A biztonság tervezési elvei, a támadások formái, összetevői Flashcards
A biztonsági tervezés első fázisa
Első fázis: egy megvalósíthatósági tanulmány elkészítése.
39. A vállalat célkitűzéseivel összhangban levő biztonsági politika kialakítása, abban követelmények megfogalmazása
A biztonsági tervezés legfontosabb építőelemei
- Központilag menedzselt vírusvédelem: védelem a vírusokkal, ártó szándékú alkalmazásokkal szemben;
- Virtuális magánhálózatok (VPN): bizalmas információk továbbítása nagy távolságokra az interneten (nyilvános hálózati infrastruktúrán) keresztül;
- Hitelesítés - azonosítás: a jelszavak okozta biztonsági gyenge pontok kiküszöbölése többfaktoros hitelesítéssel vagy intelligens memóriakártyák alkalmazásával.
- Aktív tartalomszűrés:
o a vállalati hálózatra belépő, ill. az azt elhagyó dokumentumok vizsgálata,
o a veszélyes tartalom kiszűrése (pl. fizetési listák, hitelkártyaszámok kiküldése, trójai falovak letöltése, pornográf oldalak megtekintése) és
o különböző válaszlépések foganatosítása; - Tűzfalak: két vagy több hálózat (min. a saját belső hálózat és az internet) közötti kapcsolat ellenőrzése és szűrése;
- Biztonsági ellenőrzőprogramok: a vizsgált rendszer sebezhetőségének vizsgálata, válasz a „Mennyire biztonságos a hálózatunk?” kérdésre, avagy „Egy új rendszerelem beüzemelése mennyiben befolyásolja a rendszer összbiztonságát?
- Behatolás-detektáló rendszerek: a külső, jogosulatlan behatolók támadási kísérleteinek felderítése és a belső, jogosult felhasználók túlkapásainak leleplezése;
- Felhasználó és hozzáférés menedzsment
- Korszerű adatmentő rendszer
Biztonsági rendszerek tervezésekor érdemes követni
- A rendszerterv és a használt biztonsági protokoll legyen nyilvános. (A rendszerbe behatolni akarók azt úgyis fogják ismerni.)
- Alapértelmezés mindig az legyen, hogy valaki valamihez nem férhet hozzá.
- A security-vel kapcsolatos kérdéseket a rendszer tervezésének korai fázisában tisztázni kell, és a security csomagot a rendszer magjába integrálni kell. (Értelmetlen, ha 1-1 modul nagyon erős biztonsági előírásoknak felel meg, a többi pedig nem tartalmaz ilyen célú részeket.)
- Az alkalmazott biztonsági intézkedések pszichológiailag elfogadhatóak legyenek. A rendszert valószínűleg emberek fogják használni, ezért a rendszert “barátságossá” kell tenni.
- Ha lehet kerüljük az egész rendszer felett “teljes hatalommal bíró” rendszergazda (superuser, supervisor …) koncepciót. A rendszert bontsuk moduljaira (mondjuk egy-egy modul egyegy fontosabb erőforrás kezelését végezze), és az egye moduloknak legyenek (külön-külön) felügyelői.
- Költségek, Kockázatok, Menedzsment
Hálózati támadások motivációi
Információ megszerzése (személyes, üzleti, katonai, stb.) haszonszerzés v. károkozás céljából,
szolgáltatásokhoz való illetéktelen hozzáférés (pl. nyomtatni, filmeket letölteni),
szolgáltatások megbénítása,
rendszer feltörése,
rosszindulatú program(ok) bejuttatása.
Passzív támadás
A lehallgatás (evesdropping, wire-tapping), az érzékeny információ megszerzésére irányul, a támadó nem módosítja az átviteli csatorna tartalmát.
Aktív támadás
A támadó maga is forgalmaz csatornán. • üzenetmódosítás • megszemélyesítés, • visszajátszás • szolgáltatás megtagadás (DoS – denial of service) típusú támadások
IP spoofing
Az IP cím hamisítása, több támadásnak is része.
Cél: nem információhoz való hozzáférés, hanem más akadályozása. Pl. az A és B között fennáll egy TCP kapcsolat, amit C szeretne megszakítani. RST- reset connection Vagy C támadó B nevében indít közismert támadást (akár csak egy portscant) A ellen. Ennek hatására az A gépet védő tűzfal B-t kitiltja
Védekezés: a tűzfalak bizonyos forrás IP címeket csak bizonyos irányból fogadnak el.
Smurf
a DoS családba tartozó támadás. A megtámadott gép nevében ICMP echo request üzenetet küld egy irányított IP broadcast címre.
ICMP (Internet Control Message Protocol) az IP bővítése, lehetővé teszi hibaüzenetek, tesztcsomagok és az IP-vel kapcsolatos információs üzenetek létrehozását.
Közvetítők: az üzenetet vevő gépek válaszukkal teletömik az áldozat gép hálózatát, de a sajátjukat is, így ők maguk is áldozatok.
Védekezés: a routerek IP broadcast-ot ne engedjenek át, IP broadcast címre küldött ICMP echo requestre a gépeink ne válaszoljanak!
SYN flood: klasszikus DoS támadás
Ha a rosszindulatú C támadó az A nevében nagy mennyiségű SYN csomagot küld B-nek (a válaszokat C természetesen meg sem kapja), akkor ezzel kimeríti B erőforrásait és az nem lesz képes fogadni a valódi kéréseket.
Védekezés:
• mikro blokkok használatával: a szabványos adatstruktúránál lényegesen kisebb helyet foglalunk le, és ha a kapcsolat kérés valódinak bizonyul, csak akkor foglaljuk le a szükséges erőforrásokat (10x annyi támadó csomagot bírunk el).
• syn cookie használatával
SYN: a TCP fejlécének 14. bitje, jelzi, ha egy új kapcsolat felépítése kezdődik.
Xmas, Ymas
A TCP fejrészben az URG bittől balra levő két bitet 2003 májusában az IANA (Internet Assigned Numbers Authority) az ECN (Explicit Congestion Notification) mechanizmus céljára osztotta ki. A korábbi TCP implementációk azt várják el, hogy ez a 2 bit 0 értékű legyen.
A bitek 0-tól különböző értékűre állításával és a TCP implementáció viselkedésének megfigyelésével a támadó információt szerezhet a TCP/IP protocol stack implementációjáról.
Switchek elleni támadás
Switch normál működése: keretek továbbítása csak arra a portra ahol a címzett található.
Portokhoz MAC címek beállítása:
• Statikusan, munkaigényes, konfiguráció változásnál át kell
vezetni (pl. hálókártya csere).
• Öntanuló módban, megjegyzi, hogy az egyes MAC címekkel forráscímként melyik portján találkozott. Ha a támadó kellően sok különböző MAC címmel való forgalmazással, megtelíti a switch táblázatát, akkor a működés fenntartása érdekében minden keretet minden portjára kiküld (fail open). Ezzel a forgalom lehallgathatóvá válik.
ARP poisoning
A támadó kéretlen és hamis ARP válaszokat küld, amelyben a kérdéses IP címhez a saját MAC címét
tünteti fel.
ARP (Address Resolution Protocol) = Címlekérdező protokoll. Üzenetszórásos hálózatokon broadcast (minden gépnek szóló) üzenettel megszerzi az információt (IP cím - fizikai cím összerendelés) és elraktározza (cache).
ICMP redirect
Az ICMP redirect üzenettel egy router egy számítógép számára egy jobb útvonalat tud megadni. A támadó ezzel maga felé tudja irányítani a megtámadott gép forgalmát.
Használhatja pl.:
• lehallgatásra: a csomagokat gondosan továbbküldi a címzettnek, hogy a támadás észrevétlen maradjon.
• IP spoofing támogatásra: mint korábban C az A felé B-nek adja ki magát, de most a redirecttel elérte, hogy az A válaszai őhozzá érkezzenek, a TCP kapcsolat ténylegesen felépül.
RIP (Routing Information Protocol ) távolságvektor hamisítása
RIP: distance-vector protokoll, mely egy célponthoz (hálózatok, subnet-ek, állomások, vagy a default router) táblázatában tárolja:
1. A célpont IP címét.
2. Az odavezető út költségét (egy csomagnak az adott linken való átküldésének költsége alapján).
3. Az odavezető út első routerét.
4. Időzítőket
Mivel a RIP nem használ autentikációt, a támadó számítógépe hamis távolságvektorral becsaphatja a routereket azt állítva, hogy rajta keresztül rövidebb út vezet a cél felé.
Source route IP opció
A forrás megadhatja, hogy adott IP című állomás felé mely routereken keresztül haladjon a csomag. A támadó ezt privát IP című hálózatok elérésére képes felhasználni.
A C támadó az R1 routernek megmondja, hogy az R2 routeren keresztül kell a csomagot küldenie. R2 privát IP címmel rendelkező hálózat gateway-e, amely a datagrammot már a cél IP cím alapján küldi a címzettnek. A visszaút: a támadó publikus IP címmel rendelkezik.
Védekezés: accept_source_route kikapcsolásával lehet.
