1 / 23

Útoky provád ě né po Internetu

Department name. www.cz.ibm.com. Útoky provád ě né po Internetu. ISSS 2003. Sofistikovanost útoků vs. znalosti útočníků. Typický síťový útok. Internetoví čmuchalové. Program pro odposlech dat: sniffer Útočníci používají sniffer pro: Analýzu obousměrného síťového provozu

cyndi
Download Presentation

Útoky provád ě né po Internetu

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Department name www.cz.ibm.com Útoky prováděné po Internetu ISSS 2003

  2. Sofistikovanost útoků vs. znalosti útočníků

  3. Typický síťový útok

  4. Internetoví čmuchalové • Program pro odposlech dat: sniffer • Útočníci používají sniffer pro: • Analýzu obousměrného síťového provozu • Získání UserID + Passwd (obvykle telnet, ftp) • Odposlech elektronické pošty • Informace, procházející Internetem, mohou být odposlechnuty v kterémkoli mezilehlém segmentu sítě • Kompromitovaný server může ohrozit systémy v jiných částech sítě

  5. Scan • Metody scanování umožňují: • Zjistit OS a jeho verzi • Zjistit služby, spuštěné na daném serveru • Skrýt identitu (zdrojovou IP adresu) útočníka • Příklad: Nmap • Connect scan – zjištění otevřených portů (služeb) • snadno detekovatelný • Syn scan - neukončený TCP handshake • UDP scan – pomalý • OS fingerprint – identifikace OS • Nmap má databázi cca 200 OS • Znalost OS + verze umožňuje nalézt neošetřená zranitelná místa

  6. IP spoofing • Útočník používá vymyšlenou IP adresu v odchozích paketech • Umožňuje: • Skrýt identitu při provádění DoS útoků • Neoprávněný vstup do systému kontrolovaný IP adresou • HostA kontroluje IP adresu příchozích IP paketů • Jestliže zdrojová adresa patří HostB, je umožňen přístup bez UserID+Passwd (tento logovací mechanismus používají např. služby RLOGIN a RSHELL)

  7. PROC_ONE(A,B,C) RET ADDR C MAIN PROGRAM B A RET ADDR BOGUS CODE X Y PROC_ONE BUFFER Z PROC_TWO Buffer Overflow • Způsobí přetečení interního bufferu a vloží vlastní program • Jednoduché - dostupné programy a podrobné návody

  8. Útoky typu Denial-of-Service – I. • Cílem útočníka je znepřístupnit systém pro oprávněné uživatele • Relativně snadný: • Během posledních let byla popsána řada DoS útoků • Programy pro DoS jsou dostupné na Internetu • Většinu DoS útoků lze provádět anonymně (IP spoofing) • Typy DoS útoků: • Obsazení přenosového pásma • Síťové aplikace: mnoho agentů (DDoS), všesměrové vysílání • Obsazení systémových zdrojů • Zahlcuje zdroje serveru  (SYN flood) • Využití vad v aplikacích • Porušené pakety, aplikační data  buffer overflow • Spoofing směrování/DNS/ARP • Porušení konzistence směrovacích/DNS/ARP tabulek

  9. Útoky typu Denial-of-Service – II. • Ping O‘Death • Ping = ICMP ECHO paket, max. Délka 64k-1 Bytes • Ping O‘Death posílá pakety >64kB (fragmentace, buffer overflow) • Může způsobit pád systému, reboot, nestabilní stavy • Ohroženy: UNIX, MAC, NetWare, tiskárny, směrovače • SYN Flood • Využívá zranitelnosti TCP protokolu – zpracování nových požadavků na spojení je náročné na systémové zdroje • Útočník zaplaví systém požadavky na spojení na různých portech, s neexistující zdrojovou adresou • Napadený systém čeká na navázání spojení (SYN ACK), oprávnění uživatelé se nemohou připojit • Land.C • Založen na bugu v TCP/IP protokolu • Útočník pošle TCP SYN paket se zdrojovou a cílovou adresou napadeného systému; zdrojový a cílový port jsou stejné • Systém je zahlcen posíláním ACK segmentů ve smyčce • Zranitelné jsou různé OS, směrovače, síťová zařízení

  10. Útoky typu Denial-of-Service – III. • Smurf • Útočník pošle ICMP Echo request na broadcast adresu, jako zdrojovou použije adresu napadeného systému • Napadený systém je zaplaven ICMP Echo Reply, dochází k zahlcení sítě • Posílání ICMP Echo request rychlostí 400kb/s na 200 počítačů generuje 80Mb/s odpovědí (ICMP Echo Reply) směrovaných na napadený systém

  11. Distribuovaný DoS - DDoS • Zesílení tradičních DoS útoků • V sítích, ze kterých je veden útok, mohou být instalovány stovky démonů provádějících DoS útok • Jedním útokem lze „zabrat“ stovky Mbps • DDoS sestává z: • Klientský program • Master server • Agenty (zombie) programy

  12. Postup DDoS útoku – 1

  13. Postup DDoS útoku – 2

  14. Postup DDoS útoku – 3

  15. Postup DDoS útoku – 4

  16. Postup DDoS útoku – 5

  17. Červi (Worms) • Nejznámější: • Code Red • Nimda • Způsoby šíření (Nimda): • Klient  klient pomocí e-mailu • Klient  klient pomocí sdílení souborů • Web server  klient pro prohlížení napadených WWW stránek • Klient  Web server aktivním scanováním s využitím zranitelností MS IIS 4.0/5.0 • Klient  Web server aktivním scanováním s využitím zadních vrátek zanechaných červy „Code Red II“ a „sadmin/IIS“

  18. Rychlost šíření Code Red

  19. SANS – Chyby IT profesionálů • Nejhorší chyby IT profesionálů z hlediska bezpečnosti: • Připojení systému k Internetu před dostatečným zabezpečením („doděláme to potom, teď už není čas“). • Připojení testovacích systémů k Internetu s default uživatelskými oprávněními. • Nedostatečná nebo žádná instalace bezpečnostních záplat na známé zranitelnosti systému. • Používání telnetu, ftp a dalších nešifrovaných protokolů pro přístup (management) k serverům, směrovačům, FW apod. • Předávání uživatelských hesel po telefonu bez dostatečné autentizace. • Nedostatečná nebo žádní implementace antivirového SW a IDS. • Nedostatečné bezpečnostní školení koncových uživatelů. • Nedostatečné nebo žádné zálohování. Obnova dat ze zálohy není prověřována. • Na serverech nejsou vypínány nepotřebné služby (ftpd, telnetd,finger,rpc,mail …) • Chybná implementace FW, bezpečnostní politiky na FW, které nezabrání útokům.

  20. SANS – chyby managementu • Nejhorší chyby managementu z hlediska bezpečnosti: • Delegování nedostatečně vyškolených pracovníků pro administraci bezpečnosti. Nedostatečné zdroje (personální, finanční). • Nepochopení bezpečnosti IS jako problému fungování organizace – obvykle je problematika zužována na fyzickou bezpečnost. • Malá podpora kontinuálního udržování potřebné úrovně bezpečnosti – občasná instalace opravných kódů je pokládána za dostatečnou. • Instalace FW je pokládána za všespasitelnou. • Neznalost hodnoty informačních aktiv (málo společností má dokončenu analýzu rizik). Podceňování hodnoty „dobrého jména“ organizace. • „Problémy se časem vyřeší samy.“

  21. Metodika bezpečnosti • Za účelem konzistentního zpracování výsledků a jejich opakovaného použití k posouzení změn v čase používá IBM bezpečnostní metodologii založenou na Britském standardu 7799: "A Code of Practice for Information Security Management”.

  22. Služby IBM v oblasti bezpečnosti

  23. Děkuji za pozornost • Ing. Stanislav Bíža • sbiza@cz.ibm.com • http://www.ibm.com/cz/services/bis/sec.html

More Related