Мельников Д. А. - Организация и обеспечение безопасности информационно-технологических сетей и систем - 2012

остратегию обеспечения (политику) безопасности при инфор­ мационном взаимодействии зональных DNS-серверов (исполь­ зуемые алгоритмы, способы и средства аутентификации, шифрования, порядок использования, генерации, обновления и хранения ключевой информации), а также сетевые узлы, вы­ ступающие в роли третьих доверенных объектов (центры ау­ тентификации, УЦ);

оадминистратора (администрацию) зоны и его стратегию обес­ печения (политику) безопасности, используемую при внутри­ зоновом взаимодействии;

ввсю зональную DNS-БД и частоту ее обновления, какие DNSсерверы непосредственно участвуют в обновлении зональной DNS-БД;

вналичие в зоне копий мастер-файлов, содержащих данные об удаленных зонах;

отипы DNS-сообщений, содержащих пустые (нулевые) поля;

оDNS-пользователей, которые хранят свои данные в DNSсистеме и типы этих данных (включая данные, не связанные с DNS-системой, и электронные сертификаты), а также тех DNSпользователей, которые просто обслуживаются DNS-системой.

Рис. 27.6. Трафик между локальными DNS-серверами

в границах DNS-зоны

Трафик между локальным DNS-сервером и удаленным DNS-сервером. Анализ этого трафика (рис. 27.7) позволяет определить:

виерархию взаимодействующих зон (либо одна из них являет­ ся старшей, а другая - субзоной, либо они иерархически не­ зависимы);

©какие DNS-серверы в обеих зонах обеспечивают межзональное информационное взаимодействие, включая DNS-серверы, обеспечивающие перенаправление маршрутов DNS-запросов;

охранятся ли копии мастер-файлов этих зон во взаимодейст­ вующих зонах;

©стратегию обеспечения (политику) безопасности при межзональ­ ном информационном взаимодействии (используемые алгорит­ мы, способы и средства аутентификации, шифрования, порядок использования, генерации, обновления и хранения ключевой информации), а также сетевые узлы, выступающие в роли треть­ их доверенных объектов (центры аутентификации, УЦ);

омаршруты доставки DNS-трафика между взаимодействующи­ ми зонами;

отипы DNS-сообщений, содержащих пустые (нулевые) поля;

оDNS-пользователей, которые применяют межзональный ин­ формационный обмен.

Рис. 27.7. Трафик между локальным DNS-сервером

и удаленным DNS-сервером

Активные мероприятия КШ DNS-системы. С точки зрения решаемых задач КШ, активные мероприятия КШ DNS-системы можно разделить на два класса:

оактивные мероприятия в целях создания благоприятных усло­ вий для контроля и перехвата зашифрованных сообщений объектов КШ и их последующего дешифрования;

оактивные мероприятия для подготовки и проведения пора­ жающих (искажающих) воздействий на компоненты DNSсистемы в целях нанесения ущерба объектам КШ.

На практике оба этих класса активных мероприятий могут пе­ рекрывать друг друга, т.е. могут быть этапами (компонентами) це­ лого комплекса оперативно-технических мероприятий КШ, направ­ ленных на поражение объектов КШ.

DNS-система является объектом КШ при проведении следую­ щих видов активных мероприятий:

внесанкционированный доступ в DNS-БД для получения разного рода необходимой информации, включая ключевые данные;

опреднамеренное искажение параметров зоны и других дан­ ных, хранящихся в DNS-БД (навязывание системе ложных данных) в различных целях;

впередача специальных сообщений и скрытое управление с помощью пустых полей DNS-сообщений и генерации ложных DNS-сообщений;

оразмещение различного рода закладных программных средств (ЗПС);

оразрушение компонентов DNS-БД (вывод из строя DNSсервера).

Все представленные виды активных мероприятий при ведении КШ DNS-системы возможны лишь при наличии достаточного объе­ ма предварительных данных о самой DNS-системе (сегменте), что предполагает проведение подготовительных пассивных мероприя­ тий КШ DNS-системы. Последнее является необходимым и обяза­ тельным условием для достижения максимального эффекта актив­ ных мероприятий КШ DNS-системы.

Несанкционированный доступ в DNS-БД, фактически, является ос­ новным видом активных мероприятий и вторым по важности после пассивных мероприятий КШ DNS-системы. В основе НСД лежит спо­ соб проведения атак, именуемый «маскарад», при котором атакующий субъект маскируется под одного из реальных DNS-объектов.

Для реализации НСД можно использовать различные типы DNS-сообщений (запросов). При этом важно знать все необходимые специфические атрибуты (DNS-имена, элементы стратегии обеспече­ ния безопасности и др.) для формирования корректного DNS-запроса (т.е., точно имитирующего реальный). Конечно, многие реализаци­ онные аспекты НСД будут зависеть от определенной точки физиче­ ского доступа в сеть, т.е. все будет определяться типом DNS-трафика (рис. 27.3), который доступен для атакующего субъекта (т.е. для кон­ троля, перехвата и анализа).

По своей сути тип DNS-трафика определяется взаимодейст­ вующими DNS-объектами, от которых зависит его интенсивность, количественные и качественные параметры, а также складываю­ щейся обстановкой (текущим состоянием) в самой DNS-системе. Другими словами, для взаимодействующих DNS-объектов присущи

(наиболее вероятны) свои типы DNS-сообщений, которые характе­ ризуются своими специфическими атрибутами.

При проведении НСД наибольший интерес представляют дан­ ные, связанные с DNS-именами, адресами объекта КШ, используемы­ ми им ключевыми данными и ЭЦП, а также его электронные серти­ фикаты. Главной особенностью НСД к таким данным является то, что они должны «запрашиваться» (с помощью фиктивного DNS-запроса) не от имени DNS-пользователя (объекта КШ), а от имени реального DNS-клиента или DNS-сервера. Это объясняется, например, тем, что сам объект КШ имеет (хранит у себя) свой собственный электронный сертификат, а заверенная копия этого электронного сертификата хра­ ниться в БД одного DNS-сервера (а может быть и нескольких). Оче­ видно, что для обеспечения процедуры аутентификации самого DNS-пользователя (объекта КШ) и его DNS-сообщений будет запра­ шиваться его электронный сертификат, но не самим DNS-пользо­ вателем, а взаимодействующим с ним DNS-объектом.

При проведении активных мероприятий КШ DNS-системы важное значение имеет обеспечение НСД к мастер-файлам зоны. Фактический доступ к мастер-файлам позволит провести предвари­ тельный анализ зоны и принять решение об использовании данных и структуры DNS-зоны при проведении дальнейших мероприятий КШ, а также определить их виды в целях эффективного решения поставленных задач.

В некоторых специфических ситуациях атакующему субъекту могут понадобиться данные объекта КШ, которые хранятся в DNS-БД, но которые не связаны с ней непосредственно. В таких случаях, воз­ можны следующие типы атаки «маскарад»: либо под маской реального DNS-пользователя (объекта КШ), либо под маской DNS-клиента, кото­ рый обслуживает этого пользователя, либо под маской сервераретранслятора DNS-трафика.

Искажение данных в DNS-БД. Под искажением данных в DNS-сис­ теме будем понимать модификацию, дополнение и удаление тре­ буемых, с точки зрения атакующего субъекта, RR-записей. Причем тип DNS-данных, которые будут подвергаться искажению, и сте­ пень и характер их искажения зависят от предназначения активных мероприятий КШ. Другими словами, такое искажение может быть, либо самым минимальным (например, добавление всего лишь од­ ного символа), либо самым максимальным, вплоть до полной заме­ ны или уничтожения всех записей объекта КШ.

Еще одной важной и весьма полезной для атакующего субъек­ та особенностью является то, что при скрытом добавлении данных (атака типа маскарад) от имени реального DNS-пользователя (вла­ дельца данных) последний ничего не будет знать о таких добавлен­ ных данных и поэтому не сможет на них в последствии влиять (т.е.

он будет изменять только те данные, которые принадлежат ему в действительности). Более того, DNS-сервер, хранящий такие лож­ ные добавленные данные, также не сможет их уничтожить, так как это право предоставлено только их владельцу (который о них ниче­ го не знает), за исключением случая, когда данные будут просроче­ ны. Фактически, ложные добавленные данные будут «инкогнито» храниться в DNS-БД и при этом могут участвовать в технологиче­ ских процессах DNS-системы, вводя, таким образом, последнюю «в заблуждение» относительно их корректности.

Искажение ключевых данных в DNS-БД. Этот вид искажения, в первую очередь, предназначен для решения задач криптоанализа и дешифрования. Характер искажения (замены) ключевых данных будет зависеть от используемых объектом КШ алгоритмов шифро­ вания и аутентификации. Например, можно исказить ключевые данные таким образом, что они, в дальнейшем, позволят резко со­ кратить количество операций апробирования гипотез при вскры­ тии реального ключа и последующего дешифрования.

Изменение таблицы соответствия DNS-имен и IP-адресов и других параметров, влияющих на процесс маршрутизации. Изменение таблицы соответствия между DNS-именами и IP-адресами может иметь целью:

•изменения маршрута доставки сообщений, обеспечивающего наиболее благоприятные условия (или обеспечивающего улучшение условий) для контроля, перехвата и анализа тра­ фика объекта КШ, но при этом сообщения объекта КШ будут достигать узлов назначения;

всоздания условий недосягаемости узлов назначения для сооб­ щений объекта КШ (например, попытка формирования «пет­ левого» маршрута).

Изменение данных, которые определяют владельцев записей. Такой вид искажения DNS-БД, в первую очередь, направлен для упроще­ ния несанкционированного доступа к данным объекта КШ, храня­ щимся в DNS-системе, а также к другим DNS-данным, в которых за­ интересован атакующий субъект. Этого можно достичь путем изме­ нения (дополнения) перечня объектов, допущенных к изменению DNS-данных. В особых случаях, можно попытаться вообще исклю­ чить истинного владельца DNS-данных (объекта КШ) из указанного ранее перечня, чтобы блокировать его доступ в DNS-систему.

Изменение состава DNS-зоны. Смысл данного вида искажения DNS-БД заключается в изменении состава DNS-серверов, обслужи­ вающих соответствующую зону, а именно:

•добавление ложного DNS-сервера в состав зоны, с помощью которого можно влиять на информационные процессы внутри зоны, причем без изменения остального состава зоны;

оизменение состава зоны, либо путем замены реального DNSсервера на ложный, либо путем исключения реального DNSсервера из состава зоны.

Нарушение процедур хранения данных объекта КШ. Данный вид искажения DNS-БД может касаться DNS-данных обоих типов: авто­ ризованные (зональные) и кэшируемые данные. На практике, ата­ кующему субъекту может понадобиться более длительное хранение интересующих его DNS-данных объекта КШ (или иных DNSданных), и он может изменить время их хранения до начала проце­ дуры технологического обновления. Другими словами, атакующий субъект может влиять на временные характеристики хранения ин­ тересующих его DNS-данных.

Кроме этого, атакующий субъект может изменять места хра­ нения DNS-данных, путем копирования (дублирования) и перена­ правления их на наиболее доступные для него DNS-серверы.

Применение скрытых каналов управления. Для организации скрытых каналов управления можно использовать следующие осо­ бенности DNS-трафика:

оналичие пустых полей в DNS-сообщениях;

овысокий уровень приоритета IP-пакетов, содержащих DNS-co- общения.

Использование пустых полей в DNS-сообщениях. В составе DNS-тра­

фика очень часто встречаются DNS-сообщения в которых присутст­ вуют нулевые поля, не подвергающиеся процедуре защиты целост­ ности, в частности это относиться к DNS-запросам. Эта особенность DNS-сообщений может быть использована для передачи специаль­ ных сообщений, размещаемых в пустых полях таких сообщений, и, таким образом, для организации скрытых каналов управления. Од­ нако размер таких полей не очень велик, и самих пустых полей не очень много, и поэтому они могут быть использованы для доставки коротких управляющих сообщений, например, команд инициали­ зации каких-либо специальных процессов.

Приоритет IP-пак ет овсодержащих DNS-сообщения. Передавае­ мые в Internet IP-пакеты, содержащие DNS-сообщения, имеют высо­ кий уровень приоритета. Данное свойство также может быть исполь­ зовано для формирования скрытых каналов управления путем гене­ рации ложных DNS-сообщений с необходимыми для атакующего субъекта атрибутами и свойствами. В частности, в таких ложных со­ общениях может быть сформирован оригинальный заголовок, со­ держащий все необходимые атрибуты реального DNS-заголовка, а информационные поля (RR-записи) такого сообщения будут содер­ жать атрибуты и данные, определяемые атакующим субъектом.

Внедрение ЗПС в DNS-БД. Предназначение ЗПС может быть раз­ личным, т.е. будет определяться атакующим субъектом. DNS-система,

с точки зрения своей структуры, функциональности и технологиче­ ской оснащенности, может стать объектом внедрения ЗПС. При этом «она сама предоставляет» полный набор собственных инстру­ ментов, которые могут быть использованы для обеспечения внедре­ ния, управления, обслуживания и удаления таких средств.

Для внедрения ЗПС, например, можно использовать ложные DNS-сообщения, которые будут скрыто (от объекта КШ) размещать в DNS-БД новые RR-записи, содержащие ЗПС (или составные эле­ менты). В DNS-системе вообще есть тип данных (Detached DNS In­ formation), которые никак не связаны (напрямую) с ней, но могут храниться в ней (в форме, напоминающей мастер-файлы). Кроме этого, ЗПС можно внедрять с помощью обычных DNS-запросов на обновление данных.

Для управления ЗПС можно использовать, либо скрытые каналы управления, либо открытые DNS-запросы, содержащие специальные управляющие команды, представленные в форме RR-записей.

Разрушение компонентов DNS-БД. Данный вид активного воз­ действия может быть применен в условиях агрессивного поведения объекта КШ или условиях ярко выраженной конфронтации с объ­ ектом КШ, и может повлечь за собой полную информационную блокаду объекта КШ. Очевидно, что разрушение компонентов DNSБД является крайней мерой в прекращении противоправной дея­ тельности объекта КШ. Тем не менее, этот вид активных мероприя­ тий может и должен быть на вооружении атакующего субъекта.

С точки зрения реализации процедур разрушения компонен­ тов DNS-БД, данный вид атак может быть следующим:

олибо с предварительным размещением средств разрушения в DNS-БД в форме ЗПС и дальнейшей их активизацией с помо­ щью каналов управления в необходимое для атакующего субъекта время;

•либо с непосредственной передачей средств разрушения в форме DNS-сообщений на объекты поражения в необходимое для атакующего субъекта время, при этом средства разруше­ ния могут быть уже активизированы или сразу после доставки они будут активизированы с помощью каналов управления.

Разрушение компонентов DNS-БД может характеризоваться

своими масштабами и последствиями, а именно оно может быть:

оточечным или селективным (в рамках одной или нескольких DNS-зон), что позволяет не нарушать функционирование сис­ темы в интересах других DNS-пользователей, за исключением объекта КШ;

ополным (в рамках одной или нескольких DNS-зон), когда на­ ступает «коллапс» практически всей зоны, включая сетевые компоненты объекта КШ.

Глава 28. Методология и основные принципы КШ инфраструктуры управления Internet.

Модель КШ SNMPv3-npoTOKona

Корректное и эффективное управление ИТС является основой её надёжного функционирования. Фактически система управления ИТС обеспечивает нормальную работоспособность сети. Захват или разрушение системы управления ИТС приводит к катастрофиче­ ским последствиям для их владельцев и пользователей.

28.1. Состав и архитектура системы управления Internet-сети

Инфраструктура управления компонентами Internet-сети включает, в широком смысле, в себя объекты управления (чем управляют) и субъекты управления (кто/что управляет), а также прямой канал (среду), по которому передается управляющее воз­ действие субъекта на объект, и обратный канал (среду), по которому передается реакция объекта после управляющего воздействия, либо его текущее состояние (рис. 28.1). Управление компонентами явля­ ется распределённым, и каждый владелец того или иного сегмента Internet-сети отвечает за управление сетевыми компонентами в сво­ ём сегменте. Сегменты Internet-сети, принадлежащие своим вла­ дельцам, могут иметь различное назначение. Это могут быть рас­ пределенные БД, группы серверов электронной почтовой службы, группы маршрутизаторов и коммутаторов, обеспечивающие дос­ тавку данных в определённых сетевых сегментах, включая магист­ ральные коммутаторы, группы W 3-cepBepoB, в составе которых мо­ гут быть различные информационные порталы, включая порталы электронной коммерции, и др.

Основу системы управления (СУ) Internet-сети составляет SNMPv3-apxHTeKTypa, которая осуществляет эффективное управление в различных сетевых топологиях и системах/сегментах. SNMPv3архитектура включает в себя следующие компоненты (рис. 28.2):

0SNMP-агенты, встраиваемые в управляемые программно­ аппаратные комплексы (ПАК);

0уполномоченные (proxy) SNMP-агенты/трансляторы, встраи­ ваемые в управляемые ПАК, для обслуживания удалённых ПАК, в составе которых имеются SNMP-агенты;

Рис. 28.2. Архитектура распределённой Су компонентами (ресурсами)

Internet-сети

Все потоки управляющих сообщений (трафик SNMP-сообще- ний), с точки зрения взаимодействующих сторон, можно разделить на следующие виды:

отрафик между управляющим SNMP-узлом и промежуточным SNMP-менеджером;

отрафик между управляющим SNMP-узлом и SNMP-менед­ жером канала управления;

отрафик между управляющим SNMP-узлом и уполномоченным SNMP-агентом;

°трафик между управляющим SNMP-узлом и SNMP-агентом;

© трафик между промежуточным SNMP-менеджером и SNMP-ме- неджером канала управления;

°трафик между промежуточным SNMP-менеджером и уполно­ моченным SNMP-агентом;

®трафик между промежуточным SNMP-менеджером и SNMPагентом;

0трафик между SNMP-менеджером канала управления и упол­ номоченным SNMP-агентом;