Filtracja Pakietów Propagowanych: Definicja i Mechanizmy
- Szczegóły
W dziedzinie zabezpieczeń ruchu sieciowego dużą rolę odgrywają systemy kontroli komunikacji nazywane w języku ang. firewall. W języku polskim ścierają się na ogół dwa terminy: zapora sieciowa oraz ściana przeciwogniowa.
Filtracja pakietów to podstawowa forma zabezpieczenia sieci. Polega na analizie pakietów (a dokładniej parametrów ruchu zawartych w nagłówkach pakietów) warstwy 3 (czasami 2-4) modelu OSI. Podstawowym zagadnieniem dotyczącym realizacji zapory sieciowej tego typu jest kwestia definicji reguł filtracji.
Możliwe jest utrzymywanie oddzielnych list filtracji dla ruchu wchodzącego i wychodzącego z zapory sieciowej.
Reguły zdefiniowane na statycznej liście filtracji są przeglądane sekwencyjnie do pierwszego trafienia. Dla pasującej reguły jest aplikowane zdefiniowane w niej działanie (na ogół akceptacja lub odrzucenie pakietu).
Statyczne reguły filtracji posiadają kilka ograniczeń. Przykładowo niektóre usługi trudno poddają się filtracji statycznej (np. FTP, X11, DNS).
Przeczytaj także: Definicja i pomiar filtracji kłębuszkowej
Z pomocą przychodzą pewne nowe rozwiązania proponowane w samych protokołach aplikacyjnych. Coraz powszechniej wprowadza się i stosuje tryby pracy zmodyfikowane pod kątem usprawnienia filtracji, np. tryb passive w protokole FTP.
Komputer Twierdza i Separacja Sieci
Komputer Twierdza to stacja z odseparowanymi interfejsami sieciowymi (Dual Homed Host Gateway) zajmująca miejsce węzła międzysieciowego. Oferuje fizyczną i logiczną separację prywatnej sieci lokalnej od zewnętrznej sieci publicznej. Dzięki separacji interfejsów tylko Komputer Twierdza jest widoczny z sieci publicznej. Zatem, aby wtargnąć do sieci prywatnej trzeba uprzednio zawładnąć Komputerem Twierdzą.
Komputer Twierdza pełni rolę bramy aplikacyjnej - usługi pośredniczące i zastępcze (proxy) rozwiązują problem usług trudnych do filtracji.
Translacja Adresów Sieciowych (NAT)
W tym przypadku pakiety wychodzące z sieci wewnętrznej otrzymują nowy adres źródłowy w nagłówku. W przykładzie, pakiet wychodzący w rzeczywistości z adresu IP równy 10.1.1.1 otrzymuje po translacji adres źródłowy serwera translacji (jest nim brzegowy węzeł międzysieciowy), mianowicie 150.254.1.100.
W mechanizmie Destination NAT (DNAT) pakiety przychodzące ze strony inicjującej (na ogół - sieci zewnętrznej) otrzymują nowy adres docelowy (w tym w szczególności - port). Celem może być przekierowanie ruchu określonej usługi pod rzeczywisty, nie ujawniany na zewnątrz, adres wewnętrznego serwera tej usługi.
Przeczytaj także: Webber AP8400 - wymiana filtrów
Wyzwania i Problemy z Zaporami Sieciowymi
Zapory sieciowe cierpią na wiele problemów, zarówno technologicznych jak i realizacyjnych. Problemy technologiczne dotyczą np. usług takich jak FTP. Problemy technologiczne związane są również z wykorzystaniem w ruchu sieciowym mechanizmów takich jak fragmentacja IP.
Istotne problemy niesie ze sobą pielęgnacja reguł filtracji. Szczególnie trudna jest ona do sprawnego przeprowadzenia w przypadku dużych zbiorów reguł. Dodatkowo potęgują trudności częste na naszym rynku informatycznym zmiany personelu i brak dokumentacji uniemożliwiający pielęgnację starych reguł (odziedziczonych po poprzednim administratorze).
Ostrożnie należy też postępować z tunelami wirtualnymi. Autoryzowane tunele VPN mogą być potencjalnym nośnikiem nieautoryzowanych treści poza kontrolą zapór ogniowych. Zatem powinny być zaplanowane i zrealizowane w sposób przemyślany. Podobnie jak VPN, również propagowanie połączeń (port forwarding) może przyczynić się do skutecznego ominięcia kontroli na zaporze.
Procedura Reakcji na Incydent
Procedura reakcji na incydent wymaga zastosowania szeregu rozwiązań technicznych, wykorzystywanych w celu wykrycia złośliwej aktywności. Określenie wektora ataku - zebranie danych dotyczących ataku z jak największej liczby źródeł. Poszukiwania powinny dotyczyć artefaktów sieciowych oraz występujących na hostach.
Ocena zebranych danych w celu eliminacji zdarzeń fałszywie pozytywnych (z ang. Analiza częstotliwości - wykorzystanie dużych zbiorów danych w celu estymacji typowych schematów ruchu/działania, zarówno w sieci, jak i w systemach hostów. Użycie algorytmów predyktywnych w celu identyfikacji aktywności, która jest niespójna z typowymi schematami.
Przeczytaj także: Optymalne rozcieńczenie bimbru
Analiza wzorców - analiza danych w celu identyfikacji powtarzających się wzorców, które są typowe dla mechanizmów zautomatyzowanych (np. malware, skrypty) lub dla bezpośredniej aktywności atakującego. Detekcja anomalii - dokonanie analizy (opartej na wiedzy i doświadczeniu zespołu zarządzającego systemem) zebranych artefaktów w celu identyfikacji błędów.
Podczas badania sieci istotny jest przegląd jak najszerszego zakresu artefaktów, mający na celu identyfikację podejrzanej aktywności, która może być powiązana z incydentem. W przypadku systemów operacyjnych MS Windows zgromadzenie wszystkich zadań zaplanowanych w Harmonogramie zadań, Obiektów Zasad Grupy (ang. Weryfikacja rejestru Windows oraz usługi VSS (ang. Zarchiwizowanie wyniku komendy journald. Połączenia protokołem RDP (ang.
Po stwierdzeniu, że system lub wiele systemów mogło zostać zaatakowanych, administratorzy i/lub właściciele systemu mają często pokusę, aby niezwłoczne podjąć działania. zaalarmowanie atakującego o tym, że ofiara jest świadoma ataku. Takie działanie może się przyczynić do ukrycia śladów działania lub nawet do podjęcia działań destrukcyjnych (np. Kontakt z infrastrukturą przeciwnika (np.
Niepowodzenie w zabezpieczeniu lub zgromadzeniu danych logowania może mieć krytyczne znaczenie poprzez niemożliwość zidentyfikowania nieuprawnionego dostępu do narażonych systemów:- w przypadku, gdy dane logowania o krytycznym znaczeniu nie zostały zebrane lub zachowane przez wymaganą ilość czasu, kluczowe informacje dotyczące incydentu mogą być niemożliwe do ustalenia.
Naprawianie wyłącznie symptomów, a nie głównej przyczyny: - zabawa w grę “zabij kreta” (ang. Protokoły FTP oraz Telnet przesyłają dane uwierzytelniające w tekście otwartym (ang.
Zalecenia i Dobre Praktyki
Popraw monitoring w celu uzyskania informacji dot. urządzeń, które korzystają z niezatwierdzonych usług VPN. Atakujący potrafią zidentyfikować serwery, które są przestarzałe lub których wsparcie wygasło (ang. end of life - EOL) w celu uzyskania dostępu do sieci i podjęcia złośliwych aktywności.
W celu ograniczenia atakującym zakresu możliwych do wykorzystania podatności zidentyfikuj i wyłącz porty, protokoły i usługi, które nie są niezbędne do prowadzenia oficjalnej działalności. Konta serwisowe są to zwykle konta uprzywilejowane, dedykowane dla konkretnych usług, nie są jednak przywiązane do konkretnego użytkownika domenowego.
W związku z tym, że usługi zazwyczaj opierają się o konta uprzywilejowane oraz posiadają uprawnienia administracyjne, często są celem ataku mającego na celu uzyskanie danych uwierzytelniających. W przypadku, gdy atakujący (lub malware) uzyska dostęp zdalny do komputera użytkownika, ukradnie dane uwierzytelniające (login/hasło), przejmie sesję dostępu zdalnego lub skutecznie zaatakuje podatność w narzędziach zdalnego dostępu - atakujący (lub malware) uzyska nieograniczoną kontrolę nad siecią korporacyjną.
Wyłącz wszystkie zdalne narzędzia zarządzania siecią, które nie są niezbędne do codziennego funkcjonowania IT. W przypadku podejrzenia, że atakujący uzyskał dostęp do Kontrolera domeny, hasła do wszystkich lokalnych kont - takich jak Gość, HelpAssistant, Konto Domyślne, System, Administrator oraz kbrtgt - powinny być zresetowane.
Kluczowe jest zresetowanie hasła powiązanego z kontem kbrtgt, bowiem konto to jest odpowiedzialne za obsługę zapytań o tickety Kerberos, jak również ich szyfrowanie i podpisywanie. Dokonanie przeglądu polityk dostępu w celu tymczasowego cofnięcia uprawnień/dostępu do zainfekowanych kont/urządzeń.
Odpowiednio wdrożone techniki i programy obronne stanowią utrudnienie dla atakujących, którzy próbują uzyskać dostęp do sieci i utrzymać ten dostęp w tajemnicy. Jeżeli program ochronny został wdrożony, atakujący powinien natknąć się w trakcie próby ataku na szereg barier. Jego obecność powinna zostać szybko wykryta, a reakcja na incydent powinna być szybka i skuteczna.
Jeżeli chodzi o bezpieczeństwo organizacji, to użytkownicy końcowi znajdują się na pierwszej linii frontu. Korzystaj z listy dozwolonych aplikacji na poziomie katalogów zamiast podejmować próby tworzenia wszystkich możliwości występowania aplikacji w środowisku sieciowym. Bezpieczne ustawienia domyślne umożliwiają uruchamianie aplikacji z katalogu PROGRAMFILES, PROGRAMFILES(X86) oraz SYSTEM32.
Ogranicz możliwość logowania do konta przez lokalnego administratora tylko do lokalnej sesji interaktywnej (np. Kontroluj i ogranicz administrowanie lokalne: np. Twórz kopie zapasowe w wersji offline w celu umożliwienia odzyskania danych w przypadku ataku typu ransomware lub w przypadku katastrof (np.
Przechowuj w bezpieczny sposób kopie zapasowe w wersji offline w odrębnej lokalizacji. Wdróż rozwiązania anti-malware na stacjach roboczych w celu zapobieżenia spyware, adware i malware. Ogranicz dostęp zdalny poprzez użycie dedykowanych tzw.
Nie pozwalaj użytkownikom na korzystanie z komendy su. Dopracuj konfigurację routera (np. unikaj pozostawienia możliwości zdalnego zarządzania routerem poprzez Internet, korzystania z domyślnych zakresów IP, włącz automatyczne wylogowanie po konfiguracji routera, korzystaj z szyfrowania). Popraw bezpieczeństwo zapory sieciowej (firewall), np.
Zarządzaj dostępem do Internetu (np. Zweryfikuj i zaplanuj konfigurację bezpieczeństwa Microsoft Office 365 (O365) lub innych usług chmurowych przed ich wdrożeniem.- Korzystaj z uwierzytelniania wielopoziomowego. Stwórz i wdróż bezpieczny, bazowy obraz systemu dla wszystkich urządzeń sieciowych (np.
Usuń zbędne pliki systemowe z Cisco IOS (Cisco Internetwork Operating System). To ograniczy liczbę potencjalnych celów wrogiej obecności (np. Usuń podatne na zagrożenia pliki systemowe z Cisco IOS (np. starsze wersje) z ustawień boot urządzenia (zob.
Zbadaj narzędzia, które są przygotowane do odpowiedzi na atak, a jeżeli opierają się o zewnętrzne domeny, zapewnij ich aktualizację tak, by spełniały wymagania organizacji. Stwórz zwykłe (nieuprzywilejowane) konta dla użytkowników posiadających uprawnienia do kont uprzywilejowanych i upewnij się, że tacy użytkownicy korzystają ze zwykłych kont do wszystkich czynności, które nie wymagają zwiększonych uprawnień (np.
Jeśli to możliwe, skorzystaj ze środków technicznych w celu wykrycia i zapobieżenia przeglądania sieci z wykorzystaniem kont uprzywilejowanych (np. Użyj uwierzytelniania dwustopniowego (np. W przypadku programowych tokenów typu soft nie należy ich przechowywać na tym samym urządzeniu, które wykorzystuje się do dostępu zdalnego (np. laptop), ale na innym urządzeniu, np.
Prowadź szkolenia zwiększające świadomość zagadnień dot. Właściwy podział sieci na poszczególne segmenty stanowi bardzo skuteczny mechanizm bezpieczeństwa, który powstrzymuje atakującego przed rozpowszechnianiem podatności lub przed przemieszczaniem się wewnątrz sieci wewnętrznej.
W przypadku nieprawidłowego podziału sieci atakujący będą w stanie rozszerzyć skutki swojego działania w celu uzyskania kontroli nad urządzeniami o znaczeniu krytycznym lub dostępu do danych wrażliwych lub własności intelektualnej. Osoby odpowiedzialne za architekturę bezpieczeństwa muszą rozważyć ogólny układ infrastruktury, segmentację oraz segregację.
Segregacja rozdziela segmenty sieci z uwagi na role oraz pełnione funkcje. Segmenty sieci wewnętrznej (LAN) są oddzielone przez tradycyjne urządzenia sieciowe, takie jak routery, które tworzą barierę między sieciami, zwiększają liczbę propagowanych domen oraz efektywnie filtrują ruch generowany przez użytkowników.
Wraz ze zmianą technologii rozwijane są nowe strategie, które mają zwiększyć efektywność IT oraz kontrolę bezpieczeństwa sieci. Wirtualne wyodrębnienie stanowi logiczną izolację sieci w ramach tej samej sieci fizycznej. Zasady dotyczące fizycznego wydzielenia sieci mają zastosowanie także do wirtualnego wyodrębnienia, przy czym nie jest wymagany dodatkowy sprzęt.
tags: #filtracja #pakietów #propagowanych #definicja
