Добавлен: 26.06.2023
Просмотров: 141
Скачиваний: 2
СОДЕРЖАНИЕ
Теоретические основы защиты информации
Основные понятия по информационной безопасности
Методы и средства защиты информации
Разработка мер по защите сетевой инфраструктуры предприятия
Подмена доверенного объекта сети. Перехват TCP-сессии (IP-hijacking)
5. Навязывание ложного маршрута сети.
6. Внедрение ложного объекта сети.
Меры по защите сетевой инфраструктуры
Преимущества технологии Cisco DMVPN
Подмена доверенного объекта сети. Перехват TCP-сессии (IP-hijacking)
Для проведения данной атаки хакер должен иметь доступ к машине, находящейся на пути сетевого потока и обладать достаточными правами на ней для генерации и перехвата IP-пакетов. При передаче данных постоянно используются два 32-битных поля-счетчика (оба поля находятся в IP-заголовке). Исходя из их значения, сервер и клиент проверяют корректность передачи пакетов. Существует возможность ввести соединение в десинхронизированное состояние, когда присылаемые сервером значения счетчиков не будут совпадать с ожидаемым значением клиента, и наоборот. В данном случае злоумышленник, прослушивая линию, может взять на себя функции посредника, генерируя корректные пакеты отдельно для клиента и сервера и перехватывая их ответы. Метод позволяет полностью обойти такие системы защиты, как, например, одноразовые пароли, поскольку злоумышленник начинает работу уже после того, как произойдет авторизация пользователя.
Этапы реализации данной атаки и типы пересылаемых пакетов приведены на рис.5.
Рисунок 5 – Этапы реализации подмены доверенного объекта (IP-hijacking).
5. Навязывание ложного маршрута сети.
Данная угроза реализуется одним из двух способов: путем внутрисегментного или межсегментного навязывания. Возможность навязывания ложного маршрута обусловлена недостатками, присущими алгоритмам маршрутизации (в частности, из-за проблемы идентификации сетевых управляющих устройств), в результате чего можно попасть, например, на хост или в сеть злоумышленника, где можно войти в операционную среду технического средства в составе ИСПДн. Реализация угрозы основывается на несанкционированном использовании протоколов маршрутизации (RIP, OSPF, LSP) и управления сетью (ICMP, SNMP) для внесения изменений в маршрутно-адресные таблицы. При этом нарушителю необходимо послать от__ имени сетевого управляющего устройства (например, маршрутизатора) управляющее сообщение (рисунки 6 и 7).
Рисунок 6 – Схема реализации атаки «Навязывание ложного маршрута» (внутрисегментное) с использованием протокола ICMP с целью нарушения связи
Для осуществления этой удаленной атаки необходимо подготовить ложное ICMP Redirect Host сообщение, в котором указать конечный IP-адрес маршрута (адрес хоста, маршрут к которому будет изменен) и IP-адрес ложного маршрутизатора. Далее это сообщение передается на атакуемый хост от имени маршрутизатора. Для этого в IP-заголовке в поле адреса отправителя указывается IP-адрес маршрутизатора. Можно предложить два варианта данной удаленной атаки.
Рисунок 7 – Схема реализации угрозы «Навязывание ложного маршрута» (межсегментное) с целью перехвата трафика
В первом случае атакующий находится в том же сегменте сети, что и цель атаки. Тогда, послав ложное ICMP-сообщение, он в качестве IP-адреса нового маршрутизатора может указать либо свой IP-адрес, либо любой из адресов данной подсети. Это даст атакующему возможность изменить маршрут передачи сообщений, направляемых атакованным хостом на определенный IP-адрес, и получить контроль над трафиком между атакуемым хостом и интересующим атакующего сервером. После этого атака перейдет во вторую стадию, связанную с приемом, анализом и передачей пакетов, получаемых от атакованного хоста.
В случае осуществления второго варианта удаленной атаки атакующий находится в другом сегменте относительно цели атаки. Тогда, в случае передачи на атакуемый хост ложного ICMP Redirect сообщения, сам атакующий уже не сможет получить контроль над трафиком, так как адрес нового маршрутизатора должен находиться в пределах подсети атакуемого хоста. Однако в этом случае атака достигает другой цели: нарушается работоспособность хоста, поскольку связь между данным хостом и указанным в ложном ICMP-сообщении сервером будет нарушена. Это произойдет из-за того, что все пакеты, направляемые хостом на этот сервер, будут отправлены на IP-адрес несуществующего маршрутизатора.
6. Внедрение ложного объекта сети.
Эта угроза основана на использовании недостатков алгоритмов удаленного поиска. В случае, если объекты сети изначально не имеют адресной информации друг о друге, используются различные протоколы удаленного поиска (например, SAP в сетях Novell NetWare; ARP, DNS, WINS в сетях со стеком протоколов TCP/IP), заключающиеся в передаче по сети специальных запросов и получении на них ответов с искомой информацией. При этом существует возможность перехвата нарушителем поискового запроса и выдачи на него ложного ответа, использование которого приведет к требуемому изменению маршрутно-адресных данных. В дальнейшем весь поток информации, ассоциированный с объектом-жертвой, будет проходить через ложный объект сети (рисунки 8 – 10).
Для реализации данной атаки злоумышленнику необходимо наличие доступа к компьютеру, подключенному к сети к сети и заранее приготовленное программное обеспечение для осуществления атаки.
Происходит настройка приложения для осуществления сканирования сети для выявления соответствия MAC-адресов с IP-адресами хостов. После следует настройка параметров программы для проведения перехвата трафика между двумя или более хостами. Далее происходит подмена таблиц MAC-адресов и ожидание подключения к удаленному компьютеру, для перехвата имени и пароля.
Рисунок 8 – Схема реализации угрозы «Внедрение ложного ARP-сервера»
Основой данной атаки является то, что злоумышленник перехватывает запрос атакуемого хоста к настоящему DNS-серверу. Благодаря этому он решает задачу подбора номера порта, с которого отправлен запрос. Перед ним ставится задача определить идентификатор запроса, однако в большинстве систем этот идентификатор либо равен единице, либо имеет близкий порядок. Поэтому, отправив несколько ответов с разными идентификаторами, злоумышленник может рассчитывать на успех атаки.
Рисунок 9 – Схема реализации угрозы «Внедрение ложного DNS-сервера» путем перехвата DNS-запроса
Межсегментное внедрение ложного DNS-сервера
При реализации данной атаки злоумышленник не имеет возможности перехватить запрос атакуемого хоста к настоящему DNS-серверу. Перед ним ставится задача определить номер порта, с которого отправлен запрос и идентификатор запроса, однако в большинстве систем этот идентификатор либо равен единице, либо имеет близкий порядок. Поэтому, отправив несколько ответов с разными идентификаторами и номерами порта, злоумышленник может рассчитывать на успех атаки.
Рисунок 10 – Схема реализации угрозы «внедрение ложного DNS-сервера» путем шторма DNS-ответов на компьютер сети
Рисунок 11 – Схема реализации угрозы «Внедрение ложного DNS-сервера» путем шторма DNS-ответов на DNS-сервер
7. Отказ в обслуживании.
Эти угрозы основаны на недостатках сетевого программного обеспечения, его уязвимостях, позволяющих нарушителю создавать условия, когда операционная система оказывается не в состоянии обрабатывать поступающие пакеты.
SYN-flood атаки, известные также как TCP-flood атаки, обычно осуществляются против серверов. Основная задача таких атак — отказ в обслуживании (DoS). Злоумышленник посылает большое количество SYN-пакетов на целевой хост по порту сервиса, который он хочет приостановить, от имени произвольных IP-адресов [3]. Так как SYN-пакеты используются в тройном рукопожатии при установлении TCP-соединения, целевой хост отвечает на них пакетами SYN-ACK, резервирует место в буфере под каждое соединение и ждет ответного пакета ACK, который должен завершить соединение, в течение некоторого промежутка времени [12, с.108].
Пакет-подтверждение SYN-ACK передается на ложный адрес источника SYN-пакета, в произвольную точку сети и либо вовсе не найдет адресата, либо будет просто проигнорирован. В результате, при постоянном потоке SYN-запросов, целевой хост будет постоянно держать свой буфер заполненным ненужным ожиданием завершения полуоткрытых ложных соединений и не сможет обработать SYN-запросы от настоящих легальных пользователей.
Меры по защите сетевой инфраструктуры
Для защиты проникновения через демилитаризованную зону в корпоративную сеть используются межсетевые экраны.
Межсетевой экран – это система межсетевой защиты, позволяющая разделить каждую сеть на две и более части и реализовать набор правил, определяющих условия прохождения пакетов с данными через границу из одной части общей сети в другую. Как правило, эта граница проводится между корпоративной (локальной) сетью предприятия и глобальной сетью Интернет, хотя ее можно провести и внутри корпоративной сети предприятия. Использование межсетевых экранов позволяет организовать внутреннюю политику безопасности сети предприятия, разделив всю сеть на сегменты.
В качестве межсетевых экранов будут рассматриваться последние разработки следующих компаний-производителей аппаратных средств защиты периметра:
- IBM;
- D–link;
- Cisco.
В результате выбора среди продуктов от каждой фирмы можно выделить продукты D–linkDFL–260, IBMProventiaNetworkIPS и Cisco 1801/K9.
Условные обозначения:
– недостатки;
Без выделения – преимущества.
Таблица 1
Результаты сравнительного анализа средств межсетевого экранирования
Характеристика |
D–linkDFL–260 |
IBMProventiaNetworkIPS |
Cisco 1801/K9 |
Класс отказоустойчивости |
1 класс |
нет |
1 класс |
Контроль на прикладном уровне с учетом состояния |
Нет |
Да |
Да |
Прозрачная аутентификация Windows |
Да |
Да |
Да |
Пропускная способность |
80Mbps |
10Mbps |
100Mbps |
Wi–Fi |
Нет |
Нет |
Да |
Интерфейсы |
Ethernet 10/100BaseT (WAN) Ethernet |
2 x Ethernet 10/100BaseT (WAN) Ethernet |
ADSL (WAN)) 8 x Ethernet 10/100BaseT (LAN) ISDN BRI |
Протоколирование всех имен пользователей и приложений |
Да |
Да |
Нет |
Поддержка Exchange |
Да |
Да |
Да |
Поддержка Exchange |
Да |
Да |
Да |
Демилитаризованная зона |
Да |
Да |
Нет |
Характеристика |
D–linkDFL–260 |
IBMProventiaNetworkIPS |
Cisco 1801/K9 |
Контроль шлюзового и клиентского трафика VPN на прикладном уровне |
Нет |
Да |
Да |
100–Мбит/с порты ЛВС |
4 |
8 |
8 |
Число одновременных подключений |
12000 |
10000 |
18000 |
Передача функций отказавшего МЭ исправному устройству |
Нет |
Нет |
Да |
Web-кэширование и proxy |
Да |
Нет |
Да |
Цена |
28000 руб. |
150000 руб. |
36000 руб. |
Общее количество недостатков систем |
3 |
4 |
3 |
Как видно из таблицы 1, высокая цена продукта компании IBM обоснована высоким качеством, пропускной способностью, в данном случае рассматривается мало пропускаемая, т.е. самая дешёвая – 10Mbps, и функциональной полнотой их продуктов. Однако наилучшим продуктом в соотношении цена/качество является продукт компании D–link.