Intro. Struktur og trusselbilde - Avdeling for informatikk og e
Transcription
Intro. Struktur og trusselbilde - Avdeling for informatikk og e
Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag Struktur og trusselbilde Helge Hafting 23.1.2015 Lærestoffet er utviklet for faget «IFUD1016 Nettverksikkerhet» Resymé: Leksjonen ser på nettverksstrukturen og trusselbildet. Det skal gå an å klikke på lenkene i leksjonen, så fremt pdf-leseren din støtter funksjonen. Det samme gjelder innholdslista og andre kryssreferanser. Innhold 1 Struktur og trusselbilde 1.1 1.2 1.3 1.4 1.5 Om denne leksjonen . . . . . . . . . . Introduksjon til fagområdet nettsikkerhet Struktur . . . . . . . . . . . . . . . . . 1.3.1 AITeL nettverk . . . . . . . . . 1.3.2 Vanlig firmanettverk . . . . . . 1.3.3 Andre eksempler . . . . . . . . Trusselbilde . . . . . . . . . . . . . . . 1.4.1 Kriminelle . . . . . . . . . . . 1.4.2 Utro tjenere . . . . . . . . . . . 1.4.3 «Skyen» . . . . . . . . . . . . . 1.4.4 Fremmede makter . . . . . . . 1.4.5 Uhell og inkompetanse . . . . . 1.4.6 Miljøet . . . . . . . . . . . . . Oppsummering . . . . . . . . . . . . . 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 2 3 3 4 5 6 6 7 7 9 10 11 11 1 Struktur og trusselbilde 1.1 Om denne leksjonen I denne leksjonen ser vi på eksempler på hvordan vanlige nettverk er strukturert, og truslene vi står overfor. Faget «Nettverkssikkerhet» omhandler sikkerhet i nettverk. Vi ser på hvordan vi sikrer nettet, og hvordan vi bruker nettet som et sikkerhetsmiddel. 1.2 Introduksjon til fagområdet nettsikkerhet Et aktuelt spørsmål er: «Sikkerhet – mot hva? Og for hvem?» Vi har kriminelle hackere, vi har menneskelige feil, og vi har naturen. Det er alltid noen som vil prøve seg. Ingen virksomhet er så liten og uinteressant at den ikke vil bli angrepet. Det er mulig at en liten virksomhet ikke har informasjon som det er interessant å misbruke, men de vil om ikke annet oppleve automatiserte angrep rettet mot tilfeldige IP-adresser. Unge vandaler synes det er gøy å kræsje en tilfeldig webserver. Noen hackere «samler på» kompromitterte maskiner, uansett hvor de er i verden. Et visst minimum av sikkerhet er derfor nødvendig. Husk at ett enkelt tiltak ikke er nok. En møter i blant holdninger som «vi trenger ikke ytterligere tiltak, vi har jo brannmur!». Den dagen en hacker eller et virus kommer gjennom muren likevel, er det en fordel om det som er innenfor ikke er helt åpent! Vær klar over at du alltid kan bli utsatt for sniffing. Andre i samme subnett kan fange opp all din kommunikasjon, dermed er det et poeng å ikke sende passord i klartekst. Det er lett å tenke at hackerne ute i verden ikke er på samme subnett, men du vet aldri når de har brutt seg inn på en maskin i nærheten og installert sniffeprogrammet der. Et nettverk er aldri sikrere enn det svakeste leddet. I dette kurset vil vi konsentrere oss om hvordan vi kan sikre selve infrastrukturen i et nettverk. Vi vil for eksempel se på hvordan vi kan sikre rutere, switcher og kabler. Dette er viktig, for hvis en uautorisert person kan skaffe seg kontroll over denne delen av nettverket, har han kontroll så å si over alt som flyter i nettverket. Mange bedrifter er avhengige av at nettverkene fungerer, for at arbeiderne i det hele tatt skal få utrettet noe. Det er derfor veldig viktig å ikke miste kontroll over infrastrukturen i nettverket. Dette kan ha mye større konsekvenser Struktur side 3 av 11 enn om man mister kontroll over en av tjenerne eller klientene i nettverket (men for all del, dette kan være en trussel i seg selv da dette kan brukes som et springbrett videre inn i nettverket). Sikkerhet i en organisasjon innbefatter derfor menneskelige faktorer (holdninger og kunnskap), sikkerhet på den enkelte klient og tjener i nettverket, infrastrukturen i nettverket osv. Faget fokuserer hovedsaklig på hvordan man teknisk kan sikre infrastrukturen i et nettverk, og blir derfor bare en av flere brikker for å få den fullstendige oversikten over hvordan sikre en organisasjon og dens ressurser. Følgende fag kan derfor også være aktuelle for å få en mer «komplett oversikt»: • Internett og sikkerhet IFUD1012 • Datasikkerhet IFUD1005 • Informasjonssikkerhetsstyring IFUD1011 • Systemforvaltning IFUD1031 1.3 Struktur 1.3.1 AITeL nettverk Figur 1.1 på neste side viser nettet på AITeL, noe forenklet. Nettforbindelsen leveres av Uninett. Ulike brukergrupper har svært ulike sikkerhetsbehov, derfor er det flere VLAN som det rutes mellom. Mellom switchene går trunk-forbindelser som overfører alle VLAN. Legg merke til redundante forbindelser, de beskytter til en viss grad mot kabelbrudd. Oppdeling i separate nett for studenter, faglig ansatte og administrativt ansatte er vanlig på norske høgskoler. Slik kan ulike grupper beskyttes mot hverandre, spesielt går det ikke an å sniffe opp hva som foregår på andre nett. Det kan også legges begrensinger på hvilke tjenester man kan nå på andre nett enn sitt eget. Brannmuren beskytter altså ikke bare mot utenforstående. Brannmuren gjør en del forskjell på de ulike nettene. Reglene for trådløsnettet er strenge, det er nødvendig siden nesten hvem som helst kan bruke det. Nettet for faglig ansatte er nesten helt åpent mot omverdenen. Det er nødvendig, på grunn av undervisningen må lærerne kunne teste ut allslags forbindelser og tjenester. De enkelte tjenermaskinene kjører imidlertid egne brannmurer, noen av dem godtar ikke forbindelser utenfra. Labben i 4. etg. er skilt ut på et eget nett, med egen brannmur. Dette fordi labben brukes til installasjonsøvinger. Maskiner her kan være midt i en installasjonsprosess med dårlig sikkerhet, og trenger dermed ekstra beskyttelse mot hacking. Videre er det øvinger med DHCP-tjenester, som ikke kan få lov til å sette resten av studentnettet ut av spill. © Helge Hafting og stiftelsen TISIP side 4 av 11 Struktur og trusselbilde ISP Ruter+ brannmur Uninett Ruter kalvskinnet−gsw wifi lab4 SW wifi pc wifi SW SW SW SW pc pc pc serv pc pc pc serv VLAN: pc serv pc serv pc serv stud fag−ansatt adm wifi lab4 Figur 1.1: Nettet på AITeL I tillegg er det et VLAN som ikke er vist. Alle switcher og rutere kan administreres over nett. Administrasjonsgrensesnittene ligger i et eget VLAN, som bare rutes til noen få utvalgte. Dermed er det ikke mulig for uvedkommende å logge inn og tulle med utstyret – ikke en gang om de klarer å gjette rett passord! 1.3.2 Vanlig firmanettverk Figur 1.2 på neste side viser et typisk firmanettverk. PCer og interne tjenermaskiner er i sikker sone. Omverdenen kan typisk ikke kontakte maskiner i den sikre sonen i det hele tatt. Utgående forbindelser er til en viss grad mulig, ihvertfall web. Tjenester som tilbys omverdenen, ligger i en egen «demilitarisert sone» (DMZ). Det er typisk slike ting som firmaets nettsider, epost og DNS. Utenforstående kan kontakte maskiner i DMZ, men bare de tjenestene som er ment å være tilgjengelig. Fjernadministrasjon av DMZ-tjenere er normalt bare tilgjengelig fra sikker sone. © Helge Hafting og stiftelsen TISIP Struktur side 5 av 11 ISP Ruter+ brannmur wifi DMZ serv serv SW Sikker sone SW serv pc SW SW pc pc serv pc pc pc pc serv Figur 1.2: Firmanettverk Bedrifter som har både trådløse og kablede nett, skiller gjerne ut trådløst i et eget nett. Dette fordi det trådløse nettet er lettere å sniffe og misbruke utenfra. Noen tilbyr trådløse nett til kunder, da er det viktig at det trådløse nettet ikke gir enkel tilgang til filtjenere med konfidensiell informasjon. Noen bedrifter bruker bare trådløst nett, også internt. I så fall er det viktig at det er godt sikret mot utenforstående, noe vi skal se mer på senere. 1.3.3 Andre eksempler Noen organisasjoner bruker flere nett fordi de er geografisk spredt. Noen bruker flere interne nett fordi de trenger intern konfidensialitet. For eksempel kan ledelsen ha et eget nett, så det ikke er mulig for ansatte å sniffe opp opplysninger om personalsaker. Noen organisasjoner har flere uavhengige internettforbindelser, slik at ikke mister forbindelsen bare fordi én ISP har tekniske problemer. Dette er nødvendig hvis man vil ha svært høy oppetid. I Norge må man være oppmerksom på at mange ISPer egentlig bare videreselger Telenor-forbindelser. Også Telenor kan få problemer i blant; da er det liten vits i å betale ekstra for å ha to forbindelser som begge går via Telenor. I spesielle tilfeller er konsekvensene ved lekkasjer så store at man har flere parallelle nett. Det minst sikre nettet kan være koblet til Internettet, sikrere nett er ikke koblet til internettet i det hele tatt. Dermed er det ikke mulig å bryte seg inn, selv om noen skulle komme over en svakhet i brannmurer e.l. Det er nemlig ingen vei inn, bortsett © Helge Hafting og stiftelsen TISIP side 6 av 11 Struktur og trusselbilde fra gjennom døra. Forsvaret og helsevesenet opererer med slike systemer. Firmaer som utvikler verdifulle produkter kan ha separate nett for utvikling. Doble nett er dyrt på mange vis. Infrastrukturen dobles. Ansatte som trenger tilgang på begge nett, må typisk ha to maskiner hver. De to nettene skal jo ikke henge sammen, så ingen maskin kan være koblet på begge samtidig1 . Å plugge om fra ett nett til ett annet er heller ingen god løsning. Virus/keyloggere kan komme inn fra Internettet, og skal ikke kunne spres videre. Administrasjon og vedlikehold er et annet problem. Maskiner på det lukkede nettet kan ikke oppgraderes fra de vanlige nettbaserte kildene. I stedet må man laste ned oppgraderinger, lagre dem på transportabelt medium, sjekke at oppdateringen er trygg, for så å legge det inn på de sikre maskinene. 1.4 Trusselbilde Det er mye som kan skape problemer for nettverkene våre. 1.4.1 Kriminelle Den vanligste kriminelle aktiviteten er mer eller mindre tilfeldige angrep. De forsøker å ta kontroll over en tjenermaskin bare for å gjøre det, evt. også for å ødelegge nettsider. Vi har også kriminelle som lager såkalte «botnett», hvor de samler på kompromitterte maskiner. Disse kan senere benyttes til DDOS-angrep og spamformidling i stor skala. Denne typen angrep er ofte automatiske. Et program forsøker å angripe massevis av maskiner, og rapporterer tilbake om hvilke maskiner som kunne overtaes. Hvis man har svært verdifull informasjon, risikerer man også at industrispioner bryter seg inn over nettet for å få tak i den. Når man tenker sikkerhet, er det lett å fokusere på kriminalitet. Det er imidlertid langt fra det eneste problemet. Organisasjoner med høy profil opplever flere angrep, også DDOS-angrep der angriperen prøver å overbelaste nettet over tid. Kriminelle gjør slike angrep for å imponere hverandre. Et vellykket angrep mot spesielt sikre nett gir prestisje, derfor prøver de seg på politiets og forsvarets nettverk. Nettene og nettsidene til kjente organisasjoner er også populære mål, noe f.eks. Google og Microsoft opplever fra tid til annen. 1 En pc som er koblet på to nett samtidig, kan fungere som en ruter mellom de to nettene. Og selv om den ikke er satt opp slik i utgangspunktet, kan den jo bli hacket fra det åpne nettet. © Helge Hafting og stiftelsen TISIP Trusselbilde side 7 av 11 1.4.2 Utro tjenere Utro tjenere er ofte et større problem enn eksterne kriminelle. De opererer på innsiden, innenfor både brannmurer og dører. De kjenner nettet og passord på tjenermaskiner. Motivasjonen kan være å selge konfidensiell informasjon, eller hevn for ubehageligheter som for eksempel oppsigelse. Hvis sikkerheten mot eksterne innbrudd er god, finner industrispioner det enklere å bestikke noen. Slikt skjer i Norge. Jeg kjenner til et utviklingsfirma som ofte opplevde at konkurrenten lanserte mistenkelig like produkter. Etterhvert kjøpte de opp det konkurrerende firmaet. Der fant de en pc som inneholdt deres egne originaltegninger. . . 1.4.3 «Skyen» Tjenester og lagring «i skyen» er i skuddet for tiden. Dessverre, fra et sikkerhetssynspunkt. Dette er akkurat det samme som man før kalte «outsourcing». Men det høres flottere ut, for outsourcing er forbundet med å legge ned egne arbeidsplasser. Folk flest tenker ikke over at dette også gjelder «sky-tjenester». Problemet er at sky-tjenester alltid involverer en tredjepart – nemlig de som eier og driver tjenesten. Forhold mellom bedrifter reguleres gjennom avtaler og signerte kontrakter, men slik er det ofte ikke med skytjenester. Spesielt ikke når tjenesten ble opprettet med tanke på hjemmebrukere, som deretter drar med seg sine sky-vaner inn i arbeidslivet. Det er f.eks. mange som bruker dropbox, men har du signert en kontrakt med dem? Vet du hva slags avtale det er? Problemer med skytjenester: • Hvis du ikke har en kontrakt med tjenestetilbyder, skylder de deg ingenting. Tjenestetilbydere har som regel noen betingelser, men der står det gjerne at de kan endre vilkårene «når som helst». Det er bedre å ha en kontrakt, som spesifiserer når og hvordan betingelsene evt. kan reforhandles. • Har virksomheten behov for konfidensialitet, datasikkerhet eller opphavsrett for slikt som havner i skyen? Det må i så fall avtales. Uten kan tilbyderen f.eks. selge dine dokumenter til en konkurrent, lovlig. De har jo reservert retten til å endre betingelsene når som helst. . . • Hva om sky-tjenesten går konkurs? Får du igjen sakene dine? Havner dokumentene dine hos skraphandleren som kjøper tjenermaskinene fra konkursboet? • Hva med datasikkerhet? Får du problemer, hvis noen bryter seg inn i skytjenesten du bruker? Vet du noe om hvor god sikkerhet de har? © Helge Hafting og stiftelsen TISIP side 8 av 11 Struktur og trusselbilde • Tjenester i utlandet har sine egne problemer: ◦ Lovene er anderledes og kan by på overraskelser. Det er vanskeligere å føre rettsaker i utlandet. I tillegg til lovene, møter man fordommer som at man «representer et utenlandsk firma som plager lokale suksessrike virksomheter». Noe som blir enda verre i land med mye korrupsjon, hvor de lokale vet hvem som bør «smøres». ◦ Andre lands e-tjenester kan drive industrispionasje til fordel for egen industri. Eksempler fins fra USA, Russland, Kina, m.fl. Instagram Bildetjenesten «Instagram» er et eksempel på hvor galt det kan gå. Tjenesten lar brukere laste opp bilder og film, bruke digitale filtre, og dele materialet med hverandre via diverse sosiale nettverk. Dette fungerte bra, og tjenesten ble brukt av både hjemmebrukere og profesjonelle fotografer. I desember 2012 endret Instagram på bruksbetingelsene: You agree that a business or other entity may pay us to display your username, likeness, photos (along with any associated metadata), and/or actions you take, in connection with paid or sponsored content or promotions, without any compensation to you. Dette betød enkelt og greit at de kunne selge kopier av bildene de oppbevarer til hvem som helst. De trengte ikke spørre fotografen om lov, og trengte heller ikke betale noe for å bruke bildene slik. Her så Instagram en mulighet for å tjene penger. Reaksjonen lot ikke vente på seg. Proffene fjernet øyeblikkelig bildene sine fra Instagram, de lever tross alt av å selge dem selv. Å gi bort bildene mot å få lagre dem hos Instagram var ikke aktuelt. Privatpersoner burde også tenkt over dette. De fleste tror at de private bildene deres ikke er så veldig interessante for omverdenen. Men her kunne altså bilder bli solgt til hvem som helst, f.eks. for å brukes i reklame. Ville du likt om bilder av deg og dine plutselig brukes i reklame for kvisekrem, sære politiske partier, eller prevensjonsmidler? På grunn av reaksjonene, gikk Instagram etterhvert tilbake på noe av dette. Men lærdommen er klar; vi kan ikke stole på skytjenester som reserverer retten til å endre betingelsene når som helst. Jeg anbefaler å lese bruksbetingelsene for eksterne tjenester nøye. Tenk over hva de kan og ikke kan gjøre med materiale du laster opp. . . Slike muligheter er også grunnen til at en del firmaer ikke lar ansatte bruke skytjenester. Noen sørger for å blokkere dropbox og lignende i brannmuren, så ikke ukyndige ansatte skal fristes til å bruke tjenestene. Slik sørger man for at konfidensielt materiale ikke kommer på avveie. © Helge Hafting og stiftelsen TISIP Trusselbilde side 9 av 11 Artikkel om Instagram http://pandodaily.com/2012/12/22/ instagrams-controversy-and-more-in-our-weekly-wrapup/ Fotoknudsen Denne kjeden tilbød gratis lagring av digitale bilder. (Lønnsomt for dem, siden det dermed er enklest for folk å bruke kjeden når man vil ha et av bildene sine i glass og ramme.) I begynnelsen av 2013 gikk kjeden konkurs. En stund var det usikkert om folk ville få tak i bildene sine igjen. En skummel tid for de som ikke hadde kopier hjemme. Heldigvis fant de etterhvert en løsning så folk kunne få igjen bildene sine. Men vi kan ikke alltid stole på at tjenestetilbydere har en positiv innstilling i forbindelse med konkurser. Artikkel om Fotoknudsen http://www.abcnyheter.no/nyheter/2013/02/11/ fotoknudsen-konkurs-hundrevis-mister-jobben 1.4.4 Fremmede makter Når det er krig eller andre alvorlige konflikter mellom land, brukes også Internettet som et våpen. Både enkeltpersoner og etteretningstjenester kan finne på å bruke nettbaserte angrep mot fiendes maskiner og infrastruktur. Stuxnet Dette kan være alt fra enkelt hærverk, til spionasje og kompliserte målrettede angrep. «Stuxnet» er et eksempel på det siste. Stuxnet er et virus som ikke bare sprer seg på windows-PCer, men også på digitale styresystemer for industrielle prosesser. Å lage et slikt virus er ressurskrevende; en trenger i så fall prosesskontrollutstyr til om lag 50 000, samt detaljkompetanse på hvordan det virker. Viruset har helt klare mål: Hvis det finner ut at det har spredt seg til et system som styrer sentrifuger for anriking av uran, vil det kjøre sentrifugene på feil hastighet nå og da. Denslags ødelegger for anrikingen og sliter ut sentrifugene. Man antar at om lag 1000 sentrifuger måtte skiftes ut på grunn av Stuxnet. © Helge Hafting og stiftelsen TISIP side 10 av 11 Struktur og trusselbilde Ingen vet sikkert hvem som står bak Stuxnet, men viruset har dukket opp på et atomanlegg i Iran. Iran har en konflikt med Israel og USA angående anriking og bruk av uran. Norge deltar også i en og annen internasjonal konflikt, noe som øker sjansen for at også vi kan bli rammet av slike angrep. Mer om Stuxnet http://en.wikipedia.org/wiki/Stuxnet NSA National Security Agency driver omfattende overvåking. Akkurat hvor omfattende, ble avslørt i en lekkasje i mai 2013. De prøver å få med seg det meste av trafikken på Internettet. Artikkel om NSA-avsløringer http://www.theguardian.com/world/2013/jun/09/edward-snowden-nsa-whis 1.4.5 Uhell og inkompetanse Dette dekker alt som kan oppsummeres med «menneskelig svikt». Nå og da graver noen over en kabel. Arbeid med gulv og vegger kutter kabler innendørs. Det fins mange historier om datatap fordi noen trengte strøm til støvsugeren og trakk ut en annen plugg for en stund. Denslags fungerer bedre for kjøleskap enn for servere. . . En annen type uhell er data på avveie, f.eks. når noen har glemt en bærbar på bussen. Det hender at noen lager «nye veier» inn i nettet, ved å koble eget utstyr som modem, aksesspunkt eller mobiltelefon til PCen. Dermed kan utenforstående få tilgang på nettet utenom den vanlige brannmuren. Uønsket programvare er også et problem. Virus er et slikt problem. Folk tar med bærbar PC hjem, og får inn virus gjennom usikrede hjemmenett. Eller de laster ned et «gratis spill» som viser seg å være en trojaner. En annen variant, som vi har sett her på HiST noen ganger, er ansatte som tester DHCP-programvare. Dermed deler de plutselig ut upassende IP-adresser, og mange andre mister tilgang til nettet. © Helge Hafting og stiftelsen TISIP Oppsummering side 11 av 11 1.4.6 Miljøet Nettverksutstyr må, som så meget annet, sikres mot miljøet. Flom, lekkasjer, brann, lynnedslag og strømbrudd kan sette nettet ut av spill. Elektriske problemer som ikke ødelegger utstyret umiddelbart, kan likevel slite på det. Noen firmaer har utstyr som trekker veldig mye strøm, som smelteovner, sveiseutstyr, lokomotiver, elektromagneter og store elektromotorer. Dette gjelder ikke bare industrien. Kontorbygg har elektrisk drevne heiser, kjøpesentre har rulletrapper. Sterk strøm omgir seg med kraftige magnetfelter, som kan indusere strøm i andre kabler i nærheten. F.eks. nettkabler som er lagt langsmed strømkablene til utstyret. En kan unngå dette ved å legge nettkablene langt unna utstyret og dets strømledninger. Skjermet kabel hjelper litt. Fiber er et bedre alternativ, da optiske fibre ikke forstyrres av strøm og magnetfelter. Når strømkrevende utstyr slås av og på, kan det også oppstå lokale problemer i strømnettet. For utstyr som drives med strøm, kan man få bruk for transient suppressors. Slikt utstyr fjerner eller demper skadelige strømpulser. 1.5 Oppsummering Vi har sett noen eksempler på hvordan nett struktureres, blant annet hvordan det er gjort ved AITeL. Videre har vi sett litt på hvilke trusler vi står overfor. © Helge Hafting og stiftelsen TISIP