Documente Academic
Documente Profesional
Documente Cultură
Plan de curs
●
Atacuri asupra infrastructurii rețeleielei
●
Atacuri de nivel rețeleiea și transporti transport
2
Atacuri asupra infrastructurii
retelei
3
Atacuri în rețeleiea
●
Securitatea unei rețeleiele este data de cea
mai slaba verigă a ei
●
Dacă un nivel este compromis, tot ce este
deasupra este compromis (efect domino)
●
Fiecare nivel al modelului ISO/OSI este
caracterizat prin tipuri de atac și transporti de măsuri
de protecțeleiie specifice
●
Nivelele joase sunt mai puțeleiin protejate în
comparațeleiie cu celelalte nivele
4
Atacuri asupra suportului de
comunicare
●
Sunt folosite pentru a “vedea” ce date
circula pe mediu
●
Necesita acces fizic la mediu
●
Medii de comunicare:
– Cu ghidare
– Fără de ghidare
5
Atacuri asupra suportului de
comunicare
●
Cablurile UTP
– atacul se rezumă la obțeleiinerea accesului la
firul de cupru
●
Wireless
– mediul este partajat și transporti foarte accesibil
– interceptarea datelor prevenită prin criptare
●
Fibra optică
– este mai greu de atacat
– este foarte uși transportor distrusă 6
Atacuri asupra suportului de
comunicare
Dispozitiv pentru interceptarea datelor care
circulă prin fibra optică
7
Atacuri la nivel de legătură de date
●
Nivelul 2 este foarte puțeleiin protejat de atacuri
●
Atacurilor din rețeleieaua locala reprezintă o mare
parte tuturor atacurilor observate
●
Rețeleielele locale sunt elemente critice pentru
rețeleielele extinse deoarece constituie
infrastructura fizica a celor din urma
8
Atacuri la nivel de legătură de date
Tipuri de atacuri:
– atac CAM table flooding
– Schimbarea VLAN-ului (VLAN Hopping)
– ARP poisoning
– atac STP
– atacuri DHCP
– alte atacuri
9
Atac CAM table flooding
©Cisco 10
Atac CAM table flooding
©Cisco 11
Atac CAM table flooding
●
Atac CAM table flooding
– exploatează dimensiunea limitata a tabelei
CAM și transporti comportamentul switch-ului in urma
umplerii tabelei
●
Metoda de protecțeleiie: Port Security
– specificarea adreselor MAC, precum si
numărul maxim de adrese MAC ce pot fi
învățeleiate pe o interfațeleiă
12
Atacuri la nivel de legătură de date
●
VLAN hopping
– Legăturile de tip trunk au acces in toate VLAN-
urile
– DTP (Dynamic Trunking Protocol) reprezinta un
risc
– VLAN hopping prin exploatarea DTP
– O stațeleiie poate sa trimită un cadru care anun țeleiă
switch-ul ca are nevoie de o conexiune de tip
trunk
– Stațeleiia devine atunci membra in toate VLAN-urile
13
Atacuri la nivel de legătură de date
VLAN hopping
●
Trimiterea de cadre cu dubla încapsulare .1Q
●
Trafic unidirecțeleiional
●
Atacul reuși transporteși transportte chiar dacă portul atacatorului nu
suporta trunk
●
NOTA: funcțeleiionează doar dacă conexiunea trunk are
același transporti VLAN nativ cu atacatorul
15
VLAN hopping cu dubla încapsulare
Metode de protecțeleiie
●
Precizarea explicita a VLAN-ului nativ (trebuie evitata
folosirea VLAN 1 ca VLAN nativ)
●
Porturile care nu sunt folosite este bine sa fie plasate
intr-un VLAN nefolosit
16
Atac ARP Spoofing
@Cisco 17
Atacuri STP
Protocolul STP nu foloseși transportte autentificare → vulnerabil
Un atac STP are de obicei următorii pași transporti:
1. Conectare la rețeleieaua de switch-uri
2. Trimiterea de BPDU-uri cu BID mic
3. Devenire root bridge
18
Atacuri STP
Traficul dintre A și transporti B trece prin Switch1
• Switch2 este sistemul folosit de atacator
• Switch2 e conectat la rețeleiea și transporti anunțeleiă BPDU-uri cu BID=1
(prioritate 0)
19
Atacuri STP
Traficul dintre A și transporti B trece acum prin Switch2
• Atacatorul poate porni o captură de trafic pe Switch2 pentru
a analiza comunicațeleiia dintre A și transporti B
• Soluțeleiii pentru protejarea STP: RootGuard, BPDU Guard,
BPDU Filter
20
Alte atacuri de nivel legătura de
date
●
DHCP starvation:
– Obtinerea de adrese IP pe baza unor adrese MAC
fictive
– Se poate crea un server DHCP care sa redistribuie
adresele IP acaparate, astfel toate mesajele trec pe
la atacator
●
DNS spoofing: in urma unui MiM, răspunsurile
DNS pot fi alterate
21
Atacuri de nivel retea si
transport
23
Tipuri de atacuri
●
Malicious software – proiectat pentru a se
infiltra într-un calculator fără consimțeleiământul
informat al proprietarului
●
Malware include:
– Viruși transporti
– Viermi
– Troieni
24
Malicious software: virusi
●
Cod executabil atași transportat unui program sau executabil
●
Codul trebuie să fie rulat de un utilizator pentru a
avea efect
●
Se propagă prin:
– Atași transportamente de e-mail
– Fiși transportiere descărcate infectate
– Partajări de fiși transportiere în rețeleieaua locală
– Stick-uri USB
25
Malicious software: viermi
Cod executabil ce foloseși transportte vulnerabilită țeleii pentru a
se răspândi
●
Spre deosebire de viruși transporti nu necesită interven țeleiia
directă a unui utilizator
●
Răspândire foarte rapidă
●
Dificil de înlăturat
●
Au adesea scopul de a partaja resurse de
procesare, stocare sau conexiune internet (de
exemplu botnet de trimitere spam)
26
Malicious software: troieni
Cod executabil atași transportat unei aplicațeleiii
●
Spre deosebire de viruși transporti care au un efect direct,
troienii au un efect subtil
– Deschidere backdoor
●
Sunt mult mai greu de detectat decât viruși transportii
27
Atacuri de recunoași transporttere
Constau în recoltarea informațeleiiilor despre o anumită rețeleiea
Se caută orice informațeleiie utilă care poate fi folosită în
desfăși transporturarea unui atac ulterior
30
Atacuri de recunoași transporttere
Utilitar de recunoași transporttere: tcpdump
– Folosit pentru captura din linie de comandă a
traficului
attacker# tcpdump –i eth0 –c 10 dst port 80
31
Atacuri de recunoași transporttere
Utilitar pentru serviciul DNS: host
– Permite obțeleiinerea informațeleiiilor despre serverele de
nume și transporti de mail ale unui domeniu
attacker# host -t NS utm.md
attacker# host -t MX utm.md
32
Atacuri DoS și transporti DDoS
Denial of Service
– Se trimite un număr mare de cereri pentru a preveni
procesarea cererilor normale
– Din cauza încărcării există inclusiv riscul ca aplicațeleiia să
întâmpine o eroare și transporti să se oprească
– Atacurile DoS se recunosc măsurând traficul în condițeleiii
normale
– Aparițeleiia unei anomalii poate indica un atac DoS
Ditrbuted Denial of Service
– Constau în trimiterea cererilor de la mai multe sisteme
către o singură țeleiintă
33
Atac DoS: Smurf
●
Ping-uri către o adresă de broadcast cu o
adresă sursă spoofed
●
Toate stațeleiiile din rețeleieaua respectivă vor
răspunde către sursă
●
Dacă rețeleieaua este mare stațeleiia țeleiintă poate să
primească mai mult trafic decât poate procesa
– Efectul este imposibilitatea folosirii conexiunii la
Internet pentru uz normal
34
Atac DoS: Smurf
35
Atac DoS: TCP SYN flood
●
Atacatorul inițeleiiază un număr mare de conexiuni TCP
cu un server, fără a termina handshake-ul ini țeleiial
(conexiuni half-open)
●
Respectivele conexiuni epuizează resursele
serverului, Acesta nu mai poate procesa cereri valide
36
Atacuri de acces: spargere parole
●
Parolele trimise în clar (Telnet) pot fi obțeleiinute prin sniffing
●
Parolele cărora li s-a obțeleiinut hash-ul pot fi sparte prin:
– Brute force (se încearcă toate combinațeleiiile ce folosesc un set
de simboluri)
– Dictionary attack (se încearcă toate cuvintele din dicțeleiionar
împreună cu permutări simple)
– Cryptanalysis attack (Rainbow tables)
●
Brute force / dictionary attack pot fi aplicate direct pe
serviciul de autentificare, fără a avea hash-ul:
– Uși transportor de blocat prin adăugarea de limitări la autentificare (de
exemplu blocarea contului pentru 10 minute la 3 eși transportuări de
autentificare în decurs de un minut)
37
Atacuri de acces: spargere parole
cu Cain
38
Atacuri de acces:
Exploatarea încrederii
●
Inițeleiial este compromis un sistem din rețeleiea
●
Sistemul compromis este folosit pentru a ataca mai
departe rețeleieaua
39
Atacuri de acces:
Social Engineering
●
Se bazează pe extragerea informațeleiiilor confidențeleiiale de la
oameni
– Parole sau detalii financiare
●
Atacatorul trebuie să convingă potențeleiialele țeleiinte că este de
încredere
●
Este probabil ca țeleiinta respectivă să nu fie de profil tehnic și transporti să
aibă încredere în autoritatea atacatorului
– Atacatorul se poate da drept un membru al echipei tehnice
●
Oamenii nu sunt conși transporttiențeleii de valoarea informațeleiiei pe care o
posedă și transporti vor să ajute
●
Social engineering poate evita orice tip de securitate
– Exemplu: phishing
40
Atacuri de acces:
Buffer overflow
●
Scriere de informațeleiie peste un buffer alocat
– Permite executarea de cod de atac sau crash-uirea
aplicațeleiiei
– Exemplu: scrierea în afara unui vector alocat pe stivă în
C poate permite suprascrierea adresei de întoarcere din
funcțeleiie
– Atacatorul poate provoca astfel sărirea peste o funcțeleiie
de verificare, obțeleiinând acces în sistem fără autentificare
41
Intrebari
●
Ce înseamnă un atac de recunoași transporttere?
●
Atacul de recunoași transporttere este de tip activ sau
pasiv?
●
Care este pericolul major al unui atac de tip
Social Engineering?
●
Explicațeleii funcțeleiionarea atacului de tip smurf.
42