1 / 67

CCNA Exploration Accessing the WAN

CCNA Exploration Accessing the WAN. Тема 4 част 1 Мрежова сигурност. Мрежова сигурност - въведение. Термини 1/2. White hat – човек, който търси пропуски в системите и мрежите и ги докладва на собствениците, за да бъдат отстранени.

niran
Download Presentation

CCNA Exploration Accessing the WAN

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. CCNA Exploration Accessing the WAN Тема 4 част 1Мрежова сигурност PavlinkaRadoyska / Botevgrad / otk_cisco@abv.bg

  2. Мрежова сигурност - въведение Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  3. Термини 1/2 • White hat– човек, който търси пропуски в системите и мрежите и ги докладва на собствениците, за да бъдат отстранени. • Black hat- човек, който търси пропуски в системите и мрежите и ги използва за свои цели, често за обогатяване. • Hacker– експерт програмист, в последствие се е опорочило и описва пак програмен експерт, но с криминални цели. • Cracker– вид Black hat. Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  4. Термини 2/2 • Phreaker – човек, който прониква в телефонната мрежа и я използва за неразрешени цели. Най-често проникват чрез payphone и правят безплатни далечни повиквания. • Spammer - човек, който изпраща голуми обеми e-mail съобщения, с рекламна цел или за да заразят домашните компютри и да ги използват като платформа за препращане на ново голямо количество съобщения. • Phisher – човек, който използва e-mail, огледални сайтове или друг подход, за да извлече важна информация като номера на кредитни карти или пароли. Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  5. Атакуващите – подход 1/2 • Разузнаване. Web-сайта на компанията IP адрес на сървера  анализ на секретния профил на компанията (отпечатък). • Прихващане на цифрови данни. Следи трафика и прихваща версията и номера на порта на FTP сървера, mail сървера, уязвими места на достъп до базата данни... • Получаване на достъп чрез манипулиране на потребители. Разбиват лесни пароли, мамят лековерни потребители... • Повишаване на привилегиите. След като получат базов достъп, използват уменията си за да повишат правата си. Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  6. Атакуващите – подход 2/2 • Прихващане на нови пароли и секрети. Като използват способностите си и имат достъп до вътрешния трафик, си осигуряват достъп до добре пазени ресурси и данни. • Инсталиране на задни входове. Възможност за влизае в системата, без да бъдата засечени – незатворени свободни TCP или UDP потрове. • Използване на компрометираната система. След като са влезли в системата, могат да провеждат атаки към отделни хостове или мрежи. Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  7. Балансиране на мрежите От гледна точка на защитеност, мрежите могат да се определят като: • Отворени • Рестриктивни • Затврени Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  8. Отворени мрежи • Лесни за конфигуриране и администриране • Лесни за достъп от крайни потребители • Низка цена на защитеността Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  9. Рестриктивни мрежи Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  10. Затворени мрежи Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  11. Политики на сигурност Цели • Информира потребители, служители, началници и др. за техните задължения по защита на технологичната и информационна собственост. • Определят механизмите, по които се изпълняват тези изисквания. • Предписват процедура, по която се конфигурират и преглеждат компютърните системи за съответствие с тази политика. Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  12. ISO/IEC 27002 1/2 Формулира 12 основни направления за разработване на стандарти за сигурност и практики за управление на сигурността. • Risk assessment – оценка на риска • Security policy – политика на сигурност • Organization of information security – организация на информационната сигурност • Asset management – управление на имуществото • Human resources security – защита на човешкия ресурс • Physical and environmental security – пространствена и физическа защита Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  13. ISO/IEC 27002 2/2 • Communications and operations management – управление на комуникациите и процесите • Access control – контрол на достъпа • Information systems acquisition, development, and maintenance – придобиване, разработване и управление на информационни системи • Information security incident management – управление на информационната сигурност • Business continuity management – управление на непрекъснат бизнес процес • Compliance - съгласуваност Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  14. 3 основни фактора на мрежовата сигурност • По отношение на мрежовата сигурност се разглеждат 3 основни фактора: • Уязвимост (Vulnerability) – слабости в мрежите и устройствата (рутери, суичове, устройства за защита). • Заплахи (threat) – квалифицирани специалисти, които имат интерес да използват уязвимостите. • Атаки Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  15. Уязвимост 3 направления: • Технологични • Конфигурационни • Политики на сигурност Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  16. Технологични слабости • TCP/IP • HTTP, FTP и ICMP – напълно незащитени • SNMP, SMTP и Syn Flood – носят се от TCP (незащитен) • Операционните системи • Всички ОС имат уязвимости • Документирани са в CERT • Мрежово оборудване • Пароли, автентификации, рутиращи протоколи, защитни стени Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  17. Конфигурационни слабости • Незащитени потребителски акаунти (пренасят се потребителски имена и пароли в незащитен вид) • Слабо защитени пароли за системен достъп • Защити по подразбиране с дупки в сигурността • Неконфигурирането на някои услуги и протоколи носи рискове за сигурността Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  18. Слабости в политиките на сигурност • Недокументирани политики • Политически битки и териториални войни пречат на прилагане на правилни политики • Липса на логически контрол на достъпа • Инсталиране на нов софтуер и хардуер без да се спазват политиките • Липса на план за поведение при бедствие Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  19. Заплахи по отношение на инфраструктурата • Хардуерни – физическо повреждане на сървери, рутери, суичове, кабели или работни станции. • От околната среда – температура, влажност. • Електрически – високо напрежение, волтови дъги, нестабилно напрежение, загуба на захранване. • Технически – лошо свързани електрически кабели, лоши изолации, неправилно свързани куплонзи, неправилно маркиране. Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  20. Мрежови заплахи 1/2 PavlinkaRadoyska / Botevgrad / otk_cisco@abv.bg

  21. Мрежови заплахи 2/2 • Unstructured Threats- Слабо квалифицирани, с използване на готови хакерски програми, дори да не нанесе сериозни вреди, компрометира фирмата, собственик на сайта. • Structured threats - Квалифицирани, мотивирани хакери, сериозни щети, трудни за отстояване. • External threats– от хора или групи извън компанията, най-вече по интернет, варират от аматьорски (unstructured) до експертни (structured). • Internal threats – разрешен достъп чрез акаунт или физически достъп, варират от аматьорски (unstructured) до експертни (structured). PavlinkaRadoyska / Botevgrad / otk_cisco@abv.bg

  22. Social Engineering • Social engineering – не изисква особени познания и умения, базира се на личната уязвмост на хората, реализира се чрез бивши служители, подправени документи. • Phishing – форма на Social engineering, подлъгват хората чрез e-mail или друго да дадат номерата на кредитните си карти или друга важна информация. • Защита – обучаване на потребтелите, администратора – да блокира достъп от подозрителни сайтове и получаване на подозрителни съобщения. Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  23. Типове мрежови атаки • Разузнаване (Reconnaissance) – изучаване на системи, сървери, уязвимости. Обикновено предшества друга атака. • Достъп – стартиране на хакерски скрипт или програма, която използва слабостите на системи и приложения. • Отказ от обслужване (Denial of Service - DoS) – блокират или повреждат мрежи, системи или услуги. Стартират се със скриптове или хасерски умения. Много опасни. • Worms, Viruses, and Trojan Horses Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  24. Разузнаване • Външно: • Интернет заявки за откриване на мрежовия адрес на фирмата (сайта). • Откриване на свободни IP адреси чрез пингване на всички адреси от мрежата на сайта. • Откриване на свободни Port адреси чрез специализирани програми (Nmap или Superscan). • Вътрешни – подслушване • Прихващане на информация от пакетите (потр. имена, пароли, данни). • Крадене – проникване в компютри и крадене на данни. Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  25. Предпазване от подслушване • Използване на суичове, а не хъбове, за да не достигат фреймовете до всички. • Криптиране • Разработване и разпространяване на политики за сигурност. Например SNMP v1 - не криптира събощенията, а SNMP v3 – криптира. Забранява се използването на SNMP v1. Криптиране payload-only, криптират се само данните в TCP или UDP сегмента – рутери и суичове могат да си четат служебната информация, а аднните да са защитени. Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  26. Атакуване на достъпа • Атакуване на паролите • Подслушване (некриптран пренос), Програми с използване на речници или на rainbow table (вариации на възможни пароли). • Брутални (brute-force) – всякакви комбинации от разрешени семволи. • Използване на “надеждни” външни компютри за достъп до защитени среди. • Пренасочване на портове • Междиннна станция (Man-in-the-Middle) Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  27. Пренасочване на портове Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  28. Man-in-the-Middle Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  29. DoS атаки • Ping of Death – ping съобщение с голяма дължина (>65,536) – само при старите ОС • SYN Flood - three-way handshake • E-mail bombs – много съобщения, блокират пощенския сървер • Malicious applets - Java, JavaScript или ActiveX програми. Примери: • SMURF attack • Tribe flood network (TFN) • Stacheldraht • MyDoom Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  30. SMURF attack Много ICMP заявки до мрежов broadcast от името на IP на атакувания рутер. Всички компютри от мрежата отговарят с ICMP пакет. PavlinkaRadoyska / Botevgrad / otk_cisco@abv.bg

  31. Архитектура на DoS атаките Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  32. Зловредни кодове (Malicious Code ) • Червей (worm) – изпълним код, прави си копие върху зарзения компютър, който от своя страна заразява други. • Вирус – код, прикрепен към друга програма, който изпълнява неразрешени функции. • Троянски код – вирус, но написан така, че да изглежда като нещо друго. Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  33. Защити • Антивирусни програми • Защитни стени • Пачове на ОС Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  34. Intrusion Detection and Prevention • Intrusion detection systems (IDS) – контролира за атаки от мрежата и изпраща записи към конзолата (може и на друг компютър) • Intrusion prevention systems (IPS) – предотвратява атаки чрез: • Prevention-Stops • Reaction-Immunizes Технологията може да се прилага на мрежово ниво, на хостово ниво и на двете. Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  35. Устройства и приложения за защита • Threat control– управлява достъпа до мрежата, изолира инфектираните системи, предотвратява проникването и защитава от червеи и вируси. Устройства: • Cisco ASA 5500 Series Adaptive Security Appliances • Integrated Services Routers (ISR) • Network Admission Control • Cisco Security Agent for Desktops • Cisco Intrusion Prevention Systems Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  36. Колелото на сигурността Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  37. Secure - защита • Защита от атаки • Филтриране на трафика • Intrusion prevention systems • Забрана на всички ненужни услуги • Сигурни връзки: • VPN • Дефиниране на нива на надеждност (външните клиенти никога не са достатъчно надеждни) • Автентификация • Политики Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  38. Monitoring - наблюдение • Активни и пасивни методи за определяне на възможностите за защита • Активен– преглед на лог-файловете на всеки хост. • Пасивен - IDS устройство за автоматично прихващане на опити за проникване Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  39. Тестване • Периодично се проверява сигурността • Използват се SATAN, Nessus, Nmap Improvement - Подобрения Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  40. Рутерна сигурност Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  41. Роли • Представя мрежите и определя правилата за достъп до тях • Осигурява достъп до мрежови сегменти и подмрежи Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  42. Рутерите – обект на атаки • Ако конторлират рутера – могат да реализират атаки навътре. • Ако имат достъп до рутеращата таблица – могат да я променят и да прекъснат връзката с някоя мрежа. • Преконфигуриране на филтъра на трафика може да пропусне различни атаки навътре. Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  43. Защита на потребителската мрежа • Физическа сигурност • Чести обновявания на IOS на рутера • Резервни копия на конфигурационния файл и IOS • Забрана на всички неизползвани портове. Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  44. Стъпки за защита на рутера • Управление на сигурността на рутера • Защита на отдалечения администраторски достъп • Запис на действията по рутера • Защита на услугите и интерфейсите на рутера • Защита на рутиращите протоколи • Контролиране и филтриране на мрежовия трафик Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  45. Управление на сигурността на рутера • Осигуряване на физическа сигурност • Криптиране на пароли R1(config)# service password-encryption • Задаване на минимална дължина на паролите R1(config)#security passwords min-lengthдължина • Конфигуриране на пароли R1(config)#enable secret 2-aRv-9y4 Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  46. Защита на отдалечения админ. достъп • Пароли на VTY • Разрешаване само на достъп по един протокол (Telnet или SSH) R1(config)#line vty 0 4 R1(config-line)#no transport input R1(config-line)#transport input [telnet | ssh] • Разрешаване за последния VTY на достъп само от един адрес (на администратора) – AL В случай, че хакер е блокирал останалите VTY сесии, администратора винаги ще има достъп до рутера. Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  47. Защита на отдалечения админ. достъп • Ограничаване на времетраене на сесията след приключване на активността (за да не стои блокирана и без използване) R1(config-line)#exec-timeoutсекунди • Защита от входящи атаки и блокиране на VTY сесии R1(config)#service tcp-keepalives-in Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  48. SSH • Telnet - TCP port 23. • SSH - TCP port 22 Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  49. SSH – конфигуриране • Задължителни • Hostname • Domain name • Asymmetrical keys • Local authentication • Незадължителни • Timeouts • Retries Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  50. Router(config)# hostnamehostname Router(config)# hostname R1 • R1(config)# ip domain-namedomain-name R1(config)# ip domain-name cisco.com • R1(config)# crypto key generate rsa Сиско препоръчва дължина на ключа >1024 Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

More Related