1 / 41

Hálózat menedzsment

Hálózat menedzsment. Óravázlat Készítette: Toldi Miklós. Célgépek gyengeségeinek kihasználása. Ennél a támadási formánál a támadó megpróbálja az általa megcélzott számítógép biztonsági hibáit, gyenge pontjait felderíteni, hogy azokat később ki tudja használni.

aaron
Download Presentation

Hálózat menedzsment

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Hálózat menedzsment Óravázlat Készítette: Toldi Miklós

  2. Célgépek gyengeségeinek kihasználása Ennél a támadási formánál a támadó megpróbálja az általa megcélzott számítógép biztonsági hibáit, gyenge pontjait felderíteni, hogy azokat később ki tudja használni.

  3. Célgépek gyengeségeinek kihasználására épülő támadás fajtái • Nyitott portok keresése (kapupásztázás, portscan) • Sebezhetőség keresés • A levelező szerver támadása • Támadás puffer túlcsrodulás (buffer overflow) előidézésével • Webszerveren futatott dinamikus tartalom támadása

  4. Nyitott portok keresése (kapupásztázás, portscan) Ebben az esetben a támadó valamilyen módszer segítségével végignézi a rendelkezésre álló portok tartományát, majd összegzi, hogy melyik port válaszolt, vagyis volt nyitva.

  5. A portscan fajtái – I. • Teljes scan • Félig nyitott scan • FIN scan • UDP „Unreachable port” scan

  6. A portscan fajtái – II. A teljes scan alkalmazásánál egy normális TCP kapcsolat kerül kiépítésre, majd lebontásra. Mivel ez legtöbb rendszerben naplózásra kerül, így ez nagyon ritkán használt mód.

  7. A portscan fajtái – III. A félig nyitott scan esetében már nem épül ki teljes TCP kapcsolat. A támadó SYN csomagot küld a célgép egy adott portjára. Ha a port nyitva van, SYN – ACK lesz a válasz, ha nincs, akkor RST. A támadó, ha SYN – ACK csomag érkezik vissza, akkor RST –vel bontja a kapcsolatot. Ennek a támadási formának az az előnye, hogy a régebbi operációs rendszerek nem észlelik, csak az újabbak.

  8. A portscan fajtái – IV. FIN scanról akkor beszélünk, ha a támadó a célgép egy adott portjára FIN csomagot küld. Erre a zárt portok RST csomagot küldenek válaszul, míg a nyitott portok nem válaszolnak.

  9. A portscan fajtái – V. UDP „Unreachable port” scan: az UDP portok pásztázása nem egyszerű dolog, mert ezek természetükből következően, nem küldenek választ a kapcsolat létrejöttekor. Ha egy zárt UDP portra küldenek csomagot, akkor az ICMP_UNREACHABLE_PORT csomagot küld vissza. Így meg lehet különböztetni egy nyitott UDP portot a zárttól.

  10. Sebezhetőség keresés A portscan továbbfejlesztett változata a sebezhetőség keresés, amikor a nyitott kapuk keresése után, a támadó megpróbálja megtudni, hogy a nyitott portokhoz milyen verziójú alkalmazás tartozik. Ha a detektált alkalmazásnak van valamilyen ismert hibája ,akkor máris meg van a módszer, hogy milyen módon lehet a célgépbe betörni.

  11. A levelező szerver támadása – I. A legtöbb kiszolgáló tartalmaz valamiféle levél továbbító (Mail Transfer Agent, MTA) szervert. Egyes régebbi MTA-k alapértelmezett opciókkal történő telepítése vagy a helytelen beállítások a levelező szerver egyfajta nyitott működését tette lehetővé. Az ilyen szerverek bármilyen feladótól elfogadták az e-maileket, és továbbküldték azokat, még akkor is, ha a levélben szereplő feladó, vagy címzett nem az adott MTA által kiszolgált tartományba tartozik.

  12. A levelező szerver támadása – II. Ezt a működési módot open relay –nek (nyitott továbbításnak) nevezzük. Az ilyen módon működő MTA –k a spammerek fő célpontjai, mert ezeknek a segítségével küldik szét spamek millióit. Az interneten több nyilvántartás is létezik, amelyek az open relay gépeket tartják számon. Az ilyen listákon szereplő gépektől meglehetősen sok szerver SEMMILYEN levelet nem fogad el.

  13. Támadás puffer túlcsordulás (buffer overflow) előidézésével Ez a támadások nagyon gyakori formája. A támadó a kiszolgáló programnak egy olyan adatot küld, amely nem a várható nagyságú, hanem attól jóval nagyobb. Ha program nem ellenőrzi a bejövő adatok helyességét (input validation), akkor megtörténhet, hogy ennek az adatnak a tárolására szolgáló lefoglalt memória terület betelik, és az új érték olyan memória területet ír felül, amelyen más változók vannak tárolva. Ezzel a módszerrel a támadó a program normális futását megakadályozza, és különböző nem várt műveletekre ad módot.

  14. A puffer túlcsordulás által előidézhető problémák • Kiszolgáló „lefagyasztása” • Önkényes kódfuttatás • Jogosultsági szint emelés

  15. A puffer túlcsordulás fajtái • Lokálisan kihasználható • Távolról kihasználható

  16. Webszerveren futatott dinamikus tartalom támadása Manapság már minden weboldal tartalmaz valamilyen dinamikus, szerveroldali programot, amely segítségével a statikus weboldalak érdekesebbé, izgalmasabbá tehetők. Sokan saját programokat írnak, sokan kész, mások által megírt tartalomkezelő rendszert (Content Management System, CMS) használnak, amelyekbe sok funkció készen be van építve, néhány egyszerű beállítás megtételével máris lehet használni. Sajnos, ezekbe a programokba is csúszhat hiba, és hibás webszerver és PHP beállítások mellett ezek kihasználhatóvá válnak.

  17. Védekezés a célgépek gyengeségeinek kihasználására épülő támadás ellen • Használjunk tűzfalat • Frissítsük az operációs rendszerünket • Elemezzük a logjainkat • Teszteljük le a levelező rendszerünket, és figyeljük a különböző tiltó listákat • Frissítsük a feltelepített CMS rendszerünket • Alaposan teszteljük le a saját fejlesztésű scripteket

  18. Hálózatok gyengeségeinek kihasználása A hálózatok működése, felépítése is rengeteg lehetőséget ad a támadók számára, amellyel lehallgathatják a hálózatba kötött gépek közti kommunikációt.

  19. Hálózatok gyengeségeinek kihasználására épülő támadás fajtái – I. • Áthallás • ARP tábla megmérgezése • Forrás vezérelt útválasztás • Kapcsolat eltérítése (session hijacking) • Hosztok közti bizalmi viszony kihasználása • Útválasztók (routerek) elleni támadások

  20. Hálózatok gyengeségeinek kihasználására épülő támadásfajtái – II. • Útválasztó protokollok gyengeségeinek támadása • VPN (Virtual Private Network, Virtuális magánhálózat) támadása • Titkosított kommunikációs protokollok támadása • Hitelesítési eljárások támadása

  21. Áthallás Azt az állapotot nevezzük így, amikor egy hálózathoz kapcsolódó gép képes a többi, hálózatba kapcsolt gép által forgalmazott csomagokat figyelni (lehallgatni). Ez az állapot olyan hálózatokban léphet fel, ahol a kapcsolódó kliensek nincsenek szétosztva különböző szegmensekre.

  22. ARP tábla megmérgezése Az ARP protokoll használatánál az alkalmazott adatokat minden gép maga tárolja egy, a memóriájában lévő táblában. Ezt a táblát nevezzük ARP táblának. Bizonyos feltételek mellett a támadó képes módosítani ezeket az adatokat, és ezután a megtámadott gép nem az valódi, az IP címet eredetileg birtokló géppel fog kommunikálni, hanem a támadóval, aki ezt a kommunikációt így lehallgathatja.

  23. Forrás vezérelt útválasztás Az elküldött IP csomag opciók része, tartalmazhat arra vonatkozó adatot, hogy milyen útvonalon (állomásokon) keresztül kell visszatérnie a küldőjéhez. Ha ebbe a listába a támadó belehelyez egy olyan gépet, amelynek a forgalmát le tudja hallgatni, akkor máris hozzájuthat bizalmas adatokhoz.

  24. Kapcsolat eltérítése (session hijacking) – I. Kapcsolat eltérítésének azt a támadási formát nevezzük, amikor a támadó két gép közt kiépült, aktív kapcsolatot kívánja átvenni, vagy pedig egy másik IP címmel rendelkező gép nevében létesít kapcsolatot. Ebben az esetben a támadó az egyébként meglehetősen hatékony kezdő sorszám és nyugtasorszám rendszert cselezi ki.

  25. Kapcsolat eltérítése (session hijacking) – II. A kapcsolat eltérítésének kettő formája van: - Ha a támadó megkapja a támadott gép válaszát, normál kapcsolat eltérítésről beszélünk. - Ha a támadó nem jut hozzá a megtámadott gép válaszához, akkor vakon végzett kapcsolat eltérítésről van szó.

  26. Kapcsolat eltérítése (session hijacking) – III. A vakon végzett kapcsolat eltérítés a következő módon történik. • A támadó mintát vesz az A és B gép TCP/IP kommunikációjából, hogy meg tudja határozni a következő kapcsolat kezdő sorszámát (Initial Sequence Number, ISN) • A támadó az A gép ellen DOS támadást indít, majd az A gép IP címével hamisított SYN csomagot küld a B gépnek. • A B gép az A címére SYN_ACK csomagot küld, amely tartalmazza a saját ISN –ét. Az A gép a leterheltsége miatt nem tud erre egy, a kapcsolatot lezáró RST csomagot küldeni. • A támadó ekkor a kitalált ISN –nel ellátott ACK csomagot küld, de ez a csomag már tartalmaz adatot is. • A B célgép befejezi a kapcsolat kiépítését, és a csomagban küldött adatot elfogadja.

  27. Kapcsolat eltérítése (session hijacking) – IV. A normál módon végzett kapcsolat eltérítésnek pedig az alábbi a menete. • A támadó valamilyen hamis forrás IP címmel ellátott csomagot küld a megtámadott gép felé. • A megtámadott gép válaszát elfogja, és az abból megszerzett ISN –el küldi a szükséges nyugtázást, és ebbe a csomagba már adat is kerül. • A megtámadott gép befejezi a kapcsolat kiépítését, és a csomagban küldött adatot elfogadja.

  28. Hosztok közti bizalmi viszony kihasználása A bizalmi viszony azt jelenti, hogy az ilyen viszonyban lévő két gép elfogadja a másik által hitelesített felhasználókat, és azokat bármilyen (!) ellenőrzés nélkül engedi bejelentkezni, akár még az adminisztrator (root) felhasználót is. Ez a megoldás, bár alapvetően kényelmi célokat szolgál, nagyon súlyos biztonsági hiba. Két bizalmi viszonyban lévő gép közül a támadó bármelyikre be tud hatolni, akkor könnyedén át tud jutni a másikra is.

  29. Útválasztók (routerek) elleni támadások – I. Az útválasztók a hálózatok legfontosabb elemei, főképp, ha az Internetet nézzük. az útválasztók elláthassák, maguk is egyfajta számítógépként működnek. Van saját operációs rendszerük (Unix vagy Linux alapú, Cisco routerek esetén pedig IOS), van kezelő felületük, tehát meglehetősen komplex eszközök.

  30. Útválasztók (routerek) elleni támadások – II. Ezen tulajdonságai, és fontossága meglehetősen hamar felkeltette a támadók érdeklődését, mert rájöttek, hogy ha egy útválasztóra be tudnak jutni, akkor annak a hálózatnak működése, amit a támadott router vezérelt, bizonyosan bénítható. Másik felismerés a támadók részéről pedig az volt az útválasztók ellen ugyanúgy alkalmazható jó pár támadási forma (pl. megszemélyesítés, DOS), mint a hálózatok, vagy kiszolgálók ellen.

  31. Útválasztó protokollok gyengeségeinek támadása Miután a hálózatba kapcsolt minden gépnek szüksége van útválasztó (routing) információra, különösen akkor, ha a hálózat felépítésében valamilyen változás állt be. Ilyenkor a gépek ICMP üzenetekkel, az útválasztók külső vagy belső routing protokollok segítségével tájékozódnak. Ha ezekben a routing protokollokban van valamilyen kihasználható hiba, azzal meg lehet bénítani egy hálózatot, vagy man in the middle támadást lehet végrehajtani.

  32. VPN (Virtual Private Network, Virtuális magánhálózat) támadása A mai támadásokkal terhelt világban fontos biztonsági elem a VPN használata. Sajnos azonban volt már rá példa, hogy a VPN –t megvalósító szoftverekbe valamilyen hiba csúszott, amelynek segítségével a támadó dekódolhatta, és lehallgathatta a titkosított hálózatot is.

  33. Titkosított kommunikációs protokollok támadása Minden biztonságos kommunikáció alapja az aszimmetrikus kulcsú titkosítás. Természetesen ebben is találtak már olyan hibákat (kulcsok generálása, kulcsok kezelése illetve a titkosított kapcsolat kiépítése során), amelyek lehetővé tették a támadó számára érzékeny adatok lehallgatását.

  34. Hitelesítési eljárások támadása –I. A hálózaton történő bejelentkezéskor a legritkább esetben kerül továbbításra a jelszó. Az általánosan alkalmazott elv az, hogy a jelszónak csak egy, csak egyirányú titkosítást lehetővé tévő eljárással készített lenyomata (hash) kerül átadásra. A szerver, ugyanezzel az eljárással szintén képez egy hash-t, és ez a kettő kerül összehasonlításra.

  35. Hitelesítési eljárások támadása –II. Azonban ha, a generáló eljárás nem jó, a lenyomatból a támadó a valódi jelszó egyes részeire következtethet, és ez a szótár alapú megszemélyesítési támadásokban erősen növeli a támadás sikerét.

  36. Védekezés a hálózatok gyengeségeinek kihasználására épülő támadás ellen • A hálózatot úgy kell tervezni, hogy az szegmensekre legyen bontva. • Lehetőségek szerint mindig valamilyen titkosított átvitelt használjunk. • Mind az operációs rendszer, mind a titkosítást végző szoftverek legyenek gyakran frissítve.

  37. Felhasználói támadások A számítógépes hálózatokban a legtöbb támadást nem kívülről jön, ahogy várnánk, hanem belülről, éppen a védeni kívánt felhasználóktól. Persze, ez csak akkor igaz, ha a felhasználó nincs tisztában, hogy melyik korlátozó utasítás mire szolgál, és ha nincs kioktatva a lehetséges veszélyforrásokról, legalábbis alapszinten. Ha ez nem történik meg, akkor a felhasználók egy része elképesztő leleményességgel egyéni akciókat indít, hogy az általa kívánt helyzetet elérje. Az ilyen támadási formák a már megismert támadások kombinációja szokott lenni, de a leggyakoribb változat a megszemélyesítéses támadás.

  38. Védekezés a felhasználói támadások ellen • Problémás viselkedés szankcionálása • Oktatás

  39. Frissítések, javítások támadása – I. Egy operációs rendszerről, vagy egy programról élettartamuk alatt, sokszor kiderül, hogy hibásak, és ez által valamiféle módon támadhatóak. A nyílt forráskódú rendszerek esetén pedig ez szinte kötelező érvénnyel megtörténik, hiszen a megjelent rendszert alkotó programok kódját sokan vizsgálják, elemzik, és így elég gyorsan kiderül ha valamelyik programmal probléma van.

  40. Frissítések, javítások támadása – II. A frissítések, javítások támadásának kirívó változata a „magára hagyott gép” esete. Sokszor történik olyan, hogy ha egy kiszolgáló működik beállítása után, akkor nem nyúlnak hozzá, nem frissítik, hiszen a gépnek semmi baja, szépen működik. Ha ez az állapot sokáig (pl. évekig) fennáll, akkor az adott kiszolgálón futó operációs rendszerének nagyon sok, ismert és kihasználható hibája lesz. Ha egy támadó egy ilyen gépet talál, az számára ajándék, hiszen könnyedén behatolhat rá.

  41. Védekezés a frissítések, javítások támadása ellen • Legyen beállítva az automatikus frissítés, ott, ahol az lehetséges • Nagyobb géppark esetén állítsunk be egy update servert.

More Related