Bezpieczeństwo sieci LAN, czyli co wiedzą hakerzy a Ty nie!
Haker to osoba zajmująca się wykrywaniem niedoskonałości w oprogramowaniu lub sprzęcie. Z taką definicją zgodzi się większość informatyków. Wszyscy jednak potwierdzą, że obecnie to miano wywołuje negatywne skojarzenia. Najczęściej media stawiają znak równości pomiędzy hakerem i przestępcą komputerowym. Jedno pozostaje niezmienione od lat - dobry haker posiada olbrzymią wiedzę. Zawiera ona zazwyczaj informacje o nieudokumentowanych opcjach, błędach w implementacji, możliwościach ingerencji. Większość sprzętu i aplikacji zawiera braki. Haker ich szuka lub już je znalazł!
Polecamy: Testy penetracyjne: kilka ciekawych narzędzi
Podszywanie się pod inną maszynę i zatruwanie ARP (spoofing and ARP poisoning)
Ogólne przekonanie jest takie, że hakerzy nie wiele mogą zaszkodzić sieci chronionej zaporą ogniową. Dlaczego więc, należy troszczyć się o bezpieczeństwo wewnątrz sieci LAN?
Ch. Paggen: To prawda, że możliwości ataku z zewnątrz są ograniczone dzięki zastosowaniu zapory. Sieć lokalna pozostaje jednak podatna na wiele ataków przeprowadzonych od wewnątrz przez kogoś będącego fizycznie podłączonego się do infrastruktury sieciowej. Tym kimś może być pracownik danej korporacji, który bawi się konfiguracją sieciową lub wypróbowuje jeden ze ściągniętych z internetu "magicznych" programów. Spotkać jednak można ludzi zmotywowanych, którzy działają w pełni świadomie i z premedytacją. Ich działania koncentrują się na uzyskaniu lub zniszczeniu określonych informacji.
Czy to prawda, że haker działający w sieci lokalnej jest w stanie niepostrzeżenie przechwytywać ruch sieciowy? Jak to możliwe?
Ch. Paggen: Tak, jest to możliwe. Atakujący musi jedynie odpowiednio zatruć tablicę ARP komputera ofiary.
Czy ataki tego typu wynikają z niezainstalowanych zabezpieczeń na komputerach podłączonych do sieci LAN?
Ch. Paggen: Wiele ataków takich, jak zatruwanie ARP lub podszywanie się pod inny komputer jest przeprowadzanych w obrębie sieci lokalnej. Przyłączony do niej komputer może zawierać najnowsze oprogramowanie antywirusowe, lecz i tak będzie wysyłał i odbierał pewne informacje z sieci LAN. Ingerencja we wspomnianą komunikację jest możliwa.
Może Pan powiedzieć parę słów o ataku typu VLAN hopping?
Ch. Paggen: Skuteczne przeprowadzenie tego typ ataku wymaga spełnienia jednocześnie wielu warunków. Yersinia jest jednym z narzędzi, które ułatwiają próby VLAN hopping. Musze dodać, że atak ten pozwala tylko na ruch w jedną stronę tj. od włamywacza do ofiary. Nie będą go więc używać ludzie, którym zależy na wydobyciu danych z zaatakowanego komputera. Przeprowadzenie ataku jest stosunkowo trudne, korzyści są ograniczone. Nie sądzę, że jest to jedno z popularniejszych zagrożeń.
Z jakimi zagrożeniami możemy się spotkać najczęściej i jak się przed nimi bronić?
Ch. Paggen: Myślę, że najgroźniejszym atakiem jest zatruwanie ARP. Jest sprytne, efektywne i całkiem łatwe do przeprowadzenia. Istnieją dwie metody obrony przed tzw. ARP spoofing/poisoning. Pierwszą jest monitoring ruchu ARP za pomocą aplikacji (np. ARPWatch) zainstalowanej na jednym z komputerów dołączonych do sieci lokalnej. Drugim sposobem jest wykorzystanie zabezpieczeń wbudowanych w przełącznik. Na przykład, większość urządzeń Cisco dostarczana jest z mechanizmem broniącym przed podszywaniem się pod inny komputer (ARP spoofing). Metoda jest prosta. Przełącznik kojarzy MAC adres komputera z numerem portu. Jeśli ten sam pakiet ARP pojawi się na innym porcie to wówczas jest on blokowany i generowany jest alarm wskazujący na próbę naruszenia.
Może Pan polecić narzędzie pozwalające śledzić tego typu ataki?
Ch. Paggen: Rozwiązaniem niezależnym od użytego przełącznika, które powinno sprostać temu zadaniu jest ARPWatch. Pozwala on na monitoring ruchu ARP w obrębie LAN. Dodatkowo jest on rozpowszechniane na licencji GPL, czyli praktycznie dostępne za darmo i może być zainstalowane na dowolnej dystrybucji Linuksa.
Czy tego typu zagrożenia, jak ARP spoofing i poisoning mogą być wyeliminowane przez odpowiednią konfigurację przełącznika? Czy włączenie i skonfigurowanie ustawień portów, inspekcji ARP, zabezpieczeń DHCP, BPDU zapobiegnie atakom z wykorzystaniem luk protokołu ARP?
Ch. Paggen: Oczywiście, że włączenie wspomnianych mechanizmów zmniejszy możliwość efektywnego ataku. Duża część tych metod została stworzona, by przeciwdziałać właśnie podszywaniu się pod inny komputer lub zatruwaniu tablic ARP.
ARP spoofing to atak pozwalający na przekierowanie ruchu do komputera, który został opanowany przez włamywacza. Jakie są inne luki przełącznika, które mogą zagrażać bezpieczeństwu transmitowanych danych?
Ch. Paggen: Nie wolno zapominać o atakach polegających na zatruwaniu tablicy ARP (poisoning). Narzędzia takie, jak na przykład Abel&Cain nie tylko pozwalają wprowadzić do tablicy APR niepoprawne wpisy, lecz dodatkowo kierują ruch do wybranego komputera. W konsekwencji atak taki może pozostać całkowicie niezauważony!
Jakie są Państwa rady odnośnie tego zagrożenia?
E. Vyncke: Atakom tego typu poświęciliśmy rozdział naszej książki. Trudno wszystko opowiedzieć w kilku słowach. Podsumowując, należy monitorować i analizować ruch DHCP, tworzyć pary zawierające adres IP i adres Ethernet. Następnie konieczne jest sprawdzanie, czy pakiety ARP pasują do skojarzonych par. Jeśli nie, to pakiet powinien zostać zignorowany. Metoda prosta i skuteczna.
Podany sposób może i jest skuteczny, ale raczej nie prosty. Jeśli używamy statycznych adresów IP (typowe dla centrów danych), to wówczas mapowanie adresów musimy wykonać ręcznie.
E. Vyncke: Racja. Konieczne będzie wcześniejsze zdefiniowanie par MAC-IP (co nie jest łatwe, nawet jeśli jest proste).
W kontekście wspomnianych zagrożeń ARP, jakie zalety oferują prywatne sieci VLAN?
Ch. Paggen: Prywatne VLAN doskonale izolują od pakietów rozgłoszeniowych z innych sieci. Konfiguracja VLAN jest bardzo elastyczna, można tworzyć mniejsze sieci VLAN w obrębie większych. Najważniejsza jest pewność, że komputery podłączone do VLAN mogą się komunikować jedynie z maszynami przyłączonymi do zaufanych portów. Daje to natychmiastowy skutek. Ataki ARP są dużo trudniejsze do przeprowadzenia. Nie zostają w pełni wykluczone, lecz skuteczny atak pozwoli jedynie na ruch w jednym kierunku (do ofiary).
Komentarze (10)
Witam, mam zamiar napisać pracę inżynierską(!) o bezpieczeństwie sieci w standardzie 802.11 (WLAN) i potrzeba mi obiektywnego, aktualnego spojrzenia na bezpieczeństwo sieci na rok 2008/2009. *Co w takiej pracy ująć (trochę o historii?) a jak się mają sprawy z przyszłością?? *Na czym się najbardziej skupić gdyż jak wiadomo jest to szeroki temat od WEP i RC4 aż do 802.1X(RADIUS) (może dalej?). Czekam na sugestie, doświadczenia internautów i kolegów z serwisu! Nie oczekuje odpowiedzi w stylu"Google.pl" gdyż mój temat jest inny niż wszystkie, jasne jest to że pisze pracę inż. pierwszy raz i chodzi mi o to że chcę usłyszeć od Was co proponujecie Wy, wasze zwięzłe sugestie i propozycje, linki? Dużo w internecie jet materiałów z 2000-2003 o WEP ale ja chcę stworzyć godną inżynierską pracę i "na czasie". * Myślę że nie przypadkowo trafiliście na ta stronę i udzielicie mi info, może mieliście/macie podobny temat i pragniecie się czymś podzielić? Liczę na Wasza wyrozumiałość, pozdrawiam i dziękuje serdecznie! :) tomi0011@wp.pl
Sporo uyitkownzkow Firefoksa i zarazem calkiem duzo spamerow. (&tp ranked second). Ciekawe, czy istnieje korelacja pomiedzy obiema grupami ? ;-)pb,nmps
ÎÂÖÝĘĐwow goldžÖšŮˇ˝ÍřŐž,wow gold×ŰşĎ×ĘŃśÍřŐž,wow goldĎß¡šŮˇ˝ÍĆźöĄ˘ĆóŇľ×Ôźö,wow goldˇ¨šć6787671@WOWGOLDS.COM
wow goldšŮˇ˝ÍřŐžŁŹşŹwow goldĐÂÎĹĄ˘źŮČŐwow goldÔ¤ą¨Ą˘wow goldŐţ˛ßˇ¨šćĄ˘ÍřÉĎwow gold°ěšŤşÍÓĐšŘwow goldÍłźĆĄŁ6787671@WOWGOLDS.COM
Wiedza mi znana ale w miare ciekawie opisane. A co do ostatniego pytania: hakera moze zlapac tylko inny haker (wiem, powinienem tu uzyc okreslenia cracker ale czesc ludzi tego by wtedy nie zrozumiala).
Kto wie, może używał tora?
Coś mocno "prociscowa" ta książka chyba... A z innej beczki - kolega "hakier" poniżej chyba naczytał się jakichś poważnych artykułów na temat SQL injection. I jak kolego, udało się wylistować wszystkie rekordy z baz danych IDG? Niestety zdołali zapisać twój neostradowy IP i datę "włamu"... Po cichu sugeruję zatem przeprowadzenie jeszcze jednego włamania w celu wyczyszczenia wszystkich logów :D
''or 1=1--
quqi: chyba cos nie kumasz za bardzo , od kiedy adres IP podlega ochronie ?. Każdy może nawet przypadkiem na ciebie trafic. Co to tajne jakies ? Jak se chcesz poklnąć to se proxy użyj .
Co za ironia losu. Piszecie o ochronie a sami ( tzn. IDG ) udostepnia adres IP komentującego!!! bła haha - gdzie tu ochrona!!!!!!!
- Android 5.0 i Windows 8 na jednym sprzęcie?
- Kingston: Nowa linia dysków SSD
- Intel: SSD 520 - nowa linia szybkich dysków
- Co powinien wiedzieć każdy specjalista IT?
- Testy penetracyjne pomogą w obronie przed cyberatakami
- Google proponuje zmiany w TCP mające przyspieszyć internet
- SanDisk prezentuje swój najszybszy napęd SSD klasy konsumenckiej.
- pcAnywhere, RDP, VNC... Bezpieczny zdalny dostęp?
- Ciemna strona dominacji Apple’a
- Citadel - profesjonalne narzędzie, świetne wsparcie techniczne ... dla cyberprzestępców
Polecane
Open source na ratunek Ziemi
Ambicje entuzjastów idei wolnego oprogramowania zawsze sięgały wysoko. Dzięki pracom w ramach projektu GNU,...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...