uzyskuje dostęp do sieci fizycznej, następnie dokonuje ataku
<em>man-in-the-middle</em> w celu przechwycenia sesji.</li>
</ul>
+ <h2 id="3.3.7.tcpanudpvulnerabilities">3.3.7. Podatności TCP i UDP</h2>
+ <p>
+ Podaności protokołów warstwy czwartej polegają na daniu możliwości
+ zalania wybranego serwera - w przypadku protokołu TCP pakietami
+ z ustawionym bitem kontrolnym SYN, lub datagramami w przypadku
+ protokołu UDP. Wówczas jest taki komputer nie jest wstanie
+ przetważać żądań uprawnionych do korzystania z niego użytkowników.
+ W przypadku protokołu TCP, dość kłopotliwe mogą być flagi czy też
+ bity kontrolne, za pomocą pakietu z ustawionym bitem kontrolnym
+ <em>Fin</em> oraz sfałszowanym adresem źródłowym możemy zresetować
+ lub zakończyć połaczenie TCP, co może zaburzać zwykłym uzytkownikom
+ korzystanie z usług. Innym rodzajem ataku opartego na TCP jest
+ przjęcie sesji TCP, poprzez zdobycie pakietu źródłowego oraz
+ odgadnięcie numeru kewencji. UDP można wykorzystać podbnie jak
+ TCP do zalewania hostów. Ze w zględu, że UDP nie ustala żadnego
+ połączenia, serwer może podejść do sprawy w dwojaki sposób albo
+ zignorować albo wysłać odpowiedź o nieosiągalnym porcie przez
+ protokoł ICPM.
+ </p>
+ <h2 id="3.3.8.ipservices">3.3.8. Usługi IP</h2>
+ <p>
+ Pierwszą usługą, która jest związa z IP i może powodować przykre
+ skutki, jeśli zostanie wykorzystana w niecnym celu jest
+ protokół <strong>ARP</strong>. Dzięki zatruwaniu ARP, podmiot
+ zagrożenia może fałszować odwzrowania adresów IP na adresy MAC,
+ co pozwoli na przkierowanie ruchu np. przez swój komputer, co daje
+ nam <em>man-in-the-middle</em>. Co najciekawsze, protokół ARP
+ przewiduje tzw. <strong>pakiet gratisowy</strong>, który wręcz
+ wymusza aktualizację wpisu pamięci podręcznej ARP hosta.
+ Do narzędzi pozwalających na tego typu ataki możemy zaliczyć takie
+ programy jak <em>dsnif</em>, <em>Cain&Abel</em> czy <em>ettercap</em>.
+ </p>
+ <p>
+ System DNS pozwala nam na posługiwanie się w Internecie przyjaznymi
+ nazwami, dzięki czemu wpisujemy <em>morketsmerke.org</em> a nie
+ adresy IP. System DNS jest bardzo ważną częścią obecnych sieci, a
+ bywa zaniedbany jeśli chodzi o funkcje bezpieczeństwa. Ataki na DNS,
+ lub te z jego wykryciem, możemy podzielić na kilka kategorii.
+ </p>
+ <ul>
+ <li><strong>Ataki na DNS typu open resolver</strong> - są w głównej
+ mierze ataki DoS, takie jak: atak wzmacniania i odbijania lub
+ atak wykorzystania zasobów DNS. Innym rodzajem ataku bo atakiem
+ fałszowania jest atak zatrucia pamięci podręcznej, po którego
+ nazwie możemy wywnioskować co robi i jaki będzie jego skutek.</li>
+ <li><strong>Ataki z ukrycia DNS</strong> - te ataki polegają
+ szybkim manipulowaniu adresami IP DNS, aby ukryć strony
+ wyłudzające informacje oraz roznoszące złoświe oprogramowanie
+ takimi atakami jest <em>FastFlux</em> oraz
+ <em>Double FastFlux</em>. Działającym na innej zasadzie atakiem
+ tego typu jest algorytm generowania domen, które potem stają
+ się domem dla hostów kontrolujacyh botnety.</li>
+ <li><strong>Cieniowanie domeny DNS</strong> - jest technika
+ polegającą uzyskaniu dostępu do konfiguracji domeny i utworzenie
+ wielu subdomen, które mogą posłużyć poźniej do ataku.</li>
+ <li><strong>Tunelowanie DNS</strong> - technika pozwalająca na
+ zawarcie jednego ruchu DNS wewnątrz drugiego, pozwala to na
+ kradzież informacji lub komunikację z hostami botnetu wewnątrz
+ chronionej sieci.</li>
+ </ul>
+ <p>
+ Ostatnim rodzajem usług IP jakie mogą być podatne na ataki jest
+ serwer DHCP. Są to albo ataki DoS w postaci
+ <strong>zagłodzenia</strong>, lub <strong>fałszowania</strong>, gdzie
+ do manipulacji wykorzystuje się takie parametry jak sam adres IP,
+ żeby pozbawić użytkownika dostępu do sieci lub
+ adres bramy oraz adresy serwerów DNS, aby przekierować ruch.
+ </p>
+ <h3 id="3.3.8.lab">Laboratorium</h3>
+ <p>
+ <a href="">Eksploracja ruchu DNS</a>
+ </p>
+ <h2 id="3.3.9.bestpracticeofnetworksec">3.3.9. Najlepsze praktyki bezpieczeństwa sieci</h2>
+ <p>
+ Chcąc dobrze zabezpieczyć naszą sieć musimy poznać nie tyle techniki
+ jak się bronić prze konkretnymi atakami, ale musimy wypracować w nas
+ czy użytkownikach naszej sieci pewne schematy działania, aby zapobiec
+ powstawaniu głupich błędów. Trzeba sobie również uświadomić jedną
+ rzeczy, że przed nie którymi ataki będzie możliwa ochrona, innych
+ uda się zminimalizować skutek wykorzystania podaności, a przed nie
+ którymi nie uda nam się zabezpieczyć w ogóle. Ten temat jest
+ poświęcony zapoznaniu się dobrymi przedsięwzięciami w celu ochrony
+ naszej sieci.
+ </p>
+ <p>
+ W wielu organiazacjach stosuje się takie podejście do bezpieczeństwa
+ jaką jest <strong>triada PID</strong> lub <em>trójkąt CIA</em>. Ta
+ koncepcja składa się z trzech pojęć:
+ </p>
+ <ul>
+ <li><strong>Poufności</strong> - tylko upoważniony personel oraz
+ procesy może mieć dostęp do poufnych informacji. Może być tutaj
+ wymagane stosowanie silnego szyfrowania.</li>
+ <li><strong>Integralność</strong> - jest ochrona danych przed
+ nieautoryzowanymi zmiani. Do tego wykorzystuje się różne
+ kryptograficzne funkcje skrótu.</li>
+ <li><strong>Dostępność</strong> - jest zapewnienie nie przerwanego
+ dostępu do ważnych zasobów przez uprzywilejowany personel. W tym
+ celu będą potrzebne np. łącza, bramy oraz usługi nadmiarowe.</li>
+ </ul>
+ <p>
+ Inną praktyką jest <strong>dogłebne podejście do ochrony</strong>.
+ Polega ono na podziale infrastruktury na warstwy, przy wykorzystaniu
+ wielu urządzeń współpracujących między sobą, między innymi: tuneli
+ VPN, inteligentych zapór sieciowych, systemów zapobiegania/wykrywania
+ włamań, filtrów treści oraz systemów uwierzytelniania. Część z tych
+ rozwiązań będzie fizycznymi urządzeniami, a część z nich usługami
+ gdzieś na serwerach, należy wówczas pamiętać aby dołożyć wszelkich
+ starać aby zabezpieczyć te komponenty, to samo tyczy się transmisji
+ danych.
+ </p>
+ <p>
+ <strong>Zapory sieciowy</strong> to podstawowy mechanizm obronny,
+ zaporę najczęściej
+ ustawia się w punkcie styku sieci. Chroni ona hosty sieci lokalnej
+ przed zagrożeniami z zewnątrz. Ważna jest dobra konfiguracja zapory,
+ przeciwnym wypadku może być ona jednym wielki punktem awarii.
+ Zapora od filtrowuje na podstawie zestawu reguł nieporządany ruch,
+ dopuszczając tylko ten potencjalnie bezpieczny. Jednak nie jest to
+ rozwiązanie bez wad. Techniki tunelowania oraz inne metody ukrywające
+ potrafią oszukać zaporę.
+ </p>
+ <p>
+ Technologie <strong>IDS/IPS</strong> są wyposażone w sensory, które
+ na podstawie wzorców (sygnatur), potrafią wyłapywać typowe ataki
+ sieciowe i gromadzić na ich temat informacje, które są potem
+ przekazywane do administratora. Sygnaturą może być
+ nawet pojedynczy pakiet lub niewieki fragment ich strumienia.
+ </p>
+ <p>
+ <strong>Filtry treści</strong>, możemy podzielić np. na podstawie
+ protokółów są filtry zająmujące się samą pocztą elektroniczą i będące
+ przekaźnikiem wiadmości i przy okazji skanującym je podkątem
+ zagrożenia i ewentualnego odrzucenia. Firma Cisco posiada takie
+ rozwiązanie i nazywa się ESA. Innym rodzajem filtru jest filtrowanie
+ stron internetowych, ale i nie tylko bo za pomocą rozwiązań tego typu
+ możemy decydować do czego użytkownik może mieć dostęp w Internecie w
+ czasie pracy. Możemy tworzyć listy stron zablokowanych, filtrować
+ ruch aplikacji internetowych, a nawet zaglądać do transmisji
+ szyfrowanych, rozwiązaniem tego typu Cisco jest - WSA.
+ </p>
</div>
</body>
</html>
projects / mmdev.git / commitdiff