Bezpečnost v počítačových sítích

Question 1

Bezpečnost v počítačových sítích

Answer 1

Bezpečnost v počítačových sítích a obecně v informatice je velmi důležitá.

Question 2

Důvody útoků/proniknutí a proč se chránit

Answer 2

Získání dat
Sabotování
Z těchto důvodů je potřeba mít dostatečně ochráněnou a zabezpečenou sít.

Question 3

Základní bezpečnostní předpoklady

Answer 3

Fyzicky nedostupné prvku
Schované kabely; zamknuté racky; nepřístupné zásuvky…
Vypínat neaktivní porty

Question 4

Port Security

Answer 4

Jedná se o prvotní ochranu na switchích.
Port security je jednoduchá a zajímavá metoda zabezpečení přístupu do sítě. Na portu, kde je nastavena, kontroluje, zda pakety přichází z povolené MAC adresy. Pokud tedy uživatel připojí do zásuvky jiné zařízení, nebude moci komunikovat.
Pro nastavení Port security musí být port ve statickém módu (trunk, access, ale ne dynamic)
Dále se volí, co se děje při porušení pravidel, tedy pokud přijde komunikace z MAC adresy, která není povolena (a dosáhlo se maxima). Default je shutdown

Question 5

Možnosti jsou

Answer 5

Protect
Restrict
Shutdown
Pokud se port přepne do Error-disabled stavu, tak je třeba zásah administrátora, aby jej opět zapnul. Je však možno nastavit i automatické znovu zapnutí portu po určité době.
Může se nastavit kolik MAC adres pro port (nebo určitou VLANu) je povoleno (například pokud je do portu připojen switch). Defaultní hodnota je 1.
Pokud se nezadá žádná povolená MAC adresa, tak se používají adresy dynamicky (dočasné se ukládají pro aktuální komunikaci až do maxima). Nebo lze MAC adresy zadat ručně jako statické adresy. U dynamických adres lze nastavit, aby se tyto adresy ukládaly do běžící konfigurace (vytvoří se statický záznam, ale pokud se neuloží konfigurace, tak se po restartu smažou).
Ve výchozím stavu po zapnutí Port security, je povolena jedna MAC adresa, která se používá dynamicky, tedy první zařízení, které začne komunikovat. Pokud se pokusí komunikovat další zařízení, dojde k zablokování portu.

Question 6

Protect

Answer 6

nepovolená komunikace je zahazována, povolené MAC adresy stále komunikují

Question 7

Restrict

Answer 7

pošle informativní SNMP trap

Question 8

Shutdown

Answer 8

port se zablokuje, přepne do stavu Error-disabled (pro zapnutí je třeba jej nejprve vypnout)

Question 9

Hlavní příkazy pro zobrazení informací o Port security jsou

Answer 9

SWITCH #show port-security //info pro všechny interface
SWITCH #show port-security address //tabulka MAC adres a související info
SWITCH #show port-security interface f0/1 //detailní info pro interface

Question 10

Nastavení Port Security

Answer 10

SWITCH (config) #interface f0/5 //konfigurace daného portu switche
SWITCH (config-if) #switchport port-security //zapnutí port security
SWITCH(config-if) #switchport port-security maximum 1 //počet MAC adres, 1 je default
SWITCH(config-if) #switchport port-security violation shutdown //při porušení zablokovat port, default
SWITCH(config-if) #switchport port-security mac-address sticky //napevno uložit dynamickou MAC adresu

Question 11

Dalším typ zabezpečení

Answer 11

Dalším typem zabezpečení je rozdělení sítě do jednotlivých VLAN. Síť pak je rozdělena na jednotlivé části, z nichž má každá jiný přistup a ochranu.

Question 12

Access Control List; ACL

Answer 12

Seznam pravidel, která řídí přístup k nějakému objektu. ACL jsou používány v řadě aplikací, často u aktivních síťových prvků, ale třeba také u operačních systémů při řízení přístupu k objektu (souboru). Pokud někdo požaduje přístup k nějakému objektu, tak se nejprve zkontroluje ACL přiřazený k tomuto objektu, zda je tato operace povolena (případně povolena komu)(když ne tak to zablokuje). Layer 2 switch = pouze směr in.
any = 0.0.0.0 255.255.255.255
host = 10.0.5.2 0.0.0.0

Question 13

Důvody zavedení ACL

Answer 13

Kontrola šířky pásma –> omezení provozu
Policy Based Routing
Identifikace, klasifikace
Vynucení síťových politik

Question 14

Stručná charakteristika a vlastnosti

Answer 14

ACL je sekvenční (řazený) seznam pravidel; permit (povolit) a deny (zakázat)
ACL můžeme identifikovat číslem nebo jménem (pojmenované ACL)
Nová pravidla se přidávají vždy na konec seznamu
Používá se pravidlo first-fit. Seznam se prochází od začátku ke konci, pokud dojde ke shodě, dále neprochází
Každý neprázdný seznam má na konci defaultní pravidlo, které zakazuje vše (deny any)
Prázdný seznam povoluje vše
Je dobré umísťovat více specifická pravidla na začátek a obecná (subnety apod globální) na konec
Pokud se v ACL vyhodnotí deny, tak se odešle ICMP host nedosažitelný (unreachable)
Filtrování (používání ACL) zpomaluje zařízení (stojí výpočetní výkon)

Question 15

Dělení ACL

Answer 15

Standard ACL — starší a jednodušší verze ACL s méně možnostmi konfigurace
Extended ACL — novější a složitější ACL s více možnostmi
Dále se ACL (standard a extended) dělí na číslovanou a pojmenovanou. Udává se číslem nebo pojmenováním

Question 16

Standard ACL—standardní ACL

Answer 16

Používá čísla 1–99 a 1300–1999 v rozšířeném módu
Je jednoduché na konfiguraci. Používá se pro blokování provozu blízko cíle
Filtruje (dívá se) pouze podle zdrojové adresy a používá se jako odchozí
Konfigurace standard i extended ACL se provádí stejně, rozlišuje se podle použitého čísla.

Question 17

Extended ACL— rozšířené ACL

Answer 17

Používá čísla 100–199 a 2000–2699 v rozšířeném módu
Filtruje (dívá se) na IP adresu zdroje i cíle
Ve 3. vrstvě ISO/OSI, tedy v IP hlavičce kontroluje: IP adresy, protokol, údaje z ToS
Ve 4. vrstvě kontroluje v TCP hlavičce: porty a protokoly, v UDP hlavičce: porty
Může blokovat provoz kdekoliv (nejlépe blízko zdroje)

Question 18

Named ACL—pojmenované ACL

Answer 18

Standard i extended ACL
Umožňuje upravovat či mazat jednotlivá pravidla v ACL
Jména se lépe pamatují. Jako jméno lze použít i číslo, ale to musí patřit do správného rozsahu
Lze “neomezený” počet pojmenovaných ACL

Question 19

Numbered ACL— Číslované ACL

Answer 19

Konfigurace ACL se provádí ve dvou krocích
Vytvoření ACL—nejprve se vytvoří pravidla podle typu ACL
Aplikace ACL na rozhraní — následně se musí toto ACL přiřadit k nějakému objektu, zde k interfacu
Standard ACL se umisťuje blízko cíle a měl by tedy být vždy odchozí — out.
Extended ACL se většinou nejlépe umístit co nejblíže ke zdroji a v tom případě je filtr vstupní - in.

Question 20

Příklad zablokování PC na switchi

Answer 20

access-list 25 deny host 192.168.035 //zablokuje(deny) pc touto ip
access-list 25 permit any //povolení ostatním
show access-lists //vypíše Access listy
(conf-if)#ip access-group 25 in //použije se daný list(25) na tento port

Question 21

IDS a IPS systémy

Answer 21

Bezpečnostní metody systémů IDS / IPS lze rozdělit přibližně do těchto tří hlavních oblastí:
Detailní inspekce všech paketů (ať již mezi LAN a WAN, tak i pouze v rámci LAN) dle definovaných signatur, tj. definovaných známých řetězců
Kontrola portů / protokolů / adres
Komplexní sledování provozu sítě
Při nestandardní události pak systém vyhodnocuje, zda se nejedná o průnik nebo jiné narušení. Může se jednat bud’ o krabici zařazenou na trase přenosu dat, nebo o software na serveru

Question 22

IDS; Intrusion Detection Systém; Systém pro odhalení (detekováni) průniku

Answer 22

Obranný systém, který monitoruje síťový provoz a snaží se odhalit podezřelé aktivity. Hlavními činnostmi IDS systému je detekce neobvyklých aktivit, které by mohly vést k narušení bezpečnosti operačního systému nebo počítačové sítě a též možný aktivní zásah proti nim. Hlavním prvkem IDS je senzor, který obsahuje mechanismy pro detekci škodlivých a nebezpečných kódů a jeho činností je odhalování těchto nebezpečí.
Systém IDS by měl po detekci neobvyklé aktivity vygenerovat varování (Alert), provést zápis do logu, upozornit správce počítače a případně tuto činnost zastavit. Dále by měl být schopen rozlišit, zda se jedná o útok z vnitřní sítě nebo z externích sítí.
IDS systém je méně náročný na hardware než IPS.

Question 23

IPS; Intrusion Prevention Systems; Systémy pro prevenci (předcházení) průniku

Answer 23

Snaží se předcházet útokům, aby k nim vůbec nedošlo (popř. automaticky sám je blokovat…)
Hlavní funkce IPS systémů jsou identifikace škodlivé činnosti, zaznamenávání informací o jejím průběhu, následném blokování této činnosti a také její nahlašování.
Hlavní rozdíl oproti IDS systémům je, že systém IPS je zařazen přímo do síťové cesty (in-line), a tak může aktivně předcházet, případně blokovat detekovaný nežádoucí a nebezpečný provoz na síti. Konkrétněji, IPS může provádět takové akce jako vyvolání poplachu, filtrování škodlivých paketů, násilné resetování spojení a/nebo blokování provozu z podezřelé IP adresy.
Většina IPS systémů využívá jednu ze tří detekčních metod: stavové detekce značek (signatur), odhalení provozních anomálií a odhalení protokolových anomálií.

Question 24

Firewall

Answer 24

Slouží k řízení a zabezpečování síťového provozu mezi sítěmi s různou úrovní důvěryhodnosti a zabezpečení (kontrolní bod, který definuje pravidla pro komunikaci mezi sítěmi, které od sebe odděluje).
Ze začátku stačilo pouze pár pravidel (identifikace zdrojové, cílové adresy, port..), dnes je to již velice nedostačující.
Nové firewally se opírají přinejmenším o informace o stavu spojení, znalost kontrolovaných protokolů a případně prvky IDS. Na základě pravidel novější firewally dokážou i routovat.

Question 25

Paketové firewally (filtry)

Answer 25

Pravidla přesně uvádějí, z jaké adresy a portu na jakou adresu a port může být doručen procházející paket (kontrola se provádí na 3. a 4. OSI). Na úrovní ACL.
Výhody – Rychlý
Nevýhody – Nízká úroveň bezpečnosti; U složitějších protokolů prakticky nepoužitelný.

Question 26

Aplikační firewally (filtry)

Answer 26

Na rozdíl od paketových filtrů zcela odděluje sítě, mezi které je postaven. Veškerá komunikace přes aplikační bránu probíhá formou dvou spojení — klient (iniciátor spojení) se připojí na aplikační bránu (Proxy), ta příchozí spojení zpracuje a na základě požadavku klienta otevře nové spojení k serveru, kde klientem je aplikační brána. Data, která aplikační brána dostane od serveru, pak zase v původním spojeni předá klientovi. Kontrola se provádí na 7. vrstvě OSI
Výhody – Zabezpečení na vysoké úrovni u známých protokolů (FTP, kontrola příloh pošty)
Nevýhody – Vysoká HW náročnost, Vysoká latence (kvůli 7. vrstvě)

Question 27

Stavové firewally (filtry)

Answer 27

Provádějí kontrolu stejně jako jednoduché paketové filtry, navíc si však ukládají informace o povolených spojeních (CTT), které pak mohou využít při rozhodování, zda procházející pakety patří do již povoleného spojení a mohou být propuštěny, nebo zda musí znovu projít rozhodovacím procesem. To má dvě výhody —jednak se tak urychluje zpracování paketů již povolených spojení, jednak lze v pravidlech pro firewall uvádět jen směr navázání spojení a firewall bude samostatně schopen povolit i odpovědní pakety a u známých protokolů i další spojení, která daný protokol používá. Zásadním vylepšením je i možnost vytváření tzv. virtuálního stavu spojení pro bez stavové protokoly (UDP) a ICMP.

Question 28

Stavové firewally (filtry) - VÝHODY/NEVÝHODY

Answer 28

Výhody:
Vysoká rychlost; Efektivnější
Dobrá úroveň zabezpečení
Snazší konfigurace (než aplikační, paketové)
Nevýhody:
Nižší bezpečnost, než poskytují aplikační brány.
Paměťová náročnost(informace o spojeních…)

Question 29

Nové firewally; Next-Generation Firewall

Answer 29

Firewally „další generace” umí vše, co uměli staré firewally (NATI filtrování paketů, VPN…). Cílem NGFW je zahrnout více vrstev OSI modelu, za účelem zlepšení filtrování síťového provozu na základě obsahu paketu.
NGFW provádějí hlubší inspekci než stavové firewally, zkoumají obsah paketu a hledají shodu (Virusy, malware, zranitelnost…).
Zapojení firewallu do sítě -> sledování trafiku -> statistika -> blokace.

Question 30

NFGW zaručují

Answer 30

Kompatibilita se staršími firewally.
Statistika
Integrovaný IPS/IDS
Anomálie na síti (heuristická analýza)
SSL dešifrování pro identifikování nechtěných zašifrovaných aplikací
Antispam
Logování trafiku

Question 31

Ověření vůči radio serveru (Autentifikace) - Na základě přihlášení uživatele

Answer 31

Otevřít extra port
Kontrolovat rychlost
Zařadit ho do určité VLANy