2. Введение
• Вопросы защиты информации несомненно
являются одними из самых важных при
развертывании сетей и подключении их к
интернету.
• Сегодня подключение корпоративной сети
к интернету стало обыденным явлением.
Большинство компаний сегодня имеют
свои сайты в интернете. За удобства и
новые возможности приходится
расплачиваться появлением новых
проблем, связанных с безопасностью.
3. Проблемы, возникающие при
использовании компьютерных сетей:
1. Фирма имеет несколько офисов. При пересылке
конфиденциальной информации по
общедоступной сети имеется риск, что кто-то
подсмотрит и изменит эту информацию.
2. Сетевой администратор осуществляет удаленное
управление компьютером. Кто-то другой
перехватывает это управляющее сообщение,
изменяет его содержание и отправляет сообщение
на данный компьютер.
3. Пользователь несанкционированно получает
доступ к удаленному компьютеру с правами
законного пользователя, либо, имея право
доступа к компьютеру, получает доступ с гораздо
большими правами.
4. Проблемы, возникающие при
использовании компьютерных сетей:
4. Фирма открывает интернет-магазин, который
принимает оплату в электронном виде. В этом
случае продавец должен быть уверен, что он
отпускает товар, который действительно оплачен,
а покупатель должен иметь гарантии, что он, во-
первых, получит оплаченный товар, а во-вторых,
номер его кредитной карточки не станет никому
известен.
5. Фирма открывает свой сайт в интернет. В какой-
то момент содержимое сайта заменяется
новым, либо возникает такой поток и такой способ
обращений к сайту, что сервер не справляется с
обработкой запросов.
5. Информационный поток
• Взаимодействие по сети означает, что существует
информационный поток данных от отправителя к
получателю. Отправителем и получателем в данном
случае могут являться как компьютеры, так и
отдельные программы, запущенные на этих
компьютерах.
Отправитель Получатель
6. Основные сетевые атаки
Все атаки можно разделить на пассивные и активные.
I.Пассивная атака
Пассивной называется такая атака, при которой противник не
имеет возможности модифицировать передаваемые сообщения и
вставлять в информационный канал между отправителем и
получателем свои сообщения. Целью пассивной атаки может быть
только прослушивание передаваемых сообщений и анализ
трафика.
Отправитель Получатель
Противник
7. Основные сетевые атаки
II. Активная атака
• Активной называется такая атака, при которой
противник имеет возможность модифицировать
передаваемые сообщения и вставлять свои
сообщения.
• Различают следующие типы активных атак:
Отказ в обслуживании - DoS-атака (Denial of Service);
Модификация потока данных - атака «man in the middle»;
Создание ложного потока (фальсификация);
Повторное использование - Replay-атака;
8. DoS-атака (Denial of
Service)
Отказ в обслуживании нарушает нормальное
•
функционирование сетевого сервиса (в данном
случае Получателя), когда законный пользователь (в
данном случае Отправитель) не может получить
сетевой сервис.
Отправитель Получатель
9. Атака "man in the middle"
• Модификация потока данных означает либо
изменение содержимого пересылаемого сообщения,
либо изменение порядка сообщений.
Отправитель Получатель
Противник
10. Создание ложного потока
(фальсификация)
• Фальсификация (нарушение аутентичности) означает
попытку одного субъекта выдать себя за другого. В
данном случае Отправитель не передает никакого
сообщения, а Противник пытается выдать себя за
Отправителя.
Отправитель Получатель
Противник
11. Replay-атака
• Повторное использование означает перехват данных
с последующей их пересылкой через некоторое время
Получателю для получения несанкционированного
доступа - это так называемая replay-атака.
Отправитель Получатель
На самом деле replay-атаки
являются одним из вариантов
фальсификации, но в силу
того, что это один из
наиболее распространенных Противник
вариантов атаки для
получения НСД, его часто
рассматривают как отдельный
12. Угрозы и уязвимости
вычислительных сетей
• Современные сетевые атаки на столь же
разнообразны, сколь разнообразны системы, против
которых они направлены. Чисто технологически
большинство сетевых атак использует ряд
ограничений, изначально присущих протоколу
TCP/IP. Рассмотрим некоторые из них.
13. Бомбардировка электронной
почтой (mailbombing)
• Суть данной атаки в засорении почтового ящика
"мусорной" корреспонденцией или даже выведении из
строя почтового сервера интернет-провайдера. Для
этого применяются специальные программы
-мэйлбомберы, которые засыпают указанный в
качестве мишени почтовый ящик огромным количеством
писем, указывая при этом фальшивые данные
отправителя - вплоть до IP-адреса.
В настоящее время, большинство интернет-провайдеров имеют
собственные системы защиты клиентов от мэйлбомбинга. Когда число
одинаковых писем из одного и того же источника начинает превышать
некие разумные пределы, вся поступающая корреспонденция такого
рода просто уничтожается.
14. Атаки с подбором пароля
• Атакующий систему хакер часто начинает свои
действия с попыток раздобыть пароль
администратора или одного из пользователей.
• Для того чтобы узнать пароль, существует
великое множество различных методов:
IP-спуфинг и сниффинг пакетов;
внедрение в систему "троянского коня”;
подбор перебором (brute force attack - "атака грубой
силой");
социальная инженерия (фишинг, фишинг-сайты,
любые виды мошенничества, требующие ввода своих
личных данных или их разглашения).
15. IP-спуфинг
• IP-спуфинг - это вид атаки, при которой хакер внутри
организации или за ее пределами выдает себя за
санкционированного пользователя. Для этого
существуют различные способы:
воспользоваться IP-адресом, находящимся в пределах
диапазона санкционированных к применению в рамках
Сети данной организации IP-адресов;
воспользоваться авторизованным внешним адресом, в
случае если ему разрешен доступ к определенным сетевым
ресурсам.
16. Цели IP-спуфинга:
выведение из строя системы при помощи ложных
команд;
хищение конкретных файлов;
внедрение в базы данных ложной информации;
используется как составная часть более сложной,
комплексной атаки
( например, DoS, для осуществления которой хакер размещает
соответствующую программу на чужом IP-адресе, чтобы скрыть свою
истинную личность.)
17. Методы защиты от IP-спуфинга
1. Настроить системы безопасности таким образом,
чтобы они отсекали любой трафик, поступающий из
внешней сети с исходным адресом.
(Этот метод имеет смысл только когда санкционированными являются лишь
внутренние адреса.)
1. Если внутри организации объявится
злоумышленник, то использовать фильтрацию
“RFC 2827”
(использовать любой исходящий трафик, если его исходный адрес не относится ко
внутреннему диапазону IP-адресов организации.)
1. Криптошифрование, аутентификации или
использование случайным образом генерируемых
одноразовых паролей делает этот вид атак
бесполезными.
18. Сниффер пакетов
• Представляет собой полезную прикладную
программу, которая использует сетевую карту,
работающую в режиме прослушивания всех
проходящих пакетов для диагностики неисправностей
и анализа трафика.
• Поэтому далеко не всегда можно достоверно
определить, используется или нет конкретная
программа-сниффер злоумышленниками, и не
произошло ли подмены нужной программы на
аналогичную «троянскую» (с "расширенными"
функциями).
19. Цели использования
сниффера
• узнать конфиденциальную информацию (имена
пользователей и пароли, сообщения электронной
почты), которая передается различными сетевыми
приложениями в текстовом формате (telnet, FTP,
SMTP, POP3 и т.д.).
20. Методы защиты от сниферов
1. современные средства аутентификации, которые
трудно обойти, даже используя "человеческий
фактор".
(Например, однократные пароли – «One-Time Passwords»)
1. использование анти-снифферов
(Они измеряют время реагирования хостов и определяют, не приходится
ли хостам обрабатывать "лишний" трафик. )
1. защитить передаваемые по каналу связи данные
современными методами криптографии.(Наиболее
эффективный метод)
(Сейчас наиболее распространенными являются криптографические
протоколы IPSec от корпорации Cisco, а также протоколы SSH (Secure
Shell) и SSL (Secure Socket Layer).)
21. Вирусы, почтовые черви и
"троянские кони"
Вирусы и "троянские кони" - это разные классы
"враждебного" программного кода.
Вирусы внедряются в другие программы с целью
выполнения заложенной в них вредоносной функции
на рабочей станции конечного пользователя.
Цель внедрения "троянского коня" - получение
скрытого удаленного контроля над компьютером для
того, чтобы манипулировать содержащейся на нем
информацией.
Регулярно вспыхивающие глобальные эпидемии компьютерных вирусов
происходят во многом благодаря "человеческому фактору" - большинство
пользователей и многие системные администраторы (!)
22. Сетевая разведка
• Сетевая разведка всегда предшествует собственно
нападению.
• Информация собирается с использованием большого
набора общедоступных данных и приложений.
• Производится сканирование портов, запросы
DNS, эхо-тестирование раскрытых с помощью DNS
адресов и т.д. Так удается, в частности, выяснить,
кому принадлежит тот или иной домен и какие адреса
этому домену присвоены.
23. Атака на отказ в обслуживании
(Denial of Service - DoS)
• В общем случае технология DoS-атаки выглядит
следующим образом: на выбранный web-узел
обрушивается шквал ложных запросов со множества
компьютеров по всему миру. В результате,
обслуживающие узел серверы оказываются
парализованы и не могут обслуживать запросы
обычных пользователей. При этом пользователи
компьютеров, с которых направляются ложные
запросы, и не подозревают о том, что их машина
тайком используется злоумышленниками.
24. Разновидности DoS-атак:
Smurf - ping-запросы ICMP (Internet Control Message
Protocol) по адресу направленной широковещательной
рассылки
ICMP flood - атака, аналогичная Smurf, только без усиления,
создаваемого запросами по направленному
широковещательному адресу.
UDP flood - отправка на адрес системы-мишени множества
пакетов UDP (User Datagram Protocol), что приводит к
"связыванию" сетевых ресурсов.
TCP flood - отправка на адрес системы-мишени множества TCP-
пакетов, что также приводит к «связыванию" сетевых ресурсов.
TCP SYN flood – при такой атаке выдается большое количество
запросов на инициализацию TCP-соединений с узлом-
мишенью, которому, в результате, приходится расходовать
все свои ресурсы на то, чтобы отслеживать эти частично
открытые соединения.
25. Методы защиты от DoS-атак
1. Правильно сконфигурировать функции анти-
спуфинга на маршрутизаторах и межсетевых
экранах.
(Эти функции должны включать, как минимум, фильтрацию RFC 2827.)
1. Необходимо включить и правильно
сконфигурировать функции анти-DoS на
маршрутизаторах и межсетевых экранах. Эти
функции ограничивают число полуоткрытых
каналов, не позволяя перегружать систему.
(Также рекомендуется при угрозе DoS-атаки ограничить объем
проходящего по Сети некритического трафика. Об этом уже нужно
договариваться со своим интернет-провайдером. Обычно при этом
ограничивается объем трафика ICMP, так как он используется
сугубо для диагностических целей.)
26. Атака типа Man-in-the-Middle - …
(человек посредине) хакер должен получить доступ к
пакетам, передаваемым по Сети, а потому в роли
злоумышленников в данном случае часто выступают
сами сотрудники предприятия или, к примеру,
сотрудник фирмы-провайдера.
Цель подобной атаки – кража, фальсификация
передаваемой информации или же получение доступа
к ресурсам сети.
(Для атак Man-in-the-Middle часто используются снифферы пакетов,
транспортные протоколы и протоколы маршрутизации. )
27. Методы защиты от атак Man-
in-the-Middle
(Защититься от подобных атак крайне сложно, так как обычно это атаки
"крота" внутри самой организации.)
1. В чисто техническом плане обезопасить себя можно
только путем криптошифрования передаваемых
данных.
( Впрочем, если злоумышленнику повезет, и он сможет перехватить
информацию о криптографической сессии, шифрование данных
автоматически потеряет всяческий смысл.)
1. «На переднем крае» борьбы должны находиться
не «технари», а кадровый отдел и служба
безопасности предприятия.
28. Использование уязвимых мест в
широко используемом ПО
Основная цель подобной атаки - получить
доступ к серверу от имени пользователя,
работающего с приложением, обычно с правами
системного администратора и соответствующим
уровнем доступа.
(Особо "славится" своей ненадежностью и слабой защищенностью ПО от
Microsoft. Обычно ситуация развивается следующим образом: кто-
либо обнаруживает "дыру" или "баг" в программном обеспечении
для сервера и публикует эту информацию в Интернете в
соответствующей конференции. Производитель данного ПО выпускает
патч ("заплатку"), устраняющий данную проблему, и публикует его на
своем web-сервере. Проблема в том, что далеко не все администраторы,
по причине элементарной лени, постоянно следят за обнаружением и
появлением патчей, да и между обнаружением "дыры" и написанием
"заплатки" тоже какое-то время проходит: Хакеры же тоже читают
тематические конференции и, надо отдать им должное, весьма умело
применяют полученную информацию на практике.)
29. Причины уязвимости и средства
информационной безопасности сети
Internet
Невозможность контроля за
виртуальными каналами Отсутствие полной
связи м/у объектами сети информации об
Internet объектах Internet
Отсутствие
выделенного канала
связи между объектами
сети Internet Причины успеха Отсутствие
криптозащиты
удаленных атак на сеть сообщений в
Интернет базовых протоколах
internet
Недостаточные
Отсутствие возможности
идентификация и
контроля за маршрутом
аутентификация объектов
сообщений
и субъектов в сети Internet
Использование нестойких
Взаимодействие в сети Internet
алгоритмов идентификации
объектов без установления
объектов при создании
виртуального канала
виртуального TCP-соединения
30. Отсутствие выделенного канала
связи между объектами сети Internet
Глобальная сеть не может быть построена по принципу прямой
связи между объектами, поскольку для каждого объекта
невозможно обеспечить выделенный канал связи с любым
другим объектом. Поэтому в Internet связь осуществляется
через цепочку маршрутизаторов, а следовательно,
сообщение, проходя через большое количество промежуточных
подсетей, может быть перехвачено.
Также к Internet подключено большое число локальных
Ethernet-сетей, использующих топологию "общая шина"; в
сетях с такой топологией несложно программно
осуществлять перехват сообщений. Однако данный недостаток
присущ скорее не Internet, a Ethernet.
31. Недостаточные идентификация и
аутентификация
В базовых протоколах обмена идентификация и
аутентификация объектов практически отсутствуют.
Так, например, в прикладных протоколах FTP, TELNET, РОРЗ имена и
пароли пользователей передаются по сети в виде открытых
незашифрованных сообщений. В существующем стандарте IPv4
протокол сетевого уровня IP не предусматривает никакой
идентификации и аутентификации объектов (за исключением IP-адреса
отправителя, подлинность которого, в свою очередь, невозможно
подтвердить).
Все проблемы с идентификацией разработчики
переложили на следующий, транспортный уровень,
за который отвечают протоколы UDP и TCP.
Так как протокол UDP не содержит в себе никакой дополнительной
идентифицирующей информации, единственным протоколом,
призванным обеспечить безопасность в Internet, является TCP,
создающий виртуальный канал.
32. Взаимодействие в сети Internet объектов
без установления виртуального канала
• Поскольку обеспечение безопасности
взаимодействия объектов Internet изначально не
планировалось разработчиками. Для управляющих
ICMP-сообщений и DNS-запросов используется
связь без виртуального канала, что приводит к
возможности осуществления рассмотренных выше
атак.
33. Использование нестойких алгоритмов
идентификации объектов при создании
виртуального TCP-соединения
• Как уже подчеркивалось, протокол TCP является
единственным базовым протоколом транспортного
уровня, в функции которого заложена защита
соединения. Однако использование простейшего
алгоритма идентификации объектов при создании
виртуального TCP-канала сводит на нет все попытки
обеспечения идентификации канала и объектов при
их взаимодействии по протоколу TCP.
34. Невозможность контроля за
виртуальными каналами связи
• В существующем стандарте сети Internet нельзя
обеспечить контроль за сетевыми
соединениями, так как у одного субъекта сетевого
взаимодействия существует возможность занять
неограниченное число каналов связи с удаленным
объектом и при этом остаться анонимным. Из-за этого
любой хост в сети Internet может быть полностью
парализован.
35. Отсутствие возможности контроля за
маршрутом сообщений
• Невозможность контроля в Internet за виртуальными
каналами обусловлена отсутствием в Сети контроля
за маршрутом сообщений, а именно: в существующем
стандарте IPv4 нельзя по пришедшему на хост
сообщению определить путь, через который оно
прошло, а следовательно, невозможно проверить
подлинность адреса отправителя
36. Отсутствие полной информации об
объектах Internet
• Очевидно, что в глобальной сети невозможно
обеспечить на каждом ее объекте наличие
информации о любом другом объекте. Поэтому, как
говорилось ранее, необходимо использовать
потенциально опасные алгоритмы удаленного поиска.
В сети Internet используются, по меньшей мере, два
алгоритма удаленного поиска: ARP и DNS.
37. Отсутствие криптозащиты
сообщений
• В существующих базовых протоколах семейства
TCP/IP, обеспечивающих взаимодействие на сетевом
и транспортном уровнях, не предусмотрена
возможность шифрования сообщений, хотя очевидно,
что добавить ее в протокол TCP не составляло труда.
Разработчики решили переложить задачу
криптозащиты на протоколы более высоких уровней,
например прикладного уровня. При этом базовые
протоколы прикладного уровня (FTP, TELNET,
HTTP и др.) также не предусматривали никакого
шифрования сообщений.
38. Вывод
• Для эффективного обеспечения ИБ от угроз сетевых
атак следует использовать следующие программно-
аппаратные средства:
методика брандмауэра (Firewall);
виртуальные частные сети (Virtual Private Networks);
защищенные сетевые криптопротоколы и шифраторы
сетевого трафика;
программные средства обнаружения атак (IDS -
Intrusion Detection Systems);
программные средства анализа защищенности;
грамотное администрирование защищенных сетевых
ОС.
На самом деле replay-атаки являются одним из вариантов фальсификации, но в силу того, что это один из наиболее распространенных вариантов атаки для получения несанкционированного доступа, его часто рассматривают как отдельный тип атаки.
(One-Time Passwords). Это технология двухфакторной аутентификации, при которой происходит сочетание того, что у вас есть, с тем, что вы знаете. При этом аппаратное или программное средство генерирует по случайному принципу уникальный одномоментный однократный пароль. Если хакер узнает этот пароль с помощью сниффера, эта информация будет бесполезной, потому что в этот момент пароль уже будет использован и выведен из употребления. Но это касается только паролей - к примеру, сообщения электронной почты все равно остаются незащищенными.
Современные средства борьбы с вредоносным кодом достаточно эффективны, и практика показывает, что регулярно вспыхивающие глобальные эпидемии компьютерных вирусов происходят во многом благодаря "человеческому фактору" - большинство пользователей и многие системные администраторы (!) попросту ленятся регулярно обновлять базы данных антивирусных программ и проверять на вирусы приходящую электронную почту перед ее прочтением (хотя сейчас это все чаще делают сами провайдеры услуг Интернет).
Такое распределение "рабочей нагрузки" не только усиливает разрушительное действие атаки, но и сильно затрудняет меры по ее отражению, не позволяя выявить истинный адрес координатора атаки.
• Smurf - ping-запросы ICMP (Internet Control Message Protocol) по адресу направленной широковещательной рассылки. Используемый в пакетах этого запроса фальшивый адрес источника в результате оказывается мишенью атаки. Системы, получившие направленный широковещательный ping-запрос, отвечают на него и "затапливают" сеть, в которой находится сервер-мишень. • ICMP flood - атака, аналогичная Smurf, только без усиления, создаваемого запросами по направленному широковещательному адресу. • UDP flood - отправка на адрес системы-мишени множества пакетов UDP (User Datagram Protocol), что приводит к "связыванию" сетевых ресурсов. • TCP flood - отправка на адрес системы-мишени множества TCP-пакетов, что также приводит к "связыванию" сетевых ресурсов. • TCP SYN flood - при проведении такого рода атаки выдается большое количество запросов на инициализацию TCP-соединений с узлом-мишенью, которому, в результате, приходится расходовать все свои ресурсы на то, чтобы отслеживать эти частично открытые соединения.