Cwiczenie 3 - IDS i ataki sieciowe
Transkrypt
Cwiczenie 3 - IDS i ataki sieciowe
Zarządzanie Bezpieczeństwem Sieci Zarządzenie bezpieczeństwem Sieci Aplikacje IDS oraz monitory sieci - Metody ataków sieciowych i ich wykrywanie Celem ćwiczenia jest poznanie oprogramowania typu IDS oraz oprogramowaniem typu analizatory sieci. Zapory ogniowe nie zapewnią pełni bezpieczeństwa. Drugą linię obrony stanowią sieciowe systemy wykrywania włamań (IDS - Intrusion Detection System). Aplikacje IDS monitorują, wykrywają i reagują w czasie rzeczywistym na nieautoryzowane działania w sieci. 1. Atak typu ArpSpoof Przeprowadź atak typu ArpSpoof w sieci zbudowanej wg poniższego schematu: a) Przed atakiem sprawdź (np. za pomocą dowolnego monitora sieci) jak wygląda ruch w sieci. Sprawdź też jak wyglądają wpisy arp. b) Komputer Atakujący i atakowany znajdują się w sieci lokalnej. W knoppix można posłużyć się programem „arpspoof”, w Windows „WinArpSpoof”. Powtórz krok 3a. c) Dodaj forwardowanie (przekazywanie) pakietów na komputerze atakującym. d) Zobacz, co pokazał system IDS (programy: Snort, artwatch). Zobacz także, jak wyglądają wpisy arp na atakowanym komputerze. mgr inż. Łukasz Jopek Zarządzanie Bezpieczeństwem Sieci e) Dodaj statyczny wpis to tablicy arp zawierający prawidłowe odwzorowanie adresu IP na adres fizyczny bramy. Czy nadal transmisja przepływa przez atakujący komputer? 2. Atak typu ARP Poisoning Przeprowadź atak wg punktu 1, spróbuj zaatakować więcej niż jeden komputer naraz (włącznie z bramą, tak, żeby przechwycić ruch z bramy do atakowanych komputerów.) 3. Atak typu DNS-spoofing Przeprowadź atak typu ArpSpoof w sieci zbudowanej wg poprzedniego schematu. Komputer Atakujący i atakowany znajdują się w sieci lokalnej. Skonfiguruj Firewall tak, żeby w sieci lokalnej można było przeglądać strony WWW. Sprawdź, co pokazały narzędzia IDS. 4. Atak typu ICMP Redirect, ICMP Router Advertisement - Protokół IRDP (ICMP Router Discovery Protocol) Metoda polega na rozsyłaniu spreparowanych pakietów ICMP, ze sfałszowanym adresem IP bramy. Metoda zabezpieczenia przed atakiem tego typu pod Linuxem polega na wyłączeniu tego protokołu: echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects [ICMP Type] Redirect [ICMP Code] Redirect For Host [ICMP Pref Gateway] Adres_bramy UWAGA! Zadania nr 1 i 2 mozna wykonać przy pomoca generatorów pakietów : • packETH • gspoof • ipmagic 5. Zadanie dodatkowe : Przy pomocy generatora pakietów, np. PackETH przeprowadź atak typu Dos a) z zewnątrz sieci b) z wewnątrz sieci c) Atak typu LAND (np. Protokół TCP, port 80, flagi SYN i/lub ACK) Opis ataku: Komputery atakującego wysyłają do komputera ofiary po jednym pakiecie TCP i UDP na portach 80, 110, 443 i 628, spreparowanym poprzez ustawienie adresu IP odbiorcy pakietu jako źródło pakietu, często również posiadające flagi SYN i/lub ACK. mgr inż. Łukasz Jopek