Praca magisterska Zagrożenia warstwy drugiej modelu OSI - metody zabezpieczania i przeciwdziałania Autor: Miłosz Tomaszewski Opiekun: Dr inż. Łukasz Sturgulewski
Internet dziś Podstawowe narzędzie pracy Rozrywka Zakupy Obsługa bankowości
Wzrost liczby zagrożeń Z roku na rok zwiększa się liczba zagrożeń występujących w sieci Wirusy (trojany) Programy szpiegujące Kradzieże haseł, loginów Podszywanie się (spoofing) Średnia liczba sygnatur dodawanych codziennie do baz danych oprogramowania anty - wirusowego Roczny wzrost liczby sygnatur zagrożeń w bazach danych
Zagrożenia warstwy drugiej występujące w sieci LAN Rodzaj Protokół drzewa spinającego Kontrola dostępu do medium Atakowanie przełączników Protokół ARP Problem Atak typu odmowa usługi (DoS) poprzez utrzymywanie sieci w stanie ciągłej rekonfiguracji (symulacja podłączania setek nowych urządzeń do sieci) Zbyt duża ilość danych przesyłana do jednego adresata powoduje zapchanie jego łączą i nie przyjmowanie nowych zapytań atak DoS brak dostępu do medium komunikacyjnego Przepełnienie tablicy ARP przełącznika poprzez szybkie generowanie ramek z losowymi, źródłowymi adresami MAC; skutkiem jest przejście przełącznika w tryb pracy koncentratora Metoda ataku wykorzystywana przy tym protokole nosi nazwę podszywania ( ang. arp spoofing) i pozwala na przechwytywanie danych przesyłanych w jednym segmencie sieci Przeciwdziałanie Analiza i wykrywanie wszelkiego typu anomalii (np. zbyt częsta zmiana topologii) za pomocą programów analizujących ruch sieciowy (np. Snort) Mechanizm kontroli dostępu CSMA/CD który to pozwala na prowadzenie transmisji tylko jednemu urządzeniu, czym eliminuje kolizje powstałe na łączach Port Security przypisywanie adresu sprzętowego do danego portu na przełączniku; żaden inny adres MAC nie będzie przez niego obsłużony Blokada modyfikacji w pamięci podręcznej ARP oraz przypisywanie adresów sprzętowych do danych adresów IP na stałe.
Zagrożenia warstwy drugiej występujące w sieci WAN Rodzaj Technologia ISDN Technologia Frame Relay Protokół punkt do punktu (PPP) Problem Problemem są exploity (programy mające na celu wykorzystanie błędów w oprogramowaniu) występujące w środowisku logowania do systemu. Atak ten może zapisywać każdy znak z klawiatury, wpisany przez użytkownika (np. podczas wpisywania loginów czy haseł dostępowych do banków). potrafi robić zrzuty ekranu pulpitu w dowolnym momencie. Problemem jest pasywne podsłuchiwanie (ang. Passive Intercept Attack) polegające na podsłuchiwaniu przepływających danych, analizie ruchu i wyciąganiu z niego potrzebnych informacji; tzw. Network Based Attack, polegające na wrzucaniu w strumień bitów odpowiednio spreparowanych pakietów bądź na modyfikacji istniejących Stosowany przy połączeniach modemowych, gdzie przy braku jakichkolwiek zabezpieczeń mogą być podsłuchane przesyłane nim dane. Przeciwdziałanie Ochroną przed tego typu niebezpieczeństwem są programy typu anty spyware, które to potrafią w większości przypadków usunąć złośliwy kod z zainfekowanego systemu; w ostateczności pozostaje reinstalacja systemu Analiza danych przepływających przez sieć za pomocą programów typu Sniffer; zabezpieczanie fizycznej infrastruktury używanej do przesyłu danych (zamykane serwerownie, zabezpieczone studzienki kanalizacyjne itp) Stosowanie protokołów uwierzytelniających PAP bądź CHAP, gdzie po nawiązaniu połączenia serwer sprawdza klienta (poprzez wpisanie hasła). CHAP używa algorytmu MD- 5 dzięki czemu szyfruje przesyłane hasło.
Projekt sieci założenia 192.168.1.0/24 192.168.2.0/24 VLAN20 VLAN10 MAC: 11:22:33:DD:EE:55 Na przykładzie zbudowanej sieci WAN (wykorzystując różne warianty jej budowy) zostanie dokonana analiza problemów bezpieczeństwa w niej występujących, a następnie zostaną zaproponowane rozwiązania, które pomogą zwiększyć poziom zabezpieczeń INTERNET Serial Serial SWITCH 1 Access Point MAC: 02:C1:25:13:0C:04 Połączenie typu: TRUNK MAC: 02:B2:29:19:0C:08 MAC: 02:C1:25:13:0C:04 SWITCH 2 Sieć składa się z: Sieci LAN ( z dwoma wydzielonymi sieciami VLAN) Sieci WAN (podłączonej poprzez ASA) Sieci bezprzewodowej MAC: 00:07:CC:DD:12:DD MAC: 11:22:33:DD:EE:55 MAC: 02:B2:29:19:0C:08 MAC: 02:C1:25:13:0C:04 VLAN10 192.168.2.0/24 VLAN20 192.168.1.0/24
Projekt sieci realizacja (na przykładzie ataku na przełącznik) Pamięc CAM - > FULL SWITCH - > HUB Atak narzędziem Macof MAC: 00:07:CC:DD:12:DD MAC: 02:B2:29:19:0C:08 MAC: 11:22:33:DD:EE:55 VLAN10 192.168.2.0/24 IP:192.168.1.2 VLAN20 192.168.1.0/24 Zalana tablica ARP Przechwytywanie danych
Projekt sieci realizacja (na przykładzie obrony przełącznika przed atakiem) SWITCH 1 VLAN10 192.168.2.0/24 Ustawienie ochrony switchport port-security maximum 1 Atak MAC: 00:07:CC:DD:12:DD MAC: 02:B2:29:19:0C:08 OK! MAC: 11:22:33:DD:EE:55 MAC: 02:C1:25:13:0C:04 VLAN20 192.168.1.0/24 192.168.1.2 Próba uzyskania dostępu switchport port-security maximum 1 NO! MAC: 11:22:33:DD:EE:55 MAC: 00:07:CC:DD:12:DD Weryfikacja
Wyniki i wnioski Wszystkie założenia projektowe zostały spełnione Po każdym wdrożeniu następowała weryfikacja danego rozwiązania Największym zagrożeniem ARP Spoofing Ludzka nieświadomość
Dziękuję za uwagę W razie pytań, służę pomocą.