Wykad 1

TEMAT: PODSTAWY BEZPIECZESTWA SIECI KOMPUTEROWO-TELEINFORMATYCZNYCH (SKI)

1.1. Oglne pojcie bezpieczestwa

Prba okrelenia bezpieczestwa za pomoc jednej definicji moe okaza si nie wystarczajca. Dlaczego? Dlatego, e bezpieczestwo to zagadnienie bardzo obszerne. Dla administratora sieci moe to oznacza pewno, e system nie zostanie zhakowany; dla twrcw stron internetowych gwarancj, e numer karty kredytowej klienta dokonujcego zakupw przez Internet nie bdzie przechwycony. Jeszcze inn interpretacj przedstawi zarzd firmy. Dla nich oznacza to stan, w ktrym przedsibiorstwo jest odpowiednio chronione przed stratami.

Wieloznaczno interpretacji tego tematu nasuwa wnioski: aby stworzy bezpieczny system ochrony informacji, nie mona skupi si na rozwizaniach punktowych, takich jak np. zapory ogniowe (firewall), czy skanery antywirusowe. Przy tworzeniu moliwie najbezpieczniejszej infrastruktury sieciowej koniecznym jest postrzeganie bezpieczestwa jako caoci. Jeli jeden element w systemie jest saby, to automatycznie cay system jest zagroony. Dla przykadu: uycie zapory ogniowej ogranicza moliwo ataku intruzw z zewntrz, ale nie wyklucza nieuczciwych dziaa pracownikw wewntrz firmy. Trzeba take pamita, e czynnoci zabezpieczania sieci nie mona uzna za jednorazowe. Zapewnienie bezpieczestwa to proces cigy. Jeli pracownik SKI nie dba o aktualizowanie oprogramowania, usunicie bdw systemowych czy chociaby monitorowanie ruchu sieciowego, to pewnego dnia moe si okaza, e sie stanie si atwym celem ataku. Aby unikn niepotrzebnego ryzyka naley stosowa si do pewnych regu.

Zarzdzanie systemem informatycznym w kontekcie bezpieczestwa polega na zapewnieniu usug ochrony (niezaprzeczalnoci, kontroli dostpu, integralnoci danych, uwierzytelniania, poufnoci danych), niezalenie od tego, czy pod tym pojciem kryje si jednostkowy komputer, czy tez caa sie komputerowa.

W_1_(SK_B).doc 1

Rys. 1.1. Hierarchiczny model bezpieczestwa SKI

W_1_(SK_B).doc 2

1.2. Usugi ochrony uyteczna klasyfikacja usug ochrony: integralno danych 1 potwierdzenie w przekazach telekomunikacyjnych, e

przesyana informacja nie zostaa podmieniona, znieksztacona lub zmieniona bez wiedzy adresata. W praktyce funkcj integralnoci realizuje si przez doczenie do wiadomoci tzw. podpisu cyfrowego i prywatnego (tajnego) klucza znanego tylko odbiorcy. Niejawny klucz nadawcy jest zaszyfrowany wspolnym dla nadawcy i odbiorcy kluczem kodu integralnoci lub kodu uwierzytelnienia wiadomoci;

uwierzytelnianie 2 proces potwierdzenia tosamoci osoby lub obiektu implementowany w systemach ochrony sieci komputerowych; stosowany gwnie w celu zabezpieczenia sieci przed niepodan penetracj osb lub obiektw (programw, plikw, serwerw itd.), take zabezpiecza przed podpisywaniem si przed faszerzy. Technika uwierzytelniania obejmuje 3 podstawowe rozwizania, kade o innym stopniu ufnoci uwierzytelniania: zwykle karty identyfikacyjne (token) 3, inteligentne karty identyfikacyjne oraz urzdzenia biometryczne (obraz twarzy, linie papilarne, siatkwka oka, identyfikacja gosowa) o najwikszej pewnoci identyfikacji uytkownika;

poufno informacje przesyane i skadowane w sieci nie mog by czytane przez nieuprawnione podmioty;

integralno informacje nie s zniszczone, zmodyfikowane lub skradzione przez niepowoane osoby z zewntrz lub wewntrz;

dostpno elementy sieci, dane i usugi s zawsze dostpne, kiedy s potrzebne.1 Leksykon teleinformatyka2 Leksykon teleinformatyka3 karta identyfikacyjna [wg Leksykonu teleinformatyka] o znormalizowanych rozmiarach i funkcjach karta (zwyka, magnetyczna*, elektroniczna**, inteligentna), zawierajca zapis informacji niezbdnych do identyfikacji jej waciciela po uprzednim wprowadzeniu odpowiedniego i waciwego kodu hasowego. Inteligentne karty identyfikacyjne generuj zmienny kod hasowy, co dobrze je chroni przez niepowoanym podsuchem;* karta magnetyczna [wg Leksykonu teleinformatyka] typ bankomatowej karty identyfikacyjnej z laminowanego PCV o standardowych wymiarach 86x54x0,76 [mm]. Karty tego typu maj naniesiony pasek magnetyczny (koercja 300 Oerstedw) i kilka zabezpiecze: hologram, nadruk UV, mikrodruk oraz unikatowe cechy zwizane z kart, kontem i klientem systemu kodowane na pasku magnetycznym. Czsto wymaganymi etapami personalizacji s: przetoczenie karty przy jej wydawaniu oraz zoenie niecieralnego wzoru podpisu uytkownika na sylikonowej warstwie karty;** karta elektroniczna [wg Leksykonu teleinformatyka] typ patniczej lub identyfikacyjnej karty plastikowej o ustalonych wymiarach (86x54x0,76 [mm]), z wmontowanymi jednym lub wicej ukadami scalonymi. Ze wzgldu na sposb komunikacji z otoczeniem zewntrznym karty elektroniczne dziel si na stykowe (metalizowane styki) i bezstykowe ze specjalnymi ukadami komunikacji. Wyrnia si dwa rodzaje kart:

pamiciowe (memory card) z zapisem jednokrotnym EPROM lub wielokrotnym EEPROM oraz mikroprocesorowe (smard card), inaczej zwane inteligentnymi (CPU, RAM, ROM, EPROM,

WE/WU) zarzdzajce dostpem do poszczeglnych jej fragmentw oraz ukadw WE/WU. Inteligentne karty mikroprocesorowe przechowuj informacje, wykonuj operacje na danych (zapis, odczyt, uaktualnianie), umoliwiaj dwukierunkow komunikacj, a oprcz identyfikacji wykonuj take procedury kryptograficzne (szyfrowanie za pomoc wymiennych kluczy).

W_1_(SK_B).doc 3

1.3. Ataki na bezpieczestwo

1.3.1. Rodzaje atakw

SKI moe by zaatakowany na wiele rnych sposobw. Osoby niepowoane wykorzystuj luki programowe, wyszukuj nowe bdy w oprogramowaniu, co prowadzi do powstawania coraz bardziej wyrafinowanych technik atakw. Zgodnie z klasyfikacj zaproponowan przez Stephena T. Kenta wyrnia si dwa typy atakw: pasywne i aktywne.

Ataki pasywne polegaj na przechwyceniu, podsuchiwaniu lub monitorowaniu przesyanych danych. Osoba niepowolana ogranicza si do odkrycia treci komunikatu-strumienia danych lub jego analizy, ale nie ingeruje w sam struktur przechwyconej informacji. W zwizku z tym s to dziaania bardzo trudne do wykrycia. W postpowaniu z tego rodzaju zagroeniami skuteczniejsze s metody zapobiegawcze.

Ataki aktywne w przeciwiestwie do pasywnych, ich celem jest modyfikacja lub faszowanie danych, oddziaywanie na SKI powodujc przerwanie transmisji, modyfikacje strumienia danych lub podszywania si pod kogo innego. Wyrnia si kilka ich typw:

o maskarada (masquerade) dziaanie polegajce na podszywaniu si pod komputer uprzywilejowany; zwykle towarzysz jej inne ataki aktywne,

o powtrka (replay) polega na przechwyceniu danych i ich retransmisji do osignicia wasnych niedozwolonych celw,

o modyfikacja (modification) sprowadza si do zmiany oryginalnego fragmentu komunikatu i podstawienia wasnego zazwyczaj w celu osignicia niedozwolonych skutkw, np.: dostp do zasobw,

o blokada usug (denial of service) przeszkadzanie w normalnym funkcjonowaniu urzdze komunikacyjnych w celu uniemoliwienia lub cakowitego zablokowania dostpu do cza fizycznego; cigy napyw pakietw danych, ktry w rezultacie moe prowadzi do tzw. programowego przepenienia bufora i zawieszenia urzdzenia.

W_1_(SK_B).doc 4

Ze wzgldu na charakter ataku rozrnia si: przechwycenie (interception) jest to atak (pasywny) na poufno;

wystpuje, gdy osoba nieupowaniona uzyskuje dostp do zasobw, np.: podsuchiwanie pakietw transmisijnych celem przechwycenia danych w sieci i nielegalne kopiowanie plikw lub programw;

Rys. 1.2. Schemat ataku przechwycenia

przerwanie (interruption) jest to atak (aktywny) na dyspozycyjno; polega na na zniszczeniu czci informacji lub spowodowaniu jej niedostpnoci albo niemonoci uycia niektrych elementw systemu; Przykadem moe by fizyczne zniszczenie fragmentu komputera lub sieci, np. uszkodzenia dysku twardego, przecicie medium transmisyjnego, lub uniemoliwienie dziaania systemu zarzdzania plikami;

Rys. 1.3. Schemat ataku przerwania

W_1_(SK_B).doc 5

modyfikacja (modification) jest atakiem (aktywnym) na

nienaruszalno; polega nie tylko na zdobyciu przez napastnika dostpu do zasobw ale rwnie modyfikacji ich, np.: zmiana zawartoci w pliku z danymi albo skryptw startowych lub modyfikacja komunikatw przesyanych w sieci, wprowadzenie zmiany w programie w celu wywoania innego sposobu jego dziaania;

Rys. 1.4. Schemat ataku modyfikacji

podrabianie (fabrication) jest atakiem (aktywnym) na autentyczno; napastnik wprowadza do systemu faszywe obiekty, np.: wprowadzenie nieautentycznych komunikatw do sieci lub dodanie danych do pliku.

Rys. 1.5. Schemat ataku podrobienia

W_1_(SK_B).doc 6

1.3.2. Ataki pasywne

1.3.2.1. Sniffing, czyli podsuchiwanie

Sniffing jest technik polegajc na przechwytywaniu pakietw przepywajcych w SKI. Kady komputer podczony do lokalnej sieci komputerowej ma swj wasny unikalny adres sprztowy (MAC). W sieci, w ktrej wystpuje rozgaszanie (broadcasting), dane s rozsyane do wszystkich komputerw, ale odbieraj je tylko te, do ktrych s zaadresowne. Wykorzystujc fakt, e karty sieciowe w trybie mieszanym pozwalaj na odczytywanie pakietw przesyanych do innych komputerw w sieci, osoba niepowoana moe przechwyci poufne informacje przesyane przez sie. Programy suce w tym celu nazywa si snifferami. Pierwotnie sniffery stanowiy narzdzie administracyjne do analizowania ruchu sieciowego i wykrywania problemw sprztowych konfiguracyjnych. Z czasem zostay przyswojone przez osoby nieupowanione. Dzi s powanym zagroeniem dla poufnoci danych w sieci przedsibiorstwa. Praktyka pokazuje, e wikszo atakw tego typu polega na kradziey istotnych danych lub przechwyceniu sekwencji bajtw zawierajcych informacje autoryzacji (login i haso). W infrastrukturze kadej SKI istnieje kilka newralgicznych punktw, w ktrych mog zosta zainstalowane sniffery. S to midzy innymi: rutery, wzy komunikacyjne pomidzy dwoma sieciami LAN, serwery korporacyjne, komputery uytkownikw. Zainstalowanie sniffera w newralgicznym miejscu w sieci, np. na routerze, moe doprowadzi do pokonania zabezpiecze wszystkich innych stacji roboczych z nim poczonych. Programy tego typu na og przechwytuj wszystkie pakiety z danymi. Jeli osoba nieupowaniona nie kradnie danych, to z punktu jej widzenia wikszo pakietw nie ma dla niej znaczenia, dlatego ogranicza si przechwytywanie do kilkuset bajtw z kadego pakietu. Zazwyczaj wystarczy to do poznania nazwy uytkownika i jego hasa. Sniffery mona zainstalowa na kadej maszynie w SKI, ale najbardziej interesujce dla osoby nieupowanionej s miejsca, gdzie dokonuje si procedur autoryzacji. Na szczeglne niebezpieczestwo naraone s komputery bedce bramkami miedzy sieciami.

Ze wzgldu na umiejscowienie sniffera w sieci wyrni mona trzy sytuacje:

sniffer znajduje si na routerze midzy sieci lokaln a Internetem, bd te miedzy rnymi sieciami lokalnymi lub rozlegymi; ten rodzaj sniffingu jest najbardziej niebezpieczny;

sniffer znajduje si na komputerze, z ktrego inicjowane jest poczenie;

W_1_(SK_B).doc 7

sniffer dziaa na komputerze, na ktry nastpuje prba logowania uytkownika.

Wyrnia si dwa sposoby prowadzenia sniffingu:

1. Pierwszy z nich to podsuch za pomoc urzdze wczonych na pewnym odcinku medium transmisyjnego. Trudne do zlokalizowania zwaszcza, e takie urzdzenie moe znajdowa si w dowolnym miejscu w sieci. Niedawno wydawao si, e zastosowanie wiatowodw ograniczy swobod podsuchiwaczy. Dzi wiadomo ju, e bariera ta zostaa pokonana. W zlokalizowaniu snifferw pomocne okazuj si reflektometry dziedziny czasu TDR (Time Domain Reflectometr) wykorzystujce zjawisko odbicia czci energii fali elektromagnetycznej.

2. Sniffery wystpuj take w formie oprogramowania dedykowanego. Jedne to rozwizania komercyjne oferujce due moliwoci co do iloci analizowanych protokow oraz wsparcia technicznego. Drugie to darmowe, nieco ubosze programy dostpne na wielu witrynach internetowych (niekoniecznie do legalnego wykorzystania).

S rwnie mieszane, sprztowo-programowe metody podsuchiwania ruchu sieciowego. Istnieje jeszcze jedna metoda ograniczania sniffingu podzia sieci na mniejsze podsieci za pomoc urzdze typu most, przecznik lub ruter (ograniczaj przepyw informacji w danej podsieci, co zmniejsza prawdopodobiestwo przechwycenia ich przez sniffer). Niestety jest to rozwizanie mao praktyczne ze wzgldu na wydatki jakie niesie ze sob zakup owych urzdze.

W ostatnim czasie znacznie udoskonalono technologie w zakresie bezpieczestwa systemw komputerowych. Wikszo systemw operacyjnych stosuje kryptografi ju na poziomie pakietu, tak wic jeeli osoba niepowoana przechwyci ju jakie pakiety bd one w postaci zaszyfrowanej. Sniffery mog take przyczyni si do naruszenia bezpieczestwa ssiednich sieci komputerowych bd stopniowego dostpu do nich. Wymogiem uruchomienia sniffera na danej maszynie jest posiadanie uprawnie administratora, poniewa moliwo przestawinia karty sieciowej w tryb mieszany dozwolone jest tylko administratorom. Wykrywanie snifferw jest zadaniem trudnym, bowiem programy tego typu dziaaj pasywnie i nie zostawiaj adnych ladw w logach systemowych.

W_1_(SK_B).doc 8

1.3.2.2. Kradziee haseKolejn warstw ochrony jest procedura uwierzytelniania uytkownika

rozpoczynajcego prac w systemie. Procedura ta ma na celu ochron przed nielegalnym dostpem do systemu. Najczciej procedura taka wykonywana jest z wykorzystaniem hase. Aby procedura ta zapewniaa odpowiednio wysoki poziom bezpieczestwa, haso powinno by kontrolowane na etapie tworzenia. Haso powinno wykazywa odpowiedni stopie zawioci (nie powinno by oczywiste). Istnieje szereg narzdzi, zarwno dostarczanych z systemami operacyjnymi, jak i dodatkowych, sucych do kontroli zawioci hase. Niektre z tych narzdzi tworz sowniki najpopularniejszych wyrae i stosujc pewien zbir regu prbuj wygenerowa niebezpieczne hasa, ktre pniej nie s dopuszczane do uytkowania. Prawdopodobnie najwikszym zagroeniem bezpieczestwa w Internecie jest wielokrotne uywanie tych samych hase i przesyanie ich w postaci zwykego, niezaszyfrowanego tekstu. Problem ten dotyczy zarwno sieci zewntrznych, jak i wewntrznych. Jedyn metod obrony przed podsuchiwaniem hase jest eliminacja przekazywania ich w postaci niezaszyfrowanego tekstu oraz czsta zmiana.

Tworzenie silnych haseDobre zabezpieczenia komputera obejmuj stosowanie silnych hase logowania do

sieci oraz do konta administratora na danym komputerze. Aby haso byo silne i trudne do zamania, powinno:

liczy co najmniej siedem znakw; zawiera znaki z trzech nastpujcych grup (tab. 1.1):

Tabela 1.1 Spis znakw uywanych do tworzenia silnych znakw

Opis PrzykadyLitery (wielkie i mae) A, B, C,...; a, b, c,...Cyfry 0, 1, 2, 3, 4, 5, 6, 7, 8, 9Symbole (wszystkie znaki nie bdce literami ani cyframi)

` ~ ! @ # $ % ^ & * ( ) _ + - = { } | [ ] \ : " ; ' < > ? , . /

mie przynajmniej jeden znak symbolu midzy pozycjami drug a szst; by zdecydowanie inne od poprzednich hase; nie zawiera imienia, nazwiska ani nazwy uytkownika; rni si od wszelkich wyrazw i nazw wasnych. Hasa mog by najsabszym ogniwem w acuchu zabezpiecze komputera.

Oprogramowanie do amania hase stosuje jedn z trzech nastpujcych metod: inteligentne odgadywanie, ataki ze sownika i automatyzacj polegajc na wyprbowywaniu wszystkich moliwych kombinacji znakw. Dysponujc odpowiedni iloci czasu, metoda zautomatyzowana jest w stanie zama kade haso.

Naley te uwaa, gdzie si zapisuje haso na komputerze. Niektre okna dialogowe, np. te suce do dostpu zdalnego i innych pocze telefonicznych, oferuj opcj zapisania lub zapamitania hasa, zalecane jest nie zaznaczanie tej opcji.

W_1_(SK_B).doc 9

1.3.2.3. SkanowanieJedn z pierwszych czynnoci, jakie wykonuje osoba nieupowaniona, jest test

penetracyjny atakowanego komputera w celu zdobycia informacji dotyczcych: oferowanych usug TCP, UDP, RPC; rodzaju i wersji oprogramowania udostpnianych usug jak i samego

systemu operacyjnego; struktury SKI.W pierwszej kolejnoci wykonuje skanowanie zdalnej maszyny pod ktem

otwartych portw, a nastpnie prbuje uzyska informacje o rodzaju i wersji oprogramowania odpowiedzialnego za obsug tych portw, a take informacje o architekturze i systemie operacyjnym. Posiadajc ju wszelkie informacje, osoba nieupowaniona moe cigajc odpowiedni program z Internetu exploit, przeprowadzi atak sabiej czci SKI. Skanowanie przeprowadza si technik siow poprzez wysyanie pakietw na rne porty w zalenoci od otrzymanej odpowiedzi lub jej braku, poprzez dedukcj otrzymuje si porty, ktre s otwarte.

1.3.2.4. Social engineering

Terminem social engineering okrela si zestaw sposobw na wyudzenie informacji o kontach i hasach dostpu oraz innych elementw wpywajcych na bezpieczestwo SKI. Pod tym pojciem kryje si niebezpieczny mechanizm naduywania ludzkiego zaufania w celach kryminalnych. Uwiadomienie uytkownikowi problemw wystpujcych podczas pracy z komputerem moe zapobiec niebezpiecznym incydentom. Zazwyczaj czowiek jest najsabszym elementem systemu bezpieczestwa w firmie. Niekoniecznie musi to by efekt wiadomego dziaania. Bdy mog wynika z braku odpowiedniej wiadomoci istniejcych zagroe. Istniej dwa sposoby oszukania uytkownika. Pierwszy to uycie rodkw programowo-sprztowych, np. rozmieszczenie stron zawierajcych odpowiednio umotywowan prob o podanie identyfikatora uytkownika oraz hasa. Natomiast drugi bazuje na bezporednim kontakcie telefonicznym lub osobistym z celem ataku - uytkownikiem, lub pracownikiem dziau helpdesk.

Jeli firma nie posiada opracowanej polityki bezpieczestwa to prdzej czy pniej dojdzie do incydentu przekazania tajnych informacji osobom nieuprawnionym. By zabezpieczy si przed tak ewentualnoci konieczne jest wdroenie dobrych zasad ochrony informacji poufnych. Stosowanie zabezpiecze technicznych w postaci zapr ogniowych, programw antywirusowych nie wystarczy. Wane jest take odpowiednie szkolenie uytkownikw. Niebezpiecznym zwyczajem jest przesyanie znajomym rnych artobliwych obrazkw lub animacji. Potencjalnie w kadym z nich moe znajdowa si wirus

W_1_(SK_B).doc 10

lub trojan. Wikszoci niebezpiecznych sytuacji da si unikn dziki odpowiedniemu uwiadomieniu uytkownikom istniejcych zagroe.

W_1_(SK_B).doc 11

1.3.3. Ataki aktywne1.3.3.1. Spoofing

Atak polegajcy na oszukiwaniu systemw zabezpiecze SKI poprzez podszywanie si jednego komputera pod inny, upowaniony do nawizywania poczenia. Wrd wielu odmian tego ataku najpopularniejsze to IP-Spoofing oraz DNS-Spoofing. Rzadziej spotykane to ARP-Spoofing czy RIP-Spoofing.

IP-SpoofingMetoda zostaa opisana po raz pierwszy w roku 1985, a pierwszy atak z

wykorzystaniem tej techniki odnotowano w Boe Narodzenie 1994 r. Jej dziaanie polega na podsuchiwaniu przez sniffer poczenia pomidzy klientem a serwerem i wyapywaniu wysyanych numerw sekwencji. Po znalezieniu algorytmu, jakim s one tworzone, haker doprowadza do niestabilnoci poczenia, np. poprzez atak SYN Flood na stacje klienta, zmienia numer IP na numer klienta i przewidujc numer sekwencji korzysta z istniejcego poczenia jako autoryzowany uytkownik: tzn. sprowadza si do przesyania pakietw ze sfaszowanym adresem rdowym. W efekcie komputer odbierajcy pakiety bdnie identyfikuje nadawc. Najczciej atak IP-Spoofing przeprowadzany jest z sieci publicznej po to, aby przej kontrol nad jakim wanym komputerem z sieci prywatnej. Skada si z kolejnych faz:

1) atak na klienta w sieci prywatnej; powoduje niestabilno pracy systemu cel osigany z wykorzystaniem jednej ze skutecznych technik, np. SYN Flood;

2) przejcie adresu komputera uprzywilejowanego i podszycie si pod zablokowanego klienta napastnik kontynuuje nawizane wczeniej poczenie z serwerem jako autoryzowany uytkownik.

Rys. 1.6. Zasada dzialania IP-Spoofingu

W_1_(SK_B).doc 12

DNS-Spoofing

Jest atakiem na nienaruszalno serwera DNS (Domain Name System): polega na wamaniu si do serwera DNS, ktry przechowuje baz danych (odpowiedzialn za proces przeksztacania adresw-nazw na odpowiednie adresy IP). Sprowadza si do zmiany tablic mapowania nazw hostw na adresy IP poprzez modyfikacj wpisw w tablicy DNS w taki sposb, e dania klientw s kierowane do komputera krakera, zamiast do prawdziwego miejsca docelowego.

Kiedy klient wysya danie podania adresu IP jakiego hosta, to w odpowiedzi otrzymuje adres podrobiony: moe to by adres IP komputera znajdujcego si pod cakowit kontrol krakera. Podszywanie DNS jest do atwo wykry. Jeli podejrzewamy ktry z serwerw DNS, naley wysa dania do innych serwerw DNS w sieci. Po porwnaniu odpowiedzi atwo mona zauway wystpienie ew. anomalii. Jedyn przeszkod napotkamy, gdy ataku na dany serwer DNS dokonano stosunkowo dawno i tablica mapowania zostaa przesana do innych serwerw.

Ryzyko zagroenia atakiem typu Spoofing mona zminimalizowa poprzez odpowiednio skonfigurowany filtr pakietw blokowanie tych pakietw nadchodzcych z sieci publicznej, ktre posiadaj adres rdowy z zakresu sieci prywatnej. Bardziej zaawansowane przeciwdziaanie obejmuje zainstalowanie zapory ogniowej dysponujcej funkcj antispoofing. Funkcja ta umoliwia wykrycie, czy pakiet zosta sfaszowany, czy nie. Decyzj t podejmuje na podstawie prostej zasady. Ot zapora ogniowa identyfikuje sieci znajdujce si poza jej fizycznymi interfejsami. Zatem jeli pakiet przychodzcy (z prywatnym adresem nadawcy) pojawi si na interfejsie sieci wewntrznej, zostanie potraktowany jako prawdziwy. W innym przypadku bdzie uznany za sfaszowany.

W_1_(SK_B).doc 13

Rys. 2.8.

1.3.3.2. Ataki typu DoSJest to jeden z najczciej stosowanych atak na sieciowe systemy komputerowe,

majcy na celu zakcenie funkcjonowania systemu lub cakowite sparaliowanie jego pracy. By moe dlatego, e jest do atwy do przeprowadzenia i efektywny, a w konsekwencji niebezpieczny. Ataki przeprowadzane zdalnie wykorzystuj wady protokou TCP/IP. Niebezpieczestwo polega na tym, e z zaoenia protok ten mia spenia zadania wyznaczone w specyfikacji. Nikt nie spodziewa si, i bdzie wykorzystywany do innych celw. Pocieszajc wiadomoci moe by fakt, e w momencie zlokalizowania bdw w aplikacjach, ich producenci wypuszczaj na rynek oprogramowanie korygujce, co w przyszoci zapobiega podobnym przypadkom. Niestety, szerokie zastosowanie TCP/IP sprawia, e w zasadzie kady element sieci z zaimplementowan obsug tego standardu, jest podatny na ataki typu DoS.

Charakterystyczne s efekty atakw typu DoS:a) wyczerpanie zasobw polega na przecieniu elementw krytycznych systemu,

tj. procesora, pamici, pamici dyskowej, itp. Procesy dajce ponadprzecitnej dostpu do tych zasobw mog zosta zablokowane;

b) zniszczenie zasobw spowodowanie niestabilnoci pracy programw skutkuje bdami, ktre mog doprowadzi do zniszczenia, np.: wprowadzanie pakietw o nieprawidowych rozmiarach lub z bdnymi opcjami prowadzi zawieszenia gniazda w aplikacji;

c) wstrzymanie usug wykorzystuje zjawisko odtwarzania procesw; ma miejsce, gdy system w celu zachowania niezawodnoci, zamyka i odrzuca przez pewien czas poczenia TCP dla danej pary adresu i portu rdowego i docelowego.

Odmiany DoS:SYN flood - najpopularniejszy atak typu DoS, polega na wysaniu do serwera ofiary bardzo duej liczby zapyta, np. tysicy odwoa do tej samej strony internetowej.

Rys. 1.7. Schemat nawizania poczeniaW_1_(SK_B).doc 14

Kraker przeprowadza atak SYN flood w sposb automatyczny, korzystajc z gotowych programw, jakie bez trudu mona znale w Internecie. Wykonywany przez taki program atak polega na wykorzystaniu protokou Three-way-Handshaking czyli trjfazowe porozumienie: do serwera wysyany jest pocztkowo pakiet sucy do synchronizacji transmisji (tzw. pakiet SYN), dajc nawizania poczenia poprzez wymaganie od serwera wysania potwierdzenia. Poniewa system musi odpowiedzie na zapytanie (zgodnie ze specyfikacj), odsya pakiet SYN/ACK, czyli informuje, e moe nawiza poczenie. Po jego otrzymaniu program potwierdza swoj gotowo, poczenie zostaje nawizane, natomiast jednoczenie serwer rezerwuje na ten cel jeden z wolnych portw, cz pamici i deskryptor pliku nowego poczenia. Oczekuje na trzeci faz procesu powrotny ACK. Kraker nie poprzestaje jednak na odsyaniu takiej informacji (co powoduje, e serwer ponownie zada potwierdzenia nawizania cznoci, ale z dwukrotnie wikszym czasem oczekiwania na odpowied; taka prba ma miejsce zwykle ok. 6 razy potem serwer odrzuca poczenie), zalewajc serwer kolejnymi daniami poczenia, tym razem nie wysyajc potwierdze. Pena komunikacja sieciowa nie zostaje wic do koca nawizana, a serwer przebywa w stanie cigego oczekiwania na otwarcie pocze. Odpowiednio dua liczba da powoduje, e w krtkim czasie zablokowane zostaj wszystkie wolne porty. Poniewa po pewnym czasie serwer zwalnia zajte porty, skuteczny atak wymaga cigego utrzymywania pracy programu-agresora. Takie dziaanie skutecznie blokuje ruch przychodzcy i wychodzcy maszyny atakowanej. Powana utrata mocy obliczeniowej maszyny w wielu przypadkach prowadzi do zawieszenia danej usugi sieciowej lub caego serwera, przez co odwoania rzeczywistych jego uytkownikw nie mog ju zosta zrealizowane.. Rzutuje to take na inne systemy wspomagajce bezpieczestwo w sieci, np.: zapor ogniow lub proxy serwer. Dla kadego przychodzcego poczenia firewall tworzy nowy wpis do tablicy stanw, a proxy nowy punkt kocowy proxy dla porednictwa midzy maszyn klienta i serwera. Wynikiem wyczerpania zasobw jest bezuyteczno obu urzdze (na czas ich odblokowania).

W celu przywrcenia dziaania systemu konieczna staje si wwczas interwencja administratora. Zlokalizowanie sprawcy ataku DoS jest stosunkowo atwym zadaniem i sprowadza si do okrelenie adresu IP komputera, z ktrego wysyane s pakiety. Dla wyspecjalizowanych sub wyledzenie sprawcy nie stanowi problemu, nawet w przypadku, gdy stosuje on technik faszowania adresw IP (tzw. IP spoofing).

Czasami SYN flood nie jest skierowany bezporednio na konkretne urzdzenie komunikacyjne w sieci, ktre moe by jedynie pretekstem do rzeczywistego celu, jakim jest zapchanie czy, co w dalszym cigu uniemoliwia komunikacj wewntrzsieciow. Rozwizaniem mog by access listy, ktre filtruj ruch na maszynach trasujcych. Jednak w dalszym cigu atak bdzie dochodzi do rutera brzegowego. W powanych sytuacjach koniecznym moe si okaza wsppraca z dostawc cza internetowego. Niezalenie od tego zaleca si stosowanie asekuracyjnych zabiegw, ktre zmniejszaj podatno systemu na ataki SYN flood, a s to midzy innymi:

- rozsdne ustawienie liczby powtrze wysyanych pakietw ACK wwczas serwer szybciej zwalnia gniazda po nieudanej prbie poczenia;

- zwikszenie iloci moliwych pocze utrudnia w krtkim czasie zablokowanie wszystkich dostpnych gniazdek;

- obarczenie dostawcy Internetu (ISP) odpowiedzialnoci za ochron przed atakami,- aktualizowanie oprogramowania.

W_1_(SK_B).doc 15

Amplification attack

Atak stosowany w sytuacjach, gdy sie ofiary ma znacznie wiksz przepustowo ni cze napastnika. Zamy, e haker moe wysya dane z prdkoci 2 Mbit/s, a sie docelowa ma 155 Mbit/s. Niemoliwym jest zapchanie, aby atakujcy wysa tyle pakietw, eby zapcha cae dostpne pasmo. W 1998 roku po raz pierwszy pojawia si technika zwana amplification attack, ktrej przedstawicielem jest atak typu Smurf.

Koncepcja dziaania Smurfa polega na wysyaniu do domeny rozgoszeniowej komputera-ofiary duej iloci pakietw ICMP echo request (ping) tak, aby w polu adresu rdowego znajdowa si adres maszyny atakowanej, a w polu adresu docelowego adres rozgoszeniowy. Wwczas kady komputer w domenie odpowie pakietem ICMP echo reply i pojedynczy komputer zostanie zalany zwielokrotnion iloci informacji, co prowadzi do zawieszenia jego usug. Nie wiadomo te kto dokona ataku, bo podmieniony adres rdowy wskazuje na komputer ofiary.

Rys. 1.8. Schemat ataku typu Smurf

Aby broni si przed Smurfem naley ustawi odpowiednie reguy sterujce pakietami na ruterze uniemoliwienie przepywu pakietom wychodzcym na adres rozgoszeniowy.

W_1_(SK_B).doc 16

Fragmentation attackStanowi zagroenie dla urzdze sieciowych (rutery, zapory ogniowe,

systemy wykrywania wama). Podstaw atakw z tej grupy jest proces fragmentacji, jaki zachodzi w warstwie sieciowej IP lub transportowej TCP. Proces polega na dzieleniu pakietu na mniejsze czci i wysyaniu go do odbiorcy, gdzie z powrotem zostaje poskadany do formy pierwotnej. Celem atakw jest zajcie czasu systemom ochronnym tak, eby jak najbardziej ograniczy dostpno zasobw maszyny. Aby to osign napastnik wysya pakiety o jak najmniejszym rozmiarze i z moliwie duym wspczynnikiem fragmentacji. Efekt obcienia systemu kocowego potguj: celowe opnienia pakietw, ich wzajemne nachodzenie na siebie, nieuporzdkowanie oraz wielokrotne powtarzanie tych samych informacji i tworzenie wielu pocze na raz. W wyniku tych zabiegw obiekt ataku spdza sporo czasu, zanim poskada wszystkie dane w jedn cao i pozamyka otwarte sesje TCP.

Dla przykadu: TearDrop

Wykorzystuje bd fragmentacji IP. Atak Teardrop ustawia w nagwkach IP znaczniki przesunicia, ktre wraz z numerem sekwencyjnym stanowi informacj dla systemu kocowego jak odtworzy pierwotn posta datagramu.

Rys. 1.9. Bdna rekonstrukcja pakietu

W_1_(SK_B).doc 17

Jeli mamy do przesania pakiet dugoci 4000 bajtw, to pola znacznika przesunicia w kolejnych fragmentach powinny zawiera wartoci: np. 1 do 1500, 1501 do 3000, 3001 do 4000. Dziaanie ataku sprowadza si do ustawienia tych wartoci w taki sposb, aby zachodziy na siebie, czyli np. 1 do 1500, 1500 do 3000, 3000 do 3500. Na dodatek ostatni pakiet ma dugo mniejsz od oczekiwanej. Host odbierajcy nie jest w stanie poprawnie zoy pakietw w jedn cao i generuje bdy rekonstrukcji. Skutek zawieszenie lub restart urzdzenia.

Ping of Death

Atak ten polega na wysaniu do maszyny zdalnej pofragmentowanych datagramw, ktrych czna dugo przekracza maksymaln dopuszczaln w specyfikacji 65 535 bajtw. Protok TCP/IP wykorzystuje dzielenie datagramw na mniejsze czci po to, aby wysyan informacj mona byo umieci w fizycznej ramce cza danych. Jeli urzdzenie docelowe bdzie prbowao odtworzy datagram sprzed fragmentacji, zwykle powoduje to zawieszenie systemu lub nawet restart maszyny. Realizacj ataku najczciej przeprowadza si przy uyciu ICMP echo request, czyli popularnego narzdzia ping do sprawdzania dostpnoci hosta zdalnego. Spotyka si take wykorzystanie protokow TCP, UDP oraz IPX. Atak stanowi spore zagroenie, poniewa jest niezaleny od platformy sprztowej. S na niego podatne niektre systemy UNIX, Mac OS, NetWare, rwnie urzdzenie typu zapora ogniowa czy ruter.

Aby chroni si przed tym atakiem naley instalowa aty uaktualniajce systemy obrony, ktre dostarcza producent. Skuteczne zabezpieczenie stanowi implementacja filtru pakietw lub odpowiedniego systemu zaporowego, ktry blokuje datagramy IP o wielkoci przekraczajcej dopuszczalny rozmiar.

W_1_(SK_B).doc 18

DDoS (Distributed Denial of Service), czyli rozproszony atak typu DoS

Jest ulepszon i znacznie bardziej niebezpieczn wersj ataku DoS wykorzystujcym tzw. rozproszone rodowisko komputerowe.Taktyka ataku DDoS polega na zdobyciu przewagi liczebnej i na skoncentrowanym ataku zdalnym. cilej mwic, napastnik wykorzystuje do swoich celw systemy komputerowe osb, ktre nawet nie zdaj sobie sprawy, e w tym uczestnicz. Pierwsza faza ataku polega na podporzdkowaniu sobie komputerw poredniczcych, tzw. zombie. Po zainstalowaniu odpowiednich wtyczek (dostpnych na stronach hakerskich) na wybranych komputerach, napastnik jest zdolny do przesyania prostych komend sterujcych potajemnie przejtym systemem. Zwykle pomidzy zombie a napastnikiem s jeszcze agenci, czyli 3 albo 4 komputery kontrolujce armi zombie.

Druga faza to przypuszczenie ataku. Rozkaz wysany z kwatery gwnej wyzwala seri dziaa z wykorzystaniem znanych scenariuszy atakw. Przy takim obleniu ofiara nie jest w stanie si obroni. Praktyka pokazuje, e nie mona lekceway atakw DDoS. W 1999 roku spustoszenie w sieci sia Tribal Network Flood, ktry wykorzystywa le skonfigurowane zapory ogniowe i rutery z dziurawymi filtrami ruchu sieciowego. Podstaw dziaania byo szyfrowanie treci komunikatw ICMP echo reply. Par miesicy pniej pojawi si na tyle dopracowany atak o nazwie Stacheldraht (drut kolczasty), e umoliwia uwierzytelnianie wasnych technik szyfrujcych w systemie ofiary i dokonywa nawet automatycznej aktualizacji. Trzeba zaznaczy, e rozproszony DoS cigle ewoluuje i pojawiaj si coraz bardziej wyrafinowany jego odmiany.

Sposobem na zminimalizowanie podatnoci sieci na ataki DoS s dziaania profilaktyczne, czyli:

konfigurowanie list dostpu na zaporach ogniowych i ruterach; korzystanie jedynie z niezbdnych usug; ustalanie ogranicze na zasoby systemowe (przestrze dyskowa,

przepustowo czy, itp.) - QUOTA; monitorowanie wykorzystania zasobw systemowych; instalowanie at na systemy w jak najkrtszym czasie po wykryciu luk; czytanie list dyskusyjnych i innych materiaw powiconych bezpieczestwu

w SKI; uywanie systemw wykrywania wama IDS; przygotowania narzdzi umoliwiajcych obron i lokalizowanie rda ataku.

W_1_(SK_B).doc 19

1.3.3.3. Konie trojaskie

"Ko trojaski" - program, ktry udaje prac innego legalnego programu, a w midzyczasie wykonuje szereg niepodanych czynnoci (np. faszywy program login kradnie haso uytkownika).

Konie trojaskie stanowi powane zagroenie z kilku powodw: dziaaj skrycie, nie rezerwuj adnych nowych identyfikatorw procesw

PID; wykorzystuj nazwy istniejcych programw - nie zdziwi na przykad fakt,

e na licie procesw zobaczymy ten wanie program, np. kilkakrotnie uruchomiony httpd;

konie trojaskie trudno jest wykry i rozrni od prawdziwych, autoryzowanych programw.

Wykrywanie koni trojaskich zazwyczaj polega na wyszukaniu podejrzanych zmian w plikach dyskowych. Inn metod moe by prba zdebugowania programu, albo nawet ogldniecie jego kodu maszynowego w najprostszym edytorze w celu wyszukania nietypowych komunikatw. Jeli np. w programie jak w/w login znalelibymy string postaci: "Segmentation Fault", ktry jest komunikatem normalnie tworzonym przez mechanizmy systemu, od razu moglibymy stwierdzi, ze co jest nie tak.

1.3.3.4. Ataki typu Buffer Overflow

Atak ma na celu przepenienie bufora w wybranym programie, co prowadzi do zawieszenia usugi albo do przejcia praw administratora. Najpopularniejsz form ataku wykorzystujc przepenienie bufora jest atakowanie buforw na stosie. Ataki s tak przeprowadzane, aby uzyska nastpujce cele: wprowadzi swj wykonywalny kod, jest to przewanie zestaw instrukcji

maszynowych wykonujcych shella, co w efekcie daj powok z prawami administratora;

zmieni adres powrotu, dla aktualnie wykonywanej funkcji system ma przeznaczony pewien obszar stosu, przepenieni bufora nadpisuje adres powrotu z aktualnej funkcji w taki sposb, aby zosta wykonany kod ataku. Kiedy funkcja zostanie wykonana, zamiast wrci do miejsca z ktrego zostaa wywoana, przenosi si w miejsce, gdzie znajduje si kod wamywacza.

W_1_(SK_B).doc 20

1.3.3.5. Tylne drzwi

Pojciem tym okrela si nieudokumentowane tylne wejcia do programw lub systemw. Stanowi awaryjny dostp do danych zasobw na prawach superuytkownika. S to czsto tajne skrty klawiszowe w aplikacjach albo uniwersalne hasa do systemu czy specjalne programy pozostawione w systemie po udanym wamaniu hakera. Nieraz stanowi powan luk w systemie ochrony i pomimo zainstalowanych zabezpiecze, umoliwiaj nieuprawnionym uytkownikom dostp do zasobw SKI.

Jednym ze sposobw wprowadzenia tylnego wejcia jest stworzenie konta lub procesu z uprawnieniami superuytkownia. Takie zdarzenia maj miejsce najczciej przy instalacji lub konserwacji systemu. Nieusunite pozostaoci po tych zabiegach mog by atwo wychwycone przez wamywacza. Dla administratora istotnym jest wykrycie niepodanych dziur w systemie powstaych w wyniku wyej wymienionych dziaa. atwo je take zlikwidowa, na przykad przy uyciu polecenia finger, ktre jest w stanie pokaza rzadko uywane konta z prawami administratora. W praktyce zdarza si rwnie, e konta superuytkownikw s tylko zablokowane. Wamywacze posuguj si na tyle wyrafinowanymi metodami, e s w stanie odblokowa owe konto bez pozostawienia ladu jakichkolwiek dziaa staj si przecie normalnymi uytkownikami. Dodatkowo modyfikuj logi systemowe.

Moliwe jest zainstalowanie tylnego wejcia w kompilatorze. Rozwizanie takie, niezalenie od kompilowanego kodu rdowego programu, umoliwia generowanie kodu wynikowego zawierajcego tylne wejcie. Przegldanie programu rdowego nie uwidoczni niedocigni, poniewa zagroenie ukryte jest w kodzie kompilatora.

Innym przykadem tworzenia tylnego wejcia jest posugiwanie si specjalnymi programami, ktrych zadaniem jest podmiana plikw z hasami w taki sposb, aby umoliwi intruzowi logowanie do systemu o okrelonej porze z prawami administratora.

W_1_(SK_B).doc 21

Do zaawansowanych tylnych wej nale take tzw. konie trojaskie, ktre potrafi cakowicie przej kontrol na zdalnym komputerem., a nawet doprowadzi do cakowitego zniszczenia zaatakowanego systemu. Cay problem w tym, e w wikszoci przypadkw konie trojaskie s doczone do kodu binarnego programw i s tym samym trudne do wykrycia. Nieraz korzystaj z wewntrznych funkcji systemu. Jeli nawet zostay przedsiwzite odpowiednie kroki i sie korporacyjna zabezpieczona jest przez zapor ogniow, to prawdopodobnie ruch protokou HTTP nie zostanie ograniczony. Okazuje si, e mona napisa konia trojaskiego, ktry po przesaniu poczt e-mail do ofiary bdzie zdolny do przejcia kontroli nad owym komputerem. Do takiego zdarzenia moe doj w nastpujcy sposb uytkownik dostaje wiadomo przez e-mail:

Gratulacje!!! Wygrae telefon komrkowy, kliknij poniszy adres, aby dowiedzie si szczegw

WWW.SZCZESLIWA.WYGRANA.COM

Ciekawo i naiwno uytkownika nie doprowadzi go na adn stron internetow, za to uruchomi w tle dziaalno konia trojaskiego, ktry wymusi komunikacj z komputerem napastnika na porcie 80 (uruchomi u niego serwer oczekujcy poczenia z komputera ofiary). Przy tym naley powiedzie, e zapora ogniowa nie bdzie protestowa, bo przecie komputer atakujcego bdzie jedynie odpowiada na zapytania ofiary. W ten prosty sposb mona doprowadzi do przejcia kontroli nad zdalnym komputerem. Nawet po wykryciu i usuniciu trojana mona si spodziewa, e pozostawi w systemie inne ukryte furtki, z ktrych w przyszoci skorzystaj hakerzy.

Liczba moliwych tylnych wej dla kadej platformy jest praktycznie nieograniczona. Przykadowo, dla systemu Unix mona wykorzysta oglnie dostpny katalog /tmp do umieszczenia w nim shella z uprawnieniami superuytkownika. Innym sposobem jest ingerencja w plik konfiguracyjny inetd.conf zawierajcy demony rnych programw, ktre s uruchamiane przez demon inetd.

Aby ustrzec si przez komi trojaskimi naley stosowa si do podstawowych zasad, takich jak:

- dokadne czytanie ze zrozumieniem skryptw uruchomieniowych;- uywanie programw ze znanego i wiarygodnego rda;- ignorowanie wiadomoci poczty elektronicznej z podejrzanymi treciami i

zacznikami;- nie naley uruchamia nowych (szczeglnie nieznanych aplikacji) na koncie

z penymi uprawnieniami.W_1_(SK_B).doc 22

1.4. Gwne obszary zwizane z bezpieczestwem IT

Wasnoci sieci mona rozcign na poszczeglne obszary SKI:

- obszar fizyczny (sprzt komputerowy, urzdzenia komunikacyjne, media transmisyjne, budynki, noniki danych, itp.);

- obszar osobowy pracownicy powizani ze sob i z osobami spoza firmy tworz tak zwane interfejsy personalne organizacji, kreuj take jej wizerunek i reputacj; w rozwijaniu kontaktw pomagaj im zasoby, takie jak: faksy, telefony, poczta elektroniczna;

- obszar logiczny (sieciowy) obejmuje dane i informacje, ktre s przechowywane na komputerach i osigalne za porednictwem sieci przedsibiorstwa; czsto uytkownik nie zna rzeczywistej lokalizacji tych zasobw; dostp do informacji gwarantuj interfejsy sieciowe, np. systemy telefoniczne i poczty gosowej, modemy.

1.5. Proces zapewniania bezpieczestwa

W obrbie dziaa majcych na celu zachowania bezpieczestwa znajduj si cztery gwne fazy:

ocena i polityka; ochrona zasobw; monitorowanie i wykrywanie; reakcja i odzyskiwanie.

Na poziomie oceny i polityki okrela si wymagania wzgldem bezpieczestwa, odpowiedzialnoci i rozdziau funkcji organizacyjnych.

W_1_(SK_B).doc 23

Po ocenie sieci i stworzeniu zasad polityki bezpieczestwa mona przej do kolejnego etapu, jakim jest ochrona zasobw. Gwnym celem jest wdraanie polityki w ycie przy pomocy wybranych rodkw technicznych. Wanym elementem przy wprowadzaniu zabezpiecze jest implementacja caoci systemu ochrony. Wzajemne uzupenianie si rozwiza ochrony stanowczo polepszy bezpieczestwo w SKI, np.: zastosowanie samej zapory ogniowej nie daje wystarczajcej ochrony, ale w poczeniu z systemem wykrywania wama IDS daje narzdzie przeciwdziaajce atakom wamywaczy i wykrywajce ewentualne udane prby przebicia si przez firewalla. Chodzi o to, e pojedynczy element powinien wykonywa zadania, ktre dopeniaj i uzupeniaj funkcje i role pozostaych komponentw sieci.

Jeli wszystkie dziaania zwizane z wdraaniem rodkw ochrony zostan zastosowane, mona przej do monitorowania i wykrywania, czyli innymi sowy weryfikacji dziaania nowej topologii. Ten etap zobowizuje do przegldania konfiguracji urzdze sieciowych i poszukiwania luk w ustawieniach, a take do monitorowania dziennikw zdarze systemowych. Urzdzenia (firewalle, rutery, serwery) posiadaj usugi raportowania o bdach, logowaniach, nieudanych prbach pocze. Informacje te s przydatne do okrelenia stanu biecego bezpieczestwa SKI, ale zwykle s w takich ilociach, e nie starcza czasu na ich analizowanie. Oczywicie istnieje oprogramowanie, ktrego zadaniem jest poszukiwanie przypadkw, ktre mog oznacza naruszenie zasad bezpieczestwa. Zwracaj one uwag na takie aspekty, jak: ilo nieudanych prb logowania, prby odgadnicia topologii sieciowej z zewntrz, prby nieautoryzowanego dostpu. Zauwaenie takich dziaa moe w szczeglnym przypadku doprowadzi do napastnika, poniewa dziaa on na zasadzie testowania zabezpiecze SKI udany atak zawsze poprzedza kilka, czy kilkanacie nieudanych prb.

Po tak mudnym przygotowywaniu zabezpiecze sieciowych zdawa by si mogo, e nic ju nie jest w stanie zagrozi takiej infrastrukturze. Istniej jednak ludzie tak zdeterminowani, e znajd kad sabo systemu, nawet nie zdajemy sobie z tego sprawy. S to sytuacje bardzo rzadkie, ale i na tak moliwo trzeba by odpowiednio przygotowanym. Reakcja i odzyskiwanie danych powinny by wczeniej przygotowane w dokumentach i procedurach polityki bezpieczestwa. Jest to swoist gwarancj, e w

W_1_(SK_B).doc 24

skrajnym przypadku utraty danych atwo bdzie mona przywrci system do poprawnego funkcjonowania.

1.6. Metody bezpieczestwa SKI i protokow sieciowych1.6.1. Organizacyjne

Metody ochrony informacji w SKI przedstawiono na podstawie sieci komputerowej, w ktrej wykorzystano koncepcje domeny Windows 2000 Server. Proponowana sie moe skada si z dwustu urzdze kocowych lub wicej, poniewa proponowane rozwizania zapewniaj skalowalno sieci.

Jedna z podstawowych strategii bezpieczestwa polega na zapewnianiu bezpieczestwa przez stosowanie wielowarstwowych mechanizmw ochrony. Podstaw kadej bezpiecznej sieci komputerowej s zastosowane rodki organizacyjne: (podzia kompetencji personelu, kontrola dostpu i rozliczanie czasu pracy; w gwnej mierze to wanie techniki administracyjne zabezpieczaj systemy komputerowe; wprowadzenie programu ochrony informacji powinna poprzedza analiza zagroe informacji oraz okrelenie rodkw im przeciwdziaajcych; podczas wprowadzania programw ochrony naley zarwno uwzgldni nowe procedury i metody organizacyjne, szkolenie i orientowanie si pracownikw w zakresie bezpieczestwa, jak i zapewni moliwo kontroli).

Niech w firmie istnieje odzia informatyczny, do ktrego nale administratorzy systemu odpowiedzialni za ca SKI. Poniewa osobisty kontakt i pomoc uytkownikom w tak scentralizowanej formie jest utrudniony, w kadym z oddziaw znajduje si partner, do ktrego zada naley: bieca pomoc uytkownikom; skadanie zlece instalacji systemu i oprogramowania, zakupu nowego oraz

skadowania starego sprztu; informowanie i szkolenie uytkownikw w zakresie koncepcji realizowanej w firmie.

W systemie jest hierarchia uytkownikw w zwizku z uprawnieniami, jakie posiadaj, zrealizowana za pomoc mechanizmu grup Windows 2000. Dla zapewnienia skalowalnoci wprowadzono dwie domeny. Domena USER jest domen, w ktrej s zaoone konta uytkownikw, a domena RESOURCES jest domen, w ktrej zaoone s konta komputerw pracujcych w sieci lokalnej. Domena RESOURCES ufa domenie USER. W ten sposb administrator domeny RESOURCES, ktrej zasoby znajduj si tylko z sieci z lokalizacji oddziau FIRMY1, nie ma dostpu do zasobw oddziau FIRMY2. Jednoczenie administrator domeny USER moe znajdowa si tylko w jednej lokalizacji, z ktrej zarzdza kontami wszystkich uytkownikw FIRMY1 i FIRMY2. Pracownicy przedsibiorstwa mog zmienia lokalizacje i mie dostp do tego samego konta, moliwa jest te atwa rozbudowa. Uytkownik otrzymujc konto w domenie USER nie ma uprawnie do instalacji nowego

W_1_(SK_B).doc 25

oprogramowania na komputerze. Istnieje tylko jedno konto lokalne administratora na komputerze, do ktrego haso znaj administratorzy, a przechowywane jest na serwerze zdalnej instalacji. Wyjtkiem mog by Laptopy, ktre uywane s poza przedsibiorstwem i ze wzgldu na potrzeb zmiany konfiguracji wymagane jest ujawnienie lokalnego hasa administratora.

W_1_(SK_B).doc 26

W SKI obowizuje zasada przyznawania minimum uprawnie. Dziki temu w przypadku zagroenia na niebezpieczestwo naraony jest tylko fragment systemu. Kady uytkownik ma swoj przestrze na dysku, do ktrej tylko on ma dostp. Dodatkowo kady oddzia ma swj katalog, do ktrego dostp zostaje przyznany tylko pracownikom danej jednostki. Dla przeprowadzanych projektw, w ktrych uczestnicz osoby z rnych oddziaw, take tworzony jest Katalog z odpowiednimi uprawnieniami. Do wszystkich powyszych zastosowa wykorzystane zostan Access Control List.

Poniewa, zmiany personelu oraz ilo przeprowadzanych projektw jest dua, potrzebny jest sposb dokumentacji zmian wprowadzanych w systemie. Dokumentacja uytkownikw, zasobw sprztowych oraz udostpnianych katalogw prowadzona jest przy pomocy bazy danych, gdzie zawarte s informacje:

Tabela 1.2. Uytkownik

Imi Nazwisko Identyfikator w systemie Zakres dostpnych usug np. www, ftp, VPN

Tabela 1.3. Zasoby sprztoweNazwa

komputera Adres IP MACNazwisko

pracownika Partner IT Zainstalowane pakiety

Tabela 1.4. Udostpniane katalogiNazwa katalogu Nazwa udziau Grupy z prawami dostpu Odp. partner IT

Prowadzenie bazy danych naley do grupy administratorw, do nich naley take obowizek dokumentowania wszystkich zmian i zdarze w systemie. Instalacje systemu i oprogramowania przeprowadzane s zdalnie na danie partnera.

W_1_(SK_B).doc 27

Mechanizmy, ktre wspomagaj wyej wymienione metody zabezpiecze w systemie Windows 2000 Server, obejmuj: Uwierzytelnianie Kerberosem v5 jest to domylna metoda uwierzytelniania w Windows 2000, pozwalajca na o wiele atwiejsze zarzdzanie relacjami zaufania oraz bezpieczniejsz uwierzytelniania ni metoda uywana przez Windows NT 4 (NTLM). Kerberos dzieli klucze tajne z urzdzeniami w sieci poprzez serwer centralny, wobec czego gra rol zewntrznego certyfikatora i arbitra. Zaszyfrowany system plikw (EFS Encrypted File System) pozwala na szyfrowanie danych na partycjach NTFS, chronic je przed niepowoanym dostpem osb mogcych mie dostp fizyczny do komputera lub dysku twardego. IPSec pozwala na tworzenie bezpiecznych dwustronnych pocze w sieciach IP. Infrastruktura klucza publicznego kryptografia klucza publicznego pozwala na bezpieczn wymian danych z innymi osobami przez nie zabezpieczone cza, np. Internet. Obsuga kart inteligentnych (Smart Card) karty inteligentne pozwalaj na przenoszenie powiadcze zabezpiecze i innych prywatnych danych w sposb bezpieczny. Uytkownicy mog korzysta z kart inteligentnych do bardziej bezpiecznego uwierzytelniania ni za pomoc nazwy uytkownika i hasa.

Kada infrastruktura zabezpiecze jest z definicji budowana na dwch kamieniach wgielnych: Protok (protokoy) zabezpiecze definiuj, jak dokadnie uytkownik jest w stanie udowodni systemowi, e jest tym, za kogo si podaje (uwierzytelnianie) i zapewniaj bezpieczestwo komunikacji pomidzy uytkownikiem i systemem. Algorytm(y) szyfrowania pozwalaj protokoom zabezpiecze na ochron przed podgldaniem danych wymienianych pomidzy uytkownikiem a systemem.

Dla systemu Windows 2000 Server, Microsoft wykorzysta najlepsze moliwe standardy dla kadego obszaru zabezpiecze i doda je do arkusza specyfikacji produktu, aby zwikszy jego moliwoci wsppracy. W konsekwencji Windows 2000 Server zawiera oprcz starego zbioru wasnych protokow (NTLM, Secure RPC i PPTP) rwnie obsug takich protokow, jak Lightweight Directory Access Protocol (LDAP), Kerberos, Public Key Cryptography Standard (PKCS) i IP Security (IPSec). To samo mona powiedzie o szyfrowaniu, ktre obejmuje obecnie DES, 3DES, RSA, RC4, ktre zostan przedstawione w dalszej czsci.

W_1_(SK_B).doc 28

Reakcje na prby ataku na system

W przypadku ataku na system wan spraw jest prawidowa reakcja na wykrycie faktu udanego bd nie udanego ataku na bezpieczestwo systemu. W razie wykrycia na przykad dziaania dziwnych procesw w SKI, wielokrotnych prb zalogowania si na konto administratora czy modyfikacji pliku lub katalogu, naley natychmiast podj zaplanowane uprzednio rodki bezpieczestwa. Nale do nich:

szczegowa analiza zaistniaej sytuacji; zatrzymanie pracy caego lub czci systemu w celu zapobieenia

powstaniu nowych szkd, poinformowanie uytkownikw o zaistniaym zagroeniu.

Istotnym jest zapisanie stanu zaatakowanego systemu w celu pniejszej dokadnej analizy zaistniaej sytuacji.

Odtworzenie ostatnio zachowanego stanu systemu z archiww

W celu wyeliminowania efektw dziaa intruza naley odtworzy poprzedni stan systemu. Naley przy tym pamita, i:

poprzedni stan systemu moe rwnie zawiera modyfikacje wprowadzone przez napastnika, o ile zagroenie nastpio po jego zapisie;

zostan utracone modyfikacje systemu, jakie wykonano przed sporzdzeniem ostatniej kopii zapasowej.

Konieczno wczeniejszego opracowania planu dziaania w przypadku awarii

Bardzo wan spraw jest odpowiednio wczesne przygotowanie planu dziaania w przypadku odkrycia zagroenia. W szczeglnoci naley przygotowa plan wstrzymywania pracy SKI zawierajcy opis sposobu sprawnego informowania uytkownikw. Dziaanie zgodnie z opracowanym wczeniej planem znaczco uatwia likwidacj skutkw zagroenia.

W_1_(SK_B).doc 29

1.6.2. Techniczne rodki fizyczne oraz identyfikacja, uwierzytelnienie i upowanienie

personelu; zabezpieczenia fizyczne takie jak bramy, kraty itp. umoliwiaj odgrodzenie obszarw o ograniczonym dostpie oraz kontrole uytkownikw wchodzcych lub wychodzcych z nich; jednak aden system bezpieczestwa nie bdzie skuteczny, jeli osoba zawiedzie zaufanie;

s podstaw, dziki ktrej moliwa jest realizacja zaoe polityki bezpieczestwa.Pierwsz warstw zabezpiecze, ktr naley wzi pod uwag, jest

bezpieczestwo fizyczne stacji roboczych. Wana jest kontrola dostpu i zabezpieczenia przed kradzie. Kontrola dostpu jest realizowana na poziomie systemu operacyjnego. Wspomagane tej metody poprzez uaktywnienie hasa BIOSu nie jest uzasadnione na komputerach stacjonarnych, poniewa atakujcy moe atwo omin to zabezpieczenie np. wyj bateri lub zresetowa pami CMOS. Natomiast w Laptopach jest wymagane, ze wzgldu na charakter korzystania z nich, w miejscach gdzie dostp fizyczny do Laptopa maj osoby cakowicie postronne (poza terenem firmy). Takie zabezpieczenie uniemoliwia szybk zmian ustawie BIOSu lub uruchomienie systemu z dyskietki przez atakujcego. Na teren przedsibiorstwa maj dostp osoby tylko do tego upowanione, dlatego takie niebezpieczestwo jest zminimalizowane. Pomieszczenia w ktrych znajduj si komputery powinny jednak posiada dodatkowe zabezpieczenie np. monitoring. Naley take podj dziaania pozwalajce zidentyfikowa sprzt po jego kradziey. Oprcz dokadnej inwentaryzacji sprztu warto posuy si dodatkowo technikami pozwalajcymi zidentyfikowa sprzt bez rozkrcania obudowy, np. poprzez oznaczenia niezmywaln farb, farb fluoroscencyjn czy reagujc na ultrafiolet.

Sie zbudowana w topologii gwiazdy jest scentralizowana, stacje robocze jednego segmentu sieci s podczone do jednego urzdzenia switcha. Zalet takiego rozwizania jest bezporednie uniezalenienie si od innych stacji roboczych, izolacja transmisji, moliwo zarzdzania kadym komputerem z osobna. Centralizacja wymusza istnienie krytycznego punktu, ktrego awaria ma bardzo ze skutki. Jeli atakujcy wyczy na przykad switch, moe odci od reszty sieci cay segment. Dlatego te wszelkie urzdzenia sieciowe, jak routery, switche musz by odpowiednio zabezpieczone. Ataki na sprzt s duo groniejsze ni na oprogramowanie. O ile awaria pojedynczego komputera moe nie by zauwaona przez reszt sieci, awaria rutera moe w caoci j unieruchomi. Zazwyczaj udane ataki na sprzt sieciowy wynikaj z prostych bdw wynikajcych z zaniedbania administratorw. Wielu z nich zapomina o wczenia kodowania podczas konfiguracji zdalnej albo o zmianie domylnych

W_1_(SK_B).doc 30

hase. Dua cz z nich pozwala na ominicie hasa w przypadku dostpu fizycznego (choby przycisk resetujcy NVRAM).

Dostp do serwerowni jak i szaf z osprztem sieciowym musi by ograniczony i by dostpnym tylko dla administratorw. Dostp do urzdze, pomieszcze, a take moliwo naliczania czasu pracy umoliwiaj karty magnetyczne, wsppracujce z odpowiednim oprogramowaniem. Naley zwrci uwag, e do kadego z tych pomieszcze moliwy jest dostp tradycyjny, poniewa w wyniku awarii lub braku zasilania uniemoliwiony by zosta dostp do wanych pomieszcze. Klucze jednak powinny by w normalnych warunkach nie udostpniane.

Backup

Plan archiwizowania danych musi by tak opracowany, by umoliwia przywrcenie stanu systemu z przed awarii z moliwie du wiernoci. Z uytkownikami naley uzgodni jakie dane i w jakich odstpach czasowych naley archiwizowa. W wikszoci przypadkw odpowiednim jest zastosowanie opcji Full Backup zaplanowanej na weekend oraz Differential Backup w kady dzie tygodnia. Dla zapewnienia moliwoci odzyskiwania danych potrzebne jest zaplanowanie jak dugo przechowywane bd dane na tamach. Dla zminimalizowania iloci nonika plan przechowywanych tam bdzie wyglda nastpujco:

kopie rnicowe: 4 tygodnie; kopie penej archiwizacji wykonywane na koniec miesica: 4-6

miesicy; pozostae kopie penej archiwizacji: 4 tygodnie.

Wszystkie noniki z danymi skadowane s w oddzielnym ognioodpornym pomieszczeniu, do ktrego dostp zosta ograniczony w taki sposb jak do serwerowni.

W_1_(SK_B).doc 31

1.6.3. KryptograficzneDobre rozwizanie problemw bezpieczestwa sieci komputerowych

wymaga zwykle poczenia rodkw organizacyjnych, technicznych i kryptograficznych. Udzia poszczeglnych elementw zaley od znaczenia chronionych informacji, rodzaju zagroenia i dostpnych rodkw.

Kryptografia dziedzina wiedzy zajmujca si zasadami, narzdziami i metodami przeksztalcania danych w celu ukrycia zawartych w nich onformacji, zapobiegania mozliwoci tajnego ich modyfikowania lub eliminacji dostpu do nich osobom niepowoanym.

Podstawowym zadaniem kryptografii jest utrzymanie w tajemnicy tekstu jawnego (bd klucza, bd obu elementw jednoczenie) przed wcibskimi (zwanymi rwnie przeciwnikami, atakujcymi, podsuchujcymi, intruzami lub po prostu wrogami) 4. Chc oni uzyska peen dostp do komunikacji midzy nadajcym i odbiorc.

Dziaaniami stojcymi w opozycji do krytpografii zajmuje si kryptoanaliza nauk o odtwarzaniu tekstu jawnego bez znajomoci klucza 5. Skuteczna kryptoanaliza umoliwia odtworzenia tekstu jawnego lub klucza. Zajmuje si rwnie wyszukiwaniem sabych punktw systemw kryptograficznych, punktw, ktre mogyby otworzy drog do poznania tekstu jawnego lub klucza. (Utrata tajnoci klucza wskutek dziaa niekryptoanalitycznych jest nazywana kompromitacj).

Stosowanie kryptoanalizy nazywa si amaniem szyfru (atak) 6. Podstawowym zaoeniem kryptoanalizy, po raz pierwszy sformuowanym w dziewitnastym wieku przez holendra A. Kerckhoffs'a, jest zaoenie (ang. Kerckhoffs assumption), e bezpieczestwo algorytmu kryptograficznego jest oparte wycznie na kluczu 7. Kerckhoffs zaoy, e kryptoanalityk zna wszystkie szczegy algorytmu szyfrowania i jego implementacji, nie zna natomiast zastosowanych kluczy. Nie jest to co prawda zaoenie prawdziwe w wielu realnych sytuacjach, lecz jest to zaoenie, ktre warto przyj. Jeli nie mona zama szyfrogramu wiedzc, jak dziaa algorytm szyfrujcy, to na pewno nie uda si go zama nie wiedzc, jak ten algorytm dziaa.

Polczenie kryptografii i kryptoanalizy stanowi dziedzina wiedzy kryptologia.

4 Schneier B. Kryptografia dla praktykw, WNT, 2002.5 Grzywak A. Bezpieczestwo systemw komputerowych, Wydawnictwo Pracowni

Komputerowej Jacka Skalmierskiego, Gliwice 2000.6 Schneier B. Kryptografia dla praktykw, WNT, 2002.7 Kerckhoffs A. La cryptographie militaire;

Shannon C. Communication Theory if Secrecy Systems Bell System Technical Jurnal, 1948;Bauer F. L. Sekrety kryptografii, Helion, 2002.

W_1_(SK_B).doc 32

1.1. Oglne pojcie bezpieczestwa1.3.2.1. Sniffing, czyli podsuchiwanie1.3.2.2. Kradziee hase1.3.2.3. Skanowanie1.3.2.4. Social engineeringTerminem social engineering okrela si zestaw sposobw na wyudzenie informacji o kontach i hasach dostpu oraz innych elementw wpywajcych na bezpieczestwo SKI. Pod tym pojciem kryje si niebezpieczny mechanizm naduywania ludzkiego zaufania w celach kryminalnych. Uwiadomienie uytkownikowi problemw wystpujcych podczas pracy z komputerem moe zapobiec niebezpiecznym incydentom. Zazwyczaj czowiek jest najsabszym elementem systemu bezpieczestwa w firmie. Niekoniecznie musi to by efekt wiadomego dziaania. Bdy mog wynika z braku odpowiedniej wiadomoci istniejcych zagroe. Istniej dwa sposoby oszukania uytkownika. Pierwszy to uycie rodkw programowo-sprztowych, np. rozmieszczenie stron zawierajcych odpowiednio umotywowan prob o podanie identyfikatora uytkownika oraz hasa. Natomiast drugi bazuje na bezporednim kontakcie telefonicznym lub osobistym z celem ataku - uytkownikiem, lub pracownikiem dziau helpdesk.1.3.3.1. Spoofing1.3.3.2. Ataki typu DoS1.3.3.3. Konie trojaskie1.3.3.4. Ataki typu Buffer Overflow1.6. Metody bezpieczestwa SKI i protokow sieciowych1.6.1. Organizacyjne1.6.2. Techniczne1.6.3. Kryptograficzne