ΜΕΛΕΤΗ ΕΠΙΣΦΑΛΩΝ ΣΗΜΕΙΩΝ ΚΑΙ ΒΕΛΤΙΩΣΗ ΑΣΦΑΛΕΙΑΣ ΣΕ INTERNET HOST ΜΕ ΛΕΙΤΟΥΡΓΙΚΟ WINDOWS / LINUX. Του. Ζήκου Στυλιανού

Transcript

1 ΜΕΛΕΤΗ ΕΠΙΣΦΑΛΩΝ ΣΗΜΕΙΩΝ ΚΑΙ ΒΕΛΤΙΩΣΗ ΑΣΦΑΛΕΙΑΣ ΣΕ INTERNET HOST ΜΕ ΛΕΙΤΟΥΡΓΙΚΟ WINDOWS / LINUX Του Ζήκου Στυλιανού Πτυχιακή εργασία που υποβάλλεται προς µερική εκπλήρωση των απαιτήσεων για την απόκτηση του Πανεπιστηµιακού πτυχίου στην πληροφορική Τµήµα Πληροφορικής Α.Π.Θ Επιβλέπων: Νικοπολιτίδης Πέτρος

2 2

3 Περιεχόµενα Εισαγωγή.4 ΜΕΡΟΣ ΠΡΩΤΟ-ΑΠΕΙΛΕΣ Επιτιθέµενοι και επιθέσεις..5 Ζητήµατα ασφάλειας στο διαδίκτυο για τον απλό χρήστη.10 ΜΕΡΟΣ ΕΥΤΕΡΟ ΕΝΕΡΓΕΙΕΣ ΓΙΑ ΒΕΛΤΙΩΣΗ ΤΗΣ ΑΣΦΑΛΕΙΑΣ Θωράκιση λειτουργικού συστήµατος Windows NT/XP.19 Linux...24 Ασφάλεια εξυπηρέτη Web..30 Ασφάλεια βάσεων δεδοµένων 38 Ασφάλεια ηλεκτρονικού ταχυδροµείου..41 Ρυθµίσεις του προγράµµατος περιήγησης (browser)..43 Ανωνυµία στο ιαδίκτυο 47 Αρχιτεκτονικές Virtual LANs και ασφάλεια 51 Εικονικά ιδιωτικά δίκτυα και ασφάλεια.52 Ασφαλή πρωτόκολλα SSH..53 Συστήµατα ανίχνευσης εισβολών (IDS) 56 Προγράµµατα Antivirus.61 Προγράµµατα Antispyware 64 Firewalls Φράγµατα ασφάλειας..68 ΜΕΡΟΣ ΤΡΙΤΟ ΕΡΓΑΛΕΙΑ ΕΛΕΓΧΟΥ ΑΣΦΑΛΕΙΑΣ Nmap 83 Nessus..88 Nikto...94 Whisker 98 XSpider Remote Access Session..103 Fragrouter Smb-nat IDSWAKEUP.106 Hping2 107 ΜΕΡΟΣ ΤΕΤΑΡΤΟ - ΕΥΡΕΣΗ ΕΠΙΣΦΑΛΩΝ ΣΗΜΕΙΩΝ ΚΑΙ ΠΡΟΤΑΣΕΙΣ ΓΙΑ ΒΕΛΤΙΩΣΗ ΤΗΣ ΑΣΦΑΛΕΙΑΣ ΤΩΝ ΥΠΟΛΟΓΙΣΤΩΝ: 1. agent.csd.auth.gr nethost1.csd.auth.gr (εργαστήριο δικτύων) 112 Παράρτηµα screenshots Βιβλιογραφία..126 ικτυακοί τόποι

4 ΕΙΣΑΓΩΓΗ Πριν γίνει λόγος για ασφάλεια δικτύων και δεδοµένων είναι καλό να εξεταστεί η σηµασία της λέξης ασφάλεια. Ασφάλεια µπορεί να οριστεί ως η ελευθερία από ρίσκο ή κίνδυνο. Μπορεί επίσης να ειπωθεί ότι είναι η αίσθηση σιγουριάς. Απόλυτη ασφάλεια στους υπολογιστές δεν υπάρχει. Για να νιώθει κάποιος ασφαλής πρέπει να καθορίσει τους στόχους του καθώς και να κατανοήσει τις απειλές και να πάρει τα ανάλογα για κάθε περίπτωση µέτρα εγκαθιστώντας τα κατάλληλα εργαλεία. Γιατί χρειαζόµαστε ασφάλεια Ασφάλεια χρειαζόµαστε για πολλούς λόγους όπως για να εµποδίσουµε: ζηµιά µιας εταιρίας και χάσιµο µεριδίου της αγοράς, κλοπή πνευµατικής ιδιοκτησίας, απώλεια της ιδιωτικότητας και τη δυσφήµιση σε κάποιες περιπτώσεις. Αυτοί είναι µόνο µερικοί λόγοι που εύκολα µπορεί να σκεφτεί κανείς. Για παράδειγµα η καταστροφή ενός δικτυακού τόπου από κάποιον hacker/cracker έχει πολλές συνέπειες όπως χάσιµο πληροφοριών, δυσφήµιση της εταιρίας, µείωση του µεριδίου αγοράς, χάσιµο της εµπιστοσύνης των πελατών και γενικότερα ζηµιά στην εικόνα της εταιρίας. Πώς προστατευόµαστε Τα τρία πιο θεµελιώδη ζητήµατα στην ασφάλεια είναι : Εµπιστευτικότητα Ακεραιότητα ιαθεσιµότητα Όλα τα µέτρα ασφάλειας που παίρνονται για την προστασία δεδοµένων πρέπει να δίνουν βάρος και στους τρεις παραπάνω παράγοντες. Η εµπιστευτικότητα έχει να κάνει µε το απόρρητο των δεδοµένων, η ακεραιότητα έχει να κάνει µε την ορθότητα (π.χ. να µην παραποιηθούν) και η διαθεσιµότητα αναφέρεται σε περιπτώσεις κλοπής ή σε ζηµιές (π.χ. διαγραφή δεδοµένων). Υπάρχουν πολλά προβλήµατα στην ασφάλεια των υπολογιστών και πολλά σηµεία που πρέπει να προσέξει κάποιος προκειµένου να προστατευτεί όσο καλύτερα γίνεται. Οι κίνδυνοι από το ιαδίκτυο είναι υπαρκτοί καθώς δεν είναι εφικτός ο έλεγχος όλων των υπολογιστών που είναι συνδεδεµένοι και το ιαδίκτυο αποτελεί πλέον µια κοινωνία που απλώς αναπτύσσεται σε ψηφιακό περιβάλλον. Εφόσον υπάρχουν πολλές απειλές ασφάλειας υπάρχουν και πολλά µέτρα αντιµετώπισης. Ο σηµαντικότερος παράγοντας στην ασφάλεια υπολογιστών είναι ο άνθρωπος και απαιτείται όχι µόνο γνώση για τις µεθόδους προστασίας αλλά και διαρκής επαγρύπνηση. Στη συνέχεια γίνεται µια προσπάθεια περιγραφής των επισφαλών σηµείων σε έναν υπολογιστή που είναι συνδεδεµένος στο ιαδίκτυο. Στη συνέχεια εξετάζονται και προτείνονται τρόποι βελτίωσης της ασφάλειας και παρουσιάζονται κάποια διαδεδοµένα εργαλεία για να επιτευχθεί αυτό. 4

5 ΜΕΡΟΣ ΠΡΩΤΟ ΑΠΕΙΛΕΣ ΕΠΙΤΙΘΕΜΕΝΟΙ ΚΑΙ ΕΠΙΘΕΣΕΙΣ Hackers: Η έννοια του hacker έχει αλλάξει µε το πέρασµα των χρόνων. Πιο παλιά λέγοντας hacker εννοούσαν ένα άτοµο που χρησιµοποιεί τους υπολογιστές και τα δίκτυα για να προκαλέσει ζηµιά. Σήµερα δίνεται περισσότερη έµφαση στη διάκριση µεταξύ cracker και hacker. Ο hacker είναι κάποιος µε υψηλό επίπεδο τεχνογνωσίας που τον ενδιαφέρει πώς λειτουργούν τα δίκτυα. Προσπαθεί να βρίσκει αδυναµίες και µπορεί να ενηµερώνει τους υπεύθυνους διαχειριστές. Αντίθετα ο cracker εκµεταλλεύεται προς όφελός του αδυναµίες στην ασφάλεια και έχει «µοχθηρούς» σκοπούς. Vandals: Ένας hacker προσπαθεί να καλύψει τα ίχνη του, τουλάχιστον αρχικά, όταν κάνει µια επίθεση. Οι βάνδαλοι (vandals) έχουν στόχο να προκαλέσουν καταστροφή στα συστήµατα που είναι ορατή από τον διαχειριστή και τους πελάτες (clients). Παραµορφώνουν ιστοσελίδες (συνήθως µε µηνύµατα που θέλουν να περάσουν), διαγράφουν αρχεία κ.α. Συνήθως οι crackers και οι vandals δεν επιτίθενται σε απλά συστήµατα που χρησιµοποιεί η πλειοψηφία των χρηστών και έτσι το µεγαλύτερο µέρος δεν κινδυνεύει από άµεση και σχεδιασµένη από πριν επίθεση. Αντίθετα, άνθρωποι που ασχολούνται µε την κατασκοπία έχουν συγκεκριµένο στόχο. Υποστηρίζονται από ανταγωνιστές ή ακόµα και ξένες κυβερνήσεις και θα προσπαθήσουν να κλέψουν πνευµατική ιδιοκτησία, να διαλύσουν την επικοινωνία και να προκαλέσουν καταστροφή στο περιβάλλον (π.χ. µιας ανταγωνιστικής επιχείρησης). Insiders: Οι insiders είναι άνθρωποι που έχουν κερδίσει την εµπιστοσύνη, γνωρίζουν πολύ καλά τη δοµή του συστήµατος καθώς και τα µέτρα ασφάλειας που είναι εγκατεστηµένα γιατί συνήθως εργάζονται εκεί. Για διάφορους λόγους (οικονοµικό όφελος, δυσαρεστηµένος υπάλληλος) µπορεί κάποιος να απειλήσει την ασφάλεια από µέσα, γι αυτό όση προσοχή δίνεται στους εξωτερικούς κινδύνους άλλη τόση πρέπει να δίνεται στους εσωτερικούς. ΠΩΣ ΟΥΛΕΥΟΥΝ ΟΙ HACKER Καταρχήν όλοι οι hacker δεν έχουν το ίδιο επίπεδο γνώσεων και ικανοτήτων. Σήµερα ο καθένας µπορεί να µάθει εύκολα τα βασικά από το ιαδίκτυο και κυρίως τη χρήση εργαλείων. Σύνθεση του πληθυσµού : Script kiddies αποτελούν το 97% και χρησιµοποιούν έτοιµα εργαλεία 2% είναι λίγο πιο επικίνδυνοι γιατί µπορούν να µεταγλωττίσουν κενά ασφάλειας (compile internet exploits) 1% είναι οι πιο επικίνδυνοι γιατί µπορούν να ανακαλύψουν αδυναµίες και να τις εκµεταλλευτούν 5

6 Το µοντέλο δράσης που χρησιµοποιεί ένας έµπειρος hacker φαίνεται στην παρακάτω εικόνα. Αναγνώριση (Reconnaissance) Στο αρχικό στάδιο ο επιτιθέµενος προσπαθεί να συγκεντρώσει όσο πιο πολλές πληροφορίες για το στόχο. εν «αγγίζει» το δίκτυο. Εργαλεία : Για NS Lookups και trace. Σάρωση (Scanning) Σε αυτό το στάδιο ο επιτιθέµενος ψάχνει το σηµείο εισόδου για να διεισδύσει στο δίκτυο. Προσδιορίζει live hosts στο δίκτυο µε τεχνικές σάρωσης TCP, UDP και ICMP. Στέλνονται πακέτα σε όλες τις διευθύνσεις του δικτύου και περιµένει τις απαντήσεις. Επίσης αναγνωρίζονται οι ανοικτές θύρες, οι υπηρεσίες που τρέχουν και το λειτουργικό σύστηµα. Εργαλεία : Nmap, Pinger, Netcraft κ.α. Απόκτηση πρόσβασης (Gaining access) Αυτό είναι το στάδιο της πραγµατικής επίθεσης. Ο επιτιθέµενος εκµεταλλεύεται αδυναµίες των υπηρεσιών που εντόπισε στο προηγούµενο στάδιο. Τρέχει το κενό ασφάλειας (exploit) αποµακρυσµένα µε το οποίο προκαλείται buffer overflow ή DoS στον host στόχο και έτσι αποκτά ένα επίπεδο δικαιωµάτων πρόσβασης. Ο επιτιθέµενος µπορεί να πετύχει και αύξηση των προνοµίων (δικαιώµατα διαχειριστή ή root) µε την εκτέλεση τοπικού exploit. Εργαλεία : Dumpsec, John the Ripper κ.α. ιατήρηση πρόσβασης (Maintaining access) Ένας καλός hacker δεν αρκείται µόνο στην απόκτηση πρόσβασης αλλά προσπαθεί να τη διατηρήσει. Για παράδειγµα αυτό µπορεί να γίνει µε την εγκατάσταση ενός 6

7 δούρειου ίππου στο αποµακρυσµένο σύστηµα και έτσι να ανοιχτεί µια πίσω πόρτα για µελλοντική πρόσβαση. Αυτό το στάδιο επίσης περιλαµβάνει την διεύρυνση της πρόσβασης σε άλλους υπολογιστές του δικτύου. Καθαρισµός των ιχνών (Clearing tracks) Στο τελευταίο στάδιο ο επιτιθέµενος (attacker) κάνει τις απαραίτητες ενέργειες για να καλύψει τη δράση του για να µην εντοπιστεί. Επίσης δεν πρέπει να εντοπιστούν τυχόν εργαλεία που χρησιµοποιεί για τη διατήρηση της πρόσβασης. Χρησιµοποιούνται πρακτικές όπως αλλαγή των αρχείων καταγραφής και tunneling. Εργαλεία : Evidence Eliminator, Winzapper, Image Hide κ.α. NETWORK BASED ATTACKS (ΕΠΙΘΕΣΕΙΣ ΣΤΟ ΙΚΤΥΟ) Denial of Service (Άρνηση παροχής υπηρεσίας) Αυτό το είδος επίθεσης είναι σήµερα από τα πιο συνηθισµένα. Έχει στόχο να εµποδίσει έναν υπολογιστή ή δίκτυο να εκτελέσει τα καθήκοντά του. Αυτό µπορεί να έχει τη µορφή του crash ενός υπολογιστή ή πιο συχνά τον κατακλυσµό του υπολογιστή µε χιλιάδες αιτήσεις (requests). Ο υπολογιστής κατακλύζεται γρήγορα και δεν µπορεί να αντέξει το φόρτο. Όταν γίνεται αυτό, οι νόµιµοι χρήστες δεν µπορούν να εξυπηρετηθούν. Η κλασσική επίθεση DoS γίνεται από έναν υπολογιστή που γεµίζει µε πακέτα τον υπολογιστή-στόχο και η επίθεση µπορεί να σταµατήσει µε τη ρύθµιση του firewall ή router έτσι ώστε να απορρίπτει τα πακέτα από αυτό το µηχάνηµα. Distributed Denial of Service (Κατανεµηµένη επίθεση DoS) Σε αυτό το είδος DoS ο επιτιθέµενος δεν είναι ένας υπολογιστής αλλά πολλοί µε διάφορες διευθύνσεις από το Internet. Οι κατανεµηµένες επιθέσεις denial of service είναι πιο πολύπλοκες στο στήσιµο αλλά και πιο αποτελεσµατικές. Σε µια κατανεµηµένη επίθεση DoS υπάρχουν οι εξής ρόλοι: ο επιτιθέµενος (attacker), το θύµα και ένας αριθµός από «αθώους» υπολογιστές έµµεσα εµπλεκόµενους που ονοµάζονται Agents. Ο επιτιθέµενος εγκαθιστά στους Agents ένα πρόγραµµα που µπορεί να κάνει επίθεση DoS στο θύµα. Μπορεί να υπάρχουν ακόµα και χιλιάδες Agents που παίρνουν µέρος στην επίθεση χωρίς οι χρήστες να το γνωρίζουν. Ένας Agent επιλέγεται ως χειριστής που αναλαµβάνει το συντονισµό της επίθεσης προς όφελος του attacker. Όταν ο τελευταίος θέλει να αρχίσει την επίθεση, επικοινωνεί µε τον χειριστή και του δίνει τις απαραίτητες πληροφορίες. Ο χειριστής µεταβιβάζει τις πληροφορίες στους Agents και όλοι οι Agents συντονισµένα στέλνουν αιτήσεις και κατακλύζουν τον στόχο. Με αυτόν τον τρόπο ο attacker είναι πολύ δύσκολο να εντοπιστεί γιατί η επίθεση φαίνεται να προέρχεται από παντού. Session Hijacking Με τη διαδικασία της πιστοποίησης ένας χρήστης προσδιορίζει την ταυτότητα του σε µια υπηρεσία και την αποδεικνύει. Κάποιοι ίσως θέλουν να χρησιµοποιήσουν 7

8 υπηρεσίες που κανονικά δεν έχουν εξουσιοδότηση να χρησιµοποιήσουν. Επειδή κατά τη σύνδεση δε µπορούν να περάσουν από τη διαδικασία της πιστοποίησης, λύνουν το πρόβληµα καταλαµβάνοντας τη σύνοδο που έχει εγκαταστήσει κάποιος άλλος που έχει πιστοποιηθεί. Αυτή η διαδικασία ονοµάζεται session hijacking. Πιο συγκεκριµένα ο επιτιθέµενος παρακολουθεί το δίκτυο και όταν γίνει µια σύνδεση µε έναν χρήστη ρυθµίζει τον υπολογιστή του µε τα στοιχεία του χρήστη-θύµατος(π.χ. IP). Στη συνέχεια βγάζει το θύµα από το δίκτυο µε διάφορους τρόπους, παίρνει τη θέση του και εµφανίζεται ως νόµιµος χρήστης χωρίς να έχει πιστοποιηθεί ο ίδιος. Ping of death Η επίθεση Ping of death βασίζεται στην εκµετάλλευση ενός προβλήµατος που ονοµάζεται buffer overflow. Τα πακέτα TCP/IP έχουν µέγιστο επιτρεπόµενο µέγεθος 64K. Σχεδόν όλοι οι TCP/IP-based υπολογιστές υποστηρίζουν το πακέτο PING (Packet Internet Groper) που είναι µια υλοποίηση επιπέδου εφαρµογής του πρωτοκόλλου ICMP. Χρησιµοποιείται για να διαπιστώσει κάποιος αν ένας host υπολογιστής τρέχει και είναι διαθέσιµος στο δίκτυο. Για να γίνει αυτό, στέλνονται χαρακτήρες στον αποµακρυσµένο υπολογιστή και αναµένεται η επιστροφή τους από αυτόν. Ένα προγραµµατιστικό λάθος όµως στο Microsoft TCP/IP stack επέτρεψε τη χρήση πακέτων µεγαλύτερων από 64K. Ο επιτιθέµενος, αν χρησιµοποιήσει το εργαλείο ping µε µεγάλα πακέτα σε ένα ευάλωτο σύστηµα, αυτό θα κρεµάσει. SYN Flooding Είναι µια επίθεση denial of service που εκµεταλλεύεται τον τρόπο που ένας υπολογιστής χειρίζεται την ακολουθία χειραψίας τριών βηµάτων (handshaking sequence) που ξεκινά όλες τις συνόδους TCP. Μία σύνοδος TCP ξεκινά µε έναν host να στέλνει ένα πακέτο SYN στον άλλο. Ο δεύτερος απαντά στον πρώτο µε ένα SYN- ACK και ο πρώτος ολοκληρώνει µε ένα ACK. Κάθε φορά που ένας host δέχεται ένα πακέτο SYN πρέπει να δεσµεύσει κάποιους πόρους (µνήµη) για την παρακολούθηση της νέας σύνδεσης. Μόνο όταν κλείσει η σύνοδος και εγκατασταθεί η σύνδεση αυτοί οι πόροι ελευθερώνονται. Σε µια επίθεση SYN Flood ο επιτιθέµενος υπολογιστής στέλνει χιλιάδες αιτήσεις SYN και ο υπολογιστής στόχος απαντά µε ACK και περιµένει ACK από τον πρώτο. Ο επιτιθέµενος όµως δε στέλνει ποτέ ACK αλλά συνεχίζει την αποστολή SYN. Έτσι δεν αποδεσµεύονται ο πόροι και κάποια στιγµή τελειώνουν, µε αποτέλεσµα την υπερφόρτωση και κατάρρευση. Smurf attack Με αυτήν την επίθεση το θύµα αρνείται να παρέχει υπηρεσία (DoS) γιατί η γραµµή του δικτύου κατακλύζεται καθώς γίνεται προσπάθεια για απάντηση σε πακέτα Ping µε λάθος διεύθυνση. Εµπλέκει τη λάθος χρήση της διεύθυνσης εκποµπής (broadcast address) του δικτύου. Η διεύθυνση εκποµπής ενός δικτύου είναι µια διεύθυνση IP σε ένα τµήµα δικτύου που µπορεί να ανακατευθύνει (redirect) τα πακέτα σε όλους τους host του δικτύου. Υπάρχουν τρία µέρη που εµπλέκονται στην επίθεση : ο επιτιθέµενος (attacker), οι agents και το θύµα (victim). Ο επιτιθέµενος στέλνει ICMP echo request (Ping) στη διεύθυνση εκποµπής ενός τοπικού δικτύου µε source address όχι τη δική του, αλλά του θύµατος (spoof). Η διεύθυνση εκποµπής ανακατευθύνει το Ping στους άλλους υπολογιστές του δικτύου, οι οποίοι δρουν ως agents. Οι agents θα 8

9 απαντήσουν στο ping αλλά η µόνη διεύθυνση που γνωρίζουν είναι του θύµατος. Ο υπολογιστής θύµα γεµίζει µε απαντήσεις και δηµιουργείται συµφόρηση. Το σηµαντικό είναι ότι µε λίγες αιτήσεις Ping του επιτιθέµενου οι απαντήσεις στο θύµα πολλαπλασιάζονται αµέσως. Υπάρχουν επίσης αυτοµατοποιηµένα εργαλεία για την ταυτόχρονη αποστολή αιτήσεων σε πολλά δίκτυα για καλύτερα αποτελέσµατα. Άλλα, πιο εξειδικευµένα, αναζητούν routers που δεν φιλτράρουν broadcast traffic και αυτά τα δίκτυα µπορούν να χρησιµοποιηθούν ως ενδιάµεσα για την επίθεση. Man in the middle attack Ας υποθέσουµε ότι δύο υπολογιστές PC1 και PC2 έχουν ξεκινήσει κάποιο είδος επικοινωνίας µεταξύ τους. Ο επιτιθέµενος παρεµβαίνει ανάµεσά τους και σταµατά την ιδιωτική επικοινωνία. Ένας τρόπος για να γίνει αυτό είναι να παραποιήσει τον υπολογιστή του µε τα στοιχεία και των δύο. Έτσι ο PC1 θεωρεί τον επιτιθέµενο ως PC2 και ο PC2 ως PC1. Ένας άλλος τρόπος είναι να παρεµβληθεί φυσικά στο δίκτυο ανάµεσά τους. Με αυτόν τον τρόπο µπορεί να παρακολουθεί την κίνηση των δεδοµένων χωρίς να γίνει αντιληπτός, αλλά και να αλλάξει τα µηνύµατα που ανταλλάσσονται. Οι επιθέσεις Man in the middle είναι δύσκολο να εντοπιστούν αν δεν χρησιµοποιείται πιστοποίηση για κάθε µήνυµα που ανταλλάσσεται. Η κρυπτογράφηση είναι ο µόνος τρόπος για προφύλαξη από αυτές τις επιθέσεις. Teardrop attack Ο επιτιθέµενος εκµεταλλεύεται αδυναµίες στην ανασυγκρότηση των IP πακέτων. Ένα IP µπορεί να χωριστεί σε πολλά fragments, να γίνεται η διακίνηση των fragments και στον προορισµό να γίνεται η συναρµολόγηση σε IP. Σε κάθε fragment υπάρχει η πληροφορία για τη θέση του στο «µεγάλο» πακέτο IP. Αν υπάρχουν λαθεµένες πληροφορίες ο υπολογιστής στόχος δεν µπορεί να κάνει τη συναρµολόγηση και θα κολλήσει αν δεν έχει προβλεφτεί τέτοια κατάσταση. 9

10 ΖΗΤΗΜΑΤΑ ΑΣΦΑΛΕΙΑΣ ΣΤΟ ΙΑ ΙΚΤΥΟ ΓΙΑ ΤΟΝ ΑΠΛΟ ΧΡΗΣΤΗ Οι υπολογιστές που είναι συνδεδεµένοι στο ιαδίκτυο µπορούν να έχουν δύο ρόλους. Το ρόλο του πελάτη (client) και το ρόλο του εξυπηρετητή (server). Ο ίδιος υπολογιστής µπορεί για κάποια υπηρεσία να είναι server, δηλαδή να εξυπηρετεί πελάτες και ταυτόχρονα να χρησιµοποιεί κάποια άλλη υπηρεσία ως πελάτης. Σχεδόν όλα τα µηχανήµατα στο ιαδίκτυο είναι πελάτες και το ποσοστό των υπολογιστών που είναι αποκλειστικά πελάτες είναι πολύ µεγάλο. Ένας απλός χρήστης που συνδέεται µε το ιαδίκτυο συνήθως δε χρησιµοποιεί servers αλλά προγράµµαταπελάτες που συνδέονται σε servers. Στη συνέχεια θα εξεταστούν τα ζητήµατα ασφάλειας που αφορούν έναν τέτοιο χρήστη, δηλαδή από τι κινδυνεύει και πώς µπορεί να θωρακιστεί κατάλληλα. Στο ιαδίκτυο κυκλοφορούν πολλά προγράµµατα που έχουν γραφτεί µε στόχο να προκαλέσουν καταστροφικά αποτελέσµατα για διάφορους λόγους σε ανυποψίαστους χρήστες (Malware). Υπάρχουν πολλές κατηγορίες τέτοιων προγραµµάτων που αναλύονται στη συνέχεια. ΙΟΙ (viruses) Ο ιός είναι ένα πρόγραµµα που γράφεται σε µια απλή γλώσσα προγραµµατισµού υψηλού επιπέδου όπως π.χ. C. Έχει ως στόχο τη µόλυνση υπολογιστών όπως και ένας βιολογικός ιός (για οργανισµούς). Υπάρχουν πολλά είδη ιών, ανάλογα µε τη ζηµιά που προκαλούν και ανάλογα µε τον τρόπο διάδοσής τους. Οι ιοί δεν είναι σηµερινό φαινόµενο. Από τα τέλη τις δεκαετίας του 80 εµφανίστηκαν οι πρώτοι ιοί που διαδίδονταν µέσω του boot sector των δισκετών. Με την ευρεία διάδοση του Internet έγινε ευκολότερη η ταχεία εξάπλωση των ιών καθώς και η εµφάνιση περισσότερων και πιο επικίνδυνων. Σχεδόν καθηµερινά εµφανίζονται νέοι ιοί ή παραλλαγές παλαιότερων µε νέα χαρακτηριστικά, µε όλο και πιο προηγµένες δυνατότητες. Όσο για τη δοµή ενός ιού, αυτός αποτελείται από δύο µέρη: τον κώδικα που είναι υπεύθυνος για την αναπαραγωγή και την εξάπλωση σε νέους υπολογιστές και τον κώδικα που εκτελείται για τη δράση του ιού. Ο κώδικας για την αναπαραγωγή υπάρχει σε όλους τους ιούς υποχρεωτικά γιατί αυτό είναι και το κύριο χαρακτηριστικό των ιών. Αντίθετα, το τµήµα για τις ενέργειες µπορεί να µην υπάρχει αν ο ιός δεν κάνει τίποτα. Ο ιός δεν είναι ένα αυτόνοµο πρόγραµµα που µπορεί να τρέξει µόνο του. Χρειάζεται ένα αντικείµενο για τη µεταφορά του όπως π.χ. ένα εκτελέσιµο αρχείο. Ο κώδικας που είναι υπεύθυνος για την αναπαραγωγή πρέπει να εντοπίζει το κατάλληλο αντικείµενο και στη συνέχεια να το µολύνει. Ο εντοπισµός αυτός µπορεί να γίνει µε διάφορους τρόπους. Μπορεί να γίνεται έλεγχος στον σκληρό δίσκο για το κατάλληλο αρχείο, αλλά αυτός ο τρόπος είναι χρονοβόρος και η κατανάλωση των πόρων του συστήµατος µπορεί να γίνει αντιληπτή από το χρήστη. Ένας πιο αθόρυβος τρόπος είναι η φόρτωση του ιού στην κύρια µνήµη του υπολογιστή και η παρακολούθησή της για αν υπάρχει το κατάλληλο αρχείο. Έτσι αν χρησιµοποιηθεί το αρχείο µολύνεται. Ο τρόπος µόλυνσης του αρχείου επίσης ποικίλει. Για παράδειγµα ένας ιός 10

11 που µολύνει εκτελέσιµο αρχείο µπορεί να αντιγράφεται στην αρχή του αρχείου και ένας άλλος στο τέλος του αρχείου. Και στις δύο περιπτώσεις το πρόγραµµα εκτελείται κανονικά και ο χρήστης δεν αντιλαµβάνεται τίποτα. Επίσης µπορεί να γίνει αντικατάσταση µέρους του κώδικα µε τον κώδικα του ιού και έτσι το µέγεθος του µολυσµένου εκτελέσιµου να είναι το ίδιο µε το αρχικό. Υπάρχουν πολλά είδη ιών όπως: Οι ιοί που προσβάλλουν τον τοµέα εκκίνησης (boot sector) του σκληρού δίσκου ή δισκέτας. (διαδεδοµένοι παλιότερα) Οι ιοί που αντιγράφονται σε εκτελέσιµα αρχεία. Οι Macro viruses που εκµεταλλεύονται τις γλώσσες µακροεντολών που χρησιµοποιούνται στο Word, Excel. Οι πολυµορφικοί ιοί που ανήκουν σε πολλές κατηγορίες και έχουν αρκετά προηγµένες ιδιότητες. Το τµήµα του ιού που εκτελεί τον κώδικα που προξενεί ζηµιά στον µολυσµένο υπολογιστή είναι πολύ ανοικτό και εξαρτάται από τις ικανότητες και τη φαντασία του συγγραφέα του ιού. Ανάλογα µε τη ζηµιά που προκαλεί, ένας ιός κατηγοριοποιείται ως επιβλαβής ή αβλαβής. Μερικές συνηθισµένες δράσεις ιών είναι: Μόλυνση κρίσιµων αρχείων του λειτουργικού µε αποτέλεσµα την αδυναµία εκκίνησής του. Σβήσιµο όλων των αρχείων του σκληρού δίσκου. Εµφάνιση ενοχλητικών µηνυµάτων (αβλαβείς). Κατάληψη µεγάλου µέρους της µνήµης µε αποτέλεσµα ο υπολογιστής να γίνεται αργός. Άνοιγµα τρυπών στο λειτουργικό σύστηµα για να προκληθεί ζηµιά αργότερα όταν δεν το περιµένει ο χρήστης. Καθάρισµα της µνήµης ROM του BIOS µε αποτέλεσµα να µην ξεκινά ο υπολογιστής. Προσπάθεια για κλοπή κωδικών πρόσβασης και κωδικών πιστωτικών καρτών. Το τµήµα του κώδικα που προξενεί τη ζηµιά µπορεί να µην εκτελείται αµέσως µε την εγκατάσταση του ιού αλλά να ενεργοποιείται όταν ισχύουν κάποιες προϋποθέσεις. Αυτές οι προϋποθέσεις µπορεί να είναι η λήξη µιας συγκεκριµένης χρονικής περιόδου από τη µόλυνση, µια συγκεκριµένη ηµεροµηνία, µια συγκεκριµένη ενέργεια κ.α. ΣΚΟΥΛΗΚΙΑ (Worms) Ένα σκουλήκι είναι ένα πρόγραµµα που µολύνει έναν υπολογιστή χωρίς να χρησιµοποιήσει ένα αρχείο-φορέα του θύµατος, αλλά µε την αντιγραφή του αυτόνοµα σε κάποιο µέρος του σκληρού δίσκου. Αυτή είναι και η κύρια διαφορά από 11

12 τον ιό. Τα worms εµφανίστηκαν αργότερα από τους ιούς (το πρώτο εµφανίστηκε το 1999 [Happy99] ) και σήµερα είναι πιο διαδεδοµένα από τους ιούς (viruses). Για τη διάδοσή τους χρησιµοποιούν πολλούς τρόπους όπως το ηλεκτρονικό ταχυδροµείο, τρύπες ασφάλειας του λειτουργικού, ανοικτές θύρες TCP, IRC κ.α. Πολλά σκουλήκια που κυκλοφορούν σήµερα χρησιµοποιούν µια αδυναµία (Buffer Overrun) της υπηρεσίας RPC (Remote Procedure Call) των Windows που επιτρέπει την αποµακρυσµένη εκτέλεση κώδικα. Η εξάπλωση των σκουληκιών γίνεται πολύ γρήγορα και πολλές φορές δεν απαιτείται από τον χρήστη κάποια ενέργεια αρκεί µια επίσκεψη µολυσµένης ιστοσελίδας ή και το πέρασµα του δείκτη του ποντικιού πάνω από µολυσµένο link (αδυναµία browser). Μερικές εξελιγµένες δράσεις των σκουληκιών είναι: Επεξεργασία του αρχείου Hosts µε αποτέλεσµα να µη µπορεί να γίνει σύνδεση σε συγκεκριµένους δικτυακούς τόπους (συνήθως εταιρείες προγραµµάτων antivirus) Τροποποίηση του registry για να ξεκινούν µε την έναρξη του λειτουργικού. Αναζήτηση κλειδιών (serial numbers) γνωστών παιχνιδιών και προγραµµάτων. Αναζήτηση κωδικών και αριθµών πιστωτικών καρτών. Προσπάθεια απενεργοποίησης προγραµµάτων ασφάλειας (π.χ. Antivirus) που τρέχουν στο παρασκήνιο. Υπάρχει λίστα µε εφαρµογές που γίνεται προσπάθεια να τερµατιστούν για να αποφευχθεί ο εντοπισµός. ΟΥΡΕΙΟΙ ΙΠΠΟΙ (Trojan horses) Ένας δούρειος ίππος είναι ένα πρόγραµµα που χρησιµοποιείται από κάποιο κακόβουλο άτοµο για τον αποµακρυσµένο έλεγχο του υπολογιστή του θύµατος. Στον υπολογιστή του θύµατος ο δούρειος ίππος λειτουργεί ως server και έτσι ένας αποµακρυσµένος χρήστης µπορεί κάνοντας αιτήσεις στον server να τον ελέγξει. Η διαφορά από τον ιό είναι ότι ο δούρειος ίππος δεν αντιγράφεται µόνος του και δεν διαδίδεται σε άλλους υπολογιστές. Για να µολυνθεί ένας υπολογιστής από δούρειο ίππο πρέπει να τον κατεβάσει µε κάποιο τρόπο από το ιαδίκτυο, αλλά αυτό δεν σηµαίνει ότι ο χρήστης θα καταλάβει ότι έχει µολυνθεί. Ένας δούρειος ίππος µπορεί να είναι κρυµµένος σε ένα φαινοµενικά αθώο παιχνίδι, σε ένα e mail κ.α. Οι δούρειοι ίπποι χωρίζονται στις εξής κατηγορίες: Remote Administration Trojans (RAT) Σε αυτήν την κατηγορία ανήκουν οι πιο γνωστοί δούρειοι ίπποι. Ένας δούρειος ίππος αποµακρυσµένης διαχείρισης αποτελείται από δύο µέρη, το µέρος του πελάτη (client) και το µέρος του εξυπηρέτη (server). Ο server εγκαθίσταται στον υπολογιστή του θύµατος και τον client τον ελέγχει ο θύτης για να επικοινωνεί µε τον server. Όταν ο server εγκατασταθεί στον υπολογιστή σε κάποιον φάκελο και µε ένα όνοµα αρχείου, πρέπει να φροντίσει έτσι ώστε να τρέχει συνεχώς στο παρασκήνιο και γι αυτό εγγράφεται στο registry των Windows για να ξεκινά την εκτέλεση όταν ξεκινά το λειτουργικό. Όταν τρέχει ο server ο χρήστης δεν αντιλαµβάνεται τίποτα, αλλά φαίνεται στη λίστα µε τις τρέχουσες διεργασίες, γι αυτό συνήθως το όνοµα είναι όσο το δυνατόν πιο κοντά σε όνοµα υπηρεσίας συστήµατος. Τα πιο διάσηµα Remote Admin Trojans είναι το NetΒus και το Back Orifice. 12

13 Password Trojans Αυτοί οι δούρειοι ίπποι ψάχνουν στον υπολογιστή του θύµατος για διάφορους κωδικούς όπως κωδικούς συστήµατος, e mail, πιστωτικών καρτών κ.α. Όταν γίνει η συλλογή οι πληροφορίες στέλνονται στον διαχειριστή συνήθως µε e mail. Η διεύθυνση του mail έχει καθοριστεί προηγουµένως από τον διαχειριστή του δούρειου ίππου. Αυτού του τύπου οι δούρειοι ίπποι δεν προκαλούν καταστροφές αλλά η ζηµιά µπορεί να είναι µεγαλύτερη µε την κλοπή απόρρητων πληροφοριών. Key logger Trojans Αυτοί οι δούρειοι ίπποι καταγράφουν οτιδήποτε πληκτρολογεί ο ανυποψίαστος χρήστης. Κάποιες φορές για την καταγραφή κωδικών, η καταγραφή αρχίζει µόνο όταν εντοπιστεί παράθυρο εισαγωγής κωδικού για να µην καταγράφονται άχρηστες πληροφορίες. Εκτός όµως από την καταγραφή κωδικών (κάτι που κάνουν και τα Password Trojans) µπορούν να καταγραφούν απόρρητα µηνύµατα που στέλνει ο χρήστης. Οι πληροφορίες και εδώ στέλνονται µε e mail στον ενδιαφερόµενο. Privileges-Elevating Trojans Όπως φανερώνει και ο τίτλος αυτοί οι δούρειοι ίπποι δίνουν στον διαχειριστή τους δικαιώµατα χρήσης του αποµακρυσµένου υπολογιστή χωρίς να γίνεται γνωστό στον διαχειριστή του συστήµατος. Συνήθως χρησιµοποιούνται για την απόκτηση δικαιωµάτων πριν από επίθεση. Destructive Trojans Οι καταστροφικοί δούρειοι ίπποι δεν ενδιαφέρονται για συλλογή πληροφοριών αλλά για την πρόκληση ζηµιάς στο µολυσµένο σύστηµα και µάλιστα άµεσα, πριν εντοπιστούν από τον χρήστη. Συνηθισµένες δράσεις είναι το σβήσιµο όλων των αρχείων, ή η µαζική µετονοµασία αρχείων, ή η υπερφόρτωση της µνήµης µε σκοπό η χρήση του µηχανήµατος να γίνει αδύνατη. Τα εργαλεία που προστατεύουν από δούρειους ίππους είναι τα προγράµµατα που ελέγχουν για ιούς (Antivirus) και τα firewalls. Το Antivirus εντοπίζει συνήθως τον δούρειο ίππο πριν εγκατασταθεί ενώ ένα καλό firewall που ελέγχει την εξερχόµενη κίνηση δεν θα επιτρέψει στον server να «βγει» στο Internet. Περισσότερες πληροφορίες για την αντιµετώπιση δίνονται παρακάτω. ROOTKITS Ένα rootkit είναι ένα αόρατο στο χρήστη πρόγραµµα που έχει σχεδιαστεί ειδικά για να κρύψει την παρουσία του στο σύστηµα µε καταστροφικό τελικό σκοπό. Η δράση του κάνει το λειτουργικό σύστηµα να ψεύδεται διακόπτοντας τις κλήσεις στο σύστηµα και αλλάζοντας τα αποτελέσµατα που στέλνουν στα προγράµµατα. Για παράδειγµα όταν τρέχει το πρόγραµµα Windows Explorer - που εµφανίζει τα περιεχόµενα ενός καταλόγου αυτό κάνει κλήσεις στο λειτουργικό σύστηµα για να ανακτήσει τα ονόµατα των αρχείων. Ένα πρόγραµµα (rootkit) που τρέχει σε χαµηλό 13

14 επίπεδο θα µπορούσε να παρέµβει σε αυτές τις κλήσεις και να παρακολουθεί για τα ονόµατα των δικών του αρχείων ώστε να εµποδίσει την εµφάνισή τους. Θα µπορούσε να αλλάξει και τον αριθµό bytes που φαίνεται να χρησιµοποιεί ο κατάλογος. Για χρόνια τα rootkits στόχευαν σε µηχανήµατα µε λειτουργικό UNIX αλλά τώρα διαδίδονται και σε λειτουργικά Windows. Είναι πολύ επικίνδυνα γιατί εκτός από τον εαυτό τους µπορούν να κρύψουν επιβλαβή προγράµµατα όπως ιούς και spyware. Το ανησυχητικό είναι ότι είναι αόρατα σε προγράµµατα κατά των ιών και µέχρι στιγµής δεν έχουν αναπτυχθεί προγράµµατα εύκολα στη χρήση για τον εντοπισµό τους. Ο εντοπισµός των rootkits είναι µια απαιτητική εργασία που απαιτεί γνώση χαµηλού επιπέδου του συστήµατος. Μόλις πρόσφατα άρχισαν να δηµιουργούνται εργαλεία που διευκολύνουν τον εντοπισµό των rootkits. Αυτά τα εργαλεία δεν ψάχνουν για συγκεκριµένα rootkits µε τη µέθοδο των ψηφιακών υπογραφών (Antivirus programs) αλλά για στοιχεία που φανερώνουν την ύπαρξή τους. Κάποια παραδείγµατα τέτοιων εργαλείων είναι (µέχρι στιγµής freeware): 1. Strider Ghostbuster της Microsoft 2. RootkitRevealer της Sysinternals 3. BlackLight της F-Secure (beta) SPYWARE Ένα πρόγραµµα spyware έχει ως στόχο την παρακολούθηση της δραστηριότητας του χρήστη και τη µετάδοση των πληροφοριών πίσω στον αποδέκτη χωρίς τη γνώση του χρήστη. Η ανησυχία του χρήστη οφείλεται στην παραβίαση της ιδιωτικότητας, αφού το spyware προσβάλλει περίπου το 90% των υπολογιστών που είναι συνδεδεµένοι στο Internet [Earthlink]. Γενικά ο όρος spyware χρησιµοποιείται για να περιγράψει άλλους τύπους απειλών όπως adware, hacking tools κ.α. Το πρόγραµµα spyware µπορεί να έρχεται µαζί µε µια δωρεάν εφαρµογή και συνήθως η παρουσία spyware αναφέρεται µε µικρά γράµµατα στην άδεια χρήσης του προγράµµατος. Η απεγκατάσταση της εφαρµογής δεν σηµαίνει πάντα και την απεγκατάσταση του spyware. Επίσης σε πολλές περιπτώσεις αν ο χρήστης εντοπίσει και επιχειρήσει να διαγράψει το spyware, η εφαρµογή µαζί µε την οποία εγκαταστάθηκε αρνείται να λειτουργήσει. ADWARE Ένα πρόγραµµα adware είναι ένας τύπος spyware που στέλνει προσωπικές πληροφορίες του χρήστη σε διαφηµιστές οι οποίοι τις χρησιµοποιούν για να στείλουν στον χρήστη κατάλληλες διαφηµίσεις. Αν και δεν δηµιουργεί καταστροφή στο σύστηµα, οι διαφηµίσεις ενοχλούν το χρήστη και κανείς δε θέλει να παρακολουθούνται οι κινήσεις και οι συνήθειες του στο Internet. Επιπλέον η περιήγηση στο Internet µπορεί να είναι δύσκολη λόγω της εµφάνισης διαφηµιστικών σελίδων σε περίπτωση hijack. Η αντιµετώπιση των spyware γίνεται µε ειδικά προγράµµατα που η λειτουργία τους περιγράφεται παρακάτω (π.χ. SpywareGuard, Ad-Aware). 14

15 ΠΡΟΓΡΑΜΜΑΤΑ HIJACK Σε αυτήν την κατηγορία ανήκουν προγράµµατα που αλλάζουν τις ρυθµίσεις του browser χωρίς την άδεια του χρήστη, µε στόχο την προβολή διαφηµιστικών ιστοσελίδων, µε αποτέλεσµα να µην εµφανίζονται οι σελίδες που ζητά ο χρήστης. Για παράδειγµα µε την εξάπλωση ενός τέτοιου προγράµµατος µπορεί µια ιστοσελίδα να γίνει δηµοφιλής και έτσι ο κάτοχός της βγάζει χρήµατα από τις διαφηµίσεις. Πιο συγκεκριµένα αλλάζουν την αρχική σελίδα του browser, αποθηκεύουν στα «Αγαπηµένα» συνδέσµους σε δικτυακούς τόπους που δεν έχει επισκεφτεί ποτέ ο χρήστης και µπορούν να αλλάξουν ακόµα και ρυθµίσεις της σύνδεσης όπως αριθµό τηλεφώνου. Ένα πρόγραµµα Hijack µπορεί να βρίσκεται κρυµµένο σε µια εφαρµογή που κατεβάζει κάποιος από το Internet ή να εγκατασταθεί µέσω ενός ActiveX από έναν δικτυακό τόπο που θα εκτελεστεί στον υπολογιστή του χρήστη. Ακόµη µπορεί να εκµεταλλευτεί αδυναµίες στην ασφάλεια του browser ή του λειτουργικού. Κάποια προγράµµατα Hijack τροποποιούν το registry µε αποτέλεσµα να µην αρκεί η απλή επαναρύθµιση του browser. Υπάρχουν ειδικά προγράµµατα που εντοπίζουν τα Hijack όπως το Hijack This. DIALERS Αυτός ο τύπος προγραµµάτων αλλάζει µόνιµα τις ρυθµίσεις κλήσης ενός υπολογιστή που συνδέεται µε modem στο Internet. Ο αριθµός του ISP µε τη φθηνή χρέωση αντικαθίσταται από αριθµό τηλεφώνου του εξωτερικού που οδηγεί σε σύνδεση στο Internet από τον υπολογιστή εκεί, µε αποτέλεσµα ακριβές χρεώσεις. Σε κάποιες περιπτώσεις ο χρήστης πρέπει να εκτελέσει πρόγραµµα ActiveΧ, ενώ σε άλλες µε την εκµετάλλευση τρυπών ασφαλείας η εγκατάσταση γίνεται κρυφά. Αφού γίνει η εγκατάσταση τερµατίζεται η σύνδεση µε τον ISP και γίνεται κλήση στο εξωτερικό χωρίς να το αντιληφθεί ο χρήστης πριν του έρθει ο λογαριασµός. Εκτός από τη χρέωση, ο υπολογιστής γίνεται συχνά αποδέκτης προγραµµάτων spyware µε τη νέα σύνδεση. Στην περίπτωση των dialers το εξωτερικό modem έχει πλεονέκτηµα γιατί η κατάστασή του ελέγχεται πιο εύκολα από ένα σε µορφή κάρτας. Αν ο χρήστης παρατηρήσει απρόσµενη αλλαγή στη συµπεριφορά, όπως προσπάθεια για κλήση, πρέπει να το κλείσει αµέσως. Κάποια dialers φροντίζουν να απενεργοποιούν το µεγάφωνο του modem για να µην ακούγεται η κλήση. Πρόσφατα κάποιοι ISP µε τις συνδέσεις DSL προσφέρουν υλικό που δεν επιτρέπει την κλήση σε αριθµό διαφορετικό από της εταιρίας. ΤΡΟΠΟΙ ΙΑ ΟΣΗΣ ΕΠΙΚΙΝ ΥΝΩΝ ΠΡΟΓΡΑΜΜΑΤΩΝ 1. Network shares Είναι ο κύριος τρόπος διάδοσης malware σήµερα που αποκτούν πρόσβαση στον υπολογιστή-στόχο µε τρεις τρόπους. Dictionary and Brute-Force Attack Αυτά τα προγράµµατα έχουν ενσωµατωµένες λίστες µε κοινούς κωδικούς που χρησιµοποιούν για να εισβάλλουν στο σύστηµα. 15

16 Μηχανήµατα µε εύκολα προβλέψιµους κινδυνεύουν από τέτοια επίθεση. κωδικούς πρόσβασης Exploits Τα προγράµµατα που διαδίδονται µε αυτόν τον τρόπο εκµεταλλεύονται τις τρύπες ασφάλειας που έχουν κάποιες εφαρµογές για να εκτελέσουν επιβλαβή κώδικα. P2P Programs Τα προγράµµατα peer to peer χρησιµοποιούνται από πολλούς χρήστες για τον διαµοιρασµό αρχείων. Στον κοινόχρηστο φάκελο που ορίζει ο χρήστης κατά την εγκατάσταση µπορούν να αντιγραφεί malware που στη συνέχεια «κατεβάζουν» άλλοι χρήστες. 2. E mail messages Για τη διάδοση µέσω µηνυµάτων ηλεκτρονικού ταχυδροµείου χρησιµοποιούνται τεχνικές µαζικής αποστολής µηνυµάτων καθώς και η κοινωνική µηχανική (social engineering) για να πειστεί ο χρήστης να διαβάσει το µολυσµένο µήνυµα. 3. Instant Messengers Οι υπηρεσίες άµεσων µηνυµάτων που παρέχονται από Yahoo, AOL και MSN χρησιµοποιούνται από worms για την εξάπλωσή τους. Το worm αντιγράφεται χρησιµοποιώντας τη δυνατότητα µεταφοράς αρχείων των Instant Messengers. Επίσης οι Instant Messengers µπορεί να περιέχουν συνδέσµους που δείχνουν σε κάποιο malware. Πολλοί δικτυακοί τόποι περιλαµβάνουν στον κώδικά τους εντολές για εκτέλεση µικρών προγραµµάτων για διάφορους λόγους στον υπολογιστή-πελάτη. Παρακάτω παρουσιάζονται τύποι προγραµµάτων, η ασφάλειά τους και τα προβλήµατά τους. JAVA Η γλώσσα προγραµµατισµού java είναι η γλώσσα του Internet επειδή τα προγράµµατά της χρησιµοποιούνται ανεξαρτήτως πλατφόρµας. Επίσης έχει σχεδιαστεί µε φιλοσοφία που έχει στόχο την ασφάλεια. Η java διαχειρίζεται δυναµικά τη µνήµη, δε δίνει στον προγραµµατιστή πρόσβαση στη µνήµη ή σε δείκτες µνήµης και εντοπίζει σφάλµατα που προέρχονται από τυπογραφικά λάθη. Έτσι αποτρέπονται κάποια λάθη που θα µπορούσαν να οδηγήσουν σε crash και τρύπες ασφάλειας. Τα προγράµµατα java µπορούν να τρέξουν µε δύο µορφές : ως εφαρµογές (applications) και ως applets. Στο applet τα αντικείµενα της java κατεβαίνουν από τον δικτυακό τόπο και εκτελούνται στον browser. Για λόγους ασφάλειας υπάρχουν περιορισµοί στα applets. 1. εν µπορούν να διαβάσουν / γράψουν στον τοπικό σκληρό δίσκο. 2. εν έχουν πρόσβαση στο υλικό. 16

17 3. εν έχουν πρόσβαση σε πληροφορίες περιβάλλοντος του συστήµατος. 4. εν µπορούν να ενεργοποιήσουν εντολές συστήµατος. 5. εν µπορούν να ξεκινήσουν συνδέσεις σε υπολογιστή διαφορετικό από αυτόν που προέρχονται. Επιπλέον ο security manager της java επιβλέπει τις κλήσεις συστήµατος και αν εντοπίσει εξαίρεση στην πολιτική ασφάλειας του applet, το τερµατίζει. Ο bytecode verifier επιβεβαιώνει ότι ένα πρόγραµµα ακολουθεί τους κανόνες και τους περιορισµούς της γλώσσας. Παρ όλους τους παραπάνω περιορισµούς έχουν βρεθεί κάποιες αδυναµίες µε αποτέλεσµα πολλοί από αυτούς να παραβιάζονται και να δηµιουργούνται επικίνδυνα applets. Για παράδειγµα ένα applet µπορεί να µπει σε αέναο βρόχο και να απασχολεί πολύ τη CPU, ή να εκτελέσει απαγορευµένες εντολές µηχανής λόγω του τρόπου φόρτωσης βιβλιοθηκών από τον διερµηνέα. ACTIVE X Το ActiveX είναι µια λιτή έκδοση της αρχιτεκτονικής OLE (Object Linking and Embedding) της Microsoft. Τα προγράµµατα ActiveX όπως και τα applets εµφανίζονται µέσα στο παράθυρο του browser σαν ζωντανές εικόνες και µπορούν να δηµιουργήσουν animation, να εµφανίσουν τύπους πολυµέσων MIME, να αλληλεπιδράσουν µε το πληκτρολόγιο ή το ποντίκι και να εµφανίζουν παράθυρα. Τα προγράµµατα ActiveX που ονοµάζονται controls είναι πολύ ισχυρά γιατί µπορούν να κάνουν οτιδήποτε µπορεί να κάνει ένα πρόγραµµα, δηλαδή έχουν πλήρη πρόσβαση στους πόρους του συστήµατος. Αυτό φυσικά δηµιουργεί ζητήµατα ασφάλειας αφού µπορούν να δηµιουργηθούν επικίνδυνα ActiveX controls. Η Microsoft σε συνεργασία µε τη VeriSign έχουν αναπτύξει ένα σύστηµα εγγύησης της αυθεντικότητας του προγράµµατος, δηλαδή ότι το πρόγραµµα δεν έχει αλλάξει από τότε που υπογράφηκε ψηφιακά. Ο παραγωγός ενός προγράµµατος που θέλει να το δηµοσιοποιήσει µπορεί να πάρει πιστοποιητικό από την αρχή πιστοποίησης και να υπογράφει το πρόγραµµα. Ο browser ελέγχει την προέλευση του ActiveX control και αν το πιστοποιητικό δεν ανήκει σε έµπιστο παραγωγό προγραµµάτων ή η αρχή πιστοποίησης δεν είναι έµπιστη, τότε ή αποφασίζει ο χρήστης για την εκτέλεση ή το ActiveX απορρίπτεται, ανάλογα µε την επιλεγµένη ρύθµιση. JAVASCRIPT Η JavaScript είναι µια γλώσσα σεναρίου (script) της Netscape που χρησιµοποιείται στο ιαδίκτυο (υπάρχουν και άλλες όπως Jscript και VBScript της Microsoft για τον IE). Οι γλώσσες αυτές προσφέρουν κάτι ενδιάµεσο µεταξύ συγγραφής σε HTML και ανάπτυξης applet. Οι συγγραφείς ιστοσελίδων µπορούν να προσθέτουν απλά χαρακτηριστικά, όπως ο έλεγχος της τιµής ενός πεδίου, χωρίς να γράφουν applet που είναι και πιο απαιτητικό. 17

18 Μερικά προβλήµατα ασφάλειας της JavaScript είναι : Η φόρτωση σε αποµακρυσµένο web server της λίστας καταλόγων (directory listing) του υπολογιστή του χρήστη που επισκέπτεται τη σελίδα. Η ικανότητα να παρακολουθούνται οι σελίδες που επισκέπτεται ο χρήστης. Το «ανέβασµα» των περιεχοµένων ενός αρχείου στον server χωρίς να το αντιλαµβάνεται ο χρήστης. Οι σηµερινοί browser εκτός από την επιλογή για απενεργοποίηση της JavaScript, διαθέτουν επιλογές για ενεργοποίηση / απενεργοποίηση συγκεκριµένων δυνατοτήτων της για µεγαλύτερη ασφάλεια. COOKIES Τα cookies δηµιουργούνται από κάποιους δικτυακούς τόπους. Ένας web server µπορεί να µεταφέρει πληροφορία στον browser (cookie) όταν ο browser συνδέεται για πρώτη φορά. Αν στον browser επιτρέπεται η αποθήκευση, το cookie αποθηκεύεται και την επόµενη φορά που θα γίνει σύνδεση, ο browser βρίσκει το cookie και το µεταφέρει στον server. Αυτή η διαδικασία κάνει δυνατή την αναγνώριση του χρήστη και τη ρύθµιση των σελίδων από εµπορικά sites. Τα cookies µπορούν να χρησιµοποιηθούν για την καταγραφή πληροφοριών για τις συνήθειες του χρήστη. Αυτές οι πληροφορίες µπορεί να πάνε σε διαφηµιστές. Τα session cookies αποθηκεύονται στην cache του browser και χάνονται όταν κλείσει το παράθυρο του browser. Εξαιτίας του µικρού χρόνου ύπαρξης είναι τα πιο ασφαλή. Τα persistent cookies αποθηκεύονται στο σκληρό δίσκο και µπορούν να ανακτηθούν από το site την επόµενη φορά που θα το επισκεφτεί ο χρήστης. Αυτά τα cookies µπορεί να περιέχουν ευαίσθητα δεδοµένα όπως όνοµα χρήστη και υπολογιστή, κωδικοί πρόσβασης και άλλες πληροφορίες που µπορεί να έχει εισάγει ο χρήστης στο site. Έτσι δηµιουργείται αδυναµία ασφάλειας γιατί ο χρήστης κινδυνεύει από µη εξουσιοδοτηµένη πρόσβαση στα αρχεία cookies. Τα third-party cookies είναι persistent cookies που δεν στέλνονται από web site αλλά από µια τρίτη αρχή ή διαφηµιστή. Αυτά δίνουν πληροφορίες για τη δραστηριότητα του χρήστη στο ιαδίκτυο. Τα cookies εκτός από την ιδιωτικότητα µπορεί να απειλήσουν και την ασφάλεια αν µολυνθούν µε επιβλαβή κώδικα (π.χ. script). Οι καταστροφικές συνέπειες ενεργοποιούνται µε την επίσκεψη στην ιστοσελίδα. Η αποδοχή των cookies µπορεί να απενεργοποιηθεί από τον browser. Όλα τα παραπάνω προγράµµατα πρέπει να εγκατασταθούν µε κάποιο τρόπο στον υπολογιστή του χρήστη για να λειτουργήσουν. Υπάρχει όµως και η πιθανότητα (µικρή για κάποιον που συνδέεται για λίγη ώρα) να δεχτεί επίθεση on-line από αποµακρυσµένο cracker / hacker. Σε αυτήν την περίπτωση χρησιµοποιούνται εργαλεία όπως Port scanners, Sniffers, Remote Access Tools, Hacking Tools. 18

19 ΜΕΡΟΣ ΕΥΤΕΡΟ ΕΝΕΡΓΕΙΕΣ ΓΙΑ ΒΕΛΤΙΩΣΗ ΤΗΣ ΑΣΦΑΛΕΙΑΣ ΘΩΡΑΚΙΣΗ ΛΕΙΤΟΥΡΓΙΚΟΥ ΣΥΣΤΗΜΑΤΟΣ Windows NT/XP Μετά την εγκατάσταση του λειτουργικού πρέπει να γίνουν κάποιες ενέργειες σε οργανωτικό και τεχνικό επίπεδο για την προστασία του συστήµατος από επιθέσεις. Η πιο προφανής τεχνική για τη θωράκιση του λειτουργικού είναι η κατάλληλη ρύθµισή του και παρακάτω παρουσιάζονται κάποια θέµατα στα οποία πρέπει να δοθεί προσοχή. Πολιτικές κωδικών πρόσβασης (Password policies) Ένας αποτελεσµατικός τρόπος για εισβολή σε ένα σύστηµα είναι το µάντεµα κωδικών. Οι χρήστες πρέπει να επιλέγουν ασφαλείς κωδικούς, δηλ. να µην είναι προφανείς, και να τους αλλάζουν συχνά. Κάποιες γενικές αρχές είναι: Η µέγιστη διάρκεια ενός κωδικού δεν θα πρέπει να υπερβαίνει τις 90 ηµέρες. Αν περάσει αυτό το χρονικό διάστηµα ο χρήστης πρέπει να αλλάξει τον κωδικό του. Το ελάχιστο µήκος ενός κωδικού πρέπει να είναι 8 χαρακτήρες. Οι µεγάλοι κωδικοί θέλουν περισσότερο χρόνο για να παραβιαστούν. Καλό είναι για κάθε χρήστη το λειτουργικό να «θυµάται» 5 κωδικούς. Αυτό σηµαίνει ότι για να χρησιµοποιήσει κάποιος ίδιο κωδικό πρέπει πριν να έχει χρησιµοποιήσει πέντε διαφορετικούς νέους. Έτσι οι χρήστες αποθαρρύνονται για χρησιµοποίηση των ίδιων κωδικών συνέχεια. Κλείδωµα του λογαριασµού µετά από 5 αποτυχηµένες προσπάθειες εισαγωγής κωδικού. Ο µετρητής µηδενίζεται µετά από 10 λεπτά. Έτσι µειώνεται ο αριθµός των προσπαθειών που µπορεί να γίνει µε επίθεση brute-force password-guessing. Πολιτικές λογαριασµών(account policies) Κάποιοι ειδικοί λογαριασµοί που υπάρχουν πρέπει να ασφαλιστούν. Ο πιο σηµαντικός λογαριασµός φυσικά είναι του Administrator. Οι επόµενες ενέργειες θωρακίζουν το σύστηµα από επιθέσεις σε λογαριασµούς χρηστών. 19

20 Ο λογαριασµός Administrator πρέπει να µετονοµαστεί. Εκτός από αυτό µπορεί να δηµιουργηθεί και ένας λογαριασµός-δόλωµα µε όνοµα Administrator αλλά χωρίς δικαιώµατα για να αποπροσανατολίσει κάποιον επιτιθέµενο που ψάχνει για λογαριασµό µε τον οποίο θα έχει δικαιώµατα διαχειριστή. Για κάθε κοινόχρηστο κατάλογο πρέπει να γίνει αντικατάσταση της οµάδας Everyone µε την οµάδα Authenticated Users. Με το group Everyone έχουν πρόσβαση στους κοινόχρηστους πόρους και χρήστες που δεν είναι πιστοποιηµένοι. Ο λογαριασµός Guest πρέπει να είναι απενεργοποιηµένος. Αυτός ο λογαριασµός χρησιµοποιείται για προσωρινούς χρήστες αν δεν είναι απαραίτητος δεν πρέπει µε τίποτα να ενεργοποιηθεί (default disabled). Μητρώο (Registry) Το µητρώο των Windows περιέχει στοιχεία για τη ρύθµιση του λειτουργικού. Υπάρχουν πολλά κλειδιά στο µητρώο που σχετίζονται µε την ασφάλεια και χρειάζεται ιδιαίτερη προσοχή στις ρυθµίσεις. Έλεγχος στην αποµακρυσµένη πρόσβαση στο µητρώο. Υπάρχει δυνατότητα αποµακρυσµένης διαχείρισης του µητρώου αλλά αυτή η δυνατότητα είναι ταυτόχρονα τρύπα ασφάλειας. (HKLM\CurrentControlSet\Control\SecurePipeServers\Winreg value 1) Για να µην φαίνεται εύκολα ένα όνοµα χρήστη, µπορεί να αποτραπεί η εµφάνιση του ονόµατος χρήστη που εισήχθη τελευταίος στο σύστηµα στο login παράθυρο. (HKLM\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogin\DontDisplayLastUserName Value 1) Προστασία του security event log. Πρέπει να απαγορεύεται η πρόσβαση από το λογαριασµό Guest. (HKLM\System\CurrentControlSet\Services\EventLog\[LogName]\RistrictGuessAccess value 1) Περιορισµός ανώνυµης (anonymous) πρόσβασης στο µητρώο. (HKLM\System\CurrentControlSet\Services\LanManServer\Parameters\NullSessionPipes value : εξουσιοδοτηµένα ονόµατα) Επίσης κάποιες σηµαντικές ρυθµίσεις για το δίκτυο: Απενεργοποίηση IP forwarding 20

21 [HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\TCPIP\PARAMETE RS] "IPENABLEROUTER"=DWORD: Απενεργοποίηση ICMP-Redirect [HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\TCPIP\PARAMETE RS] "ENABLEICMPREDIRECTS"=DWORD: Ενεργοποίηση TCP/IP-filtering [HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\TCPIP\PARAMETE RS] "ENABLESECURITYFILTERS"=DWORD: Προστασία από Denial of Service [HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\TCPIP\PARAMETE RS] "SYNATTACKPROTECT"=DWORD: "TCPMAXDATARETRANSMISSIONS"=DWORD: "TCPMAXHALFOPEN"=DWORD: "TCPMAXHALFOPENRETRIED"=DWORD: "TCPMAXPORTSEXHAUSTED"=DWORD: "TCPMAXCONNECTRESPONERETRANSMISSIONS"=DWORD: "ENABLEDEADGWDETECT"=DWORD: "ENABLEPMTUDISCOVERY"=DWORD: "KEEPALIVETIME"=DWORD: "ALLOWUNQUALIFIEDQUERY"=DWORD: "DISABLEDYNAMICUPDATE"=DWORD: Υπάρχουν ακόµα δεκάδες κλειδιά αλλά χρειάζεται προσοχή ώστε να µη γίνει κάποιο λάθος. Οι διορθώσεις ασφάλειας (patches) διορθώνουν το µητρώο χωρίς την παρέµβαση του χρήστη. Απειλές από υπηρεσίες δικτύου (Networking) Όσες υπηρεσίες δεν χρειάζονται πρέπει να απενεργοποιηθούν π.χ. FTP, RAS, IP Forwarding, Gopher. Επίσης πρέπει να απενεργοποιηθούν πρωτόκολλα που σε περίπτωση που δεν είναι απαραίτητα όπως TCP/IP, NetBIOS, NetBEUI. NetBIOS Το NetBIOS είναι ένα σύνολο πρωτοκόλλων που παρέχει διαµοιρασµό αρχείων, εκτύπωση µέσω δικτύου και αποµακρυσµένη διαχείριση συστήµατος. Σχεδιάστηκε µε βάση τοπικό δίκτυο γ αυτό έχει πολλές αδυναµίες ασφάλειας. Κάποιες από αυτές είναι η παροχή πληροφοριών συστήµατος, ανώνυµη και µη πιστοποιηµένη είσοδος στο σύστηµα και αδυναµία σε επιθέσεις man-in-the-middle. Το µπλοκάρισµα TCP/IP πρόσβασης στο NetBIOS µπορεί να γίνει µε διάφορους τρόπους. Ένας είναι µέσω firewall το οποίο πρέπει να µπλοκάρει την πρόσβαση στις θύρες 137, 138, 139 (UDP, TCP). Ένας άλλος τρόπος είναι η αποδέσµευση 21

22 υπηρεσιών NetBIOS από τον driver TCP/IP. Στα Windows XP Professional αυτό γίνεται ως εξής: Ιδιότητες δικτύου Networking->TCP/IP Στην καρτέλα General επιλέγουµε Advanced Στην καρτέλα WINS επιλέγουµε Disable NetBIOS over TCP/IP. (εικόνα 1) εικόνα 1 Μπλοκάρισµα θυρών TCP/IP Σε περίπτωση που θέλουµε να µπλοκάρουµε µη εξουσιοδοτηµένη πρόσβαση από το δίκτυο στον server (αν υπάρχει), τότε µπορούµε να µπλοκάρουµε συγκεκριµένες θύρες TCP/IP. Αυτό στα Windows XP Professional γίνεται ως εξής: Ιδιότητες δικτύου Επιλογή TCP/IP και πάτηµα στο κουµπί properties Advanced TCP/IP settings Επιλογή της καρτέλας Options Properties Enable TCP/IP filtering Προσθήκη των θυρών που µας ενδιαφέρουν. (εικόνα 2) 22

23 εικόνα 2 Άλλα µέτρα προστασίας Εγκατάσταση όλων των διορθωτικών πακέτων και hot fixes. Χρήση συστήµατος αρχείων NTFS. Το σύστηµα FAT δεν διαθέτει ρυθµίσεις ασφάλειας ή πρόσβασης. Χρησιµοποίηση των ACL (Access Control Lists) σε βασικά-θεµελιώδη αρχεία για να επιτρέπεται η πρόσβαση µόνο σε εξουσιοδοτηµένους επιλεγµένους χρήστες. Εγκατάσταση προγραµµάτων ασφάλειας (Third party products) Χρήση προγραµµάτων Antivirus-Firewalls και ό,τι άλλο θεωρείται απαραίτητο. Παρακολούθηση: Περιλαµβάνεται η ανίχνευση εισβολών, η µελέτη των αρχείων καταγραφής, η ανακάλυψη ύποπτων συµπεριφορών προγραµµάτων και η αποτίµηση ζηµιών. Για διακίνηση ευαίσθητων δεδοµένων γίνεται εγκατάσταση προϊόντων κρυπτογράφησης αρχείων ή µηνυµάτων ηλεκτρονικού ταχυδροµείου. 23

24 Linux Το Linux µπορεί να είναι πιο ασφαλές λειτουργικό σύστηµα από τα Windows, λόγω της µικρότερης πιθανότητας προσβολής (µικρός αριθµός υπολογιστών σε σχέση µε αυτών που τρέχουν windows), των λιγότερων ανοικτών θυρών µετά την εγκατάσταση σε σχέση µε τα windows XP (π.χ. υπηρεσία Messenger που τρέχει στο background), αλλά κανένα λειτουργικό σύστηµα δεν είναι 100% ασφαλές. Ο διαχειριστής του συστήµατος όµως µπορεί µε κάποιες κινήσεις να βελτιώσει την ασφάλεια. Εγκατάσταση Για ένα σύστηµα µιας επιχείρησης που θα έχει πρόσβαση στο internet είναι καλύτερα να γίνει εγκατάσταση του λειτουργικού από την αρχή (clean installation) για να υπάρχει εγγύηση για την ακεραιότητα του. Στην εγκατάσταση του λειτουργικού πρέπει να δοθεί ιδιαίτερη προσοχή στις κατατµήσεις του δίσκου (partitions) έτσι ώστε το root partition να µην γεµίζει γρήγορα µε δεδοµένα, κάτι που µπορεί να προκαλέσει Denial Of Service (crash). Για παράδειγµα ο διαχειριστής µπορεί να δηµιουργήσει ξεχωριστή κατάτµηση για το /var όπου αποθηκεύονται log files και e mail. Στη συνέχεια όταν γίνεται επιλογή των πακέτων λογισµικού που θα εγκατασταθούν καλό είναι ο χρήστης να επιλέξει custom ώστε να αποφασίσει ο ίδιος για την εγκατάσταση µόνο των πακέτων που χρειάζεται. Αφού ολοκληρωθεί η εγκατάσταση πρέπει να γίνει και εγκατάσταση των αναβαθµίσεων ασφάλειας. Η ενηµέρωση δεν προτείνεται να γίνει απευθείας από το ιαδίκτυο γιατί ο υπολογιστής θα είναι εκτεθειµένος (π.χ. σε spyware, trojans). Μπορεί να χρησιµοποιηθεί ένας δεύτερος υπολογιστής που θα συνδέεται µε το ιαδίκτυο αλλά και µε τον νέο υπολογιστή σε αποµονωµένο τοπικό δίκτυο. Ο ενδιάµεσος υπολογιστής θα «κατεβάσει» τα απαραίτητα αρχεία από το ιαδίκτυο και στη συνέχεια µπορούν είτε να γραφούν σε CD-ROM είτε να µεταφερθούν µέσω του τοπικού δικτύου µεταξύ των δύο υπολογιστών. Όλες οι διανοµές Linux (SuSe, Mandrake, Red Hat κ.α.) περιλαµβάνουν εργαλεία που κατεβάζουν αυτόµατα από το internet αναβαθµίσεις των προγραµµάτων. Όταν σε ένα πρόγραµµα εµφανιστεί τρύπα ασφάλειας αυτό επιδιορθώνεται (από την κοινότητα του ανοικτού λογισµικού). Για παράδειγµα σε Mandrake Linux υπάρχει το Mandrake Update που βρίσκεται στο Mandrake Control Center. Οι αναβαθµίσεις ασφάλειας πρέπει να γίνονται αρκετά συχνά, και σίγουρα µετά την εγκατάσταση του λειτουργικού. Το εργαλείο autorpm είναι command line και εντοπίζει τα πακέτα που χρειάζονται αναβάθµιση. Αν το επιθυµεί ο χρήστης µπορεί να τα κατεβάσει και να εγκαταστήσει τα αρχεία που χρειάζονται. Έλεγχος των ενεργών υπηρεσιών Το Linux περιλαµβάνει έναν µεγάλο αριθµό διάφορων δικτυακών υπηρεσιών (ανάλογα και µε την έκδοση). Σε κάποιες περιπτώσεις ενδέχεται να είναι ενεργοποιηµένες (κατά την εκκίνηση) κάποιες υπηρεσίες που ο χρήστης δε χρειάζεται. Για παράδειγµα αν ο υπολογιστής δε χρησιµοποιείται ως web server δεν υπάρχει νόηµα να είναι ενεργοποιηµένη η υπηρεσία httpd. Η υπηρεσία επίσης rlogin (remote login) που επιτρέπει τη σύνδεση αποµακρυσµένου χρήστη πρέπει να είναι 24

25 απενεργοποιηµένη αν δε χρησιµοποιείται, για λόγους ασφάλειας (εκµετάλλευση υπηρεσίας από κακόβουλα άτοµα). Για την ενεργοποίηση / απενεργοποίηση υπηρεσιών υπάρχουν γραφικά περιβάλλοντα όπως το drakxservices στο Mandrake Linux. Επιπλέον υπάρχει και ο server xinetd που δουλειά του είναι ο έλεγχος άλλων υπηρεσιών όπως π.χ. Telnet. Ο xinetd παρακολουθεί (monitor) τα εισερχόµενα πακέτα και όταν κάποιο αφορά µια υπηρεσία που ελέγχει, ξεκινά τον κατάλληλο server. Έτσι έχουµε δυο πλεονεκτήµατα. 1) Αυτόµατη έναρξη υπηρεσιών χωρίς τη µεσολάβηση του χρήστη και 2) κάθε στιγµή τρέχουν οι υπηρεσίες που χρειάζονται. Ο έµπειρος χρήστης µπορεί να επέµβει µε χρήση text editor στον xinetd στον φάκελο /etc/xinetd.d. Όταν τροποποιηθεί κάποιο αρχείο για να ισχύσουν οι αλλαγές πρέπει να γίνει επανέναρξη του xinetd µε την εντολή service xinetd restart. Τα scripts.rc καθορίζουν τις υπηρεσίες που εκκινούνται από τη διεργασία init. Στη διανοµή Red Hat για παράδειγµα βρίσκονται στον κατάλογο /etc/rc.d/rc3.d (ή στον κατάλογο /etc/rc.d/rc5.d αν γίνεται αυτόµατα boot σε γραφικό περιβάλλον). Για να µην ξεκινά ένα script αντικαθιστούµε το κεφαλαίο S µε µικρό s και αν θέλουµε να ξεκινά πάλι κάνουµε το αντίστροφο. Μερικά παραδείγµατα (Τα νούµερα µπορεί να είναι διαφορετικά σε διαφορετικές διανοµές) : S05apmd (για laptops) S10xntpd (Network time protocol) S20rstatd ( r services: παρέχουν πολλές πληροφορίες σε αποµακρυσµένους χρήστες) S20rusersd S20rwhod S20rwalld S20bootparamd (Used for diskless clients) S25squid (Proxy server) Πριν γίνει αλλαγή σε scripts µπορεί κάποιος να δει τις υπηρεσίες που τρέχουν δίνοντας την εντολή ps aux wc l. Για να γίνει επιβεβαίωση για το ποιες υπηρεσίες εξακολουθούν να τρέχουν µπορεί να γραφτεί η εντολή netstat na ip. Ρύθµιση Firewall Το σύστηµα netfilter αντικατέστησε το ipchains που είχαν οι πυρήνες 2.2. Το iptables είναι το εργαλείο για τη ρύθµιση του netfilter και για να γίνει ακόµα πιο εύκολη η παραµετροποίηση και η χρήση του iptables υπάρχουν προγράµµατα όπως το shorewall ( στο Mandrake Linux. Για ακόµα πιο εύκολο configuration του firewall υπάρχουν γραφικά περιβάλλοντα όπως το DrakFirewall που βρίσκεται στο Control Center του Mandrake Linux. Το ipchains είναι λογισµικό φιλτραρίσµατος πακέτων που όπως γράφτηκε προηγουµένως έχει αντικατασταθεί από το netfilter στις νέες εκδόσεις. Το ipchains χρησιµοποιείται κυρίως ως εφαρµογή firewall αλλά µε σωστή ρύθµιση µπορεί να ενισχύσει σηµαντικά την ασφάλεια. Για παράδειγµα µπορεί να ρυθµιστεί έτσι ώστε να επιτρέπονται µόνο οι συνδέσεις TCP που ξεκινά ο χρήστης. Έτσι οι συνδέσεις που ξεκινούν στο σύστηµα από εξωτερικό χρήστη απορρίπτονται. Παρακάτω φαίνεται ένα παράδειγµα ρύθµισης για ένα standalone µηχάνηµα. 25

26 bash# ipchains -L Chain input (policy DENY): target prot opt source destination ports DENY all anywhere n/a DENY all anywhere n/a DENY all anywhere BASE-ADDRESS.MCAST.NET/8 n/a ACCEPT tcp!y---- anywhere anywhere any -> any ACCEPT udp ----l- anywhere anywhere any -> any ACCEPT icmp ----l- anywhere anywhere any -> any DENY all ----l- anywhere anywhere n/a Chain forward (policy ACCEPT): Chain output (policy ACCEPT): Log Files (Αρχεία καταγραφής) Τα συµβάντα σε ένα σύστηµα καταγράφονται στα log files. Ο root µπορεί ανά πάσα στιγµή να ελέγξει αυτά τα αρχεία για τον εντοπισµό µη εξουσιοδοτηµένων αποπειρών συνδέσεων ή προσπαθειών παραβίασης της ασφάλειας του συστήµατος. Στο αρχείο var/log/messages υπάρχουν εγγραφές συµβάντων και για να δούµε τι περιέχει δίνουµε την εντολή σε terminal tail n X /var/log/messages, όπου X ένας αριθµός που δηλώνει το πλήθος των τελευταίων γραµµών του αρχείου που θα εµφανιστούν. Αυτό γίνεται γιατί το µέγεθος του αρχείου αυξάνεται πολύ γρήγορα και συνήθως οι καταχωρήσεις είναι εκατοντάδες γραµµές. Εµφανίζονται πληροφορίες σχετικά µε την εκκίνηση του λειτουργικού, για κάποιες συσκευές του συστήµατος, για επιτυχηµένες ή αποτυχηµένες προσπάθειες σύνδεσης, για προσπάθειες αλλαγής password κ.α. Στην αρχή κάθε γραµµής φαίνεται η ώρα και η ηµεροµηνία του γεγονότος. Παρακολουθώντας το αρχείο καταγραφής µπορεί ο διαχειριστής να ανακαλύψει περίεργη συµπεριφορά που µπορεί να προέρχεται από εισβολέα ή κάποιο malware. Με την εντολή watch ο διαχειριστής µπορεί να βλέπει το log αρχείο σε τακτό χρονικό διάστηµα που ορίζει ο ίδιος. Για παράδειγµα µε την εντολή watch n 300 tail n 20 /var/log/messages εµφανίζονται οι 20 τελευταίες εγγραφές του αρχείου κάθε 300 δευτερόλεπτα (5 λεπτά). Αν ο διαχειριστής θέλει να ελέγξει ποιοι χρήστες είναι συνδεδεµένοι στο σύστηµα µπορεί να χρησιµοποιήσει το εργαλείο last. Αυτό, δείχνει την ηµεροµηνία και ώρα εισόδου / εξόδου καθενός χρήστη. Η εντολή lastlog είναι πιο γενική και δείχνει εκτός από τους χρήστες και τις υπηρεσίες που έχουν λογαριασµό στο σύστηµα. Έτσι αν ο διαχειριστής εντοπίσει έναν λογαριασµό µιας υπηρεσίας που είναι ανοικτός ενώ δεν θα έπρεπε, ίσως να πρόκειται για υπηρεσία που ξεκίνησε κακόβουλο άτοµο για να προξενήσει ζηµιά στο σύστηµα. Για µεγαλύτερη ευκολία και αποτελεσµατικότητα λόγω του µεγάλου µεγέθους των αρχείων καταγραφής υπάρχουν εργαλεία αναλυτές αρχείων καταγραφής. Ένα τέτοιο είναι το Swatch (Perl script) που παρακολουθεί τις καταγραφές και ενεργεί όταν εµφανιστούν συγκεκριµένα µοτίβα εγγραφών που ενδιαφέρουν τον διαχειριστή. Η ενέργεια µπορεί να είναι αποστολή µηνύµατος ηλεκτρονικού ταχυδροµείου, εµφάνιση προειδοποίησης, ή εκτέλεση άλλου προγράµµατος ή script. Πολλές φορές οι εισβολείς προσπαθούν να διαγράψουν τα αρχεία καταγραφής για να µην υπάρχει απόδειξη της παρουσίας τους. Για να αντιµετωπιστεί αυτό µπορούµε να ανακατευθύνουµε τις εγγραφές σε αποµακρυσµένο µηχάνηµα ή να εκτυπώνονται οι καταγραφές. 26

27 File administration Το αρχείο /etc/passwd είναι αρχείο βάσης δεδοµένων όπου αποθηκεύονται οι λογαριασµοί των χρηστών και οι κωδικοί, γι αυτό πρέπει να ασφαλιστεί. Το σύστηµα πρέπει να χρησιµοποιεί το /etc/shadow που αποθηκεύει τους κωδικούς των χρηστών σε µορφή hash σε ένα αρχείο που είναι προσβάσιµο µόνο στον διαχειριστή. Έτσι οι κωδικοί δεν είναι εύκολα προσβάσιµοι. Για την ενεργοποίηση των shadows κωδικών (αν δεν είναι προεπιλεγµένο) δίνουµε την εντολή pwconv. Το επόµενο βήµα είναι η διαγραφή των default λογαριασµών του συστήµατος στο αρχείο /etc/passwd. Αυτοί οι λογαριασµοί χρησιµεύουν σε κάποιες δραστηριότητες του συστήµατος που µπορεί να µη χρησιµεύουν το χρήστη. Η ύπαρξη πολλών λογαριασµών κάνει την πρόσβαση στον υπολογιστή πιο εύκολη. Για παράδειγµα αν δεν τρέχει ο nntp, ένας news group server, δεν χρειάζεται ο λογαριασµός news. Έλεγχος της ακεραιότητας των αρχείων συστήµατος Αν ένας εισβολέας αποκτήσει πρόσβαση στο σύστηµα είναι πιθανό να προσπαθήσει να αντικαταστήσει αρχεία συστήµατος για να αποκτά ευκολότερα πρόσβαση µελλοντικά. Μια λύση είναι η χρήση εργαλείων αποτυπωµάτων (fingerprinting) όπως για παράδειγµα το md5sum. Χρησιµοποιεί τον αλγόριθµο MD5 για τη δηµιουργία hash των αρχείων. Αν δυο hash ίδιου αρχείου διαφέρουν τότε αυτό σηµαίνει ότι το αρχείο έχει τροποποιηθεί. Μια άλλη λύση είναι η χρήση προγραµµάτων όπως το Tripwire το οποίο εντοπίζει µη εξουσιοδοτηµένη µεταβολή των αρχείων και ενηµερώνει το χρήστη αν αλλάξει η ιδιοκτησία ή τα δικαιώµατα ενός αρχείου. Επίσης αν το επιθυµεί ο χρήστης µπορεί να γράψει το δικό του script για έλεγχο της ακεραιότητας όπως για παράδειγµα το παρακάτω. #!/bin/bash for rpmlist in `rpm -qa sort` do echo " $rpmlist " rpm -V $rpmlist done > /tmp/123.out cat /tmp/123.out mail -s "RPM Check `date +%T %A %d.%m.%y`" Αυτό το script δηµιουργεί µια λίστα των αρχείων RPM του συστήµατος, τα ταξινοµεί και τα παρουσιάζει σε µορφή για να είναι εύκολα κατανοητά και τα ελέγχει προς επαλήθευση. Στη συνέχεια στέλνει µε τη λίστα στη διεύθυνση του διαχειριστή. Το αποτέλεσµα είναι σαν αυτό που φαίνεται στην εικόνα. 27

28 Παράδειγµα ρυθµίσεων σε Linux Mandrake 9.0 Το draksec είναι ένα γραφικό περιβάλλον για το MSEC από όπου µπορούν να γίνουν ρυθµίσεις ασφάλειας. Είναι διαθέσιµο µέσα από το control center και ο χρήστης µπορεί να αλλάξει το επίπεδο ασφάλειας του συστήµατος. Στην καρτέλα Basic ο χρήστης επιλέγει ένα από τα προκαθορισµένα επίπεδα ασφάλειας που είναι : standard, high, higher και paranoid. Το ελάχιστο προτεινόµενο επίπεδο για έναν υπολογιστή που συνδέεται στο internet ως client είναι το standard, ενώ για έναν υπολογιστή που τρέχει server προτείνεται τουλάχιστον το επίπεδο higher. Αν ενεργοποιηθεί το Security Alerts τότε αν υπάρχει κάποιο ζήτηµα ασφάλειας ενηµερώνεται µε µήνυµα ο Security Administrator που καθορίζεται παρακάτω. Στο πεδίο του Security Administrator µπορεί να µπει όνοµα τοπικού χρήστη ή διεύθυνση e mail. Ο χρήστης αφού επιλέξει ένα επίπεδο ασφάλειας µπορεί µετά να το προσαρµόσει σύµφωνα µε τις ανάγκες, επιλέγοντας τις επόµενες τρεις καρτέλες και αλλάζοντας τις ρυθµίσεις αναλυτικά. Υπάρχουν επιλογές δικτύου, συστήµατος και περιοδικών ελέγχων. Σε κάθε καρτέλα υπάρχουν δύο στήλες, η στήλη µε τις επιλογές και η στήλη µε τις τιµές. Οι δυνατές τιµές είναι : yes, no και default. Με yes ενεργοποιείται η επιλογή, µε no απενεργοποιείται και µε default παραµένει ως έχει από το επιλεγµένο επίπεδο ασφάλειας. 28

29 Ασφάλιση πρόσβασης στο ιαδίκτυο Το tiny firewall περιλαµβάνεται στην έκδοση Mandrake 9.0 (καθώς και σε άλλες ) και είναι πολύ απλό. Φιλτράρει προσπάθειες σύνδεσης από τον έξω κόσµο και µπλοκάρει τις µη εξουσιοδοτηµένες (unauthorized). Ο χρήστης επιλέγει τις υπηρεσίες που θα είναι διαθέσιµες στον έξω κόσµο. Αν η υπηρεσία δεν βρίσκεται στην παραπάνω λίστα τότε πατώντας το κουµπί Advanced επιλέγονται οι θύρες από τον χρήστη που θα είναι ανοικτές. 29

30 ΑΣΦΑΛΕΙΑ ΕΞΥΠΗΡΕΤΗ WEB Οι εξυπηρέτες Web (Web servers) είναι πολύπλοκα προγράµµατα που παρέχουν τη δυνατότητα να προσπελαστούν σελίδες HTML από τα προγράµµατα πλοήγησης (web browsers). έχονται αιτήσεις από υπολογιστές συνδεδεµένους στο ιαδίκτυο και παραδίδουν σε αυτούς τις ζητούµενες πληροφορίες. Επειδή οι εξυπηρέτες Web είναι και αυτοί λογισµικό, υπάρχουν σίγουρα αδυναµίες και κενά ασφάλειας που µπορεί κάποιος να τα εκµεταλλευτεί. Επιθέσεις σε εξυπηρέτες Web είναι πολύ συνηθισµένες, και κυρίως η αλλαγή της αρχικής σελίδας ενός δικτυακού τόπου. Η εγκατάσταση ενός εξυπηρέτη Web είναι πολύ εύκολη υπόθεση και έτσι ο καθένας µπορεί να έχει το δικό του τόπο στο ιαδίκτυο στον οποίο θα έχει πρόσβαση οποιοσδήποτε παγκοσµίως. Αυτό όµως αυξάνει την πιθανότητα ο χρήστης να δεχτεί επίθεση στον server για διάφορους λόγους. Το πρόβληµα είναι µεγαλύτερο όταν αφορά εταιρίες και κυρίως µεγάλες και πολυεθνικές ή κυβερνητικούς οργανισµούς. Υπάρχουν κάποια βήµατα για τη θωράκιση του υπολογιστή και ειδικότερα του εξυπηρέτη Web για την βελτίωση της ασφάλειας που περιγράφονται παρακάτω. Γιατί τα Web sites είναι ευπαθή σε επιθέσεις Ατέλειες του λογισµικού στο σύστηµα Ένα ασφαλές πρόγραµµα κάνει αυτό που είναι σχεδιασµένο να κάνει και τίποτε άλλο. υστυχώς όµως αυτός ο ορισµός ισχύει µόνο για ελάχιστα προγράµµατα. Αν και ένας βασικός Web server µπορεί να είναι αρκετά µικρός σε κώδικα («ακούει» για εισερχόµενες αιτήσεις, ανακτά τα κατάλληλα αρχεία από το δίσκο και τα αποστέλλει), οι σύγχρονοι εξυπηρέτες περιλαµβάνουν πολλές επιλογές ρυθµίσεων και είναι επεκτάσιµοι µέσω API interfaces και CGI scripts. Έτσι αυξάνεται η πιθανότητα να υπάρχουν ατέλειες (bugs). Το λογισµικό συστήµατος είναι ρυθµισµένο λαθεµένα Ακόµα και αν ο Web server δεν έχει τρύπες ασφάλειας, ένα site δεν είναι ασφαλές αν οι άλλοι εξυπηρέτες που µπορεί να τρέχουν στο σύστηµα και το λειτουργικό του συστήµατος δεν είναι σωστά ρυθµισµένα. Το υλικό (hardware) του εξυπηρέτη δεν είναι ασφαλές Το µηχάνηµα όπου είναι εγκατεστηµένος ο server πρέπει να βρίσκεται σε προστατευµένο χώρο και να µην έχει πρόσβαση σε αυτό ο οποιοσδήποτε. Η εισαγωγή κωδικού πρόσβασης δεν προστατεύει καθώς το σύστηµα µπορεί να εκκινήσει από φορητό µέσω αποθήκευσης (δισκέτα ή CD-ROM). Τα δίκτυα δεν είναι ασφαλή Εφόσον στα περισσότερα τοπικά δίκτυα οι µεταδόσεις δεν είναι κρυπτογραφηµένες, µπορεί να γίνει υποκλοπή κωδικών πρόσβασης και αρχείων Web ( µε πρόγραµµα sniffer). 30

31 Τρύπες ασφάλειας σε εργαλεία αποµακρυσµένης διαχείρισης Οι δικτυακοί τόποι ενηµερώνονται τακτικά και για µεγαλύτερη ευκολία υπάρχουν προγράµµατα µε τα οποία γίνεται ενηµέρωση αποµακρυσµένα. Οι εσωτερικές απειλές αγνοούνται Επιθέσεις Denial of Service αγνοούνται εν υπάρχει πολιτική ασφάλειας Πολιτική ασφάλειας υπάρχει όταν υπάρχει µια λίστα µε το τι επιτρέπεται και τι όχι. Αν δεν υπάρχει πολιτική ασφάλειας κανείς δε µπορεί να γνωρίζει αν ο δικτυακός τόπος είναι ασφαλής. Ενέργειες για βελτίωση ασφάλειας ενός δικτυακού τόπου Ασφάλιση του λειτουργικού συστήµατος και του Web Server Το λειτουργικό σύστηµα πάνω στο οποίο θα τρέχει ο Web server πρέπει να είναι όσο περισσότερο ασφαλές γίνεται, οπότε πρέπει να εγκατασταθούν τα τελευταία security patches, να απενεργοποιηθούν υπηρεσίες που δεν χρειάζονται και να γίνουν ρυθµίσεις που θα περιορίζουν αυτά που επιτρέπονται. Οι ρυθµίσεις για τον Web εξυπηρέτη παρουσιάζονται στη συνέχεια ενώ η θωράκιση των λειτουργικών συστηµάτων παρουσιάστηκε ήδη. Παρακολούθηση του εξυπηρέτη για ύποπτη δραστηριότητα Κάποιες επιθέσεις γίνονται εύκολα αντιληπτές ενώ κάποιες άλλες (οι περισσότερες) όχι. Ο εξυπηρέτης Web αλλά και το ίδιο το λειτουργικό διατηρούν αρχεία καταγραφής συµβάντων τα οποία ο διαχειριστής πρέπει να παρακολουθεί. Έλεγχος πρόσβασης σε εµπιστευτικά έγγραφα Κάποιοι δικτυακοί τόποι έχουν ιδιωτικές περιοχές που µπορούν να τις επισκεφτούν µόνο καταχωρηµένοι χρήστες. Οι εξυπηρέτες Web διαθέτουν µηχανισµούς για την πιστοποίηση και εξουσιοδότηση αποµακρυσµένων χρηστών. Ασφαλή CGI scripts Τα CGI scripts εκτελούνται στον εξυπηρέτη Web και δεν πρέπει να εγκαθίστανται scripts που δεν είναι προσεκτικά γραµµένα γιατί ο δικτυακός τόπος θα είναι ανοιχτός σε επίθεση. 31

32 Ρύθµιση της δυνατότητας αποµακρυσµένης διαχείρισης Ένας δικτυακός τόπος µπορεί να ενηµερωθεί αποµακρυσµένα αλλά χρειάζεται προσοχή ώστε να µην µπορεί να το κάνει αυτό κάποιος µη εξουσιοδοτηµένος. Προστασία του τοπικού δικτύου Πρέπει να εξασφαλιστεί ότι ο εξυπηρέτης Web, σε περίπτωση που θα καταληφθεί από επίθεση, δε θα χρησιµοποιηθεί για εξαπόλυση επίθεσης σε υπολογιστές του τοπικού δικτύου. Η χρήση φραγµάτων ασφάλειας είναι απαραίτητη. Ενηµέρωση των υπεύθυνων για θέµατα ασφάλειας Καθηµερινά ανακαλύπτονται νέα κενά ασφάλειας και ένας ασφαλής εξυπηρέτης Web σήµερα δε σηµαίνει ότι θα είναι και στο µέλλον ασφαλής. Πρέπει να γίνεται εγκατάσταση των διορθώσεων (patches) καθώς και εγκατάσταση των νέων εκδόσεων των προγραµµάτων. Πριν γίνει η εγκατάσταση του εξυπηρέτη Web σε ένα µηχάνηµα πρέπει πρώτα να γίνουν κάποιες ενέργειες για την καλύτερη θωράκιση του λειτουργικού συστήµατος. εν αρκεί να είναι µόνο ο εξυπηρέτης ασφαλής, γιατί κάποιος µπορεί να εκµεταλλευτεί κενά ασφάλειας του λειτουργικού µε δυσµενές αποτέλεσµα στη λειτουργία του προγράµµατος του εξυπηρέτη. Τα πιο διαδεδοµένα λειτουργικά συστήµατα, Windows και Unix-like χρησιµοποιούνται για να φιλοξενήσουν εξυπηρέτες Web (συστήµατα τύπου Unix χρησιµοποιούνται περισσότερο). Η θωράκιση για τα λειτουργικά συστήµατα Windows και Linux αναλύεται στα αντίστοιχα κεφάλαια. Αφού γίνει η εγκατάσταση του λειτουργικού συστήµατος, η θωράκισή του και η δηµιουργία των λογαριασµών χρηστών, το επόµενο βήµα είναι η εγκατάσταση του εξυπηρέτη Web (αν δεν έχει εγκατασταθεί µαζί µε το λειτουργικό). Μεγάλη σηµασία έχει ο περιορισµός της πρόσβασης στον server και στα αρχεία που τον υποστηρίζουν. Όσο λιγότεροι οι λογαριασµοί µε πρόσβαση στα αρχεία ρυθµίσεων του server, τόσο µεγαλύτερη είναι η προστασία από µη εξουσιοδοτηµένη τροποποίηση. Γενικά στους εξυπηρέτες Web υπάρχουν διάφοροι τύποι καταλόγων που ο καθένας έχει τα δικά του χαρακτηριστικά ιδιωτικότητας και ασφάλειας. o Κατάλογος ρυθµίσεων o Κατάλογος εργαλείων Webmaster o Κατάλογος αρχείων καταγραφής 32

33 o Κατάλογος CGI scripts o Κατάλογος εγγράφων γνωστός ως document root Ρύθµιση του εξυπηρέτη Web Για να εκτελείται ο εξυπηρέτης Web µε τη µέγιστη δυνατή ασφάλεια πρέπει να γίνουν κάποια βήµατα όπως: Απενεργοποίηση χαρακτηριστικών του εξυπηρέτη που δεν χρειάζονται Πολλά χαρακτηριστικά µπορεί να είναι εντυπωσιακά αλλά έχουν παρουσιάσει κενά ασφάλειας γι αυτό η καλύτερη τακτική είναι η απενεργοποίησή τους εκτός κι αν κάποιο είναι απόλυτα απαραίτητο. Αυτόµατη λίστα των καταλόγων (Automatic Directory Listings) Κατά τη διάρκεια δηµιουργίας ή συντήρησης ενός δικτυακού τόπου µπορεί να συσσωρευτούν στο document root scripts, αρχεία ελέγχων, απαρχαιωµένες σελίδες κ.α. Αν είναι ενεργοποιηµένη η αυτόµατη λίστα καταλόγων είναι δυνατόν ένας χρήστης να έχει πρόσβαση σε αυτά και να αποκτήσει περισσότερες γνώσεις για το σύστηµα, κάτι που δε θέλει ο διαχειριστής. Χρήση συµβολικών συνδέσµων (Symbolic Link Following) Ένα άλλο χαρακτηριστικό που πρέπει να απενεργοποιηθεί είναι η δυνατότητα χρήσης συµβολικών συνδέσµων για την επέκταση των καταλόγων εγγράφων σε άλλα µέρη του συστήµατος αρχείων. Όταν ένας δικτυακός τόπος βρίσκεται υπό τον έλεγχο µιας οµάδας ανθρώπων µπορεί να δηµιουργηθεί κατά λάθος ένας σύνδεσµος προς εµπιστευτική τοποθεσία η οποία θα γίνει διαθέσιµη στον έξω κόσµο. CGI scripts Τα CGI scripts πρέπει να περιορίζονται σε έναν µικρό αριθµό προοριζόµενων για αυτά καταλόγων. Τα CGI scripts δεν πρέπει να είναι διασκορπισµένα µαζί µε άλλα αρχεία στους καταλόγους εγγράφων γιατί υπάρχει η πιθανότητα κάποιος να υποκλέψει τον πηγαίο κώδικα ενός script. Με τον περιορισµό των scripts στον κατάλογο CGI, ο server δε θα τα µεταχειριστεί ως αρχεία κειµένου και δεν θα επιστραφεί ο πηγαίος κώδικας. Επίσης τα scripts πρέπει να εκτελούνται µε λογαριασµό χρήστη µε περιορισµένη πρόσβαση για να µην προκληθεί µεγάλη ζηµιά από ελαττωµατικό script. Server-Side Includes Οι εντολές ενσωµάτωσης SSI (Server-Side Includes) ενσωµατώνονται σε ένα έγγραφο HTML και ο εξυπηρέτης τις επεξεργάζεται πριν αποστείλει το έγγραφο στον πελάτη. Υπάρχουν εντολές που δεν επηρεάζουν την ασφάλεια όπως η εµφάνιση της 33

34 ηµεροµηνίας αλλά ο τύπος exec επιτρέπει την εκτέλεση αυθαίρετων εντολών συστήµατος και την ενσωµάτωση των αποτελεσµάτων τους στη σελίδα. Ο τύπος exec πρέπει να απενεργοποιείται. User-Supported Directories Σε αυτούς τους καταλόγους απλοί χρήστες µπορούν να προσθέτουν αρχεία για τη δηµιουργία της προσωπικής τους ιστοσελίδας. Ένας πραγµατικά ασφαλής εξυπηρέτης Web δεν θα πρέπει να έχει τέτοιους περιστασιακούς χρήστες αλλά αν αυτό είναι απαραίτητο πρέπει να ελέγχονται τα αρχεία που τοποθετούν οι χρήστες, να µην επιτρέπεται η εισαγωγή CGI scripts από τους χρήστες και να απενεργοποιηθεί η χρήση συµβολικών συνδέσµων. Έναρξη και τερµατισµός του εξυπηρέτη χωρίς να απαιτούνται δικαιώµατα υπερχρήστη Ο εξυπηρέτης Web πρέπει να ξεκινήσει από τον υπερχρήστη root (UNIX). Για να σταµατήσει ή να κάνει επανεκκίνηση ο εξυπηρέτης, απαιτούνται προνόµια root και η επανεκκίνηση συµβαίνει όταν αλλάζουν κάποιες ρυθµίσεις (αρκετά συχνά). Η ανάγκη λογαριασµού root για τη διαχείριση του εξυπηρέτη µπορεί να εξαλειφθεί µε την εκτέλεση ενός Perl script από τους Webmasters και έτσι 1. να µην γίνεται συχνά εισαγωγή του κωδικού του root 2. να µην χρειάζεται οι Webmasters να γνωρίζουν τον κωδικό του root Ο εξυπηρέτης σε περιβάλλον chroot (UNIX) Αν ο εξυπηρέτης εκτελείται σε περιβάλλον chroot, ο start-up κατάλογος του εξυπηρέτη γίνεται κατάλογος root και ο εξυπηρέτης δεν έχει πρόσβαση σε αρχεία ή καταλόγους έξω από τον κατάλογο root. Όλα τα αρχεία του εξυπηρέτη όπως CGI scripts ή plug-ins πρέπει να αντιγραφούν στον κατάλογο root του εξυπηρέτη. Περιορισµός επιθέσεων Denial-of-Service Κάποιες συνηθισµένες επιθέσεις DoS µπορούν να αντιµετωπιστούν µε την εγκατάσταση διορθωτικών πακέτων (patches) του λειτουργικού συστήµατος ή µε την κατάλληλη ρύθµιση ενός φράγµατος ασφάλειας. Επιθέσεις DoS που έχουν στόχο τον εξυπηρέτη Web δεν µπορούν να αντιµετωπιστούν εντελώς αλλά µπορεί να περιοριστεί η επίδρασή τους. Μια λύση είναι ο περιορισµός των πόρων του συστήµατος που χρησιµοποιεί ο εξυπηρέτης (µέγεθος µνήµης, αριθµός αρχείων που µπορούν να ανοιχτούν ταυτόχρονα, πόροι επεξεργαστή κ.α.). Αυτό µπορεί να γίνει είτε από το λειτουργικό σύστηµα είτε από τον εξυπηρέτη Web. Για παράδειγµα στον Apache οι ρυθµίσεις αυτές βρίσκονται στο αρχείο httpd.conf. Άλλες ρυθµίσεις είναι ο µέγιστος αριθµός ταυτόχρονων αιτήσεων, ο χρόνος που επιτρέπει ο εξυπηρέτης στον browser να διατηρήσει τη σύνδεση και ο µέγιστος επιτρεπόµενος αριθµός αιτηµάτων του browser για τη διατήρηση της σύνδεσης. 34

35 Κάποιες ρυθµίσεις για τον Apache HTTP Server Προστασία των ρυθµίσεων Για να µην έχουν πρόσβαση οι χρήστες στα αρχεία.htaccess που αναφέρονται σε κάθε κατάλογο, στο αρχείο ρύθµισης του εξυπηρέτη µπορεί να γίνει αυτή η ρύθµιση: <Directory /> AllowOverride None </Directory> Έτσι τα αρχεία.htaccess σε όλους τους καταλόγους δεν µπορούν να χρησιµοποιηθούν, εκτός κι αν κάποια έχουν ενεργοποιηθεί ρητά. Προστασία των αρχείων του εξυπηρέτη Με το χαρακτηριστικό της προεπιλεγµένης πρόσβασης του Apache, αν ο εξυπηρέτης βρει ένα αρχείο µέσω έγκυρων κανόνων URL mapping θα το προωθήσει στους πελάτες. Για να απαγορευτεί η προεπιλεγµένη (default) πρόσβαση σε τοποθεσίες του συστήµατος αρχείων µπορεί να προστεθεί το επόµενο block στο αρχείο ρύθµισης: <Directory /> Order Deny, Allow Deny from all </Directory> Για να επιτραπεί η πρόσβαση σε συγκεκριµένες επιθυµητές περιοχές πρέπει να προστεθούν τα κατάλληλα <Directory> blocks όπως για παράδειγµα: <Directory /usr/users/*/public_html> Order Deny, Allow Allow from all </Directory> <Directory /usr/local/httpd> Order Deny, Allow Allow from all </Directory> Παρακολούθηση των αρχείων καταγραφής (Log files) Τα αρχεία καταγραφής που δηµιουργούνται από έναν εξυπηρέτη Web είναι πολύ χρήσιµα για τον εντοπισµό προβληµάτων. ηµιουργούνται τουλάχιστον δύο αρχεία, το access log και το error log. Στο πρώτο καταγράφονται όλες οι αιτήσεις στον εξυπηρέτη και στο δεύτερο προβλήµατα που δηµιουργούνται όπως λάθη από CGI scripts, αιτήσεις για έγγραφα που δεν υπάρχουν κ.α. Στο access log καταγράφονται πληροφορίες όπως: 35

36 ιεύθυνση IP του πελάτη Το όνοµα χρήστη (username) για σελίδες που προστατεύονται µε κωδικό Ηµεροµηνία / ώρα Το URL που ζήτησε ο πελάτης Ο κωδικός κατάστασης της απόκρισης του εξυπηρέτη Ο αριθµός των bytes που µεταφέρθηκαν Στο error log µπορεί να εµφανιστούν µηνύµατα λάθους όπως: Το αρχείο δεν υπάρχει Οι άδεια πρόσβασης του αρχείου δεν επιτρέπει την πρόσβαση από τον server Εισαγωγή λάθους κωδικού Ο πελάτης δεν έγινε δεκτός εξαιτίας των ρυθµίσεων του server Το CGI παράγει έξοδο που δεν αναγνωρίζει ο server Έλεγχος πρόσβασης (Access control) Μερικές φορές είναι επιθυµητό να υπάρχουν περιοχές σε έναν δικτυακό τόπο όπου να έχει πρόσβαση περιορισµένος αριθµός χρηστών και όχι ο οποιοσδήποτε. Ο έλεγχος πρόσβασης µπορεί να γίνει µε διάφορους τρόπους: 1. Έλεγχος πρόσβασης που βασίζεται στη διεύθυνση IP Ο εξυπηρέτης εξετάζει την εισερχόµενη σύνδεση και παρέχει ή απαγορεύει την πρόσβαση µε βάση τη διεύθυνση IP του browser. Αυτή η δυνατότητα είναι ανεξάρτητη από την έκδοση του browser. Το µειονέκτηµα είναι ότι ο περιορισµός παραβιάζεται µε την τεχνική IP spoofing µε την οποία παραποιείται η διεύθυνση IP σε µία επιτρεπόµενη και ότι κάποιος χρήστης µπορεί να χρησιµοποιεί διαφορετικούς υπολογιστές. 2. Έλεγχος πρόσβασης που βασίζεται στο domain name Ο εξυπηρέτης χρησιµοποιεί το host domain name του browser για να αποφασίσει αν θα επιτρέψει τη σύνδεση. Εδώ υπάρχει το πρόβληµα του DNS spoofing, που όµως µπορεί σε κάποιες περιπτώσεις να αντιµετωπιστεί µε διπλό έλεγχο DNS από τον εξυπηρέτη ή µε ένα φράγµα ασφάλειας. 3. Έλεγχος πρόσβασης που βασίζεται σε όνοµα χρήστη και κωδικό Κάθε χρήστης έχει ένα user ID και έναν κωδικό πρόσβασης. Για να αποκτήσει πρόσβαση πρέπει να πιστοποιήσει τον εαυτό του εισάγοντας τον σωστό κωδικό. Αυτός ο τύπος ελέγχου πρόσβασης είναι πολύ διαδεδοµένος και υποστηρίζεται από όλους τους browsers και τους εξυπηρέτες. Πρόβληµα µπορεί να υπάρξει αν διαρρεύσει κάποιος κωδικός και προτείνεται η µετάδοση του κωδικού σε κρυπτογραφηµένη µορφή. Άλλοι τύποι ελέγχου πρόσβασης είναι µε χρήση πιστοποιητικών και µε ασφαλή πρωτόκολλα δικτύου (π.χ. Kerberos). 36

37 Ασφαλή CGI scripts Τα CGI scripts είναι µικρά εκτελέσιµα προγράµµατα που είναι ανεξάρτητα από τον κώδικα του εξυπηρέτη Web. Όταν ένας χρήστης ζητάει ένα URL που δείχνει σε ένα CGI script, ο εξυπηρέτης το εκτελεί και η έξοδος εµφανίζεται στην HTML σελίδα. Τα CGI scripts έχουν πρόσβαση στο σύστηµα αρχείων, στο δίκτυο και στις συσκευές όπως κάθε εκτελέσιµο πρόγραµµα. Έτσι µπορούν να εκτελέσουν πολλές λειτουργίες όπως άνοιγµα συνδέσεων βάσεων δεδοµένων, εγγραφή παραγγελιών στο δίσκο, αποστολή κ.α. Ένα CGI script εκτελείται µε τα προνόµια του λογαριασµού χρήστη στον οποίο εκτελείται και ο εξυπηρέτης. Προβληµατικά CGI scripts µπορεί να προκαλέσουν: ιαρροή πληροφοριών που θα βοηθήσουν έναν εισβολέα να αποκτήσει πρόσβαση σε εµπιστευτικά έγγραφα. Μη εξουσιοδοτηµένες αλλαγές σε αρχεία του υπολογιστή που φιλοξενεί το δικτυακό τόπο. Εκτέλεση εντολών στον υπολογιστή που φιλοξενεί τον εξυπηρέτη. Αυτά τα προβλήµατα µπορούν να αντιµετωπιστούν µε τον προσεκτικό σχεδιασµό των δικαιωµάτων χρήσης. Οι περιορισµοί που ισχύουν στον εξυπηρέτη Web πρέπει να ισχύουν και στα CGI scripts. Αυτό είναι ένα πρώτο βήµα αλλά δεν αρκεί για προστασία από scripts µε σφάλµατα που παρουσιάζουν κενά ασφάλειας. Συνηθισµένες καταστάσεις αποτυχίας: Λαθεµένη εφαρµογή διερµηνέων (interpreters) ως CGI scripts Ελαττωµατική διαχείριση µνήµης Πέρασµα µη ελεγµένης εισόδου σε διερµηνευτές εντολών Άνοιγµα αρχείων που βασίζεται σε µη ελεγµένη είσοδο του χρήστη Εγγραφή στο δίσκο µη ελεγµένης εισόδου του χρήστη Μέτρα προστασίας Για την αποφυγή προβληµάτων υπερχείλισης της µνήµης (memory overflow) τα scripts πρέπει να δεσµεύουν τη µνήµη δυναµικά και πρέπει να γίνεται έλεγχος στο µήκος των δοµών των scripts. Επίσης τα δεδοµένα που εισάγουν οι χρήστες πρέπει να ελέγχονται πριν περάσουν στο κέλυφος εντολών (command shell) ή σε ένα πρόγραµµα. Πρέπει να ελέγχονται και τα ονόµατα αρχείων που ζητούν οι χρήστες πριν ανοιχτούν, για να αποµακρύνονται πληροφορίες διαδροµής (path) και παράξενοι µη επιτρεπτοί χαρακτήρες. Τα CGI scripts καταγράφουν τη δραστηριότητα τους και πρέπει να καταγράφονται τα πάντα και να ελέγχονται. Προσοχή πρέπει να δοθεί και στα προσωρινά αρχεία που διαχειρίζονται τα scripts γιατί κάποιος χρήστης µπορεί να αποκτήσει πρόσβαση σε αυτά. Αν είναι απαραίτητο να επιτρέπεται στους χρήστες να εγκαθιστούν CGI scripts στην προσωπική τους ιστοσελίδα πρέπει να χρησιµοποιηθεί CGI wrapper έτσι ώστε κάθε script να εκτελείται µε ξεχωριστά δικαιώµατα. 37

38 ΑΣΦΑΛΕΙΑ ΒΑΣΕΩΝ Ε ΟΜΕΝΩΝ Οι βάσεις δεδοµένων περιέχουν µεγάλη ποσότητα πληροφοριών και σε αρκετές περιπτώσεις αυτές οι πληροφορίες είναι πολύ σηµαντικές και εµπιστευτικές. Αν η βάση δεδοµένων είναι προσβάσιµη µέσω του ιαδικτύου υπάρχει κίνδυνος πολύτιµες πληροφορίες να υποκλαπούν. Περιπτώσεις όπως το Slammer worm και υποκλοπές εκατοµµυρίων αριθµών πιστωτικών καρτών γίνονται συχνά γνωστές από τα µέσα µαζικής ενηµέρωσης. Το ζήτηµα της ασφάλειας των βάσεων δεδοµένων µπορεί να χωριστεί στα επόµενα σηµεία-κλειδιά. Ασφάλεια του εξυπηρέτη (Server security) Συνδέσεις βάσης δεδοµένων (Database connections) Έλεγχος πρόσβασης µε πίνακες (Table access control) Περιορισµός πρόσβασης στη βάση (Restricting database access) Ασφάλεια του εξυπηρέτη Το πιο σηµαντικό σηµείο της ασφάλειας που πρέπει να σχεδιαστεί προσεκτικά είναι ο περιορισµός της πρόσβασης στον server της βάσης δεδοµένων. Η βασική ιδέα είναι ότι δεν µπορείς να έχεις πρόσβαση σε ό,τι δε µπορεί να δεις. Ο database server δε θα πρέπει να είναι ορατός στον έξω κόσµο. εν είναι web server και δε θα πρέπει να υπάρχει κάτι σαν ανώνυµη σύνδεση (anonymous connection). Στην περίπτωση που ο database server παρέχει πληροφορίες σε δυναµικές ιστοσελίδες, θα πρέπει σίγουρα ο web server και ο database server να βρίσκονται σε διαφορετικά µηχανήµατα όχι µόνο για λόγους ασφάλειας αλλά και απόδοσης. Σε αυτήν την περίπτωση ο database server θα πρέπει να ρυθµιστεί ώστε να δέχεται συνδέσεις µόνο από τον συγκεκριµένο web server. Στην επόµενη εικόνα φαίνεται ο περιορισµός πρόσβασης στον database server ο οποίος απαντά µόνο σε αιτήσεις από τη γνωστή διεύθυνση IP του web server. Οι υπολογιστές δεν έχουν απευθείας πρόσβαση στον database server γι αυτό το αντίστοιχο link στην εικόνα είναι κόκκινο. 38

39 Έµπιστες διευθύνσεις IP Κάθε server πρέπει να ρυθµιστεί για να επιτρέπει µόνο έµπιστες διευθύνσεις IP. Ο διαχειριστής πρέπει να γνωρίζει ακριβώς ποιοι επιτρέπεται να επικοινωνούν µε τον server της βάσης δεδοµένων. Αν ο server της βάσης είναι back end για έναν web server τότε µόνο αυτός θα επιτρέπεται να έχει πρόσβαση στον server της βάσης. Επίσης αν ο database server παρέχει πληροφορίες σε µια εφαρµογή ιδιωτικής χρήσης που εκτελείται σε ένα εσωτερικό δίκτυο, πρέπει να απαντά µόνο σε διευθύνσεις που ανήκουν στο εσωτερικό δίκτυο. Συνδέσεις βάσης δεδοµένων Σε κάποιες δυναµικές εφαρµογές ίσως φαίνεται ενδιαφέρον να επιτρέπεται η άµεση µη πιστοποιηµένη ενηµέρωση της βάσης δεδοµένων. Αν ο διαχειριστής πρόκειται να επιτρέψει να γίνονται ενηµερώσεις µιας βάσης δεδοµένων από τους χρήστες µέσω ιστοσελίδας, πρέπει να µπορεί να επιβεβαιώσει ότι όλες οι ενηµερώσεις είναι εγγυηµένες και ασφαλείς. Για παράδειγµα ο διαχειριστής πρέπει να βεβαιωθεί ότι αφαιρεί πιθανό κώδικα SQL από είσοδο (input) τροφοδοτούµενη από χρήστη. Αν ο χρήστης δεν πρέπει να εισάγει κάποιο είδος δεδοµένων, δε θα πρέπει να επιτρέπεται η υποβολή των δεδοµένων. Για χρήση συνδέσεων ODBC πρέπει να εξασφαλιστεί ότι κάθε σύνδεση χρησιµοποιεί τον µοναδικό της χρήστη για πρόσβαση στα διαµοιραζόµενα δεδοµένα. Για παράδειγµα δε θα πρέπει να χρησιµοποιείται ο λογαριασµός χρήστη (user account) sa για κάθε σύνδεση και data source στον server. Έλεγχος πρόσβασης µε πίνακες (Table Access Control) Ένα µέσο ασφάλειας βάσης δεδοµένων που αγνοείται εξαιτίας της έµφυτης δυσκολίας εφαρµογής του είναι ο έλεγχος πρόσβασης µε πίνακες. Για να εφαρµοστεί σωστά η λειτουργία αυτή ελέγχου πρόσβασης πρέπει να συνεργαστούν δύο άνθρωποι: ο διαχειριστής του συστήµατος και ο δηµιουργός της βάσης δεδοµένων (developer). Αυτό δεν είναι πάντα εύκολο. Περιορισµός πρόσβασης (Restricting database access) Βάσεις δεδοµένων που βασίζονται στο ιαδίκτυο έχουν γίνει πολλές φορές στόχος επιθέσεων. Οι περισσότεροι επιτιθέµενοι πριν την επίθεση πραγµατοποιούν σάρωση θυρών (port scan) για τον εντοπισµό ανοιχτών προκαθορισµένων (default) θυρών που χρησιµοποιούν γνωστά συστήµατα βάσεων δεδοµένων. Ο διαχειριστής µπορεί να αλλάξει τις προκαθορισµένες θύρες στις οποίες «ακούει» µια υπηρεσία (σε αυτήν την περίπτωση ο database server) και µε αυτόν τον τρόπο να αποπροσανατολίσει τον επιτιθέµενο. Το πρώτο πράγµα που θα κάνει ο επιτιθέµενος είναι να διαπιστώσει αν ένα µηχάνηµα βρίσκεται σε κάποια διεύθυνση κάνοντας ping από γραµµή εντολών. Για παράδειγµα: C:\ ping ή ~$: ping Το αποτέλεσµα θα είναι σαν αυτό: Pinging with 32 bytes of data: 39

40 Reply from : bytes=32 time<10ms TTL=128 Reply from : bytes=32 time<10ms TTL=128 Reply from : bytes=32 time<10ms TTL=128 Reply from : bytes=32 time<10ms TTL=128 Ping statistics for : Packets: Sent = 4, Received = 4, Lost = 0 (0% Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms Με την απενεργοποίηση των πακέτων ICMP οι αιτήσεις Ping δεν απαντώνται. Υπάρχουν πολλοί τρόποι για να εµποδιστεί η ελεύθερη πρόσβαση από το ιαδίκτυο και κάθε σύστηµα βάσης δεδοµένων έχει τα δικά του χαρακτηριστικά όπως κάθε λειτουργικό σύστηµα. Κάποιες µέθοδοι είναι: Έµπιστες διευθύνσεις IP Οι Unix servers είναι ρυθµισµένοι να απαντούν µόνο σε pings που προέρχονται από τη λίστα των έµπιστων hosts. Στο Unix αυτό γίνεται µε ρύθµιση του αρχείου rhosts το οποίο περιορίζει την πρόσβαση σε server για συγκεκριµένους χρήστες. Απενεργοποίηση λογαριασµού στον server Οι επιτιθέµενοι αποθαρρύνονται αν η αναγνώριση του χρήστη αναστέλλεται µετά από τρεις αποτυχηµένες εισόδους του κωδικού πρόσβασης. Αν δεν συµβαίνει αυτό, µε χρήση προγραµµάτων που δηµιουργούν εκατοµµύρια κωδικούς µπορεί κάποιος να µαντέψει το σωστό κωδικό πρόσβασης. Ειδικά εργαλεία Εργαλεία όπως το Real secure εµφανίζουν προειδοποιήσεις όταν ένας εξωτερικός server προσπαθεί να παραβιάσει την ασφάλεια ενός συστήµατος. Η Oracle για παράδειγµα διαθέτει πλήθος µεθόδων πιστοποίησης όπως: Kerberos security ticket-based σύστηµα πιστοποίησης χρηστών Virtual private databases περιορισµός πρόσβασης σε επιλεγµένες σειρές ενός πίνακα Role-based security τα προνόµια αντικειµένων οµαδοποιούνται σε ρόλους και οι ρόλοι ανατίθενται σε χρήστες Grant-execute security Ο χρήστης εκτελεί διαδικασίες οι οποίες αποκτούν πρόσβαση στη βάση δεδοµένων Authentication servers αναγνώριση εξωτερικών χρηστών Port access security Ο Web Listener της Oracle µπορεί να ρυθµιστεί για να περιορίσει την πρόσβαση 40

41 ΑΣΦΑΛΕΙΑ ΗΛΕΚΤΡΟΝΙΚΟΥ ΤΑΧΥ ΡΟΜΕΙΟΥ Το ηλεκτρονικό ταχυδροµείο είναι πολύ διαδεδοµένο στις µέρες µας και είναι ο συνηθέστερος τρόπος επικοινωνίας µέσω του ιαδικτύου. Με µηνύµατα ηλεκτρονικού ταχυδροµείου διακινούνται σε κάποιες περιπτώσεις εµπιστευτικές πληροφορίες και η ανάγκη για ασφάλεια είναι µεγάλη. Επίσης µέσω διαδίδονται πολλά επιβλαβή προγράµµατα όπως ιοί, δούρειοι ίπποι κ.α. ΖΗΤΗΜΑΤΑ ΑΣΦΑΛΕΙΑΣ Στην υπηρεσία του ηλεκτρονικού ταχυδροµείου χρησιµοποιούνται υπολογιστές µε δύο δυνατούς ρόλους: mail server και client. Το πρωτόκολλο SMTP (Simple Mail Transfer Protocol) έχει την αρµοδιότητα της µεταφοράς των µηνυµάτων από τον πελάτη στον εξυπηρέτη και της προώθησης τους µεταξύ των εξυπηρετών. Ο πελάτης «κατεβάζει» τα µηνύµατα από τον mail server στον υπολογιστή του µε το πρωτόκολλο POP ή IMAP. Επίσης υπάρχουν και web-based εξυπηρέτες ηλεκτρονικού ταχυδροµείου όπου ο χρήστης βλέπει τα µηνύµατα που είναι αποθηκευµένα στον εξυπηρέτη. Υποκλοπή Ένα σηµαντικό θέµα που αφορά όλους τους χρήστες ηλεκτρονικού ταχυδροµείου είναι η ιδιωτικότητα των µηνυµάτων. Τα πακέτα SMTP µπορεί να διέρχονται από διάφορα δίκτυα µέχρι να φτάσουν στον προορισµό τους και τα περιεχόµενα µπορούν να αναγνωριστούν µε προγράµµατα sniffer. Εκτός από την υποκλοπή των περιεχοµένων του µηνύµατος, είναι δυνατή και η υποκλοπή του κωδικού µε τον οποίο ο χρήστης έχει πρόσβαση στα µηνύµατά του. Έτσι κάποιος µπορεί να στείλει µηνύµατα από λογαριασµό άλλου χρήστη. Spamming Με τον όρο spamming αναφέρεται η τακτική της µαζικής αποστολής διαφηµιστικών µηνυµάτων σε διάφορες διευθύνσεις χρηστών χωρίς τη συγκατάθεσή τους. Οι διευθύνσεις συλλέγονται από ειδικούς agents (spambots) που σαρώνουν δικτυακούς τόπους. Αν και άµεσα δεν απειλείται η ασφάλεια, προκαλείται εκνευρισµός στον χρήστη. Εκτός από αυτό, σε ορισµένες περιπτώσεις η ασφάλεια µπορεί να επηρεαστεί έµµεσα. Για παράδειγµα έστω ότι στον λογαριασµό του διαχειριστή καταφθάνουν τακτικά µηνύµατα που προέρχονται από προγράµµατα παρακολούθησης της ασφάλειας του συστήµατος. Αν ανάµεσα σε αυτά υπάρχουν και πολλά διαφηµιστικά, είναι πιθανόν ο διαχειριστής να µην προσέξει κάτι σηµαντικό. bombing Με την τεχνική bombing «βοµβαρδίζεται» ο λογαριασµός ενός χρήστη µε χιλιάδες άχρηστα µηνύµατα. Έτσι το µεγάλο µέγεθος των µηνυµάτων κάνει αδύνατο το κατέβασµά τους από τον server και σε κάποιες περιπτώσεις µπορεί να καταρρεύσει ολόκληρο το σύστηµα (DoS). Η επίθεση γίνεται απλά, µε ειδικά προγράµµατα που είναι διαθέσιµα στο ιαδίκτυο. Σε αυτά δίνονται οι διευθύνσεις των server, ο αριθµός 41

42 των µηνυµάτων που θα σταλθούν και το µέγεθος κάθε µηνύµατος. Για να µην εντοπιστεί µάλιστα ο υπαίτιος, παραποιεί τη διεύθυνση IP του (IP spoofing). Επικίνδυνα συνηµµένα (attachments) Μέσα σε ένα µπορεί να βρίσκονται εκτός από το κείµενο και επισυναπτόµενα αρχεία. Τα αρχεία αυτά µπορεί να είναι οποιουδήποτε τύπου. Μολυσµένα αρχεία που περιέχουν ιούς διαδίδονται µέσω του ηλεκτρονικού ταχυδροµείου. Ο ιός εντοπίζει διευθύνσεις γνωστών του θύµατος και έτσι διαδίδεται. Για να εκτελέσει ο χρήστης το αρχείο οι συγγραφείς του ιού προσπαθούν να του κεντρίσουν το ενδιαφέρον µε διάφορους τρόπους. ΜΕΤΡΑ ΑΣΦΑΛΕΙΑΣ Ο καλύτερος τρόπος άµυνας εναντίον προγραµµάτων sniffer είναι η κρυπτογράφηση των µηνυµάτων. Η κρυπτογράφηση δεν εµποδίζει την συλλογή των πληροφοριών αλλά την αποκωδικοποίησή τους (decode). Για να εµφανιστεί το µήνυµα σε µορφή που µπορεί να διαβαστεί πρέπει να αποκρυπτογραφηθεί, κάτι που µπορεί να είναι από σχετικά εύκολο µέχρι σχεδόν αδύνατο. Για την κρυπτογράφηση µπορούν να χρησιµοποιηθούν διάφορα εργαλεία, µε πιο γνωστό το PGP (ή το GPG για Linux). Η πιστοποίηση του αποστολέα ενός µηνύµατος γίνεται µε χρήση ψηφιακών υπογραφών. Σε κάποια µηνύµατα spam υπάρχει στο τέλος µια διεύθυνση όπου µπορεί να σταλθεί µήνυµα για τη διαγραφή του παραλήπτη από τη λίστα. Αυτό όµως δεν είναι εφικτό συνήθως και χρειάζεται και χρόνο από την πλευρά του χρήστη. Έτσι ο χρήστης µπορεί να χρησιµοποιήσει τη δυνατότητα φιλτραρίσµατος του προγράµµατος αλληλογραφίας που χρησιµοποιεί. Η διεύθυνση του αποστολέα προστίθεται στη λίστα των ανεπιθύµητων αποστολέων. Επίσης υπάρχουν και προγράµµατα που µπλοκάρουν µηνύµατα που είναι ύποπτα για διαφήµιση π.χ. λόγω κάποιων σχετικών λέξεων που χρησιµοποιούν (π.χ. Spamihilator). Η αντιµετώπιση του bombing αφορά κυρίως το µέρος των mail servers και όχι τον απλό χρήστη. Υπάρχουν εξειδικευµένα προγράµµατα που αντιµετωπίζουν τέτοιες επιθέσεις µε τον εντοπισµό µαζικών ταυτόχρονων αποστολών σε έναν χρήστη. Για τα µολυσµένα συνηµµένα, εκτός φυσικά από τη χρήση ενηµερωµένου προγράµµατος Antivirus, ο χρήστης θα πρέπει να είναι προσεκτικός στο τι ανοίγει. Ακόµα κι αν η διεύθυνση του αποστολέα είναι έµπιστη, αυτό δε σηµαίνει ότι το µήνυµα προέρχεται πράγµατι από αυτόν. Επιπλέον πρέπει να υπάρχει καχυποψία σε «ύποπτους» headers. 42

43 ΡΥΘΜΙΣΕΙΣ ΤΟΥ ΠΡΟΓΡΑΜΜΑΤΟΣ ΠΕΡΙΗΓΗΣΗΣ (Browser) ΓΙΑ ΒΕΛΤΙΩΣΗ ΑΣΦΑΛΕΙΑΣ Ο browser είναι το πρόγραµµα client που συνδέεται σε servers (web,ftp κ.α.) για την περιήγηση στο ιαδίκτυο. Με διάφορες ρυθµίσεις η περιήγηση µπορεί να γίνει πιο ασφαλής. Ο browser είναι πολύπλοκο λογισµικό που έχει και αυτό αδυναµίες ασφάλειας που ανακαλύπτονται. Επειδή η χρήση του είναι πολύ διαδεδοµένη, οι τρύπες ασφάλειας που ανακαλύπτονται χρησιµοποιούνται από cracker και malware. Το πρώτο βήµα για ασφαλή χρήση του browser είναι η ενηµέρωσή του στην τελευταία διαθέσιµη έκδοση. Στην τελευταία έκδοση έχουν διορθωθεί όλες οι τρύπες ασφάλειας που ήταν γνωστές ως εκείνη τη στιγµή. Εκτός από την αναβάθµιση του προγράµµατος ο χρήστης µπορεί να πειραµατιστεί µε τις ρυθµίσεις ώστε να περιορίσει λειτουργίες που µπορεί να είναι επικίνδυνες. Ρυθµίσεις Internet Explorer (Αγγλική έκδοση) Tools Internet Options Στην καρτέλα General µπορεί να γίνει η διαγραφή των cookies και των temporary internet αρχείων. Στην καρτέλα Security υπάρχουν διάφορα επίπεδα ασφάλειας (low, medium-low, medium, high). Ο χρήστης µπορεί να επιλέξει τις ρυθµίσεις αναλυτικά πατώντας το κουµπί custom level. Οι ρυθµίσεις αφορούν ActiveX, scripts, downloads κ.α. Αν ο χρήστης επιλέξει το επίπεδο high, σε µερικούς τόπους µπορεί να δηµιουργηθούν προβλήµατα στην εµφάνιση των στοιχείων. 43

44 Στην καρτέλα Privacy υπάρχουν ρυθµίσεις που αφορούν τα cookies. Υπάρχουν πολλά επίπεδα αποδοχής των cookies (Accept All, Low, Medium, Medium High, High, Block All) και το προεπιλεγµένο επίπεδο είναι το Medium. Σε αυτό το επίπεδο µπλοκάρονται τα third-party cookies και περιορίζονται τα cookies που χρησιµοποιούν προσωπικές πληροφορίες για την αναγνώριση του χρήστη χωρίς τη συγκατάθεσή του. Επίσης ο χρήστης µπορεί να ρυθµίσει την αποδοχή ή το µπλοκάρισµα των cookies για κάθε δικτυακό τόπο ξεχωριστά. 44

45 Στην καρτέλα Advance για µεγαλύτερη ασφάλεια µπορούν να ενεργοποιηθούν κάποιες επιλογές όπως : να γίνεται έλεγχος για υπογραφές των προγραµµάτων που κατεβάζει ο χρήστης, να µην αποθηκεύονται κρυπτογραφηµένες σελίδες στο δίσκο, κ.α. Επίσης µπορεί να απενεργοποιηθεί η χρήση των JAVA applets. Ρυθµίσεις Mozilla Firefox (Ελληνική έκδοση) Ο Firefox είναι browser µε µεγάλη διάδοση τον τελευταίο καιρό και σε γενικές γραµµές είναι πιο ασφαλής από τον IE. Η διάδοσή του όµως βοήθησε στην ανακάλυψη αδυναµιών ασφάλειας ακόµα και στην τελευταία έκδοση µέχρι σήµερα (1.0.3). Εργασίες Επιλογές Στην καρτέλα Απόρρητο ο χρήστης µπορεί να διαγράψει πληροφορίες που καταγράφονται από την κίνησή του στο ιαδίκτυο. Αυτές, µπορεί να είναι αποθηκευµένες σελίδες, αποθηκευµένες πληροφορίες φόρµας, αποθηκευµένοι κωδικοί και cookies. Επίσης µπορεί να απαγορεύσει την αποθήκευσή τους. 45

46 Στην καρτέλα Λειτουργίες ιστού µπορεί να ενεργοποιηθεί η φραγή αναδυόµενων παραθύρων (pop-up), να απενεργοποιηθεί η JAVA και η JavaScript σε ύποπτους δικτυακούς τόπους. Ειδικά για την JavaScript µπορούν και να απενεργοποιηθούν µόνο ορισµένες λειτουργίες script όπως µετακίνηση ή αλλαγή µεγέθους παραθύρων, ανύψωση ή χαµήλωµα παραθύρων κ.α. Τέλος στην καρτέλα Για προχωρηµένους υπάρχουν επιλογές για την αναβάθµιση του προγράµµατος, την ενεργοποίηση / απενεργοποίηση SSL και τη διαχείριση πιστοποιητικών. 46

47 ΑΝΩΝΥΜΙΑ ΣΤΟ ΙΑ ΙΚΤΥΟ Ανώνυµοι διακοµιστές µεσολάβησης Ανωνυµία ηλεκτρονικού ταχυδροµείου Στις µέρες µας η ανάγκη για ανωνυµία στο ιαδίκτυο είναι υπαρκτή, γιατί υπάρχει πάντα το ενδεχόµενο κάποιος να παρακολουθεί τις κινήσεις ενός χρήστη χωρίς την άδειά του. Κάποιος, όπως για παράδειγµα ένας εργοδότης, ένας hacker που προσπαθεί να εισβάλλει στο σύστηµα, µια εταιρεία που συλλέγει προσωπικές πληροφορίες για να τις πουλήσει, ή ακόµα και η κυβέρνηση (σε ειδικές περιπτώσεις), µπορεί να παρακολουθεί τα ίχνη που αφήνει ο χρήστης που περιηγείται ανυποψίαστος στο ιαδίκτυο. Ανωνυµία στο ιαδίκτυο σηµαίνει να µπορεί ένας χρήστης να χρησιµοποιεί όλες τις υπηρεσίες που χρειάζεται χωρίς να ανησυχεί ότι κάποιος έχει πρόσβαση σε προσωπικά του δεδοµένα. Κάθε υπολογιστής που συνδέεται µε το Internet έχει µια µοναδική διεύθυνση IP (Internet Protocol). Σε σύνδεση dial up η διεύθυνση IP αλλάζει κάθε φορά που γίνεται σύνδεση, ενώ συνήθως σε συνδέσεις DSL η διεύθυνση IP είναι στατική, δηλαδή δεν αλλάζει και προσδιορίζει το χρήστη. Ένας κύριος στόχος της ανωνυµίας είναι η διεύθυνση IP ενός υπολογιστή να µην αποκαλύπτεται σε άλλους χρήστες του Internet ή σε διαχειριστές web server. Ένας δικτυακός τόπος εκτός από την έκδοση του browser κ.α. στοιχεία, µπορεί να καταγράψει και την διεύθυνση IP του µηχανήµατος του χρήστη που προσδιορίζει την τοποθεσία και τον ISP από όπου έχει συνδεθεί. Αν κάποιος γνωρίζει το IP ενός χρήστη και θέλει να του προξενήσει ζηµιά προσωπικά, µπορεί µε διάφορα εργαλεία να διαπεράσει το firewall και να πάρει τις πληροφορίες που επιθυµεί. Στη συνέχεια εξετάζονται δύο περιπτώσεις χρήσεων για διατήρηση της ανωνυµίας. Ανωνυµία κατά την περιήγηση σε ιστοσελίδες και αποστολή ανώνυµων µηνυµάτων ηλεκτρονικού ταχυδροµείου. Επίσης δίνονται συµβουλές για προστασία των προσωπικών δεδοµένων. ΑΝΩΝΥΜΟΙ ΙΑΚΟΜΙΣΤΕΣ ΜΕΣΟΛΑΒΗΣΗΣ (Anonymous proxy ) Ένας διακοµιστής µεσολάβησης (proxy server) είναι ένα µηχάνηµα που βρίσκεται ανάµεσα σε έναν υπολογιστή πελάτη και µηχανήµατα διακοµιστές. Όταν γίνεται η ρύθµιση του web browser για τη χρήση διακοµιστή µεσολάβησης, ο browser δεν συνδέεται στο URL που πληκτρολογεί ο χρήστης, αλλά συνδέεται στον proxy server και του ζητά το URL. Αυτό σηµαίνει ότι ο proxy δρα ως µεσάζοντας και αυτός τελικά επιστρέφει το αίτηµα του πελάτη. Ένας proxy αποθηκεύει τα δεδοµένα που ζήτησε ένας πελάτης στην cache του και έτσι αν ζητηθούν ξανά τα ίδια δεδοµένα επιστρέφονται πιο γρήγορα. Επειδή δεν υπάρχει απευθείας σύνδεση µεταξύ του πελάτη και του web server, η πραγµατική διεύθυνση IP του πελάτη δεν καταγράφεται στα αρχεία καταγραφής του server. Καταγράφεται η διεύθυνση IP του proxy. Οι ISP συχνά προσφέρουν στους συνδροµητές τους proxy server, αλλά αυτοί δεν είναι ανώνυµοι. Σε διάφορους δικτυακούς τόπους υπάρχουν λίστες µε διευθύνσεις ανώνυµων proxy που ο καθένας µπορεί να χρησιµοποιήσει. Όλοι οι ανώνυµοι proxy 47

48 δεν προσφέρουν τον ίδιο βαθµό ανωνυµίας. Οι ποιοτικοί ανώνυµοι proxy φιλτράρουν τα επόµενα πεδία (ίσως και άλλα): REMOTE_HOST: Η διεύθυνση IP του υπολογιστή ή του proxy που χρησιµοποιεί ο υπολογιστής. HTTP_X_FORWARDED_FOR: Η διεύθυνση IP του υπολογιστή που χρησιµοποιεί τον ανώνυµο proxy. HTTP_USER_AGENT: είχνει την έκδοση του browser και το λειτουργικό σύστηµα (π.χ. HTTP_USER_AGENT: IE5 WIN2000). FORWARDED: είχνει ότι κάποιος χρησιµοποιεί proxy server. HTTP_VIA, HTTP_FROM Για να χρησιµοποιηθεί proxy server στο web, πρέπει να ρυθµιστεί ο web browser και να ενεργοποιηθεί από τις επιλογές του η σύνδεση µέσω proxy. Στη συνέχεια πρέπει να δοθεί η διεύθυνση IP του proxy και η θύρα από την οποία θα γίνεται η επικοινωνία. Αν θέλει κάποιος να χρησιµοποιήσει και άλλες υπηρεσίες µέσω proxy (π.χ. FTP), πρέπει να ρυθµίσει το πρόγραµµα πελάτη που θα χρησιµοποιήσει. Στην επόµενη εικόνα παρουσιάζεται η επικοινωνία µέσω ανώνυµου proxy. MULTIPROXY Για µεγαλύτερη ευκολία και υψηλότερο επίπεδο ανωνυµίας µπορεί να χρησιµοποιηθεί το multiproxy. Το multiproxy είναι ένας standalone proxy server για Windows. Το πλεονέκτηµα είναι ότι δεν χρησιµοποιεί µόνο έναν proxy αλλά πολλούς που τους αλλάζει συχνά αυτόµατα. Ο χρήστης πρέπει µόνο να δηµιουργήσει τη λίστα µε τους ανώνυµους proxy που θέλει. Αρχικά το πρόγραµµα διαθέτει µια µεγάλη λίστα µε proxy. Ο χρήστης µπορεί να επιλέξει µόνο τους ανώνυµους και επίσης να ελέγξει ποιοι είναι ανενεργοί και να τους διαγράψει. Για να µην υπάρχουν προβλήµατα στην ταχύτητα πρέπει οι proxy που θα επιλεγούν να έχουν µικρό ping time. Στην παρακάτω εικόνα φαίνεται η καρτέλα µε τις γενικές επιλογές του multiproxy. Ο χρήστης καθορίζει πώς θα επιλέγεται ο επόµενος proxy, αν η σύνδεση θα γίνεται µόνο µε ανώνυµους proxy ή όχι, αν θα µπορεί να γίνει αλλαγή proxy κατά το κατέβασµα ενός web-site (Maintain fixed proxy/ip per web-site) κ.α. 48

49 Στην καρτέλα Proxy servers list υπάρχει η λίστα µε τους διαθέσιµους proxy. Πατώντας το κουµπί Menu εµφανίζονται οι επιλογές για τη διαχείριση της λίστας. Το multiproxy είναι διαθέσιµο στη διεύθυνση ΑΝΩΝΥΜΟ ΗΛΕΚΤΡΟΝΙΚΟ ΤΑΧΥ ΡΟΜΕΙΟ Σε κρίσιµες περιπτώσεις όπου υπάρχει µια διεύθυνση e mail που δεν πρέπει να γίνεται γνωστή όταν κάποιος στέλνει ένα µήνυµα σε µια άλλη διεύθυνση (π.χ. συλλογή διεύθυνσης για spam) υπάρχει ανάγκη για ανώνυµα ηλεκτρονικά µηνύµατα. Είναι πολύ εύκολο να βρεθούν τα στοιχεία (π.χ. IP) του αποστολέα ενός µηνύµατος 49

50 από της επικεφαλίδες (headers) του µηνύµατος. Γι αυτό, υπάρχουν ειδικά συστήµατα που ονοµάζονται r ers. Ένας r er είναι ένα σύστηµα που βρίσκεται στο δίκτυο µε τη διεύθυνση του και από αυτόν περνούν τα ηλεκτρονικά µηνύµατα πριν φτάσουν στην διεύθυνση προορισµού. Στον r er αφαιρούνται οι headers που αποκαλύπτουν την ταυτότητα του αποστολέα. Οι περισσότεροι r er χρησιµοποιούν κρυπτογράφηση και σήµερα υπάρχουν δύο διαφορετικές κλάσεις r er: Cypherpunk (Type I) και Mixmaster (Type II). Οι r er τύπου Mixmaster είναι πιο ανθεκτικοί σε αναξιόπιστους κόµβους και παρακολούθηση κίνησης γιατί είναι σχεδιασµένοι µε την παραδοχή ότι κάθε σύνδεση παρακολουθείται. Ως προς το περιβάλλον λειτουργίας υπάρχουν δύο κατηγορίες: Οι web based και οι client based r ers. Οι web based είναι λιγότερο ασφαλείς γιατί η κρυπτογράφηση γίνεται στον server και όχι τοπικά στον υπολογιστή του χρήστη. Για µεγαλύτερο επίπεδο ανωνυµίας υπάρχει η λειτουργία chaining κατά την οποία ένα µήνυµα περνά διαδοχικά από πολλούς r er πριν φτάσει στον προορισµό του. Ο διαχειριστής του πρώτου r er γνωρίζει τα στοιχεία του αποστολέα αλλά τα ίχνη χάνονται στον δεύτερο r er που κρυπτογραφεί µε το δικό του κλειδί το ήδη ανώνυµο µήνυµα. Η λειτουργία ενός r er φαίνεται στην παρακάτω εικόνα. Παράδειγµα r er: ΛΙΓΕΣ ΣΥΜΒΟΥΛΕΣ ΓΙΑ ΑΝΩΝΥΜΙΑ Όταν γίνεται χρήση υπηρεσιών όπως IRC ή ICQ είναι καλό να µη δίνονται προσωπικές πληροφορίες όπως διεύθυνση, τηλέφωνο κ.α. γιατί ο προορισµός δεν είναι πιστοποιηµένος. Xρήση της κύριας διεύθυνσης ταχυδροµείου που δίνει ο ISP µόνο σε έµπιστους ανθρώπους. Είναι καλό να υπάρχει µια δεύτερη διεύθυνση από web based λογαριασµό (hotmail). Χρήση ανώνυµου proxy για την περιήγηση στο ιαδίκτυο. Χρήση bouncer για σύνδεση σε δίκτυα IRC. To bouncer είναι ένα πρόγραµµα που παίζει το ρόλο του proxy για web-server. Χρήση ανώνυµων r er για αποστολή µηνυµάτων ηλεκτρονικού ταχυδροµείου. ιαγραφή των ιχνών µετά την εργασία (history files, cache, backup). 50

51 1. Virtual LAN 2. Virtual Private Networks 3. Ασφαλή πρωτόκολλα (SSH) ΑΡΧΙΤΕΚΤΟΝΙΚΕΣ Virtual LANs και ασφάλεια Σε ένα µεγάλο τοπικό δίκτυο µε πρόσβαση στο ιαδίκτυο, είναι σηµαντικό να µειωθεί ο κίνδυνος εισόδου σε αυτό και η κλοπή ευαίσθητων πληροφοριών. Ένα εικονικό τοπικό δίκτυο (VLAN) είναι ένα σύνολο µηχανηµάτων σε ένα ή περισσότερα LAN που είναι ρυθµισµένα µε χρήση λογισµικού έτσι ώστε να επικοινωνούν σαν να ήταν στο ίδιο καλώδιο, ενώ στην πραγµατικότητα βρίσκονται σε διαφορετικά τµήµατα LAN. Επειδή τα VLAN βασίζονται σε λογικές και όχι σε φυσικές συνδέσεις είναι πολύ ευέλικτα. Πλεονεκτήµατα Μειωµένο κόστος διαχείρισης Έλεγχος δραστηριότητας εκποµπής Βελτίωση ασφάλειας δικτύου Όσο αφορά την ασφάλεια, στα τοπικά δίκτυα συνήθως υπάρχουν εµπιστευτικά δεδοµένα που απαιτούν περιορισµένη πρόσβαση. Με σύνδεση σε µια ενεργή θύρα ένας µη εξουσιοδοτηµένος χρήστης µπορεί να έχει πρόσβαση σε όλες τις τµηµατικές εκποµπές (segment broadcasts). Όσο πιο µεγάλη είναι η οµάδα εκποµπής, τόσο πιο µεγάλη είναι η πρόσβαση. Η βελτίωση της ασφάλειας επιτυγχάνεται µε την τµηµατοποίηση του δικτύου σε ξεχωριστές οµάδες εκποµπής. Στη συνέχεια µπορούν να γίνουν τα ακόλουθα : 1. Να περιοριστεί ο αριθµός των χρηστών σε ένα VLAN. 2. Να εµποδιστεί η πρόσβαση ενός άλλου χρήστη στο VLAN αν δεν έχει πάρει έγκριση από την εφαρµογή διαχείρισης του VLAN. 3. Να σχηµατιστούν (configure) όλες οι αχρησιµοποίητες θύρες σε ένα προεπιλεγµένο low-service VLAN. Τα VLAN µπορούν να χρησιµοποιηθούν για να παρέχουν firewalls, για να περιορίσουν την πρόσβαση σε κάθε χρήση ξεχωριστά, για να δείξουν ανεπιθύµητη 51

52 είσοδο στο δίκτυο και για να ελέγξουν το µέγεθος και τη σύνθεση του πεδίου εκποµπής. Εικονικά ιδιωτικά δίκτυα και ασφάλεια Σήµερα πολλές εταιρείες έχουν εγκαταστάσεις δικτύων σε διάφορες περιοχές και το ιαδίκτυο είναι ένας αποδοτικός τρόπος για τη σύνδεση αυτών των δικτύων. Ταυτόχρονα όµως µε τη χρήση του ιαδικτύου τίθεται το θέµα της ασφάλειας του δικτύου τους από hackers, επιθέσεις DoS και από υποκλοπή εµπιστευτικών δεδοµένων. Ένα εικονικό ιδιωτικό δίκτυο (VPN) είναι µια σύνδεση που επιτρέπει την αποστολή ιδιωτικών δεδοµένων µε ασφάλεια, πάνω από ένα δηµόσιο δίκτυο όπως είναι το ιαδίκτυο. Από την πλευρά του χρήστη, µια σύνδεση VPN είναι σηµείου προς σηµείο (point-topoint) µεταξύ του υπολογιστή του χρήστη και του server της εταιρείας. Η φύση του ενδιάµεσου δικτύου δεν φαίνεται στο χρήστη και ο τελευταίος έχει την αίσθηση ότι τα δεδοµένα µεταφέρονται µέσω αφοσιωµένου ιδιωτικού συνδέσµου (dedicated private link). Στο σχήµα φαίνεται ένα παράδειγµα ενός VPN. Για την προστασία των ιδιωτικών δεδοµένων τα οποία περνούν µέσα από ένα δηµόσιο δίκτυο απαιτούνται ισχυροί µηχανισµοί ασφάλειας. Καθώς τα δεδοµένα µεταφέρονται µεταξύ των κόµβων, µπορούν να περάσουν από είκοσι ή περισσότερους ενδιάµεσους servers πριν φτάσουν στον τελικό προορισµό. Έτσι κανείς δε µπορεί να εγγυηθεί ότι δεν υπάρχουν περίεργοι που απειλούν την ιδιωτικότητα των δεδοµένων, γι αυτό η κρυπτογράφηση είναι απαραίτητη. 52

53 Αν τα δεδοµένα µεταδίδονται σε µορφή clear text τότε υπάρχει κίνδυνος υποκλοπής µε χρήση προγραµµάτων sniffers. Επίσης οι τεχνικές κρυπτογράφησης είναι απαραίτητες για την προστασία των δεδοµένων από επιθέσεις τύπου man-in-themiddle. Μπορούν να χρησιµοποιηθούν και οι δύο τύποι κρυπτοσυστηµάτων : το κρυπτοσύστηµα ιδιωτικού κλειδιού και το κρυπτοσύστηµα δηµοσίου κλειδιού. Το καθένα έχει πλεονεκτήµατα και µειονεκτήµατα. Στην κρυπτογραφία ιδιωτικού κλειδιού υπάρχει ένα µυστικό κλειδί µε το οποίο γίνεται η κρυπτογράφηση και η αποκρυπτογράφηση. Χρησιµοποιούνται αλγόριθµοι όπως DES, RC4 και triple-des. Στην κρυπτογραφία δηµοσίου κλειδιού χρησιµοποιείται ζευγάρι κλειδιών (ιδιωτικό και δηµόσιο). Το ιδιωτικό κλειδί είναι µυστικό ενώ το δηµόσιο γίνεται γνωστό στους ενδιαφερόµενους. Εκτός από την κρυπτογράφηση είναι απαραίτητη και η πιστοποίηση των χρηστών (είναι ο χρήστης πραγµατικά αυτός που ισχυρίζεται ότι είναι;). Η πιστοποίηση πρέπει να γίνεται πριν δοθεί πρόσβαση στο σύστηµα. Κάποιοι µέθοδοι που χρησιµοποιούνται είναι : Pre-shared secrets, ψηφιακά πιστοποιητικά και υβριδικές µέθοδοι που επιτρέπουν τη χρήση πλάνων όπως SecureID, TACACS+ και RADIUS τα οποία επιτρέπουν πιστοποίηση σε VPN µε απλό τρόπο. Η τεχνολογία VPN βασίζεται στην στρατηγική tunneling. Με χρήση tunneling δηµιουργείται ένα ιδιωτικό δίκτυο που εκτείνεται στο ιαδίκτυο. Χρησιµοποιούνται τρία διαφορετικά πρωτόκολλα τα οποία είναι : Πρωτόκολλο φορέας (carrier) Χρησιµοποιείται από το δίκτυο που µεταφέρει την πληροφορία. Πρωτόκολλο επικάλυψης (encapsulating) Το πρωτόκολλο που τυλίγεται γύρω από τα αρχικά δεδοµένα. Πρωτόκολλο επιβάτη (passenger) Από αυτό το πρωτόκολλο µεταφέρονται τα αρχικά δεδοµένα. Ασφαλή πρωτόκολλα-ssh (Secure Shell) Υπάρχουν κάποια πρωτόκολλα που έχουν σχεδιαστεί για να παρέχουν µεγαλύτερο επίπεδο ασφάλειας. Σε αυτά χρησιµοποιούνται τεχνικές όπως η κρυπτογράφηση η οποία είναι πολύ σηµαντική για την εµπιστευτικότητα και το απόρρητο ευαίσθητων δεδοµένων, η πιστοποίηση χρηστών και άλλες τεχνικές. Ένα παράδειγµα είναι το SSH που περιγράφεται παρακάτω. Το Secure Shell είναι ένας µηχανισµός λογισµικού για την κρυπτογράφηση των πακέτων που διακινούνται µεταξύ δύο υπολογιστών. Αναπτύχθηκε πρώτα από την εταιρία SSH Communications Security ( που έχει τα πνευµατικά δικαιώµατα, γι αυτό στο Linux χρησιµοποιείται το OpenSSH που είναι εργασία της 53

54 κοινότητας ανοικτού λογισµικού. Το SSH έχει πολλά πλεονεκτήµατα και χαρακτηριστικά που προσφέρουν ασφάλεια : 1. Η πιστοποίηση υποστηρίζεται, οπότε δεν είναι δυνατές επιθέσεις τύπου «man in the middle». 2. Υπάρχει δυνατότητα συµπίεσης των δεδοµένων που διακινούνται µε αποτέλεσµα να µειώνεται ο χρόνος επικοινωνίας. 3. Εκτός από τη χρήση στη θέση του Telnet, µέσα από σύνδεση SSH µπορούν να χρησιµοποιηθούν και άλλα πρωτόκολλα όπως POP, FTP, X-Windows (τεχνική tunneling). Με την κρυπτογράφηση των πακέτων υπάρχει προστασία από προγράµµατα sniffer. Ο sniffer µπορεί να υποκλέψει και στη συνέχεια να συναρµολογήσει τα κρυπτογραφηµένα πακέτα, αλλά θα εµφανίζονται ακατανόητα µηνύµατα (λόγω κρυπτογράφησης). Η αποκρυπτογράφηση είναι πολύ δύσκολη αν όχι αδύνατη εξαιτίας της χρονοβόρας διαδικασίας, ακόµα και µε πανίσχυρους υπολογιστές. Ακόµα και στην περίπτωση όπου οι δυο υπολογιστές που επικοινωνούν δεν ανήκουν σε τοπικά δίκτυα, η πληροφορία που δεν είναι κρυπτογραφηµένη µπορεί να γίνει γνωστή σε ενδιάµεσους κόµβους. Για να συνδεθεί ένας χρήστης σε έναν αποµακρυσµένο υπολογιστή µε SSH πρέπει να γνωρίζει τον κωδικό του. Αφού δώσει username και password, τότε αυτά µεταδίδονται στο δίκτυο σε κρυπτογραφηµένη µορφή και γίνεται η σύνδεση. Τα δεδοµένα είναι επίσης σε κρυπτογραφηµένη µορφή. Η πιστοποίηση επιτυγχάνεται µε την κρυπτογραφία δηµοσίου κλειδιού. Κάθε χρήστης δηµιουργεί ένα ζευγάρι ιδιωτικού / δηµοσίου κλειδιού. Το ιδιωτικό κλειδί είναι στον υπολογιστή του προστατευµένο, ενώ το δηµόσιο κλειδί το τοποθετεί στον διακοµιστή SSH που έχει λογαριασµό και θα συνδέεται αποµακρυσµένα. Όταν ο χρήστης ζητήσει τη σύνδεση, τότε ο διακοµιστής κρυπτογραφεί µε το δηµόσιο κλειδί του πελάτη ένα τυχαίο µήνυµα (challenge) και το στέλνει. Ο πελάτης το αποκρυπτογραφεί µε το ιδιωτικό του κλειδί και στη συνέχεια το κρυπτογραφεί µε το δηµόσιο κλειδί του διακοµιστή που είναι γνωστό. Ο διακοµιστής αποκρυπτογραφεί το µήνυµα µε το ιδιωτικό του κλειδί και το συγκρίνει µε το αρχικό τυχαίο µήνυµα που δηµιούργησε. Αν αυτά ταυτίζονται τότε ο διακοµιστής SSH επιτρέπει στον πελάτη τη σύνδεση. Το πακέτο OpenSSH για Linux (σε όλες τις διανοµές) περιέχει τον διακοµιστή SSH (sshd), το πρόγραµµα πελάτη (ssh) και άλλα εργαλεία (scp, sftp, ssh-keygen κ.α.).εκτός από το Linux υποστηρίζονται και άλλα λειτουργικά συστήµατα όπως OpenBSD, Solaris, Mac OS X, SCO, Cygwin. Στο OpenSSH δεν χρησιµοποιούνται πατενταρισµένοι αλγόριθµοι και έτσι στην έκδοση 1 είναι διαθέσιµοι οι 3DES και Blowfish και στην έκδοση 2 οι 3DES, Blowfish, CAST128, Arcfour και AES. Ο πατενταρισµένος αλγόριθµος IDEA δεν είναι διαθέσιµος. Για να συνδεθεί κάποιος σε έναν διακοµιστή OpenSSH πρέπει αρχικά να δώσει την εντολή ssh I <όνοµα χρήστη><όνοµα µηχανήµατος>, όπου όνοµα χρήστη ο λογαριασµός χρήστη του αποµακρυσµένου µηχανήµατος. Στη συνέχεια δίνει τον κωδικό (password) του αποµακρυσµένου λογαριασµού, ο οποίος µεταδίδεται σε κρυπτογραφηµένη µορφή. Με αυτόν τον τρόπο σύνδεσης δεν είναι δυνατή η 54

55 πιστοποίηση του αποµακρυσµένου υπολογιστή. Για να γίνεται πιστοποίηση χρειάζεται η δηµιουργία δύο κλειδιών (ιδιωτικό και δηµόσιο). Αυτό γίνεται µε την εντολή ssh-keygen t rsa. Το ιδιωτικό κλειδί µπορεί να προστατευτεί µε συνθηµατική φράση (pass phrase) που καθορίζει ο χρήστης για µεγαλύτερη ασφάλεια. Με την εντολή ssh-copy-id γίνεται η διανοµή του δηµοσίου κλειδιού σε αποµακρυσµένους server. Για µεγαλύτερη ευκολία υπάρχουν γραφικές διεπαφές όπως το kssh όπου οι επιλογές εµφανίζονται µε µορφή checkboxes. 55

56 ΣΥΣΤΗΜΑΤΑ ΑΝΙΧΝΕΥΣΗΣ ΕΙΣΒΟΛΩΝ (IDS) Τα συστήµατα ανίχνευσης εισβολών (IDS) είναι συστήµατα λογισµικού που εντοπίζουν εισβολές στο δίκτυο µε βάση έναν αριθµό ενδείξεων. Τα ενεργητικά συστήµατα αντίδρασης προσπαθούν να µπλοκάρουν επιθέσεις, να αντιδράσουν µε αντίµετρα ή τουλάχιστον να σηµάνουν συναγερµό στον διαχειριστή κατά τη διάρκεια της επίθεσης. Τα παθητικά συστήµατα IDS καταγράφουν την επίθεση και η καταγραφή φαίνεται µετά την έκβασή της. Παρόλο που τα παθητικά συστήµατα φαίνονται ανιαρά, υπάρχουν κάποιοι δείκτες εισβολών που φαίνονται µόνο µετά από κάποια εισβολή. Για παράδειγµα αν κάποιος δυσαρεστηµένος διαχειριστής του δικτύου αποφασίσει να επιτεθεί στο δίκτυο, θα έχει όλους τους κωδικούς και πλήρη πρόσβαση. Κανένα ενεργητικό σύστηµα δε θα σηµάνει συναγερµό. Τα παθητικά συστήµατα IDS όµως µπορούν να εντοπίσουν τις αλλαγές που έχουν γίνει στα αρχεία του συστήµατος ή όποια άλλη ζηµιά έχει γίνει. Ανιχνευτές εισβολών που βασίζονται στην επίβλεψη (Inspection-based Intrusion Detectors) Αυτός είναι ο πιο συνηθισµένος τύπος IDS. Αυτοί οι ανιχνευτές εισβολών παρακολουθούν τη δραστηριότητα σε έναν host ή στο δίκτυο και κρίνουν για το αν µια εισβολή συµβαίνει ή έχει συµβεί, είτε µε βάση κανόνων που έχουν προγραµµατιστεί, είτε µε βάση διαχρονικών ενδείξεων κανονικής χρήσης. Οι ανιχνευτές εισβολών που είναι ενσωµατωµένοι σε firewalls και λειτουργικά συστήµατα όπως και οι περισσότεροι αυτόνοµοι, είναι inspection-based. Οι ανιχνευτές εισβολών βασίζονται σε ενδείξεις ανάρµοστης χρήσης. Αυτοί οι δείκτες µπορεί να είναι : Κίνηση δικτύου (Network traffic), όπως έλεγχοι ICMP, σάρωση θυρών κ.α. Χρησιµοποίηση πόρων όπως επεξεργαστή, µνήµης ή I/O δικτύου σε απρόσµενες στιγµές (αυτοµατοποιηµένη επίθεση;) ραστηριότητα αρχείων, όπως δηµιουργία αρχείων ή αλλαγές στα αρχεία συστήµατος. Τα συστήµατα IDS παρακολουθούν διάφορους συνδυασµούς από τις παραπάνω ενδείξεις και δηµιουργούν καταχωρήσεις καταγραφής (log entries). Το σώµα από αυτές τις καταχωρήσεις ονοµάζεται audit trail και αποτελείται από το σύνολο των παραµέτρων για ένα δεδοµένο αντικείµενο πρόσβασης όπως ένας λογαριασµός 56

57 χρήστη ή µια διεύθυνση IP. Τα IDS παρακολουθούν τα audit trail για να αποφασίσουν πότε συµβαίνει µια εισβολή. Τα συστήµατα IDS εµφανίζονται µε τις παρακάτω παραλλαγές : Τα συστήµατα που βασίζονται σε κανόνες (rule-based) εντοπίζουν ενέργειες που δείχνουν προσπάθεια εισβολής όπως σάρωση θυρών, αλλαγή αρχείων, σύνδεση σε συγκεκριµένες θύρες κ.α. Τα rule-based IDS δεν µπορούν να εντοπίσουν εισβολές που δεν ανήκουν στο σύνολο των κανόνων τους και γι αυτό δεν είναι αποτελεσµατικά σε νέες επιθέσεις αν δεν ενηµερωθούν. Οι στατιστικοί (statistical) ανιχνευτές εισβολών συγκρίνουν την υπάρχουσα βάση των έγκυρων audit trails µε κάθε νέο audit trail. Τα audit trails που διαφέρουν σηµαντικά από τα συνηθισµένα χαρακτηρίζονται ως πιθανές προσπάθειες εισβολής. Τέτοια συστήµατα έχουν τη δυνατότητα να εντοπίσουν άγνωστες µεθόδους εισβολής αλλά µπορεί να µην καταγράψουν προφανείς εισβολές που εµφανίζονται ως κανονική χρήση. Τα υβριδικά συστήµατα IDS παρέχουν τα πλεονεκτήµατα και των δύο παραπάνω κατηγοριών, συνδυάζοντας λειτουργίες µε κανόνες και χρήση στατιστικών. Κάποια από αυτά τα συστήµατα µπορούν να δηµιουργήσουν νέους µόνιµους κανόνες από εισβολές που έχουν εντοπιστεί, για την πρόληψη από νέες εισβολές ίδιου τύπου, χωρίς το overhead της στατιστικής ανάλυσης. Τα συστήµατα IDS πάντα απαιτούν πόρους του συστήµατος για να λειτουργήσουν. Τα IDS του δικτύου συνήθως τρέχουν σε firewalls και αφοσιωµένους υπολογιστές. Σε αυτήν την περίπτωση δεν υπάρχει πρόβληµα γιατί υπάρχουν διαθέσιµοι πόροι. Τα συστήµατα όµως που είναι host-based και είναι σχεδιασµένα για να προστατεύουν εξυπηρέτες µπορεί να αντιµετωπίσουν προβλήµατα µε πόρους. Για να είναι αποτελεσµατικά τα συστήµατα IDS απαιτούν παρακολούθηση από ανθρώπινο δυναµικό, τους διαχειριστές ασφάλειας. Η τεχνολογία αντιµέτρων και συστήµατα αντίδρασης που αυξάνουν προσωρινά την ασφάλεια host κατά τη διάρκεια επιθέσεων βρίσκονται σε ερευνητικό στάδιο. Τα σηµερινά συστήµατα IDS βασίζονται στην ενηµέρωση των διαχειριστών για την παρουσία µιας επίθεσης, κάτι που κάνει τους διαχειριστές ενεργό µέρος του συστήµατος εντοπισµού εισβολών. Η τεχνική του δολώµατος χρησιµοποιείται στα decoy IDS συστήµατα που είναι πιο γνωστά ως honeypots (σαν βάζα µε µέλι που µαζεύουν τις µέλισσες). Αυτά λειτουργούν µιµούµενα τη συµπεριφορά συστηµάτων που µπορεί να γίνουν στόχοι και αναλύονται στη συνέχεια. 57

58 HONEYPOTS Ορισµός Ένα honeypot είναι ένα µέσο ασφάλειας που η αξία του βασίζεται στο ότι κάποιος θα το εξετάσει και θα του επιτεθεί. Η προσδοκία αυτού που θα εγκαταστήσει ένα honeypot είναι αυτό να δεχτεί επίθεση και να εκτεθεί. Τα honeypots δεν είναι λύση σε πρόβληµα ασφάλειας ούτε καλύπτουν τρύπες, αλλά είναι ένα εργαλείο. Ο τρόπος χρήσης τους καθορίζεται από τον χρήστη και το τι θέλει αυτός να πετύχει. Ένα honeypot µπορεί να είναι ένα σύστηµα που προσοµοιώνει µερικώς άλλα συστήµατα ή εφαρµογές, δηµιουργεί περιοριστικά περιβάλλοντα (jailed environments) ή ένα συνηθισµένα ρυθµισµένο σύστηµα. Κατηγορίες Υπάρχουν δυο κύριες κατηγορίες honeypots: τα honeypots παραγωγής (production) και τα honeypots έρευνας (research). Ο ρόλος ενός production honeypot είναι να βοηθήσει στη µετρίαση των κινδύνων ενός οργανισµού. Το honeypot ενισχύει τα µέτρα ασφάλειας ενός οργανισµού και δουλειά του είναι ο εντοπισµός και η αντιµετώπιση των επιτιθέµενων. Τα honeypots που χρησιµοποιούνται για έρευνα (research) δεν ενισχύουν άµεσα την ασφάλεια κάποιου οργανισµού αλλά βοηθούν στην έρευνα των απειλών που αντιµετωπίζει ένας οργανισµός και την αντιµετώπισή τους. Οι εµπορικοί οργανισµοί συνήθως δε χρησιµοποιούν research honeypots, αλλά οργανισµοί όπως κυβέρνηση, στρατός και πανεπιστήµια χρησιµοποιούν. Χρησιµότητα Τα honeypots, ως εργαλεία ασφάλειας, έχουν πλεονεκτήµατα και µειονεκτήµατα. Το σηµαντικό είναι ότι χαρακτηρίζονται από απλότητα γιατί είναι συσκευές µε στόχο να εκτεθούν και δεν προσφέρουν υπηρεσίες. Αυτό σηµαίνει ότι υπάρχει µικρή ή και καθόλου κίνηση (traffic) από και προς τη συσκευή. Κάθε φορά που το honeypot δέχεται εισερχόµενη κίνηση είναι σχεδόν σίγουρο ότι πρόκειται για µελέτη, σάρωση ή επίθεση στο σύστηµα. Κάθε φορά που ξεκινά µια σύνδεση από το honeypot σηµαίνει µάλλον ότι έχει εκτεθεί από κάποια επίθεση. Έτσι όλη η κίνηση που αφορά ένα honeypot είναι εξορισµού ύποπτη. Γενικά η κίνηση στο honeypot αντιπροσωπεύει µη εξουσιοδοτηµένη δραστηριότητα, αν δεν υπάρχουν λάθη όπως λάθος καταχώρηση DNS και διεύθυνση IP. Πλεονεκτήµατα Τα honeypots συλλέγουν πολύ λίγα δεδοµένα και αυτά είναι πολύ σηµαντικά (high value). Ένα µεγάλο πρόβληµα στην ασφάλεια είναι ο εντοπισµός χρήσιµων δεδοµένων για τον διαχειριστή σε δεκάδες GB αλλά µε τα honeypots αυτό δεν ισχύει. Για παράδειγµα συνήθως σε 3 MB µιας ηµέρας υπάρχουν χρήσιµες πληροφορίες για τη δραστηριότητα του δικτύου και του τυχόν επιτιθέµενου. Ένα άλλο πλεονέκτηµα είναι ότι τα honeypots δεν έχουν πρόβληµα µε πόρους. Συστήµατα ανίχνευσης εισβολών IDS µπορεί να µην τα καταφέρουν µε υψηλή δραστηριότητα και log servers µπορεί να µην µπορούν να καταγράψουν όλα τα γεγονότα. Τα honeypots αντίθετα συλλαµβάνουν µόνο ό,τι έρχεται σε αυτά. 58

59 Μειονεκτήµατα Τα honeypots δεν έχουν αξία αν κανείς δεν επιτίθεται σε αυτά. Αν ο επιτιθέµενος δε στέλνει πακέτα σε ένα honeypot, αυτό δε θα γνωρίζει τίποτα για κάποια µη εξουσιοδοτηµένη δραστηριότητα. Ένα άλλο µειονέκτηµα είναι ότι εισάγουν επιπλέον κίνδυνο στο περιβάλλον που είναι εγκατεστηµένα. ιαφορετικά honeypots εισάγουν διαφορετικό επίπεδο ρίσκου. Κάποια δεν παρουσιάζουν µεγάλο ρίσκο ενώ κάποια άλλα προσφέρουν στον επιτιθέµενο πλατφόρµες από όπου µπορεί να ξεκινήσει νέες επιθέσεις. Για αυτούς τους λόγους τα honeypots δεν αντικαθιστούν µηχανισµούς ασφάλειας. Production honeypots Όπως αναφέρθηκε προηγουµένως, αυτά τα honeypots χρησιµοποιούνται από οργανισµούς για να µειωθούν πιθανοί κίνδυνοι. Όσο αφορά την πρόληψη προσφέρουν λίγα πράγµατα γιατί δεν αποτρέπουν έναν επιτιθέµενο να εισχωρήσει στο δίκτυο. Αντίθετα µπορεί να τον διευκολύνουν αν δεν υλοποιηθούν σωστά. Για την ανίχνευση των εισβολών τα honeypots προσφέρουν πολλά. Τα αρχεία καταγραφής είναι συνήθως πολύ µεγάλα και είναι δύσκολο να εντοπιστούν ύποπτες ενέργειες. Επίσης οι διαχειριστές των συστηµάτων IDS, τα οποία ανιχνεύουν εισβολές, µπορεί να αντιµετωπίσουν λάθος συναγερµό (false positives). Ένας λάθος συναγερµός σε ένα honeypot είναι πολύ λιγότερο πιθανός. Επίσης είναι πιθανό τα συστήµατα IDS να αποτύχουν στην ανίχνευση µιας νέου τύπου επίθεσης (false negatives). Το honeypot δε λειτουργεί µε ψηφιακές υπογραφές επιθέσεων και ο εντοπισµός γίνεται µε την παρατήρηση της δραστηριότητας του συστήµατος. Εντοπίζονται όλες οι επιθέσεις που γίνονται σε αυτό. Τα production honeypots δεν πρέπει να αντικαθιστούν παραδοσιακά συστήµατα IDS, αλλά να λειτουργούν συµπληρωµατικά. Αν εντοπιστεί µια επίθεση πρέπει να ακολουθήσει η αντίδραση από τον διαχειριστή (ανάλυση) αλλά αυτό δεν είναι κάτι απλό γιατί συνήθως ένα σύστηµα που δέχθηκε επίθεση δε µπορεί να βγει off-line (χρήσιµες υπηρεσίες). Ας υποθέσουµε ότι ένας οργανισµός διαθέτει τρεις web servers και ότι αυτοί δέχθηκαν επίθεση. Η οµάδα αντίδρασης θα καλύψει τα κενά ασφάλειας αλλά ίσως δε µάθει ποτέ λεπτοµέρειες για το τι έφταιξε και τι έκανε ο επιτιθέµενος. Αν ένα από αυτά τα τρία συστήµατα ήταν honeypot, οι υπεύθυνοι θα το έβγαζαν εκτός δικτύου (off-line) και θα έπαιρναν πολλές πληροφορίες κάνοντας ανάλυση. Τα αποτελέσµατα θα χρησιµοποιούνταν για την ανάκτηση των άλλων δυο συστηµάτων. Research honeypots Με τα research honeypots γίνεται ενηµέρωση για το ποιος απειλεί την ασφάλεια, µε ποια εργαλεία και γιατί. Ο καλύτερος τρόπος πληροφόρησης για κάποιον που κάνει επίθεση είναι η παρακολούθηση και η καταγραφή της επίθεσης που κάνει σε ένα honeypot. Ακόµα πιο ενδιαφέρον είναι η πληροφόρηση για το τι κάνει ο εισβολέας όταν εισχωρήσει επιτυχώς στο σύστηµα (φόρτωση νέου εργαλείου;). Επίσης τα research honeypots είναι εξαιρετικά χρήσιµα για τη σύλληψη αυτοµατοποιηµένων επιθέσεων όπως auto-rooters ή worms. 59

60 Honeynets Τα Honeynets είναι honeypots υψηλής αλληλεπίδρασης που σηµαίνει ότι δίνουν πολλές πληροφορίες αλλά έχουν και ρίσκο. Ένα honeynet είναι ένα δίκτυο από συστήµατα παραγωγής (production systems). εν εξοµοιώνεται τίποτα, δεν γίνονται πολλές τροποποιήσεις στα honeypots και έτσι ο επιτιθέµενος έχει στη διάθεσή του πολλές εφαρµογές και συστήµατα στα οποία µπορεί να επιτεθεί. Πρέπει οι διαχειριστές να φροντίσουν ώστε αν πέσει το honeynet δε θα χρησιµοποιηθεί για άλλες επιθέσεις. Στην παρακάτω εικόνα φαίνεται µια αρχιτεκτονική honeynet. Το honeywall (bridge gateway) διαχωρίζει τα συστήµατα παραγωγής από το δίκτυο honeynet. Η εξωτερική διασύνδεση του gateway (eth0) συνδέεται στο δίκτυο συστηµάτων παραγωγής και η εσωτερική διασύνδεση (eth1) στο honeynet. Έτσι και τα δύο δίκτυα ανήκουν στο ίδιο δίκτυο IP. Η τρίτη διασύνδεση (eth2) χρησιµοποιείται για αποµακρυσµένη διαχείριση του gateway (έχει IP stack ασφαλές δίκτυο το gateway εντοπίζεται δύσκολα). Στο gateway τρέχει ελαχιστοποιηµένη (ασφαλής) έκδοση Linux. 60

61 ΠΡΟΓΡΑΜΜΑΤΑ ANTIVIRUS Τα επιβλαβή προγράµµατα που κυκλοφορούν στο ιαδίκτυο αντιµετωπίζονται µε προγράµµατα Antivirus που εγκαθίστανται σε υπολογιστές που χρειάζονται προστασία. Ένα τέτοιο πρόγραµµα µπορεί να εντοπίζει ιούς, σκουλήκια, δούρειους ίππους αλλά και άλλα ανεπιθύµητα προγράµµατα όπως spyware (στις τελευταίες εκδόσεις Antivirus). Λειτουργία Η διαδικασία λειτουργίας των προγραµµάτων Antivirus περιλαµβάνει δύο στάδια. Το πρώτο στάδιο είναι ο εντοπισµός των επιβλαβών προγραµµάτων και το δεύτερο στάδιο είναι η αντιµετώπιση. Κατά την αντιµετώπιση καθορίζονται οι ενέργειες του προγράµµατος αφού εντοπιστεί ένα ιός στο σύστηµα. Εντοπισµός Ο εντοπισµός ενός ιού µπορεί να γίνει σε δύο περιπτώσεις. Στην πρώτη περίπτωση ένας ιός µπορεί να εντοπιστεί κατά τον έλεγχο όλων των αρχείων του σκληρού δίσκου. Ένας τέτοιος έλεγχος µπορεί να ξεκινά από το χρήστη (manual) ή να είναι προγραµµατισµένος σε κάποια συγκεκριµένη ηµέρα και ώρα, ή κατά την εκκίνηση του συστήµατος. Στη δεύτερη περίπτωση ένας ιός εντοπίζεται κατά την είσοδό του στο σύστηµα. Αυτό απαιτεί την παρακολούθηση της µνήµης και των εφαρµογών σε πραγµατικό χρόνο από κάποιον agent του Antivirus (real-time). Η δυνατότητα αυτή είναι πολύ χρήσιµη καθώς αποφεύγεται η καταστρεπτική δράση των κακόβουλων προγραµµάτων. Για να διαπιστώσει ένα πρόγραµµα Antivirus ποια αρχεία είναι µολυσµένα από υπάρχοντες ιούς, χρησιµοποιεί µια βάση δεδοµένων που περιέχει τις ψηφιακές υπογραφές των γνωστών ιών. Η ψηφιακή υπογραφή είναι ένα µικρό κοµµάτι από τον κώδικα του ιού. Ένα Antivirus ελέγχει αν τα αρχεία περιέχουν στον κώδικά τους κάποια υπογραφή ενός ιού. Αν συµβαίνει αυτό για ένα αρχείο τότε αναφέρεται ως µολυσµένο. Τα σηµερινά Antivirus όµως έχουν την ικανότητα να εντοπίζουν και νέους ιούς που οι υπογραφές τους δεν υπάρχουν στη βάση δεδοµένων. Αυτό γίνεται µε χρήση ευρετικών (heuristic) αλγορίθµων οι οποίοι ανιχνεύουν επιβλαβή κώδικα αναλύοντας τη δοµή και τη συµπεριφορά των προγραµµάτων. Η διαδικασία εντοπισµού νέων ιών απαιτεί δύο στάδια. Στο πρώτο, αναλύονται τα χαρακτηριστικά των προγραµµάτων και στο δεύτερο παίρνεται η απόφαση για τον αν πρόκειται για ιό ή όχι από την ανάλυση του πρώτου σταδίου. Στο πρώτο στάδιο, αρχικά, ο ευρετικός αλγόριθµος εντοπίζει το πιθανότερο σηµείο στο αρχείο που µπορεί να εγκαταστάθηκε ο ιός (συνήθως στην αρχή ή στο τέλος). Ένας στατικός ευρετικός αλγόριθµος ψάχνει για ύποπτες εντολές σε ένα πρόγραµµα, ενώ ένας δυναµικός ευρετικός αλγόριθµος εκτελεί το πρόγραµµα σε εικονικό περιβάλλον και παρακολουθεί τις κλήσεις συστήµατος. 61

62 Αντιµετώπιση Μετά από µια επιτυχή αναγνώριση ενός επιβλαβούς προγράµµατος (virus, worm κ.α.) το Antivirus αντιδρά σύµφωνα µε τις ρυθµίσεις που ισχύουν εκείνη τη στιγµή ή αφήνει στο χρήστη την επιλογή. Στις περισσότερες περιπτώσεις οι διαθέσιµες ενέργειες είναι καθαρισµός (clean), διαγραφή (delete), µετονοµασία (rename) και περιορισµός σε ειδικό κατάλογο (quarantine). Αν δεν µπορεί να γίνει ο καθαρισµός, τότε στην περίπτωση ενός ιού προτείνεται ο περιορισµός του αρχείου (quarantine), ενώ σε περίπτωση σκουληκιού ή δούρειου ίππου µπορεί να γίνει και διαγραφή γιατί το αρχείο δεν χρησιµοποιείται από κάπου αλλού. Στην περίπτωση που το Antivirus αναγνωρίσει την απειλή και δεν µπορεί να την εξουδετερώσει, θα φροντίσει να την περιορίσει για να µην εξαπλωθεί. Ο χρήστης µπορεί να ψάξει στον δικτυακό τόπο της εταιρείας του Antivirus για περισσότερες πληροφορίες που αφορούν το malware που βρέθηκε, δίνοντας το όνοµα µε το οποίο εντοπίστηκε. Σε αυτές τις βάσεις δεδοµένων συνήθως δίνονται η ανάλυση των κακόβουλων προγραµµάτων (π.χ. τι επηρεάζουν, βαθµός επικινδυνότητας, registry entries κ.α.) και οδηγίες για µη αυτόµατο καθαρισµό από έµπειρους χρήστες. Ακόµα, στην πολύ σπάνια περίπτωση που υπάρχει µόλυνση από άγνωστο πρόγραµµα, ένας έµπειρος χρήστης µπορεί µε χρήση κατάλληλων προγραµµάτων να κάνει µόνος του την ανάλυση. Ενηµερώσεις Όλα τα προγράµµατα Antivirus πρέπει να ενηµερώνονται σε πολύ τακτικά χρονικά διαστήµατα για να εξασφαλιστεί ο εντοπισµός των νεότερων απειλών. Οι εταιρείες παρέχουν αναβαθµίσεις συνεχώς και µε συχνότητα τριών ωρών σε µερικές περιπτώσεις. Οι ενηµερώσεις δεν αφορούν µόνο τις υπογραφές των ιών αλλά και του µηχανισµού αναζήτησης (scan engine). Ο χρήστης πρέπει να έχει ενεργοποιηµένη την λειτουργία της αυτόµατης ενηµέρωσης (auto updates) για καλύτερα αποτελέσµατα. Χρήση πόρων Λόγω της περίπλοκης λειτουργίας τους, τα προγράµµατα Antivirus χρησιµοποιούν αρκετούς πόρους όχι µόνο κατά την εξέταση του δίσκου, αλλά και κατά την εκτέλεση στο παρασκήνιο (background) για εντοπισµό σε πραγµατικό χρόνο. Επίσης η εξέταση όλων των αρχείων του συστήµατος είναι χρονοβόρα, γι αυτό υπάρχει και επιλογή όπου ελέγχονται µόνο τα σηµαντικά αρχεία. Όλα τα Antivirus δεν έχουν την ίδια συµπεριφορά ως προγράµµατα και άλλα είναι πιο γρήγορα ή άλλα απαιτούν λιγότερη µνήµη. Με την εµφάνιση ιών που µολύνουν αρχεία µε νέες καταλήξεις (.jpeg) τα προγράµµατα Antivirus γίνονται και πιο «βαριά» γιατί πρέπει να σαρώνουν περισσότερα αρχεία. Κάποια γνωστά Antivirus είναι: McAfee F-Secure Norton PC-Cillin 62

63 Avast (δωρεάν η βασική έκδοση) NOD32 Kaspersky Τα δύο τελευταία θεωρούνται τα καλύτερα αυτή τη στιγµή. Πιο µεγάλη σηµασία πάντως έχει η τακτική ενηµέρωση του προγράµµατος και λιγότερο η εταιρεία. Αντιµετώπιση ιών από το υλικό Ορισµένοι επεξεργαστές υπολογιστών όπως ο Sparc της Sun, ο Alpha και ο Athlon 64 έχουν την δυνατότητα να αποτρέπουν την εκµετάλλευση του φαινοµένου της υπερχείλισης στοίβας (stack overflow). Αυτό το φαινόµενο εκµεταλλεύονται επιβλαβή προγράµµατα για να εγγραφούν σε περιοχή της µνήµης που χρησιµοποιείται από άλλο πρόγραµµα. Ο επεξεργαστής χρησιµοποιώντας ένα bit φρουρό στους δείκτες µνήµης, απαγορεύει την εκτέλεση εντολών που βρίσκονται σε περιοχή δεδοµένων της µνήµης. Τη λειτουργία αυτή των επεξεργαστών πρέπει να την υποστηρίζει και το λειτουργικό σύστηµα. Τα Windows XP Service Pack 2 υποστηρίζουν αυτήν την τεχνολογία του Athlon 64 που ονοµάζεται NX-bit. 63

64 ΠΡΟΓΡΑΜΜΑΤΑ ANTISPYWARE Τα προγράµµατα Antispyware λειτουργούν µε παρόµοια φιλοσοφία µε τα προγράµµατα κατά των ιών, γιατί τα spyware εµφανίζουν παρόµοια συµπεριφορά µε τους ιούς. Ένα πρόγραµµα Antispyware είναι απαραίτητο για έναν υπολογιστή µε σύνδεση στο ιαδίκτυο γιατί µπορεί να προστατέψει από απειλές που δεν εντοπίζει το Antivirus όπως : spyware, adware, tracking cookies, dialers, hijackers, keyloggers, BHOs κ.α. Αν και ένα Antivirus τελευταίας έκδοσης µπορεί να εντοπίσει κάποια από τα παραπάνω, τα Antispyware είναι πιο εξειδικευµένα. Από την άλλη, ένα Antispyware µπορεί να εντοπίσει γνωστούς δούρειους ίππους και να συµπληρώσει τη λειτουργία ενός Antivirus. Λειτουργία Η λειτουργία είναι παρόµοια µε αυτήν των προγραµµάτων Antivirus. Ο χρήστης καθορίζει τους καταλόγους όπου θα γίνει ο έλεγχος και όταν αυτός ολοκληρωθεί, εµφανίζονται τα αποτελέσµατα. Συνήθως για καθετί που ανακαλύπτεται εµφανίζονται περισσότερες πληροφορίες για να ενηµερωθεί ο χρήστης για την ταυτότητα και το βαθµό επικινδυνότητας. Εκτός από τον έλεγχο στο δίσκο, ένα καλό πρόγραµµα Antispyware µπορεί να τρέχει στο παρασκήνιο για τον εντοπισµό απειλών σε πραγµατικό χρόνο. Με αυτήν τη δυνατότητα παρακολουθούνται συνεχώς οι ρυθµίσεις ασφάλειας του συστήµατος και του browser και κάποια σηµαντικά κλειδιά του µητρώου. Αν υπάρξει κάποια «περίεργη» αλλαγή, ειδοποιείται µε µήνυµα ο χρήστης για να επιτρέψει ή όχι την αλλαγή. Για παράδειγµα, κάποια επιβλαβή προγράµµατα αυτής της κατηγορίας προσθέτουν στο µητρώο την εγγραφή τους για να ξεκινούν αυτόµατα µε την έναρξη των Windows. Ένα Antispyware που τρέχει στο παρασκήνιο θα εντοπίσει την προσπάθεια αλλαγής και θα αποτρέψει την αλλαγή στο µητρώο (registry). Ενηµερώσεις Οι τακτικές ενηµερώσεις είναι απαραίτητες και σε ένα πρόγραµµα Antispyware γιατί συνεχώς εµφανίζονται νέες απειλές. Γνωστά Antispyware προγράµµατα Υπάρχει µεγάλος αριθµός προγραµµάτων από πολλές εταιρείες. Άλλα προσφέρονται δωρεάν και άλλα είναι εµπορικά. Μερικά από τα πιο γνωστά είναι : Ad-Aware SE Personal (δωρεάν χωρίς real-time έλεγχο) Spybot - Search and destroy (δωρεάν) SpywareGuard 64

65 Επίσης η Microsoft αναπτύσσει το πρόγραµµα Microsoft AntiSpyware που βρίσκεται σε έκδοση beta. Παρακάτω ακολουθεί συνοπτική παρουσίαση. Microsoft AntiSpyware Εκτός από τις πολλές επιλογές για τον έλεγχο αρχείων του δίσκου, το Microsoft AntiSpyware περιλαµβάνει security agents που ελέγχουν σε πραγµατικό χρόνο διάφορες «ύποπτες» συµπεριφορές σε τρία επίπεδα : στο Internet, στο σύστηµα και σε εφαρµογές (εικόνα 1). Επίσης υπάρχουν προηγµένα εργαλεία (Advanced Tools). Σε αυτά περιλαµβάνονται η διαγραφή ιχνών που αφήνουν ο browser και άλλες εφαρµογές, η επαναφορά των αρχικών ρυθµίσεων του Internet Explorer (σε περίπτωση Hijack) και η διαχείριση ρυθµίσεων του συστήµατος όπως τα προγράµµατα που ξεκινούν µε την έναρξη του λειτουργικού και οι ρυθµίσεις του Internet Explorer (εικόνα 2). εικόνα 1 65

66 εικόνα 2 Ad Aware SE personal (Lavasoft) Το Ad Aware είναι ένα πολύ γνωστό πρόγραµµα µε πολλές δυνατότητες στην δεύτερη έκδοση (SE). Το τµήµα για παρακολούθηση σε πραγµατικό χρόνο ονοµάζεται Ad Watch και είναι διαθέσιµο µόνο στην εµπορική έκδοση. Μεταξύ άλλων έχει τα παρακάτω χαρακτηριστικά. Εκτεταµένος έλεγχος της µνήµης Έλεγχος όλων των modules που φορτώνονται από µια διεργασία Χρήση της τεχνολογίας CSI (Code Sequence Identification) για τον εντοπισµό άγνωστων απειλών Έλεγχος του µητρώου και έλεγχος για Browser Hijackers Ενηµέρωση από το Internet Αυτόµατη αποµόνωση των στοιχείων που έχουν εντοπιστεί (quarantine) SpywareGuard Το SpywareGuard είναι ένα πρόγραµµα που προστατεύει τον υπολογιστή από εφαρµογές Spyware σε πραγµατικό χρόνο. εν υπάρχει η δυνατότητα ελέγχου του σκληρού δίσκου για τον εντοπισµό Spyware που έχει ήδη εγκατασταθεί. Τα προγράµµατα Spyware εντοπίζονται από την µηχανή ελέγχου πραγµατικού χρόνου που εργάζεται στο παρασκήνιο και ξεκινά µε την εκκίνηση του υπολογιστή. Το 66

67 πρόγραµµα αποτελείται από τρία µέρη (components). Η µηχανή ελέγχου σε πραγµατικό χρόνο (real-time scanning engine) σαρώνει τα αρχεία on-access όπως ένα πρόγραµµα Antivirus. Η προστασία download (download protection) εξασφαλίζει τον έλεγχο των αρχείων που κατεβάζει ο χρήστης από το διαδίκτυο. Τέλος, το component Browser hijack protection παρακολουθεί την κατάσταση του browser και ενηµερώνει το χρήστη για τυχόν αλλαγές από προγράµµατα hijack. Ένα παράδειγµα φαίνεται στην εικόνα 3 όπου το πρόγραµµα εντόπισε αλλαγή της αρχικής σελίδας του Internet Explorer (σε αυτό το παράδειγµα η αλλαγή έγινε χειροκίνητα για να ελεγχθεί το SpywareGuard). Ο χρήστης αποφασίζει αν θα επιτραπεί η αλλαγή ή όχι. εικόνα 3 67

68 FIREWALLS ΦΡΑΓΜΑΤΑ ΑΣΦΑΛΕΙΑΣ Θεµελιώδεις αρχές και ορισµοί Για την καλύτερη κατανόηση της λειτουργίας των φραγµάτων ασφάλειας (firewalls), παρακάτω θα εξηγηθούν κάποια στοιχεία που εµπλέκονται στη λειτουργία τους. Θύρες (Ports) Οι θύρες επικοινωνίας (ports) µπορούν να είναι ανοικτές ή κλειστές και το λειτουργικό σύστηµα που υποστηρίζει το πρωτόκολλο TCP/IP, τις διαχειρίζεται. Κάθε πρόγραµµα που επικοινωνεί µε το διαδίκτυο χρησιµοποιεί µια θύρα. Έτσι πολλά προγράµµατα ταυτόχρονα µπορούν να επικοινωνούν µε το διαδίκτυο, όπως για παράδειγµα ένας browser (port 80) και ένα πρόγραµµα Instant Messaging (σε κάποια άλλη θύρα). ιεύθυνση IP Κάθε υπολογιστής που είναι συνδεδεµένος στο διαδίκτυο έχει µια µοναδική διεύθυνση IP. Όλοι οι άλλοι υπολογιστές αναφέρονται σε αυτόν µε αυτήν τη διεύθυνση. Πρωτόκολλο επικοινωνίας Η επικοινωνία µεταξύ δυο προγραµµάτων γίνεται µε βάση κάποιο πρωτόκολλο. Το πρωτόκολλο το γνωρίζουν και τα δύο προγράµµατα και είναι ένα σύνολο προδιαγραφών (παράδειγµα το HTTP). Πρωτόκολλο µεταφοράς Το πρωτόκολλο µεταφοράς αναλαµβάνει το έργο της παρακολούθησης των µεταδιδόµενων πακέτων ώστε αυτά να φτάνουν σωστά στον προορισµό τους. ύο γνωστά πρωτόκολλα µεταφοράς που χρησιµοποιούνται στο διαδίκτυο είναι το TCP και το UDP. TCP/IP στοίβα Η στοίβα TCP/IP αποτελείται από πέντε επίπεδα (layers) και σε αυτήν στηρίζεται το διαδίκτυο. Κάθε ένα επίπεδο έχει το δικό του ρόλο. Το χαµηλότερο επίπεδο είναι το φυσικό επίπεδο (physical layer), το επόµενο είναι το Data Link Layer και µετά ακολουθεί το επίπεδο διαδικτύου (Internet layer). Το επίπεδο διαδικτύου είναι υπεύθυνο για τη δηµιουργία και δροµολόγηση των πακέτων. Σε αυτό το επίπεδο µπορεί να εµπλακεί ένα firewall που θα ελέγχει τις διευθύνσεις αποστολέα και παραλήπτη, τις θύρες και το πρωτόκολλο µεταφοράς. Όλα αυτά τα στοιχεία βρίσκονται στην επικεφαλίδα (header) κάθε πακέτου. Το τέταρτο επίπεδο είναι το επίπεδο µεταφοράς (transport layer) και σε αυτό το επίπεδο χρησιµοποιείται το πρωτόκολλο TCP. Το υψηλότερο επίπεδο είναι το επίπεδο εφαρµογής (Application layer) και σε αυτό το επίπεδο µπορεί να λειτουργήσει ένα firewall. Τι είναι το firewall Όταν συνδέεται ένα ενδοεπιχειρησιακό δίκτυο στο ιαδίκτυο (ή και οποιοσδήποτε υπολογιστής) παρέχεται κίνηση διπλής κατεύθυνσης (εισερχόµενη-εξερχόµενη). Αυτό µπορεί να µην είναι επιθυµητό σε εταιρικά δίκτυα όπου διακινούνται ευαίσθητα 68

69 δεδοµένα. Για να εξασφαλιστεί ένα επίπεδο διαχωρισµού µεταξύ ενός intranet ενός οργανισµού και του ιαδικτύου, χρησιµοποιούνται τα firewalls. Ένα firewall είναι ένα σύνολο από δικτυακά στοιχεία που αθροιστικά σχηµατίζουν ένα τείχος προστασίας ανάµεσα σε δυο δίκτυα. Όλη η κίνηση από και προς το εσωτερικό δίκτυο πρέπει να περάσει µέσα από το firewall και η διέλευση επιτρέπεται µόνο σε εξουσιοδοτηµένους χρήστες, όπως αυτή καθορίζεται από την τοπική πολιτική ασφάλειας. Ένα firewall µπορεί να υλοποιεί µία από τις παρακάτω δύο στρατηγικές. 1. Να επιτρέπει τη διέλευση πακέτων σε όλες τις υπηρεσίες εκτός κι αν µια υπηρεσία απαγορεύεται ρητά. 2. Να µπλοκάρει τη διέλευση πακέτων κάθε υπηρεσίας εκτός κι αν η υπηρεσία επιτρέπεται ρητά. Τα firewalls ανάλογα µε το επίπεδο στο οποίο λειτουργούν χωρίζονται σε φίλτρα πακέτων (λειτουργούν στο επίπεδο ιαδικτύου), και σε πύλες εφαρµογών. Οι πύλες εφαρµογών διακρίνονται σε πληρεξούσιους εξυπηρέτες που λειτουργούν στο επίπεδο εφαρµογής και σε πύλες επιπέδου κυκλώµατος που λειτουργούν στο επίπεδο µεταφοράς. Φίλτρα πακέτων Ένα φίλτρο πακέτων είναι µια συσκευή που ελέγχει κάθε πακέτο IP χωριστά ώστε να αποφασίσει αν θα επιτρέψει τη διέλευση ή θα το απορρίψει. Ο έλεγχος γίνεται στην επικεφαλίδα των πακέτων και µε βάση : Το είδος του πρωτοκόλλου που χρησιµοποιείται Τη διεύθυνση IP του αποστολέα Τη διεύθυνση IP του παραλήπτη Τους αριθµούς των θυρών που χρησιµοποιεί η υπηρεσία Τα flags (ενδείκτες) Τα φίλτρα πακέτων δεν έχουν µνήµη κατάστασης, κάτι που σηµαίνει πως οι αποφάσεις παίρνονται ξεχωριστά για κάθε πακέτο. Υπάρχουν όµως και κάποια πιο εξελιγµένα φίλτρα πακέτων που χρησιµοποιούν την τεχνική SPI (Stateful Packet Inspection), δηλαδή έχουν µνήµη κατάστασης. Επειδή λαµβάνεται υπόψη πληροφορία από προηγούµενα πακέτα, επόµενα πακέτα της ίδιας σύνδεσης θα περάσουν ή θα απορριφθούν άµεσα. Αν χρειάζεται η εξέταση επιπλέον πληροφορίας, το πακέτο εξετάζεται περισσότερο. Η συσκευή που είναι ταυτόχρονα φίλτρο πακέτων και δροµολογητής ονοµάζεται δροµολογητής διαλογής (screening router). Η χρήση των δροµολογητών διαλογής είναι πιο συνηθισµένη. Πλεονεκτήµατα φίλτρων πακέτων Χαµηλό κόστος τεχνολογίας. 69

70 ιαφανής εργασία για τις εφαρµογές. Μια εφαρµογή δε χρειάζεται να γνωρίζει την ύπαρξη του φίλτρου στο επίπεδο ιαδικτύου. Μειονεκτήµατα φίλτρων πακέτων Ο καθορισµός αποδοτικών κανόνων φιλτραρίσµατος είναι δύσκολος. Έχει σηµασία ακόµα και η σειρά µε την οποία πρέπει να εισαχθούν οι κανόνες. Η πολυπλοκότητα του συνόλου των κανόνων φιλτραρίσµατος αυξάνεται αν απαιτούνται κάποιες εξαιρέσεις σε αυτούς. Η πληροφορία των πακέτων που εξετάζεται δεν είναι πιστοποιηµένη (π.χ. η διεύθυνση IP του αποστολέα) Στο επόµενο σχήµα φαίνεται µια πύλη που φιλτράρει πακέτα (packet filtering gateway). Packet filtering gateway Πύλες εφαρµογών (Application gateways) Τα πρώτα firewalls ήταν πύλες εφαρµογών που είναι και γνωστές ως proxy gateways. Η πύλη εφαρµογών είναι µια διάταξη διασύνδεσης που συνδέει ένα δίκτυο µε ένα άλλο για µια εφαρµογή. Στο µοντέλο πελάτη εξυπηρέτη η πύλη εφαρµογών τρέχει µεταξύ του πελάτη και του εξυπηρέτη. Από το µέρος του πελάτη η πύλη εφαρµογών φαίνεται ως εξυπηρέτης και από το µέρος του εξυπηρέτη φαίνεται ως πελάτης. Υπάρχουν δύο κατηγορίες πυλών, ανάλογα µε το επίπεδο στο οποίο λειτουργούν. Αν η πύλη λειτουργεί στο επίπεδο εφαρµογής ονοµάζεται πύλη εφαρµογών και αν λειτουργεί στο επίπεδο µεταφοράς ονοµάζεται πύλη επιπέδου κυκλώµατος (circuitlevel gateway). Η πύλη που λειτουργεί στο επίπεδο εφαρµογής είναι προσανατολισµένη στη συγκεκριµένη εφαρµογή, ενώ αντίθετα η πύλη επιπέδου κυκλώµατος δεν είναι προσανατολισµένη σε συγκεκριµένη εφαρµογή. 70

71 Όταν ένας πελάτης συνδέεται σε µια πύλη εφαρµογών, πρέπει πρώτα να πιστοποιήσει την ταυτότητά του (π.χ. µε κωδικό πρόσβασης). Αν η πύλη αναγνωρίσει το χρήστη, του ζητάει το όνοµα του µηχανήµατος µε το οποίο θέλει να συνδεθεί. Στη συνέχεια η πύλη συνδέεται σε αυτό το µηχάνηµα εγκαθιστώντας µια δεύτερη σύνδεση. Αυτή η διαδικασία είναι διαφανής στο χρήστη. Με αυτόν τον τρόπο όλα τα πακέτα περνούν υποχρεωτικά από την πύλη εφαρµογών. Η πύλη ελέγχει τα δεδοµένα και στη συνέχεια τα µετάγει στην άλλη σύνδεση. Ένας υπολογιστής-οχυρό (bastion host) είναι ένα σύστηµα firewall πύλης εφαρµογών. Τρέχει συνήθως κάποια ειδική έκδοση του Unix/Linux µε µειωµένη λειτουργικότητα και µόνο µε τις απαραίτητες υπηρεσίες. Αυτό συµβαίνει γιατί ένα τέτοιο σύστηµα εκτίθεται σε άµεσες επιθέσεις από το ιαδίκτυο. Πλεονεκτήµατα Επιτρέπονται µόνο τα πρωτόκολλα για τα οποία υπάρχει πληρεξούσιος εξυπηρέτης. Τα πρωτόκολλα εφαρµογής µπορούν να φιλτραριστούν (π.χ. µπλοκάρισµα ActiveX σε HTTP). Μειονεκτήµατα Μη αποτελεσµατικός χειρισµός εφαρµογών που βασίζονται στο UDP. Η εγκατάσταση πληρεξούσιου εξυπηρέτη για εταιρικά πρωτόκολλα εφαρµογής. Στο παρακάτω σχήµα φαίνεται µια πύλη εφαρµογών. Application gateway 71

72 Υβριδικά συστήµατα Σε µια προσπάθεια να συνδυαστούν η ασφάλεια των πυλών εφαρµογών και η ευελιξία και ταχύτητα των φίλτρων πακέτων, υπάρχουν συστήµατα που χρησιµοποιούν τις αρχές και των δύο. Αυτά τα συστήµατα ονοµάζονται υβριδικές πύλες. ιπλοσυνδεδεµένα φράγµατα ασφάλειας (Dual-Homed Firewalls) Τα διπλοσυνδεδεµένα φράγµατα ασφάλειας εµποδίζουν πλήρως τη διέλευση κίνησης IP µεταξύ του ιαδικτύου και του ιδιωτικού δικτύου. Η πρόσβαση στο ιδιωτικό δίκτυο πετυχαίνεται µέσω πληρεξούσιων εξυπηρετών που τρέχουν στον υπολογιστήοχυρό. Ένα Dual-homed firewall αποτελείται από έναν υπολογιστή-οχυρό µε δύο interfaces και µε απενεργοποιηµένη τη δροµολόγηση πακέτων IP. Στον υπολογιστήοχυρό τρέχουν οι πύλες εφαρµογών. Επιπλέον, ένας δροµολογητής διαλογής τοποθετείται µεταξύ του υπολογιστή-οχυρού και του ιαδικτύου. Αυτός εξασφαλίζει ότι τα πακέτα IP που έρχονται από το ιαδίκτυο απευθύνονται µε σωστό τρόπο στον υπολογιστή-οχυρό. Φράγµατα ασφάλειας υπολογιστή διαλογής (Screened Host Firewalls) Στο διπλοσυνδεδεµένο φράγµα ασφάλειας ο υπολογιστής-οχυρό είναι προσαρτηµένος και στα δύο δίκτυα. Αντίθετα, σε ένα φράγµα ασφάλειας υπολογιστή διαλογής ο υπολογιστής-οχυρό είναι προσαρτηµένος µόνο στο εσωτερικό δίκτυο. Υπάρχει και εδώ δροµολογητής διαλογής που συνδέει το εσωτερικό δίκτυο µε το ιαδίκτυο, αλλά πρέπει να είναι έτσι ρυθµισµένος ώστε να στέλνει όλα τα επιτρεπόµενα πακέτα IP από το ιαδίκτυο στην πύλη εφαρµογών του υπολογιστή-οχυρού. Ένα screened host firewall είναι πιο ευέλικτο από ένα dual-homed αλλά µε τίµηµα την µειωµένη ασφάλεια. 72

73 Φράγµατα ασφάλειας υποδικτύου διαλογής (Screened Subnet Firewalls) Ένα φράγµα ασφάλειας υποδικτύου διαλογής είναι ένα Screened host firewall µε έναν επιπλέον δροµολογητή διαλογής µεταξύ του ιδιωτικού δικτύου και του υπολογιστήοχυρού. Οι δυο δροµολογητές διαλογής δηµιουργούν ένα εσωτερικό υποδίκτυο διαλογής, που είναι πιο γνωστό ως αποστρατιωτικοποιηµένη ζώνη (DMZ). Αυτή η ζώνη δεν ανήκει ούτε στο trusted δίκτυο ούτε στο untrusted. Η σηµασία της είναι πολύ µεγάλη γιατί κάποιος που θέλει να εισβάλει στο δίκτυο από το ιαδίκτυο, πρέπει να περάσει από πολλά επίπεδα για να το καταφέρει. Αυτά τα επίπεδα παρέχονται από διάφορα στοιχεία µέσα στο DMZ. Προσωπικά φράγµατα ασφάλειας Αυτά τα firewalls είναι λογισµικό που εγκαθίσταται σε κάθε υπολογιστή που χρειάζεται προστασία ξεχωριστά. Ένα τέτοιο firewall λειτουργεί στο επίπεδο εφαρµογών της στοίβας του TCP/IP και εξετάζει όλα τα δεδοµένα που διακινούνται από και προς τον υπολογιστή. Το λογισµικό αυτό είναι γραµµένο για συγκεκριµένο λειτουργικό σύστηµα και γι αυτό για κάθε πρόγραµµα που χρειάζεται πρόσβαση στο 73

74 διαδίκτυο, η πρόσβαση µπορεί να επιτραπεί ή να απαγορευτεί. Αν το πρόγραµµα δεν βρίσκεται ήδη στη λίστα και επιχειρήσει να βγει στο ιαδίκτυο για πρώτη φορά, θα ειδοποιηθεί ο χρήστης για να πάρει την απόφασή του. Όλη η εισερχόµενη κίνηση ελέγχεται και στα περισσότερα ελέγχεται και η εξερχόµενη (όχι πάντως στο firewall των Windows XP). Οι τεχνικές φιλτραρίσµατος που χρησιµοποιούν τα software firewalls είναι πολύπλοκες αλλά αποτελεσµατικές. Όλα τα γεγονότα καταγράφονται και οι θύρες δεν φαίνονται κλειστές αλλά filtered. Ως προγράµµατα που είναι, έχουν το µειονέκτηµα ότι µπορούν να τερµατιστούν βίαια από κάποια κακόβουλα προγράµµατα και να σταµατήσει η προστασία που προσφέρουν. Γνωστά firewalls αυτής της κατηγορίας είναι το ZoneAlarm, το Sygate κ.α. Προστασία των φραγµάτων ασφάλειας Ένα φράγµα ασφάλειας µπορεί να προστατέψει ένα δίκτυο από κάποια επίθεση (όχι πάντα) και να ειδοποιήσει το χρήστη για κάποια περίεργη δραστηριότητα. Επίσης αν ελέγχεται η εξερχόµενη κίνηση µπορεί να εµποδιστεί η σύνδεση ενός δούρειου ίππου, που εγκαταστάθηκε στο σύστηµα, µε το ιαδίκτυο. Αντίθετα ένα firewall δεν προστατεύει από επιθέσεις που προέρχονται από δεδοµένα, όπως από ιούς ή σκουλήκια. Επίσης σε ένα τοπικό δίκτυο ένα firewall δεν προσφέρει προστασία σε επιθέσεις εκ των έσω. Παράκαµψη των firewalls µπορεί να γίνει και µε χρήση τεχνικών tunneling (διάνοιξη σήραγγας). Τα δεδοµένα ενός απαγορευµένου πρωτοκόλλου µπορούν να ενθυλακωθούν σε ένα επιτρεπόµενο πρωτόκολλο και να περάσουν από το firewall. Στον προορισµό η ενθυλάκωση αφαιρείται. Στη συνέχεια ακολουθεί αναλυτική παρουσίαση ενός προσωπικού firewall µε πολλές δυνατότητες, του ZoneAlarm. ZoneAlarm pro with web filtering Το ZoneAlarm είναι ένα software firewall που η βασική του έκδοση είναι διαθέσιµη δωρεάν, ενώ η έκδοση pro πωλείται. Είναι από τα πιο γνωστά προγράµµατα του είδους για προσωπικούς υπολογιστές, έχει πολλά χαρακτηριστικά και η πολιτική του είναι ότι ο χρήστης αποφασίζει ποια προγράµµατα µπορούν να έχουν πρόσβαση στο δίκτυο και ποια όχι. Η παραπάνω έκδοση του ZoneAlarm δεν είναι ένα απλό firewall αλλά έχει πολλές λειτουργίες όπως privacy protection, protection, web filtering, data protection. ΚΕΝΤΡΟ ΕΛΕΓΧΟΥ (control center) Μετά την εγκατάσταση του προγράµµατος ο χρήστης απαντά σε κάποιες ερωτήσεις για λόγους ρυθµίσεων και όταν γίνει αυτό εµφανίζεται το κέντρο ελέγχου. Αριστερά υπάρχει η στήλη µε το κεντρικό µενού (menu bar) µε τις ακόλουθες επιλογές: Overview, Firewall, Program Control, Alerts and Logs, Privacy, 74

75 protection, Web filtering, ID lock. Για κάθε µια επιλογή του µενού υπάρχουν πάνω δεξιά tab selectors και απο εκεί ο χρήστης επιλέγει την καρτέλα που τον ενδιαφέρει. Στο πάνω µέρος υπάρχουν ενδείξεις για την εισερχόµενη και εξερχόµενη κίνηση, για την κατάσταση κλειδώµατος και για τα ενεργά προγράµµατα. Overview Στην καρτέλα status εµφανίζονται πληροφορίες για την κατάσταση του προγράµµατος όπως πόσες εισβολές έχουν µπλοκαριστεί, πόσα προγράµµατα έχουν πρόσβαση στο δίκτυο, πόσα ύποπτα µηνύµατα ηλεκτρονικού ταχυδροµείου έχουν εντοπιστεί. Στην καρτέλα Product Info εµφανίζονται πληροφορίες για την έκδοση του προγράµµατος (αριθµός έκδοσης, κατάσταση έκδοσης- π.χ. trial ή full license version). Επίσης από εδώ ο χρήστης µπορεί να κάνει update καθώς και register της έκδοσης. Στην καρτέλα Preferences υπάρχουν πολλές επιλογές για τον τρόπο λειτουργίας του προγράµµατος. Από εδώ ο χρήστης µπορεί να ορίσει έναν προσωπικό κωδικό ώστε µόνο αυτός να µπορεί να αλλάζει τις ρυθµίσεις ασφάλειας του firewall. Το σύνολο των ρυθµίσεων ασφάλειας που ισχύουν µια χρονική στιγµή µπορεί να γίνει backup σε µορφή XML και ανά πάσα στιγµή restore αν γίνει κάποια αλλαγή από λάθος. Αµέσως πιο κάτω στις επιλογές καθορίζεται η πολιτική των ενηµερώσεων του προγράµµατος(updates). Οι ενηµερώσεις µπορούν να γίνονται αυτόµατα ή από το χρήστη χειροκίνητα. Στις γενικές επιλογές ο χρήστης αν θέλει µπορεί να επιλέξει να ξεκινά αυτόµατα το πρόγραµµα κατά την εκκίνηση και επίσης να θυµάται τις τελευταίες καρτέλες που επισκέφτηκε ο χρήστης. Firewall Στην καρτέλα Main παρατηρούµε ότι το firewall χωρίζει τον κόσµο σε τρεις ζώνες. Internet Zone: Για προστασία από άγνωστους υπολογιστές του διαδικτύου. Trusted Zone: Για sharing µε έµπιστους υπολογιστές. Blocked Zone: Για αποκλεισµό µη έµπιστων υπολογιστών. Για κάθε µια από τις ζώνες (εκτός από την blocked zone γιατί δεν επιτρέπει επικοινωνία) υπάρχουν τρία επίπεδα ασφάλειας low, medium και high. Για τη ζώνη του Internet προτείνεται το επίπεδο high. Σε αυτό το επίπεδο ο υπολογιστής που προστατεύεται είναι σε stealth mode που σηµαίνει ότι είναι αόρατος, σαν να είναι offline. Για την Τrusted zone προτείνεται το επίπεδο medium που επιτρέπει τον διαµοιρασµό πόρων. Στο επίπεδο low πρακτικά το firewall είναι εκτός λειτουργίας! Αν ο χρήστης πατήσει το κουµπί advanced θα εµφανιστεί ένα παράθυρο µε προχωρηµένες ρυθµίσεις ασφάλειας. Gateway security : Πρέπει να είναι επιλεγµένο όταν σε µια επιχείριση όλοι οι σταθµοί πρέπει να τρέχουν το zonealarm για να δώσει πρόσβαση στο internet ο gateway του δικτύου της εταιρίας. Αν δεν υπάρχει gateway και είναι επιλεγµένο δεν υπάρχει πρόβληµα. Internet connection sharing : Υπάρχουν 3 περιπτώσεις - επιλογές. Να µην υπάρχει gateway, ο υπολογιστής να είναι client του gateway ή να είναι ο ίδιος gateway. Παρακάτω υπάρχουν κάποιες γενικές επιλογές και επιλογές σχετικά µε το τι θα γίνει αν το firewall εντοπίσει ένα νέο δίκτυο. 75

76 Στην καρτέλα Zones ο χρήστης µπορεί να προσθέσει υπολογιστές ή δίκτυα στην trusted zone ή στην blocked zone. Αυτό µπορεί να γίνει,επιλέγοντας add, µε διάφορους τρόπους όπως δίνοντας το host name, την διεύθυνση IP ή αν πρόκειται για πολλούς υπολογιστές το IP range ή το subnet mask. Στην καρτέλα Expert ο χρήστης έχει τη δυνατότητα να διαχειριστεί ειδικούς κανόνες (expert rules). Με αυτούς τους κανόνες φιλτράρονται πακέτα σύµφωνα µε χαρακτηριστικά όπως : 1. IP διεύθυνση προέλευσης ή προορισµού 2. αριθµός θύρας προέλευσης ή προορισµού 3. network protocol 4. ηµέρα και ώρα Αυτοί οι κανόνες είναι πιο ισχυροί από τους κανόνες Zones και έτσι εφαρµόζονται πρώτα. Program Control Στην καρτέλα Main υπάρχουν οι επιλογές για τον έλεγχο των προγραµµάτων που βγαίνουν στο internet. Όταν ένα πρόγραµµα ζητάει πρόσβαση για πρώτη φορά, ένα new program alert ρωτά το χρήστη αν θέλει να του επιτρέψει την πρόσβαση. Αν το πρόγραµµα ζητά δράση ως server εµφανίζεται ένα server program alert. Όποτε ένα πρόγραµµα ζητάει πρόσβαση στο internet το ZoneAlarm κάνει πιστοποίηση µέσω της υπογραφής MD5. Αν η υπογραφή αυτή αλλάξει (πιθανόν από παρέµβαση κακόβουλου προγράµµατος ή hacker) το πρόγραµµα εµφανίζει ένα changed program alert. Για µεγαλύτερη ασφάλεια γίνεται πιστοποίηση και των components των προγραµµάτων ( π.χ. dll ). Για τον έλεγχο των προγραµµάτων υπάρχουν τα επίπεδα off, low, medium και high. Για τις πρώτες χρήσεις προτείνεται η επιλογή medium έτσι ώστε ο έλεγχος των components να είναι σε mode µάθησης. Όταν όλα τα προγράµµατα (browser, , chat) χρησιµοποιηθούν τουλάχιστον µια φορά, καλό είναι να χρησιµοποιηθεί η επιλογή high. Στην ίδια καρτέλα ο χρήστης µπορεί να ενεργοποιήσει ή να απενεργοποιήσει το αυτόµατο κλείδωµα (automatic lock). Όταν το κλείδωµα είναι ενεργοποιηµένο επιτρέπεται µόνο η κίνηση που προκαλείται από προγράµµατα που µπορούν να περάσουν το κλείδωµα (Pass lock). Το αυτόµατο κλείδωµα ενεργοποιείται µε κριτήριο µια συγκεκριµένη χρονική περίοδο χωρίς δραστηριότητα ή όταν ενεργοποιηθεί η προφύλαξη οθόνης. Στην καρτέλα Programs υπάρχει η λίστα µε τα προγράµµατα που έχουν προσπαθήσει να επικοινωνήσουν µε το internet ή µε το τοπικό δίκτυο. Η πρώτη στήλη (Active) δείχνει µε µια πράσινη κουκίδα αν το αντίστοιχο πρόγραµµα είναι ενεργό εκείνη τη στιγµή. Οι στήλες Access και Server δείχνουν τα δικαιώµατα πρόσβασης και server αντίστοιχα στις ζώνες trusted και internet. Υπάρχουν τρία δυνατά σύµβολα: το ερωτηµατικό, το νι και το χι. Το νι επιτρέπει την πρόσβαση, το χι την απαγορεύει, ενώ το ερωτηµατικό προκαλεί την εµφάνιση Program Alert σε πραγµατικό χρόνο ώστε να αποφασίσει ο χρήστης εκείνη τη στιγµή. Τα permissions µπορούν να αλλάξουν κάνοντας αριστερό κλικ µε το ποντίκι στα εικονίδια στις στήλες Access/Server. Στη στήλη Send Mail φαίνεται µε τον παραπάνω συµβολισµό αν το πρόγραµµα έχει το δικαίωµα να στέλνει ή όχι. Τέλος, στην τελευταία στήλη όπου φαίνεται µια κλειδαριά ο χρήστης καθορίζει αν το πρόγραµµα µπορεί να 76

77 περάσει την κατάσταση κλειδώµατος. Αν ισχύει αυτό για κάποιο πρόγραµµα, υπάρχει ένα εικονίδιο κλειδί στην αντίστοιχη θέση. (Βλέπε εικόνα) Κάτω δεξιά παρατηρούµε ότι υπάρχει ένα κουµπί Options που αν πατηθεί εµφανίζονται προχωρηµένες επιλογές ελέγχου προγράµµατος. Αυτές οι επιλογές αναφέρονται µόνο στο πρόγραµµα που έχει επιλεγεί προηγουµένως από τη λίστα και είναι διαθέσιµες για οποιοδήποτε πρόγραµµα. Ο προηγµένος έλεγχος προγράµµατος (Advanced Program Control) ενισχύει την ασφάλεια µε το να µην επιτρέπει άγνωστα προγράµµατα να χρησιµοποιούν έµπιστα προγράµµατα για πρόσβαση στο internet, καθώς και µε το να µην επιτρέπει σε hackers να χρησιµοποιήσουν τη λειτουργία Open Process των Windows για έλεγχο του υπολογιστή. (Επιλογές This program may use other programs to access the Internet, Allow OpenProcess αντίστοιχα). Εκτός από τον προηγµένο έλεγχο υπάρχουν και επιλογές προστασίας , φιλτραρίσµατος και authentication. Επίσης µπορούν να οριστούν για κάθε πρόγραµµα ξεχωριστά expert rules για µεγαλύτερο έλεγχο. Στην καρτέλα Components µπορεί να γίνει η διαχείριση των components των προγραµµάτων. Στη λίστα υπάρχουν τα components που χρησιµοποιούν τα προγράµµατα που έχουν πρόσβαση στο internet. Για κάθε πρόγραµµα ο χρήστης µπορεί να καθορίσει αν θα γίνεται πιστοποίηση µόνο του εκτελέσιµου αρχείου ή και των components που φορτώνει. Η στήλη Access της λίστας δείχνει αν επιτρέπεται πάντα η πρόσβαση στο component ή αν πρέπει να ειδοποιείται ο χρήστης όταν το component ζητά πρόσβαση. Alerts and Logs Με τις επιλογές για τις προειδοποιήσεις (alerts) και την καταγραφή (log) ο χρήστης καθορίζει το είδος των γεγονότων για τα οποία εµφανίζεται alert και τα γεγονότα τα οποία καταγράφονται σε log αρχεία. 77

78 Στην καρτέλα Main στην επιλογή Alert Events Shown ο χρήστης επιλέγει ποια alerts θα εµφανίζονται. Alerts προγραµµάτων και ID lock εµφανίζονται πάντα γιατί ο χρήστης αποφασίζει για το αν θα δώσει πρόσβαση. Υπάρχουν τρία επίπεδα: high, medium και off. High Med Off Εµφανίζεται alert για κάθε γεγονός ασφάλειας που συµβαίνει Εµφανίζονται µόνο alerts που έχουν χαρακτηριστεί highrated(hacker activity) Informational alerts δεν εµφανίζονται καθόλου Στις περιοχές Event Logging και Program Logging ο χρήστης επιλέγει τους τύπους των informational alerts και των program alerts που καταγράφονται αντίστοιχα. Για την πρώτη περίπτωση υπάρχουν οι επιλογές on off ενώ για τα program alerts οι επιλογές high, medium και off. Στην επιλογή medium καταγράφονται µόνο τα high rated alerts. Η επιλογή high είναι η default και καταγράφονται όλα τα program alerts. Πατώντας το κουµπί Advanced εµφανίζονται προχωρηµένες επιλογές για alerts και logs. Σε περίπτωση που µπλοκαριστεί κάποιο traffic µπορεί να εµφανιστεί alert και να καταγραφεί. Τα γεγονότα που µπορεί να συµβεί αυτό τα επιλέγει ο χρήστης από τη λίστα. System Tray Alert : Αν είναι ενεργοποιηµένο, όταν υπάρχει κάποιο alert ο χρήστης ενηµερώνεται σιωπηρά µε το εικονίδιο που αναβοσβήνει στο system tray κάτω δεξιά. Στην καρτέλα Log Viewer φαίνονται τα log entries. Εµφανίζονται πολλές πληροφορίες όπως rating, date, type, protocol, IP κ.α. Επιλέγοντας µια εγγραφή, στο παράθυρο entry detail εµφανίζονται λεπτοµέρειες όπως οι παρακάτω. Field Description Direction Type Source DNS Source IP Rating Protocol Action Taken Destination DNS Destination IP A description of the event. Information The direction of the blocked traffic. "Incoming" means the traffic was sent to your computer. "Outgoing" means the traffic was sent from your computer. The type of alert: Firewall, Program, ID Lock, or Lock Enabled. The domain name of the computer that sent the traffic that caused the alert. The IP address of the computer that sent the traffic that Zone Labs security software blocked. Each alert is high-rated or medium-rated. High-rated alerts are those likely to have been caused by hacker activity. Medium- rated alerts are likely to have been caused by unwanted but harmless network traffic. The communications protocol used by the traffic that caused the alert. How the traffic was handled by Zone Labs security software. The domain name of the intended addressee of the traffic that caused the alert. The address of the computer the blocked traffic was sent to. 78

79 Count Date/Time Program The number of times an alert of the same type, with the same source, destination, and protocol, occurred during a single session. The date and time the alert occurred. The name of the program attempting to send or receive data. (Applies only to Program and ID Lock alerts). Το αρχείο καταγραφής είναι ένα αρχείο κειµένου µε όνοµα ZAlog.txt. Για να µη µεγαλώνει πολύ αυτό το αρχείο δηµιουργούνται άλλα αρχεία κειµένου µε όνοµα που περιέχει ηµεροµηνία για την αποθήκευση των εγγραφών. Privacy Όταν κάποιος κάνει περιήγηση σε ιστοσελίδες στο διαδίκτυο επισκεπτόµενος δικτυακούς τόπους, προκύπτει θέµα ιδιωτικότητας (privacy). Κάποια site χρησιµοποιούν cookies, εµφανίζουν διαφηµιστικά µηνύµατα χωρίς να ερωτηθεί ο χρήστης, συλλέγουν δεδοµένα για την εύρεση των συνηθειών του χρήστη και εκτελούν dynamic web content. Στην καρτέλα Main στο πεδίο cookie control ο χρήστης επιλέγει το επίπεδο στο οποίο µπλοκάρονται τα cookies και οι δυνατές επιλογές είναι off, medium και high. Στη θέση off επιτρέπονται όλα τα cookies και εποµένως η υπηρεσία είναι ανενεργή, στη θέση high µπλοκάρονται όλα τα cookies εκτός από τα session cookies και στη θέση medium µπλοκάρονται τα cookies από tracking sites αλλά επιτρέπονται αυτά που χρησιµοποιούνται για προσωπικές υπηρεσίες. Προτείνεται η επιλογή medium γιατί στην επιλογή high υπάρχει περίπτωση να µην είναι δυνατή η φόρτωση κάποιων ιστοσελίδων. (session cookies: Αυτά τα cookies αποθηκεύονται στην cache του browser και σβήνονται µόλις κλείνει ο browser. Έχουν µικρή διάρκεια ζωής γι αυτό είναι ασφαλή persistent cookies: Αυτά τα cookies αποθηκεύονται στο σκληρό δίσκο και προέρχονται από site που επισκέπτεται ο χρήστης. Την επόµενη φορά που ο χρήστης θα επισκεφτεί το site η πληροφορία-για τον υπολογιστή ή για internet- είναι διαθέσιµη σε αυτό third party cookies: είναι persistent cookies που προέρχονται από κάποιον διαφηµιστή ή τρίτο και όχι από το website) Επιπλέον πατώντας το κουµπί custom ο χρήστης επιλέγει αυτός τα είδη των cookies που µπλοκάρονται καθώς και τη διάρκεια ζωής τους (expire). Η λειτουργία Ad blocking συµβάλει στο µπλοκάρισµα των ενοχλητικών διαφηµιστικών µηνυµάτων. Υπάρχουν και εδώ τρεις επιλογές off, medium και high µε προτεινόµενη την τελευταία. Η επιλογή high µπλοκάρει όλες τις διαφηµίσεις σε µορφή banner, animated και pop-up. Η medium επιτρέπει τις διαφηµίσεις banner, ενώ η επιλογή off επιτρέπει όλες τις διαφηµίσεις. Με το παράθυρο που εµφανίζεται πατώντας το κουµπί custom, γίνεται η επιλογή των τύπων των διαφηµίσεων χειροκίνητα και η επιλογή του τι θα εµφανίζεται στη θέση των µπλοκαρισµένων διαφηµίσεων. Η λειτουργία Mobile Code Control ελέγχει την εκτέλεση προγραµµάτων mobile code. Λέγοντας mobile code εννοούµε το περιεχόµενο µιας ιστοσελίδας που είναι εκτελέσιµο ή active, για παράδειγµα Java apples, ActiveX, Javascript. Με αυτά οι ιστοσελίδες φαίνονται πιο δυναµικές αλλά, επιβλαβής κώδικας µπορεί να προκαλέσει καταστροφές όπως σβήσιµο αρχείων και κλοπή κωδικών. Όταν το mobile code control είναι ενεργοποιηµένο µπλοκάρονται embedded objects, mime objects και 79

80 scripts και επιτρέπονται µόνο javascripts. Αν δεν επιθυµεί ο χρήστης ούτε javascripts πρέπει να το επιλέξει από µενού που θα εµφανιστεί πατώντας το κουµπί custom. Στην καρτέλα Site List υπάρχει η λίστα µε sites που για κάθε site υπάρχουν ξεχωριστές ρυθµίσεις privacy. Πατώντας το κουµπί add γίνεται η προσθήκη του URL που ενδιαφέρει το χρήστη. Οι στήλες ρυθµίσεων είναι οι Mobile Code, Cookie Control, Web Bugs και Private Header. Για τις δυο πρώτες στήλες µε αριστερό κλικ ποντικιού επιλέγεται το µπλοκάρισµα ή το πέρασµα(allow). Στη στήλη Web Bugs(αναφέρεται στα cookies τρίτης αρχής) υπάρχουν οι επιλογές enable / disable. Η επιλογή disable εµποδίζει τους advertisers από το να συλλέξουν πληροφορίες για τις σελίδες που επισκέφτηκε ο χρήστης. Στη στήλη Private Header υπάρχουν οι επιλογές allow / disallow. Αν δεν επιτρέπονται Private Headers, third party πηγές δεν µπορούν να έχουν πληροφορία IP, login name, workstation name και άλλα προσωπικά στοιχεία. Τέλος και εδώ µε το πάτηµα του κουµπιού options ο χρήστης ρυθµίζει µε λεπτοµέρεια αν θέλει τις επιλογές privacy, για κάθε site. Η τρίτη και τελευταία καρτέλα είναι η Cache Cleaner. Ο cache cleaner σβήνει τα περιεχόµενα της cache καθώς και προσωρινά αρχεία που συντελούν στη µείωση της απόδοσης. Σε κοινόχρηστους υπολογιστές αυτά τα αρχεία και οι πληροφορίες δεν πρέπει να µένουν, για να διατηρηθεί η ιδιωτικότητα των χρηστών (privacy). Το σβήσιµο των περιεχοµένων της cache µπορεί να γίνει χειροκίνητα πατώντας το κουµπί clean now, αλλά µπορεί να γίνεται και αυτόµατα µε περίοδο που καθορίζει ο χρήστης. Πατώντας το κουµπί custom ο χρήστης καθορίζει τα είδη των αρχείων που θα σβήνει ο cache cleaner. Παρατηρούµε ότι υπάρχουν οι κατηγορίες Hard Drive (αρχεία των Windows), Internet Explorer και Netscape. Οι δύο τελευταίες αναφέρονται σε αρχεία των browsers. E mail protection Το ZoneAlarm προσφέρει προστασία των ηλεκτρονικών µηνυµάτων που συµπληρώνει την προστασία ενός antivirus. Το e mail είναι συνηθισµένος τρόπος διάδοσης των ιών µέσω επισυναπτόµενων αρχείων. Παρατηρούµε ότι στην καρτέλα Main υπάρχουν δύο κατηγορίες προστασίας: Η προστασία των εισερχόµενων µηνυµάτων(inbound mail safe protection) και η προστασία των εξερχόµενων µηνυµάτων (outbound mail safe protection). Αν η προστασία των εισερχόµενων µηνυµάτων είναι ενεργοποιηµένη και ληφθεί µήνυµα µε attachment που είναι µολυσµένο τότε αυτό µπαίνει σε καραντίνα για να µην εκτελεστεί χωρίς την άδεια του χρήστη. Οι επεκτάσεις των αρχείων που ελέγχονται δηλώνονται στην καρτέλα Attachments. Αν είναι ενεργοποιηµένη η προστασία των εξερχόµενων µηνυµάτων, το πρόγραµµα εµποδίζει την αποστολή µηνυµάτων που είναι ύποπτα για ιό. Στην επιλογή advanced υπάρχουν οι ρυθµίσεις για τα εξερχόµενα µηνύµατα. Μπορεί να εµφανιστεί alert όταν στέλνεται µαζικά ένας αριθµός e mail που καθορίζεται από το χρήστη, όταν ένα µήνυµα έχει πολλούς παραλήπτες (εξάπλωση ιού) και όταν ο αποστολέας δε βρίσκεται σε λίστα που µπορεί να ορίσει ο χρήστης. 80

81 Στην καρτέλα Attachments βρίσκονται οι τύποι των αρχείων που µπορούν να µπουν σε καραντίνα (quarantined). Ο χρήστης έχει τη δυνατότητα να προσθέσει κι άλλες επεκτάσεις αρχείων πατώντας Add. Αν θέλουµε να επιτρέψουµε την εκτέλεση ενός τύπου attachment, µε αριστερό κλικ µε το ποντίκι επιλέγουµε allow. Web Filtering Με τη λειτουργία web filtering φιλτράρονται κάποιες ιστοσελίδες µε συγκεκριµένο περιεχόµενο. Αναφέρεται και ως parental control (γονικός έλεγχος) γιατί µπορεί να γίνει έλεγχος των σελίδων που βλέπουν τα παιδιά. Στην καρτέλα Main γίνεται η επιλογή για την ενεργοποίηση ή απενεργοποίηση της υπηρεσίας. Όταν το web filtering είναι ενεργοποιηµένο, οι κατηγορίες των site που µπλοκάρονται επιλέγονται από τον χρήστη στην καρτέλα Categories. Επίσης γίνεται διαθέσιµη και η επιλογή smart filtering. Αν ο χρήστης ενεργοποιήσει το smart filtering τότε το ZoneAlarm µπορεί να αξιολογήσει ένα site ως προς το περιεχόµενο όταν ο χρήστης τo επισκεφτεί, σε περίπτωση που το site είναι unrated. Όταν το smart filtering είναι off, τότε sites µε µη κατηγοριοποιηµένο περιεχόµενο εµφανίζονται κανονικά. (+ Cerberian) Πατώντας το κουµπί advanced εµφανίζονται επιπλέον επιλογές για το χρονικό διάστηµα που το πρόγραµµα θα προσπαθεί για την κατηγοριοποίηση του site και τι θα κάνει αν αυτό δε µπορεί να γίνει στο παραπάνω χρονικό διάστηµα (allow / block). Στην καρτέλα Categories εµφανίζονται σε λίστα κατηγορίες περιεχοµένου (π.χ. drugs, pay to serf sites, violence). Οι επιλεγµένες κατηγορίες µπλοκάρονται. ID Lock Η λειτουργία ID Lock ασφαλίζει προσωπικές πληροφορίες από hackers. Κάποιες φορές οι χρήστες χρησιµοποιούν προσωπικές πληροφορίες (διεύθυνση, αριθµός πιστωτικής, κωδικοί) σε e mail ή σε φόρµες web. Επειδή είναι πιθανό να γίνει υποκλοπή, η λειτουργία ID Lock διαβεβαιώνει ότι οι προσωπικές πληροφορίες στέλνονται µόνο σε site που εµπιστεύεται ο χρήστης. Σε µια ασφαλή περιοχή που ονοµάζεται myvault αποθηκεύονται οι πληροφορίες που θα προστατευτούν. Η µετάδοση των περιεχοµένων του myvault σε µη εξουσιοδοτηµένους προορισµούς µπλοκάρεται, είτε αυτή προέρχεται από το χρήστη είτε από κάποιο Trojan horse. Στην καρτέλα Main υπάρχουν τα επίπεδα λειτουργίας του ID Lock. Αυτά είναι off, medium και high. Στην επιλογή medium εµφανίζεται alert όταν πρόκειται να µεταδοθούν πληροφορίες σε µη εξουσιοδοτηµένους προορισµούς, ενώ στην επιλογή high γίνεται µπλοκάρισµα της µετάδοσης χωρίς να εµφανιστεί τίποτα στο χρήστη. Στην καρτέλα myvault ο χρήστης προσθέτει την πληροφορία που θα προστατεύεται αφού επιλέξει µια από τις πολλές κατηγορίες. Στη συνέχεια τα δεδοµένα κρυπτογραφούνται και αποθηκεύεται µόνο η τιµή hash των δεδοµένων. Από την τιµή hash δεν µπορούν να ανακτηθούν τα δεδοµένα. Σε κάποιες κατηγορίες δεδοµένων ο χρήστης µπορεί να απενεργοποιήσει την κρυπτογράφηση. 81

82 Στην καρτέλα Trusted Sites εµφανίζονται σε λίστα οι δικτυακοί τόποι που εµπιστεύεται ο χρήστης. Ο χρήστης µπορεί να προσθέσει µια διεύθυνση και να επιτρέψει την πρόσβαση στις προσωπικές του πληροφορίες (µπορεί και να την απαγορεύσει). Στην πρώτη στήλη εµφανίζεται µε το κατάλληλο σύµβολο το allow ή block ή ask. Στη δεύτερη στήλη εµφανίζεται το όνοµα του site και στην τρίτη ο τύπος του. Οι δυνατοί τύποι είναι δύο : Security Alliance και Custom. Τέλος στην τέταρτη στήλη επιλέγεται αν το πρόγραµµα θα επιτρέπει, µπλοκάρει ή ρωτάει το χρήστη πριν στείλει τον κωδικό χωρίς κρυπτογράφηση στον αντίστοιχο προορισµό. 82

83 ΜΕΡΟΣ ΤΡΙΤΟ ΕΡΓΑΛΕΙΑ ΕΛΕΓΧΟΥ ΑΣΦΑΛΕΙΑΣ Αφού γίνουν όλες οι απαραίτητες ρυθµίσεις και εγκαταστάσεις προγραµµάτων για τη θωράκιση και το κλείσιµο κενών ασφάλειας, πρέπει να γίνει έλεγχος για την αποτελεσµατικότητα τους. Αυτό γίνεται µε τη χρήση ειδικών εργαλείων που υπάρχουν και για το δυο διαδεδοµένα λειτουργικά συστήµατα. Τα αποτελέσµατα των ελέγχων χρησιµοποιούνται για την περαιτέρω θωράκιση σε απειλές που είναι νέες ή που αγνοήθηκαν. Nmap network security scanner Windows version Το Nmap είναι ένα πρόγραµµα που ανήκει στην κατηγορία των portscanners. Ελέγχοντας τα ports των hosts που ενδιαφέρουν το χρήστη, ο τελευταίος µπορεί να πάρει πληροφορίες σχετικά µε το αν ένας υπολογιστής είναι on-line και τι υπηρεσίες χρησιµοποιεί ή προσφέρει. Το Νmap τρέχει σε περιβάλλον κονσόλας (παράθυρο DOS) αλλά υπάρχουν και GUI για µεγαλύτερη ευκολία. Για να ξεκινήσει µια σάρωση ο χρήστης πρέπει να γράψει εντολή µε µορφή: nmap [Scan Type(s)] [Options] <host or net #1... [#N]> Υποστηρίζονται πολλές τεχνικές σάρωσης (Scan Types) όπως UDP, TCP connect(), TCP SYN (half open), ftp proxy(bounce attack), ICMP (ping sweep), FIN, ACK sweep, Xmas Tree, SYN sweep, IP Protocol, and Null scan. Κατά τη διάρκεια της σάρωσης το Nmap εµφανίζει λίστα µε τις θύρες του µηχανήµατος που ελέγχονται. Η κατάσταση µιας θύρας µπορεί να είναι open, filtered ή unfiltered. Open: Η θύρα είναι ανοικτή και µπορεί να δεχθεί σύνδεση Filtered: Η θύρα προστατεύεται από firewall, µπορεί να είναι ανοικτή ή κλειστή Unfiltered: Η θύρα είναι απλώς κλειστή Εκτός από την κατάσταση, εµφανίζονται ο αριθµός της θύρας και το πρωτόκολλο. Το Nmap είναι ευέλικτο γιατί ο χρήστης µπορεί να επιλέξει τις παραµέτρους της σάρωσης. Αυτό γίνεται γράφοντας τις παραµέτρους µετά την εντολή Nmap. Μερικά παραδείγµατα: Scan types -ss : SYN half-open scanning για να µη καταγράφεται εύκολα στα log files του προς εξέταση µηχανήµατος. -sp : Ping scanning είχνει απλά αν ένα µηχάνηµα είναι στο δίκτυο. -st : TCP connect() scan Αν η θύρα είναι ανοικτή θα επιτύχει η σύνδεση connect() αλλά αυτού του είδους η σάρωση είναι εύκολα ανιχνεύσιµη. -sf : Stealth FIN 83

84 -sx : Xmas Tree -sn : Null scan Αυτές οι τρεις επιλογές σάρωσης είναι ειδικές για να µην εντοπίζονται από firewalls ή packet filters. Ο τύπος σάρωσης ss µπορεί να εντοπιστεί από προγράµµατα όπως το Synlogger και Courtney επειδή παρακολουθούν για SYNs σε επιλεγµένες θύρες. -sv : Η ανίχνευση έκδοσης (version detection) επικοινωνεί µε τις θύρες που βρέθηκαν και προσπαθεί να βρει ποια εφαρµογή και πρωτόκολλο χρησιµοποιείται. Προσπαθεί να βρει πληροφορίες για το πρωτόκολλο (π.χ. ftp, http, telnet), το όνοµα της εφαρµογής (π.χ. Apache httpd, Solaris telnetd) τον αριθµό έκδοσης και σε µερικές περιπτώσεις άλλες πληροφορίες όπως την έκδοση του SSH. -su : Σαρώνει τις θύρες UDP του επιλεγµένου host. -s0 : IP protocol scans Με αυτή τη µέθοδο µπορούµε να βρούµε ποια IP πρωτόκολλα υποστηρίζει ο host. -si <zombie host[:probeport]> : Είναι µια ειδική µέθοδος που σαρώνει τις TCP θύρες του host στόχου. Ένα σύστηµα ανίχνευσης εισβολών (IDS) θα παρουσιάσει τη σάρωση να προέρχεται από το zombie host που επιλέγει ο χρήστης. Έτσι κρύβεται η IP του πραγµατικού µηχανήµατος. General options -P0 : Αυτή η επιλογή επιτρέπει τη σάρωση των δικτύων που δεν επιτρέπουν ICMP echo αιτήσεις να περάσουν από το firewall. -O : Αυτή η επιλογή προσπαθεί να βρει το λειτουργικό σύστηµα του υπολογιστή που ελέγχεται µέσω TCP/IP αποτυπώµατος (fingerprint). -v : Verbose mode Αυτή η επιλογή δίνει περισσότερες πληροφορίες για το τι γίνεται και η χρήση της προτείνεται. -on <logfilename> : Τα αποτελέσµατα της σάρωσης καταγράφονται στο αρχείο µε όνοµα logfilename. -p <port ranges> : Με αυτήν την επιλογή γίνεται σάρωση µόνο των επιλεγµένων θυρών. -F : Fast scan mode Σαρώνει τις συγκεκριµένες θύρες που βρίσκονται στο services file του nmap. Timing options -T < Paranoid Sneaky Polite Normal Aggressive Insane > : Οι δεξιότερες επιλογές αυξάνουν την ταχύτητα σάρωσης αλλά και την πιθανότητα εντοπισµού. --host_timeout <milliseconds> : Το Nmap θα σαρώνει τις θύρες του host για χρονικό διάστηµα milliseconds. Μετά θα εγκαταλείψει. Μετά από τις επιλογές σάρωσης πρέπει να καθοριστεί η διεύθυνση του υπολογιστή στόχου. Η διεύθυνση µπορεί να έχει τη µορφή ονόµατος όπως π.χ. ή τη µορφή IP. Σε µια εντολή µπορούν να υπάρχουν πολλές διευθύνσεις IP. Επίσης αν γράψουµε π.χ *.* θα γίνει σάρωση σε όλο το δίκτυο class B. Ισοδύναµα είναι και τα και /16. Έτσι µπορούν να γίνουν πολλοί συνδυασµοί. 84

85 ΕΓΚΑΤΑΣΤΑΣΗ Για να γίνει εγκατάσταση στα windows της έκδοσης χωρίς GUI πρέπει να αποσυµπιεστεί το αρχείο zip σε έναν κατάλογο του δίσκου. Με την αποσυµπίεση το πρόγραµµα βρίσκεται σε κατάλογο µε το όνοµα nmap-x όπου x ο αριθµός της έκδοσης. Μέσα στο φάκελο εκτελούµε το nmap_performance για να γίνουν οι απαραίτητες καταχωρήσεις στο µητρώο. Αυτή η ενέργεια βελτιώνει την ταχύτητα σάρωσης Για να εκτελεστεί το nmap σε windows πρέπει πρώτα να εγκαταστήσουµε το WinPcap που µπορεί κάποιος να το βρει στην διεύθυνση Η εκτέλεση γίνεται σε command prompt. Για πληροφορίες χρήσης του προγράµµατος µπορούµε να γράψουµε nmap h. ΠΑΡΑ ΕΙΓΜΑ ΧΡΗΣΗΣ ΤΟΥ ΠΡΟΓΡΑΜΜΑΤΟΣ Εικόνα 1 Εικόνα 2 85

86 Στην πρώτη περίπτωση ξεκίνησε µια απλή σάρωση µε verbose mode στο (η εταιρία του nmap). Η πρώτη προσπάθεια απέτυχε γιατί το nmap δε µπορούσε να περάσει από το firewall που έτρεχε στον υπολογιστή που ήταν εγκατεστηµένο. Γι αυτό γράφει ότι δε µπορεί να βρει τη διεύθυνση IP. Στη δεύτερη προσπάθεια εµφανίζεται το µήνυµα ότι ο host που εξετάζεται φαίνεται πεσµένος. Αυτό γίνεται γιατί το firewall του host δεν επιτρέπει να περάσουν τα διερευνητικά ping του nmap. Το πρόγραµµα προτείνει τη χρήση της επιλογής P0. Στην τρίτη προσπάθεια γίνεται χρήση της επιλογής P0 και παρατηρούµε ότι αρχίζει κανονικά SYN stealth σάρωση σε 1663 θύρες (default). Στη δεύτερη περίπτωση γίνεται SYN stealth σάρωση στο caclab.csd.auth.gr. Μετά από λίγη ώρα η σάρωση ολοκληρώνεται και εµφανίζεται µήνυµα ότι όλες οι θύρες που εξετάστηκαν είναι filtered. Αυτό σηµαίνει ότι υπάρχει firewall. Φαίνεται όµως ότι ο host είναι στο δίκτυο και δεν είναι πεσµένος. Nmap Front End (Linux Version) Στην παραπάνω εικόνα φαίνεται το γραφικό περιβάλλον της έκδοσης 3.75 του Nmap (Nmap Front End 3.75) για το λειτουργικό Linux. Το γραφικό περιβάλλον είναι πιο 86

87 φιλικό στο χρήστη αφού αυτός δε χρειάζεται να γνωρίζει τις παραµέτρους, απλά τις επιλέγει. Στο πάνω µέρος υπάρχει πεδίο για τις διευθύνσεις των υπολογιστών οι οποίοι θα ελεγχθούν. Παρακάτω υπάρχουν οι καρτέλες µε τις επιλογές που εµφανίζονται σε µενού ή µε checkboxes και στο κάτω µέρος φαίνεται η ισοδύναµη εντολή σύµφωνα µε τις επιλογές που είναι ενεργοποιηµένες. Σε αυτό το παράδειγµα επιλέχθηκε ως στόχος ο localhost, δηλαδή ο ίδιος ο υπολογιστής. Αυτό δεν µπορεί να γίνει σε περιβάλλον Windows λόγω περιορισµών στο WinPcap. Παρατηρούµε ότι βρέθηκαν αρκετές υπηρεσίες που χρησιµοποιούνται, άρα και αρκετές ανοιχτές θύρες. Επειδή έχει επιλεγεί η ανίχνευση λειτουργικού συστήµατος το nmap πληροφορεί το χρήστη ότι το λειτουργικό είναι Linux και µάλιστα δίνει και την έκδοση του πυρήνα. Επιπλέον δείχνει και το χρόνο που ξεκίνησε το λειτουργικό (uptime). Για µεγαλύτερη ευχρηστία, όλες οι υπηρεσίες που έχουν εντοπιστεί δεν εµφανίζονται µε το ίδιο χρώµα, αλλά υπάρχουν κατηγορίες. Με έντονο κόκκινο χρώµα εµφανίζονται οι υπηρεσίες που µπορούν να επιτρέψουν την εκτέλεση εντολών ή την είσοδο στο σύστηµα (π.χ. η υπηρεσία ssh που φαίνεται στην εικόνα). Με έντονο µπλε χρώµα παρουσιάζονται οι υπηρεσίες ταχυδροµείου όπως για παράδειγµα IMAP, POP3 κ.α. Τέλος, µε έντονο µαύρο χρώµα εµφανίζονται οι υπηρεσίες από τις οποίες οι χρήστες µπορούν να πάρουν πληροφορίες (π.χ. X11). Με απλό µαύρο φαίνονται όλες οι υπηρεσίες που δεν ανήκουν στις παραπάνω κατηγορίες. Στο επόµενο παράδειγµα γίνεται χρήση του Nmap µέσα από Linux για τη σάρωση θυρών σε 21 διευθύνσεις IP ( ). Όπως φαίνεται στην παρακάτω εικόνα, 10 hosts ήταν τελικά στο δίκτυο και ο έλεγχος ολοκληρώθηκε σε 54.2 δευτερόλεπτα. 87

88 Nessus Το Nessus είναι ένα εργαλείο σχεδιασµένο για τον αυτόµατο έλεγχο και την ανακάλυψη γνωστών προβληµάτων ασφάλειας. Μετά την ανακάλυψη µιας νέας τρύπας ασφάλειας, η αδυναµία γίνεται γνωστή και οποιοσδήποτε µπορεί να την εκµεταλλευτεί για να προξενήσει ζηµιά. Με τη χρήση του Nessus είναι δυνατόν να εντοπιστούν τέτοια προβλήµατα και να γίνει στη συνέχεια η διόρθωση πριν τα εκµεταλλευτεί κάποιος hacker. Η πιο διαδεδοµένη έκδοση είναι αυτή για Linux, ενώ υπάρχει έκδοση και για Windows, το NessusWX(client). Το Nessus βασίζεται στην τεχνολογία client server. Οι servers µπορούν να τοποθετηθούν σε στρατηγικά σηµεία του δικτύου για πιο ολοκληρωµένη εικόνα των ελέγχων. Οι servers ελέγχονται από τους clients, οι οποίοι µπορεί να είναι πολλοί και κατανεµηµένοι (µπορεί να υπάρχει και µόνο ένας κεντρικός). Ο έλεγχος γίνεται από τον server και οι ρυθµίσεις από τον client. Ο server δεν τρέχει σε λειτουργικό Windows. Εγκατάσταση Πριν την εγκατάσταση του server προτείνεται η εγκατάσταση άλλων γνωστών προγραµµάτων όπως το Nmap, το Hydra (weak password tester) και το Nikto. Αυτά τα προγράµµατα ενισχύουν την ικανότητα ελέγχων του Nessus και είναι τα καλύτερα του είδους τους. Η εγκατάσταση µπορεί να γίνει απλά µε τη χρήση του εργαλείου lynx µε την εντολή lynx source sh. Για µεγαλύτερη ασφάλεια ο χρήστης µπορεί να κατεβάσει και να µεταγλωττίσει τον κώδικα. 88

89 Στήσιµο (SETUP) Όταν γίνει η εγκατάσταση του server πρέπει να προστεθεί ένας χρήστης µε την εντολή nessus-adduser. Για την πιστοποίηση ο πιο συνηθισµένος τρόπος είναι η δηµιουργία κωδικού. Επίσης ο λογαριασµός χρήστη µπορεί να ρυθµιστεί ώστε να περιορίζει το χρήστη για τις διευθύνσεις IP που µπορεί να ελέγξει. Τέλος πρέπει να δηµιουργηθεί και ένα πιστοποιητικό για να χρησιµοποιηθεί στην κρυπτογράφηση της κίνησης µεταξύ του client και του server. Plug ins Τα plug ins του Nessus είναι σαν υπογραφές ιών σε πρόγραµµα ελέγχων για ιούς. Κάθε plug in είναι γραµµένο για να ελέγχει µια συγκεκριµένη αδυναµία (vulnerability). Τα plug ins συνήθως γράφονται στη γλώσσα NASL (Nessus Attack Scripting Language) που χρησιµοποιείται µόνο στο Nessus και έχει σχεδιαστεί ειδικά για έλεγχο αδυναµιών. Τα plug in πρέπει να ενηµερώνονται συχνά γιατί συνεχώς ανακαλύπτονται νέες αδυναµίες. Αυτό γίνεται µε την εντολή nessus-update-plugins (ως root). Launch the daemon Ο server ξεκινά µε την εντολή nessusd D. Το πρόγραµµα client υπάρχει σε τρεις µορφές: Unix GUI, NessusWX (Windows) και σε command line. Για να τρέξει το Unix GUI ο χρήστης δίνει την εντολή nessus. Σύνδεση client Αφού δοθεί εντολή για να τρέξει ο client, πρέπει να γίνει η σύνδεση µε τον server. Για να γίνει αυτό, στην καρτέλα Nessusd host ο χρήστης δίνει την διεύθυνση IP όπου βρίσκεται ο server και τη θύρα επικοινωνίας (port). Επίσης δίνει το όνοµα χρήστη και τον κωδικό. Ο client συνδέεται µε τον server µέσω σύνδεσης SSL και κατεβαίνουν τα διαθέσιµα plug in. Επιπλέον κατεβαίνει και το SSL πιστοποιητικό το οποίο πρέπει να αποδεχθεί ο χρήστης. Αυτό το πιστοποιητικό διαβεβαιώνει ότι στο µέλλον η επικοινωνία θα γίνεται µε τον επιλεγµένο server. Στην εικόνα 1 φαίνεται η καρτέλα Nessusd host. Σε αυτήν την περίπτωση ο server βρίσκεται στον τοπικό υπολογιστή (local host) και η θύρα είναι η Για να γίνει η σύνδεση ο χρήστης πατά το κουµπί log in. Μόλις γίνει η σύνδεση επιτυχώς, πατώντας το ίδιο κουµπί γίνεται η αποσύνδεση του χρήστη (log out). 89

90 εικόνα 1 Χρήση του Nessus Το πιο δυνατό χαρακτηριστικό του Nessus είναι τα plug in. Ο χρήστης επιλέγει τα plug in και η επιλογή αυτή είναι πολύ σηµαντική για την επιτυχία ενός ελέγχου. Τα plug in κατηγοριοποιούνται µε πολλούς τρόπους και κάποια ανήκουν στην κατηγορία των επικίνδυνων (Dangerous/Denial Of Service). Αυτά τα plug in πραγµατοποιούν επίθεση DOS και µπλοκάρουν τα συστήµατα που έχουν τα συγκεκριµένα προβλήµατα. Αυτός που γράφει το plug in αποφασίζει αν είναι επικίνδυνο ή όχι. Υπάρχει περίπτωση να συµβεί crash µε ένα µη επικίνδυνο plug in, για παράδειγµα µε το rpc_endpoint mapper. Πάντως ο χρήστης µπορεί εύκολα να απενεργοποιήσει τα επικίνδυνα plug in πατώντας το κουµπί Enable all but dangerous plug ins. Για ασφαλείς ελέγχους ο χρήστης µπορεί να ενεργοποιήσει την επιλογή safe checks. Το πλεονέκτηµα είναι ότι αποφεύγεται η περίπτωση να συµβεί crash. Το µειονέκτηµα είναι ότι η αξιοπιστία µειώνεται και µπορεί να εµφανιστούν λάθος συναγερµοί ή να µην εντοπιστεί µια υπαρκτή αδυναµία. Αυτό συµβαίνει γιατί η επιλογή αναγκάζει τα plug in να χρησιµοποιήσουν παθητικές µεθόδους, όπως ελέγχους εκδόσεων. 90

91 Τα plug in κατηγοριοποιούνται και σε οικογένειες όπως Windows, Cisco, SMB κτλ. Επιλέγοντας ένα plug in από µια οικογένεια εµφανίζονται αναλυτικές πληροφορίες για το τι ελέγχει. Στην παρακάτω εικόνα (εικόνα 2) εµφανίζεται η λίστα µε τα plug in. Πάνω εµφανίζονται οι κατηγορίες και κάτω τα plug in που ανήκουν στην επιλεγµένη κατηγορία. εικόνα 2 Το Nessus υποστηρίζει τη σάρωση θυρών (port scanning). Τρέχει ένα test µόνο όταν το συγκεκριµένο πρόγραµµα για αυτό το test είναι διαθέσιµο. Για παράδειγµα αν βρεθεί ένας web server, τρέχει µόνο web server plug ins. Το Nessus διαθέτει ένα plug in που ονοµάζεται services και προσπαθεί να αναγνωρίσει το πρόγραµµα που τρέχει σε µια θύρα. Όταν αναγνωριστεί το πρόγραµµα τρέχουν τα σχετικά µε αυτό plug in. Για τη σάρωση θυρών υπάρχει εσωτερικός σαρωτής καθώς και ενσωµατωµένο wrapper για το nmap που είναι το κορυφαίο της κατηγορίας. 91

92 Στην καρτέλα Scan options υπάρχουν επιλογές που αφορούν στη σάρωση (scan). Ο χρήστης µπορεί να επιλέξει ποιες θύρες θα ελέγχονται, ποιες τεχνικές σάρωσης θυρών (port scanner) θα χρησιµοποιηθούν και µπορεί να ενεργοποιήσει προηγµένες παραµέτρους όπως π.χ. safe checks (εικόνα 3). εικόνα 3 Αφού γίνει η επιλογή των plug in και οι ρυθµίσεις για τον έλεγχο, πρέπει να καθοριστεί ο στόχος (target). Αυτό γίνεται στην καρτέλα Target selection (Unix GUI). Ο χρήστης µπορεί να δώσει µια διεύθυνση IP, ένα subnet ή ένα πεδίο τιµών διευθύνσεων IP. Στην παρακάτω εικόνα (εικόνα 4) φαίνονται τα αποτελέσµατα ενός ελέγχου που γίνεται στον τοπικό υπολογιστή ( ) που τρέχει λειτουργικό σύστηµα Linux. Οι θύρες που ελέγχονται είναι οι προεπιλεγµένες από το πρόγραµµα και είναι επιλεγµένα όλα τα plug in. 92

93 εικόνα 4 Από αριστερά προς τα δεξιά οι πληροφορίες γίνονται πιο ειδικές. Πάνω αριστερά εµφανίζεται το υποδίκτυο (subnet) που ελέγχθηκε και κάτω οι host του υποδικτύου. Πιο δεξιά και πάνω εµφανίζονται οι αριθµοί των θυρών όπου τρέχουν κάποιες υπηρεσίες και δίπλα η σοβαρότητα του εντοπισµένου προβλήµατος. Το κόκκινο κυκλικό σηµάδι δηλώνει τρύπα ασφάλειας. Επίσης υπάρχουν και προειδοποιήσεις για πιθανή αδυναµία, χωρίς να υπάρχει συγκεκριµένο security hole. Στο κεντρικό παράθυρο εµφανίζονται αναλυτικές πληροφορίες για το συγκεκριµένο γνωστό πρόβληµα ασφάλειας, οι ενέργειες που πρέπει να γίνουν για να αντιµετωπιστεί το πρόβληµα και ο βαθµός επικινδυνότητας (Risk factor). Η αναφορά µπορεί να αποθηκευτεί πατώντας στο κουµπί Save report. Στο παράδειγµα της εικόνας έχει εντοπιστεί µια τρύπα ασφάλειας στη θύρα 6000 που χρησιµοποιείται από την υπηρεσία x11 του Linux. Το πρόβληµα είναι ότι ο X server δέχεται clients από οπουδήποτε και κάποιος επιτιθέµενος µπορεί να συνδεθεί και να καταγράψει ό,τι πληκτρολογεί ο χρήστης. Η πρόσβαση σε αυτόν τον server πρέπει να περιοριστεί. 93

94 Nikto Το Nikto είναι ένα πρόγραµµα που ανήκει στην κατηγορία των web server και CGI scanners. Πιο συγκεκριµένα είναι ένα εργαλείο που έχει σαν στόχο την εύρεση αρχείων web και την εξέταση του server και CGI scripts για αδυναµίες ασφάλειας. Υπάρχει έκδοση και για Windows εκτός από Linux, σε αυτή την περίπτωση το Wnikto 32. υνατότητες Το Nikto εξετάζει τους web servers σε πολλές κατηγορίες: για κακές ρυθµίσεις προεπιλεγµένα (default) αρχεία και script µη ασφαλή αρχεία και script µη ενηµερωµένο λογισµικό Το πρόγραµµα υποστηρίζει port scanning και µπορεί να καταλάβει αν τρέχει κάποιος web server σε κάποιο port. Ο κώδικας του προγράµµατος καθώς και οι έλεγχοι που εκτελούνται µπορούν να ενηµερωθούν (update) αυτόµατα από το internet για να εντοπίζονται οι νέες αδυναµίες. Στον κατάλογο plugins το αρχείο user_scan_database.db χρησιµοποιείται για την προσθήκη επιπλέον ελέγχων που έχουν καθοριστεί από τον χρήστη. Το Nikto αφήνει αποτύπωµα (footprint) όταν εξετάζει έναν server. Αν και µπορεί να µην είναι εύκολο να εντοπιστεί το nikto από IDS, ο έλεγχος εντοπίζεται και καταγράφεται στα logs εξαιτίας των πολλών άκυρων αιτηµάτων. Σύνταξη εντολής Το nikto εκτελείται σε παράθυρο εντολών και η γενική µορφή εντολής είναι Wnikto 32 [-h target] [options] µε το περιεχόµενο της πρώτης αγκύλης να είναι υποχρεωτικό, όπου target η διεύθυνση του προς εξέταση µηχανήµατος. Προαιρετικά ακολουθούν κάποιες επιλογές που περιγράφονται παρακάτω. Στην έκδοση για Linux η σύνταξη εντολής είναι παρόµοια (Nikto [-h target] [options]) και οι επιλογές είναι οι ίδιες. Options (τα πιο σηµαντικά) -allcgi : Γίνεται σάρωση σε όλους τους πιθανούς καταλόγους CGI ανεξάρτητα από το αν υπάρχουν ή όχι. -cookies : Εµφανίζονται τα cookies που λήφθηκαν κατά τη διάρκεια του ελέγχου. -evasion [number] : Τεχνικές αποφυγής IDS του LibWhisker. ( 1 Random URI encoding (non-utf8) 2 Add directory self-reference /./ 3 Premature URL ending 4 Prepend long random string to request 94

95 5 Fake parameters to files 6 TAB as request spacer instead of spaces 7 Random case sensitivity 8 Use Windows directory separator \ instead of / 9 Session splicing -findonly : Κάνει port scan για να εντοπίσει web servers αλλά δεν κάνει ελέγχους σε αυτούς. -output : Η έξοδος γράφεται σε αρχείο κειµένου. -mutate : Το πρόγραµµα κάνει όλους τους ελέγχους (checks) που βρίσκονται σε όλα τα αρχεία.db. Αυτό έχει σαν αποτέλεσµα µεγάλο αριθµό ελέγχων. -port : Ο αριθµός της θύρας /των θυρών που ψάχνει το nikto για web servers. Ο default αριθµός είναι 80 (αν δεν χρησιµοποιηθεί η επιλογή). -ssl : Force SSL mode on port(s) listed. -timeout : timeout για κάθε αίτηση, η προεπιλογή είναι 10 sec. Όλες οι παραπάνω επιλογές µπορούν και να γραφτούν µόνο µε το αρχικό τους γράµµα (π.χ. -t). Υπάρχουν ωστόσο κάποιες επιλογές που γράφονται µόνο µε το πλήρες όνοµα όπως π.χ. -verbose : Εµφανίζονται επιπλέον πληροφορίες κατά τη διάρκεια της εκτέλεσης. Φαίνεται πώς αντιδρά ο server σε κάθε αίτηση. -debug : Εµφανίζονται ακόµα περισσότερες λεπτοµέρειες. -update : Για την ενηµέρωση της βάσης δεδοµένων µε τους ελέγχους. Σύνδεση στο cirt.net. Παραδείγµατα Η πιο απλή µορφή εντολής είναι η ακόλουθη : Wnikto32.exe h Γίνεται scan για web server στη θύρα 80. Για σάρωση ενός web server στο port 443 µε κρυπτογράφηση SSL γράφουµε π.χ. Wnikto32.exe h p 443 s. Σηµειώνεται ότι το πρόγραµµα θα δοκιµάσει για HTTPS αν αποτύχει το HTTP. Αν θέλουµε να ψάξουµε για web server σε πολλές θύρες γράφουµε κάτι σαν Wnikto32.exe h p Σε αυτό το παράδειγµα εξετάζονται οι θύρες από 80 ως 90. Για συγκεκριµένες θύρες οι αριθµοί των θυρών χωρίζονται µε κόµµα. 95

96 Για την αποφυγή IDS για παράδειγµα 1,6 και 7 (παραπάνω) γράφουµε Wnikto32.exe h p 80 e 167. Στην επόµενη εικόνα φαίνεται ένα παράδειγµα χρήσης του Nikto που είναι εγκατεστηµένο σε Linux. Ελέγχεται ο υπολογιστής µε hostname nethost4.csd.auth.gr στη θύρα 80. Παρατηρούµε ότι τρέχει ο Apache web server έκδοσης Unix που υποστηρίζει OpenSSL (0.9.7c) και PHP (4.3.4). Ο server δεν κατάλαβε την µετάβαση από HTTP 1.1 σε HTTP 1.0. Επίσης σε µηνύµατα λάθους ανταποκρίνεται µε 400 και όχι µε 404 και έτσι αυξάνεται η πιθανότητα να επιστρέψει λάθος χωρίς να υπάρχει λόγος. Οι µέθοδοι HTTP που επιτρέπονται είναι : GET, HEAD, POST, OPTIONS, TRACE. Το πρόγραµµα ενηµερώνει το χρήστη ότι η µέθοδος TRACE χρησιµοποιείται µόνο για διόρθωση λαθών (debugging) και προτείνει την απενεργοποίησή της. Στη συνέχεια το Nikto ενηµερώνει ότι τα Apache, mod_ssl, OpenSSL και PHP δεν βρίσκονται στην τελευταία τους έκδοση την οποία εµφανίζει. Στο τέλος ο χρήστης ενηµερώνεται για δύο τρύπες ασφάλειας των εκδόσεων που βρέθηκαν. Επιτρέπεται η διάβαση σε καταλόγους µε εισαγωγές τύπου / / και εντοπίστηκε αδυναµία του mod_ssl σε remote buffer overflow που µπορεί να επιτρέψει την αποµακρυσµένη εκτέλεση κώδικα. εικόνα 1 Ένα ακόµη παράδειγµα φαίνεται στην δεύτερη εικόνα. Σε αυτήν την περίπτωση γίνεται έλεγχος σε υπολογιστή µε λειτουργικό Windows XP και web server Savant. Το Nikto εντόπισε την έκδοση 3 του server και δε βρήκε καταλόγους CGI (προτείνει τη χρήση της επιλογής -C all για έλεγχο σε όλους τους πιθανούς καταλόγους). Η 96

97 έκδοση 3 του Savant δεν είναι η πιο ενηµερωµένη και εκδόσεις παλαιότερες της 3 µπορούν να οδηγηθούν σε crash µε το αίτηµα GET / %%% HTTP/1.0. Ο Savant 3.0 είναι ευπαθής σε επίθεση DoS µε την επαναληπτική αποστολή µεγάλων παραµέτρων CGI, γι αυτό προτείνεται η αναβάθµιση σε νεότερη έκδοση. Ακόµα εντοπίστηκε αδυναµία σε XSS (Cross Site Scripting) και το script /uploader.php που µπορεί να επιτρέψει τη µεταφορά αυθαίρετων αρχείων στον server. Τέλος, ο κατάλογος /home/ ανακατευθύνει στη διεύθυνση (Σηµείωση:Και στους δύο server δεν υπήρχαν CGI scripts) εικόνα 2 Προσοχή Κάποιες επιλογές µπορεί να δηµιουργήσουν πάνω από HTTP αιτήσεις σε έναν στόχο και µπορεί να προκληθεί ζηµιά σε υπολογιστές ή στο δίκτυο γι αυτό καλό είναι να υπάρχει εξουσιοδότηση για testing. Τα plugins του Nikto είναι γραµµένα σε Perl. Όταν γίνεται update κατεβαίνουν προγράµµατα που µπορεί να εκτελεστούν χωρίς να τα δει ο χρήστης και υπάρχει κίνδυνος εκτέλεσης επικίνδυνου plug-in. 97

98 Whisker (LibWhisker) Τύπος προγράµµατος : CGI scanner για εξέταση web server Το Whisker είναι ένα υψηλού επιπέδου εργαλείο για τη σάρωση CGI scripts µε τα παρακάτω χαρακτηριστικά. - Εντοπισµός του web server και εκτέλεση κατάλληλων ελέγχων για την έκδοση του server που έχει εντοπιστεί. - Ικανότητα εφαρµογής τεχνικών για την αποφυγή εντοπισµού εισβολής. - Brute force σε λογαριασµούς µε τη χρήση HTTP-AUTH - Χρήση εικονικών (virtual) hosts - Εκτέλεση µε multi-thread τρόπο - Εξαγωγή αποτελεσµάτων σε διαφορετικές µορφές όπως HTML και nmap. Τρέχει σε Linux από terminal και η µορφή της εντολής είναι whisker [target] [options]. Για τον ορισµό των διευθύνσεων που θα ελεγχθούν υπάρχουν οι επιλογές: -h + <διεύθυνση host> ή -H + <λίστα από hosts σε αρχείο> Κάποιες σηµαντικές επιλογές που µπορεί να χρησιµοποιηθούν είναι οι παρακάτω : -s + <αρχείο βάσης δεδοµένων των scripts (το default είναι το scan.db) > -p + <αριθµός θύρας που θα χρησιµοποιηθεί> -i : εµφάνιση περισσότερων πληροφοριών -v : verbose mode περισσότερες πληροφορίες -w : έξοδος αποτελεσµάτων σε µορφή HTML -l + <όνοµα αρχείου όπου θα καταγραφούν τα αποτελέσµατα> Τεχνικές αποφυγής IDS -I 1 IDS-evasive mode 1 (URL encoding) -I 2 IDS-evasive mode 2 (/./ directory insertion) -I 3 IDS-evasive mode 3 (premature URL ending) -I 4 IDS-evasive mode 4 (long URL) -I 5 IDS-evasive mode 5 (fake parameter) -I 6 IDS-evasive mode 6 (TAB separation) (not NT/IIS) -I 7 IDS-evasive mode 7 (case sensitivity) -I 8 IDS-evasive mode 8 (Windows delimiter) -I 9 IDS-evasive mode 9 (session splicing) (slow) 98

99 -I 0 IDS-evasive mode 0 (NULL method) Οι τεχνικές αποφυγής IDS είναι ίδιες µε αυτές το Nikto. Το Nikto χρησιµοποιεί επίσης τη βιβλιοθήκη LibWhisker (γι αυτό έχουν πολλές οµοιότητες). -M 1 χρήση µεθόδου HEAD (default) -M 2 χρήση µεθόδου GET -M 3 χρήση µεθόδου GET w/ byte-range -M 4 χρήση µεθόδου GET w/ socket close Utility options -U : Brute force επίθεση για ονόµατα χρηστών µέσω καταλόγων -L + <Brute force login όνοµα/κωδικός> Παραδείγµατα χρήσης Στη συνέχεια παρουσιάζονται δύο περιπτώσεις χρήσης του προγράµµατος. Στην εικόνα 1 φαίνονται κάποιες από τις επιλογές λειτουργίας του προγράµµατος. Στην εικόνα 2 γίνεται έλεγχος ενός υπολογιστή δίνοντας τα διεύθυνση IP του. Εντοπίστηκε επιτυχώς η έκδοση του web server (Apache ) και των άλλων στοιχείων. ε βρέθηκαν κατάλογοι (Directory index : / ) γιατί ο server δεν ήταν ρυθµισµένος, απλώς έτρεχε η υπηρεσία. Στην εικόνα 3 γίνεται έλεγχος στο µε τις ίδιες παραµέτρους της εικόνας 2. Εδώ επίσης εντοπίζεται η έκδοση του web server και επιπλέον µε χρήση της µεθόδου HEAD εµφανίζεται η δοµή των καταλόγων. Οι κατάλογοι είναι: logs, stats, download, manual και test. Για τον κατάλογο logs επισηµαίνεται ότι εκεί τοποθετούνται τα αρχεία καταγραφής και για τον κατάλογο manual επισηµαίνεται ότι εκεί βρίσκεται περιεχόµενο (index.html.en). εικόνα 1 99

100 εικόνα 2 εικόνα 3 100

101 XSpider ( Το XSpider είναι ένα πρόγραµµα εξέτασης στοιχείων του δικτύου για τον εντοπισµό αδυναµιών στην ασφάλεια. Υποστηρίζονται όλες οι εκδόσεις των Windows και περιλαµβάνονται πολλές λειτουργίες όπως security scanner, σάρωση θυρών TCP και UDP, έλεγχος CGI, υπηρεσία WhoIs, έλεγχος της ανωνυµίας ενός proxy-server, τοπικές ρυθµίσεις του υπολογιστή για βελτίωση ασφάλειας κ.α. Στην καρτέλα Scanners γίνεται σάρωση θυρών και έλεγχος για αδυναµίες (vulnerabilities). Ο safety scanner ψάχνει για υπηρεσίες στο αρχείο extserv.xsp του αποµακρυσµένου υπολογιστή που ελέγχεται και προσπαθεί να τις αναγνωρίσει. Κάθε server που εντοπίζεται ελέγχεται για διάφορες αδυναµίες. Οι πολύ επικίνδυνες αδυναµίες εµφανίζονται µε κόκκινο χρώµα και οι απλές πληροφορίες που δεν απειλούν την ασφάλεια εµφανίζονται µε πράσινο. Με κίτρινο εµφανίζονται προβλήµατα που κάτω από ορισµένες προϋποθέσεις θα µπορούσαν να προκαλέσουν ζηµιά. Πατώντας το κουµπί settings εµφανίζονται ρυθµίσεις για τις παραµέτρους αναζήτησης. Με κίτρινο χρώµα εµφανίζονται οι έλεγχοι για επιθέσεις DoS, οι οποίοι µπορούν να σταµατήσουν τις ευπαθείς υπηρεσίες. Αν ενεργοποιηθεί η επιλογή [Determining remote traffic] γίνεται προσπάθεια για αναγνώριση της εξερχόµενης κίνησης του αποµακρυσµένου υπολογιστή. Με το κουµπί Generate security scanner report δηµιουργείται αναφορά µε τα αποτελέσµατα σε html. Με αυτόν τον τρόπο ενεργοποιούνται τα link που δίνουν περισσότερες πληροφορίες για τις αδυναµίες έχουν εντοπιστεί. Ανάλογα µε τον αριθµό και το είδος των υπηρεσιών ο έλεγχος µπορεί να διαρκέσει από 5 λεπτά έως µισή ώρα. Στην επόµενη εικόνα φαίνεται ένα παράδειγµα ελέγχου στον τοπικό υπολογιστή. Η σάρωση θυρών εντόπισε 5 ανοικτές θύρες TCP και 2419 κλειστές. Επίσης εντοπίστηκε σοβαρή αδυναµία της υπηρεσίας Universal Plug and Play στη θύρα 1900 UDP. 101

102 Από την καρτέλα CGI ο χρήστης µπορεί να ελέγξει web server για scripts µε αδυναµίες ασφάλειας. Στο αρχείο XCGI.txt βρίσκονται σε µια βάση δεδοµένων γνωστά scripts µε αδυναµίες ασφάλειας. Ο χρήστης από την καρτέλα File µπορεί να αλλάξει αυτό το αρχείο (µε ένα πιο ενηµερωµένο). Επίσης υπάρχει και λεξικό µε scripts µε τη δοµή /Directory/File.Extension. Αν ενεργοποιηθεί η επιλογή [scanning through proxy] ο έλεγχος µπορεί να γίνει µέσω ανώνυµου proxy που ορίζει ο χρήστης. Με την επιλογή [include Refer into header] η διεύθυνση που ορίζει ο χρήστης στο πεδίο χρησιµοποιείται στο header της εξέτασης. Με την ενεργοποίηση της επιλογής [mask from IDS] ο έλεγχος δεν εντοπίζεται από συστήµατα εντοπισµού εισβολών (IDS). Από την καρτέλα Search γίνεται έλεγχος για συγκεκριµένη υπηρεσία ή υπολογιστές που είναι στο δίκτυο (ping) σε ένα subnet. Αν πρόκειται να αναζητηθεί υπηρεσία, ο χρήστης ορίζει στο κατάλληλο πεδίο τον αριθµό της θύρας. Ο χρόνος που θα περιµένει το πρόγραµµα για απάντηση ορίζεται στο πεδίο timed-out σε δευτερόλεπτα. Ο χρήστης µπορεί να χρησιµοποιήσει την υπηρεσία WhoIs αν αυτή είναι διαθέσιµη, επιλέγοντας την οµώνυµη καρτέλα. Αν υποστηρίζεται αυτή η υπηρεσία γίνονται γνωστές πληροφορίες για µια διεύθυνση IP όπως η χώρα, η πόλη, ο παροχέας, διεύθυνση κ.α. Ο χρήστης µπορεί να επιλέξει έναν WhoIs server από αυτούς που βρίσκονται στη λίστα ή να γράψει στο πεδίο κάποιον άλλον που δεν βρίσκεται στη λίστα. Επίσης αν ο χρήστης δώσει τη συντόµευση του ονόµατος µιας χώρας και πατήσει Search θα εµφανιστεί το όνοµα της χώρας π.χ. gr - Greece (δεν απαιτείται σύνδεση στο δίκτυο). Στην καρτέλα Proxy µπορεί να γίνει έλεγχος για το επίπεδο ανωνυµίας που προσφέρει ένας proxy server. Στο πεδίο Host or IP address ο χρήστης εισάγει τη διεύθυνση του proxy και στο πεδίο Remote computer address tested through proxy εισάγει τη διεύθυνση του υπολογιστή που χρησιµοποιεί τον proxy. Η ανωνυµία εξετάζεται σε πέντε επίπεδα: IP address, Browser, Cookie, Refer και Additional option. Στην καρτέλα Settings υπάρχουν κάποιες ρυθµίσεις για την ασφάλεια του τοπικού υπολογιστή. Οι ρυθµίσεις αφορούν την αποδοχή µηνυµάτων ICMP από τον router, το NetBios και το παράθυρο για logon στα Windows. Στην καρτέλα γίνεται η διαχείριση των µηνυµάτων ηλεκτρονικού ταχυδροµείου. Ο χρήστης πρέπει να δώσει τη διεύθυνση του mail server, το όνοµα χρήστη και τον κωδικό. Μπορεί να γίνει η διαγραφή των µηνυµάτων και ο έλεγχος για νέα µηνύµατα µε συχνότητα που επιλέγεται. Επίσης το πρόγραµµα µπορεί να ενηµερώνει το χρήστη όταν ληφθεί νέο µήνυµα. Στην καρτέλα TCP ο υπολογιστής µπορεί να συνδεθεί σε µια θύρα ενός αποµακρυσµένου υπολογιστή (και να στείλει κείµενο) ή να λειτουργήσει ως server και να ακούει σε µια ορισµένη θύρα. Στην καρτέλα TCP-proxy µπορεί να γίνει ανακατεύθυνση ενός µηνύµατος µέσω θύρας TCP. Τέλος, στην καρτέλα UDP ο χρήστης µπορεί να στείλει UDP datagram σε επιλεγµένη διεύθυνση και θύρα, να ακούει σε µια UDP θύρα και να ενεργοποιήσει την εµφάνιση IP πακέτων. 102

103 Remote Access Session (Linux) Περιγραφή Εργαλείο ασφάλειας για λεπτοµερή εξέταση αποµακρυσµένων συστηµάτων. Το Remote access session είναι ένα εργαλείο για την ανάλυση της ακεραιότητας συστηµάτων. Το πρόγραµµα προσπαθεί να αποκτήσει πρόσβαση στο σύστηµα µε χρήση προχωρηµένων τεχνικών αποµακρυσµένης εισβολής. Μπορεί να λειτουργήσει µε δύο τρόπους : στην κανονική λειτουργία (υψηλή ταχύτητα) και στην απαιτητική λειτουργία (εντατική εκτέλεση). Η διαφορά του προγράµµατος µε άλλα παρόµοια που ελέγχουν συστήµατα για αδυναµίες ασφάλειας είναι ότι αν το raccess βρει αδυναµία που δίνει πρόσβαση στο σύστηµα, θα την εκµεταλλευτεί για να αποδειχθεί ο πραγµατικός κίνδυνος. Έτσι δεν υπάρχει περίπτωση να εµφανιστούν αδυναµίες που στην πραγµατικότητα δεν ισχύουν. Το πρόγραµµα βρίσκεται ακόµα σε στάδιο ανάπτυξης. Κάποια από τα χαρακτηριστικά του είναι : Προηγµένες δυνατότητες σάρωσης. ε σταµατάει λόγω firewall και είναι γρήγορο. Εµφάνιση πληροφοριών για υπηρεσίες. Ανιχνεύεται η έκδοση υπηρεσιών όπως web server, ftp, pop κ.α. ηµιουργία αναφορών µε πληροφορίες για τον host που αναλύεται. Ανίχνευση λειτουργικού συστήµατος µε QueSo. Αν εντοπιστεί κάποια αδυναµία, επιλέγονται οι κατάλληλες εκµεταλλεύσεις (exploits) µε βάση την έκδοση της υπηρεσίας και του λειτουργικού και ερωτάται ο χρήστης αν θέλει να εκτελεστούν οι εκµεταλλεύσεις για τον έλεγχο των πραγµατικών κινδύνων. Η µορφή της εντολής είναι η ακόλουθη : raccess [options] <host_to_check> Επιλογές (options) -o : Προσπάθεια αναγνώρισης του λειτουργικού. -s : Γίνεται απλός έλεγχος των υπηρεσιών. εν εκτελούνται exploits. -n : Σάρωση δικτύου. Η διεύθυνση πρέπει να είναι του τύπου a.b.c.d/netmask. Για παράδειγµα /24. Παράδειγµα χρήσης Στην επόµενη εικόνα φαίνονται τα αποτελέσµατα του ελέγχου ενός υπολογιστή. Αρχικά γίνεται προσπάθεια για εντοπισµό του λειτουργικού συστήµατος του αποµακρυσµένου υπολογιστή. Εµφανίζονται τρία πιθανά λειτουργικά : Solaris, Linux και MacOs (Στην πραγµατικότητα τρέχει Linux). Στη συνέχεια γίνεται έλεγχος για τις υπηρεσίες που τρέχουν στο σύστηµα. Εντοπίζονται τέσσερις ανοικτές θύρες. Τη θύρα 80 χρησιµοποιεί ένας web server και µάλιστα εµφανίζεται και η έκδοσή του. Άλλες 103

104 ανοικτές θύρες από όπου µπορεί να δηµιουργηθεί πρόβληµα ασφάλειας είναι η 111 (sunrpc), η 443 (https) και η 6000 (x11). Μόλις ολοκληρωθεί η σάρωση αρχίζει το στάδιο της επίθεσης (attack session). Γίνεται αναζήτηση αδυναµιών που σχετίζονται µε τις εκδόσεις του λειτουργικού και των υπηρεσιών που βρέθηκαν στο πρώτο στάδιο. Για κάθε εκµετάλλευση (exploit) που εντοπίζεται, ο χρήστης ερωτάται αν θέλει να εκτελεστεί (δεύτερη εικόνα). 104

105 Άλλα εργαλεία (Linux) Fragrouter network intrusion detection evasion toolkit Το Fragrouter είναι ένα εργαλείο που ελέγχει συστήµατα ανίχνευσης εισβολών δικτύου (NIDS) προσπαθώντας να τα αποφύγει µε χρήση τεµαχισµένων (fragmented) πακέτων. Έχει σαν στόχο να ελέγξει την ορθότητα ενός NIDS για συγκεκριµένες επιθέσεις TCP/IP. Το πρόγραµµα λειτουργεί σε terminal λειτουργικού Linux (command-line). Η µορφή της εντολής είναι η ακόλουθη: fragrouter [ -i interface ] [ -p ] [ -g hop ] [-G hopcount] ATTACK Επιλογές (options) -i : Καθορισµός του interface που θα δέχεται τα πακέτα -p : ιατήρηση ολόκληρης της κεφαλίδας (header) στο πρώτο τεµάχιο. Αυτό είναι χρήσιµο για την παράκαµψη φίλτρων πακέτων που δεν επιτρέπουν µικρά τεµάχια IP. -g : Καθορισµός ενός hop κατά µήκος loose source routed path. -G : Καθορίζει τα θέση του hop counter µέσα στη λίστα των hosts στη διαδροµή ενός source routed πακέτου. Στην εντολή όπου ATTACK είναι ένα από τα παρακάτω που φαίνονται στην εικόνα. 105

106 smb-nat NetBIOS Auditing Tool Το smb-nat είναι ένα εργαλείο (Linux - Windows) που διεξάγει ελέγχους ασφάλειας σε συστήµατα που προσφέρουν την υπηρεσία διαµοίρασης αρχείων NetBIOS. Το πρόγραµµα προσπαθεί να ανακτήσει όλες τις διαθέσιµες πληροφορίες από τον αποµακρυσµένο εξυπηρέτη και προσπαθεί να αποκτήσει πρόσβαση σε υπηρεσίες που παρέχει ο εξυπηρέτης. Η µορφή της εντολής είναι η ακόλουθη: smb-nat [-o <output>] [-u <userlist>] [-p <passlist>] <address> Επιλογές (options) -o : Καθορισµός του αρχείου εξόδου. Όλα τα αποτελέσµατα του ελέγχου εκτός από την εµφάνιση στην οθόνη θα γραφτούν και σε αυτό το αρχείο. -u : Καθορισµός του αρχείου από το οποίο θα διαβαστούν ονόµατα χρηστών (usernames). Τα ονόµατα χρηστών διαβάζονται από το αρχείο καθώς γίνεται προσπάθεια για υπόθεση κωδικών στον αποµακρυσµένο εξυπηρέτη. Σε κάθε γραµµή του αρχείου πρέπει να υπάρχει ένα όνοµα χρήστη. Ένα δείγµα τέτοιου αρχείου είναι το /usr/share/smb-nat/userlist.txt. -p : Καθορισµός του αρχείου από το οποίο θα διαβαστούν οι κωδικοί πρόσβασης. Πρέπει να υπάρχει ένας κωδικός σε κάθε γραµµή του αρχείου. Ένα δείγµα είναι το /usr/share/smb-nat/passlist.txt. Αν δεν χρησιµοποιηθούν οι παράµετροι u και p, τότε χρησιµοποιούνται προεπιλεγµένα ονόµατα χρηστών και προεπιλεγµένοι κωδικοί. <address> : Σε µια εντολή µπορούν να εξετάζονται πολλές διευθύνσεις. Για διαστήµατα διευθύνσεων χρησιµοποιείται η παύλα «-» π.χ και οι διαφορετικές διευθύνσεις χωρίζονται µε κόµµα. IDSWAKEUP - Network intrusion detection system "waker" Το idswakeup είναι ένα εργαλείο για τον έλεγχο συστηµάτων ανίχνευσης εισβολών. Στέλνει υπογραφές διαδεδοµένων επιθέσεων δικτύου, που συνήθως αναγνωρίζονται από συστήµατα IDS, χρησιµοποιώντας τα hping2 και iwu, για να βεβαιώσει ότι η διαδικασία ανίχνευσης είναι λειτουργική. 106

107 Η εντολή έχει τη µορφή: idswakeup source destination [ count ] [ TTL ] Επιλογές (options) Source: διεύθυνση προέλευσης που χρησιµοποιείται για τη δηµιουργία IP κατά τη διάρκεια ελέγχου. πακέτων Destination: Η διεύθυνση IP του IDS που πρόκειται να ελεγχθεί. Count: Ο αριθµός των φορών που θα γίνει ο έλεγχος. TTL: Πακέτα TTL που δηµιουργούνται. Παράδειγµα Στην παρακάτω εικόνα φαίνεται ένα παράδειγµα χρήσης. Τα πακέτα στέλνονται στον ίδιο τον υπολογιστή, δηλ. γίνεται τοπικός έλεγχος. Κατά τη διάρκεια του ελέγχου χρησιµοποιούνται πολλά πρωτόκολλα και υπηρεσίες και αν υπάρχει IDS θα πρέπει να αναγνωρίσει τους ελέγχους αυτούς ως επιθέσεις. hping2 Το hping2 είναι ένα εργαλείο που µπορεί να στέλνει φτιαγµένα από τον χρήστη (custom) πακέτα TCP/IP και να εµφανίζει τις απαντήσεις του στόχου όπως κάνει ένα εργαλείο ping µε απαντήσεις ICMP. Το hping2 έχει πολλές δυνατότητες και µπορεί 107

108 να µεταχειριστεί θρυµµατισµό (fragmentation), πακέτα µε αυθαίρετο µέγεθος και µπορεί να χρησιµοποιηθεί για µεταφορά αρχείων που είναι encapsulated σε υποστηριζόµενα πρωτόκολλα. Με το hping2 µπορεί κάποιος να κάνει τα εξής: Έλεγχος των κανόνων φραγµάτων ασφάλειας (firewalls) Προηγµένη σάρωση θυρών Έλεγχος της απόδοσης του δικτύου µε χρήση διαφορετικών πρωτοκόλλων και µεγεθών πακέτων. Μεταφορά αρχείων όπου ανάµεσα υπάρχει φράγµα ασφάλειας µε αυστηρούς κανόνες. Αναγνώριση αποµακρυσµένου λειτουργικού συστήµατος. Λεπτοµερής εξέταση TCP/IP stack κ.α. Λόγω των πολλών και προηγµένων δυνατοτήτων µια εντολή µπορεί να είναι ιδιαίτερα πολύπλοκη και µε πολλές παραµέτρους. Η γενική µορφή είναι η ακόλουθη: hping2 [options] hostname Οι παράµετροι είναι πολλών ειδών, όπως παράµετροι που σχετίζονται µε την απόδοση συµπεριφορά του προγράµµατος, παράµετροι επιλογής πρωτοκόλλου, παράµετροι που αφορούν τις ιδιότητες των πακέτων κ.α. Παρακάτω παρουσιάζεται ένα παράδειγµα χρήσης όπου το hping χρησιµοποιείται για σάρωση θυρών. Σαρώνονται όλες οι θύρες που περιέχονται στο etc/services (known). Επίσης χρησιµοποιείται η παράµετρος S για SYN scan και γίνεται σάρωση στη διεύθυνση του ίδιου του µηχανήµατος. 108

109 ΜΕΡΟΣ ΤΕΤΑΡΤΟ ΕΥΡΕΣΗ ΕΠΙΣΦΑΛΩΝ ΣΗΜΕΙΩΝ ΚΑΙ ΠΡΟΤΑΣΕΙΣ ΓΙΑ ΒΕΛΤΙΩΣΗ ΤΗΣ ΑΣΦΑΛΕΙΑΣ ΤΩΝ ΥΠΟΛΟΓΙΣΤΩΝ: 1. agent.csd.auth.gr 2. nethost1.csd.auth.gr (εργαστήριο δικτύων) Στη συνέχεια θα εξεταστούν τα παραπάνω συστήµατα για αδυναµίες ασφάλειας µε εργαλεία που παρουσιάστηκαν στο προηγούµενο κεφάλαιο. Από τα αποτελέσµατα των ελέγχων θα προταθούν ενέργειες για τη βελτίωση της ασφάλειας. Τα εργαλεία που χρησιµοποιούνται είναι τα εξής: Nmap, Nessus, Nikto, Raccess, Hping2. Όλα τρέχουν σε λειτουργικό Linux (Debian διανοµή). Οι εικόνες από τους ελέγχους είναι συγκεντρωµένες στο παράρτηµα. Έλεγχος στον agent.csd.auth.gr Αρχικά γίνεται σάρωση θυρών µε τα προγράµµατα Nmap και Hping2 για να βρεθούν οι ανοιχτές θύρες, οι υπηρεσίες που χρησιµοποιούν τις θύρες και το λειτουργικό σύστηµα. Πιο συγκεκριµένα, για το Nmap επιλέχθηκε ο τύπος σάρωσης SYN Stealth Scan και σαρώθηκαν οι προεπιλεγµένες θύρες (default). Επίσης ενεργοποιήθηκε η επιλογή για την ανίχνευση της έκδοσης του λειτουργικού συστήµατος. Η εντολή είναι η εξής : nmap ss O PI PT agent.csd.auth.gr. Τα αποτελέσµατα φαίνονται στην πρώτη εικόνα. Για επαλήθευση γίνεται σάρωση θυρών και µε το εργαλείο Hping2. Σε αυτήν την περίπτωση η εντολή είναι : hping2 --scan known S agent.csd.auth.gr. Παρατηρούµε ότι υπάρχουν πολλές ανοικτές θύρες και χρησιµοποιούνται διάφορες υπηρεσίες όπως εξυπηρέτης Web στη θύρα 80, ftp στη θύρα 21, ssh στη θύρα 22, smtp στη θύρα 25. Μια πρώτη παρατήρηση είναι ότι σε έναν υπολογιστή όπου υπάρχει εξυπηρέτης Web δε θα πρέπει να τρέχουν άλλες υπηρεσίες που µπορούν να χρησιµοποιηθούν για συλλογή πληροφοριών για το σύστηµα ή για την απόκτηση πρόσβασης σε αυτό. Στη συνέχεια γίνεται χρήση του Nessus για την ανακάλυψη αδυναµιών ασφάλειας των υπηρεσιών. Στην αντίστοιχη εικόνα φαίνονται οι υπηρεσίες του υπολογιστή που βρέθηκαν µε σάρωση θυρών και δεξιά για κάθε υπηρεσία εµφανίζονται προειδοποιήσεις για την ασφάλεια των συγκεκριµένων εκδόσεων. Ανάλογα µε τη σοβαρότητα της αδυναµίας, αυτή µπορεί να αναφέρεται ως επισήµανση, προειδοποίηση ή τρύπα ασφάλειας. Τo Nikto ελέγχει τους εξυπηρέτες Web. Από τη σάρωση θυρών που έγινε προηγουµένως φάνηκε η παρουσία ενός εξυπηρέτη Web στη θύρα 80. Με τη χρήση του Nikto παίρνουµε πληροφορίες για την έκδοση του εξυπηρέτη και για το πώς είναι ρυθµισµένος. 109

110 Αδυναµίες που εντοπίστηκαν Η έκδοση του Apache που τρέχει στον host είναι η Εκδόσεις παλαιότερες από την δεν θεωρούνται ασφαλείς σήµερα. Στην έκδοση µπορεί να δηµιουργηθεί buffer overflow στην εντολή htpasswd µε αποτέλεσµα τοπικός χρήστης να αποκτήσει τα δικαιώµατα της διεργασίας httpd. Επίσης είναι ευπαθής σε τοπικό buffer overflow που επιτρέπει στον επιτιθέµενο να τερµατίσει οποιαδήποτε διεργασία στο σύστηµα. Ο Web εξυπηρέτης υποστηρίζει τις µεθόδους TRACE και TRACK. Αυτές χρησιµοποιούνται µόνο για debugging αλλά έχει παρατηρηθεί ότι ο εξυπηρέτης που χρησιµοποιεί αυτές τις µεθόδους είναι εκτεθειµένος σε επιθέσεις cross-sitescripting. Στη θύρα 111/tcp τρέχει ο RPC portmapper. Ένας επιτιθέµενος µπορεί να το χρησιµοποιήσει για να έχει πρόσβαση στη λίστα µε τις υπηρεσίες RPC. Η θύρα 25/tcp χρησιµοποιείται από το πρωτόκολλο smtp για ηλεκτρονικό ταχυδροµείο. Χρησιµοποιείται η έκδοση 4.21 του Exim MTA που είναι ευπαθής σε αποµακρυσµένα buffer overflows. Επίσης υπάρχει αδυναµία στον server την οποία αν εκµεταλλευτεί κάποιος θα µπορούσε να εκτελέσει εντολές στον αποµακρυσµένο υπολογιστή. Ο host δεν απορρίπτει πακέτα TCP SYN µε ενδείκτη FIN. Ανάλογα µε το firewall που χρησιµοποιείται, κάποιος επιτιθέµενος θα µπορούσε να παρακάµψει τους κανόνες του firewall. Ο host απαντά σε αίτηµα ICMP timestamp. Έτσι κάποιος θα µπορούσε να γνωρίζει την ηµεροµηνία και ώρα του µηχανήµατος και να ακυρώσει timebased πρωτόκολλα πιστοποίησης. Στη θύρα 21 η υπηρεσία ftp επιτρέπει ανώνυµες εισόδους. Αυτό σηµαίνει ότι δεν υπάρχει πρόβληµα αν τα δεδοµένα είναι διαθέσιµα σε οποιονδήποτε. Εκτός από αυτό, ο ProFTPd server δεν είναι νεότερος της έκδοσης και γι αυτό µπορεί να βρεθούν έγκυρα ονόµατα χρηστών µε επίθεση ανάλυσης χρόνου στη διαδικασία login. Έτσι ο επιτιθέµενος µπορεί να κάνει πιο αποτελεσµατική επίθεση τύπου brute force, αφού έχει λίστα µε έγκυρα ονόµατα χρηστών. Ένα άλλο κενό ασφάλειας εντοπίζεται στον κατάλογο /ANSS37/ στον οποίο µπορεί να γράψει ο οποιοσδήποτε. Επίσης ο server είναι ευπαθής σε buffer overflow όταν ένας χρήστης κατεβάσει ένα δύσµορφο (malformed) αρχείο ASCII. Στη θύρα 9 τρέχει η υπηρεσία discard η οποία δηµιουργεί listening socket και αγνοεί όλα τα δεδοµένα που λαµβάνει. Αυτή η υπηρεσία είναι ασυνήθιστη σήµερα (χαµηλό επίπεδο κινδύνου). Η θύρα 13 χρησιµοποιείται από την υπηρεσία daytime που δίνει την ώρα του host σε όποιον συνδέεται σε αυτή τη θύρα. Από τη µορφή της ώρας όµως 110

111 µπορεί κάποιος να καταλάβει ποιο λειτουργικό τρέχει και να οργανώσει επίθεση στο σύστηµα πιστοποίησης που βασίζεται στο χρόνο. Στη θύρα 1025 υπάρχει τρύπα ασφάλειας της υπηρεσίας statd που είναι ευπαθής σε επίθεση format string. Ο επιτιθέµενος µπορεί να εκτελέσει δικό του κώδικα. Ο host τρέχει τον daemon ident (γνωστός ως auth) στη θύρα 113. Αυτή η υπηρεσία µπορεί να παρέχει πληροφορίες για τις υπηρεσίες που τρέχουν οι λογαριασµοί. Ο επιτιθέµενος µπορεί να βρει ευπαθείς υπηρεσίες στον λογαριασµό του root. Στη θύρα 1025 τρέχει η υπηρεσία fam RPC που διάφορες εκδόσεις της µπορούν να βρεθούν σε κατάσταση buffer overflow µε αποτέλεσµα την εκτέλεση εντολών ως root από τον εισβολέα. Στον εξυπηρέτη Web είναι ενεργοποιηµένο το directory indexing για τον κατάλογο /icons/. Αν είναι απαραίτητο, πρέπει να ενεργοποιείται µόνο για συγκεκριµένους καταλόγους. Βρέθηκε προεπιλεγµένο (default) αρχείο ξένης γλώσσας του Apache (index.html.el). Τα προεπιλεγµένα αρχεία µπορούν να δώσουν περισσότερες πληροφορίες για το σύστηµα. Υπάρχει περίπτωση κάποιος να τρέξει τα παρακάτω exploits και να αποκτήσει πρόσβαση στο σύστηµα. Τα exploits αυτά προέκυψαν από τις εκδόσεις των υπηρεσιών και του λειτουργικού (δεν λειτουργούν όλα απαραίτητα). Mountd exploit rpc - stadt exploit Exploit for Slackware 7.0 with LPRng Λύσεις για βελτίωση ασφάλειας Ο Apache web server πρέπει να αναβαθµιστεί στην έκδοση Οι µέθοδοι TRACE και TRACK του Apache πρέπει να απενεργοποιηθούν. Η κίνηση προς τη θύρα 111 όπου τρέχει ο RPC portmapper πρέπει να φιλτραριστεί. Υπηρεσία ηλεκτρονικού ταχυδροµείου κανονικά δεν θα πρέπει να τρέχει σε µηχάνηµα µε εξυπηρέτη Web έτσι ώστε να αυξηθεί το επίπεδο ασφάλειας του συστήµατος και κατ επέκταση του εξυπηρέτη. Προτείνεται η 111

112 απενεργοποίηση της υπηρεσίας, αλλά αν είναι τόσο απαραίτητη, πρέπει να αυξηθεί η ασφάλεια του Exim. Είναι απαραίτητη η ενηµέρωση του Exim στην τελευταία έκδοση. Πρέπει να εγκατασταθεί διόρθωση του firewall ή να γίνει ρύθµιση για να µην µπορούν να παρακαµφθούν οι κανόνες του. Πρέπει να γίνεται φιλτράρισµα των αιτηµάτων ICMP timestamp και των εξερχόµενων απαντήσεων ICMP timestamp. Ο server ProFTPd που παρέχει υπηρεσία FTP πρέπει να αναβαθµιστεί στην τελευταία έκδοση. Επίσης πρέπει να διορθωθεί το πρόβληµα µε τον κατάλογο /ANSS37/. Η υπηρεσία discard µπορεί να απενεργοποιηθεί από το /etc/inetd.conf. Στη συνέχεια πρέπει να γίνει επανεκκίνηση της διεργασίας inetd. Το ίδιο ισχύει και για την υπηρεσία daytime. Αναβάθµιση στην τελευταία έκδοση της υπηρεσίας rpc.statd. Αν η υπηρεσία auth δεν χρησιµοποιείται πρέπει να απενεργοποιηθεί από το αρχείο inetd.conf. Το ίδιο ισχύει και για την υπηρεσία fam RPC. Όλα τα προεπιλεγµένα αρχεία του Apache πρέπει να αποµακρυνθούν γιατί παρέχουν πληροφορίες για το σύστηµα (index.html.el). Ο εξυπηρέτης SSH πρέπει να είναι στην τελευταία έκδοση (δεν ανιχνεύτηκε τρύπα ασφάλειας - για προληπτικούς λόγους). Πρέπει να επιβεβαιωθεί ότι οι ενηµερωµένες εκδόσεις των υπηρεσιών και του λειτουργικού δεν είναι ευπαθείς στα πιθανά exploits που µπορεί να εκτελεστούν. Έλεγχος στον nethost1.csd.auth.gr Ο nethost1.csd.auth.gr είναι ένα σύστηµα µε λειτουργικό Windows XP, όπως φαίνεται και από τη σάρωση θυρών, σε αντίθεση µε τον agent που τρέχει Linux. Από τη σάρωση θυρών προέκυψε ότι δεν υπάρχει εξυπηρέτης Web και γι αυτό δεν εκτελέστηκαν εργαλεία για έλεγχο Web server. Αδυναµίες που εντοπίστηκαν Στη θύρα 139/tcp τρέχει SMB server (NetBIOS-ssn). Από τα θύρα 137/udp (NetBIOS-ns) µπορούν να γίνουν γνωστά 8 ονόµατα NetBIOS. 112

113 Μπορεί κάποιος να δει αποµακρυσµένα τον Security Identifier (SID) του host. Ο επιτιθέµενος µπορεί να χρησιµοποιήσει τον SID για να αποκτήσει λίστα µε ονόµατα χρηστών του nethost1 (Microsoft-ds 445/tcp). Είναι δυνατόν οποιοσδήποτε να κάνει login στον nethost1 µε χρήση username guest. Υπάρχουν διαµοιραζόµενα αρχεία που µπορούν να προσπελαστούν ως administrator (τρύπα ασφάλειας). Με σύνδεση στη θύρα 135/tcp και µε τις κατάλληλες ερωτήσεις µπορούν να απαριθµιστούν οι υπηρεσίες Distributed Computer Environment (DCE) που τρέχουν στον αποµακρυσµένο host. Έτσι ο επιτιθέµενος µπορεί να αποκτήσει περισσότερη γνώση για το σύστηµα. Ο host φαίνεται ότι είναι ενεργοποιηµένος για να κάνει Internet Key Exchange. Αυτό τυπικά είναι ενδεικτικό ενός VPN server. (isakmp 500/udp) O host δεν χρησιµοποιεί τυχαία IP IDs και είναι δυνατόν να προβλεφθεί η επόµενη τιµή του πεδίου ip_id των πακέτων ip που στέλνονται. Ο επιτιθέµενος µπορεί να το χρησιµοποιήσει αυτό για να προσδιορίσει traffic patterns στο δίκτυο. Ο host δεν απορρίπτει πακέτα TCP SYN µε ενδείκτη FIN. Ανάλογα µε το firewall που χρησιµοποιείται, κάποιος επιτιθέµενος θα µπορούσε να παρακάµψει τους κανόνες του firewall (το πρόβληµα εµφανίστηκε και στον agent). Ένα ελάττωµα της εφαρµογής task scheduler µπορεί να επιτρέψει στον επιτιθέµενο να εκτελέσει κώδικα αποµακρυσµένα. Αν ο επιτιθέµενος εκµεταλλευτεί αυτό το ελάττωµα θα µπορούσε να συνδεθεί στο υπολογιστή ή να αναγκάσει τον τοπικό χρήστη να εγκαταστήσει αρχείο.job. Ο host απαντά σε αίτηµα ICMP timestamp. Έτσι κάποιος θα µπορούσε να γνωρίζει την ηµεροµηνία και ώρα του µηχανήµατος και να ακυρώσει timebased πρωτόκολλα πιστοποίησης (το ίδιο πρόβληµα υπάρχει και στον agent). Στη θύρα 5000/tcp τρέχει ο Microsoft UPnP TCP helper. Στη θύρα 1900/udp τρέχει η υπηρεσία Microsoft Universal Plug n Play που έχει πολλά προβλήµατα ασφάλειας και είναι επικίνδυνη. Λύσεις για βελτίωση ασφάλειας Πρέπει να φιλτράρεται η εισερχόµενη κίνηση στη θύρα 137/udp για να µη µπορεί ο καθένας να βρει το όνοµα NetBIOS του υπολογιστή. 113

114 Επιπλέον πρέπει να φιλτραριστούν οι θύρες 139 και 445 για να λυθεί το πρόβληµα µε τον SID. O λογαριασµός guest πρέπει να απενεργοποιηθεί γιατί µπορεί κάποιος να συνδεθεί χωρίς τη χρήση κωδικού. Ο περιορισµός της πρόσβασης για τα αρχεία που εντοπίστηκαν µπορεί να γίνει πηγαίνοντας στην καρτέλα sharing και επιλέγοντας permissions. Η θύρα 135/tcp πρέπει να φιλτραριστεί για να µην είναι ορατές οι υπηρεσίες DCE. Πρέπει να επιβεβαιωθεί ότι το VPN χρησιµοποιεί αποτελεσµατικούς µηχανισµούς κρυπτογράφησης και πιστοποίησης. Πρέπει να εγκατασταθεί διόρθωση (patch) για το πρόβληµα µε το πεδίο ip_id. Η υπηρεσία Microsoft UPnP TCP helper πρέπει να απενεργοποιηθεί. Αυτό µπορεί να γίνει µε το επόµενο κλειδί του µητρώου. HKLM\SYSTEM\CurrentControlSet\Services\SSDPSRV Key : Start Value: 0x04 Η υπηρεσία Microsoft UPnP πρέπει να απενεργοποιηθεί. Αυτό µπορεί να γίνει εύκολα µε ένα µικρό πρόγραµµα που υπάρχει στη διεύθυνση : 114

115 ΠΑΡΑΡΤΗΜΑ - Screenshots agent.csd.auth.gr 115

116 116

117 117

118 118

119 119

120 nethost1.csd.auth.gr 120