜo zaimplementowanego systemu informatycznego. Pomimo wieloetapowego potwierdzania wszystkich prawidłowości projektowych zawsze moŜe się wydarzyć coś niespodziewanego. Dlatego przeprowadza się czasową obserwację systemu, czy działa według swoich załoŜeń. NaleŜy napisać na tym etapie gruntowną dokumentację techniczną stanu faktycznego. e) Faza konserwacji/zarządzania Dochodząc do fazy konserwacji/zarządzania moŜna poświadczyć, Ŝe wszystkie poprzednio zrealizowane fazy przebiegły pomyślnie, więc system informatyczny moŜe zacząć normalnie pracować w warunkach produkcyjnych. Na tym etapie naleŜy pamiętać o wszystkich czynnikach bezpieczeństwa i jakie naleŜy wykonywać kroki postępowania w celu jego zapewnienia, które określa sporządzony dokument polityki bezpieczeństwa. - zabezpieczanie i archiwizacja poufnych danych - konserwacja urządzeń - usuwanie sprzętu, dokumentów i nośników 92 [email protected] http://tturba.tk 4.1.1. Dokumentacja techniczna Dokumentacja techniczna jest papierowym dokumentem słuŜącym do szybkiego odnalezienia danego fragmentu sieci, urządzenia, parametru technicznego z urządzenia, Ŝe w razie wystąpienia błędu, usterki, zagroŜenia, administrator mógł szybciej zlokalizować usterkę i ją naprawić. Dobra dokumentacja techniczna powinna zawierać przede wszystkim rysunki, zgodnie z tezą, Ŝe „zdjęcie wyraŜa tysiąc słów”. Na jednym rysunku (najlepiej wielkoformatowym) powinna się znaleźć topologia fizyczna (czyli sposób połączenia wszystkich urządzeń). JeŜeli sieć nie jest zbyt rozległa i nie powoduje, Ŝe dane na rysunku się zlewają moŜna połączyć takŜe ją z topologią logiczną, czyli z adresacją i liczbą hostów przypadających na sieć. Rys. 4.1.1.1. Adresacja w topologii fizycznej sieci zastosowanej w projekcie Źródło: Opracowanie własne Rysunki topologii logicznej i fizycznej pozwalają osiągnąć większą skuteczność w rozwiązywaniu problemów związanych z warstwą fizyczną i łącza danych modelu OSI. W przypadku osiągnięcia większej skuteczności na wyŜszych warstwach proponuje się opisanie rysunku topologii logicznej, usługami jakie zostały zaimplementowane na poszczególnych urządzeniach. 93 [email protected] http://tturba.tk Tak w przypadku błędnego routingu i adresacji moŜna w krótkim czasie zlokalizować problem warstwy sieciowej. W przypadku oznaczonej kontroli dostępu – w warstwie transportowej i usług serwerowych w warstwach wyŜszych. Rys. 4.1.1.2. Schemat co zostało zaimplementowane na poszczególnych urządzeniach Źródło: Opracowanie własne. Przy konstrukcji dokumentacji naleŜy takŜe pamiętać o tekście, które powinny najpierw powielać dane z rysunków, a następnie je rozszerzać. Przez rozszerzenie rozumie się ogólny opis działania usługi i jej przydatności w systemie informatycznym oraz wklejenia plików konfiguracyjnych. Dokumentacja, tak jak przedsiębiorstwo – powinna się rozwijać. W przypadku zmian w dokumencie naleŜy je zapisywać z datami modyfikacji i zachowywać wszystkie stare wersje w zamkniętym pomieszczeniu, niedostępnym dla otoczenia. [6] 94 [email protected] http://tturba.tk 4.1.2. Polityka bezpieczeństwa W rozdziale 3. traktującym o zagroŜeniach często jest wspomniane hasło polityki bezpieczeństwa. W przedsiębiorstwie jest to bardzo waŜny dokument przedstawiany kaŜdemu pracownikowi w celu zapoznania się z jego obowiązkami związanymi ze stanowiskiem komputerowym oraz z danymi z jakimi pracuje. Polityka bezpieczeństwa powołuje się na akty prawne takie jak ustawy o ochronie danych osobowych i informacji niejawnych oraz rozporządzenia dotyczące przetwarzania danych poufnych i warunków technicznych systemów informatycznych. Jest to dokument elastyczny, tzn. kaŜdy dział lub inna forma podziału między pracownikami moŜe zostać w niej osobno opisana. KaŜdy pracownik musi się podpisać pod polityką bezpieczeństwa, Ŝe się z nią zapoznał i zna wszelkie konsekwencje jakie groŜą z tytułu nie stosowania się do zasada tegoŜ dokumentu. Dobra polityka bezpieczeństwa powinna być zaopatrzona takŜe w raport zdarzeń i wykaz osób zapoznanych z polityką. Usprawnia to prace logistyczne. Zostaje przedstawiony wzór dokumentu polityki bezpieczeństwa jaki powinien być stworzony w przedsiębiorstwie. WZÓR POLITYKI BEZPIECZEŃSTWA WSTĘP PoniŜszy dokument jest zgodny z aktami prawnymi: a). Ustawa z dnia 29.08.1997r. O ochronie danych osobowych (tekst jednolity Dz. U. Nr 101, z 2002 r., poz. 926) b) Ustawa o ochronie informacji niejawnych z 22.01.1999 r. (Dz. U. Nr 11, poz. 95 z późniejszymi zmianami), c) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29.04.2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne słuŜące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024). Niniejszy dokument reguluje sprawy ochrony danych osobowych zawierających się w informatycznym systemie wykorzystywanym w lokalnej sieci komputerowej oraz zbiorów danych w postaci dokumentacji papierowej w przedsiębiorstwie XXX. Opisane zostały reguły wyznaczające granice dopuszczalnego zachowania się wszystkich uŜytkowników systemu informatycznego przedsiębiorstwa XXX. Dokument w szczególności zwraca uwagę na konsekwencje dla osób, które przekroczą opisane granice. Polityka bezpieczeństwa wskazuje takŜe sposób postępowania w sytuacji naruszenia bezpieczeństwa informacji w systemach informatycznych. Potrzeba opracowania dokumentu wynika z § 3 rozporządzenia Prezesa Rady Ministrów z dnia 25 lutego 1999 roku w sprawie podstawowych wymagań bezpieczeństwa systemów i sieci teleinformatycznych (Dz. U. Nr 18 póz. 162) oraz 95 [email protected] http://tturba.tk § 3 i 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne słuŜące do przetwarzania danych osobowych (Dz. U. Nr 100, póz. 1024). ZASADY OGÓLNE 1. Dokument określa tryby postępowania dla przypadków, gdy: a. Zostało stwierdzone naruszenie zabezpieczeń systemu komputerowego b. Zawartość zbioru danych, ujawnione metody pracy, sposób działania konkretnego programu mogą wskazywać na naruszenie zabezpieczeń. 2. Dokument jest skierowany do wszystkich pracowników przedsiębiorstwa XXX. 3. Stosowanie się do postanowień tego dokumentu ma zapewnić właściwą reakcję i udokumentowanie przypadków, w których zostało stwierdzone naruszenie bezpieczeństwa jak i zapewnić właściwy tok postępowania w celu przywrócenia normalnej pracy. OPIS ZAGROśEŃ NARUSZAJĄCYCH ZASADY POLITYKI BEZPIECZEŃSTWA 1. Podział zagroŜeń: a. Losowe zewnętrzne – przerwy w zasilaniu, kataklizmy. Ciągłość pracy systemu zostaje naruszona lecz nie następuje wyciek poufnych danych b. Losowe wewnętrzne – nieświadome pomyłki administratorów, operatorów, przypadkowe awarie sprzętowe . Ciągłość pracy systemu zostaje naruszona i moŜe nastąpić wyciek poufnych danych c. Celowe zagroŜenia zamierzone – naruszenie poufności danych, nieuprawniony dostęp do systemu. 2. Przypadki uzasadnionego podejrzenia stwarzania zagroŜeń dla systemu informatycznego: a. Sytuacje losowe - poŜar, powódź, katastrofa, terroryzm b. Niewłaściwe warunki środowiskowe – wilgotność, temperatura, wibracje, wstrząsy, wyładowania elektryczne c. Umyślne awarie sprzętu i oprogramowania d. Ujawnienie poufnych danych osobom niepowołanym e. Nieprzypadkowa zmiana załoŜonego rytmu pracy w sieci komputerowej f. Próba naruszenia integralności danej lub systemu g. Pojawienie się komunikatu alarmowego h. Naruszenie dyscypliny pracy w zakresie przestrzegania procedur bezpieczeństwa stanowiska pracy i. Stwierdzone nieprawidłowości w zakresie przechowywania i zabezpieczania miejsc z poufnymi danymi – biurka, szafki, nośniki tradycyjne, nośniki 96 [email protected] http://tturba.tk ZABEZPIECZANIE POUFNYCH DANYCH $1 Cele i zasady ogólne Administrator jest zobowiązany do stosowania środków technicznych w celu zapewnienia ochrony przetwarzanym poufnych danych w systemie informatycznym przedsiębiorstwa XXX, w szczególności: - zapobiegnięcie wycieku danych do rąk osób niepowołanych - zapobiegnięcie przetwarzaniu danych, w sposób który narusza ustawę oraz zmianę, utratę bądź uszkodzenie danych - zabezpieczanie danych przed udostępnianiem osobom niepowołanym $2 Cele i zasady ochrony ogólnej Celem wprowadzonych do niniejszej polityki bezpieczeństwa jest ochrona danych poufnych eksploatowanych w systemie informatycznym przedsiębiorstwa XXX. Zabezpieczenia w szczególności tyczą się: - zabezpieczenie danych przed dostępem osób niepowołanych na etapie jej wykorzystywania (wprowadzanie, aktualizacja, wyświetlanie, drukowanie) - zabezpieczenie danych zarchiwizowanych na nośnikach zewnętrznych - przestrzeganie procedur niszczenia niepotrzebnych dokumentów papierowych oraz nośników z danymi. - ochrona systemu bezpieczeństwa przed dostępem fizycznym osób nieupowaŜnionych do pomieszczeń, w których znajdują się urządzenia systemu informatycznego - monitorowanie systemu bezpieczeństwa - wyznaczenie ścisłego zakresu obowiązków pracowników w szczególności w sektorze dotyczącym bezpieczeństwa danych Sposoby zabezpieczeń są określone za pomocą: - ograniczenia fizycznego dostępu do pomieszczeń z urządzeniami wykorzystywanymi w systemie informatycznym - zdefiniowanie programowych grup uŜytkowników, nazw oraz haseł - stosowanie kryptograficznych metod ochrony danych, które są oferowane na pulpicie uŜytkownika - przeprowadzanie archiwizacji danych na nośnikach optycznych lub magnetycznych z ich ochroną w oddzielnym pomieszczeniu lub budynku - w pomieszczeniach ze sprzętem komputerowym zainstalowane są systemy alarmowe i przeciwpoŜarowe - za całość polityki bezpieczeństwa odpowiada szef działu bezpieczeństwa przedsiębiorstwa XXX 97 [email protected] http://tturba.tk $3 Zabezpieczanie danych Wprowadzone zostały następujące metody zabezpieczeń: - na pracowniczych stacjach roboczych wprowadzono wysoki poziom zabezpieczeń - pomieszczenia zawierające urządzenia przetwarzające poufne dane i kartoteki osobowe zostały zabezpieczone właściwym okratowaniem, systemem alarmowym, przeciwpoŜarowym i miernikiem właściwego poziomu parametrów klimatycznych - w razie wystąpienia awarii zasilania lub zakłóceń sieci elektroenergetycznej serwera i urządzeń przetwarzających poufne dane zostały zabezpieczone systemami podtrzymującymi napięcie - uruchomienie stacji roboczych wymaga podania hasła BIOS’u - zalogowanie się do systemu wymaga podania nazwy uŜytkownika i hasła - kaŜdy uŜytkownik systemu ma przydzielone prawa dostępu uprawniające go do wykonywania operacji związanych ze swoją pracą. - w razie nieudanego logowania następuje czasowe zawieszenie konta uŜytkownika - logowanie w systemie jest moŜliwe jedynie w godzinach pracy - administrator i szef działu bezpieczeństwa mają stosowne uprawnienia do definiowania kont pracowników i haseł - w celu zabezpieczenia dostępu z zewnątrz do sieci lokalnej przedsiębiorstwa stosuje się system ściany ogniowej i szyfrowanie w wirtualnej sieci prywatnej - kaŜda stacja robocza jest zaopatrzona w aktywny pakiet antywirusowy pracujący w czasie rzeczywistym. Za krytyczne aktualizacje odpowiada administrator. - urządzenia serwerowe zostały zaopatrzone w mechanizm wykrywania i prewencji intruzów - dostęp do danych przez pracowników wyznaczany jest przez administratora - wykonane kopie bezpieczeństwa zabezpieczone w innym pomieszczeniu moŜe otwierać jedynie szef działu bezpieczeństwa przedsiębiorstwa XXX $4 Monitoring zabezpieczeń Do monitorowania zabezpieczeń systemu informatycznego zobowiązani są administrator systemu i szef działu bezpieczeństwa. Do ich obowiązków w zakresie monitoringu zabezpieczeń naleŜą: - okresowe badanie stanu zabezpieczeń pod względem testów penetracyjnych - okresowa analiza kopii bezpieczeństwa pod względem ich przydatności w razie powstania potrzeby odtwarzania danych - ewidencja i kontrola nośników optycznych i magnetycznych - kontrola częstotliwości zmiany haseł przez pracowników - przedstawienie rocznych raportów z zakresu przeprowadzonych kwartalnych kontroli $5 Szkolenia z zakresu bezpieczeństwa Podstawowe szkolenie z zakresu bezpieczeństwa jest obowiązkowe i obejmuje wszystkich pracowników przedsiębiorstwa XXX. Tematyka szkoleń obejmuje zagadnienia: - przepisy i wewnętrzne instrukcje dotyczące postępowania z chronionymi danymi, archiwizacją i przechowywania nośników - przepisy i wewnętrzne instrukcje dotyczące niszczenia wydruków i nośników. 98 [email protected] http://tturba.tk - zakres obowiązków pracownika i sposobów ochrony stanowiska pracy $6 Archiwizacja danych 1. Archiwizacja danych w systemie informatycznym przebiega w trybie tygodniowym 2. Kopie awaryjne z programów z których korzystają pracownicy wykonywane są codziennie. Za wykonanie kopii awaryjnej odpowiedzialny jest operator danej stacji roboczej 3. Kopie bezpieczeństwa winny być przechowywane w szafie pancernej. Osobą upowaŜnioną do wglądu do kopii bezpieczeństwa jest szef działu bezpieczeństwa przedsiębiorstwa XXX. $7 Zasady niszczenia wydruków papierowych i nośników danych 1. Nośniki optyczne wychodzące poza obszar przedsiębiorstwa nie powinny zawierać danych poufnych 2. Nośniki optyczne przed wyrzucenie nim powinny być zniszczone fizycznie poprzez przecięcie, przełamanie 3. Wydruki papierowe zawierające poufne dane winny być zniszczone fizycznie poprzez wykorzystanie niszczarki i/lub spalenie w piecu SPOSOBY POSTĘPOWANIA W PRZYPADKU NARUSZENIA ZASAD BEZPIECZEŃSTWA 1. KaŜdy pracownik przedsiębiorstwa XXX, który był uczestnikiem naruszenia zasad bezpieczeństwa powinien przekazać tę informację szefowi działu bezpieczeństwa, lub administratorowi pod jego nieobecność w trybie natychmiastowym 2. W razie braku obecności szefa działu bezpieczeństwa lub administratora systemu pracownik zobowiązany jest powiadomić bezpośredniego przełoŜonego 3. Zanim szef działu bezpieczeństwa lub administrator systemu przybędą na miejsce zajścia zdarzenia pracownik jest zobowiązany: a. Podjąć czynności niezbędne w celu powstrzymania wycieku poufnych danych wynikającego z zajścia zdarzenia, w tym ustalenie moŜliwego sprawcy b. Wstrzymanie swojej bieŜącej pracy zabezpieczając własne stanowisko c. Zabezpieczenie miejsca zdarzenia d. Zastosowanie się do innych regulaminów i instrukcji, jeŜeli takowe odnoszą się do zaistniałego zdarzenia e. Nie opuszczać miejsca zdarzenia bez uzasadnionej potrzeby do czasu przybycia szefa działu bezpieczeństwa, administratora lub bezpośredniego przełoŜonego chyba, Ŝe istnieje zagroŜenie Ŝycia 4. Szef działu bezpieczeństwa przeprowadza ścisłą dokumentację zaistniałego zdarzenia i sporządza raport według ustalonego wzoru, który powinien zawierać: a. Wskazanie osoby powiadamiającej o zaszłym zdarzeniu b. Wskazanie innych osób zaangaŜowanych w zdarzenie c. Wskazanie czasu i miejsca zgłoszenia zdarzenia oraz czasu i miejsca zajścia zdarzenia d. Określenie moŜliwych okoliczności zajścia zdarzenia 99 [email protected] http://tturba.tk OBOWIĄZKI SZEFA DZIAŁU BEZPIECZEŃSTWA 1. Przeprowadzanie ścisłego nadzoru nad przestrzeganiem instrukcji zawartych w tym dokumencie 2. Przeprowadzanie ścisłego nadzoru nad zabezpieczaniem sprzętu oraz pomieszczeń związanych z prawidłowym działaniem systemu informatycznego 3. Przeprowadzanie ścisłego nadzoru nad zabezpieczaniem oraz legalnością stosowanego oprogramowania 4. Przeciwdziałanie dostępowi do systemu osobom nieupowaŜnionym 5. Podejmowanie działań w celu zapewnienia właściwej ochrony danych 6. Badanie i raportowanie naruszeń bezpieczeństwa w systemie informatycznym 7. Przeprowadzanie ścisłego nadzoru nad naprawami, konserwacją i likwidacją urządzeń komputerowych 8. Definiowanie grup uŜytkowników, haseł dostępu i przydziału praw dostępu 9. Przeprowadzanie testów penetracyjnych w celu ustalenia aktualnego poziomu bezpieczeństwa w przedsiębiorstwie 10. Przeprowadzanie aktualizacji oprogramowania na stacjach roboczych poza tymi wykonywanymi automatycznie 11. Przeprowadzanie ścisłego nadzoru nad właściwą konserwacją i usuwaniem urządzeń i nośników komputerowych DODATKOWY ZAKRES OBOWIĄZKÓW DLA PRACOWNIKA PRZEDSIĘBIORSTWA 1. Pracownik jest zobowiązany dbać o bezpieczeństwo powierzonych mu poufnych danych, ich właściwą archiwizację i przechowywanie, a w szczególności: a. Chronić poufne dane przed dostępem osób niepowołanych b. Chronić dane przed nieumyślnym zniszczeniem, lub modyfikacją c. Chronić powierzone nośniki optyczne oraz wydruki przed dostępem osób niepowołanych oraz przed nieumyślnym zniszczeniem d. Utrzymywać w tajemnicy powierzone nazwy uŜytkownika, hasła, częstości ich zmian oraz szczegóły techniczne wynikające z czytania tego dokumentu 2. Zabrania się pod rygorem odpowiedzialności karnej i słuŜbowej pracownikowi: a. Ujawniać poufne dane b. Kopiować poufne dane bez przewidzianych w tym celu instrukcji lub wykraczając poza zakres swoich obowiązków c. Przetwarzać dane w sposób nieodpowiedni, zabroniony zakresem obowiązków 100 [email protected] http://tturba.tk WZÓR OŚWIADCZENIA ……………………………. Imię i nazwisko pracownika ……………………………. Adres ……………………………. ……………………………. Miejscowość, data OŚWIADCZENIE 1. Własnoręcznym podpisem oświadczam, Ŝe jako pracownik przedsiębiorstwa XXX zapoznałem się z dokumentem polityki bezpieczeństwa oraz, Ŝe znana jest mi treść przepisów o ochronie danych osobowych, oraz o odpowiedzialności karnej z nią związaną. 2. Zobowiązuje się jednocześnie do przestrzegania zasad opisanych w dokumencie oraz nie będę: a. Ujawniać poufnych danych eksploatowanych przeze mnie w przedsiębiorstwie b. Ujawniać szczegółów technologicznych regulowanych przez wewnętrzne instrukcje i regulaminy c. Ujawniać szczegółów zawartych w dokumencie polityki bezpieczeństwa d. Przekazywać osobom niepowołanym nośniki optyczne lub wydruki e. Kopiować, przetwarzać lub usuwać dane w sposób niezgodny z opisanymi dla mnie instrukcjami 3. Zobowiązuje się takŜe do: a. Dbanie o środowisko pracy, swoje stanowisko oraz poszanowanie dla innych pracowników przedsiębiorstwa b. Informowania szefa działu bezpieczeństwa, administratora lub bezpośredniego przełoŜonego o zaistniałym zdarzeniu naruszającym zasady bezpieczeństwa w przedsiębiorstwie c. Wykonywania czynności zawartych we wszystkich instrukcjach i regulaminach przedstawionych mojej osobie. ………………………………… Podpis pracownika ……………………….. Podpis przełoŜonego 101 [email protected] http://tturba.tk WZÓR WYKAZU WYKAZ OSÓB ZAPOZNANYCH Z POLITYKĄ BEZPIECZEŃSTWA Lp. Imię i nazwisko Stanowisko Data Podpis WZÓR RAPORTU RAPORT Z NARUSZENIA ZASAD BEZPIECZEŃSTWA W PRZEDSIĘBIORSTWIE 1. Data: ……………………. ……… Godzina: ………………………………… (dd.mm.rr) (gg:mm) 2. Osoba powiadamiająca o zaistniałym zdarzeniu: ………………………………………………………………………………………………….. (imię i nazwisko, stanowisko pracy, nazwa uŜytkownika (jeŜeli obowiązuje)) 3. Lokalizacja zdarzenia: ………………………………………………………………………………………………….. (nr pokoju, ewentualna nazwa pomieszczenia) 4. Rodzaj naruszenia bezpieczeństwa oraz towarzyszące okoliczności: ………………………………………………………………………………………………….. ………………………………………………………………………………………………….. ………………………………………………………………………………………………….. 5. Przyczyny wystąpienia zdarzenia: ………………………………………………………………………………………………….. ………………………………………………………………………………………………….. ………………………………………………………………………………………………….. 6. Podjęte działania zapobiegawcze: ………………………………………………………………………………………………….. ………………………………………………………………………………………………….. ………………………………………………………………………………………………….. 7. Podjęte postanowienie wyjaśniające: ………………………………………………………………………………………………….. ………………………………………………………………………………………………….. ………………………………………………………………………………………………….. ………………………………………………….. (data, podpis Szefa Bezpieczeństwa Informatycznego) Źródło: Opracowanie własne na podstawie: http://bip.trzcinsko-zdroj.pl/unzip/1084.dhtml (31.05.2009r) 102 [email protected] http://tturba.tk 4.2. Realizacja projektu ochrony infrastruktury sieciowej przedsiębiorstwa NiŜej opisana konfiguracja jest częścią składową urządzeń produkcyjnych stosowanych w realnej topologii. Stanowi odzwierciedlenie faktycznego stanu konfiguracyjnego z niewielkimi wyjątkami zagraŜającymi przedsiębiorstwie. Dlatego zmienione zostały wszelkie hasła, adresy IP oraz porty. Konfiguracje na wielu urządzeniach powtarzają się, dlatego kroki te zostały pominięte, a jedynie opisane jako odnośnik do konfiguracji powyŜej. Tam, gdzie występowały zmiany przy tej samej usłudze – zostały one opisane. Konfiguracja dotyczy urządzeń z rysunku topologii uŜytkowej (rys. 4.1.1.2 z rozdziału 4.1.1) KONFIGURACJA ROUTERA A - zabezpieczenie logowania: A(config)#security passwords minlength 10 A(config)#service passwordencryption A(config)#enable secret level 15 ciscocisco A(config)#security authentication failure rate 3 log A(config)#login block-for 30 attempts 3 within 15 A(config)#login delay 5 A(config)#access-list 1 permit host 100.0.0.2 log A(config)#login quiet-mode access-class 1 A(config)#login on-success log every 1 A(config)#login on-failure log every 1 A(config)#username admin privilege 15 secret ciscocisco Ustala minimalną długość haseł na 10 znaków. Włącza usługę prostego szyfrowania haseł w konfiguracji. Ustawia hasło trybu uprzywilejowanego na ciscocisco. Zezwalaj na 3 moŜliwe nieudane próby logowania. JeŜeli w ciągu 15sek. wystąpią 3 nieudane próby logowania to blokuj moŜliwość logowania na 30sek. Tryb Cichy. Opóźnienie między losowaniami ustawione na 5sek. Ruch z hosta 100.0.0.2 sklasyfikowany jako dozwolony. Zezwolenie hostowi z listy 1 na logowanie pomimo Trybu Cichego. JeŜeli ktoś się zalogował to naleŜy zalogować tę informację. JeŜeli komuś nie udało się zalogować to naleŜy zalogować tę informację Tworzy konto uŜytkownika admin z hasłem trybu uprzywilejowanego ciscocisco w lokalnej bazie danych. A(config-line)#transport input ssh Zastępuje usługę Telnet usługą SSH. A(config-line)#login local Zezwolenie na logowanie za pomocą lokalnej bazy danych. 103 [email protected] http://tturba.tk A(config)#crypto key generale rsa Generacja szyfrowania asymetrycznego RSA i włączenie protokołu SSH 1.9. A(config)#ip ssh version 2 Włączenie protokołu SSH 2.0. A(config)#ip ssh time-out 60 Ustawienie czasu oczekiwania prompta na 60sek. A(config)#ip ssh authenticationretries 3 Zezwolenie na trzy maksymalne nieudane logowania. Logowanie zdarzeń związanych z protokołem SSH. Zezwolenie na 5 konkurentnych zalogowań jednocześnie. A(config)#ip ssh logging events A(config)#ip ssh maxstartups 5 A(config)#banner motd # NIEAUTORYZOWANY DOSTEP SUROWO WZBRONIONY # Ustalenie wiadomości powitalnej widocznej przed zalogowaniem. - zabezpieczenie konfiguracji i systemu operacyjnego: Skopiowanie konfiguracji z pamięci RAM do pamięci NVRAM. Zabezpieczenie systemu IOS w pamięci Flash routera. Zabezpieczenie konfiguracji z NVRAM do pamięci Flash routera. A(config)#copy running-config startup-config A(config)#secure boot-image A(config)#secure boot-config - przesyłanie wiadomości i zalogowanych zdarzeń do serwera Syslog: A(config)#logging on A(config)#logging 12.0.0.2 A(config)#logging trap notifications Włączenie logowania systemowego. Przesyłanie wiadomości do serwera Syslog na adres 12.0.0.2. Przesyłanie wiadomości tylko z poziomu piątego i poniŜej. - wyłączenie niepotrzebnych usług: A(config)#no ip http server A(config)#no ip ftp-server A(config)#no ip bootp server A(config)#no ip finger A(config)#no ip source-route A(config)#no ip redirects A(config)#no ip gratuitous-arp A(config)#no ip domain-lookup Wyłączenie usługi WWW. Wyłączenie usługi FTP. Wyłączenie protokołu BOOTP. Wyłączenie narzędzia FINGER. Obrona przed atakiem IP Source-Routing. Obrona przed atakiem IP Source-Routing. Obrona przed MAC Spoofing. Wyłączenie usługi translacji nazw domen. 104 [email protected] http://tturba.tk A(config-if)#no ip unreachables Częściowa obrona przed atakiem DoS/DDoS. A(config-if)#no ip directed-broadcasts Częściowa obrona przed atakiem DoS/DDoS. A(config)#no service pad Wyłączenie usługi PAD. A(config)#no service tcp-smallWyłączenie usługi TCP-S-Services. services A(config)#no service udp-smallservices A(config)#no snmp-server Wyłączenie usługi UDP-S-Services. Wyłączenie protokołu SNMP. - zabezpieczenie protokołu NTP: A#clock set 15:30:30 1 june 2009 A(config)#ntp master 1 A(config)#ntp authenticate A(config)#ntp authenticationkey 1 md5 KLUCZYK A(config)#ntp max-associations 3 A(config)#ntp trusted-key 1 A(config)#ntp logging Zdefiniowanie prawidłowego czasu na routerze. Zdefiniowanie źródła rozgłoszeń czasu NTP. Włączenie autentykacji protokołu NTP. Zdefiniowanie klucza MD5 autentykacji na wartość KLUCZYK Synchronizowanie maksymalnie trzech asocjacji. Zdefiniowanie, który klucz jest zaufany. Logowanie zdarzeń związanych z protokołem NTP do serwera Syslog. - opcjonalna konfiguracja 802.1x (autentykacji maszyny po porcie): A(config)#aaa new-model A(config)#aaa authentication login default local A(config)#aaa authentication dot1x default group radius local A(config)#dot1x system-authcontrol A(config-if)#dot1x portcontrol auto A(config)#dot1x guest-vlan supplicant A(config)#dot1x auth-fail maxattmepts 3 Włączenie logowania mechanizmem AAA, wymaganym do prawidłowego działania autentykacji dot1x UmoŜliwienie prawidłowego logowania do routera po włączeniu mechanizmu AAA. Zdefiniowanie autentykacji protokołu dot1x do serwera Radius, lub gdy coś się z nim stanie – za pomocą lokalnej bazy danych. Włączenie autentykacji 802.1x Zdefiniowanie roli portu na transmisję ramek EAPoL. Przeniesienie uŜytkownika nie obsługującego EAPoL do VLANu z ograniczonymi zasobami. Po 3 nieudanych próbach logowania przenosi uŜytkownika do VLANu restrykcyjnego. 105 [email protected] http://tturba.tk A(config)#dot1x host-mode single-host A(config)#dot1x guest_vlan 6 Oznaczenie portu jako samotnego. A(config)#dot1x auth-fail vlan 7 Zdefiniowanie VLANu z ograniczonymi zasobami. Zdefiniowanie VLANu restrykcyjnego. KONFIGURACJA PRZEŁĄCZNIKA A - zabezpieczenie logowania – tak samo jak router A. - zabezpieczenie konfiguracji i systemu operacyjnego – tak samo jak router A. - przesyłanie wiadomości i zdarzeń do serwera Syslog – tak samo jak router A. - konfiguracja port-security (powtórzyć dla kaŜdego interfejsu stacji roboczej): A_SW(config-if)#switchport portsecurity A_SW(config-if)#switchport portsecurity maximum 1 A_SW(config-if)#switchport portsecurity violation shutdown A_SW(config-if)#switchport portsecurity mac-address sticky A_SW(config-if)#switchport mode access A_SW(config-if)#switchport access vlan 2 Włączenie uslugi port-security. Zdefiniowanie maksymalnej dozwolonej liczby adresów MAC na port przełącznika na 1. Zdefiniowanie reakcji na podłączenie komputera z innym adresem MAC niŜ ten w tablicy CAM. Dynamiczna nauka adresu MAC do tablicy CAM pierwszego wpiętego komputera. Zdefiniowanie trybu access dla interfejsu. Przypisanie portu do VLAN2. - konfiguracja protokołu VTP: A_SW(config)#vtp mode server A_SW(config)#vtp domain FIRMA A_SW(config)#vtp password 0x011A A_SW(config)#vtp version 2 Ustawienie trybu pracy protokołu VTP jako serwer na tym przełączniku. Ustawienie domeny protokołu VTP na FIRMA. Ustawienie hasła dla przesyłanych pakietów VTP na 0x011A Ustawienie wersji protokołu VTP na 2. - zabezpieczenie protokołu STP i DTP: A_SW(config)#spanning-tree mode rapid-pvst A_SW(config)#spanning-tree vlan 2-5 priority 0 Ustawienie trybu pracy na Rapid-PVST. Ustawienie na sztywno priorytetu 0 co zapobiegnie nowej elekcji przełącznika głównego. 106 [email protected] http://tturba.tk A_SW(config)#spanning-tree portfast bpduguard enable A_SW(config-if)#spanning-tree guard root A_SW(config-if)#switchport trunk A_SW(config-if)#switchport nonegotiate A_SW(config-if)#switchport trunk native vlan 10 Włączenie usługi BPDU Guard. Włączenie usługi Root Guard. Zmiana trybu portu na trunk. Wyłączenie protokołu DTP. Zdefniowanie VLAN’u natywnego na 10. - zabezpieczenie przed atakami DHCP i ARP Spoofing: A_SW(config)#ip dhcp snooping vlan 2 A_SW(config)#ip dhcp snooping information option A_SW(config)#ip dhcp snooping limit rate 3 A_SW(config-if)#ip dhcp snooping trust A_SW(config)#ip arp inspection vlan 2 A_SW(config)#ip arp inspection validate src-mac A_SW(config-if)#ip arp inspection trust Włączenie usługi DHCP Snooping dla VLAN2. Włączenie usługi DHCP Snooping dla agenta DHCP Relay. Ustawienie limitu pakietów DHCP na 3/sek. Ustawienie interfejsu zaufanego dla serwera DHCP. Włączenie usługi DAI dla VLAN2. Klasyfikacja portu na podstawie źródłowego adresu fizycznego. Ustawienie interfejsu zaufanego dla przełącznika. KONFIGURACJA ROUTERA B - zabezpieczenie logowania – tak samo jak router A. - zabezpieczenie konfiguracji i systemu operacyjnego – tak samo jak router A. - przesyłanie wiadomości i zdarzeń do serwera Syslog – tak samo jak router A. - wyłączenie niepotrzebnych usług – tak samo jak router A. 107 [email protected] http://tturba.tk - zabezpieczenie protokołu NTP w trybie klienckim: A(config)#ntp server 10.0.0.1 prefer A(config)#ntp authenticate A(config)#ntp authenticationkey 1 md5 KLUCZYK A(config)#ntp trusted-key 1 A(config)#ntp logging Zdefiniowanie źródła rozgłoszeń czasu NTP z którego będą pobierane informacje czasowe. Włączenie autentykacji protokołu NTP. Zdefiniowanie klucza MD5 autentykacji na wartość KLUCZYK Zdefiniowanie, który klucz jest zaufany. Logowanie zdarzeń związanych z protokołem NTP do serwera Syslog. - stworzenie mechanizmu Router-on-a-Stick w celu poprawnego routingu pomiędzy VLAN’ami przełączników: B(config)#interface fastethernet 0/1.2 B(config-subif)#encapsulation dot1Q 2 B(config-subif)#ip address 192.168.1.1 255.255.255.224 B(config)#interface fastethernet 0/1.3 B(config-subif)#encapsulation dot1Q 3 B(config-subif)#ip address 192.168.1.33 255.255.255.192 B(config)#interface fastethernet 0/1.4 B(config-subif)#encapsulation dot1Q 4 B(config-subif)#ip address 192.168.1.97 255.255.255.128 Utworzenie podinterfejsu w interfejsie fizycznym Fa0/1. Wskazanie enkapsulacji 802.1q dla VLAN2. Zdefniowanie podsieci dla VLAN2. Utworzenie podinterfejsu w interfejsie fizycznym Fa0/1. Wskazanie enkapsulacji 802.1q dla VLAN3. Zdefniowanie podsieci dla VLAN3. Utworzenie podinterfejsu w interfejsie fizycznym Fa0/1. Wskazanie enkapsulacji 802.1q dla VLAN4. Zdefniowanie podsieci dla VLAN4. 108 [email protected] http://tturba.tk - zdefiniowanie puli adresów DHCP (operacje powtórzyć dla VLAN3 i VLAN4 analogicznie): B(config)#ip dhcp pool PULA_2 Zdefiniowanie nazwy puli. B(dhcp-config)#network 192.168.1.0 255.255.255.224 B(dhcp-config)#dns-server 100.0.0.1 Zdefiniowanie zakresu adresów w puli. B(dhcp-config)#default router 192.168.1.1 B(config)#ip dhcp excluded-address 192.168.1.1 192.168.1.1 Zdefiniowanie lokalizacji serwera DNS. Zdefiniowanie bramki domyślnej dla puli. Wyłączenie adresu interfejsu z puli automatycznego przydziału. KONFIGURACJA PRZEŁĄCZNIKA B - zabezpieczenie logowania – tak samo jak router A. - zabezpieczenie konfiguracji i systemu operacyjnego – tak samo jak router A. - przesyłanie wiadomości i zdarzeń do serwera Syslog – tak samo jak router A. - konfiguracja port-security – tak jak na przełączniku A. - konfiguracja protokołu VTP – tak jak na przełączniku A. - zabezpieczenie protokołu STP i DTP – tak jak na przełączniku A. - zabezpieczenie przed atakami DHCP i ARP Spoofing – tak jak na przełączniku A. - obrona przed niekontrolowanym sztormem rozgłoszeniowym: B_SW(config)#interface range fastethernet 0/2 – 23 B_SW(config-if)#storm-control broadcast level 70 B_SW(config-if)#storm-control action shutdown Zdefiniowanie zasięgu interfejsów. Zdefiniowanie procentowego poziomu obciąŜenia łącza pakietami rozgłoszeniowymi. Ustalenie standardowej akcji na przekroczenie procentowego poziomu obciąŜenia. - wprowadzenie restrykcji dostępu hosta 192.168.1.5 do reszty VLAN2. B_SW(config)#access-list 101 permit ip host 192.168.1.5 any B_SW(config)#vlan access-map MAPA 10 B_SW(config-vacm)#match ip address 101 Zdefiniowanie ruchu do wyłączenia. Zdefiniowanie mapy dostępu z numerem sekwencyjnym 10. Badanie pakietów sklasyfikowanych w ACL 101. 109 [email protected] http://tturba.tk B_SW(config-vacm)#action drop B_SW(config)#vlan access-map MAPA 20 B_SW(config-vacm)#action forward B_SW(config)#vlan filter MAPA vlanlist 2 Zdefiniowanie akcji DROP dla pakietu sklasyfikowanego do ACL 101. Zdefiniowanie mapy dostępu z numerem sekwencyjnym 20. Zdefiniowanie akcji PERMIT dla pakietów bez klasyfikacji. Implementacja VACL MAPA do VLAN2. KONFIGURACJA ROUTERA C - zabezpieczenie konfiguracji i systemu operacyjnego – tak samo jak router A. - przesyłanie wiadomości i zdarzeń do serwera Syslog – tak jak router A. - wyłączenie niepotrzebnych usług – tak jak na routerze A, - zabezpieczenie protokołu NTP w trybie klienckim – tak jak na routerze B. - zabezpieczenie logowania za pomocą AAA: C(config)#aaa new-model C(config)#tacacs-server host 12.0.0.2 key KLUCZYK singleconnection C(config)#aaa authentication login default group tacacs local C(config)#aaa authentication enable default group tacacs enable C(config-line)#login authentication default C(config)#aaa authentication username-prompt USER: C(config)#aaa authentication password-prompt PW: Włączenie logowania AAA. Zdefiniowanie adresu serwera TACACS+ z kluczem szyfrowania KLUCZYK oraz, Ŝe kaŜda transakcja AAA nie jest osobnym połączeniem, tylko całością. Zdefiniowanie podstawowego mechanizmu logowania do serwera TACACS+, a jak zawiedzie to z lokalnej bazy danych. Zdefiniowanie podstawowego mechanizmu logowania do trybu uprzywilejowanego do serwera TACACS+, a jak zawiedzie to za pomocą starej komendy enable. Przypisanie metody autentykacji do terminala. Zdefiniowanie prompta nazwy uŜytkownika. Zdefiniowanie prompta hasła uŜytkownika. KONFIGURACJA ROUTERA D - zabezpieczenie logowania – tak samo jak router A. - zabezpieczenie konfiguracji i systemu operacyjnego – tak samo jak router A. - przesyłanie wiadomości i zdarzeń do serwera Syslog – tak jak router A. - wyłączenie niepotrzebnych usług – tak jak na routerze A, 110 [email protected] http://tturba.tk - zabezpieczenie protokołu NTP w trybie klienckim – tak jak na routerze B. - konfiguracja tunelu VPN między routerem D, a routerem E: D(config)#crypto isakmp enable D(config)#crypto isakmp policy 1 D(config-isakmp)#authentication preshare D(config-isakmp)#encryption aes 128 D(config-isakmp)#group 2 D(config-isakmp)#hash md5 D(config-isakmp)#lifetime 86400 D(config)#crypto isamkp key KLUCZYK address 30.0.0.1 D(config)#crypto ipsec transform-set TSET1 ah-md5-hmac esp-aes 128 D(cfg-crypto-trans)#mode tunnel D(config)#crypto ipsec securityassociation life time seconds 3600 D(config)#access-list 101 permit ip 10.0.0.0 0.0.0.7 30.0.0.0 0.0.0.255 D(config)#crypto map MAPA 10 ipsecisakmp D(config-crypto-map)#match address 101 D(config-crypto-map)#set peer 30.0.0.1 D(config-crypto-map)#set transform-set TSET1 D(config-if)#crypto map MAPA Włączenie szyfrowania za pomocą fazy ISAKMP. Zdefiniowanie polityki szyfrowania fazy ISAKMP. Zdefiniowanie metody autentykacji na PSK. Zdefiniowanie metody szyfrowania pakietu na AES 128-bit. Zdefiniowanie metody szyfrowania asymetrycznego na DH 1024-bit. Zdefiniowanie algorytmu haszującego na MD5. Zdefiniowanie czasu wygaśnięcia połączenia na 24h. Zdefiniowanie hasła symetrycznego na KLUCZYK i wskazanie adresu docelowego. Zdefiniowanie zestawu transformat fazy IPsec na szyfrowanie AES 128-bit i haszowanie MD5. Zdefiniowanie szyfrowania całych pakietów. Zdefiniowanie czasu wygaśnięcia tunelu IPsec na 1h. Wskazanie adresu źródłowego i docelowego. Zdefiniowanie krypto mapy z numerem sekwencyjnym 10 posługującej się negocjacją dwóch faz. Sklasyfikowanie ruchu z ACL 101. Ustawienie celu na 30.0.0.1. Wskazanie transformaty. Przypisanie krypto mapy do interfejsu. 111 [email protected] http://tturba.tk - konfiguracja innowacyjnej strefowej ściany zaporowej (ang. Zone-Based Firewall): D(config)#zone security INTERNET D(config)#zone security LAN D(config-if)#zone-member security INTERNET D(config-if)#zone-member security LAN D(config)#class-map type inspect match-any CM1 D(config-cmap)#match protocol tcp D(config-cmap)#match protocol http D(config)#class-map type inspect match-any CM2 D(config-cmap)#match protocol icmp D(config)#access-list 102 permit 20.0.0.0 0.0.0.255 any D(config)#class-map type inspect match-any CM3 D(config-cmap)#match address 102 D(config)#policy-map type inspect PM1 D(config-pmap)#class type inspect CM1 D(config-pmap-c)#inspect D(config-pmap)#class type inspect CM3 D(config-pmap-c)#pass D(config-pmap)#class type inspect CM2 D(config-pmap-c)#drop D(config)#zone-pair security LAN_INTERNET source LAN destination INTERNET D(config-sec-zone-pair)#service-policy type inspect PM1 Zdefiniowanie strefy INTERNET Zdefiniowanie strefy LAN Przypisanie strefy INTERNET do interfejsu zewnętrznego. Przypisanie strefy LAN do interfejsu wewnętrznego. Sklasyfikowanie ruchu do inspekcji. Klasyfikacja ruchu TCP. Klasyfikacja ruchu http. Sklasyfikowanie drugiego ruchu do inspekcji. Klasyfikacja ruchu ICMP. Zdefiniowanie puli do klasyfikacji. Sklasyfikowanie trzeciego ruchu do inspekcji. Klasyfikacja ACL 102. Zdefiniowanie nazwy dla polityki wykonawczej. Sklasyfikowanie ruchu CM1 dla polityki. Wykonanie akcji inspekcji na ruchu TCP i HTTP z wewnątrz. Sklasyfikowanie ruchu CM3 dla polityki. Wykonanie akcji PERMIT na ruchu z ACL 102. Sklasyfikowanie ruchu CM2 dla polityki. Wykonanie akcji DROP dla ruchu ICMP. Powiązanie ze sobą stref tworząc parę. Przypisanie polityki wykonawczej do pary stref. UWAGA: Konfigurację naleŜy przeanalizować takŜe dla pary odwrotnej (INTERNET_LAN), gdyŜ nie jest to ta sama klasyfikacja. Jednak z uwagi na fakt, Ŝe strefa INTERNET jest strefą zewnętrzną, to wszystkie połączenia z niej przychodzące winny być zablokowane, poza tymi które zostały nawiązane wewnątrz firmy, stąd nie zostaje tutaj opisana konfiguracja. 112 [email protected] http://tturba.tk KONFIGURACJA ROUTERA E - zabezpieczenie logowania – tak samo jak router A. - zabezpieczenie konfiguracji i systemu operacyjnego – tak samo jak router A. - przesyłanie wiadomości i zdarzeń do serwera Syslog – tak jak router A. - wyłączenie niepotrzebnych usług – tak jak na routerze A, - zabezpieczenie protokołu NTP w trybie klienckim – tak jak na routerze B. - konfiguracja tunelu VPN między routerem E, a routerem D – analogicznie jak na routerze D. - implementacja podglądania nawiązywanych połączeń TCP: E(config)#ip tcp intercept mode intercept E(config)#access-list 103 permit any any E(config)#ip tcp intercept list 103 Badaj stan połączenia zanim zostanie wysłany pakiet ACK. Klasyfikacja ruchu. Badaj ruch z ACL 103. - implementacja mechanizmu IPS - obrony przez złośliwym oprogramowaniem: E(config)#ip ips sdf location flash://256MB.sdf E(config)#ip ips notify SDEE E(config)#ip ips name IPSRULE E(config)#ip ips fail-closed E(config-if)#ip virtualreassembly E(config-if)#ip ips IPSRULE in Zdefiniowanie lokalizacji do pliku z sygnaturami. Zdefiniowanie akcji zgłaszania zdarzeń do lokalnego serwera logów SDEE. Zdefiniowanie nazwy dla sygnatur IPS Brak zezwolenia na ruch pakietów podczas kompilacji nowych sygnatur. Utworzenie dynamicznej listy kontroli dostępu dla pakietów, które zostały pofragmentowane. Zdefiniowanie kierunku działania sensora IPS na interfejsie. 113 [email protected] http://tturba.tk - implementacja starego mechanizmu ściany ogniowej: E(config)#ip inspect name BADAJ_TCP tcp E(config)#ip inspect name BADAJ_HTTP http E(config)#ip inspect name ICMP_E icmp router-traffic E(config-if)#ip inspect BADAJ_TCP in E(config-if)#ip inspect BADAJ_HTTP out Zdefiniowanie inspekcji pakietów TCP. Zdefiniowanie głębokiej inspekcji pakietów HTTP. Zdefiniowanie inspekcji dla pakietów ICMP generowanych przez router. Badanie pakietów TCP w kierunku wchodzącym. Badanie pakietów http w kierunku wychodzącym. PowyŜsza konfiguracja urządzeń stanowi optymalną formę zabezpieczenia systemu informatycznego na czas teraźniejszy. Niektóre sposoby konfiguracji cechują się duŜą skalowalnością, dlatego zostały zaimplementowane (VPN, ZFW, STP). [7] 114 [email protected] http://tturba.tk 4.3. Skuteczny monitoring i zarządzanie Monitoring w przedsiębiorstwie jest obowiązkowym czynnikiem zapewniającym właściwy poziom zabezpieczeń, nie tylko systemu informatycznego. Realizowany jest na dwóch płaszczyznach: monitorowania pomieszczeń oraz monitorowania zasobów systemu informatycznego. Monitorowanie pomieszczeń powinno przebiegać całodobowo pod nadzorem pracownika ochrony. Skuteczne monitorowanie pomieszczeń szczególnie wraŜliwych na moŜliwość wycieku, bądź uszkodzeń danych powinno być realizowane przez kilka kamer, w tym kamerę noktowizyjną. W przypadku zainstalowania w pomieszczeniach czujników temperaturowych, nie jest wymagane instalowanie drogiej kamery termowizyjnej, gdyŜ czujnik wykryje i zaraportuje wszelkie nieprawidłowości. Monitoring komputerowy jest znacznie bardziej skomplikowany. Urządzeń oznaczonych jako te, które naleŜy monitorować w przedsiębiorstwie jest duŜo. Nie jest to kilka waŜnych pomieszczeń, które moŜna obserwować na osobnych monitorach. TakŜe kaŜde urządzenie inaczej rejestruje zdarzenia. WaŜne jest by standaryzować sposób raportowania i wyznaczyć właściwy jego poziom. Wpływa to na efektywność pracy administratora przeglądającego logi z urządzeń. Nie musi on marnować czasu na znane komunikaty systemu, które są jedynie zdarzeniami informacyjnymi. SłuŜy do tego narzędzie Syslog, zbierające informacje z urządzeń do jednego miejsca. Istnieje siedem poziomów wiadomości Syslog: Poziom 0: Niebezpieczeństwo Poziom 1: Alarmy Poziom 2: Błędy krytyczne Poziom 3: Błędy Poziom 4: OstrzeŜenia Poziom 5: Notyfikacje – poziom standardowy Poziom 6: Informacje Poziom 7: Debugowanie KaŜdy poziom odpowiada równieŜ wystąpieniu zagroŜenia w systemie. JeŜeli jest to poziom 0 to nastąpiło powaŜne naruszenie zasad bezpieczeństwa i systemowi grozi uszkodzenie. JeŜeli poziom 0 jest największym zagroŜeniem, to poziom 7 oczywiście jest najmniejszym. Przykładem dobrego narzędzia Syslog jest darmowy serwer Kiwi centralizujący zbieranie informacji z urządzeń i ułatwiający ich przeglądanie za pomocą filtrów. 115 [email protected] http://tturba.tk Rys. 4.3.1. Zrzut ekranu z programu Kiwi Syslog Źródło: http://kiwi-syslog-daemon.smartcode.com/screenshot.html (01.06.2009r) Standardowo w urządzeniach Cisco poziom informacji Syslog jest ustawiony na Notyfikacje, czyli w konsoli pojawiają się wszystkie zmiany interfejsów, zapisy plików konfiguracyjnych i inne podobne rzeczy. W przypadku przeglądania logów przez administratora, takie notyfikacje są dla niego zbędne, aczkolwiek zaleŜy w jakim celu logi są przeglądane. Być moŜe administratorowi zaleŜy na badaniu osiągnięć swoich łącz i sieci, więc wtedy zdecyduje się na poziom 6, lub 7. Jednak narzędzie Syslog nie jest efektywne w realizacji powyŜszego zadania ze względu, Ŝe nie posiada graficznej reprezentacji danych, statystyk, a jedynie przekazane informacje z urządzeń logujących. Przykładem dobrego narzędzia do monitorowania działania sieci jest narzędzie LStat. 116 [email protected] http://tturba.tk Rys. 4.3.2. Zrzut ekranu z programu LStat Źródło: Opracowanie własne Narzędzie Lstat jest darmowe. Instalacja odbywa się w systemie operacyjnym Linux, a konkretnie na serwerze dostępowym dla uŜytkowników sieci i Internetu. Narzędzie Lstat poza rozwiązaniem instalacji na serwerze moŜna zrealizować poprzez metodę SPAN lub RSPAN (ang. Remote Switch-Port Analyzer). Metoda SPAN polega na kopiowaniu całego ruchu z wyznaczonego interfejsu (bądź interfejsów) sieciowego na wyznaczony interfejs docelowy z którego ten ruch moŜe być zebrany i określony statystykami. RóŜnica między trybem SPAN, a RSPAN jest taka, Ŝe ten drugi moŜna realizować zdalnie. Rys. 4.3.3. Schemat trybu SPAN i RSPAN kopiowania ruchu z interfejsów Źródło: Opracowanie własne 117 [email protected] http://tturba.tk KONFIGURACJA RSPAN: LEWY(config)#vlan 30 LEWY(config-vlan)#remote-span LEWY(config)#monitor session 1 source interface FastEthernet0/1 – 3 LEWY(config)#monitor session 1 destination remote vlan 30 reflector-port FastEthernet0/12 PRAWY(config)#monitor session 1 source remote vlan 30 PRAWY(config)#monitor session 1 destination interface FastEthernet0/10 Przejście do konfiguracji VLAN30. Włączenie trybu RSPAN dla VLAN30. Wskazanie portów źródłowych z których będzie kopiowany ruch. Wskazanie portu przekazującego ruch docelowy z VLAN30. Wskazanie portu źródłowego, w przypadku RSPAN jest to źródłowy VLAN30. Wskazanie portu docelowego na który przekazywany będzie ruch. JeŜeli jednak istnieje potrzeba monitorowania większej liczby uŜytecznych parametrów sieci i urządzeń to naleŜy zainstalować narzędzie NetFlow skonstruowane specjalnie do monitorowania zdarzeń z urządzeń firmy Cisco. Rys. 4.3.4. Zrzut ekranu z programu NetFlow pokazujący różnorodność pakietów w transmisji Źródło: Opracowanie własne 118 [email protected] http://tturba.tk W celu efektywnego monitoringu urządzeń Cisco za pomocą programu NetFlow warto jest wprowadzić dodatkową konfigurację na urządzenia: C(config-if)#ip route-cache flow C(config)#ip flow-export destination 192.168.9.101 9996 C(config)#ip flow-export source FastEthernet 0/1 C(config)#ip flow-export version 5 C(config)#ip flow-cache timeout active 1 C(config)#ip flow-cache timeout inactive 15 C(config)#snmp-server ifindex persist C#show ip flow export C#show ip cache flow Włącza interfejs wysyłający pakiety na port NetFlow. Określenie celu i portu gdzie mają zmierzać pakiety diagnostyczne. Określenie jakie porty będą przedstawiane w NetFlow. Stosowanie NetFlow w wersji 5. Zmiana czasu aktywności rozsyłania pakietów diagnostycznych na minutę. Odcinanie pakietów diagnostycznych, które się ukończyły rozsyłać w czasie 15sek. Zezwolenie na uŜywanie globalnych nazw interfejsów zamiast adresów IP. Pokazuje aktualną konfigurację NetFlow. Pokazuje ile i jakie pakiety są eksportowane do serwera NetFlow. Z powyŜej konfiguracji jasno wynika, Ŝe narzędzie NetFlow wymaga działającego serwera SNMP, co oznacza stworzenie podatności w sieci na atak. Zarządzanie za pomocą protokołu SNMP w systemie informatycznym moŜna zrealizować na dwa sposoby: - zarządzanie w paśmie (ang. In-band) – ruch zarządzający przebiega przez sieć produkcyjną co stanowi zagroŜenie jej działaniu i zwiększa obciąŜenie łącz. - zarządzanie poza pasmem (ang. Out-of-band) – polega na odseparowaniu ruchu zarządzającego poza sieć produkcyjną do osobnej podsieci stojącej za szyfrowanym tunelem z fizycznym połączeniem dostępowym do kaŜdego urządzenia za pomocą konsoli. Zmniejsza to obciąŜenie łącz, jednak jest znacznie droŜsze w implementacji gdyŜ wymaga zupełnie nowego sektora z urządzeniami przekazującymi ruch zarządzający do serwerów. Z załoŜenia, protokołu SNMP nie powinno się stosować w sieci przedsiębiorczej. JeŜeli juŜ istnieje szeroka potrzeba zdalnego zarządzania to naleŜy stosować protokół SNMP w wersji 3 z szyfrowaniem DES-56. Jednak jest to juŜ stary rodzaj szyfru, który bardzo łatwo złamać. Nie mniej, Ŝeby działała aplikacja NetFlow naleŜy uŜywać protokołu SNMP ustalając hasło MD5 oraz łańcuchy hasłowe typu ODCZYT (ro). 119 [email protected] http://tturba.tk Nigdy nie naleŜy uŜywać łańcuchów typu ZAPIS, gdyŜ złamanie prostego hasła umoŜliwia zdalną rekonfigurację parametrów sieci.W kolejnym rozdziale dotyczącym testowania zabezpieczeń zostaną wykorzystane narzędzia Kiwi Syslog i LStat w celu pokazania efektywności zaimplementowanych sposobów bezpieczeństwa w fizycznie działającej sieci. 120 [email protected] http://tturba.tk 5. Testowanie zabezpieczeń ZałoŜenia wstępne: Testowanie zabezpieczeń skonstruowanej sieci opiera się na badaniu parametrów technicznych łącz lokalnych oraz statystyk z urządzeń L2, L3 i serwera. Sieć wykorzystana w projekcie jest częścią realnie działającej sieci produkcyjnej. Jej zabezpieczenie odzwierciedla realny stan. W przypadku przeprowadzania na nią ataków, autor pracy zobowiązał się do niespowodowania szkód wynikających ze swoich działań i przeprowadzi ataki w taki sposób, Ŝe mają tylko zasymulować rzeczywistą próbę uszkodzenia systemu. Rozumie się przez to ciągły monitoring podczas prób i reakcję w razie wykrycia zbyt duŜego odchylenia od normy w działaniu sieci. Przeprowadzone zostaną ataki: a) próba podszycia się na przełączniku atakiem MAC Spoofing b) próba przejęcia przełącznika głównego w protokole STP c) próba ograniczenia dostępności atakiem Smurf d) próba podsłuchania hasła atakiem ARP Spoofing+IP source-routing+Socjotechnika System jest monitorowany za pomocą: - Lstat – dla ataków na dostępność - Syslog – dla ataków wewnętrznych i zbliŜeniowych - SDEE z poziomu SDM dla sensora IPS Ad. A) MAC Spoofing: Do przeprowadzenia ataku MAC Spoofing wykorzystano program MACoffset z pakietu DSniff-2.3. ATAK: [root@ozimska ~dsniff-2.3]# ./macof 101.59.29.36 -> 60.171.137.91 TCP D=55934 S=322 Syn Seq=1210303300 Len=0 Win=512 145.123.46.9 -> 57.11.96.103 TCP D=44686 S=42409 Syn Seq=1106243396 Len=0 Win=52 109.40.136.24 -> 51.158.227.98 TCP D=59038 S=21289 Syn Seq=2039821840 Len=0 Win2 126.121.183.80 -> 151.241.231.59 TCP D=7519 S=34044 Syn Seq=310542747 Len=0 Win2 211.28.168.72 -> 91.247.223.23 TCP D=62807 S=53618 Syn Seq=2084851907 Len=0 Win2 183.159.196.56 -> 133.10.138.87 TCP D=23929 S=51034 Syn Seq=1263121444 Len=0 Wi2 19.113.88.77 -> 16.189.146.61 TCP D=1478 S=56820 Syn Seq=609596358 Len=0 Win=512 121 [email protected] http://tturba.tk 237.162.172.114 -> 51.32.8.36 TCP D=38433 S=31784 Syn Seq=410116516 Len=0 Win2 118.34.90.6 -> 61.169.58.50 TCP D=42232 S=31424 Syn Seq=1070019027 Len=0 Win=52 46.205.246.13 -> 72.165.185.7 TCP D=56224 S=34492 Syn Seq=937536798 Len=0 Win=52 105.109.246.116 -> 252.233.209.72 TCP D=23840 S=45783 Syn Seq=1072699351 Len=0 2 60.244.56.84 -> 142.93.179.59 TCP D=3453 S=4112 Syn Seq=1964543236 Len=0 Win=512 151.126.212.86 -> 106.205.161.66 TCP D=12959 S=42911 Syn Seq=1028677526 Len=0 W2 9.121.248.84 -> 199.35.30.115 TCP D=33377 S=31735 Syn Seq=1395858847 Len=0 Win=2 226.216.132.20 -> 189.89.89.110 TCP D=26975 S=57485 Syn Seq=1783586857 Len=0 Wi2 124.54.134.104 -> 235.83.143.109 TCP D=23135 S=55908 Syn Seq=852982595 Len=0 Wi2 27.54.72.62 -> 207.73.65.108 TCP D=54512 S=25534 Syn Seq=1571701185 Len=0 Win=2 246.109.199.72 -> 1.131.122.89 TCP D=61311 S=43891 Syn Seq=1443011876 Len=0 Win2 251.49.6.89 -> 18.168.34.97 TCP D=25959 S=956 Syn Seq=6153014 Len=0 Win=512 51.105.154.55 -> 225.89.20.119 TCP D=33931 S=1893 Syn Seq=116924142 Len=0 Win=52 82.2.236.125 -> 210.40.246.122 TCP D=43954 S=49355 Syn Seq=1263650806 Len=0 Win2 21.221.14.15 -> 9.240.58.59 TCP D=61408 S=26921 Syn Seq=464123137 Len=0 Win=512 70.63.102.43 -> 69.88.108.26 TCP D=61968 S=53055 Syn Seq=682544782 Len=0 Win=512 REAKCJA: Rys. 5.1. Ochrona na atak rozpowszechnianie MAC Spoofing Źródło: Opracowanie własne Ad. B) Ataki zbliŜeniowe na protokół STP - Atak na BPDU przełącznika głównego polega na wpięciu nowego przełącznika do portu stacji roboczej. REAKCJA: Rys. 5.2. Ochrona na atak na przejęcie roli przełącznika głównego Źródło: Opracowanie własne 122 [email protected] http://tturba.tk - Atak na priorytet przełącznika głównego polega na wpięciu nowego przełącznika między dwa inne działające w sieci. REAKCJA: Rys. 5.3. Ochrona na atak przejęcie roli przełącznika głównego Źródło: Opracowanie własne Ad. C) Atak Smurf Atak na ograniczenie dostępności o nazwie Smurf moŜna zrealizować samemu, lub poprzez skompilowany program w języku C, którego kod do własnej kompilacji moŜna znaleźć pod adresem: http://www.rs-labs.com/papers/tacticas/ircutils/smurf.html ATAK: Rys. 5.4. Przykład konfiguracji do ataku Smurf Źródło: http://www.ixiacom.com/ 123 [email protected] http://tturba.tk REAKCJA: Rys. 5.5. Reakcja systemu na lawinę pakietów ICMP oraz ich sposób ograniczenia Źródło: Opracowanie własne Ad. d) Atak ARP Spoofing Z poziomu serwera atak ARP Spoofing powiedzie się zawsze, gdyŜ serwer kontroluje całym ruchem sieciowym. ATAK: [root@ozimska ~linsniff]# ./linsniff -c linsniff: listening on eth0 ----------------06/03/09 10:09:48 tcp 192.168.8.4.1126 -> wwwin-apps.interia.pl.80 (http) 124 [email protected] http://tturba.tk GET /SERVICE/Paging/page/ HTTP/1.1 Host: wwwin-apps.interia.pl Authorization: testownik c2Nvdlgh39UNMRH4lejDmaA== [sconvery:mojehaslo] REAKCJA: JednakŜe próbując odpalić aplikację linsniff na stacji roboczej będącej między źródłem, a celem wynik skanowania nie zwraca Ŝadnych wartości, gdyŜ aplikacja linsniff nie potrafi podmienić pakietów GARP, które zostały wyłączone. Film z przeprowadzonego ataku ARP 125 [email protected] http://tturba.tk 6. Podsumowanie Rozdział opisuje wnioski wynikające wynikaj z tekstu publikacji: a) ZagroŜenie enie bezpieczeństwa bezpiecze stwa informatycznego jest czynnikiem niewątpliwie niew krytycznym. W celu zapewnienia nieprzerwalnej ochrony, administrator systemu musi się ciągle uczyć.. Praca na stanowisku wymaga odporności odporno ci psychicznej i fizycznej na stres. JeŜeli eli zawiedzie człowiek, to system takŜe. tak e. Dlatego w przedsiębiorstwie przedsi powinien być podział na administratora od zarządzania zarz dzania zasobami i na administratora bezpieczeństwa danych ch. Zapewni to skuteczny podział obowiązków. zków. b) Zrozumienie zagroŜenia Ŝenia stanowi większą wi część rozwiązania zania problemu. Wynika to z faktu, Ŝe większość ść ataków aktywnych odpalanych dzisiaj zatrzymuje się si na ścianie zaporowej systemu informatycznego. Natomiast przed atakami socjotechnicznymi jedyną linią obrony jest człowiek. NaleŜy Nale zainwestować w jego szkolenie i świadomość bezpieczeństwa, bezpiecze co potwierdzają dane z wykresu prezentowany wykonany atak socjotechniczny: Wynik ataku 30 20 10 0 Powodzenie Wyłudzenie częściowe Niepowodzenie Rys. 6.1. Wyniki przeprowadzonego ataku socjotechnicznego Źródło: Opracowanie własne PowyŜsze sze dane pokazują pokazuj jak bardzo bezpieczeństwo stwo w przedsiębiorstwie zaleŜy zale od informacji przekazywanej w sposób słowny. Jak łatwo jest manipulować manipulowa człowiekiem zatajającc psychologicznym płaszczem pytania w ankiecie, ankiecie, pytając pytaj bezpośrednio między dzy innymi niewaŜnymi pytaniami. 126 [email protected] http://tturba.tk 35 30 25 20 15 10 5 0 24 19 6 30 14 5 4 6 Rys. 6.2. Statystyki z ataku na podstawie płci Źródło: Opracowanie własne c) ZagroŜenia wewnętrzne ętrzne i zbliŜeniowe zbli są najniebezpieczniejsze. JeŜeli JeŜ pracownik nie zauwaŜy podłączonego czonego podsłuchu sprzętowego, czy teŜ podepnie znaleziony na schodach nośnik nik cyfrowy – to juŜ system informatyczny jest zagroŜony. zagro Dlatego naleŜy pamiętać o przekazaniu pracownikom dokumentu polityki bezpieczeństwa bezpiecze i jasno określić w nim jakie groŜą gro sankcje za jej nieprzestrzeganie. d) W celu stworzenia projektu systemu informatycznego, którego cechują: cechuj dokładność, rzetelność, jasność, ść, funkcjonalność funkcjonalno i skalowalność naleŜyy stosować stosowa się do załoŜeń modelu SDLC. Podział na etapy i fazy planowania, analizy, projektowania, implementacji i zarządzania ądzania określa okre jasny zakres obowiązków zków i zadań zada do wykonania przez określonych lonych pracowników. KaŜdy Ka dy projektant powinien realizować realizowa swoją część, kaŜdy dy analityk swoją. Wszyscy w ostateczności ostateczno swoją pracę powinni skonsultować skonsultowa między sobą w grupie i dopiero zatwierdzić zatwierdzi w sposób kompromisowy. e) W pracy zostały zaprezentowane nowe rozwiązania rozwi zania technologiczne, które dopiero są s wdraŜane w duŜych ych systemach informatycznych. Są to: - strefowa zapora ogniowa (ang. Cisco Zone-Based Zone Based Firewall) powoli wypierająca ca technologię CBAC (ang. Context-Based Based Access Control). ZałoŜenia enia tej technologii opierają opieraj się o istnienie stref wykluczonego dostępu dost pomiędzy dzy którymi transmisja jest dozwolona tylko wtedy, kiedy została skonfigurowana. Ułatwia to konfigurację konfiguracj zapory ogniowej,, w ten sposób, Ŝe co nie zostało jawnie udostępnione pnione to jest niejawnie wykluczone z transmisji. Administrator w efektywny sposób moŜe mo kontrolować zasoby jakie udostępnia. pnia. Dodatkowym atutem strefowej zapory ogniowej jest jej niŜsze ni wykorzystywanie zasobów niŜ ni w przypadku analizy kaŜdego dego przechodzącego przechodz cego pakietu w mechanizmie CBAC, co pokazuje wykres porównawczy pracy zajęcia zaję zasobów: 127 [email protected] http://tturba.tk Rys. 6.3. Wykorzystanie procesora podczas pracy z pakietami w technologii CBAC Źródło: Opracowanie własne Rys. 6.4. Wykorzystanie procesora podczas pracy stref w technologii ZFW Źródło: Opracowanie własne - tunel IPsec VPN, który staje się preferowanym sposobem komunikacji WAN pomiędzy oddziałami przedsiębiorstw. Administrator systemu informatycznego powinien zwrócić szczególną uwagę na zaznajomienie się z ową technologią. Pomimo, Ŝe z rysunku 6.5. jasno wynika, Ŝe wykorzystanie zasobów przez bardzo mocne szyfrowania obciąŜają serwer, to jest to obecnie najbardziej bezpieczna technologia transmisji danych pomiędzy oddziałami. 128 [email protected] http://tturba.tk Rys. 6.5. Wykorzystanie pamięci przy pracy w tunelu VPN Źródło: Opracowanie własne - autentykacja 802.1x – w połączeniu z port-security stanowi bardzo silne zabezpieczenie w przypadku wystąpienia ataków wewnętrznych lub zbliŜeniowych. Stosowanie obu metod naraz wyklucza w duŜym stopniu ataki podszywania się pod MAC, ARP, DHCP, STP. - IPS – w przypadku sensorów wykrywania intruzów naleŜy pamiętać, Ŝe sensor nie potrafi wykryć zagroŜenia idącego z szyfrowanego tunelu IPsec. W tym celu na stacji roboczej musi być zainstalowany program chroniący przed złośliwym oprogramowaniem (antywirus, anty-spyware). f) najlepsze rozwiązania obejmują: - hierarchiczny podział uŜytkowników grupy z ograniczonymi przydziałami praw dostępu na tyle na ile wymaga ich praca – technologia AAA, RB-CLI. - wyłączenie protokołu Telnet w zastępstwie protokołu SSH. - uŜywanie mocnej autentykacji i szyfrowania w pozostałych uŜywanych protokołach: - usługowe: NTP, SNMP, VTP, HTTPS, SCP, ESMTP, POP3 - routingu: RIPv2, EIGRP, OSPF, IS-IS - wyłączenie wszystkich usług na urządzeniach, które nie są uŜywane. - dbać o prawidłową archiwizację danych pracowników oraz raportów generowanych przez urządzenia w codziennej pracy. - wyłączyć pracownikom moŜliwość logowania do systemu w godzinach nie związanych z ich czasem pracy. - raportowanie wszystkich anomalii, usterek, oraz sposobów naprawy. - codzienne przeglądanie serwisów internetowych poświęconych bezpieczeństwu, oraz czytanie prasy, gdyŜ wiedza to podstawa dobrego administratora bezpieczeństwa. 129 [email protected] http://tturba.tk - uŜywanie legalnego oprogramowania. - instalacja codziennych aktualizacji (o ile to moŜliwe) programów antywirusowych, systemów operacyjnych, systemów sieciowych i innych łatek programów uŜywanych w systemie informatycznym. - wykonywanie testów penetracyjnych na sektorze sieci, którego potencjalne uszkodzenie nie wywoła fali kolejnych zagroŜeń dla krytycznej transmisji sieci produkcyjnej. - wykonywanie szkoleń pracowników raz do roku oraz zapoznanie z polityką bezpieczeństwa kaŜdego nowego pracownika. g) Niniejsza publikacja ma być praktycznym zestawem wskazówek jak się bronić przed zagroŜeniami oraz wyznaczać skutecznie linie obrony w sektorze bezpieczeństwa systemu informatycznego, więc załoŜenia wstępne z rozdziału 2. zostały zrealizowane. 130 [email protected] http://tturba.tk 7. Literatura [1] – Wendell Odom, „CCNA Official Exam Certification Library (CCNA Exam 640-802), 3rd Edition”, Cisco Press, San Francisco 2007. [2] – Michael Watkins, Kevin Wallace, „CCNA: Security Official Exam Certification Guide (Exam 640-553)”, Cisco Press, San Francisco 2008. [3] – Kevin D. Mitnick, William L. Simon, „The Art of Deception: Controlling the Human Element of Security”, Wydawnictwo Wiley, 2002. [4] – Maciej Wiśniewski, „Emisja elektromagnetyczna – analiza zagroŜeń dla poufności danej”, Politechnika Poznańska, Poznań 2000. [5] – Zespół CERT.pl, „Analiza incydentów naruszających bezpieczeństwo teleinformatyczne zgłaszanych do zespołu CERT Polska w roku 2008”, CERT Polska, Warszawa 2009. [6] – National Security Agency, „The 60 minute Network Security Guide”, National Security Agency, 2006. [7] – Anthony Sequeira, „CCNA Security Quick Reference”, Cisco Press, San Francisco, 2009. [8] – Russell Lusignan, Olivier Steudler, Jacques Allison, „Managing Cisco Network Security”, Syngress, 2009. [9] – Karen Scarfone, Paul Hoffman, „Guidelines on Firewalls and Firewall Policy: Recommendations of the National Institute of Standards and Technology”, NIST, Gaithersburg, 2008 [10] – Łukasz Bromirski, „Bezpieczeństwo Sieci – prezentacja”, Kraków, 2009. [11] – Łukasz Bromirski, „How to attack, defend and 0wn network for fun, fun & fun”, CONFidence, 2005. [12] - Model SDLC, http://en.wikipedia.org/wiki/Systems_Development_Life_Cycle (04.06.2009) 131 [email protected] http://tturba.tk Spis rysunków Rys. 1.1. Oryginalne zdjęcie komputera Eniac zajmującego powierzchnię 140m2 Rys. 1.2. Typowy historyczny schemat logiczny sieci Ethernet w topologii współdzielonej magistrali Rys. 1.3. Wzór ramki DIX Rys. 1.4. Oficjalny wzór ramki Ethernet IEEE 802.3 stosowany w sieciach LAN wraz z różnicami do pierwowzoru Rys. 3.1. Rodzaje użytkowników pozyskujących informacje i ich współczesny podział Rys. 3.2. Richard Stallman „Ostatni wielki haker”. Haker-aktywista w białym kapeluszu Rys. 3.3. Kevin Mitnick – najsłynniejszy pochwycony socjotechnik, phreaker i haker w czarnym kapeluszu Rys. 3.1.1.1. Schemat ideowy współpracy komputera NPE 9201 i systemów UPS Rys. 3.1.1.2. Instalacja grożąca zagrożeniem braku rozeznania w topologii Rys. 3.1.1.3. Przykład instalacji sumującej zagrożenie nieznajomości topologii, naprężenia sprzętu i pożaru Rys. 3.1.1.4. Schemat ideowy działania komputera przemysłowego TechBase NPE 9201 Rys. 3.1.1.5. Przykładowa topologia logiczna struktury sieciowej przedsiębiorstwa podczas codziennej pracy Rys. 3.1.1.6. Przykłady wszystkich lokalizacji odtwórczych dla topologii przedsiębiorstwa z rysunku 3.1.1.3 Rys. 3.1.2.1. Przykład umiejscowienia podsłuchu sprzętowego Rys. 3.1.2.2. Przykłady snifferów, podsłuch w sieci Ethernet kabla UTP; podsłuch w sieci Thicknet kabla RG-8 Rys. 3.1.2.3. Przykłady różnych sprzętowych przechwytywaczy Rys. 3.1.2.4. Miejsca potencjalnych prób instalacji podsłuchu klawiszowego Rys. 3.1.2.5. Sposób emisji pola elektromagnetycznego przez urządzenie elektryczne. Rys. 3.1.2.6. Przykład oryginalnego obrazu i jego wycieku elektromagnetycznego na monitorze oddalonym o 15m Rys. 3.1.2.7. Parametry techniczne drzwi antywłamaniowych firmy Gerda Star SX Rys. 3.1.3.1. Cykl życiowy ataku socjotechnicznego Rys. 3.1.3.2. Algorytm skutecznej obrony w strukturze przedsiębiorczej Rys. 3.2.1. Prezentowane kategorie ataków odnotowanych do CERT Polska w 2008r Rys. 3.2.2. Rozkład liczbowy zaprezentowanych typów incydentów w kategoriach Rys. 3.2.3. Powiązane klasy ataków z celami nadrzędnymi naruszenia bezpieczeństwa danej Rys. 3.2.1.1. Przykład użycia narzędzia ping i tracert w systemie Windows XP Rys. 3.2.1.2. Przykład użycia narzędzia ping i traceroute na routerze Cisco 7200 Rys. 3.2.1.3. Przykład użycia narzędzia ping i traceroute w systemie Linux Rys. 3.2.1.4. Schemat skanowania sieci za pomocą polecenia ping Rys. 3.2.1.5. Zrzut ekranu z udanego skanowania przeprowadzonego przez narzędzie Nmap Rys. 3.2.1.6. Przykład użycia narzędzia finger w systemie Linux Rys. 3.2.1.7. Współczesne topologie sieci lokalnej Ethernet Rys. 3.2.1.8. Zrzut ekranu z programu Wireshark firmy Cisco Rys. 3.2.1.9. Schemat rozgłaszania pakietów przez koncentrator i przechwytywania ruchu przez napastnika Rys. 3.2.1.10. Schemat przełączania ramki w topologii Ethernet z zastosowaniem przełącznika Rys. 3.2.1.11. Zrzut ekranu z programu tcpdump ustawionego do przechwytywania pakietów SMTP Rys. 3.2.1.12. Zrzut ekranu z konfiguracji routera z zagrożeniem ataku „przez-ramię” Rys. 3.2.2.1. Schemat aktywnego ataku na poufność danej na przykładzie ataku na bank Rys. 3.2.2.2. Schemat ataku IP Spoofing Rys. 3.2.2.3. Schemat ataku IP source-route Rys. 3.2.2.4. Przedstawienie zapełniania tablicy CAM na przełączniku w normalnej pracy i przy podszywaniu się Rys. 3.2.2.5. Schemat ataku DHCP Spoofing Rys. 3.2.2.6. Schemat wstrzykiwania pakietów ARP Reply i konsekwencje przekłamań w tablicach ARP komputerów Rys. 3.2.2.7. Schemat ataku VLAN Hopping Rys. 3.2.2.8. Schemat ogólnego ataku na integralność danej Rys. 3.2.2.9. Drzewo klasyfikacji złośliwego oprogramowania Rys. 3.2.2.10. Zrzuty ekranów głównych najbardziej znanych koni trojańskich – NetBus oraz Back Oriffice Rys. 3.2.2.11. Fazy ataku robaka komputerowego Rys. 3.2.2.12. Zrzut ekranu z wydobytymi hasłami za pomocą narzędzia Cain Rys. 3.2.2.13. Schemat ogólnego aktywnego wyżerania zasobów z atakowanego serwera Rys. 3.2.2.14. Schemat ataku TCP SYN Flood 4 5 6 6 10 11 12 18 19 20 21 22 23 24 25 26 27 28 30 32 33 43 45 46 47 49 49 50 51 53 54 55 56 56 58 58 59 63 64 65 66 67 69 71 72 74 75 76 78 79 79 132 [email protected] http://tturba.tk Rys. 3.2.2.15. Schemat ataku Smurf Rys. 3.2.2.16. Schemat ataku zbliżeniowego STP Rys. 3.2.2.17. Schemat ataku VTP Rys. 4.1.1. Schemat modelu wodospadowego na podstawie ogólnego modelu SDLC Rys. 4.1.2. Schemat modelu spiralnego na podstawie ogólnego modelu SDLC Rys. 4.1.1.1. Adresacja w topologii fizycznej sieci zastosowanej w projekcie Rys. 4.1.1.2. Schemat co zostało zaimplementowane na poszczególnych urządzeniach. Rys. 4.3.1. Zrzut ekranu z programu Kiwi Syslog Rys. 4.3.2. Zrzut ekranu z programu LStat Rys. 4.3.3. Schemat trybu SPAN i RSPAN kopiowania ruchu z interfejsów Rys. 4.3.4. Zrzut ekranu z programu NetFlow pokazujący różnorodność pakietów w transmisji Rys. 5.1. Ochrona na atak rozpowszechnianie MAC Spoofing Rys. 5.2. Ochrona na atak na przejęcie roli przełącznika głównego Rys. 5.3. Ochrona na atak przejęcie roli przełącznika głównego Rys. 5.4. Przykład konfiguracji do ataku Smurf Rys. 5.5. Reakcja systemu na lawinę pakietów ICMP oraz ich sposób ograniczenia Rys. 6.1. Wyniki przeprowadzonego ataku socjotechnicznego Rys. 6.2. Statystyki z ataku na podstawie płci Rys. 6.3. Wykorzystanie procesora podczas pracy z pakietami w technologii CBAC Rys. 6.4. Wykorzystanie procesora podczas pracy stref w technologii ZFW Rys. 6.5. Wykorzystanie pamięci przy pracy w tunelu VPN 80 82 83 88 89 93 94 116 117 117 118 122 122 123 124 124 126 127 128 128 129 133