Bezpečnost sítí

IT bezpečnost, zabezpečení bezdrátových (wifi) a počítačových sítí | IT  Prime s.r.o.

Kategorie :

Podkategorie :

Tutoriálů:

POPIS:
Síťové zabezpečení jsou ustanovení a politiky – oprávnění (pravidla), které jsou zavedeny správcem sítě pro prevenci a kontrolu oprávněnosti přístupu (autorizace), zneužití, úpravě, nebo zamítnutí počítačové sítě v síti přístupných zdrojů (zařízení). Zabezpečení sítě zahrnuje oprávnění přístupu k datům v síti, který je řízen správcem sítě.

Bezpečnost sítí

Teoretický úvod - sítě a význam zabezpečení

Hlavním cílem této práce je prostudování a popsání nejběžnějších slabých míst, nejfrekventovanějších typů útoků a ukázka možných opatření, jak se proti nim bránit. Zabezpečení sítě bude zkoumáno z pohledu vnějších rizik (zpravidla úmyslným útokům z internetu, s cílem získat data, či způsobit jinou škodu, například odstavení služeb), tak i vnitřních (úmyslným, kdy útočník získá fyzicky přístup k LAN, nebo neúmyslným/nedbalým zneužitím podnikové sítě zaměstnanci). Vedlejší cíle práce by měly přinést dostatek informací o technologiích klíčových k porozumění tématu bezpečnosti moderních sítí, tedy historii jejich vývoje a teoretický základ k používaných technologiím. Zároveň je jedním z cílů ukázat na praktické příkladu hypotetické firemní infrastruktury „best-practices“ postupy k jejímu zabezpečení.

Téma bezpečnost informací v ICT je jistě velmi aktuální a s přibývajícími možnostmi, ať už jsou dané hardwarovým pokrokem, či výrazně vyšším stupně využívání softwaru pro podporu veškerých procesů podnikání nehledě na odvětví nabývá na důležitosti. V neposlední řadě se toto téma stává mimořádně důležité kvůli velkému navýšení propojenosti všech systémů skrze internet.

Samotná struktura a principy, na kterých je internet postaven, přináší řadu rizik hrozeb. Z historie lze vypozorovat, jak se na základě analýzy úspěšných metod útoků začaly objevovat metodiky a prostředky pro zlepšení zabezpečení sítí. Firmy začaly

používat firewally a šifrování pro oddělení a zabezpečení internetové a intranetové komunikace. Stále důmyslnější metody útoků a stále větší závislost všech subjektů na informačních technologiích nevyhnutelně vede k rozvoji nástrojů, služeb i strategií, jak

jim čelit. Převážné většině oblastí rozsáhlého tématu síťová bezpečnost je možné porozumět prozkoumáním těchto hlavních aspektů:

1. Historie bezpečnosti sítí

2. Architektura sítě internet a její slabá místa

3. Typy internetových útoků a bezpečnostních metod

4. Bezpečnost sítí připojených na internet

5. Trendy vývoje v oblasti bezpečnosti sítí (hardware a software)

Na základě analýzy těchto bodů popíšeme současný stav v oblasti bezpečnosti sítí a

směřování trendů na tomto poli ICT technologií.

Téma zabezpečení podnikového ICT je samozřejmě mnohem rozsáhlejší a

neomezuje se pouze na vyjmenované oblasti, řešit se dá zabezpečení konkrétních

používaných aplikací, autentizace a autorizace uživatelů vůči aplikacím, službám,

šifrování dat, fyzické zabezpečení a další. V této práci se kvůli rozsáhlosti tématu budu

věnovat pouze konkrétním rizikům a potenciálním hrozbám, které je potřeba řešit

v běžném podnikovém prostředí a to z hlediska zabezpečení komunikace firemní sítě

s internetem a v rámci samotné LAN.

1.1 Omezující podmínky

Práce se zabývá problematikou zabezpečení běžných firemních počítačových sítí

standardu 802.3 a 802.11. Práce omezuje rozsah metodik a popisu primárně na

platformy Microsoft a nevěnuje se žádným konkrétním způsobem jiným platformám.

Rešerše zabezpečení sítí se týká pouze IPv4 protokolu.

1.2 Síťová bezpečnost

Bezpečnost je dnes klíčový faktor pro sítě i aplikační systémy a i přesto, že je jedním

z hlavních požadavků na vznikající a vyvíjející se sítě, existuje stále značný nedostatek

snadno implementovatelných metod a strategií zabezpečení.

Tento stav je dán především dříve neexistující řízenou kooperací mezi

organizacemi tvořící nové síťové standardy (především organizace IETF – Internet

Engineering Task Force) a subjekty tvořící bezpečnostní prostředky (HW/SW).

Návrh sítí je dobře vyvinutý proces, založený na Open System Interconnection

(OSI) modelu. OSI model disponuje několika výhodami pro tvorbu sítí. Nabízí

modularitu, flexibilitu, jednoduchost a standardizaci protokolů. Protokoly jednotlivých

vrstev modelu mohou být snadno stohovány, což umožňuje modulární vývoj.

Implementace „po vrstvách“ umožňuje nad jednotlivými vrstvami provádět změny bez

ovlivnění funkčnosti ostatních vrstev – vývoj je pružnější. Naproti tomu návrh

zabezpečené sítě postrádá jednoznačnou metodiku, jak spravovat komplexní požadavky

na zabezpečení sítí. [1]

Historie internetových sítí a bezpečnosti

Historie internetových sítí sahá až na přelom padesátých a šedesátých let 20. století.

V této době došlo k průlomu vědy v oblasti digitální komunikace, vynálezu přepínané

paketové sítě a vytvoření standardů pro návrh robustních sítí, odolných proti výpadku

jednotlivých komunikačních uzlů. Díky rozvoji komunikačních možností, především

rádiových a satelitních přenosů, vznikla potřeba integrované komunikace, která by

fungovala napříč používanými technologiemi přenosu. Odpověď na tuto potřebu

přineslo vytvoření TCP/IP protokolů a modelu. Na základě poznatků z těchto domén

vznikly první sítě podobné dnešnímu internetu, jako byla síť ARPANET, či NSFNET. [3]

Po uvolnění pravidel pro připojování subjektů do těchto sítí, a zároveň s rychlým

rozvojem osobních počítačů a komunikačních technologií, došlo k rapidnímu nárůstu

propojenosti počítačových systémů a rozvoji WAN sítí až do podoby dnešního internetu.

2.1 Packet switching network

Koncept přepínání paketů byl převzat z práce vědců a inženýrů Paula Barana a Donalda

W. Daviese. Paul Baran již v roce 1964 publikoval myšlenku, že brzy bude svět

potřebovat komunikační prostředek, jenž bude natolik robustní, aby fungoval při ničení

jeho uzlů. Predikoval, že při dostatečně vysokém počtu uzlů n, půjde vybudovat takovou

síť, že k jejímu zničení bude nutné zničit právě n uzlů. Paul Baran dostal počátkem

šedesátých let od US Air Force za úkol prozkoumat možnosti robustních komunikačních

sítí. Během výzkumu vybudoval první síť „širokého rozsahu“ (WAN), která sloužila

k propojení obranného radarového systému SAGE. Poznatky získané výzkumem a

budováním sítě publikoval v díle On Distributed Communications (1964). [4][5]

Zcela odděleně a nezávisle na Baranovi přišel s tímto konceptem přepínané

paketové sítě i Donald W. Davies. Davies pracoval pro britský ústav NPL (National

Physical Laboratory), kde byl v té době součástí týmu, vedeného Alanem Turingem,

vyvíjejícího počítač Pilot ACE. [4][5]

Přelomovým se stal rok 1965, kdy byl Daviesovi přidělen projekt mající za cíl

vytvořit nový způsob rychlé a robustní komunikace mezi počítači. K vyřešení problému

zahlcování příjemce, což byl vzhledem k možnostem tehdejší technik jeden z hlavních

problémů, zavedl rozdělování dlouhých zpráv na menší části (pakety) a jejich oddělené zasílaní příjemci. Topologie sítě byla kvůli požadavku na robustnost navržena tak, že

každý host bude připojen na svůj router, řešící směrování paketů do dalších sítí až

k cílové stanici. [4][5]

Vzhledem k oddělenosti výzkumu obsahuje jeho práce neuvěřitelné podobnosti,

jako je například velikost paketu 1024 bitů. Samotný pojem „packet switching“ pochází

právě od Donalda Daviese. Baranova práce pomohla přesvědčit americké ministerstvo

obrany o převratnosti digitálních počítačových sítí širokého rozsahu, které se poté

rozhodlo financovat navazující projekt pod záštitou organizace ARPA. [4][5]

2.2 TCP/IP Reference Model

Mezi další požadavky ministerstva obrany, které byly podníceny obavami z výpadků

komunikace při napadení důležitých uzlů sítě, patřilo zejména zajištění fungování sítě i

v případě, že dojde ke zničení částí přenosové sítě mezi zdrojovou a cílovou stanicí.

V neposlední řadě musela být architektura dostatečně flexibilní, kvůli předpokládaným

požadavkům na různorodé využití od přenosu souborů až po real-time přenos hlasu.

[3][4][6]

Tato architektura byla až později pojmenována jako TCP/IP Reference Model,

podle 2 primárních protokolů, které využívá. Poprvé byla architektura popsána vědci

Robertem Kahnem a Vintonem Cerfem (1974) a později vylepšena a dodefinována jako

standard (Branden, 1989). [2]

TCP/IP model je na rozdíl od modelu OSI velmi konkrétní a proto se často ani

nepovažuje za model, naopak protokoly, které implementuje, jsou široce rozšířené a

tvoří dnešní internet i většinu dalších WAN/MAN/LAN sítí. [2].

TCP/IP model je podobný modelu ISO/OSI především v pojetí vertikálně oddělených

vrstev a zodpovědnosti každé vrstvy za své služby a rozhraní. Model byl poprvé

implementován v pozdější fázi vývoje sítě ARPANET a NSFNET. Obrázek 1 znázorňuje

rozdíly mezi návrhem vrstev OSI modelu a modelu TCP/IP. Transportní vrstvy si

odpovídají, aplikační u TCP/IP odpovídá aplikační, prezentační a relační u ISO/OSI. [2]

Vrstva síťového rozhraní (Network Access, či Data link), definuje požadavky na

přenosová média (Ethernet, sériový kabel, Wi-Fi atd.), aby splňovala požadavky na

nespojovanou, přepínanou síť. Linková vrstva v přesném smyslu slova ani tak vrstva,

jakožto interface mezi hostem a přenosovým mediem. [2]

Vrstva internet (síťová) je základní stavební kámen, který drží celou architekturu

pohromadě. Úkolem internetové vrstvy je umožnit zdrojovému komunikačnímu uzlu

posílat pakety do libovolné sítě a zajistit jejich doručení k cíli. Na internetové vrstvě

nezáleží na vybrané cestě, ani na pořadí doručení paketů, pokud je pořadí pro

komunikaci důležité, je úkol vyšších vrstev seřadit příchozí komunikaci dle potřeby.

Internetová vrstva proto definuje přesný popis paketu, protokolu IP (Internet Protocol)

a doprovodných protokolů ICMP a IGMP, sloužících pro servisní respektive konfigurační

účely. Zásadním pro tuto vrstvu je tedy směrování - doručování IP paketů na místo

určení. [2]

 

Transportní vrstva nacházející se nad síťovou slouží primárně k udržování komunikace

mezi 2 stranami. K tomu slouží 2 transportní protokoly TCP (Transmission Control

Protocol) a UDP (User Datagram Protocol). Protokoly se zásadním způsobem liší

především ve spolehlivosti doručování. TCP protokol je spojově orientovaný protokol,

který umožňuje kontrolu neporušenosti dat mezi odesílatelem a příjemcem. Protokol

TCP na straně odesílatele rozděluje odesílaný bajtový tok na segmenty samostatných

zpráv a na straně příjemce je opět skládá a kontroluje jejich integritu. TCP protokol

rovněž disponuje funkcionalitou pro kontrolu datového toku, což slouží o k ochraně

příjemce před zahlcením na vstupu. Naproti tomu UDP protokol je nespolehlivý a

nespojovaný protokol. Používá se především v aplikacích, kde je rychlost doručení

zprávy důležitější, než její přesnost. Typicky nachází využití v multimédiích (video, hlas)

nebo v aplikacích požívajících „request-reply“ technologii. [2]

Příklady spojovaných a nespojovaných typů komunikace, rozdělených i podle

spolehlivosti přenosu na obrázku 2.

Obrázek 2 Spojované a nespojované služby

Aplikační, prezentační a relační vrstvy byly sjednoceny především kvůli vývoji

v oblasti počítačů. Přesunem použití sítí od mainframe počítačů k osobním pracovním

stanicím přestaly být do jisté míry důležité především protokoly relační a prezentační

vrstvy. TCP/IP model, i na základě zkušeností z OSI modelu, spoléhá na implementaci

všech relačních a prezentačních funkcí, které dříve poskytovaly samostatné protokoly na

svých vrstvách, v rámci aplikačních protokolů.

ARPANET

Síť ARPANET vznikla na základě iniciativy a dotací amerického ministerstva obrany (U.S.

DoD). Jednalo se o jednu z prvních sítí přepínajících pakety a později jednu z prvních sítí,

implementující TCP/IP protokoly a samozřejmě to byla síť předcházející dnešnímu

internetu. [3][4]

Vědci Kleinrock a Roberts, kteří dostali práci na projektu v rámci vládní

organizace ARPA na starost, se inspirovali právě vědeckými pracemi Donalda W. Daviese

a Paula Barana. Implementovali je právě při budování ARPANET. Síť vznikla za účelem

propojení univerzit a výzkumných ústavů v USA, které v té době měly uzavřeny

výzkumné kontrakty s organizací ARPA. Síť postupně propojila stovky univerzit a

vládních zařízení pomocí pronajatých telefonních linek, ale stále se jednalo o omezenou

síť, jelikož do ní měly přístup právě pouze subjekty spolupracující s americkým

ministerstvem obrany (DoD). [6]

Následně se díky rozvoji satelitní a rádiové komunikace objevily problémy

s integrací komunikace napříč různorodými přenosovými technologiemi. Do té doby celá

síť ARPANET fungovala na pronajatých telefonních linkách, či vytáčených spojeních.

Díky tomu bylo zřejmé, že je nutné vytvořit a implementovat nový model a protokoly,

které by dokázaly komunikaci zajistit napříč různými platformami. Zároveň s rozvojem

komunikačních technologií si na konci sedmdesátých let uvědomila organizace NSF (U.S.

Nationaonal Science Foundation), jak obrovský přínos má ARPANET pro podporu

výzkumu na univerzitách do něj připojených. Vznikla iniciativa NSF o vytvoření

nezávislého paralelního back-bone, připojeného k ARPANET, do kterého by se mohli

libovolně připojovat i vědecké a akademické subjekty, které nemají smlouvy s agenturou

ARPA. Prvním krokem tak bylo vybudování sítě CSNET (Computer Science Network)

v roce 1981, ta propojovala 6 tehdejších superpočítačů napříč USA, byla propojena

s ARPANET a umožňovala připojování libovolným akademickým subjektům a později i

zájemcům ze soukromého sektoru. [3][4]

Podstatnou vlastností této sítě byla implementace TCP/IP protokolu, tudíž

možnost využití různých komunikačních prostředků.

Referenční OSI model

OSI model, jak je zobrazen na obrázku 3, byl vytvořen Mezinárodní standardizační

organizací (ISO) v roce 1983 a revidován v roce 1995. Model vznikl na základě iniciativy

sjednotit protokoly používané v jednotlivých vrstvách otevřených systémů (proto

zkratka OSI – Open Systém Interconnection). Pánové Day a Zimmermann, kteří standard

vytvořili, vycházeli z následujících premis, na jejichž základě vzniklo právě 7 vrstev

modelu[2]:

1. Vždy když je potřeba nová úroveň abstrakce, je nutné vytvořit další vrstvu.

2. Každá vrstva by měla provádět dobře definovanou funkci.

3. Funkce každé vrstvy by měla být zvolena s ohledem na mezinárodně

standardizované protokoly.

4. Hranice každé vrstvy by měly být stanoveny tak, aby se minimalizoval datový tok

přes rozhraní vrstev.

5. Počet vrstev by měl být dostatečně vysoký tak, aby různé funkce nemusely být

sdružovány v jedné vrstvě, ale zároveň tak malý, aby se architektura nestala

nepraktickou.

Obrázek 3 OSI reference model

Zdroj:

Samotný OSI model ale není předpis pro žádnou síťovou architekturu, jelikož

neobsahuje přesné specifikace služeb a protokolů, které mají být použity v daných

vrstvách. Model pouze říká, co má jaká vrstva dělat. Přesnou specifikaci vydalo ISO pro

každou vrstvu zvlášť jakožto samostatný standard.

Historie zabezpečení sítí

Počítačové sítě a jejich historie, jak jsme si přiblížili, vznikaly především na akademické

půdě, měly usnadnit výměnu poznatků a zjednodušit komunikaci vědců nad projekty.

V této době se bezpečnost těchto sítí netěšila téměř žádné pozornosti. Nyní ale

počítačové sítě používají stovky miliónů lidí nejen pro posílání e-mailů, ale pro

nakupování, internetové bankovnictví. Firmy uchovávají své duchovní vlastnictví na

počítačích a v datových centrech připojených k internetu.

V historii lze najít několik klíčových událostí, které přispěly ke vzniku počítačové

a síťové bezpečnosti a první z nich se datuje až do 30. let dvacátého století. V roce 1918

vytvořili němečtí odborníci na kryptografii stroj Enigma, který konvertoval prostý text

na šifrovaný. V roce 1930 však tuto šifru prolomil geniální matematik Alan Turing a

zajistil tím spojencům jednu z klíčových výhod pro druhou světovou válku. [1]

V šedesátých letech, v době tvorby sítě ARPANET, se na MIT univerzitě začalo

používat pojmenování hacker. V sedmdesátých letech byl vytvořen protokol TELNET,

sloužící k vzdálenému ovládání terminálů (počítačů). V osmdesátých letech se začali

hackeři a počítačová kriminalita objevovat ve větší míře. Jeden z prvních případů z USA,

z počátku 80. let, je případ takzvané skupiny 414 Gang. Jednalo se o skupinu šesti

mladíků, kteří se bavili pronikáním do počítačů velkých organizací, jako Los Alamos

National Laboratory, Sloan-Kettering Cancer Center a Security Pacific Bank. Využívali

k tomu většinou dobře známá slabá místa nezáplatovaných operačních systémů, či

ponechaná výchozí či jinak standardní administrátorská hesla. Po odhalení účastníků

bylo zjištěno, že stávající legislativa je zcela nepřipravena se vypořádat s počítačovými

zločiny. [1]

V roce 1986 vznikl v USA zákon The Computer Fraud and Abuse Act of 1986, poté co se

Ian Murphy naboural do počítačů americké armády a ukradl z nich data. V roce 1988

vytvořil univerzitní student Robert Morris prvního počítačového červa (Morris Worm).

Vypustil ho 2. listopadu 1988 z jednoho z počítačů univerzity MIT. Bobert Morris se stal

prvním hackerem odsouzeným na základě zákona The Computer Fraud and Abuse Act of

1986 a díky obavám, způsobeným rychlým rozšířením tohoto viru vznikla organizace

CERT (Computer Emergency Response Team), která si vytyčila za úkol upozorňovat

uživatele počítačů na hrozící bezpečnostní slabiny. [2][8]

Obrázek 4 Nárůst uživatelů internetu

V devadesátých letech, kdy se internet stal veřejným, došlo k dramatickému nárůstu

(Obrázek 2-4) bezpečnostních rizik. Na základě statistiky z roku 2012 je k internetu nyní

připojeno 2,4 miliardy uživatelů, každý den dochází ke stovkám zásadních

bezpečnostních incidentů, které mohou končit značnými ztrátami a to jak nehmotnými,

tak i hmotnými. Investice do patřičného zabezpečení je tak jistě na místě jak pro velké

organizace, tak i pro běžné uživatele.[7]

Rozlišení mezi datovou a síťovou bezpečností

Pokud v rámci ICT oboru hovoříme o počítačové bezpečnosti, je potřeba rozlišovat o

jakou bezpečnost se jedná. V současnosti oddělujeme datovou a síťovou bezpečnost.

Datová bezpečnost, neboli též zabezpečení dat, se zabývá především kryptografií, tedy

oborem, ve kterém nám jde o transformaci čitelného textu do formy, nečitelné pro

neautorizované subjekty. Kryptografie je velmi starý obor, jehož počátky sahají až do

antického starověku. Napříč dějinami kryptografie lze však vypozorovat stále se

opakující problémy s trvanlivostí šifrovacích algoritmů. Algoritmus považovaný v dané

době za silný a neprolomitelný většinou dokázali odborníci na kryptoanalýzu prolomit

během následujících období. Tyto intervaly se samozřejmě s nárůstem dosažitelného

výpočetního výkonu zkracují. [8]

Dnes je proto velmi důležité se soustředit nejen na silné šifrování samotného

přenášeného obsahu, ale i na zabezpečení přenosových kanálů (sítí) jako takových.

Vzhledem k dostupnosti širokopásmového připojení k internetu je dnes převážná

většina informací předávána elektronicky. Nezabezpečená síť je však velkým rizikem i

v případě, že přes ni posíláme zašifrovaná data. Útočník, který má k nezabezpečenému

médiu přístup, dokáže zachytávat komunikaci (šifrované zprávy) a pokoušet se

analyzovat a prolamovat šifru. V případě nevhodně zvolené metodiky dochází často

k odchycení přímo privátních klíčů a tím zkompromitování bezpečnosti. V takovém

případě může útočník nejen data číst, ale i modifikovat a podstrčit do komunikace

vlastní obsah. V případě nezabezpečeného média však nemusí útočníkovi jít pouze o

extrakci či modifikaci komunikace, ale například o narušení funkce služeb. Vzhledem

k volně přístupnému kanálu lze na požadované cílové stanice směrovat jakýkoli provoz a

tím například provádět útoky typu DoS (Denial of Service). [8]

Z toho je již zřejmé, že dnes je nutné zabezpečovat proti neautorizovanému

přístupu nejen data, ale mělo být vynaloženo úsilí a prostředky i na zabezpečení

přenosových sítí by mělo být vynaloženo úsilí a prostředky.

Datové a synchronní sítě

V současnosti tvoří většinu počítačových sítí sítě dvojího typu – datové sítě složené

z routerů (Internet) a synchronní počítačové sítě, složené z přepínačů. U sítí složených

ze směrovačů je v případě nezabezpečení daleko vyšší riziko napadení, protože

směrovače jsou zařízení pracující s pakety systémem store and forward. Tedy ke svojí

činnosti potřebují buffer k uchovávání dat mezi přijetím zpracováním a odesláním. [8]

Tento způsob činnosti však přímo vybízí k napadení. V případě, že je útočník

schopen nakazit router škodlivým kódem nebo získat dokonce nad routerem kontrolu,

není již problém získávat, či manipulovat s daty z bufferu. Naopak switch data neukládá

(bavíme-li se o klasických Layer 2 přepínačích), a proto jsou výrazně méně zajímavým

cílem útoků z internetu. Přepínače mají svá slabá místa, která lze využít při útocích

vedených z vnitřní sítě, tomuto tématu se věnujeme v kapitole 5, 8 a 9. [8]

Za předpokladu, že máme zabezpečená data (používáme šifrování na aplikační vrstvě),

máme implementovanou autentizaci, je stále potřeba vyřešit zabezpečení na první

(PHY) a druhé (DATA-LINK) vrstvě. Z tohoto důvodu je důležité jak použití silných šifer,

tak i robustních a těžko napadnutelných přenosových sítí. [8]

Obrázek 5 Datová a síťová bezpečnost

Konkrétní metody zabezpečení spodních vrstev synchronních sítí probírá kapitola 8

Rizika nezabezpečených aktivních prvků LAN a 9 Možnosti zabezpečení aktivních prvků

LAN.

Architektura internetových sítí

Obor počítačové sítě pokrývá širokou škálu různých typů sítí. Různé typy sítí byly

vyvinuty a jsou používány s různými cíli. My se zde hodláme zabývat počítačovými

sítěmi připojenými k internetu, a proto se pojďme podívat blíže na architekturu

internetu jako takového.

Architektura internetu

Architektura internetu se značným způsobem změnila během uplynulé doby extrémního

rozšíření jeho pokrytí. V posledních letech za tyto změny v architektuře mohou

především telekomunikační operátoři a další společnosti (kabelové a IP poskytovatelé

TV vysílání atd.) s jejich nabídkou konvergovaných služeb. Dříve bylo k poskytování

různých typů služeb zapotřebí různých přenosových sítí, které měly své architektury,

své protokoly a svou šířku pásma. Pokud jste chtěli telefonovat a sledovat televizi,

potřebovali jste pevnou linku a telefonního operátora, anténu či satelit pro příjem

televizního vysílání a poskytovatele zastřešujícího vysílání. Dnes dostanete od jednoho

poskytovatele hlasové, datové i obrazové služby najednou a navíc pomocí jednoho

sdíleného přenosového média.[2]

Internet není vlastně síť v pravém slova smyslu, je to spíše spojení obrovského

množství různých sítí, používajících společné protokoly a služby. Původ internetu je

právě v propojování nezávislých subjektů na nosné technologii internetu – sadě

protokolů TCP/IP. Masivní růst zažil internet po roce 1990, kdy se do něj začali

připojovat soukromé subjekty a začalo šíření domácího připojování. [32]

Internetová architektura stojí na IP směrování a DNS překladech. Routování umožňuje

zprostředkovat komunikaci mezi oddělenými sítěmi a to jak na stejné úrovni hierarchie,

tak i mezi úrovněmi. Jednotlivé úrovně se liší především geografickým rozsahem a

množstvím připojených uzlů. Tier 1 tvoří sítě a infrastruktura největších

telekomunikačních operátorů. Ty jsou propojené mezi sebou a tvoří tak páteřní spoje

internetu. Spojená konektivita je většinou ošetřena na základě smluv o spolupráci. Tier 2

sítě jsou většinou doménou národních poskytovatelů služeb, ty nakupují přístup od Tier

1 poskytovatelů a prodávají dále lokálním poskytovatelům úrovně Tier 3, kteří již

připojují přímo jednotlivé domácnosti a další subjekty. To samozřejmě mohou dělat i

poskytovatelé vyšších úrovní, ale není to běžné. ISP Tier 2 ale často připojují k internetu

velké korporace či státní správy. [32]

Obrázek 6 Úrovně internetových sítí

Systém DNS umožňuje překlad lidsky čitelných názvů na IP adresy. Je zřejmé, že tato

služba je zcela klíčová pro fungování internetu, jelikož bez překladu není ani směrování,

tudíž žádná komunikace založená na DNS jménech. DNS překlady fungují na principu

ověřování dotazu. Nejprve se DNS server pokusí název vyhledat v lokální cache, pokud

se tam nenachází, prohledává zónovou databázi a pokud ani tam neuspěje, předá dotaz

nadřazenému serveru. Celou architekturu zastřešuje 13 root DNS serverů, které

obsahují databázi všech autoritativních DNS serverů domén nejvyššího řádu, takzvaných

Top-level Domain (.com, .cz, .info, .gov atd.). [32]

 

Frekventované metody útoků a protiopatření

Pokud se zabýváme síťovou bezpečností, je potřeba zdůraznit fakt, že celá síť je tak

zabezpečená, jako je zabezpečené nejslabší místo této sítě. To znamená, že nestačí mít

zabezpečené pouze komunikující koncové stanice a zašifrovaná posílaná data, ale i již

zmiňované komunikační kanály, a to jak z pohledu logického, tak fyzického. Zabezpečení

sítě by mělo vycházet z předem připraveného plánu.

Tvorba plánu zabezpečené sítě by měla zohlednit především[1]:

1. Přístup – pouze autorizovaní uživatelé mají přístup ke komunikaci v dané síti

2. Důvěrnost – informace v rámci sítě zůstávají soukromé

3. Autentizaci – zajištění identifikace uživatelů (ověření, že uživatel je ten, za

koho se vydává)

4. Integritu – kontrola proti modifikaci dat během transportu po síti

5. Nepopiratelnost – uživatel, který provedl na síti nějakou akci ji nemůže popřít

Efektivní bezpečnostní strategie musí vycházet z pochopení potenciálních hrozeb,

útočníků a faktorů, které dělají síť zranitelnou. Pochopení těchto faktorů usnadňuje

stanovení optimální úrovně požadovaného zabezpečení vzhledem k informacím, které

síť uchovává a prostředí, ve kterém je síť provozována. Zároveň je nutné vzít v potaz

charakter dat a komunikace, jež má být předmětem zabezpečení. Vedení firmy musí

vyhodnotit poměr mezi úrovní zabezpečení, náklady, uživatelským komfortem a

potenciálním rizikem či ztrátami v případě prolomení bezpečnosti. [1]

Na následujících grafech je názorně vidět několik důležitých statistik. Obrázek 7 ukazuje

státy s největším počtem detekovaných útoků (data jsou platná k srpnu 2013).

Obrázek 7 Počet útoků podle zemí uskutečnění

Obrázek 8 znázorňuje proporce útoků podle motivace útočníků. Jednoznačně vede

počítačová kriminalita, tedy útoky vedené za účelem krádeží dat, osobního obohacení

nebo destrukce na straně cílového subjektu.

Obrázek 8 Motivace útočníků

Obrázek 9, ukazuje rozložení útoků podle typu využívaného slabého místa nebo

techniky. Majoritu tvoří útoky, u kterých se nepodařilo zjistit techniku. Druhé v pořadí

jsou útoky DDoS, následují útoky pomocí zcizené identity, změna obsahu webových

stránek a SQL Injection.

Obrázek 9 Rozložení útoků podle typu

5.1 Deset nejčastějších chyb způsobujících slabá místa bezpečnosti sítě

5.1.1 Slabá hesla

Ačkoli je to s podivem, stále se jedná o jeden z největších problémů, způsobující trhliny

v zabezpečení. Slabá, snadno odhadnutelná a znovu používaná hesla jsou zároveň pro

útočníka nejsnazším způsobem, jak prolomit zabezpečení cílového systému. [9]

Doporučená opatření: V bezpečnostní politice by měla být jasně definována

pravidla pro komplexnost a periodicitu změny hesel. Tato pravidla by měla být následně

implementována na úrovni vynucení pomocí GPO nebo obdobných nástrojů a

systematicky dodržována a to bez výjimek na straně IT, což je velmi častý jev.

5.1.2 Chybějící aktualizace

Software i firmware ponechaný v základní konfiguraci a bez pravidelného aplikování

bezpečnostních záplat je stejně jako slabá hesla jedním z nejčastěji vyskytujícím se bezpečnostním rizikem. Většině útoků lze přitom snadno zabránit právě včasným

nasazováním otestovaných aktualizací. [9]

Doporučená opatření: Pravidelné kontrolování aktuálnosti nasazených operačních

systémů, uživatelského i serverového software, nastavení automatických aktualizací

antivirových programů na koncových stanicích i klíčových serverech (například mail

server), kontrola bezpečnostních aktualizací firmware síťových prvků a firewallů.

Veškeré nasazované aktualizace by měly projít otestováním, než dojde k nasazení do

produkčního prostředí a v případě firmware v síťových prvcích je vhodné nasazovat

pouze nezbytně nutné záplaty, či kritické opravy chyb. U síťových prvků bývá často

značný problém vrátit se k předchozí verzi, pokud dojde k neočekávanému chování po

provedení aktualizace. Ve větších podnicích je nezbytná implementace software pro

konfigurační management, jako jsou nástroje HP ProCurve Managers Plus (PCM+) nebo

Cisco IOS XE. Tyto nástroje umožňují centrální evidenci konfigurací síťových prvků,

vzdálenou konfiguraci, zálohování i aktualizace zařízení.

5.1.3 Nezabezpečené body pro vzdálený přístup

Nezabezpečené a nemonitorované způsoby vzdáleného přístupu do podnikové sítě jsou

opět velmi častým problémem zabezpečení a zároveň jedním z nejsnadnějších

prostředků, jak získat přístup k síti. Nejčastějším problémem jsou nezablokované či

nezrušené účty bývalých zaměstnanců s povoleným vzdáleným přístupem

k podnikovým IS. [9]

Doporučená opatření: Součástí bezpečnostní politiky či firemních směrnic by měla

být jasně nedefinovaná pravidla související s povinnostmi zainteresovaných

zaměstnanců v souvislosti se zaváděním i odstraňováním zaměstnanců z pohledu IT.

Tvorba účtů, autorizace k různým částem IS, vzdálený přístup do podnikové sítě a další.

Zároveň musí být jasně definovány postupy navazující na odchod zaměstnance z firmy,

jako je blokování účtu či jeho úplné zrušení a smazání dat. V případě účtů s povoleným

vzdáleným přístupem je rovněž vhodné pravidelné auditování logů terminačních bodů

vzdáleného přístupu, za účelem zjištění neautorizovaného přístupu.

5.1.4 Únik informací

Únik informací je široký pojem, který pokrývá neúmyslné prozrazení citlivých údajů o

zabezpečení zaměstnancem (například na sociálních sítích), úmyslné vynášení informací za účelem poškození zaměstnavatele (případně bývalého), či osobního obohacení až po

špatné zabezpečení citlivých dat. Jakýkoli únik citlivých dat (v konkrétním případě

bezpečnostních), jako jsou verze a typy používaného software, uživatelská pověření,

sdílné prostředky atd. může útočníkovi značně usnadnit

prolomení bezpečnostních opatření. [9]

Doporučená opatření: Riziko úniku informací je jedním z nejobtížněji

řešitelných hrozeb. Neúmyslné úniky způsobené většinou nedbalostí zaměstnanců často

nevedou k závažným bezpečnostním incidentům a jako protiopatření je vhodné

především pravidelné zaškolování zaměstnanců v oblasti bezpečnostní politiky firmy a

celkové osvěty v chování v prostředí internetu, především na sociálních sítích.

Úmyslnému vynášení citlivých dat z firmy se zabraňuje velmi obtížně a většinou ho

nelze zcela vyloučit. Snížení rizika docílíme pouze kombinací více bezpečnostních

pravidel a postupů. Nejzásadnějším faktorem snižujícím toto riziko je komplexně

připravená, nasazená a managementem podniku podporovaná bezpečnostní politika.

Politika musí řešit zevrubně problematiku autorizace uživatelů vůči různým stupňům

citlivosti informací dostupných pomocí IS. Citlivá data musejí být zabezpečena proti

tisku/kopírování, případně je nutné omezení přístupu k nejcitlivějším datům pouze

z vybraných koncových stanic, které například budou připojeny pouze do

zabezpečeného VLAN, nebudou mít přístup na internet ani do zbytku firemní LAN a

nepůjde k nim připojit žádné přenositelné medium. Takové stanice je nicméně nutné

adekvátně zabezpečit i fyzicky, aby nemohlo dojít k rozebraní, či přímo odcizení celého

stroje. Vhodným řešením pro takto kritické nasazení je použití VDI (virtuálních

desktopů), kdy koncový terminál neobsahuje žádná data mimo RAM, protože

zabezpečení dat na serverové straně je většinou jak po fyzické, tak po logické stránce

jednodušší a silnější.

5.1.5 Spuštěné nepotřebné služby

U koncových stanic i serverů se velmi často stává, že po nasazení a konfiguraci

požadovaných služeb zůstávají spuštěné i výchozí služby, které ale pro daný účel stanice

nejsou potřebné. Nepotřebné služby, zejména ty komunikující po síti, jsou velkým

rizikem a často slabým místem systému, protože bývají ponechány bez konfigurace a

především bez monitoringu. Poskytují tak útočníkovi zcela zbytečně další možnosti jak

získat přístup k systému. [9]

Doporučená opatření: V tomto případě je řešení jednoznačné a snadné,

nepotřebné služby je dobré v systému zakázat nebo minimálně zabezpečit firewallem,

pokud je například na službě závislá nějaká další lokální služba.

5.1.6 Špatně nakonfigurované firewally

Nezřídka dochází k tomu, že velmi mnoho pravidel či jejich přílišná komplexnost vede ke

kolizím v nich a následně neočekávanému chování firewallu. Velkým problémem je

zřizování dočasných či testovacích pravidel, která ale po uplynutí relevantního času již

nikdo nezruší a tím vznikají slabá místa zabezpečení. Špatně nakonfigurovaný firewall je

velkým rizikem a slabým místem, jelikož útočníkovi potenciálně nabízí přímý přístup do

DMZ nebo dokonce přímo do vnitřní sítě firmy. [9]

Doporučená opatření: Je vhodné vyvarovat se přílišné komplexnosti pravidel,

pravidla by měla být přímočará a snadno pochopitelná. Pokud je to možné, je lepší

vytvořit více jednoduchých pravidel, než jedno komplexní. Při vytváření nových pravidel

je dobré revidovat současný stav kvůli potenciálním kolizím či duplicitě starších

pravidel. Pravidelná kontrola validity pravidel často vede k pročištění a zpřehlednění

firewallu. Monitoring a pravidelné auditování logů firewallu pomáhá zjišťovat nečekané

chování a odhalovat nepotřebná pravidla.

5.1.7 Špatně nakonfigurované webové servery

Servery publikované do internetu (v lepším případě v DMZ, v horším přímo v LAN)

obsahující špatnou konfiguraci, nezáplatovaný software, používající známá slabá místa

(cross-site scripting, SQL injection díry), jsou častou a velkou hrozbou. Takto

nezabezpečené servery jsou lákavým cílem útočníků, jelikož jsou přímo viditelné (z

principu) na internetu a útočník tak nemusí překonávat firewally, ale rovnou se snaží

získat přístup k informacím pomocí výše zmíněných známých slabých míst. [9]

Doporučená opatření: U webových serverů je velmi důležité znát správnou

konfiguraci pro daný účel nasazení a tu striktně vyžadovat. Obecné platné doporučení je

nastavit bezpečnostní volby u publikovaných služeb na výchozí stav „vše zakázáno“ a

následně povolit přímo jen služby a rozšíření, která jsou nezbytně nutná pro chod

webové služby. Často to bývá přesně naopak a dochází potom k opomenutí některých

povolených služeb a rozšíření, které oslabují bezpečnost služby. Důležité je sledování

bezpečnostních záplat a nově objevených hrozeb a adekvátně na tyto situace reagovat (aktualizace, rekonfigurace). Webové aplikace běžící na publikovaných serverech by

měly být kódovány na základě moderních principů a za použití ověřených a bezpečných

technologií a kód by měl být udržován aktualizovaný po zjištění bezpečnostních děr.

5.1.8 Neadekvátní logování a monitoring

Pokud už se útočníkovi podaří prolomit zabezpečení a dostat se do sítě, je nanejvýš

důležité ho co nejdříve odhalit. Bez správně nastavené úrovně logování, monitoringu a

reportingu (notifikací) to však není možné. [9]

Doporučená opatření: Na přístupových bodech sítě (brány do internetu, NAT

firewally atd.) je nutné mít nastavené adekvátní logování a pravidelně logy sledovat.

Pokud jsou dostupné technologie pro automatické vyhodnocování podezřelého chování

(IDS – Intrusion Detection Systém), je nutné jich využít, ať již k včasnému informování

správce o podezřelém provozu na síti, či aplikování automatizovaných akcí, které

zabrání útočníkovi v pokračování. Logování je dobré využívat nejen na přístupových

bodech sítě, ale i na serverech a koncových stanicích v rámci vnitřní sítě. V tomto ohledu

může správci opět velmi pomoci technologie pro hromadnou správu a monitorování

stanic (například Microsoft System Center Operations Manager), který dokáže

sofistikovaně procházet koncentrované logy a na základě předdefinovaných kritérií

notifikovat správce.

5.1.9 Špatný systém sdílených souborů a adresářů

Operační systémy Windows (klientské i serverové) i Unix/Linux, jsou známy špatnými

implementacemi funkcí pro práci se sdílenými zdroji. Nedostatečná úroveň granularity

zabezpečení a problémy způsobené nemožností řešit odděleně autorizace pro vnořené

soubory a adresáře často vede k zjednodušení nastavení bezpečnosti a vznik

potenciálních slabých míst. Špatně nastavená oprávnění pro přístup ke sdíleným

zdrojům, případně kombinace se zmíněnými riziky slabých hesel a ponechaných

nepotřebných uživatelských účtů, jsou přímou pozvánkou pro získání dat

neautorizovanou osobou. Velkým problémem jsou často slabá hesla výchozích uživatelů

(administrator, root) v kombinaci s povoleným výchozím sdílením systémových zdrojů

(C$, IPC$). [9]

Doporučená opatření: Systém sdílených zdrojů by měl být co možná

nejtransparentněji navržený. Adresářová struktura by neměla být příliš hluboká a měla by být pravidelně auditována kvůli potenciálním chybám v nastavení autorizace

jednotlivých uživatelů k patřičným datům. Doporučení lze také sjednotit s bodem 5.1.1,

jelikož kombinace přidělené autorizace ke sdíleným datům a slabého hesla je opět

významným rizikem ztráty dat. V případě použití uživatelských skupin pro přidělování

autorizací většímu množství uživatelů naráz, je nutné pravidelně kontrolovat obsazení

skupin z pohledu aktuálnosti. Pokud je systém sdílených zdrojů provozován na

dedikovaném souborovém serveru, je dobré využít integrované funkce pro auditování

obsahu, stanovování kvót a restrikcí pro uživatele. V případě, že nasazení neovlivní

dramatickým způsobem výkon služby, je dobré využít na straně souborového serveru

specializovaný antivirový program. Sdílení zdrojů je vhodné integrovat do

sofistikovanějších systémů (například Content Management System), který nám umožní

daleko větší kontrolu nad správou těchto zdrojů. V neposlední řadě je dobré data ve

sdílených úložištích (a nejen tam) šifrovat. [9]

5.1.10 Nedostatečná dokumentace či neexistující bezpečnostní politika

Nedostatečná, neexistující nebo sporadicky tvořená dokumentace procesů spojených

s bezpečností ICT a nezdokumentované postupy řešící krizové situace nejsou přímou

bezpečnostní slabinou ve smyslu slabého místa pro útočníka, ale každopádně přispívají

k navýšení rizika, že ztráty po potenciálním úspěšném útoku budou daleko větší, než by

bylo nutné. Neexistence jednoznačných postupů v IT procesech ale neznamená riziko jen

při potenciálním útoku. Nedodržování standardních kroků při běžných procesech, jako

je zavádění či rušení uživatelských účtů, nových služeb, nasazování nových serverů atd.,

vede k zanedbání či opomenutí často kritických nastavení, jež vedou do budoucna

k potenciálním hrozbám kteréhokoli z výše vyjmenovaných typů. [9]

Doporučená opatření: Systematická tvorba dokumentace a především

srozumitelně sepsaná a dodržovaná bezpečnostní politika, vytvořená na základě výše

zmíněných bodů významně přispívá k udržitelnosti zabezpečení podnikového ICT.

Zároveň veškerá dokumentace pozitivně ovlivňuje zastupitelnost zaměstnanců ICT

oddělení a odstraňuje tím slabá místa v podobě často se vyskytujícího vzniku

potenciálně nenahraditelných zaměstnanců. Dodržování standardizovaných postupů

eliminuje do značné míry nečekané bezpečnostní incidenty, které vznikají

nestandardními konfiguracemi nebo opomenutími při konfiguraci ICT prostředků.

 

Nezabezpečené mobilní technologie

Bodem navíc v tomto TOP 10 se stává problematika zabezpečení mobilních zařízení,

která jsou čím dál více začleňována do podnikového ICT. Chytré telefony, tablety,

notebooky a další zařízení schopná připojovat se do firemních sítí jsou samozřejmě také

rizikem, slabým místem a cílem potenciálních útoků. Moderní pracovní systém BYOD je

dalším zdrojem rizik spadajících do této kategorie. [12]

Doporučená opatření: U mobilních zařízení, na rozdíl od serverů a klientských

stanic nacházejících se ve firmě, lze jen velmi těžko zajistit fyzické zabezpečení zařízení

(proti odcizení, pozměnění SW), proto je o to důležitější věnovat se zabezpečení

samotného přístupu těchto zařízení do sítě. U chytrých telefonů a tabletů je vhodné

s požadovanou úrovní zabezpečení počítat již při nákupu těchto přístrojů a vyhodnotit

možnosti zařízení v oblasti šifrování lokálních dat, nabídky VPN připojení a kooperaci se

vzdáleným řízením bezpečnosti. Přístroje, které umožňují vzdálené řízení bezpečnosti je

možné pomocí specializovaných nástrojů nebo pomocí mail serveru vzdáleně resetovat

do továrního nastavení a dokonce i naformátovat vložené paměťové karty. Tím je

v případě odcizení nebo ztracení přístroje možné předejít zneužití dat či

předkonfigurovaných účtů (e-mail, VPN atd.). Pokud firma podporuje program BYOD, je

velmi důležité pokrýt použití těchto přístrojů směrnicemi v bezpečnostní politice a

v ideálním případě použít nástroje NAP, které významné přispívají k zabezpečení

zařízení, které nemá firma zcela ve své správě. Nástroje NAP dokáží na základě

monitorování vyhodnotit, zda je zařízení po stránce konfigurace, aktualizací a stavu

například antivirového programu v souladu s požadavky pro povolení přístupu do sítě.

Pokud tomuto stavu nevyhovuje, je mu buďto odmítnut přístup nebo je umístěno do

karanténní zóny, ze které je možné se dostat k prostředkům napravujícím tento stav.

NAP lze využít jak na serverech pro přístup k podnikové síti zvenčí (u MS je k dispozici

například jako součást služby Směrování a vzdálený přístup), tak i pro zajištění stavu

desktopových systémů v síti LAN, připojených přes ověřování 802.1X nebo NAP IPsec.

Frekventované metody útoků

Bez stanovené bezpečnostní politiky, nasazených a dodržovaných pravidlech politikou

daných, jsou data v jakékoli síti vystavena značnému riziku. V následující části si

přiblížíme nejčastěji se vyskytující techniky, které jsou využívány útočníky k získání

přístupu do sítě či přímo k datům. Útoky můžeme rozdělit na pasivní a aktivní. Pasivní

útok znamená většinou monitorování komunikace a odchytávání pro útočníka

zajímavých informací, které buďto vedou k získání údajů potřebných pro pokračování

útoku nebo přímo zachycení chtěných dat. Aktivní útok naopak přímo modifikuje

přenášená data za účelem manipulace s účelem pozměněných informací nebo za účelem

destrukce komunikace či celé sítě.

Odposlouchávání (zachytávání) síťové komunikace

Většina síťové komunikace probíhá i v dnešní dobé stále v nezašifrované (plaintext)

podobě. To umožňuje útočníkům, kteří mají přístup ke komunikačnímu kanálu, přes

který probíhá daná výměna informací, zachytávat pakety probíhají komunikace a snad

se dostat k obsahu. Pro odposlouchávání komunikace existují 2 termíny – sniffing a

spoofing. Odposlouchávání sítě je jedním z největších a nejčastějších problémů, s jakým

se administrátoři ve firemních sítích střetávají. [11]

Doporučená opatření: V první řadě by mělo být snahou správce znemožnit

útočníkovi fyzický přístup k síťové infrastruktuře. Datové rozvaděče a servery by měly

být dobře fyzicky zabezpečeny proti přístupu neautorizovaných osob, v případech

vyžadujících vysoký stupeň zabezpečení je vhodné zabezpečit i optické páteřní linky

například mechanismem hlídajícím tlak plynu v uzavřeném vedení pro optické vlákno.

Při narušení vedení dojde k poklesu tlaku v systému a okamžitému varování o možném

útoku. Kromě datových center a rozvodů je potřeba zajistit, aby se do sítě nemohlo

připojit cizí zařízení a to ani v případě naklonování „důvěryhodné“ MAC adresy stanice

nebo periferie. Vhodné řešení nabízí například PKI infrastruktura ve spojení s výše

zmíněnou službou NAP. V případě, kdy je do sítě připojeno zařízení, které není ověřeno

pomocí certifikátu, případně nesplňuje další kritéria NAP politik, je buďto přesunuto do

karanténního prostoru nebo dojde přímo na přepínači k deaktivaci síťového portu a tím

zamezení další komunikace. [2][9][10]

Pokud máme zabezpečenou fyzickou vrstvu komunikace, je potřeba se soustředit na

samotný obsah komunikace. Pokud by se útočníkovi podařilo proniknout opatřeními na

fyzické vrstvě, stále bude mít k dispozici čitelný text. K zabezpečení obsahu komunikace

je možné použít prostředky na různých vrstvách TCP/IP modelu. Na linkové vrstvě lze

použít šifrování (link layer encryption) k zajištění nečitelnosti obsahu komunikace. Tato

metoda zabezpečení má své výhody i nevýhody a je potřeba obě strany zvážit podle

prostředí nasazení. Výhody linkového šifrování jsou především rychlost, nízká režie

v síťovém provozu i na straně šifrujících zařízení, nezávislost na protokolech vyšších

vrstev a v neposlední řadě i minimální riziko lidské chyby, jelikož linkové šifrování

prostě šifruje vše, co je odesílá po zabezpečeném rozhraní. Nevýhody plynou především

z toho, že se jedná o „hop-to-hop“ šifrování, tedy v každém bodě (přepínači, směrovači,

hostu) je zprávu nutné dešifrovat a při odesílání dál, znovu zašifrovat, což především u

routerů (vzhledem k dříve zmíněnému riziku bufferování dat) znamená zvýšené riziko

infiltrace a získání dat přímo ze směrovače. [13]

Řešením tohoto problému je použití šifrování na síťové vrstvě. Technologie

IPsec, která řeší toto zabezpečení, funguje na principu end-to-end tunelu a je tedy

odolná vůči napadení prvků mezi koncovými body komunikace. IPsec je skupina

protokolů vytvořená po dlouhých debatách IETF o tom, jak by měla vypadat

zabezpečená internetová komunikace. Konkrétní specifikace a popis implementace je

obsažen v dokumentech RFC 2401, 2402, 2406 a dalších. Sada protokolů obsahuje

kromě šifrování ještě prostředky pro autentizaci, kontrolu integrity dat a ochranu proti

útokům opakováním komunikace. Pomocí IPsec je možné zabezpečit komunikaci mezi 2

koncovými stanicemi (host-to-host), 2 internetovými bránami spojujícími například 2

geografický oddělené firemní sítě (network-to-network) nebo mezi bránou a koncovou

stanicí (network-to-host). Technologie IPsec je navzdory umístění v síťové vrstvě

spojovaná. Vzhledem k nutnosti výměny šifrovacích klíčů mezi koncovými body

komunikace a následnému vytvoření šifrovaného spojení je to však logické. Navázané

IPsec spojení se nazývá SA (Security Association) a každé spojení je označeno

bezpečnostním identifikátorem. Spojení je jednosměrné (pro obousměrnou

zabezpečenou komunikaci je nutné vytvořit 2 SA, každé se svým identifikátorem).

Identifikátory jsou přidávány do přenášených paketů a slouží ke kontrole klíčů a dalších

ověřovacích údajů na straně příjemce. [2]

IPsec komunikaci lze používat ve dvou režimech. V transportním módu je hlavička

IPsec protokolu vkládána za IP hlavičku a před TCP. IP hlavička zůstává stejná kromě

změny indikace, že jde o IPsec protokol. Z toho plyne, že routování probíhá

v nezměněném režimu, protože IP hlavička není ani modifikovaná (z hlediska informací

podstatných pro směrování) ani zašifrovaná. Autentizační hlavička obsahuje výše

zmíněné funkce k ochraně dat v IP payload sekci, a to konkrétně autentizaci, ochranu

integrity a ochranu proti opakování zprávy, nicméně data v obsahu nejsou šifrovaná,

tudíž zůstávají čitelná, ale nemodifikovatelná.

Integrita dat je ověřována pomocí kontrolního součtu v AH hlavičce, která počítá i

možností změny některých údajů v IP hlavičce, jako například TTL (time-to-live) nebo

ToS (type-of-service). [2][15]

 

Obrázek 10 IPsec Transport Packet

Existuje ještě varianta transportního režimu, jejíž použití zabezpečí šifrováním i

samotný payload, tedy dochází k zajištění i poslední funkcionality – důvěrnosti. Pomocí

ESP (Encapsulating Security Payload) zajistíme podepsání IP payloadu. ESP však

podepisuje pouze IP payload, nikoli IP hlavičku, ta zůstává původní. ESP lze použít

samotné i v kombinaci s AH hlavičkou, tedy s celou sadou bezpečnostních opatření, jež

poskytuje.

Obrázek 13 IPsec ESP tunnel mode

 

Podepsaná část paketu (od ESP header k ESP trailer) označuje oblast chráněnou proti

porušení integrity a autentizace. Zašifrovaná část značí data chráněná utajením.

Šifrování probíhá tak, že k původnímu paketu je nejprve přidána ESP hlavička a ESP

zápatí a následně je vše mezi tím zašifrováno a nadále považováno za celistvý payload

s novou IP hlavičkou, která obsahuje pouze adresu koncového bodu tunelu. Takto

obalený paket je plně zabezpečený i při přenosu po veřejných a nezabezpečených

kanálech, jelikož v čitelné podobě obsahuje pouze adresu koncového terminačního bodu

IPsec tunelu. Ten po přijetí paketu dešifruje obsah a zahodí novou IP i ESP hlavičku.

[2][13][14][16]

Pomocí IPsec jsme tedy schopni zajistit end-to-end zabezpečení

komunikace proti napadení integrity, zcizení identity, proti útoku simulováním

opakované komunikace i proti čtení obsahu (utajení). Velká výhoda IPsec zabezpečení je

integrace do síťové vrstvy. End-to-end zabezpečení pohodlně nabízí i služby na aplikační

vrstvě a dlouho se na poli IETF polemizovalo o tom, jakou cestou se vydat. Aplikační

úroveň zabezpečení by totiž vyžadovala úpravy kódu samotných aplikací a zvyšovala by

riziko lidských chyb (aplikační konfigurace, volitelné možnosti atd.). [2]

5.2.2 Modifikace dat

Potom, co je útočník schopen zachytit nezabezpečenou komunikaci, dalším logickým

krokem je pozměnění jejího obsahu za účelem získání dalších potřebných údajů či

k destrukci služeb a samotné komunikace. Ani v případě, že nevyžadujeme šifrování

veškeré komunikace, nechceme, aby byla jakákoli data během transportu modifikována.

[11]

Doporučená opatření: Veškerá doporučená opatření se shodují s bodem 5.2.1

Odposlouchávání (zachytávání) síťové komunikace. Jelikož jde především o prevenci

proti možnosti data vůbec zachytit (fyzické zabezpečení), kontrolu integrity (IPsec,

aplikační zabezpečení) a autentizaci (IPsec, aplikační zabezpečení).

5.2.3 Zcizení identity

Protože většina sítí i operačních systémů používá ve výchozím nastavení ke kontrole

identity IP nebo MAC adresu, je v některých situacích možné podvrhnout systém za

pomoci odposlechnuté nebo jinak získané validní adresy. Po získání validní IP adresy

v daném systému (síti) může útočník vygenerovat pakety, které se budou cíli zdát také

validní. Pokud se útočníkovi podaří takto získat přístup do sítě je již jen otázkou dalšího

zabezpečení, jak velké škody dokáže napáchat. [11]

Doporučená opatření: Opatření v tomto bodě je potřeba opět rozdělit do dvou

skupin. V případě, že se jedná o zabezpečení zcizení identity proti útokům z internetu, je

nutné použití firewallu či UTM řešení na hranici firemní sítě a internetu. Správně

nastavená pravidla na hraničním firewallu zamezí útočníkovi v průniku do sítě. Při

konfiguraci firewallu je nutné vzít na vědomí, že pravidla povolující komunikaci

z internetu do vnitřní sítě by neměli obsahovat veřejné IP adresy, ale pro připojení by

mělo být využito autentizovaných prostředků jako je VPN. Pokud je z nějakého důvodu nutné povolit komunikaci pro konkrétní IP adresu, je vhodné tak učinit pouze s dalšími

opatřeními, jako je použití jiných než výchozích portů služeb, vícenásobné ověřování

atd.

Pro zabezpečení odcizení identity v rámci vnitřní sítě je nutné nasazení

technologií jako je výše zmíněný NAP či port-based zabezpečení na aktivních prvcích

sítě dle IEEE 802.1X. Obě tyto technologie (nebo jejich kombinace) poskytují autentizaci

pro připojená zařízení a procedury k zacházení s neautentizovaným připojením k síti.

Podrobněji se těmto možnostem budeme věnovat v kapitole 9.

5.2.4 Prolamování hesel

Řízení autorizace k operačním systémům, aplikacím i síťovým zařízením je stále

majoritně zajišťováno pomocí systému uživatelské jméno / heslo a kombinace těchto

údajů vás identifikuje vůči danému systému. Problémem není pouze hádání kombinací

uživatel / heslo, ale také, a to hlavně v případě starších aplikací, odposloucháváním sítě.

Jelikož často aplikace posílaly při komunikaci celou přihlašovací sekvenci, nebo alespoň

uživatelské jméno, v čitelné podobě, stačilo útočníkovi zachytit přihlašovací údaje

z komunikace. V případě zachycení uživatelského jména má útočník k dispozici 2

možnosti k pokračování. Může zkusit uhádnout slabé heslo nebo použít automatizovaný

útok za pomoci slovníku či přímo hrubou silou (všechny možnosti). [11]

Doporučená opatření: Opatření k tomuto bodu značně komplikuje nemožnost

zajistit bezpečnost zmíněných starých aplikací. V případě, že je nezbytné používat

aplikaci, která akceptuje přihlášení pouze v „plain-text“ režimu nebo zastaralých hash

metod, je nutné zajistit bezpečnost přenosového kanálu, aby nemohlo dojít

k odposlechnutí (viz. 5.2.1 Odposlouchávání (zachytávání) síťové komunikace). Pokud

používané aplikace, operační systémy a další zařízení, vůči kterým se autorizace provádí

přihlášením jménem a heslem, používají moderní metody pro přenos přihlašovacích

údajů (KDC, Kerberos, PKI) je stále nutné dbát na dodržování zásad z kapitoly 5.1.1

Slabá hesla.

5.2.5 Man-in-the-middle útok

Jak vypovídá samotný název, jde o metodu, při které útočník aktivně monitoruje,

zachycuje nebo kontroluje komunikaci mezi 2 koncovými body. Klasickým příkladem je

model kdy útočník dokáže pozměnit směrování mezi komunikujícími stranami tak, aby procházela přes něj. Často je také útok MITM kombinován s odcizením identity.

Analýzou zachycené komunikace útočník dosáhne možnosti imitovat původního

odesílatele, aniž by cílový systém zjistil, že je to jiný zdroj. Tento typ útoku je snadno

použitelný například na nezabezpečených bezdrátových sítích. [11]

Obrázek 14 Man-In-The-Middle

Doporučená opatření: Pro úspěšné provedení tohoto útoku je opět nutné mít v první

řadě přístup ke komunikačnímu kanálu. Ať už je to zmíněná nezabezpečená bezdrátová

síť, nebo kabelová podniková LAN. Z toho plynou i doporučené metody ochrany, které se

do značné míry shodují s bodem 5.2.1 Odposlouchávání (zachytávání) síťové

komunikace. V případě, že útočník není schopen fyzicky ani logicky narušit komunikační

prostředek (připojit se k WiFi či ethernetu), nepodaří se mu pokračovat v útoku.

V případě útoků vedených z internetu vůči přístupovému bodu firemní sítě

(firewall) je opět důležité použití technologií zaručující autentizaci a integritu, jako je

IPsec či SSL VPN. Pro nezabezpečené kanály lze ještě využít správně nakonfigurované

IPS/IDS (Intrusion Prevention System/Intrusion Detection System), nicméně je lepší

použít aktivní prevenci útoku použitím bezpečných kanálů, než pasivně spoléhat na

detekci a blokování útoku.

5.2.6 Útok na aplikační vrstvě

Útoky na aplikační vrstvě jsou většinou vedeny na aplikační servery za účelem zneužití

známých slabých míst (exploit). Takto útočník obchází standardní kontrolu přístupu a

získává neoprávněný přístup k běžícím aplikacím, datům nebo operačnímu systému.

V případě, že se útočníkovi podaří získat přístup k aplikaci, může již v závislosti na právech konkrétního uživatele manipulovat s daty (číst, přidávat, mazat či modifikovat)

aplikace nebo operačního systému. Po získání přístupu na aplikační úrovni může útočník

rovněž využít server pro rozšíření viru nebo jiného škodlivého kódu, jelikož na

aplikačních serverech často nebývá z výkonových důvodů nasazován antivirový

software. Napadený server lze úspěšně využít pro další odposlouchávání a analýzu

provozu na síti a získané poznatky mohou útočníkovi pomoci k destrukci či narušení

síťové komunikace v celé síti. V neposlední řadě je útočník schopen nekorektně

ukončovat provoz spuštěných služeb a aplikací, což vede nevyhnutelně ke ztrátám dat a

omezení produkčního prostředí. [11]

Doporučená opatření: Stejně jako v bodě 5.2.4 Prolamování hesel je

problematické zabezpečit proti útokům staré aplikace používající napadnutelné

technologie. Proti napadení na aplikační vrstvě se lze efektivně bránit především

používáním aktuálních technologií a sledováním trendů v oblasti aplikační bezpečnosti.

Pokud se jedná o aplikace vystavené do internetu je nutné zajistit bezpečnou autentizaci

a autorizaci přistupujících uživatelů, ideálně v součinnosti s VPN (viz. kapitola 5.2.1

Odposlouchávání (zachytávání) síťové komunikace), jež zajistí bezpečné komunikaci

v nezabezpečené části sítě (internet). VPN řešení však není možné použít vždy. U veřejně

publikovaných webových aplikací musíme zajistit všeobecnou dostupnost, ale zároveň i

zabezpečení. V těchto případech je nutné před publikovaný aplikační či webový server

umístit sofistikovaný firewall, ideálně UTM. Přístup k aplikacím by měl být z internetu

vždy zabezpečen pomocí šifrovaného spojení SSL/TLS, které bude buď přímo předáváno

webovému serveru v DMZ nebo ukončováno firewallem (UTM). Ukončené SSL spojení je

dále předáváno v nezabezpečené formě. Tato varianta je výhodná zejména z důvodu

nenáročnosti konfigurace na webovém serveru. A snadné inspekci provozu na http

protokolu. Servery vystavené do internetu by měly být autentizovány pomocí certifikátů

vydaných důvěryhodnými certifikačními autoritami.

Třetího dubna 2014 vyvolalo značné pozdvižení zveřejnění zprávy o slabém

místě v některých verzích nejpoužívanější open-source knihovny (OpenSSL)

zprostředkovávající právě SSL/TLS zabezpečení na straně webových serverů, SSL

terminačních bodů (UTM, firewally, VPN brány atd.). Útočník, který měl informace o

tomto slabém místě, dokázal bez jakýchkoli zvláštních oprávnění, úspěšně získávat

obsah paměti ze serverů zabezpečených knihovnou OpenSSL. Z obsahu paměti bylo možné získat přímo soukromé klíče certifikátů X.509 a následně dešifrovat veškerou

komunikaci zabezpečenou těmito certifikáty. Slabé místo dostalo pojmenování

Heartbleed, protože chyba je konkrétně obsažena v implementaci TLS/DTLS kontrole

„heartbeat“. V případě zneužití této chyby dochází úniku (leak) z operační paměti ze

serveru na klienta. Závažnost tohoto slabého místa je dána především tím, že jeho

využití nezanechává žádné stopy a chyba v implementaci byla pravděpodobně odhalena

až po velmi dlouhé době. Pravděpodobně tak došlo ke kompromitaci obrovského

množství SSL certifikátů. Závažnost ještě navyšuje fakt, že OpenSSL knihovna zdaleka

není využívána pouze pro zabezpečování výše zmíněných zařízení a aplikací, ale je

implementována v mnoha distribucích Linuxu a používána celosvětové při vývoji

aplikací. Proti zneužití Heartbleed chyby je nutné provést aktualizace knihovny, což není

problém u aplikačních a webových serverů, ale může to být problém u aplikací, které

chybové verze knihovny využívají, protože se musí udělat nová distribuce. [17]

Opatření proti útokům na aplikační vrstvě z vnitřní sítě se do značné míry shodují

s bodem 5.1.1 Slabá hesla a 5.2.1 Odposlouchávání (zachytávání) síťové komunikace.

Nad tyto opatření je ještě potřeba zmínit důležitost používání aktuálních operačních

systému na serverech i klientských stanicích. V rannějších implementacích

autentizačního protokolu Microsoft NTLM (NT Lan Manager), konkrétně NTLM v1 a v2,

se nacházely chyby umožňující útokem typu man-in-the-middle získat přístup k SMB

zdrojům v síti bez jakýchkoli informací o uživateli a hesle. [18]

Moderní typy útoků (APTs a DDoS) a protiopatření

APT (Advanced Perstistent Threath)

Termín APT byl vytvořen v roce 2006 analytiky US Air Force a popisuje 3 hlavní aspekty

útočníků, jejich profil, záměry a strukturu.

Advanced – útočník je zběhlý v metodách pronikání do systémů a je schopný

vytvářet vlastní nástroje pro zneužití známých i neznámých slabých míst.

Persistent – útočník má plán dlouhodobějšího charakteru a soustředí se na splnění

cílů aniž by byl detekován

Threath – útočník je organizován, financován a motivován a představuje tak

značnou hrozbu

V minulosti se pojem APT vztahoval k opakujícím se narušením bezpečnosti firemních

sítí. V dnešní době je pojem APT často mylně považován za útok prostřednictvím vysoce

sofistikovaných metod, jako jsou viry napsané pokročilými programátorskými

metodami, schopné obelstít nejrůznější ochranné mechanismy a přetrvávat v utajení na

„území“ cíle po delší dobu. Sofistikované nástroje samy o sobě nereprezentují APT, ale

jsou jeho průvodním jevem, jelikož různé skupiny působící na poli počítačové

kriminality používají podobné sady nástrojů. [9]

Rozdíl mezi „hacks of opportunity“ tedy víceméně náhodným útokům, vedeným

především proto, že je to na daném systému možné a APT, je tom, že hacker nebo

skupina hackerů mají vyšší cíl. APT útoky bývají dopředu dobře připravené, předchází

jim mapování terénu na virtuální i reálné (social engineering) úrovni a cílem bývá

dlouhodoběji udržitelné obohacení na úkor cíle útoku.

Cíle APT útoků se dají rozdělit do dvou relativně odlišných kategorií. První

skupina si klade za cíl získávání osobních údajů jednotlivců či firem za účelem zneužití

identity k obohacení nebo přímým krádežím. Druhá skupina se soustředí na

konkurenční boj mezi korporacemi, či dokonce státy placené útoky mající za cíl

získávaní utajených informací, duševního vlastnictví nebo obchodních tajemství. Získané

informace jsou následně využívány v konkurenčním boji či v případě vládních institucí

k vytvoření strategických výhod. Informace jsou moc a přístup k nebo kontrola nad konkurenčními informacemi je mocná. Toto je základní cíl všech APT útoků – získat a

udržet přístup k informacím, které jsou pro útočníky či jejich sponzory podstatné. [9]

Ať už jsou skupiny hackerů schopných provádět APT motivovány státem

sponzorovanou průmyslovou špionáží nebo organizovaným zločinem či se jedná o

sociálně vyloučenou skupinu, APT metody a techniky jsou charakteristicky podobné a

díky tomu je lze odlišit od náhodných útoků či napadení virem/malwarem. Na rozdíl od

příležitostných útoků, se APT útoky nesnaží ve většině případů o žádnou destrukci, ale

naopak. Útočník se snaží nezanechávat v systémech žádné stopy a často po získání

přístupu do sítě využívá běžné metody práce jako autorizovaný uživatel systému.

Pro získání přístupu k systémům jsou často využívány phishingové emaily

obsahující škodlivý kód, který se po otevření snaží auditovat systém odeslat o něm

potřebné informace útočníkovi, či přímo zprostředkovat přístup. Druhou metodou jsou

v emailu obsažené odkazy na servery se škodlivým softwarem a další postup je

analogický. Kvůli zakrývání stop útočníci často pro počáteční mapování terénu a

získávání údajů používají již kompromitované počítačové sítě a servery a zůstávají tak

za mnohdy několikastupňovým proxy systémem. [9]

APT útoky v podstatě vždy provází sociální inženýrství, ať už ve větší či menší

míře. Počínaje cíleným výběrem emailových adres vytipovaných pro phishing, zcizením

identinty zaměstnance a kontaktováním helpdesku jeho jménem, až po skutečnou

průmyslovou špionáž v podobě nasazeného agenturního zaměstnance instruovaného

k získání potřebných dat, či přístupů k systémům.

V každém případě se APT útoky vyznačují několika fázemi, které zanechávají různé

stopy: [9][19]

1. Cílení – Útočník shromažďuje informace o cíli z veřejných i soukromých

zdrojů a testuje metody, které by mu mohly pomoci k získání přístupu do

systému. To může znamenat skenování nejrůznějších slabých míst, sociální

inženýrství nebo zmíněný phishing.

2. Přístup/kompromitace – Útočník získává přístup k systému a určuje

nejefektivnější postup k využití informačních systémů cíle a poznává

bezpečnostní politiku subjektu. To zahrnuje zajištění veškerých relevantních

dat o kompromitovaném systému (IP adresa, DNS, sdílené zdroje, adresy

DHCP a DNS serverů, OS) i o uživatelských profilech

3. Průzkum – Útočník mapuje síťové zdroje, topologii sítě, názvy služeb,

doménové řadiče a testuje služby a administrátorské přístupy k zajištění

přístupu k dalším systémům a aplikacím. Často se útočník snaží

kompromitovat doménové účty nebo lokální administrátorské účty se

sdílenými doménovými oprávněními, a aby tyto aktivity utajil, vypíná

antivirus a systémové logování, což může být užitečným vodítkem.

4. Pohyb v ústranní – Jakmile útočník určí vhodný způsob procházení sítě, získá

potřebná uživatelská oprávnění a identifikuje cíle přesune se síti na další

hosty. Tuto činnost většinou neprovází použití žádného škodlivého softwaru,

ale využití standardních systémových a síťových nástrojů jako jsou příkazový

řádek, NetBIOS příkazy, terminálové služby, VNC nebo další podobné nástroje

využívané administrátory.

5. Sběr dat a jejich vynesení – Útočníci jdou po informacích, ať už za účelem

dalšího cílení, udržení nadvlády nad systémem nebo přímo získání dat, které

jsou jejich cílem. Útočníci většinou vytvoří sběrné body a data dostanou ze

systému pomocí systému proxy sítí nebo vlastních zašifrovaných nástrojů.

Jsou zaznamenány případy, kdy útočníci vynesly data za pomoci standardních

zálohovacích nástrojů nasazených v kompromitované společnosti. Často bývá

fáze vynesení dat zamaskována útoky malware na jiné části systému,

z důvodu odvedení pozornosti zaměstnanců zodpovědných za bezpečnost

sítě.

6. Administrace a údržba – Dalším cílem APT útoků je udržení přístupu. To

vyžaduje administraci a údržbu nástrojů nasazených útočníkem v sílových

systémech. Útočník si většinou vytváří několik paralelních přístupových cest

do systému a zároveň instaluje triggery a notifikační systémy, které mají za

úkol upozornit na potenciální odhalení kompromitovaného systému.

Obrázek 15 APT

Jak bylo již řečeno, APT útoky po sobě většinou nezanechávají stopy jako oportunitní

útoky, ale pouze záznamy v logu vypadající jako standardní využívání firemních ICT

prostředků. Nicméně na rozdíl od standardního oprávněného uživatele, útočník musí se

získanými oprávněními experimentovat a hledat další slabá místa systému, aby je

dokázal co nejlépe využít a dospět tak ke svému dlouhodobému cíli. Právě toto

experimentování a bádání zanechává v lozích a souborovém systému jisté odlišné znaky,

než standardně se chovající autorizovaný uživatel.[9][19]

Během posledních pěti let bylo odhaleno několik rozsáhlých a dlouhotrvajících

„tažení“ útočníků využívajících APT metod proti korporacím i vládám na celém světě. Tyto útoky, známé pod krycími názvy Aurora, Nitro, ShadyRAT, Lurid, Night Dragon,

Stuxnet, a DuQu, všechny vykazovali 6 zmíněných fází průběhu. [9][19][20]

Detekce a možná protiopatření

Dnes již existuje několik komerčních zařízení (HW i SW appliance), která dokáží

detekovat APT techniky a zabránit jim v pokračování. Nicméně i bez těchto cílených

zařízení lze udělat hodně pro zlepšení odolnosti firemního ICT vůči této hrozbě. Jelikož

útočníci hojně využívají sociální inženýrství, je nutné preventivně zaškolovat

zaměstnance v oblasti základních bezpečnostních návyků a chování v prostředí

internetu a ICT obecně. Jelikož útočník začíná právě u uživatele, je uvědomělý

zaměstnanec základním předpokladem k úspěchu.

Koncová stanice uživatele by měla být v souladu bezpečnostní politikou vždy

aktuální, obsahovat antivirus a připojení k internetu by mělo procházet bezpečnostní

branou nebo proxy, se schopností analýzy provozu, detekce nežádoucího obsahu a

antivirem. Jelikož je APT typ útoku, kde útočník není odrazen tím, že na počátku zdánlivě

nemá příležitost získat přístup k systému využitím nějakého zjevného slabého místa, je

nutné skombinovat veškerá doporučení z kapitoly 5 Frekventované metody útoků a

protiopatření, případně je ještě doplnit o specializované řešení. K detekci a obraně proti

ATP je vhodné využít následující řešení:

Produkty zabezpečení koncových stanic - antivirus, HIPS (Host-based Intrusion

Prevention Systém) a software pro kontrolu integrity souborového systému

Software pro auditování souborového systému a sledování změn v něm

Nástroje a řešení pro síťovou bezpečnost jako jsou UTM firewally, IDS/IPS

systémy

Nástroje pro monitorování síťového provozu (kryje se s UTM) umožňující

filtrování webu. Kromě UTM řešení jsou k dispozici nástroje jako

SNORT/TCPDUMP.

Nástroje pro monitorování a auditování bezpečnostních a systémových událostí a

reportingem. Například Microsoft Systém Center Operations Management.

V případě APT dokonale platí, že síť je tak bezpečná, jako je bezpečné její nejslabší místo,

tudíž neexistuje ochrana typu all-in-one. Pouze kombinací opatření a dodržováním

pravidel bezpečnostní politiky je možné vzdorovat APT.[9][20]

Obrázek 16 Kombinace prostředků proti APT

DDoS – Distributed Denial of Service

6.3.1 Historie

Po přelomu tisíciletí došlu k výrazné změně ve vnímání DoS útoků. Z dočasné

nepříjemnosti se stala seriózní vysoce nebezpečná a obávaná hrozba. V devadesátých

letech se jednalo převážně o využívání slabých míst implementace TCP/IP či chyb

klientského síťového HW. Tato slabá místa dostávala pojmenování jako “ping of death”,

Smurf, Fraggle, boink či Teardrop a byla efektivní při shazování jednotlivých počítačů za

pomoci jednoduché sekvence paketů, až do doby, než byly tyto implementační chyby

odstraněny. [21]

Z DoS útoku se stal DDoS ve chvíli, kdy k útokům na cíl nebyl použit pouze počítač

útočníka, ale celé sítě počítačů, napadené malwarem nebo obsahujích neaktualizovaná

slabá místa a tím pádem ovladatelná útočníkem. Z počátku však byly DDoS útoky

chápany jako problém velkých hráčů (nejčastěji napadaná organizace byl Microsoft).

DDoS útoky neohrožovali jen organizace, ale i samotný internet. V letech 2002 a 2007 se

stalo cílem koordinovaného útoku 13 root DNS serverů s cílem vyřadit základní

infrastrukturní jednotky internetu. Útok z roku 2002 byl úspěšný a způsobil značné

problém v internetovém provozu. Útok z roku 2007 již úspěšný nebyl a 11 ze 13 serverů

útoku odolalo a zůstalo online. [21]

V přímém kontrastu s původními jednoduchými a relativně neškodnými útoky se

ukázaly události v letech 2011 a 2012, kdy DDoS útoky ukázaly, jak devastující mohou

být. Mnoho útoků bylo iniciováno skupinou Anonymous proti různým organizacím,

například Church of Scientology a Recording Industry Association of America (RIAA).

Nejzávažnější útok provedený skupinou Anonymous byl pravděpodobně ten z roku

2012. Cílem byly organizace United States Department of Justice, United States

Copyright Office, The Federal Bureau of Investigations (FBI), MPAA, Warner Brothers

Music, a RIAA. Útok byl veden jako odveta za odstavení serverů Megaupload. [9]

Nicméně největší dosud zaznamený DDoS útok byl proveden v na přelomu ledna

a února 2014. Cílem byl evropský poskytovatel digitálního obsahu Cloudflare. Útočníci

využili chybu v neaktualizovaných knihovnách protokolu NTP, pomocí které dosáhli

lavinového efektu při útoku. Špičkový datový tok útoku na datová centra Cloudflare

dosahoval 400Gb/s, což je nejvyšší škodlivý datový tok v historii zaznamenaný.[9][21]

6.3.2 Historické dělení útoků DDoS

Simple Network Attack – relativně staré, ale proti nezabezpečeným serverům stále

dobře fungující metody. Tyto útoky se nazývají „floods“ a využívají velké množství

počítačů k zasílání ochromujícího množství síťového provozu na cíl útoku. Dochází ke

kolapsu cílové stanice, či firewallu před ní, ale výsledek je stejný – odstavení služby

z provozu. Využívání velkého množství počítačů při útoku značně komplikuje možnosti

blokování provozu, jelikož přichází mnohdy z celého světa. [21]

Mezi nejjednodušší typy „floods“ útoků patří SYN flood a connection flood, které

využívájí v případě SYN flood dlouhého time-outu v třícestném handshake při

sestavování TCP spojení. Klient iniciující komunikaci odesílá na server SYN zprávu

buďto s neexistující IP adresou odesílatele (odpověď od serveru nedorazí) nebo na ACK

odpověď serveru klient prostě vůbec nereaguje. Jelikož server čeká na odpověď a

spojení udržuje po dobu nastavenou v SYN-RECIEVED time-outu, při opakování scénáře

dochází k vytváření nových spojení a zahlcování serveru. Conn flood využívá přetečení

tabulek u zařízení a softwaru pro monitorování spojení, například SPI firewally či

IPS.[22]

Například proti nezabezpečenému Linux serveru s Apache 2 web serverem způsobí pád

následující sekvence paketů:

Tabulka 1 Simple Network Attack

Útok

Metrika

Výsledek

SYN flood

1500 SYN za sekundu

Denial-of-Service

Conn flood

800 spojení

Denial-of-Service

Opatření proti těmto jednoduchým DDoS spočívají v používání filtrování (firewall, UTM

atd.), zkrácení SYN-RECIEVED time-outu, použitím SYN cache nebo cookies, či

recyklováním nedokončených TCP spojení.

Modernější typy útoků většinou dosáhnou odstavení služby dávno předtím, než

dojde k přetečení pamětí, tabulek či vyčerpání šířky pásma na straně cíle. Mezi

sofistikovanější metody DDoS patří DNS útoky. Služba DNS je klíčovou službou internetu

a pokud je narušena její funkce přestává fungovat velké množství internetových služeb

na ní závislých. DNS servery jsou proto lákavým cílem útočníku, historicky bylo

pokušení násobeno nedostatečnou HW infrastrukturou na straně root DNS serverů. DNS

útoky se díky relativně jednoduché UDP struktuře protokolu vyznačují 2 hlavními body:

DNS útok se snadno generuje

DNS útokům je těžké se bránit

DNS útoků existují 3 typy:

UDP floods – snadné generování DNS UDP paketů vede k zahlcení na strané DNS

serveru, který musí všechny příchozí pakety vyhodnotit z hlediska validity a tím

spotřebovává HW prostředky. Po vyčerpání prostředků se buďto restartuje nebo

začne zahazovat příchozí pakety (mezi nimi i ty validní).[21]

Legitimní dotazy (NSQUERY) – Hierarchická architektura systému DNS

způsobuje občasnou nutnost rozeslat legitimní dotaz na další servery pro úplný

překlad názvu. To způsobuje nerovnováhu ve vytížení infrastruktury, jelikož na

jeden klientský dotaz musí odpovídat více serverů. Této asymetrie je zneužíváno

během NSQUERY útoků. Velké množství zdrojových počítačů posílajících

specifické dotazy tak může způsobit zahlcení i velkého počtu DNS serverů.[21]

Legitimní dotazy na neexistující hosty (NXDOMAIN) – Nejsofistikovanější typ

DNS útoku. Validní dotaz na neexistující doménové jméno způsobí na straně DNS

serveru mnohem větší využití HW prostředků, než NSQUERY útok, protože server musí projít celou cache, zónovou databázi a často po nenalezení předá dotaz

dalšímu serveru a čeká na odpověď, což opět konzumuje prostředky. I pokud

server neselže na vyčerpání prostředků, dojde po určitém čase k přepsání všech

validních záznamů v DNS Cache za neexistující a tím k obrovskému zpomalení

odpovědí na validní dotazy. Proti těmto NXDOMAIN útokům je téměř nemožné se

bránit. V listopadu 2011 tento typ útoku vyřadil z provozu mnoho DNS serverů

po celém světě. Toto slabé místo zůstane využitelné, dokud ISC (Internet Systems

Consortium) nevydá opravný patch na BIND, software na kterém je většina

internetových DNS serverů založena.[21]

Dalším typek DDoS jsou http útoky. Ty se dají opět rozdělit na:

Floods –Na rozdíl od Simple Network Attack metod, které se snaží zahltit cíl

nevalidní komunikací, vypadá http flood útok jako standardní komunikace.

Z tohoto důvodu jsou nezachytitelné pomocí běžných firewallů a jednoduše dál

předávány web serverům. Tisíce až milióny útočících počítačů (botnety) posílají

http požadavky na server, dokud nezpůsobí jeho kolaps či extrémní zpomalení

odpovědí. Moderní firewally a UTM dokáží poměrně snadno na základě analýzy

http inspekce odhalit a odříznout tento typ útoku.[21]

Low-bandwidth HTTP denial of service attacks – Ochrany založené na analýze

provozu a http inspekci dokáže překonat překvapivě jednoduchý model útoku,

jakým je například Slowloris. Jednoduchý skript, který generuje a posílá na

server HTTP požadavky o minimální velikosti (typicky 5 bajtů) každých 299

sekund. Tím udržuje spojení aktivní a vytváří další a další, dokud nedojde

k přetečení tabulky spojení. Bylo otestováno, že proti standardnímu web serveru

se softwarem Apache 2.2.3 stačí otevřít 394 těchto spojení k dosažení DoS. Další

typy Low-Bandwith HTTP DoS ukazuje tabulka 6-2. [21]

Tabulka 2 Low-Bandwith http útoky

Útok

Cíl útoku

Popis

Slowloris

Tabulka spojení

Pomalu posílá HTTP hlavičky k udržování spojení.

Slowpost

Tabulka spojení

Pomalu posílá data (POST) k udržení spojení.

HashDos

CPU

Přeplňuje hash tabulky v back-endovém SW.

SSL renegotiation

CPU

Zneužívá asymetrii v šifrovacích operacích.

6.3.3 Aktuální dělení DDoS útoků a jejich podíl na celkovém počtu

Podle aktuálních měřítek dělíme DDoS útoky na:

Infrastructure layer attacks

Application layer attacks

Infrastrukturní útoky, známé též jako volumetrické, se zaměřují na spotřebování šířky

pásma cíle. Tyto útoky cílí na prvky infrastruktury (DNS servery, NTP servery, firewally)

a v současnoti jsou dominantním typem DDoS útoků.

Nejčastěji zneužívanými protokoly pro tento typ útoků jsou Character Generator

(CHARGEN), Network Time Protocol (NTP) a Domain Name Systém (DNS). Frekvence

tohoto typu útoků závisí často na tvorbě nových nástrojů umožňujících snazší nebo

efektivnější provedení útoku. V prvním kvartálu roku 2014 značným způsobem vzrostl

počet útoku na NTP protokol (viz 6.3.1 útok na Cloudflare). Tento útok využívá slabé

místo ve staré implementaci NTP protokolu. Ačkoli byla již ve 2. polovině roku 2013

vydána směrnice IETF, popisující toto slabé místo, obrovské množství serverů zůstává

stále neaktualizované a tudíž zneužitelné tímto útokem. NTP útok je nebezpečný

především proto, že jde o takzvaný reflexivní útok. Reflexivní nebo také zesilovací

(amplification) útoky zneužívají slabá místa, která vedou k lavinovému šíření útoku.

V tomto případě se jedná o funkci MONLIST protokolu NTP, která žadateli vrací seznam

posledních 600 IP adres dotazovatelů. To v praxi znamená, že odpověď na tento dotaz je

až 206 krát větší než dotaz (v případě, že tabulka s adresami plná). Útočník, který má

k dispozici linku o kapacitě 1Gbps tak dokáže teoreticky vypustit útok s šířkou pásma více než 200Gbps. Útok na Cloudflare zneužil 4529 NTP serverů v 1298 různých sítích a

dokázal vygenerovat zátěž o velikosti 400Gbps. [30]

Útoky na aplikační vrstvě vyžadují k úspěšnému provedení vyšší úroveň znalostí

a sofistikovanosti. Nejsou nezbytně zaměřené na vyčerpávání propustnosti sítě. Na

rozdíl od volumetrických útoků se soustředí na odstavení konkrétní aplikace či služby.

Tyto útoky jsou často nerozeznatelné od běžného http provozu a procházejí tak bez

povšimnutí skrz firewally i IDS/IPS řešení. Ještě hůře detekovatelné jsou útoky

využívající SSL šifrování. V poslední době byly zaznamenány úspěšné útoky využívající

reflexe (násobení účinku lavinovým efektem), vedené na servery s WordPress CMS.

Útoky na aplikační vrstvě představovaly do roku 213 asi 20 procent z celkového počtu

útoků. [30]

Porovnáme-li využití DDoS metodik mezi 1Q2013 a 1Q2014, dojdeme ke zjištění,

že aplikační útoky ztrácí (pokles z 20 procent na 13) na úkor infrastrukturních. To je

zapříčiněno především nárůstem obliby NTP a DNS útoků. Celkově je pokles výskytu

aplikačních útoků dáván do souvislosti především se zvýšenou náročností na jejich

provedení. Objevení nových nástrojů vhodných k vypouštění útoků na značný počet

nezáplatovaných NTP a DNS serverů, tomu přispělo značnou měrou.

Obrázek 17 Procentuální zastoupení DDoS útoků

TOP 10 zemí, ze kterých přicházejí DDoS útoky

Obrázek 18 ukazuje aktuální procentuální zastoupení zemí, ze kterých pochází největší

část DDoS útoků. Spojené státy americké s 21 procenty vedou tomuto žebříčku, je zde

však jasně vidět celková převaha asijských států. To je dáno především masivním

rozvojem infrastruktury, obrovského počtu lidí připojených k internetu, velkému

množství botnetů a celkovému neřešení bezpečnosti. Spojené státy jsou na čele žebříčku

proto, že velká většina cílů DDoS útoků má datová centra právě v USA. Tato skutečnost

jednak usnadňuje provedení útoku a zároveň omezuje možnosti cíle se bránit zakázáním

komunikace z cizích států.

Obrázek 18 Zdroje DDoS útoků

Shrnutí možných opatření proti DDoS

Stejně jako v případě APT neexistuje proti DDoS ucelená „all-in-one“ ochrana. V boji

proti DDoS je nutné nasazení více kooperujících nástrojů a v případě velkých firem

disponujících vlastními datovými centry a velkou šířkou pásma připojení k internetu

dokonce spolupráci s poskytovateli připojení a společnostmi specializujícími se na boj

proti DDoS, jako je Akamai/Prolexic.

Kombinace inteligentních nástrojů pro monitoring a analýzu provozu, které

dokážou oddělit nežádoucí provoz od validního s pokročilými UTM firewally či dokonce

specializovanými DDS aplikacemi (DDoS Defense System) dokáže efektivně čelit cíleným DDoS útokům. V rámci internetu je nutné posilovat HW root DNS serverů a aktualizovat

aplikační vrstvy, na kterých jsou tyto služby provozovány.

Firewally

Firewall je v počítačové terminologii zařízení nebo software, který kontroluje příchozí a

odchozí komunikaci na základě stanovených pravidel. Firewall stanovuje bariéru mezi

sítěmi nebo i jednotlivými počítači. Ať už se jedná o bariéru mezi internetem a vnitřní

důvěryhodnou firemní sítí nebo mezi 2 subnety vnitřní sítě, vždy zastává funkci

eliminace nežádoucí komunikace. Firewall nebo jeho části dnes obsahují operační

systémy, routery či domácí AP, ale samozřejmě existují i specializovaná HW a SW řešení,

která poskytují mnoho sofistikovaných funkcionalit a různé úrovně výkonu. Firewally

prodělaly poměrně výrazný vývoj.

7.2 Paketové filtry

První zmínka o počítačovém firewallu pochází z roku 1988, kdy inženýři z Digital

Equipment Corporation (DEC) vyvinuli první systém k filtrování paketů. V Bellových

laboratořích AT&T pokračovali ve výzkumu pánové Bill Cheswick a Steve Bellovin.

Vyvinuli pro firmu AT&T vlastní funkční model paketového filtru založený a

architektuře DEC.

Paketový filtr funguje na principu inspekce každého příchozí paketu. Zjištěné

zdrojové a cílové adresy, protokol či TCP/UDP port porovnává s pravidly. Pokud je paket

vyhodnocen jako nežádoucí, dochází k jeho zahození (discard) nebo odmítnutí (reject).

Při odmítnutí paketu je odesílateli odeslána zpráva o zamítnutí přístupu, při zahození

nikoli. Jelikož tyto firewally neřeší stavy spojení, nazývají se také „stateless“. Bezstavové

firewally pracují majoritně na 2. a 3. vrstvě OSI modelu, 4. vrstvu využívají pouze

v pravidlech s použitím TCP a UDP portů. [23]

7.3 Stateful Packet Inspection (SPI Firewally)

V návaznosti na výzkum v AT&T Bell Laboratories pokračovali pánové Dave Presetto,

Janardan Sharma a Kshitij Nigam ve vývoji a na začátku 90. let vyvinuli druhou generaci

firewallu – Circuit-level gateway. Firewally druhé generace dělají vše co stateless verze,

ale naplno využívají transportní (čtvrtou) vrstvu OSI modelu. Na rozdíl od bezstavového

firewallu, který kontroluje každý paket zvlášť, stavový firewall zachytává pakety, dokud

nemá dostatek informací o stavu dané komunikace. SPI tedy funguje tak, že firewall

zaznamenává procházející pakety a zjišťuje, zda jde o paket iniciující spojení, patřící do existujícího spojení nebo nepatřící do žádného spojení. Ačkoli firewall stále používá

statická pravidla, nyní mohou obsahovat podmínky pro testování stavu spojení.

Jak bylo zmíněno v sekci 6.3.2 , je tento typ firewallu potenciálním cílem DDoS

útoků. Útoky využívají právě nutnosti ukládání informací o stavu spojení. Tyto tabulky

nejsou neomezené a v případě zahlcení pakety s falešnými spojeními dojde k vyčerpání

místa v tabulce a následnému odepření i validních spojení. [23]

7.4 Aplikační firewally

Třetí generaci firewallu vyvinuli v devadesátých letech pánové Marcus Ranum, Wei Xu a

Peter Churchyard a pojmenovali ji Firewall Toolkit (FWTK). Je zřejmé, že aplikační

firewall pracuje na sedmé, tedy právě aplikační, vrstvě OSI modelu. Klíčová výhoda

aplikačního firewallu je, že dokáže interpretovat protokoly 7. vrstvy, jako jsou FTP, http,

DNS a další a v podstatě rozumí dané komunikaci. Firewall tak dokáže rozpoznávat i

nechtěnou komunikaci snažící se obejít pravidla odesíláním komunikace na povolených

portech. [23]

7.5 Next Generation Firewally (NGFW) a UTM

Evolucí aplikačních firewallů a kombinací dalších bezpečnostní i síťových služeb vznikla

v nedávné době nová generace bezpečnostních řešení. Vzhledem k množství sdružených

funkcí se již nejedná pouze o firewall a pro tyto řešení se vžilo pojmenování Unified

Threat Management.

Můžeme se též setkat s pojmem NGFW – Next Generation Firewall, nejedná se

sice o synonyma, ale obě koncepce se v mnohém překrývají. UTM firewally se primárně

snaží o centralizaci zabezpečovacích mechanismů do jednoho HW, či SW řešení. Většina

reálných produktů integruje pod pojmem UTM firewall dříve diskrétní zabezpečovací

mechanismy jako je antivirus, anti-malware, anti-spam, IPS a IDS, web-filtering a

samozřejmě klasický SPI firewall, doplněný o možnost práce s pravidly na sedmé

(aplikační) vrstvě ISO-OSI modelu.

NGFW také kombinují různá bezpečnostní řešení, ale soustředí se především na

integraci s firemní infrastrukturou. Úzká spolupráce s Active Directory, DHCP a DNS

službami umožňuje centrální management a pravidla založená přímo na uživatelských

účtech AD.

UTM i NGFW řešení jsou k dispozici jako SW i HW appliance. U softwarových

produktů jde buďto o běžnou instalovatelnou aplikaci nebo embedded produkt

s vlastním, většinou Linuxovým, operačním systémem nasazovaným na holé železo či do

virtuálních prostředí. HW appliance využívají univerzální ARM procesory a vlastní

sestavení linuxových jader. Výrobci nejmodernějších a nejvýkonnějších hardwarových

UTM řešení si navrhují a nechávají na zakázku vyrábět vlastní ASIC (aplication-specific

integrated circuit) čipy, obsahující vlastní specifické sady instrukcí. Takto

optimalizovaný hardware dokáže dramaticky zvýšit výkon UTM řešení. Koncentrace

bezpečnostních funkcí v UTM firewallech je značně náročná na výkon a v případě

nasazení na vysoce propustných linkách velkých společností by standardní ARM

hardware již narážel na výkonové limity. [23][24]

Rizika nezabezpečených aktivních prvků LAN

Zabezpečení firemních dat i komunikace je dnes věnována již značná pozornost. Často se

ale stává, že soustředění míří primárně na hraniční body sítě, servery, klienty a na

zabezpečení aktivních prvků sítě, jako jsou přepínače, směrovače, či přístupové body

bezdrátových sítí se zapomíná. Je potřeba si však uvědomit, že právě přes tyto zařízení

tečou veškerá zabezpečená i nezabezpečená data a jejich ponechání ve výchozím

nastavení přináší značná rizika, zejména pro útoky z vnitřní sítě.

Výchozí nastavení většiny aktivních prvků od renomovaných výrobců bývá do

značné míry nedostatečné. Přístup ke správě aktivního prvku je přednastaven

s triviálním, či dokonce žádným heslem a pro samotnou komunikaci s prvkem jsou

využity nezabezpečené protokoly jako HTTP, TFTP (Trivial File Transfer Protocol),

Telnet a SNMP v1/2c (Simple Network Management Protocol v1/2c). U přístupových

bodů bezdrátových sítí je v lepším případě deaktivováno rádio či přednastaven složitý

klíč zabezpečení, nicméně značná část uživatelů i správců ponechává ve výchozím

nastavení administrátorský přístup s triviálním heslem a dále se nesnaží zvýšit úroveň

zabezpečení podrobnějším nastavením. [25]

Stejná pozornost jako zabezpečení správy samotných zařízení, by měla být

věnována zabezpečení portů aktivních prvků, v případě firemních sítí tedy přepínačů.

Výchozí nastavení je v tomto případě zcela nezabezpečené, tedy ke switch žádným

způsobem nekontroluje, zda je připojované zařízení žádoucí, či nikoliv.

8.1 Přepínače a směrovače

Výchozí administrátorský přístup – Ponechaný výchozí login (Admin, root,

manager, superuser atd.) bývá nejčastějším slabým místem. Riziko ponechání

přístupu ke správě ve výchozím nastavení je zjevné. Útočník jakkoli připojený do

subnetu, ve kterém se nachází aktivní prvek, snadno pozná, o jaký konkrétní

produkt se jedná a následně si vyhledá (nebo zná) kombinaci výchozího jména a

hesla s získává tím okamžitě plnou kontrolu nad zařízením.

Telnet - Většina aktivních prvků má ve výchozím nastavení povolen přístup ke

vzdálené správě pomocí terminálového protokolu. Telnet je z principu

nezabezpečený protokol, komunikující mezi stanicí a aktivním prvkem zcela v režimu čitelného textu. V případě, že je útočník schopen zachytávat komunikaci

na síti (viz. kapitola 5.2.1 Odposlouchávání (zachytávání) síťové komunikace),

každý úspěšný pokus o přihlášení znamená úspěšné zachycení loginu útočníkem.

HTTP management interface – Všechny aktivní prvky sítě, jež disponují

možností konfigurace přes webové rozhraní, by měly být nastaveny pro výhradní

využití zabezpečeného HTTP protokolu (HTTPS). Ve výchozím stavu tomu tak

většinou není a přihlašování tak skýtá stejná rizika jako v případě Telnetu.

TFTP protokol – Tento protokol je zjednodušenou verzí FTP. Specifikace pochází

již z roku 1980. TFTP na rozdíl od FTP protokolu používá nespojovaný UDP režim

a v rámci jednoho přenosu lze vždy poslat pouze jeden soubor. Pakety navíc

putují po síti vždy po jednom a pak klient čeká na potvrzení druhou stranou, což

značným způsobem snižuje rychlost na linkách s dlouhou latencí. Nicméně takto

jednoduchost na druhou stranu znamená minimální požadavky na paměť i na

šířku pásma linky. Stejně jako v předchozích případech, rizikem použití tohoto

protokolu je jeho zcela nezabezpečená forma. V případě TFTP dokonce pro

iniciování spojení není potřeba žádné přihlášení.

SNMP v1/2c – SNMP je protokol pro správu zařízení komunikujících IP

protokolem. SNMP bývá využíváno aplikacemi pro hromadnou správu a

konfigurační management aktivních prvků, jako je HP ProCurve Manager.

V současnosti bývá ve výchozím nastavení aktivován protokol SNMP v2. Tato

verze používá pro čtení a zápis konfigurace takzvaná komunitní jména

(community names), ty jsou však po síti posílána v čitelné podobě a opět tak

vzniká riziko zachycení a zneužití pro škodlivé změny v konfiguraci.

8.2 Přístupové body bezdrátové sítě 802.11 (WiFi AP)

Obrovský nárůst využití přenositelných zařízení v podnikovém ICT postupně nutí IT

oddělení k nasazování bezdrátových sítí. To s sebou nese samozřejmě značná rizika,

jelikož především starší zařízení bez podpory moderních bezpečnostních standardů

poskytovala mnohá slabá místa.

Stejné riziko jako u přepínačů a směrovačů tvoří ponechané výchozí hodnoty

zařízení. Slabé, či žádné heslo u administrátorského účtu znamená snadnou a rychlou

cestu získání kontroly nad zařízením, potažmo probíhající komunikací. Další rizika jsou již odlišná vzhledem k charakteru bezdrátového připojení. První verze zabezpečovacích

mechanismů bezdrátových sítí, tedy WEP a WPA-PSK.

Wired Equivalent Privacy (WEP) je standard zabezpečení pocházející z roku 1999

kdy byl vydán standard 802.11, definující bezdrátové počítačové sítě. Jeho implementace

však obsahovala mnohé chyby a i přes rychlé a široké rozšíření byl rychle nahrazen

překlenovací technologií WPA (WiFi Protected Access), jelikož se ukázalo, že tato

technologie je velmi slabá. Problém WEP šifrování v krátké délce klíče. Původní

implementace WEP šifrování používala kvůli americkým limitům na vyvážení šifer

pouze 40 bitové klíče proudové RC4 šifry. To vedlo k tomu, že při dostatečně

intenzivnímu provozu na síti bylo možná v relativně krátké době zachytit opakující se

klíče a tím prolomit zabezpečení. [27]

Technologii WEP nahradilo šifrování WPA. Z hlediska rizik v podnikové síti je to o

něco lepší než u WEP, nicméně pokud je to možné, doporučuje se používat WPA verze 2

nebo alespoň WPA v kombinaci s 802.1x autentizačním serverem. Zásadním problémem

u WPA je totiž relativní náchylnost na slovníkové a silové útoky v případě použití

varianty PSK (pre-shared key) v kombinaci se slabým heslem.

Možnosti zabezpečení aktivních prvků LAN

Tato kapitola se zabývá možnostmi zvýšení zabezpečení firemní sítě proti útokům

zevnitř. Ve firemní síti není důležité zabezpečení proti neoprávněnému přístupu pouze

z důvodu ochrany proti cíleným útokům, ale i proti připojování cizích zařízení, byť jejich

primárním účelem není snaha o škodlivou činnost. Soukromá zařízení zaměstnanců,

notebooku třetích stran (servisní firmy, zákazníci či dodavatelé) jsou potenciálním

zdrojem problémů pro každého administrátora. Jelikož o těchto zařízeních a jejich stavu

z principu nic nevíme, není žádoucí jim povolit přístup do stejné sítě, jako sdílí zbytek

firemní infrastruktury. Z tohoto důvodu je vhodné nasadit ve firemní síti takové

technologie, které umožní kontrolu nad autorizací zařízení.

V návaznosti na předchozí kapitolu se tak věnujme základním procedurám

zvyšujícím zabezpečení aktivních prvků. Kapitola kopíruje body předchozí kapitoly, ale

obsahuje konkrétní alternativy k nezabezpečeným protokolům a doporučená nastavení.

9.1 Přepínače a směrovače

Terminálový protokol je dobré v zařízeních zcela zakázat a pro vzdálený přístup ke

konzoli vždy používat zabezpečenou verzi. Většina moderních směrovačů a přepínačů k

tomu poskytuje protokol SSH (Secure Shell). SSH to je protokol, který vznikl pravě

v reakci na úspěšné útoky odchytáváním hesel. Jedná se o protokol pro zabezpečený

přístup k příkazovému (shell) řádku vzdáleného systému. SSH využívá pro zabezpečení

komunikace asymetrické šifrování, v aktuální verzi SSH-2 se konkrétně jedná o výměnu

klíčů pomocí Diffie-Hellman algoritmu. [26]

Stejným způsobem je třeba přistoupit k zabezpečení dalších metod komunikace

s managementem prvku. V případě webového rozhraní je vhodné zakázat HTTP

protokol a využívat pouze zabezpečenou HTTPS verzi. TFTP klient a server v síťovém

zařízení by měl být vypnut a nahrazen SFTP (Secure File Transfer Protocol) a SCP

(Secure Copy Protocol), jež jsou součástí skupiny protokolů SSH. V případě použití

zabezpečených terminálových protokolů a protokolů pro přenos dat je potřeba zmínit,

že pro správnou funkci je potřeba mít nainstalovány aplikace podporující tyty protokoly.

V případě SSH terminálu je zřejmě nejrozšířenější aplikací Putty. Pro přenos dat pomocí

SCP či SFTP lze s úspěchem využít programy WinSCP nebo FileZilla. V případě, že chceme využít možnosti správy pomocí SNMP, je vhodné vypnout v zařízení verze v1 a 2

tohoto protokolu a používat pouze verzi 3, která je taktéž zabezpečena asymetrickým

šifrováním.[25]

Další velmi dobrá technika k zabezpečení aktivních prvků sítě je použití

takzvaného Management VLAN (Virtual LAN). VLAN technologie slouží k logickému

oddělení broadcastových domén, tedy k virtuální segmentaci jinak fyzicky jednotné sítě.

Jak je zřejmě již patrné, Management VLAN slouží k vytvoření uzavřeného

vyjmenovaného počtu portů, přes které je možné se připojit ke správě zařízení. Tímto je

jasně dané, odkud se dá k zařízením připojit a v kombinaci s vhodným fyzickým

zabezpečením patřičných zásuvek je v podstatě eliminována možnost neautorizovaného

přístupu k aktivním prvkům. Pro prostředí, kde by bylo nasazení Management VLAN

příliš restriktivní, může být alternativou funkce IP Authorized Managers. Po aktivování

této funkce nám aktivní prvek nabídne možnost zadat omezený počet IP adres počítačů,

ze kterých je možné jej spravovat. Toto řešení je ale možné považovat za bezpečné

pouze tehdy, máme-li zajištěnou ochranu před zcizením identity těchto autorizovaných

počítačů.[25]

Na tomto místě je potřeba ještě zmínit zabezpečení proti ARP Spoofingu

(Poisoningu). ARP Spoofing je metoda útoku založená na podstrčení padělaného ARP

paketu aktivnímu prvku v síti. Kombinací MAC adresy cílového zařízení (například

serveru či výchozí brány) a IP adresy útočníka dojde v přepínači nebo směrovači

k vytvoření chybného záznamu v ARP tabulce. Tím útočník dokáže přesměrovat

komunikaci, která měla být určena pro původní cíl na svoji stanici. Druhý typ útoku na

ARP protokol je DoS, vzhledem k podstatě tohoto protokolu je možné generováním

velkého množství falešných ARP paketů docílit zahlcení tabulek aktivního prvku a

následnému odstavení jeho služby.

Obrázek 19 ARP Spoofing

Ochranu před tímto typem útoku je možné aktivovat přímo na většině podnikových

aktivních prvků. Zabezpečení se opírá o validaci spojení IP/MAC adres, porovnáváním

zdrojové fyzické adresy a adresy uvedené v paketu. Při detekování rozdílu není paket

předán dál. Autentizace přiřazení IP k MAC se provádí pomocí DHCP Snoopingu, tedy

ověření záznamu IP/MAC vůči databázi DHCP serveru. V případě zařízení

nepoužívajících dynamickou adresaci je nutné vytvořit v aktivních prvcích statické

mapování IP/MAC, jinak budou pakety těchto zařízení zahazovány. [25]

Obecně také platí to, že nepotřebné protokoly, služby a nepoužívané porty

bychom měli vždy vypnout/zakázat. Čím méně potenciálních míst ke zneužití, tím lépe.

Port security

Pod pojmem port security se skrývá zmiňované zajištění autorizace k síti připojovaných

zařízení. Technologie je známá také pod názvem Port-based Network Access Control

(PNAC) a popisuje ji dokument IEEE 802.1x. Zabezpečení přístupu k síti je definováno

jak pro kabelové sítě, tak pro bezdrátové 802.11 (technologie je k dispozici i pro další

typy sítí jako je FDDI, ale to je již nad rámec této práce). Na portu lze také nastavit

maximální počet MAC adres a chování při překročení tohoto čísla. V takové situaci je

možné na portu nastavit shutdown/restrict/protect funkce.

Obrázek 20 Funkce IEEE 802.1x protokolu

Z obrázku 9-1 je patrné, že komunikace klienta (Supplicant) se zbytkem sítě je

blokována dokud nedojde k ověření pomocí autentizačního serveru. Ověření začíná

předáním identity klientského zařízení aktivnímu prvku (většinou přepínači), ten ověří

získanou identitu u autentizačního serveru a následně udělí nebo odepře přístup do sítě

klientskému zařízení.

V roce 2005 upozornil zaměstnanec Microsoftu Steve Riley na potenciální slabé

místo autentizačního mechanismu. Po úspěšné autentizaci stanice je možné se do sítě na

stejném portu připojit, pokud má útočník přístup ke stanici a je schopný mezi port a

ověřenou stanici umístit rozbočovač (hub), dokáže se bez autentizace připojit k síti.

V místech, kde je vyžadována maximální bezpečnost je vhodné kombinovat IEEE 802.1x

s IPsec technologií.

Wifi AP

Zabezpečení bezdrátových přístupových bodů spočívá především v zajištění nemožnosti

připojení k síti neautorizovaným subjektům. V první řadě je důležité ve firemní síti (ale i

v případě domácího nasazení) neprovozovat stará zařízení nepodporující moderní

způsoby zabezpečení jako jsou WPA2 s AES šifrováním a podporou RADIUS autentizací.

Většina modernějších přístupových bodů sítí 802.11 je vybavena technologií

WPS. Tato technologie byla vyvinuta pro zjednodušení autentizačního postupu. Místo

zadávání složitých klíčů jde o jednorázové vygenerování přístupového PIN (8 číslic),

zpravidla iniciovaného stisknutím tlačítka přímo na zařízení. Vzhledem k zásadním

slabým místům autentizačního procesu (reálný počet kombinací klíčů pro WPS je

11000) je útok hrubou silou vedený na tuto technologii úspěšný do 4 hodin.

V podnikovém prostředí je tedy vždy nutné tuto funkci zakázat.

Stejně jako u ostatních částí tématu zabezpečení podnikové sítě, i zde je nutné

napřed vyhodnotit poměr mezi požadovanou bezpečností, nákladností na její

implementaci a následnou správu a potenciálním rizikem. Základní metody zabezpečení,

jež dnes nabízí téměř všechny bezdrátové přístupové body, budou dostatečné pro

většinu běžných provozních podmínek. K základním opatřením tedy patří nastavení

WPA2-AES šifrování (v případě PSK varianty s netriviálním klíčem) a samozřejmé

použití silného hesla u administrátorského účtu. Za zvýšení zabezpečení lze považovat i

skrytí SSID a omezení přístupu pro jednotlivá zařízení pomocí MAC adres, nicméně tyto

opatření jsou snadno překonatelná i pro zkušené uživatele, natož pro seriózní útočníky.

[28]

Podniky, které vyžadují maximální možné zabezpečení, mají k dispozici

robustnější řešení ve formě komerčních autentizačních RADIUS serverů či

specializovaných appliance pro monitorování a proaktivní zabezpečení bezdrátových

sítí. Příkladem může být produkt AirDefense. [31] Tato specializovaná řešení jsou však

značně nákladná a cena t+echto řešení se podle rozsáhlosti sítě požadovaných

funkcionalit pohybuje mezi 10 až 100 tisíci americkými dolary. [29]

Praktická ukázka nastavení switche/WiFi AP

Pro účely této kapitoly uvažujeme hypotetickou společnost s 150 počítači, 3 fyzickými a

30 virtuálními servery na platformě VMware. Firma se zabývá běžnou kancelářskou

prací, ale disponuje důležitým a vysoce hodnoceným know-how v podobě

elektronických dat, která je třeba důkladně zabezpečit z pohledu síťového provozu.

Z celkového počtu 150 počítačů je 50 přenosných (notebooky, tablety), připojených

k firemní síti bezdrátově. V této práci se nezabýváme samotnou konfigurací a

optimalizací sítě. Předpokladem je tedy zcela funkční síť s DHCP, pouze

s bezpečnostními nastaveními ve výchozích hodnotách výrobce. Jelikož síť využívá

technologie od jednoho výrobce, firma disponuje softwarem pro hromadnou správu

aktivních prvků HP Intelligent Management Center.

Obrázek 21 Síťová topologie

Síťová architektura je dvouúrovňová, skládající se z 2 core přepínačů HP ProCurve řady

5800 spojených za pomoci technologie Intelligent Resilient Framework (IRF). IRF je v

podstatě virtualizace síťových prvků. Umožňuje propojení více zařízení do jednoho

transparentně vystupujícího prvku, se všemi výhodami, které z toho plynou. IRF stack nabízí výhody redundance, jednotné správy a monitoringu, snadné a rychlé

rozšiřitelnosti. V neposlední řadě přináší IRF technologie cenovou efektivitu, díky

možnosti využít v podstatě „pay-as-you-go“ metodiku.

Distribuční přepínače zajištující připojení klientských zařízení se skládají HP

ProCurve 2910al 48G, které poskytují vysokou propustnost a zároveň dostatečnou

funkční vybavenost pro požadovanou úroveň zabezpečení. Pro pokrytí firemních

prostor bezdrátovou sítí slouží zařízení HP MSM430 Dual Radio 802.11n Access Point,

které disponují dostatečným výkonem, možnostmi správy a je možné je rozšířit o

detekční čidla IDS/IPS systému.

10.1 Postup pro zabezpečení - přepínače

Začneme registrací všech aktivních prvků v softwaru pro hromadnou správu. Zde je

z hlediska názornosti použit konkrétní produkt jedné značky, nicméně obdobné

produkty nabízejí všichni velcí výrobci síťového vybavení, případně je možné využít i

produkty třetích stran, které dokáží za cenu náročnější prvotní konfigurace zastřešit i

nehomogenní systémy.

Po zprovoznění centrálního managementu je nezbytně nutné vyřešit výchozí

nastavení přístupových práv (viz. kapitola 8 a 9). Nyní jsme schopni z jednoho místa

změnit heslo, případně výchozí pojmenování uživatelských účtů na všech prvcích naráz,

a to také uděláme.

Následuje vypnutí nepotřebných služeb a protokolů, opět na všech zařízeních.

Vypínáme především nezabezpečené metody přístupu ke správě a ponecháváme pouze

ty, které budeme skutečně využívat. Vzhledem k nasazení centrálního managementu je

vhodné zcela vypnout webové rozhraní aktivních prvků, jelikož veškeré funkcionality i

monitoring máme dostupný z jednoho místa. V tomto bodě je dobré promyslet i úroveň

fyzického zabezpečení jednotlivých přepínačů, ne vždy je možné je mít všechny

pohromadě uzamčené v datovém centru. Často se ve větších firmách, či výrobních

prostorách naráží na limit délky metalické kabeláže (100m) a musí se tvořit páteřní

optické propojky do míst, kde není vždy možné zajistit stejnou úroveň fyzického

zabezpečení, jako v centrálním datovém rozvaděči. Především u těchto dislokovaných

prvků je vhodné zvážit vypnutí funkcí tlačítek předního panelu, jako je reset a obnova do

továrního nastavení.

Vhodné zvýšení bezpečnosti představuje vypnutí všech nepoužívaných portů

v přepínačích a zařazení všech portů firemní sítě do jiné, než výchozí VLAN (VLAN 1). U

aktivních prvků nadefinujeme novou VLAN, kterou použijeme pro funkci Secure

Management VLAN. Porty, které propojují aktivní prvky, zařadíme do této VLAN a

oddělíme tím běžný provoz od správy zařízení.

Na přepínačích aktivujeme funkci ARP Dynamic Protection. Ve spolupráci

s firemním DHCP serverem dochází k autentizaci ARP paketů. Ověřování se provádí

porovnáváním údajů z paketu a whitelistu DHPC. Nastavení této ochrany chrání síť

nejen proti ARP Spoofingu, ale také proti spuštění cizích (rogue) DHCP serverů v síti.

V centrální správě je po tomto základním nastavení zabezpečení vhodné zapnout

monitoring, případně nastavit vlastní pravidla pro notifikační mechanismus, abychom

dostávali včas informace o nestandardním chování či provozu na síti.

10.2 Postup pro zabezpečení – Wifi AP

Konfigurace bezdrátových aktivních prvků začíná stejně jako u přepínačů. Na všech

zařízeních je bezpodmínečně nutné změnit administrátorský účet a nastavit silné heslo.

Pokračujeme vypnutím všech nepotřebných služeb a zakázáním WPS autentizace.

Vhodné je přenastavení SSID na jméno nesouvisející s firmou. V případě, že je nutné

udržovat bezdrátovou síť viditelnou kvůli klientům, či jiným návštěvám, je rozumné

nakonfigurovat v AP takzvanou guest network, která je oddělena od firemní sítě a

poskytuje pouze přístup k internetu. DHCP v přístupových bodech zůstává vypnuté, tím

docílíme nutnost průchodu komunikace přes přepínače a z toho plynoucí ARP kontrolu.

V nastavení šifrování bezdrátové sítě zvolíme WPA2 s podporou AES. Následuje

ještě výběr možnosti autentizace a to buďto PSK (před-sdílený klíč) nebo autentizační

server. Naše hypotetická společnost nedisponuje daným serverem, tedy zvolíme

možnost PSK a nastavíme rozumně silné heslo (13 a více znaků). V případě, že bychom

měli k dispozici autentizační server, například RADIUS nebo TACACS+, je z hlediska

bezpečnosti a spravovatelnosti lepší tato volba. Centrální správa uživatelských

oprávnění a možnost rozšířit zabezpečení sítě o implementaci protokolu 802.1x, přináší

další úroveň zabezpečení.

Veškerá nastavení a souvislosti je nutné dokumentovat a přidat do bezpečnostní

politiky firmy. Konfigurace jednotlivých zařízení je potřeba zálohovat, pro případ jednoduššího nahrazení novým zařízením (pokud se jedná o výměnu za stejný typ). Je

také nutné vytvořit D&R plány a zdokumentovat procesy popisující, co dělat v případě

ohrožení.