Милославская сетевые атаки на открытые системы на примере 2012

скольких промежуточных узлов (для сокрытия своего реального адреса) в отношении одной или нескольких жертв.

в) с промежуточными узлами

б) отношение "один ко многим"

Цель атаки

Атакующие

г) отношение "многие к одному"

д) отношение "многие ко многим"

Рис. 2. Традиционные и распределенные атаки

11

Распределенные атаки (рис. 2, г-д) всегда подразумевают сговор нескольких атакующих, целью которых может стать одна или чаще сразу несколько жертв.

Теперь рассмотрим обобщенную классификацию УА по основным критериям (рис. 3):

1)по характеру воздействия УА делятся на пассивные и активные (примером первого типа атак является, например, прослушивание каналов связи и перехват вводимой с клавиатуры информации; примером второго типа является атака «третий посередине», когда злоумышленник может, например, подменять данные информационного обмена между двумя пользователями Интернет и/или интранет или между пользователем и запрашиваемым им сетевым сервисом, пересылаемые в обоих направлениях);

2)по цели воздействия, то есть в зависимости от нарушения трех основных возможных свойств информации и информационных ресурсов — их конфиденциальности, целостности и доступности, плюс нарушение доступности всей системы или ее отдельных служб (пример атаки — « отказ в обслуживании», далее рассмотренный более подробно);

3)по условию начала осуществления воздействия УА может быть безусловной (предпринимается злоумышленником в любом случае), или может активизироваться либо при посылке определенного запроса от атакуемого объекта, либо при наступлении ожидаемого события на нем;

4)по наличию обратной связи с атакуемым объектом разли-

чают атаки с обратной связью или без обратной связи (такая атака называется однонаправленной);

5)по расположению субъекта атаки относительно атакуе-

мого объекта атаки бывают внутрисегментными (средства взлома сети или, например, прослушивания каналов связи должны располагаться в том же сегменте сети, который интересует злоумышленника) или межсегментными (и тогда дальность расстояния от жертвы до злоумышленника не имеет значения);

6)по числу атакующих и жертв УА бывают традиционными

ираспределенными;

12

13

7) по уровню эталонной модели взаимосвязи открытых систем (OSI) Международной организации стандартизации (ISO), на котором осуществляется воздействие. Атака может реализовываться на всех семи уровнях ¾ физическом, канальном, сетевом, транспортном, сеансовом, представительном и прикладном. Средства обеспечения безопасности интранет на основе такой модели регламентируются стандартом ISO 7498-2. Эти же рекомендации могут применяться и для разработки, создания аналогичных механизмов в Интернет-сетях, так как стек протоколов TCP/IP соответствует уровням 1–4 модели, а прикладной уровень в сетях Интернет соответствует верхним уровням (5–7);

8)по средствам проведения атаки – для реализации УА ис-

пользуются разные средства, такие как информационный обмен, команды пользователя (ввод команд в интерфейсе командной строки или процесса), скрипты или программы (например, взломщики паролей, средства прослушивания трафика, сканеры, вирусы и т.п.), автономный агент, комплект утилит (toolkit, rootkit и т.п.), распределенные средства (по нескольким узлам сети) и прочие;

9)по методам проведения атаки, среди которых применяются прослушивание, сканирование, зондирование, маскарад, различные подмены адресов, перехват сессий, взлом и т.п.;

10)по объекту атаки (например, данные, программы, сетевое обеспечение, пользователь и т.д);

11)по результату атаки – например, это чаще всего расширение прав доступа, установление удаленного контроля (управления) над объектом в сети, сбор/раскрытие информации, кража сервисов, «отказ в обслуживании» и т.п.;

12)по размеру причиненного ущерба УА могут нанести мини-

мальный, средний или высокий ущерб.

Среди вышеперечисленных УА можно выделить пять наиболее часто предпринимаемых ТУА [3]: анализ сетевого трафика; подмена доверенного объекта или субъекта РВС; ложный объект РВС; "отказ в обслуживании"; удаленный контроль над станцией в сети. Рассмотрим их подробнее.

14

1.1. Анализ сетевого трафика

Анализ сетевого трафика (или прослушивание канала связи с помощью специальных средств ¾ снифферов) позволяет:

·изучить логику работы сети — получить однозначное соответствие событий, происходящих в системе, и команд, пересылаемых при этом хостами, в момент появления данных событий; в дальнейшем это позволит злоумышленнику получить, например, привилегированные права на действия в системе или расширить свои полномочия в ней;

·перехватить поток передаваемых данных, которыми обмениваются компоненты сетевой ОС — для извлечения секретной или идентификационной информации (например, статических паролей пользователей для доступа к удаленным хостам по протоколам FTP и Telnet, не предусматривающих шифрование), ее подмены, модификации и т.п.

По классификации УА анализ сетевого трафика — пассивное воздействие. Осуществление атаки без обратной связи ведет к нарушению конфиденциальности информации внутри одного сегмента сети на канальном уровне OSI. Начало осуществления атаки безусловно по отношению к цели атаки.

Опишем, как осуществляется пассивная атака перехвата данных в Ethernet – физической среде передачи информации в сети, реализующей множественный доступ к ней. Обмен данными по протоколу Ethernet подразумевает посылку пакетов адресату, но изза особенностей среды передачи рассылка осуществляется всем абонентам одного сегмента интранет. Заголовок пакета содержит адрес узла-приемника. Предполагается, что только узел с соответствующим адресом должен принять пакет. Однако если какой-то компьютер в интранете принимает все проходящие пакеты, независимо от их заголовков, то говорят, что он находится в promiscuous mode — режиме приема всех фреймов. Так как в обычной интранет информация о паролях передается в виде простого текста [в открытом виде пароли передаются по сети по протоколам стека TCP/IP: Telnet; POP3; FTP; IMAP; rlogin; NetBIOS и т.д.], то для злоумыш-

ленника не сложно перевести один из компьютеров подсети в

15

promiscuous режим (предварительно получив на нем права root) и, перехватывая и анализируя пакеты, проходящие по его каналам связи, получить пароли к большинству компьютеров интранет.

В одном из наиболее распространенных методов перехвата данных при их перемещении по линиям связи в интранет используется средство, называемое сниффером (от англ. sniffer — « ищейка») [6]. Даже если потенциальный злоумышленник не имеет доступа к некоторому компьютеру, он может перехватить данные, посылаемые ему, в момент их прохождения по кабелю, который подключает данный компьютер к сети. Компьютер в сети аналогичен телефонному аппарату, подключенному к общему номеру – любой человек может поднять трубку и подслушать чужой разговор. В случае передачи данных любой компьютер, соединенный с сетью, способен принимать пакеты, посылаемые другой станции. Границы существования данной возможности определяются структурой сети. Она может распространяться как на компьютеры, принадлежащие данному сегменту сети, так и на всю сеть в целом (если сеть не разделена на сегменты). Отличительной особенностью перехвата данных является то, что эта атака относится к типу внутрисегментных.

Также есть возможность запустить сниффер в режиме nonpromiscuous, но тогда будет можно перехватывать соединения только с тем ПК, на котором он запущен.

Средства анализа сетевого трафика по своей функциональности условно делятся на две группы: анализаторы трафика и декодеры протоколов. Анализаторы трафика осуществляют только мониторинг событий, происходящих в сети, собирают статистику о потоках данных. Декодеры протоколов обладают такой полезной функцией как декодирование передаваемой по сети информации из набора битов и байтов в удобный для восприятия оператором вид. Как правило, все выпускаемые сегодня снифферы относятся к декодерам протоколов.

Помимо сбора статистики о потоках в сети и декодирования протоколов некоторые снифферы обладают такими полезными свойствами, как возможность генерации фреймов/пакетов от своего имени, позволяя заполнять те или иные поля структур произволь-

16

ными пользовательскими данными. Это может использоваться сетевыми администраторами и администраторами ИБ для тестирования и контроля корректности функционирования средств и систем защиты.

На рис. 4 приведена обобщенная схема сниффера, основным компонентом которого является декодирующее ядро. Если в разбираемом сниффером пакете обнаруживаются отклонения от нормального, генерируются сигналы тревоги, выдаются сообщения о важных для функционирования сети событиях. Предусмотрена возможность набора статистики, редактирования пакетов, а также генерация текущего трафика и запуск системных утилит типа ping для проверки достижимости других узлов из данного сегмента сети.

Сетевой сегмент

Рис. 4. Обобщенная схема сетевого анализатора

Существуют многие программы-снифферы. Это, например, Dsniff, Sniffer Pro LAN, WinShiffer, TCPSpy, Netmon, Etherscan Analyzer, ethdump, LanPatrol, LanWatch, Gobler, Netwatch для Linux; Etherman, Session Wall, LANAlyzer, PacketBoy, LanTrace для

Windows; пакет программ Netman, состоящий из Paketman (для перехвата пакетов), Interman, Etherman, Loadman для целого ряда платформ и другие. Для многих ОС может использоваться утилита

17

tcpdump, причем для ее запуска требуются права администратора (root). Но известны и программно-аппаратные реализации сниффе-

ров (например, IP-Watcher).

Даже при наличии хорошей политики безопасности для сети сниффер обнаружить не просто. Методы защиты от него таковы. В первую очередь, они предполагают установку средств для мониторинга всех процессов в сети. Во-вторых, если система многопользовательская, то при помощи команды ifconfig – а или аналогичной (в которой необходимо указать конкретный интерфейс, узнаваемый командой netstat –r) можно выявить сниффер. Среди флагов у соответствующего интерфейса появляется значение PROMISC. Однако следует принять во внимание, что для того, чтобы избежать обнаружения, злоумышленники часто подменяют системные утилиты, например ifconfig. Поэтому следует регулярно проверять их контрольную сумму и независимо от результата периодически заменять соответствующим бинарным файлом из дистрибутива ОС. Для проверки интерфейсов на SunOS/BSD можно использовать средство cpm от организации CERT (его можно найти по адресу http://www.cert.org/ftp/tools/cpm/). Для системы Ultrix обнаружение запущенного сниффера возможно с помощью команд pfstat и pfconfig. Irix, Solaris, SCO, MS DOS и ряд других ОС не имеют ни-

какой идентификации флагов, и поэтому обнаружить злоумышленника таким образом нельзя. Поэтому здесь защита от сканирования возможна путем установки межсетевых экранов (МЭ) и введения механизма шифрования либо всего трафика, либо только идентификаторов и паролей. Для этого применимы, например, программы deslogin; swIPe; Netlog (шифрует все сеансы связи).

Вот некоторые инструменты, которые позволят администраторам ИБ определить наличие снифферов: AntiSniff; CPM (проверка режима прослушивания на Unix-машине); neped (утилита для определения снифферов, запущенных на локальном сегменте).

Метод, который не позволит начинающим злоумышленникам запустить сниффер, — это перекомпилирование ядра систем Unix, которые стоят в сети, без поддержки BPF (Packet Filter support).

18

Применяется и закрытие передаваемой информации за счёт использования технологий виртуальных сетей или замена устаревших протоколов более новыми, защищёнными версиями (например, вместо Telnet использовать SSH). Предотвращение перехвата информации возможно на основе применения технологии одноразовых паролей S/KEY, установки системы Kerberos для создания защищенных соединений и реализации протокола SSH (Secure Shell) для сеансов TCP-соединений.

Существуют и аппаратные способы защиты. Ряд сетевых адаптеров не поддерживает режим promiscuous mode (например, имеющие сетевые карты TROPIC chipset). Если эти карты использовать для организации интранет, то можно обезопасить себя от сниффера. Хороший выход для Ethernet — пользоваться активными интеллектуальными концентраторами (они посылают каждой системе только те пакеты, которые ей непосредственно предназначены). И, наконец, можно усложнить топологию сети с целью затруднения анализа всех потоков информации между сетевыми узлами. Считается, что такая организации транспортной подсистемы позволяет исключить или свести к минимуму объем информации, который будет доступен злоумышленнику. Например, сегментация сетей (или микросегментирование) — чем больше сегментов, тем меньше вероятность и последствия реализации внутрисегментной атаки. Но известны определенные методики перехвата информации и в такой среде. Из наиболее интересных следует отметить ARP poisoning и переполнение на коммутаторе таблицы коммутации пакетов.

Необходимо подчеркнуть, что снифферы могут и должны устанавливаться в сети системными администраторами с целью постоянного контроля трафика. Анализаторы можно применять в качестве средства первой помощи для разрешения целого ряда проблем, от чрезмерных нагрузок на сеть до не отвечающих на запросы коммутаторов и неизвестно куда исчезающих пакетов. Анализаторы пакетов, исследуя сетевой трафик, добираются до заголовочной информации в каждой порции данных. А это позволяет проследить путь данных от пункта отправления до пункта назначения. Кроме того, анализаторы пакетов способны идентифицировать ти-

19

пы пересылаемых пакетов и проверять конкретные пакеты на наличие ошибок. Эти программы могут, к примеру, установить, имеет ли пакет уменьшенный размер или он потерял данные в процессе передачи по сети. Выпускаются анализаторы пакетов разных типов. Изделия более высокого класса не только анализируют сетевой трафик, но и следят за работой маршрутизаторов, коммутаторов, концентраторов, а в ряде случаев — оценивают степень готовности серверов и время отклика прикладных программ (ПП). Некоторые решения могут одновременно работать более чем с тысячью протоколов; другие ориентированы на конкретные применения, например, на веб-среду. Лучше всего использовать аппаратные анализаторы пакетов в сочетании с программными средствами сетевого мониторинга: так легче выявить проблему еще до того, как она выйдет из-под контроля и приведет к снижению или потере работоспособности сети.

1.2. Подмена доверенного объекта или субъекта

Подмена доверенного объекта или субъекта РВС [3] и передача по каналам связи сообщений от его имени с присвоением его прав доступа эффективно реализуется в системах, где применяются нестойкие алгоритмы идентификации/аутентификации хостов, пользователей и т.д. Под доверенным объектом будем понимать станцию, легально подключенную к серверу; хотя в более общем смысле «доверенная» система — это система, допускающая ведение безопасной обpаботки секретной инфоpмации за счет использования достаточных аппаpатных и пpогpаммных сpедств обеспечения безопасности, создающих требуемый уровень контроля за доступом к информации и обеспечивающих предотвращение (или определение) НСД. То есть доверенным объектом чаще всего выступает пользователь или процесс, а субъектом — процессы или данные, требуемые для выполнения какого-либо процесса.

Обычно в РВС проблема идентификации и аутентификации ее удаленных друг от друга объектов решается за счет создания виртуального канала, во время чего объекты РВС обмениваются определенной информацией, уникально идентифицирующей данный

20