Икономически университет – Варна

Катедра – Информатика

Реферат

Тема: Методи и средства за филтриране на трафика в LAN мрежи

по

Безопасност и защита на компютърни системи и приложения

Разработил: Деян Викторов Чакъров Преподавател: Доц.д-р Стефан Дражев

специалност: ИТ иновации в бизнеса Преподавател: ас. Радка Начева

СИН №: 400474, Ф. №: 104865

Съдържание

Увод...............................................................................................................................................1

I. Заплахи и контрамерки.........................................................................................................2

1. Събиране на информация..............................................................................................3

2. Душене (sniffing)............................................................................................................3

3. Измама (spoofing)...........................................................................................................4

4. Прихващане на сесия.....................................................................................................4

5. Отказ от услуга...............................................................................................................5

II. Методи и средства за защита............................................................................................5

1. Рутер................................................................................................................................6

2. Защитна стена (Firewall)................................................................................................9

3. Комутатор (switch).......................................................................................................10

4. Допълнителни средства за филтриране.....................................................................11

Заключение.................................................................................................................................12

Използвана литература..............................................................................................................13

Увод.

Целта на настоящата курсова работа е да се направи анализ на потенциалните заплахи и

да се пояснят методите и средствата за повишаване на сигурността, без които не би било

възможно да се приложи акуратна защита в локалната мрежа. LAN (на английски: Local Area

Network, LAN) е вид малка компютърна мрежа, която обслужва компютри и други устройства,

като например мрежови принтери или скенери, свързани помежду си. Връзката между

устройствата се осъществява посредством Ethernet стандарт чрез кабели или през Wi-Fi

въздушно свързване чрез радио сигнали по определени стандарти. Локалните мрежи служат за

споделяне и обмен на информация между компютрите. Могат и да се свързват приложения,

които са инсталирани на различни компютри в мрежата, например програма, която работи на

един компютър, би могла да използва помощни програми от друго устройство. Възможно е и

синхронизиране на файлове в цялата мрежа. LAN мрежите се делят на няколко вида. Според

организацията или мрежовите протоколи, които използват, мрежите биват с равноправен достъп

(peer-to-peer) или тип клиент-сървър. При втория тип един от компютрите има централна роля и

се нарича сървър, а останалите се наричат клиенти или работни станции. При мрежите с

равноправен достъп всеки компютър работи и като клиент и като сървър. Топологията на

мрежата описва геометричната структура на междусистемните връзки между устройства и

мрежови сегменти например пръстен или звезда. Мрежите могат да се делят и йерархично на

два типа: работна група (Workgroup) и домейн (Domain). При работната група всички работни

станции са равнопоставени, докато в домейна структурата е пирамидална. За да се гарантира

нормалния обмен на информация между потребителите е необходимо да се прилага определен

контрол (филтриране) на потока от данни, спомагащ за облекчаване на трафика в локалната

мрежа и повишаване на сигурността. Филтрирането е процес на пропускане или блокиране на

пакети от информация в мрежовия интерфейс на базата на адреса на източника и на получателя,

на портове или протоколи. Често се използва в комбинация с компресирането на пакети и с

Network Address Translation (NAT). Може да бъде и част от защитна стена, предотвратяваща

нежелана намеса в локалната мрежа.

1

I. Заплахи и контрамерки.

Локалната мрежа е входната точка за приложенията на потребителите. Тя осигурява

първоначален контрол чрез правила за достъп до различни сървъри във виртуалната среда.

Сървърите са защитени от техни собствени приложения в операционната им система, но е

изключително важно да не бъдат атакувани от различни заплахи от мрежово ниво. Не трябва да

се позволява и контролните правила да бъдат променяни или подменяни от измамници.

Накратко, мрежовата сигурност включва защита на мрежови устройства и данните, които те

предават.

Основните компоненти на мрежата, които играят роля на предна защита са рутер,

защитна стена и суич (Фигура 1).

Фигура 1 – Структура на LAN мрежа.

Хакерите търсят слабо конфигурирани мрежи, които да експлоатират. Общите

уязвимости включват слаба инсталация по подразбиране, широк достъп до контролните

функции и недобре свързани устройства. С най – вискок риск са следните заплахи:

събирането на информация;

2

„душене“ (sniffing1) ;

измамама, заблуда (spoofing2);

прихващане на сесия на предаване на информация;

отказ от услуга (denial-of-service – DoS).

С познаването на основните заплахи, които могат да заплашат локалната мрежа, могат да

се приложат ефективни методи за отблъскването им.

1. Събиране на информация.

Събирането на информация може да разкрие детайлно цялата топография на LAN

мрежата, конфигурацията на системата и на мрежовите устройства. Хакерите използват този

метод, за да насочат атаките си към откритите слабости. Основните недостатъци, които правят

мрежата податлива на недобронамерени действия са несигурната природа на TCP/IP

протоколите, информация за конфигурацията, предоставена от банери, и открит достъп до

услуги, които могат да бъдат блокирани. Най – общо атаките при събирането на информация се

състоят от използването на команда Tracert, за да се засече структурата на мрежата, на команда

Telnet за отваряне на портове за достъп на банери, сканиране за отворени портове и излъчване

на заявки (broadcast requests) за определяне броя на хостовете в мрежата. Тези пропуски в

сигурността могат да се избегнат чрез изполването на банери, чиято функционалност не

предоставя информация за конфигурацията като версия или име на софтуера. Прилагат се

защитни стени, маскиращи услугите, които не бива да бъдат изложени в публичното

пространство.

2. Душене (sniffing).

Душенето, още наречено подслушване, е акт на наблюдаване на мрежовия трафик за

данни, като пароли в явен текст или информация за конфигурацията на мрежата. С прост пакет

sniffer, целия трафик може да бъде прочетен лесно. Също така леките „хаш“ алгоритми

(алгоритми за раздробяване на трафика на пакети) могат да бъдат кракнати и информацията

1 Sniffing е технология за прихващане на информация чрез следене и четене на информацията от целия трафик на мрежата.

2 Spoofing е заблуждаване или измама на компютърни системи или потребители най – често през имейл.

3

заложена в тях да бъде разшифрована. Слабите места, правещи мрежата податлива на

подслушване включват слаба физическа сигурност, липса на криптиране на информацията при

изпращането на чувствителни данни и услуги, комуникиращи в прав текст или при слабо

криптиране. Хакерите поставят sniffer пакети из локалната мрежа, за да прихванат целия

трафик. Противодействия биха били силната физическа защита, предотвратяваща поставянето

на външни устройства в мрежата, и закодирани идентификационни данни при предавнето на

информацията.

3. Измама (spoofing).

Спууфинг, познато още като присвояване на самоличност, е предназначено да скрие

истинската идентичност в мрежата. Използва се фалшив източник на адрес, който не

представлява актуалния адрес на инициатора на пакета от данни. Може да се използва за

прикриване на източника на атака или да влияе на контролните списъци за достъп до мрежата,

които ограничават използването на мрежата от хостовете, базирано на адресни правила за вход.

Причините, правещи LAN мрежата уязвима на този вид атаки са: несигурния характер на TCP/IP

протокола и липсата на пресяване на информацията при входа и изхода на мрежата.

Входиращото филтриране (ingress filtering) е проверяването на всеки IP пакет с несигурен адрес

на източника преди да постъпи и окаже въздействие в системата. Изходното филтриране (egress

filtering) е процес на проверка на изходящия от мрежата трафик. Хакер може да използва

различни инструменти, за да модифицира изходящите пакети по такъв начин, че да изглеждат

сякаш произлизат от заместваща мрежа или хост. Защитата би се подобрила ако се прилага

входящо и изходящо филтриране при рутера на мрежата.

4. Прихващане на сесия.

С прихващането на сесия, атакуващият използва приложение, което се маскира или като

клиент или като сървър. Това води до заблуждаването и на сървъра и на потребителя, че

източника на потока от данни е легитимен хост и мрежата е манипулирана, че именно той е

желаната дестинация. Тази атака се използва за придобиването на информация за пароли или

конфиденциални данни. Проблем предизвикващ подобни недоброжелателни действия са

слабата физическа защита, несигурния TCP/IP протокол и некриптираната комуникация между

4

устройствата в мрежата. Използват се разнообразни средства за заблуждаване, промени в

маршрутизацията и манипулиране на потока от данни. За да се избегне прихващането на

информацията е необходимо кодиране на сесиите и редовна проверка на състоянието на

защитната стена.

5. Отказ от услуга.

Атаката отказ от услуга (DoS), представлява отричане на достъпа на легитимни

потребители до сървъра или до различни услуги в системата. Обикновено се осъществява чрез

наводняване на мрежата с трафик, като по този начин се изразходват голяма част от честотата на

предаване и ресурсите на мрежата. Слаби места са присъщата несигурност в на TCP/IP

протокола, слабата конфигурация на машрутизатора или комутатора, предаване на некодирани

данни или бъгове в софтуера на услугите. Атаките включват използването на каскадно

наводняване с пакети от информация, SYN3 атаки и експлоатиране на системата чрез

препълване на буфера. Противодействие би било филтриране на излъчваните заявки,

филтрирането на интернет контрол на съобщенията протокола (ICMP) и актуализирането на

софтуера на услугите.

II. Методи и средства за защита.

За да се защити дадена система или мрежа е необходимо да се осъзнае как работи тя.

Мрежовата инфраструктура би могла да се разбие на няколко нива: достъп, дистрибуция и ядро.

Тези елементи съдържат целия необходим хардуер за контрол на достъпа от и към външни и

вътрешни ресурси. Основните компоненти на мрежата са:

маршрутизатор (router) – най външната защита, отговорна за рзпределянато на IP

пакетите в мрежите, за които е свързан. Използва се за блокирането на нежелан и

неоторизиран трафик между мрежите. Той също би следвало да е защитен срещу

реконфигуриране с актуален административен софтуер;

3 SYN attacks – последователност от SYN заявки до определена система, за да се заемат достатъчно ресурси и по този начин системата да стане неизползваема за легитимните хостове.

5

защитна стена (firewall) – ролята на защитната стена е да блокира неизползваните

портове и да позволява трафик само от познатите такива. Тя трябва да наблюдава

пристигащите заявки за предотвратяване на атаки към сървъра;

комутатор (switch) – с минимална раля в сигурната мрежова среда. Предназначен е за

подобряване на мрежовата производителност и улесняване на администрирането.

Поради тази причина той може да бъде лесно конфигуриран чрез изпращането на

специални форматирани пакети към него.

6. Рутер.

Рутера осигурява маршрутизирането на пакетите от данни и може да блокира или

филтрира разпространението на такива пакети, за които се знае, че са уязвими или могат да

бъдат използвани злонамерено, като ICMP или SNMP (Simple Network Management Protocol)

протоколите. Ако на този етап липсва контрол, то последващата защита би била неефективна.

Основните конфигурационни категории на маршрутизатора са пачове и ъпдейти, протоколи,

администриране на достъпа, мрежови услуги, контрол на входа на мрежата и засичане на

прониквания в нея.

Допълването на софтуера и неговото редовно актуализиране (patches and updates), което

се осигурява от производителя на мрежовия хардуер, спомага за познаването на актуланите

пропуски в защитата и софтуерните услуги и своевременното реагиране на заплахите. Атаките

от типа октаз от услуга често се възползват от слабостите на ниво протоколи. За ефективни

контрамерки е необходимо използването на филтриране на входа и на изхода на мрежата и

наблюдаване на ICMP трафика от интернет пространството. Входящи заявки с вътрешен

мрежови адрес, са ясна индикация за опит за проникване или проучване, и би следвало да им се

отказва достъп до обхвата на LAN мрежата. Настройването на рутера да маршрутизира

изходящи пакети само ако те имат валиден мрежови адрес, не предпазва от външни атаки, но

поне предотвратява тяхното възникване във вътрешната мрежова среда. ICMP е протокол, който

стои на върха на мрежовия адрес и позволява достъпната информация между два хоста да бъде

проверена. Най – често използваните ICMP съобщения са показани в Таблица 1.

6

Таблица 1

Основно използвани ICMP съобщения

Съобщения Описание

Echo request Определя дали хост или рутер е достъпен в мрежата

Echo reply Отговаря на ICMP echo request

Destination unreachable Информира хост че, данните не могат да бъдат доставени

Source quench Информира хоста да намали скоростта на предаване на данните поради задръстване на трафика

Redirect Информира хоста за предпочитания маршрут

Time exceeded Изтичане на времето на сесията

Блокирането на ICMP протокола от въшния периметър на рутера, защитава от

наводняване на трафика в мрежата. Поради тази причина е важно да се контролира и да се

използва само в Echo request състояние. Директния трафик може да спомогне за разкриване на

цялата структура на мрежата и за атаки от типа отказ от услуга. Например с блокирането на

определни мрежови адреси може да се предотврати злонамерени „ехо заявки“ да блокират

честотата на мрежата. Такива адреси са показани в Таблица 2.

Таблица 2

Адреси за блокиране

Адреси Описание

0.0.0.0/8 Исторически първия адрес за излъчване на заявки

10.0.0.0/8 Адрес, запазен за подмрежовата маска

127.0.0.0/8 Адрес за тестване на способността за излъчване на заявки

7

169.254.0.0/16 Адрес за свързване на локални мрежи

172.16.0.0/12 Запазен от IETF4 за частна мрежа

192.0.2.0/24 Адрес използван за специални цели IETF

192.168.0.0/16 Използван за комуникация в частна мрежа

224.0.0.0/4 Запазен за множество зададния

240.0.0.0/5 Запазен за бъдещо ползване

248.0.0.0/5 Неразпределен адрес

255.255.255.255/32 Адрес, запазен за излъчване на заявки в цялата мрежа

За допълнителна защита трябва да се зададе на рутера точно от кой хост и коя мрежа ще

се извършва административния достъп и да се ограничат всички други възможности за вход към

устройството. Нужно е да се остави активен само интерфейса, който е необходим, да се въведат

сложни кодове за достъп, да се използва статично маршрутизиране и да се прави строга

проверка на уеб приложенията за администриране (външен интерфейс) и ако е възможно да се

остави активен само софтуера за администриране от вътрешни източници.

Всеки отворен порт на рутера се асоциира с услуга за приемане на заявки (listening

service). За да се редуцира обхата на дадена атака, е необходимо всички ненужни портове да

бъдат изключени. Например услугите bootps и Finger, които са рядко използвани.

Маршрутизатора може да бъде сканиран, за да се проверят кои портове са отворени.

По подразбиране всички логове (свързвания) към рутера не извършват някакви действия.

Трябва да се осигури централно място на съхранение на лог файловете. Съвременните

маршутизатори имат набор от функции за регистриране, което включва възможността да се

зададе предимство на логванията в зависимост от преходни данни за свързванията. Следва да се

зададе и график за рутинна проверка на лог файловете за признаци на проникване или

сондиране на мрежата.

4 IETF - основните органи в областта на техническите разработки и определянето на стандарти за Интернет.

8

С правилно зададени ограничения в рутера за предотвратяване на TCP/IP атаки, той би

могъл да засече кога се извършва недоброжелателна намеса в системата и да уведоми системния

администратор на устройството. Поради факта, че хакерите научават устройството на LAN

системата, те могат да заобиколят наложените ограничения за достъп в нея, а системите за

засичне на намеса (Intrusion Detection Systems – IDSs) помагат да се определи къде точно ще

бъде извършена атаката.

7. Защитна стена (Firewall).

Наложително е всеки път когато се оперира в среда на непозната мрежа да бъде

приложена защитна стена. След рутера с неговите средства за филтриране на трафика, защитна

стена е следващата цел за атака. В повечето случаи хостовете нямат достъп до маршрутизатора,

но много от неговите филтри могат да се приложат и при защитната стена. Категориите за

конфигуриане на Firewall включват допълване на софтуера и неговото обновяване, филтриране,

контрол и наблюдения на свързванията, периметър на мрежите и засичане на непозволени

намеси в системата.

Обновяванията на софтуера спомагат за информираност за най – новите видове атаки и

по този начин защитата би била по – ефективна.

Филтрирането на отворени портове на защитната стена е ефективен начин за блокиране

на злонамерени пакети в трафика на мрежата. Обхвата на филтритте варира от филтриране на

прости пакети от данни, които ограничават трафика, до сложни филтри на апликациите, които

проверяват натоварването, предизикано от конкретни приложения. Използването на слоесто

филтриране е много ефективен начин за блокиране на атаки. Съществуват няколко типа филтри

на защитната стена: пакетни филтри (packet filters) – базирани на протоколи, на адреса на

изпращача и получателя или на име на компютър; филтри на верижно ниво (circuit-level filters) –

инспектират повече сесиите вместо пренасяния пакет от данни; филтри на приложенията

(application filters) – анализиране на потока от данни, произлизащ от приложения и осигуряване

на определено обработване на информацията; зададени филтри (stateful inspection) – преглед на

състоянието на мрежовите връзки и сесии и тяхната цялост, при пътуването им из LAN средата;

9

филтри за специални приложения (custom application filters) – осигуряват целостта на

комуникацията на приложенията от типа клиент-сървър.

Трябва да се приложат следните политики за свързванията (logging): да се следи целия

трафик, поддържане на логова ротация за по – бърз анализ на данните и синхронизация на часа с

другите устройства в мрежата. Така би било възможно да се засекат опити за външни намеси в

мрежата или в по – лошия случай, да се установят вече извършени такива.

Периметъра от мрежи представлява определяне на вида мрежи, с които оперират

хостовете. Например ако интернет сървърите се свързват с крайна мрежа като хранилища на

база данни или корпоративна мрежа, то между двете трябва да има екран, който да ги изолира.

Предимства са че, работните станции и сървъри не са директно изложени на ненадежни мрежи,

отворените посртове и услуги са единствените входове за атаки, при достъпа се прилагат

правилата за сигурност. Слабостите са висока сложност на мрежата, разпределяне и управление

на IP адресите, изисквания към приложенията да съвпадат с дизайна на зададените мрежи.

8. Комутатор (switch).

Комутатора отговаря за разпределението на пакетите от данни директно към хост или

сегмент от мрежата. Трафикът не се споделя между мрежи, свързани със суич. Това е

превантивна мярка срещу подслушване на пакетите между мрежите. Един хакер може да

заобиколи лесно тази защита чрез реконфигуриране на правилата заложени в комутатора,

използвайки лесно достъпни административни интерфейси или познаване на паролите и

имената на потребителите и използването на прост протокол за управление на съобщенията

(Simple Network Management Protocol – SNMP). Категориите за прилагане на защита са

актуализиаране на софтуера, виртуални мрежи (Virtual Local Area Networks – VLANs), промяна

на заложените по подразбиране правила за достъп, мрежови услуги и криптиране на данните.

Обновяването на софтуера е наложително за осъвременяване информацията за

съществуващите към момента заплахи. Виртуалните мрежи се използват за сегментиране на

мрежите и прилагане на правила за достъп към тях. Промяната на правилата за достъп означава

промяна на всички пароли и протоколи на ниво SNMP, заложени по подразбиране. Изклюване

на всички неизползвани усуги – Trivial File Transfer Protocol (TFTP) е спрян, админстративните

10

точки на достъп, базирани на интернет, премахнати и приложен към комутатора списък на

разрешения за достъп (ACLs5). Въпреки че, криптирането не се изпълнява традиционно при

комутатора, то неговото прилагане спомага да се създаде допълнително звено за защита при

свързаните с него мрежи.

9. Допълнителни средства за филтриране.

Съществуват и различни софтуерни средства за филтриране на трафика и контрол на

достъпа до LAN мрежи. Представляват сложни приложения, предоставящи на мрежовите

инженери или администратори, подходящи инструменти да наблюдават и управляват интернет

дейностите в локалните мрежи. Някои от режимите им на работа като „Gateway”, „Bridge”,

„Redirect” и „Single” , са приложими към всякакви видове мрежи. Други приложения предлагат

съществени методи, които позволяват на администраторите да изискват от потребителите

автентикация при свързването им с интернет. Могат да се настроят и филтри, активиращи се за

период от време, позволявайки на отделни сегменти от мрежата да имат достъп до интернет пo

различно време. Използването на филтри при портовете, спомага управляването и

ограничаването на свързването с определени интернет проложения като сайтове за игри, радио,

чатове и други. Инструментите за следене на потока от данни предоставят излгед към

изходящия трафик в реално време посредством динамична диаграма на потока. Могат да се

активират или изключат различни видове филтри като „DNS“, „HTTP“, „SMTP“, „POP3“, „FTP“,

„P2P“, „MSN“ и др., ограничаващи и контролиращи всички важни аспекти, свъразани с

използването на интернет. Най – общо може да се закючи че, изпoлзването на софтуерни

средства превръща контрола и управлението на LAN мрежите в лека и приятна задача.

Заключение.

5 ACL – е виртуален списък на разрешения, прикрепен към обект.

11

Добре защитената LAN мрежа осигурява на потребителите безпроблемно споделяне на

данни и сигурност при сърфиране в интернет. За да се постигне това е необходимо правилното

конфигуриране на устройствата и софтуера в мрежата. Операционната система на

маршутизатора и комутатора да е актулана и с най – нови допълнения. Неизползваните

протоколи и портове да бъдат спрени. Целият трафик на информация трябва да бъде

наблюдаван и котролиран отвътре. Административният достъп до устройствата да е добре

защитен със силни пароли и всички интерфейси за управление изключени или ограничени до

минимум. Таблиците с историята за влизанията да се съхранява на централно и добре защитетно

място, както и да бъдат настроени средства за засичане на опити за намеса от външни

източници. Всички филтри трябва да блокират целия трафик без този, който е необходим за

нормалното функциониране на мрежата и предварително определен в защитната стена. Всички

пароли по подразбиране трябва да бъдат сменени и предаването на информацията криптирано.

Допълнителни методи за повишаване на сигурността са часовото време на всички устройства в

мрежата да е синхронизирано и виртуалния списък на устройствата с разрешен достъп до

мрежата да бъде приложен към рутера или суича. Като цяло мрежовата сигурност означава

защитата на устройствата, които са в нейния обхват и защита на информацията, която предават

помежду си.

Използвана литература.

12

1. J.D. Meier, Alex Mackman, Michael Dunner, Srinath Vasireddy, Ray Escamilla and

Anandha Murukan, Microsoft Corporation. Improving Web Application Security:

Threats and Countermeasures. Публикувано Юни 2003 г. Извлечено на 14.04.2015.

Достъпно на адрес: https://msdn.microsoft.com/en-us/library/ff648651.aspx.

2. BEAL,Vangie. Quinstreet Enterprise. LAN - local-area network. Извлечено на

14.04.2015г. Достъпно на адрес:

http://www.webopedia.com/TERM/L/local_area_network_LAN.html.

3. ADMIN, John. Articles, Security: What is Sniffing? Публикувано 2011 г. Извлечено

на 15.04.2015 г. Достъпно на адрес: http://www.101hacker.com/2011/04/what-is-

sniffing-in-computers.html.

4. Internet Terms. Spoofing. Обновено на 13.11.2007 г. Извлечено на 15.04.2015 г.

Достъпно на адрес: http://techterms.com/definition/spoofing.

5. DAN, Marina. Softpedia. Active Wall Web Filter. Последно обновено на 26.11.2013 г.

Извлечено на 19.04.2015 г. Достъпно на адрес:

http://www.softpedia.com/get/Security/Firewall/Active-Wall-Free-Edition.shtml.

13