Hálózatbiztonsági alapok PDF

Summary

A dokumentum hálózatbiztonsági alapokat tárgyal. Bemutatja a fenyegetések típusait, mint az információlopás, adatvesztés, szolgáltatás-megszakítás és a sebezhetőségek típusait, mint a technológiai és konfigurációs sebezhetőségek. Emellett a házirend biztonsági réseit és a fizikai biztonsági jellemzőket is tartalmazza.

Full Transcript

Biztonsági fenyegetések és sebezhetőségek
=========================================

1. Fenyegetések típusai
--------------------

### Információlopás (information theft)

Számítógépbe való betörés bizalmas információk megszerzése érdekében

### Adatvesztés és manipuláció (data loss and manipulation)

Számítógépbe való betörés adatrekordok megsemmisítése vagy módosítása
céljából

### Azonosító lopás (identity theft)

Személyes adatok ellopása

### Szolgáltatás-megszakítás (disruption of service)

A jogosult felhasználók megakadályozása a szolgáltatásokhoz való
hozzáférésben

Sebezhetőségek típusai
----------------------

### Technológiai sebezhetőségek

+-----------------------------------+-----------------------------------+
| TCP/IP gyengeség | A HTTP, FTP és ICMP nem |
| | biztonságosak |
| | |
| | Az SNMP (Single Network |
| | Management Protocol) és SMTP |
| | olyan TCP-struktúrára alapszik, |
| | mely nem biztonságos |
+===================================+===================================+
| OS gyengeség | Minden OS-nek vannak biztonsági |
| | problémái, ezek dokumentálva |
| | vannak a CERT archívumában |
+-----------------------------------+-----------------------------------+
| Hálózati eszköz gyengeség | Jelszóvédelem, hitelesítés |
| | hiánya, routing protokollok, |
| | tűzfalon található lyukak |
+-----------------------------------+-----------------------------------+

### Konfigurációs biztonsági rések

+-----------------------------------+-----------------------------------+
| Nem biztonságos felhasználói | Felhasználóifiók-adatok nem |
| fiókok | biztonságosan továbbítódnak a |
| | hálózaton |
+===================================+===================================+
| Rendszerfiókok könnyen | |
| kitalálható jelszavakkal | |
+-----------------------------------+-----------------------------------+
| Rosszul konfigurált internetes | JavaScript engedélyezése a |
| szolgáltatások | böngészőben |
| | |
| | Helytelenül konfigurált |
| | terminálszolgáltatások, FTP- és |
| | webszerverek |
+-----------------------------------+-----------------------------------+
| Nem biztonságos alapértelmezett | |
| beállítások | |
+-----------------------------------+-----------------------------------+
| Rosszul konfigurált hálózati | Biztonsági rések a rosszul |
| berendezések | konfigurált hozzáférési listákon, |
| | routing protokollokon vagy SNMP |
| | karakterláncokon |
+-----------------------------------+-----------------------------------+

### Házirend biztonsági rései

Írásbeli biztonsági szabályzat hiánya Nem lehet következetesen alkalmazni így
------------------------------------------------------------------------- ----------------------------------------------------------------------------------------------
Politika Megnehezíti a következes szabályozást
A hitelesítés szabályozásának hiánya Könnyen feltörhető vagy alapértelmezett jelszavakkal jogosulatlan hozzáférés biztosítása
A hozzáférésvezérlés nem kielégítő Nem megfelelő monitorozás és naplózás támadásokra és jogosulatlan használatra ad lehetőséget
Szoftver- és hardvertelepítés és a módosítások nem követik a házirendet Hálózati topológia illetéktelen módosítása vagy nem engedélyezett alkalmazás telepítése
Nincs katasztrófa utáni helyreállítási terv Természeti katasztrófát vagy támadást követően nincs terv

Fizikai biztonság
-----------------

Hardver fenyegetések -- szerverek, munkaállomások, routerek, switchek
vagy kábelezés fizikai megrongálása

Környezeti fenyegetések -- szélsőséges hőmérséklet vagy páratartalom

Elektromos veszélyek -- feszültségtüskék, alacsony feszültségszint,
szűrés nélküli tápellátás (zaj), áramszünet

Karbantartási veszélyek -- elektromos összetevők hanyag kezelése,
kritikus alkatrészek hiánya, hibás kábelezés, hiányos feliratozás

2. Hálózati támadások
==================

4. Kártevőtípusok
--------------

Malvare = malicious software

### Vírusok

Beilleszti saját másolatát egy másik programba, így a része lesz

Egyik számítógépről a másikra terjed, fertőzéseket hagyva hátra

Általában futtatható fájlhoz kapcsolódik =\> addig nem lesz aktív és nem
képes terjedni, amíg a user le nem futtatja a fertőzött állományt

Egyes vírusok felülírják a gazdaprogramot, így elpusztítva azt

A vírusok akkor terjednek, amikor átkerül az egyik számítógépről a
másikra

### Férgek

Hasonlóak a vírusokhoz, de önálló szoftverek, nem igényelnek
gazdaprogramot/emberi segítséget

A rendszer funkcióit használják ki, hogy segítség nélkül terjedhessenek
a hálózaton

### Trójai programok

Valódinak látszó malware

Becsapja a felhasználókat, hogy letöltsék és végrehajtsák

Képesek kiskapukat (back doors) létrehozni, hogy a támadók
hozzáférhessenek a rendszerhez

A trójaiak önmagukat másolják, de terjedésükhöz ugyanúgy felhasználói
beavatkozás szükséges

Felderítéses támadások (Reconnaissance attacks)
-----------------------------------------------

A hacker internetes eszközöket (nslookup, whois stb.) használva
megállapíthatja egy szervezet IP-címtartományát, majd pingeléssel
kiválasztja az aktív hosztokat

**fping**, **gping**

### Internetes lekérdezések

A támadó alapvető információkat keres a célpontról

Google keresés, weboldalak, whois stb.

### Ping pásztázás (ping sweep)

A támadó ping sweeppel állapítja meg az aktív IP-címeket

### Port pásztázás (port scan)

A támadó portvizsgálatot végez a felderített aktív IP-címeken

Hozzáférési támadások (access attacks)
--------------------------------------

Hitelesítési, FTP és webszolgáltatások sebezhetőségi pontjait használják
ki

### Jelszó elleni támadások

Brute-force támadások

Trójai támadások

Protokollelemző támadások

### Bizalom kihasználás

A támadó egy olyan eszközhöz fér hozzá, aminek van hozzáférése a
céleszközhöz

### Port átirányítás

A hacker egy feltört rendszert használ más célpontok elleni támadásokhoz

### Man-in-the-middle (közbeékelődés)

A támadó a kommunikáló felek között helyezkedik el, hogy hozzáférjen az
adatokhoz

Szolgáltatásmegtagadásos támadások (DoS (Denial of Service) attacks)
--------------------------------------------------------------------

A rendszer erőforrásainak felemésztésével akadályozza meg a jogosult
felhasználókat a szolgáltatás igénybevételétől

### DoS-attack

Nagy kockázat, megakadályozzák a kommunikációt, idő- és pénzveszteséget
okoznak

Egyszerű támadások

### DDoS-attack

Több összehangolt forrásból származik

A támadó létrehoz egy zombihálózatot (botnet) és egy CnC-programmal
(Command 'n Control) utasítja a botneteket, hogy indítsanak támadást

3. Hálózati támadások elkerülése
=============================

8. Mélységi védelem (defense-in-depth)
-----------------------------------

Védelem rétegzése

Hálózati eszközök megerősítése

VPN

ASA Firewall -- állapottartó tűzfalszolgáltatások, megakadályozza a
kívülről kezdeményező kapcsolatokat

IPS -- behatolásmegelőző rendszer, mintákat keres a be- és kimenő
adatforgalmon

ESA/WSA -- E-mail biztonsági célberendezés (appliance), a kéretlen és
gyanús leveleket szűri, a webes biztonsági célberendezés a kártevőgyanús
weboldalakat szűri

AAA Server -- egy biztonságos adatbázisban tárolja az eszközök elérésére
jogosult személyeket, ezen adatbázissal történik a felhasználók
hitelesítése

Biztonsági mentések
-------------------

Adatvesztés elleni védelem

Az információk egy példányát egy biztonságos helyen tartott cserélhető
adathordozón tárolja

Az adatmentéseket offsite tárolják

+-----------------------------------+-----------------------------------+
| Gyakoriság | Házirendben meghatározott, |
| | periodikus |
| | |
| | Teljes mentés időigényes lehet, |
| | ezért ajánlott a havi/heti |
| | rendszerességű részleges mentés |
+===================================+===================================+
| Érvényesség | Ellenőrizni kell az adatok |
| | sértetlenségét és a fájlok |
| | visszaállíthatóságát |
+-----------------------------------+-----------------------------------+
| Tárolás | A mentéseket megfelelő tárolási |
| | helyre kell szállítani |
+-----------------------------------+-----------------------------------+
| Biztonság | Erős jelszóval kell védeni a |
| | mentéseket |
+-----------------------------------+-----------------------------------+

Frissítés és hibajavítás
------------------------

Mindig használjuk a legfrissebb szoftvereket -- automatikus frissítés

Féregtámadások ellen az OS biztonsági frissítéseit kell telepíteni és a
sebezhető rendszerek hibajavítását (patch)

Hitelesítés, jogosultságkezelés és naplózás (AAA)
-------------------------------------------------

Hitelesítés (Authentication) -- ki férhet hozzá a hálózathoz

Jogosultság (Authorization) -- mit csinálhat a hálózaton

Naplózás (Accounting) -- használat során végrehajtott műveletek nyomon
követése

Tűzfalak
--------

Belső felhasználók védelme a külső veszélyektől, megakadályozza a belső
hálózatba irányuló nem kívánt adatforgalmat

Két vagy több hálózat között, ellenőrzi a köztes forgalmat, véd a
jogosulatlan hozzáféréstől

Bizonyos szolgáltatásokhoz ellenőrzött hozzáférést biztosíthat külső
felhasználóknak

A külsőknek elérhető szerverek a DMZ-ben találhatók (ez egy speciális
hálózat)

Tűzfalak típusai
----------------

Csomagszűrés -- IP- vagy MAC-cím alapján akadályozza meg / engedélyezi a
hozzáférést

Alkalamzásszűrés -- Tiltja / Engedélyezi bizonyos alkalmazások
hozzáférését a portszámuk alapján

URL-szűrés -- URL vagy kulcsszó szerint engedélyezi a weboldalak
elérését

Állapotalapú csomagvizsgálat (SPI) -- A bejövő csomagok, csak a belső
hálózat állomásairól kezdeményezett kérések válaszcsomagjai lehetnek

Végpontok biztonsága
--------------------

Az emberi tényezőt is számításba kell venni

Szükség van szabályzatra

Az alkalmazottakat fel kell készíteni a hálózat megfelelő használatára

4. Eszközbiztonság
===============

15. Cisco AutoSecure
----------------

**auto secure** szolgáltatással lehet a rendszert biztonságosabbá tenni

Az alapértelmezett felhasználóneveket és jelszavakat meg kell
változtatni

Az erőforrásokhoz való hozzáférést csak az arra jogosultaknak szabad
engedélyezni

Szükségtelen szolgáltatásokat ki kell kapcsolni vagy le kell törölni

Beüzemeltetés előtt fontos, hogy frissítsük a szoftvereket és
telepítsünk biztonsági javításokat

Jelszavak
---------

Legalább 8-10 karakterből álló jelszó

Legyenek bennük kis- és nagybetűk, számok, speciális karakterek és
szóközök

Kerüljük az ismétlődéseket, gyakori szavakat, sorozatokat,
felhasználóneveket, rokonok vagy háziállatok neveit, életrajzi adatokat

A kiválasztott szót írjuk rosszul

Cseréljük gyakran a jelszavakat

Ne írjuk le a jelszavakat

További jelszóbiztonsági beállítások
------------------------------------

Szöveges jelszavak titkosítása

Minimális elfogadható jelszóhossz beállítása

Brute-force támadások megakadályozása

Inaktív, EXEC módú hozzáférés kiléptetése meghatározott idő elteltével

**service password-encryption** paranccsal titkosíthatók a jelszavak

**security passwords min-length** *length* paranccsal minimális
karaktermennyiséget lehet megkövetelni

**login block-for \# attemps \# within \#** letiltja a bejelentkezést
adott időtartamra, ha adott időn belül adott próbálkozásnál több
sikertelen kísérletet érzékel

**exec-timeout** *perc másodperc* paranccsal lehet módosítani az
inaktivitás utáni kijelentkeztetést EXEC módból

Az SSH engedélyezése
--------------------

A Telnet leegyszerűsíti a távoli eszközök elérését, de nem biztonságos
=\> SSH

### 1. lépés

Konfiguráljunk egyedi eszköznevet

### 2. lépés

IP-tartománynév beállítása az **ip domain name** paranccsal

### 3. lépés

Hozzunk létre kulcsot az SSH-forgalom titkosításához a **crypto key
generate rsa general-keys modulus** *bitek száma*

A bitek száma 360-2048 közötti érték lehet

Nagyobb bitértéknél biztonságosabb a kulcs, de tovább tart a titkosítás
és visszafejtés

### 4. lépés

Helyi adatbázis-bejegyzés ellenőrzése vagy létrehozása a **username** és
**secret** parancsokkal

### 5. lépés

Hitelesítés a helyi adatbázisban

**login local** paranccsal a helyi adatbázisból történő hitelesítés
történik

### 6. lépés

Engedélyezzük a bejövő SSH-munkameneteket a **transport input \[ssh \|
telnet\]** paranccsal, mellyel több protokollt is megadhatunk

Nem használt szolgáltatások letiltása
-------------------------------------

Tiltsuk le a nem használt szolgáltatásokat a rendszererőforrások
megőrzése érdekében

A **show ip ports all** (vagy **show control-plane host open-ports**)
paranccsal tudjuk ellenőrizni a nyitott portokat

HTTP kikapcsolása a **no ip http server** paranccsal, a Telnet letiltása
a **transport input ssh** paranccsal történik