LINUXSOFT.cz Přeskoč levou lištu
Uživatel: Heslo:  
   CZUKPL

> Zabezpečte si síť I.

Budu se zabývat způsoby, jak si zabezpečit malou síť. V prvním, úvodním díle vás naučím, např. jak zamezit útočníkovi zneužití ARP protokolu ve svůj prospěch.

19.7.2010 00:00 | Petr Martinek | Články autora | přečteno 5911×

Počítačová síť je tak bezpečná, jak bezpečné je její nejslabší místo. Toto tvrzení je založeno na spoustě objevených i neobjevených bezpečnostních děr, které otevírají cestu k vašemu soukromí.

Sami si můžete vytvořit názor na to, jestli je dobré, aby existující bezpečnostní díra byla objevena nebo ne. Pokud je už objevena, určitě existuje způsob, jak ji „zneškodnit“, a nebo se o to alespoň někdo snaží (například vyvíjením bezpečnostních záplat). Je-li ale bezpečnostní trhlina je ještě neobjevená (nejspíš na objevení čeká), znamená to, že o ní nikdo neví. Nikdo se nesnaží ji nějak „ucpat“ a také ji (nejspíš) nikdo nebude u vás hledat. Tato situace se může překlopit do tří scénářů:

  • Bezpečnostní díra bude nalezena nějakým poctivým člověkem (nebo dokonce samotným vývojářem tohoto software), který o ní dá vědět těm správným lidem a oni vytvoří bezpečnostní záplatu.

  • Bezpečnostní díru najde nějaký „nadějný“ hacker, který si díky této díře vylepšil svůj „skill“. Potom už jen záleží na tom, jak rychle si toho někdo povolaný všimne nebo mu dá vědět a mohou začít tvořit záplatu, aktualizaci. Samozřejmě na rychlosti sledu těchto časových událostí závisí to, kolik počítačů/serverů stihne onen hacker nebo skupina hackerů zaneřádit (tím je např. nechvalně známý Microsoft).

  • Bezpečnostní díru nikdy nikdo nenajde. Logicky vám nemohu říci, kolik těchto „zvláštních úkazů“ existuje.

Největší riziko však na sebe většinou berou sami uživatelé a tvůrci sítí. Svojí neopatrností/neinformovaností nevědomky otevírají bezpečnostní díry, díky kterým mohou záškodníci získat přístup do sítě a následně i k počítačům a datům.

Záškodníci bývají vybaveni specializovaným softwarem a hardwarem, který automatizovaně provádí tuto „špinavou práci“ za ně.

Jak se ale bránit?

Na tuto otázku se vám pokusím postupně odpovědět v tomto seriálu na pokračování. Samozřejmě nemohu probrat všechny chyby, kterých se můžete dopustit (nebylo by to ani technicky možné). Popíšu jen ty nejčastější a nejnebezpečnější. To vám ale vynahradím tím, že vás naučím pracovat s automatizovaným softwarem pro hledání bezpečnostních trhlin a náchylností k útokům, který opravdu důkladně otestuje bezpečnost vašeho počítače, serveru, routeru...

Veškeré praktické ukázky budu provádět na (fiktivní) síti. Začnu s tím, že vám tuto síť představím. Je to malá síť, můžete si ji představit jako domácí nebo malou firemní síť (snažím se, aby si pod ní mohl každý představit tu svoji). Je to klasická síť hvězdicového typu, uprostřed je nějaký ten router, na který se připojují ostatní počítače. Síť také disponuje bezdrátovým přístupovým bodem WiFi.

Hlavním požadavkem bude, zamezit přístup případným záškodníkům do této sítě (teď budu řešit drátovou síť). Pokud opomineme to, že ,předpokládám, jen samotný přístup do budovy, kde se síť nachází, bude velmi těžký oříšek, i to se může stát (předpokládaný scénář je zneužití důvěry „návštěvníkem“, notebook). Záškodník se připojí do sítě a může například využít slabiny ARP protokolu k odposlechu veškeré komunikace v síti nebo dokonce k pozměnění komunikace v reálném čase. Nezvanému přístupu lze zabránit pevným nastavením MAC adres v routeru, kdy se každý počítač v síti identifikuje svojí jedinečnou MAC adresou a ostatní počítače prostě nejsou vpuštěny. Jde o takzvaný MAC adres filtr, bohužel většina levnějších routerů toto v rámci drátové sítě vůbec nepodporuje. Proto se tímto budu zabývat v některém z dalších dílu a aplikuji to na bezdrátovou síť.

Obrana proti zneužití ARP protokolu

Jednoduchým nastavením zamezíme zneužití ARP protokolu. ARP protokol se stará právě o přidělování MAC adres k IP adresám, toho může útočník využít tím, že „řekne“ routeru (bráně), že jeho MAC adresa patří k nějaké IP adrese počítače, který chce útočník odposlouchávat a právě díky slabině v ARP protokolu mu to brána (router) „sežere i s navijákem“. Pochopitelně je možné tímto způsobem odposlouchávat celou síť a to tak, že útočník „řekne“, že on je brána, tím pádem veškerý síťový provoz bude proudit skrz něj a on si s ním může dělat opravdu všechno. Dokonce se tímto způsobem dá „položit“ celá sít, i když jen krátkodobě, protože routery bývají většinou nastaveny tak, že periodicky za nějaký časový úsek obnovují veškeré informace o počítačích v síti. Pokud má útočník dlouhodobý přístup k síti, může ji „položit“ dlouhodobě.

Obrana tedy bude spočívat v tom, že my „přikážeme“ bráně (routeru), aby se držel ověřených informací o okolních počítačích, které mu ručně zadáme. To provedeme v nastavení routeru, bohužel vám nemůžu napsat nějaký univerzální návod, jak toto provést, každý výrobce routerů má uživatelské prostředí trochu jiné. Předvedu vám to na routeru od výrobce Tp-link. Pokud nevíte, kde toto nastavení hledat, podívejte se do manuálu (v „úsporných" manuálech dodávaných přímo s výrobkem nejspíš toto vůbec nenajdete, proto hledejte na stránkách výrobce).

Nejprve zjistěte MAC a IP adresy všech počítačů v síti, to provedeme například příkazem:

Linux: ifconfig

Windows: ipconfig /all

Potom v nastavení routeru přidělíme vždy k IP adrese počítače jeho MAC adresu. Toto nastavení nejspíš najdete někde v záložce nastavení DHCP serveru (pokud je zapnutý), mělo by tam být něco jako rezervování adres „Address Reservation", tak postupně zadávejte (přidělujte) MAC k IP adresám.

Vysvětlení:

Tímto jsme vytvořili statické záznamy v ARP tabulce, které útočník nemůže pozměnit.

Verze pro tisk

pridej.cz

 

DISKUZE

DHCP 22.7.2010 21:48 vama
DHCPD vs. ARP 25.7.2010 16:12 Aleš Hakl
  L Re: DHCPD vs. ARP 27.7.2010 00:10 Radim Kolář
    L Re: DHCPD vs. ARP 28.7.2010 16:08 Aleš Hakl
      |- Re: DHCPD vs. ARP 28.7.2010 22:33 Radim Kolář
      | L Re: DHCPD vs. ARP 30.7.2010 19:23 Aleš Hakl
      L Re: DHCPD vs. ARP 30.7.2010 20:22 Petr Martinek
        |- Re: DHCPD vs. ARP 31.7.2010 10:58 Radim Kolář
        | L Re: DHCPD vs. ARP 31.7.2010 11:21 Petr Martinek
        |   L Re: DHCPD vs. ARP 31.7.2010 20:55 Aleš Hakl
        L Re: DHCPD vs. ARP 31.7.2010 20:47 Aleš Hakl
          L Re: DHCPD vs. ARP 1.8.2010 08:56 Petr Martinek




Příspívat do diskuze mohou pouze registrovaní uživatelé.
> Vyhledávání software
> Vyhledávání článků

15.4.2017 15:20 /František Kučera

Máš rád svobodný software a hardware nebo se o nich chceš něco dozvědět? Zajímá tě IoT a radiokomunikace? Přijď na sraz spolku OpenAlt, který se bude konat ve středu 19. dubna od 18:30 v Šenkovně (Sokolská 60, Praha 2).


Přidat komentář

5.3.2017 19:12 /Redakce Linuxsoft.cz
PR: 23. března proběhne v Praze konferenci na téma Cloud computing v praxi. Hlavními tématy jsou: Nejžhavější trendy v oblasti cloudu a cloudových řešení, Moderní cloudové služby, Infrastruktura současných cloudů, Efektivní využití cloudu, Nástrahy cloudových řešení a jak se jim vyhnout.
Přidat komentář

27.2.2017 22:12 /František Kučera
Pozvánka na 137. sraz OpenAlt – Praha: Tentokrát jsme si pro vás připravili neobvyklou akci. Ve středu 1.3. v 17:30 nás přivítá sdružení CZ.NIC ve svých prostorách v Milešovské ulici číslo 5 na Praze 3, kde si pro nás připravili krátkou prezentaci jejich činnosti. Následně navštívíme jejich datacentrum pod Žižkovskou věží. Provedou nás prostory, které jsou běžnému smrtelníkovi nedostupné!
Po ukončení prohlídky se všchni odebereme do hostince U vodoucha, Jagelonská 21, Praha 3 pochutnat si na některém z vybraných piv či dát si něco na zub. Rezervaci máme od 19:30, heslo je OpenAlt.
Ale pozor! Do prostor datového centra máme omezený přístup, dostane se tam pouze 10 lidí! Takže kdo přijde dříve, ten má přednost, a občanky s sebou! Kdo nebude chtít na prohlídku datového centra, může se pomalu přesunout do hostince U vodoucha a u nepřeberné nabídky piv počkat na ostatní.
Přidat komentář

18.1.2017 0:49 /František Kučera
Členové a příznivci spolku OpenAlt se pravidelně schází v Praze a Brně. Fotky z pražských srazů za uplynulý rok si můžete prohlédnout na stránkách spolku. Příští sraz se koná už 19. ledna – tentokrát je tématem ergonomie ovládání počítače – tzn. klávesnice, myši a další zařízení. Také budete mít příležitost si prohlédnout pražský hackerspace Brmlab.
Přidat komentář

8.1.2017 17:51 /František Kučera
Máš rád svobodný software a hardware nebo se o nich chceš něco dozvědět? Přijď na sraz spolku OpenAlt, který se bude konat ve čtvrtek 19. ledna od 18:30 v pražském hackerspacu Brmlab. Tentokrát je tématem srazu ergonomie ovládání počítače – tzn. klávesnice, myši a další zařízení. K vidění bude mechanická klávesnice dasKeyboard, trackball Logitech nebo grafický tablet (a velký touchpad) Wacom. Přineste i vy ukázat svoje zajímavé klávesnice a další HW. V 18:20 je sraz před budovou, v 18:30 jdeme společně dovnitř, je tedy dobré přijít včas. Podle zájmu se později přesuneme do nějaké restaurace v okolí.
Přidat komentář

1.12.2016 22:13 /František Kučera
Máš rád svobodný software a hardware nebo se o nich chceš něco dozvědět? Přijď na sraz spolku OpenAlt, který se bude konat ve čtvrtek 8. prosince od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Sraz bude tentokrát tématický. Bude retro! K vidění budou přístroje jako Psion 5mx nebo Palm Z22. Ze svobodného hardwaru pak Openmoko nebo čtečka WikiReader. Přijďte se i vy pochlubit svými legendami, nebo alespoň na pivo. Moderní hardware má vstup samozřejmě také povolen.
Komentářů: 1

4.9.2016 20:13 /Pavel `Goldenfish' Kysilka
PR: Dne 22.9.2016 proběhne v Praze konference Cloud computing v praxi. Tématy bude např. nejnovější trendy v oblasti cloudu a cloudových řešení, provozování ERP v cloudu, o hostování různých typů softwaru, ale třeba i o zálohování dat nabízeném podnikům formou služby.
Přidat komentář

1.9.2016 11:27 /Honza Javorek
Česká konference o Pythonu, PyCon CZ, stále hledá přednášející skrz dobrovolné přihlášky. Máte-li zajímavé téma, neváhejte a zkuste jej přihlásit, uzávěrka je již 12. září. Konference letos přijímá i přednášky v češtině a nabízí pomoc s přípravou začínajícím speakerům. Řečníci mají navíc vstup zadarmo! Více na webu.
Přidat komentář

   Více ...   Přidat zprávičku

> Poslední diskuze

17.4.2017 19:15 / Jakub shoop
chyba

7.4.2017 15:43 / Som
foreign car repair

31.3.2017 18:33 / David Ostrovsky
Dotazník na obeznámenost s hummusem.

24.3.2017 11:54 / Hui
country cottages

16.3.2017 16:33 / BezvaDesign.cz
Re: Hledám grafika do teamu

Více ...

ISSN 1801-3805 | Provozovatel: Pavel Kysilka, IČ: 72868490 (2003-2017) | mail at linuxsoft dot cz | Design: www.megadesign.cz | Textová verze