CCNA Exploration Accessing the WAN Тема 4 част 1 Мрежова сигурност Pavlinka Radoyska / Botevgrad / [email protected] Мрежова сигурност въведение Pavlinka Radoyska / Botevgrad / [email protected] Термини 1/2 White hat.
Download ReportTranscript CCNA Exploration Accessing the WAN Тема 4 част 1 Мрежова сигурност Pavlinka Radoyska / Botevgrad / [email protected] Мрежова сигурност въведение Pavlinka Radoyska / Botevgrad / [email protected] Термини 1/2 White hat.
CCNA Exploration Accessing the WAN Тема 4 част 1 Мрежова сигурност Pavlinka Radoyska / Botevgrad / [email protected] 1 Мрежова сигурност въведение Pavlinka Radoyska / Botevgrad / [email protected] 2 Термини 1/2 White hat – човек, който търси пропуски в системите и мрежите и ги докладва на собствениците, за да бъдат отстранени. Black hat - човек, който търси пропуски в системите и мрежите и ги използва за свои цели, често за обогатяване. Hacker – експерт програмист, в последствие се е опорочило и описва пак програмен експерт, но с криминални цели. Cracker – вид Black hat. Pavlinka Radoyska / Botevgrad / [email protected] 3 Термини 2/2 Phreaker – човек, който прониква в телефонната мрежа и я използва за неразрешени цели. Найчесто проникват чрез payphone и правят безплатни далечни повиквания. Spammer - човек, който изпраща голуми обеми e-mail съобщения, с рекламна цел или за да заразят домашните компютри и да ги използват като платформа за препращане на ново голямо количество съобщения. Phisher – човек, който използва e-mail, огледални сайтове или друг подход, за да извлече важна информация като номера на кредитни карти или пароли. Pavlinka Radoyska / Botevgrad / [email protected] 4 Атакуващите – подход 1/2 1. 2. 3. 4. Разузнаване. Web-сайта на компанията IP адрес на сървера анализ на секретния профил на компанията (отпечатък). Прихващане на цифрови данни. Следи трафика и прихваща версията и номера на порта на FTP сървера, mail сървера, уязвими места на достъп до базата данни... Получаване на достъп чрез манипулиране на потребители. Разбиват лесни пароли, мамят лековерни потребители... Повишаване на привилегиите. След като получат базов достъп, използват уменията си за да повишат правата си. Pavlinka Radoyska / Botevgrad / [email protected] 5 Атакуващите – подход 2/2 5. 6. 7. Прихващане на нови пароли и секрети. Като използват способностите си и имат достъп до вътрешния трафик, си осигуряват достъп до добре пазени ресурси и данни. Инсталиране на задни входове. Възможност за влизае в системата, без да бъдата засечени – незатворени свободни TCP или UDP потрове. Използване на компрометираната система. След като са влезли в системата, могат да провеждат атаки към отделни хостове или мрежи. Pavlinka Radoyska / Botevgrad / [email protected] 6 Балансиране на мрежите От гледна точка на защитеност, мрежите могат да се определят като: Отворени Рестриктивни Затврени Pavlinka Radoyska / Botevgrad / [email protected] 7 Отворени мрежи Лесни за конфигуриране и администриране Лесни за достъп от крайни потребители Низка цена на защитеността Pavlinka Radoyska / Botevgrad / [email protected] 8 Рестриктивни мрежи Pavlinka Radoyska / Botevgrad / [email protected] 9 Затворени мрежи Pavlinka Radoyska / Botevgrad / [email protected] 10 Политики на сигурност Цели Информира потребители, служители, началници и др. за техните задължения по защита на технологичната и информационна собственост. Определят механизмите, по които се изпълняват тези изисквания. Предписват процедура, по която се конфигурират и преглеждат компютърните системи за съответствие с тази политика. Pavlinka Radoyska / Botevgrad / [email protected] 11 ISO/IEC 27002 1/2 Формулира 12 основни направления за разработване на стандарти за сигурност и практики за управление на сигурността. 1. Risk assessment – оценка на риска 2. Security policy – политика на сигурност 3. Organization of information security – организация на информационната сигурност 4. Asset management – управление на имуществото 5. Human resources security – защита на човешкия ресурс 6. Physical and environmental security – пространствена и физическа защита Pavlinka Radoyska / Botevgrad / [email protected] 12 ISO/IEC 27002 2/2 7. 8. 9. 10. 11. 12. Communications and operations management – управление на комуникациите и процесите Access control – контрол на достъпа Information systems acquisition, development, and maintenance – придобиване, разработване и управление на информационни системи Information security incident management – управление на информационната сигурност Business continuity management – управление на непрекъснат бизнес процес Compliance - съгласуваност Pavlinka Radoyska / Botevgrad / [email protected] 13 3 основни фактора на мрежовата сигурност По отношение на мрежовата сигурност се разглеждат 3 основни фактора: Уязвимост (Vulnerability) – слабости в мрежите и устройствата (рутери, суичове, устройства за защита). Заплахи (threat) – квалифицирани специалисти, които имат интерес да използват уязвимостите. Атаки Pavlinka Radoyska / Botevgrad / [email protected] 14 Уязвимост 3 направления: Технологични Конфигурационни Политики на сигурност Pavlinka Radoyska / Botevgrad / [email protected] 15 Технологични слабости TCP/IP Операционните системи HTTP, FTP и ICMP – напълно незащитени SNMP, SMTP и Syn Flood – носят се от TCP (незащитен) Всички ОС имат уязвимости Документирани са в CERT Мрежово оборудване Пароли, автентификации, рутиращи протоколи, защитни стени Pavlinka Radoyska / Botevgrad / [email protected] 16 Конфигурационни слабости Незащитени потребителски акаунти (пренасят се потребителски имена и пароли в незащитен вид) Слабо защитени пароли за системен достъп Защити по подразбиране с дупки в сигурността Неконфигурирането на някои услуги и протоколи носи рискове за сигурността Pavlinka Radoyska / Botevgrad / [email protected] 17 Слабости в политиките на сигурност Недокументирани политики Политически битки и териториални войни пречат на прилагане на правилни политики Липса на логически контрол на достъпа Инсталиране на нов софтуер и хардуер без да се спазват политиките Липса на план за поведение при бедствие Pavlinka Radoyska / Botevgrad / [email protected] 18 Заплахи по отношение на инфраструктурата Хардуерни – физическо повреждане на сървери, рутери, суичове, кабели или работни станции. От околната среда – температура, влажност. Електрически – високо напрежение, волтови дъги, нестабилно напрежение, загуба на захранване. Технически – лошо свързани електрически кабели, лоши изолации, неправилно свързани куплонзи, неправилно маркиране. Pavlinka Radoyska / Botevgrad / [email protected] 19 Мрежови заплахи 1/2 Pavlinka Radoyska / Botevgrad / [email protected] 20 Мрежови заплахи 2/2 Unstructured Threats - Слабо квалифицирани, с използване на готови хакерски програми, дори да не нанесе сериозни вреди, компрометира фирмата, собственик на сайта. Structured threats - Квалифицирани, мотивирани хакери, сериозни щети, трудни за отстояване. External threats – от хора или групи извън компанията, най-вече по интернет, варират от аматьорски (unstructured) до експертни (structured). Internal threats – разрешен достъп чрез акаунт или физически достъп, варират от аматьорски (unstructured) до експертни (structured). Pavlinka Radoyska / Botevgrad / [email protected] 21 Social Engineering Social engineering – не изисква особени познания и умения, базира се на личната уязвмост на хората, реализира се чрез бивши служители, подправени документи. Phishing – форма на Social engineering, подлъгват хората чрез e-mail или друго да дадат номерата на кредитните си карти или друга важна информация. Защита – обучаване на потребтелите, администратора – да блокира достъп от подозрителни сайтове и получаване на подозрителни съобщения. Pavlinka Radoyska / Botevgrad / [email protected] 22 Типове мрежови атаки Разузнаване (Reconnaissance) – изучаване на системи, сървери, уязвимости. Обикновено предшества друга атака. Достъп – стартиране на хакерски скрипт или програма, която използва слабостите на системи и приложения. Отказ от обслужване (Denial of Service - DoS) – блокират или повреждат мрежи, системи или услуги. Стартират се със скриптове или хасерски умения. Много опасни. Worms, Viruses, and Trojan Horses Pavlinka Radoyska / Botevgrad / [email protected] 23 Разузнаване Външно: Интернет заявки за откриване на мрежовия адрес на фирмата (сайта). Откриване на свободни IP адреси чрез пингване на всички адреси от мрежата на сайта. Откриване на свободни Port адреси чрез специализирани програми (Nmap или Superscan). Вътрешни – подслушване Прихващане на информация от пакетите (потр. имена, пароли, данни). Крадене – проникване в компютри и крадене на данни. Pavlinka Radoyska / Botevgrad / [email protected] 24 Предпазване от подслушване Използване на суичове, а не хъбове, за да не достигат фреймовете до всички. Криптиране Разработване и разпространяване на политики за сигурност. Например SNMP v1 - не криптира събощенията, а SNMP v3 – криптира. Забранява се използването на SNMP v1. Криптиране payload-only, криптират се само данните в TCP или UDP сегмента – рутери и суичове могат да си четат служебната информация, а аднните да са защитени. Pavlinka Radoyska / Botevgrad / [email protected] 25 Атакуване на достъпа Атакуване на паролите Подслушване (некриптран пренос), Програми с използване на речници или на rainbow table (вариации на възможни пароли). Брутални (brute-force) – всякакви комбинации от разрешени семволи. Използване на “надеждни” външни компютри за достъп до защитени среди. Пренасочване на портове Междиннна станция (Man-in-the-Middle) Pavlinka Radoyska / Botevgrad / [email protected] 26 Пренасочване на портове Pavlinka Radoyska / Botevgrad / [email protected] 27 Man-in-the-Middle Pavlinka Radoyska / Botevgrad / [email protected] 28 DoS атаки Ping of Death – ping съобщение с голяма дължина (>65,536) – само при старите ОС SYN Flood - three-way handshake E-mail bombs – много съобщения, блокират пощенския сървер Malicious applets - Java, JavaScript или ActiveX програми. Примери: SMURF attack Tribe flood network (TFN) Stacheldraht MyDoom Pavlinka Radoyska / Botevgrad / [email protected] 29 SMURF attack Много ICMP заявки до мрежов broadcast от името на IP на атакувания рутер. Всички компютри от мрежата отговарят с ICMP пакет. Pavlinka Radoyska / Botevgrad / [email protected] 30 Архитектура на DoS атаките Pavlinka Radoyska / Botevgrad / [email protected] 31 Зловредни кодове (Malicious Code ) Червей (worm) – изпълним код, прави си копие върху зарзения компютър, който от своя страна заразява други. Вирус – код, прикрепен към друга програма, който изпълнява неразрешени функции. Троянски код – вирус, но написан така, че да изглежда като нещо друго. Pavlinka Radoyska / Botevgrad / [email protected] 32 Защити Антивирусни програми Защитни стени Пачове на ОС Pavlinka Radoyska / Botevgrad / [email protected] 33 Intrusion Detection and Prevention Intrusion detection systems (IDS) – контролира за атаки от мрежата и изпраща записи към конзолата (може и на друг компютър) Intrusion prevention systems (IPS) – предотвратява атаки чрез: Prevention-Stops Reaction-Immunizes Технологията може да се прилага на мрежово ниво, на хостово ниво и на двете. Pavlinka Radoyska / Botevgrad / [email protected] 34 Устройства и приложения за защита Threat control – управлява достъпа до мрежата, изолира инфектираните системи, предотвратява проникването и защитава от червеи и вируси. Устройства: Cisco ASA 5500 Series Adaptive Security Appliances Integrated Services Routers (ISR) Network Admission Control Cisco Security Agent for Desktops Cisco Intrusion Prevention Systems Pavlinka Radoyska / Botevgrad / [email protected] 35 Колелото на сигурността Pavlinka Radoyska / Botevgrad / [email protected] 36 Secure - защита Защита от атаки Филтриране на трафика Intrusion prevention systems Забрана на всички ненужни услуги Сигурни връзки: VPN Дефиниране на нива на надеждност (външните клиенти никога не са достатъчно надеждни) Автентификация Политики Pavlinka Radoyska / Botevgrad / [email protected] 37 Monitoring - наблюдение Активни и пасивни методи за определяне на възможностите за защита Активен– преглед на лог-файловете на всеки хост. Пасивен - IDS устройство за автоматично прихващане на опити за проникване Pavlinka Radoyska / Botevgrad / [email protected] 38 Тестване Периодично се проверява сигурността Използват се SATAN, Nessus, Nmap Improvement - Подобрения Pavlinka Radoyska / Botevgrad / [email protected] 39 Рутерна сигурност Pavlinka Radoyska / Botevgrad / [email protected] 40 Роли Представя мрежите и определя правилата за достъп до тях Осигурява достъп до мрежови сегменти и подмрежи Pavlinka Radoyska / Botevgrad / [email protected] 41 Рутерите – обект на атаки Ако конторлират рутера – могат да реализират атаки навътре. Ако имат достъп до рутеращата таблица – могат да я променят и да прекъснат връзката с някоя мрежа. Преконфигуриране на филтъра на трафика може да пропусне различни атаки навътре. Pavlinka Radoyska / Botevgrad / [email protected] 42 Защита на потребителската мрежа Физическа сигурност Чести обновявания на IOS на рутера Резервни копия на конфигурационния файл и IOS Забрана на всички неизползвани портове. Pavlinka Radoyska / Botevgrad / [email protected] 43 Стъпки за защита на рутера 1. 2. 3. 4. 5. 6. Управление на сигурността на рутера Защита на отдалечения администраторски достъп Запис на действията по рутера Защита на услугите и интерфейсите на рутера Защита на рутиращите протоколи Контролиране и филтриране на мрежовия трафик Pavlinka Radoyska / Botevgrad / [email protected] 44 Управление на сигурността на рутера Осигуряване на физическа сигурност Криптиране на пароли R1(config)# service password-encryption Задаване на минимална дължина на паролите R1(config)#security passwords min-length дължина Конфигуриране на пароли R1(config)#enable secret 2-aRv-9y4 Pavlinka Radoyska / Botevgrad / [email protected] 45 Защита на отдалечения админ. достъп Пароли на VTY Разрешаване само на достъп по един протокол (Telnet или SSH) R1(config)#line vty 0 4 R1(config-line)#no transport input R1(config-line)#transport input [telnet | ssh] Разрешаване за последния VTY на достъп само от един адрес (на администратора) – AL В случай, че хакер е блокирал останалите VTY сесии, администратора винаги ще има достъп до рутера. Pavlinka Radoyska / Botevgrad / [email protected] 46 Защита на отдалечения админ. достъп Ограничаване на времетраене на сесията след приключване на активността (за да не стои блокирана и без използване) R1(config-line)# exec-timeout секунди Защита от входящи атаки и блокиране на VTY сесии R1(config)# service tcp-keepalives-in Pavlinka Radoyska / Botevgrad / [email protected] 47 SSH Telnet - TCP port 23. SSH - TCP port 22 Pavlinka Radoyska / Botevgrad / [email protected] 48 SSH – конфигуриране Задължителни Hostname Domain name Asymmetrical keys Local authentication Незадължителни Timeouts Retries Pavlinka Radoyska / Botevgrad / [email protected] 49 Router(config)# hostname hostname Router(config)# hostname R1 R1(config)# ip domain-name domain-name R1(config)# ip domain-name cisco.com R1(config)# crypto key generate rsa Сиско препоръчва дължина на ключа >1024 Pavlinka Radoyska / Botevgrad / [email protected] 50 Router(config)# ip ssh time-out seconds Дефиниране на локален потребител Router(config)# ip ssh time-out 15 Router(config)#ip ssh authentication-retries integer Router(config)# ip ssh authentication-retries 2 Pavlinka Radoyska / Botevgrad / [email protected] 51 Свързване към SSH сървера Pavlinka Radoyska / Botevgrad / [email protected] 52 Защитени рутерни услуги Pavlinka Radoyska / Botevgrad / [email protected] 53 Уязвими услуги Pavlinka Radoyska / Botevgrad / [email protected] 54 Забрана на уязвими услуги no service tcp-small-servers no service udp-small-servers no ip bootp server no service finger no ip http server no snmp-server no cdp run no service config no ip source-route no ip classless Shutdown – за неизползавните интерфейси no ip directed-broadcast no ip proxy-arp Pavlinka Radoyska / Botevgrad / [email protected] 55 Рутиращи протоколи Некриптирани съобщения Всеки, който има подходяща програма (packet sniffer, например Wireshark) може да прочете информацията. Рутиращите системи могат да бъдат атакувани в 2 направления: Разпадане на връзка Фалшифициране на рутираща информация: Създаване на зацикляне Пренасочване на трафика с цел наблюдение Пренасочване на трафика с цел изхвърляне Pavlinka Radoyska / Botevgrad / [email protected] 56 Защита на рутиращите протоколи Криптиране 1. 2. 3. Криптиращ алгоритъм – популярен Споделен (между рутерите) секретен ключ Съдържанието на пакета Pavlinka Radoyska / Botevgrad / [email protected] 57 Защита на рутиращите протоколи Pavlinka Radoyska / Botevgrad / [email protected] 58 Защита на RIP Pavlinka Radoyska / Botevgrad / [email protected] 59 Защита на RIP 1. Спиране на рутиращите съобщения по всички интерфейси 2. Спиране на неразрешен обмен на рутиращи съобщения Pavlinka Radoyska / Botevgrad / [email protected] 60 Защита на EIGRP Pavlinka Radoyska / Botevgrad / [email protected] 61 Защита на EIGRP Pavlinka Radoyska / Botevgrad / [email protected] 62 Защита на OSPF Pavlinka Radoyska / Botevgrad / [email protected] 63 Защита на OSPF Pavlinka Radoyska / Botevgrad / [email protected] 64 Cisco AutoSecure 1/2 Една команда, която изпълнява всички действия за защита. 2 режима: Interactive mode – позволява забрана и разрешение на възможностите една по една. (подразбиращ се режим) Non-interactive mode – автоматично изпълнява всички защити. Pavlinka Radoyska / Botevgrad / [email protected] 65 Cisco AutoSecure Pavlinka Radoyska / Botevgrad / [email protected] 66 Благодаря за вниманието! Pavlinka Radoyska / Botevgrad / [email protected] 67