Ochrona sieci lokalnych

Zagadnienia



Bezpieczeństwo użytkownika końcowego



Zabezpieczenie warstwy drugiej modelu OSI



Zabezpieczenie sieci VoIP i SAN



Zabezpieczenie przełączników

Ochrona sieci LAN

obszary zainteresowania

IPS

SIEM

VPN

ACS

Proxy

Firewall

Serwer
WWW

Serwer
poczty

DNS

LAN

Hosty

Perimeter

Internet

Obszary zainteresowania:
• Ochrona hostów/nodów
• Ochrona infrastruktury sieciowej

Ochrona przed

zagrożeniami

Zgodność z

polityką

bezpieczeństwa

Przeciwdziałanie /

powstrzymywanie

infekcji

Bezpieczny

Host

Ochrona systemów końcowych

Oparte o trzy elementy:

•

Network Admission/Access Control (NAC)

•

Ochrona systemów końcowych

•

Przeciwdziałanie rozprzestrzenianiu się infekcji w sieci

Systemy operacyjne

Podstawowe usługi bezpieczeństwa



Zaufany kod i zaufana ścieżka – zapewniają, że

integralność systemu operacyjnego nie jest naruszona



Uprzywilejowany kontekst wykonania – zapewnia

uwierzytelnianie tożsamości i pewne przywileje ze

względu na tożsamość



Ochrona i izolacja pamięci zarezerwowanej dla

procesów – zapewnia separację procesów i danych

jednych użytkowników od procesów i danych innych

użytkowników



Kontrola dostępu do zasobów – zapewnia poufność i

integralność danych

Rodzaje ataków aplikacyjnych

Uzyskałem bezpośredni

dostęp do tej aplikacji z

wysokimi uprawnieniami w

systemie

Pośrednie
Indirect

Bezpośrednie
Direct

Uzyskałem dostęp do tego

systemu, które jest zaufany

dla innego systemu, co

pozwala mi na dostęp do

niego

IPS

SIEM

VPN

ACS

Proxy

Firewall

Serwer
Web

Serwer
poczty

DNS

Hosty

Perimeter

Internet

Ochrona w warstwie II ISO/OSI

Model ISO/OSI

Adres MAC

Warstwa II wg modelu ISO/OSI jest zwykle bardzo słabym

ogniwem w technologiach sieciowych

Łącza fizyczne

Adresy IP

Protokoły i porty

Strumień aplikacji

S

k

om

pr

om

it

owane

Aplikacji

Prezentacji

Sesji

Transportowa

Sieci

Łącza danych

Fizyczna

Początek

kompromitacji

Aplikacji

Prezentacji

Sesji

Transportowa

Sieci

Łącza danych

Fizyczna

Atak MAC Address Spoofing

(podszywanie się)

Adres
MAC:
AABBcc

AABBcc

12AbDd

Port

przełącznika

1

2

Adres MAC:
AABBcc

Atakujący

Port 1

Port 2

Adres
MAC:
12AbDd

Mam powiązane porty 1 i 2 z adresami

MAC przyłączonych do nich urządzeń.

Ruch przeznaczony dla każdego

urządzenia zostanie przekazany

bezpośrednio.

Przełącznik śledzi punkty

końcowe poprzez budowanie i

aktualizację tabeli adresów MAC
(CAM). W czasie ataku, napastnik
udaje innego hosta w tym
przypadku AABBcc

Adres
MAC:
AABBcc

AABBcc

Port Przełącznika

1

2

Adres MAC:
AABBcc

Atakujący

Port 1

Port 2

AABBcc

1

2

Zmieniłem adres MAC na

moim komputerze tak aby był

tożsamy z serwerem.

Adres MAC urządzenia z

AABBcc zmienił lokalizacje na

Port2. Muszę dostosowywać

odpowiednio tabelę adresów
MAC.

Atak MAC Address Spoofing

(podszywanie się)

MAC Address Table Overflow Attack

(przepełnienie tablicy adresów MAC przełącznika)

Przełącznik może przesyłać ramki pomiędzy PC1 i PC2 bez

„zalewania/rozgłaszania”, ponieważ zawiera tabelę zestawiającą adresy
MAC z portami w tablicy adresów MAC (CAM) dla tych komputerów

A

B

C

D

VLAN 10

VLAN 10

Atakujący uruchamia
macof

, aby rozpocząć

wysyłanie nieznanych,

fałszywych adresów MAC

do przełącznika.

3/25

3/25 MAC X
3/25 MAC Y
3/25 MAC Z

XYZ

flood

MAC Port

X 3/25
Y 3/25

C 3/25

Fałszywe adresy dodawane

są do tabeli CAM. Tabela

CAM się przepełnia.

Host C

Przełącznik rozgłasza
wszystkie ramki.

Atakujący może

„podglądać” ruch do
serwerów A, B, C, D

VLAN 10

1

2

3

4

MAC Address Table Overflow Attack

(przepełnienie tablicy adresów MAC przełącznika)

Działanie DHCP

Stacja robocza

klient DHCP

Serwer DHCP

Atak DHCP Starvation

Atakujący

Ochrona:

Port Security

Fałszywy serwer DHCP

Stacja robocza

klient DHCP

Serwer DHCP

zaufany

niezaufany

Ochrona:

DHCP Snooping

DOBRE odpowiedzi:

offer, ack, nack

ZŁE odpowiedzi:

offer, ack, nack

Atak związany z manipulacją STP



Protokół Spanning Tree

opiera swoje działanie

na wyborze mostu

głównego (root bridge)



STP tworzy topologię

drzewa



Manipulacja STP

„zmienia” obraz topologii

sieci – atakujący host

wydaje się być mostem

głównym

F

F

F

F

F

B

Root Bridge

Priority = 8192

MAC Address=

0000.00C0.1234

Root Bridge

Priority = 8192

Root

Bridge

F

F

F

F

F

B

F

B

F

F

F

F

Atakujący

Atakujący wysyła broadcast’em datagramy BPDU

informujące o rekonfiguracji STP i zmianie topologii sieci.
Jest to próba wymuszenia przeliczenia topologii drzewa

przez protokół STP.

Atak związany z manipulacją STP

Ataki typu sztorm w LAN

Broadcast

Broadcast

Broadcast

Broadcast

Broadcast

Broadcast

•

Pakiety broadcast, multicast lub unicast

zalewają wszystkie porty

przełącznika w tym samym VLAN’ie.

•

Sztormy te mogą zwiększyć utylizację procesora przełącznika

do 100%, zmniejszając tym samym wydajności sieci.

Kontrola sztormów

Całkowita
liczba
pakietów
lub bajtów
broadcast

Ataki na VLAN’y

VLAN = Domena broadcast’owa =

Sieć logiczna (Podsieć)



Segmentacja



Elastyczność



Bezpieczeństwo

802.1Q

Serwer

Atakujący widzi ruch przeznaczony dla serwerów

Serwer

Trunk

VLAN

20

VLAN

10

Ataki na VLAN’y

Atak VLAN hopping

może być przeprowadzony na 2 sposoby



Wysyłanie przez atakującego sfałszowanych pakietów DTP powoduje przestawienie

portu przełącznika z trybu access do trybu trunk



Uruchomienie w sieci nieautoryzowanego przełącznika z włączonym trunking’iem w
kierunku switch’a ofiary

Drugi przełącznik odbiera

ramkę w VLAN’ie natywnym

Atak na VLAN

(Podwójne tag’owanie)

Atakujący pracuje w VLAN’ie 10,

ale wysyła ramkę dodatkowo

otagowaną VLAN’em 20

Ofiara

(VLAN 20)

Note:

Atak ma szansę powodzenia tylko

wówczas, kiedy trunk przenosi ten

sam natywny VLAN, który wybrał

atakujący.

Pierwsze przełącznik zdejmuje pierwszy tag
ale nie wykonuje retagowania (ruch natywny
nie podlega retagowaniu

). Następnie przesyła

ramkę do przełącznika 2.

20

Trunk

(Native VLAN = 10)

802.1Q, Ramka

1

2

3

4

Drugi przełącznik analizuje
ramki, widzi tag VLAN’u 20 i

przesyła je odpowiednio.

Podstawy Port Security

MAC A

MAC A

Port 0/1 zezwól na MAC A
Port 0/2 zezwól na MAC B
Port 0/3 zezwól na MAC C

Atakujący 1

Atakujący 2

0/1

0/2

0/3

MAC F

Umożliwia administratorowi statycznie przypisanie

adresów MAC do portu lub pozwala przełącznikowi na

dynamiczną naukę ograniczonej liczby adresów MAC

Typowa konfiguracja

dla przełączników Cisco Systems

switchport mode access
switchport port-security
switchport port-security maximum 2

switchport port-security violation shutdown

switchport port-security mac-address sticky
switchport port-security aging time 120

Switch(config-if)#

S2

PC B

Notyfikacja NMS o zmianie adresu MAC

Notyfikacja o zmianie adresu MAC

pozwala na informowanie

stacji zarządzania siecią o dodawaniu lub usuwaniu tzw.

bezpiecznych adresów MAC do/z tablicy CAM przez przełącznik

na poziomie modułu.

NMS

MAC A

MAC B

F1/1 = MAC A
F1/2 = MAC B

F2/1 = MAC D
(

adres „przestarzały”)

Tablica CAM

przełącznika

Trap SNMP zostaje

wysłany do NMS z

chwilą kiedy nowy adres

MAC

pojawia się na

przełączniku lub kiedy

istniejący jest

„przestarzały”.

MAC D nie jest

podłączony do
sieci.

F1/2

F1/1

F2/1

Ochrona – Portfast

Serwer

Stacja robocza

Zapewnia ochronę przed manipulacją drzewa STP



Należy ustawić na wszystkich portach dostępowych (access)



Po ustawieniu na porcie portfast, port ten nie będzie przechodził przez stany STP tylko
od razu ze stanu blocking przejdzie do forwarding

Ochrona – BPDU Guard

Switch(config)#

spanning-tree portfast bpduguard default

Globalnie uruchamia ochronę BPDU na wszystkich portach przełącznika z opcją portfast

F

F

F

F

F

B

Root

Bridge

BPDU
Guard

Enabled

Atakujący

STP

BPDU

Ochrona – Root Guard

Switch(config-if)#

spanning-tree guard root

Uruchamia ochronę root guard na interfejsie

Root Bridge

Priority = 0

MAC Address =

0000.0c45.1a5d

F

F

F

F

F

B

F

STP BPDU

Priority = 0

MAC Address = 0000.0c45.1234

Uruchomione

Root Guard

Atakujący

Metody ochrony przed sztormami



Manipulacja przepustowością jako procentem całkowitej

dostępnej przepustowości portu, która może być

wykorzystywana przez ruch typu broadcast, multicast lub unicast



Manipulacja poziomem ruchu pakietów na sekundę, w którym

odbierane są pakiety typu broadcast, multicast lub unicast



Manipulacja poziomem ruchu bitów na sekundę, w którym

odbierane są pakiety typu broadcast, multicast lub unicast



Manipulacja poziomem ruchu pakietów na sekundę i dla małych

ramek. Funkcja ta jest aktywna globalnie. Próg dla małych ramek

powinien być konfigurowany dla każdego interfejsu.

Trunk

(Native VLAN = 10)

1. Zablokuj trunking na wszystkich portach

dostępowych.

2. Zablokuj auto trunking, uruchom

trunking ręcznie

3.

Upewnij się, że native VLAN jest

używany jedynie do trunków i nigdzie
indziej

Przeciwdziałanie atakom na VLAN

Ochrona – Analizatory ruchu



Port typu SPAN kopiuje wskazany
ruch do innego portu, do którego

jest podłączone urządzenie

monitorujące.



Bez tej funkcjonalności ciężko jest

wyśledzić intruza w sieci

“Alarm!

Intruz”

Atakujący

IDS
RMON Probe
Protocol Analyzer

Podstawy RSPAN

•

Port RSPAN kopiuje ruch do
innego portu na innym

przełączniku, do którego

podłączony jest sensor IDS.

•

Umożliwia to monitorowanie

więcej przełączników za pomocą
jednej sondy IDS.

“Alarm

Intruz!”

Atakujący

IDS

RSPAN VLAN

VLAN

źródłowy

VLAN

źródłowy

VLAN docelowy

Ochrona w sieciach przełączanych

wskazówki



Zarządzaj przełącznikami w sposób tak bezpieczny jak to

możliwe (SSH, out-of-band management, ACLs, itp.)



Ustaw wszystkie porty dostępowe w trybie non-trunking (za

wyjątkiem portów VoIP)



Używaj port security na wszystkich portach dostępowych, tam

gdzie to możliwe



Włącz ochronę przed atakami na STP (BPDU guard, root guard)



Uruchom PortFast

na wszystkich portach innych niż trunk



Uruchom root guard na portach root STP



Uruchom BPDU guard

na wszystkich portach innych niż trunk

Ochrona sieci VLAN

wskazówki

•

Zawsze używaj specjalnego,
niewykorzystanego native VLAN ID dla portów
trunk

•

Nie używaj VLAN 1 do niczego

•

Wyłącz wszystkie nieużywane porty i umieść je

nieużywanym VLAN’ie

•

Ręcznie konfiguruj wszystkie porty typu trunk i

wyłącz DTP na tych portyach

•

Uruchom wszystkie porty inne niż trunk w trybie
access

Bezpieczeństwo sieci Wireless i VoIP

Podstawy

Wireless

VoIP

WLAN

infrastruktura zintegrowana



Możliwości proaktywnego

wykrywania zagrożeń i włamań,

który nie tylko wykrywa ataki w

sieci bezprzewodowej, ale

również im zapobiega



Kompleksowe zabezpieczenia w

celu ochrony poufnych danych i

komunikacji



Uproszczone zarządzanie

użytkownikami z wykorzystaniem

pojedynczej tożsamości

użytkownika i polityki



Współpraca z przewodowymi

systemami bezpieczeństwa

Wireless Hacking



Wardriving



Sąsiad przełamuje

zabezpieczenia sieci

bezprzewodowej innego

sąsiada, aby uzyskać

bezpłatny dostęp do

Internetu lub dostęp do

informacji



„otwarte” sieci Wi-Fi są

miejscem łatwej

kompromitacji danych

ich użytkowników

Narzędzia

•

Network Stumbler

•

Kismet

•

AirSnort

•

CoWPAtty

•

ASLEAP

•

Wireshark

Uwagi o bezpieczeństwie Wi-Fi



Sieci bezprzewodowe, do których dostęp chroniony jest przy

wykorzystaniu WEP lub WPA/TKIP nie są bezpieczne i podatne na

ataki.



Sieci bezprzewodowe, do których dostęp chroniony jest przy

wykorzystaniu WPA2/AES powinny mieć hasło co najmniej 21-

znakowe.



Jeśli jest dostępny IPsec VPN, należy go używać w każdej

publicznej WLAN.



Jeżeli nie ma infrastruktury sieci bezprzewodowej należy

wyłączyć karty bezprzewodowe.

Infrastruktura rozwiązań VoIP



Rozmieszczona w jednym

miejscu



Scentralizowane

przetwarzanie połączeń

VoIP ze zdalnymi

oddziałami



Rozproszone przetwarzanie

połączeń VoIP



Klastry w sieciach

rozległych

Zagrożenia



Ataki skierowane takie jak spam przez telefonię IP (spam over IP
telephony SPIT)

i podszywanie się



Ataki DoS takie jak DHCP starvation, flooding, and fuzzing



Ataki typu man-in-the-middle

i podsłuchiwanie

VoIP SPIT

Właśnie

wygrałeś

wakacje

All-inclusive

na Wyspach
Dziewiczych

!!!



Jeśli SPIT rośnie, jak spam, może to spowodować problemy dla
administratorów sieci w postaci regularnych DoS



Metody antyspamowe

nie blokują SPIT



Uwierzytelnienie TLS zatrzymuje większość ataków SPIT,

ponieważ punkty końcowe TLS akceptują pakiety tylko z

zaufanych urządzeń

Oszustwa

•

Oszustwa przyjmują kilka form:

–

Vishing – wersja głosowa phishing’u, która służy do skompromitowania poufności

rozmów.

–

Oszustwa związane z kradzieżami i opłatami – kradzieże usług telefonicznych VoIP.

•

Ochrona to wykorzystanie funkcji oprogramowania zarządzającego

VoIP do ochrony przed nadużyciami finansowymi.

–

Ograniczenia dostępności części planu telefonicznego dla niektórych telefonów.

–

Wykorzystanie planów telefonicznych do kontroli dostępu do nieuprawnionego

wykorzystania numerów telefonów.

–

Wykorzystywanie mechanizmów ograniczających wykonywanie nieautoryzowanych

połączeń i umożliwiających śledzenie.

Podatności SIP

Rejestrator

Rejestrator

Baza danych

lokalizacji

Serwery/Serwisy

SIP

SIP Proxy

Agenci użytkownika SIP

Agenci użytkownika SIP



Przejęcie rejestracji: pozwala
intruzom na

przechwytywanie połączeń

przychodzących i ich
przekierowywanie



Manipulacjia

wiadomościami:

pozwala intruzom na zmianę

pakietów danych między
adresami SIP



Przerwanie sesji: umożliwia

intruzom zakończenie

połączeń VoIP lub
przeprowadzenia ataków
DoS na systemy VoIP

Ochrona – wykorzystanie VLAN’ów



Tworzą oddzielną domenę broadcast’ową dla ruchu voice



Chronią przed podsłuchiwaniem i manipulacją



Powodują, że snifery działają mniej skutecznie



Łatwiej jest implementować VACLs, które są specyficzne dla ruchu voice

Voice VLAN = 110

Data VLAN = 10

802.1Q Trunk

IP phone

10.1.110.3

Desktop PC

171.1.1.1

5/1

Cisco Identity Services Engine

NAC

Network Admission/Access Control

Cele NAC:



Zezwolić na dostęp do sieci tylko autoryzowanym,

spełniającym wymogi polityki bezpieczeństwa
systemom



Wymusić stosowanie polityki bezpieczeństwa

Elementy składowe NAC

•

Cisco NAC Server

Urządzenie zapewniające

usługę kontroli dostępu do

sieci w trybie in-band lub

out-of-band

•

Cisco NAC Manager

Element centralizujący

zarządzanie przez

administratorów, personel

pomocniczy i operatorów

•

Cisco NAC Agent

Lekki klient na potrzeby

skanowania rejestru w

urządzeniach w środowisku w

niezarządzanym (opcjonalnie)

•

Cisco NAC Profiler

Tożsamość urządzenia,

inwentaryzacja systemu

operacyjnego, oprogramowania

i aplikacji, klasyfikacja urządzenia,

stan urządzenia (AV, poprawki,

itp.)

M
G

R

Bezpieczeństwo sieci SAN

SAN

Rozwiązania sieci storage



Ochrona

inwestycji



Wirtualizacja



Bezpieczeństwo



Konsolidacja



Dostępność

Bezpieczeństwo SAN

SAN

Sie

ć

IP

Specjalizowana sieć, która

umożliwia szybką i niezawodną

komunikację pomiędzy serwerami

i zasobami zewnętrznej pamięci
masowej

Technologie transportu w sieci SAN



Fibre Channel – podstawowa

technologia transportowa

pomiędzy hostem a siecią

SAN



iSCSI – oznacza SCSI over

TCP/IP i jest inną, tańszą

technologią transportową

pomiędzy hostem a siecią

SAN



FCIP – Fibre Channel over IP

popularna technologia

transportowa pomiędzy SAN

LAN

World Wide Name



64-bitowy adres sieci Fibre Channel,

wykorzystywany do jednoznacznej

identyfikacji każdego elementu w sieci Fibre

Channel



Za pomocą Zoningu można przypisać

uprawnienia dla WWN'ów



WWN urzadzenia jest parametrem

konfigurowalnym przez użytkownika

Przełącznik Fibre Channel

Zoning Operation



Członkowie strefy (Zone

members) „widzą” tylko

innych członków strefy.



Strefy mogą być

konfigurowane dynamiczne w

oparciu o WWN’y.



Urządzenia mogą należeć do

więcej niż jednej strefy.



Zoning na matrycy

przełączającej może mieć

miejsce na poziomie portu

albo urządzenia: w oparciu o

fizyczny port urządzenia,

WWN urządzenia lub LUN ID.

SAN

Disk1

Host2

Disk4

Host1

Disk2

Disk3

ZoneA

ZoneB

ZoneC

Przykład Zoning’u. Urządzenia mogą

należeć do więcej niż jednej strefy.

Virtual Storage Area Network (VSAN)

Fizyczne wyspy SAN

należą do wspólnej

wirtualnej infrastruktury

SAN

Przełączniki SAN

z usługą VSAN

Obszary zainteresowania

z punktu widzenia bezpieczeństwa

SAN

Bezpieczny
SAN

Dostęp do

storage przez IP

Integralność i

poufność danych

Metody dostępu

do urządzeń

Protokół SAN

Zarządzanie

dostępem do SAN

Metody dostępu
do matrycy

Zarządzanie SAN

Trzy główne obszary podatności:

1.

Zakłócenie pracy przełącznika

2.

Skompromitowana stabilność matrycy

przełączającej

3.

Skompromitowana integralność i poufność

danych

VSAN’y

Dwa VSAN'y, każdy z

wieloma strefami. Dyski i

hosty są dedykowane do

VSAN'ów jednak mogą

należeć do różnych stref w

jednym VSAN'ie. Nie mogą

jednak rozciągać się na

wiele VSAN'ów.

VSAN 3

Topologia fizyczna

VSAN 2

Disk1

Host2

Disk4

Host1

Disk2

Disk3

Disk6

Disk5

Host4

Host3

ZoneA

ZoneB

ZoneC

ZoneA

ZoneD

Relacja VSAN’ów do Stref

Bezpieczeństwo iSCSI i FCIP

•

iSCSI wykorzystuje wiele zabezpieczeń, związanych

z protokołami Ethernet i IP

–

Listy ACLs są odpowiednikiem stref w Fibre Channel

–

VLAN’y są odpowiednikiem VSAN’ów w Fibre Channel

–

802.1X i port security jest odpowiednikiem port security

w Fibre Channel



FCIP wykorzystuje wiele funkcjonalności bezpieczeństwa

protokołu IP:

–

Połączenia IPsec VPN przez sieci publiczne

–

Usługi szybkiej enkrypcji przy wykorzystaniu

specjalizowanych układów sprzętowych

–

Może funkcjonować „przez firewall”