Bezpieczeństwo sieci LAN, czyli co wiedzą hakerzy a Ty nie!
Haker to osoba zajmująca się wykrywaniem niedoskonałości w oprogramowaniu lub sprzęcie. Z taką definicją zgodzi się większość informatyków. Wszyscy jednak potwierdzą, że obecnie to miano wywołuje negatywne skojarzenia. Najczęściej media stawiają znak równości pomiędzy hakerem i przestępcą komputerowym. Jedno pozostaje niezmienione od lat - dobry haker posiada olbrzymią wiedzę. Zawiera ona zazwyczaj informacje o nieudokumentowanych opcjach, błędach w implementacji, możliwościach ingerencji. Większość sprzętu i aplikacji zawiera braki. Haker ich szuka lub już je znalazł!
STP, VTP i BPDU
Jakie są przykłady ataków wykorzystujących protokoły Spanning Tree i VLAN Trunking?
E. Vyncke: Niedoskonałość protokołu STP (Spanning Tree Protocol) pozwala na przeprowadzenie ataku DoS (przeciążenie procesora spowodowane zbyt dużą liczbą BPDU). Inny atak może polegać na udawaniu roota STP i skutkować zmianą topologii. Kolejny protokół - VTP (VLAN Trunking Protocol) i jego luki mogą być wykorzystane do zmian w ustalaniu VLAN. VTP jest także podatny na DoS.
Jak możemy zwiększyć bezpieczeństwo protokołu STP? Czy funkcje zaimplementowane w sprzęcie Cisco takie jak BPDU Guard i Root Guard są przydatne?
E. Vyncke: Tak, wymienione funkcje zmniejszają ryzyko. Ataki na control plane mogą być powstrzymane dzięki BDPU Guard i stosowaniu odpowiednich zasad.
Jaki jest najlepszy środek obrony przeciw DoS wymierzonemu w STP?
Ch. Paggen: Zasadniczo stacja końcowa (komputer, host) nie jest częścią drzewa. Dlatego zalecałbym filtrowanie BPDU na portach fizycznych. Takie działanie eliminuje przychodzące i wychodzące BPDU, więc zapobiega wszelkim potencjalnym atakom na STP pochodzącym z komputerów dołączonych do sieci.
Bezpieczeństwo użytkowników mobilnych
Jakie mają Panowie sugestie i porady związane z zabezpieczeniem laptopów w sieciach bezprzewodowych?
E. Vyncke: Komputery wyposażone w karty bezprzewodowe powinny łączyć się tylko z zaufanymi sieciami. Wymaga to uwierzytelnienia sieci względem użytkownika. Jest to możliwe jeśli w sieci stosowany jest serwer RADIUS. Oczywiście wymagane jest wówczas użycie protokołów PEAP, EAP-TLS itp. Jednak jeśli komputer łączy się z tzw. hot spotem, to wówczas należy się liczyć z zagrożeniem pochodzącym od innych osób korzystających z tej sieci. W takim przypadku lekarstwem jest zapora ogniowa lub aplikacja wykrywająca intruza (jak np. Cisco Security Agent).
Jak postępować w przypadku, gdy część portów przełącznika służy użytkownikom mobilnym?
Ch. Paggen: Radziłbym skonfigurować parametry związane z brakiem aktywności na danym porcie i dynamiczną naukę adresów MAC. Konfiguracja jest zależna od tego, jak często użytkownicy zmieniają porty (np. przemieszczając się).
Ogólne zasady bezpieczeństwa/pytania o przełączniki LAN
Co uważa Pan za lepsze rozwiązanie: ustawianie czasu braku aktywności, czy przydzielanie portu danemu adresowi MAC na określony czas?
Ch. Paggen: Osobiście wolę pierwszą opcję, ale wszystko zależy od warunków. Jeśli użytkownicy rzadko korzystają z komputera, to wówczas operowanie czasem nieaktywności nie jest najlepszym wyjściem.
Jakie są słabości mechanizmu Q-in-Q?
Ch. Paggen: Widzę potencjalne zagrożenie związane z przepełnieniem tablic adresowych przełącznika (MAC flooding). Q-in-Q to ramka Ethernetowa zawierająca wewnątrz trzy typy ramki, z których dwa to 801.Q, zaś trzeci wskazuje na typ przenoszonych danych (0x0800 dla IP). Niemniej jednak pierwsze 12 bajtów zawiera źródłowy i docelowy adres MAC. Daje to możliwość przeprowadzenia ataku MAC flooding.
Jeśli sieć LAN jest używana do transmisji VoIPv6, to jakie środki bezpieczeństwa należy uwzględnić?
E. Vyncke: Rzeczywiście VoIP będzie wkrótce wykorzystywał IPv6. W naszej książce wspominamy o problemach bezpieczeństwa związanych z tym protokołem. Przypominają one zasadniczo ARP spoofing. Obecnie istnieją nieliczne metody zabezpieczeń IPv6. Dlatego zalecałbym użycie secure VoIP, który pozwala na szyfrowanie sygnalizacji i głosu. Inaczej transmisja będzie podatna na przechwycenie.
Na co należy zwrócić uwagę przy korzystaniu z IOS Web Server?
Ch. Paggen: Moim zadaniem, konieczne jest regularne sprawdzanie bazy znanych błędów. Przede wszystkim jednak, należy zezwolić na komunikację HTTP tylko z wybranymi uprzednio komputerami.
Proste pytanie, czy użycie SSH zamiast telnetu i HTTPS zamiast HTTP, stanowi skuteczną ochronę przed przechwyceniem komunikacji?
E. Vyncke: Tego typu transmisje są na pewno bezpieczniejsze. Trzeba jednak pamiętać, iż są one podatne na ataki typu DoS. Istnieją także narzędzia udające DNS, które pozwalają na przekierowanie ruchu HTTPS. Dają one także możliwość wygenerowania spreparowanego odpowiednio certyfikatu. Ofiara zobaczy najprawdopodobniej ostrzeżenie w przeglądarce internetowej, lecz je zignoruje, odruchowo klikając OK. W konsekwencji dane zostaną wysłane do niewłaściwej maszyny.
Dlaczego jedyne część protokołów jest zabezpieczona hasłem lub kluczem? Dlaczego protokoły CDP i STP nie należą do tej grupy?
E. Vyncke: Pytania o brak uwierzytelnienia w protokole CDP pojawiają się często. Głównym powodem jest to, że wprowadzenie takiego zabezpieczenia wymagałoby prekonfigurowania wielu parametrów (klucze, certyfikaty itp.). Odbiłoby się to na zalecie CDP, którą jest "plug and play". Podobnie sytuacja wygląda w przypadku STP. Liczy się szybkość wdrażania nowych elementów sieci.
Jak postąpić z napastnikiem, którego przyłapano na próbie kradzieży danych? Zatrudnić go w dziale IT, czy zawiadomić władze?
Ch. Paggen: Bez komentarza.
E. Vyncke: To zależy... Ja wezwałbym odpowiednie służby.
***
Opracował: Marcin Suszkiewicz
Komentarze (11)
Witam, mam zamiar napisać pracę inżynierską(!) o bezpieczeństwie sieci w standardzie 802.11 (WLAN) i potrzeba mi obiektywnego, aktualnego spojrzenia na bezpieczeństwo sieci na rok 2008/2009. *Co w takiej pracy ująć (trochę o historii?) a jak się mają sprawy z przyszłością?? *Na czym się najbardziej skupić gdyż jak wiadomo jest to szeroki temat od WEP i RC4 aż do 802.1X(RADIUS) (może dalej?). Czekam na sugestie, doświadczenia internautów i kolegów z serwisu! Nie oczekuje odpowiedzi w stylu"Google.pl" gdyż mój temat jest inny niż wszystkie, jasne jest to że pisze pracę inż. pierwszy raz i chodzi mi o to że chcę usłyszeć od Was co proponujecie Wy, wasze zwięzłe sugestie i propozycje, linki? Dużo w internecie jet materiałów z 2000-2003 o WEP ale ja chcę stworzyć godną inżynierską pracę i "na czasie". * Myślę że nie przypadkowo trafiliście na ta stronę i udzielicie mi info, może mieliście/macie podobny temat i pragniecie się czymś podzielić? Liczę na Wasza wyrozumiałość, pozdrawiam i dziękuje serdecznie! :) tomi0011@wp.pl
Sporo uyitkownzkow Firefoksa i zarazem calkiem duzo spamerow. (&tp ranked second). Ciekawe, czy istnieje korelacja pomiedzy obiema grupami ? ;-)pb,nmps
Do PAni Urszuli dot. komentarza z 05.07.2011 23:04 "czy po zzceoreniu niekonstytucyjności wyboru prezydenta,przestają obowiązywać wszystkie podpisane przez niego ustawy?Czy jest to jakoś uregulowane w polskim prawodawstwie?"=================================Pani Urszulo to nie tylko nie wazne beda umowy ale i urząd prezydenta. Proszę przeczytać ponizej z E. Kościeszy: "Ojczyznie skradziona tożsamosć".Nie przypadkiem , gdy 22 grudnia 1990 ,w południe, w sali tzw. ,,parlamentukontraktowego” (wyłonionego na podstawie komunistycznej ordynacji) wyznaczony napodstawie narzuconej Polsce stalinowskiej konstytuty, Lech Wałęsa,to złożył wymaganą najej podstawie przysięgę: ,,Obejmując urząd prezydenta Rzeczypospolitej Polskiej przysięgamuroczyście narodowi polskiemu, że postanowieniom Konstytucji wierności dochowam, będęstrzegł niezłomnie godności narodu, suwerenności i bezpieczeństwa państwa. Przysięgam, żedobro Ojczyzny oraz pomyślność obywateli będą dla mnie zawsze najwyższym nakazem- Takmi dopomf3ż Bf3g.” - to trzeba wyrażnie zaznaczyć: iż nie składał on przysięgi jako przyszłyprezydent RP.Rota złożonej przez Lecha Wałęsę na Konstytucję PRL przysięgi, była tą samą… jakądeklarował w 1947r moskiewski figurant urzędzie prezydenta PRL, wieloletni funkcjonariuszNKWD, Bolesław Bierut .Tym samym określała ona Wałęsę ni mniej ni więcej tylko jakokolejnego namiestnika PRL jak i następcę Bieruta . Okazją, by zmienić ten stan rzeczy, nawetjeszcze tego dnia, stało się uroczyste przekazanie insygnif3w władzy Prezydenckiej przezdotychczasowego Prezydenta R.P. Ryszarda Kaczorowskiego.Mimo,że owe przekazanie insygnif3w najwyższej polskiej władzy, oznaczało ( wświetle art. 21 Konstytucji R.P. )zrzeczenie się urzędu Prezydenta R.P. przez R.Kaczorowskiego. Nie nastąpiło jednak objęcie tej funkcji przez prezydenta PRL, L Wałęsę,choć w tej sytuacji było ono formalnie możliwe do realizacji. Otf3ż koniecznym warunkiemobjęcia urzędu Prezydenta R.P. jest złożenie przez elekta przysięgi ( art. 19 Konstytucji R.P.),, Świadom odpowiedzia lności wobec Boga i historii za losy Państwa, przysięgam Panu BoguWszechmogącemu, w Trf3jcy Świętej Jedynemu, na urzędzie Prezydenta Rzeczypospolitej :praw zwierzchniczych Państwa bronić, jego godności strzec, ustawę konstytucyjną stosować,względem wszystkich obywateli rf3wną kierować się sprawiedliwością, zło iniebezpieczeństwo od Państwa odwracać ,a troskę o jego dobro za naczelny poczytywać sobieobowiązek. Tak mi dopomf3ż Bf3g i Święta Jego Męka. Amen.” ( Na marginesie: przezustalenie w art. 19-tym treści przysięgi wg formuły religijnej, zawierającej dogmatycznepojęcia chrześcijańskie ( Trf3jca Święta i Męka Syna Bożego) Konstytucja m.in. wyłącza odpiastowania prezydentury niechrześcijan i ateistf3w!’’842- – a tym samym przedstawicieli owejobcej mniejszości ktf3ra za sprawą zdrady kraju i obcego najazdu rządzi Polską od 1944r.Jest jeszcze druga czesć tego autora "Grabierzcy tożsamosci" ale niestety w III RP niedostępna(cenzura wg ustawy o ochronie praw autorskich), co osobiscie mnie juz niedziwi.
ÎÂÖÝĘĐwow goldžÖšŮˇ˝ÍřŐž,wow gold×ŰşĎ×ĘŃśÍřŐž,wow goldĎß¡šŮˇ˝ÍĆźöĄ˘ĆóŇľ×Ôźö,wow goldˇ¨šć6787671@WOWGOLDS.COM
wow goldšŮˇ˝ÍřŐžŁŹşŹwow goldĐÂÎĹĄ˘źŮČŐwow goldÔ¤ą¨Ą˘wow goldŐţ˛ßˇ¨šćĄ˘ÍřÉĎwow gold°ěšŤşÍÓĐšŘwow goldÍłźĆĄŁ6787671@WOWGOLDS.COM
Wiedza mi znana ale w miare ciekawie opisane. A co do ostatniego pytania: hakera moze zlapac tylko inny haker (wiem, powinienem tu uzyc okreslenia cracker ale czesc ludzi tego by wtedy nie zrozumiala).
Kto wie, może używał tora?
Coś mocno "prociscowa" ta książka chyba... A z innej beczki - kolega "hakier" poniżej chyba naczytał się jakichś poważnych artykułów na temat SQL injection. I jak kolego, udało się wylistować wszystkie rekordy z baz danych IDG? Niestety zdołali zapisać twój neostradowy IP i datę "włamu"... Po cichu sugeruję zatem przeprowadzenie jeszcze jednego włamania w celu wyczyszczenia wszystkich logów :D
''or 1=1--
quqi: chyba cos nie kumasz za bardzo , od kiedy adres IP podlega ochronie ?. Każdy może nawet przypadkiem na ciebie trafic. Co to tajne jakies ? Jak se chcesz poklnąć to se proxy użyj .
Co za ironia losu. Piszecie o ochronie a sami ( tzn. IDG ) udostepnia adres IP komentującego!!! bła haha - gdzie tu ochrona!!!!!!!
- Skanery WiFi na platformę Android
- Prawo Moore’a zagrożone?
- Bezpieczeństwo WiFi - bezprzewodowe testy penetracyjne
- Wirtualizacja: obsługa SMB na czterech U
- Prawdziwe powody powstania Microsoft Open Technologies
- MDT 2012: Microsoft aktualizuje Deployment Toolkit
- Open source: zmierzch ery GPL? Nie do końca...
- ROVER - prosty sposób na słabość BGP?
- Zaawansowane stacje Wi-Fi Ruckus Wireless
- Rozstanie z Javą nie będzie proste
Reklama
Huawei celuje w rynek biznesowy
Huawei nieustannie rozwija się jako dostawca infrastruktury dla branży telekomunikacyjnej. W tym roku chiński koncern zamierza umocnić swoją pozycję również na rynku rozwiązań Enterprise.
Polecane
Koniec Windows XP początkiem problemów?
Microsoft oficjalnie potwierdził, że za dwa lata definitywnie zakończy się era Windows XP - systemu operacyjnego,...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...