Linux Security Threats
1 Layer Security Threats
OSI-Schicht 1 definiert physische Verbindungen. Es gibt einige Arten von Angriffen, die auf Layer 1, auch gefunden werden: Kabel / Fiber Kürzungen Hochspannung auf Kupferleitungen angewendet Wireless Links Jamming Quellen für elektromagnetische Felder in der Nähe von Kupferkabeln gebracht, usw. Die Sicherung der physikalischen Schicht geht über den Rahmen der dieses Artikels und von Feld-bzw. Weitergabe Ingenieuren durchgeführt werden. Allerdings ist es für Netzwerk-Administratoren wichtig zu wissen, wie die physischen Verbindungen aufgebaut sind, und zum Sichern von Routen für die wichtigsten zu nennen haben, sowie für die am stärksten exponierten Ones. Layer 2 Security ThreatsLayer 2 des OSI-Modell definiert der Data Link Layer. Die Data Link Layer kann ein sehr schwaches Glied in Bezug auf Sicherheit, und das Schlimmste ist, dass es den oberen Schichten von Service-Unterbrechungen verursachen oder Sicherheitsverletzungen beeinflussen kann. Auf Layer 2 können wir ATM, Frame Relay, PPP, Ethernet zu finden, Wireless LAN (802.11a/b/g), etc. Da die beliebtesten Layer 2 Ethernet-Protokoll ist, werden wir die Sicherheit im Detail zu besprechen. MAC-AngriffeMAC-Adressen in Ethernet-, Wireless-Netzwerke 802.11x, Bluetooth, FDDI, Fibre-Channel-und Token Ring verwendet werden eindeutigen Kennungen, die Vernetzung Anlagen beigefügt. MAC-Adressen sind 48 Bits lang ist, sollte eindeutig sein, und sind in der Regel im hexadezimalen Format angezeigt (zB "00-13-F7-18-A1-AC"). Der erste 24-Bit-Teil der MAC-Adresse ist der Hersteller von IEEE-Code zugewiesen, und die zweite 24 Bit werden vom Hersteller an der Schnittstelle zugewiesen. Vereinbarungsgemäß die MAC-Adresse FF-FF-FF-FF-FF-FF für Broadcast verwendet. eine Sicherheitslücke auf Layer 2 zu finden ist CAM-Tabelle Überlauf, Die Switches im Netzwerk beeinflusst. CAM ist ein physischer Teil eines Schalters, es steht für Content Addressable Memory, und es speichert Informationen über MAC-Adressen auf jedem physikalischen Port und die damit verbundenen VLAN-Parameter. Physikalisch ist ein CAM-Speicher in eine normale Größe beschränkt. Im Jahr 1999 hat Ian Vitek ein Tool namens macof, später in dsniff integriert, die Switches mit ungültigen MAC-Adressen Überschwemmungen (bis zu 155.000 / Minute). Dieses Tool schnell füllt die CAM-Tabelle der Umstellung auf die Computer, auf dem das Werkzeug angeschlossen ist, und auch die angrenzenden Schalter. Das Ergebnis dieses Angriffs ist ein abnormes Verhalten des Schalters durch Hochwasser aus eingehenden Datenverkehr auf allen Ports (wie eine einfache alte Hub), die damit eine Man-In-the-Middle (MIM)-Angriff kann der Angreifer Start Sniffing-Netzwerk Verkehr. Leider kann Linux nicht schützen Sie sich gegen diese Art von Angriff. Nur Managed Switches mit der Gefahrenabwehr in Häfen Optionen können tun. Allerdings kann der Angreifer nur schnuppern Pakete innerhalb seiner VLAN, so ist es wichtig zu bestimmen, wo diese Angriffe kann kommen, und stellen Sie sicher, dass keine wichtigen Verkehr durch die VLAN-Pässe. Eine weitere Sicherheitslücke bei diesem Thema ist MAC-Adress-Spoofing, Ist die von Angreifern benutzt, um ein CAM-Tabelleneintrag einer bekannten MAC-Adresse auf einem anderen Port zu ersetzen. Dies wird dazu führen, dass die Umstellung des Verkehrs für den Anschluss des angegriffenen Computer mit dem Hafen, in dem der Angreifer angeschlossen ist bestimmt zu senden. Dieser Angriff verursacht Service-Unterbrechung und kann als MIM-Angriff mit dem Angreifer Sniffing die Pakete an den angegriffenen Computer. MAC-Adress-Spoofing-Angriffe können nur in den Switches blockiert werden bestimmt verwendet werden, wenn der Schalter für diese Einrichtungen. DHCP-AngriffeDHCP (Dynamic Host Configuration Protocol) beschrieben in RFC 2131 (http://www.ietf.org/rfc/rfc2131.txt) ist ein Protokoll von Geräten in einem Netzwerk verwendet, um die Netzwerk-Konfiguration Einstellungen wie IP-Adresse, Subnetz-Maske erhalten, Standard-Router und DNS-Server IP-Adressen von einem Server in das Netzwerk am Laufen DHCP-Server-Software. DHCP-Server sind so konfiguriert, dass Clients (Geräte im Netzwerk) IP-Adressen zuweisen von definierten Bereichen. Der DHCP-Server gibt die IP-Adresse in einem anfordernden Gerät auf Mietbasis, was bedeutet, dass die IP-Adresse "gepachtet" für eine begrenzte Zeit. Während dieser Zeit wird der DHCP-Server nicht vermieten, dass IP-Adresse mit anderen Kunden. Vor der Lease-Zeit abläuft, muss der DHCP-Client beantragen eine Verlängerung der Lease-Zeit von der DHCP-Server. Der DHCP-Lease-Zeit von 120 Sekunden konfigurierbar, um unabhängig von der Administrator entscheidet. DHCP Hunger Angriff besteht aus Konsum der IP-Adressen von einem DHCP-Server zugewiesen. Dies kann leicht von einem Angreifer mit der Ausstrahlung von einer großen Anzahl von DHCP-Anfragen mit gefälschten MAC-Adressen erreicht werden. Der DHCP-Server seine IP-Lease-Adressen eine nach der anderen, um den Angreifer, bis ihm der verfügbaren IP-Adressen für neue, normale Clients. Dies führt zu einer Denial-of-Service für die Clients im Netzwerk Anforderung einer IP-Adressen aus dem DHCP-Server. An dieser Stelle kann der Angreifer Einrichtung eines Rogue-DHCP-Server Bedienung der Kunden mit falschen Angaben, zum Beispiel indem sie ihre eigene IP-Adresse als Standard-Router. Dies wird in allen Datenverkehr, der durch den Computer des Angreifers führen, so dass es wirklich einfach für ihn oder sie auf alle im Netzwerk-Verkehr von den Clients zu schnuppern. Die Rogue-DHCP-Server kann auch ohne die Durchführung der DHCP Hunger Angriff eingerichtet, wie Kunden die erste DHCPOFFER die sie erhalten, zu akzeptieren. Beide Angriffe können leicht erreicht werden mit Truthahn, ein einfaches Werkzeug, das im Internet gefunden werden kann. Leider können nur Nutzer schaltet zum Schutz gegen diese Angriffe. DHCP Hunger Angriff kann durch die Verwendung der Gefahrenabwehr in Häfen Funktionen, in denen nicht mehr als X MAC-Adressen an einem Port (der gleichen Methode der Prävention als für die CAM-Angriffe) verhindert werden. Allerdings ist die Rogue-DHCP-Server anzugreifen schwieriger zu verhindern, sondern hoffentlich wird es in Zukunft mit der Umsetzung der "Authentifizierung für DHCP-Nachrichten" beschrieben in RFC 3118. Denn nun einige smart und teure Switches verfügen über eine "DHCP Snooping"-Funktion, die DHCP-Nachrichten aus nicht vertrauenswürdigen Hosts-Filter. ARP-AngriffeARP steht für Address Resolution Protocol, Und es ist das Protokoll für die IP-Adressen in MAC-Adressen anzeigen. Innerhalb der gleichen Broadcast-Domain (Netzwerk-Segment), die ARP-Einträge Computern austauschen, sich gegenseitig zu finden MAC-Adresse auf der Grundlage der IP-Adresse haben. ARP ist wichtig, TCP / IP-Kommunikation, und ist ein sehr einfaches Protokoll, mit fast Null Sicherheits-Features. ARP-Spoofing ist ein einfacher Weg, um ARP-Angriffe, indem sie Sendungen mit gefälschten MAC-oder IP-Adressen verursacht entweder Denial-of-Service oder Man-In-the-Middle-Attacken. Hinzufügen von IP / MAC-Paare manuell in die ARP-Tabellen der Computer im Netzwerk durchführen können einige der ARP-Spoofing-Attacke Szenarien zu lösen, aber es ist weit davon entfernt, eine Lösung für diese Art von Angriffen. Das sehr beliebte dsniff Paket (http://www.monkey.org/ ~ dugsong / dsniff / ) Enthält ARP-Spoofing-Tools unter anderem Netzwerk-Angriff / Audit-Tools. STP-und VLAN-Related AttacksVirtuelle LANs (VLANs) logisch unabhängige Netze physisch in einem größeren Netzwerk verbunden ist. Die Idee hinter VLANs besteht darin, mehrere Broadcast-Domänen in einem Netzwerk zu schaffen, und verschiedene Arten von Traffic von einander zu trennen. Mehrere VLANs können in einem einzigen Schalter vorhanden ist, und VLAN-Informationen zwischen den Switches durchgeführt werden mit Stämmen. Die Reifen sind Verbindungsleitungen zwischen Switches, die Daten zwischen ihnen mit Tags an, die VLAN die Daten zu ermitteln gehört zu tragen. Die dominierende Tagging IEEE 802.1Q-Protokoll ist. Erstellen von VLANs ist eine sehr gute Sicherheitsmaßnahme auf Layer 2 wegen der Trennung der verschiedenen Arten von Traffic. Allerdings können falsch-Switches ermöglichen eine bestimmte Art von Angriff genannt VLAN-Hopping. VLAN-Hopping ist ein Angriff, bei dem ein Angreifer versucht, Daten an die Hosts, die mit anderen VLANs, indem du die Daten mit einem anderen VLAN-ID zu senden gehören als die sie gehört. Als 802.1Q-Implementierung für Linux und andere Betriebssysteme verfügbar sind, und einige Anbieter (zB Cisco) Schalter haben den Standard-Modus für einen Port als Trunking, kann ein Angreifer auf einfache Weise eine Verbindung zwischen Rumpf und den Schalter selbst, also in der Lage zu kommunizieren an die Hosts in allen VLANs konfiguriert, dass der Schalter. Eine andere Art von Attacke, die wahrscheinlich jeder weiß um die Schaffung Netzwerk-Schleifen. Ein Netzwerk Kreis angezeigt, wenn zwei Ports im selben VLAN gehören, haben sich gegenseitig verbinden, oder wenn es zwei oder mehrere Pfade zwischen zwei Switches sind. Böswillige Benutzer können körperlich zu schaffen Netzwerk Loops und der einfachste Weg dies zu tun, dass ein Cross-Connect Anschluss-Kabel mit zwei Anschlüssen, die zu dem gleichen Schalter und gehören dem gleichen VLAN (der gleichen Broadcast-Domain). Wenn eine Schleife erscheint in einem Netzwerk-, Reise-Sendungen stufenlos innerhalb dieser VLAN, Überschwemmungen, die zu jedem Hafen, dass für jedes VLAN-Switch im Netzwerk gehört, womit sich das Netz nach unten. STP Spanning Tree Protocol (IEEE 802.1D) wurde entwickelt, um Netzwerk-Loops zu verhindern. STP Werke von Links zu deaktivieren, die ein Netzwerk-Schleife bilden kann, was die Möglichkeit der Bereitstellung von redundanten Verbindungen im Netzwerk, dass ohne STP, der Netz-Loops zu erstellen. STP Manipulation ist eine Art von Bedrohung, in dem ein Angreifer sendet STP-Konfiguration oder Topologie-Änderung BPDUs (Bridge Protocol Data Units), zwingt STP Neuberechnungen und Erwartung, dass der Angreifer Root-Bridge wird. Als Root-Bridge kann der Angreifer sniff Ethernet-Frames Zugehörigkeit zu anderen VLANs. 802.1D STP dauert etwa 30 bis 45 Sekunden wieder wählen einen Root-Bridge, wenn die alte Root-Bridge nicht, so was zu einem DoS-Angriff. Layer 3Security BedrohungenIn der Netzwerkschicht des OSI-Modells, so finden wir das Internet-Protokoll (IP) mit ICMP, ein Teil des Internet-Protokolls. Layer 3 ist anfällig für DoS-Angriffe und mehrere Privatsphäre Offenlegung Angriffe. Packet SniffingWir sprachen über das Ausspionieren von Paketen zuvor in diesem Artikel, und wie Angreifer in ein geschaltetes Netzwerk-Pakete, die nicht gehören, um sie auszuspionieren. Wenn das Netzwerk nicht eingeschaltet (zB einem Hub verwendet wird) Packet Sniffing wird viel einfacher. Sniffing-Pakete ist die Erfassung des IP-Verkehrs mit Tools wie dsniff, tcpdump, ethereal, usw. Da die Daten von den oberen Schichten ist in IP-Pakete verpackt, alle Informationen aus diesen Schichten zugänglich gemacht werden können bei der Analyse (decapsulating) IP-Paketen. Protokolle wie POP3, SMTP, SNMP, etc., übertragen Passwörter im Klartext, und so, Dekodierung erfasst IP-Pakete können bei der Offenlegung sensibler Daten führen. Packet Sniffer wie dsniff haben sehr schöne Instrumente dekodieren, um die Pakete und speichert diese Informationen in einer Datei im Klartext. Absichern von Layer-2 mit Managed Switches drastisch den Erfolg der Packet-Sniffer im Netzwerk zu reduzieren. Auch roch verschlüsselte VPNs mit IPSec-Verschlüsselung oder anderen Mitteln wird die Möglichkeit, die Daten Rückgang fast auf Null. Ein Artikel eingereicht von Philip A Clare Disclaimer:Unsere Website ist nicht verantwortlich für den Inhalt dieses Artikels. Webarticles ist eine kostenlose Informationsquelle. Wichtig: Dieser Artikel "Linux Security Threats" wurde durch ein automatisches Software übersetzt. Wir fühlen uns leid für alle Rechtschreibfehler, die möglicherweise aufgetreten sind. Vielen Dank für Ihr Verständnis.
|
|||||
| Online: 329 users browsing the articles directory |
|
|