Zvýšení zabezpeceníˇ služeb síteˇ Liane Diplomová práce Studijní program: N2612 – Elektrotechnika a informatika Studijní obor: 1802T007 – Informacníˇ technologie Autor práce: Bc. Vojtechˇ Šindler Vedoucí práce: Ing. Mojmír Volf Liberec 2017 Improvement security Liane’s network Diploma thesis Study programme: N2612 – Electrotechnology and informatics Study branch: 1802T007 – Information technology Author: Bc. Vojtechˇ Šindler Supervisor: Ing. Mojmír Volf Liberec 2017 P1'<>h1zi§e11i sez112in1e11s‘aim,Zemamou Se vzta— Byljsem diplomovoupr-éciplné— zékon5. 3b.,0 autorském,zejména60 ékolm’hujed?o.121/2000pralvu § Berunavédomi,ieTechnickéuniverzitav Liberci(TUL)nezasahu— jedomychautorskychprévuiitfmmédiplomovépraiseprovnitfni potfebuTUL. Uiiji—1idiplomovouprzicineboposkytnu—1ilicencikjejimuVyuEi— ti,jsemsivédompovinnostiinformovat0 tétoskuteénostiTUL; v tomtopfipadéméTULprévoodemnepoiadovat?hradunék1a— d?,kte1'évy11a1o%i1ana vytvofenid?a,aidojejichskuteénéVy"§e. Diplomovouprécijsemvypracovalsamostatnés pouiitimuvedené literaxurya na zzikladékonzultacis vedoucimmédiplomovépréce a konzultantem. Souéasnééestnéprohlaéuji.5.9tiéténziverzeprziceseshodujes e1ek— tronickouVerzi,vloienoudoISSTAG. ‘ Datum.. )_F ? % Popis:///rd////4/ Abstrakt Tato práce rešíˇ problematiku IT bezpecnostiˇ a jejího zvýšení v kontextu síteˇ LIANE. Tento problém byl rešenˇ za použití penetracníchˇ test˚utypu grey box. Na vybraných segmentech síteˇ došlo k provedení penetracníchˇ test˚u.Jejich výsledkem byl seznam nalezených zranitelností, dopad˚u a návrh˚u vedoucích k jejich odstranení.ˇ Na základeˇ výsledku penetracníchˇ test˚udošlo k zhodnocení bezpecnosti,ˇ návrhu rozvoje a proces˚uvedoucích ke zvýšení bezpecnostiˇ síteˇ LIANE. Klícovᡠslova IT security, penetracníˇ testování, asset management, patch management, vulnerability management, zneužití zranitelností, zabezpeceníˇ síteˇ Abstract This thesis solves the IT security issue and its increase in the context of the LIANE network. This problem was solved using gray box penetration tests. Selective segments of the network performed penetration tests. The result was a list of vulnerabilities, impacts, and suggestions that led to their removal. Based on the results of the Penetration Tests, the security, design and development of the LIANE network were assessed. Key words IT security, penetration testing, asset management, patch management, vulnerability management, vulnerability abuse, network security 5 Podekováníˇ Dekujiˇ vedoucímu práce Ing. Mojmíru Volfovi za neocenitelné rady a pomoc priˇ tvorbeˇ diplomové práce. Dále bych chtelˇ podekovatˇ rodine,ˇ prátel˚umaˇ koleg˚um bez jejichž pomoci bych studium nikdy nedokoncil.ˇ Nejvetšíˇ dík patríˇ slecnámˇ Bc. Janeˇ Strnadové a Haneˇ Mocové, dále pak pán˚umBc. Jaromíru Vaneˇckoviˇ a Ing. Dušanovi Krásovi bez jejichž odborné pomoci by tato diplomová práce nebyla napsána v této podobe.ˇ 6 Obsah Seznam zkratek..................................9 1 Vybrané cíle v kontextu síteˇ LIANE 12 1.1 Infrastrukturní prvky............................ 12 1.2 Produkcníˇ servery a testovací servery.................... 13 2 Metodika testování služeb síteˇ LIANE 15 2.1 Penetracníˇ testy jako nástroj IT security.................. 15 2.1.1 Black box.............................. 17 2.1.2 Grey box.............................. 17 2.1.3 White box.............................. 17 2.1.4 Nástroje sloužící k penetracnímˇ test˚um.............. 18 2.2 Metodika penetracníchˇ test˚u........................ 19 2.2.1 Cyber kill chain........................... 19 2.2.2 Použité metodiky pro úcelyˇ penetracníchˇ test˚u.......... 24 3 Detekce bezpecnostníchˇ rizik v síti LIANE 25 3.1 Reconnaissance............................... 25 3.1.1 Nmap................................ 25 3.1.2 Nessus............................... 26 3.1.3 Výsledky reconnaissance fáze................... 26 3.2 Weaponization............................... 28 3.3 Delivery a Exploitace............................ 29 3.4 Installation a ovládnutí stroje........................ 30 3.5 Vybraná webová aplikace.......................... 30 3.6 Ukázka exploitu............................... 33 4 Vyhodnocení penetracníchˇ test˚u 37 4.1 Limity penetracníchˇ test˚u.......................... 37 4.2 Celkový pocetˇ nalezených zranitelností.................. 37 7 4.3 Nalezené zranitelnosti a bezpecnostníˇ problémy.............. 38 5 Kroky vedoucí k nápraveˇ soucasnéhoˇ stavu 43 5.1 Asset management............................. 45 5.1.1 Asset management database.................... 45 5.1.2 Asset management work flow................... 46 5.2 Patch management............................. 46 5.2.1 Databáze patch˚u.......................... 47 5.2.2 Patch management work flow................... 47 5.3 Vulnerability management......................... 48 5.3.1 Vulnerability management database................ 48 5.3.2 Vulnerability management workflow................ 49 5.3.3 Návrh databáze urcenéˇ pro asset, pach a vulnerability management 50 Prílohyˇ 60 A Obsah priloženéhoˇ CD 61 8 Seznam zkratek TUL Technická univerzita v Liberci FM Fakulta mechatroniky, informatiky a mezioborových studií Technické univerzity v Liberci DPI Deap Packet Scanning DoS Denial of Services DDoS Distributed Denial of Services XSS Cros-site scripting IPS Intrusion Prevention System NDA Non-disclosure agreement RoE Rule of Engagement FQDN Fully Qualified Domain Name ACL Acess List RCE Remote Code Execution RPC Remote Procedure Call LDAP Lightweight Directory Access Protocol PM Patch Management VM Vulnerability Management VBS Visual Basic Scripting RSS Rich Site Summary 9 Úvod V dnešní dobeˇ internetu a sociálních sítí se dostává pojem IT security stále více do popredí.ˇ M˚užemesi klást otázku procˇ se tak deje.ˇ Pokud celý tento problém prevedemeˇ na sebe, tak zajisté nikdo nechce, aby jeho soukromé údaje (napr.:ˇ rodné císlo,ˇ císloˇ bankovního úctu,ˇ adresa trvalého pobytu, . ) padly do nepovolaných rukou. K tomu, aby se tak nestalo je zapotrebíˇ dodržovat urcitéˇ postupy, které míru zabezpeceníˇ našich dat zvýší. Díky tomu bude pro prípadnéhoˇ útocníkaˇ (v obecné terminologii oznacovanéhoˇ jako hackera) daleko složitejšíˇ naše data získat. Již zmínenýˇ problém ochrany osobních dat se dá úplneˇ stejneˇ prevéstˇ na ochranu citlivých informací v korporátním sektoru. V soucasnéˇ dobeˇ se spisovny již témeˇrˇ nevyskytují a vetšinaˇ dat se uchovává v elektronické podobe,ˇ tím pádem nabývá pr˚umyslová špionáž nových rozmer˚u.ˇ Prevážnᡠvetšinaˇ spolecnostíˇ má pripojeníˇ k internetu, skrze které je možné provést pr˚unikdo firemní síte.ˇ Vyvstává zde otázka, jak takovému útoku, který by vedl k odcizení citlivých informací zabránit. Odpoved’ˇ není jednoduchá, a to predevšímˇ v dobe,ˇ kdy probíhá masivní rozvoj mobilních technologií a IOT (Internet Of Things). Práveˇ s rozvojem IOT se m˚užestát každé zarízeníˇ potenciální vstupní branou do soukromých sítí, a je pritomˇ jedno zda se jedná o malou ciˇ rozlehlou firemní sít’. Proto už priˇ samotném vytváreníˇ sítí je nutné brát v potaz možné vektory útok˚u.Je samozrejmé,ˇ že v návrhu osobních a firemních sítí jsou znacnéˇ rozdíly. V prípadˇ eˇ osobních sítí je v dnešní dobeˇ nejcastˇ ejiˇ útok veden skrze uživatelský pocítaˇ c,ˇ telefon, tablet, ciˇ pomocí tzv. social hackingu, ale jak již bylo zmínenoˇ výše, s nástupem IOT m˚užebýt veden skrze každé zarízení,ˇ které je pripojenéˇ do internetové síte.ˇ Je tedy velice pravdepodobné,ˇ že postupem casuˇ se metody pr˚unikumohou znacnˇ eˇ lišit. Oproti tomu ve firemních sítích je vektor˚udaleko více. Od útoku presˇ koncové stanice až k social hackingu. Proto je nutné priˇ budování síteˇ vytvoritˇ bezpecnostníˇ politiky, které budou po celou životnost v rámci firemní síteˇ dodržovány. Je samozrejmé,ˇ že bezpecnostníˇ 10 politiky by melyˇ být v pravidelných intervalech prehodnocoványˇ a v mnoha prípadechˇ i menˇ eny.ˇ Za zmínku stojí napríkladˇ velikost klíceˇ šifrovacích algoritm˚u,v roce 2015 vyšel clánekˇ Imperfect Forward Secrecy: How Diffie-Hellman Fails in Practice, který blíže popisuje jak je možné, že americká agentura NSA je schopna odposlouchávat i šifrovanou komunikaci [1]. Otázka zní jak co nejlépe zabezpecitˇ vaši sít’, zarízeníˇ ciˇ aplikaci. Bohužel, odpoved’ˇ na tuto otázku není v˚ubecsnadná. Samotná problematika tvorby bezpecnýchˇ aplikací ciˇ datových sítí by vydala na samostatnou diplomovou práci. Tato diplomová práce si klade za cíl, jak co nejspolehlivejiˇ oveˇritˇ zabezpeceníˇ a odolnost datové síte,ˇ aplikace ciˇ zarízeníˇ v˚uciˇ pokus˚um,kterým mohou být vystaveny ze strany útocník˚u,ˇ jejichž cílem je nejakýmˇ zp˚usobem aplikaci, zarízeníˇ ciˇ sít’ kompromitovat. Pod slovem kompromitovat si m˚užemepredstavitˇ tyto pojmy: • ovládnutí zarízeníˇ za úcelemˇ sberuˇ informací • zneužití výpocetníˇ síly • oslabení obrany systému predˇ dalšími útoky • etc. V soucasnéˇ dobeˇ se pro úcelyˇ bezpecnostníchˇ audit˚upoužívají tzv. penetraˇcnítesty. Penetracníˇ tester sám sebe dostává do role hackera a díky tomu je schopen docílit takového testu jako kdyby (se vaše) testovaná infrastruktura, hardware ciˇ aplikace ocitly pod reálným útokem. Má diplomová práce se presnˇ eˇ o totéž bude snažit a to v souvislosti vybraných služeb, aplikací ciˇ infrastruktury v kontextu síteˇ LIANE. 11 1 Vybrané cíle v kontextu síteˇ LIANE Je samozrejmostí,ˇ že univerzita nem˚uženést následky za chování svých student˚u,ale predstavmeˇ si scénár,ˇ který není úplneˇ nereálný, kdy student s nakaženým PC, které melˇ umístenoˇ na kolejích, prijdeˇ do ucebnyˇ TUL. Je velice pravdepodobné,ˇ že se nákaza (nejcastˇ