Zagrożenia bezpieczeństwa danych w lokalnych sieciach komputerowych ataki i metody obrony



Podobne dokumenty
Zagrożenia bezpieczeństwa danych w lokalnych sieciach komputerowych ataki i metody obrony 2. Sniffing pasywny

Problemy z bezpieczeństwem w sieci lokalnej

Metody zabezpieczania transmisji w sieci Ethernet

Zagrożenia warstwy drugiej modelu OSI - metody zabezpieczania i przeciwdziałania Autor: Miłosz Tomaszewski Opiekun: Dr inż. Łukasz Sturgulewski

Problemy z bezpieczeństwem w sieci lokalnej

BEZPIECZEŃSTWO W SIECIACH

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

ZAKŁAD SYSTEMÓW ROZPROSZONYCH. Politechnika Rzeszowska BEZPIECZEŃSTWO I OCHRONA INFORAMCJI

Metody ataków sieciowych

Spoofing. Wprowadzenie teoretyczne

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

PODSŁUCH W SIECIACH ETHERNET SSL PRZECIWDZIAŁANIE PODSŁUCHOWI

Przekierowanie portów w routerze - podstawy

MODEL WARSTWOWY PROTOKOŁY TCP/IP

Laboratorium nr 4 Ataki aktywne

dostępu do okręslonej usługi odbywa się na podstawie tego adresu dostaniemu inie uprawniony dostep

Konfiguracja programu pocztowego Outlook Express i toŝsamości.

Laboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark

SIECI KOMPUTEROWE I TECHNOLOGIE INTERNETOWE

Sieci Komputerowe. Wykład 1: TCP/IP i adresowanie w sieci Internet

Krajowe Sympozjum Telekomunikacji i Teleinformatyki KSTiT Autorzy: Tomasz Piotrowski Szczepan Wójcik Mikołaj Wiśniewski Wojciech Mazurczyk

Instrukcja konfigurowania poczty Exchange dla klienta pocztowego użytkowanego poza siecią uczelnianą SGH.

Instrukcja do laboratorium z przedmiotu Sieci Ethernet i IP Bezpieczeństwo sniffery, podsłuchiwanie

Którą normę stosuje się dla okablowania strukturalnego w sieciach komputerowych?

4. Podstawowa konfiguracja

SZYBKI START MP01. Wersja: V1.0 PL

Sieci komputerowe : zbuduj swoją własną sieć - to naprawdę proste! / Witold Wrotek. wyd. 2. Gliwice, cop Spis treści

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl

OBSŁUGA I KONFIGURACJA SIECI W WINDOWS

The OWASP Foundation Session Management. Sławomir Rozbicki.

Ćwiczenie 5b Sieć komputerowa z wykorzystaniem rutera.

Ćw. I. Środowisko sieciowe, połączenie internetowe, opcje internetowe

z paska narzędzi lub z polecenia Capture

Protokoły sieciowe - TCP/IP

Sprawozdanie nr 4. Ewa Wojtanowska

ARP Address Resolution Protocol (RFC 826)

Zadanie 6. Ile par przewodów jest przeznaczonych w standardzie 100Base-TX do transmisji danych w obu kierunkach?

Rodzaje, budowa i funkcje urządzeń sieciowych

PBS. Wykład Zabezpieczenie przełączników i dostępu do sieci LAN

Obsługa poczty elektronicznej w domenie emeritus.ue.poznan.pl

Ćwiczenie 5a Sieć komputerowa z wykorzystaniem rutera.

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat protokołu http.

Kancelaria Prawna.WEB - POMOC

WINDOWS Instalacja serwera WWW na systemie Windows XP, 7, 8.

Laboratorium - Używanie programu Wireshark do obserwacji mechanizmu uzgodnienia trójetapowego TCP

SIECI KOMPUTEROWE. Dariusz CHAŁADYNIAK Józef WACNIK

Router programowy z firewallem oparty o iptables

SIECI KOMPUTEROWE. Podstawowe wiadomości

Autorytatywne serwery DNS w technologii Anycast + IPv6 DNS NOVA. Dlaczego DNS jest tak ważny?

Zadanie z lokalnych sieci komputerowych. 1. Cel zajęć

TCP/IP. Warstwa aplikacji. mgr inż. Krzysztof Szałajko

Sieci komputerowe - administracja

Wireshark analizator ruchu sieciowego

Instrukcja konfiguracji funkcji skanowania

OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

ZiMSK. VLAN, trunk, intervlan-routing 1

Konfiguracja programu pocztowego dla kont w domenie spcsk.pl

Zadania z sieci Rozwiązanie

MASKI SIECIOWE W IPv4

9. Internet. Konfiguracja połączenia z Internetem

Kierunek: technik informatyk 312[01] Semestr: II Przedmiot: Urządzenia techniki komputerowej Nauczyciel: Mirosław Ruciński

Projekt LAN. Temat: Skaner bezpieczeństwa LAN w warstwie 2. Prowadzący: dr inż. Krzysztof Szczypiorski Studenci: Kończyński Marcin Szaga Paweł

Windows W celu dostępu do i konfiguracji firewall idź do Panelu sterowania -> System i zabezpieczenia -> Zapora systemu Windows.

NSA GB HDD. Skrócona instrukcja obsługi. 1-wnękowy serwer mediów. Domyślne dane logowania. Adres WWW: nsa310 Hasło: 1234

Konfiguracja własnego routera LAN/WLAN

INSTRUKCJA OBSŁUGI Program konfiguracji sieciowej Net configuration Drukarka A11

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

Protokół HTTP (2) I) Wprowadzenie. II) Użyte narzędzia: III) Kolejność działań

Przyczyny awarii systemów IT

Bezpieczeństwo usług oraz informacje o certyfikatach

Podstawy bezpieczeństwa

Seria wielofunkcyjnych serwerów sieciowych USB

Konfiguracja podglądu obrazu z kamery IP / rejestratora BCS przez sieć LAN.

DOSTĘP ZDALNY PRZEZ DDNS

Przekierowanie portów w routerze TP-LINK na przykładzie kamery Kenik. Po co wykonujemy przekierowanie portów? Spójrzmy na rysunek poniżej:

Przekierowanie portów w routerze TP-LINK na przykładzie kamery Kenik. Po co wykonujemy przekierowanie portów? Spójrzmy na rysunek

instrukcja instalacji modemu SpeedTouch 605s

IP: Maska podsieci: IP: Maska podsieci: Brama domyślna:

FAQ Systemu EKOS. 1. Jakie są wymagania techniczne dla stanowiska wprowadzania ocen?

Laboratorium Sieci Komputerowych - 2

Uwagi dla użytkowników sieci bezprzewodowej

INSTRUKCJA KONFIGURACJI KLIENTA POCZTOWEGO

ZAKŁADANIE POCZTY ELEKTRONICZNEJ - na przykładzie serwisu

Połączenia. Obsługiwane systemy operacyjne. Strona 1 z 5

System Kancelaris. Zdalny dostęp do danych

Rok szkolny 2015/16 Sylwester Gieszczyk. Wymagania edukacyjne w technikum

INSTRUKCJA PODŁĄCZENIA KAMERY IP SERII LV VSS

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

proxy.cmkp.edu.pl: Uruchom przeglądarkę 2. Przycisk Menu (po prawej stronie okna), następnie pozycja Ustawienia

opracował : inż. Marcin Zajdowski 1

Przesyłania danych przez protokół TCP/IP

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

Podstawy Informatyki. Inżynieria Ciepła, I rok. Wykład 13 Topologie sieci i urządzenia

Robaki sieciowe. + systemy IDS/IPS

ZyXEL NBG-415N. Bezprzewodowy router szerokopasmowy n. Skrócona instrukcja obsługi. Wersja /2006 Edycja 1

Zadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation).

Wykład 3 Sniffing cz. 3. OBRONA przed sniffingiem

ZiMSK NAT, PAT, ACL 1

Temat: Sieci komputerowe.

Transkrypt:

Zagrożenia bezpieczeństwa danych w lokalnych sieciach komputerowych ataki i metody obrony Sebastian Mazur Studenckie Koło Naukowe Informatyki InteleKKt, Wydział Techniczny, Karkonoska Państwowa Szkoła Wyższa w Jeleniej Górze, ul. Lwówecka 18, www.intelekkt.kk.jgora.pl, e-mail: winc4@o2.pl. Streszczenie. Dane użytkowników lokalnych sieci komputerowych narażone są na utratę poufności, a ich głównym zagrożeniem jest sniffing, polegający na przechwytywaniu i analizowaniu danych przepływających w sieci za pomocą przysposobionych do tego programów snifferów. Programy te z założenia służą administratorom jako narzędzia diagnostyczne, jednak są też wykorzystywane do kradzieży prywatnych danych. Ponieważ przechwytywane przez nie informacje nie są w żaden sposób modyfikowane, sniffery są bardzo trudne do wykrycia. W referacie podkreślono wysokie zagrożenie bezpieczeństwa danych w sieciach lokalnych, a także omówiono rodzaje sniffingu, najczęściej wykorzystywane techniki ataków oraz metody obrony przed nimi. 1. Wprowadzenie Większość użytkowników lokalnych sieci, korzystając z dobrodziejstw Internetu, nie zdaje sobie sprawy z zagrożenia danych, które na co dzień wymieniają z innymi osobami za pomocą swoich komputerów. Przechwytywanie i analiza ruchu w sieci (ang. sniffing) jest w stanie dostarczyć wielu poufnych informacji, które mogą zostać wykorzystane do kradzieży kont bankowych, pocztowych lub dających dostęp do serwisów społecznościowych [1,2]. Trudny do wykrycia przez zwykłych użytkowników sieci sniffing stanowi bardzo niebezpieczną broń w rękach intruza, który do swojej dyspozycji ma szereg ogólnodostępnych narzędzi wspomagających przechwytywanie danych w sieciach, zarówno kablowych, jak i bezprzewodowych. W niniejszym referacie omówiono zagrożenia danych w lokalnych sieciach komputerowych, wynikające z możliwości zastosowania specjalnych programów przechwytujących pakiety informacji przesyłanych przez użytkowników w sieciach LAN oraz WLAN. W rozdziale drugim scharakteryzowany jest sniffing pasywny oraz narzędzia przeznaczone do analizowania ruchu w sieci oraz do bardziej zaawansowanych technik przechwytywania poufnych danych. Rozdział trzeci zawiera opis sniffingu aktywnego i opartych na nim, najczęściej wykorzystywanych technik ataków. W czwartym rozdziale opisano sposoby obrony przed sniffingiem. 2. Sniffing pasywny Sniffing pasywny charakteryzuje się tym, że jest niemal niemożliwy do wykrycia, ponieważ polega on jedynie na nasłuchiwaniu danych przepływających w całej sieci, bez ingerowania w odbierane pakiety [1,2]. W sieciach LAN opartych na koncentratorach (ang. hub) sniffing możliwy jest po ustawieniu karty sieciowej w tryb mieszany (ang. promiscuous), dzięki czemu odbierać będzie ona cały ruch sieciowy, a nie tylko ten adresowany do niej, oraz po zmodyfikowaniu kilku procesów (w systemie opartym na jądrze Linux) w celu ustalenia przekierowywania i przekazywania pakietów w sieci. W przypadku sieci bezprzewodowych procedura jest podobna, aczkolwiek aby karta sieciowa przechwytywała cały ruch sieciowy, należy przełączyć ją w tryb monitorowania (ang. monitor mode), co pozwala na odbieranie wszystkich dostępnych ramek wokół odbiornika. Sniffing pasywny możliwy jest w sieciach LAN opartych o koncentratory, ponieważ działają one w pierwszej warstwie modelu ISO/OSI (warstwie fizycznej) i przesyłają sygnał z jednego portu na wszystkie pozostałe, nie analizują ani adresu IP, ani też adresu MAC. Prowadzenie podsłuchu pasywnego jest również możliwe w sieciach bezprzewodowych, ponieważ wszystkie dane

przesyłane są w eterze. Głównie narażone są niezabezpieczone sieci WiFi oraz te zabezpieczone kluczem WEP, który można złamać w ciągu kilku minut. Programy do analizowania ruchu w sieciach tzw. sniffery są darmowe i powszechnie dostępne w sieci Internet. Do najpopularniejszych należą: tcpdump udostępnia przechwytywanie i zapisywanie pakietów; Ettercap potężny sniffer do przechwytywania i analizowania ruchu oraz do wykonywania zaawansowanych ataków; Wireshark zaawansowane narzędzie do przechwytywania i zapisywania danych krążących po sieci; Snort wykorzystywany przez administratorów sieci; posiada szeroki zakres mechanizmów detekcji włamań; dsniff pakiet zaawansowanych narzędzi do przechwytywania danych i wykonywania ataków. Rys. 1. Przechwycony login i hasło użytkownika logującego się do poczty w serwisie O2 z wyłączonym połączeniem SSL. Większość danych przesyłanych w sieci jest przesyłana w postaci jawnego tekstu, łatwego do przechwycenia przez intruza nasłuchującego pasywnie. Informacje, jakie mogą go interesować, zestawione są poniżej. Nazwy kont i hasła (Rys. 1) narażone są tu serwisy i programy niekorzystające z szyfrowanego połączenia opartego na protokole SSL. Szczególnie narażone są programy klienckie FTP i pocztowe, korzystające z niezaszyfrowanego połączenia poprzez protokół POP3. Dopiero od niedawna szyfrowane połączenie wykorzystują popularne serwisy społecznościowe, takie jak Facebook i Nasza Klasa. Wcześniej informacje o logowaniu przesyłane były jawnym tekstem. Serwisy Facebook i Nasza Klasa szyfrują połączenie podczas logowania, więc nazwy kont i hasła nie przesyłane są jawnie. Jednak po zalogowaniu serwisy te nie podtrzymują zaszyfrowanego połączenia, narażone zatem pozostają dane plików cookie. Adresy MAC oraz IP, które mogą być wykorzystane do podszycia się pod hosta, np. w zabezpieczonej sieci bezprzewodowej, gdzie filtrowane są adresy fizyczne MAC (Rys. 2).

Komunikaty oraz kontakty przesyłane przez komunikatory typu Gadu-Gadu, Windows Live Messenger. Dopiero od wersji 10 Gadu-Gadu wprowadziło szyfrowanie SSL (Rys. 3). Identyfikatory sesji wykorzystywane do ataku session hijacking, podczas którego atakujący przejmuje konto ofiary (Rys. 4). Adresy odwiedzonych stron internetowych. Treści odwiedzonych stron internetowych. Rys. 2. Adres IP oraz adres MAC użytkownika w sieci przechwycone za pomocą programu Wireshark. Rys. 3. Przechwycona rozmowa oraz opisy kontaktów w komunikatorze Kadu.

Rys. 4. Przechwycony identyfikator sesji użytkownika zalogowanego do serwisu Jango. Firesheep jest wtyczką do przeglądarki Mozilla Firefox, dzięki której możliwe jest przejęcie danych konta użytkownika wielu popularnych serwisów internetowych, między innymi: Facebook, Twitter, Windows Live oraz Google [4]. Wtyczka wykorzystuje sniffing pasywny i możliwy dzięki temu dostęp do identyfikatorów sesyjnych. Twórca wtyczki Eric Butler napisał ją, aby udowodnić, jak słabo zabezpieczone są dane sesji logowania oraz jak bezużyteczne jest stosowanie szyfrowanego połączenia wyłącznie podczas fazy logowania. Na Rys. 5 widać, że obsługa wtyczki jest banalnie prosta i nie wymaga żadnej technicznej wiedzy oraz dodatkowych snifferów. Jedyne co musi zrobić intruz, to włączyć przechwytywanie i czekać, aż w okienku pojawią się przechwycone konta użytkowników tej samej sieci. Następnie, po wybraniu któregoś z takich kont zostanie on zalogowany z uprawnienia danego użytkownika. Rys. 5. Interfejs wtyczki Firesheep (źródło: [4]).

3. Sniffing aktywny Sieci LAN oparte o przełączniki (ang. switch) są odporne na sniffing pasywny, dzięki temu, że przełączniki pracują w drugiej warstwie modelu ISO/OSI i filtrują one pakiety względem adresów przeznaczenia. Zatem wszystkie pakiety krążące w sieci nie są widoczne dla wszystkich, a jedynie dla ich adresatów. Jednak z pomocą intruzowi przychodzi wówczas sniffing aktywny [1,2] i jego główna broń atak typu Man in the Middle (MITM). Atak ten, jak sama nazwa wskazuje, stawia intruza pośrodku, a więc między dwiema stronami połączenia. W omawianych sieciach lokalnych są to użytkownik i lokalna brama sieciowa (ang. gateway), do której skierowane są bezpośrednio pakiety wysyłane od i do użytkownika. W tej metodzie intruz nie tylko może przechwytywać pakiety, ale także je modyfikować, co pozwala nawet na rozszyfrowanie teoretycznie bezpiecznych protokołów SSH i SSL. Główne techniki tego ataku to: MAC spoofing, MAC flooding, ARP spoofing, DNS spoofing. MAC spoofing Technika ta jest wykorzystywana w sieciach LAN opartych o przełączniki, które przechowują dynamicznie w tablicy CAM adresy MAC hostów i porty, do których są podłączone. Atak polega na zmianie adresu MAC intruza na adres MAC ofiary. Intruz chcąc się podszyć pod ofiarę, wysyła pakiet sieci Ethernet, w którym jako nadawcę podaje adres MAC ofiary, natomiast jako adresata swój adres MAC. Przełącznik odbierze taki pakiet i zaktualizuje tablicę CAM, w której do jednego portu przypisane zostaną komputery ofiary i intruza. Jest to rzadko wykorzystywana technika ze względu na to, że intruz musiałby ciągle wysyłać zmodyfikowane pakiety i być szybszy od ofiary, jeśli zatem nie nadążałby ze zmienianiem pakietów, przechwytywałby tylko częściowe dane. Skuteczność tej metody jest ograniczona również przez to, że nie może ona oszukać nowoczesnych przełączników, w których dane tablicy CAM zapisywane są statycznie. MAC flooding Wspomniana wcześniej tablica CAM ma ograniczoną wielkość i kiedy ona się przepełni, przełącznik nie będzie miał już gdzie zapisywać następnych odwzorowań, więc zacznie działać jak zwykły koncentrator, wysyłając pakiety na wszystkie porty, dzięki czemu taki przełącznik podatny będzie na sniffing pasywny. Aby przepełnić tablicę CAM, intruz musi wysłać mnóstwo pakietów z różnymi adresami źródłowymi. Może posłużyć się narzędziem Macof z pakietu dsniff, które potrafi wygenerować 155 tysięcy adresów MAC na minutę. ARP spoofing Jest to najefektywniejsza technika, w której atakowany jest bezpośrednio komputer ofiary oraz brama. Atak wykorzystuje protokół ARP (ang. adress resolution protocol), a dokładniej tablicę ARP, która przechowuje dynamicznie w pamięci podręcznej systemu operacyjnego odwzorowania adresów MAC i przypisanych do nich adresów IP w lokalnej sieci. Podczas połączenia użytkownika z bramą, jego komputer wysyła do wszystkich komputerów w sieci żądanie ARP-Request, w którym przedstawia swój adres IP i adres MAC, oraz żąda adresu MAC bramy. Brama wysyła odpowiedź ARP-Reply, informując o swoim adresie MAC, a komputer użytkownika zapisuje w tablicy ARP odpowiednie odwzorowanie.

Aby móc przechwytywać dane przepływające od ofiary do bramy, intruz rozgłasza sfałszowane odpowiedzi ARP-Reply, podając swój adres MAC przypisany do adresu IP bramy. Analogicznie w drugą stronę aby przechwytywać dane przypływające od bramy do użytkownika, intruz wysyła sfałszowane odpowiedzi, podając swój adres MAC przypisany do adresu IP ofiary. Na Rys. 6 przedstawiono działanie narzędzia Arpspoof, należącego do pakietu dsniff, na którym widać proces ciągłego rozgłaszania sfałszowanej odpowiedzi ARP-Reply, przypisującej adres sprzętowy MAC intruza do adresu IP bramy. Rys. 6. Działanie programu Arpspoof. Kolejnym krokiem intruza jest uruchomienie sniffera i przechwytywanie pakietów. Przewagą tego ataku jest możliwość modyfikacji odbieranych pakietów i przekazywaniu ich dalej do ofiary, dzięki czemu możliwe jest rozszyfrowanie danych w połączeniach wykorzystujących protokół SSL. Wykorzystuje się do tego celu program SSLStrip (autorstwa Moxiego Marlinspike a), który w bezpiecznych połączeniach pełni funkcję pośrednika proxy, co w praktyce wygląda tak, że zmienia on bezpieczne połączenie protokołem HTTPS na protokół nieszyfrowany HTTP, a sam zachowuje połączenie szyfrowane [3]. W efekcie ofiara, myśląc, że używa bezpiecznego połączenia HTTPS, używa tak naprawdę zwykłego połączenia poprzez protokół HTTP, co wykorzystuje intruz do przechwycenia danych ofiary. Należy dodać, że większość użytkowników komputera nie zwraca uwagi na to, czy w pasku URL widnieje HTTPS, czy HTTP. Rys. 8 i Rys. 9 przedstawiają etap logowania do systemu Moodle i widoczne połączenie nieszyfrowane poprzez protokół HTTP. Natomiast na Rys. 10 widać nazwę konta i hasło przechwycone za pomocą programu SSLStrip.

Rys. 8. Działanie programu SSLStrip zmieniającego połączenie szyfrowane na nieszyfrowane. Rys. 9. Działanie programu SSLStrip ofiara wpisuje nazwę konta i hasło. Rys. 10. Przechwycona nazwa konta i hasło ze strony pierwotnie wykorzystującej szyfrowane połączenie. DNS spoofing Technika DNS spoofing polega na podsłuchiwaniu zapytań ofiary do serwera nazw DNS i wysyłaniu własnych spreparowanych pakietów, zanim ofiara otrzyma je z właściwego serwera nazw. W praktyce wygląda to w ten sposób, że intruz najpierw wykorzystuje atak ARP spoofing, aby móc przechwytywać i modyfikować pakiety, a następnie tworzy listę domen, które będą przekierowywane i przypisuje im adres IP serwera, na który ma nastąpić przekierowanie. Listy te są przykładowo konfigurowane w takich narzędziach, jak Ettercap, czy dnsspoof z pakietu dsniff,

i wystarczy je edytować, wpisując domeny i adresy serwerów. Wykorzystując jedno z powyższych narzędzi, intruz może przekierować ofiarę na własny serwer lokalny, na którym spreparował np. stronę logowania do poczty elektronicznej lub banku. Może również przekierować pożądaną domenę na dowolny zewnętrzny serwer. Rys. 11 ilustruje udany atak przy użyciu programu Ettercap, którego efektem jest przekierowanie strony www.microsoft.com na adres www.ubuntu.pl. Rys. 11. Udany atak DNS spoofing użytkownikowi, który wywołał stronę http://microsoft.com, wyświetlana jest inna strona www.ubuntu.pl. Jak widać na rysunku, w pasku URL pozostał adres wpisany przez ofiarę, co powoduje, że taki atak jest bardzo trudny do wykrycia przez zwykłego użytkownika, jeśli tylko intruz odpowiednio spreparuję pożądaną witrynę. Zadanie to wcale nie jest trudne, gdyż w Internecie znajduje się wiele programów do zapisywania witryn WWW na własny dysk. Przykładem takiego narzędzia jest dodatek do przeglądarki Mozilla Firefox o nazwie Scrapbook. 4. Obrona przed sniffingiem Obrona przed sniffingiem nie jest rzeczą łatwą, gdyż podsłuch działa pasywnie, zbierając informacje przesyłane w sieci. Odpowiednio skonfigurowany sniffer staje się niemal niemożliwy do wykrycia. Najgorzej wypadają sieci bezprzewodowe, ponieważ dane krążą w nich jako fale radiowe. Środkiem zabezpieczającym jest w nich autoryzacja dostępu oraz szyfrowanie. Nie należy pozostawiać niezabezpieczonej sieci bezprzewodowej, ponieważ dane przesyłane są w niej w sposób jawny i błędem również jest myślenie, że wokół mojego domu nie ma nikogo, kto chciałby mnie podsłuchiwać. W powszechnej sprzedaży są mobilne zestawy do odbioru Internetu, które mocuje się na dachu samochodu. Pozwalają one wyłapać stacje oddalone nawet o kilka kilometrów. Należy się też wystrzegać szyfrowania kluczem WEP (ang. wired equivalent privacy), który można złamać w kilka minut. Trzeba też pamiętać, że nawet do zaszyfrowanej sieci dostęp może mieć kilku autoryzowanych użytkowników, którzy mogą podsłuchiwać swoich sąsiadów.

W sieciach LAN dużą rolę odgrywają urządzenia sieciowe: przełączniki i koncentratory. Należy pamiętać, że koncentratory nie sprawdzają danych pod względem adresowania, więc do podsłuchu wystarczy przełączenie karty sieciowej w tryb mieszany (ang. promiscuous). Wybierając przełączniki (ang. switch) zamiast koncentratorów, powinno się zadbać o wybór urządzenia, które wykorzystuje statyczną tablicę CAM. Przełączniki przekazują dane tylko do tego portu, do którego podłączony jest host będący adresatem pakietów. Przełączniki są więc bezpieczniejsze od routerów, które wysyłają pakiety do wszystkich podłączonych kart sieciowych, co sprawia, że są one podatne na podsłuch. Dlatego też lepiej unikać routerów przy konfigurowaniu małych sieci domowych. Intruz może podsłuchiwać komputery z własnego segmentu sieci, więc im więcej segmentów, tym mniejsza ilość danych podatnych na podsłuch. Dużą rolę w kwestii bezpieczeństwa danych w lokalnych sieciach komputerowych odgrywa administrator sieci, który powinien monitorować stan sieci i odpowiednio reagować w przypadkach wykrycia sniffingu. Istnieją specjalne narzędzia z rodziny systemów wykrywania i zapobiegania włamaniom IDS (ang. Intrusion prevention and Detection System), które bogate są w mechanizmy detekcji różnych ataków na sieć w czasie rzeczywistym. Najpopularniejszym systemem tej klasy jest Snort, który dostępny jest za darmo na stronie projektu http://www.snort.org. Niestety, praktyka wskazuje, że w większości przypadków na administratora sieci nie można liczyć i zwykły użytkownik musi radzić sobie sam. Jednym ze sposobów obrony przed atakiem typu ARP spoofing jest ustawienie na własnym komputerze statycznej tablicy ARP dla bramy. W systemie Linux oraz MS Windows XP wykonuje się to poleceniem: arp -s <ip_bramy> <mac_bramy>. Natomiast w systemach MS Windows Vista i MS Windows 7 są to polecenia: netsh -c "interface ipv4", set neighbors "Connection_name" "ip_bramy" "mac_bramy". Powyższa metoda działa tylko w jedną stronę od użytkownika do bramy i nie gwarantuje bezpieczeństwa danych przesłanych od bramy do użytkownika. Zwiększyć bezpieczeństwo mogą niektóre zapory sieciowe (ang. firewall) potrafiące chronić komputer użytkownika przed nieodpowiednimi zmianami w tablicy ARP oraz atakami typu MAC flooding, MAC spoofing czy ARP spoofing. Jednym z darmowych programów posiadających taką funkcjonalność jest Comodo Firewall (www.comodo.com). Należy także z rozsądkiem korzystać z publicznych sieci bezprzewodowych i mieć na uwadze, to że sieci takie są mocno narażone na podsłuch, przez co logowanie się na konta bankowe, czy pocztowe niesie za sobą wysokie ryzyko przechwycenia nazwy konta i hasła. Również osiedlowe sieci oferujące dostęp do Internetu stanowią zagrożenie dla bezpieczeństwa danych, ponieważ dzielą się na segmenty, do których podłączona jest zazwyczaj spora liczba hostów. Sposobem na poprawienie bezpieczeństwa w takich sieciach jest dodatkowa segmentacja polegająca na dołączeniu do danej sieci dodatkowego przełącznika lub routera. Podczas łączenia się z bankami i innymi serwisami, gdzie dochodzi do uwierzytelniania użytkownika, należy przyglądać się, czy połączenie jest szyfrowane protokołem SSL. Bardziej zaawansowani użytkownicy w swoich sieciach mogą posłużyć się bezpieczniejszą komunikacją typu VNP (ang. Virtual Private Network).

5. Podsumowanie W referacie zdefiniowano istotę zagrożenia danych w lokalnych sieciach komputerowych, przez zastosowanie sniffingu i opracowanych do tego celu narzędzi. Wskazane zostały typy danych, które mogą interesować intruza oraz bezużyteczność stosowania szyfrowania SSL wyłącznie podczas fazy logowania, ponieważ nadal można przechwycić identyfikator sesji logowania. Na bezpieczeństwo mają wpływ urządzenia sieciowe, wśród których najsłabiej wypadają koncentratory. Natomiast nawet przy zastosowaniu lepszych urządzeń, takich jak przełączniki, istnieją bardziej zaawansowane techniki ataków, w których bezpieczne połączenie oparte na protokole HTTPS zostaje zamienione na protokół HTTP i tylko niewielka liczba użytkowników jest w stanie zauważyć tę różnicę. Sniffing teoretycznie jest niewykrywalny, gdyż działa pasywnie, przez co jest bardzo niebezpieczną bronią w rękach intruza. W celu zabezpieczenia prywatności danych należy unikać korzystania z bankowości elektronicznej i innych tego typu serwisów w publicznych sieciach bezprzewodowych, w których wrażliwe dane są szczególnie narażone na podsłuch. Nie należy również pozostawiać niezabezpieczonych sieci bezprzewodowych oraz stosować zabezpieczeń opartych na kluczu WEP. Aby zwiększyć bezpieczeństwo prywatności można zastosować systemy typu IDS oraz zapory sieciowe posiadające funkcję ochrony tablicy ARP. Literatura 1. Graves K., Official certified ethical hacker review guide, Wiley Publishing, 2007. 2. Gregg M., Hack the stack: using snort and ethereal to master the 8 layers of an insecure network, Syngress Publishing, 2006. 3. Hackin9, magazyn, nr 10, 2009. 4. Sosnowska J., Firesheep wtyczna do Firefoksa umożliwiająca włamanie na większość kont, http://technologie.gazeta.pl/internet/1,104530,8569472,firesheep wtyczka_do_ Firefoksa_umozliwiajaca_wlamanie.html (dokument dostępny 11 maja 2011 r.).

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres