Administrarea reţelelor de calculatoare Elemente de Securitate

Administrarea reţelelor de calculatoare Emil CEBUC conferenţiar Emil.Cebuc@cs.utcluj.ro Catedra de Calculatoare

Cerinţe de Securitate Confidenţialitate Integritate Disponibilitate

Atacuri Pasive Aflarea conţinutului mesajelor (eaves dropping) Prevenit de criptare Analiza traficului Trafic de umplutură Atacurile pasive sunt mai uşor de prevenit decît de detectat

Atacuri active Modifică datele, sau creează fluxuri noi de date Atacurile active sunt mai uşor de detectat decât de prevenit

Tipuri de atacuri active Masquerade Replay Modification of messages Denial of service

The Closed Network

The Network Today

Network Security Models

Tendinţe care afectează securitatea Atacuri din ce în ce mai numeroase Atacuri din ce în ce mai sofisticate Creşte dependenţa de reţea Lipsă de personal calificat Lipsa conştientizării de către utilizatori Lipsa politicilor de securitate Acces Wireless Legislaţie Hackers White Hat Black Hat Attack tools, worms, etc Legislation GLB HIPPA CIPA Privacy Act Litigation Network Insurance against losses Remember, these are why many companies are allocating the money for security initiatives.

Unelte de fabricat atacuri numeroase şi uşor de utilizat

Tipuri de pericole în reţea Există 4 categorii de pericole sau atacuri nestructurate structurate externe interne Internet Internal exploitation Dial-in exploitation External exploitation Compromised host

Patru categorii de atacuri De recunoastere De acces Denial of service attacks Malware

Tipuri specific de atacuri All of the following can be used to compromise your system: Packet sniffers IP weaknesses Password attacks DoS or DDoS Man-in-the-middle attacks Application layer attacks Trust exploitation Port redirection Virus Trojan horse Operator error Worms

Atacuri de recunoaştere Acţiunea de strângere de informaţii despre reţea din surse publice

Reconnaissance Attack Example Sample IP address query Sample domain name query

Contracararea Atacurilor de recunoaştere Nu pot fi evitate în totalitate Se pot genera alarme la acţiuni de tip portscan

Packet Sniffers Host A Host B Router A Router B packet sniffer este un software care permite captura şi analiza pachetelor din reţea, în special cele trimise în clar Protocoale afectate sunt: Telnet FTP SNMP POP Snifferul trebuie să fie în acelaşi domeniu de coliziune

Contracarare Packet Sniffer Host A Host B Router A Router B Posibilităţi de contracarare sniffer: Autentificare Switched infrastructure Criptare sau protocoale sigure: SSH POPS, IMAPS HTTPS SNMPv2c, SNMPv3

IP Spoofing IP spoofing când un hacker din interiorul sau exteriorul reţelei impersonează schimbul de mesaje cu un computer sigur. Două variante de IP spoofing: Utilizarea unei adrese IP dintro gamă de adrese de încredere. Utilizarea unei adrese IP extrne de încredere. IP spoofing este folosit pentru: IP spoofing se limitează la injectarea de date sau comenzi nocive întrun flux de date existent. A hacker changes the routing tables to point to the spoofed IP Schimbarea tabelelor de rutare şi captura traficului.

Contracararea IP Spoofing Atacurile de tip IP spoofing pot fi reduse prin următoarele măsuri: Access control— Controlul accesului la reţea. RFC 2827 filtering— nu se permite ieşirea din reţea a pachetelor cu adresă sursă ce nu fac parte din reţea. Autentificare care nu se bazează doar pe adresa IP Criptare tare, one-time passwords

DoS Attacks

DDoS Attack Example

Contracararea Atac DoS Detectare timpurie la marginea reţelei prin monitorizare Limitarea ratei de trafic

Atacuri de aflare a parolelor metode: Brute-force attacks Dictionary Attacks Trojan horse programs IP spoofing Packet sniffers

Password Attack Example L0phtCrack can take the hashes of passwords and generate the clear text passwords from them. Passwords are computed using two different methods: Dictionary cracking Brute force computation

Contracararea Atacului de parolă Tehnici utile: Nu se recomanda aceiaşi parolă pe mai multe sisteme. Autentificare centralizată Invalidarea conturilor după tentative eşuate succesive. Parole criptografice, one time Parole tari, min 10 caractere, cifre, semne speciale, litere MARI şi mici.

Atacuri Man-in-the-Middle Host A Host B Data in clear text Router A Router B Acces la pachete în tranzit

Contracarare Atac Man-in-the-Middle Vede doar text cifrat IPSec tunnel Host A Host B Router A ISP Router B Numai prin criptare

Atacuri la nivel aplicaţie Caracteristici: Exploatează slăbiciuni ale protocoalelor şi sistemelor de operare Nu pot fi eliminate complet deoarece se descoperă noi vulnerabilităţi

Contracarare atacuri nivel Aplicaţie Măsuri pentru reducerea riscului: Citirea logurilor de aplicaţii. Informarea despre vulnerabilităţi. Patchuri la zi. Utilizarea IDS (Intrusion Detection System).

Exploatarea încrederii

Contracarare Trust Exploitation SystemA User = psmith; Pat Smith SystemB compromised by a hacker User = psmith; Pat Smith Hacker blocked Hacker User = psmith; Pat Smithson

Port Redirection

Virus and Trojan Horses Utilizare software antivirus şi actualizare frecventă

Vulnerabilităţile există la toate nivelele OSI

Sample Firewall Topology

Firewall

Network Integrated Solutions Command Authorization via AAA IOS Firewall Network Integrated Solutions VPN Firewall Intrusion Protection V3PN Security Offerings IPsec PKI CBAC Stateful Inspection IDS SSH SSL ACL AAA NAT MSCHAPv2 L2TP/EAP 802.1X IP Services VoIP MPLS Multicast Application Aware QoS Netflow IP Comp Multiprotocol BGP EIGRP OSPF DHCP/DNS GRE Secure Operating System Foundation Device Access by Privilege Level Authentication per user via AAA Command Authorization via AAA uRPF Activity Logging SNMPv3 HTTPS Secure ARP (Unicast Reverse Path Forward)

PIX Security Appliance Lineup Stateful Inspection Firewall Appliance is Hardened OS IPSec VPN Integrated Intrusion Detection Hot Standby, Stateful Failover Easy VPN Client/Server VoIP Support PIX 535 PIX 525 Connectivity PIX 515E PIX 506E Gigabit Ethernet PIX 501 SOHO ROBO SMB Enterprise Service Provider Performance

Adaptive Security Appliance Lineup

Catalyst Switch Integration Appliance Capabilities Cisco Infrastructure VPN SSL NAM IDS Firewall Security Services Modules IDS Virtual Private Network Firewall © 2002, Cisco Systems, Inc. All rights reserved. Award for VPN3000& IOS VPN Awards for PIX Firewalls Award for Cisco IDS