SKANOWANIE PORTÓW 83

Transkrypt

1 Wykład 3 82

2 SKANOWANIE PORTÓW 83

3 Co to jest port? elementu struktury protokołu komunikacyjnego; pojęcie związane z protokołami używanymi w Internecie do identyfikowania procesów działających na lokalnych oraz odległych systemach; jest to jeden z parametrów gniazda sieciowego (socket); 84

4 TCP TCP (ang. Transmission Control Protocol - protokół kontroli transmisji) Strumieniowy protokół komunikacji między dwoma komputerami. Umożliwia komunikację połączeniową oraz niezawodne przesyłanie danych między komunikującymi się procesami. 85

5 TCP TCP Posiada mechanizmy pozwalające na utworzenie wirtualnego połączenia, przez które przesyłane są dane wraz z informacjami pozwalającymi kontrolować proces przesyłania danych między nadawcą i odbiorcą. Opisany w RFC

6 TCP Bity Port nadawcy Port odbiorcy 32 Numer sekwencyjny 64 Numer potwierdzenia 96 Długość nagłówka Zarezerwowane Flagi Szerokość okna 128 Suma kontrolna Wskaźnik priorytetu 160 Opcje (opcjonalnie) 160/192+ Dane 87

7 Flagi w TCP 8-bitowa informacja/polecenie dotyczące bieżącego pakietu CWR - (ang. Congestion Window Reduced) flaga potwierdzająca odebranie powiadomienia przez nadawcę, umożliwia odbiorcy zaprzestanie wysyłania echa. ECE - (ang. ECN-Echo) flaga ustawiana przez odbiorcę w momencie otrzymania pakietu z ustawioną flagą CE URG - informuje o istotności pola "Priorytet" 88

8 Flagi w TCP ACK - informuje o istotności pola "Numer potwierdzenia" PSH - wymusza przesłanie pakietu RST - resetuje połączenie (wymagane ponowne uzgodnienie sekwencji) SYN - synchronizuje kolejne numery sekwencyjne FIN - oznacza zakończenie przekazu danych 89

9 Ustanawianie połączenia TCP z ang. three-way handshake Host inicjujący połączenie wysyła pakiet zawierający segment TCP z ustawioną flagą SYN. Numer sekwencyjny jest ustawiany przypadkowo. Host odbierający połączenie, jeśli zechce je obsłużyć, odsyła pakiet z ustawionymi flagami SYN i ACK. Otrzymany numer sekwencyjny jest zwiększany o jeden i odsyłany jako numer potwierdzenia. Aktualny numer sekwencyjny jest ustawiany przypadkowo. Jeśli host odbierający połączenie nie chce lub nie może odebrać połączenia, powinien odpowiedzieć pakietem z ustawioną flagą RST. Inicjujący host wysyła pakiet ustawiając już tylko flagę ACK. Numer sekwencyjny jest ustawiany zgodnie z otrzymanym nr potwierdzenia, a numer potwierdzenia jest ustawiany o jeden więcej od otrzymanego numeru sekwencyjnego. 90

10 Ustanawianie połączenia TCP c.d. 1 SYN 2 SYN+ACK 3 ACK 91

11 Zamykanie połączenia TCP 1 FIN 2 ACK 3 FIN 4 ACK 1 FIN 2 FIN+ACK 3 ACK 92

12 Diagram stanów TCP 93

13 Po co skanować porty? Uruchomione usługi Luki w systemie Informacje o systemie operacyjnym 94

14 TCP-Connect Napastnik wysyła pakiet TCP z flagą SYN W zależności od odpowiedzi znamy stan portu: SYN/ACK port otwarty RST/ACK port zamknięty Napastnik odsyła ACK Pozostaje ślad w logach ofiary 95

15 TCP-SYN Napastnik wysyła pakiet TCP z flagą SYN W zależności od odpowiedzi znamy stan portu: SYN/ACK port otwarty RST/ACK port zamknięty Napastnik nie odsyła ACK Może nie być śladu w logach ofiary 96

16 TCP-FIN Napastnik wysyła pakiet TCP z flagą FIN W zależności od odpowiedzi znamy stan portu: brak odpowiedzi port otwarty RST port zamknięty 97

17 TCP-ACK Napastnik wysyła pakiet TCP z flagą ACK, gdzie wartość ACK odnosi się do połącznia, którego nie było W zależności od odpowiedzi znamy stan portu: brak odpowiedzi port otwarty RST port zamknięty 98

18 TCP-NULL Napastnik wysyła pakiet TCP bez ustawionej żadnej flagi W zależności od odpowiedzi znamy stan portu: brak odpowiedzi port otwarty RST port zamknięty 99

19 TCP-XMAS Napastnik wysyła pakiet TCP z flagami FIN, URG, PSH W zależności od odpowiedzi znamy stan portu: brak odpowiedzi port otwarty RST port zamknięty 100

20 UDP UDP (ang. User Datagram Protocol - protokół datagramów użytkownika) protokół bezpołączeniowy możliwość transmisji do kilku adresów docelowych na raz nie ma narzutu na nawiązywanie połączenia i śledzenie sesji nie ma mechanizmów kontroli przepływu opisany w RFC Bity Port nadawcy Port odbiorcy 32 Długość Suma kontrolna 64 Dane 101

21 ICMP ICMP (ang. Internet Control Message Protocol) Protokół warstwy sieciowej wykorzystywany w diagnostyce sieci oraz trasowaniu. Opisany jest w RFC 792 Bit 0 7 Bit 8 15 Bit Bit Typ Kod Suma kontrolna Dane (opcjonalne) Typy: 0 Echo Reply (zwrot echa "odpowiedź na ping") 1 Zarezerwowane 2 Zarezerwowane 3 Destination Unreachable (nieosiągalność miejsca przeznaczenia) 4 Source Quench (tłumienie nadawcy) 5 Redirect Message (zmień trasowanie) 6 Alternate Host Address (alternatywny adres hosta) 7 Zarezerwowane 8 Echo Request (żądanie echa) 9 Router Advertisement (ogłoszenie routera) 10 Router Solicitation (wybór routera) 11 Time Exceeded (przekroczenie limitu czasu) 12 Parameter Problem (Problem z parametrem) 13 Timestamp (żądanie sygnatury czasowej) 14 Timestamp Reply (zwrot sygnatury czasowej) 15 Information Request (żądanie informacji) 16 Information Reply (zwrot informacji) 17 Address Mask Request (żądanie maski adresowej) 18 Address Mask Reply (zwrot maski adresowej) 19 Zarezerwowane dla bezpieczeństwa Zarezerwowane 30 Traceroute (śledzenie trasy) 31 Datagram Conversion Error (błąd konwersji datagramu) 32 Mobile Host Redirect (zmiana adresu ruchomego węzła) 33 IPv6 Where-Are-You (Pytanie IPv6 "gdzie jesteś") 34 IPv6 Here-I-Am (Odpowiedź IPv6 "tu jestem") 35 Mobile Registration Request (prośba o rejestrację węzła ruchomego) 36 Mobile Registration Reply (odpowiedź na prośbę o rejestrację węzła ruchomego 37 Domain Name Request (żądanie nazwy domeny) 38 Domain Name Reply (zwrot nazwy domeny) 39 SKIP Algorithm Discovery Protocol 40 Photuris, Security failures Zarezerwowane 102

22 Skanowanie UDP Napastnik wysyła datagram UDP W zależności od odpowiedzi ICMP znamy stan portu: brak odpowiedzi prawdopodobnie port otwarty ICMP_PRT_UNREACH port zamknięty 103

23 Skanowanie ICMP Napastnik próbuje wysyłać różne pakiety ICMP np.: echo request timestamp request address mask 104

24 FTP-bounce Port 20 służy do wysyłania danych Port 21 służy do przesyłania komend Polecenie PORT służy do wskazania na jaki adres IP i port mają zostać wysłane dane 105

25 Obrona przed skanowaniem Firewall IDS Instalowanie poprawek 106

26 ATAKI DOS I DDOS 107

27 DoS (ang. Denial of Service odmowa usługi) Ping of Death Wysłanie do ofiary pakietu ping większego od bajtów. Teardrop Wysłanie serii datagramów IP z nachodzącymi na siebie wartościami w polach offset field. SYN-flood Zalewanie ofiary segmentami TCP z ustawioną flagą SYN z fałszywych nr IP. Land Wysyłanie do ofiary segmentów TCP z ustawioną flagą SYN z adresem nadawcy ustawionym na adres IP ofiary. 108

28 DoS Naptha Wysyłanie do ofiary segmentów TCP z ustawioną flagą SYN, a po uzyskaniu odpowiedzi wysłanie segmentu TCP z flagami FIN/ACK. Smurf Wysyłanie pakietu ICMP Echo Request na adres rozgłoszeniowy sieci pośrednika z adresem źródłowym ofiary. UDP-flood Wykorzystuje echo UDP działająca na porcie 7 (odbija datagramy do nadawcy) oraz chargen UDP działający na procie 19 (odpowiada datagramem zawierającym tablice znaków ASCII). Smbnuke Wysłanie spreparowanego pakietu protokołu SMB, który poprzez usługę NetBIOS spowoduje restart. Wymaga otwartych portów 137, 138, 139 oraz systemu Windows NT/2000/XP. 109

29 DoS Connection-flood Nawiązanie dużej ilości połączeń na tym samym porcie ofiary. Fraggle Jak Smurf ale wykorzystuje UDP echo. Jolt Wysyłanie bardzo dużych i pofragmentowanych pakietów ICMP echo request, których ofiara nie potrafi złożyć (Windows 95 i NT). 110

30 DDoS (ang. Distributed Denial of Service rozproszony atak odmowy usługi) Trinoo trójstopniowa architektur, wykorzystuje UDP-flooding, nie fałszuje adresów IP i nie szyfruje komunikacji w ramach sieci DDoS TFN dwustopniowa architektura, wykorzystuje: UDP-flooding, SYN-flooding, ICMP-flooding, Smurf, nie fałszuje adresów IP i nie szyfruje komunikacji w ramach sieci DDoS TFN2K trójstopniowa architektura, ataki jak TFN oraz Targa3 i mieszany, fałszuje adresy IP i szyfruje komunikację w ramach sieci DDoS 111

31 DDoS Stacheldraht trójstopniowa architektura, wykorzystuje: UDPflooding, SYN-flooding, ICMP-flooding, Smurf, ACKflooding, TCP NULL-flooding, fałszuje adresy IP i szyfruje komunikację w ramach sieci DDoS Shaft wykorzystuje: UDP-flooding, SYN-flooding, ICMPflooding oraz atak mieszany, dostarcza moduł prowadzenia statystyk Mstream wykorzystuje: ACK-flooding i fałszowanie adresów IP 112

32 Projektowanie obrony przed DoS i DDoS Regularne instalowanie łat i poprawek. Filtrowanie pakietów na firewallach. Analizowanie ruchu sieciowego. Stosowanie IDS (ang. Intrusion Detection System) 113

33 ATAKI NA APLIKACJE I SYSTEMY 114

34 Złośliwe oprogramowanie - Malware wirusy robaki adware backdoor dialer hijacker keylogger spyware trojany rootkity 115

35 Ataki związane z DNS DNS-Cache Poisoning Wysłanie do serwera DNS fałszywego rekordu kojarzącego nazwę domeny z adresem IP, który to serwer zapisuje w swojej pamięci cache. Serwer powinien zapamiętywać tylko odpowiedzi na wysłane przez niego pytania i tylko pochodzące z autorytatywnego źródła. 116

36 Ataki związane z DNS DNS-Spoofing Wysłanie do klienta fałszywej odpowiedzi kojarzącego nazwę domeny z adresem IP. Klient powinien zapamiętywać tylko odpowiedzi na wysłane przez niego pytania i tylko pochodzące z autorytatywnego źródła. 117

37 Ataki związane z DNS 118 B. Matusiak, Ł. Poźniak. M. Stępień - DNS insecure, Hakin9 6/2007(26)

38 Obrona przed atakami na DNS Klient systemu może mieć pewność, że otrzymane przez niego dane, od serwera DNS, są wiarygodne i nie zostały podmienione podczas transportu. W protokole tym definiowane są zabezpieczania strefy a nie serwera, dzięki czemu nawet w przypadku włamania do jednego z serwerów autorytatywnych dla danej strefy, bezpieczeństwo systemu jako całości zostaje zachowane. DNSSEC daje także możliwość weryfikacji odpowiedzi negatywnych (ang. authenticated denial of existence of DNS data). 119 B. Matusiak, Ł. Poźniak. M. Stępień - DNS insecure, Hakin9 6/2007(26)

39 Obrona przed atakami na DNS Statyczne odwzorowania nazw DNSSEC (DNS Security Extensions) Jest protokołem opartym na cyfrowych podpisach, który wykorzystuje mechanizmy kryptografii asymetrycznej bazującej na kluczach publicznych. Umożliwia zapewnienie integralności i możliwość weryfikacji autentyczności pozyskanych danych oraz jednocześnie zabezpiecza informacje DNS przed sfałszowaniem i modyfikacją. 120 B. Matusiak, Ł. Poźniak. M. Stępień - DNS insecure, Hakin9 6/2007(26)

40 Man In The Middle klient serwer człowiek w środku man in the middle 121 M. Szmit, M. Tomaszewski, D. Lisiak, I. Politowska - 13 najpopularniejszych sieciowych ataków na Twój komputer. Wykrywanie, usuwanie skutków i zapobieganie, rozdział 2 i 3, Wydawnictwo Helion SA 2008

41 Man In The Middle Próba połączenia się klienta z serwerem jest kierowana do fałszywego serwera lub też przechodzi przez komputer atakującego. Dokonuje się ataku DNS-spoofing lub ataku ARPspoofing. Poprzez przekierowanie zapytania klienta do własnego komputera i przedstawienie mu fałszywego certyfikatu lub klucza publicznego, atakujący uzyskuje dostęp do zaszyfrowanego połączenia. 122 M. Szmit, M. Tomaszewski, D. Lisiak, I. Politowska - 13 najpopularniejszych sieciowych ataków na Twój komputer. Wykrywanie, usuwanie skutków i zapobieganie, rozdział 2 i 3, Wydawnictwo Helion SA 2008

42 Projektowanie obrony przed MITM Obrona przed atakami ARP-spoofing Obrona przed atakami DNS-spoofing Kontrola certyfikatów Używanie SSL 3 Zasada ograniczonego zaufania 123

43 Phishing Phishing (ang. password harvesting fishing łowienie haseł) Atak mający na celu pozyskanie poufnych informacji poprzez podszywanie się pod zaufane podmioty (np. banki, sklepy internetowe, aukcje internetowe serwisy aukcyjne, serwisy pocztowe). 124 M. Szmit, M. Tomaszewski, D. Lisiak, I. Politowska - 13 najpopularniejszych sieciowych ataków na Twój komputer. Wykrywanie, usuwanie skutków i zapobieganie, rozdział 2 i 3, Wydawnictwo Helion SA 2008

44 Pharming 1 atak na serwer DNS atakujący fałszywa strona www serwer DNS 4 odpowiedź z zaatakowango serwera 3 wysłanie zapytania do serwera dns o adres IP strony www 5 połączenie z fałszywą stroną www użytkownik oryginalna strona www 2 próba połączenia ze stroną www 125 M. Szmit, M. Tomaszewski, D. Lisiak, I. Politowska - 13 najpopularniejszych sieciowych ataków na Twój komputer. Wykrywanie, usuwanie skutków i zapobieganie, rozdział 2 i 3, Wydawnictwo Helion SA 2008

45 UWIERZYTELNIANIE 126

46 Uwierzytelnianie Uwierzytelnianie jest procesem weryfikacji tożsamości użytkownika lub komputera. Metody uwierzytelniania co wiesz - są to dane uwierzytelniające, które użytkownik zna (hasło, PIN); 127

47 Uwierzytelnianie co posiadasz - są to dane uwierzytelniające, które użytkownik posiada (token, karta szyfrująca, karta inteligentna, certyfikaty cyfrowe i klucze prywatne) kim jesteś - są to dane uwierzytelniające będące cechami anatomicznymi lub behawioralnymi użytkownika (odcisk palca, obraz tęczówki lub siatkówki oka, geometria dłoni i twarzy, głos, struktura podpisu) 128

48 Hasła Niebezpieczne sposoby tworzenia haseł: Użycie informacji osobistych np. imię, nazwisko, data urodzenia; Użycie nazw własnych np. Coca Cola, Sprite, Mercedes, Macintosh; Użycie wyłącznie cyfr, małych lub dużych liter; 129

49 Hasła Dobre hasło charakteryzuje się: Zawiera małe i duże litery, cyfry i znaki specjale. Ma długość minimum 8 (12) znaków. Nie zawiera informacji osobistych. Nie zostało nigdzie zapisane*. Nie ma podejrzeń, że mogło zostać uwidocznione podczas wpisywania. Nie znajduje się w żadnym słowniku, podobnie jak jego odmiana. Nie jest prostą kombinacją lub wzorem np. z klawiatury. 130

50 Przechowywanie haseł Z wykorzystanie algorytmów mieszania funkcje jednokierunkowe. Dla kont lokalnych w bazie Menadżera Kont Zabezpieczeń SAM (Security Account Manager). W przypadku domeny w bazie AD (Active Directory). 131

51 Dane biometryczne Dane uwierzytelniające, które zawsze posiada się przy sobie. Uwierzytelniane osób na podstawie cech fizycznych osobnika. 132

52 Dane biometryczne Dane biometryczne można podzielić na dwa rodzaje: Na dane cech fizycznych (odcisk linii papilarnych, kształt siatkówki oka, kształt twarzy). Na dane cech behawiorystycznych (próbka pisma odręcznego, próbka głosu). Pomiarów biometrycznych dokonują urządzenia i od nich zależy dokładność pomiarów. Nie zawsze legalne w świetle prawa. 133

53 Uwierzytelnianie jednokierunkowe 134 Praca dyplomowa pt: Centralne systemy zarządzania zasobami i uwierzytelniania, Przemysław Jagieła, 2010

54 Uwierzytelnianie dwukierunkowe 135 Praca dyplomowa pt: Centralne systemy zarządzania zasobami i uwierzytelniania, Przemysław Jagieła, 2010

55 Uwierzytelnianie z pośrednikiem 136 Praca dyplomowa pt: Centralne systemy zarządzania zasobami i uwierzytelniania, Przemysław Jagieła, 2010

56 Typy uwierzytelniania Typ uwierzytelniania Anonimowe Lokalne logowanie Kerberos LM, NTLM, NTLMv2 Podstawowe, zintegrowane Windows, szyfrowane, usługi Passport.NET Przeznaczenie Lokalne i w domenie Lokalne W domenie, interaktywne, w sieci W domenie, interaktywne, w sieci (starsze wersje klientów) Uwierzytelnianie na serwerze WWW 137

57 Typy uwierzytelniania Typ uwierzytelniania SST/TLS PAP, CHAP, MS-CHAP i MS- CHAPv x, PEAP, WPA Certyfikaty Karty inteligentne Przeznaczenie Uwierzytelnianie na serwerze WWW Zdalny dostęp, VPN Sieci bezprzewodowe oraz tradycyjne IPSec, uwierzytelnianie klientów i komputerów, SSL/TLS i karty inteligentne W domenie przy protokole Kerberos i certyfikatach 138

58 Kiedy stosowany jest który protokół? Windows 2000 i nowsze w domenie Kerberos Windows 2000 i nowsze poza domeną NTLM Windows 9x w domenie LM Windows NT 4.0 w domenie NTLM przy dostępie do zasobu gdy adres serwera jest podany jako nr IP NTLM przy dostępie do zasobu gdy adres serwera jest podany za pomocą nazwy - Kerberos 139

59 Koniec Wykładu 3 140