Obrana sítě - základní principy 6.6.2016
Martin Pustka
[email protected] VŠB-TU Ostrava
Agenda Základní úvod, přehled designu sítí, technických prostředků a možností zabezpečení.
Zaměřeno na nejčastější rizika a útoky, a zejména na možnosti obrany v menších počítačových sítích.
Je vhodná základní znalost principů IP sítí, správy serverů a koncových zařízení (PC, tiskárny atd.).
Základní oblasti ● síť, její design a provozovaná zařízení musí umožnit aplikaci bezpečnostních pravidel ● filtrace provozu ● zabezpečení koncových prvků sítě (stanice, tiskárny) ● zabezpečení prvků sítě ● monitoring
Počítačová síť a její design ● síť, její design a provozovaná zařízení musí umožnit aplikaci bezpečnostních pravidel ● možnost snadného rozšíření ● nejen bezpečnost, ale i funkčnost ● ochrana proti rizikům z Internetu, ale i z vnitřní sítě
Technická zařízení ● je vhodné pořizovat směrovače, přepínače s možností vzdálené správy a podporou VLAN ● vhodné
typy,
které
jsou
kompatibilní
alespoň
v
základních funkcionalitách (SPT, vlany, DHCP snooping, ARPi) ● WiFi AP ○ centralizovaná, cloudová a samostatná AP
Typický základní design sítě
Typické základní rozdělení sítě
Segmentace sítě ● cílem je rozdělit síť do samostatných celků ● dělení podle geografické lokality, funkce nebo typu uživatelů ● využívání virtuálních LAN (VLAN) ● mezi segmenty sítě lze aplikovat filtrační pravidla
Typy sítí ● připojení k Internetu ● propojovací mezi směrovači ● veřejné serverové sítě s veřejnými adresami ● interní serverové sítě s privátními adresami ● interní správa síťových prvků ● WiFi sítě ● sítě s PC, tiskárnami ● speciální účely (kotelny, řídicí systémy budov atd.)
Připojení k Internetu ●
připojení zajišťuje směrovač
●
filtrace provozu z/do Internetu
●
rizika a typy útoků: ○
přístup do vnitřní sítě (např. přes VPN)
○
přístup k serverovým službám (krádež dat, zneužití identit, rozesílání spamu, zneužití pro další napadání, přístup do vnitřní sítě)
●
nejčastěji zneužívané chyby ○
povolený administrátorský přístup k hraničním prvků z Internetu
○
SNMP přístup
○
zneužití chyby SW směrovače (zakázat vzdálený mgmt)
○
u VPN zneužití zcizené identity (hesla a certifikáty)
Interní páteřní počítačová síť ●
interní infrastruktura počítačové sítě
●
dynamické směrovací protokoly
●
propojovací sítě oddělené od koncových sítí !!! ○
eliminace rizika napadení síťové infrastruktury (např. směrovací protokoly)
○
lepší aplikace bezpečnostních filtrů - jiné jsou pro koncové sítě a jiné pro síťové propoje
LAN Security ●
cílem bezpečnostních technik je zajistit přístup do sítě pouze autorizovaným osobám ○
802.1x
-
přepínače
mohou
ověřovat
uživatele
stejně
jako
v
bezdrátových sítích ●
další bezpečnostní mechanismy mají zajistit bezpečnost již připojených systémů a stanic ○
DHCP snooping zajišťuje kontrolu nad DHCP komunikací
○
ARP inspection zajišťuje kontrolu nad ARP komunikací
○
Source guard zajišťuje kontrolu na IP pakety
○
RA guard pro IPv6 - kontrola RA provozu v LAN síti
○
uRPF - zajišťuje kontrolu zdrojových adres paketů posílaných do sítě
Serverové systémy a sítě ●
Windows a Linux servery
●
specializovaná zařízení (např. NAS)
●
videokonferenční jednotky, telefonní ústředny
●
rizika a typy útoků: ○
přístup do vnitřní sítě
○
přístup k serverovým službám (krádež dat, zneužití identit, rozesílání spamu, zneužití pro další napadání, přístup do vnitřní sítě, využití volání)
●
nejčastěji zneužívané chyby ○
povolený administrátorský přístup k serverům / službám
○
odchycení nešifrované komunikace klient - server
○
zneužití chyby SW
WiFi ●
centralizovaná řešení, samostatná AP, cloudová řešení
●
bezpečnost - WPA2 / AES
●
autentizační RADIUS servery
●
možnosti definovat blacklisty
●
typy WiFi sítí podle účelu: uživatelské, návštěvnické, specializované
●
rizika a typy útoků:
●
○
přístup do vnitřní sítě
○
přímý přístup ke komunikaci WiFi zařízení
○
Man-in-the-middle útoky (vydávání se za směrovač, falešný DHCP server, …)
nejčastěji zneužívané chyby ○
chyby administrátorského rozhraní
○
SNMP
○
otevřené sítě
Koncové uživatelské sítě ●
stanice uživatelů
●
obvykle přístup k Internetu, k interním službám sítě
●
rizika a typy útoků: ○
přístup do vnitřní sítě
○
přístup k serverovým službám (krádež dat, zneužití identit, rozesílání spamu, zneužití pro další napadání, přístup do vnitřní sítě)
○ ●
viry, instalace botnet klientů
nejčastěji zneužívané chyby ○
nenastavená hesla, SNMP komunity
○
neaktualizované systémy
○
posílání dat/virů uživatelům
○
absence antivirů
Speciální sítě ● Rizika ○ přístup k technologickým sítím ○ přístup k systémům řízení ○ tyto systémy často neudržují IT pracovníci a jsou málokdy aktualizována (když to běží…) ● Postupy ○ je potřeba více hlídat přístupy k fyzické infrastruktuře ○ aplikovat filtry, jemnější segmentace sítě
Aktualizace ● všechna zařízení obsahují SW ● v SW jsou chyby - vždy ! ● aktualizace mají odstraňovat zranitelnosti systémů a aplikací ● firewall omezuje přístup ke službám, pokud ale obsahuje služba chybu, tak ani firewall nepomůže ● pokud nelze aktualizovat, tak hlídat o to více přístupy ke službě
Závěr
Dotazy?