Până nu demult, majoritatea companiilor credea că datele şi resursele lor de reţea sunt în siguranţă 100% o dată cu instalarea unui firewall. Este bine că ne-am dat repede seama că un firewall este doar un element necesar unei strategii de securitate solide. Firewall-urile sunt bune la ceea ce ele fac, şi anume filtrarea traficului, şi nu pot face totul de unele singure.

Cerinţele actuale s-au schimbat în ceea ce priveşte request-urile vis-a-vis de securitatea perimetrului. Multe dintre companiile despre care vorbeam la începutul materialului au evoluat şi au parte de tot felul de infrastructuri care mai de care mai complexe şi care cuprind: conexiuni dedicate cu parteneri de afaceri, VPN-uri (Virtual Private Netorks) sau structuri complicate de e-commerce. Pornind de aici, firewall-urile au evoluat şi ele din punct de vedere al funcţiilor pe care le livrează. În prezent majoritatea firewall-urilor suportă mai multe interfeţe de reţea şi pot controla traficul între ele, suportă VPN-urile, H.323 (protocol folosit în videoconferinţe). Şi deşi am putea sări în sus de bucurie când vedem toate aceste funcţionalităţi, trebuie să fim conştienţi că atunci când adăugăm din ce în ce mai mult “tunning” acestor echipamente, riscăm şi să deschidem cutia Pandorei (mă refer la apariţia de vulnerabilităţi o dată cu aceste noi features)…plus că atunci când un firewall să zicem că funcţionează şi ca un concentrator VPN, performanţa overall a echipamentului va scade şi ea se va oglindi în funcţia principală a unui firewall, şi anume filtrarea de trafic.

Care este mesajul pe scurt? Să încercăm să folosim firewall-ul pentru scopul lui iniţial şi să încercăm să reducem funcţiile lui auxialiare la minimul posibil. Serviciile suplimentare pot fi furnizate de echipamente dedicate sau alte sisteme din infrastructura reţelei noastre.

Să vorbim un pic despre plasarea unui firewall într-o reţea. În cea mai simplă configuraţie, un firewall vine cu două interfeţe: inside şi outside.  Ele reprezintă două nivele de încredere (trust), pe interfaţa outside fiind conectat peer-ul cu trust mai mic (de ex. Internet-ul), iar pe inside având peer-ul cu reţeaua mai sigură. Bineînţeles, au apărut repede neajunsurile. Ce  ne facem atunci când avem un server web? Unde îl plasăm? Îl lăsăm în untrusted zone singur singurel ? Sau îl punem în trusted zone, acolo unde nimeni nu mai are cum să aibă acces la el? De aceea s-a găsit o soluţie, mai precis alte intefeţe care nu fac parte nici in trusted zone, dar nici din trusted, aşa numitele DMZ-uri (demilitarized zones). O să ziceţi: de ce trebuie să mai avem o zonă, când putem foarte bine să punem serverul web in trusted zone şi să deschidem din firewall porturile 80 şi 443? Şi ce ne facem dacă cineva preia controlul asupra sistemului prin 80 şi 443? De pe sistemul respectiv va avea acces la toată zona noastră trusted. Cum rezolvă DMZ-ul acest issue? Pai, DMZ-ul este tot o reţea care este la fel de bine protejată ca şi cea trusted, doar că între ea şi cea de pe inside se mai filtrează încă o dată traficul, astfel evitând situaţiile de genul celei descrise mai sus.

Altă topologie posibilă ar fi cea în care folosim două firewall-uri, unul extern şi unul intern şi cu DMZ-ul situat între cele două.

Bineînţeles, nu doar cele două topologii de mai sus sunt folosite. Acestea sunt doar nişte xemple simple şi “de bun simţ” ale poziţionării unui firewall. Se pot configura situri legate prin mai multe DMZ-uri cu diferite nivele de trust, astfel având un nivel de control mai ridicat. Imaginaţi-vă un DMZ ce cuprinde toate serverele publice sau altul care conţine servere cu servicii destinate clienţilor şi partenerilor. Interesant, nu?

Data viitoare vom continua cu firewall policies şi NAT.

În caz că vă gândiţi cumva la filmul cu Harrison Ford, vă anunţ că vă înşelaţi.

Un firewall este un filtru pentru reţeaua voastră. Poate fi un echipament dedicat sau o aplicaţie software. Cu ajutorul lui poţi decide ce trafic să accepţi sau ce să trimiţi direct la gunoi.

Haideţi să enumerăm câteva dintre funcţiile esenţiale îndeplinite de un firewall:

- conservarea adreselor IP şi forwarding-ul traficului. Cu alte cuvinte, firewall-urile sunt folosite adesea în locul routerelor. Putem să facem NAT, să rutăm reţele, plus protecţia aferentă.
- diferenţierea reţelelor. De multe ori un firewall este pus “la graniţa” dintre o reţea privată şi Internet…şi nu numai. În majoritatea companiilor mari, firewall-urile sunt prezente şi în interiorul internetwork-ului corporaţiilor respective pentru o mai bună delimitare a diverselor divizii sau departamente. De ce trebuie asemenea delimitare? Pentru că de exemplu contabilii nu ar trebui să aibă acces la share-ul managementului, să zicem.
- protecţia împotriva diverselor atacuri: DoS, scanning (nu este un atac propriu-zis, doar un preludiu ), sniffing.
- filtrarea în funcţie de IP (destinaţie/sursă) şi port(serviciu).
- filtrarea de content. Presupun că aţi auzi de servere proxy, un tip de firewall-uri care filtrează traficul în funcţie de URL şi conţinutul paginii accesate.
- redirectarea pachetelor. Putem configura un firewall ca toate pachetele venite pentru 80 şi 443 să le facă forward înspre un server proxy.
- autentificare şi criptare. Cu ajutorul unui firewall putem forţa userii să se autentifice atunci când accesează o anumită resursă din reţeaua noastră. Când vorbim despre criptare, ne referim la un tunel VPN între două firewall-uri aflate în reţele diferite.
- logging-ul suplimentar. Deşi ignorat acest feature, reprezintă un avantaj major al folosirii unui firewall. Vă daţi seama că veţi şti absolut totul despre pachetele care vă traversează “zidul de foc”.

Băgăm aici şi o clasificare a firewall-urilor? Ia să vedem:

1. packet filters – sunt firewall-urile care iau deciziile vis-a-vis de forwardarea sau ne-forwardarea pachetelor în funcţie de adresele IP destinaţie/sursă,porturi şi tipul protocolului (TCP,UDP etc.). Vă daţi seama că aceste filtre se ocupă doar de pachetele individuale, iar un atac tip spoofing nu poate fi oprit. De ce am alege un astfel de firewall? Pentru viteza lui de procesare mare faţă de exemplu firewall-urile ce analizează pachetele la Layer 7.

2. stateful inspection packet filters – este vorba despre prima categorie la care s-a adăugat feature-ul de “stateful inspection”. Adică, firewall-ul va ţine evidenţa tuturor sesiunilor TCP şi va avea grija ca fiecare pachet de tip ACK va fi legitim.

3. application proxies – analiza pachetelor ajunge în acest caz până la Layer 7 (application). Vă daţi seama că performanţa şi viteza unui firewall de acest tip are de suferit.

Data viitoare vom vorbi despre integrarea într-o reţea a acestor echipamente.

Pentru că până acum am atins în materialele legate de securitatea IT multe chestiuni interesante printre care şi obiectivele generale ale IT security-ului, ce fel de motivaţii îi caracterizează pe cei faţă de care trebuie să ne ferim, la ce fel de tipuri de atacuri trebuie să ne aşteptăm sau un rezumat al soluţiilor hardware şi software pe care le putem implementa pentru a micşora efectele unui astfel de atac, cred că putem să vorbim deja mai în detaliu despre alcătuirea unui plan de securitate inteligent şi eficient.

Dacă ne uităm peste RFC-ul 2196, “Site Security Handbook”, găsim următorii paşi care trebuiesc efectuaţi pentru a avea un “mult visat” plan de securitate eficient:

- identificarea resurselor care trebuiesc protejate;
- identificarea eventualelor pericole;
- stabilirea probabilităţii apariţiei unui astfel de atac;
- implementarea unor măsuri care ne protejează asset-urile încadrîndu-ne într-un buget adecvat;
- verificarea acestui proces, sau plan, ori de câte ori “o gaură” este descoperită, şi bineînţeles îmbunătăţirea lui.

Este important să înţelegem că un plan de securitate nu este acelaşi lucru cu o politică de securitate. Politicile de securitate derivă din aceste planuri de securitate. Dacă primele sunt compuse din reguli sau “legi”, ultimele reprezintă “cum?-ul” implementării acestor măsuri, adică stabilesc în ce mod vor fi implementate aceste politici de securitate.

Ce conţine un plan de securitate?…Trei elemente diferite care se găsesc prezente într-o formă sau alta în fiecare companie cât de cât care se respectă:

- prevenire – însumează măsurile luate pentru ca datele să nu poată fi modificate, distruse sau compromise;
- detectare – adună la un loc măsurile implementate astfel încât breşele sau tentativele de formare a lor să fie detectate la timp. Ar fi perfect dacă am şi depista sursa acestor “găuri”.
- reacţie – măsurile care ne scot dintr-un knock out de ăsta informatic…mai precis ce trebuie să facem astfel ca după un incident să putem recupera datele pierdute sau “stricate”, să repunem în funcţiune sistemele afectate şi bineînţeles să prevenim viitoarele “scandaluri”.

Cele trei aspecte de mai sus pot fi grupate foarte uşor în două tipuri de acţiuni: proactive şi reactive. Mă gândesc că aţi ghicit deja că “prevenirea” este o acţiune proactivă pentru că are loc înainte ca o breşă să fie formată…şi bineînţeles, ultimele două măsuri sunt reactive.

Înainte de a dezvolta un anumit plan de securitate şi politicile aferente,trebuie să stabilim foarte clar nevoile specifice în cadrul fiecărei organizaţii. Trebuie să luăm în considerare următoarele lucruri:

- tipul business-ului în care este angajată organizaţia respectivă;
- tipul datelor ce sunt “păstrate” în reţea;
- tipul conexiunilor reţelei organizaţiei înspre celelalte reţele;
- modul de gândire şi “approaching” asupra aspectului securităţii IT al managementului companiei respective.

Să ne gândim un pic la primul punct din înşiruirea de mai sus. Ştim cu toţii că anumite domenii necesită un nivel mai ridicat de securitate. Şi automat ne gândim la o instituţie militară sau la una de stat. Punem mai jos nişte exemple de organizaţii ale căror date nu au voie să zboare libere peste tot:

- cabinetele de avocatură sunt obligate să păstreze confidenţiale datele vis-a-vis de clientela lor;
- instituţiile medicale trebuie să păstreze în siguranţă toate înregistrările pacienţilor sau istoricele afecţiunilor de care suferă;
- facultăţi, licee care au nevoie să îşi ţină departe de servere studenţii repetenţi şi furioşi ;
- orice companie care dintr-un motiv sau altul colectează şi păstrează date de la clienţi sau organizaţii şi mai apoi “se laudă” cu păstrarea acestora în perfectă siguranţă.

To be continued…

Procesul prin care alcătuim o politică de securitate diferă de la organizaţie la organizaţie, dar există nişte elemente care sunt comune:

- dezvoltarea unei politici eficiente în ceea ce priveşte parolele şi autentificarea;
- dezvoltarea unei politici de privacy;
- definirea responsabilităţii userilor în ceea ce priveşte problemelor de securitate, incluzând aici politici vis-a-vis de obligaţia userilor de a raporta incidente ce vizează securitatea organizaţiei cât şi proceduri de know-how ale acestor obligaţii;
- un statement ce stabileşte responsabilităţile userilor atunci când accesează şi folosesc resursele reţelei;
- protecţia împotriva dezastrelor şi politica de recovery după astfel de evenimente. Aici este inclusă programarea backup-urilor şi stocarea acestora, planuri de fail-over pentru sistemele critice şi alte măsuri de acest gen.

Password policy management

Cu toţii ştim că o parolă şi un user, ambele corecte, înseamnă cheia înspre resursele unei reţele, sau înspre datele de pe un server sau orice asset protejat prin această metodă. Este normal să ne focusăm atenţia asupra implementării acestei metode de protecţie. Deşi iniţial poate să vi se pară ceva simplu, stabilirea unei politici strong vis-a-vis de parole nu e chiar piece of cake.

Astfel, pentru a ca să fie folositoare această metodă, trebuie să ne asigurăm că userii sunt astfel “educaţi” încât să aleagă nişte parole greu de spart dar în acelaşi timp uşor de ţinut minte, pentru că nu cred că am vrea să ne trezim cu tot felul de stickere cu parole lipite pe monitor sau pe frigiderul din bucătărie.

Parolarea este prima linie din apărarea concepută împotriva celor care vor încerca să pătrundă în reţeaua administrată de noi. Cele mai frecvente greşeli atunci când se setează parole este alegerea unor cuvinte simple care pot fi foarte uşor “răpuse” cu un atac de tip dictionary.

Pentru ca o parolă să fie sigură trebuie să ţine cont de următorii factori:

- complexitatea şi lungimea ei
- cine creează parola;
- forţarea schimbării parolei.

Complexitatea şi lungimea unei parole

Este foarte uşor să alegem o parolă proastă şi uşor de ghicit pentru “băieţii răi”.

O metodă folosită de către cei care obişnuiesc să spargă parole se numeşte brute force attack. În acest gen de atac, cracker-ul introduce manual sau mai probabil cu ajuotrul unui script sau software special combinaţii de caractere până când ghiceşte “cuvântul magic”. Aceste soft-uri folosesc dicţionare imense cu mii de cuvinte şi combinaţii de caractere. Folosind această metodă le este foarte uşor să ghicească o parolă cu o lungime mai mică decât una mai mare, deoarece este normal că astfel aplicaţia respectivă va fi nevoită să încerce mult mai multe combinaţii. Din acest motiv experţii în securitate recomandă ca parolele să aibă o lungime minimă obligatorie. (în cele mai întâlnite cazuri, această lungime este de minim 8 caractere).

“Creatorul” parolei

Adiminii de reţea poate ar fi tentaţi ca ei să fie cei ce stabilesc parolele, pentru ca mai apoi să le “livreze” către useri. Această metodă are avantajul asigurării că toate parolele îndeplinesc lungimea şi complexitatea cerută. Totuşi, această “strategie” are câteva mari minusuri (ce urât sună – “minus mare” ):

- încărcarea şi nebunia care ar fi pe capul adminilor care trebuie să organizeze şi să fie responsabili de schimbările parolelor, de “livrarea” lor către useri. Şi dacă mai presupunem şi că avem prezentă o regulă de schimbare a parolelor o dată la nu ştiu cât timp, este clar ce debandadă ar ieşi.
- userilor le-ar veni mult mai greu să memoreze o parolă aleasă de mine şi sigur ar fi tentaţi să noteze undeva pe peretele de lângă sau pe monitor parola. Şi asta în mod sigur nu e prea sigur
- dacă administratorii creează toate parolele, atunci ei ştiu parolele tuturor. Şi asta nu ştiu cât de mult le-ar conveni celorlalţi. Gândeşte-te cum s-ar simţi un manager dacă tu ai cunoaşte parola lui.

Aşadar cel mai bine ar fi ca userii să îşi aleagă parola singuri dar în limita unor parametri aleşi de noi (complexitate şi lungime). Astfel riscul ca ei să uite o parolă este mai mic şi nici nu riscăm să ne trezim cu vreun stick cu o parolă lipit pe cuptorul cu microunde.

Schimbarea parolei

Cea mai recomandată metodă ar fi ca userii să fie obligaţi să îşi schimbe parola la un interval fixat de către administratori sau după orice eveniment care ar putea să afecteze securitatea organizaţiei.
Sunt câteva ipoteze şi situaţii care trebuiesc evitate pe cât posibil atunci când vorbim despre schimbarea unei parole:

- parola nou setată să nu fie derivată din cea veche (de exemplu când schimbăm o parola de genul Zi4tR, nu ar fi o ok o parolă nouă Zi5tR);
- schimbarea de exemplu a parolei Fe4%Tr în Gr7%Hz, iar când este necesară din nou o schimbare a parolei să o schimbăm la loc în Fe4%Tr. Cred că aţi înţeles ideea, un fel de rollover permanent, ca o buclă între nişte parole favorite.
- setarea unei noi parole exact la fel cu cea veche. Nu râdeţi, oamenii încearcă aşa ceva.

Am ajuns la finalul acestui material. Haideţi să facem un mic rezumat al unor practici recomandbile atunci când vine vorba de setarea unei parole:

- lungimea minimă a unei parole să fie de 8 caractere;
- parolele nu ar trebui să fie cuvinte normale, “din dicţionar”;
- parolele ar trebui să fie un mixt între litere mari, mici, numere şi caractere speciale;
- parolele ar trebui să fie uşor de memorat pentru useri;
- este interzisă notarea parolelor pe orice suport extern sau intern necriptat;
- parolele trebuiesc schimbate periodic sau atunci când se suspectează o breşă de securitate;
- “schimbările doar de formă” ar trebui evitate prin policy-uri puternice enforsate de către admini.

Bun. Cam atât deocamdată. Vom continua data viitoare.

În orice companie serioasă trebuie să existe definită o politică de securitate. Aceasta nu trebuie să fie foarte complexă dar trebuie să definească foarte clar ce resurse ale reţelei pot fi accesate şi de către cine.

Politica de securitate ar trebui să fie gândită astfel încât să preîntâmpine găurile de securitate interne şi să fie de folos administratorilor de sistem şi userilor dintr-o companie.

Prevenirea găurilor de securitate intenţionate interne

Conform statisticilor pe care le găsiţi pe orice gard, daunele cele mai mari (bani, productivitate etc.) sunt produse din cauza acestor “scăpări” interne. De ce sunt ele mai periculoase decât atacurile externe? Păi uite de asta:

- “insiderii” ştiu în general mai multe despre companie, reţea, planul clădirii, procedurile interne, astfel încât ei pot face rele fără a fi detectaţi;
- “atacatorii interni” au un anume acces (indiferent de privilegiile pe care le conferă nivelul acestui acces) la infrastructura reţelei şi le este mai uşor să descopere parole sau găuri în sistemul de securitate;
- “domesticii” ştiu ce fel de informaţii sunt “deţinute” de reţea, astfel că ştiu exact acţiunile care vor cauza prejudicii maxime.

Strategia

Atunci când avem de a face cu cazurile descrise mai sus, ar trebui să avem discutat şi pus în practică un plan defensiv la fel ca şi cel din cazul poliţiei, şi anume “gândirea dacă/atunci”. Ce presupune acest training pe care trebuie să îl urmăm? Să luăm în calcul absolut orice scenariu şi să ne punem întrebări de genul: “Dacă se întâmplă acest incident, atunci ce putem face astfel încât să fim feriţi de urmări?”. Răspunsurile la aceste întrebări vor forma baza politicii de securitate.

Această tactică presupune ca noi să fim în stare să oferim răspunsuri detaliate la întrebările de mai sus, răspunsuri specifice şi nu generale. Trebuie să înţelegem foarte bine motivaţia atacatorului şi aspectele tehnice ale atacului propriu zis. Este foarte important de asemenea ca ariile de responsabilitate în tot acest proces să fie foarte clar şi bine stabilite.

Desemnarea responsabilităţii securităţii reţelei

Creearea unui plan de securitate bun presupune un efort mare. Politica de securitate va afecta toţi angajaţii de la toate nivelurile şi ar trebui ca să solicităm feedback-uri de la şefii de departamente inclusiv descrieri ale fişelor de post pentru cei care au nevoie de acces în reţea. Un plan bun ar fi formarea unui team din care să facă parte oameni din arii diferite ale organizaţiei care să fie implicaţi în creearea şi verificarea planului şi politicilor de securitate.

Acest “security team” ar putea fi format din:

- administratorul reţelei şi unul sau mai mulţi tehnicieni de reţea;
- security administrator-ul pe site-ul respectiv;
- şefi pe diferite departamente din companie;
- reprezentanţi ai diverselor grupuri de useri care vor fi afectaţi de aplicarea politicii de securitate;
- un membru al departamentului judiciar specialist în legislaţia ce vizează tehnologia informaţiei;
- un membru al departamentului financiar.

Responsabilitatea pentru implementarea şi enforsarea planului şi politicilor de securitate

Politicile de securitate, de obicei, sunt implementate de către administratorii de reţea şi membrii echipei IT. Dar, în unele cazuri cum ar fi intruziunea la nivel fizic, sunt implicaţi membrii ai echipei de pază…”badigarzii” adică.

Planul de securitate ar trebui să includă proceduri pentru raportarea incidentelor de securitate, atât interne cât şi modalităţi de lucru atunci când este nevoie de intervenţia Poliţiei sau a diverselor instituţii din exterior.

Una dintre cele mai importante caracteristici ale unei politici de securitate bună este gradul de enforsare al acesteia. Ce vreau să spun? Dacă să zicem că o politică de securitate poate fi enforsată prin intermediul tool-urilor de securitate, atunci ea este preferată. În cazul unei politici care poate fi implementată doar prin observaţii, mustrări sau avertismente împotriva angajaţilor care nu o respectă, trebuie să existe un document oficial care să stabilească foarte clar ce înseamnă “violare” sau încălcare a acestei politici cât şi sancţiunile care rezultă automat prin ignorarea regulilor de securitate.

Va urma…

Flood-ul cu ICMP (ping)

O grămadă de pachete ICMP echo request până când pici în cap. Cred că toată lumea a auzit de flood. Acestui gen de atac i se mai spune şi ping storm. Când vezi că luminiţele (nu de la capătul tunelului) modemului au luat-o razna, este foarte posibil să fii ţinta unei astfel de “agresiune”.

Atacul fraggle este tot un fel de ping flood, dar în ce sens? Băiatul rău foloseşte IP-ul tău (spoofing) şi trimite ping-uri înspre un întreg subnet să zicem. Ce vei primi la schimb? O grămadă de mesaje echo reply de la tot subnetul. Acest tip de atac a fost folosit în timpul războiului din Kosovo de către hackerii sârbi împotriva siturilor NATO.

Atacul Smurf

Este un fel de agresiune brute force şi foloseşte aceeaşi metodă a flood-ului prin ping, numai că de data asta adresa destinaţie din pachetele ICMP echo request este adresa de broadcast a reţelei. Ce face un router când primeşte astfel de pachete. Le trimite înspre toate hosturile pe care le “maschează”. Pot rezulta cantităţi mari de trafic şi congestionarea reţelei. Dar ce ziceţi că o să iasă dacă nebunii combină atacul fraggle cu cel Smurf? Exact, împuşcă doi iepuri dintr-un foc. Reţeaua destinaţie cât şi sursa sunt afectate.

Atacul Mail Bomb

Numele acestui tip de “armă” este edificator. Se trimit aşa de multe mailuri înspre un mail server, încât acesta se duce dracului iar userii legitimi nu mai pot beneficia de serviciile acestuia. Din acest tip de atac a derivat unul care presupune “înscrierea” mail serverului la o grămadă de mailing lists.

Scanning-ul şi spoofing-ul

Termenul de scanner, în contextul securităţii în IT, se referă la o aplicaţie software folosită de către hackeri pentru determinarea porturilor TCP sau UDP deschise pe un sistem. Dar şi adminii folosesc astfel de aplicaţii, pentru a putea detecta vulnerabilităţile pe sistemele proprii.

Cam atât despre atacurile informatice. Bineînţeles că este o descriere generală şi pur informativă a chestiilor pe care le putem păţi atunci când persoanele nepotrivite pun ochii pe un server, router sau orice altceva care are IP şi este conectat la Internet.

Ca şi oameni care lucrăm în acest domeniu (IT security, server administration, network administration etc.) trebuie să fim foarte bine puşi la punct atât cu tot ce le trece prin cap acestor băieţi “răzvrătiţi” cât şi cu modalităţile prin care ne putem apăra asset-urile şi resursele de care suntem responsabili.

Acest tip de atac face cam acelaşi lucru ca şi DoS-ul, numai că se foloseşte pentru atingerea scopului său de către nişte computere intermediare, numite agenţi, pe care rulează nişte aplicaţii (zombies) care au fost instalate pe calculatoare anterior. Hacker-ul (v-am zis că nu îmi place cuvântul ăsta, nu?) activează remote aceste “progrămele” în aşa fel încât toate aceste sisteme intermediare să lanseze atacul DDoS în acelaşi timp. Din cauză că atacul provine de la mai multe calculatoare care pot să fie răspândite prin toată lumea, originea reală a pericolului este foarte greu de găsit. Vă daţi seama aşadar că DDoS-ul este un pericol dublu. Pe lângă posibilitatea ca reţeaua ta să fie pusă în cap cu tot cu servere, mai există şi “opţiunea” ca sistemele tale să fie folosite pe post de agenţi intermediari.

Atacul DNS DoS

Acest tip de atac exploatează diferenţele de mărime între DNS querry(interogarea name server-ului) şi DNS response (răspunsul name server-ului). Atacatorul foloseşte serverele de DNS ca şi amplificatoare pentru a mări traficul de DNS. Cum funcţionează chestia asta? Persoana rea işi alege victima şi trimite în numele ei (IP spoofing) DNS querries către diferite servere de DNS. Servere de DNS răspund cu pachete mult mai mari decât cele din querries către ţintă, până când bandwidth-ul acesteia pur şi simplu devine 0. Rezulta un prea frumos atac DoS, incapacitatea targetului de a mai funcţiona la parametri normali.

Atacul SYN şi LAND

Atacurile de tip SYN (synchronization request) exploatează handshake-ul three-way al protocolului de transport TCP, procesul prin care se stabilişte o sesiune de comunicare între două computere. Deoarece TCP-ul este un protocol de transport connection-oriented, o sesiune sau un link de comunicare one-to-one, trebuie stabilite între cele două sisteme, înainte ca ele să poată comunica între ele. Ce este fapt acest handshake şi ce presupune el? Să zicem că un computer iniţiază comunicarea cu un server. Handshake-ul dintre cele două conţine următorii paşi:

1. Clientul trimite un segment SYN.
2. Serverul trimite înapoi un mesaj ACK şi un SYN, prin încare spune clientului că a primit SYN-ul lui, deasemena trimiţînd şi el la rândul lui SYN-ul propriu.
3. Clientul trimite şi el un ACK prin care îl anunţă pe server că a primit SYN-ul lui. După ce maşinile au înţeles request-urile reciproce SYN, handshake-ul este complet şi un link one-to-one între cele două este stabilit.

Ok. Acum că am explicat cât de cât ce înseamnă three-way handshake, să vorbim despre atacul ce exploatează acest proces. Să zicem că un atacator trimite un SYN înspre un server cu un IP sursă spoofed. Normal că server-ul va trimite înspre client un ACK/SYN. Dar cum IP-ul sursă nu este bun, serverul aşteaptă mult şi bine după ACK-ul clientului. El nu va veni. Serverul va pune atunci ACK/SYN-ul trimis către client într-un queue. Şi uite unde era problema. Acest queue poate stoca un număr limitat de mesaje. Când este full, toate SYN request-urile care vor urma vor fi ignorate. Voila! Atac reuşit! Serverul va ignora orice request venit din partea clienţilor legitimi.

Atacul LAND derivă din cel descris mai sus, cu un mic amendament. În acest caz, atacatorul în loc să trimită SYN-uri cu adrese IP care nu există, trimite pachete SYN cu adresa IP a clientului-target care este victima în acest caz. Nice, nu?

Atacul Ping of Death

Mai este cunoscut şi sub numele de large packet ping. Se creează un pachet IP mai mare decât valoarea admisă de specificaţiile protocolului IP, adică 65 536 bytes. Sistemul ţintă “se crăşuie” sau îşi dă un reboot frumos.

Atacul Teardrop

Acest atac are aceleaşi rezultate ca şi cel de sus, dar metoda este alta. Programul teardrop crează fragmente IP care fac parte dintr-un pachet IP. Problema este că aceste fragmente au nişte offset fields (rolul lor este de a indica porţiunea în bytes a acestor fragmente). De exemplu, câmpurile offset din două fragmente normale sunt ceva de genul:

fragment1: offset 100 – 300
fragment2: offset 301 – 600

Şi pentru că tot ziceam de problemă…ea apare atunci când aceste offset-uri se suprapun. Exemplu:

fragment1: offset 100 – 300
fragment2: offset 200 – 400

Ce se întâmplă când computerul ţintă încearcă să reasambleze aceste fragmente în pachetul IP original? Crash, freeze sau reboot.

Hai că deja ne-am lungit cam mult. Vom continua în următorul material.

Vă salut!

Mai nou orice tâmpiţel aleargă repede la magazin, îşi ia un router, îl bagă în priză, dă drumu’ la PPPoE şi gata. Devine ISP pentru încă două scări din blocul lui. Poţi să intri pe router, să-i filtrezi chiar MAC-ul lui, să-i tai netul…degeaba. Tâmpiţelul nu se prinde. Şi cum noi nu vrem să fim tâmpiţei, haideţi să punem aici câteva reguli pe care trebuie să le urmăm după ce ne achiziţionăm un router wireless.

1. Schimbă parola default a router-ului. Şi nu după două ore după ce l-ai băgat la curent. Imediat după prima logare. Setează o parolă formată dintr-un mix de litere upper şi lowercase, cifre şi simboluri speciale.

2. Activează criptarea WiFi. Majoritatea routerelor vin fără această criptare activată. Care este rolul acestui feature? Pur şi simplu “criptează”, după cum îi spune şi numele, datele transmise între notebook şi router. Eu îţi recomand să foloseşti ca şi metodă de criptare WPA2, asta dacă îţi permite hardware-ul. Dacă nu, foloseşte WPA. Setează-ţi un shared key greu de ghicit şi cât de cât “complicat”.

3. Schimbă SSID-ul router-ului. De obicei, producătorii de acest gen de echipamente asignează acelaşi SSID pentru fiecare device scos pe piaţă. Sfatul meu este să îl schimbi…doar nu vrei să laşi impresia unei persoane rău intenţionate că tu ai lăsat router-ul cu setările default.

4. Activează şi configurează feature-ul MAC Addressing Filter. Fiecare placă de reţea wireless are un MAC unic. Am vorbit despre această adresă de Layer 2 în materialele din categoria Networking. În funcţie de acest “parametru” poţi seta o listă de laptop-uri care să aibă acces la reţeaua ta wireless. Şi când spun listă de laptop-uri mă refer la lista de MAC-uri ale respectivelor notebook-uri.

5. Schimbă adresa IP default a router-ului. De exemplu, routerele Linksys vin cu adresa 192.168.1.1. Schimbă adresa asta. În funcţie de ce adresă IP vei asigna router-ului şi pool-ul DHCP se va modifica în concordanţă.

6. Foloseşte un firewall…sau două…sau trei. Un router wireless home based serios ar trebui să vină şi cu un firewall încorporat. Să fie activat. La fel şi firewall-ul laptop-ului. Ţine-l activat. Încă o chestie…foloseşte HTTPS-ul pentru interfaţa web de management a router-ului, şi dezactivează accesul remote din Internet pe router. Dar dacă trebuie totuşi să laşi accesul remote activat schimbă portul default din 8080 în altceva.

7. Activează şi monitorizează logs-urile pentru accesul în reţeaua ta wireless. Este bine să verifici cât mai des aceste logs. Dacă observi clienţi necunoscuţi conectaţi la reţeaua ta, schimbă imediat setările pentru WPA2 sau setările metodei de criptare folosite.

8. Nu face broadcast la reţeaua ta wireless în eter. Nu trebuie să ştie tot cartierul că ţi-ai luat tu router. Crede-mă că este mai bine să fii “timid” în acest caz.

9. Opreşte router-ul atunci când pleci în vacanţă, în delegaţie etc.

Astea nu sunt decât nişte sfaturi care te vor păzi de “amatori”. Nu ne-am referit la cei “pro” care pot să îţi facă viaţa un calvar. Încă ceva…Încearcă să schimbi periodic parola router-ului şi limitează numărul PC-urilor şi laptop-urilor care pot lua IP prin DHCP la numărul device-urilor din casa ta.

Este cel de-al doilea out-of-cycle patch livrat în ultimele două luni. Primul “a avut lansarea” prin luna octombrie şi remedia o vulnerabilitate critică pentru serviciul de Windows Server.

Şi totuşi…încă de ieri o companie software din Anglia, Prevx, a scos pe piaţă un fix care să remedieze această vulnerabilitate a IE-ului. Utilitarul produs de englezi permite userilor să dezactiveze componentele afectate din browser-ul vulnerabil şi aparent te-ar feri de pericol. Pentru cei care sunt curioşi, soluţia cu care vine Prevx o găsiţi aici: http://www.prevx.com/ie7.asp . Nu uitaţi să vă asiguraţi că primiţi update-urile automate de la Microsoft, implicit şi fix-ul oficial despre care am vorbit mai sus.

1. Insiderii rău intenţionaţi – angajaţi sau foşti angajaţi care sunt puşi pe făcut rele.
2. Malware – software-ul maliţios, adică viruşi, troieni, worms. Aici intră şi cei mai mari distribuitori de malware, adică web site-urile care hostează astfel de aplicaţii.
3. Vulnerabilităţile dintr-un sistem hardware sau o aplicaţie software.
4. Social engineering – am vorbit despre aceste tipuri de atacuri în ultimul material din categoria IT Security.
5. Greşeli ale angajaţilor – neprofesionalism sau training deficitar.
6. Bugete reduse – echipamentele şi aplicaţiile software care să ne ferească de breşe în securitate vor fi achiziţionate în conformitate cu “criza” asta.
7. Specialiştii care lucrează remote – folosirea de sisteme care nu sunt la fel de “puse la punct” ca cele de pe care se poate lucra on-site.
8. Providerii intermediari de servicii IT – în goana după servicii IT cât mai ieftine, companiile sunt în pericol de a încheia contracte cu provideri care nu sunt chiar în regulă.
9. Folosirea software-ului “dat jos” prin P2P – deseori userii îşi downloadează pe desktopurile aferente tot felul de progrămele care ulterior pot fi fatale.

Mai multe despre acest comunicat de presă puteţi citi pe site-ul lor.