024.2 Lecke 1

Az adatkapcsolati réteg (link layer) az OSI hálózati modelljének második rétege. A hálózati kommunikáció fizikai és adatkapcsolati szempontjait kezeli. Ez a réteg felelős az adatok helyi hálózati szegmensen keresztüli továbbításáért, és olyan dolgokat kezel, mint a keretátvitel (frame transmission), a hibadetektálás és az adatfolyam-szabályozás (flow control). A hálózatban lévő eszközök az adatkapcsolati rétegen keresztül kommunikálnak egymással olyan protokollok segítségével, mint az Ethernet vagy a Wi-Fi. Az ehhez a réteghez való hozzáférés kritikus fontosságú az ugyanazon a helyi hálózaton lévő eszközök közötti adatátvitel vezérléséhez.

Az adatkapcsolati réteghez való illetéktelen hozzáférés azonban jelentős biztonsági kockázatot jelenthet. Egy támadó, aki hozzáférést szerez ehhez a réteghez, potenciálisan elfoghatja, manipulálhatja vagy bejuttathatja a forgalmat a hálózatba. Ez lehetővé teszi számára, hogy különféle támadásokat hajtson végre, például packet sniffing-et, amikor a támadó adatcsomagokat rögzít és elemez, vagy man-in-the-middle támadást, amikor a felek tudta nélkül elfogja és esetleg megváltoztatja a két eszköz közötti kommunikációt. Ezek a támadások adatsértéshez, érzékeny információkhoz való jogosulatlan hozzáféréshez vagy akár a hálózati szolgáltatások megszakításához vezethetnek.

Az adatkapcsolati réteghez való hozzáféréssel kapcsolatos kockázatok csökkentése a fizikai hálózati infrastruktúra biztosítását, erős hitelesítési mechanizmusok bevezetését és titkosítás alkalmazását igényli. A switcheken például engedélyezhető a port security, amivel a hozzáférést az engedélyezett eszközökre korlátozzuk, a lehetséges támadások körének korlátozására pedig hálózati szegmentálás (network segmentation) alkalmazható.

Egy eredendő kockázat továbbra is fennáll az adatkapcsolati rétegen, mégpedig az ARP (Address Resolution Protocol) mérgezése (poisoning). Az ARP-t az IP-címek MAC-címekhez való hozzárendelésére használják a helyi hálózaton, egy támadó pedig kihasználhatja ezt hamisított ARP-üzenetek küldésével, hogy MAC-címét egy másik eszköz IP-címéhez társítsa. Ez lehetővé teszi a támadó számára, hogy az adott eszköznek szánt forgalmat elfogja vagy megváltoztassa.

A Wi-Fi hálózatokban az adatkapcsolati réteg biztosításának kihívásai még nagyobbak a vezeték nélküli kommunikáció fizikája miatt, ahol az adatok továbbítása nyílt léghullámokon keresztül történik.

A Wi-Fi hálózatok kényelmet és rugalmasságot kínálnak, lehetővé téve az eszközök vezeték nélküli csatlakoztatását az internethez. Ugyanakkor jelentős biztonsági kockázatot is jelentenek, különösen, ha nem megfelelően vannak biztosítva. Az egyik fő probléma a titkosítatlan és nyilvános Wi-Fi hálózatokkal kapcsolatban merül fel, amelyek általában nyilvános helyeken, például kávézókban, repülőtereken és szállodákban találhatók. Ezek a hálózatok gyakran nyílt hozzáférést biztosítanak bárki számára, aki a hatótávolságukban van, és mivel nincs titkosításuk, a rajtuk keresztül továbbított adatok lehallgathatók. A támadók könnyen megfigyelhetik a hálózati forgalmat, és olyan technikákkal, mint a packet sniffing, érzékeny információkat, például bejelentkezési adatokat, személyes adatokat vagy pénzügyi adatokat szerezhetnek. A nyilvános Wi-Fi hálózatok elsődleges célpontot jelentenek a kiberbűnözők számára, akik ki akarják használni ezeket a sebezhetőségeket.

E kockázatok mérséklése érdekében Wi-Fi biztonságot és titkosítást kell bevezetni, hogy az eszközök és a hálózat között továbbított adatok védve legyenek. A titkosítás kódolja az adatokat, így azok a megfelelő visszafejtési kulcs nélkül még akkor sem olvashatók vagy értelmezhetők, ha azokat elfogják. Az idők során különböző titkosítási szabványokat fejlesztettek ki a Wi-Fi hálózatok biztonságának javítása érdekében. Az egyik legkorábbi a Wired Equivalent Privacy (WEP) volt, de hamar kiderült, hogy nem biztonságos, mivel a támadók könnyen feltörhették a titkosítást. Ennek eredményeképpen a WEP ma már elavultnak számít, és nem szabad használni.

A Wi-Fi Protected Access (WPA) bevezetése a WEP számos gyengeségének kiküszöbölésével javította a biztonságot. A WPA a Temporal Key Integrity Protocol (TKIP) protokollt használta a titkosítási kulcs dinamikus megváltoztatására minden egyes csomag esetén, ami megnehezítette a támadók számára a titkosítás feltörését. A WPA azonban még mindig rendelkezett sebezhetőségekkel, ami a ma legszélesebb körben használt titkosítási szabvány, a WPA2 kifejlesztéséhez vezetett. A WPA2 az Advanced Encryption Standard (AES) szabványt használja, amely sokkal erősebb titkosítási szintet kínál, mint elődei, és továbbra is a Wi-Fi biztonságának ipari szabványa.

A WPA2 robosztussága ellenére sem teljesen védett a támadásokkal szemben, és a kifinomultabb kiberfenyegetések megjelenésével újabb szabványok, például a WPA3 kerültek bevezetésre. A WPA3 még erősebb titkosítást és jobb védelmet nyújt a brute-force támadásokkal szemben. Biztonságos környezetben a legújabb titkosítási szabvány és az erős jelszavak használata elengedhetetlen a Wi-Fi hálózatokon keresztül továbbított adatok titkosságának és sértetlenségének biztosításához. A routerek és hálózati berendezések rendszeres frissítése a legújabb biztonsági protokollok támogatása érdekében szintén segít a felmerülő fenyegetések elleni védelemben, így biztosítva, hogy a vezeték nélküli hálózatok továbbra is biztonságosak maradjanak az illetéktelen hozzáféréstől.

A forgalom lehallgatása (traffic interception) akkor következik be, amikor egy illetéktelen felhasználó, akit támadónak nevezünk, behatol a hálózat csomópontjainak kommunikációs pontjai közé. Ezt nevezhetjük man-in-the-middle támadásnak is. A forgalom lehallgatásának formái lehetnek passzív vagy aktív támadások a hálózat célzott állomásai ellen.

A szolgáltatásmegtagadás (Denial of service — DoS) az aktív támadás egyik formája, amikor az arra jogosult felhasználók nem férhetnek hozzá egy számítógépes rendszerhez, hálózathoz vagy bizonyos információkhoz. Ezt a hálózat vagy egy adott rendszer elleni támadás okozza. A támadás végrehajtásához a támadó kihasználhatja a rendszer egy adott alkalmazásában vagy a hoston futó operációs rendszerben lévő ismert sebezhetőséget. A kihasználás gyakran úgy történik, hogy a támadó olyan sok kéréssel árasztja el a rendszert, hogy a gépet túlterheli, és összeomlik a rendszer, ezáltal offline állapotba kerül, vagy használhatatlanná válik az arra jogosult felhasználók számára.

Amikor szolgáltatásmegtagadásos támadást indítanak egy célzott host ellen, a cél lehet a hosthoz való hozzáférés akadályozása, vagy más akciókkal kombinálva a számítógépes rendszer veszélyeztetése. Arra is felhasználható, hogy jogosulatlan hozzáférést szerezzenek a számítógépes rendszerhez vagy a hálózathoz. A DoS-támadásokra példa a SYN flooding és a Ping of Death.

A SYN flooding során a támadás kihasználja a két host közötti kommunikációhoz használt TCP/IP protokoll háromirányú kézfogását. A támadás lényege, hogy a hostot kérésekkel árasztja el, így annak nincs ideje a SYN, SYN/ACK és ACK kommunikáció sorrendjében a meg nem válaszolt kéréseket eldobni. Az ACK-kérés befejezi a 3-utas kézfogást, de mivel a kezdeti kapcsolat egy hamis IP-címről érkezik, a host nem ad ACK-választ, és tovább várakozik. Hamarosan újabb és újabb kérések halmozódnak fel, amíg a host már nem képes több kérést kezelni, és ezzel akadályozza az engedélyezett felhasználók valódi kéréseinek feldolgozását az adott gépről.

A Ping of Death egy másik DoS-támadás, amely nagyméretű Internet Control Message Protocol (ICMP) csomagokat küld a célzott állomásnak. Az adatcsomagoknak általában 65 536 bájtnál (vagy 64 kilobájtnál) kisebbnek kell lenniük, de ha a csomag mérete ennél nagyobb, és olyan hostnak küldik, amely nem képes ekkora csomagméretet kezelni, a rendszer lefagy vagy összeomlik, és elérhetetlenné válik az engedélyezett felhasználók számára.

A DoS-támadásokat általában egyetlen támadó rendszer hajtja végre. Ha azonban több rendszert is bevetnek a célpont megtámadására, akkor az elosztott szolgáltatásmegtagadás (Distributed Denial of Service — DDoS) néven ismert. A DDoS során a támadó több más rendszert is megfertőz, és ráveszi őket, hogy a nevében rosszindulatú funkciókat hajtsanak végre. Ez akkor fordulhat elő, ha a felhasználókat esetleg megtévesztették, hogy olyan szoftvert telepítsenek a számítógépükre, amely egy ideig észrevétlenül szunnyad. A támadás olyan rendszereket is kihasználhat, amelyeket nem patcheltek vagy nem frissítettek a legújabb ismert sebezhetőségek ellen. Amint elég sok gépet megfertőztek, a támadás elindul. Ez a támadás lehet egy SYN-áradat, amelynek során több fertőzött host hamis kommunikációs kéréseket küld a célzott szervernek, amíg az túl nem terhelődik.

A SYN flooding DoS-támadás megelőzésének egyik módja az, hogy módosítjuk a host várakozási idejét, mielőtt a fel nem használt kéréseket eldobja. Az is jó biztonsági gyakorlat, ha a rendszereket patchelik a legújabb biztonsági frissítésekkel. Egyes kémprogram- vagy vírusirtó csomagok részeként léteznek olyan eszközök, amelyek képesek felismerni és eltávolítani a szunnyadó “zombi” szoftvereket. Bár az ICMP protokoll blokkolása segíthet a Ping of Death megelőzésében, egyúttal akadályozhatja a legitim és hasznos hibaelhárító eszközöket is.

A bot olyan szoftver, amely egy másik program irányítása alatt hajt végre feladatokat. A hálózaton keresztül működtetett és irányított botok csoportját botnetnek nevezzük. Egy botnetet arra lehet használni, hogy a hálózaton keresztül legitim, szükséges és törvényes műveleteket hajtsanak végre — például a számítási munkaterhek (workload) elosztásakor. Egy botnet azonban a hálózaton belüli fondorlatos és káros műveletekre is használható, mint például az előző szakaszban tárgyalt DDoS-támadások. A botnetek kémszoftverként is felhasználhatók arra, hogy a hálózaton keresztül keyloggerek segítségével információkat lopjanak. A botneteket használhaatják e-mail spammelésre, azaz kéretlen üzenetek küldésére a célpontnak.

Általában, amikor egy számítógépet megfertőz a bot malware, a felhasználó nem tud róla, a fertőzés pedig akár át is terjedhet a hálózat más hostjaira is. Ez egy nagy botnetet hozhat létre, amelyet később egy adott célpont elleni tömeges támadás indítására használnak fel. A botfejlesztők képesek arra is, hogy botjaikat úgy módosítsák, hogy kikerüljék a biztonsági intézkedéseket, például az IP-feketelistákat (blacklist) és a hozzáférés-ellenőrzési méréseket, azáltal, hogy lakott területek IP-címeit lefoglalják, és különböző alkalmakkor használják őket a felderítés elkerülése érdekében. Minden internetezőnek célzott biztonsági szoftvereket, például kémprogram- és vírusirtó csomagokat kell telepítenie, és rendszeresen frissítenie. Ezeknek az eszközöknek ezután rutinellenőrzéseket kell végezniük, hogy segítsenek megelőzni a fertőzést vagy támadást. Szintén jó biztonsági gyakorlat, ha nem kattintunk nem egyértelmű, ismeretlen vagy megbízhatatlan forrásból származó linkekre, illetve nem nyitunk meg ilyen e-maileket sem.

A csomagszűrők (packet filter) döntő szerepet játszhatnak a különböző hálózati támadások, például a SYN flood, a Denial of Service (DoS), a Distributed Denial of Service (DDoS), a botnetek és a man-in-the-middle támadások mérséklésében. A csomagszűrő egy olyan tűzfalmechanizmus, amely a bejövő és kimenő csomagokat a hálózati szinten vizsgálja, elemezve azok fejlécét (header), hogy előre meghatározott biztonsági szabályok alapján meghatározza, hogy engedélyezni vagy blokkolni kell-e azokat.

A csomagszűrők a bejövő SYN-kérések számának korlátozásával vagy a SYN sütik (cookie) bevezetésével, amelyek lehetővé teszik a szerver számára, hogy több kapcsolatot kezeljen az erőforrások túlterhelése nélkül, enyhíthetik a SYN flood támadásokat, amikor a támadó a szervert túlterheli azzal, hogy nagyszámú hiányos kapcsolati kérést küld. A csomagszűrők az ismert támadók IP-címeit is felismerhetik és blokkolhatják, megakadályozva, hogy forgalmuk elérje a szervert.

A DoS- és DDoS-támadások megelőzése érdekében a csomagszűrők képesek azonosítani a rendellenes forgalmi mintákat (pattern) — például egy IP-címről érkező szokatlanul sok kérés vagy DDoS-forgatókönyv esetén több forrásból érkező kérés --, és blokkolni vagy korlátozni a forgalmat. Ez megakadályozza, hogy a szervert túlterhelje a rosszindulatú forgalom, miközben folytatódik a valódi kérések feldolgozása.

Botnetek esetében, amelyek összehangolt támadások indítására használt, kompromittált eszközök hálózatai, a csomagszűrők képesek észlelni az ismert botnet IP-címekről érkező forgalmat, vagy blokkolni a gyanúsan viselkedő eszközök kommunikációját. A botnet-üzemeltetők által a fertőzött eszközök kezelésére használt parancs- és vezérlési (C2) forgalom blokkolásával a csomagszűrők jelentősen csökkenthetik a botnet-támadások hatékonyságát.

Végül a csomagszűrők megakadályozhatják a man-in-the-middle támadásokat (amikor egy támadó lehallgatja a két eszköz közötti kommunikációt), azáltal, hogy biztonságos kapcsolatokat kényszerítenek ki, például HTTPS vagy SSL/TLS protokollok használatával, amelyek titkosítják a forgalmat. A szűrők úgy is beállíthatók, hogy eldobják a gyanús csomagokat, amelyek úgy tűnnek, mintha egy man-in-the-middle támadás részei lennének, például módosított fejlécük van vagy nem megbízható forrásból származnak.

A csomagszűrők megfelelő konfigurálásával a szervezetek jelentősen csökkenthetik a különböző típusú támadások kockázatát, javítva hálózataik biztonságát és integritását.