Social Engineering

Antag ett nätverk där allt betraktas som säkert och all data är krypterad. All konfidentiell trafik är skyddad från samtliga dataattacker som går att genomföra. Alla resurser i nätverket kräver en inloggning och teknikerna sitter lugnt i tanken på nätet som en ointaglig fästning. Plötsligt ringer en uppjagad avdelningschef och irriterar sig över att han inte kommer åt nätverket för hans lösenord ej fungerar. Stressat delar teknikern ut lösenordet till den uppjagade avdelningschefen. Antag nu att avdelningschefen inte är den han utger sig för att vara utan en attackerare som med hjälp av ett socialt spel nu bidragits med ett lösenord som direkt ger honom tillgång till nätverks samtliga resurser. Utan några som helst datortekniska kunskaper ges attackeraren möjlighet att kringgå alla säkerhetskontroller tack vare att vissa företagsessentiella riktlinjer tummades på.

Hur kritisk är egentligen personer som mottar ett e-postmeddelande som omber personalen att skicka alla inloggningsuppgifter till en viss e-postadress? Hur ansvarsfulla är de i att skydda lösenord genom att inte gömma små lappar under skrivbordsunderlägget? Dessa frågor är typexempel på säkerhetsbrister i ett nätverk som helt eller delvis frångår tekniska spörsmål. Förmågan hos en attackerare att få tillgång till ett nätverk genom att utnyttja eller lura andra människor kallas för Social Engineering [WIK27].

För att förtälja ytterligare exempel på hur en Social Engineering-attack kan genomföras är att dela ut virussmittade USB-stickor i lunchrummet. En procentuell majoritet kanske upptäcker problemet men det räcker att en person går i fällan för att säkerhetshålet ska vara ett faktum. Ett annat problem som kan uppstå på stora företag med många människor i rörelse är att en attackerare kan klä ut sig till nätverkstekniker med överensstämmande företagslogotype på ryggen och vandra in i närmsta serverrum utan att någon övrig anställd skulle höja på ögonbrynen. Om sedan personen är pratsam, extra trevlig och till synes inte har något att dölja är det i synnerhet lätt att liknande attacker tillåts hända. Som bevisat kan listan över varianter av Soicial Engineering-attacker göras så lång som fantasin tillåter.

Att skydda sin mot attacker i form av Soical Engineering är inte alltid lätt. Första steget i ett mer uttalat skydd är att skriva en policy för alla anställda och informera hur nätverksteknikernas rutiner går till. Mottags ett suspekt e-postmeddelande är det inte från avdelningen som ansvarar för nätverksdriften. Tillåt aldrig tekniker tillträde till lokaler utan giltig legitimation och framförallt, implementera inte en datasäkerhet så avancerad att användarna tvingas förvara lösenord på små lappar.

En optimerad nätverksstruktur ska inte bara vara rätt konfigurerad och säkrad. Saknas direkta instruktioner för användarna om hur nätet ska brukas kommer aldrig en optimerad säkerhet uppnås så länge nätverkssäkerheten inte följs upp på andra sidan switchporten.

I VMKF:s optimerade nätverksstruktur skrivs en policy som direkt specificerar hur nätverket ska användas och hur det inte får användas. Att publicera en förslagspolicy skulle endast innebära en gissning och kan inte översättas till ett brukligt redskap i en skarp nätverksimplementation. Därför har endast ett fåtal viktiga punkter staplats upp för att poängtera dess vikt, medan de för översättas till handling av VMKF:s ledning och nätverkstekniker.

 Riktlinjer för hur många tecken ett lösenord ska vara och vilka tecken som måste användas samt hur ofta det måste bytas. Det ska också framgå att lösenord inte får utbytas med någon även om personen anses som trovärdig eller om det är en kollega.

 All förvaring av lösenord på skrivbordet eller i anslutning till datorn får ej förekomma.

 Media som USB-stickor, CD-skivor eller liknande som har ett okänt ursprung får inte användas i nätverket innan någon slags karantänprocess genomgåtts.

 Ett antivirus måste vara installerat på de datorer som ansluter till nätverket.

 Riktlinjer för hur glömda lösenord lämnas ut. Sker det aldrig via e-post ska det framgå att så är fallet, vilket eliminerar att personalen tar till sig sådan e-post.

 Riktlinjer för hur lösenord samlas in. Administratörer och tekniker som redan har tillgång till lösenordsdatabaser kommer aldrig begära lösenordet från en användare och på så vis kan användarna ignorera liknande e-post eller förfrågningar. Skulle lösenord behöva samlas in, vad är då rutinen och vilken person ansvarar för detta?

 Vilka enheter får kopplas in i en port på en accesswitch? Tillåts en skrivare, switch eller trådlös accesspunkt? Det är lättare att säga vad som får användas än vad som inte får användas.

 Kontrollera alltid legitimation på okända tekniker eller övriga okända personer som vistas i lokalerna. För nyanställda eller provisorisk personal ska alltid en bakgrundskontroll göras.

 Konfidentiell information såväl i pappersform som data ska förstöras eller rensas bort så ingen tredje part kan läsa klassificerade dokument.

När en liknande policy finns är det också väldigt lätt för de anställda att rätta sig efter dessa

premisser. Skulle en Soical Engineering-attack genomföras kan man återkomma till policyn för att se för vilken punkt rutinerna brast.

3 Analys och slutsats

Genom att avgränsa projektets omfattning i flera större huvudkategorier som presenterats i rapporten kunde en granskning ligga till grund för vilka förbättringar som kunde genomföras i VMKF:s nätverk. I slutet för granskningen av respektive område hölls ett möte med uppdragsgivaren där resultat och idéer kunde presenteras och uppdragsgivaren och de anställda nätverksteknikerna kunde komma med en respons på den optimerade nätverksstrukturen. I samband med dessa möten redogjordes de begränsningar som fanns i nätverket vilket gjorde den slutgiltiga nätverksoptimeringen mer anpassad efter VMKF:s aktuella nätverkslösning.

Genom att från start grundligt få förståelse över nätverksuppbyggnaden och dess involverade enheter, telefoner och klienter kunde en optimerad nätverkstopologi konstrueras med så få extra länkar som möjligt, vilket visade sig vara en implementation omtyckt av såväl uppdragsgivare och tekniker. Med den optimerade topologin kunde mer noggranna granskningar ske för routing och switching där dagens implementation vägdes med fördelarna i den optimerade nätverkstopologin. Valet med den nya topologin medförde att routingtabeller kunde optimeras, feltolerans införas på ett effektivt sätt samt säkerhet och nätverksstabiliteten förbättras för de båda områdena routing och switching.

Genom den önskade implementationen av ett realtidsövervakningssystem via SNMP fick uppdragsgivaren mer kontroll över sitt datanätverk men låg också som grund i den protokollanalys som genomfördes för att säkerställa optimal flödeskontroll genom QoS.

En vidare granskning av säkerheten i accesswitchar och nätverkets trådlösa del utfördes genom att granska flera varianter av attacker, såväl teoretiskt som praktiskt, och ledde till flera återkommande diskussioner där uppdragsgivaren önskade fler förslag på optimering i och med några av nätverkets områden och dess konfidentialitet. Rapportens omfattning krävde dock en begränsning där en lokal säkerhetslösning tillfogades per port-basis. Vad gäller granskningen av nätverks trådlösa del önskade uppdragsgivaren att stora delar skulle utelämnas på grund av sekretesskäl och återfinns inte i rapporten.

Av de önskemål som arbetsgivaren föreslagit kunde dock samtliga inte fullbordas. Efterforskningar kring en övergång till protokollet SIP åsido lades på grund av att granskningen av säkerheten drog ut på tiden. Vidare ströks också implementationen av IEEE802.11E från önskemålslistan då det uppdagades att telefonerna inte hade problem med trafikflödeskontroll i form av QoS utan problem med roaming.

Projektets omfattning ökade i takt med att mer felsökning och konfigurationsförståelse hela tiden avslöjades och att de laborativa försök med en optimerad nätverkslösning ej kunde genomföras så som det var tänkt då den laborativa utrustningen ej överensstämde med den faktiska. Problem med hård- och mjukvara har också lett till att projektets omfattning drygats ut med extraarbete och tidsfördröjningar som följd. Nätverket lämnar därmed utrymme för ytterligare optimering där en koncentration för de mer essentiella nätverksområdena tagits i beaktning i och med denna rapport.

4 Källförteckning