ZALECENIA ZABEZPIECZEŃ ORAZ MECHANIZMY BEZPIECZEŃSTWA WYKORZYSTANE PRZY KONCEPCJI DOSTĘPU DO OBIEKTÓW UCZELNI WYŻSZEJ

Transkrypt

1 MICHAŁ BYŁAK DARIUSZ LASKOWSKI Wydział Elektroniki, Instytut Telekomunikacji Wojskowa Akademia Techniczna w Warszawie ZALECENIA ZABEZPIECZEŃ ORAZ MECHANIZMY BEZPIECZEŃSTWA WYKORZYSTANE PRZY KONCEPCJI DOSTĘPU DO OBIEKTÓW UCZELNI WYŻSZEJ Streszczenie: Artykuł porusza kwestie zabezpieczenia obiektów uczelni wyższej przy obecnie stosowanych urządzeniach aktywnych firmy Cisco. Przedstawia zagrożenia, czyli sposoby ataków na infrastrukturę sieciową i zawiera możliwości zminimalizowania tego ryzyka poprzez zalecenia konfiguracyjne zapewniające bezpieczeństwo zarówno w warstwie łącza danych jak i warstwie sieciowej. Należy wziąć pod uwagę, że w artykule nie zwrócono uwagi na obronę fizyczną obiektów sieciowych uczelni, a starano się położyć nacisk na konfigurację zabezpieczeń, które domyślnie nie są włączone na urządzeniach aktywnych. Słowa kluczowe: zabezpieczenie, bezpieczeństwo, infrastruktura sieciowa, zalecenia, security 1. Charakterystyka zagrożeń W następnych podrozdziałach przedstawiono najczęściej wykorzystywane sposoby ataków na urządzenia aktywne, ze szczególnym uwzględnieniem wykorzystania podatności urządzeń marki Cisco.

2 Ataki na tablice CAM Michał Byłak, Dariusz Laskowski Ataki te wykorzystują w przeważającej części podatności przełączników sieciowych. Przełącznik gromadzi w swojej tablicy mapowania CAM (ang. Content Addressable Memory) adresy MAC stacji będących w sieci i przyporządkowuje je do odpowiednich portów, do których podłączony jest host, czy ewentualnie przełącznik, poprzez który nauczył się danego adresu MAC. W sytuacji kiedy w tablicy CAM nie ma adresu MAC do jakiego kierowany jest pakiet, przełącznik musi wysłać ten pakiet na wszystkie porty nasłuchując na jakim odpowie odbiorca. Po uzyskaniu odpowiedzi i uaktualnieniu tablicy CAM przełącznik kolejne ramki kieruje już wyłącznie przez określony port. Ten tok realizacji nie wnosi jeszcze zagrożeń, ale ze względu na sprzętowe ograniczenia realizacji przełączników, tablica CAM posiada ograniczoną pojemność. Po przekroczeniu maksymalnej ilości wpisów, kolejne już nie mogą być dokonywane. Ta cecha może być wykorzystana przez hackera do ataku poprzez przepełnienie tablicy CAM adresami MAC wygenerowanymi ze swojej stacji (tzw. CAM overloading). W tej sytuacji każda kolejna ramka będzie rozsyłana przez przełącznik do wszystkich portów, umożliwiając hackerowi podglądnie ruchu w sieci Ataki na protokół STP Spanning Tree Protocol (STP) w większości sieci działa domyślnie i ma podstawowe znaczenie dla redundancji w sieci. Często niestety STP nie jest praktycznie w ogóle przedmiotem zainteresowania administratorów. Sam protokół STP nie oferuje także praktycznie żadnych mechanizmów wynikających ze standardu, które podnosiły by jego bezpieczeństwo. Coraz więc częściej STP staje się narzędziem hackerów. Protokół STP opiera się na wyborze tzw. root spanning tree. Jest to przełącznik o najniższym priorytecie (ID) rozsyłanym w komunikatach STP tzw. BPDU. Ruch w sieci LAN przechodzi przez ścieżki wyznaczone w funkcji lokalizacji roota STP. Wyobraźmy sobie, że hacker ma możliwość podłączenia się do dwóch przełączników w naszej sieci LAN. Następnie rozpoczyna wysyłanie pakietów BPDU z najniższym priorytetem, a tym samym doprowadza do rekalkulacji protokołu Spanning Tree i staje się root STP. W praktyce zachowanie takie doprowadzić może do: ataku typu Denial of Service na przełącznik - częste przeliczenia STP znacznie obciążają pracę procesora przełącznika doprowadzając do jego zablokowania, podsłuchiwania informacji przesyłanej w sieci,

3 Zalecenia zabezpieczeń oraz mechanizmy bezpieczeństwa 35 ataku typu Denial of Service na zasoby sieci jeśli dzięki działaniom hackera w sieci zostaną wybrane nieoptymalne połączenia - dostępność zasobów sieci dla jej prawowitych użytkowników może być zablokowana lub znacznie ograniczona Ataki na podatności protkołu CDP Protokół CDP (ang. Cisco Discovery Protocol) został opracowany przez Cisco z myślą o ułatwieniu i zautomatyzowaniu zarządzania siecią nie zapewnia niestety mechanizmów bezpieczeństwa takich jak choćby szyfrowanie informacji czy autentykacja komunikujących się stron. Dzięki temu hacker może w prosty sposób pozyskać bardzo szczegółowe informacje o wyposażeniu sieci i wersjach oprogramowania tych urządzeń lub zaatakować z wykorzystaniem błędów działania CDP w danej wersji oprogramowania przełącznika Ataki z wykorzystaniem nieautoryzowanego serwera DHCP Podstawowe standardy działania serwerów DHCP i korzystania z nich przez hosty w sieci nie definiują zabezpieczeń przed wybraniem przez host dowolnego serwera DHCP spośród tych, które ogłaszają się w danym segmencie sieci (na podstawie komunikatów DHCP OFFER). Sytuacja taka może doprowadzić do przejęcia przez hackera ruchu w segmencie sieci dzięki przeadresowaniu hostów korzystających z DHCP po podłączeniu do segmentu swojego, nieutoryzowanego przez administratora, serwera DHCP. Kolejnym możliwym atakiem jest wygenerowanie tylu zapytań o przyznanie adresów IP z podaniem różnych adresów MAC źródła zapytania, że serwer DHCP przydzieli wszystkie dostępne adresy ze zdefiniowanej na nim puli. W takiej sytuacji każde następne żądanie przyznania adresu będzie już odrzucane a tym samym możliwy jest atak Denial of Service uniemożliwiający pracę w sieci użytkownikom Ataki z wykorzystaniem protokołów zarządzania w sieci LAN Większość stosowanych w sieci LAN protokołów zarządzania (Telnet, FTP, SNMP, TFTP) nie zapewnia żadnych mechanizmów szyfrowania połączeń i sprawdzania wiarygodności stron biorących udział w połączeniu. Tym samym podsłuchanie sesji zarządzania pozwala poznać hackerowi nawet hasła do trybów konfiguracji urządzeń. Mogą one być następnie wykorzystane do wejścia administracyjnego z komputera hackera i wykonanie zmian w konfiguracji urządzeń w dowolny sposób. Doprowadzenie do takiej sytuacji jest praktycznie

4 36 Michał Byłak, Dariusz Laskowski równoważne z oddaniem naszej sieci na pastwę włamywacza i umożliwienie mu podejmowania dowolnych działań w sieci Ataki na sieci VLAN Poprawna konfiguracja VLAN-ów na współczesnych przełącznikach firmy Cisco, z zainstalowanymi aktualnymi wersjami oprogramowania IOS, wyklucza ruch między VLAN-ami. Istnieją jednak niezależne od tego faktu metody nieuprawnionego dostępu do zasobów sieci z wykorzystaniem innych technologii powiązanych z VLAN. DTP (ang. Dynamic Trunk Protocol) jest protokołem służącym do uproszczenia konfiguracji portów dot1q trunk (łącze guropowe pomiędzy sieciami VLAN) między przełącznikami. DTP jest obsługiwany na przełączniku, synchronizuje ustawienia trunk u między nimi. Standardowe ustawienia DTP na portach większości przełączników skonfigurowane są jako domyślne co w praktyce oznacza, że port ustawi się w takim trybie jaki zostanie wymuszony przez sąsiada. W sytuacji kiedy stacja podłączona do przełącznika ma skonfigurowany trunking na swoim interfejsie może wymusić ustawienie trunk u na porcie przełącznika do jakiego jest podłączona. Stacja staje się wtedy członkiem wszystkich VLAN-ów jakie są skonfigurowane na przełączniku, a tym samym ma możliwość podsłuchiwania ruchu także poza VLAN-em do jakiego sama należy. 2. Zalecenia zabezpieczeń Zarówno na routerach jak i przełącznikach domyślnie jest włączonych wiele usług, które mogą się okazać podatne na wiele zagrożeń. Przedstawiono zatem wiele zaleceń odnośnie wyłączenia usług jak i zaleceń odnośnie konfiguracji. Należy zwrócić uwagę, że zależnie od obsługiwanej wersji systemu IOS routera bądź przełącznika podane przykładowe polecenia konfiguracyjne mogą nie być dostępne ze względu na aktualność oprogramowania Wyłączenie części pakietów ICMP Routery Cisco automatycznie wysyłają pakiety ICMP, jednak część z nich można wyłączyć, co pozwala zabezpieczyć się przed zagrożeniami. Uniemożliwienie na interfejsie możliwości mapowania oraz diagnozowania infrastruktury sieci poprzez wyłączenie generowania takich pakietów ICMP jak Host

5 Zalecenia zabezpieczeń oraz mechanizmy bezpieczeństwa 37 unreachable, Redirect, Mask Reply. Wykorzystuje się w tym wypadku następujące polecenia w trybie konfiguracji globalnej: no ip redirects oraz no ip mask-reply Wyłączenie protokołu BOOTP Protokół obecnie już nie wykorzystywany, a umożliwiający atakującemu na przejęcie kontroli nad urządzeniem sieciowym jest BOOTP (ang. BOOTstrap Protocol protokół początkowego ładowania systemu). Jest to protokół komunikacyjny umożliwiający komputerom w sieci uzyskanie od serwera danych konfiguracyjnych, np. adresu IP. Wystarczy się w tym wypadku ograniczyć do polecenia w trybie konfiguracji globalnej: no ip bootp server Wyłączenie protokołu finger Innym protokołem, który już nie jest wykorzystywany a może stwarzać potencjalne zagrożenie rozpoznaniem przez atakującego jest protokół finger. Zapewniał on połączenie z programem informacyjnym zainstalowanym na innym serwerze i przekazywał do systemu operacyjnego takie dane jak imię i nazwisko, czas podłączenia do systemu. Polecenia wyłączające tą usługę to: no ip finger, no service finger Wyłączenie protokołu Proxy-ARP Warto wyłączyć również protokół Proxy-ARP, który jest przydatny tylko przy urządzeniach, które nie są dostosowane do współpracy z sieciami IP, co obecnie jest rzadkością. Proxy-ARP pozwala na to, aby za przekazanie odwzorowania adresów IP do stacji w ramach różnych podsieci odpowiadał router. Stanowi to duże zagrożenie a usługa ta domyślnie jest włączona na wszystkich interfejsach przełącznika lub routera. Do wyłączenia omawianego protokołu wystarczy następujące polecenie w trybie konfiguracyjnym: ip proxy-arp 2.5. Zabezpieczenie protokołu STP Zabezpieczenie przed atakami wykorzystującymi właściwości protokołu STP jest możliwe dzięki kilku mechanizmom dostępnym w oprogramowaniu przełączników i przemyślanemu projektowaniu topologii sieci LAN. Metody te polegają na: wyłączeniu STP w sieci LAN - krok taki jest teoretycznie możliwy jeśli nasza sieć jest zbudowana w przemyślany sposób tak, że nie występują nawet teoretyczne zapętlenia w sieci. Wykorzystanie nowoczesnych prze-

6 38 Michał Byłak, Dariusz Laskowski łączników z wydajną obsługą routingu w warstwie trzeciej modelu ISO/OSI upraszcza znacznie tworzenie sieci bez STP. Połączenia między przełącznikami są w praktyce osobnymi sieciami, w których nie ma wielokrotnych dróg dla pakietów. Pakiety między tymi połączeniami są routowane, a więc tu także nie występuje zagrożenie powstania pętli w warstwie L2 (druga warstwa modelu ISO/OSI), wykorzystanie mechanizmu BPDU Guard, który pozwala na zablokowanie na porcie przełącznika przyjmowania komunikatów BPDU a tym samym utrudnia ataki typu Denial of Service wykorzystujące BPDU do wymuszania rekalkulacji STP na przełącznikach. BPDU Guard powinien być włączany na wszystkich portach, które z definicji mają obsługiwać pojedyncze stacje robocze i serwery, a więc dla portów gdzie nie ma zagrożenia powstania pętli, wykorzystanie mechanizmu Root Guard ten mechanizm z kolei uniemożliwia niekontrolowaną zmianę miejsca root STP w sieci. W szczególności blokuje pojawienie się nowego roota na portach, które z definicji mają obsługiwać stacje robocze i serwery. Root Guard na przełącznikach (Cisco) jest konfigurowany jako parametr portu przełącznika Zabezpieczenie protokołu CDP Praktycznie jedynym sposobem zabezpieczenia się przed atakiem z wykorzystaniem ułomności protokołu CDP jest wyłączenie tego protokołu na przełączniku. Służy do tego polecenie: no cdp run. W wielu przypadkach protokół ten nie jest wykorzystywany i może być, bez konsekwencji dla działania sieci, wyłączony. W sytuacji kiedy CDP musi być jednak wykorzystywany (np. wymogi aplikacji zarządzającej siecią) wskazane jest ograniczenie jego propagacji do dedykowanego VLAN-u dla zarządzania i wyłączenie na pozostałych portach przełącznika nie należących do tego VLAN-u Zabezpieczenie protokołu DHCP Konsekwencje włączenia do segmentu sieci nieautoryzowanego serwera DHCP można ograniczyć wykorzystując mechanizm DHCP Snooping zaimplementowany przez firmę Cisco na swoich przełącznikach. Mechanizm ten pozwala odróżnić porty przełącznika podłączone do stacji roboczych użytkowników (tzw. untrusted) od portów przyłączonych do serwera DHCP lub innego przełącznika/routera (tzw. porty trusted). Switch monitoruje wszystkie pakiety DHCP i blokuje połączenia o ile są one zestawiane z portów untrusted. Mecha-

7 Zalecenia zabezpieczeń oraz mechanizmy bezpieczeństwa 39 nizm ten umożliwia także definiowanie ograniczeń w prędkości odwołań do serwera DHCP co zapobiega atakom typu DoS na serwer. Wykorzystanie DHCP Snooping umożliwia wykorzystanie jeszcze jednej ciekawej funkcjonalności przełącznik może wstawiać do zapytania DHCP generowanego przez stację, informację o numerze ID przełącznika i portu do jakiego dana stacja jest podłączona. Dzięki temu serwer DHCP może utrzymywać tablicę z informacją do jakiego portu przełącznika jest podłączona dana stacja. Informacje te mogą być wykorzystane do monitorowania działań użytkowników i zapobiegać nieautoryzowanym zmianom w podłączeniu stacji do sieci Wykorzystanie mechanizmu Port Security Kolejną metodą, jaką można zastosować w sieciach LAN zbudowanych w oparciu o przełączniki jest wykorzystanie funkcji tzw. Port Security. Funkcjonalność ta pozwala zdefiniować adresy MAC jakie są obsługiwane na danym porcie przełącznika lub wskazać jaką liczbę adresów MAC przełącznik będzie obsługiwał na danym porcie. Po stwierdzeniu przez przełącznik ramki z niewłaściwym adresem MAC może on blokować ruch z tego konkretnego adresu MAC lub wręcz zablokować cały port. Metoda ta pozwala zabezpieczyć się przed nieautoryzowanym podłączeniem nowej stacji do sieci, a także chroni przed wykonaniem ataku typu MAC (przepełnienie tablicy CAM przełącznika) Wykorzystanie sieci VLAN Sieci VLAN pozwalają na zapewnienie skalowalności, bezpieczeństwa i łatwości zarządzania nimi. Cechy te wykorzystuje się w procesie zarządzania bezpieczeństwem tych sieci. Oprócz cech charakterystycznych sieci opartych na przełącznikach posiadają one również typowe cechy sieci LAN a więc niektóre problemy zarządzania bezpieczeństwem w takich sieciach są identyczne jak w przypadku tradycyjnych sieci LAN. W dalszej części zostały przedstawione wybrane aspekty zarządzania bezpieczeństwem sieci VLAN a mianowicie podatność i zagrożenia czyli ryzyko jakie istnieje podczas tworzenia takich sieci oraz możliwości zminimalizowania tego ryzyka. Sugerowane jest także wydzielenie VLAN-u do zarządzania urządzeniami, niezależnego od pozostałych VLAN-ów. Rozdzielenie takie, połączone z odpowiednią konfiguracją przełącznika i zastosowaniem innych metod ochrony przed przełamaniem segmentów VLAN pozwalają na zwiększenie poziomu bezpieczeństwa zarządzania urządzeniami aktywnymi. Dodatkowo należy pa-

8 40 Michał Byłak, Dariusz Laskowski miętać o wyłączeniu VLAN 1 jako natywnego, ponieważ prowadzi on za sobą wiele zagrożeń Wykorzystanie bezpiecznych protokołów komunikacji administracyjnej Wykorzystanie niezabezpieczonych metod komunikacji administracyjnej może prowadzić do odkrycia haseł dostępu do urządzeń w konsekwencji do dowolnych działań w sieci przez osobę nieuprawnioną. Z tego powodu zaleca się stosowanie bezpiecznych alternatyw dla standardowych protokołów komunikacji administracyjnej: SSH, SSL, OTP (ang. one time password), SNMP v Stosowanie list dostępu Uzupełnieniem wykorzystania zapór ogniowych (ang. firewall) jest stosowanie list dostępu. Poza ograniczeniem dostępu ruchu pakietów zarówno z zewnątrz sieci jaki i ruchu wewnątrz, powinny być zdefiniowane na zarządzanych urządzeniach dokładne adresy terminali zarządzających. W sytuacji kiedy urządzenia sieciowe nie wspierają bezpiecznych protokołów zarządzania, wskazane jest zastosowanie zarządzania z wykorzystaniem dedykowanej infrastruktury połączeń do realizacji administracji urządzeniami Wykorzystanie serwerów uwierzytelniania oraz bezpieczne szyfrowanie haseł Dodatkowym wzmocnieniem zabezpieczenia przed nieuprawnionym dostępem do urządzeń aktywnych w sieci VLAN jest skonfigurowanie autentykacji sesji administracyjnej poprzez zewnętrzny serwer Tacacs+/Radius, który dodatkowo może współpracować z serwerem obsługującym hasła jednokrotne. Dodatkowo należy pamiętać o ochronie haseł przechowywanych lokalnie na urządzeniu sieciowym poprzez szyfrowanie najlepiej type 4 (SHA256), a jeśli nie jest to możliwe na danej wersji oprogramowania IOS szyfrowanie type 5, czyli poprzez protokół MD5. Należy unikać szyfrowania type 7, które w prosty sposób można złamać.

9 3. Wnioski Zalecenia zabezpieczeń oraz mechanizmy bezpieczeństwa 41 Artykuł jest analizą zaleceń pochodzących od samego producenta jak i instytucji rządowych, które są dostępne powszechnie. Posłużyły one do zaimplementowania zabezpieczeń, które wykorzystano w infrastrukturze sieciowej uczelni wyższej. Wymienione w artykule zabezpieczenia pozwoliły zbudować bezpieczną sieć poprzez: wyłączenie zbędnych cech plug and play urządzeń, ograniczenie propagacji niepotrzebnych pakietów, umożliwienie logowania zdarzeń które powodują, że jedno urządzenie zmienia swoje zachowanie pod wpływem drugiego, wyłączenie interpretowania oraz blokowanie propagacji powyższych informacji wszędzie tam, gdzie nie jest to niezbędne, blokowanie ruchu tam, gdzie nie jest on niezbędny nawet w ramach jednego VLAN-u, weryfikację adresów źródłowych tam gdzie jest to możliwe, silne uwierzytelnianie wszelkich protokołów, które na to pozwalają, zabezpieczenie wrażliwych danych konfiguracyjnych urządzenia sieciowego przechowywanych w pamięci, uniemożliwienie podsłuchu komunikacji administracyjnej. Literatura 1. M. Thomas, D. Stoddard : Network Security First-Step, 2nd Edition, Cisco Press, 2011r. 2. S. Empson: CCNA: pełny przegląd poleceń; PWN, Warszawa 2009r. 3. C. Hunt, TCP/IP Administracja Sieci, Wydawnictwo RM; Warszawa 2003r. 4. Ł. Sosna, Linux. Komendy i polecenia. Wydanie II; Helion, Gliwice 2006r. 5. Praca zbiorcza: Vademecum Teleinformatyka III; IDG Poland SA, Warszawa 2004r.

10 42 Michał Byłak, Dariusz Laskowski 6. I. Brown, K. Dooley: Cisco: receptury; Helion, Gliwice 2004r. 7. K. Krysiak: Sieci komputerowe: kompendium. Wydanie II; Helion, Gliwice 2005r. 8. I. Rudenko: Routery Cisco: czarna księga; Helion, Gliwice 2001r. 9.