Podsłuchiwanie protokołów Ethernet i TCP/IP



Podobne dokumenty
MODEL WARSTWOWY PROTOKOŁY TCP/IP

Metody zabezpieczania transmisji w sieci Ethernet

PBS. Wykład Zabezpieczenie przełączników i dostępu do sieci LAN

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

ZiMSK. VLAN, trunk, intervlan-routing 1

Przesyłania danych przez protokół TCP/IP

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

Protokoły sieciowe - TCP/IP

Problemy z bezpieczeństwem w sieci lokalnej

ARP Address Resolution Protocol (RFC 826)

Podstawy Informatyki. Inżynieria Ciepła, I rok. Wykład 13 Topologie sieci i urządzenia

Akademickie Centrum Informatyki PS. Wydział Informatyki PS

dostępu do okręslonej usługi odbywa się na podstawie tego adresu dostaniemu inie uprawniony dostep

Zagrożenia warstwy drugiej modelu OSI - metody zabezpieczania i przeciwdziałania Autor: Miłosz Tomaszewski Opiekun: Dr inż. Łukasz Sturgulewski

Laboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark

Sieci komputerowe : zbuduj swoją własną sieć - to naprawdę proste! / Witold Wrotek. wyd. 2. Gliwice, cop Spis treści

z paska narzędzi lub z polecenia Capture

Uwaga: NIE korzystaj z portów USB oraz PWR jednocześnie. Może to trwale uszkodzić urządzenie ZyWALL.

Zadania z sieci Rozwiązanie

Sieci Komputerowe. Wykład 1: TCP/IP i adresowanie w sieci Internet

BEZPIECZEŃSTWO W SIECIACH

Sieci komputerowe. Zajęcia 2 Warstwa łącza, sprzęt i topologie sieci Ethernet

Zadanie z lokalnych sieci komputerowych. 1. Cel zajęć

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

Zaawansowana konfiguracja przełącznika TP-Link TL-SG3224

Metody ataków sieciowych

Urządzenia sieciowe. Część 1: Repeater, Hub, Switch. mgr inż. Krzysztof Szałajko

Laboratorium - Używanie wiersza poleceń systemu IOS do obsługi tablic adresów MAC w przełączniku

Windows W celu dostępu do i konfiguracji firewall idź do Panelu sterowania -> System i zabezpieczenia -> Zapora systemu Windows.

Problemy z bezpieczeństwem w sieci lokalnej

Urządzenia sieciowe. Tutorial 1 Topologie sieci. Definicja sieci i rodzaje topologii

ZAKŁAD SYSTEMÓW ROZPROSZONYCH. Politechnika Rzeszowska BEZPIECZEŃSTWO I OCHRONA INFORAMCJI

Plan wykładu. 1. Sieć komputerowa 2. Rodzaje sieci 3. Topologie sieci 4. Karta sieciowa 5. Protokoły używane w sieciach LAN 6.

Podstawy sieci komputerowych. Technologia Informacyjna Lekcja 19

Pytanie 1 Z jakich protokołów korzysta usługa WWW? (Wybierz prawidłowe odpowiedzi)

Przekierowanie portów w routerze - podstawy

ZiMSK. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2012) 1

Konfigurowanie sieci VLAN

Konfiguracja podglądu obrazu z kamery IP / rejestratora BCS przez sieć LAN.

router wielu sieci pakietów

Telnet. Telnet jest najstarszą i najbardziej elementarną usługą internetową.

Kod produktu: MP-W7100A-RS485

Sieci komputerowe. Zadania warstwy łącza danych. Ramka Ethernet. Adresacja Ethernet

Protokoły zdalnego logowania Telnet i SSH

Seria wielofunkcyjnych serwerów sieciowych USB

Protokół ARP Datagram IP

Laboratorium - Używanie programu Wireshark do obserwacji mechanizmu uzgodnienia trójetapowego TCP

Marek Parfieniuk, Tomasz Łukaszuk, Tomasz Grześ. Symulator zawodnej sieci IP do badania aplikacji multimedialnych i peer-to-peer

Stos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol)

Sieci komputerowe. Wykład 3: Protokół IP. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski. Sieci komputerowe (II UWr) Wykład 3 1 / 25

Paweł Pokrywka. Radar w Ethernecie. Lokalizowanie hostów w sieci LAN

Skąd dostać adres? Metody uzyskiwania adresów IP. Statycznie RARP. Część sieciowa. Część hosta

Sieci komputerowe. Dr inż. Robert Banasiak. Sieci Komputerowe 2010/2011 Studia niestacjonarne

Zarządzanie infrastrukturą sieciową Modele funkcjonowania sieci

Sieci komputerowe - administracja

Dodawanie kamer w rejestratorach z PoE

ZiMSK. mgr inż. Artur Sierszeń mgr inż. Łukasz Sturgulewski ZiMSK 1

INSTRUKCJA OBSŁUGI SUPLEMENT

SIECI KOMPUTEROWE I TECHNOLOGIE INTERNETOWE

SIECI KOMPUTEROWE. Dariusz CHAŁADYNIAK Józef WACNIK

Mosty przełączniki. zasady pracy pętle mostowe STP. Domeny kolizyjne, a rozgłoszeniowe

Laboratorium sieci komputerowych

Kod produktu: MP-W7100A-RS232

Laboratorium Badanie topologii i budowa małej sieci

5R]G]LDï %LEOLRJUDğD Skorowidz

Enkapsulacja RARP DANE TYP PREAMBUŁA SFD ADRES DOCELOWY ADRES ŹRÓDŁOWY TYP SUMA KONTROLNA 2 B 2 B 1 B 1 B 2 B N B N B N B N B Typ: 0x0835 Ramka RARP T

Seria wielofunkcyjnych serwerów sieciowych USB

Podstawy Transmisji Danych. Wykład IV. Protokół IPV4. Sieci WAN to połączenia pomiędzy sieciami LAN

PODSŁUCH W SIECIACH ETHERNET SSL PRZECIWDZIAŁANIE PODSŁUCHOWI

Instrukcja instalacji Control Expert 3.0

Sieci Komputerowe Modele warstwowe sieci

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

Którą normę stosuje się dla okablowania strukturalnego w sieciach komputerowych?

4. Podstawowa konfiguracja

ZyXEL NBG-415N. Bezprzewodowy router szerokopasmowy n. Skrócona instrukcja obsługi. Wersja /2006 Edycja 1

Wireshark analizator ruchu sieciowego

Dr Michał Tanaś(

Uniwersalny Konwerter Protokołów

Instrukcja obsługi. Grand IP Camera III. Kamera IP do monitoringu

Kurs Ethernet przemysłowy konfiguracja i diagnostyka. Spis treści. Dzień 1/2

Zadanie 6. Ile par przewodów jest przeznaczonych w standardzie 100Base-TX do transmisji danych w obu kierunkach?

Dla przykładu, w instrukcji tej wykorzystano model TL-WA701ND.

Tomasz Greszata - Koszalin

Edge-Core Networks Przełączniki WebSmart: Podręcznik Administratora

Plan realizacji kursu

MODUŁ: SIECI KOMPUTEROWE. Dariusz CHAŁADYNIAK Józef WACNIK

Rodzaje, budowa i funkcje urządzeń sieciowych

QuickStart TechBase S.A. Technical contact - support.techbase.eu 1/8

PBS. Wykład Organizacja zajęć. 2. Podstawy obsługi urządzeń wykorzystywanych podczas laboratorium.

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

Telefonia Internetowa VoIP

Dr Michał Tanaś(

Paweł Pokrywka, Ispara.pl. multispoof: Zaawansowany mac spoofing w sieciach lokalnych

Urządzenie TL-WA7510N jest przeznaczone do połączeń point-to-point na daleką odległość. Umożliwia zdalne udostępnianie Internetu.

Sieci komputerowe. Wykład dla studentów Informatyki Stosowanej i Fizyki Komputerowej UJ 2007/2008. Michał Cieśla

Switching czyli przełączanie. Sieci komputerowe Switching. Wstęp. Wstęp. Bridge HUB. Co to jest? Po co nam switching? Czym go zrealizować?

Tytuł: Instrukcja obsługi Modułu Komunikacji internetowej MKi-sm TK / 3001 / 016 / 002. Wersja wykonania : wersja oprogramowania v.1.

VLAN. VLAN (ang. Virtual Local Area Network) - sieć komputerowa wydzielona logicznie w ramach innej, większej sieci fizycznej

Problemy techniczne SQL Server

Serwer druku w Windows Server

Transkrypt:

12 System zabezpieczeń jest tak silny, jak silne jest jego najsłabsze ogniwo. Taką sentencję możemy często usłyszeć z ust informatyków zajmujących się bezpieczeństwem systemów informatycznych i często przeczytać na łamach Twierdzy. Jest ona prawdziwa dla wszelkiego rodzaju systemów zabezpieczeń. Transmisja danych w lokalnych przewodowych sieciach komputerowych (cz. II) Podsłuchiwanie protokołów Ethernet i TCP/IP Tomasz Polus (tpolus@polvision.com.pl) Istnieje sporo możliwości nadużycia technologii Ethernet i TCP/IP, spowodowanych między innymi bagatelizowaniem aspektów bezpieczeństwa transmisji danych, niedopatrzeniami, które powstały jeszcze na etapie projektowym, błędami w implementacji protokołów w oprogramowaniu urządzeń sieciowych (a przede wszystkim komputerów) i wieloma innymi przyczynami. Istotne jest jednak nie to, skąd wzięły się luki w zabezpieczeniach protokołów, ale to, jakiego rodzaju są to luki i jak zabezpieczać się przed ich wykorzystaniem przez intruzów. Zanim zaczniesz czytać dalej... Tak więc mamy już podstawową wiedzę z zakresu przebiegu transmisji danych w przewodowej sieci komputerowej, czyli znamy zasady funkcjonowania siedmiowarstwowego modelu OSI i wiemy, jak wygląda proces zamiany sygnałów elektrycznych w dane (i vice versa). Czytelnik wie także, że na różnych warstwach modelu OSI działają inne protokoły i są wykorzystywane różne standardy komunikacji sieciowej, na przykład Ethernet, Internet Protocol (IP), Transmission Control Protocol (TCP) czy User Datagram Protocol (UDP). Ważne jest, aby potrafić przy- Celem pierwszej części (patrz: Twierdza nr 5/2004) było zapoznanie Czytelnika z procesami zachodzącymi w urządzeniach sieciowych w trakcie transmisji danych w przewodowej sieci komputerowej, opartej na standardach Ethernet i TCP/IP. Po tej lekturze (i mam nadzieję lekturze materiałów uzupełniających), Czytelnik z pewnością potrafi samodzielnie sprawdzić, czy w danej instalacji do transmisji danych wykorzystano sieć komputerową, a jeśli tak, to określić jej topologię, ustalić podstawowe parametry zastosowanych urządzeń sieciowych i okablowania. Opierając się na powszechnych standardach, nie powinno stanowić problemu również określenie innych parametrów, takich jak przepustowość sieci w różnych jej punktach. Rys. 1. Rzędy nic nieznaczących cyferek, czy podsłuchany fragment pisemnej konwersacji?

13 najmniej ogólnie określić zastosowanie i właściwości tych protokołów, a także wiedzieć, co to jest ramka i pakiet. Dlaczego technologia Ethernet umożliwia podsłuchiwanie transmisji? Technologia Ethernet została stworzona w taki sposób, że urządzenie do niej podłączone może odbierać ruch generowany w sieci przez wszystkie pozostałe urządzenia. Z tego powodu każde urządzenie oparte na standardzie Ethernet ma filtr odrzucający ruch sieciowy, który nie jest przeznaczony dla niego. Takie zabezpieczenie niestety nie wystarcza dostępnych jest wiele programów, które wyłączają ten filtr poprzez przełączenie interfejsu sieciowego w tzw. tryb promiscuous, co powoduje, że urządzenie sieciowe zaczyna odbierać ramki przeznaczone dla innych urządzeń, czyli... podsłuchiwać. Ramka, która trafi do interfejsu sieciowego i przejdzie wspomniany filtr, zostaje zdekodowana i przekazana do wyższych warstw modelu OSI. Programy włączające tryb promiscuous obecnie są już tak rozbudowane, że potrafią w czasie rzeczywistym rejestrować pakiety przesyłane siecią, łączyć je w całość transmisji i dekodować, wyświetlając na ekranie gotowe do odczytania dane. W środowisku informatycznym określa się to mianem sniffingu (ang. sniff wąchać), a urządzenie sieciowe i programy służące do podsłuchiwania nazywa się powszechnie snifferami. Podsłuchaną w ten sposób transmisję (na przykład wideokonferencję, pisemną konwersację prowadzoną za pomocą komputera (rys. 1), czy kody sterujące kamerą) można wykorzystać później do wielu innych celów, które są ograniczone tylko wyobraźnią intruza. Przykładowo, podsłuchanie w sieci komunikatów kontrolnych umożliwi intruzowi poznanie szczegółowych informacji niezbędnych do kontrolowania urządzeń pracujących w sieci. Jak chronić sieć przed podsłuchem? Istnieje wiele sposobów ochrony przed podsłuchiwaniem transmisji przez intruzów, poczynając od zabezpieczeń fizycznych (ochrona fizyczna okablowania i urządzeń sieciowych), poprzez zapobieganie rozgłaszaniu danych do wszystkich R E K L A M A urządzeń w sieci Ethernet, aktywne monitorowanie, wykrywanie i eliminowanie snifferów w sieci, a kończąc na najskuteczniejszej metodzie szyfrowaniu transmisji. Kilka słów o ochronie fizycznej Za jedną z podstawowych zasad konstruowania zabezpieczonych sieci komputerowych uważa się prowadzenie kabli w taki sposób, aby dostęp do nich był znacznie utrudniony, a w wyjątkowych przypadkach prawie niemożliwy. Wynika to z faktu, że potrzeba ingerencji w okablowanie funkcjonującej sieci zdarza się niezwykle rzadko w przypadku fizycznego uszkodzenia kabla. Jeżeli jednak okablowanie zostało położone w taki sposób, że intruz w miarę łatwo może uzyskać do niego dostęp, będzie mógł zastosować mało popularną, ale skuteczną metodę prowadzenia podsłuchu transmisji sieciowej przy wykorzystaniu przelotki (ang. TAP, Test Access Port). Urządzenia te funkcjonują na warstwie pierwszej modelu OSI i umożliwiają intruzowi wpięcie się w kabel, w większości przypadków bez

14 spowodowania długotrwałych strat i spowolnień w przesyłanym strumieniu danych (rys. 2). Profesjonalne przelotki mają wbudowane bufory, aby uniknąć strat w przechwytywaniu danych, a niektóre mogą nawet monitorować ruch w sieci światłowodowej, która uchodzi za niezwykle trudną do podsłuchania. Co ciekawe, przelotki są konstruowane w taki sposób, że jeśli zabraknie prądu, nie przeszkodzi to w przepływie ruchu sieciowego w przewodzie, do którego ją podłączono. Ujawnienie takiego urządzenia zwykle wymaga znalezienia go podłączonego bezpośrednio do kabla, zatem z pewnością warto okresowo prowadzić przeglądy okablowania w monitorowanej sieci. Rys. 2. Typowa przelotka do podsłuchiwania ruchu sieciowego w Ethernecie. Znacznie większe możliwości ma intruz, któremu uda się uzyskać dostęp do urządzeń sieciowych, które rozdzielają ruch w typowej sieci, czyli koncentratory (huby) i przełączniki (switche). W takim przypadku nie musi on ingerować w okablowanie, ponieważ wystarczy, że podłączy się własnym kablem do odpowiedniego portu urządzenia. Profesjonalna ochrona fizyczna okablowania i urządzeń sieciowych wykracza daleko poza ramy tego opracowania, dlatego zdecydowanie zalecam skorzystanie z innych źródeł wiedzy na ten temat, między innymi z artykułów w Twierdzy. Dlaczego nie powinno się stosować hubów Warto zwrócić uwagę na istotne różnice pomiędzy hubami a switchami w zakresie bezpieczeństwa transmisji sieci. Hub jest znacznie prostszym (i zwykle dużo tańszym) urządzeniem, pracującym w pierwszej warstwie modelu OSI, ponieważ potrafi tylko kopiować sygnały elektryczne. Każdy sygnał elektryczny, który hub otrzyma na jednym ze swoich portów, zostaje natychmiast skopiowany na wszystkie pozostałe porty urządzenia. W ten sposób, dane przeznaczone dla jednego urządzenia zostają dostarczone do wszystkich, powodując przy okazji dodatkowe obciążenie sieci. Zatem z punktu widzenia bezpieczeństwa i wydajności sieci, stosowanie hubów jest niedopuszczalne. Switch, jako urządzenie wyższej klasy, funkcjonujące w drugiej warstwie modelu OSI, może wykonywać znacznie bardziej zaawansowane zadania i być zarządzany przez operatora zarówno z konsoli, jak i poprzez sieć. Od momentu uruchomienia switcha, zapamiętuje on wszystkie adresy ethernetowe MAC urządzeń wraz z numerami własnych portów, do których te urządzenia są podłączone. Wszystkie te informacje rejestruje w specjalnej tablicy adresów MAC. Po otrzymaniu sygnałów elektrycznych, switch zamienia je w ramkę ethernetową, z której odczytuje adresy MAC nadawcy i odbiorcy. Dzięki temu może skopiować ramkę tylko na ten port, do którego jest podłączone urządzenieodbiorca. W ten sposób switch zapobiega rozgłaszaniu danych do wszystkich urządzeń w sieci, eliminując jeden z podstawowych problemów z bezpieczeństwem transmisji danych w technologii Ethernet. Przy okazji zmniejsza to obciążenie sieci, a zatem zysk pojawia się również w kwestii wydajności (rys. 3). Nadal jednak intruz ma szansę podłączyć się do sieci własnym kablem do portu na switchu. Warto również wiedzieć, że większość zaawansowanych switchów ma wbudowany specjalny port przeznaczony do monitorowania całego ruchu. Na port ten kopiuje się część lub cały ruch przechodzący przez switch. Jeśli atakującemu uda się uzyskać fizyczny dostęp do switcha, istnieje pewne ryzyko, że zaloguje się do niego (bo niestety większość switchów jest instalowanych z domyślnymi hasłami dostępu) i włączy tę funkcję (tzw. span port) dla siebie, uzyskując możliwość podsłuchiwania całego ruchu, który przechodzi przez switch. Na szczęście, większość nowoczesnych zarządzalnych switchów umożliwia zastosowanie wielu dodatkowych zabezpieczeń, między innymi przypisanie na stałe określonego adresu MAC do portu, wyłączenie nieużywanych Rys. 3. Zasadnicze różnice pomiędzy hubem a switchem. portów i stosowanie tzw. VLAN-ów, czyli wirtualnych podsieci. Pierwsza z funkcji zapewnia, że jeśli intruz podłączy się do portu i będzie mógł wysyłać do switcha sygnały elektryczne, to nie będzie mógł się z nim porozumiewać w warstwie drugiej, ponieważ jego MAC będzie inny niż ten, który został na stałe określony. Dzięki temu podsłuchiwanie transmisji nie będzie możliwe, oczywiście przy założeniu, że intruz nie zna adresu MAC, który przypisano na switchu do danego portu. W przeciwnym razie, może sobie taki sam MAC ustawić na własnym interfejsie i wtedy komunikacja w warstwie drugiej będzie możliwa. Opisany sposób konfiguracji switcha w środowisku informatycznym nazywa się statycznym mapowaniem MAC do portu. Druga z wymienionych funkcji umożliwia administratorowi switcha wyłączenie nieużywanych portów. W ten sposób intruz, który chciałby podłączyć się do switcha, musi najpierw fizycznie odłączyć istniejący kabel i podłączyć się w jego miejsce, a to będzie oznaczało, że jedno z urządzeń w sieci straci połączenie i administrator będzie musiał zareagować. Trzecia funkcja stosowanie VLAN-ów umożliwia przeprowadzenie logicznej segmentacji fizycznej sieci na podsieci (tzw. domeny rozgłoszeniowe Ethernet). W ten sposób ramki ethernetowe rozgłaszane do wszystkich, w rzeczywistości są przełączane tylko na porty przypisane do tego samego VLAN-u. Dlaczego switch nie zawsze zabezpiecza przed podsłuchem W celu rozwinięcia tematu, należy wyjaśnić, czym jest protokół ARP (Advanced Resolution Protocol). Jest to protokół wykorzystywany przez Internet Protocol (IP) w sieci Ethernet, do odwzorowania

15 Rys. 4. Atak typu ARP spoofing, umożliwiający sniffing w sieci przełączanej. (przekładania) adresów IP na adresy sprzętowe MAC. Protokół ARP stanowi swego rodzaju interfejs pomiędzy dwiema warstwami modelu OSI: sieciową i łącza danych, odpowiada on za odszukanie adresu MAC urządzenia, które ma przypisany dany adres IP. W ogólnym ujęciu polega to na wysłaniu specjalnego pakietu ARP do wszystkich z zapytaniem, kto używa danego adresu IP. Jedno z urządzeń odpowiada na to zapytanie i w ten sposób nadawca zapamiętuje na przyszłość, do kogo należy wysyłać wszystkie pakiety skierowane na ten konkretny adres IP. Protokół ARP jest silnie związany z zagadnieniem statycznego mapowania MAC, które oprócz wspomnianych powyżej korzyści, znacząco utrudnia podsłuchiwanie metodą ARP spoofing (fałszowanie ARP). Metoda ta polega na wymuszeniu na switchu, aby zaczął przekierowywać do intruza ramki przeznaczone dla innego urządzenia. Intruz może to zrobić poprzez bezustanne wysyłanie ramek, w których będzie fałszował źródłowy adres MAC, tak aby był to adres urządzenia, które chce podsłuchiwać. Opisana powyżej funkcja switcha uczenia się adresów MAC spowoduje, że cały czas będzie on zapamiętywał, iż urządzenie podsłuchiwane o danym adresie MAC jest podłączone do portu, do którego w rzeczywistości podłączony jest intruz. W ten sposób wszystkie ramki kierowane do urządzenia zostaną skierowane na port intruza. Oczywiste jest, że urządzenie-ofiara będzie nadal wysyłać ramki ze swoim adresem MAC (powodując odwrócenie całego procesu, bo switch uczy się na bieżąco). Transmisja sieciowa będzie zatem utrudniona i urządzenie podsłuchiwane może mieć problemy z komunikacją. Oprócz tego, jeśli urządzenie to w pewnym momencie przestanie otrzy- R E K L A M A

16 mywać jakiekolwiek ramki, komunikacja zostanie zerwana i intruz nie będzie miał już co podsłuchiwać. Z tego powodu, intruz musi postępować bardzo ostrożnie i wysyłać swoje ramki w odpowiednich odstępach czasu, aby przechwycić możliwie dużą ilość danych, nie blokując właściwej transmisji. Innym typem ataku służącego do prowadzenia podsłuchu w sieci przełączanej jest odmiana ARP spoofingu, również znacząco utrudniana poprzez zdefiniowanie statycznych mapowań adresów MAC do portów na switchu. Zwykle atak ten umożliwia podsłuchanie transmisji pomiędzy dwoma urządzeniami i polega na tym, że intruz wysyła do obu pakiety spreparowane, tak aby urządzenia-ofiary zapamiętały błędnie, że ich partner w komunikacji o danym adresie IP ma adres MAC, który tak naprawdę jest przypisany do interfejsu sieciowego zainstalowanego w urządzeniu intruza. Po takiej operacji (powtarzanej odpowiednio często), oba urządzenia mają niewłaściwe wpisy w tablicach ARP i każdy pakiet w transmisji od jednego do drugiego w rzeczywistości jest kierowany do urządzenia intruza, które funkcjonuje w roli bramy i bez zakłóceń przepuszcza całą transmisję, ale rejestrując wszystko (rys. 4). Opisane tutaj ataki wydają się bardzo groźne, ale zaawansowane funkcje zarządzania siecią, dostępne w switchach, znacząco ograniczają możliwości ich przeprowadzenia i wykorzystania. Jednak nawet prawidłowo skonfigurowany i zabezpieczony switch może zostać oszukany poprzez przełączenie go z podstawowego trybu bridging w tryb repeating, w którym wszystkie ramki są rozgłaszane na wszystkie porty. Metoda ta polega na przepełnieniu tablic adresowych switcha wieloma fałszywymi adresami MAC. Można to zrobić poprzez generowanie dużego ruchu, czyli na przykład wysyłanie przez switch ciągłego strumienia losowych danych (różnych adresów MAC), który w końcu przepełni pamięć urządzenia... Jak wykryć podsłuch w sieci? Teoretycznie nie jest możliwe wykrycie sniffera, ponieważ pracuje on w trybie pasywnym: rejestruje pakiety, niczego nie wysyłając. Jednak w praktyce okazuje się, że w pewnych warunkach możliwe jest wykrycie podsłuchu w sieci. W teorii przypomina to wykrywanie odbiornika telewizyjnego lub radiowego robi się to w celu uzyskania listy abonentów. Zacznijmy jednak od sposobów najprostszych. Rys. 5. Okno programu L0pht AntiSniff. Z pewnością warto okresowo weryfikować stan połączeń na switchu (kable, diody) w celu sprawdzenia, czy obecne są jakieś połączenia, których być nie powinno. Z tego samego powodu warto mieć również dobrze opisane wszystkie porty na switchu, wraz z przypisanymi do nich adresami MAC. Jeżeli w sieci istnieją standardowe komputery PC, służące na przykład do kontrolowania innych urządzeń sieciowych, warto sprawdzić, czy intruz nie zdołał zainstalować snifferów na tych komputerach. Sniffery są z reguły sprytnie ukryte w systemie operacyjnym. Najlepszym sposobem ich wykrycia jest wnikliwe sprawdzenie systemu, a przynajmniej upewnienie się, czy wszystkie procesy (programy) działające w systemie są legalne i czy interfejsy sieciowe nie mają aktywnego trybu promiscuous. Dokładne instrukcje, jak to zrobić, są jednak zależne od danego systemu operacyjnego i daleko wykraczają poza ramy niniejszego opracowania. Dobry administrator sieci powinien jednak bez problemów poradzić sobie z tym zadaniem. Sniffer można również wykryć, działając podstępem, korzystając z tego, że intruz z pewnością będzie chciał wykorzystać informacje, jakie uda mu się podsłuchać. Metoda polega na tym, że instaluje się w sieci fałszywą usługę, która w rzeczywistości jest tylko swego rodzaju wabikiem i nie realizuje żadnych operacji. Istotne jest to, aby usługa miała możliwość rejestrowania adresów sieciowych klientów, którzy próbują się do niej podłączyć. Następnie dowolna osoba próbuje skorzystać z tej usługi, podaje swoje dane logowania (na przykład hasło dostępowe) i chwilę później rozłącza się. Jeżeli intruz przechwyci hasło, zapewne niedługo potem będzie chciał to hasło wykorzystać, a usługa zarejestruje adres, z którego intruz się połączy. W ten sposób można dowiedzieć się, czy sieć jest na podsłuchu. Istnieje sporo bardziej skomplikowanych metod wykrywania snifferów, z których większość opisano poniżej. Wymagają one jednak bardzo zaawansowanej wiedzy na temat działania protokołów, jak również umiejętności samodzielnego przygotowywania i wysyłania pakietów sieciowych, co z kolei wymaga specjalistycznego oprogramowania. Na szczęście, są programy, w które wbudowano wszystkie niezbędne funkcje umożliwiające łatwe skorzystanie z najbardziej popularnych metod wykrywania snifferów. Jednym z nich (dla środowiska Windows) jest L0pht AntiSniff (rys. 5). Znacznie więcej tego typu narzędzi można jednak znaleźć na platformie Unix, z pewnością godnym polecenia programem uniksowym jest SniffDet. Trzeba pamiętać, że statyczne przypisanie adresów MAC do portów na switchu może spowodować problemy przy wykonywaniu poniżej opisanych operacji, dlatego można w tym celu użyć jednego portu, na którym ochrona ta nie będzie aktywna.

18 Rys. 6. Zdalne sprawdzenie statusu filtra adresów MAC na urządzeniu sieciowym. Pierwsza z zaawansowanych metod wykrywania snifferów polega na zdalnym sprawdzeniu, czy urządzenie sieciowe ma wyłączony filtr adresów MAC. Załóżmy, że maszyna podejrzewana o sniffing ma adres IP 192.168.10.222 i adres MAC 00-55-21-A2-60-10 i znajduje się w tym samym segmencie Ethernet. Przygotowujemy pakiet, którego odbiorcą ma być sprawdzane urządzenie. Jednak zamiast umieścić w pakiecie właściwy adres MAC odbiorcy, umieszczamy fałszywy adres MAC, przy czym adres IP pozostaje prawidłowy. Jeśli pojawi się odpowiedź od podejrzanego komputera, będzie to oznaczało, że wyłączono na nim filtr adresów MAC, gdyż standardowo filtr ten powinien odrzucić nasz pakiet. Oczywiście, prawdopodobnie będzie to oznaczało, że urządzenie podsłuchuje sieć. W praktyce operacja może okazać się nieco bardziej skomplikowana, ponieważ w różnych systemach operacyjnych inaczej zaimplementowano filtr MAC. Opisywana tutaj technika może zostać rozszerzona o wykorzystanie protokołu ICMP (Internet Control Message Protocol), którego jednym z podstawowych zadań jest raportowanie błędów w transmisji. Przykładowo, umieszczenie w pakiecie IP niewłaściwych wartości zwykle spowoduje, że urządzenie, które odbierze taki pakiet, wygeneruje błąd ICMP i odeśle odpowiedni komunikat do nadawcy. Zatem jeśli chcemy sprawdzić, czy jakieś urządzenie podsłuchuje w sieci, można spróbować wysłać w sieci nieprawidłowy pakiet zaadresowany do innego odbiorcy. Jeśli otrzymamy odpowiedź od podejrzanego urządzenia, prawdopodobnie podsłuchuje ono transmisję w sieci. Podobne rezultaty można osiągnąć wykorzystując zamiast ICMP, protokół ARP, który umożliwia odszukanie adresu MAC urządzenia (czyli pośrednio jego lokalizacji w sieci) na podstawie jego adresu IP. W uproszczeniu, metoda ta polega na przesłaniu do dowolnego legalnego urządzenia w sieci pakietu ARP, z zapytaniem o adres MAC urządzenia, któremu został przypisany dany adres IP. Urządzenie odbiorca zignoruje to zapytanie (bo nie ma wystarczających informacji), ale jeśli podejrzane urządzenie rzeczywiście podsłuchuje w sieci i również przechwyciło nasze zapytanie, zapewne odeśle odpowiedź. Sprawę komplikuje fakt, że profesjonalny podsłuch zapewne będzie przygotowany przy wykorzystaniu kabla typu receive only, czyli umożliwiającego tylko odbiór danych. Zrozumienie kolejnej metody wykrywania snifferów wymaga znajomości podstaw działania usługi DNS (Domain Name System) i revdns (Reverse Domain Name System). W uproszczeniu, usługa revdns umożliwia znalezienie nazwy sieciowej urządzenia (na przykład kamera11.monitoring.pl) o znanym adresie IP. Otóż wiele programów umożliwiających prowadzenie podsłuchu w sieci wykonuje automatyczne zapytania revdns odnośnie do przechwyconych adresów IP. Z tego powodu warto prowadzić w sieci monitoring zapytań do serwerów DNS. Doświadczony administrator z pewnością będzie umiał uruchomić i prowadzić monitoring tej usługi. Trzeba przyznać, że większość z opisanych tutaj metod wymaga dużego doświadczenia i zaawansowanych narzędzi (na przykład do przygotowania własnych pakietów). Z tego powodu w przypadku, gdy istnieje realne zagrożenie, że w sieci znajduje się sniffer, dobrym pomysłem jest zatrudnienie firmy lub osoby, które Rys. 7. Wykrywanie snifferów metodą znajdowania urządzeń udzielających odpowiedzi na zapytania, których nie powinny były otrzymać.

19 specjalizują się w zabezpieczaniu systemów informatycznych. Z pewnością będą oni potrafili wykorzystać opisane metody (a być może także inne, które nie znalazły tu swego miejsca, na przykład metoda modyfikacji pola source-route w pakietach IP). Również mogą spróbować przeprowadzić inne, rzadko stosowane (a jednak skuteczne) operacje, takie jak skanowanie techniką TDR (Time-Domain Reflectometer). Metoda ta polega na wykorzystaniu radaru w stosunku do medium transmisyjnego. Urządzenie wysyła impuls do przewodu, a następnie wyświetla odebrane odbicia. Spoglądając na wykresy, ekspert może ocenić, czy do przewodu są podłączone jakieś urządzenia, których nie powinno tam być. Istnieje również duża szansa, że określi on lokalizację przelotki (ang. tap). Można w ten sposób wykryć sprzętowe sniffery podłączone do medium transmisyjnego, które są całkowicie niewidoczne dla użytkowników sieci. Technika TDR była często wykorzystywana na kablach koncentrycznych Ethernet w celu wykrycia przelotek typu vampire, ale obecnie panuje na świecie topologia gwiazdy i okablowanie typu skrętka. Szyfrowanie transmisji danych Odpowiedni projekt architektury sieci, stosowanie prawidłowo skonfigurowanych switchów, monitorowanie i wykrywanie snifferów... wszystkie te czynności mogą znacząco przyczynić się do stworzenia środowiska wolnego od podsłuchu. Niestety nie dają one żadnej gwarancji poufności danych, ponieważ zawsze istnieje choćby minimalne ryzyko, że ktoś nieupoważniony przechwyci dane z sieci. Z tego powodu zalecane jest zastosowanie jeszcze innego podejścia do problemu szyfrowanie transmitowanych danych. Szyfrowanie stosuje się po to, aby nawet po przechwyceniu przez intruza dane były dla niego bezużyteczne przez pewien czas, a konkretnie do czasu utraty ich przydatności lub do momentu złamania szyfru, nawet na najbardziej zaawansowanych komputerach. Niestety oznacza to również, że część mocy obliczeniowej urządzeń musi zostać przeznaczona na stałe obliczenia związane z szyfrowaniem transmisji. Trzeba to wziąć pod uwagę przy implementowaniu tego rodzaju zabezpieczeń, ewentualnie można wyposażyć sieć w dodatkowe specjalistyczne szyfratory, które będą zapewniały stałe szyfrowanie w najbardziej istotnych fragmentach sieci. Istotne jest, aby siła szyfrowania była uzależniona od czasu przydatności danych. Nie ma sensu szyfrować danych tak mocno, że ich odszyfrowanie potrwa tysiące lat, skoro stracą one swoją przydatność już po miesiącu. Siła szyfrowania oczywiście nie pozostaje bez znaczenia dla obciążenia procesorów w urządzeniach. Obecnie jest dostępnych wiele gotowych rozwiązań szyfrowania, które wystarczy tylko zaimplementować do własnych potrzeb, między innymi coraz bardziej popularne rozwiązania typu VPN (Virtual Private Networking), protokoły IPSEC (Internet Protocol Security), SSH (Secure Shell) czy SSL (Secure Sockets Layer). Zastosowanie odpowiednich algorytmów i protokołów szyfrowania w stosunku do transmitowanych danych nie jest prostym zadaniem i przekracza ramy tej części naszego cyklu artykułów, ale doświadczony administrator sieci z pewnością sobie z tym poradzi. R E K L A M A

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres