Bezpečnost sítí | |||||
| POPIS: |
Bezpečnost sítí
Teoretický úvod - sítě a význam zabezpečení
Hlavním cílem této práce je prostudování a popsání nejběžnějších slabých míst, nejfrekventovanějších typů útoků a ukázka možných opatření, jak se proti nim bránit. Zabezpečení sítě bude zkoumáno z pohledu vnějších rizik (zpravidla úmyslným útokům z internetu, s cílem získat data, či způsobit jinou škodu, například odstavení služeb), tak i vnitřních (úmyslným, kdy útočník získá fyzicky přístup k LAN, nebo neúmyslným/nedbalým zneužitím podnikové sítě zaměstnanci). Vedlejší cíle práce by měly přinést dostatek informací o technologiích klíčových k porozumění tématu bezpečnosti moderních sítí, tedy historii jejich vývoje a teoretický základ k používaných technologiím. Zároveň je jedním z cílů ukázat na praktické příkladu hypotetické firemní infrastruktury „best-practices“ postupy k jejímu zabezpečení.
Téma bezpečnost informací v ICT je jistě velmi aktuální a s přibývajícími možnostmi, ať už jsou dané hardwarovým pokrokem, či výrazně vyšším stupně využívání softwaru pro podporu veškerých procesů podnikání nehledě na odvětví nabývá na důležitosti. V neposlední řadě se toto téma stává mimořádně důležité kvůli velkému navýšení propojenosti všech systémů skrze internet.
Samotná struktura a principy, na kterých je internet postaven, přináší řadu rizik hrozeb. Z historie lze vypozorovat, jak se na základě analýzy úspěšných metod útoků začaly objevovat metodiky a prostředky pro zlepšení zabezpečení sítí. Firmy začaly
používat firewally a šifrování pro oddělení a zabezpečení internetové a intranetové komunikace. Stále důmyslnější metody útoků a stále větší závislost všech subjektů na informačních technologiích nevyhnutelně vede k rozvoji nástrojů, služeb i strategií, jak
jim čelit. Převážné většině oblastí rozsáhlého tématu síťová bezpečnost je možné porozumět prozkoumáním těchto hlavních aspektů:
1. Historie bezpečnosti sítí
2. Architektura sítě internet a její slabá místa
3. Typy internetových útoků a bezpečnostních metod
4. Bezpečnost sítí připojených na internet
5. Trendy vývoje v oblasti bezpečnosti sítí (hardware a software)
Na základě analýzy těchto bodů popíšeme současný stav v oblasti bezpečnosti sítí a
směřování trendů na tomto poli ICT technologií.
Téma zabezpečení podnikového ICT je samozřejmě mnohem rozsáhlejší a
neomezuje se pouze na vyjmenované oblasti, řešit se dá zabezpečení konkrétních
používaných aplikací, autentizace a autorizace uživatelů vůči aplikacím, službám,
šifrování dat, fyzické zabezpečení a další. V této práci se kvůli rozsáhlosti tématu budu
věnovat pouze konkrétním rizikům a potenciálním hrozbám, které je potřeba řešit
v běžném podnikovém prostředí a to z hlediska zabezpečení komunikace firemní sítě
s internetem a v rámci samotné LAN.
1.1 Omezující podmínky
Práce se zabývá problematikou zabezpečení běžných firemních počítačových sítí
standardu 802.3 a 802.11. Práce omezuje rozsah metodik a popisu primárně na
platformy Microsoft a nevěnuje se žádným konkrétním způsobem jiným platformám.
Rešerše zabezpečení sítí se týká pouze IPv4 protokolu.
1.2 Síťová bezpečnost
Bezpečnost je dnes klíčový faktor pro sítě i aplikační systémy a i přesto, že je jedním
z hlavních požadavků na vznikající a vyvíjející se sítě, existuje stále značný nedostatek
snadno implementovatelných metod a strategií zabezpečení.
Tento stav je dán především dříve neexistující řízenou kooperací mezi
organizacemi tvořící nové síťové standardy (především organizace IETF – Internet
Engineering Task Force) a subjekty tvořící bezpečnostní prostředky (HW/SW).
Návrh sítí je dobře vyvinutý proces, založený na Open System Interconnection
(OSI) modelu. OSI model disponuje několika výhodami pro tvorbu sítí. Nabízí
modularitu, flexibilitu, jednoduchost a standardizaci protokolů. Protokoly jednotlivých
vrstev modelu mohou být snadno stohovány, což umožňuje modulární vývoj.
Implementace „po vrstvách“ umožňuje nad jednotlivými vrstvami provádět změny bez
ovlivnění funkčnosti ostatních vrstev – vývoj je pružnější. Naproti tomu návrh
zabezpečené sítě postrádá jednoznačnou metodiku, jak spravovat komplexní požadavky
na zabezpečení sítí. [1]
Historie internetových sítí a bezpečnosti
Historie internetových sítí sahá až na přelom padesátých a šedesátých let 20. století.
V této době došlo k průlomu vědy v oblasti digitální komunikace, vynálezu přepínané
paketové sítě a vytvoření standardů pro návrh robustních sítí, odolných proti výpadku
jednotlivých komunikačních uzlů. Díky rozvoji komunikačních možností, především
rádiových a satelitních přenosů, vznikla potřeba integrované komunikace, která by
fungovala napříč používanými technologiemi přenosu. Odpověď na tuto potřebu
přineslo vytvoření TCP/IP protokolů a modelu. Na základě poznatků z těchto domén
vznikly první sítě podobné dnešnímu internetu, jako byla síť ARPANET, či NSFNET. [3]
Po uvolnění pravidel pro připojování subjektů do těchto sítí, a zároveň s rychlým
rozvojem osobních počítačů a komunikačních technologií, došlo k rapidnímu nárůstu
propojenosti počítačových systémů a rozvoji WAN sítí až do podoby dnešního internetu.
2.1 Packet switching network
Koncept přepínání paketů byl převzat z práce vědců a inženýrů Paula Barana a Donalda
W. Daviese. Paul Baran již v roce 1964 publikoval myšlenku, že brzy bude svět
potřebovat komunikační prostředek, jenž bude natolik robustní, aby fungoval při ničení
jeho uzlů. Predikoval, že při dostatečně vysokém počtu uzlů n, půjde vybudovat takovou
síť, že k jejímu zničení bude nutné zničit právě n uzlů. Paul Baran dostal počátkem
šedesátých let od US Air Force za úkol prozkoumat možnosti robustních komunikačních
sítí. Během výzkumu vybudoval první síť „širokého rozsahu“ (WAN), která sloužila
k propojení obranného radarového systému SAGE. Poznatky získané výzkumem a
budováním sítě publikoval v díle On Distributed Communications (1964). [4][5]
Zcela odděleně a nezávisle na Baranovi přišel s tímto konceptem přepínané
paketové sítě i Donald W. Davies. Davies pracoval pro britský ústav NPL (National
Physical Laboratory), kde byl v té době součástí týmu, vedeného Alanem Turingem,
vyvíjejícího počítač Pilot ACE. [4][5]
Přelomovým se stal rok 1965, kdy byl Daviesovi přidělen projekt mající za cíl
vytvořit nový způsob rychlé a robustní komunikace mezi počítači. K vyřešení problému
zahlcování příjemce, což byl vzhledem k možnostem tehdejší technik jeden z hlavních
problémů, zavedl rozdělování dlouhých zpráv na menší části (pakety) a jejich oddělené zasílaní příjemci. Topologie sítě byla kvůli požadavku na robustnost navržena tak, že
každý host bude připojen na svůj router, řešící směrování paketů do dalších sítí až
k cílové stanici. [4][5]
Vzhledem k oddělenosti výzkumu obsahuje jeho práce neuvěřitelné podobnosti,
jako je například velikost paketu 1024 bitů. Samotný pojem „packet switching“ pochází
právě od Donalda Daviese. Baranova práce pomohla přesvědčit americké ministerstvo
obrany o převratnosti digitálních počítačových sítí širokého rozsahu, které se poté
rozhodlo financovat navazující projekt pod záštitou organizace ARPA. [4][5]
2.2 TCP/IP Reference Model
Mezi další požadavky ministerstva obrany, které byly podníceny obavami z výpadků
komunikace při napadení důležitých uzlů sítě, patřilo zejména zajištění fungování sítě i
v případě, že dojde ke zničení částí přenosové sítě mezi zdrojovou a cílovou stanicí.
V neposlední řadě musela být architektura dostatečně flexibilní, kvůli předpokládaným
požadavkům na různorodé využití od přenosu souborů až po real-time přenos hlasu.
[3][4][6]
Tato architektura byla až později pojmenována jako TCP/IP Reference Model,
podle 2 primárních protokolů, které využívá. Poprvé byla architektura popsána vědci
Robertem Kahnem a Vintonem Cerfem (1974) a později vylepšena a dodefinována jako
standard (Branden, 1989). [2]
TCP/IP model je na rozdíl od modelu OSI velmi konkrétní a proto se často ani
nepovažuje za model, naopak protokoly, které implementuje, jsou široce rozšířené a
tvoří dnešní internet i většinu dalších WAN/MAN/LAN sítí. [2].
TCP/IP model je podobný modelu ISO/OSI především v pojetí vertikálně oddělených
vrstev a zodpovědnosti každé vrstvy za své služby a rozhraní. Model byl poprvé
implementován v pozdější fázi vývoje sítě ARPANET a NSFNET. Obrázek 1 znázorňuje
rozdíly mezi návrhem vrstev OSI modelu a modelu TCP/IP. Transportní vrstvy si
odpovídají, aplikační u TCP/IP odpovídá aplikační, prezentační a relační u ISO/OSI. [2]
Vrstva síťového rozhraní (Network Access, či Data link), definuje požadavky na
přenosová média (Ethernet, sériový kabel, Wi-Fi atd.), aby splňovala požadavky na
nespojovanou, přepínanou síť. Linková vrstva v přesném smyslu slova ani tak vrstva,
jakožto interface mezi hostem a přenosovým mediem. [2]
Vrstva internet (síťová) je základní stavební kámen, který drží celou architekturu
pohromadě. Úkolem internetové vrstvy je umožnit zdrojovému komunikačnímu uzlu
posílat pakety do libovolné sítě a zajistit jejich doručení k cíli. Na internetové vrstvě
nezáleží na vybrané cestě, ani na pořadí doručení paketů, pokud je pořadí pro
komunikaci důležité, je úkol vyšších vrstev seřadit příchozí komunikaci dle potřeby.
Internetová vrstva proto definuje přesný popis paketu, protokolu IP (Internet Protocol)
a doprovodných protokolů ICMP a IGMP, sloužících pro servisní respektive konfigurační
účely. Zásadním pro tuto vrstvu je tedy směrování - doručování IP paketů na místo
určení. [2]
Transportní vrstva nacházející se nad síťovou slouží primárně k udržování komunikace
mezi 2 stranami. K tomu slouží 2 transportní protokoly TCP (Transmission Control
Protocol) a UDP (User Datagram Protocol). Protokoly se zásadním způsobem liší
především ve spolehlivosti doručování. TCP protokol je spojově orientovaný protokol,
který umožňuje kontrolu neporušenosti dat mezi odesílatelem a příjemcem. Protokol
TCP na straně odesílatele rozděluje odesílaný bajtový tok na segmenty samostatných
zpráv a na straně příjemce je opět skládá a kontroluje jejich integritu. TCP protokol
rovněž disponuje funkcionalitou pro kontrolu datového toku, což slouží o k ochraně
příjemce před zahlcením na vstupu. Naproti tomu UDP protokol je nespolehlivý a
nespojovaný protokol. Používá se především v aplikacích, kde je rychlost doručení
zprávy důležitější, než její přesnost. Typicky nachází využití v multimédiích (video, hlas)
nebo v aplikacích požívajících „request-reply“ technologii. [2]
Příklady spojovaných a nespojovaných typů komunikace, rozdělených i podle
spolehlivosti přenosu na obrázku 2.
Obrázek 2 Spojované a nespojované služby
Aplikační, prezentační a relační vrstvy byly sjednoceny především kvůli vývoji
v oblasti počítačů. Přesunem použití sítí od mainframe počítačů k osobním pracovním
stanicím přestaly být do jisté míry důležité především protokoly relační a prezentační
vrstvy. TCP/IP model, i na základě zkušeností z OSI modelu, spoléhá na implementaci
všech relačních a prezentačních funkcí, které dříve poskytovaly samostatné protokoly na
svých vrstvách, v rámci aplikačních protokolů.
ARPANET
Síť ARPANET vznikla na základě iniciativy a dotací amerického ministerstva obrany (U.S.
DoD). Jednalo se o jednu z prvních sítí přepínajících pakety a později jednu z prvních sítí,
implementující TCP/IP protokoly a samozřejmě to byla síť předcházející dnešnímu
internetu. [3][4]
Vědci Kleinrock a Roberts, kteří dostali práci na projektu v rámci vládní
organizace ARPA na starost, se inspirovali právě vědeckými pracemi Donalda W. Daviese
a Paula Barana. Implementovali je právě při budování ARPANET. Síť vznikla za účelem
propojení univerzit a výzkumných ústavů v USA, které v té době měly uzavřeny
výzkumné kontrakty s organizací ARPA. Síť postupně propojila stovky univerzit a
vládních zařízení pomocí pronajatých telefonních linek, ale stále se jednalo o omezenou
síť, jelikož do ní měly přístup právě pouze subjekty spolupracující s americkým
ministerstvem obrany (DoD). [6]
Následně se díky rozvoji satelitní a rádiové komunikace objevily problémy
s integrací komunikace napříč různorodými přenosovými technologiemi. Do té doby celá
síť ARPANET fungovala na pronajatých telefonních linkách, či vytáčených spojeních.
Díky tomu bylo zřejmé, že je nutné vytvořit a implementovat nový model a protokoly,
které by dokázaly komunikaci zajistit napříč různými platformami. Zároveň s rozvojem
komunikačních technologií si na konci sedmdesátých let uvědomila organizace NSF (U.S.
Nationaonal Science Foundation), jak obrovský přínos má ARPANET pro podporu
výzkumu na univerzitách do něj připojených. Vznikla iniciativa NSF o vytvoření
nezávislého paralelního back-bone, připojeného k ARPANET, do kterého by se mohli
libovolně připojovat i vědecké a akademické subjekty, které nemají smlouvy s agenturou
ARPA. Prvním krokem tak bylo vybudování sítě CSNET (Computer Science Network)
v roce 1981, ta propojovala 6 tehdejších superpočítačů napříč USA, byla propojena
s ARPANET a umožňovala připojování libovolným akademickým subjektům a později i
zájemcům ze soukromého sektoru. [3][4]
Podstatnou vlastností této sítě byla implementace TCP/IP protokolu, tudíž
možnost využití různých komunikačních prostředků.
Referenční OSI model
OSI model, jak je zobrazen na obrázku 3, byl vytvořen Mezinárodní standardizační
organizací (ISO) v roce 1983 a revidován v roce 1995. Model vznikl na základě iniciativy
sjednotit protokoly používané v jednotlivých vrstvách otevřených systémů (proto
zkratka OSI – Open Systém Interconnection). Pánové Day a Zimmermann, kteří standard
vytvořili, vycházeli z následujících premis, na jejichž základě vzniklo právě 7 vrstev
modelu[2]:
1. Vždy když je potřeba nová úroveň abstrakce, je nutné vytvořit další vrstvu.
2. Každá vrstva by měla provádět dobře definovanou funkci.
3. Funkce každé vrstvy by měla být zvolena s ohledem na mezinárodně
standardizované protokoly.
4. Hranice každé vrstvy by měly být stanoveny tak, aby se minimalizoval datový tok
přes rozhraní vrstev.
5. Počet vrstev by měl být dostatečně vysoký tak, aby různé funkce nemusely být
sdružovány v jedné vrstvě, ale zároveň tak malý, aby se architektura nestala
nepraktickou.
Obrázek 3 OSI reference model
Zdroj:
Samotný OSI model ale není předpis pro žádnou síťovou architekturu, jelikož
neobsahuje přesné specifikace služeb a protokolů, které mají být použity v daných
vrstvách. Model pouze říká, co má jaká vrstva dělat. Přesnou specifikaci vydalo ISO pro
každou vrstvu zvlášť jakožto samostatný standard.
Historie zabezpečení sítí
Počítačové sítě a jejich historie, jak jsme si přiblížili, vznikaly především na akademické
půdě, měly usnadnit výměnu poznatků a zjednodušit komunikaci vědců nad projekty.
V této době se bezpečnost těchto sítí netěšila téměř žádné pozornosti. Nyní ale
počítačové sítě používají stovky miliónů lidí nejen pro posílání e-mailů, ale pro
nakupování, internetové bankovnictví. Firmy uchovávají své duchovní vlastnictví na
počítačích a v datových centrech připojených k internetu.
V historii lze najít několik klíčových událostí, které přispěly ke vzniku počítačové
a síťové bezpečnosti a první z nich se datuje až do 30. let dvacátého století. V roce 1918
vytvořili němečtí odborníci na kryptografii stroj Enigma, který konvertoval prostý text
na šifrovaný. V roce 1930 však tuto šifru prolomil geniální matematik Alan Turing a
zajistil tím spojencům jednu z klíčových výhod pro druhou světovou válku. [1]
V šedesátých letech, v době tvorby sítě ARPANET, se na MIT univerzitě začalo
používat pojmenování hacker. V sedmdesátých letech byl vytvořen protokol TELNET,
sloužící k vzdálenému ovládání terminálů (počítačů). V osmdesátých letech se začali
hackeři a počítačová kriminalita objevovat ve větší míře. Jeden z prvních případů z USA,
z počátku 80. let, je případ takzvané skupiny 414 Gang. Jednalo se o skupinu šesti
mladíků, kteří se bavili pronikáním do počítačů velkých organizací, jako Los Alamos
National Laboratory, Sloan-Kettering Cancer Center a Security Pacific Bank. Využívali
k tomu většinou dobře známá slabá místa nezáplatovaných operačních systémů, či
ponechaná výchozí či jinak standardní administrátorská hesla. Po odhalení účastníků
bylo zjištěno, že stávající legislativa je zcela nepřipravena se vypořádat s počítačovými
zločiny. [1]
V roce 1986 vznikl v USA zákon The Computer Fraud and Abuse Act of 1986, poté co se
Ian Murphy naboural do počítačů americké armády a ukradl z nich data. V roce 1988
vytvořil univerzitní student Robert Morris prvního počítačového červa (Morris Worm).
Vypustil ho 2. listopadu 1988 z jednoho z počítačů univerzity MIT. Bobert Morris se stal
prvním hackerem odsouzeným na základě zákona The Computer Fraud and Abuse Act of
1986 a díky obavám, způsobeným rychlým rozšířením tohoto viru vznikla organizace
CERT (Computer Emergency Response Team), která si vytyčila za úkol upozorňovat
uživatele počítačů na hrozící bezpečnostní slabiny. [2][8]
Obrázek 4 Nárůst uživatelů internetu
V devadesátých letech, kdy se internet stal veřejným, došlo k dramatickému nárůstu
(Obrázek 2-4) bezpečnostních rizik. Na základě statistiky z roku 2012 je k internetu nyní
připojeno 2,4 miliardy uživatelů, každý den dochází ke stovkám zásadních
bezpečnostních incidentů, které mohou končit značnými ztrátami a to jak nehmotnými,
tak i hmotnými. Investice do patřičného zabezpečení je tak jistě na místě jak pro velké
organizace, tak i pro běžné uživatele.[7]
Rozlišení mezi datovou a síťovou bezpečností
Pokud v rámci ICT oboru hovoříme o počítačové bezpečnosti, je potřeba rozlišovat o
jakou bezpečnost se jedná. V současnosti oddělujeme datovou a síťovou bezpečnost.
Datová bezpečnost, neboli též zabezpečení dat, se zabývá především kryptografií, tedy
oborem, ve kterém nám jde o transformaci čitelného textu do formy, nečitelné pro
neautorizované subjekty. Kryptografie je velmi starý obor, jehož počátky sahají až do
antického starověku. Napříč dějinami kryptografie lze však vypozorovat stále se
opakující problémy s trvanlivostí šifrovacích algoritmů. Algoritmus považovaný v dané
době za silný a neprolomitelný většinou dokázali odborníci na kryptoanalýzu prolomit
během následujících období. Tyto intervaly se samozřejmě s nárůstem dosažitelného
výpočetního výkonu zkracují. [8]
Dnes je proto velmi důležité se soustředit nejen na silné šifrování samotného
přenášeného obsahu, ale i na zabezpečení přenosových kanálů (sítí) jako takových.
Vzhledem k dostupnosti širokopásmového připojení k internetu je dnes převážná
většina informací předávána elektronicky. Nezabezpečená síť je však velkým rizikem i
v případě, že přes ni posíláme zašifrovaná data. Útočník, který má k nezabezpečenému
médiu přístup, dokáže zachytávat komunikaci (šifrované zprávy) a pokoušet se
analyzovat a prolamovat šifru. V případě nevhodně zvolené metodiky dochází často
k odchycení přímo privátních klíčů a tím zkompromitování bezpečnosti. V takovém
případě může útočník nejen data číst, ale i modifikovat a podstrčit do komunikace
vlastní obsah. V případě nezabezpečeného média však nemusí útočníkovi jít pouze o
extrakci či modifikaci komunikace, ale například o narušení funkce služeb. Vzhledem
k volně přístupnému kanálu lze na požadované cílové stanice směrovat jakýkoli provoz a
tím například provádět útoky typu DoS (Denial of Service). [8]
Z toho je již zřejmé, že dnes je nutné zabezpečovat proti neautorizovanému
přístupu nejen data, ale mělo být vynaloženo úsilí a prostředky i na zabezpečení
přenosových sítí by mělo být vynaloženo úsilí a prostředky.
Datové a synchronní sítě
V současnosti tvoří většinu počítačových sítí sítě dvojího typu – datové sítě složené
z routerů (Internet) a synchronní počítačové sítě, složené z přepínačů. U sítí složených
ze směrovačů je v případě nezabezpečení daleko vyšší riziko napadení, protože
směrovače jsou zařízení pracující s pakety systémem store and forward. Tedy ke svojí
činnosti potřebují buffer k uchovávání dat mezi přijetím zpracováním a odesláním. [8]
Tento způsob činnosti však přímo vybízí k napadení. V případě, že je útočník
schopen nakazit router škodlivým kódem nebo získat dokonce nad routerem kontrolu,
není již problém získávat, či manipulovat s daty z bufferu. Naopak switch data neukládá
(bavíme-li se o klasických Layer 2 přepínačích), a proto jsou výrazně méně zajímavým
cílem útoků z internetu. Přepínače mají svá slabá místa, která lze využít při útocích
vedených z vnitřní sítě, tomuto tématu se věnujeme v kapitole 5, 8 a 9. [8]
Za předpokladu, že máme zabezpečená data (používáme šifrování na aplikační vrstvě),
máme implementovanou autentizaci, je stále potřeba vyřešit zabezpečení na první
(PHY) a druhé (DATA-LINK) vrstvě. Z tohoto důvodu je důležité jak použití silných šifer,
tak i robustních a těžko napadnutelných přenosových sítí. [8]
Obrázek 5 Datová a síťová bezpečnost
Konkrétní metody zabezpečení spodních vrstev synchronních sítí probírá kapitola 8
Rizika nezabezpečených aktivních prvků LAN a 9 Možnosti zabezpečení aktivních prvků
LAN.
Architektura internetových sítí
Obor počítačové sítě pokrývá širokou škálu různých typů sítí. Různé typy sítí byly
vyvinuty a jsou používány s různými cíli. My se zde hodláme zabývat počítačovými
sítěmi připojenými k internetu, a proto se pojďme podívat blíže na architekturu
internetu jako takového.
Architektura internetu
Architektura internetu se značným způsobem změnila během uplynulé doby extrémního
rozšíření jeho pokrytí. V posledních letech za tyto změny v architektuře mohou
především telekomunikační operátoři a další společnosti (kabelové a IP poskytovatelé
TV vysílání atd.) s jejich nabídkou konvergovaných služeb. Dříve bylo k poskytování
různých typů služeb zapotřebí různých přenosových sítí, které měly své architektury,
své protokoly a svou šířku pásma. Pokud jste chtěli telefonovat a sledovat televizi,
potřebovali jste pevnou linku a telefonního operátora, anténu či satelit pro příjem
televizního vysílání a poskytovatele zastřešujícího vysílání. Dnes dostanete od jednoho
poskytovatele hlasové, datové i obrazové služby najednou a navíc pomocí jednoho
sdíleného přenosového média.[2]
Internet není vlastně síť v pravém slova smyslu, je to spíše spojení obrovského
množství různých sítí, používajících společné protokoly a služby. Původ internetu je
právě v propojování nezávislých subjektů na nosné technologii internetu – sadě
protokolů TCP/IP. Masivní růst zažil internet po roce 1990, kdy se do něj začali
připojovat soukromé subjekty a začalo šíření domácího připojování. [32]
Internetová architektura stojí na IP směrování a DNS překladech. Routování umožňuje
zprostředkovat komunikaci mezi oddělenými sítěmi a to jak na stejné úrovni hierarchie,
tak i mezi úrovněmi. Jednotlivé úrovně se liší především geografickým rozsahem a
množstvím připojených uzlů. Tier 1 tvoří sítě a infrastruktura největších
telekomunikačních operátorů. Ty jsou propojené mezi sebou a tvoří tak páteřní spoje
internetu. Spojená konektivita je většinou ošetřena na základě smluv o spolupráci. Tier 2
sítě jsou většinou doménou národních poskytovatelů služeb, ty nakupují přístup od Tier
1 poskytovatelů a prodávají dále lokálním poskytovatelům úrovně Tier 3, kteří již
připojují přímo jednotlivé domácnosti a další subjekty. To samozřejmě mohou dělat i
poskytovatelé vyšších úrovní, ale není to běžné. ISP Tier 2 ale často připojují k internetu
velké korporace či státní správy. [32]
Obrázek 6 Úrovně internetových sítí
Systém DNS umožňuje překlad lidsky čitelných názvů na IP adresy. Je zřejmé, že tato
služba je zcela klíčová pro fungování internetu, jelikož bez překladu není ani směrování,
tudíž žádná komunikace založená na DNS jménech. DNS překlady fungují na principu
ověřování dotazu. Nejprve se DNS server pokusí název vyhledat v lokální cache, pokud
se tam nenachází, prohledává zónovou databázi a pokud ani tam neuspěje, předá dotaz
nadřazenému serveru. Celou architekturu zastřešuje 13 root DNS serverů, které
obsahují databázi všech autoritativních DNS serverů domén nejvyššího řádu, takzvaných
Top-level Domain (.com, .cz, .info, .gov atd.). [32]
Frekventované metody útoků a protiopatření
Pokud se zabýváme síťovou bezpečností, je potřeba zdůraznit fakt, že celá síť je tak
zabezpečená, jako je zabezpečené nejslabší místo této sítě. To znamená, že nestačí mít
zabezpečené pouze komunikující koncové stanice a zašifrovaná posílaná data, ale i již
zmiňované komunikační kanály, a to jak z pohledu logického, tak fyzického. Zabezpečení
sítě by mělo vycházet z předem připraveného plánu.
Tvorba plánu zabezpečené sítě by měla zohlednit především[1]:
1. Přístup – pouze autorizovaní uživatelé mají přístup ke komunikaci v dané síti
2. Důvěrnost – informace v rámci sítě zůstávají soukromé
3. Autentizaci – zajištění identifikace uživatelů (ověření, že uživatel je ten, za
koho se vydává)
4. Integritu – kontrola proti modifikaci dat během transportu po síti
5. Nepopiratelnost – uživatel, který provedl na síti nějakou akci ji nemůže popřít
Efektivní bezpečnostní strategie musí vycházet z pochopení potenciálních hrozeb,
útočníků a faktorů, které dělají síť zranitelnou. Pochopení těchto faktorů usnadňuje
stanovení optimální úrovně požadovaného zabezpečení vzhledem k informacím, které
síť uchovává a prostředí, ve kterém je síť provozována. Zároveň je nutné vzít v potaz
charakter dat a komunikace, jež má být předmětem zabezpečení. Vedení firmy musí
vyhodnotit poměr mezi úrovní zabezpečení, náklady, uživatelským komfortem a
potenciálním rizikem či ztrátami v případě prolomení bezpečnosti. [1]
Na následujících grafech je názorně vidět několik důležitých statistik. Obrázek 7 ukazuje
státy s největším počtem detekovaných útoků (data jsou platná k srpnu 2013).
Obrázek 7 Počet útoků podle zemí uskutečnění
Obrázek 8 znázorňuje proporce útoků podle motivace útočníků. Jednoznačně vede
počítačová kriminalita, tedy útoky vedené za účelem krádeží dat, osobního obohacení
nebo destrukce na straně cílového subjektu.
Obrázek 8 Motivace útočníků
Obrázek 9, ukazuje rozložení útoků podle typu využívaného slabého místa nebo
techniky. Majoritu tvoří útoky, u kterých se nepodařilo zjistit techniku. Druhé v pořadí
jsou útoky DDoS, následují útoky pomocí zcizené identity, změna obsahu webových
stránek a SQL Injection.
Obrázek 9 Rozložení útoků podle typu
5.1 Deset nejčastějších chyb způsobujících slabá místa bezpečnosti sítě
5.1.1 Slabá hesla
Ačkoli je to s podivem, stále se jedná o jeden z největších problémů, způsobující trhliny
v zabezpečení. Slabá, snadno odhadnutelná a znovu používaná hesla jsou zároveň pro
útočníka nejsnazším způsobem, jak prolomit zabezpečení cílového systému. [9]
Doporučená opatření: V bezpečnostní politice by měla být jasně definována
pravidla pro komplexnost a periodicitu změny hesel. Tato pravidla by měla být následně
implementována na úrovni vynucení pomocí GPO nebo obdobných nástrojů a
systematicky dodržována a to bez výjimek na straně IT, což je velmi častý jev.
5.1.2 Chybějící aktualizace
Software i firmware ponechaný v základní konfiguraci a bez pravidelného aplikování
bezpečnostních záplat je stejně jako slabá hesla jedním z nejčastěji vyskytujícím se bezpečnostním rizikem. Většině útoků lze přitom snadno zabránit právě včasným
nasazováním otestovaných aktualizací. [9]
Doporučená opatření: Pravidelné kontrolování aktuálnosti nasazených operačních
systémů, uživatelského i serverového software, nastavení automatických aktualizací
antivirových programů na koncových stanicích i klíčových serverech (například mail
server), kontrola bezpečnostních aktualizací firmware síťových prvků a firewallů.
Veškeré nasazované aktualizace by měly projít otestováním, než dojde k nasazení do
produkčního prostředí a v případě firmware v síťových prvcích je vhodné nasazovat
pouze nezbytně nutné záplaty, či kritické opravy chyb. U síťových prvků bývá často
značný problém vrátit se k předchozí verzi, pokud dojde k neočekávanému chování po
provedení aktualizace. Ve větších podnicích je nezbytná implementace software pro
konfigurační management, jako jsou nástroje HP ProCurve Managers Plus (PCM+) nebo
Cisco IOS XE. Tyto nástroje umožňují centrální evidenci konfigurací síťových prvků,
vzdálenou konfiguraci, zálohování i aktualizace zařízení.
5.1.3 Nezabezpečené body pro vzdálený přístup
Nezabezpečené a nemonitorované způsoby vzdáleného přístupu do podnikové sítě jsou
opět velmi častým problémem zabezpečení a zároveň jedním z nejsnadnějších
prostředků, jak získat přístup k síti. Nejčastějším problémem jsou nezablokované či
nezrušené účty bývalých zaměstnanců s povoleným vzdáleným přístupem
k podnikovým IS. [9]
Doporučená opatření: Součástí bezpečnostní politiky či firemních směrnic by měla
být jasně nedefinovaná pravidla související s povinnostmi zainteresovaných
zaměstnanců v souvislosti se zaváděním i odstraňováním zaměstnanců z pohledu IT.
Tvorba účtů, autorizace k různým částem IS, vzdálený přístup do podnikové sítě a další.
Zároveň musí být jasně definovány postupy navazující na odchod zaměstnance z firmy,
jako je blokování účtu či jeho úplné zrušení a smazání dat. V případě účtů s povoleným
vzdáleným přístupem je rovněž vhodné pravidelné auditování logů terminačních bodů
vzdáleného přístupu, za účelem zjištění neautorizovaného přístupu.
5.1.4 Únik informací
Únik informací je široký pojem, který pokrývá neúmyslné prozrazení citlivých údajů o
zabezpečení zaměstnancem (například na sociálních sítích), úmyslné vynášení informací za účelem poškození zaměstnavatele (případně bývalého), či osobního obohacení až po
špatné zabezpečení citlivých dat. Jakýkoli únik citlivých dat (v konkrétním případě
bezpečnostních), jako jsou verze a typy používaného software, uživatelská pověření,
sdílné prostředky atd. může útočníkovi značně usnadnit
prolomení bezpečnostních opatření. [9]
Doporučená opatření: Riziko úniku informací je jedním z nejobtížněji
řešitelných hrozeb. Neúmyslné úniky způsobené většinou nedbalostí zaměstnanců často
nevedou k závažným bezpečnostním incidentům a jako protiopatření je vhodné
především pravidelné zaškolování zaměstnanců v oblasti bezpečnostní politiky firmy a
celkové osvěty v chování v prostředí internetu, především na sociálních sítích.
Úmyslnému vynášení citlivých dat z firmy se zabraňuje velmi obtížně a většinou ho
nelze zcela vyloučit. Snížení rizika docílíme pouze kombinací více bezpečnostních
pravidel a postupů. Nejzásadnějším faktorem snižujícím toto riziko je komplexně
připravená, nasazená a managementem podniku podporovaná bezpečnostní politika.
Politika musí řešit zevrubně problematiku autorizace uživatelů vůči různým stupňům
citlivosti informací dostupných pomocí IS. Citlivá data musejí být zabezpečena proti
tisku/kopírování, případně je nutné omezení přístupu k nejcitlivějším datům pouze
z vybraných koncových stanic, které například budou připojeny pouze do
zabezpečeného VLAN, nebudou mít přístup na internet ani do zbytku firemní LAN a
nepůjde k nim připojit žádné přenositelné medium. Takové stanice je nicméně nutné
adekvátně zabezpečit i fyzicky, aby nemohlo dojít k rozebraní, či přímo odcizení celého
stroje. Vhodným řešením pro takto kritické nasazení je použití VDI (virtuálních
desktopů), kdy koncový terminál neobsahuje žádná data mimo RAM, protože
zabezpečení dat na serverové straně je většinou jak po fyzické, tak po logické stránce
jednodušší a silnější.
5.1.5 Spuštěné nepotřebné služby
U koncových stanic i serverů se velmi často stává, že po nasazení a konfiguraci
požadovaných služeb zůstávají spuštěné i výchozí služby, které ale pro daný účel stanice
nejsou potřebné. Nepotřebné služby, zejména ty komunikující po síti, jsou velkým
rizikem a často slabým místem systému, protože bývají ponechány bez konfigurace a
především bez monitoringu. Poskytují tak útočníkovi zcela zbytečně další možnosti jak
získat přístup k systému. [9]
Doporučená opatření: V tomto případě je řešení jednoznačné a snadné,
nepotřebné služby je dobré v systému zakázat nebo minimálně zabezpečit firewallem,
pokud je například na službě závislá nějaká další lokální služba.
5.1.6 Špatně nakonfigurované firewally
Nezřídka dochází k tomu, že velmi mnoho pravidel či jejich přílišná komplexnost vede ke
kolizím v nich a následně neočekávanému chování firewallu. Velkým problémem je
zřizování dočasných či testovacích pravidel, která ale po uplynutí relevantního času již
nikdo nezruší a tím vznikají slabá místa zabezpečení. Špatně nakonfigurovaný firewall je
velkým rizikem a slabým místem, jelikož útočníkovi potenciálně nabízí přímý přístup do
DMZ nebo dokonce přímo do vnitřní sítě firmy. [9]
Doporučená opatření: Je vhodné vyvarovat se přílišné komplexnosti pravidel,
pravidla by měla být přímočará a snadno pochopitelná. Pokud je to možné, je lepší
vytvořit více jednoduchých pravidel, než jedno komplexní. Při vytváření nových pravidel
je dobré revidovat současný stav kvůli potenciálním kolizím či duplicitě starších
pravidel. Pravidelná kontrola validity pravidel často vede k pročištění a zpřehlednění
firewallu. Monitoring a pravidelné auditování logů firewallu pomáhá zjišťovat nečekané
chování a odhalovat nepotřebná pravidla.
5.1.7 Špatně nakonfigurované webové servery
Servery publikované do internetu (v lepším případě v DMZ, v horším přímo v LAN)
obsahující špatnou konfiguraci, nezáplatovaný software, používající známá slabá místa
(cross-site scripting, SQL injection díry), jsou častou a velkou hrozbou. Takto
nezabezpečené servery jsou lákavým cílem útočníků, jelikož jsou přímo viditelné (z
principu) na internetu a útočník tak nemusí překonávat firewally, ale rovnou se snaží
získat přístup k informacím pomocí výše zmíněných známých slabých míst. [9]
Doporučená opatření: U webových serverů je velmi důležité znát správnou
konfiguraci pro daný účel nasazení a tu striktně vyžadovat. Obecné platné doporučení je
nastavit bezpečnostní volby u publikovaných služeb na výchozí stav „vše zakázáno“ a
následně povolit přímo jen služby a rozšíření, která jsou nezbytně nutná pro chod
webové služby. Často to bývá přesně naopak a dochází potom k opomenutí některých
povolených služeb a rozšíření, které oslabují bezpečnost služby. Důležité je sledování
bezpečnostních záplat a nově objevených hrozeb a adekvátně na tyto situace reagovat (aktualizace, rekonfigurace). Webové aplikace běžící na publikovaných serverech by
měly být kódovány na základě moderních principů a za použití ověřených a bezpečných
technologií a kód by měl být udržován aktualizovaný po zjištění bezpečnostních děr.
5.1.8 Neadekvátní logování a monitoring
Pokud už se útočníkovi podaří prolomit zabezpečení a dostat se do sítě, je nanejvýš
důležité ho co nejdříve odhalit. Bez správně nastavené úrovně logování, monitoringu a
reportingu (notifikací) to však není možné. [9]
Doporučená opatření: Na přístupových bodech sítě (brány do internetu, NAT
firewally atd.) je nutné mít nastavené adekvátní logování a pravidelně logy sledovat.
Pokud jsou dostupné technologie pro automatické vyhodnocování podezřelého chování
(IDS – Intrusion Detection Systém), je nutné jich využít, ať již k včasnému informování
správce o podezřelém provozu na síti, či aplikování automatizovaných akcí, které
zabrání útočníkovi v pokračování. Logování je dobré využívat nejen na přístupových
bodech sítě, ale i na serverech a koncových stanicích v rámci vnitřní sítě. V tomto ohledu
může správci opět velmi pomoci technologie pro hromadnou správu a monitorování
stanic (například Microsoft System Center Operations Manager), který dokáže
sofistikovaně procházet koncentrované logy a na základě předdefinovaných kritérií
notifikovat správce.
5.1.9 Špatný systém sdílených souborů a adresářů
Operační systémy Windows (klientské i serverové) i Unix/Linux, jsou známy špatnými
implementacemi funkcí pro práci se sdílenými zdroji. Nedostatečná úroveň granularity
zabezpečení a problémy způsobené nemožností řešit odděleně autorizace pro vnořené
soubory a adresáře často vede k zjednodušení nastavení bezpečnosti a vznik
potenciálních slabých míst. Špatně nastavená oprávnění pro přístup ke sdíleným
zdrojům, případně kombinace se zmíněnými riziky slabých hesel a ponechaných
nepotřebných uživatelských účtů, jsou přímou pozvánkou pro získání dat
neautorizovanou osobou. Velkým problémem jsou často slabá hesla výchozích uživatelů
(administrator, root) v kombinaci s povoleným výchozím sdílením systémových zdrojů
(C$, IPC$). [9]
Doporučená opatření: Systém sdílených zdrojů by měl být co možná
nejtransparentněji navržený. Adresářová struktura by neměla být příliš hluboká a měla by být pravidelně auditována kvůli potenciálním chybám v nastavení autorizace
jednotlivých uživatelů k patřičným datům. Doporučení lze také sjednotit s bodem 5.1.1,
jelikož kombinace přidělené autorizace ke sdíleným datům a slabého hesla je opět
významným rizikem ztráty dat. V případě použití uživatelských skupin pro přidělování
autorizací většímu množství uživatelů naráz, je nutné pravidelně kontrolovat obsazení
skupin z pohledu aktuálnosti. Pokud je systém sdílených zdrojů provozován na
dedikovaném souborovém serveru, je dobré využít integrované funkce pro auditování
obsahu, stanovování kvót a restrikcí pro uživatele. V případě, že nasazení neovlivní
dramatickým způsobem výkon služby, je dobré využít na straně souborového serveru
specializovaný antivirový program. Sdílení zdrojů je vhodné integrovat do
sofistikovanějších systémů (například Content Management System), který nám umožní
daleko větší kontrolu nad správou těchto zdrojů. V neposlední řadě je dobré data ve
sdílených úložištích (a nejen tam) šifrovat. [9]
5.1.10 Nedostatečná dokumentace či neexistující bezpečnostní politika
Nedostatečná, neexistující nebo sporadicky tvořená dokumentace procesů spojených
s bezpečností ICT a nezdokumentované postupy řešící krizové situace nejsou přímou
bezpečnostní slabinou ve smyslu slabého místa pro útočníka, ale každopádně přispívají
k navýšení rizika, že ztráty po potenciálním úspěšném útoku budou daleko větší, než by
bylo nutné. Neexistence jednoznačných postupů v IT procesech ale neznamená riziko jen
při potenciálním útoku. Nedodržování standardních kroků při běžných procesech, jako
je zavádění či rušení uživatelských účtů, nových služeb, nasazování nových serverů atd.,
vede k zanedbání či opomenutí často kritických nastavení, jež vedou do budoucna
k potenciálním hrozbám kteréhokoli z výše vyjmenovaných typů. [9]
Doporučená opatření: Systematická tvorba dokumentace a především
srozumitelně sepsaná a dodržovaná bezpečnostní politika, vytvořená na základě výše
zmíněných bodů významně přispívá k udržitelnosti zabezpečení podnikového ICT.
Zároveň veškerá dokumentace pozitivně ovlivňuje zastupitelnost zaměstnanců ICT
oddělení a odstraňuje tím slabá místa v podobě často se vyskytujícího vzniku
potenciálně nenahraditelných zaměstnanců. Dodržování standardizovaných postupů
eliminuje do značné míry nečekané bezpečnostní incidenty, které vznikají
nestandardními konfiguracemi nebo opomenutími při konfiguraci ICT prostředků.
Nezabezpečené mobilní technologie
Bodem navíc v tomto TOP 10 se stává problematika zabezpečení mobilních zařízení,
která jsou čím dál více začleňována do podnikového ICT. Chytré telefony, tablety,
notebooky a další zařízení schopná připojovat se do firemních sítí jsou samozřejmě také
rizikem, slabým místem a cílem potenciálních útoků. Moderní pracovní systém BYOD je
dalším zdrojem rizik spadajících do této kategorie. [12]
Doporučená opatření: U mobilních zařízení, na rozdíl od serverů a klientských
stanic nacházejících se ve firmě, lze jen velmi těžko zajistit fyzické zabezpečení zařízení
(proti odcizení, pozměnění SW), proto je o to důležitější věnovat se zabezpečení
samotného přístupu těchto zařízení do sítě. U chytrých telefonů a tabletů je vhodné
s požadovanou úrovní zabezpečení počítat již při nákupu těchto přístrojů a vyhodnotit
možnosti zařízení v oblasti šifrování lokálních dat, nabídky VPN připojení a kooperaci se
vzdáleným řízením bezpečnosti. Přístroje, které umožňují vzdálené řízení bezpečnosti je
možné pomocí specializovaných nástrojů nebo pomocí mail serveru vzdáleně resetovat
do továrního nastavení a dokonce i naformátovat vložené paměťové karty. Tím je
v případě odcizení nebo ztracení přístroje možné předejít zneužití dat či
předkonfigurovaných účtů (e-mail, VPN atd.). Pokud firma podporuje program BYOD, je
velmi důležité pokrýt použití těchto přístrojů směrnicemi v bezpečnostní politice a
v ideálním případě použít nástroje NAP, které významné přispívají k zabezpečení
zařízení, které nemá firma zcela ve své správě. Nástroje NAP dokáží na základě
monitorování vyhodnotit, zda je zařízení po stránce konfigurace, aktualizací a stavu
například antivirového programu v souladu s požadavky pro povolení přístupu do sítě.
Pokud tomuto stavu nevyhovuje, je mu buďto odmítnut přístup nebo je umístěno do
karanténní zóny, ze které je možné se dostat k prostředkům napravujícím tento stav.
NAP lze využít jak na serverech pro přístup k podnikové síti zvenčí (u MS je k dispozici
například jako součást služby Směrování a vzdálený přístup), tak i pro zajištění stavu
desktopových systémů v síti LAN, připojených přes ověřování 802.1X nebo NAP IPsec.
Frekventované metody útoků
Bez stanovené bezpečnostní politiky, nasazených a dodržovaných pravidlech politikou
daných, jsou data v jakékoli síti vystavena značnému riziku. V následující části si
přiblížíme nejčastěji se vyskytující techniky, které jsou využívány útočníky k získání
přístupu do sítě či přímo k datům. Útoky můžeme rozdělit na pasivní a aktivní. Pasivní
útok znamená většinou monitorování komunikace a odchytávání pro útočníka
zajímavých informací, které buďto vedou k získání údajů potřebných pro pokračování
útoku nebo přímo zachycení chtěných dat. Aktivní útok naopak přímo modifikuje
přenášená data za účelem manipulace s účelem pozměněných informací nebo za účelem
destrukce komunikace či celé sítě.
Odposlouchávání (zachytávání) síťové komunikace
Většina síťové komunikace probíhá i v dnešní dobé stále v nezašifrované (plaintext)
podobě. To umožňuje útočníkům, kteří mají přístup ke komunikačnímu kanálu, přes
který probíhá daná výměna informací, zachytávat pakety probíhají komunikace a snad
se dostat k obsahu. Pro odposlouchávání komunikace existují 2 termíny – sniffing a
spoofing. Odposlouchávání sítě je jedním z největších a nejčastějších problémů, s jakým
se administrátoři ve firemních sítích střetávají. [11]
Doporučená opatření: V první řadě by mělo být snahou správce znemožnit
útočníkovi fyzický přístup k síťové infrastruktuře. Datové rozvaděče a servery by měly
být dobře fyzicky zabezpečeny proti přístupu neautorizovaných osob, v případech
vyžadujících vysoký stupeň zabezpečení je vhodné zabezpečit i optické páteřní linky
například mechanismem hlídajícím tlak plynu v uzavřeném vedení pro optické vlákno.
Při narušení vedení dojde k poklesu tlaku v systému a okamžitému varování o možném
útoku. Kromě datových center a rozvodů je potřeba zajistit, aby se do sítě nemohlo
připojit cizí zařízení a to ani v případě naklonování „důvěryhodné“ MAC adresy stanice
nebo periferie. Vhodné řešení nabízí například PKI infrastruktura ve spojení s výše
zmíněnou službou NAP. V případě, kdy je do sítě připojeno zařízení, které není ověřeno
pomocí certifikátu, případně nesplňuje další kritéria NAP politik, je buďto přesunuto do
karanténního prostoru nebo dojde přímo na přepínači k deaktivaci síťového portu a tím
zamezení další komunikace. [2][9][10]
Pokud máme zabezpečenou fyzickou vrstvu komunikace, je potřeba se soustředit na
samotný obsah komunikace. Pokud by se útočníkovi podařilo proniknout opatřeními na
fyzické vrstvě, stále bude mít k dispozici čitelný text. K zabezpečení obsahu komunikace
je možné použít prostředky na různých vrstvách TCP/IP modelu. Na linkové vrstvě lze
použít šifrování (link layer encryption) k zajištění nečitelnosti obsahu komunikace. Tato
metoda zabezpečení má své výhody i nevýhody a je potřeba obě strany zvážit podle
prostředí nasazení. Výhody linkového šifrování jsou především rychlost, nízká režie
v síťovém provozu i na straně šifrujících zařízení, nezávislost na protokolech vyšších
vrstev a v neposlední řadě i minimální riziko lidské chyby, jelikož linkové šifrování
prostě šifruje vše, co je odesílá po zabezpečeném rozhraní. Nevýhody plynou především
z toho, že se jedná o „hop-to-hop“ šifrování, tedy v každém bodě (přepínači, směrovači,
hostu) je zprávu nutné dešifrovat a při odesílání dál, znovu zašifrovat, což především u
routerů (vzhledem k dříve zmíněnému riziku bufferování dat) znamená zvýšené riziko
infiltrace a získání dat přímo ze směrovače. [13]
Řešením tohoto problému je použití šifrování na síťové vrstvě. Technologie
IPsec, která řeší toto zabezpečení, funguje na principu end-to-end tunelu a je tedy
odolná vůči napadení prvků mezi koncovými body komunikace. IPsec je skupina
protokolů vytvořená po dlouhých debatách IETF o tom, jak by měla vypadat
zabezpečená internetová komunikace. Konkrétní specifikace a popis implementace je
obsažen v dokumentech RFC 2401, 2402, 2406 a dalších. Sada protokolů obsahuje
kromě šifrování ještě prostředky pro autentizaci, kontrolu integrity dat a ochranu proti
útokům opakováním komunikace. Pomocí IPsec je možné zabezpečit komunikaci mezi 2
koncovými stanicemi (host-to-host), 2 internetovými bránami spojujícími například 2
geografický oddělené firemní sítě (network-to-network) nebo mezi bránou a koncovou
stanicí (network-to-host). Technologie IPsec je navzdory umístění v síťové vrstvě
spojovaná. Vzhledem k nutnosti výměny šifrovacích klíčů mezi koncovými body
komunikace a následnému vytvoření šifrovaného spojení je to však logické. Navázané
IPsec spojení se nazývá SA (Security Association) a každé spojení je označeno
bezpečnostním identifikátorem. Spojení je jednosměrné (pro obousměrnou
zabezpečenou komunikaci je nutné vytvořit 2 SA, každé se svým identifikátorem).
Identifikátory jsou přidávány do přenášených paketů a slouží ke kontrole klíčů a dalších
ověřovacích údajů na straně příjemce. [2]
IPsec komunikaci lze používat ve dvou režimech. V transportním módu je hlavička
IPsec protokolu vkládána za IP hlavičku a před TCP. IP hlavička zůstává stejná kromě
změny indikace, že jde o IPsec protokol. Z toho plyne, že routování probíhá
v nezměněném režimu, protože IP hlavička není ani modifikovaná (z hlediska informací
podstatných pro směrování) ani zašifrovaná. Autentizační hlavička obsahuje výše
zmíněné funkce k ochraně dat v IP payload sekci, a to konkrétně autentizaci, ochranu
integrity a ochranu proti opakování zprávy, nicméně data v obsahu nejsou šifrovaná,
tudíž zůstávají čitelná, ale nemodifikovatelná.
Integrita dat je ověřována pomocí kontrolního součtu v AH hlavičce, která počítá i
možností změny některých údajů v IP hlavičce, jako například TTL (time-to-live) nebo
ToS (type-of-service). [2][15]
Obrázek 10 IPsec Transport Packet
Existuje ještě varianta transportního režimu, jejíž použití zabezpečí šifrováním i
samotný payload, tedy dochází k zajištění i poslední funkcionality – důvěrnosti. Pomocí
ESP (Encapsulating Security Payload) zajistíme podepsání IP payloadu. ESP však
podepisuje pouze IP payload, nikoli IP hlavičku, ta zůstává původní. ESP lze použít
samotné i v kombinaci s AH hlavičkou, tedy s celou sadou bezpečnostních opatření, jež
poskytuje.
Obrázek 13 IPsec ESP tunnel mode
Podepsaná část paketu (od ESP header k ESP trailer) označuje oblast chráněnou proti
porušení integrity a autentizace. Zašifrovaná část značí data chráněná utajením.
Šifrování probíhá tak, že k původnímu paketu je nejprve přidána ESP hlavička a ESP
zápatí a následně je vše mezi tím zašifrováno a nadále považováno za celistvý payload
s novou IP hlavičkou, která obsahuje pouze adresu koncového bodu tunelu. Takto
obalený paket je plně zabezpečený i při přenosu po veřejných a nezabezpečených
kanálech, jelikož v čitelné podobě obsahuje pouze adresu koncového terminačního bodu
IPsec tunelu. Ten po přijetí paketu dešifruje obsah a zahodí novou IP i ESP hlavičku.
[2][13][14][16]
Pomocí IPsec jsme tedy schopni zajistit end-to-end zabezpečení
komunikace proti napadení integrity, zcizení identity, proti útoku simulováním
opakované komunikace i proti čtení obsahu (utajení). Velká výhoda IPsec zabezpečení je
integrace do síťové vrstvy. End-to-end zabezpečení pohodlně nabízí i služby na aplikační
vrstvě a dlouho se na poli IETF polemizovalo o tom, jakou cestou se vydat. Aplikační
úroveň zabezpečení by totiž vyžadovala úpravy kódu samotných aplikací a zvyšovala by
riziko lidských chyb (aplikační konfigurace, volitelné možnosti atd.). [2]
5.2.2 Modifikace dat
Potom, co je útočník schopen zachytit nezabezpečenou komunikaci, dalším logickým
krokem je pozměnění jejího obsahu za účelem získání dalších potřebných údajů či
k destrukci služeb a samotné komunikace. Ani v případě, že nevyžadujeme šifrování
veškeré komunikace, nechceme, aby byla jakákoli data během transportu modifikována.
[11]
Doporučená opatření: Veškerá doporučená opatření se shodují s bodem 5.2.1
Odposlouchávání (zachytávání) síťové komunikace. Jelikož jde především o prevenci
proti možnosti data vůbec zachytit (fyzické zabezpečení), kontrolu integrity (IPsec,
aplikační zabezpečení) a autentizaci (IPsec, aplikační zabezpečení).
5.2.3 Zcizení identity
Protože většina sítí i operačních systémů používá ve výchozím nastavení ke kontrole
identity IP nebo MAC adresu, je v některých situacích možné podvrhnout systém za
pomoci odposlechnuté nebo jinak získané validní adresy. Po získání validní IP adresy
v daném systému (síti) může útočník vygenerovat pakety, které se budou cíli zdát také
validní. Pokud se útočníkovi podaří takto získat přístup do sítě je již jen otázkou dalšího
zabezpečení, jak velké škody dokáže napáchat. [11]
Doporučená opatření: Opatření v tomto bodě je potřeba opět rozdělit do dvou
skupin. V případě, že se jedná o zabezpečení zcizení identity proti útokům z internetu, je
nutné použití firewallu či UTM řešení na hranici firemní sítě a internetu. Správně
nastavená pravidla na hraničním firewallu zamezí útočníkovi v průniku do sítě. Při
konfiguraci firewallu je nutné vzít na vědomí, že pravidla povolující komunikaci
z internetu do vnitřní sítě by neměli obsahovat veřejné IP adresy, ale pro připojení by
mělo být využito autentizovaných prostředků jako je VPN. Pokud je z nějakého důvodu nutné povolit komunikaci pro konkrétní IP adresu, je vhodné tak učinit pouze s dalšími
opatřeními, jako je použití jiných než výchozích portů služeb, vícenásobné ověřování
atd.
Pro zabezpečení odcizení identity v rámci vnitřní sítě je nutné nasazení
technologií jako je výše zmíněný NAP či port-based zabezpečení na aktivních prvcích
sítě dle IEEE 802.1X. Obě tyto technologie (nebo jejich kombinace) poskytují autentizaci
pro připojená zařízení a procedury k zacházení s neautentizovaným připojením k síti.
Podrobněji se těmto možnostem budeme věnovat v kapitole 9.
5.2.4 Prolamování hesel
Řízení autorizace k operačním systémům, aplikacím i síťovým zařízením je stále
majoritně zajišťováno pomocí systému uživatelské jméno / heslo a kombinace těchto
údajů vás identifikuje vůči danému systému. Problémem není pouze hádání kombinací
uživatel / heslo, ale také, a to hlavně v případě starších aplikací, odposloucháváním sítě.
Jelikož často aplikace posílaly při komunikaci celou přihlašovací sekvenci, nebo alespoň
uživatelské jméno, v čitelné podobě, stačilo útočníkovi zachytit přihlašovací údaje
z komunikace. V případě zachycení uživatelského jména má útočník k dispozici 2
možnosti k pokračování. Může zkusit uhádnout slabé heslo nebo použít automatizovaný
útok za pomoci slovníku či přímo hrubou silou (všechny možnosti). [11]
Doporučená opatření: Opatření k tomuto bodu značně komplikuje nemožnost
zajistit bezpečnost zmíněných starých aplikací. V případě, že je nezbytné používat
aplikaci, která akceptuje přihlášení pouze v „plain-text“ režimu nebo zastaralých hash
metod, je nutné zajistit bezpečnost přenosového kanálu, aby nemohlo dojít
k odposlechnutí (viz. 5.2.1 Odposlouchávání (zachytávání) síťové komunikace). Pokud
používané aplikace, operační systémy a další zařízení, vůči kterým se autorizace provádí
přihlášením jménem a heslem, používají moderní metody pro přenos přihlašovacích
údajů (KDC, Kerberos, PKI) je stále nutné dbát na dodržování zásad z kapitoly 5.1.1
Slabá hesla.
5.2.5 Man-in-the-middle útok
Jak vypovídá samotný název, jde o metodu, při které útočník aktivně monitoruje,
zachycuje nebo kontroluje komunikaci mezi 2 koncovými body. Klasickým příkladem je
model kdy útočník dokáže pozměnit směrování mezi komunikujícími stranami tak, aby procházela přes něj. Často je také útok MITM kombinován s odcizením identity.
Analýzou zachycené komunikace útočník dosáhne možnosti imitovat původního
odesílatele, aniž by cílový systém zjistil, že je to jiný zdroj. Tento typ útoku je snadno
použitelný například na nezabezpečených bezdrátových sítích. [11]
Obrázek 14 Man-In-The-Middle
Doporučená opatření: Pro úspěšné provedení tohoto útoku je opět nutné mít v první
řadě přístup ke komunikačnímu kanálu. Ať už je to zmíněná nezabezpečená bezdrátová
síť, nebo kabelová podniková LAN. Z toho plynou i doporučené metody ochrany, které se
do značné míry shodují s bodem 5.2.1 Odposlouchávání (zachytávání) síťové
komunikace. V případě, že útočník není schopen fyzicky ani logicky narušit komunikační
prostředek (připojit se k WiFi či ethernetu), nepodaří se mu pokračovat v útoku.
V případě útoků vedených z internetu vůči přístupovému bodu firemní sítě
(firewall) je opět důležité použití technologií zaručující autentizaci a integritu, jako je
IPsec či SSL VPN. Pro nezabezpečené kanály lze ještě využít správně nakonfigurované
IPS/IDS (Intrusion Prevention System/Intrusion Detection System), nicméně je lepší
použít aktivní prevenci útoku použitím bezpečných kanálů, než pasivně spoléhat na
detekci a blokování útoku.
5.2.6 Útok na aplikační vrstvě
Útoky na aplikační vrstvě jsou většinou vedeny na aplikační servery za účelem zneužití
známých slabých míst (exploit). Takto útočník obchází standardní kontrolu přístupu a
získává neoprávněný přístup k běžícím aplikacím, datům nebo operačnímu systému.
V případě, že se útočníkovi podaří získat přístup k aplikaci, může již v závislosti na právech konkrétního uživatele manipulovat s daty (číst, přidávat, mazat či modifikovat)
aplikace nebo operačního systému. Po získání přístupu na aplikační úrovni může útočník
rovněž využít server pro rozšíření viru nebo jiného škodlivého kódu, jelikož na
aplikačních serverech často nebývá z výkonových důvodů nasazován antivirový
software. Napadený server lze úspěšně využít pro další odposlouchávání a analýzu
provozu na síti a získané poznatky mohou útočníkovi pomoci k destrukci či narušení
síťové komunikace v celé síti. V neposlední řadě je útočník schopen nekorektně
ukončovat provoz spuštěných služeb a aplikací, což vede nevyhnutelně ke ztrátám dat a
omezení produkčního prostředí. [11]
Doporučená opatření: Stejně jako v bodě 5.2.4 Prolamování hesel je
problematické zabezpečit proti útokům staré aplikace používající napadnutelné
technologie. Proti napadení na aplikační vrstvě se lze efektivně bránit především
používáním aktuálních technologií a sledováním trendů v oblasti aplikační bezpečnosti.
Pokud se jedná o aplikace vystavené do internetu je nutné zajistit bezpečnou autentizaci
a autorizaci přistupujících uživatelů, ideálně v součinnosti s VPN (viz. kapitola 5.2.1
Odposlouchávání (zachytávání) síťové komunikace), jež zajistí bezpečné komunikaci
v nezabezpečené části sítě (internet). VPN řešení však není možné použít vždy. U veřejně
publikovaných webových aplikací musíme zajistit všeobecnou dostupnost, ale zároveň i
zabezpečení. V těchto případech je nutné před publikovaný aplikační či webový server
umístit sofistikovaný firewall, ideálně UTM. Přístup k aplikacím by měl být z internetu
vždy zabezpečen pomocí šifrovaného spojení SSL/TLS, které bude buď přímo předáváno
webovému serveru v DMZ nebo ukončováno firewallem (UTM). Ukončené SSL spojení je
dále předáváno v nezabezpečené formě. Tato varianta je výhodná zejména z důvodu
nenáročnosti konfigurace na webovém serveru. A snadné inspekci provozu na http
protokolu. Servery vystavené do internetu by měly být autentizovány pomocí certifikátů
vydaných důvěryhodnými certifikačními autoritami.
Třetího dubna 2014 vyvolalo značné pozdvižení zveřejnění zprávy o slabém
místě v některých verzích nejpoužívanější open-source knihovny (OpenSSL)
zprostředkovávající právě SSL/TLS zabezpečení na straně webových serverů, SSL
terminačních bodů (UTM, firewally, VPN brány atd.). Útočník, který měl informace o
tomto slabém místě, dokázal bez jakýchkoli zvláštních oprávnění, úspěšně získávat
obsah paměti ze serverů zabezpečených knihovnou OpenSSL. Z obsahu paměti bylo možné získat přímo soukromé klíče certifikátů X.509 a následně dešifrovat veškerou
komunikaci zabezpečenou těmito certifikáty. Slabé místo dostalo pojmenování
Heartbleed, protože chyba je konkrétně obsažena v implementaci TLS/DTLS kontrole
„heartbeat“. V případě zneužití této chyby dochází úniku (leak) z operační paměti ze
serveru na klienta. Závažnost tohoto slabého místa je dána především tím, že jeho
využití nezanechává žádné stopy a chyba v implementaci byla pravděpodobně odhalena
až po velmi dlouhé době. Pravděpodobně tak došlo ke kompromitaci obrovského
množství SSL certifikátů. Závažnost ještě navyšuje fakt, že OpenSSL knihovna zdaleka
není využívána pouze pro zabezpečování výše zmíněných zařízení a aplikací, ale je
implementována v mnoha distribucích Linuxu a používána celosvětové při vývoji
aplikací. Proti zneužití Heartbleed chyby je nutné provést aktualizace knihovny, což není
problém u aplikačních a webových serverů, ale může to být problém u aplikací, které
chybové verze knihovny využívají, protože se musí udělat nová distribuce. [17]
Opatření proti útokům na aplikační vrstvě z vnitřní sítě se do značné míry shodují
s bodem 5.1.1 Slabá hesla a 5.2.1 Odposlouchávání (zachytávání) síťové komunikace.
Nad tyto opatření je ještě potřeba zmínit důležitost používání aktuálních operačních
systému na serverech i klientských stanicích. V rannějších implementacích
autentizačního protokolu Microsoft NTLM (NT Lan Manager), konkrétně NTLM v1 a v2,
se nacházely chyby umožňující útokem typu man-in-the-middle získat přístup k SMB
zdrojům v síti bez jakýchkoli informací o uživateli a hesle. [18]
Moderní typy útoků (APTs a DDoS) a protiopatření
APT (Advanced Perstistent Threath)
Termín APT byl vytvořen v roce 2006 analytiky US Air Force a popisuje 3 hlavní aspekty
útočníků, jejich profil, záměry a strukturu.
Advanced – útočník je zběhlý v metodách pronikání do systémů a je schopný
vytvářet vlastní nástroje pro zneužití známých i neznámých slabých míst.
Persistent – útočník má plán dlouhodobějšího charakteru a soustředí se na splnění
cílů aniž by byl detekován
Threath – útočník je organizován, financován a motivován a představuje tak
značnou hrozbu
V minulosti se pojem APT vztahoval k opakujícím se narušením bezpečnosti firemních
sítí. V dnešní době je pojem APT často mylně považován za útok prostřednictvím vysoce
sofistikovaných metod, jako jsou viry napsané pokročilými programátorskými
metodami, schopné obelstít nejrůznější ochranné mechanismy a přetrvávat v utajení na
„území“ cíle po delší dobu. Sofistikované nástroje samy o sobě nereprezentují APT, ale
jsou jeho průvodním jevem, jelikož různé skupiny působící na poli počítačové
kriminality používají podobné sady nástrojů. [9]
Rozdíl mezi „hacks of opportunity“ tedy víceméně náhodným útokům, vedeným
především proto, že je to na daném systému možné a APT, je tom, že hacker nebo
skupina hackerů mají vyšší cíl. APT útoky bývají dopředu dobře připravené, předchází
jim mapování terénu na virtuální i reálné (social engineering) úrovni a cílem bývá
dlouhodoběji udržitelné obohacení na úkor cíle útoku.
Cíle APT útoků se dají rozdělit do dvou relativně odlišných kategorií. První
skupina si klade za cíl získávání osobních údajů jednotlivců či firem za účelem zneužití
identity k obohacení nebo přímým krádežím. Druhá skupina se soustředí na
konkurenční boj mezi korporacemi, či dokonce státy placené útoky mající za cíl
získávaní utajených informací, duševního vlastnictví nebo obchodních tajemství. Získané
informace jsou následně využívány v konkurenčním boji či v případě vládních institucí
k vytvoření strategických výhod. Informace jsou moc a přístup k nebo kontrola nad konkurenčními informacemi je mocná. Toto je základní cíl všech APT útoků – získat a
udržet přístup k informacím, které jsou pro útočníky či jejich sponzory podstatné. [9]
Ať už jsou skupiny hackerů schopných provádět APT motivovány státem
sponzorovanou průmyslovou špionáží nebo organizovaným zločinem či se jedná o
sociálně vyloučenou skupinu, APT metody a techniky jsou charakteristicky podobné a
díky tomu je lze odlišit od náhodných útoků či napadení virem/malwarem. Na rozdíl od
příležitostných útoků, se APT útoky nesnaží ve většině případů o žádnou destrukci, ale
naopak. Útočník se snaží nezanechávat v systémech žádné stopy a často po získání
přístupu do sítě využívá běžné metody práce jako autorizovaný uživatel systému.
Pro získání přístupu k systémům jsou často využívány phishingové emaily
obsahující škodlivý kód, který se po otevření snaží auditovat systém odeslat o něm
potřebné informace útočníkovi, či přímo zprostředkovat přístup. Druhou metodou jsou
v emailu obsažené odkazy na servery se škodlivým softwarem a další postup je
analogický. Kvůli zakrývání stop útočníci často pro počáteční mapování terénu a
získávání údajů používají již kompromitované počítačové sítě a servery a zůstávají tak
za mnohdy několikastupňovým proxy systémem. [9]
APT útoky v podstatě vždy provází sociální inženýrství, ať už ve větší či menší
míře. Počínaje cíleným výběrem emailových adres vytipovaných pro phishing, zcizením
identinty zaměstnance a kontaktováním helpdesku jeho jménem, až po skutečnou
průmyslovou špionáž v podobě nasazeného agenturního zaměstnance instruovaného
k získání potřebných dat, či přístupů k systémům.
V každém případě se APT útoky vyznačují několika fázemi, které zanechávají různé
stopy: [9][19]
1. Cílení – Útočník shromažďuje informace o cíli z veřejných i soukromých
zdrojů a testuje metody, které by mu mohly pomoci k získání přístupu do
systému. To může znamenat skenování nejrůznějších slabých míst, sociální
inženýrství nebo zmíněný phishing.
2. Přístup/kompromitace – Útočník získává přístup k systému a určuje
nejefektivnější postup k využití informačních systémů cíle a poznává
bezpečnostní politiku subjektu. To zahrnuje zajištění veškerých relevantních
dat o kompromitovaném systému (IP adresa, DNS, sdílené zdroje, adresy
DHCP a DNS serverů, OS) i o uživatelských profilech
3. Průzkum – Útočník mapuje síťové zdroje, topologii sítě, názvy služeb,
doménové řadiče a testuje služby a administrátorské přístupy k zajištění
přístupu k dalším systémům a aplikacím. Často se útočník snaží
kompromitovat doménové účty nebo lokální administrátorské účty se
sdílenými doménovými oprávněními, a aby tyto aktivity utajil, vypíná
antivirus a systémové logování, což může být užitečným vodítkem.
4. Pohyb v ústranní – Jakmile útočník určí vhodný způsob procházení sítě, získá
potřebná uživatelská oprávnění a identifikuje cíle přesune se síti na další
hosty. Tuto činnost většinou neprovází použití žádného škodlivého softwaru,
ale využití standardních systémových a síťových nástrojů jako jsou příkazový
řádek, NetBIOS příkazy, terminálové služby, VNC nebo další podobné nástroje
využívané administrátory.
5. Sběr dat a jejich vynesení – Útočníci jdou po informacích, ať už za účelem
dalšího cílení, udržení nadvlády nad systémem nebo přímo získání dat, které
jsou jejich cílem. Útočníci většinou vytvoří sběrné body a data dostanou ze
systému pomocí systému proxy sítí nebo vlastních zašifrovaných nástrojů.
Jsou zaznamenány případy, kdy útočníci vynesly data za pomoci standardních
zálohovacích nástrojů nasazených v kompromitované společnosti. Často bývá
fáze vynesení dat zamaskována útoky malware na jiné části systému,
z důvodu odvedení pozornosti zaměstnanců zodpovědných za bezpečnost
sítě.
6. Administrace a údržba – Dalším cílem APT útoků je udržení přístupu. To
vyžaduje administraci a údržbu nástrojů nasazených útočníkem v sílových
systémech. Útočník si většinou vytváří několik paralelních přístupových cest
do systému a zároveň instaluje triggery a notifikační systémy, které mají za
úkol upozornit na potenciální odhalení kompromitovaného systému.
Obrázek 15 APT
Jak bylo již řečeno, APT útoky po sobě většinou nezanechávají stopy jako oportunitní
útoky, ale pouze záznamy v logu vypadající jako standardní využívání firemních ICT
prostředků. Nicméně na rozdíl od standardního oprávněného uživatele, útočník musí se
získanými oprávněními experimentovat a hledat další slabá místa systému, aby je
dokázal co nejlépe využít a dospět tak ke svému dlouhodobému cíli. Právě toto
experimentování a bádání zanechává v lozích a souborovém systému jisté odlišné znaky,
než standardně se chovající autorizovaný uživatel.[9][19]
Během posledních pěti let bylo odhaleno několik rozsáhlých a dlouhotrvajících
„tažení“ útočníků využívajících APT metod proti korporacím i vládám na celém světě. Tyto útoky, známé pod krycími názvy Aurora, Nitro, ShadyRAT, Lurid, Night Dragon,
Stuxnet, a DuQu, všechny vykazovali 6 zmíněných fází průběhu. [9][19][20]
Detekce a možná protiopatření
Dnes již existuje několik komerčních zařízení (HW i SW appliance), která dokáží
detekovat APT techniky a zabránit jim v pokračování. Nicméně i bez těchto cílených
zařízení lze udělat hodně pro zlepšení odolnosti firemního ICT vůči této hrozbě. Jelikož
útočníci hojně využívají sociální inženýrství, je nutné preventivně zaškolovat
zaměstnance v oblasti základních bezpečnostních návyků a chování v prostředí
internetu a ICT obecně. Jelikož útočník začíná právě u uživatele, je uvědomělý
zaměstnanec základním předpokladem k úspěchu.
Koncová stanice uživatele by měla být v souladu bezpečnostní politikou vždy
aktuální, obsahovat antivirus a připojení k internetu by mělo procházet bezpečnostní
branou nebo proxy, se schopností analýzy provozu, detekce nežádoucího obsahu a
antivirem. Jelikož je APT typ útoku, kde útočník není odrazen tím, že na počátku zdánlivě
nemá příležitost získat přístup k systému využitím nějakého zjevného slabého místa, je
nutné skombinovat veškerá doporučení z kapitoly 5 Frekventované metody útoků a
protiopatření, případně je ještě doplnit o specializované řešení. K detekci a obraně proti
ATP je vhodné využít následující řešení:
Produkty zabezpečení koncových stanic - antivirus, HIPS (Host-based Intrusion
Prevention Systém) a software pro kontrolu integrity souborového systému
Software pro auditování souborového systému a sledování změn v něm
Nástroje a řešení pro síťovou bezpečnost jako jsou UTM firewally, IDS/IPS
systémy
Nástroje pro monitorování síťového provozu (kryje se s UTM) umožňující
filtrování webu. Kromě UTM řešení jsou k dispozici nástroje jako
SNORT/TCPDUMP.
Nástroje pro monitorování a auditování bezpečnostních a systémových událostí a
reportingem. Například Microsoft Systém Center Operations Management.
V případě APT dokonale platí, že síť je tak bezpečná, jako je bezpečné její nejslabší místo,
tudíž neexistuje ochrana typu all-in-one. Pouze kombinací opatření a dodržováním
pravidel bezpečnostní politiky je možné vzdorovat APT.[9][20]
Obrázek 16 Kombinace prostředků proti APT
DDoS – Distributed Denial of Service
6.3.1 Historie
Po přelomu tisíciletí došlu k výrazné změně ve vnímání DoS útoků. Z dočasné
nepříjemnosti se stala seriózní vysoce nebezpečná a obávaná hrozba. V devadesátých
letech se jednalo převážně o využívání slabých míst implementace TCP/IP či chyb
klientského síťového HW. Tato slabá místa dostávala pojmenování jako “ping of death”,
Smurf, Fraggle, boink či Teardrop a byla efektivní při shazování jednotlivých počítačů za
pomoci jednoduché sekvence paketů, až do doby, než byly tyto implementační chyby
odstraněny. [21]
Z DoS útoku se stal DDoS ve chvíli, kdy k útokům na cíl nebyl použit pouze počítač
útočníka, ale celé sítě počítačů, napadené malwarem nebo obsahujích neaktualizovaná
slabá místa a tím pádem ovladatelná útočníkem. Z počátku však byly DDoS útoky
chápany jako problém velkých hráčů (nejčastěji napadaná organizace byl Microsoft).
DDoS útoky neohrožovali jen organizace, ale i samotný internet. V letech 2002 a 2007 se
stalo cílem koordinovaného útoku 13 root DNS serverů s cílem vyřadit základní
infrastrukturní jednotky internetu. Útok z roku 2002 byl úspěšný a způsobil značné
problém v internetovém provozu. Útok z roku 2007 již úspěšný nebyl a 11 ze 13 serverů
útoku odolalo a zůstalo online. [21]
V přímém kontrastu s původními jednoduchými a relativně neškodnými útoky se
ukázaly události v letech 2011 a 2012, kdy DDoS útoky ukázaly, jak devastující mohou
být. Mnoho útoků bylo iniciováno skupinou Anonymous proti různým organizacím,
například Church of Scientology a Recording Industry Association of America (RIAA).
Nejzávažnější útok provedený skupinou Anonymous byl pravděpodobně ten z roku
2012. Cílem byly organizace United States Department of Justice, United States
Copyright Office, The Federal Bureau of Investigations (FBI), MPAA, Warner Brothers
Music, a RIAA. Útok byl veden jako odveta za odstavení serverů Megaupload. [9]
Nicméně největší dosud zaznamený DDoS útok byl proveden v na přelomu ledna
a února 2014. Cílem byl evropský poskytovatel digitálního obsahu Cloudflare. Útočníci
využili chybu v neaktualizovaných knihovnách protokolu NTP, pomocí které dosáhli
lavinového efektu při útoku. Špičkový datový tok útoku na datová centra Cloudflare
dosahoval 400Gb/s, což je nejvyšší škodlivý datový tok v historii zaznamenaný.[9][21]
6.3.2 Historické dělení útoků DDoS
Simple Network Attack – relativně staré, ale proti nezabezpečeným serverům stále
dobře fungující metody. Tyto útoky se nazývají „floods“ a využívají velké množství
počítačů k zasílání ochromujícího množství síťového provozu na cíl útoku. Dochází ke
kolapsu cílové stanice, či firewallu před ní, ale výsledek je stejný – odstavení služby
z provozu. Využívání velkého množství počítačů při útoku značně komplikuje možnosti
blokování provozu, jelikož přichází mnohdy z celého světa. [21]
Mezi nejjednodušší typy „floods“ útoků patří SYN flood a connection flood, které
využívájí v případě SYN flood dlouhého time-outu v třícestném handshake při
sestavování TCP spojení. Klient iniciující komunikaci odesílá na server SYN zprávu
buďto s neexistující IP adresou odesílatele (odpověď od serveru nedorazí) nebo na ACK
odpověď serveru klient prostě vůbec nereaguje. Jelikož server čeká na odpověď a
spojení udržuje po dobu nastavenou v SYN-RECIEVED time-outu, při opakování scénáře
dochází k vytváření nových spojení a zahlcování serveru. Conn flood využívá přetečení
tabulek u zařízení a softwaru pro monitorování spojení, například SPI firewally či
IPS.[22]
Například proti nezabezpečenému Linux serveru s Apache 2 web serverem způsobí pád
následující sekvence paketů:
Tabulka 1 Simple Network Attack
Útok | Metrika | Výsledek |
SYN flood | 1500 SYN za sekundu | Denial-of-Service |
Conn flood | 800 spojení | Denial-of-Service |
Opatření proti těmto jednoduchým DDoS spočívají v používání filtrování (firewall, UTM
atd.), zkrácení SYN-RECIEVED time-outu, použitím SYN cache nebo cookies, či
recyklováním nedokončených TCP spojení.
Modernější typy útoků většinou dosáhnou odstavení služby dávno předtím, než
dojde k přetečení pamětí, tabulek či vyčerpání šířky pásma na straně cíle. Mezi
sofistikovanější metody DDoS patří DNS útoky. Služba DNS je klíčovou službou internetu
a pokud je narušena její funkce přestává fungovat velké množství internetových služeb
na ní závislých. DNS servery jsou proto lákavým cílem útočníku, historicky bylo
pokušení násobeno nedostatečnou HW infrastrukturou na straně root DNS serverů. DNS
útoky se díky relativně jednoduché UDP struktuře protokolu vyznačují 2 hlavními body:
DNS útok se snadno generuje
DNS útokům je těžké se bránit
DNS útoků existují 3 typy:
UDP floods – snadné generování DNS UDP paketů vede k zahlcení na strané DNS
serveru, který musí všechny příchozí pakety vyhodnotit z hlediska validity a tím
spotřebovává HW prostředky. Po vyčerpání prostředků se buďto restartuje nebo
začne zahazovat příchozí pakety (mezi nimi i ty validní).[21]
Legitimní dotazy (NSQUERY) – Hierarchická architektura systému DNS
způsobuje občasnou nutnost rozeslat legitimní dotaz na další servery pro úplný
překlad názvu. To způsobuje nerovnováhu ve vytížení infrastruktury, jelikož na
jeden klientský dotaz musí odpovídat více serverů. Této asymetrie je zneužíváno
během NSQUERY útoků. Velké množství zdrojových počítačů posílajících
specifické dotazy tak může způsobit zahlcení i velkého počtu DNS serverů.[21]
Legitimní dotazy na neexistující hosty (NXDOMAIN) – Nejsofistikovanější typ
DNS útoku. Validní dotaz na neexistující doménové jméno způsobí na straně DNS
serveru mnohem větší využití HW prostředků, než NSQUERY útok, protože server musí projít celou cache, zónovou databázi a často po nenalezení předá dotaz
dalšímu serveru a čeká na odpověď, což opět konzumuje prostředky. I pokud
server neselže na vyčerpání prostředků, dojde po určitém čase k přepsání všech
validních záznamů v DNS Cache za neexistující a tím k obrovskému zpomalení
odpovědí na validní dotazy. Proti těmto NXDOMAIN útokům je téměř nemožné se
bránit. V listopadu 2011 tento typ útoku vyřadil z provozu mnoho DNS serverů
po celém světě. Toto slabé místo zůstane využitelné, dokud ISC (Internet Systems
Consortium) nevydá opravný patch na BIND, software na kterém je většina
internetových DNS serverů založena.[21]
Dalším typek DDoS jsou http útoky. Ty se dají opět rozdělit na:
Floods –Na rozdíl od Simple Network Attack metod, které se snaží zahltit cíl
nevalidní komunikací, vypadá http flood útok jako standardní komunikace.
Z tohoto důvodu jsou nezachytitelné pomocí běžných firewallů a jednoduše dál
předávány web serverům. Tisíce až milióny útočících počítačů (botnety) posílají
http požadavky na server, dokud nezpůsobí jeho kolaps či extrémní zpomalení
odpovědí. Moderní firewally a UTM dokáží poměrně snadno na základě analýzy
http inspekce odhalit a odříznout tento typ útoku.[21]
Low-bandwidth HTTP denial of service attacks – Ochrany založené na analýze
provozu a http inspekci dokáže překonat překvapivě jednoduchý model útoku,
jakým je například Slowloris. Jednoduchý skript, který generuje a posílá na
server HTTP požadavky o minimální velikosti (typicky 5 bajtů) každých 299
sekund. Tím udržuje spojení aktivní a vytváří další a další, dokud nedojde
k přetečení tabulky spojení. Bylo otestováno, že proti standardnímu web serveru
se softwarem Apache 2.2.3 stačí otevřít 394 těchto spojení k dosažení DoS. Další
typy Low-Bandwith HTTP DoS ukazuje tabulka 6-2. [21]
Tabulka 2 Low-Bandwith http útoky
Útok | Cíl útoku | Popis |
Slowloris | Tabulka spojení | Pomalu posílá HTTP hlavičky k udržování spojení. |
Slowpost | Tabulka spojení | Pomalu posílá data (POST) k udržení spojení. |
HashDos | CPU | Přeplňuje hash tabulky v back-endovém SW. |
SSL renegotiation | CPU | Zneužívá asymetrii v šifrovacích operacích. |
6.3.3 Aktuální dělení DDoS útoků a jejich podíl na celkovém počtu
Podle aktuálních měřítek dělíme DDoS útoky na:
Infrastructure layer attacks
Application layer attacks
Infrastrukturní útoky, známé též jako volumetrické, se zaměřují na spotřebování šířky
pásma cíle. Tyto útoky cílí na prvky infrastruktury (DNS servery, NTP servery, firewally)
a v současnoti jsou dominantním typem DDoS útoků.
Nejčastěji zneužívanými protokoly pro tento typ útoků jsou Character Generator
(CHARGEN), Network Time Protocol (NTP) a Domain Name Systém (DNS). Frekvence
tohoto typu útoků závisí často na tvorbě nových nástrojů umožňujících snazší nebo
efektivnější provedení útoku. V prvním kvartálu roku 2014 značným způsobem vzrostl
počet útoku na NTP protokol (viz 6.3.1 útok na Cloudflare). Tento útok využívá slabé
místo ve staré implementaci NTP protokolu. Ačkoli byla již ve 2. polovině roku 2013
vydána směrnice IETF, popisující toto slabé místo, obrovské množství serverů zůstává
stále neaktualizované a tudíž zneužitelné tímto útokem. NTP útok je nebezpečný
především proto, že jde o takzvaný reflexivní útok. Reflexivní nebo také zesilovací
(amplification) útoky zneužívají slabá místa, která vedou k lavinovému šíření útoku.
V tomto případě se jedná o funkci MONLIST protokolu NTP, která žadateli vrací seznam
posledních 600 IP adres dotazovatelů. To v praxi znamená, že odpověď na tento dotaz je
až 206 krát větší než dotaz (v případě, že tabulka s adresami plná). Útočník, který má
k dispozici linku o kapacitě 1Gbps tak dokáže teoreticky vypustit útok s šířkou pásma více než 200Gbps. Útok na Cloudflare zneužil 4529 NTP serverů v 1298 různých sítích a
dokázal vygenerovat zátěž o velikosti 400Gbps. [30]
Útoky na aplikační vrstvě vyžadují k úspěšnému provedení vyšší úroveň znalostí
a sofistikovanosti. Nejsou nezbytně zaměřené na vyčerpávání propustnosti sítě. Na
rozdíl od volumetrických útoků se soustředí na odstavení konkrétní aplikace či služby.
Tyto útoky jsou často nerozeznatelné od běžného http provozu a procházejí tak bez
povšimnutí skrz firewally i IDS/IPS řešení. Ještě hůře detekovatelné jsou útoky
využívající SSL šifrování. V poslední době byly zaznamenány úspěšné útoky využívající
reflexe (násobení účinku lavinovým efektem), vedené na servery s WordPress CMS.
Útoky na aplikační vrstvě představovaly do roku 213 asi 20 procent z celkového počtu
útoků. [30]
Porovnáme-li využití DDoS metodik mezi 1Q2013 a 1Q2014, dojdeme ke zjištění,
že aplikační útoky ztrácí (pokles z 20 procent na 13) na úkor infrastrukturních. To je
zapříčiněno především nárůstem obliby NTP a DNS útoků. Celkově je pokles výskytu
aplikačních útoků dáván do souvislosti především se zvýšenou náročností na jejich
provedení. Objevení nových nástrojů vhodných k vypouštění útoků na značný počet
nezáplatovaných NTP a DNS serverů, tomu přispělo značnou měrou.
Obrázek 17 Procentuální zastoupení DDoS útoků
TOP 10 zemí, ze kterých přicházejí DDoS útoky
Obrázek 18 ukazuje aktuální procentuální zastoupení zemí, ze kterých pochází největší
část DDoS útoků. Spojené státy americké s 21 procenty vedou tomuto žebříčku, je zde
však jasně vidět celková převaha asijských států. To je dáno především masivním
rozvojem infrastruktury, obrovského počtu lidí připojených k internetu, velkému
množství botnetů a celkovému neřešení bezpečnosti. Spojené státy jsou na čele žebříčku
proto, že velká většina cílů DDoS útoků má datová centra právě v USA. Tato skutečnost
jednak usnadňuje provedení útoku a zároveň omezuje možnosti cíle se bránit zakázáním
komunikace z cizích států.
Obrázek 18 Zdroje DDoS útoků
Shrnutí možných opatření proti DDoS
Stejně jako v případě APT neexistuje proti DDoS ucelená „all-in-one“ ochrana. V boji
proti DDoS je nutné nasazení více kooperujících nástrojů a v případě velkých firem
disponujících vlastními datovými centry a velkou šířkou pásma připojení k internetu
dokonce spolupráci s poskytovateli připojení a společnostmi specializujícími se na boj
proti DDoS, jako je Akamai/Prolexic.
Kombinace inteligentních nástrojů pro monitoring a analýzu provozu, které
dokážou oddělit nežádoucí provoz od validního s pokročilými UTM firewally či dokonce
specializovanými DDS aplikacemi (DDoS Defense System) dokáže efektivně čelit cíleným DDoS útokům. V rámci internetu je nutné posilovat HW root DNS serverů a aktualizovat
aplikační vrstvy, na kterých jsou tyto služby provozovány.
Firewally
Firewall je v počítačové terminologii zařízení nebo software, který kontroluje příchozí a
odchozí komunikaci na základě stanovených pravidel. Firewall stanovuje bariéru mezi
sítěmi nebo i jednotlivými počítači. Ať už se jedná o bariéru mezi internetem a vnitřní
důvěryhodnou firemní sítí nebo mezi 2 subnety vnitřní sítě, vždy zastává funkci
eliminace nežádoucí komunikace. Firewall nebo jeho části dnes obsahují operační
systémy, routery či domácí AP, ale samozřejmě existují i specializovaná HW a SW řešení,
která poskytují mnoho sofistikovaných funkcionalit a různé úrovně výkonu. Firewally
prodělaly poměrně výrazný vývoj.
7.2 Paketové filtry
První zmínka o počítačovém firewallu pochází z roku 1988, kdy inženýři z Digital
Equipment Corporation (DEC) vyvinuli první systém k filtrování paketů. V Bellových
laboratořích AT&T pokračovali ve výzkumu pánové Bill Cheswick a Steve Bellovin.
Vyvinuli pro firmu AT&T vlastní funkční model paketového filtru založený a
architektuře DEC.
Paketový filtr funguje na principu inspekce každého příchozí paketu. Zjištěné
zdrojové a cílové adresy, protokol či TCP/UDP port porovnává s pravidly. Pokud je paket
vyhodnocen jako nežádoucí, dochází k jeho zahození (discard) nebo odmítnutí (reject).
Při odmítnutí paketu je odesílateli odeslána zpráva o zamítnutí přístupu, při zahození
nikoli. Jelikož tyto firewally neřeší stavy spojení, nazývají se také „stateless“. Bezstavové
firewally pracují majoritně na 2. a 3. vrstvě OSI modelu, 4. vrstvu využívají pouze
v pravidlech s použitím TCP a UDP portů. [23]
7.3 Stateful Packet Inspection (SPI Firewally)
V návaznosti na výzkum v AT&T Bell Laboratories pokračovali pánové Dave Presetto,
Janardan Sharma a Kshitij Nigam ve vývoji a na začátku 90. let vyvinuli druhou generaci
firewallu – Circuit-level gateway. Firewally druhé generace dělají vše co stateless verze,
ale naplno využívají transportní (čtvrtou) vrstvu OSI modelu. Na rozdíl od bezstavového
firewallu, který kontroluje každý paket zvlášť, stavový firewall zachytává pakety, dokud
nemá dostatek informací o stavu dané komunikace. SPI tedy funguje tak, že firewall
zaznamenává procházející pakety a zjišťuje, zda jde o paket iniciující spojení, patřící do existujícího spojení nebo nepatřící do žádného spojení. Ačkoli firewall stále používá
statická pravidla, nyní mohou obsahovat podmínky pro testování stavu spojení.
Jak bylo zmíněno v sekci 6.3.2 , je tento typ firewallu potenciálním cílem DDoS
útoků. Útoky využívají právě nutnosti ukládání informací o stavu spojení. Tyto tabulky
nejsou neomezené a v případě zahlcení pakety s falešnými spojeními dojde k vyčerpání
místa v tabulce a následnému odepření i validních spojení. [23]
7.4 Aplikační firewally
Třetí generaci firewallu vyvinuli v devadesátých letech pánové Marcus Ranum, Wei Xu a
Peter Churchyard a pojmenovali ji Firewall Toolkit (FWTK). Je zřejmé, že aplikační
firewall pracuje na sedmé, tedy právě aplikační, vrstvě OSI modelu. Klíčová výhoda
aplikačního firewallu je, že dokáže interpretovat protokoly 7. vrstvy, jako jsou FTP, http,
DNS a další a v podstatě rozumí dané komunikaci. Firewall tak dokáže rozpoznávat i
nechtěnou komunikaci snažící se obejít pravidla odesíláním komunikace na povolených
portech. [23]
7.5 Next Generation Firewally (NGFW) a UTM
Evolucí aplikačních firewallů a kombinací dalších bezpečnostní i síťových služeb vznikla
v nedávné době nová generace bezpečnostních řešení. Vzhledem k množství sdružených
funkcí se již nejedná pouze o firewall a pro tyto řešení se vžilo pojmenování Unified
Threat Management.
Můžeme se též setkat s pojmem NGFW – Next Generation Firewall, nejedná se
sice o synonyma, ale obě koncepce se v mnohém překrývají. UTM firewally se primárně
snaží o centralizaci zabezpečovacích mechanismů do jednoho HW, či SW řešení. Většina
reálných produktů integruje pod pojmem UTM firewall dříve diskrétní zabezpečovací
mechanismy jako je antivirus, anti-malware, anti-spam, IPS a IDS, web-filtering a
samozřejmě klasický SPI firewall, doplněný o možnost práce s pravidly na sedmé
(aplikační) vrstvě ISO-OSI modelu.
NGFW také kombinují různá bezpečnostní řešení, ale soustředí se především na
integraci s firemní infrastrukturou. Úzká spolupráce s Active Directory, DHCP a DNS
službami umožňuje centrální management a pravidla založená přímo na uživatelských
účtech AD.
UTM i NGFW řešení jsou k dispozici jako SW i HW appliance. U softwarových
produktů jde buďto o běžnou instalovatelnou aplikaci nebo embedded produkt
s vlastním, většinou Linuxovým, operačním systémem nasazovaným na holé železo či do
virtuálních prostředí. HW appliance využívají univerzální ARM procesory a vlastní
sestavení linuxových jader. Výrobci nejmodernějších a nejvýkonnějších hardwarových
UTM řešení si navrhují a nechávají na zakázku vyrábět vlastní ASIC (aplication-specific
integrated circuit) čipy, obsahující vlastní specifické sady instrukcí. Takto
optimalizovaný hardware dokáže dramaticky zvýšit výkon UTM řešení. Koncentrace
bezpečnostních funkcí v UTM firewallech je značně náročná na výkon a v případě
nasazení na vysoce propustných linkách velkých společností by standardní ARM
hardware již narážel na výkonové limity. [23][24]
Rizika nezabezpečených aktivních prvků LAN
Zabezpečení firemních dat i komunikace je dnes věnována již značná pozornost. Často se
ale stává, že soustředění míří primárně na hraniční body sítě, servery, klienty a na
zabezpečení aktivních prvků sítě, jako jsou přepínače, směrovače, či přístupové body
bezdrátových sítí se zapomíná. Je potřeba si však uvědomit, že právě přes tyto zařízení
tečou veškerá zabezpečená i nezabezpečená data a jejich ponechání ve výchozím
nastavení přináší značná rizika, zejména pro útoky z vnitřní sítě.
Výchozí nastavení většiny aktivních prvků od renomovaných výrobců bývá do
značné míry nedostatečné. Přístup ke správě aktivního prvku je přednastaven
s triviálním, či dokonce žádným heslem a pro samotnou komunikaci s prvkem jsou
využity nezabezpečené protokoly jako HTTP, TFTP (Trivial File Transfer Protocol),
Telnet a SNMP v1/2c (Simple Network Management Protocol v1/2c). U přístupových
bodů bezdrátových sítí je v lepším případě deaktivováno rádio či přednastaven složitý
klíč zabezpečení, nicméně značná část uživatelů i správců ponechává ve výchozím
nastavení administrátorský přístup s triviálním heslem a dále se nesnaží zvýšit úroveň
zabezpečení podrobnějším nastavením. [25]
Stejná pozornost jako zabezpečení správy samotných zařízení, by měla být
věnována zabezpečení portů aktivních prvků, v případě firemních sítí tedy přepínačů.
Výchozí nastavení je v tomto případě zcela nezabezpečené, tedy ke switch žádným
způsobem nekontroluje, zda je připojované zařízení žádoucí, či nikoliv.
8.1 Přepínače a směrovače
Výchozí administrátorský přístup – Ponechaný výchozí login (Admin, root,
manager, superuser atd.) bývá nejčastějším slabým místem. Riziko ponechání
přístupu ke správě ve výchozím nastavení je zjevné. Útočník jakkoli připojený do
subnetu, ve kterém se nachází aktivní prvek, snadno pozná, o jaký konkrétní
produkt se jedná a následně si vyhledá (nebo zná) kombinaci výchozího jména a
hesla s získává tím okamžitě plnou kontrolu nad zařízením.
Telnet - Většina aktivních prvků má ve výchozím nastavení povolen přístup ke
vzdálené správě pomocí terminálového protokolu. Telnet je z principu
nezabezpečený protokol, komunikující mezi stanicí a aktivním prvkem zcela v režimu čitelného textu. V případě, že je útočník schopen zachytávat komunikaci
na síti (viz. kapitola 5.2.1 Odposlouchávání (zachytávání) síťové komunikace),
každý úspěšný pokus o přihlášení znamená úspěšné zachycení loginu útočníkem.
HTTP management interface – Všechny aktivní prvky sítě, jež disponují
možností konfigurace přes webové rozhraní, by měly být nastaveny pro výhradní
využití zabezpečeného HTTP protokolu (HTTPS). Ve výchozím stavu tomu tak
většinou není a přihlašování tak skýtá stejná rizika jako v případě Telnetu.
TFTP protokol – Tento protokol je zjednodušenou verzí FTP. Specifikace pochází
již z roku 1980. TFTP na rozdíl od FTP protokolu používá nespojovaný UDP režim
a v rámci jednoho přenosu lze vždy poslat pouze jeden soubor. Pakety navíc
putují po síti vždy po jednom a pak klient čeká na potvrzení druhou stranou, což
značným způsobem snižuje rychlost na linkách s dlouhou latencí. Nicméně takto
jednoduchost na druhou stranu znamená minimální požadavky na paměť i na
šířku pásma linky. Stejně jako v předchozích případech, rizikem použití tohoto
protokolu je jeho zcela nezabezpečená forma. V případě TFTP dokonce pro
iniciování spojení není potřeba žádné přihlášení.
SNMP v1/2c – SNMP je protokol pro správu zařízení komunikujících IP
protokolem. SNMP bývá využíváno aplikacemi pro hromadnou správu a
konfigurační management aktivních prvků, jako je HP ProCurve Manager.
V současnosti bývá ve výchozím nastavení aktivován protokol SNMP v2. Tato
verze používá pro čtení a zápis konfigurace takzvaná komunitní jména
(community names), ty jsou však po síti posílána v čitelné podobě a opět tak
vzniká riziko zachycení a zneužití pro škodlivé změny v konfiguraci.
8.2 Přístupové body bezdrátové sítě 802.11 (WiFi AP)
Obrovský nárůst využití přenositelných zařízení v podnikovém ICT postupně nutí IT
oddělení k nasazování bezdrátových sítí. To s sebou nese samozřejmě značná rizika,
jelikož především starší zařízení bez podpory moderních bezpečnostních standardů
poskytovala mnohá slabá místa.
Stejné riziko jako u přepínačů a směrovačů tvoří ponechané výchozí hodnoty
zařízení. Slabé, či žádné heslo u administrátorského účtu znamená snadnou a rychlou
cestu získání kontroly nad zařízením, potažmo probíhající komunikací. Další rizika jsou již odlišná vzhledem k charakteru bezdrátového připojení. První verze zabezpečovacích
mechanismů bezdrátových sítí, tedy WEP a WPA-PSK.
Wired Equivalent Privacy (WEP) je standard zabezpečení pocházející z roku 1999
kdy byl vydán standard 802.11, definující bezdrátové počítačové sítě. Jeho implementace
však obsahovala mnohé chyby a i přes rychlé a široké rozšíření byl rychle nahrazen
překlenovací technologií WPA (WiFi Protected Access), jelikož se ukázalo, že tato
technologie je velmi slabá. Problém WEP šifrování v krátké délce klíče. Původní
implementace WEP šifrování používala kvůli americkým limitům na vyvážení šifer
pouze 40 bitové klíče proudové RC4 šifry. To vedlo k tomu, že při dostatečně
intenzivnímu provozu na síti bylo možná v relativně krátké době zachytit opakující se
klíče a tím prolomit zabezpečení. [27]
Technologii WEP nahradilo šifrování WPA. Z hlediska rizik v podnikové síti je to o
něco lepší než u WEP, nicméně pokud je to možné, doporučuje se používat WPA verze 2
nebo alespoň WPA v kombinaci s 802.1x autentizačním serverem. Zásadním problémem
u WPA je totiž relativní náchylnost na slovníkové a silové útoky v případě použití
varianty PSK (pre-shared key) v kombinaci se slabým heslem.
Možnosti zabezpečení aktivních prvků LAN
Tato kapitola se zabývá možnostmi zvýšení zabezpečení firemní sítě proti útokům
zevnitř. Ve firemní síti není důležité zabezpečení proti neoprávněnému přístupu pouze
z důvodu ochrany proti cíleným útokům, ale i proti připojování cizích zařízení, byť jejich
primárním účelem není snaha o škodlivou činnost. Soukromá zařízení zaměstnanců,
notebooku třetích stran (servisní firmy, zákazníci či dodavatelé) jsou potenciálním
zdrojem problémů pro každého administrátora. Jelikož o těchto zařízeních a jejich stavu
z principu nic nevíme, není žádoucí jim povolit přístup do stejné sítě, jako sdílí zbytek
firemní infrastruktury. Z tohoto důvodu je vhodné nasadit ve firemní síti takové
technologie, které umožní kontrolu nad autorizací zařízení.
V návaznosti na předchozí kapitolu se tak věnujme základním procedurám
zvyšujícím zabezpečení aktivních prvků. Kapitola kopíruje body předchozí kapitoly, ale
obsahuje konkrétní alternativy k nezabezpečeným protokolům a doporučená nastavení.
9.1 Přepínače a směrovače
Terminálový protokol je dobré v zařízeních zcela zakázat a pro vzdálený přístup ke
konzoli vždy používat zabezpečenou verzi. Většina moderních směrovačů a přepínačů k
tomu poskytuje protokol SSH (Secure Shell). SSH to je protokol, který vznikl pravě
v reakci na úspěšné útoky odchytáváním hesel. Jedná se o protokol pro zabezpečený
přístup k příkazovému (shell) řádku vzdáleného systému. SSH využívá pro zabezpečení
komunikace asymetrické šifrování, v aktuální verzi SSH-2 se konkrétně jedná o výměnu
klíčů pomocí Diffie-Hellman algoritmu. [26]
Stejným způsobem je třeba přistoupit k zabezpečení dalších metod komunikace
s managementem prvku. V případě webového rozhraní je vhodné zakázat HTTP
protokol a využívat pouze zabezpečenou HTTPS verzi. TFTP klient a server v síťovém
zařízení by měl být vypnut a nahrazen SFTP (Secure File Transfer Protocol) a SCP
(Secure Copy Protocol), jež jsou součástí skupiny protokolů SSH. V případě použití
zabezpečených terminálových protokolů a protokolů pro přenos dat je potřeba zmínit,
že pro správnou funkci je potřeba mít nainstalovány aplikace podporující tyty protokoly.
V případě SSH terminálu je zřejmě nejrozšířenější aplikací Putty. Pro přenos dat pomocí
SCP či SFTP lze s úspěchem využít programy WinSCP nebo FileZilla. V případě, že chceme využít možnosti správy pomocí SNMP, je vhodné vypnout v zařízení verze v1 a 2
tohoto protokolu a používat pouze verzi 3, která je taktéž zabezpečena asymetrickým
šifrováním.[25]
Další velmi dobrá technika k zabezpečení aktivních prvků sítě je použití
takzvaného Management VLAN (Virtual LAN). VLAN technologie slouží k logickému
oddělení broadcastových domén, tedy k virtuální segmentaci jinak fyzicky jednotné sítě.
Jak je zřejmě již patrné, Management VLAN slouží k vytvoření uzavřeného
vyjmenovaného počtu portů, přes které je možné se připojit ke správě zařízení. Tímto je
jasně dané, odkud se dá k zařízením připojit a v kombinaci s vhodným fyzickým
zabezpečením patřičných zásuvek je v podstatě eliminována možnost neautorizovaného
přístupu k aktivním prvkům. Pro prostředí, kde by bylo nasazení Management VLAN
příliš restriktivní, může být alternativou funkce IP Authorized Managers. Po aktivování
této funkce nám aktivní prvek nabídne možnost zadat omezený počet IP adres počítačů,
ze kterých je možné jej spravovat. Toto řešení je ale možné považovat za bezpečné
pouze tehdy, máme-li zajištěnou ochranu před zcizením identity těchto autorizovaných
počítačů.[25]
Na tomto místě je potřeba ještě zmínit zabezpečení proti ARP Spoofingu
(Poisoningu). ARP Spoofing je metoda útoku založená na podstrčení padělaného ARP
paketu aktivnímu prvku v síti. Kombinací MAC adresy cílového zařízení (například
serveru či výchozí brány) a IP adresy útočníka dojde v přepínači nebo směrovači
k vytvoření chybného záznamu v ARP tabulce. Tím útočník dokáže přesměrovat
komunikaci, která měla být určena pro původní cíl na svoji stanici. Druhý typ útoku na
ARP protokol je DoS, vzhledem k podstatě tohoto protokolu je možné generováním
velkého množství falešných ARP paketů docílit zahlcení tabulek aktivního prvku a
následnému odstavení jeho služby.
Obrázek 19 ARP Spoofing
Ochranu před tímto typem útoku je možné aktivovat přímo na většině podnikových
aktivních prvků. Zabezpečení se opírá o validaci spojení IP/MAC adres, porovnáváním
zdrojové fyzické adresy a adresy uvedené v paketu. Při detekování rozdílu není paket
předán dál. Autentizace přiřazení IP k MAC se provádí pomocí DHCP Snoopingu, tedy
ověření záznamu IP/MAC vůči databázi DHCP serveru. V případě zařízení
nepoužívajících dynamickou adresaci je nutné vytvořit v aktivních prvcích statické
mapování IP/MAC, jinak budou pakety těchto zařízení zahazovány. [25]
Obecně také platí to, že nepotřebné protokoly, služby a nepoužívané porty
bychom měli vždy vypnout/zakázat. Čím méně potenciálních míst ke zneužití, tím lépe.
Port security
Pod pojmem port security se skrývá zmiňované zajištění autorizace k síti připojovaných
zařízení. Technologie je známá také pod názvem Port-based Network Access Control
(PNAC) a popisuje ji dokument IEEE 802.1x. Zabezpečení přístupu k síti je definováno
jak pro kabelové sítě, tak pro bezdrátové 802.11 (technologie je k dispozici i pro další
typy sítí jako je FDDI, ale to je již nad rámec této práce). Na portu lze také nastavit
maximální počet MAC adres a chování při překročení tohoto čísla. V takové situaci je
možné na portu nastavit shutdown/restrict/protect funkce.
Obrázek 20 Funkce IEEE 802.1x protokolu
Z obrázku 9-1 je patrné, že komunikace klienta (Supplicant) se zbytkem sítě je
blokována dokud nedojde k ověření pomocí autentizačního serveru. Ověření začíná
předáním identity klientského zařízení aktivnímu prvku (většinou přepínači), ten ověří
získanou identitu u autentizačního serveru a následně udělí nebo odepře přístup do sítě
klientskému zařízení.
V roce 2005 upozornil zaměstnanec Microsoftu Steve Riley na potenciální slabé
místo autentizačního mechanismu. Po úspěšné autentizaci stanice je možné se do sítě na
stejném portu připojit, pokud má útočník přístup ke stanici a je schopný mezi port a
ověřenou stanici umístit rozbočovač (hub), dokáže se bez autentizace připojit k síti.
V místech, kde je vyžadována maximální bezpečnost je vhodné kombinovat IEEE 802.1x
s IPsec technologií.
Wifi AP
Zabezpečení bezdrátových přístupových bodů spočívá především v zajištění nemožnosti
připojení k síti neautorizovaným subjektům. V první řadě je důležité ve firemní síti (ale i
v případě domácího nasazení) neprovozovat stará zařízení nepodporující moderní
způsoby zabezpečení jako jsou WPA2 s AES šifrováním a podporou RADIUS autentizací.
Většina modernějších přístupových bodů sítí 802.11 je vybavena technologií
WPS. Tato technologie byla vyvinuta pro zjednodušení autentizačního postupu. Místo
zadávání složitých klíčů jde o jednorázové vygenerování přístupového PIN (8 číslic),
zpravidla iniciovaného stisknutím tlačítka přímo na zařízení. Vzhledem k zásadním
slabým místům autentizačního procesu (reálný počet kombinací klíčů pro WPS je
11000) je útok hrubou silou vedený na tuto technologii úspěšný do 4 hodin.
V podnikovém prostředí je tedy vždy nutné tuto funkci zakázat.
Stejně jako u ostatních částí tématu zabezpečení podnikové sítě, i zde je nutné
napřed vyhodnotit poměr mezi požadovanou bezpečností, nákladností na její
implementaci a následnou správu a potenciálním rizikem. Základní metody zabezpečení,
jež dnes nabízí téměř všechny bezdrátové přístupové body, budou dostatečné pro
většinu běžných provozních podmínek. K základním opatřením tedy patří nastavení
WPA2-AES šifrování (v případě PSK varianty s netriviálním klíčem) a samozřejmé
použití silného hesla u administrátorského účtu. Za zvýšení zabezpečení lze považovat i
skrytí SSID a omezení přístupu pro jednotlivá zařízení pomocí MAC adres, nicméně tyto
opatření jsou snadno překonatelná i pro zkušené uživatele, natož pro seriózní útočníky.
[28]
Podniky, které vyžadují maximální možné zabezpečení, mají k dispozici
robustnější řešení ve formě komerčních autentizačních RADIUS serverů či
specializovaných appliance pro monitorování a proaktivní zabezpečení bezdrátových
sítí. Příkladem může být produkt AirDefense. [31] Tato specializovaná řešení jsou však
značně nákladná a cena t+echto řešení se podle rozsáhlosti sítě požadovaných
funkcionalit pohybuje mezi 10 až 100 tisíci americkými dolary. [29]
Praktická ukázka nastavení switche/WiFi AP
Pro účely této kapitoly uvažujeme hypotetickou společnost s 150 počítači, 3 fyzickými a
30 virtuálními servery na platformě VMware. Firma se zabývá běžnou kancelářskou
prací, ale disponuje důležitým a vysoce hodnoceným know-how v podobě
elektronických dat, která je třeba důkladně zabezpečit z pohledu síťového provozu.
Z celkového počtu 150 počítačů je 50 přenosných (notebooky, tablety), připojených
k firemní síti bezdrátově. V této práci se nezabýváme samotnou konfigurací a
optimalizací sítě. Předpokladem je tedy zcela funkční síť s DHCP, pouze
s bezpečnostními nastaveními ve výchozích hodnotách výrobce. Jelikož síť využívá
technologie od jednoho výrobce, firma disponuje softwarem pro hromadnou správu
aktivních prvků HP Intelligent Management Center.
Obrázek 21 Síťová topologie
Síťová architektura je dvouúrovňová, skládající se z 2 core přepínačů HP ProCurve řady
5800 spojených za pomoci technologie Intelligent Resilient Framework (IRF). IRF je v
podstatě virtualizace síťových prvků. Umožňuje propojení více zařízení do jednoho
transparentně vystupujícího prvku, se všemi výhodami, které z toho plynou. IRF stack nabízí výhody redundance, jednotné správy a monitoringu, snadné a rychlé
rozšiřitelnosti. V neposlední řadě přináší IRF technologie cenovou efektivitu, díky
možnosti využít v podstatě „pay-as-you-go“ metodiku.
Distribuční přepínače zajištující připojení klientských zařízení se skládají HP
ProCurve 2910al 48G, které poskytují vysokou propustnost a zároveň dostatečnou
funkční vybavenost pro požadovanou úroveň zabezpečení. Pro pokrytí firemních
prostor bezdrátovou sítí slouží zařízení HP MSM430 Dual Radio 802.11n Access Point,
které disponují dostatečným výkonem, možnostmi správy a je možné je rozšířit o
detekční čidla IDS/IPS systému.
10.1 Postup pro zabezpečení - přepínače
Začneme registrací všech aktivních prvků v softwaru pro hromadnou správu. Zde je
z hlediska názornosti použit konkrétní produkt jedné značky, nicméně obdobné
produkty nabízejí všichni velcí výrobci síťového vybavení, případně je možné využít i
produkty třetích stran, které dokáží za cenu náročnější prvotní konfigurace zastřešit i
nehomogenní systémy.
Po zprovoznění centrálního managementu je nezbytně nutné vyřešit výchozí
nastavení přístupových práv (viz. kapitola 8 a 9). Nyní jsme schopni z jednoho místa
změnit heslo, případně výchozí pojmenování uživatelských účtů na všech prvcích naráz,
a to také uděláme.
Následuje vypnutí nepotřebných služeb a protokolů, opět na všech zařízeních.
Vypínáme především nezabezpečené metody přístupu ke správě a ponecháváme pouze
ty, které budeme skutečně využívat. Vzhledem k nasazení centrálního managementu je
vhodné zcela vypnout webové rozhraní aktivních prvků, jelikož veškeré funkcionality i
monitoring máme dostupný z jednoho místa. V tomto bodě je dobré promyslet i úroveň
fyzického zabezpečení jednotlivých přepínačů, ne vždy je možné je mít všechny
pohromadě uzamčené v datovém centru. Často se ve větších firmách, či výrobních
prostorách naráží na limit délky metalické kabeláže (100m) a musí se tvořit páteřní
optické propojky do míst, kde není vždy možné zajistit stejnou úroveň fyzického
zabezpečení, jako v centrálním datovém rozvaděči. Především u těchto dislokovaných
prvků je vhodné zvážit vypnutí funkcí tlačítek předního panelu, jako je reset a obnova do
továrního nastavení.
Vhodné zvýšení bezpečnosti představuje vypnutí všech nepoužívaných portů
v přepínačích a zařazení všech portů firemní sítě do jiné, než výchozí VLAN (VLAN 1). U
aktivních prvků nadefinujeme novou VLAN, kterou použijeme pro funkci Secure
Management VLAN. Porty, které propojují aktivní prvky, zařadíme do této VLAN a
oddělíme tím běžný provoz od správy zařízení.
Na přepínačích aktivujeme funkci ARP Dynamic Protection. Ve spolupráci
s firemním DHCP serverem dochází k autentizaci ARP paketů. Ověřování se provádí
porovnáváním údajů z paketu a whitelistu DHPC. Nastavení této ochrany chrání síť
nejen proti ARP Spoofingu, ale také proti spuštění cizích (rogue) DHCP serverů v síti.
V centrální správě je po tomto základním nastavení zabezpečení vhodné zapnout
monitoring, případně nastavit vlastní pravidla pro notifikační mechanismus, abychom
dostávali včas informace o nestandardním chování či provozu na síti.
10.2 Postup pro zabezpečení – Wifi AP
Konfigurace bezdrátových aktivních prvků začíná stejně jako u přepínačů. Na všech
zařízeních je bezpodmínečně nutné změnit administrátorský účet a nastavit silné heslo.
Pokračujeme vypnutím všech nepotřebných služeb a zakázáním WPS autentizace.
Vhodné je přenastavení SSID na jméno nesouvisející s firmou. V případě, že je nutné
udržovat bezdrátovou síť viditelnou kvůli klientům, či jiným návštěvám, je rozumné
nakonfigurovat v AP takzvanou guest network, která je oddělena od firemní sítě a
poskytuje pouze přístup k internetu. DHCP v přístupových bodech zůstává vypnuté, tím
docílíme nutnost průchodu komunikace přes přepínače a z toho plynoucí ARP kontrolu.
V nastavení šifrování bezdrátové sítě zvolíme WPA2 s podporou AES. Následuje
ještě výběr možnosti autentizace a to buďto PSK (před-sdílený klíč) nebo autentizační
server. Naše hypotetická společnost nedisponuje daným serverem, tedy zvolíme
možnost PSK a nastavíme rozumně silné heslo (13 a více znaků). V případě, že bychom
měli k dispozici autentizační server, například RADIUS nebo TACACS+, je z hlediska
bezpečnosti a spravovatelnosti lepší tato volba. Centrální správa uživatelských
oprávnění a možnost rozšířit zabezpečení sítě o implementaci protokolu 802.1x, přináší
další úroveň zabezpečení.
Veškerá nastavení a souvislosti je nutné dokumentovat a přidat do bezpečnostní
politiky firmy. Konfigurace jednotlivých zařízení je potřeba zálohovat, pro případ jednoduššího nahrazení novým zařízením (pokud se jedná o výměnu za stejný typ). Je
také nutné vytvořit D&R plány a zdokumentovat procesy popisující, co dělat v případě
ohrožení.