LINUXSOFT.cz Přeskoč levou lištu
Uživatel: Heslo:  
   CZUKPL

> Zabezpečte si síť I.

Budu se zabývat způsoby, jak si zabezpečit malou síť. V prvním, úvodním díle vás naučím, např. jak zamezit útočníkovi zneužití ARP protokolu ve svůj prospěch.

19.7.2010 00:00 | Petr Martinek | Články autora | přečteno 6102×

Počítačová síť je tak bezpečná, jak bezpečné je její nejslabší místo. Toto tvrzení je založeno na spoustě objevených i neobjevených bezpečnostních děr, které otevírají cestu k vašemu soukromí.

Sami si můžete vytvořit názor na to, jestli je dobré, aby existující bezpečnostní díra byla objevena nebo ne. Pokud je už objevena, určitě existuje způsob, jak ji „zneškodnit“, a nebo se o to alespoň někdo snaží (například vyvíjením bezpečnostních záplat). Je-li ale bezpečnostní trhlina je ještě neobjevená (nejspíš na objevení čeká), znamená to, že o ní nikdo neví. Nikdo se nesnaží ji nějak „ucpat“ a také ji (nejspíš) nikdo nebude u vás hledat. Tato situace se může překlopit do tří scénářů:

  • Bezpečnostní díra bude nalezena nějakým poctivým člověkem (nebo dokonce samotným vývojářem tohoto software), který o ní dá vědět těm správným lidem a oni vytvoří bezpečnostní záplatu.

  • Bezpečnostní díru najde nějaký „nadějný“ hacker, který si díky této díře vylepšil svůj „skill“. Potom už jen záleží na tom, jak rychle si toho někdo povolaný všimne nebo mu dá vědět a mohou začít tvořit záplatu, aktualizaci. Samozřejmě na rychlosti sledu těchto časových událostí závisí to, kolik počítačů/serverů stihne onen hacker nebo skupina hackerů zaneřádit (tím je např. nechvalně známý Microsoft).

  • Bezpečnostní díru nikdy nikdo nenajde. Logicky vám nemohu říci, kolik těchto „zvláštních úkazů“ existuje.

Největší riziko však na sebe většinou berou sami uživatelé a tvůrci sítí. Svojí neopatrností/neinformovaností nevědomky otevírají bezpečnostní díry, díky kterým mohou záškodníci získat přístup do sítě a následně i k počítačům a datům.

Záškodníci bývají vybaveni specializovaným softwarem a hardwarem, který automatizovaně provádí tuto „špinavou práci“ za ně.

Jak se ale bránit?

Na tuto otázku se vám pokusím postupně odpovědět v tomto seriálu na pokračování. Samozřejmě nemohu probrat všechny chyby, kterých se můžete dopustit (nebylo by to ani technicky možné). Popíšu jen ty nejčastější a nejnebezpečnější. To vám ale vynahradím tím, že vás naučím pracovat s automatizovaným softwarem pro hledání bezpečnostních trhlin a náchylností k útokům, který opravdu důkladně otestuje bezpečnost vašeho počítače, serveru, routeru...

Veškeré praktické ukázky budu provádět na (fiktivní) síti. Začnu s tím, že vám tuto síť představím. Je to malá síť, můžete si ji představit jako domácí nebo malou firemní síť (snažím se, aby si pod ní mohl každý představit tu svoji). Je to klasická síť hvězdicového typu, uprostřed je nějaký ten router, na který se připojují ostatní počítače. Síť také disponuje bezdrátovým přístupovým bodem WiFi.

Hlavním požadavkem bude, zamezit přístup případným záškodníkům do této sítě (teď budu řešit drátovou síť). Pokud opomineme to, že ,předpokládám, jen samotný přístup do budovy, kde se síť nachází, bude velmi těžký oříšek, i to se může stát (předpokládaný scénář je zneužití důvěry „návštěvníkem“, notebook). Záškodník se připojí do sítě a může například využít slabiny ARP protokolu k odposlechu veškeré komunikace v síti nebo dokonce k pozměnění komunikace v reálném čase. Nezvanému přístupu lze zabránit pevným nastavením MAC adres v routeru, kdy se každý počítač v síti identifikuje svojí jedinečnou MAC adresou a ostatní počítače prostě nejsou vpuštěny. Jde o takzvaný MAC adres filtr, bohužel většina levnějších routerů toto v rámci drátové sítě vůbec nepodporuje. Proto se tímto budu zabývat v některém z dalších dílu a aplikuji to na bezdrátovou síť.

Obrana proti zneužití ARP protokolu

Jednoduchým nastavením zamezíme zneužití ARP protokolu. ARP protokol se stará právě o přidělování MAC adres k IP adresám, toho může útočník využít tím, že „řekne“ routeru (bráně), že jeho MAC adresa patří k nějaké IP adrese počítače, který chce útočník odposlouchávat a právě díky slabině v ARP protokolu mu to brána (router) „sežere i s navijákem“. Pochopitelně je možné tímto způsobem odposlouchávat celou síť a to tak, že útočník „řekne“, že on je brána, tím pádem veškerý síťový provoz bude proudit skrz něj a on si s ním může dělat opravdu všechno. Dokonce se tímto způsobem dá „položit“ celá sít, i když jen krátkodobě, protože routery bývají většinou nastaveny tak, že periodicky za nějaký časový úsek obnovují veškeré informace o počítačích v síti. Pokud má útočník dlouhodobý přístup k síti, může ji „položit“ dlouhodobě.

Obrana tedy bude spočívat v tom, že my „přikážeme“ bráně (routeru), aby se držel ověřených informací o okolních počítačích, které mu ručně zadáme. To provedeme v nastavení routeru, bohužel vám nemůžu napsat nějaký univerzální návod, jak toto provést, každý výrobce routerů má uživatelské prostředí trochu jiné. Předvedu vám to na routeru od výrobce Tp-link. Pokud nevíte, kde toto nastavení hledat, podívejte se do manuálu (v „úsporných" manuálech dodávaných přímo s výrobkem nejspíš toto vůbec nenajdete, proto hledejte na stránkách výrobce).

Nejprve zjistěte MAC a IP adresy všech počítačů v síti, to provedeme například příkazem:

Linux: ifconfig

Windows: ipconfig /all

Potom v nastavení routeru přidělíme vždy k IP adrese počítače jeho MAC adresu. Toto nastavení nejspíš najdete někde v záložce nastavení DHCP serveru (pokud je zapnutý), mělo by tam být něco jako rezervování adres „Address Reservation", tak postupně zadávejte (přidělujte) MAC k IP adresám.

Vysvětlení:

Tímto jsme vytvořili statické záznamy v ARP tabulce, které útočník nemůže pozměnit.

Verze pro tisk

pridej.cz

 

DISKUZE

DHCP 22.7.2010 21:48 vama
DHCPD vs. ARP 25.7.2010 16:12 Aleš Hakl
  L Re: DHCPD vs. ARP 27.7.2010 00:10 Radim Kolář
    L Re: DHCPD vs. ARP 28.7.2010 16:08 Aleš Hakl
      |- Re: DHCPD vs. ARP 28.7.2010 22:33 Radim Kolář
      | L Re: DHCPD vs. ARP 30.7.2010 19:23 Aleš Hakl
      L Re: DHCPD vs. ARP 30.7.2010 20:22 Petr Martinek
        |- Re: DHCPD vs. ARP 31.7.2010 10:58 Radim Kolář
        | L Re: DHCPD vs. ARP 31.7.2010 11:21 Petr Martinek
        |   L Re: DHCPD vs. ARP 31.7.2010 20:55 Aleš Hakl
        L Re: DHCPD vs. ARP 31.7.2010 20:47 Aleš Hakl
          L Re: DHCPD vs. ARP 1.8.2010 08:56 Petr Martinek




Příspívat do diskuze mohou pouze registrovaní uživatelé.
> Vyhledávání software
> Vyhledávání článků

15.1.2018 0:51 /František Kučera

První letošní pražský sraz se koná již tento čtvrtek 18. ledna od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Vítáni jsou všichni příznivci svobodného softwaru a hardwaru, ESP32, DIY, CNC, SDR nebo dobrého piva. Prvních deset účastníků srazu obdrží samolepku There Is No Cloud… just other people's computers. od Free Software Foundation.


Přidat komentář

14.11.2017 16:56 /František Kučera
Máš rád svobodný software a hardware nebo se o nich chceš něco dozvědět? Zajímá tě DIY, CNC, SDR nebo morseovka? Přijď na sraz spolku OpenAlt – tradičně první čtvrtek před třetím pátkem v měsíci: 16. listopadu od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5).
Přidat komentář

12.11.2017 11:06 /Redakce Linuxsoft.cz
PR: 4. ročník odborné IT konference na téma Datová centra pro business proběhne již ve čtvrtek 23. listopadu 2017 v konferenčním centru Vavruška, v paláci Charitas, Karlovo náměstí 5, Praha 2 (u metra Karlovo náměstí) od 9:00. Konference o návrhu, budování, správě a efektivním využívání datových center nabídne odpovědi na aktuální a často řešené otázky, např Jaké jsou aktuální trendy v oblasti datových center a jak je využít pro vlastní prospěch? Jak zajistit pro firmu či jinou organizaci odpovídající služby datových center? Podle jakých kritérií vybrat dodavatele služeb? Jak volit součásti infrastruktury při budování či rozšiřování vlastního datového centra? Jak efektivně spravovat datové centrum? Jak eliminovat možná rizika? apod.
Přidat komentář

13.9.2017 8:00 /František Kučera
Máš rád svobodný software a hardware nebo se o nich chceš něco dozvědět? Zajímá tě DIY, CNC, SDR nebo morseovka? Přijď na sraz spolku OpenAlt – tentokrát netradičně v pondělí: 18. září od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5).
Přidat komentář

3.9.2017 20:45 /Redakce Linuxsoft.cz
PR: Dne 21. září 2017 proběhne v Praze konference "Mobilní řešení pro business". Hlavní tématy konference budou: nejnovější trendy v oblasti mobilních řešení pro firmy, efektivní využití mobilních zařízení, bezpečnostní rizika a řešení pro jejich omezení, správa mobilních zařízení ve firmách a další.
Přidat komentář

15.5.2017 23:50 /František Kučera
Máš rád svobodný software a hardware nebo se o nich chceš něco dozvědět? Zajímá tě DIY, CNC, SDR nebo morseovka? Přijď na sraz spolku OpenAlt, který se bude konat ve čtvrtek 18. května od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5).
Přidat komentář

12.5.2017 16:42 /Honza Javorek
PyCon CZ, česká konference o programovacím jazyce Python, se po dvou úspěšných ročnících v Brně bude letos konat v Praze, a to 8. až 10. června. Na konferenci letos zavítá např. i Armin Ronacher, známý především jako autor frameworku Flask, šablon Jinja2/Twig, a dalších projektů. Těšit se můžete na přednášky o datové analytice, tvorbě webu, testování, tvorbě API, učení a mentorování programování, přednášky o rozvoji komunity, o použití Pythonu ve vědě nebo k ovládání nejrůznějších zařízení (MicroPython). Na vlastní prsty si můžete na workshopech vyzkoušet postavit Pythonem ovládaného robota, naučit se učit šestileté děti programovat, efektivně testovat nebo si v Pythonu pohrát s kartografickým materiálem. Kupujte lístky, dokud jsou.
Přidat komentář

2.5.2017 9:20 /Eva Rázgová
Putovní konference československé Drupal komunity "DrupalCamp Československo" se tentokrát koná 27. 5.2017 na VUT FIT v Brně. Můžete načerpat a vyměnit si zkušenosti z oblasti Drupalu 7 a 8, UX, SEO, managementu týmového vývoje, využití Dockeru pro Drupal a dalších. Vítáni jsou nováčci i experti. Akci pořádají Slovenská Drupal Asociácia a česká Asociace pro Drupal. Registrace na webu .
Přidat komentář

   Více ...   Přidat zprávičku

> Poslední diskuze

16.1.2018 1:08 / Ivan Pittner
verejna ip od o2 ubuntu

15.1.2018 17:26 / Mira Harvalik
Re: Jak udělat HTML/Javascript swiping gallery do mobilu?

30.12.2017 20:16 / Michal Knoll
odmocnina

31.8.2017 12:11 / Jaromir Obr
Re: ukůládání dat ze souboru

30.7.2017 11:12 / Jaromir Obr
Národní znaky

Více ...

ISSN 1801-3805 | Provozovatel: Pavel Kysilka, IČ: 72868490 (2003-2018) | mail at linuxsoft dot cz | Design: www.megadesign.cz | Textová verze