Bezpečnost v počítačových sítích

Question 1

Kdo je Útočník?

Answer 1

uživatel Internetu, který sám nebo prostřednictvím speciálních programů či hardwaru provádí útoky vůči jiným uživatelům (např. proniknutí do systému, zcizení dat, podvržení identity atd.)

Question 2

Co je Firewall?

Answer 2

zařízení, které kontroluje, propouští, filtruje či upravuje síťový provoz, který přichází na vstupní síťové rozhraní

Question 3

Jak funguje firewall?

Answer 3

Firewall funguje jako bariéra, která odděluje důvěryhodný síťový provoz vnitřní sítě od nedůvěryhodného síťového provozu pocházejícího z vnější sítě resp. Internetu.

Question 4

Co jsou IPS/IDS?

Answer 4

zařízení, které má za úkol odhalovat resp. eliminovat síťové bezpečnostní hrozby (viz dále).

Question 5

Co jsou Honeypoty?

Answer 5

nástraha na útočníka, která zjišťuje informace o hackery prováděných útocích. Nashromažděné informace jsou dále použity pro eliminaci budoucích útoků.

Question 6

CO je Demilitarizovaná zóna (DMZ) ?

Answer 6

část počítačové sítě, která je částečně nebo plně přístupná z vnější sítě

Question 7

Co je Intranet ?

Answer 7

vnitřní část sítě, která je přístupná pouze oprávněným uživatelům, např. server pro sdílení souborů, neveřejné webové stránky atd.

Question 8

Jake jsou druhy firewallu?

Answer 8

Paketové, Stavové, Aplikační = proxy

Question 9

Popis Paketové firewall?

Answer 9

• Pracují s informacemi síťové vrstvy.
• Vyhodnocují síťový provoz na základě zdrojové a cílové IP adresy paketu.
• Pokročilejší firewally provádějí i detailní hloubkovou analýzu hlaviček a dat jednotlivých
  paketů, tzv. Deep Packet Inspection (DPI).
• DPI není použitelné u kryptovaných protokolů, např. HTTPS.
• Nešifrované protokoly lze identifikovat dle specifických řetězců

Question 10

Popis Stavové firewallu

Answer 10

Pracují s informacemi transportní vrstvy.
* Jejich konfigurace je složitější, vyžaduje znalost konkrétních protokolů transportní vrstvy.
* Propustností jsou srovnatelné s paketovými firewally.
* V pokročilejších bezpečnostních systémech se používají v kombinaci s Intrusion Prevention
Systémy (IPS)

Question 11

Popis Aplikační = proxy firewallu

Answer 11

Zařízení či programy, které kontrolují a přeposílají provoz mezi zdrojovou stanicím a cílovým
serverem.
* Veškerá komunikace probíhá prostřednictvím protokolů aplikační vrstvy OSI modelu, napr HTTP, FTP

Question 12

Co jsou iptables?

Answer 12

úrovně pravidel práce s pakety

Question 13

Jake jsou iptables?

Answer 13

PREROUTING = úroveň týkající se všech paketů před provedením směrovacího rozhodnutí na základě cílové IP adresy paketu.
POSTROUTING = úroveň týkající se všech paketů po provedení směrovacího rozhodnutí na základě cílové IP adresy paketu.
FORWARD = úroveň týkající se pouze paketů, které jsou přeposílány dále.
INPUT = úroveň týkající se pouze paketů, které je určeny místním aplikacím.
OUTPUT = úroveň týkající se pouze paketů, které jsou generovány místními aplikacemi.

Question 14

Jake tabulky pravidel rozlisuji iptables?

Answer 14

• filter = povolení či zakázání doručení paketu.
• nat = překlad IP adres či portů v hlavičce paketu.
• mangle = úpravy položek v hlavičce paketu pro další zpracování.

Question 15

Fáze činnosti Aplikační firewall

Answer 15

Aplikační firewall = firewall komunikující prostřednictvím specifického aplikačního protokolu. Fáze činnosti:
1. Zdrojová stanice (ZS) se obrátí prostřednictvím aplikačního protokolu na aplikační firewall (AF).
2. AF zkopíruje požadavek, jako původce požadavku nastaví sebe a kontaktuje cílový server (CS).
3. CS vrátí odpověď AF.
4. AF přepošle odpověď ZS.

Question 16

Co je IDS Intrusion Detection System?
Faze cinnosti

Answer 16

IDS = systém pro detekci hrozeb.
Fáze činnosti:
1. IDS Systém provádí analýzu příchozího provozu a detekci hrozeb (intrusion = narušení). 2. Pokud je detekována hrozba, informuje administrátora, který provede opatření pro eliminaci hrozby.

Question 17

Co je IPS Intrusion Prevention System?
Faze cinnosti

Answer 17

IPS = systém pro detekci a eliminaci hrozeb.
Fáze činnosti:
1.IPS Systém
provádí analýzu příchozího i odchozího provozu a detekci hrozeb.
2. Pokud je zjištěna hrozba, IPS zašle pokyn Firewallu s požadavkem na aktivaci či vygenerování pravidla, kterým Firewall provede např. filtraci všech paketů podezřelého provozu.

Question 18

Co je Honeypot? Faze cinnosti

Answer 18

Honeypot = počítač, který slouží jako návnada na útočníka za účelem získání informací o něm. Fáze činnosti:
1. Do demilitarizované zóny se umístí honeypot. Honeypot vytváří dojem, že provozuje nějakou specifickou síťovou službu, jako např. emaily či web.
2. Útočník, který honeypot objeví, se jej snaží napadnout.
3. Honeypot o útočníkovi během útoku zaznamenává informace (např. zdrojovou IP adresu).
4. Zaznamenané informace od honeypotu využije následně firewall pro vytvoření pravidel, která
zabrání budoucím útokům.

Question 19

Co je Skenování portů?

Answer 19

zjišťování služeb, které běží na daném počítači (výhodné pro zahájení dalšího konkrétně cíleného útoku).
* Skenování portů je realizováno prostřednictvím navazováním spojení (TCP) či zasíláním skupin paketů (UDP) na vybraný cílový port stanice s příslušnou IP adresou.
* V případě, že stanice na požadavky zasílané na daný cílový port odpovídá, hovoříme o otevřeném portu, v opačném případě o uzavřeném portu.

Question 20

Typy skenování portu:

Answer 20

• Horizontální = útočník skenuje konkrétní port na počítačích s různými IP adresami.
• Vertikální = útočník skenuje více portů na počítači s jednou IP adresami.
• Účinnou obranou jsou firewally (znemožnění), IDS a IPS (nahlášení či znemožnění)

Question 21

Co je Prolamování hesel?

Answer 21

• Útok probíhá prostřednictvím terminálových služeb (SSH, RDP, TELNET).
• Hrubá síla (brute force attack) = útočník zkouší všechny možné kombinace znaků nad
  danou abecedou.
• Slovníkový útok (dictionary attack) = útočník používá předem definovaný seznam hesel, která uživatelé používají často.
• Účinnou obranou jsou firewally (lze se připojit pouze z povolených IP rozsahů) a IPS (znemožnění útoku).

Question 22

Co je Denial of Service (DOS) ?

Answer 22

útok realizovaný za účelem zabránění přístupu ke službě.

Question 23

Typy realizace DOS:

Answer 23

• Zasíláním velkého množství dotazů ICMP echo.
• Otevíráním velkého množství spojení TCP-SYN (SYN FLOOD).
• Distributed DOS (DDOS)
• Verze DOS vedená současně z různých infikovaných počítačů, viz dále. * Reflected/Spoofed DOS (RDOS)
• IP Adresa zdroje v hlavičce IP paketu je podvržena a lze tudíž těžko identifkovat útočníka, viz dále.
• Účinnou obranou jsou IPS

Question 24

Co jsou Útoky využívající specifické bezpečnostní chyby v konkrétním systému

Answer 24

• Těchto útoků je mnoho a řeší je bezpečnostní záplaty systému.
• Škodlivé aplikace provádějící tento typ útoku se označují jako červi (worms).
• Např. útok Buffer overfill = přepsání konkrétní oblasti hlavní paměti vyvolá specifickou akci
  (např. restart počítače, vyčtení hesel atd.).
• Účinnou obranou jsou pravidelné bezpečnostní záplaty systémů.

Question 25

Co je Odesílání spamu?

Answer 25

• Uživatel obdrží od útočníka email, který obsahuje závadný obsah.
• Nejčastější typy útoků dle typu obsahu jsou tyto:
• Phishing

Question 26

Co je Phishing ?

Answer 26

útok na vylákání identity (jméno a heslo) uživatele, např. otevřením odkazu vedoucím na falešnou přihlašovací stránku.

Question 27

Co je Malware?

Answer 27

Malware = aplikace, které si uživatel stáhne z Internetu popř. dostane emailem a
spustí. Aplikace následně provádí specifické akce již bez vědomí uživatele.
* Trojský kůň = malware, který se většinu času chová jako běžná legitimní aplikace,
avšak obsahuje i nepravidelně spouštěný škodlivý kód.
* Ransomware = malware, který provádí šifrování obsahu pevného disku.
* Spyware = malware, který se snaží vyčíst na základě nastavení OS různé informace o
uživateli (přihlašovací údaje, bankovní informace atd.).
* Adware = malware, který zobrazuje reklamní nabídky.
* Účinnou obranou jsou antivirové programy a emailové blacklisty.
* Infikování uživatelských stanic malwarem je efektivním mechanismem pro možnost
ovládnutí stanic za účelem realizace DDOS útoku, viz dále.

Question 28

Faze utoku Distributed Denial of Service (DDoS) útok

Answer 28

Původní útočník (Attacker) útok přímo neprovádí.
Fáze útoku:
1. Útočník nejprve napadne a ovládne několik počítačů (CM = Control master/handler).
2. Pomocí CM infikuje a ovládne další skupiny počítačů (botnets/zombies).
3. Útočník prostřednictvím botnets/zombies
aktivně útočí (attack command) na konkrétní cílovou stanici (targeted victim).
4. Legitimní uživatel nedostane od služby, běžící na cílové stanici odpověď kvůli jejímu síťovému přetížení.

Jelikož je útok veden víceúrovňově, je velmi složité odhalit původního útočníka.

Question 29

Reflected/Spoofed DDoS útok faze utoku

Answer 29

Fáze útoku:
1. Útočník (attacker) nastaví v hlavičce IP paketu se zprávou (např. ICMP request) jako zdrojovou adresu adresu oběti (victim).
2. Tímto paketem útočník obešle unicastově či broadcastově (tím se útok ještě zesílí = amplified attack) jeden či více počítačů v lokální síti.
3. Všechny počítače, které zprávu dostanou, odpoví (např. zasláním ICMP echo) dle podvržené zdrojové IP adresy oběti, což způsobí přetížení na jejím síťovém rozhraní.
Primární motivací tohoto útoku je zamezení možnosti vystopování útočníka.

Question 30

Řešení proti DDoS útokům

Answer 30

1. Vsíti(Customer)je díky IDS spolupracující se směrovačem (CE)zjištěn DDoS útok vedený na stanici s určitou IP adresou (např. 1.1.1.1) .
2. Pomocí rozšíření FlowSpec protokolu BGP, směrovač, který útok detekoval, odešle zprávu směrovači (PE) v síti poskytovatele (Provider), přes který je atakovaná IP adresa dosažitelná.
3. PE obešle všechny hraniční (transit) směrovače, které propojují síť poskytovatele do Internetu 4. Hraniční směrovače provedou zablokování provozu směřujícího na atakovanou IP adresu a
   tím cílovou stanici ochrání před přetížením.