of 7 /7
Twierdza | 6/2004 12 System zabezpieczeń jest tak silny, jak silne jest jego najsłabsze ogniwo. Taką sentencję możemy często usłyszeć z ust informatyków zajmujących się bezpieczeństwem systemów informatycznych i często przeczytać na łamach „Twierdzy”. Jest ona prawdziwa dla wszelkiego rodzaju systemów zabezpieczeń. Transmisja danych w lokalnych przewodowych sieciach komputerowych (cz. II) Podsłuchiwanie protokołów Ethernet i TCP/IP Tomasz Polus ([email protected]) Rys. 1. Rzędy nic nieznaczących cyferek, czy podsłuchany fragment pisemnej konwersacji? Istnieje sporo możliwości naduży- cia technologii Ethernet i TCP/IP, spowodowanych między innymi bagatelizowaniem aspektów bez- pieczeństwa transmisji danych, niedopatrzeniami, które powstały jeszcze na etapie projektowym, błędami w implementacji protoko- łów w oprogramowaniu urządzeń sieciowych (a przede wszystkim komputerów) i wieloma innymi przyczynami. Istotne jest jednak nie to, skąd wzięły się luki w za- bezpieczeniach protokołów, ale to, jakiego rodzaju są to luki i jak zabezpieczać się przed ich wyko- rzystaniem przez intruzów. Zanim zaczniesz czytać dalej... Celem pierwszej części (patrz: „Twierdza” nr 5/2004) było zapoznanie Czytelnika z procesami zachodzącymi w urządze- niach sieciowych w trakcie transmisji da- nych w przewodowej sieci komputerowej, opartej na standardach Ethernet i TCP/IP. Po tej lekturze (i mam nadzieję lekturze materiałów uzupełniających), Czytelnik z pewnością potrafi samodzielnie spraw- dzić, czy w danej instalacji do transmisji danych wykorzystano sieć komputerową, a jeśli tak, to określić jej topologię, ustalić podstawowe parametry zastosowanych urządzeń sieciowych i okablowania. Opierając się na powszechnych standar- dach, nie powinno stanowić problemu również określenie innych parametrów, takich jak przepustowość sieci w różnych jej punktach. Tak więc mamy już podstawową wie- dzę z zakresu przebiegu transmisji da- nych w przewodowej sieci komputerowej, czyli znamy zasady funkcjonowania sied- miowarstwowego modelu OSI i wiemy, jak wygląda proces zamiany sygnałów elek- trycznych w dane (i vice versa). Czytelnik wie także, że na różnych warstwach mo- delu OSI działają inne protokoły i są wyko- rzystywane różne standardy komunikacji sieciowej, na przykład Ethernet, Internet Protocol (IP), Transmission Control Pro- tocol (TCP) czy User Datagram Protocol (UDP). Ważne jest, aby potrafić przy- SYSTEMY SIECIOWE

Podsłuchiwanie protokołów Ethernet i TCP/IP - twierdza.info · cia technologii Ethernet i TCP/IP, ... nych w przewodowej sieci komputerowej, opartej na standardach Ethernet i TCP/IP

  • Author
    ngohanh

  • View
    221

  • Download
    0

Embed Size (px)

Text of Podsłuchiwanie protokołów Ethernet i TCP/IP - twierdza.info · cia technologii Ethernet i...

Twierdza | 6/2004

12

Twierdza | 6/2004

1313

System zabezpiecze jest tak silny, jak silne jest jego najsabsze ogniwo. Tak sentencj moemy czsto usysze z ust informatykw zajmujcych si bezpieczestwem systemw informatycznych i czsto przeczyta na amach Twierdzy. Jest ona prawdziwa dla wszelkiego rodzaju systemw zabezpiecze.

Transmisja danych w lokalnych przewodowych sieciach komputerowych (cz. II)

Podsuchiwanie protokow Ethernet i TCP/IP Tomasz Polus ([email protected])

Rys. 1. Rzdy nic nieznaczcych cyferek, czy podsuchany fragment pisemnej konwersacji?

Istnieje sporo moliwoci naduy-cia technologii Ethernet i TCP/IP, spowodowanych midzy innymi bagatelizowaniem aspektw bez-pieczestwa transmisji danych, niedopatrzeniami, ktre powstay jeszcze na etapie projektowym, bdami w implementacji protoko-w w oprogramowaniu urzdze sieciowych (a przede wszystkim komputerw) i wieloma innymi przyczynami. Istotne jest jednak nie to, skd wziy si luki w za-bezpieczeniach protokow, ale to, jakiego rodzaju s to luki i jak zabezpiecza si przed ich wyko-rzystaniem przez intruzw.

Zanim zaczniesz czyta dalej...

Celem pierwszej czci (patrz: Twierdza nr 5/2004) byo zapoznanie Czytelnika z procesami zachodzcymi w urzdze-niach sieciowych w trakcie transmisji da-nych w przewodowej sieci komputerowej, opartej na standardach Ethernet i TCP/IP. Po tej lekturze (i mam nadziej lekturze materiaw uzupeniajcych), Czytelnik z pewnoci potrafi samodzielnie spraw-dzi, czy w danej instalacji do transmisji danych wykorzystano sie komputerow, a jeli tak, to okreli jej topologi, ustali podstawowe parametry zastosowanych urzdze sieciowych i okablowania. Opierajc si na powszechnych standar-dach, nie powinno stanowi problemu rwnie okrelenie innych parametrw, takich jak przepustowo sieci w rnych jej punktach.

Tak wic mamy ju podstawow wie-dz z zakresu przebiegu transmisji da-nych w przewodowej sieci komputerowej, czyli znamy zasady funkcjonowania sied-miowarstwowego modelu OSI i wiemy, jak wyglda proces zamiany sygnaw elek-trycznych w dane (i vice versa). Czytelnik

wie take, e na rnych warstwach mo-delu OSI dziaaj inne protokoy i s wyko-rzystywane rne standardy komunikacji sieciowej, na przykad Ethernet, Internet Protocol (IP), Transmission Control Pro-tocol (TCP) czy User Datagram Protocol (UDP). Wane jest, aby potrafi przy-

SYSTEMY SIECIOWE

Twierdza | 6/2004

12

Twierdza | 6/2004

1313

R E K L A M A

najmniej oglnie okreli zastosowanie i waciwoci tych protokow, a take wiedzie, co to jest ramka i pakiet.

Dlaczego technologia Ethernet umoliwia podsu-chiwanie transmisji?

Technologia Ethernet zostaa stworzona w taki sposb, e urzdzenie do niej podczone moe odbiera ruch gene-rowany w sieci przez wszystkie pozo-stae urzdzenia. Z tego powodu kade urzdzenie oparte na standardzie Ether-net ma filtr odrzucajcy ruch sieciowy, ktry nie jest przeznaczony dla niego. Takie zabezpieczenie niestety nie wy-starcza dostpnych jest wiele progra-mw, ktre wyczaj ten filtr poprzez przeczenie interfejsu sieciowego w tzw. tryb promiscuous, co powoduje, e urzdzenie sieciowe zaczyna od-biera ramki przeznaczone dla innych urzdze, czyli... podsuchiwa. Ram-ka, ktra trafi do interfejsu sieciowego i przejdzie wspomniany filtr, zostaje zdekodowana i przekazana do wy-szych warstw modelu OSI. Programy wczajce tryb promiscuous obecnie s ju tak rozbudowane, e potrafi

w czasie rzeczywistym rejestrowa pa-kiety przesyane sieci, czy je w ca-o transmisji i dekodowa, wywietlajc na ekranie gotowe do odczytania dane. W rodowisku informatycznym okrela si to mianem sniffingu (ang. sniff wcha), a urzdzenie sieciowe i programy suce do podsuchiwania nazywa si powszech-nie snifferami. Podsuchan w ten sposb transmisj (na przykad wideokonferencj, pisemn konwersacj prowadzon za po-moc komputera (rys. 1), czy kody steru-jce kamer) mona wykorzysta pniej do wielu innych celw, ktre s ograni-czone tylko wyobrani intruza. Przyka-dowo, podsuchanie w sieci komunikatw kontrolnych umoliwi intruzowi poznanie szczegowych informacji niezbdnych do kontrolowania urzdze pracujcych w sieci.

Jak chroni sie przed pod-suchem?

Istnieje wiele sposobw ochrony przed podsuchiwaniem transmisji przez in-truzw, poczynajc od zabezpiecze fizycznych (ochrona fizyczna okablowania i urzdze sieciowych), poprzez zapobie-ganie rozgaszaniu danych do wszystkich

urzdze w sieci Ethernet, aktywne monitorowanie, wykrywanie i eliminowa-nie snifferw w sieci, a koczc na naj-skuteczniejszej metodzie szyfrowaniu transmisji.

Kilka sw o ochronie fizycznej

Za jedn z podstawowych zasad konstru-owania zabezpieczonych sieci kompu-terowych uwaa si prowadzenie kabli w taki sposb, aby dostp do nich by znacznie utrudniony, a w wyjtkowych przypadkach prawie niemoliwy. Wynika to z faktu, e potrzeba ingerencji w oka-blowanie funkcjonujcej sieci zdarza si niezwykle rzadko w przypadku fizyczne-go uszkodzenia kabla.

Jeeli jednak okablowanie zosta-o pooone w taki sposb, e intruz w miar atwo moe uzyska do niego dostp, bdzie mg zastosowa mao popularn, ale skuteczn metod pro-wadzenia podsuchu transmisji sieciowej przy wykorzystaniu przelotki (ang. TAP, Test Access Port). Urzdzenia te funk-cjonuj na warstwie pierwszej modelu OSI i umoliwiaj intruzowi wpicie si w kabel, w wikszoci przypadkw bez

SYSTEMY SIECIOWE

Twierdza | 6/2004

14

Twierdza | 6/2004

1515

spowodowania dugotrwaych strat i spo-wolnie w przesyanym strumieniu danych (rys. 2). Profesjonalne przelotki maj wbudowane bufory, aby unikn strat w przechwytywaniu danych, a niektre mog nawet monitorowa ruch w sieci wiatowodowej, ktra uchodzi za niezwy-kle trudn do podsuchania. Co ciekawe, przelotki s konstruowane w taki sposb, e jeli zabraknie prdu, nie przeszkodzi to w przepywie ruchu sieciowego w prze-wodzie, do ktrego j podczono. Ujaw-nienie takiego urzdzenia zwykle wymaga znalezienia go podczonego bezpored-nio do kabla, zatem z pewnoci warto okresowo prowadzi przegldy okablo-wania w monitorowanej sieci.

Rys. 2. Typowa przelotka do podsuchiwania ruchu sieciowego w Ethernecie.

Znacznie wiksze moliwoci ma intruz, ktremu uda si uzyska dostp do urzdze sieciowych, ktre rozdzielaj ruch w typowej sieci, czyli koncentratory (huby) i przeczniki (switche). W takim przypadku nie musi on ingerowa w oka-blowanie, poniewa wystarczy, e pod-czy si wasnym kablem do odpowiednie-go portu urzdzenia.

Profesjonalna ochrona fizyczna oka-blowania i urzdze sieciowych wykracza daleko poza ramy tego opracowania, dla-tego zdecydowanie zalecam skorzystanie z innych rde wiedzy na ten temat, mi-dzy innymi z artykuw w Twierdzy.

Dlaczego nie powinno si stosowa hubw

Warto zwrci uwag na istotne rnice pomidzy hubami a switchami w zakresie bezpieczestwa transmisji sieci. Hub jest znacznie prostszym (i zwykle duo taszym) urzdzeniem, pracujcym w pierwszej warstwie modelu OSI, ponie-wa potrafi tylko kopiowa sygnay elek-tryczne. Kady sygna elektryczny, ktry hub otrzyma na jednym ze swoich portw, zostaje natychmiast skopiowany na wszyst-kie pozostae porty urzdzenia. W ten sposb, dane przeznaczone dla jednego urzdzenia zostaj dostarczone do wszyst-kich, powodujc przy okazji dodatkowe obcienie sieci. Zatem z punktu widzenia bezpieczestwa i wydajnoci sieci, stoso-wanie hubw jest niedopuszczalne.

Switch, jako urzdzenie wyszej klasy, funkcjonujce w drugiej warstwie modelu OSI, moe wykonywa znacznie bardziej zaawansowane zadania i by zarzdzany przez operatora zarwno z konsoli, jak i poprzez sie. Od momentu uruchomie-nia switcha, zapamituje on wszystkie adresy ethernetowe MAC urzdze wraz z numerami wasnych portw, do ktrych te urzdzenia s podczone. Wszystkie te informacje rejestruje w specjalnej tablicy adresw MAC. Po otrzymaniu sygnaw elektrycznych, switch zamienia je w ram-k ethernetow, z ktrej odczytuje adresy MAC nadawcy i odbiorcy. Dziki temu moe skopiowa ramk tylko na ten port, do ktrego jest podczone urzdzenie-odbiorca. W ten sposb switch zapobiega rozgaszaniu danych do wszystkich urz-dze w sieci, eliminujc jeden z podsta-wowych problemw z bezpieczestwem transmisji danych w technologii Ethernet. Przy okazji zmniejsza to obcienie sieci, a zatem zysk pojawia si rwnie w kwe-stii wydajnoci (rys. 3).

Nadal jednak intruz ma szans pod-czy si do sieci wasnym kablem do portu na switchu. Warto rwnie wie-dzie, e wikszo zaawansowanych switchw ma wbudowany specjalny port przeznaczony do monitorowania caego ruchu. Na port ten kopiuje si cz lub cay ruch przechodzcy przez switch. Je-li atakujcemu uda si uzyska fizyczny dostp do switcha, istnieje pewne ryzyko, e zaloguje si do niego (bo niestety wikszo switchw jest instalowanych z domylnymi hasami dostpu) i wczy t funkcj (tzw. span port) dla siebie, uzy-skujc moliwo podsuchiwania caego ruchu, ktry przechodzi przez switch.

Na szczcie, wikszo nowocze-snych zarzdzalnych switchw umo-liwia zastosowanie wielu dodatkowych zabezpiecze, midzy innymi przypisa-nie na stae okrelonego adresu MAC do portu, wyczenie nieuywanych

portw i stosowanie tzw. VLAN-w, czyli wirtualnych podsieci. Pierwsza z funkcji zapewnia, e jeli intruz podczy si do portu i bdzie mg wysya do swit-cha sygnay elektryczne, to nie bdzie mg si z nim porozumiewa w warstwie drugiej, poniewa jego MAC bdzie inny ni ten, ktry zosta na stae okrelony. Dziki temu podsuchiwanie transmisji nie bdzie moliwe, oczywicie przy zao-eniu, e intruz nie zna adresu MAC, ktry przypisano na switchu do danego portu. W przeciwnym razie, moe sobie taki sam MAC ustawi na wasnym interfejsie i wte-dy komunikacja w warstwie drugiej bdzie moliwa. Opisany sposb konfiguracji switcha w rodowisku informatycznym nazywa si statycznym mapowaniem MAC do portu.

Druga z wymienionych funkcji umoli-wia administratorowi switcha wyczenie nieuywanych portw. W ten sposb in-truz, ktry chciaby podczy si do swit-cha, musi najpierw fizycznie odczy istniejcy kabel i podczy si w jego miejsce, a to bdzie oznaczao, e jed-no z urzdze w sieci straci poczenie i administrator bdzie musia zareagowa. Trzecia funkcja stosowanie VLAN-w umoliwia przeprowadzenie logicznej segmentacji fizycznej sieci na podsieci (tzw. domeny rozgoszeniowe Ethernet). W ten sposb ramki ethernetowe rozga-szane do wszystkich, w rzeczywistoci s przeczane tylko na porty przypisane do tego samego VLAN-u.

Dlaczego switch nie za-wsze zabezpiecza przed podsuchem

W celu rozwinicia tematu, naley wyjani, czym jest protok ARP (Advan-ced Resolution Protocol). Jest to protok wykorzystywany przez Internet Protocol (IP) w sieci Ethernet, do odwzorowania

Rys. 3. Zasadnicze rnice pomidzy hubem a switchem.

SYSTEMY SIECIOWE

Twierdza | 6/2004

14

Twierdza | 6/2004

1515

(przekadania) adresw IP na adresy sprztowe MAC. Protok ARP stanowi swego rodzaju interfejs pomidzy dwiema warstwami modelu OSI: sieciow i cza danych, odpowiada on za odszukanie adresu MAC urzdzenia, ktre ma przypi-sany dany adres IP. W oglnym ujciu po-lega to na wysaniu specjalnego pakietu

ARP do wszystkich z zapytaniem, kto uy-wa danego adresu IP. Jedno z urzdze odpowiada na to zapytanie i w ten sposb nadawca zapamituje na przyszo, do kogo naley wysya wszystkie pakiety skierowane na ten konkretny adres IP.

Protok ARP jest silnie zwizany z zagadnieniem statycznego mapowania

MAC, ktre oprcz wspomnianych powy-ej korzyci, znaczco utrudnia podsuchi-wanie metod ARP spoofing (faszowanie ARP). Metoda ta polega na wymuszeniu na switchu, aby zacz przekierowywa do intruza ramki przeznaczone dla innego urzdzenia. Intruz moe to zrobi poprzez bezustanne wysyanie ramek, w ktrych bdzie faszowa rdowy adres MAC, tak aby by to adres urzdzenia, ktre chce podsuchiwa.

Opisana powyej funkcja switcha uczenia si adresw MAC spowoduje, e cay czas bdzie on zapamitywa, i urzdzenie podsuchiwane o danym adresie MAC jest podczone do portu, do ktrego w rzeczywistoci podczony jest intruz. W ten sposb wszystkie ramki kierowane do urzdzenia zostan skiero-wane na port intruza.

Oczywiste jest, e urzdzenie-ofiara bdzie nadal wysya ramki ze swoim adresem MAC (powodujc odwrcenie caego procesu, bo switch uczy si na bieco). Transmisja sieciowa bdzie zatem utrudniona i urzdzenie podsu-chiwane moe mie problemy z komu-nikacj. Oprcz tego, jeli urzdzenie to w pewnym momencie przestanie otrzy-

Rys. 4. Atak typu ARP spoofing, umoliwiajcy sniffing w sieci przeczanej.

R E K L A M A

SYSTEMY SIECIOWE

Twierdza | 6/2004

16

Twierdza | 6/2004

1717

mywa jakiekolwiek ramki, komunikacja zostanie zerwana i intruz nie bdzie mia ju co podsuchiwa. Z tego powodu, intruz musi postpowa bardzo ostronie i wysya swoje ramki w odpowiednich odstpach czasu, aby przechwyci moliwie du ilo danych, nie blokujc waciwej transmisji.

Innym typem ataku sucego do pro-wadzenia podsuchu w sieci przeczanej jest odmiana ARP spoofingu, rwnie znaczco utrudniana poprzez zdefinio-wanie statycznych mapowa adresw MAC do portw na switchu. Zwykle atak ten umoliwia podsuchanie transmisji pomidzy dwoma urzdzeniami i polega na tym, e intruz wysya do obu pakiety spreparowane, tak aby urzdzenia-ofiary zapamitay bdnie, e ich partner w ko-munikacji o danym adresie IP ma adres MAC, ktry tak naprawd jest przypisany do interfejsu sieciowego zainstalowanego w urzdzeniu intruza. Po takiej operacji (powtarzanej odpowiednio czsto), oba urzdzenia maj niewaciwe wpisy w ta-blicach ARP i kady pakiet w transmisji od jednego do drugiego w rzeczywistoci jest kierowany do urzdzenia intruza, kt-re funkcjonuje w roli bramy i bez zakce przepuszcza ca transmisj, ale rejestru-jc wszystko (rys. 4).

Opisane tutaj ataki wydaj si bar-dzo grone, ale zaawansowane funkcje zarzdzania sieci, dostpne w swit-chach, znaczco ograniczaj moliwoci ich przeprowadzenia i wykorzystania. Jednak nawet prawidowo skonfiguro-wany i zabezpieczony switch moe zo-sta oszukany poprzez przeczenie go z podstawowego trybu bridging w tryb repeating, w ktrym wszystkie ramki s rozgaszane na wszystkie porty. Me-toda ta polega na przepenieniu tablic adresowych switcha wieloma faszywymi adresami MAC. Mona to zrobi poprzez generowanie duego ruchu, czyli na przy-kad wysyanie przez switch cigego strumienia losowych danych (rnych adresw MAC), ktry w kocu przepeni pami urzdzenia...

Jak wykry podsuch w sieci?

Teoretycznie nie jest moliwe wykrycie sniffera, poniewa pracuje on w trybie pasywnym: rejestruje pakiety, niczego nie wysyajc. Jednak w praktyce okazuje si, e w pewnych warunkach moliwe jest wykrycie podsuchu w sieci. W teorii przypomina to wykrywanie odbiornika telewizyjnego lub radiowego robi si to w celu uzyskania listy abonentw. Zacznijmy jednak od sposobw najprost-szych.

Z pewnoci warto okresowo weryfi-kowa stan pocze na switchu (kable, diody) w celu sprawdzenia, czy obecne s jakie poczenia, ktrych by nie po-winno. Z tego samego powodu warto mie rwnie dobrze opisane wszystkie porty na switchu, wraz z przypisanymi do nich adresami MAC.

Jeeli w sieci istniej standardowe komputery PC, suce na przykad do kontrolowania innych urzdze siecio-wych, warto sprawdzi, czy intruz nie zdo-a zainstalowa snifferw na tych kompu-terach. Sniffery s z reguy sprytnie ukry-te w systemie operacyjnym. Najlepszym sposobem ich wykrycia jest wnikliwe sprawdzenie systemu, a przynajmniej upewnienie si, czy wszystkie procesy (programy) dziaajce w systemie s le-galne i czy interfejsy sieciowe nie maj aktywnego trybu promiscuous. Dokadne instrukcje, jak to zrobi, s jednak za-lene od danego systemu operacyjnego i daleko wykraczaj poza ramy niniejsze-go opracowania. Dobry administrator sieci powinien jednak bez problemw poradzi sobie z tym zadaniem.

Sniffer mona rwnie wykry, dzia-ajc podstpem, korzystajc z tego, e intruz z pewnoci bdzie chcia wykorzysta informacje, jakie uda mu si podsucha. Metoda polega na tym, e instaluje si w sieci faszyw usug, ktra w rzeczywistoci jest tylko swego rodzaju wabikiem i nie realizuje adnych operacji. Istotne jest to, aby usuga miaa moliwo rejestrowania adresw siecio-

wych klientw, ktrzy prbuj si do niej podczy. Nastpnie dowolna osoba prbuje skorzysta z tej usugi, podaje swoje dane logowania (na przykad haso dostpowe) i chwil pniej rozcza si. Jeeli intruz przechwyci haso, zapewne niedugo potem bdzie chcia to haso wykorzysta, a usuga zarejestruje ad-res, z ktrego intruz si poczy. W ten sposb mona dowiedzie si, czy sie jest na podsuchu.

Istnieje sporo bardziej skomplikowa-nych metod wykrywania snifferw, z kt-rych wikszo opisano poniej. Wyma-gaj one jednak bardzo zaawansowanej wiedzy na temat dziaania protokow, jak rwnie umiejtnoci samodzielnego przygotowywania i wysyania pakietw sieciowych, co z kolei wymaga specja-listycznego oprogramowania. Na szcz-cie, s programy, w ktre wbudowano wszystkie niezbdne funkcje umoliwia-jce atwe skorzystanie z najbardziej po-pularnych metod wykrywania snifferw. Jednym z nich (dla rodowiska Windows) jest L0pht AntiSniff (rys. 5). Znacznie wicej tego typu narzdzi mona jednak znale na platformie Unix, z pewnoci godnym polecenia programem unikso-wym jest SniffDet.

Trzeba pamita, e statyczne przypi-sanie adresw MAC do portw na switchu moe spowodowa problemy przy wyko-nywaniu poniej opisanych operacji, dlate-go mona w tym celu uy jednego portu, na ktrym ochrona ta nie bdzie aktywna.

Rys. 5. Okno programu L0pht AntiSniff.

SYSTEMY SIECIOWE

Twierdza | 6/2004

18

Twierdza | 6/2004

1919

Pierwsza z zaawansowanych metod wy-krywania snifferw polega na zdalnym sprawdzeniu, czy urzdzenie sieciowe ma wyczony filtr adresw MAC. Za-my, e maszyna podejrzewana o sniffing ma adres IP 192.168.10.222 i adres MAC 00-55-21-A2-60-10 i znajduje si w tym samym segmencie Ethernet. Przygotowujemy pakiet, ktrego odbiorc ma by sprawdzane urzdzenie. Jednak zamiast umieci w pakiecie waciwy adres MAC odbiorcy, umieszczamy fa-szywy adres MAC, przy czym adres IP pozostaje prawidowy. Jeli pojawi si odpowied od podejrzanego komputera, bdzie to oznaczao, e wyczono na nim filtr adresw MAC, gdy standardowo filtr ten powinien odrzuci nasz pakiet. Oczy-wicie, prawdopodobnie bdzie to ozna-czao, e urzdzenie podsuchuje sie. W praktyce operacja moe okaza si nieco bardziej skomplikowana, poniewa w rnych systemach operacyjnych ina-czej zaimplementowano filtr MAC.

Opisywana tutaj technika moe zosta rozszerzona o wykorzystanie protokou ICMP (Internet Control Message Proto-col), ktrego jednym z podstawowych zada jest raportowanie bdw w trans-misji. Przykadowo, umieszczenie w pa-kiecie IP niewaciwych wartoci zwykle spowoduje, e urzdzenie, ktre odbierze taki pakiet, wygeneruje bd ICMP i ode-le odpowiedni komunikat do nadawcy. Zatem jeli chcemy sprawdzi, czy jakie urzdzenie podsuchuje w sieci, mona sprbowa wysa w sieci nieprawidowy pakiet zaadresowany do innego odbiorcy. Jeli otrzymamy odpowied od podejrza-

nego urzdzenia, prawdopodobnie pod-suchuje ono transmisj w sieci.

Podobne rezultaty mona osign wykorzystujc zamiast ICMP, protok ARP, ktry umoliwia odszukanie adresu MAC urzdzenia (czyli porednio jego lo-kalizacji w sieci) na podstawie jego adre-su IP. W uproszczeniu, metoda ta polega na przesaniu do dowolnego legalnego urzdzenia w sieci pakietu ARP, z zapy-taniem o adres MAC urzdzenia, ktremu

zosta przypisany dany adres IP. Urz-dzenie odbiorca zignoruje to zapytanie (bo nie ma wystarczajcych informacji), ale jeli podejrzane urzdzenie rzeczy-wicie podsuchuje w sieci i rwnie przechwycio nasze zapytanie, zapewne odele odpowied. Spraw komplikuje fakt, e profesjonalny podsuch zapewne bdzie przygotowany przy wykorzystaniu kabla typu receive only, czyli umoliwia-jcego tylko odbir danych.

Zrozumienie kolejnej metody wy-krywania snifferw wymaga znajomoci podstaw dziaania usugi DNS (Domain Name System) i revDNS (Reverse Domain Name System). W uproszczeniu, usuga revDNS umoliwia znalezienie nazwy sieciowej urzdzenia (na przykad kame-ra11.monitoring.pl) o znanym adresie IP. Ot wiele programw umoliwiajcych prowadzenie podsuchu w sieci wykonuje automatyczne zapytania revDNS odno-nie do przechwyconych adresw IP. Z tego powodu warto prowadzi w sieci monitoring zapyta do serwerw DNS. Dowiadczony administrator z pewnoci bdzie umia uruchomi i prowadzi moni-toring tej usugi.

Trzeba przyzna, e wikszo z opi-sanych tutaj metod wymaga duego do-wiadczenia i zaawansowanych narzdzi (na przykad do przygotowania wasnych pakietw). Z tego powodu w przypadku, gdy istnieje realne zagroenie, e w sieci znajduje si sniffer, dobrym pomysem jest zatrudnienie firmy lub osoby, ktre

Rys. 6. Zdalne sprawdzenie statusu filtra adresw MAC na urzdzeniu sieciowym.

Rys. 7. Wykrywanie snifferw metod znajdowania urzdze udzielajcych odpowiedzi na zapytania, ktrych nie powinny byy otrzyma.

SYSTEMY SIECIOWE

Twierdza | 6/2004

18

Twierdza | 6/2004

1919

specjalizuj si w zabezpieczaniu syste-mw informatycznych. Z pewnoci bd oni potrafili wykorzysta opisane metody (a by moe take inne, ktre nie znalazy tu swego miejsca, na przykad metoda modyfikacji pola source-route w pa-kietach IP). Rwnie mog sprbowa przeprowadzi inne, rzadko stosowane (a jednak skuteczne) operacje, takie jak skanowanie technik TDR (Time-Do-main Reflectometer). Metoda ta polega na wykorzystaniu radaru w stosunku do medium transmisyjnego. Urzdzenie wysya impuls do przewodu, a nastpnie wywietla odebrane odbicia. Spoglda-jc na wykresy, ekspert moe oceni, czy do przewodu s podczone jakie urzdzenia, ktrych nie powinno tam by. Istnieje rwnie dua szansa, e okreli on lokalizacj przelotki (ang. tap). Mona w ten sposb wykry sprztowe sniffery podczone do medium transmisyjnego, ktre s cakowicie niewidoczne dla uytkownikw sieci. Technika TDR bya czsto wykorzystywana na kablach kon-centrycznych Ethernet w celu wykrycia przelotek typu vampire, ale obecnie pa-nuje na wiecie topologia gwiazdy i oka-blowanie typu skrtka.

Szyfrowanie transmisji danych

Odpowiedni projekt architektury sieci, stosowanie prawidowo skonfigurowa-nych switchw, monitorowanie i wykrywa-nie snifferw... wszystkie te czynnoci mog znaczco przyczyni si do stwo-rzenia rodowiska wolnego od podsu-chu. Niestety nie daj one adnej gwaran-cji poufnoci danych, poniewa zawsze istnieje choby minimalne ryzyko, e kto nieupowaniony przechwyci dane z sieci.

Z tego powodu zalecane jest zastoso-wanie jeszcze innego podejcia do pro-blemu szyfrowanie transmitowanych danych. Szyfrowanie stosuje si po to, aby nawet po przechwyceniu przez in-truza dane byy dla niego bezuyteczne przez pewien czas, a konkretnie do czasu utraty ich przydatnoci lub do momentu zamania szyfru, nawet na najbardziej zaawansowanych komputerach.

Niestety oznacza to rwnie, e cz mocy obliczeniowej urzdze musi zo-sta przeznaczona na stae obliczenia zwizane z szyfrowaniem transmisji. Trzeba to wzi pod uwag przy imple-mentowaniu tego rodzaju zabezpiecze,

ewentualnie mona wyposay sie w dodatkowe specjalistyczne szyfratory, ktre bd zapewniay stae szyfrowanie w najbardziej istotnych fragmentach sieci. Istotne jest, aby sia szyfrowania bya uzaleniona od czasu przydatnoci danych. Nie ma sensu szyfrowa da-nych tak mocno, e ich odszyfrowanie potrwa tysice lat, skoro strac one swoj przydatno ju po miesicu. Sia szyfrowania oczywicie nie pozostaje bez znaczenia dla obcienia proceso-rw w urzdzeniach.

Obecnie jest dostpnych wiele gotowych rozwiza szyfrowania, ktre wystarczy tylko zaimplementowa do wa-snych potrzeb, midzy innymi coraz bar-dziej popularne rozwizania typu VPN (Virtual Private Networking), protokoy IPSEC (Internet Protocol Security), SSH (Secure Shell) czy SSL (Secure Sockets Layer).

Zastosowanie odpowiednich algoryt-mw i protokow szyfrowania w stosunku do transmitowanych danych nie jest pro-stym zadaniem i przekracza ramy tej cz-ci naszego cyklu artykuw, ale dowiad-czony administrator sieci z pewnoci sobie z tym poradzi.

R E K L A M A

SYSTEMY SIECIOWE