Классификации предметов защиты:
Объекты (устройства, файлы, терминальное оборудование и пр.), средства (программы, службы, сервисы и пр.) и субъекты (персонал)
Физические (компьютеры, коммутационное оборудование, терминальное оборудование и пр.), информация (файлы, базы, структуры и пр.) и сервисы (удалённый доступ, управление, администрирование и пр.)
Оптимизационная задача: модель информационной системы (объекты защиты) + критерии + стоимость достижения требуемого уровня => минимизация затрат защиты работоспособной системы.
Методы защиты: физические, организационные, криптографические (программные) 5).
Терминология: хакер (без материальной выгоды), кракер (для денег) и фрикер (телефонные сети).
Наиболее уязвимые сервисы (протоколы) по данным CERT 6).
Рейтинг | Сервис | % уязвимых инсталляций |
1 | RPC (Remote procedure calls) | 93,4 |
2 | SMTP | 61,1 |
3 | Finger (информационная служба по 79 порту) | 59,6 |
4 | Trivial FTP (без аутентификации) | 57,4 |
5 | HTTP | 42,4 |
6 | DNS | 35,0 |
7 | FTP | 33,0 |
Рейтинг наиболее уязвимых программ/утилит по данным SANS 7) [8, c. 200-201].
BIND (Berkeley Internet Name Domain) – реализация службы DNS для UNIX/Linux версии 8.2.2 и ниже предоставляют полный доступ (уровень root) к компьютеру
Приложения Web-серверов
Сервисы на базе RPC (rpc. cmsd, rpc. statd и др.) позволяют получить полный доступ (уровень root) к компьютеру
Сервисы удалённого доступа к данным (RDS – Remote Data Service) Microsoft Internet Information Server позволяет выполнять команды с привилегиями администратора
Sendmail – почтовый сервис UNIX/Linux версии 8.10 и ниже «прозрачен» для компьютерных червей 8)
Сервисы sadmind (Solaris) и mountd (Unix) доступа и управления сетевой файловой системой (NFS – Network File System) при переполнении буфера позволяют получить полный доступ (уровень root) к компьютеру
Совместный доступ к файлам по NetBIOS из-за слабости контроля (пользователь сам предоставляет доступ) приводит к уязвимости компьютеров
Наиболее популярные типы атак [8, с.153-185; 4, с. 264-311] 9):
D|DoS (Distributed | Deny-of-Service) – распределённый | отказ от обслуживания – разрушение механизмов доступа к информации и/или организация запредельной нагрузки на атакуемый сервер
Ping-of-death (декабрь 96) – подача утилитой ping пакета недопустимо большого размера 10)
SYN flood (сентябрь 96) – подача потока ложных запросов на ТСР соединение
Smurf – организация потока запросов ICMP hello с обратным адресом жертвы
Fraggle – запуск отладочного UDP сервиса chargen (character generation – создание потока символов) с обратным адресом жертвы
Организация ложных DHCP клиентов
Teardrop – подача IP пакетов с неправильными значениями смещения фрагмента и длины пакета. В буфере сборки возможно появление отрицательного значения, воспринимаемого как максимальное (64 кбайт), и затирание используемых областей памяти
Land – адрес отправителя = адресу жертвы (зацикливание ответов)
Nuke – подача через 139 порт ТСР пакетов со строчными параметрами в прикладные процессы Windows, где эти параметры не предусмотрены.
Атаки на поток данных
Прослушивание (sniffing) сети на предмет определения IP адресов и открытых портов путём сканирования или установки сетевой карты в режим перехвата
Перехват путём ложных ARP ответов
Tiny Fragment Attack – атака крошечными фрагментами. Маршрутизатор уничтожает только первый из фрагментированных пакетов, а остальные пропускает и они могут быть собраны жертвой
Ложные дубликаты ТСР подтверждений, приводящие к необоснованному увеличению окна отправителя.
Преждевременные ТСР подтверждения могут привести к потере целостности (потерянные пакеты будут подтверждены)
Атаки на маршрутизаторы
Атаки на клиентов Java Virtual Machine и ActiveX
IPSec
IP-Security (IPSec) – набор протоколов сетевого уровня для защищённого обмена данными в TCP/IP сетях [8, с. 427-436] 1).
Два режима – транспортный и туннельный (см. рис. ↓) 2).
Протокол защиты заголовка пакета формирует Authentication Header (AH) и обеспечивает:
Целостность данных
Подлинность происхождения данных
Защиту от повторений
Формат АН показан на рис. ↓
32 бита (4 байта) | |||||||||||||||||||||||||||||||
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
Следующий заголовок | Длина значимых данных | Зарезервировано | |||||||||||||||||||||||||||||
Индекс параметра безопасности | |||||||||||||||||||||||||||||||
Последовательный номер | |||||||||||||||||||||||||||||||
Данные аутентификации |
Следующий заголовок (Next header) указывает тип данных за АН (установлен IANA – Internet Assigned Numbers Authority)
Длина значимых данных (Payload length) – длина АН в 32битовых словах – 2
Зарезервированное поле заполнено нулями
Индекс параметра безопасности (Security parameters index) – идентификатор способа защиты (0 – защиты нет)
Последовательный номер (Sequence number) – порядковый (с 0) номер пакета
Данные аутентификации (Authentication data) – например, хэш-функция неизменяемых или предсказуемых полей заголовка пакета.
Размещение АН в IP пакете для транспортного и туннельного режима показывает рис. ↓
Исх. IP заголов. | ТСР заголовок и Данные | ← Оригинальный IP пакет | ||||
| ||||||
Исх. IP заголов. | АН | ТСР заголовок и Данные | ← Транспортный режим | |||
←−−Аутентификация (кроме изменяемых полей)−−−−−−−−−−−→ | ||||||
Нов. IP заголов. | АН | Исх. IP заголов. | ТСР заголовок и Данные | ← Тунн. р. | ||
←−−−−−−−−−−−−−−−−−−Аутентификация (кроме изменяемых полей)−−−−−−−−−−−→ |
В туннельном режиме новый IP заголовок содержит адрес шлюза.
Протокол инкапсуляции содержимого пакета Encapsulated Security Payload (ESP) предусматривает шифрование содержимого пакета и обеспечивает:
Конфиденциальность и целостность данных
Подлинность происхождения данных
Защиту от повторений
Размещение ESP в IP пакете для транспортного и туннельного режима показывает рис. ↓
Исх. IP заголов. | ТСР заголовок и Данные | ← Оригинальный IP пакет | |||||||
| |||||||||
Исх. IP заголов. | Загол. ESP | ТСР заголовок и Данные | Хв. | Аут | ← Трансп. режим | ||||
←−−−−−Шифрование−−−−−−−−−−→ ←−−−−−−−−−Аутентификация −−−−−−−−−−−−→ Туннельный режим | |||||||||
Нов. IP заголов. | Загол. ESP | Исх. IP заголов. | ТСР заголовок и Данные | Хв. | Аут |
| |||
←−−−−−−−−−−−−−−−−−−−Шифрование−−−−−−−−−−→ ←−−−−−−−−−−−−−−−−−−−−−−−Аутентификация −−−−−−−−−−−−→ |
Загол (овок) ESP содержит 2 32-битных слова: индекс параметра безопасности (Security parameters index) и последовательный номер (Sequence number) (см. заголовок АН).
Хв (ост) ESP состоит из заполнителя (Padding), дополняющего блок шифруемых данных до требуемого размера и скрывающего истинный размер этих данных; 8-битового поля длины заполнителя (Pad length) и 8-битового поля следующего заголовка (Next header).
Аут (ентификационные) данные (Authentication data) – «цифровая подпись» содержимого пакета.
Для защиты как IP заголовков, так и содержимого пакета используют оба протокола.
- Общие принципы построения компьютерных сетей и основные определения
- Классификация компьютерных сетей
- Международные организации. Модель osi
- Методы доступа
- Пользовательские интерфейсы isdn.
- Основные идеи технологии атм.
- Ethernet
- Физическая среда Ethernet
- Высокоскоростной Ethernet
- Технологии удалённого доступа
- Стык по (последовательному) com порту.
- Стек протоколов tcp/ip
- Протокол udp
- Протокол тср
- Протокол ftp
- Протокол http
- Протокол Telnet
- Протоколы электронной почты
- Proxy сервер
- Web публикации
- Мультимедийные службы
- Unix/Linux.
- Уровень программ
- Безопасность компьютерных сетей.
- Классификации предметов защиты:
- Межсетевой экран
- Оглавление