Network Security

Bogdan Doinea
bogdan.doinea@gmail.com

New CCNA 307

© 2007 Cisco Systems, Inc. All rights reserved.

Cisco Public

1

Agendă
 Atacuri de rețea
– DoS – MiTM

– atacuri “noi”

 Echipamente de rețea
– routere ca echipamente de securitate – firewall-uri dedicate – IPS/IDS

New CCNA 307

© 2007 Cisco Systems, Inc. All rights reserved.

Cisco Public

2

Atacuri de rețea
 Vechi (clasice)
– DoS • la nivel de sistem de operare

• la nivel de rețea
– Sniffing

– MiTM
– Brute force

– Fizice

 Noi

New CCNA 307

© 2007 Cisco Systems, Inc. All rights reserved.

Cisco Public

3

Denial of Service
 Ce fel de serviciu ?
– orice …

 La nivel de rețea
– ping
– ping complex - smurf attack

 La nivel de sistem de operare
– Teardrop attack – TCP SYN flood – direct din shell: deschiderea named-pipes, f(){ f|f& };f etc. – buffer overflow

– teardrop
New CCNA 307 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public

4

Ping
 echivalentul “Hello World” în atacuri DoS  Ping of death
> 65536

buffer overflow

 Ping flood 1. DoS: compter 2 computer 2. DDoS: exploit

3. DDoS: no exploit
New CCNA 307 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public

5

Smurf attack
192.168.1.0 /24
192.168.2.1 /24

Atacator

192.168.2.1 | 192.168.1.255

Victimă

 Tehnici folosite:
– spoofing
• DHCP snooping pe switch – ip directed-broadcast • dezactivat pe ruter

New CCNA 307

© 2007 Cisco Systems, Inc. All rights reserved.

Cisco Public

6

Teardrop attack
 Ce este fragmentarea ?  Transmiterea unui pachet de pe un mediu cu MTU mare pe un mediu cu MTU mai mic
 Wireless

 MPLS

 Se folosesc câmpuri în antetul IP: Don't Fragment (DF) More Fragments (MF), Fragment Offset.  Teardrop = pointeri gresiți în Fragment Offset -> Kernel Panic  Windows 95  Linux 2.1.63
New CCNA 307 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public

7

Teardrop attack
 Ce este fragmentarea ?  Transmiterea unui pachet de pe un mediu cu MTU mare pe un mediu cu MTU mai mic
 Wireless

 MPLS

 Se folosesc câmpuri în antetul IP: Don't Fragment (DF) More Fragments (MF), Fragment Offset.  Teardrop = pointeri gresiți în Fragment Offset -> Kernel Panic  Windows 95  Linux 2.1.63
New CCNA 307 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public

8

.. de fapt Vista, dar și 7
 SMB 2.0  Full Disclosure mailling list -> 8 September 2009  “SRV2.SYS fails to handle malformed SMB headers for the NEGOTIATE PROTOCOL REQUEST functionality. No user action is required”  Windows Teardrop Attack Detection Software via MS

 sau firewall ?

New CCNA 307

© 2007 Cisco Systems, Inc. All rights reserved.

Cisco Public

9

TCP SYN flood
 Denial of service la nivel de SO + rețea
TCP SYN (IP x; port x)
SYN + ACK

No more open ports please 

TCP SYN (IP y; port x)
Atacator

Server

SYN + ACK

TCP SYN (IP x; port x)
enough already …

TCP SYN (IP x; port y)

 Tehnici folosite:
– spoofing

• DHCP snooping pe switch

New CCNA 307

© 2007 Cisco Systems, Inc. All rights reserved.

Cisco Public

10

Prevenirea TCP SYN flood
 TCP Intercept
– Se folosește pe ruter
– Stabilește o conexiune TCP din partea serverului spre client – Stabilește o conexiune TCP din partea clientului spre server – Stabilește sesiunea end-to-end doar dacă primește ACK
SYN 4
SYN + ACK 5 2 SYN + ACK

SYN 1

ACK 6

ACK 3

 Firewall

New CCNA 307

© 2007 Cisco Systems, Inc. All rights reserved.

Cisco Public

11

Buffer overflow
Vârful stivei Cod “rău”

Stiva crește în jos
Adresă de întoarcere Variabile locale buffer
 Prevenire și detecție
 PaX – patch pentru kernel Linux  Memoria de date marcată non-executabilă  Memoria de cod marcată non-writable

Stringurile cresc în sus

 Stack Guard, Stack Smashing Protection, “canary value”
New CCNA 307 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public

12

Atacuri fizice ?

New CCNA 307

© 2007 Cisco Systems, Inc. All rights reserved.

Cisco Public

13

Atacuri fizice ?
 Disaster recovery and backups (GLB)

 Cold site  Warm site
 Hot site

New CCNA 307

© 2007 Cisco Systems, Inc. All rights reserved.

Cisco Public

14

Sniffing
 != captură  Acțiunea de a captură trafic ce nu îți este destinat ție  E legal ?
– da

– nu – da – nu

 Cum se poate face ?
– In the glorious days -> i :-x hubs!! – In the almost_as_glorious days ?-> MiTM

New CCNA 307

© 2007 Cisco Systems, Inc. All rights reserved.

Cisco Public

15

Man in the Middle

Bob

Alice

 Cerere ARP validă
MAC dest
FFFF:FFFF: FFFF

AJ
Type
0x0806

Uknown IP sursă
IP Bob

MAC sursă
MAC Bob

Cod operație MAC sursă
1 MAC Bob

MAC dest
0000:0000: 0000

IP dest
IP Alice

 Cerere ARP făcută de AJ
MAC dest
FFFF:FFFF: FFFF

MAC sursă
MAC AJ

Type
0x0806

Cod operație MAC sursă
1 MAC AJ

IP sursă
IP Gateway

MAC dest

IP dest

0000:0000: IP inexistent 0000
16

New CCNA 307

© 2007 Cisco Systems, Inc. All rights reserved.

Cisco Public

Detecție/Prevenire MiTM
 Cum putem detecta MiTM
– ușor: pachetul ARP ajunge la toată lumea – ARP Watch

 Cum putem preveni MiTM
– greu – criptarea traficului (în rețea locală ??) – DHCP snooping + ARP Guard
DHCP lease

Creează asocieri MAC-IP folosind tabela CAM și sniffing-ul DHCP

MiTM ARP Request

Asocierea MAC sursă – IP sursă NU ESTE VALIDĂ
New CCNA 307 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public

17

Atacuri “noi”
 Social engineering
– Kevin Mitnick

 Side-channel attacks
– timing attacks -> “cât durează calculul unei operații”

– TEMPEST attacks -> “bazate pe unde electromagnetice” • Transmitted Electro-Magnetic Pulse • Transient ElectroMagnetic Pulse Emanation Standard • Tiny ElectroMagnetic Particles Emitting Secret Things – acoustics attacks -> folosit încă din anii 80 – observation attacks -> urmărirea mișcărilor oculare a unui utilizator prin telescop

New CCNA 307

© 2007 Cisco Systems, Inc. All rights reserved.

Cisco Public

18

Agendă
 Atacuri de rețea
– DoS – MiTM

– atacuri “noi”

 Echipamente de rețea
– routere ca echipamente de securitate – firewall-uri dedicate – IPS/IDS

New CCNA 307

© 2007 Cisco Systems, Inc. All rights reserved.

Cisco Public

19

Un ruter -> ce poate face el ?

 Poate un ruter să modifice nivelul 4 în antetul IP ?  Poate un ruter să facă filtrare la nivel 3 în hardware ?
 Poate un ruter să facă criptare în hardware ?  Poate un ruter să aibă rol de firewall?  Poate un ruter să facă inspecția pachetelor la nivel 7?

 Poate un ruter să facă intrusion prevention/detection ?  Better than Chuck Norris right :D ?
New CCNA 307 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public

20

Ce este un firewall ?
 Cuvântul cheie “conexiuni”  3 funcții importante
– traficul inițiat din Internet în DMZ este permis

– traficul inițiat din Internet în LAN nu este permis
– traficul inițiat din DMZ în LAN nu este permis
Private-DMZ Policy DMZ-Private Policy

DMZ
Public-DMZ Policy

Trusted
Private-Public Policy
New CCNA 307 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public

Internet

Untrusted

21

Stateless firewall
 ACL-uri – stateless packet firewall
– deschiderea permanentă de găuri în firewall – Ex: access-list 101 permit tcp host 192.168.1.2 any eq www

New CCNA 307

© 2007 Cisco Systems, Inc. All rights reserved.

Cisco Public

22

Stateful firewall
 reține toate stările conexiunilor sale  în mod implicit nu este permisă nici o conexiune din exterior în Interior dar se permite “return traffic”

Internet

 Dezavantaje:
– FTP

New CCNA 307

© 2007 Cisco Systems, Inc. All rights reserved.

Cisco Public

23

Implementări de statefull firewall Cisco
 CBAC – Cisco
– Context-based access control – programat să facă inspecție la nivel 7 în mesajele de control al unor protocoale – permite FTP

 ZBF – Cisco
– Zone based firewall – Poate face NBAR (Network Based Application recognition) – msn, bittorrent

New CCNA 307

© 2007 Cisco Systems, Inc. All rights reserved.

Cisco Public

24

Intrusion Detection/Prevention
 IDS/IPS vs firewall ?
– un firewall tratează “conexiuni” – un IDS/IPS poate:

• opri accesarea unui URL care duce spre un cod malițios
• opri descărcarea unei resurse infectate

• ping scan/port scan
• opri descărcarea unei resurse care conține șirul “i can haz cheeseburger” • în general: folosește o bază de date + învățare adaptivă pentru a recunoaște diferite atacuri de rețea

New CCNA 307

© 2007 Cisco Systems, Inc. All rights reserved.

Cisco Public

25

Plasarea unui IDS/IPS în rețea
1

Switch

1 2
Sensor

IDS

IPS

2
Sensor

4

Bit Bucket

3

3

Management Console
New CCNA 307

Target

Management Console
Cisco Public

Target

© 2007 Cisco Systems, Inc. All rights reserved.

26

IDS-initiated shunning
 Vor funcționa doar atacurile contruite dintr-un singur pachet  IDS-ul transmite comanda “shun” firewall-ului  shun ip_source ip_destination
Sensing interface

Switch

Control interface

Management Console
New CCNA 307 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public

Target
27

Overview
 Atacuri DoS
– ping flood – smurf

– teardrop, tcp SYN flood (TCP Intercept)
– side-channel & social engineering

 Sniffing & MiTM
– routerul ca dispozitiv de securitate – firewall

– IDS/IPS

New CCNA 307

© 2007 Cisco Systems, Inc. All rights reserved.

Cisco Public

28

Referințe
www.infosyssec.com www.sans.org

www.cisecurity.org
www.cert.org www.isc2.org www.first.org

www.infragard.net www.mitre.org
www.cnss.gov

New CCNA 307

© 2007 Cisco Systems, Inc. All rights reserved.

Cisco Public

29

Sign up to vote on this title
UsefulNot useful