4. TECHNIKI PRZEPROWADZANIA ATAKÓW NA SIECI KOMPUTEROWE Przypomnienie pojęcia stosu protokołów komunikacyjnych Oprogramowanie sieci komputerowych (podobnie,

Prezentacja na temat: "4. TECHNIKI PRZEPROWADZANIA ATAKÓW NA SIECI KOMPUTEROWE Przypomnienie pojęcia stosu protokołów komunikacyjnych Oprogramowanie sieci komputerowych (podobnie,"— Zapis prezentacji:

1 4. TECHNIKI PRZEPROWADZANIA ATAKÓW NA SIECI KOMPUTEROWE Przypomnienie pojęcia stosu protokołów komunikacyjnych Oprogramowanie sieci komputerowych (podobnie, jak każde inne złożone oprogramowanie) ma strukturę warstwową. Każda warstwa jest związana z pewnym protokołem komunikacyjnym. Komplet protokołów komunikacyjnych obejmujący wszystkie warstwy (w danym modelu), od warstwy bezpośrednio kontaktującej się ze sprzętem sieciowym do warstwy bezpośrednio kontaktującej się z użytkownikiem, nazywamy stosem protokołów (protocol stack). Poza wzorcowym (teoretycznym – nigdzie nie zaimplementowanym w całości) stosem protokołów ISO / OSI, w praktyce można napotkać wiele różnych realizacji takich stosów – najbardziej rozpowszechniony jest stos określany jako TCP / IP (nie jest to ścisłe określenie, gdyż nie determinuje, na jakich protokołach warstwy fizycznej i łącza danych powinien się opierać).

2 Porównanie istniejącego stosu protokołów TCP/IP z wzorcowym stosem ISO-OSI: warstwa ISO-OSI TCP/IP warstwa aplikacji prezentacji aplikacji sesji transportowa transportowa sieciowa międzysieciowa łącza danych dostępu do sieci fizyczna

3 Każdy protokół wchodzący w skład pewnego stosu operuje na właściwych dla niego jednostkach informacji, co jest związane z dodawaniem do przesyłanych informacji odpowiednich nagłówków (i ewentualnie stopek). Przykład Porcja informacji przesyłana przez protokół HTTP w oparciu o stos TCP / IP przez sieć Fast Ethernet: preambuła pole nagłówek nagłówek IP nagłówek TCP informacja HTTP pole CRC startu Ethernet warstwa fizyczna warstwa łącza warstwa sieciowa warstwa transportowa warstwa aplikacji

4 Wiele spośród ataków na sieci komputerowe można postrzegać jako ataki na poszczególne rodzaje nagłówków (dokładniej: na funkcje obsługujące pola w nagłówkach) używanych przez protokoły. Źródłem problemów jest to, że projektanci protokołów często brali pod uwagę jedynie prawidłowe sytuacje występujące w trakcie wymiany pakietów z informacją, a nie brali pod uwagę sytuacji nieprawidłowych (takich, które mogą być wynikiem fałszowania pakietów). Według [K. Krysiak] zagrożenia bezpieczeństwa sieci komputerowych można poklasyfikować następująco według poziomu, na którym występują: Poziom Przykłady Sprzęt Pożar, zalanie, awaria zasilania, uszkodzenia mechaniczne Warstwa dostępu do sieci Podsłuch ramek, fałszowanie adresów fizycznych (MAC) Warstwa międzysieciowa Fałszowanie adresów IP, zalewanie pakietami PING Warstwa transportowa Skanowanie portów, zalewanie segmentami SYN Warstwa aplikacji Przepełnianie bufora, wirusy, zalewanie e-mail (spam) Użytkownik Nieuprawnione przejęcie hasła, nielegalne kopiowanie

5 Szczegółowe omówienie zagrożeń i sposobów zapobiegania 1) Sprzęt a) Pożar – instalacja czujników dymu, wyposażenie pomieszczeń wykonane w jak największej części z materiałów niepalnych. b) Zalanie – nie należy umieszczać serwerowni w piwnicy, należy unikać stawiania sprzętu bezpośrednio na podłodze, kopie zapasowe przechowywać w oddzielnej (bezpiecznej) lokalizacji. c) Awaria zasilania – UPS powinien być w stanie podtrzymywać napięcie wystarczająco długo, żeby wyłączenie systemów komputerowych nie spowodowało utraty danych. d) Uszkodzenie mechaniczne – kable należy prowadzić w korytkach kablowych takimi trasami, żeby zminimalizować prawdopodobieństwo przypadkowego uszkodzenia. e) Przegrzanie – klimatyzacja w serwerowni (szczególnie w przypadku niedużych rozmiarów). f) Kradzież – instalacja systemu alarmowego, kamery. g) Nieuprawniony dostęp do sprzętu  sprzątanie (w szczególności w serwerowni) tylko w obecności osób uprawnionych.

6 2) Warstwa dostępu do sieci Zagrożenia w tej warstwie mogą być spowodowane wyłącznie przez użytkowników sieci lokalnej lub wskutek włamania (lub zalogowania) się z zewnątrz i uruchomienia procesu na którymś z komputerów w sieci lokalnej. a) Podsłuch ramek (sniffing) – polega na (programowym) przestawieniu swojej karty sieciowej w tryb rozrzutny (promiscuous mode) i przyjmowaniu do bufora wszystkich ramek (z dowolnymi adresami MAC), a nie tylko kierowanych pod dany adres. Jest skuteczny w sieciach opartych na medium rozgłoszeniowym (klasyczny Ethernet 10 MB, sieci bezprzewodowe), a dużo mniej w sieciach opartych na przełącznikach (switch). Zapobieganie – szyfrowanie transmisji. b) Podszywanie się pod cudzy adres fizyczny (MAC spoofing) – polega na podsłuchaniu (lub dowiedzeniu się w inny sposób) adresu MAC innej maszyny w tej samej sieci i wysyłaniu ramek z wpisanym tym adresem jako adresem nadawcy. Ponieważ przełączniki (w sieciach kablowych) zapamiętują, skąd przybyła ramka z danym adresem nadawcy, stwarza to szansę otrzymywania ramek przeznaczonych dla tej maszyny. Z kolei w słabo zabezpieczonych sieciach bezprzewodowych adresy MAC mogą służyć do uwierzytelniania użytkowników uprawnionych do korzystania z sieci. Zapobieganie – wykorzystywanie lepszych metod identyfikacji użytkowników, niż tylko przy użyciu adresów fizycznych.

7 c) Zalewanie przełącznika dużą liczbą ramek z rozmaitymi adresami MAC nie istniejącymi w danej sieci (MAC flooding) może spowodować wypełnienie pamięci przełącznika przeznaczonej na pamiętanie adresów fizycznych, a w konsekwencji zakłócenie jego działania. Zapobieganie – konfiguracja oprogramowania przełącznika w taki sposób, aby pamiętał stałe adresy MAC skojarzone z poszczególnymi portami, lub zapamiętywał co najwyżej ograniczoną ich liczbę. d) Zalewanie przełącznika dużą liczbą ramek z adresami rozgłoszeniowymi lub grupowymi tak, aby ich retransmisja przez wiele innych portów pochłaniała cała moc obliczeniową procesora przełącznika, a tym samym utrudniała spełnianie innych funkcji. Zapobieganie - odpowiednia konfiguracja oprogramowania przełącznika (tak, aby uniemożliwić nadużycia). e) Zakłócanie działania protokołu STP (Spanning Tree Protokol) przez wysyłanie fałszywych ramek BPDU w sieciach zawierających wiele przełączników. Zapobieganie – jak wyżej (BPDU Guard). f) W sieciach podzielonych na wirtualne sieci lokalne (VLAN) preparowanie specjalnych ramek umożliwiających przekraczanie granic pomiędzy VLAN-ami. Zapobieganie – jak wyżej. W sieciach bezprzewodowych występuje więcej zagrożeń, niż w sieciach kablowych. Należy zwracać uwagę na ograniczanie zasięgu stacji bazowych (na przykład tylko do pomieszczeń w budynku).

8 3) Warstwa międzysieciowa Ataki w tej warstwie mogą być przeprowadzone zarówno z sieci lokalnej, jak i z dowolnej innej sieci, z którą sieć lokalna może kontaktować się. Większość ataków tego rodzaju wykorzystuje słabości w starszych wersjach oprogramowania obsługującego nagłówki pakietów IP. Struktura nagłówka pakietu IPv.4: 1 bajt 2 bajt 3 bajt 4 bajt nr wersji długość typ obsługi długość całkowita pakietu protokołu nagłówka identyfikator flagi przesunięcie (3 bity) (13 bitów) czas życia protokół suma kontrolna nagłówka nadrzędny adres źródłowy IP adres docelowy IP O P C J E (0 – 10 słów czterobajtowych)

9 a) Zalewanie komputera (zazwyczaj serwera usług sieciowych) pakietami ICMP (ICMP flooding). Zazwyczaj jest przeprowadzane przy użyciu większej liczby komputerów, aby zwiększyć skuteczność. Jednym ze sposobów jest wysłanie pakietu ping ze sfałszowanym adresem nadawcy (ustawionym na adres celu ataku) na adres rozgłoszeniowy w sieci atakowanego (Smurf attack) – skutkiem może być wysłanie wielu odpowiedzi ping jednocześnie na adres atakowanego komputera. O ile trudno jest przeciwdziałać takiemu atakowi jako atakowi wewnętrznemu, o tyle w przypadku ataku z zewnątrz przeciwdziałanie polega na zatrzymywaniu przez zaporę sieciową (firewall) wszelkich pakietów przychodzących z sieci zewnętrznej, które mają ustawiony adres nadawcy z puli adresów prywatnych i/lub rozgłoszeniowy adres odbiorcy. b) Fałszowanie danych usługi ARP (ARP spoofing) – polega na wysyłaniu (w obrębie sieci lokalnej) ramek odpowiedzi protokołu ARP zawierających fałszywe adresy IP, w celu skojarzenia przez komputery w danej sieci z adresem MAC atakującego innego adresu IP, niż został mu faktycznie przypisany. Skutkiem może być na przykład przesyłanie na adres MAC atakującego pakietów IP przeznaczonych dla lokalnego serwera, które będą w ten sposób podsłuchiwane. Przeciwdziałanie – odpowiednia konfiguracja usługi ARP.

10 c) Wykorzystywanie błędów procesu fragmentacji i scalania pakietów (teardrop) polega na wysyłaniu pakietów IP stanowiących rzekome fragmenty podzielonego datagramu IP z wypełnionymi polami „długość całkowita” oraz „przesunięcie” w taki sposób, aby w buforze odbiorcy fragmenty częściowo nakładały się na siebie (w prawidłowej sytuacji powinny pasować do siebie „na styk”). W przypadku starszych wersji oprogramowania protokołu IP często powoduje to zawieszenie lub restart całego systemu operacyjnego. Zapobieganie polega głównie na regularnej aktualizacji posiadanego oprogramowania (nakładaniu łat). Zadanie skompletowania całego datagramu (a następnie ponownego podzielenia go na fragmenty w celu przesłania przez sieć lokalną) może być przerzucone na firewall, ale w istotnym stopniu spowalnia to jego działanie. d) Podobny charakter ma atak polegający na wysłaniu fragmentów jednego datagramu IP, których łączna długość przekracza wartość maksymalną (64 KB). Tego rodzaju atak często jest nazywany „ping of death”, ponieważ wysyłane fragmenty są oznaczane jako fragmenty ICMP echo request. Zapobieganie – jak w poprzednim przypadku. e) Fałszywe pakiety ICMP redirect mogą być wykorzystywane do nakłaniania nadawcy do wysyłania kolejnych pakietów inną trasą, niż dotychczas, przy użyciu trasowania źródłowego. Tego rodzaju atak ma nieduże szanse powodzenia, gdyż rzadkością obecnie jest zezwalanie ruterom na stosowanie się do trasowania źródłowego.