Rodzaje zagrożeń w sieci

Udostępnione w Security 0 komentarzy

Bezpieczeństwo użytkowników w sieci jest najważniejsze. Niestety nieświadomość zagrożeń wpływa na podatność utraty cennych danych. Zawsze tak było i będzie, że użytkownicy są najsłabszym ogniwem jakichkolwiek zabezpieczeń. To ich brak wiedzy, lenistwo lub zwykła bezmyślność może doprowadzić do niewystarczającej ochrony. Nie jest żadną nowością, że Internet jest najpopularniejszym medium, które pozwala na łątwą i szybką wymianę informacji. Oprócz pozytywnych aspektów używania sieci, istnieje wiele form nieuczciwości i naruszenia bezpieczeństwa danych. Żeby dokładniej przybliżyć niebezpieczeństwa poniżej krótko przedstawiam mój podział ewentualnych ataków na sieć (host/-y).

Podział ataków:

Ataki w warstwie drugiej – łącza danych, modelu OSI:

1) atak na tablicę MAC, czyli MAC flooding wykorzystujący skończoną wielkość tablicy CAM. W momencie przepełnienia tej tablicy, wszystkie ramki, które przychodzą na określony port, będą wysyłane na pozostałe porty switch’a. Do przeprowadzenia ataku może posłużyć Macof z pakietu Dsniff lub Yersinia. Rozwiązanie ochronne to m.in.: port security.

2) atak na protokół ARP, czyli ARP spoofing – łatwość w przechwytywaniu haseł w ruchu między innymi FTP, Telnet, http (czyli np. hasła i loginy z forum lub bloga), POP (czyli loginy i hasła z poczty internetowej)… wystarczy skorzystać z dobrych snifferów (Wireshark, Tcpdump, Ettercap, Dsniff, Snort). Jest to atak typu MITM, czyli popularny Man In The Middle. Atak ARP spoofing polega na podszywaniu się agresora pod jednym z komputerów w sieci poprzez wysłanie wielu sfałszowanych adresów ARP Reply co powoduje (celowe i błędne) zmiany wpisów w systemie odwzorowań ARP pamięci podręcznej. Jednym z rozwiązań bezpieczeństwa jest, na przykład, Dynamic ARP Inspection.

3) MAC spoofing, czyli zmiana adresu MAC u intruza na MAC ofiary co może prowadzić do zmiany w tablicy przełączania. Atak jest mało skuteczny bo prowadzi przeważnie do częściowego przechwytu danych. W przełącznikach zabezpieczeniem prze takim atakiem są statyczne wpisy w tabeli przełączania.

4) DHCP spoofing jest kolejnym typem ataku MITM przeprowadzanym na serwer DHCP, który umożliwia uzyskanie danych do konfiguracji w sieci, czyli adres IP hosta, maski, adres IP bramy, adres serwera DNS. Atak polega na manewrowaniu komunikatami DHCP Offer oraz DHCP Ackonwledge. Narzędziem do przeprowadzenia tego ataku jest Ettercap, który po odpowiedniej konfiguracji będzie fałszywym serwerem DHCP. Jednym z rozwiązań jest DHCP snooping.

5) atak, który wykorzystuje słabość Spanning Tree. Odpowiednim zabezpieczeniem jest BPDU Guard i BPDU Filter.

Ataki w warstwie trzeciej – sieci, modelu OSI:

1)ataki rodziny DoS – można tutaj wypisać niesamowicie wiele informacji, w tym artykule ograniczę się do wymienienia najważniejszych, bez wgłębiania się w ich działanie. Generalnie najlepiej jest podzielić ataki DoS, ze względu na działanie, na trzy grupy
a) ataki, które bazują na implementacji stosu TCP/IP i wykorzystują słabość w specyfikacji TCP/IP w określonym systemie operacyjnym. Do tej grupy zaliczam: Ping Of Death (znany tez jako Long ICMP attaca; zniekształca pakiet ICMP Echo Request), Teardrop (dotyczy fragmentacji pakietów protokołu IP i pól offset field), SMBnuke, WINnuke
b) ataki, które bazują na słabościach standardów stosu TCP/IP. Przykładowo bardzo niebezpieczny SYN Flood, Naptha oraz Land. Są to klasyczne ataki wyczerpujące zasoby systemowe.
c)Ataki, które w swoim działaniu wykorzystują tzw. „brutalną siłę”, czyli brute force. Generują one duży ruch w sieci, który wyczerpuje dostępną przepustowość. Najbardziej znane to: Smurf, UDP Flood, Fraggle, Pingflood oraz Jolt.

2)ataki z rodziny DDoS, taki atak jest przeważnie efektywny a źródła są trudne do wytropienia. Do najpopularniejszych ataków DDoS można zaliczyć: Torinoo (UDP flood), Mstream (TCP ACK Flood + IP spoofing), Shaft (UDP+TCP SYN+ICMP flood i przeprowadzanie statystyk), Stacheldraht (UDP+TCP SYN,ACK,NULL+ICMP flood , IP spoofing, komunikacja w ramach sieci jest szyfrowana), TFN (UDP+ICMP Echo+TCP SYN flood i atak Smurf), TFN2K (UDP+TCP+ICMP flood, atak Smurf oraz Targa3, IP spoofing, komunikacja w ramach sieci jest szyfrowana) . Do zbudowania tak zwanej sieci DDoS wykorzystuje się dodatkowo takie elementy jak: exploity (służą do uzyskania praw administratora), rootkity (służą do ukrywania włamania zaatakowanego systemu), skanery portów (szukanie kolejnych ofiar), sniffery (podsłuch danych) oraz autorootery (konie trojańskie, które wprowadzają automatyzm tworzenia sieci DDoS) i daemony (procesy pracujące w tle bez interakcji z użytkownikiem).

W celu zabezpieczeń i częściowym ograniczeniu zapędów agresora należy stosować:
1) szyfrowanie MD5 wykorzystywane tylko i wyłącznie w celu ochrony protokołów routingu (RIPv2, OSPF itd.) poprzez dodatkowe uwierzytelnienie sąsiadów lub uaktualnień – co zapobiega atakom w warstwie gdzie funkcjonują protokoły routingu.
2) GTSM – czyli Generalised TTL Security Mechanizm – dzięki temu GTSM chroni sesje BGP przed atakami, które mogą nastąpić od oddalonych hostów. Także 2 routery między którymi jest sesja eBGP wymieniają się pakietami IP z polem TTL ustawionym na 255, wszelkie wartości poniżej są odrzucane.
3) filtry prefiksów rozgłaszanych do Internetu i otrzymywanych z Internetu. Właśnie tutaj można zastosować uRPF (unicast Reverse Path Filtering) do automatycznego wykrywania fałszowania adresu źródłowego (adres źródłowy będzie filtrowany po zawartości tablic routingu).
4) do ograniczenia ataków rodziny DDoS można korzystać z Blackholing, który jest wyzwalany zdalnie (RTBH) oraz Anycast Sinkhole.

Ataki w warstwie czwartej – transportowej, modelu OSI:

Protokół TCP i UDP odpowiada warstwie 4 – transportowej. Z definicji: Porty protokołu – pojęcie związane z protokołami transportowymi TCP i UDP używanymi w Internecie do identyfikowania procesów działających na odległych systemach.
Warto zwrócić uwagę na skanowanie portów, które jest szalenie obszernym tematem. Samo w sobie nie jest szkodliwe, ale może być wykorzystane w złych celach. Najpopularniejsze narzędzie do przeprowadzania takich ataków to Nmap. Żeby zebrać dokładne informacje o danym porcie, trzeba przeprowadzic kilka rodzajów skanowania. Niektóre z nich to skanowania: TCP SYN, TCP-connect, UDP, Null, ACK, TCP Window, Maimon, Idle oraz FTP-bounce. Po wykonaniu takich skanowań można bez problemu określić usługi i aplikacje jakie są zainstalowane na hoście, protokołach jakie są wykorzystywane przez usługę i rodzinie systemów operacyjnych. Dodatkowo można określić stan każdego z portów (otwarty, zamknięty, filtrowany, niefiltrowany, otwarty/filtrowany, zamknięty/filtrowany).

Rozwiązaniem bezpieczeństwa jest stosowanie firewall’a. Są różne postacie zaczynając od sprzętowych rozwiązań (Juniper i Cisco) a kończąc na programowych (Outpost, Zonealarm i w szczególności zasługuje tu na uwagę iptables). Na poniższym rysunku widoczne jest porównanie, gdzie działa firewall w stosunku do warstw modelu OSI oraz TCP/IP.

Ataki w warstwie siódmej – aplikacji, modelu OSI:

Warstwa w której są obsługiwane najważniejsze protokoły (SMTP, FTP, HTTP, TFTP, Telnet). W szczególności aktywne tu są takie niebezpieczeństwa jak oprogramowanie typu malware (wirusy, konie trojańskie i robaki), przepełnienie bufora, SQL injection oraz XSS, czyli Cross-Site Scripting.

Pojęcia takie jak robaki internetowe, wirusy, konie trojańskie, ataki z rodziny DoS, podsłuch ruchu sieciowego (sniffing) lub fałszowanie podstawowych usług lub protokołów sieciowych (spoofing) mogą dać wiele do myślenia, przestraszyć albo, odwrotnie, utwierdzić w przekonaniu, że problem nie dotyczy użytkownika. Zagadnienia związane z bezpieczeństwem rozwijają się w dynamiczny sposób. Istnieje nieustająca potrzeba tworzenia nowych rozwiązań i eliminowaniu słabych punktów systemu operacyjnego lub aplikacji wykorzystujących sieć internetową. W sposób zdecydowany trzeba powiedzieć, że bezpieczeństwo to nieustający proces, który musi być ciągle udoskonalany.

text by Patryk \’Whizz_BANG\’ Bator 🙂

Napisany przez Jarosław Prochal   @   12 listopada 2009 0 komentarzy
Tagi : , , , , , , , , , , ,

0 Komentarzy

Brak komentarzy. Bądź pierwszy!
Zostaw komentarz

Poprzedni wpis
«
Następny wpis
»