Wykład 3 Sniffing cz. 3. OBRONA przed sniffingiem

Transkrypt

1 Wykład 3 Sniffing cz. 3 OBRONA przed sniffingiem 1. Ograniczanie sniffingu obrona pasywna Teoretycznie wykrycie sniffingu jest niemożliwe, ponieważ sniffer jest z założenia czymś, co działa pasywnie - jedynym jego zadaniem jest zbieranie informacji. Często jednak udaje się wykryć sniffery - mimo że sniffer jest programem pasywnym, często ma dołączone oprogramowanie, ułatwiające analizę zbieranych danych... W celu wykrycia snifferów wykorzystuje się też błędy w implementacji jądra Linuxa, BSD oraz Windows. Całkowite wyeliminowanie sniffingu nie jest możliwe. Co najwyżej można znacząco go ograniczyć. Można zastosować następujące najprostsze, pasywne metody: Segmentacja sieci Sniffer ma możliwość podsłuchania jedynie danych z jego własnego ethernetowego segmentu sieciowego. Tak więc im będzie on tym mniejszy, im większa będzie ilość segmentów i mniejsza ilość danych zagrożonych podsłuchaniem. Elementem rozdzielającym dwa segmenty może być także switch lub bridge, które przesyłają odpowiednie ramki do odpowiednich swoich interfejsów, zgodnie z tablicą adresów CAM. I właśnie to ich zachowanie uniemożliwia snifferom podsłuchanie sąsiednich segmentów. Jednak jak już wiemy przełączniki switch i bridge mają pewną wadę, która w pewnych okolicznościach redukuje ich funkcjonalność do poziomu zwykłego huba. Sytuacja ta ma miejsce wtedy, gdy nastąpi przepełnienie tablicy CAM. Efekt ten można uzyskać poprzez wysyłanie ramek z nowymi, nieprawdziwymi adresami MAC. W takim momencie urządzenia te nie filtrują ramek, i co za tym idzie przesyłają wszystkie dane do wszystkich swoich interfejsów. Segmentacja sieci zapewnia nam przynajmniej, że nie będą nas podsłuchiwać zupełni amatorzy. Obserwacja wzmożonego ruchu sieciowego Jest to dość prosta ale skuteczna metoda wykrywania sniffingu. Jest też łatwa w zastosowaniu. ponieważ komputer sniffujący na samym początku tworzy sobie obraz sieci wysyłając na wszystkie adresy IP zapytania ARP - zatem generuje nagle dość duży ruch w sieci podmienia też adres MAC ofiary na swój własny adres sprzętowy na serwerze lub komputerze docelowym zatem musi przekierować pakiety swojej ofiary do niej lub od niej, tak, aby nie odizolować ofiary od sieci, ale ponieważ podmienienie adresów MAC nie jest trwałe, komputer sniffujący musi co pewien czas wysyłać pakiety informujące komputer docelowy, że ofiara ma jego adres IP, zatem sniffer działający w sieci segmentowanej nie jest programem pasywnym, a co za tym idzie, dużo łatwiej go wykryć. Karty sieciowe bez trybu promiscuous Inną możliwością ograniczenia sniffingu jest stosowanie kart nie pracujących w trybie promiscuous. Jest to trudne, gdyż od paru lat w ogóle się już kart z wyłączaniem trybu promiscuous nie wytwarza. Inżynieria bezpieczeństwa sieciowego i internetowego wykonanych w sem. zimowym 2003/04 i 2004/05. 1/5

2 Szyfrowanie danych Najlepszą metodą walki ze sniffingiem jest szyfrowanie danych, które nawet przechwycone, nie mają żadnej wartości dla potencjalnego włamywacza. Należy unikać niebezpiecznych protokołów z jawnym tekstem ftp, telnet, na rzecz tych używających szyfrowania ssh (przy pomocy ssh można tunelować dowolny inny protokół). Często wykorzystywana jest para szyfrów RSA oraz IDEA. Za pomocą RSA szyfrowany jest klucz algorytmu IDEA, który to algorytm z kolei używany jest do szyfrowania danych. Jest to też próba uniemożliwienia podsłuchiwania w sieci lokalnej, jak również poza nią. Zabezpieczanie danych przy pomocy protokołów szyfrujących to wyścig - jeden zespół tworzy nowy protokół, drugi zespół go łamie. Złamanie każdego protokołu szyfrującego jest tylko kwestią czasu należy posiadać najnowsze dostępne wersje protokołów w najnowszych wersjach oprogramowania systemowego i sieciowego. Uważany za bezpieczny SSH został już złamany sniffer Ettercap deszyfruje ten szyfr w locie Ettercap radzi sobie również SSH 2... Nie przemęcza się i nie łamie go..., wymusza na serwerze ( negocjuje?... ) stosowanie protokołu SSH 1 (jedynym ostrzeżeniem, jakie dostajemy, jest wiadomość o niepewnym kluczu serwera - większość użytkowników i tak zignoruje taki komunikat i poleci kontynuować...komunikację z szyfrowaniem SSH 1... ) Bezpieczna metoda przesyłania poczty stosowanie PGP (klucze osobiste)... Poczta niezaszyfrowana wiadomości na pewno przechwytywane... Względnie do niedawna bezpieczny protokół SSL prawie na pewno już został złamany... Najbezpieczniejsza metoda zabezpieczenia własnych haseł... - unikanie korzystania z publicznie dostępnych komputerów dużych lub w podejrzanych sieciach (internetowe kafejki...?). 2. Metody wykrywania i oszukiwania snifferów obrona aktywna Wykrywanie snifferów podobnie jak przy protokołach szyfrujących wymyślana jest metoda wykrycia sniffera, a tuż potem wymyślana jest metoda obrony przed tą metodą wykrycia. Wykrywanie to aktywne scenariusze: - przesłuchiwania - wprowadzania w błąd - prowokacji. Wiele snifferów jest odpornych na najprostsze metody wykrywania, zatem żeby wykryć komputer sniffujący, musimy mieć podejrzanego w dużych sieciach jest to poważne utrudnienie... Prawie wszystkie metody wykrycia sniffingu opierają się na sprawdzeniu, czy karta sieciowa działa w trybie promiscuous (wychwytuje wszystkie pakiety z sieci, czyli ma wyłączone filtrowanie po adresie MAC). Inżynieria bezpieczeństwa sieciowego i internetowego wykonanych w sem. zimowym 2003/04 i 2004/05. 2/5

3 3. Metody oszukiwania snifferów obrona aktywna W pewnych sytuacjach nie ma innego wyjścia jak tylko zaakceptowanie faktu, iż na pewnym hoście w sieci działa sniffer. Jednakże nawet w tej sytuacji, przy odrobinie szczęścia, wiedzy i po przećwiczeniu kilku scenariuszy wykrywania i oszukiwania snifferów istnieje możliwość uniknięcia podsłuchu. Można zastosować następujące metody: Metoda sfałszowania ania numeru SYN Technika ta wykorzystuje to, że sniffery zwykle nie śledzą komunikatów kontrolnych i numerów sekwencyjnych połączenia TCP w pakietach TCP. Umożliwia to wtrącenie w aktywne połączenia pakietów, które zostaną odrzucone przez drugą stronę połączenia, ale sniffery zinterpretują je jako poprawne. Dzieje się tak na przykład przy wtrącaniu pakietów z zapaloną flagą FIN lub RST, ale niepoprawnym numerem sekwencyjnym. Zdalny system oczekujący na pakiet z konkretnym numerem sekwencyjnym odrzuci pakiet jako uszkodzony. Sniffer natomiast przyjmie pakiet i zinterpretuje go zgodnie z zapaloną flagą. Metoda rozsynchronizowania numeru SYN Aby ukryć połączenie przed snifferem, który śledzi numery sekwencyjne połączenia TCP, trzeba poszukać bardziej zaawansowanych rozwiązań niż już przedstawione. Pierwsza metoda polega na rozsynchronizowaniu numeru sekwencyjnego akceptowanego przez sniffer i zdalny system. Jeśli uda się doprowadzić do stanu, w którym sniffer oczekiwać będzie innego numeru sekwencyjnego niż zdalny host, to połączenie takie nie będzie logowane. Pomysł polega na wysłaniu poprawnego pakietu TCP z zapaloną flagą SYN w środku nawiązanego już połączenia. Maszyna docelowa zignoruje taki pakiet jako uszkodzony, bowiem dotyczy on ustanowionego już połączenia. Jednak istnieje duże prawdopodobieństwo, że sniffer zsynchronizuje się z nowym numerem ISN (Initial Sequence Number) z pakietu SYN, ignorując dalsze pakiety ze starego połączenia, które nie będą zawierały według niego poprawnych numerów sekwencyjnych. Aby nie wzbudzać podejrzeń generowaniem nowych połączeń, które nie są zamykane, można wysłać pakiet TCP z flagą RST i numerem sekwencyjnym pasującym do drugiego połączenia. Metoda niepoprawnej sumy kontrolnej Metoda idąca o krok dalej. Polega na wysłaniu przed zainicjowaniem właściwego połączenia pakietu z ustawioną flagą SYN, ale niepoprawną sumą kontrolną. Zdalna maszyna odrzuci taki pakiet. Jeśli sniffer jest wystarczająco sprytny, żeby pominąć drugi pakiet SYN, ale nie dość, aby sprawdzić sumę kontrolną pierwszego, to w ten sposób można uzyskać połączenie zsynchronizowane z docelową maszyną, ale nie ze snifferem. Metoda TTL Ta metoda ma zastosowanie gdy pakiety przechodzą przez sniffer, a następnie po kilku skokach (na kilku routerach) docierają do odległej maszyny. W takiej sytuacji można, ustawiając odpowiednio wartość pola TTL (Time To Live - czas życia pakietu), sprawić, by pakiety docierały do systemu podsłuchującego, ale nie do hosta docelowego zbyt niska wartość TTL. Dzięki temu można wysłać w pełni poprawny pakiet z zapaloną flagą RST lub FIN bez obawy utraty połączenia. Sniffer odbierze pakiet i uzna, że połączenie zostało zamknięte. Metoda Ping była już krótko omówiona. w tej metodzie musimy mieć podejrzany komputer Inżynieria bezpieczeństwa sieciowego i internetowego wykonanych w sem. zimowym 2003/04 i 2004/05. 3/5

4 (1) wysyłamy do sieci żądanie ping do naszego podejrzanego, (2) w żądaniu używamy właściwego adresu IP komputera docelowego, ale (3) zmieniamy nieznacznie adres MAC jeżeli nasze podejrzenia są niesłuszne i komputer nie sniffuje, to (4a) żądanie zostanie zatrzymane na karcie sieciowej i nie obsłużone, w tym wypadku (5a) nie dostaniemy żadnej odpowiedzi jeżeli jednak na komputerze uruchomiony jest sniffer, to (4b) nasze żądanie zostanie przepuszczone przez kartę sieciową, mimo niewłaściwego adresu sprzętowego i w takim wypadku (5b) otrzymamy odpowiedź. Metodę tę można usprawnić na wiele sposobów, np. można użyć każdego protokołu, który generuje odpowiedź, np. żądanie echo (protokół UDP) wywołującego żądanie połączenia TCP i odpowiedź. Metoda ARP była już krótko omówiona. w tej metodzie również musimy mieć podejrzanego jest podobna do metody ping jedyną różnicą jest użycie pakietu ARP zamiast ping w najprostszej metodzie ARP (1) wysyłamy zapytanie ARP na adres nierozgłoszeniowy jeżeli komputer odpowie na takie zapytanie swoim IP, to znaczy, że (2) jest w trybie promiscuous. Bardziej zaawansowana wersja tej metody wykorzystuje fakt przechowywania w pamięci tablicy adresów IP wraz z adresami MAC: (1) należy się upewnić, że przynajmniej przez ostatnie 14 minut nie zachodziła komunikacja pomiędzy naszym komputerem a podejrzanym (2) wysyłamy zapytanie ARP na nierozgłoszeniowy adres, po czym (3) wysyłamy zapytanie ping na adres rozgłoszeniowy (4) każdy, kto odpowie na to żądanie, bez sprawdzenia wcześniej naszego adresu MAC, mógł uzyskać nasz adres MAC jedynie wychwytując wcześniejszy pakiet ARP. (5) aby uzyskać większą pewność, można również umieścić fałszywy adres MAC w żądaniu ping. Metoda DNS była już krótko omówiona. w tej metodzie wykorzystuje się fakt, że wiele programów sniffujących dokonuje automatycznej konwersji adresów IP na nazwy domenowe generując pewien dodatkowy ruch w sieci a dokładniej zapytania DNS obserwując ten ruch w sieci możemy stwierdzić, czy w sieci są zainstalowane sniffery (1) wysyłamy żądanie ping (ramka echo request protokołu ICMP) na adres IP, o którym (2) wiemy, że nie ma go w sieci (3) obserwujemy serwer DNS w naszej sieci, jeżeli jakiś komputer wyśle zapytanie DNS o ten adres, (4) to znaczy, że jest na nim zainstalowane oprogramowanie sniffujące. Ta metoda działa również dla komputerów w sieci lokalnej bez serwera DNS. (1) musimy wtedy przestawić naszą kartę sieciową w tryb promiscuous, (2) wysłać pakiet z fałszywym IP i (3) obserwować, czy nasza karta wyłapie z sieci zapytanie DNS o ten adres, jeśli tak, to (3a) ktoś snifuje. Metoda (wymuszania) ścieżki routowania była już krótko omówiona. ta metoda wymaga podejrzanego metoda polega na (1) wysłaniu pakietu ping do podejrzanego, (2) w nagłówku IP tego pakietu ustawia się opcję loose route wtedy routery (2a) ignorują adres docelowy pakietu, a (2b) zamiast tego wysyłają pakiet na kolejny, określony w ścieżce routowania adres Inżynieria bezpieczeństwa sieciowego i internetowego wykonanych w sem. zimowym 2003/04 i 2004/05. 4/5

5 (3) jako adres, przez który chcemy, żeby nasz pakiet został przesłany, (3a) podajemy adres komputera, o którym wiemy, że ma wyłączone routowanie - wtedy (3b) mamy pewność, że dany komputer nie przekaże naszego pakietu dalej jeśli w takiej sytuacji otrzymamy odpowiedź na nasze żądanie ping, to znaczy, że (4) docelowy komputer wychwycił pakiet z sieci, mimo, że nie był on przeznaczony dla niego (miał inny adres MAC), oznacza to, że (4a) jego karta jest w trybie promiscuous i sniffuje. Metoda obserwacji opóźnienia była już krótko omówiona. jest to najbardziej niepewna ze wszystkich metod wykrywania sniffingu polega na (1) wypingowaniu podejrzanego komputera i (2) zapamiętaniu czasu odpowiedzi potem (3) wysyłamy w sieć mnóstwo pakietów z fałszywymi adresami MAC komputery w sieci z włączonym filtrowaniem pakietów na karcie sieciowej (3a) nie powinny w ogóle tego odczuć komputery z kartą sieciową w trybie promiscuous natomiast (3b) będą musiały przetworzyć wszystkie napływające pakiety (4) drugi raz pingujemy komputer w trakcie wysyłania pakietów do sieci, jeżeli różnica w czasie odpowiedzi jest znaczna, (5) możemy podejrzewać, że karta sieciowa podejrzanego jest w trybie promiscuous i może sniffować. Problematyczność tej metody polega na tym, że opóźnienie może być wywołane po prostu przeciążeniem sieci. Wtedy mamy wynik pozytywny badania, jednak nie możemy na nim polegać. Odwrotnie, możemy dostać odpowiedź bardzo szybko, co nie dowodzi, że komputer sniffuje, ale nie musi to oznaczać, że podejrzany jest niewinny. Równie dobrze może to znaczyć, że odpowiedź została wygenerowana automatycznie, bez angażowania procesora. Metoda Decoy wystawienie przynęty. Metoda ta korzysta z przynęty, którą jest konto użytkownika, który łączy się z serwerami za pomocą protokołów, które nie wykorzystują szyfrowania. Po pewnym czasie konto to jest likwidowane. Jeżeli w logach pojawią się informacje o próbach logowania na to konto, to w prosty sposób można zlokalizować szpiegującego hosta (oczywiście próby logowania na maszynę decoy mogą być połączone ze spoofingiem, co bardzo utrudnia identyfikację agresora). 4. Narzędzia do aktywnej obrony przed sniffingiem są bardzo potrzebne! Reasumując można stwierdzić, że obrona przed sniffowaniem jest możliwa, aczkolwiek wymaga dużej wiedzy, która musi być wsparta przez odpowiednie oprogramowanie. Przydatnymi narzędziami obrony są antisniffery. Najpopularniejszy z nich antisniff jest dostępny tylko w wersji unixowej lub dla Windows 9x. Antisniffery mają w sobie zaimplementowaną pewną ilość testów wykrywających sniffery. Testy są oparte na scenariuszach, które już poznaliśmy. Inną grupę przydatnych narzędzi tworzą programy pozwalające na ręczne preparowanie pakietów testowych, które używane są w poznanych przez nas metodach wykrywania i oszukiwania snifferów. Większość tych narzędzi jest tworzona z myślą o systemach unixowych. Inżynieria bezpieczeństwa sieciowego i internetowego wykonanych w sem. zimowym 2003/04 i 2004/05. 5/5