DIG IN TO Nätverkssäkerhet
CCNA 1 1.- Inledning 1a.- Risker på Internet 1b.- Säkerhetsområde 1c.- Attack och försvasmetoder 2.- Nätverksinfrastruktur 2a.- Säkerhetskonfigurationer 2b.- SSH konfiguration 3.- Cisco IOS 3a.- Switchar och VLAN teknik 3b.- Grunder om VLAN 3c.- VLAN konfigurationer 3d.- VLAN routing 4.- IPv6
Agenda Vad innebär nätverkssäkerhet? Organisationens verksamhet Säkerhetsspecialister Primära ansvaret Utveckling i nätverkssäkerhet Dedikerade brandväggar Informationssäkerhet Interna hot Hackare och hacking 3
Attackmetoder Det finns många olika typer av attackmetoder som ett nätverk kan utsättas till än virus, maskar och trojanska hästar. För att mildra eller förhindra nätverksattacker är det nödvändigt att kategorisera först de olika typerna av attack. Genom att kategorisera nätverksattacker blir det möjligt att analysera de och utveckla specifika säkerhetsmetoder. I denna kurs klassificeras attacker i följande tre huvudkategorier: Spaningsattacker Åtkomstattacker DoS attacker. 4
Spaningsattacker Reconnaissance Attacks Otillåten kartläggning av system, tjänster eller sårbarheter i en organisations nätverk. Det används ofta Paketsniffare och portskanner skanner som är allmänt tillgängliga för gratis nedladdningar på Internet. "Information Gathering" eller informationsinsamling som oftast föregår DoS attacker. Ping för identifiering av IP adresser. Skanner av aktiva portar som tillåter trafik från olika protokoll Identifiera system identifiera tjänster 5
Spaningsattacker - Verktyg Packet sniffer - använder nätverkskortet i promiscuous mode för att fånga alla nätverkspaket i ett nätverk. När paketen inte är krypterade behandlas av lämpliga applikationer för att komma åt paketets innehåll (till exempel Wireshark). Ping sweep (fping och andra liknande verktyg) Port scans Man vill samla information om portar som lyssnar på specifika datatrafik Internet information queries diverse web-baserade tjänster som tillhandahåller information om företag/organisationer och deras domäner associerade till IP-adresser. 6
Åtkomstattacker Access Attacks Att utnyttja kända sårbarheter i autentiseringstjänster. Ordlexikon-attack för att räkna ut ett lösenord. Brute-force baseras på en inbyggd ordlista för att identifiera ett användarkonto eller lösenord. Efter en angripare kommer åt lösenordet verifieras kontots behörigheter genom att testa åtkomst till nätverksresurser. Om kontot har tillräcklig behörighet kan angriparen skapa en bakdörr för framtida åtkomst. Lösenordsattacker kan genomföras med hjälp av trojaner, IP spoofing och Paketsniffare. 7
Åtkomstattacker Access Attacks Spoofing är attacker som förfalskar en nätverksenhets identitet med syfte att komma åt tjänster och data. Spam, nätfisk (phishing), förfalskad webbsida, piratkopierat IP-adress, MAC-adress spoofing, ARP, DNS server spoofing. Prevention och Mitigation Packet filtering, Transport Layer security (TLS), Secure Shell (SSH), HTTP Secure (HTTPS). Exempel DNS spoofing 8
Åtkomstattacker Access Attacks Man-in-the-middle - En man i mitten utgör hotet: någon som tagit sig in mellan två parter som genomför en inloggning, utbyter information, avslutar ett köp eller kanske byter lösenord. Trust exploitation Servrar skyddas extra och klientdatorer mindre, men datorer har tilldelats behörigheter att komma åt servrar och via de kan angriparen komma åt servrarna. Port redirection - angriparen installera en applikation som omdirigerar datatrafiken. 9
DoS attacker Denial of Service eller överbelastningsattacker genom att skicka extremt stort antal förfrågningar som tvingar ett system att arbeta kontinuerligt tills den kollapsar. Det finns flera olika tillvägagångssätt att genomföra en DoSattack exempelvis genom att: missbruka en sårbarhet eller svaghet som får systemets programvara att krascha eller låsa sig sända så mycket trafik tills systemet eller applikation kollapsar sända så mycket skräptrafik så att legal/giltig trafik hindras att komma fram ändra systemets uppfattning om nätet eller användarna så att det inte kan fungera normalt 10
DoS attacker Distribuerad Ett stort antal datorer deltar i attacker till ett nätverk, en webbplats, ett datorsystem eller en webbtjänst. Paypal, Amazon, Visa, svenska banker, Arbetsförmedlingen, Polis, Telia och CNN är några exempel som drabbades. Idag riskerar även mindre webbplatser att angripas av den här typen attacker. Vid många tillfällen är det svårt att skydda sig mot ett angrepp eftersom brandväggar och försvarssystem ofta tolkar DDoS-attacker som normal trafik. Orsaken till det är att en attack består av flera ihopkopplade datorer, oftast vanliga användares som har kapats av kriminella. 11
DoS attacker Botnet Det första steget i en DDoS-attack är att angriparen kapar ett större antal uppkopplade datorer och skapar ett botnät. Användaren är i regel helt ovetande om vad som har skett och att dennes dator används för en DDoS attack. Datorerna kan ha installerade program som ligger vilande under en längre tid innan de aktiveras för att initiera attacken. Efter att ha skapat ett botnät kan angriparen skapa ett stort antal anrop så att samtidigt mängder av trafik skickas till målsystemet tills det låser sig eller kollapsa. 12
DDoS attacker - andra Ping of Death - en gammal exploit som gick ut på att man kunde krascha en dator genom att skicka för stora paket till den (ping -l 65600 hostip) Smurf Attack - angriparen skickar ICMP förfrågningar via en broadcast-adress till en router (amplifikations maskin) som vidarebefordrar till alla enheter anslutna till ett nätverk. Enheterna svarar och svämmar den attackerade maskinen. TCP SYN Flood - eller protokollutnyttjande attacker där klientdatorer begär kommunikation med en server och får en ACK paket tillbaka, men aldrig tackar ja paketet. 13
Kan dessa attacker upptäckas? Ja, genom att granska: loggar bandbreddsutnyttjande processbelastningar. Den nätverkssäkerhets policy bör reglera kontroller över loggar för alla nätverksenheter och servrar. Programpaket som Manage Engine EventLog Analyzer eller Cisco Secure Access Control Server (CSACS) sparar information om misslyckade inloggningsförsök till nätverksenheter. Cisco routrar och brandväggar kan konfigureras för att förhindra nya inloggningsförsök för en given tid. 14
Vem/vilka är hackare? en programmerare som försöker få obehörig åtkomst till enheter via Internet. en duktig programanvändare som utmanas själv att komma åt en organisations nätverksresurser. en som tränger sig i ett nätverk och stjäler information för att sälja. en som vill framföra sin politisk tänkande en som vill deformera eller förstöra data på en organisations servrar. en nätverkskunnig som använder sofistikerade Internet programmeringskunskaper för att se till att en organisations nätverkssäkerhet inte är sårbara för angrepp. 15