Wykład 6: Bezpieczeństwo w sieci

N,
Wykład 6:
Bezpieczeństwo w sieci
A. Kisiel, Bezpieczeństwo w sieci
1
Ochrona danych
■
Ochrona danych w sieci musi zapewniać:

Poufność – nieupoważnione osoby nie mają
dostępu do danych

Uwierzytelnianie – gwarancja pochodzenia

Nienaruszalność – brak modyfikacji i/lub
dodania niepożądanych danych

Kontrolę dostępu – wiadomo, kto i kiedy miał
dostęp do danych

Dostępność – osoby uprawnione muszą mieć
ciągły i niezakłócony dostęp do danych
A. Kisiel, Bezpieczeństwo w sieci
2
Poziom bezpieczeństwa
Nawet minimalne nakłady na bezpieczeństwo
powodują znaczące jego zwiększenie
■ Nie ma możliwości osiągnięcia pełnego
bezpieczeństwa sieci i danych
■
Poziom
bezpieczeństwa
maksymalny
średni
Nakłady
minimalny
minimalne
średnie
A. Kisiel, Bezpieczeństwo w sieci
duże
3
Warstwowy model bezpieczeństwa
Warstwa
Zasoby fizyczne
Warstwa dostępu do sieci
Przykłady zagrożeń/ataków
Awaria zasilania, zalanie, pożar, przegrzanie, włamanie
lub kradzież, uszkodzenia łączy, nieuprawniony dostęp
fizyczny do sprzętu lub infrastruktury
Sniffing, arp-spoofing, mac-flooding
Warstwa Internetu
Spoofing, icmp-redirect, icmp-flood
Warstwa transportowa
Skanowanie, DoS, DDoS, DNS-spoofing
Warstwa aplikacji
Buffer overflow, string formatting, SQL injection, wirusy,
konie trojańskie, robaki, błędy w skryptach, backdoor
Człowiek
Social engineering, „hasło pod klawiaturą”, nieuwaga
■
Procedura bezpieczeństwa organizacji powinna
zapewniać:

Zapobieganie zagrożeniom

Wykrywanie i aktywne przeciwdziałanie

Procedury postępowania po ataku
A. Kisiel, Bezpieczeństwo w sieci
4
Podstawowe narzędzia bezpieczeństwa
Firewall („zapora ogniowa”) - filtrowanie pakietów
(mogą działać w w. sieci, transportowej i na
poziomie połączeń)
■ Architektura sprzętowa oparta o switche
■ NAT i sieci lokalne oparte o adresy nieroutowalne
■ Kryptografia używana w połączeniach sieciowych
(w tym VPN) oraz do szyfrowania wiadomości
■ Aktywny i pasywny system wykrywania włamań
IDS (Intrusion Detection System)
■ Oprogramowanie antywirusowe (na komputerach
lokalnych i na serwerach np. poczty)
■ Regularny i automatyczny backup
■
A. Kisiel, Bezpieczeństwo w sieci
5
Zasady bezpiecznej konfiguracji
Stosujemy system operacyjny z kontrolą dostępu,
eskalacją uprawnień, systemem plików z kontrolą
dostępu (Administrator na Windowsach ...)
■ Do zdalnego logowania/zarządzania tylko połączenia
szyfrowane (SSH, ...)
■ Minimalizacja ilości programów działających na
komputerze (tylko to co absolutnie konieczne)
■ Częste instalacje aktualizacji oprogramowania
■ Serwer nigdy nie służy do pracy interaktywnej
(biurowej, przeglądania Internetu ...)
■ Każda uruchomiona usługa precyzyjnie
konfigurowana (unikamy konfiguracji domyślnej)
■ Przynajmniej na serwerze: firewall, IDS, backup
■ Logowanie aktywności (najlepiej z kopią na zewnątrz)
■
A. Kisiel, Bezpieczeństwo w sieci
6
Projektowanie sieci
Często sieć lokalna składa się z wielu logicznych
podukładów (np. serwery, działy firmy, dział IT)
■ Poszczególne części są w inny sposób narażone na
niebezpieczeństwa, inne są też konsekwencje
incydentów
■ Wskazane jest podzielenie sieci na strefy, każda z
własną polityką bezpieczeństwa. Można je
oddzielić np. routerami (i/lub firewallem), oraz
mieć przynajmniej jeden IDS na każdą strefę.
■ Komputery będą dobrze chronione przed atakami
spoza strefy, ale będą narażone na ataki z
wewnątrz. Włamanie na jeden z komputerów
strefy oznacza zwykle przejęcie całej strefy.
■
A. Kisiel, Bezpieczeństwo w sieci
7
Rozpoznawanie sieci
■
Pierwszym etapem ataku na sieć jest uzyskanie maksymalnej
ilości informacji o niej:

Analiza zasobów internetowych (strony oficjalne, fora
dyskusyjne, materiały promocyjne) – zdrowy rozsądek

Inżynieria społeczna – podszywanie się pod osoby
upoważnione i uzyskiwanie danych o sieci – zdrowy
rozsądek i szkolenie użytkowników

Analiza wpisów DNS i Whois – minimalizacja zbędnych
wpisów

Mapowanie sieci (uzyskiwanie listy aktywnych numerów IP
i topologii połączeń) – poprzez np. ICMP (ping) i
traceroute – blokowanie ICMP, IDS

Skanowanie portów – próba ustalenia na których portach
TCP/UDP nasłuchują procesy serwerów – konfiguracja
serwerów, IDS
A. Kisiel, Bezpieczeństwo w sieci
8
Identyfkacja systemu operacyjnego
■
W wyniku rozpoznania sieci zwykle wybrany
zostaje cel ataku. Następuje szczegółowa analiza
danego urządzenia, w tym identyfikacja systemu
operacyjnego

Winietki zwracane przez usługi na serwerze –
usunięcie zbędnych informacji

Analiza implementacji protokołu TCP/IP – czyli
implementacji funkcjonalności które nie zostały
dostatecznie szczegółowo zdefiniowane, lub są
zaimplementowane błędnie (np. TTL)

Podobnie jak wyżej ale dla ICMP

Podsłuchiwanie ruchu do/z systemu (konieczny
dostęp do urządzenia w tej samej sieci)
A. Kisiel, Bezpieczeństwo w sieci
9
Włamanie do sieci lub systemu
Uzyskanie kombinacji login-hasło

Inżynieria społeczna – hasła oparte na powszechnie dostępnych
danych personalnych, „hasło pod klawiaturą”, itp.

Metoda brute-force (sprawdzenie wszystkich możliwości) –
zwykle wymaga lokalnego konta

Podsłuchiwanie ruchu sieciowego (hasła wysyłane w postaci
otwartej)
■ Wykorzystanie „backdoors”

Świadomie umieszczone w serwerze metody uzyskiwania
dostępu do systemu

Specjalne programy zainstalowane w trakcie włamania
■ „Exploits” - błędy w oprogramowaniu

„buffer overflow”, „string formatting” - zmiana kodu programu
przez dane wysyłane

„SQL injection” - skłonienie serwera bazy danych do
wyświetlenia informacji z bazy danych
■
A. Kisiel, Bezpieczeństwo w sieci
10
Podszywanie się „spoofing”
■
Podszywanie się pod inną osobę/system/proces w
celu przejęcia informacji/sesji/komunikacji

arp-spoofing – komunikacja na dany numer IP
jest wysyłana na inny adres ARP (sieć lokalna)

TCP spoofing – próba włączenia się lub
nawiązania połączenia TCP, tak aby przejąć
transmisję informacji

„man-in-the-middle” attack – próba
przekierowania połączenia tak aby przebiegało
przez podsłuchujący system (sygnatury)

DNS spoofing – podanie fałszywej odpowiedzi
DNS i przejęcie połączenia do danego hosta
A. Kisiel, Bezpieczeństwo w sieci
11
Destabilizacja pracy
■
Możliwy jest też atak na sieć polegający nie na
włamaniu do systemów, a na zakłóceniu jej pracy

Pochłanianie pasma (wejściowego lub
wyjściowego) – np. ICMP

Pochłanianie zasobów – np. inicjowanie dużej
ilości połączeń TCP

Zmiana routingu (ICMP) i ataki na DNS
(zatruwanie „cache”, zalew zapytań DNS)

Unieruchamianie serwerów przez wykorzystanie
błędów w implementacji usług sieciowych

DoS i DDoS – skoordynowana akcja jednego lub
wielu komputerów zalewająca serwer/sieć
ogromną ilością informacji/zapytań
A. Kisiel, Bezpieczeństwo w sieci
12