Тема 1 Захист від атак на мережу Навчальний посібник Internet для користувача частина 2, НУДПСУ
« Назад1. Захист від атак на мережу
1.1. Класифікація мережевих атак
Одночасно з колосальним зростанням популярності Інтернету виникає безпрецедентна небезпека розголошення персональних даних, критично важливих корпоративних ресурсів, державних таємниць і т.і. Щодня хакери піддають загрозі ці ресурси, намагаючись одержати до них доступ за допомогою спеціальних атак, які поступово стають, з одного боку, більше витонченими, а з іншого боку - простими у виконанні. Цьому сприяють два основних фактори. По-перше, це повсюдне проникнення Інтернету. Сьогодні до мережі підключені мільйони пристроїв, і багато мільйонів пристроїв будуть підключені до Інтернету в найближчому майбутньому, тому ймовірність доступу хакерів до уразливих пристроїв постійно зростає. Крім того, широке поширення Інтернету дозволяє хакерам обмінюватися інформацією в глобальному масштабі. Простий пошук по ключових словах типу «хакер», «злом», «hack», «crack» або «phreak» дасть вам тисячі сайтів, на багатьох з яких можна знайти шкідливі коди й способи їхнього використання. По-друге, це найширше поширення простих у використанні операційних систем і середовищ розробки. Даний фактор різко знижує рівень необхідних хакеру знань і навичок. Раніше, щоб створювати й поширювати прості у використанні додатка, хакер повинен був мати гарні навички програмування. Тепер, щоб одержати доступ до хакерського засобу, потрібно тільки знати IP-адрес потрібного сайту, а для проведення атаки досить клацнути мишею. Мережеві атаки настільки ж різноманітні, як і системи, проти яких вони спрямовані. Деякі атаки відрізняються великою складністю, інші під силу звичайному операторові, що навіть не припускає, до яких наслідків може привести його діяльність. Для оцінки типів атак необхідно знати деякі обмеження, споконвічно властивому протоколу TPC/IP. Мережа Інтернет створювалася для зв'язку між державними установами й університетами з метою надання допомоги навчальному процесу й науковим дослідженням. Творці цієї мережі не підозрювали, наскільки широке поширення вона одержить. У результаті в специфікаціях ранніх версій Інтернет-протоколу (IP) були відсутні вимоги безпеки. Саме тому багато реалізацій IP є споконвічно уразливими. Через багато років, після безлічі рекламацій (Request for Comments, RFC), нарешті стали впроваджуватися засоби безпеки для IP. Однак через те, що споконвічно засоби захисту для протоколу IP не розроблялися, всієї його реалізації стали доповнюватися різноманітними мережними процедурами, послугами й продуктами, що знижують ризики, властиві для цього протоколу. Далі ми коротко розглянемо типи атак, які звичайно застосовуються проти мереж IP, і перелічимо способи боротьби з ними. Сніффер пакетів - представляє собою прикладну програму, що використає мережну карту, що працює в режимі promiscuous mode (у цьому режимі всі пакети, отримані по фізичних каналах, мережевий адаптер відправляє додатку для обробки). При цьому сніффер перехоплює всі мережеві пакети, які передаються через певний домен. У цей час сніффери працюють у мережах на цілком законній підставі. Вони використаються для діагностики несправностей і аналізу трафіка. Однак через те, що деякі мережеві додатки передають дані в текстовому форматі (Telnet, FTP, SMTP, POP3 і т.д.), за допомогою сніффера можна довідатися корисну, а іноді й конфіденційну інформацію (наприклад, імена користувачів і паролі). Перехоплення імен і паролів створює більшу небезпеку, тому що користувачі часто застосовують той самий логін і пароль для безлічі додатків і систем. Багато користувачів взагалі мають єдиний пароль для доступу до всіх ресурсів і додатків. Якщо додаток працює в режимі «клієнт-сервер», а аутентифіковані дані передаються по мережі в текстовому форматі, який можна прочитати, то цю інформацію з великою ймовірністю можна використати для доступу до інших корпоративних або зовнішніх ресурсів. Хакери занадто добре знають і використають людські слабості (методи атак часто базуються на методах соціальної інженерії). Вони прекрасно уявляють собі, що ми користуємося тим самим паролем для доступу до безлічі ресурсів, і тому їм часто вдається, довідавшись наш пароль, одержати доступ до важливої інформації. У самому гіршому випадку хакер одержує доступ до користувальницького ресурсу на системному рівні й з його допомогою створює нового користувача, якого можна в будь-який момент використати для доступу в Мережу й до її ресурсів. IP-спуфінг -відбувається в тому випадку, коли хакер, що перебуває усередині корпорації або поза нею, видає себе за санкціонованого користувача. Це можна зробити двома способами: хакер може скористатися або IP-адресою, що перебуває в межах діапазону санкціонованих IP-адрес, або авторизованою зовнішньою адресою, якій дозволяється доступ до певних мережевих ресурсів. Атаки IP-спуфінга часто є відправною крапкою для інших атак. Класичний приклад - атака Dos, що починається із чужої адреси, що приховує справжню особистість хакера. Як правило, IP-спуфінг обмежується вставкою помилкової інформації або шкідливих команд у звичайний потік даних, переданих між клієнтським і серверним додатком або по каналу зв'язку між одноранговими пристроями. Для двостороннього зв'язку хакер повинен змінити всі таблиці маршрутизації, щоб направити трафік на помилкову IP-адресу. Деякі хакери, однак, навіть не намагаються одержати відповідь від додатків - якщо головне завдання полягає в одержанні від системи важливого файлу, то відповіді додатків не мають значення. Якщо ж хакеру вдається поміняти таблиці маршрутизації й направити трафік на помилкову IP-адресу, вона одержить всі пакети й зможе відповідати на них так, начебто є санкціонованим користувачем. Відмова в обслуговуванні ( Denial of Service - Dos-атака), без сумніву, є найбільш відомою формою хакерських атак. Крім того, проти атак такого типу найважче всього створити стовідсотковий захист. Серед хакерів атаки Dos вважаються дитячою забавою, а їхнє застосування викликає презирливі усмішки, оскільки для організації Dos потрібен мінімум знань і вмінь. Проте саме простота реалізації й величезні масштаби заподіюваної шкоди залучають до Dos пильну увагу адміністраторів, відповідальних за мережну безпеку Атаки Dos відрізняються від атак інших типів. Вони не націлені ні на одержання доступу до вашої мережі, ні на одержання із цієї мережі якої-небудь інформації, але атака Dos робить вашу мережу недоступної для звичайного використання за рахунок перевищення припустимих меж функціонування мережі, операційної системи або додатка. У випадку використання деяких серверних додатків (таких як Web-сервер або FTP-сервер) атаки Dos можуть полягати в тому, щоб зайняти всі з'єднання, доступні для цих додатків, і тримати їх у зайнятому стані, не допускаючи обслуговування рядових користувачів. У ході атак Dos можуть використатися звичайні Інтернет-протоколи, такі як TCP і ICMP (Internet Control Message Protocol). Більшість атак Dos розраховано не на програмні помилки або пролому в системі безпеки, а на загальні слабості системної архітектури. Деякі атаки зводять до нуля продуктивність мережі, переповняючи її небажаними й непотрібними пакетами або повідомляючи помилкову інформацію про поточний стан мережевих ресурсів. Даний тип атак важко запобігти, тому що для цього потрібна координація дій із провайдером. Якщо не зупинити в провайдера трафік, призначений для переповнення вашої мережі, то зробити це на вході в мережу ви вже не зможете, оскільки вся смуга пропускання буде зайнята. Коли атака даного типу проводиться одночасно через безліч пристроїв, ми говоримо про розподілену атаку Dos (distributed Dos, DDos). Парольні атаки -спрямовані на злам парольного захисту з метою отримання несанкціонованого доступу до певних захищених ресурсів. Хакери можуть проводити парольні атаки за допомогою цілого ряду методів, таких як простий перебір (brute force attack), троянський кінь, IP-спуфінг і сніффінг пакетів. Хоча логін і пароль найчастіше можна одержати за допомогою IP-спуфінга й сніффінга пакетів, хакери нерідко намагаються підібрати пароль і логін, використовуючи для цього численні спроби доступу. Такий підхід зветься простого перебору (brute force attack). Часто для такої атаки використовується спеціальна програма, що намагається одержати доступ до ресурсу загального користування (наприклад, до сервера). Якщо в результаті хакеру надається доступ до ресурсів, то він одержує його на правах звичайного користувача, пароль якого був підібраний. Якщо цей користувач має значні привілеї доступу, хакер може створити собі «прохід» для майбутнього доступу, що буде діяти, навіть якщо користувач змінить свої пароль і логін. Ще одна проблема виникає, коли користувачі застосовують той самий (нехай навіть дуже гарний) пароль для доступу до багатьох систем: до корпоративної, персональної й до систем Інтернету. Оскільки стійкість пароля дорівнює стійкості самого слабкого хоста, те хакер, що довідався пароль через цей хост, одержує доступ до всіх інших систем, де використовується той же пароль. Атаки типу Man-in-the-Middle. Для атаки цього типу хакеру потрібний доступ до пакетів, переданим по мережі. Такий доступ до всіх пакетів, переданим від провайдера в будь-яку іншу мережу, може, приміром, одержати співробітник цього провайдера. Для атак даного типу часто використаються сніффери пакетів, транспортні протоколи й протоколи маршрутизації. Атаки проводяться з метою крадіжки інформації, перехоплення поточної сесії й одержання доступу до приватних мережевих ресурсів, для аналізу трафіка й одержання інформації про мережу і її користувачів, для проведення атак типу Dos, перекручування переданих даних і введення несанкціонованої інформації в мережеві сесії. Атаки на рівні додатків - можуть проводитися декількома способами. Найпоширеніший з них - використання гарно відомих слабостей серверного програмного забезпечення (sendmail, HTTP, FTP). Використовуючи ці слабості, хакери можуть одержати доступ до комп'ютера від імені користувача, що працює з додатком (звичайно це буває не простий користувач, а привілейований адміністратор із правами системного доступу). Відомості про атаки на рівні додатків широко публікуються, щоб дати адміністраторам можливість виправити проблему за допомогою корекційних модулів (патчів). На жаль, багато хто з хакерів також мають доступ до цих відомостей, що дозволяє їм удосконалюватися. Головна проблема при атаках на рівні додатків полягає в тому, що хакери часто користуються портами, яким дозволений прохід через міжмережевий екран. Приміром, хакер, що експлуатує відому слабість Web-сервера, часто використає в ході атаки ТСР порт 80. Оскільки web-сервер надає користувачам Web-сторінки, те міжмережевий екран повинен забезпечувати доступ до цього порту. З погляду міжмережевого екрана атака розглядається як стандартний трафік для порту 80. Мережева розвідка - це збір інформації про мережі за допомогою загальнодоступних даних і додатків. При підготовці атаки проти якої-небудь мережі хакер, як правило, намагається одержати про неї якнайбільше інформації. Мережева розвідка проводиться у формі запитів DNS, ехо-тестування й сканування портів. Запити DNS допомагають зрозуміти, хто володіє тим або іншим доменом і які адреси цьому домену привласнені. Ехо-тестування адрес, розкритих за допомогою DNS, дозволяє побачити, які хости реально працюють у даному середовищі. Одержавши список хостів, хакер використає засоби сканування портів, щоб скласти повний список послуг, підтримуваних цими хостами. І нарешті, хакер аналізує характеристики додатків, що працюють на хостах. У результаті він добуває інформацію, яку можна використати для злому. Зловживання довірою. Власне кажучи, цей тип дій не є в повному розумінні слова атакою або штурмом. Він являє собою зловмисне використання відносин довіри, що існують у мережі. Класичним прикладом такого зловживання є ситуація в периферійній частині корпоративної мережі. У цьому сегменті часто розташовуються сервери DNS, SMTP і HTTP. Оскільки всі вони належать до того самого сегмента, злом кожного з них приводить до злому всіх інших, тому що ці сервери довіряють іншим системам своєї мережі. Іншим прикладом є встановлена із зовнішньої сторони міжмережевого екрана система, що має відносини довіри із системою, установленої з його внутрішньої сторони. У випадку злому зовнішньої системи хакер може використати відносини довіри для проникнення в систему, захищену міжмережевим екраном. Переадресація портів -являє собою різновид зловживання довірою, коли зламаний хост використовується для передачі через міжмережевий екран трафіка, що у противному випадку був би обов'язково відбракований. Уявимо собі міжмережевий екран із трьома інтерфейсами, до кожного з яких підключений певний хост. Зовнішній хост може підключатися до хосту загального доступу (DMZ), але не до того, що встановлено із внутрішньої сторони міжмережевого екрана. Хост загального доступу може підключатися й до внутрішнього, і до зовнішнього хосту. Якщо хакер захопить хост загального доступу, він зможе встановити на ньому програмний засіб, що перенаправляє трафік із зовнішнього хоста прямо на внутрішній. Хоча при цьому не порушується жодне правило, що діє на екрані, зовнішній хост у результаті переадресації одержує прямий доступ до захищеного хосту. Прикладом додатка, що може надати такий доступ, є netcat. Несанкціонований доступ -не може бути виділений в окремий тип атаки, оскільки більшість мережевих атак проводяться саме заради одержання несанкціонованого доступу. Щоб підібрати логін Тelnet, хакер повинен спочатку одержати підказку Тelnet на своїй системі. Після підключення до порту Тelnet на екрані з'являється повідомлення «authorization required to use this resource» («Для користування цим ресурсом потрібна авторизація»). Якщо після цього хакер продовжить спроби доступу, вони будуть уважатися несанкціонованими. Джерело таких атак може перебувати як усередині мережі, так і зовні. Віруси й додатки типу «троянський кінь». Робочі станції кінцевих користувачів дуже уразливі для вірусів і троянських коней. Вірусами називаються шкідливі програми, які впроваджуються в інші програми для виконання певної небажаної функції на робочій станції кінцевого користувача. Як приклад можна привести вірус, що прописується у файлі command.com (головному інтерпретаторі систем WinDosws) і стирає інші файли, а також заражає всі інші знайдені їм версії command.com. Троянський кінь – як правило це не програмна вставка, а працююча програма, що на перший погляд здається корисним додатком, а на ділі виконує шкідливу роль. Прикладом типового троянського коня є програма, що виглядає, як проста гра для робочої станції користувача. Однак поки користувач грає в гру, програма відправляє свою копію по електронній пошті кожному абонентові, занесеному в адресну книгу цього користувача. Всі абоненти одержують поштою гру, викликаючи її подальше поширення. З повагою ІЦ “KURSOVIKS”! |