Ameaças Linux Security
Camada 1 Ameaças de Segurança
OSI Layer 1 define ligações físicas. Existem alguns tipos de ataques que podem ser encontrados na Camada 1, incluindo: cabo ou fibra cortes de alta tensão aplicada sobre linhas de cobre sem ligações fontes interferência electromagnética campo trouxe perto de cabos de cobre, etc Protegendo a camada física está além do escopo presente artigo e deve ser feito por engenheiros de campo ou de transmissão. Contudo, é importante que os administradores de rede para saber como as ligações físicas são construídas, e têm rotas de backup para os mais importantes, bem como para os mais expostos. Layer 2 Ameaças de SegurançaCamada 2 do modelo OSI define a camada de enlace de dados. A camada de enlace pode ser um elo muito fraco em termos de segurança, eo pior é que isso pode afetar as camadas superiores, fazendo com que as interrupções de serviço ou de falhas de segurança. Na camada 2, podemos encontrar ATM, Frame Relay, PPP, Ethernet, Wireless LAN (802.11a/b/g), etc Desde o mais popular protocolo de camada 2 é Ethernet, vamos discutir a segurança em mais detalhes. Ataques MACMAC endereços usados em Ethernet, redes sem fio 802.11x, Bluetooth, FDDI, Fiber Channel, e Token Ring são identificadores únicos anexado ao equipamento de rede. Endereços MAC são 48 bits, deve ser único, e geralmente são apresentados no formato hexadecimal (por exemplo, "00-13-F7-18-A1-AC). A primeira parte 24 bits de um endereço MAC é o código atribuído pelo fabricante do IEEE, eo segundo 24 bits são atribuídos pelo fabricante para essa interface. Por convenção, o endereço MAC FF-FF-FF-FF-FF-FF é utilizados para a transmissão. uma questão de segurança encontradas na camada 2 é CAM table overflow, O que afeta comutadores da rede. CAM é uma parte física de um interruptor, que representa o conteúdo da memória endereçável, e armazena informações sobre endereços MAC disponíveis em cada porta física e seus parâmetros de VLAN associada. Fisicamente, a CAM é uma memória normal limitado. Em 1999, Ian Vitek criou uma ferramenta chamada macof, posteriormente integrada na dsniff, que as inundações interruptores com endereço de origem inválido MAC (até 155.000 / minuto). Esta ferramenta rapidamente enche-se a tabela CAM do switch ao qual o computador de executar a ferramenta está conectada, e também os interruptores adjacentes. O resultado deste ataque é um comportamento anormal da opção pela inundação do tráfego de entrada para fora em todas as portas (como um hub simples de idade), possibilitando assim um man-in-the-Middle (MIM ataque)-que o atacante pode começar a cheirar rede tráfego. Infelizmente, o Linux não pode protegê-lo contra esse tipo de ataque. Só conseguiu interruptores com opções de segurança do porto pode fazer isso. No entanto, o atacante só pode cheirar os pacotes dentro de sua VLAN, por isso é importante para determinar se esses ataques podem vir, e se certificar de que nenhum tráfego importante que passa através de VLAN. Outro problema de segurança com este assunto é MAC spoofing, Que é usada por atacantes para substituir uma entrada na tabela CAM de um endereço MAC conhecido em outra porta. Isto fará com que a opção de enviar o tráfego destinado à porta do computador atacado à porta em que o atacante está conectado. Este ataque causa de interrupção do serviço e pode ser usado como um ataque com o atacante MIM cheirar os pacotes destinados ao computador atacado. MAC spoofing ataques podem ser bloqueados somente nos interruptores, se os interruptores, instalações adequadas para isso. Ataques DHCPDHCP (Dynamic Host Configuration Protocol), descrito pela RFC 2131 (http://www.ietf.org/rfc/rfc2131.txt) é um protocolo usado por dispositivos em uma rede para obter as definições de configuração de rede como o endereço IP, máscara, roteador padrão, servidores DNS e endereços de IP de um servidor na rede executando o software do servidor DHCP. servidores DHCP são configurados para atribuir clientes (dispositivos na rede) endereços IP em intervalos definidos. O servidor DHCP fornece o endereço IP para um dispositivo solicitante a título de locação, o que significa que o endereço IP é "alugada" para um período limitado de tempo. Durante este tempo, o servidor DHCP não irá conceder o endereço IP para qualquer outro cliente. Antes do tempo de concessão expira, o cliente DHCP deve solicitar uma prorrogação do prazo de locação a partir do servidor DHCP. O tempo de concessão DHCP é configurável a partir de 120 segundos para qualquer escolha do administrador. DHCP ataque de fome consiste em consumir o espaço de endereços IP atribuídos por um servidor DHCP. Isso pode ser feito facilmente por um atacante transmitindo um grande número de pedidos DHCP usando endereços MAC falsificados. O servidor DHCP irá alugar os seus endereços IP um por um para o invasor até que ele esteja fora de IPs disponíveis para novos clientes normais. Isso leva à negação de serviço para os clientes na rede solicitando os endereços IP do servidor DHCP. Nesse ponto, o atacante pode criar uma servidor DHCP Rogue atendendo a clientes com informações falsas, por exemplo, dando-lhes o seu próprio endereço IP como roteador padrão. Isso resultará em todo o tráfego que passa pelo computador do atacante, o que torna muito fácil para ele ou ela para cheirar todo o tráfego da rede de clientes. O servidor DHCP Rogue pode ser configurado mesmo sem executar o ataque fome DHCP, como clientes DHCPOFFER aceitar o primeiro que eles recebem. Ambos estes ataques podem ser facilmente realizada utilizando glutão, uma ferramenta simples que podem ser encontrados na Internet. Infelizmente, muda só pode proteger os usuários contra esses ataques. DHCP ataque de fome pode ser evitada através das funcionalidades de segurança do porto que não permitem mais de X endereços MAC em uma porta (o mesmo método de prevenção como de ataques CAM). No entanto, o ataque do servidor DHCP não é mais difícil de prevenir, mas espero que seja no futuro, com a implementação de "Autenticação de mensagens DHCP" descrito pela RFC 3118. Pois agora alguns switches inteligentes e caros têm um "DHCP snooping função", que filtra as mensagens DHCP de não-confiável anfitriões. Ataques ARPARP significa Address Resolution Protocol, E é o protocolo usado para mapear endereços IP em endereços MAC. Dentro do mesmo domínio de transmissão (segmento de rede), computadores trocar mensagens ARP para encontrar um do outro endereço MAC baseado no endereço IP que eles têm. ARP é essencial para as comunicações TCP / IP, e é um protocolo muito simples, com quase zero recursos de segurança. ARP spoofing É uma maneira simples de conduzir ataques ARP enviando transmissões com MAC falsificados ou endereços IP ou causar negação de serviço ou Man-In-the-middle. Adicionando IP / MAC pares manualmente nas tabelas de ARP dos computadores na rede pode resolver alguns dos cenários de ataque ARP spoofing, mas está longe de ser uma solução para este tipo de ataque. O pacote dsniff muito popular (http://www.monkey.org/ ~ dugsong dsniff / / ) Contém ferramentas ARP spoofing ataque à rede, entre outros / as ferramentas de auditoria. STP e VLAN ataques relacionadosLANs virtuais (VLANs) são logicamente redes independentes fisicamente conectados em uma rede maior. A idéia por trás VLANs é criar domínios de broadcast múltiplos dentro de uma rede única e para separar os tipos de tráfego diferentes umas das outras. Múltiplas VLANs podem existir em um único switch, VLAN e informações podem ser realizadas entre os switches utilizando troncos. Trunks são as interconexões entre os switches que carregam dados entre eles usando tags para identificar a VLAN de dados que pertence. O protocolo é dominante tagging IEEE 802.1Q. Criando VLANs é uma medida de segurança muito bom na camada 2 devido à separação dos diferentes tipos de tráfego. No entanto, interruptores mal configurado pode permitir que um certo tipo de ataque chamado VLAN hopping. VLAN hopping é um ataque no qual um invasor tenta enviar dados para hosts que pertencem a outras VLANs por codificar os dados com uma VLAN ID diferente daquele a que pertence. Como 802.1Q implementações estão disponíveis para Linux e outros sistemas operacionais, e alguns fornecedores (eg Cisco) switches possuem o modo padrão para um porto, como o trunking, um atacante pode facilmente criar um link entre o tronco e mudar-se, assim, ser capaz de comunicar para hosts em todas as VLANs configuradas nessa opção. Outro tipo de ataque que provavelmente todo mundo sabe como é a criação de loops de rede. Um loop de rede aparece quando dois portos que pertencem à mesma VLAN tem um link para o outro, ou quando há dois ou mais caminhos entre os dois interruptores. Usuários mal-intencionados podem criar loops de rede física e, a maneira mais fácil de fazer isso é conectar um cabo cruzado para ligar dois portos que pertencem à mesma opção e mesma VLAN (mesmo domínio de broadcast). Quando um loop aparece em uma rede, transmissões de viagens infinitamente dentro dessa VLAN, inundando todos os portos que pertencem à VLAN para cada parâmetro na rede, trazendo assim a rede para baixo. STP Spanning Tree Protocol (IEEE 802.1D) foi projetado para evitar loops na rede. STP trabalha desativando os links que podem formar um loop de rede, levantando a possibilidade de implantação de links redundantes na rede que, sem STP, iria criar loops na rede. Manipulação STP é um tipo de ameaça em que a emitir um atacante STP configuração ou topologia mudança BPDUs (Bridge Protocol Data Units), forçando os novos cálculos STP e esperando que o atacante se torna a ponte raiz. Como ponte de raiz, o atacante pode farejar quadros Ethernet pertencentes a outras VLANs. 802.1D STP demora cerca de 30 a 45 segundos para re-eleger uma ponte de raiz, se a velha ponte de raiz falhar, resultando em um ataque DoS. Ameaças Layer 3SecurityNa camada de rede do modelo OSI, encontramos o IP (Internet Protocol) com ICMP sendo uma parte do Protocolo de Internet. Layer 3, é vulnerável a múltiplos ataques DoS e ataques de divulgação de privacidade. Packet SniffingDiscutimos farejar neste artigo e como os atacantes em uma rede comutada pode cheirar os pacotes que não pertencem a eles. Se a rede não está ligado (por exemplo, é usado um Hub) packet sniffing se torna muito mais fácil. Sniffing significa capturar o tráfego de pacotes IP, utilizando ferramentas como dsniff, tcpdump, ethereal, etc Como os dados das camadas superiores é encapsulado em pacotes IP, todos os informações essas camadas podem ser divulgados quando da análise (decapsulating) pacotes IP. protocolos como POP3, SMTP, SNMP, etc, transmitem senhas em texto claro e, portanto, decodificar pacotes IP capturados podem resultar na divulgação de tais dados confidenciais. Sniffers como dsniff têm ferramentas muito agradável para decodificar os pacotes e armazenar essas informações em um arquivo em texto puro. Proteção da Camada 2 com switches gerenciados podem reduzir drasticamente o sucesso de sniffers na rede. Além disso, a criação de VPNs IPSec criptografados usando criptografia de outros meios ou diminuirá a possibilidade de os dados serem rastreados quase a zero. um artigo submetido por Philip A Clare Isenção de responsabilidade:O nosso site não se responsabiliza pelo conteúdo deste artigo. Webarticles é uma fonte de informação livre. Importante: Este artigo "Linux Security Ameaças" foi traduzida por um software automático. Nós sentimos muito por quaisquer erros de ortografia que pode ter ocorrido. Obrigado pela sua compreensão.
|
|||||
| Online: 284 users browsing the articles directory |
|
|