Опубликован: 02.02.2018 | Доступ: свободный | Студентов: 1520 / 481 | Длительность: 17:50:00
Лекция 4:

Определение угроз безопасности информации ограниченного доступа

< Лекция 3 || Лекция 4: 12 || Лекция 5 >

4.3. Основные классы атак в сетях на основе TCP/IP

Если АС имеет подключение к сетям общего пользования, то могут быть реализованы сетевые атаки на нее. К сетям общего пользования на основе стека протоколов TCP/IP относится и Интернет, на примере которого мы будем рассматривать наиболее распространенные в настоящее время атаки. Сеть Интернет создавалась для связи между государственными учреждениями и университетом с целью оказания помощи учебному процессу. На начальном этапе никто не мог предположить дальнейший масштаб его развития и интеграции в жизнь современного общества, в связи с чем вопросам безопасности не уделялось должного внимания. Как следствие, на данный момент стек обладает множеством уязвимостей, которыми с успехом пользуются злоумышленники для реализации атак. Уязвимости протоколов, входящих в стек TCP/IP обусловлены, как правило, слабой аутентификацией, ограничением размера буфера, отсутствием проверки корректности служебной информации и т.п.

Краткая характеристика наиболее опасных уязвимостей приведена в таблице 4.1.

Таблица 4.1. Уязвимости протоколов стека TCP/IP
Наименование протокола Уровень стека протоколов Наименование (характеристика) уязвимости Содержание нарушения безопасности информации
FTP (File Transfer Protocol) - протокол передачи файлов по сети Прикладной, представительный, сеансовый

1. Аутентификация на базе открытого текста (пароли пересылаются в незашифрованном виде)

2. Доступ по умолчанию

3. Наличие двух открытых портов

Возможность перехвата данных учетной записи (имен зарегистрированных пользователей, паролей).

Получение удаленного доступа к хостам
telnet - протокол управления удаленным терминалом Прикладной, представительный, сеансовый Аутентификация на базе открытого текста (пароли пересылаются в незашифрованном виде)

Возможность перехвата данных учетной записи пользователя.

Получение удаленного доступа к хостам
UDP - протокол передачи данных без установления соединения Транспортный Отсутствие механизма предотвращения перегрузок буфера

Возможность реализации UDР-шторма.

В результате обмена пакетами происходит существенное снижение производительности сервера
ARP - протокол преобразования IP-адреса в физический адрес Сетевой Аутентификация на базе открытого текста (информация пересылается в незашифрованном виде) Возможность перехвата трафика пользователя злоумышленником
RIP - протокол маршрутной информации Транспортный Отсутствие аутентификации управляющих сообщений об изменении маршрута Возможность перенаправления трафика через хост злоумышленника
TCP - протокол управления передачей Транспортный Отсутствие механизма проверки корректности заполнения служебных заголовков пакета Существенное снижение скорости обмена и даже полный разрыв произвольных соединений по протоколу TCP
DNS - протокол установления соответствия мнемонических имен и сетевых адресов Прикладной, представительный, сеансовый Отсутствие средств проверки аутентификации полученных данных от источника Фальсификация ответа DNS-сервера
IGMP - протокол передачи сообщений о маршрутизации Сетевой Отсутствие аутентификации сообщений об изменении параметров маршрута Зависание систем Win 9x/NT/2000
SMTP - протокол обеспечения сервиса доставки сообщений по электронной почте Прикладной, представительный, сеансовый Отсутствие поддержки аутентификации заголовков сообщений Возможность подделывания сообщений электронной почты, а также адреса отправителя сообщения
SNMP - протокол управления маршрутизаторами в сетях Прикладной, представительный, сеансовый Отсутствие поддержки аутентификации заголовков сообщений Возможность переполнения пропускной способности сети

Угрозы, реализуемые по сети, классифицируются по 6 основным признакам:

  1. характер угрозы:

    Пассивная - угроза, которая не оказывает влияния на работу информационной системы, но может нарушить правила доступа к защищаемой информации. Пример: использование sniffer для "прослушивания" сети. Активная - угроза, которая воздействуют на компоненты информационной системы, при реализации которой оказывается непосредственное влияние на работу системы. Пример: DDoS-атака в виде шторма TCP-запросами.;

  2. цель реализации угрозы (соответственно, конфиденциальность, доступность, целостность информации).

  3. условие начала атаки:

    • по запросу от атакуемого. То есть злоумышленник ожидает передачи запроса определенного типа, который и будет условием начала НСД.
    • по наступлению ожидаемого события на атакуемом объекте.
    • безусловное воздействие - злоумышленник ничего не ждет, то есть угроза реализуется сразу и безотносительно к состоянию атакуемого объекта.

  4. наличие обратной связи с атакуемым объектом:

    • с обратной связью, то есть на некоторые запросы злоумышленнику необходимо получить ответ. Таким образом, между атакуемым и атакующим есть обратная связь, позволяющая злоумышленнику следить за состоянием атакуемого объекта и адекватно реагировать на его изменения.
    • без обратной связи - соответственно, нет обратной связи и необходимости злоумышленнику реагировать на изменения атакуемого объекта.

  5. расположение нарушителя относительно атакуемой информационной системы: внутрисегментно и межсегментно. Сегмент сети - физическое объединение хостов, технических средств и других компонентов сети, имеющих сетевой адрес.

  6. уровень эталонной модели ISO/OSI, на котором реализуется угроза: физический, канальный, сетевой, транспортный, сеансовый, представительный, прикладной.

Рассмотрим наиболее распространенные на настоящее время атаки в сетях на основе стека протоколов TCP/IP.

4.3.1. Анализ сетевого трафика

Данная атака ( рис. 4.4) реализуется с помощью специальной программы, называемой sniffer. Sniffer представляет собой прикладную программу, которая использует сетевую карту, работающую в режиме promiscuous mode, так называемый "неразборчивый" режим, в котором сетевая плата позволяет принимать все пакеты независимо от того кому они адресованы. В нормальном состоянии на Ethernet-интерфейсе используется фильтрация пакетов канального уровня и если MAC-адрес в заголовке назначения принятого пакета не совпадает с MAC-адресом текущего сетевого интерфейса и не является широковещательным, то пакет отбрасывается. В "неразборчивом" режиме фильтрация на сетевом интерфейсе отключается и все пакеты, включая не предназначенные текущему узлу, пропускаются в систему. Надо заметить, что многие подобные программы используются в легальных целях, например, для диагностики неисправностей или анализа трафика. Тем не менее, в рассмотренной нами выше таблице перечислены протоколы, которые отправляют информацию, в том числе пароли, в открытом виде - FTP, SMTP, POP3 и т.д. Таким образом, с помощью sniffer можно перехватить имя и пароль и осуществить несанкционированный доступ к конфиденциальной информации. Более того, многие пользователи используют одни и те же пароли для доступа ко многим сетевым сервисам. То есть, если в одном месте сети есть слабость в виде слабой аутентификации, пострадать может вся сеть. Злоумышленники хорошо знают людские слабости и широко применяют методы социальной инженерии.

Схема реализации угрозы "Анализ сетевого трафика"

Рис. 4.4. Схема реализации угрозы "Анализ сетевого трафика"

Защита от данного вида атаки может заключаться в следующем:

  • Сильная аутентификация, например, использование одноразовых паролей (one-time password). Суть состоит в том, что пароль можно использовать однократно, и даже если злоумышленник перехватил его с помощью sniffer, он не представляет никакой ценности. Конечно, данный механизм защиты спасает только от перехвата паролей, и является бесполезным в случае перехвата другой информации.
  • Анти-снифферы - аппаратные или программные средства, способные выявить работу сниффера в сегменте сети. Как правило, они проверяют нагрузку на узлах сети с целью определения "лишней" нагрузки.
  • Коммутируемая инфраструктура. Понятно, что анализ сетевого трафика возможен только внутри одного сегмента сети (понятие сегмента рассматривалось ранее). Если сеть построена на устройствах, разбивающих ее на множество сегментов (коммутаторы и маршрутизаторы), то атака возможна только в тех участках сети, которые относятся к одному из портов данных устройств. Это не решает проблемы сниффинга, но уменьшает границы, которые может "прослушивать" злоумышленник.
  • Криптографические методы. Самый надежный способ борьбы с работой sniffer. Информация, которая может быть получена с помощью перехвата, является зашифрованной и, соответственно, не имеет никакой пользы. Чаще всего используются IPSec, SSL и SSH.

4.3.2. Сканирование сети

Целью сканирования сети является выявление работающих в сети служб, открытых портов, активных сетевых сервисов, используемых протоколов и т.п., то есть сбор информации о сети. Сущность процесса реализации угрозы - передача запросов сетевым службам ИС и анализ ответов на них:

  • запросы DNS помогают выяснить злоумышленнику владельца домена, адресную область,
  • эхо-тестирование - выявляет работающие хосты на основе DNS-адресов, полученных ранее;
  • сканирование портов - составляется полный перечень услуг, поддерживаемых этими хостами, открытые порты, приложения и т.п.

Хорошей и наиболее распространенной контрмерой является использование IDS, которая успешно находит признаки ведения сканирования сети и уведомляет об этом администратора. Полностью избавиться от данной угрозы невозможно, так как если, например, отключить эхо ICMP и эхо-ответ на маршрутизаторе, то можно избавиться от угрозы эхо-тестирования, но при этом потерять данные, необходимые для диагностики сетевых сбоев.

4.3.3. Выявление пароля

Основной целью данной атаки является получение несанкционированного доступа к защищаемым ресурсам путем преодоления парольной защиты. Чтобы получить пароль, злоумышленник может использовать множество способов - простой перебор, перебор по словарю, сниффинг и др. Самым распространенным является простой перебор всех возможных значений пароля. Для защиты от простого перебора необходимо применять сильные пароли, которые не просто подобрать: длина 6-8 символов, использование букв верхнего и нижнего регистра, использование специальных знаков (@,#,$ и т.д.)

Еще одной проблемой информационной безопасности является то, что большинство людей используют одинаковые пароли ко всем службам, приложениям, сайтам и пр. При этом уязвимость пароля зависит от самого слабого участка его использования.

Подобного рода атак можно избежать, если использовать одноразовые пароли или криптографическую аутентификацию.

4.3.4. IP-spoofing или подмена доверенного объекта сети

Под доверенным в данном случае понимается объект сети (компьютер, маршрутизатор, межсетевой экран и т.п.), легально подключенный к серверу. Угроза заключается в том, что злоумышленник выдает себя за доверенный объект сети. Это можно сделать двумя способами. Во-первых, воспользоваться IP-адресом, находящимся в пределах диапазона санкционированных IP-адресов, или авторизованным внешним адресом, которому разрешается доступ к определенным сетевым ресурсам. Атаки данного типа часто являются отправной точкой для прочих атак.

4.3.5. Отказ в обслуживании

Отказ в обслуживании или Denial of Service (DoS) - атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых легитимные пользователи системы не могут получить доступ к предоставляемым системой ресурсам, либо этот доступ затруднён.

DoS-атака является наиболее распространенной и известной атакой в последнее время, что обусловлено в первую очередь относительной простотой реализации. Организация DoS-атаки, как правило, строится на недостатках сетевого программного обеспечения и сетевых протоколов. Если атака проводится для множества сетевых устройств, говорят о распределенной атаке DoS (DDoS - distributed DoS).

Сегодня наиболее часто используются следующие пять разновидностей DoS-атак, для проведения которых существует большое количество программного обеспечения и от которых наиболее тяжело защититься:

Smurf - ping-запросы ICMP. При посылке ping-пакета (сообщение ICMP ECHO) по широковещательному адресу (например, 10.255.255.255), он доставляется каждой машине в этой сети. Принцип атаки заключается в посылке пакета ICMP ECHO REQUEST с адресом-источником атакуемого узла. Злоумышленник шлет постоянный поток ping-пакетов по сетевому широковещательному адресу. Все машины, получив запрос, отвечают источнику пакетом ICMP ECHO REPLY. Соответственно, размер ответного потока пакетов возрастает в пропорциональное количеству хостов число раз. В результате, вся сеть подвергается отказу в обслуживании из-за перегрузки.

ICMP flood - атака, аналогичная Smurf, только без усиления, создаваемого запросами по направленному широковещательному адресу.

UDP flood - отправка на адрес атакуемого узла множества пакетов UDP (User Datagram Protocol).

TCP flood - отправка на адрес атакуемого узла множества TCP-пакетов.

TCP SYN flood - при проведении такого рода атаки выдается большое количество запросов на инициализацию TCP-соединений с атакуемым узлом, которому, в результате, приходится расходовать все свои ресурсы на то, чтобы отслеживать эти частично открытые соединения.

Если используется серверное приложение Web-сервер или FTP-сервер, в результате атаки DoS все соединения, доступные для этих приложений, оказываются занятыми, и пользователи не могут получить к ним доступ. Некоторые атаки способны вывести из строя целую сеть, наполнив ее ненужными пакетами. Для противодействия таким атакам необходимо участие провайдера, потому что если он не остановит нежелательный трафик на входе в сеть, атаку не остановить, потому что полоса пропускания будет занята.

Для ослабления угрозы можно воспользоваться следующим:

  • Функции анти-спуфинга - правильная конфигурация функций анти-спуфинга на ваших маршрутизаторах и межсетевых экранах поможет снизить риск DoS.
  • Функции анти-DoS - правильная конфигурация функций анти-DoS на маршрутизаторах и межсетевых экранах может ограничить эффективность атак. Эти функции часто ограничивают число полуоткрытых каналов в любой момент времени.
  • Ограничение объема трафика (traffic rate limiting) - организация может попросить провайдера (ISP) ограничить объем трафика. Этот тип фильтрации позволяет ограничить объем некритического трафика, проходящего по вашей сети. Обычным примером является ограничение объемов трафика ICMP, который используется только для диагностических целей. Атаки DoS часто используют ICMP[36].

Можно выделить несколько разновидностей угроз данного типа:

  • Скрытый отказ в обслуживании, когда часть ресурсов сети задействован на обработку пакетов, передаваемых злоумышленником со снижением пропускной способности канала, нарушением времени обработки запросов, нарушением производительности сетевых устройств. Пример: направленный шторм эхо-запросов по протоколу ICMP или шторм запросов на установление TCP-соединения.
  • Явный отказ в обслуживании, вызванный тем, что ресурсы сети исчерпались в результате обработки пакетов, посланных злоумышленниками. При этом легальные запросы пользователей не могут быть обработаны из-за того, что вся полоса пропускания канала занята, переполнены буферы, переполнение дискового пространства и т.д. Пример: направленный шторм(SYN-flooding)
  • Явный отказ в обслуживании, вызванный нарушением логической связности между техническими средствами сети при передаче злоумышленником управляющих сообщений от имени сетевых устройств. При этом изменяются маршрутно-адресные данные. Пример: ICMP Redirect Host или DNS-flood.
  • Явный отказ в обслуживании, вызванный тем, что злоумышленник передает пакеты с нестандартными атрибутами (например, UDP-bomb) или имеющих длину, превышающую максимальную (Ping Death).

Помимо перечисленных выше сетевых атак существуют различные схемы интернет-мошенничества.

Фишинг. Злоумышленник получает идентификационные данные пользователей (пароли, номера кредитных карт, PIN-кодов и т.п.) с помощью сайта-копии определенного банка (аукциона, электронной платежной системы и т.п.). После создания сайта-копии по электронной почте рассылается письмо, максимально похожее на настоящее письмо от выбранного банка. При составлении письма используются соответствующие атрибуты - адрес отправителя, очень похожий на настоящий, логотип, фамилии реальных руководителей и сотрудников выбранного банка. В письме, как правило, сообщается о том, что произошла смена программного обеспечения и нужно зайти в интернет-банк и подтвердить свои учетные данные. Потенциальная жертва переходит по ссылке из письма на сайт-подделку и вводит свои конфиденциальные данные.

Фарминг - еще один вид мошенничества, ставящий целью получить конфиденциальные данные пользователей. Фармеры заменяют на серверах DNS цифровые адреса легитимных веб-сайтов на поддельные, в результате чего пользователи перенаправляются на сайты злоумышленников. То есть в этой схеме потенциальная жертва даже не должна открывать письмо с некорректной ссылкой. Хорошим методом защиты от фишинга и фарминга является аутентификация по одноразовому паролю или двухфакторная аутентификация с помощью пароля и usb-ключа.

< Лекция 3 || Лекция 4: 12 || Лекция 5 >
Александр Игнатьев
Александр Игнатьев

По тексту есть ссылки на литературные источники, которых нет всиске литературы. Номера есть, а источников нет. Ждать ли исправления?

Александр Тимошкин
Александр Тимошкин

В рамках курса часто упоминается сокращение "ТКЗИ". Если имеется в виду Техническая Защита Конфиденциальной Информации, то не правильнее ли использовать сокращение ТЗКИ, тем более что в разделе 11.1 Сущность, цели и задачи планирования, встречается фраза "Планирование ТЗКИ включает в себя"?

Владислав Шеревера
Владислав Шеревера
Россия, Санкт-Петербург, ФГКОУ "Санкт-Петербургский кадетский военный корпус" МО РФ
Евгений Штукерт
Евгений Штукерт
Россия, г. Краснодар