Michał BYŁAK, Dariusz LASKOWSKI

Transkrypt

MICHAŁ BYŁAK
[email protected]
DARIUSZ LASKOWSKI
[email protected]
Wydział Elektroniki, Instytut Telekomunikacji
Wojskowa Akademia Techniczna w Warszawie
ZALECENIA ZABEZPIECZEŃ
ORAZ MECHANIZMY BEZPIECZEŃSTWA
WYKORZYSTANE PRZY KONCEPCJI DOSTĘPU
DO OBIEKTÓW UCZELNI WYŻSZEJ
Streszczenie: Artykuł porusza kwestie zabezpieczenia obiektów uczelni wyższej przy obecnie stosowanych urządzeniach aktywnych firmy Cisco. Przedstawia zagrożenia, czyli sposoby ataków na infrastrukturę sieciową i zawiera
możliwości zminimalizowania tego ryzyka poprzez zalecenia konfiguracyjne
zapewniające bezpieczeństwo zarówno w warstwie łącza danych jak i warstwie sieciowej. Należy wziąć pod uwagę, że w artykule nie zwrócono uwagi
na obronę fizyczną obiektów sieciowych uczelni, a starano się położyć nacisk
na konfigurację zabezpieczeń, które domyślnie nie są włączone na urządzeniach aktywnych.
Słowa kluczowe: zabezpieczenie, bezpieczeństwo, infrastruktura sieciowa,
zalecenia, security
1. Charakterystyka zagrożeń
W następnych podrozdziałach przedstawiono najczęściej wykorzystywane sposoby ataków na urządzenia aktywne, ze szczególnym uwzględnieniem wykorzystania podatności urządzeń marki Cisco.
34
Michał Byłak, Dariusz Laskowski
1.1. Ataki na tablice CAM
Ataki te wykorzystują w przeważającej części podatności przełączników sieciowych. Przełącznik gromadzi w swojej tablicy mapowania CAM (ang. Content Addressable Memory) adresy MAC stacji będących w sieci i przyporządkowuje je do odpowiednich portów, do których podłączony jest host, czy
ewentualnie przełącznik, poprzez który nauczył się danego adresu MAC. W
sytuacji kiedy w tablicy CAM nie ma adresu MAC do jakiego kierowany jest
pakiet, przełącznik musi wysłać ten pakiet na wszystkie porty nasłuchując na
jakim odpowie odbiorca. Po uzyskaniu odpowiedzi i uaktualnieniu tablicy
CAM przełącznik kolejne ramki kieruje już wyłącznie przez określony port.
Ten tok realizacji nie wnosi jeszcze zagrożeń, ale ze względu na sprzętowe
ograniczenia realizacji przełączników, tablica CAM posiada ograniczoną pojemność. Po przekroczeniu maksymalnej ilości wpisów, kolejne już nie mogą
być dokonywane. Ta cecha może być wykorzystana przez hackera do ataku
poprzez przepełnienie tablicy CAM adresami MAC wygenerowanymi ze swojej stacji (tzw. CAM overloading). W tej sytuacji każda kolejna ramka będzie
rozsyłana przez przełącznik do wszystkich portów, umożliwiając hackerowi
podglądnie ruchu w sieci.
1.2. Ataki na protokół STP
Spanning Tree Protocol (STP) w większości sieci działa domyślnie i ma podstawowe znaczenie dla redundancji w sieci. Często niestety STP nie jest praktycznie w ogóle przedmiotem zainteresowania administratorów. Sam protokół
STP nie oferuje także praktycznie żadnych mechanizmów wynikających ze
standardu, które podnosiły by jego bezpieczeństwo. Coraz więc częściej STP
staje się narzędziem hackerów. Protokół STP opiera się na wyborze tzw. root
spanning tree. Jest to przełącznik o najniższym priorytecie (ID) rozsyłanym w
komunikatach STP tzw. BPDU. Ruch w sieci LAN przechodzi przez ścieżki
wyznaczone w funkcji lokalizacji roota STP.
Wyobraźmy sobie, że hacker ma możliwość podłączenia się do dwóch przełączników w naszej sieci LAN. Następnie rozpoczyna wysyłanie pakietów
BPDU z najniższym priorytetem, a tym samym doprowadza do rekalkulacji
protokołu Spanning Tree i staje się root STP. W praktyce zachowanie takie
doprowadzić może do:
 ataku typu Denial of Service na przełącznik - częste przeliczenia STP
znacznie obciążają pracę procesora przełącznika doprowadzając do jego
zablokowania,
 podsłuchiwania informacji przesyłanej w sieci,
Zalecenia zabezpieczeń oraz mechanizmy bezpieczeństwa…
35
 ataku typu Denial of Service na zasoby sieci jeśli dzięki działaniom hackera w sieci zostaną wybrane nieoptymalne połączenia - dostępność zasobów
sieci dla jej prawowitych użytkowników może być zablokowana lub
znacznie ograniczona.
1.3. Ataki na podatności protkołu CDP
Protokół CDP (ang. Cisco Discovery Protocol) został opracowany przez Cisco
z myślą o ułatwieniu i zautomatyzowaniu zarządzania siecią nie zapewnia niestety mechanizmów bezpieczeństwa takich jak choćby szyfrowanie informacji
czy autentykacja komunikujących się stron. Dzięki temu hacker może w prosty
sposób pozyskać bardzo szczegółowe informacje o wyposażeniu sieci i wersjach oprogramowania tych urządzeń lub zaatakować z wykorzystaniem błędów działania CDP w danej wersji oprogramowania przełącznika.
1.4. Ataki z wykorzystaniem nieautoryzowanego serwera DHCP
Podstawowe standardy działania serwerów DHCP i korzystania z nich przez
hosty w sieci nie definiują zabezpieczeń przed wybraniem przez host dowolnego serwera DHCP spośród tych, które ogłaszają się w danym segmencie sieci
(na podstawie komunikatów DHCP OFFER). Sytuacja taka może doprowadzić
do przejęcia przez hackera ruchu w segmencie sieci dzięki przeadresowaniu
hostów korzystających z DHCP po podłączeniu do segmentu swojego, nieutoryzowanego przez administratora, serwera DHCP. Kolejnym możliwym atakiem jest wygenerowanie tylu zapytań o przyznanie adresów IP z podaniem
różnych adresów MAC źródła zapytania, że serwer DHCP przydzieli wszystkie
dostępne adresy ze zdefiniowanej na nim puli. W takiej sytuacji każde następne
żądanie przyznania adresu będzie już odrzucane a tym samym możliwy jest atak
Denial of Service uniemożliwiający pracę w sieci użytkownikom.
1.5. Ataki z wykorzystaniem protokołów zarządzania w sieci
LAN
Większość stosowanych w sieci LAN protokołów zarządzania (Telnet, FTP,
SNMP, TFTP) nie zapewnia żadnych mechanizmów szyfrowania połączeń
i sprawdzania wiarygodności stron biorących udział w połączeniu. Tym samym
podsłuchanie sesji zarządzania pozwala poznać hackerowi nawet hasła do trybów konfiguracji urządzeń. Mogą one być następnie wykorzystane do wejścia
administracyjnego z komputera hackera i wykonanie zmian w konfiguracji
urządzeń w dowolny sposób. Doprowadzenie do takiej sytuacji jest praktycznie
36
równoważne z oddaniem naszej sieci na pastwę włamywacza i umożliwienie
mu podejmowania dowolnych działań w sieci.
1.6. Ataki na sieci VLAN
Poprawna konfiguracja VLAN-ów na współczesnych przełącznikach firmy
Cisco, z zainstalowanymi aktualnymi wersjami oprogramowania IOS, wyklucza
ruch między VLAN-ami. Istnieją jednak niezależne od tego faktu metody nieuprawnionego dostępu do zasobów sieci z wykorzystaniem innych technologii
powiązanych z VLAN. DTP (ang. Dynamic Trunk Protocol) jest protokołem
służącym do uproszczenia konfiguracji portów dot1q trunk (łącze guropowe
pomiędzy sieciami VLAN) między przełącznikami. DTP jest obsługiwany na
przełączniku, synchronizuje ustawienia trunk’u między nimi. Standardowe
ustawienia DTP na portach większości przełączników skonfigurowane są jako
domyślne co w praktyce oznacza, że port ustawi się w takim trybie jaki zostanie
wymuszony przez sąsiada.
W sytuacji kiedy stacja podłączona do przełącznika ma skonfigurowany
trunking na swoim interfejsie może wymusić ustawienie trunk’u na porcie
przełącznika do jakiego jest podłączona. Stacja staje się wtedy członkiem
wszystkich VLAN-ów jakie są skonfigurowane na przełączniku, a tym samym
ma możliwość podsłuchiwania ruchu także poza VLAN-em do jakiego sama
należy.
2. Zalecenia zabezpieczeń
Zarówno na routerach jak i przełącznikach domyślnie jest włączonych wiele
usług, które mogą się okazać podatne na wiele zagrożeń. Przedstawiono zatem
wiele zaleceń odnośnie wyłączenia usług jak i zaleceń odnośnie konfiguracji.
Należy zwrócić uwagę, że zależnie od obsługiwanej wersji systemu IOS routera
bądź przełącznika podane przykładowe polecenia konfiguracyjne mogą nie być
dostępne ze względu na aktualność oprogramowania.
2.1. Wyłączenie części pakietów ICMP
Routery Cisco automatycznie wysyłają pakiety ICMP, jednak część z nich
można wyłączyć, co pozwala zabezpieczyć się przed zagrożeniami. Uniemożliwienie na interfejsie możliwości mapowania oraz diagnozowania infrastruktury sieci poprzez wyłączenie generowania takich pakietów ICMP jak Host
37
unreachable, Redirect, Mask Reply. Wykorzystuje się w tym wypadku następujące polecenia w trybie konfiguracji globalnej: no ip redirects oraz no ip
mask-reply.
2.2. Wyłączenie protokołu BOOTP
Protokół obecnie już nie wykorzystywany, a umożliwiający atakującemu na
przejęcie kontroli nad urządzeniem sieciowym jest BOOTP (ang. BOOTstrap
Protocol – protokół początkowego ładowania systemu). Jest to protokół komunikacyjny umożliwiający komputerom w sieci uzyskanie od serwera danych
konfiguracyjnych, np. adresu IP. Wystarczy się w tym wypadku ograniczyć do
polecenia w trybie konfiguracji globalnej: no ip bootp server.
2.3. Wyłączenie protokołu finger
Innym protokołem, który już nie jest wykorzystywany a może stwarzać potencjalne zagrożenie rozpoznaniem przez atakującego jest protokół finger. Zapewniał on połączenie z programem informacyjnym zainstalowanym na innym serwerze i przekazywał do systemu operacyjnego takie dane jak imię i nazwisko,
czas podłączenia do systemu. Polecenia wyłączające tą usługę to: no ip finger,
no service finger.
2.4. Wyłączenie protokołu Proxy-ARP
Warto wyłączyć również protokół Proxy-ARP, który jest przydatny tylko przy
urządzeniach, które nie są dostosowane do współpracy z sieciami IP, co obecnie
jest rzadkością. Proxy-ARP pozwala na to, aby za przekazanie odwzorowania
adresów IP do stacji w ramach różnych podsieci odpowiadał router. Stanowi to
duże zagrożenie a usługa ta domyślnie jest włączona na wszystkich interfejsach
przełącznika lub routera. Do wyłączenia omawianego protokołu wystarczy następujące polecenie w trybie konfiguracyjnym: ip proxy-arp
2.5. Zabezpieczenie protokołu STP
Zabezpieczenie przed atakami wykorzystującymi właściwości protokołu STP
jest możliwe dzięki kilku mechanizmom dostępnym w oprogramowaniu przełączników i przemyślanemu projektowaniu topologii sieci LAN. Metody te
polegają na:
 wyłączeniu STP w sieci LAN - krok taki jest teoretycznie możliwy jeśli
nasza sieć jest zbudowana w przemyślany sposób tak, że nie występują
nawet teoretyczne zapętlenia w sieci. Wykorzystanie nowoczesnych prze-
38
łączników z wydajną obsługą routingu w warstwie trzeciej modelu
ISO/OSI upraszcza znacznie tworzenie sieci bez STP. Połączenia między
przełącznikami są w praktyce osobnymi sieciami, w których nie ma wielokrotnych dróg dla pakietów. Pakiety między tymi połączeniami są routowane, a więc tu także nie występuje zagrożenie powstania pętli w warstwie
L2 (druga warstwa modelu ISO/OSI),
 wykorzystanie mechanizmu BPDU Guard, który pozwala na zablokowanie
na porcie przełącznika przyjmowania komunikatów BPDU a tym samym
utrudnia ataki typu Denial of Service wykorzystujące BPDU do wymuszania rekalkulacji STP na przełącznikach. BPDU Guard powinien być włączany na wszystkich portach, które z definicji mają obsługiwać pojedyncze
stacje robocze i serwery, a więc dla portów gdzie nie ma zagrożenia powstania pętli,
 wykorzystanie mechanizmu Root Guard ten mechanizm z kolei uniemożliwia niekontrolowaną zmianę miejsca root STP w sieci. W szczególności
blokuje pojawienie się nowego roota na portach, które z definicji mają obsługiwać stacje robocze i serwery. Root Guard na przełącznikach (Cisco)
jest konfigurowany jako parametr portu przełącznika.
2.6. Zabezpieczenie protokołu CDP
Praktycznie jedynym sposobem zabezpieczenia się przed atakiem z wykorzystaniem ułomności protokołu CDP jest wyłączenie tego protokołu na przełączniku. Służy do tego polecenie: no cdp run. W wielu przypadkach protokół ten
nie jest wykorzystywany i może być, bez konsekwencji dla działania sieci, wyłączony. W sytuacji kiedy CDP musi być jednak wykorzystywany (np. wymogi
aplikacji zarządzającej siecią) wskazane jest ograniczenie jego propagacji do
dedykowanego VLAN-u dla zarządzania i wyłączenie na pozostałych portach
przełącznika nie należących do tego VLAN-u.
2.7. Zabezpieczenie protokołu DHCP
Konsekwencje włączenia do segmentu sieci nieautoryzowanego serwera DHCP
można ograniczyć wykorzystując mechanizm DHCP Snooping zaimplementowany przez firmę Cisco na swoich przełącznikach. Mechanizm ten pozwala
odróżnić porty przełącznika podłączone do stacji roboczych użytkowników
(tzw. untrusted) od portów przyłączonych do serwera DHCP lub innego przełącznika/routera (tzw. porty trusted). Switch monitoruje wszystkie pakiety
DHCP i blokuje połączenia o ile są one zestawiane z portów untrusted. Mecha-
39
nizm ten umożliwia także definiowanie ograniczeń w prędkości odwołań do
serwera DHCP co zapobiega atakom typu DoS na serwer.
Wykorzystanie DHCP Snooping umożliwia wykorzystanie jeszcze jednej
ciekawej funkcjonalności – przełącznik może wstawiać do zapytania DHCP
generowanego przez stację, informację o numerze ID przełącznika i portu do
jakiego dana stacja jest podłączona. Dzięki temu serwer DHCP może utrzymywać tablicę z informacją do jakiego portu przełącznika jest podłączona
dana stacja. Informacje te mogą być wykorzystane do monitorowania działań
użytkowników i zapobiegać nieautoryzowanym zmianom w podłączeniu stacji
do sieci.
2.8. Wykorzystanie mechanizmu Port Security
Kolejną metodą, jaką można zastosować w sieciach LAN zbudowanych
w oparciu o przełączniki jest wykorzystanie funkcji tzw. Port Security.
Funkcjonalność ta pozwala zdefiniować adresy MAC jakie są obsługiwane
na danym porcie przełącznika lub wskazać jaką liczbę adresów MAC przełącznik będzie obsługiwał na danym porcie. Po stwierdzeniu przez przełącznik ramki z niewłaściwym adresem MAC może on blokować ruch z tego
konkretnego adresu MAC lub wręcz zablokować cały port. Metoda ta pozwala zabezpieczyć się przed nieautoryzowanym podłączeniem nowej stacji
do sieci, a także chroni przed wykonaniem ataku typu MAC (przepełnienie
tablicy CAM przełącznika).
2.9. Wykorzystanie sieci VLAN
Sieci VLAN pozwalają na zapewnienie skalowalności, bezpieczeństwa i łatwości zarządzania nimi. Cechy te wykorzystuje się w procesie zarządzania bezpieczeństwem tych sieci. Oprócz cech charakterystycznych sieci opartych na przełącznikach posiadają one również typowe cechy sieci LAN a więc niektóre
problemy zarządzania bezpieczeństwem w takich sieciach są identyczne jak w
przypadku tradycyjnych sieci LAN. W dalszej części zostały przedstawione
wybrane aspekty zarządzania bezpieczeństwem sieci VLAN a mianowicie podatność i zagrożenia czyli ryzyko jakie istnieje podczas tworzenia takich sieci
oraz możliwości zminimalizowania tego ryzyka.
Sugerowane jest także wydzielenie VLAN-u do zarządzania urządzeniami,
niezależnego od pozostałych VLAN-ów. Rozdzielenie takie, połączone z odpowiednią konfiguracją przełącznika i zastosowaniem innych metod ochrony
przed przełamaniem segmentów VLAN pozwalają na zwiększenie poziomu
bezpieczeństwa zarządzania urządzeniami aktywnymi. Dodatkowo należy pa-
40
miętać o wyłączeniu VLAN 1 jako natywnego, ponieważ prowadzi on za sobą
wiele zagrożeń.
2.10. Wykorzystanie bezpiecznych protokołów komunikacji
administracyjnej
Wykorzystanie niezabezpieczonych metod komunikacji administracyjnej może
prowadzić do odkrycia haseł dostępu do urządzeń w konsekwencji do dowolnych działań w sieci przez osobę nieuprawnioną. Z tego powodu zaleca się stosowanie bezpiecznych alternatyw dla standardowych protokołów komunikacji
administracyjnej: SSH, SSL, OTP (ang. one time password), SNMP v3.
2.11. Stosowanie list dostępu
Uzupełnieniem wykorzystania zapór ogniowych (ang. firewall) jest stosowanie
list dostępu. Poza ograniczeniem dostępu ruchu pakietów zarówno z zewnątrz
sieci jaki i ruchu wewnątrz, powinny być zdefiniowane na zarządzanych urządzeniach dokładne adresy terminali zarządzających. W sytuacji kiedy urządzenia sieciowe nie wspierają bezpiecznych protokołów zarządzania, wskazane jest
zastosowanie zarządzania z wykorzystaniem dedykowanej infrastruktury połączeń do realizacji administracji urządzeniami.
2.12. Wykorzystanie serwerów uwierzytelniania
oraz bezpieczne szyfrowanie haseł
Dodatkowym wzmocnieniem zabezpieczenia przed nieuprawnionym dostępem
do urządzeń aktywnych w sieci VLAN jest skonfigurowanie autentykacji sesji
administracyjnej poprzez zewnętrzny serwer Tacacs+/Radius, który dodatkowo
może współpracować z serwerem obsługującym hasła jednokrotne. Dodatkowo
należy pamiętać o ochronie haseł przechowywanych lokalnie na urządzeniu
sieciowym poprzez szyfrowanie najlepiej type 4 (SHA256), a jeśli nie jest to
możliwe na danej wersji oprogramowania IOS – szyfrowanie type 5, czyli poprzez protokół MD5. Należy unikać szyfrowania type 7, które w prosty sposób
można złamać.
41
3. Wnioski
Artykuł jest analizą zaleceń pochodzących od samego producenta jak i instytucji rządowych, które są dostępne powszechnie. Posłużyły one do zaimplementowania zabezpieczeń, które wykorzystano w infrastrukturze sieciowej uczelni
wyższej. Wymienione w artykule zabezpieczenia pozwoliły zbudować bezpieczną sieć poprzez:
 wyłączenie zbędnych cech plug and play urządzeń,
 ograniczenie propagacji niepotrzebnych pakietów,
 umożliwienie logowania zdarzeń które powodują, że jedno urządzenie
zmienia swoje zachowanie pod wpływem drugiego,
 wyłączenie interpretowania oraz blokowanie propagacji powyższych informacji wszędzie tam, gdzie nie jest to niezbędne,
 blokowanie ruchu tam, gdzie nie jest on niezbędny – nawet w ramach jednego VLAN-u,
 weryfikację adresów źródłowych tam gdzie jest to możliwe,
 silne uwierzytelnianie wszelkich protokołów, które na to pozwalają,
 zabezpieczenie wrażliwych danych konfiguracyjnych urządzenia sieciowego przechowywanych w pamięci,
 uniemożliwienie podsłuchu komunikacji administracyjnej.
Literatura
1.
2.
3.
4.
5.
M. Thomas, D. Stoddard : Network Security First-Step, 2nd Edition,
Cisco Press, 2011r.
S. Empson: CCNA: pełny przegląd poleceń;
PWN, Warszawa 2009r.
C. Hunt, TCP/IP Administracja Sieci, Wydawnictwo RM; Warszawa
2003r.
Ł. Sosna, Linux. Komendy i polecenia. Wydanie II;
Helion, Gliwice 2006r.
Praca zbiorcza: Vademecum Teleinformatyka III;
IDG Poland SA, Warszawa 2004r.
42
6.
7.
8.
9.
I. Brown, K. Dooley: Cisco: receptury;
K. Krysiak: Sieci komputerowe: kompendium. Wydanie II;
I. Rudenko: Routery Cisco: czarna księga;
http://www.cert.gov.pl/cer/zalecenia-konfiguracyj/cisco

Michał BYŁAK, Dariusz LASKOWSKI

Transkrypt

Podobne dokumenty

Nauka odpoczywnia

Pobierz - zsp2garwolin.pl

Cisco SRW2024-K9-EU (SG 300-28)