Linux Amenazas a la Seguridad
Capa 1 Amenazas a la Seguridad
OSI Layer 1 define los vínculos físicos. Hay muy pocos tipos de ataques que se pueden encontrar en la capa 1, incluidos: Cable / fibra corta de alta tensión aplicada sobre líneas de cobre Wireless links de fuentes de interferencia electromagnética de campo llevado cerca de cables de cobre, etc Proteger la capa física está más allá del ámbito de aplicación de este artículo y debe ser realizada por ingenieros de campo o de transmisión. Sin embargo, es importante que los administradores de red para saber cómo se construyen los vínculos físicos, y tener copia de seguridad de las rutas de las más importantes, así como para las más expuestas. Amenazas a la Seguridad de capa 2La capa 2 del modelo OSI define la capa de enlace de datos. La capa de enlace de datos puede ser un vínculo muy débil en términos de seguridad, y lo peor es que puede afectar a las capas superiores, causando interrupciones del servicio o de violaciones de seguridad. En el Nivel 2, podemos encontrar ATM, Frame Relay, PPP, Ethernet, Wireless LAN (802.11a/b/g), etc Desde el más popular de la capa 2 del protocolo es Ethernet, vamos a discutir su seguridad en más detalle. Ataques MACUtilizado en las direcciones MAC de Ethernet, redes inalámbricas 802.11x, Bluetooth, FDDI, Fiber Channel, y Token Ring son identificadores únicos unido al equipo de redes. Las direcciones MAC tienen 48 bits de largo, debe ser único, y son por lo general se muestra en formato hexadecimal (por ejemplo, "00-13-F7-18-A1-AC"). La primera parte 24 bits de una dirección MAC es el código asignado por el fabricante del IEEE, y el segundo de 24 bits son asignados por el fabricante para esta interfaz. Por convenio, la dirección MAC FF-FF-FF-FF-FF-FF utilizados para su difusión. un problema de seguridad encontrado en la capa 2 es Desbordamiento de tabla de CAM, Que afecta a los interruptores en la red. CAM es una parte física de un interruptor, sino que significa contenido de la memoria direccionable, y almacena la información sobre las direcciones MAC disponibles en cada puerto físico y sus parámetros asociados a la VLAN. Físicamente, un CAM es una memoria normal de tamaño limitado. En 1999, Ian Vitek creado una herramienta denominada macof, posteriormente integrado en dsniff, que las inundaciones interruptores con las direcciones de origen no válido MAC (hasta 155.000 / minuto). Esta herramienta se llena rápidamente de la mesa de la CAM el conmutador al que el equipo que ejecuta el instrumento está conectado, y también los interruptores adyacentes. El resultado de este ataque es un comportamiento anormal del interruptor por las inundaciones el tráfico entrante a cabo en todos los puertos (como un concentrador de edad simple), lo que permite man-in-the-middle (MIM) de ataque del atacante puede comenzar a oler la red de tráfico. Desafortunadamente, Linux no puede protegerlo contra este tipo de ataque. Sólo switches gestionados con opciones de seguridad del puerto puede hacer eso. Sin embargo, el atacante sólo puede oler los paquetes dentro de su VLAN, lo que es importante para determinar que estos ataques pueden venir de, y asegúrese de que no hay tráfico importante que pasa por VLAN. Otra de las cuestiones de seguridad con este tema es La falsificación de direcciones MAC, Que es utilizado por los atacantes para reemplazar una entrada de la tabla CAM de una dirección MAC conocida en otro puerto. Esto hará que el interruptor para enviar el tráfico destinado para el puerto del ordenador atacado en el puerto al que está conectado el atacante. Este ataque provoca la interrupción del servicio y puede ser utilizado como un ataque MIM con el atacante oler los paquetes destinados a la computadora atacada. Ataques de suplantación de direcciones MAC sólo puede fracasar en los interruptores, si los interruptores están adaptados para ello. Los ataques de DHCPDHCP (Dynamic Host Configuration Protocol) se describe en la RFC 2131 (http://www.ietf.org/rfc/rfc2131.txt) es un protocolo utilizado por los dispositivos en una red para obtener los ajustes de configuración de red, como dirección IP, máscara de subred, enrutador por omisión, y las direcciones de servidores DNS "IP de un servidor en la red que ejecute el software de servidor DHCP. servidores DHCP están configurados para asignar a los clientes (dispositivos en la red) las direcciones IP de los rangos definidos. El servidor DHCP proporciona la dirección IP a un dispositivo de interés sobre una base de arrendamiento, lo que significa que la dirección IP es "arrendado" por un periodo limitado de tiempo. Durante este tiempo, el servidor DHCP no contrato de arrendamiento que la dirección IP a otros clientes. Antes de que el tiempo vence el contrato, el cliente DHCP debe solicitar una prórroga del plazo de concesión del servidor DHCP. El tiempo de concesión DHCP se puede configurar a partir de 120 segundos para cualquiera que sea el administrador decide. Ataque de hambre DHCP consiste en consumir el espacio de direcciones IP asignadas por un servidor DHCP. Esto puede ser fácilmente realizada por un atacante por radiodifusión un gran número de peticiones DHCP mediante falso direcciones MAC. El servidor DHCP ceder sus direcciones IP de uno por uno para que el atacante hasta que se acabe de IPs disponibles para los nuevos, los clientes normales. Esto conduce a una denegación de servicio para los clientes de la red de interés en las direcciones IP del servidor DHCP. En este punto, el atacante puede crear un servidor DHCP Rogue servir a clientes con datos falsos, por ejemplo, dándoles su propia dirección IP como router por defecto. Esto dará lugar a todo el tráfico que pasa por el ordenador del atacante, por lo que es muy fácil para él o ella para oler todo el tráfico de red de los clientes. El servidor DHCP pícaro puede crearse incluso sin llevar a cabo el ataque de hambre DHCP, como clientes DHCPOFFER aceptar la primera que reciben. Ambos ataques pueden ser fácilmente utilizando pavo, una herramienta sencilla que se puede encontrar en Internet. Desafortunadamente, los conmutadores sólo puede proteger a los usuarios contra estos ataques. Ataque de hambre DHCP se puede prevenir mediante el uso de elementos de seguridad del puerto que no permiten más de X direcciones MAC de un puerto (el mismo método de prevención de los ataques CAM). Sin embargo, el ataque DHCP Rogue Server es más difícil de prevenir, pero ojalá sea en el futuro con la aplicación de la "autenticación de mensajes DHCP", descrito por el RFC 3118. Por ahora, algunos interruptores inteligentes y caro tener un "snooping DHCP" función, que filtra los mensajes DHCP de terceros hosts de confianza. Los ataques de ARPARP significa Address Resolution Protocol, Y es el protocolo utilizado para asignar direcciones IP a direcciones MAC. En el mismo dominio de broadcast (segmento de red), los equipos intercambian mensajes ARP para encontrar otro de dirección MAC basados en la dirección IP que tienen. ARP es esencial para las comunicaciones TCP / IP, y es un protocolo muy simple, con casi cero, características de seguridad. ARP Spoofing es una forma simple de llevar a cabo ataques de ARP mediante el envío de transmisiones con MAC falsificados o direcciones IP que provoca una denegación de servicio o man-in-the-middle. añadir IP / MAC pares manualmente en las tablas ARP de los ordenadores en la red pueden resolver algunos de los escenarios de ataque ARP Spoofing, pero está lejos de ser una solución a este tipo de ataque. El paquete dsniff muy popular (http://www.monkey.org/ ~ dugsong / dsniff / ) Contiene las herramientas de ataque ARP Spoofing, entre otras redes / herramientas de auditoría. STP y VLAN ataques relacionados conLAN virtuales (VLAN) son, lógicamente, las redes independientes físicamente conectados en una red más grande. La idea detrás de VLAN es crear dominios de difusión múltiple en una sola red y separar diferentes tipos de tráfico de los demás. Varias VLAN pueden existir en un solo interruptor, y la información de VLAN se puede llevar entre los detectores con troncos. Troncos son las interconexiones entre los interruptores que transportan datos entre ellos utilizando las etiquetas para identificar a los que los datos VLAN pertenece. El protocolo de marcado dominante es IEEE 802.1Q. Creación de VLAN es una medida de seguridad muy bien en la capa 2, debido a la separación de los diferentes tipos de tráfico. Sin embargo, los interruptores mal configurado puede permitir a un cierto tipo de ataque llamado El salto de VLAN. El salto de VLAN es un ataque en el que el atacante intenta enviar datos a ordenadores que pertenecen a otras VLAN tagging por los datos con un ID de VLAN diferentes que la que pertenece. Como 802.1Q implementaciones están disponibles para Linux y otros sistemas operativos, y de algunos proveedores (por ejemplo, Cisco) interruptores tienen el modo predeterminado para un puerto como trunking, un atacante puede crear un enlace troncal entre el interruptor y ella misma, por lo tanto ser capaces de comunicarse a los anfitriones en todas las redes VLAN configuradas en ese cambio. Otro tipo de ataque que probablemente todo el mundo conoce es la creación de bucles de red. Un bucle de red aparece cuando dos puertos pertenecientes a la misma VLAN tienen un vínculo entre sí, o cuando hay dos o más caminos entre dos interruptores. Los usuarios malintencionados pueden crear lazos de física de la red, y la manera más fácil de hacerlo es la conexión de un cable cruzado de los dos puertos que pertenecen al mismo conmutador, y la misma VLAN (el mismo dominio de broadcast). Cuando un bucle aparece en una red, las emisiones de los viajes dentro de ese infinito VLAN, inundando todos los puertos que pertenece a la VLAN para cada switch de la red, con lo que la red abajo. STP Spanning Tree Protocol (IEEE 802.1D) fue diseñado para evitar bucles de red. La manipulación de STP es un tipo de amenaza en la que un atacante emisiones de configuración STP o cambio de topología BPDUs (Puente Protocolo de unidades de datos), obligando a los nuevos cálculos STP y esperando que el atacante se convierte en el puente raíz. Como puente raíz, el atacante puede oler las tramas Ethernet que pertenecen a otras VLAN. 802.1D STP toma alrededor de 30 a 45 segundos para volver a elegir a un puente de raíz si el puente vieja raíz falla, por lo que resulta en un ataque DoS. Capa de amenazas 3SecurityEn la capa de red del modelo OSI, se encuentra el Protocolo de Internet (IP) con ICMP ser parte del Protocolo de Internet. Layer 3, es vulnerable a varios ataques DoS y divulgación de privacidad. Packet SniffingHablamos de paquete que huele al principio de este artículo y cómo los atacantes en una red de conmutación pueden rastrear los paquetes que no pertenecen a ellas. Si la red no está activado (por ejemplo, un concentrador se utiliza) se convierte en un paquete que huele mucho más fácil. Analizando los paquetes de medios de captación de tráfico IP a través de herramientas como dsniff, tcpdump, Ethereal, etc porque los datos de las capas superiores se encapsula en paquetes IP, todas las información de las capas puede ser revelada en el análisis (desencapsula) paquetes IP. protocolos como POP3, SMTP, SNMP, etc, envían las contraseñas en texto claro, y así, decodificación de paquetes capturados IP puede resultar en la divulgación de tales datos sensibles. Rastreadores de paquetes como dsniff disponer de herramientas muy agradable para decodificar los paquetes y almacenar esta información en un archivo de texto claro. Seguridad de Nivel 2 con switches gestionados pueden reducir drásticamente el éxito de los rastreadores de paquetes en la red. Además, la creación de redes VPN encriptada mediante IPSec o medios de cifrado, o se reducirá la posibilidad de que los datos sean inhalados casi a cero. un artículo presentado por Philip A Clara Descargo de responsabilidad:Nuestro sitio web no es responsable por el contenido de este artículo. Webarticles es un recurso de información gratuito. Importante: Este artículo "Amenazas a la seguridad de Linux" fue traducida por un software automático. Sentimos pena por los errores de ortografía que pueda haber ocurrido. Gracias por su comprensión.
|
|||||
| Online: 515 users browsing the articles directory |
|
|