BEZPIECZEŃSTWO W SIECIACH

Transkrypt

1 PREZENTACJA NA SYSTEMY OPERACYJNE Michał Raczkowski styczeń 2007

2 MOŻLIWOŚCI PODSŁUCHIWANIA - PROGRAMY PODSŁUCHUJACE programy podsłuchujace (sniffery) - sa to programy, które przechwytuja i analizuja ruch sieciowy. Parę przykładów:

3 MOŻLIWOŚCI PODSŁUCHIWANIA - PROGRAMY PODSŁUCHUJACE programy podsłuchujace (sniffery) - sa to programy, które przechwytuja i analizuja ruch sieciowy. Parę przykładów:

4 MOŻLIWOŚCI PODSŁUCHIWANIA - PROGRAMY PODSŁUCHUJACE programy podsłuchujace (sniffery) - sa to programy, które przechwytuja i analizuja ruch sieciowy. Parę przykładów:

5 PROGRAMY PODSŁUCHUJACE - TCPDUMP tcpdump - bardzo ogólne konsolowe narzędzie do przechwytywania ruchu na interfejsie sieciowym. Domyślnie podglada nagłówki pakietów przechodzacych przez dany interfejs. Mało przyjazne użytkownikowi, ale DA SIE nawet posłuchiwać rozmowy gg w ASCII :).

6 PROGRAMY PODSŁUCHUJACE - TCPDUMP tcpdump - bardzo ogólne konsolowe narzędzie do przechwytywania ruchu na interfejsie sieciowym. Domyślnie podglada nagłówki pakietów przechodzacych przez dany interfejs. Mało przyjazne użytkownikowi, ale DA SIE nawet posłuchiwać rozmowy gg w ASCII :).

7 PROGRAMY PODSŁUCHUJACE - TCPDUMP tcpdump - bardzo ogólne konsolowe narzędzie do przechwytywania ruchu na interfejsie sieciowym. Domyślnie podglada nagłówki pakietów przechodzacych przez dany interfejs. Mało przyjazne użytkownikowi, ale DA SIE nawet posłuchiwać rozmowy gg w ASCII :).

8 PROGRAMY PODSŁUCHUJACE - TCPDUMP tcpdump - bardzo ogólne konsolowe narzędzie do przechwytywania ruchu na interfejsie sieciowym. Domyślnie podglada nagłówki pakietów przechodzacych przez dany interfejs. Mało przyjazne użytkownikowi, ale DA SIE nawet posłuchiwać rozmowy gg w ASCII :).

9 PROGRAMY PODSŁUCHUJACE - WIRESHARK wireshark - podobny do tcpdump-a, posiada GUI i sporo więcej opcji filtrowania i sortowania. Można w nim śledzić strumienie TCP, czyli podgladać cała komunikację hostów tekstowo, zamiast gaszczu pakietów z masa nagłówków. przechodzaca przez podsłuchiwany interfejs sieciowy. Umożliwia podgladanie całego ruchu w trybie promiscuous.

10 PROGRAMY PODSŁUCHUJACE - WIRESHARK wireshark - podobny do tcpdump-a, posiada GUI i sporo więcej opcji filtrowania i sortowania. Można w nim śledzić strumienie TCP, czyli podgladać cała komunikację hostów tekstowo, zamiast gaszczu pakietów z masa nagłówków. przechodzaca przez podsłuchiwany interfejs sieciowy. Umożliwia podgladanie całego ruchu w trybie promiscuous.

11 PROGRAMY PODSŁUCHUJACE - WIRESHARK wireshark - podobny do tcpdump-a, posiada GUI i sporo więcej opcji filtrowania i sortowania. Można w nim śledzić strumienie TCP, czyli podgladać cała komunikację hostów tekstowo, zamiast gaszczu pakietów z masa nagłówków. przechodzaca przez podsłuchiwany interfejs sieciowy. Umożliwia podgladanie całego ruchu w trybie promiscuous.

12 PROGRAMY PODSŁUCHUJACE - WIRESHARK wireshark - podobny do tcpdump-a, posiada GUI i sporo więcej opcji filtrowania i sortowania. Można w nim śledzić strumienie TCP, czyli podgladać cała komunikację hostów tekstowo, zamiast gaszczu pakietów z masa nagłówków. przechodzaca przez podsłuchiwany interfejs sieciowy. Umożliwia podgladanie całego ruchu w trybie promiscuous.

13 MOŻLIWOŚCI PODSŁUCHIWANIA - TRYB PROMISCUOUS tryb promiscuous - konfiguracja interfejsu sieciowego (karty sieciowej), w której przekazuje ona cały ruch do hosta, a nie tylko pakiety do niego zaadresowane. Np. w sieciach z HUB-ami można podgladać cały ruch.

14 MOŻLIWOŚCI PODSŁUCHIWANIA - TRYB PROMISCUOUS tryb promiscuous - konfiguracja interfejsu sieciowego (karty sieciowej), w której przekazuje ona cały ruch do hosta, a nie tylko pakiety do niego zaadresowane. Np. w sieciach z HUB-ami można podgladać cały ruch.

15 MOŻLIWOŚCI PODSŁUCHIWANIA - TRYB PROMISCUOUS tryb promiscuous - konfiguracja interfejsu sieciowego (karty sieciowej), w której przekazuje ona cały ruch do hosta, a nie tylko pakiety do niego zaadresowane. Np. w sieciach z HUB-ami można podgladać cały ruch.

16 OGÓLNIE O DSNIFF-IE Pakiet programów do dogłębnej penetracji i podsłuchu w sieci lokalnej. Jest zbiorem dość luźno ze soba zwiazanych programów do testowania zabezpieczeń lub innych niecnych celów. Zawiera też opcje do podszywania się i podsłuch sesji SSH i SSL.

17 OGÓLNIE O DSNIFF-IE Pakiet programów do dogłębnej penetracji i podsłuchu w sieci lokalnej. Jest zbiorem dość luźno ze soba zwiazanych programów do testowania zabezpieczeń lub innych niecnych celów. Zawiera też opcje do podszywania się i podsłuch sesji SSH i SSL.

18 SKŁAD DSNIFF-A - ARPSPOOF arpspoof - przez fakowe rozgłoszenia ARP powoduje, że komputer ofiara wysyła do intruza wszystkie pakiety, zamiast do zadanego IP. Działa to tak, że jest podmieniany adres fizyczny z prawdziwego na adres intruza dla pewnego konkretnego IP.

19 SKŁAD DSNIFF-A - ARPSPOOF arpspoof - przez fakowe rozgłoszenia ARP powoduje, że komputer ofiara wysyła do intruza wszystkie pakiety, zamiast do zadanego IP. Działa to tak, że jest podmieniany adres fizyczny z prawdziwego na adres intruza dla pewnego konkretnego IP.

20 SKŁAD DSNIFF-A - ARPSPOOF arpspoof - przez fakowe rozgłoszenia ARP powoduje, że komputer ofiara wysyła do intruza wszystkie pakiety, zamiast do zadanego IP. Działa to tak, że jest podmieniany adres fizyczny z prawdziwego na adres intruza dla pewnego konkretnego IP.

21 SKŁAD DSNIFF-A - DNSSPOOF dnsspoof - Wysyła fakowe odpowiedzi na zapytania DNS.

22 SKŁAD DSNIFF-A - DNSSPOOF dnsspoof - Wysyła fakowe odpowiedzi na zapytania DNS.

23 SKŁAD DSNIFF-A - DSNIFF dsniff - sniffer interpretujacy wiele popularnych protokołów, takich jak FTP, Telnet, SMTP, HTTP, POP3 i dosłownie wiele innych. Wygodny do przechwytywania prywatnych danych, np. haseł.

24 SKŁAD DSNIFF-A - DSNIFF dsniff - sniffer interpretujacy wiele popularnych protokołów, takich jak FTP, Telnet, SMTP, HTTP, POP3 i dosłownie wiele innych. Wygodny do przechwytywania prywatnych danych, np. haseł.

25 SKŁAD DSNIFF-A - DSNIFF dsniff - sniffer interpretujacy wiele popularnych protokołów, takich jak FTP, Telnet, SMTP, HTTP, POP3 i dosłownie wiele innych. Wygodny do przechwytywania prywatnych danych, np. haseł.

26 SKŁAD DSNIFF-A - FILESNARF filesnarf - potrafi zapisywać pliki przesyłane NFS-em.

27 SKŁAD DSNIFF-A - FILESNARF filesnarf - potrafi zapisywać pliki przesyłane NFS-em.

28 SKŁAD DSNIFF-A - MACOF macof - przepełnia pamięć switch-a tak, że switch zaczyna działac jak HUB, co może ułatwić sniffowanie.

29 SKŁAD DSNIFF-A - MACOF macof - przepełnia pamięć switch-a tak, że switch zaczyna działac jak HUB, co może ułatwić sniffowanie.

30 SKŁAD DSNIFF-A - MAILSNARF mailsnarf - poglada -e przez analizowanie podgladanych protokołów POP3 i SMTP.

31 SKŁAD DSNIFF-A - MAILSNARF mailsnarf - poglada -e przez analizowanie podgladanych protokołów POP3 i SMTP.

32 SKŁAD DSNIFF-A - MSGSNARF msgsnarf - bardzo efektowne narzędzie przechwytujace wiadomości przesyłane przez IRC-a oraz komunikatory internetowe.

33 SKŁAD DSNIFF-A - MSGSNARF msgsnarf - bardzo efektowne narzędzie przechwytujace wiadomości przesyłane przez IRC-a oraz komunikatory internetowe.

34 SKŁAD DSNIFF-A - WEBSPY webspy - chyba najbardziej widowiskowe z całego pakietu: wysniffowane z protokołu HTTP URL-e przekazuje do lokalnej przegladarki i na bieżaco wyświetla stony, które odwiedza host podgladany :).

35 SKŁAD DSNIFF-A - WEBSPY webspy - chyba najbardziej widowiskowe z całego pakietu: wysniffowane z protokołu HTTP URL-e przekazuje do lokalnej przegladarki i na bieżaco wyświetla stony, które odwiedza host podgladany :).

36 SKŁAD DSNIFF-A - WEBSPY webspy - chyba najbardziej widowiskowe z całego pakietu: wysniffowane z protokołu HTTP URL-e przekazuje do lokalnej przegladarki i na bieżaco wyświetla stony, które odwiedza host podgladany :).

37 SKŁAD DSNIFF-A - KRÓTKO POZOSTAŁE tcpkill - jak nazwa wskazuje, zabija sesję TCP. tcpnice - zmniejsza szybkość połaczenia TCP. urlsnarf - sniffuje HTTP w poszukiwaniu URL-i. sshmitm - serwer pośredniczacy połaczeniom SSH, umożliwia ich sniffowanie. webmitm - program sniffujacy jako serwer pośredniczacy dla połaczeń HTTP i HTTPS przekierowanych przez dnsspoof.

38 SKŁAD DSNIFF-A - KRÓTKO POZOSTAŁE tcpkill - jak nazwa wskazuje, zabija sesję TCP. tcpnice - zmniejsza szybkość połaczenia TCP. urlsnarf - sniffuje HTTP w poszukiwaniu URL-i. sshmitm - serwer pośredniczacy połaczeniom SSH, umożliwia ich sniffowanie. webmitm - program sniffujacy jako serwer pośredniczacy dla połaczeń HTTP i HTTPS przekierowanych przez dnsspoof.

39 SKŁAD DSNIFF-A - KRÓTKO POZOSTAŁE tcpkill - jak nazwa wskazuje, zabija sesję TCP. tcpnice - zmniejsza szybkość połaczenia TCP. urlsnarf - sniffuje HTTP w poszukiwaniu URL-i. sshmitm - serwer pośredniczacy połaczeniom SSH, umożliwia ich sniffowanie. webmitm - program sniffujacy jako serwer pośredniczacy dla połaczeń HTTP i HTTPS przekierowanych przez dnsspoof.

40 SKŁAD DSNIFF-A - KRÓTKO POZOSTAŁE tcpkill - jak nazwa wskazuje, zabija sesję TCP. tcpnice - zmniejsza szybkość połaczenia TCP. urlsnarf - sniffuje HTTP w poszukiwaniu URL-i. sshmitm - serwer pośredniczacy połaczeniom SSH, umożliwia ich sniffowanie. webmitm - program sniffujacy jako serwer pośredniczacy dla połaczeń HTTP i HTTPS przekierowanych przez dnsspoof.

41 SKŁAD DSNIFF-A - KRÓTKO POZOSTAŁE tcpkill - jak nazwa wskazuje, zabija sesję TCP. tcpnice - zmniejsza szybkość połaczenia TCP. urlsnarf - sniffuje HTTP w poszukiwaniu URL-i. sshmitm - serwer pośredniczacy połaczeniom SSH, umożliwia ich sniffowanie. webmitm - program sniffujacy jako serwer pośredniczacy dla połaczeń HTTP i HTTPS przekierowanych przez dnsspoof.

42 SKŁAD DSNIFF-A - KRÓTKO POZOSTAŁE tcpkill - jak nazwa wskazuje, zabija sesję TCP. tcpnice - zmniejsza szybkość połaczenia TCP. urlsnarf - sniffuje HTTP w poszukiwaniu URL-i. sshmitm - serwer pośredniczacy połaczeniom SSH, umożliwia ich sniffowanie. webmitm - program sniffujacy jako serwer pośredniczacy dla połaczeń HTTP i HTTPS przekierowanych przez dnsspoof.

43 SZYFROWANIE KONTROLOWANIE SPOSOBY SZYFROWANIA szyfrowanie - jest chyba jedynym sensownym sposobem zachowania poufności ruchu sieciowego. Intruzi moga odczytać zawartość pakietów, jednak sa one bezużyteczne bez klucza. Przykłady mechanizmów:

44 SZYFROWANIE KONTROLOWANIE SPOSOBY SZYFROWANIA szyfrowanie - jest chyba jedynym sensownym sposobem zachowania poufności ruchu sieciowego. Intruzi moga odczytać zawartość pakietów, jednak sa one bezużyteczne bez klucza. Przykłady mechanizmów:

45 SZYFROWANIE KONTROLOWANIE SPOSOBY SZYFROWANIA szyfrowanie - jest chyba jedynym sensownym sposobem zachowania poufności ruchu sieciowego. Intruzi moga odczytać zawartość pakietów, jednak sa one bezużyteczne bez klucza. Przykłady mechanizmów:

46 SZYFROWANIE KONTROLOWANIE SPOSOBY SZYFROWANIA szyfrowanie - jest chyba jedynym sensownym sposobem zachowania poufności ruchu sieciowego. Intruzi moga odczytać zawartość pakietów, jednak sa one bezużyteczne bez klucza. Przykłady mechanizmów:

47 SZYFROWANIE KONTROLOWANIE MECHANIZMY SZYFROWANIA - SSH SSH - (secure shell) to standard szyfrowanych protokołów komunikacyjnych używanych w sieciach TCP-IP, w architekturze klient-serwer. Jest nastepca nieszyfrowanego protokołu Telnet, służy do terminalowego łaczenia się ze zdalnym komputerem. SCP oraz SFTP z rodziny SSH sa powszechnie używane do przesyłania plików. Wspólna cecha tych protokołów jest technika szyfrowania danych i rozpoznawania użytkownika.

48 SZYFROWANIE KONTROLOWANIE MECHANIZMY SZYFROWANIA - SSH SSH - (secure shell) to standard szyfrowanych protokołów komunikacyjnych używanych w sieciach TCP-IP, w architekturze klient-serwer. Jest nastepca nieszyfrowanego protokołu Telnet, służy do terminalowego łaczenia się ze zdalnym komputerem. SCP oraz SFTP z rodziny SSH sa powszechnie używane do przesyłania plików. Wspólna cecha tych protokołów jest technika szyfrowania danych i rozpoznawania użytkownika.

49 SZYFROWANIE KONTROLOWANIE MECHANIZMY SZYFROWANIA - SSH SSH - (secure shell) to standard szyfrowanych protokołów komunikacyjnych używanych w sieciach TCP-IP, w architekturze klient-serwer. Jest nastepca nieszyfrowanego protokołu Telnet, służy do terminalowego łaczenia się ze zdalnym komputerem. SCP oraz SFTP z rodziny SSH sa powszechnie używane do przesyłania plików. Wspólna cecha tych protokołów jest technika szyfrowania danych i rozpoznawania użytkownika.

50 SZYFROWANIE KONTROLOWANIE MECHANIZMY SZYFROWANIA - SSH SSH - (secure shell) to standard szyfrowanych protokołów komunikacyjnych używanych w sieciach TCP-IP, w architekturze klient-serwer. Jest nastepca nieszyfrowanego protokołu Telnet, służy do terminalowego łaczenia się ze zdalnym komputerem. SCP oraz SFTP z rodziny SSH sa powszechnie używane do przesyłania plików. Wspólna cecha tych protokołów jest technika szyfrowania danych i rozpoznawania użytkownika.

51 SZYFROWANIE KONTROLOWANIE MECHANIZMY SZYFROWANIA - TLS TLS - (Transport Layer Security) to internetowy standard, rozwinięcie protokołu SSL (Secure Socket Layer). Ma na celu zapewnienie poufności i integralności transmisji danych oraz zapewnienie uwierzytelnienia, stosuje szyfry asymetryczne oraz certyfikaty standardu X.509. Zaleta protokołu jest fakt, że działa on na warstwie TCP, więc można go łatwo zastosować do zabezpieczenia protokołów warstwy aplikacyjnej (np.: HTTP, POP3).

52 SZYFROWANIE KONTROLOWANIE MECHANIZMY SZYFROWANIA - TLS TLS - (Transport Layer Security) to internetowy standard, rozwinięcie protokołu SSL (Secure Socket Layer). Ma na celu zapewnienie poufności i integralności transmisji danych oraz zapewnienie uwierzytelnienia, stosuje szyfry asymetryczne oraz certyfikaty standardu X.509. Zaleta protokołu jest fakt, że działa on na warstwie TCP, więc można go łatwo zastosować do zabezpieczenia protokołów warstwy aplikacyjnej (np.: HTTP, POP3).

53 SZYFROWANIE KONTROLOWANIE MECHANIZMY SZYFROWANIA - TLS TLS - (Transport Layer Security) to internetowy standard, rozwinięcie protokołu SSL (Secure Socket Layer). Ma na celu zapewnienie poufności i integralności transmisji danych oraz zapewnienie uwierzytelnienia, stosuje szyfry asymetryczne oraz certyfikaty standardu X.509. Zaleta protokołu jest fakt, że działa on na warstwie TCP, więc można go łatwo zastosować do zabezpieczenia protokołów warstwy aplikacyjnej (np.: HTTP, POP3).

54 SZYFROWANIE KONTROLOWANIE WARSTWA SSL RYSUNEK: Schemat warstw sieciowych

55 SZYFROWANIE KONTROLOWANIE KONTROLA oczywiście należy we własnym zakresie kontrolować sytuację. np. warto wiedzieć, czy adres IP na który wysyłamy odpowiada hostowi, któremu powinien. Zeby uchronić się przed arpspoof-em należy kontrolować ARP, np. dobrym pomysłem jest podanie na sztywno adresu MAC bramy internetowej. również nie należy podawać istotnych haseł w nieszyfrowanych protokołach np. Telnet, FTP, HTTP i.t.p. oraz nie pozwalać na nieszyfrowane połaczenia ze swoim hostem, jeśli klient może być potencjalnie niebezpieczny. stosowanie firewall-a

56 SZYFROWANIE KONTROLOWANIE KONTROLA oczywiście należy we własnym zakresie kontrolować sytuację. np. warto wiedzieć, czy adres IP na który wysyłamy odpowiada hostowi, któremu powinien. Zeby uchronić się przed arpspoof-em należy kontrolować ARP, np. dobrym pomysłem jest podanie na sztywno adresu MAC bramy internetowej. również nie należy podawać istotnych haseł w nieszyfrowanych protokołach np. Telnet, FTP, HTTP i.t.p. oraz nie pozwalać na nieszyfrowane połaczenia ze swoim hostem, jeśli klient może być potencjalnie niebezpieczny. stosowanie firewall-a

57 SZYFROWANIE KONTROLOWANIE KONTROLA oczywiście należy we własnym zakresie kontrolować sytuację. np. warto wiedzieć, czy adres IP na który wysyłamy odpowiada hostowi, któremu powinien. Zeby uchronić się przed arpspoof-em należy kontrolować ARP, np. dobrym pomysłem jest podanie na sztywno adresu MAC bramy internetowej. również nie należy podawać istotnych haseł w nieszyfrowanych protokołach np. Telnet, FTP, HTTP i.t.p. oraz nie pozwalać na nieszyfrowane połaczenia ze swoim hostem, jeśli klient może być potencjalnie niebezpieczny. stosowanie firewall-a

58 SZYFROWANIE KONTROLOWANIE KONTROLA oczywiście należy we własnym zakresie kontrolować sytuację. np. warto wiedzieć, czy adres IP na który wysyłamy odpowiada hostowi, któremu powinien. Zeby uchronić się przed arpspoof-em należy kontrolować ARP, np. dobrym pomysłem jest podanie na sztywno adresu MAC bramy internetowej. również nie należy podawać istotnych haseł w nieszyfrowanych protokołach np. Telnet, FTP, HTTP i.t.p. oraz nie pozwalać na nieszyfrowane połaczenia ze swoim hostem, jeśli klient może być potencjalnie niebezpieczny. stosowanie firewall-a

59 SZYFROWANIE KONTROLOWANIE KONTROLA oczywiście należy we własnym zakresie kontrolować sytuację. np. warto wiedzieć, czy adres IP na który wysyłamy odpowiada hostowi, któremu powinien. Zeby uchronić się przed arpspoof-em należy kontrolować ARP, np. dobrym pomysłem jest podanie na sztywno adresu MAC bramy internetowej. również nie należy podawać istotnych haseł w nieszyfrowanych protokołach np. Telnet, FTP, HTTP i.t.p. oraz nie pozwalać na nieszyfrowane połaczenia ze swoim hostem, jeśli klient może być potencjalnie niebezpieczny. stosowanie firewall-a

60 BIBLIOGRAFIA PODZIEKOWANIE BIBLIOGRAFIA

61 BIBLIOGRAFIA PODZIEKOWANIE Dziękuję za uwagę.