Добавлен: 18.06.2023
Просмотров: 128
Скачиваний: 4
СОДЕРЖАНИЕ
Теоретические основы защиты информации
Основные понятия по информационной безопасности
Методы и средства защиты информации
Подмена доверенного объекта сети. Перехват TCP-сессии (IP-hijacking)
5. Навязывание ложного маршрута сети.
6. Внедрение ложного объекта сети.
Этапы реализации данной атаки и типы пересылаемых пакетов приведены на рис.5.
Рисунок 5 – Этапы реализации подмены доверенного объекта (IP-hijacking).
5. Навязывание ложного маршрута сети.
Данная угроза реализуется одним из двух способов: путем внутрисегментного или межсегментного навязывания. Возможность навязывания ложного маршрута обусловлена недостатками, присущими алгоритмам маршрутизации (в частности, из-за проблемы идентификации сетевых управляющих устройств), в результате чего можно попасть, например, на хост или в сеть злоумышленника, где можно войти в операционную среду технического средства в составе ИСПДн. Реализация угрозы основывается на несанкционированном использовании протоколов маршрутизации (RIP, OSPF, LSP) и управления сетью (ICMP, SNMP) для внесения изменений в маршрутно-адресные таблицы. При этом нарушителю необходимо послать от__ имени сетевого управляющего устройства (например, маршрутизатора) управляющее сообщение (рисунки 6 и 7).
Рисунок 6 – Схема реализации атаки «Навязывание ложного маршрута» (внутрисегментное) с использованием протокола ICMP с целью нарушения связи
Для осуществления этой удаленной атаки необходимо подготовить ложное ICMP Redirect Host сообщение, в котором указать конечный IP-адрес маршрута (адрес хоста, маршрут к которому будет изменен) и IP-адрес ложного маршрутизатора. Далее это сообщение передается на атакуемый хост от имени маршрутизатора. Для этого в IP-заголовке в поле адреса отправителя указывается IP-адрес маршрутизатора. Можно предложить два варианта данной удаленной атаки.
Рисунок 7 – Схема реализации угрозы «Навязывание ложного маршрута» (межсегментное) с целью перехвата трафика
В первом случае атакующий находится в том же сегменте сети, что и цель атаки. Тогда, послав ложное ICMP-сообщение, он в качестве IP-адреса нового маршрутизатора может указать либо свой IP-адрес, либо любой из адресов данной подсети. Это даст атакующему возможность изменить маршрут передачи сообщений, направляемых атакованным хостом на определенный IP-адрес, и получить контроль над трафиком между атакуемым хостом и интересующим атакующего сервером. После этого атака перейдет во вторую стадию, связанную с приемом, анализом и передачей пакетов, получаемых от атакованного хоста.
В случае осуществления второго варианта удаленной атаки атакующий находится в другом сегменте относительно цели атаки. Тогда, в случае передачи на атакуемый хост ложного ICMP Redirect сообщения, сам атакующий уже не сможет получить контроль над трафиком, так как адрес нового маршрутизатора должен находиться в пределах подсети атакуемого хоста. Однако в этом случае атака достигает другой цели: нарушается работоспособность хоста, поскольку связь между данным хостом и указанным в ложном ICMP-сообщении сервером будет нарушена. Это произойдет из-за того, что все пакеты, направляемые хостом на этот сервер, будут отправлены на IP-адрес несуществующего маршрутизатора.
6. Внедрение ложного объекта сети.
Эта угроза основана на использовании недостатков алгоритмов удаленного поиска. В случае, если объекты сети изначально не имеют адресной информации друг о друге, используются различные протоколы удаленного поиска (например, SAP в сетях Novell NetWare; ARP, DNS, WINS в сетях со стеком протоколов TCP/IP), заключающиеся в передаче по сети специальных запросов и получении на них ответов с искомой информацией. При этом существует возможность перехвата нарушителем поискового запроса и выдачи на него ложного ответа, использование которого приведет к требуемому изменению маршрутно-адресных данных. В дальнейшем весь поток информации, ассоциированный с объектом-жертвой, будет проходить через ложный объект сети (рисунки 8 – 10).
Для реализации данной атаки злоумышленнику необходимо наличие доступа к компьютеру, подключенному к сети к сети и заранее приготовленное программное обеспечение для осуществления атаки.
Происходит настройка приложения для осуществления сканирования сети для выявления соответствия MAC-адресов с IP-адресами хостов. После следует настройка параметров программы для проведения перехвата трафика между двумя или более хостами. Далее происходит подмена таблиц MAC-адресов и ожидание подключения к удаленному компьютеру, для перехвата имени и пароля.
Рисунок 8 – Схема реализации угрозы «Внедрение ложного ARP-сервера»
Основой данной атаки является то, что злоумышленник перехватывает запрос атакуемого хоста к настоящему DNS-серверу. Благодаря этому он решает задачу подбора номера порта, с которого отправлен запрос. Перед ним ставится задача определить идентификатор запроса, однако в большинстве систем этот идентификатор либо равен единице, либо имеет близкий порядок. Поэтому, отправив несколько ответов с разными идентификаторами, злоумышленник может рассчитывать на успех атаки.
Рисунок 9 – Схема реализации угрозы «Внедрение ложного DNS-сервера» путем перехвата DNS-запроса
Межсегментное внедрение ложного DNS-сервера
При реализации данной атаки злоумышленник не имеет возможности перехватить запрос атакуемого хоста к настоящему DNS-серверу. Перед ним ставится задача определить номер порта, с которого отправлен запрос и идентификатор запроса, однако в большинстве систем этот идентификатор либо равен единице, либо имеет близкий порядок. Поэтому, отправив несколько ответов с разными идентификаторами и номерами порта, злоумышленник может рассчитывать на успех атаки.
Рисунок 10 – Схема реализации угрозы «внедрение ложного DNS-сервера» путем шторма DNS-ответов на компьютер сети
Рисунок 11 – Схема реализации угрозы «Внедрение ложного DNS-сервера» путем шторма DNS-ответов на DNS-сервер
7. Отказ в обслуживании.
Эти угрозы основаны на недостатках сетевого программного обеспечения, его уязвимостях, позволяющих нарушителю создавать условия, когда операционная система оказывается не в состоянии обрабатывать поступающие пакеты.
SYN-flood атаки, известные также как TCP-flood атаки, обычно осуществляются против серверов. Основная задача таких атак — отказ в обслуживании (DoS). Злоумышленник посылает большое количество SYN-пакетов на целевой хост по порту сервиса, который он хочет приостановить, от имени произвольных IP-адресов [3]. Так как SYN-пакеты используются в тройном рукопожатии при установлении TCP-соединения, целевой хост отвечает на них пакетами SYN-ACK, резервирует место в буфере под каждое соединение и ждет ответного пакета ACK, который должен завершить соединение, в течение некоторого промежутка времени [12, с.108].
Пакет-подтверждение SYN-ACK передается на ложный адрес источника SYN-пакета, в произвольную точку сети и либо вовсе не найдет адресата, либо будет просто проигнорирован. В результате, при постоянном потоке SYN-запросов, целевой хост будет постоянно держать свой буфер заполненным ненужным ожиданием завершения полуоткрытых ложных соединений и не сможет обработать SYN-запросы от настоящих легальных пользователей.
Меры по защите сетевой инфраструктуры
Для защиты проникновения через демилитаризованную зону в корпоративную сеть используются межсетевые экраны.
Межсетевой экран – это система межсетевой защиты, позволяющая разделить каждую сеть на две и более части и реализовать набор правил, определяющих условия прохождения пакетов с данными через границу из одной части общей сети в другую. Как правило, эта граница проводится между корпоративной (локальной) сетью предприятия и глобальной сетью Интернет, хотя ее можно провести и внутри корпоративной сети предприятия. Использование межсетевых экранов позволяет организовать внутреннюю политику безопасности сети предприятия, разделив всю сеть на сегменты.
В качестве межсетевых экранов будут рассматриваться последние разработки следующих компаний-производителей аппаратных средств защиты периметра:
- IBM;
- D–link;
- Cisco.
В результате выбора среди продуктов от каждой фирмы можно выделить продукты D–linkDFL–260, IBMProventiaNetworkIPS и Cisco 1801/K9.
Условные обозначения:
– недостатки;
Без выделения – преимущества.
Таблица 1
Результаты сравнительного анализа средств межсетевого экранирования
Характеристика |
D–linkDFL–260 |
IBMProventiaNetworkIPS |
Cisco 1801/K9 |
Класс отказоустойчивости |
1 класс |
нет |
1 класс |
Контроль на прикладном уровне с учетом состояния |
Нет |
Да |
Да |
Прозрачная аутентификация Windows |
Да |
Да |
Да |
Пропускная способность |
80Mbps |
10Mbps |
100Mbps |
Wi–Fi |
Нет |
Нет |
Да |
Интерфейсы |
Ethernet 10/100BaseT (WAN) Ethernet |
2 x Ethernet 10/100BaseT (WAN) Ethernet |
ADSL (WAN)) 8 x Ethernet 10/100BaseT (LAN) ISDN BRI |
Протоколирование всех имен пользователей и приложений |
Да |
Да |
Нет |
Поддержка Exchange |
Да |
Да |
Да |
Поддержка Exchange |
Да |
Да |
Да |
Демилитаризованная зона |
Да |
Да |
Нет |
Характеристика |
D–linkDFL–260 |
IBMProventiaNetworkIPS |
Cisco 1801/K9 |
Контроль шлюзового и клиентского трафика VPN на прикладном уровне |
Нет |
Да |
Да |
100–Мбит/с порты ЛВС |
4 |
8 |
8 |
Число одновременных подключений |
12000 |
10000 |
18000 |
Передача функций отказавшего МЭ исправному устройству |
Нет |
Нет |
Да |
Web-кэширование и proxy |
Да |
Нет |
Да |
Цена |
28000 руб. |
150000 руб. |
36000 руб. |
Общее количество недостатков систем |
3 |
4 |
3 |
Как видно из таблицы 1, высокая цена продукта компании IBM обоснована высоким качеством, пропускной способностью, в данном случае рассматривается мало пропускаемая, т.е. самая дешёвая – 10Mbps, и функциональной полнотой их продуктов. Однако наилучшим продуктом в соотношении цена/качество является продукт компании D–link.
Таким образом, наиболее приемлемым средством защиты периметра является межсетевой экран D–linkDFL–260.
Также предлагается развертывание сети VPN, Составной частью решений для развертывания сетей VPN являются такие технологии, как IPSec VPN, Cisco Easy VPN, Cisco Dynamic Multipoint VPN, Cisco GRE VPN.
- прозрачный обмен данными между приложениями сетей территориально удаленных офисов
- защита данных от несанкционированного доступа и искажения злоумышленниками как из сети Интернет, так и из внутренней сети компании
- способность автоматической реконфигурации сети при отказах основных каналов связи с переходом на резервные каналы
- возможность предоставлять требуемые классы обслуживания для заданных типов трафика (данные, голос, видео)
- возможность гибкого централизованного управления сетью и политиками безопасности всех узлов
- учет событий в системе безопасности, их накопление и выдача статистических данных
IPSec VPN
Наиболее распространенная технология, основанная на открытых стандартах, поддерживаемая наибольшим числом производителей оборудования и программного обеспечения. Идеальна для построения гетерогенных сетей VPN.
Отработанная за годы развития технология IPSec VPN гарантирует стабильную работу и корректное взаимодействие оборудования различных производителей, различных платформ и программных сред в рамках одной сети VPN. Вместе с очевидными достоинствами имеет ряд существенных ограничений.
В основе решения лежит сеть VPN с предварительно настроенными в каждой точке входа в сеть туннелями для передачи защищаемого трафика. Таким образом все политики доступа и параметры взаимодействия конфигурируются отдельно для каждого устройства доступа и каждой удаленной подсети.
- Поддержка наибольшим числом производителей
- Поддерживается во всех моделях маршрутизаторов Cisco
- Открытый стандарт
- Недостатки
- Нет поддержки широковещательного трафика
- Нет поддержки трафика отличного от IP
- Нет поддержки политик качества обслуживания для каждого туннеля
- Нет механизма переключения основной/резервный каналы - только переключение с отказавшего на следующий доступный канал из списка.