LAN och säkerhet. Albin Blent och Wiktor Kettel. Linköpings universitet. Linköping 2011-02- 23

LAN och säkerhet Albin Blent och Wiktor Kettel Linköpings universitet Linköping 2011-02- 23

Sammanfattning Projektet syftar till att förklara hur vanliga datorattacker och datorintrång utförs, används och förebyggs. I rapporten kommer tre vanligt förekommande tekniker att diskuteras. Dessa är DoS (Denial of Service), MITM (Man in the Middle) samt portskanning. Vi visar hur dessa används och diskuterar hur man kan skydda sig mot dessa samt visar på enkla tillämpningar där vi själva har använt oss av vanligt förekommande program för att ge läsaren en känsla av vad som går att åstadkomma. Slutligen ger vi ett förslag på hur man som minimum bör bygga upp sitt hemmanätverk för att minimera risken med ett angrepp. Det vi har lärt oss av detta är framförallt ett ökat säkerhetsmedvetande och att bättre kunna förstå vad nätverksloggar och analysverktyg säger. Förord Rapporten är skriven för personer med övergripande kunskap inom datornät och internetprotokoll. 2

Innehållsförteckning 1. Bakgrund... 4 1.1. Syfte... 4 1.2. Metod och källor... 4 2. Hur säkerhetshål utnyttjas... 4 2.1. DoS- attacken... 4 2.2. Man in the Middle- attack... 6 2.3. Olika typer av angripare... 6 2.4. Brandvägg... 7 3. Hur man skyddar sig... 10 3.1. VPN och IPsec... 10 3.2. Skydd mot DDoS- attacker... 10 3.3. Skydd mot Man in the Middle- attacker... 11 4. Diskussion och slutsatser... 11 5. Referenser... 12 6. Bilagor... 13 6.1. Laboration Man in the Middle... 13 6.2. Laboration DoS- attack... 17 6.3. Terminologi... 21 3

1. Bakgrund Då LAN har blivit något även för var man utanför kontorslandskapen är det viktigt att förhindra obehöriga från att ta del av den informationen som utbyts inom nätverket. Det kan vara självklara saker som trafik till och från sin bank, men även personlig information såsom vilka webbsidor man besöker, e- post eller annan känslig information som man inte gärna vill att en tredje part obehindrat ska kunna ta del av. 1.1. Syfte Hur bygger man upp ett LAN för att vara säker på att kommunikationen sker säkert? Det kommer vi i vår rapport att redogöra för. Vi kommer också att gå igenom några vanliga säkerhetshål, hur de används av obehöriga för att ta del av information och hur man gör för att skydda sig. 1.2. Metod och källor Vi har använt oss av de vanligast förekommande programmen för att genomföra en MITM- attack (Cain and Able), ett försök till en DoS- attack (LOIC) samt portskanning (Nmap). Vi har använt böcker tillgängliga både via LiUB samt Google Books. Vad gäller övriga källor har vi i möjligaste mån försökt att hålla oss till artiklar publicerade av universitet, företag och högskolor som vi har ansett vara trovärdiga. 2. Hur säkerhetshål utnyttjas Ett säkerhetshål är någon form av svaghet som finns i ett datorsystem. Det kan vara alltifrån dåliga lösenord till olika typer av buggar i själva operativsystemet eller något annat program. En potentiellt illasinnad person kan utnyttja dessa sårbarheter för att i slutändan åstadkomma det som denne vill. 2.1. DoS- attacken DoS står för Denial of Service och en sådan attack går ut på att en ensam klient skickar värdelösa data- paket till en värd i syfte att ta upp värdens all kapacitet så att inga vanliga användare kan få tillgång till servern. Dessa attacker är nuförtiden inte så vanligt förekommande och utgör heller inget speciellt stort hot då dagens servrar ofta kan klara av den ändå ganska milda strömmen datapaket som DoS- attacken åstadkommer. En variant av DoS- attacken är den så kallade DDoS (DistributedDenial of Service) - attacken. Till skillnad från DoS- attacken så använder sig DDoS- attacken av fler klienter eller servrar för att tillsammans ta upp en servers all kapacitet, klienter som oftast är vanliga intet ont anande datoranvändare vars datorer har blivit infekterat av personen som vill organisera en DDoS- attack. Dessa infekterade klienter och servrar kallas ofta slavnät. Ett exempel på en DDoS attack är den så kallade SYN flood attacken. I en sådan attack instruerar attackeraren de klienter som han har i sitt slavnät att börja skicka TCP/IP SYN paket med felaktiga IP returadresser mot en webbserver. Varje SYN paket är en förfrågan till att öppna en TCP koppling. För varje sådan förfrågan svarar servern med ett SYN/ACK paket och försöker etablera en TCP koppling till den felaktiga IP- adressen. webbserver håller kvar varje SYN förfrågan i väntan på att få ett svar ifrån den felaktiga IP- adressen, eller till dess att förfrågan försvinner pga. timeout, på detta sätt blir servern till sist full med falska förfrågningar så att den inte längre kan användas av vanliga användare. 4

Hur sätter då attackeraren upp detta nät av infekterade klienter? Först och främst behöver man ett program som kan avfyra DDos- attacken. Ett program som ofta kallas zombiemjukvara som ligger på den infekterade datorn. Zombiemjukvaran måste kunna köras på många olika datorer, måste kunna arbeta på den infekterade datorn osynligt, måste kunna kommunicera med attackeraren eller ha någon form av nedräkningsmekanism till attacken och måste kunna avfyra attacken mot målet. För att attackeraren ska kunna distribuera attacken så måste han hitta en svaghet i ett stort antal system som administratörer och individer har missat att blockera där denne kan installera sitt program. Attackeraren behöver också en strategi för att hitta sårbara maskiner, ett begrep känt som scanning. Det är vanligt att zombiemjukvaran skapat av attackeraren får samma scanning process som attackeraren valt för att hitta de första maskinerna för att kunna leta upp fler maskiner att infektera när programmet väl ligger på en infekterad maskin. Denna process upprepas tills ett stort distribuerat nätverk av infekterade maskiner har skapats. Det finns olika sätt att skanna på. Attackeraren kan utforma sin zombiemjukvara så att den skickar vidare en kopia av sig själv till slumpmässigt utvalda IP- adresser. Denna teknik genererar stora mängder datatrafik som i sig kan skapa störningar. Attackeraren kan välja att först skapa sig en lista av potentiellt sårbara datorer. När väl attackeraren börjar scanningprocessen får varje infekterad dator en del av listan att jobba mot. Denna teknik tar generellt längre tid då man ofta vill göra insamlingen av listan under en lång period för att minska risken att bli upptäckt. Scanningprocessen sker där emot mycket snabbt vilket gör att det är svårare att upptäcka attacken innan det är för sent. Ett annat sätt att scanna på är att utforma zombiemjukvaran så att den koncentrerar sig på lokala nätverk. Attackeraren försöker sedan att få in mjukvaran i ett nätverk som är skyddat av en brandvägg. Väl förbi brandväggen så är ofta de andra datorerna i nätverket ganska oskyddade. Detta studeras i större detalj under rubriken Att bygga ett säkert LAN. 5

2.2. Man in the Middle- attack Figur 1 En Man in the Middle attack går ut på att attackeraren kapar paketflödet mellan två system. Till exempel TCP paketen mellan en klient och en server när klienten vill ha åtkomst till en hemsida som servern tillhandahåller. Efter att attackeraren har lagt sig mellan två system agerar denne som en proxy. På så vis få attackeraren möjlighet att läsa, skicka eller modifiera trafiken som går igenom denne. En Man in the Middle- attack i sig är väldigt lätt att göra då det ända man behöver är ett program som enkelt laddas ned via internet, så som Cain and Able, och tillgång till ett det lokala nätverk vars användare man vill utsätta för attacken. Med en Man in the Middle- attack kan man bland annat få reda på användarnamn och lösenord, ändra informationen som skickas ifrån en klient till exempel ändra hur mycket pengar klienten vill föra över. Detta förutsätter att offret använder sin banktjänst när angriparen slår till. Angriparen kan även skicka klienten till en annan sida än den offret tror sig vara inne på för att till exempel leda denne till en sida som ser exakt ut som dennes internetbanksida men är i själva verket en kopia av bankens sida som ligger på attackerarens egen webbserver för att på så vis komma åt kontoinformation. 2.3. Olika typer av angripare När man talar om en angripare är det vanligt att begreppet hackare används. Det är något som ofta har missförståtts och syftar egentligen på en datorentusiast vars intresse ligger i att förstå hur ett datorsystem fungerar på en grundläggande nivå. En mer korrekt benämning på en illasinnad angripare enligt entusiasterna själva är crackare. Alltså någon som försöker bryta sig in. (Löwgren, 2003) En datorsäkerhetsexpert som försöker finna sårbarheter i det egna systemet kallas för en white hat medan den redan bespottade crackaren brukar benämnas för en black hat. Något båda dessa grupper kan sägas ha gemensamt är kunskap om vad de håller på med. Att man skiljer mellan svart och vitt kommer från västernfilmsgenren där hjälten ofta ses bära en vit hatt medan skurken ofta bär en svart hatt. (SearchSecurity.com, 2009) 6

En person som däremot mest provar olika typer av program för att se vad som kan göras utan att ha den bakomliggande kunskapen om vad verktygen gör, eller är oförmögen att skriva sina egna program brukar få det inte alltför smickrande epitetet script kiddie. Begreppet syftar på att personen ifråga hämtar färdiga program eller andra mindre färdiga instruktioner, därav script. Med kiddie menas att personen är outvecklad i sin kunskap och mest är att betrakta som ett barn i sammanhanget. (Carnegie Mellon, 2005) Den typ som riskerar att ställa till mest problem för den utsatte är den sista gruppen, script kiddies. Detta då personerna som ligger bakom mest provar sig fram och ser vad som går med tillgängliga program. 1999 fick en juridikstuderande vid Lunds universitet sin dator fylld av barnporr, något som gick hela vägen till domstol där det visade sig att någon hade tagit sig in i hans dator via programmet NetBus. Ett typiskt exempel på vad en illasinnad person med rätt program och inte speciellt avancerade kunskaper kan åstadkomma. (Expressen, 2004) På senare år har det skett en skiftning i vad angriparen är ute efter. Tidigare var motivationen att kunna ta sig in i ett system och däri komma åt skyddad information. Nu sker intrången på en ekonomisk basis där attacker i syfte att komma åt företagshemligheter och kreditkortsinformation är drivkällan. Metoderna skiljer sig inte åt utan det är drivkraften bakom som har förändrats. Att den amerikanska militären så sent som 2010, Cyber Command, för att skydda amerikanska intressen på internet är ett tecken i tiden på att den vänligt sinnade informationsupptäckarens tid är över. (US DoD, 2010) 2.4. Brandvägg Det första skydd som man som användare bör använda sig av för att blockera otillåten åtkomst är en brandvägg. Som namnet antyder är syftet att skydda sig mot yttre hot. Det man vill åstadkomma med hjälp av en brandvägg är att enbart tillåta trafik dit den önskas och inte någon annanstans. En brandvägg kan verka på flera olika sätt, dels genom att blockera otillåten trafik som adresseras till en TCP eller UDP- port som inte är önskvärd. Brandväggen kan också enbart tillåta trafik som har initierats bakom brandväggen och således blockerar att starta en session utifrån. Därmed kan en brandvägg verka över ett stort spann av lager enligt OSI (Open Systems Interconnection) - modellen. (Wikipedia, 2008) Som administratör kan man välja att installera antingen en mjukvarubrandvägg i samtliga klientdatorer eller så kan man välja att installera dedikerad hårdvara som filtrerar trafik innan den når sin slutdestination. Alltså en hårdvarubrandvägg. Nackdelen med att ha en brandvägg installerad i en klient är att det drar kapacitet, något som en dedikerad lösning inte lider av. Hur skyddar då en brandvägg? Som nämnts i inledningen finns det två huvudkategorier av brandväggar, en mjukvarubrandvägg som installeras i en dator samt en hårdvarubrandvägg. Dessa två behöver dock inte skilja sig från varandra hur de faktiskt fungerar. Den tidigaste typen utav en brandvägg beskrevs 1988 av ingenjörer från Digital Equipment Corporation och är ett paketfiltreringssystem. Brandväggen läser av headern för varje paket som passerar brandväggen och programmet avgör då vad det är för typ av paket (TCP, UDP eller något annat), vilken adress paketet kommer ifrån och vart det är adresserat. Beroende på vilka regler som är uppsatta så 7

kommer paketet antingen att accepteras och skickas till dess destination eller så kommer det att förkastas. (Chesswick, 2003) Lösningen är primitiv i den mening att brandväggen inte alls läser av ifall paketet är del av en redan existerande dataström som eventuellt redan har tillåtits eller förkastats. Detta gör att en brandvägg av den första generationens paketfiltrerare måste analysera alla paket som passerar den, hela tiden. Då den också kan sägas vara dum är den också väldigt effektiv i att blockera åtkomst till säg en given TCP eller UDP- port. Denna lösning är vanligast i stora dedikerade brandväggar där man enkelt vill filtrera bort trafik riktad till vissa portar, exempelvis TCP port 23 för att blockera åtkomst till telnet. Internetleverantörer använder sig av denna lösning för att säkerställa så att deras kunder inte råkar dela filer med varandra över exempelvis SMB men tillåter de flesta andra portar så att kunden själv kan bestämma över vilken trafik som denne vill tillåta. (Chesswick, 2003) En mer avancerad typ av brandvägg är en som verkar på applikationslagret enligt OSI- modellen. En sådan installeras vanligen som ett extra program i en persondator, men kan också köras i en hårdvarubrandvägg. Då oftast som en proxyserver som läser av alla paket för att avgöra om det är önskvärd trafik eller inte. Hur detta avgörs, går att implementera på ett flertal olika sätt. Det vanligaste i fallet med en mjukvarubrandvägg är att användaren får avgöra om ett program ska få rätt att skicka och ta emot data över nätverket. Användaren bygger då sin egen specialiserade databas över tillåten nätverkstrafik. Risken är dock att användaren tröttnar på alla godkänningsförfrågningar från brandväggen och till slut godkänner allt för att undvika alla förfrågningar om godkännande som brandväggen kommer att fråga efter varje gång ett okänt program försöker skicka eller ta emot trafik. (Wikipedia, 2008) En bättre lösning är istället en lösning baserad på en färdig databas som innehåller en lista över betrodda program från tillverkaren där användaren vid behov kan tillåta trafik från icke- autensierade program. En sådan lösning har fördelen att användaren snabbt kommer igång med en säker lösning och inte behöver bli påmind om vilka program som vill få åtkomst till nätverket. Nackdelen är att den hela tiden måste uppdateras av tillverkaren för att säkerställa att nya program hanteras på ett korrekt sätt. (Shinder, 2007) Den normala hemanvändaren har dock ofta utan att denne vet om det säkert redan en hårdvarubrandvägg installerad. I princip samtliga nätverksroutrar sålda för privat bruk har någon form av paketfiltrerande brandvägg installerad som blockerar det mesta utom standardiserade portar för att säkerställa att man kan skicka och ta emot http- trafik över tcp- port 80. Det första en angripare gör för att försöka få åtkomst till ett annat nätverk är att använda sig av en så kallad portskannare för att upptäcka eventuella TCP/UDP- portar som användare via sin brandvägg inte har blockerat åtkomst till utifrån. Det kan röra sig om port 22 för att möjliggöra fjärrinloggning via SSH eller port 80 om det rör sig om ett nätverk med en http- server. Det allra vanligaste programmet heter 8

nmap och är ett kraftfullt portskanningsverktyg med en mängd möjligheter att kartlägga stora adresspann på kort tid. Figur 2 Figur 2 visar en portskanning gjord på en av rapportförfattarnas datorer med hjälp utav nmap. Här har datorn skannats inifrån det lokala nätverket och visar ett flertal öppna portar. Figur 3 Figur 3 visar en portskanning gjord mot samma dator som figur 2 visar, men denna gång körs nmap mot datorns publika ip- adress. Rapportförfattarens integrerade brandvägg svarar inte på ICMP- requesten utan förblir tyst och vid första försöket verkar det då som om ip- adressen är ogiltig och ingen dator existerar. Dock föreslår nmap att användaren skall prova att lägga till flaggan -Pn. Det programmet då gör är att det antar att ip- adressen existerar och försöker då undersöka vilka portar som är öppna. (Nmap 2010) När flaggan inte används väntar nmap på att ICMP- ping ska ge ett svar från specificerad ip- adress innan det går vidare med att kartlägga vilka portar som är öppna. Får nmap inget svar, avslutas programkörningen, vilket också framgår i figur 3. Figur 4 Figur 4 visar resultatet av körning med hjälp utav -Pn flaggan. Ip- adressen antas existera och nmap kommer nu att försöka kartlägga de 1000 lägsta TCP- portarna. I detta fall är samtliga stängda för 9

förfrågan utifrån och en eventuell angripare måste använda sig av en annan strategi för att lyckas angripa datorn. Författarna av nmap föreslår i instruktionerna till programmet att köra det som nedan om man har riktigt tråkigt en regnig eftermiddag. (Nmap, 2010) nmap -Pn -ss -p 80 -ir 0 open Programmet kommer då att leta efter slumpmässiga servrar med port 80 öppna, alltså webbservrar vilket också är ett sätt att hitta spännande webbsidor. Kommandot kan dock enkelt modifieras att exempelvis söka efter öppna portar på port 22, lägga till flaggan -O för att känna av vilket operativsystem den uppsökta datorn kör på. Detta kan utnyttjas för att använda sig av standardiserade inloggningsuppgifter utefter operativsystem för att på så vis försöka komma in i måldatorn. 3. Hur man skyddar sig 3.1. VPN och IPsec VPN (Virtual Private Network) är ett sätt att skicka kommunikation som om de skedde inom ett privat nätverk över internet. För att uppnå detta tar VPN hjälp av IPsec (IP Security). Man kan tänka sig att IPsec lägger sig som en extra header efter den vanliga IP headern för att kryptera data som överförs. Då routrar tar upp och skickar vidare paket sedda med IPsec headern hanterar routern paketet som om de vore ett helt vanligt paket och bra läser den vanliga IP headern. Det finns i princip två stycken olika protokoll som IPsec använder sig av. AH (Authentication Header) protokollet samt ESP (Encapsulation Security Payload) protokollet. ESP är det mest använda av de två då ESP ger förutom källautentisering samt dataintegritet även datasekretess sådan att ingen annan kan se vad som skickats förutom den avsedda mottagaren. Varje host eller router håller koll på en så kallad security assosiation (SA). En SA är en logisk två vägs koppling mellan varje host eller router som används inom VPN nätverket. Vad IPsec gör är att lägga till en ESP trailer i slutet av original IP paketet för att sedan kryptera detta med algoritmen och nyckeln som SA:n beskriver när detta är gjort läggs en ESP header till framför. Där efter läggs en autentiserings MAC till i slutet av paketet beskrivet av SA:ns algoritm och nyckel och till sist läggs en vanlig IPv4 header till i början av paketet. Resultatet av detta blir ett paket som ser ut som ett vanligt IP paket men som i själva verket är mycket svårt att för en utomstående att se datan som paketet transporterar. Användaren av IPsec kan även försäkra sig om att ingen har försökt att se paketet på vägen till sin destination. För att mottagaren ska förstå att detta paket ska behandlas som ett IPsec paket så byts det vanliga protokollnumret i IPv4 headern ut mot nummer 50. 3.2. Skydd mot DDoS- attacker För att skydda servrar mot DDoS- attacker så finns det i huvudsak tre olika typer av skydd. Skydd som förebygger en attack, skydd som agerar under en attack och skydd som efter attacken försöker identifiera attackeraren för att förhindra framtida attacker. 10

Det förebyggande skydd som finns är mekanismer som är designade för att se till att den attackerade servern inte slutar behandla vanliga användare. Dessa mekanismer kan vara striktare policy för resursfördelning eller att bidra med extra resurser vid en attack. Det skydd som finns att tillgå vid en attack är tekniker för att snabbt identifiera ett mönster av attackströmmen för att kunna filtrera ut det som kan vara en del av attacken. Detta medför att attacken förlorar styrka och kan förhoppningsvis se till att servern inte slutar behandla vanliga användare. Efter attacken är allt man kan göra att försöka spåra upp och identifiera attackeraren för att se till att han inte kan göra attacken igen. Dock så ger detta sällan något resultat. 3.3. Skydd mot Man in the Middle- attacker För att undvika att en attackerare ska kunna komma in i det lokala nätverket och kunna utföra sin Man in the Middle- attack så bör man använda sig av trådlösa routrar som kan hantera de starkare säkerhetsprotokollen så som WPA2 med ett starkt lösenord till. För att undvika att en attackerare väl inne i ett nätverk ska kunna få tag på användarnamn och lösenord kan man kryptera trafiken med t.ex. SSH eller VPN. Dock är det svårare att i förebyggande syfte skydda sig mot denna attack då attackeraren har i avsikt att leda dig till en falsk sida då du i själva verket ville nå en annan sida. Bästa skyddet i dessa fal är att alltid vara kritisk till en hemsida om den t.ex. ber om kontoinformation. 4. Diskussion och slutsatser De huvudsakliga slutsatser vi kunnat dra är följande: Det finns inget sätt att idag vara helt skyddad när det kommer till internetanvändning. Sidor på internet som man tror sig veta vara säkra behöver inte vara det. Att det med enkla medel är möjligt för alla att utvinna information ur ett nätverk. Att det utan större svårigheter går att störa ett nätverk eller en enskild server. Vad gäller det första skyddet mot en angripare som bör vara en brandvägg, är slutsatsen att det är en bra idé att som standard neka ICMP- requests från att bli besvarade för att låta sin ip- adress verka oanvänd men det är knappast ett fullgott skydd. Det kan dock vara en bra idé då en portskanning där man förutsätter att datorn existerar tar längre tid än en baserad på ICMP vilket figur 2 och 4 tydligt visar. I fallet med tillåten ping tog det knappa 6 sekunder att kartlägga datorns öppna portar medan det i fallet då man försöker utifrån och förutsätter att ip- adressen existerar tog det hela 401 sekunder. Och det för att analysera samma antal portar. Alltså, vill man kunna kommunicera säkert över internet är det inte enbart att koppla in sin nätverkskabel i datorn och blunda. Minimum för att kunna låta kommunikationen ske på ett någotsånär säkert sätt är att använda sig av minst en brandvägg för att filtrera bort mycket skräptrafik som finns där i syfte att leta efter svagheter i olika datorsystem. Man bör också vara medveten om att webbsidan man 11

besöker kan installera skadlig kod på datorn som man använder. Och att sidan man besöker inte alls behöver vara det den utger sig för att vara. Och den svagaste länken i ett i övrigt säkert uppbyggt system är den individuella användarens säkerhetstänk. Utan starka lösenord och en medvetenhet om riskerna kommer datorintrång att fortsätta. 5. Referenser Tryckta källor Kurose, Ross (2010). Computer Networking A TOP- DOWN APPROACH. Pearson Education. Stallings, William (2007). Network Security Essentials. Prentice Hall. Cheswick, William R. (2003). Firewalls and Internet security: repelling the wily hacker. Addison- Wesley. Shinder, Thomas W. (2007). The Best Damn Firewall Book Period. Syngress. Otryckta källor Acisonline (2004), Case study of network security design on a hypothetical ISP network. Elektroniskt tillgänglig: < http://www.acisonline.net/article_warren_270747.pdf> Hämtad: 2011-02- 16. Carnegie Mellon (2005), Security Quality Requirements Engineering (SQUARE) Methodology. Elektroniskt tillgänglig: <http://www.cert.org/archive/pdf/05tr009.pdf> Hämtad: 2011-02- 19 CISCO systems (2009), IT Service Provider Brings 802.1X Security to Wired Network. Elektroniskt tillgänglig: <http://www.cisco.com/en/us/prod/collateral/iosswrel/ps6537/ps6586/ps6638/case_study_c36-539649.pdf> Hämtad: 2011-02- 16. Expressen (2004), Offer för porrkupp, Mikael Ölander, november 2004. Elektroniskt tillgänglig: <http://www.expressen.se/1.153215> Hämtad: 2011-02- 19 Graham, Paul (2004), The word Hacker. Elektroniskt tillgänglig: <http://www.paulgraham.com/gba.html> Hämtad: 2011-02- 19 IETF (2000), Internet Security Glossary, RFC 2828, Internet Engineering Task Force (IETF), maj 2000. Elektroniskt tillgänglig: <http://tools.ietf.org/html/rfc2828> Hämtad 2011-02- 19 IETF (2000), Behavior of and Requirements for Internet Firewalls, RFC 2979, Internet Engineering Task Force (IETF), oktober 2000. Elektroniskt tillgänglig: <http://tools.ietf.org/html/rfc2979> Hämtad 2011-02- 19 12

Information Security Magazine (2009), Defenition - White Hat, SearchSecurity.com, september 2009. Elektroniskt tillgänglig: <http://searchsecurity.techtarget.com/sdefinition/0,,sid14_gci550882,00.html> Hämtad: 2011-02- 19 Insecure.Com LLC (2010), Nmap Reference Guide, publicerat på nmap.org, Gordon Lyon. Elektroniskt tillgänglig: <http://nmap.org/book/man.html> Hämtad 2011-02- 19 Interhack (1997), Introduction to Network Security. Elektroniskt tillgänglig: <http://www.interhack.net/pubs/network- security/> Hämtad: 2011-02- 16. Malmö Högskola (2000), Hacker culture(s), Jonas Löwgren. Elektroniskt tillgänglig: <http://webzone.k3.mah.se/k3jolo/hackercultures/origins.htm> Hämtad: 2011-02- 19 The Open Web Application Security Project (2009), Man- in- the- middle attack. Elektroniskt tillgänglig: <http://www.owasp.org/index.php/man- in- the- middle_attack> Hämtad: 2011-02- 19. US DoD (2010), Cyber Command Achieves Full Operational Capability, US Department of Defense, november 2010. Elektroniskt tillgänglig: <http://www.defense.gov/releases/release.aspx?releaseid=14030> Hämtad 2011-02- 19 Wikipedia (2008), Firewall (computing). Elektroniskt tillgänglig: <http://en.wikipedia.org/wiki/firewall_(computing)> Hämtad: 2011-02- 19 Wikipedia (2008), OSI model. Elektroniskt tillgänglig: <http://en.wikipedia.org/wiki/osi_model> Hämtad: 2011-02- 19 6. Bilagor 6.1. Laboration Man in the Middle Inledning En Man in the Middle- attack går ut på att man som attackerare lägger sig mitt emellan antingen två klienter eller en klient och en router. Vad attackeraren gör är att han tar upp och skickar vidare all trafik som går emellan de två punkterna, så kallad ARP- poisoning. Detta i sig kan skapa störningar i trafiken då det kan uppstå en flaskhalseffekt när trafiken går igenom attackerarens dator. När trafiken går igenom attackerares dator kan han inte bara snappa upp känslig information så som lösenord, han kan även dirigera om trafiken så att klienten som vill nå en viss hemsida kommer till en helt annan. Syfte med laborationen Syftet med laborationen är att i praktiken testa att utföra en Man in the Middle- attack. Se vad vi med vår begränsade kunskap kan få ut av att göra attacken. Se om vi kan få ut lösenord ifrån klienten när han besöker kända sidor så som facebook samt att försöka dirigera om klienten när han vill nå en specifik hemsida. 13

Utförande Till vår laboration använda vi oss av en dator med programmet Cain and Able (Oxid, 2011) som får agera attackerare, en trådlös router med internetuppkoppling och en mobiltelefon som vårt offer. Vi börjar med att försöka fånga upp lösenord då klienten loggar in på olika sidor. Vi ansluter klienten till det lokala trådlösa nätverket och startar upp Cain and Able på attackdatorn. Det första vi gör i Cain and Able är att sätta igång sniffern som letar upp allt som är anslutet i nätverket. Detta genom att först klicka på Start/Stop Sniffer och går sedan till fliken Sniffer. Väl där får vi säga till Cain and Able att lägga till alla anslutna enheter i listan. Detta genom att klicka på Add to list och sedan Ok. Vi kan nu se allt vad som finns i nätverket. Högst upp i listan med IP- adressen som slutar på 1 hittar vi vår router och längre ner hittar vi vårt offer med IP- adress som slutar på 12 och beskrivningen Nokia Danmark A/S som OUI fingerprit, vårt offer är alltså en Nokia mobiltelefon. Figur 5 Vi ska nu göra en ARP- poisoning. Vi går till fliken ARP, nere i vänstra hörnet, och åter igen klickar på Add to list. Vi får nu upp ett fönster där vi igen kan se det som finns i nätverket. Här ska vi ange vilka två maskiner vi ska lägga oss emellan. Vi väljer då routern i den vänstra menyn och offret (mobiltelefonen) i den högra och klickar sedan på OK. 14

Figur 6 I den övre halvan av fönster på den övre raden ser vi nu IP- och MAC- adress för routern och offret med status idle. Klickar vi nu på Start/Stop ARP, belägen bredvid Start/Stop Sniffer, så börjar trafiken mellan routern och telefonen gå igenom datorn med Cain and Able på och vi gör en så kallad ARP poisoning. Börjar vi nu surfa med offret kan vi se hur paketen går igenom datorn i Cain and Able i den undra halvan utav fönstret. Vi testar nu att logga in på följande sidor med telefonen: facebook.com, Tradera.com samt spray.se. Efter att ha loggat in på dessa sidor med mobiltelefonen klickar vi på fliken Passwords. Under denna flik sparar Cain and Able alla lösenord som offret för attacken har angivit under tiden som vi låtit ARP- poisoning varit igång. Här kan vi hitta de angivna användarnamnen samt lösenord till Spray.se och Tradera men inte till Facebook. (Youtube 2011) Figur 7 15

Vi ska nu försöka omdirigera offret när han försöker nå en viss hemsida för att skicka honom till en annan. Med utgångs punk från uppfångandet av lösenord går vi tillbaka till fliken ARP där vi på vänster sida finner en ikon som heter ARP- DNS. Klickar vi där försvinner vyn med alla paketen och istället ser vi en tom sida med rubrikerna Requested DNS name, Spoofing IP, #Resp. Spoofed. Vi klickar åter igen på Add to list och får upp en dialog ruta. I dialog rutan anger vi först vilken hemsida som vi vill att offret inte ska komma till under DNS Name Requested. I fältet under IP address to rewrite in respone packets ombeds vi fylla i IP- numret till den plats som vi vill att offret ska hamna på istället för att komma dit han ville. Kan man inte IP- adressen till den hemsida som vi vill att offret ska komma till kan vi klicka på resolve och sedan fylla i domännamnet så fyller Cain and Able i IP- adressen åt oss. Figur 8 Klickar vi sedan på OK så ser vi att vi har fått upp ett fält i rutan som tidigare var tomt. Där ser vi alla omdirigeringar av adresser som vi har gjort. Om vi vill kan vi lägga till fler. (Youtube 2011) Resultat Med hjälp av programmet Cain and Able har vi lyckats fånga upp trafik mellan två punkter. Denna trafik har vi avläst och kunnat hitta lösenord och användarnamn som offret i fråga angivit men inta alla. Vi har kommit åt uppgifter om användarnamn och lösenord till Tradera.com samt Spray.se men inte till Facebook. Vi har även kunnat få offret att komma till andra hemsidaor än de som han angivit. Diskussion Man in the Middle- attacker är lätta för en hyfsat obegåvad användare att utföra. Det finns video anvisningar som lätt går att följas på Youtube.com för att enkelt komma igång. Med denna attack kan attackeraren lätt få tillgång till lösenord och användarnamn som offret angivit på olika hemsidor men inte till alla. Vi har i vår laboration kunnat fånga upp lösenordet till två av de tre hemsidor som vi använt oss av. Den tredje hemsidan nämligen Facebook.com lyckades vi inte finna lösenord eller användarnamn till och detta på grund av att Facebook.com har en säkerhet som krypterar dessa uppgifter vilket gör det mycket svårare för en attackerare att fånga upp. Det i vår laboration tillsynes oskyldiga försöket till att omdirigera offret till en hemsida när han egentligen ville nå en annan kan i skälva verket användas till t.ex. komma åt bankuppgifter som annars kan vara väldigt svåra för en attackerare att komma åt. Detta genom att attackeraren sätter upp en 16

webbserver med en hemsida som ser precis likadan ut som offrets internetbank. När offret försöker logga in sig på sin internetbank kan attackerare utformat sin kopia av hemsidan att säga till offret något i stil med att Just nu har vi tekniska problem. Var vänlig att ange ditt kontonummer samt CVC- kod. och då offret i god tro anger dessa uppgifter till attackeraren. Vi upptäckte även att denna attack inte fungerar ifall offret har sidan som man vill omdirigera ifrån sparat i sitt cache- minne. Referenser Oxid (2011), Tillhandlahåller programmet Cain and Able. Elektroniskt tillgänglig: <www.oxid.it/cain.html> Hämtad: 2011-02- 18. Youtube (2011) ARP Poisoning with Cain and Able, Guide till hur man utför ARP Poisoning med programmet Cain and Able. Elektroniskt tillgänglig: <http://www.youtube.com/watch?v=zg- _Y17lKpg> Hämtad: 2011-02- 19. Youtube (2011) Cain and Able routing,guide till hur man får klienter att komma till andra hemsidor än de begärda med programmet Cain and Able. Elektroniskt tillgänglig: <http://www.youtube.com/watch?v=_jeliicagvy> Hämtad: 2011-02- 19. 6.2. Laboration DoS- attack Inledning En DDoS- attack går ut på att skicka ett stort antal förfrågningar från ett stort antal olika datorer till en ensam server eller router i försök att överbelasta mottagaren. En DoS- attack består av en eller flera attackerare, personer som organiserar DoS- attacken. Attackeraren tar hjälp av vanliga persondatorer runt om i världen som de infekterar med ett program som möjliggör att attackeraren kan få den infekterade datorn att skicka förfrågningar mot det av attackeraren utvalda målet. Dessa infekterade datorer kallas zombies. Om attackeraren lyckas kontrollera tillräckligt många zombies och får dem att samtidigt skicka förfrågningar mot en ensam server eller router kan resultatet bli att servern eller routern slutar fungera helt eller delvis. Syfte med laborationen Syftet med labben är för att se om vi själva kan belasta en server så pass mycket att den slutar fungera som vanligt samt att se vad som händer med den överbelastade routern. Utförande Utförandet blev något förändrat då vi från början ville försöka få till en massiv DDoS attack men vi insåg att vi av praktiska skäl blev tvungna att skala ned experimentet. Attacken har utförts mot en imac med 4GB ram, Intel i3 processor 3,06GHz. Webbserverprogramvara är Apache 2.2.15. Programmet som har använts för att attackera är LOIC (Low Orbit Ion Cannon), kördes 17

via en virtuell Windows XP i VMWare fusion. Attacken riktades mot Apache- servern som ej är virtualiserad. Resultat Figur 9 - Innan DoS Figur 9 visar arbetsbelastningen över en av rapportförfattarnas datorer innan DoS- attacken påbörjades. Större delen av processorn är outnyttjad (70,57%) och nätverkstrafiken relativt begränsad till enbart 5 paket/s då skärmdumpen togs. 18

Figur 10 LOIC Figur 10 visar gränssnittet för LOIC (Low Orbit Ion Cannon) precis när DoS- attacken har påbörjats. På väldigt kort tid har 129560 TCP paket adresserade till port 80 sänts iväg. 19

Figur 11 - Under DoS Under attacken är det i detta fall framförallt inte nätverkstrafiken som blir lidande men det märks på datorns processor att det är påfrestande. Arbetsbelastningen har stigit med 35,32%, från en overksamhet på 70,57% till 35,25%. Diskussion Om fler datorer hade kunnat delta vid vårt experiment hade vi troligtvis kunnat få servern att få svårare att klara av att hantera den mängd data som skickades till den. Och troligtvis är detta resultat totalt missvisande då attacken utfördes mot sig självt, alltså från en virtualiserad Windows XP installation mot värdoperativsystemet. Troligtvis är den ökade processorbelastningen enbart ett resultat av att det är tungt för datorn att hantera alla beräkningar som krävs för att hålla två operativsystem på samma gång där det ena dessutom bokstavligt talat försöker spotta ur sig så många TCP- paket som möjligt. 20