Защита информационных процессов в компьютерных сетях. Учебно-методический комплекс

Варлатая С.К., Шаханова М.В.

Возрастное ограничение: 12+ Жанр: Наука Издательство: Проспект Дата размещения: 10.08.2015 ISBN: 9785392193431 Язык: Объем текста: 178 стр. Формат: epub

Оглавление

Учебное пособие. Введение

1. Топология и угрозы безопасности локальной сети

2. Основные пути обеспечения информационной безопасности корпоративной сети

3. Уязвимости и защита в INTERNET. Заключение

Рабочая учебная программа

Методические указания к лабораторным работам

Контрольно-измерительные материалы

Для бесплатного чтения доступна только часть главы! Для чтения полной версии необходимо приобрести книгу

3. УЯЗВИМОСТИ И ЗАЩИТА В INTERNET

Internet – глобальная компьютерная сеть, открытая система, в настоящее время по самым скромным подсчетам объединяющая 45 млн пользователей, число которых увеличивается в год на один миллион. Эта децентрализованная сеть состоит из 50 тыс. подсетей и более 100 млн компьютеров, общающихся между собой по протоколу TCP/IP, из них около 3 млн подсоединены к сети одновременно. К сожалению, пока не существует общества, свободного от недостатков – всегда находятся нарушители спокойствия. Не стало исключением и сообщество Сети сетей, широкое применение Internet в котором привело к появлению многочисленных случаев несанкционированного доступа (НСД) к конфиденциальной информации.

Под термином "информационная безопасность" понимают состояние защищенности инфоpмации, обpабатываемой средствами вычислительной техники или автоматизированной системы, от внутpенних или внешних угроз: от нежелательного ее разглашения (нарушения конфиденциальности), искажения (нарушения целостности), утраты или снижения степени доступности информации, а также ее незаконного тиражирования, которые приводят к материальному или моральному ущербу владельца или пользователя информации. Соответственно под защитой информации будет подразумеваться комплекс мероприятий, проводимых с целью предотвращения от действий угроз безопасности информации, где угроза является потенциальной возможностью нарушения безопасности информации. Когда говорят о компьютерной безопасности, то имеют в виду широкий спектр проблем: от стихийных бедствий и проблем с электропитанием до искушенных злоумышленников, которые используют вычислительные системы к своей выгоде, или шпионов, которые охотятся за государственными и коммерческими секретами. (Отметим, что в отчете рассмотрены только информационные технологии.)

Возникновение проблемы обеспечения информационной безопасности при подключении организаций к мировым открытым сетям напрямую связано с их основными достоинствами – оперативностью, открытостью, глобальностью. Без реализации основных мер безопасности любой пользователь имеет возможность добраться до любой хост-машины, чтобы получить доступ к информации, к ее ресурсам или запустить программный модуль на удаленном компьютере.

Подключение к сети Internet или, употребляя более корректную формулировку, использование служб и сервисов Сети само по себе не создает каких-либо принципиально новых проблем в области обеспечения информационной безопасности, отличных от тех, которые существуют при связи компьютерных систем по открытым каналам межмашинного обмена. И, как следствие, обязательно возникает определенный риск взлома сети или отдельного компьютера.

В прошлом большинство взломов происходило потому, что люди хотели получить свободный и неконтролируемый доступ к компиляторам или другим ресурсам системы. С течением времени факт вторжения в компьютерную среду превратился для некоторых людей в спорт, и число взломанных систем приобрело для них большее значение, чем фактическая информация или прикладные программы, находящиеся в этих системах.

Несмотря на незаконный характер компьютерных взломов, подавляющее их большинство – не что иное, как желание "знатоков сетевых технологий" применить свои знания на практике без злого умысла и несанкционированно проникнуть в ЛС или отдельный компьютер без цели похищения информации или получения особых прав на работу в системе. Число злоумышленных нападений чрезвычайно невелико в сравнении с общим числом взломов, происходящих ежедневно. Однако ущерб от злоумышленных нападений оценивается сотнями миллионов долларов в год.

Важно отметить, что наибольший материальный ущерб приносят профессионалы, деятельность которых носит целенаправленный характер либо из мести, либо в целях промышленного шпионажа.

В самом общем виде основными угрозами информационной безопасности при подключении к Internet являются:

• несанкционированный (неавторизированный) доступ внешних пользователей сети Internet к какому-либо виду сервисного обслуживания, предоставляемого легальным пользователям;

• доступ к информации и базам данных организаций без аутентификации внешнего пользователя (идентификации) в сети, включая проникновение к ресурсам абонентов в абонентских пунктах или на хост-машинах с целью НСД к информации, ее разрушения или искажения;

• перенос (импорт) в системы и сети организаций разрушающего программного обеспечения (ПО);

• искажение (нарушение целостности) ПО систем и сетей организаций с целью изменения выполняемых ими функций, вплоть до полной дезорганизации их работы;

• нарушение конфиденциальности информационного обмена по каналам связи абонентов систем и сетей организаций;

• доступ к информации о структуре сетей и используемых в них механизмах защиты.

Результаты воздействия угроз могут выражаться в появлении сбоев в работе информационных систем организаций, искажении либо разрушении циркулирующей или хранящейся в них информации, нарушении защитных механизмов систем, что позволяет осуществить НСД к информации и контролировать работу информационных систем.

Некоторые статистические данные по вероятности проявления угроз информационной безопасности приведены в табл. 3.1.

Таблица 3.1

Вероятности проявления угроз информационной безопасности

Согласно исследованиям CERT (The Computer Emergency Re-search Team) 60% всех правонарушений в Internet приходится на блокирование информации и нарушение работы системы обработки информации. Еще 20% приходится на долю подделки информации, остальные же 20% в сумме дают оставшиеся противоправные действия.

3.1. Уязвимость глобальной сети Internet

Сколько же потенциальных уязвимых мест у сетей, подключенных к Internet? Если обобщать, то их найдется не более двух десятков; если подробно рассматривать каждое аппаратно-программное решение, то их будут сотни. Специалисты компании Internet Security Systems считают, что в любой сети, основанной на протоколе TCP/IP, существует около 135 потенциальных каналов для НСД.

3.1.1. Типы злоумышленников

Существует, по крайней мере, две классификации типов злоумышленников. Первая предлагает следующее деление взломщиков локальных сетей (ЛС) и персональных компьютеров (ПК) на тех, кто стремится:

• получить доступ к закрытой информации или другим ресурсам компьютера – «шпионы»;

• нарушить работу ПК или ЛС – «луддиты» и «хулиганы».

Отличие «шпиона» от других типов злоумышленников в том, что после входа в систему он должен найти и перенести определенную информацию на свой компьютер, что делает его задачу более сложной, чем простое проникновение. «Луддит» пытается не просто проникнуть в систему, но и получить определенные права на операции в системе. Если его действия происходят в интерактивном режиме, то он, аналогично «шпиону», переносит интересующую его информацию на свой компьютер или отслеживает работу «взламываемой» им машины или сети, что довольно рискованно, поэтому, скорее всего, после проникновения запускается программа, которая и осуществляет акты вандализма. «Хулиган» ничего в системе не ломает, но может серьезно осложнить работу системы. Типичным примером его действий является написание и запуск компьютерных вирусных программ, например так называемых «червей», которые плодятся в многозадачных системах и загружают процессор бесполезной работой.

Более распространенной является классификация злоумышленников по следующим категориям:

хакер – лицо, проявляющее чрезмерный интерес к устройству сложных систем, как правило компьютерных, и вследствие этого интереса обладающее большими познаниями по части архитектуры и принципов устройства вычислительной среды или технологии телекоммуникаций, что используется для похищения информации;

кракер – лицо, изучающее систему с целью ее взлома. Именно кракеры реализуют свои криминальные наклонности в похищении информации и написании разрушающего ПО и вирусов. Они применяют различные способы атак на компьютерную систему, используя принципы построения протоколов сетевого обмена;

фракер – приверженец электронного журнала Phrack, который с 1985 г. публикует материалы по ОС, сетевым технологиям и новости компьютерного андеграунда. Эти пользователи компьютерных сетей злоумышленниками в обычном понимании не являются, но, "взламывая" ЛС, они получают информацию о топологии этих сетей, используемых в них программно-аппаратных средствах и информационных ресурсах, а также реализованных методах защиты. Эти ценные сведения могут тем или иным способом (покупка, хищение и т.п.) попасть к заинтересованным в них лицам, которые и осуществят НСД.

Из всех случаев вскрытия систем львиная доля приходится на "человеческий фактор". Можно выделить пять типов пользователей, которые умышленно или по неведению могут открыть доступ к ЛС:

1) руководство организации, как правило, получает доступ на правах привилегированного пользователя. Не обладая достаточной квалификацией, такие пользователи могут предоставить взломщикам вход в ЛС с секретной информацией;

2) секретари руководителей часто получают пароли от своих начальников и, следовательно, получают все права первых. Угрозы информационной безопасности ЛС аналогичны пункту 1;

3) среди сотрудников могут найтись шутники, которые любят разыграть своих товарищей. Часто такие шутки приводят к нарушению нормальной работы ПК объекта шутки, что, в свою очередь, может породить более серьезные проблемы во всей ЛС;

4) "мертвые души" – это пользователи, которые получили идентификатор на машине, но реально на ней не работают. В результате пароли не обновляются, и вероятность их подбора увеличивается. Следует выявлять таких пользователей и, если в дальнейшем они не будут работать на ПК, уничтожать соответствующую идентификационную информацию и пароли;

5) сами системные администраторы могут создавать проблемы. Например, для завершения начатых на рабочем месте дел на домашнем ПК они могут скорректировать правила доступа в ЛС на выходные или даже на время их переезда с рабочего места в организации до дома.

Не следует забывать и о еще одном типе злоумышленников — уволенные или неудовлетворенные своей карьерой служащие. Из чувства мести они могут создать большие проблемы информационной безопасности организации.

3.1.2. Классические методы взлома

Очевидно, что первая цель злоумышленника при взломе ЛС или ПК – получить доступ к системе (без осуществления этого этапа НСД к информации или запуск разрушающего ПО невозможен). В прошлом большинство компьютеров подсоединялись к обычной телефонной сети при помощи модема. Перед злоумышленником в качестве преграды вставало лишь требование зарегистрироваться для входа в систему, т.е. осуществить идентификацию и аутентификацию. Идентификация позволяет субъекту – пользователю или процессу, действующему от имени определенного пользователя, – назвать себя, сообщив свое имя. Посредством аутентификации (иначе называемой "проверка подлинности") система убеждается, что субъект действительно тот, за кого себя выдает, поэтому первым шагом для получения НСД было отыскание допустимого имени пользователя и пароля.

Способы взлома парольной защиты системы: Подбор пароля пользователя.

Метод "грубой силы".

Метод "зашифровать и сравнить" (crypt and compare).

Злоупотребление доверием пользователей.

Подбор пароля пользователя. Одним из наиболее распространенных способов взлома парольной защиты системы является обыкновенный подбор. Использование пароля добавило хлопот легальным пользователям, которые в свою очередь либо отказывались использовать пароль, либо выбирали в качестве пароля чересчур простые и очевидные слова. Даже сегодня пароли остаются основным средством защиты в большинстве компьютерных систем. Важно правильно его выбрать. Правильно выбранный пароль содержит буквы, цифры, знаки препинания и специальные символы, и при этом он не связан ни с каким словом, которое может быть найдено в словаре неважно какого языка; пароль не должен быть общеупотребительным словом.

Поскольку подбор правильного имени пользователя и комбинации паролей требует больших затрат времени, злоумышленники пишут специальные программы, чтобы автоматизировать этот процесс. Некоторые из этих программ, пытаясь получить доступ к системе, просто используют список общеупотребительных паролей с известным или установленным по умолчанию именем пользователя. Другие программы используют комбинацию сетевых утилит Unix типа Finger (программы вывода информации о некотором пользователе), чтобы выяснить имена пользователей данной системы, и затем пробуют в качестве паролей различные перестановки символов, встречающихся в этих именах.

Метод "грубой силы". В зависимости от типа операционной системы (ОС) нападающий в первую очередь может опробовать существующие системные установки паролей по умолчанию. Если после установки системы эти значения не менялись, то система с большей долей вероятности окажется взломанной.

Во многих ОС имеются специфические имена пользователей. Например, в Unix-системах всегда имеется пользователь root, на VMS – system, в Netware – supervisor. Эти пользователи создаются во время инсталляции системы и являются пользователями по умолчанию. Они могут также быть созданы без пароля или с одним и тем же паролем для каждой инсталляции, поэтому важно, чтобы их пароли были впоследствии изменены.

Злоумышленник может попробовать войти в систему с паролем quest, demo или visitor.

Метод "зашифровать и сравнить" (crypt and compare). В системе Unix пароль и другая специфическая информация о пользователе хранятся в каталоге /etc в файле, который по умолчанию доступен всем пользователям системы. Непосредственно пароли хранятся в зашифрованном виде, и для их расшифровки может потребоваться неопределенное количество часов вычислительной работы. Зная это, многие злоумышленники используют компьютерную программу, которая подбирает пароли при помощи методики, названной "зашифровать и сравнить". Суть метода заключается в шифровании различных слов при помощи того же самого алгоритма, которым шифруются действительные пароли, а затем – в сравнении двух зашифрованных строк. Если обнаружится их соответствие, то необходимый пароль найден.

Например, в файле имеется следующая запись о пароле: root: Xxka92hfso239fh:0:0 System Administrator:/:/bin/csh

Зашифрованный пароль пользователя "root" имеет вид Xxka92hfso239fh. Программа шифровки и сравнения в данном случае шифровала бы различные слова, обычно взятые из словаря, и искала бы соответствие. Затраты времени на сравнение всего словаря с файлом пароля у таких программ удивительно невелики. На ПК с процессором 486 некоторые программы показывали результат в несколько тысяч шифрований в секунду, а на мощных рабочих станциях эти показатели еще выше.

Злоупотребление доверием пользователей. Один из наиболее эффективных методов получать информацию у ничего не подозревающих пользователей особенно больших корпораций, где многие пользователи даже не знают персонал своих компьютерных подразделений в лицо, общаясь в основном по телефону, носит название social engineering. Это профессионально выполняемая имитация системных администраторов, персонала телефонных компаний. Просто перебирая произвольные отделы компании, злоумышленник – подставное лицо – может получить всю необходимую информацию, чтобы войти в ее компьютерную сеть.

Возможна следующая ситуация: в офисе раздается звонок. Звонящий называется представителем фирмы, предоставляющей Internet-услуги этому офису, и говорит, что возникла проблема с доступом в Internet. Он предлагает назначить новый пароль "из соображений безопасности", но для проверки нужен старый. Многие люди просто предоставляют такую информацию, даже не поинтересовавшись ничем у своего собеседника. Прежде, чем что-либо говорить, надо удостовериться в полномочиях собеседника и попытаться узнать побольше информации, например, его имя и номер телефона, где можно его найти. Хотя нет никакой гарантии, что он не назовет произвольный номер.

3.1.3. Современные методы взлома

С ростом сетей и совершенствованием сетевых утилит модернизировались и методы обхода защиты. При помощи инструментальных средств поиска сетевых неисправностей, администрирования и сбора статистики о работе системы злоумышленник может в прямом смысле перехватить любые данные, посылаемые некоторым компьютерам, и использовать их по своему усмотрению. Наряду с этим необычайно возросла практика изменения системных утилит и создания отдельных пакетов.

Выделяют четыре вида наиболее часто используемых методов взлома ЛС и НСД к секретной информации.

1. Перехват данных: а) перехват данных в Ethernet; б) перехват ввода с клавиатуры.

2. Мониторинг в системе X Windows.

3. Подмена системных утилит.

4. Нападения с использованием сетевых протоколов.

1. Перехват данных:

а) перехват данных в Ethernet. (Ethernet – это физическая среда передачи информации в ЛС, реализующая множественный доступ к ней.) В одном из наиболее распространенных методов перехвата данных при их перемещении по линиям связи в ЛС используется программа, называемая "sniffer" ("ищейка"). Даже если потенциальный злоумышленник не имеет доступа к некоторой машине, он может перехватить данные, посылаемые ей, в момент их прохождения по кабелю, который подключает данный компьютер к сети. Компьютер, подключенный к сети, аналогичен телефонному аппарату, подключенному к общему номеру. Любой человек может поднять трубку и подслушать чужой разговор. В случае передачи данных любой компьютер, соединенный с сетью, способен принимать пакеты, посылаемые другой станции. Границы существования данной возможности определяются архитектурой сети. Она может распространяться как на компьютеры, принадлежащие данному сегменту сети, так и на всю сеть в целом.

В обычном режиме плата Ethernet принимает только те фреймы, которые ей предназначены, т.е. указаны в заголовке фрейма. Однако в целях отладки многие карты можно заставить работать в режиме sniffer, тогда он будут принимать все фреймы, которые передаются по кабелю. Такой режим работы карты называется promiscuous mode. Если можно заполучить пакет в машину, то, следовательно, его можно проанализировать. Главная проблема заключается в том, чтобы sniffer успевал перерабатывать весь трафик, который проходит через интерфейс.

Sniffers существуют не только для Ethernet. Многие компании выпускают системы анализа трафика и для высокоскоростных линий передачи данных.

Самый яркий представитель последнего поколения sniffer-программ – IPWatcher.

Использование sniffer-программ наиболее эффективно для проникновения на хосты с большой активностью входящего и выходящего трафика (потока пакетов).

Методы защиты от sniffers таковы. Во-первых, если система многопользовательская, то при помощи команды ifconfig можно увидеть интерфейс, который работает в режиме sniffer. Среди флагов появляется значение PROMISC. Однако злоумышленник может подменить команду ifconfig, чтобы она не показывала этот режим работы, поэтому сначала следует убедиться в том, что программа та самая, которая была первоначально, а затем ее необходимо протестировать. Обнаружить sniffer на других машинах сети нельзя, особенно это касается машин с MS-DOS, поэтому защита от сканирования возможна путем установки межсетевых фильтров и введения механизма шифрации либо всего трафика, либо только идентификаторов и паролей. Во-вторых, существуют и аппаратные способы защиты. Ряд сетевых адаптеров не поддерживает режим promiscuous mode. Если эти карты использовать для организации локальной сети, то можно обезопасить себя от sniffers;

б) перехват ввода с клавиатуры. Существуют многочисленные утилиты, позволяющие контролировать все символьные строки, вводимые на некотором хост-компьютере. Некоторые из них встроены в утилиты контроля данных, посылаемых с хоста через FTP или Telnet, а другие буферизируют все символьные строки, вводимые с различных терминалов, связанных с хостом. Для ПК имеются многочисленные программы, выполняющие те же самые функции, наблюдая за вводом с клавиатуры и сохраняя символьные строки в файл.

Заметить программы подобного сорта на рабочих станциях бывает весьма трудно, поскольку данный процесс практически не влияет на скорость работы системы и может вообще быть невидимым. На ПК просто отличить такую программу, подменяющую обычную программу системной регистрации, от других резидентных программ, выполняющихся в памяти, при помощи команды МЕМ, хотя она может быть и замаскирована от такого наблюдения.

2. Мониторинг в системе X Windows (иначе называемая Х11). На многих ПК с ОС Unix используется графический интерфейс, известный как X Windows. Он позволяет пользователю легко выполнять несколько приложений и переходить с одного на другое. Пользователь начинает Х-сессию, соединяясь с Х-сервером и указывая, что данные должны посылаться на определенный терминал. Это может быть как системная консоль, так и любой другой терминал, соединенный с сервером.

По своей природе система X Windows недостаточно защищена от перехвата данных. Имеется ряд проблем с X Windows, включая возможности для нападающих блокировать доступ к серверу, выполнять на нем нежелательные команды и перехватывать ввод, сгенерированный на сервере. При помощи простой программы, доступной в среде компьютерного андеграунда, все нажатия клавиш в некоторой сессии X Windows могут быть перехвачены и сохранены в файл. Любая сессия Telnet или FTP, выполняемая внутри Х-окна в контролируемой системе, будет передавать в руки злоумышленников ценную информацию относительно имен пользователей и их паролей.

3. Подмена системных утилит. В прошлом подобные модификации ограничивались программой login, в которую нападающий мог запрограммировать некоторый свой пароль, предоставляющий ему неограниченный доступ к системе в любое время. В настоящее время тот же метод применяется в отношении других утилит идентификации, существующих в Internet. Широкая доступность исходного текста утилит системы Unix еще более упростила этот процесс, поскольку злоумышленник может легко найти текст нужной ему утилиты и модифицировать ее по своему усмотрению. Некоторые из лучших подделок даже компилируют до точного совпадения размера в байтах с исходной версией. Кроме традиционного "черного входа", многие подделки позволяют пользователю скрываться от программы учета процессов. Поскольку злоумышленник входит в систему через "черный вход", его присутствие не фиксируется в системных файлах регистрации.

Существуют модифицированные версии утилит идентификации для других С: VMS, MVS, VM/CMS и т.п. Однако Unix доминирует в глобальных компьютерных сетях, и использование языка программирования С породило самый широкий выбор злонамеренно модифицированного программного обеспечения.

4. Нападения с использованием сетевых протоколов. Много угроз несет с собой передача специальных пакетов, которые либо содержат неверную информацию, либо были преднамеренно искажены.

Пакеты стандарта TCP/IP имеют специфический порядок байтов, размер и строго определенные поля. В большинстве случаев неправильно составленный пакет будет игнорироваться и отрабатываться либо сетевым интерфейсом, либо маршрутизатором где-нибудь на пути от источника пакета к адресату. Однако в прошлом неправильно организованные пакеты вызывали причудливое поведение либо адресата, либо маршрутизатора, встречающегося на пути.

Вследствие некоторых ошибок маршрутизаторов в прошлом пакеты, состоящие из одних единиц (либо нулей), значительно замедляли работу маршрутизаторов, поскольку устройство "решало", что делать с этими странными данными. Пока маршрутизатор "решал", что делать, другие пакеты продолжали прибывать, в конечном счете, забивая имеющийся буфер маршрутизатора. Это приводило к тому, что на другие пакеты не посылалось уведомление о приеме, вынуждая хост посылать их снова и снова. В некоторых случаях, когда буфер маршрутизатора заполнялся, последний либо зависал, либо просто перезапускался. Очевидно, что и то, и другое весьма нежелательно. Производители маршрутизаторов продолжают вести обширную проверку надежности своих изделий перед выпуском их на рынок, однако ошибки все еще могут быть.

Рассмотрим несколько конкретных примеров, поясняющих принцип осуществления нападения с использованием сетевых протоколов.

Пример 1. "Летучая смерть" (Ping o’Death) – такое название получил достаточно простой способ выведения из строя узлов сети Internet, получивший широкое распространение в последнее время. Результатом атаки является зависание атакуемого сервера, иначе называемого "сервер цели". Примечательно, что для осуществления атаки нужно знать только IP-адрес атакуемого устройства, который в подавляющем большинстве случаев не является секретным. Смысл атаки основан на том факте, что согласно RFC-791 максимальный размер IP-пакета ограничен 65535 байтами. Для хранения такого максимального размера пакета в IP-заголовке отведено 16 бит, и на такую максимальную величину рассчитано существующее ПО. Это ограничение максимальной длины злоумышленник может попробовать обойти. Дело в том, что более нижний, чем сетевой уровень IP, уровень соединения инкапсулирует IP-датаграммы в кадры собственной спецификации (например, Ethernet). При этом сетевой уровень (IP) фрагментирует IP-датаграмму на несколько пакетов, соответствующих максимальному размеру пакета уровня соединения, размер которого ограничен спецификацией уровня соединения (1500 байт в Ethernet). В поле заголовка IP-пакета имеется флаг "фрагмент-продолжение", который во время фрагментации IP устанавливает в "1" во всех фрагментах, кроме последнего. В последнем фрагменте данных бит равен нулю. Кроме того, IP размещает в заголовке фрагмента – в поле смещения фрагмента – смещение данного фрагмента от начала исходного IP-пакета. Максимальное смещение при этом равно 65528 байт. Таким образом, если во фрагменте IP-датаграммы выставить флаг продолжения и подцепить вторую датаграмму, то можно получить результирующую датаграмму, размер которой будет превышать максимально допустимый (например: смещение 65528 + продолжение 1500 = 67028 > 65535). Как правило, принимающие устройства обрабатывают поступающие IP-пакеты только после прихода последнего фрагмента текущего пакета, поэтому превышение размеров максимально ожидаемой длины приводит к переполнению буферов и зависанию машины. Данный способ выведения из строя Internet-узлов легче всего осуществить, используя стандартную утилиту ping. Например, существует большая вероятность того, что команда "Ping-l 65510 test.host.ip.address;", посланная с компьютера, на котором установлена ОС Windows 95, выведет из строя Unix-компьютер, расположенный по адресу test.host.ip.address.

Запрещение доступа к ping-портам не решает проблему, так как лазейка существует в самой структуре протокола IP – потенциально опасными являются все 1024 порта Unix-машин. Решение проблемы защиты от "летучей смерти" лежит только в разработке программного обеспечения, способного корректно обрабатывать IP-пакеты нестандартной длины.

Пример 2. SYN-бомбардировка (Synflood) – способ нарушения работы Internet-сервера. Он достаточно прост в использовании и достаточно трудно предотвращается. Но в отличие от "летучей смерти" он основан на слабости транспортного протокола TCP, т.е. является более высокоуровневым. Смысл SYNбомбардировки в том, что транспортный протокол TCP, в отличие от сетевого IP является надежным протоколом и гарантирует доставку сегмента данных получателю. Это означает, что в случае отсутствия за определенный промежуток времени подтверждения от клиента о получении сегмента данных сервер будет посылать этот сегмент снова и снова, пока не получит подтверждение. Этим свойством и пользуются взломщики для вывода из строя узлов Internet. Все TCPсоединения являются дуплексными: данные следуют в обоих направлениях одновременно. Поток данных в одном направлении совершенно не зависит от потока данных в противоположном. В силу дуплексной природы соединения оба модуля TCP должны учитывать и нумеровать данные в каждом направлении поразному, а значит, обрабатывать два начальных номера последовательности. Стандартный клиент, чтобы обратиться к серверу, посылает по его адресу TCPсегмент, в заголовке которого присутствует флаг синхронизации (SYN) и 32битный начальный номер последовательности. Сервер в ответ посылает сегмент TCP с флагом подтверждения (ACK) и номером подтверждения, кроме того в этом сегменте содержится флаг синхронизации (SYN) и начальный номер последовательности на соединение в направлении сервер-клиент. При получении этого сегмента клиент отправляет очередной свой сегмент с флагом подтверждения и номером подтверждения последовательности сервера. И только после прихода на сервер подтверждения последовательности сервера между сервером и клиентом устанавливается дуплексная TCP-связь. Однако можно достаточно легко модифицировать стандартный драйвер TCP-протокола на клиентской машине, так чтобы он постоянно посылал на сервер сегменты с проставленным флагом синхронизации и различными начальными номерами последовательностей. Тогда в ответ на каждый такой сегмент машина-сервер открывает отдельный канал связи и посылает ответные сегменты. Машина злоумышленника же не отвечает на приходящие данные, а только посылает и посылает новые запросы на установление дополнительных каналов связи. В результате чего загрузка атакованного сервера через некоторое время становится пиковой. Легальные пользователи уже не могут свободно пользоваться его ресурсами. Сервер становится полностью недееспособен, т.е. "зависает".

Стандартные меры по обеспечению безопасности информации в случае "SYN-бомбардировки" не помогают. Решение проблемы лежит в области создания специального программного обеспечения, анализирующего запросы на установление соединения и недопускающего наличия большого числа "безответных" запросов.

Пример 3. Спуффинг – способ НСД к компьютерам, использующий подмену адресов IP-пакетов. Этот способ достаточно распространен и эффективен. Для его осуществления используются два уровня сетевой модели OSI: сетевой IP и транспортный TCP. На сетевом уровне происходит подмена адресов IP-пакета, а на транспортном – подбор начального номера последовательности TCPсегментов и задание портов адресации. Конечным результатом спуффинга является возможность посылки данных (в том числе выполняемых команд) в выбранный злоумышленником порт атакуемой машины (рис. 3.1).

Спуффинг обычно используется как первая часть плана по несанкционированному получению прав администратора атакуемой машины.

Рассмотрим подробнее стандартный план действий злоумышленника (X) по получению НСД. Предполагается, что в сети существует некоторый доверительный компьютер, пользователи которого имеют расширенный доступ к атакуемому серверу (S).

Этапы спуффинга таковы:

1) злоумышленник определяет IP-адрес доверительного компьютера (Т);

2) злоумышленник легальным образом устанавливает связь с S (для этого не нужно быть зарегистрированным пользователем, так как аутентификация происходит позднее и на более высоком уровне) и получает начальный номер последовательности "сервер–злоумышленник" (ISNs1). Этот номер необходим для того, чтобы вычислить начальный номер последовательности "сервер – доверительный компьютер" (ISNs2). Дело в том, что начальный номер последовательности не носит случайный характер, а изменяется по строго определенному закону, поэтому, зная начальный номер последовательности одного соединения, можно вычислить начальный номер последовательности другого соединения;

3) злоумышленник инициирует связь с сервером от имени Т (в заголовке IP-пакетов, в поле отправителя сообщения проставляет адрес доверительного компьютера) и вычисляет начальный номер последовательности "сервер – доверительный компьютер" (ISNs2): X S: SYN(ISNx), (обратный адрес: Т);

4) сервер S шлет ответный сигнал компьютеру Т с подтверждением ISNx и своим начальным номером ISNs2: S T: SYN(ISNs2), ACK(ISNx);

5) злоумышленник, вычисливший ISNs2, отвечает вместо Т: S: ACK(ISNs2) (обратный адрес: Т);

6) теперь злоумышленник получил одностороннюю связь с выбранным портом сервера и в принципе может дистанционно управлять компьютеромцелью. Единственное, что ему остается делать, это посылать подтверждения серверу о непреходящих к нему данных, увеличивая каждый раз на единицу значение ISNs2.

Рис. 3.1. Спуффинг

Более технически сложным, но и значительно более эффективным является вариант спуффинга, когда машина злоумышленника находится на пути трафика между атакуемым сервером и доверительной машиной. В этом случае злоумышленник помещает свою машину вблизи одного из участников диалога и перенаправляет маршрут IP-пакетов так, чтобы они шли через его узел. После этого он производит стандартную процедуру спуффинга, в результате которой получает возможность не только посылать данные серверу, но и принимать ответные пакеты.

Спуффинг относится к достаточно изученным способам НСД в систему. Стандартными мерами профилактики спуффинга являются: запрещение сервисов, основанных на аутентификации по IP-адресу источника, и применение пакетных фильтров.

Спуффинг может быть как для IP-пакетов, так и для MAC (Media Access). Новый тип нападений из Internet, названный Web-spoofing, также может стать серьезной угрозой ее безопасности. Этот метод атак состоит в подключении пользователя к ложному Web-серверу с целью подмены данных, запрашиваемых браузером (программой просмотра и поиска) пользователя. Web-spoofing может поставить под угрозу целостность данных владельцев Web-узлов.

При Web-spoofing "нападающий" должен сначала заманить пользователя на ложный Web-узел. Это может быть сделано несколькими способами: путем проникновения на существующий узел и подмены URL-адресов, путем внесения адреса ложного узла в список механизма поиска или путем посылки пользователям по электронной почте приглашения посетить ложный сервер. Затем адрес ложного узла помещается перед любым URL-адресом, запрашиваемым пользователем, так что адрес http://www.anyurl.com превращается в http://www.spoofserver.com-/http://www.anyurl.com. После этого запрошенная пользователем Web-страница отсылается к нему через ложный сервер, на котором она может быть изменена, а любая информация, которую передает пользователь, может быть перехвачена. В конце-концов все другие оперативные ссылки пользователя будут иметь добавленный спереди адрес ложного узла и все URLзапросы будут нарушены. При этом строка состояния внизу экрана и адрес назначения наверху, которые должны были бы подсказать пользователю, что его соединения осуществляются через другой сервер, могут быть изменены с помощью апплетов Java. Даже при непосредственном вводе URL-адреса в строку назначения Java-апплет все равно может вставить в него адрес ложного сервера.

Избавиться от Web-spoofing можно только пользуясь закладками (Bookmarks) или выбирая опцию Open Location из меню File, так как эти действия вызываются из компонентов браузера, которыми апплет Java не может манипулировать. Пока полного решения проблемы не существует, поскольку для этого потребовалось бы фундаментально изменить принципы работы WWW и апплетов Java.

Варлатая С.К., Шаханова М.В. Защита информационных процессов в компьютерных сетях. Учебно-методический комплекс

Варлатая С.К., Шаханова М.В. Защита информационных процессов в компьютерных сетях. Учебно-методический комплекс

Учебно-методический комплекс содержит рабочую учебную программу, учебное пособие, а также актуальный материал справочно-аналитического характера по теме «Защита информационных процессов в компьютерных сетях».<br /> В учебном пособии отражаются основные методы защиты информации в компьютерных сетях и стандарты оценки защищенности таких сетей. Особое внимание уделено основам обеспечения сетевой безопасности, показана необходимость комплексного подхода к защите вычислительных сетей, акцентировано внимание на распределенной, децентрализованной природе Интернета.<br /> Пособие может быть использовано как справочная литература, кроме того, оно подготовлено в качестве основного учебника для курсов повышения квалификации по защите сетевой информации.

Внимание! Авторские права на книгу "Защита информационных процессов в компьютерных сетях. Учебно-методический комплекс" (Варлатая С.К., Шаханова М.В.) охраняются законодательством!