hakin9_06_2010_PL
62
-
Upload
damian-ogorow -
Category
Documents
-
view
384 -
download
3
Transcript of hakin9_06_2010_PL
SPIS TREŚCI
4 HAKIN9
SPIS TREŚCINARZĘDZIA
8 Linksys WRT54GH
9 UserGate Mail Server
ATAK12 Ataki na serwery DNS PAWEŁ BASZKOWSKI
Rozróżniamy ataki na serwery DNS różnego rodzaju. Wszystkie mają na celu dokonanie jak największych utrudnień w ruchu sieciowym np. poprzez zablokowanie czy przeciążanie go.
OBRONA18 Tunele sieciowe DANIEL SUCHOCKI
Wygoda, która związana jest ze zdalnym podłączeniem do Sieci współczesnej organizacji niesie ze sobą duże ryzyko przechwycenia niejawnych informacji. Można się opierać na bezpieczeństwie fizycznym dostępu do sieci firmowej, jednak taka koncepcja całkowicie nie ma zastosowania chociażby w sieciach bezprzewodowych.
30 Bezpieczeństwo komunikacji VoIP PRZEMYSŁAW ŻARNECKI
W świetle coraz to bardziej rosnącej popularności telefonii VoIP, warto przyjrzeć się czy jest to technologia całkowicie bezpieczna. W końcu bazuje całkowicie na rozwiązaniach internetowych, które z definicji niosą za sobą pewne zagrożenia.
BEZPIECZNA FIRMA
38 Przyszłość bezpiecznego Linuksa SYLWESTER ZDANOWSKI
Powszechnie pojawia się opinia, iż bezpieczeństwo Linuksa wynika z jego małej popularności. Łączy się z tym przekonanie, iż wzrost jego popularności sprowadzi go do poziomu innych systemów. Zobaczmy więc jak sytuacja ma się teraz i jak może wyglądać, gdy Linux zyska na popularności.
jest wydawany przez Software Press Sp. z o.o. SK
Prezes wydawnictwa: Paweł Marciniak
Redaktor naczelny: Katarzyna Dę[email protected]
Redaktor prowadzący: Tomasz Przybylski
Kierownik produkcji: Andrzej [email protected]
Okładka: Agnieszka Marchocka, Łukasz PabianDział reklamy: [email protected]
Wyróżnieni betatesterzy:Krzysztof Piecuch,
Maksymilian Arciemowicz
DTP: Tomasz Kostro www.studiopoligraficzne.com
Wydawca: Software Press Sp. z o.o. SK
ul. Bokserska 1, 02-682 Warszawa, PolskaTel. +48 22 427 36 77, Fax +48 22 244 24 59
www.hakin9.org
Osoby zainteresowane współpracą prosimy o kontakt: [email protected]
Redakcja dokłada wszelkich starań, by publikowane w piśmie i na towarzyszących mu nośnikach informacje
i programy były poprawne, jednakże nie bierze odpowiedzialności za efekty wykorzystania ich; nie
gwarantuje także poprawnego działania programów shareware, freeware i public domain.
Wszystkie znaki firmowe zawarte w piśmie są własnością odpowiednich firm i zostały użyte wyłącznie w celach
informacyjnych.
Do tworzenia wykresów i diagramów wykorzystano program firmy
Redakcja używa systemu automatycznego składu
hakin9 ukazuje się w następujących krajach: Hiszpanii, Argentynie, Portugalii, Francji, Belgii, Luksemburgu, Kanadzie, Maroko, Niemczech,
Austrii, Szwajcarii, Polsce.
UWAGA!Techniki prezentowane w artykułach mogą być
używane jedynie we własnych sieciach lokalnych. Redakcja nie ponosi odpowiedzialności za niewłaściwe użycie prezentowanych technik
ani spowodowaną tym utratę danych.
6/2010
SPIS TREŚCI
4 HAKIN9
SPIS TREŚCIPRAKTYKA
44 Fail test, czyli na ile antywirus jest skuteczny URSZULA HOLIK
Proaktywna ochrona, zaawansowana heurystyka, doskonałe wyniki w testach dynamicznych. To tylko kilka wskaźników, które internauci traktują jako wyznacznik skuteczności oprogramowania antywirusowego. Okazuje się jednak, że w dobie rosnącej popularności polimor ficznych zagrożeń, nawet antywirus klasy Advanced + może okazać się nieskuteczny.
50 Usługi przetwarzaniaw chmurze ALEKSANDER ĆWIKLIŃSKI
Zgodnie z prognozami Gartnera przetwarzanie w chmurze (Cloud Computing) staje się jedną z wiodących technologii w informatyce. O zagospodarowanie tego obszaru toczy się walka gigantów.
WYWIAD54 Pokaż mi swoje logi a powiem Ci kim jesteś
Rozmowa z Andrzejem Karpiszem Inżynierem ds. Systemów sieciowych w firmie ZSK
KLUB TECHNICZNY56 NETGEAR ProSecure – Profesjonalne zabezpieczenia dla MSP PRZEMYSŁAW NAREWSKI
Nie ulega wątpliwości, że sieci firmowe są szczególnie narażone na zagrożenia pochodzące z zewnątrz. Odpowiedzialna organizacja potrzebuje profesjonalnych zabezpieczeń, które zagwarantują pełne bezpieczeństwo plikom, danym i poczcie elektronicznej. Takie bezpieczeństwo sieci firmowej zapewnią urządzenia z serii STM ProSecure oraz UTM ProSecure.
STAŁE RUBRYKI6 AktualnościPrzedstawiamy garść najciekawszych wiadomości ze świata bezpieczeństwa systemów informatycznych i nie tylko. Oto kilka z nich:
• Routery w zestawie z kartą N • Nowości w SUSE Linux Enterprise
Server 11• Dlaczego wymieniamy waluty przez
internet?
60 FelietonMiara bezpieczeństwaPróba pomiaru bezpieczeństwa może prowadzić w korporacyjnym świecie do różnych aspektów bezpieczeństwa. Dlatego tak jak w przeszłości musi być ono traktowane oddzielnie, lecz spójnie – szczególnie przez różne wydziały ds. bezpieczeństwa rzadko komunikujące się ze sobą (IT, fizycznego, zapobiegania oszustwom itp.). Dzisiaj bezpieczeństwo jest bardziej dziedziną sztuki niż naukowym podejściem. Osadzone w postrzeganiu jako dobre zabezpieczenia i złe zabezpieczenia koncentruje się bardziej wokół możliwości i paranoi, niż analizie i rzeczywistym pomiarze.Patryk Krawaczyński
5 HAKIN9 6/2010
6
W SKRÓCIE
HAKIN9 6/2010 7
AKTUALNOŚCI
HAKIN9 6/2010
ROUTERY W ZESTAWIE Z KARTĄ N W kwietniowej ofercie Linksys by Cisco pojawiły się trzy zestawy routerów z kartami USB, oferowane w promocyjnych cenach. Obejmują produkty ze średniej półki: WAG120n, WRT120n i WRT160n.
Zestawy przeznaczone są dla osób, które chcą zbudować domową sieć bezprzewodową i podłączyć do niej komputer stacjonarny przy użyciu bezprzewodowej karty sieciowej na USB. Początkujący użytkownicy sieci uzyskają wsparcie przy instalacji urządzeń, dzięki oferowanemu wraz z routerami programowi Network Magic w języku polskim.
Oferta obejmuje następujące modele Linksys by Cisco:
• WRT120n + wusb100n, czyli podstawowy model routera w standardzie „N lite” wraz z kartą sieciową USB, przepustowość do 150 Mbps – cena 199 zł z VAT
• WAG120n + wusb100n, czyli router z bramką ADSL o parametrach j.w. – cena 299 zł z VAT
• WRT160n + wusb600n, czyli router w pełnym standardzie N, z dwuzakresową kratą sieciową USB, przepustowość do 300 Mbps – cena 399 zł z VAT
Promocyjne zestawy dostępne u autoryzowanych sprzedawców i w sklepach internetowych.
NOWOŚCI W SUSE LINUX ENTERPRISE SERVER 11Novell przygotował obszerny zestaw usprawnień i poprawek zwiększających możliwości systemu SUSE Linux Enterprise
Warszawa, 20 kwietnia 2010 r. – Novell poinformował o przygotowaniu pierwszego pakietu serwisowego dla systemu SUSE Linux Enterprise Server 11. Service Pack 1 zawiera wszelkie poprawki wprowadzone od chwili udostępnienia aktualnej wersji systemu, a także obszerny zestaw ulepszeń – nowych lub rozbudowanych funkcji. Należą do nich:
• Obsługa najnowszego sprzętu certyfikowana przez dostawców, obejmująca: wszystkie najnowsze platformy Intel64, w tym Nehalem-EX, wszystkie najnowsze procesory AMD, IBM POWER 7, maszyny mainframe: IBM System z: z9, z10, Itanium
• Skalowalność: do 4096 procesorów w architekturach AMD64/Intel64; przetwarzanie ogromnych ilości danych w pamięci RAM, np. w hurtowniach danych i systemach ERP dzięki obsłudze 16 TB (i więcej) pamięci RAM na certyfikowanym sprzęcie
• Wirtualizacja: zaktualizowana wersja hipernadzorcy Xen 4.0, SR-IOV, OVF 1.0. obsługa hipernadzorcy KVM, sterowniki open source dla maszyn typu gość (ang. guest) VMware ESX i Microsoft Hyper-V
• Niezawodność: Obsługa sprzętowych funkcji RAS daje systemom AMD64/Intel64 możliwości tradycyjnych systemów RISC
• Zarządzanie systemami: Nowe, wykorzystujące przeglądarkę narzędzie do zarządzania systemami (WebYaST) ; stos aktualizacji (ZYPP) obsługuje teraz wiele zainstalowanych jąder systemu, co sprzyja większej niezawodności
• Zgodność interoperacyjna: obsługa NFSv4.1, usprawnienia obsługi IPv6, planowana recertyfikacja; integracja z Windows 7 Active Directory za pomocą aktualizacji Samby do 3.4.x; obsługa wirtualnych gości Windows 7
• Bezpieczeństwo: Nowy, specjalizowany moduł „Security Center & Hardening” w konsoli zarządzania YaST
• Nowy model asysty technicznej, zapewniający klientom elastyczność przy zachowaniu pełnej kontroli nad obsługiwanymi serwerami
Pełna lista zmian dostępna jest na pierwszym nośniku z oprogramowaniem i po udostępnieniu systemu na rynku będzie opublikowana pod adresem http://www.novell.com/linux/releasenotes/.
RozszerzeniaAby zwiększyć możliwości SUSE Linux Enterprise Server 11 w odznaczających się podwyższoną dyspozycyjnością instalacjach klastrowych, jednocześnie z pakietem serwisowym dla SUSE Linux Enterprise Server 11 Novell przygotował pierwszy pakiet serwisowy dla SUSE Linux Enterprise High Availability Extension 11. Więcej informacji można znaleźć pod adresem http://www.novell.com/products/highavailability/.
SUSE Linux jest popularny jako platforma dla oprogramowaniach innych firm – certyfikowano pod jego kątem już 5000 aplikacji. Dla niezależnych dostawców oprogramowania (ISV) i użytkowników opracowujących własne oprogramowanie przygotowano uaktualniony pakiet programistyczny (Software Development Kit). SUSE Linux Enterprise Software Development Kit 11 Service Pack 1 można będzie pobrać bezpłatnie spod adresu http://download.novell.com/.
Ceny i dostępnośćSUSE Linux Enterprise Server 11 z pakietem Service Pack 1 zostanie udostępniony w kanale sprzedaży 19 mają br. Klienci posiadający aktualny abonament będą uprawnieni do pobrania i użytkowania pakietu serwisowego bez dodatkowych opłat. Obrazy ISO pierwszego pakietu serwisowego dla SUSE Linux Enterprise Server 11 zostaną udostępnione pod adresem http://download.novell.com/.
Pod tym samym adresem dostępna będzie również dostępna minimalna instalacja SUSE Linux Enterprise Server 11 Service Pack 1 zwana JeOS (Just enough Operating System) mająca postać gotowych obrazów maszyn wirtualnych dla najbardziej popularnych hipernadzorców.
Ceny rocznego abonamentu na SUSE Linux Enterprise Server 11 dla platformy x86 i x86_64 zaczynają się od 290 euro. Szczegółowy cennik dostępny
6
W SKRÓCIE
HAKIN9 6/2010 7
AKTUALNOŚCI
HAKIN9 6/2010
jest na stronie http://www.novell.com/products/server/pricing_euro.html
Szczegółowe informacje o systemie Novell SUSE Linux Enterprise Server znajdują się na stronie produktu http://www.novell.com/products/server
DLACZEGO WYMIENIAMY WALUTY PRZEZ INTERNET?Polacy wymieniający waluty w sieci robią to głównie dla pieniędzy i wygody – wynika z ankiety przeprowadzonej wśród użytkowników serwisu Walutomat. Co czwarty z ponad 700 badanych deklaruje, że dokonuje transakcji internetowych licząc na uzyskanie lepszego kursu.
Użytkownicy wysoko cenią także wygodę jaką daje internet. Tę cechę sieciowych narzędzi wymiany uważa za najważniejszą ok. 25 proc. respondentów. Bezpieczeństwo i szybkość transakcji to priorytety dla co piątej osoby.
Co trzeci internauta, obracający walutami w sieci, wymienia w ten sposób swoje wynagrodzenie lub zdobywa
waluty potrzebne podczas podróży. Co czwarty użytkownik kupuje w internecie waluty na spłatę rat kredytów. Internauci chcą również zarabiać na wymianie. Co piąty dokonuje transakcji walutowych w celach inwestycyjnych. Jeden na siedmiu ankietowanych potrzebuje walut do międzynarodowych rozliczeń biznesowych lub z powodu chęci dokonania zakupów zagranicą.
Poszukiwanie korzystnego kursu powoduje, że ankietowani poza siecią korzystają głównie z kantorów, które są bardziej opłacalne niż banki. Nastawienie na zyski sprzyja także alternatywnym rozwiązaniom internetowym, takim jak kantory działające online lub Walutomat będący społecznościową platformą wymiany - mówi Adrian Łaźniewski z serwisu Walutomat. – Możliwość uzyskania atrakcyjnego kursu przyciąga do nas coraz więcej nowych użytkowników i powoduje, że dzienne obroty Walutomatu przekraczają czasami nawet 1 mln. złotych – dodaje.
Nadal jednak dość dużą popularnością wśród internautów
wymieniających waluty cieszą się tradycyjne usługi banków, z których można korzystać online. Najpopularniejszymi sposobami wymiany walut wśród badanych użytkowników Walutomatu jest także bankowość elektroniczna, z której korzysta 53 proc. badanych, oraz usługi kantorów dokonujących transakcji bezgotówkowych przez internet (18 proc.). Popularnością cieszą się także internetowe platformy pozwalające na handel na rynku Forex, z których korzysta co ósmy badany, oraz bankowe internetowe systemy walutowe umożliwiające wymianę po kursach z rynku międzybankowego.
Ok. 66 proc. badanych wymienia waluty o wartości do 5 000 złotych miesięcznie. Co czwarty mieści się w przedziale 5 001 – 25 000 złotych. Jeden na stu ankietowanych wymienia co miesiąc więcej niż 0,5 mln złotych. W sieci wymieniane są najczęściej euro, potem dolary amerykańskie, funty brytyjskie i franki szwajcarskie. Ponad połowa użytkowników wymienia waluty raz na miesiąc, kolejne 38 proc. raz na kilka miesięcy, a ok. 8 proc. przynajmniej raz w tygodniu.
W sondażu wzięło udział 727 osób, które posiadają konta w Walutomacie, czyli internetowej platformie wymiany walut. Wśród przebadanych przeważali mężczyźni, których było 89 proc., oraz ludzie młodzi. Ok. 38 proc. ankietowanych ma od 18 do 30 lat, wiek co trzeciego mieści się w przedziale 31 – 40. Tylko co dziesiąta osoba przekroczyła pięćdziesiątkę.
W grupie użytkowników najwięcej jest mieszkańców dużych miast. Trzy czwarte ankietowanych pochodzi z miejscowości mających powyżej 100 tys. mieszkańców. Bardzo rzadko na wymianę walut online decydują się mieszkańcy wsi, których było tylko 6 proc.. Są to najczęściej osoby zatrudnione (60 proc.) lub posiadające własne firmy (25 proc.). Pojawiają się też studenci, których jest ok. 7 proc..
Walutomat to społecznościowy system wymiany walut pomiędzy użytkownikami internetu, który pozwala na eliminację pośrednictwa banków i kantorów. Waluty wymieniane są po kursie średnim, bez tzw. spreadu, co pozwala na oszczędności rzędu 2-3 proc. wartości transakcji.
NARZĘDZIA
8 HAKIN9 6/2010
NARZĘDZIA
9 HAKIN9 6/2010
WRT 54GH
ProducentLinksys by CiscoTypRouterStrona producentawww.linksys.plRecenzentKamil Malinowski
«««««OCENA
Decydując się na kupno routera czeka nas bardzo ciężki wybór. Na rynku mamy szeroki wybór
sprzętu sieciowego do podziału sygnału internetowego dla domu czy też firmy. Powszechnie przyjęło się, że tego rodzaju sprzęt jest trudny w konfiguracji i trzeba nie lada wiedzy, aby poprawnie go skonfigurować. Z racji tego, iż przeciętny śmiertelnik nie posiada zaawansowanej wiedzy informatycznej, lider na rynku domowych rozwiązań sieciowych, firma Linksys (od 2003 roku filia Cisco Systems - jednego z największych przedsiębiorstw informatycznych na świecie) zdaje się wyjść naprzeciw temu problemowi wprowadziło do sprzedaży model o symbolu WRT54GH, czyniąc konfigurację domowej lub firmowej sieci najprostszą jak to tylko możliwe.
Wygląd oraz zawartość zestawuW pudełku z routerem oprócz samego urządzenia znajdziemy dwunasto-woltowy zasilacz, płytę CD, kabel do podłączenia sieci Ethernet oraz ulotkę z numerami telefonów pomocy technicznej dla poszczególnych krajów, w tym Polski. Zdziwienie może natomiast spowodować brak papierowej instrukcji, zamiast niej producent umieścił na płycie jej cyfrową wersję w formacie PDF, niestety instrukcja nie jest w języku polskim.
Obudowa koloru czarnego WRT54GH w kształcie prostopadłościanu prezentuje się całkiem zgrabnie, szczególnie dlatego, że nie widać żadnej wystającej atenki, ponieważ takową producent wbudował wewnątrz urządzenia. Wymiary stanowią 110 mm na 32 mm na 110 mm, co czyni Linksys’a jednym z najmniejszych urządzeń tego typu na rynku. Warto wspomnieć, że konstrukcja waży jedynie 170 gramów. Całość zdobiona jest z czterech stron malutkimi, okrągłymi otworami. U góry routera widnieje logo Cisco. Na przednim panelu znajduje się
siedem zielonych diod sygnalizujących pracę urządzenia. Pod każdą znajduje się ikona symbolizująca, czego dotyczy. I tak: pierwsze cztery odpowiadają za pracę portów LAN, piąta za sieć bezprzewodową, kolejna sygnalizuje łączność z Internetem, a ostatnia zaś zasilanie. Na lewej ściance jest czerwony przycisk Reset. Jak to zwykle przy takich przyciskach bywa, jest zabezpieczony przed przypadkowym wciśnięciem i znajduje się we wgłębieniu. Żeby go wcisnąć należy użyć czegoś cienkiego, np. wykałaczki. Krótkie przyciśnięcie tego guzika spowoduje zresetowanie urządzenia, natomiast dłuższe, trwające około pięciu sekund przywróci ustawienia fabryczne. Z tyłu WRT54GH są cztery porty LAN służące do podłączenia urządzeń sieciowych za pomocą kabla, port WAN do podłączenia sygnału internetowego do urządzenia. Obok znajduje się włącznik oraz wejście, w które podłączamy dołączony do zestawu zasilacz sieciowy. Urządzenie może pracować stojąc na czterech gumowych nóżkach zabezpieczających przed przesuwaniem lub jeśli tylko chcemy możemy router powiesić na ścianie wieszając go dzięki slotom znajdującym się na dole urządzenia.
Specyfikacja techniczna i funkcjonalnośćKompaktowa konstrukcja, mniejsza niż opakowanie płyty CD, może zwieść. Tak
NARZĘDZIA
8 HAKIN9 6/2010
NARZĘDZIA
9 HAKIN9 6/2010
małe urządzenie posiada wszystko, czego można oczekiwać od tego typu sprzętu. I tak, mamy wsparcie dla standardów IEEE 802.3, IEEE 802.3u, IEEE 802.11g, IEEE 802.11b. Jednak brak wsparcia dla standardu IEEE 802.11n, tak więc maksymalna prędkość dla komunikacji bezprzewodowej wynosi 54 Mb/s, dla komunikacji przewodowej zaś to 100 mb/s. Nad bezpieczeństwem sieci czuwa zapora SPI, która chroni przed większością ataków internetowych, filtracja adresów
MAC a przed niepożądanym dostępem do sieci bezprzewodowej zabezpiecza szyfrowanie WEP (64 i 128), WPA lub WPA2 do wyboru. Pozostałe funkcje routera to: strefa zdemilitaryzowana (DMZ), MAC address cloning, NAT, routing statyczny i dynamiczny, serwer oraz klient protokołu dynamicznego konfigurowania węzłów (DHCP). Wszystkie te funkcje pozwolą nam stworzyć bezpieczną, stabilną i efektywną sieć dostosowaną do naszych potrzeb.
Instalacja i zarządzanieLinksys WRT54GH to nie tylko prosty wygląd. To także prostota konfiguracji routera nieprzysparzająca problemów nawet osobom, które nie mają pojęcia na temat technologii sieciowych. Dzięki dołączonej płytce w prosty sposób, za pomocą paru kliknięć myszą skonfigurujemy naszą sieć. Cały proces sprowadza się do włożenia płyty do napędu i podążania za wskazówkami pojawiającymi się w trakcie instalacji (również w naszym rodzimym języku). Prościej chyba się nie da. W trakcie procesu konfiguracji program poprosi nas o wybranie hasła i sposobu zabezpieczenia sieci bezprzewodowej przed niepowołanym dostępem osób trzecich. Zaawansowana konfiguracja możliwa jest przez panel sterowania dostępny poprzez przeglądarkę internetową. Tam właśnie możemy zmieniać szereg opcji, jednak ten sposób dedykowany jest tylko dla bardziej doświadczonych użytkowników. Początkujący powinni skorzystać ze wspomnianego wcześniej programu umieszczonego na załączonej do zestawu płyty CD.
PodsumowanieJeżeli potrzebujemy prostego routera do podzielenia łącza internetowego w domu lub w firmie na kilka komputerów warto zastanowić się nad opisywanym tutaj modelem. Kompaktowa konstrukcja, niewygórowana cena, atrakcyjne parametry techniczne i przede wszystkim prostota instalacji sprawiają, że WRT54GH zdaje się nie mieć wad. Szczególnie biorąc pod uwagę fakt, iż produkt firmy Linksys to stabilny, niezawodny i wart zaufania sprzęt, na którym z pewnością można polegać.
NARZĘDZIA
10 HAKIN9 6/2010
UserGate Mail Server
UserGate Mail Server jest dobrym systemem umożliwiającym zarządzanie kontami
e-mail w przedsiębiorstwie. Podstawowymi oferowanymi funkcjami są możliwość zarządzania domenami i kontami. W pakiecie jest również klient WEB, obsługa list dystrybucji oraz usługi katalogowe dodatkowo istnieje możliwość zdalnego zarządzania kontami oraz obsługa LDAP i elastyczny system reguł. W systemie doskonale zadbano o odpowiedni poziom bezpieczeństwa dzięki zastosowaniu protokołów SSL, POP3 i IMAP w celu zapewnienia bezpiecznego połączenia z kontami online.
W serwerze zastosowano specjalny plik pem (Private Enhanced Mail), służący do połączeń z wykorzystaniem SSL. Administrator ma na bieżąco podgląd do używanych certyfikatów, które może tworzyć/usuwać, a także importować i eksportować. Aby zapewnić wysoki poziom zabezpieczeń serwer pocztowy wyposażony został w dwa moduły antywirusowe Kaspersky Lab i Panda Security. Obydwa moduły skanują ruch pocztowy i mogą być wykorzystywane razem lub osobno. W produkcie zadbano również o problem spamu. Poza standardowymi funkcjami ochrony przed spamem (białe i czarne listy), UserGate
Mail Server wykorzystuje także dwa dodatkowe moduły – Commtouch (płatny) i SpamAssassin (bezpłatny). Serwer oferuje również funkcję tworzenia kopii zapasowych. Zadania tworzenia kopii zapasowych uruchamiają się automatycznie i mogą być planowane przez administratora systemu. W konfiguracji można określić częstotliwość tworzenia pełnych i różnicowych kopii zapasowych, wybrać folder, w którym będą składowane kopie zapasowe oraz określić ich ilość. Wszystkie wcześniejsze kopie zostaną automatycznie usunięte. Pełna kopia zapasowa serwera pocztowego utworzy wiele plików o następującej zawartości: zrzut bazy danych, (PostgreSQL), plik instrukcji SQL, plik konfiguracyjny i folder z bazą danych skrzynek pocztowych użytkownika. Raport kopii zapasowej (włącznie z czasem, typem pliku i nazwą pliku) jest zapisywany jako specjalny plik XML.
Podsumowując, UserGate Mail Server doskonale sprawdzi się w roli firmowego serwera służącego do obsługi poczty e-mail. Twórcy uwzględnili wszystkie elementy, jakie powinny znaleźć się w tego typu aplikacji, dbając w szczególności o bezpieczeństwo. Samo administrowanie serwerem również nie sprawia większego kłopotu, dzięki zastosowaniu poręcznego i przejrzystego interfejsu programu.
ProducentEntensysTypSerwer poczty emailStrona producentawww.entensys.comStrona dystrybutora www.tts.com.plRecenzentInż. Mariusz Gibki
««««OCENA
Strony rekomendowane
Strony rekomendowanew
ww
.i-slownik.pl
ww
w.hcsl.pl
ww
w.antynet.pl
ww
w.ccns.pl
ww
w.osdev.pl
ww
w.ochronainform
acji.plw
ww
.topsec.plw
ww
.hackme.pl
ww
w.hakerzy.net
ww
w.mgibki.w
ordpress.com
12 HAKIN9
ATAK
6/2010
Poniżej prezentuję kilka typów ataków na serwery DNS. Dodatkowe opisy pojęć w sekcji Terminy.
Zatruwanie DNS (ang. cache poisoning ) to technika phishingu polegająca na wysłaniu do serwera DNS fałszywego rekordu kojarzącego nazwę domeny z adresem IP. Serwer DNS zapamiętuje go na pewien czas (do kilku godzin) i zwraca klientom zapamiętany adres IP, czego skutkiem jest przeniesienie na fałszywą stronę.
Cache poisoning może być zastosowany do uzyskania danych dotyczących np. logowania do serwisu aukcyjnego czy banku. Poprzez przekierowanie na identycznie wyglądającą stronę po wpisaniu nazwy użytkownika i hasła nic się nie dzieje, tak to odbieramy. W rzeczywistości dane te zostają zapisane na komputerze sprawcy, który może ich użyć na prawdziwej stronie i dokonać transakcji (np. przelew internetowy) w naszym imieniu.
DNS spoofing – jest to atak na serwer DNS, który posiada bazę danych przechowującą numery IP dla poszczególnych adresów mnemonicznych. Atak DNS spoofing polega na ingerencji w tablicę DNS i modyfikacji poszczególnych wpisów tak, aby klient zamiast do komputera docelowego kierowany był do komputera atakującego. Głównie wyróżnia się trzy ataki związane z fałszowaniem DNS:
PAWEŁ BASZKOWSKI
Z ARTYKUŁU DOWIESZ SIĘo protokole DNS,
o typach ataków na serwery DNS,
o tym jak ograniczyć niebezpieczeństwo ataku.
CO POWINIENEŚ WIEDZIEĆznać technologie sieciowe,
na czym polega rozwiązywanie adresów sieciowych.
• Atakujący włamuje się do serwera DNS, podmieniając odwzorowanie nazw URL na adresy IP. Zapytanie o dany adres URL zostaje odesłane do maszyny, która będzie kontrolowana przez atakującego.
• Atakujący może fałszować odpowiedź z serwera DNS przez kontrolę pomiędzy klientem, a serwerem nazw. Umożliwia to bezpołączeniowy charakter protokołu UDP. Numery sekwencyjne są zwiększane o jeden, co pozwala bardzo łatwo przewidzieć ich kolejność. Jeżeli atakujący potrafi odczytać wymianę pakietów z serwerem DNS, może przewidzieć numerowanie sekwencji.
• DNS cache może zostać zatruty, jak opisane wyżej, poprzez przesłanie fałszywej strefy z dużą wartością pola TTL. Atak jest wykonywalny przy założeniu, że zdalny serwer nazw jest kontrolowany przez atakującego.
DNS Amplification to odmiana ataku DDoS, polegająca na wysłaniu zapytań do serwerów DNS ze sfałszowanym adresem zwrotnym (spoofing). Najczęściej wykorzystuje się do tego sieć przejętych przez agresora komputerów (np. duży botnet). Serwery DNS, w odpowiedzi na dziesiątki lub nawet setki tysięcy zapytań kierowanych z komputerów agresora, wysyłają odpowiedzi na jeden komputer, cel ataku włamywacza, zapychając jego łącze, pamięć
Stopień trudności
Ataki na serwery DNSRozróżniamy ataki na serwery DNS różnego rodzaju. Wszystkie mają na celu dokonanie jak największych utrudnień w ruchu sieciowym np. poprzez zablokowanie czy przeciążenie go.
13 HAKIN9
ATAKI NA SERWERY DNS
6/2010
i moc obliczeniową do granic możliwości. Atakowany ma małe możliwości obrony przed takim atakiem, gdyż odfiltrowanie odpowiedzi od DNS na odpowiedzi na zadane i na niezadane pytanie jest praktycznie niemożliwe.
W maju 2006 w ten właśnie sposób zostało zaatakowane i doprowadzone do upadku przedsiębiorstwo Blue Security, które walczyło ze spamem.
DRDoS (ang. Distributed Reflection Denial of Service) – jedna z nowszych odmian ataku odmowy dostępu DoS. Powstała w wyniku połączenia metody zalewania żądaniami synchronizacji pakietów SYN (SYN flood) i metod wykorzystywanych przy rozproszonych atakach odmowy dostępu DDoS.
Polega na generowaniu specjalnych pakietów SYN, których adres źródłowy jest fałszywy – jest nim adres ofiary. Następnie duża liczba takich pakietów jest wysyłana do sieci. Komputery, do których one docierają, odpowiadają pakietami SYN/ACK kierowanymi na adres pochodzący z fałszywego nagłówka. W wyniku czego ofiara jest zalewana olbrzymią ilością pakietów z wielu hostów.
W porównaniu do tradycyjnego ataku typu DDoS utrudnia to wykrycie rzeczywistego źródła ataku.
SYN flood to jeden z popularnych ataków w sieciach komputerowych. Jego celem jest głównie zablokowanie usług danego serwera (DoS). Do przeprowadzenia ataku wykorzystywany jest protokół TCP.
Luka w protokole DNSLuka wykryta przez specjalistę ds. bezpieczeństwa sieciowego Dana Kaminsky'ego, umożliwia przejęcie kontroli nad serwerami nazw. Problem dotyczy protokołu DNS, na atak podatne są wszystkie serwery niezależnie od platformy. Atakujący dzięki wykorzystaniu luki może przejąć kontrolę i przekierować ruch w inne miejsce.
Okazało się, że wysłanie do serwera DNS serii odpowiednio przygotowanych zapytań może spowodować automatyczne przekierowanie ofiary z bezpiecznej witryny na niebezpieczną. Co ważne, cała operacja będzie dla
atakowanego internauty zupełnie niezauważalna. Taka technika przestępcza nazywana jest zatruwaniem DNS (DNS poisoning) – do tej pory przestępcy korzystali jednak z niej raczej dzięki różnym lukom w aplikacjach instalowanych na komputerze. Tym razem problem jest znacznie poważniejszy, ponieważ luka dotyczy oprogramowania odpowiedzialnego za funkcjonowanie sieci WWW.
Atakujący mogą bez użycia phishingu przekierować ofiary na oszukańcze witryny. Przy lepszym przygotowaniu nie tylko strony, ale znaczna część ruchu może zostać przekierowana, co spowoduje uzyskanie dostępu do wielu poufnych danych.
Luka wykryta przez Kaminsky'ego dotyczy sposobu jak serwery uzyskują informacji od siebie nawzajem. Gdy serwer DNS nie posiada informacji, próbuje ją uzyskać od innego serwera. Luka pozwala wysłać tak spreparowane dane, że serwer DNS uznaje je za prawidłowe.
Metodologia dokonanych atakówAtaki bazują na 2 głównych kwestiach. Po pierwsze mimo wykrycia luki w systemie informatycznym administratorzy i tak nie aktualizują systemów. Jak informuje NASK, który dokonał takiego sprawdzianu analizy ponad 150 mln zapytań DNS do serwerów domeny .pl okazało się, że blisko 70% resolverów (znajdujących się w polskich klasach adresowych) jest nadal podatna na atak typu cache poisoning .
Po drugie, ataki bazujące na tym fakcie wykorzystują znane mechanizmy ataku. I tak atak SYN flood polega na wysyłaniu dużej ilości pakietów z ustawioną w nagłówku flagą synchronizacji (SYN) i najczęściej ze sfałszowanym adresem IP nadawcy (IP spoofing). Pakiety TCP z ustawioną flagą SYN służą do informowania zdalnego komputera o chęci nawiązania z nim połączenia. Podczas takiego ataku serwer, który otrzymał pakiet z flagą SYN na port, który jest otwarty, odpowiada na każdy pakiet zgodnie z zasadami protokołu TCP wysyłając pakiet z ustawionymi flagami synchronizacji (SYN) i potwierdzenia (ACK) do komputera, który w tym wypadku nie istnieje, istnieje, ale nie zamierzał nawiązywać połączenia z atakowanym hostem lub jest to komputer atakowanego, który specjalnie nie odpowiada. Powoduje to przesyłanie dużych ilość danych i obciąża łącze sieciowe.
Oprócz odpowiedzi na pakiety SYN atakowany komputer zapisuje w tablicy stanów połączeń informację, że nastąpiła próba połączenia i wysłano potwierdzenie (pakiet z flagami SYN i ACK). Tablice te są przechowywane w pamięci RAM, a ich wielkość jest ograniczona. Jeżeli taki atak będzie powtarzany a liczba takich pakietów będzie bardzo duża, w pewnym momencie nastąpi przepełnienie tablicy połączeń atakowanej maszyny co spowoduje, że ów komputer nie będzie akceptował następnych przychodzących połączeń. Serwer wówczas będzie cały czas w stanie oczekiwania na pakiety ACK, które nigdy nie nadejdą.
Listing 1. Określenie pola TTL
domena.com: type A, class inet, addr 212.77.100.102
Name: domena.com
Type: Host address
Class: inet
Time to live: 15 minutes
Data length: 4
Addr: 212.77.100.102
domena.net: type A, class inet, addr 192.168.1.5
Name: domena.net
Type: Host address
Class: inet
Time to live: 1 day, 15 hours, 38 minutes, 29 seconds
Data length: 4
Addr: 192.168.1.5
ATAK
14 HAKIN9 6/2010
ATAKI NA SERWERY DNS
15 HAKIN9 6/2010
Ciągły atak SYN flooding powoduje zaprzestanie odpowiadania na nowe zapytania. Jak również spowalnia obsługiwanie otwartych połączeń poprzez znaczny wzrost zapotrzebowania na zasoby komputera (przede wszystkim pamięć). W skrajnym przypadku może spowodować zawieszenie systemu.
Atak z wykorzystaniem DNS spoofing polegać będzie na podszyciu się pod stronę np. banku, co w efekcie doprowadzi do uzyskania dostępu do konta ofiary. Może być dokonany też na stronę WWW dużej korporacji, czego efektem będzie przejęcie klientów.
Dla serwera FTP podszycie spowoduje przejęcie danych wysłanych na serwer przez ofiarę lub podstawienie własnych w przypadku, gdy pobierane są jakieś pliki.
Ciekawy sposób to podszywanie się pod systemy automatycznego sprawdzania najnowszej wersji oprogramowania. Gdy intruz podszyje się pod serwer, z którego korzysta ofiara może spowodować instalowanie oprogramowania podstawionego i obejście zabezpieczeń opartych na dostępie z wybranych komputerów, puli adresowej lub poprzez inne obostrzenia.
Przykład ataku na serwer DNSPrzykładowy atak przy użyciu DNS spoofing. Spróbujemy dokonać ingerencji w tablicę DNS i modyfikację poszczególnych wpisów tak, aby klient zamiast do komputera docelowego skierowany był do komputera atakującego.
Każdy serwer DNS posiada swoją własną pamięć podręczną, gdzie przechowuje informacje na temat ostatnio przeprowadzonych mapowań. Czas przechowywania informacji określa pole TTL danego komunikatu DNS. Oznacza to, że jeśli intruzowi udałoby się przesłać serwerowi spreparowaną przez siebie informację to zostałaby ona zapamiętana i użyta przy każdym następnym zapytaniu. Wiadomo też, że każdy serwer DNS nasłuchuje na porcie 53 i jest gotowy przyjąć jakiekolwiek zapytanie pochodzące od dowolnego komputera w Internecie. Intruz może więc wykorzystać te dwie cechy serwerów DNS na potrzeby ataku, gdyż dzięki nim sam może zadać serwerowi DNS dowolne zapytanie i w odpowiedzi, którą na nie wyśle w polu TTL wpisać maksymalną wartość. Po tym zabiegu każdy, kto zada serwerowi DNS takie samo pytanie, otrzyma odpowiedź
pochodzącą z pamięci podręcznej, czyli z informacji podstawionych przez intruza. W ten sposób intruz nie musi znać dokładnego czasu, w którym atakowany serwer DNS będzie zadawał pytanie.
A co z identyfikatorem odpowiedzi? Jeśli używane jest oprogramowanie BIND, identyfikator odpowiedzi jest liczbą losową i określenie jej jest praktycznie niemożliwe. Musiałby wysyłać pakiety wraz ze wszystkimi możliwymi wartościami.
Jeśli serwer DNS będzie działał na platformie Windows (NT lub nowszej Server 2003 i wzwyż) to okazuje się że generowane są identyfikatory pytań (przewidywalne, bo każde kolejne zapytanie ma identyfikator większy o jeden w porównaniu do poprzedniego). Przewidzenie więc prawidłowego identyfikatora nie będzie skomplikowane.
Potrzebny jeszcze adres źródłowy. Wydając odpowiednie polecenie dowiemy się ile serwerów nazw obsługuje daną domenę. To, z którego skorzystać atakowanym serwerem DNS, można określić przez pole TTL. Na Listingu 1. prezentowany jest tego przykład.
Pole TTL (Time to live:) zawiera informację na temat przechowywania danych w pamięci podręcznej. Oznacza to, że po 15 minutach informacja dotycząca serwera domena.com zostanie usunięta z pamięci podręcznej. Dla porównania informacja o domena.net będzie przechowywana znacznie dłużej, bo ponad 1 dzień.
Przykładowy scenariusz ataku czy przetestowania próby ataku na serwer DNS wykonamy przy użyciu komputera intruza (hack.int.pl). Celem będzie spowodowanie, by po wydaniu polecenia telnet domena.com komputer użytkownika połączył się z komputerem intruza. Szczegółowy scenariusz postępowania znajduje się w Tabeli 1.
Taki atak ma duże szanse na powodzenie.
Kilkanaście sekund między rozpoczęciem a zakończeniem wysyłania podstawionych pakietów (punkty 4 i 5) to czas wystarczający na przesłanie do atakowanego serwera 65535 pakietów. Stwierdzone jest, że długość każdego z tych pakietów wynosi około 100 bajtów.
Tabela 1. Przykładowy scenariusz ataku
Etapy Opis Czas od rozpoczęcia
1 Odpytywany jest serwer o domenę domena.com. Informacje zostają zapamiętane w pamięci podręcznej.
ok. 5 sekund
2 Rozpoczęcie ataku DoS przeciw serwerowi autoryzacji. To spowoduje zapchanie go, nie będzie w stanie odpowiadać na żadne zapytanie.
10 – 15 sekund
3 Intruz zadaje serwerowi zapytanie o IP komputera domena.com
15 minut
4 Zaczyna się wysyłanie serwerowi podstawionych odpowiedzi z adresem źródłowym komputera autoryzacji z ustawioną maksymalną wartością TTL, która zawiera informację o komputerze domena.com jako hack.int.pl. Jest to łącznie 65535 pakietów, każdy z identyfikatorem odpowiedzi.
15 minut i 5 sekund
5 Zakończenie wysyłania podstawionych pakietów. Teraz serwer ma w swojej pamięci podręcznej podstawione dane dotyczące komputera domena.com
15 minut i 25 sekund
6 Nieświadomy użytkownik wydaje polecenie telnet domena.com i zostaje połączony z hack.int.pl
30 minut
ATAK
14 HAKIN9 6/2010
ATAKI NA SERWERY DNS
15 HAKIN9 6/2010
W opisywanym scenariuszu zakładamy intruza w tej samej podsieci i łączem 10 Mbps. Wystarczyłoby nam kilka sekund, ale dla pewności wykonujemy to w kilkanaście. Ze względu na wydajność urządzeń aktywnych i gotowość do przyjęcia ilości pakietów.
Te kilka sekund wyliczamy ze wzoru: (iP*dP)*8/1024*1024/S=TT – czas potrzebny na wysłanie pakietów (sek),IP – ilość danych (pakietów) do wysłania,DP – długość każdego pakietu,
S – prędkość łacza (Mbps),(65535*100)*8/1024*1024/10 = 5 sek.
Jak się obronić przed atakami?Jednym ze sposobów na zapobieganie atakom (np. typu SYN flood) jest
TerminyBIND (Berkeley Internet Name Domain, poprzednio: Berkeley Internet Name Daemon) jest popularnym serwerem (demonem) DNS. Został stworzony przez Paula Vixie w roku 1988 podczas jego pracy w DEC. BIND jest jednym z najpopularniejszych serwerów DNS wykorzystywanym w systemach Linux i Unix. BIND stanowi niezmiernie ważny składnik, zapewniający poprawne działanie systemu nazw w Internecie. Wielu użytkowników globalnej sieci bezwiednie korzysta z serwera BIND, kiedy ich przeglądarka WWW odpytuje o adres IP komputer udostępniający żądaną stronę.
Nowa wersja BIND 9 została napisana od zera, aby rozwiązać część problemów z architekturą poprzednich wydań tego programu, gdzie każda była kontynuacją poprzedniej i ulepszając ją zawierała również jej słabości. W wersji 9 zapewniono obsługę rozszerzeń bezpieczeństwa (DNS Security Extensions), dodano obsługę rekordów TSIG (uwierzytelnianie kryptograficzne), powiadomień DNS, nsupdate (ułatwiona aktualizacja rekordów DNS), IPv6, czyszczenie rekordów rndc (rndc flush), widoków, pracy wieloprocesorowej oraz poprawiono poziom przenośności kodu między różnymi platformami.
BIND był rozwijany od wczesnych lat 80-tych XX wieku w ramach projektów DARPA. W połowie dekady prace nad serwerem przejęła korporacja DEC. Jednym z jej pracowników biorących udział w projektowaniu BIND-a był Paul Vixie, który kontynuował swoją pracę po opuszczeniu tej firmy. Potem stał się jednym z założycieli ISC (Internet Software Consortium), organizacji zarządzającej standardami Internetu, która przejęła prace nad dalszym rozwojem BIND-a.
BIND 9 powstał podczas realizacji kilku komercyjnych oraz wojskowych projektów. Firmy wykorzystujące Unix chciały zapewnić, by BIND był ciągle konkurencyjny (bezpieczniejszy) względem serwerów DNS oferowanych przez Microsoft. Rozwój protokołu DNSSEC był wspierany przez wojsko USA, które chciało zwiększyć bezpieczeństwo systemu nazw.
DNS (Domain Name Service) to hierarchiczny system nazw domenowych dla urządzeń zainstalowanych w Internecie. Pozwala na rozwiązywanie nazw konkretnych hostów na ich adresy IP. Podstawowa zasada DNS to fakt nie posiadania jednego centralnego serwera, a przynajmniej kilku, przechowujących nazwy domen i ich adresów IP. Jest to zabezpieczenie przed awarią jednego, tak by drugi z serwerów mógł przejąć jego rolę jako zapasowy serwer DNS. Kilkanaście głównych serwerów (root) nie utrzymuje pełnej listy adresów, które możemy znaleźć w Internecie, a listę innych serwerów DNS, które znają drogę do danego adresu.
DoS (Denial of Service) to atak na system komputerowy lub usługę sieciową w celu uniemożliwienia działania poprzez zajęcie wszystkich wolnych zasobów.
DDOS (Distributed Denial of Service) – atak na system komputerowy lub usługę sieciową w celu uniemożliwienia działania poprzez zajęcie wszystkich wolnych zasobów, przeprowadzany równocześnie z wielu komputerów (np. Zombie).
DNSBL jest to oparta na DNS, usługa wykorzystywana do publikowania czarnych list adresów IP nadawców spamu. Jest wykorzystywana w wielu programach antyspamowych.
Phishing – w branży komputerowej, oszukańcze pozyskanie poufnej informacji osobistej, jak hasła czy szczegóły karty kredytowej, przez udawanie osoby godnej zaufania, której te informacje są pilnie potrzebne. Jest to rodzaj ataku opartego na inżynierii społecznej. Termin został ukuty w połowie lat 90. przez crackerów próbujących wykraść konta w serwisie AOL (America On Line). Atakujący udawał członka zespołu AOL i wysłał wiadomość do potencjalnej ofiary. Wiadomość zawierała prośbę o ujawnienie hasła, np. dla zweryfikowania konta lub potwierdzenia informacji w rachunku. Gdy ofiara podawała hasło, napastnik uzyskiwał dostęp do konta i wykorzystywał je w przestępczym celu, np. do wysyłania spamu. Termin phishing jest niekiedy tłumaczony jako password harvesting fishing (łowienie haseł). Inni utrzymują, że termin pochodzi od nazwiska Briana Phisha, który miał być pierwszą osobą stosującą techniki psychologiczne do wykradania numerów kart kredytowych, jeszcze w latach 80. Jeszcze inni uważają, że Brian Phish był jedynie fikcyjną postacią, za pomocą której spamerzy wzajemnie się rozpoznawali. Dzisiaj przestępcy sieciowi wykorzystują techniki phishingu w celach zarobkowych. Popularnym celem są banki czy aukcje internetowe. Phisher wysyła zazwyczaj spam do wielkiej liczby potencjalnych ofiar, kierując je na stronę w Sieci, która udaje rzeczywisty bank internetowy, a w rzeczywistości przechwytuje wpisywane tam przez ofiary ataku informacje. Typowym sposobem jest informacja o rzekomym zdezaktywowaniu konta i konieczności ponownego reaktywowania, z podaniem wszelkich poufnych informacji. Strona przechwytująca informacje – adres do niej był podawany jako klikalny odsyłacz w poczcie phishera – jest łudząco podobna do prawdziwej, a zamieszanie było często potęgowane przez błąd w przeglądarkach, który pozwalał zamaskować także rzeczywisty adres fałszywej strony. Innym sposobem było tworzenie fałszywych stron pod adresami bardzo przypominającymi oryginalny, a więc łatwymi do przeoczenia dla niedoświadczonych osób – np. www.alegro.pl, zamiast www.allegro.pl.
Spoofing polega na podszywaniu się pod inny autoryzowany komputer. Cel pozostaje ten sam, oszukanie systemów zabezpieczających. Tradycyjnie, podszywanie oznaczało działanie atakującego, polegające na przeprowadzeniu procesu autoryzacji z jednego komputera do drugiego poprzez sfałszowanie pakietów z zaufanego hosta. Ostatnio podszywaniem określa się dowolną metodę łamania zabezpieczeń autoryzacyjnych opartych na adresie lub nazwie hosta. Rodzajami spoofingu jest: ARP spoofing, DNS spoofing, IP spoofing, Route spoofing, Non-blind i Blind spoofing.
ATAK
16 HAKIN9 6/2010
wdrożenie do systemu firewalli, które limitują ilość pakietów SYN przesyłanych do danego serwera lub implementują mechanizm SYN cookies.
Kolejny ze sposobów to sprawdzenie, czy serwer DNS, z którego korzystamy, jest podatny na atak, można użyć w tym celu narzędzia DNS Checker. Na uwagę zasługuje także zróżnicowany test, który sprawdza przypadkowość portów źródłowych i identyfikatorów transakcji, stworzony przez DNS-OARC.
Przed DNS spoofing ochronić może wyłączenie obsługi pamięci podręcznej przez serwery DNS. W ten sposób intruz nie będzie mógł wprowadzić do pamięci nieprawdziwych danych. Nie wyeliminuje w pełni, ale zmusi do przewidzenia, kiedy ofiara zleci serwerowi DNS zmapowanie danego adresu IP czy nazwy komputera. Wprowadzi to do scenariusza ataku dodatkowe przeszkody i zwiększy prawdopodobieństwo nieudanego ataku. Rozwiązanie nie jest idealne, ostatnio używane dane nie będą w pamięci podręcznej, więc zwiększony będzie nieco ruch sieciowy. Mimo to, jest to skuteczna metoda zwiększenia poziomu bezpieczeństwa protokołu.
Czynnikiem powodującym tak duże zagrożenia przy korzystaniu z DNS jest fakt wykorzystywania przez niego bezpołączeniowego protokołu UDP. Najrozsądniejszym wyjściem z sytuacji wydaje się więc zastosowanie w jego miejsce protokołu TCP. Oprogramowanie BIND używa w pewnych warunkach TCP – dzieje się tak np. wtedy, gdy komunikat DNS ma długość większą niż 512 bajtów. Gdyby przerobić oprogramowanie BIND w taki sposób, aby cały czas korzystało ono z TCP, problem podrabiania odpowiedzi DNS zostałby rozwiązany.
Obecnie trwają prace związane z wdrożeniem w Internecie protokołu DNSSEC. Jest on zaprojektowanym praktycznie od początku odpowiednikiem DNS, jednak w trakcie jego projektowania główny nacisk położono na bezpieczeństwo. Podczas mapowania adresów wykorzystuje on infrastrukturę klucza publicznego serwerów oraz odpowiednie certyfikaty potwierdzające autentyczność odpowiedzi. Jest to oczywiście bardzo
bezpieczne rozwiązanie, posiadające jednak pewną istotną wadę – nie jest kompatybilne ze starszą wersją DNS. Wymaga, aby wszystkie serwery DNS w Internecie korzystały z DNSSEC, co oczywiście znacznie utrudni szybkie jego upowszechnienie. Bardzo ważnym krokiem, poczynionym przez twórców BIND-a, było zaimplementowanie obsługi DNSSEC w najnowszej wersji ich oprogramowania. Oznacza to, że poszczególne serwery DNS mogą pracować jednocześnie ze starszą i nowszą wersją protokołu. Na pewno przyspieszy to upowszechnienie się DNSSEC, jednak stopień skomplikowania konfiguracji potrzebnej do prawidłowego działania nowego protokołu nie wróży mu w najbliższej przyszłości lawinowego przypływu nowych użytkowników.
Wielorakość usług świadczonych w Internecie uniemożliwia sporządzenie szczegółowego wykazu wszystkich sytuacji, w których bierne korzystanie z protokołu DNS jest niebezpieczne. Są też niestety usługi, które do swojego działania wymagają DNS-u, nie może więc próbować obejść tego i wpisywać np. bezpośrednio adresu IP. W takim przypadku nie ma oczywiście możliwości rezygnacji z tego protokołu. Jednym z najważniejszych przykładów jest tu usługa poczty internetowej, która swoje działanie opiera w dużym stopniu na DNS.
Jeśli mówimy o DdoS, to nie ma takiego łącza, którego nie da się zapchać ruchem – ataki powyżej 20 GB/s czy 20 mln pakietów na sekundę już się zdarzają. W świecie połączeń internetowych o przepływnościach 2, 10, 34, 100, 155, 622 czy nawet 1000 MB/s taka wartość robi wrażenie.
Dostawcy usług oraz dostawcy sprzętu tworzą filtry ruchowe. Wydzielają adresację IP urządzeń przenoszących ruch. Pozwala to na łatwe odfiltrowanie na brzegu własnej sieci ruchu kierowanego do urządzeń sieciowych, a tzw. tranzytowego do lub z hostów wewnątrz sieci. Realizuje się to, wydzielając inter fejsy osobno do ruchu zewnętrznego i wewnętrznego. Kolejny krok to MPLS do ukrycia własnej sieci
przed zewnętrznymi atakami z Internetu i przenoszenie ruchu w sposób niepozwalający na odkrycie wewnętrznej struktury połączeń. Wdrażane są też konkretne mechanizmy, jak zalecenia związane z ograniczaniem ruchu do serwerów głównych systemu DNS i nakłanianiu albo przekierowywaniu zapytań do serwerów własnych.
By stwierdzić i zatrzymać atak DdoS, warto obserwować ruch sieciowy na interfejsach urządzeń. Obciążenia procesorów sprawdzimy za pomocą protokołu SNMP.
Przydatne są wszelkie urządzenia IPS (Intruder Prevention System) znanych firm specjalizujących się w zabezpieczaniu ruchu sieciowego. Są tam wdrożone algorytmy i dzięki temu urządzenia te są w stanie wykryć anomalie.
Dodatkowo wszelkie zmiany używanych standardowych portów na inne są również skuteczne. Dla przykładu DNS jednej z popularnych przeglądarek nie używa standardowego numeru portu odpowiedzi 53 (UDP), lecz dla każdego zapytania losuje inny numer portu (używając 15 bitów, które pozwalają na wykorzystanie około 32 000 losowych numerów portów). System radzi sobie też z usuwaniem zduplikowanych zapytań, nie pozwalając na więcej niż jedno żądanie dla tej samej nazwy, typu oraz docelowego IP.
PodsumowanieZawsze należy systemy informatyczne łatać i aktualizować by były zabezpieczone oraz kierować się także zdrowym rozsądkiem, szczególnie w przypadku wszelkich operacji dokonywanych w Internecie. Pamiętajmy, że w Internecie nie jesteśmy anonimowi, wszelkie działania elektroniczne są rejestrowane.
Paweł BaszkowskiWłaściciel i założyciel IT Studio, inżynier informatyk z wieloletnim doświadczeniem w branży IT. Zarzadzał i zarządza sieciami i telekomunikacją (m.in. w logistyce, bankach, automatyce przemysłowej). Kierowal i uczestniczył w wielu wdrożeniach i projektach informatycznych. Jest absolwentem MBA, uwielbia pracę techniczną. Kontakt z autorem: [email protected], (www.it-studio.pl ).
TTS Company Sp. z o.o.Sprzedaż i dystrybucja oprogramowania komputerowego. Import programów na zamówienie. Ponad 200 producentów w standar-dowej ofercie.
Chcesz kupić oprogramowanie i nie możesz znaleźć polskiego do-stawcy?
Skontaktuj się z nami – sprowadzimy nawet pojedyncze licencje.
www.OprogramowanieKomputerowe.pl
CCNSDziałalność firmy skoncentrowana jest wokół hasła zapewnie-nia pełnego bezpieczeństwa funkcjonowania Klienta w realiach współczesnej gospodarki. Jako Expert Partner firmy WatchGu-ard Inc. oferujemy kompleksowe rozwiązania bezpieczeństwa sie-ci i systemów informatycznych obejmujące nowoczesne urzą-dzenia typu Unified Threat Management, niezawodny serwis i szeroki wachlarz szkoleń.
www.ccns.pl
Sokra-NETDziała od roku 2002, specjalizuje się w szeroko pojętym bezpie-czeństwie informacji. Posiada wykwalifikowany specjalnie do tych celów zespół inżynierów którzy przy współpracy z naszymi klien-tami maksymalizują bezpieczeństwo danych, audytując i dobezpie-czając. Wykonujemy testy penetracyjne, analizy kodów źródłowych, testy wydajnościowe aplikacji i ich środowisk teleinformatycznych. Wdrażamy polityki bezpieczeństwa. Wspomagamy naszych partne-rów merytorycznie.
www.sokra.net
Jedna edycja Klubu PRO obejmuje 12 miesięcy, czyli 12 kolejnych numerów pisma. Jak wygląda reklama?W naszym magazynie będą pojawiały się strony z reklamami firm, które skorzystają z naszej wyjątkowej oferty. Każda strona podzielona będzie na moduły.Każda firma ma na wyłączność jeden moduł. Zawiera on: logo firmy, 300-400 znaków na temat oferty firmy oraz kontakt do niej.Magazyn Hakin9 wychodzi w nakładzie 6000 egzemplarzy – jest to więc znakomita okazja na promocję za naprawdę niewielką cenę.
Aby poznać szczegóły naszego Klubu napisz do:[email protected] 427 36 77
Przyłącz się do naszego Klubu PRO
18
OBRONA
HAKIN9 6/2010
I stnieją jednak nieskomplikowane rozwiązania zwiększające bezpieczeństwo przesyłu informacji firmowych zarówno
w sieciach kablowych, jak również bezprzewodowych. Można zastosować technikę szyfrowania pakietów podczas transmisji pomiędzy komputerami. Ogólna zasada działania polega na zaszyfrowaniu pakietów w innych przejrzystych pakietach. Gwarantuje to nadawcy i odbiorcy informacji, że jedynie w miejscu docelowym będzie możliwe rozszyfrowanie i obejrzenie oryginalnego pakietu. Do szyfrowania transmisji można wykorzystać wiele narzędzi dostępnych w Internecie. Artykuł ten jest poświęcony przedstawieniu kilku przydatnych konfiguracji zwiększających bezpieczeństwo poprzez szyfrowanie połączeń w niezaufanych sieciach. Kilka przykładów będzie opartych o małe programy z niewielką konfiguracją, które będą zapewniały bezpieczeństwo i szyfrowanie mechanizmu transportowego. Zostaną również przedstawione sposoby przybliżające czytelnikowi tworzenie wirtualnych sieci prywatnych VPN.
RozgrzewkaWiększość programów i sposobów opisanych w tym artykule będzie korzystało z protokołu SSL. Jest to protokół stworzony przez firmę Netscape Communications Corporation i jego zadaniem jest
DANIEL SUCHOCKI
Z ARTYKUŁU DOWIESZ SIĘco to są tunele sieciowe,
jak skonfigurować proste tunele za pomocą SSH,
jak łączyć w tunele sieciowe różne systemy operacyjne,
jak skonfigurować sieci VPN.
CO POWINIENEŚ WIEDZIEĆpowinieneś mieć podstawowe pojecie na temat protokołu TCP/IP,
powinieneś swobodnie poruszać się w środowisku systemu Linux, FreeBSD i Windows,
mieć pojęcie na temat kompilacji oprogramowania w systemie Linux i FreeBSD,
posiadać umiejętność konfiguracji protokołów sieciowych w systemach Linux, FreeBSD i Windows.
zapewnienie poufności i integralności transmisji danych. Opiera się na szyfrach asymetrycznych oraz cer ty fikatach standardu X.509, a jego główną zaletą jest fakt , że działa na warstwie TCP, dlatego można go łatwo zastosować do zabezpieczenia protokołów warstwy aplikacyjnej. Zanim zaczniemy budować sieci prywatne oparte o szyfrowanie transmisji musimy przygotować specjalne klucze (prywatne oraz publiczne). Do generowania kluczy, wniosków i cer tifikatów użyjemy najpopularniejszej biblioteki na świecie openssl . Jako środowisko do generowania potrzebnych plików użyjemy systemu Linux Debian, ale nic nie stoi na przeszkodzie, aby był to jakikolwiek inny system operacyjny. Na początek należy w wydać polecenie # apt-get install openssl , które zainstaluje potrzebne oprogramowanie. Aby wstępnie przygotować środowisko do generowania cer ty fikatów należy przejść do katalogu stworzonego przez aplikację ssl (domyślnie jest to katalog /etc/ssl ), a następnie wydać polecenie:
# mkdir private certs crl oraz touch
index.txt: echo 00 >
serial
które stworzy katalogi private cer ts crl i wstępnie przygotują miejsce na przyszłe klucze. W pierwszej kolejności należy
Stopień trudności
Tunele siecioweWygoda, która związana jest ze zdalnym podłączeniem do Sieci współczesnej organizacji niesie ze sobą duże ryzyko przechwycenia niejawnych informacji. Można się opierać na bezpieczeństwie fizycznym dostępu do sieci firmowej, jednak taka koncepcja całkowicie nie ma zastosowania chociażby w sieciach bezprzewodowych.
19
TUNELE SIECIOWE
HAKIN9 6/2010
wygenerować klucz prywatny CA poleceniem:
# openssl genrsa –des3 –out provate/
cakey.pem 1024
następnie podać hasło do wygenerowanego klucza. W drugiej kolejności potrzebny będzie certyfikat CA, który generuje się poleceniem:
# openssl req –new –x509 –days 365
–key private/cakey.pem
–out cacert.pem
wykorzystując wcześniej stworzony klucz. Podczas tworzenia certyfikatu należy uzupełnić dane, o które zostajemy poproszeni. Dane dotyczą min. nazwy kraju, województwa, miasta, nazwę firmy, dla której jest generowany certyfikat oraz adres e-mail. Posiadając urząd CA można generować klucze oraz certyfikaty dla serwera VPN, którym będziemy się zajmować w późniejszym czasie oraz poszczególnych użytkowników z nim łączących. Generowanie klucza prywatnego dla serwera VPN odbywa się za pomocą polecenia:
# openssl genrsa –des3 –out provate/
server.pem 1024
Mając klucz prywatny serwera należy stworzyć wniosek o wystawienie certyfikatu poleceniem:
# openssl req –new –key provate/
serverkey.pem –
out serverreq.pem
oraz wypełnić formularz, który zostanie wyświetlony podczas procedury tworzenia wniosku. Wygląda on identycznie jak poprzedni formularz podczas tworzenia certyfikatu CA. Kolejnym krokiem jest podpisanie wniosku przez CA poleceniem:
# openssl ca –notext –in
serverreq.pem
–out
servercert.pem
podając hasło do wcześniej wygenerowanego klucza prywatnego CA (cakey.pem). W analogiczny sposób należy stworzyć klucze oraz certyfikaty dla poszczególnych użytkowników, którzy będą mieli dostęp do łączenia się z firmą za pomocą tuneli VPN. Dobrym pomysłem jest ściągnięcie hasła z klucza prywatnego serwera poleceniem:
# openssl rsa –in provate/
serverkey.pem
–out provate/
serverkey.pem_
brak_hasla
Dzięki takiemu zabiegowi serwer VPN będzie startował jako usługa, nie prosząc
Rysunek 1. Podgląd konfiguracji programu Putty do ustawienia szyfrowanego tunelu z programem pocztowym
Rysunek 2. Zestawiony tunel pomiędzy Windows i Linux na porcie 110
OBRONA
20 HAKIN9 6/2010
TUNELE SIECIOWE
21 HAKIN9 6/2010
za każdym razem o hasło, co znacznie zautomatyzuje pracę serwera. Jeśli tego nie zrobimy przy każdym restarcie serwera, będzie on czekał na podanie hasła podczas startowania usługi, przez co proces podniesienia maszyny nie dojdzie do skutku i stracimy z nią zdalną łączność. Nie zaleca się jednak ściągania haseł z kluczy użytkowników, gdyż w razie utraty komputera stanowią one zabezpieczenie przed dostępem do
danych firmowych. Uzbrojeni w klucze publiczne i prywatne możemy przystąpić do konfiguracji programów i szyfrowania transmisji w sieci.
Coś na początekKażdy administrator zdalnie zarządzający serwerami zna najbardziej popularny program SSH. Jednak nie każdy wie, że za pomocą tego narzędzia można stworzyć całkiem przyzwoity szyfrowany
tunel. Jedynym mankamentem jest fakt, aby zestawić taki tunel z odległym serwerem, musimy posiadać na nim konto z możliwością zdalnego logowania. Jest to jeden z najprostszych implementacji szyfrowanych tuneli, dla których nie trzeba specjalnie przygotowywać plików konfiguracyjnych lub żmudnie spędzać godziny na czytanie różnorodnych poradników. Mimo prostoty jest to wygodny sposób zabezpieczania ruchu np. pocztowego, WWW czy każdego innego, który powinien zostać niewidoczny, aż do drugiego końca tunelu. Sama zasada pracy SSH jest stosunkowo prosta. Program przekazuje ruch, poprzez powiązanie z lokalnym portem, szyfrując go (ruch) i wysyłając na drugi koniec połączenia ssh. Następnie odszyfrowuje go i wysyła do wskazanego portu na komputerze zdalnym.
Jednym z przykładów często wykorzystywanym jest stworzenie takiego połączenia na potrzeby komunikacji z programem pocztowym. Taki przypadek może zostać wykorzystany np. podczas częstych wyjazdów pracowników handlowych, którzy będąc podłączeni w sieciach nieznanych, muszą być na bieżąco w sprawach firmowych i odbierają pocztę np. w sieci hotelowej. Najczęściej tacy handlowcy mają skonfigurowane programy pocztowe typu np. Outlook czy Thunderbird, a ogólnie widomo, że takie programy pocztowe podczas połączenia wysyłają login i hasło jawnym tekstem, co w nieznanej nam sieci może doprowadzić do
Rysunek 3. Podgląd konfiguracji programu Putty do ustawienia szyfrowanego tunelu z pulpitem zdalnym - I koniec tunelu (komputer firmowy)
Rysunek 4. Schemat szyfrowanego tunelu (pulpit zdalny)
OBRONA
20 HAKIN9 6/2010
TUNELE SIECIOWE
21 HAKIN9 6/2010
podsłuchania tych danych, a co to oznacza każdy z nas wie. Wiec idąc dalej tym przykładem stworzymy tunel, który będzie łączył się serwerem w firmie handlowca tak, aby pobrać pocztę, jednak aby cały ten ruch był niewidoczny i niemożliwy do podsłuchania. Aby zestawić taki tunel w systemie Linux, należy wydać polecenie:
# ssh nazwa_użytkownika@numer_ip_
serwera –L 34542:
127.0.0.1:110
Takim poleceniem zestawiliśmy tunel, podając nazwę użytkownika oraz numer IP lub nazwę serwera z lokalnym portem 34542 (opcja –L) z odległym serwerem z portem 110 (POP3). Na uwadze należy mieć fakt, iż w systemach unikowych próba uruchomienia usługi nasłuchującej na porcie niższym niż 1024 wymaga uprawnień administracyjnych (root). Każde zestawienie tunelu przez zwykłego użytkownika na porcie niższym niż 1024 zostanie zwrócone komunikatem Privileged ports can only be forwarded by root. Jeśli chcemy zestawić taki tunel z w systemie Windows należy użyć do tego dobrze znany program Putty. Odpada również ograniczenie używania wysokich portów, gdyż w systemie Windows można śmiało używać portów poniżej 1024 jako zwykły użytkownik. Rysunek 1. przedstawia wstępną konfigurację programu do ustawienia szyfrowanego tunelu. Po nawiązaniu połączenia zostanie zestawiony tunel pomiędzy portem 110 maszyny lokalnej (Windows) a portem 110 na maszynie zdalnej (Linux). Na Rysunku 2. przedstawiono podgląd zestawionego tunelu pomiędzy maszyną Windows i Linux łączącego porty 110. Bardziej estetycznie będzie zadbanie o to, żeby podczas połączenia tunel przeszedł w tło na serwerze i nie blokował konsoli. Taki wynik można uzyskać dzięki poleceniu:
# ssh –f –n nazwa_użytkownika@numer
_ip_serwera –L
34542:127.0.0.1:
110 sleep 600
Opcja –f nakazuje przejście w tło i tunel nie będzie zajmował zbędnego
miejsca. Natomiast opcja –n informuje, aby proces nie wykonywał polecenia na zdalnym końcu tunelu, a jedynie przekazywał ruch. Dodatkowo zastosowano opcję sleep 600. Jest to zwykłe polecenie systemowe, które będzie nakazywało zestawienie tunelu na pewien określony czas, po czym proces zostanie wyłączony i tunel zniknie.
Innym bardzo przydatnym sposobem wykorzystania SSH, który otwiera port po stronie serwera tak zwany remote forward. Dość często zdarza się sytuacja, iż nie zdążymy wykonać jakiś czynności w pracy na firmowym komputerze, a nie mamy za bardzo czasu, żeby siedzieć po godzinach. Być może znajdzie się parę sekund wieczorem. Dobrze by było wtedy coś dopisać – poprawić. Jednak polityka bezpieczeństwa sieci w firmie nie pozwala na przekierowanie portów na zewnątrz, a firewall firmowy jest tak skonfigurowany, że o pulpicie zdalnym możemy całkowicie zapomnieć. I w tym miejscu z pomocą przychodzi protokół SSH. Jedynym minusem tego sposobu jest fakt, iż musimy posiadać konto shellowe na
pośredniczącym serwerze unikowym po to, żeby zestawić połączenie tunelowe i uzyskać połączenie pulpitu zdalnego z komputerem będącym za NAT-em. Na początek z komputera firmowego należy stworzyć połączenie z serwerem pośredniczącym. W tym celu posłużymy się wcześniej opisywanym już programem Putty. W zakładce Tunnels ustawiamy Source port na 12345 natomiast opcję Destination na 127.0.0.1:3389 i zaznaczamy opcję Remote. Opisaną konfigurację przedstawiono na Rysunku 3. Source port jest portem, który zostanie otwarty na serwerze pośredniczącym po nawiązaniu połączenia przez komputer firmowy. W tym miejscu należy podać dowolny port większy niż 1024 (wcześniej opisano zasadę przydzielania portów), natomiast Destination to końcówka naszego tunelu. Po poprawnym nawiązaniu połączenia zostanie ustawiony tunel pomiędzy portem 12345 interfejsu 127.0.0.1 (localhost), a usługą Windows zdalny pulpit. Schemat połączonego tunelu przedstawia Rysunek 4. Teraz należy zadbać o stworzenie drugiego
Listing 1. Przykładowa konfiguracja programu VTun po stronie serwera
options {
port 5544;
ifconfig /sbin/ifconfig;
route /sbin/route;
syslog auth;
default {
compress no;
speed 0;
}
home {
type tun;
proto tcp;
stat yes;
pass <jakies hasło>
up {
ifconfig "%% 200.123.123.32 pointtopoint 200.123.123.33";
program /sbin/arp "-Ds 200.123.123.33 %% pub";
program /sbin/arp/ "-Ds 200.123.123.33 eth0 pub";
route "add -net 10.10.0.0/16 gw 200.123.123.33";
};
down {
program /sbin/arp "-d 200.123.123.33 -i %%";
program /sbin/arp/ "-d 200.123.123.33 -i eth0";
route "del -net 10.10.0.0/16 gw 200.123.123.33";
};
}
OBRONA
22 HAKIN9 6/2010
TUNELE SIECIOWE
23 HAKIN9 6/2010
odcinka tunelu pomiędzy serwerem pośredniczącym, a naszym komputerem domowym. W takim wypadku należy zaznaczyć opcję przekazywania lokalnego local forward pomiędzy lokalnym portem naszego komputera domowego, a już wcześniej wykorzystanym portem zdalnym na serwerze pośredniczącym 12345. W programie Putty należy jako
Source port ustawić port np. 33389, natomiast w polu Destination wpisać 127.0.0.1:12345 oraz zaznaczyć opcję Local. W tym przypadku pole Source port oznacza lokalny port komputera, z którym będzie podłączony tunel, natomiast Destination jest to adres docelowy naszego tunelu. Opisaną konfigurację w programie Putty przedstawia Rysunek 5.
Po zestawieniu połączenia SSH możemy połączyć się z komputerem firmowym poprzez usługę zdalnego pulpitu w systemie Windows (mstsc.exe), korzystając z adresu 127.0.0.1:33389, jak pokazano na Rysunku 6. Całość zestawionego tunelu przedstawiono na Rysunku 7. Dzięki prostemu rozwiązaniu można omijać (niektóre) firewalle firmowe i bez przeszkód logować się do komputerowych firmowych nawet po godzinach pracy.
Kolejnym bardzo praktycznym przykładem wykorzystania narzędzia SSH jest sytuacja, która zapewne zdarzyła się niejednemu użytkownikowi. Załóżmy, że korzystamy z Internet wpięci w sieć osiedlową. Minusem takiego rozwiązania jest fakt comiesięcznego opłacania abonamentu i czasem zdarzy się nam zapomnieć lub przekroczyć termin zapłaty. Wtedy administrator blokuje nam ruch zewnętrzny na porcie 80 oraz np. 8080, dzięki czemu nasza przeglądarka przestanie z nami współpracować. Mając jednak dostęp do konta shellowego na serwerze linuksowym możemy stworzyć tunel, który ominie blokadę nałożoną przez administratora. Krótko mówiąc stworzymy z serwera SSH Proxy dla własnych potrzeb. Mogłoby się wydawać, że jest to niemożliwe, gdyż w poprzednich przypadkach końcami tunelu zawsze był jeden stały ustawiony port. Natomiast sieć WWW jest tak ogromna, że takie rozwiązanie nie może zostać wykorzystane. Jednak twórcy SSH stworzyli tunele dynamiczne dzięki czemu został rozwiązany problem i nie musimy się martwić o zestawianie kolejnych połączeń. Logujemy się za pomocą protokołu SSH, tak jak to robiliśmy w poprzednich przypadkach, jednak dodatkowo używamy przełącznika –D, który jest odpowiedzialny za implementowanie tuneli dynamicznych.
# ssh nazwa_użytkownika@numer_ip_
serwera –D 8080
Jeśli chcemy dokonać takiego połączenia tunelowego w systemie Windows musimy użyć programu Putty, zaznaczyć opcję Dynamic oraz podać
Rysunek 5. Podgląd konfiguracji programu Putty do ustawienia szyfrowanego tunelu z pulpitem zdalnym - II koniec tunelu (komputer domowy)
Rysunek 6. Podłaczenie pulpitu zdalnego
OBRONA
22 HAKIN9 6/2010
TUNELE SIECIOWE
23 HAKIN9 6/2010
port 8080. Konfigurację w programie Putty przedstawia Rysunek 8. Po wydaniu tego polecenia na naszym komputerze zostanie otwarty port 8080, który musimy wykorzystać jako Proxy protokołu SOCKS, wpisując go w naszej przeglądarce w zakładce konfiguracji serwera pośredniczącego. Dzięki takiemu rozwiązaniu wszystkie dane przekazywane portem 8080 będą w pierwszej kolejności przesyłane tunelem do serwera SSH, a w kolejnym kroku do serwera docelowego, czyli tego, który zostanie podany w adresie przeglądarki. Jak widać protokół SSH, który na co dzień jest używany do całkowicie innych zadań może świetnie sprawdzić się jako budulec silnych szyfrowanych tuneli.
Oprócz własnej implementacji i możliwości tworzenia połączeń protokół można wykorzystać jako dodatkowe zabezpieczenie podczas tworzenia tuneli za pomocą innego oprogramowania. Takim oprogramowaniem, z którym można połączyć SSH jest VTun. Jest to serwer tunelu, który działa w przestrzeni użytkownika wykorzystując standardowy sterownik tunelowania tun. Jest to dobre rozwiązanie, jeśli myślimy o zabezpieczeniu się szyfrowanym ruchem IP, przemieszczając się np. w sieciach bezprzewodowych. Program jest darmowy i uniwersalny, jeśli chodzi o systemy operacyjne. Obecnie działa pod Linuxem, BSD oraz Mac OS X. Zanim przystąpimy do pracy należy wyposażyć się w program VTun. Jest on obecny w większości systemów operacyjnych posiadających własne repozytoria oraz upewnić się, że w jądro systemu jest wbudowany sterownik tun . Jeśli sterownik
został wkompilowany w jądro należy wydać polecenie (warto zadbać, aby i serwer i klient posiadali te same wersje jąder, aby wyeliminować błędne działanie sterownika tun):
# modprobe tun
Kolejnym krokiem jest przygotowanie konfiguracji na serwerze VTun oraz stacji klienckiej. Listing 1. przedstawia przykładową konfigurację po stronie serwera. Do najważniejszych opcji w pliku konfiguracyjnym należy ustawienie portu, na który ma nasłuchiwać usługa, typ interfejsu, jaki ma być wykorzystany podczas połączenia, oraz opcje ustawienia sieci, które posłużą do konfiguracji połączenia tunelowego. Listing 2. przedstawia przykładową konfigurację na stacji klienckiej. Plik konfiguracyjny nie różni się bardzo od poprzedniej konfiguracji z tą różnicą, że opcje ustawienia sieci (ifconfig pointo point ) są ustawione odwrotnie oraz dodano opcję route. Tak wstępnie przygotowany program VTun jest gotowy do pracy. Na serwerze należy wydać polecenie:
# vtund –s
natomiast na stacji klienckiej:
# vtund –p <ip_lub_nazwa_klienta>
<ip_lub_nazwa_
serwera>
I to cała trudność. Właśnie ustawiliśmy szyfrowany tunel pomiędzy serwerem, a komputerem klienckim. Program
VTun ustawił nową trasę domyślną, prowadzącą przez drugi koniec tunelu. Taka konfiguracja oznacza, że wszystkie procesy działające na stacji klienckiej dostępne będą pod adresem ustawionym w pliku konfiguracyjnym (200.123.123.33). Aby sprawdzić jak prezentuje się konfiguracja na nowym interfejsie wyfraczy wydać polecenie: # ifconfig tun0 oraz # route
Aby zerwać połączenie i wyłączyć ustawiony tunel wystarczy zabić proces vtund, który działa na stacji klienckiej, po czym wszystkie ustawienia sieciowe wrócą do pierwotnych ustawień. Jak wcześniej zostało wspomniane, aby bardziej zabezpieczyć taki tunel można wykorzystać połączenie programu VTun z protokołem SSH. Nie trzeba za bardzo się wysilać, gdyż VTun wykona prawie całą robotę za nas, a za pomocą SSH przekierujemy jedynie port 5544 klienta do tego samego portu na serwerze. Aby przekserować port należy po stronie klienta wydać polecenie:
# ssh –f –N –c blowfish –C –L5544:
localhost:5544
numer_ip_serwera
oraz uruchomić program VTun poleceniem:
# vtund –p <ip_lub_nazwa_klienta>
localhost
Używając połączenia programu VTun oraz SSH dobrym pomysłem będzie zablokowanie ruchu z zewnątrz na porcie 5544 serwera dla niepowołanych gości. Aby tego dokonać, należy
Rysunek 7. Zestawiony tunel (pulpit zdalny) pomiędzy komputerem firmowym, a komputerem domowym
OBRONA
24 HAKIN9 6/2010
TUNELE SIECIOWE
25 HAKIN9 6/2010
przekonfigurować zaporę filtrującą wydając poleceniem:
# iptables –A INPUT –t filter –i eth0
–p tcp –dport
5544 –j DROP
Tak ustawiony firewall pozwala na połączenia lokalne, więc przed zaakceptowaniem połączenia tunelowego za pomocą program VTun musi być włączony tunel SSH z serwerem. Jak widać ustawianie tuneli sieciowych za pomocą programu VTun jest dość prostym zadaniem, a w połączeniu z protokołem SSH można jeszcze bardziej wymusić bezpieczeństwo takiego zdalnego połączenia z odległą maszyną.
Program SSH posiada także bardzo ciekawą opcję ProxyCommand. Jest ona stosunkowo rzadko używania, niektórzy nawet nie wiedzą o jej istnieniu, jednak dzięki niej możemy określić program, przez który będą przekazywane połączenia. Poprawne użycie tej opcji spowoduje, że SSH stworzy szyfrowany tunel i cały ruch będzie
kierowany na standardowe wejście i wyjście programu. Idąc tym tropem dalej, możemy wykorzystać protokół SSH, program, który potrafi łączyć się z dowolnego rodzaju serwerem Proxy oraz sieć TOR-a do stworzenia całkiem interesującego tunelu. Wynikiem takiego połączenia będzie szyfrowane połączenie zapewniające całkowitą anonimowość osobie, która połączy się z jakimkolwiek zdalnym serwerem. Aby użyć ogromnej sieci serwerów wchodzących w skład sieci TOR-a, należy w systemie linuksowym wydać polecenie (Debian):
# apt-get install tor
Programem, który potrafi łączyć się z serwerem proxy jest np. connect.c dostępne pod adresem https://savannah.gnu.org/maintenance/connect.c. Po pobraniu programu ze strony w pierwszym kroku należy go skompilować poleceniem:
# gcc –o connect connect.c
Mając skompilowany program connect oraz zainstalowany program TOR, możemy przystąpić do uruchomienia szyfrowanego, anonimowego tunelu sieciowego. Aby uruchomić tunel należy wydać polecenie :
# ssh –o ProxyCommand=”/home/user/
connect –S
localhost:9050 %h
%p” <ip_serwera>
Oczywiście należy zwrócić uwagę, aby w miejsce localhost wpisać adres lub nazwę hosta, na którym pracuje TOR, jeśli nie jest on uruchomiony na komputerze lokalnym. Opcje %h oraz %p określają nazwę użytkownika oraz port, a program SSH zmieni je odpowiednio na takie jakie są aktualnie używane na komputerze lokalnym. Dzięki takiemu rozwiązaniu sposób przekazywania połączeń jest bardzo elastyczny. Najważniejszym krokiem jest fakt, że w poleceniu na końcu zawsze musi znaleźć się numer IP serwera, z którym ma zostać nawiązane połączenie. Dzięki takiemu rozwiązaniu ssh nie będzie musiało translatować nazwy serwera na adres IP przed przesłaniem tej informacji do programu connect. Gdyby do tego doszło całe połączenie nie miałoby sensu, ponieważ TOR nie chroni transmisji tłumaczenia nazw i przez to zdradzilibyśmy naszą lokalizację. Jednak ten słaby punkt sieci TOR jest nadrabiany pewną sztuczką. W pakiecie TOR-a znajduje się pewien program, który potrafi przetłumaczyć nazwę serwera na numer IP, przesyłając odpowiednie zapytanie DNS właśnie przez swoją sieć. Używanie programu
Listing 2. Przykładowa konfiguracja programu VTun po stronie klienta
options {
port 5544;
ifconfig /sbin/ifconfig;
route /sbin/route;
default {
compress no;
speed 0;
}
home {
type tun;
proto tcp;
keepalive yes;
pass <jakies hasło>
up {
ifconfig "%% 200.123.123.33 pointtopoint 200.123.123.32 arp";
route "add <IP_serwera_zewnętrzne> gw <IP_bramy_wenętrzne>";
route "del default";
route "add default gw 200.123.123.32";
};
down {
route "del default";
route "del <IP_serwera_zewnętrzne> gw <IP_bramy_wenętrzne>";
route "add default gw <IP_bramy_wenętrzne>";
};
}
Listing 3. Przykładowa konfiguracja programu STunnel po stronie serwera
chroot = /var/run/stunnel
pid = /stunnel.pid
setuid = stunnel
setgid = stunnel
debug = 3
output = /var/log/stunnel.log
[sql]
accept = 12345
connect = 192.168.1.25: 3050
cert = /etc/stunnel/server.pem
CAfile = /etc/stunnel/cacert.pem
verify = 2
OBRONA
24 HAKIN9 6/2010
TUNELE SIECIOWE
25 HAKIN9 6/2010
jest bajecznie proste wystarczy podać jako parametr nazwę serwera z którym chcemy nawiązać połączenie oraz adres i port, na którym nasłuchuje nasz TOR:
# tor-resolve www.serwer.pl
localhost:9050
Dzięki temu poleceniu ujrzymy numer IP, który w dalszej kolejności możemy użyć do skonstruowania anonimowego tunelu.
Opuszczając krainę możliwości bardzo popularnego programu SSH (który dla niektórych od dziś będzie posiadał
znacznie większe możliwości) zajmiemy się tworzeniem tuneli za pomocą innych narzędzi stworzonych specjalnie na takie potrzeby. Bez wątpienia takim programem jest Stunnel . Jest on dostępny na licencji GNU i służy do tworzenia połączeń TCP z uwierzytelnianiem certyfikatów SSL X.509. Tak więc w tym przypadku przydadzą się nam klucze, które wygenerowaliśmy na samym początku. Program Stunnel wykorzystamy do stworzenia tunelu TCP, który umożliwi nam szyfrowany dostęp do aplikacji bazodanowej mieszczącej się w sieci
wewnątrz organizacji. Instalacja programu jest dość prosta, gdyż znajduje się on w większości popularnych systemu Linux. Aby zainstalować Stunnel w systemie Linux Debian należy wydać polecenie:
# apt-get install stunnel
Jest jednak mała różnica, gdyż program Stunnel do poprawnego działania potrzebuje klucza prywatnego oraz certyfikatu w jednym pliku. Aby scalić dwa wcześniej przygotowane pliki w jeden, należy przejść do katalogu, który zawiera pliki i wydać polecenie:
# cat private/serverkey.pem_bezhasla
> private/
server.pem
# echo “ “ >>private/server.pem
# cat servercert.pem >> private/
server.pem
Pliki przygotowane w ten sposób można przegrać na komputer, który będzie pełnił rolę serwera do łączenia się w tunel z innymi jednostkami. W tym momencie istnieją dwa sposoby na dalszą konfigurację programu, gdyż należy sobie zadać pytanie czy będziemy potrzebowali certyfikatów i klucze dla klientów łączących się z usługa programu Stunnel? Odpowiedź na to pytanie jest proste. Wszystko zależy od konkretnego przypadku, w jakim chcemy użyć naszego szyfrowanego tunelu. Jeśli byłaby to usługa pozwalająca się łączyć z serwerem POP3, tak jak to było w przypadku z szyfrowanym tunelem SSH opisanym wyżej, to zapewne takie certyfikaty nie są nam potrzebne, nawet nie mają większego sensu. W naszym
Rysunek 8. Podgląd konfiguracji programu Putty do ustawienia dynamicznego szyfrowanego tunelu
Rysunek 9. Zestawiony tunel z dostępem do programu bazodanowego
OBRONA
26 HAKIN9 6/2010
TUNELE SIECIOWE
27 HAKIN9 6/2010
przypadku jednak wystawienie na widok publiczny aplikacji bazodanowej, której dostęp powinien być jak najlepiej zabezpieczony i ograniczony dla osób niepowołanych, takie certyfikaty powinny się znaleźć. Choćby z prostej przyczyny należy wziąć pod uwagę, że takie aplikacje mogą paść celem różnorodnych ataków typu np. SQL Injection. W naszym przykładzie połączymy się z sieci
hotelowej z siecią firmową, w której wewnątrz pracuje aplikacja bazodanowa. Serwer, na którym nasłuchuje program Stunnel podłączony jest w jednej sieci wraz z serwerem bazodanowym. Posiadając już potrzebne klucze i certyfikaty oraz zainstalowany program Stunnel należy przejść do następnego kroku, czyli przygotowania konfiguracji serwera. Przykładową konfigurację po stronie serwera przedstawia Listing 3. Do najważniejszych opcji użytych w pliku konfiguracyjnym należą min. chroot – jest to opcja, określająca katalog, w którym uwięziony zostanie proces programu po inicjalizacji. Jest to doskonała metoda na uwięzienie użytkownika w określonym katalogu nawet w przypadku, gdy znajdzie on krytyczną lukę i wykorzysta ją, aby zaatakować serwer. Taki użytkownik nie będzie posiadał prawa wyjścia poza katalog, w którym został uwięziony. Kolejna ciekawą opcją jest opcja debug , która określa poziom szczegółowości logowania. Opcja output to nic innego jak określenie pliku, do którego mają odkładać się logi. Jeśli chodzi o drugą część pliku konfiguracyjnego to opcjami, które należałoby opisać jest na pewno opcja akcept , która jest odpowiedzialna za wskazanie portu, na którym będzie nasłuchiwał serwer Stunnel. Opcja connect określa adres IP oraz port
przekazany po poprawnym połączeniu z serwerem Stunnel. Ostatnią ważną opcją jest verify, która odpowiada za weryfikacje certyfikatów (1 – weryfikuj, jeżeli został przedstawiony, 2 – weryfikuj certyfikat przez lokalne CA, 3 – weryfikuj z lokalnie zainstalowanym certyfikatem drugiej strony). Należy również pamiętać, aby umożliwić zaporze sieciowej przepuszczanie ruchu na określonym porcie. Jeżeli używany do ochrony iptables należy wydać polecenie:
# iptables –I INPUT –i eth0 –p tcp
–d <IP_ROUTERA>
--dport 12345 –j
ACCEPT
Ostatnim krokiem jakim należy wykonać jest instalacja programu Stunnel na stacji klienckiej oraz przygotowanie pliku konfiguracyjnego. Przykładowy plik konfiguracyjny przedstawiono na Listingu 4. Po podłączeniu tunelu musimy pamiętać, aby zmienić adres IP serwera, na którym pracuje program bazodanowy. Należy zastąpić adres IP adresem 127.0.0.1. Dzięki prostemu programikowi Stunnel możemy uzyskać dostęp do dużych aplikacji ERP, CRM, a nawet wewnętrznych platform e-learningowych, które z zasady są stworzone, aby korzystać z nich wewnątrz organizacji.
Rysunek 10. Główne okno programu Hamachi
Rysunek 11. Profram Hamachi podłaczony do sieci Rysunek 12. Droga wędrującego pakietu pomiędzy interfejsem wirtualnym,a fizycznym
OBRONA
26 HAKIN9 6/2010
TUNELE SIECIOWE
27 HAKIN9 6/2010
Taki tunel w bezpieczny i szyfrowany sposób pozwoli nam na dostęp do danych z każdego miejsca na świecie. Stworzony tunel obrazuje Rysunek 9.
Aby nie przechylać wartości artykułu wyłącznie na stronę systemów UNIX, jako kolejny program, który doskonale sprawdza się w połączeniach szyfrowanych tuneli jest Hamachi. Hamachi umożliwia stworzenie sieci wymiany plików pomiędzy komputerami bez względu czy znajdują się za NAT-em. Dzięki specjalnej technologii możliwe jest nawiązanie połączenia z komputerami z wewnętrznym adresem IP lub tymi, które mają zainstalowany firewall. Program poprzez ustawienie haseł strzeże dostępu do stworzonej sieci dzięki czemu wymiana plików jest dość bezpieczna. Obsługa programu jest bajecznie prosta, a dodatkowo pracę ułatwia kurs obsługi który wyświetla się wraz z pierwszym uruchomieniem. Użytkownik uzyska z niego wszystkie niezbędne informacje. Każdy komputer podłączony do sieci ma swój unikalny adres hamachi, nick oraz klucz dostępu. Dodatkowo należy zwrócić uwagę na szybkość działania aplikacji. Po zainstalowaniu aplikacji pojawi się nam okno programu przygotowane do włączenia za pomocą przycisku w górnej części. Główne okno
programu przedstawia Rysunek 10. Po załączeniu programu uzyskamy nasz unikatowy numer IP oraz będziemy mogli stworzyć nową sieć lub podłączyć się już do istniejącej. Aby podłączyć się do istniejącej sieci musimy znać jej nazwę oraz hasło broniące dostępu do niej. Po podłączeniu się do sieci zobaczymy jej nazwę oraz wszystkich innych użytkowników do niej podłączonych. Rysunek 11. przedstawia okno programu Hamachi podłączone do sieci. Teraz komputery odległe od siebie o tysiące kilometrów mogą wymieniać się między sobą plikami tak, jakby były w jednej sieci lokalnej. Program Hamachi jest wykorzystywany obecnie na setki równych sposobów. Używają go gracze, którzy łączą się w wielkie sieci i trenują swoje zmagania w grach sieciowych, używają go administratorzy, którzy dzięki tak prostej konstrukcji są w stanie zarządzać swoimi serwerami poprzez np. protokół RDP (pulpit zdalny), jak również wykorzystywany jest przez zwykłych użytkowników to prostej wymiany zdjęć czy plików tekstowych.
Jeśli chodzi o małe aplikacje do tworzenia tuneli z szyfrowaną transmisją to mamy ogromne pole do popisu. W artykule znalazły się jedynie wybrane sposoby oraz programy, gdyż miejsce
na tekst jest ograniczone. Ale szyfrowane tunele to nie tylko małe programiki. Dzięki zaawansowanym oprogramowaniom można tworzyć duże sieci firmowe łączące swoich pracowników, a nawet filie czy inne ogromne korporacje w jedną całość oczywiście zważając w dalszym ciągu na bezpieczeństwo transmisji danych wewnątrz tego wirtualnego świata.
Coś większegoDo budowy dużych sieci z szyfrowaną transmisją danych można wykorzystać darmowy projekt o nazwie OpenVPN. OpenVPN działa w parciu o protokół SSL, czyli będą nam potrzebne klucze, które zostały stworzone na początku artykułu. Został on stworzony przez Jamesa Yonana i obecnie jest silnie rozwijany przez gronu ludzi z całego świata. Posiada ogromną zaletę dzięki, której jest szanowany i chętnie wybierany przez użytkowników – jest dostępny i konfigurowalny na wszystkich platformach takich jak Linux, Windows 200/XP, OpenBSD, FreeBSD NetBSD, Mac OS oraz Solaris. OpenVPN realizuje tunelowanie za pomocą działającego w systemie operacyjnym wirtualnego urządzenia TUN/TAP. Dzięki temu możliwe jest stworzenie w systemie wirtualnego interfejsu sieciowego, który
Rysunek 13. Schemat łączenia klienta z odziałem firmy za pomocą tunelu VPN
OBRONA
28 HAKIN9 6/2010
TUNELE SIECIOWE
29 HAKIN9 6/2010
jest wykorzystywany przez OpenVPN do utworzenia połączenia między klientem a serwerem. Cały ruch sieciowy nie jest wysyłany i odbierany przez interfejs wirtualny, tylko przez program, który działa w przestrzeni użytkownika. Gdy dane trafiają do interfejsu wirtualnego przekazywane są do procesu openvpn , który w pierwszej kolejności je szyfruje, a następnie wysyła do procesu openvpn, działającego na drugim końcu szyfrowanego tunelu. Gdy informacja trafi już na drugi koniec tunelu do procesu openvpn lokalnej maszyny zostają odszyfrowane i przekazane na interfejs wirtualny, gdzie są traktowane jak każda inna informacja, która trafia na interfejs fizyczny. Sposób i droga pakietu wędrującego między wirtualnym interfejsem, a fizycznym przedstawia Rysunek 12. OpenVPN oferuje bardzo wydajny i skalowalny tryb pracy serwera zarówno z jednym, jak i wieloma klientami, wykorzystując tutaj zasadę serwera DHCP, przypisując i pilnując adresacje swoich klientów.
Konfiguracja programu OpenVPN nie jest stosunkowo trudnym zadaniem. Większość systemów z rodziny *UNIX posiada źródła tego oprogramowania w swoich repozytoriach, natomiast dla systemów z rodziny Windows istnieją darmowe odpowiedniki w postaci instalacyjnych pików exe. Do przedstawienia zasady działania oraz konfiguracji połączeń VPN zbudujemy sieć firmową, wewnątrz której pracują komputery z różnymi systemami operacyjnymi. Wewnątrz sieci pracuje serwer VPN oparty o system Linux Debian. Z zewnątrz czterech handlowców (klientów VPN) z systemem Windows XP, Linux Fedora, FreeBSD oraz Mac
OS X będą chcieli podłączyć się do sieci wewnątrz firmy, aby funkcjonować tak jakby byli obecni na swoich stanowiskach. Przykładowy schemat łączenia się klienta z odziałem firmy za pomocą tunelu VPN przedstawiono na Rysunku 13. Budowę naszych tuneli rozpoczniemy od instalacji i konfiguracji serwera VPN. Aby zainstalować program OpenVPN na serwerze Linux Debian, należy wydać polecenie apt-get install openvpn . System automatycznie dowiąże potrzebne oprogramowanie do stabilnej pracy. Przed rozpoczęciem konfiguracji programu należy przegrać do katalogu z konfiguracją programu OpenVPN uprzednio przygotowane pliki (certyfikat i klucz prywatny serwera, certyfikat wystawcy CA, plik dh1024.pem). Mając przygotowane klucze i certyfikaty dla serwerów i użytkowników (zrobiliśmy to na początku artykułu) można przejść do konfiguracji samego oprogramowania OpenVPN. Następnie należy przygotować plik konfiguracyjny serwera VPN. Przykładowy plik konfiguracji programu
OpenVPN po stronie serwera został przedstawiony na Listingu 5. Tak przygotowany plik jest wystarczający do prawidłowej pracy serwera VPN. Ważne, aby nie zapomnieć o prawidłowym skonfigurowaniu zapory sieciowej, która powinna przepuszczać transmisje na porcie, który został wskazany w pliku konfiguracyjnym. Na uwadze należy mieć także fakt, iż klasa adresowa, z której będą przydzielane adresy IP użytkownikom łączącym się tunelami VPN, musi być inna niż adresacja używana wewnątrz sieci firmowej. Wynika to z działania protokołu IP, gdyż router VPN nie może mieć takich samych klas IP na dwóch różnych interfejsach (fizycznej karcie eth0 oraz wirtualnej tun0 ). Routing między sieciami będzie możliwy dzięki opcji push "route 192.168.0.0 255.255.255.0". Plik konfiguracyjny należy umieścić w głównym katalogu program OpenVPN, a usługę uruchomić poleceniem openvpn –config /etc/openvpn/plik_konfiguracyjny.conf. Następnie zajmiemy się instalacją
Listing 4. Przykładowa konfiguracja programu STunnel po stronie klienta
debug = 3
output = /var/log/stunnel.txt
[sql]
accept = 127.0.0.1: 3050
connect = 83.13.67.765: 12345
client = yes
cert = /etc/stunnel/client.pem
CAfile = /etc/stunnel/cacert.pem
verify = 2
Listing 5. Przykładowa konfiguracja programu OpenVPN po stronie serwera
dev tun
local <ip_zew_serwera>
proto udp
port 1190
user nobody
group nobody
ca /etc/openvpn/certs/cacert.pem
cert /etc/openvpn/certs/vpncert.pem
key /etc/openvpn/certs/private/vpnkey.pem
dh /etc/openvpn/certs/dh1024.pem
server 192.168.100.0 255.255.255.0
ifconfig-pool-persist /etc/openvpn/ipp.txt
client-config-dir ccd
keepalive 10 120
comp-lzo
Listing 6. Przykładowa konfiguracja programu OpenVPN po stronie klienta
dev tun
client
remote <IP_ZEW_SERWERA>
proto udp
port 1190
nobind
ca /etc/openvpn/certs/cacert.pem
cert /etc/openvpn/certs/usercert.pem
key /etc/openvpn/certs/private/userkey.pem
comp-lzo
verb 3
OBRONA
28 HAKIN9 6/2010
TUNELE SIECIOWE
29 HAKIN9 6/2010
i konfiguracją oprogramowania OpenVPN po stronie klienta. Zasada działania programu jest na każdym systemie operacyjnym taka sama, jedyna różnica polega na etapie samej instalacji. Aby zainstalować OpenVPN należy wydać polecenie:
# yum install openvpn
Wszystkie ważne biblioteki zostaną dowiązane automatycznie. Aby zainstalować program w systemie FreeBSD, mamy dwie możliwości. Można pobrać port lub zainstalować sam pakiet. Dla przykładu zainstalujemy program używając opcji port:
# cd /usr/ports/security/openvpn
# configure
# make
# make install
# make clean
Instalacja w systemie Windows jest bajecznie prosta. Program instalacyjny stworzy i skonfiguruje wszystko co potrzebne do prawidłowej i bezkonfliktowej pracy. System zostanie wyposażony w biblioteki OpenSSL, biblioteki LZO, sterownik TUN/TAP oraz oczywiście w sam program OpenVPN. Instalacja w systemie Mac OS X dzięki Tunnelblick jest tak samo prosta jak w systemie z rodziny Windows. Wystarczy
pobrać plik z witryny Tunnelblick. Po otwarciu obrazu należy kliknąć dwukrotnie na plik z rozszerzeniem .mpkg .
Teraz należy stworzyć plik konfiguracyjny po stronie użytkownika, który będzie klientem VPN. Każdy plik po stronie klienta bez względu na system operacyjny będzie wyglądał identycznie. Przykładowy plik konfiguracyjny programu OpenVPN po stronie klienta przedstawiono na Listingu 6. Do katalogu, w którym zainstalowano program OpenVPN należy przegrać certyfikat oraz klucz prywatny użytkownika, jak również plik konfiguracyjny klienta i certyfikat urzędu CA. W systemie Mac OS X należy jeszcze dokończyć nasze wcześniejsze operacje. Po zakończeniu instalacji (kliknięcie w plik z rozszerzeniem .mpkg ), należy przejść do folderu Applications i odnaleźć plik o nazwie Tunnelblick , po czym go uruchomić. Program Tunnelblick poprosi nas o utworzenie pliku konfiguracyjnego i otworzy okno, do którego będziemy mogli skopiować nasze ustawienia. Plik zostanie zapisany w katalogu ~/Library/openvpn . Tutaj także skopiujmy przygotowane pliki kluczy i certyfikatów. Ostatnim krokiem jest odnalezienie w menu ikonki przedstawiającej tunel i kliknąć Connect. Jeśli wszystko zrobiliśmy dobrze program powinno działać prawidłowo,
łącząc się automatycznie z naszym serwerem. Aby nawiązać połączenie w systemie Windows, należy kliknąć w ikonę programu w pasku zadań prawym przyciskiem myszy i wybrać opcje Connect . Na ekranie pojawi się okno dialogowe nawiązywania połączenia szyfrowanego z serwerem VPN. Przykładowe okno dialogowe zostało przedstawione na Rysunku 14. Jeśli połączenie zostało poprawnie nawiązane
powinien pojawić się wirtualny inter fejs oraz możliwość pingowania adresu, który został wpisany w pliku konfiguracyjnym serwera. Wszystko można zaobserwować wpisując w oknie cmd komendę ipconfig / all. Aby wywołać program OpenVPN w systemie Linux, przechodzimy do katalogu, w którym zapisaliśmy plik konfiguracyjny i wydajemy polecenie:
# openvpn plik_konfiguracyjny.ovpn
Jeśli program ma problemy w połączeniu lub w prawidłowej pracy, należy sprawdzić ustawienia ip_forward . Opcja musi być ustawiona na 1. Aby to uczynić musimy wydać polecenie:
# echo 1 > /proc/sys/net/ipv4/ip_
forward
Na koniec, aby wywołać połączenie z klienta system FreeBSD należy wydać polecenie:
# kldload bridge
# kldload if_tap
# openvpn –config plik_
konfiguracyjny.ovpn
PodsumowanieDzięki prostemu rozwiązaniu stosowania szyfrowanych tuneli transmisji, ruch sieciowy jest całkowicie niewidoczny dla potencjalnych intruzów podsłuchujących lokalną sieć współczesnej organizacji, co odwzorowuję się znacznie bezpieczniejszą wymianą danych między mobilnymi pracownikami, a odziałem firmy. Zadaniem artykułu było przedstawienie kilku z kilkuset różnych metod jak za pomocą prostych rozwiązań można zwiększyć bezpieczeństwo firmy i zminimalizować utratę poufnych, często strategicznych informacji współczesnego przedsiębiorstwa.
Daniel SuchockiEkspert kryminalistyki informatycznej, jest dyrektorem laboratorium kryminalistyki informatycznej w firmie ProCertiv, uczestnik wielu konferencji na temat bezpieczeństwa, wykładowca tematyki cyberprzestępczości, interesuje się ściśle pojętym bezpieczeństwem systemów głównie z rodziny Linux. Kontakt z autorem: [email protected]
W Sieci• http://openvpn.net – strona główna programu OpenVPN,• http://www.macupdate.com/info.php/id/16969 – projekt Tunnelblick,• http://www.openssl.org – strona główna projektu OpenSSL,• https://savannah.gnu.org/maintenance/connect.c – program connect,• http://www.procertiv.pl – Laboratorium Kryminalistyki Informatycznej.
Rysunek 14. Okno dialogowe programu OpenVPN w Windows
30
OBRONA
HAKIN9 6/2010
Voice over Internet Protocol – jak sama nazwa mówi to telefon przez Internet. W praktyce to po prostu
przesyłanie dźwięku przez Internet. Istnieje przynajmniej kilka standardów przesyłania danych dźwiękowych przez Sieć. Do najpopularniejszych należą m.in. SIP, H.323 oraz IAX. Znaczna część statystyk pokazuje, że zwłaszcza ten pierwszy cieszy się dużą popularnością. Wzrost popularności telefonii internetowej, przynajmniej w Polsce, notuje się przez ostatnie lata. Wydaje się, że do popularyzacji technologii przyczynił się w dużej mierze sukces komunikatora Skype, który korzysta z całkowicie osobnego i zastrzeżonego protokołu. Niemniej jednak jego podstawowy sens, czyli rozmowa poprzez Sieć jest w zasadzie taki sam.
Zarówno technologia, jak również łącza internetowe są w zasadzie do tego stopnia rozwinięte, że VoIP umożliwia komfortową rozmowę telefoniczną za kwotę często o wiele mniejszą niż w przypadku klasycznej telefonii stacjonarnej. Konkurencja jest na tyle duża, że nawet duże firmy telekomunikacyjne wprowadzają do swojej oferty usługi VoIP. Oczywiście zdarzają się sytuacje, kiedy jakość połączenia jest daleka od ideału. Pomimo swojego zaawansowania technologicznego, VoIP nie posiada jeszcze rozwiązania, które umożliwiałoby utrzymanie stałego, minimalnego przesyłu danych. Zdarza się czasem, że
PRZEMYSŁAW ŻARNECKI
Z ARTYKUŁU DOWIESZ SIĘjakie zagrozenia czyhają na nas w sieciach VOIP
jakie są podstawowe zabezpieczenia sieci telekomunikacyjnych
jak sprawdzić, czy nasza sieć jest bezpieczna
jak zwiększyć stopień bezpieczeństwa sieci
w jaki sposób intruzi mogą wykorzystać nasze konto VOIP
CO POWINIENEŚ WIEDZIEĆtelefonia internetowa jest w Polsce bardzo popularna
rozwój infrastruktury nie nadąża za popularnością sieci
nie wszyscy dostawcy VOIP dbają o bezpieczeństwo swoich klientów – łatwo to zweryfikować
brak zabezpieczeń sieci może narazić nas/firmę na poważne straty finansowe
w przypadku VOIP lepiej nie korzystać bezpośrednio z komputera. Najlepszym rozwiązaniem jest używanie bramek/telefonów VOIP, które działają niezależnie od komputera i są jak na razie odporne na wirusy i inne zagrożenia
jak spada jakość/szybkość połączenia internetowego, to pojawiają się różnego rodzaju zakłócenia. Na szczęście coraz rzadziej, bo i jakość naszych łączy internetowych się poprawia. Mimo wszystko QoS, czyli minimalny stały przesył danych to technologia jeszcze dla wielu niedostępna, głównie ze względu na swoją cenę.
Jeżeli chodzi o przyłączenie, to koszty nie są wielkie. Telefon internetowy, który podłączymy do komputera to niewielki wydatek. Trochę więcej musimy zapłacić za fakt, żeby telefon działał niezależnie od komputera. Musimy kupić bramkę VoIP, do której podłączamy nawet najtańszy i najstarszy z naszych telefonów stacjonarnych. Poprawnie skonfigurowana bramka przetwarza sygnał internetowy na klasyczny telefoniczny. W międzyczasie wybieramy dostawcę usług. I już za chwilę możemy korzystać. Krytycy VoIP zwracają uwagę na fakt, że nie można przez taki telefon skorzystać z telefonu alarmowego. To prawda. Wynika to z tego, że wybrać możemy przecież dowolny numer telefonu, kompletnie niezależny od naszego miejsca pobytu. Idea centrów alarmowych polega z kolei na tym, aby automatycznie przekierować dzwoniącą osobę do najbliższej jednostki alarmowej. Czy to jakiś większy problem? Niekoniecznie. Po pierwsze możemy wbić sobie do telefonu miejscowe numery alarmowe. Po drugie większość z nas dysponuje komórkami.
Stopień trudności
Bezpieczeństwo komunikacji VoIPW świetle coraz to bardziej rosnącej popularności telefonii VoIP, warto przyjrzeć się czy jest to technologia całkowicie bezpieczna. W końcu bazuje całkowicie na rozwiązaniach internetowych, które z definicji niosą za sobą pewne zagrożenia.
31
BEZPIECZEŃSTWO KOMUNIKACJI VOIP
HAKIN9 6/2010
Przejdźmy jednak do zasadniczej części artykułu, czyli bezpieczeństwa. Korzystając z VoIP korzystamy de facto z Internetu, a więc jesteśmy narażeni na dokładnie takie same zagrożenia, jak chociażby przeglądając strony internetowe. Niestety wiele firm świadczących usługi VoIP zupełnie pomija ten aspekt, zarówno w sferze medialnej, jak również konkretnych działań. W wielu przypadkach zdarza się bowiem, że niska cena usługi wynika np. właśnie zaniedbań ze strony operatora sieci. Jakie podstawowe rodzaje ryzyka niesie za sobą VoIP?
Zagrożenia dla sieci VoIPPierwszym i bodajże najważniejszym elementem, który może stać się obiektem ataku jest serwer VoIP. Zacznijmy od tego, że przechowywane są na nim wszystkie dane klientów i nie tylko. Ktoś, kto włamie się na serwer VoIP, poza zwykłą kradzieżą naszych danych, może zrobić o wiele więcej.
W myśl m.in. Dyrektywy 2006/24/WE oraz pomysłów Unii Europejskiej z kwietnia 2009 r. dostawcy Internetu, ale również świadczący usługi łączności elektronicznej, mają obowiązek rejestrować kontakty swoich klientów w Sieci. Co to dla nas oznacza? Na serwerze na pewno znajdą się dane o wszystkich wykonanych przez nas połączeniach, Ponadto na serwerze prawie na pewno będę znajdować się zapisane dane głosowe, chociażby z poczty głosowej. Ale również z wielu naszych rozmów.
Najważniejszy jest jednak dostęp do naszej usługi. Co to da napastnikowi? Po pierwsze może skorzystać z niej zamiast nas. Mając dostęp do serwera intruz może dowolnie wykonywać połączenia na koszt klientów firmy. Zanim ktokolwiek się zorientuje może wykonać dużą ilość
połączeń. Nawet jak się firma zorientuje, to co potem? Namierzanie, policja itp. Przy dużym rachunku to całkiem możliwe. Jednak zawsze pozostanie kwestia oddzielenia telefonów wykonanych przez intruza od tych rzeczywiście przez klienta. Da się to zrobić i może nie jest to nie wiadomo jak trudne, niemniej jednak na pewno czasochłonne.
Skoro intruz dostał się na serwer może zrobić jeszcze jedną, potencjalnie niebezpieczną dla nas rzecz. Mianowicie podsłuchać nasze rozmowy!
Poniżej omówię najważniejsze zagrożenia, jak również metody ochrony przed nimi. Zagrożenia te tyczą się zarówno naszych kont i danych dostępowych, ale również funkcjonowania całego serwera VoIP.
VishingSkoro VoIP opiera się bezpośrednio na technologii internetowej, to i ataki są w zasadzie takie same jak tradycyjne sieciowe. Weźmy pierwszy, czyli vishing. Pełna nazwa – VoIP Phishing. Jest to klasyczny rodzaj ataku o charakterze tak naprawdę socjotechnicznym. Atak ten polega na wyłudzeniu poufnych informacji,
Rysunek 1. Może i najprostsze rozwiązanie, ale co nam po nim...
Rysunek 2. Przykład rozbudowanej sieci VoIP, do której zostały włączone nawet telefony komórkowe!
OBRONA
32 HAKIN9 6/2010
BEZPIECZEŃSTWO KOMUNIKACJI VOIP
33 HAKIN9 6/2010
w tym przypadku danych dostępowych do serwera (od administratorów), od nas zaś danych do naszego konta. Nie ma on nic wspólnego z jakimiś wyrafinowanymi technologiami internetowymi. Wykorzystuje on po prostu naszą słabość, bazuje na określonym zaufaniu itd. W zasadzie, aby się przed nim obronić trzeba po prostu wiedzieć, że jest on w ogóle możliwy i pod żadnym pozorem nie podawać nikomu w żadnej sytuacji danych dostępowych. Na pewno żaden administrator nigdy nie poprosi nas o żadne hasło. W końcu jako administrator ma wgląd do systemu. Odrobina zdrowego rozsądku nigdy jeszcze nikomu nie zaszkodziła. Musimy uważać, bowiem na co dzień zalewa nas cała fala spamu. Co rusz kontaktują się z nami przedstawiciele banków, różnych firm itp. Na pewno nie można nikomu nic podawać. A na pewno nie wierzmy linkom przesyłanym przez nieznane nam osoby. Adres do panelu naszej usługi jest zawsze
na głównej stronie operatora. Uważajmy, bo dość powszechne jest wysyłanie maili podszywających się np. pod strony banków. Nic nie stoi na przeszkodzie, aby spreparować takiego maila ze stroną operatora telefonii VoIP.
W przypadku tego typu ataków na światło dzienne wychodzi jedna z najstarszych zasad związanych z bezpieczeństwem. Mówi ona, że najsłabszym ogniwem byli, są i będę ludzie. Niezależnie od technicznego zaawansowania systemów bezpieczeństwa, wszystko (mówiąc obrazowo) szlag trafia, jeżeli zawodzą ludzie. Tyczy się to w zasadzie całokształtu naszej obecności w Sieci. Dane np. z USA, mówią o tym, że zdecydowana większość włamań do kont bankowych, systemów pocztowych, czy wreszcie opisywanej technologii VoIP, wynika z niefrasobliwości użytkowników. Przejawia się ona w podawaniu naszych danych obcym
osobom. Osobiście nie wyobrażam sobie podania numeru karty debetowej, czy PINu do konta VoIP komuś przez telefon. Nie ma takiego tygodnia, żebym nie dostał przynajmniej kilku maili z prośbą o aktualizację danych mojego konta bankowego z ładnym linkiem do strony banku (aczkolwiek nigdy nie zdarzyło się, żeby był to któryś z moich banków. Jeden jedyny raz dostałem maila od banku polskiego z prośbą o aktualizację danych). Problem nie jest więc jakiś marginalny. Biorąc pod uwagę fakt, że Polska należy do ścisłej czołówki krajów, jeżeli chodzi o popularność VoIP (na skalę światową), trzeba się spodziewać coraz to większego poziomu zagrożenia. Zwłaszcza dla sektora małych i średnich przedsiębiorstw, ale i nie tylko.
Jeżeli będziemy o tym pamiętać, to z całą pewnością poziom naszego bezpieczeństwa wzrośnie o te kilkadziesiąt parę procent.
Phreaking/Phising/VishingPrzez wielu bywa nazywany kradzieżą osobowości – usługi. W ogólnym zarysie, atak ten polega na złamaniu zabezpieczeń sieci, w celu skorzystania z darmowej usługi, ewentualnie w skrajnej formie ma to na celu przerzuceniu na kogoś kosztów np. rozmowy. W zasadzie klasyczny phreaking związany jest
Rysunek 4. Przykład schematu sieci VoIP w domu lub firmie
Rysunek 5. Jedno z najczęściej wykorzystywanych w Polsce urządzeń, zwłaszcza w warunkach małej firmy lub domowych
Rysunek 3. Przykładowy komunikat z ataku DOS
OBRONA
32 HAKIN9 6/2010
BEZPIECZEŃSTWO KOMUNIKACJI VOIP
33 HAKIN9 6/2010
z wykonywaniem darmowego połączenia z budek telefonicznych. Popularne to było zwłaszcza w Stanach Zjednoczonych, jednakże nawet i w Polsce (np. w czasach starych automatów na żetony, bądź monety) wiele osób potrafiło dzwonić za darmo z publicznego automatu. W odniesieniu do VoIP idea wprawdzie jest podobna, niemniej oczywiście całkiem inne są środki i metody.
W większości przypadków wdrażania protokołu SIP nie stosuje się szyfrowania. W tym momencie uzyskanie danych uwierzytelniających użytkowników nie wydaje się zadaniem trudnym.
Najczęściej stosowaną, przy kradzieży danych dostępowych techniką, jest podsłuchiwanie. Z angielskiego nazywane czasem eavesdropping . Aczkolwiek większość metod można zakwalifikować do klasycznego snif fingu, czyli przechwytywania krążących w Sieci informacji. Skoro jest to w zasadzie klasyczna metoda, to warto wymienić najpopularniejsze aplikacje, dzięki którym można przechwycić ruch w Sieci. Część z nich pełni również całkowicie odwrotną rolę – może wykryć próby takiego przechwytywania:
• tcpdump,• snif fit,• ettercap• dsnif f,• wireshark (wcześniejsza nazwa:
etheral),• snort.
Jest to oczywiście katalog otwarty. Co rusz pojawiają się nowe mniej lub bardziej funkcjonalne programy. Techniki te stosują również organy ścigania prawa czy nawet służby specjalne. Z tym, że wykorzystują raczej specjalistyczne oprogramowanie napisane specjalnie na ich potrzeby, a nie powszechnie dostępne i często darmowe aplikacje. Aczkolwiek darmowe nie oznacza tutaj bynajmniej złe.
W związku z przechwyceniem naszej transmisji danych istnieją dwa konkretne zagrożenia.
Atak o nazwie man-in-the-middle polega na tym, że osoba, która przechwyci naszą transmisję danych staje się jej pośrednikiem.
W praktyce po prostu podsłuchuje. Samo podsłuchiwanie to po prostu klasyczny snooping. Skoro rozmowa to nic innego jak transmisja danych, to za pomocą (chociażby wspomnianych wyżej) oprogramowania można je po prostu skopiować, a więc najzwyczajniej w świecie nagrać – podsłuchać.
Przed podsłuchiwaniem można się jak najbardziej bronić. Nie zawsze będzie to 100% bezpieczna ochrona, niemniej dająca przynajmniej przyzwoity poziom zabezpieczeń.
Na wstępie trzeba zwrócić uwagę na szyfrowanie rozmowy. Taka mała rzecz, a już potrafi pomóc. Wybierając usługodawcę powinniśmy obowiązkowo
sprawdzać, czy to nam umożliwia. Czasem warto dać 1 czy 2 grosze więcej za minutę. Bezpieczeństwo ma swoją cenę. Wreszcie jak mamy taką możliwość powinniśmy obowiązkowo z niej skorzystać.
Zaleca się, aby w miarę możliwości korzystać przynajmniej z protokołu szyfrowania TLS (Transport Layer Security). Może się również zdarzyć, że do wyboru będziemy mieli protokół SSL. Jest to w zasadzie starsza wersja TLS. Można o niej rzec również wiele dobrego, ale też i to, że sprawi wprawdzie potencjalnemu intruzowi jakieś tam problemy. Niekoniecznie wielkie. SSL jest już mocno przestarzały oraz zawiera
Rysunek 6. VoIP w domu
OBRONA
34 HAKIN9 6/2010
BEZPIECZEŃSTWO KOMUNIKACJI VOIP
35 HAKIN9 6/2010
zbyt dużą ilość powszechnie znanych luk bezpieczeństwa, co by go polecać. U niektórych operatorów możemy się spotkać np. z protokołem SRTP (Real-time Transport Protocol). Wydaje się on jeszcze bardziej bezpieczny od TLS, ale tak naprawdę niewielu polskich operatorów jest przygotowanych technicznie na jego przyjęcie. Wśród interesujących technologii jest również IPsec, czyli Internet Protocol Security. Jest to dający naprawdę duże możliwości, jeżeli chodzi o konfigurację, szkielet oparty w całości na otwartym standardzie. Jego głównym zadaniem jest stworzenie modelu bezpieczeństwa, który umożliwia zabezpieczenie komunikacji w sieci peer to peer (taką niewątpliwie jest połączenie VoIP). Wykorzystuje w swym działaniu m.in. uwierzytelnianie użytkowników na poziomie sieci, uwierzytelnianie samego źródła danych, kodowanie danych dla zapewnienia poufności, czy wreszcie również ochronę ponownego odczytu danych.
Jeżeli mamy do czynienia z siecią korporacyjną, to prawdopodobnie spotkamy się również ze standardem, AES-256 (w różnych odmianach). Powszechnie uważa się go za jeden z najsilniejszych kluczy
kryptograficznych. Do tego stopnia, że wiele międzynarodowych organizacji i instytucji zajmujących się kwestiami bezpieczeństwa, zaleca go jako powszechny standard bezpieczeństwa.
Jest to bardzo zaawansowany algorytm, przez wielu uważany za niemożliwy do złamania. W 2006 r. po raz pierwszy stwierdzono, że jest to możliwe za pomocą metody XLS. Z tym, że nie warto za bardzo rozwijać tego tematu chociażby z racji, że równocześnie przyznano, że nie wiadomo ile zajmie to czasu. W 2009r. udało się przeprowadzić kilka ataków o bardzo ograniczonym zasięgu. Naukowcy przeprowadzili próby na różnych zredukowanych wariantach szyfru. Sukcesem udało się złamanie algorytmu bazującego na 9 rundach szyfrujących (podczas gdy pełna wersja szyfru to 14 rund, tytułowe AES 256 bitów). Wg opublikowanej dokumentacji złamanie takiego ograniczonego szyfru daje się opisać w złożoności czasowej na poziomie 239, . Czy to dużo, czy mało to już kwestia subiektywna. Na pewno jednak leży to w granicach możliwości przeciętnego współczesnego komputera domowego. Stopniowe zwiększanie ilości rund (przy szyfrowaniu), znacząco
zwiększa te granice czasowe. Przy jedenastu rundach mamy już 270, przy czternastu atak wydaje się niemożliwy. W praktyce bardzo trudno, w zasadzie niemożliwe, jest złamać już AES w wersji 128-bitowej, nawet z najkrótszymi kluczami. Nie jest to łatwiejsze, nawet od 256-bitowego szyfrowania. Wydaje się to pozornie nielogiczne. Osobiście pamiętam z zajęć, że im więcej bitów, tym bezpieczniej. Wielu specjalistycznych pozycji – gazety, prasa, różne biuletyny bezpieczeństwa – wbijają nam do głowy, że im więcej bitów, tym bezpieczniej i trudniej do złamania. Owszem to prawda. Ale jak w życiu zawsze istnieje druga strona medalu. Wielu matematyków zwraca uwagę na fakt, że tak naprawdę im dłuższy klucz, tym większe pole do popisu dla kryptologów. Wprawdzie długie klucze niby trudniej złamać, ale z faktu, że są długie wynika coś jeszcze – że mają o wiele więcej elementów, a więc istnieje możliwość znalezienia większej ilości elementów o matematycznych powiązaniach. Inaczej mówiąc, im więcej elementów, tym większa możliwość znalezienia w nich słabych punktów. Jest w związku z tym wiele propozycji usprawnienia istniejących już długości
Rysunek 7. Zabezpieczenia korporacyjnej sieci VoIP. Oryginalne studium przypadku
Internet
EnterpriseVoIP
Network
PSTN
Corporate VoIP Network
CorporateFirewall
CorporateIPS
DepartmentalIPS/NAC
DepartmentalIPS/NAC
DepartmentalIPS/NAC
PCs/VoIPSoft Phones
Cells
Data
SIM
VIPS/VNAC
VIPS/VNAC
VIPS/Anti-SPIT VoIPPhones
Corporate Data Network
PRI / BRI /Analog Lines
IP PBX/Softswitch/CallManager
IP PBX/Softswitch/CallManager
OBRONA
34 HAKIN9 6/2010
BEZPIECZEŃSTWO KOMUNIKACJI VOIP
35 HAKIN9 6/2010
kluczy. I tak dla przykładu proponuje się, żeby w przypadku 128-bitowych kluczy, zwiększyć ilość rund szyfrujących do 16, 192 do 20. Natomiast w przypadku do AES-256 postuluje się zwiększenie rund szyfrujących z 14 do 28. Powstaje jednak jedno zasadnicze pytanie. Na ile taka operacja wpłynęłaby negatywnie na wydajność szyfrowania? Tego prawdopodobnie nikt nie wie. Natomiast pewne jest, że im bardziej skomplikowane zabezpieczenia tym mniejsza wydajność sieci. Stąd na opisane powyżej zabezpieczenia mogą pozwolić sobie duże firmy, zwłaszcza korporacje, które dysponują wyjątkowo szybkimi połączeniami (zwłaszcza w obrębie sieci korporacyjnej).
Reasumują, tradycyjny phreaing, został zastąpiony nowoczesnymi metodami podsłuchiwania (w zasadzie przechwytywania transmisji). Biorąc pod uwagę, że uzyskując nasze dane dostępowe, złodziej jest w stanie wyrządzić nam naprawdę wiele złego, powinniśmy zwrócić większą uwagą na to, żeby nasze rozmowy były przynajmniej w podstawowym zakresie zabezpieczone.
Atak typu DoSDenial of Services to jeden z najbardziej klasycznych ataków komputerowych. Najczęściej są one zagrożeniem dla
serwisów internetowych czy systemów komputerowych. Jego zasadniczym celem jest uniemożliwienie działania systemu poprzez zajęcie absolutnie wszystkich wolnych zasobów. W praktyce chodzi o takie przeciążenie systemu, które uniemożliwia jego poprawne działanie. W skrajnej formie doprowadza do całkowitego paraliżu systemu. System można przeciążyć na różny sposób. W przypadku klasycznych aplikacji komputerowych wystarczy czasem znalezienie jakiejś luki w systemie, której wykorzystanie przeciąża procesor, czy zajmuje całą wolną pamięć ram. Czasem nieświadomy niczego użytkownik zastanawia się, dlaczego komputer pracuje tak wolno. Przecież w danym momencie korzysta np. tylko z sapera. W przypadku sieci takie ataki mogą być o wiele bardziej uciążliwe. Wyobraźmy sobie, że w wyniku ataku zostają zajęte wszystkie gniazda dla serwera ftp czy WWW. Serwis internetowy nie może poprawnie funkcjonować. Taki atak realizuje się, zalewając, zarówno w przenośni jak i dosłownie, docelowy host taką ilością danych, która przepełnia wszystkie możliwe pasma. Całkowicie uniemożliwia to naszą obecność w sieci.
W przypadku telefonii VoIP jest to bardzo realne zagrożenie, niosące za
sobą często również daleko idące skutki finansowe. Przynajmniej potencjalne. Wyobraźmy sobie, że posiadamy małą firmę, która aby obniżyć koszty, korzysta właśnie z telefonu internetowego. Całkowite zablokowanie serwera oznacza odcięcie firmy od telefonu i kontaktu z klientami. Ilu klientów zrezygnuje z usług firmy, bo nie będzie się mogło do niej dodzwonić. O ile wzrosną rachunki telefoniczne, bo w trakcie awarii właściciele i pracownicy będą zmuszeni korzystać np. z telefonów komórkowych.
Jeżeli chodzi o serwer, to ochrona przed tego typu atakiem spoczywa całkowicie na naszym operatorze. Tak naprawdę bardzo trudno jest się przed nim bronić. Po pierwsze trzeba mieć dużą przepustowość łącza. Im jest ona większa, tym po prostu napastnikowi trudniej zablokować serwer. Poza tym administratorzy muszą stale monitorować przepustowość swoich łącz. W razie nagłego skoku transmisji z określonego źródła (czy jednocześnie z wielu – wówczas atak nosi miano Distributed Denial of Service, czyli DDoS), której nie da się uzasadnić np. wzrostem ilości użytkowników w danym momencie, konieczna jest natychmiastowa reakcja. Przede wszystkim wyśledzenie źródła ataku i następnie zablokowanie go. Jest to trochę wyścig z czasem, bowiem napastnik może
Rysunek 8. Przykładowy schemat aktywności ataków na jeden z windowsowych portów – 445/tcp
OBRONA
36 HAKIN9 6/2010
za chwilę zaatakować z innego miejsca, zwłaszcza, jeżeli znalazł jakiś słaby punkt w systemie. Wyeliminowanie wszystkich znalezionych słabostek, luk itp. to po prostu podstawa. Administrator na pewno musi dbać o używanie bezpiecznego systemu/serwera, w ramach którego będzie mógł reagować szybko na wszelkie przejawy zagrożeń.
Czyli po prostu tak naprawdę ważne jest, aby administrator dbał o serwer, regularnie go kontrolował i zdawał sobie sprawę z jego realnej mocy obliczeniowej. Nie istnieje na pewno jakieś proste rozwiązanie, które w 100% uchroni serwer przed atakiem. Trzeba jednak zwrócić uwagę, że na szczęście przeprowadzenie takiego ataku nie jest aż tak prostą sprawą. Po pierwsze dość prosto można zlokalizować klasyczny atak DoS. W końcu to jedna maszyna. Administrator lokalizuje IP po czym przekazuje we właściwe ręce. Poza tym jedna maszyna niekoniecznie może być w stanie zablokować działanie całego serwera (chyba, że nieodpowiedzialni administratorzy zostawią jakieś otwarte furtki). Chyba, że wykorzysta się jakąś lukę w systemie. Tych czasem niestety nie brakuje.
Osobną sprawą jest wspomniany DDoS, czyli atak z wykorzystaniem wielu maszyn. Procedura ataku jest przynajmniej w teorii dość prosta i logiczna. Składa się z czterech głównych elementów. Numer jeden to główny atakujący (to nie musi być, szczerze mówiąc, nawet jeden konkretny komputer, raczej chodzi o wydanie polecenia), z którego pada hasło do rozpoczęcia ataku. Następnie występują jakieś węzły pośredniczące, do których bezpośrednio wysyła się polecenie ataku. One z kolei dają sygnał jednostkom, które zaatakują system bezpośrednio. W specjalistycznej terminologii takie jednostki określa się jako deamon node. W żartobliwym (zależy dla kogo) żargonie to po prostu żołnierze. Atak może przybierać naprawdę rozmaite formy. Może dojść do sytuacji, że np. jednocześnie 5, 10, 15 tysięcy, a nawet więcej maszyn, zażąda wyświetlenia jednej i tej samej strony internetowej. Nie każdy serwer sobie z tym poradzi. Może to być kilkadziesiąt tysięcy poleceń typu ping, wysyłanych
jednocześnie przez dłuższy czas, czy wreszcie jakieś inne zapytania. Istotne jest to, że właściciel atakującej maszyny nie musi sobie zdawać nawet sprawy, że pomaga w jakimś niecnym celu. Sam może być ofiarą np. złośliwego wirusa komputerowego, którego zadaniem jest wykorzystanie jego maszyny do ataku. Taki wirus może wykorzystywać tak niewielką ilość zasobów systemowych, że użytkownik nie ma nawet szans zorientować się, że jest do czegoś wykorzystywany. Z tym, że ilość takich nieświadomych ofiar pośredniczących może sięgać nawet setek tysięcy. Stąd apel do nas, żebyśmy również mieli zabezpieczone maszyny.
Nie muszę jednak mówić, że przygotowanie tak skomplikowanego ataku wymaga naprawdę specjalistycznej wiedzy i przynajmniej wielomiesięcznego przygotowania. Hakerów geniuszy, rodem z filmów amerykańskich, którzy potrafią w ciągu kilku minut intensywnego męczenia klawiatury przejąć prawie cały Internet wielu nie ma. O ile naprawdę istnieją. W rzeczywistości takie ataki są nakierowane na jakieś konkretne instytucje, raczej finansowe, po to, aby wielomiesięczna praca, zazwyczaj jakiegoś większego zespołu przyniosła konkretne korzyści finansowe. Z tym, że raczej operatorzy VoIP nie zabezpieczają się tak mocno jak banki, więc i atak nie musi być tak staranny.
Puenta powinna być taka, że te ataki są całkiem realne, niemniej na tyle rzadkie, że możemy spać raczej spokojnie, niemniej jednak nasi operatorzy nie powinni problemu lekceważyć. Jeśli tak się stanie, myślę, że możemy naprawdę spokojnie korzystać z usług operatora.
Zagrożenia komputeroweIstnieje wiele różnych zagrożeń związanych bezpośrednio z naszymi komputerami. Po pierwsze dość niebezpieczny jest sam fakt wykorzystywania komputera w telefonii internetowej. Do całej procedury dochodzi bowiem jeszcze jeden i to nie oszukujmy się, słaby, element. Aplikacje, działające w systemie użytkownika, narażone są bowiem na dodatkowe zagrożenia (głównie wirusy). Poza szyfrowaniem połączenia, dobrym serwerem, pojawia się
na pewno konieczność systematycznego dbania o zabezpieczenia naszego komputera. Ponadto istnieje również niebezpieczeństwo użytkowania jakiejś niesprawdzonej aplikacji, mającej (czy to przypadkowo, czy to specjalnie) znaczną ilość luk umożliwiających atak.
Najprostszą metodą na zabezpieczenie komunikacji z naszej strony, jest całkowita rezygnacja z użytkowania komputera. Nawet najtańsza, kosztująca ok. 250 zł bramka VoIP, daje nam przyzwoity poziom bezpieczeństwa. Nie martwimy się o wirusy. Bramka jest kompletnie niezależna od systemu operacyjnego, a więc i od jego słabości. Oczywiście również ona powinna być odpowiednio zabezpieczona. Na nic nam szyfrowanie, jeżeli pozostawimy podłączoną do Internetu bramkę, bez żadnego hasła, zwłaszcza jeżeli w użytku jest sieć bezprzewodowa. Niewątpliwym atutem bramki (czy specjalnego telefonu VoIP) jest to, że działa nawet po wyłączeniu komputera.
Jakie jeszcze ataki i zagrożenia na nas czyhają?W zasadzie poza atakiem typu DoS pozostałe zagrożenia związane były ze zdobyciem danych do usługi, aby z niej korzystać całkiem za darmo, jak również na czyjś koszt. Zresztą atak DoS można również wykorzystać do osłabienia systemów zabezpieczeń. W wielu przypadkach przeciążenie systemu powoduje np. wyłączenie zabezpieczeń.
Są jednak zagrożenia, na szczęście jeszcze dość rzadkie, które mogą po prostu nieco umilić nam życie. Wyobraźmy sobie spam poprzez VoIP. Może dość nietypowe, ale coraz bardziej prawdopodobne. To zagrożenie ma już nawet swoją nazwę – SPIT, od jakże oryginalnego Spamming over Internet Technology. Na czym ono polega? Za pomocą telefonii internetowej można przesyłać np. wiadomości głosowe. Każde konto VoIP ma na serwerze swój adres IP. Jeżeli ktoś zdobędzie chociażby te adresy, to już ma potężne narzędzie. Po pierwsze może wysłać klasycznie rozumiany spam. Tysiące przez nikogo niechcianych wiadomości. Samo w sobie irytujące. Co więcej, wyobraźmy sobie,
BEZPIECZEŃSTWO KOMUNIKACJI VOIP
że w tych wiadomościach spamer może podszyć się pod np. centrum obsługi klienta i przeprowadzić atak typu phishing – zdobycie jakiś poufnych informacji. Nie można lekceważyć również tego, że w wiadomościach głosowych można ukryć niebezpieczny kod (np. wirusy), które już przy odtwarzaniu przez odpowiedni program mogą nam przysporzyć kłopotów (kolejny argument za niewykorzystywaniem komputera do komunikacji głosowej).
Kolejnym utrudnieniem jest atak o nazwie Call tampering . Mając dostęp do samej transmisji danych, niekoniecznie do nich samych, intruz może próbować zakłócać trwającą rozmowę. Przejawiać się to będzie czy to jakimiś przerwaniami, czy chociażby zwykłymi szumami czy trzaskami. Mamy super szybkie łącze, nikt w domu, czy firmie nic nie ściąga, ewidentnie wszystko chodzi dobrze, dostawca zaufany, a jednak coś jest nie tak. To może być właśnie objaw ataku trwającej rozmowy. Przykładowo, atakujący może do strumieni głosowych dodawać zbędne dane, powodując szum i trzaski. Może również wstrzymywać dostarczanie pakietów, co będzie przejawiać się długi okresami ciszy.
PodsumowanieRozwój telefonii internetowej niesie za sobą wiele korzyści, ale jak wynika z artykułu, również zagrożeń. Wspomniałem już w jaki sposób można wykorzystać
źle zabezpieczoną sieć VoIP. Warto wspomnieć o jeszcze jednym, jak na razie na szczęście dość teoretycznym zagrożeniu. Istnieje bowiem możliwość wykorzystania naszej usługi VoIP w naprawdę niecnych celach. Wyobraźmy sobie, że jeżeli ktoś zdobędzie hasła dostępowe do naszej usługi, to może za jej pomocą wysyłać sprytnie ukryte wiadomości. W tym miejscu trzeba wspomnieć o botnetach, czyli sieciach komputerów przejętych przez crackerów. Włączenie VoIP do botnetów dałoby przestępcom naprawdę potężne narzędzie do ręki. Jeżeli nasze dane zostałyby wyłudzone, nie zaś wykradzione z zabezpieczonej sieci, to intruz dostaje do ręki możliwość wysyłania zabezpieczonych wiadomości. Kilku specjalistów zwróciło uwagę, że gdyby hasła do ataku były dawane np. poprzez zaszyfrowany protokół Skype, to późniejsze wyśledzenie sprawcy byłoby w zasadzie niemożliwe.
Poza pojedynczymi przypadkami, nie ma jednoznacznej recepty na pełne zabezpieczenie systemów obsługujących rozmowy, jak również samej transmisji.
Pewne jest jedno, że bezpieczeństwo naszych rozmów wymaga stałego dozoru. Poza tym na szczęście większość z omówionych zagrożeń pozostaje w sferze teoretycznej. Niemniej wysoce prawdopodobnej.
Przemysław ŻarneckiAutor jest dziennikarzem, freelancerem ale również i przedsiębiorcą. Swoją przygodę z piórem zaczynał kilka lat temu, współtworząc liczne poradniki o OpenOffice. W międzyczasie związał się z wydawnictwem Software oraz Wiedza i Praktyka. Czasami pisuje również do innych redakcji.Autor prowadzi również niewielką firmę informatyczną, oferując głównie różne usługi informatyczne, tworzenie stron, ale również audyty bezpieczeństwa. Związany jest także z branżą szkoleniową i edukacyjną. Prowadzi zajęcia zarówno z dorosłymi, jak również z młodzieżą licealną.Specjalizuje się w rozwiązaniach linuksowych i sieciowych. Nie stroni jednak od tematyki bezpieczeństwa. Na ogół stara się przybliżyć trudno strawne dla przeciętnego Kowalskiego tematy w sposób nieco bardziej przyjazny, niż właściwy typowym tekstom specjalistycznym. Przy okazji stara się promować rozwiązania nietuzinkowe, wykraczające poza grono najpopularniejszych. Często korzystniejsze dla zwykłego zjadacza chleba. Kontakt z autorem: [email protected]
Reklama
38
BEZPIECZNA FIRMA
HAKIN9 6/2010
Na początek, jakie znaczenie ma bezpieczeństwo. Znakomity cytat Howarda Schmidta przytacza Dan
Raywood w Security focus should be on vulnerabilties rather than on patching , SC Magazine 2009-03-03.
Cała idea bezpieczeństwa w informatyce uległa dramatycznej zmianie przez ostatnie pięć lat. Kiedyś chodziło o technologię, teraz chodzi o informacje. Informacje są złotem, srebrem i diamentami współczesnego świata, a Ty musisz je mieć natychmiast.
Spójrzmy co mówią specjaliści dziedziny bezpieczeństwa, będący sceptykami linuksowych zabezpieczeń. Simson Garfinkel w The Coming Linux Plague, SecurityFocus 2000-03-15; zaprezentował nam ciekawy artykuł odnośnie przyszłości. Autor twierdzi, iż wirus mógłby rozprzestrzeniać się jako łata jądra lub przez modyfikację popularnych programów jak ls czy emacs .
Autor daje również szansę atakom na słabości usług, które oferują systemy. Na wszystkie te nieszczęścia jest tylko jedna obrona, niskie zainteresowanie systemem.
Kolejnym czarnowidzem był Scot Grennman Linux vs. Windows Viruses , SecurityFocus 2003-10-02; zaprezentował perspektywę Linuksa sprowadzonego do poziomu sera szwajcarskiego. W artykule znajdziemy cytat menadżera McAffe Jacka Clarcka Prawdopodobnie łatwiej jest napisać
SYLWESTER ZDANOWSKI
Z ARTYKUŁU DOWIESZ SIĘjak bezpieczny jest Linux,
jak bezpieczny Linux będzie.
CO POWINIENEŚ WIEDZIEĆczym różni się Linux od Windowsa
jakiego poziomu bezpieczeństwa potrzebujesz
wirusa dla Linuksa przez dostępność do otwartego kodu. Będziemy więc widzieć więcej wirusów wraz z upowszechnieniem się tego systemu.
Jeszcze ciekawsze są słowa, które wypowiada Raimond Genes – Jest to stabilny system, ale nie jest bezpieczny – mowa o Linuksie.
Mamy rok 2010 i całość powyższych opinii możemy włożyć na jedną półkę z paniką wywołaną świńską grypą. Zupełnie inny rodzaj wirusa, ale w obu przypadkach firmy zarabiające na panice postarały się o jej wywołanie.
Co nas chroniWiemy już jaki Linux jest dziurawy, słaby i zawodny pod względem bezpieczeństwa. Zobaczmy dlaczego jest dość popularnym wyborem dla serwerów i dlaczego pisząc ten artykuł nie muszę walczyć z kolejną plagą wirusów.
Zaczynamy od instalacji systemu. W najprostszym wariancie instalujemy wszystko na jednej partycji. Pod koniec procesu, instalator zmusza nas do wymyślenia nazwy zwykłego użytkownika i hasła. Wymuszenie hasła przy instalacji nie jest zasadą przestrzeganą przez wszystkie dystrybucje.
Już w tym momencie mamy jedno zabezpieczenie i jeden słaby punkt. Utworzenie zwykłego użytkownika z ograniczonymi
Stopień trudności
Przyszłość bezpiecznego LinuksaPowszechnie pojawia się opinia, iż bezpieczeństwo Linuksa wynika z jego małej popularności. Łączy się z tym przekonanie, iż wzrost jego popularności sprowadzi go do poziomu innych systemów. Zobaczmy więc jak sytuacja ma się teraz i jak może wyglądać, gdy Linux zyska na popularności.
39
PRZYSZŁOŚĆ BEZPIECZNEGO LINUKSA
HAKIN9 6/2010
uprawnieniami ogranicza również możliwość działania procesów. Program chcący usunąć pliki innych użytkowników, czy samego systemu musi najpierw uzyskać uprawnienia dostępu.
Oczywiście możliwe jest wykonanie przez użytkownika programu z uprawnieniami roota. Jednak root nie mogąc uruchomić środowiska graficznego, nie może stanowić narzędzia podstawowego. Uruchomienie programu z maksymalnymi uprawnieniami wymaga tym samym dodatkowych czynności, co daje nadzieję na zadziałanie funkcji myślowych użytkownika.
No dobrze, użytkownik uruchomił niesforny program ze swoimi uprawnieniami. Co się stanie z systemem? Z systemem nie stanie się absolutnie nic. Ograniczone uprawnienia użytkownika pozwolą na zniszczenie jedynie jego własnych plików.
Wszystko wygląda pięknie, chociaż wspomniałem już o słabości. Jeżeli cały system znajduje się na jednej partycji bez dodatkowych ograniczeń zasobów, użytkownik może zapełnić cały dysk twardy.
Do zabezpieczenia się przed taką sytuacją wystarczy w czasie instalacji utworzyć osobną partycję dla katalogu domowego.
Jeżeli robaczek zużywa wszystkie zasoby pamięci RAM czy mocy obliczeniowych, może to dopiero zrobić po uruchomieniu, co wymaga zalogowania użytkownika.
Przeszliśmy przez instalację widząc zagrożenia. Co dalej prócz podziału dysku i uprawnień dostępu? Na pierwszej linii stoją programy wykorzystujące łącze internetowe, przeglądarka, klient poczty oraz wszelakie drogi dostępu do zasobów systemu, takich jak samba.
Do przeprowadzenia ataku konieczna jest znajomość słabości, którą można wykorzystać. W systemie Linux sytuację komplikuje różnorodność oprogramowania. Nasz rozrabiaka może trafić na Evolution, SeaMonkey czy Kmail. Aby zachować skuteczność, wirus musi zidentyfikować program i wykorzystać znaną lukę. Ponadto programy te nie
pozwalają, aby cokolwiek stało się bez wiedzy użytkownika.
Znany i popularny komercyjny klient poczty wymaga dodatkowej konfiguracji w celu zwiększenia bezpieczeństwa. Tymczasem wymienione wcześniej programy nie wymagają dodatkowych czynności. Posiadają one dodatkowe możliwości, związane raczej z zachowaniem poufności wysyłanych wiadomości, niż bezpieczeństwem klienta poczty.
Powyższa różnica każe postawić pytanie, gdzie podziała się czarna magia potrzebna do wykorzystywania Linuksa. Okazuje się, iż jest ona niezbędna do zabezpieczania innych systemów.
W każdym programie zdarzają się luki, wówczas żadna konfiguracja nie pomoże. Tutaj ratuje nas cecha charakterystyczna Linuksa. Z racji na rozdział pomiędzy rozwojem programów niezależnych od dystrybucji i samych dystrybucji, błędy są poprawiane na wielu szczeblach. Jeżeli oryginalny program zawiera lukę, jest ona często poprawiana przez twórców dystrybucji.
Programy komercyjne przechodzą przez cykl produkcyjny, który powinien wyeliminować luki bezpieczeństwa. Poziom skuteczności tej procedury jest powszechnie znany. Czas udostępniania aktualizacji jest również dłuższy w przypadku produktów komercyjnych.
Skoro jesteśmy przy szybkości poprawiania luk w programach, co z możliwością ich wprowadzania do otwartego kodu. W zeszłym roku pojawiła się informacja o wygaszaczu ekranu, który bynajmniej nie był tym, czego spodziewał się użytkownik. Wygaszacz ten został szybko przeanalizowany dla ustalenia jego rzeczywistych działań. Przede wszystkim mógł on służyć do wykonania ataku DoS przeciwko innej maszynie. Usunięcie skutków instalacji wygaszacza wymagało wpisania kilku poleceń odwracających zmiany.
Wszelakie niepożądane działania pakietów w analogiczny sposób są szybko wychwytywane dzięki dostępności kodu. Uniknąć zetknięcia z takimi pakietami można przez ograniczenie się do wykorzystania jedynie źródeł będących pod
kontrolą twórców dystrybucji. Mechanizm udostępniania i instalacji oprogramowania utrudnia możliwość wykonania jakichkolwiek niepożądanych zmian.
W ostatecznym rozrachunku, wystarczy, aby zwykły użytkownik nie obniżał bezpieczeństwa jakie daje system Linux. Dla systemów desktop niepotrzebna jest instalacja i konfiguracja dodatkowych zabezpieczeń.
SerwerW przypadku serwerów wymienione wcześniej zagrożenia tracą znaczenie. Poczta odczytywana jest na komputerach klienckich. Administratorzy dobrze wiedzą z jakich źródeł i co instalują. Problemem są inne zagrożenia.
Przede wszystkim konieczna jest ochrona świadczonych usług jak poczta czy serwer Apache. Naturalnym celem ataku są luki w usługach i słabe hasła. W przypadku haseł jako zabezpieczenie wystarczy nam wymuszenie długości podawanych haseł.
Każda usługa udostępniona na serwerze stanowi jednak potencjalne niebezpieczeństwo. Poprawki pojawiają się w niedługim czasie po wykryciu luki. Pozostawia to jednak wystarczające okno czasowe pomiędzy odkryciem problemu, a jego załataniem przez administratorów.
Sytuację ratują liczne rozwiązania pozwalające zabezpieczyć system wieloma warstwami, jak cebule. Na początek chronimy połączenie z sieciami i użytkownikami, znajdującymi się poza siecią lokalną. Dzięki VPN i SSH można tworzyć bezpieczne połączenia na odległość. Dalej, nasz serwer chronimy ścianą ogniową.
Dalsze zabezpieczenia nie są widoczne z zewnątrz. Przede wszystkim ograniczenie uprawnień usług. Często omawianym zabezpieczeniem jest więzienie dla oferowanych usług. Działający w takowym wiezieniu Apache, w przypadku ataku, nie da możliwości wyrządzenia większych szkód.
Atakowanie usług niezbyt doświadczonego użytkownika można utrudnić przez zmianę informacji jakie usługi podają o sobie. Dzięki temu
40 HAKIN9 6/2010 41 HAKIN9 6/2010
napastnik nie będzie pewien z czym ma do czynienia.
Skoro jednak dopuszczamy możliwość skutecznego wykorzystania luki w usłudze, musimy o tym wiedzieć. Wykrywaniu zdarzeń służą programy IDS (ang. Intrusion Detect System). Do dyspozycji mamy narzędzia AIDE (ang. Adwenced Intrusion Detection Enviroment ) czy Tripwier. AIDE na licencji GPL tworzy bazę danych na podstawie pliku konfiguracyjnego. Uruchomienie programu powoduje porównanie istniejących plików z bazą danych. Raportowane są wszystkie zmiany nieprzewidziane w konfiguracji programu. W podobny sposób można wykorzystać Tripwire, przy czym jest on podzielony na wersję o kodzie otwartym, dla serwerów i dla korporacji.
Spójrzmy jeszcze na pewien scenariusz. Włamywacz wykorzystuje lukę serwera samby, ma uprawnienia użytkownika samba i bardzo chce podmienić kilka plików konfiguracyjnych tej usługi. Mógłby uzyskać dostęp do pożądanych przez siebie informacji. Jeżeli użyliśmy wcześniej flagi immutable na plik smb.conf i smbpasswd , nasz napastnik nie zdziała absolutnie niczego. Przynajmniej do czasu uzyskania uprawnień roota.
Flaga immutable uniemożliwia zmianę pliku, ustawić i zlikwidować ją
może tylko root. W oczywisty sposób jej użycie może komplikować proces aktualizowania konfiguracji. Jak długo jednak napastnik nie ma dostępu do konta roota, plik jest bezpieczny.
W nieco innym scenariuszu możliwe byłoby zainstalowanie rootkita, którego można wykryć zarówno przez IDS, jak i programy typu Rootkit Hunter.
Prócz zagrożeń, które można zaliczyć do technicznych, mamy jeszcze socjotechniki. Szczególnie administratorzy w dużych przedsiębiorstwach muszą się zatroszczyć o ujawnianie jak najmniejszej ilości informacji o pracy całego systemu. Poczynając od mówienia wszystkim Hej, szukamy do pracy fachowców od ścian ogniowych. Mamy z tym kłopot , kończąc na informacjach jakie można wyszukać przez wyszukiwarki czy samego tracerout.
Przyszłe zagrożeniaNa samym początku przytoczyłem niezbyt trafione przewidywania odnośnie plagi wirusów. Próby przewidywania sytuacji po upowszechnieniu się systemu Linux w dużej mierze zależą od źródła finansowania autora i jego ideologii. Zobaczmy jednak co nie tylko może, ale prawdopodobnie będzie się działo po upowszechnieniu Linuksa.
Przede wszystkim, skąd biorą się obecne zagrożenia w postaci wirusów, koni trojańskich itd. Jakie cele mają te programy, komu one służą? Te pytania pozwolą przenieść obecny problem na grunt powszechności Linuksa.
Do dalszych rozważań weźmy trzy cele ataków. Po pierwsze niszczenie – wirus uruchomiony na komputerze prowadzi do unieruchomienia systemu operacyjnego. Wszystkie zasoby obliczeniowe, jak i pojemność pamięci zostają zużyte. Co gorsza próby usunięcia wirusa nie przynoszą skutków. Pozostaje jedynie wgranie systemu i ustalenie jakie pliki są zarażone, aby uniknąć powtórki.
Po drugie tworzenie zombie – z komputerem zasadniczo nie dzieje się nic niezwykłego. Możliwa jest praca, nieco wzrosło użycie zasobów. Jednak co jakiś czas sieć odmawia posłuszeństwa. Drobny program wysyła wielkie ilości danych na nieznany adres IP. Setki takich komputerów w sieci powodują załamanie serwera.
Po trzecie szpiegowanie – praca z komputerem nie jest utrudniona. Program po cichu loguje działalność użytkownika z hasłami włącznie. Konkurencja wie wszystko o działalności firmy.
Aby zobaczyć powszechność tych zagrożeń w popularnych systemach komercyjnych wystarczy zajrzeć na dowolne popularne forum internetowe poświęcone tematyce. Na wielu z nich zwykli użytkownicy szukają pomocy krok po kroku jak poradzić sobie z robaczkami. Dla systemu Linux mieliśmy już przykład wygaszacza ekranu wchodzącego do drugiej grupy celów ataku. Istnieją również wirusy jak Linuks/Rst-B, wykryty w 2002 r. Należy uważać, gdyż wirus ten ma kilka minimalnie różniących się nazw, zależnie od firmy zajmującej się oprogramowaniem antywirusowym. Przy niewielkiej popularności systemu można go było uniknąć poprzez ostrożność. Upowszechnienie systemu jest równoznaczne z jego wykorzystaniem przez osoby, których pojęcie rozsądku nie dotyczy. Wielu użytkowników po prostu chce mieć Rysunek 1. Poziom działania LMS
BEZPIECZNA FIRMA
40 HAKIN9 6/2010 41 HAKIN9 6/2010
tapety, wygaszacze, gry itp. nie patrząc na to skąd są one pobierane.
Powszechne staną się konkretne przeglądarki internetowe wykorzystywane w Linuksie. Być może będzie to Epiphany czy Iceweasel. Ataki zostaną skierowane przeciwko ich słabościom. Pojawią się dodatki podobne do dostępnych dla SeaMonkey czy Firefoxa. Okienka proszące o zgodę na instalację dodatku na najróżniejszych stronach, czasem będą miały szczęście trafić na kogoś, kto się zgodzi. Od tego momentu przeglądarka zaczyna pracę dla napastnika.
Oprogramowanie do przeglądania poczty również nie będzie bezpieczne. Podobnie jak do tej pory inne rozwiązania były atakowane, tak wszyscy będą polować na słabości Evolution. Dla powszechnie używanego systemu popularne staną się udogodnienia i skrypty. Załącznik pobrany z poczty od znajomego zawierające grę ze skryptem, który przeprowadzi instalację. Udogodnienie sprawi, iż wystarczy ściągnąć plik i nacisnąć dwa razy na plik skryptu. Tak samo jak obecnie na każdy katalog, przecież po co męczyć się z linią poleceń. Otrzymujemy grę, a wraz z nią prezent rozsyła się do wszystkich w książce adresowej i zaczyna logowanie naszych działań. Innym razem taki sam prezent pozbawia konto wszystkich plików. W końcu ktoś znajdzie lukę, dzięki której bombowe prezenty będą wstanie unieruchomić cały system.
Na pewnym etapie problemem staną się ułatwienia w obsłudze systemu dla zwykłych użytkowników oraz socjotechniki. Obecnie na problemy te cierpi najpopularniejszy system operacyjny.
SerwerUpowszechnienie systemu Linux będzie miało znacznie mniejsze znaczenie dla serwerów. Administratorzy obecnie muszą się liczyć z atakami obliczonymi na uzyskanie informacji lub spowodowanie odmowy dostępu. Po upowszechnieniu systemu w dalszym ciągu będą instalować minimum niezbędnego oprogramowania z zaufanych źródeł.
Z pewnością pojawi się większa ilość narzędzi dla script-kidis, które zwiększą nieco ilość logowanych informacji. Jednak realne zagrożenie dla serwerów nie będzie znacząco wyższe.
Patrząc na wcześniejsze przewidywania, sytuacja komputerów klienckich będzie niemal identyczna z obecną.
Dla uczciwości warto uwzględnić zwiększenie udziału systemu Linux jako rozwiązania dla serwerów. Tutaj również trafią się administratorzy, którzy będą uczyli się w bolesny sposób.
Przyszłe rozwiązaniaWiemy już czego się spodziewać przy wykorzystaniu mechanizmów, obecnie zapewniających bezpieczeństwo. Pytanie brzmi, co można z tym zrobić. Żartobliwie można powiedzieć, iż wystarczy unikać upowszechnienia Linuksa.
BEZPIECZNA FIRMA
42 HAKIN9 6/2010
W rzeczywistości obecnie istnieje wiele rozwiązań, które nie zawsze wykorzystywane są nawet na serwerach. Wirus z załącznika poczty, kiedy zostanie uruchomiony, bez problemu może narozrabiać na koncie nierozważnego użytkownika. Wówczas kasujemy konto ze wszystkimi plikami i tworzymy nowe. Jednak wystarczy zainstalować wcześniej program antywirusowy, jak Clam AntiVirus. W najgorszym wypadku system i kopie zapasowe przetrwają. W najlepszym, wirus zostanie wychwycony zanim narobi jakichkolwiek szkód.
Pójdźmy dalej, antywirus nam nie wystarcza, potrzebujemy narzędzia większego kalibru. W sukurs przychodzi GRSecurity. Narzędzie to obecnie można zainstalować jako łatę jądra. Dla zwykłego użytkownika w przyszłości rozwiązanie to będzie musiało zostać uproszczone. Po nauczeniu naszego strażnika co jest normalne w naszym systemie, nie dopuści on do wykonania żadnej nieprzewidzianej czynności. Również proces nauki, o ile obecnie dość prosty w obsłudze, będzie wymagał dostosowania.
Posiadając GRSecurity ograniczamy możliwość wykonania ataków dowolnego typu. Wirus nie będzie mógł od tak zarażać plików, ataki przepełnienia bufora również znajdą się pod kontrolą.
Istnieje oczywiście SELinux, rozwiązanie najlepiej implementowane w dystrybucjach RedHat i Fedora. W innych dystrybucjach jego obsługa będzie wymagała uproszczeń. Jednak nawet wówczas w zestawieniu z GRSecurity jest to rozwiązanie częściowe.
Ponadto w opinii twórcy GRSecurity wykorzystywany przez SELinux LSM stanowi niebezpieczeństwo dla bezpieczeństwa. Z założenia jest to
inter fejs wykorzystywany do kontroli pracy systemu. Jeżeli w systemie zostanie zainstalowany program, korzystający z LMS, przejmie kontrolę nad systemem. Tymczasem GRSecurity instalowany jako łata nie daje możliwości przejęcia kontroli przez inny program.
Można również wprowadzić rozwiązania zintegrowane. Obecnie GRSecurity i SELinux w swojej funkcjonalności pokrywają się na poziomie uprawnień użytkowników. Prócz antywirusa Clamav istnieją programy jak Rootkit Hunter. Pod kontem przeciętnego użytkownika komputera wszystkie te narzędzia wymagają integracji, prostej instalacji, bez potrzeby ręcznej konfiguracji, która tylko pogorszyłaby ich działanie.
Integracja narzędzi i uniwersalizacja domyślnej konfiguracji musi jednak doprowadzić całość do utraty optymalnej pracy. Uzyskanie optymalnie pracującego środowiska wymaga jego dostosowania. Tymczasem będziemy mieli do czynienia z konfiguracją działającą u każdego, ale u nikogo w sposób zadowalający.
Ochrona przed użytkownikiemW naszym obrazie przyszłości mamy już zintegrowane narzędzia chroniące przed atakiem z zewnątrz. Dla zachowania bezpieczeństwa systemu w powszechnym użyciu, konieczne stanie się projektowanie mechanizmów ochrony przed błędami użytkowników. Mechanizmy tego rodzaju należą do najtrudniejszych w projektowaniu i implementacji.
Koniecznością będzie jasne informowanie użytkownika w formie graficznej o wszystkich niepokojących
zdarzeniach. Wszelakie dotychczasowe mechanizmy logowania należy w takiej sytuacji uznać za nieefektywne.
Kolejnym problemem w dużej mierze związanym z polityką producentów, są sterowniki sprzętu. Wszelakie instalacje muszą być wykonywane w sposób który nie będzie mógł zaszkodzić systemowi. Idąc dalej również wszystkie opcje kontroli zachowania systemu muszą zostać przeniesione do środowiska graficznego. Ostatnim elementem zabezpieczenia przed użytkownikiem powinien być prosty i skuteczny mechanizm przywracania systemu.
Bez powyższych rozwiązań zaprojektowanych z myślą o użytkowniku, który będzie wolał przejść przez niekończące się drzewo ikon i list opcji. Bez wykonania inter fejsu w sposób, który użytkowników konsoli przyprawi o ból głowy, największym niebezpieczeństwem dla systemu będzie sam użytkownik.
Przyszłość serwerCo jednak z przyszłością bezpieczeństwa serwerów. Jest to bardziej kwestia naturalnej ewolucji zabezpieczeń niż wzrost popularności systemu. Stopniowo coraz więcej serwerów będzie pracowała z wykorzystaniem SELinux czy GRSecurity. W tym przypadku integracja narzędzi w proste pakiety traci znaczenie. Upowszechni się również stosowanie bardziej podstawowych rozwiązań, jak więzienia usług czy port-knocking. Oczywiście istnieją bardziej finezyjne rozwiązania, pozwalające na zmylenie napastnika jak honey pot.
Drugim zagadnieniem jest chronienie klientów przez serwery. W tej chwili niezależnie od wykorzystywanych systemów, Clamav pozwala na skanowanie poczty na serwerze. Rzadko spotykanym rozwiązaniem jest monitorowanie komputerów w sieci za pomocą NAGIOSa. Narzędzie to może monitorować również system Windows. Jego upowszechnienie pozwoli na szybkie alarmowanie administratorów sieci o niepokojącym zachowaniu pojedynczych komputerów pod ich nadzorem.
W Sieci• http://www.securityfocus.com/columnists/188 – Scott Greneman,• http://www.securityfocus.com/news/2 – Simson Garfinkel,• http://www.v3.co.uk/vnunet/news/2116855/linux-lined-virus-target ,• http://www.scmagazineuk.com/security-focus-should-be-on-vulnerabilities-rather-than-
on-patching/article/128174/ ,• http://www.grsecurity.net/ – GRSecurity,• http://www.nsa.gov/research/selinux/index.shtml – NSA o SELinux.
PRZYSZŁOŚĆ BEZPIECZNEGO LINUKSA
43 HAKIN9 6/2010
Reklama
PodsumowanieWielu przepowiadało już upadek Linuksa pod kontem bezpieczeństwa, cóż wielu również prorokowało koniec świata. Obecnie dla zwykłego użytkownika systemu wystarczy nie dotykanie domyślnych mechanizmów chroniących środowisko. W przyszłości, w przypadku jego upowszechnienia z pewnością konieczne będzie wykorzystanie dodatkowych narzędzi. Są one jednak już gotowe i będą stanowiły jedynie wsparcie dla najważniejszego
fundamentu, jakim są uprawnienia chroniące system przed nierozwagą jednego użytkownika.
Zabezpieczenia w ich przypadku są wynikiem wyścigu szczurów pomiędzy krakerami a administratorami. Celowo piszę o krakerach nie hakerach zgodnie z definicją anonimowego autora książki Internet Agresja i Ochrona .
Największym problemem będzie sprostanie ludzkiej skłonności do działania, zamiast myślenia. Zachowanie równowagi między zmuszeniem
użytkownika do myślenia, a pytaniem o każdy krok. Z pewnością tak jak do tej pory wszystkie dystrybucje Linuksa poprawiały bezpieczeństwo i funkcjonalność, tak i ten problem powszechnego użytkownika zostanie rozwiązany na drodze ewolucji.
Sylwester ZdanowskiAutor książki: Debian Linux. System operacyjny dla każdego. Pierwsze starcie. Programista freelancer, obecnie poszukuje osób chętnych do współpracy nad nowym projektem na licencji GNU. Informace w dziale PHP pcpomoc.infolan.net. Kontakt z autorem: [email protected]
44
PRAKTYKA
HAKIN9 6/2010
Z ARTYKUŁU DOWIESZ SIĘna czym polega polityka testowania oprogramowania antywirusowego,
w jaki sposób wyniki testów wykorzystywane są przez twórców złośliwego oprogramowania,
na ile wyniki rankingów antywirusów są wiarygodne,
dlaczego antywirus nie jest w stanie zabezpieczyć komputera przed wszystkimi zagrożeniami występującymi w Sieci.
CO POWINIENEŚ WIEDZIEĆjak samemu ocenić skuteczność pakietu antywirusowego,
w jaki sposób można obejść mechanizmy ochrony i wykrywania antywirusa,
jakie formy ataków dominują obecnie na rynku online.
Polityka testowania już od dłuższego czasu uważana jest za najbardziej gorący temat wśród użytkowników Internetu.
Z założenia stanowi ona skomplikowany proces technologiczny, polegający na infekowaniu systemu za pomocą próbek złośliwego oprogramowania, rzeczywiście występującego w Sieci. Baza malware na bieżąco aktualizowana jest przez niezależne instytuty badawcze, które za pomocą różnych narzędzi dokonują symulacji potencjalnych ataków. Próbki złośliwego oprogramowania jakie udaje się pobrać na specjalnie stworzone w tym celu skrzynki e-mail, czy wykryć za pomocą multiskanerów, posiadają zdolność rekompilacji kodu, nawet co kilkanaście minut. Oznacza to, że w przypadku pojedynczego zagrożenia może istnieć nawet kilka wektorów potencjalnej infekcji.
Metodyka sporządzania testów stosowana przez różne organizacje i instytuty badawcze różni się od siebie w niektórych aspektach. W przypadku AV –Test, jakość oprogramowania ocenia się za pomocą co najmniej 6 integralnych modułów, których celem jest między innymi rozpoznanie zdolności antywirusa do blokowania zainfekowanych witryn WWW, wykrywania i neutralizowania exploitów oraz dynamicznej ochrony za pomocą firewall. Wraz z rozwojem technologii Cloud Computing , coraz większego znaczenia nabiera także ochrona statyczna, a więc zdolność rozpoznawania i blokowania nowych,
URSZULA HOLIK
nieznanych zagrożeń oraz szybkość aktualizacji sygnatur blokujących między innymi rootkity. Wszystkie wymienione wyżej parametry są kluczowe w ocenie antywirusa pod względem zapewnienia użytkownikowi proaktywnej ochrony. Jeżeli w sytuacji pojawienia się w Sieci nowego malware, dla którego nie zostały jeszcze udostępnione bazy sygnatur, jeden z modułów nie zadziała, to cały system okaże się nieskuteczny.
W ocenie internautów wielokrotnie padają zarzuty dotyczące samej jakości polityki testowania. Wydawało się, że wszelkie kontrowersje powstałe wokół tego tematu uda się rozwiązać dzięki utworzeniu Anti-Malware Testing Standards Organization (AMTSO), mającej za zadanie ustalenie wspólnych standardów i metodologii testów w zakresie zwalczania szkodliwego oprogramowania. Efekty prac tej instytucji stanowią główny punkt zainteresowania nie tylko wśród producentów antywirusów, ale także twórców szkodliwego oprogramowania, którzy teraz skoncentrowani są w szczególny sposób na znalezieniu sposobów obejścia mechanizmów ochrony. Chociaż narzędzia oraz próbki malware, wykorzystywanego podczas sporządzania rankingu, różnią się w poszczególnych organizacjach, to jednak ogólna metodologia przeprowadzania testów jest podobna. Zarówno wśród producentów dostarczających oprogramowanie antywirusowe, jak również
Stopień trudności
Fail test, czyli na ile antywirus jest skutecznyProaktywna ochrona, zaawansowana heurystyka, doskonałe wyniki w testach dynamicznych. To tylko kilka wskaźników, które internauci traktują jako wyznacznik skuteczności oprogramowania antywirusowego. Okazuje się jednak, że w dobie rosnącej popularności polimorficznych zagrożeń, nawet antywirus klasy Advanced + może okazać się nieskuteczny.
45
FAIL TEST, CZYLI NA ILE ANTYWIRUS JEST SKUTECZNY
HAKIN9 6/2010
członków instytutów badawczych, panuje zgoda co do tego, że w przypadku testów dynamicznych błędne jest koncentrowanie się tylko i wyłącznie na współczynnikach wykrywalności, nie uwzględniając jednocześnie mechanizmów bezpieczeństwa antywirusa
Kryterium oceny poszczególnych etapów skupia się na odsetku skutecznie zablokowanych adresów URL oraz powiązanych z nim plików, a także na ustaleniu wartości procentowej wykrytych i zneutralizowanych ataków w stosunku do wszystkich poddanych badaniu próbek wirusów. Testy dynamiczne, opierając się między innymi na systemie behawioralnym, wykorzystują w badaniu najbardziej popularne formy ataku, jak na przykład drive – by – download, phishing czy rozsyłanie wiadomości SPAM. Pod uwagę bierze się również tak zwane testy retrospektywne, weryfikujące zdolność ochrony przed nieznanymi atakami (zero-day attack) na niezaktualizowanym produkcie. Test pozwala sprawdzić skuteczność pakietów działających w modelu cloud computing na podstawie analizy rozpoznawalności wektorów infekcji. Biorąc pod uwagę różnorodność i wielość wykorzystywanych w badaniu próbek, całkowicie naturalnym zjawiskiem są niewielkie wahania wyników poszczególnych programów antywirusowych, które łatwo zauważyć w czołówce rankingu.
Faktyczna skuteczność antywirusaOkazuje się, że wynikami testów dynamicznych żywo zainteresowani są nie tylko producenci oprogramowania chroniącego system, ale także twórcy szkodliwych programów. Ujawnienie szczegółowych informacji na temat zbioru wykorzystywanych w badaniu próbek, w zestawieniu z końcową ocena oprogramowania antywirusowego, stanowi doskonałą informację zwrotną na temat skuteczności nowego malware. W przypadku największych organizacji badawczych, jak na przykład AV-Comparatives, AV-TEST, czy Virus Bulletin nazwy szkodliwego oprogramowywania, które brało udział w teście nie są
ujawniane, co chociaż ogranicza zasięg informacji na temat malware przekazywanej cyberprzestępcom, to również w prosty sposób przekłada się na niewiedzę Internautów.
Rankingi oprogramowania antywirusowego tworzone są na podstawie długoterminowych testów, biorących pod uwagę skuteczność wszystkich zastosowanych w danym produkcie mechanizmów ochrony. Wiodące instytuty badawcze zajmujące się testowaniem programów chroniących system, jako jeden z podstawowych wyznaczników w rankingach, biorą pod uwagę funkcję blokowania stron zainfekowanych złośliwym oprogramowaniem. Wykorzystując znane formy ataków, jak na przykład drive-by dowload , badana jest skuteczność antywirusa, mierzona za pomocą odsetka zablokowanych ataków. Niewielu internautów zdaje sobie jednak sprawę z tego, że w tym przypadku liczy się nie tylko prawidłowa identyfikacja zagrożenia, ale również czas, w jakim to nastąpi. Chociaż antywirus w testach dynamicznych osiąga wysoki wynik, to jednak stosunkowo łatwo obejść jego mechanizm bezpieczeństwa. Dzieje się tak dlatego, że oprogramowanie rozpoznaje i blokuje malware dopiero wtedy, gdy skompresowany plik został już pobrany do sieci lokalnej. Co więcej oprogramowanie nie usuwa archiwum zawierającego już ściągnięte wirusy. W przypadku polimorficznego zagrożenia, którego kod ulega rekompilacji co kilkanaście minut, a sam proces instalacji rozłożony jest na kilka z pozoru bezpiecznych etapów, nawet ochrona za pomocą oprogramowania klasy Advanced + może okazać się nieskuteczna. Problem ten w szczególnym stopniu dotyczy jednego ze znanych w Polsce producentów antywirusów.
Wiele zarzutów podnoszonych jest również wobec testów statycznych – obiektywne zbadanie skuteczności antywirusa, wymagałoby zainfekowania systemu każdą pojedynczą próbką szkodliwego kodu występującego w Sieci. Nadal rzadko stosuje się również podział próbek testowych na odpowiednie podzestawy. Zaledwie niewielka część
instytutów badawczych tworzy osobne rankingi potwierdzające skuteczność antywirusa, zarówno w walce z robakami, wirusami, jak również trojanami. Wynik badania zawiera zbyt ogólne informacje, by mogły one przyczynić się do ulepszenia poszczególnych modułów w oprogramowaniu antywirusowym. Wyjątek od tej reguły stanowią testy sprawdzające skuteczność wykrywania przez oprogramowanie antywirusowe polimorficznych zagrożeń.
Niewiarygodne testyWiele zarzutów można podnieść wobec samej polityki testowania. Nie zawsze oprogramowanie wysoko ocenione w testach porównawczych, będzie posiadało takie funkcje, jak spodziewaliby się tego użytkownicy Internetu. Główny problem polega na tym, że instytuty badawcze stosują przestarzałe narzędzia, które dziś nie przystają już do rzeczywistości. Natomiast w przypadku standardowych użytkowników Sieci, rzadko kiedy mamy do czynienia z sytuacją, gdy baza wirusów jest aktualizowana co kilka minut. Jeżeli oprogramowanie antywirusowe nie opiera się na rozwiązaniach typu cloud , to nawet świetny wynik w testach nie potwierdzi jego faktycznych możliwości. 100-procentowa wykrywalność nie jest adekwatna do 100-procentowej skuteczności. Idealny model ochrony użytkowników zapewnia jedynie połączenie mechanizmów ochrony lokalnej z rozwiązaniami technologii cloud , lecz tego typu system nie jest jak na razie popularnym rozwiązaniem na rynku antywirusów.
Równie niepokojące są wszelkie informacje dotyczące manipulacji w przeprowadzanych testach. Głośnym echem odbiły się wydarzenia sprzed 2 miesięcy, kiedy to prezes firmy Alwil Software, producenta oprogramowania Avast, oskarżył Symantec, o kupowanie testów. Zarzuty dotyczące nieuczciwych praktyk rynkowych stosowanych przez Symantec, podnosił również miesiąc wcześniej producent oprogramowania McAfee. Chociaż wysnute oskarżenia nie zostały formalnie udowodnione, to jednak takie informacje znacząco zwiększyły
46
PRAKTYKA
HAKIN9 6/2010
FAIL TEST, CZYLI NA ILE ANTYWIRUS JEST SKUTECZNY
47 HAKIN9 6/2010
sceptycyzm internautów w odniesieniu do rzetelności i niezależności testów.
Kontrowersje wokół proaktywnej ochronyW dziedzinie bezpieczeństwa IT duże nadzieje pokładano również w nowej technologii opartej o rozwiązania Cloud Computing , która jako jedyna miała mieć zdolność blokowania nowych zagrożeń w sytuacji, gdy dla nieznanego dotąd malware nie zostały jeszcze udostępnione bazy sygnatur. Oznacza to, że proaktywny model ochrony powinien w idealnym przypadku zadziałać jeszcze przed pobraniem złośliwego oprogramowania, na podstawie samej analizy prawdopodobnych wektorów infekcji. Jak się później okazało, sama struktura systemu stanowiła główną barierę testów antywirusów opartych na modelu ochrony w chmurze. W przypadku Cloud Security bazy sygnatur są stale aktualizowane, w związku z czym niemożliwe staje się przeprowadzenie weryfikowalnego testu oceniającego skuteczność na nowe, nieznane zagrożenia. Innymi słowy bazy wirusów umieszczone na zewnętrznych serwerach, co sekundę wzbogacają się o kilka próbek skażonego kodu. Problem w przypadku technologii Cloud pojawia się w momencie, gdy komputer będzie miał odcięty dostęp do Internetu, a nowe zagrożenie zostanie przeniesione za pomocą dysków zewnętrznych. Inna możliwość skażenia systemu to ściągnięcie wirusa, który zainfekuje systemową bibliotekę DNS lub po prostu podmieni wpisy do pliku hosts. Zważywszy na to, że sam model Cloud Security nie posiada mechanizmów lokalnej ochrony, obejście systemu wykrywania
jest trywialnie proste – wyjaśnia Tomasz Zamarlik z G Data Software.
Jak przechytrzyć antywirusa?Do zbadania skuteczności własnego wirusa, twórcy szkodliwego oprogramowania mają cały repertuar narzędzi. Największym powodzeniem już od dłuższego czasu cieszą się tak zwane multiskanery, działające w trybie online, jak np. populany Virus Total. Podobne możliwości daje av-check.com , który sprawdza bezpieczeństwo pliku w oparciu o rozwiązania stosowane przez 22 programy antywirusowe, takie jak Avast, AVG, F-secure, Kasperski, NOD 23 oraz Panda. Wykorzystując tego typu aplikacje, cyberprzestępcy w łatwy i szybki sposób uzyskują kompletną informację na temat wykrywalności własnego malware. Tak przeprowadzony test daje niemal natychmiast jednoznaczną odpowiedź na pytanie, czy nowy szkodnik potrafi uniknąć wykrycia, a co za tym idzie obejść mechanizm bezpieczeństwa antywirusa. Wynik jest o tyle wiarygodny, iż multiskanery wykorzystują maksymalne możliwości mechanizmów identyfikacji złośliwego oprogramowania, które są stosowane w wielu popularnych programach antywirusowych.
W przypadku AV – Check wynik testu to jednoznaczna odpowiedź na pytanie, czy malware zostanie rozpoznane przez najpopularniejsze mechanizmy ochrony stosowane przez użytkowników Sieci. Największe zagrożenie stanowią tu skompresowane pliki zawierające próbki trojanów, których proces instalacji składa się z kilkunastu etapów. W przypadku tak skonstruowanego zagrożenia ciężko jest przewidzieć potencjalny mechanizm infekcji systemu.
Reklamowa manipulacjaNależy pamiętać, że skuteczność antywirusa może być oceniana tylko w odniesieniu do wyników kilkunastu współpracujących ze sobą modułów. Szumnie promowana w ostatnich miesiącach zaawansowana heurystyka, to coś więcej niż wysoki odsetek zablokowanych ataków. O rzeczywistej skuteczności oprogramowania decydowała będzie kompatybilna współpraca wszystkich warstw antywirusa. To właśnie drobne niuanse różniące poszczególne pakiety mają krytyczne znaczenie dla realnego bezpieczeństwa użytkowników Internetu. Nic więc dziwnego, że niewiedza internautów jest od lat narzędziem manipulacji, skutecznie wykorzystywanym przez twórców
Rysunek 2. Długoterminowy test VB Rysunek 1. Warning
46
PRAKTYKA
HAKIN9 6/2010
FAIL TEST, CZYLI NA ILE ANTYWIRUS JEST SKUTECZNY
47 HAKIN9 6/2010
oprogramowania antywirusowego. Przykłady tego typu działań można mnożyć. Najczęstszą formą jest tu zastępowanie końcowych wyników testów, wynikami z poszczególnych modułów. W oficjalnych komunikatach niejednokrotnie informuje się o 100-procentowej skuteczności pakietu, podczas gdy długoterminowe testy wskazują na zupełnie inne wyniki. Należy jednak pamiętać, że chociaż skuteczność wykrywania zagrożeń np. in – the – wild w odniesieniu do danego programu jest wysoka, pakiet możne uzyskać znacznie gorsze wyniki w testach proaktywnych. Natomiast oficjalne informacje, zamieszczone na stronie producenta, rzadko kiedy wskazują, że certyfikat Advanced + uzyskany w testach porównawczych odnosił się zaledwie do jednego modułu. Manipulacja informacyjna w tym przypadku jest o tyle łatwiejsza, że internauci najczęściej nie znają metodologii przeprowadzania testów, obranej przez niezależne instytuty badawcze.
Ryzyko w sieciJak wskazują obserwacje, dokonywane między innymi przez CERT, nie zawsze zabezpieczenie się odpowiednim
antywirusem jest skuteczną metodą na uniknięcie zagrożenia. Wiele błędów i luk, niemal codziennie wykrywanych w popularnych aplikacjach internetowych, rodzi poważne zagrożenie dla użytkowników Sieci. Chociaż wszyscy producenci między innymi przeglądarek, za podstawowy czynnik budowania swojej rynkowej pozycji uważają jeden kluczowy parametr, jakim jest bezpieczeństwo, to jednak coraz częściej można usłyszeć o nowych, krytycznych błędach. Korzystny efekt wywiera w tym względzie wojna przeglądarek – walka o zwiększenie udziałów w rynku, idzie w parze z badaniami nad stabilnością i udoskonalaniem poszczególnych narzędzi. Wraz z tym, zwiększa się również wybór możliwości dostosowania oprogramowania do indywidualnych wymagań i potrzeb internautów. Poszczególne rozwiązania stosowane w starych wersjach, które nie zdały egzaminu ulegają ciągłym zmianom i ulepszeniom. Nie da się jednak zaprzeczyć, że wciąż wielu internautów pracuje na niezaktualizowanym systemie, dodatkowo wyłączając opcje skanowania stron, które dostępne są w pakietach antywirusowych. W tym przypadku, kierowanie się wydajnością systemu jako
sprawą priorytetową oznacza rezygnację z ochrony za pomocą jednego z najważniejszych mechanizmów bezpieczeństwa danego produktu.
Na znaczne niebezpieczeństwo narażają użytkowników Internetu także aplikacje wykorzystywane na co dzień przez wielomilionowe grono internautów. Systemy przechowujące oraz przetwarzające prywatne danych użytkowników, już od dłuższego czasu są narzędziem chętnie wykorzystywanym przez phiserów. Rosnące zainteresowanie rodzą zarówno portale społecznościowe, jak na przykład Facebook, ale także komunikatory. W przypadku Google ma to kolosalne znaczenie, bowiem marka, nazywana przez niektórych Wielkim Bratem Internetu, przetwarza miliardy terabajtów danych, wyszukiwanych co dnia przez użytkowników Sieci. Jak zauważa Eric Schmidt, CEO Google, w jednym z swoich wywiadów, informacje przechowywane w Internecie są ogólnodostępne. Często to właśnie one umożliwiają zidentyfikowanie użytkownika, przez określenie jego behawioralnego portretu, co niestety coraz częściej wykorzystywane jest przez cyberprzestępców.
Rysunek 3. AV test – moduły
������������
���������������������
����������������������������������������
���������������
�������������������
��������������������������������
�����������������������������
�������������������
�������������������������������������
�����������������������������
������������������������������������������
�������������
�����������������������������������������������������
�������������������������������������
�����������������������������������
������������������
��������������������������������������
�������������������������������������
������������������������
���������������������������������������������
��������������������������������������������������������
48
PRAKTYKA
HAKIN9 6/2010
FAIL TEST, CZYLI NA ILE ANTYWIRUS JEST SKUTECZNY
49 HAKIN9 6/2010
(Nie) szkodliwe zagrożeniaChociaż nie można zaprzeczyć, że świadomość internautów jest coraz większa, to jednak niepokojące jest zjawisko, że nadal znaczny odsetek użytkowników Sieci pada ofiarą popularnych form ataku. Obecnie do kradzieży cennych informacji wykorzystywane są najczęściej konie trojańskie, które przekazywane są w formie pozornie nieszkodliwych plików – dokumentów, animacji, wygaszaczy ekranu, czy odpowiednio spreparowanych programów antywirusowych. Podstawowy błąd polega na mylnym przekonaniu, że największe zagrożenie stanowią wirusy komputerowe. Tymczasem coraz częściej do infekowania systemu wykorzystywane są aplikacje nowego typu, jak na przykład skażone oprogramowanie, w tym miedzy innymi fałszywe programy antywirusowe, antyszpiegowskie lub antyadware. Tego typu aplikacje wykorzystywane są najczęściej do kradzieży informacji, jak również przestępstw finansowych. Precyzja twórców szkodliwego oprogramowania jest w tym przypadku zdumiewająca. Aplikacje typu rogueware stanowią niemałe zagrożenie ze względu na dwa podstawowe czynniki.
Po pierwsze oprogramowanie blokuje niemal całkowicie dostęp do aplikacji i dokumentów, by w ten sposób wymusić na użytkowniku zakup fałszywej licencji, po drugie internauta jest mylnie przekonany, że jego system chroniony jest za pomocą skutecznego programu antywirusowego. Zarówno layout strony internetowej, jak również elementy graficzne zamieszczone na witrynie, z której pobrać można zainfekowany plik, są do złudzenia podobne, do tych znanych na przykład z centrum zabezpieczeń systemu Windows. Błędem jest również pokładanie nadmiernego zaufania w bezpiecznych technologiach. Chociaż znakomita część zagrożeń dotyczy w szczególności użytkowników systemu Windows, to jednak na stale rosnące ryzyko narażeni są również posiadacze systemu Linux czy Mac.
Podstawowe błędy, których można było uniknąćWiększość błędów związanych z bezpieczeństwem zarówno domowego komputera, jak również firmy, to często wynik prostych zaniedbań, których stosunkowo łatwo można uniknąć. Znany już dziś trojan conflicker,
pozwalający na przejęcie kontroli nad komputerem, nie rozprzestrzeniłby się tak szybko, gdyby administratorzy sieci zadbali o aktualizację systemu Windows. Wielu użytkowników skłonnych jest również twierdzić, że sam fakt posiadania antywirusa rozwiązuje wszelkie problemy dotyczące ochrony systemu. O ile w przypadku modeli proaktywnych udało się wyeliminować problem nieaktualnej bazy sygnatur, to w przypadku klasycznych pakietów internauta powinien co jakiś czas aktualizować bazy wirusów. Pominiecie tego obowiązku może skutkować obniżeniem skuteczności rozpoznawania i wykrywania zagrożeń, co w praktyce czyni program bezużytecznym. Nie od dziś wiadomo bowiem, że ulubionym narzędziem cyberprzestępców są niezałatane luki w popularnych programach, a problem ten dotyczy w takim samym stopniu systemów operacyjnych oraz starszych wersji przeglądarek internetowych. Wśród twórców złośliwego oprogramowania rosnącym zainteresowaniem na przełomie 2009 i 2010 roku cieszyły się produkty firmy Adobe. Ku zaskoczeniu wielu okazało się, że
Tabela 1. Złośliwe oprogramowanie 2009
Kategoria 1 poł 2009 roku
udział 2 poł 2008 roku
udział 1poł 2008 roku
udział różnica 1 poł 2008 – 1 poł 2009
Konie trojańskie 221.610 33,60% 155.167 26.90% 52.087 16,40% 425,00%
Oprogramowanie typu backdoor
104.224 15,70% 125.086 21,70% 75.027 23,60% 139,00%
Programy pobierające
147.942 22,10% 115.358 20,00% 64.482 20,30% 229,00%
Programy szpiegowskie
97.011 14,60% 96.081 16.70% 58.872 18,50% 165,00%
Adware 34.813 5,30% 40.680 7,10% 32.068 10,10% 109,00%
Robaki 26.542 4,00% 17.504 3,00% 01.10.27 3,20% 260,00%
Virusy Tools 01.11.13 1,60% 01.07.27 1,30% 01.12.03 3,80% 94,00%
Rootkit 01.12.29 1,90% 01.06.59 1,20% 01.01.25 0,40% 858,00%
Exploity 01.02.79 0,30% 01.01.41 0,30% 01.01.13 0,50% 141,00%
Dialery 01.01.53 0,20% 01.01.13 0,20% 01.04.60 1,50% 24,00%
Virusy 143 0,00% 167 0,00% 327 0,10% 44,00%
Inne 01.04.93 0,70% 01.08.19 1,50% 01.05.70 1,60% 89,00%
Razem 663.952 100,00% 576.002 100,00% 318.248 100,00% 209,00%
48
PRAKTYKA
HAKIN9 6/2010
FAIL TEST, CZYLI NA ILE ANTYWIRUS JEST SKUTECZNY
49 HAKIN9 6/2010
dotąd bezpieczne pliki PDF mogą również zawierać skażone kody. Jeżeli luka nie została zaktualizowana, to otwarcie zainfekowanego pliku groziło zainstalowaniem konia trojańskiego na komputerze. Tego typu ataki coraz częściej opierają się na metodzie drive-by download , czyli takiej, która nie wymaga żadnej aktywności po stronie ofiary.
Chociaż znakomita większość internautów ma świadomość tego, że korzystanie z oprogramowania antywirusowego jest niezbędne, to równie często można spotkać się z opinią, że klasyczny pakiet antywirusowy jest narzędziem, które skutecznie zabezpieczy komputer przed wszystkimi zagrożeniami występującymi w Sieci. Internauci, nadal chętnie korzystający z darmowych rozwiązań antywirusowych, zazwyczaj nie przykładają uwagi do tego, by skuteczność programu chroniącego system wzmocnić dodatkowo zaporą firewall. W sytuacji, gdy wielu phisherów, dla uwiarygodnienia swoich działań, wykupuje certyfikaty bezpieczeństwa SSL oraz korzysta z mechanizmu URL redirection , ważne jest, by główny filar ochrony systemu opierał się na specjalnie przeznaczonym do tego oprogramowaniu, wzmocnionym modułami antyphising oraz webfilter. Niezależne badania pokazują, że większość produktów dostępnych na rynku posiada luki w zabezpieczeniach. W przypadku źle chronionego\ systemu, atak przeprowadzony przy użyciu fałszywej domeny jest wyjątkowo niebezpieczny i precyzyjny. Przekierowanie na skażoną złośliwym kodem stronę, niejednokrotnie odbywa się również za pomocą wcześniej zainstalowanego konia trojańskiego, dzięki któremu cyberprzestępcy mogą na przykład manipulować wszystkimi wpisami adresów w przeglądarce. Jeżeli zainstalowany przez użytkownika antywirus nie posiada wbudowanych filarów antyphishingowych, analizujących kontent otrzymywanych przez internautów wiadomości, to w przypadku ataku dokonanego za pomocą certyfikowanej domeny ofiara pozostaje niemal bezbronna.
PodsumowanieW przypadku najczęściej stosowanych zabezpieczeń wśród użytkowników Sieci, nadal popularne są darmowe programy antywirusowe. Tego typu oprogramowanie, ze względu na swoją formę składa się zazwyczaj z podstawowych modułów dostosowanych do komputerów o standardowych parametrach technicznych. Tego typu aplikacje niemal nigdy nie posiadają wzmocnień w postaci dodatkowych modułów w postaci ochrony proaktywnej czy ściany ogniowej. W związku z tym, sam zainstalowany program nie jest w stanie zabezpieczyć przed nieautoryzowanym dostępem do informacji. Ze względu na brak modułów działających w systemie chmury, oprogramowanie tego typu nie sprawdza się również w przypadku polimorficznych zagrożeń, których nagły wzrost w Sieci odnotowano w ubiegłym roku. Inne często wykorzystywane metody to stosowanie skanerów online, które sprawdzają bezpieczeństwo systemu oraz umożliwiają identyfikację skażonych plików. Rozwiązanie takie, chociaż pozwala na skuteczną identyfikację niebezpiecznych składników, jest jednak połowiczne. Pomimo, że silniki tego typu aplikacji są dostarczane przez producentów oprogramowania zabezpieczającego system, to jednak sam skaner nie jest w stanie usunąć z archiwum pliku zawierającego złośliwe oprogramowanie. W tym przypadku, o infekcji internauta dowiaduje się ex post, czyli w momencie, gdy skażony kod zagnieździł już się w systemie. Nie jest to więc metoda pozwalająca na ochronę systemu, lecz co najwyżej sprawdzenie skuteczności już wykorzystywanych mechanizmów ochrony.
Paradoksalnie, przeprowadzanie ataków umożliwiają również nowe rozwiązania technologiczne. Nadal popularna jest metoda podszywania się pod serwisy bankowe, korzystając z domen IDN czy usługi skracania adresów URL. W obu przypadkach cyberprzestępcy ukrywają się za pomocą łącza, które standardowemu użytkowników Sieci kojarzy się z zaufaną i bezpieczną domeną.
Tymczasem internauta zamiast na stronę banku, zostaje przekierowany na witrynę, której świadomie nigdy by nie otworzył. Na rynkach zachodnich już upowszechnił się proceder wykorzystywania specjalistycznego oprogramowania, w celu identyfikowania luk w zabezpieczeniach banków. W przypadku przedsiębiorstw, błędy pojawiają się również na poziomie rozwiązań technologicznych – bardzo niewielki odsetek firm inwestuje w zintegrowane systemy ochrony, skupiając się głównie na instalowaniu klasycznych antywirusów, które nie są rozwiązaniem przeznaczonym dla przedsiębiorstw, korzystających zazwyczaj z rozbudowanej sieci heterogenicznej.
Wszechstronne zabezpieczenie systemu są w stanie zapewnić jedynie pakiety zabezpieczające, które oprócz klasycznego antywirusa zawierają jeszcze dodatkowe moduły, takie jak filtr antyspamowy, Webfilter, firewall, wykrywacz ataków typu phising oraz panel ochrony przeciw atakom dnia zerowego. W ocenie internautów tego typu zabezpieczenia, wielokrotnie odbijają się na wydajności systemu – skanowanie stron internetowych powoduje, że witryny zawierające rozbudowane galerie będą wczytywały się dłużej, niż miało to miejsce do tej pory. Chociaż nie da się odmówić słuszności tej opinii, to jednak należy pamiętać, że tego typu system daje większą możliwość ochrony. W przypadku pakietu zabezpieczającego wszystkie warstwy oprogramowania są ze sobą kompatybilne, dzięki czemu skuteczność mechanizmów bezpieczeństwa wzrasta. Zastosowanie aplikacji wykrywających spam, czy aktywnego firewalla, który odetnie dostęp do Internetu w momencie stwierdzenia ataku złośliwego oprogramowania, przyniesie lepszy efekt niż wykorzystywanie klasycznego antywirusa wzbogaconego tylko i wyłącznie o osobną ścianę ogniową.
Urszula HolikSpecjalista ds. PR w Someday Interactive, autorka artykułów o tematyce dotyczącej Internetu i bezpieczeństwa w sieci. Kontakt z autorem: [email protected].
50
PRAKTYKA
HAKIN9 6/2010
Z ARTYKUŁU DOWIESZ SIĘjakie rodzaje usług oferowane są w chmurze,
co oferują dostawcy przetwarzania w chmurze,
jak skonstruowana jest umowa o świadczeniu usług,
jakie wyzwania stoją przed menadżerami,
o kierunku zmian w infrastrukturze informatycznej,
na co zwrócić uwagę przy testowaniu usługi.
CO POWINIENEŚ WIEDZIEĆznać zagadnienia związane ze świadczeniem usług informatycznych,
rozumieć problematykę związaną z rozwojem oprogramowania.
Chmury to sieć serwerów w świecie, które dostarczają infrastrukturę informatyczną (IaaS), zapewniają oprogramowanie
(SaaS) lub udostępniają platformy (PaaS). Firmy, by przetrwać na rynku, będą musiały
proponować nowy zestaw usług dla chcących skorzystać z tej technologii. Doprowadzi to do dalszej optymalizacji wykorzystania zasobów informatycznych i pozwoli zlikwidować działy zajmujące się dotychczas informatyką. Korzystanie z infrastruktury w chmurze może także przyczynić się do skrócenia czasu potrzebnego na zorganizowanie nowej usługi. Zmiany te będą wzmagane globalnym kryzysem, w którym większość musi szukać oszczędności i rywalizować z konkurencją. Globalizacja usług prowadzić będzie do unifikacji oraz dalszego wzrostu znaczenia rozwiązań otwartych. Internet odgrywa tu kluczową rolę, jako medium umożliwiające wprowadzenie tych rozwiązań. Nastąpi również pełniejsze wykorzystanie istniejącej już infrastruktury informatycznej.
Rozróżnia się chmury publiczne i prywatne. Chmury publiczne są przeznaczone dla masowych odbiorców i oferują z zasady aplikacje oraz dostęp do dysków za darmo lub za opłatą. Chmury prywatne przeznaczone są dla firm, którym zależy na bardziej profilowanej obsłudze i większej kontroli swoich danych.
Przetwarzanie w chmurze zmniejsza wymagania na moc obliczeniową komputerów
ALEKSANDER ĆWIKLIŃSKI
klientów. Na przykład, można w chmurze uruchamiać gry, które wymagają dużej mocy obliczeniowej, warunkiem jest posiadanie szybkiego łącza internetowego. Obraz przesyłany jest wówczas w formie gotowego strumienia i nie są wymagane super wydajne karty graficzne. Co prawda dzisiaj trudno uzyskać zadawalającą szybkość, w szczególności gdy serwer znajduje się za oceanem. Producenci gier wolą jednak rozwijać ten model dostępu, bo zyskują na lepszej kontroli licencji oraz łatwo im zapewnić kontrolę wersji oprogramowania.
Rysunek 1 przedstawia reklamę dostawcy usług salesforce.com, który zachęca swoich potencjalnych klientów do używania jednej aplikacji w chmurze, zamiast budowania własnych przez każdą z firm. Sumaryczne koszty utrzymania jednej aplikacji powinny być mniejsze niż koszty rozwoju podobnych aplikacji przez każdą z firm oddzielnie.
PrzykładyNie zdajemy sobie sprawy jak często korzystamy z technologii Could Computing. Ma to miejsce, gdy wchodzimy na stronę http://google.pl czy http://facebook.com.
Rozpoczęcie korzystania z usług wymaga od nas zgody i wiąże się zazwyczaj z przeczytaniem kilku stron, które przypominają kontrakt. Jest to umowa świadczenia usługi (SLA), porozumienie między dostawcą i odbiorcą usług. Warunki korzystania z serwisów spółki
Stopień trudności
Usługi przetwarzaniaw chmurzeZgodnie z prognozami Gartnera przetwarzanie w chmurze (Cloud Computing) staje się jedną z wiodących technologii w informatyce. O zagospodarowanie tego obszaru toczy się walka gigantów.
51
USŁUGI PRZETWARZANIA W CHMURZE
HAKIN9 6/2010
Google można przeczytać na stronie http://www.google.com/accounts/TOS?hl=pl.
Ciekawostką jest to, że użytkownik, akceptując warunki umowy, wyraża zgodę na poddanie się wyłącznej jurysdykcji sądów angielskich w celu rozwiązania wszelkich kwestii prawnych – zapewne mało kto je zna. Prawo angielskie, tak jak i amerykańskie, oparte jest na precedensie (common low), natomiast w Polsce i w wielu krajach europejskich dominuje prawo cywilne, w którym precedensy jedynie je uzupełniają.
Rysunek 2. przedstawia platformę dla programistów oferowaną przez serwis force.com
W Tabeli 1. przedstawiłem niektórych dostawców dostarczających przetwarzanie w chmurze.
Zarządzanie usługąW celu właściwego zarządzania usługą warto odwołać się do standardów takich jak ITIL (opracowanego przez OGC) czy COBIT (opracowanego przez ISACA i IT Governance Institute).
Standardy te kładą nacisk na zarządzanie usługą na poziomie całej firmy zgodnie z potrzebami biznesowymi. Takie rozwiązanie pomaga zwiększyć efektywność w zarządzaniu wydatkami. W zarządzaniu usługą istotne staje się wspieranie innowacji. IT powinno pełnić rolę strategicznego partnera biznesu. Następuje ewolucja roli IT w zarządzaniu usługami z roli dostawcy technologii, poprzez dostawcę usług do zostania partnerem strategicznym w kompleksowym zarządzaniu usługami.
Zgodnie z ITIL wspólnym celem IT i biznesu jest spełnienie celu usługi (fit for purpose) i zapewnienie jej użyteczności (fit for use). ITIL w wersji trzeciej został opisany w pięciu głównych książkach opublikowanych przez OCG: Service Strategy, Service Design, Service Transition, Service Operation oraz Continual Service Improvement.
Pozyskiwanie klientów będzie wymagało zapewnienia, że firma świadcząca usługi uczestniczyć będzie w procesie ciągłych doskonaleń. Przedsiębiorstwo powinno podążać w kierunku najwyższego poziomu dojrzałości organizacji (maturity model)
opisanym w COBIT v 4.1, nazywanym optymalnym . Stan ten cechuje się stosowaniem dobrych praktyk i automatyzacją procesów.
Wyzwania menedżerskiePonieważ przetwarzanie w chmurze to rodzaj usługi, dlatego firmy powinny zmienić podejście do wprowadzanych zmian. Należy patrzeć na usługę jako całość, która powinna zawierać wszystkie niezbędne elementy i w pełni działać. Tradycyjne podejście projektowe wymaga więc rewizji, by wyeliminować z niego silosowe patrzenie na zakres.
Dostawcy powinni uelastycznić swoją infrastrukturę poprzez wirtualizację. Powinni przygotować się na skalowanie swoich systemów i zapewnić odpowiednie bezpieczeństwo danych oraz ich archiwizację. Porażka w tym zakresie może oznaczać koniec dalszego funkcjonowania. Nie możemy zapomnieć o regularnym wgrywaniu łat, by zmniejszyć prawdopodobieństwo złamania bezpieczeństwa.
Usługobiorcy powinni oszacować obecne ryzyko i porównać je z ryzykiem oraz dojrzałością ofert dostawcy. Decyzję o przejściu z przetwarzaniem w chmurę
Rysunek 1. Reklama Salesforce zachęcająca do korzystania z aplikacji w chmurze
Rysunek 2. Platforma dla programistów oferowana przez serwis force.com
52 HAKIN9 6/2010 53 HAKIN9 6/2010
należy dobrze przemyśleć. Powrót może okazać się bardzo trudny i warto zawczasu się zastanowić, z czym się to mogłoby wiązać. W wyniku wyboru modelu przetwarzania w chmurach będzie trzeba dokonać odpowiednich zmian organizacyjnych. W zależności od wybranego modelu może okazać się konieczne dostosowanie systemów do nowej technologii. Należy także podjąć decyzję, czy i jakie dane klientów mogą być gromadzone w chmurze. Ewentualne zaniedbania w ochronie danych mogą zakończyć się bezpowrotną utratą zaufania. Niezbędne może okazać się przełamanie oporów przed zmianą, gdyż pracownicy mogą czuć się zagrożeni utratą pracy.
Firmy powinny starać się zapoznać z najlepszymi praktykami w zakresie optymalnych obszarów zastosowań dla chmury (jak np. web serwisy), stosowania metod (jak np. automatyzacja) oraz sposobów minimalizacji negatywnych skutków (jak bezpieczeństwo danych) wdrożenia nowej technologii. Potrzebne jest także zapewnienie koordynacji działań biznesu i IT. W celu monitorowania efektywności usługobiorcy potrzebne będzie zdefiniowanie mierników efektywności (KPI) i porównywanie ich z parametrami świadczenia usługi (SLA).
Ukoronowaniem decyzji powinno być wynegocjowanie umów świadczenia usług (SLA). Umowy te powinny między
innymi zabezpieczyć przesyłane oraz gromadzone dane przez wybranie bezpiecznych rozwiązań transmisji jak SSL czy VPN i wybór odpowiedniego systemu zabezpieczeń. Należy też uwzględnić czas oczekiwanej dostępności systemu, tolerancję błędów i dopuszczalną ilość awarii.
Architektura i infrastrukturaDostawcy usług w chmurze będą oferować rozwiązania w systemach otwartych, z drugiej strony wirtualizacja pozwoli na dostosowanie systemów pod potrzeby klientów.
Dostawcy usług będą budować coraz większe centra obliczeniowe. Przykładowo firma Google zbudowała do poprzedniego roku globalną sieć około 36 centrów z liczbą serwerów szacowaną na około dwa miliony. Firma Apple obecnie buduje w USA (w Południowej Karolinie) centrum obliczeniowe wartości około miliarda dolarów. Tak duże moce obliczeniowe wynikają z założenia, że centra przejmą ciężar przetwarzania danych. W miejsce wydajnych komputerów osobistych używane będą lżejsze urządzania, jak netbooki i coraz częściej będziemy korzystać z aplikacji instalowanych na telefonach komórkowych, które będą korzystać z możliwości centrów.
Testowanie usługiZ racji udostępnienia usługi zazwyczaj szerokiemu gronu użytkowników jednym z ważniejszych aspektów stają się testy wydajnościowe. Ich celem jest sprawdzenie zachowania systemu pod obciążeniem poprzez symulację wielu wirtualnych użytkowników. Do tego celu możemy użyć narzędzi komercyjnych jak np. HP LoadRunner lub rozwiązań otwartych jak Apache JMeter, OpenSTA, czy ApacheBench dla serwerów HTTP Apache.
Ważna pozostaje kontrola bezpieczeństwa serwisów, a do cyklicznego jego sprawdzania pomocne będą narzędzia takie jak W3AF, Peach Fuzzing Platform lub Metasploit Framework. Można także skorzystać z wtyczek do przeglądarki Firefox dostępnych pod adresem: https://addons.mozilla.org/en-US/firefox/collection/webappsec.
SłowniczekCOBIT – Control Objectives for Information and related Technologyhttp – Hypertext Transfer ProtocolISACA – Information Systems Audit and Control AssociationITIL – Information Technology Infrastructure LibraryKPI – Key Performance Indicator/Kluczowy wskaźnik efektywnościOCG – Office of Government CommercePaaS – Platform as a Service/Platforma jako usługaSaaS – Software as a Service/Oprogramowanie jako usługaSLA – Service Level Agreement/Umowa świadczenia usługiSSL – Secure Socket LayerVPN – Virtual Private Network/Wirtualna Sieć Prywatna
Tabela 1. Lista niektórych dostawców dostarczających przetwarzanie w chmurze
Firma Profil
http://google.pl Aplikacje Google zapewniają usługi w zakresie poczty elektronicznej, kalendarza, dokumentów, wideo i publikacji witryn.
http://webex.com Umożliwia organizowanie konferencji wideo w dowolnym czasie, w dowolnych lokalizacjach i na wielu platformach sprzętowych. Ułatwia organizację spotkań, prezentacji oraz interaktywnych szkoleń.
http://amazon.co.uk Amazon S3 umożliwia backupy i archiwizację danych,Amazon EC2 udostępnia platformę dla programistów służącą tworzeniu aplikacji.
http://www.rackspace.com Cloudsites umożliwia załadowanie strony do chmury i zapewnia automatyczne skalowanie zasobów do aktualnych potrzeb,Cloudfiles pozwala na załadowanie plików do chmury oraz udostępnianie tych danych innym.
http://www.salesforce.com Sales Cloud™2 dostarcza aplikację służącą sprzedaży,Service Cloud™2 zapewnia system obsługi klienta,Custom Cloud™2 umożliwia budowanie i udostępnianie aplikacji,Chatter dostarcza platformę i aplikacje społecznościowe.
http://www.zoho.com Strona z programami sieciowymi dla małego przedsiębiorstwa.
PRAKTYKA
52 HAKIN9 6/2010 53 HAKIN9 6/2010
W zakresie testów funkcjonalnych pozostaje nam wykonywanie testów manualnych w przypadku testowania nowych funkcjonalności, bądź automatyzacja testów powtarzalnych przy wsparciu narzędziami jak Watir, Selenium lub Sahi. Narzędzia te będą za nas klikać na linki i przyciski, wypełniać formularze oraz sprawdzać czy wyniki są zgodne z oczekiwaniami.
PodsumowaniePrzetwarzanie w chmurze będzie coraz bardziej obecne w naszym życiu i zarówno zarządzający małym przedsiębiorstwem, jak i korporacjami powinni cyklicznie weryfikować czy zakres wykorzystania nowej technologii jest właściwy. Przy podejmowaniu decyzji o wejściu w przetwarzanie w chmurze trzeba będzie wybrać prywatny lub publiczny model korzystania z usługi. Ponadto istotne będzie określenie zakresu korzystania, czy zależy nam wyłącznie na infrastrukturze informatycznej, czy chcemy korzystać z gotowych aplikacji, czy może korzystać z platformy do tworzenia programów. Będzie możliwy szybszy start dla nowych firm, które nie będą musiały budować działów informatyki. Świat IT się zmieni – w związku z rozwojem przetwarzania w chmurze nastąpi jeszcze większa globalizacja – będziemy mieli coraz częściej wspólne IT.
Aleksander ĆwiklińskiAleksander T. Ćwikliński (http://pl.linkedin.com/in/alexcwiklinski) ukończył studia informatyczne na Wydziale Elektroniki Politechniki Warszawskiej. Ponadto zdobył dyplom Candian MBA w Szkole Głównej Handlowej w kooperacji z Université du Québec a Montréal. Uzyskał między innymi certyfikat PMP z zakresu zarządzania projektami oraz certyfikat ITIL Foundation z zakresu zarządzania usługami.Posiada doświadczenie w rozwoju systemów informatycznych oraz kontroli jakości w obszarach obsługi klienta, rozliczeń bilingowych, bankowości, podatków oraz finansów. Zajmował się również zarządzaniem projektami i wydaniami w ramach zespołów międzynarodowych.Od kilkunastu lat pracuje w firmie Polkomtel S.A . na stanowisku menedżerskim. Do jego głównych obowiązków należy kontrola jakości systemów informatycznych oraz wsparcie procesu wdrożeń. Wcześniej zaangażowany był bezpośrednio w rozwój tych systemów.Interesuje się wsparciem informatycznym podejmowania decyzji w zarządzaniu firmą. Ponadto śledzi zagadnienia związane z marketingiem, a ostatnio w szczególności marketingiem przychodzącym (inbound marketing). Chciałby zastosować te metody w realizacji swoich planów.W pracy zawodowej, realizując zadania, stara się znajdować balans pomiędzy oczekiwaniami firmy a wymaganiami zespołów oraz indywidualnymi potrzebami pracowników. Zwraca przy tym uwagę na znaczenie komunikacji dla sukcesu tych przedsięwzięć. Poszukuje rozwiązań, które zwiększą ilość wolnego czasu. Odzyskany czas chciałby poświęcić na znajdowanie nowych pomysłów, ich dopracowywanie oraz wypoczynek.W drodze do pracy słucha książek audio lub podcastów z zakresu zarządzania, psychologii lub ekonomii – w języku angielskim, czasem niemieckim. W ten sposób rozwija swoją wiedzę w obszarach zainteresowań. Wolny czas spędza z rodziną, majsterkuje lub pracuje w ogrodzie. Kibicuje zespołowi Renault w Formule 1, w szczególności naszemu kierowcy Robertowi Kubicy.Kontakt z autorem: [email protected]
lama do pisma komp 1 14-04-10 14:38:5
54
WYWIAD
HAKIN9 6/2010
POKAŻ MI SWOJE LOGI A POWIEM CI KIM JESTEŚ
55 HAKIN9 6/2010
Jednak ten problem nie dotyczy jedynie urządzeń sieciowych produkowanych w Chinach, ale większości rozwiązań oferowanych na rynku. Niektóre kraje takie jak: Wielka Brytania, Szwecja, czy USA dąży lub już ma wprowadzone prawo umożliwiające władzy zrobienia tylnych furtek w celu możliwości zbierania danych o użytkownikach z kluczowych urządzeń, serwerów jak zarazem wymuszenie na firmach typu Microsoft, Google sposobności dostępu do danych użytkowników pod pretekstem walki z miedzynarodową przestępczością zorganizowaną.
Ostatnio pojawiło się dużo artykułu na temat Stanów Zjednoczonych, które kontrolują konta pocztowe użytkowników Gmail (na szczęście tylko w USA). Jest to na zasadzie sczytywania nagłówków e-maili i w momencie istniejącego zagrożenia możliwość zdobycia nakazu na przekazania dostępu do poczty w celu znalezienia organizacji. W Polsce jak na razie nie jest to prawnie dozwolone, ale też są takie plany, co uważam za łamanie naszych praw demokratycznych.
Pokaż mi swoje logi a powiem Ci kim jesteś – czy Polacy są świadomi zagrożeń związanych z użytkowaniem Internetu.Znaczna większość społeczeństwa nie zdaje sobie sprawy z niebezpieczeństw
czyhających w Internecie, a jeżeli już jest tego faktu świadoma to ogranicza się do zainstalowania darmowego oprogramowania antywirusowego pobranego z Internetu, które nie zapewnia odpowiedniej ochrony. Jednak dzięki nagłaśnianiu przez media oszustw dokonywanych w Internecie z roku na rok świadomość wśród użytkowników w Polsce wzrasta.
Social engineering – przeżytek, czy w dalszym ciągu skuteczna technika pozyskiwania informacji? Co Pan sądzi w tym temacie. Jest to nadal wykorzystywana i bardzo skuteczna metoda łamania haseł i struktur sieciowych czy uzyskania dostępu do kont, jak wiadomo najbardziej zawodnym ogniwem w całej strukturze jest najczęściej człowiek. Fakt ciągle skutecznej metody zdobycia haseł poprzez socjotechnikę wynika z tego, że natury człowieka nie zmienimy. Z analiz wykonywanych przez różne organizacje wynika, że nadal spora liczba użytkowników posada takie samo hasło dostępu do poczty czy komputera czy na portal społeczności owy typu Nasza-klasa.pl, a co gorsza hasło jest najczęściej synonimem bliskiej osoby użytkownika, czy jego rodziny. Hasło najczęściej składa się z kombinacji znaków wywodzących się
Proszę powiedzieć kilka słów o sobie.Andrzej Karpisz – w ZSK pracuję na stanowisku Inżyniera ds. Systemów sieciowych, zajmuję się między innymi konfiguracją urządzeń sieciowych i rozwiązań zabezpieczających struktury sieciowe. Wolny czas staram się spędzać jak najdalej od komputera – podróże, góry i różne sporty, im bardziej ekstremalne tym lepsze.
Opowiedz nam o szpiegostwie komputerowym w kontekście Chinese backdoor.Jak najbardziej jest to realne i potwierdzone. Sprawa tzw. Chinese backdoor jest sprawą ostatnio nagłośnioną, ale trochę mylnie interpretowaną. Sprawa zaczęła się od informacji, jakie pojawiły się w Internecie, że wszystkie urządzenia sieciowe pochodzące z Chin mają wbudowane mechanizmy, umożliwiające wejście na urządzenie i poznanie informacji na temat użytkownika. Rząd chiński twierdzi, że najbardziej realną wojną przyszłości będzie wojna w Sieci, ponieważ we współczesnych czasach wszystko opiera się na Internecie i dokonanie zmasowanych ataków na kluczowe organizacje, banki i serwery może doprowadzić do finansowego bankructwa państwa, a co za tym idzie zniszczenia go.
Pokaż mi swoje logi a powiem Ci kim jesteś
54
WYWIAD
HAKIN9 6/2010
POKAŻ MI SWOJE LOGI A POWIEM CI KIM JESTEŚ
55 HAKIN9 6/2010
z daty urodzenia, imienia czy ulubionego zwierzaka czy hobby, więc poznanie dobrze osoby może znacznie ułatwić odgniecie hasła.
Cyberterroryzm – realne zagrożenie czy literacka fikcja? Cyberterroryzm jak najbardziej jest realny. Jednym z przykładów może być przygotowywanie się rządu chińskiego czy USA do tego rodzaju terroryzmu. Jak wiemy we współczesnych czasach wszystko oparte jest o rozwiązania sieciowe i komputery. Nie ma dziedziny, w której by nie używało się komputera, zaatakowanie neuralgicznych serwerów punktów w państwie może doprowadzić do utraty stabilności – wyobraźmy sobie atak na serwery kluczowych banków – uniemożliwienie wykonania transakcji prze okres dłuży niż 4 godziny doprowadzić może do jego upadku!!! Powszechna informatyzacja sprawiła, że większość przestępców przeniosło się z realnego świata do Sieci.
Jak wiadomo wiele firm wdraża NAC (Network Access Control) – pytanie czy technologia się przyjmuje z powodzeniem i czy na chwile obecną są określone jakieś standardy. Standard,zaproponowany przez firmę Microsoft w współpracy z innymi producentami, jest rozwijany. Uważam, że technologia się sprawdza i przyczynia się do podniesienia poziomu bezpieczeństwa – szczególnie urządzeń mobilnych. Zmusi także użytkowników o dbanie o aktualizacje oprogramowania znajdującego się na komputerze – co podnosi poziom bezpieczeństwa użytkownika przy podłączeniu do Sieci.
Czy istnieją rozwiązania monitorujące prace użytkownika oraz zabezpieczenia przed instalowaniem programów na urządzeniach mobilnych. Na rynku można spotkać wielu producentów rozwiązań monitorujących prace użytkownika, a zarazem zabezpieczających jego dane oraz urządzenie, na którym pracuje i łączy się z Internetem. Praktycznie większość
vendorów sieciowych, zajmujących się bezpieczeństwem, posiada w swej ofercie rozwiązania typu ENDPOINT, które pozwala na kontrolę tego, co użytkownik otwiera i co instaluje na swoim komputerze.
Czym różnią się switche warstwy 3 od routerów, czy potrafią także obsługiwać protokoły routingu, czy jak zwykłe switche wpływają tylko na domenę kolizji, czy także na domenę rozgłoszeniową ? Switch warstwy 3, jeżeli chodzi o obsługę protokołów, może się praktycznie być taki sam jak router. Jednak jak sama nazwa mówi switch, czyli przełącznik, jego główną rolą jest jak najszybsze przesyłanie pakietów miedzy adresem źródłowym, a docelowym, a zarazem wykonywanie segmentacji sieci w celu uniknięcia kolizji pakietów. Główną różnicą pomiędzy routerem a switchem warstwy trzeciej (L3) jest możliwość przechowywania wielkości tablicy routingu i adresów MAC, która jest znacznie większa niż w przypadku przełączników warstwy trzeciej. Nie możemy również zapominać, że przełącznik musi obsłużyć średnio od 12 do 48 portów, natomiast router tych portów posiada zaledwie kilka.
Jak odpowiednio zabezpieczyć się przed "podsłuchem" w sieci VOIP, tudzież przechwytywaniem pakietów? Czy jest w ogóle możliwe tunelowanie pakietów do serwera voip-owego? W celu zabezpieczenia przed podsłuchem VOIP najbardziej sensowną metoda jest zastosowanie przełącznika umożliwiającego tworzenie VLAN-ów, czyli obsługującego protokół 802.1Q. Przy wykorzystaniu protokołu 802.1Q należy utworzyć VLAN dedykowany dla ruchu VOIP, co oddzieli ruch VOIP od reszty ruchu w sieci, a zarazem zapewni nam segmentacje, co powinno korzystnie wpłynąć na poprawę jakości rozmów. Inną metodą zabezpieczeń jest szyfrowanie rozmów VOIP pomiędzy rozmówcami, jednak jak na specyfikę tej technologii nie jest to szyfrowanie na wysokim poziomie.
Jak to jest z szyfrowaniem w VOIP-ie?Jest to pewien rodzaj utrudnienia dostępu do rozmów, ale nie jest to zabezpieczenie ponieważ szyfrowanie zastosowane w technologii VoIP jest na niskim poziomie i jest łatwe do złamania.
Szyfrowanie zawartości dysków w trosce o bezpieczeństwa danych, a może lekarstwo na biegłych sądowych...
Jest to istotny aspekt zabezpieczenia komputerów, szczególnie przenośnych, które mogłyby trafić do osób niepowołanych, jest to zabezpieczenie przed dostaniem się do dokumentów firmowych i prywatnych danych.
O kryptografi w kontekście informacji na temat złamania 768-bitowego klucza RSA. Obecnie klucz RSA 768-biotowy nie jest zabezpieczeniem. Został złamany w przeprowadzonych zawodach przez firmę RSA Challange – naukowcom zajęło to ok. 2,5 roku i nie uważa się go już za zapewniający wysoki poziom zabezpieczenia. Z przeprowadzonych badań wynika, że złamanie klucza 1024 nastąpi w ciągu najbliższych 10 lat, więc zaleca się do roku 2014 wycofanie się z jego użytkowania.
Co Pan sądzi o naszym piśmie?Jest to pismo profesjonalnie, opisujące nowości w informatyce i telekomunikacji. Godne źródło konkretnych informacji.
56 HAKIN9 6/2010
Wraz z postępem technologii i nowymi programami zabezpieczającymi komputer
i sieć, rozwijają się metody ataków sieciowych często wykorzystujące nie tylko oprogramowanie, ale również metody socjotechniczne. To wszystko powoduje, że zagrożenia związane z korzystaniem z Internetu są wielokrotnie większe, niż jeszcze kilka lat temu. Nawet najnowocześniejsze programy antywirusowe czasem nie są w stanie zagwarantować pełnego bezpieczeństwa, zwłaszcza w większej firmie.
Dlatego warto zaopatrzyć się w urządzenie, dzięki któremu sieć firmowa nie będzie narażona na zagrożenia wewnętrzne oraz zewnętrzne. Takie bezpieczeństwo gwarantują urządzenia zabezpieczające z serii STM oraz UTM. STM to trzy urządzenia:
NETGEAR ProSecure – Profesjonalne zabezpieczenia dla MSPNie ulega wątpliwości, że sieci firmowe są szczególnie narażone na zagrożenia pochodzące z zewnątrz. Odpowiedzialna organizacja potrzebuje profesjonalnych zabezpieczeń, które zagwarantują pełne bezpieczeństwo plikom, danym i poczcie elektronicznej. Takie bezpieczeństwo sieci firmowej zapewnią urządzenia z serii STM ProSecure oraz UTM ProSecure.
STM150, STM300 oraz STM600. Liczba w nazwie określa ilość użytkowników, dla której rekomendowane jest dane urządzenie. STM nie wymaga licencji na użytkowników, a jedynym ograniczeniem jest wydajność samego urządzenia. Dzięki współpracy NETGEAR z doskonale znaną na świecie firmą Commtouch, urządzenia STM UTM wyposażone są w szereg najwyższej klasy zabezpieczeń: Recurrent Pattern Detection (RPD), czyli system wykrywania powtarzających się wzorców, GlobalView – technologię filtrowania adresów URL oraz niechcianej poczty. Najważniejszą cechą tej funkcji jest baza, która jest aktualizowana za pomocą sond analizujących ponad 5 mln źródeł pod względem różnego rodzaju zagrożeń. Warto również wspomnieć o ilości sygnatur wynoszącej 1,6 mln. Jest to wartość trzykrotnie
większa od wartości, którą deklaruje najbardziej zbliżony konkurent.
W urządzeniach z serii STM zastosowano silnik antywirusowy firmy Kasperski, który według wielu niezależnych testów plasuje się na pierwszym miejscu pod względem skuteczności. Zastosowanie silnika Kasperski daje dostęp do jednej z największych baz sygnatur szkodliwego oprogramowania.
Jedną z najważniejszych technologii zaimplementowaną w produktach z serii ProSecure jest strumieniowe skanowanie, które pozwala na kontrolę pakietów przychodzących oraz wychodzących pod względem szkodliwego oprogramowania
KLUB TECHNICZNY
57 HAKIN9 6/2010
NETGEAR PROSECURE – PROFESJONALNE ZABEZPIECZENIA DLA MSP
przy zachowaniu efektywności łącza na poziomie 93%. W odróżnieniu od rozwiązań konkurencyjnych skanowanie strumieniowe skanuje określaną porcję danych, a nie całe pliki, wprowadzając niepotrzebne opóźnienie. Zaimplementowany mechanizm skanowania jest odpowiedzią na zmieniające się zagrożenia, które częściej napływają z sieci Internet, gdzie przesyłanie danych również odbywa się w sposób strumieniowy.
Technologia skanowania strumieniowego jest do 5 razy szybsza od technologii wykorzystywanych w rozwiązaniach konkurencyjnych. NETGEAR ProSecure nie bazuje na oprogramowaniu open source, co w znacznym stopniu utrudnia złamanie zabezpieczeń urządzenia. Jest to bardzo istotne, biorąc pod uwagę fakt, że dostęp do kodu open source posiadają nie tylko osoby rozwijające dany kod, ale również osoby stanowiące zagrożenie.
Seria UTM poza funkcją skanowania poczty oraz filtra antyspamowego posiada funkcję routingu. W zależności od modelu urządzenie obsługuje do 5, 10 lub 25 użytkowników. Posiada wszystkie technologie zaimplementowane w rozwiązaniach STM, takie jak strumieniowe skanowanie. Jest to efektywne kosztowo rozwiązanie przeznaczone dla mniejszych firm, które wymagają równie wysokiego poziomu zabezpieczeń, co duże organizacje zatrudniające kilkuset pracowników.
Zarówno seria STM, jak i u UTM posiadają mechanizmy umożliwiające ochronę sieci wewnętrznej przed atakami socjotechnicznymi wykorzystującymi aplikacje powszechnie dostępne. Administrator sieci za pomocą kilku kliknięć może zablokować porty odpowiedzialne za funkcjonowanie aplikacji takich jak Skype, GG, BitTorrent czy też pocztę zawierającą potencjalne zagrożenie zawarte w treści maila. Administrator ma również możliwość zablokowania stron internetowych, których treść może wpłynąć nie tylko na bezpieczeństwo firmy, ale także na efektywność pracy organizacji.
Urządzenia z serii STM300 oraz STM600 posiadają również dedykowany port umożliwiający zarządzanie oraz mogą pracować w trybie baypass, dzięki czemu w przypadku awarii sieć lokalna nie traci dostępu z do sieci zewnętrznej. Jest to bardzo użyteczna funkcja przy założeniu ze urządzenie znajduje się w miejscu, które uniemożliwia przełączenie urządzenia.
Niezależnie od wersji urządzenia z serii ProSecure można zakupić w komplecie z licencjami na antywirus, antyspam, oraz opieką serwisową na rok lub na trzy lata. Klient ma również możliwość zakupienia urządzenia bez licencji oraz dokupienie licencji, która jest mu najbardziej potrzebna.
Elastyczność rozwiązania pod względem licencjonowania oraz pod względem funkcjonalności plasuje linię urządzeń ProSecure w czołówce światowych liderów w cenie do tej pory nieosiągalnej dla tej klasy rozwiązań. Na końcu warto wspomnieć, że urządzenia STM oraz UTM są certyfikowane przez organizację ICSA Labs organizację specjalizującą się w testowaniu rozwiązań antywirusowych.
FELIETON
58 HAKIN9 6/2010
Miara bezpieczeństwa
na potencjalnie wyniszczające i kosztowne do pokrycia naruszenia bezpieczeństwa. Aby uniknąć takiej sytuacji, konieczne jest, aby wszystkie organizacje zainwestowały w solidną i elastyczną infrastrukturę z miejscem na przyszłe ekspansje. Ponadto wykorzystanie rozwiązań Open Source może konsekwentnie zapewnić większy ROI, znacznie zwiększyć bezpieczeństwo i zapewnić większą elastyczność. Oczywiście takie inwestycje będą zasadniczo zmieniać postać zarządzania informacją i prezentacji wyników metrycznych.
W odniesieniu do zakupów związanych z bezpieczeństwem IT znacznie trudniej jest zmierzyć dokładny ROI. Na przykład, jeśli chodzi o zabezpieczenia sieci dużej firmy korporacyjnej, staje się niemożliwe do przypisania dokładnej kwoty wyrażonej w złotówkach do osiągniętego poziomu bezpieczeństwa niezbędnego do utrzymania firmy z dala od rosnących zagrożeń z Internetu. Sieci różnych maści stały się niezbędne do funkcjonowania różnych firm, laboratoriów, uczelni wyższych czy instytucji rządowych. Ponieważ w dalszym ciągu rozwijane są pod względem wielkości i złożoności
– ich bezpieczeństwo stało się jedną wielką obawą. Regularnie odkrywane luki w aplikacjach są wykorzystywane w każdym etapie cyberataków. Dlatego nie ma do końca obiektywnej metody pomiaru bezpieczeństwa w sieci firmowej, a utrzymanie lub zwiększenie środków bezpieczeństwa wymaga określenia świadczeń na konkretne przedsięwzięcie. By je uzyskać należy przejść przez liderów biznesu, którzy w głównej mierze bazują na pomiarach wydajności oraz opłacalności; sprzedawców dla których liczą się tylko zyski; administratorów sieci odpowiedzialnych za gwarantowany uptime czy pracowników działu obsługi klienta oceniających satysfakcję z dostarczanych usług. Bez przedstawienia przez specjalistów ochrony informacji konkretnych pomiarów, wymiernych standardów i profitów dla wkładu organizacji – przeforsowanie naprawy niektórych luk bezpieczeństwa w większych firmach nie ma szans powodzenia. Zawsze wspierać można się wynikami przeprowadzonych audytów, których wyniki służą do oceny gotowości i ustalenia środków, które mogą być zastosowane w celu zwiększenia
W czasach, w których środki budżetowe są ograniczane, a zagrożenia pochodzące
z Internetu ciągle rosną – ważne jest dla organizacji, by inwestować w zabezpieczenia sieci, które nie tylko zapewniają dużą funkcjonalność, ale także szybki zwrot z poczynionych inwestycji. W większości firm IT sukces tego rodzaju inwestycji zazwyczaj obliczany jest poprzez efektywność, wykorzystanie zasobów i, co najważniejsze, jak szybko inwestycje mogą być zwrócone. W celu prawidłowego obliczenia ROI (ang. return on investment – zwrot z inwestycji) technologii informatycznych, organizacje najczęściej mierzą oszczędność kosztów w stosunku do zwiększenia zysków od momentu pierwszej realizacji/implementacji projektu. Dodatkowo zwrot z inwestycji może również bazować na ogólnym wpływie inwestycji na produktywność pracowników, jak i całego środowiska roboczego firmy. Dokonywanie błędnych decyzji w tym zakresie może doprowadzić do wyczerpania zasobów lub wymogu wprowadzenia nadzoru w poszczególnych obszarach wymagających ochrony. Ze względu
Próba pomiaru bezpieczeństwa może prowadzić w korporacyjnym świecie do różnych aspektów bezpieczeństwa. Dlatego tak jak w przeszłości musi być ono traktowane oddzielnie, lecz spójnie – szczególnie przez różne wydziały ds. bezpieczeństwa rzadko komunikujące się ze sobą (IT, fizycznego, zapobiegania oszustwom itp.). Dzisiaj bezpieczeństwo jest bardziej dziedziną sztuki niż naukowym podejściem. Osadzone w postrzeganiu jako dobre zabezpieczenia i złe zabezpieczenia koncentruje się bardziej wokół możliwości i paranoi, niż analizie i rzeczywistym pomiarze.
59 HAKIN9 6/2010
efektywności naszych działań na polu bezpieczeństwa informacji. Na przykład audyt IT organizacji przed wdrożeniem konkretnego standardu (programu) bezpieczeństwa może wynikać z ośmiu etapów bezpośrednio związanych z wykrytymi lukami. Jeśli kolejne etapy przeprowadzane po określonym czasie wykażą, że poprzednio wprowadzone procedury czy mechanizmy wśród etatowych pracowników zmniejszyły
liczbę luk i uchybień z 30% do 15% – będzie to mocny argument na zwiększenie środków przeznaczonych na bezpieczeństwo IT. Pokazuje to również, jak można użyć liczby i stopnia stwierdzonych braków w tych audytach jako miara skuteczności wdrożenia bezpieczeństwa. Jednak należy pamiętać, że nadal jest to tylko miara skuteczności mierzona w konkretnych warunkach i przez konkretnych ludzi.
W efekcie bardzo trudno jest nam odpowiedzieć na takie pytanie czy jesteśmy bardziej bezpieczni niż wczoraj? lub jak inwestować nasze ograniczone zasoby do poprawy bezpieczeństwa? czy jaki wpływ ma ta luka na ogólne bezpieczeństwo mojego systemu? Poprzez zwiększanie wydatków na bezpieczeństwo IT organizacja może zmniejszyć ryzyko związane
Reklama
FELIETON
60 HAKIN9 6/2010
z naruszeniem bezpieczeństwa. Jednak do wykonania takiej analizy potrzebne są kwantyfikacyjne modele bezpieczeństwa zamiast wszechobecnych modeli jakościowych. Dlaczego? Ponieważ luki w zabezpieczeniach są nieokiełznane. CERT (ang. Computer Emergency Response Team ) raportuje około stu nowych luk bezpieczeństwa w każdym tygodniu. Gdzie teraz nie staje się coraz trudniejsze zarządzanie bezpieczeństwem sieci firmowej (z setkami hostów oraz różnych systemów operacyjnych i aplikacji na każdym hoście) w obecności tylu luk w oprogramowaniu, które mogą być w każdej chwili wykorzystane? Dodajmy do tego bezpieczną konfigurację całego systemu, która już dla pojedynczego hosta potrafi być bardzo złożona. Trudno jest skonfigurować sieć większego przedsiębiorstwa i wszystkie jego elementy, w celu spełnienia większości wymogów bezpieczeństwa. Także instalacja komponentów oprogramowania nawet wielu komercyjnych dostawców w domyślnej konfiguracji tworzy często luki. Administratorzy systemów często popełniają błędy w konfiguracji systemu, co powoduje ułatwienia w potencjalnym włamaniu. Bez kwantyfikacyjnych modeli bezpieczeństwa trudno jest porównać konfigurację jednej sieci
z drugą. Przynajmniej, ze względu na fakt, że agresorzy coraz częściej uruchamiają na masową skalę kompleksowe, wieloetapowe ataki. Ataki takie wymierzone w wiele hostów mogą stopniowo przenikać do sieci wewnętrznej i ostatecznie skompromitować krytyczne zasoby.
Bezpieczeństwo IT zawsze było gorącym tematem, ale zazwyczaj skupiającym swoją uwagę na jego
braku. W porównaniu z bardziej dojrzałymi działami IT, metrologia bezpieczeństwa jest wciąż niedojrzałą. Kwestia ta jest na tyle skomplikowana, że bezpieczeństwo oznacza różne rzeczy dla różnych osób i organizacji. Bezpieczeństwo może być ryzykiem, jak i polityką zależną od punktu widzenia organizacyjnego. Na przykład zastosowane na tej samej plat formie wypełnionej danymi o tym samym poziomie wrażliwości, ale w dwóch różnych firmach, może zostać uznane za odpowiednie dla jednej, a niewłaściwe dla drugiej. Oznacza to, że ustalenie tak potrzebnych, kwantyfikacyjnych modeli bezpieczeństwa, które mogłyby być użyte do systemu sensownych porównań między różnymi organizacjami czy firmami jest niezwykle trudne do osiągnięcia. Tak samo nie ma standardowych terminów dla opisu zjawiska bezpieczeństwa czy możliwości usunięcia podmiotowości z tego zjawiska. Środki bezpieczeństwa mogą być właściwie wdrażane, ale nie zawsze skuteczne. Skuteczność mechanizmów bezpieczeństwa wymaga ustalenia, jak dobrze komponenty wymuszające bezpieczeństwo wiążą się ze sobą oraz współpracują synergicznie. Innymi słowy: co jest skuteczne dla jednego systemu, może nie być dla innego. Na przykład FISMA (ang. Federal Information Security Management Act ) opisuje kryteria do klasyfikacji
systemów jako niski, średni czy wysoki. W pewnych warunkach podział taki może być subiektywny, ponieważ przypisując systemom ranking liczbowy można zatrzeć rozróżnienie pomiędzy środkami jakościowymi i ilościowymi. Więc czy kwantyfikacyjne modele bezpieczeństwa są osiągalne? Tak, ale nie spełniają one wszystkich warunków, które byśmy chcieli. Brakuje obiektywnych dróg
umożliwiających skuteczne zmierzenie bezpieczeństwa. Istnieją na przykład różne pomiary jakości kodu dla programistów czy procesy wdrażania systemu i jego utrzymania przez użytkowników. Zaobserwowano szereg działań zmierzających do ustalenia metrycznych systemów bezpieczeństwa, w tym CCITSE (ang. Common Criteria for Information Technology Security Evaluation lub po prostu Common Criteria ), TCSEC (ang. Trusted Computer System Evaluation Criteria lub Orange Book ) czy ISSEA SSE-CMM (ang. Inernational Systems Security Engineering Assocition's Systems Security Engineering Capability Maturity Model ), gdzie w każdym z nich uzyskano jedynie częściowy sukces odnoszący się do konkretnego aspektu bezpieczeństwa. Za przykład wyprofilowanych, ogólnodostępnych standardów można podać ASVS (ang. Application Security Verification Standard ) projektu OWASP (ang. Open Web Application Security Project ) odnoszący się tylko do sektora aplikacji webowych czy FIPS 140 (ang. Federal Information Processing Standardization 140 ), opisujący standardy dla modułów kryptograficznych. Dlatego nie można bazować tylko na jednym systemie miar bezpieczeństwa ze względu na konieczność zwrócenia uwagi na różne elementy bezpieczeństwa oddzielnie.
Patryk KrawaczyńskiKontakt z autorem: [email protected]
„Bezpieczeństwo można rozpatrywać na różne sposoby przez różnych ludzi”
Wayne Jansen Naukowiec z National Institute of Standards and Technology.
62 HAKIN9 6/2010
Słowo kończące
Następny numer dostępny on-line na początku czerwca 2010
Aktualne informacje o najbliższym numerze znajdziesz na naszej stronie www.hakin9.org/pl.
Redakcja zastrzega sobie prawo zmiany zawartości pisma.
Oddaliśmy właśnie w Państwa ręcę pierwsze wydanie hakin9, które udostępniamy za pomocą naszej strony WWW całkowicie za darmo!!!
Mam nadzieję, że ten pomysł przypadnie Państwu do gustu i ochoczo będziecie ściągać nasze wydania co miesiąc. Wystarczy, że klikniecie w nasze nowe pismo...a magazyn w formacie pdf znajdzie się na Waszych komputerach.
Zapraszamy także osoby chętne do współtworzenia naszego pisma w nowej formie.Jeżeli chcesz napisać ciekawy artykuł lub recenzować produkty to zgłoś się do nas.
PozdrawiamKatarzyna Dębek
Drodzy Czytelnicy,
