Cisco CyberOps Associate - Technologie i protokoły

1. Syslog to standard służący do logowania zdarzeń z urządzeń sieciowych, wspierający różne typy urządzeń i centralizujący zbieranie dzienników, co ułatwia monitoring bezpieczeństwa. Serwery syslog, działające na porcie UDP 514, są kluczowe dla bezpieczeństwa, ale mogą być celem ataków mających na celu ukrycie wykradania danych. Syslog-ng to zaawansowana wersja syslog, która wprowadza ulepszenia mające na celu ochronę przed exploitami.

2. Syslog, używany do logowania zdarzeń sieciowych, synchronizuje czas między urządzeniami za pomocą NTP, działającego na porcie UDP 123, co jest kluczowe dla wykrywania exploitów. Ataki na infrastrukturę NTP mogą zakłócać informacje o czasie służące do do korelacji zdarzeń i być wykorzystywane do ataków DDoS, wpływając na dostępność sieci.

3. DNS jest często wykorzystywany przez malware do komunikacji z serwerami CnC i wykradania danych, maskując ruch jako normalne zapytania DNS. Atakujący mogą kodować dane za pomocą różnych metod i wykorzystywać subdomeny DNS do przesyłania skradzionych informacji. Analitycy cyberbezpieczeństwa mogą wykrywać nadużycia, analizując długość subdomen w zapytaniach DNS i porównując je z normalnym modelem. Zapytania DNS o losowo generowanych nazwach domen lub długich subdomenach są podejrzane i mogą wskazywać na exploitacje lub ataki DDoS. Usługi takie jak Cisco Umbrella mogą pomóc w blokowaniu podejrzanych żądań.

Na przykład, malware może zakodować skradzione dane jako część subdomeny zapytania DNS dla domeny, gdzie serwer nazw jest pod kontrolą atakującego. Zapytanie DNS do ‘long-string-of-exfiltrated-data.example.com’ byłoby przekierowane do serwera nazw example.com, który zarejestrowałby ‘long-string-of-exfiltrated-data’ i odpowiedziałby z powrotem do malware zakodowaną odpowiedzią. To wykorzystanie subdomeny DNS jest pokazane na rysunku. Wykradzione dane to zakodowany tekst pokazany w ramce. Aktor zagrożenia zbiera te zakodowane dane, dekoduje i łączy je, i teraz ma dostęp do całego pliku danych, takiego jak baza danych nazw użytkowników/hasła.

4. Protokół Hypertext Transfer Protocol (HTTP) jest podstawowym protokołem Światowej Sieci Web. Jednak wszystkie informacje przesyłane za pomocą HTTP są transmitowane w postaci zwykłego tekstu z komputera źródłowego do miejsca docelowego w internecie. HTTP nie chroni danych przed zmianą lub przechwyceniem przez złośliwe strony, co stanowi poważne zagrożenie dla prywatności, tożsamości i bezpieczeństwa informacji. Wszystkie działania przeglądania powinny być uważane za zagrożone.

Powszechnym wykorzystaniem HTTP jest tzw. iniekcja iFrame (inline frame). Większość zagrożeń opartych na stronach internetowych składa się ze skryptów malware, które zostały zainstalowane na serwerach internetowych. Te serwery następnie kierują przeglądarki do zainfekowanych serwerów, ładując iframes. W iniekcji iFrame, aktor zagrożenia kompromituje serwer internetowy i instaluje złośliwy kod, który tworzy niewidoczny iFrame na często odwiedzanej stronie internetowej. Gdy iFrame się ładuje, pobierane jest złośliwe oprogramowanie, często z innego URL niż strona internetowa, która zawiera kod iFrame. Usługi bezpieczeństwa sieciowego, takie jak filtr reputacji stron internetowych Cisco, mogą wykryć, kiedy strona internetowa próbuje wysłać treść z niezaufanej strony internetowej do hosta, nawet gdy jest wysyłana z iFrame.

Aby zaradzić zmianie lub przechwyceniu poufnych danych, wiele organizacji komercyjnych przyjęło protokół HTTPS lub wdrożyło polityki wyłącznie HTTPS, aby chronić odwiedzających ich strony internetowe i usługi.

HTTPS dodaje warstwę szyfrowania do protokołu HTTP za pomocą warstwy gniazd bezpiecznych (SSL), jak pokazano na rysunku. Sprawia to, że dane HTTP są nieczytelne, gdy opuszczają komputer źródłowy, aż dotrą do serwera. Należy zauważyć, że HTTPS nie jest mechanizmem zabezpieczeń serwera internetowego. Zabezpiecza tylko ruch protokołu HTTP podczas jego transmisji.



Niestety, zaszyfrowany ruch HTTPS komplikuje monitoring bezpieczeństwa sieci. Niektóre urządzenia bezpieczeństwa obejmują dekryptowanie i inspekcję SSL; jednakże może to powodować problemy z przetwarzaniem i prywatnością. Ponadto, HTTPS dodaje złożoność do przechwytywania pakietów ze względu na dodatkowe komunikaty zaangażowane w nawiązywanie zaszyfrowanego połączenia. 

5. Protokoły poczty elektronicznej, takie jak SMTP, POP3 i IMAP, mogą być wykorzystywane przez cyberprzestępców do rozprzestrzeniania złośliwego oprogramowania, wykradania danych lub tworzenia kanałów do serwerów CnC malware.

SMTP wysyła dane z hosta do serwera pocztowego i między serwerami pocztowymi. Podobnie jak DNS i HTTP, jest to powszechny protokół, który można zobaczyć opuszczający sieć. Ponieważ ruch SMTP jest tak duży, nie zawsze jest monitorowany.

IMAP i POP3 są używane do pobierania wiadomości e-mail z serwera pocztowego na komputer hosta. Z tego powodu są to protokoły aplikacji odpowiedzialne za dostarczanie malware do hosta. Monitoring bezpieczeństwa może zidentyfikować, kiedy załącznik malware wszedł do sieci i który host został pierwotnie zainfekowany. Retrospektywna analiza może następnie śledzić zachowanie malware od tego momentu. W ten sposób zachowanie malware może być lepiej zrozumiane i zagrożenie zidentyfikowane. Narzędzia monitoringu bezpieczeństwa mogą również umożliwić odzyskanie zainfekowanych załączników plików do przesłania do piaskownic malware w celu analizy.

6. ICMP ma wiele legalnych zastosowań, jednak funkcjonalność ICMP była również wykorzystywana do tworzenia różnych typów exploitów. ICMP może być używany do identyfikacji hostów w sieci, struktury sieci oraz określania systemów operacyjnych używanych w sieci. Może być również wykorzystywany jako narzędzie do różnych typów ataków DoS.

ICMP może być także używany do wykradania danych. Ze względu na obawy, że ICMP może być wykorzystywany do inwigilacji lub odmowy usługi z zewnątrz sieci, ruch ICMP z wewnątrz sieci jest czasami pomijany. Jednak niektóre odmiany złośliwego oprogramowania wykorzystują specjalnie przygotowane pakiety ICMP do przesyłania plików z zainfekowanych hostów do cyberprzestępców, korzystając z tej metody, która jest znana jako tunelowanie ICMP.

7. Wiele technologii i protokołów może mieć wpływ na monitoring bezpieczeństwa. Listy kontroli dostępu (ACL) należą do tych technologii. ACL mogą dawać fałszywe poczucie bezpieczeństwa, jeśli są nadmiernie wykorzystywane. ACL i ogólnie filtrowanie pakietów to technologie, które przyczyniają się do ewoluującego zestawu ochrony bezpieczeństwa sieci.

Rysunek ilustruje użycie ACL do zezwalania tylko na określone typy ruchu Protokołu Kontroli Wiadomości Internetowych (ICMP). Serwer o adresie 192.168.1.10 jest częścią wewnętrznej sieci i ma pozwolenie na wysyłanie żądań ping do zewnętrznego hosta o adresie 209.165.201.3. Powracający ruch ICMP zewnętrznego hosta jest dozwolony, jeśli jest to odpowiedź ICMP, source quench (informuje źródło o zmniejszeniu tempa ruchu) lub dowolna wiadomość ICMP unreachable. Wszystkie inne typy ruchu ICMP są odrzucane. Na przykład zewnętrzny host nie może zainicjować żądania ping do wewnętrznego hosta. Wychodząca ACL zezwala na wiadomości ICMP, które zgłaszają różne problemy. Umożliwi to tunelowanie ICMP i wykradanie danych.

Atakujący mogą określić, które adresy IP, protokoły i porty są dozwolone przez ACL. Może to być wykonane albo przez skanowanie portów, testy penetracyjne, lub przez inne formy rekonesansu. Atakujący mogą tworzyć pakiety, które używają sfałszowanych adresów IP źródłowych. Aplikacje mogą nawiązywać połączenia na dowolnych portach. Inne cechy ruchu protokołu również mogą być manipulowane, takie jak flaga established w segmentach TCP. Nie można przewidzieć i skonfigurować zasad dla wszystkich pojawiających się technik manipulacji pakietami.

8. Translacja adresów sieciowych (NAT) i translacja adresów portów (PAT) mogą komplikować monitoring bezpieczeństwa. Wiele adresów IP jest mapowanych na jeden lub więcej publicznych adresów widocznych w internecie, ukrywając indywidualne adresy IP znajdujące się wewnątrz sieci (adresy wewnętrzne).

Ilustracja przedstawia związek między adresami wewnętrznymi i zewnętrznymi, które są używane jako adresy źródłowe (SA) i adresy docelowe (DA). Te wewnętrzne i zewnętrzne adresy znajdują się w sieci, która używa NAT do komunikacji z miejscem docelowym w internecie. Jeśli PAT jest aktywny i wszystkie adresy IP opuszczające sieć używają globalnego adresu wewnętrznego 209.165.200.226 dla ruchu do internetu, może być trudno zarejestrować konkretne wewnętrzne urządzenie, które żąda i odbiera ruch, gdy wchodzi do sieci.

Problem ten może być szczególnie istotny w przypadku danych NetFlow. Przepływy NetFlow są jednokierunkowe i są definiowane przez adresy i porty, które dzielą. NAT zasadniczo przerwie przepływ, który przechodzi przez bramę NAT, czyniąc informacje o przepływie niedostępne poza tym punktem.

9. Szyfrowanie może stanowić wyzwanie dla monitoringu bezpieczeństwa, ponieważ sprawia, że szczegóły pakietów są nieczytelne. Szyfrowanie jest częścią technologii VPN. W VPN-ach, powszechny protokół, taki jak IP, jest używany do przenoszenia zaszyfrowanego ruchu. Zaszyfrowany ruch tworzy wirtualne połączenie punkt-punkt między sieciami poprzez publiczne urządzenia. Szyfrowanie sprawia, że ruch jest nieczytelny dla innych urządzeń poza punktami końcowymi VPN.

Podobna technologia może być używana do tworzenia wirtualnego połączenia punkt-punkt między wewnętrznym hostem a urządzeniami aktora zagrożenia. Złośliwe oprogramowanie może ustanowić zaszyfrowany tunel, który działa na powszechnym i zaufanym protokole, i użyć go do wykradania danych z sieci. Podobna metoda wykradania danych była wcześniej omówiona dla DNS.

10. W sieciach typu peer-to-peer (P2P), hosty mogą działać zarówno w rolach klienta, jak i serwera. Istnieją trzy typy aplikacji P2P: udostępnianie plików, udostępnianie procesora i komunikatory internetowe. W przypadku P2P do udostępniania plików, pliki na uczestniczącym komputerze są udostępniane członkom sieci P2P. 

Zawsze, gdy nieznani użytkownicy uzyskują dostęp do zasobów sieciowych, bezpieczeństwo jest powodem do obaw. Aplikacje P2P do udostępniania plików nie powinny być dozwolone w sieciach korporacyjnych. Aktywność sieci P2P może obejść ochronę zapory sieciowej i jest powszechnym wektorem rozprzestrzeniania się złośliwego oprogramowania. P2P jest z natury dynamiczne. Może działać, łącząc się z licznymi adresami IP docelowymi, a także może używać dynamicznego numerowania portów. Udostępniane pliki często są zainfekowane złośliwym oprogramowaniem, a aktorzy zagrożeń mogą umieścić swoje malware na klientach P2P do dystrybucji do innych użytkowników.

Sieci P2P udostępniające procesor przekazują cykle procesora na rozproszone zadania obliczeniowe. 


10. Tor to platforma oprogramowania i sieć hostów P2P, które funkcjonują jako routery internetowe w sieci Tor. Sieć Tor umożliwia użytkownikom anonimowe przeglądanie internetu. Dostęp do sieci Tor uzyskuje się za pomocą specjalnej przeglądarki. Gdy rozpoczyna się sesję przeglądania, przeglądarka konstruuje warstwową ścieżkę od początku do końca przez sieć serwerów Tor, która jest szyfrowana, jak pokazano na rysunku. Każda zaszyfrowana warstwa jest “odrywana” jak warstwy cebuli (stąd “trasowanie cebulowe”) w miarę przekraczania przez ruch sieciowy przekaźnika Tor. Warstwy zawierają zaszyfrowane informacje o następnym skoku, które mogą być odczytane tylko przez router, który potrzebuje tych informacji. W ten sposób żadne pojedyncze urządzenie nie zna całej ścieżki do celu, a informacje o trasowaniu są czytelne tylko dla urządzenia, które ich wymaga. Ostatecznie, na końcu ścieżki Tor, ruch dociera do swojego internetowego celu. Gdy ruch jest zwracany do źródła, ponownie konstruowana jest szyfrowana warstwowa ścieżka.

Tor stwarza szereg wyzwań dla analityków cyberbezpieczeństwa. Po pierwsze, Tor jest szeroko wykorzystywany przez organizacje przestępcze w “ciemnej sieci”. Ponadto, Tor był używany jako kanał komunikacyjny dla CnC malware. Ponieważ docelowy adres IP ruchu Tor jest ukryty przez szyfrowanie, a znany jest tylko następny węzeł Tor, ruch Tor unika list blokujących, które zostały skonfigurowane na urządzeniach bezpieczeństwa.

11. Balansowanie obciążenia polega na rozprowadzaniu ruchu między urządzenia lub ścieżki sieciowe, aby zapobiec przeciążeniu zasobów sieciowych zbyt dużą ilością ruchu. Jeśli istnieją zasoby redundantne, algorytm lub urządzenie do balansowania obciążenia będzie pracować nad rozprowadzeniem ruchu między tymi zasobami, jak pokazano na rysunku.

Jednym ze sposobów realizacji tego w internecie jest wykorzystanie różnych technik, które używają DNS do kierowania ruchu do zasobów, które mają tę samą nazwę domeny, ale wiele adresów IP. W niektórych przypadkach dystrybucja może dotyczyć serwerów rozmieszczonych geograficznie. Może to skutkować reprezentowaniem pojedynczej transakcji internetowej przez wiele adresów IP w przychodzących pakietach. Może to spowodować pojawienie się podejrzanych cech w przechwyconych pakietach. Ponadto, niektóre urządzenia menedżera balansowania obciążenia (LBM) używają sond do testowania wydajności różnych ścieżek i stanu zdrowia różnych urządzeń. Na przykład LBM może wysyłać sondy do różnych serwerów, do których kieruje ruch, aby wykryć, że serwery działają. Robi się to, aby uniknąć kierowania ruchu do zasobu, który nie jest dostępny. Te sondy mogą wydawać się podejrzanym ruchem, jeśli analityk cyberbezpieczeństwa nie jest świadomy, że ten ruch jest częścią działania LBM.