Varnostna politika in vrste napadov

Preverjati je torej treba, ali je dejanje, ki ga skuša uporabnik izvesti, v skladu s pravili in varnostno politiko (ang. security policy) omrežja – to imenujemo tudi avtorizacija (ang. authorization – pooblaščanje). Avtorizacija torej pomeni predvsem preverjanje pravil varnostne politike in pravil za nadzor dostopa. V določenih primerih nam je vseeno, če kdo prebere naše sporočilo (torej sporočilo ni zaupno), vendar pa bi radi imeli možnost, da zaznamo vse spremembe sporočila – gre za ohranjanje integritete (ang. integrity – celovitost) sporočila. Pričakujemo pa tudi, da do teh storitev lahko dostopamo kadarkoli (ang. availabilityrazpoložljivost).

Vaja


Za varnost v omrežju skrbijo omrežni skrbniki. Postavimo se torej v vlogo omrežnega skrbnika in razmislimo, katere vrste napadov lahko zlobneži izvajajo v našem omrežju.

Prva faza napada na omrežje je tako imenovana izvidnica oziroma omrežno poizvedovanje, s katerim si napadalec izdela zemljevid omrežja, naprav in storitev. To pomeni, da s prisluškovanjem prometu ali s pošiljanjem svojih sporočil v omrežje ugotovi, katere naprave sploh so v omrežju, so dostopne prek omrežja, kako se odzivajo na prejete zahteve, kako so povezane med seboj z omrežnimi povezavami, katere omrežne naslove IP uporabljajo in katere storitve so nameščene v njih (na primer spletni strežnik, poštni strežnik, odjemalec za BitTorrent, razne igre, poslovni programi ...).

V praksi napadalci najraje uporabljajo tehnike skeniranja (pregledovanja) vrat in aktivnih številk IP. Tehniko aktivnega skeniranja vrat lahko uporabljajo tudi omrežni skrbniki, tako da ni nujno, da je vsako skeniranje del napada na omrežje. S posebnimi programi, kot je na primer odprtokodni nmap (Network Mapper), je mogoče izdelati zemljevid strežnikov in storitev, ki so nameščene v njih. Ker je aktivno skeniranje omrežja mogoče zaznati, saj napadalec pošilja paketke v omrežje in čaka na odgovor, so hekerji razvili zvito pasivno različico, imenovano tudi zombijevsko skeniranje (ang. zombie scan, idle scan). Napadalec potrebuje za napad dostop do strežnika, ki trenutno ne pošilja podatkov in uporablja starejšo različico nekaterih ranljivih operacijskih sistemov. Te ranljivosti napadalec potem izkoristi za svoje namene. Pogosto so ranljive stare, preproste, skoraj pozabljene in neposodobljene vgrajene (ang. embedded) omrežne napravice.

Prisluškovanje je ena od najobičajnejših pasivnih dejavnosti napadalca.

Pri svojih dejavnostih napadalci uporabljajo tudi potvarjanje (ang. spoofing). Potvorijo ali ponaredijo lahko katerikoli naslov: izvorni strojni naslov (MAC), izvorna IP-številka, lahko so to vrata ali pa kateri koli drug podatek v paketku. V splošnem napadalec lahko spremeni samo del sporočila ali pa si izmisli kar celotno sporočilo. Izvorni naslov (torej svoj naslov) ponaredi zato, da ga ne bi odkrili, v tem primeru na njegovo mesto vnese izmišljeno številko.