Metodologia wdroŜenia bezpiecznych sieci korporacyjnych dla początkujących administratorów bezpieczeństwa

Metodologia wdroŜenia bezpiecznych sieci korporacyjnych dla początkujących administratorów bezpieczeństwa

Metodologia wdroŜenia bezpiecznych sieci
korporacyjnych dla początkujących
administratorów bezpieczeństwa
Teoria w praktyce
Autor:
Tomasz Turba
Opole, 2009r
[email protected]
http://tturba.tk
1
[email protected]
http://tturba.tk
SPIS TREŚCI
1.
Wstęp .................................................................................................................................. 4
2.
Cel i zakres publikacji ...................................................................................................... 9
3.
Współczesne zagroŜenia komputerowe ......................................................................... 10
3.1.
3.1.1.
Ataki klimatyczne ............................................................................................. 16
3.1.2.
Ataki związane z fizycznym kontaktem ......................................................... 24
3.1.3.
Atak socjotechniczny........................................................................................ 33
3.2.
4.
Przedstawienie ataków i sposobów obrony po stronie fizycznej ......................... 15
Przedstawienie ataków i sposobów obrony po stronie komputerowej ............... 44
3.2.1.
Atak pasywny.................................................................................................... 48
3.2.2.
Atak aktywny i jego wariacje .......................................................................... 61
Implementacja bezpiecznej infrastruktury sieciowej .................................................. 86
4.1.
Zastosowanie modelu SDLC w projekcie .............................................................. 87
4.1.1.
Dokumentacja techniczna................................................................................ 93
4.1.2.
Polityka bezpieczeństwa .................................................................................. 95
4.3.
Skuteczny monitoring i zarządzanie .................................................................... 115
5.
Testowanie zabezpieczeń .............................................................................................. 121
6.
Podsumowanie ............................................................................................................... 126
7.
Literatura ....................................................................................................................... 131
Spis rysunków ....................................................................................................................... 132
2
[email protected]
http://tturba.tk
3
[email protected]
http://tturba.tk
1. Wstęp
Z historycznego punktu widzenia, z bezpieczeństwem
bezpiecze
ludzkość jak i wszystkie Ŝyjące istoty
związane są od samego początku
pocz
swojego istnienia. Ubarwienie skóry niebezpiecznych
zwierząt,
t, cechy gatunkowe takie jak kły, szpony, twardość
twardo skóry czy teŜ ludzka potrzeba
habitacji są typowymi mechanizmami obrony.. W rozumieniu powstania potrzeby
bezpieczeństwa
stwa komputerowego (potrzeby obrony) istotne jest zapoznanie się
si z trzema
historycznymi faktami będącymi
ę ącymi grupą przełomowych wydarzeń w świecie komputerów i
jego nierozerwalnego
zerwalnego dzisiaj współdziałania z człowiekiem.
W 1943r. na potrzeby armii Stanów Zjednoczonych powstał pierwszy komputer „Eniac”
określany
lany mianem prekursora współczesnych komputerów personalnych. Miał masę
mas ponad 27
ton i jego konstrukcja była skierowana do wykonywania precyzyjnych i skomplikowanych
obliczeń balistycznych. Twórcy nie sądzili,
s
Ŝe powołają do Ŝycia
ycia zupełnie nową,
now nieznaną
branŜę,, która w krótkim czasie obejmie pół świata. BranŜę technologii informacyjnej.
informacyjnej
Wówczas nikt nie interesował się
si zbytnio zakresem zabezpieczania takich maszyn (jak i
komputerów architektury Von Neumanna) poza ich bezpieczeństwem
stwem na płaszczyźnie
płaszczy
fizycznego dostępu.
Rys. 1.1.. Oryginalne zdjęcie komputera Eniac zajmującego powierzchnię 140m2
Źródło: http://pl.wikipedia.org/wiki/ENIAC (03.04.2009r.)
Rzeczywista gałąź bezpieczeństwa
bezpieczeń
komputerowego pojawiła się w przełomowej dla branŜy
bran
IT chwili – w momencie usprawnienia komunikacji między
mi
co najmniej
iej dwoma komputerami
znajdującymi się w jednym budynku. Zanim powstał rodzaj sieci łączącej
ł ącej komputery w jeden
segment, pracownicy danej firmy, w której mieściło
mie
się kilka komputerów musieli biegać
między
dzy oddziałami z dyskietkami, gdy dane wymagały relacji z innymi aplikacjami
niezainstalowanymi na komputerze skąd
sk d została nagrana dyskietka. Dodatkowym problemem
był fakt, Ŝee nie istniały drukarki sieciowe, co wiązało
wi
się z korzystaniem z jednego
jedn
komputera
4
[email protected]
http://tturba.tk
do wielu wydruków i powodowało kolejki. Zastosowanie rozwiązania polegającego na
dostawianiu drukarki do kaŜdej stacji roboczej nie było funkcjonalne i skalowalne ze względu
na dynamiczny rozwój sprzętu.
Obie uciąŜliwości zniknęły, gdy to firma Xerox w 1978r. opracowała swój standard
komunikacji w sieci lokalnej – Xerox Ethernet. „Jest to historycznie najwcześniejsza sieć
LAN stosująca okablowanie. Jej ideą było przesyłanie informacji we wspólnym medium,
którym był kabel koncentryczny o maksymalnej długości 2500 m. Co 500 metrów umieszczano
urządzenia regenerujące sygnał. Na końcach kabla stosowano tłumiki zapobiegające odbiciu
sygnału. Komputery były dołączane do medium za pomocą nakręcanych na kabel nadajnikówodbiorników. Prędkość transmisji wynosiła 2,94 Mbit/s. Po raz pierwszy wprowadzono teŜ
nasłuchiwanie medium przed wysłaniem wiadomości oraz detekcję kolizji”.1
Z uwagi na zastosowanie współdzielonej magistrali – ówczesna sieć opierała swoje działanie
na algorytmie wykrywania kolizji – CSMA/CD (ang. Carrier-Sense Multiple Access with
Collission Detection). Algorytm ten zezwala na nadawanie bitów na współdzielone medium
tylko jednemu urządzeniu w danym momencie. Co w zamierzchłych czasach było
wystarczającym zapotrzebowaniem, lecz na krótko. W razie wystąpienia kolizji, tudzieŜ gdy
nadawać będzie więcej niŜ jedno urządzenie w tym samym czasie, algorytm zablokuje
wszystkie transmisje sygnałem zagłuszającym dla kaŜdej stacji z innym czasem wygaśnięcia.
Ta stacja, która jako pierwsza przekroczy czas licznika sygnału zagłuszającego będzie miała
prawo nadawać. Algorytm nie jest problemem samym w sobie lecz konstrukcja całej
procedury transmisji moŜe powodować zator, czyli zahamowanie prawidłowego działania
sieci. Większym problemem jednak jest urządzenie zastosowane do łączenia komputerów,
jakim jest hub, który pomimo spięcia urządzeń w logiczną topologię gwiazdy, od strony
fizycznej nadal spinał urządzenia w współdzielone medium magistrali.
Rys. 1.2. Typowy historyczny schemat logiczny sieci Ethernet w topologii współdzielonej magistrali
Źródło: Opracowanie własne
1
Źródło: http://pl.wikipedia.org/wiki/Xerox_Ethernet
5
[email protected]
http://tturba.tk
Współczesny rodzaj ramki Ethernet opatrzony standardem IEEE 802.3 bardzo niewiele róŜni
się od swojego pierwowzoru – ramki DIX2.
Rys. 1.3. Wzór ramki DIX
Źródło: Opracowanie własne
Krótki opis ramki:
•
•
•
•
•
•
Preambuła – ośmiobajtowa stała naprzemiennej wartości bitów słuŜąca do
synchronizacji odbiornika z nadajnikiem
Adres docelowy – sześciobajtowy fizyczny adres MAC3 odbiornika
Adres źródłowy – sześciobajtowy fizyczny adres MAC urządzenia nadającego sygnał
do odbiornika
Typ – jest to dwubajtowy identyfikator procesu po stronie odbiornika
Dane – z reguły są to dane wyŜszych warstw modelu odniesienia OSI, które podczas
transmisji ulegają enkapsulacji
FCS – „Frame Check Sequence” – jest to pole wykrycia błędu w transmisji za pomocą
sumy kontrolnej CRC4. Pole FCS w Ŝaden sposób nie zapewnia retransmisji
uszkodzonej ramki.
Krótko po powstaniu ramki DIX, stowarzyszenie IEEE zaczęło pracę nad standaryzacją
sposobu komunikacji w sieciach lokalnych. W 1980r. LAN Ethernet opatrzony numerem
IEEE 802.3 został oficjalnie otwartym i darmowym standardem komunikacji między hostami.
Rys. 1.4. Oficjalny wzór ramki Ethernet IEEE 802.3 stosowany w sieciach LAN wraz z różnicami do pierwowzoru
Źródło: Opracowanie własne
RóŜnice między ramkami:
•
SoF – „Start of Frame” – ostatni bajt preambuły został rozdzielony do osobnego pola
synchronizacyjnego oznaczanego bajtem 10101011 w celu określenia początku ramki i
kompatybilności z równocześnie powstałymi standardami Token Ring (IEEE 802.5)
2
DIX - Struktura ramki została opracowana przez firmy DEC, Intel i Xerox, nazwa powstała od pierwszych liter twórców.
MAC – „Media Access Control” – 48-bitowy fizyczny adres hosta w sieci Ethernet, unikatowy w skali światowej.
4
CRC – „Cyclic Redundancy Check” - matematyczny algorytm weryfikacji integralności transferowanej ramki
3
6
[email protected]
http://tturba.tk
•
Typ / Długość – oznacza całkowitą długość ramki Ethernet, której dolna granica wynosi 64B
(nie wliczając mechanizmu detekcji kolizji). JeŜeli natomiast wartość przekroczy 1500B pole
to jest określane mianem Typu, co zapewnia kompatybilność MTU5 z innymi standardami
transmisji lokalnej (DIX).
Dzisiejsza społeczność komputerowa, uŜywa ramki Ethernet juŜ od ponad 30 lat. Naturalną
prawidłowością jest fakt, Ŝe technologia podczas swego tworzenia nie była rozwijana na
odpowiednio wysokim poziomie w porównaniu do czasów w jakich dzisiaj mogłaby być. W
przeszłości standard IEEE 802.3 spełniał swoje role i nikt nie myślał, Ŝe nastąpi wielki
wybuch w sferze komunikacji na skalę światową. Biorąc pod uwagę czas istnienia standardu,
co raz więcej moŜna wykryć w nim usterek, których wcześniej nie moŜna było przewidzieć. Z
uwagi na szybkość transmisji, konstruktorzy byli świadomi rozwoju prędkości łącza w
niedalekiej przyszłości. Stąd połoŜenie pola adresu docelowego przed adresem źródłowym,
by urządzenia spinające mogły szybciej decydować przez jaką lokalizację ma ramka zostać
wysłana by dotrzeć do celu.
Początkowo sieci lokalne spinane były za pomocą kabla koncentrycznego w topologię
magistrali, bądź pierścienia. W raz z pojawieniem się standardu 802.3 opatentowano
urządzenie warstwy fizycznej modelu OSI – hub. Hub ustanawiał pierwsze powaŜne luki w
bezpieczeństwie wykryte krótko po jego powstaniu ze względu na swoją budowę.
Zasada działania huba, jak i jego poprzednika – regeneratora sygnału, polega na tym, Ŝe
transmitowane bity nie są kontrolowane w taki sposób by trafić konkretnie do jednego celu
(w transmisji Unicast).
Regenerator sam w sobie jedynie wzmacnia sygnał, gdy odległość pomiędzy stacjami
komunikującymi jest zbyt duŜa i powoduje tłumienie sygnału ze względu na stosowanie
impulsów elektrycznych w kablu miedzianym (kabel koncentryczny / współczesna skrętka).
Hub jest określany mianem wieloportowego regeneratora, gdyŜ jego zasada działania jest
podobna. Nadajnik wysyła ramkę, która dociera do urządzenia. Gdyby był to regenerator,
ramka podąŜyłaby w jednym, fizycznym kierunku. W przypadku huba, ramka podąŜa we
wszystkich kierunkach, tudzieŜ urządzeniach podpiętych do huba, które nie są nadajnikiem.
W praktyce wygląda to tak, Ŝe przesłana zostaje ramka do jednego konkretnego źródła, a
prawo jej odczytu ma kaŜdy, kto nie jest nadajnikiem i jest podpięty do urządzenia. Poprzez
ramkę przy transmisji na płaszczyźnie fizycznej rozumie się –oczywiście- kodowane bity.
Problem bezpieczeństwa jest więc powaŜny biorąc pod uwagę powyŜszy przykład, w którym
moŜna jasno odczytać, Ŝe luki w zabezpieczeniach pojawiają się juŜ od prostej warstwy
fizycznej modelu OSI.
JednakŜe sieć lokalna nie jest najbardziej niebezpieczną instancją w przedsiębiorstwie.
Pierwowzór sieci internetowej – ARPANET (1969r.), miał słuŜyć armii Stanów
Zjednoczonych do prowadzenia szczegółowych obliczeń i badań symulacji wybuchu
5
MTU – „Maximum Transmision Unit” – maksymalna dopuszczalna wielkość ramki, która nie ulegnie fragmentacji na
mniejsze porcje.
7
[email protected]
http://tturba.tk
nuklearnego. Celem projektowym było stworzenie sieci bez wyraźnego centralnego punktu
zarządzania, którego awaria mogłaby zniszczyć działanie pozostałych węzłów. Przodek
Internetu stanowił wdroŜony koncept pierwszej złoŜonej sieci rozproszonej. Kilka lat po
powstaniu najwaŜniejszych dzisiejszych filarów sieciowej komunikacji - stosu protokołów
TCP i DNS, Tim Berners-Lee6 w 1989r. złoŜył do agencji CERN7 projekt „World Wide Web”
do odczytywania dokumentów hipertekstowych. W 1990 stworzył podstawy języka HTML i
pierwszą stronę WWW. Narodził się Internet.
Dostęp do światowej sieci otwiera miliony moŜliwości hakerom na wykonanie ataku.
Konstrukcja sieci Internet – jej rozproszony model sprawia, Ŝe dowolna osoba z załoŜenia
moŜe być w sieci anonimowa. Co z psychicznego punktu odniesienia budzi w człowieku
skrywane uczucia, nieznaną ciekawość, które wraz z wpływem róŜnych postaw społecznych
moŜe stanowić namacalny pion motywacyjny do wykonania ataku. Nawet jeśli osoba
wykorzystuje tylko gotowe aplikacje to dalej stanowi zagroŜenie dla poprawnego działania
dowolnej sieci padającej ofiarą ataku. [1]
6
Sir Timothy Berners-Lee - współtwórca i jeden z pionierów usługi WWW. Od roku 1994 jest Przewodniczącym Konsorcjum
W3C.
7
Europejska Organizacja Badań Jądrowych CERN (fr. Organisation Européenne pour la Recherche Nucléaire) — ośrodek
naukowo-badawczy połoŜony na północno-zachodnich przedmieściach Genewy. NajwaŜniejszym narzędziem ich pracy jest
największy na świecie akcelerator cząstek – Wielki Zderzacz Hadronów. Obecnie do organizacji naleŜy dwadzieścia państw.
8
[email protected]
http://tturba.tk
2. Cel i zakres publikacji
Celem niniejszej publikacji, jest uświadomienie uŜytkownika o zagroŜeniach w
poszczególnych warstwach modelu OSI w rozumieniu bezpieczeństwa komputerowego,
będącego krytycznym w dzisiejszym skomputeryzowanym świecie czynnikiem wpływającym
na zysk, bądź stratę wkładu pienięŜnego zainwestowanego w firmie. Zrozumienie zagroŜeń,
sposobów wykrycia oraz ich usunięcia stanowi fundament wiedzy myślącego o karierze
inŜyniera ds. bezpieczeństwa. Z uwagi na fakt, Ŝe firma Cisco Systems jest pionierem w
produkcji niezawodnego sprzętu sieciowego na całym świecie, skupię się na wdroŜeniu i
konfiguracji wymienionych produktów wyŜej opisanej firmy:
W zakresie routerów:
- routery serii 3600, 2800
W zakresie firewalli, sensorów IPS:
- routery serii ISR 7200
W zakresie przełączników:
- przełączniki serii Catalyst 2900
Jak równieŜ opierając swoją wiedzę na podstawie zdobytych certyfikatów firmy Cisco i
innych z zakresu obsługi i bezpieczeństwa sieci komputerowych.
Publikacja podzielona jest na trzy części:
a) teoretyczną – obejmującą rozdziały:
o rozdział 3.1 – opis zagroŜeń po stronie fizycznej powodujących szkody.
o rozdział 3.2 – opis zagroŜeń po stronie komputerowej.
o rozdział 4.1 – obejmuje wdroŜenie modelu SDLC do projektowania sieci, oraz
szczegóły dokumentacji technicznej jakie powinny być zawarte w realnej
implementacji.
b) praktyczną – w tej części rozdziały zostały skupione na fizycznej implementacji
zaprezentowanych rozwiązań teoretycznych na sprzęcie firmy Cisco. Przedstawione
działanie skonstruowanej sieci, jej podatności na ataki oraz zapewnienie skutecznego
monitoringu:
o rozdział 4.2 – implementacja konkretnych rozwiązań zabezpieczających przed
zagroŜeniami z rozdziałów 3.1 oraz 3.2.
o rozdział 4.3 – przedstawienie zasad i implementacji skutecznego
monitorowania.
o rozdział 5 – stanowi część testującą, gdzie zostaną przeprowadzone wybrane
ataki na zaimplementowany system informatyczny.
c) podsumowującą – rozdział 6 zbiera i opisuje zaobserwowane wnioski autora na
podstawie skonstruowanej i skonfigurowanej bezpiecznej sieci komputerowej.
9
[email protected]
http://tturba.tk
3. Współczesne zagroŜenia komputerowe
Istnieje nieskończenie wiele powodów dla których człowiek pragnie zdobyć informacje.
Największym zagroŜeniem komputerowym nie jest luka w systemie, czy teŜ nieuprawniona
próba włamania róŜnymi mechanizmami. Głównym zagroŜeniem jest człowiek, potrafiący
odnajdować owe luki, czy bardziej negatywnie oddziaływać na system – włamując się. Jest to
ogólna definicja „hakera”, przestępcy komputerowego którego technologiczna wiedza
wykracza ponad przeciętne standardy statystyczne. W początkach istnienia sieci i wczesnej
telefonii tonowej istniały tylko dwa rodzaje hakerów. Ten „zły” – dzisiaj nazywany „black
hat” hakerem (hakerem w czarnym kapeluszu8) i „phreaker” – haker znający się na
mechanizmach telefonicznych, który w łatwy sposób moŜe je wykorzystać za darmo do
własnych celów. O ile liczba phreakerów znacznie się obniŜyła z uwagi na tanie połączenia
operatorów, o tyle liczba „czarnych kapeluszy” rośnie.
PoniŜsza tabela reprezentuje współczesny podział pozyskania informacji według potrzeby
oraz sposobu w jaki zostanie odnaleziona kondensując dane do odpowiedniego uŜytkownika:
Cel pozyskania informacji
Naukowo-badawczy
Sposób pozyskania informacji
Legalny
zwykły
uŜytkownik,
naukowiec
Nielegalny
student,
"white hat"
Materialny, dla zysku
pracownik, reklamobiorca
"black hat"
Prywatny
zwykły uŜytkownik, "grey hat"
"grey hat"
Wewnętrzna potrzeba
Inne
zwykły uŜytkownik, p2p
zwykły uŜytkownik, "script kiddie"
"hacktivist"
"phreaker", "script kiddie"
Rys 3.1. Rodzaje użytkowników pozyskujących informacje i ich współczesny podział
Źródło: Opracowanie własne
Cele jakimi kierują się uŜytkownicy dla pozyskania informacji mogą być róŜne. Z reguły jest
to wewnętrzna potrzeba pozyskania wiedzy. Np. surfowanie po ulubionym portalu z
wiadomościami sportowymi, lub ze względu na istnienie anonimowości w sieci, pozyskanie
nielegalnych pirackich kopii utworów do celów własnych. Haker moŜe zostać opłacony do
wydobycia, bądź naraŜenia na szkody konkurencji, lub moŜe dostać zlecenie na
przeprowadzenie szerokiego audytu bezpieczeństwa wychwytując wszystkie luki i
zabezpieczając je na przyszłość.
8
Określenia kolorów kapeluszy odnoszą się do czasów amerykańskiego dzikiego zachodu, gdzie kowboje - przestępcy nosili
kapelusze czarne, a polujący na nich szeryfowie białe.
10
[email protected]
http://tturba.tk
Rodzaje uŜytkowników:
a) zwykły uŜytkownik
ytkownik – osoba na co dzień pracująca, bądźź relaksująca
relaksuj
się przy
komputerze. Stanowi uogólnioną
uogólnion klasę nadrzędną dla pozostałych rodzajów uŜytkowników.
b) pracownik – osoba, której zawód jest ściśle związany
zany z komputerem. Nieświadomy
zagroŜeń sam w sobie stanowi bardzo podatny wyciek informacji z wnętrza
wn
sieci
korporacyjnej.
c) haker „white hat” – osoba, która posiada ogromną wiedzę
dzę nt. zabezpieczeń
komputerów, lecz nie wykorzystuje
wykorzystuj jej w ogóle w złych celach. Haker w „białym
„
kapeluszu”
uogólniając bardziej stanowi postawę ideologiczną i zbiór zasad etycznych jakimi powinni
kierować się inni znawcy bezpiecze
ezpieczeństwa komputerowego. Najbardziej znanym hakerem
etycznym jest Richard Stallman – twórca ruchu wolnego oprogramowania,
oprogramowania licencji GNU i
załoŜyciel
yciel Fundacji Wolnego Oprogramowania. Jego programistyczne umiejętności
umiej
przyczyniły się do utworzenia kluczowych aplikacji dla systemu GNU/Linux takich jak
kompilator GCC czy edytor Emacs. Powszechnie znany z pozytywnego nastawienia do
d Ŝycia.
Rys. 3.2.. Richard Stallman „Ostatni wielki haker”.
haker” Haker-aktywista
aktywista w białym kapeluszu
Źródło: http://www.benchmark.pl/aktualnosci/Richard_Stallman_na_konferencji_IT_Giants_2009_w_Krakowie
http://www.benchmark.pl/aktualnosci/Richard_Stallman_na_konferencji_IT_Giants_2009_w_Krakowie-16101.html
(04.06.2009r)
11
[email protected]
http://tturba.tk
d) haker „black hat” – najbardziej znany filmowy przykład osoby, która zna się
si na
zabezpieczeniach, lecz wykrada te informacje w celach materialnych. Dla sławy, dla
pieniędzy,
dzy, na zlecenie. Kevin Mitnick jest przykładem na to jak moŜna
mo
stać się
sławnym po tym, gdy zostanie się
si pochwyconym. Pomimo, Ŝe Mitnick
Mit
stosował
głównie ataki socjotechniczne to nie zarzuca mu się
si braku wiedzy o mechanizmach
telekomunikacyjnych. W nagłośnieniu
nagło nieniu przez media Mitnicka jako hakera o czarnym
kapeluszu po odsiedzeniu wyroku wydał bestsellerową
bestsellerow ksiąŜkę – „Sztuka
Sztuka Podstępu”.
Podst
Rys. 3.3. Kevin Mitnick – najsłynniejszy pochwycony socjotechnik, phreaker
phreaker i haker w czarnym kapeluszu
Źródło: http://fergdawg.blogspot.com/2008/08/kevin-mitnick-looks-back-in-forbes.html
http://fergdawg.blogspot.com/2008/08/kevin
(04.06.2009r)
e) haker „grey hat” – stanowi granicę
granic między
dzy czarnym, a białym. Najpowszechniejszy
rodzaj hakera. Zna się na bezpieczeństwie,
bezpiecze
lecz potrafi zostawić sobie tylne drzwi do systemu,
który został mu zlecony w celach diagnostycznych, bądź
b
przeprowadzenia audytu
bezpieczeństwa.
stwa. Zdobyte informacje wykorzystuje w celach własnych.
f) „hacktivist” – haker-aktywista.
haker
Osoba, która moŜe działać na zlecenie, bądź
b
pod
przymusem wydobywającc poufne informacje sklasyfikowane jako bardziej tajne niŜ
ni poufne
(np. rządowe). MoŜee działać według własnych wewnętrznych
trznych przekonań.
przekona RównieŜ jest
filmowym przykładem hakera „walczącego
„walcz
z systemem”.
g) „script kiddie” – osoba w gruncie rzeczy nie znająca
ca się na mechanizmach
bezpieczeństwa,
stwa, lecz wykorzystująca
wykorzystuj
darmowe oprogramowanie napisane
isane przez hakerów.
Stanowi największą część
ęść zewnętrznych
zewn
uŜytkowników zagraŜających
cych wewnętrznej
wewn
sieci
firmowej, lecz ataki, którymi operują
operuj są dość proste w ominięciu i zablokowaniu.
12
[email protected]
http://tturba.tk
JednakŜe z pojawieniem się powaŜnej luki w większości buforów programów
komputerowych, sprzętowych i protokołów (atak DoS) grupa ta równieŜ musi być mocno
brana pod uwagę przy zabezpieczaniu i audycie bezpieczeństwa firmowej sieci.
Za najogólniejszy podział rodzajów ataków przyjęto podział ze względu na źródło powstania.
W ten sposób ataki dzielone są na:
a) Zewnętrzne
b) Wewnętrzne
Zewnętrzne – czyli wszystkie, które powstają poza firmową siecią, z reguły w Internecie.
Stanowią grupę ataków, które zachodzą najczęściej ze względu na fakt istnienia
anonimowości w globalnej sieci internetowej. KaŜdy internauta silniej związany z
komputerem prędzej czy później ogląda film „Hakerzy”, bądź wchodzi na stronę o tematyce
bezpieczeństwa. Sam zaczyna próbować wywoływać ataki za pomocą dostępnego
oprogramowania i zostaje „script kiddie” pozostając jednocześnie anonimowym. Zupełnie jak
w przypadku namacalnego ataku na drugą osobę. Napastnik z reguły pragnie zachować swoją
toŜsamość i przykładowo atakuje ofiarę w masce. Napastnik komputerowy tak samo zostawia
ślady, lecz są one trudniejsze do analizy ze względu na zasięg sieci globalnej – mogą być
dokonywane zewsząd. W wypadku ataku fizycznego istnieje zawęŜone pole poszukiwań do
miasta, czy państwa. Ataki zewnętrzne z załoŜenia swojego umiejscowienia są atakami
wyłącznie komputerowymi. Jedynym realnym przykładem moŜe być włamanie przez osobę
niepowołaną i nieznaną do pomieszczenia w którym znajdują się urządzenia sieciowe – lecz
przy dzisiejszych zabezpieczeniach fizycznych, owy rodzaj ataku moŜna zaobserwować na
hollywoodzkich filmach, lecz nie moŜna oczywiście lekcewaŜyć ich istnienia.
JednakŜe bardziej niebezpieczne są ataki, które powstają wewnątrz sieci firmowej – przez
bardzo długi okres czasu, przedsiębiorstwa na tej płaszczyźnie były bezradne. JeŜeli
pracownik został przekupiony przez konkurencję do wykradzenia danych, bądź nieświadomie
podłączał niesprawdzone urządzenia – atak był realny i w zasadzie nie istniała na niego
skuteczna obrona. W dzisiejszych czasach specjaliści ds. bezpieczeństwa komputerowego
zwracają duŜą uwagę na zabezpieczenie sieci po obu stronach granicy.
W dobie rozwiązań telepracy, łączenia oddziałów tunelami VPN rzec moŜna, Ŝe
zabezpieczenie wnętrza sieci jest waŜniejsze niŜ od lat sprawdzone i działające techniki
ograniczania dostępu od zewnątrz za pomocą firewalli, które de facto są juŜ bardzo skuteczne.
Ataki ze względu na źródło powstania dzielą się na równorzędne podgrupy ataków
komputerowych i uzyskania fizycznego dostępu do sprzętu komputerowego.
13
[email protected]
http://tturba.tk
Istnieją trzy główne cele ataków z zastosowaniem powyŜszych podziałów, w sumie będącymi
równocześnie
wskaźnikami
prawidłowego
podziału
sektorów
bezpieczeństwa
komputerowego:
a) Poufność danej
b) Integralność danej
c) Dostępność danej
Ad. a). Za poufność rozumie się, Ŝe informacja, sklasyfikowana jako tajna ma zostać
przetransferowana z bezpiecznego, znanego źródła do celu, do którego jest przynaleŜna i do
Ŝadnego innego. Grupa ataków na poufność zawiera w sobie obie podgrupy ataków
równorzędnych (fizycznych i komputerowych).
Ad. b). Integralność – skoro dana przesyłana jest z zaufanego źródła do zaufanego celu to
podczas swojej podróŜy winna nie zostać w Ŝaden sposób zmodyfikowana w celu dokonania
przekłamania bądź innych niejawnych malwersacji. Grupa ataków na integralność danych w
głównej mierze skupia się wokół ataków komputerowych.
Ad. c). Dostępność – jeŜeli dana jest przesyłana z zaufanego źródła do zaufanego celu i działa
mechanizm badania jej integralności po obu stronach stacji to naleŜy zapewnić danej
bezpieczną trasę oraz nieprzerwalną działalność punktów transmisyjnych by pakiet mógł
zostać poprawnie przesłany. Grupa ta jest najtrudniejsza do obrony ze względu na
powszechność błędów w konstrukcjach protokołów, programów, a nawet mechanizmów
zabezpieczających. Atak na dostępność nawet nie musi być atakiem, a jedynie nagłą zbyt
mocną eksploatacją zasobów sieci. NaleŜy włoŜyć duŜy nacisk w prawidłowe zabezpieczenie
klasy ataków na dostępność zasobów sieciowych. [2]
14
[email protected]
http://tturba.tk
3.1. Przedstawienie ataków i sposobów obrony po stronie
fizycznej
Pierwszorzędną i najczęściej najsłabiej zabezpieczoną linią obrony jest zabezpieczenie
fizycznego dostępu do zasobów przedsiębiorstwa. Nie chodzi jedynie o zamknięcie na klucz
pomieszczeń. Włamywacz potrafi wykorzystać kaŜdą fizyczną lukę w zabezpieczeniu by móc
dostać się do informacji, które musi uzyskać.
Głównymi celami ataku są tutaj:
- oczywista dostęp fizyczny,
- niedopatrzenie w kontaktowym zabezpieczaniu informacji,
- podatność pracownika,
- podatność sprzętu na warunki klimatyczne (korozje, przegrzania, zalania),
- podatność sprzętu na zakłócenia elektryczne
Ochrona dostępu fizycznego jest podstawowym czynnikiem utrudniającym włamanie, lecz w
przypadku powstania niedopatrzenia gdy firma moŜe posiadać doskonałe drzwi, zamki,
systemy monitorowania, rozumie się, Ŝe firma pada ofiarą włamania nie dbając o właściwą
procedurę usuwania danych uwaŜanych za niepotrzebne. W przypadku małych firm problem
ten jest uwaŜany za mniej-waŜny, jednakŜe jeśli mamy do czynienia z ogromnym
przedsiębiorstwem drukującym dziennie kilogramy makulatury i nagrywającym setki płyt –
problem staje się równie waŜny co wdroŜenie skutecznego monitoringu. RównieŜ pracownik
sam w sobie wykonujący swoją pracę poprawnie, moŜe zostać ofiarą technik
socjotechnicznych wykorzystywanych w celu pozyskania zestawu nazwy uŜytkownika i hasła
dla zestawienia zaufanej relacji wewnątrz firmy pomiędzy urządzeniami.
Dobry inŜynier projektujący bezpieczną, zbieŜną sieć musi myśleć przyszłościowo. Nie tylko
patrząc na rozwój sprzętu i oprogramowania zabezpieczającego, lecz musi zwracać uwagę na
fakt, Ŝe sprzęt ciągle eksploatowany –jak wszystko inne- po czasie ulega częściowemu
zniszczeniu. Przez niewłaściwą konserwację, nie dbanie o prawidłowe warunki klimatyczne
panujące w pomieszczeniach, nieświadomy administrator moŜe doprowadzić do stworzenia
przypadkowej, samo rozwijającej się podatności w bezpieczeństwie systemu prowadzącej do
zniszczenia sieci.
15
[email protected]
http://tturba.tk
3.1.1. Ataki klimatyczne
Zwykle najgorszą grupą ataków są takie, o których się nie wie. Mając wiedzę i świadomość z
której strony system moŜe zostać zaatakowany, moŜna się przygotować na taką ewentualność.
JednakŜe w przypadku wystąpienia ataku, o którym administrator, czy szef działu
bezpieczeństwa informatycznego nie mają pojęcia – trudno jest nagle zapanować nad
zaistniałym kryzysem. Ataki klimatyczne są taką grupą ataków wykonanych nieświadomie,
czasem bez wyraźnego ludzkiego winowajcy.
W zasadzie nie biorąc pod uwagę czynniku ludzkiego to nie naleŜałoby pisać o atakach, a
raczej podatności metalowego sprzętu komputerowego na wpływy róŜnych czynników
środowiska. Łatwo jest przeoczyć środowiskowe zabezpieczenia skupiając się na innych,
dobrze udokumentowanych, powszechnych sposobach obrony komputerowej.
Do grupy zagroŜeń klimatycznych zalicza się (od najpowszechniejszych):
a) Zakłócenia elektryczne
b) Zaburzenia temperatury, wilgotności, zaniedbania
c) Kataklizm i inne
Ad. a) Najczęściej spotykanym zagroŜeniem dowolnego sprzętu, nie tylko komputerowego
jest jego ogromna podatność na występujące zakłócenia elektryczne powodujące w
najlepszym wypadku przerwę w działaniu, a w najgorszym trwałe jego uszkodzenie.
Zakłócenia elektryczne moŜna podzielić w następujący sposób:
- zaciemnienie – krótkotrwałe obniŜenie się poziomu napięć. Jest to najpowszechniej
występujące zakłócenie dotyczące aŜ 87% usterek sprzętu związanego z zakłóceniami
elektrycznymi. Zaciemnienie spowodowane jest najczęściej przez podłączenie do sieci
i uruchomienie wielu urządzeń w jednej chwili. Jest równieŜ powiązane z wysoką
temperaturą w pomieszczeniu, która moŜe wpływać na poziom napięcia na
urządzeniach. W wyniku wystąpienia zaciemnienia moŜe wystąpić twardy restart
komputera, błędne działanie urządzeń peryferyjnych. NajwaŜniejszym efektem jednak
jest procentowa utrata Ŝywotności kaŜdego z urządzeń.
- zanik napięcia – jak sama nazwa wskazuje, jest to całkowita utrata napięcia przez
urządzenie spowodowana dowolnym czynnikiem zewnętrznym takim jak:
wyładowania elektrostatyczne (pioruny), uszkodzenie linii przesyłowych wysokiego
napięcia, kataklizmy itp. Dla pracownika zanik napięcia oznacza całkowitą utratę
zawartości pamięci RAM i schowka z którym pracował, dlatego tak często w firmach
podkreśla się cykliczne zapisywanie części wykonanej pracy. Gorszym scenariuszem
moŜe być jeszcze przykładowo uszkodzenie tablicy alokacji plików dysku twardego.
Zanik napięcia tak jak zaciemnienie wpływa na zmniejszenie Ŝywotności kaŜdego
urządzenia, lecz w mniejszym stopniu.
16
[email protected]
http://tturba.tk
- skok napięcia – dramatyczny wzrost wartości napięcia. MoŜe przedostać się
dowolnym medium elektrycznym do dowolnego podpiętego urządzenia w sieci
korporacyjnej. Poprzez kabel UTP, linię telefoniczną, przez prąd przemienny.
Najczęstszą przyczyną wystąpienia skoku wysokiego napięcia jest niewłaściwe
uziemienie okablowania zewnętrznego i nieprawidłowa instalacji piorunochronów.
Niestety natura bywa nieobliczalna i nawet najlepsze zabezpieczenia mogą nie
powstrzymać całkowitego zniszczenia elektronicznego sprzętu, który miał styczność
ze skokiem napięcia.
- nagły wzrost napięcia – krótkotrwały, trwający zwykle 1/120 sekundy wzrost
wartości napięcia. Jest antagonizmem zaciemnienia, tudzieŜ w przypadku nagłego
wyłączenia wielu urządzeń pobierających duŜe napięcie, pozostaje ono na linii
docierając do reszty podłączonego sprzętu. Wszystkie urządzenia elektroniczne są
skonstruowane by otrzymywać napięcie mieszczące się w odpowiednim zakresie. Jeśli
owy zakres zostanie przekroczony, urządzenie odczuwa delikatne uszkodzenia,
przepalenia w zaleŜności od tego jak bardzo zakres został przekroczony.
- szum, EMI, RFI – zaszumienie pojawia się wtedy, gdy w pobliŜu pracują
urządzenia wytwarzające swoje pole elektromagnetyczne, które będąc odpowiednio
duŜe moŜe zaburzyć prawidłową falę sinusoidalną, której oczekuje inne urządzenie. W
przypadku okablowania miedzianego ma się do czynienia z interferencjami
elektromagnetycznymi (EMI), natomiast w przypadku transmisji bezprzewodowej z
interferencjami radiowymi (RFI). Poza przekłamaniem i błędami w działaniu
oprogramowania na sprzęcie dotkniętym zaszumieniem, większe zagroŜenia nie
występują.
Do obowiązków szefa działu bezpieczeństwa informatycznego przedsiębiorstwa nie naleŜy
instalacja sieci elektrycznej. Robi to wykwalifikowany elektryk, specjalista. W sprawach
elektrycznych informatyk w firmie winien znać się do poziomu instalacji i konserwacji
systemów podtrzymywania napięcia – UPS, które chronią przed nagłą awarią zasilania.
Jednak serwerownie z reguły są skonstruowane jako strefa w której się nie pracuje, a system
UPS nie podtrzymuje napięcia bardzo długo, więc teoretycznie w przypadku awarii czas
reakcji pracownika mógłby być dłuŜszy niŜ czas przez jaki UPS podtrzymuje zasilanie. Stąd
istnieje potrzeba implementacji układu zewnętrznego monitorującego stan UPS’a. Firma
TechBase w swojej ofercie prezentuje komputer przemysłowy NPE 9201-GPRS, który po
instalacji odpowiednich modułów i czujników potrafi przekazać informacje o zaistniałej
anomalii bądź braku zasilania z odpowiednich urządzeń do organów zarządzających
serwerownią, bądź układem elektrycznym w budynku.
17
[email protected]
http://tturba.tk
Rys. 3.1.1.1. Schemat ideowy współpracy komputera NPE 9201 i systemów UPS
Źródło: http://www.a2s.pl/monitoring-zasilaczy-awaryjnych-systemach-informatycznych-a-1775.html (23.05.2009r)
Osobny zarządzający komputer przemysłowy jest więc czynnikiem krytycznym we
właściwym zabezpieczeniu infrastruktury informatycznej. Szczególnie waŜnym atutem
takiego rozwiązania jest moŜliwość automatycznego zamknięcia systemu poddanemu
awaryjnemu zasilaniu, co wpływa na skuteczną ochronę sprzętu i danych przed zniszczeniem.
Zasilacze UPS umoŜliwiają połączenia logiczne poprzez szeregowe łącza i moŜna się z nimi
komunikować poprzez protokół SNMP gdzie moŜna monitorować parametry zasilacza i
zasilania (napięcie, wartość obciąŜenia, nominalny czas pracy z baterii). Za pomocą kontroli
SNMP administrator moŜe ułatwić sobie kontrolę zasilania czyniąc z kaŜdego UPS’a
niezaleŜny węzeł sieci. W przypadku zaistnienia zawieszenia się serwera administrator nie
mający moŜliwości wykonania jego restartu moŜe wyłączyć UPS’a zasilającego owy serwer
to spowoduje zamknięcie systemu operacyjnego w sposób nieuszkadzający pliki.
Wykorzystując komputer NPE-9201 moŜna zaplanować odpowiednią reakcję systemów
zasilania awaryjnego na konkretne zdarzenie elektryczne.
Ad. b) O ile zakłóceń elektrycznych moŜna się spodziewać, o tyle zakłóceń działania sprzętu
w przypadku grupy zagroŜeń klimatycznych nie. Trudno jest je wychwycić z uwagi na fakt,
Ŝe zakłócenia te nie mają nagłego skutku, a są pracą długotrwałego niedopatrzenia. Np. zbyt
wysokiej temperatury w pomieszczeniu, złego poziomu wilgotności co powoduje korozję
miedzi. Sprzęt po pewnym czasie skorodowania nie psuje się nagle, lecz początkowo
18
[email protected]
http://tturba.tk
uŜytkownik moŜe odczuwać jedynie dyskomfort w szybkości transmisji w sieci bądź istnieniu
pewnych przekłamań, a sprzęt w dalszym ciągu ulega nieuchronnej korozji.
Mając na uwadze zabezpieczenie sieci naleŜy brać pod uwagę kaŜdy czynnik, który
potencjalnie moŜe wydawać się, Ŝe nie ma Ŝadnego związku z bezpieczeństwem.
W przypadku zagroŜeń klimatycznych poza wyŜej wymienionymi czynnikami takimi jak
właściwa wilgotność i temperatura w pomieszczeniach naleŜy zadbać teŜ o estetykę samego
sprzętu. Nieprawidłowe rozmieszczenie okablowania i osprzętu w sposób niechlujny moŜe
doprowadzić do:
- braku rozeznania w topologii – przy zaistnieniu niewielkiej usterki o podłoŜu
sprzętowym poruszając się po serwerowni inŜynier pragnie jak najszybciej naprawić
zaistniały problem. W przypadku porozrzucanego sprzętu i okablowania zapewnia on
sobie stratę czasu na dochodzenie do tego, który kabel jest do czego wpięty.
Rys. 3.1.1.2. Instalacja grożąca zagrożeniem braku rozeznania w topologii
Źródło: http://englishrussia.com/?p=1836 (02.05.2009r)
19
[email protected]
http://tturba.tk
- mechanicznego uszkodzenia instalacji – przy wyjątkowo niechlujnej instalacji
oprócz porozrzucanego okablowania w pomieszczeniu moŜe być teŜ nieprawidłowo
przymocowany sprzęt do ścian, szaf rakowych czy innych miejsc. W wyniku
powstałych napręŜeń okablowania owy sprzęt moŜe ulec uszkodzeniu w wyniku
upadku, lub w najlepszym przypadku dla administratora – rozłączyć się. ZagroŜenie
mechanicznego uszkodzenia instalacji sieciowej w jasny sposób moŜe się spotęgować
z nieprawidłowym rozmieszczeniem okablowania.
- poŜaru – ostatecznie nieprawidłowo zaimplementowana instalacja moŜe
doprowadzić do małego wewnętrznego kataklizmu, jakim jest poŜar. Jest to najgorsze
moŜliwe zagroŜenie wynikające z niedbałości o sprzęt. Zapalenie się instalacji zaleŜy
od kaŜdego z wyŜej wymienionych typów zagroŜeń, zwłaszcza elektrycznych i naleŜy
skupić się na tym problemie gdyŜ jego wystąpienie jest realne i zniszczenia są
długotrwałe, czasami nieodwracalne.
Rys. 3.1.1.3. Przykład instalacji sumującej zagrożenie nieznajomości topologii, naprężenia sprzętu i pożaru
Źródło: http://englishrussia.com/?p=1836 (02.05.2009r.)
20
[email protected]
http://tturba.tk
Jedyną znaną obroną przed takimi nieprzewidzianymi zachowaniami się sprzętu sieciowego
jest jego właściwa instalacja od samego początku. Z ustalonym, przemyślanym projektem,
rozpisaną dokumentacją i kompetentnym personelem technicznym realizującym załoŜenia
wymienionych dokumentów (Model SDLC, rozdział 4.1). Natomiast jeŜeli chodzi o anomalia
w pomieszczeniu, to niezbędne jest zainstalowanie specjalnie zaprojektowanych czujników
temperatury, wilgotności i wycieku wody. Wcześniej wspomniana firma TechBase oferuje
rozwiązania dla informatyki przemysłowej pokrywające się z załoŜeniami bezpieczeństwa
takŜe przed anomaliami klimatycznymi. Przykładem jest juŜ wcześniej opisany komputer
przemysłowy NPE 9201-EDGE lub 9201-GPRS instalowany na linii szafy serwerowej i
klimatyzatora.
Rys. 3.1.1.4. Schemat ideowy działania komputera przemysłowego TechBase NPE 9201
Źródło: http://www.a2s.pl/monitoring-klimatyzatora-pomieszczeniu-serwerem-a-1774.html (23.05.2009r)
Zawiera w zestawie dwa czujniki temperatury. Jeden wykonujący pomiary w pomieszczeniu,
a drugi w samej szafie z głównymi serwerami. Oprócz tego jest zewnętrzny czujnik
wilgotności i oddzielnie czujnik wycieku wody. W razie wystąpienia jakichkolwiek odchyleń
od ustalonych norm (temperatura: 21ºC, relatywna wilgotność: 45%) system powiadamia
personel odpowiedzialny za utrzymanie i konserwacje właściwej struktury w serwerowni
poprzez wysłanie SMS’a i wiadomości e-mail.
Ad. c) Przed kataklizmami moŜna się zabezpieczyć, lecz w przypadku braku istnienia tzw.
lokalizacji odtwórczej, sprzęt dotknięty przez poŜar, powódź, trzęsienie ziemi na pewno w
jakimś stopniu ulegnie trwałemu uszkodzeniu. Człowiek nie ma na to wielkiego wpływu, lecz
moŜe zrobić jak najwięcej by zaradzić skutkom wystąpienia katastrofy.
21
[email protected]
http://tturba.tk
O ile szef działu bezpieczeństwa sam nie stworzy projektu lokalizacji odtwórczej to jest wiele
firm oferujących taką usługę.
Rys. 3.1.1.5. Przykładowa topologia logiczna struktury sieciowej przedsiębiorstwa podczas codziennej pracy
Źródło: Opracowanie własne
Polega ona na odzwierciedleniu fizycznego stanu sprzętowego przedsiębiorstwa w innej
lokalizacji, której to teoretycznie kataklizm nie powinien sięgnąć, lub dotknąć w minimalnym
stopniu powodującym uszkodzenia. W zaleŜności od tego ile firma jest w stanie zapłacić,
tudzieŜ jak dla nich waŜne jest jak najszybsze przywrócenie sprzętu i konfiguracji do stanu
sprzed katastrofy wyróŜnia się trzy podstawowe lokalizacje odtwórcze:
a) Gorąca lokalizacja odtwórcza (ang. hot site) – stanowi całkowitą redundancję
prawdziwego sprzętu korporacyjnego i aktualnej konfiguracji. Koszty utrzymania
drugiej, identycznej struktury informatycznej dokładnie odzwierciedlonej w innej
lokalizacji geograficznej są ogromne, jednakŜe w pewnych przypadkach bardziej
opłaca się takie rozwiązanie aniŜeli firma miałaby w ciągu kilku dni lub nawet
tygodni odtworzyć wszystko co zostało zniszczone przez ten czas tracąc jeszcze
większe sumy pienięŜne niŜ zostały przeznaczone na lokalizację odtwórczą. W
razie wystąpienia kataklizmu, redundantna struktura informatyczna jest w stanie
przejąć rolę głównej lokalizacji w ciągu kilku minut.
b) Ciepła lokalizacja odtwórcza (ang. warm site) – stanowi pośrednią redundancję,
gdyŜ odzwierciedla jedynie stan fizyczny sprzętu przedsiębiorstwa bez jego
konfiguracji. Jest to najbardziej optymalne rozwiązanie, gdyŜ przeniesienie
konfiguracji moŜe zająć maksymalnie kilka dni. Ciepła lokalizacja jest najczęściej
wybierana przez przedsiębiorstwa, którym nie zaleŜy na tyle na priorytetowym
22
[email protected]
http://tturba.tk
działaniu sieci, Ŝe są w stanie poczekać z naprawą usterek do kilku dni. Z reguły
jednak przeniesienie konfiguracji dobrym administratorom zajmuje nie więcej niŜ
jeden dzień.
c) Chłodna lokalizacja odtwórcza (ang. cold site) – jest to najsłabsza lokalizacja
odtwórcza. Nie zawiera redundancji pod względem sprzętu, ani konfiguracji.
Stanowi alternatywne źródło działania w przypadku wystąpienia awarii.
Czynnikiem decydującym jest bardzo niska cena utrzymania takiej struktury. W
przypadku małych przedsiębiorstw w zasadzie moŜna mówić, Ŝe chłodna
lokalizacja moŜe być ciepłą, gdyŜ firmowy sprzęt jest na tyle tani i nierozległy, Ŝe
alternatywne źródła działania jest podobne parametrami do lokalizacji głównej.
Zwykle gdy mała firma wymaga jedynie stałego dostępu do Internetu bez
osobnych funkcji to poprowadzone zostaje wolne łącze ISDN lub DSL stanowiące
chłodną redundancję. Utrzymanie jest bardzo tanie, lecz w przypadku wystąpienia
katastrofy sprzęt z lokalizacji nią dotkniętą moŜe być serwisowany w naprawie
przez bardzo długi okres czasu sięgający kilku tygodni.
Rys. 3.1.1.6. Przykłady wszystkich lokalizacji odtwórczych dla topologii przedsiębiorstwa z rysunku 3.1.1.3
Źródło: Opracowanie własne
Z punktu widzenia obrony przed zagroŜeniem kataklizmu lokalizacja odtwórcza jest
najskuteczniejszym rozwiązaniem dającym gwarancję powrotu do normalnego działania
infrastruktury przedsiębiorstwa w czasie zaleŜnym od tego ile firma przeznaczyła na ten cel
środków. [2]
23
[email protected]
http://tturba.tk
3.1.2. Ataki związane z fizycznym kontaktem
Historycznie najstarsze i najprymitywniejsze zagroŜenie jest związane z naruszeniem
prywatności niepodległego terytorium, np. poprzez włamanie do pomieszczenia, naruszenie
nietykalności ciała człowieka itp. W przypadku świata komputerów jest tak samo. Maszyny
są naraŜone na konfrontację z włamywaczem i w zasadzie wtedy Ŝadne stricte komputerowe
zabezpieczenia nie pomagają, gdyŜ jak ktoś ma fizyczny dostęp do sprzętu, ma dostęp do
wszystkiego co z nim związane. Istnieją trzy zadania jakimi moŜe kierować się włamywacz
uzyskujący dostęp do sprzętu:
a) Podpięcie sprzętowego podsłuchu – celem włamywacza jest kradzieŜ informacji.
Zadanie to moŜe być wielokrokowe. Podsłuch moŜe zostać załoŜony w celu wydobycia
zestawu nazwy uŜytkownika i hasła, które dopiero da dostęp do zdobycia poŜądanej
informacji, ewentualnie naruszenia zabezpieczeń systemu w celu czysto
destrukcyjnym, bądź pozostawienia sobie tylnej furtki (być moŜe dla dostępu
zdalnego). Dlatego waŜne jest by nawet w serwerowni, gdzie ruch zarządzany na
zewnątrz moŜe być nieosiągalny, nie zostawiać standardowych nazw uŜytkownika i
hasła.
Dla przykładu na znaczącej ilości domowych i dla średnich firm routerów (SOHO9)
bezprzewodowych zestaw ten to po prostu:
nazwa uŜytkownika: admin
hasło: admin
Podsłuch komputerowy ma dwie definicje:
- sniffer – jest to rodzaj sprzętu lub oprogramowania, który przechwytuje
pakiety przemieszczające się w sieci lokalnej. Poprzez odpowiednie filtry widokowe w łatwy
sposób moŜna odczytać zawartość przechwyconych, niezabezpieczonych pakietów. Sprzętem
podsłuchującym w sieciach komputerowych moŜe być zwykły rozdzielacz sygnału
niezauwaŜalnie wpięty w kabel. Sniffer ma teŜ dobre znaczenie. W kwestii programowej
moŜe równieŜ być narzędziem pracy administratora, który analizuje działanie sieci.
9
SOHO – Small Office, Home Office – określenie dla sprzętu, który swoją funkcjonalnością odpowiada zapotrzebowaniom
małego biura, lub domowego uŜytkownika
24
[email protected]
http://tturba.tk
Rys. 3.1.2.1. Przykład umiejscowienia podsłuchu sprzętowego
Źródło: Opracowanie własne
Stosunkowo trudno jest wykryć sprzętowy podsłuch. Bez analizy wartości napięć jakie
przepływają przez oba końce kabla w zasadzie pozostaje jedynie odnalezienie podsłuchu za
pomocą własnej percepcji wzrokowej. Dlatego tak waŜne jest zabezpieczenie sprzętu przed
niepowołanym fizycznym dostępem. Hub z uwagi na sposób w jaki działa równieŜ moŜe być
sprzętowym podsłuchem, lecz dzisiaj nie jest uwaŜany za zagroŜenie, a jedynie
niedopatrzenie administratora, więc zostanie opisany w sekcji zagroŜeń komputerowych.
Rys. 3.1.2.2. Przykłady snifferów, podsłuch w sieci Ethernet kabla UTP; podsłuch w sieci Thicknet kabla RG-8
Źródło: http://atel.com.pl, http://yagi.pl. (10.05.2009r.)
25
[email protected]
http://tturba.tk
- keylogger – podsłuch klawiszowy równieŜ dzieli się na sprzętowy i
programowy rodzaj, lecz jego funkcja jest zawęŜona. Sprowadza się do
przechwytywania wprowadzonych wartości z urządzeń IO (wejścia-wyjścia) takich
jak klawiatura, myszka. Przykładowo uŜytkownik wpisuje w przeglądarce nazwę
uŜytkownika i hasła, a keylogger przechwytuje i zapisuje w swojej pamięci kolejność i
wartości klawiszy jakie zostały wciśnięte.
Keylogger PS/2
Cechy charakterystyczne:
1. Wygląd – keylogger wygląda jak typowa
przelotka kabla PS/2, nawet jeśli zostanie
przez kogoś spostrzeŜony to istnieje duŜe
prawdopodobieństwo,
Ŝe
zostanie
zignorowany.
2. Niewykrywalny przez oprogramowanie z
uwagi na swoją konstrukcję.
3. Pojemność: ~2MB czyli około 2.000 000
przechwyconych stuknięć w klawiaturę co
odpowiada 12 miesiącom pracy przy
komputerze
4. Cena: 125zł/szt.
Keylogger USB
Cechy charakterystyczne:
1. Wygląd – tak jak keylogger PS/2 ten
podsłuch imituje przelotkę kabla USB
stosowanego w urządzeniach firmy Apple,
gdzie biały kabel i płaska końcówka są ich
produkcją seryjną.
2. Monitoring aktywności – potrafi zapisywać
strony po jakich surfowała ofiara.
3. Zwiększona pojemność w stosunku do
keyloggera PS/2 (~4MB).
4. Cena: 200zł/szt.
26
[email protected]
http://tturba.tk
Keylogger wewnętrzny
Cechy charakterystyczne:
1. Niewykrywalny
2. Wymaga podmiany klawiatury
3. Wysoka cena (289zł/sztuka)
Rys. 3.1.2.3. Przykłady różnych sprzętowych przechwytywaczy
Źródło: http://keylogger.com.pl (10.05.2009r.)
Rys. 3.1.2.4. Miejsca potencjalnych prób instalacji podsłuchu klawiszowego
Źródło: Opracowanie własne
Główną cechą sprzętowego podsłuchu klawiszowego jest jego kamuflujący wygląd, lecz
porównując go cenowo do sniffera wychodzi o wiele droŜej, za mniejszą funkcjonalność, ale
mniejszym trudem moŜna osiągnąć zamierzony cel.
Keylogger programowy działa dokładnie tak samo jak sprzętowy, lecz nie ma takich wąskich
ograniczeń pojemnościowych, gdyŜ moŜe wysyłać wciśnięte klawisze co pewien okres czasu
na skrzynkę pocztową atakującego, bądź przechowywać te informacje na dysku. W obu
przypadkach istnieje ryzyko wykrycia przez programy zabezpieczające.
b) Podsłuch drogą elektromagnetyczną – w zapewnieniu bezpiecznego przetwarzania
poufnych danych w branŜy IT nie naleŜy mówić o braku ryzyka podsłuchu
elektromagnetycznego. Fale elektromagnetyczne przenikają człowieka dzisiaj na
kaŜdym etapie jego Ŝycia. Poczynając od tego, Ŝe ich zbyt duŜe natęŜenie moŜe nieść
negatywne skutki zdrowotne, a kończąc na tym, Ŝe prywatność człowieka całkowicie
27
[email protected]
http://tturba.tk
zanika (telefon komórkowy – idealne źródło antenowe rozsyłające w około emisję
elektromagnetyczną). W wyniku wyświetlania lub przetwarzania informacji
podzespoły komputerowe emitują silne fale radiowe. Płyta główna stacji roboczej jest
w stanie stać się nadajnikiem radiowym w wyniku przetwarzania, który osiąga
częstotliwości z zakresu kilku GHz. Wynika to z faktu, Ŝe producenci sprzętu
zrezygnowali z metalowego ekranowania obudów komputerów zastępując go tanim
plastikiem. Istnieje szyfrowanie informacji w transmisji, jednakŜe w przypadku
podsłuchu elektromagnetycznego nie jest to Ŝadne zabezpieczenie. W końcu dana
prezentowana na monitorze nie jest w postaci zaszyfrowanej i napastnik za pomocą
odpowiedniego sprzętu odczytuje zawartość monitora ofiary, bądź częstotliwość dysku
twardego, gdzie dane te nie są szyfrowane przed ludzkim okiem. Emisja ujawniająca
jest problemem powszechnym kaŜdego sprzętu, medium przez które przepływa prąd,
gdyŜ kaŜde z tych urządzeń zgodnie z prawami fizyki emituje wtedy część swojej
energii elektrycznej jako pole elektromagnetyczne.
Rys. 3.1.2.5. Sposób emisji pola elektromagnetycznego przez urządzenie elektryczne
Źródło: Opracowanie własne
Jedyną skuteczną metodą ochrony jest zapewnienie ekranowania i zabezpieczenie
moŜliwych miejsc wycieku fali radiowej. Ekranowanie jest obniŜeniem natęŜenia
elektromagnetycznego pola urządzenia na zewnątrz za pomocą strat cieplnych lub
28
[email protected]
http://tturba.tk
odbić na ekranie. Sam ekran jest to bardzo cienka siatka o drobnych otworach
skonstruowana z metalu i jego pochodnych (blacha, folia). Głównym jego zadaniem
jest powstrzymanie rozchodzenia się fal radiowych.
W projekcie implementacyjnym działu IT jako pomieszczenie serwerowe z reguły
wybiera się pomieszczenia nie posiadające okien i podwieszanych sufitów – wynika to
z faktu, Ŝe ekranowanie jest skuteczne tylko wtedy gdy jest szczelne. Gdyby w
serwerowni były okna, byłoby to potencjalne miejsce podsłuchu i nieświadomego
wycieku emisji elektromagnetycznej. Tanim sposobem zabezpieczenia pokoju
serwerowni jest zbudowanie w niej klatki Faradaya. NaleŜy dokładnie pokryć całe
ściany, podłogę i sufit metalową, bardzo drobną siatką, np. z miedzi. Powstanie w ten
sposób rodzaj wewnętrznego płaszcza ekranującego. Nie naleŜy takŜe zapomnieć o
zabezpieczeniu paneli i przewodów wentylacyjnych za pomocą wkładek
przewodzących, które przepuszczają strumień powietrza, a nie przepuszczają fal
elektromagnetycznych. Po zamontowaniu takiego ekranowania warto jest
przeprowadzić bardzo prosty test polegający na sprawdzeniu zasięgu w telefonie
komórkowym poza pomieszczeniem i w nim samym. Celem jest osiągnięcie
minimalnego zasięgu antenowego lub jego brak. Telefon komórkowy moŜe posłuŜyć
więc jako tester fal elektromagnetycznych do potencjalnych wycieków, które będzie
moŜna sprawnie załatać spoiwem lub taśmą termoprzewodzącą. Kable w serwerowni
(poza horyzontalnymi dochodzącymi do szaf rakowych) powinny być kablami
światłowodowymi, które nie emitują fal elektromagnetycznych. Kabel typu skrętka z
uwagi na swoje parametry stanowi idealną antenę nadawczą dla napastnika. JeŜeli
chodzi o pomieszczenie serwerowe to ochrona na tym etapie się kończy, lecz znacznie
trudniej jest chronić komputery robocze, gdyŜ istnieje wiele pomieszczeń i Ŝaden nie
powinien być obłoŜony miedzianą siatką, poza specjalnym przypadkiem z
pomieszczeniami zawierającymi ściśle tajne dane. Raczej chodzi tutaj o zwykłe
pomieszczenia biurowe, pracownicze, więc nie byłoby to rozwiązanie estetyczne.
Problemem jest takŜe podsłuch w tym samym pomieszczeniu z uwagi na jego
rozmiary, więc taka ochrona klatką nie sprawdziłaby się. NaleŜy więc zabezpieczać
kaŜdą stację roboczą indywidualnie. MoŜna osiągnąć bezpieczeństwo zakupując
niedrogie ekranowane obudowy. W duŜym stopniu ograniczą one wyciek informacji.
Jednak największym uznawanym źródłem emisji jest przewód wideo łączący monitor z
portem w obudowie. Są dość długie, ustawione przewaŜnie w bliskim pionie i
nieekranowane, dlatego łatwo emitują informacje trafiające na monitor uŜytkownika.
NaleŜy wtedy zastosować ekran elektromagnetyczny ze specjalnej folii ochronnej.
29
[email protected]
http://tturba.tk
Rys. 3.1.2.6. Przykład oryginalnego obrazu i jego wycieku elektromagnetycznego na monitorze oddalonym 15m
Źródło: http://g1.computerworld.pl/news/1/9/191811 (27.05.2009r)
W celu zapewnienia większej ochrony naleŜy równieŜ zaopatrzyć się w telefony
cyfrowe z mechanizmem DECT z kodowaniem przekazu pomiędzy telefonem, a jego
słuchawką. Na pewno w transmisji sieciowej nie zaszkodzi szyfrować pakiety, gdyŜ
sprzęt do podsłuchu kabla jest relatywnie tańszy niŜ ten do podsłuchu
elektromagnetycznego z monitora (około kilkadziesiąt tys. złotych). [4]
c) Przełamanie fizycznej kontroli dostępu – jeŜeli celem włamania jest uszkodzenie
sprzętu to jeśli włamywacz przejdzie przez drzwi serwerowni i dostanie się do szafy
rakowej to moŜna uznać, Ŝe sprzęt nie zostanie w Ŝaden sposób przed zagroŜeniem
uchroniony. Wynika to z faktu, Ŝe jest to sprzęt elektroniczny. Szkodzi mu uszkodzenie
mechaniczne, elektryczne, zbyt niska i zbyt wysoka temperatura, poŜar, zalanie.
Włamywacz mający na celu zniszczenie sprzętu ma więc do wyboru w jaki sposób to
osiągnie. Co ciekawe poprzez uszkodzenie mechaniczne, takie jak uderzenie sprzętu
moŜe dojść do spięcia w instalacji elektrycznej, która następnie moŜe się zapalić i w
wyniku naszego zabezpieczenia przeciwogniowego zostać zalana wodą.
Zapewne po takim zestawie uszkodzeń sprzęt w Ŝaden sposób nie będzie nadawał się
do uŜytku. Wprowadzenie zabezpieczeń fizycznej kontroli dostępu jest stosunkowo
proste w porównaniu do przeprowadzenia komputerowego audytu bezpieczeństwa.
Podstawową składową obrony są solidne drzwi. MontaŜ skomplikowanych,
specjalistycznych zamków w mało solidnych drzwiach mija się z celem. Zamiast
drzwi wewnętrznych z reguły zbudowanych z cienkich warstw sklejek naleŜy
stosować bardzo solidne drzwi kancelaryjne. Są wytrzymałe z uwagi na pokrycie ich
warstwą stali o grubości około 2mm. Podstawą do takich drzwi są zamki rozporowe
zamykające się na kaŜdą ścianę w połączeniu z blokadą przeciwwywaŜeniową. JeŜeli
chodzi o zamek moŜna zastosować tradycyjne rozwiązanie mechaniczne, lecz
preferowanym sposobem z uwagi na funkcjonalność i programowalność, jest
stosowanie zamków cyfrowych z elektronicznymi wkładkami. Plusem takiego zamka
jest fakt, Ŝe nie musi być montowany w drzwiach chroniących wyłącznie pokoje.
Pracownik ochrony moŜe zaprogramować kartę w taki sposób by blokowała dostęp do
30
[email protected]
http://tturba.tk
innych miejsc. Przykładowo, jeŜeli czytnik karty umieszczony jest w windzie to omija
ona wyznaczone przez pasaŜera piętro jeśli nie zostanie zautoryzowany. Dodatkową
wadą kluczy tradycyjnych jest sposób ich opisywania. Mając pęk kluczy z reguły
kaŜdy jest podpisany z etykietą jakiego dotyczy pokoju. W przypadku karty
magnetycznej lub zbliŜeniowej, nie jest ona oznaczana (co najwyŜej kolorem), ani
podpisywana, co utrudnia włamywaczowi, który pozyskał kartę odnalezienie
właściwego pomieszczenia.
Warto pamiętać o dodatkowych elementach bezpieczeństwa jeŜeli naleŜy w sposób
szczególny zabezpieczyć cenne rzeczy.
Drzwi dodatkowo mogą być ognioodporne (do 60min) i posiadać certyfikat
Ministerstwa Obrony Narodowej z 17.11.205r oznaczony numerem EI60 związany z
funkcjonowaniem i organizacją kancelarii tajnych (norma PN-90/B-92270 lub
Rozporządzenie RM z 18.10.2005 Dz. U. 208, poz. 1741).
Jako wyposaŜenie warto pamiętać o ryglu elektromagnetycznym, mechanizmie
samozamykacza i o gałce z zewnątrz. Drzwi w razie niedopatrzenia pracownika
poprzez niedomykanie lub szarpanie, nie mogą zostać otwarte bez uŜycia karty.
Lecz po co komu solidne drzwi jeśli są wmontowane w ścianę działową z płyty
kartonowo-gipsowej lub warstw spienionego betonu. Włamywacz jest inteligentny.
Włamanie z pewnością zostało zaplanowane, więc jeśli przeprowadził on rekonesans
to sprawdził, Ŝe łatwiej będzie mu się przebić przez cienką ścianę niŜ forsować
antywłamaniowe, wzmocnione drzwi. Intruz moŜe stosunkowo szybko wyciąć otwór
za pomocą młota udarowego lub piły mechanicznej. Jest to głośne rozwiązanie, lecz
krótkie i skuteczne. W ochronie pomieszczenia, więc waŜne jest zabezpieczenie
kaŜdego miejsca przez które włamywacz jest w stanie się przedrzeć – okna, drzwi,
ściany, kanały wentylacyjne, sufit, podłoga. Mniej wartościowe przedmioty mogą być
przechowywane w szafach na dokumenty. Te droŜsze – w sejfach. Odporność sejfu i
szafy zaleŜy od ich przeznaczenia. Szafy na dokumenty typowo mogą być
wyposaŜone w zamki mechaniczne lub elektroniczne, regulowane półki i miejsce do
zaplombowania. Warto przeczytać regulację prawną o wymaganiach wobec szaf na
dokumenty niejawne w rozporządzeniu Rady Ministrów (Dz. U. 208, poz. 1741).
Przedmiotami przechowywanymi w takich szafach mogą być teczki osobowe
zatrudnionych pracowników, dokumentacja techniczna lub handlowa, bądź inne
poufne dokumenty.
31
[email protected]
http://tturba.tk
Konstrukcja skrzydła:
1. Blacha stalowa ocynkowana gr.
1,25 mm
2. Pianka poliuretanowa (samo
gasnąca, bezfreonowa)
3. Stalowe Ŝebra i pręty ze stali
hartowanej
4. Panele dekoracyjne odporne na
warunki atmosferyczne
5. Zamek centralny
6. Zamki pomocnicze
7. Zamek dodatkowy
8. Sztywny łańcuch
9. Stałe bolce
przeciwwywaŜeniowe
10. Regulowane zawiasy
11. Dolna listwa zamykająca z
uszczelką szczotkową
Rys. 3.1.2.7. Parametry techniczne drzwi antywłamaniowych firmy Gerda Star SX
Źródło: http://www.gerda.agp.pl/drzwi-starsx.html (22.05.2009r.)
DroŜszym rozwiązaniem, lecz bezpieczniejszym jest zaopatrzenie firmy w kasę
pancerną, w której moŜna np. przechowywać bardzo waŜne informacje, takie jak
krytyczne kopie bezpieczeństwa systemów informatycznych przedsiębiorstwa, bądź
walory pienięŜne. Sejf stanowi jeden z najtrudniejszych elementów do sforsowania
podczas włamania. MoŜe być zamontowany ze specjalnym systemem samo reakcji na
próbę włamania, jakim jest obrona przed wyrwaniem zawiasów czy system
samoczynnego ryglowania. Dodatkowo popularnym rozwiązaniem są zamki ze
szklaną płytką. Jeśli sejf zostanie poddany zbyt intensywnym wstrząsom, bądź
rozwiercaniu to płytka pęka i sejf ulega zaryglowaniu od wewnątrz i nie jest moŜliwe
jego otwarcie w sposób szybki i konwencjonalny. Szafy i sejfy mogą być
ognioodporne, lecz nie są wodoodporne. Jednak jednym z waŜniejszych czynników
bezpieczeństwa jest instalacja monitoringu przemysłowego, czyli regularne,
całodobowe badanie aktywności w pomieszczeniach waŜnych i poufnych z
wykorzystaniem do tego celu pracownika ochrony. W przedsiębiorstwie kaŜdy sektor,
nawet najmniej waŜny obszar powinien być stale monitorowany. Newralgicznymi
punktami są przejścia słuŜbowe i bezpośrednie korytarze do waŜnych pomieszczeń.
32
[email protected]
http://tturba.tk
3.1.3. Atak socjotechniczny
O socjotechnice, inaczej zwaną inŜynierią społeczną słyszał prawie kaŜdy człowiek.
Większość zastrzega się, Ŝe w skuteczny sposób potrafią się przed jej atakami obronić, lecz
kaŜdy kiedyś staje się na nie podatny. Z technikami wpływania na innych, człowiek ma do
czynienia przez całe swoje Ŝycie i w kaŜdym środowisku społecznym. W większości
przypadków nie jest nawet świadomy, Ŝe padł ich ofiarą. Przykładowo klient sklepu
elektronicznego skusił się na zakup nowego telewizora LCD, bo był on w promocji, po
obniŜonej cenie, gdzie tabliczka cenowa zawierała równieŜ przekreśloną –rzekomo- wyŜszą
wartość. Klient zrozumiał to jako okazję. Jest to typowy, Ŝyciowy przykład zastosowania
elementów socjotechniki. Jednak najpowszechniejszym i najbardziej rozpoznawanym
przykładem inŜynierii społecznej jest reklama telewizyjna, mająca na celu nastawić odbiorcę
na zakup produktu, bądź usługi. Z reguły wywołuje w widzu pozytywne emocje takie jak
radość, śmiech, upodobnienie do nadawcy. Aktorzy są weseli, pewni siebie, dobrze dobrani
do roli. Często są to osoby sławne – rozpoznawalne przez widza. Przedstawiany produkt jest
takŜe często idealizowany poprzez porównanie go do innego, gorszego produktu.
Socjotechnika wykorzystuje wszystkie moŜliwe luki umysłu ludzkiego:
- zaciekawienie
- pewność bezpiecznej relacji z rozmówcą
- podatność człowieka na kłamstwo
- emocje, w tym strach
Nie jest waŜne w jaki sposób zdobędzie się informacje, czy to poprzez typowe kłamstwo, czy
moŜe bardziej skomplikowany scenariusz. Liczy się fakt uzyskania informacji, bądź zachęty
ofiary do wykonania odpowiednich działań mających na celu przynieść atakującemu
poŜądane korzyści. Socjotechnika stanowi bardzo skuteczne narzędzie, wystarczy poznać
mechanizmy kierujące ludzką psychiką.
Rys. 3.1.3.1. Cykl życiowy ataku socjotechnicznego
Źródło: Opracowanie własne
33
[email protected]
http://tturba.tk
Występuje wiele technik inŜynierii społecznej. Do najpowszechniejszych naleŜą:
a) Pozorny wybór – socjotechnik przedstawia kilka punktów widzenia, jednakŜe
zdanie odpowiadające jego poglądom jest przedstawiane w bardziej pozytywnym
odczuciu. Jednocześnie daje widzowi rzekomą władzę nad dokonaniem własnego,
świadomego wyboru.
b) Ośmieszanie – socjotechnik manipuluje ofiarą ośmieszając nie odpowiadające mu
idee zgodnie z zasadą - Jeśli coś zostało ośmieszone – nie moŜe zostać
pozytywnie przyjęte.
c) Świadectwo autorytatywne – powołanie się na powszechnie rozpoznawany
autorytet (np. aktor, naukowiec, dyrektor lub szef).
d) Przeniesienie – manipulator przeprowadza skojarzenie swojego przesłania z
ugruntowanym pozytywnym pojęciem wśród odbiorcy. Budzenie pozytywnych
wspomnień np. z dzieciństwa, tworzenie otoczki do całości.
e) NiezaleŜne zdanie - kształtowanie przekazu w taki sposób, aby sprawiał
wraŜenie, Ŝe mówcy nie zaleŜy na uzyskaniu aprobaty widza, lecz buduje szacunek
„własnego zdania”. Technika powoduje w odbiorcy poczucie słuszności
wypowiedzi mówcy.
f) Selekcja faktów – częsta technika inŜynierii społecznej nieświadomie
wykorzystywana przez dzieci. Wypowiedzenie tylko tych faktów, które
odpowiadają manipulatorowi przy jednoczesnym zatajeniu pozostałej prawdy.
g) Nowomowa – tworzenie nowego pojęcia z silnym tłem emocjonalnym, często
przywoływanym w przyszłości. Technika bardzo popularna w reklamach
telewizyjnych telefonów komórkowych.
h) Wskazywanie negatywnego odniesienia – konsolidacja promowanych idei przez
manipulatora w świetle wskazania ich wroga.
i) Zdanie większości – stworzenie trwałej relacji z odbiorcami, często nazywanych
„swoimi”, którzy mają takie same zdanie jak mówca. Skoro większość ma rację to
musi być dobra decyzja.
j) Kłamstwo – niemówienie prawdy z jednoczesnym ograniczeniem odbiorcy do
dostępu do innych źródeł informacji o prawdzie.
k) Tworzenie stereotypu – uŜywanie stworzonego stereotypu. Często przywoływany
o silnym podłoŜu emocjonalnym.
l) Slogan – powtarzanie specjalnie spreparowanego tekstu – sloganu
wykorzystującego mieszane techniki socjotechniczne. Stosowane przez polityków
podczas wyborów, bądź w promocjach sklepowych.
Socjotechnika komputerowa w dzisiejszym świecie traktowana jest po macoszemu. KaŜdy ma
świadomość jej istnienia, lecz nie kaŜdy wie jak się przed nią świadomie obronić. Zdobycie
informacji technikami socjotechnicznymi poprzez komputer w zasadzie niczym nie róŜni się
od typowego wydobycia informacji od człowieka bez komputera, gdyŜ to właśnie sam
człowiek jest głównym celem ataku jako najsłabsze ogniwo w sieci korporacyjnej, a dopiero
później komputer słuŜy jako narzędzie włamania.
34
[email protected]
http://tturba.tk
W rozdziale 3. wspomniany został Kevin Mitnick, najsłynniejszy komputerowy socjotechnik.
Został oskarŜony i osadzony w więzieniu za wykorzystywanie umiejętności inŜynierii
społecznej do wyłudzania informacji. W zarzucie moŜna wyczytać, Ŝe Mitnick wcielał się
często w osoby trzecie. Najciekawszym aspektem jego kradzieŜy jest jednak to, Ŝe de facto
nie była to kradzieŜ! Wszystkie informacje naruszające zabezpieczenia firmowe słuŜące mu
do dalszych celów zdobył poprzez prośby skierowane do zwykłych ludzi, pracowników danej
firmy. W jednej ze swoich ksiąŜek pt. „Sztuka podstępu” opisuje on siedem metod jakimi
posługiwał się podczas infiltracji przedsiębiorstw.
a) Metoda pytania bezpośredniego – trudny do oparcia błyskawiczny „atak” z
zaskoczenia. Napastnik wprost pyta ofiarę o konkretne dane, bądź kieruje ją dobrym
uzasadnieniem, pewnością siebie.
PRZYKŁAD:
Napastnik: „Dzień dobry Pani, moje nazwisko Jan Swojski, mamy w firmie problemy
z działaniem sieci. Proszę na chwilę zmienić swoje hasło na „test123”…
…
Ok. wygląda na to, Ŝe w tym segmencie sieci wszystko jest w porządku. Dziękuję Pani
za pomoc. MoŜe juŜ Pani zmienić swoje hasło na stare. W razie problemów proszę
dzwonić do nas na dział techniczny. Pozdrawiam.
PowyŜszy dialog z pozoru wygląda jak normalna rozmowa z firmowym technikiem.
Cechy jakimi operuje to: grzeczność, gra na emocjach, nakaz, pozorny wybór.
Pracownik firmy nieświadomej zagroŜenia w rozmowie z grzeczną osobą z działu
technicznego wydaje się, Ŝe ma władzę nad tym co robi, bo przecieŜ nie podaje mu
swojego hasła. Technik tylko sprawdzi czy wszystko jest w porządku. Lecz w
momencie zmiany hasła socjotechnik moŜe podejrzeć pytanie pomocnicze w razie
zapomnienia hasła, zmienić szybko hasło blokując pracownicy dostęp lub po prostu
wykorzystać zaufaną relację konta pracownicy z serwerem instalując w szybkim
tempie swoje konie trojańskie. Socjotechnik grzecznie kończy rozmowę, więc
pracownicy wydaje się, Ŝe postąpiła jak najbardziej słusznie. JeŜeli wyszedłby jakiś
problem podczas rozmowy, albo rozmówca nie byłby przyjemny, z pewnością
pozostałoby to w pamięci pracownika co mogłoby w konsekwencji doprowadzić do
namierzenia źródła wystąpienia przyszłego (z punktu widzenia pracownika –
zaszłego) problemu.
b) Metoda budowania sztucznej osobowości – socjotechnik moŜe zebrać niepozorne, z
punktu bezpieczeństwa firmy nieistotne informacje odpowiednio uzasadniając swoje
prośby. Do zbiorów mogą naleŜeć m.in. dane osobowe administratora, numer
pracownika, numery telefonów wewnętrznych, znajomość wewnętrznej terminologii.
Dzięki zebraniu tychŜe informacji socjotechnik moŜe wcielić się w pracownika
korporacji. Kogoś zaufanego, kogoś z wewnątrz. Napastnik, który wykaŜe się
znajomością pewnych nazwisk, informacji wewnętrznych firmy jest w stanie
potwierdzić swoją sfałszowaną toŜsamość.
35
[email protected]
http://tturba.tk
PRZYKŁAD:
Zdobyte imię administratora: Stefan
Napastnik dzwoni do ofiary:
Ofiara: „Dział handlowy, w czym mogę pomóc?”
Napastnik: „Dzień dobry, jest tam moŜe w pobliŜu gdzieś Stefan?”
Ofiara: „Jaki Stefan?”
Napastnik: „No Stefcio z informatycznego, bo padł jeden segment sieci i nie ma się
do niego przelogować jak nie przez waszą handlówkę”
Ofiara: „A, ten Stefan, nie niestety nie ma go”
Napastnik: „Cholera! Miał juŜ tam u was być, przecieŜ to musi działać! MoŜe Pani
zmienić u siebie hasło na „test123” sprawdzę czy wszystko jest w porządku na
serwerze.
Ofiara: „… juŜ.”
<<MOMENT ATAKU>>
Napastnik: „Ok., uf, juŜ gotowe. Wszystko OK., niech Pani juŜ zmieni z powrotem na
swoje hasło, a jak tam Stefcio do Pani przyjdzie to proszę przekazać, Ŝe wszystko juŜ
działa.”
Ofiara: „Dobrze, dziękuję za pomoc”
Napastnik: „RównieŜ dziękuję, do zobaczenia”
Z reguły owa metoda jest skuteczniejsza im więcej informacji jest w stanie wydobyć
napastnik przed wykonaniem właściwego ataku.
c) Metoda budowania zaufania z wykorzystaniem emocji do przełamania barier
psychicznych – połączenie tych dwóch metod w jedną daje praktycznie zawsze dobre
rezultaty. Czynnikiem znaczącym jest tutaj jedynie fakt ile czasu jest w stanie
napastnik poświęcić by ofiara była w stanie mu w jakiś sposób zaufać. Czasami moŜe
to potrwać kilkanaście dni. Socjotechnik moŜe stworzyć ciekawy scenariusz w raz z
odpowiednim wyborem osobowości jaką będzie musiał odgrywać.
PRZYKŁAD:
Napastnik odgrywa rolę nowego, zagubionego pracownika, który potrzebuje pomocy,
gdyŜ nie potrafi sobie jeszcze zbytnio poradzić na nowym stanowisku w nowej firmie.
Napastnik: „Dzień dobry, nazywam się Zenon Marchewka, czy moŜe mi Pani
pomóc?”
36
[email protected]
http://tturba.tk
Ofiara: „W czym problem?”
Napastnik: „Dzwonię z działu księgowego, pracuję tutaj od wczoraj i mi bardzo
zaleŜy na nie straceniu tej posady. Czy mogłaby mi Pani podać numer do
administratora, gdyŜ mój komputer coś szwankuje?
Ofiara: „Tak, niech Pan dzwoni do Bolka pod wewnętrzny 45”
Napastnik: „Ślicznie Pani dziękuję i pozdrawiam!”
Ofiara: „Do widzenia.”
<<MOMENT ATAKU>>
W ten sposób mamy numer do administratora, a nawet za darmo została wydobyta
informacja o jego imieniu. Im więcej takich nieproszonych informacji socjotechnik
jest w stanie przechwycić tym więcej moŜe dzięki nim osiągnąć.
d) Metoda wykorzystania autorytetu – socjotechnik powołując się na osobę z
wyŜszego stanowiska w pewien sposób kontroluje zachowanie pracownika. Nikt nie
sprzeciwi się bez uzasadnienia decyzji swojego przełoŜonego, więc z reguły wykona
przekazane polecenie.
PRZYKŁAD:
Ofiara: „Dzień dobry”
Napastnik: „Dzień dobry Pani, tu Antek z marketingu, szef prosił przekazać, Ŝe ma mi
Pani przesłać na pocztę faktury z tego tygodnia”
Ofiara: „Na maila czy faksem?”
Napastnik: „A jak Pani woli… myślę, Ŝe mailem będzie szybciej, proszę słać na
[email protected]”
<<MOMENT ATAKU>>
Dobry socjotechnik musi mieć zawsze przygotowany scenariusz typowych
odpowiedzi i zachowań na jakie powinien w odpowiedni sposób reagować. Z
przykładu powyŜej, manipulant był przygotowany na ewentualne pytanie o sposób
przesłania informacji, gdyŜ nie uwzględnił je w swojej pierwszej wypowiedzi. Dał
pracownikowi pozorny wybór, lecz wyraźnie nakreślił negatywne odniesienie
nieodpowiadającej mu metody odbioru. Faks zostałby przesłany na wewnętrzny numer
firmowy, a z załoŜenia napastnik nie ma autoryzacji do przebywania w pomieszczeniu
biurowym z faksem przeznaczonym dla pracowników.
e) Metoda ankiety – najbardziej popularna metoda wyciągania informacji od rozmówcy,
jednakŜe ze względu nasilonej liczby swoich wystąpień jest w duŜej mierze
powszechnie uwaŜana juŜ za nieskuteczną. Ankieter-napastnik moŜe zadać wiele
37
[email protected]
http://tturba.tk
pytań pośród których będzie tylko jedno, które go interesuje. Dodatkowo moŜe
stymulować psychikę ofiary zapewniając np. o przysłaniu zestawu upominkowego
złoŜonego z drobiazgów za wypełnienie ankiety. Oczywiście pobierając od ofiary w
tym celu dane prywatne o zamieszkaniu. Lepszym typem napastnika w wypadku
ankiety jest kobieta z uwagi na delikatność głosu, wrodzony brak agresji i typowość
wykonywania takiej pracy przez płeć piękną (co usilnie w telewizji potwierdzają
róŜnego rodzaju reklamy).
PRZYKŁAD:
Napastnik: „Dzień dobry Panu, moje nazwisko Ola Poter, czy zechciałby Pan
otrzymać ode mnie upominkowy zestaw złoŜony z kremu do golenia i naszej nowej
maszynki Philips 3 w 1?”
Ofiara: „Za darmo? Ale co muszę zrobić w tym celu?”
Napastnik: „Tak, oczywiście zestaw jest całkowicie darmowy. Wystarczy, Ŝe odpowie
nam Pan na dwa króciutkie pytania. Czy mogę je teraz Panu zadać?”
Ofiara: „No słucham”
Napastnik: „Czy goli się Pan codziennie?”
Ofiara: „Nie, co drugi dzień”
Napastnik: „Czy stosuje Pan kremy pielęgnacyjne po goleniu?”
Ofiara: „Nie, wystarczy woda”
Napastnik: „Super, dziękuję za udział Pana w naszej ankiecie. Proszę teraz podać
dane adresowe, na który zostanie przesłany Panu zestaw upominkowy”
Ofiara: „Krzysztof Jarzyna
Ul. Rozbójników 40
Szczecin”
Napastnik: „Dziękuję ślicznie, listonosz przyniesie paczkę, do usłyszenia”
<<MOMENT ATAKU>>
Zadając pytania socjotechnik zataił fakt uzyskania adresu pod pretekstem otrzymania
darmowego prezentu. KaŜdy chce coś otrzymać minimalnym wkładem, a ofiara i tak
uwaŜa, Ŝe naleŜy jej się owy upominek chociaŜby przez fakt, Ŝe postanowił poświęcić
chwilę swojego cennego czasu na odpowiedzenie na pytania bez większego znaczenia
dla jego Ŝycia. Mając pewność, Ŝe rozmawiano z pracownikiem firmy i mając jego
dane osobowe moŜna je w odpowiedni sposób wykorzystać w rozmowie z inną osobą
pracującą z ofiarą potwierdzając tym samym jej znajomość.
38
[email protected]
http://tturba.tk
f) Metoda socjotechniki zwrotnej – skomplikowana metoda wymagająca
synchronizacji w rozmowie z wieloma ofiarami. Interesując ofiarę scenariuszem
postępowania socjotechnik skłania ją do nawiązania ze sobą kontaktu w przypadku
wystąpienia odpowiedniego zdarzenia.
PRZYKŁAD:
Napastnik przedstawiający się jako administrator dzwoni do pierwszej ofiary
informując ją o moŜliwych problemach w działaniu sieci.
Napastnik: „Dzień dobry, Ryszard z serwerownii, informuję Panią, Ŝe przez
najbliŜszą godzinę mogą wystąpić problemy z otwieraniem się stron WWW, w razie ich
wystąpienia prosiłbym o kontakt na mój numer 123-456-789”
Ofiara#1: „Dobrze, dziękuję”
Następnie napastnik wykonuje telefon do działu administracyjnego przedstawiając się
za pracownika firmy, który ma problem ze swoim komputerem.
Napastnik: „Witam, czy to dział komputerowy?”
Ofiara#2: „Tak w czym mogę pomóc?”
Napastnik: „Nie działają mi strony internetowe a obok zegarka mam napisane w
takiej Ŝółtej chmurce, Ŝe kabel sieciowy jest odłączony, mógłby Pan to jakoś u siebie
sprawdzić?”
Ofiara#2: „Dobrze, juŜ sprawdzam, momencik”
W tym czasie istnieje szansa, Ŝe administrator sprawdzi połączenie kabla
przełącznikiem na chwile go wypinając. JeŜeli w tym momencie pracownica
próbowała przeglądać strony internetowe to wyskoczy jej komunikat przekroczenia
czasu połączenia. Zgodnie z zaleceniami powinna zadzwonić do napastnika, który
będzie mógł rozwiązać jej problem”
Ofiara#1: „Dzień dobry, dzwonił Pan przed chwilą do mnie”
Napastnik: „A witam, i co? Przestało coś działać, prawda?”
Ofiara#1: „Tak no właśnie przeglądałam stronę jednego producenta i wyskoczyło mi,
Ŝe „przekroczono czas połączenia, co z tym zrobić?”
Napastnik: „Tak jak myślałem, w porządku, proszę zmienić swoje hasło na chwilkę na
„pracownik000”, system ustawi sobie standardowe parametry internetowe po naszej
zmianie”
Ofiara#1: „Gotowe”
<<MOMENT ATAKU>>
39
[email protected]
http://tturba.tk
Napastnik: „Proszę sprawdzić czy strony teraz działają”
Ofiara#1: „O rzeczywiście działają”
Napastnik: „No to po problemie, proszę z powrotem ustawić swoje hasło”
Ofiara#1: „Super, dziękuje ślicznie Panu za pomoc”
Napastnik: „Do usłyszenia!”
Metoda wymaga pewnej elastyczności i zaawansowania w stosowaniu technik
inŜynierii społecznej. Na pewno nie jest zalecana dla początkujących napastników.
Dodatkowo wymaga posiadania kilku informacji wewnętrznych. Wadą jest, Ŝe
napastnik podaje swój numer telefonu i o ile nie dzwoni z budki, bądź innego
nienamierzanego źródła to w przypadku niepowodzenia moŜe zostać schwytany.
g) Metoda socjotechniki odwrotnej – jest wariacją socjotechniki zwrotnej. Napastnik
nawiązuje kontakt z ofiarą, lecz w rozmowie objaśniając potrzebę stara się być stroną
pasywną. Metoda takŜe wymaga elastyczności i zaawansowania w stosowaniu
technik. Uczy wykorzystywać w rozmowie jak najmniej słów, a nawet milczenia we
właściwym momencie. Socjotechnika odwrotna często jest stosowana w
przesłuchaniach policyjnych.
PRZYKŁAD:
Napastnik wszedł w posiadanie skradzionego telefonu komórkowego pracownika.
Dzwoni do serwisu komórkowego bez konieczności przedstawiania się. Krótko
opisuje problem:
Napastnik: „Dzień dobry, wypadła mi bateria, a nie pamiętam jaki ustawiałem ten
kod początkowy, mógłby mi Pan jakoś pomóc?”
Ofiara: „Chodzi Panu o kod PIN. Proszę podać markę i model telefonu.”…
Ofiara: „(…)”
Ofiara: „Musi Pan zrobić (…) następnie (…) i ustawić (…).”
Napastnik: „Ślicznie dziękuję, do widzenia.”
40
[email protected]
http://tturba.tk
Wszystkie wyŜej opisane techniki i metody są jedynie składowymi ataku łączących się w
większą całość, w tzw. klasę ataków socjotechnicznych, do których zalicza się:
Pretekst
Wabik
Zasada Quid Pro Quo
Vishing i IVR
Pretekst – jest to akt stworzenia i uŜycia wymyślnego scenariusza (pretekstu), który posłuŜy
za zbudowanie w ofierze punktu zaufania do napastnika. Celem jest perswazja ofiary, której
efektem jest zdobycie poŜądanej informacji. Częstokroć pretekst wymaga wstępnego
rozeznania z atakowaną firmą i zebranie cząstkowych informacji wykorzystanych do
scenariusza. Z tej definicji jasno wynika, Ŝe jest to najbardziej podstawowa klasa ataku.
Wykorzystywana w dowolnym środowisku, nie tylko komputerowym. Socjotechnik atakując
pretekstem musi dobrze przemyśleć scenariusz, który stworzy i ewentualne odpowiedzi na
pytania jakie mogłyby paść ze strony ofiary, która nie moŜe wyczuć niebezpieczeństwa np.
poprzez zawahanie, zamyślenie.
Wabik – klasa stricte komputerowego ataku socjotechnicznego. Jest to zmyślne
pozostawienie haczyka, który ma zostać połknięty. Wabienie ofiary jest podobne jak w
wędkarstwie. Poprzez analogię naleŜy przyjąć wędkarza za napastnika, a rybę za ofiarę.
Natomiast haczyk jest przykładowo pozostawionym pendrivem na schodach firmy. Na dzień
dzisiejszy pendrive USB jest bardzo popularnym urządzeniem. Pojemność pokrywa
zapotrzebowanie pracownika, wymiary takŜe, lecz cena niejednokrotnie jest wysoka.
Dlaczego pracownik nie miałby przyswoić drugiego pendrive’a i sprawdzić jego zawartość?
KaŜdy z nas znajdując na ulicy, w biurze, w szkole owe kompaktowe urządzenie z pewnością
wpiąłby do swojego komputera i sprawdził co się na nim znajduje. W tym momencie zostałby
odpalony atak poprzez zainicjowanie konia trojańskiego bądź innego szkodliwego
oprogramowania. Nawet jeśli pracownik ma świadomość bezpieczeństwa i nie wepnie go w
swój komputer to moŜe to zrobić inny powiadomiony pracownik. O ile komputer sam nie
zablokuje infekcji to w jeśli w systemie jest ustawiona opcja automatycznego uruchamiania to
juŜ od tego momentu zabezpieczenia systemu zostają naruszone bez przeglądania zawartości
przez ofiarę.
Zasada Quid Pro Quo – jest to łaciński zwrot oznaczający „coś za coś”. Napastnik wchodzi
w korelację z ofiarą. Dobrym przykładem obrazującym ataki z klasy QPQ jest atak metodą
socjotechniki zwrotnej opisany wyŜej. Ofiara otrzymuje od socjotechnika telefon kontaktowy
w razie wystąpienia problemu. Zgłasza się sama do niego realizując jego polecenia i kończy
rozmowę z czystym sumieniem.
Vishing i IVR10 – Vishing jest to odmiana phishingu11 stosowanego w telefonii. Napastnik
wyłudza poufne informacje za pomocą telefonu róŜnymi technikami i metodami
socjotechnicznymi. Np. za pomocą połączenia stworzonego skutecznego pretekstu i
10
IVR – ang. Interactive Voice Response.
Phishing – sposób wyłudzenia poufnych informacji drogą elektroniczną. Z reguły jest to fałszywa informacja e-mail
prosząca o połączenie się ze sfałszowaną stroną, która zachowuje się i wygląda jak oryginalna.
11
41
[email protected]
http://tturba.tk
sfałszowanego systemu IVR. IVR jest to automatyczny system interakcji z obsługiwanym
uŜytkownikiem stosowany w telekomunikacji. Osoba, która dzwoni na system IVR po
wysłuchaniu serii komunikatów ma za zadanie wybrać odpowiedni numer klawisza do
którego przypisana jest zakomunikowana funkcja. Np. wybór języku rozmowy, aktualizacja
usług, autentykacja, dostęp do wybranych informacji z bazy danych. Atak socjotechniczny na
system polega na podszyciu się pod system IVR by odtworzyć oryginalne nagranie firmowej
instytucji np. banku w celu wyłudzenia informacji. Klasa wymaga połączenia kilku metod i
technik socjotechnicznych, gdyŜ uŜytkownik najpierw musi zostać skłoniony do połączenia
się z systemem w konkretnym celu. Np. moŜe do niego zostać wysłana informacja na e-mail,
Ŝe powinien połączyć się telefonicznie do oddziału banku, gdyŜ wygasa jego lista haseł
jednorazowych do obsługi transakcji i winien on potwierdzić wysłanie do niego nowej listy.
W tej sposób socjotechnik nagrywając wybory klawiszy od ofiary otrzymuje kod PIN lub inne
hasła potrzebne do logowania do banku.
Dobry socjotechnik potrafi skorelować ze sobą wszystkie klasy, co jest bardzo trudnym
elementem do wykrycia, gdyŜ jedynym punktem odniesienia jest ludzki umysł i jego
podatność na podświadome kontrolowanie sposobu myślenia.
Podstawowym czynnikiem obronnym jest zasada ograniczonego zaufania. Jeśli nie jest
wymagane podawanie jakichkolwiek informacji to nie naleŜy tego robić. Jeśli natomiast
istnieje potrzeba ich podania to naleŜy zweryfikować cel do którego zostaną przekazane
informacje. KaŜdy pracownik winien mieć tę zasadę „zakodowaną” w swojej głowie.
By zrozumieć problem naleŜy odpowiedzieć sobie na trzy pytania do następującej sceny:
Obca niezatrudniona osoba wchodzi sobie bez problemów do siedziby firmy, siada do
komputera i zaczyna w nim przeszukiwać informacje.
Pytania:
- czy któryś z pracowników stałby się podejrzany wobec tego zdarzenia?
(Potencjalnie przecieŜ moŜe to być nowy pracownik, bądź jakikolwiek usługobiorca,
przykładowo serwisant komputerowy)
- czy któryś z pracowników postanowiłby to zdarzenie zgłosić?
(Czy pracownikowi na tyle zaleŜy na firmie i swoich danych, by mógł to zgłosić?)
- czy pracownik wiedziałby w jaki sposób zgłosić zdarzenie i komu?
(Czy istnieje odpowiednio napisany zestaw reguł i zachowań w takich sytuacjach?)
JeŜeli na któreś z pytań odpowiedź pada negatywna naleŜy zainwestować w przedsiębiorstwie
w odpowiednie szkolenia i seminaria dla pracowników.
Powszechnie stosowanym, skutecznym sposobem obrony przed atakami socjotechnicznymi
jest przeprowadzanie periodycznych szkoleń pracowników, zwłaszcza nowozatrudnionych w
przedsiębiorstwie. Pobudzenie ludzkiej świadomości na obowiązkowym szkoleniu na których
42
[email protected]
http://tturba.tk
przedstawiane są przykładowe podejścia ataku stanowią źródło przyszłej obrony w gotowym
umyśle pracowniczym. Dodatkową motywacją dla pracownika moŜe być takŜe powaŜniejsze
szkolenie, zakańczane egzaminem. Jeśli pracownik zda go pozytywnie – otrzyma certyfikat.
W przypadku duŜych przedsiębiorstw moŜe się to wiązać z podwyŜką, więc jeśli nawet nie
obchodzą pracownika losy firmy, to na pewno obchodzi go ilość banknotów we własnym
portfelu. Pracownik ma własną motywację (zarobek) i dyrektor ma takŜe swoją (pobudzenie
umysłu do zapamiętania skali problemu socjotechniki). Jest to podstawowa linia obrony przed
atakiem wyłudzającym informacje. Wspomniano, Ŝe pracownikowi moŜe nie zaleŜeć na
losach jego firmy. W końcu moŜe odbyć całe szkolenie, uzyskać certyfikat, osiągnąć swój cel
– wyŜszy zarobek, a dalej przekazać socjotechnikowi poufne informacje. Świadomie, lub nie.
Istnieje więc dodatkowa linia obrony, która obowiązuje kaŜdego z pracowników – prawnie
chroniona polityka bezpieczeństwa. Jest to dokument przedstawiany pracownikowi w formie
drukowanej, z którym musi się zapoznać. Treść dotyczy posługiwania się sprzętem
komputerowym i sieciowym w przedsiębiorstwie. Jakie zadania moŜna wykonywać, jakie
czynności są zabronione oraz czym to grozi. Pracownik jest zobowiązany takŜe złoŜyć podpis
na takim dokumencie oświadczając w ten sposób, Ŝe zna konsekwencje niewłaściwego
postępowania i na jakie sankcje prawne mógłby zostać naraŜony. W ten prosty sposób
wyklucza się niejawnych sabotaŜystów – pracowników w przedsiębiorstwie, którym los firmy
jest obojętny. [3]
W pełni zabezpieczone przedsiębiorstwo przed atakami socjotechnicznymi obrazuje poniŜszy
rysunek zbierający powyŜsze informacje:
Rys. 3.1.3.2. Algorytm skutecznej obrony w strukturze przedsiębiorczej
Źródło: Opracowanie własne
43
[email protected]
http://tturba.tk
3.2. Przedstawienie ataków i sposobów obrony po stronie
komputerowej
O ile atak na fizyczny dostęp do urządzeń jest moŜliwy do wykrycia to atak komputerowy
moŜe zostać tak skonstruowany, Ŝe nie będzie on zauwaŜalny. Ataki komputerowe są w
dzisiejszych czasach najpowszechniejszym zagroŜeniem, ale takŜe najniebezpieczniejszym.
JeŜeli system zawiedzie i przepuści niedozwoloną transmisję w sieć korporacyjną to zostaje
ona powaŜnie naraŜona na uszkodzenie danych na stacjach roboczych, a co gorsza – na
serwerach, a przecieŜ dana jest dzisiaj krytycznym czynnikiem zysku w dowolnej branŜy w
której narzędziem pośrednim jest komputer – czyli teoretycznie w kaŜdej. Sposobów na
wykradzenie informacji czy teŜ na naruszenie spójności systemu przybywa z dnia na dzień w
ilości postępu geometrycznego. Są to w przykładowo wirusy, konie trojańskie, a przede
wszystkim tzw. złośliwe oprogramowanie (malware i spyware), czyli robaki internetowe,
krąŜące samoczynnie po sieci, dołączające się do stron, do treści wiadomości e-mail itp.
Sposoby te mogą słuŜyć róŜnym celom: włamaniu, podszyciu się, zebraniu informacji,
uszkodzeniu systemu, replikacji i dalszej infekcji. Pozostałymi sposobami są przewaŜnie
niegroźne skanowania systemów, próby ataków wyszkolonego hakera oraz ataki typu DoS.
Jako specjalista do spraw bezpieczeństwa informatycznego, warto przyjrzeć się aktualnym
raportom stworzonym przez największe stowarzyszenia, firmy zajmujące się reakcją i
kreowaniem zespołów bezpieczeństwa. W Polsce największą z takich organizacji jest CERT
Polska12 będący zespołem działającym w ramach Naukowej Akademickiej Sieci
Komputerowej NASK.pl. Zespół CERT zajmuje się reagowaniem na zdarzenia naruszające
jakiekolwiek działania w stronę bezpieczeństwa komputerowego w Internecie. Co roku
organizacja na podstawie zgłoszonych informacji, przygotowuje i udostępnia statystki
dotyczące przypadków naruszenia bezpieczeństwa w zasobach polskiego Internetu.
Przedstawiony zostaje fragment raportu z 2008r.
12
CERT - Computer Emergency Response Team Polska – www.cert.pl
44
[email protected]
http://tturba.tk
Rys. 3.2.1. Prezentowane kategorie ataków odnotowanych do CERT Polska w 2008r
Źródło: http://www.cert.pl/PDF/Raport_CP_2008.pdf (24.05.2009r)
Rysunek 3.2.1 opisuje procentowy udział zanotowanych ataków z konkretnych kategorii na
polskie systemy. W poprzednim roku, tj. 2008 została znacząco uwydatniona przewaga
kategorii Oszustwa komputerowe, na które składa się głównie atak typu phishing i vishing (z
podgrupy ataków socjotechnicznych) – średnio co piąte zgłoszenie. Pozwala to zobrazować
jak łatwym celem ataku na system komputerowy jest jego uŜytkownik, podatny na inŜynierię
społeczną. Kategoria Obraźliwe i nielegalne treści podobnie jak w latach poprzednich
utrzymuje się na wysokim poziomie procentowego udziału zgłoszeń. Co czwarty przypadek
był zgłoszeniem o próbie rozsyłania niechcianej korespondencji – spamu. Niechciane systemy
reklamowe rozwijają się w niezwykłym tempie i filtry pocztowe nie są w stanie codziennie
wszystkich wychwycić. Kategoria Złośliwe oprogramowanie podobnie jak spamming,
utrzymuje swój poziom od kilku lat na podobnej wysokości powolnie zwiększając skalę
zasięgu. W duŜej mierze by doszło do infekcji złośliwym oprogramowanie wymagane jest
działanie człowieka, który wejdzie na daną stronę (drive by download) lub włączy
niesprawdzony program. Kategoria Gromadzenie informacji nazywana po prostu
skanowaniem uległa znacznemu spadkowi, gdyŜ dotychczas ataki rekonesansowe uwaŜane
były za najliczniejszą grupę ataków na jakie naraŜony jest system. Zmiana nastąpiła w
wyniku tego, Ŝe zabezpieczenia w sektorze obrony przed skanowaniem znacznie się
polepszyły, a z uwagi na fakt, Ŝe nikt nie jest w stanie kontrolować kaŜdego skanowania
przechodzącego przez sieć globalną, zostało ono uznane za naturalny szum Internetu. [5]
45
[email protected]
http://tturba.tk
Grupa i typ ataku
Obraźliwe i nielegalne treści
Spam
Dyskredytacja
Przemoc / pornografia dziecięca
Złośliwe oprogramowanie
Wirus
Robak sieciowy
Koń trojański
Oprogramowanie szpiegujące
Dialer
Gromadzenie informacji
Skanowanie
Podsłuch
InŜynieria społeczna
Próby włamań
Wykorzystanie znanych luk systemowych
Próby nieuprawnionego logowania
Wykorzystanie nieznanych luk systemowych
Włamania
Włamania na konto uprzywilejowane
Włamania na konto zwykłe
Włamanie do aplikacji
Atak na dostępność zasobów
DoS
DDoS
SabotaŜ komputerowy
Atak na bezpieczeństwo informacji
Nieuprawniony dostęp do informacji
Nieuprawniona zmiana informacji
Oszustwa komputerowe
Nieuprawnione wykorzystanie zasobów
Naruszenie praw autorskich
KradzieŜ toŜsamości, phishing
Inne
Inne
Liczba zanotowanych
ataków
SUMA
466
8
8
482
3
24
104
2
0
133
84
0
2
86
24
62
0
88
6
16
57
79
4
22
0
26
5
1
6
5
316
400
721
10
10
Rys. 3.2.2. Rozkład liczbowy zaprezentowanych typów incydentów w kategoriach
Źródło: Opracowanie własne na podstawie: http://www.cert.pl/PDF/Raport_CP_2008.pdf (24.05.2009r)
46
[email protected]
http://tturba.tk
WyŜej opisane są jedynie kategorie ogólne ataków, jednak są to tylko wytyczne ataków
egzekwowane w konkretnym celu. Nadrzędne cele ataku zostały opisane w rozdziale 1 i są to:
- Atak na poufność danej
- Naruszenie integralności danej
- Ograniczenie dostępności danej
I tak moŜna wykreować drzewo powiązań celów nadrzędnych do poszczególnych grup
ogólnych ataków jakimi są:
a) atak pasywny
b) atak aktywny, w którego w skład wchodzą:
• atak zbliŜeniowy
• atak wewnętrzny
• atak dystrybucyjny
Rys. 3.2.3. Powiązane klasy ataków z celami nadrzędnymi naruszenia bezpieczeństwa danej
Źródło: Opracowanie własne
Ataki opisane na rysunku 3.2.3 stanowią próbę ogólnego sklasyfikowania kategorii ataków.
Stąd istnieją powiązania jednego ataku nie tylko z jednym celem. Przykładowo naruszyć
integralność danej moŜna na wiele sposobów, za pomocą typowego włamania (atak aktywny),
lub za pomocą ataku wewnętrznego (przez pracownika firmy naruszającego politykę
bezpieczeństwa i jeszcze instalując złośliwe oprogramowanie replikujące się po wnętrzu sieci
korporacyjnej (atak dystrybucyjny). Wszystkie mogą doprowadzić do zmiany danej
przechodzącej przez sieć, lub komputer roboczy, gdzie atak miał miejsce. [8]
47
[email protected]
http://tturba.tk
3.2.1.
Atak pasywny
Atak pasywny – jak nazwa wskazuje, jest to atak nie powodujący uszkodzeń systemu.
Rodzaj rekonesansu, gdzie następuje próba wydobycia poŜądanych informacji, które mogą
posłuŜyć do wykonania ataku aktywnego, wewnętrznego, lub dystrybucyjnego. W czasie
wojennej bitwy, dowódca wysyła swoich zwiadowców w celu przeprowadzenia zbiórki
informacji o siłach wroga, ich słabych stronach. Tak samo jest w przypadku zdobywania
informacji o systemie komputerowym. RóŜnymi sposobami są wysyłani automatyczni
„zwiadowcy” zbierający dla napastnika informacje o dziurach w systemie, otwartych portach
itp. Skanowania przeprowadzane są w ogromnych ilościach w całej sieci globalnej i nikt nie
jest w stanie je kontrolować, czy teŜ zabronić. W większości przypadków ze względu, Ŝe są
wykonywane przez aplikacje diagnostyczne słuŜące administratorom sieci do wykrycia
własnych luk zanim zrobi to ktoś inny. 90% aplikacji skanujących jest całkowicie legalnych
(oczywiście, niekoniecznie darmowych) i powszechnie wykorzystywanych przez
uŜytkowników.
Do sposobów wywołania ataku pasywnego zalicza się:
- narzędzie ping, trace, finger
- skanowanie w poszukiwaniu otwartych portów
- przechwycenie pakietów za pomocą podsłuchu programowego
- wyłudzenie informacji za pomocą technik inŜynierii społecznej
- grzebanie w wyrzuconych biurowych odpadach
a) Ping i trace
Najprostszym przykładem jest narzędzie ping badające osiągalność połączenia źródła z celem.
Narzędzie w podstawowej wersji jest bardzo proste. Operując protokołem ICMP w warstwie
sieci (L3) modelu OSI , podając w syntaktyce komendy docelowy adres IP, otrzymuje się w
odpowiedzi średni czas potrzebny na wysłanie zapytania i otrzymanie odpowiedzi od celu.
Protokół ICMP jest wykorzystywany równieŜ w narzędziu trace, słuŜącym do szczegółowej
analizy trasy routingu jaką obiera pakiet. W transmisji od źródła do celu podawane są kolejne
adresy interfejsów routerów przez które on przechodzi. Narzędzie trace przyjmuje róŜne
nazwy w konkurentnych systemach operacyjnych. W Windowsie XP jest to tracert, w
Linuksie w zaleŜności od dystrybucji jest to komenda traceroute lub trace, a w systemie
Cisco IOS – komenda traceroute.
48
[email protected]
http://tturba.tk
Rys. 3.2.1.1. Przykład użycia narzędzia ping i tracert w systemie Windows XP
Źródło: Opracowanie własne
Rys. 3.2.1.2. Przykład użycia narzędzia ping i traceroute na routerze Cisco 7200
Źródło: Opracowanie własne
49
[email protected]
http://tturba.tk
Rys. 3.2.1.3. Przykład użycia narzędzia ping i traceroute w systemie Linux
Źródło: Opracowanie własne
Za pomocą polecenia ping i trace napastnik moŜe zebrać informacje o urządzeniach
składających się na sieć firmową. W praktyce takie skanowanie jest z reguły przeprowadzane
z Internetu, gdzie napastnik ma moŜliwość zakrycia swojej toŜsamości. Atakujący ma za cel
włamanie się. Mając wiedzę, Ŝe większość firm na świecie wykorzystuje w swojej sieci
protokół IPv4 – musi ona takŜe wykorzystywać usługę translacji adresów prywatnych na
publiczne. Adresami prywatnymi są oznaczane interfejsy wewnątrz sieci i te adresy nie są
routowalne w Internecie. Oznacza to tyle, Ŝe jest miliony takich samych adresów IP,
przewaŜnie zaczynających się prefiksem klasy C takim jak 192.168.*.*, którymi są
zaadresowane róŜne stacje robocze, interfejsy, terminale, lecz nikt poza wewnętrzną siecią ich
nie widzi. Odwrotnie jest z adresami publicznymi, które są przydzielane przez odpowiednie
organizacje. Firma z reguły moŜe dostać jeden globalny adres IP, który widzą wszyscy. Takie
rozwiązanie musiało zaistnieć, gdyŜ nikt nie przewidywał, Ŝe sieć Internet stanie się siecią o
zasięgu globalnym i tak szybko wyczerpie się całkowita pula adresów o długości 32bitów
poprzez ciągłe podłączanie do sieci nowych maszyn. Informatyk w przedsiębiorstwie musi
sobie radzić więc stawiając usługę NAT (PAT), gdzie setki komputerów z wnętrza sieci
widziane są na Internecie jako jeden globalny adres IP. Klasy i zasięgi adresów dla
konkretnych masek opisuje dokument RFC 1918.
Napastnik mając świadomość, Ŝe adresacja wewnętrzna w firmie to zapewne 192.168.*.*
wykonuje on polecenie ping na adres rozgłoszeniowy dla tej sieci. W tablicy ARP napastnika
pojawiają się odpowiedzi ICMP Echo Reply z adresami IP komputerów, których napastnik
nie musiał zgadywać, gdyŜ wysłał polecenie ICMP Echo Request na całą pulę adresową, a
komunikacja typu broadcast (rozgłoszenie) jest komunikacją do wszystkich komputerów z
danej podsieci.
50
[email protected]
http://tturba.tk
Rys. 3.2.1.4. Schemat skanowania sieci za pomocą polecenia ping
Źródło: Opracowanie własne
Haker w ten prosty sposób zyskuje wiedzę o ewentualnych komputerach, serwerach czy
interfejsach, które mogą posiadać potencjalne luki, które on moŜe wykorzystać by dostać się
do systemu.
Świadomą obroną przed tym zagroŜeniem jest blokowanie puli adresów z dokumentu RFC
3330. Przenigdy z Internetu do wnętrza sieci nie powinien trafić pakiet z adresem z puli
adresów prywatnych lub zarezerwowanych. Blokowanie moŜna przeprowadzić na kilka
sposobów.
- za pomocą listy kontroli dostępu (ACL13) w kierunku wchodzącym do interfejsu od
strony Internetu, wycinać adresy:
- 0.0.0.0
- 10.0.0.0/8
- 127.0.0.1/32
- 172.16.0.0/12
- 192.168.0.0/16
13
ACL – Access Control List – prymitywna forma ściany ogniowej.
51
[email protected]
http://tturba.tk
- za pomocą usługi SPI14 badać stan pakietu z wnętrza sieci, jeŜeli nie został on
zainicjowany wewnątrz (sesja TCP, pakiet ICMP), to naleŜy go zablokować.
- za pomocą mechanizmu ZFW15 - nie zezwalać na przychodzenie pakietów z
Internetu jeśli nie zostały one do tego uprawnione między strefą zaufaną, a niezaufaną.
b) Skanowanie portów
Po skutecznie przeprowadzonym rekonesansie pingiem moŜna przeprowadzić skanowanie
portów. Jest to podobny mechanizm, lecz dotyczy adresacji warstwy transportowej, a nie
sieciowej. Wszystkie aplikacje, usługi komputerowe działają na przypisanych portach na stałe
lub dynamicznie. JeŜeli na danym porcie pracuje jakaś aplikacja to uwaŜa się to za podatność
na atak. UwaŜa się wtedy, Ŝe port jest otwarty - podatny. Analogicznie jeŜeli przyjąć, Ŝe port
to furtka do domu i jest otwarta to niejako wysyła się zaproszenie dla włamywacza, który ma
mniej zabezpieczeń do sforsowania. Tak samo jest w przypadku furtek komputerowych.
Napastnik łącząc się na otwarty port moŜe wykonać z niego próbę logowania, lub odpalić na
nim tzw. exploit’a, czyli aplikacje wykorzystującą błędy oprogramowania. O ile próba
skanowania na maszynie brzegowej łączącej sieć wewnętrzną i globalną, z reguły kończy się
niepowodzeniem (zwraca się uwagę na zabezpieczanie tych maszyn) to po przeprowadzeniu
skutecznego rekonesansu za pomocą ping’a moŜliwe jest przeskanowanie odnalezionej
maszyny, która nie dość, Ŝe moŜe mieć otwarte porty to dodatkowo wewnątrz sieci ma
zaufaną relację z innymi urządzeniami. Haker włamując się do takiej maszyny ma wtedy
ułatwione zadanie podwójnie. Istnieje wiele narzędzi do skanowania portów. Najbardziej
znanym jest program Nmap posiadający wiele zróŜnicowanych funkcji. Wykorzystują go
zarówno administratorzy w audycie swojej sieci jak i anonimowi napastnicy z Internetu.
Dodatkowym atutem jest fakt, Ŝe program jest darmowy i wieloplatformowy. UŜywać
powinien go kaŜdy świadomy swojego niebezpieczeństwa w sieci uŜytkownik, lecz z uwagi,
Ŝe program jest dość skomplikowany w obsłudze to wykorzystywany w dobrym celu jest
tylko przed administratorów i informatyków. Poprzez dobry cel rozumie się przeprowadzenie
własnego audytu bezpieczeństwa w zgodzie z zasadą, Ŝe jeśli samemu się czegoś nie
sprawdzi, to nie ma się pewności czy jest to skuteczne rozwiązanie problemu, zwłaszcza w
przypadku bezpieczeństwa systemu informatycznego.
14
15
SPI – Stateful Packet Inspection – rodzaj starej ściany ogniowej, lecz nadal skutecznej.
ZFW – Zone-Based Firewall – rodzaj nowej technologicznie implementacji ściany ogniowej.
52
[email protected]
http://tturba.tk
Rys. 3.2.1.5. Zrzut ekranu z udanego skanowania przeprowadzonego przez narzędzie Nmap
Źródło: Opracowanie własne
Analizując rysunek 3.2.1.5 widać, Ŝe porty 37, 53, 80, 81, 82, 90 i 113 są portami otwartymi.
Działają na nich odpowiednie usługi takie jak TIME, DNS i HTTP, które stanowią
potencjalne miejsce luk w systemie. Dodatkowo narzędzie Nmap moŜe próbować rozpoznać
system operacyjny ofiary i adres fizyczny karty sieciowej której skanował przydzielony adres
IP.
53
[email protected]
http://tturba.tk
c) Skanowanie uŜytkownika
Do lat 90. XX wieku narzędzie finger było powszechnie w sieciach stosowane w celu
sprawdzenia kto jest w danym momencie zalogowany na skanowanej maszynie dając o nim
podstawowe informacje takie jak:
- nazwa uŜytkownika
- jego dane osobowe
- czas nieaktywności jego klawiatury (tzw. czas idle)
Finger jest to historyczny protokół komunikacyjny wycofany juŜ z uŜytku, ze względu, Ŝe
stanowił duŜą lukę bezpieczeństwie. Przez podawanie informacji o nazwie uŜytkownika
moŜna było na systemie przeprowadzać próby logowań za pomocą ataku siłowego lub
słownikowego. Narzędzie słuŜyło administratorom do podglądania systemu by zapewnić mu
spójne działanie przed niewłaściwymi, często nieświadomymi czynnościami pracowników.
Rys. 3.2.1.6. Przykład użycia narzędzia finger w systemie Linux
Źródło: http://pl.wikipedia.org/wiki/Finger (27.05.2009r)
Linijka „No plan.” informuje, Ŝe uŜytkownik nie posiada w swoim katalogu domowym
ukrytego pliku .plan, który zawiera plany do realizacji na najbliŜszy czas i czym uŜytkownik
się w danej chwili zajmuje. Plik w prawach dostępu ma odczyt dla wszystkich – więc równieŜ
jest to kolejna luka w bezpieczeństwie. Pomimo, Ŝe protokół został wycofany z uŜytku, to jest
zaimplementowany w kaŜdym systemie, gdzie niegdzie nawet świeŜo po instalacji pozostaje
nadal włączony. O ile w sieci nie stosuje się pułapki „honey-pot” na włamywaczy to naleŜy
niezwłocznie tę usługę wyłączyć. Obecnie finger został zastąpiony narzędziem who (whois),
które informuje jedynie o zalogowanych uŜytkownikach do systemu. Who moŜna uŜywać
tylko lokalnie i badać tylko system na którym jest zainstalowany, więc nie stanowi
potencjalnego wycieku informacji.
54
[email protected]
http://tturba.tk
d) Przechwytywanie pakietów – sniffer programowy
Zasada działania podsłuchu programowego jest taka sama jak wcześniej opisanego podsłuchu
sprzętowego. Liczy się umiejscowienie sniffera. Jednak podsłuch programowy moŜe być
realizowany w sposób legalny – przez administratora w celach czysto diagnostycznych, lub
nielegalny – przez włamywacza. Większość sieci LAN w dzisiejszych czasach jest oparte o
technologię Ethernet, czyli urządzenia są spięte kablem UTP/STP/FTP w topologię gwiazdy z
jednym centralnym punktem przełączania, lub w topologię rozgałęzionej gwiazdy, gdzie
kaŜdy centralny punkt posiada węzeł do innego centralnego punktu.
Rys. 3.2.1.7. Współczesne topologie sieci lokalnej Ethernet
Źródło: Opracowanie własne
Uzyskując dostęp do urządzenia centralnego, zwykle jest to hub lub przełącznik, osoba ma
kontrolę nad ruchem jaki przepływa między węzłami. O tyle jest to łatwo zrobić w przypadku
koncentratora, Ŝe ruch który otrzymuje na dany port, przesyła do wszystkich innych poza
portem źródłowym, więc podsłuchiwanie wymaga jedynie instalacji sniffera lub ustawienie
karty sieciowej w tryb rozwiązły (promiscuous ). W normalnym trybie pracy komputer
analizuje ruch sieciowy z kaŜdym otrzymanym pakietem. Bada czy ramka jest adresowana do
niego. Jeśli jest to deenkapsuluje jej zawartość. Natomiast jeśli adres fizyczny ramki jest inny
niŜ karty sieciowej to zostaje ona zignorowana przez interfejs. W trybie promisc karta
sieciowa przyjmuje kaŜdy ruch niezaleŜny od adresacji. Tryb ten powstał jak kaŜdy inny
sniffer, w celu badania wydajności sieci przez administratora za pomocą wczesnej zuboŜałej
wersji narzędzia typu SPAN16. Mając narzędzie typu Cisco Wireshark moŜna analizować
dowolny pakiet krąŜący po sieci lokalnej.
16
SPAN – SwitchPort Analyzer – tryb analizowania ruchu sieciowego.
55
[email protected]
http://tturba.tk
Rys. 3.2.1.8.
3.2.
Zrzut ekranu z programu Wireshark firmy Cisco
Źródło: http://www.topsofts.com/images/product/screenshot/4/48380.gif (27.05.2009r)
Rys. 3.2.1.9.. Schemat rozgłaszania pakietów przez koncentrator i przechwytywania
przechwytywania ruchu przez napastnika
Źródło: Opracowanie własne
56
[email protected]
http://tturba.tk
Ten rodzaj podsłuchu jako samego ataku nosi nazwę „Man-In-The-Middle”, czyli „osoba w
środku”. Technika MITM jest często stosowana przy atakach wewnętrznych i aktywnych.
Koncentrator z uwagi na swoje powaŜne wady konstrukcyjne wynikające z działania jedynie
w warstwie fizycznej, został powoli wyparty w komercyjnym stosowaniu w
przedsiębiorstwach przez przełączniki, niemniej nadal są w sprzedaŜy i sprawdzają się w
rozwiązaniach domowych. Jednak z uwagi na fakt, Ŝe przełącznik jest znacznie
bezpieczniejszy, a jest w podobnej cenie zaleca się kupić go kupić zamiast hub’a.
Znacznie trudniej jest przechwytywać pakiety, gdy jako punkt centralny w topologiach
gwiazd jest uŜywany przełącznik. Pracuje on w warstwie łącza danych i nie rozgłasza
kaŜdego pakietu, a jedynie wtedy gdy został tak zaadresowany. Switch otrzymując ramkę od
źródła uczy się jego adresu MAC i zapisuje go do swojej tablicy adresów CAM (ContentAddressable Memory) wraz z portem z którego ramka przybyła. W ten sposób po zbudowaniu
swojej topologii przełącznik bada wartość pola adresu docelowego w ramce Ethernet i
przełącza ją na odpowiedni port docelowy. Szczegółowy opis budowania tablicy CAM
zostanie przeprowadzony w sekcji ataków aktywnych. Sposób podsłuchiwania przełącznika
jest inny, dopóki nie dozna on uszkodzeń w wyniku ataku wewnętrznego. Normalnie kaŜdy
pakiet nie zostaje przechwytywany przez sniffer, a mogą zostać wychwytywane jedynie te,
które idą przez przełącznik do serwera i z serwera są badane. Innymi słowy, dopóki
przełącznikowi nic nie przerwie prawidłowej pracy to będzie on przesyłał tylko ramki od
źródła do celu i nigdzie indziej. Natomiast administrator z poziomu serwera moŜe uruchomić
narzędzie tcpdump lub linsniff i tylko z tamtego poziomu analizować pakiety. Napastnik
mając dostęp do serwera moŜe równieŜ przechwytywać pakiety, lecz opłaca się to stosować
tylko w przypadku transmisji otwartych, czyli nieszyfrowanych, takich jak Telnet, http,
ftp/tftp, smtp, gdyŜ czas rozkodowania zaszyfrowanych pakietów SSH/SSL byłby zbyt długi.
57
[email protected]
http://tturba.tk
Rys. 3.2.1.10. Schemat przełączania ramki w topologii Ethernet z zastosowaniem przełącznika
Źródło: Opracowanie własne
Rys. 3.2.1.11. Zrzut ekranu z programu tcpdump ustawionego do przechwytywania pakietów SMTP
Źródło: Opracowanie własne
Przełącznik według powyŜszych argumentów, sam w sobie stanowi więc obronę przed
podsłuchiwaniem, lecz Ŝeby była ona skuteczna przełącznik winien być zarządzany.
Dodatkowo administrator powinien wyłączyć usługi transmitujące pakiety w sposób
nieszyfrowany, takie jak: Telnet, FTP/TFTP, HTTP, SMTP i zastąpić je protokołami
58
[email protected]
http://tturba.tk
szyfrowanymi: SSH, SCP, HTTPS, ESMTP. Zdecydowanie utrudni to napastnikowi
odczytanie zawartości pakietów.
e) Podsłuch socjotechniczny
Oczywiście atakiem pasywnym są takŜe niektóre z technik inŜynierii społecznej, za pomocą
której zbierane są cząstkowe informacje słuŜące do zdobycia tej krytycznej, właściwej dla
napastnika. Wszystko w kwestii vishingu i metod stosowanych w socjotechnice zostało
opisane w rozdziale 3.1.3. JednakŜe dodatkowo administrator moŜe sam przeprowadzić tzw.
samodzielny test penetracyjny. Powinien podszyć się pod pracownika firmy i wykorzystać
metody socjotechniczne sprawdzając poziom kompetencji pracownika z którym rozmawia
przez telefon lub prowadzi konwersację za pomocą faksu i poczty elektronicznej. Ostatecznie
po przeprowadzonych testach nie powinien on zdradzać swojej toŜsamości. Taki samodzielny
legalny rekonesans uczy takŜe pracowników jak mają postępować w takich sytuacjach.
Jednak mogliby stać się wyczuleni na kolejne próby traktując je jako kolejne testy, a jak
wiadomo bezpieczeństwo IT to nieustanny monitoring i testowanie. Mogłoby to spowodować
potencjalny wyciek informacji znuŜonego pracownika, który na Ŝarty mógłby podać swoje
poufne dane w celu sprawdzenia co moŜe się stać. MoŜe on jednak nie wiedzieć, Ŝe podaje je
napastnikowi, zamiast człowiekowi ze swojej firmy.
Innym rodzajem ataku socjotechnicznego podsłuchującego jest tzw. atak „przez ramię”.
Potencjalny napastnik stoi za uŜytkownikiem logującym się do systemu patrząc mu w
klawiaturę jaką kombinację klawiszy naciska. Napastnik teŜ moŜe celowo zerknąć na
wyświetlone na monitorze dane konfiguracyjne, gdzie jest wypisane niezaszyfrowane hasło.
Rozwiązaniem jest oczywiście zaszyfrowanie hasła, które utrudni jego zapamiętanie, oraz
nauka szybkiego pisania na klawiaturze ☺.
Rys. 3.2.1.12. Zrzut ekranu z konfiguracji routera z zagrożeniem ataku „przez-ramię”
Źródło: Opracowanie własne
59
[email protected]
http://tturba.tk
f) Wydobywanie informacji ze śmietnika
Pomimo, Ŝe tytuł podpunktu wydaje się być śmieszny, problem wycieku informacji przez
błędną utylizację nośników jest powaŜny. Niewłaściwe niszczenie dokumentów, nośników
informacji moŜe być czynnikiem powodującym skuteczne odpalenie ataku w stronę sieci
korporacyjnej. Człowiek jest w stanie zrobić bardzo wiele by osiągnąć swój cel i nie zawaha
się ubrudzić śmieciami z kontenera jeśli tam znajdzie potrzebne mu dane. Terminem
„dumpster diving” jednak nie określa się tylko wydobywaniem informacji z kontenerów.
Poufne dane moŜna znaleźć na pracowniczych biurkach, tabliczkach, zostawionych notesach,
kartkach, niezamykanych szafkach. Podobnie jak w przypadku podsłuchu socjotechnicznego
administrator mógłby wykonać test penetracyjny w celu sprawdzenia jak poufne informacje
są przechowywane przez pracowników podając się np. za sprzątacza, lub przeglądając biurka
po godzinach pracy. Pracownicy bardzo często zostawiają zapisane kartki z hasłami do
systemów. Wynika to z faktu, Ŝe dobry administrator wymaga od swoich uŜytkowników
dobrych haseł złoŜonych ze znaków alfabetu, cyfr, znaków specjalnych i róŜnicowania
wielkości liter. Na domiar wszystkiego wymaga dodatkowo cyklicznych zmian haseł np. co
okres kwartalny. Początkowo kaŜdy pracownik moŜe mieć problem z zapamiętaniem swojego
hasła, więc w dobrej wierze moŜe je sobie gdzieś zapisać. Polityka bezpieczeństwa
przedstawiona pracownikowi, pod którą się on podpisuje powinna bardzo wyraźnie zabraniać
takich sposobów przechowywania haseł. Jeśli juŜ gdzieś musiałyby być składowane to w
miejscu trudno dostępnym i zabezpieczonym. Nie tylko dokument papierowy jest
zagroŜeniem. Powoli standardowym nośnikiem informacji staje się pendrive, jednak płyty CD
jeszcze przez pewien okres czasu na pewno będą istniały jako nośniki waŜnych informacji w
wielu przedsiębiorstwach. NaleŜy pamiętać o ich skutecznej utylizacji poprzez składowanie w
specjalnych pomieszczeniach do okresu aŜ ich poufność nie będzie miała znaczenia, lub
poprzez usuwanie za pomocą specjalnych niszczarek biurowych z wkładami do niszczenia
płyt CD. RównieŜ polityka bezpieczeństwa winna zawierać informacje o prawidłowej
utylizacji nośników.
60
[email protected]
http://tturba.tk
3.2.2. Atak aktywny i jego wariacje
JeŜeli celem nie jest jedynie zdobycie informacji poprzez naruszenie jej poufności poprzez
atak pasywny to jedynie inną moŜliwością jest naruszenie tej informacji poprzez atak
aktywny. Przez naruszenie rozumie się wpływ na jej integralność – czyli zmianę danych, lub
wpływ na jej dostępność – czyli jej istnienie w systemie i moŜliwość jej odczytania. O ile atak
pasywny w Ŝaden sposób nie musi szkodzić poza wyciekiem danych (oczywiście krytycznie
waŜnym) o tyle atak aktywny zawsze niesie za sobą konkretne, namacalne szkody. Sam atak
aktywny polega na włamaniu się do systemu, naruszeniu jego zabezpieczeń za pomocą
dostępu zdalnego, z poziomu zaufanej relacji, lub poprzez kontakt fizyczny. Atak aktywny
niesie za sobą powaŜne konsekwencje karne pomimo raczkowania w ustalaniu ustaw w
sektorze prawa komputerowego. W głównej mierze skazywani są jednak przestępcy
naruszający komputerowe praco autorskie, czyli piraci, nielegalni dystrybutorzy, uŜytkownicy
nielegalnego oprogramowania (głównie systemu operacyjnego). Jednak by zwycięŜyć w
takiej sprawie naleŜy mieć trzy efektywne argumenty oskarŜające jakimi są:
- motyw – odpowiadający na pytanie „dlaczego przestępca dokonał czynu
karalnego?”
Motyw zadaje pytanie o cel jaki przyświeca przestępcy komputerowemu. W
zaleŜności o tego jakim jest hakerem według klasyfikacji moŜe mieć róŜne cele
opisane w rozdziale 3.
- dowody rzeczowe – „czym przestępca posługiwał się podczas dokonania czynu
karalnego?”
Dowodem rzeczowym mogą być umiejętności przestępcy, bądź zebrany materiał
dowodowy (płyty CD, logi ze sprzętu). Jest to trudne z uwagi, Ŝe logi komputerowe
łatwo moŜna spreparować, jednak właściwe ich zabezpieczanie i tworzenie
rutynowych kopii bezpieczeństwa poświadczane przez inne osoby z sektora
bezpieczeństwa stanowią mocną podstawę oskarŜającą.
- sposobność – „w jakich okolicznościach przestępca mógł dokonać czynu
karalnego?”
Sposobność, powszechnie nazwana „alibi” oznacza czy przestępca mógł dokonać tego
czynu, czy nie był w tym czasie w innym miejscu co moŜe go wykluczyć z kręgu
podejrzanych. Podobnie jak dowody rzeczowe, sposobność przestępcy
komputerowemu jest dosyć trudno udowodnić, ze względu, Ŝe atak mógł zostać
wywołany z dowolnej lokalizacji, z dowolnego komputera.
Atak pasywny z reguły wygląda tak samo, zawiera te same algorytmy postępowania. W
przypadku ataku aktywnego występuje wiele jego postaci. Jest modyfikowalny, kaŜdy atak
moŜe wyglądać inaczej.
61
[email protected]
http://tturba.tk
Pomijając wariację, wyróŜnia się trzy podstawowe ataki aktywne nazwane po głównych
celach nadrzędnych zagroŜenia komputerowego wraz z podklasami ataków:
a) Ogólny aktywny atak na poufność danej
• Wewnętrzne i zbliŜeniowe ataki na poufność:
• MAC Spoofing
• DHCP Spoofing
• ARP Spoofing
• Wykorzystanie podatności protokołu DTP i VLAN Hopping
• Atak idle
b) Ogólny aktywny atak na integralność danej
• Dystrybucyjne i zbliŜeniowe ataki na integralność:
• Złośliwe oprogramowanie:
• Koń trojański
• Wirus
• Robak
• Metody ataku na logowanie lub deszyfrowanie danej
c) Ogólny aktywny atak na dostępność danej
• Wewnętrzne i zbliŜeniowe ataki na dostępność:
• Wykorzystanie podatności protokołu STP
• Wykorzystanie podatności protokołu VTP
• Wykorzystanie podatności protokołu NTP
• Wykorzystanie podatności protokołu SNMP
• Szkodliwe debugowanie i niekontrolowany sztorm rozgłoszeniowy
62
[email protected]
http://tturba.tk
Ad. a) Ogólny atak na poufność danej - najmniej szkodliwy atak aktywny. Charakteryzuje
się wykradzeniem informacji po naruszeniu zabezpieczeń systemu bez jego modyfikacji lub
uszkadzania.
Rys. 3.2.2.1. Schemat aktywnego ataku na poufność danej na przykładzie ataku na bank
Źródło: Opracowanie własne
Typowy schemat postępowania:
[1] – Napastnik przeprowadził skuteczny rekonesans na system komputerowy banku.
ZauwaŜył, Ŝe serwer stron internetowych posiada przestarzałe zabezpieczenia. Włamuje się
na serwer za pomocą swoich umiejętności i narzędzi jakimi dysponuje (exploity, programy).
[2] – ZauwaŜa, Ŝe serwer bazy danych z danymi kart kredytowych jest bardzo dobrze
zabezpieczony i nie uda mu się tak prosto włamać jak na serwer HTTP. Wykorzystuje on
więc zaufaną relację jaka istnieje wewnątrz systemu banku pomiędzy serwerem HTTP, a
serwerem bazy danych. Napastnik zbiera poufne informacje o kartach kredytowych, hasłach
dostępu i danych osobowych właścicieli kart.
[3] – Napastnik po zebraniu poufnych danych wykorzystuje numery kart kredytowych do
wykonania całkowicie legalnych zakupów, bądź przetransferowania pieniędzy na odległe
konto, stamtąd na jeszcze jedno i tak dalej w odległe zapętlenie uniemoŜliwiające szybkie
jego schwytanie. [8]
63
[email protected]
http://tturba.tk
IP Spoofing
Dostęp do systemu, przestępca moŜe uzyskać wykorzystując skierowany atak podszywania
się pod adres IP (IP Spoofing).
Rys. 3.2.2.2. Schemat ataku IP Spoofing
Źródło: Opracowanie własne
W transmisji wykorzystującej protokół połączeniowy – TCP w celu nawiązania połączenia
stosuje się tzw. sekwencje „potrójnego uścisku dłoni” (ang. three-way handshake). Polega ona
na zsynchronizowaniu się źródła z celem na odpowiednim porcie w zaleŜności od Ŝądanej
usługi. Składa się z tytułowych trzech kroków:
- wysłaniu ze źródła segmentu powitalnego (pakiet SYN), numer sekwencyjny wynosi
1.
- odpowiedzi celu w postaci segmentu potwierdzającego (pakiet SYN-ACK), numer
sekwencyjny wynosi np. 2 co oznacza, Ŝe cel otrzymał sekwencję numer 1 i oczekuje
na przesłanie sekwencji numer 2.
- wysłaniu przez źródło segmentu odpowiadającego i zatwierdzającego połączenie
(pakiet ACK), potwierdzenie wysłania sekwencji numer 2.
W praktyce zostają wysłane kolejne numery sekwencyjne, oczywiście liczba ta jest losowa,
tak samo jak port źródłowy. Jednak jeśli napastnik posiadałby wiedzę jaki numer
sekwencyjny potrzebuje CEL, jako potwierdzenie mógłby w odpowiednim czasie przesłać
64
[email protected]
http://tturba.tk
pakiet ACK szybciej niŜ rzeczywiste źródło i to z napastnikiem wtedy serwer nawiązałby
połączenie, gdyŜ w procesie enkapsulacji, w segmencie nie jest juŜ badany adres IP, a same
porty, więc komputer nie ma świadomości, Ŝe jest w transmisji z napastnikiem. Potwierdził
on losowy numer sekwencyjny oczekiwany przez serwer więc jest zaufaną relacją do czasu
wygaśnięcia transmisji. Istnieją dwa rodzaje ataku IP Spoofing:
- non-blind – komputer źródłowy, cel i napastnik są komputerami z jednej sieci i
napastnik wykorzystuje podsłuch (np. sniffer) w celu zdobycia informacji o numerze
sekwencyjnym – łatwy atak, lecz wymaga duŜej mocy obliczeniowej komputera, gdyŜ
nawiązanie połączenia w sieci lokalnej trwa relatywnie krócej niŜ w sieci Internet.
- blind – komputer źródłowy, cel lub napastnik znajdują się w róŜnych sieciach. Z
reguły komputer źródłowy i cel są w jednej, a napastnik w drugiej, stąd określenie
„ślepe trasowanie”. W celu zdobycia informacji o numerze sekwencyjnym
wykorzystuje on jeden z podstawowych ataków na integralność danej – tzw.
trasowanie pakietu (ang. IP source-routing).
Rys. 3.2.2.3. Schemat ataku IP source-route
Źródło: Opracowanie własne
Istnieją dwie wariacje:
- loose ip soure-route – napastnik określa listę interfejsów IP przez które
pakiet moŜe przejść, lecz moŜe obrać w ostateczności inną trasę by dojść do
napastnika.
- strict ip source-route – napastnik określa listę interfejsów IP przez które
pakiet musi przejść.
Jak widać ataki aktywne z reguły są mieszaniną powiązanych ze sobą technik w celu
osiągnięcia ostatecznego celu. W przypadku aktywnego ataku na poufność danej
65
[email protected]
http://tturba.tk
wykorzystuje się techniki spotykane przy ataku Man-In-The-Middle, co wynika z
umiejscowienia napastnika pomiędzy stacją źródłową, a docelową.
Formą obrony przed atakiem podszywania się pod adres IP i trasowania pakietu jest
włączenie na routerze trybu TCP Intercept, implementacja refleksyjnej listy kontroli dostępu
lub nowsza metoda – implementacja firewalla (SPI/ZFW). NaleŜy takŜe wyłączyć usługę IP
source-routing i IP redirects.
MAC Spoofing
Podszywanie się pod adres fizyczny karty sieciowej jest wewnętrznym atakiem aktywnym na
poufność danych. Zmiana adresu MAC na inny, prawdopodobnie dostępny w sieci jako inny
komputer moŜe spowodować, Ŝe komputer źródłowy będzie przesyłał pakiety do
niewłaściwego komputera. Zmiana adresu MAC, pomimo, Ŝe jest to adres fizyczny jest
bardzo prosta. [10]
W systemie Windows naleŜy uŜyć narzędzia SMAC. Natomiast w systemie Linux wystarczy
wydać polecenie:
z3@darkstAr#: ifconfig eth0 ether 00:01:02:03:04:ff
I w ten sposób adres fizyczny karty sieciowej z interfejsu eth0 został zmieniony na
heksadecymalną wartość 00:01:02:03:04:ff.
Rys. 3.2.2.4. Przedstawienie zapełniania tablicy CAM na przełączniku w normalnej pracy i przy podszywaniu się
Źródło: Opracowanie własne
66
[email protected]
http://tturba.tk
Ataki polegające na podszywaniu się do adres MAC są stosunkowo takŜe proste do wykrycia.
W celu zabezpieczenia sieci lokalnej przed podszyciem naleŜy włączyć usługę port-security
na przełączniku, przypisać statycznie adresy MAC do portów i ustawić odpowiednią reakcję
(wyłącz port, ogranicz dostęp i powiadom, ogranicz dostęp) na zaistnienie innego adresu
MAC na porcie na którym został przypisany statycznie przez administratora.
DHCP Spoofing
Kolejny z ataków typu MITM polega podszyciu się w lokalnej sieci za serwer DHCP, od
którego stacja robocza dostaje konfigurację sieciową. W ten sposób napastnik moŜe
przejmować cały ruch z komputera na który wysłał ustawienia DHCP np. ustawiając bramkę
domyślną na swój komputer. Atak DHCP Spoofing jest wewnętrznym atakiem aktywnym na
poufność informacji.
Rys. 3.2.2.5. Schemat ataku DHCP Spoofing
Źródło: Opracowanie własne.
Komputer po włączeniu zasilania i załadowaniu systemu operacyjnego jeśli jest podpięty do
sieci zaczyna rozgłaszać broadcastowe pakiety DHCP DISCOVER w cel odnalezienia
serwera DHCP od którego mógłby pobrać automatyczną konfigurację bez potrzeby jej
statycznego wpisywania [1]. JeŜeli napastnik usłyszy pakiet DHCP DISCOVER to jeśli
będzie szybszy w transmisji niŜ prawdziwy serwer DHCP i spreparuje pakiet DHCP OFFER z
przedstawieniem swojej oferty konfiguracji protokołu IP to komputer oczekujący ją po prostu
przyjmie [2]. Potwierdzi to pakietem DHCP REQUEST [3] i napastnik w celu zakończenia
procesu konfiguracji wyśle swoje potwierdzenie zajęcia danego adresu IP przez komputer o
67
[email protected]
http://tturba.tk
odpowiednim adresie fizycznym [4].W ten sposób jeśli napastnik ustawił w przekazywanej
konfiguracji jako bramkę domyślną lub serwer DNS swój adres IP, lub adres IP komputera do
którego ma bezpośredni dostęp to przez nie będzie przechodził cały ruch sieciowy z
komputera źródłowego. W szczególności podmiany bramki domyślnej, bo zmiana DNS’a
wpłynie jedynie kopiowanie pakietów z protokołów wykorzystujących rozwiązywanie nazw.
Rozwiązaniem tego problemu jest implementacja usługi DHCP Snooping, w której wyróŜnia
się dwa rodzaje portów konfigurowanych przez administratora:
- port zaufany – port przełącznika, który moŜe otrzymywać odpowiedzi serwera
DHCP.
- port niezaufany – port przełącznika, jeśli otrzyma pakiet z serwera DHCP to
przejdzie w stan nieuŜywalny, err-disabled.
Jednak jeŜeli napastnikiem jest osoba z wewnątrz firmy to moŜe ona wykorzystać zaufany
port w celu postawienia na nim swojego serwera DHCP. MoŜna zapobiec otrzymaniu
konfiguracji przez taki serwer ograniczając liczbę pakietów DHCP przyjmowanych na
sekundę, np. do wartości 3. JeŜeli wartość ta zostanie przekroczona zostanie wygenerowana
informacja Syslog na przełączniku i port będzie posiadał status ograniczonego dostępu.
ARP Spoofing
W sieci Ethernet istnieje mechanizm wykrywania konfliktów konfiguracji IP/MAC
komputerów. Konfliktem w tym wypadku jest duplikacja adresów IP w podsieci, co moŜe
prowadzić do złego trasowania pakietów. Większość systemów operacyjnych podczas
uruchamiania generuje pakiet GARP (Gratuitous ARP) w celu odnalezienia komputera o
takiej samej konfiguracji adresowej i wyświetleniu odpowiedniego komunikatu. Dzieje się to
w sposób, Ŝe pakiet GARP Probe jest rozgłaszany na całą podsieć zawierając w nagłówku
własny adres IP. Jeśli nie wróci do niego pakiet ARP Reply z odpowiedzią tzn. Ŝe komputer
posiada skonfigurowany adres IP, który nie jest aktualnie w podsieci uŜywany przez inny
komputer. Powinny wrócić tylko odpowiedzi z adresami MAC i IP innych komputerów.
Mechanizm GARP z załoŜenia – jak wiele stworzonych mechanizmów – miał pomagać,
jednak w ostateczności tworzy podatność dla napastnika, który w łatwy sposób moŜe
przechwytywać pakiety. W czasie rozsyłania przez stacje pakietów ARP Probe, napastnik
moŜe sfałszować pakiety ARP Reply i posłać je do komputerów, w których tablice ARP
Cache zmienią wpisy powiązań IP-MAC. Zmyślnie ustawiając powiązanie na swój komputer,
transmisja z innych hostów będzie przebiegać przez jego własny.
68
[email protected]
http://tturba.tk
Rys. 3.2.2.6. Schemat wstrzykiwania pakietów ARP Reply i konsekwencje przekłamań w tablicach ARP komputerów
Źródło: Opracowanie własne
Napastnik wie, Ŝe komputery w sieci lokalnej ciągle wysyłają zapytania ARP. Preparując
odpowiedzi ARP Reply, mając wiedzę o hostach przesyła on informacje do hosta A o
odnalezieniu w podsieci hosta B z jego adresem IP lecz z adresem MAC napastnika.
Przełączniki działają w warstwie drugiej, więc trasowanie polega na przesyłaniu pakietów na
odpowiedni adres fizyczny, a nie jak w przypadku routingu – na logiczny. Stąd cały ruch z
hosta A do hosta B będzie przechodził przez napastnika. Analogicznie jest w przypadku
wysłania odpowiedzi ARP do hosta B z adresem IP hosta A, lecz z adresem MAC napastnika.
[11]
Sposobem obrony jest wyłączenie usługi Gratuitous ARP na przełączniku, routerze i stacjach
roboczych. Jednak takie rozwiązanie moŜe spowodować konflikt w działaniu sieci lokalnej,
gdyŜ nie wiadomo, czy któraś stacja robocza nie ma statycznie skonfigurowanego adresu IP,
pomimo zabezpieczenia przed duplikacją dzieląc adresy IP przez serwer DHCP. Dodatkowo
naleŜy wykorzystać mechanizm DAI (ang. Dynamic ARP Inspection) działający jedynie przy
współpracy z mechanizmem DHCP Snooping, który równieŜ dzieli porty przełącznika na dwa
typy:
69
[email protected]
http://tturba.tk
- port zaufany – zezwalaj na odpowiedzi ARP Reply
- port niezaufany – porównaj zawartość odpowiedzi ARP Reply z tabelą powiązań
DHCP. JeŜeli powiązanie IP-MAC jest identyczne – zezwalaj na ruch. JeŜeli nie jest –
wyłącz port.
Porównanie zawartości odpowiedzi pakietu ARP Reply moŜna wykonywać na trzy sposoby:
porównując źródłowy adres fizyczny, docelowy lub porównanie adresów IP – najmniej
skuteczne. Z załoŜenia by wykluczyć atak ARP Spoofing całkowicie naleŜy ustawić porty
stacji roboczych jako niezaufane, natomiast porty łączące przełączniki jako zaufane.
Dodatkowo na waŜnych stacjach moŜna wprowadzić statyczne wpisy ARP, które nie są
dynamicznie usuwane z tablicy. [2]
Wykorzystanie podatności protokołu DTP i VLAN Hopping
Protokół DTP (ang. Dynamic Trunking Protocol) jest to firmowy protokół firmy Cisco
Systems zbudowany w celu zapewnienia automatycznej negocjacji typu portu trunkowego17
pomiędzy dwoma przełącznikami i rodzaju enkapsulacji wykorzystanej w oznaczaniu ramek
konkretnym VLAN’em. Po spięciu ze sobą dwóch przełączników kablem krosowanym
następuje automatyczna negocjacja trybu portu na trunk, gdzie od tego momentu moŜe
zaistnieć komunikacja między tymi dwoma urządzeniami.
Istnieją trzy stany portów przełącznika:
- dynamic – jeŜeli jest moŜliwe nawiązanie połączenia trunkowego (auto, on,
desirable) to port przełącznika automatycznie z pomocą protokołu DTP stanie się
portem trunkowym.
- access – port przełącznika na stałe jest przypisane jako port dostępowy w VLAN’ie
dla stacji roboczej.
- trunk – port przełącznika na stałe jest przypisany jako port trunkowy pomiędzy
przełącznikami.
Istnieje kilka ustalanych trybów portów protokołu DTP:
- auto – port nie stanie się portem trunkowym jeśli po drugiej stronie urządzenie nie
jest ustawione w tryb desirable. Jest to tryb standardowy kaŜdego portu przełącznika.
- on – powoduje, Ŝe port na stałe staje się portem trunkowym, nawet jeśli urządzenie
po drugiej stronie się na to nie zgadza.
- off – powoduje, Ŝe port na stałe staje się portem dostępowym, nawet jeśli urządzenie
po drugiej stronie się na to nie zgadza.
17
Trunk – główny szlak komunikacyjny wymiany pakietów pomiędzy przełącznikami.
70
[email protected]
http://tturba.tk
- desirable – port aktywnie próbuje stać się portem trunkowym dla portów typu auto,
on i desirable po drugiej stronie.
- nonegotiate – powoduje, Ŝe przełącznik przestaje rozsyłać ramki DTP w celu
nawiązania połączenia trunkowego.
Protokół DTP odciąŜa administratora przy instalacji przełączników do manualnego
formowania połączeń trunkowych między nimi, lecz stanowi takŜe sporą podatność na
zbliŜeniowy atak wewnętrzny. Standardowy typ portu po włączeniu nieskonfigurowanego
przełącznika to: dynamic auto, więc napastnik mając fizyczny dostęp do przełącznika moŜe
podpiąć się kablem krosowanym z własnym przełącznikiem co spowoduje nawiązanie
połączenia trunkowego między przełącznikami i to, Ŝe ramki przechodzące przez pierwszy
przełącznik trafią teŜ na ten drugi przy transmisji pomiędzy VLAN’ami.
Ramki pomiędzy VLAN’ami mogą być enkapsułowane dwoma standardami:
- ISL – jest to enkapsulacja całej ramki według Cisco, obecnie standard jest wymarły.
- IEEE 802.1Q (w skrócie: dot1q) – jest to otwarty standard i enkapsuluje tylko
nagłówek ramki, zmniejszając w ten sposób narzut na sieć lokalną.
JednakŜe standard dot1q otwiera pewną metodę ataku. W standardzie dot1q istnieje pojęcie
tzw. VLAN’u natywnego, jest to VLAN zarządzany przełącznika, na którym nie powinno być
Ŝadnych portów, a jedynie fizyczny interfejs VLAN1 słuŜący do zdalnego połączenia się z
przełącznikiem. 802.1q w celu zmniejszenia narzutu nie dodaje informacji VLAN’owej do
ramki jeŜeli jest to VLAN natywny, więc jeŜeli napastnik wyśle na przełącznik ramkę
oznaczoną VLAN’em natywnym to przełącznik usunie z nagłówka tę informację. W tym
momencie nic to nie daje napastnikowi, lecz moŜe on spreparować ramkę podwójnym
oznaczeniem VLAN’u. Ma do czynienia wtedy z atakiem VLAN Hopping.
Rys. 3.2.2.7. Schemat ataku VLAN Hopping
Źródło: Opracowanie własne
Pomimo, Ŝe z załoŜenia dostęp do VLAN20 jest zamknięty z komputerów z innego VLAN’u
to napastnik podwójnie oznaczając ramkę jest w stanie przedostać się przez przełączniki,
gdzie ramka prawidłowo zostanie przesłana do komputerów z VLAN20. Ramki tak przesłane
71
[email protected]
http://tturba.tk
mogą transportować inne ataki takie jak robaki, konie trojańskie czy moŜe podatności wyŜej
opisane. Podstawową linią obrony jest właściwe przypisanie portów. Dla portów przełącznika
łączącymi stacje robocze ma to być tryb access, natomiast dla trunków – ma to być na
sztywno trunk. Dodatkowo moŜna zmienić wartość natywnego VLAN’u ze standardowej
liczby 1 na inną. Napastnik nie mający dostępu do sieci musiałby go najpierw odgadnąć by
wykorzystać atak VLAN Hopping. Zabezpieczenie przed wpinaniem portów zostanie szerzej
opisane w podrozdziale dotyczącym ataków na protokół STP, gdyŜ tam odgrywa to większe
znaczenie.
Atak idle
Ostatnim atakiem aktywnym na poufność danej jest atak zbliŜeniowy polegający na
pozostawieniu stacji roboczej pracownika bez nadzoru fizycznego. Pracownik moŜe być
właśnie zalogowany w jakieś waŜne miejsce i nagle otrzymał telefon (być moŜe od
socjotechnika), Ŝe musiał zmienić on swoją lokalizację w krótkim czasie, więc pozostawił
swój komputer włączony. JeŜeli nie miał zdefiniowanego licznika mierzącego czas
nieaktywności klawiatury lub myszki to jest naraŜony na włamanie fizyczne. W celu obrony
naleŜy zdefiniować na przełącznikach i routerach liczniki exec-timeout na odpowiednią
wartość, a na stacji roboczej w najłatwiejszy sposób ustawić automatyczne włączanie
wygaszacza ekranu, który na powrót prosi o podanie hasła.
Ad. b) Ogólny atak na integralność danej – polega na podmianie danych, naruszeniu ich
struktury i jej zamianie. Jest to najczęściej spotykany atak komputerowy. Stosowany np. przy
hakowaniu stron internetowych, gdzie haker po udanym włamaniu pod firmową domeną
zostawia swoje przesłanie, podpis, logotypy itp.
Rys. 3.2.2.8. Schemat ogólnego ataku na integralność danej
Źródło: Opracowanie własne
72
[email protected]
http://tturba.tk
Na rysunku 3.2.2.8 przedstawiono sposób ataku napastnika, w którym przechwytuje on
transmisję pakietów zawierające dane do transakcji bankowej. Klient banku nie zauwaŜył, Ŝe
numer konta do przelewu został zmieniony na konto napastnika, gdyŜ z reguły w ostatnim
kroku potwierdzenia sprawdza się jedynie czy właściwa kwota została wpisana. Klient banku
zatwierdza transakcję i wszystko przebiegło po myśli napastnika. Na domiar złego jeŜeli
klient po czasie zorientuje się, Ŝe się pomylił to nie moŜe mieć do banku Ŝadnych roszczeń
gdyŜ widział przed sobą dane do przelewu i sam je potwierdził. Inną sprawą oczywiście jest
bezpieczny transfer, który bank gwarantuje, o to juŜ klient moŜe wystąpić w roszczeniach
swoich praw do zwrotu. Ogólny atak na integralność danej posiada swoje trzy wariacje.
- atak salami – polega na wykonaniu ogólnego ataku na integralność danej jednak
powodując bardzo małe szkody, przykładowo powyŜszy przelew mógłby być realizowany z
kwotą 0,01zł lecz zastosowany na ogromnej ilości klientów. Łatwo nie zauwaŜyć takiego
ataku, a odpalany moŜe być za pomocą hakera, bądź robaków, wirusów i koni trojańskich.
- atak Ŝonglerski – jest wariacją ataku ogólnego z tą róŜnicą, Ŝe ofiara nie widzi
wprowadzonych zmian na monitorze. W sensie, widzi na monitorze dane które sam podał, a
w rzeczywistości w transmisji pakietów następuje naruszenie ich integralności i dopiero w
efekcie końcowym moŜna odnaleźć nieprawidłowości. RównieŜ nie jest łatwo zauwaŜalny i
moŜe zostać tak samo odpalony jak atak salami.
- atak z zaufaną relacją – jest to atak podobny do ogólnego ataku aktywnego na
poufność danych gdzie wykorzystywana jest zaufana relacja pomiędzy maszynami, lecz tam
jedynie wydobywało się informacje, a tutaj następuje takŜe ich zmiana.
Skuteczną obroną przeciwko powyŜszym atakom na integralność danej są rozwiązania
mieszane takie jak szyfrowane tunele VPN w Internecie, zaawansowane technologicznie
ściany ogniowe i systemy IPS wczesnego wykrywania zagroŜeń.
Złośliwe oprogramowanie
W zasadzie poza wyŜej wymienionymi typami ataków na integralność to w tej grupie
dominują próby zdobywania hasła do systemu za pomocą:
- sniffera programowego (przykładowo Wireshark) – opisano w rozdziale 3.2.1d.
- konia trojańskiego
- wirusa
- robaka
- ataku siłowego i słownikowego
Wszystkie wymienione sposoby powyŜej są inteligentnymi fragmentami kodu, niewielkimi
programami napisanymi w celu szkodliwego oddziaływania na system lub wiele systemów.
Złośliwe oprogramowanie w dzisiejszym świecie jest bardzo szeroko sklasyfikowane na wiele
podgrup. Najpowszechniejszymi są: koń trojański, wirus i robak, jednak jest ich znacznie
73
[email protected]
http://tturba.tk
więcej. Klasyfikacja reszty polega stricte na działaniu bądź treści z jaką program konsoliduje.
Wszystkie jednak noszą wspólną nazwę: malware.
Rys. 3.2.2.9. Drzewo klasyfikacji złośliwego oprogramowania
Źródło: http://pl.wikipedia.org/wiki/Złośliwe_oprogramowanie (30.05.2009r)
Zostaną opisane tylko najpowszechniejsze rodzaje oprogramowania złośliwego, ze względu
na fakt, Ŝe są to takŜe główne zagroŜenia malware jakie moŜna spotkać w firmie.
Koń trojański
Jest to niewielki program podszywający się pod przydatną aplikację dla uŜytkownika, która
dodatkowo zawiera w swoim kodzie inną specjalnie ukrytą funkcjonalność mającą na celu
wpłynięcie szkodliwie na system (poprzez wydobycie informacji, kontrolę nad systemem lub
jego sparaliŜowanie). Nazwa pochodzi oczywiście z mitologii, gdyŜ ideologia tego
oprogramowania odpowiada załoŜeniom oszustwa spod bram Troi.
Do głównych celów konia trojańskiego naleŜą:
- atak dystrybucyjny – pozostawienie w systemie furtki dla napastnika w celu
kontrolowanego rozsyłania konia trojańskiego do dalszych systemów lub odpalenie
innego dowolnego ataku aktywnego
- utrudnianie pracy programów antywirusowych
- kontrola nad systemem – zmienianie stron startowych przeglądarki, zmiana tapety
pulpitu, niekontrolowane wysunięcia się tacek napędów optycznych czy po prostu
zawieszenia się systemu, wyłączenia monitora.
74
[email protected]
http://tturba.tk
Rys. 3.2.2.10. Zrzuty ekranów głównych najbardziej znanych koni trojańskich – NetBus oraz Back Oriffice
Źródło: http://www.columbia.edu/acis/rhno/security/moredetails.html (30.05.2009r)
Koń trojański z uwagi na swoją architekturę klienta (zainfekowanej maszyny) i serwera
(maszyny napastnika) często jest teŜ podsłuchem programowym. Nie posiada on wtedy
Ŝadnej innej funkcji poza podsłuchiwaniem klawiatury i innych czynności jakie przeprowadza
uŜytkownik na swoim komputerze (przeglądanie stron WWW itp.).
Głównym sposobem obrony przed końmi trojańskimi jest trwała profilaktyka polegająca na
ostroŜnym przestrzeganiu zasad polityki bezpieczeństwa, w której powinno być jasno
napisane, Ŝe naleŜy zwrócić szczególną uwagę na otwieranie nieznanych załączników do
wiadomości e-mail. Do roli administratora naleŜy natomiast uŜywanie ściany ogniowej i
zapewnienie stacjom roboczym aktualnego oprogramowania chroniącego z automatycznymi
aktualizacjami definicji koni trojańskich.
Wirus
Jest takŜe prostym programem komputerowym, który zupełnie jak wirus biologiczny powiela
się w sposób niekontrolowany, lecz wymaga nosiciela – w tym wypadku innego programu
komputerowego, pliku. Najczęściej ofiarami wirusów padają niedoświadczeni uŜytkownicy
systemów operacyjnych surfujący po Internecie i ściągający róŜne pliki bez ich weryfikacji
lub nawet zainstalowanego systemie pakietu antywirusowego. Rodzajów wirusów jest bardzo
wiele. Ogólnie wirus róŜni się tym od konia trojańskiego, Ŝe nie jest aplikacją typu klientserwer i napastnik nie ma wpływu w jaki sposób jego program się namnoŜy i gdzie się
namnoŜy poza pierwszym nosicielem. ZagroŜenie wirusami jest powszechnie znane i nie
wymaga większego komentarza, poza faktem, Ŝe naleŜy się przed nimi zabezpieczać
instalując na stacjach roboczych dobre, aktualne programy antywirusowe, gdyŜ stacje robocze
z reguły mają zainstalowany system Windows, a to on w szczególności jest podatny na wirusy
(dystrybucje linuksowe z uwagi na architekturę nie są w ogóle podatne na zagroŜenie
wirusem).
75
[email protected]
http://tturba.tk
Robak
Robak komputerowy jest obecnie najpowszechniejszym zagroŜeniem z grupy złośliwego
oprogramowania. Najszybciej się rozprzestrzenia z tego względu, Ŝe jego samo replikacja na
inne maszyny nie wymaga interakcji człowieka. Zadania robaka są przede wszystkim złoŜone.
W celu replikacji musi on pozyskać dane o innych maszynach (za pomocą ksiąŜek
adresowych, samopingowania sieci, bądź replikacji rozgłoszeniowej), musi zebrać informacje
poufne z systemu i szkodliwie na niego oddziaływać. Robak dodatkowo moŜe pełnić dowolną
funkcję innego złośliwego oprogramowania – wirusa, konia trojańskiego, aplikacji spyware
czy dialera połączeniowego.
Rys. 3.2.2.11. Fazy ataku robaka komputerowego
Źródło: Opracowanie własne
Fazy ataku robaka komputerowego:
- skanowanie – robak opuszczając maszynę napastnika przeprowadza rekonesans
ogólny w poszukiwaniu podatnych systemów na mechanizmy jego ataku
- próba włamania – po pomyślnym skanowaniu robak próbuje dostać się do systemu,
w zaleŜności od tego w jaki sposób został napisany moŜe atakować z poziomu
przeglądarki stron internetowych, z załączników e-mail lub innych źródeł.
- zapewnienie przetrwania – jeŜeli włamanie przebiegło pomyślnie to robak musi
zapewnić sobie przetrwanie w systemie na wypadek ponownego uruchomienia
komputera, w tym wypadku kopiuje się na dysk. Z reguły w postaci pliku
systemowego o nazwie niebudzącej zastrzeŜeń.
- samo replikacja – po zapewnieniu sobie stałego miejsca do ataku, robak
przeprowadza samo replikację na systemy lokalne ofiary do której się włamał,
przeprowadzając ponownie skanowanie maszyn.
76
[email protected]
http://tturba.tk
- szkodliwe działanie – jeŜeli robak odnalazł inne podatne systemy to wykonuje
zamierzone szkodliwe działanie na systemie wedle celów jego autora. Czasami robak
moŜe oddziaływać na system takŜe gdy wystąpiło niepowodzenie w stosunku do samo
replikacji, jednakŜe w dobie komputerów kaŜdy w jakiś sposób ma kontakt z innym
komputerem, co zapewnia robakowi przetrwanie.
Bardzo trudno jest się bronić przeciwko oprogramowaniu złośliwemu jeŜeli uŜytkownik
systemu nie jest świadomy zagroŜenia. W przedsiębiorstwie najlepszym wtedy rozwiązaniem
jest implementacja narzędzi NIPS i HIPS słuŜących do wczesnego wykrywania i
oddziaływania na intruzów. [2]
Atak siłowy i słownikowy
Atak siłowy (ang. brute force) jest najprymitywniejszą formą ataku komputerowego. Stąd
jego nazwa, Ŝe nie wymaga Ŝadnych specjalnych technik do włamania, a jedynie siłowo,
łopatologicznie wypróbowywane są kolejne ciągi znaków celu odgadnięcia prawidłowego
hasła uzyskując ten sam ciąg. Atak słownikowy jest bardzo podobny do siłowego, lecz nie
wykonuje on prób wszystkich znaków, a podawane są znane ciągi znaków stosowane w
mowie i piśmie. Stąd nazwa ataku słownikowego, Ŝe z reguły pliki z ciągami znaków są
słownikami wyrazów wzmocnionymi o typowe kombinacje i modyfikacje zwrotów. Np. w
dobrym pliku słownikowym moŜna odnaleźć wyraz „kot” i jego społeczne wariacje: „Kot”,
„KOt”, „KOT”, „kOt”, „kOT” oraz „k0t”, „K0t” i „k07”, „K07”. Na domiar złego nie
potrzeba samemu konstruować tak skomplikowanego słownika złoŜonego z ogromnej liczby
ciągu znaków, gdyŜ są takie dostępne w sieci.
Jednak te najstarsze ataki nie są dość skuteczne jeŜeli chodzi o próby logowań do systemu,
gdyŜ wystarczy ograniczyć tę próbę do odpowiedniej liczby w odpowiednim czasie i w ten
sposób konstruując trudne hasło napastnik musiałby spędzić kilka tysięcy lat na odgadnięciu
właściwego ciągu nawet gdy atak słownikowy jest o wiele szybszy od siłowego.
Atak siłowy i słownikowy jednak zyskuje na znaczeniu gdy napastnik uzyskał dostęp do
poufnego, zaszyfrowanego pliku. Wtedy mając odpowiednią maszynę o duŜej mocy
obliczeniowej jest w stanie rozszyfrować zawartość pliku, więc naleŜy się skupić na
prawidłowym zabezpieczaniu dostępu do plików, co w sektorze bezpieczeństwa
komputerowego jest sprawą oczywistą.
77
[email protected]
http://tturba.tk
Rys. 3.2.2.12. Zrzut ekranu z wydobytymi hasłami za pomocą narzędzia Cain
Źródło: Program Cain: http://oxid.it/ (30.05.2009r)
Istnieje wiele narzędzi wykorzystujących atak siłowy i słownikowy. Jednym z potęŜniejszych
jest kombajn łamiący o nazwie Cain, słuŜący jako narzędzie rozszyfrowujące, podsłuch i
dekoder. Program jest darmowy i kaŜdy po minucie jest w stanie nauczyć się z niego
korzystać.
WaŜne jest by uwzględnić w polityce bezpieczeństwa, Ŝe pracownicy nie mogą ze swojego
komputera transferować Ŝadnych plików systemowych, gdyŜ kaŜdy moŜe zawierać
informacje o podatności na ten system. Pliki mogą zostać wydobyte takŜe w sposób
socjotechniczny, więc naleŜy zwrócić na ten fakt pracownikowi uwagę.
78
[email protected]
http://tturba.tk
Ad. c) Ogólny aktywny atak na dostępność danej – charakteryzuje się tym, Ŝe atak jest
swoistą próbą jednej lub wielu stacji mających na celu ograniczyć uŜywalność atakowanego
systemu. Jest to najniebezpieczniejszy atak, powodujący znaczne uszkodzenia w sieci
produkcyjnej z powodu, Ŝe przerywa jej działanie. Dodatkowo do niedawna ataki na
ograniczenie dostępności były trudno wykrywalne, gdyŜ potencjalnie nie wykorzystują luk w
systemach lecz jego ograniczenia zasobowe. Ogólny atak aktywny na dostępność jest właśnie
próbą zajęcia wszystkich zasobów serwera.
Rys. 3.2.2.13. Schemat ogólnego aktywnego wyżerania zasobów z atakowanego serwera
Źródło: Opracowanie własne
WyróŜnia się następujące ataki na ograniczenie dostępności:
DoS (TCP SYN Flood, atak ICMP)
Atak DoS (Denial of Service) jest atakiem znamiennym grupy ataków na dostępność.
Przykładem jest atak TCP SYN Flood. Stacja robocza napastnika generuje ogromną ilość
pakietów synchronizacyjnych w trybie TCP Three-way Handshake, jednak nie wysyła pakietu
ACK na sam koniec tym samym pozostawiając otwarte gniazda na serwerze, których ilość w
końcu się skończy.
Rys. 3.2.2.14. Schemat ataku TCP SYN Flood
Źródło: Opracowanie własne
79
[email protected]
http://tturba.tk
Obrona przed atakiem typu TCP-SYN Flood polega na włączeniu usługi TCP Intercept
badającej stan nawiązywania połączenia zorientowanego. MoŜe działać w dwóch trybach:
- intercept – router symuluje rolę serwera wysyłając na pakiet SYN odpowiedź SYNACK, jeŜeli otrzyma on pakiet ACK to wtedy przenosi konwersację na serwer i
nawiązuje połączenie z nadawcą. Jest to rozwiązanie obciąŜające router, lecz
bezpieczniejsze niŜ przepuszczanie ruchu na serwer produkcyjny
- watch – w trybie patrzenia router sprawdza czy połączenia są całe, jeŜeli nie to
tworzy blokadę dla połączenia pomiędzy serwerem, a nadawcą.
Z kolei atak ICMP, zwany równieŜ „Pingiem Śmierci” polega na wysłaniu wielu pakietów z
tak dobranym rozmiarem, Ŝe powoli zacznie obciąŜać zasoby ofiary poprzez fragmentację
duŜych pakietów na mniejsze, częściej występujące. Rozmiar dobranego pakietu zaleŜy od
wielu czynników takich jak przepustowość łącza ofiary, którą wersję Ethernetu obsługuje
karta sieciowa oraz system operacyjny.
DDoS (atak Smurf, atak Botnetu)
Atak DDoS jest nowszą wersją ataku Denial of Service. Dodano słowo „Distributed”
oznaczające, Ŝe atak na dostępność jest przeprowadzany z wielu komputerów napastniczych i
skierowanych w jedną ofiarę co spowoduje szybsze przepełnienie się zasobów serwerowych.
Zbiór nieświadomie posłusznych komputerów wykonujących za napastnika atak jest
nazywana botnetem. Przykładem ataku DDoS jest Smurf, wykorzystujący legalne małe
narzędzie ping do wywołania lawiny pakietów pochłaniającej zasoby odbiorcy, który próbuje
na nie odpowiedzieć.
Rys. 3.2.2.15. Schemat ataku Smurf
Źródło: Opracowanie własne
80
[email protected]
http://tturba.tk
Zgodnie z normalnym trybem działania protokołu ICMP przy zapytaniu ping jest odpowiedź
na adres IP źródłowy z jakiego przyszło zapytanie, więc jeŜeli napastnik wyśle zapytanie ze
sfałszowanym adresem źródłowym na adres rozgłoszeniowy sieci zawierającej wiele
komputerów to zaczną one jednocześnie odpowiadać na zapytanie do serwera, który ich się
nie spodziewa i jego zasoby określające przepustowość zaczną być ograniczane.
Ogólną wadą wyŜej wymienionych ataków jest czas w którym muszą one działać by
przynieść poŜądany dla napastnika szkodliwy skutek. Czas ten jest zaleŜny od tego jaką mocą
obliczeniową i jakim łączem dysponuje ofiara. JeŜeli te parametry są lepsze to atak musi
potrwać dłuŜej. Inaczej jest w przypadku ataków wewnętrznych i zbliŜeniowych na
dostępność. Skutek, którym moŜe być awaria, przerwanie działania sieci jest natychmiastowy.
Atak na protokół STP i VTP
Protokół drzewa opinającego STP (ang. Spanning-tree Protocol) wykorzystywany jest w celu
zapewnienia redundantnych łącz lokalnych na przełącznikach. Został stworzony by
zniwelować moŜliwość wystąpienia pętli przełączeniowych w sieci lokalnej na skutek
podłączenia do przełącznika innego przełącznika za pomocą dwóch lub większej ilości kabli.
W protokole STP występuje pojęcie przełącznika głównego (ang. Root bridge), który jest
wybierany z pomocą algorytmów przeliczających lepszą wartość w protokole. Algorytmy
STP porównując tzw. BID (Bridge Identifier) – identyfikator przełącznika wybiera na
przełącznik główny ten, którego BID jest najniŜszą wartością pomiędzy liczbą 32768, a 1.
BID składa się z wartości priorytetu, adresu fizycznego przełącznika i numeru VLAN.
Protokół VTP (VLan Trunking Protocol) powstał w celu usprawnienia przesyłania informacji
o bazie sieci wirtualnych do innych przełączników bez konieczności wprowadzania tych
danych oddzielnie na kaŜdy z nich. W protokole występują tzw. numery rewizyjne
konfiguracji na podstawie których przełącznik wie, czy przyjąć rozgłaszaną konfigurację
VTP, czy moŜe jest to juŜ nieaktualna wersja i naleŜy ją zignorować.
Oba protokoły mogą być w jawny sposób wykorzystane w celu zniszczenia sieci
produkcyjnej za pomocą ataku wewnętrznego lub zbliŜeniowego z grupy ataków na
dostępność.
W wersji ataku zbliŜeniowego na protokół STP, napastnik moŜe pojawić się w miejscu gdzie
przełącznik firmowy jest słabiej chroniony i podłączyć do niego swój przełącznik, który
będzie miał specjalnie spreparowaną niŜszą wartość BID w taki sposób, Ŝe przy przeliczaniu
wartości topologii po jego wpięciu wygra elekcję na przełącznik główny. Porty, które
początkowo przesyłały dane nagle mogą zmienić swój tryb na blokowanie ruchu w celu
zapewnienia topologii wolnej od zapętleń.
81
[email protected]
http://tturba.tk
Rys. 3.2.2.16. Schemat ataku zbliżeniowego STP
Źródło: Opracowanie własne
Takie działanie napastnika moŜe zakłócić nieprzerwalną pracę całej sieci produkcyjnej, która
będzie przesyłać ramki w inny niŜ ustalony wcześniej sposób, lecz atak zbliŜeniowy STP
moŜe być takŜe niewiedzą pracownika. ZałóŜmy, Ŝe pracownik przyszedł do pracy ze swoim
laptopem, mając na biurku komputer stacjonarny i jedno gniazdo Ethernetowe. Przyniósł swój
przełącznik i go podłączył, nagle sieć przestała działać, bo przełącznik był starszy niŜ
firmowe, czyli jego MAC adres był na pewno niŜszy, więc jego urządzenie zwycięŜyło w
nowej elekcji na przełącznik główny odcinając sieć od zasobów serwerowych. Inaczej jest w
przypadku świadomego działania, lecz w sposób wewnętrzny. Napastnik być moŜe ma
moŜliwość przeprowadzania zmian konfiguracyjnych na urządzeniach. Uzyskał ten dostęp
wykorzystując dowolną podatność w systemie. Zmienia on priorytet zaatakowanego
przełącznika na niŜszy co znowu spowoduje rekalkulacje i zakłócenie działania sieci. Dwa
pierwsze przypadki winny być opisane w sekcji zagroŜeń fizycznych, lecz nie powodują one
takich uszkodzeń, a jedynie komputerowe, więc sklasyfikowano je do grupy ataków
komputerowych. Podobnie jest atakiem zbliŜeniowym na protokół VTP. Napastnik lub
pracownik firmy moŜe podłączyć przełącznik, który został skonfigurowany świadomie bądź
nie w taki sposób, Ŝe numer rewizyjny konfiguracji będzie większy niŜ te w sieci
produkcyjnej. Oznacza to wtedy, Ŝe wszystkie przełączniki w trybie klienckim lub
serwerowym przyjmą tę konfigurację VLANów za swoją, zwiększając swoje numery
rewizyjne do wartości z wpiętego przełącznika +1.
82
[email protected]
http://tturba.tk
Rys. 3.2.2.17. Schemat ataku VTP
Źródło: Opracowanie własne
Nowe informacje z serwera VTP mogą powodować wymazanie prawidłowo dla firmy
skonfigurowanych informacji o VLAN’ach i na jakich portach pracują, co całkowicie
ograniczy funkcjonalność sieci produkcyjnej w działaniu.
Sposobami obrony na ataki STP są trzy rozwiązania. Włączenie mechanizmu ochrony portów
przełącznika (port-security). Włączenie Root Guard chroniącego przełącznik główny przed
niespodziewaną elekcją. Włączenie BPDU Guard – mechanizmu wyłączającego porty stacji
roboczych wtedy gdy otrzymają one ramki z BPDU (porty na stacjach roboczych nigdy nie
powinny jej otrzymać, gdyŜ komputer pracowniczy takich ramek nie wysyła, a jedynie
przełącznik. Jeśli pojawił się przełącznik na porcie typu access oznacza to naruszenie zasad
bezpieczeństwa.). W przypadku obrony przed atakami VTP równieŜ stosuje się mechanizm
port-security. Reszta zabezpieczeń wynika z ulepszeń w nowej wersji protokołu VTP,
chronionej hasłem i przypisaniem do domeny. Ewentualnie jeŜeli wszystko w sieci
produkcyjnej jest prawidłowo ustawione moŜna zmienić tryby VTP przełączników na
przeźroczyste co spowoduje ignorowanie ramek rozgłoszeniowych VTP z numerami
rewizyjnymi. Z innowacyjnych metod moŜna zastosować autentykację 802.1x po porcie
przełącznika. Jednak wymaga ona obsługi protokołu EAPoL na stacji roboczej (dopiero od
Windows Vista), na przełączniku i serwerze 802.1x. Nie mniej jest to rozwiązanie bardzo
skuteczne i elastyczne. Np. za pomocą mechanizmu dot1x moŜna przenieść nieprawidłowo
zautentykowanego uŜytkownika do osobnego VLANu z bardziej rygorystycznymi zasobami
83
[email protected]
http://tturba.tk
lub uŜytkownika, który jest ograniczony brakiem moŜliwości logowania z pomocą protokołu
EAPoL, do ograniczonych zasobów. [2]
Atak na protokół SNMP
Napastnik, który uzyskał dostęp do sieci produkcyjnej i działa w niej zarządzanie zdalne za
pomocą protokołu SNMP – moŜe on spowodować zmianę konfiguracji urządzeń lub pozyskać
z nich poufne informacje. Problem zostanie szerzej opisany w rozdziale dotyczącym
skutecznego monitoringu i zarządzania, jednak z uwagi na fakt, Ŝe jest to atak aktywny na
dostępność – informacja została tutaj zamieszczona.
Atak na protokół NTP
Protokół synchronizacji czasu NTP z pozoru nie ma zbyt wielkiego znaczenia w istnieniu
sieci produkcyjnej. Lecz często atak na protokół NTP jest powiązany z groźniejszym atakiem
aktywnym. Atak dystrybucyjny na czas ma na celu pozostawienie furtki dla napastnika dla
przyszłych ataków i włamań. JeŜeli zaatakuje on sektor sieci odpowiedzialny za
synchronizację czasu urządzeń to jest w stanie zmodyfikować czasy logów urządzeń w taki
sposób, Ŝe w teorii nikt nigdy nie zauwaŜyłby, Ŝe napastnik włamał się do systemu. Taka
zmiana równieŜ w razie wpadki włamywacza jest trudniejsza do udowodnienia przed sądem,
gdzie głównym przewaŜnie dowodem w sprawie są właśnie logi wydrukowane z urządzeń.
Łatwo jednak się przed atakiem NTP zabezpieczyć, gdyŜ wystarczy wysyłać te logi w kilka
niezaleŜnych od siebie miejsc i starannie konserwować.
Groźne debugowanie i niekontrolowany sztorm rozgłoszeniowy
Debugowanie – czyli podglądanie komunikatów systemowych na bieŜąco, mocno obciąŜa
dany system. Nie jest to polecane działanie w przypadku sieci produkcyjnych, gdyŜ moŜe
spowodować to zator lub przerwę w działaniu ze względu na ogromne ilości danych jakie
musi generować urządzenie w celu pokazania ich człowiekowi. W polityce bezpieczeństwa
winna być napisana informacja, Ŝe nie wolno debugować urządzeń. Jednak napastnik mając
dostęp zbliŜeniowy do urządzenia moŜe włączyć debugowanie na urządzeniach i w szybkim
tempie się oddalić. W krótkim czasie szybkość działania sieci na pewno zmaleje, a
znalezienie winowajcy moŜe się wtedy okazać bardzo trudne. Skutecznym sposobem obrony
przed takim działaniem jest odpowiedni przydział praw dostępu dla odpowiednich
pracowników. Innymi słowy, jeŜeli pracownik nie potrzebuje czegoś w swojej pracy to
powinno to zostać dla niego ograniczone w dostępie.
Pojęcie sztormu rozgłoszeniowego oznacza, Ŝe przez sieć zaczyna przepływać za duŜo
pakietów typu broadcast, które w krótkim czasie zaczynają się namnaŜać nie mając ujścia.
Powodem moŜe być zapętlenie się przełączników, gdy protokół STP lub VTP zacznie źle
działać w przypadku wpięcia przez napastnika jego przełącznika lub poprzez atak typu
DoS/DDoS wysyłający zapytania ICMP na adresy rozgłoszeniowe wewnątrz sieci. JeŜeli w
sieci lokalnej wystąpi sztorm rozgłoszeniowy to normalna transmisja juŜ się nie mieści w
granicy przepustowości urządzeń i medium, co ogranicza lub wyłącza działanie sieci. O tyle
jest to groźny atak, Ŝe uderza nie tylko w urządzenia produkcyjne w sieci, ale takŜe w zwykłe
84
[email protected]
http://tturba.tk
stacje robocze, które równieŜ mogą zostać wyłączone z prawidłowego działania poprzez zbyt
duŜy napływ pakietów do karty sieciowej. Powszechnie stosowanym rozwiązaniem jest
implementacja usługi Kontroli Sztormu na przełączniku i routerze. Poprzez zdefiniowanie
procentowego poziomu przepustowości osiągniętego przez pakiety rozgłoszeniowe i
zdefiniowanie typu akcji na to zdarzenie moŜna w prosty sposób kontrolować przepływność
transmisji w sieci lokalnej.
85
[email protected]
http://tturba.tk
4. Implementacja bezpiecznej infrastruktury
sieciowej
WdraŜanie dobrych rozwiązań zabezpieczających poufne dane i urządzenia w
przedsiębiorstwie nie naleŜy do prostych zadań. Jest to proces długotrwały i ciągły. Od
początku istnienia systemu informatycznego administrator ma na co dzień do czynienia z
aspektami bezpieczeństwa jakie musi zrozumieć, opanować i wdroŜyć by osłonić
przedsiębiorstwo przed nowymi zagroŜeniami i nie zostać zwolnionym z pracy.
W celu zapewnienia spójnego, dobrze zaplanowanego i udokumentowanego wdroŜenia
moŜna wykorzystać model SDLC (ang. Systems Development Life Cycle) stosowany w
inŜynierii oprogramowania i inŜynierii systemowej. Przechodząc przez kolejne fazy projektu i
wdroŜeń łatwiej jest administratorom ogarnąć projekt jako całość. Zaletą zastosowania
modelu SDLC jest jego dokładność opisanych zadań do realizacji przypadających na
konkretną fazę w pięciu podstawowych etapach.
- planowania
- analizy
- projektowania
- implementacji
- zarządzania
Zaletą stosowania etapów jest podział pracy pomiędzy pracowników, specjalistów,
przykładowo etapem analizy powinni zajmować się firmowi analitycy przy współpracy
projektantów, a fazą implementacji i zarządzania – administratorzy.
WaŜnym czynnikiem kaŜdego systemu informatycznego jest konstrukcja polityki
bezpieczeństwa zgodnej z wewnętrznymi regulacjami prawnymi firmy oraz krajowymi
ustawami.
Po skutecznej implementacji całe wdroŜenie winno być dobrze udokumentowane wraz z
narysowaniem schematu topologicznego całej sieci. Jest to krytyczny czynnik długotrwały,
tudzieŜ w razie zmiany pracownika (administratora), łatwo jest mu się odnaleźć w nowym
systemie niŜ jak miałby wszystko analizować od początku. Zajęłoby mu to duŜo czasu,
podczas gdy podatność nieaktualizowanego systemu rosłaby z kaŜdym nowym zagroŜeniem.
W projekcie zaprezentowano przykłady konfiguracji z routerów i przełączników firmy Cisco.
Zastosowana konfiguracja zapewnia ochronę przed atakami opisanymi w rozdziałach
wcześniejszych co zostanie zweryfikowane w testach penetracyjnych (rozdział 5.).
86
[email protected]
http://tturba.tk
4.1. Zastosowanie modelu SDLC w projekcie
Cykl śycia Rozwoju Systemu SDLC (ang. Systems Development Life Cycle) w inŜynierii
systemowej i inŜynierii oprogramowania jest procesem tworzenia lub modyfikowania
systemu stosując modelowanie i metodologię, której ludzie uŜywają by zbudować owy
system. Metodologie tworzą fundament podstaw w procesie planowania i kontrolowania
etapu tworzenia systemu. Model SDLC jest więc procesem logicznym uŜywanym przez
róŜnych analityków systemu (w tym analityków bezpieczeństwa informacji) by stworzyć
system oparty na swoich załoŜeniach. Wynikiem pracy z modelem SDLC powinien być
wysokiej jakości system informatyczny, który spełnia lub przekracza oczekiwania klienckie
wpływając pozytywnie na czas planowania i estymowany koszt wdroŜenia.
Model SDLC składa się z pięciu głównych etapów potrzebnych do tego, aby w pełni
zrealizować załoŜenia projektowe i wymagania klienckie. Są nimi: faza planowania, analizy
przydatności, projektowania, implementacji i konserwacji systemu. Istnieje wiele modeli
opartych o ogólny model SDLC. W dzisiejszych czasach rozwiniętych technologii i
róŜnorodności rozwiązań sprzętowych i programowych w planowaniu powinny zostać
wykorzystane dwa modele w sposób scalony. Model wodospadowy i model spiralny powinny
ze sobą całkowicie współdziałać, zwłaszcza jeŜeli chodzi o budowanie bezpiecznego systemu
informatycznego, który wymaga stałego rozwoju i opieki.
ZałoŜeniami modelu wodospadowego jest inkrementująca przepływność danej z kolejnych
faz. NaleŜy przejść po kolei kaŜdą fazę, której wynik wykorzystuje się w następnej i tak do
końca. Powoduje to stworzenie gruntownego podkładu pod skalowalny, funkcjonalny system
informatyczny. Natomiast załoŜeniem modelu spiralnego jest ciągły rozwój systemu. W
modelu spiralnym fazy ze sobą są powiązane cyklicznie. Tzn. po przejściu przez fazę
konserwacji po pewnym czasie moŜe nastąpić powrót do fazy planowania w celu zapewnienia
stuprocentowej funkcjonalności w sposób nieprzerwalny.
W obu modelach występują oczywiście te same fazy i ich załoŜenia wewnętrzne są
jednakowe. RóŜnica wynika, Ŝe jeden model stanowi fundament dla drugiego,
zapewniającego ciągłą skalowalność i rozwój. [12]
87
[email protected]
http://tturba.tk
Rys. 4.1.1. Schemat modelu wodospadowego na podstawie ogólnego modelu SDLC
Źródło: Opracowanie własne
Jak widać na rys. 4.1.1. poszczególne fazy modelu wodospadowego zawierają kolejne tematy
jakie naleŜy zrealizować zanim przejdzie się do kolejnej fazy. Jest to swoiste ułatwienie
dające analitykowi, projektantowi i administratorowi pojęcie o zakresie ich obowiązków
wykonawczych. W lewych górnych rogach kaŜdej fazy zostały opisane tytułowo, główne fazy
wynikające z definicji modelu ogólnego SDLC.
88
[email protected]
http://tturba.tk
Rys. 4.1.2. Schemat modelu spiralnego na podstawie ogólnego modelu SDLC
Źródło: Opracowanie własne
Model spiralny jest szczególnie waŜny w przypadku budowania trwale zabezpieczonej
infrastruktury sieciowej przedsiębiorstwa informatycznego. Bezpieczeństwo jest w
dzisiejszych czasach krytycznym czynnikiem prawidłowej pracy systemu informatycznego, z
uwagi na fakt, Ŝe powstaje kaŜdego dnia nowe zagroŜenie. W raz z nowym zagroŜeniem
istnieje ryzyko, Ŝe system będzie na niego podatny. Przeprowadzając testy penetracyjne
wykorzystując w ich planowaniu model spiralny zapewnia się w przedsiębiorstwie
prawidłowy przepływ faz, co usprawnia pracę.
W skrócie zostaną opisane kolejne fazy modelu SDLC wraz z krokami z modelu
wodospadowego, gdyŜ tematem publikacji nie jest projektowanie infrastruktury sieciowej, a
jedynie wdraŜanie konkretnych metodologii związanych z bezpieczeństwem systemu
informatycznego.
a) Faza planowania
SłuŜy do stworzenia wysoko-poziomowego spojrzenia na projekt z właściwej
perspektywy wraz z określeniem celów jakie mają zostać zrealizowane. Z zasady faza
planowania jest wykorzystywana do przedstawienia projektu wyŜszej grupie trzymającej
władze w celu pozyskania funduszy na realizację projektu.
ZłoŜona jest z dwóch kroków:
- kategoryzacja potrzeb bezpieczeństwa – odpowiada na pytanie czy dane
rozwiązania będą potrzebne w przedsiębiorstwie.
- wstępne sporządzenie analizy ryzyka – nawiązuje do kategoryzacji potrzeb, jednak
skupia się na fakcie, czy opłaca się wkładać w cały projekt fundusze, czy moŜe istnieje
89
[email protected]
http://tturba.tk
inny, łatwiejszy, a przede wszystkim tańszy sposób jego realizacji. Przedstawia się
tutaj głównie argumenty mogące przekonać zarząd w celu pozyskania funduszy.
b) Faza analizy
Faza analizy jest często nazywana fazą określenia wymagań. Po zatwierdzeniu
projektu przez zarząd musi nastąpić dogłębna analiza w jaki sposób projekt będzie
musiał być realizowany, oraz potwierdzić jego opłacalność sporządzając szczegółowy
kosztorys w którym oblicza się takŜe moŜliwość wystąpienia zagroŜenia, oraz jak
nowe rozwiązanie projektowe moŜe wpłynąć na zmniejszenie jego szkodliwości bądź
je wykluczyć.
Analiza określenia wymagań jest najwaŜniejszą fazą z
ekonomicznego. Jest wyjściem do wszystkich pozostałych faz.
punktu
widzenia
Składa się z siedmiu kroków:
- sporządzenie analizy ryzyka – jest rozwinięciem z kroku drugiego fazy
planowania. Zawiera szczegółowe dane nt. opłacalności rozwiązania. Analiza
ryzyka składa się z dwóch mniejszych analiz stanowiących całość (analiza ilościowa i
jakościowa). Stosowane są tutaj następujące wzory:
- analiza ilościowa:
ALE = AV * EF * ARO
- analiza jakościowa:
SLE = AV * EF
Poprzez analizę ilościową rozumie się określenie wartości ryzyka włoŜonych w
projekt funduszy względem wystąpienia ogólnie pojętego zagroŜenia.
ALE (ang. Annualized Loss Expectancy) – uśredniona roczna wartość strat
przewidywana jeŜeli przedsiębiorstwo nie zainwestuje funduszy w projekt.
AV (ang. Asset Value) – ogólny koszt zakupionego sprzętu i jego utrzymania.
EF (ang. Exposure Factor) – procentowa strata zainwestowanych funduszy gdy
wystąpi zagroŜenie.
ARO (ang. Annualized Rate of Occurence) – uśredniona roczna liczba
zagroŜeń jakimi moŜe zostać system dotknięty.
Poprzez analizę jakościową rozumie się określenie konkretnych wartości ryzyka w
przypadku wystąpienia pojedynczego zagroŜenia.
SLE (ang. Single Loss Expectancy) – określa wartość funduszy jaką firma moŜe
stracić za kaŜdym razem gdy wystąpi zagroŜenie.
90
[email protected]
http://tturba.tk
- analiza wymagań funkcjonalnych - określenie przydatności rozwiązań, oraz ich
prawidłowe zaplanowanie. Które rozwiązanie będzie spełniało swoją rolę, a które z
projektu naleŜy wykluczyć.
- analiza szczegółowych rozwiązań bezpieczeństwa - szczegółowa analiza w
propozycji konkretnych rozwiązań z zakresu bezpieczeństwa i ich przydatności na
podstawie ich funkcjonalności względem zwykłego uŜytkownika, który będzie
korzystał z systemu.
- sporządzenie kosztorysu i raportu – naleŜy zebrać wszystkie czynniki do których
realizacji będą potrzebne fundusze (urządzenia, media transmisyjne, opłacenie
projektantów, wdroŜeniowców). NaleŜy równieŜ stworzyć raport porównujący analizę
ryzyka do wartości z kosztorysu.
- ustalenie kroków postępowania – krok ten stanowi wyznacznik w jakich
okolicznościach czasowych kolejne etapy implementacji będą realizowane, oraz
naleŜy zdefiniować jakie to będą etapy.
- określenie etapów implementacji - jest to szerzej opisany krok poprzedni z
dokładnymi fragmentami opisującymi kolejne kroki na etapie wdraŜania
bezpieczeństwa do systemu.
- rozwaŜanie skuteczności zaproponowanych rozwiązań – krok stanowi meritum
poprzednich kroków, wyznaczając opłacalność realizacji projektu.
c) Faza projektowania
Faza projektowania jest częściowo kopią ostatnich kroków z fazy analizy. WdroŜenie
rozwiązania jest nie stanowi problemu, lecz by rozwiązanie było skalowalne i
funkcjonalne naleŜy zatroszczyć się o jego właściwe zaprojektowanie. Dlatego
początkowe kroki są powtarzane w celu upewnienia się, Ŝe rozwiązania naprawdę
mogą przynieść poŜądany efekt.
Faza składa się z czterech kroków, które są dokumentami:
- inspekcja i akceptacja rozwiązań – jak wyŜej, krok ma zapewnić prawidłowość
rozwiązania i w tym celu jest poświadczany przez wszystkie osoby biorące udział w
etapie projektowania, które przedstawiają dokument projektowy zarządowi w celu
ostatecznego zatwierdzenia.
- zadbanie o spójność systemu – jest to krok przedstawiający rozwiązania projektowe
pracownikom przedsiębiorstwa bezpośrednio w przyszłości z nim związanymi, np.
administratorzy będą odpowiedzialni za nieprzerwalną pracę systemu, więc muszą się
z nim zapoznać i takŜe go zaakceptować poprzez weryfikację własną.
- poświadczenie prawidłowości rozwiązań kaŜdy z projektantów musi
poświadczyć własnym podpisem, Ŝe projekt, który zostanie przez nich realizowany
jest projektem chronionym prawnie i wszelkie konsekwencje wynikające z zaniedbań
91
[email protected]
http://tturba.tk
na etapie jego tworzenia, będą stanowiły podstawę do obarczenia tym faktem
projektantów.
- zatwierdzenie implementacji – ostateczna weryfikacja wszystkich dokumentów i
podpis osoby zarządzającej przedsiębiorstwem, bądź odpowiedzialnej za przydział
funduszy.
d) Faza implementacji
Faza implementacji stanowi wdroŜenie projektu w rzeczywistość.
- konfiguracja, kontrola i zarządzanie – jest to normalny tryb pracy systemu
informatycznego po wykonaniu kroków instalacyjnych i konfiguracyjnych.
- obserwacja systemu – krok stanowi monitoring świeŜo zaimplementowanego
systemu informatycznego. Pomimo wieloetapowego potwierdzania wszystkich
prawidłowości projektowych zawsze moŜe się wydarzyć coś niespodziewanego.
Dlatego przeprowadza się czasową obserwację systemu, czy działa według swoich
załoŜeń. NaleŜy napisać na tym etapie gruntowną dokumentację techniczną stanu
faktycznego.
e) Faza konserwacji/zarządzania
Dochodząc do fazy konserwacji/zarządzania moŜna poświadczyć, Ŝe wszystkie
poprzednio zrealizowane fazy przebiegły pomyślnie, więc system informatyczny moŜe
zacząć normalnie pracować w warunkach produkcyjnych. Na tym etapie naleŜy
pamiętać o wszystkich czynnikach bezpieczeństwa i jakie naleŜy wykonywać kroki
postępowania w celu jego zapewnienia, które określa sporządzony dokument polityki
bezpieczeństwa.
- zabezpieczanie i archiwizacja poufnych danych
- konserwacja urządzeń
- usuwanie sprzętu, dokumentów i nośników
92
[email protected]
http://tturba.tk
4.1.1. Dokumentacja techniczna
Dokumentacja techniczna jest papierowym dokumentem słuŜącym do szybkiego odnalezienia
danego fragmentu sieci, urządzenia, parametru technicznego z urządzenia, Ŝe w razie
wystąpienia błędu, usterki, zagroŜenia, administrator mógł szybciej zlokalizować usterkę i ją
naprawić.
Dobra dokumentacja techniczna powinna zawierać przede wszystkim rysunki, zgodnie z tezą,
Ŝe „zdjęcie wyraŜa tysiąc słów”. Na jednym rysunku (najlepiej wielkoformatowym) powinna
się znaleźć topologia fizyczna (czyli sposób połączenia wszystkich urządzeń). JeŜeli sieć nie
jest zbyt rozległa i nie powoduje, Ŝe dane na rysunku się zlewają moŜna połączyć takŜe ją z
topologią logiczną, czyli z adresacją i liczbą hostów przypadających na sieć.
Rys. 4.1.1.1. Adresacja w topologii fizycznej sieci zastosowanej w projekcie
Źródło: Opracowanie własne
Rysunki topologii logicznej i fizycznej pozwalają osiągnąć większą skuteczność w
rozwiązywaniu problemów związanych z warstwą fizyczną i łącza danych modelu OSI.
W przypadku osiągnięcia większej skuteczności na wyŜszych warstwach proponuje się
opisanie rysunku topologii logicznej, usługami jakie zostały zaimplementowane na
poszczególnych urządzeniach.
93
[email protected]
http://tturba.tk
Tak w przypadku błędnego routingu i adresacji moŜna w krótkim czasie zlokalizować
problem warstwy sieciowej. W przypadku oznaczonej kontroli dostępu – w warstwie
transportowej i usług serwerowych w warstwach wyŜszych.
Rys. 4.1.1.2. Schemat co zostało zaimplementowane na poszczególnych urządzeniach
Źródło: Opracowanie własne.
Przy konstrukcji dokumentacji naleŜy takŜe pamiętać o tekście, które powinny najpierw
powielać dane z rysunków, a następnie je rozszerzać.
Przez rozszerzenie rozumie się ogólny opis działania usługi i jej przydatności w systemie
informatycznym oraz wklejenia plików konfiguracyjnych. Dokumentacja, tak jak
przedsiębiorstwo – powinna się rozwijać. W przypadku zmian w dokumencie naleŜy je
zapisywać z datami modyfikacji i zachowywać wszystkie stare wersje w zamkniętym
pomieszczeniu, niedostępnym dla otoczenia. [6]
94
[email protected]
http://tturba.tk
4.1.2. Polityka bezpieczeństwa
W rozdziale 3. traktującym o zagroŜeniach często jest wspomniane hasło polityki
bezpieczeństwa. W przedsiębiorstwie jest to bardzo waŜny dokument przedstawiany kaŜdemu
pracownikowi w celu zapoznania się z jego obowiązkami związanymi ze stanowiskiem
komputerowym oraz z danymi z jakimi pracuje. Polityka bezpieczeństwa powołuje się na akty
prawne takie jak ustawy o ochronie danych osobowych i informacji niejawnych oraz
rozporządzenia dotyczące przetwarzania danych poufnych i warunków technicznych
systemów informatycznych. Jest to dokument elastyczny, tzn. kaŜdy dział lub inna forma
podziału między pracownikami moŜe zostać w niej osobno opisana. KaŜdy pracownik musi
się podpisać pod polityką bezpieczeństwa, Ŝe się z nią zapoznał i zna wszelkie konsekwencje
jakie groŜą z tytułu nie stosowania się do zasada tegoŜ dokumentu. Dobra polityka
bezpieczeństwa powinna być zaopatrzona takŜe w raport zdarzeń i wykaz osób zapoznanych z
polityką. Usprawnia to prace logistyczne.
Zostaje przedstawiony wzór dokumentu polityki bezpieczeństwa jaki powinien być stworzony
w przedsiębiorstwie.
WZÓR POLITYKI BEZPIECZEŃSTWA
WSTĘP
PoniŜszy dokument jest zgodny z aktami prawnymi:
a). Ustawa z dnia 29.08.1997r. O ochronie danych osobowych (tekst jednolity Dz. U.
Nr 101, z 2002 r., poz. 926)
b) Ustawa o ochronie informacji niejawnych z 22.01.1999 r. (Dz. U. Nr 11, poz. 95 z
późniejszymi zmianami),
c) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29.04.2004 r.
w sprawie dokumentacji przetwarzania danych osobowych oraz warunków
technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy
informatyczne słuŜące do przetwarzania danych osobowych (Dz. U. Nr 100, poz.
1024).
Niniejszy dokument reguluje sprawy ochrony danych osobowych zawierających się w
informatycznym systemie wykorzystywanym w lokalnej sieci komputerowej oraz zbiorów
danych w postaci dokumentacji papierowej w przedsiębiorstwie XXX.
Opisane zostały reguły wyznaczające granice dopuszczalnego zachowania się wszystkich
uŜytkowników systemu informatycznego przedsiębiorstwa XXX. Dokument w szczególności
zwraca uwagę na konsekwencje dla osób, które przekroczą opisane granice. Polityka
bezpieczeństwa wskazuje takŜe sposób postępowania w sytuacji naruszenia bezpieczeństwa
informacji w systemach informatycznych. Potrzeba opracowania dokumentu wynika z § 3
rozporządzenia Prezesa Rady Ministrów z dnia 25 lutego 1999 roku w sprawie podstawowych
wymagań bezpieczeństwa systemów i sieci teleinformatycznych (Dz. U. Nr 18 póz. 162) oraz
95
[email protected]
http://tturba.tk
§ 3 i 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004
r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i
organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne słuŜące do
przetwarzania danych osobowych (Dz. U. Nr 100, póz. 1024).
ZASADY OGÓLNE
1.
Dokument określa tryby postępowania dla przypadków, gdy:
a.
Zostało stwierdzone naruszenie zabezpieczeń systemu komputerowego
b.
Zawartość zbioru danych, ujawnione metody pracy, sposób działania
konkretnego programu mogą wskazywać na naruszenie zabezpieczeń.
2.
Dokument jest skierowany do wszystkich pracowników przedsiębiorstwa XXX.
3.
Stosowanie się do postanowień tego dokumentu ma zapewnić właściwą reakcję i
udokumentowanie przypadków, w których zostało stwierdzone naruszenie bezpieczeństwa jak
i zapewnić właściwy tok postępowania w celu przywrócenia normalnej pracy.
OPIS ZAGROśEŃ NARUSZAJĄCYCH ZASADY POLITYKI BEZPIECZEŃSTWA
1. Podział zagroŜeń:
a. Losowe zewnętrzne – przerwy w zasilaniu, kataklizmy. Ciągłość pracy
systemu zostaje naruszona lecz nie następuje wyciek poufnych danych
b. Losowe wewnętrzne – nieświadome pomyłki administratorów, operatorów,
przypadkowe awarie sprzętowe . Ciągłość pracy systemu zostaje naruszona i
moŜe nastąpić wyciek poufnych danych
c. Celowe zagroŜenia zamierzone – naruszenie poufności danych, nieuprawniony
dostęp do systemu.
2. Przypadki uzasadnionego podejrzenia stwarzania zagroŜeń dla systemu
informatycznego:
a. Sytuacje losowe - poŜar, powódź, katastrofa, terroryzm
b. Niewłaściwe warunki środowiskowe – wilgotność, temperatura, wibracje,
wstrząsy, wyładowania elektryczne
c. Umyślne awarie sprzętu i oprogramowania
d. Ujawnienie poufnych danych osobom niepowołanym
e. Nieprzypadkowa zmiana załoŜonego rytmu pracy w sieci komputerowej
f. Próba naruszenia integralności danej lub systemu
g. Pojawienie się komunikatu alarmowego
h. Naruszenie dyscypliny pracy w zakresie przestrzegania procedur
bezpieczeństwa stanowiska pracy
i. Stwierdzone nieprawidłowości w zakresie przechowywania i zabezpieczania
miejsc z poufnymi danymi – biurka, szafki, nośniki tradycyjne, nośniki
96
[email protected]
http://tturba.tk
ZABEZPIECZANIE POUFNYCH DANYCH
$1 Cele i zasady ogólne
Administrator jest zobowiązany do stosowania środków technicznych w celu zapewnienia
ochrony przetwarzanym poufnych danych w systemie informatycznym przedsiębiorstwa
XXX, w szczególności:
- zapobiegnięcie wycieku danych do rąk osób niepowołanych
- zapobiegnięcie przetwarzaniu danych, w sposób który narusza ustawę oraz zmianę,
utratę bądź uszkodzenie danych
- zabezpieczanie danych przed udostępnianiem osobom niepowołanym
$2 Cele i zasady ochrony ogólnej
Celem wprowadzonych do niniejszej polityki bezpieczeństwa jest ochrona danych poufnych
eksploatowanych w systemie informatycznym przedsiębiorstwa XXX.
Zabezpieczenia w szczególności tyczą się:
- zabezpieczenie danych przed dostępem osób niepowołanych na etapie jej
wykorzystywania (wprowadzanie, aktualizacja, wyświetlanie, drukowanie)
- zabezpieczenie danych zarchiwizowanych na nośnikach zewnętrznych
- przestrzeganie procedur niszczenia niepotrzebnych dokumentów papierowych oraz
nośników z danymi.
- ochrona systemu bezpieczeństwa przed dostępem fizycznym osób nieupowaŜnionych
do pomieszczeń, w których znajdują się urządzenia systemu informatycznego
- monitorowanie systemu bezpieczeństwa
- wyznaczenie ścisłego zakresu obowiązków pracowników w szczególności w
sektorze dotyczącym bezpieczeństwa danych
Sposoby zabezpieczeń są określone za pomocą:
- ograniczenia fizycznego dostępu do pomieszczeń z urządzeniami wykorzystywanymi
w systemie informatycznym
- zdefiniowanie programowych grup uŜytkowników, nazw oraz haseł
- stosowanie kryptograficznych metod ochrony danych, które są oferowane na pulpicie
uŜytkownika
- przeprowadzanie archiwizacji danych na nośnikach optycznych lub magnetycznych z
ich ochroną w oddzielnym pomieszczeniu lub budynku
- w pomieszczeniach ze sprzętem komputerowym zainstalowane są systemy alarmowe
i przeciwpoŜarowe
- za całość polityki bezpieczeństwa odpowiada szef działu bezpieczeństwa
przedsiębiorstwa XXX
97
[email protected]
http://tturba.tk
$3 Zabezpieczanie danych
Wprowadzone zostały następujące metody zabezpieczeń:
- na pracowniczych stacjach roboczych wprowadzono wysoki poziom zabezpieczeń
- pomieszczenia zawierające urządzenia przetwarzające poufne dane i kartoteki
osobowe zostały zabezpieczone właściwym okratowaniem, systemem alarmowym,
przeciwpoŜarowym i miernikiem właściwego poziomu parametrów klimatycznych
- w razie wystąpienia awarii zasilania lub zakłóceń sieci elektroenergetycznej serwera
i urządzeń przetwarzających poufne dane zostały zabezpieczone systemami
podtrzymującymi napięcie
- uruchomienie stacji roboczych wymaga podania hasła BIOS’u
- zalogowanie się do systemu wymaga podania nazwy uŜytkownika i hasła
- kaŜdy uŜytkownik systemu ma przydzielone prawa dostępu uprawniające go do
wykonywania operacji związanych ze swoją pracą.
- w razie nieudanego logowania następuje czasowe zawieszenie konta uŜytkownika
- logowanie w systemie jest moŜliwe jedynie w godzinach pracy
- administrator i szef działu bezpieczeństwa mają stosowne uprawnienia do
definiowania kont pracowników i haseł
- w celu zabezpieczenia dostępu z zewnątrz do sieci lokalnej przedsiębiorstwa stosuje
się system ściany ogniowej i szyfrowanie w wirtualnej sieci prywatnej
- kaŜda stacja robocza jest zaopatrzona w aktywny pakiet antywirusowy pracujący w
czasie rzeczywistym. Za krytyczne aktualizacje odpowiada administrator.
- urządzenia serwerowe zostały zaopatrzone w mechanizm wykrywania i prewencji
intruzów
- dostęp do danych przez pracowników wyznaczany jest przez administratora
- wykonane kopie bezpieczeństwa zabezpieczone w innym pomieszczeniu moŜe
otwierać jedynie szef działu bezpieczeństwa przedsiębiorstwa XXX
$4 Monitoring zabezpieczeń
Do monitorowania zabezpieczeń systemu informatycznego zobowiązani są administrator
systemu i szef działu bezpieczeństwa.
Do ich obowiązków w zakresie monitoringu zabezpieczeń naleŜą:
- okresowe badanie stanu zabezpieczeń pod względem testów penetracyjnych
- okresowa analiza kopii bezpieczeństwa pod względem ich przydatności w razie
powstania potrzeby odtwarzania danych
- ewidencja i kontrola nośników optycznych i magnetycznych
- kontrola częstotliwości zmiany haseł przez pracowników
- przedstawienie rocznych raportów z zakresu przeprowadzonych kwartalnych kontroli
$5 Szkolenia z zakresu bezpieczeństwa
Podstawowe szkolenie z zakresu bezpieczeństwa jest obowiązkowe i obejmuje wszystkich
pracowników przedsiębiorstwa XXX.
Tematyka szkoleń obejmuje zagadnienia:
- przepisy i wewnętrzne instrukcje dotyczące postępowania z chronionymi danymi,
archiwizacją i przechowywania nośników
- przepisy i wewnętrzne instrukcje dotyczące niszczenia wydruków i nośników.
98
[email protected]
http://tturba.tk
- zakres obowiązków pracownika i sposobów ochrony stanowiska pracy
$6 Archiwizacja danych
1. Archiwizacja danych w systemie informatycznym przebiega w trybie tygodniowym
2. Kopie awaryjne z programów z których korzystają pracownicy wykonywane są
codziennie. Za wykonanie kopii awaryjnej odpowiedzialny jest operator danej stacji
roboczej
3. Kopie bezpieczeństwa winny być przechowywane w szafie pancernej. Osobą
upowaŜnioną do wglądu do kopii bezpieczeństwa jest szef działu bezpieczeństwa
przedsiębiorstwa XXX.
$7 Zasady niszczenia wydruków papierowych i nośników danych
1. Nośniki optyczne wychodzące poza obszar przedsiębiorstwa nie powinny zawierać
danych poufnych
2. Nośniki optyczne przed wyrzucenie nim powinny być zniszczone fizycznie poprzez
przecięcie, przełamanie
3. Wydruki papierowe zawierające poufne dane winny być zniszczone fizycznie poprzez
wykorzystanie niszczarki i/lub spalenie w piecu
SPOSOBY POSTĘPOWANIA W PRZYPADKU NARUSZENIA ZASAD
BEZPIECZEŃSTWA
1. KaŜdy pracownik przedsiębiorstwa XXX, który był uczestnikiem naruszenia zasad
bezpieczeństwa powinien przekazać tę informację szefowi działu bezpieczeństwa, lub
administratorowi pod jego nieobecność w trybie natychmiastowym
2. W razie braku obecności szefa działu bezpieczeństwa lub administratora systemu
pracownik zobowiązany jest powiadomić bezpośredniego przełoŜonego
3. Zanim szef działu bezpieczeństwa lub administrator systemu przybędą na miejsce
zajścia zdarzenia pracownik jest zobowiązany:
a. Podjąć czynności niezbędne w celu powstrzymania wycieku poufnych danych
wynikającego z zajścia zdarzenia, w tym ustalenie moŜliwego sprawcy
b. Wstrzymanie swojej bieŜącej pracy zabezpieczając własne stanowisko
c. Zabezpieczenie miejsca zdarzenia
d. Zastosowanie się do innych regulaminów i instrukcji, jeŜeli takowe odnoszą
się do zaistniałego zdarzenia
e. Nie opuszczać miejsca zdarzenia bez uzasadnionej potrzeby do czasu
przybycia szefa działu bezpieczeństwa, administratora lub bezpośredniego
przełoŜonego chyba, Ŝe istnieje zagroŜenie Ŝycia
4. Szef działu bezpieczeństwa przeprowadza ścisłą dokumentację zaistniałego zdarzenia
i sporządza raport według ustalonego wzoru, który powinien zawierać:
a. Wskazanie osoby powiadamiającej o zaszłym zdarzeniu
b. Wskazanie innych osób zaangaŜowanych w zdarzenie
c. Wskazanie czasu i miejsca zgłoszenia zdarzenia oraz czasu i miejsca zajścia
zdarzenia
d. Określenie moŜliwych okoliczności zajścia zdarzenia
99
[email protected]
http://tturba.tk
OBOWIĄZKI SZEFA DZIAŁU BEZPIECZEŃSTWA
1. Przeprowadzanie ścisłego nadzoru nad przestrzeganiem instrukcji zawartych w tym
dokumencie
2. Przeprowadzanie ścisłego nadzoru nad zabezpieczaniem sprzętu oraz pomieszczeń
związanych z prawidłowym działaniem systemu informatycznego
3. Przeprowadzanie ścisłego nadzoru nad zabezpieczaniem oraz legalnością stosowanego
oprogramowania
4. Przeciwdziałanie dostępowi do systemu osobom nieupowaŜnionym
5. Podejmowanie działań w celu zapewnienia właściwej ochrony danych
6. Badanie i raportowanie naruszeń bezpieczeństwa w systemie informatycznym
7. Przeprowadzanie ścisłego nadzoru nad naprawami, konserwacją i likwidacją urządzeń
komputerowych
8. Definiowanie grup uŜytkowników, haseł dostępu i przydziału praw dostępu
9. Przeprowadzanie testów penetracyjnych w celu ustalenia aktualnego poziomu
bezpieczeństwa w przedsiębiorstwie
10. Przeprowadzanie aktualizacji oprogramowania na stacjach roboczych poza tymi
wykonywanymi automatycznie
11. Przeprowadzanie ścisłego nadzoru nad właściwą konserwacją i usuwaniem urządzeń i
nośników komputerowych
DODATKOWY ZAKRES OBOWIĄZKÓW DLA PRACOWNIKA PRZEDSIĘBIORSTWA
1. Pracownik jest zobowiązany dbać o bezpieczeństwo powierzonych mu poufnych
danych, ich właściwą archiwizację i przechowywanie, a w szczególności:
a. Chronić poufne dane przed dostępem osób niepowołanych
b. Chronić dane przed nieumyślnym zniszczeniem, lub modyfikacją
c. Chronić powierzone nośniki optyczne oraz wydruki przed dostępem osób
niepowołanych oraz przed nieumyślnym zniszczeniem
d. Utrzymywać w tajemnicy powierzone nazwy uŜytkownika, hasła, częstości ich
zmian oraz szczegóły techniczne wynikające z czytania tego dokumentu
2. Zabrania się pod rygorem odpowiedzialności karnej i słuŜbowej pracownikowi:
a. Ujawniać poufne dane
b. Kopiować poufne dane bez przewidzianych w tym celu instrukcji lub
wykraczając poza zakres swoich obowiązków
c. Przetwarzać dane w sposób nieodpowiedni, zabroniony zakresem obowiązków
100
[email protected]
http://tturba.tk
WZÓR OŚWIADCZENIA
…………………………….
Imię i nazwisko pracownika
…………………………….
Adres
…………………………….
…………………………….
Miejscowość, data
OŚWIADCZENIE
1. Własnoręcznym podpisem oświadczam, Ŝe jako pracownik przedsiębiorstwa XXX
zapoznałem się z dokumentem polityki bezpieczeństwa oraz, Ŝe znana jest mi treść
przepisów o ochronie danych osobowych, oraz o odpowiedzialności karnej z nią
związaną.
2. Zobowiązuje się jednocześnie do przestrzegania zasad opisanych w dokumencie oraz
nie będę:
a. Ujawniać poufnych danych eksploatowanych przeze mnie w przedsiębiorstwie
b. Ujawniać szczegółów technologicznych regulowanych przez wewnętrzne
instrukcje i regulaminy
c. Ujawniać szczegółów zawartych w dokumencie polityki bezpieczeństwa
d. Przekazywać osobom niepowołanym nośniki optyczne lub wydruki
e. Kopiować, przetwarzać lub usuwać dane w sposób niezgodny z opisanymi dla
mnie instrukcjami
3. Zobowiązuje się takŜe do:
a. Dbanie o środowisko pracy, swoje stanowisko oraz poszanowanie dla innych
pracowników przedsiębiorstwa
b. Informowania szefa działu bezpieczeństwa, administratora lub bezpośredniego
przełoŜonego o zaistniałym zdarzeniu naruszającym zasady bezpieczeństwa w
przedsiębiorstwie
c. Wykonywania czynności zawartych we wszystkich instrukcjach i
regulaminach przedstawionych mojej osobie.
…………………………………
Podpis pracownika
………………………..
Podpis przełoŜonego
101
[email protected]
http://tturba.tk
WZÓR WYKAZU
WYKAZ OSÓB ZAPOZNANYCH Z POLITYKĄ BEZPIECZEŃSTWA
Lp.
Imię i nazwisko
Stanowisko
Data
Podpis
WZÓR RAPORTU
RAPORT Z NARUSZENIA ZASAD BEZPIECZEŃSTWA W PRZEDSIĘBIORSTWIE
1. Data: ……………………. ………
Godzina: …………………………………
(dd.mm.rr)
(gg:mm)
2. Osoba powiadamiająca o zaistniałym zdarzeniu:
…………………………………………………………………………………………………..
(imię i nazwisko, stanowisko pracy, nazwa uŜytkownika (jeŜeli obowiązuje))
3. Lokalizacja zdarzenia:
…………………………………………………………………………………………………..
(nr pokoju, ewentualna nazwa pomieszczenia)
4. Rodzaj naruszenia bezpieczeństwa oraz towarzyszące okoliczności:
…………………………………………………………………………………………………..
…………………………………………………………………………………………………..
…………………………………………………………………………………………………..
5. Przyczyny wystąpienia zdarzenia:
…………………………………………………………………………………………………..
…………………………………………………………………………………………………..
…………………………………………………………………………………………………..
6. Podjęte działania zapobiegawcze:
…………………………………………………………………………………………………..
…………………………………………………………………………………………………..
…………………………………………………………………………………………………..
7. Podjęte postanowienie wyjaśniające:
…………………………………………………………………………………………………..
…………………………………………………………………………………………………..
…………………………………………………………………………………………………..
…………………………………………………..
(data, podpis Szefa Bezpieczeństwa Informatycznego)
Źródło: Opracowanie własne na podstawie: http://bip.trzcinsko-zdroj.pl/unzip/1084.dhtml (31.05.2009r)
102
[email protected]
http://tturba.tk
4.2. Realizacja projektu ochrony infrastruktury sieciowej
przedsiębiorstwa
NiŜej opisana konfiguracja jest częścią składową urządzeń produkcyjnych stosowanych w
realnej topologii. Stanowi odzwierciedlenie faktycznego stanu konfiguracyjnego z
niewielkimi wyjątkami zagraŜającymi przedsiębiorstwie. Dlatego zmienione zostały wszelkie
hasła, adresy IP oraz porty. Konfiguracje na wielu urządzeniach powtarzają się, dlatego kroki
te zostały pominięte, a jedynie opisane jako odnośnik do konfiguracji powyŜej. Tam, gdzie
występowały zmiany przy tej samej usłudze – zostały one opisane.
Konfiguracja dotyczy urządzeń z rysunku topologii uŜytkowej (rys. 4.1.1.2 z rozdziału 4.1.1)
KONFIGURACJA ROUTERA A
- zabezpieczenie logowania:
A(config)#security passwords minlength 10
A(config)#service passwordencryption
A(config)#enable secret level 15
ciscocisco
A(config)#security authentication
failure rate 3 log
A(config)#login block-for 30
attempts 3 within 15
A(config)#login delay 5
A(config)#access-list 1 permit
host 100.0.0.2 log
A(config)#login quiet-mode
access-class 1
A(config)#login on-success log
every 1
A(config)#login on-failure log
every 1
A(config)#username admin
privilege 15 secret ciscocisco
Ustala minimalną długość haseł na 10 znaków.
Włącza usługę prostego szyfrowania haseł w
konfiguracji.
Ustawia hasło trybu uprzywilejowanego na
ciscocisco.
Zezwalaj na 3 moŜliwe nieudane próby
logowania.
JeŜeli w ciągu 15sek. wystąpią 3 nieudane próby
logowania to blokuj moŜliwość logowania na
30sek. Tryb Cichy.
Opóźnienie między losowaniami ustawione na
5sek.
Ruch z hosta 100.0.0.2 sklasyfikowany jako
dozwolony.
Zezwolenie hostowi z listy 1 na logowanie
pomimo Trybu Cichego.
JeŜeli ktoś się zalogował to naleŜy zalogować tę
informację.
JeŜeli komuś nie udało się zalogować to naleŜy
zalogować tę informację
Tworzy konto uŜytkownika admin z hasłem trybu
uprzywilejowanego ciscocisco w lokalnej bazie
danych.
A(config-line)#transport input
ssh
Zastępuje usługę Telnet usługą SSH.
A(config-line)#login local
Zezwolenie na logowanie za pomocą lokalnej
bazy danych.
103
[email protected]
http://tturba.tk
A(config)#crypto key generale rsa
Generacja szyfrowania asymetrycznego RSA i
włączenie protokołu SSH 1.9.
A(config)#ip ssh version 2
Włączenie protokołu SSH 2.0.
A(config)#ip ssh time-out 60
Ustawienie czasu oczekiwania prompta na 60sek.
A(config)#ip ssh authenticationretries 3
Zezwolenie na trzy maksymalne nieudane
logowania.
Logowanie zdarzeń związanych z protokołem
SSH.
Zezwolenie na 5 konkurentnych zalogowań
jednocześnie.
A(config)#ip ssh logging events
A(config)#ip ssh maxstartups 5
A(config)#banner motd #
NIEAUTORYZOWANY DOSTEP SUROWO
WZBRONIONY #
Ustalenie wiadomości powitalnej widocznej
przed zalogowaniem.
- zabezpieczenie konfiguracji i systemu operacyjnego:
Skopiowanie konfiguracji z pamięci RAM do
pamięci NVRAM.
Zabezpieczenie systemu IOS w pamięci Flash
routera.
Zabezpieczenie konfiguracji z NVRAM do
pamięci Flash routera.
A(config)#copy running-config
startup-config
A(config)#secure boot-image
A(config)#secure boot-config
- przesyłanie wiadomości i zalogowanych zdarzeń do serwera Syslog:
A(config)#logging on
A(config)#logging 12.0.0.2
A(config)#logging trap
notifications
Włączenie logowania systemowego.
Przesyłanie wiadomości do serwera Syslog na
adres 12.0.0.2.
Przesyłanie wiadomości tylko z poziomu piątego i
poniŜej.
- wyłączenie niepotrzebnych usług:
A(config)#no ip http server
A(config)#no ip ftp-server
A(config)#no ip bootp server
A(config)#no ip finger
A(config)#no ip source-route
A(config)#no ip redirects
A(config)#no ip gratuitous-arp
A(config)#no ip domain-lookup
Wyłączenie usługi WWW.
Wyłączenie usługi FTP.
Wyłączenie protokołu BOOTP.
Wyłączenie narzędzia FINGER.
Obrona przed atakiem IP Source-Routing.
Obrona przed atakiem IP Source-Routing.
Obrona przed MAC Spoofing.
Wyłączenie usługi translacji nazw domen.
104
[email protected]
http://tturba.tk
A(config-if)#no ip unreachables
Częściowa
obrona
przed
atakiem
DoS/DDoS.
A(config-if)#no ip directed-broadcasts Częściowa
obrona
przed
atakiem
DoS/DDoS.
A(config)#no service pad
Wyłączenie usługi PAD.
A(config)#no service tcp-smallWyłączenie usługi TCP-S-Services.
services
A(config)#no service udp-smallservices
A(config)#no snmp-server
Wyłączenie usługi UDP-S-Services.
Wyłączenie protokołu SNMP.
- zabezpieczenie protokołu NTP:
A#clock set 15:30:30 1 june
2009
A(config)#ntp master 1
A(config)#ntp authenticate
A(config)#ntp authenticationkey 1 md5 KLUCZYK
A(config)#ntp max-associations
3
A(config)#ntp trusted-key 1
A(config)#ntp logging
Zdefiniowanie prawidłowego czasu na
routerze.
Zdefiniowanie źródła rozgłoszeń czasu NTP.
Włączenie autentykacji protokołu NTP.
Zdefiniowanie klucza MD5 autentykacji na
wartość KLUCZYK
Synchronizowanie maksymalnie trzech
asocjacji.
Zdefiniowanie, który klucz jest zaufany.
Logowanie zdarzeń związanych z
protokołem NTP do serwera Syslog.
- opcjonalna konfiguracja 802.1x (autentykacji maszyny po porcie):
A(config)#aaa new-model
A(config)#aaa authentication
login default local
A(config)#aaa authentication
dot1x default group radius
local
A(config)#dot1x system-authcontrol
A(config-if)#dot1x portcontrol auto
A(config)#dot1x guest-vlan
supplicant
A(config)#dot1x auth-fail maxattmepts 3
Włączenie logowania mechanizmem AAA,
wymaganym do prawidłowego działania autentykacji
dot1x
UmoŜliwienie prawidłowego logowania do routera
po włączeniu mechanizmu AAA.
Zdefiniowanie autentykacji protokołu dot1x do
serwera Radius, lub gdy coś się z nim stanie – za
pomocą lokalnej bazy danych.
Włączenie autentykacji 802.1x
Zdefiniowanie roli portu na transmisję ramek
EAPoL.
Przeniesienie uŜytkownika nie obsługującego EAPoL
do VLANu z ograniczonymi zasobami.
Po 3 nieudanych próbach logowania przenosi
uŜytkownika do VLANu restrykcyjnego.
105
[email protected]
http://tturba.tk
A(config)#dot1x host-mode
single-host
A(config)#dot1x guest_vlan 6
Oznaczenie portu jako samotnego.
A(config)#dot1x auth-fail vlan
7
Zdefiniowanie VLANu z ograniczonymi zasobami.
Zdefiniowanie VLANu restrykcyjnego.
KONFIGURACJA PRZEŁĄCZNIKA A
- zabezpieczenie logowania – tak samo jak router A.
- zabezpieczenie konfiguracji i systemu operacyjnego – tak samo jak router A.
- przesyłanie wiadomości i zdarzeń do serwera Syslog – tak samo jak router A.
- konfiguracja port-security (powtórzyć dla kaŜdego interfejsu stacji roboczej):
A_SW(config-if)#switchport portsecurity
A_SW(config-if)#switchport portsecurity maximum 1
A_SW(config-if)#switchport portsecurity violation shutdown
A_SW(config-if)#switchport portsecurity mac-address sticky
A_SW(config-if)#switchport mode
access
A_SW(config-if)#switchport access
vlan 2
Włączenie uslugi port-security.
Zdefiniowanie maksymalnej dozwolonej liczby
adresów MAC na port przełącznika na 1.
Zdefiniowanie reakcji na podłączenie komputera
z innym adresem MAC niŜ ten w tablicy CAM.
Dynamiczna nauka adresu MAC do tablicy CAM
pierwszego wpiętego komputera.
Zdefiniowanie trybu access dla interfejsu.
Przypisanie portu do VLAN2.
- konfiguracja protokołu VTP:
A_SW(config)#vtp mode
server
A_SW(config)#vtp domain
FIRMA
A_SW(config)#vtp password
0x011A
A_SW(config)#vtp version 2
Ustawienie trybu pracy protokołu VTP jako serwer na
tym przełączniku.
Ustawienie domeny protokołu VTP na FIRMA.
Ustawienie hasła dla przesyłanych pakietów VTP na
0x011A
Ustawienie wersji protokołu VTP na 2.
- zabezpieczenie protokołu STP i DTP:
A_SW(config)#spanning-tree mode
rapid-pvst
A_SW(config)#spanning-tree vlan 2-5
priority 0
Ustawienie trybu pracy na Rapid-PVST.
Ustawienie na sztywno priorytetu 0 co
zapobiegnie nowej elekcji przełącznika
głównego.
106
[email protected]
http://tturba.tk
A_SW(config)#spanning-tree portfast
bpduguard enable
A_SW(config-if)#spanning-tree guard
root
A_SW(config-if)#switchport trunk
A_SW(config-if)#switchport
nonegotiate
A_SW(config-if)#switchport trunk
native vlan 10
Włączenie usługi BPDU Guard.
Włączenie usługi Root Guard.
Zmiana trybu portu na trunk.
Wyłączenie protokołu DTP.
Zdefniowanie VLAN’u natywnego na 10.
- zabezpieczenie przed atakami DHCP i ARP Spoofing:
A_SW(config)#ip dhcp snooping vlan 2
A_SW(config)#ip dhcp snooping
information option
A_SW(config)#ip dhcp snooping limit
rate 3
A_SW(config-if)#ip dhcp snooping
trust
A_SW(config)#ip arp inspection vlan
2
A_SW(config)#ip arp inspection
validate src-mac
A_SW(config-if)#ip arp inspection
trust
Włączenie usługi DHCP Snooping dla
VLAN2.
Włączenie usługi DHCP Snooping dla agenta
DHCP Relay.
Ustawienie limitu pakietów DHCP na 3/sek.
Ustawienie interfejsu zaufanego dla serwera
DHCP.
Włączenie usługi DAI dla VLAN2.
Klasyfikacja portu na podstawie źródłowego
adresu fizycznego.
Ustawienie interfejsu zaufanego dla
przełącznika.
KONFIGURACJA ROUTERA B
- zabezpieczenie logowania – tak samo jak router A.
- zabezpieczenie konfiguracji i systemu operacyjnego – tak samo jak router A.
- przesyłanie wiadomości i zdarzeń do serwera Syslog – tak samo jak router A.
- wyłączenie niepotrzebnych usług – tak samo jak router A.
107
[email protected]
http://tturba.tk
- zabezpieczenie protokołu NTP w trybie klienckim:
A(config)#ntp server 10.0.0.1
prefer
A(config)#ntp authenticate
A(config)#ntp authenticationkey 1 md5 KLUCZYK
A(config)#ntp trusted-key 1
A(config)#ntp logging
Zdefiniowanie źródła rozgłoszeń czasu NTP z
którego będą pobierane informacje czasowe.
Włączenie autentykacji protokołu NTP.
Zdefiniowanie klucza MD5 autentykacji na wartość
KLUCZYK
Zdefiniowanie, który klucz jest zaufany.
Logowanie zdarzeń związanych z protokołem NTP
do serwera Syslog.
- stworzenie mechanizmu Router-on-a-Stick w celu poprawnego routingu pomiędzy
VLAN’ami przełączników:
B(config)#interface fastethernet 0/1.2
B(config-subif)#encapsulation dot1Q 2
B(config-subif)#ip address 192.168.1.1
255.255.255.224
B(config)#interface fastethernet 0/1.3
B(config-subif)#encapsulation dot1Q 3
B(config-subif)#ip address
192.168.1.33 255.255.255.192
B(config)#interface fastethernet 0/1.4
B(config-subif)#encapsulation dot1Q 4
B(config-subif)#ip address
192.168.1.97 255.255.255.128
Utworzenie podinterfejsu w
interfejsie fizycznym Fa0/1.
Wskazanie enkapsulacji 802.1q dla
VLAN2.
Zdefniowanie podsieci dla VLAN2.
Utworzenie podinterfejsu w
interfejsie fizycznym Fa0/1.
Wskazanie enkapsulacji 802.1q dla
VLAN3.
Zdefniowanie podsieci dla VLAN3.
Utworzenie podinterfejsu w
interfejsie fizycznym Fa0/1.
Wskazanie enkapsulacji 802.1q dla
VLAN4.
Zdefniowanie podsieci dla VLAN4.
108
[email protected]
http://tturba.tk
- zdefiniowanie puli adresów DHCP (operacje powtórzyć dla VLAN3 i VLAN4
analogicznie):
B(config)#ip dhcp pool PULA_2
Zdefiniowanie nazwy puli.
B(dhcp-config)#network 192.168.1.0
255.255.255.224
B(dhcp-config)#dns-server 100.0.0.1
Zdefiniowanie zakresu adresów w puli.
B(dhcp-config)#default router
192.168.1.1
B(config)#ip dhcp excluded-address
192.168.1.1 192.168.1.1
Zdefiniowanie lokalizacji serwera
DNS.
Zdefiniowanie bramki domyślnej dla
puli.
Wyłączenie adresu interfejsu z puli
automatycznego przydziału.
KONFIGURACJA PRZEŁĄCZNIKA B
- zabezpieczenie logowania – tak samo jak router A.
- zabezpieczenie konfiguracji i systemu operacyjnego – tak samo jak router A.
- przesyłanie wiadomości i zdarzeń do serwera Syslog – tak samo jak router A.
- konfiguracja port-security – tak jak na przełączniku A.
- konfiguracja protokołu VTP – tak jak na przełączniku A.
- zabezpieczenie protokołu STP i DTP – tak jak na przełączniku A.
- zabezpieczenie przed atakami DHCP i ARP Spoofing – tak jak na przełączniku A.
- obrona przed niekontrolowanym sztormem rozgłoszeniowym:
B_SW(config)#interface range
fastethernet 0/2 – 23
B_SW(config-if)#storm-control
broadcast level 70
B_SW(config-if)#storm-control
action shutdown
Zdefiniowanie zasięgu interfejsów.
Zdefiniowanie procentowego poziomu
obciąŜenia łącza pakietami rozgłoszeniowymi.
Ustalenie standardowej akcji na przekroczenie
procentowego poziomu obciąŜenia.
- wprowadzenie restrykcji dostępu hosta 192.168.1.5 do reszty VLAN2.
B_SW(config)#access-list 101 permit ip
host 192.168.1.5 any
B_SW(config)#vlan access-map MAPA 10
B_SW(config-vacm)#match ip address 101
Zdefiniowanie ruchu do wyłączenia.
Zdefiniowanie mapy dostępu z numerem
sekwencyjnym 10.
Badanie pakietów sklasyfikowanych w
ACL 101.
109
[email protected]
http://tturba.tk
B_SW(config-vacm)#action drop
B_SW(config)#vlan access-map MAPA 20
B_SW(config-vacm)#action forward
B_SW(config)#vlan filter MAPA vlanlist 2
Zdefiniowanie akcji DROP dla pakietu
sklasyfikowanego do ACL 101.
Zdefiniowanie mapy dostępu z numerem
sekwencyjnym 20.
Zdefiniowanie akcji PERMIT dla pakietów
bez klasyfikacji.
Implementacja VACL MAPA do VLAN2.
KONFIGURACJA ROUTERA C
- zabezpieczenie konfiguracji i systemu operacyjnego – tak samo jak router A.
- przesyłanie wiadomości i zdarzeń do serwera Syslog – tak jak router A.
- wyłączenie niepotrzebnych usług – tak jak na routerze A,
- zabezpieczenie protokołu NTP w trybie klienckim – tak jak na routerze B.
- zabezpieczenie logowania za pomocą AAA:
C(config)#aaa new-model
C(config)#tacacs-server host
12.0.0.2 key KLUCZYK singleconnection
C(config)#aaa authentication
login default group tacacs
local
C(config)#aaa authentication
enable default group tacacs
enable
C(config-line)#login
authentication default
C(config)#aaa authentication
username-prompt USER:
C(config)#aaa authentication
password-prompt PW:
Włączenie logowania AAA.
Zdefiniowanie adresu serwera TACACS+ z kluczem
szyfrowania KLUCZYK oraz, Ŝe kaŜda transakcja
AAA nie jest osobnym połączeniem, tylko całością.
Zdefiniowanie podstawowego mechanizmu logowania
do serwera TACACS+, a jak zawiedzie to z lokalnej
bazy danych.
Zdefiniowanie podstawowego mechanizmu logowania
do trybu uprzywilejowanego do serwera TACACS+, a
jak zawiedzie to za pomocą starej komendy enable.
Przypisanie metody autentykacji do terminala.
Zdefiniowanie prompta nazwy uŜytkownika.
Zdefiniowanie prompta hasła uŜytkownika.
KONFIGURACJA ROUTERA D
- zabezpieczenie logowania – tak samo jak router A.
- zabezpieczenie konfiguracji i systemu operacyjnego – tak samo jak router A.
- przesyłanie wiadomości i zdarzeń do serwera Syslog – tak jak router A.
- wyłączenie niepotrzebnych usług – tak jak na routerze A,
110
[email protected]
http://tturba.tk
- zabezpieczenie protokołu NTP w trybie klienckim – tak jak na routerze B.
- konfiguracja tunelu VPN między routerem D, a routerem E:
D(config)#crypto isakmp enable
D(config)#crypto isakmp policy 1
D(config-isakmp)#authentication preshare
D(config-isakmp)#encryption aes 128
D(config-isakmp)#group 2
D(config-isakmp)#hash md5
D(config-isakmp)#lifetime 86400
D(config)#crypto isamkp key KLUCZYK
address 30.0.0.1
D(config)#crypto ipsec transform-set
TSET1 ah-md5-hmac esp-aes 128
D(cfg-crypto-trans)#mode tunnel
D(config)#crypto ipsec securityassociation life time seconds 3600
D(config)#access-list 101 permit ip
10.0.0.0 0.0.0.7 30.0.0.0 0.0.0.255
D(config)#crypto map MAPA 10 ipsecisakmp
D(config-crypto-map)#match address 101
D(config-crypto-map)#set peer 30.0.0.1
D(config-crypto-map)#set transform-set
TSET1
D(config-if)#crypto map MAPA
Włączenie szyfrowania za pomocą fazy
ISAKMP.
Zdefiniowanie polityki szyfrowania fazy
ISAKMP.
Zdefiniowanie metody autentykacji na
PSK.
Zdefiniowanie metody szyfrowania pakietu
na AES 128-bit.
Zdefiniowanie metody szyfrowania
asymetrycznego na DH 1024-bit.
Zdefiniowanie algorytmu haszującego na
MD5.
Zdefiniowanie czasu wygaśnięcia
połączenia na 24h.
Zdefiniowanie hasła symetrycznego na
KLUCZYK i wskazanie adresu docelowego.
Zdefiniowanie zestawu transformat fazy
IPsec na szyfrowanie AES 128-bit i
haszowanie MD5.
Zdefiniowanie szyfrowania całych
pakietów.
Zdefiniowanie czasu wygaśnięcia tunelu
IPsec na 1h.
Wskazanie adresu źródłowego i
docelowego.
Zdefiniowanie krypto mapy z numerem
sekwencyjnym 10 posługującej się
negocjacją dwóch faz.
Sklasyfikowanie ruchu z ACL 101.
Ustawienie celu na 30.0.0.1.
Wskazanie transformaty.
Przypisanie krypto mapy do interfejsu.
111
[email protected]
http://tturba.tk
- konfiguracja innowacyjnej strefowej ściany zaporowej (ang. Zone-Based Firewall):
D(config)#zone security INTERNET
D(config)#zone security LAN
D(config-if)#zone-member security INTERNET
D(config-if)#zone-member security LAN
D(config)#class-map type inspect match-any
CM1
D(config-cmap)#match protocol tcp
D(config-cmap)#match protocol http
D(config)#class-map type inspect match-any
CM2
D(config-cmap)#match protocol icmp
D(config)#access-list 102 permit 20.0.0.0
0.0.0.255 any
D(config)#class-map type inspect match-any
CM3
D(config-cmap)#match address 102
D(config)#policy-map type inspect PM1
D(config-pmap)#class type inspect CM1
D(config-pmap-c)#inspect
D(config-pmap)#class type inspect CM3
D(config-pmap-c)#pass
D(config-pmap)#class type inspect CM2
D(config-pmap-c)#drop
D(config)#zone-pair security LAN_INTERNET
source LAN destination INTERNET
D(config-sec-zone-pair)#service-policy type
inspect PM1
Zdefiniowanie strefy INTERNET
Zdefiniowanie strefy LAN
Przypisanie strefy INTERNET do
interfejsu zewnętrznego.
Przypisanie strefy LAN do interfejsu
wewnętrznego.
Sklasyfikowanie ruchu do inspekcji.
Klasyfikacja ruchu TCP.
Klasyfikacja ruchu http.
Sklasyfikowanie drugiego ruchu do
inspekcji.
Klasyfikacja ruchu ICMP.
Zdefiniowanie puli do klasyfikacji.
Sklasyfikowanie trzeciego ruchu do
inspekcji.
Klasyfikacja ACL 102.
Zdefiniowanie nazwy dla polityki
wykonawczej.
Sklasyfikowanie ruchu CM1 dla
polityki.
Wykonanie akcji inspekcji na ruchu
TCP i HTTP z wewnątrz.
Sklasyfikowanie ruchu CM3 dla
polityki.
Wykonanie akcji PERMIT na ruchu z
ACL 102.
Sklasyfikowanie ruchu CM2 dla
polityki.
Wykonanie akcji DROP dla ruchu
ICMP.
Powiązanie ze sobą stref tworząc
parę.
Przypisanie polityki wykonawczej do
pary stref.
UWAGA: Konfigurację naleŜy przeanalizować takŜe dla pary odwrotnej (INTERNET_LAN),
gdyŜ nie jest to ta sama klasyfikacja. Jednak z uwagi na fakt, Ŝe strefa INTERNET jest strefą
zewnętrzną, to wszystkie połączenia z niej przychodzące winny być zablokowane, poza tymi
które zostały nawiązane wewnątrz firmy, stąd nie zostaje tutaj opisana konfiguracja.
112
[email protected]
http://tturba.tk
KONFIGURACJA ROUTERA E
- zabezpieczenie logowania – tak samo jak router A.
- zabezpieczenie konfiguracji i systemu operacyjnego – tak samo jak router A.
- przesyłanie wiadomości i zdarzeń do serwera Syslog – tak jak router A.
- wyłączenie niepotrzebnych usług – tak jak na routerze A,
- zabezpieczenie protokołu NTP w trybie klienckim – tak jak na routerze B.
- konfiguracja tunelu VPN między routerem E, a routerem D – analogicznie jak na
routerze D.
- implementacja podglądania nawiązywanych połączeń TCP:
E(config)#ip tcp intercept mode
intercept
E(config)#access-list 103 permit
any any
E(config)#ip tcp intercept list 103
Badaj stan połączenia zanim zostanie wysłany
pakiet ACK.
Klasyfikacja ruchu.
Badaj ruch z ACL 103.
- implementacja mechanizmu IPS - obrony przez złośliwym oprogramowaniem:
E(config)#ip ips sdf location
flash://256MB.sdf
E(config)#ip ips notify SDEE
E(config)#ip ips name IPSRULE
E(config)#ip ips fail-closed
E(config-if)#ip virtualreassembly
E(config-if)#ip ips IPSRULE in
Zdefiniowanie lokalizacji do pliku z sygnaturami.
Zdefiniowanie akcji zgłaszania zdarzeń do lokalnego
serwera logów SDEE.
Zdefiniowanie nazwy dla sygnatur IPS
Brak zezwolenia na ruch pakietów podczas
kompilacji nowych sygnatur.
Utworzenie dynamicznej listy kontroli dostępu dla
pakietów, które zostały pofragmentowane.
Zdefiniowanie kierunku działania sensora IPS na
interfejsie.
113
[email protected]
http://tturba.tk
- implementacja starego mechanizmu ściany ogniowej:
E(config)#ip inspect name BADAJ_TCP
tcp
E(config)#ip inspect name
BADAJ_HTTP http
E(config)#ip inspect name ICMP_E
icmp router-traffic
E(config-if)#ip inspect BADAJ_TCP
in
E(config-if)#ip inspect BADAJ_HTTP
out
Zdefiniowanie inspekcji pakietów TCP.
Zdefiniowanie głębokiej inspekcji pakietów
HTTP.
Zdefiniowanie inspekcji dla pakietów ICMP
generowanych przez router.
Badanie pakietów TCP w kierunku
wchodzącym.
Badanie pakietów http w kierunku
wychodzącym.
PowyŜsza konfiguracja urządzeń stanowi optymalną formę zabezpieczenia systemu
informatycznego na czas teraźniejszy. Niektóre sposoby konfiguracji cechują się duŜą
skalowalnością, dlatego zostały zaimplementowane (VPN, ZFW, STP). [7]
114
[email protected]
http://tturba.tk
4.3. Skuteczny monitoring i zarządzanie
Monitoring w przedsiębiorstwie jest obowiązkowym czynnikiem zapewniającym właściwy
poziom zabezpieczeń, nie tylko systemu informatycznego. Realizowany jest na dwóch
płaszczyznach: monitorowania pomieszczeń oraz monitorowania zasobów systemu
informatycznego.
Monitorowanie pomieszczeń powinno przebiegać całodobowo pod nadzorem pracownika
ochrony. Skuteczne monitorowanie pomieszczeń szczególnie wraŜliwych na moŜliwość
wycieku, bądź uszkodzeń danych powinno być realizowane przez kilka kamer, w tym kamerę
noktowizyjną. W przypadku zainstalowania w pomieszczeniach czujników temperaturowych,
nie jest wymagane instalowanie drogiej kamery termowizyjnej, gdyŜ czujnik wykryje i
zaraportuje wszelkie nieprawidłowości.
Monitoring komputerowy jest znacznie bardziej skomplikowany. Urządzeń oznaczonych jako
te, które naleŜy monitorować w przedsiębiorstwie jest duŜo. Nie jest to kilka waŜnych
pomieszczeń, które moŜna obserwować na osobnych monitorach. TakŜe kaŜde urządzenie
inaczej rejestruje zdarzenia. WaŜne jest by standaryzować sposób raportowania i wyznaczyć
właściwy jego poziom. Wpływa to na efektywność pracy administratora przeglądającego logi
z urządzeń. Nie musi on marnować czasu na znane komunikaty systemu, które są jedynie
zdarzeniami informacyjnymi. SłuŜy do tego narzędzie Syslog, zbierające informacje z
urządzeń do jednego miejsca.
Istnieje siedem poziomów wiadomości Syslog:
Poziom 0: Niebezpieczeństwo
Poziom 1: Alarmy
Poziom 2: Błędy krytyczne
Poziom 3: Błędy
Poziom 4: OstrzeŜenia
Poziom 5: Notyfikacje – poziom standardowy
Poziom 6: Informacje
Poziom 7: Debugowanie
KaŜdy poziom odpowiada równieŜ wystąpieniu zagroŜenia w systemie. JeŜeli jest to poziom 0
to nastąpiło powaŜne naruszenie zasad bezpieczeństwa i systemowi grozi uszkodzenie. JeŜeli
poziom 0 jest największym zagroŜeniem, to poziom 7 oczywiście jest najmniejszym.
Przykładem dobrego narzędzia Syslog jest darmowy serwer Kiwi centralizujący zbieranie
informacji z urządzeń i ułatwiający ich przeglądanie za pomocą filtrów.
115
[email protected]
http://tturba.tk
Rys. 4.3.1. Zrzut ekranu z programu Kiwi Syslog
Źródło: http://kiwi-syslog-daemon.smartcode.com/screenshot.html (01.06.2009r)
Standardowo w urządzeniach Cisco poziom informacji Syslog jest ustawiony na Notyfikacje,
czyli w konsoli pojawiają się wszystkie zmiany interfejsów, zapisy plików konfiguracyjnych i
inne podobne rzeczy. W przypadku przeglądania logów przez administratora, takie
notyfikacje są dla niego zbędne, aczkolwiek zaleŜy w jakim celu logi są przeglądane. Być
moŜe administratorowi zaleŜy na badaniu osiągnięć swoich łącz i sieci, więc wtedy zdecyduje
się na poziom 6, lub 7. Jednak narzędzie Syslog nie jest efektywne w realizacji powyŜszego
zadania ze względu, Ŝe nie posiada graficznej reprezentacji danych, statystyk, a jedynie
przekazane informacje z urządzeń logujących.
Przykładem dobrego narzędzia do monitorowania działania sieci jest narzędzie LStat.
116
[email protected]
http://tturba.tk
Rys. 4.3.2. Zrzut ekranu z programu LStat
Źródło: Opracowanie własne
Narzędzie Lstat jest darmowe. Instalacja odbywa się w systemie operacyjnym Linux, a
konkretnie na serwerze dostępowym dla uŜytkowników sieci i Internetu.
Narzędzie Lstat poza rozwiązaniem instalacji na serwerze moŜna zrealizować poprzez metodę
SPAN lub RSPAN (ang. Remote Switch-Port Analyzer). Metoda SPAN polega na
kopiowaniu całego ruchu z wyznaczonego interfejsu (bądź interfejsów) sieciowego na
wyznaczony interfejs docelowy z którego ten ruch moŜe być zebrany i określony
statystykami. RóŜnica między trybem SPAN, a RSPAN jest taka, Ŝe ten drugi moŜna
realizować zdalnie.
Rys. 4.3.3. Schemat trybu SPAN i RSPAN kopiowania ruchu z interfejsów
Źródło: Opracowanie własne
117
[email protected]
http://tturba.tk
KONFIGURACJA RSPAN:
LEWY(config)#vlan 30
LEWY(config-vlan)#remote-span
LEWY(config)#monitor session 1 source
interface FastEthernet0/1 – 3
LEWY(config)#monitor session 1 destination
remote vlan 30 reflector-port
FastEthernet0/12
PRAWY(config)#monitor session 1 source
remote vlan 30
PRAWY(config)#monitor session 1 destination
interface FastEthernet0/10
Przejście do konfiguracji VLAN30.
Włączenie trybu RSPAN dla
VLAN30.
Wskazanie portów źródłowych z
których będzie kopiowany ruch.
Wskazanie portu przekazującego
ruch docelowy z VLAN30.
Wskazanie portu źródłowego, w
przypadku RSPAN jest to źródłowy
VLAN30.
Wskazanie portu docelowego na
który przekazywany będzie ruch.
JeŜeli jednak istnieje potrzeba monitorowania większej liczby uŜytecznych parametrów sieci i
urządzeń to naleŜy zainstalować narzędzie NetFlow skonstruowane specjalnie do
monitorowania zdarzeń z urządzeń firmy Cisco.
Rys. 4.3.4. Zrzut ekranu z programu NetFlow pokazujący różnorodność pakietów w transmisji
Źródło: Opracowanie własne
118
[email protected]
http://tturba.tk
W celu efektywnego monitoringu urządzeń Cisco za pomocą programu NetFlow warto jest
wprowadzić dodatkową konfigurację na urządzenia:
C(config-if)#ip route-cache flow
C(config)#ip flow-export destination
192.168.9.101 9996
C(config)#ip flow-export source
FastEthernet 0/1
C(config)#ip flow-export version 5
C(config)#ip flow-cache timeout active 1
C(config)#ip flow-cache timeout inactive
15
C(config)#snmp-server ifindex persist
C#show ip flow export
C#show ip cache flow
Włącza interfejs wysyłający pakiety na port
NetFlow.
Określenie celu i portu gdzie mają zmierzać
pakiety diagnostyczne.
Określenie jakie porty będą przedstawiane w
NetFlow.
Stosowanie NetFlow w wersji 5.
Zmiana czasu aktywności rozsyłania
pakietów diagnostycznych na minutę.
Odcinanie pakietów diagnostycznych, które
się ukończyły rozsyłać w czasie 15sek.
Zezwolenie na uŜywanie globalnych nazw
interfejsów zamiast adresów IP.
Pokazuje aktualną konfigurację NetFlow.
Pokazuje ile i jakie pakiety są eksportowane
do serwera NetFlow.
Z powyŜej konfiguracji jasno wynika, Ŝe narzędzie NetFlow wymaga działającego serwera
SNMP, co oznacza stworzenie podatności w sieci na atak.
Zarządzanie za pomocą protokołu SNMP w systemie informatycznym moŜna zrealizować na
dwa sposoby:
- zarządzanie w paśmie (ang. In-band) – ruch zarządzający przebiega przez sieć
produkcyjną co stanowi zagroŜenie jej działaniu i zwiększa obciąŜenie łącz.
- zarządzanie poza pasmem (ang. Out-of-band) – polega na odseparowaniu ruchu
zarządzającego poza sieć produkcyjną do osobnej podsieci stojącej za szyfrowanym
tunelem z fizycznym połączeniem dostępowym do kaŜdego urządzenia za pomocą
konsoli. Zmniejsza to obciąŜenie łącz, jednak jest znacznie droŜsze w implementacji
gdyŜ wymaga zupełnie nowego sektora z urządzeniami przekazującymi ruch
zarządzający do serwerów.
Z załoŜenia, protokołu SNMP nie powinno się stosować w sieci przedsiębiorczej. JeŜeli juŜ
istnieje szeroka potrzeba zdalnego zarządzania to naleŜy stosować protokół SNMP w wersji 3
z szyfrowaniem DES-56. Jednak jest to juŜ stary rodzaj szyfru, który bardzo łatwo złamać.
Nie mniej, Ŝeby działała aplikacja NetFlow naleŜy uŜywać protokołu SNMP ustalając hasło
MD5 oraz łańcuchy hasłowe typu ODCZYT (ro).
119
[email protected]
http://tturba.tk
Nigdy nie naleŜy uŜywać łańcuchów typu ZAPIS, gdyŜ złamanie prostego hasła umoŜliwia
zdalną rekonfigurację parametrów sieci.W kolejnym rozdziale dotyczącym testowania
zabezpieczeń zostaną wykorzystane narzędzia Kiwi Syslog i LStat w celu pokazania
efektywności zaimplementowanych sposobów bezpieczeństwa w fizycznie działającej sieci.
120
[email protected]
http://tturba.tk
5. Testowanie zabezpieczeń
ZałoŜenia wstępne:
Testowanie zabezpieczeń skonstruowanej sieci opiera się na badaniu parametrów
technicznych łącz lokalnych oraz statystyk z urządzeń L2, L3 i serwera. Sieć wykorzystana w
projekcie jest częścią realnie działającej sieci produkcyjnej. Jej zabezpieczenie odzwierciedla
realny stan. W przypadku przeprowadzania na nią ataków, autor pracy zobowiązał się do
niespowodowania szkód wynikających ze swoich działań i przeprowadzi ataki w taki sposób,
Ŝe mają tylko zasymulować rzeczywistą próbę uszkodzenia systemu. Rozumie się przez to
ciągły monitoring podczas prób i reakcję w razie wykrycia zbyt duŜego odchylenia od normy
w działaniu sieci.
Przeprowadzone zostaną ataki:
a) próba podszycia się na przełączniku atakiem MAC Spoofing
b) próba przejęcia przełącznika głównego w protokole STP
c) próba ograniczenia dostępności atakiem Smurf
d) próba podsłuchania hasła atakiem ARP Spoofing+IP source-routing+Socjotechnika
System jest monitorowany za pomocą:
- Lstat – dla ataków na dostępność
- Syslog – dla ataków wewnętrznych i zbliŜeniowych
- SDEE z poziomu SDM dla sensora IPS
Ad. A) MAC Spoofing:
Do przeprowadzenia ataku MAC Spoofing wykorzystano program MACoffset z pakietu
DSniff-2.3.
ATAK:
[root@ozimska ~dsniff-2.3]# ./macof
101.59.29.36 -> 60.171.137.91 TCP D=55934 S=322 Syn Seq=1210303300 Len=0 Win=512
145.123.46.9 -> 57.11.96.103 TCP D=44686 S=42409 Syn Seq=1106243396 Len=0 Win=52
109.40.136.24 -> 51.158.227.98 TCP D=59038 S=21289 Syn Seq=2039821840 Len=0 Win2
126.121.183.80 -> 151.241.231.59 TCP D=7519 S=34044 Syn Seq=310542747 Len=0 Win2
211.28.168.72 -> 91.247.223.23 TCP D=62807 S=53618 Syn Seq=2084851907 Len=0 Win2
183.159.196.56 -> 133.10.138.87 TCP D=23929 S=51034 Syn Seq=1263121444 Len=0 Wi2
19.113.88.77 -> 16.189.146.61 TCP D=1478 S=56820 Syn Seq=609596358 Len=0 Win=512
121
[email protected]
http://tturba.tk
237.162.172.114 -> 51.32.8.36
TCP D=38433 S=31784 Syn Seq=410116516 Len=0 Win2
118.34.90.6 -> 61.169.58.50 TCP D=42232 S=31424 Syn Seq=1070019027 Len=0 Win=52
46.205.246.13 -> 72.165.185.7 TCP D=56224 S=34492 Syn Seq=937536798 Len=0 Win=52
105.109.246.116 -> 252.233.209.72 TCP D=23840 S=45783 Syn Seq=1072699351 Len=0 2
60.244.56.84 -> 142.93.179.59 TCP D=3453 S=4112 Syn Seq=1964543236 Len=0 Win=512
151.126.212.86 -> 106.205.161.66 TCP D=12959 S=42911 Syn Seq=1028677526 Len=0 W2
9.121.248.84 -> 199.35.30.115 TCP D=33377 S=31735 Syn Seq=1395858847 Len=0 Win=2
226.216.132.20 -> 189.89.89.110 TCP D=26975 S=57485 Syn Seq=1783586857 Len=0 Wi2
124.54.134.104 -> 235.83.143.109 TCP D=23135 S=55908 Syn Seq=852982595 Len=0 Wi2
27.54.72.62 -> 207.73.65.108 TCP D=54512 S=25534 Syn Seq=1571701185 Len=0 Win=2
246.109.199.72 -> 1.131.122.89 TCP D=61311 S=43891 Syn Seq=1443011876 Len=0 Win2
251.49.6.89 -> 18.168.34.97 TCP D=25959 S=956 Syn Seq=6153014 Len=0 Win=512
51.105.154.55 -> 225.89.20.119 TCP D=33931 S=1893 Syn Seq=116924142 Len=0 Win=52
82.2.236.125 -> 210.40.246.122 TCP D=43954 S=49355 Syn Seq=1263650806 Len=0 Win2
21.221.14.15 -> 9.240.58.59
TCP D=61408 S=26921 Syn Seq=464123137 Len=0 Win=512
70.63.102.43 -> 69.88.108.26 TCP D=61968 S=53055 Syn Seq=682544782 Len=0 Win=512
REAKCJA:
Rys. 5.1. Ochrona na atak rozpowszechnianie MAC Spoofing
Źródło: Opracowanie własne
Ad. B) Ataki zbliŜeniowe na protokół STP
- Atak na BPDU przełącznika głównego polega na wpięciu nowego przełącznika do
portu stacji roboczej.
REAKCJA:
Rys. 5.2. Ochrona na atak na przejęcie roli przełącznika głównego
Źródło: Opracowanie własne
122
[email protected]
http://tturba.tk
- Atak na priorytet przełącznika głównego polega na wpięciu nowego przełącznika
między dwa inne działające w sieci.
REAKCJA:
Rys. 5.3. Ochrona na atak przejęcie roli przełącznika głównego
Źródło: Opracowanie własne
Ad. C) Atak Smurf
Atak na ograniczenie dostępności o nazwie Smurf moŜna zrealizować samemu, lub poprzez
skompilowany program w języku C, którego kod do własnej kompilacji moŜna znaleźć pod
adresem: http://www.rs-labs.com/papers/tacticas/ircutils/smurf.html
ATAK:
Rys. 5.4. Przykład konfiguracji do ataku Smurf
Źródło: http://www.ixiacom.com/
123
[email protected]
http://tturba.tk
REAKCJA:
Rys. 5.5. Reakcja systemu na lawinę pakietów ICMP oraz ich sposób ograniczenia
Źródło: Opracowanie własne
Ad. d) Atak ARP Spoofing
Z poziomu serwera atak ARP Spoofing powiedzie się zawsze, gdyŜ serwer kontroluje całym
ruchem sieciowym.
ATAK:
[root@ozimska ~linsniff]# ./linsniff -c
linsniff: listening on eth0
----------------06/03/09 10:09:48 tcp 192.168.8.4.1126 -> wwwin-apps.interia.pl.80 (http)
124
[email protected]
http://tturba.tk
GET /SERVICE/Paging/page/ HTTP/1.1
Host: wwwin-apps.interia.pl
Authorization: testownik c2Nvdlgh39UNMRH4lejDmaA== [sconvery:mojehaslo]
REAKCJA:
JednakŜe próbując odpalić aplikację linsniff na stacji roboczej będącej między źródłem, a
celem wynik skanowania nie zwraca Ŝadnych wartości, gdyŜ aplikacja linsniff nie potrafi
podmienić pakietów GARP, które zostały wyłączone. Film z przeprowadzonego ataku ARP
125
[email protected]
http://tturba.tk
6. Podsumowanie
Rozdział opisuje wnioski wynikające
wynikaj
z tekstu publikacji:
a) ZagroŜenie
enie bezpieczeństwa
bezpiecze stwa informatycznego jest czynnikiem niewątpliwie
niew
krytycznym. W celu zapewnienia nieprzerwalnej ochrony, administrator systemu musi
się ciągle uczyć.. Praca na stanowisku wymaga odporności
odporno ci psychicznej i fizycznej na
stres. JeŜeli
eli zawiedzie człowiek, to system takŜe.
tak e. Dlatego w przedsiębiorstwie
przedsi
powinien być podział na administratora od zarządzania
zarz dzania zasobami i na administratora
bezpieczeństwa danych
ch. Zapewni to skuteczny podział obowiązków.
zków.
b) Zrozumienie zagroŜenia
Ŝenia stanowi większą
wi
część rozwiązania
zania problemu. Wynika to z
faktu, Ŝe większość
ść ataków aktywnych odpalanych dzisiaj zatrzymuje się
si na ścianie
zaporowej systemu informatycznego. Natomiast przed atakami socjotechnicznymi
jedyną linią obrony jest człowiek. NaleŜy
Nale
zainwestować w jego szkolenie i
świadomość bezpieczeństwa,
bezpiecze
co potwierdzają dane z wykresu prezentowany
wykonany atak socjotechniczny:
Wynik ataku
30
20
10
0
Powodzenie
Wyłudzenie częściowe
Niepowodzenie
Rys. 6.1. Wyniki przeprowadzonego ataku socjotechnicznego
Źródło: Opracowanie własne
PowyŜsze
sze dane pokazują
pokazuj jak bardzo bezpieczeństwo
stwo w przedsiębiorstwie zaleŜy
zale od
informacji przekazywanej w sposób słowny. Jak łatwo jest manipulować
manipulowa człowiekiem
zatajającc psychologicznym płaszczem pytania w ankiecie,
ankiecie, pytając
pytaj
bezpośrednio
między
dzy innymi niewaŜnymi pytaniami.
126
[email protected]
http://tturba.tk
35
30
25
20
15
10
5
0
24
19
6
30
14
5
4
6
Rys. 6.2. Statystyki z ataku na podstawie płci
Źródło: Opracowanie własne
c) ZagroŜenia wewnętrzne
ętrzne i zbliŜeniowe
zbli
są najniebezpieczniejsze. JeŜeli
JeŜ pracownik nie
zauwaŜy podłączonego
czonego podsłuchu sprzętowego, czy teŜ podepnie znaleziony na
schodach nośnik
nik cyfrowy – to juŜ system informatyczny jest zagroŜony.
zagro
Dlatego
naleŜy pamiętać o przekazaniu pracownikom dokumentu polityki bezpieczeństwa
bezpiecze
i
jasno określić w nim jakie groŜą
gro sankcje za jej nieprzestrzeganie.
d) W celu stworzenia projektu systemu informatycznego, którego cechują:
cechuj dokładność,
rzetelność, jasność,
ść, funkcjonalność
funkcjonalno i skalowalność naleŜyy stosować
stosowa się do załoŜeń
modelu SDLC. Podział na etapy i fazy planowania, analizy, projektowania,
implementacji i zarządzania
ądzania określa
okre jasny zakres obowiązków
zków i zadań
zada do wykonania
przez określonych
lonych pracowników. KaŜdy
Ka dy projektant powinien realizować
realizowa swoją część,
kaŜdy
dy analityk swoją. Wszyscy w ostateczności
ostateczno
swoją pracę powinni skonsultować
skonsultowa
między sobą w grupie i dopiero zatwierdzić
zatwierdzi w sposób kompromisowy.
e) W pracy zostały zaprezentowane nowe rozwiązania
rozwi zania technologiczne, które dopiero są
s
wdraŜane w duŜych
ych systemach informatycznych.
Są to:
- strefowa zapora ogniowa (ang. Cisco Zone-Based
Zone Based Firewall) powoli
wypierająca
ca technologię CBAC (ang. Context-Based
Based Access Control).
ZałoŜenia
enia tej technologii opierają
opieraj się o istnienie stref wykluczonego dostępu
dost
pomiędzy
dzy którymi transmisja jest dozwolona tylko wtedy, kiedy została
skonfigurowana. Ułatwia to konfigurację
konfiguracj zapory ogniowej,, w ten sposób, Ŝe co nie
zostało jawnie udostępnione
pnione to jest niejawnie wykluczone z transmisji. Administrator
w efektywny sposób moŜe
mo kontrolować zasoby jakie udostępnia.
pnia. Dodatkowym atutem
strefowej zapory ogniowej jest jej niŜsze
ni
wykorzystywanie zasobów niŜ
ni w przypadku
analizy kaŜdego
dego przechodzącego
przechodz cego pakietu w mechanizmie CBAC, co pokazuje wykres
porównawczy pracy zajęcia
zaję zasobów:
127
[email protected]
http://tturba.tk
Rys. 6.3. Wykorzystanie procesora podczas pracy z pakietami w technologii CBAC
Źródło: Opracowanie własne
Rys. 6.4. Wykorzystanie procesora podczas pracy stref w technologii ZFW
Źródło: Opracowanie własne
- tunel IPsec VPN, który staje się preferowanym sposobem komunikacji WAN
pomiędzy oddziałami przedsiębiorstw. Administrator systemu informatycznego
powinien zwrócić szczególną uwagę na zaznajomienie się z ową technologią.
Pomimo, Ŝe z rysunku 6.5. jasno wynika, Ŝe wykorzystanie zasobów przez bardzo
mocne szyfrowania obciąŜają serwer, to jest to obecnie najbardziej bezpieczna
technologia transmisji danych pomiędzy oddziałami.
128
[email protected]
http://tturba.tk
Rys. 6.5. Wykorzystanie pamięci przy pracy w tunelu VPN
Źródło: Opracowanie własne
- autentykacja 802.1x – w połączeniu z port-security stanowi bardzo silne
zabezpieczenie w przypadku wystąpienia ataków wewnętrznych lub zbliŜeniowych.
Stosowanie obu metod naraz wyklucza w duŜym stopniu ataki podszywania się pod
MAC, ARP, DHCP, STP.
- IPS – w przypadku sensorów wykrywania intruzów naleŜy pamiętać, Ŝe
sensor nie potrafi wykryć zagroŜenia idącego z szyfrowanego tunelu IPsec. W tym
celu na stacji roboczej musi być zainstalowany program chroniący przed złośliwym
oprogramowaniem (antywirus, anty-spyware).
f) najlepsze rozwiązania obejmują:
- hierarchiczny podział uŜytkowników grupy z ograniczonymi przydziałami
praw dostępu na tyle na ile wymaga ich praca – technologia AAA, RB-CLI.
- wyłączenie protokołu Telnet w zastępstwie protokołu SSH.
- uŜywanie mocnej autentykacji i szyfrowania w pozostałych uŜywanych
protokołach:
- usługowe: NTP, SNMP, VTP, HTTPS, SCP, ESMTP, POP3
- routingu: RIPv2, EIGRP, OSPF, IS-IS
- wyłączenie wszystkich usług na urządzeniach, które nie są uŜywane.
- dbać o prawidłową archiwizację danych pracowników oraz raportów
generowanych przez urządzenia w codziennej pracy.
- wyłączyć pracownikom moŜliwość logowania do systemu w godzinach nie
związanych z ich czasem pracy.
- raportowanie wszystkich anomalii, usterek, oraz sposobów naprawy.
- codzienne przeglądanie serwisów internetowych poświęconych
bezpieczeństwu, oraz czytanie prasy, gdyŜ wiedza to podstawa dobrego
administratora bezpieczeństwa.
129
[email protected]
http://tturba.tk
- uŜywanie legalnego oprogramowania.
- instalacja codziennych aktualizacji (o ile to moŜliwe) programów
antywirusowych, systemów operacyjnych, systemów sieciowych i innych łatek
programów uŜywanych w systemie informatycznym.
- wykonywanie testów penetracyjnych na sektorze sieci, którego potencjalne
uszkodzenie nie wywoła fali kolejnych zagroŜeń dla krytycznej transmisji sieci
produkcyjnej.
- wykonywanie szkoleń pracowników raz do roku oraz zapoznanie z polityką
bezpieczeństwa kaŜdego nowego pracownika.
g) Niniejsza publikacja ma być praktycznym zestawem wskazówek jak się bronić przed
zagroŜeniami oraz wyznaczać skutecznie linie obrony w sektorze bezpieczeństwa systemu
informatycznego, więc załoŜenia wstępne z rozdziału 2. zostały zrealizowane.
130
[email protected]
http://tturba.tk
7. Literatura
[1] – Wendell Odom, „CCNA Official Exam Certification Library (CCNA Exam 640-802),
3rd Edition”, Cisco Press, San Francisco 2007.
[2] – Michael Watkins, Kevin Wallace, „CCNA: Security Official Exam Certification Guide
(Exam 640-553)”, Cisco Press, San Francisco 2008.
[3] – Kevin D. Mitnick, William L. Simon, „The Art of Deception: Controlling the Human
Element of Security”, Wydawnictwo Wiley, 2002.
[4] – Maciej Wiśniewski, „Emisja elektromagnetyczna – analiza zagroŜeń dla poufności
danej”, Politechnika Poznańska, Poznań 2000.
[5] – Zespół CERT.pl, „Analiza incydentów naruszających bezpieczeństwo teleinformatyczne
zgłaszanych do zespołu CERT Polska w roku 2008”, CERT Polska, Warszawa 2009.
[6] – National Security Agency, „The 60 minute Network Security Guide”, National Security
Agency, 2006.
[7] – Anthony Sequeira, „CCNA Security Quick Reference”, Cisco Press, San Francisco,
2009.
[8] – Russell Lusignan, Olivier Steudler, Jacques Allison, „Managing Cisco Network
Security”, Syngress, 2009.
[9] – Karen Scarfone, Paul Hoffman, „Guidelines on Firewalls and Firewall Policy:
Recommendations of the National Institute of Standards and Technology”, NIST,
Gaithersburg, 2008
[10] – Łukasz Bromirski, „Bezpieczeństwo Sieci – prezentacja”, Kraków, 2009.
[11] – Łukasz Bromirski, „How to attack, defend and 0wn network for fun, fun & fun”,
CONFidence, 2005.
[12] - Model SDLC, http://en.wikipedia.org/wiki/Systems_Development_Life_Cycle
(04.06.2009)
131
[email protected]
http://tturba.tk
Spis rysunków
Rys. 1.1. Oryginalne zdjęcie komputera Eniac zajmującego powierzchnię 140m2
Rys. 1.2. Typowy historyczny schemat logiczny sieci Ethernet w topologii współdzielonej magistrali
Rys. 1.3. Wzór ramki DIX
Rys. 1.4. Oficjalny wzór ramki Ethernet IEEE 802.3 stosowany w sieciach LAN wraz z różnicami do pierwowzoru
Rys. 3.1. Rodzaje użytkowników pozyskujących informacje i ich współczesny podział
Rys. 3.2. Richard Stallman „Ostatni wielki haker”. Haker-aktywista w białym kapeluszu
Rys. 3.3. Kevin Mitnick – najsłynniejszy pochwycony socjotechnik, phreaker i haker w czarnym kapeluszu
Rys. 3.1.1.1. Schemat ideowy współpracy komputera NPE 9201 i systemów UPS
Rys. 3.1.1.2. Instalacja grożąca zagrożeniem braku rozeznania w topologii
Rys. 3.1.1.3. Przykład instalacji sumującej zagrożenie nieznajomości topologii, naprężenia sprzętu i pożaru
Rys. 3.1.1.4. Schemat ideowy działania komputera przemysłowego TechBase NPE 9201
Rys. 3.1.1.5. Przykładowa topologia logiczna struktury sieciowej przedsiębiorstwa podczas codziennej pracy
Rys. 3.1.1.6. Przykłady wszystkich lokalizacji odtwórczych dla topologii przedsiębiorstwa z rysunku 3.1.1.3
Rys. 3.1.2.1. Przykład umiejscowienia podsłuchu sprzętowego
Rys. 3.1.2.2. Przykłady snifferów, podsłuch w sieci Ethernet kabla UTP; podsłuch w sieci Thicknet kabla RG-8
Rys. 3.1.2.3. Przykłady różnych sprzętowych przechwytywaczy
Rys. 3.1.2.4. Miejsca potencjalnych prób instalacji podsłuchu klawiszowego
Rys. 3.1.2.5. Sposób emisji pola elektromagnetycznego przez urządzenie elektryczne.
Rys. 3.1.2.6. Przykład oryginalnego obrazu i jego wycieku elektromagnetycznego na monitorze oddalonym o 15m
Rys. 3.1.2.7. Parametry techniczne drzwi antywłamaniowych firmy Gerda Star SX
Rys. 3.1.3.1. Cykl życiowy ataku socjotechnicznego
Rys. 3.1.3.2. Algorytm skutecznej obrony w strukturze przedsiębiorczej
Rys. 3.2.1. Prezentowane kategorie ataków odnotowanych do CERT Polska w 2008r
Rys. 3.2.2. Rozkład liczbowy zaprezentowanych typów incydentów w kategoriach
Rys. 3.2.3. Powiązane klasy ataków z celami nadrzędnymi naruszenia bezpieczeństwa danej
Rys. 3.2.1.1. Przykład użycia narzędzia ping i tracert w systemie Windows XP
Rys. 3.2.1.2. Przykład użycia narzędzia ping i traceroute na routerze Cisco 7200
Rys. 3.2.1.3. Przykład użycia narzędzia ping i traceroute w systemie Linux
Rys. 3.2.1.4. Schemat skanowania sieci za pomocą polecenia ping
Rys. 3.2.1.5. Zrzut ekranu z udanego skanowania przeprowadzonego przez narzędzie Nmap
Rys. 3.2.1.6. Przykład użycia narzędzia finger w systemie Linux
Rys. 3.2.1.7. Współczesne topologie sieci lokalnej Ethernet
Rys. 3.2.1.8. Zrzut ekranu z programu Wireshark firmy Cisco
Rys. 3.2.1.9. Schemat rozgłaszania pakietów przez koncentrator i przechwytywania ruchu przez napastnika
Rys. 3.2.1.10. Schemat przełączania ramki w topologii Ethernet z zastosowaniem przełącznika
Rys. 3.2.1.11. Zrzut ekranu z programu tcpdump ustawionego do przechwytywania pakietów SMTP
Rys. 3.2.1.12. Zrzut ekranu z konfiguracji routera z zagrożeniem ataku „przez-ramię”
Rys. 3.2.2.1. Schemat aktywnego ataku na poufność danej na przykładzie ataku na bank
Rys. 3.2.2.2. Schemat ataku IP Spoofing
Rys. 3.2.2.3. Schemat ataku IP source-route
Rys. 3.2.2.4. Przedstawienie zapełniania tablicy CAM na przełączniku w normalnej pracy i przy podszywaniu się
Rys. 3.2.2.5. Schemat ataku DHCP Spoofing
Rys. 3.2.2.6. Schemat wstrzykiwania pakietów ARP Reply i konsekwencje przekłamań w tablicach ARP komputerów
Rys. 3.2.2.7. Schemat ataku VLAN Hopping
Rys. 3.2.2.8. Schemat ogólnego ataku na integralność danej
Rys. 3.2.2.9. Drzewo klasyfikacji złośliwego oprogramowania
Rys. 3.2.2.10. Zrzuty ekranów głównych najbardziej znanych koni trojańskich – NetBus oraz Back Oriffice
Rys. 3.2.2.11. Fazy ataku robaka komputerowego
Rys. 3.2.2.12. Zrzut ekranu z wydobytymi hasłami za pomocą narzędzia Cain
Rys. 3.2.2.13. Schemat ogólnego aktywnego wyżerania zasobów z atakowanego serwera
Rys. 3.2.2.14. Schemat ataku TCP SYN Flood
4
5
6
6
10
11
12
18
19
20
21
22
23
24
25
26
27
28
30
32
33
43
45
46
47
49
49
50
51
53
54
55
56
56
58
58
59
63
64
65
66
67
69
71
72
74
75
76
78
79
79
132
[email protected]
http://tturba.tk
Rys. 3.2.2.15. Schemat ataku Smurf
Rys. 3.2.2.16. Schemat ataku zbliżeniowego STP
Rys. 3.2.2.17. Schemat ataku VTP
Rys. 4.1.1. Schemat modelu wodospadowego na podstawie ogólnego modelu SDLC
Rys. 4.1.2. Schemat modelu spiralnego na podstawie ogólnego modelu SDLC
Rys. 4.1.1.1. Adresacja w topologii fizycznej sieci zastosowanej w projekcie
Rys. 4.1.1.2. Schemat co zostało zaimplementowane na poszczególnych urządzeniach.
Rys. 4.3.1. Zrzut ekranu z programu Kiwi Syslog
Rys. 4.3.2. Zrzut ekranu z programu LStat
Rys. 4.3.3. Schemat trybu SPAN i RSPAN kopiowania ruchu z interfejsów
Rys. 4.3.4. Zrzut ekranu z programu NetFlow pokazujący różnorodność pakietów w transmisji
Rys. 5.1. Ochrona na atak rozpowszechnianie MAC Spoofing
Rys. 5.2. Ochrona na atak na przejęcie roli przełącznika głównego
Rys. 5.3. Ochrona na atak przejęcie roli przełącznika głównego
Rys. 5.4. Przykład konfiguracji do ataku Smurf
Rys. 5.5. Reakcja systemu na lawinę pakietów ICMP oraz ich sposób ograniczenia
Rys. 6.1. Wyniki przeprowadzonego ataku socjotechnicznego
Rys. 6.2. Statystyki z ataku na podstawie płci
Rys. 6.3. Wykorzystanie procesora podczas pracy z pakietami w technologii CBAC
Rys. 6.4. Wykorzystanie procesora podczas pracy stref w technologii ZFW
Rys. 6.5. Wykorzystanie pamięci przy pracy w tunelu VPN
80
82
83
88
89
93
94
116
117
117
118
122
122
123
124
124
126
127
128
128
129
133