Ochrona sieci lokalnych
Zagadnienia
Bezpieczeństwo użytkownika końcowego
Zabezpieczenie warstwy drugiej modelu OSI
Zabezpieczenie sieci VoIP i SAN
Zabezpieczenie przełączników
Ochrona sieci LAN
obszary zainteresowania
IPS
SIEM
VPN
ACS
Proxy
Firewall
Serwer
WWW
Serwer
poczty
DNS
LAN
Hosty
Perimeter
Internet
Obszary zainteresowania:
• Ochrona hostów/nodów
• Ochrona infrastruktury sieciowej
Ochrona przed
zagrożeniami
Zgodność z
polityką
bezpieczeństwa
Przeciwdziałanie /
powstrzymywanie
infekcji
Bezpieczny
Host
Ochrona systemów końcowych
Oparte o trzy elementy:
•
Network Admission/Access Control (NAC)
•
Ochrona systemów końcowych
•
Przeciwdziałanie rozprzestrzenianiu się infekcji w sieci
Systemy operacyjne
Podstawowe usługi bezpieczeństwa
Zaufany kod i zaufana ścieżka – zapewniają, że
integralność systemu operacyjnego nie jest naruszona
Uprzywilejowany kontekst wykonania – zapewnia
uwierzytelnianie tożsamości i pewne przywileje ze
względu na tożsamość
Ochrona i izolacja pamięci zarezerwowanej dla
procesów – zapewnia separację procesów i danych
jednych użytkowników od procesów i danych innych
użytkowników
Kontrola dostępu do zasobów – zapewnia poufność i
integralność danych
Rodzaje ataków aplikacyjnych
Uzyskałem bezpośredni
dostęp do tej aplikacji z
wysokimi uprawnieniami w
systemie
Pośrednie
Indirect
Bezpośrednie
Direct
Uzyskałem dostęp do tego
systemu, które jest zaufany
dla innego systemu, co
pozwala mi na dostęp do
niego
IPS
SIEM
VPN
ACS
Proxy
Firewall
Serwer
Web
Serwer
poczty
DNS
Hosty
Perimeter
Internet
Ochrona w warstwie II ISO/OSI
Model ISO/OSI
Adres MAC
Warstwa II wg modelu ISO/OSI jest zwykle bardzo słabym
ogniwem w technologiach sieciowych
Łącza fizyczne
Adresy IP
Protokoły i porty
Strumień aplikacji
S
k
om
pr
om
it
owane
Aplikacji
Prezentacji
Sesji
Transportowa
Sieci
Łącza danych
Fizyczna
Początek
kompromitacji
Aplikacji
Prezentacji
Sesji
Transportowa
Sieci
Łącza danych
Fizyczna
Atak MAC Address Spoofing
(podszywanie się)
Adres
MAC:
AABBcc
AABBcc
12AbDd
Port
przełącznika
1
2
Adres MAC:
AABBcc
Atakujący
Port 1
Port 2
Adres
MAC:
12AbDd
Mam powiązane porty 1 i 2 z adresami
MAC przyłączonych do nich urządzeń.
Ruch przeznaczony dla każdego
urządzenia zostanie przekazany
bezpośrednio.
Przełącznik śledzi punkty
końcowe poprzez budowanie i
aktualizację tabeli adresów MAC
(CAM). W czasie ataku, napastnik
udaje innego hosta w tym
przypadku AABBcc
Adres
MAC:
AABBcc
AABBcc
Port Przełącznika
1
2
Adres MAC:
AABBcc
Atakujący
Port 1
Port 2
AABBcc
1
2
Zmieniłem adres MAC na
moim komputerze tak aby był
tożsamy z serwerem.
Adres MAC urządzenia z
AABBcc zmienił lokalizacje na
Port2. Muszę dostosowywać
odpowiednio tabelę adresów
MAC.
Atak MAC Address Spoofing
(podszywanie się)
MAC Address Table Overflow Attack
(przepełnienie tablicy adresów MAC przełącznika)
Przełącznik może przesyłać ramki pomiędzy PC1 i PC2 bez
„zalewania/rozgłaszania”, ponieważ zawiera tabelę zestawiającą adresy
MAC z portami w tablicy adresów MAC (CAM) dla tych komputerów
A
B
C
D
VLAN 10
VLAN 10
Atakujący uruchamia
macof
, aby rozpocząć
wysyłanie nieznanych,
fałszywych adresów MAC
do przełącznika.
3/25
3/25 MAC X
3/25 MAC Y
3/25 MAC Z
XYZ
flood
MAC Port
X 3/25
Y 3/25
C 3/25
Fałszywe adresy dodawane
są do tabeli CAM. Tabela
CAM się przepełnia.
Host C
Przełącznik rozgłasza
wszystkie ramki.
Atakujący może
„podglądać” ruch do
serwerów A, B, C, D
VLAN 10
1
2
3
4
MAC Address Table Overflow Attack
(przepełnienie tablicy adresów MAC przełącznika)
Działanie DHCP
Stacja robocza
klient DHCP
Serwer DHCP
Atak DHCP Starvation
Atakujący
Ochrona:
Port Security
Fałszywy serwer DHCP
Stacja robocza
klient DHCP
Serwer DHCP
zaufany
niezaufany
Ochrona:
DHCP Snooping
DOBRE odpowiedzi:
offer, ack, nack
ZŁE odpowiedzi:
offer, ack, nack
Atak związany z manipulacją STP
Protokół Spanning Tree
opiera swoje działanie
na wyborze mostu
głównego (root bridge)
STP tworzy topologię
drzewa
Manipulacja STP
„zmienia” obraz topologii
sieci – atakujący host
wydaje się być mostem
głównym
F
F
F
F
F
B
Root Bridge
Priority = 8192
MAC Address=
0000.00C0.1234
Root Bridge
Priority = 8192
Root
Bridge
F
F
F
F
F
B
F
B
F
F
F
F
Atakujący
Atakujący wysyła broadcast’em datagramy BPDU
informujące o rekonfiguracji STP i zmianie topologii sieci.
Jest to próba wymuszenia przeliczenia topologii drzewa
przez protokół STP.
Atak związany z manipulacją STP
Ataki typu sztorm w LAN
Broadcast
Broadcast
Broadcast
Broadcast
Broadcast
Broadcast
•
Pakiety broadcast, multicast lub unicast
zalewają wszystkie porty
przełącznika w tym samym VLAN’ie.
•
Sztormy te mogą zwiększyć utylizację procesora przełącznika
do 100%, zmniejszając tym samym wydajności sieci.
Kontrola sztormów
Całkowita
liczba
pakietów
lub bajtów
broadcast
Ataki na VLAN’y
VLAN = Domena broadcast’owa =
Sieć logiczna (Podsieć)
Segmentacja
Elastyczność
Bezpieczeństwo
802.1Q
Serwer
Atakujący widzi ruch przeznaczony dla serwerów
Serwer
Trunk
VLAN
20
VLAN
10
Ataki na VLAN’y
Atak VLAN hopping
może być przeprowadzony na 2 sposoby
Wysyłanie przez atakującego sfałszowanych pakietów DTP powoduje przestawienie
portu przełącznika z trybu access do trybu trunk
Uruchomienie w sieci nieautoryzowanego przełącznika z włączonym trunking’iem w
kierunku switch’a ofiary
Drugi przełącznik odbiera
ramkę w VLAN’ie natywnym
Atak na VLAN
(Podwójne tag’owanie)
Atakujący pracuje w VLAN’ie 10,
ale wysyła ramkę dodatkowo
otagowaną VLAN’em 20
Ofiara
(VLAN 20)
Note:
Atak ma szansę powodzenia tylko
wówczas, kiedy trunk przenosi ten
sam natywny VLAN, który wybrał
atakujący.
Pierwsze przełącznik zdejmuje pierwszy tag
ale nie wykonuje retagowania (ruch natywny
nie podlega retagowaniu
). Następnie przesyła
ramkę do przełącznika 2.
20
Trunk
(Native VLAN = 10)
802.1Q, Ramka
1
2
3
4
Drugi przełącznik analizuje
ramki, widzi tag VLAN’u 20 i
przesyła je odpowiednio.
Podstawy Port Security
MAC A
MAC A
Port 0/1 zezwól na MAC A
Port 0/2 zezwól na MAC B
Port 0/3 zezwól na MAC C
Atakujący 1
Atakujący 2
0/1
0/2
0/3
MAC F
Umożliwia administratorowi statycznie przypisanie
adresów MAC do portu lub pozwala przełącznikowi na
dynamiczną naukę ograniczonej liczby adresów MAC
Typowa konfiguracja
dla przełączników Cisco Systems
switchport mode access
switchport port-security
switchport port-security maximum 2
switchport port-security violation shutdown
switchport port-security mac-address sticky
switchport port-security aging time 120
Switch(config-if)#
S2
PC B
Notyfikacja NMS o zmianie adresu MAC
Notyfikacja o zmianie adresu MAC
pozwala na informowanie
stacji zarządzania siecią o dodawaniu lub usuwaniu tzw.
bezpiecznych adresów MAC do/z tablicy CAM przez przełącznik
na poziomie modułu.
NMS
MAC A
MAC B
F1/1 = MAC A
F1/2 = MAC B
F2/1 = MAC D
(
adres „przestarzały”)
Tablica CAM
przełącznika
Trap SNMP zostaje
wysłany do NMS z
chwilą kiedy nowy adres
MAC
pojawia się na
przełączniku lub kiedy
istniejący jest
„przestarzały”.
MAC D nie jest
podłączony do
sieci.
F1/2
F1/1
F2/1
Ochrona – Portfast
Serwer
Stacja robocza
Zapewnia ochronę przed manipulacją drzewa STP
Należy ustawić na wszystkich portach dostępowych (access)
Po ustawieniu na porcie portfast, port ten nie będzie przechodził przez stany STP tylko
od razu ze stanu blocking przejdzie do forwarding
Ochrona – BPDU Guard
Switch(config)#
spanning-tree portfast bpduguard default
Globalnie uruchamia ochronę BPDU na wszystkich portach przełącznika z opcją portfast
F
F
F
F
F
B
Root
Bridge
BPDU
Guard
Enabled
Atakujący
STP
BPDU
Ochrona – Root Guard
Switch(config-if)#
spanning-tree guard root
Uruchamia ochronę root guard na interfejsie
Root Bridge
Priority = 0
MAC Address =
0000.0c45.1a5d
F
F
F
F
F
B
F
STP BPDU
Priority = 0
MAC Address = 0000.0c45.1234
Uruchomione
Root Guard
Atakujący
Metody ochrony przed sztormami
Manipulacja przepustowością jako procentem całkowitej
dostępnej przepustowości portu, która może być
wykorzystywana przez ruch typu broadcast, multicast lub unicast
Manipulacja poziomem ruchu pakietów na sekundę, w którym
odbierane są pakiety typu broadcast, multicast lub unicast
Manipulacja poziomem ruchu bitów na sekundę, w którym
odbierane są pakiety typu broadcast, multicast lub unicast
Manipulacja poziomem ruchu pakietów na sekundę i dla małych
ramek. Funkcja ta jest aktywna globalnie. Próg dla małych ramek
powinien być konfigurowany dla każdego interfejsu.
Trunk
(Native VLAN = 10)
1. Zablokuj trunking na wszystkich portach
dostępowych.
2. Zablokuj auto trunking, uruchom
trunking ręcznie
3.
Upewnij się, że native VLAN jest
używany jedynie do trunków i nigdzie
indziej
Przeciwdziałanie atakom na VLAN
Ochrona – Analizatory ruchu
Port typu SPAN kopiuje wskazany
ruch do innego portu, do którego
jest podłączone urządzenie
monitorujące.
Bez tej funkcjonalności ciężko jest
wyśledzić intruza w sieci
“Alarm!
Intruz”
Atakujący
IDS
RMON Probe
Protocol Analyzer
Podstawy RSPAN
•
Port RSPAN kopiuje ruch do
innego portu na innym
przełączniku, do którego
podłączony jest sensor IDS.
•
Umożliwia to monitorowanie
więcej przełączników za pomocą
jednej sondy IDS.
“Alarm
Intruz!”
Atakujący
IDS
RSPAN VLAN
VLAN
źródłowy
VLAN
źródłowy
VLAN docelowy
Ochrona w sieciach przełączanych
wskazówki
Zarządzaj przełącznikami w sposób tak bezpieczny jak to
możliwe (SSH, out-of-band management, ACLs, itp.)
Ustaw wszystkie porty dostępowe w trybie non-trunking (za
wyjątkiem portów VoIP)
Używaj port security na wszystkich portach dostępowych, tam
gdzie to możliwe
Włącz ochronę przed atakami na STP (BPDU guard, root guard)
Uruchom PortFast
na wszystkich portach innych niż trunk
Uruchom root guard na portach root STP
Uruchom BPDU guard
na wszystkich portach innych niż trunk
Ochrona sieci VLAN
wskazówki
•
Zawsze używaj specjalnego,
niewykorzystanego native VLAN ID dla portów
trunk
•
Nie używaj VLAN 1 do niczego
•
Wyłącz wszystkie nieużywane porty i umieść je
nieużywanym VLAN’ie
•
Ręcznie konfiguruj wszystkie porty typu trunk i
wyłącz DTP na tych portyach
•
Uruchom wszystkie porty inne niż trunk w trybie
access
Bezpieczeństwo sieci Wireless i VoIP
Podstawy
Wireless
VoIP
WLAN
infrastruktura zintegrowana
Możliwości proaktywnego
wykrywania zagrożeń i włamań,
który nie tylko wykrywa ataki w
sieci bezprzewodowej, ale
również im zapobiega
Kompleksowe zabezpieczenia w
celu ochrony poufnych danych i
komunikacji
Uproszczone zarządzanie
użytkownikami z wykorzystaniem
pojedynczej tożsamości
użytkownika i polityki
Współpraca z przewodowymi
systemami bezpieczeństwa
Wireless Hacking
Wardriving
Sąsiad przełamuje
zabezpieczenia sieci
bezprzewodowej innego
sąsiada, aby uzyskać
bezpłatny dostęp do
Internetu lub dostęp do
informacji
„otwarte” sieci Wi-Fi są
miejscem łatwej
kompromitacji danych
ich użytkowników
Narzędzia
•
Network Stumbler
•
Kismet
•
AirSnort
•
CoWPAtty
•
ASLEAP
•
Wireshark
Uwagi o bezpieczeństwie Wi-Fi
Sieci bezprzewodowe, do których dostęp chroniony jest przy
wykorzystaniu WEP lub WPA/TKIP nie są bezpieczne i podatne na
ataki.
Sieci bezprzewodowe, do których dostęp chroniony jest przy
wykorzystaniu WPA2/AES powinny mieć hasło co najmniej 21-
znakowe.
Jeśli jest dostępny IPsec VPN, należy go używać w każdej
publicznej WLAN.
Jeżeli nie ma infrastruktury sieci bezprzewodowej należy
wyłączyć karty bezprzewodowe.
Infrastruktura rozwiązań VoIP
Rozmieszczona w jednym
miejscu
Scentralizowane
przetwarzanie połączeń
VoIP ze zdalnymi
oddziałami
Rozproszone przetwarzanie
połączeń VoIP
Klastry w sieciach
rozległych
Zagrożenia
Ataki skierowane takie jak spam przez telefonię IP (spam over IP
telephony SPIT)
i podszywanie się
Ataki DoS takie jak DHCP starvation, flooding, and fuzzing
Ataki typu man-in-the-middle
i podsłuchiwanie
VoIP SPIT
Właśnie
wygrałeś
wakacje
All-inclusive
na Wyspach
Dziewiczych
!!!
Jeśli SPIT rośnie, jak spam, może to spowodować problemy dla
administratorów sieci w postaci regularnych DoS
Metody antyspamowe
nie blokują SPIT
Uwierzytelnienie TLS zatrzymuje większość ataków SPIT,
ponieważ punkty końcowe TLS akceptują pakiety tylko z
zaufanych urządzeń
Oszustwa
•
Oszustwa przyjmują kilka form:
–
Vishing – wersja głosowa phishing’u, która służy do skompromitowania poufności
rozmów.
–
Oszustwa związane z kradzieżami i opłatami – kradzieże usług telefonicznych VoIP.
•
Ochrona to wykorzystanie funkcji oprogramowania zarządzającego
VoIP do ochrony przed nadużyciami finansowymi.
–
Ograniczenia dostępności części planu telefonicznego dla niektórych telefonów.
–
Wykorzystanie planów telefonicznych do kontroli dostępu do nieuprawnionego
wykorzystania numerów telefonów.
–
Wykorzystywanie mechanizmów ograniczających wykonywanie nieautoryzowanych
połączeń i umożliwiających śledzenie.
Podatności SIP
Rejestrator
Rejestrator
Baza danych
lokalizacji
Serwery/Serwisy
SIP
SIP Proxy
Agenci użytkownika SIP
Agenci użytkownika SIP
Przejęcie rejestracji: pozwala
intruzom na
przechwytywanie połączeń
przychodzących i ich
przekierowywanie
Manipulacjia
wiadomościami:
pozwala intruzom na zmianę
pakietów danych między
adresami SIP
Przerwanie sesji: umożliwia
intruzom zakończenie
połączeń VoIP lub
przeprowadzenia ataków
DoS na systemy VoIP
Ochrona – wykorzystanie VLAN’ów
Tworzą oddzielną domenę broadcast’ową dla ruchu voice
Chronią przed podsłuchiwaniem i manipulacją
Powodują, że snifery działają mniej skutecznie
Łatwiej jest implementować VACLs, które są specyficzne dla ruchu voice
Voice VLAN = 110
Data VLAN = 10
802.1Q Trunk
IP phone
10.1.110.3
Desktop PC
171.1.1.1
5/1
Cisco Identity Services Engine
NAC
Network Admission/Access Control
Cele NAC:
Zezwolić na dostęp do sieci tylko autoryzowanym,
spełniającym wymogi polityki bezpieczeństwa
systemom
Wymusić stosowanie polityki bezpieczeństwa
Elementy składowe NAC
•
Cisco NAC Server
Urządzenie zapewniające
usługę kontroli dostępu do
sieci w trybie in-band lub
out-of-band
•
Cisco NAC Manager
Element centralizujący
zarządzanie przez
administratorów, personel
pomocniczy i operatorów
•
Cisco NAC Agent
Lekki klient na potrzeby
skanowania rejestru w
urządzeniach w środowisku w
niezarządzanym (opcjonalnie)
•
Cisco NAC Profiler
Tożsamość urządzenia,
inwentaryzacja systemu
operacyjnego, oprogramowania
i aplikacji, klasyfikacja urządzenia,
stan urządzenia (AV, poprawki,
itp.)
M
G
R
Bezpieczeństwo sieci SAN
SAN
Rozwiązania sieci storage
Ochrona
inwestycji
Wirtualizacja
Bezpieczeństwo
Konsolidacja
Dostępność
Bezpieczeństwo SAN
SAN
Sie
ć
IP
Specjalizowana sieć, która
umożliwia szybką i niezawodną
komunikację pomiędzy serwerami
i zasobami zewnętrznej pamięci
masowej
Technologie transportu w sieci SAN
Fibre Channel – podstawowa
technologia transportowa
pomiędzy hostem a siecią
SAN
iSCSI – oznacza SCSI over
TCP/IP i jest inną, tańszą
technologią transportową
pomiędzy hostem a siecią
SAN
FCIP – Fibre Channel over IP
popularna technologia
transportowa pomiędzy SAN
LAN
World Wide Name
64-bitowy adres sieci Fibre Channel,
wykorzystywany do jednoznacznej
identyfikacji każdego elementu w sieci Fibre
Channel
Za pomocą Zoningu można przypisać
uprawnienia dla WWN'ów
WWN urzadzenia jest parametrem
konfigurowalnym przez użytkownika
Przełącznik Fibre Channel
Zoning Operation
Członkowie strefy (Zone
members) „widzą” tylko
innych członków strefy.
Strefy mogą być
konfigurowane dynamiczne w
oparciu o WWN’y.
Urządzenia mogą należeć do
więcej niż jednej strefy.
Zoning na matrycy
przełączającej może mieć
miejsce na poziomie portu
albo urządzenia: w oparciu o
fizyczny port urządzenia,
WWN urządzenia lub LUN ID.
SAN
Disk1
Host2
Disk4
Host1
Disk2
Disk3
ZoneA
ZoneB
ZoneC
Przykład Zoning’u. Urządzenia mogą
należeć do więcej niż jednej strefy.
Virtual Storage Area Network (VSAN)
Fizyczne wyspy SAN
należą do wspólnej
wirtualnej infrastruktury
SAN
Przełączniki SAN
z usługą VSAN
Obszary zainteresowania
z punktu widzenia bezpieczeństwa
SAN
Bezpieczny
SAN
Dostęp do
storage przez IP
Integralność i
poufność danych
Metody dostępu
do urządzeń
Protokół SAN
Zarządzanie
dostępem do SAN
Metody dostępu
do matrycy
Zarządzanie SAN
Trzy główne obszary podatności:
1.
Zakłócenie pracy przełącznika
2.
Skompromitowana stabilność matrycy
przełączającej
3.
Skompromitowana integralność i poufność
danych
VSAN’y
Dwa VSAN'y, każdy z
wieloma strefami. Dyski i
hosty są dedykowane do
VSAN'ów jednak mogą
należeć do różnych stref w
jednym VSAN'ie. Nie mogą
jednak rozciągać się na
wiele VSAN'ów.
VSAN 3
Topologia fizyczna
VSAN 2
Disk1
Host2
Disk4
Host1
Disk2
Disk3
Disk6
Disk5
Host4
Host3
ZoneA
ZoneB
ZoneC
ZoneA
ZoneD
Relacja VSAN’ów do Stref
Bezpieczeństwo iSCSI i FCIP
•
iSCSI wykorzystuje wiele zabezpieczeń, związanych
z protokołami Ethernet i IP
–
Listy ACLs są odpowiednikiem stref w Fibre Channel
–
VLAN’y są odpowiednikiem VSAN’ów w Fibre Channel
–
802.1X i port security jest odpowiednikiem port security
w Fibre Channel
FCIP wykorzystuje wiele funkcjonalności bezpieczeństwa
protokołu IP:
–
Połączenia IPsec VPN przez sieci publiczne
–
Usługi szybkiej enkrypcji przy wykorzystaniu
specjalizowanych układów sprzętowych
–
Może funkcjonować „przez firewall”