Menu

Введение в ИБ и защиту сетей

В настоящее время тема ИБ стала очень модной и из некоторых источников есть прогноз, что в мире IT специалисты по ИБ станут скоро востребованнее, чем программисты. Для тех, кто не знает ИБИнформационная Безопасность. Имея знания о сетях связи можно ли стать специалистом по ИБ? Постараемся ответить.

Источник: https://habr.com/ru/companies/magnus-tech/articles/782022/

Что такое безопасность? Это очень обширное понятие, которое словами в полной мере не описать, и это все равно, что спросить

Что такое любовь?

 

 

 

Или какой запах облаков?

Что такое безопасность?

Из разных источников можно найти множество определений ИБ

ИБ – совокупность методов, инструментов и процессов, которые используются для защиты информации от несанкционированного доступа, утечки, изменения и уничтожения.

ИБ – это одна из характеристик информационной системы, т.е. информационная система на определенный момент
времени обладает определенным состоянием защищенности.

ИБ – это дисциплина управления рисками, задачей которой является управление стоимостью информационного риска для бизнеса.

ИБ – это предотвращение несанкционированного доступа, использования, раскрытия, нарушения целостности, модификации, инспектирования, записи или уничтожения информации

ISO/IEC 27000:2009

ИБ — это такое состояние всех компонент системы, при котором обеспечивается защита информации от возможных угроз на требуемом уровне. Компьютерные системы, в которых обеспечивается безопасность информации, называются защищенными.

Как отмечено в последнем определении ИБ – это состояние. При этом есть специалисты, которые рассматривают ИБ как результат установления средств защиты. Если они установлены, то мы получили защищенную систему и можно больше ничего не делать.

Так вот первое, что должен усвоить любой начинающий безопасник:
 
Информационная безопасность – это процесс, а не результат.

Это постоянная «борьба», а не разовая акция. Злоумышленники все время придумывают новые способы атак и обходы существующих средств защиты, находят уязвимости в программном обеспечении. Специалистам по ИБ постоянно надо узнавать про эти новые способы атак, выстраивать новые методы защиты  и если мы специалисты по ИБ, то мы как будто играем с хитрыми и изобретательными хакерами в шахматы, обмениваясь ходами.

Между хакерами и защитниками постоянно идет игра на интеллектуальном уровне, кто кого обыграет. Найдет ли хакер лозейки в защищаемых системах, обеспечил ли «безопасник» защиту в системе от определенных угроз. Но это если говорить об организациях с высоким уровнем востребованности в ИБ и специалистов безопасности высокого уровня. Или если речь идет про специалистов, разрабатывающих защитные системы.

На практике существует очень много компаний среднего и малого масштаба, которые не заинтересованы тратить большие средства на ИБ. Поэтому функции ИБ часто перекладываются на технический отдел организации. Конечно не специалисты ИБ вряд ли смогут построить полноценную эшелонную защиту системы, не имея навыков и средств, однако важно понимать, что множество атак совершается и непрофессиональными  злоумышленниками на базовом уровне. Поэтому базовые системы защиты в любом случае выстроить техническому отделу необходимо (грамотно настроить сетевое оборудование, межсетевой экран, антивирусник и т.д.). Есть правило: даже не самое лучшее оборудование, но грамотно настроенное дает большую эффективность, чем некорректно настроенные дорогие специализированные устройства.

ИБ включается в себя не только обеспечение безопасности информации в компьютерных системах, реализующих хранение и обработку информации, но и обеспечение безопасности в рамках передачи информации от одного компьютера к другому, т.е. построение защищенных сетей.

Защита сетевой инфраструктуры является одной из самых важных частей ИБ, поскольку у хакера обычно нет возможности чисто физически оказаться рядом с взламываемой системой, поэтому атаки и внедрение вредоносного ПО он осуществляет чаще всего через сеть.

Помимо самого понятия ИБ еще три важных определения, если речь идет про ИБ:

1. Угроза безопасности — потенциально возможное
происшествие, которое может оказать воздействие на информацию в системе.

2. Уязвимость — некая неудачная характеристика
системы, которая делает возможным возникновение угрозы.

3. Атака — действие по использованию уязвимости компьютерной системы; атака — это реализация угрозы. Угроза конфиденциальности — угроза раскрытия
информации.

Покажем на примере все эти три понятия. Рассмотрим интересный пример угрозы безопасности в корпоративной сети любой организации из-за уязвимостей систем связи и протоколов.  

В любой локальной сети злоумышленник может выдавать себя за целевой хост, используя его MAC-адрес. Таким образом, кадры, предназначенные для целевого хоста, попадают на хост злоумышленника. Эта атака называется MACspoofing.

 

Спуфинг или спуфинг-атака переводится с англ. как «подмена», в контексте сетевой безопасности – ситуация, в которой один человек или программа успешно маскируется под другую путём фальсификации данных, в результате чего отправляемые пользователем данные попадают к злоумышленнику.

3

Архитектура защищенной сети в базовой форме

Атаки на разных уровнях модели OSI

Рассматриваемая для примера атаки MAC-spoofing схема сети

Для пониманию сути рассмотрим реализацию атаки MACspoofing в Cisco Packet Tracer. На рисунке приведена упрощенная схема сети, участвуют: узел – злоумышленник (Hacker), узел – отправитель (Sender), и принимающий информацию узел – Legetim
 


Злоумышленник подключился к сети со своим ноутбуком или использует рабочий компьютер организации. Может быть он сам является работником организации. На маршрутизаторе реализован DHCP сервер, который раздает адреса в пределах подсети 192.168.0.0 255.255.255.0.

Для спуфинг-атаки злоумышленнику надо узнать MAC-адрес жертвы. Если пользуется рабочим компьютером организации, он может сразу посмотреть на компьютере ARP таблицу и зная IP адрес жертвы найти MAC-адрес. 

 

Либо, если подключился к сети со своего компьютера, он просто пользуется утилитой «ping», пингует компьютер жертвы и тогда в ARP таблицу заносится MAC-адрес жертвы. Процесс вычисления MAC-адреса жертвы по ARP таблице после выполнения команды «ping» приведен на рисунке.

Напомним, что коммутатор, анализируя MAC-адреса, понимает на какие именно выходные порты необходимо направить те или иные пакеты и получается осуществляет коммутацию всех устройств на канальном уровне. Сейчас с маршрутизатора Router 2 на схеме можно пропинговать все компьютеры и убедиться, что пакеты (ICMP ответы в случае ping) идут как положено.

6

Сейчас все адреса пингуются, значит трафик идет на все адреса

Если хакер, зная MAC-адрес жертвы, меняет свой адрес на данный адрес, то весь трафик, который предназначен жертве, может идти с коммутатора хакеру. Процесс подмены MAC адреса приведен на рисунке.

Если пропинговать все компьютеры с маршрутизатора Router 2, то компьютер жертвы не будет пинговаться, так как все пакеты от компьютера жертвы сейчас уходят на компьютер хакера. На Рисунке представлена иллюстрация вышеописанной ситуации.

8

Если SENDER отправляет пакеты другому легитимному компьютеру в сети LEGETIM, то как видно из рисунков HACKER может их перехватить за счет подмены своего MAC-адреса на MAC-адрес компьютера LEGETIM. В результате данные от SENDER отправляются коммутатором к хакеру. Это простая особенность работы сетей, которую злоумышленник использует хитро в своих целях.

e1 - 0000
e1 - 0001
e1 - 0002
e1 - 0003
e1 - 0004
e1 - 0005
e1 - 0006 — копия
e1 - 0006
e1 - 0007
e1 - 0008
e1 - 0009
e1 - 0010
e1 - 0011
Назад
Далее

Хакер за счет MAC-спуфинга может перехватывать также отправляемые данные пользователем LEGETIM во внешнюю сеть интернет. Например вы авторизуетесь на сайте яндекс диск отправляете логин и пароль, или подключаетесь к web-версии Telegram и пересылаете файлы. Для этого HACKER может подменить свой MAC-адрес на MAC-адрес шлюза, т. е. MAC-адрес порта маршрутизатора Router2. Как видно на рисунке пользователь отправляет данные внешнему web-серверу, но коммутатором они пересылаются хакеру. Далее считав или может быть изменив данные, хакер может передать их якобы от вашего имени серверу, тогда получится схема, которая в ИБ называется MAN-in-the-middle.

h1 - 0000
h1 - 0001
h1 - 0002
h1 - 0003
h1 - 0004
h1 - 0005
Назад
Далее

      Важно понимать! Сети связи и протоколы придумывались в те времена, когда тема ИБ не была так актуальна, поэтому в протоколах связи много «дыр» в плане безопасности информации. Почти все популярные сегодня протоколы (TCP, IP, ARP, ICMP, STP, OSPF, HTTP и др.) в первую очередь разрабатывались с целью эффективной передачи данных, а не защиты информации. Поэтому не стоит удивляться в их несовершенстве, вопросы ИБ в них не продуманы, так как цели такой перед разработчиками и не стояло. Что остается делать в такой ситуации, так это закрывать дыры дополнительными надстройками, чем и занимаются специалисты по ИБ для каждой отдельной корпоративной сети, учитывая ее особенности и уникальные условия. Например, атаки MAC-спуфинг можно избежать, если в сети организации на коммутаторах настроить port security.

Пример настройки port security на одном из портов коммутатора

Switch(config)#interface range f0/2-4

Switch(config-if-range)#sw

Switch(config-if-range)#switchport mode access

Switch(config-if-range)#switchport port-security

Switch(config-if-range)#switchport port-security mac-address sticky

Функционал Port Security напрямую связан с таблицей MAC-адресов коммутатора и работает с ней. Port Security также защищает от атаки переполнения CAM таблицы, ведь если злоумышленник зафлудит коммутатор Ethernet-кадрами с разными Source MAC-адресами, устройство может стать источником Unicast трафика, то есть начать рассылать все данные на все свои порты. Тогда злоумышленник сможет
перехватывать все данные от всех устройств.

В плане построения защищенной сети есть еще много всего интересного. Помимо рассмотренной атаки MACspoofing, возможны также атаки ARPspoofing, IPspoofing, DHCPspoofing. Все они представляют собой угрозу безопасности и реализуются из-за существующих уязвимостей обозначаемых протоколов.

Если интересна тема ИБ можно поизучать уязвимости ICMP, STP, ARP и других протоколов и разбираясь в этом вы лучше поймете суть работы каждого протокола, поймаете 2-х зайцев сразу.

images

Рассмотренная ситуация интересна и с точки зрения работы систем связи и сточки зрения информационной безопасности. Получается, чтобы понимать и исключать различного рода уязвимости в сети связи необходимо сначала хорошо изучить принципы работы сетей. Таким образом, специалист ИБ для построения защищенных сетей должен являться специалистом сетей связи в сочетании со  знаниями по ИБ.

 

Эшелонированная защита

Можно сделать вывод, что оказавшись в корпоративной сети завербованным, легитимный пользователь легко превращается в злоумышленника, способного перехватывать и, в последствии, анализировать трафик жертвы, в роли которой может выступать любой компьютер. Как один из примеров защиты простая, но в то же время реально работающая технология port securitу способна эффективно противостоять этому и залатать «дыры» в безопасности сети.