Угроза использования слабостей протоколов сетевого локального обмена данными

Обновлено: 28.05.2024

Если АС имеет подключение к сетям общего пользования, то могут быть реализованы сетевые атаки на нее. К сетям общего пользования на основе стека протоколов TCP/IP относится и Интернет , на примере которого мы будем рассматривать наиболее распространенные в настоящее время атаки. Сеть Интернет создавалась для связи между государственными учреждениями и университетом с целью оказания помощи учебному процессу. На начальном этапе никто не мог предположить дальнейший масштаб его развития и интеграции в жизнь современного общества, в связи с чем вопросам безопасности не уделялось должного внимания. Как следствие, на данный момент стек обладает множеством уязвимостей, которыми с успехом пользуются злоумышленники для реализации атак. Уязвимости протоколов, входящих в стек TCP/IP обусловлены, как правило, слабой аутентификацией, ограничением размера буфера, отсутствием проверки корректности служебной информации и т.п.

Краткая характеристика наиболее опасных уязвимостей приведена в таблице 4.1.

1. Аутентификация на базе открытого текста (пароли пересылаются в незашифрованном виде)

2. Доступ по умолчанию

Возможность перехвата данных учетной записи пользователя.

Возможность реализации UDР-шторма.

Угрозы, реализуемые по сети, классифицируются по 6 основным признакам:

характер угрозы:

Пассивная - угроза, которая не оказывает влияния на работу информационной системы, но может нарушить правила доступа к защищаемой информации. Пример: использование sniffer для "прослушивания" сети. Активная - угроза, которая воздействуют на компоненты информационной системы, при реализации которой оказывается непосредственное влияние на работу системы. Пример: DDoS-атака в виде шторма TCP-запросами.;

цель реализации угрозы (соответственно, конфиденциальность, доступность, целостность информации).

условие начала атаки:

по запросу от атакуемого. То есть злоумышленник ожидает передачи запроса определенного типа, который и будет условием начала НСД.
по наступлению ожидаемого события на атакуемом объекте.

безусловное воздействие - злоумышленник ничего не ждет, то есть угроза реализуется сразу и безотносительно к состоянию атакуемого объекта.

наличие обратной связи с атакуемым объектом:

с обратной связью, то есть на некоторые запросы злоумышленнику необходимо получить ответ. Таким образом, между атакуемым и атакующим есть обратная связь, позволяющая злоумышленнику следить за состоянием атакуемого объекта и адекватно реагировать на его изменения.

без обратной связи - соответственно, нет обратной связи и необходимости злоумышленнику реагировать на изменения атакуемого объекта.

расположение нарушителя относительно атакуемой информационной системы: внутрисегментно и межсегментно. Сегмент сети - физическое объединение хостов, технических средств и других компонентов сети, имеющих сетевой адрес.

Рассмотрим наиболее распространенные на настоящее время атаки в сетях на основе стека протоколов TCP/IP .

4.3.1. Анализ сетевого трафика

Данная атака ( рис. 4.4) реализуется с помощью специальной программы, называемой sniffer. Sniffer представляет собой прикладную программу, которая использует сетевую карту, работающую в режиме promiscuous mode, так называемый "неразборчивый" режим, в котором сетевая плата позволяет принимать все пакеты независимо от того кому они адресованы. В нормальном состоянии на Ethernet-интерфейсе используется фильтрация пакетов канального уровня и если MAC-адрес в заголовке назначения принятого пакета не совпадает с MAC-адресом текущего сетевого интерфейса и не является широковещательным, то пакет отбрасывается. В "неразборчивом" режиме фильтрация на сетевом интерфейсе отключается и все пакеты, включая не предназначенные текущему узлу, пропускаются в систему. Надо заметить, что многие подобные программы используются в легальных целях, например, для диагностики неисправностей или анализа трафика. Тем не менее, в рассмотренной нами выше таблице перечислены протоколы, которые отправляют информацию, в том числе пароли, в открытом виде - FTP, SMTP, POP3 и т.д. Таким образом, с помощью sniffer можно перехватить имя и пароль и осуществить несанкционированный доступ к конфиденциальной информации. Более того, многие пользователи используют одни и те же пароли для доступа ко многим сетевым сервисам. То есть, если в одном месте сети есть слабость в виде слабой аутентификации, пострадать может вся сеть. Злоумышленники хорошо знают людские слабости и широко применяют методы социальной инженерии.

Защита от данного вида атаки может заключаться в следующем:

Сильная аутентификация, например, использование одноразовых паролей (one-time password). Суть состоит в том, что пароль можно использовать однократно, и даже если злоумышленник перехватил его с помощью sniffer, он не представляет никакой ценности. Конечно, данный механизм защиты спасает только от перехвата паролей, и является бесполезным в случае перехвата другой информации.
Анти-снифферы - аппаратные или программные средства, способные выявить работу сниффера в сегменте сети. Как правило, они проверяют нагрузку на узлах сети с целью определения "лишней" нагрузки.
Коммутируемая инфраструктура. Понятно, что анализ сетевого трафика возможен только внутри одного сегмента сети (понятие сегмента рассматривалось ранее). Если сеть построена на устройствах, разбивающих ее на множество сегментов (коммутаторы и маршрутизаторы), то атака возможна только в тех участках сети, которые относятся к одному из портов данных устройств. Это не решает проблемы сниффинга, но уменьшает границы, которые может "прослушивать" злоумышленник.
Криптографические методы. Самый надежный способ борьбы с работой sniffer. Информация, которая может быть получена с помощью перехвата, является зашифрованной и, соответственно, не имеет никакой пользы. Чаще всего используются IPSec, SSL и SSH.

4.3.2. Сканирование сети

запросы DNS помогают выяснить злоумышленнику владельца домена, адресную область,
эхо-тестирование - выявляет работающие хосты на основе DNS-адресов, полученных ранее;
сканирование портов - составляется полный перечень услуг, поддерживаемых этими хостами, открытые порты, приложения и т.п.

Хорошей и наиболее распространенной контрмерой является использование IDS, которая успешно находит признаки ведения сканирования сети и уведомляет об этом администратора. Полностью избавиться от данной угрозы невозможно, так как если, например, отключить эхо ICMP и эхо-ответ на маршрутизаторе, то можно избавиться от угрозы эхо-тестирования, но при этом потерять данные, необходимые для диагностики сетевых сбоев.

4.3.3. Выявление пароля

Еще одной проблемой информационной безопасности является то, что большинство людей используют одинаковые пароли ко всем службам, приложениям, сайтам и пр. При этом уязвимость пароля зависит от самого слабого участка его использования.

Подобного рода атак можно избежать, если использовать одноразовые пароли или криптографическую аутентификацию.

4.3.4. IP-spoofing или подмена доверенного объекта сети

Под доверенным в данном случае понимается объект сети (компьютер, маршрутизатор, межсетевой экран и т.п.), легально подключенный к серверу. Угроза заключается в том, что злоумышленник выдает себя за доверенный объект сети. Это можно сделать двумя способами. Во-первых, воспользоваться IP-адресом, находящимся в пределах диапазона санкционированных IP-адресов, или авторизованным внешним адресом, которому разрешается доступ к определенным сетевым ресурсам. Атаки данного типа часто являются отправной точкой для прочих атак.

4.3.5. Отказ в обслуживании

Отказ в обслуживании или Denial of Service (DoS) - атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых легитимные пользователи системы не могут получить доступ к предоставляемым системой ресурсам, либо этот доступ затруднён.

DoS-атака является наиболее распространенной и известной атакой в последнее время, что обусловлено в первую очередь относительной простотой реализации. Организация DoS-атаки, как правило, строится на недостатках сетевого программного обеспечения и сетевых протоколов. Если атака проводится для множества сетевых устройств, говорят о распределенной атаке DoS (DDoS - distributed DoS).

Сегодня наиболее часто используются следующие пять разновидностей DoS-атак, для проведения которых существует большое количество программного обеспечения и от которых наиболее тяжело защититься:

ICMP flood - атака, аналогичная Smurf, только без усиления, создаваемого запросами по направленному широковещательному адресу.

UDP flood - отправка на адрес атакуемого узла множества пакетов UDP (User Datagram Protocol).

TCP flood - отправка на адрес атакуемого узла множества TCP-пакетов.

TCP SYN flood - при проведении такого рода атаки выдается большое количество запросов на инициализацию TCP-соединений с атакуемым узлом, которому, в результате, приходится расходовать все свои ресурсы на то, чтобы отслеживать эти частично открытые соединения.

Если используется серверное приложение Web-сервер или FTP-сервер, в результате атаки DoS все соединения, доступные для этих приложений, оказываются занятыми, и пользователи не могут получить к ним доступ. Некоторые атаки способны вывести из строя целую сеть, наполнив ее ненужными пакетами. Для противодействия таким атакам необходимо участие провайдера, потому что если он не остановит нежелательный трафик на входе в сеть, атаку не остановить, потому что полоса пропускания будет занята.

Для ослабления угрозы можно воспользоваться следующим:

Функции анти-спуфинга - правильная конфигурация функций анти-спуфинга на ваших маршрутизаторах и межсетевых экранах поможет снизить риск DoS.
Функции анти-DoS - правильная конфигурация функций анти-DoS на маршрутизаторах и межсетевых экранах может ограничить эффективность атак. Эти функции часто ограничивают число полуоткрытых каналов в любой момент времени.
Ограничение объема трафика (traffic rate limiting) - организация может попросить провайдера (ISP) ограничить объем трафика. Этот тип фильтрации позволяет ограничить объем некритического трафика, проходящего по вашей сети. Обычным примером является ограничение объемов трафика ICMP, который используется только для диагностических целей. Атаки DoS часто используют ICMP[36].

Можно выделить несколько разновидностей угроз данного типа:

Помимо перечисленных выше сетевых атак существуют различные схемы интернет -мошенничества.

Фишинг. Злоумышленник получает идентификационные данные пользователей (пароли, номера кредитных карт, PIN-кодов и т.п.) с помощью сайта-копии определенного банка (аукциона, электронной платежной системы и т.п.). После создания сайта-копии по электронной почте рассылается письмо , максимально похожее на настоящее письмо от выбранного банка. При составлении письма используются соответствующие атрибуты - адрес отправителя, очень похожий на настоящий, логотип , фамилии реальных руководителей и сотрудников выбранного банка. В письме, как правило, сообщается о том, что произошла смена программного обеспечения и нужно зайти в интернет -банк и подтвердить свои учетные данные. Потенциальная жертва переходит по ссылке из письма на сайт -подделку и вводит свои конфиденциальные данные.

Фарминг - еще один вид мошенничества, ставящий целью получить конфиденциальные данные пользователей. Фармеры заменяют на серверах DNS цифровые адреса легитимных веб-сайтов на поддельные, в результате чего пользователи перенаправляются на сайты злоумышленников. То есть в этой схеме потенциальная жертва даже не должна открывать письмо с некорректной ссылкой. Хорошим методом защиты от фишинга и фарминга является аутентификация по одноразовому паролю или двухфакторная аутентификация с помощью пароля и usb-ключа.

Читайте также: