Sunteți pe pagina 1din 17

Masterat E- Business

Securitatea sistemelor de
E-Business
- Curs 8 -

Lector. Dr. Ana-Maria Ghiran


anamaria.ghiran@econ.ubbcluj.ro
Cuprins

Atacuri în reţea
1. Denial of Service
2. Atacuri cu interceptare: Man-in-the-midlle, Atacuri cu
reproducere
3. ARP/DNS Spoofing

Protecţie reţele
4. Firewalls
5. IDS/IPS
Atacuri în reţea

 Denial of Service – DoS


are ca şi scop blocarea unui sistem în realizarea
funcţionalităţii normale; deşi există mai multe modalităţi
pentru aceasta, majoritatea atacurilor DoS se referă la
încercările de a interzice accesul utilizatorilor legitimi în
sistem

 Distributed Denial of Service – DDoS


similar cu DoS cu deosebirea că sursa atacului provine de
la mai multe calculatoare (zombies) – mult mai greu de
identificat şi blocat sursa acestui tip de atac
Atacuri în reţea

 Există mai multe tipuri DoS:


 ping flood- se referă la folosirea protocolului ICMP pentru inundarea
victimei cu pachete

 smurf attack – atacatorul transmite cereri ping însă modifică adresă


sursă de unde ar provine această cerere, ceea ce apare ca victima
ar solicita răspunsuri ping de la toate calculatoarele

 SYN flood atack – se foloseşte de avantajele oferite de modul în


care se realizează o sesiune (the three way handshake); atacatorul
trimite mai multe pachete cu cereri SYN către un server la care însă
modifică adresa sursă la o adresă care nu există care care nu este
disponibilă
Atacuri în reţea

 Atacuri cu interceptare
1. Man in the middle:
- simulează comunicarea între părţile legitime fără a ridica
suspiciuni, insă ambele părţi nu interacţionează direct ci prin
intermediul atacatorului;
- atacurile man-in-the-middle pot fi active şi pasive
2. Atacurile cu reproducere: asemănătoare cu man-in-the-
middle se folosesc de copiile obţinute dintr-o transmisiune
interceptată anterior
Atacuri în reţea
Otrăvire (Poisoning)
1. ARP Poisoning:
- atacatorul modifică adresa MAC din ARP cache astfel încât adresa IP să
indice către un alt calculator.
- permit atât atacuri DoS cât şi Man-in-the-middle

2. DNS Poisoning, DNS Spoofing


- schimbă numele calculatorului care este referit de o adresă IP; schimbă o
adresă IP la un nume simbolic
- atacul este realizat asupra tabelului DNS local sau în schimburile de
informaţii dintre serverele DNS

Ex: Găsiti cum se poate vedea/ modifica pe propriul calculator cache-ul ARP? Dar
tabelul DNS local?
Protecţia reţelelor

Firewalls- Zidurile de protecţie


 scopul este de a împiedica intruşii să pătrundă în reţeaua protejată
şi de a împiedica datele secrete să iasă din acea reţea

 pot fi sub forma unei componente software sau hardware,


interpusă între Internet şi o reţea locală

 datele care circulă în ambele sensuri sunt analizate şi sunt luate


decizii de filtrare când este cazul

 deciziile de filtrare sunt luate după regulile stabilite în cadrul


firewall-ului
Protecţia reţelelor

 Tipuri de firewall:
1. filtre de pachete – packet filters sau filtre la nivel reţea
2. filtre cu păstrarea stării conexiunii - statefull filters sau
filtre la nivel transport – transport layer filters
3. filtre la nivel aplicaţie - application layer filter

 Altă clasificare:
 host based firewalls: găsiţi exemple
 network-based firewalls
Protecţia reţelelor
• Un filtru de pachete este un ruter standard echipat cu unele funcţii
suplimentare. Acestea permit inspectarea fiecărui pachet care intră
sau iese.

• Pachetele care îndeplinesc anumite criterii sunt transmise normal.


Cele care nu trec testul sunt eliminate.

• Necesită o cel puțin o expertiză minimă în domeniu

• Interfaţa utilizator nu este prietenoasă, limbaj specific vânzătorului


Protecţia reţelelor
• Un fişier de configurare a unui firewall va conţine regulile
necesare pentru filtrarea traficului între două reţele. Formatul unei
reguli în general conţine: Protocolul de transport, Adresa IP sursă,
Port sursă, Adresă IP destinaţie, Port destinaţie şi Acţiunea luată

• Ex. de reguli din interiorului unui firewall simplu:

1: tcp 140.192.37.* any 61.20.33.* 80 Allow


2: tcp 67.92.37.20 any 61.20.33.* 80 Deny

• Fişierele de configurare conţin un număr mare de reguli şi ordinea


acestora este importantă
Protecţia reţelelor

Efectele negative care pot să apară datorită unei ordini incorecte a regulilor:
 Umbrire (shadowing) – blocarea traficului dorit, sau permiterea traficului
nedorit
 Redundanţele - scăderea performanţei (datorită regulilor redundante
creşte costul pentru realizarea comparării dintre trafic şi reguli)

 Ex: Regula 8 este umbrită de regula 6


 Regula 7 este redundantă faţă de regula 6
Protecţia reţelelor
 Există două abordări în fişierele de configurare firewall-uri:
1: “deny everything unless specifically permitted”
2: “allow- all except”

• Blocarea pachetelor care ies este mai complicată, deoarece, deşi cele mai
multe site-uri aderă la convenţiile standard de numire a porturilor, nu sunt
obligate să o facă.

• Mai mult, pentru servicii importante, cum ar fi FTP, numerele de port sunt
atribuite dinamic.

• Blocarea pachetelor UDP este şi mai grea datorită faptului că se ştie foarte
puţin a priori despre ce vor face. Multe filtre de pachete pur şi simplu interzic
în totalitate traficul UDP
Protecţia reţelelor

Administratorul unei reţele configurează zidul de protecţie conform


politicii de securitate a organizaţiei ţinând cont de lărgimea de bandă
folosită şi metodele de securitate.

Există guideliness pentru administratorii de reţea

Ex:
Dacă organizația nu dorește ca utilizatorii săi să monopolizeze banda de
acces cu aplicații radio internet, ea poate bloca tot traficul UDP ne-critic
• Dacă organizația nu dorește ca topologia rețelei interne să fie aflată
(tracerouted) de cineva din afară, se pot bloca toate mesajele ICMP TTL
expirate ce părăsesc rețeaua organizației.
Protecţia reţelelor

Filtrele stateful
• Într-un filtru tradiţional de pachete, deciziile de filtrare
se iau pentru fiecare pachet izolat.

• Filtrele stateful (dinamice) urmăresc conexiunile TCP şi


utilizează cunoştinţele acumulate pentru a lua decizii.

• Înregistreaza toate conexiunile TCP de intrare într-un


tabel de conexiuni.
Protecţia reţelelor

Filtrele de aplicaţie
-controlează intrările, ieşirile, drepturile de acces din partea
unui aplicaţii sau a unui serviciu

Demilitarized Zone: DMZ


- delimitează o zonă ce este in interiorul unei reţele locale dar
unde accesul din afară este permis pentru anumite servicii ale
organizatiei: de ex. pentru accesului la un server web a unui
organizaţii
Protecţia reţelelor

 IDS/IPS

• Dispozitivul care generează alerte în momentul în care găseşte un pachet


suspect se numeste Sistem de detecţie a intruziunilor (Intrusion detection
system, IDS).

• Un dispozitiv care filtrează traficul suspicios se numeşte dispozitiv de prevenire


a intruziunilor (Intrusion Prevention System; IPS).

• Există două tipuri:


- pe bază de semnături : menţin o bază de date complexă cu semnături ale
atacurilor
- pe bază de anomalii: crează profilul unui trafic normal şi apoi caută fluxuri
neobişnuite
Protecţia reţelelor

 Clasificare:

 Software IDS/IPS: www.snort.org, AIDE


 Hardware IDS/IPD: dispozitive specializate

 Host based IDS/IPS


 Network based IDS/IPS