Documentul discută despre amenințările interne de securitate, cum ar fi serverele rogue DHCP, atacurile de tip man-in-the-middle și tehnicile de mitigare, inclusiv DHCP snooping și IP source guard. De asemenea, se menționează importanța autentificării utilizatorilor prin 802.1x pentru a proteja rețeaua internă și despre vulnerabilitățile acesteia în fața atacurilor interne. Concluzia subliniază dificultatea opririi unui atac intern odată ce a fost inițiat și necesitatea unei abordări proactive în securitate.

1. Enemy inside the wire

2. - “Head in the sand”
Securitate
inside,
este nevoie?
- Atitudine proactiva

4. Rogue DHCP Server
• Denial of service
• Man-in-the-middle
(MIM)

5. Tehnica de mitigare - DHCP
Snooping
 Se mentioneaza portul
“trusted” catre serverul de
DHCP. Toate celelalte porturi
sunt untrusted
 Se mentine o tabela
dinamica a entry-urilor din
DHCP.
 Baza de date poate fi
exportata si vizualizata fara a
fi nevoie sa fii logat pe switch

6. IP Spoofing
Cateodata, pe Internet,
o fata pe nume Alice, este
de fapt un barbat pe nume
Steve!

7. ARP Spoofing

8. ARP Spoofing
Atacatorul pacaleste
victima prin schimbarea
mac-ului Gateway-ului

9. Man In the Middle
Apare astfel atacul de
tip MIM, traficul
victimei fiind
interceptat de catre
atacator

10. Man In the Middle
Man In the
Middle
Example

11.  IP Source guard:
Se foloseste tabela de DHCP snooping si se inspecteaza pachetele de
catre switch. Daca IP-ul sursa este diferit fata de inregistrarea din
DHCP snooping database, traficul este considerat nelegitim si se da
drop la pachetul atacatorului
 Dynamic ARP inspection:
Se foloseste tabela de DHCP snooping si se inspecteaza pachetele de
catre switch. Daca MAC-ul sursa din pachet este diferit fata de
inregistrarea din DHCP snooping database, traficul este considerat
nelegitim si se da drop la pachetul atacatorului
Tehnici de Mitigare

12. Userul care se
conecteaza la retea
este legitim?

13. 802.1x
 Autentificare pe portul de
retea
Accesul la reteaua interna se
poate face pe baza unei baze de
date(RADIUS, LDAP) care poate
folosi utilizatorii din Active
Directory
Portul de retea este pus initial
intr-o stare “Unauthorized ”. Dupa
autentificarea utilizatorului portul
de retea este trecut in starea
Autorizata, si doar atunci traficul
este allowed.

14.  Reteaua interna este mult mai vulnerabila la atacuri
 Pagubele pot fi foarte mari
 Un atac intern poate fi oprit mult mai greu odata ce a fost inceput
 Se pot fura date fara ca userul/administratorul sa stie
 “Head in the sand” este doar temporar
Concluzii

15. Georgian Dumitrache
georgian.dumitrache@classit.ro
Senior Network Administrator
+40 723 363 760
Class IT Outsourcing