LINUXSOFT.cz Přeskoč levou lištu
Uživatel: Heslo:  
   CZUKPL

> Zabezpečte si síť I.

Budu se zabývat způsoby, jak si zabezpečit malou síť. V prvním, úvodním díle vás naučím, např. jak zamezit útočníkovi zneužití ARP protokolu ve svůj prospěch.

19.7.2010 00:00 | Petr Martinek | Články autora | přečteno 5731×

Počítačová síť je tak bezpečná, jak bezpečné je její nejslabší místo. Toto tvrzení je založeno na spoustě objevených i neobjevených bezpečnostních děr, které otevírají cestu k vašemu soukromí.

Sami si můžete vytvořit názor na to, jestli je dobré, aby existující bezpečnostní díra byla objevena nebo ne. Pokud je už objevena, určitě existuje způsob, jak ji „zneškodnit“, a nebo se o to alespoň někdo snaží (například vyvíjením bezpečnostních záplat). Je-li ale bezpečnostní trhlina je ještě neobjevená (nejspíš na objevení čeká), znamená to, že o ní nikdo neví. Nikdo se nesnaží ji nějak „ucpat“ a také ji (nejspíš) nikdo nebude u vás hledat. Tato situace se může překlopit do tří scénářů:

  • Bezpečnostní díra bude nalezena nějakým poctivým člověkem (nebo dokonce samotným vývojářem tohoto software), který o ní dá vědět těm správným lidem a oni vytvoří bezpečnostní záplatu.

  • Bezpečnostní díru najde nějaký „nadějný“ hacker, který si díky této díře vylepšil svůj „skill“. Potom už jen záleží na tom, jak rychle si toho někdo povolaný všimne nebo mu dá vědět a mohou začít tvořit záplatu, aktualizaci. Samozřejmě na rychlosti sledu těchto časových událostí závisí to, kolik počítačů/serverů stihne onen hacker nebo skupina hackerů zaneřádit (tím je např. nechvalně známý Microsoft).

  • Bezpečnostní díru nikdy nikdo nenajde. Logicky vám nemohu říci, kolik těchto „zvláštních úkazů“ existuje.

Největší riziko však na sebe většinou berou sami uživatelé a tvůrci sítí. Svojí neopatrností/neinformovaností nevědomky otevírají bezpečnostní díry, díky kterým mohou záškodníci získat přístup do sítě a následně i k počítačům a datům.

Záškodníci bývají vybaveni specializovaným softwarem a hardwarem, který automatizovaně provádí tuto „špinavou práci“ za ně.

Jak se ale bránit?

Na tuto otázku se vám pokusím postupně odpovědět v tomto seriálu na pokračování. Samozřejmě nemohu probrat všechny chyby, kterých se můžete dopustit (nebylo by to ani technicky možné). Popíšu jen ty nejčastější a nejnebezpečnější. To vám ale vynahradím tím, že vás naučím pracovat s automatizovaným softwarem pro hledání bezpečnostních trhlin a náchylností k útokům, který opravdu důkladně otestuje bezpečnost vašeho počítače, serveru, routeru...

Veškeré praktické ukázky budu provádět na (fiktivní) síti. Začnu s tím, že vám tuto síť představím. Je to malá síť, můžete si ji představit jako domácí nebo malou firemní síť (snažím se, aby si pod ní mohl každý představit tu svoji). Je to klasická síť hvězdicového typu, uprostřed je nějaký ten router, na který se připojují ostatní počítače. Síť také disponuje bezdrátovým přístupovým bodem WiFi.

Hlavním požadavkem bude, zamezit přístup případným záškodníkům do této sítě (teď budu řešit drátovou síť). Pokud opomineme to, že ,předpokládám, jen samotný přístup do budovy, kde se síť nachází, bude velmi těžký oříšek, i to se může stát (předpokládaný scénář je zneužití důvěry „návštěvníkem“, notebook). Záškodník se připojí do sítě a může například využít slabiny ARP protokolu k odposlechu veškeré komunikace v síti nebo dokonce k pozměnění komunikace v reálném čase. Nezvanému přístupu lze zabránit pevným nastavením MAC adres v routeru, kdy se každý počítač v síti identifikuje svojí jedinečnou MAC adresou a ostatní počítače prostě nejsou vpuštěny. Jde o takzvaný MAC adres filtr, bohužel většina levnějších routerů toto v rámci drátové sítě vůbec nepodporuje. Proto se tímto budu zabývat v některém z dalších dílu a aplikuji to na bezdrátovou síť.

Obrana proti zneužití ARP protokolu

Jednoduchým nastavením zamezíme zneužití ARP protokolu. ARP protokol se stará právě o přidělování MAC adres k IP adresám, toho může útočník využít tím, že „řekne“ routeru (bráně), že jeho MAC adresa patří k nějaké IP adrese počítače, který chce útočník odposlouchávat a právě díky slabině v ARP protokolu mu to brána (router) „sežere i s navijákem“. Pochopitelně je možné tímto způsobem odposlouchávat celou síť a to tak, že útočník „řekne“, že on je brána, tím pádem veškerý síťový provoz bude proudit skrz něj a on si s ním může dělat opravdu všechno. Dokonce se tímto způsobem dá „položit“ celá sít, i když jen krátkodobě, protože routery bývají většinou nastaveny tak, že periodicky za nějaký časový úsek obnovují veškeré informace o počítačích v síti. Pokud má útočník dlouhodobý přístup k síti, může ji „položit“ dlouhodobě.

Obrana tedy bude spočívat v tom, že my „přikážeme“ bráně (routeru), aby se držel ověřených informací o okolních počítačích, které mu ručně zadáme. To provedeme v nastavení routeru, bohužel vám nemůžu napsat nějaký univerzální návod, jak toto provést, každý výrobce routerů má uživatelské prostředí trochu jiné. Předvedu vám to na routeru od výrobce Tp-link. Pokud nevíte, kde toto nastavení hledat, podívejte se do manuálu (v „úsporných" manuálech dodávaných přímo s výrobkem nejspíš toto vůbec nenajdete, proto hledejte na stránkách výrobce).

Nejprve zjistěte MAC a IP adresy všech počítačů v síti, to provedeme například příkazem:

Linux: ifconfig

Windows: ipconfig /all

Potom v nastavení routeru přidělíme vždy k IP adrese počítače jeho MAC adresu. Toto nastavení nejspíš najdete někde v záložce nastavení DHCP serveru (pokud je zapnutý), mělo by tam být něco jako rezervování adres „Address Reservation", tak postupně zadávejte (přidělujte) MAC k IP adresám.

Vysvětlení:

Tímto jsme vytvořili statické záznamy v ARP tabulce, které útočník nemůže pozměnit.

Verze pro tisk

pridej.cz

 

DISKUZE

DHCP 22.7.2010 21:48 vama
DHCPD vs. ARP 25.7.2010 16:12 Aleš Hakl
  L Re: DHCPD vs. ARP 27.7.2010 00:10 Radim Kolář
    L Re: DHCPD vs. ARP 28.7.2010 16:08 Aleš Hakl
      |- Re: DHCPD vs. ARP 28.7.2010 22:33 Radim Kolář
      | L Re: DHCPD vs. ARP 30.7.2010 19:23 Aleš Hakl
      L Re: DHCPD vs. ARP 30.7.2010 20:22 Petr Martinek
        |- Re: DHCPD vs. ARP 31.7.2010 10:58 Radim Kolář
        | L Re: DHCPD vs. ARP 31.7.2010 11:21 Petr Martinek
        |   L Re: DHCPD vs. ARP 31.7.2010 20:55 Aleš Hakl
        L Re: DHCPD vs. ARP 31.7.2010 20:47 Aleš Hakl
          L Re: DHCPD vs. ARP 1.8.2010 08:56 Petr Martinek




Příspívat do diskuze mohou pouze registrovaní uživatelé.
> Vyhledávání software
> Vyhledávání článků

8.5.2016 17:19 /Redakce Linuxsoft.cz
PR: Dne 26.5.2016 proběhne v Praze konference Cloud computing v praxi. Tématy bude např. nejnovější trendy v oblasti cloudu a cloudových řešení, cloudové služby, infrastruktura cloudu, efektivní využití cloudu, možné nástrahy cloudů a jak se jim vyhnout
Přidat komentář

21.4.2016 8:01 /František Kučera
Spolek OpenAlt zve na 127. distribuovaný sraz příznivců svobodného softwaru a otevřených technologií (hardware, 3D tisk, SDR, DIY, makers…), který se bude konat ve čtvrtek 28. dubna od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5).
Přidat komentář

2.3.2016 22:41 /Ondřej Čečák
Letošní ročník konference InstallFest již tento víkend!
Přidat komentář

14.2.2016 16:39 /Redakce Linuxsoft.cz
O víkendu 5. a 6. března 2016 proběhne na pražském Strahově 8. ročník tradiční konference InstallFest. Celkem za dva dny uvidíte ​30 přednášek​ a ​6 workshopů.
Přidat komentář

5.2.2016 17:38 /Petr Ježek
Utilitka z XFce "xfce4-power-manager" nejen umožňuje nastavení lhůty pro uspání či hybernaci, ale i zapínání a vypínání prezentačního módu pro nerušené sledování videí. Stačí ji nastavit v každém vybavenějším panelu a v jakémkoli nontiled WM/DE.
Přidat komentář

10.1.2016 11:32 /Pavel `Goldenfish' Kysilka
LinuxMarket změnil provozovatele. Nově jej provozuje Marek Pszczolka. Více info a detaily #1 a #2.
Přidat komentář

29.12.2015 11:38 /Ondřej Čečák
Ještě posledních pár dní můžete přidávat příspěvky nebo nápady na Install Fest 2016, který se bude konat 5. a 6. března 2016.
Přidat komentář

8.12.2015 11:36 /Petr Ježek
Logické se stává realitou. LibreOffice a Thunderbird se mají dle článku na Redditu stát protiváhou MS řešení (MS Office a Outlook).
Přidat komentář

   Více ...   Přidat zprávičku

> Poslední diskuze

10.6.2016 21:10 / pavel riha
FreeBSD 10.3 a virtualizace

8.6.2016 21:56 / Milan Gallas
Nevalidní prefix m

7.5.2016 14:58 / Teodor Komárek
Soubory

20.4.2016 0:07 / Jakub Cleing
Sázkový panel PHP FUSION

9.4.2016 9:43 / jiwopene@gmail.com
Re: problém s dpkg a nemožností instalovat

Více ...

ISSN 1801-3805 | Provozovatel: Pavel Kysilka, IČ: 72868490 (2003-2016) | mail at linuxsoft dot cz | Design: www.megadesign.cz | Textová verze