- •Воронеж 2008
- •Воронеж 2008
- •Введение
- •1 Подбор пароля
- •1.1 Общие понятия парольной защиты
- •1.1.1 Парольная система
- •1.1.2 Методы подбора паролей
- •1.1.3 Методы количественной оценки стойкости паролей
- •1.2 Парольная защита операционных систем
- •1.2.1 Подбор паролей в ос Windows
- •1.2.1.1 База данных учетных записей пользователей
- •1.2.1.2 Хранение паролей пользователей
- •1.2.1.3 Использование пароля
- •1.2.1.4 Возможные атаки на базу данных sam
- •1.2.2 Подбор паролей в ос unix
- •1.3 Классификация и принцип работы программного обеспечения для подбора паролей
- •1.3.1 Подбор паролей в oc Windows
- •1.3.2 Подбор паролей в oc unix
- •1.3.3 Подбор паролей в архивах zip, rar и arj
- •1.3.4 Подбор паролей документов ms Office
- •1.3.5 Подбор паролей pdf документов
- •1.4 Противодействие подбору паролей
- •1.4.1 Требования к паролю
- •1.4.2 Правила назначения/изменения паролей
- •1.4.3 Требования к генерации паролей
- •1.4.4 Хранение пароля пользователем
- •1.4.5 Хранение паролей компьютерной системой
- •1.4.6 Противодействие попыткам подбора паролей
- •1.4.7 Защита Windows nt и Unix от подбора паролей
- •2.1.2 Протокол tcp
- •2.1.2.1 Функции протокола tcp
- •2.1.2.2 Базовая передача данных
- •2.1.2.3 Разделение каналов
- •2.1.2.4 Управление соединениями
- •2.1.2.5 Заголовок тср-сегмента
- •2.1.2.6 Состояния соединения
- •2.2 Основные методы, применяемые при сканировании портов
- •2.2.1 Методы сканирования tcp-портов
- •2.2.1.1 Методы открытого сканирования
- •2.2.1.1.1 Метод icmp-сканирования
- •2.2.1.1.2 Сканирование tcp-портов функцией connect()
- •2.2.1.1.3 Сканирование tcp-портов флагом syn
- •2.2.1.1.4 Сканирование tcp-портов флагом fin
- •2.2.1.1.5 Сканирование с использованием ip-фрагментации
- •2.2.1.1.6 Сканирование tcp-портов методом reverse-ident (обратной идентификации)
- •2.2.1.1.7 Сканирование Xmas
- •2.2.1.1.8 Null сканирование
- •2.2.1.2 Методы "невидимого" удаленного сканирования
- •2.2.1.2.1 Скрытая атака по ftp
- •2.2.1.2.2 Сканирование через proxy-сервер
- •2.2.1.2.3 Скрытное сканирование портов через системы с уязвимой генерацией ip id
- •2.2.1.2.3.1 Исторические предпосылки
- •2.2.1.2.3.2 Описание базового метода ip id сканирования
- •2.2.1.2.3.3 Исследование правил и обход брандмауэра при сканировании
- •2.2.1.2.3.4 Сканирование машин с приватными адресами
- •2.2.1.2.3.5 Использование ip id при сканирование udp сервисов за брандмауэром
- •2.2.2 Методы сканирования udp-портов
- •2.2.2.1 Сканирование udp-портов проверкой icmp-сообщения «Порт недостижим»
- •2.2.2.2 Сканирование udp-портов с использованием функций recvfrom() и write()
- •2.3.1 Сканирование портов в ос семейства Windows
- •2.3.2 Сканирование портов в ос семейства Unix
- •2.4 Защита от сканирования портов
- •3 Анализ сетевого трафика
- •3.1 Анализ сетевого трафика сети Internet
- •3.1.1 Ложные arp-ответы
- •3.1.2 Навязывание ложного маршрутизатора
- •3.1.3 Атака при конфигурировании хоста
- •3.1.4 Атака на протоколы маршрутизации
- •3.2 Протокол telnet
- •3.2.1 Протокол ftp
- •3.2.3 Программы анализаторы сетевого трафика (сниффиры)
- •3.2.4 Принцип работы сниффира
- •3.3 Методы противодействия сниффирам
- •3.3.1 Протокол ssl
- •3.3.2 Протокол skip
- •3.3.3 Устройство обеспечения безопасности локальной сети skipBridge
- •4 Внедрение ложного доверенного объекта
- •4.1 Особенности атаки «Внедрение ложного доверенного объекта»
- •4.2 Внедрение ложного объекта путем использования недостатков алгоритмов удаленного поиска
- •4.2.1.1 Протокол arp и алгоритм его работы
- •4.2.1.2 Техника выполнения arp-spoofing
- •4.2.1.3 Методы обнаружения
- •4.2.1.4 Методы противодействия
- •4.2.2.1 Принцип работы Domain Name System
- •4.2.2.2 Внедрение dns-сервера путем перехвата dns-запроса
- •4.2.2.3 «Шторм» ложных dns ответов на атакуемый хост
- •4.2.2.4 Перехват dns-запроса или создание направленного «шторма» ложных dns-ответов непосредственно на атакуемый dns-сервер
- •4.2.2.5 Обнаружение и защита от внедрения ложного dns-сервера
- •4.3.1.2 Внедрение ложного доверенного объекта путем навязывания ложного маршрута с помощью протокола icmp
- •4.3.1.3 Обнаружение и методы противодействия
- •5 Отказ в обслуживании
- •5.1 Модель DoS атаки
- •5.1.1 Отказ в обслуживании (DoS)
- •5.1.2 Распределенный отказ в обслуживании (dDoS)
- •5.2.1.1 Описание утилиты для реализации icmp – флуда и атаки Smurf
- •5.2.1.2 Реализация атаки icmp-flooding, на основе отправки icmp-пакетов
- •5.2.1.3 Реализация атаки Smurf
- •5.2.3 Низкоскоростные dos-атаки
- •5.2.3.1 Механизм таймаута tcp-стека
- •5.2.3.2 Моделирование и реализация атаки
- •5.2.3.2.1 Минимальная скорость DoS-атаки
- •5.2.3.3 Многопоточность и синхронизация потоков
- •5.2.3.5 Атаки в сети интернет
- •5.2.4 Syn атака
- •5.3 Анализ средств и методов сетевой защиты
- •5.3.1 Настройка tcp/ip стека
- •5.3.4 Межсетевые экраны (FireWall)
- •5.3.5 Системы обнаружения атак (ids)
- •5.3.6 Система Sink Holes
- •Заключение
- •Список информационных источников
- •394026 Воронеж, Московский просп., 14
3.3.2 Протокол skip
SKIP (Simple Key mamagement for Internet Protocol - Простой протокол управления криптоключами в интерсети) разработан компанией Sun Microsystems в 1994 году и предложен в качестве стандарта Internet. На 33-й сессии "законодательного органа" Internet - комиссии Internet Engineering Task Force (IETF), прошедшей в июле этого года в Стокгольме была создана рабочая группа по протоколу SKIP, что можно считать первым шагом к принятию SKIP в качестве стандарта.
В основе SKIP лежит криптография открытых ключей Диффи-Хеллмана.
SKIP имеет, по сравнению с существующими системами шифрования трафика ряд уникальных особенностей:
SKIP универсален: он шифрует IP-пакеты, не зная ничего о приложениях, пользователях или процессах, их формирующих; установленный в компьютере непосредственно над пакетным драйвером, он обрабатывает весь трафик, не накладывая никаких ограничений ни на вышележащее программное обеспечение, ни на физические каналы, на которых он используется
SKIP сеансонезависим: для организации защищенного взаимодействия не требуется дополнительного информационного обмена (за исключением однажды и навсегда запрошенного открытого ключа партнера по связи)
SKIP независим от системы шифрования (в том смысле, что различные системы шифрования могут подсоединяться к системе, как внешние библиотечные модули); пользователь может выбирать любой из предлагаемых поставщиком или использовать свой алгоритм шифрования информации; могут использоваться различные (в разной степени защищенные) алгоритмы шифрования для закрытия пакетного ключа и собственно данных.
3.3.3 Устройство обеспечения безопасности локальной сети skipBridge
Устройство SKIPBridge представляет собой систему, устанавливаемую на интерфейсе внутренняя/внешняя сеть (локальная сеть/коммуникационный провайдер). Устройство обеспечивает защиту (шифрование) трафика, направляемого из внутренней сети во внешнюю на основе протокола SKIP, а также фильтрацию и дешифрование трафика, поступающего из внешней сети во внутреннюю.
IP-пакеты, принимаемые из внешней сети, обрабатываются протоколом SKIP (расши-фровываются, фильтруются открытые пакеты в режиме только защищенного трафика, контролируется и обеспечивается имитозащита). Пакеты, прошедшие фильтрацию SKIP, при помощи протокола IP передаются программному обеспечению SKIPBridge, решающему задачи административной безопасности (обеспечивающему пакетную фильтрацию), и затем - операционной системе устройства SKIPBridge, которая маршрутизует пакеты на адаптер внутренней (локальной) сети.
4 Внедрение ложного доверенного объекта
4.1 Особенности атаки «Внедрение ложного доверенного объекта»
Существуют два принципиально разных способа осуществления атаки «Внедрение ложного доверенного объекта»:
- внедрение ложного доверенного объекта путем навязывания ложного маршрута;
- внедрение ложного доверенного объекта путем использования недостатков алгоритмов удаленного поиска.
Глобальные сети состоят из сегментов, связанных между собой через сетевые узлы. Под маршрутом понимается последовательность узлов сети, по которой данные передаются от источника к приемнику, а под маршрутизацией - выбор маршрута. Все узлы глобальной сети имеют таблицу маршрутизации, в ней для каждого хоста указывается оптимальная последовательность узлов. Для осуществления эффективной маршрутизации, в сетях применяются специальные управляющие протоколы, позволяющие маршрутизаторам обмениваться информацией друг с другом: RIP (Routing Internet Protocol), OSPF (Open Shortest Path First); уведомлять хосты о новом маршруте - ICMP (Internet Control Message Protocol); удаленно управлять маршрутизаторами - SNMP (Simple Network Management Protocol). Эти протоколы позволяют удаленно изменять маршрутизацию в Internet, то есть являются протоколами управления сетью [39,40].
Основной целью атаки, связанной с навязыванием ложного маршрута является – изменить исходную маршрутизацию на атакуемом объекте сети так, чтобы новый маршрут проходил через ложный объект - хост атакующего.
Для реализации атаки «Внедрение ложного доверенного объекта» необходимо отправлять специальные служебные сообщения от имени сетевых устройств, на объект атаки, для изменения исходной таблицы маршрутизации на нем. При успешной реализации данной атаки, атакующий получит полный контроль над трафиком между двумя объектами сети, и атака перейдет во вторую стадию, связанную с приемом, анализом и передачей сообщений, получаемых от атакованных объектов.
Рассмотрим внедрение ложного доверенного объекта путем использования недостатков алгоритмов удаленного поиска.
Объекты сети обычно не имеют всей необходимой информации для адресации сообщений, под которой понимаются аппаратные и логические адреса. Для того чтобы получить эту информацию в сетях используются различные алгоритмы удаленного поиска, заключающиеся в передаче по сети специального вида поисковых запросов и в ожидании ответов на них. Примером сообщений, на которых базируются алгоритмы удаленного поиска, могут служить ARP- и DNS-запросы в Internet.
Существуют два типа поисковых запросов: широковещательный и направленный. Широковещательный поисковый запрос получают все объекты в сети, но только искомый объект отсылает в ответ нужную информацию. Направленный поисковый запрос передается на один (или несколько) специально выделенный для обработки подобных запросов сетевой объект (например, DNS-сервер) и применяется при межсегментном поиске в том случае, когда не хватает информации для адресации.
При использовании механизмов удаленного поиска, реализация данной атаки состоит в перехвате запроса и передаче в ответ на него ложного сообщения, такого, что весь трафик между двумя объектами сети будет проходить через ложный объект. Еще одним вариантом реализации данной угрозы является периодическая передача на атакуемый объект заранее подготовленного ложного ответа без приема поискового запроса. Данная типовая удаленная атака осуществляется, когда субъект и объект атаки находятся в разных сегментах сети и у атакующего нет возможности перехватить поисковой запрос [41].
Когда весь трафик между двумя объектами сети идет через ложный объект, есть возможность осуществлять на него воздействие.
Методы воздействия на перехваченную таким объектом информацию:
Выделение потока информации и сохранение ее на ложном объекте;
Модификация информации:
- модификация передаваемых данных;
- модификация передаваемого кода;
3. Подмена информации.