Удаленный сбор информации о жертве

Рассмотрим здесь процесс взаимодействия с позиций протокола TCP/IP, что не ограничивает применения построений и к другим типам сетей.

Службы, работающие в АС, используют или предоставляют какие-либо информационные ресурсы, которые также могут быть использованы внешним субъектом, в т.ч. несанкционированно. Для этого он должен узнать , какие службы (сервисы) работают в системе, но в первую очередь – её адрес.

Получение сетевого IP-адреса или имени домена/хоста потенциальной жертвы уже дает злоумышленнику информацию, на основе которой он начинает строить план атаки. Дополнительная информация может быть получена и альтернативным путем (например, используя службу глобальной сети WHOIS). Информация о названии, фамилиях, телефонах, физических адресах может служить основой для - формирования списка типовых паролей.

Сетевой адрес – это параметр, уникально идентифицирующий хост в пределах сети, и именно его указывает автоматизированная программа для сбора информации о службах системы.

Поскольку на одной машине почти всегда бывает запущено более одного сервиса, то возникает необходимость после поступления пакета в адрес хоста определить, к какой службе он направлен. Для этого ОС анализирует параметр транспортного уровня – логический порт, специально размещенный в пакете отправляющей стороной для этой цели. Для протокола TCP в самом первом пакете - запросе на соединение – ОС сообщает, функционирует ли в данный момент тот или иной логический порт. Поэтому удаленный субъект, исследующий систему, всегда имеет информацию о работающих службах. Кроме того, в интернет-сообществе закреплены фиксированные значения логических портов по умолчанию (WWW-сервер – 80; FTP – 21, Telnet – 23, SMTP – 25 и т.д.). Соответственно, злоумышленник может заранее использовать известные уязвимости этих сервисов (сразу оговоримся, что такой адрес может быть и приманкой – honey-pot- для взломщика). Автоматизированные программы поиска уязвимостей могут выполнять разные функции от простого сканирования портов, до полного завершения атаки. Специалист по безопасности должен быть осведомлен о них.

Успех атаки зависит не только от наличия работающей службы, но и от того, как она реализована ( как написано ПО, и какие настройки оно имеет). Например, FTP-сервер серьезно зависит от того, разрешены ли в нем анонимный доступ и команда PUT.

По ряду открытых портов можно решить и обратную задачу – т.е. установить, что система была взломана. Известные программы взлома используют стандартные параметры порта управления, поэтому другой злоумышленник, обнаружив функционирующую троянскую программу может получить почти полный доступ к хосту.

Другой путь поиска реализации атак – получение данных об ОС, установленной на удаленном хосте. Каждая сетевая ОС имеет свой список уязвимостей, из которого злоумышленник может выбирать более вероятные. Одним из методов определения ОС является анализ реакции IP-стека на специальным образом сформированные пакеты. Различные ОС будут по-разному реагировать на получение таких пакетов, откуда можно с большой вероятностью определить их тип.

16.1 Основные классы удаленных атак

Рассмотрим наиболее распространенные классы удаленных атак (рис.16.1).

Рис.16.1. Возможные варианты атаки: 1 – атака с консоли, 2 – на маршрутизацию, 3 – межсетевой экран (МСЭ), 4 – на ОС или приложение, 5 – рассылкой вируса (трояна), 6 – загрузкой зловредного кода с веб-сервера.

Маскировка (masquerading). Это общее название для большого класса атак, которые заключаются в том, что атакующий выдает себя не за того, кем является на самом деле. Она может использоваться на маршрутизаторах там, где идентификация и аутентификация производятся только на основе сетевого адреса. Если определенные существенные права присваиваются процессам, инициированным рядом доверенных хостов, то злоумышленнику достаточно указать доверенный адрес отправителя в сформированном деструктивном пакете, и он будет пропущен без ограничения.

Маскировкой можно считать и случай, когда присваиваются действительные аутентификационные параметры легального пользователя. Маскировка возможна и в пассивной форме, когда злоумышленник, изменив учетные записи на DNS-сервере, может выдавать себя за HTTP и т.п., собирая нужную информацию.

Маскировка типа подмены (spoofing) используется, когда атакуемый хост использует для сетевого взаимодействия некоторого посредника для поставки справочной информации. Например, если сервер DNS предоставляет запрашивающую информацию об адресе хоста назначения по его имени, то можно отправить жертве вместо ответа легитимного DNS-сервера свой адрес, и все пакеты будут поступать на него. Аналогичным образом можно атаковать и другие протоколы и базы данных, ответственные за сопоставление адресов или имен одного уровня адресам другого уровня.

Переполнение буфера (buffer overflow). Большой класс атак, основанный на возможности изменить ход исполнения атакуемой программы с помощью специально сформированных некорректных входных данных. Переполнение буфера используется вирусами, программами превышения полномочий, удаленными атаками на серверы и клиентов. Если обработкой данных, которые могут поступать и не от авторизованных клиентов, занимается некоторая функция и эти данные имеют фиксированный формат, то под них выделяется в стеке определенный объем памяти. Если введенные данные (например, пароль) превышают указанный объем, программа не сможет продолжить выполнение инструкций кода и прекратит работу с сообщением об ошибке. Если введенные данные при этом были тщательно подобраны, то они могут быть восприняты программой как корректный код процессора. Тогда программа с высокими привилегиями (например, авторизации) выполнит код, подставленный неавторизованным пользователем (возможно злоумышленником).

Несмотря на тщательность проработки ПО, возможности для такой подстановки могут быть обнаружены при хорошем анализе и использованы для НСД.

Атаки на поток данных

В таких случаях злоумышленник, находясь в сети между двумя серверами, ведущими информационный обмен, пытается работать с данными, направляемыми от одного хоста к другому. Эти атаки могут быть пассивными, когда он копирует себе данные для последующего анализа или активными, если он пытается внести в них изменения (полностью подменяет их).

Активные атаки на поток данных. Применяются, если хост злоумышленника является узлом какого-либо уровня, на пути движения информации (маршрутизатор, коммутатор, прокси-сервер), т.е. имеет возможность фильтровать интересующий его трафик и направлять его на другой алгоритм обработки или даже по другому сетевому маршруту. При этом существует возможность манипулирования сетевым трафиком. Даже если в трафике применяется криптографическая защита, то имеются возможности для ряда атак. В противном случае возможности злоумышленника практически не ограничены.

Атака повтором (reply attack) возможна только в случае, если в системе защиты пакетов отсутствует механизм обнаружения повторного приема одного и того же пакета. Перехваченный пакет посылается повторно несколько раз с расчетом на повторный прием к обработке системой получателя. Самый простой вариант эффекта от такой атаки – перегрузка и отказ в обслуживании. Механизмом защиты от такой атаки является проверка в каждом пакете отметки времени (time stamp) или последовательного номера пакета.

Атака «злоумышленник – посредник» (man-in-the-midlle) использует механизм шифрования с открытым ключом. Такая возможность породила целое направление в электронном бизнесе – создание центров сертификации (СА –certification authority).

Атаки на основе сетевой маршрутизации – используются злоумышленником для пассивных и активных атак. Это возможно в сетях с динамической маршрутизацией пакетов, когда направление дальнейшего следования пакета выбирается исходя из сетевой обстановки.

Перехват сессии. Если злоумышленник обходит аутентификацию, основанную на сетевом адресе путем подмены этого адреса в пакетах, вопрос обеспечения доверия к сеансу работы хоста с хостом перемещается на более высокий уровень.

16.2 Средства противодействия атакам

В первую очередь под защищенной системой понимается АС, в которой исключен несанкционированный доступ, поэтому, прежде всего, следует рассматривать реализацию систем контроля доступа Они реализуются организационными мерами и с помощью программно-аппаратных средств защиты.

Актуальность применения специальных протоколов.

Одним из важнейших отраслевых стандартов в области информационной безопасности являются протоколы сетевой безопасности. Перед тем, как применить какие-либо механизмы безопасности к субъекту, его необходимо идентифицировать и аутентифицировать. Поэтому первая задача протокола безопасности - это удаленная аутентификация субъекта (пользователя, системы или процесса. Практически все протоколы несут в себе аутентификацию, как одну из функций, но есть ряд протоколов, предназначенных специально для аутентификации (PAP, CHAP и их подвиды).

Следующая задача протоколов безопасности – обеспечить защиту информации при прохождении по каналам связи, т.е. согласовать ключи шифрования, зашифровать данные в точке отправления, расшифровать в точке получения.

Антивирусное ПО

Обычно первым средством, приобретаемым для обеспечения ИБ в любой организации является антивирусное ПО [2.3]. В настоящее время наличие антивируса (А/В) на компьютере также необходимо, как и текстового редактора. Критерием выбора А/В часто является не качество и надежность, а возможность бесплатного (дешевого) приобретения или легкость переноса на дискете. Чтобы перейти к профессиональному подходу, перечислим факторы, которые следует учитывать при выборе А/В по критериям эффективности:

-величина текущего списка базы вирусов;

-насколько оперативно производится обновление базы поставщиком (в тот же день, через неделю);

-каким образом производится доставка обновленных БД до потребителей (обычная практика – периодическая загрузка с сайтов Internet), возможна ли доставка региональным дистрибьютером?;

-на каком этапе А/В может произвести распознавание вируса и его блокирование (в МСЭ, на почтовом сервере, при копировании файла или только при сканировании диска);

-какие ресурсы требует А/В от хоста (ЦП, ОЗУ);

-как организована архитектура работы программы (отдельный модуль или сервер с агентами), как организовано автоматизированное обновление распределенного ПО.

О межсетевом экране (МСЭ, брандмауэре, firewall) организация обычно задумывается в случаях [2.3]:

-появления постоянного прямого выхода в Internet, имеющего соединение с локальной сетью;

-организации удаленного взаимодействия со своими филиалами в режиме он-лайн с использованием сети широкого доступа (выделенных или коммутируемых телефонных линий, беспроводного канала).

МСЭ – это локальное (однокомпонентное) или функционально-распределенное программное (аппаратно-программное) средство (комплекс), реализующее контроль за информацией, поступающей в АС и/или выходящей из АС. МСЭ обеспечивает защиту АС посредством фильтрации информации, т.е. ее анализа по совокупности критериев и принятии решения о ее распространении в (из) АС на основе заданных правил, проводя таким образом, разграничение доступа субъектов от одной АС к объектам другой АС. Каждое правило разрешает или запрещает передачу информации определенного вида между субъектами и объектами. Как следствие, субъекты из одной АС получают доступ только к разрешенным информационным объектам из другой АС. Интерпретация набора правил выполняется последовательностью фильтров, которые разрешают или запрещают передачу данных (пакетов) на следующий фильтр или уровень протокола.

Система обнаружения и предотвращения атак (СОА) – intrusion detection system (IDS) имеет в качестве главного преимущества перед средствами, ориентированными на управлении человеком именно возможность быстрой автоматической реакции на события.

Принцип работы СОА заключается в постоянном анализе (в режиме реального времени) активности, происходящей в АС, и при обнаружении подозрительного информационного потока принятии действий по его предотвращению и информированию уполномоченных субъектов системы.

В настоящее время для защиты Интернет-трафика все чаще находят применение VPN – виртуальные частные сети , использующие механизм туннелирования.

Не нашли, что искали? Воспользуйтесь поиском по сайту: