Zarządzając nawet niewielką siecią sąsiedzką, musimy być przygotowani na atak cyberterrorystów. Zazwyczaj jako potencjalnie niebezpieczny uznajemy jedynie ruch na styku bramek sieciowych: naszej i należącej do ISP. Na pewno zabezpieczenie LAN-u przed atakami z zewnątrz to obecnie podstawowa czynność, o jakiej powinien pamiętać każdy administrator. O tym, jak do takiego zadania przygotować OS serwera, pisaliśmy np. w CHIP-ie 12/2004,(
Patrz
: $(LC119814:Sposoby na Pingwina)$). Niestety, musimy pomyśleć także o naszych użytkownikach. Zazwyczaj zakładając z sąsiadami niewielką sieć, liczymy na to, że są to osoby godne zaufania. Należy jednak pamiętać o tym, że w każdej grupie znajdzie się jakaś czarna owca. Zdefiniujmy więc zagrożenia, na które może być narażona sieć LAN na skutek niebezpiecznych zachowań jednego z jej użytkowników. W ramce “Wewnętrzne zagrożenia” pokrótce wymieniamy najpowszechniejsze rodzaje ryzykownych zachowań lokalnego cyberzłoczyńcy.
W nomenklaturze administratorów zajmujących się problemami bezpieczeństwa o tego rodzaju atakach mówi się często man in the middle (MITM). Termin ten oznacza po prostu człowieka w środku.
Generalnie wszelkie zagrożenia wyeliminujemy, stosując restrykcyjną politykę bezpieczeństwa. Jeśli tak zrobimy, zablokujemy większość popularnych usług. Należy przyjąć, że minimalizując ryzyko ataku od wewnątrz, będziemy musieli zgodzić się na pewne kompromisy. Na przykład sporo luk w systemach Windows związanych jest bezpośrednio z niedoskonałościami podsystemu Microsoft Networks, który pozwala użytkownikom na współdzielenie plików i drukarek. Najproś-ciej byłoby całkowicie zablokować tego rodzaju ruch w naszej sieci, narazilibyśmy się jednak na gniew sąsiadów. Podstawową metodą ochrony LAN-u powinien być monitoring. Należy więc dokładnie określić, gdzie możemy skutecznie przechwytywać ruch i jak go filtrować.
Gdzie jest wyjście?
Nawet w niewielkiej sieci wskażemy komputer lub wyspecjalizowane urządzenie pełniące rolę bramki internetowej (router). W takim miejscu zazwyczaj możemy łatwo monitorować, co robią nasi użytkownicy – sprawdzać, z jakich usług internetowych korzystają. Dzieje się tak dlatego, że właśnie przez ten punkt sieci przepływają wszelkie dane pomiędzy komputerami-klientami a zewnętrznymi serwerami. Zatem jeśli jedna z osób w naszym sąsiedzkim LAN-ie, korzystając z przeglądarki WWW, chce wejść na stronę z podejrzaną treścią znajdującą się na odległym serwerze WWW, to router będzie jednym z urządzeń, które musi pośredniczyć w transmisji danych. Można wykorzystać ten fakt i używając wyspecjalizowanego programu, stworzyć zapis sieciowej aktywności.
Aby przeprowadzić taką operację, musimy wyposażyć naszą bramkę w odpowiednią aplikację. Gdy role gatewaya pełni komputer pracujący pod kontrolą Linuksa, możemy użyć wielu narzędzi – choćby popularnego tcpdumpa lub też p0f. Co jednak mają zrobić te osoby, których wyjście do Internetu jest obsługiwane przez wyspecjalizowane urządzenie, zawierające np. modem DSL wraz z przełącznikiem (switch) lub ewentualnie koncentratorem (hub)? Po pierwsze, należałoby sprawdzić, czy tego rodzaju sprzęt ma wbudowane odpowiednie narzędzia do logowania ruchu. Są spore szanse, że nawet w prostych i popularnych na polskim rynku urządzeniach znajdziemy jakąś namiastkę takiej funkcji. Najlepiej do kompleksowego monitorowania LAN-u wykorzystać bogatą bibliotekę oprogramowania dostępnego dla maszyn pracujących pod kontrolą Pingwina. Naturalnie możemy również znaleźć sporo narzędzi tego rodzaju dla Windows, jednak nie wszystkie są tak elastyczne, jak byśmy tego mogli oczekiwać, a dodatkowo większość z nich to programy komercyjne, czasem bardzo kosztowne.
| Wewnętrzne zagrożenia |
| – Ataki na komputer-bramkę internetową w celu przejęcia kontroli w sieci. – Ataki na stacje robocze użytkowników sieci. – Przechwytywanie haseł do kont: pocztowych POP3 i SMTP, FTP, shellowych – telnet itp. – Przechwytywanie korespondencji – e-maili, rozmów na czatach i prowadzonych z wykorzystaniem komunikatorów (ICQ, Gadu-Gadu). – Korzystanie przez użytkownika LAN-u z “niebezpiecznych” serwisów: pornografia, strony propagujące treści rasistowskie, witryny WWW organizacji terrorystycznych, a także zawierające nielegalne oprogramowanie. |
Podsłuchiwanie koncentratora
Jak więc poradzić sobie z sytuacją, gdy w naszej sieci ruch pomiędzy stacjami roboczymi a Internetem jest obsługiwany przez wyspecjalizowane urządzenie podłączone (bądź też zintegrowane) do przełącznika lub koncentratora?
Na wstępie musimy rozróżnić dwa przypadki. O ile korzystamy z koncentratora (tzw. huba), sytuacja będzie prosta. Urządzenie tego rodzaju zajmuje się po prostu wzmocnieniem sygnału w całym segmencie Ethernetu. Podczas transmisji danych informacje są propagowane na wszystkie porty koncentratora. W takiej sytuacji, gdy jeden komputer wysyła pakiet do drugiej stacji roboczej, inne maszyny podłączone do LAN-u powinny zignorować taką przesyłkę, mimo że ta fizycznie do nich też dociera.
Możliwa jest jednak sytuacja, w której nadane przez komputer informacje są odbierane nie tylko przez końcówkę z zadanym fizycznym adresem MAC. Wystarczy, że jeden z podłączonych komputerów, który znajduje się w ramach domeny kolizyjnej, przestawi kartę sieciową w specjalny tryb nasłuchiwania (promiscuous mode). Zacznie ona wtedy odbierać wszystkie pakiety w sieci – także te skierowane pod zupełnie inne adresy MAC. Dzięki temu taki pecet będzie miał dostęp do wszystkich niezakodowanych danych, przesyłanych w tym segmencie Ethernetu. Sytuacja taka stanowi dobry punkt wyjścia do nadzorowania całego ruchu w LAN-ie.
Szukając Kowalskiego
Co jednak, gdy w naszej sieci komputery połączone są z użyciem przełącznika (switch)? Jego cechą charakterystyczną jest to, że dane pomiędzy stacjami nie są rozsyłane po całej sieci. Każda karta sieciowa Ethernet ma swój unikatowy adres MAC. Przełącznik zapamiętuje te adresy i retransmituje dane tylko pomiędzy odpowiednimi portami switcha. Gdy jeden z pecetów nadaje pakiety, to najpierw trafiają one do przełącznika. Ten analizuje docelowy adres MAC pakietu i na jego podstawie wysyła dane, korzystając z jednego konkretnego portu. W takim wypadku inne komputery w sieci, nawet gdy ich karty sieciowe pracują w trybie promiscuous, nie otrzymają żadnych danych od przełącznika.
Wydawałoby się więc, że powszechnie stosowane switche uniemożliwią nam skuteczny nadzór nad użytkownikami w LAN-ie. Należy jednak zauważyć, że wiele markowych przełączników ma wbudowaną funkcję nadzorowania – tzw. replikowanie ruchu na wybranym porcie. Polega ona na tym, że cała transmisja jest duplikowana po to, aby administrator sieci mógł monitorować ruch.
