(T) Zagrożenia sieciowe*

Zagrożenia i metody im przeciwdziałające

Pojęcia dotyczące bezpieczeństwa

  • Poufność – Zapewnia dyskretną wymianę danych, dzięki czemu jedynie uprawnione osoby mogą odczytać przesyłane informacje. W większości przypadków poufność jest realizowana za pomocą szyfrowania bądź kontroli dostępu.
  • Integralność – Zapewnia o nienaruszalności otrzymanych danych, dzięki czemu odbiorca jest pewien, że dane nie były w żaden sposób modyfikowane podczas przesyłu przez sieć.
  • Dostępność – Zapewnia dostęp do danych w sposób kontrolowany, nawet w przypadku częściowej awarii sieci.
  • Audytowalność – Monitoruje aktywność użytkowników, zapisując informacje o zmianach przez nich dokonanych. 
  • Niezaprzeczalność – Oznacza możliwość potwierdzenia wszystkich działań podjętych przez użytkowników sieci.
  • Uwierzytelnianie – Sprawdza czy osoba przesyłająca dane jest tym, za kogo się podaje.

Rodzaje ataków sieciowych

  • Chodź nie istnieje formalna klasyfikacja, to występujące w sieci zagrożenia można podzielić na ataki skierowane przeciwko implementacją (wpływają one na funkcjonowanie uruchomionych procesów) jak i ataki skierowane przeciwko użytkownikom (nakłaniające użytkowników do uruchomienia niebezpiecznych programów określanych terminem „malware” (złośliwe oprogramowanie)). Z dostępnych ataków należy wymienić następujące:
    • Passwords Attack – Ma na celu przejęcie hasła konkretnego użytkownika.
    • Man-in-the-middle Attack – Ma na celu przejęcie informacji od osoby atakowanej poprzez podszycie się pod docelowego odbiorcę osoby wiadomości.
    • Buffer overflow Attack – Przepełnia pamięć atakowanego urządzenia blokując jego funkcjonalność.
    • Smurf Attack – Stanowi odmiana ataku sieciowego o nazwie ping flood, który polega na przeciążeniu łącza atakowanego systemu pakietami ICMP, w celu zablokowania usług przez niego prowadzonych.
    • Trust exploitation Attack – Ma na celu uzyskanie dostępu do sieci poprzez obszar o słabszej ochronie.

Przeciwdziałanie atakom

  • NFP (Network Foundation Protection)
  • Management Plane (Płaszczyzna zarządzania)
  • Control Plane (Płaszczyzna kontroli)
  • Data Plane (Płaszczyzna danych)

Zagrożenia sieciowe

  • VLAN Hooping
    • Atak VLAN Hooping jest stosowany w celu wysyłania ruchu sieciowego do innej sieci VLAN z pominięciem routera. Dzięki podwójnemu o-tagowaniu ramki Ethernet-owej przełącznik wykrywa i usuwa jedynie pierwszą natomiast druga pozostaje nie tknięta, umożliwiając wymianę danych z inną siecią VLAN. Metodą ochrony przed tego typu zagrożeniem są listy VACL, sieci prywatne PVLAN oraz inne komendy blokujące sieć natywną na obydwóch stronach połączenia trunk-owego bądź też zmiana sieci natywnej.
  • MAC Flooding
    • Atak MAC flooding wykorzystuje skończoną pojemność pamięci przełącznika do zapełnienia tablicy MAC. Atakujący host wysyła wiadomości rozgłoszeni-owe z losowo generowanymi źródłowymi adresami MAC, a otrzymujący je przełącznik zaczyna przypisywać nadchodzące adresy do interfejsu sieciowego. Dopóki jego pamięć nie zostanie w pełni zapisana. Po zapisaniu całej pamięci przełącznik zaczyna funkcjonować w sposób zbliżony do koncentratora rozsyłając nadchodzące ramki na wszystkie interfejsy sieciowe, poza tym, na którym ją otrzymał. W takiej sytuacji hacker poprzez program przechwytujący (Sniffer) jest w stanie przejąć dane kierowane do innych użytkowników sieci. Jednym z największych problemów związanych z tym atakiem jest łatwość jego przeprowadzenia, dzięki czemu zwykli użytkownicy posiadający odpowiedni program lub system są w stanie go przeprowadzić nie dysponując zaawansowaną wiedzą na temat budowy sieci.
  • DHCP Snooping
    • Atak DHCP Spoofing polega na podszywaniu się przez osobę atakującą, pod serwer DHCP. Dzięki czemu jest ona w stanie propagować własną adresację IP. Atak ten może stanowić część bardziej złożonego ataku „Man-in-the-middle”, w którym atakujący host rozgłasza za pomocą fałszywego serwera DHCP, swój adres IP jako adres bramy domyślnej. Tym samym komunikacja ofiary w drodze poza sieć lokalną, zaczyna przechodzić przez podstawionego hosta.
  • DHCP Starvation
    • Serwer DHCP odpowiada na każde, wysłane przez użytkownika zapytanie „Discover”, w odpowiedzi oferując adres IP przy pomocy wiadomości „Offer”. Taka zależność niesie ze sobą zagrożenie, w którym atakujący sieć host będzie wysyłał wiele zapytań DHCP pod różnymi adresami MAC, a tym samym sztucznie zapełniał dostępną pulę adresów IP.
  • IP Source Guard
    • Funkcja IP guard umożliwia weryfikację źródłowych adresów IP oraz źródłowych adresów MAC, ramek Ethernet-owych nadawanych przez urządzenia końcowe. Dzięki zawartej w pamięci urządzenia bazie DHCP binding, kojarzącej adres IP z adresami MAC jak i portem, do którego przynależą, przełącznik może weryfikować czy nadchodzące na interfejs ramki Ethernet-owe są zgodne z przypisanymi do interfejsu adresami źródłowymi. Dzięki takiej weryfikacji nadchodzącego ruchu sieciowego, sieć lokalna jest częściowo chroniona przed atakami typu „Men-in-the-Middle”.
  • STP Attacks
    • S
  • ARP Snooping
    • S
  • Double tagging
    • S
  • Host Spoofing
    • S
  • IP Source Guard
    • S
  • Switch Spoofing
    • Polega na dynamicznej negocjacji połączenia trunk-owego, w celu przesyłania ruchu sieciowego do innych sieci VLAN.
  • Man in the Middle
    • Atak „Man-in-the-Middle” może być przeprowadzony na wiele sposobów, przy wykorzystaniu spreparowanych wiadomości ARP czy podstawionego serwera DHCP. W pierwszym przypadku atakujący sieć host, wysyła odpowiedź „ARP gratuitous Replay”, stanowiącą wiadomość „ARP Replay” wysłana na rozgłoszeniowy adres MAC, bez wcześniejszego otrzymania wiadomości „ARP request”. Dzięki takiemu zabiegowi atakujący sieć host może podszyć się pod atakowaną maszynę, przejmując nadchodzący do niej ruch sieciowy. W drugim przypadku haker tworzy w sieci LAN nowy spreparowany server DHCP, rozsyłający do użytkowników poprawne adresy IP z zmienionymi adresami DNS czy zmienionym adresem bramy domyślnej, będącym w rzeczywistości adresem IP atakującego hosta. Dzięki takiemu zabiegowi atakujący sieć host może stać się pośrednikiem, obserwującym połączenie pomiędzy stronami komunikacji.

Dobre praktyki związane z zabezpieczaniem sieci

Bezpieczeństwo warstwy drugiej

  • Zgodnie z zaleceniami oficjalnej dokumentacji Cisco (SAFE Blueprint Document), środki bezpieczeństwa podjęte przez administratora w warstwie drugiej, powinny być skierowane względem trzech grup interfejsów sieciowych:
    • Unused ports – Nieużywane interfejsy, do których nie podłączono jeszcze żadnych urządzeń.
    • User ports – Interfejsy podłączone do użytkowników końcowych, należących do strefy o ograniczonym zaufaniu.
    • Trusted ports or trunk ports – Interfejsy podłączone do innych przełączników bądź urządzeń sieciowych (Zaufane).
  • Zgodnie z zaleceniami Cisco, względem dwóch pierwszych grup interfejsów (Unused oraz User ports). Administratorzy powinni zastosować następujące czynności, w celu uniknięcia możliwości dostania się do sieci wewnętrznej, przez nie powołane do tego osoby oraz ograniczenia skutków takiego zdarzenia. Czynności te są następujące:
    • Należy zablokować protokół CDP oraz DTP.
    • Statycznie skonfigurować interfejsy przełącznika (Access, Trunk).
    • Włączyć funkcję BPDU Guard oraz root guard.
    • Aktywować funkcję DAI bądź skonfigurować sieci prywatne (Private VLAN).
    • Ograniczyć dostęp do interfejsów względem adresów MAC (PortSecurity).
    • Aktywować autentykację użytkowników końcowych za pomocą protokołu 802.1X.
    • Włączyć funkcję DHCP snooping oraz IP Source Guard.
  • Dodatkowo w celu zachowania większego poziomu bezpieczeństwa, Cisco zaleca:
    • Nie wykorzystywać natywnej sieci VLAN na połączeniach Trunk-owych oraz VLANU 1.
    • Wyłączyć wszystkie nieużywane interfejsy sieciowe, przełączając je do nie używanej sieci VLAN.
    • Skonfigurować autentykację dla protokołu VTP.
    • Rozważyć wykorzystanie sieci prywatnych (Private VLAN).

Best Practices

  • Hasło – Należy stosować silne szyfrowane hasła, za pomocą komendy [enable secret]lub poprzez dodatkowe szyfrowanie funkcją „service password-encryption”. Dodatkowo zaleca się stosować serwery autentykacji AAA.
  • Banery – Należy stosować banery informujące o autoryzowanym oraz monitorowanym dostępie do urządzenia.
  • Interfejs webowy – Należy odpowiednio zabezpieczyć dostęp do konfiguracji urządzenia z poziomu przeglądarki internetowej, wykorzystując protokół https [ip http secure server](http [ip http server]) lub całkowicie wyłączyć usługę webową za pomocą komendy „no ip http server”.
  • Konsola – Należy zabezpieczyć dostęp do konsoli jak i ustawić na niej baner ostrzegawczy.
  • Połączenia zdalne – Należy zabezpieczyć dostęp do konsoli zdalnej za pomocą List ACL oraz połączenia SSH.
  • Dostęp SNMP – Należy wykorzystywać protokół SNMP w wersji trzeciej.
  • Nieużywane interfejsy – Należy wyłączać nieużywane interfejsy oraz z góry określić ich rolę (Access, Trunk).
  • Protokół STP – Należy wykorzystać dostępne sierotki zabezpieczania protokołu STP.
  • CDP oraz LLDP – Należy wyłączyć protokoły CDP oraz LLDP na interfejsach podłączonych do urządzeń końcowych.

Pozostałe artykuły dotyczące bezpieczeństwa warstwy drugiej

PDFPRINT

Robert T Kucharski

Cisco Network Engineer in GPW.

Dodaj komentarz