Опубликован: 10.10.2007 | Уровень: специалист | Доступ: платный
Лекция 12:

Виды сетевых атак и основные уязвимости

< Лекция 11 || Лекция 12: 12345 || Лекция 13 >

Основные уязвимости

Начинать следует с выявления возможно намеренных или случайных уязвимостей:

  1. процессора ЭВМ;
  2. BIOS, контроллеров внешних устройств, интерфейсов и пр.;
  3. программного обеспечения ОС;
  4. прикладного программного обеспечения, включая программы защиты;
  5. программного обеспечения аппаратных сетевых устройств и систем аутентификации;
  6. сетевых протоколов и их программных реализаций.

Первые два пункта крайне важны, именно с обеспечения неуязвимости этих объектов следовало бы начинать разработку комплексной системы безопасности. К сожалению, это пока не достижимо по финансовым и технологическим причинам.

Несколько слов о методах противодействия. Большинство наиболее серьезных атак предполагают две фазы:

  1. исследование будущего объекта вторжения (определение типа и версии ОС, перечня загруженных приложений, максимально возможная информация о пользователях и т.д.);
  2. собственно вторжение (ему может предшествовать многодневное создание программы, использующей известные или специально для этого случая найденные слабости программного обеспечения атакуемого).

В этом случае, если зафиксирована активность первой фазы, надо, не дожидаясь второй, перекрыть доступ с выявленного IP-адреса (хотя это и не гарантирует безопасности, так как хакер может варьировать свой IP-адрес) и, если возможно, перекрыть доступ по используемому хакером порту.

Существует несколько классов атак реального времени (посылка одного или нескольких пакетов блокирует работу ЭВМ) — это большинство DoS-атак и некоторое число атак-хулиганств, использующих обнаруженные ошибки программ: например, ICMP-пинг пакетом, длина которого проставлена равной 65536 байт, хотя его реальная длина во много раз меньше, атака типа Teardrop, атаки с неверной фрагментацией пакетов или некорректными заголовками и т.д. Для противодействия этим атакам нет универсальных средств; в одном случае это конфигурирование входного шлюза (маршрутизатора), в другом – своевременное обновление версии ОС или драйверов (например, баз данных). Но большинство известных атак такого типа уже не представляют опасности, так как найдены средства их нейтрализации. Не следует, впрочем, расслабляться, могут обнаружиться новые уязвимости такого рода. Следует относиться к этим атакам достаточно серьезно, так как они могут являться частью сценария вторжения (например, DoS-атаки часто используются для перехвата ТСР-соединения).

Здесь уместно отметить достаточно типичную ситуацию. Изобретение или обнаружение хакером уязвимости, регистрация этого факта жертвами и разработка средств противодействия отстоят друг от друга на месяцы. Это временное окно представляет наибольшую опасность. Именно в такой ситуации IDS, регистрирующая аномалии, может оказаться наиболее эффективной.

Оптимальным решением для эффективной системы IDS является сочетание сигнатурного анализа и поиска аномалий, например, с привлечением техники нечеткой логики (Fuzzy Logic).

Безопасность — комплексное понятие: это и ограничение нежелательного доступа, и сохранность информации, и живучесть самой сети. Актуальность проблемы подтверждает количество RFC-документов, опубликованных за последнее время [1-14, 18] по данной тематике (см. библиографию в конце данного раздела).

Точкой уязвимости могут быть загружаемые через сеть рабочие станции или Х-терминалы. Процедура загрузки предполагает использование протоколов RARP, TFTP и BOOTP. Все они практически не имеют сколько-нибудь серьезной защиты. Наиболее уязвим протокол RARP. Здесь желательно позаботиться о том, чтобы номер порта UDP выбирался ЭВМ, осуществляющей загрузку, случайным образом. В противном случае хакер может легко перехватить процедуру обмена и загрузить нужную ему конфигурацию программного обеспечения, обеспечив себе широкие ворота для проникновения. BOOTP предлагает дополнительные возможности защиты в виде 4-байтного случайного кода идентификатора процедуры ( transaction ID ). Это весьма мешает хакеру прервать процедуру и инициировать новую сессию загрузки ( rebooting ). Должны быть предприняты все меры, чтобы начатая процедура загрузки была своевременно завершена. Пребывание системы в промежуточном состоянии заметно облегчает разнообразные атаки.

Но даже Firewall не может предотвратить атаки со стороны хакеров, работающих внутри локальной сети. Здесь к их услугам огромный арсенал. Это, прежде всего, использование сетевого интерфейса для приема всех пакетов, следующих по сегменту (6-ой режим работы интерфейса), а также программные продукты типа tcpdump, sniffer или Etherfind. Такой режим легко позволяет перехватывать незашифрованные пароли, определять используемые номера портов или ISN (при этом хакер остается невидимым). К счастью, такой комфорт для хакера предоставляется лишь в пределах его логического сегмента, что стимулирует использование мостов, переключателей и локальных маршрутизаторов, которые ограничивают зону, где хакер может осуществлять перехваты. По этой же причине рекомендуется авторизованным администраторам работать с консоли, а не c удаленного терминала.

Еще одним инструментом взлома может оказаться протокол ARP. Хакер может послать большое число широковещательных запросов, содержащих несуществующий IP-адрес. ЭВМ при получении такого запроса должна его обработать и может попытаться его переадресовать какому-то серверу. Всё это уже само по себе нежелательно, так как порождает большой паразитный трафик. Помимо этого хакер может попытаться послать широковещательный отклик, сообщая свой MAC-адрес в качестве адреса места назначения. Это может при определенных условиях предоставить возможность перехвата трафика между ЭВМ, пославшей первичный запрос, и истинным узлом назначения. Таким образом, постоянный мониторинг широковещательных запросов следует считать одной из составных частей системы безопасности локальной сети (см. также Robert T. Morris, A Weakness in the 4.2bsd Unix TCP/IP Software, Computer Science Technical Report N 117, at &t Bell laboratories), тем более, что такой мониторинг не порождает дополнительного трафика.

Следует учитывать, что в случае предоставления сервером нескольких услуг сложность обеспечения безопасности может расти экспоненциально. Фильтрующие маршрутизаторы для поддержания новых протоколов должны быть модифицированы. Некоторые протоколы в действительности трудно фильтровать безопасным образом (например, услуги RPC и UDP), и при фильтрации появляется больше окон уязвимости внутренней сети. Услуги, предоставляемые на той же машине, могут взаимодействовать катастрофическим образом. Например, разрешение анонимного FTP на некоторой машине, которая выполняет функцию WWW-сервера, может позволить атакеру записать в область анонимного FTP некоторый файл, после чего запустить его посредством HTTP-сервера.

Определенного успеха в деле повышения защиты сети можно добиться, используя ограничения допуска. Маршрутизаторы и ЭВМ, имеющие контроль доступа, сверяют адрес отправителя запроса со списком доступа. Если адрес содержится в разрешительном списке, доступ реализуется, в противном случае запрос отвергается. Повторные попытки доступа с адресов, не содержащихся в разрешительном списке, следует рассматривать как атаки. Не следует игнорировать требования к безопасности систем SNMP. Желателен переход на версию 3.

Странная активность в системе в необычное время суток, в необычные дни или с неизвестного удаленного терминала должна вызывать пристальное внимание.

Реальное число различных сигнатур атак давно перевалило за 2500.

Дополнительные данные можно найти на сервере http://book.itep.ru/6/intrusion.htm.

< Лекция 11 || Лекция 12: 12345 || Лекция 13 >
Роман Попов
Роман Попов

После прохождения курса Стандарты инфрмационной безопасности мне предложено получение Удостоверения о повышении квалификации от НИУ ВШЭ по программе Менеджмент информационной безопасности. Программа включает в себя ряд курсов которые я уже ранее проходил. Какой порядок действий в данном случае? Как прозводится перезачет результатов? И какие экщамены мне надо еще доздать чтобы получить удостоверение?

Виталий Гордиевских
Виталий Гордиевских

Здравстивуйте, диплом о профессиональной переподготовке по программе "Сетевые технологии" дает право на ведение профессиональной деятельности в какой сфере? Что будет написано в дипломе? (В образце просто ничего неуказано)

Напимер мне нужно чтоб он подходил для направления 09.03.01 Информатика и вычислительная техника

алексей оглы
алексей оглы
Россия
рафич Салахиев
рафич Салахиев
Россия