Sociálne siete

SecIT.sk na Facebooku SecIT.sk na Google+ SecIT.sk na Twitteri

Podporte nás


V prípade, že Vám obsah nášho portálu niekedy nejakým spôsobom pomohol, či bol pre Vás prínosom prosím podporte jeho chod ľubovoľnou čiastkou. Ďakujeme!

Štítky

Vyhľadávanie

You are here

Domov
Upozornenie: Obsah je licenčne chránený a bez písomných súhlasov autora článku a vlastníka webovej stránky nesmie byť v žiadnej forme ďalej kopírovaný a šírený v pôvodnom, či v akokoľvek upravenom stave.

Sieťové riziká a útoky vo WAN sieťach a internete - 2. časť

V tomto článku budeme pokračovať v téme sieťových rizík a útokov v rámci internetu. Budeme sa zaoberať IDS/IPS systémami, honeypotmi, typickým postupom útočníka a DoS resp. DDoS útokmi.

Intrusion Detection System - IDS systém a Intrusion Prevention System – IPS systém

Pri zatiaľ spomenutých bezpečnostných prvkoch ako firewall, a teda paketový filter, či ochrana založená na proxy serveri nešlo primárne o analýzu dátového obsahu paketu. Paketový filter nepozerá na dátový obsah vôbec, spolieha sa iba na hlavičky paketov, pri TCP/UDP na porty. Ibaže útočník môže zneužiť aj otvorený port 80 ak na ňom beží zraniteľný webserver a paketový filter zneužitiu tejto zraniteľnosti nezabráni. I keď proxy server dátový obsah analyzuje, je to zväčša kvôli filtrácií konkrétneho obsahu ako bolo spomenuté v predošlej časti - JavaScript, spustiteľné súbory a pod. Nevyhodnocuje však dátový obsah v zmysle škodlivosti, neporovnáva ho so známymi signatúrami, či nehľadá v ňom osobité znaky útokov. Tieto systémy zvyčajne neriešia okrem špecifických útokov ani detekciu DoS útokov, či útoky sieťových červov. O túto problematiku sa starajú systémy Intrusion Detection System - IDS a Intrusion Prevention System - IPS. IDS systémy hľadajú „nezvyklosti“ teda potencionálne útoky v celom pakete. Kontrolujú hlavičku, použitý protokol, ale aj dátový obsah, ktorý vyhodnocujú na základe signatúr resp. databáz známych útokov, ale aj podľa pravidiel určených administrátorom. Celú činnosť logujú a upozorňujú na podozrivé aktivity.

IDS systém sa opiera o modul analýzy signatúr, ktorý hľadá v paketoch prenášaných sieťou obsah zhodný so známymi útokmi. V databáze sa nachádzajú signatúry pre hlavičky rôznych protokolov, ale aj pre dáta v dátovej časti paketov. Konkrétne sa hľadá zhoda v postupnosti bajtov napr. v HTTP komunikácií. Okrem signatúr však IDS využíva zväčša aj analyzátor, niečo ako heuristiku, pre rôzne protokoly HTTP, SMTP a ďalšie... V paketoch hľadá rôzne anomálie napr. neobvyklosti v poliach bežných protokolov, ich nezvyčajnú dĺžku, isté postupnosti bajtov a pod.

Podľa spôsobu ochrany sa IDS systémy dajú rozdeliť na niekoľko typov. Uzlovo orientované IDS Host-Based IDS – HIDS, sieťovo orientované IDS Network-Based IDS – NIDS a hybridné IDS systémy.

HIDS systémy boli vyvíjané a používané ako prvé. Sú určené lokálnym zariadeniam. Sú všestranné, oproti NIDS majú široký zámer použitia. Môžeme ich využiť na počítačoch, serveroch a pod. Detegujú hlavne lokálne hrozby a útoky.

NIDS sa používajú v sieťach pre filtráciu komunikácie z WAN alebo internetu, skôr ako vstúpi do požadovanej chránenej časti siete. Chránia sieť pred útokmi z internetu, prienikmi, či DoS/DDoS útokmi.

Hybridné IDS systémy kombinujú obe varianty, za účelom komplexného pohľadu na chránenú sieť. Hybridné IDS sumarizujú dáta z HIDS a NIDS systémov, logujú ich, vyhodnocujú a následne informujú administrátora. Ten tak získa kompletný prehľad o bezpečnosti na chránenej sieti.

IPS systém monitoruje a analyzuje aktivitu na sieti tak isto ako IDS systém. Avšak dokáže okrem upozornenia zareagovať a zasiahnuť voči prípadnému útoku v reálnom čase na základe konfigurácie od administrátora. Môže zahadzovať isté pakety na základe stanovených pravidiel bez obmedzenia ostatnej legitímnej komunikácie. Takto môže zabrániť prieniku, či obmedziť DoS/DDoS útok automaticky bez nutnosti priameho a okamžitého zásahu. Existujú dve varianty IPS systémov. In-line IPS, kde je IPS systém umiestnený medzi privátnou sieťou a WAN resp. internetom, a tak prechádza cez tento systém celá komunikácia medzi týmito sieťami. IPS komunikáciu analyzuje a v prípade potreby istú časť obmedzí alebo zakáže bez dopadu na legitímnu komunikáciu. Out-of-band IPS sleduje komunikáciu medzi sieťami, ale fyzicky cez tento systém neprechádza celá sieťová komunikácia. V tomto prípade teda nemôže ani priamo zabrániť nežiaducej komunikácií. Môže však napodobniť prerušenie spojenia a dosiahnuť tak nespracovanie nežiaducich paketov cieľovou stanicou.

IDS a IPS systémy sú samozrejme do istej miery náročnejšie na výkon zariadenia na ktorom sú umiestnené, ale tak isto sa môžu odraziť aj na rýchlosti a výkone celej siete. IPS systém odvráti síce automaticky útok, ale je náročnejší na výkon oproti iba logovaciemu prípadne upozorňovaciemu IDS systému. IDS/IPS systémy sa v sieti umiestňujú zväčša hlavne v okolí firewallu, ale administrátorovi nič nebráni umiestniť ho v podstate kdekoľvek, kde to vyžaduje daná situácia v jeho sieti.

Honeypot

Honeypot nie je vlastne bezpečnostný prvok. Vo svojej podstate nechráni sieť ani počítač. Práve naopak slúži na „nalákanie útočníka.“ Ide o prostredie, ktoré potencionálnemu útočníkovi nebráni v napadnutí ale práve naopak sa mu „dobrovoľne ponúka“. Môže obsahovať zraniteľný systém alebo aplikácie. Útok podrobne analyzuje, loguje a vyhodnocuje v izolovanom prostredí. Tým získa administrátor prehľad o technike útoku, využitých zraniteľnostiach a pod... Výsledky tejto analýzy môžu poslúžiť pri tvorbe pravidiel pre IDS/IPS systémy, či firewally.

Honeypoty môžu byť natívne, nenatívne, s vysokou mierou interakcie alebo s nízkou mierou interakcie. Môžu sa tiež deliť podľa typu použitia.
Natívne sú s vysokou mierou interakcie, kde je využitý celý hostiteľský operačný systém a ním podporované aplikácie. Práve tieto honeypoty dokážu pri správnom nasadení odhaliť 0day útoky.
Nenatívne sú systémy s nízkou interakciou, nepredpokladá sa u nich kompromitácia hostiteľského operačného systému, ale iba kompromitácia konkrétnej aplikácie.
Systémy s vysokou interakciou sú teda založené na reálnom operačnom systéme a programovom vybavení rozšírenom o monitorovací systém, ktorý zaznamenáva aktivity útočníka.
Systémy s nízkou interakciou sú poväčšine emulované aplikácie s obmedzenými inštrukciami slúžiace ku konkrétnemu účelu. Pomáhajú hlavne k zachyteniu známych automatizovaných útokov. Celý priebeh samozrejme podrobne logujú.

Pri honeypote je dôležité aj jeho umiestnenie a poslanie. Honeypot môže poslúžiť v produkčnom, ale aj výskumnom prostredí vždy trocha odlišne. Mnoho podrobností o honeypotoch nájdete v našom rozsiahlom rozhovore so zakladateľom honeynet.cz.


Jedna z možných realizecí bezpečnostních opatření na síti
Obrázok znázorňuje jedno z možných realizácií bezpečnostných opatrení na sieti.

Postup útočníka

Útočník zväčša zahajuje každý útok zhromažďovaním čo najviac dostupných informácií o potencionálnej obeti. Veľmi záleží na tom, kto je obeť a čo je predmetom útoku. Pre útočníka je veľký rozdiel napadnúť sieť väčšej spoločnosti, alebo sieť bežného používateľa, či sieť nejakej inštitúcie. Pri zhromažďovaní základných informácií útočník zväčša použije verejne dostupné databázy.

Krokom ktorý nasleduje ako ďalší je mapovanie siete a cieľovej stanice. Útočník skenuje cieľový systém obete, aby získal prehľad o operačnom systéme, ktorý používa, o bežiacich službách a aplikáciách. Skenovanie portov je najdôležitejší počiatočný úkon a je značne rozsiahly. Prevádza sa tiež pri penetračných testoch, ktoré sa vykonávajú za účelom zhodnotiť bezpečnosť sieti, či systémov. Každý port môže byť v rôznom stave. Otvorený port znamená zvyčajne s určitosťou beh konkrétnej služby. Útočník sa môže pokúsiť naviazať spojenie. Zatvorený port znamená, že nie je prítomna žiadna služba, a teda spojenie ani útok nie je možný. Najčastejšie sa však port nachádza vo filtrovanom stave a signalizuje tak použitie firewallu. Pokiaľ sa útočník pokúša pripojiť k TCP portu, ktorý je uzavretý obdrží TCP paket s príznakom RST a ACK. Pokiaľ sa pokúša o spojenie na uzavretom UDP porte obdrží ICMP správu Destination port unreachable, samozrejme pokiaľ obeť ICMP protokol neblokuje. Pri filtrovaných portoch útočník neobdrží žiadnu odpoveď. Tieto reakcie na skenovanie sú však štandardné a nie vždy musí byť skutočne otvorený port otvoreným. Port môže byť otvorený len pre určitú IP adresu a tiež iba z jedného smeru. Útočníkovi sa teda môže javiť, ako zatvorený. Pri honeypotoch je napr. otvorený port zámerne ako bolo spomenuté v sekcii o honeypotoch.

Ďalším krokom útočníka je analýza banneru služby, zistenie jej verzie a porovnanie s aktuálnou verziou. Následne sa útočník podľa verzie aplikácie pokúsi vyhľadať exploity zneužívajúce jej možné zraniteľnosti a chyby. V súčasnosti je dostupných mnoho automatizovaných nástrojov s obsiahlymi databázami exploitov, vďaka ktorým je prienik pomerne jednoduchý. Skenovanie portov však nesie so sebou aj nevýhody v podobe možností odhalenia útočníka, preto sa používa prostredník a metódy na podvrhnutie zdrojovej IP adresy. I keď samotné skenovanie portov nie je nelegálne, možno tu však hovoriť o určitých etických princípoch, samozrejme samotný prienik už nelegálny je. Veľmi často za skenovaním stoja rôzne sieťové červy a nie samotní útočníci.

Dokonale zabrániť skenovaniu ide len veľmi ťažko. Dôležité je zabrániť samotnému prieniku, identifikácií služieb prípadne skenovanie útočníkovi skomplikovať a zmiesť ho. Taktiež je možné spraviť protiopatrenia po identifikácií samotného skenovania, analyzovať ho, zablokovať IP adresy útočníkov a pod. Dôležité je aktualizovať operačný systém a aplikácie. Samozrejme v súčasnosti vedia skenovanie portov identifikovať firewally resp. IDS/IPS systémy zablokovať ho, zalogovať a upozorniť administrátora.

Dos a DDoS útoky

Nie vždy však ide útočníkom o prienik do siete, počítača alebo servera alebo nie vždy sa to útočníkovi podarí. V tom prípade sa môže pokúsiť obeť resp. cieľový systém vyradiť nadmerným zahltením, preťažením resp. zaneprázdnením alebo zneužitím bezpečnostnej zraniteľnosti vedúcej k DoS útoku. Avšak nielen neúspech vedie potencionálnych útočníkov k týmto útokom. Môže to byť aj snaha vyradiť konkurenciu, aktualizačný server, zneprístupniť konkrétnu službu na istý čas, poškodiť dobré meno, pomsta a pod. Niekedy sa spájajú aj s vydieraním. K takýmto „útokom“ však môže dôjsť aj nechcene napr. ak server nebol pripravený na veľký nápor a záujem používateľov. Často sa to stáva inštitúciám pri špecifických udalostiach, prípadne webom pri zverejnení veľmi zaujímavých informácií. DoS - Denial of Service (odmietnutie služby) je útokom, ktorého cieľom je vyradenie, zneprístupnenie alebo umelé vyťaženie danej služby, serveru, počítača, siete... DDoS - Distributed Denial of Service sú DoS útoky využívajúce viacero počítačov zväčša zapojených do botnet sieti. „Zombie počítače“ tak útočia bez toho, aby ich používatelia o tom vedeli. Takéto útoky majú obrovskú silu a potenciál na vyradenie výkonných serverov veľkých firiem, či inštitúcií.

Pri DoS útokoch, ktoré využívajú zraniteľnosti, či už aplikácií a softvéru alebo hardvéru, na ktorom pracuje obeť, je útočník nútený zistiť si aké verzie a typy týchto aplikácií a zariadení obeť používa. Ďalej zraniteľnosti, na ktoré sú náchylné a môžu tak pri použití exploitu spôsobiť DoS útok. Avšak nie vždy je útok priamo cielený na konkrétnu obeť. Niekedy útočník využije zraniteľnosť na úplne náhodnú obeť, ktorá ňou trpí. Veľkou výhodou oproti záplavovým typom DoS útokov je, že útočník nemusí posielať obrovské množstvo paketov, a tak disponovať veľkými botnet sieťami na zahltenie obete. Útočníkovi stačí poslať len malé množstvo špeciálnych paktov, ktoré využitím zraniteľnosti spôsobia obeti nedostupnosť. Preto je veľmi potrebné neustále sledovať výskyt nových zraniteľností, hlavne pravidelne a dostatočne rýchlo aktualizovať.

Záplavové typy DoS útokov (DoS Flood) resp. DDoS pretože takmer vždy útočí niekoľko počítačov alebo botnet sieť, spočívajú vo vyčerpaní kapacity, ktorú má obeť pre spracovávanie požiadaviek. Obeť nadmerne zahltia zdanlivo legitímnymi požiadavkami cez bežné protokoly.

Medzi najznámejšie záplavové útoky patria TCP Flood, UDP Flood, ICMP flood, či HTTP Flood.

ICMP Flood - Útočníci ho zrealizujú pomerne ľahko. Zneužíva protokol ICMP zväčša pakety ICMP Echo request . Útočník odosiela vo veľkom množstve a veľmi rýchlo pakety ICMP Echo request a obeť mu odpovedá paketmi ICMP Echo reply. Útočník sfalšuje zdrojovú IP adresu v ICMP paketoch a tým znemožní korektne odpovedať, takže sieť obete vyťaží v dvoch smeroch. Útok je síce ľahko realizovateľný avšak veľmi ľahko mu ide zabrániť. ICMP protokol je zväčša značne obmedzený alebo úplne zakázaný administrátormi.

UDP Flood - Spočíva v zneužití transportného protokolu UDP. Tento spôsob DoS útoku je veľmi účinný. UDP je bezstavový protokol, nepotrebuje žiadne nadviazanie spojenia, potvrdzovanie ani žiadnu spätnú väzbu. Útočník tak posiela obeti množstvo UDP paketov pri ktorých tiež falšuje zdrojovú IP adresu. Tento DoS útok sa podobne pomerne ľahko filtruje.

TCP Syn Flood - Tento DoS útok využíva TCP Handshake (trojfázové nadviazanie spojenia v rámci TCP protokolu). Útočník, zvyčajne teda počítač v rámci botnet siete, sa tvári ako legitímny používateľ nadväzujúci TCP spojenie. Odošle TCP paket s príznakom SYN, server odošle TCP paket SYN+ACK, alokuje potrebné systémové prostriedky a čaká na odpoveď. Lenže od útočníka žiadnu neobdrží, jeho zdrojová IP adresa je sfalšovaná. Server odoslanie môže zopakovať a vyhradí na odpoveď od útočníka istý čas, pokiaľ za túto dobu nedorazí, uvoľní systémové prostriedky. Lenže útočník pošle takýchto SYN paketov naraz veľké množstvo, a tak server preťaží a môže vyčerpať všetky prostriedky určené na nadviazanie spojenia. Okrem útoku TCP Flood sa dajú zneužiť na podobné útoky aj TCP pakety s inými príznakmi. Ochranu je možné realizovať rôznymi spôsobmi, ale v súčasnosti sa používajú firewally a IPS systémy, ktoré dokážu analýzou paketov pomerne dobre tento útok odfiltrovať.

HTTP Flood - Je v podstate inteligentný TCP Flood, ktorý nefalšuje zdrojové IP adresy, tieto pakety sa javia pre firewall, IPS a server ako legitímne požiadavky. Rozlíšiť ich od bežných požiadaviek je oveľa ťažšie, vyžaduje zložitú analýzu paketov a drahé filtrovacie IPS zariadenia.

Existuje obrovské množstvo ďalších DoS útokov a techník, tie by však prekročili rámce článku. V celku sú DoS resp. DDoS útoky pomerne veľkým problémom. Ich filtrácia a zvládanie je pomerne nákladné. Pôvodca útoku je veľmi ťažko vystopovateľný keďže ho zvyčajne zastupuje celý botnet. V súčasnosti si môže botnet prenajať v podstate ktokoľvek, kto zaň zaplatí. Preto je realizácia pomerne jednoduchá a útoky sú účinné na „odstavenie“, či vydieranie obetí. Budúcnosť však prináša stále sofistikovanejšie spôsoby analýzy paketov, a teda príslušnej ochrany.

Aj keď administrátor využije množstvo nákladných bezpečnostných zariadení a opatrení, dokonale nakonfiguruje smerovače, firewally, IDS/IPS systémy, nemôže zabúdať na najslabší článok v bezpečnostnej stratégií a to je človek. Bežný zamestnanec, či používateľ siete. Pokiaľ sa totiž útočníkovi nepodarí do siete preniknúť vzdialene alebo by to pre neho bolo nerentabilné vzhľadom na čas a náklady zvolí niekedy oveľa jednoduchší spôsob - sociálne inžinierstvo. Takmer každý človek sa dá nejak presvedčiť, či ovplyvniť a profesionálny útočník znalý spôsobom sociálneho inžinierstva ho môže ľahko prinútiť k spusteniu backdoora, ktorý mu otvorí prístup k inak perfektne zabezpečenej sieti. Preto je školenie zamestnancov a používateľov mimoriadne dôležité rovnako ako aj zavedenie rozumných pravidiel, ktorými sa budú musieť riadiť.

Záver

Tento článok poukázal na základné prvky ochrany a základné útoky v prostredí WAN sieti. Nabudúce sa opäť pozrieme na bezpečnosť LAN sieti v praxi. Budeme sa zaoberať prevedením útokov a hlavne ochranou na linkovej vrstve pri použití Cisco zariadení.

Komentáre

Zaujimava situacia pre IDS nastane ked sa prejde na IPv6 ;)

K veľkej zmene asi nepríde, bude potrebná nejaká adaptácia, ale niektoré IDS IPv6 už podporujú.


Podporte nás


Páčil sa Vám tento článok? Ak áno, prosím podporte nás ľubovoľnou čiastkou. Ďakujeme!


ITC manažer Security-portal.cz Soom.cz
Hoax.cz Antivirove centrum Crypto-world.info