05 W5

background image

Ochrona sieci lokalnych

background image

Zagadnienia

Bezpieczeństwo użytkownika końcowego

Zabezpieczenie warstwy drugiej modelu OSI

Zabezpieczenie sieci VoIP i SAN

Zabezpieczenie przełączników

background image

Ochrona sieci LAN

obszary zainteresowania

IPS

SIEM

VPN

ACS

Proxy

Firewall

Serwer
WWW

Serwer
poczty

DNS

LAN

Hosty

Perimeter

Internet

Obszary zainteresowania:
• Ochrona hostów/nodów
• Ochrona infrastruktury sieciowej

background image

Ochrona przed

zagrożeniami

Zgodność z

polityką

bezpieczeństwa

Przeciwdziałanie /

powstrzymywanie

infekcji

Bezpieczny

Host

Ochrona systemów końcowych

Oparte o trzy elementy:

Network Admission/Access Control (NAC)

Ochrona systemów końcowych

Przeciwdziałanie rozprzestrzenianiu się infekcji w sieci

background image

Systemy operacyjne

Podstawowe usługi bezpieczeństwa

Zaufany kod i zaufana ścieżka – zapewniają, że

integralność systemu operacyjnego nie jest naruszona

Uprzywilejowany kontekst wykonania – zapewnia

uwierzytelnianie tożsamości i pewne przywileje ze

względu na tożsamość

Ochrona i izolacja pamięci zarezerwowanej dla

procesów – zapewnia separację procesów i danych

jednych użytkowników od procesów i danych innych

użytkowników

Kontrola dostępu do zasobów – zapewnia poufność i

integralność danych

background image

Rodzaje ataków aplikacyjnych

Uzyskałem bezpośredni

dostęp do tej aplikacji z

wysokimi uprawnieniami w

systemie


Pośrednie
Indirect

Bezpośrednie
Direct

Uzyskałem dostęp do tego

systemu, które jest zaufany

dla innego systemu, co

pozwala mi na dostęp do

niego

background image

IPS

SIEM

VPN

ACS

Proxy

Firewall

Serwer
Web

Serwer
poczty

DNS

Hosty

Perimeter

Internet

Ochrona w warstwie II ISO/OSI

background image

Model ISO/OSI

Adres MAC

Warstwa II wg modelu ISO/OSI jest zwykle bardzo słabym

ogniwem w technologiach sieciowych

Łącza fizyczne

Adresy IP

Protokoły i porty

Strumień aplikacji

S

k

om

pr

om

it

owane

Aplikacji

Prezentacji

Sesji

Transportowa

Sieci

Łącza danych

Fizyczna

Początek

kompromitacji

Aplikacji

Prezentacji

Sesji

Transportowa

Sieci

Łącza danych

Fizyczna

background image

Atak MAC Address Spoofing

(podszywanie się)

Adres
MAC:
AABBcc

AABBcc

12AbDd

Port

przełącznika

1

2

Adres MAC:
AABBcc

Atakujący

Port 1

Port 2

Adres
MAC:
12AbDd

Mam powiązane porty 1 i 2 z adresami

MAC przyłączonych do nich urządzeń.

Ruch przeznaczony dla każdego

urządzenia zostanie przekazany

bezpośrednio.

Przełącznik śledzi punkty

końcowe poprzez budowanie i

aktualizację tabeli adresów MAC
(CAM). W czasie ataku, napastnik
udaje innego hosta w tym
przypadku AABBcc

background image

Adres
MAC:
AABBcc

AABBcc

Port Przełącznika

1

2

Adres MAC:
AABBcc

Atakujący

Port 1

Port 2

AABBcc

1

2

Zmieniłem adres MAC na

moim komputerze tak aby był

tożsamy z serwerem.

Adres MAC urządzenia z

AABBcc zmienił lokalizacje na

Port2. Muszę dostosowywać

odpowiednio tabelę adresów
MAC.

Atak MAC Address Spoofing

(podszywanie się)

background image

MAC Address Table Overflow Attack

(przepełnienie tablicy adresów MAC przełącznika)

Przełącznik może przesyłać ramki pomiędzy PC1 i PC2 bez

„zalewania/rozgłaszania”, ponieważ zawiera tabelę zestawiającą adresy
MAC z portami w tablicy adresów MAC (CAM) dla tych komputerów

background image

A

B

C

D

VLAN 10

VLAN 10

Atakujący uruchamia
macof

, aby rozpocząć

wysyłanie nieznanych,

fałszywych adresów MAC

do przełącznika.

3/25

3/25 MAC X
3/25 MAC Y
3/25 MAC Z

XYZ

flood

MAC Port

X 3/25
Y 3/25

C 3/25

Fałszywe adresy dodawane

są do tabeli CAM. Tabela

CAM się przepełnia.

Host C

Przełącznik rozgłasza
wszystkie ramki.

Atakujący może

„podglądać” ruch do
serwerów A, B, C, D

VLAN 10

1

2

3

4

MAC Address Table Overflow Attack

(przepełnienie tablicy adresów MAC przełącznika)

background image

Działanie DHCP

Stacja robocza

klient DHCP

Serwer DHCP

background image

Atak DHCP Starvation

Atakujący

Ochrona:

Port Security

background image

Fałszywy serwer DHCP

Stacja robocza

klient DHCP

Serwer DHCP

zaufany

niezaufany

Ochrona:

DHCP Snooping

DOBRE odpowiedzi:

offer, ack, nack

ZŁE odpowiedzi:

offer, ack, nack

background image

Atak związany z manipulacją STP

Protokół Spanning Tree

opiera swoje działanie

na wyborze mostu

głównego (root bridge)

STP tworzy topologię

drzewa

Manipulacja STP

„zmienia” obraz topologii

sieci – atakujący host

wydaje się być mostem

głównym

F

F

F

F

F

B

Root Bridge

Priority = 8192

MAC Address=

0000.00C0.1234

background image

Root Bridge

Priority = 8192

Root

Bridge

F

F

F

F

F

B

F

B

F

F

F

F

Atakujący

Atakujący wysyła broadcast’em datagramy BPDU

informujące o rekonfiguracji STP i zmianie topologii sieci.
Jest to próba wymuszenia przeliczenia topologii drzewa

przez protokół STP.

Atak związany z manipulacją STP

background image

Ataki typu sztorm w LAN

Broadcast

Broadcast

Broadcast

Broadcast

Broadcast

Broadcast

Pakiety broadcast, multicast lub unicast

zalewają wszystkie porty

przełącznika w tym samym VLAN’ie.

Sztormy te mogą zwiększyć utylizację procesora przełącznika

do 100%, zmniejszając tym samym wydajności sieci.

background image

Kontrola sztormów

Całkowita
liczba
pakietów
lub bajtów
broadcast

background image

Ataki na VLAN’y

VLAN = Domena broadcast’owa =

Sieć logiczna (Podsieć)

Segmentacja

Elastyczność

Bezpieczeństwo

background image

802.1Q

Serwer

Atakujący widzi ruch przeznaczony dla serwerów

Serwer

Trunk

VLAN

20

VLAN

10

Ataki na VLAN’y

Atak VLAN hopping

może być przeprowadzony na 2 sposoby

Wysyłanie przez atakującego sfałszowanych pakietów DTP powoduje przestawienie

portu przełącznika z trybu access do trybu trunk

Uruchomienie w sieci nieautoryzowanego przełącznika z włączonym trunking’iem w
kierunku switch’a ofiary

background image

Drugi przełącznik odbiera

ramkę w VLAN’ie natywnym

Atak na VLAN

(Podwójne tag’owanie)

Atakujący pracuje w VLAN’ie 10,

ale wysyła ramkę dodatkowo

otagowaną VLAN’em 20

Ofiara

(VLAN 20)

Note:

Atak ma szansę powodzenia tylko

wówczas, kiedy trunk przenosi ten

sam natywny VLAN, który wybrał

atakujący.

Pierwsze przełącznik zdejmuje pierwszy tag
ale nie wykonuje retagowania (ruch natywny
nie podlega retagowaniu

). Następnie przesyła

ramkę do przełącznika 2.

20

Trunk

(Native VLAN = 10)

802.1Q, Ramka

1

2

3

4

Drugi przełącznik analizuje
ramki, widzi tag VLAN’u 20 i

przesyła je odpowiednio.

background image

Podstawy Port Security

MAC A

MAC A

Port 0/1 zezwól na MAC A
Port 0/2 zezwól na MAC B
Port 0/3 zezwól na MAC C

Atakujący 1

Atakujący 2

0/1

0/2

0/3

MAC F

Umożliwia administratorowi statycznie przypisanie

adresów MAC do portu lub pozwala przełącznikowi na

dynamiczną naukę ograniczonej liczby adresów MAC

background image

Typowa konfiguracja

dla przełączników Cisco Systems

switchport mode access
switchport port-security
switchport port-security maximum 2

switchport port-security violation shutdown

switchport port-security mac-address sticky
switchport port-security aging time 120

Switch(config-if)#

S2

PC B

background image

Notyfikacja NMS o zmianie adresu MAC

Notyfikacja o zmianie adresu MAC

pozwala na informowanie

stacji zarządzania siecią o dodawaniu lub usuwaniu tzw.

bezpiecznych adresów MAC do/z tablicy CAM przez przełącznik

na poziomie modułu.

NMS

MAC A

MAC B

F1/1 = MAC A
F1/2 = MAC B

F2/1 = MAC D
(

adres „przestarzały”)

Tablica CAM

przełącznika

Trap SNMP zostaje

wysłany do NMS z

chwilą kiedy nowy adres

MAC

pojawia się na

przełączniku lub kiedy

istniejący jest

„przestarzały”.

MAC D nie jest

podłączony do
sieci.

F1/2

F1/1

F2/1

background image

Ochrona – Portfast

Serwer

Stacja robocza

Zapewnia ochronę przed manipulacją drzewa STP

Należy ustawić na wszystkich portach dostępowych (access)

Po ustawieniu na porcie portfast, port ten nie będzie przechodził przez stany STP tylko
od razu ze stanu blocking przejdzie do forwarding

background image

Ochrona – BPDU Guard

Switch(config)#

spanning-tree portfast bpduguard default

Globalnie uruchamia ochronę BPDU na wszystkich portach przełącznika z opcją portfast

F

F

F

F

F

B

Root

Bridge

BPDU
Guard

Enabled

Atakujący

STP

BPDU

background image

Ochrona – Root Guard

Switch(config-if)#

spanning-tree guard root

Uruchamia ochronę root guard na interfejsie

Root Bridge

Priority = 0

MAC Address =

0000.0c45.1a5d

F

F

F

F

F

B

F

STP BPDU

Priority = 0

MAC Address = 0000.0c45.1234

Uruchomione

Root Guard

Atakujący

background image

Metody ochrony przed sztormami

Manipulacja przepustowością jako procentem całkowitej

dostępnej przepustowości portu, która może być

wykorzystywana przez ruch typu broadcast, multicast lub unicast

Manipulacja poziomem ruchu pakietów na sekundę, w którym

odbierane są pakiety typu broadcast, multicast lub unicast

Manipulacja poziomem ruchu bitów na sekundę, w którym

odbierane są pakiety typu broadcast, multicast lub unicast

Manipulacja poziomem ruchu pakietów na sekundę i dla małych

ramek. Funkcja ta jest aktywna globalnie. Próg dla małych ramek

powinien być konfigurowany dla każdego interfejsu.

background image

Trunk

(Native VLAN = 10)

1. Zablokuj trunking na wszystkich portach

dostępowych.

2. Zablokuj auto trunking, uruchom

trunking ręcznie

3.

Upewnij się, że native VLAN jest

używany jedynie do trunków i nigdzie
indziej

Przeciwdziałanie atakom na VLAN

background image

Ochrona – Analizatory ruchu

Port typu SPAN kopiuje wskazany
ruch do innego portu, do którego

jest podłączone urządzenie

monitorujące.

Bez tej funkcjonalności ciężko jest

wyśledzić intruza w sieci

“Alarm!

Intruz”

Atakujący

IDS
RMON Probe
Protocol Analyzer

background image

Podstawy RSPAN

Port RSPAN kopiuje ruch do
innego portu na innym

przełączniku, do którego

podłączony jest sensor IDS.

Umożliwia to monitorowanie

więcej przełączników za pomocą
jednej sondy IDS.

“Alarm

Intruz!”

Atakujący

IDS

RSPAN VLAN

VLAN

źródłowy

VLAN

źródłowy

VLAN docelowy

background image

Ochrona w sieciach przełączanych

wskazówki

Zarządzaj przełącznikami w sposób tak bezpieczny jak to

możliwe (SSH, out-of-band management, ACLs, itp.)

Ustaw wszystkie porty dostępowe w trybie non-trunking (za

wyjątkiem portów VoIP)

Używaj port security na wszystkich portach dostępowych, tam

gdzie to możliwe

Włącz ochronę przed atakami na STP (BPDU guard, root guard)

Uruchom PortFast

na wszystkich portach innych niż trunk

Uruchom root guard na portach root STP

Uruchom BPDU guard

na wszystkich portach innych niż trunk

background image

Ochrona sieci VLAN

wskazówki

Zawsze używaj specjalnego,
niewykorzystanego native VLAN ID dla portów
trunk

Nie używaj VLAN 1 do niczego

Wyłącz wszystkie nieużywane porty i umieść je

nieużywanym VLAN’ie

Ręcznie konfiguruj wszystkie porty typu trunk i

wyłącz DTP na tych portyach

Uruchom wszystkie porty inne niż trunk w trybie
access

background image

Bezpieczeństwo sieci Wireless i VoIP

Podstawy

Wireless

VoIP

background image

WLAN

infrastruktura zintegrowana

Możliwości proaktywnego

wykrywania zagrożeń i włamań,

który nie tylko wykrywa ataki w

sieci bezprzewodowej, ale

również im zapobiega

Kompleksowe zabezpieczenia w

celu ochrony poufnych danych i

komunikacji

Uproszczone zarządzanie

użytkownikami z wykorzystaniem

pojedynczej tożsamości

użytkownika i polityki

Współpraca z przewodowymi

systemami bezpieczeństwa

background image

Wireless Hacking

Wardriving

Sąsiad przełamuje

zabezpieczenia sieci

bezprzewodowej innego

sąsiada, aby uzyskać

bezpłatny dostęp do

Internetu lub dostęp do

informacji

„otwarte” sieci Wi-Fi są

miejscem łatwej

kompromitacji danych

ich użytkowników

background image

Narzędzia

Network Stumbler

Kismet

AirSnort

CoWPAtty

ASLEAP

Wireshark

background image

Uwagi o bezpieczeństwie Wi-Fi

Sieci bezprzewodowe, do których dostęp chroniony jest przy

wykorzystaniu WEP lub WPA/TKIP nie są bezpieczne i podatne na

ataki.

Sieci bezprzewodowe, do których dostęp chroniony jest przy

wykorzystaniu WPA2/AES powinny mieć hasło co najmniej 21-

znakowe.

Jeśli jest dostępny IPsec VPN, należy go używać w każdej

publicznej WLAN.

Jeżeli nie ma infrastruktury sieci bezprzewodowej należy

wyłączyć karty bezprzewodowe.

background image

Infrastruktura rozwiązań VoIP

Rozmieszczona w jednym

miejscu

Scentralizowane

przetwarzanie połączeń

VoIP ze zdalnymi

oddziałami

Rozproszone przetwarzanie

połączeń VoIP

Klastry w sieciach

rozległych

background image

Zagrożenia

Ataki skierowane takie jak spam przez telefonię IP (spam over IP
telephony SPIT)

i podszywanie się

Ataki DoS takie jak DHCP starvation, flooding, and fuzzing

Ataki typu man-in-the-middle

i podsłuchiwanie

background image

VoIP SPIT

Właśnie

wygrałeś

wakacje

All-inclusive

na Wyspach
Dziewiczych

!!!

Jeśli SPIT rośnie, jak spam, może to spowodować problemy dla
administratorów sieci w postaci regularnych DoS

Metody antyspamowe

nie blokują SPIT

Uwierzytelnienie TLS zatrzymuje większość ataków SPIT,

ponieważ punkty końcowe TLS akceptują pakiety tylko z

zaufanych urządzeń

background image

Oszustwa

Oszustwa przyjmują kilka form:

Vishing – wersja głosowa phishing’u, która służy do skompromitowania poufności

rozmów.

Oszustwa związane z kradzieżami i opłatami – kradzieże usług telefonicznych VoIP.

Ochrona to wykorzystanie funkcji oprogramowania zarządzającego

VoIP do ochrony przed nadużyciami finansowymi.

Ograniczenia dostępności części planu telefonicznego dla niektórych telefonów.

Wykorzystanie planów telefonicznych do kontroli dostępu do nieuprawnionego

wykorzystania numerów telefonów.

Wykorzystywanie mechanizmów ograniczających wykonywanie nieautoryzowanych

połączeń i umożliwiających śledzenie.

background image

Podatności SIP

Rejestrator

Rejestrator

Baza danych

lokalizacji

Serwery/Serwisy

SIP

SIP Proxy

Agenci użytkownika SIP

Agenci użytkownika SIP

Przejęcie rejestracji: pozwala
intruzom na

przechwytywanie połączeń

przychodzących i ich
przekierowywanie

Manipulacjia

wiadomościami:

pozwala intruzom na zmianę

pakietów danych między
adresami SIP

Przerwanie sesji: umożliwia

intruzom zakończenie

połączeń VoIP lub
przeprowadzenia ataków
DoS na systemy VoIP

background image

Ochrona – wykorzystanie VLAN’ów


Tworzą oddzielną domenę broadcast’ową dla ruchu voice

Chronią przed podsłuchiwaniem i manipulacją

Powodują, że snifery działają mniej skutecznie

Łatwiej jest implementować VACLs, które są specyficzne dla ruchu voice

Voice VLAN = 110

Data VLAN = 10

802.1Q Trunk

IP phone

10.1.110.3

Desktop PC

171.1.1.1

5/1

background image

Cisco Identity Services Engine

background image

NAC

Network Admission/Access Control

Cele NAC:

Zezwolić na dostęp do sieci tylko autoryzowanym,

spełniającym wymogi polityki bezpieczeństwa
systemom

Wymusić stosowanie polityki bezpieczeństwa

background image

Elementy składowe NAC

Cisco NAC Server

Urządzenie zapewniające

usługę kontroli dostępu do

sieci w trybie in-band lub

out-of-band

Cisco NAC Manager

Element centralizujący

zarządzanie przez

administratorów, personel

pomocniczy i operatorów

Cisco NAC Agent

Lekki klient na potrzeby

skanowania rejestru w

urządzeniach w środowisku w

niezarządzanym (opcjonalnie)

Cisco NAC Profiler

Tożsamość urządzenia,

inwentaryzacja systemu

operacyjnego, oprogramowania

i aplikacji, klasyfikacja urządzenia,

stan urządzenia (AV, poprawki,

itp.)

M
G

R

background image

Bezpieczeństwo sieci SAN

SAN

background image

Rozwiązania sieci storage

Ochrona

inwestycji

Wirtualizacja

Bezpieczeństwo

Konsolidacja

Dostępność

background image

Bezpieczeństwo SAN

SAN

Sie

ć

IP

Specjalizowana sieć, która

umożliwia szybką i niezawodną

komunikację pomiędzy serwerami

i zasobami zewnętrznej pamięci
masowej

background image

Technologie transportu w sieci SAN

Fibre Channel – podstawowa

technologia transportowa

pomiędzy hostem a siecią

SAN

iSCSI – oznacza SCSI over

TCP/IP i jest inną, tańszą

technologią transportową

pomiędzy hostem a siecią

SAN

FCIP – Fibre Channel over IP

popularna technologia

transportowa pomiędzy SAN

LAN

background image

World Wide Name

64-bitowy adres sieci Fibre Channel,

wykorzystywany do jednoznacznej

identyfikacji każdego elementu w sieci Fibre

Channel

Za pomocą Zoningu można przypisać

uprawnienia dla WWN'ów

WWN urzadzenia jest parametrem

konfigurowalnym przez użytkownika

Przełącznik Fibre Channel

background image

Zoning Operation

Członkowie strefy (Zone

members) „widzą” tylko

innych członków strefy.

Strefy mogą być

konfigurowane dynamiczne w

oparciu o WWN’y.

Urządzenia mogą należeć do

więcej niż jednej strefy.

Zoning na matrycy

przełączającej może mieć

miejsce na poziomie portu

albo urządzenia: w oparciu o

fizyczny port urządzenia,

WWN urządzenia lub LUN ID.

SAN

Disk1

Host2

Disk4

Host1

Disk2

Disk3

ZoneA

ZoneB

ZoneC

Przykład Zoning’u. Urządzenia mogą

należeć do więcej niż jednej strefy.

background image

Virtual Storage Area Network (VSAN)

Fizyczne wyspy SAN

należą do wspólnej

wirtualnej infrastruktury

SAN

Przełączniki SAN

z usługą VSAN

background image

Obszary zainteresowania

z punktu widzenia bezpieczeństwa

SAN

Bezpieczny
SAN

Dostęp do

storage przez IP

Integralność i

poufność danych

Metody dostępu

do urządzeń

Protokół SAN

Zarządzanie

dostępem do SAN

Metody dostępu
do matrycy

background image

Zarządzanie SAN

Trzy główne obszary podatności:

1.

Zakłócenie pracy przełącznika

2.

Skompromitowana stabilność matrycy

przełączającej

3.

Skompromitowana integralność i poufność

danych

background image

VSAN’y


Dwa VSAN'y, każdy z

wieloma strefami. Dyski i

hosty są dedykowane do

VSAN'ów jednak mogą

należeć do różnych stref w

jednym VSAN'ie. Nie mogą

jednak rozciągać się na

wiele VSAN'ów.

VSAN 3

Topologia fizyczna

VSAN 2

Disk1

Host2

Disk4

Host1

Disk2

Disk3

Disk6

Disk5

Host4

Host3

ZoneA

ZoneB

ZoneC

ZoneA

ZoneD

Relacja VSAN’ów do Stref

background image

Bezpieczeństwo iSCSI i FCIP

iSCSI wykorzystuje wiele zabezpieczeń, związanych

z protokołami Ethernet i IP

Listy ACLs są odpowiednikiem stref w Fibre Channel

VLAN’y są odpowiednikiem VSAN’ów w Fibre Channel

802.1X i port security jest odpowiednikiem port security

w Fibre Channel

FCIP wykorzystuje wiele funkcjonalności bezpieczeństwa

protokołu IP:

Połączenia IPsec VPN przez sieci publiczne

Usługi szybkiej enkrypcji przy wykorzystaniu

specjalizowanych układów sprzętowych

Może funkcjonować „przez firewall”


Document Outline


Wyszukiwarka

Podobne podstrony:
W5 05 2010r
Psychologia kliniczna W5 05 2014
Psychiatria W5 05 05 2014 Zaburzenia osobowości
Materiały do W5 mapa?zrobocia 05
rachunkowo 9c e6+mi eadzynarodowa+ w5 + 2817 05 2006 29 OWCADXAKNVRPJCQ7AIWG4S7RSJGLRFC3IHYTOWI
GF w5 16.03, Geologia GZMiW UAM 2010-2013, I rok, Geologia fizyczna, Geologia fizyczna - wykłady, 05
W5 Warunki kondensacji pary wodnej 19 05 06
Energo 05 06 E VI W5
W5 05 2010r
Psychologia kliniczna W5 05 2014
podrecznik 2 18 03 05
regul praw stan wyjątk 05
W5 Zawiesia
W5 sII PCR i sekwencjonowanie cz 2
05 Badanie diagnostyczneid 5649 ppt
Podstawy zarządzania wykład rozdział 05

więcej podobnych podstron