Prevenire o mitigare gli attacchi di rete - dummies

In qualità di Certified Security Systems Professional Professional (CISSP), è necessario prevenire o mitigare gli attacchi alla rete. La maggior parte degli attacchi contro le reti sono attacchi Denial of Service (DoS) o DDoS (Distributed Denial of Service) in cui l'obiettivo è quello di consumare la larghezza di banda di una rete in modo che i servizi di rete non siano disponibili. Ma esistono diversi altri tipi di attacchi, alcuni dei quali sono discussi qui.

Bluejacking e bluesnarfing

Con la tecnologia Bluetooth che diventa estremamente popolare, si sono evoluti diversi metodi di attacco, tra cui bluejacking (invio di messaggi anonimi e non richiesti ai dispositivi abilitati Bluetooth) e < bluesnarfing (rubare dati personali, come contatti, immagini e informazioni del calendario da un telefono abilitato Bluetooth). Ancor peggio, in un attacco bluesnaring, le informazioni sul tuo telefono cellulare (come il suo numero di serie) possono essere scaricate, quindi utilizzate per clonare il telefono.

Fraggle

Un attacco

Fraggle è una variante di un attacco Smurf che usa i pacchetti UDP Echo (porta UDP 7) piuttosto che i pacchetti ICMP. I router Cisco possono essere configurati per disabilitare i servizi TCP e UDP (noti come TCP e UDP small servers) che sono più comunemente usati negli attacchi Fraggle. Puffo

Un attacco

Puffo è una variante dell'attacco alluvione ICMP. In un attacco Smurf, i pacchetti ICMP Echo Request vengono inviati all'indirizzo di broadcast di una rete di destinazione utilizzando un indirizzo IP falsificato sulla rete di destinazione. Il target, o sito di rimbalzo, quindi trasmette l'Echo Request ICMP a tutti gli host sulla rete. Ogni host risponde quindi con un pacchetto Echo Reply, travolgendo la larghezza di banda disponibile e / o le risorse di sistema. Le contromisure contro gli attacchi Smurf includono la caduta dei pacchetti ICMP sul router.

Attacchi server DNS

Esistono vari attacchi che possono essere eseguiti contro server DNS, progettati per causare server DNS mirati a fornire risposte errate agli utenti finali, con conseguente invio di utenti finali per imporre sistemi (di solito siti web). Le difese contro gli attacchi dei server DNS includono il rafforzamento dei server DNS e i firewall delle applicazioni.

Man-in-the-Middle

Un attacco

man-in-the-middle (MITM) consiste in un attaccante che tenta di alterare le comunicazioni tra due parti attraverso la rappresentazione. Una tecnica MITM comune attacca la creazione di una sessione TLS, in modo che l'utente malintenzionato sia in grado di decifrare facilmente le comunicazioni crittografate tra i due endpoint. Le difese contro gli attacchi MITM includono l'autenticazione più forte, l'implementazione delle estensioni DNS sicure, l'esame della latenza e la verifica fuori banda.

ICMP flood

In un attacco

ICMP flood, un gran numero di pacchetti ICMP (solitamente Echo Request) vengono inviati alla rete di destinazione per consumare la larghezza di banda disponibile e / o le risorse di sistema. Poiché ICMP non è richiesto per le normali operazioni di rete, la difesa più semplice è quella di eliminare i pacchetti ICMP sul router o filtrarli al firewall. Il dirottamento della sessione (spoofing)

IP

spoofing comporta la modifica di un pacchetto TCP in modo tale che sembra provenire da una fonte nota e attendibile, dando così l'accesso all'attaccante alla rete. Sessione di sequestro di sessione (intercettazione di token di sessione)

Il dirottamento di sessione coinvolge in genere una rete Wi-Fi senza crittografia, in cui un utente malintenzionato è in grado di intercettare il cookie di sessione HTTP di un altro utente. L'utente malintenzionato utilizza quindi lo stesso cookie per rilevare la sessione HTTP dell'utente vittima. Questo è stato dimostrato con l'estensione Firesheep per Firefox.

SYN flood

In un attacco

SYN flood, i pacchetti TCP con un indirizzo di origine falsificato richiedono una connessione (set di bit SYN) alla rete di destinazione. La destinazione risponde con un pacchetto SYN-ACK, ma la fonte falsificata non risponde mai. Le connessioni semiaperte sono sessioni di comunicazione incomplete che attendono il completamento dell'handshake a tre vie TCP. Queste connessioni possono sovraccaricare rapidamente le risorse di un sistema mentre il sistema attende il timeout delle connessioni semiaperte, causando l'arresto anomalo del sistema o l'inutilizzabilità. Le alluvioni SYN vengono neutralizzate sui router Cisco utilizzando due funzionalità:

Intercettazione TCP, che effettivamente utilizza proxy per le connessioni semiaperte; e Tasso di accesso vincolato (CAR), che limita la larghezza di banda disponibile per determinati tipi di traffico. Il firewall FW-1 di Checkpoint ha una funzione nota come SYN Defender che funziona in modo simile alla funzione Cisco TCP Intercept. Altre difese includono la modifica del numero massimo predefinito di connessioni TCP semiaperte e la riduzione del periodo di timeout sui sistemi collegati in rete. Teardrop

In un attacco

Teardrop, i campi Offset lunghezza e frammentazione dei pacchetti IP sequenziali vengono modificati, causando la confusione e l'arresto anomalo di alcuni sistemi di destinazione. UDP flood

In un attacco

UDP flood, un gran numero di pacchetti UDP viene inviato alla rete di destinazione per consumare la larghezza di banda disponibile e / o le risorse di sistema. Generalmente, i flussi UDP possono essere neutralizzati eliminando i pacchetti UDP non necessari sul router. Tuttavia, se l'attacco utilizza una porta UDP richiesta (come la porta DNS 53), è necessario utilizzare altre contromisure.