1. Administrarea reţelelor de calculatoare
Elemente de Securitate

2. Administrarea reţelelor de calculatoare
Emil CEBUC conferenţiar
Catedra de Calculatoare

3. Cerinţe de Securitate
Confidenţialitate
Integritate
Disponibilitate

4. Atacuri Pasive Aflarea conţinutului mesajelor (eaves dropping)
Prevenit de criptare
Analiza traficului
Trafic de umplutură
Atacurile pasive sunt mai uşor de prevenit decît de detectat

5. Atacuri active Modifică datele, sau creează fluxuri noi de date
Atacurile active sunt mai uşor de detectat decât de prevenit

6. Tipuri de atacuri active
Masquerade
Replay
Modification of messages
Denial of service

7. The Closed Network

8. The Network Today

9. Network Security Models

10. Tendinţe care afectează securitatea
Atacuri din ce în ce mai numeroase
Atacuri din ce în ce mai sofisticate
Creşte dependenţa de reţea
Lipsă de personal calificat
Lipsa conştientizării de către utilizatori
Lipsa politicilor de securitate
Acces Wireless
Legislaţie
Hackers
White Hat
Black Hat
Attack tools, worms, etc
Legislation
GLB
HIPPA
CIPA
Privacy Act
Litigation
Network Insurance against losses
Remember, these are why many companies are allocating the money for security initiatives.

11. Unelte de fabricat atacuri numeroase şi uşor de utilizat

12. Tipuri de pericole în reţea
Există 4 categorii de pericole sau atacuri
nestructurate
structurate
externe
interne
Internet
Internal
exploitation
Dial-in
exploitation
External
exploitation
Compromised host

13. Patru categorii de atacuri
De recunoastere
De acces
Denial of service attacks
Malware

14. Tipuri specific de atacuri
All of the following can be used to compromise your system:
Packet sniffers
IP weaknesses
Password attacks
DoS or DDoS
Man-in-the-middle attacks
Application layer attacks
Trust exploitation
Port redirection
Virus
Trojan horse
Operator error
Worms

15. Atacuri de recunoaştere
Acţiunea de strângere de informaţii despre reţea din surse publice

16. Reconnaissance Attack Example
Sample IP address query
Sample domain name query

17. Contracararea Atacurilor de recunoaştere
Nu pot fi evitate în totalitate
Se pot genera alarme la acţiuni de tip portscan

18. Packet Sniffers
Host A
Host B
Router A
Router B
packet sniffer este un software care permite captura şi analiza pachetelor din reţea, în special cele trimise în clar
Protocoale afectate sunt:
Telnet
FTP
SNMP
POP
Snifferul trebuie să fie în acelaşi domeniu de coliziune

19. Contracarare Packet Sniffer
Host A
Host B
Router A
Router B
Posibilităţi de contracarare sniffer:
Autentificare
Switched infrastructure
Criptare sau protocoale sigure:
SSH
POPS, IMAPS
HTTPS
SNMPv2c, SNMPv3

20. IP Spoofing
IP spoofing când un hacker din interiorul sau exteriorul reţelei impersonează schimbul de mesaje cu un computer sigur.
Două variante de IP spoofing:
Utilizarea unei adrese IP dintro gamă de adrese de încredere.
Utilizarea unei adrese IP extrne de încredere.
IP spoofing este folosit pentru:
IP spoofing se limitează la injectarea de date sau comenzi nocive întrun flux de date existent.
A hacker changes the routing tables to point to the spoofed IP Schimbarea tabelelor de rutare şi captura traficului.

21. Contracararea IP Spoofing
Atacurile de tip IP spoofing pot fi reduse prin următoarele măsuri:
Access control— Controlul accesului la reţea.
RFC 2827 filtering— nu se permite ieşirea din reţea a pachetelor cu adresă sursă ce nu fac parte din reţea.
Autentificare care nu se bazează doar pe adresa IP
Criptare tare, one-time passwords

22. DoS Attacks

23. DDoS Attack Example

24. Contracararea Atac DoS
Detectare timpurie la marginea reţelei prin monitorizare
Limitarea ratei de trafic

25. Atacuri de aflare a parolelor
metode:
Brute-force attacks
Dictionary Attacks
Trojan horse programs
IP spoofing
Packet sniffers

26. Password Attack Example
L0phtCrack can take the hashes of passwords and generate the clear text passwords from them. Passwords are computed using two different methods:
Dictionary cracking
Brute force computation

27. Contracararea Atacului de parolă
Tehnici utile:
Nu se recomanda aceiaşi parolă pe mai multe sisteme.
Autentificare centralizată
Invalidarea conturilor după tentative eşuate succesive.
Parole criptografice, one time
Parole tari, min 10 caractere, cifre, semne speciale, litere MARI şi mici.

28. Atacuri Man-in-the-Middle
Host A
Host B
Data in clear text
Router A
Router B
Acces la pachete în tranzit

29. Contracarare Atac Man-in-the-Middle
Vede doar text cifrat
IPSec tunnel
Host A
Host B
Router A
ISP
Router B
Numai prin criptare

30. Atacuri la nivel aplicaţie
Caracteristici:
Exploatează slăbiciuni ale protocoalelor şi sistemelor de operare
Nu pot fi eliminate complet deoarece se descoperă noi vulnerabilităţi

31. Contracarare atacuri nivel Aplicaţie
Măsuri pentru reducerea riscului:
Citirea logurilor de aplicaţii.
Informarea despre vulnerabilităţi.
Patchuri la zi.
Utilizarea IDS (Intrusion Detection System).

32. Exploatarea încrederii

33. Contracarare Trust Exploitation
SystemA
User = psmith; Pat Smith
SystemB compromised by a hacker
User = psmith; Pat Smith
Hacker
blocked
Hacker
User = psmith; Pat Smithson

34. Port Redirection

35. Virus and Trojan Horses
Utilizare software antivirus şi actualizare frecventă

36. Vulnerabilităţile există la toate nivelele OSI

37. Sample Firewall Topology

38. Firewall

39. Network Integrated Solutions Command Authorization via AAA
IOS Firewall
Network Integrated Solutions
VPN
Firewall
Intrusion Protection
V3PN
Security Offerings
IPsec
PKI
CBAC Stateful Inspection
IDS
SSH
SSL
ACL
AAA
NAT
MSCHAPv2
L2TP/EAP
802.1X
IP Services
VoIP
MPLS
Multicast
Application Aware QoS
Netflow
IP Comp
Multiprotocol
BGP
EIGRP
OSPF
DHCP/DNS
GRE
Secure
Operating
System
Foundation
Device Access by
Privilege Level
Authentication
per user via AAA
Command Authorization via AAA
uRPF
Activity Logging
SNMPv3
HTTPS
Secure ARP
(Unicast Reverse Path Forward)

40. PIX Security Appliance Lineup
Stateful Inspection Firewall
Appliance is Hardened OS
IPSec VPN
Integrated Intrusion Detection
Hot Standby, Stateful Failover
Easy VPN Client/Server
VoIP Support
PIX 535
PIX 525
Connectivity
PIX 515E
PIX 506E
Gigabit Ethernet
PIX 501
SOHO
ROBO
SMB
Enterprise
Service Provider
Performance

41. Adaptive Security Appliance Lineup

42. Catalyst Switch Integration
Appliance Capabilities
Cisco Infrastructure
VPN
SSL
NAM
IDS
Firewall
Security Services Modules
IDS
Virtual Private Network
Firewall
© 2002, Cisco Systems, Inc. All rights reserved.
Award for VPN3000& IOS VPN
Awards for PIX Firewalls
Award for Cisco IDS