Intro. Struktur og trusselbilde - Avdeling for informatikk og e

Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag
Struktur og trusselbilde
Helge Hafting
23.1.2015
Lærestoffet er utviklet for faget «IFUD1016 Nettverksikkerhet»
Resymé: Leksjonen ser på nettverksstrukturen og trusselbildet.
Det skal gå an å klikke på lenkene i leksjonen, så fremt pdf-leseren din støtter funksjonen. Det samme
gjelder innholdslista og andre kryssreferanser.
Innhold
1
Struktur og trusselbilde
1.1
1.2
1.3
1.4
1.5
Om denne leksjonen . . . . . . . . . .
Introduksjon til fagområdet nettsikkerhet
Struktur . . . . . . . . . . . . . . . . .
1.3.1 AITeL nettverk . . . . . . . . .
1.3.2 Vanlig firmanettverk . . . . . .
1.3.3 Andre eksempler . . . . . . . .
Trusselbilde . . . . . . . . . . . . . . .
1.4.1 Kriminelle . . . . . . . . . . .
1.4.2 Utro tjenere . . . . . . . . . . .
1.4.3 «Skyen» . . . . . . . . . . . . .
1.4.4 Fremmede makter . . . . . . .
1.4.5 Uhell og inkompetanse . . . . .
1.4.6 Miljøet . . . . . . . . . . . . .
Oppsummering . . . . . . . . . . . . .
2
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
2
2
3
3
4
5
6
6
7
7
9
10
11
11
1 Struktur og trusselbilde
1.1 Om denne leksjonen
I denne leksjonen ser vi på eksempler på hvordan vanlige nettverk er strukturert, og
truslene vi står overfor.
Faget «Nettverkssikkerhet» omhandler sikkerhet i nettverk. Vi ser på hvordan vi sikrer
nettet, og hvordan vi bruker nettet som et sikkerhetsmiddel.
1.2 Introduksjon til fagområdet nettsikkerhet
Et aktuelt spørsmål er: «Sikkerhet – mot hva? Og for hvem?» Vi har kriminelle hackere,
vi har menneskelige feil, og vi har naturen.
Det er alltid noen som vil prøve seg. Ingen virksomhet er så liten og uinteressant at den
ikke vil bli angrepet. Det er mulig at en liten virksomhet ikke har informasjon som det
er interessant å misbruke, men de vil om ikke annet oppleve automatiserte angrep rettet
mot tilfeldige IP-adresser. Unge vandaler synes det er gøy å kræsje en tilfeldig webserver.
Noen hackere «samler på» kompromitterte maskiner, uansett hvor de er i verden. Et visst
minimum av sikkerhet er derfor nødvendig.
Husk at ett enkelt tiltak ikke er nok. En møter i blant holdninger som «vi trenger ikke
ytterligere tiltak, vi har jo brannmur!». Den dagen en hacker eller et virus kommer
gjennom muren likevel, er det en fordel om det som er innenfor ikke er helt åpent!
Vær klar over at du alltid kan bli utsatt for sniffing. Andre i samme subnett kan fange
opp all din kommunikasjon, dermed er det et poeng å ikke sende passord i klartekst. Det
er lett å tenke at hackerne ute i verden ikke er på samme subnett, men du vet aldri når de
har brutt seg inn på en maskin i nærheten og installert sniffeprogrammet der.
Et nettverk er aldri sikrere enn det svakeste leddet. I dette kurset vil vi konsentrere oss
om hvordan vi kan sikre selve infrastrukturen i et nettverk. Vi vil for eksempel se på
hvordan vi kan sikre rutere, switcher og kabler. Dette er viktig, for hvis en uautorisert
person kan skaffe seg kontroll over denne delen av nettverket, har han kontroll så å si
over alt som flyter i nettverket. Mange bedrifter er avhengige av at nettverkene fungerer,
for at arbeiderne i det hele tatt skal få utrettet noe. Det er derfor veldig viktig å ikke
miste kontroll over infrastrukturen i nettverket. Dette kan ha mye større konsekvenser
Struktur
side 3 av 11
enn om man mister kontroll over en av tjenerne eller klientene i nettverket (men for all
del, dette kan være en trussel i seg selv da dette kan brukes som et springbrett videre inn
i nettverket).
Sikkerhet i en organisasjon innbefatter derfor menneskelige faktorer (holdninger og kunnskap), sikkerhet på den enkelte klient og tjener i nettverket, infrastrukturen i nettverket
osv. Faget fokuserer hovedsaklig på hvordan man teknisk kan sikre infrastrukturen i
et nettverk, og blir derfor bare en av flere brikker for å få den fullstendige oversikten
over hvordan sikre en organisasjon og dens ressurser. Følgende fag kan derfor også være
aktuelle for å få en mer «komplett oversikt»:
• Internett og sikkerhet IFUD1012
• Datasikkerhet IFUD1005
• Informasjonssikkerhetsstyring IFUD1011
• Systemforvaltning IFUD1031
1.3 Struktur
1.3.1 AITeL nettverk
Figur 1.1 på neste side viser nettet på AITeL, noe forenklet. Nettforbindelsen leveres
av Uninett. Ulike brukergrupper har svært ulike sikkerhetsbehov, derfor er det flere
VLAN som det rutes mellom. Mellom switchene går trunk-forbindelser som overfører
alle VLAN. Legg merke til redundante forbindelser, de beskytter til en viss grad mot
kabelbrudd.
Oppdeling i separate nett for studenter, faglig ansatte og administrativt ansatte er vanlig
på norske høgskoler. Slik kan ulike grupper beskyttes mot hverandre, spesielt går det
ikke an å sniffe opp hva som foregår på andre nett. Det kan også legges begrensinger på
hvilke tjenester man kan nå på andre nett enn sitt eget. Brannmuren beskytter altså ikke
bare mot utenforstående.
Brannmuren gjør en del forskjell på de ulike nettene. Reglene for trådløsnettet er strenge,
det er nødvendig siden nesten hvem som helst kan bruke det. Nettet for faglig ansatte
er nesten helt åpent mot omverdenen. Det er nødvendig, på grunn av undervisningen
må lærerne kunne teste ut allslags forbindelser og tjenester. De enkelte tjenermaskinene
kjører imidlertid egne brannmurer, noen av dem godtar ikke forbindelser utenfra.
Labben i 4. etg. er skilt ut på et eget nett, med egen brannmur. Dette fordi labben brukes
til installasjonsøvinger. Maskiner her kan være midt i en installasjonsprosess med dårlig
sikkerhet, og trenger dermed ekstra beskyttelse mot hacking. Videre er det øvinger med
DHCP-tjenester, som ikke kan få lov til å sette resten av studentnettet ut av spill.
© Helge Hafting og stiftelsen TISIP
side 4 av 11
Struktur og trusselbilde
ISP
Ruter+
brannmur
Uninett
Ruter
kalvskinnet−gsw
wifi
lab4
SW
wifi
pc
wifi
SW
SW
SW
SW
pc
pc
pc
serv
pc
pc
pc
serv
VLAN:
pc
serv
pc
serv
pc
serv
stud
fag−ansatt
adm
wifi
lab4
Figur 1.1: Nettet på AITeL
I tillegg er det et VLAN som ikke er vist. Alle switcher og rutere kan administreres over
nett. Administrasjonsgrensesnittene ligger i et eget VLAN, som bare rutes til noen få
utvalgte. Dermed er det ikke mulig for uvedkommende å logge inn og tulle med utstyret –
ikke en gang om de klarer å gjette rett passord!
1.3.2 Vanlig firmanettverk
Figur 1.2 på neste side viser et typisk firmanettverk. PCer og interne tjenermaskiner er i
sikker sone. Omverdenen kan typisk ikke kontakte maskiner i den sikre sonen i det hele
tatt. Utgående forbindelser er til en viss grad mulig, ihvertfall web.
Tjenester som tilbys omverdenen, ligger i en egen «demilitarisert sone» (DMZ). Det er
typisk slike ting som firmaets nettsider, epost og DNS.
Utenforstående kan kontakte maskiner i DMZ, men bare de tjenestene som er ment å
være tilgjengelig. Fjernadministrasjon av DMZ-tjenere er normalt bare tilgjengelig fra
sikker sone.
© Helge Hafting og stiftelsen TISIP
Struktur
side 5 av 11
ISP
Ruter+
brannmur
wifi
DMZ
serv
serv
SW
Sikker
sone
SW
serv
pc
SW
SW
pc
pc
serv
pc
pc
pc
pc
serv
Figur 1.2: Firmanettverk
Bedrifter som har både trådløse og kablede nett, skiller gjerne ut trådløst i et eget nett.
Dette fordi det trådløse nettet er lettere å sniffe og misbruke utenfra. Noen tilbyr trådløse
nett til kunder, da er det viktig at det trådløse nettet ikke gir enkel tilgang til filtjenere
med konfidensiell informasjon.
Noen bedrifter bruker bare trådløst nett, også internt. I så fall er det viktig at det er godt
sikret mot utenforstående, noe vi skal se mer på senere.
1.3.3 Andre eksempler
Noen organisasjoner bruker flere nett fordi de er geografisk spredt. Noen bruker flere
interne nett fordi de trenger intern konfidensialitet. For eksempel kan ledelsen ha et eget
nett, så det ikke er mulig for ansatte å sniffe opp opplysninger om personalsaker.
Noen organisasjoner har flere uavhengige internettforbindelser, slik at ikke mister forbindelsen bare fordi én ISP har tekniske problemer. Dette er nødvendig hvis man vil ha
svært høy oppetid. I Norge må man være oppmerksom på at mange ISPer egentlig bare
videreselger Telenor-forbindelser. Også Telenor kan få problemer i blant; da er det liten
vits i å betale ekstra for å ha to forbindelser som begge går via Telenor.
I spesielle tilfeller er konsekvensene ved lekkasjer så store at man har flere parallelle
nett. Det minst sikre nettet kan være koblet til Internettet, sikrere nett er ikke koblet
til internettet i det hele tatt. Dermed er det ikke mulig å bryte seg inn, selv om noen
skulle komme over en svakhet i brannmurer e.l. Det er nemlig ingen vei inn, bortsett
© Helge Hafting og stiftelsen TISIP
side 6 av 11
Struktur og trusselbilde
fra gjennom døra. Forsvaret og helsevesenet opererer med slike systemer. Firmaer som
utvikler verdifulle produkter kan ha separate nett for utvikling.
Doble nett er dyrt på mange vis. Infrastrukturen dobles. Ansatte som trenger tilgang på
begge nett, må typisk ha to maskiner hver. De to nettene skal jo ikke henge sammen, så
ingen maskin kan være koblet på begge samtidig1 . Å plugge om fra ett nett til ett annet
er heller ingen god løsning. Virus/keyloggere kan komme inn fra Internettet, og skal ikke
kunne spres videre.
Administrasjon og vedlikehold er et annet problem. Maskiner på det lukkede nettet
kan ikke oppgraderes fra de vanlige nettbaserte kildene. I stedet må man laste ned
oppgraderinger, lagre dem på transportabelt medium, sjekke at oppdateringen er trygg,
for så å legge det inn på de sikre maskinene.
1.4 Trusselbilde
Det er mye som kan skape problemer for nettverkene våre.
1.4.1 Kriminelle
Den vanligste kriminelle aktiviteten er mer eller mindre tilfeldige angrep. De forsøker å
ta kontroll over en tjenermaskin bare for å gjøre det, evt. også for å ødelegge nettsider.
Vi har også kriminelle som lager såkalte «botnett», hvor de samler på kompromitterte
maskiner. Disse kan senere benyttes til DDOS-angrep og spamformidling i stor skala.
Denne typen angrep er ofte automatiske. Et program forsøker å angripe massevis av
maskiner, og rapporterer tilbake om hvilke maskiner som kunne overtaes.
Hvis man har svært verdifull informasjon, risikerer man også at industrispioner bryter
seg inn over nettet for å få tak i den.
Når man tenker sikkerhet, er det lett å fokusere på kriminalitet. Det er imidlertid langt
fra det eneste problemet.
Organisasjoner med høy profil opplever flere angrep, også DDOS-angrep der angriperen
prøver å overbelaste nettet over tid. Kriminelle gjør slike angrep for å imponere hverandre.
Et vellykket angrep mot spesielt sikre nett gir prestisje, derfor prøver de seg på politiets
og forsvarets nettverk. Nettene og nettsidene til kjente organisasjoner er også populære
mål, noe f.eks. Google og Microsoft opplever fra tid til annen.
1
En pc som er koblet på to nett samtidig, kan fungere som en ruter mellom de to nettene. Og selv om den
ikke er satt opp slik i utgangspunktet, kan den jo bli hacket fra det åpne nettet.
© Helge Hafting og stiftelsen TISIP
Trusselbilde
side 7 av 11
1.4.2 Utro tjenere
Utro tjenere er ofte et større problem enn eksterne kriminelle. De opererer på innsiden,
innenfor både brannmurer og dører. De kjenner nettet og passord på tjenermaskiner.
Motivasjonen kan være å selge konfidensiell informasjon, eller hevn for ubehageligheter
som for eksempel oppsigelse. Hvis sikkerheten mot eksterne innbrudd er god, finner
industrispioner det enklere å bestikke noen.
Slikt skjer i Norge. Jeg kjenner til et utviklingsfirma som ofte opplevde at konkurrenten
lanserte mistenkelig like produkter. Etterhvert kjøpte de opp det konkurrerende firmaet.
Der fant de en pc som inneholdt deres egne originaltegninger. . .
1.4.3 «Skyen»
Tjenester og lagring «i skyen» er i skuddet for tiden. Dessverre, fra et sikkerhetssynspunkt.
Dette er akkurat det samme som man før kalte «outsourcing». Men det høres flottere ut,
for outsourcing er forbundet med å legge ned egne arbeidsplasser. Folk flest tenker ikke
over at dette også gjelder «sky-tjenester».
Problemet er at sky-tjenester alltid involverer en tredjepart – nemlig de som eier og driver
tjenesten. Forhold mellom bedrifter reguleres gjennom avtaler og signerte kontrakter,
men slik er det ofte ikke med skytjenester. Spesielt ikke når tjenesten ble opprettet med
tanke på hjemmebrukere, som deretter drar med seg sine sky-vaner inn i arbeidslivet. Det
er f.eks. mange som bruker dropbox, men har du signert en kontrakt med dem? Vet du
hva slags avtale det er?
Problemer med skytjenester:
• Hvis du ikke har en kontrakt med tjenestetilbyder, skylder de deg ingenting. Tjenestetilbydere har som regel noen betingelser, men der står det gjerne at de kan
endre vilkårene «når som helst».
Det er bedre å ha en kontrakt, som spesifiserer når og hvordan betingelsene evt.
kan reforhandles.
• Har virksomheten behov for konfidensialitet, datasikkerhet eller opphavsrett for
slikt som havner i skyen? Det må i så fall avtales. Uten kan tilbyderen f.eks. selge
dine dokumenter til en konkurrent, lovlig. De har jo reservert retten til å endre
betingelsene når som helst. . .
• Hva om sky-tjenesten går konkurs? Får du igjen sakene dine? Havner dokumentene
dine hos skraphandleren som kjøper tjenermaskinene fra konkursboet?
• Hva med datasikkerhet? Får du problemer, hvis noen bryter seg inn i skytjenesten
du bruker? Vet du noe om hvor god sikkerhet de har?
© Helge Hafting og stiftelsen TISIP
side 8 av 11
Struktur og trusselbilde
• Tjenester i utlandet har sine egne problemer:
◦ Lovene er anderledes og kan by på overraskelser. Det er vanskeligere å føre
rettsaker i utlandet. I tillegg til lovene, møter man fordommer som at man
«representer et utenlandsk firma som plager lokale suksessrike virksomheter».
Noe som blir enda verre i land med mye korrupsjon, hvor de lokale vet hvem
som bør «smøres».
◦ Andre lands e-tjenester kan drive industrispionasje til fordel for egen industri.
Eksempler fins fra USA, Russland, Kina, m.fl.
Instagram
Bildetjenesten «Instagram» er et eksempel på hvor galt det kan gå. Tjenesten lar brukere
laste opp bilder og film, bruke digitale filtre, og dele materialet med hverandre via diverse
sosiale nettverk. Dette fungerte bra, og tjenesten ble brukt av både hjemmebrukere og
profesjonelle fotografer.
I desember 2012 endret Instagram på bruksbetingelsene:
You agree that a business or other entity may pay us to display your username,
likeness, photos (along with any associated metadata), and/or actions you
take, in connection with paid or sponsored content or promotions, without
any compensation to you.
Dette betød enkelt og greit at de kunne selge kopier av bildene de oppbevarer til hvem
som helst. De trengte ikke spørre fotografen om lov, og trengte heller ikke betale noe for
å bruke bildene slik. Her så Instagram en mulighet for å tjene penger.
Reaksjonen lot ikke vente på seg. Proffene fjernet øyeblikkelig bildene sine fra Instagram,
de lever tross alt av å selge dem selv. Å gi bort bildene mot å få lagre dem hos Instagram
var ikke aktuelt.
Privatpersoner burde også tenkt over dette. De fleste tror at de private bildene deres ikke
er så veldig interessante for omverdenen. Men her kunne altså bilder bli solgt til hvem
som helst, f.eks. for å brukes i reklame. Ville du likt om bilder av deg og dine plutselig
brukes i reklame for kvisekrem, sære politiske partier, eller prevensjonsmidler?
På grunn av reaksjonene, gikk Instagram etterhvert tilbake på noe av dette. Men lærdommen er klar; vi kan ikke stole på skytjenester som reserverer retten til å endre betingelsene
når som helst. Jeg anbefaler å lese bruksbetingelsene for eksterne tjenester nøye. Tenk
over hva de kan og ikke kan gjøre med materiale du laster opp. . .
Slike muligheter er også grunnen til at en del firmaer ikke lar ansatte bruke skytjenester.
Noen sørger for å blokkere dropbox og lignende i brannmuren, så ikke ukyndige ansatte
skal fristes til å bruke tjenestene. Slik sørger man for at konfidensielt materiale ikke
kommer på avveie.
© Helge Hafting og stiftelsen TISIP
Trusselbilde
side 9 av 11
Artikkel om Instagram
http://pandodaily.com/2012/12/22/
instagrams-controversy-and-more-in-our-weekly-wrapup/
Fotoknudsen
Denne kjeden tilbød gratis lagring av digitale bilder. (Lønnsomt for dem, siden det
dermed er enklest for folk å bruke kjeden når man vil ha et av bildene sine i glass og
ramme.)
I begynnelsen av 2013 gikk kjeden konkurs. En stund var det usikkert om folk ville få
tak i bildene sine igjen. En skummel tid for de som ikke hadde kopier hjemme.
Heldigvis fant de etterhvert en løsning så folk kunne få igjen bildene sine. Men vi
kan ikke alltid stole på at tjenestetilbydere har en positiv innstilling i forbindelse med
konkurser.
Artikkel om Fotoknudsen
http://www.abcnyheter.no/nyheter/2013/02/11/
fotoknudsen-konkurs-hundrevis-mister-jobben
1.4.4 Fremmede makter
Når det er krig eller andre alvorlige konflikter mellom land, brukes også Internettet som
et våpen. Både enkeltpersoner og etteretningstjenester kan finne på å bruke nettbaserte
angrep mot fiendes maskiner og infrastruktur.
Stuxnet
Dette kan være alt fra enkelt hærverk, til spionasje og kompliserte målrettede angrep.
«Stuxnet» er et eksempel på det siste. Stuxnet er et virus som ikke bare sprer seg på
windows-PCer, men også på digitale styresystemer for industrielle prosesser. Å lage et
slikt virus er ressurskrevende; en trenger i så fall prosesskontrollutstyr til om lag 50 000,
samt detaljkompetanse på hvordan det virker. Viruset har helt klare mål: Hvis det finner
ut at det har spredt seg til et system som styrer sentrifuger for anriking av uran, vil
det kjøre sentrifugene på feil hastighet nå og da. Denslags ødelegger for anrikingen og
sliter ut sentrifugene. Man antar at om lag 1000 sentrifuger måtte skiftes ut på grunn av
Stuxnet.
© Helge Hafting og stiftelsen TISIP
side 10 av 11
Struktur og trusselbilde
Ingen vet sikkert hvem som står bak Stuxnet, men viruset har dukket opp på et atomanlegg
i Iran. Iran har en konflikt med Israel og USA angående anriking og bruk av uran.
Norge deltar også i en og annen internasjonal konflikt, noe som øker sjansen for at også
vi kan bli rammet av slike angrep.
Mer om Stuxnet
http://en.wikipedia.org/wiki/Stuxnet
NSA
National Security Agency driver omfattende overvåking. Akkurat hvor omfattende, ble
avslørt i en lekkasje i mai 2013. De prøver å få med seg det meste av trafikken på
Internettet.
Artikkel om NSA-avsløringer
http://www.theguardian.com/world/2013/jun/09/edward-snowden-nsa-whis
1.4.5 Uhell og inkompetanse
Dette dekker alt som kan oppsummeres med «menneskelig svikt». Nå og da graver
noen over en kabel. Arbeid med gulv og vegger kutter kabler innendørs. Det fins mange
historier om datatap fordi noen trengte strøm til støvsugeren og trakk ut en annen plugg
for en stund. Denslags fungerer bedre for kjøleskap enn for servere. . .
En annen type uhell er data på avveie, f.eks. når noen har glemt en bærbar på bussen.
Det hender at noen lager «nye veier» inn i nettet, ved å koble eget utstyr som modem,
aksesspunkt eller mobiltelefon til PCen. Dermed kan utenforstående få tilgang på nettet
utenom den vanlige brannmuren.
Uønsket programvare er også et problem. Virus er et slikt problem. Folk tar med bærbar
PC hjem, og får inn virus gjennom usikrede hjemmenett. Eller de laster ned et «gratis
spill» som viser seg å være en trojaner. En annen variant, som vi har sett her på HiST
noen ganger, er ansatte som tester DHCP-programvare. Dermed deler de plutselig ut
upassende IP-adresser, og mange andre mister tilgang til nettet.
© Helge Hafting og stiftelsen TISIP
Oppsummering
side 11 av 11
1.4.6 Miljøet
Nettverksutstyr må, som så meget annet, sikres mot miljøet. Flom, lekkasjer, brann,
lynnedslag og strømbrudd kan sette nettet ut av spill. Elektriske problemer som ikke
ødelegger utstyret umiddelbart, kan likevel slite på det.
Noen firmaer har utstyr som trekker veldig mye strøm, som smelteovner, sveiseutstyr,
lokomotiver, elektromagneter og store elektromotorer. Dette gjelder ikke bare industrien.
Kontorbygg har elektrisk drevne heiser, kjøpesentre har rulletrapper.
Sterk strøm omgir seg med kraftige magnetfelter, som kan indusere strøm i andre kabler
i nærheten. F.eks. nettkabler som er lagt langsmed strømkablene til utstyret. En kan
unngå dette ved å legge nettkablene langt unna utstyret og dets strømledninger. Skjermet
kabel hjelper litt. Fiber er et bedre alternativ, da optiske fibre ikke forstyrres av strøm og
magnetfelter.
Når strømkrevende utstyr slås av og på, kan det også oppstå lokale problemer i strømnettet.
For utstyr som drives med strøm, kan man få bruk for transient suppressors. Slikt utstyr
fjerner eller demper skadelige strømpulser.
1.5 Oppsummering
Vi har sett noen eksempler på hvordan nett struktureres, blant annet hvordan det er gjort
ved AITeL. Videre har vi sett litt på hvilke trusler vi står overfor.
© Helge Hafting og stiftelsen TISIP