02 zaštita na mrežnom sloju
DESCRIPTION
DDoSTRANSCRIPT
-
Zatita na mrenom sloju
Duan Stamenkovi, M.Sc.
Beograd, 23. oktobar 2014.
-
Bezbednost mrene infrastrukture
Kada govorimo o bezbednosti mree, govorimo o tri faktora:
Ranjivost
Pretnja
Napad
Ranjivost je stepen nemoi koji je prisutan u svakoj mrei i na svakom ureaju.
Ovde su ukljueni ruteri, komutatori, desktop raunari, serveri, pa ak i firewall
ureaji.
Pretnju predstavljaju ljudi koji su zainteresovani i kvalifikovani za iskoriavanje
svake bezbednosne slabosti. Od ovih pojedinaca se moe oekivati da stalno
tragaju za novim slabostima. Pretnje koriste razne alate, skripte i programe za
pokretanje napada na mreu i mrene ureaje.
Cilj napada su najee serveri ili desktop raunari kao skladita informacija i
poverljivih podataka.
-
Bezbednost mrene infrastrukture
Postoje tri osnovne slabosti/ranjivosti:
1. Tehnoloka slabost
2. Slabost konfiguracije
3. Slabost bezbednosne politike
-
Tehnoloke slabosti
Slabost TCP/IP protokola
Hypertext Transfer Protocol (HTTP), File Transfer Protocol (FTP), Internet Control Message
Protocol (ICMP), Simple Network Management Protocol (SNMP), Simple Mail Transfer
Protocol (SMTP) su sami po sebi nesigurni. Zato ?
Najei oblik napada su SYN Floods (jedan od tipova Denial-Of-Service napada u kojem
napada alje uzastopne SYN zahteve ka ciljanom sistemu kako bi konzumirao dovoljno
resursa tako da sistem vie ne reaguje na legitimne zahteve)
Slabosti operativnog sistema
Svaki operativni sistem ima bezbednosne probleme koji se moraju reavati. Unix, Linux,
Mac OS, Windows svi bezbednosni propusti su dokumentovani u arhivama CERT-a
(Computer Emergency Response Team www.cert.org)
Slabosti mrenih ureaja
Razliiti ureaji kao to su ruteri, komutatori i firewall-ovi imaju bezbednosne slabosti koje
moraju biti prihvaene i od kojih se morate zatiti. Glavne slabosti se ogledaju u zatiti
lozinki, nedostatku autentifikacije, protokolima za rutiranje kao i rupama u zatitnim
zidovima.
-
Slabosti konfiguracije
1. Nebezbedni korisniki nalozi
2. Sistemski nalozi sa lozinkama koje je
lako pogoditi
3. Loe podeen pristup internet
uslugama
4. Nesigurna podrazumevana
podeavanja u okviru pojedinih
proizvoda
5. Nezatiena ili pogreno
konfigurisana mrena oprema
1. Korisniki podaci se prenose kroz
nebezbednu mreu
2. Teina lozinke vezana za par
karaktera ili ime
3. Upotreba JavaScript-a u internet
pregledaima
4. Mnogi proizvodi imaju
podrazumevana podeavanja koja
imaju bezbednosne rupe Java
5. Oprema konfigurisana sa pogrenim
parametrima preko protokola za
dinamiko rutiranje moe ugroziti sve
ostale legitimne lanove mree
-
Slabosti bezbednosne politike
1. Nedostatak u pisanju bezbednosnih
polisa
2. Nedostatak u kontinuitetu i
nadogradnji polisa
3. Nedostatak kompatibilnosti izmeu
polisa fizikog i logikog okruenja
4. Nova hardverska i softverska reenja
ne prate polise
5. Nedostatak plana za oporavak od
katastrofe
1. Loe napisane polise u velikoj meri
utiu na bezbednos, DC GPO
2. Pogrean izbor polisa, lakoa
probijanja jednostavnih lozinki
3. Neadekvatan monitoring i
nemogunost nadovezivanja logikih
polisa na fizike
4. Neovlaena promena sistemskih
podeavanja ili instalacija aplikacija
(Chrome, Dropbox, ) moe stvoriti
dodatne bezbednosne propuste.
5. Nedostatak ovog plana omoguava
haos, paniku i zbunjenost usled
napada.
-
Tipovi napada na mrei
Postoji etiri osnovne klase napada:
1.Reconnaissance (izviaki napad)
2.Access (napad radi pristupa)
3.Denial of Service (uskraivanje
usluge)
4.Worms, Viruses, Trojan Horses
(maliciozni softver)
-
Reconnaissance (izviaki napad)
Izvianje je neovlaeno otkrivanje, mapiranje sistema, usluga ili ranjivosti.
Ovaj vid napada je takoe poznat i kao prikupljanje informacije o MAC ili IP
adresama na mrei, o otvorenim portovima na legitimnim korisnicima, o
ranjivostima operativnog sistema, itd
U veini sluajeva, prethodnica je nekoj drugoj vrsti napada.
Primer: ZenMap, Netstat, WireShark
-
Reconnaissance (izviaki napad)
Internet queries (nslookup, whois)
Ping Sweeps (random ping ili
skeniranje mree u potrazi za
aktivnim IP adresama)
Port scans (potraga za otvorenim
portovima na firewall-u sistema ili
ureaja)
Packet sniffers (presretanje paketa
koje alje i prima ciljana adresa)
-
Access (napad radi pristupa)
Neovlaeni pristup sistemu predstavlja sposobnost napadaa da dobije pristup
ureaju za koji nema nalog ili lozinku.
Ostvarivanje pristupa se najee realizuje u vidu hakerskog npada pomou skripti
ili kombinacijom razliitih vrsta alata koji eksploatiu poznate ranjivosti sistema ili
aplikacije koja je napadnuta.
Primer: Reverzni inenjering
-
Access (napad radi pristupa)
Napada moe izvriti napad na korisnike podatke na vie razliitih naina:
Brute-force napad (napad renikom)
Trojan horse program (napad malicioznim kodom koji otvara prostor za pristup)
Packet sniffers (skeniranje paketa u potrazi za korisnikim imenom i lozinkom)
-
Denial of Service (uskraivanje usluge)
DOS napad za cilj ima onemoguavanje ili korumpiranost normalnog rada mree,
sistema ili usluge sa namerom da se ta usluga uskrati legitimnim korisnicima.
DOS napadi variraju, od pada sistema koji je napadnut pa do take usporavanja
tako da sistem nastavlja da funkcionie ali da je skoro u potpunosti neupotrebljiv.
DOS napadi takoe mogu biti sa ciljem da se neke informacije obriu (prepiu).
DOS napade je jednostavno postaviti i realizovati i zbog toga ih se administratori
najvie plae.
-
Denial of Service (uskraivanje usluge)
DOS napadi:
Preoptereenje skladinog prostora, propusnog opsega ili bafera pomou paketa
ogromne veliine (ping of death)
SYN flood (veliki broj paketa)
Packet storms (UDP bomba teradrop)
-
Denial of Service (uskraivanje usluge)
SYN flood (veliki broj paketa)
-
Denial of Service (uskraivanje usluge)
Distributed DOS
-
Worms, Viruses, Trojan Horses
(maliciozni softver)
Maliciozni (zlonamerni) softver moe da se ubaci (instalira) na ciljani sistem i na
taj nain ga oteti ili korumpira. Sa druge strane, neke vrste mogu kopirati sebe
nebrojeno puta i na taj nain opteretiti sistem.
Svojim delovanjem mogu uskratiti pristup mrei legitimnim korisnicima, slati
podatke o navikama korisnika (poseti sajtova), upotrebi raunara, lozinkama
-
Firewall personalnih raunara i SOHO mrea
-
Kontrola naloga i privilegija:
Administrator, obian korisnik, gost, ...
Parental control:
Odreivanje koji korisnici mogu koristiti koje programe i u kom
vremenskom periodu.
Odreivanje zabrana poseivanja pojedinih sajtova i dobijanje
izvetaja o poseenim sajtovima
Deljenje resursa:
Dobra organizacija deljenja fajlova i foldera, ograniavanje privilegija
korisnicima, vidljivost iz drugih mrea, ...
Backup:
Zatitna kopija bitnih podatka
Prevencija i kontrola personalnog raunara
-
Kada su Microsoft Windows operativni sistemi u pitanju esto se
pominje velika trojka za zatitu operativnog sistema:
1. Firewall zatita
2. AntiVirusna i AntiSpyware zatita
3. Windows Update
Kako zatititi raunar od neeljenog sadraja?
-
ta je to Firewall?
Firewall koncept se zasniva na filtriranju saobraaja izmeu pouzdanih i
nepouzdanih mrea, odnosno dolaznih i odlaznih paketa.
Filtriranje paketa se zasniva na IP, TCP, UDP protokolima ali mogu
postojati i drugi kriterijumi kao to je npr. autentikacija korisnika. Ovi
kriterijumi su sadrani u pravilima firewall-a.
Firewall nije isto to i Antivirus i on nas ne moe zatiti od:
Spyware-a i virusa
Exploit-a
PopUp-ova i reklama
Pshishing scams i spam-ova
-
Tipovi Firewall-a
Host orijentisan firewall je firewall koji se nalazi u sklopu operativnog
sisema kao to je Windows 7 ili Unix.
Mreno orijentisan firewall je firewall koji ine ruter, switch i namenski
firewall ureaj.
Hardverski firewall je poseban ureaj koji obezbeuje najvie
performanse.
Softverski firewall je poseban program koji se instalira na nivou
operativnog sistema i koji obavlja ulugu filtriranja saobraaja.
-
Kako Firewall funkcionie
Svaki dolazni paket prolazi kroz filter, vri se njegova inspekcija i
uporeuje se sa listom (Access Control Lists) dozvoljenog
saobraaja:
Ako se paket podudara sa nekim od pravila na listi, paket se
dalje prosleuje TCP/IP protokolu na dalju obradu.
Ako paket ne odgovora nijednom pravilu na listi, paket je
odbaen.
-
Kako Firewall funkcionie
-
Kako Firewall funkcionie
-
Windows 7 Firewall
Podeavanja Windows 7 Firewall-a:
Inbound filtering
Outbound filtering
Pravila firewall-a se kombinuju sa pravilima IPsec-a
Pre Windows Viste, IPsec se konfigurisao posebno i esto je
dolazio u konflikt sa pravilima firewall-a
-
Windows 7 Firewall
Podrka za kompleksna pravila:
IP adrese izvora i destinacije
Portovi izvora i destinacije
Mogunost otvaranja vie portova po jednom pravilu
Vrste interfejsa (Ethernet, Wireless)
Active Directory grupe ili korisnici (IPsec pravila)
Razlika izmeu mrenih konekcija (Home, Work, Public, Domain)
Podrka za kreiranje log fajlova
Omoguava praenje odbaenih/blokiranih paketa
-
Tipovi mrea i Firewall pravila
Domain Podeava administrator mree
Work SOHO mrea za upotrebu u radnom okruenju:
Upaljena je mrena vidljivost izmeu povezanih raunara ali ne i automatsko
deljenje resursa.
Home SOHO mrea za kunu upotrebu:
Upaljena je mrena vidljivost izmeu povezanih raunara i automatsko
deljenje odabranih resursa izmeu lanova mree.
Public Za javna mesta (obino kada se koristi WiFi konekcija):
Ugaena je mrena vidljivost.
Ako je raunar direktno povezan na internet (nema rutera) dobra je praksa da
se mrea definie kao Public.
-
Otvoreni portovi na Firewall-u
25 SMTP
53 DNS
68 DHCP IPv4
80 HTTP
110 POP3
137-139 NETbios
443 SSL
445 CIFS (SMB)
465 SMTP SSL
587 SMTP TLS
546 DHCP IPv6
993 - IMAP
995 POP3 SSL
3389 RDP
5405 NetSupport
-
Demonstracija
Windows 7 Firewall
Linksys WRT54GL Firewall
MS ISA Server 2006 Firewall
MS TMG 2010 Firewall