4.1.5. Атаки на основе внедрения ложного доверенного объекта

Угроза внедрения ложного доверенного объекта в ИТКС является активным воздействием, совершаемым с целью нарушения конфиденциальности и целостности информации.

Рассмотрим два известных способа реализации угрозы внедрения ложного доверенного объекта в ИТКС (применительно к Internet):

1. внедрение ложного объекта путем использования недостатков алгоритмов удаленного поиска:

• ARP spoofing – подмена таблицы преобразования адресов при использовании широковещательного ARP-запроса

• DNS spoofing – подмена сервера доменной системы имён

2. IP-spoofing – внедрение ложного объекта путем навязывания ложного маршрута [156].

Рассмотрим первый вид атаки основанной на недостатках алгоритмов удаленного поиска – ARP spoofing (создание ложного ARP-сервера). Для адресации на сетевом (IP) уровне в сети Internet каждый хост имеет уникальный IP-адрес. Для передачи IP-пакета на хост необходимо указать в IP-заголовке пакета в специальном поле IP-адрес хоста получателя. Для адресации IP-пакетов в сети Internet кроме IP-адреса хоста необходим еще либо Ethernet-адрес его сетевого адаптера (в случае адресации внутри одной подсети), либо Ethernet-адрес маршрутизатора (в случае межсетевой адресации). В сети Internet для решения этой проблемы используется протокол ARP (Address Resolution Protocol). Протокол ARP позволяет получить взаимно однозначное соответствие IP и Ethernet адресов для хостов, находящихся внутри одного сегмента. Это достигается следующим образом: при первом обращении к сетевым ресурсам хост отправляет широковещательный ARP-запрос на заранее определенный Ethernet-адрес, в котором указывается IP-адрес маршрутизатора. Далее отправленный широковещательный запрос получают все станции в данном сегменте сети, в том числе и маршрутизатор. Получив данный запрос, маршрутизатор внесет запись о запросившем хосте в свою ARP-таблицу, а затем отправит на запросивший хост ARP-ответ, в котором сообщит свой Ethernet-адрес, остальные хосты просто не прореагируют на этот запрос в силу того, что не они являются адресатами запроса. Полученный в ARP-ответе Ethernet-адрес будет занесен в ARP-таблицу, находящуюся в памяти операционной системы на запросившем хосте и содержащую записи соответствия IP- и Ethernet-адресов для хостов внутри одного сегмента. В случае адресации к хосту, расположенному в той же подсети, также используется ARP-протокол и рассмотренная выше схема полностью повторяется.

Таким образом, перехватив на атакующем хосте внутри данного сегмента сети широковещательный ARP-запрос, злоумышленник может послать ложный ARP-ответ, в котором объявить себя маршрутизатором, и в дальнейшем активно контролировать и воздействовать на сетевой трафик атакуемого объекта (хоста).

На основе вышеописанного материала целесообразно построить топологическую модель сетевой атаки типа ARP-spoofing.

1. В (n) интервале времени злоумышленник получает широковещательный ARP-запрос, предназначенный для маршрутизатора m. Далее все хосты данного сегмента сети вносят изменения в свои ARP таблицы о появлении нового хоста в сети (рис. 4.15).

2. В (n+1) интервале времени злоумышленник быстрее реагирует на полученный от хоста Xkn+1 запрос, нежели маршрутизатор, и отправляет ложный ответ от имени маршрутизатора. Именно этот ответ и будет воспринят хостом Xkn+1 как верный. Одновременно с ответом на запрос, злоумышленник XT посылает сообщение на маршрутизатор, от имени атакуемого хоста, вследствие чего маршрутизатор заносит в свою ARP таблицу IP адрес злоумышленника (рис. 4.16).

3. В интервале времени (n+2) через злоумышленника начинает проходить весь трафик между маршрутизатором m и атакуемым объектом Xkn+1, следствием чего становится перехват сетевого трафика, между двумя объектами, с возможностью его модификации.

Рис. 4.15. Модель атаки типа ARP-spoofing в (n) интервале

Рис. 4.16. Модель атаки типа ARP-spoofing в (n+1) интервале

Рис. 4.17. Модель атаки типа ARP-spoofing в (n+2) интервале

По аналогии с моделями противодействия атакам описанными в пунктах 4.2 и 4.3, применительно к данной сетевой атаке может быть построена модель защиты от нее.

Далее рассмотрим атаку вида DNS-spoofing. Как было сказано ранее, внешнесегментная адресация осуществляется по IP-адресам, но обращения к серверам, как правило, осуществляется по доменным именам. В этой связи была создана система преобразования доменных имен в IP адреса – DNS-серверов (Domain Name System). Эта система отвечает за нахождение IP-адреса удалённого хоста по его имени. Принцип функционирования DNS системы следующий – удаленный хост посылает на IP-адрес ближайшего DNS-сервера специальный запрос, в котором указывает имя сервера, IP-адрес которого необходимо найти. Получив запрос, DNS-сервер просматривает свою базу данных на наличие запрашиваемого доменного имени. В случае если имя найдено, DNS-сервер возвращает ответ, в котором указывает искомый IP-адрес. В случае если указанное в запросе имя DNS-сервер не обнаружил в своей базе имен, то DNS-запрос отсылается DNS-сервером на один из корневых DNS-серверов и описанная в этом пункте процедура повторяется, пока имя не будет найдено.

Проанализируем три возможных варианта удаленной атаки на службу DNS:

1. Атака путем перехвата DNS-запроса;

2. Атака основанная на создание направленного "шторма" ложных DNS-ответов на атакуемый хост;

3. Атака путем перехвата DNS-запроса или создания направленного "шторма" ложных DNS-ответов непосредственно на DNS-сервер.

Рассмотрим атаку внедрения ложного доверенного объекта путем перехвата DNS-запроса. В данном случае атакующему необходимо перехватить DNS-запрос, извлечь из него номер порта отправителя запроса, идентификатор DNS-запроса и искомое имя (имя домена), а затем послать ложный DNS-ответ на извлеченный из DNS-запроса порт, в котором указать в качестве искомого IP-адреса настоящий IP-адрес ложного DNS-сервера. Построим топологическую модель.

1. В (n) интервале времени злоумышленник перехватывает DNS-запрос на поиск IP-адреса, направленный к DNS-серверу находящемуся вне рассматриваемого сегмента сети (рис. 4.18) [13].

2. В (n+1) интервале времени, в то время когда запрос ушел через маршрутизатор к DNS-серверу, злоумышленник направляет атакуемому объекту ложный DNS-ответ от имени настоящего DNS-сервера (рис. 4.19).

3. В (n+2) интервале времени на объекте атаки узел XT ассоциируется с настоящим DNS-сервером и все сообщения к запросившему IP-адресу будут проходить через узел злоумышленника XT. Объект злоумышленника, в свою очередь, будет работать следующим образом – атакуемому объекту Xi он будет посылать сообщения от имени искомого сервера Ys, а серверу от имени атакуемого объекта. Таким образом, весь трафик между этими объектами проходит через объект XT (рис. 4.20).

Рис. 4.18. Модель атаки типа DNS-spoofing путем перехвата DNS-запроса в (n) интервале времени

Рис. 4.19. Модель атаки типа DNS-spoofing путем перехвата DNS-запроса в (n+1) интервале времени

Рис. 4.20. Модель атаки типа DNS-spoofing путем перехвата DNS-запроса в (n+2) интервале времени

В случае если атакующий объект находится в другом сегменте сети по отношению к объекту атаки Xi, топологическая модель незначительно изменится: злоумышленник находится в одном сегменте сети с DNS-сервером, перехват трафика осуществляется между запрашиваемым сервером и атакуемым объектом.

Аналогично можно представить другие возможные варианты удаленной атаки на службу DNS.

Перейдем к рассмотрению второго вида угрозы внедрения ложного доверенного объекта в ИТКС – IP-spoofing. Предпосылкой атаки является то, что все сообщения, адресованные в другие сегменты сети, изначально направляются на “местный” маршрутизатор, который, в свою очередь, перенаправляет их далее по указанному в пакете IP-адресу, выбирая при этом оптимальный маршрут. В свою очередь хосты, адресующие эти сообщения, имеют таблицы маршрутизации, в которых содержится описание соответствующего маршрута. В этой связи, для осуществления удаленной атаки внедрения ложного доверенного объекта путем навязывания ложного маршрута злоумышленнику необходимо подготовить ложное ICMP сообщение (ICMP имеет функцию удаленного управления маршрутизацией на хостах внутри сегмента сети), в котором указывается конечный IP-адрес навязанного маршрута и IP-адрес ложного маршрутизатора.

Построим модель навязывания хосту ложного маршрута внутри одного сегмента:

1. В (n) интервале времени атакующий объект XT отправляет ICMP сообщение объекту Xi о смене адреса маршрутизатора с m1 на XT. В результате этого объект Xi заносит в свою таблицу маршрутизации IXi IP-адрес нового (ложного) маршрутизатора (рис. 4.21).

Рис. 4.21. Модель внутрисегментного навязывания хосту ложного маршрута в (n) интервал времени

2. В (n+1) интервале времени атакуемый объект Xi отправляет сообщение ложному маршрутизатору XT который, в свою очередь, переправляет его от имени Xi настоящему маршрутизатору m1. Таким образом трафик атакуемого объекта полностью проходит через XT (рис. 4.22).

Рис. 4.22. Модель внутрисегментного навязывания хосту ложного маршрута в (n+1) интервал времени

Внешнесегментная атака типа IP-spoofing (топологическую модель которой можно построить по аналогии с рассмотренной выше) усложняется множеством факторов, например, злоумышленнику будет не просто угадать IP-адрес маршрутизатора m1, но, в конечном счете, проводится аналогичным способом, с подбором недостающих данных.