UNICORN COLLEGE Katedra informačních technologií
BAKALÁŘSKÁ PRÁCE
Bezpečnost sítí
Autor BP: Jan Svoboda Vedoucí BP: Ing. Petr Bůva
2014 Praha
Poděkování Děkuji vedoucímu bakalářské práce Ing. Petru Bůvovi za účinnou metodickou, pedagogickou a odbornou pomoc a další cenné rady při zpracování mé bakalářské práce.
Bezpečnost sítí Network security
6
Abstrakt
Tato bakalářská práce se zabývá problematikou bezpečnosti počítačových sítí. Probírány jsou především témata jejich slabých míst, nejčastějších chyb v zabezpečení, frekventované útoky a možná protiopatření. Stěžejní kapitoly dále řeší moderní hrozby APT a DDoS, včetně aktuálních poznatků a statistik. Práce řeší zabezpečení z pohledu útočníka pokoušejícího se o průnik do firemního prostředí z internetu i vnitřní sítě. Bakalářská práce také obsahuje rešerši konkrétních možností zabezpečení běžných podnikových aktivních prvků sítě, včetně praktického popisu hypotetického scénáře. Práce také obsahuje kapitoly stručně se věnující historii internetových sítí a rozlišením mezi datovou a síťovou bezpečností. Cílem práce bylo prostudovat a popsat aktuální problematiku zabezpečení sítí se zaměřením na moderní prostředky a metodiky.
Klíčová slova: sítě, bezpečnost, počítačová kriminalita, firewall, UTM, DDoS, APT
7
Abstract
This bachelor’s thesis aims on the topic of the computer network security. Especially the vulnerabilities, most common mistakes, frequent types of attacks and countermeasures are discussed. Main topics of this thesis focus on modern threats such as APT and DDoS, including recent knowledge and statistics. The network security is being considered as from the point of view of an internet attacker so as from the intranet. Bachelor’s thesis comprises the research of particular possibilities of securing common network active network devices used in business, including description of a hypothetical security scenario. This work also contains chapters about internet networks history and considerations about differentiation between data and network security. The aim of this thesis was to study and describe current network security topics emphasizing modern resources and methodics.
Keywords: network, security, cybercrime, firewall, UTM, DDoS, APT
8
Obsah
1.
Teoretický úvod - sítě a význam zabezpečení ......................................................................... 12 1.1 Omezující podmínky ....................................................................................................................... 13 1.2 Síťová bezpečnost ............................................................................................................................ 13
2.
Historie internetových sítí a bezpečnosti .................................................................................. 14 2.1 Packet switching network ............................................................................................................. 14 2.2 TCP/IP Reference Model ............................................................................................................... 15 2.3 ARPANET ............................................................................................................................................. 18 2.4 Referenční OSI model ..................................................................................................................... 19 2.5 Historie zabezpečení sítí................................................................................................................ 20
3.
Rozlišení mezi datovou a síťovou bezpečností ....................................................................... 23 3.1 Datové a synchronní sítě ............................................................................................................... 24
4.
Architektura internetových sítí ..................................................................................................... 26 4.1 Architektura internetu ................................................................................................................... 26
5.
Frekventované metody útoků a protiopatření ........................................................................ 28 5.1 Deset nejčastějších chyb způsobujících slabá místa bezpečnosti sítě ......................... 30 5.1.1 Slabá hesla .................................................................................................................................. 30 5.1.2 Chybějící aktualizace .............................................................................................................. 30 5.1.3 Nezabezpečené body pro vzdálený přístup ................................................................... 31 5.1.4 Únik informací ........................................................................................................................... 31 5.1.5 Spuštěné nepotřebné služby................................................................................................ 32 5.1.6 Špatně nakonfigurované firewally .................................................................................... 33 5.1.7 Špatně nakonfigurované webové servery ...................................................................... 33 5.1.8 Neadekvátní logování a monitoring.................................................................................. 34 5.1.9 Špatný systém sdílených souborů a adresářů .............................................................. 34
9
5.1.10 Nedostatečná dokumentace či neexistující bezpečnostní politika..................... 35 5.1.11 Nezabezpečené mobilní technologie ............................................................................. 36 5.2 Frekventované metody útoků ..................................................................................................... 37 5.2.1 Odposlouchávání (zachytávání) síťové komunikace ................................................. 37 5.2.2 Modifikace dat ........................................................................................................................... 41 5.2.3 Zcizení identity.......................................................................................................................... 41 5.2.4 Prolamování hesel ................................................................................................................... 42 5.2.5 Man-in-the-middle útok ........................................................................................................ 42 5.2.6 Útok na aplikační vrstvě ........................................................................................................ 43 6.
Moderní typy útoků (APTs a DDoS) a protiopatření ............................................................. 46 6.1 APT (Advanced Perstistent Threath) ....................................................................................... 46 6.2 Detekce a možná protiopatření .................................................................................................. 50 6.3 DDoS – Distributed Denial of Service ....................................................................................... 51 6.3.1 Historie......................................................................................................................................... 51 6.3.2 Historické dělení útoků DDoS ............................................................................................. 52 6.3.3 Aktuální dělení DDoS útoků a jejich podíl na celkovém počtu ............................... 55 6.3.4 TOP 10 zemí, ze kterých přicházejí DDoS útoky .......................................................... 57 6.3.5 Shrnutí možných opatření proti DDoS............................................................................. 57
7.
Firewally ................................................................................................................................................. 59 7.2 Paketové filtry.................................................................................................................................... 59 7.3 Stateful Packet Inspection (SPI Firewally) ............................................................................. 59 7.4 Aplikační firewally ........................................................................................................................... 60 7.5 Next Generation Firewally (NGFW) a UTM ............................................................................ 60
8.
Rizika nezabezpečených aktivních prvků LAN........................................................................ 62 8.1 Přepínače a směrovače................................................................................................................... 62 8.2 Přístupové body bezdrátové sítě 802.11 (WiFi AP) ........................................................... 63
9.
Možnosti zabezpečení aktivních prvků LAN ............................................................................ 65 10
9.1 Přepínače a směrovače................................................................................................................... 65 9.2 Port security ....................................................................................................................................... 68 9.3 Wifi AP .................................................................................................................................................. 69 10.
Praktická ukázka nastavení switche/WiFi AP ..................................................................... 70
10.1 Postup pro zabezpečení - přepínače ...................................................................................... 71 10.2 Postup pro zabezpečení – Wifi AP ........................................................................................... 72 11.
Závěr ..................................................................................................................................................... 74
12.
Seznam použitých zdrojů ............................................................................................................. 75
13.
Seznam obrázků ............................................................................................................................... 77
14.
Seznam tabulek ................................................................................................................................ 78
11
1. Teoretický úvod - sítě a význam zabezpečení Hlavním cílem této práce je prostudování a popsání nejběžnějších slabých míst, nejfrekventovanějších typů útoků a ukázka možných opatření, jak se proti nim bránit. Zabezpečení sítě bude zkoumáno z pohledu vnějších rizik (zpravidla úmyslným útokům z internetu, s cílem získat data, či způsobit jinou škodu, například odstavení služeb), tak i vnitřních
(úmyslným,
kdy
útočník
získá
fyzicky
přístup
k
LAN,
nebo
neúmyslným/nedbalým zneužitím podnikové sítě zaměstnanci). Vedlejší cíle práce by měly přinést dostatek informací o technologiích klíčových k porozumění tématu bezpečnosti moderních sítí, tedy historii jejich vývoje a teoretický základ k používaných technologiím. Zároveň je jedním z cílů ukázat na praktickém příkladu
hypotetické
firemní
infrastruktury
„best-practices“
postupy
k jejímu
zabezpečení. Téma bezpečnost informací v ICT je jistě velmi aktuální a s přibývajícími možnostmi, ať už jsou dané hardwarovým pokrokem, či výrazně vyšším stupněm využívání softwaru pro podporu veškerých procesů podnikání nehledě na odvětví, nabývá na důležitosti. V neposlední řadě se toto téma stává mimořádně důležité kvůli velkému navýšení propojenosti všech systémů skrze internet. Samotná struktura a principy, na kterých je internet postaven, přináší řadu rizik a hrozeb. Z historie lze vypozorovat, jak se na základě analýzy úspěšných metod útoků začaly objevovat metodiky a prostředky pro zlepšení zabezpečení sítí. Firmy začaly používat firewally a šifrování pro oddělení a zabezpečení internetové a intranetové komunikace. Stále důmyslnější metody útoků a stále větší závislost všech subjektů na informačních technologiích nevyhnutelně vede k rozvoji nástrojů, služeb i strategií, jak jim čelit. Převážné většině oblastí rozsáhlého tématu síťová bezpečnost je možné porozumět prozkoumáním těchto hlavních aspektů: 1. Historie bezpečnosti sítí 2. Architektura sítě internet a její slabá místa 3. Typy internetových útoků a bezpečnostních metod 4. Bezpečnost sítí připojených na internet 5. Trendy vývoje v oblasti bezpečnosti sítí (hardware a software) 12
Na základě analýzy těchto bodů popíšeme současný stav v oblasti bezpečnosti sítí a směřování trendů na tomto poli ICT technologií. Téma zabezpečení podnikového ICT je samozřejmě mnohem rozsáhlejší a neomezuje se pouze na vyjmenované oblasti, řešit se dá zabezpečení konkrétních používaných aplikací, autentizace a autorizace uživatelů vůči aplikacím, službám, šifrování dat, fyzické zabezpečení a další. V této práci se kvůli rozsáhlosti tématu budu věnovat pouze konkrétním rizikům a potenciálním hrozbám, které je potřeba řešit v běžném podnikovém prostředí a to z hlediska zabezpečení komunikace firemní sítě s internetem a v rámci samotné LAN.
1.1 Omezující podmínky Práce se zabývá problematikou zabezpečení běžných firemních počítačových sítí standardu 802.3 a 802.11. Práce omezuje rozsah metodik a popisu primárně na platformy Microsoft a nevěnuje se žádným konkrétním způsobem jiným platformám. Rešerše zabezpečení sítí se týká pouze IPv4 protokolu.
1.2 Síťová bezpečnost Bezpečnost je dnes klíčový faktor pro sítě i aplikační systémy a i přesto, že je jedním z hlavních požadavků na vznikající a vyvíjející se sítě, existuje stále značný nedostatek snadno implementovatelných metod a strategií zabezpečení. Tento stav je dán především dříve neexistující řízenou kooperací mezi organizacemi tvořící nové síťové standardy (především organizace IETF – Internet Engineering Task Force) a subjekty tvořící bezpečnostní prostředky (HW/SW). Návrh sítí je dobře vyvinutý proces, založený na Open System Interconnection (OSI) modelu. OSI model disponuje několika výhodami pro tvorbu sítí. Nabízí modularitu, flexibilitu, jednoduchost a standardizaci protokolů. Protokoly jednotlivých vrstev modelu mohou být snadno stohovány, což umožňuje modulární vývoj. Implementace „po vrstvách“ umožňuje nad jednotlivými vrstvami provádět změny bez ovlivnění funkčnosti ostatních vrstev – vývoj je pružnější. Naproti tomu návrh zabezpečené sítě postrádá jednoznačnou metodiku, jak spravovat komplexní požadavky na zabezpečení sítí. [1]
13
2. Historie internetových sítí a bezpečnosti Historie internetových sítí sahá až na přelom padesátých a šedesátých let 20. století. V této době došlo k průlomu vědy v oblasti digitální komunikace, vynálezu přepínané paketové sítě a vytvoření standardů pro návrh robustních sítí, odolných proti výpadku jednotlivých komunikačních uzlů. Díky rozvoji komunikačních možností, především rádiových a satelitních přenosů, vznikla potřeba integrované komunikace, která by fungovala napříč používanými technologiemi přenosu. Odpověď na tuto potřebu přineslo vytvoření TCP/IP protokolů a modelu. Na základě poznatků z těchto domén vznikly první sítě podobné dnešnímu internetu, jako byla síť ARPANET, či NSFNET. [3] Po uvolnění pravidel pro připojování subjektů do těchto sítí, a zároveň s rychlým rozvojem osobních počítačů a komunikačních technologií, došlo k rapidnímu nárůstu propojenosti počítačových systémů a rozvoji WAN sítí až do podoby dnešního internetu.
2.1 Packet switching network Koncept přepínání paketů byl převzat z práce vědců a inženýrů Paula Barana a Donalda W. Daviese. Paul Baran již v roce 1964 publikoval myšlenku, že brzy bude svět potřebovat komunikační prostředek, jenž bude natolik robustní, aby fungoval při ničení jeho uzlů. Predikoval, že při dostatečně vysokém počtu uzlů n, půjde vybudovat takovou síť, že k jejímu zničení bude nutné zničit právě n uzlů. Paul Baran dostal počátkem šedesátých let od US Air Force za úkol prozkoumat možnosti robustních komunikačních sítí. Během výzkumu vybudoval první síť „širokého rozsahu“ (WAN), která sloužila k propojení obranného radarového systému SAGE. Poznatky získané výzkumem a budováním sítě publikoval v díle On Distributed Communications (1964). [4][5] Zcela odděleně a nezávisle na Baranovi přišel s tímto konceptem přepínané paketové sítě i Donald W. Davies. Davies pracoval pro britský ústav NPL (National Physical Laboratory), kde byl v té době součástí týmu, vedeného Alanem Turingem, vyvíjejícího počítač Pilot ACE. [4][5] Přelomovým se stal rok 1965, kdy byl Daviesovi přidělen projekt mající za cíl vytvořit nový způsob rychlé a robustní komunikace mezi počítači. K vyřešení problému zahlcování příjemce, což byl vzhledem k možnostem tehdejší technik jeden z hlavních problémů, zavedl rozdělování dlouhých zpráv na menší části (pakety) a jejich oddělené 14
zasílaní příjemci. Topologie sítě byla kvůli požadavku na robustnost navržena tak, že každý host bude připojen na svůj router, řešící směrování paketů do dalších sítí až k cílové stanici. [4][5] Vzhledem k oddělenosti výzkumu obsahuje jeho práce neuvěřitelné podobnosti, jako je například velikost paketu 1024 bitů. Samotný pojem „packet switching“ pochází právě od Donalda Daviese. Baranova práce pomohla přesvědčit americké ministerstvo obrany o převratnosti digitálních počítačových sítí širokého rozsahu, které se poté rozhodlo financovat navazující projekt pod záštitou organizace ARPA. [4][5]
2.2 TCP/IP Reference Model Mezi další požadavky ministerstva obrany, které byly podníceny obavami z výpadků komunikace při napadení důležitých uzlů sítě, patřilo zejména zajištění fungování sítě i v případě, že dojde ke zničení částí přenosové sítě mezi zdrojovou a cílovou stanicí. V neposlední řadě musela být architektura dostatečně flexibilní, kvůli předpokládaným požadavkům na různorodé využití od přenosu souborů až po real-time přenos hlasu. [3][4][6] Tato architektura byla až později pojmenována jako TCP/IP Reference Model, podle 2 primárních protokolů, které využívá. Poprvé byla architektura popsána vědci Robertem Kahnem a Vintonem Cerfem (1974) a později vylepšena a dodefinována jako standard (Branden, 1989). [2] TCP/IP model je na rozdíl od modelu OSI velmi konkrétní a proto se často ani nepovažuje za model, naopak protokoly, které implementuje, jsou široce rozšířené a tvoří dnešní internet i většinu dalších WAN/MAN/LAN sítí. [2]
15
TCP/IP model je podobný modelu ISO/OSI především v pojetí vertikálně oddělených vrstev a zodpovědnosti každé vrstvy za své služby a rozhraní. Model byl poprvé implementován v pozdější fázi vývoje sítě ARPANET a NSFNET. Obrázek 1 znázorňuje rozdíly mezi návrhem vrstev OSI modelu a modelu TCP/IP. Transportní vrstvy si odpovídají, aplikační u TCP/IP odpovídá aplikační, prezentační a relační u ISO/OSI. [2] Obrázek 1Porovnání modelů
Zdroj: http://zam.opf.slu.cz/botlik/CD-0x/1.html Vrstva síťového rozhraní (Network Access, či Data link), definuje požadavky na přenosová média (Ethernet, sériový kabel, Wi-Fi atd.), aby splňovala požadavky na nespojovanou, přepínanou síť. Linková vrstva v přesném smyslu slova ani tak vrstva, jakožto interface mezi hostem a přenosovým mediem. [2] Vrstva internet (síťová) je základní stavební kámen, který drží celou architekturu pohromadě. Úkolem internetové vrstvy je umožnit zdrojovému komunikačnímu uzlu posílat pakety do libovolné sítě a zajistit jejich doručení k cíli. Na internetové vrstvě nezáleží na vybrané cestě, ani na pořadí doručení paketů, pokud je pořadí pro komunikaci důležité, je úkol vyšších vrstev seřadit příchozí komunikaci dle potřeby. Internetová vrstva proto definuje přesný popis paketu, protokolu IP (Internet Protocol) a doprovodných protokolů ICMP a IGMP, sloužících pro servisní respektive konfigurační účely. Zásadním pro tuto vrstvu je tedy směrování - doručování IP paketů na místo určení. [2] 16
Transportní vrstva nacházející se nad síťovou slouží primárně k udržování komunikace mezi 2 stranami. K tomu slouží 2 transportní protokoly TCP (Transmission Control Protocol) a UDP (User Datagram Protocol). Protokoly se zásadním způsobem liší především ve spolehlivosti doručování. TCP protokol je spojově orientovaný protokol, který umožňuje kontrolu neporušenosti dat mezi odesílatelem a příjemcem. Protokol TCP na straně odesílatele rozděluje odesílaný bajtový tok na segmenty samostatných zpráv a na straně příjemce je opět skládá a kontroluje jejich integritu. TCP protokol rovněž disponuje funkcionalitou pro kontrolu datového toku, což slouží o k ochraně příjemce před zahlcením na vstupu. Naproti tomu UDP protokol je nespolehlivý a nespojovaný protokol. Používá se především v aplikacích, kde je rychlost doručení zprávy důležitější, než její přesnost. Typicky nachází využití v multimédiích (video, hlas) nebo v aplikacích požívajících „request-reply“ technologii. [2] Příklady spojovaných a nespojovaných typů komunikace, rozdělených i podle spolehlivosti přenosu na obrázku 2. Obrázek 2 Spojované a nespojované služby
Zdroj: My IT Tutors web Aplikační, prezentační a relační vrstvy byly sjednoceny především kvůli vývoji v oblasti počítačů. Přesunem použití sítí od mainframe počítačů k osobním pracovním stanicím přestaly být do jisté míry důležité především protokoly relační a prezentační vrstvy. TCP/IP model, i na základě zkušeností z OSI modelu, spoléhá na implementaci všech relačních a prezentačních funkcí, které dříve poskytovaly samostatné protokoly na svých vrstvách, v rámci aplikačních protokolů.
17
2.3 ARPANET Síť ARPANET vznikla na základě iniciativy a dotací amerického ministerstva obrany (U.S. DoD). Jednalo se o jednu z prvních sítí přepínajících pakety a později jednu z prvních sítí, implementující TCP/IP protokoly a samozřejmě to byla síť předcházející dnešnímu internetu. [3][4] Vědci Kleinrock a Roberts, kteří dostali práci na projektu v rámci vládní organizace ARPA na starost, se inspirovali právě vědeckými pracemi Donalda W. Daviese a Paula Barana. Implementovali je právě při budování ARPANET. Síť vznikla za účelem propojení univerzit a výzkumných ústavů v USA, které v té době měly uzavřeny výzkumné kontrakty s organizací ARPA. Síť postupně propojila stovky univerzit a vládních zařízení pomocí pronajatých telefonních linek, ale stále se jednalo o omezenou síť, jelikož do ní měly přístup právě pouze subjekty spolupracující s americkým ministerstvem obrany (DoD). [6] Následně se díky rozvoji satelitní a rádiové komunikace objevily problémy s integrací komunikace napříč různorodými přenosovými technologiemi. Do té doby celá síť ARPANET fungovala na pronajatých telefonních linkách, či vytáčených spojeních. Díky tomu bylo zřejmé, že je nutné vytvořit a implementovat nový model a protokoly, které by dokázaly komunikaci zajistit napříč různými platformami. Zároveň s rozvojem komunikačních technologií si na konci sedmdesátých let uvědomila organizace NSF (U.S. Nationaonal Science Foundation), jak obrovský přínos má ARPANET pro podporu výzkumu na univerzitách do něj připojených. Vznikla iniciativa NSF o vytvoření nezávislého paralelního back-bone, připojeného k ARPANET, do kterého by se mohli libovolně připojovat i vědecké a akademické subjekty, které nemají smlouvy s agenturou ARPA. Prvním krokem tak bylo vybudování sítě CSNET (Computer Science Network) v roce 1981, ta propojovala 6 tehdejších superpočítačů napříč USA, byla propojena s ARPANET a umožňovala připojování libovolným akademickým subjektům a později i zájemcům ze soukromého sektoru. [3][4] Podstatnou vlastností této sítě byla implementace TCP/IP protokolu, tudíž možnost využití různých komunikačních prostředků.
18
2.4 Referenční OSI model OSI model, jak je zobrazen na obrázku 3, byl vytvořen Mezinárodní standardizační organizací (ISO) v roce 1983 a revidován v roce 1995. Model vznikl na základě iniciativy sjednotit protokoly používané v jednotlivých vrstvách otevřených systémů (proto zkratka OSI – Open Systém Interconnection). Pánové Day a Zimmermann, kteří standard vytvořili, vycházeli z následujících premis, na jejichž základě vzniklo právě 7 vrstev modelu[2]: 1. Vždy když je potřeba nová úroveň abstrakce, je nutné vytvořit další vrstvu. 2. Každá vrstva by měla provádět dobře definovanou funkci. 3. Funkce každé vrstvy by měla být zvolena s ohledem na mezinárodně standardizované protokoly. 4. Hranice každé vrstvy by měly být stanoveny tak, aby se minimalizoval datový tok přes rozhraní vrstev. 5. Počet vrstev by měl být dostatečně vysoký tak, aby různé funkce nemusely být sdružovány v jedné vrstvě, ale zároveň tak malý, aby se architektura nestala nepraktickou. Obrázek 3 OSI reference model
Zdroj: http://www2.themanualpage.org/networks/networks_osi.php3 19
Samotný OSI model ale není předpis pro žádnou síťovou architekturu, jelikož neobsahuje přesné specifikace služeb a protokolů, které mají být použity v daných vrstvách. Model pouze říká, co má jaká vrstva dělat. Přesnou specifikaci vydalo ISO pro každou vrstvu zvlášť jakožto samostatný standard.
2.5 Historie zabezpečení sítí Počítačové sítě a jejich historie, jak jsme si přiblížili, vznikaly především na akademické půdě, měly usnadnit výměnu poznatků a zjednodušit komunikaci vědců nad projekty. V této době se bezpečnost těchto sítí netěšila téměř žádné pozornosti. Nyní ale počítačové sítě používají stovky miliónů lidí nejen pro posílání e-mailů, ale pro nakupování, internetové bankovnictví. Firmy uchovávají své duchovní vlastnictví na počítačích a v datových centrech připojených k internetu. V historii lze najít několik klíčových událostí, které přispěly ke vzniku počítačové a síťové bezpečnosti a první z nich se datuje až do 30. let dvacátého století. V roce 1918 vytvořili němečtí odborníci na kryptografii stroj Enigma, který konvertoval prostý text na šifrovaný. V roce 1930 však tuto šifru prolomil geniální matematik Alan Turing a zajistil tím spojencům jednu z klíčových výhod pro druhou světovou válku. [1] V šedesátých letech, v době tvorby sítě ARPANET, se na MIT univerzitě začalo používat pojmenování hacker. V sedmdesátých letech byl vytvořen protokol TELNET, sloužící k vzdálenému ovládání terminálů (počítačů). V osmdesátých letech se začali hackeři a počítačová kriminalita objevovat ve větší míře. Jeden z prvních případů z USA, z počátku 80. let, je případ takzvané skupiny 414 Gang. Jednalo se o skupinu šesti mladíků, kteří se bavili pronikáním do počítačů velkých organizací, jako Los Alamos National Laboratory, Sloan-Kettering Cancer Center a Security Pacific Bank. Využívali k tomu většinou dobře známá slabá místa nezáplatovaných operačních systémů, či ponechaná výchozí či jinak standardní administrátorská hesla. Po odhalení účastníků bylo zjištěno, že stávající legislativa je zcela nepřipravena se vypořádat s počítačovými zločiny. [1]
20
V roce 1986 vznikl v USA zákon The Computer Fraud and Abuse Act of 1986, poté co se Ian Murphy naboural do počítačů americké armády a ukradl z nich data. V roce 1988 vytvořil univerzitní student Robert Morris prvního počítačového červa (Morris Worm). Vypustil ho 2. listopadu 1988 z jednoho z počítačů univerzity MIT. Bobert Morris se stal prvním hackerem odsouzeným na základě zákona The Computer Fraud and Abuse Act of 1986 a díky obavám, způsobeným rychlým rozšířením tohoto viru vznikla organizace CERT (Computer Emergency Response Team), která si vytyčila za úkol upozorňovat uživatele počítačů na hrozící bezpečnostní slabiny. [2][8] Obrázek 4 Nárůst uživatelů internetu
Zdroj: www.internetworldstats.com [5] 21
V devadesátých letech, kdy se internet stal veřejným, došlo k dramatickému nárůstu (Obrázek 2-4) bezpečnostních rizik. Na základě statistiky z roku 2012 je k internetu nyní připojeno 2,4 miliardy uživatelů, každý den dochází ke stovkám zásadních bezpečnostních incidentů, které mohou končit značnými ztrátami a to jak nehmotnými, tak i hmotnými. Investice do patřičného zabezpečení je tak jistě na místě jak pro velké organizace, tak i pro běžné uživatele.[7]
22
3. Rozlišení mezi datovou a síťovou bezpečností Pokud v rámci ICT oboru hovoříme o počítačové bezpečnosti, je potřeba rozlišovat o jakou bezpečnost se jedná. V současnosti oddělujeme datovou a síťovou bezpečnost. Datová bezpečnost, neboli též zabezpečení dat, se zabývá především kryptografií, tedy oborem, ve kterém nám jde o transformaci čitelného textu do formy, nečitelné pro neautorizované subjekty. Kryptografie je velmi starý obor, jehož počátky sahají až do antického starověku. Napříč dějinami kryptografie lze však vypozorovat stále se opakující problémy s trvanlivostí šifrovacích algoritmů. Algoritmus považovaný v dané době za silný a neprolomitelný většinou dokázali odborníci na kryptoanalýzu prolomit během následujících období. Tyto intervaly se samozřejmě s nárůstem dosažitelného výpočetního výkonu zkracují. [8] Dnes je proto velmi důležité se soustředit nejen na silné šifrování samotného přenášeného obsahu, ale i na zabezpečení přenosových kanálů (sítí) jako takových. Vzhledem k dostupnosti širokopásmového připojení k internetu je dnes převážná většina informací předávána elektronicky. Nezabezpečená síť je však velkým rizikem i v případě, že přes ni posíláme zašifrovaná data. Útočník, který má k nezabezpečenému médiu přístup, dokáže zachytávat komunikaci (šifrované zprávy) a pokoušet se analyzovat a prolamovat šifru. V případě nevhodně zvolené metodiky dochází často k odchycení přímo privátních klíčů a tím zkompromitování bezpečnosti. V takovém případě může útočník nejen data číst, ale i modifikovat a podstrčit do komunikace vlastní obsah. V případě nezabezpečeného média však nemusí útočníkovi jít pouze o extrakci či modifikaci komunikace, ale například o narušení funkce služeb. Vzhledem k volně přístupnému kanálu lze na požadované cílové stanice směrovat jakýkoli provoz a tím například provádět útoky typu DoS (Denial of Service). [8] Z toho je již zřejmé, že dnes je nutné zabezpečovat proti neautorizovanému přístupu nejen data, ale mělo být vynaloženo úsilí a prostředky i na zabezpečení přenosových sítí by mělo být vynaloženo úsilí a prostředky.
23
3.1 Datové a synchronní sítě V současnosti tvoří většinu počítačových sítí sítě dvojího typu – datové sítě složené z routerů (Internet) a synchronní počítačové sítě, složené z přepínačů. U sítí složených ze směrovačů je v případě nezabezpečení daleko vyšší riziko napadení, protože směrovače jsou zařízení pracující s pakety systémem store and forward. Tedy ke svojí činnosti potřebují buffer k uchovávání dat mezi přijetím zpracováním a odesláním. [8] Tento způsob činnosti však přímo vybízí k napadení. V případě, že je útočník schopen nakazit router škodlivým kódem nebo získat dokonce nad routerem kontrolu, není již problém získávat, či manipulovat s daty z bufferu. Naopak switch data neukládá (bavíme-li se o klasických Layer 2 přepínačích), a proto jsou výrazně méně zajímavým cílem útoků z internetu. Přepínače mají svá slabá místa, která lze využít při útocích vedených z vnitřní sítě, tomuto tématu se věnujeme v kapitole 5, 8 a 9. [8]
24
Za předpokladu, že máme zabezpečená data (používáme šifrování na aplikační vrstvě), máme implementovanou autentizaci, je stále potřeba vyřešit zabezpečení na první (PHY) a druhé (DATA-LINK) vrstvě. Z tohoto důvodu je důležité jak použití silných šifer, tak i robustních a těžko napadnutelných přenosových sítí. [8] Obrázek 5 Datová a síťová bezpečnost
Zdroj: [8] Konkrétní metody zabezpečení spodních vrstev synchronních sítí probírá kapitola 8 Rizika nezabezpečených aktivních prvků LAN a 9 Možnosti zabezpečení aktivních prvků LAN.
25
4. Architektura internetových sítí Obor počítačové sítě pokrývá širokou škálu různých typů sítí. Různé typy sítí byly vyvinuty a jsou používány s různými cíli. My se zde hodláme zabývat počítačovými sítěmi připojenými k internetu, a proto se pojďme podívat blíže na architekturu internetu jako takového.
4.1 Architektura internetu Architektura internetu se značným způsobem změnila během uplynulé doby extrémního rozšíření jeho pokrytí. V posledních letech za tyto změny v architektuře mohou především telekomunikační operátoři a další společnosti (kabelové a IP poskytovatelé TV vysílání atd.) s jejich nabídkou konvergovaných služeb. Dříve bylo k poskytování různých typů služeb zapotřebí různých přenosových sítí, které měly své architektury, své protokoly a svou šířku pásma. Pokud jste chtěli telefonovat a sledovat televizi, potřebovali jste pevnou linku a telefonního operátora, anténu či satelit pro příjem televizního vysílání a poskytovatele zastřešujícího vysílání. Dnes dostanete od jednoho poskytovatele hlasové, datové i obrazové služby najednou a navíc pomocí jednoho sdíleného přenosového média.[2] Internet není vlastně síť v pravém slova smyslu, je to spíše spojení obrovského množství různých sítí, používajících společné protokoly a služby. Původ internetu je právě v propojování nezávislých subjektů na nosné technologii internetu – sadě protokolů TCP/IP. Masivní růst zažil internet po roce 1990, kdy se do něj začali připojovat soukromé subjekty a začalo šíření domácího připojování. [32]
26
Internetová architektura stojí na IP směrování a DNS překladech. Routování umožňuje zprostředkovat komunikaci mezi oddělenými sítěmi a to jak na stejné úrovni hierarchie, tak i mezi úrovněmi. Jednotlivé úrovně se liší především geografickým rozsahem a množstvím připojených uzlů.
Tier 1 tvoří
sítě
a
infrastruktura
největších
telekomunikačních operátorů. Ty jsou propojené mezi sebou a tvoří tak páteřní spoje internetu. Spojená konektivita je většinou ošetřena na základě smluv o spolupráci. Tier 2 sítě jsou většinou doménou národních poskytovatelů služeb, ty nakupují přístup od Tier 1 poskytovatelů a prodávají dále lokálním poskytovatelům úrovně Tier 3, kteří již připojují přímo jednotlivé domácnosti a další subjekty. To samozřejmě mohou dělat i poskytovatelé vyšších úrovní, ale není to běžné. ISP Tier 2 ale často připojují k internetu velké korporace či státní správy. [32] Obrázek 6 Úrovně internetových sítí
Zdroj: http://en.wikipedia.org/wiki/Internet Systém DNS umožňuje překlad lidsky čitelných názvů na IP adresy. Je zřejmé, že tato služba je zcela klíčová pro fungování internetu, jelikož bez překladu není ani směrování, tudíž žádná komunikace založená na DNS jménech. DNS překlady fungují na principu ověřování dotazu. Nejprve se DNS server pokusí název vyhledat v lokální cache, pokud se tam nenachází, prohledává zónovou databázi a pokud ani tam neuspěje, předá dotaz nadřazenému serveru. Celou architekturu zastřešuje 13 root DNS serverů, které obsahují databázi všech autoritativních DNS serverů domén nejvyššího řádu, takzvaných Top-level Domain (.com, .cz, .info, .gov atd.). [32] 27
5. Frekventované metody útoků a protiopatření Pokud se zabýváme síťovou bezpečností, je potřeba zdůraznit fakt, že celá síť je tak zabezpečená, jako je zabezpečené nejslabší místo této sítě. To znamená, že nestačí mít zabezpečené pouze komunikující koncové stanice a zašifrovaná posílaná data, ale i již zmiňované komunikační kanály, a to jak z pohledu logického, tak fyzického. Zabezpečení sítě by mělo vycházet z předem připraveného plánu. Tvorba plánu zabezpečené sítě by měla zohlednit především[1]: 1. Přístup – pouze autorizovaní uživatelé mají přístup ke komunikaci v dané síti 2. Důvěrnost – informace v rámci sítě zůstávají soukromé 3. Autentizaci – zajištění identifikace uživatelů (ověření, že uživatel je ten, za koho se vydává) 4. Integritu – kontrola proti modifikaci dat během transportu po síti 5. Nepopiratelnost – uživatel, který provedl na síti nějakou akci ji nemůže popřít Efektivní bezpečnostní strategie musí vycházet z pochopení potenciálních hrozeb, útočníků a faktorů, které dělají síť zranitelnou. Pochopení těchto faktorů usnadňuje stanovení optimální úrovně požadovaného zabezpečení vzhledem k informacím, které síť uchovává a prostředí, ve kterém je síť provozována. Zároveň je nutné vzít v potaz charakter dat a komunikace, jež má být předmětem zabezpečení. Vedení firmy musí vyhodnotit poměr mezi úrovní zabezpečení, náklady, uživatelským komfortem a potenciálním rizikem či ztrátami v případě prolomení bezpečnosti. [1]
28
Na následujících grafech je názorně vidět několik důležitých statistik. Obrázek 7 ukazuje státy s největším počtem detekovaných útoků (data jsou platná k srpnu 2013). Obrázek 7 Počet útoků podle zemí uskutečnění
Zdroj: http://hackmageddon.com/ Obrázek 8 znázorňuje proporce útoků podle motivace útočníků. Jednoznačně vede počítačová kriminalita, tedy útoky vedené za účelem krádeží dat, osobního obohacení nebo destrukce na straně cílového subjektu. Obrázek 8 Motivace útočníků
Zdroj: http://hackmageddon.com/
29
Obrázek 9, ukazuje rozložení útoků podle typu využívaného slabého místa nebo techniky. Majoritu tvoří útoky, u kterých se nepodařilo zjistit techniku. Druhé v pořadí jsou útoky DDoS, následují útoky pomocí zcizené identity, změna obsahu webových stránek a SQL Injection. Obrázek 9 Rozložení útoků podle typu
Zdroj: http://hackmageddon.com/
5.1 Deset nejčastějších chyb způsobujících slabá místa bezpečnosti sítě 5.1.1 Slabá hesla Ačkoli je to s podivem, stále se jedná o jeden z největších problémů, způsobující trhliny v zabezpečení. Slabá, snadno odhadnutelná a znovu používaná hesla jsou zároveň pro útočníka nejsnazším způsobem, jak prolomit zabezpečení cílového systému. [9] Doporučená opatření: V bezpečnostní politice by měla být jasně definována pravidla pro komplexnost a periodicitu změny hesel. Tato pravidla by měla být následně implementována na úrovni vynucení pomocí GPO nebo obdobných nástrojů a systematicky dodržována a to bez výjimek na straně IT, což je velmi častý jev. 5.1.2 Chybějící aktualizace Software i firmware ponechaný v základní konfiguraci a bez pravidelného aplikování bezpečnostních záplat je stejně jako slabá hesla jedním z nejčastěji vyskytujícím se
30
bezpečnostním rizikem. Většině útoků lze přitom snadno zabránit právě včasným nasazováním otestovaných aktualizací. [9] Doporučená opatření: Pravidelné kontrolování aktuálnosti nasazených operačních systémů, uživatelského i serverového software, nastavení automatických aktualizací antivirových programů na koncových stanicích i klíčových serverech (například mail server), kontrola bezpečnostních aktualizací firmware síťových prvků a firewallů. Veškeré nasazované aktualizace by měly projít otestováním, než dojde k nasazení do produkčního prostředí a v případě firmware v síťových prvcích je vhodné nasazovat pouze nezbytně nutné záplaty, či kritické opravy chyb. U síťových prvků bývá často značný problém vrátit se k předchozí verzi, pokud dojde k neočekávanému chování po provedení aktualizace. Ve větších podnicích je nezbytná implementace software pro konfigurační management, jako jsou nástroje HP ProCurve Managers Plus (PCM+) nebo Cisco IOS XE. Tyto nástroje umožňují centrální evidenci konfigurací síťových prvků, vzdálenou konfiguraci, zálohování i aktualizace zařízení. 5.1.3 Nezabezpečené body pro vzdálený přístup Nezabezpečené a nemonitorované způsoby vzdáleného přístupu do podnikové sítě jsou opět velmi častým problémem zabezpečení a zároveň jedním z nejsnadnějších prostředků, jak získat přístup k síti. Nejčastějším problémem jsou nezablokované či nezrušené
účty
bývalých
zaměstnanců
s povoleným
vzdáleným
přístupem
k podnikovým IS. [9] Doporučená opatření: Součástí bezpečnostní politiky či firemních směrnic by měla být
jasně
nedefinovaná
pravidla
související
s povinnostmi
zainteresovaných
zaměstnanců v souvislosti se zaváděním i odstraňováním zaměstnanců z pohledu IT. Tvorba účtů, autorizace k různým částem IS, vzdálený přístup do podnikové sítě a další. Zároveň musí být jasně definovány postupy navazující na odchod zaměstnance z firmy, jako je blokování účtu či jeho úplné zrušení a smazání dat. V případě účtů s povoleným vzdáleným přístupem je rovněž vhodné pravidelné auditování logů terminačních bodů vzdáleného přístupu, za účelem zjištění neautorizovaného přístupu. 5.1.4 Únik informací Únik informací je široký pojem, který pokrývá neúmyslné prozrazení citlivých údajů o zabezpečení zaměstnancem (například na sociálních sítích), úmyslné vynášení informací 31
za účelem poškození zaměstnavatele (případně bývalého), či osobního obohacení až po špatné zabezpečení citlivých dat. Jakýkoli únik citlivých dat (v konkrétním případě bezpečnostních), jako jsou verze a typy používaného software, uživatelská pověření, sdílné
prostředky
atd.
může
útočníkovi
značně
usnadnit
prolomení bezpečnostních opatření. [9] Doporučená opatření: Riziko úniku informací je jedním z nejobtížněji řešitelných hrozeb. Neúmyslné úniky způsobené většinou nedbalostí zaměstnanců často nevedou k závažným bezpečnostním incidentům a jako protiopatření je vhodné především pravidelné zaškolování zaměstnanců v oblasti bezpečnostní politiky firmy a celkové osvěty v chování v prostředí internetu, především na sociálních sítích. Úmyslnému vynášení citlivých dat z firmy se zabraňuje velmi obtížně a většinou ho nelze zcela vyloučit. Snížení rizika docílíme pouze kombinací více bezpečnostních pravidel a postupů. Nejzásadnějším faktorem snižujícím toto riziko je komplexně připravená, nasazená a managementem podniku podporovaná bezpečnostní politika. Politika musí řešit zevrubně problematiku autorizace uživatelů vůči různým stupňům citlivosti informací dostupných pomocí IS. Citlivá data musejí být zabezpečena proti tisku/kopírování, případně je nutné omezení přístupu k nejcitlivějším datům pouze z vybraných
koncových
stanic,
které
například
budou
připojeny
pouze
do
zabezpečeného VLAN, nebudou mít přístup na internet ani do zbytku firemní LAN a nepůjde k nim připojit žádné přenositelné medium. Takové stanice je nicméně nutné adekvátně zabezpečit i fyzicky, aby nemohlo dojít k rozebraní, či přímo odcizení celého stroje. Vhodným řešením pro takto kritické nasazení je použití VDI (virtuálních desktopů), kdy koncový terminál neobsahuje žádná data mimo RAM, protože zabezpečení dat na serverové straně je většinou jak po fyzické, tak po logické stránce jednodušší a silnější. 5.1.5 Spuštěné nepotřebné služby U koncových stanic i serverů se velmi často stává, že po nasazení a konfiguraci požadovaných služeb zůstávají spuštěné i výchozí služby, které ale pro daný účel stanice nejsou potřebné. Nepotřebné služby, zejména ty komunikující po síti, jsou velkým rizikem a často slabým místem systému, protože bývají ponechány bez konfigurace a především bez monitoringu. Poskytují tak útočníkovi zcela zbytečně další možnosti jak získat přístup k systému. [9] 32
Doporučená opatření: V tomto případě je řešení jednoznačné a snadné, nepotřebné služby je dobré v systému zakázat nebo minimálně zabezpečit firewallem, pokud je například na službě závislá nějaká další lokální služba. 5.1.6 Špatně nakonfigurované firewally Nezřídka dochází k tomu, že velmi mnoho pravidel či jejich přílišná komplexnost vede ke kolizím v nich a následně neočekávanému chování firewallu. Velkým problémem je zřizování dočasných či testovacích pravidel, která ale po uplynutí relevantního času již nikdo nezruší a tím vznikají slabá místa zabezpečení. Špatně nakonfigurovaný firewall je velkým rizikem a slabým místem, jelikož útočníkovi potenciálně nabízí přímý přístup do DMZ nebo dokonce přímo do vnitřní sítě firmy. [9] Doporučená opatření: Je vhodné vyvarovat se přílišné komplexnosti pravidel, pravidla by měla být přímočará a snadno pochopitelná. Pokud je to možné, je lepší vytvořit více jednoduchých pravidel, než jedno komplexní. Při vytváření nových pravidel je dobré revidovat současný stav kvůli potenciálním kolizím či duplicitě starších pravidel. Pravidelná kontrola validity pravidel často vede k pročištění a zpřehlednění firewallu. Monitoring a pravidelné auditování logů firewallu pomáhá zjišťovat nečekané chování a odhalovat nepotřebná pravidla. 5.1.7 Špatně nakonfigurované webové servery Servery publikované do internetu (v lepším případě v DMZ, v horším přímo v LAN) obsahující špatnou konfiguraci, nezáplatovaný software, používající známá slabá místa (cross-site scripting, SQL injection díry), jsou častou a velkou hrozbou. Takto nezabezpečené servery jsou lákavým cílem útočníků, jelikož jsou přímo viditelné (z principu) na internetu a útočník tak nemusí překonávat firewally, ale rovnou se snaží získat přístup k informacím pomocí výše zmíněných známých slabých míst. [9] Doporučená opatření: U webových serverů je velmi důležité znát správnou konfiguraci pro daný účel nasazení a tu striktně vyžadovat. Obecné platné doporučení je nastavit bezpečnostní volby u publikovaných služeb na výchozí stav „vše zakázáno“ a následně povolit přímo jen služby a rozšíření, která jsou nezbytně nutná pro chod webové služby. Často to bývá přesně naopak a dochází potom k opomenutí některých povolených služeb a rozšíření, které oslabují bezpečnost služby. Důležité je sledování bezpečnostních záplat a nově objevených hrozeb a adekvátně na tyto situace reagovat 33
(aktualizace, rekonfigurace). Webové aplikace běžící na publikovaných serverech by měly být kódovány na základě moderních principů a za použití ověřených a bezpečných technologií a kód by měl být udržován aktualizovaný po zjištění bezpečnostních děr. 5.1.8 Neadekvátní logování a monitoring Pokud už se útočníkovi podaří prolomit zabezpečení a dostat se do sítě, je nanejvýš důležité ho co nejdříve odhalit. Bez správně nastavené úrovně logování, monitoringu a reportingu (notifikací) to však není možné. [9] Doporučená opatření: Na přístupových bodech sítě (brány do internetu, NAT firewally atd.) je nutné mít nastavené adekvátní logování a pravidelně logy sledovat. Pokud jsou dostupné technologie pro automatické vyhodnocování podezřelého chování (IDS – Intrusion Detection Systém), je nutné jich využít, ať již k včasnému informování správce o podezřelém provozu na síti, či aplikování automatizovaných akcí, které zabrání útočníkovi v pokračování. Logování je dobré využívat nejen na přístupových bodech sítě, ale i na serverech a koncových stanicích v rámci vnitřní sítě. V tomto ohledu může správci opět velmi pomoci technologie pro hromadnou správu a monitorování stanic (například Microsoft System Center Operations Manager), který dokáže sofistikovaně procházet koncentrované logy a na základě předdefinovaných kritérií notifikovat správce. 5.1.9 Špatný systém sdílených souborů a adresářů Operační systémy Windows (klientské i serverové) i Unix/Linux, jsou známy špatnými implementacemi funkcí pro práci se sdílenými zdroji. Nedostatečná úroveň granularity zabezpečení a problémy způsobené nemožností řešit odděleně autorizace pro vnořené soubory a adresáře často vede k zjednodušení nastavení bezpečnosti a vznik potenciálních slabých míst. Špatně nastavená oprávnění pro přístup ke sdíleným zdrojům, případně kombinace se zmíněnými riziky slabých hesel a ponechaných nepotřebných
uživatelských
účtů,
jsou
přímou
pozvánkou
pro
získání
dat
neautorizovanou osobou. Velkým problémem jsou často slabá hesla výchozích uživatelů (administrator, root) v kombinaci s povoleným výchozím sdílením systémových zdrojů (C$, IPC$). [9] Doporučená opatření: Systém sdílených zdrojů by měl být co možná nejtransparentněji navržený. Adresářová struktura by neměla být příliš hluboká a měla 34
by být pravidelně auditována kvůli potenciálním chybám v nastavení autorizace jednotlivých uživatelů k patřičným datům. Doporučení lze také sjednotit s bodem 5.1.1, jelikož kombinace přidělené autorizace ke sdíleným datům a slabého hesla je opět významným rizikem ztráty dat. V případě použití uživatelských skupin pro přidělování autorizací většímu množství uživatelů naráz, je nutné pravidelně kontrolovat obsazení skupin z pohledu aktuálnosti. Pokud je systém sdílených zdrojů provozován na dedikovaném souborovém serveru, je dobré využít integrované funkce pro auditování obsahu, stanovování kvót a restrikcí pro uživatele. V případě, že nasazení neovlivní dramatickým způsobem výkon služby, je dobré využít na straně souborového serveru specializovaný
antivirový
program.
Sdílení
zdrojů
je
vhodné
integrovat
do
sofistikovanějších systémů (například Content Management System), který nám umožní daleko větší kontrolu nad správou těchto zdrojů. V neposlední řadě je dobré data ve sdílených úložištích (a nejen tam) šifrovat. [9] 5.1.10 Nedostatečná dokumentace či neexistující bezpečnostní politika Nedostatečná, neexistující nebo sporadicky tvořená dokumentace procesů spojených s bezpečností ICT a nezdokumentované postupy řešící krizové situace nejsou přímou bezpečnostní slabinou ve smyslu slabého místa pro útočníka, ale každopádně přispívají k navýšení rizika, že ztráty po potenciálním úspěšném útoku budou daleko větší, než by bylo nutné. Neexistence jednoznačných postupů v IT procesech ale neznamená riziko jen při potenciálním útoku. Nedodržování standardních kroků při běžných procesech, jako je zavádění či rušení uživatelských účtů, nových služeb, nasazování nových serverů atd., vede k zanedbání či opomenutí často kritických nastavení, jež vedou do budoucna k potenciálním hrozbám kteréhokoli z výše vyjmenovaných typů. [9] Doporučená opatření: Systematická tvorba dokumentace a především srozumitelně sepsaná a dodržovaná bezpečnostní politika, vytvořená na základě výše zmíněných bodů významně přispívá k udržitelnosti zabezpečení podnikového ICT. Zároveň veškerá dokumentace pozitivně ovlivňuje zastupitelnost zaměstnanců ICT oddělení a odstraňuje tím slabá místa v podobě často se vyskytujícího vzniku potenciálně nenahraditelných zaměstnanců. Dodržování standardizovaných postupů eliminuje
do
značné
míry
nečekané
bezpečnostní
incidenty,
které
vznikají
nestandardními konfiguracemi nebo opomenutími při konfiguraci ICT prostředků.
35
5.1.11 Nezabezpečené mobilní technologie Bodem navíc v tomto TOP 10 se stává problematika zabezpečení mobilních zařízení, která jsou čím dál více začleňována do podnikového ICT. Chytré telefony, tablety, notebooky a další zařízení schopná připojovat se do firemních sítí jsou samozřejmě také rizikem, slabým místem a cílem potenciálních útoků. Moderní pracovní systém BYOD je dalším zdrojem rizik spadajících do této kategorie. [12] Doporučená opatření: U mobilních zařízení, na rozdíl od serverů a klientských stanic nacházejících se ve firmě, lze jen velmi těžko zajistit fyzické zabezpečení zařízení (proti odcizení, pozměnění SW), proto je o to důležitější věnovat se zabezpečení samotného přístupu těchto zařízení do sítě. U chytrých telefonů a tabletů je vhodné s požadovanou úrovní zabezpečení počítat již při nákupu těchto přístrojů a vyhodnotit možnosti zařízení v oblasti šifrování lokálních dat, nabídky VPN připojení a kooperaci se vzdáleným řízením bezpečnosti. Přístroje, které umožňují vzdálené řízení bezpečnosti je možné pomocí specializovaných nástrojů nebo pomocí mail serveru vzdáleně resetovat do továrního nastavení a dokonce i naformátovat vložené paměťové karty. Tím je v případě
odcizení
nebo
ztracení
přístroje
možné
předejít
zneužití
dat
či
předkonfigurovaných účtů (e-mail, VPN atd.). Pokud firma podporuje program BYOD, je velmi důležité pokrýt použití těchto přístrojů směrnicemi v bezpečnostní politice a v ideálním případě použít nástroje NAP, které významné přispívají k zabezpečení zařízení, které nemá firma zcela ve své správě. Nástroje NAP dokáží na základě monitorování vyhodnotit, zda je zařízení po stránce konfigurace, aktualizací a stavu například antivirového programu v souladu s požadavky pro povolení přístupu do sítě. Pokud tomuto stavu nevyhovuje, je mu buďto odmítnut přístup nebo je umístěno do karanténní zóny, ze které je možné se dostat k prostředkům napravujícím tento stav. NAP lze využít jak na serverech pro přístup k podnikové síti zvenčí (u MS je k dispozici například jako součást služby Směrování a vzdálený přístup), tak i pro zajištění stavu desktopových systémů v síti LAN, připojených přes ověřování 802.1X nebo NAP IPsec.
36
5.2 Frekventované metody útoků Bez stanovené bezpečnostní politiky, nasazených a dodržovaných pravidlech politikou daných, jsou data v jakékoli síti vystavena značnému riziku. V následující části si přiblížíme nejčastěji se vyskytující techniky, které jsou využívány útočníky k získání přístupu do sítě či přímo k datům. Útoky můžeme rozdělit na pasivní a aktivní. Pasivní útok znamená většinou monitorování komunikace a odchytávání pro útočníka zajímavých informací, které buďto vedou k získání údajů potřebných pro pokračování útoku nebo přímo zachycení chtěných dat. Aktivní útok naopak přímo modifikuje přenášená data za účelem manipulace s účelem pozměněných informací nebo za účelem destrukce komunikace či celé sítě. 5.2.1 Odposlouchávání (zachytávání) síťové komunikace Většina síťové komunikace probíhá i v dnešní dobé stále v nezašifrované (plaintext) podobě. To umožňuje útočníkům, kteří mají přístup ke komunikačnímu kanálu, přes který probíhá daná výměna informací, zachytávat pakety probíhají komunikace a snad se dostat k obsahu. Pro odposlouchávání komunikace existují 2 termíny – sniffing a spoofing. Odposlouchávání sítě je jedním z největších a nejčastějších problémů, s jakým se administrátoři ve firemních sítích střetávají. [11] Doporučená opatření: V první řadě by mělo být snahou správce znemožnit útočníkovi fyzický přístup k síťové infrastruktuře. Datové rozvaděče a servery by měly být dobře fyzicky zabezpečeny proti přístupu neautorizovaných osob, v případech vyžadujících vysoký stupeň zabezpečení je vhodné zabezpečit i optické páteřní linky například mechanismem hlídajícím tlak plynu v uzavřeném vedení pro optické vlákno. Při narušení vedení dojde k poklesu tlaku v systému a okamžitému varování o možném útoku. Kromě datových center a rozvodů je potřeba zajistit, aby se do sítě nemohlo připojit cizí zařízení a to ani v případě naklonování „důvěryhodné“ MAC adresy stanice nebo periferie. Vhodné řešení nabízí například PKI infrastruktura ve spojení s výše zmíněnou službou NAP. V případě, kdy je do sítě připojeno zařízení, které není ověřeno pomocí certifikátu, případně nesplňuje další kritéria NAP politik, je buďto přesunuto do karanténního prostoru nebo dojde přímo na přepínači k deaktivaci síťového portu a tím zamezení další komunikace. [2][9][10]
37
Pokud máme zabezpečenou fyzickou vrstvu komunikace, je potřeba se soustředit na samotný obsah komunikace. Pokud by se útočníkovi podařilo proniknout opatřeními na fyzické vrstvě, stále bude mít k dispozici čitelný text. K zabezpečení obsahu komunikace je možné použít prostředky na různých vrstvách TCP/IP modelu. Na linkové vrstvě lze použít šifrování (link layer encryption) k zajištění nečitelnosti obsahu komunikace. Tato metoda zabezpečení má své výhody i nevýhody a je potřeba obě strany zvážit podle prostředí nasazení. Výhody linkového šifrování jsou především rychlost, nízká režie v síťovém provozu i na straně šifrujících zařízení, nezávislost na protokolech vyšších vrstev a v neposlední řadě i minimální riziko lidské chyby, jelikož linkové šifrování prostě šifruje vše, co je odesílá po zabezpečeném rozhraní. Nevýhody plynou především z toho, že se jedná o „hop-to-hop“ šifrování, tedy v každém bodě (přepínači, směrovači, hostu) je zprávu nutné dešifrovat a při odesílání dál, znovu zašifrovat, což především u routerů (vzhledem k dříve zmíněnému riziku bufferování dat) znamená zvýšené riziko infiltrace a získání dat přímo ze směrovače. [13] Řešením tohoto problému je použití šifrování na síťové vrstvě. Technologie IPsec, která řeší toto zabezpečení, funguje na principu end-to-end tunelu a je tedy odolná vůči napadení prvků mezi koncovými body komunikace. IPsec je skupina protokolů vytvořená po dlouhých debatách IETF o tom, jak by měla vypadat zabezpečená internetová komunikace. Konkrétní specifikace a popis implementace je obsažen v dokumentech RFC 2401, 2402, 2406 a dalších. Sada protokolů obsahuje kromě šifrování ještě prostředky pro autentizaci, kontrolu integrity dat a ochranu proti útokům opakováním komunikace. Pomocí IPsec je možné zabezpečit komunikaci mezi 2 koncovými stanicemi (host-to-host), 2 internetovými bránami spojujícími například 2 geografický oddělené firemní sítě (network-to-network) nebo mezi bránou a koncovou stanicí (network-to-host). Technologie IPsec je navzdory umístění v síťové vrstvě spojovaná. Vzhledem k nutnosti výměny šifrovacích klíčů mezi koncovými body komunikace a následnému vytvoření šifrovaného spojení je to však logické. Navázané IPsec spojení se nazývá SA (Security Association) a každé spojení je označeno bezpečnostním
identifikátorem.
Spojení
je
jednosměrné
(pro
obousměrnou
zabezpečenou komunikaci je nutné vytvořit 2 SA, každé se svým identifikátorem). Identifikátory jsou přidávány do přenášených paketů a slouží ke kontrole klíčů a dalších ověřovacích údajů na straně příjemce. [2]
38
IPsec komunikaci lze používat ve dvou režimech. V transportním módu je hlavička IPsec protokolu vkládána za IP hlavičku a před TCP. IP hlavička zůstává stejná kromě změny indikace, že jde o IPsec protokol. Z toho plyne, že routování probíhá v nezměněném režimu, protože IP hlavička není ani modifikovaná (z hlediska informací podstatných pro směrování) ani zašifrovaná. Autentizační hlavička obsahuje výše zmíněné funkce k ochraně dat v IP payload sekci, a to konkrétně autentizaci, ochranu integrity a ochranu proti opakování zprávy, nicméně data v obsahu nejsou šifrovaná, tudíž zůstávají čitelná, ale nemodifikovatelná. Integrita dat je ověřována pomocí kontrolního součtu v AH hlavičce, která počítá i možností změny některých údajů v IP hlavičce, jako například TTL (time-to-live) nebo ToS (type-of-service). [2][15] Obrázek 10 IPsec Transport Packet
Zdroj: Microsoft Technet Existuje ještě varianta transportního režimu, jejíž použití zabezpečí šifrováním i samotný payload, tedy dochází k zajištění i poslední funkcionality – důvěrnosti. Pomocí ESP (Encapsulating Security Payload) zajistíme podepsání IP payloadu. ESP však podepisuje pouze IP payload, nikoli IP hlavičku, ta zůstává původní. ESP lze použít samotné i v kombinaci s AH hlavičkou, tedy s celou sadou bezpečnostních opatření, jež poskytuje. Obrázek 11 IPsec ESP
Zdroj: Microsoft Technet V tunelovém módu je celý IP paket včetně hlavičky obalen do zcela nového paketu s novou hlavičkou. Tunelový režim je většinou používán v případech, kdy tunel končí ještě před cílovou destinací. Typickým příkladem jsou IPsec VPN, které obvykle terminuje hraniční firewall nebo brána a do vnitřní sítě již posílá pouze nezabezpečenou část obsahu komunikace. Výhodou tohoto režimu je především to, že koncové stanice
39
nemusí být vůbec nakonfigurované pro obsluhu IPsec komunikace, o terminaci (vybalení původního IP paketu) se postará brána nebo firewall. Tunelový režim lze stejně tak jako transportní využívat v režimu AH, přičemž je původní paket obalen novou IP hlavičkou a AH hlavičkou. AH hlavička obsahuje kontroly jako v případě transportního režimu a to včetně nové IP hlavičky. Obrázek 12 IPsec AH tunnel mode
Zdroj: Microsoft Technet Stejný je i druhý režim, tedy s použitím ESP. ESP obalí celý původní IP paket, zašifruje ho a přidá ještě autentizační ESP zápatí. Obrázek 13 IPsec ESP tunnel mode
Zdroj: Microsoft Technet Podepsaná část paketu (od ESP header k ESP trailer) označuje oblast chráněnou proti porušení integrity a autentizace. Zašifrovaná část značí data chráněná utajením. Šifrování probíhá tak, že k původnímu paketu je nejprve přidána ESP hlavička a ESP zápatí a následně je vše mezi tím zašifrováno a nadále považováno za celistvý payload s novou IP hlavičkou, která obsahuje pouze adresu koncového bodu tunelu. Takto obalený paket je plně zabezpečený i při přenosu po veřejných a nezabezpečených kanálech, jelikož v čitelné podobě obsahuje pouze adresu koncového terminačního bodu IPsec tunelu. Ten po přijetí paketu dešifruje obsah a zahodí novou IP i ESP hlavičku. [2][13][14][16]
40
Pomocí IPsec jsme tedy schopni zajistit end-to-end zabezpečení komunikace proti napadení integrity, zcizení identity, proti útoku simulováním opakované komunikace i proti čtení obsahu (utajení). Velká výhoda IPsec zabezpečení je integrace do síťové vrstvy. End-to-end zabezpečení pohodlně nabízí i služby na aplikační vrstvě a dlouho se na poli IETF polemizovalo o tom, jakou cestou se vydat. Aplikační úroveň zabezpečení by totiž vyžadovala úpravy kódu samotných aplikací a zvyšovala by riziko lidských chyb (aplikační konfigurace, volitelné možnosti atd.). [2] 5.2.2 Modifikace dat Potom, co je útočník schopen zachytit nezabezpečenou komunikaci, dalším logickým krokem je pozměnění jejího obsahu za účelem získání dalších potřebných údajů či k destrukci služeb a samotné komunikace. Ani v případě, že nevyžadujeme šifrování veškeré komunikace, nechceme, aby byla jakákoli data během transportu modifikována. [11] Doporučená opatření: Veškerá doporučená opatření se shodují s bodem 5.2.1 Odposlouchávání (zachytávání) síťové komunikace. Jelikož jde především o prevenci proti možnosti data vůbec zachytit (fyzické zabezpečení), kontrolu integrity (IPsec, aplikační zabezpečení) a autentizaci (IPsec, aplikační zabezpečení). 5.2.3 Zcizení identity Protože většina sítí i operačních systémů používá ve výchozím nastavení ke kontrole identity IP nebo MAC adresu, je v některých situacích možné podvrhnout systém za pomoci odposlechnuté nebo jinak získané validní adresy. Po získání validní IP adresy v daném systému (síti) může útočník vygenerovat pakety, které se budou cíli zdát také validní. Pokud se útočníkovi podaří takto získat přístup do sítě je již jen otázkou dalšího zabezpečení, jak velké škody dokáže napáchat. [11] Doporučená opatření: Opatření v tomto bodě je potřeba opět rozdělit do dvou skupin. V případě, že se jedná o zabezpečení zcizení identity proti útokům z internetu, je nutné použití firewallu či UTM řešení na hranici firemní sítě a internetu. Správně nastavená pravidla na hraničním firewallu zamezí útočníkovi v průniku do sítě. Při konfiguraci firewallu je nutné vzít na vědomí, že pravidla povolující komunikaci z internetu do vnitřní sítě by neměli obsahovat veřejné IP adresy, ale pro připojení by mělo být využito autentizovaných prostředků jako je VPN. Pokud je z nějakého důvodu 41
nutné povolit komunikaci pro konkrétní IP adresu, je vhodné tak učinit pouze s dalšími opatřeními, jako je použití jiných než výchozích portů služeb, vícenásobné ověřování atd. Pro zabezpečení odcizení identity v rámci vnitřní sítě je nutné nasazení technologií jako je výše zmíněný NAP či port-based zabezpečení na aktivních prvcích sítě dle IEEE 802.1X. Obě tyto technologie (nebo jejich kombinace) poskytují autentizaci pro připojená zařízení a procedury k zacházení s neautentizovaným připojením k síti. Podrobněji se těmto možnostem budeme věnovat v kapitole 9. 5.2.4 Prolamování hesel Řízení autorizace k operačním systémům, aplikacím i síťovým zařízením je stále majoritně zajišťováno pomocí systému uživatelské jméno / heslo a kombinace těchto údajů vás identifikuje vůči danému systému. Problémem není pouze hádání kombinací uživatel / heslo, ale také, a to hlavně v případě starších aplikací, odposloucháváním sítě. Jelikož často aplikace posílaly při komunikaci celou přihlašovací sekvenci, nebo alespoň uživatelské jméno, v čitelné podobě, stačilo útočníkovi zachytit přihlašovací údaje z komunikace. V případě zachycení uživatelského jména má útočník k dispozici 2 možnosti k pokračování. Může zkusit uhádnout slabé heslo nebo použít automatizovaný útok za pomoci slovníku či přímo hrubou silou (všechny možnosti). [11] Doporučená opatření: Opatření k tomuto bodu značně komplikuje nemožnost zajistit bezpečnost zmíněných starých aplikací. V případě, že je nezbytné používat aplikaci, která akceptuje přihlášení pouze v „plain-text“ režimu nebo zastaralých hash metod, je nutné zajistit bezpečnost přenosového kanálu, aby nemohlo dojít k odposlechnutí (viz. 5.2.1 Odposlouchávání (zachytávání) síťové komunikace). Pokud používané aplikace, operační systémy a další zařízení, vůči kterým se autorizace provádí přihlášením jménem a heslem, používají moderní metody pro přenos přihlašovacích údajů (KDC, Kerberos, PKI) je stále nutné dbát na dodržování zásad z kapitoly 5.1.1 Slabá hesla. 5.2.5 Man-in-the-middle útok Jak vypovídá samotný název, jde o metodu, při které útočník aktivně monitoruje, zachycuje nebo kontroluje komunikaci mezi 2 koncovými body. Klasickým příkladem je model kdy útočník dokáže pozměnit směrování mezi komunikujícími stranami tak, aby 42
procházela přes něj. Často je také útok MITM kombinován s odcizením identity. Analýzou zachycené komunikace útočník dosáhne možnosti imitovat původního odesílatele, aniž by cílový systém zjistil, že je to jiný zdroj. Tento typ útoku je snadno použitelný například na nezabezpečených bezdrátových sítích. [11] Obrázek 14 Man-In-The-Middle
Zdroj: https://www.owasp.org/index.php/Man-in-the-middle_attack Doporučená opatření: Pro úspěšné provedení tohoto útoku je opět nutné mít v první řadě přístup ke komunikačnímu kanálu. Ať už je to zmíněná nezabezpečená bezdrátová síť, nebo kabelová podniková LAN. Z toho plynou i doporučené metody ochrany, které se do značné míry shodují s bodem 5.2.1 Odposlouchávání (zachytávání) síťové komunikace. V případě, že útočník není schopen fyzicky ani logicky narušit komunikační prostředek (připojit se k WiFi či ethernetu), nepodaří se mu pokračovat v útoku. V případě útoků vedených z internetu vůči přístupovému bodu firemní sítě (firewall) je opět důležité použití technologií zaručující autentizaci a integritu, jako je IPsec či SSL VPN. Pro nezabezpečené kanály lze ještě využít správně nakonfigurované IPS/IDS (Intrusion Prevention System/Intrusion Detection System), nicméně je lepší použít aktivní prevenci útoku použitím bezpečných kanálů, než pasivně spoléhat na detekci a blokování útoku. 5.2.6 Útok na aplikační vrstvě Útoky na aplikační vrstvě jsou většinou vedeny na aplikační servery za účelem zneužití známých slabých míst (exploit). Takto útočník obchází standardní kontrolu přístupu a získává neoprávněný přístup k běžícím aplikacím, datům nebo operačnímu systému. V případě, že se útočníkovi podaří získat přístup k aplikaci, může již v závislosti na 43
právech konkrétního uživatele manipulovat s daty (číst, přidávat, mazat či modifikovat) aplikace nebo operačního systému. Po získání přístupu na aplikační úrovni může útočník rovněž využít server pro rozšíření viru nebo jiného škodlivého kódu, jelikož na aplikačních serverech často nebývá z výkonových důvodů nasazován antivirový software. Napadený server lze úspěšně využít pro další odposlouchávání a analýzu provozu na síti a získané poznatky mohou útočníkovi pomoci k destrukci či narušení síťové komunikace v celé síti. V neposlední řadě je útočník schopen nekorektně ukončovat provoz spuštěných služeb a aplikací, což vede nevyhnutelně ke ztrátám dat a omezení produkčního prostředí. [11] Doporučená opatření: Stejně jako v bodě 5.2.4 Prolamování hesel je problematické zabezpečit proti útokům staré aplikace používající napadnutelné technologie. Proti napadení na aplikační vrstvě se lze efektivně bránit především používáním aktuálních technologií a sledováním trendů v oblasti aplikační bezpečnosti. Pokud se jedná o aplikace vystavené do internetu je nutné zajistit bezpečnou autentizaci a autorizaci přistupujících uživatelů, ideálně v součinnosti s VPN (viz. kapitola 5.2.1 Odposlouchávání (zachytávání) síťové komunikace), jež zajistí bezpečné komunikaci v nezabezpečené části sítě (internet). VPN řešení však není možné použít vždy. U veřejně publikovaných webových aplikací musíme zajistit všeobecnou dostupnost, ale zároveň i zabezpečení. V těchto případech je nutné před publikovaný aplikační či webový server umístit sofistikovaný firewall, ideálně UTM. Přístup k aplikacím by měl být z internetu vždy zabezpečen pomocí šifrovaného spojení SSL/TLS, které bude buď přímo předáváno webovému serveru v DMZ nebo ukončováno firewallem (UTM). Ukončené SSL spojení je dále předáváno v nezabezpečené formě. Tato varianta je výhodná zejména z důvodu nenáročnosti konfigurace na webovém serveru. A snadné inspekci provozu na http protokolu. Servery vystavené do internetu by měly být autentizovány pomocí certifikátů vydaných důvěryhodnými certifikačními autoritami. Třetího dubna 2014 vyvolalo značné pozdvižení zveřejnění zprávy o slabém místě
v některých
verzích
nejpoužívanější
open-source
knihovny
(OpenSSL)
zprostředkovávající právě SSL/TLS zabezpečení na straně webových serverů, SSL terminačních bodů (UTM, firewally, VPN brány atd.). Útočník, který měl informace o tomto slabém místě, dokázal bez jakýchkoli zvláštních oprávnění, úspěšně získávat obsah paměti ze serverů zabezpečených knihovnou OpenSSL. Z obsahu paměti bylo 44
možné získat přímo soukromé klíče certifikátů X.509 a následně dešifrovat veškerou komunikaci zabezpečenou těmito certifikáty. Slabé místo dostalo pojmenování Heartbleed, protože chyba je konkrétně obsažena v implementaci TLS/DTLS kontrole „heartbeat“. V případě zneužití této chyby dochází úniku (leak) z operační paměti ze serveru na klienta. Závažnost tohoto slabého místa je dána především tím, že jeho využití nezanechává žádné stopy a chyba v implementaci byla pravděpodobně odhalena až po velmi dlouhé době. Pravděpodobně tak došlo ke kompromitaci obrovského množství SSL certifikátů. Závažnost ještě navyšuje fakt, že OpenSSL knihovna zdaleka není využívána pouze pro zabezpečování výše zmíněných zařízení a aplikací, ale je implementována v mnoha distribucích Linuxu a používána celosvětové při vývoji aplikací. Proti zneužití Heartbleed chyby je nutné provést aktualizace knihovny, což není problém u aplikačních a webových serverů, ale může to být problém u aplikací, které chybové verze knihovny využívají, protože se musí udělat nová distribuce. [17] Opatření proti útokům na aplikační vrstvě z vnitřní sítě se do značné míry shodují s bodem 5.1.1 Slabá hesla a 5.2.1 Odposlouchávání (zachytávání) síťové komunikace. Nad tyto opatření je ještě potřeba zmínit důležitost používání aktuálních operačních systému
na
serverech
i
klientských
stanicích.
V rannějších
implementacích
autentizačního protokolu Microsoft NTLM (NT Lan Manager), konkrétně NTLM v1 a v2, se nacházely chyby umožňující útokem typu man-in-the-middle získat přístup k SMB zdrojům v síti bez jakýchkoli informací o uživateli a hesle. [18]
45
6. Moderní typy útoků (APTs a DDoS) a protiopatření 6.1 APT (Advanced Perstistent Threath) Termín APT byl vytvořen v roce 2006 analytiky US Air Force a popisuje 3 hlavní aspekty útočníků, jejich profil, záměry a strukturu.
Advanced – útočník je zběhlý v metodách pronikání do systémů a je schopný vytvářet vlastní nástroje pro zneužití známých i neznámých slabých míst.
Persistent – útočník má plán dlouhodobějšího charakteru a soustředí se na splnění cílů aniž by byl detekován
Threath – útočník je organizován, financován a motivován a představuje tak značnou hrozbu
V minulosti se pojem APT vztahoval k opakujícím se narušením bezpečnosti firemních sítí. V dnešní době je pojem APT často mylně považován za útok prostřednictvím vysoce sofistikovaných metod, jako jsou viry napsané pokročilými programátorskými metodami, schopné obelstít nejrůznější ochranné mechanismy a přetrvávat v utajení na „území“ cíle po delší dobu. Sofistikované nástroje samy o sobě nereprezentují APT, ale jsou jeho průvodním jevem, jelikož různé skupiny působící na poli počítačové kriminality používají podobné sady nástrojů. [9] Rozdíl mezi „hacks of opportunity“ tedy víceméně náhodným útokům, vedeným především proto, že je to na daném systému možné a APT, je tom, že hacker nebo skupina hackerů mají vyšší cíl. APT útoky bývají dopředu dobře připravené, předchází jim mapování terénu na virtuální i reálné (social engineering) úrovni a cílem bývá dlouhodoběji udržitelné obohacení na úkor cíle útoku. Cíle APT útoků se dají rozdělit do dvou relativně odlišných kategorií. První skupina si klade za cíl získávání osobních údajů jednotlivců či firem za účelem zneužití identity k obohacení nebo přímým krádežím. Druhá skupina se soustředí na konkurenční boj mezi korporacemi, či dokonce státy placené útoky mající za cíl získávaní utajených informací, duševního vlastnictví nebo obchodních tajemství. Získané informace jsou následně využívány v konkurenčním boji či v případě vládních institucí k vytvoření strategických výhod. Informace jsou moc a přístup k nebo kontrola nad
46
konkurenčními informacemi je mocná. Toto je základní cíl všech APT útoků – získat a udržet přístup k informacím, které jsou pro útočníky či jejich sponzory podstatné. [9] Ať už jsou skupiny hackerů schopných provádět APT motivovány státem sponzorovanou průmyslovou špionáží nebo organizovaným zločinem či se jedná o sociálně vyloučenou skupinu, APT metody a techniky jsou charakteristicky podobné a díky tomu je lze odlišit od náhodných útoků či napadení virem/malwarem. Na rozdíl od příležitostných útoků, se APT útoky nesnaží ve většině případů o žádnou destrukci, ale naopak. Útočník se snaží nezanechávat v systémech žádné stopy a často po získání přístupu do sítě využívá běžné metody práce jako autorizovaný uživatel systému. Pro získání přístupu k systémům jsou často využívány phishingové emaily obsahující škodlivý kód, který se po otevření snaží auditovat systém odeslat o něm potřebné informace útočníkovi, či přímo zprostředkovat přístup. Druhou metodou jsou v emailu obsažené odkazy na servery se škodlivým softwarem a další postup je analogický. Kvůli zakrývání stop útočníci často pro počáteční mapování terénu a získávání údajů používají již kompromitované počítačové sítě a servery a zůstávají tak za mnohdy několikastupňovým proxy systémem. [9] APT útoky v podstatě vždy provází sociální inženýrství, ať už ve větší či menší míře. Počínaje cíleným výběrem emailových adres vytipovaných pro phishing, zcizením identinty zaměstnance a kontaktováním helpdesku jeho jménem, až po skutečnou průmyslovou špionáž v podobě nasazeného agenturního zaměstnance instruovaného k získání potřebných dat, či přístupů k systémům.
47
V každém případě se APT útoky vyznačují několika fázemi, které zanechávají různé stopy: [9][19] 1. Cílení – Útočník shromažďuje informace o cíli z veřejných i soukromých zdrojů a testuje metody, které by mu mohly pomoci k získání přístupu do systému. To může znamenat skenování nejrůznějších slabých míst, sociální inženýrství nebo zmíněný phishing. 2. Přístup/kompromitace – Útočník získává přístup k systému a určuje nejefektivnější postup k využití informačních systémů cíle a poznává bezpečnostní politiku subjektu. To zahrnuje zajištění veškerých relevantních dat o kompromitovaném systému (IP adresa, DNS, sdílené zdroje, adresy DHCP a DNS serverů, OS) i o uživatelských profilech 3. Průzkum – Útočník mapuje síťové zdroje, topologii sítě, názvy služeb, doménové řadiče a testuje služby a administrátorské přístupy k zajištění přístupu
k dalším
systémům
a
aplikacím.
Často
se
útočník
snaží
kompromitovat doménové účty nebo lokální administrátorské účty se sdílenými doménovými oprávněními, a aby tyto aktivity utajil, vypíná antivirus a systémové logování, což může být užitečným vodítkem. 4. Pohyb v ústranní – Jakmile útočník určí vhodný způsob procházení sítě, získá potřebná uživatelská oprávnění a identifikuje cíle přesune se síti na další hosty. Tuto činnost většinou neprovází použití žádného škodlivého softwaru, ale využití standardních systémových a síťových nástrojů jako jsou příkazový řádek, NetBIOS příkazy, terminálové služby, VNC nebo další podobné nástroje využívané administrátory. 5. Sběr dat a jejich vynesení – Útočníci jdou po informacích, ať už za účelem dalšího cílení, udržení nadvlády nad systémem nebo přímo získání dat, které jsou jejich cílem. Útočníci většinou vytvoří sběrné body a data dostanou ze systému pomocí systému proxy sítí nebo vlastních zašifrovaných nástrojů. Jsou zaznamenány případy, kdy útočníci vynesly data za pomoci standardních zálohovacích nástrojů nasazených v kompromitované společnosti. Často bývá fáze vynesení dat zamaskována útoky malware na jiné části systému, z důvodu odvedení pozornosti zaměstnanců zodpovědných za bezpečnost sítě.
48
6. Administrace a údržba – Dalším cílem APT útoků je udržení přístupu. To vyžaduje administraci a údržbu nástrojů nasazených útočníkem v sílových systémech. Útočník si většinou vytváří několik paralelních přístupových cest do systému a zároveň instaluje triggery a notifikační systémy, které mají za úkol upozornit na potenciální odhalení kompromitovaného systému.
Obrázek 15 APT
Zdroj: https://www.damballa.com/advanced-persistent-threats-a-briefdescription/ [19] Jak bylo již řečeno, APT útoky po sobě většinou nezanechávají stopy jako oportunitní útoky, ale pouze záznamy v logu vypadající jako standardní využívání firemních ICT prostředků. Nicméně na rozdíl od standardního oprávněného uživatele, útočník musí se získanými oprávněními experimentovat a hledat další slabá místa systému, aby je dokázal co nejlépe využít a dospět tak ke svému dlouhodobému cíli. Právě toto experimentování a bádání zanechává v lozích a souborovém systému jisté odlišné znaky, než standardně se chovající autorizovaný uživatel.[9][19] Během posledních pěti let bylo odhaleno několik rozsáhlých a dlouhotrvajících „tažení“ útočníků využívajících APT metod proti korporacím i vládám na celém světě. 49
Tyto útoky, známé pod krycími názvy Aurora, Nitro, ShadyRAT, Lurid, Night Dragon, Stuxnet, a DuQu, všechny vykazovali 6 zmíněných fází průběhu. [9][19][20]
6.2 Detekce a možná protiopatření Dnes již existuje několik komerčních zařízení (HW i SW appliance), která dokáží detekovat APT techniky a zabránit jim v pokračování. Nicméně i bez těchto cílených zařízení lze udělat hodně pro zlepšení odolnosti firemního ICT vůči této hrozbě. Jelikož útočníci hojně využívají sociální inženýrství, je nutné preventivně zaškolovat zaměstnance v oblasti základních bezpečnostních návyků a chování v prostředí internetu a ICT obecně. Jelikož útočník začíná právě u uživatele, je uvědomělý zaměstnanec základním předpokladem k úspěchu. Koncová stanice uživatele by měla být v souladu bezpečnostní politikou vždy aktuální, obsahovat antivirus a připojení k internetu by mělo procházet bezpečnostní branou nebo proxy, se schopností analýzy provozu, detekce nežádoucího obsahu a antivirem. Jelikož je APT typ útoku, kde útočník není odrazen tím, že na počátku zdánlivě nemá příležitost získat přístup k systému využitím nějakého zjevného slabého místa, je nutné skombinovat veškerá doporučení z kapitoly 5 Frekventované metody útoků a protiopatření, případně je ještě doplnit o specializované řešení. K detekci a obraně proti ATP je vhodné využít následující řešení:
Produkty zabezpečení koncových stanic - antivirus, HIPS (Host-based Intrusion Prevention Systém) a software pro kontrolu integrity souborového systému
Software pro auditování souborového systému a sledování změn v něm
Nástroje a řešení pro síťovou bezpečnost jako jsou UTM firewally, IDS/IPS systémy
Nástroje pro monitorování síťového provozu (kryje se s UTM) umožňující filtrování
webu.
Kromě
UTM
řešení
jsou
k dispozici
nástroje
jako
SNORT/TCPDUMP.
Nástroje pro monitorování a auditování bezpečnostních a systémových událostí a reportingem. Například Microsoft Systém Center Operations Management.
50
V případě APT dokonale platí, že síť je tak bezpečná, jako je bezpečné její nejslabší místo, tudíž neexistuje ochrana typu all-in-one. Pouze kombinací opatření a dodržováním pravidel bezpečnostní politiky je možné vzdorovat APT.[9][20] Obrázek 16 Kombinace prostředků proti APT
Zdroj: [20]
6.3 DDoS – Distributed Denial of Service 6.3.1 Historie Po přelomu tisíciletí došlu k výrazné změně ve vnímání DoS útoků. Z dočasné nepříjemnosti se stala seriózní vysoce nebezpečná a obávaná hrozba. V devadesátých letech se jednalo převážně o využívání slabých míst implementace TCP/IP či chyb klientského síťového HW. Tato slabá místa dostávala pojmenování jako “ping of death”, Smurf, Fraggle, boink či Teardrop a byla efektivní při shazování jednotlivých počítačů za pomoci jednoduché sekvence paketů, až do doby, než byly tyto implementační chyby odstraněny. [21] Z DoS útoku se stal DDoS ve chvíli, kdy k útokům na cíl nebyl použit pouze počítač útočníka, ale celé sítě počítačů, napadené malwarem nebo obsahujích neaktualizovaná slabá místa a tím pádem ovladatelná útočníkem. Z počátku však byly DDoS útoky chápany jako problém velkých hráčů (nejčastěji napadaná organizace byl Microsoft). DDoS útoky neohrožovali jen organizace, ale i samotný internet. V letech 2002 a 2007 se stalo cílem koordinovaného útoku 13 root DNS serverů s cílem vyřadit základní infrastrukturní jednotky internetu. Útok z roku 2002 byl úspěšný a způsobil značné problém v internetovém provozu. Útok z roku 2007 již úspěšný nebyl a 11 ze 13 serverů útoku odolalo a zůstalo online. [21] 51
V přímém kontrastu s původními jednoduchými a relativně neškodnými útoky se ukázaly události v letech 2011 a 2012, kdy DDoS útoky ukázaly, jak devastující mohou být. Mnoho útoků bylo iniciováno skupinou Anonymous proti různým organizacím, například Church of Scientology a Recording Industry Association of America (RIAA). Nejzávažnější útok provedený skupinou Anonymous byl pravděpodobně ten z roku 2012. Cílem byly organizace United States Department of Justice, United States Copyright Office, The Federal Bureau of Investigations (FBI), MPAA, Warner Brothers Music, a RIAA. Útok byl veden jako odveta za odstavení serverů Megaupload. [9] Nicméně největší dosud zaznamený DDoS útok byl proveden v na přelomu ledna a února 2014. Cílem byl evropský poskytovatel digitálního obsahu Cloudflare. Útočníci využili chybu v neaktualizovaných knihovnách protokolu NTP, pomocí které dosáhli lavinového efektu při útoku. Špičkový datový tok útoku na datová centra Cloudflare dosahoval 400Gb/s, což je nejvyšší škodlivý datový tok v historii zaznamenaný.[9][21] 6.3.2 Historické dělení útoků DDoS Simple Network Attack – relativně staré, ale proti nezabezpečeným serverům stále dobře fungující metody. Tyto útoky se nazývají „floods“ a využívají velké množství počítačů k zasílání ochromujícího množství síťového provozu na cíl útoku. Dochází ke kolapsu cílové stanice, či firewallu před ní, ale výsledek je stejný – odstavení služby z provozu. Využívání velkého množství počítačů při útoku značně komplikuje možnosti blokování provozu, jelikož přichází mnohdy z celého světa. [21] Mezi nejjednodušší typy „floods“ útoků patří SYN flood a connection flood, které využívájí v případě SYN flood dlouhého time-outu v třícestném handshake při sestavování TCP spojení. Klient iniciující komunikaci odesílá na server SYN zprávu buďto s neexistující IP adresou odesílatele (odpověď od serveru nedorazí) nebo na ACK odpověď serveru klient prostě vůbec nereaguje. Jelikož server čeká na odpověď a spojení udržuje po dobu nastavenou v SYN-RECIEVED time-outu, při opakování scénáře dochází k vytváření nových spojení a zahlcování serveru. Conn flood využívá přetečení tabulek u zařízení a softwaru pro monitorování spojení, například SPI firewally či IPS.[22] Například proti nezabezpečenému Linux serveru s Apache 2 web serverem způsobí pád následující sekvence paketů: 52
Tabulka 1 Simple Network Attack
Útok
Metrika
Výsledek
SYN flood
1500 SYN za sekundu
Denial-of-Service
Conn flood
800 spojení
Denial-of-Service
Zdroj: [21] Opatření proti těmto jednoduchým DDoS spočívají v používání filtrování (firewall, UTM atd.), zkrácení SYN-RECIEVED time-outu, použitím SYN cache nebo cookies, či recyklováním nedokončených TCP spojení. Modernější typy útoků většinou dosáhnou odstavení služby dávno předtím, než dojde k přetečení pamětí, tabulek či vyčerpání šířky pásma na straně cíle. Mezi sofistikovanější metody DDoS patří DNS útoky. Služba DNS je klíčovou službou internetu a pokud je narušena její funkce přestává fungovat velké množství internetových služeb na ní závislých. DNS servery jsou proto lákavým cílem útočníku, historicky bylo pokušení násobeno nedostatečnou HW infrastrukturou na straně root DNS serverů. DNS útoky se díky relativně jednoduché UDP struktuře protokolu vyznačují 2 hlavními body:
DNS útok se snadno generuje
DNS útokům je těžké se bránit
DNS útoků existují 3 typy:
UDP floods – snadné generování DNS UDP paketů vede k zahlcení na strané DNS serveru, který musí všechny příchozí pakety vyhodnotit z hlediska validity a tím spotřebovává HW prostředky. Po vyčerpání prostředků se buďto restartuje nebo začne zahazovat příchozí pakety (mezi nimi i ty validní).[21]
Legitimní dotazy (NSQUERY) – Hierarchická architektura systému DNS způsobuje občasnou nutnost rozeslat legitimní dotaz na další servery pro úplný překlad názvu. To způsobuje nerovnováhu ve vytížení infrastruktury, jelikož na jeden klientský dotaz musí odpovídat více serverů. Této asymetrie je zneužíváno během NSQUERY útoků. Velké množství zdrojových počítačů posílajících specifické dotazy tak může způsobit zahlcení i velkého počtu DNS serverů.[21]
Legitimní dotazy na neexistující hosty (NXDOMAIN) – Nejsofistikovanější typ DNS útoku. Validní dotaz na neexistující doménové jméno způsobí na straně DNS serveru mnohem větší využití HW prostředků, než NSQUERY útok, protože server 53
musí projít celou cache, zónovou databázi a často po nenalezení předá dotaz dalšímu serveru a čeká na odpověď, což opět konzumuje prostředky. I pokud server neselže na vyčerpání prostředků, dojde po určitém čase k přepsání všech validních záznamů v DNS Cache za neexistující a tím k obrovskému zpomalení odpovědí na validní dotazy. Proti těmto NXDOMAIN útokům je téměř nemožné se bránit. V listopadu 2011 tento typ útoku vyřadil z provozu mnoho DNS serverů po celém světě. Toto slabé místo zůstane využitelné, dokud ISC (Internet Systems Consortium) nevydá opravný patch na BIND, software na kterém je většina internetových DNS serverů založena.[21] Dalším typek DDoS jsou http útoky. Ty se dají opět rozdělit na:
Floods –Na rozdíl od Simple Network Attack metod, které se snaží zahltit cíl nevalidní komunikací, vypadá http flood útok jako standardní komunikace. Z tohoto důvodu jsou nezachytitelné pomocí běžných firewallů a jednoduše dál předávány web serverům. Tisíce až milióny útočících počítačů (botnety) posílají http požadavky na server, dokud nezpůsobí jeho kolaps či extrémní zpomalení odpovědí. Moderní firewally a UTM dokáží poměrně snadno na základě analýzy http inspekce odhalit a odříznout tento typ útoku.[21]
Low-bandwidth HTTP denial of service attacks – Ochrany založené na analýze provozu a http inspekci dokáže překonat překvapivě jednoduchý model útoku, jakým je například Slowloris. Jednoduchý skript, který generuje a posílá na server HTTP požadavky o minimální velikosti (typicky 5 bajtů) každých 299 sekund. Tím udržuje spojení aktivní a vytváří další a další, dokud nedojde k přetečení tabulky spojení. Bylo otestováno, že proti standardnímu web serveru se softwarem Apache 2.2.3 stačí otevřít 394 těchto spojení k dosažení DoS. Další typy Low-Bandwith HTTP DoS ukazuje tabulka 6-2. [21]
54
Tabulka 2 Low-Bandwith http útoky
Útok
Cíl útoku
Popis
Slowloris
Tabulka
Pomalu posílá HTTP hlavičky k udržování
spojení
spojení.
Tabulka
Pomalu posílá data (POST) k udržení spojení.
Slowpost
spojení HashDos
CPU
Přeplňuje hash tabulky v back-endovém SW.
SSL renegotiation
CPU
Zneužívá asymetrii v šifrovacích operacích. Zdroj: [21]
6.3.3 Aktuální dělení DDoS útoků a jejich podíl na celkovém počtu Podle aktuálních měřítek dělíme DDoS útoky na:
Infrastructure layer attacks
Application layer attacks
Infrastrukturní útoky, známé též jako volumetrické, se zaměřují na spotřebování šířky pásma cíle. Tyto útoky cílí na prvky infrastruktury (DNS servery, NTP servery, firewally) a v současnoti jsou dominantním typem DDoS útoků. Nejčastěji zneužívanými protokoly pro tento typ útoků jsou Character Generator (CHARGEN), Network Time Protocol (NTP) a Domain Name Systém (DNS). Frekvence tohoto typu útoků závisí často na tvorbě nových nástrojů umožňujících snazší nebo efektivnější provedení útoku. V prvním kvartálu roku 2014 značným způsobem vzrostl počet útoku na NTP protokol (viz 6.3.1 útok na Cloudflare). Tento útok využívá slabé místo ve staré implementaci NTP protokolu. Ačkoli byla již ve 2. polovině roku 2013 vydána směrnice IETF, popisující toto slabé místo, obrovské množství serverů zůstává stále neaktualizované a tudíž zneužitelné tímto útokem. NTP útok je nebezpečný především proto, že jde o takzvaný reflexivní útok. Reflexivní nebo také zesilovací (amplification) útoky zneužívají slabá místa, která vedou k lavinovému šíření útoku. V tomto případě se jedná o funkci MONLIST protokolu NTP, která žadateli vrací seznam posledních 600 IP adres dotazovatelů. To v praxi znamená, že odpověď na tento dotaz je až 206 krát větší než dotaz (v případě, že tabulka s adresami plná). Útočník, který má k dispozici linku o kapacitě 1Gbps tak dokáže teoreticky vypustit útok s šířkou pásma
55
více než 200Gbps. Útok na Cloudflare zneužil 4529 NTP serverů v 1298 různých sítích a dokázal vygenerovat zátěž o velikosti 400Gbps. [30] Útoky na aplikační vrstvě vyžadují k úspěšnému provedení vyšší úroveň znalostí a sofistikovanosti. Nejsou nezbytně zaměřené na vyčerpávání propustnosti sítě. Na rozdíl od volumetrických útoků se soustředí na odstavení konkrétní aplikace či služby. Tyto útoky jsou často nerozeznatelné od běžného http provozu a procházejí tak bez povšimnutí skrz firewally i IDS/IPS řešení. Ještě hůře detekovatelné jsou útoky využívající SSL šifrování. V poslední době byly zaznamenány úspěšné útoky využívající reflexe (násobení účinku lavinovým efektem), vedené na servery s WordPress CMS. Útoky na aplikační vrstvě představovaly do roku 213 asi 20 procent z celkového počtu útoků. [30] Porovnáme-li využití DDoS metodik mezi 1Q2013 a 1Q2014, dojdeme ke zjištění, že aplikační útoky ztrácí (pokles z 20 procent na 13) na úkor infrastrukturních. To je zapříčiněno především nárůstem obliby NTP a DNS útoků. Celkově je pokles výskytu aplikačních útoků dáván do souvislosti především se zvýšenou náročností na jejich provedení. Objevení nových nástrojů vhodných k vypouštění útoků na značný počet nezáplatovaných NTP a DNS serverů, tomu přispělo značnou měrou. Obrázek 17 Procentuální zastoupení DDoS útoků
Zdroj: Prolexic Quarterly Global Attack Report Q1 2014 56
6.3.4 TOP 10 zemí, ze kterých přicházejí DDoS útoky Obrázek 18 ukazuje aktuální procentuální zastoupení zemí, ze kterých pochází největší část DDoS útoků. Spojené státy americké s 21 procenty vedou tomuto žebříčku, je zde však jasně vidět celková převaha asijských států. To je dáno především masivním rozvojem infrastruktury, obrovského počtu lidí připojených k internetu, velkému množství botnetů a celkovému neřešení bezpečnosti. Spojené státy jsou na čele žebříčku proto, že velká většina cílů DDoS útoků má datová centra právě v USA. Tato skutečnost jednak usnadňuje provedení útoku a zároveň omezuje možnosti cíle se bránit zakázáním komunikace z cizích států. Obrázek 18 Zdroje DDoS útoků
Zdroj: Prolexic Quarterly Global Attack Report Q1 2014 6.3.5 Shrnutí možných opatření proti DDoS Stejně jako v případě APT neexistuje proti DDoS ucelená „all-in-one“ ochrana. V boji proti DDoS je nutné nasazení více kooperujících nástrojů a v případě velkých firem disponujících vlastními datovými centry a velkou šířkou pásma připojení k internetu dokonce spolupráci s poskytovateli připojení a společnostmi specializujícími se na boj proti DDoS, jako je Akamai/Prolexic. Kombinace inteligentních nástrojů pro monitoring a analýzu provozu, které dokážou oddělit nežádoucí provoz od validního s pokročilými UTM firewally či dokonce specializovanými DDS aplikacemi (DDoS Defense System) dokáže efektivně čelit cíleným 57
DDoS útokům. V rámci internetu je nutné posilovat HW root DNS serverů a aktualizovat aplikační vrstvy, na kterých jsou tyto služby provozovány.
58
7. Firewally Firewall je v počítačové terminologii zařízení nebo software, který kontroluje příchozí a odchozí komunikaci na základě stanovených pravidel. Firewall stanovuje bariéru mezi sítěmi nebo i jednotlivými počítači. Ať už se jedná o bariéru mezi internetem a vnitřní důvěryhodnou firemní sítí nebo mezi 2 subnety vnitřní sítě, vždy zastává funkci eliminace nežádoucí komunikace. Firewall nebo jeho části dnes obsahují operační systémy, routery či domácí AP, ale samozřejmě existují i specializovaná HW a SW řešení, která poskytují mnoho sofistikovaných funkcionalit a různé úrovně výkonu. Firewally prodělaly poměrně výrazný vývoj.
7.2 Paketové filtry První zmínka o počítačovém firewallu pochází z roku 1988, kdy inženýři z Digital Equipment Corporation (DEC) vyvinuli první systém k filtrování paketů. V Bellových laboratořích AT&T pokračovali ve výzkumu pánové Bill Cheswick a Steve Bellovin. Vyvinuli pro firmu AT&T vlastní funkční model paketového filtru založený a architektuře DEC. Paketový filtr funguje na principu inspekce každého příchozí paketu. Zjištěné zdrojové a cílové adresy, protokol či TCP/UDP port porovnává s pravidly. Pokud je paket vyhodnocen jako nežádoucí, dochází k jeho zahození (discard) nebo odmítnutí (reject). Při odmítnutí paketu je odesílateli odeslána zpráva o zamítnutí přístupu, při zahození nikoli. Jelikož tyto firewally neřeší stavy spojení, nazývají se také „stateless“. Bezstavové firewally pracují majoritně na 2. a 3. vrstvě OSI modelu, 4. vrstvu využívají pouze v pravidlech s použitím TCP a UDP portů. [23]
7.3 Stateful Packet Inspection (SPI Firewally) V návaznosti na výzkum v AT&T Bell Laboratories pokračovali pánové Dave Presetto, Janardan Sharma a Kshitij Nigam ve vývoji a na začátku 90. let vyvinuli druhou generaci firewallu – Circuit-level gateway. Firewally druhé generace dělají vše co stateless verze, ale naplno využívají transportní (čtvrtou) vrstvu OSI modelu. Na rozdíl od bezstavového firewallu, který kontroluje každý paket zvlášť, stavový firewall zachytává pakety, dokud nemá dostatek informací o stavu dané komunikace. SPI tedy funguje tak, že firewall zaznamenává procházející pakety a zjišťuje, zda jde o paket iniciující spojení, patřící do 59
existujícího spojení nebo nepatřící do žádného spojení. Ačkoli firewall stále používá statická pravidla, nyní mohou obsahovat podmínky pro testování stavu spojení. Jak bylo zmíněno v sekci 6.3.2 , je tento typ firewallu potenciálním cílem DDoS útoků. Útoky využívají právě nutnosti ukládání informací o stavu spojení. Tyto tabulky nejsou neomezené a v případě zahlcení pakety s falešnými spojeními dojde k vyčerpání místa v tabulce a následnému odepření i validních spojení. [23]
7.4 Aplikační firewally Třetí generaci firewallu vyvinuli v devadesátých letech pánové Marcus Ranum, Wei Xu a Peter Churchyard a pojmenovali ji Firewall Toolkit (FWTK). Je zřejmé, že aplikační firewall pracuje na sedmé, tedy právě aplikační, vrstvě OSI modelu. Klíčová výhoda aplikačního firewallu je, že dokáže interpretovat protokoly 7. vrstvy, jako jsou FTP, http, DNS a další a v podstatě rozumí dané komunikaci. Firewall tak dokáže rozpoznávat i nechtěnou komunikaci snažící se obejít pravidla odesíláním komunikace na povolených portech. [23]
7.5 Next Generation Firewally (NGFW) a UTM Evolucí aplikačních firewallů a kombinací dalších bezpečnostní i síťových služeb vznikla v nedávné době nová generace bezpečnostních řešení. Vzhledem k množství sdružených funkcí se již nejedná pouze o firewall a pro tyto řešení se vžilo pojmenování Unified Threat Management. Můžeme se též setkat s pojmem NGFW – Next Generation Firewall, nejedná se sice o synonyma, ale obě koncepce se v mnohém překrývají. UTM firewally se primárně snaží o centralizaci zabezpečovacích mechanismů do jednoho HW, či SW řešení. Většina reálných produktů integruje pod pojmem UTM firewall dříve diskrétní zabezpečovací mechanismy jako je antivirus, anti-malware, anti-spam, IPS a IDS, web-filtering a samozřejmě klasický SPI firewall, doplněný o možnost práce s pravidly na sedmé (aplikační) vrstvě ISO-OSI modelu. NGFW také kombinují různá bezpečnostní řešení, ale soustředí se především na integraci s firemní infrastrukturou. Úzká spolupráce s Active Directory, DHCP a DNS službami umožňuje centrální management a pravidla založená přímo na uživatelských účtech AD. 60
UTM i NGFW řešení jsou k dispozici jako SW i HW appliance. U softwarových produktů jde buďto o běžnou instalovatelnou aplikaci nebo embedded produkt s vlastním, většinou Linuxovým, operačním systémem nasazovaným na holé železo či do virtuálních prostředí. HW appliance využívají univerzální ARM procesory a vlastní sestavení linuxových jader. Výrobci nejmodernějších a nejvýkonnějších hardwarových UTM řešení si navrhují a nechávají na zakázku vyrábět vlastní ASIC (aplication-specific integrated
circuit)
čipy,
obsahující
vlastní
specifické
sady
instrukcí.
Takto
optimalizovaný hardware dokáže dramaticky zvýšit výkon UTM řešení. Koncentrace bezpečnostních funkcí v UTM firewallech je značně náročná na výkon a v případě nasazení na vysoce propustných linkách velkých společností by standardní ARM hardware již narážel na výkonové limity. [23][24]
61
8. Rizika nezabezpečených aktivních prvků LAN Zabezpečení firemních dat i komunikace je dnes věnována již značná pozornost. Často se ale stává, že soustředění míří primárně na hraniční body sítě, servery, klienty a na zabezpečení aktivních prvků sítě, jako jsou přepínače, směrovače, či přístupové body bezdrátových sítí se zapomíná. Je potřeba si však uvědomit, že právě přes tyto zařízení tečou veškerá zabezpečená i nezabezpečená data a jejich ponechání ve výchozím nastavení přináší značná rizika, zejména pro útoky z vnitřní sítě. Výchozí nastavení většiny aktivních prvků od renomovaných výrobců bývá do značné míry nedostatečné. Přístup ke správě aktivního prvku je přednastaven s triviálním, či dokonce žádným heslem a pro samotnou komunikaci s prvkem jsou využity nezabezpečené protokoly jako HTTP, TFTP (Trivial File Transfer Protocol), Telnet a SNMP v1/2c (Simple Network Management Protocol v1/2c). U přístupových bodů bezdrátových sítí je v lepším případě deaktivováno rádio či přednastaven složitý klíč zabezpečení, nicméně značná část uživatelů i správců ponechává ve výchozím nastavení administrátorský přístup s triviálním heslem a dále se nesnaží zvýšit úroveň zabezpečení podrobnějším nastavením. [25] Stejná pozornost jako zabezpečení správy samotných zařízení, by měla být věnována zabezpečení portů aktivních prvků, v případě firemních sítí tedy přepínačů. Výchozí nastavení je v tomto případě zcela nezabezpečené, tedy ke switch žádným způsobem nekontroluje, zda je připojované zařízení žádoucí, či nikoliv.
8.1 Přepínače a směrovače
Výchozí administrátorský přístup – Ponechaný výchozí login (Admin, root, manager, superuser atd.) bývá nejčastějším slabým místem. Riziko ponechání přístupu ke správě ve výchozím nastavení je zjevné. Útočník jakkoli připojený do subnetu, ve kterém se nachází aktivní prvek, snadno pozná, o jaký konkrétní produkt se jedná a následně si vyhledá (nebo zná) kombinaci výchozího jména a hesla s získává tím okamžitě plnou kontrolu nad zařízením.
Telnet - Většina aktivních prvků má ve výchozím nastavení povolen přístup ke vzdálené správě pomocí terminálového protokolu. Telnet je z principu nezabezpečený protokol, komunikující mezi stanicí a aktivním prvkem zcela 62
v režimu čitelného textu. V případě, že je útočník schopen zachytávat komunikaci na síti (viz. kapitola 5.2.1 Odposlouchávání (zachytávání) síťové komunikace), každý úspěšný pokus o přihlášení znamená úspěšné zachycení loginu útočníkem. HTTP management interface – Všechny aktivní prvky sítě, jež disponují možností konfigurace přes webové rozhraní, by měly být nastaveny pro výhradní využití zabezpečeného HTTP protokolu (HTTPS). Ve výchozím stavu tomu tak většinou není a přihlašování tak skýtá stejná rizika jako v případě Telnetu.
TFTP protokol – Tento protokol je zjednodušenou verzí FTP. Specifikace pochází již z roku 1980. TFTP na rozdíl od FTP protokolu používá nespojovaný UDP režim a v rámci jednoho přenosu lze vždy poslat pouze jeden soubor. Pakety navíc putují po síti vždy po jednom a pak klient čeká na potvrzení druhou stranou, což značným způsobem snižuje rychlost na linkách s dlouhou latencí. Nicméně takto jednoduchost na druhou stranu znamená minimální požadavky na paměť i na šířku pásma linky. Stejně jako v předchozích případech, rizikem použití tohoto protokolu je jeho zcela nezabezpečená forma. V případě TFTP dokonce pro iniciování spojení není potřeba žádné přihlášení.
SNMP v1/2c – SNMP je protokol pro správu zařízení komunikujících IP protokolem. SNMP bývá využíváno aplikacemi pro hromadnou správu a konfigurační management aktivních prvků, jako je HP ProCurve Manager. V současnosti bývá ve výchozím nastavení aktivován protokol SNMP v2. Tato verze používá pro čtení a zápis konfigurace takzvaná komunitní jména (community names), ty jsou však po síti posílána v čitelné podobě a opět tak vzniká riziko zachycení a zneužití pro škodlivé změny v konfiguraci.
8.2 Přístupové body bezdrátové sítě 802.11 (WiFi AP) Obrovský nárůst využití přenositelných zařízení v podnikovém ICT postupně nutí IT oddělení k nasazování bezdrátových sítí. To s sebou nese samozřejmě značná rizika, jelikož především starší zařízení bez podpory moderních bezpečnostních standardů poskytovala mnohá slabá místa. Stejné riziko jako u přepínačů a směrovačů tvoří ponechané výchozí hodnoty zařízení. Slabé, či žádné heslo u administrátorského účtu znamená snadnou a rychlou cestu získání kontroly nad zařízením, potažmo probíhající komunikací. Další rizika jsou 63
již odlišná vzhledem k charakteru bezdrátového připojení. První verze zabezpečovacích mechanismů bezdrátových sítí, tedy WEP a WPA-PSK. Wired Equivalent Privacy (WEP) je standard zabezpečení pocházející z roku 1999 kdy byl vydán standard 802.11, definující bezdrátové počítačové sítě. Jeho implementace však obsahovala mnohé chyby a i přes rychlé a široké rozšíření byl rychle nahrazen překlenovací technologií WPA (WiFi Protected Access), jelikož se ukázalo, že tato technologie je velmi slabá. Problém WEP šifrování v krátké délce klíče. Původní implementace WEP šifrování používala kvůli americkým limitům na vyvážení šifer pouze 40 bitové klíče proudové RC4 šifry. To vedlo k tomu, že při dostatečně intenzivnímu provozu na síti bylo možná v relativně krátké době zachytit opakující se klíče a tím prolomit zabezpečení. [27] Technologii WEP nahradilo šifrování WPA. Z hlediska rizik v podnikové síti je to o něco lepší než u WEP, nicméně pokud je to možné, doporučuje se používat WPA verze 2 nebo alespoň WPA v kombinaci s 802.1x autentizačním serverem. Zásadním problémem u WPA je totiž relativní náchylnost na slovníkové a silové útoky v případě použití varianty PSK (pre-shared key) v kombinaci se slabým heslem.
64
9. Možnosti zabezpečení aktivních prvků LAN Tato kapitola se zabývá možnostmi zvýšení zabezpečení firemní sítě proti útokům zevnitř. Ve firemní síti není důležité zabezpečení proti neoprávněnému přístupu pouze z důvodu ochrany proti cíleným útokům, ale i proti připojování cizích zařízení, byť jejich primárním účelem není snaha o škodlivou činnost. Soukromá zařízení zaměstnanců, notebooku třetích stran (servisní firmy, zákazníci či dodavatelé) jsou potenciálním zdrojem problémů pro každého administrátora. Jelikož o těchto zařízeních a jejich stavu z principu nic nevíme, není žádoucí jim povolit přístup do stejné sítě, jako sdílí zbytek firemní infrastruktury. Z tohoto důvodu je vhodné nasadit ve firemní síti takové technologie, které umožní kontrolu nad autorizací zařízení. V návaznosti na předchozí kapitolu se tak věnujme základním procedurám zvyšujícím zabezpečení aktivních prvků. Kapitola kopíruje body předchozí kapitoly, ale obsahuje konkrétní alternativy k nezabezpečeným protokolům a doporučená nastavení.
9.1 Přepínače a směrovače Terminálový protokol je dobré v zařízeních zcela zakázat a pro vzdálený přístup ke konzoli vždy používat zabezpečenou verzi. Většina moderních směrovačů a přepínačů k tomu poskytuje protokol SSH (Secure Shell). SSH to je protokol, který vznikl pravě v reakci na úspěšné útoky odchytáváním hesel. Jedná se o protokol pro zabezpečený přístup k příkazovému (shell) řádku vzdáleného systému. SSH využívá pro zabezpečení komunikace asymetrické šifrování, v aktuální verzi SSH-2 se konkrétně jedná o výměnu klíčů pomocí Diffie-Hellman algoritmu. [26] Stejným způsobem je třeba přistoupit k zabezpečení dalších metod komunikace s managementem prvku. V případě webového rozhraní je vhodné zakázat HTTP protokol a využívat pouze zabezpečenou HTTPS verzi. TFTP klient a server v síťovém zařízení by měl být vypnut a nahrazen SFTP (Secure File Transfer Protocol) a SCP (Secure Copy Protocol), jež jsou součástí skupiny protokolů SSH. V případě použití zabezpečených terminálových protokolů a protokolů pro přenos dat je potřeba zmínit, že pro správnou funkci je potřeba mít nainstalovány aplikace podporující tyty protokoly. V případě SSH terminálu je zřejmě nejrozšířenější aplikací Putty. Pro přenos dat pomocí SCP či SFTP lze s úspěchem využít programy WinSCP nebo FileZilla. V případě, že 65
chceme využít možnosti správy pomocí SNMP, je vhodné vypnout v zařízení verze v1 a 2 tohoto protokolu a používat pouze verzi 3, která je taktéž zabezpečena asymetrickým šifrováním.[25] Další velmi dobrá technika k zabezpečení aktivních prvků sítě je použití takzvaného Management VLAN (Virtual LAN). VLAN technologie slouží k logickému oddělení broadcastových domén, tedy k virtuální segmentaci jinak fyzicky jednotné sítě. Jak je zřejmě již patrné, Management VLAN slouží k vytvoření uzavřeného vyjmenovaného počtu portů, přes které je možné se připojit ke správě zařízení. Tímto je jasně dané, odkud se dá k zařízením připojit a v kombinaci s vhodným fyzickým zabezpečením patřičných zásuvek je v podstatě eliminována možnost neautorizovaného přístupu k aktivním prvkům. Pro prostředí, kde by bylo nasazení Management VLAN příliš restriktivní, může být alternativou funkce IP Authorized Managers. Po aktivování této funkce nám aktivní prvek nabídne možnost zadat omezený počet IP adres počítačů, ze kterých je možné jej spravovat. Toto řešení je ale možné považovat za bezpečné pouze tehdy, máme-li zajištěnou ochranu před zcizením identity těchto autorizovaných počítačů.[25] Na tomto místě je potřeba ještě zmínit zabezpečení proti ARP Spoofingu (Poisoningu). ARP Spoofing je metoda útoku založená na podstrčení padělaného ARP paketu aktivnímu prvku v síti. Kombinací MAC adresy cílového zařízení (například serveru či výchozí brány) a IP adresy útočníka dojde v přepínači nebo směrovači k vytvoření chybného záznamu v ARP tabulce. Tím útočník dokáže přesměrovat komunikaci, která měla být určena pro původní cíl na svoji stanici. Druhý typ útoku na ARP protokol je DoS, vzhledem k podstatě tohoto protokolu je možné generováním velkého množství falešných ARP paketů docílit zahlcení tabulek aktivního prvku a následnému odstavení jeho služby.
66
Obrázek 19 ARP Spoofing
Zdroj: http://en.wikipedia.org/wiki/ARP_spoofing Ochranu před tímto typem útoku je možné aktivovat přímo na většině podnikových aktivních prvků. Zabezpečení se opírá o validaci spojení IP/MAC adres, porovnáváním zdrojové fyzické adresy a adresy uvedené v paketu. Při detekování rozdílu není paket předán dál. Autentizace přiřazení IP k MAC se provádí pomocí DHCP Snoopingu, tedy ověření
záznamu
IP/MAC
vůči
databázi
DHCP
serveru.
V případě
zařízení
nepoužívajících dynamickou adresaci je nutné vytvořit v aktivních prvcích statické mapování IP/MAC, jinak budou pakety těchto zařízení zahazovány. [25] Obecně také platí to, že nepotřebné protokoly, služby a nepoužívané porty bychom měli vždy vypnout/zakázat. Čím méně potenciálních míst ke zneužití, tím lépe.
67
9.2 Port security Pod pojmem port security se skrývá zmiňované zajištění autorizace k síti připojovaných zařízení. Technologie je známá také pod názvem Port-based Network Access Control (PNAC) a popisuje ji dokument IEEE 802.1x. Zabezpečení přístupu k síti je definováno jak pro kabelové sítě, tak pro bezdrátové 802.11 (technologie je k dispozici i pro další typy sítí jako je FDDI, ale to je již nad rámec této práce). Na portu lze také nastavit maximální počet MAC adres a chování při překročení tohoto čísla. V takové situaci je možné na portu nastavit shutdown/restrict/protect funkce. Obrázek 20 Funkce IEEE 802.1x protokolu
Zdroj: http://en.wikipedia.org/wiki/IEEE_802.1X Z obrázku 9-1 je patrné, že komunikace klienta (Supplicant) se zbytkem sítě je blokována dokud nedojde k ověření pomocí autentizačního serveru. Ověření začíná předáním identity klientského zařízení aktivnímu prvku (většinou přepínači), ten ověří získanou identitu u autentizačního serveru a následně udělí nebo odepře přístup do sítě klientskému zařízení. V roce 2005 upozornil zaměstnanec Microsoftu Steve Riley na potenciální slabé místo autentizačního mechanismu. Po úspěšné autentizaci stanice je možné se do sítě na stejném portu připojit, pokud má útočník přístup ke stanici a je schopný mezi port a ověřenou stanici umístit rozbočovač (hub), dokáže se bez autentizace připojit k síti. V místech, kde je vyžadována maximální bezpečnost je vhodné kombinovat IEEE 802.1x s IPsec technologií. 68
9.3 Wifi AP Zabezpečení bezdrátových přístupových bodů spočívá především v zajištění nemožnosti připojení k síti neautorizovaným subjektům. V první řadě je důležité ve firemní síti (ale i v případě domácího nasazení) neprovozovat stará zařízení nepodporující moderní způsoby zabezpečení jako jsou WPA2 s AES šifrováním a podporou RADIUS autentizací. Většina modernějších přístupových bodů sítí 802.11 je vybavena technologií WPS. Tato technologie byla vyvinuta pro zjednodušení autentizačního postupu. Místo zadávání složitých klíčů jde o jednorázové vygenerování přístupového PIN (8 číslic), zpravidla iniciovaného stisknutím tlačítka přímo na zařízení. Vzhledem k zásadním slabým místům autentizačního procesu (reálný počet kombinací klíčů pro WPS je 11000) je útok hrubou silou vedený na tuto technologii úspěšný do 4 hodin. V podnikovém prostředí je tedy vždy nutné tuto funkci zakázat. Stejně jako u ostatních částí tématu zabezpečení podnikové sítě, i zde je nutné napřed vyhodnotit poměr mezi požadovanou bezpečností, nákladností na její implementaci a následnou správu a potenciálním rizikem. Základní metody zabezpečení, jež dnes nabízí téměř všechny bezdrátové přístupové body, budou dostatečné pro většinu běžných provozních podmínek. K základním opatřením tedy patří nastavení WPA2-AES šifrování (v případě PSK varianty s netriviálním klíčem) a samozřejmé použití silného hesla u administrátorského účtu. Za zvýšení zabezpečení lze považovat i skrytí SSID a omezení přístupu pro jednotlivá zařízení pomocí MAC adres, nicméně tyto opatření jsou snadno překonatelná i pro zkušené uživatele, natož pro seriózní útočníky. [28] Podniky, které vyžadují maximální možné zabezpečení, mají k dispozici robustnější
řešení
ve
formě
komerčních
autentizačních
RADIUS
serverů
či
specializovaných appliance pro monitorování a proaktivní zabezpečení bezdrátových sítí. Příkladem může být produkt AirDefense. [31] Tato specializovaná řešení jsou však značně nákladná a cena t+echto řešení se podle rozsáhlosti sítě požadovaných funkcionalit pohybuje mezi 10 až 100 tisíci americkými dolary. [29]
69
10. Praktická ukázka nastavení switche/WiFi AP Pro účely této kapitoly uvažujeme hypotetickou společnost s 150 počítači, 3 fyzickými a 30 virtuálními servery na platformě VMware. Firma se zabývá běžnou kancelářskou prací,
ale
disponuje
důležitým
a
vysoce
hodnoceným
know-how
v podobě
elektronických dat, která je třeba důkladně zabezpečit z pohledu síťového provozu. Z celkového počtu 150 počítačů je 50 přenosných (notebooky, tablety), připojených k firemní síti bezdrátově. V této práci se nezabýváme samotnou konfigurací a optimalizací
sítě.
Předpokladem
je
tedy
zcela
funkční
síť
s DHCP,
pouze
s bezpečnostními nastaveními ve výchozích hodnotách výrobce. Jelikož síť využívá technologie od jednoho výrobce, firma disponuje softwarem pro hromadnou správu aktivních prvků HP Intelligent Management Center. Obrázek 21 Síťová topologie
Zdroj: Vlastní vypracování Síťová architektura je dvouúrovňová, skládající se z 2 core přepínačů HP ProCurve řady 5800 spojených za pomoci technologie Intelligent Resilient Framework (IRF). IRF je v podstatě virtualizace síťových prvků. Umožňuje propojení více zařízení do jednoho transparentně vystupujícího prvku, se všemi výhodami, které z toho plynou. IRF stack 70
nabízí výhody redundance, jednotné správy a monitoringu, snadné a rychlé rozšiřitelnosti. V neposlední řadě přináší IRF technologie cenovou efektivitu, díky možnosti využít v podstatě „pay-as-you-go“ metodiku. Distribuční přepínače zajištující připojení klientských zařízení se skládají HP ProCurve 2910al 48G, které poskytují vysokou propustnost a zároveň dostatečnou funkční vybavenost pro požadovanou úroveň zabezpečení. Pro pokrytí firemních prostor bezdrátovou sítí slouží zařízení HP MSM430 Dual Radio 802.11n Access Point, které disponují dostatečným výkonem, možnostmi správy a je možné je rozšířit o detekční čidla IDS/IPS systému.
10.1 Postup pro zabezpečení - přepínače Začneme registrací všech aktivních prvků v softwaru pro hromadnou správu. Zde je z hlediska názornosti použit konkrétní produkt jedné značky, nicméně obdobné produkty nabízejí všichni velcí výrobci síťového vybavení, případně je možné využít i produkty třetích stran, které dokáží za cenu náročnější prvotní konfigurace zastřešit i nehomogenní systémy. Po zprovoznění centrálního managementu je nezbytně nutné vyřešit výchozí nastavení přístupových práv (viz. kapitola 8 a 9). Nyní jsme schopni z jednoho místa změnit heslo, případně výchozí pojmenování uživatelských účtů na všech prvcích naráz, a to také uděláme. Následuje vypnutí nepotřebných služeb a protokolů, opět na všech zařízeních. Vypínáme především nezabezpečené metody přístupu ke správě a ponecháváme pouze ty, které budeme skutečně využívat. Vzhledem k nasazení centrálního managementu je vhodné zcela vypnout webové rozhraní aktivních prvků, jelikož veškeré funkcionality i monitoring máme dostupný z jednoho místa. V tomto bodě je dobré promyslet i úroveň fyzického zabezpečení jednotlivých přepínačů, ne vždy je možné je mít všechny pohromadě uzamčené v datovém centru. Často se ve větších firmách, či výrobních prostorách naráží na limit délky metalické kabeláže (100m) a musí se tvořit páteřní optické propojky do míst, kde není vždy možné zajistit stejnou úroveň fyzického zabezpečení, jako v centrálním datovém rozvaděči. Především u těchto dislokovaných prvků je vhodné zvážit vypnutí funkcí tlačítek předního panelu, jako je reset a obnova do továrního nastavení. 71
Vhodné zvýšení bezpečnosti představuje vypnutí všech nepoužívaných portů v přepínačích a zařazení všech portů firemní sítě do jiné, než výchozí VLAN (VLAN 1). U aktivních prvků nadefinujeme novou VLAN, kterou použijeme pro funkci Secure Management VLAN. Porty, které propojují aktivní prvky, zařadíme do této VLAN a oddělíme tím běžný provoz od správy zařízení. Na přepínačích aktivujeme funkci ARP Dynamic Protection. Ve spolupráci s firemním DHCP serverem dochází k autentizaci ARP paketů. Ověřování se provádí porovnáváním údajů z paketu a whitelistu DHPC. Nastavení této ochrany chrání síť nejen proti ARP Spoofingu, ale také proti spuštění cizích (rogue) DHCP serverů v síti. V centrální správě je po tomto základním nastavení zabezpečení vhodné zapnout monitoring, případně nastavit vlastní pravidla pro notifikační mechanismus, abychom dostávali včas informace o nestandardním chování či provozu na síti.
10.2 Postup pro zabezpečení – Wifi AP Konfigurace bezdrátových aktivních prvků začíná stejně jako u přepínačů. Na všech zařízeních je bezpodmínečně nutné změnit administrátorský účet a nastavit silné heslo. Pokračujeme vypnutím všech nepotřebných služeb a zakázáním WPS autentizace. Vhodné je přenastavení SSID na jméno nesouvisející s firmou. V případě, že je nutné udržovat bezdrátovou síť viditelnou kvůli klientům, či jiným návštěvám, je rozumné nakonfigurovat v AP takzvanou guest network, která je oddělena od firemní sítě a poskytuje pouze přístup k internetu. DHCP v přístupových bodech zůstává vypnuté, tím docílíme nutnost průchodu komunikace přes přepínače a z toho plynoucí ARP kontrolu. V nastavení šifrování bezdrátové sítě zvolíme WPA2 s podporou AES. Následuje ještě výběr možnosti autentizace a to buďto PSK (před-sdílený klíč) nebo autentizační server. Naše hypotetická společnost nedisponuje daným serverem, tedy zvolíme možnost PSK a nastavíme rozumně silné heslo (13 a více znaků). V případě, že bychom měli k dispozici autentizační server, například RADIUS nebo TACACS+, je z hlediska bezpečnosti a spravovatelnosti lepší tato volba. Centrální správa uživatelských oprávnění a možnost rozšířit zabezpečení sítě o implementaci protokolu 802.1x, přináší další úroveň zabezpečení. Veškerá nastavení a souvislosti je nutné dokumentovat a přidat do bezpečnostní politiky firmy. Konfigurace jednotlivých zařízení je potřeba zálohovat, pro případ 72
jednoduššího nahrazení novým zařízením (pokud se jedná o výměnu za stejný typ). Je také nutné vytvořit D&R plány a zdokumentovat procesy popisující, co dělat v případě ohrožení.
73
11. Závěr Prostudování a popsání nejběžnějších slabých míst, nejfrekventovanějších typů útoků, včetně protiopatření a moderních hrozeb jako jsou APT a DDoS, tedy hlavní cíl práce, přinesl poznatky o trendech a vývoji metod útoků, myšlení a motivací útočníků. Z provedené rešerše vyplývá, že útočníci neustále vyvíjejí nové metody a postupy vedoucím k zajištění cíle jejich útoků. Ať jde o útoky s destruktivním cílem typu DDoS nebo o závažnou počítačovou kriminalitu v podobě dlouho trvajících APT kampaní, vždy dokáží objevit nová slabá místa a využít je ke svým cílům. Možnosti moderních typů útoků se rozšiřují ruku v ruce s rozvojem internetu, rozšiřováním připojení do rozvojových zemí a zemí, které příliš neřeší počítačovou kriminalitu. S velkým nárůstem rychlosti internetových linek dostali útočníci k dispozici prostředky k iniciaci ochromujících DDoS útoků za pomoci daleko užší základny napadených počítačů. Nové typy DDoS, tedy reflection a amplification útoky, dokáží napáchat obrovské škody i relativně minimálním přístupem ke zdrojům. NTP amplification attack je typickým zástupcem této kategorie, jež za posledních půl roku rapidně zvýšil svůj podíl mezi DDoS. Tento útok navíc ukazuje vynalézavost útočníků, protože napadá relativně hodné starý protokol, donedávna nečekaným způsobem. Paralelně s rozvojem ICT a hlubší integrací nových informačních technologií do všech aspektů denního života roste potenciální riziko zneužití elektronicky uchovávaných a předávaných dat. Ať se jedná o jedince a domácí síť uchovávající rodinné fotografie, videa, osobní smlouvy atd. Nebo o velké korporace, často přímo existenčně závislé na duševním vlastnictví, které přináší klíčové konkurenční výhody či vládní instituce, uchovávající v elektronické podobě ohromné množství citlivých dat. Ve všech těchto případech je dnes otázka zabezpečení dat a komunikace zcela klíčovou. Vedlejší cíle práce přinášejí důležitý teoretický základ o technologiích používaných v dnešních sítích, včetně praktické ukázky na hypotetickém scénáři. Porozumění teorii je nezbytné pro udržitelný stav zabezpečení a schopnosti aplikovat tyto poznatky do praxe.
74
12. Seznam použitých zdrojů [1] DOWD, P. W., McHENRY, J. T.: Network security: it's time to take it seriously. Computer; číslo 31, strana 24‐28, srpen 1998. [2] TANENBAUM, A. S.; WETHERALL, D. J.: Computer Networks 5th edition, Prentice Hall, 5. vydání, 2011, ISBN-13: 978-0-13-212695-3, 962 stran [3] http://en.wikipedia.org/wiki/ARPANET [4] http://www.livinginternet.com/i/iw_packet_inv.htm [5] http://www.thocp.net/biographies/davies_donald.htm [6] BARAN, P.: On Distributed Communications; Volume I; 1964 [7] http://www.internetworldstats.com/stats.htm [8] KARTALOPOULOS, S. V.: Differentiating Data Security and Network Security, The University of Oklahoma, IEEE ICC 2008, 5 stran [9] McCLURE, S., SCAMBRAY, J., KURTZ, G.: Hacking Exposed 7: Network Security Secrets & Solutions, McGraw-Hill, 2012, ISBN 978-0-07-178029-2 [10] http://technet.microsoft.com/cs-cz/library/cc753550%28v=ws.10%29.aspx [11] http://technet.microsoft.com/en-us/library/cc959354.aspx [12] http://www.pcworld.com/article/2010278/10-common-mobile-securityproblems-to-attack.html [13] http://www.networkcomputing.com/networking/when-to-encrypt-at-layer-2-orlayer-3/d/d-id/1231965? [14] http://en.wikipedia.org/wiki/IPsec [15] http://technet.microsoft.com/en-us/library/cc739674(v=ws.10).aspx [16] http://technet.microsoft.com/en-us/library/cc737154(v=ws.10).aspx [17] http://heartbleed.com/ [18] http://ampliasecurity.com/research/OCHOA-2010-0209.txt
75
[19] https://www.damballa.com/advanced-persistent-threats-a-brief-description/ [20] HUDSON, B.: Advanced Persistent Threats: Detection, Protection and Prevention, Sophos Whitepaper, [21] David Holmes, Senior Technical Marketing Manager f5 Security, The DDoS Threat Spectrum whitepaper, 2013, 10 stran [22] http://en.wikipedia.org/wiki/SYN_flood [23] http://en.wikipedia.org/wiki/Firewall_(computing) [24] SAQIB, A., AL LAWATI, M. H., NAQVI, S. J.: Unified Threat Management System Approach for Securing SME’s Network Infrastructure, Sultan Qaboos University, Al-Khoud (Muscat), Sultanate of Oman, 2012 Ninth IEEE International Conference on e-Business Engineering, 7 stran [25] Hardening ProCurve Switches, HP Technical White Paper, Hewlett-Packard Development Company, L.P., 4AA1-0313ENW, 02/2007, 10 s. [26] http://cs.wikipedia.org/wiki/Secure_Shell [27] http://en.wikipedia.org/wiki/Wired_Equivalent_Privacy [28] Best Practices for Securing Your Enterprise Wireless Network, AirTight Networks whitepaper, 339 N. Bernardo Avenue • Mountain View, CA 94043, 2006, 8s [29] http://www.pcmag.com/article2/0,2817,842886,00.asp [30] Prolexic Quarterly Global Attack Report Q1 2014, Prolexic, 2014, 36 stran [31] http://www.airdefense.net/ [32] http://en.wikipedia.org/wiki/Internet
76
13. Seznam obrázků Obrázek 1Porovnání modelů ................................................................................................................... 16 Obrázek 2 Spojované a nespojované služby ...................................................................................... 17 Obrázek 3 OSI reference model .............................................................................................................. 19 Obrázek 4 Nárůst uživatelů internetu .................................................................................................. 21 Obrázek 5 Datová a síťová bezpečnost ................................................................................................ 25 Obrázek 6 Úrovně internetových sítí .................................................................................................... 27 Obrázek 7 Počet útoků podle zemí uskutečnění .............................................................................. 29 Obrázek 8 Motivace útočníků .................................................................................................................. 29 Obrázek 9 Rozložení útoků podle typu ................................................................................................ 30 Obrázek 10 IPsec Transport Packet ...................................................................................................... 39 Obrázek 11 IPsec ESP ................................................................................................................................. 39 Obrázek 12 IPsec AH tunnel mode ........................................................................................................ 40 Obrázek 13 IPsec ESP tunnel mode ....................................................................................................... 40 Obrázek 14 Man-In-The-Middle ............................................................................................................. 43 Obrázek 15 APT............................................................................................................................................. 49 Obrázek 16 Kombinace prostředků proti APT .................................................................................. 51 Obrázek 17 Procentuální zastoupení DDoS útoků .......................................................................... 56 Obrázek 18 Zdroje DDoS útoků............................................................................................................... 57 Obrázek 19 ARP Spoofing.......................................................................................................................... 67 Obrázek 20 Funkce IEEE 802.1x protokolu ....................................................................................... 68 Obrázek 21 Síťová topologie .................................................................................................................... 70
77
14. Seznam tabulek Tabulka 1 Simple Network Attack ......................................................................................................... 53 Tabulka 2 Low-Bandwith http útoky .................................................................................................... 55
78