Linux Security Threats
Couche 1 Menaces pour la sécurité
OSI Layer 1 définit les liens physiques. Il existe assez peu de types d'attaques qui peuvent être trouvée à 1 couche, y compris: Cable / Fibre coupes à haute tension appliquée sur les lignes de cuivre liens sans fil sur le terrain de brouillage électromagnétique sources amené à proximité des câbles en cuivre, etc Sécurisation de la couche physique est au-delà du champ d'application de présent article et doit être effectué par les ingénieurs de terrain ou de transmission. Toutefois, il est important pour les administrateurs réseau de savoir comment les liens physiques sont construits, et d'avoir des itinéraires de secours pour les plus importants ainsi que pour les plus exposés. Menaces pour la sécurité de couche 2Couche 2 du modèle OSI définit la couche liaison de données. La couche liaison de données peut être un lien très faibles en termes de sécurité, et le pire c'est qu'elle peut influer sur les couches supérieures en causant des interruptions de service ou d'atteinte à la sécurité. Au niveau 2, nous pouvons trouver l'ATM, Frame Relay, PPP, Ethernet, Wireless LAN (802.11a/b/g), etc Depuis le plus populaire de couche 2 du protocole est en Ethernet, nous allons discuter de sa sécurité de façon plus détaillée. MAC AttacksMAC adresses utilisées dans Ethernet, réseaux sans fil 802.11x, Bluetooth, FDDI, Fiber Channel, et Token Ring sont des identificateurs uniques fixée à l'équipement de réseautage. Les adresses MAC sont 48 bits de long, doit être unique, et sont habituellement présentés dans le format hexadécimal (par exemple, "00-13-F7-18-A1-AC»). La première partie de 24 bits d'une adresse MAC est le code du fabricant attribué par l'IEEE, 24 secondes et les bits sont assignées par le fabricant à cette interface. Par convention, l'adresse MAC FF-FF-FF-FF-FF-FF utilisé pour la diffusion. Un problème de sécurité trouvé à la couche 2 est CAM table overflow, Ce qui affecte les commutateurs du réseau. CAM est une partie physique d'un interrupteur, elle est synonyme de contenu de la mémoire adressable, et il stocke des informations sur les adresses MAC disponibles sur chaque port physique et leurs paramètres associés VLAN. Physiquement, une CAM est une mémoire normale de taille limitée. En 1999, Ian Vitek a créé un outil appelé macof, par la suite intégré dans dsniff, qui inonde d'interrupteurs avec des adresses sources valides MAC (jusqu'à 155000 / minute). Cet outil se remplit rapidement de la table CAM du commutateur auquel l'ordinateur exécutant l'outil est connecté, ainsi que les commutateurs adjacents. Le résultat de cette attaque est un comportement anormal de l'interrupteur par les inondations le trafic entrant sur tous les ports (comme un simple vieux Hub), rendant ainsi possible une Man-In-the-Middle (MIM) attaque l'attaquant peut commencer à sniffer réseau trafic. Malheureusement, Linux ne peut pas vous protéger contre ce type d'attaque. Seuls des commutateurs gérés avec des options de sûreté portuaire peut faire cela. Cependant, l'attaquant ne peut Sniff des paquets au sein de son réseau local virtuel, il est donc important de déterminer où ces attaques proviennent de mai, et assurez-vous qu'aucun trafic important traverse ce VLAN. Un autre problème de sécurité à ce sujet est Usurpation d'adresse MAC, Qui est utilisée par des attaquants afin de remplacer une entrée de table CAM d'une adresse MAC connue sur un autre port. Cela entraînera le commutateur pour envoyer le trafic destiné au port de l'ordinateur attaqué au port au cours de laquelle l'attaquant est connecté. Cette attaque provoque l'interruption du service et peut être utilisé comme une attaque MIM avec l'attaquant sniffer les paquets destinés à l'ordinateur attaqué. Attaques d'usurpation d'adresse MAC peut être bloquée uniquement dans les commutateurs, si les commutateurs ont des installations pour cela. DHCP AttacksDHCP (Dynamic Host Configuration Protocol) décrit par le RFC 2131 (http://www.ietf.org/rfc/rfc2131.txt) est un protocole utilisé par les appareils dans un réseau d'obtenir les paramètres de configuration de réseau comme l'adresse IP, masque de sous-réseau, routeur par défaut, et les adresses IP des serveurs DNS 'à partir d'un serveur du réseau exécutant DHCP Server. serveurs DHCP sont configurées pour affecter des clients (dispositifs dans le réseau) à partir de plages d'adresses IP définies. Le serveur DHCP donne l'adresse IP à un appareil demandant en crédit-bail, ce qui signifie que l'adresse IP est "loué" pour une quantité limitée de temps. Pendant ce temps, le serveur DHCP ne pas louer cette adresse IP à tout autre client. Avant que la durée de bail expire, le client DHCP doit demander une prolongation de la durée de bail à partir du serveur DHCP. La durée de bail DHCP est configurable à partir de 120 secondes pour quelle que soit l'administrateur choisit. DHCP Starvation Attack consiste à consommer l'espace d'adresse IP allouée par un serveur DHCP. Cela peut facilement être accomplie par un attaquant en diffusant un grand nombre de requêtes DHCP en utilisant les adresses MAC falsifiée. Le serveur DHCP va louer ses adresses IP, un par un à l'attaquant jusqu'à l'épuisement des adresses IP disponibles pour de nouveaux clients normaux. Cela conduit à un déni de service pour les clients du réseau demandant des adresses IP du serveur DHCP. A ce stade, l'attaquant peut créer un Rogue serveur DHCP Servir les clients ayant des renseignements faux, par exemple en leur donnant sa propre adresse IP comme routeur par défaut. Cela se traduira par l'ensemble du trafic passant par l'ordinateur de l'attaquant, ce qui rend vraiment facile pour lui de renifler tout le trafic réseau à partir des clients. Le serveur DHCP voyous peuvent être mis en place même sans effectuer l'attaque la famine DHCP, en tant que clients DHCPOFFER accepter la première fois qu'ils reçoivent. Ces deux attaques peuvent être facilement accompli en utilisant Gobbler, un outil simple qui peut être trouvé sur l'Internet. Malheureusement, les commutateurs ne peuvent protéger les utilisateurs contre ces attaques. DHCP attaque famine peut être évitée en utilisant des fonctions de sécurité du port qui ne permettent pas plus de X adresses MAC sur un port (la même méthode de prévention comme pour les attaques CAM). Cependant, les voyous attaque du serveur DHCP est plus difficile à prévenir, mais Espérons qu'il sera à l'avenir avec la mise en oeuvre d ' "authentification pour DHCP Messages" décrit par le RFC 3118. Pour l'instant, certains commutateurs intelligents et coûteux ont un "DHCP Snooping", ce qui filtre les messages DHCP de non-confiance hôtes. ARP AttacksARP signifie Address Resolution Protocol, Et c'est le protocole utilisé pour mapper des adresses IP en adresses MAC. Dans le même domaine de diffusion (segment du réseau), les messages ordinateurs Exchange ARP pour trouver l'autre des adresses MAC basés sur l'adresse IP qu'ils ont. ARP est essentiel pour les communications TCP / IP, et est un protocole très simple, avec près de zéro des fonctions de sécurité. ARP spoofing C'est un moyen simple pour effectuer des attaques ARP par l'envoi d'émissions avec usurpation des adresses MAC ou IP causent un déni de service ou Man-In-the-middle attaques. Ajout IP / MAC paires manuellement dans les tables ARP des ordinateurs dans le réseau peut résoudre certains des scénarios d'attaques ARP spoofing, mais c'est loin d'être une solution à ce type d'attaque. Le paquet très populaire dsniff (http://www.monkey.org/ ~ dugsong / dsniff / ) Contient des outils ARP spoofing parmi attaque un autre réseau / outils d'audit. STP et VLAN attaques liéesVirtual LANs (VLANs) sont logiquement les réseaux indépendants physiquement connecté à un réseau plus large. L'idée derrière VLAN est de créer des domaines de diffusion multiples au sein d'un seul réseau et de séparer les différents types de trafic de l'autre. VLAN multiples peuvent exister dans un seul commutateur, et VLAN information peut être effectuée entre les commutateurs en utilisant les troncs. Troncs sont des interconnexions entre commutateurs qui transportent des données entre eux l'aide de balises permettant d'identifier à qui les données VLAN appartient. Le protocole de marquage dominante est IEEE 802.1Q. Création de VLAN est une très bonne mesure de sécurité à la couche 2 en raison de la séparation des différents types de trafic. Cependant, les interrupteurs mal configuré peut permettre à un certain type d'attaque appelé VLAN hopping. VLAN hopping est une attaque dans laquelle un utilisateur malveillant tente d'envoyer des données sur les hôtes qui appartiennent à d'autres réseaux locaux virtuels par le marquage des données avec un VLAN différents ID que celui auquel elle appartient. Comme 802.1Q implémentations sont disponibles pour Linux et autres systèmes d'exploitation, et certains fournisseurs (par exemple, Cisco) commutateurs ont le mode par défaut pour un port comme trunking, un pirate peut facilement créer un lien trunk entre le commutateur et lui-même, étant ainsi en mesure de communiquer à des hôtes dans tous les réseaux locaux virtuels configurés sur ce commutateur. Un autre type d'attaque que probablement tout le monde sait s'agit de créer des boucles de réseau. Une boucle de réseau apparaît lorsque deux ports appartenant à la même VLAN avez un lien à l'autre, ou lorsqu'il ya deux ou plusieurs chemins entre deux commutateurs. Les utilisateurs malveillants peuvent former des boucles de réseau, et la meilleure façon d'y arriver est la connexion d'un câble croisé à deux ports qui appartiennent au même commutateur et le même VLAN (le même domaine de diffusion). Quand une boucle apparaît dans un réseau, des émissions de Voyage infini dans ce VLAN, les inondations, tous les ports appartenant à ce VLAN pour chaque commutateur du réseau, ce qui porte ainsi le réseau vers le bas. STP Spanning Tree Protocol (IEEE 802.1D) a été conçu pour éviter les boucles réseau. STP fonctionne en désactivant des liens qui peuvent former une boucle du réseau, ce qui soulève la possibilité de déployer des liaisons redondantes dans le réseau qui, sans STP, serait de créer des boucles réseau. STP manipulation est un type de menace, dans laquelle un pirate diffuse configuration STP ou changement de topologie BPDU (Bridge Protocol Data Units), forçant STP nouveaux calculs et s'attendant à ce que l'attaquant devient le pont racine. Que la passerelle de root, l'attaquant capable de sniffer les trames Ethernet appartenant à d'autres réseaux locaux virtuels. 802.1D STP prend environ 30 à 45 secondes de réélire un pont racine si le pont vieille racine échoue, entraînant ainsi une attaque DoS. Couche 3Security MenacesLors de la couche réseau du modèle OSI, on trouve le protocole Internet (IP) avec ICMP étant une partie du protocole Internet. La couche 3 est vulnérable aux attaques par déni de multiples attaques de divulgation et de confidentialité. Packet SniffingNous avons discuté de renifler des paquets plus haut dans cet article et comment les attaquants dans un réseau commuté capable de sniffer les paquets qui ne leur appartiennent pas. Si le réseau n'est pas sous tension (par exemple, un hub est utilisé) reniflage de paquets devient beaucoup plus facile. Écoute des paquets signifie capturer le trafic IP en utilisant des outils tels que dsniff, tcpdump, ethereal, etc Parce que les données des couches supérieures sont encapsulées dans des paquets IP, tous les informations provenant de ces couches peuvent être divulguées lors de l'analyse (décapsulation) des paquets IP. protocoles comme POP3, SMTP, SNMP, etc, de transmettre des mots de passe en texte clair, et ainsi, le décodage des paquets IP capturé mai suite à la divulgation de telles données sensibles. "Renifleurs" de paquets comme dsniff disposons d'outils très agréable de décoder les paquets et de stocker ces informations dans un fichier en texte clair. Sécurisation de couche 2 avec des commutateurs gérés peuvent réduire considérablement le succès de "renifleurs" de paquets dans le réseau. En outre, la création de réseaux privés virtuels cryptés en utilisant des moyens de chiffrement IPSec ou autres de réduire la possibilité que les données soient renifla presque à zéro. un article présenté par Philip A Clare Disclaimer:Notre site n'est pas responsable du contenu de cet article. Webarticles est une ressource d'information gratuite. Important: Cet article «Linux Security Threats» a été traduit par un logiciel automatique. Nous nous sentons désolés pour les fautes d'orthographe que mai ont eu lieu. Nous vous remercions de votre compréhension.
|
|||||
| Online: 495 users browsing the articles directory |
|
|