15.0. Bezpečnosť v sieťach

Téma č.15 Bezpečnosť v sieťach     

15. Bezpečnosť v sieťach

• Uveďte vývoj riešení bezpečnosti sietí a možnosti zabezpečenia siete
• Charakterizujte možné typy útokov v sieťach LAN a WAN
• Vysvetlite možnosti bezpečného prenosu údajov, ochrana proti útokom a overovanie identity užívateľov a zariadení
• Na príklade v PT nastavte kryptované heslo do privilegovaného režimu smerovača

Vypracovanie:

1.  uveďte vývoj riešení bezpečnosti sietí a načrtnite možnosti zabezpečenie počítačovej siete

Ucelené riešenia je založené na koncepte Self-Defending Network (SDN)- samobrániace sa siete spoločnosti Cisco Systems.

SDN poskytuje ochranu, ktorá prestupuje celou sieťovou infraštruktúrou až po koncové zariadenia. Všetky časti siete pritom spolupracujú pri ochrane komunikácie, sieťových služieb a koncových zariadení. Cieľom je zaistiť adaptabilnú a plne automatizovanú odozvu na útoky.

SDN stojí na troch základných pilieroch.

Tieto piliere tvoria:

1. Bezpečný prenos dát
2. Obrana proti útokom
3. Overovanie identity užívateľov a zariadení

Self-Defending Network poskytuje ochranu proti širokému rozsahu útokov, najmä:

• ochranu pred odcudzením informácií, ochrana je zaistená bezpečným prenosom dát, prostriedky pre ochranu dát
• ochranu pred napadnutím siete a koncových zariadení,
• ochranu pred šírením vírusov a červov, ochranu pred rôznymi typmi nepriateľských programov, vírusy sú iba jedným z druhov zákerného softvéru tzv. malware ako sú :

-          PC vírus- počítačový vírus v oblasti počítačovej bezpečnosti označuje program alebo kód, ktorý sa dokáže sám šíriť bez vedomia používateľa. Aby sa mohol rozmnožovať, vkladá kópie svojho kódu do iných spustiteľných súborov alebo dokumentov, ktoré sa tak stávajú prostriedkom na aktiváciu ďalšieho vírusu. (Pri jednoduchších vírusoch dochádza ku kopírovaniu jeho samotného viackrát na disk poprípade premenovanie kópií. Existuje viacero spôsobov, ako sa môžu počítače infikovať cez rôzne médiá ako je disketa, CD, sieťové linky, výmenné pevné disky, ale najmä cez internet. Vplyv vírusu je ľahko badateľný na spomalení a nestabilite systému, časté je poškodenie dokumentov, zmena veľkosti alebo obsahu súborov, úbytok kapacity pevného disku.

-          Červík (anglicky worm) je softwarový infiltračný prostriedok, ktorý sa rozmnožuje špecifickým spôsobom -prostredníctvom počítačovej siete, presnejšie povedané prostredníctvom jej komunikačného programového vybavenia. Kópie tohto prostriedku sídlia v počítačoch siete a dohromady tvoria články červíka. Ktorýkoľvek článok, ktorý získa riadenie, zistí prostredníctvom siete, či sa v susedných počítačoch nachádzajú jeho kópie. Ak nie, postará sa, aby sa tam dostal. Stačí, aby sa hoci len do jedného počítača siete dostal zárodočný článok červíka a onedlho sa objavia jeho kópie vo všetkých počítačoch siete. Likvidácia červíka nie je jednoduchá záležitosť, lebo treba zlikvidovať naraz všetky jeho články. Odstránenie článku červíka z jedného alebo viacerých uzlov siete nič nerieši. Ak zostane existovať v sieti čo len jediný článok, onedlho sa červík po nej znova rozrastie. Články červíka tvoria dohromady vyšší celok – akýsi softwarový organizmus, ktorý sa drží pri živote obzvlášť silno.

-          trojské kone, trójsky kôň, slangovo trojan, je program, ktorý vykonáva deštruktívnu činnosť, pričom sa skrýva za činnosť „užitočnú“, pričom túto „užitočnú“ činnosť buď nevykonáva vôbec, alebo ju vykonáva a na pozadí realizuje nejaký druh deštrukcie, najčastejšie sa vyskytuje vo forme spustiteľného súboru („EXE“, „com“), ktorý neobsahuje nič iné okrem samotného kódu trojana,

existujú aj trójske kone, ktoré sú vlastne inštalačným súborom samotného programu, ktorý sa po svojej inštalácii spúšťa pri start-up operačného systému a skryte vykonáva nejaký typ deštrukčnej akcie.

Tieto trojany sa nainštalujú do systému, v naprogramovaný termín sa spustia a prenášajú informácie z vnútra infikovanej internej počítačovej siete prostredníctvom internetu útočníkovi

-          spyware (Spyware (z angl. špehovací tovar) alebo spajvér  je počítačový program, ktorý sa bez vedomia užívateľa pokúša „vyšpehovať“ citlivé dáta z počítača (napr. heslá),  

-          adware (Adware (skratka z angl. advertising-supported software) je akýkoľvek softvér, ktorý automaticky zobrazuje, prehráva alebo sťahuje reklamný materiál na počítači po svojej inštalácii alebo pri používaní tohto softvéru,  Adware často používajú firmy ktoré poskytujú služby typu zarábaj cez internet. Vtedy používateľ "prenajme" časť monitoru kde sa budú zobrazovať reklamné bannery. Adware často používajú firmy ktoré poskytujú služby typu zarábaj cez internet. Vtedy používateľ "prenajme" časť monitoru kde sa budú zobrazovať reklamné bannery.

2. Charakterizujte možné hrozby útokov  v sieťach  LAN a WAN

Sieťovú bezpečnosť môžeme chápať ako infraštruktúru pozostávajúcu zo sieťových zariadení (servery, smerovače, prepínače, klientske počítače a pod.) a bezpečnostných politík definovaných sieťovými správcami, ktoré slúžia na ochranu pred prístupom do siete, resp. prístupom k jednotlivým sieťovým zdrojom.

Čo je to TCP/IP?

TCP/IP (Transport Control Protocol, Internet Protocol) sú protokoly, ktoré sa používajú na komunikáciu v sieti internet. Kto je schopný komunikovať pomocou TCP/IP, dokáže komunikovať na Internete. TCP/IP vychádza z referenčného modelu OSI, kde na tretej vrstve modelu (NETWORK) sa nachádza IP a na štvrtej TCP (TRANSPORT). Na základe vrstvy NETWORK dokážu jednotlivé zariadenia navzájom komunikovať.

Každá adresa IP (napr. 192.168.1.2) je definovaná voči hardvérovej adrese ( MAC adresa, napr. 00:03:ba:08:55:95), ktorá patrí do druhej vrstvy v OSI modelu (DATA LINK). Vrstva NETWORK takisto zabezpečuje smerovanie, aby sa jednotlivé zariadenia našli.

Typy útokov:

a)       Kradnutie TCP spojenia

Najznámejším typom kradnutia spojenia je IP spoofing, kde útočník použije zdrojové IP pakety na vloženie príkazov do už existujúcej komunikácie medzi dvoma uzlami v sieti a tvári sa už ako autentizovaný používateľ. Tento typ útoku je možný na základe toho, že autentizácia sa vykonáva vždy na začiatku sedenia TCP.

Chrániť sa proti tomuto útoku je možné pomocou šifrovaného spojenia. Pod pojmom IP spoofing môžeme chápať aj „kradnutie“ adries IP (napr. na lokálnej sieti).

Keďže väčšina smerovačov má vo svojich ACL (Access Control Lists, prístupové zoznamy) definované, ktorý paket má, a ktorý nemá prístup na základe odosielateľovej adresy IP, je pre útočníka najjednoduchší spôsob „ukradnúť“ adresu IP, ktorá prístup má.

Vcelku elegantné riešenie (no len vo vlastnej prepínanej lokálnej sieti) proti tomuto typu útoku je nasadiť prepínače s funkciou port security, kde možno určiť, ktoré adresy MAC smú komunikovať cez konkrétny port prepínača.

b)       odmietnutie služby (Denial-of-Service -DoS) – pokus o zahltenie služby alebo služieb bežiacich na

konkrétnom systéme v sieti, napr. opakujúce sa posielanie náhodných dát po sieti a následné zahltenie cieľového systému.

Základný predpoklad na úspešný útok DoS je nutnosť väčšej šírky pásma u útočníka než v systéme, na ktorý útočí. Vďaka tomu poznáme tzv. DDoS (Distributed Denial-of-Service), kde útočník použije viac uzlov (smerovačov), ktoré sa nachádzajú na rôznych miestach v Internete. Napríklad útok DDoS môže prichádzať z rôznych krajín alebo svetadielov. Väčšina uzlov, ktoré sú zapojené v takýchto distribuovaných útokoch, ani nevie, že sú súčasťou niečoho takého. Zväčša ide o bežných používateľov siete Internet, ktorí sú infikovaní napr. trójskymi koňmi.

Komplexná ochrana proti útokom DoS a DDoS je aj IPS (Intrusion Prevention System), ktorý na základe prednastavených typov útokov dokáže reagovať filtrovaním takýchto požiadaviek. DoS nemusí nevyhnutne pochádzať zo siete. Môže mať napr. povahu zneužitia aplikačných chýb a tým zahltenie CPU, RAM alebo iných hardvérových prostriedkov.

Zjednodušene povedané, útočník spustí útok DDoS jednoduchým „zapnutím“ infikovaného uzlu.

Existuje viac typov útokov DoS, resp. DDoS :

1. SYN flood (záplava)– útočník posiela obrovské množstvo požiadaviek TCP/SYN s neplatnou hlavičkou odosielateľa, na ktoré sa cieľový systém snaží odpovedať pomocou TCP/SYN-ACK, keďže je však pôvodný odosielateľ falošný a cieľový systém čaká na TCP/ACK a ostatné (hoci aj regulárne) požiadavky musia čakať na timeout pôvodných a začína vznikať väčšie a väčšie oneskorenie.

Najlepšia obrana pred SYN floodom sú tzv. SYN cookies, ktoré modifikujú protokol TCP pozdržaním prideľovania systémových zdrojov, pokiaľ nedôjde k overeniu opačnej strany.

2. Smurfing – metóda, ktorá zneužíva ICMP (Internet Control Message Protocol). Problém spočíva v zneužití broadcastových adries, na ktorých sa nachádza viac hostov.

Niektoré implementácie TCP/IP povoľujú odpovede či už na broadcastové adresy, alebo ich lokálne adresy (prvotná idea broadcastových adries bola niečo ako „ukáž mi, kto je na sieti“).

Systémy, ktoré sú nesprávne nakonfigurované a odpovedajú na požiadavky ICMP na broadcastovú adresu. Útok sa vykonáva sfalšovaním zdrojovej adresy IP (adresa IP obete). Každý hostiteľ pošle odpoveď zaslaním paketu v podobe odpovede (pokiaľ je „živý“). Takýmto spôsobom sa obeť na základe pôvodných požiadaviek ICMP sama zahltí a môže dôjsť ku kompletnému kolapsu.

3. ping flood – tento útok spočíva v zahltení systému obrovským množstvom ping paketov. Podmienkou úspešnosti útoku je väčšia šírka pásma na útočníkovej strane.

V linuxových distribúciách možno takýto útok vykonať jednoduchým príkazom ping -f.

Obranou môže byť úplné filtrovanie takýchto požiadaviek.

3. Vysvetlite možnosti  bezpečného prenosu údajov, ochrany proti útokom a overovania identity užívateľov a zariadení

Zálohy – pokiaľ nastane uvedená situácia, vždy máte možnosť návratu dát.

Jeden bod chyby (Single point of failure) – snažte sa zabezpečiť takým spôsobom, aby sa na jednom systéme nenachádzali všetky služby (napr. firewall, FTP server, mail server, file server). Keď útočník prelomí firewall, stále nemá prístup k mailom alebo file serveru.

Aktualizácia – pravidelnou aktualizáciou zabezpečíte, že sa na systéme nebudú nachádzať všeobecné diery a bugy a útočník bude mať v prípade útoku sťaženú situáciu. Programátorská chyba sa často označuje anglickým výrazom bug a proces jej odstraňovania ladenia (debugovanie).

Správne heslá – nastavujte zásadne len zložité heslá. Pokiaľ sa pozriete do logov svojho systému, určite narazíte na množstvo robotov, ktoré skúšali rôzne útoky na uhádnutie hesla (v prípade robotov ide zväčša o slovníkové typy útokov).

Firewall je sieťové zariadenie a/alebo softvér, ktorého úlohou je oddeliť siete s rôznymi prístupovými právami (typicky napr. Internet a Intranet) a kontrolovať tok dát medzi týmito sieťami. Môžeme ním zabezpečiť prístup k jednotlivým službám, ktoré bežia na systéme, a jednoducho ním môžeme určiť, kto má a kto nemá prístup, na základe viacerých kritérií, ako je napr. zdrojová adresa IP alebo adresa MAC

Kontrola údajov prebieha na základe aplikovania pravidiel, ktoré určujú podmienky a akcie. Podmienky sa stanovujú pre údaje, ktoré možno získať z dátového toku (napr. zdrojová, cieľová adresu, zdrojový alebo cieľový port a rôzne iné).

·         Úlohou firewallu je vyhodnotiť podmienky a ak je podmienka splnená, vykoná sa akcia. ( ACL listy).

·         Ďalšou vlastnosťou firewallu, ktorá sa často používa, i keď nejde o filtrovanie, je schopnosť prekladu adries (Network Address Translation - NAT).

NAT umožňuje zmeniť zdrojové a cieľové adresy v paketoch, čím sa najčastejšie umožňuje komunikácia so sieťami s privátnymi adresami (napr. 10.0.0.0/8). Aj preklad adries prebieha pomocou pravidiel.

Firewall- bráni prechodu útočníkov z Internetu do intranetu, ale umožňuje zamestnancom vo vnútornej sieti pristupovať ku zdrojom na Internete. Firewall býva často realizovaný pomocou  PC, ale častejšie hlavne pre menšie firmy je súčasťou smerovačov. ADSL modem má v sebe integrované prvky smerovača a firewallu.

Problém však nie je taký jednoduchý.  Každé spojenie je obojsmerné. Nie je možné zakázať jeden smer z obojsmerného kanálu. Firmy chcú vystavovať na Internete svoje web stránky—firemné katalógy, ktoré web server číta ako databázu, ktorá je umiestnená vo vnútornej sieti a web server je na Internete.

Riešenie

                           

demilitarizovaná zóna

              DMZ

 Vytvorená je špeciálna sieť, ktorá sa pripojí na tretie rozhranie firewallu a na ňu vystavíme náš WEB s kópiou databázy. Táto sieť sa označuje ako demilitarizovaná zóna-DMZ

Základnou vlastnosťou DMZ je, že je dostupná z Internetu aj intranetu a to len pre vybrané služby.

Mohla by nastať otázka:

prečo robiť kópiu databázy, keď WEB server si môže siahnuť pre dáta priamo do intranetu.

Tu ale vzniká bezpečnostné riziko , ktoré spočíva v tom, že ak útočník prelomí web server s jeho menom dostane sa do databázy našej vnútornej sieti.

Proxy architektúra

Proxy server je špeciálny typ servera - prostredníka v komunikácii, ktorý sa umiestňuje medzi klienta a servery, s ktorými komunikuje. Proxy server sa tvári voči klientovi ako server a voči serveru ako klient.

			požiadavka od klienta
	Proxy server/klient
					vzdialený server

 

klient

                                               1-požiadavka                                                       2                                                 3
                                                  klienta

odpoveď servera

                                               6- odpoveď                                                              5                                              4

                                                    servera

Činnosť proxy servera možno opísať v niekoľkých bodoch:

1. klient sa spojí s proxy serverom namiesto toho, aby kontaktoval vzdialený server
2. proxy server prevezme požiadavku klienta, ktorá obsahuje adresu vzdialeného servera, s ktorým chce klient komunikovať
3. proxy server sa stane klientom, spojí sa so vzdialeným serverom a odovzdá mu požiadavku od svojho klienta
4. vzdialený server odpovie
5. proxy server prevezme odpoveď od vzdialeného servera a doručí ju svojmu klientovi

Antivírusový proxy server je vložený medzi firewall a koncové stanice (môže ísť ale aj o rovnaký fyzický stroj).  Prichádzajúce pakety z Internetu sú zložené do súborového tvaru, skontrolované antivírusovým systémom, potom opäť rozložené a zaslané na príslušné cieľové stanice v lokálnej sieti.

VPN (Virtual Private Network) – vystavujte na internete len tie systémy, ktoré tam vyslovene musia byť.

Zvyšné systémy, s ktorými potrebujete komunikovať len v rámci firemnej infraštruktúry, umiestnite do VPN, kde je komunikácia šifrovaná a systémy nie sú priamo viditeľné z Internetu. Vďaka šifrovaniu je zaistená relatívna bezpečnosť prenášaných dát, no vždy je tu riziko útokov, ktoré smerujú zvnútra siete.

4. Objasnite spôsoby nastavovania kryptovaných hesiel v sieťových zariadeniach

Nastaviť secret a kryptované heslo na smerovači v danej topológii  !!!!!!! aj cez telnet reláciu

1.       enable secret <cisco>

2.       service password-encription