Download
1 / 34
360 likes | 521 Views
Securitatea re ţ elelor. 2. Tipuri de vulnerabilit ăţ i ş i atacuri. Vulnerabilit ăţ i ale securit ăţ ii unei re ţ ele. Exist ă 3 motivaţii principale legate de securitatea reţelei : Vulnerabilităţi t ehnolog ice Vulnerabilităţi de c onfigura re
E N D
Securitatea reţelelor 2. Tipuri de vulnerabilităţi şi atacuri
Vulnerabilităţi ale securităţii unei reţele • Există 3 motivaţii principale legate de securitatea reţelei: • Vulnerabilităţi tehnologice • Vulnerabilităţi de configurare • Vulnerabilităţiale politicii de securitate • Tot timpul există oameni dornici şi pregătiţi pentru a profita de slăbiciunile existente ăn securitatea reţelei. Aceştia caută şi explorează în continuu noi breşe de securitate. • Vulnerabilităţi tehnologiceAtât calculatoarele cât şi tehnologiile de reţea şi sistemele de operare de reţea posedă vulnerabilităţi de securitate intrinsece. În această categorie putem include vulnerabilităţile stivei de protocoale TCP/IP, vulnerabilităţile sistemelor de operare, precum şivulnerabilităţi cu privire la configurare şi politica de securitate. • Vulnerabilităţi de configurareAdinistratorii şi inginerii de reţea trebuie să înveţe care sunt vulnerabilităţile de configurare şi să acţioneze în consecinţă pentru a configura corect calculatoarele şi dispozitivele de reţea pentru a compensa anumite sisteme de configurări implicite nesecurizate. Unele vulnerabilităţi obişnuite sunt prezentate în slide-ul următor. • Vulnerabilităţi ale politicii de securitateSlăbiciunile politicii de securitate pot duce la ameninţări neprevăzute la securitatea reţelei. Reţeaua poate conduce la riscuri de securitate dacă utilizatorii nu urnează strict o anumită politică de securitate. Unele slăbiciuni ale politicii de securitate şi modalităţile prin care acestea sunt exploatate sunt prezentate în slide-urile următoare.
Vulnerabilităţi de bază • Există patru categorii principale de ameninţări la adresa securităţii reţelei: • Ameninţări nestructurateAmeninţările nestructurate constau din indivizi (majoritatea ne-experimentaţi) ce folosesc instrumente de hacking uşor disponibile, precum shell script-uri şi spărgătoare de parole. Chiar şi ameninţările nestructurate, care au drept scop doar testarea sau demonstrarea unor abilităţi de hacking, pot avea efecte dăunătoare asupra reţelei unei companii.Spre exemplu, dacă site-ul web al unei companii a fost afectat în urma unui atac, integritatea companiei poate fi afectată. Chiar dacă web site-ul extern este separat de informaţia internă ce este protejată printr-un firewall, publicul nu ştie acest lucru; tot ce ştie este că site-ul respectiv nu este un mediu sigur pentru afaceri. • Ameninţări structurateAmeninţările structurate provin de la hackeri ce sunt mult mai motivaţişi mai competenţi din punct de vedere tehnic.Aceştia cunosc vulnerabilităţile sistemelor şi pot înţelege şi realiza coduri exploit şi shell script-uri.Aceştia înţeleg, dezvoltă şi folosesc instrumente sofisticate de hacking pentru a penetra reţelele companiilor. Aceste grupuri sunt, de regulă, implicate în cazuri de fraude şi furturi raportate de agenţiile de protejare a legii.
Vulnerabilităţi de bază (cont.) • Ameninţări externeAmeninţările externe pot apărea din partea indivizilor sau organizaţiilor ce lucrează în afara companiei.Ei nu posedă acces autorizat la calculatoarele şi reţeaua companiei. Îşi construiesc accesul la reţea prin intermediul Internetului sau a serverelor de acces dialup. • Ameninţări interneAmeninţările interne apar atunci când cineva ce are acces autorizat la o reţea prin intermediul unui cont de utilizator sau prin accesul fizic la un server sau la alt dispozitiv de reţea. Conform FBI, accesul intern sau utilizarea nepotrivită a conturilor utilizator reprezintă între 60 şi 80 %din incidentele raportate. Link-uri Web • Raport statistic al vulnerabilităţilorhttp://www.cisco.com/warp/public/778/security/vuln_stats_02-03-00.html • Răspunsul la incidente http://www.cisco.com/warp/public/707/sec_incident_response.shtml
Recunoaşterea • Recunoaşterea reprezintă modalitatea de mapare şi descoperire neautorizată a sistemelor, serviciilor sau vulnerabilităţilor unei reţele. Acest procedeu se mai numeşte şi strângere de informaţii (information gathering)iar în cele mai multe dintre cazuri precede un atac de tip Denial of Service (DoS). Intrusul în mod tipic lansează o serie de comenzi ping pentru a determina ce adrese IP sunt active. După această etapă, intrusul foloseşte un program de tip port scanner pentru a determinace servicii de reţea sau ce porturi sunt la rândul lor active pentru adresele IP active. Prin aflarea acestor informaţii, intrusul interoghează porturile pentru a determina tipul aplicaţiilor active şi versiunea, precum şi tipul şi versiunea sistemului de operare ce rulează pe maşina victimă. Pe baza acestor informaţii, intrusul poate determina existenţa unei vulnerabilităţi precum şi modalitatea de exploatare a acesteia. Recunoaşterea este analoagă cu modalitatea prin care un hoţ face o recunoaştere (descoperirea ferestrelor sau uşilor deschise, etc.) a casei pe care vrea să o spargă, înainte de a comite spargerea.. • Prin utilizarea utilitarelor nslookup şiwhois un atacator poate determina cu uşurinţădomeniul de adrese IP atribuite în cadrul unei organizaţii.De asemenea, comanda pingne spune ce adrese IP sunt active.
Recunoaşterea • Legături web: • Explicaţii şi utilizarea utilitarelor TCP/IPhttp://www.microsoft.com/TechNet/winnt/reskit/sur_util.asp • Instrumente online Nslookup http://www.allwhois.comhttp://cc-www.uia.ac.be/ds/nslookup.htmlhttp://www.trulan.com/nslookup.htm • Instrumente online Whoishttp://www.whois.net • Instrumente online combinatehttp://centralops.net/co/http://www.dslreports.com/toolshttp://www.netcraft.com/http://www.infosyssec.org/infosyssec/tools2.htm
Eavesdropping • Doi termeni des întâlniţi pentru eavesdropping sunt network snoopingşipacket sniffing. Eavesdropping (“trasul cu urechea”) este ceva asemănător cu ascultarea unei conversaţii, cu spionarea sau cu “băgarea nasului peste tot”.Informaţiile obţinute în urma activităţii de eavesdropping pot fi utilizate pentru a lansa alte atacuri asupra reţelei. Un exemplu de date susceptibile la eavesdropping sunt cele ale SNMP versiunea 1, ce sunt trimise sub formă de text simplu. Un intrus poate asculta cu uşurinţă interogările SNMP şi poate intercepta informaţii preţioase cu privire la configurarea echipamentelor de reţea. Un alt exemplu îl reprezintă capturarea perechilor username/parolă din cadrul unei reţele. • Tipuri de eavesdropping O metodă obişnuită de eavesdropping asupra comunicaţiilor este aceea de a captura pachete TCP/IP sau ale altor protocoale şi a le decodifica utilizând un analizor de protocol sau un utilitar similar.Există două utilizări clasice ale eavesdropping-ului: • Culegerea de informaţiiIntruşii din reţea pot identifica nume de utilizatori, parole sau alte informaţii ce sunt conţinute într-un pachet din reţea (inclusiv numere de credit card sau alte informaţii personale sensibile).
Eavesdropping • Furtul de informaţiiAcţiunea de eavesdropping în reţea poate duce la furtul de informaţii. Furtul poate apare în timp ce datele sunt transmise de-a lungul reţelei interne sau externe. Intrusul din reţea poate, de asemenea, fura date din calculatoarele legate la reţea prin obţinerea de acces neautorizat. Exemple includ spargerea sau acţiunea de eavesdropping a instituţiilor financiare şi obţinerea de numere de credit carduri. Un alt exemplu este acela prin care se utilizeazăp un calculator pentru a sparge un fişier de parole. • Instrumente utilizate pentru eavesdropping În cadrul eavesdropping sunt folosite: • Analizoare de protocoale sau de reţea • Utilitare de captură de pachete asupra calculatoarelor din reţea • Metode de contraatac Trei dintre cele mai eficiente metode de contraatac a eavesdropping-ului sunt: • Implementarea şi aplicarea unei politici de securitate ce interzice utilizarea protocoalelor ce sunt cunoscute ca fiind susceptibile la eavesdropping • Folosirea unei criptări ce respectă nevoile de securitate ale organizaţiei fără a impune restricţii execesive • Folosirea reţelelor bazate pe switch-uri
Eavesdropping • Criptarea datelorCriptarea oferă protecţie datelor susceptibile atacurilor de eavesdropping, spărgătoarelor de parole sau altor tipuri de manipulare. Prezentăm în continuare o serie de avantaje ale criptării datelor: • Aproape orice companie are de-a face cu tranzacţii ce pot fi interceptate prin intermediul eavesdropping-ului cu consecinţe negative. Criptarea asigură faptul că datele sensibile ce sunt transportate prin mediul susceptibil la eavesdropping nu pot fi alterate sau interceptate. • Decriptarea este necesară atunci când datele ajung la router sau la alt echipament terminal din cadrul reţelei LAN destinaţie. • Prin criptarea după header-ele User Datagram Protocol (UDP) sau Transmission Control Protocol (TCP), astfel încât doar porţiunea de payload IP este criptată, criptarea la nivelul reţea a sistemului de operare Cisco IOS permite tuturor ruterelor şi switch-urilor intermediare să direcţioneze traficul precum nişte pachete IP obişnuite. Criptarea doar la nivel de payload permite fluidizarea comutării şi toate caracteristicilor access-list-urilorsă funcţioneze cu traficul criptat ca şi cum acesta ar fi trafic de text simplu, păstrând în acelaşi timp toate caracteristicile de calitate a serviciilor (QoS) pentru toate datele tranzitate.
Accesul la sistem • Accesul la sistem reprezintă abilitatea unui intrus neautorizat să obţină acces la un echipament pentru care acesta nu are un cont şi o parolă. Intrarea sau accesul la sisteme pentru care nu se are acces implică, de regulă, aplicarea unui hack, a unui script, sau a altui instrument ce exploatează o vulnerabilitate cunoscută a sistemului sau aplicaţiei ce este atacată. Exemple: • Exploatarea parolelor uşor de ghicit. • Atacuri de tip “Brute force” • Insrucmente de spart parole (Cracking) • Atacuri bazate pe dicţionare • Exploatarea serviciilor prost configurate • Servicii IP services precum FTPanonymous, TFTP şi acces la distanţă asupra regiştrilor • Relaţii de încredere prin spoofing şi servicii remote (r-servicesîn Unix) • Servicii de partajare de fişiere precum NFS şi Windows File Sharing • Exploatarea vulnerabilităţilor aplicaţiilor • Date de intrare manipulate greşit
Accesul la sistem • Acces în afaradomeniului aplicaţiei, buffer overflows • Slăbiciuni ale protocoalelor • Fragmentarea, TCP session hijack • Cai troieni • Programe ce introduc o poartă de intrare de tip backdoorîntr-un host • Social engineering • Trecerea drept administrator de reţea pentru a obţine informaţii de la utilizatori • Căutarea perechilor username/parole pe lângă calculatoare/terminale server • Căutarea în coşul de gunoi pentru hărtii cu informaţii de acces la sisteme • Accesul neautorizat la date este reprezentat de citirea, scrierea, copierea sau mutarea fişierelor care nu trebuie să fie accesibile intrusului. Uneori este uşor să se descopere foldere partajate în sisteme de fişiere Windows, Unix, sau Macintosh ce au drepturile de citire/scriere setate pentru oricine.
Accesul la sistem • Atacul de tip Man-in-the-middleUn atac man-in-the-middlenecesită ca hacker-ul să aibă acces la pachete de reţea ce traversează reţeaua. Un exemplu poate fi acela în care o persoană care lucrează pentru un furnizor de servicii Internet (ISP) are acces la toate pachetele de reţea transferate între reţeaua ISP şi orice altă reţea. • Astfel de atacuri sunt deseori implementate prin utilizarea utilitarelor de tip sniffer şi a exploatării protocoalelor de rutare şi de transport. Utilizări posibile ale acestor atacuri sunt furtul de informaţii, interceptarea unei sesiuni active pentru a obţine acces la resursele de reţea, analiza traficului pentru a obţine informaţii despre reţea şi utilizatori, Denial of Service (DoS), coruperea datelor transmise şi introducerea de noi informaţii în sesiunile de reţea.
Accesul la sistem • Exploatarea încrederii Deşi este mai mult o tehnică decât un instrument de atac în sine, exploatarea încrederii se referă la un atac în care un individ obţine un avantaj dintr-o relaţie de încredere în cadrul unei reţele. Exemplul clasic este acela al unei conexiuni de perimetru a unei corporaţii. Aceste segmente de reţea găzduiesc de regulă servere Domain Name System (DNS), Simple Mail Transfer Protocol (SMTP) şi Hypertext Transfer Protocol (HTTP). Deoarece toate aceste servere se află pe acelaşi segment, compromiterea unui sistem poate conduce la compromiterea altor sisteme deoarece aceste sisteme de regulă folosesc relaţii de încredere faţă de celelalte sisteme din acelaşi segment de reţea. • Un alt exemplu este acela a unui sistem din afara unui firewall ce are relaţii de încredere cu un sistem din interiorul unui firewall. Atunci când sistemul din exterior este compromis, se poate face uz de relaţia de încredere pentru a iniţia un atac asupra reţelei interne. • O altă formă de atac este aceea legată de “escaladarea privilegiilor”. Această metodă se referă la cazul în care un utilizator obţine privilegii sau anumite drepturi asupra unor obiecte care în mod normal nu sunt atribuite lui. Obiectele pot fi fişiere, comenzi sau alte componente ale unui echipament de reţea. Scopul este acela de a obţine informaţii private sau de a executa proceduri neautorizate. Aceste informaţii vor fi folosite penru a obţine privilegii administrative asupra unui sistem sau echipament. Privilegiile sunt apoi utilizate pentru a instala programe de tip sniffer, creare de conturi de tip backdoor sau şterge fişiere de tip log.
Alte tipuri de acces • Manipularea datelorPrin intermediul manipulării datelor un intrus în reţea poate captura, manipula şi compromite datele transmise de-a lungul canalului de comunicaţie. Exemple: • Graffiti – Intrusul modifică un site Web prin accesarea serverului Web şi modificarea conţinutului paginilor Web. • Manipularea datelor de pe un calculator din reţea – intrusul modifică fişiere de pe un calculator, precum fişiere de parole , pentru a avea acces la reţea şi în viitor. Unele intrumente utilizate pentru aceste atacuri sunt: • Analizoare de protocol ce înregistrează parolele ce sunt transmise de-a lungul mediului de comunicaţie • Spărgătoarele de parole ce conţin algoritmi ce permit persoanelor neautorizate să spargă parole, chiar şi cele ce conţin caractere numerice sau caractere speciale.
Alte tipuri de acces • Masquerade/IP spoofing Prin atacul de tip masquerade, intrusul poate manipula pachetele TCP/IP prin procedeul IP spoofing, adică falsificarea adresei IP sursă, ceea ce face ca el să treacă drept alt utilizator. Intrusul îşi asumă identitatea unui utilizator valid şi obţine privilegiile acestuia prin IP spoofing.IP spoofing apare atunci când intrusul crează pachete IP cu adrese sursă falsificate. • În timpul unui atac de tip IP spoofing, un atacator din afara reţelei pretinde a fi un calculator de încredere. Atacatorul poate utiliza fie o adresă IP din domeniul de adrese valide pentru reţeaua loicală respectivă sau poate utiliza o adresă externă autorizată ce este de încredere şi oferă acces la resursele specificate din reţea. • În mod normal, un atac de tip IP spoofing attack este limitat la injectarea de date sau comenzi în fluxul existent de date ce sunt transmise între aplicaţia client şi cea server sau în cadrul unei conexiuni pereche din reţea. Atacatorul nu trebuie să îşi facă griji legate de primirea vreunui răspuns din partea aplicaţiilor. • Pentru a permite comunicaţia bi-direcţională, atacatorul trebuie să modificetoate tabelele de rutare ce fac referire la adresa IP falsificată. O altă abordarea atacatorului poate să nu ia în considerare eventualele răspunsuri primite din partea aplicaţiilor.
Alte tipuri de acces • Dacă un atacator reuşeşte să modifice tabela de rutare astfel încât să primească toate pachetele din reţea adresate adresei falsificate, poate iniţia răspunsuri ca orice utilizator normal. Ca şi în cazul programelor sniffer, IP spoofing nu este restricţionat la persoanele din exteriorul reţelei. Unele instrumente utilizate pentru IP spoofing sunt: • Analizoare de protocol (password sniffers) • Modificarea numerelor de secvenţă • Instrumente de scanare ce verifică porturile TCP pentru anumite servicii, arhitecturi de reţea sau de sistem de operare • După obţinerea informaţiilor cu ajutorul instrumentelor de scanare, intrusul caută vulnerabilităţile asociate cu aceste entităţi. • Retransmiterea sesiuniiO secvenţă de pachete poate fi interceptată, manipulată şi retransmisă pentru a duce la îndeplinire o acţiune neautorizată.
Alte tipuri de acces • Mesaje mercenar – sunt proiectate pentru a folosi cod mobil pentru a penetra sisteme de email şi a obţine informaţii confidenţiale. Tehnologiile mobile sunt uşor de utilizat iar majoritatea soluţiilor de securitate tradiţionale, precum soluţiile firewallsau software-ul anti-virus nu detectează aceste volări ale securităţii. Unele mecanisme sunt utilizate pentru astfel de atacuri: • Cookie-uri • Scrip-uri JavaScript sau Active X • Auto rooters Auto rooter-ele sunt programe ce automatizezază întregul proces de hacking. Calculatoarele sunt în mod secvenţial scanate, testate şi capturate. Procesul de captură include instalarea unui program rootkit pe calculator ce utilizează noul sistem capturat pentru automatizarea procesului de intruziune. Automatizarea permite unui instruc să scaneze sute (sau mii) de calculatoare într-o perioadă scurtă de timp. • Back doors Back door-urile sunt modalităţi de intrare în sisteme ce pot fi create în timpul unei intruziuni. Aceasta (back door) poate fi utilizată la nesfârşit dacă nu este detectată şi înlăturată. Un intrus va utiliza calculatorul pentru a obţine acces la alte sisteme sau pentru a lansa atacuri DoS. • Social engineering Cea mai uşoară dintre metodele de penetrare nu presupune cunoştinţe legate de calculatoare sau reţea. Dacă un intrus poate păcăli membrii unei organizaţii pentru a obţine informaţii valoroase cu privire la localizarea fişierelor, a serverelor şi parolelor, atunci întregul proces de hacking se poate face mult mai uşor.
DoS (Denial of Service) • Atacul de tip Denial of service (DoS)are ca efect dezafectarea sau coruperea sistemelor, reţelelor sau serviciilor, cu intenţia de a întrerupe accesul la servicii utilizatorilor în drept. Atacurile DoS implică fie căderea sistemului, fie încetinirea acestuia până în punctul în care devine inutilizabil. Atacurile DoS pot fi extrem de simple precum ştergerea sau modificarea informaţiilor. În majoritatea cazurilor, atacul presupune rularea unui hack sau script. Atacatorul nu are nevoie apriori de acces la ţinta sa deoarece o modalitate de acces reprezintă tot ceea ce este necesar. Pentru acest motiv, atacurile DoS attacks se numără printre cele mai temute. • Atacuri DoS au mai multe forme de manisfestare. În final, ele întrerup accesul persoanelor autorizate de a folosi servicii prin utilizarea în întregime a resurselor calculatorului victimă.Exemple de ameninţări DoS: • Ping of death – Acest tip de atac modifică porţiunea IP a header-ului, indicând faptul că sunt mai multe date în pachet decât în mod real; rezultatul este căderea sistemului. • SYN flood attack – Acest atac deschide la întâmplare mai multe porturi TCP, ocupând sistemul atacat cu atâtea cereri false astfel încât sesiunile reale nu mai pot avea loc. Acest tip de atac se poate realiza prin intermediul analzoarelor de protocoale sau altor programe. • Fragmentarea şi reasamblarea pachetelor– Acest atac exploatează un bug de tip buffer–overrun existent în calculatoarele gazdă sau în echipamentele de reţea.
DoS (Denial of Service) cont. • Bombe E-mail – Unele programe pot trimite e-mail-uri de tip bulk către indivizi, liste, domenii, monopolizând serviciile de e-mail. • CPU hogging – Aceste atacuri sunt constituite de programe de tip cal troian sau alţi viruşi ce acaparează ciclurile de funcţionare ale CPU, memoria şi alte resurse. • Applet-uri răuvoitoare– Aceste atacuri sunt create de programe Java, JavaScript sau ActiveX ce acţionează drept cai troieni sau viruşi pentru a duce la distrugere sau la epuizarea resurselor calculatorului. • Rutere greşit configurate– Ruterele configurate greşit pentru rerutarea traficului pot duce la dezafectarea traficului web. • Atacul tip “chargen”– Acest tip de atac stabileşte o conexiune între serviciile UDP, provocând un output mărit. Serviciul gazdă “chargen” este conectat la serviciul echo pe acelaşi sistem sau pe altul, ducând la congestia în reţea cu traficul “echoed chargen”. • Atacuri “Out-of-band” (WinNuke)– Aceste atacuri trimit date “out-of-band”pe portul 139 pemaşini Windows 95 sau Windows NT. Atacatorul trebuie să cunoască doar adresa IP a calculatorului victimă pentru a porni atacul
DoS (Denial of Service) cont. • Denial of Service - DoS poate apărea accidental din cauza unor configuraţii greşite sau utilizării greşite a unor utilizatori sau chiar administratori legitimi. • Land.c – Acest program trimite un pachet TCP SYN ce specifică adresa victimei atât la sursă cât şi la destinaţie. Programul utilizează acelaşi port (113 sau 139) pe calculatorul victimă ca sursă şi destinaţie, ducând la căderea sistemului. • Teardrop.c – În cazul acestui atac, procesul de fragmentare IP este implementatastfel încât problemele de reasamblare duc la căderea sistemului. • Targa.c – Acest atac este un atac multi-platformă de tip DoS ce integrează bonk, jolt, land, nestea, netear, syndrop, teardrop şiwinnukeîntr-un singur program de tip exploit. Legături Web • Cisco Secure Encyclopedia http://www.cisco.com/pcgi-bin/front.x/csec/csecHome.pl • Extensive Database of executable Denial of Service files http://www.attrition.org/security/denial/ • Diversehttp://www.cert.org/tech_tips/denial_of_service.htmlhttp://www.irchelp.org/irchelp/nuke/http://www.nwfusion.com/research/dos.html
DDoS (Distributed Denial of Service) • Atacurile de tip Distributed DoS (DDoS) sunt proiectate să înnece legăturile de reţea cu date nefolositoare. Aceste date pot supra-încărca o legătură Internet şi astfel traficul “legitim” va fi stopat. Metodele de atac DDoS sunt similare cu cele ale atacurilor DoS dar operează la o scară mult mai mare. În mod normal sute sau mii de puncte de atac sunt utilizate pentru a supra-satura o ţintă. Exemple: • Smurf • Tribe Flood Network (TFN) • Stacheldraht • Atacul SMURFAtacul Smurf începe prin trimiterea unui mare număr de pachete false ICMP echo saucereri ping către adrese de broadcast, în speranţa că aceste pachete vor fi multiplicate şi trimise la adresele false. Dacă echipamentul de rutare ce furnizează traficul către aceste adrese de broadcast asigură funcţia de translatare “Layer 3 broadcast-to-Layer 2 broadcast”, majoritatea gazdelor în reţeaua IP vor răspunde cererii ICMP echo requestcu un mesaj de tipul ICMP echo reply, ducând la multiplicarea traficului cu numărul de gazde ce răspund la aceste cereri. Într-o reţea multi-access cu broadcast, acest lucru va duce la sute de răspunsuri ce provin de la maşini ce răspund fiecărui pachet echo.
DDoS (Distributed Denial of Service) • Presupunem că reţeaua are 100 de gazde şi că atacatorul posedă o legătură T1. Atacatorul trimite un flux de ICMP echo (sau pachete ping) de câte 768 kbps cu adresa sursă falificată a victimei către adresa de broadcast a “bounce site”. Aceste pachete pingajung la “bounce site” cu un broadcast către 100 de gazde, fiecare dintre ele răspunzând pachetului, creând astfel 100 de răspunsuri ping . De aici rezultă un total de 76.8 Mbps din lăţimea de bandă ocupată după această multiplicare de trafic. Acest trafic este trimis către victimă, deoarece adresa sursă a pachetelor este falsificată. • În acest caz se poate dezafecta capacitatea de broadcast direcţionat din reţea şi astfel infrastructura de reţeapoate preveni ca reţeaua să fie folosită pe post de “bounce site”. • Tribe flood network (TFN) Tribe Flood Network (TFN) şi Tribe Flood Network 2000 (TFN2K) sunt instrumente distribuite utilizate pentru a lansa atacuri coordonate DoS de la mai multe surse împotriva uneia sau a mai multor ţinte. Un atact TFN are capacitatea de a genera pachete cu adresa IP sursă falsificată. Un intrus poate face ca o sursă master să trimită instrucţiuni de atac către o listă de servere TFN sau demoni ce pot duce un atac DoS folosind o reţea TFN. Demonii generează atacul DoS specificat împotriva uneia sau mai mulrot adrese IP ţintă. Adresele IP sursă şi porturile sursă pot fi alese la întâmplare, iar dimensiunile pachetelor pot fi modificate. Utilizarea sursei master TFN necesită o listă de adrese IP specificată de atacator demonilor.
DDoS (Distributed Denial of Service) • Atacul StacheldrahtStacheldraht (în germană “sârmă ghimpată“) combină caracteristici ale mai multor tipuri de atacuri DoS, incluzând Tribe Flood Network (TFN). Adaugă, de asemenea, caracteristici precum criptarea comunicaţiei dintre atacator şi sursa master stacheldraht şi automatizează actualizarea agenţilor.Are o loc aici o fază iniţială de instruziune în masă în care instrumentele automatizate sunt utilizate pentru a compromite de la distanţă un număr mare de sisteme folosite pentru atac. Următoarea fază este aceea a atac DoS în care sistemele compromise sunt utilizate pentru a ataca una sau mai multe ţinte. Legături Web • http://www.cisco.com/warp/public/707/newsflash.html • http://staff.washington.edu/dittrich/misc/ddos/ • http://www.cert.org/incident_notes/IN-99-07.html
Vulnerabilităţi la nivelele modelului OSI • Fiecare nivel din modelul Open System Interconnection (OSI) are o serie de funcţiuni pe care trebuie să le îndeplinească pentru ca datele să circule în reţea de la sursă către destinaţie. Fiecare nivel are propriile vulnerabilităţi ce pot fi exploatate. Prezentăm în continuare o scurtă descriere a vulnerabilităţilor nivelelor din modelul de referinţă OSI: • Nivelul Aplicaţie - Layer 7Nivelul aplicaţie – atacurile la acest nivel pot fi implementate prin mai multe metode. Una dintre cele mai utilizate metode constă în exploatarea vulnerabilităţilor bine-cunoscute în software-ul de tip server (Sendmail,HTTP sau FTP). Prin exploatarea acestor vulnerabilităţi, hackeriipot obţine accea la un calculator cu permisiunile asociate contului care rulează aplicaţia, care de regulă este un cont de sistem privilegiat. Atacurile la nivelul aplicaţiesunt deseori făcute publice în efortul de a permite administratorilor să corecteze problemele existente prin aplocarea unui patch.Din nefericire, cei mai mulţi dintre hackeri subscriu, de asemenea, la aceleaşi liste de mail, caz în care ei află despre aplicarea patch-ului. • Principala problemă în cazul atacurilor de la nivelul aplicaţie este accea că deseori se utilizează porturile lăsate deschise printr-un firewall. De exemplu, un hacker ce lansează în execuţie o vulnerabilitate cunoscută asupra unui Web server utilizează, de regulă, portul TCP 80. Deoarece serverul Web oferă paginile utilizatorilor, un firewall trebuie să permită accesul la acel port. Din perspectiva unui firewall, mereu va fi permis traficul pe portulstandard 80.
Vulnerabilităţi la nivelele modelului OSI • Atacurile de la nivelul aplicaţie nu pot fi eliminate complet. Mereu sunt descoperite noi vulnerabilităţi şi sunt făcute public pe Internet. Conduse de cererile Internetului şi a pieţei, companiile continuă să ofere software şi hardware ce au probleme şi bug-uri de securitate cunoscute. Mai mult, utilizatorii continuă să facă zile grele securităţii prin download-ul, instalarea şi configurarea de aplicaţii neautorizatece introduc noi riscuri de securitate la o rată alarmantă. • Nivelul Prezentare - Layer 6 Nivelul prezentare asigură comunicaţia dintre nivelele aplicaţie ale unor sisteme. Dacă este necesar, nivelul prezentare translatează între mai multe formate de date prin utilizarea unui format comun. Din punctul de vedere al securităţii, orice utilizator poate intercepta şi citi aceste pachete de date fără prea mare efort, în mod special într-o reţea Ethernet bazată pe protocolul CSMA/CD. • Pentru a proteja datele, trebuie ca acestea să fie criptate. Acest lucru ajută ca datele să fie menţinute private şi sigure făcându-le ilizibile pentru toată lumea în afara destinaţiei care deţine cheia de criptare. Multe tehnici de criptare obişnuite pot fi descifrate, de unde nevoia de dezvoltare de metode mai puternice de criptare. Cu toate acestea, utilizarea unor metode sofisticate de criptare este înceată datorită necesităţilor extrem de mari pentru procesare.
Vulnerabilităţi la nivelele modelului OSI • O altă problemă la nivelul prezentare este aceea legată de tehnicile de compresie. Viruşi, cai troieni compresaţi, zipuiţi, etc. pot trece de majoritatea firewall-urilor fără a fi detectaţi. • Nivelul sesiune - Layer 5Nivelul sesiune stabileşte, administrează şi încheie sesiunile de comunicaţie dintre două gazde ce comunică între ele. De asemenea, asigură sincronizarea dialogului dintre nivelele prezentare ale celor două gazde şi administrează schimbul de date între acestea. În plus faţă de reglarea sesiunii de lucru, nivelul sesiune oferă condiţii pentru transferul eficient de date, clase de servicii şi raportarea excepţiilor şi problemelor de la nivelele sesiune, prezentare şi aplicaţie. • Multe protocoale ce operează la nivelul sesiune, precum Network File System (NFS), Sequenced Query Language (SQL), Server Message Block (SMB) şi Xwindows pot fi exploatate pentru a obţine acces neautorizat la resurse. De asemenea, se poate obţine control de root asupra dispozitivelor prin utilizarea acestor protocoale.
Vulnerabilităţi la nivelele modelului OSI • Nivelul Transport - Layer 4Nivelul transport segmentează datele trimise de la sursă la destinaţie şi le reasamblează într-un flux de date la sistemul destinaţie. Pentru a oferi serviciul de comunicaţie, nivelul transport iniţiază, administrează şi încheie circuite virtuale de comunicaţie. Pentru a asigura un serviciu fiabil, sunt utilizate metode de detecţie/corecţie a erorilorprecum şi controlul fluxului. • Nivelul transport este în mod special vulnerabil la atacuri. Multe aplicaţii şi protocoale utilizează porturile bine-cunoscute TCP şi User Datagram Protocol (UDP) ce trebuie protejate. Acest lucru este analog cu acela de a încuia uşa dar a lăsa toate ferestrele larg deschise. Aceste ferestre trebuie, de asemenea, închise şi securizate. Atacurile precum DoS, spoofing şi hijacking pot fi aduse şi la nivel de segment. Multe scannere de porturi sunt disponibile pentru operaţiunea de recunoaştere a unei gazde sau a unei reţele. • Nivelul Reţea - Layer 3 Nivelul reţea oferă conectivitate şi selecţia drumului între două sisteme gazdă ce pot fi localizate în reţele diferite din punct de vedere al amplasamentului geografic. • Exploatările la nivel de pachet includ scanări ping, sniffing, DoS, Address Resolution Protocol (ARP) poisoning, nuking, ping of death şi spoofing. Atacurile DDoS precum SMURF, Stacheldraht şi TFN sunt în mod special periculoase pentru reţelele şi calculatoarele afectate.
Vulnerabilităţi la nivelele modelului OSI • Nivelul Legătură de date - Layer 2 Nivelul legătură de date oferă un transfer fiabil al datelor de-a lungul unei legături fizice. Nivelul legătură de date se ocupă cu adresarea fizică (adrese MAC), topologia de reţea, modalitatea de acces la reţea, notificarea erorilor, livrarea în ordine a cadrelor şi controlul fluxului. • Vulnerabilităţile la nivelul de frame includ sniffing, spoofing, broadcast storms şi nesecurizarea sau absenţa reţelelor locale virtuale (VLAN). Plăcile de reţea configurate greşit sau ce nu funcţionează corect pot cauza probleme serioase pe segmentul de reţea respectiv sau chiar în întreaga reţea.
Vulnerabilităţi la nivelele modelului OSI • Nivelul fizic - Layer 1 Nivelul fizic defineşte specificaţiile electrice, mecanice, procedurale şi funcţionale pentru activarea, administrarea şi dezactivarea legăturii fizice dintre două sisteme terminale. La nivelul fizic sunt stabilite caracteristici precum: nivelele de voltaj, variaţiile în timp a voltajului, ratele de transfer fizic, distanţele maxime de transport, tipurile de conectori fizici, etc. • Nivelul fizic este vulnerabil la interceptări şi reconnaissance. Fibra optică este mult mai sigură, dar atât mediile bazate pe cupru şi cele bazate pe fibră optică sunt vulnerabile la tăiere. Acest tip de acţiune poate duce la căderea segmentelor de reţea, a diverselor calculatoare sau a întregii reţele.De asemenea, instabilităţile curentului electric, dezastrele naturale, etc. pot afecta echipamentele de reţea până la căderea acestora. Legături Web • Bazele OSI http://www.rad.com/networks/1994/osi/intro.htm • Diversehttp://www.insecure.org/stf/smashstack.txt
