1. Анализ сетевого трафика.
Основной особенностью сетевой операционной системы является то, что ее компоненты распределены в пространстве, и связь между ними физически осуществляется при помощи сетевых соединений и программно —при помощи механизма сообщений. При этом, все управляющие сообщения и данные, пересылаемые одной компонентой сетевой ОС другой компоненте, передаются по сетевым соединениям в виде пакетов обмена. Эта особенность привела к появлению специфичного только для сетей ЭВМ (в общем случае для распределенных систем) типового удаленного воздействия, заключающегося в прослушивание канала в сети. Назовем данное воздействие —анализ сетевого трафика (или сокращенно, сетевой анализ).
Анализ сетевого трафика позволяет, во-первых, изучить логику работы сетевой ОС, то есть, получить взаимно однозначное соответствие событий, происходящих в ОС, и команд, пересылаемых друг другу ее компонентами, в момент появления этих событий. Это достигается путем перехвата и анализа пакетов обмена на канальном уровне. Знание логики работы сетевой ОС позволяет на практике моделировать и осуществлять типовые удаленные атаки.
Во-вторых, анализ сетевого трафика позволяет перехватить поток данных, которыми обмениваются компоненты сетевой ОС. То есть, удаленная атака данного типа заключается в получение на удаленном компьютере несанкционированного доступа к информации, которой обмениваются две сетевых ЭВМ. При этом, важно отметить, что при анализе сетевого трафика отсутствует возможность его модификации и сам анализ возможен только внутри одного сегмента сети. Примером перехваченной при помощи данной типовой атаки информации могут служить имя и пароль пользователя, пересылаемые в незашифрованном открытом виде по сети.
По характеру воздействия анализ сетевого трафика является пассивным воздействием.Осуществление данной атаки ведет к перехвату информации внутри одного сегмента сети на канальном уровнеOSI.При этом начало осуществления атаки безусловно по отношению к цели атаки.
2. Навязывание хосту ложного маршрута.
Современные глобальные сети представляют собой совокупность сегментов сети, связанных между собой через сетевые узлы. При этом маршрутом называется последовательность узлов сети, по которой данные пересылаются от источника к приемнику, а маршрутизацией называется выбор маршрута. Узел, обеспечивающий маршрутизацию, называется маршрутизатором. Каждый маршрутизатор имеет специальную таблицу, называемую таблицей маршрутизации, в которой для каждого адресата указывается оптимальный маршрут. Отметим, что таблицы маршрутизации существуют не только у маршрутизаторов, но и у любых хостов в глобальной сети. Для обеспечения эффективной и оптимальной маршрутизации в сетях ЭВМ существуют специальные управляющие протоколы, позволяющие маршрутизаторам обмениваться информацией друг с другом (RIP(RoutingInternetProtocol),OSPF(OpenShortestPathFirst)), уведомлять хосты о новом маршруте (ICMP(InternetControlMessageProtocol)), удаленно управлять маршрутизаторами (SNMP(SimpleNetworkManagementProtocol)). Важно отметить, что все описанные выше протоколы позволяют изменять маршрутизацию в сети, то есть являются протоколами управления сетью.
Из всего вышесказанного очевидно, что маршрутизация в глобальных сетях играет важнейшую роль и, как следствие этого, может подвергаться атаке. Основная цель атаки, связанной с навязыванием хосту ложного маршрута, —изменить исходную доверенную маршрутизацию хоста, так, чтобы новый маршрут проходил через хост или сеть злоумышленника.
Реализация данной типовой атаки состоит в несанкционированном использовании протоколов управления сетью для изменения исходной маршрутизации. То есть, для изменения маршрутизации атакующему требуется послать по сети определенные данными протоколами управления сетью специальные служебные сообщения от имени сетевых управляющих устройств (например, маршрутизаторов).
В результате успешного изменения маршрута атакующий хост получит полный контроль над потоком информации, которой обмениваются два доверенных хоста и атака перейдет во вторую стадию, связанную с приемом, анализом и передачей пакетов, получаемых от обманутых хостов. Данная стадия атаки полностью совпадает со второй стадией типовой атаки ложный сервер.
Навязывание хосту ложного маршрута —активное воздействие,совершаемое с целью как перехвата,так и искажения информации безусловно, по отношению к цели атаки.Данная удаленная атака осуществляется внутри одного сегмента,на сетевом уровне модели OSI.
3. Подмена доверенного хоста.
Как подчеркивалось ранее, основной проблемой в безопасности сетевой ОС является недостаточная идентификация и аутентификация ее удаленных компонент. То есть, проблема заключается в однозначной идентификации получаемых станцией пакетов обмена. Обычно в сетевых ОС эта проблема решается следующим образом: в процессе создания виртуального канала хосты обмениваются определенной информацией, уникально идентифицирующей данный канал. Такой обмен обычно называется "рукопожатием" (handshake). Однако, важно отметить, что не всегда для связи двух удаленных компонент в сети создается виртуальный канал. Часто, особенно для служебных сообщений, (например, от маршрутизаторов) используется посылка одиночных пакетов, не требующих подтверждения.
Для адресации пакетов в компьютерных сетях используется сетевой адрес, который уникален для каждой станции (на канальном уровне модели OSI —это аппаратный адрес сетевого адаптера, на сетевом уровне —адрес определяется в зависимости от используемого протокола сетевого уровня (например,IP —адрес)). Сетевой адрес также может использоваться для идентификации пакетов обмена. Однако сетевой адрес довольно просто подделывается и поэтому использовать его в качестве единственного средства идентификации представляется неправильным.
В случае, если в сетевой ОС используются слабые средства идентификации ее удаленных компонент, то оказывается возможной типовая удаленная атака, которая заключается в передачи по сети сообщений от имени любого хоста. При этом существуют две разновидности данной типовой удаленной атаки:
- атака при установленном виртуальном канале
- атака без установленного виртуального канала
В случае установленного виртуального соединения атака будет заключаться в присвоении прав доверенного хоста, легально подключившегося к серверу, что позволит злоумышленнику вести сеанс работы с сервером от имени доверенного хоста. Реализация данного типа атак обычно состоит в посылке пакетов обмена с атакующей станции на сервер от имени доверенной станции и при этом посланные пакеты будут восприняты сервером как корректные. Для осуществления атаки данного типа необходимо преодолеть систему идентификации пакетов, которая, в принципе, может использовать контрольную сумму, вычисляемую с помощью открытого ключа, динамически выработанного при установлении канала, случайные многобитные счетчики пакетов и сетевые адреса станций. Однако на практике в ОС NovellNetWare 3.12для идентификации пакетов обмена используются два 8-битных счетчика —номер канала и номер пакета; в протоколеTCPдля идентификации используются два 32-битных счетчика.
Как было замечено выше, для служебных сообщений используется посылка одиночных пакетов, не требующих подтверждения, то есть не требуется обязательного создания виртуального соединения. Атака без установленного виртуального соединения заключается в посылке служебных сообщений от имени сетевых управляющих устройств, например, от имени маршрутизаторов. Очевидно, что в этом случае для идентификации пакетов возможно лишь использование статических ключей, определенных заранее, что довольно не удобно и требует сложной системы управления ключами, однако, в противном случае, идентификация таких пакетов без установленного виртуального канала будет возможна лишь по сетевому адресу отправителя, который, как отмечалось выше, легко подделать. Посылка ложных управляющих сообщений может привести к серьезным нарушениям работы сети, например, к изменению ее конфигурации.
Подмена доверенного хоста является активным воздействием,совершаемым с целью как перехвата,так и искажения информации по наступлению на атакуемом объекте определенного события.Данная удаленная атака является как внутрисегментной,так и межсегментной и осуществляется на сетевом,транспортном и сеансовом уровнях модели OSI.
4. Ложный сервер или использование недостатков алгоритма удаленного поиска.
В компьютерной сети часто оказывается, что удаленные компоненты сетевой ОС изначально не имеют достаточно информации, необходимой для адресации пакетов обмена. Обычно такой информацией являются аппаратные (адрес сетевого адаптера) и логические адреса (IP —адрес, например) сетевых компьютеров. Для получения подобной информации в сетевых ОС используются различные алгоритмы удаленного поиска, заключающиеся в передаче по сети специального вида запросов, и в ожидании ответов на полученный запрос с искомой информацией. Руководствуясь полученными из ответа сведениями об искомом хосте, запросивший хост начинает адресоваться к нему, то есть, после получения ответа на запрос он обладает всеми необходимыми данными для адресации. Примером подобных запросов, на которых базируются алгоритмы удаленного поиска, могут служитьSAP-запрос в ОСNovellNetWare,ARP- иDNS-запрос в сетиInternet.
В случае использования сетевой ОС механизмов удаленного поиска существует возможность на атакующей станции перехватить посланный хостом запрос и послать на него ложный ответ, в котором указать данные, использование которых приведет к адресации на атакующий хост — ложный сервер. То есть, в дальнейшем, весь поток обмена между хостом и настоящим сервером, информации о котором запрашивал хост в посланном запросе, будет проходить через ложный сервер.
Ложный сервер —активное воздействие, совершаемое с целью как перехвата,так и искажения информации,являющееся атакой по запросу от атакуемого объекта.Данная удаленная атака является как внутрисегментной,так и межсегментной и осуществляется на канальном,сетевом,транспортном, сеансовом и представительном уровнях моделиOSI.
Использование ложного сервера для организации удаленной атаки на сетевую ОС
Получив контроль над проходящим потоком информации между хостами, ложный сервер может применять различные методы воздействия на перехваченную информацию. Рассмотрим их в следующих пунктах.
Селекция потока тнформации и сохранение ее на ложном сервере.
Одной из атак, которую может осуществлять ложный сервер, является перехват передаваемой между сервером и хостом информации. Важно отметить, что факт перехвата информации (файлов, например) возможен из-за того, что при выполнении некоторых операций над файлами (чтение, копирование и т.д.) содержимое этих файлов передается по сети, а значит, поступает на ложный сервер. Простейший способ реализации перехвата —это сохранение в файле всех получаемых ложным сервером пакетов обмена. Данный способ перехвата информации оказывается недостаточно информативным. Это происходит вследствие того, что в пакетах обмена кроме полей данных существуют служебные поля, в данный момент не представляющие интереса. Следовательно, для того, чтобы получить непосредственно передаваемый файл, необходимо проводить на ложном сервере динамический семантический анализ потока информации для его селекции.
Модификация информации.
Одной из особенностей любой системы воздействия, построенной по принципу ложного сервера, является то, что она способна модифицировать перехваченную информацию. Причем, важно отметить, что это один из двух способов программно модифицировать поток информации между сетевой станцией и сервером с третьей станции. Ведь для реализации перехвата информации в сети необязательно атаковать сетевую ОС по схеме ложный сервер. Эффективней будет атака, осуществляющая анализ сетевого трафика,способная получать все пакеты, проходящие по сети, но, в отличие от системы ложный сервер, она будет не способна к модификации информации.
Далее, рассмотрим два вида модификации информации:
— модификация передаваемых данных
— модификация передаваемого кода
1. Модификация передаваемых данных.
Одной из функцией, которой может обладать система воздействия, построенная по принципу ложный сервер, — модификация передаваемых данных. В результате селекции потока перехваченной информации и его анализа система может распознавать тип передаваемых файлов (исполняемый или текстовый). Соответственно, в случае обнаружения текстового файла или файла данных появляется возможность модифицировать проходящие через ложный сервер данные. Особую угрозу эта функция представляет для сетей обработки конфиденциальной информации.
2.Модификация передаваемого кода.
Другим видом модификации может быть модификация передаваемого кода. Ложный сервер, проводя семантический анализ проходящей через него информации, может выделять из потока данных исполняемый код. Известный принцип неймановской архитектуры гласит, что не существует различий между данными и командами. Следовательно, для того, чтобы определить, что передается по сети, код или данные, необходимо использовать определенные особенности, свойственные реализации сетевого обмена в конкретной сетевой ОС или некоторые особенности, присущие конкретным типам исполняемых файлов в данной локальной ОС.
Представляется возможным выделить два различных по цели вида модификации кода:
— внедрение РПС
— изменение логики работы исполняемого файла
В первом случае, при внедрении РПС исполняемый файл модифицируется по вирусной технологии. То есть, к исполняемому файлу одним из известных способов дописывается тело РПС и, также, одним из известных способов изменяется точка входа так, чтобы она указывала на внедренный код РПС. Описанный способ, в принципе ни чем не отличается от стандартного заражения исполняемого файла вирусом за исключением того, что файл оказался поражен вирусом или РПС в момент передачи его по сети! Такое возможно лишь при использовании системы воздействия, построенной по принципу ложный сервер. Конкретный вид РПС, его цели и задачи в данном случае не имеют значения, но можно рассмотреть, например, вариант использования ложного сервера для создания сетевого червя —наиболее сложного на практике удаленного воздействия в сетях ЭВМ или в качестве РПС использовать сетевые шпионы.
Во втором случае происходит модификация исполняемого кода с целью изменения логики его работы. Данное воздействие требует предварительного исследования работы исполняемого файла и в случае его проведения может принести самые неожиданные результаты. Например, при запуске на сервере программы идентификации пользователей распределенной базы данных ложный сервер может так модифицировать код этой программы, что появится воз-
так модифицировать код этой программы, что появится возможность беспарольного входа с наивысшими привилегиями в базу данных.
Подмена информации.
Ложный сервер позволяет не только модифицировать, но подменять перехваченную им информацию. Если модификация информации приводит к ее частичному изменению, то подмена —к ее полному изменению. То есть, при возникновении в сети определенного контролируемого ложным сервером события одному из участников обмена посылается заранее подготовленная дезинформация. При этом эта дезинформация в зависимости от контролируемого события может быть воспринята либо как исполняемый код, либо как данные. Рассмотрим пример подобного рода дезинформации.
Предположим, что ложный сервер контролирует событие, которое заключается в подключении пользователя к серверу. В этом случае он ожидает, например, запуска соответствующей программы входа в систему. В случае, если эта программа находится на сервере, то при ее запуске исполняемый файл передается на рабочую станцию. Вместо того, чтобы выполнить данное действие ложный сервер передает на рабочую станцию код заранее написанной специальной программы —захватчика паролей. Эта программа выполняет визуально те же действия, что и настоящая программа входа в систему, например, спрашивается имя и пароль пользователя, после чего полученные сведения посылаются на ложный сервер, а пользователю выводится сообщение об ошибке. При этом пользователь, посчитав, что он неправильно ввел пароль (пароль обычно не отображается на экране) снова запустит программу подключения к системе и со второго раза войдет в нее. Результат такой атаки —имя и пароль пользователя, сохраненные на ложном сервере.
5. Сетевой шпион или удаленный контроль за станцией в сети.
Средства, которые могут использоваться для достижения этой цели, различны. Самые изощренные, наиболее труднообнаруживаемые —это программные закладки и несколько легче обнаруживаемые —компьютерные вирусы. Простейшим примером такой закладки может быть программа, перехватывающая ввод с клавиатуры (паролей, например) и сохраняющая перехваченную информацию в определенном секторе жесткого диска.
В связи с объединением компьютеров в сеть у этого вида РПС появляется новый подвид —сетевые шпионы. Сетевой шпион —это программная закладка или компьютерный вирус, функционирующий в сети ЭВМ, основная цель которого —получение удаленного контроля над рабочей станцией в сети. Данный вид РПС добавляет еще один тип атак на сетевые ОС —удаленный съем информации и получение удаленного контроля над рабочей станцией в сети.
Рассмотрим схематично основные этапы работы сетевого шпиона:
1.инсталляция в памяти;
2.ожидание запроса с удаленного атакующего компьютера, на котором запущена головная сервер —программа, и обмен с ней сообщениями о готовности;
3.передача перехваченной информации на головную сервер —программу или предоставление ей контроля над зараженным компьютером.
Рассмотрим основные функции, присущие сетевым шпионам:
1.Перехват и передача вводимой с клавиатуры информации на головную сервер —программу;
2.Перехват и передача экранной информации на головную сервер —программу;
3.Перехват и передача на головную сервер —программу системной информации о ПК (тип ОС, параметры компьютера, загруженные программы и т.д.);
4.Получение контроля сервер —программой над зараженным удаленным компьютером (удаленный запуск программ, копирование данных, удаление данных и т.д.).
Таким образом, проникновение в сетевую ОС сетевых шпионов нарушает политику безопасности, принятую в сети, ведет к нарушению целостности данных и позволяет несанкционированно использовать вычислительные мощности компьютеров, объединенных в сеть.
Одним из примеров подобной закладки может служить RegistrationWizardв ОСWindows 95,которая после установки данной операционной системы пытается совершить звонок по модему в офис фирмыMicrosoftи сообщить данные о параметрах ПК, на который она установлена и данные о пользователе, ее использующем.
Сетевой шпион —активное воздействие,совершаемое как с целью перехвата,так и искажения информации,являющееся атакой по запросу.Сетевой шпион —это как внутрисегментная,так и межсегментная удаленная атака, осуществляемая на сетевом уровне моделиOSI.
- Сборник информационных материалов по курсу «Защита информации и информационная безопасность»
- Вопрос 1.
- Основные понятия безопасности компьютерных систем.
- Современные программные угрозы информационной безопасности.
- Компьютерные вирусы.
- Троянские кони (программные закладки).
- Средства нарушения безопасности компьютерных сетей
- Вопрос 2.
- Угроза раскрытия
- Угроза целостности
- Угроза отказа служб
- Субъекты, объекты и доступ
- Уровни безопасности, доверие и секретность
- Вопрос 3.
- Объектно-концептуальная модель рпс.
- Пространство отношений доступа к объектам вс.
- Использование понятия легитимности при построении модели безопасности вс.
- Вопрос 4. Классификация удаленных атак на компьютерные сети Понятие удаленной атаки
- Вопрос 5. Политики и модели безопасности
- Модели дискретного доступа
- Модели мандатного доступа
- Модель Белла и Лападула
- Удаленное чтение
- Доверенные субъекты
- Проблема системы z
- Модель системы безопасности с полным перекрытием
- Модели контроля целостности
- Модель понижения уровня субъекта
- Модель понижения уровня объекта
- Объединение моделей безопасности
- Проблемы контроля целостности ядра системы
- Вопросы 6 и 7. Методы анализа безопасности программного обеспечения.
- Контрольно-испытательные методы анализа безопасности по.
- Логико-аналитические методы анализа безопасности по.
- Вопрос 8. Анализ novell netware с точки зрения таксономии причин нарушения информационной безопасности
- Неправильное внедрение модели безопасности
- 1. Отсутствие подтверждения старого пароля при его смене.
- 2. Недостатки в реализации опций Intruder detection и Force periodic password changes.
- 3. Слабое значение идентификатора супервизора.
- 4. Право на создание файлов в каталоге sys:mail.
- 5. Ненадежность атрибута «только для выполнения».
- 6. Получение прав пользователя сервером очереди.
- 1. Возможность обращения хэш-функции
- 2. Атака с использованием сервера печати.
- 3. Использование состояния отсутствия информации.
- 1. Приведение базы данных связок в неработоспособное состояние.
- 2. Недостатки механизма подписи пакетов.
- 1. Передача нешифрованных паролей программой syscon.
- Ошибки в администрировании системы
- 1. Наличие права на запись в системный каталог
- 2. Наличие права на чтение sys:system
- Вопросы 9-10. Механизмы реализации основных типов удаленных атак
- 1. Анализ сетевого трафика.
- 6. Сетевой червь (worm).
- Вопрос 11. Удаленные атаки на ос novell netware 3.12
- 2. Ложный сервер сети Novell NetWare 3.12.
- Вопрос 13. Удаленные атаки на хосты internet
- 1. Исследование сетевого трафика сети Internet.
- 2. Ложный arp-сервер в сети Internet.
- 3. Ложный dns-сервер.
- 4. Навязывание хосту ложного маршрута с помощью протокола icmp для создания в сети ложного маршрутизатора.
- 5. Подмена одного из участников сетевого обмена в сети при использовании протокола tcp.
- 6. Использование недостатков идентификации tcp-пакетов для атаки на rsh-сервер.
- Вопросы 14 – 16. Использование систем firewall
- Достоинства применения Firewall.
- Недостатки, связанные с применением Firewall.
- Структура и функционирование Firewall.
- Принципы работы Firewall.
- Режим доступа к службам.
- Усиленная аутентификация.
- Фильтрация пакетов.
- Шлюзы прикладного и сетевого уровня.
- Вопросы 17-21. Основные схемы защиты на основе Firewall.
- Firewall — маршрутизатор с фильтрацией пакетов.
- Firewallна основе шлюза.
- Экранированный шлюз.
- Firewall –экранированная подсеть.
- Объединение модемного пула с Firewall
- Вопрос 22. Особенности защиты сетей на основе Firewall
- Этапы разработки политики доступа к службам.
- Гибкость политики.
- Обеспечение Firewall.
- Администрирование Firewall.