- PowerPoint PPT Presentation

About This Presentation
Title:

Description:

Department name www.cz.ibm.com toky prov d n po Internetu ISSS 2003 – PowerPoint PPT presentation

Number of Views:34
Avg rating:3.0/5.0
Slides: 24
Provided by: IngStan
Category:
Tags: spoofing

less

Transcript and Presenter's Notes

Title:


1
Útoky provádené po Internetu
Department name
www.cz.ibm.com
  • ISSS 2003

2
Sofistikovanost útoku vs. znalosti útocníku
3
Typický sítový útok
4
Internetoví cmuchalové
  • Program pro odposlech dat sniffer
  • Útocníci používají sniffer pro
  • Analýzu obousmerného sítového provozu
  • Získání UserID Passwd (obvykle telnet, ftp)
  • Odposlech elektronické poÅ¡ty
  • Informace, procházející Internetem, mohou být
    odposlechnuty v kterémkoli mezilehlém segmentu
    síte
  • Kompromitovaný server muže ohrozit systémy v
    jiných cástech síte

5
Scan
  • Metody scanování umožnují
  • Zjistit OS a jeho verzi
  • Zjistit služby, spuÅ¡tené na daném serveru
  • Skrýt identitu (zdrojovou IP adresu) útocníka
  • Príklad Nmap
  • Connect scan zjiÅ¡tení otevrených portu (služeb)
  • snadno detekovatelný
  • Syn scan - neukoncený TCP handshake
  • UDP scan pomalý
  • OS fingerprint identifikace OS
  • Nmap má databázi cca 200 OS
  • Znalost OS verze umožnuje nalézt neoÅ¡etrená
    zranitelná místa

6
IP spoofing
  • Útocník používá vymyÅ¡lenou IP adresu v odchozích
    paketech
  • Umožnuje
  • Skrýt identitu pri provádení DoS útoku
  • Neoprávnený vstup do systému kontrolovaný IP
    adresou
  • HostA kontroluje IP adresu príchozích IP paketu
  • Jestliže zdrojová adresa patrí HostB, je umožnen
    prístup bez UserIDPasswd (tento logovací
    mechanismus používají napr. služby RLOGIN a
    RSHELL)

7
Buffer Overflow
  • Zpusobí pretecení interního bufferu a vloží
    vlastní program
  • Jednoduché - dostupné programy a podrobné návody

8
Útoky typu Denial-of-Service I.
  • Cílem útocníka je zneprístupnit systém pro
    oprávnené uživatele
  • Relativne snadný
  • Behem posledních let byla popsána rada DoS útoku
  • Programy pro DoS jsou dostupné na Internetu
  • VetÅ¡inu DoS útoku lze provádet anonymne (IP
    spoofing)
  • Typy DoS útoku
  • Obsazení prenosového pásma
  • Sítové aplikace mnoho agentu (DDoS), vÅ¡esmerové
    vysílání
  • Obsazení systémových zdroju
  • Zahlcuje zdroje serveru ? (SYN flood)
  • Využití vad v aplikacích
  • PoruÅ¡ené pakety, aplikacní data ? buffer overflow
  • Spoofing smerování/DNS/ARP
  • PoruÅ¡ení konzistence smerovacích/DNS/ARP tabulek

9
Útoky typu Denial-of-Service II.
  • Ping ODeath
  • Ping ICMP ECHO paket, max. Délka 64k-1 Bytes
  • Ping ODeath posílá pakety gt64kB (fragmentace,
    buffer overflow)
  • Muže zpusobit pád systému, reboot, nestabilní
    stavy
  • Ohroženy UNIX, MAC, NetWare, tiskárny, smerovace
  • SYN Flood
  • Využívá zranitelnosti TCP protokolu zpracování
    nových požadavku na spojení je nárocné na
    systémové zdroje
  • Útocník zaplaví systém požadavky na spojení na
    ruzných portech, s neexistující zdrojovou adresou
  • Napadený systém ceká na navázání spojení (SYN
    ACK), oprávnení uživatelé se nemohou pripojit
  • Land.C
  • Založen na bugu v TCP/IP protokolu
  • Útocník poÅ¡le TCP SYN paket se zdrojovou a
    cílovou adresou napadeného systému zdrojový a
    cílový port jsou stejné
  • Systém je zahlcen posíláním ACK segmentu ve
    smycce
  • Zranitelné jsou ruzné OS, smerovace, sítová
    zarízení

10
Útoky typu Denial-of-Service III.
  • Smurf
  • Útocník poÅ¡le ICMP Echo request na broadcast
    adresu, jako zdrojovou použije adresu napadeného
    systému
  • Napadený systém je zaplaven ICMP Echo Reply,
    dochází k zahlcení síte
  • Posílání ICMP Echo request rychlostí 400kb/s na
    200 pocítacu generuje 80Mb/s odpovedí (ICMP Echo
    Reply) smerovaných na napadený systém

11
Distribuovaný DoS - DDoS
  • Zesílení tradicních DoS útoku
  • V sítích, ze kterých je veden útok, mohou být
    instalovány stovky démonu provádejících DoS útok
  • Jedním útokem lze zabrat stovky Mbps
  • DDoS sestává z
  • Klientský program
  • Master server
  • Agenty (zombie) programy

12
Postup DDoS útoku 1
13
Postup DDoS útoku 2
14
Postup DDoS útoku 3
15
Postup DDoS útoku 4
16
Postup DDoS útoku 5
17
Cervi (Worms)
  • Nejznámejší
  • Code Red
  • Nimda
  • Zpusoby šírení (Nimda)
  • Klient ? klient pomocí e-mailu
  • Klient ? klient pomocí sdílení souboru
  • Web server ? klient pro prohlížení napadených WWW
    stránek
  • Klient ? Web server aktivním scanováním s
    využitím zranitelností MS IIS 4.0/5.0
  • Klient ? Web server aktivním scanováním s
    využitím zadních vrátek zanechaných cervy Code
    Red II a sadmin/IIS

18
Rychlost šírení Code Red
19
SANS Chyby IT profesionálu
  • Nejhorší chyby IT profesionálu z hlediska
    bezpecnosti
  • Pripojení systému k Internetu pred dostatecným
    zabezpecením (dodeláme to potom, ted už není
    cas).
  • Pripojení testovacích systému k Internetu s
    default uživatelskými oprávneními.
  • Nedostatecná nebo žádná instalace bezpecnostních
    záplat na známé zranitelnosti systému.
  • Používání telnetu, ftp a dalších neÅ¡ifrovaných
    protokolu pro prístup (management) k serverum,
    smerovacum, FW apod.
  • Predávání uživatelských hesel po telefonu bez
    dostatecné autentizace.
  • Nedostatecná nebo žádní implementace antivirového
    SW a IDS.
  • Nedostatecné bezpecnostní Å¡kolení koncových
    uživatelu.
  • Nedostatecné nebo žádné zálohování. Obnova dat ze
    zálohy není proverována.
  • Na serverech nejsou vypínány nepotrebné služby
    (ftpd, telnetd,finger,rpc,mail )
  • Chybná implementace FW, bezpecnostní politiky na
    FW, které nezabrání útokum.

20
SANS chyby managementu
  • Nejhorší chyby managementu z hlediska
    bezpecnosti
  • Delegování nedostatecne vyÅ¡kolených pracovníku
    pro administraci bezpecnosti. Nedostatecné zdroje
    (personální, financní).
  • Nepochopení bezpecnosti IS jako problému
    fungování organizace obvykle je problematika
    zužována na fyzickou bezpecnost.
  • Malá podpora kontinuálního udržování potrebné
    úrovne bezpecnosti obcasná instalace opravných
    kódu je pokládána za dostatecnou.
  • Instalace FW je pokládána za vÅ¡espasitelnou.
  • Neznalost hodnoty informacních aktiv (málo
    spolecností má dokoncenu analýzu rizik).
    Podcenování hodnoty dobrého jména organizace.
  • Problémy se casem vyreší samy.

21
Metodika bezpecnosti
  • Za úcelem konzistentního zpracování výsledku a
    jejich opakovaného použití k posouzení zmen v
    case používá IBM bezpecnostní metodologii
    založenou na Britském standardu 7799 "A Code of
    Practice for Information Security Management.

22
Služby IBM v oblasti bezpecnosti
23
  • Dekuji za pozornost
  • Ing. Stanislav Bíža
  • sbiza_at_cz.ibm.com
  • http//www.ibm.com/cz/services/bis/sec.html
Write a Comment
User Comments (0)
About PowerShow.com