Linux Security Threats
Layer 1 Security Threats
OSI Layer 1 definisce i collegamenti fisici. Ci sono alcuni tipi di attacchi che possono essere trovati a Livello 1, tra cui: TV via cavo / fibra tagli ad alta tensione applicata su linee in rame Wireless Link fonti di disturbo elettromagnetico settore ha portato vicino ai cavi in rame, ecc Garantire il livello fisico è al di là del campo di applicazione della questo articolo e deve essere fatto da campo o tecnici di trasmissione. Tuttavia, è importante per gli amministratori di rete di sapere come i collegamenti fisici sono costruiti, e di avere percorsi di backup per le più importanti così come per quelli più esposti. Layer 2 Security ThreatsLayer 2 del modello OSI definisce il livello di collegamento dati. Lo strato data link può essere un legame molto debole in termini di sicurezza, e la cosa peggiore è che può influenzare i livelli superiori, provocando interruzioni del servizio o violazioni della sicurezza. Al livello 2 troviamo ATM, Frame Relay, PPP, Ethernet, Wireless LAN (802.11a/b/g), ecc Poiché il più popolare Layer 2 è il protocollo Ethernet, si discuterà la sua sicurezza in modo più dettagliato. MAC AttacchiIndirizzi MAC utilizzato in Ethernet, 802.11x reti senza fili, Bluetooth, FDDI, Fiber Channel, e Token Ring sono identificatori univoci collegato alle apparecchiature di rete. Gli indirizzi MAC sono 48 bit, dovrebbe essere unico, e di solito sono mostrati in formato esadecimale (ad esempio, "00-13-F7-18-A1-AC"). La prima parte 24 bit di un indirizzo MAC è il codice del produttore assegnato da IEEE, e la seconda 24 bit vengono assegnati dal costruttore a questa interfaccia. Per convenzione, l'indirizzo MAC FF-FF-FF-FF-FF-FF è utilizzati per la trasmissione. Un problema di sicurezza disponibili sul Layer 2 è Overflow CAM table, Che colpisce switch della rete. CAM è una parte fisica di un interruttore, ma sta per contenuto della memoria indirizzabile, e memorizza le informazioni su indirizzi MAC disponibili su ogni porta fisica e dei loro parametri di VLAN associati. Fisicamente, un CAM è una memoria normale dimensione limitata. Nel 1999, Ian Vitek ha creato uno strumento chiamato macof, successivamente integrata in dsniff, che inonda gli interruttori con indirizzi sorgente non validi MAC (fino a 155.000 / minuto). Questo strumento riempie rapidamente la tabella CAM dello switch a cui il computer che esegue lo strumento è collegato, e anche le opzioni del adiacenti. Il risultato di questo attacco è un comportamento anomalo del passaggio dalle inondazioni il traffico in ingresso su tutte le porte (come un semplice Hub vecchio), rendendo così possibile una man-in-the-Middle (MIM) attacco l'attaccante può iniziare sniffing di rete traffico. Sfortunatamente, Linux non è in grado di proteggere questo tipo di attacco. Solo switch gestiti con le opzioni di sicurezza del porto può farlo. Tuttavia, l'attaccante può intercettare i pacchetti all'interno della sua VLAN, quindi è importante per determinare se questi attacchi possono provenire da, e assicurarsi che nessuna parte importante di traffico che passa attraverso VLAN. Un altro problema di sicurezza di questo argomento è Spoofing degli indirizzi MAC, Che viene utilizzato dagli hacker per sostituire una voce della tabella CAM di un indirizzo MAC nota su un'altra porta. Questo farà sì che l'interruttore per inviare il traffico destinato alla porta del computer attaccato alla porta in cui l'attaccante è collegato. Questo attacco provoca l'interruzione del servizio e può essere utilizzato come un attacco MIM con l'aggressore annusando i pacchetti destinati al computer attaccato. Attacchi di spoofing degli indirizzi MAC può essere bloccata solo in switch, se le opzioni sono attrezzate per questo. DHCP AttacchiDHCP (Dynamic Host Configuration Protocol), descritto da RFC 2131 (http://www.ietf.org/rfc/rfc2131.txt) è un protocollo utilizzato dai dispositivi in rete per ottenere le impostazioni di configurazione di rete come indirizzo IP, subnet mask, router di default, e gli indirizzi server DNS 'IP da un server in rete che esegue il software server DHCP. DHCP server sono configurati per assegnare i clienti (i dispositivi in rete) gli indirizzi IP da intervalli definiti dall'utente. Il server DHCP fornisce l'indirizzo IP di un dispositivo che ha richiesto a titolo di locazione, il che significa che l'indirizzo IP è "affittata" per un periodo di tempo limitato. Durante questo tempo, il server DHCP non sarà di locazione indirizzo IP a qualsiasi altro cliente. Prima che il tempo di affitto scade, il client DHCP deve chiedere una proroga del tempo di lease dal server DHCP. Il tempo di lease DHCP è configurabile da 120 secondi per qualunque amministratore sceglie. Attacco DHCP fame consiste di consumare lo spazio degli indirizzi IP assegnati da un server DHCP. Ciò può essere facilmente compiuta da un utente malintenzionato di trasmissione da un gran numero di richieste DHCP spoofing utilizzando indirizzi MAC. Il server DHCP le cede in indirizzi IP uno ad uno per l'attaccante fino a quando non si esaurisce di IP disponibili per i nuovi, i clienti normali. Questo porta a Denial of Service per i clienti della rete di chiedere gli indirizzi IP dal server DHCP. A questo punto, l'utente malintenzionato può creare un server DHCP canaglia servire i clienti con false informazioni, per esempio dando loro il proprio indirizzo IP come router di default. Ciò si tradurrà in tutto il traffico che passa attraverso il computer dell'attaccante, rendendo così molto facile per lui o lei a intercettare tutto il traffico di rete dal client. Il server DHCP canaglia può essere impostato anche senza eseguire l'attacco DHCP fame, come clienti accettare la DHCPOFFER prima che ricevono. Entrambi questi attacchi possono essere facilmente realizzata utilizzando svuota, uno strumento semplice che può essere trovato su Internet. Purtroppo, solo switch in grado di proteggere gli utenti contro questi attacchi. Attacco di fame DHCP può essere evitato utilizzando le funzionalità di sicurezza del porto, che non consentono più di X indirizzi MAC su una porta (lo stesso metodo di prevenzione, come per gli attacchi CAM). Tuttavia, l'attacco DHCP Rogue Server è più difficile da prevenire, ma speriamo che sia anche in futuro con l'attuazione di "autenticazione per i messaggi DHCP" descritto da RFC 3118. Per ora alcuni switch intelligenti e costoso avere un "snooping DHCP" la funzione, che filtra i messaggi DHCP da non-trusted host. ARP AttacchiARP sta per Address Resolution Protocol, Ed è il protocollo utilizzato per mappare gli indirizzi IP in indirizzi MAC. All'interno dello stesso dominio broadcast (segmento di rete), i computer lo scambio di messaggi ARP per trovare l'altro l'indirizzo MAC basati su l'indirizzo IP che hanno. ARP è essenziale per le comunicazioni TCP / IP, ed è un protocollo molto semplice, con quasi zero caratteristiche di sicurezza. ARP spoofing è un modo semplice di condurre attacchi di ARP con l'invio di trasmissioni con contraffatti MAC o gli indirizzi IP o causare Denial-of-Service o Man-in-the-Middle. Aggiunta IP / MAC coppie manualmente nelle tabelle ARP del computer in rete in grado di risolvere alcuni degli scenari di attacco ARP spoofing, ma è ben lungi dall'essere una soluzione a questo tipo di attacco. Il pacchetto molto popolare dsniff (http://www.monkey.org/ ~ dsniff / dugsong / ) Contiene strumenti ARP spoofing, tra attacchi di rete / strumenti di controllo. STP e VLAN agli attacchi legatiVirtual LAN (VLAN) sono logicamente reti indipendenti fisicamente collegati in una rete più ampia. L'idea alla base VLAN è quello di creare domini di broadcast multiple all'interno di una singola rete e di separare i tipi di traffico diversi gli uni dagli altri. VLAN può esistere in un singolo switch, VLAN e informazioni possono essere trasportati tra i sensori usando tronchi. Tronchi sono le interconnessioni tra gli switch che trasportano i dati tra loro utilizzando i tag per identificare a quale VLAN i dati a cui appartiene. Il protocollo è dominante tagging IEEE 802.1Q. Creazione di VLAN è una misura molto buona sicurezza a Layer 2 a causa della separazione dei diversi tipi di traffico. Tuttavia, gli switch configurato può consentire a un certo tipo di attacco chiamato VLAN hopping. VLAN hopping è un attacco in cui un utente malintenzionato tenta di inviare dati a host che appartengono ad altre VLAN tagging i dati con una diversa VLAN ID di quella a cui appartiene. Come 802.1Q implementazioni sono disponibili per Linux e altri sistemi operativi, e di alcuni fornitori '(ad esempio, Cisco) switch hanno la modalità predefinita per un porto come trunking, un aggressore può facilmente creare un collegamento tronco tra lo switch e per sé, essendo così in grado di comunicare a host in tutte le VLAN configurate su tale opzione. Un altro tipo di attacco che probabilmente tutti sanno è la creazione di loop di rete. Un ciclo di rete viene visualizzato quando due porte appartenenti alla stessa VLAN avere un legame tra loro, o quando ci sono due o più percorsi tra due switch. Gli utenti malintenzionati possono fisicamente creare dei loop di rete, e il modo più semplice per farlo è il collegamento di un cavo cross-connect a due porte che appartengono al medesimo switch e la stessa VLAN (lo stesso dominio di broadcast). Quando un ciclo appare in una rete, le trasmissioni di viaggio infinitamente entro tale VLAN, inondazioni ogni porto che appartiene a quella VLAN per ogni switch della rete, portando così la rete verso il basso. STP Spanning Tree Protocol (IEEE 802.1D) è stato progettato per evitare loop di rete. STP opere di disattivare i collegamenti che possono formare un anello di rete, aumentando la possibilità di schierare i collegamenti ridondanti nella rete che, senza STP si verrebbero a creare dei loop di rete. STP manipolazione è un tipo di minaccia in cui un utente malintenzionato di configurazione trasmissioni STP o modificare la topologia BPDU (Bridge Protocol Data Units), costringendo calcoli STP e aspetta che l'attaccante diventa il ponte principale. Come root bridge, l'attaccante può intercettare i frame Ethernet appartenenti ad altre VLAN. 802.1D STP dura circa 30 a 45 secondi di rieleggere un ponte principale, se il vecchio ponte di root non riesce, con una conseguente attacco DoS. Strato 3Security MinacceA livello di rete del modello OSI, troviamo il protocollo Internet (IP) con ICMP di essere una parte del protocollo Internet. Layer 3 è vulnerabile a diversi attacchi DoS e attacchi di divulgazione della privacy. Packet sniffingAbbiamo discusso packet sniffing in precedenza in questo articolo e come aggressori in una rete commutata può intercettare i pacchetti che non appartengono a loro. Se la rete non è acceso (ad esempio un Hub è utilizzato) packet sniffing diventa molto più facile. Sniffing dei pacchetti attraverso l'acquisizione del traffico IP utilizzando strumenti come dsniff, tcpdump, ethereal, ecc Poiché i dati da strati superiori vengono incapsulati in pacchetti IP, tutti i informazioni da questi livelli possono essere divulgati, quando si analizzano (decapsulating) i pacchetti IP. protocolli come POP3, SMTP, SNMP, ecc, le password in chiaro, e così, decodifica catturato i pacchetti IP può causare la divulgazione di tali dati sensibili. Gli sniffer come dsniff sono strumenti molto bello per decodificare i pacchetti e conservare queste informazioni in un file di testo in chiaro. Protezione Layer 2 con switch gestiti possono ridurre drasticamente il successo di packet sniffer nella rete. Inoltre, la creazione di VPN criptate utilizzando IPSec o altri mezzi di cifratura si riduce la possibilità dei dati possa essere sniffata quasi a zero. un articolo presentato da Philip A Clare Disclaimer:Il nostro sito non è responsabile per il contenuto di questo articolo. Webarticles è una risorsa gratuita di informazioni. Importante: Questo articolo "Linux Security Threats" è stato tradotto da un software automatico. Ci dispiace per eventuali errori di ortografia che possono essersi verificati. Grazie per la vostra comprensione.
|
|||||
| Online: 264 users browsing the articles directory |
|
|