Audit bezpečnosti počítačové sítě



Podobné dokumenty
Audit bezpečnosti počítačové sítě. Předmět: Správa počítačových sítí Jiří Kalenský

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

9. Sítě MS Windows. Distribuce Windows. Obchodní označení. Jednoduchý OS pro osobní počítače, pouze FAT, základní podpora peer to peer sítí,

Maturitní témata pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE OBOR: INFORMAČNÍ TECHNOLOGIE

Maturitní okruhy pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

Uživatel počítačové sítě

PB169 Operační systémy a sítě

Úvod do informačních služeb Internetu

Návod k nastavení účtu v emclient (IceWarp Desktop) pro práci s IceWarp Mail serverem.

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Jak funguje SH Síť. Ondřej Caletka

Použití programu WinProxy

Střední průmyslová škola, Mladá Boleslav, Havlíčkova 456 Maturitní otázky z předmětu POČÍTAČOVÉ SÍTĚ

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Integrovaná střední škola, Sokolnice 496

AKTION CONNECTOR POPIS FUNKCÍ A NÁVOD

PETR MAZÁNEK Senior systemový administrátor C# Developer

Radim Dolák Gymnázium a Obchodní akademie Orlová

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

ANALÝZA TCP/IP 2 ANALÝZA PROTOKOLŮ DHCP, ARP, ICMP A DNS

Hodinový rozpis kurzu Správce počítačové sítě (100 hod.)

Počítačové sítě ZS 2005/2006 Návrh sítě zadání

Analýza síťového provozu. Ing. Dominik Breitenbacher Mgr. Radim Janča

Aktion Connector NÁVOD

FoxStat. Change the Net.Work. Nástroj pro záznam a analýzu datového provozu

Komunikace v sítích TCP/IP (1)

PB169 Operační systémy a sítě

Metody zabezpečeného přenosu souborů


TC-502L. Tenký klient

STUDIJNÍ MATERIÁL PRO TECHNICKOU CERTIFIKACI ESET Business Edition, ESET Remote Administrator

Inovace výuky prostřednictvím šablon pro SŠ

Obrana sítě - základní principy

TC-502L TC-60xL. Tenký klient

POČÍTAČOVÉ SÍTĚ Metodický list č. 1

STRUČNÝ NÁVOD K POUŽITÍ

Počítačová síť TUONET a její služby

Inovace bakalářského studijního oboru Aplikovaná chemie

Skupina oborů: Elektrotechnika, telekomunikační a výpočetní technika (kód: 26)

ADW-4401B. Bezdrátový Ethernet/ADSL router. Uživatelský manuál

Úvod do analýzy. Ústav informatiky, FPF SU Opava Poslední aktualizace: 8. prosince 2013

ZÁKLADNÍ ANALÝZA SÍTÍ TCP/IP

Fides Software Storage Client

Identifikátor materiálu: ICT-3-03

Počítačová síť. je skupina počítačů (uzlů), popřípadě periferií, které jsou vzájemně propojeny tak, aby mohly mezi sebou komunikovat.

Technická specifikace

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy

Maturitní otázky z předmětu Počítačové sítě školní rok 2007/2008

SSL Secure Sockets Layer

ISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013

Desktop systémy Microsoft Windows

Site - Zapich. Varianta 1

7. Aplikační vrstva. Aplikační vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl. Představíme si funkci aplikační vrstvy a jednotlivé protokoly.

Y36SPS Jmenné služby DHCP a DNS

Typy samostatných úloh PSI 2005/2006

SMĚRNICE Bezpečnost počítačové sítě a ochrana osobních údajů

Server. Software serveru. Služby serveru

Detailní report nezávislého Network auditu pro FIRMA, s.r.o.

EU-OPVK:VY_32_INOVACE_FIL9 Vojtěch Filip, 2013

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

VZDÁLENÉ PŘIPOJENÍ - OpenVPN. Popis a vlastnosti služby

Linux na serveru. seminář Arcibiskupského gymnázia v Praze a gymnázia Boženy Němcové v Hradci Králové

Při konfiguraci domácího směrovače a bezdrátové sítě se setkáte s obrovským počtem zkratek, jejichž význam je jen málokdy dostatečně vysvětlen.

Pavel Martinec 4.A 2011/2012

Kerio VPN Client. Kerio Technologies

Bezdrátový router 150 Mbit/s Wireless N

Řešení pro audit činnosti administrátorů UNIX/Linux serverů

PREMIER E Agent. Jak to funguje?

OBSAH: Změny v dokumentu: Verze 1.0

Správa systému MS Windows II

Pravidla pro připojování zařízení a jejich užívání v sítích SCIENCE ČZU

Nasazení protokolu IPv6 v prostředí univerzitní sítě VŠB-TU Ostrava

Inovace bakalářského studijního oboru Aplikovaná chemie

STUDIJNÍ MATERIÁL PRO TECHNICKOU CERTIFIKACI ESET Server Security, Serverové produkty

Téma 2 - DNS a DHCP-řešení

Návod k instalaci, provozu a údržbě brány MODBUS. Návod k instalaci, provozu a údržbě. Brána Modbus

Zahájit skenování ze skla tiskárny nebo z automatického podavače dokumentů (ADF). Přistupovat k souborům se skeny uloženým v poštovní schránce.

1 Protokol TCP/IP (Transmission Control Protocol/Internet Protocol) a OSI model

Datum vytvoření. Vytvořeno 18. října Očekávaný výstup. Žák chápe pojmy URL, IP, umí vyjmenovat běžné protokoly a ví, k čemu slouží

Relační vrstva SMB-Síťový komunikační protokol aplikační vrstvy, který slouží ke sdílenému přístupu k souborům, tiskárnám, sériovým portům.

Jan Forman Manuál CLASSIFICATIO N: public / veřejný dokument IDE NTIFICATIO N N U MBER: AUTH OR:

Malý průvodce Internetem

Desktop systémy Microsoft Windows

Komu je tato kniha určena? Jak je kniha uspořádána? Konvence použité v té to knize. Část i základy Microsoft Windows XP Professional

Počítačové sítě. Další informace naleznete na :

Počítačové síťě (computer network) Realizují propojení mezi PC z důvodu sdílení SW (informací, programů) a HW(disky, tiskárny..)

ESET NOD32 Antivirus. pro Kerio. Instalace

Balení obsahuje: Bezdrátový-G VPN Router s zesilovačem dosahu Instalační CD-ROM Uživatelskou příručku na CD-ROMu Síťová kabel Síťový napájecí adapter

Seminář pro správce univerzitních sí4

Služby správce.eu přes IPv6

Téma bakalářských a diplomových prací 2014/2015 řešených při

e1 e1 ROUTER2 Skupina1

Ochrana mobilních uživatelů před hrozbami Internetu mimo firemní prostředí. Simac Technik ČR, a.s.

Další nástroje pro testování

Jmenné služby a adresace

Nová áplikáce etesty Př í přává PC ž ádátele

Transkript:

Jiří Kalenský kalenj1@fel.cvut.cz Audit bezpečnosti počítačové sítě Semestrální práce Y36SPS Zadání Prověřit bezpečnost v dané počítačové síti (cca 180 klientských stanic) Nejsou povoleny destruktivní metody, zjišťování hesel hrubou silou atd. Není povoleno zjišťování jinde než v základní LAN (tj. do míst, kde síť spravují jiné organizace) Již jsem měl základní povědomí o topologii sítě, ale od mé poslední pracovní činnosti v organici se změnil IS a další Postup 1. Zjištění topologie sítě 2. Na základě zjištění skenování služeb serverů a jejich problémů zachytávání síťové komunikace 3. Další pokusy v síti a na IS 4. Průzkum klientských stanic zabezpečení stanic zajištění SW updatů atd. 5. Pokus o vstup z internetu

Topologie sítě Programem SuperScan jsem provedl sken v rozsahu z přiděleného počítače. ozvala se spousta počítačů B-rozsah IP adres, značné plýtvání adresami z uvedeného a názvů jejich stanic a přidělení oddělením jsem se pokusil určit Totální chaos IP adresa je přidělena na základě MAC adresy, ale jejich číslování je prováděno jak kdy inkrementálně, dle oddělení i dle lokace a tato rozdělení jsou kombinována dle nálady správce Výsledná topologie (mimo pokus o zjištění serverů pochází ze znalostí sítě vzhledem k tomu, že jsem měl povoleno pracovat pouze v části označené jako LAN). Spojnice mezi vstupní GW a servery jsou zde z ilustrativního důvodu pro prezentaci.

Skenování serverů Pomocí programu LANGuard jsem prováděl sken portů serverů (IP adresy a/nebo názvy serverů byly zjištěny z nastavení počítačů) Po skenování bylo zvláštní, že 4 servery nabízejí zcela stejné služby a vlastnosti, nakonec zjištěno, že 1 serveru je přiděleno několik DNS záznamů a z historických důvodů tyt 4 záznamy směřují do 4 různých C-rozsahů Na serveru 200 běží IS množství otevřených UDP portů pro klienty dále spousta služeb jako FTP (21), SSH (22), DNS (53), HTTP (80), LinuxConf (98), SunRPC (111), NetBios (139), Remote Login (513), Shell (514), Printer (515), NFS (2049) Verze Samby s bezpečnostní chybou WWW rozhraní pro zadávání SQL dotazů do IS běží pouze v nešifrované formě Na serveru 230 běží GW z vnějšího světa z vnějšího světa má otevřené porty pro SMTP a SSH Na této GW je taktéž konfigurovaná VPN linky pro externí pobočky (zbytek VPN je v kompetenci providera) externí pobočky jsou pak plně začleněny do LAN (i přístup k internetu se řeší přes vnitřní síť) Z vnitřní sítě mají správci pro konfiguraci stroje povolený Telnet a FTP (versus SSH) Na serveru 231 běží GW pro vnitřní síť FTP (21), SSH (21), SMTP (25), DNS (53), HTTP (80), POP3 (110), SUNRPC (111), NetBIOS (139), HTTPS (443), Microsoft DS (445), Proxy (3128) nebyly zjištěny žádné vážné nedostatky (SMTP je na autorizaci atd.) tento server obsahuje instalace, aktualizace SW

Delegace práv Admini tvoří na serveru 231 ručně tabulku povolených MAC adres (sděleno od správce) Tři stupně oprávnění (což je ve firmě obecně známo) 1. Plný přístup ke GW (pouze admini) 2. plný přístup ke GW, ale zákaz některých IP / domén (několik vybraných uživatelů) 3. Přístup na internet přes proxy server (kontextový, tj. tunel neprojde, navíc je zde restrikce obsahu) + na GW povolen port 110 (což bylo dříve přes proxy) Testování delegace práv Přes port 110 lze otevřít tunel ven! Pokud je DHCP serverem (231) přidělena IP adresa, je o tomto informován IS a ten otevře na serveru port pro klienta (číslo portu vyplývá z IP) Pokud si sám nastavím volnou IP, bránu atd., funguji v síti, ale nedostanu se na internet ani k IS Pokud někomu ukradnu IP, tak se dostanu k internetu, ale nedostanu se k IS Pokud si zfalšuji MAC a odpojím uživatele, tak v případě, kdy má klient otevřenou seanci s IS (je přihlášen), tak sezení zůstává otevřené (funguje na UDP) a pracuji v IS pod jeho účtem!!! Zachytávání paketů Na klientských stanicích byly zachytávány pakety. Zjištěné informace Spousta HUBů (i v řadě), tj. obsahu se ke klientovi dostane hodně IS posílá každou změnu (tj. i stisknutí znaku) jako samostatnou událost, ale používá šifru, tj. pouhým zachytáváním se práce s IS nepřečte Díky velkému rozsahu je tam značné množství ARP dotazů při standardní práci pouze s IS tvořily ARP pakety 25% celkového množství paketů!

Zabezpečení klientských stanic Drtivá většina stanic jsou bezdiskové zde po síti startuje FreeDOS spolu tento je konfigurován na serveru a spouští se pouze klient IS. Klienti odpovídají pouze na ICMP, ostatní porty jsou uzavřeny (komunikují pouze se serverem) Cca 20 linuxových stanic. Bohužel jsem k ni neměl přístup, ale měly by být konfigurovány centrálně ze serveru. Opět odpovídají na ICMP a porty mají uzavřeny. Windows -!!! PROBLÉM!!! Dříve cca 40 stanic, dnes již méně Různé OS (od 95 až po Vista) Není žádný doménový server, tj. žádné uživatelské řízení přístupu, kdo si jak počítač nastaví, tak mu chodí! Po jednom virovém útoku, který složil celou síť, je nyní pouze centrálně distribuována a řízen NOD32 (uživatelé nemají oprávnění měnit jeho nastavení, ale mohou ho odinstalovat což správce zjistí tí, že počítač neprovádí aktualizace) Chybí server, který by zajišťoval automatické instalace a aktualizace SW Správce si na stanice nahrál TightVNC (nešifrovaný kanál), které má vždy otevřený svůj port a případně se pouze na dálku připojí k PC a aktualizaci provede tak, že pro různé verze Windows má na serveru nastaveny různé aktualizační skripty, které ručně spustí Nastavení sdílení a přístupových práv je tak plně v kompetenci uživatele tj. někde se dá podívat i na celý počítač, případě kompletně do dokumentů! Přístup zvenčí Dříve popsaný server 230 Bezdisková stanice Zvenčí jsou otevřeny pouze tři porty: SSH autorizace se provede oproti IS a pokud je uživatel úspěšně autentifikován, otevře se tunel pro komunikaci s IS serverem SMTP pokud je email pro danou doménu, tak server email přijme (nekontroluje uživatele) a teprve po přijmutí emailu předává v rámci sítě email poštovnímu serveru. WWW předává na server 231 (PROČ, když to je jen mirror, web běží u providera!) Pokud skenuji porty moc rychle za sebou, tak server neodpovídá ani na tyto povolené porty

Závěr Nevhodně provedená IP adresace Spousta HUBů, tj. komunikace lze dobře zachytávat Admini nemají svojí správu šifrovanou (SQL, FTP, Telnet) Oproti tomu IS (většina komunikace na síti) používá šifrovanou komunikaci Problematická je totální absence řízení Windows klientů Přístup zvenčí se zdá být v pořádku, ale nechápu zbytečné otevření přístupu pro interní www server

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář