Učební texty Datové sítě VI Bezpečnost počítačových sítí

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402

Učební texty

Datové sítě VI Bezpečnost počítačových sítí Vypracovala: Jana Bakalová CZ.1.07/2.1.00/32.0045

ICT moderně a prakticky

1


Obsah Výukové cíle ............................................................................................................................................ 6 Předpokládané vstupní znalosti a dovednosti ........................................................................................... 6 1. Úvod..................................................................................................................................................... 7 1.1

Vývoj PC bezpečnosti ............................................................................................................... 7

1.1

Zdroje útoků .............................................................................................................................. 7

2. Bezpečnostní hrozby ............................................................................................................................ 8 2.1

Průzkum sítě .............................................................................................................................. 8

2.2

Hromadný ping.......................................................................................................................... 8

2.3

Odchytávání paketů ................................................................................................................... 9

2.4

Skenování portů......................................................................................................................... 9

2.5

Internetové informace ............................................................................................................... 9

2.6

Získání přístupu ......................................................................................................................... 9

2.6.1

Lámání hesel .................................................................................................................... 10

2.6.2

Známé programy pro lámání hesel .................................................................................. 10

2.7

Využití důvěryhodnosti ........................................................................................................... 11

2.7.1

Man In the Middle (MITM) ............................................................................................. 11

2.7.2

DHCP spoofing ................................................................................................................ 12

2.7.3

ARP spoofing ................................................................................................................... 12

2.8

Přetečení zásobníku ................................................................................................................. 12

2.9

Exploit ..................................................................................................................................... 12

2.10

Phishing ............................................................................................................................... 12

2.11

Pharming .............................................................................................................................. 12

2.12

Útoky na webové aplikace ................................................................................................... 13

2.12.1 Cross Site Scripting (XSS)............................................................................................... 13 2.13

SQL Injection ...................................................................................................................... 13

2.14

Denial of service (DoS) ....................................................................................................... 14

2.14.1 Vyčerpání prostředků ....................................................................................................... 14 2.14.2 IP spoofing ....................................................................................................................... 14 2.15

Útoky pomocí ICMP zpráv.................................................................................................. 14

2.15.1 Ping of Death (Ping smrti) ............................................................................................... 14 2.15.2 Smurf Attack (Šmoulí útok)............................................................................................. 15 2.15.3 Ping flooding .................................................................................................................... 15 CZ.1.07/2.1.00/32.0045


2

2.16

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 TCP SYN Flood................................................................................................................... 15

2.17

DDoS ................................................................................................................................... 15

2.18

Nebezpečné programy ......................................................................................................... 15

2.18.1 Viry .................................................................................................................................. 15 2.18.2 Červy ................................................................................................................................ 15 2.18.3 Trojské koně..................................................................................................................... 16 3. Zabezpečovací prvky a principy ........................................................................................................ 17 3.1

Administrativní přístup ........................................................................................................... 17

3.2

Hraniční směrovač – Edge router ............................................................................................ 17

3.2.1

Single Router přístup ....................................................................................................... 17

3.2.2

Defense-in-Depth přístup ................................................................................................. 18

3.2.3

DMZ přístup..................................................................................................................... 18

4. Autentizace, autorizace a přístup ....................................................................................................... 19 4.1

Autentizace.............................................................................................................................. 20

4.2

Autorizace ............................................................................................................................... 21

4.3

Acounting – Přístup ................................................................................................................. 22

5. Serverově orientovaná autentizace, autorizace, přístup ..................................................................... 22 5.1

Protokol RADIUS ................................................................................................................... 24

5.2

Protokol TACACS+ ................................................................................................................ 24

6. Protokol NTP ..................................................................................................................................... 25 6.1

Stratum .................................................................................................................................... 25

6.2

Centrální server ....................................................................................................................... 25

6.2.1

Zařízení v roli klienta ....................................................................................................... 25

6.2.2

Zařízení v roli serveru ...................................................................................................... 25

6.2.3

Plochý model ................................................................................................................... 26

6.2.4

Hierarchický model .......................................................................................................... 26

6.3

Filtrování komunikace NTP .................................................................................................... 27

6.4

NTP autentizace ...................................................................................................................... 28

7. Logování ............................................................................................................................................ 28 7.1

Konfigurace rozšířené bezpečnosti pro vzdálený přístup ....................................................... 28

8. Firewall .............................................................................................................................................. 30 8.1

Access Control List (ACL) ..................................................................................................... 31

8.1.1 8.1.1.1

Typy ACL ........................................................................................................................ 32 Router ACL .................................................................................................................. 32

CZ.1.07/2.1.00/32.0045


3

8.1.1.2

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Reflexivní ACL ............................................................................................................ 34

8.1.1.3

Dynamické ACL .......................................................................................................... 35

8.1.1.4

Časové ACL ................................................................................................................. 37

8.2

Zabezpečení pomocí Firewallu ............................................................................................... 38

8.2.1

Filtrování paketů .............................................................................................................. 38

8.2.2

Statefull firewall............................................................................................................... 38

8.2.3

Proxy firewall - Aplikační brána...................................................................................... 39

8.2.4

Překlad adres .................................................................................................................... 40

8.2.5

Další typy firewallů.......................................................................................................... 40

8.3

Nasazení Firewallu .................................................................................................................. 40

8.3.1

Demilitarizovaná zóna - DMZ ......................................................................................... 41

8.3.2

Vrstvená obrana ............................................................................................................... 41

8.3.3

Řízení přístupu na základě obsahu - CBAC .................................................................... 43

8.3.4

Řízení přístupu podle oblastí (Zone-Based) .................................................................... 44

9. Detekce a prevence útoků .................................................................................................................. 45 9.1

Intrusion detection systém (IDS) ............................................................................................ 45

9.2

Intrusion prevention systém (IPS) ........................................................................................... 45

10. Monitoring provozu ......................................................................................................................... 46 10.1

Switched Port Analyzer – SPAN ......................................................................................... 46

11. LAN bezpečnost............................................................................................................................... 52 11.1

Druhy útoků na LAN ........................................................................................................... 52

11.1.1 MAC address spoofing .................................................................................................... 52 11.1.2 MAC address flooding ..................................................................................................... 52 11.1.3 DHCP spoofing ................................................................................................................ 53 11.1.4 VLAN hopping ................................................................................................................ 53 11.1.5 ARP spoofing/poisoning .................................................................................................. 54 11.1.6 STP Manipulation Attacks ............................................................................................... 54 11.1.7 Zabezpečení portů ............................................................................................................ 54 12. VPN (Virtual Private Network) ....................................................................................................... 55 12.1

Site-to-site............................................................................................................................ 55

12.1.1 GRE tunel......................................................................................................................... 55 12.1.2 IPsec Security Protocol .................................................................................................... 56 12.2

Remote-access ..................................................................................................................... 57

12.2.1 Technologie SSL VPN. .................................................................................................... 58 CZ.1.07/2.1.00/32.0045


4

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 12.2.2 Remote IPsec – Cisco Easy VPN..................................................................................... 58 13. Bezdrátová bezpečnost..................................................................................................................... 60 13.1

Základní zabezpečení bezdrátové sítě ................................................................................. 60

13.2

Rozšířené zabezpečení bezdrátové sítě................................................................................ 61

13.3

Wireless LAN Controller (WLC) ........................................................................................ 61

14. Doporučená a použitá literatura ....................................................................................................... 62

CZ.1.07/2.1.00/32.0045


5


Výukové cíle Orientovat se v různých typech útoků, znát metody detekce útoku, možnosti ochrany a prevence:     

Bezpečnostní hrozby Zabezpečovací prvky a principy Autentizace, autorizace a přístup Serverově orientovaná autentizace, autorizace, přístup Protokol NTP, Logování

Umět navrhnout a konfigurovat různé typy bran firewall:   

ACL Dynamické ACL DMZ

Znát metody detekce a prevence útoků - IDS, IPS. Umět používat monitoring provozu – SPAN. Znát principy zabezpečení síti LAN. Umět navrhnout VPN Site-to-site a Remote Access. Znát metody zabezpečení bezdrátových sítí.

Předpokládané vstupní znalosti a dovednosti Úspěšné absolvování kurzu DAS_I až DAS_V. Předpokládá se teoretické znalosti návrhů a fungování LAN – WAN sítí, principů přepínání a směrování. Základní konfigurační dovednosti v nastavení síťových zařízení.

CZ.1.07/2.1.00/32.0045


6


1. Úvod V dnešní době se rychle vyvíjí digitální technologie a dochází k velkým přesunům služeb i informací do světa IT a tím se stává i počítačová bezpečnost nedílnou součástí počítačových sítí. Uživatelé chtějí být „on-line“ a využívat online služby, kde se pracuje se soukromými daty. To už v dnešním světě není dostatečně bezpečné a hodně lidí to podceňuje (nepoučení uživatelé vstupují na sociální sítě a zpřístupňují spoustu zneužitelných informací). Označení síťová bezpečnost zahrnuje zařízení, nástroje, technologie a postupy pro zajištění bezpečnosti dat. Organizace už mají specialisty, kteří se tímto problémem zabývají a snaží se být vždy krok před útočníky. Síťové útoky jsou prováděny za účelem mapovat síťové prostředí, ve snaze získat přístup do systému.

1.1 Vývoj PC bezpečnosti Většinou se specialisté snaží chránit proti útokům z veřejné sítě (Internetu). Problém ale může být i ve vnitřní podnikové síti. Uživatelé LAN mohou napáchat mnohem větší škody, protože mají přímý přístup do vnitřní sítě. Pro zaručení soukromí se začala všechna citlivá komunikace šifrovat. Postupem času byly technologie vyvíjeny tak, aby byla zaručena autenticita, integrita a celistvost přenášených dat. Tabulka s vývojem technologií pro zabezpečení komunikace: Rok 1993

1996

1999

2001 2005 2008

Technologie Cisco GRE tunely (L3 tunel umožňující zapouzdřit velké množství síťových protokolů, postrádá však možnosti zabezpečeného přenosu a autentizace protistran) Site-to-Site IPsec VPN (zabezpečený tunel spojující dvě sítě dohromady; koncové stanice neví o tom, že jejich komunikace prochází přes zabezpečený tunel) SSH (program a zároveň protokol umožňující komunikaci mezi dvěma uzly pro zajištění přístupu k příkazovému řádku, kopírování souborů, popř. k tunelování provozu) Remote-Access IPsec VPN (zabezpečený tunel mezi koncovou stanicí a VPN koncentrátorem, který umožňuje přístup stanici do vzdálené privátní sítě) SSL VPN (populární typ Remote-Access VPN, který využívá protokoly SSL/TSL) Clientless SSL VPN (klient potřebuje pro VPN spojení pouze prohlížeč)

1.1 Zdroje útoků Útoky mohou přicházet nejenom z internetu (externí útoky), ale i z vnitřní sítě (LAN). Vnitřní hrozby, ať už úmyslné nebo náhodné, mohou způsobit ještě větší škody než vnější hrozby z důvodu přímého přístupu a znalosti firemní sítě a dat. Ohrožení pocházející z vnitřní sítě má většinou společný scénář (kromě neznalosti bezpečnostních pravidel), a to nespokojeného zaměstnance s technickými dovednostmi a ochotou dělat škodu.

CZ.1.07/2.1.00/32.0045


7


Obr. 1.1: Externí a interní útoky, zdroj: [1]

2. Bezpečnostní hrozby 2.1 Průzkum sítě Tento typ útoku slouží útočníkovi k neautorizovanému sbírání informací a mapování zařízení, systémů, služeb a potenciálních zranitelných míst v síti. Útočník nejdříve hledá, které IP adresy jsou dostupné a dále jaké jsou otevřené porty. Nakonec na otevřených portech naslouchá, jaké služby jsou využívány a zda jsou služby nějak zranitelné. Tento typ útoku v mnoha případech předchází DoS (Denial of Service) útokům. Pokud je útok veden správně, je těžké ho odhalit. Útočník využívá tyto prostředky pro jeho uskutečnění:    

hromadné použití systémové utility ping odchytávání paketů skenování portů získávání informací zadaných při registraci IP podsítí, zařízení, atd.

2.2 Hromadný ping Abychom co nejjednodušeji zjistili, které počítače jsou v síti aktivní, použijeme hromadné spuštění příkazu ping. Zařízení odpoví na tento dotaz a útočník si může zmapovat případné cíle útoku. Účinnou statickou ochranou je zakázání odpovědi na tento požadavek na firewallu. Poté bude náš počítač vypadat, že je vypnutý. Pokud na firewallu můžeme nastavit akce REJECT a DROP, musíme tyto akce rozlišit. Akce REJECT zajistí zahození paketu, ale pošle zpět útočníkovi ICMP zprávu o nedostupnosti. Proti skenování se používá tedy akce DROP, kdy paket je zahozen a útočník není informován ICMP zprávou.

CZ.1.07/2.1.00/32.0045


8


2.3 Odchytávání paketů

Na odchytávání síťového provozu používáme programy jako je např. Wireshark, Tcpdump nebo Dsniff. Tyto programy používají síťové karty v režimu promiskuity. V tomto režimu posílá karta všechny přijaté pakety pro zpracování aplikaci, tedy včetně těch, které ji nejsou určené. Pokud tedy např. kolegovi právě přichází odpověď na ICQ, přijme ji také vaše síťová karta. Takto lze ale sledovat pouze provoz jen u zařízení, která jsou ve stejné kolizní doméně. Programy:   

Wireshark – nejpopulárnější analyzátor; výborně zpracované grafické rozhraní (lze jednoduše vyhodnocovat nachytaný síťový provoz) Tcpdump – klasický analyzátor; předchůdce programu Wireshark, ale nemá grafické rozhraní (dobré tam, kde GUI nelze použít) Dsniff – výborný penetrační nástroj, který odchytává provoz a na výstup vypisuje nalezená uživatelská jména a hesla v čitelné formě

2.4 Skenování portů Metoda, která zjišťuje otevřené porty na vzdáleném počítači v síti a jejím cílem je zjištění seznamu služeb, které jsou na něm spuštěny. Skenování je možné chápat jako zvýšení bezpečnosti vlastních systémů. Ale z větší části je tato metoda užívána útočníky pro zjišťování slabých míst. Existuje několik metod, jak porty skenovat. Každé má svoje výhody a nevýhody. Nejznámějším programem pro skenování portů je Nmap. Nmap – hodně rozšířený; multiplatformní port skener (podporován velkou komunitou uživatelů a vývojářů); dokáže určit operační systém, jména a verze služeb, typ zařízení a dokáže detekovat firewall

2.5 Internetové informace Útočník může díky těmto informacím získat více informací o tom, kdo server poskytuje, jaký má přidělen rozsah IP adres, jaká je adres a DNS serveru, atd. Utilita, která zprostředkovává tyto informace z veřejné databáze, se jmenuje whois. Whois je dostupná aplikace i přes web, pokud si dáte vyhledat whois ve vyhledavači, můžete zkusit jakoukoliv doménu.

2.6 Získání přístupu Útočníci napadají zařízení ze tří důvodů:    

získání citlivých dat získání přístupu eskalování práv převzetí kontroly nad systémem

Nejčastější metodou, jak získat přístup, je útok na heslo. Získání přístupového hesla může být prováděno několika způsoby (nejznámější):   

hrubá síla trojské koně odchytnutí hesla v nezabezpečené podobě

CZ.1.07/2.1.00/32.0045


9

2.6.1 Lámání hesel


Prolamování hesel je nutné rozdělit na dvě situace – pokusy o prolomení hesla vzdáleného systému nebo lámání získaného hash otisku (Hash funkce je transformace, která jako vstup přijímá řetězec znaků o libovolné délce a výsledkem je pak řetězec znaků s pevnou délkou.). Lámání přístupového hesla V tomto případě útočník je omezen rychlostí interakce vzdáleného systému a případnými bezpečnostními politikami, které systém umožňuje pro znemožnění útoků hrubou silou. Systémy je možné ochránit před útoky např. většími intervaly mezi chybně vloženými hesly nebo dočasným zamknutím účtu. Pokud systémy takovou ochranu nemají, jsou vystaveny velkému nebezpečí. Útočník by měl znát i uživatelské jméno, pro které heslo zjišťuje. Útočník nemá počáteční znalost o uživateli (např. používá heslo, které má 5 číslic), a proto zkouší „slovníkový útok“. U tohoto typu útoku útočník zkouší postupně slova (ze slovníku slov) nebo nejpoužívanější hesla. Pokud uživatel zná počet znaků v heslu, tak zkouší všechny možné kombinace znaků. Tato metoda je výrazně náročnější a při výběru silného hesla je tato metoda až nepoužitelná. Silné heslo by mělo být dlouhé (nejméně 8 znaků) a znaky v heslu by měly být náhodné. Při použití hesla podle data narození nebo jména je jednoduché ho zjistit. Lámání lokálně uložených hash otisků Pokud se útočníkovi povede úspěšně provést SQL injection nebo při úspěšném napadení databáze, může získat zašifrovaná hesla dalších uživatelů. Nyní už má útočník možnost zlomit heslo daleko rychleji, protože ho nelimitují žádná bezpečnostní opatření. Hesla bývají uložena většinou v podobě hash otisku (jednosměrná funkce, která produkuje řetězec definované délky). Dnes je stále nejrozšířenější hashovací funkce MD5, i když v roce 2004 byla tato bezpečnost zpochybněna. Nyní je i spousta internetových stránek, na kterých jsou kalkulačky, které umí spočítat původní řetězec, na kterém byla použita funkce MD5. Pro rychlejší lámání hesel se používají předpočítané tabulky. Tyto data z tabulek šetří prostředky a čas při hledání původního řetězce. Jednotlivé tabulky se liší podle hash funkce, podle maximální délky řetězce a podle množiny znaků. Jejich velikost se pohybuje v řádech 10 – 100 GB a jsou volně ke stažení. Další zrychlení prolomení hash funkce přináší metoda, kdy výpočet provádí grafické karty a ne samotný procesor. Zároveň při použití přepočítaných tabulek je možné heslo prolomit během několika minut. Na zvýšení bezpečnosti proti slovníkovým útokům a předpočítaným tabulkám se k hashovanému heslu přidá ještě další kus textu.

2.6.2 Známé programy pro lámání hesel 





Cain a Abel – je software, který je dostupný pouze pro prostředí Windows. Díky něho je možné lámat hesla ze síťové komunikace. Umí používat slovníkový útok a dokáže zaznamenat VoIP komunikaci či směrovací protokoly. John the Ripper – je dostupný na široké škále platforem. Jeho primárním účel je odhalování slabých Unixových hesel. Umožňuje rychlé vyhledávání hesel. Podporuje velké množství hash funkcí. Ophcrack – jedná se o lamač Windows hesel za použití předpočítaných tabulek. Volně šiřitelná alternativa známějšího LOphtCrack.

CZ.1.07/2.1.00/32.0045


10

 

2.7

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Cryptohaze GPU Rainbow Cracker – aplikace využívající síly grafických karet NVIDIA. Využívá také předpočítané tabulky k rychlejšímu prolamování hash otisků. Nessus – modulární nástroj pro hledání zranitelnosti ve vzdálených systémech pracujících v režimu klient-server. Základní verze s omezenou sadou je zdarma (plná verze zpoplatněna).

Využití důvěryhodnosti

Tento útok není určen k přímému napadení počítače, ale využití důvěryhodné stanice, které přístup do sítě povolen je. Pokud má důvěryhodná stanice přístup i přes ochrany firewallem, lze vnitřní síť přes tuto stanici napadnout. Typy tohoto útoku:

2.7.1 Man In the Middle (MITM) Už podle názvu je jasné, že tento útok bude vypadat tak, že útočník se ocitne mezi komunikujícími stanicemi. Útočník se bude snažit stát nepozorovaně prostředníkem komunikace dvou stran, aby mohl odposlouchávat přenášenou komunikaci nebo ji měnit. Následující obrázek znázorňuje komunikační kanál, který je tvoře od oběti k útočníkovi a až pak od útočníka k bráně, přitom obě koncové strany si myslí, že jsou připojeny jedním přímým kabelem. Mezi obvyklé techniky pro provedení útoku MITM jsou DHCP spoofing a ARP spoofing (použití falešného DHCP serveru a podvrhování ARP záznamů).

Obr. 2.1: Útok typu MITM K zamezením těmto útokům je možno využít přístupových listů (ACL) popsaných podrobněji v kapitole č. 8. Příklady využití ACL pro správy ICMP:   

Echo reply – zamezení odpovědi na ping externího hostitele Source quench – žádosti snížení rychlosti provozu Unreachable – zamezení odesílání zpráv o nedostupnosti

Pro řádné fungování sítě by měly ale zůstat povoleny odchozí pakety:    

Echo request – umožňuje ping do externí sítě Parameter problém – informace hosta o problému v hlavičce paketu Packet too big – vyžadováno při stanovení maximální velikosti MTU (maximum transmission unit) Source quench – snížení rychlosti provozu v případě potřeby

CZ.1.07/2.1.00/32.0045


11


2.7.2 DHCP spoofing Metoda DHCP spoofing se použije, pokud útočník připojí do sítě vlastní DHCP server, který odpovídá na DHCP žádosti uživatelů, ale pošle jim jiné DHCP odpovědi, než by to udělal správný DHCP server. IP adresa je v odpovědi z odpovídajícího rozsahu, ale DNS server a výchozí brána mají IP adresu útočníka. Účinnou obranou je použití DHCP snooping (viz kapitola č. 11).

2.7.3 ARP spoofing Využívá nevyřešenou bezpečnost při navrhování ARP protokolu. Útočník pošle oběti ARP REPLY paket, který říká, že brána má MAC adresu útočníka. Také pošle bráně ARP REPLY paket, který říká, že oběť má MAC adresu útočníka. To znamená, že při komunikaci obě strany budou používat MAC adresu útočníka a ten následně přepošle data na správnou MAC adresu. Aby měl útočník jistotu, že údaje zůstanou v ARP tabulce, posílá upravené ARP pakety v krátkých intervalech.

2.8 Přetečení zásobníku Zásobník je pevně alokovaná oblast paměti, do které si systém ukládá specifická data (např. arp tabulka, směrovací tabulka atd.). Pokud útočník zahltí tuto paměť daty, může dojít k přetečení dat do oblasti mimo tento rozsah a k poškození dat jiných proměnných. Téměř vždy dojde k neočekávané funkčnosti, případně k zamrznutí systému. Útočník tak může vložit škodlivý kód a získat kontrolu nad probíhajícími procesy. Účinnou ochranou je např. ošetření vstupních portů, nebo použít parametr udávající délku dat pro zpracování.

2.9 Exploit Exploit je program, kousek dat či posloupnost počítačových instrukcí, který využívá nevědomě vytvořené softwarové chyby v programu a způsobuje jeho neočekáváný běh (přetečení zásobníku). Součástí Exploitu bývá i další kód, který provádí doprovodnou akci. Podle vykonané akce můžeme Exploity klasifikovat na ty, jež chtějí získat oprávněný přístup k systému, dovolují spustit libovolný kód nebo spustí DoS útok.

2.10 Phishing Phishing je podvodná technika, která je založena na sociálním inženýrství. Útočníky používají tuto techniku k vylákání citlivých údajů (hesla, rodná čísla, …). Útočník rozesílá podvodné emailové zprávy, které jsou téměř nerozeznatelné od oficiálních žádostí bank a jiných zpráv od podobných institucí. Tyto zprávy vyzývají k zadání přihlašovacích údajů a hesel se spjatou institucí. Ovšem data, která jsou poslána ve zprávě, neputují do dané instituce, ale útočníkovi. Některé emaily mohou mít společné znaky:     

hypertextové odkazy vedou na jiné stránky, než je specifikováno v textu email obsahuje spustitelnou přílohu je vyžadováno okamžité sdělení osobních údajů, jinak bude účet zrušen neočekávaný jazyk (např. od české banky anglický jazyk) email obsahuje výrazné gramatické nedostatky

2.11 Pharming Tato metoda je podobná podvodné technice Phishing, která využívá Internetu pro zjištění osobních údajů uživatele. Není založena na rozesílání podvodných údajů, ale na manipulaci s DNS záznamy. Pokud oběť přistupuje na stránky (např. elektronické bankovnictví), načtou se mu díky upravených CZ.1.07/2.1.00/32.0045


12

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 DNS záznamům podvodné stránky, které vypadají úplně stejně. Útočník má dvě možnosti, jak útok provést:  

modifikovat lokální DNS (tzv. hosts soubor) napadnout DNS server a udělat úpravy

V dnešní době jsou již útoky na hosts soubor známé, a proto kvalitní antivirové programy zamykají přístup k tomuto souboru. Tudíž útočník se k němu nemůže dostat a nemůže provést žádné změny.

2.12 Útoky na webové aplikace 2.12.1 Cross Site Scripting (XSS) Jedná se o metodu narušení správné interpretace webových stránek využitím bezpečnostních chyb ve skriptech. Většinou se jedná o neošetření uživatelsky zadávaných dat. Útočník pak může podstrčit k interpretaci vlastní javascriptový kód, který může poškodit funkčnost stránek a v nejhorším případě získání citlivých údajů uživatelů. Kromě lokálního útoku jsou zajímavé především útoky: 



Nepersistentní – úprava části URL, která je následně interpretována jako jeho součást. Vyskytuje se u stránek s generovaným obsahem. Po vyplnění přihlašovacích údajů a jejich odeslání se dostanou přímo k útočníkovi, který si je uloží a pak pro zahlazení stop přesměruje uživatele zpět na původní stránku. Uživatel si pak může myslet, že šlo o chybu v jeho prohlížeči nebo o chybu na straně zpracování stránky. Persistentní – škodlivý kód je někde uložen a sám se spustí, jakmile se uživatel ocitne na „nesprávných“ stránkách. Stránky se škodlivým kódem se např. mohou generovat z databáze, kam je vloží útočník (například jako komentář k produktu). K využití tohoto útoku slouží Session ID jako jednoznačný identifikátor relace mezi uživatelem a serverem, který se ukládá u klienta do cookies, pokud to je povoleno. Útočník se získaným Session ID se pak serveru jeví se stejnými právy jako původní uživatel. Pokud zavře klient prohlížeč úplně, Session ID se smaže.

2.13 SQL Injection Je technika, která napadá databázové vrstvy přes vrstvu aplikační. Útočník může zaútočit na špatně filtrované uživatelské vstupy, které jsou přímo vloženy do SQL dotazů. Tím získá propojení s databází a může s ní manipulovat. Ve většině případů je útok prováděn přímo na URL adresu anebo na neošetřený formulář. Lepšími metodami lze upravovat také parametry, které jsou posílány metodou POST a nejsou přímo vidět v URL adrese. Pokud nemá útočník automatizované stroje, musí znát aspoň základní SQL syntaxi. Příklad: SELECT* FROM users WHERE name = ‘+name+‘ AND pass = ‘+pass+‘; Této dotaz používá hodně aplikací pro ověření uživatele. Proměnné name a pass jsou poslány přes formulář k ověření. Pokud tento dotaz najde správné jméno a heslo v databázi, vrátí logickou pravdu, což aplikace bude brát za korektní přihlášení. Cílem útočníka je tedy, aby dotaz vrátil vždy logickou hodnotu TRUE. Útočník může místo uživatelského jména a hesla, pokud tedy není ošetřen uživatelský CZ.1.07/2.1.00/32.0045


13

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 vstup proti SQL dotazu, vložit podmínku, která vrátí vždy hodnotu TRUE: OR 1 = ‘1‘ Výsledný dotaz umožní útočníkovi obejít přihlašovací formulář: SELECT* FROM users WHERE name = ‘‘OR 1 = ‘1‘ AND pass = ‘‘; Útočník může nadále dotaz upravovat, aby např. tabulku s uživateli zahodil. Může také zadat příkaz, kterým získá všechna jména uživatelů i jejich přístupová hesla. Obrana proti SQL injection lze rozdělit na dva druhy. Obrana na straně aplikace a na straně samotné databáze. Aplikacím se vyplatí používat různé ověřené frameworky nebo jakákoliv jiná databázová rozhraní. Ty dokáží zabránit vloženým vstupům. Na straně databáze je dobré si rozmyslet, aby uživatelům byla přidělena adekvátní práva.

2.14 Denial of service (DoS) Cílem těchto útoků je znepřístupnění určité služby, počítače nebo celé sítě. Útočník se snaží zahltit oběť požadavky, které způsobují postupné vyčerpávání jeho zdrojů, zpomalení funkce a následný pád.

2.14.1 Vyčerpání prostředků Typické způsoby vyčerpání prostředků:    

vyčerpání přenosového pásma, místa na disku, procesoru narušení směrovacích informací narušení stavových informací narušení fyzických síťových komponent

Cílem útočníků bývají většinou důležité servery velkých firem, pro který je výpadek služeb kritický. Může se jednat o banky, pošty nebo některé důležité servery.

2.14.2 IP spoofing Tento útok spočívá ve zfalšování zdrojové IP adresy útočníka a následné odeslání cílovému počítači (oběti), před kterým chce útočník svou IP adresu utajit. Tato technika se používá při DoS útocích nebo kdy je autentizace založena na důvěře IP adresy protější strany. Můžeme mluvit o autentizaci přímo do systému nebo službách spoléhající na korektnost zdrojové adresy. Některý protokol transportní vrstvy (např. TCP) používá při komunikaci posloupnost domluvených čísel s protistranou, která zaručuje, že paket je součástí navázaného spojení. Útočníkovi to velmi stěžuje útok, protože by musel čísla uhodnout. U starších OS kvůli špatné implementaci lze čísla předvídat, což útočníkovi usnadňuje útok.

2.15 Útoky pomocí ICMP zpráv 2.15.1 Ping of Death (Ping smrti) Tato metoda už je spíše historická, kde je vidět, jak se DoS útoky vyvíjely. Útočník poslal ICMP zprávu s požadavkem na odpověď, jejíž velikost byla ale větší než povolených 64KB. U starších CZ.1.07/2.1.00/32.0045


14

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 systémů PING způsobil pád systému. Existuje i varianta, kdy ICMP zpráva byla posílána po částech, které při velkém množství žádostí o odpověď zahltily vstupní frontu určenou pro skládání paketů. Tento útok také způsobil pád systému.

2.15.2 Smurf Attack (Šmoulí útok) Útočník pošle ICMP zprávu na broadcastovou adresu s pozměněnou podvrhnutou zdrojovou IP adresou, která patří oběti. Všechny počítače, které přijmou ICMP zprávu odpoví na IP adresu oběti. Útočník se snaží dosáhnout co největší velikosti požadavku v co nejmenších intervalech v podsíti, která bude obsahovat větší množství stanic.

2.15.3 Ping flooding Tuto techniku využívá útočník spíše, když má rychlejší připojení sítě než oběť. Pak stačí útočníkovi, aby poslal oběti velké množství požadavků na odpověď v krátkých intervalech a docílil tím zahlcení linky oběti.

2.16 TCP SYN Flood Při tomto útoky útočník využívá navázání síťového spojení. S pozměněnou IP adresou začne komunikovat pakety TCP SYN. Server vytvoří polootevřené spojení, protože to považuje za legitimní spojení a odpoví paketem TCP SYN/ACK a čeká odpověď o navázání spojení. Jelikož odpověď posílá na pozměněnou IP adresu, nikdy nedostane odpověď. Cílem útočníka tedy je, aby zaměstnal oběť svým falešným síťovým spojením a nemohl obsluhovat legitimní žádosti o spojení.

2.17 DDoS U dnešních počítačů je Hardware pořád zlepšován a zrychlován, je třeba k úspěšnému DoS útoku pořád větší intenzitu útoku. Pokud by DoS útok provádělo více zdrojů, byl by efekt násoben. Takový typ se nazývá DDoS (Distribuovaný DoS). Útočník většinou napadne pomocí trojských koňů stovky zařízení a pak je využije na určitý cíl, aby prováděly DoS útok. Síť, kterou tvoří stovky zařízení a jsou centrálně řízena jedním uživatelem, se nazývá Botnet. Proti takovýmto distribuovaným útokům je těžké se ubránit.

2.18 Nebezpečné programy 2.18.1 Viry Vir je v počítačové bezpečnosti program, který se dokáže sám šířit, aniž by o tom věděl uživatel. Množí se tím, že vytváří svoje kopie nebo se vkládá do kódu jiných programových či systémových souborů. Při spuštění těchto souborů se spustí kód viru a poté samotný program. Většinou viry nemají destruktivní účel (mazání souborů na disku, …). Spíše rozesílají důvěrné kontakty a informaci např. z Emailu nebo ovlivňují výkon a stabilitu systému. To se může projevit např. na připojení k Internetu. Viry se oproti červům nemohou šířit samovolně. Aby se počítač nakazil virem, je nutná interakce uživatele (přenesení infikovaného soboru s přenositelného média, přenesení po síti, apod.). V dnešní době jsou viry na ústupu a spíše je nahrazují červi, které se díky moderním počítačovým sítím dokážou velice rychle sami šířit.

2.18.2 Červy Červ je podobně jako virus v informatice program, který kopíruje sám sebe z jednoho počítače na druhý, ale červy tuto činnost dělají na rozdíl od viru automaticky. Využívají chyb v programech. Chyby CZ.1.07/2.1.00/32.0045


15

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 v programech většinou jsou vylepšeny v novějších verzích, a proto je lepší programy aktualizovat. Dále červ převezme kontrolu nad síťovým připojením, kde může pak přenášet soubory, informace. V případě emailu jsou posílány zprávy z adresáře oběti. Součástí červa je i doprovodný kód, který vykonává doprovodnou akci (narušení systému, mazání souboru, vyhledávání osobních dat, hesel, vytvoření zadních vrátek pro snadný vzdálený přistup). Napadení červem nezpůsobuje jen omezení síťových linek či systému, ale způsobí i finanční problém a to hlavně pro firmy. Ty mají problém poskytovat službu naplno a musí provést léčení stanic. Příklady známých červů: 





Code Red – Nejznámější příklad tohoto typu útoku se objevil v roce 2001, kdy byl vypuštěn červ útočící na webové servery Microsoft Internet Information Server. Červ nazvaný „Code Red“ byl naprogramovaný tak, aby posílal série příkazů přes službu http. Tyto série příkazů mohly způsobit přetečení zásobníku v paměti serveru. To pak útočníkovi dovolilo nahrát či spustit škodlivý kód na serveru. Část tohoto kódu ihned poté velmi rychle rozeslala sama sebe na další servery s běžícím Microsoft IIS. Tento specifický útok způsobil nedostupnost služeb napadeného serveru. SQL Slammer – Tento červ útočil na vybraná zařízení DoS útokem a to zpomalovalo provoz na celém internetu. Směrovače byly pod velkou zátěží výkonově omezeny a přestaly správně pracovat. Principem bylo napadení MS SQL serveru a to na základě chyby demonstrované na konferenci o počítačové bezpečnosti. Červ používá pro své rozmnožování pouze jediný UDP paket o velikosti 376B, proto se mohl šířit přes zahlcené linky, které nepropouštěly větší velikosti dat. Blaster (Lovsan) – Červ využíval opět přetečení zásobníku. Rozšiřoval se na náhodně vygenerované IP adresy bez nutnosti interakce uživatele. Červ prováděl hlavně DoS útoky na firmu Microsoft a zaplavoval stránky windowsupdate.com velkým množstvím polootevřených spojení.

2.18.3 Trojské koně Trojský kůň je v řecké mytologii označován za darovaného dřevěného koně, ze kterého vyskákali řečtí vojáci a zmocnili se Tróje. Takovýto počítačový trojský kůň se chová jako užitečný program (nástroj), ale bez vědomí uživatele může napáchat spousta škody (zjišťování hesel, čísla bankovních účtů, destrukce infikovaných systémů, …). Nemusí být stažen pouze s nelegálním softwarem, ale může být také přidán do funkční verze stávající aplikace a následně šířen nedůvěryhodnými cestami pro zamaskování původu. Trojský kůň se na rozdíl od viru neodkáže sám šířit a infikovat další soubory, ale můžou existovat takové červy, které obsahují ve svém nákladu trojského koně a dokážou tím infikovat soubor (aplikaci). Mají následující funkčnosti:      

vzdálená kontrola infikovaného systému zaznamenávání stisknutých kláves sledování práce uživatele sbírání hesel a čísel bankovních účtů rozesílání nadměrného množství nevyžádané pošty (SPAMy) destrukce infikovaného systému

CZ.1.07/2.1.00/32.0045


16


3. Zabezpečovací prvky a principy

Obecně lze rozdělit způsob zabezpečení síťových zařízení do těchto oblastí: 





Fyzické zabezpečení – zařízení je nutno umístit do uzavřené místnosti, přístupné pouze oprávněným osobám. Místnost je izolována od elektrostatického a magnetického rušení, má požární zabezpečení a klimatizaci. Zařízení je napájeno přes nepřerušitelný zdroj napájení (UPS – uninterruptible power supply, snížení možnosti útoku DoS) a jsou k dispozici náhradní důležité součásti. Zabezpečení operačního systému – návrh směrovače s maximálně možnou pamětí (ochrana před útoky DoS, podpora škály bezpečnostních služeb). Použití stabilní verze operačního systému splňující požadované funkce. Během provozu využívat bezpečnostní funkce operačního systému. Vytvoření bezpečné kopie obrazu operačního systému směrovače a konfiguračního souboru. Omezení nežádoucích přístupů – eliminuje potenciální zneužití nevyužitých portů a služeb od fyzického přístupu zaměstnanců po zákaz nepoužívaných portů a rozhraních. Snížení počtu a způsobu přihlášení k zařízení.

3.1 Administrativní přístup      

omezení přístupnosti zařízení – povolit pouze potřebné porty, omezit povolené komunikátory, omezení povolené metody přístupu evidování všech fyzických přístupů – kdo přistupuje k zařízení, za jakým účelem a kdy ověření přístupu – pouze ověření uživatelé, skupiny a služby, omezení počtu neúspěšných pokusů o přihlášení a čas mezi nimi autorizace akce – omezení akce a zobrazení pouze pro konkrétní uživatele skupiny nebo služby zobrazení právních upozornění (např. banner MOTD) – ve spolupráci s právním poradcem zajistit důvěryhodnost dat – ochrana lokálně uložených citlivých dat proti prohlížení, kopírování a změnám (zranitelnost dat v tranzitu útokem např. MITM)

3.2 Hraniční směrovač – Edge router Hraniční směrovač rozděluje vnitřní zabezpečovanou síť od okolního internetu. Jeho role se liší podle složitosti organizace a velikosti požadované sítě.

3.2.1 Single Router přístup Všechny bezpečnostní politiky jsou konfigurovány na tomto zařízení. Většinou bývá nasazen v menších implementacích (SOHO – Small Office Home Office) jako ISR (Integrated Services Router) bez omezení výkonu směrovače.

Obr. 3.1: Single router přístup, zdroj: [1]

CZ.1.07/2.1.00/32.0045


17


3.2.2 Defense-in-Depth přístup

Jedná se o bezpečnější přístup, kde hraniční směrovač funguje v první linii obrany jako „screeening router“. Prochází všechny spoje mezi okolím a vnitřní LAN připojenou přes firewall. Druhou linií obrany je firewall, který navazuje na hraniční směrovač a provádí další filtraci provozu. Tím působí jako kontrolní zařízení. Při navazování spojení firewall odmítá zahájení spojení z vnějšku (z nedůvěryhodných sítí - untrusted) do vnitřních (důvěryhodných sítí – trusted). Přitom neomezuje vnitřní uživatele vytvořit připojení do těchto nedůvěryhodných sítí a umožnit, aby se reakce přes firewall vrátily. Je tedy umožněno ověření uživatele (autentizace proxy serveru) k získání přístupu k síťovým zdrojům.

Obr. 3.2: Defense-in-depth přístup, zdroj: [1]

3.2.3 DMZ přístup Demilitarizovaná zóna (DMZ) nabízí střední prostor pro služby (servery), které musí zůstat přístupné z internetu pro vnější sítě. Nejjednodušší způsob realizace je přidáním přístupného portu z vnějšku na jediném směrovači. Pokud je DMZ tvořena mezi dvěma směrovači, připojuje vnitřní směrovač chráněnou síť a hraniční (externí) směrovač vnější nechráněnou síť internetu. Firewall, který se nachází mezi chráněnou a nechráněnou sítí, je nastaven tak, aby bylo zajištěno požadované (nedůvěryhodné) připojení na servery v DMZ (např. http). V přístupu do DMZ poskytuje hraniční směrovač určitou ochranu tím, že filtruje určitý provoz, ale nechává většinu ochrany na firewallu.

Obr. 3.3: Přístup přes demilitarizovanou zónu, zdroj: [1]

Administrativní přístup k zařízení Existují v principu dva způsoby přístupu k zařízení pro administrativní účely:  

lokálně – vyžaduje přímé připojení portu konzoli na zařízení. Pokud není útočník fyzicky přítomen u zařízení, nemůže naslouchat na lokálním konzolovém připojení. vzdáleně – Telnet, SSH, http, HTTPS nebo SNMP (Simple Network Management Protocol). Konzolové zařízení (počítač s příslušným softwarem) může být ve stejné nebo jiné podsíti. Některé protokoly pro vzdálený přístup odesílají data včetně uživatelských jmen a hesel zařízení ve formátu prostého textu. Útočník, který naslouchá na spojení, může zachytit hesla

CZ.1.07/2.1.00/32.0045


18

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 nebo informace o konfiguraci zařízení. Je proto nutno zajistit několik opatření: o šifrovat veškerou komunikaci mezi konzolí a zařízením (místo služby Telnet použít SSH nebo místo protokolu http použít protokol HTTPS) o použít specializované sítě pro správu, která dovoluje připojit pouze určitý počítač k vyhrazenému rozhraní na zařízení (směrovači) Zásady bezpečného přístupu Aby byl přístup do zařízení co nejvíce chráněn (např. uhodnutí hesla na základě osobních údajů uživatele, naslouchání provozu nebo útok hrubou silou), se doporučuje dodržovat tyto zásady:  

nepoužívat výchozí nastavení přístupového účtu délka hesla 10 nebo více znaků Router(config)#security passwords min-length 10

    

kombinace velkých, malých písmen, čísel, speciálních znaků a mezer nepoužívat opakování slov, slova ze slovníku, sekvence písmen nebo čísel, uživatelská jména, přezdívka, životopisné informace častá změna hesla neopisovat hesla (např. na klávesnici, monitor) pokud zařízení dovoluje, používat šifrovaná hesla (pro Cisco příkazem service password encryption, secret)

4. Autentizace, autorizace a přístup Služba AAA (Autentizace, Autorizace, Accouting - přístup) je vhodná jak pro malé sítě s lokální databází, ale především vytváří univerzální podmínky pro centralizované ověřování serverem. Příklad sestavení spojení pomocí lokální databáze uživatelů: 1. Klient naváže spojení se směrovačem. 2. AAA směrovač požádá klienta o uživatelské jméno a heslo. 3. AAA směrovač ověří uživatelské jméno a heslo v lokální databázi a klient je autorizován pro přístup k síti založenému na informacích v lokální databázi.

Obr. 4.1: Lokální AAA, zdroj: [1] CZ.1.07/2.1.00/32.0045


19

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Příklad sestavení spojení pomocí serverové databáze uživatelů: 1. 2. 3. 4.

Klient sestaví spojení se směrovačem. AAA směrovač požádá klienta o uživatelské jméno a heslo. Směrovač autentizuje uživatelské jméno a heslo s využitím vzdáleného AAA serveru. Uživatel je autorizován pro přístup k síti založenému na informacích na vzdáleném AAA serveru.

Obr. 4.2: Autentizace pomocí vzdáleného AAA serveru, zdroj: [1] Umožňuje konfigurovat a používat na sobě nezávislé bezpečnostní moduly – autentizace, autorizace a přístup. Podporu AAA zapneme příkazem: Router(config)#aaa new-model Poté je nutno definovat seznam metod používaných v jednotlivých modulech. Můžeme vybrat výchozí seznam default nebo si můžeme nadefinovat vlastní seznam. Do seznamu vkládáme soupis metod oddělených mezerou. Systém nejdříve začíná první metodou, pokud tato metoda selže (server je nedostupný apod.), přejde k další metodě. Procházení se ukončí, pokud je nalezena funkční metoda, která vrátí odpověď.

4.1 Autentizace Jednoznačně určuje uživatele podle jeho vlastností:   

Něco ví – jméno, heslo, pin, kód Něco má – čip, karta, certifikát Něčím je – otisk prstu, otisk oční sítnice, hlas

Na základě těchto údajů (nebo jejich kombinace) systém povolí nebo zamítne přístup. Po zapnutí AAA se na všech linkách výchozí seznam - default. Kromě těch linek, které mají přiřazený jiný uživatelem vytvořený seznam. Ukázka lokální autentizace: Router(config)#username jmeno secret Str0ngPa55w0rd Router(config)#aaa new-model Router(config)#aaa authentication login default local-case enable Router(config)#aaa authentication login TELNET-LOGIN local-case Router(config)#line vty 0 4 Router(config-line)#login authentication TELNET-LOGIN CZ.1.07/2.1.00/32.0045


20

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Tímto příkazem se zadá max. počet neúspěšných pokusů přihlášení: Router(config)#aaa local authentication attempts max-fail <1-65535> Zobrazení lokálních uživatelů, kde je zobrazeno i datum jejich přihlášení, se vypíše příkazem: Router#show aaa local user lockout Zobrazení všech připojení (session) uživateli pomocí příkazu: Router#show aaa sessions

4.2 Autorizace Autorizace je v podstatě to, co uživatel může nebo nemůže dělat v síti poté, co je ověřen jako například úroveň oprávnění poskytující uživatelům určitá práva a výsady u některých příkazů na směrovači. Průběh autorizace má tyto fáze: 1. Po autentizaci klienta je vytvořena relace s AAA serverem. 2. Směrovač žádá autorizaci AAA server pro požadovanou službu prováděnou klientem. 3. AAA server povolí, nebo zamítne autorizaci.

. Obr. 4.3: Proces autorizace, zdroj: [1] Autorizace je automatická a nevyžaduje od uživatelů provádět další kroky po ověření. Autorizace se provádí ihned po ověření uživatele. Pro autorizaci zadávaných příkazů se použije příkaz: Router(config)#aaa authorization … ,kde místo teček doplníme list: WORD pojmenovaný autorizační list (max. 31 znaků) default výchozí autorizační list a za něj doplníme metody: auth-proxy For Authentication Proxy Services cache For AAA cache configuration commands For exec (shell) commands config-commands For configuration mode commands configuration For downloading configurations from AAA server console spuštění autorizace konzoly exec pro spuštění prováděcího módu (shell) network síťové služby (PPP, SLIP, ARAP) reverse-access For reverse access connections CZ.1.07/2.1.00/32.0045


21

template

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Enable template authorization

4.3 Acounting – Přístup Proces umožňuje ověřit, s jakými daty se zachází a za jakým účelem. Tyto bezpečnostní informace lze využít například k fakturaci služeb, kontrole funkčnosti a optimalizaci procesů. Průběh ověření přístupu: 1. Po autentizaci generuje AAA proces zprávu o zahájení 2. Když klient ukončí práci, generuje se stop zpráva a ukončí se proces

Obr. 4.4: Ověření přístupu, zdroj: [1] Přístup zapneme pomocí příkazu: Router(config)#aaa accounting … doplněný např. nejčastěji používanými oblastmi: commands exec system

For exec (shell) commands For starting an exec (shell) For system events

dále seznamem (např. default) a s určením způsobu zaslání zprávy: none No accounting start-stop Record start and stop without waiting stop-only Record stop when service terminates.

5. Serverově orientovaná autentizace, autorizace, přístup Serverově orientovaná služba AAA má především tyto vlastnosti:    

Rozšiřuje zabezpečení přístupu tím, že kombinuje ověřování, uživatelský přístup a přístup správce s nastavením kontroly v rámci centralizovaného síťového řešení identity. Umožňuje větší flexibilitu, mobilitu a zvýšenou bezpečnost. Prosazuje jednotnou bezpečnostní politiku pro všechny uživatele, bez ohledu na to, jak se připojit k síti. Snižuje administrativní nároky při škálování síťového přístupu.

CZ.1.07/2.1.00/32.0045


22

     

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Automatický monitoring služeb. Synchronizace databáze a import nástrojů pro rozsáhlé implementace. Podpora ověření uživatele LDAP. Uživatelský a administrativní report přístupů. Omezení přístupu k síti na základě kritérií, jako je například denní doby a dne v týdnu. Vytváření uživatelských profilů a profilů pro skupiny zařízení.

Pro zajištění vysoké dostupnosti a eliminaci výpadku služby je výhodné vytvořit redundantní zapojení AAA serverů (ACS - Access Control Server). Při návrhu postupujeme podle těchto doporučení:    

alespoň jeden AAA server musí být dostupný při výpadku sítě AAA servery umístit geograficky odděleně použít stroje s vysokým výkonem pro případ poruchy udržovat synchronizované AAA databáze

Pro serverově orientovanou službu AAA se využívají především protokoly: 



Control Terminal Access Control Server Plus (TACACS +) - jeho hlavní charakteristické vlastnosti: o Kompatibilní s jeho předchůdci TACACS a XTACACS. o Odděluje autentizaci a autorizaci. o Šifruje veškerou komunikaci. o Využívá TCP port 49. Remote Dial-in User Services (RADIUS) - jeho hlavní charakteristické vlastnosti: o Používá RADIUS proxy servery pro škálovatelnost. o Kombinuje ověřování RADIUS a povolení pro jeden proces. o Šifruje pouze heslo. o Využívá UDP. o Podporuje vzdálený přístup technologií, 802.1X, a SIP.

Porovnání vlastností protokolů TACACS+ a RADIUS: Funkčnost

Standard Transportní protokol CHAP

Podpora protokolu Důvěrnost (zabezpečení) Přizpůsobení CZ.1.07/2.1.00/32.0045

TACACS+ Odděluje jednotlivé služby AAA, umožňuje modulární využití bezpečnostních serverů. Podporován hlavně firmou Cisco TCP Obousměrná výzva a odpověď jako v CHAP (Challenge Handshake Authentication Protocol) Podpora více protokolů Šifrování celého paketu Provádí autorizaci příkazů ICT moderně a prakticky

RADIUS Kombinuje autentizaci a autorizaci, ale odděluje přístup. Umožňuje menší flexibilitu v implementaci než TACACS+. Veřejný RFC standard UDP Jednosměrná výzva a odpověď od serveru RADIUS ke klientovi RADIUS. Nepodporuje ARA, NetBEUI Šifrování hesla Nenabízí možnost autorizace příkazů 23

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 směrovače založené na per-user a směrovače založené na per-user a perper-group. group. Limitovaná Rozsáhlá

Dostupnost

5.1 Protokol RADIUS RADIUS je otevřený standard IETF AAA protokol, vyvinutý Livingston Enterprises. Kombinuje autentizaci a autorizaci jako jeden proces. Používá UDP port 1645 nebo 1812 pro ověřování a UDP port 1646 nebo 1813 pro přístup. RADIUS je široce používán poskytovateli VoIP služeb a je využíván ve standardu 802.1x.

Obr. 5.1: Proces AAA s využitím protokolu RADIUS, zdroj: [1]

5.2 Protokol TACACS+ Jedná se o proprietární protokol CISCO. TACACS + poskytuje oddělené AAA služby, což umožňuje flexibilitu při nasazení, kde je možné použít TACACS + pro autorizaci a přístup při použití jiné metody autentizace. Šifruje celé tělo paketu a využívá TCP port 49.

Obr. 5.2: Proces AAA s využitím protokolu RADIUS, zdroj: [1]

CZ.1.07/2.1.00/32.0045


24


6. Protokol NTP Především pro správnou korelaci záznamů v logovaných souborech, ze kterých je možno analyzovat problémy v provozu je nutno zajistit synchronizaci času zařízení v Internetu. Přímo proces AAA využívá časových značek např. k zajištění časově omezené AAA autentizace a autorizace. Kromě manuální synchronizace času v malých sítích se ve velkých organizacích využívá centrální server pro synchronizaci času. Ten pracuje především s protokolem NTP (Network Time Protocol), který dokáže synchronizovat čas v sítích LAN během 1ms a ve WAN sítích během 10ms. Komunikace protokolu NTP se skládá ze žádostí o čas a příkazů pro ovládání. NTP protokol komunikuje ve čtyřech módech:    

Client – získává čas z NTP serveru, může mít více NTP serverů s možností preference, neposkytuje informace o čase ostatním zařízením. Server – na základě konfigurace synchronizuje všechny nebo jen vybrané klienty, neakceptuje synchronizační informace od klientů. Peer – všechny servery sdílí informace mezi sebou a navzájem se synchronizují. Broadcast – speciální mód NTP serveru, který na broadcast adrese vysílá informace všem klientům v jedné podsíti.

Příkazy pro ovládání: Pomocí SNMP lze měnit a monitorovat některé vnitřní proměnné NTP serveru podle normy RFC 1305. Čas na zařízení lze ručně nastavit příkazem: Router#clock set hh:mm:ss

6.1 Stratum Označuje úroveň v hierarchickém systému. Nabývá hodnot 0 až 14, kde na vrcholu je hodnota 0 a nesynchronizovaný NTP server bez spojení s nadřazeným NTP serverem má hodnotu 14.

6.2 Centrální server Dříve často používaná metoda spočívající v konfiguraci dvou redundantních NTP serverů, které se synchronizují s ověřeným serverem v Internetu. Všechna ostatní zařízení v síti se podle nich synchronizují. Vlastnosti:   

administrativně nenáročná metoda jednoduchá autorizace snadné filtrování komunikace

6.2.1 Zařízení v roli klienta Příklad konfigurace zařízení v roli klienta s preferencí NTP serveru 81.95.98.131: Router(config)#ntp server 81.95.98.131 prefer Router(config)#ntp server 109.123.209.189

6.2.2 Zařízení v roli serveru Pokud nemáme připojení do Internetu, jsme odkázáni na použití nesynchronizovaného zařízení – hlavního NTP (master) serveru. Hodnotu Stratum nastavíme vyšší než 0 (např. 10), aby se klienti v případě nalezení NTP serveru s vyšší hodnotou Stratum mohli k němu připojit a tím ignorovat náš NTP server. Příklad konfigurace: CZ.1.07/2.1.00/32.0045


25

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Router(config)#ntp master 10

6.2.3 Plochý model Všechny zařízení jsou rovnocenné a chovají se jako servery a klienti zároveň. Výhodou je velká stabilita – každé zařízení poskytuje synchronizaci všem ostatním. Má tyto nevýhody:   

malá škálovatelnost obtížnější administrace pomalá konvergence

Je vhodný do menších sítí, kde ruční konfigurace každý s každým není složitá: Router(config)#ntp peer 10.0.0.1 Router(config)#ntp peer 10.0.0.2 Router(config)#ntp peer 10.0.0.3

6.2.4 Hierarchický model Model s několika NTP servery (externích i interních) hierarchicky nakonfigurovaných parametrem stratum. Nejníže v hierarchii jsou zařízení dotazující se k interním NTP serverům. Vlastnosti:     

Nejefektivnější řešení z hlediska redundance. Maximálně stabilní. Konfiguračně náročnější. Vhodný pro rozsáhlé sítě. Lehce škálovatelný.

Konfiguraci si ukážeme na příkladu:

Obr. 6.1: Praktický příklad hierarchického modelu NTP serverů, zdroj: [2]

CZ.1.07/2.1.00/32.0045


26

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Všechny lokální NTP servery (směrovače 1 až 3) je nakonfigurováno: Router1,2,3(config)#ntp server 128.250.36.2 Router1,2,3(config)#ntp server 140.79.17.101 Router1,2,3(config)#ntp server 138.194.21.154 Na všech třech lokálních NTP serverech (směrovače 1 až 3) je nakonfigurováno: Router1(config)#ntp peer Router2 Router1(config)#ntp peer Router3 Router2(config)#ntp peer Router1 Router2(config)#ntp peer Router3 Router3(config)#ntp peer Router1 Router3(config)#ntp peer Router2 Na ostatních zařízeních v administrované síti se nastaví mód klient s připojení ke všem třem NTP serverům (směrovače 1 až 3): RouterX,Y,Z(config)#ntp server Router1 RouterX,Y,Z(config)#ntp server Router2 RouterX,Y,Z(config)#ntp server Router3

6.3 Filtrování komunikace NTP Pomocí přístupových listů (ACL) je možno filtrovat NTP zprávy, aby byl zajištěn co nejefektivnější provoz sítě. Podrobněji jsou ACL popsány v modulu č. 5, zde se zaměříme pouze na aplikaci pro NTP provoz. Metody filtrace NTP provozu:    

Peer – odpovídá na dotazy na čas, přijímá ovládací příkazy, synchronizuje se s protistranou. Serve - odpovídá na dotazy na čas, přijímá ovládací příkazy, ale nesynchronizuje se s protistranou. Serve-only – pouze odpovídá na dotazy a čas. Query-only – pouze přijímá příkazy od protistrany.

Nasazení filtrů si ukážeme na minulém příkladu hierarchického modelu: Konfigurace pro Router1:   



použijeme 3 externí servery příkazem ntp server … nastavíme peering s Router2 příkazem ntp peer … povolíme pouze peering s Router2 (10.0.0.102) o nastavíme ACL povolující pouze 10.0.0.102 o nastavíme omezení NTP pomocí příkazu ntp access-group peer povolíme poskytování času pouze pro síť 172.16.0.0/16 o nastavíme ACL povolující pouze 172.16.0.0/16 o nastavíme omezení poskytování času pomocí příkazu ntpaccess-group serve-only

CZ.1.07/2.1.00/32.0045


27

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Konfigurace pro Router2 – bude podobná, pouze adresa peer bude adresa Router1: Router2(config)#ntp server 128.250.36.2 Router2(config)#ntp server 140.79.17.101 Router2(config)#ntp server 138.194.21.154 Router2(config)#ntp peer 10.0.0.102 Router2(config)#access-list 10 permit host 10.0.0.102 Router2(config)#ntp access-group peer 10 Router2(config)#access-list 20 permit 172.16.0.0 0.0.255.255 Router2(config)#ntp access-group serve-only 20

6.4 NTP autentizace Propojení NTP zařízení je možno autentizovat šifrováním MD5. Kroky konfigurace:   

zapneme autentizaci příkazem ntp autentizace definujeme sdílené heslo příkazem ntp autentication-key 1 md5 klic ntp trusted-key 1

V případě, že externí NTP servery vyžadují autentizaci, musíme přidat klíčové slovo key do definice serveru: Router(config)#ntp authentication-key 10 md5 ext-klic Router(config)#ntp trusted-key 10 Router(config)#ntp server 128.250.36.2 key 10 Konfigurací autentizace nenutíme klienty autentizaci používat, pouze ji zapneme. Směrovač bude odpovídat i na neověřené dotazy, proto je třeba nastavit filtrování těchto dotazů.

7. Logování Při zajištění bezpečnosti jsou velmi důležité informace o proběhlých činnostech. Mohou odhalit útok, obnovit funkčnost, vyvodit odpovědnost, detekovat chybu a ladit konfiguraci. Systém Cisco IOS dokáže logovat spoustu informací, o kterých budou následující kapitoly.

7.1 Konfigurace rozšířené bezpečnosti pro vzdálený přístup Ve výchozím nastavení jsou rozšířené funkce zakázány. Automaticky opakovaným pokusům o přihlášení je možno zabránit zadáním prodlevy mezi přihlášením příkazem: Router(config)#login delay <1-10> Normální režim (watch mode) Přístup zařízení je blokován na určitou dobu po daném neúspěšném počtu přihlášení za určitý čas. Následující příkaz ukazuje vypnutí možnosti logování na 120s po více než pěti mylných přihlášení během 60s: Router(config)#login block-for 120 attempts 5 within 60 Tichý režim (quiet period) CZ.1.07/2.1.00/32.0045


28

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Pokud počet neúspěšných přihlášení překročí určitou hranici, všechny pokusy o přihlášení přes Telnet, SSH, HTTP je odmítnut. Přístupovým listem (ACL) je možné tomuto odepření na určité adrese zamezit příkazy: Vytvoření podmínky pro povolení administrátorských přístupů (192.168.10.10 a 192.168.11.10): Router(config)#ip access-list standard PERMIT-ADMIN Router(config-std-nacl)#remark Permit only Administrative hosts Router(config-std-nacl)#permit 192.168.10.10 Router(config-std-nacl)#permit 192.168.11.10 Router(config-std-nacl)#exit Použití přístupového listu v příkazu: Router(config)#login quiet-mode access-class PERMIT-ADMIN Vytvoření lokálního uživatele: Router(config)#username admin secret heslo Vytvoření vzdáleného přístupu Telnet: Router(config)#line vty 0 4 Router(config-line)#login local Pro sledování procesů přihlašování je možno použít příkazy: Tento příkaz vypíše každé úspěšné přihlášení: Router(config)#login on-success log *May 14 14:04:59.335: %SEC_LOGIN-5-LOGIN_SUCCESS: Login Success [user: admin] [Source: 192.168.10.10] [localport: 23] at 14:04:59 UTC Wed May 14 2014 Tento příkaz vypíše hlášení po dvou neúspěšných pokusech: Router(config)#login on-failure every 2 *May 14 13:58:51.275: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: admin] [Source: 192.168.10.10] [localport: 23] [Reason: Login Authentication Failed - BadPassword] at 13:58:51 UTC Wed May 14 2014 Tento příkaz zobrazí informace o uživateli (jméno, čas přihlášení, IP adresu): Router#show users Line

User

Host(s)

Idle

idle

00:00:00

idle

00:02:59 192.168.10.10

* 0 con 0 194 vty 0

admin

CZ.1.07/2.1.00/32.0045

Location


29

Terminálové linky


Lze nastavit tak, aby přijímaly logovací zprávy obdobně jako konzola. Zprávy nejsou nikam ukládány a jsou k dispozici pouze uživateli na dané lince. Výpis lze zapnout příkazem: Router#terminal monitor Buffered logging Po zapnutí této volby směrovač ukládá zprávy do lokálního uložiště, které se po restartování maže. Ukládání je možno zvolit na externí paměť do vybraného souboru (např. disk0: o velikosti 134217728B do logovacího souboru syslog o maximální velikosti 16384B). Router(config)#logging buffered Router(config)#logging persistent url disk0: /syslog size 134217728 filesize 16384 SNMP trapy Nastavené události na směrovači (změna stavu rozhraní, překročení limitu, …) jsou po zpracování přeposlány jako SNMP trapy na externí SNMP server. Příklad konfigurace pro odeslání zprávy při překročení limitu vytížení procesoru: Router(config)#snmp-server host x.x.x.x version 2c logy Router(config)#snmp-server enable traps cpu threshold Syslog Logovací zprávy se zasílají na externí SYSLG servery, kterým může být i speciální zařízení Cisco Security MARS Appliance. Poskytuje centralizované dlouhodobé možnosti ukládání zpráv. Logy se rozdělují do osmy úrovní (nižší úroveň – vyšší bezpečnost). Zpráva je omezena na 1024 bitů a skládá se z položek:    

časové razítko zdroj úroveň zpráva

8. Firewall Termín firewall původně vyjadřuje protipožární stěnu (obvykle z kamene nebo kovu), která zabraňuje šíření plamenů mezi propojenými strukturami. Podobně v oblasti sítí oddělují firewally chráněné oblasti od okolí a chrání neoprávněným uživatelům přistupovat k chráněným síťovým zdrojům. Všechny brány Firewall sdílejí společné vlastnosti:   

odolnost proti útokům jediný hraniční bod mezi chráněnou sítí a okolím (veškerá komunikace prochází přes firewall) vytvoření přístupové politiky

CZ.1.07/2.1.00/32.0045


30

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Výhody používání brány firewall:     

ochrana přístupu k citlivým hostitelům (např. bankovním serverům) datový tok je možno očistit a předcházet zneužití chyb v protokolu škodlivá data od serverů a klientů mohou být zablokována umožňuje jednoduché prosazení bezpečnostní politiky, kterou je možno škálovat a je robustní přesun kontroly pro většinu přístupů k síti do několika málo míst snižuje složitost správy zabezpečení

Některá omezení při použití brány firewall:     

při nesprávné konfiguraci může dojít k vážným následkům nefunkčnosti sítě některé aplikace neumožňují použití bezpečnosti firewall uživatelé, kteří hledají způsob obejíti zablokovaného materiálu, mohou vystavit síť potencionálnímu útoku mohou zpomalit výkon sítě neoprávněný provoz může být tunelován a skryt jako legitimní provoz přes bránu firewall

Z počátku byly základním kamenem firewallů přístupové listy ACL (Access Control List – seznamy řízení přístupu).

8.1 Access Control List (ACL) Access Listy jsou seznamy podmínek, při kterých se paket buďto zahodí, nebo propustí. Jsou čteny postupně, řádek po řádku. Jakmile se najde shoda, paket se přijme nebo odmítne (podle nastaveného kritéria) a další řádky se již nezkoumají. Pokud se nenajde shoda v žádném řádku Access Listu, paket je odmítnut, protože na konci každého Access Listu je implicitní "deny any" - odmítnout cokoliv. Algoritmus znázorňuje obrázek:

Obr. 8.1: Algoritmus filtrace ACL CZ.1.07/2.1.00/32.0045


31

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Access List se musí přiřadit na rozhraní, pak teprve začne pracovat. Na daném rozhraní by měl být vždy maximálně jen jeden access list pro protokol (IP, IPX, Apple Talk atd.) a pro směr (příchozí, odchozí). Access Listy mohou filtrovat jednotlivé IP adresy i rozsahy adres. Jednotlivé IP adresy by měly být filtrovány dříve než rozsahy, jejichž součástí může jednotlivá IP adresa být. Tzn., že můžeme zakázat konkrétní adresu – např. 172.27.50.20, ale zbývající adresy v této síti povolit. Kdybychom to udělali naopak, pak by byly všechny IP adresy této sítě povoleny a na řádek se zákazem pro konkrétní IP adresu by se nedostalo.

8.1.1 Typy ACL 8.1.1.1

Router ACL

Aplikují se na třetí vrstvě ISO/OSI modelu rozhraní směrovače (případně na L3 rozhraní přepínače – Switch Virtual Interfaces – SVIs). ACL mohou být číslované nebo pojmenované. Číslované ACL se rozdělují: Standardní Access Listy    

Jsou číslovány čísly od 1 - 99 (1300 - 1999). Umí filtrovat (povolit nebo zamítnout) j en zdrojovou adresu. Nemají v sobě žádnou informaci o cílové adrese, proto se musí umístit co nejblíže k cíli. Kdyby se takový Access List umístil na směrovač a jeho rozhraní ležící co nejblíže ke zdroji, pak by tuto zdrojovou adresu filtroval vždy, ať už by tato adresa chtěla přistupovat kamkoliv.

Rozšířené (Extended) Access Listy  

Jsou číslovány čísly od 100 do 199 (2000 - 2699). Filtrují (blokují nebo povolují) provoz v závislosti na zdrojové adrese, cílové adrese, protokolu a případně číslu portu nebo typu zprávy ICMP. Jsou umístěny co nejblíže ke zdroji a pracují na vrstvách 3. i 4. ISO/OSI modelu (využívají kromě IP adresy i čísla portů).

Příklad: Jestliže chceme filtrovat provoz z PC1 na PC3 pomocí rozšířeného Access Listu, měli bychom umístit rozšířený Access List co nejblíže ke zdroji, tzn. na směrovač A - rozhraní F0/0. Rozšířený Access List obsahuje informace o cílové adrese, proto pomocí něj odfiltrujeme provoz do sítě pod rozhraním Fa0/0 směrovače C, ale nefiltrujeme provoz do ostatních sítí. Provoz do sítě pod rozhraním Fa0/0 směrovače C odfiltrujeme hned na začátku a nezatěžujeme síť pakety, které by byly stejně odfiltrovány později.

CZ.1.07/2.1.00/32.0045


32


Obr. 8.2: Topologie pro příklad na rozšířené ACL Volba blokování příchozích nebo odchozích paketů Access List umístěný na příchozí port:  

Je menší zátěží pro procesor. Filtruje a blokuje pakety před tím, než směrovač udělá směrovací rozhodnutí.

Access List umístěný na odchozí port:  

Zvyšuje zátěž procesoru. Směrovací rozhodnutí a přepnutí paketů na správný odchozí port se udělá dřív, než je paket testován pomocí Access Listu.

Rozhodnutí, zda se jedná o příchozí nebo odchozí port, se dělá z pozice směrovače. Jestliže si představíte, že sedíte na směrovači a pakety přicházejí k vám daným portem, je tento port příchozí, jinak je odchozí. Zápis standardního Access Listu Access List se konfiguruje v globálním konfiguračním módu. Číslo se volí z povoleného rozsahu, slovíčko permit znamená povolit, slovíčko deny znamená blokovat. R1(config)#access-list 1 permit host 172.27.50.20 Na rozhraní se přiřadí příkazem: R1(config-if)#ip access-group 1 in Slovíčko in nebo out znamená příchozí nebo odchozí směr vůči rozhraní směrovače. V podmínce může být protokol 3. nebo 4. vrstvy ISO/OSI modelu, např. IP, TCP, UDP, ICMP atd. Filtrováním protokolu IP filtrujeme jakýkoliv vyšší internetový protokol. Chceme-li filtrovat např. jen telnet, pak filtrujeme protokol TCP na portu 23 (lze uvést i slovo telnet). Filtruje se buď jednotlivá adresa - pak v zápisu požijeme "host x.x.x.x" nebo celá síť vyjádřená IP adresou a wildcard. Následující řádek povoluje přístup jakýmkoliv internetovým protokolem z adresy 172.27.50.20 na adresu 192.168.5.1. CZ.1.07/2.1.00/32.0045


33

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 R1(config)#access-list 101 permit ip host 172.27.50.20 host 192.168.5.1 Wildcard: Filtrování celé sítě je možno pomocí zadání IP adresy sítě a tzv. „převrácené (negované) masky – wildcard. Wildcard je 32-bitové číslo rozdělené do čtyř skupin po osmi bitech podobně jako maska a vztahuje se vždy k nějaké IP adrese. Nula ve wildcard masce znamená, že na stejné pozici v IP adrese je váha adresy sítě. Jednička ve wildcard je v masce na pozici klienta a znamená, že na stejné pozici v IP adrese sítě jsou nuly. Abychom vytvořili filtr, ve kterém chceme ponechat veškerý internetový provoz kromě podmínky, při které se paket zahodí, je nutné všechno ostatní povolit. To lze napsat např. jako povolovací podmínku pro veškerý provoz IP a pro všechny zdrojové i cílové adresy. Všechny adresy bychom mohli vyjádřit jako IP = 0.0.0.0 maska = 255.255.255.255 nebo pomocí IP a wildcard: 0.0.0.0 0.0.0.0. Příkaz zápisu podmínky umožňuje zapsat všechny adresy pomocí „any“ Např.: Směrovač(config)#access-list 101 deny ………………….cokoliv Směrovač(config)#access-list 101 permit ip any any Pojmenované ACL U pojmenovaných ACL příkaz začíná výrazem IP a rozlišením mezi standardním a extended se uvede přímo. V následujícím příkladu ACL je uvedena podmínka zákazu webových stránek: Router(config)#ip access-list extended priklad Router(config-ext-nacl)# deny tcp any any eq 80 Při použití (např. aplikace na port) se místo čísla uvede název ACL.

8.1.1.2

Reflexivní ACL

TCP Established ACL Základní vlastností je blokování komunikace z vnějšku do vnitřní sítě, pokud není výslovně povolena ACL nebo je zahájena z vnitřní sítě. Poněvadž většina provozů s citlivými daty je řešena transportním protokolem TCP, je možno při navazování spojení TCP této vlastnosti využít. Příkaz takového ACL je rozšířen o klíčové slovo established, který donutí směrovač zkontrolovat značku TCP ACK nebo RST v TCP hlavičce.

Obr. 8.3: TCP hlavička, zdroj: [1] CZ.1.07/2.1.00/32.0045


34

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Na obrázku je příklad ACL – povolení připojení SSH na základě sestaveného spojení HTTPS.

Obr. 8.4: Příklad TCP established ACL, zdroj: [1] Nejprve vytvoříme podmínku pro povolení HTTPS s klíčovým slovem established (sleduje značku TCP ACK a RST). Poté přidáme podmínku pro povolení SSH. Tento ACL 100 aplikujeme na rozhraní S0/0/0 směrovače R1 směrem dovnitř. R1(config)# access-list 100 permit tcp any eq 443 192.168.1.0 0.0.0.255 established R1(config)# access-list 100 permit tcp any 192.168.1.3 0.0.0.0 eq 22 R1(config)# access-list 100 deny ip any any R1(config)# interface s0/0/0 R1(config-if)# ip access-group 100 in

8.1.1.3

Dynamické ACL

Dynamické ACL byly vyvinuty pouze pro IP provoz. Uplatňují se v závislosti na připojení Telnet nebo SSH s autentizací (dále jen Telnet). Používají se rozšířené ACL k blokování provozu přes směrovač. Uživatel, který chce přejít přes směrovač, je blokován, dokud se nepřipojí přes Telnet ke směrovači a není autentizován. Připojení Telnet se ukončí a je přidána dynamická podmínka do existující rozšířeného ACL. To umožní provoz na určitou dobu danou nečinností nebo časovým limitem. Vlastnost dynamického ACL je možno využít pro poskytnutí vzdáleného přístupu k počítači v síti uživateli nebo skupině. Není možno rozlišit zásady povolených přístupů pro jednotlivé uživatele. Tato jediná politika přístupu se vztahuje na všechny ověřené uživatele. Další možnost je, když skupina hostitelů v lokální síti potřebuje přístup k hostiteli na vzdálené síti, který je chráněn bránou Firewallu. Dynamický ACL má tyto bezpečnostní výhody:     

Vyzývací mechanismus k ověření uživatelů. Zjednodušená administrativa v rozsáhlých sítích. Redukuje zpracování ACL na směrovačích. Snižuje možnost napadení sítě. Vytváří možnost dynamického uživatelského přístupu přes bránu firewall, aniž by bylo nutné vytvářet další omezení nakonfigurovaného zabezpečení.

CZ.1.07/2.1.00/32.0045


35

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Průběh zpracování dynamického ACL probíhá v těchto krocích: 1. Uživatel požádá o připojení Telnet, které jako jediné má povolené, směrovač vyzve k zadání jména a hesla. 2. Proběhne autentizace uživatele (lokální nebo AAA server). 3. Uživatel je přidán do ACL Entry (dynamického přístupu). 4. Uživatel má přístup k vnitřním zdrojům.

Obr. 8.5: Zpracování dynamického ACL, zdroj: [1] Konfigurace dynamického ACL 1. Router(config)#username Student password 0 heslo 2. Router(config)#access-list 101 permit tcp any host 10.2.2.2 eq telnet Router(config)#access-list 101 dynamic testlist timeout 15 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255 3. Router(config)#interface se 0/0/1 Router(config-if)#ip access-group 101 in 4. Router(config)#line vty 0 4 Router(config-line)#login local Router(config-line)#autocommand access-enable host timeout 5

CZ.1.07/2.1.00/32.0045


36


Obr. 8.6: Topologie konfigurace dynamického ACL, zdroj: [1]

8.1.1.4

Časové ACL

Umožňují kontrolu přístupu v závislosti na čase. Provoz je omezen na základě denní doby, dne v týdnu nebo dnem v měsíci (např. povolení přístupu k Internetu pouze o pracovních přestávkách). Administrátor vytvoří time-range parameter pro platnost ACL. Příklad konfigurace časového ACL: 1. Definujeme pojmenovaný časový rozsah (Everyotherday). Router(config)#time-range EVERYOTHERDAY Router(config)#periodic Monday Wednesday Friday 8:00 to 17:00 2. Použijeme time range v ACL. Router(config)#access-list 101 permit tcp 192.168.10.0 0.0.0.255 any eq telnet time-range EVERYOTHERDAY 3. Aplikujeme ACL na rozhraní. Router(config)#interface se 0/0/0 Router(config-if)#ip access-group 101 out Další příkazy: R1(config)# time-range employee-time R1(config-time-range)# periodic weekdays 12:00 to 13:00 R1(config-time-range)# periodic weekdays 17:00 to 19:00 R1(config-time-range)# exit R1(config)# access-list 100 permit ip 192.168.1.0 0.0.0.255 any time-range employee-time R1(config)# access-list 100 deny ip any any R1(config)# interface FastEthernet 0/1 R1(config-if)# ip access-group 100 in R1(config-if)# exit CZ.1.07/2.1.00/32.0045


37

Ověření konfigurace:


R1#show access-lists R1#debug ip packet

8.2 Zabezpečení pomocí Firewallu Statická pravidla (paketové filtry) jsou doplněna dynamickými pravidly vytvořenými v reálném čase na základě aktuálního toku dat. Původně byly firewally tvořeny jako funkce softwaru na směrovačích a serverech. V průběhu doby několik společností vyvinuly samostatné zařízení – brány firewall. Tyto hardwarové firewally odlehčily nároky na výkon a paměť směrovačů a serverů. Například Cisco IOS Firewall je specializovaný Cisco IOS, který běží na Cisco směrovačích. Je to firewall pro podporu malého a středního podnikání ( SMB - small and medium-sized business) a podnikové pobočky. Snadno nasaditelné HW řešení je Cisco ASA (Adaptive Security Appliance) firewall, který integruje funkce brány firewall Cisco Unified Communications (hlas a video) bezpečnost, Secure Sockets Layer (SSL) a IPsec VPN (Virtual Private Network), IPS (Intrusion Prevention System a obsah bezpečnostní služby. Je navržen jako klíčový prvek Cisco Self -Defending Network. ASA poskytuje inteligentní ochranu před útoky a umožňuje bezpečné komunikační služby, které zastaví útoky dříve, než ovlivní kontinuitu chráněného provozu. ASA byl navržen k ochraně sítí všech velikostí při nízkých celkových nákladech na výstavbu a provoz tím, že poskytuje komplexní vícevrstvé zabezpečení.

8.2.1 Filtrování paketů Typicky provádí směrovač s možností filtrování paketů na 3. a 4. vrstvě OSI modelu.

Obr. 8.7: Vrstvy OSI modelu, na kterých působí filtrování paketů, zdroj: [1]

8.2.2 Statefull firewall Postupem vývoje se rozšířily možnosti zabezpečení, které vyústily k vytvoření stavového firewallu (Stateful firewall), ten je schopen určit, zda paket patří k existujícímu toku dat. Stavové filtrování sleduje každé spojení přecházející ze všech rozhraní firewallu a potvrzuje, že jsou platné. Firewall zkoumá informace v záhlaví L3 paketu a L4 segmentu. Např. se dívá do TCP hlavičky na parametry SYN, RST, ACK, FIN a další řídicí kódy pro určení stavu připojení. Každé TCP a UDP odchozí nebo příchozí spojení firewall loguje informace do tabulky toků stavů relací. Když vnější systém odpovídá na žádosti, firewall porovná přijaté pakety s uloženým stavem a povolí, nebo zamítne síťový přístup. Tabulka stavové relace obsahuje zdrojové a cílové adresy, čísla portů, informace o sekvencích TCP CZ.1.07/2.1.00/32.0045


38

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 a příznaky pro každé TCP nebo UDP spojení v dané relaci. Tato informace tvoří objekt spojení, který se využívá pro porovnání všech příchozích i odchozích paketů v dané relaci. Brána firewall povolí datový tok pouze, když existuje vhodné ověření v tabulce průchodů. Pokročilejší stavové firewally analyzují příkazy na FTP portu a aktualizují stavovou tabulku, aby FTP pracovalo transparentně přes bránu firewallu. Mohou analyzovat také TCP pořadové číslo a dotazy DNS včetně odpovídajících reakcí a tím zajistit odpovědi pouze na dotazy, které pocházejí zevnitř sítě. Tím snižují hrozbu TCP RST záplavových útoků a DNS cache poisoning.

Obr. 8.8: Vrstvy OSI modelu, na kterých působí Stateful firewall, zdroj: [1] Výhody stavového firewallu:     

Filtruje nechtěný, nepotřebný nebo nežádoucí provoz. Poskytuje přísnější kontrolu bezpečnosti, posilují filtrování paketů. Zlepšuje výkon přes paketové filtry nebo proxy servery. Zabraňují falšování a DoS útoku při určení, zda pakety patří již do existujícího připojení nebo jsou z neoprávněného zdroje. Logování poskytuje více informací než filtrování paketů.

Nevýhody stavového firewallu:    

Nezabrání útokům na aplikační vrstvě – nezkoumají např. obsah připojení HTTP. Ne všechny protokoly jsou stavové (např. UDP, ICMP). Některé aplikace otevírají více připojení, které vyžadují zcela novou řadu otevřených portů. Nepodporují ověřování uživatelů.

8.2.3 Proxy firewall - Aplikační brána Je většinou realizován softwarově, pracuje na 3., 4., 5. a 7. vrstvě OSI modelu.

CZ.1.07/2.1.00/32.0045


39


Obr. 8.9: Vrstvy OSI modelu, na kterých působí aplikační brána, zdroj: [1]

8.2.4 Překlad adres Pro vnitřní síť používá skrytou privátní adresaci, která není běžně přístupná externě.

Obr. 8.10: Vrstvy OSI modelu, na kterých působí aplikační brána, zdroj: [1]

8.2.5 Další typy firewallů   

Filtrace podle přihlášení – Host Based Průchod paketů je určen shodou přihlašovacích údajů jak na straně klienta tak serveru. Transparentní firewall Filtruje provoz mezi dvojicí přemostěných rozhraní. Hybridní firewall Tento typ kombinuje různé varianty bran např. proxy firewall se stavovým firewallem.

8.3 Nasazení Firewallu Příklad nasazení stavového firewallu:

Obr. 8.11: Nasazení stavového firewallu, zdroj: [1] Filtr pro vnitřní síť – odchozí provoz: CZ.1.07/2.1.00/32.0045


40

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 permit ip 10.0.0.0 0.0.0.255 any Filtr pro vnější síť – příchozí provoz: Dynamic: permit tcp host 209.165.201.3 eq 80 host 10.1.1.1 eq 1500 permit tcp any host 10.1.1.2 eq 25 permit udp any host 10.1.1.2 eq 53 deny ip any any

8.3.1 Demilitarizovaná zóna - DMZ DMZ je část sítě ohraničené firewallem nebo sadou firewallů . Termín byl původně používán jako vojenský popis pro oblast mezi vojenskými mocnostmi, kde není povolen konflikt. DMZ definují části sítě, které jsou důvěryhodné a části, které jsou nedůvěryhodné. Design Firewall je především o rozhraní zařízení umožňujících nebo popírání provoz založený na zdroj, cíl a druh provozu. Jednoduchá brána určuje pouze externí (nedůvěryhodnou) a interní (důvěryhodnou) část. V takovém případě je možno povolit provoz zevnitř s malým nebo žádným omezením. Provoz pocházející z vnějšku je obvykle blokován zcela, nebo velmi selektivně. Provozu vracejícího se z vnějšku, který byl iniciován zevnitř, je povoleno procházet z nedůvěryhodného rozhraní na důvěryhodné. Složitější konstrukce ochrany využívá navíc rozhraní pro Demilitarizovanou zónu. Provoz zevnitř je povolen podle charakteru jak přes DMZ, tak přímo. Provoz z DMZ je povolen bez omezení do vnitřní sítě. Provoz pocházející z vnějšku je obvykle blokován zcela, pokud to není odpověď na provoz zahájený zevnitř. Kromě toho je povolen provoz z vnějšku do DMZ za předpokladu, že je určen pro DMZ. Tento druh provozu je typicky e-mail , DNS , HTTP nebo HTTPS .

Obr. 8.12: Použití demilitarizované zóny ve firewallu, zdroj: [1]

8.3.2 Vrstvená obrana Vrstvená obrana umožňuje rozdělit bezpečnost do různých hloubek od nejméně chráněné svrchní vrstvy až po nejvíce zabezpečené jádro. Detekční kontrola provozu Provoz, který přichází z nedůvěryhodné externí sítě, se nejprve setká s paketovým filtrem na vstupním CZ.1.07/2.1.00/32.0045


41

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 rozhraní. Provoz dále pokračuje do DMZ přes stíněný firewall pro hostitelský systém s určitými pravidly, který vyřadí podezřelé pakety. Odsud může jít provoz do vnitřního chráněného směrovače, který ho nasměruje do vnitřní sítě na cílového hostitele pouze, pokud úspěšně projde filtry mezi vnějším směrovačem a vnitřní sítí.

Obr. 8.13: Vrstvená ochrana provozu, zdroj: [1] Vrstvená topologie firewallu nestačí k plné ochraně vnitřní sítě. Při kompletní ochraně je třeba zvážit mnoho dalších faktorů:    

Značný počet průniků pochází z vnitřní sítě. Například firewally neochrání vnitřní síť plně před viry, které jsou staženy prostřednictvím e-mailu. Není náhradou za informovanost administrátorů a uživatelů. Nenahrazuje mechanismy zálohování a obnovení po zhroucení vyplývající z útoku nebo selhání hardwaru. Ochrana vnitřní sítě zahrnuje také externí ukládání dat a redundantní hardwarové topologie.

Zásady bezpečnostní politiky:       

Umístění firewallu na klíčové bezpečnostní hranice. Není moudré se spoléhat výhradně na funkci firewall. Zakázat všechny přenosy ve výchozím nastavení, a povolit pouze služby, které jsou potřebné. Používat pravidla a kontrolu fyzického přístupu k firewallu. Pravidelně monitorovat logy firewallu. Např. využitím systému MARS (Monitoring, Analysis, and Response Systém). Vyzkoušet nejprve změny v novém nastavení firewallu. Firewall chrání především před technickým útokem zvenčí. Vnitřní útoky jsou v podstatě netechnické.

CZ.1.07/2.1.00/32.0045


42

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Příklad bezpečnostního řešení interní sítě s jednou DMZ, autentizačním severem a dvěma bránami do externí sítě:

Obr. 8.14: Příklad zabezpečení sítě firewallem, zdroj: [1]

8.3.3 Řízení přístupu na základě obsahu - CBAC CBAC (Context-based access control) je řešení řízení přístupu podle obsahu v rámci Cisco IOS firewall. CBAC filtruje TCP a UDP pakety na základě informací o relaci sestavené protokolem aplikační vrstvy (např. přihlášení do banky). Může také prověřit spojení vnitřní sítě za NAT a PAT a provádět potřebné překlady adres. CBAC může blokovat peer-to-peer připojení, které se používá např. dříve v aplikacích Gnutella, Kazaa, nyní BitTorrent. Tím ale mohou být blokovány také aplikace Instant messaging, Yahoo!, AOL a MSN. CBAC nabízí čtyři hlavní funkce: 







Filtrování provozu – Umožnění externích odpovědí na připojení zahájené interně. Využívá se dočasně povolených ACL. CBAC může kontrolovat provoz pro relaci, která pochází z libovolné strany firewallu. CBAC ověřuje nejen síťovou vrstvu, ale i vrstvu transportní a aplikační (např. FTIP) pro zjištění stavu relace. Proto umožňuje podporu protokolů, které obsahují více kanálů vytvořených při sestavení řídícím kanálem (např. multimediální protokoly, FTP, RPC a SQL). Dohled provozu – Poněvadž CBAC kontroluje pakety na aplikační vrstvě a udržuje TCP a UDP informace o relaci, může detekovat a zabránit útokům typu podvodný SYN (SYNflood). Ten nastane, když útočník zaplaví server přívalem žádostí o připojení, které nejsou dokončeny. Velké množství napůl otevřených spojení zaplaví server, který odmítne jinou platnou žádost. CBAC chrání proti DoS útokům tím, že kontroluje pořadová čísla paketů v TCP spojení, zda jsou v očekávaném rozsahu, a zahazuje podezřelé pakety. CBAC lze nastavit tak, aby zahazoval napůl otevřené spojení, které vyžadují zpracovaní a zabírají paměť. Detekce narušení – CBAC poskytuje omezené množství detekce narušení k ochraně proti specifickým útokům SMTP. Zprávy syslog jsou přezkoumávány a sledovány pro specifické znaky daných útoků. Při detekci útoku na základě těchto specifických vlastností, znovu spustí proces připojení a odešle syslog informace. Upozornění na vytvoření auditu – CBAC pomocí sledování všech síťových transakcí v syslog

CZ.1.07/2.1.00/32.0045


43

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 (časová razítka, zdrojové a cílové adresy, porty, celkový počet přenesených dat) generuje v reálném čase upozornění a auditní stopy. Výstrahy odesílá na centrální konzolu. CBAC využívá reflexních ACL v těchto směrech:        

Monitoruje nastavení TCP spojení. Udržuje informace o relaci UDP. Sleduje čísla TCP sekvence. Kontroluje DNS dotazy a odpovědi. Kontroluje běžné typy zpráv protokolu ICMP. Podporuje aplikace, které využívají více spojů. Kontroluje uložené adresy. Kontroluje informace aplikační vrstvy.

CBAC poskytuje filtraci pouze pro ty protokoly, které jsou nakonfigurovány správcem. Nechrání pře útoky pocházející z vnitřní chráněné sítě.

8.3.4 Řízení přístupu podle oblastí (Zone-Based) Umožňuje zvolit různé politiky kontroly pro různé hostitelské skupiny připojené na stejné rozhraní směrovače. Vlastnosti Zone-Based firewall:    

Není závislé na ACL. Vše je zablokované, pokud není výslovně povoleno. Nastavení je snadno čitelné a řešitelné pomocí jazyka C3PL (Cisco Common Classification Policy Language). Jedna politika přístupu podle oblasti na místo vytváření více ACL a dalších kontrolních činností.

Postup vytvoření Zone-Based firewall: 1. Rozdělení infrastruktury vnitřní sítě do zón podle úrovní zabezpečení (veřejné sítě, jedna vnitřní síť). 2. Vytvoření politiky mezi zónami pro každou dvojici zón zdroj, cíl. Např. z vnitřní sítě do internetu. Určit relace, o které klienti ve zdrojových oblastech mohou požádat servery v cílových zónách. Jedná se nejčastěji o relace TCP, UDP a ICMP. Provoz bez relace, jako je IPsec, ESP (Encapsulating Security Payload), musí správce definovat jednosměrný provoz od zdroje k cíli a naopak. 3. Vytvoření fyzické infrastruktury – Po zdokumentování požadavků z předchozích bodů dojde k návrhu fyzické infastruktury (počet zařízení, vytvoření redundantních zařízení). 4. Určení podskupin sloučení požadavku provozu – Pro každé zařízení tvořící firewall správce určí podskupiny zóny spojené s jeho rozhraním a sloučí požadavky na provoz pro tyto zóny (např. více zón může být nepřímo připojeno k témuž rozhraní firewallu, kde je nutno vytvořit mezizónovou politiku.

CZ.1.07/2.1.00/32.0045


44


9. Detekce a prevence útoků

9.1 Intrusion detection systém (IDS) V situaci, kdy je proveden útok vlivem nalezení bezpečnostní díry v softwaru (než vznikne servisní balíček s opravou), jsou zařízení v síti tímto útokem ohrožena (zero-day útok). Obranou sítě při těchto rychle se šířících útocích je funkční IDS. IDS realizuje pasivní sledování provozu sítě. Kopíruje provozní tok a analyzuje monitorovaný provoz, který porovnává se známými škodlivými rysy podobně jako při off-line kontrole software na přítomnost virů. Výhodou provozu s kopií je, že ID nemá vliv na skutečný tok paketů. Nevýhodou provozu s kopií je, že IDS nemůže zastavit sám škodlivý provoz a musí vyžádat spolupráci se směrovači a firewally. Průběh detekce útoku znázorňuje obrázek: 1. Útok postupuje sítí, kde je nasazen IDS v odposlouchávacím módu, který kopíruje všechny pakety a posílá je do IDS senzoru a ten je analyzuje. Cílový stroj je napaden škodlivým útokem. 2. IDS senzor srovná škodlivý útok se vzorem a zašle přepínači příkaz k zákazu přístupu škodlivého provozu. 3. IDS zašle varovné hlášení na konzoli pro logování a dalšího zpracování.

Obr. 9.1: Intrusion detection systém, zdroj: [1]

9.2 Intrusion prevention systém (IPS) Systém prevence narušení (IPS) je založen na technologií IDS. Na rozdíl od IDS provádí IPS in-line prevenci – všechen vstupní a výstupní provoz prochází skrz IPS. IPS blokuje pakety pro vstup do důvěryhodné strany sítě, dokud neproběhne analýza. Tím dojde k okamžitému odhalení a řešení problému. Platformy Cisco IPS používají kombinaci detekčních technologií popsaných v předchozích kapitolách. Výhodou je rozpoznání a zastavení single-paketového útoku před dosažením cílového systému. Nevýhodou může být špatně nakonfigurované IPS nebo jeho nevhodné řešení, které může ovlivnit žádaný provoz. Průběh prevence útoku znázorňuje obrázek: CZ.1.07/2.1.00/32.0045


45

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 1. Útok postupuje sítí, kde je nasazen IPS v in-line módu. 2. IPS senzor analyzuje paket na svém vstupním rozhraní a porovná škodlivý útok se vzorem a okamžitě zastaví útok. 3. IPS senzor může poslat varovné hlášení na konzoli pro logování a dalšího zpracování. 4. V případě narušení je provoz zahozen IPS senzorem.

Obr. 9.2: Intrusion prevention systém, zdroj: [1] Zapnutí Cisco IOS Firewall IDS na směrovači, kde AGENT je označení auditu: Router(config)#ip audit name AGENT attack action alarm Router(config)#interface Fa0/0 Router(config-if)#ip audit AGENT in Vypnutí IDS: Router#clear ip audit configuration Kontrola konfigurace: Router#show ip audit configuration Router#show ip audit interface Router#show ip audit statistics

10. Monitoring provozu Jedná se o tzv. zrcadlení provozu a umožnění administrátorovi bez rozpojení linky, na které chce komunikaci sledovat, analyzovat celkovou komunikaci (např. programem Wireshark).

10.1 Switched Port Analyzer – SPAN Síťový provoz procházející přes porty přepínače nebo virtuální sítě můžeme analyzovat pomocí Switched Port Analyzer (SPAN) nebo Remote SPAN (RSPAN), který zasílá kopii provozu na jiný port přepínače nebo na jiné zařízení (např. přepínač). SPAN zasílá kopii provozu (přijatého CZ.1.07/2.1.00/32.0045


46

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 i odeslaného) na zdrojových portech nebo zdrojových VLAN na cílový port k analýze, přitom neovlivňuje provoz na síťových portech nebo VLAN. Cílový port u SPAN nebo RSPAN je možné použít pro vložení paketu z bezpečnostních síťových zařízení. Např. připojíme-li Cisco Intrusion Detection Systém (IDS) k cílovému portu, zařízení IDS může zasílat TCP reset paket pro uzavření TCP relace podezřelého útočníka. Local SPAN Podporuje SPAN relaci pomocí jednoho přepínače. Všechny zdrojové porty nebo zdrojové VLAN a cílové porty jsou na stejném přepínači. Např. na obrázku veškerý provoz na portu 5 (zdrojový port) se zrcadlí na port 10 (cílový port). Analyzátor sítě na portu 10 přijímá všechen síťový provoz z portu 5, aniž by byl fyzicky k němu připojen.

Obr. 10.1: Zrcadlení portů RSPAN RSPAN podporuje zdrojové porty, zdrojové VLAN a cílové porty na různých přepínačích a umožňuje více monitorování dálkových přepínačů v síti. RSPAN provoz je kopírován do RSPAN VLAN a předán přes trunkový port do cílové relace sledující RSPAN VLAN. Každý RSPAN zdrojový přepínač musí mít buď port nebo VLAN jako RSPAN zdroj. Cílem je vždy fyzický port, jak je ukázáno na přepínači C.

CZ.1.07/2.1.00/32.0045


47


Obr. 10.2: Aplikace RSPAN SPAN relace (lokální nebo vzdálená) umožní sledovat provoz na jednom nebo více portech, nebo v jedné nebo více virtuálních sítích a odešle monitorovaný provoz na jeden nebo více cílových portů. Lokální SPAN relace je sdružení cílového portu se zdrojovými porty nebo zdrojovými VLAN – vše na jednom síťovém zařízení. Sledování SPAN relace má hlavně tyto omezení:  

Nelze míchat zdrojové porty a zdrojové VLAN ve stejné relaci. Nelze sledovat na cílovém portu s nižší propustností zdrojový port s vyšší propustností (dochází ke ztrátě paketů).

Výchozí nastavení nesleduje provoz na linkové vrstvě (BPDU, CDP, VTP, STP, PAgP). Pokud se zadá příkaz encapsulation replicate, pakety jsou posílány na cílový port se stejným zapouzdřením, jaké měly na zdrojovém portu. Zdrojový port má tyto vlastnosti:    

Může být monitorován ve více SPAN relací. Je možné nastavit směr monitorovaného provozu. Může být jakéhokoliv typu (EtherChannel, Fast Ethernet, atd.). Pro zdroj EtherChannel je možné sledovat celkový provoz nebo provoz na individuálních fyzických portech EtherChannel.

CZ.1.07/2.1.00/32.0045


48

   

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Může to být access port, trunk port nebo voice VLAN port. Nemůže to být cílový port. Zdrojové porty mohou být ve stejných nebo i rozdílných VLAN. Je možno sledovat více zdrojových portů v jedné relaci.

Zdrojová VLAN má tyto vlastnosti:       

Je možno sledovat jednu nebo více VLAN, provoz je sledován na všech portech této VLAN. Všechny aktivní porty mohou být monitorovány v obou směrech. Na daném portu se zasílá k cílovému portu pouze provoz monitorované sítě VLAN. Pokud cílový port patří do zdrojové (monitorované) VLAN, je vyjmut ze zdrojového listu a není monitorován. Při přidání nebo odebrání portu ve zdrojové VLAN se přidá nebo odebere provoz ve sledovaném zdroji. Nelze použít filtrování VLAN ve stejné relaci s VLAN zdroji. Je možné sledovat pouze Ethernetové VLAN.

Filtrování VLAN: 

   

V základním nastavení jsou sledovány všechny aktivní VLAN na trunk portech. Je možné omezit sledování provozu v trunk zdrojových portech na specifické VLAN použitím VLAN filtru. VLAN filtrování lze aplikovat pouze na trunk portech nebo voice VLAN portech. VLAN filtrování se dá použít pouze na relacích port-based a není povoleno v relacích se zdrojovými VLAN. Pro vytvořený filtr jsou monitorovány pouze ty VLAN, které jsou obsažené ve filtru na trunk portech nebo voice VLAN přístupových portech. VLAN filtrování ovlivňuje pouze provoz pro cílový SPAN port a nemá vliv na přepínání v normálním provozu.

Cílový port:        



Každá SPAN relace musí mít cílový port (nazývaný monitorovací port), který přijímá a kopíruje provoz ze zdrojových portů nebo VLAN. Jestliže nakonfigurujeme SPAN na cílový port, tato nová konfigurace přepíše jeho původní nastavení. Pokud SPAN konfiguraci odstraníme, port se navrátí k předchozí konfiguraci. Pokud port byl v EtherChannel skupině, je z této skupiny vyjmut (po dobu nastavení jako cílový port). Nelze použít na zabezpečeném portu. Nelze použít na zdrojovém portu. Nelze použít pro EtherChannel skupinu nebo VLAN. Může být součástí pouze jedné SPAN relace. Pokud je cílový port aktivní, příchozí provoz je vypnut. Tento port nemůže vysílat provoz kromě požadavku pro SPAN relaci. Příchozí provoz na tento cílový port neumožňuje stav portu learned nebo forwarded. Pokud je zapnutý ingress traffic forwarding pro bezpečnostní zařízení na cílovém portu,

CZ.1.07/2.1.00/32.0045


49

   

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 předává se na vrstvě 2. Nespolupracuje s těmito protokoly vrstvy 2 (STP, VTP, CDP, DTP, PagP). Cílový port, který patří do zdrojové VLAN nějaké SPAN relace, je vyjmut z tohoto zdrojového listu a není sledován. Maximální počet cílových portů přepínače je 64. Lokální SPAN při zapnutém „encapsulation replicate“ je předáván na cílový port v originálním zapouzdření (netagovaném nebo dot1Q). Pokud tento příkaz nepoužijeme, pakety se objeví v netagovaném formátu.

Rysy spolupráce SPAN: STP – Cílový port nespolupracuje s STP během aktivní SPAN relace. Na zdrojovém portu se neuplatňuje STP status. STP může být aktivní na trunk portu přenášející RSPAN VLAN. CDP – SPAN cílový port nespolupracuje s CDP během aktivní SPAN relace. VTP – Je možno použít nastavení VTP prune na RSPAN VLAN. VLAN a trunk – Změny nastavení trunk a příslušnosti do VLAN se neprojeví, dokud nevyjmeme SPAN konfiguraci. EtherChannel – je možno nastavit EtherChannel skupinu na zdrojovém portu SPAN, nikoliv však na cílovém portu. Pokud je přidán (nebo vyjmut) do EtherChannel skupiny fyzický port, je tento port rovněž přidán (nebo vyjmut) do SPAN zdrojového listu. Fyzický port, který patří do EtherChannel skupiny, může být zároveň konfigurován jako zdrojový port SPAN. V tomto případě jsou sledována data, zúčastněná na provozu EtherChannel. Pokud je fyzický port patřící do EtherChannel skupiny nastaven jako SPAN cíl, je vyjmut z této skupiny. Pokud patří fyzický cílový port do EtherChannel skupiny, která je zdrojem, port je vyjmut z této skupiny a z listu monitorovaných portů.   

Může být sledován Multicast provoz. Pro příchozí a odchozí sledování je zaslán pouze jeden nezměněný paket na cílový SPAN port. Nesleduje počet opakování multicast paketů. Zabezpečený port nemůže být cílovým portem SPAN. Pokud je na portu nastaveno bezpečnost IEEE 802.1x, lze ho použít jako zdrojový. Při použití tohoto portu jako cílový se IEEE 802.1x vypne.

Výchozí nastavení: Parametr

Výchozí nastavení

SPAN stav

Vypnut

Provoz zdrojového portu k monitorování

Both – příchozí i odchozí provoz

Typ zapouzdření na cílovém portu

Nativní forma (neznačkované pakety)

Vstupní provoz na cílovém portu

Vypnut

VLAN filtrování

Na trunk rozhraní použit jako zdrojový port, všechny VLAN jsou sledovány

CZ.1.07/2.1.00/32.0045


50

RSPAN VLAN

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 nekonfigurováno

Zásady konfigurace:         

Jako SPAN zdroj zvolíme buď samostatný port (VLAN) nebo rozsah portů (VLAN). Není možné slučovat zdrojové porty se zdrojovými VLAN v jedné SPAN relaci. Cílový port nemůže být zdrojovým portem a naopak. Nemůžeme mít stejný cílový port ve dvou SPAN relacích. Cílový SPAN port nelze použít jako normální port přepínače. Zadaná SPAN konfigurace neodstraňuje předchozí nakonfigurované parametry SPAN. Pro smazání konfigurace je nutno zadat příkaz „no monitor session“ s příslušnými parametry. Pro sledování originálního zapouzdření – netagované nebo dot1Q – je nutno zadat příkaz „encapsulation replicate“, jinak se zobrazují pakety jako nativní. Je možno nastavit vypnutý port jako zdrojový nebo cílový port SPAN, ale SPAN funkce se spustí teprve, když alespoň jeden port nebo VLAN bude zapnut. Můžete omezit SPAN provoz použitím příkazu „filter vlan“. Při sledování trunk portu se zobrazuje pouze provoz ve VLAN specifikované tímto příkazem. Není možno slučovat zdrojové VLAN s filtrovanými VLAN v jedné SPAN relaci.

Vytvoření SPAN relace interface: Odstranění existující SPAN relace: S1(config)#no monitor session {číslo relace} Vytvoření relace 10 (1 - 66) se zdrojovým portem Fa0/1 (port-channel 1 – 6 nebo VLAN 1-4094) a defaultním nastavením provozu: S1(config)#monitor session 10 source interface fastEthernet 0/1 Určuje cílový port Fa0/24 pro relaci SPAN 10 a zobrazení původního zapouzdření: S1(config)#monitor session 10 destination interface fastEthernet 0/24 encapsulation replicate Vypíše nastavení konfigurace: S1#show monitor Odstranění existující SPAN relace: S1(config)#no monitor session {číslo relace}

CZ.1.07/2.1.00/32.0045


51


11. LAN bezpečnost

V lokálních sítích je hlavním zdrojem napadení připojení (i neúmyslné) do LAN sítě pomocí pirátských zařízení – podstrčený přepínač nebo bezdrátový AP (Access Point). Útočník může monitorovat nebo modifikovat provoz procházející tímto pirátským zařízením. Efektivní obranou je sledování BPDU (Bridge Protocol Data Unit) rámců, monitorování ARP databáze (program Arpwatch, který sleduje a uchovává seznam použitých MAC/IP adres a informuje o jejich změně nebo výskytu nové dosud neznámé MAC/IP adresy.

11.1 Druhy útoků na LAN Nejznámější druhy útoků:

11.1.1 MAC address spoofing Ke spoofing útokům dochází, když útočník se maskuje nebo se vydává za jiného příjemce a přijímá data určená pro původního příjemce. Tuto situaci znázorňuje obrázek:

Obr. 11.1: Útok MAC address spoofing, zdroj: [1] Útočník změní MAC adresu svého hostitele na hodnotu cílového hostitele. Odešle rámec do celé sítě s touto svojí novou adresou a přepínač přiřadí tuto adresu na port vedoucí k útočníkovi. Rámce určené pro cílového hostitele pak přepínač zasílá útočníkovi. Cílový hostitel nepřijímá žádný provoz, ale pokud odešle rámec, přepínač přepíše znovu MAC adresu na původní port.

11.1.2 MAC address flooding Jedná se o zaplavení přepínače velkým počtem MAC adres. Dojde k přeplnění paměti rezervované pro přepínací tabulku (CAM – Content Addressable Memory). Útočník generuje velký počet rámců s náhodnou MAC adresou a způsobí zaplnění CAM tabulky a zamezí vytváření nových záznamů. Tím degraduje funkci přepínače na hub (více portový opakovač) a získá přístup k provozu v síti (pro monitoring a zachytávání). Kromě toho u starších přepínačů dojde k výraznému zatížení a nestabilitě celého systému – lze i tento útok označit jako DoS. Ochranou proti tomuto útoku může být nastavení Port Security s maximálním počtem MAC adres na portu, kdy při překročení dojde k dočasnému zablokování nebo vypnutí portu. U moderních přepínačů je možno použít Port Based Authentication, kde je každé připojené zařízení ověřováno a případně i autorizováno metodou 802.1x (např. RADIUS server).

CZ.1.07/2.1.00/32.0045


52

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Konfigurace Port Security Provádí se v konfiguračním módu daného rozhraní. Tato služba se zapíná příkazem bez parametrů: Switch(config-if)#switchport port-security Příklady nastavení parametrů: Switch(config-if)#switchport port-security maximum 2 Switch(config-if)#switchport port-security violation restrict Switch(config-if)#switchport port-security aging time 2 Switch(config-if)#switchport port-security aging type inactivity Switch(config-if)#switchport port-security maximum 1 vlan voice Switch(config-if)#switchport port-security mac-address aaaa.bbbb.cccc Switch(config-if)#switchport port-security mac-address sticky Zobrazení nastavení pomocí příkazů: Switch#show port-security Switch#show port-security interface FastEthernet0/1

11.1.3 DHCP spoofing Jedná se o spuštění pirátské DHCP serveru v lokální síti, který přiděluje IP adresy IP zařízením a jako výchozí bránu označí sám sebe. Útočník přesměruje veškerý provoz uživatele přes své zařízení a je schopen tento provoz monitorovat, zaznamenávat nebo i dokonce modifikovat. Obranou je konfigurace DHCP snooping, kde administrátor označí porty na přepínači s DHCP servery jako důvěryhodné a ostatní porty jsou s výchozí hodnotou označené jako nedůvěryhodné. Příklad konfigurace DHCP snooping: Switch(config)#ip dhcp snooping Switch(config)#ip dhcp snooping vlan 10,20 Switch(config)#no ip dhcp snooping information option Switch(config)#ip dhcp snooping database tftp://192.168…./hostname Switch(config)#ip dhcp snooping database write-delay 15 Switch(config)#ip dhcp snooping database timeout 0 Aplikace DHCP snooping na port: Switch(config-if)#ip dhcp snooping trust Switch(config)#ip dhcp snooping limit rate 100

11.1.4 VLAN hopping Využívá značkování rámců protokolem IEEE 802.1q a metodu Double Tagging nebo Switch Spoofing. Útočník je schopen číst nebo odesílat rámce z jiné podsítě, než do které má standardně přístup. Popis metod: 

Double Tagging – využívá dvojité označkování rámců, který přepínač přijme a zpracuje na základě prvního označkování a toto označkování odstraní. Pokud se jedná o podsíť, kterou

CZ.1.07/2.1.00/32.0045


53



SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 přepínač považuje jako nativní, je rámec bez další kontroly poslán na TRUNK port. Druhý přepínač rámec přijme jako označkovaný (původní druhé označkování) a pracuje s ním podle tohoto označkování. Tím se útočník dostane do jiné podsítě. Switch Spoofing – útočníkovo zařízení se tváří jako přepínač (má nastavenou podporu Dynamic Trunking Protocol) a připojením na přepínač je schopen vyjednat režim portu na TRUNK.

Obranou je vypnutí nepoužívaných portů, nepoužívání nativní sítě a konfigurace všech přístupových portů do statického režimu (switchport mode access).

11.1.5 ARP spoofing/poisoning Uživatel většinou zná doménové jméno, které je díky službě DNS přeloženo na IP adresu a ta je potřeba přeložit na MAC adresu. Všesměrový ARP dotaz zachytí útočník a generuje vlastní ARP odpověď, přesto že tuto adresu nevlastní. Poté jsou všechna data pro danou IP adresu posílána útočníkovi. Jedná se o typ útoku Man in the Middle. Obranou je využití privátních podsítí, druhou technikou je ARP Inspection, kde dochází ke kontrole každého rámce, zda obsahuje správnou kombinaci MAC a IP adresy přidělenou z DHCP serveru a pochází z portu, kde došlo k této DHCP žádosti.

11.1.6 STP Manipulation Attacks Útočník může měnit topologii sítě pomocí STP (Spanning Tree Protocol) tím, že se vydává za falešný root bridge a veškerý provoz na něj přesměruje. Změnu root bridge provede vysláním falešné změny BPDU. Ke snížení manipulace s BPDU je možno přístupové porty pro jednotlivé klienty nastavit do portfast módu nebo pro všechny najednou příkazem: Switch(config)# spanning-tree portfast default Switch(config-if)# spanning-tree portfast Příkaz doplníme zabráněním zasílání BPDU na portfast portech: Switch(config)# spanning-tree portfast bpduguard default Switch(config)#errdisable detect cause bpduguard shutdown vlan Switch(config-if)# spanning-tree bpduguard enable

11.1.7 Zabezpečení portů 





Potřebujeme-li zakázat komunikaci mezi porty jednoho přepínače, zadáme na těchto portech příkaz: Switch(config-if)#switchport protected Komunikace mezi standardními porty a protected porty je povolena. K zabránění záplavově rozesílaných paketů, je možno použít blokaci portů: Switch(config-if)#switchport block multicast Switch(config-if)#switchport block unicast V případě, že se port dostane do stavu errdisable, je možno nakonfigurovat návrat příkazem: Switch(config)#errdisable recovery cause all Switch(config)#errdisable recovery interval 180

CZ.1.07/2.1.00/32.0045


54



SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Stav je možno prohlížet příkazy: Switch#show interface status err-disabled Switch#show errdisable detect Switch#show errdisable recovery Zabránění vzniku Bradcast, Multicast nebo Unicast Storm je možno použít konfigurace Storm Control a Threshold úrovně, kterou lze nastavit na maximální zatížení linky. Ve výchozí konfiguraci je tato funkce vypnutá a nastavuje se na rozhraní: Switch(config-if)#storm-control unicast level … Switch(config-if)#storm-control broadcast level … Switch(config-if)#storm-control multicast level … Switch(config-if)#storm-control action trap

12. VPN (Virtual Private Network) Jedná se o privátní síť, která je vytvořena pomocí tunelování přes veřejnou síť (internet). Na místo vyhrazené fyzické linky používá VPN virtuální spojení směrované přes internet s organizace na vzdálené místo. První VPN byly čisté IP tunely bez ověřování a šifrování dat (GRE – Generic Routing Encapsulation). Použitím tunelu se vytvoří point-to-point logické spojení směrovačů na odlehlých místech pomocí 2. nebo 3. vrstvy OSI modelu. Výhody VPN:    

Úspora nákladů – VPN umožňují využít připojení k internetu pro přepravu a propojení vzdálených poboček. Eliminuje náklady na vyhrazené linky a modemy. Bezpečnost – VPN poskytují největší úroveň zabezpečení pomocí pokročilých šifrovacích a autentizačních protokolů. Škálovatelnost – VPN využívá internetovou infrastrukturu, do které je snadné přidat nového uživatele. Kompatibilita s širokopásmovou technologií – VPN umožní mobilním pracovníkům využít vysokorychlostní připojení při značné flexibilitě a efektivitě.

Rozlišujeme dva základní typy VPN:  

Site-to-site Remote-access

12.1 Site-to-site Jedná se o propojení pobočkových sítí realizované rovnocenným zařízením na obou stranách se známou VPN konfigurací, která je statická. Interní hostitelé nepoznají toto propojení VPN (např. protokoly Frame Relay, ATM, GRE a MPLS).

12.1.1 GRE tunel Podporuje multiprotokolové tunelování (zapouzdření více typů protokolů uvnitř tunelu IP), což umožňuje multiprotokolový přenos přes jednoprotokolový (IP) páteřní tunel s multicastovou adresací. Umožňuje použití směrovacích protokolů ve virtuální síti.

CZ.1.07/2.1.00/32.0045


55


Obr. 12.1: Zapouzdření pomocí GRE tunelu, zdroj: [1] Konfigurace GRE tunelu: 1. 2. 3. 4. 5.

Vytvoření tunelového rozhraní Určení IP adres v tunelu Přiřazení fyzického zdrojového rozhraní pro tunel Přiřazení fyzického cílového rozhraní pro tunel Konfigurace zapouzdření protokolem GRE

Obr. 12.2: Příklad konfigurace GRE tunelu, zdroj: [1] R1(config)#interface tunnel 0 R1(config-if)#ip address 10.1.1.1 255.255.255.252 R1(config-if)#tunnel source serial 0/0/0 R1(config-if)#tunnel destination 209.165.200.225 R1(config-if)#tunnel mode gre ip

12.1.2 IPsec Security Protocol Využívá IP adresování, není vázán na žádné konkrétní šifrování, autentizaci, bezpečnostní algoritmy nebo klíčovací technologie. IPsec je rámec otevřených standardů, který vysvětluje pravidla pro bezpečnou komunikaci. Využívá existující algoritmy pro implementaci šifrování, autentizaci, výměny klíčů. Pracuje na 3. vrstvě pomocí chráněných a autentizovaných IP paketů mezi zúčastněnými IPsec zařízeními. Může chránit prakticky veškerý provoz aplikací, protože ochrana může být provedena od 4. do 7. vrstvy OSI modelu. Všechny implementace IPsec mají plaintext L3 hlavičku, takže nejsou žádné problémy se směrováním. IPsec funguje přes všechny protokoly 2. vrstvy OSI modelu (Ethernet, ATM, Frame Relay, SDLC (synchronous Data Link Control) a HDLC (High-level Data Link Control). IPsec se skládá z pěti stavebních bloků: CZ.1.07/2.1.00/32.0045


56

 

  

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Protokol IPsec – ESP nebo AH Důvěrnost – šifrovací algoritmus (DES – symetrický 56 bitový klíč, 3DES - tři nezávislé 56 bitové šifrovací klíče na 64 - bitovém bloku, AES – efektivnější než DES - 128 bitů , 192 bitů a 256 bitů, nebo SEAL - Software-Optimized Encryption Algorithm - proudová šifra - používá 160 - bitový klíč) Integrita – MD5 nebo SHA Způsob sdílení klíče – pre-shared nebo digitálně podepsaný pomocí RSA Skupina DH algoritmu – DH1, DH2, DH5, DH7

Poněvadž je IPsec pouze rámec, do kterého vkládá administrátor vybrané algoritmy, umožňuje použití novějších a lepších algoritmů bez oprav stávajících norem IPsec. IPsec poskytuje kromě základních stavebních bloků další bezpečnostní funkce: 



Autentizace – Internet Key Exchange (IKE) pro ověřování uživatelů a zařízení, které mohou provádět komunikaci nezávisle. Pro ověřování používá uživatelské jméno, heslo, jednorázové heslo, biometrii, PSK a digitální certifikáty. Bezpečná výměna klíčů – DH algoritmus provádí výměnu veřejného klíče pro sestavení sdíleného tajného klíče.

Obr. 12.3: Zapouzdření pomocí ESP transport módu, zdroj: [1]

12.2 Remote-access Informace o VPN nejsou staticky nastavené, ale umožní se dynamicky měnit (zapnout/vypnout). Podporují architekturu klient-server, kde klient VPN (vzdálený počítač) vyžaduje bezpečný přístup k podnikové síti pomocí zařízení VPN serveru na jeho rozhraní. Typ VPN metody je založen na požadavcích přístupu uživatele nebo organizace. Základní rozdělení metody VPN:  

Secure Sockets Layer (SSL) IP Security (IPsec)

Porovnání vlastností obou metod: Použití CZ.1.07/2.1.00/32.0045

SSL Webové aplikace, sdílení souborů,

IPsec Všechny aplikace založené na IP


57

Šifrování Autentizace Použitelnost Možnosti připojení

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 email protokolu Střední – délka klíče 40-128 bit Silné – délka klíče 56-256 bit Střední – jedno nebo dvousměrná Silná – dvousměrná autentizace s použitím tajného nebo digitálního certifikátu Velmi snadná Střední – vyžaduje technické znalosti Jakékoliv zařízení podporující SSL Jenom určité zařízení se specifickou konfigurací

12.2.1 Technologie SSL VPN. Jedná se o vzdálený přístup pomocí webového prohlížeče a jeho nativní SSL šifrování. Uživatelé přistupují přes toto webové rozhraní, pracují s poštou, spouští aplikace na bázi TCP aniž by k tomu potřebovali IPsec VPN klienta. To umožňuje přístup k firemním zdrojům z jakéhokoliv počítače připojeného k internetu. SSL VPN nabízí v současné době dva režimy přístupu:  



SSL VPN bez klienta potřebuje pouze protokol SSL ve webovém prohlížeči pro přístup k http nebo HTTPS v podnikové síti LAN. SSL VPN s tenkým klientem musí nejprve stáhnout malý Java applet pro bezpečný přístup k aplikaci, který používá TCP statická čísla portů. Protokol UDP není v prostředí tenkého klienta podporován. SSL VPN s plným klientem

SSL VPN je vhodná pro uživatele, kteří vyžadují přístup řízený aplikací nebo serverem, nebo přístup z libovolných cizích PC. SSL VPN není kompletní náhrada za IPsec VPN. Hlavním přínosem SSL VPN je, že jsou kompatibilní s DMVPN (Dynamic Multipoint VPN), Cisco IOS firewall, IPsec, IPS, Cisco Easy VPN a NAT. Webovému prohlížeči umožňují pomocí TCP spojení použít například protokol POP3 , SMTP , IMAP , Telnet, SSH. Sestavení SSL relace: 1. Uživatel vytvoří odchozí spojení na port 443 protokolu TCP. 2. Směrovač reaguje s digitálním certifikátem, který obsahuje veřejný klíč a je důvěryhodně podepsán certifikační autoritou (CA). 3. Uživatelovo zařízení vygeneruje tajný sdílený klíč, který používají obě strany. 4. Tajný sdílený klíč je zašifrován pomocí veřejného klíče směrovače a přenesen do směrovače. Směrovač je pak snadno schopen dešifrovat paket pomocí svého soukromého klíče. Účastníci vytvoří relaci se sdíleným tajným klíčem. 5. Klíč slouží k šifrování SSL relace.

12.2.2 Remote IPsec – Cisco Easy VPN Řešení Cisco Easy VPN nabízí flexibilitu, škálovatelnost a snadné použití pro site- to-site a vzdálený přístup VPN. Skládá se ze tří částí:  

Cisco Easy VPN Server -Cisco IOS směrovače nebo Cisco PIX / ASA Firewall funguje jako head- end zařízení VPN v site- to-site a vzdálený přístup VPN. Cisco Easy VPN Remote -Cisco IOS směrovače nebo Cisco PIX / ASA Firewall jako vzdáleného klienta VPN.

CZ.1.07/2.1.00/32.0045


58



SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Cisco Easy VPN Client -aplikace podporována v počítači používá pro přístup k serveru Cisco VPN.

Vzdálené zařízení mohou být mobilní pracovníci se spuštěným klientem Cisco Easy VPN software na PC pro snadné navázání připojení VPN serveru s povoleným zařízením Cisco Easy VPN přes internet. Připojení Easy VPN:     

Vyjednání parametru tunelu. Sestavení tunelu podle parametru. Ověření uživatele podle jména, názvu skupiny a hesla. Správa bezpečnostního šifrovacího klíče. Ověřuje, šifruje a dešifruje data tunelem.

Obr. 12.4: Cisco Easy VPN, zdroj: [1] Jednotlivé kroky připojení Easy VPN: 1. Klient VPN iniciuje první fázi procesu IKE. Pokud je sdílený klíč použit pro autentizaci, klient VPN iniciuje agresivní režim. Pokud se používají digitální certifikáty pro ověření, VPN Client zahájí hlavní režim. 2. VPN klient zřizuje ISAKMP SA. Chcete-li snížit množství ruční konfigurace na straně klienta VPN, návrhy ISAKMP Easy VPN zahrnují všechny kombinace šifrování a hash algoritmy, metody ověřování a velikosti DH skupin. 3. Easy VPN server přijímá návrh SA. Politika ISAKMP se může skládat z několika návrhů, ale server Easy VPN používá první shodu, takže vždy nakonfiguruje jako první nejbezpečnější politiku. Ověřování zařízení končí a ověřování uživatelů v tomto okamžiku začíná. 4. Easy VPN server inicializuje výzvu k zadání uživatelského jména a hesla. Informace, která se zadává, je ověřována s pomocí autentizace entit používající ověřování, autorizaci a přístup (AAA) protokoly jako jsou RADIUS a TACACS +. Token karty mohou být také použity pomocí AAA proxy. Zařízení VPN, které jsou nakonfigurovány pro provoz vzdálených VPN klienti, by měly vždy vynutit autentizaci uživatele. 5. Proces konfigurace režimu je zahájen. Zbývající parametry systému (IP adresa, DNS , split tunnel atributes, atd.) jsou nyní dopraveny k VPN klientu pomocí nastaveného režimu. 6. Reverse route injection (RRI) proces je zahájen. RRI zajišťuje, vytvoření statické trasy na serveru Cisco Easy VPN pro interní adresu IP každého klienta VPN. 7. IPsec quick mode dokončí připojení. Po jeho dokončení se vytvoří IPsec SAs.

CZ.1.07/2.1.00/32.0045


59


13. Bezdrátová bezpečnost

Bezdrátové technologie jsou mocnou hnací silou pro pokrok v oblasti zabezpečení sítě. Snadnější přístup prostřednictvím bezdrátových zařízení zvyšuje potřebu komplexních bezdrátových bezpečnostních řešení. Podobnou potřebu přináší nástup VoIP (Voice over IP) telefonie a SAN (Storage Area Network). Vzniká potřeba komplexního zabezpečení integrované bezdrátové infrastruktury (hlas, video, data) ve spolupráci se zabezpečení kabelových sítích. Komplexní řešení snižuje náklady a zároveň zefektivňuje bezpečnost. Výhody komplexního řešení:    

Proactive threat a intrusion detection – detekují bezdrátové útoky a předchází jim. Komplexní opatření pro ochranu důvěrných dat a komunikaci. Jedna identifikace uživatele zjednodušuje správu a chrání před neoprávněným přístupem. Spolupráce s bezpečnostním systémem kabelových sítí vytváří nadstandardní funkce zabezpečení a ochrany.

V organizacích je vhodné provozovat konvergované sítě s pomocí PBX (Private Branch Exchange – IP pobočkové ústředny). Modely nasazení konvergované sítě:    

Single-site nasazení Centralizované zpracování volání se vzdálenými pobočkami Distribuované zpracování volání Clustering přes IP WAN

Výběr modelu nasazení závisí na požadavcích organizace, jako je například velikost sítě, funkce a dostupnost šířky pásma WAN. Při bezdrátovém provozu může útočník odchytit pomocí svého bezdrátového rozhraní a příslušného SW následující informace:      

Network Stumbler Kismet SW – zobrazí bezdrátové sítě, které nevysílají broadcast SSID AirSnort SW – odposlouchává a prolamuje WEP klíče CoWPAtty - prolamuje WPA-PSK (WPA1) ASLEAP – shromažďuje v autentizační data Wireshark – skenuje data z bezdrátových Ethernetových sítí

13.1 Základní zabezpečení bezdrátové sítě První bezdrátové sítě byly zcela otevřené. Postupně se začaly objevovat následující prostředky ochrany: 



skrytí SSID – ve výchozím stavu vysílá bezdrátový přístupový bod (AP – Access Point) periodicky SSID (Pojmenování sítě) ve zprávách beacon, který používá broadcast adresu, toto vysílání je možné vypnout autentizace dle MAC adresy klienta – AP dovolí připojení pouze klientů s MAC adresou,

CZ.1.07/2.1.00/32.0045


60



SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 kterou má uloženou v tabulce (není silné zabezpečení, MAC adresu lze odchytit a změnit) WEP (Wired Equivalent Privacy) – od IEEE 802.11b, klient připojen bez ověřování, data jsou šifrována WEP statickým klíčem 40 nebo 128 bit – administrátor musí na všech bodech nastavit tento klíč a při podezření všude opět změnit

13.2 Rozšířené zabezpečení bezdrátové sítě Používá tyto zabezpečovací metody: 

     

TKIP – rozšíření použití WEP šifrování (RC4 šifra) formou výměny sdílených klíčů pro každý paket, kontroly integrity zpráv MIC (message integrity check), častých změn inicializačního vektoru IV (initialization vector) a vysílání střídajících se klíčů AES – velmi zabezpečené a silné šifrování IPS – viz. kapitola č. 12 MFP (Management Frame Protection) – šifrované řídící rámce bezdrátové sítě 802.11i architektura specifikuje 802.1x pro autentizaci, nevyžaduje použití EAP (Extensible Authentication Protocol) a autentizační server protokol pro ověření uživatele IEEE 802.1x – podobně jako u drátové sítě WPA, WPA2 (Wi-Fi Protected Access) – sdílený dočasný klíč PSK (Pre-Shared Key) ověřuje klienta na základě hesla, které se musí shodovat s heslem přístupového bodu. PSK poskytuje klíče, které TKIP (Temporal Key Integrity Protocol) nebo AES (Advanced Encryption Standard) používají pro generování šifrovacího klíče u každého paketu přenášených dat. Tato metoda stále používá na straně klienta uložený sdílený klíč jako WEP. WPA WPA2 Enterprise mode - firemní Authentication: Authentication: sítě, státní organizace IEEE 802.1x/EAP IEEE 802.1x/EAP Encryption: Encryption: TKIP/MIC AES-CCMP Personal mode – velmi malé Authentication: Authentication: firemní sítě, domácí sítě PSK PSK Encryption: Encryption: TKIP/MIC AES-CCMP

13.3 Wireless LAN Controller (WLC) Pro centralizaci správy a zabezpečení, sledování provozu a snadné rozšiřitelnosti byl vyvinut model více lehkých přístupových bodů LAP (Lightweight AP) připojeného k WLC. WLC řídí veškeré bezdrátové funkce, jako je bezpečnostní politika, prevence narušení, řízení bezdrátového přenosu, QoS a mobilita (roaming). WLC komunikují s LAP pomocí LWAPP (Lightweight Access Point Protocol).

CZ.1.07/2.1.00/32.0045


61


14. Doporučená a použitá literatura [1] CISCO_CCNA_Security_English [2] Příklady ze softwaru Cisco Packet Tracert 6.0.1 [3] Patrick Zandl, Bezdrátové sítě WiFi Praktický průvodce, 1. vydání, Computer Press Brno 2003, ISBN 80-7226-632-2 [4] Ing. Michal Kostěnec, Ing. Michal Petrovič, Bezpečnost počítačových sítí, Západočeská univerzita v Plzni 2012, ISBN 978-80-261-0117-8 [5] Toby J. Velte, Anthony T. Velte, Síťové technologie cisco Velký průvodce, překlad: David Krásenský, 2. vydání, Computer Press Praha 2003, ISBN 80-7226-857-0 [6] ICT & SECURITY Sborník přednášek, City Tower (City Congress) Praha, 14.11. 2013

CZ.1.07/2.1.00/32.0045


62

Učební texty Datové sítě VI Bezpečnost počítačových sítí

Recommend Documents