close

Вход

Забыли?

вход по аккаунту

?

Въведение в работата на рутерите

код для вставкиСкачать
CCNA Exploration
Accessing the WAN
Тема 4 част 1
Мрежова сигурност
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
1
Мрежова сигурност въведение
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
2
Термини 1/2
White hat – човек, който търси пропуски в
системите и мрежите и ги докладва на
собствениците, за да бъдат отстранени.
Black hat - човек, който търси пропуски в
системите и мрежите и ги използва за
свои цели, често за обогатяване.
Hacker – експерт програмист, в
последствие се е опорочило и описва пак
програмен експерт, но с криминални цели.
Cracker – вид Black hat.
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
3
Термини 2/2
Phreaker – човек, който прониква в телефонната
мрежа и я използва за неразрешени цели. Найчесто проникват чрез payphone и правят
безплатни далечни повиквания.
Spammer - човек, който изпраща голуми обеми
e-mail съобщения, с рекламна цел или за да
заразят домашните компютри и да ги използват
като платформа за препращане на ново голямо
количество съобщения.
Phisher – човек, който използва e-mail,
огледални сайтове или друг подход, за да
извлече важна информация като номера на
кредитни карти или пароли.
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
4
Атакуващите – подход 1/2
1.
2.
3.
4.
Разузнаване. Web-сайта на компанията IP
адрес на сървера анализ на секретния
профил на компанията (отпечатък).
Прихващане на цифрови данни. Следи
трафика и прихваща версията и номера на
порта на FTP сървера, mail сървера, уязвими
места на достъп до базата данни...
Получаване на достъп чрез манипулиране на
потребители. Разбиват лесни пароли, мамят
лековерни потребители...
Повишаване на привилегиите. След като
получат базов достъп, използват уменията си за
да повишат правата си.
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
5
Атакуващите – подход 2/2
5.
6.
7.
Прихващане на нови пароли и секрети. Като
използват способностите си и имат достъп до
вътрешния трафик, си осигуряват достъп до
добре пазени ресурси и данни.
Инсталиране на задни входове. Възможност
за влизае в системата, без да бъдата засечени
– незатворени свободни TCP или UDP потрове.
Използване на компрометираната система.
След като са влезли в системата, могат да
провеждат атаки към отделни хостове или
мрежи.
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
6
Балансиране на мрежите
От гледна точка на защитеност, мрежите
могат да се определят като:
Отворени
Рестриктивни
Затврени
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
7
Отворени мрежи
Лесни за конфигуриране и администриране
Лесни за достъп от крайни потребители
Низка цена на защитеността
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
8
Рестриктивни мрежи
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
9
Затворени мрежи
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
10
Политики на сигурност
Цели
Информира потребители, служители,
началници и др. за техните задължения по
защита на технологичната и
информационна собственост.
Определят механизмите, по които се
изпълняват тези изисквания.
Предписват процедура, по която се
конфигурират и преглеждат компютърните
системи за съответствие с тази политика.
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
11
ISO/IEC 27002 1/2
Формулира 12 основни направления за
разработване на стандарти за сигурност и
практики за управление на сигурността.
1. Risk assessment – оценка на риска
2. Security policy – политика на сигурност
3. Organization of information security – организация
на информационната сигурност
4. Asset management – управление на имуществото
5. Human resources security – защита на човешкия
ресурс
6. Physical and environmental security –
пространствена и физическа защита
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
12
ISO/IEC 27002 2/2
7.
8.
9.
10.
11.
12.
Communications and operations management –
управление на комуникациите и процесите
Access control – контрол на достъпа
Information systems acquisition, development, and
maintenance – придобиване, разработване и
управление на информационни системи
Information security incident management –
управление на информационната сигурност
Business continuity management – управление
на непрекъснат бизнес процес
Compliance - съгласуваност
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
13
3 основни фактора на
мрежовата сигурност
По отношение на мрежовата сигурност се
разглеждат 3 основни фактора:
Уязвимост (Vulnerability) – слабости в мрежите и
устройствата (рутери, суичове, устройства за
защита).
Заплахи (threat) – квалифицирани специалисти,
които имат интерес да използват уязвимостите.
Атаки
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
14
Уязвимост
3 направления:
Технологични
Конфигурационни
Политики на сигурност
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
15
Технологични слабости
TCP/IP
Операционните системи
HTTP, FTP и ICMP – напълно незащитени
SNMP, SMTP и Syn Flood – носят се от TCP
(незащитен)
Всички ОС имат уязвимости
Документирани са в CERT
Мрежово оборудване
Пароли, автентификации, рутиращи протоколи,
защитни стени
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
16
Конфигурационни слабости
Незащитени потребителски акаунти
(пренасят се потребителски имена и
пароли в незащитен вид)
Слабо защитени пароли за системен
достъп
Защити по подразбиране с дупки в
сигурността
Неконфигурирането на някои услуги и
протоколи носи рискове за сигурността
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
17
Слабости в политиките на сигурност
Недокументирани политики
Политически битки и териториални войни
пречат на прилагане на правилни
политики
Липса на логически контрол на достъпа
Инсталиране на нов софтуер и хардуер
без да се спазват политиките
Липса на план за поведение при бедствие
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
18
Заплахи по отношение на
инфраструктурата
Хардуерни – физическо повреждане на сървери,
рутери, суичове, кабели или работни станции.
От околната среда – температура, влажност.
Електрически – високо напрежение, волтови
дъги, нестабилно напрежение, загуба на
захранване.
Технически – лошо свързани електрически
кабели, лоши изолации, неправилно свързани
куплонзи, неправилно маркиране.
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
19
Мрежови заплахи 1/2
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
20
Мрежови заплахи 2/2
Unstructured Threats - Слабо квалифицирани, с
използване на готови хакерски програми, дори да
не нанесе сериозни вреди, компрометира
фирмата, собственик на сайта.
Structured threats - Квалифицирани, мотивирани
хакери, сериозни щети, трудни за отстояване.
External threats – от хора или групи извън
компанията, най-вече по интернет, варират от
аматьорски (unstructured) до експертни (structured).
Internal threats – разрешен достъп чрез акаунт
или физически достъп, варират от аматьорски
(unstructured) до експертни (structured).
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
21
Social Engineering
Social engineering – не изисква особени
познания и умения, базира се на личната
уязвмост на хората, реализира се чрез
бивши служители, подправени документи.
Phishing – форма на Social engineering,
подлъгват хората чрез e-mail или друго да
дадат номерата на кредитните си карти
или друга важна информация.
Защита – обучаване на потребтелите,
администратора – да блокира достъп от
подозрителни сайтове и получаване на
подозрителни съобщения.
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
22
Типове мрежови атаки
Разузнаване (Reconnaissance) – изучаване на
системи, сървери, уязвимости. Обикновено
предшества друга атака.
Достъп – стартиране на хакерски скрипт или
програма, която използва слабостите на системи
и приложения.
Отказ от обслужване (Denial of Service - DoS) –
блокират или повреждат мрежи, системи или
услуги. Стартират се със скриптове или хасерски
умения. Много опасни.
Worms, Viruses, and Trojan Horses
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
23
Разузнаване
Външно:
Интернет заявки за откриване на мрежовия адрес на
фирмата (сайта).
Откриване на свободни IP адреси чрез пингване на
всички адреси от мрежата на сайта.
Откриване на свободни Port адреси чрез
специализирани програми (Nmap или Superscan).
Вътрешни – подслушване
Прихващане на информация от пакетите (потр. имена,
пароли, данни).
Крадене – проникване в компютри и крадене на данни.
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
24
Предпазване от подслушване
Използване на суичове, а не хъбове, за да не
достигат фреймовете до всички.
Криптиране
Разработване и разпространяване на политики
за сигурност.
Например
SNMP v1 - не криптира събощенията, а SNMP v3
– криптира. Забранява се използването на SNMP
v1.
Криптиране payload-only, криптират се само
данните в TCP или UDP сегмента – рутери и
суичове могат да си четат служебната
информация, а аднните да са защитени.
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
25
Атакуване на достъпа
Атакуване на паролите
Подслушване (некриптран пренос), Програми с
използване на речници или на rainbow table
(вариации на възможни пароли).
Брутални (brute-force) – всякакви комбинации
от разрешени семволи.
Използване на “надеждни” външни
компютри за достъп до защитени среди.
Пренасочване на портове
Междиннна станция (Man-in-the-Middle)
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
26
Пренасочване на портове
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
27
Man-in-the-Middle
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
28
DoS атаки
Ping of Death – ping съобщение с голяма дължина
(>65,536) – само при старите ОС
SYN Flood - three-way handshake
E-mail bombs – много съобщения, блокират пощенския
сървер
Malicious applets - Java, JavaScript или ActiveX програми.
Примери:
SMURF attack
Tribe flood network (TFN)
Stacheldraht
MyDoom
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
29
SMURF attack
Много ICMP заявки до мрежов broadcast от
името на IP на атакувания рутер.
Всички компютри от мрежата отговарят с
ICMP пакет.
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
30
Архитектура на DoS атаките
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
31
Зловредни кодове (Malicious Code )
Червей (worm) – изпълним код, прави си
копие върху зарзения компютър, който от
своя страна заразява други.
Вирус – код, прикрепен към друга
програма, който изпълнява неразрешени
функции.
Троянски код – вирус, но написан така, че
да изглежда като нещо друго.
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
32
Защити
Антивирусни програми
Защитни стени
Пачове на ОС
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
33
Intrusion Detection and Prevention
Intrusion detection systems (IDS) –
контролира за атаки от мрежата и
изпраща записи към конзолата (може и на
друг компютър)
Intrusion prevention systems (IPS) –
предотвратява атаки чрез:
Prevention-Stops
Reaction-Immunizes
Технологията може да се прилага на
мрежово ниво, на хостово ниво и на двете.
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
34
Устройства и приложения за защита
Threat control – управлява достъпа до
мрежата, изолира инфектираните
системи, предотвратява проникването и
защитава от червеи и вируси. Устройства:
Cisco ASA 5500 Series Adaptive Security
Appliances
Integrated Services Routers (ISR)
Network Admission Control
Cisco Security Agent for Desktops
Cisco Intrusion Prevention Systems
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
35
Колелото на сигурността
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
36
Secure - защита
Защита от атаки
Филтриране на трафика
Intrusion prevention systems
Забрана на всички ненужни услуги
Сигурни връзки:
VPN
Дефиниране на нива на надеждност (външните
клиенти никога не са достатъчно надеждни)
Автентификация
Политики
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
37
Monitoring - наблюдение
Активни и пасивни методи за определяне
на възможностите за защита
Активен– преглед на лог-файловете на всеки
хост.
Пасивен - IDS устройство за автоматично
прихващане на опити за проникване
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
38
Тестване
Периодично се проверява сигурността
Използват се SATAN, Nessus, Nmap
Improvement - Подобрения
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
39
Рутерна сигурност
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
40
Роли
Представя мрежите и определя правилата
за достъп до тях
Осигурява достъп до мрежови сегменти и
подмрежи
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
41
Рутерите – обект на атаки
Ако конторлират рутера – могат да
реализират атаки навътре.
Ако имат достъп до рутеращата таблица –
могат да я променят и да прекъснат
връзката с някоя мрежа.
Преконфигуриране на филтъра на
трафика може да пропусне различни атаки
навътре.
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
42
Защита на потребителската мрежа
Физическа сигурност
Чести обновявания на IOS на рутера
Резервни копия на конфигурационния
файл и IOS
Забрана на всички неизползвани портове.
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
43
Стъпки за защита на рутера
1.
2.
3.
4.
5.
6.
Управление на сигурността на рутера
Защита на отдалечения
администраторски достъп
Запис на действията по рутера
Защита на услугите и интерфейсите на
рутера
Защита на рутиращите протоколи
Контролиране и филтриране на
мрежовия трафик
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
44
Управление на сигурността на рутера
Осигуряване на физическа сигурност
Криптиране на пароли
R1(config)# service password-encryption
Задаване на минимална дължина на
паролите
R1(config)#security passwords min-length дължина
Конфигуриране на пароли
R1(config)#enable secret 2-aRv-9y4
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
45
Защита на отдалечения админ. достъп
Пароли на VTY
Разрешаване само на достъп по един протокол (Telnet
или SSH)
R1(config)#line vty 0 4
R1(config-line)#no transport input
R1(config-line)#transport input [telnet | ssh]
Разрешаване за последния VTY на достъп само от
един адрес (на администратора) – AL
В случай, че хакер е блокирал останалите VTY сесии,
администратора винаги ще има достъп до рутера.
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
46
Защита на отдалечения админ. достъп
Ограничаване на времетраене на сесията след
приключване на активността (за да не стои блокирана
и без използване)
R1(config-line)# exec-timeout секунди
Защита от входящи атаки и блокиране на VTY сесии
R1(config)# service tcp-keepalives-in
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
47
SSH
Telnet - TCP port 23.
SSH - TCP port 22
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
48
SSH – конфигуриране
Задължителни
Hostname
Domain name
Asymmetrical keys
Local authentication
Незадължителни
Timeouts
Retries
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
49
Router(config)# hostname hostname
Router(config)# hostname R1
R1(config)# ip domain-name domain-name
R1(config)# ip domain-name cisco.com
R1(config)# crypto key generate rsa
Сиско препоръчва дължина на ключа >1024
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
50
Router(config)# ip ssh time-out seconds
Дефиниране на локален потребител
Router(config)# ip ssh time-out 15
Router(config)#ip ssh authentication-retries
integer
Router(config)# ip ssh authentication-retries 2
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
51
Свързване към SSH сървера
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
52
Защитени рутерни услуги
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
53
Уязвими услуги
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
54
Забрана на уязвими услуги
no service tcp-small-servers
no service udp-small-servers
no ip bootp server
no service finger
no ip http server
no snmp-server
no cdp run
no service config
no ip source-route
no ip classless
Shutdown – за неизползавните интерфейси
no ip directed-broadcast
no ip proxy-arp
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
55
Рутиращи протоколи
Некриптирани съобщения
Всеки, който има подходяща програма
(packet sniffer, например Wireshark) може
да прочете информацията. Рутиращите
системи могат да бъдат атакувани в 2
направления:
Разпадане на връзка
Фалшифициране на рутираща информация:
Създаване на зацикляне
Пренасочване на трафика с цел наблюдение
Пренасочване на трафика с цел изхвърляне
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
56
Защита на рутиращите протоколи Криптиране
1.
2.
3.
Криптиращ алгоритъм – популярен
Споделен (между рутерите) секретен
ключ
Съдържанието на пакета
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
57
Защита на рутиращите протоколи
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
58
Защита на RIP
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
59
Защита на RIP
1.
Спиране на рутиращите съобщения по всички интерфейси
2.
Спиране на неразрешен обмен на рутиращи съобщения
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
60
Защита на EIGRP
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
61
Защита на EIGRP
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
62
Защита на OSPF
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
63
Защита на OSPF
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
64
Cisco AutoSecure 1/2
Една команда, която изпълнява всички
действия за защита.
2 режима:
Interactive mode – позволява забрана и
разрешение на възможностите една по една.
(подразбиращ се режим)
Non-interactive mode – автоматично
изпълнява всички защити.
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
65
Cisco AutoSecure
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
66
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
otk_cisco@abv.bg
67
Документ
Категория
Презентации
Просмотров
29
Размер файла
1 480 Кб
Теги
1/--страниц
Пожаловаться на содержимое документа