Μεταπτυχιακή ιπλωµατική Εργασία

Transcript

1 Ανάπτυξη Συστήµατος για την Ανίχνευση Επιθέσεων σε IP ίκτυα µε Χρήση Αναγνώρισης Ανώµαλης Συµπεριφοράς Μεταπτυχιακή ιπλωµατική Εργασία Βαλεοντής Ευτύχιος Α.Μ. 341 Τµήµα Μηχανικών Η/Υ & Πληροφορικής Πολυτεχνική Σχολή Πανεπιστήµιο Πατρών «Επιστήµη και Τεχνολογία των Υπολογιστών» Επιβλέπων: Π. Σπυράκης Μέλη Τριµελούς Εξεταστικής Επιτροπής: Χ. Κακλαµάνης, Ι. Γαροφαλάκης Νοέµβριος 2007

2 2

3 Περίληψη Σε αυτή τη µεταπτυχιακή εργασία γίνεται ανάπτυξη ενός κατανεµηµένου συστήµατος ανίχνευσης δικτυακών επιθέσεων µε χρήση αναγνώρισης ανώµαλης συµπεριφοράς. Προτείνονται δύο διαφορετικές προσεγγίσεις που έχουν αναπτυχθεί στην ίδια πλατφόρµα. Αρχικά (Κεφ. 1) γίνεται µια παρουσίαση του επιπέδου ασφάλειας στο διαδίκτυο σήµερα, καθώς και κάποιων γενικών αρχών ασφαλείας και των µοντέλων που θα χρησιµοποιήσουµε στο υπόλοιπο της εργασίας. Στο συνέχεια (Κεφ. 2) προχωρούµε στην ανάλυση της µεθοδολογία µιας δικτυακής επίθεσης ενώ στο επόµενο κεφάλαιο (Κεφ. 3) παρατίθενται ενδεικτικοί τρόποι προστασίας από τέτοιου είδους επιθέσεις. Το τέταρτο κεφάλαιο αναπτύσσεται η πλατφόρµα πάνω στην οποία έχουν αναπτυχθεί οι δύο προτάσεις. Η εµπειρική προσέγγιση αναλύεται στο κεφάλαιο 5 και στο κεφάλαιο 6 γίνεται η παρουσίαση της προσέγγισης µε µαθηµατικό µοντέλο. Η συµβολή και η ιδιαιτερότητα του προτεινόµενου συστήµατος έγκειται στο γεγονός ότι γίνεται ανίχνευση επιθέσεων χωρίς χρήση γνωστών pattern επιθέσεων µε ανταγωνιστικά ποσοστά false positive και false negative. Ευχαριστίες Για την υλοποίηση της παρούσας Μεταπτυχιακής ιπλωµατικής Εργασίας θέλω να ευχαριστήσω ιδιαιτέρως τους κάτωθι: Τον επιβλέποντα την Εργασία αυτή καθηγητή κ. Παύλο Σπυράκη για τις ιδιαιτέρως χρήσιµες παρατηρήσεις του και την καθοδήγησή του κατά τη συγγραφή της εργασίας. Τους κ.κ. καθηγητή Χρήστο Κακλαµάνη και αναπληρωτή καθηγητή Γιάννη Γαροφαλάκη οι παρατηρήσεις των οποίων βοήθησαν τόσο στη συγγραφή της Εργασίας όσο και στην παρουσίασή της. Τον κ. Θεόδωρο Κοµνηνό χωρίς την παρότρυνση και τις υποδείξεις του οποίου δε θα ήταν δυνατή η ολοκλήρωση αυτής της Εργασίας. 3

4 4

5 ΠΡΌΛΟΓΟΣ ΑΣΦΑΛΕΙΑ ΣΤΟ ΙΑ ΙΚΤΥΟ ΒΑΣΙΚΕΣ ΑΡΧΕΣ ΑΣΦΑΛΕΙΑΣ Στόχοι Επιπλέον Σκέψεις Για Την Ασφάλεια Φιλοσοφία Πόσο Υποχρεωτική είναι η Υλοποίηση Ασφαλείας σε ένα ίκτυο; ΜΟΝΤΕΛΑ ΑΝΑΦΟΡΑΣ Το Μοντέλο Αναφοράς OSI Το Μοντέλο Αναφοράς TCP/IP Ασφάλεια στο TCP/IP ΜΕΘΟ ΟΛΟΓΙΑ ΜΙΑΣ ΕΠΙΘΕΣΗΣ ΑΝΑΓΝΩΡΙΣΗ ΙΚΤΥΟΥ Έρευνα DNS Έλεγχος SNMP ΣΑΡΩΣΗ Σάρωση PING Σάρωση Θυρών (Port Scanning) Σάρωση Τρωτών Σηµείων (Vulnerability Scanning) Είδη επιθέσεων και τεχνικές ΤΡΟΠΟΙ ΠΡΟΣΤΑΣΙΑΣ ANTIVIRUS FIREWALL ΣΥΣΤΗΜΑ ΑΝΙΧΝΕΥΣΗΣ ΕΠΙΘΕΣΕΩΝ (IDS) Network Based IDS Host Based IDS Τεχνικές Ανίχνευσης Επιθέσεων Ενδεικτικοί τύποι IDS ΣΥΣΤΗΜΑ ΠΡΟΛΗΨΗΣ ΕΠΙΘΕΣΕΩΝ (IPS) ΣΥΣΤΗΜΑ ΙΑΧΕΙΡΙΣΗΣ ΚΑΙ ΑΝΑΛΥΣΗΣ ΑΝΤΙΜΕΤΩΠΙΣΗ ΤΗΣ ΕΠΙΘΕΣΗΣ Κοινοποίηση της επίθεσης Αποθήκευση Ενεργή απάντηση ΑΝΑΛΥΣΗ Ε ΟΜΕΝΩΝ ΓΙΑ ΤΟΝ ΧΑΡΑΚΤΗΡΙΣΜΟ ΜΙΑΣ ΕΠΙΘΕΣΗΣ Backup των υπό επίθεση συστηµάτων Αποµόνωση των υπό επίθεση συστηµάτων Αναζήτηση σε άλλα συστήµατα για ίχνη εισβολής Έρευνα logs που δηµιουργούνται από firewalls, δικτυακούς αισθητήρες και δροµολογητές Αναγνώριση των µεθόδων που χρησιµοποιήθηκαν στην επίθεση Αναγνώριση των ενεργειών του εισβολέα κατά την πρόσβαση στο σύστηµα ΕΜΠΕΙΡΙΚΗ ΠΡΟΣΕΓΓΙΣΗ ΜΕ ΠΑΡΑΚΟΛΟΥΘΗΣΗ ΤΟΥ ΡΥΘΜΟΥ ΜΕΤΑ ΟΣΗΣ Η Ι ΕΑ ΑΡΧΙΤΕΚΤΟΝΙΚΗ ΣΥΣΤΗΜΑΤΟΣ Η ΥΛΟΠΟΙΗΣΗ Host based part Περιγραφή Ενδείξεις ανά Host Συνολικές ενδείξεις ΑΝΑΛΥΣΗ ΠΑΡΟΥΣΙΑΣΗ ΤΟΥ ΠΡΟΓΡΑΜΜΑΤΟΣ Φυσιολογική κατάσταση δικτύου Κατάσταση επιφυλακής (Ι) Κατάσταση επιφυλακής (II)

6 5.4.4 Κατάσταση συναγερµού (Ι) Κατάσταση συναγερµού (ΙΙ) Γράφηµα για κάθε port LOGGING ΚΑΙ ΧΑΡΑΚΤΗΡΙΣΜΟΣ ΕΠΙΘΕΣΗΣ ΠΡΟΣΕΓΓΙΣΗ ΜΕ ΜΑΘΗΜΑΤΙΚΌ ΜΟΝΤΕΛΟ ΑΝΑΛΥΟΝΤΑΣ ΤΟ ΣΥΣΤΗΜΑ Στόχοι του συστήµατος Κατανεµηµένη λογική Εισαγωγή στους Agent Juror ιασύνδεση Agent Juror Σύνοψη ΑGENT Ανάλυση του πακέτου IP Επιλογή κατάλληλου δείγµατος Κατανοµή NON-ACK για κανονική κίνηση Κατανοµή NON-ACK για επίθεση Οι καµπύλες ROC Ο κανόνας απόφασης Περιγραφή της λειτουργίας του Agent O JUROR Περιγραφή της λειτουργίας του juror Μαθηµατικό Μοντέλο Ανάγκες σε υπολογιστική ισχύ ΣΥΜΠΕΡΑΣΜΑΤΑ ΜΕΛΛΟΝΤΙΚΕΣ ΠΡΟΕΚΤΑΣΕΙΣ ΒΙΒΛΙΟΓΡΑΦΙΑ

7 Πρόλογος Τα τελευταία χρόνια η ανίχνευση εισβολών σε δίκτυα υπολογιστών έχει αναδειχθεί σε ένα δηµοφιλές και διαρκώς εξελισσόµενο επιστηµονικό πεδίο εφαρµογής. Ένας από τους κύριους λόγους είναι η εξάπλωση του ιαδικτύου καθώς και ο µεγάλος αριθµός δικτυωµένων συστηµάτων (τοπικών δικτύων) που υπάρχουν σε οργανισµούς, εταιρείες, φορείς κα. Ο αυξανόµενος αριθµός δικτυωµένων µηχανηµάτων έχει οδηγήσει σε µια αύξηση των παράνοµων δραστηριοτήτων 1, όχι µόνο από «εισβολείς» εξωτερικούς αλλά και από τους τοπικούς χρήστες των δικτύων. Αναπόφευκτα η πιο πάνω τάση, προκάλεσε την µελέτη και ανάπτυξη συστηµάτων ανίχνευσης εισβολών τόσο στον ερευνητικό/επιστηµονικό τοµέα όσο και σε πρακτικό επίπεδο. Στην παρούσα φάση η πλειοψηφία των συστηµάτων µπορούν να ανιχνεύσουν αποτελεσµατικά ένα περιορισµένο εύρος εισβολών. Αυτό οφείλεται κυρίως στο γεγονός ότι τα περισσότερα βασίζονται σε ανίχνευση συγκεκριµένων ακολουθιών πακέτων (pattern) οι οποίες έχουν χαρακτηριστεί σαν επιθέσεις. Ενώ στις γνωστές επιθέσεις έχουν πολύ καλά ποσοστά επιτυχίας, δεν µπορούν να ανιχνεύσουν νέες επιθέσεις. Σχεδόν όλα τα υπάρχοντα Συστήµατα Ανίχνευσης Επιθέσεων επεξεργάζονται και αναλύουν τα δεδοµένα: είτε κεντρικά έχοντας σαν είσοδο τη δικτυακή κίνηση ενός υποδικτύου είτε ανά υπολογιστή αναλύοντας την κίνηση του συγκεκριµένου συστήµατος Τα εγγενή πλεονεκτήµατα µειονεκτήµατα των δύο αυτών µεθόδων αναλύονται σε µεγαλύτερο βάθος στο κεφάλαιο 3. Η παρούσα εργασία αποτελεί προϊόν µακράς ενασχόλησης µε την ανάπτυξη λύσεων στον τοµέα ανίχνευσης επιθέσεων σε δίκτυα. Ο κοινός παρονοµαστής των διαφορετικών λύσεων είναι η πλατφόρµα πάνω στην οποία βασίζονται. Αξιοποιούµε 1 Με τον όρο «παράνοµος» αναφερόµαστε σε µη εξουσιοδοτηµένη πρόσβαση σε δεδοµένα και υπηρεσίες

8 στοιχεία και από τις δύο µεθόδους όπως παρουσιάζεται αναλυτικότερα στο τέταρτο κεφάλαιο. Στο πρώτο κεφάλαιο γίνεται µία σύντοµη αναφορά και παρουσίαση του επιπέδου ασφάλειας που υπάρχει στο ιαδίκτυο στις µέρες µας. Επίσης παρουσιάζονται τα αίτια πίσω από τα διάφορα περιστατικά παραβίασης ασφάλειας, καθώς σε µεγάλο βαθµό αποτελούν τη βάση για την ερευνητική κατεύθυνση που ακολουθήθηκε. Στο δεύτερο κεφάλαιο γίνεται παρουσίαση µιας απόπειρας εισβολής σε ένα σύστηµα από έναν hacker. Παρουσιάζεται αναλυτικά η µεθοδολογία του, τα διαδοχικά βήµατα τα οποία ακολουθεί, και εναλλακτικά µονοπάτια που πιθανόν να επιλέξει. Η ανάλυση καταδεικνύει τα σηµεία στα οποία µπορεί να γίνει αντιληπτός από τα συστήµατα ανίχνευσης επιθέσεων γενικά αλλά και από τη δική µας πρόταση. Στο τρίτο κεφάλαιο παρατίθενται οι υπάρχουσες λύσεις ασφαλείας, από το επίπεδο του antivirus µέχρι και πιο σύνθετα συστήµατα πρόληψης επιθέσεων (IPS). Θα πραγµατοποιηθεί συγκριτική ανάλυση της υπό πρόταση λύσης µε τις τεχνικές αυτές Στο τέταρτο κεφάλαιο αναλύεται το σύστηµα διαχείρισης και ανάλυσης των δεδοµένων της επίθεσης και οι τρόποι αντίδρασης που αποτελεί κοινό χαρακτηριστικό και στις δύο προτάσεις. Η δοµή του συστήµατος και στις δύο περιπτώσεις είναι η ίδια. Συγκεκριµένα: ένα κεντρικό σύστηµα συλλογής των αναφορών από τους agent που αποφασίζει για την κατάσταση επικινδυνότητας του δικτύου αισθητήρες λογισµικού (agents) εγκατεστηµένοι σε υπολογιστές ελέγχουν τη διερχόµενη κίνηση και αποστέλλουν τις αναφορές τους στο κεντρικό Επίσης, κοινές είναι και οι τεχνικές αντίδρασης του συστήµατος όταν εντοπιστεί επίθεση. Από την άλλη, οι µετρικές και οι συνθήκες βάσει των οποίων λαµβάνουµε αποφάσεις κάθε φορά, είναι εντελώς διαφορετικές σε κάθε λύση. Στο πέµπτο κεφάλαιο γίνεται παρουσίαση της πρώτης λύσης που υλοποιήθηκε. Αυτή βασίστηκε κυρίως σε εµπειρικές παρατηρήσεις οµαλής και ανώµαλης κίνησης στο δίκτυο. Έφερε αποτελέσµατα ικανοποιητικά καθώς αποτέλεσε και αφορµή για τη δηµιουργία της πλατφόρµας αισθητήρα / κεντρικού συστήµατος πάνω στην οποία θα µπορούσε να εφαρµοστεί οποιαδήποτε λογική. Τέλος στο έκτο κεφάλαιο παρουσιάζεται µια βελτιωµένη έκδοση του συστήµατος που λαµβάνει υπόψη µια µαθηµατική µοντελοποίηση της δικτυακής κίνησης. Από την πλευρά του κεντρικού συστήµατος ένας «έξυπνος» µηχανισµός (Juror) αξιοποιεί το µαθηµατικό µοντέλο για την ανίχνευση πιο απαιτητικών επιθέσεων που η πρώτη υλοποίηση αποτύγχανε. 8

9 1. Ασφάλεια στο ιαδίκτυο Σε αυτό το κεφάλαιο θα γίνει µια εισαγωγή στην ασφάλεια στα δίκτυα υπολογιστών γενικότερα, αλλά και στο ιαδίκτυο. Βασικές αρχές ασφάλειας, δικτυακές έννοιες αλλά και υπάρχοντα µοντέλα αναφοράς αναλύονται παρακάτω. 1.1 Βασικές Αρχές Ασφαλείας Στόχοι Οι στόχοι µιας υλοποίησης ασφαλείας υπολογιστών συνήθως συνοψίζονται σε τρεις έννοιες, γνωστές µε το αρκτικόλεξο CIA: Confidentiality: Η αρχή του confidentiality (εµπιστευτικότητας) προστατεύει ευαίσθητη πληροφορία από µη εξουσιοδοτηµένη πρόσβαση ή υποκλοπή της. Η πληροφορία πρέπει να είναι εµφανής µόνο µεταξύ των νόµιµων άκρων µιας επικοινωνίας και όχι και σε αυτούς που πιθανά «ακούνε» το κανάλι της επικοινωνίας. Integrity: Η αρχή του integrity (ακεραιότητα) εξασφαλίζει ότι η πληροφορία ή το λογισµικό είναι πλήρες, σωστό και αυθεντικό, µε άλλα λόγια ότι δεν έχει υποστεί κάποια αλλαγή µε κάποιον παράνοµο τρόπο. Θέλουµε να εξασφαλίσουµε ότι υπάρχουν κατάλληλοι µηχανισµοί στα σωστά σηµεία, οι οποίοι µας προστατεύουν από τυχαία ή κακόβουλη τροποποίηση της αρχικής πληροφορίας. Availability: Η αρχή του availability (διαθεσιµότητας) εξασφαλίζει ότι η πληροφορία ή οι υπηρεσίες είναι προσπελάσιµες και λειτουργικές, όταν ζητηθούν από κάποιον ο οποίος είναι εξουσιοδοτηµένος για πρόσβαση σε αυτές. Με την αρχή αυτή σχετίζεται και η έννοια της εµπιστοσύνης. Η εµπιστοσύνη έχει να κάνει µε το κατά πόσο µπορεί κάποιος χρήστης να εµπιστεύεται ένα υπολογιστικό σύστηµα και να είναι εφησυχασµένος ότι το σύστηµα κάνει αυτό που ισχυρίζεται και όχι κάποια άλλη ανεπιθύµητη ενέργεια. ιαφορετικά συστήµατα, που εξυπηρετούν διαφορετικούς σκοπούς, ρίχνουν µεγαλύτερο βάρος σε κάποια από τις τρεις αυτές αρχές. Για παράδειγµα κάποιος πάροχος internet (ISP) ενδιαφέρεται περισσότερο να παρέχει στους χρήστες του availability. Ο στρατός από την άλλη ρίχνει περισσότερο βάρος στο confidentiality του δικτύου του, καθώς πρόσβαση σε πληροφορίες του πρέπει να έχουν λίγοι µόνο εξουσιοδοτηµένοι χρήστες. Εδώ µάλιστα υπάρχει και κατηγοριοποίηση πρόσβασης, καθώς διαφορετικά άτοµα έχουν και διαφορετικού επιπέδου πρόσβαση σε πληροφορία. Οι περισσότερες επιχειρήσεις τώρα πρέπει να δίνουν έµφαση και στις τρεις αυτές αρχές, µε ίσως λίγο µεγαλύτερη στο integrity των δεδοµένων τους. 9

10 Confidentiality Η αρχή του confidentiality (εµπιστευτικότητας) προστατεύει ευαίσθητη πληροφορία από µη εξουσιοδοτηµένη πρόσβαση ή υποκλοπή της. Συνήθως χρησιµοποιείται κρυπτογραφία και έλεγχος πρόσβασης, ώστε να εξασφαλιστεί η εµπιστευτικότητα των δεδοµένων. Η προσπάθεια που θα καταβληθεί για να εξασφαλιστεί η εµπιστευτικότητα των δεδοµένων εξαρτάται από το πόσο ευαίσθητα είναι τα δεδοµένα του. ιάφορες εφαρµογές παρέχουν κρυπτογράφηση από άκρο σε άκρο, ωστόσο σε µια τέτοια περίπτωση υπάρχει το µειονέκτηµα ότι καθένα από τα άκρα θα πρέπει να υποστηρίζει το ίδιο πρωτόκολλο κρυπτογράφησης. Ιδεατά Ιδιωτικά ίκτυα, γνωστά ως (VPNs), µπορούν να χρησιµοποιηθούν ως εναλλακτική λύση για δηµιουργία ενός ασφαλούς καναλιού επικοινωνίας µεταξύ δύο αποµακρυσµένων σηµείων. Κρυπτογραφία µπορεί να χρησιµοποιηθεί και στο επίπεδο συνδέσµου µετάδοσης δεδοµένων (data-link layer) του µοντέλου OSI, ωστόσο είναι δύσκολο στην εφαρµογή του, καθώς απαιτεί κάθε ενδιάµεση συσκευή δικτύωσης στο µονοπάτι επικοινωνίας να συµµετέχει στην κρυπτογράφηση. Προστασία µε φυσικά µέσα εφαρµόζεται παράλληλα για να περιορίσει την µη εξουσιοδοτηµένη πρόσβαση σε υπολογιστικά κέντρα ή σε µέρη όπου υπάρχει δικτυακός εξοπλισµός. Ένας βασικός λόγος που λαµβάνονται µέτρα περιορισµού της φυσικής πρόσβασης σε µέρη µε δικτυακό εξοπλισµό είναι για να µειωθεί η πιθανότητα κάποιος να µπορεί να λαµβάνει πακέτα χωρίς να πρέπει. Αυτό µπορεί να επιτευχθεί µε χρήση προγραµµάτων λογισµικού τα οποία συλλαµβάνουν πακέτα τα οποία όµως δεν προορίζονταν για αυτά. Με τον τρόπο αυτό µπορεί κάποιος να υποκλέψει σηµαντικές πληροφορίες, τόσο για τα δεδοµένα, όσο και για την ίδια την δοµή του δικτύου Integrity Η αρχή του integrity (ακεραιότητα) εξασφαλίζει ότι η πληροφορία δεν έχει υποστεί κάποια αλλαγή µε κάποιον παράνοµο τρόπο κατά την µεταφορά της από τον αποστολέα στον παραλήπτη της. Επιθυµούµε να προστατέψουµε την πληροφορία να δεχθεί τροποποίηση από χρήστες ή εφαρµογές που δεν είναι εξουσιοδοτηµένες να πράξουν κάτι τέτοιο, ή από χρήστες που είναι µεν εξουσιοδοτηµένοι για προσπέλαση, αλλά τα δικαιώµατά τους δεν τους επιτρέπουν να πραγµατοποιήσουν καµιά τροποποίηση σε αυτήν. Για να µπορούµε να πούµε ότι ικανοποιείται η ακεραιότητα των δεδοµένων µας πρέπει να εξασφαλίζεται ότι το µήνυµα που φτάνει σε έναν παραλήπτη είναι ίδιο µε αυτό που έφυγε από τον αποστολέα. Το περιεχόµενο του µηνύµατος πρέπει να είναι πλήρες και να µην έχει υποστεί καµιά αλλαγή σε κάποιον ενδιάµεσο κόµβο του δικτύου, και το κανάλι της επικοινωνίας είναι µεταξύ της νόµιµης πηγής και του σωστού προορισµού. Η ακεραιότητα µιας σύνδεσης µπορεί να εξασφαλιστεί µε χρήση κρυπτογραφίας και έλεγχο δροµολόγησης. Ισχυρές µέθοδοι εξασφάλισης της 10

11 ακεραιότητας υπάρχουν όταν γίνεται χρήση hash συναρτήσεων, όπως ο αλγόριθµος MD5 ή ο Ασφαλής Hash Αλγόριθµος (SHA). Η ακεραιότητα επεκτείνεται και στο λογισµικό των δικτυακών συσκευών, µέσω των οποίων µεταφέρονται δεδοµένα. Το λογισµικό πρέπει να πιστοποιείται ώστε να εξασφαλίζεται η προέλευσή του και η ορθή µεταφορά του στην κάθε συσκευή. Για παράδειγµα, όπως τα IP πακέτα έχουν ένα checksum µε το οποίο ελέγχουν ότι δεν αλλοιώθηκε το πακέτο κατά την µεταφορά, έτσι και το λογισµικό των δικτυακών συσκευών της γνωστής εταιρίας CISCO συνοδεύεται από ένα checksum. Όταν το λογισµικό εγκατασταθεί σε κάποια συσκευή τότε πρέπει να πιστοποιείται ότι το checksum που επιστρέφει το λογισµικό µε αυτό που δίνει η εταιρία για το λογισµικό αυτό. Έτσι εξασφαλίζεται η ορθή µεταφορά και εγκατάσταση του στην κάθε συσκευή Availability Η αρχή του availability (διαθεσιµότητας) εξασφαλίζει ότι η πληροφορία ή οι υπηρεσίες είναι προσπελάσιµες και λειτουργικές, όταν ζητηθούν από κάποιον ο οποίος είναι εξουσιοδοτηµένος για πρόσβαση σε αυτές. Η ανοχή σε σφάλµατα, ο πλεονασµός, τα εφεδρικά αντίγραφα, οι διαδικασίας ανάκτησης, η ανθεκτικότητα και η εξισορρόπηση φορτίου είναι σχεδιαστικές αρχές του δικτύου, οι οποίες χρησιµοποιούνται για να εξασφαλιστεί η διαθεσιµότητα. Αν τα συστήµατα δεν είναι διαθέσιµα όταν πρέπει, τότε οι έννοιες εµπιστευτικότητα και ακεραιότητα δεν έχουν καµία απολύτως σηµασία. Επιθέσεις Άρνησης Εξυπηρέτησης (DoS) έχουν ως στόχο να εµποδίσουν την οµαλή λειτουργία ενός συστήµατος και να το κάνουν, έστω και προσωρινά, µη διαθέσιµο. Τέτοιες επιθέσεις σε servers εταιριών που δραστηριοποιούνται στο διαδίκτυο µπορεί να σηµαίνουν σηµαντική απώλεια εσόδων, οπότε σε τέτοιες περιπτώσεις η διαθεσιµότητα είναι ο πρώτος στόχος. Το πρόβληµα µε τις επιθέσεις DoS γίνεται σήµερα ακόµη µεγαλύτερο, καθώς εµφανίζεται συχνά µια νέα εκδοχή αυτού του τύπου επίθεσης, η DDoS (Distributed Denial of Service), η οποία είναι ακόµη πιο αποτελεσµατική και δύσκολη στην αντιµετώπιση Επιπλέον Σκέψεις Για Την Ασφάλεια Εκτός της προαναφερόµενης τριάδας αρχών (CIA), υπάρχει µια πληθώρα από αρχές ασφαλείας οι οποίες πρέπει οπωσδήποτε να λαµβάνονται υπ όψιν κατά το σχεδιασµό ή την υλοποίηση ενός πλάνου ασφαλείας. Οι βασικότερες από τις αρχές αυτές είναι η Ιδιωτικότητα (Privacy), η Πιστοποίηση (Authentication), η Εξουσιοδότηση (Authorization) και η Υπευθυνότητα (Accountability). 11

12 Ιδιωτικότητα (Privacy) Η αρχή της ιδιωτικότητας εξασφαλίζει πως η πληροφορία που ανταλλάσσεται µεταξύ των χρηστών παραµένει απόρρητη και είναι εµφανής µόνο στους νόµιµους χρήστες. Για να είναι ένα δίκτυο υπολογιστών ασφαλές, πρέπει να εξασφαλίζεται πως κανένας κακόβουλος ενδιάµεσος χρήστης δεν µπορεί να δει την πληροφορία που διακινείται πάνω στο δίκτυο. Το να εµποδίζεται η αλλοίωση των δεδοµένων είναι οπωσδήποτε κρίσιµο σε ένα δίκτυο, ωστόσο αυτό δεν αρκεί. Για να µπορεί κάποιος να ισχυρισθεί πως είναι ασφαλής, θα πρέπει να εξασφαλίζεται και το απόρρητο της επικοινωνίας. Μάλιστα, στις µέρες µας είναι πολύ συχνό θέµα συζήτησης τα Ευαίσθητα Προσωπικά εδοµένα, για την προστασία των οποίων και λαµβάνονται συνεχώς µέτρα. Και µόνο το γεγονός αυτό πρέπει να µας κάνει να σκεφτούµε πάρα πολύ σοβαρά την αρχή της ιδιωτικότητας σε οποιαδήποτε προσπάθεια υλοποίησης ασφαλείας σε ένα δίκτυο υπολογιστών. Ένα µέτρο που χρησιµοποιείται για την ικανοποίηση της παραπάνω απαίτησης είναι η κρυπτογραφία. Κρυπτογραφώντας την µεταδιδόµενη πληροφορία καταφέρνουµε να την «κρύψουµε» από οποιονδήποτε κακόβουλο ενδιάµεσο αποδέκτη ή παρατηρητή, δίνοντάς της µια ακαταλαβίστικη µορφή, από την οποία είναι δύσκολο να εξαχθεί η αρχική πληροφορία Πιστοποίηση (Authentication) Πιστοποίηση είναι η διαδικασία εκείνη που εξασφαλίζει πως ένας χρήστης είναι νόµιµος για κάποιο σύστηµα. Για να γίνει η πιστοποίηση απαιτείται τα διαπιστευτήρια του χρήστη να αντιστοιχούν µε αυτά του συστήµατος στο οποίο ο χρήστης θέλει να αποκτήσει πρόσβαση. Η πιο συχνή µορφή πιστοποίησης είναι µε τη χρήση κάποιου µυστικού κωδικού, συνήθως σε συνδυασµό µε ένα όνοµα χρήστη. Ο χρήστης που θέλει να πιστοποιήσει τον εαυτό του στο σύστηµα, εισάγει το όνοµα χρήστη και τον κωδικό που αντιστοιχεί στο όνοµα αυτό και αν ο συνδυασµός αυτός ταυτίζεται µε αυτόν που έχει το σύστηµα, τότε ο χρήστης πιστοποιείται και αποκτά πρόσβαση µε δικαιώµατα αυτά που του παρέχει ο συγκεκριµένος λογαριασµός. Η χρήση του συνδυασµού ονόµατος χρήστη και κωδικού για την πιστοποίηση ενός χρήστη, αν και χρησιµοποιείται ευρύτατα, δεν αποτελεί, τουλάχιστον από µόνη της, την ιδανική λύση στο πρόβληµα της πιστοποίησης. Συνήθως χρησιµοποιείται σε συνδυασµό µε άλλες τεχνικές οι οποίες αυξάνουν κατά πολύ το βαθµό ασφαλείας της όλης διαδικασίας. Μπορεί για παράδειγµα να χρησιµοποιείται σε συνδυασµό µε τεχνικές κρυπτογραφίας, ώστε τα διαπιστευτήρια να µην στέλνονται πάνω από το δίκτυο ως απλό κείµενο (plain text), αλλά µε κάποια κρυπτογραφηµένη µορφή. Η λύση του κωδικού πάσχει και από την φύση της, καθώς δεν είναι σπάνιο το φαινόµενο χρηστών που εύκολα αποκαλύπτουν τον κωδικό τους ή τον έχουν ακόµη και σηµειωµένο κάπου κοντά στο σύστηµα στο οποίο πιστοποιείται. Για την αποφυγή τέτοιων καταστάσεων αναπτύχθηκαν τεχνικές οι οποίες πιστοποιούν κάποιον χρήστη µοναδικά, αξιοποιώντας τα µοναδικά χαρακτηριστικά του κάθε ατόµου. Μια τέτοια τεχνική κάνει χρήση των χαρακτηριστικών της ίριδας του µατιού και πιστοποιεί 12

13 κάποιον χρήστη συγκρίνοντας την ίριδα του µατιού του, µε αυτήν που έχει αποθηκευµένη για τον χρήστη αυτό. Με τέτοιες τεχνικές είναι φανερό πως τα µειονεκτήµατα της χρήσης κωδικού για την πιστοποίηση ενός χρήστη, εξαλείφονται και το σύστηµα πιστοποιεί πλέον µε µεγαλύτερη πιθανότητα µόνο νόµιµους χρήστες Εξουσιοδότηση (Authorization) Μόλις κάποιος χρήστης πιστοποιηθεί, τότε πρέπει να εξουσιοδοτηθεί. Η διαδικασία της εξουσιοδότησης εξασφαλίζει τα κατάλληλα δικαιώµατα για τον χρήστη που µόλις πιστοποιήθηκε. Με άλλα λόγια καθορίζει τι ενέργειες επιτρέπεται να εκτελέσει στο σύστηµα και τι δεδοµένα µπορεί να προσπελάσει. Η διαδικασία της εξουσιοδότησης είναι από τις πλέον σηµαντικές σε ένα σύστηµα, καθώς λανθασµένες ρυθµίσεις στον λογαριασµό ενός χρήστη, ενδέχεται να του δώσουν πρόσβαση σε λειτουργίες ή δεδοµένα που δε θα έπρεπε να µπορεί να διαχειριστεί. Ένα τέτοιο λάθος καταργεί αυτοµάτως τον όποιο σχεδιασµό ασφαλείας έχει αναπτυχθεί. Υπάρχει µια λογική η οποία είναι γνωστή ως «Αρχή των Ελαχίστων ικαιωµάτων» και η οποία πρέπει να ακολουθείται σε κάθε περίπτωση. Αυτό που µας υποδεικνύει είναι πως πάντα πρέπει να δίνουµε τα ελάχιστα δικαιώµατα σε κάποιον χρήστη, ώστε να µπορεί να εκπληρώσει την εργασία του στο σύστηµα. Τίποτε παραπάνω. Οποιοδήποτε επιπλέον δικαίωµα στον λογαριασµό του, όσο αθώο και να φαίνεται, µπορεί να αποτελέσει τρωτό σηµείο τόσο για το σύστηµα, όσο και για το δίκτυο συνολικά. Όσο πιο περιορισµένα είναι τα δικαιώµατα ενός λογαριασµού, τόσο πιο ασφαλές είναι το περιβάλλον που επιβλέπουµε. υστυχώς η αλήθεια αυτή συχνά παραβλέπεται από τους διαχειριστές δικτύων, οι οποίοι για να αποφύγουν περιπτώσεις διαµαρτυριών για τον περιορισµό των δικαιωµάτων από τους χρήστες, προτιµούν να δίνουν επιπλέον δικαιώµατα στους λογαριασµούς, χωρίς όµως να υπάρχει λόγος. Μια καλή λύση στο πρόβληµα αυτό είναι ο καθορισµός αυστηρών κανόνων ασφαλείας και οδηγιών για τα επίπεδα δικαιωµάτων από την διοίκηση της κάθε εταιρίας ή οργανισµού. Με τον τρόπο αυτό, οι διαχειριστές δικτύων µπορούν να εφαρµόσουν αυστηρή πολιτική ασφαλείας, αποφεύγοντας τις διαµαρτυρίες των υπολοίπων χρηστών, στηριζόµενοι πάντα στο πλάνο ασφαλείας που έχει εκδοθεί από την διοίκηση Υπευθυνότητα (Accountability) Η πολιτική ασφαλείας ενός οργανισµού ή µιας εταιρίας έχει νόηµα και πρακτική εφαρµογή µόνο αν υπάρχει η έννοια της υπευθυνότητας. Με άλλα λόγια, η ασφάλεια έχει νόηµα µόνο στην περίπτωση όπου κάθε χρήστης είναι υπεύθυνος για τις πράξεις του. Η αποτελεσµατικότητα τώρα της αρχής αυτής έχει να κάνει µε το κατά πόσο είναι δυνατή η σωστή απόδοση ευθυνών, αλλά και µε την ικανότητα ανίχνευσης των ενεργειών ενός χρήστη. Η υπευθυνότητα αρχίζει να έχει υπόσταση όταν, µέσω των µηχανισµών πιστοποίησης και εξουσιοδότησης, γίνει η ταύτιση ενός ατόµου µε τις ενέργειές του σε κάποιο σύστηµα ή σε κάποιο δίκτυο. 13

14 1.1.3 Φιλοσοφία Η φιλοσοφία πίσω από µια υλοποίηση ασφαλείας είναι λίγο διαφορετική από αυτό που αντιµετωπίζουν οι διαχειριστές δικτύων. Υπάρχουν τρεις βασικές διαστάσεις πίσω από κάθε σχεδιασµό δικτύου: Η ιάσταση του Χρήστη. Υλοποίηση γρήγορη και µε το λιγότερο δυνατό κόστος. Το δίκτυο πρέπει να λειτουργήσει το ταχύτερο δυνατόν, και σε περίπτωση βλάβης πρέπει να επανέλθει άµεσα. Η ιάσταση της ιαχείρισης των Λειτουργιών. Το δίκτυο πρέπει να ικανοποιεί όλες τις ανάγκες και να είναι όσο πιο αξιόπιστο γίνεται. Πρέπει να υπάρχει τεκµηρίωση για κάθε λειτουργία του. εν πρέπει να «πέφτει» ή τουλάχιστον να «επανέρχεται» άµεσα και χωρίς να γίνεται αντιληπτό από τους χρήστες. Η ιάσταση της Ασφαλείας. Το δίκτυο πρέπει να λειτουργεί µε ελεγχόµενο τρόπο. Πρέπει να εκτελούνται µόνο οι νόµιµες υπηρεσίες. Σε περίπτωση ανώµαλης λειτουργίας πρέπει να εξασφαλίζεται ότι δεν επιτρέπεται η µη εξουσιοδοτηµένη πρόσβαση. Ο καλύτερος τρόπος για να γίνει κατανοητή η διάσταση του χρήστη είναι να σκεφτούµε ότι αναπτύσσουµε ένα πρόγραµµα για υπολογιστή: Γράφουµε κώδικα και τον κάνουµε να δουλεύει. Αν έχει κάποια προβληµατάκια, δεν είναι και τόσο πρόβληµα, αφού είναι πιο φτηνό, ενώ παράλληλα κάνει αυτά που πρέπει. Για να αντιληφθούµε τη διάσταση της διαχείρισης των λειτουργιών ας σκεφτούµε ότι προγραµµατίζουµε έναν υπολογιστή µε βάση τους νόµους του Murphy: Γράφουµε κώδικα γνωρίζοντας ότι κάτι θα συµβεί την χειρότερη στιγµή και προσπαθούµε να τον κάνουµε να συµπεριφερθεί σε αυτήν την περίπτωση µε τον καλύτερο δυνατό τρόπο. Πολύς χρόνος ξοδεύεται σε ελέγχους για την εµφάνιση λεπτοµερών µηνυµάτων σε περίπτωση σφάλµατος, ώστε να γίνει αντιληπτός ο λόγος που προκάλεσε την µη οµαλή αυτή λειτουργία. Το πρόγραµµα αυτό κοστίζει περισσότερο, αλλά είναι πολύ πιο αξιόπιστο από αυτό του πρώτου παραδείγµατος. Για την περίπτωση τώρα της διάστασης της ασφαλείας ενός δικτύου ας θεωρήσουµε ότι αναπτύσσουµε λογισµικό για ένα σύστηµα το οποίο βρίσκεται µέσα στην κόλαση (και το internet µια κόλαση είναι...): Γράφουµε κώδικα γνωρίζοντας πως ανά πάσα στιγµή υπάρχει κάποιος κακόβουλος χρήστης ή κώδικας που προσπαθεί να εισβάλει στο σύστηµα και να προσπεράσει την ασφάλειά του. Στην περίπτωση αυτή πρέπει να προστατεύει ο κώδικας τόσο τον εαυτό του, όσο και όλους όσους τον χρησιµοποιούν. Πάρα πολύς χρόνος ξοδεύεται σε ελέγχους για Buffer Overflows ή παράνοµης εισόδου. Η διαδικασία αυτή είναι η πιο δύσκολη και βεβαίως και η ακριβότερη. Ωστόσο αν θέλουµε να λέµε ότι η εφαρµογή είναι ασφαλής, τότε η λύση αυτή είναι µονόδροµος. Ποιος είπε ότι ο κόσµος των υπολογιστών είναι ιδανικός και ασφαλής; Καµιά από αυτές τις τρεις διαστάσεις δεν είναι η ιδανική. Όλες έχουν τα πλεονεκτήµατα και µειονεκτήµατα τους. Το να δουλεύει κανείς µε βάση τη διάσταση της διαχείρισης των λειτουργιών είναι η πιο ακριβή λύση. Συνήθως σηµαίνει πως πρέπει να έχεις τα πάντα σε δύο αντίγραφα, να παρέχεις εναλλακτική δροµολόγηση 14

15 σε περίπτωση αστοχίας κάποιας δικτυακής συσκευής και να ξοδεύεις χρόνο για να σκεφτείς θέµατα διαχείρισης. Το να δουλεύεις τώρα µε βάση την διάσταση της ασφαλείας είναι το πιο άβολο, καθώς υπάρχει µεγάλη πολυπλοκότητα. Πρέπει να περιοριστούν όλες οι υπηρεσίες στο ελάχιστο και να παρέχονται µόνο τα απαραίτητα δικαιώµατα. Το να προσπαθεί κάποιος να είναι συνεπής και µε τις τρεις παραπάνω διαστάσεις είναι µια πρόκληση µε την οποία έρχονται αντιµέτωποι όλοι οι διαχειριστές Πόσο Υποχρεωτική είναι η Υλοποίηση Ασφαλείας σε ένα ίκτυο; Η υλοποίηση ασφαλείας σ ένα δίκτυο κοστίζει αρκετά και καµιά φορά είναι και ενοχλητική για τους χρήστες. Τα δύο αυτά αρνητικά της είναι αρκετά ώστε να πει κάποιος πως δεν υπάρχει λόγος να αναπτύξει κάποιο σύστηµα ασφαλείας. Πολλές εταιρίες µάλιστα εφάρµοσαν αυτήν την στρατηγική και προτίµησαν να µην µπουν στην διαδικασία ανάπτυξης ασφαλείας στο δίκτυό τους. Εκ του αποτελέσµατος βέβαια, µπορούµε σήµερα να πούµε πως µια τέτοια στρατηγική ήταν κοντόφθαλµη και λανθασµένη, καθώς τελικά τους κόστισε περισσότερο η απουσία ασφαλείας του δικτύου τους. Έρευνες του Computer Security Institute (CSI)/FBI [3] για το 2005 έδειξαν ότι οι εταιρίες είχαν σηµαντικές απώλειες (της τάξεως των εκατοµµυρίων δολαρίων) από επιθέσεις ιών ή σκουληκιών, από παράνοµη πρόσβαση στα συστήµατά τους, από κλοπή εµπιστευτικών πληροφοριών, από επιθέσεις άρνησης εξυπηρέτησης και µια σειρά άλλων επιθέσεων. Ένα αποτελεσµατικό πρόγραµµα ασφαλείας µπορεί να προσφέρει πολλά σε µια εταιρία και να την γλιτώσει από πολλά έξοδα. Έχει εκτιµηθεί πως οι τρεις πιο σοβαρές απειλές από άποψη κόστους ήταν το CodeRed µε τις παραλλαγές του, που κόστισε περίπου 2.62 δισεκατοµµύρια δολάρια, ο SirCam που κόστισε περίπου 1.15 δισεκατοµµύρια δολάρια και ο Nimda µε κόστος που ανέρχεται στα 635 εκατοµµύρια δολάρια. Και για τις τρεις αυτές απειλές υπήρχε λύση, µόνο που οι εταιρίες είτε δεν είχαν προβλέψει να χρησιµοποιούν κάποιο εργαλείο ελέγχου ασφαλείας, είτε η χρήση τέτοιων εργαλείων δεν ήταν αυτή που θα έπρεπε. Το σίγουρο είναι πως εταιρίες που είχαν επενδύσει σε ασφάλεια υπέστησαν και τη µικρότερη ζηµιά, εποµένως το όποιο αρχικό κόστος για υλοποίηση ασφαλείας αποσβέστηκε πλήρως κατά την εµφάνιση αυτών των απειλών. Από την άλλη δεν είναι λίγες οι περιπτώσεις εταιριών που θεωρούν πως δεν είναι στόχοι κάποιας επίθεσης, οπότε το να ξοδέψουν για την ασφάλεια των συστηµάτων τους είναι άσκοπο. Τέτοιες σκέψεις σήµερα είναι εκτός πραγµατικότητας, καθώς υπάρχουν άπειρα εργαλεία αυτόµατου ελέγχου για τρωτά σηµεία συστηµάτων, τα οποία επιλέγονται πολλές φορές και τυχαία. Σε µια τέτοια περίπτωση δεν υπάρχει πρόθεση για εκµετάλλευση συγκεκριµένου συστήµατος κάποιας εταιρίας, αλλά πρόθεση να προσβληθεί όποιο σύστηµα µπορεί να εξυπηρετήσει κάποιον απώτερο σκοπό. Μπορεί, για παράδειγµα, να διαπεραστεί η ασφάλεια ενός µηχανήµατος, όχι για άλλο λόγο, αλλά για να χρησιµοποιηθεί σε µια επίθεση προς κάποιον άλλο στόχο. Στην περίπτωση αυτή µπορεί µεν να µην υποκλέπτονται πληροφορίες της εταιρίας, αλλά η εταιρία αυτή προκαλεί πρόβληµα στην κοινότητα του διαδικτύου 15

16 αδιαφορώντας για την δικιά της ασφάλεια, καθώς γίνεται το µέσο εξάπλωσης των διαφόρων απειλών. 1.2 Μοντέλα Αναφοράς Για να µπορέσει κάποιος να υλοποιήσει ασφάλεια σε ένα δίκτυο, θα πρέπει πρώτα να έχει πλήρως κατανοήσει τον τρόπο µε τον οποίο δουλεύει ένα δίκτυο. Σηµαντικό βήµα προς την κατεύθυνση αυτή είναι η µελέτη των βασικών αρχιτεκτονικών των δικτύων. Σήµερα έχουν επικρατήσει δύο βασικά µοντέλα αναφοράς, το µοντέλο αναφοράς OSI και το µοντέλο αναφοράς TCP/IP. Το µοντέλο TCP/IP είναι λίγο πιο παλιό ηλικιακά και αναπτύχθηκε στο Υπουργείο Άµυνας των Η.Π.Α. (DoD). Μάλιστα πάνω σε αυτό βασίστηκε η λειτουργία του δικτύου ARPANET, που αποτελεί και τον πρόδροµο του INTERNET. Τα πρωτόκολλα του µοντέλου αυτού µάλιστα χρησιµοποιούνται, µε αρκετές βέβαια βελτιώσεις, µέχρι σήµερα. Από την άλλη το OSI, αν και µεταγενέστερο του TCP/IP, χρησιµοποιείται κυρίως για την περιγραφή των λειτουργιών µεταξύ των διαφόρων επιπέδων και όχι για τα πρωτόκολλά του, που µάλιστα χρησιµοποιούνται σπάνια, κυρίως λόγω του υψηλού κόστους ανάπτυξής τους Το Μοντέλο Αναφοράς OSI Το OSI (Open Systems Interconnection) αναπτύχθηκε για να καθιερωθεί µια κοινή πρότυπη δοµή επικοινωνίας για όλα τα συστήµατα υπολογιστών. Αν και το µοντέλο αυτό ποτέ δεν υιοθετήθηκε πλήρως, ωστόσο η θεωρία πίσω από το µοντέλο αυτό έγινε ευρέως αποδεκτή. Το µοντέλο αυτό παρέχει ένα αφηρηµένο πλαίσιο, ένα θεωρητικό µοντέλο, το οποίο απεικονίζει τον τρόπο µε τον οποίο θα έπρεπε να λειτουργούν τα πρωτόκολλα σε έναν ιδανικό κόσµο. Για τον λόγο αυτό το OSI αποτελεί και το σηµείο αναφοράς, µε βάση το οποίο συγκρίνονται τα διάφορα πρωτόκολλα. Επίπεδο Επίπεδο 7 Παρουσίασης Επίπεδο 6 Συνδιάλεξης Επίπεδο 5 Μεταφοράς Επίπεδο 4 ικτύου Επίπεδο 3 Συνδέσµου Μετάδοσης εδοµένων Επίπεδο 2 Φυσικό Επίπεδο 1 Σχήµα 1.1 Τα επίπεδα του µοντέλου αναφοράς OSI Το µοντέλο OSI αποτελείται από επτά επίπεδα (εικόνα 1.1). Καθένα από τα επίπεδα είναι υπεύθυνο για ένα µέρος της διαδικασίας της επικοινωνίας δύο υπολογιστικών 16

17 συστηµάτων. Για κάθε επίπεδο ορίζεται τι πρέπει να δέχεται ως όρισµα και τι πρέπει να δίνει ως έξοδο. Ο τρόπος µε τον οποίο γίνεται η επεξεργασία των δεδοµένων για να παραχθεί η έξοδος του κάθε επιπέδου είναι κάτι που δεν αφορά το µοντέλο. Τα επίπεδα του µοντέλου αριθµούνται πάντα από κάτω προς τα πάνω και η αναφορά σε αυτά γίνεται είτε χρησιµοποιώντας το όνοµα του κάθε επιπέδου, είτε τον αριθµό του. Το µοντέλο θεωρεί ότι κάθε επίπεδο επικοινωνεί µε τρία διαφορετικά επίπεδα, το αµέσως ανώτερο και αµέσως κατώτερό του, καθώς και το αντίστοιχο επίπεδο του άλλου κόµβου της επικοινωνίας (εικόνα 1.2). Τα επίπεδα του µοντέλου είναι: Το Φυσικό Επίπεδο (Επίπεδο 1) Το Επίπεδο Συνδέσµου Μετάδοσης εδοµένων (Επίπεδο 2) Το Επίπεδο ικτύου (Επίπεδο 3) Το Επίπεδο Μεταφοράς (Επίπεδο 4) Το Επίπεδο Συνδιάλεξης (Επίπεδο 5) Το Επίπεδο Παρουσίασης (Επίπεδο 6) Το Επίπεδο Εφαρµογών (Επίπεδο 7) Κατανοώντας τις λειτουργίες κάθε επιπέδου, θα κατανοήσουµε τόσο τον τρόπο επικοινωνίας δύο υπολογιστών, όσο και τον τρόπο µε τον οποίο µπορούν να γίνουν επιθέσεις στην επικοινωνία δύο υπολογιστικών συστηµάτων. Από την στιγµή που µας γίνει κατανοητός ο τρόπος της επίθεσης, µπορούµε πλέον να προχωρήσουµε ένα βήµα παραπέρα και κάνουµε την επικοινωνία πιο ασφαλή. Σχήµα 1.2 Αλληλεπίδραση ίδιων επιπέδων διαφορετικών συστηµάτων Επίπεδο 1: Το Φυσικό Επίπεδο Το φυσικό επίπεδο (physical layer) ασχολείται µε την µετάδοση δυαδικών ψηφίων µέσω ενός καναλιού επικοινωνίας. Το επίπεδο αυτό είναι επίσης υπεύθυνο για την σωστή µετάφραση των σηµάτων που λαµβάνει από το µέσω επικοινωνίας. Με άλλα λόγια έχει την ευθύνη να εξασφαλίζει πως όταν το ένα άκρο στέλνει το δυαδικό ψηφίο 1, τότε αυτό στον αποδέκτη θα µεταφράζεται ως δυαδικό 1, ενώ το δυαδικό 0 ως 0. 17

18 Το φυσικό επίπεδο περιλαµβάνει και τους οδηγούς της κάρτας δικτύου, οι οποίοι λένε στο πρωτόκολλο πώς να πραγµατοποιήσει την µετάδοση και την λήψη των δυαδικών ψηφίων. ικτυακές συσκευές που λειτουργούν στο επίπεδο αυτό είναι οι κάρτες δικτύου (NICs), τα hubs και οι επαναλήπτες (repeaters). Οι συσκευές αυτές πραγµατοποιούν λειτουργίες πάνω σε σήµατα. Τα hubs στέλνουν ένα σήµα από µια θύρα σε όλες τις άλλες, οι επαναλήπτες ενισχύουν το σήµα, ώστε να ταξιδέψει σε µεγαλύτερη απόσταση, ενώ οι κάρτες δικτύου αναλαµβάνουν την σωστή µετάφραση των µεταδιδόµενων σηµάτων. Μερικά από τα πρωτόκολλα που συναντούµε στο επίπεδο αυτό είναι: X.21 και X.20 V.24 και V.35 SONET: Synchronous Optical Network HSSI: High-Speed Serial Interface Επίπεδο 2: Το Επίπεδο Συνδέσμου Μετάδοσης Δεδομένων Η βασική λειτουργία του επιπέδου αυτού είναι να µεταφέρει τα δυαδικά ψηφία που δέχεται από το φυσικό επίπεδο στο επίπεδο δικτύου. Πριν µεταφέρει τα δυαδικά ψηφία, τα οµαδοποιεί σε πλαίσια. Το πλαίσιο είναι και η βασική µονάδα δεδοµένων του επιπέδου αυτού. Το επίπεδο αυτό, εκτός από την µεταφορά των πλαισίων, είναι επιφορτισµένο και µε τον έλεγχο για πιθανά λάθη. Πραγµατοποιεί ανίχνευση και διόρθωση των όποιων σφαλµάτων µετάδοσης εµφανιστούν. Επιπλέον λειτουργίες του επιπέδου αυτού αποτελούν ο έλεγχος ροής, η αρίθµηση και ο συγχρονισµός των πλαισίων, καθώς και η διαφάνεια της µετάδοσης τους. Μέρος της επεξεργασίας που γίνεται στα δεδοµένα του επιπέδου αυτού είναι και η προσθήκη των MAC διευθύνσεων του αποστολέα και του παραλήπτη. Η MAC (Media Access Control) διεύθυνση είναι η διεύθυνση που χαρακτηρίζει µοναδικά µια κάρτα δικτύου και είναι µοναδική. Το επίπεδο 2 χωρίζεται σε δύο υποεπίπεδα, το υποεπίπεδο ελέγχου λογικού συνδέσµου (Logical Link Control) και το υποεπίπεδο ελέγχου προσπέλασης µέσων (MAC). ικτυακές συσκευές που λειτουργούν στο επίπεδο αυτό είναι οι διακόπτες (switches) και οι γέφυρες (bridges). Οι συσκευές αυτές υποστηρίζουν δροµολόγηση µε βάση την MAC διεύθυνση. Η MAC διεύθυνση χρησιµοποιείται για να αποφασίσει η συσκευή αν χρειάζεται να προωθήσει το πλαίσιο από το ένα δίκτυο στο άλλο. Αν η συσκευή έχει πληροφορία για την διεύθυνση αυτή, τότε αποστέλλει το πλαίσιο στον κόµβο που έχει αυτήν την MAC διεύθυνση, αλλιώς προωθεί το πακέτο σε άλλο δίκτυο, στο οποίο πιθανά να βρίσκεται ο κατάλληλος κόµβος. 18

19 Μερικά από τα πρωτόκολλα που συναντούµε στο επίπεδο αυτό είναι: SLIP: Serial Line Internet Protocol ARP: Address Resolution Protocol PPP: Point-to-Point Protocol L2TP: Layer 2 Tunneling Protocol PPTP: Point-to-Point Tunneling Protocol ISDN: Integrated Services Digital Network Επίπεδο 3: Το Επίπεδο Δικτύου Το επίπεδο δικτύου είναι υπεύθυνο για την προσθήκη πληροφορίας δροµολόγησης στα δεδοµένα που επεξεργάζεται. Με την προσθήκη της πληροφορίας αυτής µετατρέπει τα πλαίσια που δέχεται από το επίπεδο 2 σε πακέτα. Στο επίπεδο 4 µεταφέρει πλέον την πληροφορία µε την µορφή πακέτων. Η πληροφορία δροµολόγησης στο επίπεδο δικτύου είναι µε την µορφή IP διευθύνσεων. Στο πακέτο δηλαδή περιλαµβάνονται οι IP διευθύνσεις του αποστολέα και του παραλήπτη. Και στο επίπεδο αυτό γίνεται έλεγχος για πιθανά σφάλµατα, αλλά και διόρθωση των όποιων σφαλµάτων εµφανιστούν. Παρέχεται επίσης και η υπηρεσία του ελέγχου συµφόρησης ώστε τα πακέτα που µεταφέρονται στο δίκτυο την ίδια χρονική στιγµή να µην εµποδίζουν το ένα το άλλο, αλλά να είναι οµαλή η µεταφορά τους. Οι δροµολογητές είναι οι δικτυακές συσκευές που λειτουργούν στο επίπεδο αυτό. Καθορίζουν το βέλτιστο κάθε φορά µονοπάτι για την µετάδοση της πληροφορίας µε βάση την πληροφορία που έχουν για την κατάσταση των συνδέσµων, την διεύθυνση του παραλήπτη, την ταχύτητα του δικτύου, τον αριθµό των ενδιάµεσων κόµβων και µια σειρά άλλων πληροφοριών που διατηρούν. Μερικά από τα πρωτόκολλα που συναντούµε στο επίπεδο αυτό είναι: OSPF: Open Shortest Path First NAT: Network Address Translation ICMP: Internet Control Message Protocol BGP: Border Gateway Protocol IGMP: Internet Group Management Protocol IP: Internet Protocol IPSec: Internet Protocol Security RIP: Routing Information Protocol IPX: Internet Packet Exchange Επίπεδο 4: Το Επίπεδο Μεταφοράς Το επίπεδο µεταφοράς είναι υπεύθυνο για την επιτυχηµένη από άκρη σε άκρη µεταφορά της πληροφορίας, απαλλαγµένη από σφάλµατα. Καθορίζει τον τρόπο µε 19

20 τον οποίο εγκαθιδρύεται η επικοινωνία µεταξύ δύο κόµβων και είναι το πρώτο επίπεδο το οποίο πραγµατοποιεί επικοινωνία από άκρο σε άκρο. Τα επίπεδα που βρίσκονται κάτω από το επίπεδο µεταφοράς επικοινωνούν µόνο µε τους άµεσους γείτονες κάθε κόµβου και δεν υπάρχει επικοινωνία προέλευσης και προορισµού. Αντίθετα το επίπεδο µεταφοράς, µε τα πρωτόκολλά του, παρέχει επικοινωνία µεταξύ προέλευσης και προορισµού, χρησιµοποιώντας τις κεφαλίδες ελέγχου και τα µηνύµατα ελέγχου. Το επίπεδο αυτό εξασφαλίζει και την ορθότητα της επικοινωνίας και την αξιοπιστίας της µεταφοράς των δεδοµένων. Έχει µηχανισµούς διόρθωσης λαθών και παρέχει και υπηρεσίες ποιότητας υπηρεσιών (QoS) κάτι που βελτιώνει την απόδοση του δικτύου και των προσφερόµενων από αυτό υπηρεσιών. Μερικά από τα πρωτόκολλα που συναντούµε στο επίπεδο αυτό είναι: TCP: Transmission Control Protocol UDP: User Datagram Protocol Επίπεδο 5: Το Επίπεδο Συνδιάλεξης Το επίπεδο συνδιάλεξης ή συνόδου είναι υπεύθυνο για την εγκαθίδρυση, διατήρηση και τερµατισµό των συνδιαλέξεων µεταξύ δύο διαφορετικών µηχανών. Παρέχει τα κατάλληλα µέσα για την οργάνωση και συγχρονισµό του διαλόγου. Για να το πετύχει αυτό, ορίζει σηµεία ελέγχου, τα οποία µάλιστα βοηθούν και στην επιδιόρθωση της επικοινωνίας που για κάποιο λόγο απέτυχε, στέλνοντας τα πακέτα εκείνα που χάθηκαν από το τελευταίο επιβεβαιωµένο σηµείο ελέγχου. Μερικά από τα πρωτόκολλα που συναντούµε στο επίπεδο αυτό είναι: SSL: Secure Socket Layer RPC: Remote Procedure Call NFS: Network File System TLS: Transport Layer Security Επίπεδο 6: Το Επίπεδο Παρουσίασης Το επίπεδο παρουσίασης ασχολείται κυρίως µε την µετατροπή της πληροφορίας που λαµβάνεται από το επίπεδο εφαρµογών σε µορφή κατανοητή από όσα συστήµατα ακολουθούν το πρότυπο OSI. Το επίπεδο αυτό επιβάλλει κοινή και καλά ορισµένη δοµή για τα δεδοµένα. Επιχειρεί δηλαδή την µορφοποίηση των δεδοµένων, ώστε να είναι κατανοητά από την εφαρµογή, αλλά και οι συνδέσεις των δύο υπολογιστών να µην απαιτούν υποχρεωτικά τη χρήση κοινού κώδικα. Το επίπεδο παρουσίασης είναι υπεύθυνο για την κρυπτογράφηση και συµπίεση των δεδοµένων. Από τα παραπάνω συµπεραίνουµε πως είναι µια διεπαφή µεταξύ του δικτύου και των εφαρµογών. Είναι αυτό το στοιχείο που επιτρέπει στις διάφορες εφαρµογές να αλληλεπιδρούν πάνω στο 20

21 δίκτυο, και διασφαλίζει ότι η αλληλεπίδραση αυτή θα γίνεται µε οµοιόµορφο τρόπο, καθώς τα δεδοµένα θα µεταφέρονται σε µορφή που είναι κατανοητή και από τα δύο συστήµατα που επικοινωνούν. Οι περισσότερες µορφές αρχείων λειτουργούν στο επίπεδο αυτό. Σε αυτές συµπεριλαµβάνονται οι περισσότερες µορφές για ήχο, εικόνα, έγγραφα, , ιστοσελίδες και αρκετές ακόµη. Μερικά από τα πρωτόκολλα που συναντούµε στο επίπεδο αυτό είναι: ASCII: American Standard Code for Information Interchange EBCDIC: Extended Binary-Coded Decimal Interchange Mode MPEG: Moving Picture Experts Group JPEG: Joint Photographic Experts Group MIDI: Musical Instrument Digital Interface Επίπεδο 7: Το Επίπεδο Εφαρμογών Το επίπεδο εφαρµογών είναι το υψηλότερο επίπεδο στην ιεραρχία των επιπέδων του µοντέλου OSI και αποτελεί την διεπαφή µεταξύ της εφαρµογής και των υπολοίπων επιπέδων του µοντέλου. Καθορίζει αν ο αποµακρυσµένος κόµβος της επικοινωνίας είναι διαθέσιµος και προσπελάσιµος. Επίσης εξασφαλίζει πως υπάρχουν οι απαιτούµενοι πόροι για να πραγµατοποιηθεί η ζητούµενη επικοινωνία. Στο επίπεδο αυτό βρίσκονται αρκετά πρωτόκολλα που χρησιµοποιούνται συχνά από τους χρήστες των συστηµάτων. Αντίθετα µάλιστα µε ότι πιθανώς θα περιµέναµε, κυρίως λόγω του ονόµατος του επιπέδου, εδώ δεν υπάρχουν οι εφαρµογές ως οντότητες, αλλά ως υπηρεσίες και πρωτόκολλα τα οποία αποτελούν µέρος της λειτουργίας των εφαρµογών. Μερικά από τα πρωτόκολλα εφαρµογών που συναντούµε στο επίπεδο αυτό είναι: HTTP: Hypertext Transfer Protocol FTP: File Transfer Protocol TFTP: Trivial Transfer Protocol TELNET SMTP: Simple Mail Transfer Protocol SNMP: Simple Network Management Protocol IMAP: Internet Message Access Protocol POP3: Post Office Protocol version 3 SET: Secure Electronic Transaction Το Μοντέλο Αναφοράς TCP/IP Το TCP/IP (Transmission Control Protocol/Internet Protocol) είναι παλιότερο µοντέλο από το OSI, ωστόσο είναι αυτό που έχει επικρατήσει σήµερα. Αναπτύχθηκε 21

22 από το DoD (Department of Defense) των Η.Π.Α. για να υποστηρίξει τη λειτουργία του δικτύου ARPANET, που αποτελεί τον πρόδροµο του σηµερινού Internet. Το µοντέλο αυτό παρέχει ένα πακέτο πρωτοκόλλων που επιτρέπουν την επικοινωνία σε ετερογενή περιβάλλοντα. Το µοντέλο TCP/IP αποτελείται από τέσσερα επίπεδα τα οποία είναι τα: Επίπεδο ιασύνδεσης ικτύου (Επίπεδο 1) Επίπεδο ιαδικτύου (Επίπεδο 2) Επίπεδο Μεταφοράς (Επίπεδο 3) Επίπεδο Εφαρµογών (Επίπεδο 4) Οι σχεδιαστές του OSI προσπάθησαν να εξασφαλίσουν πως το πακέτο πρωτοκόλλων του TCP/IP θα µπορούσε να συµπεριληφθεί στο νέο µοντέλο που σχεδίαζαν και αυτό γιατί υπήρχαν αρκετά συστήµατα τα οποία λειτουργούσαν ήδη µε βάση το TCP/IP και ήθελαν να εξασφαλίσουν την οµαλή επικοινωνία µε αυτά τα συστήµατα. Έτσι το επίπεδο εφαρµογών του TCP/IP αντιστοιχεί στα επίπεδα 5, 6, και 7 του µοντέλου OSI. Το επίπεδο µεταφοράς του TCP/IP αντιστοιχεί στο επίπεδο 4 του OSI, ενώ το επίπεδο διαδικτύου αντιστοιχεί στο επίπεδο 3 του OSI. Τέλος το επίπεδο διασύνδεσης δικτύου του TCP/IP αντιστοιχεί στα επίπεδα 1 και 2 του OSI. Υπάρχει δηλαδή µια αντιστοιχία όπως αυτή που φαίνεται στην εικόνα 1.4. Σχήµα 1.3 Αντιστοιχία επιπέδων µεταξύ των µοντέλων OSI και TCP/IP Επίπεδο 1: Το Επίπεδο Διασύνδεσης Δικτύου Το επίπεδο διασύνδεσης δικτύου, είναι το χαµηλότερο επίπεδο στην ιεραρχία των επιπέδων του µοντέλου TCP/IP. Αντιστοιχεί στο φυσικό επίπεδο και το επίπεδο συνδέσµου µετάδοσης δεδοµένων του µοντέλου του OSI. Επικοινωνεί απευθείας µε το δίκτυο και παρέχει την διασύνδεση µεταξύ της αρχιτεκτονικής του δικτύου (πχ Ethernet) και του επιπέδου του διαδικτύου. Εδώ δεν υπάρχει κάποιο σαφώς καθορισµένο πρωτόκολλο και διαφέρει από υπολογιστή σε υπολογιστή και από δίκτυο σε δίκτυο. Το µόνο που ορίζεται ξεκάθαρα είναι η απαίτηση να αποστέλλονται και να λαµβάνονται πακέτα IP. 22

23 Επίπεδο 2: Το Επίπεδο Διαδικτύου Το επίπεδο διαδικτύου είναι το δεύτερο επίπεδο του µοντέλου και χρησιµοποιεί αρκετά πρωτόκολλα για τη δροµολόγηση και παράδοση των πακέτων. Τα πακέτα ταξιδεύουν ανεξάρτητα το ένα από το άλλο προς τον προορισµό τους και πιθανά φτάνουν και µε διαφορετική σειρά από αυτή µε την οποία έφυγαν από τον αποστολέα τους. Τα ανώτερα επίπεδα αναλαµβάνουν την ανασυγκρότηση των πακέτων, όποτε απαιτείται, ώστε η πληροφορία να φτάσει σωστά. Στο επίπεδο αυτό συναντούµε αρκετά πρωτόκολλα, όπως το ARP και το ICMP, αλλά σίγουρα το βασικότερο και πλέον γνωστό είναι το IP. Το IP είναι ένα πρωτόκολλο µεταγωγής πακέτων που είναι υπεύθυνο για τη διευθυνσιοδότηση και την επιλογή του δροµολογίου. Βασικός στόχος του είναι να µεταδίδει τα πακέτα στον προορισµό τους, όσο το δυνατόν πιο γρήγορα και αποφεύγοντας τις συµφορήσεις του δικτύου. Όπως µπορούµε πολύ εύκολα να παρατηρήσουµε, οι λειτουργίες του επιπέδου αυτού µοιάζουν πολύ µε τις λειτουργίες του επιπέδου δικτύου του µοντέλου OSI Επίπεδο 3: Το Επίπεδο Μεταφοράς Το επίπεδο µεταφοράς είναι υπεύθυνο για την εγκαθίδρυση και διατήρηση της επικοινωνίας µεταξύ δύο υπολογιστών. Οι λειτουργίες που επιτελεί το επίπεδο αυτό είναι ο έλεγχος ροής και η τοποθέτηση των πακέτων στη σωστή σειρά, ώστε η πληροφορία να λαµβάνεται τελικά ακέραια και ορθή. Χειρίζεται επίσης και τις αναµεταδόσεις των πακέτων. Στο επίπεδο αυτό έχουν οριστεί δύο πρωτόκολλα µεταφοράς από άκρο σε άκρο. Το πρώτο είναι το TCP (Πρωτόκολλα Ελέγχου Μετάδοσης) και το δεύτερο το UDP (Πρωτόκολλο Αυτοδύναµων Πακέτων Χρήστη). Το TCP είναι ένα αξιόπιστο συνδεσµοστρεφές (όχι connectionless) πρωτόκολλο υπεύθυνο για την αξιόπιστη µετάδοση δεδοµένων από έναν κόµβο σε κάποιον άλλο. Για να εγκαθιδρύσει µια αξιόπιστη σύνδεση το TCP χρησιµοποιεί την γνωστή ως «τριµερή χειραψία» (three-way handshake) µε την οποία καθορίζεται ο αριθµός θύρας που θα χρησιµοποιηθεί για την επικοινωνία καθώς και οι αρχικοί ακολουθιακοί αριθµοί. ο τρόπος µε τον οποίο λειτουργεί η τριµερής χειραψία είναι ο ακόλουθος: 1. Ο αιτών στέλνει ένα πακέτο στο διακοµιστή στο οποίο προσδιορίζεται ο αριθµός θύρας και ο αρχικός ακολουθιακός αριθµός που θα χρησιµοποιήσει. 2. Ο διακοµιστής στέλνει ως απάντηση στο αίτηµα του αιτούντος τον δικό του ακολουθιακό αριθµό, που είναι µεγαλύτερος κατά ένα από αυτόν που δέχεται. 3. Ο αιτών επιβεβαιώνει στέλνοντας πίσω στον διακοµιστή τον ακολουθιακό αριθµό που έλαβε αυξηµένο κατά ένα. Ο τρόπος λειτουργίας του πρωτοκόλλου αφήνει αρκετά κενά ασφαλείας, τα οποία µπορεί να εκµεταλλευτεί κάποιος για να εξαπολύσει επίθεση εναντίον ενός συστήµατος ή ενός δικτύου. 23

24 Το UDP είναι ένα αναξιόπιστο ασυνδεσµικό πρωτόκολλο το οποίο χρησιµοποιείται σε περιπτώσεις όπου δεν απαιτείται παράδοση των πακέτων µε τη σωστή σειρά ή ο έλεγχος ροής που πραγµατοποιείται µε την χρήση του TCP. Ο οποιοσδήποτε έλεγχος γίνεται από την εφαρµογή που κάνει χρήση του συγκεκριµένου πρωτοκόλλου. Χρησιµοποιείται επίσης ευρέως σε περιπτώσεις όπου απαιτείται ταχύτατη παράδοση των πακέτων και δεν είναι τόσο κρίσιµη η αξιόπιστη µετάδοσή τους. Τέτοιες περιπτώσεις είναι η µετάδοση βίντεο και ήχου. Και το UDP κάνει χρήση θυρών, ωστόσο αυτές διαφέρουν από τις αντίστοιχες του TCP και εποµένως τα δύο πρωτόκολλα µπορούν να χρησιµοποιούν τον ίδιο αριθµό θυρών χωρίς διενέξεις Επίπεδο 4: Το Επίπεδο Εφαρμογών Το επίπεδο εφαρµογών είναι το υψηλότερο επίπεδο του µοντέλου. Αυτό περιέχει όλα τα πρωτόκολλα ανώτερου επιπέδου. Μερικά αυτά είναι: FTP: File Transfer Protocol TELNET DNS: Domain Name System HTTP: Hypertext Transfer Protocol SMTP: Simple Mail Transfer Protocol NNTP: Network News Transport Protocol Όπως παρατηρούµε τα πρωτόκολλα αυτά τα συναντήσαµε και στο επίπεδο εφαρµογών (επίπεδο 7) του µοντέλου OSI. Βλέπουµε δηλαδή πως ο στόχος να µπορούν τα πρωτόκολλα του TCP να χρησιµοποιηθούν και στο µοντέλο OSI επιτεύχθηκε. Παρόλα αυτά µάλλον η µεγαλύτερη επιτυχία ήταν η δηµιουργία του TCP/IP, καθώς αυτό ουσιαστικά αποτελεί τη βάση των σηµερινών επικοινωνιών, µιας και το OSI απέτυχε για διάφορους λόγους, οι οποίοι δεν θα αναπτυχθούν σε αυτή την εργασία. Παρόλα αυτά το OSI πάντα θα αποτελεί µια καλή αναφορά για την ορθή κατανόηση των λειτουργιών των επιπέδων και του τρόπου λειτουργίας των διαφόρων πρωτοκόλλων Ασφάλεια στο TCP/IP Το Internet δεν παρέχει καµιά εγγύηση για την ιδιωτικότητα και ακεραιότητα της πληροφορίας. Για το λόγο αυτό πρέπει να θεωρείται απαραίτητη η χρήση της κρυπτογραφίας όπου τα δεδοµένα κρίνονται σηµαντικά και εµπιστευτικά και απαιτείται υψηλότερος βαθµός ασφαλείας για την προστασία από τυχόν αλλοιώσεις ή υποκλοπές τους. Σε τέτοιες περιπτώσεις η πληροφορία κρυπτογραφείται πριν µεταδοθεί, µεταδίδεται σε µορφή µη κατανοητή και µόλις ολοκληρωθεί η λήψη της στον προορισµό, αποκρυπτογραφείται και λαµβάνεται έτσι η αρχική πληροφορία. Στην πραγµατικότητα, τα περισσότερα από τα επίπεδα του µοντέλου µπορούν να χρησιµοποιηθούν για να παρέχουν ακεραιότητα και εµπιστευτικότητα, ωστόσο η τεχνική µε την οποία γίνεται αυτό σε κάθε επίπεδο έχει τα πλεονεκτήµατα και τα 24

25 µειονεκτήµατά της και η τελική επιλογή εξαρτάται πάντα από το είδος της πληροφορίας, το αποδεκτό κόστος, αλλά και από το σχεδιασµό που έχει επιλεγεί για την υλοποίηση του πλάνου ασφαλείας. 25

26 2. Μεθοδολογία µιας Επίθεσης Είναι εύκολο να αντιληφθεί κανείς πως η «ευτυχία» για έναν hacker είναι την ώρα που καταφέρνει να παραβιάσει την ασφάλεια ενός συστήµατος και να αποκτήσει παράνοµη πρόσβαση σε αυτό. Από εκείνη τη στιγµή και έπειτα αρχίζει η «διασκέδαση». Στόχος του κεφαλαίου αυτού είναι να περιγράψει το πρώτο και πολύ βασικό στάδιο κατά το οποίο ο hacker ανακαλύπτει σιγά σιγά τι βρίσκεται πίσω από το καλώδιο. Για να έχει πιθανότητες να πετύχει µια επίθεση θα πρέπει ο hacker να έχει µια αρκετά καλή εικόνα του τι συστήµατα πρόκειται να συναντήσει και µια πληθώρα πληροφοριών για καθένα από αυτά. Όσο πιο πολλά κατορθώσει να µάθει, τόσο καλύτερα θα οργανώσει την επίθεσή του. Γενικά η συλλογή πληροφοριών είναι µια χρονοβόρα διαδικασία και απαιτεί συγκεκριµένη µεθοδολογία, καθώς ο εισβολέας µπορεί να συλλέξει διαφορετικές πληροφορίες από διαφορετικές πηγές. Το πόσο σηµαντικές και πλήρεις θα είναι αυτές οι πληροφορίες εξαρτάται από την υποµονή και τις γνώσεις του ίδιου του εισβολέα. Για τον λόγο αυτό πολλοί θεωρούν πως η διαδικασία της αναγνώρισης είναι σε ένα µεγάλο βαθµό τέχνη. Μάλιστα όσο πιο έµπειρος και καλός είναι ένας hacker, τόσο καλύτερη αναγνώριση πραγµατοποιεί Αναγνώριση ικτύου Ποτέ κανείς δεν µπορεί να προσβάλει ένα σύστηµα για το οποίο δεν γνωρίζει τίποτα. Για να µπορέσεις να παραβιάσεις ένα σύστηµα θα πρέπει να έχεις όσο το δυνατόν περισσότερες πληροφορίες για αυτό, ώστε να έχεις µια σαφή εικόνα του τι πας να αντιµετωπίσεις. Υπάρχουν πολλά εργαλεία διαθέσιµα τα οποία µπορούν να σε βοηθήσουν να συλλέξεις διαφόρων ειδών πληροφορίες. Ως εδώ τα πράγµατα είναι απλά. Το δύσκολο έρχεται στη συνέχεια, όταν θα πρέπει να συνθέσεις τις πληροφορίες αυτές και να κατορθώσεις να τις βάλεις σε µια σειρά, ώστε να αρχίσουν να σου δίνουν την εικόνα του δικτύου και των συστηµάτων που βρίσκονται σε αυτό. Συχνά η αναγνώριση του στόχου είναι η πιο κουραστική εργασία που κάνει ένας εισβολέας στην προσπάθειά του να εξακριβώσει την πολιτική ασφαλείας του οργανισµό στον οποίο προσπαθεί να αποκτήσει πρόσβαση. Παρόλα αυτά αποτελεί µια εκ των ων ουκ άνευ διαδικασία ή οποία δεν µπορεί να λείπει από καµιά τέτοια προσπάθεια. Πρέπει πάντα να εκτελείται µε σωστή µεθοδολογία και τρόπο που να µην κινεί τις υποψίες του διαχειριστή του δικτύου του οργανισµού. Ένα καλό σηµείο εκκίνησης µιας διαδικασίας αναγνώρισης είναι η εύρεση των ονοµάτων domain και των δικτύων που σχετίζονται µε τον συγκεκριµένο οργανισµό. Τα domain ονόµατα είναι αυτά που αντιπροσωπεύουν τον οργανισµό στο διαδίκτυο, για παράδειγµα Ένας τρόπος για να βρει κάποιος πληροφορίες για το domain του οργανισµού είναι οι βάσεις δεδοµένων whois οι οποίες µπορούν να παρέχουν αρκετές πληροφορίες. Μια καλή τέτοια βάση για τα ελληνικά domain ονόµατα (.gr) είναι η Στην εικόνα 2.1 βλέπουµε τα αποτελέσµατα µιας τέτοιας αναζήτησης. 26