Bezpieczeństwo sieci LAN, czyli co wiedzą hakerzy a Ty nie!
30 listopada 2007 11:17
NetWorld
Haker to osoba zajmująca się wykrywaniem niedoskonałości w oprogramowaniu lub sprzęcie. Z taką definicją zgodzi się większość informatyków. Wszyscy jednak potwierdzą, że obecnie to miano wywołuje negatywne skojarzenia. Najczęściej media stawiają znak równości pomiędzy hakerem i przestępcą komputerowym. Jedno pozostaje niezmienione od lat - dobry haker posiada olbrzymią wiedzę. Zawiera ona zazwyczaj informacje o nieudokumentowanych opcjach, błędach w implementacji, możliwościach ingerencji. Większość sprzętu i aplikacji zawiera braki. Haker ich szuka lub już je znalazł!
Autorzy książki "LAN switch security: What hackers know about your switches" zgodzili się odpowiedzieć na pytania internautów. Od Christophera Paggena i Erica Vyncke'a dowiedzieliśmy się jak bronić się przed zatruwaniem ARP, kontrolować ruch P2P. Specjaliści wypowiedzieli się także na temat sieci bezprzewodowych, które w przeszłości uznane zostały za niebezpieczne. Dla wielu nadal transmisje radiowe wydają się proste do przechwycenia i manipulowania. Czy tak jest naprawdę?
Podszywanie się pod inną maszynę i zatruwanie ARP (spoofing and ARP poisoning)
Ogólne przekonanie jest takie, że hakerzy nie wiele mogą zaszkodzić sieci chronionej zaporą ogniową. Dlaczego więc, należy troszczyć się o bezpieczeństwo wewnątrz sieci LAN?
Ch. Paggen: To prawda, że możliwości ataku z zewnątrz są ograniczone dzięki zastosowaniu zapory. Sieć lokalna pozostaje jednak podatna na wiele ataków przeprowadzonych od wewnątrz przez kogoś będącego fizycznie podłączonego się do infrastruktury sieciowej. Tym kimś może być pracownik danej korporacji, który bawi się konfiguracją sieciową lub wypróbowuje jeden ze ściągniętych z internetu "magicznych" programów. Spotkać jednak można ludzi zmotywowanych, którzy działają w pełni świadomie i z premedytacją. Ich działania koncentrują się na uzyskaniu lub zniszczeniu określonych informacji.
Czy to prawda, że haker działający w sieci lokalnej jest w stanie niepostrzeżenie przechwytywać ruch sieciowy? Jak to możliwe?
Ch. Paggen: Tak, jest to możliwe. Atakujący musi jedynie odpowiednio zatruć tablicę ARP komputera ofiary.
Czy ataki tego typu wynikają z niezainstalowanych zabezpieczeń na komputerach podłączonych do sieci LAN?
Ch. Paggen: Wiele ataków takich, jak zatruwanie ARP lub podszywanie się pod inny komputer jest przeprowadzanych w obrębie sieci lokalnej. Przyłączony do niej komputer może zawierać najnowsze oprogramowanie antywirusowe, lecz i tak będzie wysyłał i odbierał pewne informacje z sieci LAN. Ingerencja we wspomnianą komunikację jest możliwa.
Może Pan powiedzieć parę słów o ataku typu VLAN hopping?
Ch. Paggen: Skuteczne przeprowadzenie tego typ ataku wymaga spełnienia jednocześnie wielu warunków. Yersinia jest jednym z narzędzi, które ułatwiają próby VLAN hopping. Musze dodać, że atak ten pozwala tylko na ruch w jedną stronę tj. od włamywacza do ofiary. Nie będą go więc używać ludzie, którym zależy na wydobyciu danych z zaatakowanego komputera. Przeprowadzenie ataku jest stosunkowo trudne, korzyści są ograniczone. Nie sądzę, że jest to jedno z popularniejszych zagrożeń.
Z jakimi zagrożeniami możemy się spotkać najczęściej i jak się przed nimi bronić?
Ch. Paggen: Myślę, że najgroźniejszym atakiem jest zatruwanie ARP. Jest sprytne, efektywne i całkiem łatwe do przeprowadzenia. Istnieją dwie metody obrony przed tzw. ARP spoofing/poisoning. Pierwszą jest monitoring ruchu ARP za pomocą aplikacji (np. ARPWatch) zainstalowanej na jednym z komputerów dołączonych do sieci lokalnej. Drugim sposobem jest wykorzystanie zabezpieczeń wbudowanych w przełącznik. Na przykład, większość urządzeń Cisco dostarczana jest z mechanizmem broniącym przed podszywaniem się pod inny komputer (ARP spoofing). Metoda jest prosta. Przełącznik kojarzy MAC adres komputera z numerem portu. Jeśli ten sam pakiet ARP pojawi się na innym porcie to wówczas jest on blokowany i generowany jest alarm wskazujący na próbę naruszenia.
Może Pan polecić narzędzie pozwalające śledzić tego typu ataki?
Ch. Paggen: Rozwiązaniem niezależnym od użytego przełącznika, które powinno sprostać temu zadaniu jest ARPWatch. Pozwala on na monitoring ruchu ARP w obrębie LAN. Dodatkowo jest on rozpowszechniane na licencji GPL, czyli praktycznie dostępne za darmo i może być zainstalowane na dowolnej dystrybucji Linuksa.
Czy tego typu zagrożenia, jak ARP spoofing i poisoning mogą być wyeliminowane przez odpowiednią konfigurację przełącznika? Czy włączenie i skonfigurowanie ustawień portów, inspekcji ARP, zabezpieczeń DHCP, BPDU zapobiegnie atakom z wykorzystaniem luk protokołu ARP?
Ch. Paggen: Oczywiście, że włączenie wspomnianych mechanizmów zmniejszy możliwość efektywnego ataku. Duża część tych metod została stworzona, by przeciwdziałać właśnie podszywaniu się pod inny komputer lub zatruwaniu tablic ARP.
ARP spoofing to atak pozwalający na przekierowanie ruchu do komputera, który został opanowany przez włamywacza. Jakie są inne luki przełącznika, które mogą zagrażać bezpieczeństwu transmitowanych danych?
Ch. Paggen: Nie wolno zapominać o atakach polegających na zatruwaniu tablicy ARP (poisoning). Narzędzia takie, jak na przykład Abel&Cain nie tylko pozwalają wprowadzić do tablicy APR niepoprawne wpisy, lecz dodatkowo kierują ruch do wybranego komputera. W konsekwencji atak taki może pozostać całkowicie niezauważony!
Jakie są Państwa rady odnośnie tego zagrożenia?
E. Vyncke: Atakom tego typu poświęciliśmy rozdział naszej książki. Trudno wszystko opowiedzieć w kilku słowach. Podsumowując, należy monitorować i analizować ruch DHCP, tworzyć pary zawierające adres IP i adres Ethernet. Następnie konieczne jest sprawdzanie, czy pakiety ARP pasują do skojarzonych par. Jeśli nie, to pakiet powinien zostać zignorowany. Metoda prosta i skuteczna.
Podany sposób może i jest skuteczny, ale raczej nie prosty. Jeśli używamy statycznych adresów IP (typowe dla centrów danych), to wówczas mapowanie adresów musimy wykonać ręcznie.
E. Vyncke: Racja. Konieczne będzie wcześniejsze zdefiniowanie par MAC-IP (co nie jest łatwe, nawet jeśli jest proste).
W kontekście wspomnianych zagrożeń ARP, jakie zalety oferują prywatne sieci VLAN?
Ch. Paggen: Prywatne VLAN doskonale izolują od pakietów rozgłoszeniowych z innych sieci. Konfiguracja VLAN jest bardzo elastyczna, można tworzyć mniejsze sieci VLAN w obrębie większych. Najważniejsza jest pewność, że komputery podłączone do VLAN mogą się komunikować jedynie z maszynami przyłączonymi do zaufanych portów. Daje to natychmiastowy skutek. Ataki ARP są dużo trudniejsze do przeprowadzenia. Nie zostają w pełni wykluczone, lecz skuteczny atak pozwoli jedynie na ruch w jednym kierunku (do ofiary).
AudioBot - odsłuchaj materiał
wydrukuj
wyślij do znajomego
odpowiada...