krypterte filer på nettverks

La oss late for et øyeblikk at du bruker krypteres File System (EFS) til å kryptere alle filene som ligger på en bestemt server. Nå la oss late som en bruker med lovlig tilgang trenger å åpne en av disse filene fra sin arbeidsstasjon. Når brukeren åpner filen, er sikkerhet kort kompromittert. Grunnen til dette er at filen må sendes over nettverket. Dette er et problem fordi når en bruker åpner en kryptert fil, blir filen dekryptert på servernivå, ikke på arbeidsstasjonen nivå. Det betyr at filen er dekryptert før det noen gang kommer til brukerens PC. Alle på nettverket med en liten bit av kunnskap kan bruke en protokoll analysator å avskjære filen i transitt og få tilgang til den informasjonen som finnes i filen.

Grunnen til at denne type utnytte verk har til gjøre med måten at nettverk fungerer på det mest grunnleggende nivå. På mange typer nettverk, alle datamaskiner i et nettverk segment har en felles forbindelse medium. Når en datamaskin sender en pakke til en annen datamaskin, alle datamaskinene på segmentet motta pakken. Hver datamaskin kontrollerer pakkens bestemmelsesadresse for å se om det er den tiltenkte mottaker av pakken. Hvis destinasjonen adressen stemmer ikke overens med datamaskinens adresse, og deretter datamaskinen forutsetter at pakken er ment for noen andre og ignorerer pakken.

Protokoll analysatorer

Når en datamaskin kjører en protokoll analysator skjønt, plasserer protokoll analysator datamaskinens nettverkskort i promiskuøse modus. Dette betyr at datamaskinen ikke ignorere pakker, uavhengig av mottakeren. Protokollen analysator viser deretter innholdet i hver pakke på skjermen. Hver protokoll analysator er forskjellig, men mesteparten av tiden protokoll analysatorer vil tillate brukere å filtrere ut uønskede pakker og rekonstruere pakkestrømmer. Resultatet er at en bruker som kjører en protokoll analysator kan få sin egen kopi av en fil som blir overført, kan de lese e-postmeldinger, og gjøre omtrent alt annet som de ønsker.

Tydeligvis , er ideen om at en bruker på nettverket kan bruke en protokoll analysator til Snoop innholdet i pakker som flyter over nettverket ikke akkurat en trøstende tanke. I virkeligheten selv, skaden at en bruker kan gjøre med en protokoll analysator er en hel masse verre enn det jeg allerede har fortalt deg om. Ja, en bruker som er utstyrt med en protokoll analysator kan stjele filer i transitt, lese e-post, se innholdet på websiden som du ser på og sånt, men de kan også stjele identiteten din på Internett. Anmeldelser
Identitetstyveri

Tenk på det et øyeblikk. Filer, e-postmeldinger og nettsider er ikke de eneste tingene som flyter over nettverket. Autentiseringsakkreditiver er også overføres over et nettverk. Tenk for et øyeblikk at du logger deg på en FTP-området. Som du skriver passordet, er passordet ikke vises på skjermen. Du ser en prikk eller en stjerne i stedet for hvert tegn. Så snart du trykker på enter skjønt, er passordet sendes til FTP-serveren. Hvis noen ser innloggingsprosessen med en protokoll analysator, vil de ikke se passordet representert som prikker eller som stjerner. De vil se passordet ditt stavet ut i ren tekst.

OK, i all rettferdighet, er det ikke alltid så lett å stjele passord. Et generisk FTP-økt sender passord i klartekst, men de fleste moderne autentiseringsmekanismer kryptere passordet før sending. Når serveren mottar passordet, er det dekryptert og sjekket for nøyaktighet. Hvis du skulle se et kryptert passord overføres, ville protokollanalysator ikke vise deg noe, men en lang streng av hieroglyfene.

Den gode nyheten er at det å ha passordet kryptert gjør det vanskelig, om ikke umulig, for noen med en protokoll analysator for å stjele passord. Den dårlige nyheten er at brukeren ikke trenger å stjele passord. Brukeren kan stjele identiteten din gjennom bruk av en replay angrep.

Replay angrep

Slik fungerer det. Personen med protokoll analysator gjenkjenner en godkjennings pakke, men kan ikke lese passordet som finnes i den fordi passordet er kryptert. Bare fordi passordet er kryptert skjønt, betyr det ikke at passordet ikke er der. Pakken inneholder fortsatt et passord og at passordet eksisterer i en form som er helt akseptabelt til serveren som autentiserer passord. Det å være tilfelle, gjør brukeren en kopi av godkjennings pakke og endrer pakkens kilde adresse for å matche adressen til datamaskinen som de bruker. De deretter bruke protokollanalysator å overføre den modifiserte autentisering pakke til serveren som håndterer autentisering for nettverket. Serveren mottar pakken og ser at den inneholder et gyldig sett med godkjenningsinformasjon. Serveren antar derfor at brukeren hvis identitet ble stjålet er logget inn på hacker maskin. For å si det enkelt, er hackeren er logget på som brukeren hvis identitet de stjal, og de aldri selv måtte finne ut offerets passord for å gjøre det.

Siden hacker er forkledd som en legitim bruker, er det alltid en mulighet for at brukeren hvis identitet ble stjålet kunne logge inn mens hacker er logget inn som dem. Noen ganger vil hackeren lansere en denial of service angrep mot brukeren at de er forkledd som. Dette holder offeret fra å logge på til hacker er ferdig med hva noensinne det er at de gjør.

Hvordan kan jeg beskytte nettverket?

Så jeg antar million dollar spørsmålet er hvordan kan du beskytte nettverket mot denne typen angrep? Det er et par forskjellige ting som du kan gjøre. Det første du trenger å gjøre er å ha et system på plass for å fange alle som bruker en protokoll analysator på nettverket. Ved første kan det virke umulig å fange noen bruker en protokoll analysator siden en protokoll analysator passivt lytter til nettverkstrafikk.

Bait

Nøkkelen til å fange noen bruker en protokoll analysator er å se på DNS nevne resolusjoner. Du kan sette opp et agn maskin på nettverket. Maskinen faktisk ikke trenger å gjøre noe annet enn å kjøre Windows. Fangsten er at du ikke må fortelle noen om denne maskinens eksistens. Siden ingen vet at maskinen eksisterer, og maskinen er ikke å gjøre noe, så ingen skal ha noen grunn til å kommunisere med maskinen. Men fordi maskinen kjører Windows, vil den sende ut en og annen pakke. Normalt vil maskinene på nettverket være helt uvitende om denne pakken. Imidlertid vil en protokoll-analysator legge merke til at trafikken som kommer fra en ukjent vert på nettverket. Protokollen analysator vil deretter utføre en DNS-spørring for å prøve å finne ut maskinens identitet. Normalt bør ingen har grunn til å være å gjøre DNS-spørringer angående agn maskin, så disse typer søk er nesten alltid en indikasjon på noen kjører en protokoll analysator eller annen hacker-verktøy.

IPSec

En annen måte at du kan forsvare ditt nettverk mot denne type angrep er å bruke IPSec til å kryptere nettverkstrafikken. Jeg har allerede vist deg hvordan kryptering kan omgås, slik at du kan lure på hva som gjør IPSec annerledes.

Forskjellen er at IPSec er hele jobben er å sikre data som strømmer over nettverket. Før en sesjon kan også være kryptert, insisterer IPSec på gjensidig godkjenning. Hva dette betyr er at hvis Computer A ønsket å sikkert overføre en pakke til datamaskin B, ville IPSec krever begge maskinene for å bevise sin identitet før det ville tillate økt.

IPSec tar også tiltak for å sikre at pakker ikke er tuklet med i transitt. Jeg har tidligere forklart hvordan kilden adressen til en pakke kan endres av en hacker. En hacker kan endre mye mer enn en pakke adresse skjønt. Tenk deg for eksempel at en hacker visste at Computer A skulle være å sende en viktig e-postmelding til Computer B. hacker kunne kjøre et tjenestenektangrep mot Computer B for å hindre dem fra å motta meldingen. I mellomtiden hacker avskjærer meldingen og endrer den slik at den ser ut som fyren på datamaskinen A sa noe helt annet enn hva den opprinnelige meldingen sa. Hackeren deretter avslutter denial of service angrep mot Computer B og sender de modifiserte pakker. Resultatet er at personen i Computer B mottar en falsk e-postmelding som ser autentisk.

IPSec kan beskytte mot pakke modifisering. IPSec beregner en sjekk sum verdi basert på pakkens opprinnelige innholdet. Hvis pakken er endret, så kontrollsumverdi blir ugyldig og IPSec vet at pakken har blitt tuklet med.

IPSec selv beskytter mot replay angrep. Hver IPSec pakke er tildelt et sekvensnummer. Hvis en hacker forsøker å spille en IPSec kryptert pakke, så sekvensnummeret ikke vil passe inn i dagens pakkesekvensen og IPSec vet at pakkene er ugyldig.

Som du kan se, distribusjon IPSec på nettverket kan stor styrke nettverkets sikkerhet. Før du deicide å distribuere IPSec skjønt, er det et par ting som du trenger å vite. Først IPSec krever nettverket skal ha en sertifikatserver på plass. Windows Server 2003 kan konfigureres til å fungere som en sertifiseringsinstans, men du vil trenge en dedikert server. Teknisk sett er en dedikert server ikke et absolutt krav om sertifikat autoritet, men kjører andre tjenester på en sertifikatserver er en svært dårlig idé fra et sikkerhetsmessig synspunkt.

En annen ting som du trenger å vite er at IPSec gjør plassere en ekstra byrde på nettverket. Ekstra CPU-sykluser er nødvendig for å utføre kryptering og dekryptering prosess, og IPSec-kryptering øker vanligvis volumet av trafikk som flyter over nettverket. En måte å lettelser denne ekstra byrden selv, er å bruke IPSec aktivert NIC kort. Disse nettverkskort avlaste den kryptering og dekryptering prosessen fra maskinens CPU.

En siste ting som du trenger å vite om IPSec er at ikke alle operativsystem støtter det. IPSec ble først introdusert i Windows-operativsystemer 2000. Eldre Windows støtter ikke IPSec.

Konklusjon

I denne artikkelen, jeg har forklart noen forskjellige måter som hackere kan utnytte den trafikken som er i gang i hele nettverk. Jeg fortsatte med å forklare hvordan du kan bruke agn maskiner og IPSec-kryptering for å motvirke disse teknikkene. Anmeldelser