Sąsiad Twój wróg?

Jeśli jesteś administratorem nawet niewielkiej sieci sąsiedzkiej, powinieneś znać metody nadzoru LAN-u. Jego użytkownicy mogą bowiem sprowadzić na Ciebie wiele problemów

Zakładanie niewielkich sąsiedzkich czy nawet osiedlowych sieci LAN ma w Polsce dość długą tradycję. Związane jest to przede wszystkim z kosztami dostępu do Internetu, które są często zbyt wysokie, aby samemu wykupić łącze DSL o rozsądnej przepustowości. Zalet korzystania z LAN-u jest wiele. Należy jednak pamiętać o wadach, którymi niewątpliwie najbardziej powinien martwić się administrator takiej sieci.

Zarządzając nawet niewielką siecią sąsiedzką, musimy być przygotowani na atak cyberterrorystów. Zazwyczaj jako potencjalnie niebezpieczny uznajemy jedynie ruch na styku bramek sieciowych: naszej i należącej do ISP. Na pewno zabezpieczenie LAN-u przed atakami z zewnątrz to obecnie podstawowa czynność, o jakiej powinien pamiętać każdy administrator. O tym, jak do takiego zadania przygotować OS serwera, pisaliśmy np. w CHIP-ie 12/2004,(

Patrz

: $(LC119814:Sposoby na Pingwina)$). Niestety, musimy pomyśleć także o naszych użytkownikach. Zazwyczaj zakładając z sąsiadami niewielką sieć, liczymy na to, że są to osoby godne zaufania. Należy jednak pamiętać o tym, że w każdej grupie znajdzie się jakaś czarna owca. Zdefiniujmy więc zagrożenia, na które może być narażona sieć LAN na skutek niebezpiecznych zachowań jednego z jej użytkowników. W ramce „Wewnętrzne zagrożenia” pokrótce wymieniamy najpowszechniejsze rodzaje ryzykownych zachowań lokalnego cyberzłoczyńcy.

W nomenklaturze administratorów zajmujących się problemami bezpieczeństwa o tego rodzaju atakach mówi się często man in the middle (MITM). Termin ten oznacza po prostu człowieka w środku.

Generalnie wszelkie zagrożenia wyeliminujemy, stosując restrykcyjną politykę bezpieczeństwa. Jeśli tak zrobimy, zablokujemy większość popularnych usług. Należy przyjąć, że minimalizując ryzyko ataku od wewnątrz, będziemy musieli zgodzić się na pewne kompromisy. Na przykład sporo luk w systemach Windows związanych jest bezpośrednio z niedoskonałościami podsystemu Microsoft Networks, który pozwala użytkownikom na współdzielenie plików i drukarek. Najproś-ciej byłoby całkowicie zablokować tego rodzaju ruch w naszej sieci, narazilibyśmy się jednak na gniew sąsiadów. Podstawową metodą ochrony LAN-u powinien być monitoring. Należy więc dokładnie określić, gdzie możemy skutecznie przechwytywać ruch i jak go filtrować.

Gdzie jest wyjście?

Nawet w niewielkiej sieci wskażemy komputer lub wyspecjalizowane urządzenie pełniące rolę bramki internetowej (router). W takim miejscu zazwyczaj możemy łatwo monitorować, co robią nasi użytkownicy – sprawdzać, z jakich usług internetowych korzystają. Dzieje się tak dlatego, że właśnie przez ten punkt sieci przepływają wszelkie dane pomiędzy komputerami-klientami a zewnętrznymi serwerami. Zatem jeśli jedna z osób w naszym sąsiedzkim LAN-ie, korzystając z przeglądarki WWW, chce wejść na stronę z podejrzaną treścią znajdującą się na odległym serwerze WWW, to router będzie jednym z urządzeń, które musi pośredniczyć w transmisji danych. Można wykorzystać ten fakt i używając wyspecjalizowanego programu, stworzyć zapis sieciowej aktywności.

Aby przeprowadzić taką operację, musimy wyposażyć naszą bramkę w odpowiednią aplikację. Gdy role gatewaya pełni komputer pracujący pod kontrolą Linuksa, możemy użyć wielu narzędzi – choćby popularnego tcpdumpa lub też p0f. Co jednak mają zrobić te osoby, których wyjście do Internetu jest obsługiwane przez wyspecjalizowane urządzenie, zawierające np. modem DSL wraz z przełącznikiem (switch) lub ewentualnie koncentratorem (hub)? Po pierwsze, należałoby sprawdzić, czy tego rodzaju sprzęt ma wbudowane odpowiednie narzędzia do logowania ruchu. Są spore szanse, że nawet w prostych i popularnych na polskim rynku urządzeniach znajdziemy jakąś namiastkę takiej funkcji. Najlepiej do kompleksowego monitorowania LAN-u wykorzystać bogatą bibliotekę oprogramowania dostępnego dla maszyn pracujących pod kontrolą Pingwina. Naturalnie możemy również znaleźć sporo narzędzi tego rodzaju dla Windows, jednak nie wszystkie są tak elastyczne, jak byśmy tego mogli oczekiwać, a dodatkowo większość z nich to programy komercyjne, czasem bardzo kosztowne.

Wewnętrzne zagrożenia
Ataki na komputer-bramkę internetową w celu przejęcia kontroli w sieci.
Ataki na stacje robocze użytkowników sieci.
Przechwytywanie haseł do kont: pocztowych POP3 i SMTP, FTP, shellowych – telnet itp.
Przechwytywanie korespondencji – e-maili, rozmów na czatach i prowadzonych z wykorzystaniem komunikatorów (ICQ, Gadu-Gadu).
Korzystanie przez użytkownika LAN-u z „niebezpiecznych” serwisów: pornografia, strony propagujące treści rasistowskie, witryny WWW organizacji terrorystycznych, a także zawierające nielegalne oprogramowanie.

Podsłuchiwanie koncentratora

Jak więc poradzić sobie z sytuacją, gdy w naszej sieci ruch pomiędzy stacjami roboczymi a Internetem jest obsługiwany przez wyspecjalizowane urządzenie podłączone (bądź też zintegrowane) do przełącznika lub koncentratora?

Na wstępie musimy rozróżnić dwa przypadki. O ile korzystamy z koncentratora (tzw. huba), sytuacja będzie prosta. Urządzenie tego rodzaju zajmuje się po prostu wzmocnieniem sygnału w całym segmencie Ethernetu. Podczas transmisji danych informacje są propagowane na wszystkie porty koncentratora. W takiej sytuacji, gdy jeden komputer wysyła pakiet do drugiej stacji roboczej, inne maszyny podłączone do LAN-u powinny zignorować taką przesyłkę, mimo że ta fizycznie do nich też dociera.

Możliwa jest jednak sytuacja, w której nadane przez komputer informacje są odbierane nie tylko przez końcówkę z zadanym fizycznym adresem MAC. Wystarczy, że jeden z podłączonych komputerów, który znajduje się w ramach domeny kolizyjnej, przestawi kartę sieciową w specjalny tryb nasłuchiwania (promiscuous mode). Zacznie ona wtedy odbierać wszystkie pakiety w sieci – także te skierowane pod zupełnie inne adresy MAC. Dzięki temu taki pecet będzie miał dostęp do wszystkich niezakodowanych danych, przesyłanych w tym segmencie Ethernetu. Sytuacja taka stanowi dobry punkt wyjścia do nadzorowania całego ruchu w LAN-ie.

Szukając Kowalskiego

Co jednak, gdy w naszej sieci komputery połączone są z użyciem przełącznika (switch)? Jego cechą charakterystyczną jest to, że dane pomiędzy stacjami nie są rozsyłane po całej sieci. Każda karta sieciowa Ethernet ma swój unikatowy adres MAC. Przełącznik zapamiętuje te adresy i retransmituje dane tylko pomiędzy odpowiednimi portami switcha. Gdy jeden z pecetów nadaje pakiety, to najpierw trafiają one do przełącznika. Ten analizuje docelowy adres MAC pakietu i na jego podstawie wysyła dane, korzystając z jednego konkretnego portu. W takim wypadku inne komputery w sieci, nawet gdy ich karty sieciowe pracują w trybie promiscuous, nie otrzymają żadnych danych od przełącznika.

Wydawałoby się więc, że powszechnie stosowane switche uniemożliwią nam skuteczny nadzór nad użytkownikami w LAN-ie. Należy jednak zauważyć, że wiele markowych przełączników ma wbudowaną funkcję nadzorowania – tzw. replikowanie ruchu na wybranym porcie. Polega ona na tym, że cała transmisja jest duplikowana po to, aby administrator sieci mógł monitorować ruch.

0
Zamknij

Choć staramy się je ograniczać, wykorzystujemy mechanizmy takie jak ciasteczka, które pozwalają naszym partnerom na śledzenie Twojego zachowania w sieci. Dowiedz się więcej.