16 Απριλίου 2011

ΑΣΦΑΛΕΙΑ ΔΙΚΤΥΩΝ


Τι σημαίνει ασφάλεια δικτύων;


Η ασφάλεια δικτύων και πληροφοριών μπορεί να οριστεί ως η δυνατότητα ενός δικτύου ή συστήματος πληροφοριών να αντισταθεί, σε δεδομένο επίπεδο αξιοπιστίας, σε τυχαία συμβάντα ή κακόβουλες ενέργειες που θέτουν σε κίνδυνο τη διάθεση, την επαλήθευση ταυτότητας, την ακεραιότητα και την τήρηση του απορρήτου των δεδομένων που έχουν αποθηκευθεί ή μεταδοθεί καθώς και τις συναφείς υπηρεσίες που παρέχονται είτε είναι προσβάσιμες μέσω των δικτύων και συστημάτων αυτών.


Ποιες είναι οι γενικές απαιτήσεις για την ασφάλεια δικτύων;


Η προστασία ενός δικτύου το οποίο συνδέεται και με το Internet είναι ένα θέμα που καλούνται να αντιμετωπίσουν οι σύγχρονες επιχειρήσεις και οργανισμοί. Οι γενικές απαιτήσεις ασφάλειας δικτύων και συστημάτων πληροφοριών μπορούν να διατυπωθούν με τα εξής τέσσερα, αλληλένδετα χαρακτηριστικά:


α) Διάθεση: Με τον όρο διάθεση εννοούμε ότι τα δεδομένα είναι προσβάσιμα και οι υπηρεσίες λειτουργούν, παρά τις όποιες τυχόν διαταραχές, όπως διακοπή τροφοδοσίας, φυσικές καταστροφές, ατυχήματα ή επιθέσεις.


β) Επαλήθευση ταυτότητας: Επιβεβαίωση της δηλούμενης ταυτότητας φορέων ή χρηστών. Για την επαλήθευση ταυτότητας απαιτούνται κατάλληλες μέθοδοι για διάφορες εφαρμογές και υπηρεσίες, όπως είναι η ηλεκτρονική σύναψη σύμβασης, ο έλεγχος της πρόσβασης σε ορισμένα δεδομένα και υπηρεσίες (π.χ. για τους τηλεργαζόμενους) και η επαλήθευση ιστοθέσεων (π.χ. για διαδικτυακές τράπεζες). Πρέπει επίσης να περιλαμβάνεται η δυνατότητα ανωνυμίας, δεδομένου ότι πολλές υπηρεσίες δεν χρειάζονται την ταυτότητα του χρήστη αλλά μόνο αξιόπιστη επιβεβαίωση ορισμένων κριτηρίων (των καλουμένων "ανώνυμων διαπιστευτηρίων"), όπως η φερεγγυότητα.


γ) Ακεραιότητα: Επιβεβαίωση ότι τα δεδομένα που έχουν αποσταλεί, παραληφθεί η αποθηκευθεί είναι πλήρη και δεν έχουν υποστεί αλλοίωση.


δ) Τήρηση του απορρήτου: Προστασία επικοινωνιών ή αποθηκευμένων δεδομένων έναντι υποκλοπής και ανάγνωσης από μη εξουσιοδοτημένα άτομα. Απαιτείται ιδιαίτερα για τη μετάδοση ευαίσθητων δεδομένων και είναι μία από τις απαιτήσεις που ανταποκρίνεται στο μέλημα προστασίας της ιδιωτικής ζωής των χρηστών δικτύων επικοινωνιών.


Ποια είναι τα βασικότερα είδη επιθέσεων κατά της ασφάλειας των δικτύων και πώς μπορούν να αντιμετωπιστούν;


α) Υποκλοπή επικοινωνιών. Οι ηλεκτρονικές επικοινωνίες μπορούν να υποκλαπούν και τα δεδομένα να αντιγραφούν ή να τροποποιηθούν. Η υποκλοπή μπορεί να πραγματοποιηθεί με διάφορους τρόπους.


Ενδεχόμενη ζημία: Η παράνομη υποκλοπή μπορεί να προξενήσει βλάβη, τόσο ως παραβίαση της ιδιωτικής ζωής των ατόμων, όσο και μέσω της εκμετάλλευσης των δεδομένων που έχουν υποκλαπεί, όπως συνθηματικών ή στοιχείων από πιστωτικές κάρτες για εμπορικό κέρδος ή δολιοφθορά.


Πιθανές λύσεις: Άμυνα έναντι της υποκλοπής μπορεί να προέλθει με την κρυπτογράφηση των δεδομένων που μεταδίδονται μέσω του δικτύου.


β) Μη εξουσιοδοτημένη πρόσβαση σε υπολογιστές και δίκτυα υπολογιστών (hacking, cracking). Η μη εξουσιοδοτημένη πρόσβαση σε έναν υπολογιστή ή σε ένα δίκτυο υπολογιστών πραγματοποιείται συνήθως κακόβουλα με την πρόθεση αντιγραφής, τροποποίησης ή καταστροφής δεδομένων. Αυτό τεχνικά αποκαλείται παρείσφρυση και μπορεί να γίνει με διάφορους τρόπους, όπως: i) με την αξιοποίηση πληροφοριών που προέρχονται από το εσωτερικό, επιθέσεις "λεξικού", ii) με βίαιες επιθέσεις (εκμεταλλευόμενες την τάση των χρηστών να επιλέγουν προβλέψιμα συνθηματικά), iii) με χειραγώγηση (που εκμεταλλεύεται την τάση των χρηστών να αποκαλύπτουν πληροφορίες σε φαινομενικά αξιόπιστα άτομα), και iv) με την υποκλοπή συνθηματικών.


Ενδεχόμενη ζημία: Η μη εξουσιοδοτημένη παρείσφρυση έχει ενίοτε ως κίνητρο διανοητική πρόκληση και όχι κερδοσκοπία. Ωστόσο, αυτό που αρχίζει ως μια διαδικασία παρενόχλησης αναδεικνύει τα τρωτά σημείων των δικτύων πληροφοριών και παρακινεί άτομα με εγκληματική ή δόλια πρόθεση να εκμεταλλευθούν αυτές τις αδυναμίες. Η προστασία κατά της μη εξουσιοδοτημένης πρόσβασης σε προσωπικές πληροφορίες, περιλαμβανομένων οικονομικών πληροφοριών, τραπεζικών λογαριασμών και δεδομένων υγείας, αποτελεί δικαίωμα των ατόμων. Για το δημόσιο τομέα και τη βιομηχανία, οι επιβουλές κυμαίνονται από την οικονομική κατασκοπεία έως τη δυνητική τροποποίηση εσωτερικών ή δημόσιων δεδομένων, συμπεριλαμβανομένης της αλλοίωσης του περιεχομένου δικτυακών τόπων.


Πιθανές λύσεις: Η πλέον κοινή μέθοδος προστασίας έναντι μη εξουσιοδοτημένης πρόσβασης είναι οι έλεγχοι συνθηματικού και η εγκατάσταση firewall. Ωστόσο, με αυτά παρέχεται περιορισμένη μόνο προστασία, και πρέπει να συμπληρώνεται και από άλλους ελέγχους ασφαλείας, όπως η αναγνώριση επιθέσεων, η ανίχνευση παρείσφρυσης και οι έλεγχοι στο επίπεδο εφαρμογής (περιλαμβανομένων των "έξυπνων καρτών").


γ) Διατάραξη δικτύων (denial of service), δηλαδή πρόκληση κατάρρευσης ενός δικτύου λόγω υπερφόρτωσης. Τα δίκτυα είναι σε μεγάλο βαθμό ψηφιοποιημένα και ελέγχονται από υπολογιστές. Ο πλέον κοινός λόγος διατάραξης δικτύου υπήρξε κατά το παρελθόν η βλάβη στο σύστημα υπολογιστή που ελέγχει το δίκτυο, ενώ οι επιθέσεις εναντίον δικτύου κατευθύνονταν κυρίως προς τους εν λόγω υπολογιστές. Σήμερα, οι περισσότερες επιθέσεις εκμεταλλεύονται τις αδυναμίες και ευπάθειες των συστατικών στοιχείων του δικτύου/λειτουργικά συστήματα, δρομολογητές, μεταγωγείς, εξυπηρετητές ονομάτων κλπ.).


Οι επιθέσεις μπορούν να λάβουν διάφορες μορφές: α) Επιθέσεις εναντίον εξυπηρετητών ονομάτων τομέα (DNS), β) Επιθέσεις δρομολόγησης, γ) Επιθέσεις άρνησης παροχής υπηρεσίας.


Ενδεχόμενη ζημία: Οι διακοπές είναι επιζήμιες για ορισμένες ιστοσελίδες, καθώς οι επιχειρήσεις βασίζονται ολοένα περισσότερο στην ανεμπόδιστη διάθεση των δικτυακών τους τόπων για τις εμπορικές τους συναλλαγές.


Πιθανές λύσεις: Οι επιθέσεις σε εξυπηρετητές DNS αντιμετωπίζονται κατ' αρχάς εύκολα με την επέκταση των πρωτοκόλλων DNS, π.χ. χρησιμοποιώντας ασφαλείς επεκτάσεις DNS που βασίζονται σε κρυπτογραφία δημόσιου κλειδιού. Πολύ δυσκολότερη είναι η άμυνα εναντίον επιθέσεων κατά του συστήματος δρομολόγησης. Το Internet έχει σχεδιαστεί για μεγιστοποίηση της ευελιξίας στη δρομολόγηση, καθώς με τον τρόπο αυτό περιορίζεται η πιθανότητα απώλειας υπηρεσίας σε περίπτωση που καταρρεύσει ένα μέρος της υποδομής του δικτύου. Δεν υπάρχουν αποτελεσματικά μέσα για ασφαλή πρωτόκολλα δρομολόγησης, ιδίως σε δρομολογητές κορμού.


Ο όγκος των μεταδιδόμενων δεδομένων δεν επιτρέπει λεπτομερές φιλτράρισμα, καθώς η εν λόγω επαλήθευση θα προκαλούσε ακινητοποίηση των δικτύων. Για το λόγο αυτό, τα δίκτυα εκτελούν μόνο βασικό φιλτράρισμα και λειτουργίες ελέγχου πρόσβασης, ενώ οι πιο εξειδικευμένες λειτουργίες ασφαλείας (π.χ. έλεγχος ταυτότητας, ακεραιότητα, κρυπτογράφηση) τοποθετούνται στα όρια των δικτύων, δηλ. στα τερματικά και στους εξυπηρετητές δικτύων που λειτουργούν ως τερματικά σημεία.


δ) Εκτέλεση κακόβουλου λογισμικού που τροποποιεί ή καταστρέφει δεδομένα (ιοί, worms και Trojan horses). Οι υπολογιστές λειτουργούν με λογισμικό. Το λογισμικό όμως μπορεί επίσης να χρησιμοποιηθεί και για να θέσει εκτός λειτουργίας έναν υπολογιστή, για να εξαλείψει ή να τροποποιήσει δεδομένα. Εάν ένας τέτοιος υπολογιστής είναι μέρος του δικτύου διαχείρισης, μπορεί η δυσλειτουργία του να έχει εκτεταμένες επιπτώσεις. Ο ιός είναι μια μορφή κακόβουλου λογισμικού. Πρόκειται για ένα πρόγραμμα που αναπαράγει τον κώδικά του προσκολλώμενο σε άλλα προγράμματα, με τρόπο ώστε ο κώδικας του ιού να εκτελείται κατά την εκτέλεση προγράμματος του υπολογιστή που έχει προσβληθεί. Υπάρχουν πολλοί άλλοι τύποι κακόβουλου λογισμικού: ορισμένοι βλάπτουν μόνο τον υπολογιστή όπου έχουν αντιγραφεί, ενώ άλλοι μεταδίδονται σε άλλα δικτυωμένα προγράμματα. Υπάρχουν λ.χ. προγράμματα (με την ονομασία "λογικές βόμβες") που παραμένουν αδρανή μέχρι την ενεργοποίησή τους από κάποιο γεγονός, όπως μια συγκεκριμένη ημερομηνία, π.χ. Τρίτη και 13. Άλλα προγράμματα εμφανίζονται ως καλοήθη, όταν όμως ανοίγουν εκδηλώνουν κακόβουλη επίθεση (για το λόγο αυτό αποκαλούνται "Δούρειοι Ίπποι" - Trojans). Άλλα προγράμματα (ονομαζόμενα "σκουλήκια" - worms) δεν προσβάλλουν άλλα προγράμματα όπως ο ιός, αλλά δημιουργούν αντίγραφά τους, τα οποία με τη σειρά τους αναπαράγονται, κατακλύζοντας τελικά ολόκληρο το σύστημα.


Ενδεχόμενη ζημία: Οι ιοί μπορούν να είναι ιδιαίτερα καταστροφικοί, όπως φαίνεται και από το υψηλό κόστος ορισμένων πρόσφατων επιθέσεων (π.χ. "I Love you", "Melissa" και "Kournikova").


Πιθανές λύσεις: Ο κύριος τρόπος άμυνας είναι το λογισμικό κατά των ιών (antivirus), που διατίθεται σε διάφορες μορφές, για παράδειγμα σαρωτές ιών και απολυμαντές, που εντοπίζουν και αχρηστεύουν γνωστούς ιούς. Το κύριο ελάττωμά τους είναι ότι δεν εντοπίζουν εύκολα νέους ιούς, ακόμα και με τακτική ενημέρωση. Άλλο παράδειγμα άμυνας κατά των ιών είναι ο ελεγκτής ακεραιότητας. Για να μπορέσει ένας ιός να προσβάλει έναν υπολογιστή, θα πρέπει να αλλάξει κάτι στο σύστημα αυτό. Ο έλεγχος ακεραιότητας θα μπορούσε να εντοπίζει τις εν λόγω αλλαγές, ακόμα και αν έχουν προκληθεί από άγνωστους ιούς.


ε) Παραπλάνηση/ψευδής δήλωση. Με την αποκατάσταση μιας δικτυακής σύνδεσης ή την παραλαβή δεδομένων, ο χρήστης συνάγει την ταυτότητα του συνομιλητή του με βάση το περικείμενο (context) της επικοινωνίας. Το δίκτυο παρέχει ορισμένες ενδείξεις ως προς αυτό. Ωστόσο, ο μεγαλύτερος κίνδυνος επιθέσεων προέρχεται από άτομα που γνωρίζουν το περικείμενο "από μέσα", δηλ. από μυημένους. Όταν ένας χρήστης επιλέγει έναν αριθμό ή έναν τύπο ηλεκτρονικής διεύθυνσης στον υπολογιστή, αναμένει ότι θα φθάσει στον επιθυμητό προορισμό. Αυτό αρκεί για πολλές εφαρμογές, όχι όμως για σημαντικές επαγγελματικές συναλλαγές ή για ιατρικές, οικονομικές ή επίσημες επικοινωνίες, όπου απαιτείται υψηλότερος βαθμός ελέγχου ταυτότητας, ακεραιότητας και τήρησης του απορρήτου.


Ενδεχόμενη ζημία: Η παραπλάνηση ατόμων ή φορέων είναι επιζήμια κατά διαφορετικούς τρόπους. Οι πελάτες ενδέχεται να τηλε-φορτώσουν κακόβουλο λογισμικό από δικτυακό τόπο που αντιποιείται έμπιστη πηγή. Ενδέχεται να δοθούν εμπιστευτικές πληροφορίες σε λάθος άτομα. Η παραπλάνηση είναι δυνατόν να οδηγήσει σε άρνηση αναγνώρισης online συμβάσεων κ.λπ. Η μεγαλύτερη ίσως ζημία είναι το γεγονός ότι η έλλειψη επαλήθευσης ταυτότητας αποτρέπει δυνητική πελατεία.


Πιθανές λύσεις: Οι απόπειρες εισαγωγής της επαλήθευσης ταυτότητας στα δίκτυα, σε συνδυασμό με την εισαγωγή του πρωτοκόλλου SSL, αποτελεί ήδη χρήσιμο βήμα για τη διασφάλιση ορισμένου επιπέδου τήρησης του απορρήτου. Τα Ιδεατά Ιδιωτικά Δίκτυα (VPN) χρησιμοποιούν SSL και IPsec για επικοινωνίες μέσω επισφαλών ιντερνετικών και ανοιχτών καναλιών, διαφυλάσσοντας δεδομένο επίπεδο ασφάλειας. Οι λύσεις αυτές είναι ωστόσο περιορισμένης χρησιμότητας, δεδομένου ότι βασίζονται σε ηλεκτρονικά πιστοποιητικά, χωρίς να υπάρχει εγγύηση ότι τα πιστοποιητικά αυτά δεν έχουν παραχαραχθεί. Η εξασφάλιση αυτή μπορεί να παρέχεται από τρίτο μέρος, που συχνά αναφέρεται ως "Αρχή Πιστοποίησης", ή στην οδηγία για τις ηλεκτρονικές υπογραφές "Πάροχος Υπηρεσίας Πιστοποίησης". Το πρόβλημα που αφορά στην ευρύτερη αποδοχή της λύσης αυτής είναι παρεμφερές με το πρόβλημα της κρυπτογράφησης - πρόκειται για την ανάγκη διαλειτουργικότητας και διαχείρισης κλειδιού. Αυτό δεν αποτελεί πρόβλημα για τα VPN , καθώς μπορούν να αναπτυχθούν ιδιόκτητες λύσεις - πρόκειται όμως για μείζον εμπόδιο σε δημόσια δίκτυα.

BACKTRACK LINUX RSS

BackTrack Linux News

HackersWorld RSS

---- ((( Hacker's World ))) ----

EXPLOIT-DB RSS

Exploit-DB updates Feeds

METASPLOIT RSS

Metasploit Feeds

g0tmi1k RSS

Gotmilk Feeds

Offensive Security RSS

Offensive Security Feeds

Security Focus RSS

Security Focus Feeds

h-secutity RSS

The H Security

Wired How-To Wiki RSS

Wired How-To Wiki

Geekword RSS

Geekword
Ping blog