Cisco Network Security - Łagodzenie zagrożeń

1. Specjaliści ds. bezpieczeństwa sieciowego są odpowiedzialni za utrzymanie gwarancji danych dla organizacji oraz zapewnienie integralności i poufności informacji. Aby skutecznie chronić sieć, specjaliści muszą być na bieżąco z zagrożeniami i podatnościami, które ewoluują.

2. Ważne organizacje zajmujące się bezpieczeństwem sieciowym:
  • SANS
  • Mitre
  • FIRST
  • SecurityNewsWire
  • (ISC)2
  • CIS


3. Trójkąt (triada) CIA
  • Poufność - Tylko upoważnione osoby, podmioty lub procesy mogą mieć dostęp do wrażliwych informacji. 
  • Integralność - Odnosi się to do ochrony danych przed nieautoryzowaną zmianą. 
  • Dostępność - Uprawnieni użytkownicy muszą mieć nieprzerwany dostęp do zasobów sieciowych i danych, których wymagają.
4. Domeny bezpieczeństwa sieciowego:
  • polityka bezpieczeństwa informacji
  • organizacja bezpieczeństwo informacji
  • bezpieczeństwo zasobów ludzkich
  • zarządzanie aktywami
  • kontrola dostępu
  • kryptografia
  • bezpieczeństwo fizyczne i środowiskowe
  • bezpieczeństwo operacyjne
  • bezpieczeństwo komunikacji
  • rozwój i utrzymanie systemów
  • relacje z dostawcami
  • zarządzanie incydentami bezpieczeństwa informacji
  • zarządzanie ciągłością biznesu
5. Polityka organizacji, które organizacja opracowuje celem kierowania swoimi działaniami. Wyróżniamy następujące polityki firmy:
  • polityka firmy (ustanawiają zasady postępowania i odpowiedzialności zarówno pracowników, jak i pracodawców)
  • polityka pracownicza (tworzone i utrzymywane przez personel ds. zasobów ludzkich w celu określenia kadrowych)
  • polityka bezpieczeństwa (zestaw celów bezpieczeństwa dla firmy, określają zasady zachowania dla użytkowników i administratorów oraz określają wymagania systemowe)
6. Polityka bezpieczeństwa:
  • Demonstruje zaangażowanie organizacji w bezpieczeństwo 
  • Ustala zasady oczekiwanego zachowania 
  • Zapewnia spójność w operacjach systemowych, nabywaniu i użytkowaniu oprogramowania i sprzętu oraz utrzymaniu 
  • Określa prawne konsekwencje naruszeń 
  • Daje personelowi ds. bezpieczeństwa poparcie zarządu Polityki bezpieczeństwa są używane do informowania użytkowników, personelu i kierownictwa organizacji o wymaganiach dotyczących ochrony technologii i aktywów informacyjnych. 
  • Polityka bezpieczeństwa określa również mechanizmy, które są potrzebne do spełnienia wymagań bezpieczeństwa, i dostarcza punkt odniesienia do nabywania, konfigurowania i audytowania systemów komputerowych i sieci pod kątem zgodności.
7. "Podpolityki", które należy uwzględniać w polityce bezpieczeństwa:
  • Polityka identyfikacji i uwierzytelniania - Określa osoby upoważnione, które mogą mieć dostęp do zasobów sieciowych i procedury weryfikacji tożsamości.
  • Polityki haseł - Zapewnia, że hasła spełniają minimalne wymagania i są regularnie zmieniane.
  • Polityka dopuszczalnego użytkowania (AUP) - Identyfikuje aplikacje sieciowe i zastosowania, które są akceptowalne dla organizacji. Może również identyfikować konsekwencje, jeśli ta polityka zostanie naruszona.
  • Polityka dostępu zdalnego - Identyfikuje, jak użytkownicy zdalni mogą uzyskać dostęp do sieci i co jest dostępne za pośrednictwem łączności zdalnej.
  • Polityka utrzymania sieci - Określa systemy operacyjne urządzeń sieciowych i procedury aktualizacji aplikacji końcowych.
  • Procedury obsługi incydentów - Opisuje, jak są obsługiwane incydenty związane z bezpieczeństwem.
Jednym z najczęstszych składników polityki bezpieczeństwa jest AUP. Można to również określić jako politykę odpowiedniego użytkowania. Ten składnik określa, co użytkownikom wolno, a czego nie wolno robić na różnych składnikach systemu. Obejmuje to rodzaj ruchu, który jest dozwolony w sieci. AUP powinno być jak najbardziej precyzyjne, aby uniknąć nieporozumień.

8. Urządzenia BYOD (Bring Your Own Device) umożliwiają pracownikom korzystanie z własnych urządzeń mobilnych do dostępu do systemów, oprogramowania, sieci itp. Najlepsze praktyki bezpieczeństwa takich urządzeń, które powodują zminimalizować podatność na ataki to:
  • dostęp chroniony hasłem
  • kontrola łączności bezprzewodowej
  • kopia zapasowa danych
  • włączona funkcja "Znajdź moje urządzenie"
  • włączone oprogramowanie antywirusowe
  • używanie systemów zarządzających urządzeniami mobilnymi (MDM)
9. Etyczne hackowanie polega na testowaniu sieci i urządzeń końcowych pod kątem szukania dziur celem ich załatania. Wyróżniamy następujące narzędzia, które mają w tym pomóc:
  • narzędzia do łamania haseł (np. Join The Ripper)
  • narzędzia do hackowania sieci bezprzewodowych (np. Kismet)
  • narzędzia do skanowania i hackowania sieci (testowanie wytrzymałości zapory za pomocą specjalnych sfałszowanych pakietów - np. Hping)
  • narzędzia do przechwytywania pakietów (np. Wireshark)
  • detektory rootkitów (sprawdzanie integralności katalogów i plików)
  • fuzzery do wyszukiwania luk w systemach komputerowych (np. Skipfish)
  • narzędzia do analizy śladów (forensic) (np. Sleuth Kit)
  • debuggery
  • systemy operacyjne do hackowania (np. Kali Linux)
  • narzędzia do szyfrowania (kodowania danych)
  • narzędzia do wykorzystywania luk (czy host jest podatny na bezpieczeństwo)
  • skanery otwartych portów
10. Platformy Bezpieczeństwa Danych (DSP) to zintegrowane rozwiązania łączące różne narzędzia bezpieczeństwa. Przykłady to FireEye Helix i Cisco SecureX, które integrują wiele funkcji bezpieczeństwa i korzystają z wywiadu zagrożeń do szybkiego reagowania na zagrożenia. 

11. FireEye Helix to chmurowa platforma umożliwiająca zarządzanie zdarzeniami, analizę zachowań sieci, wykrywanie zaawansowanych zagrożeń i reakcję na nie. 

12. Cisco SecureX integruje szeroki zestaw technologii, zapewniając jednolitą widoczność, automatyzację i silniejsze obrony. Korzysta z różnych produktów do ochrony sieci, użytkowników, punktów końcowych, chmury i aplikacji. 

13. Usługi wywiadu zagrożeń, takie jak Cisco Talos, wymieniają informacje o zagrożeniach i tworzą reguły zapory dla urządzeń subskrybujących usługę. Produkty bezpieczeństwa Cisco mogą korzystać z wywiadu zagrożeń Talos w czasie rzeczywistym.

14. W różnych przedsiębiorstwach istotna jest czujność i ciągłe kształcenie kadry przed atakami. Przykładowo warto napisać politykę bezpieczeństwa dla firmy, opracować strategie weryfikacji tożsamości przez telefon, kontrola fizycznego dostępu do systemów, szyfrowanie i zabezpieczanie hasłem wrażliwych danych, regularne wykonywanie kopii zapasowej plików itp.

15. Ochrona przez atakami wirusów oraz koni trojańskich jest istotna. Warto zapobiegać awariom dzięki programom antywirusowym. Produkty antywirusowe mają opcje automatycznej aktualizacji, dzięki czemu nowe definicje wirusów i nowe aktualizacje oprogramowania mogą być pobierane automatycznie lub na żądanie. Ta praktyka jest najważniejszym wymogiem dla utrzymania sieci wolnej od wirusów i powinna być sformalizowana w polityce bezpieczeństwa sieci.
Produkty antywirusowe są oparte na hostach. Te produkty są instalowane na komputerach i serwerach, aby wykrywać i eliminować wirusy. Jednak nie zapobiegają one przedostawaniu się wirusów do sieci, dlatego profesjonalista ds. bezpieczeństwa sieci musi być świadomy głównych wirusów i śledzić aktualizacje bezpieczeństwa dotyczące pojawiających się wirusów.

16. Ataki robaka można podzielić na cztery fazy:
  • izolacja (ograniczenie rozprzestrzeniania się)
  • inokulacja (łatanie niezainfekowanych systemów)
  • kwarantanna (śledzenie i identyfikacja zainfekowanych maszyn)
  • leczenie (oczyszczanie zainfekowanych systemów)
17. Ataki rozpoznawcze można złagodzić na kilka sposobów, w tym:
  • Wdrażanie uwierzytelniania, aby zapewnić właściwy dostęp.
  • Używanie szyfrowania, aby unieszkodliwić ataki sniffera pakietów.
  • Używanie narzędzi anty-snifferowych do wykrywania ataków sniffera pakietów.
  • Wdrażanie infrastruktury przełączanej.
  • Używanie zapory ogniowej i IPS.
  • Oprogramowanie i sprzęt anty-snifferowy wykrywają zmiany w czasie odpowiedzi hostów, aby określić, czy hosty przetwarzają więcej ruchu, niż wskazywałyby ich własne obciążenia ruchem. Chociaż nie eliminuje to całkowicie zagrożenia, jako część ogólnego systemu łagodzenia, może to zmniejszyć liczbę przypadków zagrożenia.
Szyfrowanie jest również skuteczne w łagodzeniu ataków sniffera pakietów. Jeśli ruch jest szyfrowany, użycie sniffera pakietów ma niewielkie zastosowanie, ponieważ przechwycone dane nie są czytelne.

Nie można całkowicie zneutralizować skanowania portów, ale używanie systemu prewencji przed intruzjami (IPS) i zapory ogniowej może ograniczyć informacje, które można odkryć za pomocą skanera portów. Można zatrzymać ping sweeps, jeśli na routerach brzegowych wyłączono echo ICMP i echo-reply; jednak gdy te usługi są wyłączone, traci się dane diagnostyczne sieci. Ponadto, skany portów mogą być przeprowadzane bez pełnych ping sweeps. Skany po prostu trwają dłużej, ponieważ skanowane są również nieaktywne adresy IP.

18. Kryptografia jest kluczowa dla bezpieczeństwa sieci, a szyfrowanie jest zalecane do zdalnego dostępu do sieci. Użycie szyfrowanych protokołów uwierzytelniania i silnej polityki haseł pomaga zmniejszyć prawdopodobieństwo udanych ataków na dostęp. Edukacja pracowników na temat ryzyka inżynierii społecznej i strategie weryfikacji tożsamości są ważne. Wieloskładnikowe uwierzytelnianie (MFA), które wymaga dwóch lub więcej niezależnych środków weryfikacji, staje się coraz bardziej powszechne i zapewnia dodatkową warstwę bezpieczeństwa.

19. Ataki na dostęp, takie jak ataki DoS, można wykryć poprzez analizę dzienników, wykorzystania pasma i obciążenia procesów. Polityka bezpieczeństwa sieci powinna wymagać utrzymania dzienników dla wszystkich urządzeń sieciowych i serwerów. Niezwykła liczba nieudanych prób logowania może wskazywać na atak.

Pierwszymi oznakami ataku DoS są skargi użytkowników na niedostępność zasobów lub wolną wydajność sieci. Aby zminimalizować ataki, oprogramowanie do wykorzystania sieci powinno być uruchomione cały czas. Analiza zachowań sieci i wykresy wykorzystania sieci mogą pomóc w wykrywaniu ataków DoS.

Ataki DoS mogą być częścią większej ofensywy i prowadzić do problemów w atakowanych segmentach sieci komputerów. Na przykład, atak może przekroczyć zdolność routera do przetwarzania pakietów, kompromitując nie tylko system docelowy, ale także inne urządzenia sieciowe. Ataki na dużą skalę mogą zagrozić całym regionom geograficznym łączności internetowej.

Wiele historycznych ataków DoS pochodziło ze sfałszowanych adresów. Routery i przełączniki Cisco obsługują wiele technologii antyspoofingowych, takich jak zabezpieczenia portów, podsłuchiwanie DHCP, IP Source Guard, inspekcja DAI i ACL.

20. Ruch na płaszczyźnie sterowania składa się z pakietów generowanych przez urządzenie, które są niezbędne do działania samej sieci. Bezpieczeństwo płaszczyzny sterowania może być wdrażane za pomocą następujących funkcji:
  • Autentykacja protokołu routingu - Autentykacja protokołu routingu, inaczej autentykacja sąsiada, zapobiega akceptacji fałszywych aktualizacji routingu przez router. Większość protokołów routingu obsługuje autentykację sąsiada.
  • Policing płaszczyzny sterowania (CoPP) - CoPP to funkcja Cisco IOS, zaprojektowana, aby umożliwić użytkownikom kontrolowanie przepływu ruchu, który jest obsługiwany przez procesor trasowania urządzenia sieciowego.
  • AutoSecure - AutoSecure może zablokować funkcje płaszczyzny zarządzania oraz usługi i funkcje płaszczyzny przekazywania routera.
  • CoPP jest zaprojektowane, aby zapobiegać niepotrzebnemu ruchowi, który mógłby przeciążyć procesor trasowania. Funkcja CoPP traktuje płaszczyznę sterowania jako oddzielną jednostkę z własnymi portami wejściowymi (ingress) i wyjściowymi (egress). Można ustalić zestaw zasad i powiązać je z portami wejściowymi i wyjściowymi płaszczyzny sterowania.
21. Ruch na płaszczyźnie zarządzania jest generowany przez urządzenia sieciowe lub stacje zarządzania siecią. Płaszczyzna zarządzania jest atrakcyjnym celem dla hakerów, dlatego wprowadzono wiele technologii mających na celu zminimalizowanie ryzyka. Przepływ informacji między hostami zarządzającymi a zarządzanymi urządzeniami może być poza pasmem (OOB) lub w paśmie (in-band).

Bezpieczeństwo płaszczyzny zarządzania może być wdrażane za pomocą różnych funkcji, takich jak polityka logowania i hasła, wyświetlanie powiadomień prawnych, zapewnienie poufności danych, kontrola dostępu oparta na rolach (RBAC), autoryzacja działań i włączanie raportowania dostępu do zarządzania. RBAC ogranicza dostęp użytkowników na podstawie roli użytkownika.

W systemie Cisco IOS, funkcja dostępu do interfejsu wiersza poleceń (CLI) oparta na rolach implementuje RBAC dla dostępu do zarządzania routerem. Użytkownicy, uprawnienia i role zazwyczaj są tworzone i utrzymywane na centralnym serwerze repozytorium, takim jak Cisco Identity Services Engine (ISE), który może dostarczać usługi sieciowe uwierzytelniania, autoryzacji i rozliczania (AAA).

22. Listy kontroli dostępu (ACL) przeprowadzają filtrowanie pakietów, aby kontrolować, które pakiety przemieszczają się przez sieć i gdzie te pakiety mogą trafić. ACL są używane do zabezpieczania płaszczyzny danych na różne sposoby:
  • Blokowanie niechcianego ruchu lub użytkowników - ACL mogą filtrować pakiety przychodzące lub wychodzące na interfejsie. Mogą być używane do kontroli dostępu na podstawie adresów źródłowych, adresów docelowych lub uwierzytelniania użytkownika. 
  • Zmniejszenie ryzyka ataków DoS - Za pomocą ACL można określić, czy ruch od hostów, sieci lub użytkowników może uzyskać dostęp do sieci. Funkcja przechwytywania TCP ASA to mechanizm, który może być używany do ochrony hostów końcowych, zwłaszcza serwerów, przed atakami typu TCP SYN-flooding. 
  • Zapobieganie atakom spoofingowym - ACL pozwalają specjalistom ds. bezpieczeństwa wdrażać zalecane praktyki w celu złagodzenia ataków spoofingowych. 
  • Kontrola przepustowości - ACL na wolnym łączu mogą zapobiegać nadmiernemu ruchowi.
  • Klasyfikacja ruchu w celu ochrony płaszczyzn zarządzania i sterowania - ACL mogą być stosowane na liniach vty.
ACL mogą być również używane jako mechanizm antyspoofingowy poprzez odrzucanie ruchu, który ma nieprawidłowy adres źródłowy. Oznacza to, że ataki muszą być inicjowane z prawidłowych, osiągalnych adresów IP, co pozwala na śledzenie pakietów do inicjatora ataku.

23. Przełączniki Cisco mają różne zabezpieczenia, które zabezpieczają drugą warstwę: 
  • Zabezpieczenie portu - Zapobiega atakom polegającym na spoofingu adresów MAC i zalewaniu atakami adresów MAC. 
  • Podsłuchiwanie DHCP - Zapobiega atakom klientów na serwer DHCP i przełącznik. 
  • Dynamiczna inspekcja ARP (DAI) - Dodaje zabezpieczenia do ARP, używając tabeli podsłuchiwania DHCP, aby zminimalizować wpływ ataków zatrucia i spoofingu ARP. 
  • IP Source Guard (IPSG) - Zapobiega spoofingowi adresów IP, używając tabeli podsłuchiwania DHCP.