A WPA van soron: a 802.1i szabvány megalkotói meglehetősen magasra dobták a labdát biztonsági szempontból, ugyanis tanultak a WEP hibáiból: per-packet keying van, minden csomagot külön kulccsal titkosítunk, azonkívül kettéválasztották a hitelesítést a csomagtitkosítástól. A WPA2-ben megkövetelik a TKIP mellett az AES titkosítás használatát is.
A tudomány jelen állása szerint több módon is lehet támadni támadni a technológiát:
Az Achilles-sarok a WPA tekintetében a négylépéses kulcscsere-protokoll, ami akkor zajlik le, amikor a kliens csatlakozik a hálózathoz. Ha a támadó elcsípi ezt a négy csomagot, szótárral-rainbow-táblával megpróbálhatja feltörni, és ha kellően jó a szótára, megszerezheti a passphrase-t. Meglehetősen egyszerű ilyet előidézni: a támadó deauthentikációs kéréseket tud kiabálni bármely kliens nevében, ez okosabb klienseknél reasszociációt eredményez.
A WPA-ra is alkalmazható a ChopChop-nak nevezett támadás (úgy-ahogy), erről bővebb leírás itt - tekintve, hogy kulcsot ez sem talál meg és csak ARP-kereteket lehet injektálni a hálózatba nagyon sok küzdelem árán, gyakorlati tesztelés során sok hasznát nem vesszük - még...
Felállítunk egy hamis AP-t, amihez megpróbál authentikálni a felhasználó: a cowpatty legújabb verziója a négylépéses kulcscsere első két üzenetét is képes szótárral támadni. Ez azért nagyon hasznos, mert a Windows a wifi üzembe helyezésekor elkezd keresni a megbízható hálózatok után, ezt a támadó meghallja, és behazudja saját magát a keresett hálózatok AP-jának: a felhasználó eljut a második lépéséig a handshake-nek, a támadó pedig már izzítja is a harmincgigás rainbow-tábláit.
Végezetül néhány szó a szótáralapú támadásokról. A legtöbb hálózatban a passphrase nem közvetlenül szótári szó, hanem inkább szótári szavakból képzett string. Vannak klasszikus szabályok: évszám a szó elé-mögé, esetleg az l lecserélése 1-re stb: ilyen "erős" jelszavakat a john the ripperrel viszonylag egyszerűen lehet generálni szólista alapján, azonban némi mértéktartás szükséges ezen a téren.
Vegyünk például egy négymillió szóból álló listát, ez már elég nagynak számít: jó negyvenkét mega a mérete. Engedjük át a john the ripperen, kapcsoljunk be minden keverőszabályt, és hipp-hopp, két nagyságrendet ugrott a listánk mérete (a fenti 42 megából történő generálásnál az 1882 megás méret elérésekor untam meg a folyamatot, ekkor 71 millió szóból állt) . Próbáljuk meg felhasználni: a saját laptopom 400 kulcsot tud kipróbálni másodpercenként, ez egy nap alatt 30 millió szó: két napig tartana végigpróbálgatni a fenti, hevenyészett szótárt. Sok.
A fenti eszmefuttatás folyományaként kijelenthető, hogy a brute-force WPA-törés, bár technikailag lehetséges, nem valószerű: csak olyan számból, ami öt és tíz közötti karakterszámú és nem nullával kezdődik, O(10^10) darab van. Napi 30M próbával nagyságrendileg száz nap alatt futnának végig... és ezek csak a számok, amivel az "1957635241"-jellegű kulcsokat nézzük végig.
Megoldás gyakran kell megváltoztatni az SSID-t, és WPA2-t használni, erős passphrase-zel.
ARP
A nagy öreg. Address Resolution Protocolt jelent - ennek használatával kapcsolják össze a hálózati végpontok és a switchek a logikai IP-címeket a hálókártyák fizikai MAC-címeivel. Az ARP klasszikus példája az internet hőskorában megalkotott, feltétlen és teljes bizalmon alapuló protokolloknak: működése során egyrészt meg lehet kérdezni broadcastban egy IP-címhez tartozó MAC-címet. Lehet gratuitous, azaz kéretlen ARP válaszokat is küldeni: broadcastban megy, és mindenki, aki hallótávolságon (azaz ugyanazon a broadcast domainen) belül lakik, az eltárolja a válaszban kapott információkat.
Ezzel pedig remek játékokat lehet játszani, lévén a switchek annyit figyelnek, hogy melyik lábukon melyik MAC-cím lakik, és a hozzájuk érkező frame-ek destination MAC mezőjének figyelése alapján eldöntik, melyik lábukra kell továbbküldeni őket. A támadás ARP poisoning néven vált híressé: a gonosz támadó (M) keres két, egymással kommunikáló hosztot (A-t és B-t), majd elhiteti A-val, hogy B IP-címe megegyezik M MAC-címével, illetve B-vel, hogy A IP-címéhez is M MAC-címe tartozik. Bingo, a switch az A és B közötti adatforgalmat M felé irányítja.
Az ARP poisoningről túl sokat nem is mondanánk többet. Jelezni elég egyszerű: A és B ott foghat gyanút, hogy ugyanahoz a MAC-címhez a lokális ARP cache-ben két IP is tartozik, az arpwatch okos kis eszköze pont ezt figyeli. Ami a hálózati védekezést illeti, a napokban találkoztunk egy nagyon cseles megoldással: a legtöbb eszköz, amivel véghez lehet vinni ARP poisoninget, előzetesen végigtapogatja a lokális subnetet MAC/IP párok után: ez a művelet meglehetősen pontosan érzékelhető. A kérdéses hálózat erre azzal reagált, hogy öt percre kikapcsolta a feszültséget a hálókábelben.
CDP
Cisco Discovery Protocol. Nyilvánvalóan nem közösségi eredetű protokoll, arra szolgál, hogy a Hidas Gyártó eszközei feltérképezzék egymást. A CDP üzenetek alapból broadcastban mennek a hálózaton: az auditor csatlakozik a hálózathoz és hallgatózik, mire egyszer csak ilyenek hullanak az ölébe, mint például:
Source MAC 00:21:AF:4C:DE:6C
Destination MAC 01:00:0C:CC:CC:CC
Version 02
TTL B4
Checksum D023
DevID nagyswitch.nagyceg.hu
Software version Cisco IOS Software
Platform cisco WS-C6509-E
Addresses 172.021.160.254
Port ID GigabitEthernet4/46
Capabilities 00000029
IP Prefix/Gateway
VTP Domain GIGAOFFISZ
Native VLAN 01AB
Duplex01
Trust Bitmap 00
Untrusted CoS 00
Management Addr 172.021.160.254
Kezdőknek eláruljuk, hogy a fenti üzenetből megtudjuk a kérdéses eszköz MAC-címét, gyártóját (Cisco), a menedzsment interfész IP-címét és a VTP domaint.
Támadási fronton CDP-vel egészen pofás virtuális eszközparkot varázsolhatunk az üzemeltetők elé, akik szinte biztosan meglepett arcot vágnak, amikor a CiscoWorksben egyszer csak manifesztálódik a hajnali ködből nyolc-tíz gigabites hálózati szekrény.
DTP
Dynamic Trunking Protocol. Aki kihagyta volna, most fussa át az előző leckét, amelyben a VLAN hívószóra leírtuk, mi a különbség az access portok és a trunköltek között.
Mindenki visszajött? Akkor eláruljuk ismét, hogy a DTP arra jó, hogy a switchek egymás között le tudják rendezni, hogy hogy akarják kezelni a trönkölt forgalmat. Ha a switchen engedélyezett a portunkban a DTP (illetve nincs explicite letiltva), akkor rá lehet beszélni a switchünket arra, hogy kapcsolja trönkké. Ezután pedig taggeléssel bármelyikbe belebeszélhetünk.
HSRP és VRRP
Hot Stand-by Redundancy Protocol és Virtual Router Redundancy Protocol: arra jók, hogy transzparens módon teszik lehetővé több router összekapcsolását a default gw feladataira. Ha az egyik router kiesik, jön helyette egy másik, a felhasználó pedig ebből semmit sem vesz észre.
Közös vonása a két protokollnak az, hogy nem használnak alapkiépítésben sem hitelesítést, sem titkosítást, valamint mindkettő "bizalmi" alapokra helyezi a prioritás megválasztását a backup routerek között. A támadó ezáltal könnyen fel tud kerülni a legmagasabb prioritású backup router szerepére.
Közös megakasztási lehetőség az, hogy a támadó erővel megválasztatja magát a legmagasabb prioritású backup routernek, a kettes pályán pedig valahogyan (ízlés szerint) DoS-olja az igazi gw-t. Innét már csak egy lépés az, amikor egyszer csak ő lesz az átjáró - ez pedig klasszikus MiTM, illetve DoS.
Auditálási szempontból roppant hálás dolog VRRP/HSRP után vadászni, ugyanis többnyire pár másodpercenként jön egy ilyen keret a hálózaton, a Wireshark élénkpiros színnel jelöli a VRRP kereteket, ezáltal a reggeli kávé előtt is könnyen szembe ötlik a használata.
RSTP
Az RSTP az ARP mellett a hálózati protokollok másik nagy öregje: aki csak kicsit is foglalkozik hálózati biztonsággal, legalább egyszer találkozott vele. Az RSTP nagyon fontos a hálózat túlélésének és megbízható működésének szempontjából: ez biztosítja, hogy a többnyire meglehetős fizikai redundanciával felépített hálózatokban minimális súlyú (költségű) feszítőfa tudjon kialakulni.
Az RSTP alapú támadások meglehetősen egy sémára épülnek: a támadó úgy küld a hálózatra RSTP kereteket, hogy átalakítsa a jelenlegi fát. A dolog csúcsa az, amikor a támadó a fa gyökere lesz: ekkor minden forgalom rajta megy át - laptoppal nagy hálózatban eléggé nyögős a történet, ugyanis a legtöbb laptop viszonylag nehezen viseli, amikor egyszer csak rázúdul négy-öt gigabitnyi adatforgalom. Ízlés szerint nem feltétlenül szükséges beszállni a fába: nagyon egyszerűen meg lehet akasztani egy nagy hálózatot azzal is, ha a támadó összezavarja a fát.
VoIP biztonság 1. - Bevezetés
A VoIP az, ami kihozta a switcheket az alagsorból. Alapvetően arról van ugye szó, hogy az adatátviteli hálózatba valamilyen módon hangot eresztünk, a túlvégen pedig hanggá alakítva a hálózati forgalmat gyakorlatilag feltaláltuk a madzaggal összekötött konzervdobozok új generációját.
A VoIP melletti érvként szokták azt felhozni, hogy költséget lehet csökkenteni a bevezetésével - válság sújtotta időkben ez komoly érv. A másik oldalról kevesebb szó esik: a VoIP bevezetésével jóval komolyabb hálózati infrastruktúrára, képzettebb üzemeltetőkre van szükség, ami nagy hálózatok esetében már nem kis költséget eredményez.
A VoIP a biztonságot illetően rengeteg hendikeppel indul. Első körben ott van kapásból az, hogy az IP-t nem "Vo"-ra találták ki: a TCP/IP protokollstack kialakításakor nem volt szempont a valósidejű kommunikáció igénye, ami létfontosságú a VoIP használatakor. Erre a problémára hálózati eszközök révén próbálnak megoldást adni a gyártók: visszás helyzet az, hogy egy "converged network"-ön (amelynek a nevéből fakadóan együtt kéne vinnie a hangot a többi adattal) mindenféle Layer2-es és Layer3-as technikákkal próbálják mégis elkülöníteni a kétféle forgalmat, ugyanis a valósidejű kommunikáció szempontjából egy-két elvesztett csomag nem probléma, viszont a késleltetést nem viseli el az üzemszerű használat - pont ellentétben a hagyományos adatforgalommal.
Másrészt a VoIP ott is vérzik, hogy számtalan jelzés- és hangátviteli protokoll használható hangtovábbításra, viszont ezek egy része jogilag zárt (pl. a Skype forgalma).
Harmadrészt ott akkor is problémába ütközünk, amikor "hagyományos" hálózatiforgalom-szabályozó eszközökön próbáljuk keresztülvinni a hangforgalmat: mindkét elterjedt protokoll külön csatornát használ a jelzések átvitelére, mint a hangéra, és ezen forgalom sok esetben kevéssé rögzített TCP portok között zajlik, emiatt nehezen tűzfalazható. A NAT-olás meg végképp megöli a dolog biztonságát, ugyanis a H.323 és a SIP nem, vagy csak nagyon nehezen titkosítható NAT esetén.
Összegezve azt mondhatjuk, hogy a VoIP - mivel IP fölött zajlik - ötvözi a hagyományos TCP/IP protokollstack sebezhetőségeit újabbakkal. A klasszikus ARP poisoning, floodolás, ICMP-üzenetinjektálás, sniffelés satöbbi remekül működik a legtöbb VoIP hálózatban, cserébe a SIP önmagában is hoz újabb támadási vektorokat a képbe.
A tűzfal csodálatos találmány. Rátelepíti az ember az oprendszerre, beállítja és máris úgy érzi, megmenekült mindentől, ami az internet világában fenyegeti. Miért nem szeretjük mégsem a személyi tűzfalakat?
Valódi támadásokat nem nagyon fognak meg, cserébe hamis biztonságérzetet adnak a felhasználónak. A legnagyobb veszélyt a felhasználóra a trójaiak, a phishing, a drive-by exploitok és a célpontjukban ülő, sechole-okkal telepakolt böngészők jelentik. Ezek ellen tűzfallal nem nagyon lehet védekezni - van viszont egy jóval erősebb érvünk is a sz. tűzfalak ellen: az, hogy valódi támadásokat sem nagyon fognak meg. Kis házi tesztlaborunkban egyszer öt ingyenes és fizetős, meglehetősen sokat reklámozott integrált internetvédelmi megoldást teszteltünk: az okosan beállított nmap-scant egyik sem fogta meg. Igaz, azzal is lehet vitatkozni, hogy a sz.t. meg kellene-e, hogy fogja a portscant - az viszont, hogy egy patcheletlen SMB-hibán keresztül metasploittal bemenve, majd local system shellt kapva a * Security semmit sem szól, az már erős.
Hihetetlenül idegesítő, hogy félpercenként feldob egy dialógust, aminél dönteni kell. Nem kommentálnám bővebben a dolgot: mindenki találkozott már a jelenséggel.
Nagyon nehézkessé teszik a konfigurációt, rengeteg hibalehetőséggel. Ismét csak utalnánk arra a fura érzésre, ami akkor keríti hatalmába az embert, amikor a kis otthoni hálózatán szeretné összelőni, hogy az A gép lássa a B gép megosztásait. Az ember küzd, de csak pingetni lehet az A gépet a B-ről (visszafelé már nem), de az SMB csak nem akar működni.
Forensic vizsgálatok 6. - Szteganográfia
A betörési tesztelés mellett a nyomelemző munkák területe az a témakör, amelyről sok szakmabeli is csak homályos képpel rendelkezik, holott meglehetősen szerteágazó és szövevényes világról van szó. Több posztból álló sorozatunkban igyekszünk felvillantani néhány érdekesebb momentumot nyomelemzős munkáinkról.
A szteganográfia a maszkírozás művészete: olyan módszereket jelöl a tudományág, amivel adatot lehet rejteni olyan helyekre, ahol "normális" esetben nem (vagy nem úgy) szokott adat lenni: képek, mp3-ak, videók, szöveg, akármi. Az adatrejtés használata egy nyilvánvaló előnnyel bír a hagyományos titkosítások használatával szemben: nevezetesen azzal, hogy nem árulkodik ránézésre a média arról, hogy titkos (feltehetőleg fontos) üzenetet tartalmaz.
A szteganográfiai módszerek kétféle megközelítést alkalmaznak:
azok a módszerek, amikor nem végzünk előzetes titkosítást az elrejteni kívánt adatokon,
azok a módszerek, amikor igen.
Pusztán technológiai szempontból nézve a módszereknek mindegy, hogy melyiket választjuk, viszont detektálhatóság felől nézve a dolgot már messze nem egyenértékű a kettő: a jó titkosítás zajszerűvé teszi az enkriptált adatokat, ezáltal ezeket könnyebb belerejteni "zajként" pl. képekbe. Arról nem is beszélve, hogy ha valaki kinyeri a belerejtett adatokat a médiából, nem jut egyből hozzá az elrejtett információhoz is.
Elrejtett információk visszarejtéséhez tipikusan három (algoritmustól függően négy) dologra van szükségünk:
A rejtett adatokat tartalmazó média (kép, hang, szöveg, bármi)
Az adatrejtési algoritmus
A jelszó, amit a titkosításhoz alkalmaztak
Egyes algoritmusok esetén az eredeti média is kellhet (tehát amibe rejtik az adatokat)
A helyzet sajnos erősen egyenlőtlen: az adatrejtők többnyire előnyben vannak az adatkeresőkkel szemben - az esetek nagy részében fel sem merül, hogy valamilyen információ szteganográfiai módszerekkel található meg pl. egy több tízezer képet tartalmazó, elkobzott merevlemezen.
Mindazonáltal érdemes egy aranyszabályt betartani: csak minimális méretű adatot szabad szteganográfiával rejteni, ugyanis minél többet szeretnénk akármibe beletuszkolni, egyre nyilvánvalóbb lesz az adatrejtés ténye. Sok tool jelez is, ha túlzottan nagyméretű adatot szeretnénk belerejteni kedvenc képünkbe.
Fizikai szteganográfia
A legősibb. Az első dokumentált példája a szteganográfiának a kétrétegű viasztábla volt, de Hérdotosz megemlékezik egy történetről, amikor egy futár haját leborotválták, a fejbőrére tetoválták a fontos üzenetet, és amikor ismét megnőtt a fiatalember haja, elküldték a címzetthez, aki ismételt leborotválás után megkapta az igazi üzenetet.
Ugyanebbe a kategóriába tartozik a "mikropont", amivel a második világháború alatt juttattak ki német kémek közönséges postai úton információkat. A mikropont lényege az, hogy egy kedves levélben, amelyben Onkel Michael hogyléte felől érdeklődünk, az egyik mondatvégi pont egy kicsivel nagyobb, mint a többi - ebben a pontban található erős kicsinyítéssel a kicsempészni kívánt információ.
Biztosan állítható, hogy ebben a műfajban születtek a legmeghökkentőbb szteganográfiai feladatbeadások: személyes kedvencem az a módszer, amikor a levelezőlapra ragasztott bélyeg hátuljára írjuk meg a lényegi üzenetet.
Adatrejtés szövegben
Aki látta a Con Air című filmet, pontosan tudja, hogy mire gondolunk: Cyrus cellájában találtak a börtönőrök egy levelet, amire rá kellett illeszteni Michelangelo Utolsó vacsora című képét úgy, hogy Jézus és az apostolok szemeit kivágták a képből, így az eredeti levél bizonyos betűit összeolvasva kapták meg a találkahely nevét.
Hasonló elven működik a "Biblia kódja" is: az eredeti, héber nyelvű szöveg egymástól egyenlő távolságra lévő betűit összeolvasva különféle titkos üzeneteket fedhetünk fel. A dolog meglepő, ijesztő, viszont az elmélet több bírálója bemutatott hasonló mintázatokat egyéb könyvekben is, pl. a Moby Dickben (a történet igazi csattanója az, hogy Michael Drosnin, az eredeti Biblia kódja-könyv szerzője mondotta azt, hogy tessék csak ilyen mintázatokat keresni szépirodalmi könyvekben, pl. a Moby Dickben - tessék, mondták a bírálók és megjövendölték Martin Luther King meggyilkolását a Moby Dickből). A "Biblia-kód" elleni legerősebb csapást John Safran ausztrál hivatásos televíziós ateista (már ha létezik ez a műfaj) vitte véghez, amikor megjövendölte a szeptember 11-ei támadást Vanilla Ice dalszövegekből (http://en.wikipedia.org/wiki/Bible_code#Criticism_of_Michael_Drosnin)
Adatrejtés képekben
Képekben történő adatrejtés többféle módon is történhet (nyilván rengeteg mód elképzelhető, csak gondolatébresztőnek néhány):
Kicsinyítés. Nyilvánvaló - egy nagyméretű fényképbe belemontázsolunk egy (sokkal) kisebbet, amin a rejtendő információ van.
Fájlformátumokkal történő manipuláció. Képek elmentésekor egy sereg lépést elvégez a fényképezőkép, a Gimp, bármi. Ha a mentéskor/konvertáláskor használt konverziós adatokat (pl. kvantálási mátrixok) változtatjuk mininális mértékben, az a kész képen nem fog meglátszani, viszont az eredeti képet összehasonlítva a másként tömörítettel, kinyerhető a rejtett üzenet.
A képekben történő adatrejtéssel kapcsolatban fontos megjegyezni a robosztusság követelményét: ha a képet átméretezik, esetleg kivágnak belőle egy részletet(!), akkor is maradjon meg a vízjel, illetve a rejtett adat visszanyerhetőnek.
Adatrejtés videókban, zenében
A videókban történő robosztus adatrejtéssel kapcsolatban az első alkalmazások a fizetős tartalomszolgáltatók (vagy fizetőstartalom-szolgáltatók?) részéről merültek fel: tisztában voltak vele, hogy a fizetős videotartalmak előbb-utóbb kijutnak a nem-fizetős zónába, viszont ekkor a kijutott változatból meg lehet állapítani, hogy melyik felhasználó töltötte le az eredetit, és jogi lépéseket tenni ellene.
A videókban történő adatrejtés (watermarking) óriási tudományág önmagában is, érdemes vetni egy pillantást erre az áttekintésre. A legtöbb MPEG-bázisú adatrejtő algoritmus a tömörítéskor használt kvantálási mátrixokat, illetve a tömörítéskor előálló P, I és B keretek sorrendjét, elhelyezkedését manipulálják.
A hangtömörítésre is ugyanezek az alapelvek mondhatóak el: a legnépszerűbb hangtömörítő eljárás, az MPEG Layer-3, azaz MP3 és származékai hasonlóan működnek, mint a mezei JPEG.
Detektálás...?
A legtöbb, kvantálási mátrix machinálásán alapuló algoritmus több-kevesebb valószínűséggel detektálható. Képek ilyen irányú vizsgálatára a linuxos stegdetect használható a legegyszerűbben - a weboldalán lista található arról, hogy mely szteganográfiai eszközök nyomát képes detektálni, illetve törni. A fejlettebb algoritmusok oly módon végzik a dolgukat, hogy a nyomaikat nagyon nehéz megtalálni.
Kapcsolók, útválasztók és vezeték nélküli hozzáférési pontok
A kapcsolók, az útválasztók és a vezeték nélküli hozzáférési pontok nagyon különböző funkciókat látnak el a hálózaton.
kapcsolók
A kapcsolók a legtöbb üzleti hálózat alapja. A kapcsoló vezérlőként, számítógépek, nyomtatók és kiszolgálók összekapcsolásánál egy épületben vagy campusban lévő hálózathoz kapcsolódik.
A kapcsolók lehetővé teszik, hogy a hálózaton lévő eszközök kommunikáljanak egymással, valamint más hálózatokkal, megosztott erőforrások hálózatát hozzák létre. Az információmegosztás és az erőforrások elosztása révén a kapcsolók pénzt takarítanak meg és növelik a termelékenységet.
A hálózati alapok részeként két kapcsolótípus közül választhat: kezelt és felügyelet nélkül.
A felügyelet nélküli kapcsoló a dobozon kívül működik, de nem konfigurálható. Az otthoni hálózati berendezések jellemzően kezeletlen kapcsolókat kínálnak.
A kezelt kapcsoló konfigurálható. A felügyelt kapcsolót monitorozhatja és beállíthatja helyben vagy távolról, így jobban ellenőrizheti a hálózati forgalmat és a hozzáférést.
Routerek
Az útválasztók több hálózatot összekapcsolnak egymással. Ezeken a hálózatokon számítógépeket is csatlakoztatnak az internethez. Az útválasztók lehetővé teszik, hogy az összes hálózati számítógép megoszthasson egyetlen internetkapcsolatot, ami pénzt takarít meg.
Az útválasztó egy diszpécsert működtet. A hálózaton keresztül küldött adatokat elemzi, kiválasztja az utazáshoz legmegfelelőbb útvonalat, és útközben elküldi azt.
Az útválasztók összekapcsolják üzleti tevékenységét a világgal, védik az információkat a biztonsági fenyegetések ellen, és eldönthetik, hogy mely számítógépek részesülnek előnyben másokkal szemben.
Az alapvető hálózati funkciók mellett az útválasztók további funkciókkal rendelkeznek, amelyek megkönnyítik a hálózatépítést. Az Ön igényeitől függően például kiválaszthat egy tűzfalat, virtuális magánhálózatot (VPN) vagy internetprotokollal (IP) rendelkező kommunikációs rendszert.
Hozzáférési pontok
A hozzáférési pont * lehetővé teszi, hogy az eszközök kábel nélkül csatlakozzanak a vezeték nélküli hálózathoz. A vezeték nélküli hálózat megkönnyíti az új eszközök online bevezetését és rugalmas támogatást nyújt a mobil munkavállalóknak.
A hozzáférési pont úgy működik, mint egy erősítő a hálózathoz. Míg az útválasztó biztosítja a sávszélességet, a hozzáférési pont kiterjeszti ezt a sávszélességet, így a hálózat számos eszközt támogathat, és ezek az eszközök távolabb is elérhetik a hálózatot.
De egy hozzáférési pont több, mint egyszerűen a Wi-Fi kiterjesztése. Hasznos adatokat is adhat a hálózaton lévő eszközökről, proaktív biztonságot nyújt, és számos más gyakorlati célt is szolgálhat.
* A hozzáférési pontok különböző IEEE szabványokat támogatnak. Minden szabvány egy olyan módosítás, amelyet idővel megerősítettek. A szabványok különböző frekvenciákon működnek, különböző sávszélességet biztosítanak, és különböző csatornaszámokat támogatnak.
Vezeték nélküli hálózat
A vezeték nélküli hálózat létrehozásához négyféle telepítési mód közül választhat. Minden telepítés olyan tulajdonságokkal rendelkezik, amelyek jobban működnek a különböző megoldásoknál.
ARP
A nagy öreg. Address Resolution Protocolt jelent - ennek használatával kapcsolják össze a hálózati végpontok és a switchek a logikai IP-címeket a hálókártyák fizikai MAC-címeivel. Az ARP klasszikus példája az internet hőskorában megalkotott, feltétlen és teljes bizalmon alapuló protokolloknak: működése során egyrészt meg lehet kérdezni broadcastban egy IP-címhez tartozó MAC-címet. Lehet gratuitous, azaz kéretlen ARP válaszokat is küldeni: broadcastban megy, és mindenki, aki hallótávolságon (azaz ugyanazon a broadcast domainen) belül lakik, az eltárolja a válaszban kapott információkat.
Ezzel pedig remek játékokat lehet játszani, lévén a switchek annyit figyelnek, hogy melyik lábukon melyik MAC-cím lakik, és a hozzájuk érkező frame-ek destination MAC mezőjének figyelése alapján eldöntik, melyik lábukra kell továbbküldeni őket. A támadás ARP poisoning néven vált híressé: a gonosz támadó (M) keres két, egymással kommunikáló hosztot (A-t és B-t), majd elhiteti A-val, hogy B IP-címe megegyezik M MAC-címével, illetve B-vel, hogy A IP-címéhez is M MAC-címe tartozik. Bingo, a switch az A és B közötti adatforgalmat M felé irányítja.
Az ARP poisoningről túl sokat nem is mondanánk többet. Jelezni elég egyszerű: A és B ott foghat gyanút, hogy ugyanahoz a MAC-címhez a lokális ARP cache-ben két IP is tartozik, az arpwatch okos kis eszköze pont ezt figyeli. Ami a hálózati védekezést illeti, a napokban találkoztunk egy nagyon cseles megoldással: a legtöbb eszköz, amivel véghez lehet vinni ARP poisoninget, előzetesen végigtapogatja a lokális subnetet MAC/IP párok után: ez a művelet meglehetősen pontosan érzékelhető. A kérdéses hálózat erre azzal reagált, hogy öt percre kikapcsolta a feszültséget a hálókábelben.
CDP
Cisco Discovery Protocol. Nyilvánvalóan nem közösségi eredetű protokoll, arra szolgál, hogy a Hidas Gyártó eszközei feltérképezzék egymást. A CDP üzenetek alapból broadcastban mennek a hálózaton: az auditor csatlakozik a hálózathoz és hallgatózik, mire egyszer csak ilyenek hullanak az ölébe, mint például:
Source MAC 00:21:AF:4C:DE:6C
Destination MAC 01:00:0C:CC:CC:CC
Version 02
TTL B4
Checksum D023
DevID nagyswitch.nagyceg.hu
Software version Cisco IOS Software
Platform cisco WS-C6509-E
Addresses 172.021.160.254
Port ID GigabitEthernet4/46
Capabilities 00000029
IP Prefix/Gateway
VTP Domain GIGAOFFISZ
Native VLAN 01AB
Duplex01
Trust Bitmap 00
Untrusted CoS 00
Management Addr 172.021.160.254
Kezdőknek eláruljuk, hogy a fenti üzenetből megtudjuk a kérdéses eszköz MAC-címét, gyártóját (Cisco), a menedzsment interfész IP-címét és a VTP domaint.
Támadási fronton CDP-vel egészen pofás virtuális eszközparkot varázsolhatunk az üzemeltetők elé, akik szinte biztosan meglepett arcot vágnak, amikor a CiscoWorksben egyszer csak manifesztálódik a hajnali ködből nyolc-tíz gigabites hálózati szekrény.
DTP
Dynamic Trunking Protocol. Aki kihagyta volna, most fussa át az előző leckét, amelyben a VLAN hívószóra leírtuk, mi a különbség az access portok és a trunköltek között.
Mindenki visszajött? Akkor eláruljuk ismét, hogy a DTP arra jó, hogy a switchek egymás között le tudják rendezni, hogy hogy akarják kezelni a trönkölt forgalmat. Ha a switchen engedélyezett a portunkban a DTP (illetve nincs explicite letiltva), akkor rá lehet beszélni a switchünket arra, hogy kapcsolja trönkké. Ezután pedig taggeléssel bármelyikbe belebeszélhetünk.
HSRP és VRRP
Hot Stand-by Redundancy Protocol és Virtual Router Redundancy Protocol: arra jók, hogy transzparens módon teszik lehetővé több router összekapcsolását a default gw feladataira. Ha az egyik router kiesik, jön helyette egy másik, a felhasználó pedig ebből semmit sem vesz észre.
Közös vonása a két protokollnak az, hogy nem használnak alapkiépítésben sem hitelesítést, sem titkosítást, valamint mindkettő "bizalmi" alapokra helyezi a prioritás megválasztását a backup routerek között. A támadó ezáltal könnyen fel tud kerülni a legmagasabb prioritású backup router szerepére.
Közös megakasztási lehetőség az, hogy a támadó erővel megválasztatja magát a legmagasabb prioritású backup routernek, a kettes pályán pedig valahogyan (ízlés szerint) DoS-olja az igazi gw-t. Innét már csak egy lépés az, amikor egyszer csak ő lesz az átjáró - ez pedig klasszikus MiTM, illetve DoS.
Auditálási szempontból roppant hálás dolog VRRP/HSRP után vadászni, ugyanis többnyire pár másodpercenként jön egy ilyen keret a hálózaton, a Wireshark élénkpiros színnel jelöli a VRRP kereteket, ezáltal a reggeli kávé előtt is könnyen szembe ötlik a használata.
RSTP
Az RSTP az ARP mellett a hálózati protokollok másik nagy öregje: aki csak kicsit is foglalkozik hálózati biztonsággal, legalább egyszer találkozott vele. Az RSTP nagyon fontos a hálózat túlélésének és megbízható működésének szempontjából: ez biztosítja, hogy a többnyire meglehetős fizikai redundanciával felépített hálózatokban minimális súlyú (költségű) feszítőfa tudjon kialakulni.
Az RSTP alapú támadások meglehetősen egy sémára épülnek: a támadó úgy küld a hálózatra RSTP kereteket, hogy átalakítsa a jelenlegi fát. A dolog csúcsa az, amikor a támadó a fa gyökere lesz: ekkor minden forgalom rajta megy át - laptoppal nagy hálózatban eléggé nyögős a történet, ugyanis a legtöbb laptop viszonylag nehezen viseli, amikor egyszer csak rázúdul négy-öt gigabitnyi adatforgalom. Ízlés szerint nem feltétlenül szükséges beszállni a fába: nagyon egyszerűen meg lehet akasztani egy nagy hálózatot azzal is, ha a támadó összezavarja a fát.
VoIP biztonság 1. - Bevezetés
A VoIP az, ami kihozta a switcheket az alagsorból. Alapvetően arról van ugye szó, hogy az adatátviteli hálózatba valamilyen módon hangot eresztünk, a túlvégen pedig hanggá alakítva a hálózati forgalmat gyakorlatilag feltaláltuk a madzaggal összekötött konzervdobozok új generációját.
A VoIP melletti érvként szokták azt felhozni, hogy költséget lehet csökkenteni a bevezetésével - válság sújtotta időkben ez komoly érv. A másik oldalról kevesebb szó esik: a VoIP bevezetésével jóval komolyabb hálózati infrastruktúrára, képzettebb üzemeltetőkre van szükség, ami nagy hálózatok esetében már nem kis költséget eredményez.
A VoIP a biztonságot illetően rengeteg hendikeppel indul. Első körben ott van kapásból az, hogy az IP-t nem "Vo"-ra találták ki: a TCP/IP protokollstack kialakításakor nem volt szempont a valósidejű kommunikáció igénye, ami létfontosságú a VoIP használatakor. Erre a problémára hálózati eszközök révén próbálnak megoldást adni a gyártók: visszás helyzet az, hogy egy "converged network"-ön (amelynek a nevéből fakadóan együtt kéne vinnie a hangot a többi adattal) mindenféle Layer2-es és Layer3-as technikákkal próbálják mégis elkülöníteni a kétféle forgalmat, ugyanis a valósidejű kommunikáció szempontjából egy-két elvesztett csomag nem probléma, viszont a késleltetést nem viseli el az üzemszerű használat - pont ellentétben a hagyományos adatforgalommal.
Másrészt a VoIP ott is vérzik, hogy számtalan jelzés- és hangátviteli protokoll használható hangtovábbításra, viszont ezek egy része jogilag zárt (pl. a Skype forgalma).
Harmadrészt ott akkor is problémába ütközünk, amikor "hagyományos" hálózatiforgalom-szabályozó eszközökön próbáljuk keresztülvinni a hangforgalmat: mindkét elterjedt protokoll külön csatornát használ a jelzések átvitelére, mint a hangéra, és ezen forgalom sok esetben kevéssé rögzített TCP portok között zajlik, emiatt nehezen tűzfalazható. A NAT-olás meg végképp megöli a dolog biztonságát, ugyanis a H.323 és a SIP nem, vagy csak nagyon nehezen titkosítható NAT esetén.
Összegezve azt mondhatjuk, hogy a VoIP - mivel IP fölött zajlik - ötvözi a hagyományos TCP/IP protokollstack sebezhetőségeit újabbakkal. A klasszikus ARP poisoning, floodolás, ICMP-üzenetinjektálás, sniffelés satöbbi remekül működik a legtöbb VoIP hálózatban, cserébe a SIP önmagában is hoz újabb támadási vektorokat a képbe.
A tűzfal csodálatos találmány. Rátelepíti az ember az oprendszerre, beállítja és máris úgy érzi, megmenekült mindentől, ami az internet világában fenyegeti. Miért nem szeretjük mégsem a személyi tűzfalakat?
Valódi támadásokat nem nagyon fognak meg, cserébe hamis biztonságérzetet adnak a felhasználónak. A legnagyobb veszélyt a felhasználóra a trójaiak, a phishing, a drive-by exploitok és a célpontjukban ülő, sechole-okkal telepakolt böngészők jelentik. Ezek ellen tűzfallal nem nagyon lehet védekezni - van viszont egy jóval erősebb érvünk is a sz. tűzfalak ellen: az, hogy valódi támadásokat sem nagyon fognak meg. Kis házi tesztlaborunkban egyszer öt ingyenes és fizetős, meglehetősen sokat reklámozott integrált internetvédelmi megoldást teszteltünk: az okosan beállított nmap-scant egyik sem fogta meg. Igaz, azzal is lehet vitatkozni, hogy a sz.t. meg kellene-e, hogy fogja a portscant - az viszont, hogy egy patcheletlen SMB-hibán keresztül metasploittal bemenve, majd local system shellt kapva a * Security semmit sem szól, az már erős.
Hihetetlenül idegesítő, hogy félpercenként feldob egy dialógust, aminél dönteni kell. Nem kommentálnám bővebben a dolgot: mindenki találkozott már a jelenséggel.
Nagyon nehézkessé teszik a konfigurációt, rengeteg hibalehetőséggel. Ismét csak utalnánk arra a fura érzésre, ami akkor keríti hatalmába az embert, amikor a kis otthoni hálózatán szeretné összelőni, hogy az A gép lássa a B gép megosztásait. Az ember küzd, de csak pingetni lehet az A gépet a B-ről (visszafelé már nem), de az SMB csak nem akar működni.
Forensic vizsgálatok 6. - Szteganográfia
A betörési tesztelés mellett a nyomelemző munkák területe az a témakör, amelyről sok szakmabeli is csak homályos képpel rendelkezik, holott meglehetősen szerteágazó és szövevényes világról van szó. Több posztból álló sorozatunkban igyekszünk felvillantani néhány érdekesebb momentumot nyomelemzős munkáinkról.
A szteganográfia a maszkírozás művészete: olyan módszereket jelöl a tudományág, amivel adatot lehet rejteni olyan helyekre, ahol "normális" esetben nem (vagy nem úgy) szokott adat lenni: képek, mp3-ak, videók, szöveg, akármi. Az adatrejtés használata egy nyilvánvaló előnnyel bír a hagyományos titkosítások használatával szemben: nevezetesen azzal, hogy nem árulkodik ránézésre a média arról, hogy titkos (feltehetőleg fontos) üzenetet tartalmaz.
A szteganográfiai módszerek kétféle megközelítést alkalmaznak:
azok a módszerek, amikor nem végzünk előzetes titkosítást az elrejteni kívánt adatokon,
azok a módszerek, amikor igen.
Pusztán technológiai szempontból nézve a módszereknek mindegy, hogy melyiket választjuk, viszont detektálhatóság felől nézve a dolgot már messze nem egyenértékű a kettő: a jó titkosítás zajszerűvé teszi az enkriptált adatokat, ezáltal ezeket könnyebb belerejteni "zajként" pl. képekbe. Arról nem is beszélve, hogy ha valaki kinyeri a belerejtett adatokat a médiából, nem jut egyből hozzá az elrejtett információhoz is.
Elrejtett információk visszarejtéséhez tipikusan három (algoritmustól függően négy) dologra van szükségünk:
A rejtett adatokat tartalmazó média (kép, hang, szöveg, bármi)
Az adatrejtési algoritmus
A jelszó, amit a titkosításhoz alkalmaztak
Egyes algoritmusok esetén az eredeti média is kellhet (tehát amibe rejtik az adatokat)
A helyzet sajnos erősen egyenlőtlen: az adatrejtők többnyire előnyben vannak az adatkeresőkkel szemben - az esetek nagy részében fel sem merül, hogy valamilyen információ szteganográfiai módszerekkel található meg pl. egy több tízezer képet tartalmazó, elkobzott merevlemezen.
Mindazonáltal érdemes egy aranyszabályt betartani: csak minimális méretű adatot szabad szteganográfiával rejteni, ugyanis minél többet szeretnénk akármibe beletuszkolni, egyre nyilvánvalóbb lesz az adatrejtés ténye. Sok tool jelez is, ha túlzottan nagyméretű adatot szeretnénk belerejteni kedvenc képünkbe.
Fizikai szteganográfia
A legősibb. Az első dokumentált példája a szteganográfiának a kétrétegű viasztábla volt, de Hérdotosz megemlékezik egy történetről, amikor egy futár haját leborotválták, a fejbőrére tetoválták a fontos üzenetet, és amikor ismét megnőtt a fiatalember haja, elküldték a címzetthez, aki ismételt leborotválás után megkapta az igazi üzenetet.
Ugyanebbe a kategóriába tartozik a "mikropont", amivel a második világháború alatt juttattak ki német kémek közönséges postai úton információkat. A mikropont lényege az, hogy egy kedves levélben, amelyben Onkel Michael hogyléte felől érdeklődünk, az egyik mondatvégi pont egy kicsivel nagyobb, mint a többi - ebben a pontban található erős kicsinyítéssel a kicsempészni kívánt információ.
Biztosan állítható, hogy ebben a műfajban születtek a legmeghökkentőbb szteganográfiai feladatbeadások: személyes kedvencem az a módszer, amikor a levelezőlapra ragasztott bélyeg hátuljára írjuk meg a lényegi üzenetet.
Adatrejtés szövegben
Aki látta a Con Air című filmet, pontosan tudja, hogy mire gondolunk: Cyrus cellájában találtak a börtönőrök egy levelet, amire rá kellett illeszteni Michelangelo Utolsó vacsora című képét úgy, hogy Jézus és az apostolok szemeit kivágták a képből, így az eredeti levél bizonyos betűit összeolvasva kapták meg a találkahely nevét.
Hasonló elven működik a "Biblia kódja" is: az eredeti, héber nyelvű szöveg egymástól egyenlő távolságra lévő betűit összeolvasva különféle titkos üzeneteket fedhetünk fel. A dolog meglepő, ijesztő, viszont az elmélet több bírálója bemutatott hasonló mintázatokat egyéb könyvekben is, pl. a Moby Dickben (a történet igazi csattanója az, hogy Michael Drosnin, az eredeti Biblia kódja-könyv szerzője mondotta azt, hogy tessék csak ilyen mintázatokat keresni szépirodalmi könyvekben, pl. a Moby Dickben - tessék, mondták a bírálók és megjövendölték Martin Luther King meggyilkolását a Moby Dickből). A "Biblia-kód" elleni legerősebb csapást John Safran ausztrál hivatásos televíziós ateista (már ha létezik ez a műfaj) vitte véghez, amikor megjövendölte a szeptember 11-ei támadást Vanilla Ice dalszövegekből (http://en.wikipedia.org/wiki/Bible_code#Criticism_of_Michael_Drosnin)
Adatrejtés képekben
Képekben történő adatrejtés többféle módon is történhet (nyilván rengeteg mód elképzelhető, csak gondolatébresztőnek néhány):
Kicsinyítés. Nyilvánvaló - egy nagyméretű fényképbe belemontázsolunk egy (sokkal) kisebbet, amin a rejtendő információ van.
Fájlformátumokkal történő manipuláció. Képek elmentésekor egy sereg lépést elvégez a fényképezőkép, a Gimp, bármi. Ha a mentéskor/konvertáláskor használt konverziós adatokat (pl. kvantálási mátrixok) változtatjuk mininális mértékben, az a kész képen nem fog meglátszani, viszont az eredeti képet összehasonlítva a másként tömörítettel, kinyerhető a rejtett üzenet.
A képekben történő adatrejtéssel kapcsolatban fontos megjegyezni a robosztusság követelményét: ha a képet átméretezik, esetleg kivágnak belőle egy részletet(!), akkor is maradjon meg a vízjel, illetve a rejtett adat visszanyerhetőnek.
Adatrejtés videókban, zenében
A videókban történő robosztus adatrejtéssel kapcsolatban az első alkalmazások a fizetős tartalomszolgáltatók (vagy fizetőstartalom-szolgáltatók?) részéről merültek fel: tisztában voltak vele, hogy a fizetős videotartalmak előbb-utóbb kijutnak a nem-fizetős zónába, viszont ekkor a kijutott változatból meg lehet állapítani, hogy melyik felhasználó töltötte le az eredetit, és jogi lépéseket tenni ellene.
A videókban történő adatrejtés (watermarking) óriási tudományág önmagában is, érdemes vetni egy pillantást erre az áttekintésre. A legtöbb MPEG-bázisú adatrejtő algoritmus a tömörítéskor használt kvantálási mátrixokat, illetve a tömörítéskor előálló P, I és B keretek sorrendjét, elhelyezkedését manipulálják.
A hangtömörítésre is ugyanezek az alapelvek mondhatóak el: a legnépszerűbb hangtömörítő eljárás, az MPEG Layer-3, azaz MP3 és származékai hasonlóan működnek, mint a mezei JPEG.
Detektálás...?
A legtöbb, kvantálási mátrix machinálásán alapuló algoritmus több-kevesebb valószínűséggel detektálható. Képek ilyen irányú vizsgálatára a linuxos stegdetect használható a legegyszerűbben - a weboldalán lista található arról, hogy mely szteganográfiai eszközök nyomát képes detektálni, illetve törni. A fejlettebb algoritmusok oly módon végzik a dolgukat, hogy a nyomaikat nagyon nehéz megtalálni.
Kapcsolók, útválasztók és vezeték nélküli hozzáférési pontok
A kapcsolók, az útválasztók és a vezeték nélküli hozzáférési pontok nagyon különböző funkciókat látnak el a hálózaton.
kapcsolók
A kapcsolók a legtöbb üzleti hálózat alapja. A kapcsoló vezérlőként, számítógépek, nyomtatók és kiszolgálók összekapcsolásánál egy épületben vagy campusban lévő hálózathoz kapcsolódik.
A kapcsolók lehetővé teszik, hogy a hálózaton lévő eszközök kommunikáljanak egymással, valamint más hálózatokkal, megosztott erőforrások hálózatát hozzák létre. Az információmegosztás és az erőforrások elosztása révén a kapcsolók pénzt takarítanak meg és növelik a termelékenységet.
A hálózati alapok részeként két kapcsolótípus közül választhat: kezelt és felügyelet nélkül.
A felügyelet nélküli kapcsoló a dobozon kívül működik, de nem konfigurálható. Az otthoni hálózati berendezések jellemzően kezeletlen kapcsolókat kínálnak.
A kezelt kapcsoló konfigurálható. A felügyelt kapcsolót monitorozhatja és beállíthatja helyben vagy távolról, így jobban ellenőrizheti a hálózati forgalmat és a hozzáférést.
Routerek
Az útválasztók több hálózatot összekapcsolnak egymással. Ezeken a hálózatokon számítógépeket is csatlakoztatnak az internethez. Az útválasztók lehetővé teszik, hogy az összes hálózati számítógép megoszthasson egyetlen internetkapcsolatot, ami pénzt takarít meg.
Az útválasztó egy diszpécsert működtet. A hálózaton keresztül küldött adatokat elemzi, kiválasztja az utazáshoz legmegfelelőbb útvonalat, és útközben elküldi azt.
Az útválasztók összekapcsolják üzleti tevékenységét a világgal, védik az információkat a biztonsági fenyegetések ellen, és eldönthetik, hogy mely számítógépek részesülnek előnyben másokkal szemben.
Az alapvető hálózati funkciók mellett az útválasztók további funkciókkal rendelkeznek, amelyek megkönnyítik a hálózatépítést. Az Ön igényeitől függően például kiválaszthat egy tűzfalat, virtuális magánhálózatot (VPN) vagy internetprotokollal (IP) rendelkező kommunikációs rendszert.
Hozzáférési pontok
A hozzáférési pont * lehetővé teszi, hogy az eszközök kábel nélkül csatlakozzanak a vezeték nélküli hálózathoz. A vezeték nélküli hálózat megkönnyíti az új eszközök online bevezetését és rugalmas támogatást nyújt a mobil munkavállalóknak.
A hozzáférési pont úgy működik, mint egy erősítő a hálózathoz. Míg az útválasztó biztosítja a sávszélességet, a hozzáférési pont kiterjeszti ezt a sávszélességet, így a hálózat számos eszközt támogathat, és ezek az eszközök távolabb is elérhetik a hálózatot.
De egy hozzáférési pont több, mint egyszerűen a Wi-Fi kiterjesztése. Hasznos adatokat is adhat a hálózaton lévő eszközökről, proaktív biztonságot nyújt, és számos más gyakorlati célt is szolgálhat.
* A hozzáférési pontok különböző IEEE szabványokat támogatnak. Minden szabvány egy olyan módosítás, amelyet idővel megerősítettek. A szabványok különböző frekvenciákon működnek, különböző sávszélességet biztosítanak, és különböző csatornaszámokat támogatnak.
Vezeték nélküli hálózat
A vezeték nélküli hálózat létrehozásához négyféle telepítési mód közül választhat. Minden telepítés olyan tulajdonságokkal rendelkezik, amelyek jobban működnek a különböző megoldásoknál.
Nincsenek megjegyzések:
Megjegyzés küldése