Please enable JavaScript.
Coggle requires JavaScript to display documents.
Bezpieczeństwo w sieciach telekomunikacyjnych - Coggle Diagram
Bezpieczeństwo
w
sieciach
telekomunikacyjnych
DNS spoofing
atakujący uruchamia usługę
odpowiedzi muszą być wysyłane szybko
cache poisoning – zatruwanie pamięci podręcznej
zabezpieczenie – statyczne odwzorowanie warstw (z wykorzystaniem pliku hosts)
technika ataku, polegająca na fałszowaniu odpowiedzi serwera DNS
Spoofing
ma na celu fałszowanie adresów źródłowych, w celu ukrycia tożsamości atakującego
obszary stosowania: TCP/IP, Email, HTTP
technika ataku polegająca na podszywaniu się pod pewien element sieci i preparowanie pakietów
rodzaje spoofingu: IP, DNS, ARP, MAC, WWW, Email
DHCP
Dynamic Host Configuration Protocol
Protokół umożliwia dynamiczny przydział adresów IP (z określonego przez administratora zakresu - zarówno adresy z puli publicznej, jak i prywatnej) oraz parametrów konfiguracyjnych
parametry te to np. IP hosta, adres IP bramy domyślnej, maski podsieci, adresy serwerów DNS
Phishing
wyłudzanie poufnych informacji, t.j. loginy, hasła, numery kart
wykorzystanie socjotechniki
w celu ochrony, należy uważnie sprawdzać adresy stron i unikać klikania w podejrzane linki
różne efekty
Tęczowe tablice
to wstępnie obliczone tablice
ich działanie polega na łamaniu haseł poprzez odwrócenie działania funkcji hashujących
przechwycony skrót hasła jest porównywany z gotowymi wartościami tęczowej tablicy
skuteczne w łamaniu haseł, ale wymagają dużej mocy obliczeniowej i czasu
Model ISO/OSI
standardowy model warstwowy, który opisuje sposób, w jaki urządzenia komunikują się w sieciach komputerowych.
składa się z siedmiu warstw
SESJI
SIECIOWA
TRANSPORTOWA
ŁĄCZA DANYCH
PREZENTACJI
FIZYCZNA
APLIKACJI
SMTP – AUTH
Wykorzystuje dwie metody: AUTH PLAIN, AUTH LOGIN
Kodowanie: base64
SMTP AUTH to metoda autoryzacji użytkowników w protokole SMTP.
autoryzacja nadawcy po stronie serwera z wykorzystaniem BASE64
Simple Mail Transfer Protocol
Firewall typy
Pakiety filtrowane są pod kątem spełniania reguł
Znajduje się pomiędzy bezpieczną siecią wewnętrzną a siecią zewnętrzną
Działa w oparciu o reguły
System bezpieczeństwa służący do kontroli ruchu przychodzącego i wychodzącego
Typy
Stanowy
analizuje ruch na poziomie połączeń sieciowych
bierze pod uwagę stan połączenia
skutecznie filtruje dane i zapobiega atakom wykorzystującym nieprawidłowości w połączeniach sieciowych
Bezstanowy
działa na poziomie pakietów i analizuje każdy pakiet indywidualnie
nie bierze pod uwagę stanu połączenia
działa szybciej ale może być mniej skuteczny
NAT, typy
Network Address Translation
Statyczna tablica – port forwarding
Dynamicznie jest tworzona tablica translacji
Typy
1:wielu
translacja odbywa się dynamicznie
router zapisuje informacje o każdej translacji (odpowiedź)
zdefiniowana jest pewna pula adresów publicznych
1:wielu z translacją portów
oprócz zmiany adresu IP jest też zmieniany port źródłowy
tworzona jest tablica translacji (adres + port)
wystarczy 1 adres publiczny,
pozwala ograniczyć liczbę wykorzystywanych adresów publicznych
1:1
translacja 1:1 adresów prywatnych na publiczne (i odwrotnie)
każdy adres prywatny musi mieć odpowiadający mu adres publiczny
pozwala na translacje adresów IP – zmieniany jest adres źródłowy w nagłówku IP
DoS i DDoS
atak na serwer powodujący odmowę świadczenia usług
Atak DoS polega na zatłoczeniu serwera lub sieci komputerowej dużą ilością żądań.
(Distributed) Denial Of Service
Atak DDoS to atak DoS, który jest prowadzony z wielu różnych źródeł, co utrudnia zidentyfikowanie i zablokowanie atakujących.
VPN oraz typy VPN
umożliwia udostępnienie zasobów z sieci prywatnej użytkownikowi znajdującemu się poza siecią prywatną
zestawienie point-to-point
tworzy bezpieczny kanał w sieci publicznej do przesyłania danych
przykład: firmowe VPN (host-to-net)
virtual private network
Typy: host-to-host, host-to-net, net-to-net
Ping of death
bardzo podatny system to Windows
Windows wywoływanie poprzez ping –l rozmiar_B IP (odgórnie narzucony maksymalny rozmiar),
Może znacząco obciążyć maszynę docelową,
Linux: ping –s rozmiar_B IP (też odgórnie narzucony maksymalny rozmiar),
Atak, wysłanie pakietów ICMP type 8 (echo_request) o błędnej długości - większych niż 65535 bajtów
Netwox oprogramowanie do testowania maszyn, sprawdzanie jak maszyna poradzi sobie z tego typu atakiem
IPv4, IPv6
zawierają się w warstwie sieciowej modelu OSI
IPv4
adresowanie hierarchiczne - adres sieci -> IP konkretnego hosta
długość - 32 bity
sposób adresowania: numeryczny – poszczególne bity (w zapisie dziesiętnym )oddzielone kropkami
4,3 miliarda dostępnych adresow - wyczerpane w 2019
protokoły komunikacyjne służące do przesyłania danych w Internecie
IPv6
długość - 128 bitów
sposób adresowania: alfanumeryczny – poszczególne bity (w zapisie szesnastkowym) oddzielone dwukropkami
340 sekstylionów dostępnych adresów
SMTP
Simple Mail Transfer Protocol
nie ma możliwości weryfikacji nadawcy – SPAM
protokół służący do wysyłania wiadomości e-mail (oparty o tekst – kodowanie ASCII)
SMTP-AUTH – autoryzacja nadawcy po stronie serwera (nie rozwiązano problemu) z wykorzystaniem BASE64
Drive-by pharming
Konsekwencją jest to, że użytkownik może zostać skierowany na spreparowane strony internetowe,
główną przyczyną jest zbyt słabe hasło na routerze.
Ma za zadanie podmianę serwerów DNS na routerze ofiary,
LAN, WAN, MAN
WAN (Wide Area Network) to sieć komputerowa obejmująca duży obszar geograficzny, takie jak miasto, kraj lub kontynent.
MAN (Metropolitan Area Network) to sieć komputerowa obejmująca obszar geograficzny miasta lub regionu.
LAN (Local Area Network) to sieć komputerowa obejmująca mały obszar geograficzny, takie jak biuro lub budynek.
Social engineering
różne mechanizmy - np. Telefon, mail,
wywieranie wpływu, perswazja.
zdobywanie informacji od osób posiadających dostęp do systemu,
etapy
1: przygotowanie gruntu pod atak
2: zachęcanie ofiary do pójścia o krok dalej, np.. Wmawiając jakąś historię i przejmując kontrolę nad rozmową
3: pozyskiwanie informacji przez przedział/okres czasu
4: Zakończenie rozmowy “znajomości” bez wzbudzania podejrzeń, wyczyszczenie wszystkich śladów za sobą
manipulacja ludzkim umysłem - wzbudzanie celowych emocji
Atak homograficzny
np.. m = rn , cyfra 1 = litera l, cyfro 0 = litera O
np. Tworzenie fałszywych stron bankowych, które wyglądają podobnie i o podobnym adresie, ale są stronami phishingowymi
tworzenie łudząco podobnych adresów URL
WPA
WPA (Wi-Fi Protected Access) to protokół zabezpieczający sieci Wi-Fi przed nieautoryzowanym dostępem.
WPA2 to ulepszona wersja WPA, która wprowadza nowe funkcje bezpieczeństwa
Jest to standard szyfrowania wykorzystywany w sieciach bezprzewodowych. Zastąpił on starszy i złamany standard WEP
WPA2 jest znacznie bezpieczniejszy i ma włączone szyfrowanie
Wi-Fi Protected Access)
WPS
WPS nie obsługuje sieci bezprzewodowych, które wykorzystują następujące metody szyfrowania: klucz współdzielony, WPA-Enterprise, WPA2-Enterprise oraz RADIUS
WPS to jedna z metod łączenia nowych urządzeń z domową siecią Wi-Fi. Zamiast wpisywać hasło, użytkownik może uwierzytelnić połączenie na kilka sposobów - np. PIN, fizyczny przycisk na obudowie routera czy access point
WPS (Wi-Fi Protected Setup) to protokół umożliwiający łatwe i szybkie połączenie urządzeń z siecią Wi-Fi
Media transmisyjne
to elementy tworzące sieć
zapewniają łączność
mogą to być przewody miedziane, optyczne lub media bezprzewodowe (pasmo radiowe, podczerwień, wifi)
Smurf attack
następca Ping Flood
atak typu Dos, pakiet ICMP Echo Request wysyłany jest ze zmienionym adresem źródłowym - adres ofiary
Komputery, które odebrały pakiety wysyłają ICMP Echo Reply na adres ofiary
Atakujący nie musi podać wyższej przepustowości łącza niż ofiara
Pakiety wysyłane są na adres rozgłoszeniowy dużej sieci, generując duży ruch sieciowy i utrudniając komunikację w sieci
Cykl życia PKI
Public Key Infrastructure
infrastruktura oparta na kluczach publicznych służąca do zarządzania kluczami publicznymi użytkowników
cykl życia obejmuje procesy t.j. generowanie kluczy, wydanie certyfikatów, użytkowanie, walidację procesów, wygaszanie oraz uaktualnianie
w celu zapewnienia bezpieczeństwa należy przeprowadzać regularne audyty i aktualizacje
przykład: standard certyfikatów X.509 v3
Standard X.509 v3
najpopularniejszy standard certyfikatów PKI
pierwsza wersja została opublikowana w 1988
nadzorowany przez ITU-T
CRL – lista unieważnionych certyfikatów
definiuje schemat certyfikatu, unieważnień (CRL) i atrybutu