TRANSKRYPCJA VIDEO
Dla tego filmu nie wygenerowano opisu.
Cześć, witajcie w kolejnym odcinku podcastu Próba Połączenia. Dzisiaj kontynuujemy serię o bezpieczeństwie infrastruktury IT w organizacji. W ostatnim odcinku nakreśliliśmy kontekst tego, jak ważne jest myślenie o bezpieczeństwie w całości i omówiliśmy rolę, jaką pełni firewall w zabezpieczaniu sieci aplikacji infrastruktury IT. Mówiliśmy też o zagadnieniach związanych z dobrym projektem, a także elementach, o których należy pamiętać, żeby nie dać się zaskoczyć dobierając i konfigurując taki sprzęt. Dzisiaj z kolei zajmiemy się tematem dostępu do sieci przewodowej i zagrożeniami, które czyhają na nas w tym obszarze. Prowadząc projekty audytorskie i pentesterskie, testujące odporność infrastruktury IT na zagrożenia i ataki, próbujemy zazwyczaj różnych technik sforcowania zabezpieczeń i uzyskania dostępu do zasobów firmy.
Jednym z takich testów jest próba uzyskania jak największej ilości informacji z poziomu sieci lokalnej, często gorzej chronionej niż pozostałe obszary i zasoby w sieci. Generalnie istnieją dwie metody dostępu do sieci lokalnej, dostęp przewodowy oraz dostęp bezprzewodowy. Jak wspomniałem, dzisiaj zajmiemy się tym pierwszym. A więc dostęp do sieci lokalnej przewodowej istnieje wszędzie tam, gdzie możemy podłączyć się przy pomocy kabla Ethernet, np. do gniazda w ścianie tzw. floorboxa, gniazda w listwie naściennej, a także wprost do przełącznika Ethernet lub np. wolnego gniazda w telefonie IP. Uzyskanie dostępu do sieci w takim miejscu może umożliwić penetrację sieci lokalnej, a w szczególnym przypadku sieci rozległej czy też segmentów aplikacyjnych naszej firmy.
Relatywnie często zdarza się, że po podłączeniu do gniazda sieciowego dowolnym urządzeniem jesteśmy w stanie uzyskać dynamicznie adres IP, co pozwala na inicjowanie dowolnego ruchu i przeprowadzenie aktywności będąc już w sieci firmowej. Dlaczego? Sieć typu Ethernet bazuje na medium i protokołach mających charakter rozgłoszeniowy, co oznacza, że komputery i urządzenia podłączone do tej samej sieci lokalnej kontaktują się za pomocą mechanizmów powcześniejszym lub cyklicznym rozgłoszeniu pewnych informacji do wszystkich podłączonych urządzeń. Ten typ ruchu to tzw. broadcast. Na przykład komputer podłączając się do sieci wysyła zapytanie w celu uzyskania właściwego adresu IP. To zapytanie ma właśnie charakter rozgłoszeniowy. Przy założeniu, że serwer, który rozdaje i zarządza adresami jest zaufany, komputer momentalnie otrzyma prawidłowy adres i może zacząć pracę w sieci.
Charakter rozgłoszeniowy to potencjalne dwie grupy problemów. Bezpieczeństwo sieci danych i użytkowników oraz stabilność sieci lokalnej kampusowej, a w rezultacie naszego biznesu. Teraz opowiem o pierwszej grupie problemów, czyli bezpieczeństwo. Medium rozgłoszeniowy prowadzi do możliwości naruszenia bezpieczeństwa właśnie ze względu na charakter tej sieci. Problem numer jeden pojawia się w momencie, w którym dowolne urządzenie podłączone do tej sieci podszyje się pod serwer zarządzający adresami IP. Warto zwrócić uwagę na to, że wraz z informacją o adresie IP serwer DHCP przydziela szereg innych informacji, a jedną z nich jest adres IP bramy domyślnej. Jeśli atakujący wyśle informację o adresie IP zawierającą w polu bramy adres komputera atakującego, to właśnie atakujący stanie się bramą domyślną dla tego komputera.
Dobrze, ale co z tego wynika? Wynika z tego na przykład możliwość przeprowadzenia tzw. ataku man in the middle, czyli pośredniczenia w komunikacji między komputerem ofiary, a systemami docelowymi. Każdy ruch ofiary wychodzący poza jej sieć będzie kierowany właśnie przez bramę domyślną, czyli komputer atakującego. Taki atak może prowadzić do podsłuchania całej komunikacji ofiary i uzyskania poufnych informacji lub informacji, które są potrzebne atakującemu do dalszego ataku. Problem numer dwa to zastosowanie nieuprawnionego serwera DNS. Informacją, która jest przekazywana przez serwer DHCP jest bowiem także adres serwera DNS. DNS jest usługą tłumaczącą nazwy na adresy IP. Na DNS oparta jest większość dzisiejszej komunikacji w internecie.
Jeśli atakujący uruchomi swój serwer DNS tylko po to, aby przekierować ruch na serwer, który wcześniej przygotował, wystarczy, że podstawi w propozycji DHCP swój adres serwera DNS, osiągając ten sposób zamierzony cel. W dalszej części atakujący użyje swojego serwera DNS, aby przekierować ruch ofiary na dowolny system docelowy. Przykładem może być próba przetłumaczenia nazwy czy adresu URL znanego banku na stronę wyłudzającą informację, przygotowaną tak, aby wyglądała jak strona banku. W efekcie ataku może dojść np. do wyłudzenia informacji o nazwie użytkownika i haśle do bankowości elektronicznej ofiary. Jak widzicie, stosunkowo prosty atak polegający tylko i wyłącznie na zasadzie ruchu rozgłoszeniowego może spowodować poważne problemy i naruszenie poufnych danych firmy czy samego użytkownika.
I teraz co zrobić, aby ograniczyć możliwość przeprowadzenia ataku w taki sposób? Jeśli mówimy o dostępie do sieci przewodowej, zasadniczo obracamy się w obszarze budynku, fabryki, pomieszczeń, open space'ów, czyli konkretnych obszarów fizycznych. Pierwszą i pozornie błahą rzeczą, o której powinniśmy pamiętać jest czujność i kontrola dostępu do pomieszczeń. W przypadku, kiedy kontrolujemy to kto ma dostęp do budynku czy jego pomieszczeń, wprowadzamy pierwszą barierę dla atakującego. Oczywiście przy pomocy odpowiednich technik np. socjotechniki atakujący jest w stanie przełamać takie zabezpieczenie bazując np. na sugestii lub braku edukacji pracowników, o czym w jednym z kolejnych odcinków. Innym elementem ochrony może być już stricte zabezpieczenie przewodowej sieci dostępowej.
O ile nie jesteśmy w stanie założyć kłódki na gniazdko sieciowe, o tyle mamy do dyspozycji szereg mechanizmów, które mogą pomóc w zabezpieczeniu portów dostępowych. To właśnie przełączniki Ethernet i ich porty agregują wszystkie gniazda przewodowe, floorboxy i urządzenia dostępowe. Używając już dzisiaj podstawowych technik segmentacji ruchu możemy w pewnym sensie ograniczyć i kontrolować tzw. domeny rozgłoszeniowe, do których ograniczy się aktywność atakującego. W tym konkretnym przypadku przykładem jest segmentacja za pomocą Wilan. Jakkolwiek dzisiaj nie wystarczająca do zapewnienia pełnej izolacji, jest to na pewno pierwszy krok we właściwym kierunku w stronę zabezpieczenia naszej sieci dostępowej. Wilan, czyli logiczne sieci lokalne z jednej strony ograniczają segment broadcast, a z drugiej strony izolują grupy systemów użytkowników ze względu np. na ich rolę.
Warto dodać, że Wilan to funkcjonalność dostępna w większości przełączników dostępowych, oczywiście dobrej klasy. Aby jednak być odpornym na uzyskanie nieautoryzowanego podłączenia do naszej sieci lokalnej, powinniśmy wprowadzić możliwość uwierzytelniania i autoryzacji urządzeń i użytkowników przed dopuszczeniem ich do sieci. Takie zabezpieczenie można osiągnąć na kilka sposobów. Jednak najpopularniejszym z nich i szeroko stosowanym na rynku jest 802. 1x. Mechanizm, który weryfikuje urządzenie lub użytkownika, który podłącza się do portu i w zależności od wyniku tej operacji ustawia port przełącznika w tryb nieautoryzowany lub autoryzowany. Dodatkowo umożliwia dynamiczne przyznanie Wilanu, czyli segmentu logicznego na bazie takiej autoryzacji. Jeszcze inną metodą pokrewną jest tzw. mikro segmentacja, która umożliwia separację urządzeń lub użytkowników nawet w ramach jednego Wilanu.
Mówiąc o dostępie Ethernet, mamy często do czynienia z obszarami i pomieszczeniami typu open space, sale konferencyjne czy inne części budynków, w których przyjmujemy np. gości naszej firmy. Wtedy też możemy posłużyć się mechanizmami, które przekierują nieznanego użytkownika lub urządzenie na portal gościnny, wtedy obarczając naszego gościa większymi restrykcjami bezpieczeństwa i umożliwiając korzystanie z Internetu. Co ciekawe, oba takie mechanizmy można połączyć w jedną logiczną całość, tak aby działała na jednym porcie Ethernet naraz. Wspomniane zabiegi mogą znacząco poprawić bezpieczeństwo przewodowej sieci dostępowej. Wspomniałem wcześniej o dwóch grupach problemów związanych z charakterem rozgłoszeniowym sieci dostępowych. Pierwszą, czyli bezpieczeństwo, właśnie omówiliśmy. Drugą jest stabilność sieci, a jest to też w pewnym sensie zagadnienie bezpieczeństwa w ujęciu biznesowym.
Działanie, które może zdestabilizować sieć lokalną, a nawet dużą sieć kampusową, może być intencjonalne lub przypadkowe. Przykładem takiego działania jest podłączenie obcego przełącznika Ethernet lub urządzenia do gniazda sieciowego w celu powiększenia liczby dostępnych portów sieciowych. Niestety w większości przypadków takie zabiegi mogą być opłakane w skutkach i to dla całej sieci lokalnej lub nawet całego budynku lub fabryki. W sieci oraz charakterze broadcast, gdzie medium to Ethernet, mamy do czynienia ze zjawiskami takim jak pętle, broadcast storm czy flapowanie połączeń. Jeśli do gniazda Ethernet zostanie podłączony przełącznik w nieodpowiedni sposób, ruch dochodzący do przełącznika może zostać na nim niejako zawinięty z powrotem, powodując nasilający się efekt zapętlenia oraz coraz większej ilości ruchu.
Taka pętla może w szczególności dotyczyć każdego urządzenia aktywnego i klienckiego, a nawet wyłączyć sieć z pracy produkcyjnej. Warto zdać sobie sprawę z tego, że urządzenia sieciowe odpowiedniej klasy dysponują wbudowanymi mechanizmami, które potrafią radzić sobie z takimi zjawiskami. Mowa jest tu na przykład o funkcjonalności Storm Control, Unidirectional Link Detection czy Port Security. Odpowiednio skonfigurowane urządzenie z wcześniej zaprojektowaną funkcjonalnością pozwolą na zapobieganie większości przykryw efektów charakterystycznych dla przewodowych sieci dostępowych. Dzisiaj poruszyliśmy kilka kwestii związanych z problemami sieci przewodowej o charakterze rozgłoszeniowym oraz z przykładami umożliwiającymi zabezpieczenie przed nieautoryzowanym dostępem i zapobiegnięciem problemom w sieci Ethernet. Już dzisiaj dziękuję Wam za uwagę. Zapraszam na kolejny odcinek podcastu Próba Połączenia z serii o bezpieczeństwie, a także zachęcam do komentowania i subskrybowania kanału. Cześć!.