• 690 likes • 852 Vues
CCNA Exploration Accessing the WAN. Тема 4 част 1 Мрежова сигурност. Мрежова сигурност - въведение. Термини 1/2. White hat – човек, който търси пропуски в системите и мрежите и ги докладва на собствениците, за да бъдат отстранени.
E N D
CCNA Exploration Accessing the WAN Тема 4 част 1Мрежова сигурност PavlinkaRadoyska / Botevgrad / otk_cisco@abv.bg
Мрежова сигурност - въведение Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg
Термини 1/2 • White hat– човек, който търси пропуски в системите и мрежите и ги докладва на собствениците, за да бъдат отстранени. • Black hat- човек, който търси пропуски в системите и мрежите и ги използва за свои цели, често за обогатяване. • Hacker– експерт програмист, в последствие се е опорочило и описва пак програмен експерт, но с криминални цели. • Cracker– вид Black hat. Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg
Термини 2/2 • Phreaker – човек, който прониква в телефонната мрежа и я използва за неразрешени цели. Най-често проникват чрез payphone и правят безплатни далечни повиквания. • Spammer - човек, който изпраща голуми обеми e-mail съобщения, с рекламна цел или за да заразят домашните компютри и да ги използват като платформа за препращане на ново голямо количество съобщения. • Phisher – човек, който използва e-mail, огледални сайтове или друг подход, за да извлече важна информация като номера на кредитни карти или пароли. Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg
Атакуващите – подход 1/2 • Разузнаване. Web-сайта на компанията IP адрес на сървера анализ на секретния профил на компанията (отпечатък). • Прихващане на цифрови данни. Следи трафика и прихваща версията и номера на порта на FTP сървера, mail сървера, уязвими места на достъп до базата данни... • Получаване на достъп чрез манипулиране на потребители. Разбиват лесни пароли, мамят лековерни потребители... • Повишаване на привилегиите. След като получат базов достъп, използват уменията си за да повишат правата си. Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg
Атакуващите – подход 2/2 • Прихващане на нови пароли и секрети. Като използват способностите си и имат достъп до вътрешния трафик, си осигуряват достъп до добре пазени ресурси и данни. • Инсталиране на задни входове. Възможност за влизае в системата, без да бъдата засечени – незатворени свободни TCP или UDP потрове. • Използване на компрометираната система. След като са влезли в системата, могат да провеждат атаки към отделни хостове или мрежи. Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg
Балансиране на мрежите От гледна точка на защитеност, мрежите могат да се определят като: • Отворени • Рестриктивни • Затврени Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg
Отворени мрежи • Лесни за конфигуриране и администриране • Лесни за достъп от крайни потребители • Низка цена на защитеността Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg
Рестриктивни мрежи Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg
Затворени мрежи Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg
Политики на сигурност Цели • Информира потребители, служители, началници и др. за техните задължения по защита на технологичната и информационна собственост. • Определят механизмите, по които се изпълняват тези изисквания. • Предписват процедура, по която се конфигурират и преглеждат компютърните системи за съответствие с тази политика. Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg
ISO/IEC 27002 1/2 Формулира 12 основни направления за разработване на стандарти за сигурност и практики за управление на сигурността. • Risk assessment – оценка на риска • Security policy – политика на сигурност • Organization of information security – организация на информационната сигурност • Asset management – управление на имуществото • Human resources security – защита на човешкия ресурс • Physical and environmental security – пространствена и физическа защита Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg
ISO/IEC 27002 2/2 • Communications and operations management – управление на комуникациите и процесите • Access control – контрол на достъпа • Information systems acquisition, development, and maintenance – придобиване, разработване и управление на информационни системи • Information security incident management – управление на информационната сигурност • Business continuity management – управление на непрекъснат бизнес процес • Compliance - съгласуваност Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg
3 основни фактора на мрежовата сигурност • По отношение на мрежовата сигурност се разглеждат 3 основни фактора: • Уязвимост (Vulnerability) – слабости в мрежите и устройствата (рутери, суичове, устройства за защита). • Заплахи (threat) – квалифицирани специалисти, които имат интерес да използват уязвимостите. • Атаки Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg
Уязвимост 3 направления: • Технологични • Конфигурационни • Политики на сигурност Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg
Технологични слабости • TCP/IP • HTTP, FTP и ICMP – напълно незащитени • SNMP, SMTP и Syn Flood – носят се от TCP (незащитен) • Операционните системи • Всички ОС имат уязвимости • Документирани са в CERT • Мрежово оборудване • Пароли, автентификации, рутиращи протоколи, защитни стени Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg
Конфигурационни слабости • Незащитени потребителски акаунти (пренасят се потребителски имена и пароли в незащитен вид) • Слабо защитени пароли за системен достъп • Защити по подразбиране с дупки в сигурността • Неконфигурирането на някои услуги и протоколи носи рискове за сигурността Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg
Слабости в политиките на сигурност • Недокументирани политики • Политически битки и териториални войни пречат на прилагане на правилни политики • Липса на логически контрол на достъпа • Инсталиране на нов софтуер и хардуер без да се спазват политиките • Липса на план за поведение при бедствие Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg
Заплахи по отношение на инфраструктурата • Хардуерни – физическо повреждане на сървери, рутери, суичове, кабели или работни станции. • От околната среда – температура, влажност. • Електрически – високо напрежение, волтови дъги, нестабилно напрежение, загуба на захранване. • Технически – лошо свързани електрически кабели, лоши изолации, неправилно свързани куплонзи, неправилно маркиране. Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg
Мрежови заплахи 1/2 PavlinkaRadoyska / Botevgrad / otk_cisco@abv.bg
Мрежови заплахи 2/2 • Unstructured Threats- Слабо квалифицирани, с използване на готови хакерски програми, дори да не нанесе сериозни вреди, компрометира фирмата, собственик на сайта. • Structured threats - Квалифицирани, мотивирани хакери, сериозни щети, трудни за отстояване. • External threats– от хора или групи извън компанията, най-вече по интернет, варират от аматьорски (unstructured) до експертни (structured). • Internal threats – разрешен достъп чрез акаунт или физически достъп, варират от аматьорски (unstructured) до експертни (structured). PavlinkaRadoyska / Botevgrad / otk_cisco@abv.bg
Social Engineering • Social engineering – не изисква особени познания и умения, базира се на личната уязвмост на хората, реализира се чрез бивши служители, подправени документи. • Phishing – форма на Social engineering, подлъгват хората чрез e-mail или друго да дадат номерата на кредитните си карти или друга важна информация. • Защита – обучаване на потребтелите, администратора – да блокира достъп от подозрителни сайтове и получаване на подозрителни съобщения. Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg
Типове мрежови атаки • Разузнаване (Reconnaissance) – изучаване на системи, сървери, уязвимости. Обикновено предшества друга атака. • Достъп – стартиране на хакерски скрипт или програма, която използва слабостите на системи и приложения. • Отказ от обслужване (Denial of Service - DoS) – блокират или повреждат мрежи, системи или услуги. Стартират се със скриптове или хасерски умения. Много опасни. • Worms, Viruses, and Trojan Horses Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg
Разузнаване • Външно: • Интернет заявки за откриване на мрежовия адрес на фирмата (сайта). • Откриване на свободни IP адреси чрез пингване на всички адреси от мрежата на сайта. • Откриване на свободни Port адреси чрез специализирани програми (Nmap или Superscan). • Вътрешни – подслушване • Прихващане на информация от пакетите (потр. имена, пароли, данни). • Крадене – проникване в компютри и крадене на данни. Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg
Предпазване от подслушване • Използване на суичове, а не хъбове, за да не достигат фреймовете до всички. • Криптиране • Разработване и разпространяване на политики за сигурност. Например SNMP v1 - не криптира събощенията, а SNMP v3 – криптира. Забранява се използването на SNMP v1. Криптиране payload-only, криптират се само данните в TCP или UDP сегмента – рутери и суичове могат да си четат служебната информация, а аднните да са защитени. Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg
Атакуване на достъпа • Атакуване на паролите • Подслушване (некриптран пренос), Програми с използване на речници или на rainbow table (вариации на възможни пароли). • Брутални (brute-force) – всякакви комбинации от разрешени семволи. • Използване на “надеждни” външни компютри за достъп до защитени среди. • Пренасочване на портове • Междиннна станция (Man-in-the-Middle) Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg
Пренасочване на портове Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg
Man-in-the-Middle Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg
DoS атаки • Ping of Death – ping съобщение с голяма дължина (>65,536) – само при старите ОС • SYN Flood - three-way handshake • E-mail bombs – много съобщения, блокират пощенския сървер • Malicious applets - Java, JavaScript или ActiveX програми. Примери: • SMURF attack • Tribe flood network (TFN) • Stacheldraht • MyDoom Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg
SMURF attack Много ICMP заявки до мрежов broadcast от името на IP на атакувания рутер. Всички компютри от мрежата отговарят с ICMP пакет. PavlinkaRadoyska / Botevgrad / otk_cisco@abv.bg
Архитектура на DoS атаките Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg
Зловредни кодове (Malicious Code ) • Червей (worm) – изпълним код, прави си копие върху зарзения компютър, който от своя страна заразява други. • Вирус – код, прикрепен към друга програма, който изпълнява неразрешени функции. • Троянски код – вирус, но написан така, че да изглежда като нещо друго. Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg
Защити • Антивирусни програми • Защитни стени • Пачове на ОС Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg
Intrusion Detection and Prevention • Intrusion detection systems (IDS) – контролира за атаки от мрежата и изпраща записи към конзолата (може и на друг компютър) • Intrusion prevention systems (IPS) – предотвратява атаки чрез: • Prevention-Stops • Reaction-Immunizes Технологията може да се прилага на мрежово ниво, на хостово ниво и на двете. Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg
Устройства и приложения за защита • Threat control– управлява достъпа до мрежата, изолира инфектираните системи, предотвратява проникването и защитава от червеи и вируси. Устройства: • Cisco ASA 5500 Series Adaptive Security Appliances • Integrated Services Routers (ISR) • Network Admission Control • Cisco Security Agent for Desktops • Cisco Intrusion Prevention Systems Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg
Колелото на сигурността Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg
Secure - защита • Защита от атаки • Филтриране на трафика • Intrusion prevention systems • Забрана на всички ненужни услуги • Сигурни връзки: • VPN • Дефиниране на нива на надеждност (външните клиенти никога не са достатъчно надеждни) • Автентификация • Политики Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg
Monitoring - наблюдение • Активни и пасивни методи за определяне на възможностите за защита • Активен– преглед на лог-файловете на всеки хост. • Пасивен - IDS устройство за автоматично прихващане на опити за проникване Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg
Тестване • Периодично се проверява сигурността • Използват се SATAN, Nessus, Nmap Improvement - Подобрения Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg
Рутерна сигурност Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg
Роли • Представя мрежите и определя правилата за достъп до тях • Осигурява достъп до мрежови сегменти и подмрежи Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg
Рутерите – обект на атаки • Ако конторлират рутера – могат да реализират атаки навътре. • Ако имат достъп до рутеращата таблица – могат да я променят и да прекъснат връзката с някоя мрежа. • Преконфигуриране на филтъра на трафика може да пропусне различни атаки навътре. Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg
Защита на потребителската мрежа • Физическа сигурност • Чести обновявания на IOS на рутера • Резервни копия на конфигурационния файл и IOS • Забрана на всички неизползвани портове. Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg
Стъпки за защита на рутера • Управление на сигурността на рутера • Защита на отдалечения администраторски достъп • Запис на действията по рутера • Защита на услугите и интерфейсите на рутера • Защита на рутиращите протоколи • Контролиране и филтриране на мрежовия трафик Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg
Управление на сигурността на рутера • Осигуряване на физическа сигурност • Криптиране на пароли R1(config)# service password-encryption • Задаване на минимална дължина на паролите R1(config)#security passwords min-lengthдължина • Конфигуриране на пароли R1(config)#enable secret 2-aRv-9y4 Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg
Защита на отдалечения админ. достъп • Пароли на VTY • Разрешаване само на достъп по един протокол (Telnet или SSH) R1(config)#line vty 0 4 R1(config-line)#no transport input R1(config-line)#transport input [telnet | ssh] • Разрешаване за последния VTY на достъп само от един адрес (на администратора) – AL В случай, че хакер е блокирал останалите VTY сесии, администратора винаги ще има достъп до рутера. Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg
Защита на отдалечения админ. достъп • Ограничаване на времетраене на сесията след приключване на активността (за да не стои блокирана и без използване) R1(config-line)#exec-timeoutсекунди • Защита от входящи атаки и блокиране на VTY сесии R1(config)#service tcp-keepalives-in Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg
SSH • Telnet - TCP port 23. • SSH - TCP port 22 Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg
SSH – конфигуриране • Задължителни • Hostname • Domain name • Asymmetrical keys • Local authentication • Незадължителни • Timeouts • Retries Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg
Router(config)# hostnamehostname Router(config)# hostname R1 • R1(config)# ip domain-namedomain-name R1(config)# ip domain-name cisco.com • R1(config)# crypto key generate rsa Сиско препоръчва дължина на ключа >1024 Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg