После установки Ubuntu в качестве основной ОС вы должны научиться устанавливать защиту от полезных нагрузок, передаваемых с помощью USB-уточек (Rubber Ducky), от изъятия ваших данных правоохранительными органами и в целом уменьшить количество мишеней, по которым можно нанести удар. При защите от сетевых атак вам необходимо минимизировать раскрытие информации о ваших аппаратных средствах, предотвратить работу снифферов пакетов, ужесточить правила брандмауэра и многое другое.
Продолжаем нашу мини-серию по усилению защиты операционной системы Ubuntu. В этой части вы научитесь подделывать MAC-адрес с целью запутывания пассивных хакеров, отключать неиспользуемые сетевые службы, такие как CUPS и Avahi, создавать правила брандмауэра для определенных портов с целью блокировки попыток несанкционированного доступа и изъятия ваших данных, защищаться от сниффинга паролей и cookie-файлов в ваших пакетах с помощью VPN.
Если вы пропустили предыдущую статью, то обязательно с ней ознакомьтесь, даже если у вас уже установлена Ubuntu и вы просто хотите усилить ее защиту. Вы узнаете, что побудило нас писать эту серию из четырех частей.
Шаг 1. Защититесь от определения вашего оборудования
При подключении к новым Wi-Fi сетям и маршрутизаторам подделывайте MAC-адрес вашего Wi-Fi адаптера. Конечно, это не помешает мотивированному хакеру узнать, какую операционную систему вы используете, но может его запутать и не дать ему собрать информацию о вашем оборудовании.
Например, хакер, подключенный к Wi-Fi сети в кафе, может сосредоточить свои усилия на взломе любых устройств, кроме Apple. Если же вы появляетесь в сети с , то злоумышленник полностью проигнорирует ваше устройство. Или же он может попробовать на вашем устройстве некоторые атаки, специфичные для MacOS, которые не сработают, потому что вы на самом деле не используете MacBook, вы только отображаетесь в сети так, как будто используете технику Apple. В сочетании с поддельным User-Agent браузера это сможет действительно запутать не очень умного противника.
Чтобы изменить MAC-адрес в Ubuntu, откройте Network Manager и перейдите в меню «Edit» вашего Wi-Fi-соединения. На вкладке «Identity» введите в поле «Cloned Address» MAC-адрес, который вы хотите использовать.
Шаг 2. Защититесь от атак на «слушающие» сервисы
Когда фоновый процесс (или сервис) находится в состоянии « » (прослушивания) , то это означает, что другие службы (сервисы) и приложения на вашем устройстве и в сети могут с ним взаимодействовать. Эти «слушающие» службы всегда ожидают на вход какие-нибудь данные, получив которые, сервис должен дать определенный ответ. Любая служба с локальным адресом 0.0.0.0, находясь в состоянии прослушивания, скорее всего, будет доступна для всех пользователей в данной локальной сети и, возможно, в Интернете тоже.
У свежеустановленной Ubuntu будет всего несколько запущенных сервисов, поэтому по умолчанию не нужно беспокоиться о страшном прослушивании портов. Но всегда помните о приложениях, которые вы еще установите в будущем. Они могут открыть порты для прослушивания, не сообщая вам об этом.
Чтобы отслеживать то, какие фоновые процессы находятся в состоянии прослушивания, мы будем использовать netstat - инструмент, используемый для вывода информации о сетевых подключениях, открытых портах и запущенных сервисах. Поскольку мы использовали минимальную установку Ubuntu, то необходимый нам набор утилит net-tools для работы с сетями (включая netstat) придется установить вручную. Это можно сделать с помощью команды sudo apt-get install net-tools.
Sudo apt-get install net-tools Reading package lists... Done Building dependency tree Reading state information... Done The following NEW packages will be installed: net-tools 0 upgraded, 1 newly installed, 0 to remove and 0 not upgraded. Need to get 194 kB of archives. After this operation, 803 kB of additional disk space will be used. Selecting previously unselected package net-tools. (Reading database ... 149085 files and directories currently installed.) Preparing to unpack .../net-tools_1.60+git20161116.90da8a0-1ubuntu1_amd64.deb ... Unpacking net-tools (1.60+git20161116.90da8a0-1ubuntu1) ... Processing triggers for man-db (2.8.3-2) ... Setting up net-tools (1.60+git20161116.90da8a0-1ubuntu1) ...
Используйте следующую команду netstat для просмотра служб в состоянии «LISTEN».
Sudo netstat -ntpul Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 127.0.0.53:53 0.0.0.0:* LISTEN 651/systemd-resolve tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 806/cupsd tcp6 0 0::1:631:::* LISTEN 806/cupsd udp 47616 0 127.0.0.53:53 0.0.0.0:* 651/systemd-resolve udp 0 0 0.0.0.0:631 0.0.0.0:* 812/cups-browsed udp 2304 0 0.0.0.0:5353 0.0.0.0:* 750/avahi-daemon: r udp 0 0 0.0.0.0:38284 0.0.0.0:* 750/avahi-daemon: r udp6 0 0:::37278:::* 750/avahi-daemon: r udp6 25344 0:::5353:::* 750/avahi-daemon: r
Systemd-resolve используется для разрешения доменных имен и, понятное дело, его не стоит ни изменять, ни удалять. Про «cupsd» и «avahi-daemon» мы поговорим ниже в следующих разделах.
Отключите или удалите CUPS
В 2011 году в avahi-daemon была обнаружена уязвимость, - DDoS. Хотя этот CVE довольно старый и у него весьма незначительная степень серьезности, но, тем не менее, он демонстрирует, каким образом хакер в локальной сети обнаруживает уязвимости в сетевых протоколах и манипулирует запущенными службами на устройстве жертвы.
Если вы не планируете взаимодействовать с продуктами или сервисами Apple на других устройствах, avahi-daemon можно отключить, используя следующую команду sudo systemctl disa avahi-daemon.
Sudo systemctl disable avahi-daemon Synchronizing state of avahi-daemon.service with SysV service script with /lib/systemd/systemd-sysv-install. Executing: /lib/systemd/systemd-sysv-install disable avahi-daemon Removed /etc/systemd/system/dbus-org.freedesktop.Avahi.service. Removed /etc/systemd/system/sockets.target.wants/avahi-daemon.socket.
Avahi также можно полностью удалить с помощью sudo apt-get purge avahi-daemon.
Sudo apt-get purge avahi-daemon Reading package lists... Done Building dependency tree Reading state information... Done The following packages will be REMOVED: avahi-daemon* (0.7-3.1ubuntu1) avahi-utils* (0.7-3.1ubuntu1) libnss-mdns* (0.10-8ubuntu1) 0 upgraded, 0 newly installed, 3 to remove and 0 not upgraded. After this operation, 541 kB disk space will be freed. Do you want to continue? y
Шаг 3. Защитите ваши порты
Хакер-любитель может попытаться извлечь данные через или создать обратный шелл на (прямо указанный в Википедии в качестве дефолтного порта для Metasploit). Брандмауэр, который разрешает только исходящие пакеты на нескольких портах, будет блокировать любые входящие пакеты.
Для управления доступностью портов мы будем использовать - программу, которая представляет собой простой интерфейс для настройки брандмауэров. UFW буквально означает Uncomplicated FireWall. Он действует как фронтенд для (пакетный фильтр) и не предназначен для обеспечения полной функциональности брандмауэра, а вместо этого является удобным средством добавления или удаления правил брандмауэра.
1. Запретите все входящие и исходящие соединения
Чтобы включить UFW, используйте команду sudo ufw enable.
Sudo ufw enable Firewall is active and enabled on system startup
Отключите все входящие соединения с помощью этой команды:
Sudo ufw default deny incoming
Затем запретите все переадресации:
Sudo ufw default deny forward
И запретите все исходящие соединения:
Sudo ufw default deny outgoing
С этого момента доступ к Интернету с помощью Firefox или любого другого приложения у вас будет закрыт.
2. Найдите ваш Wi-Fi интерфейс
Чтобы разрешить исходящие подключения, сначала нужно найти имя Wi-Fi-адаптера, используя команду ifconfig -a.
Ifconfig -a
enp0s8: flags=4163
Для целей этой статьи мы используем Ubuntu в VirtualBox, поэтому имя нашего интерфейса «enp0s8». Команда ifconfig может отображать ваш беспроводной интерфейс как «wlp3s0», «wlp42s0» или что-то в этом роде.
3. Создайте исключения брандмауэра и настройте защищенное разрешение DNS
Разрешить DNS, HTTP и HTTPS трафик на беспроводном интерфейсе можно с помощью этих трех команд.
Sudo ufw allow out on to 1.1.1.1 proto udp port 53 comment "allow DNS on " sudo ufw allow out on to any proto tcp port 80 comment "allow HTTP on " sudo ufw allow out on to any proto tcp port 443 comment "allow HTTPS on "
Адрес «1.1.1.1» в команде DNS - это новый DNS-резолвер . Многие интернет-пользователи не понимают, что даже если они просматривают веб-сайт с использованием зашифрованного соединения (небольшой зеленый замочек в строке URL), Интернет-провайдеры все равно могут видеть имя каждого домена, посещаемого с помощью DNS-запросов. Использование DNS-резолвера CloudFlare поможет предотвратить попытки Интернет-провайдеров (ISP) отслеживать ваш трафик.
4. Обновите конфигурацию DNS в Network Manger’е
После установки правил UFW в Network Manager перейдите в меню «Edit» вашего Wi-Fi-соединения и измените поле DNS на 1.1.1.1. Отключитесь и снова подключитесь к Wi-Fi сети, чтобы изменения DNS вступили в силу.
Просмотрите вновь созданные правила с помощью команды sudo ufw status numbered.
Sudo ufw status numbered Status: active To Action From -- ------ ---- [ 1] 1.1.1.1 53/udp ALLOW OUT Anywhere on enp0s8 (out) # allow DNS on enp0s8 [ 2] 443/tcp ALLOW OUT Anywhere on enp0s8 (out) # allow HTTPS on enp0s8 [ 3] 80/tcp ALLOW OUT Anywhere on enp0s8 (out) # allow HTTP on enp0s8
Ubuntu сможет делать стандартные HTTP/HTTPS запросы на портах 80 и 443 на указанном вами беспроводном интерфейсе. Если эти правила слишком строгие для вашей повседневной активности, то можно разрешить все исходящие пакеты с помощью этой команды:
Sudo ufw default allow outgoing
5. Мониторьте брандмауэр
Если вы пытаетесь отладить входящие или исходящие соединения, то для этого можно использовать команду tail с аргументом -f, чтобы следить за сообщениями и расхождениями в логах UFW в реальном времени. Полностью эта команда будет выглядеть так:
Tail -f /var/log/ufw.log kernel: [ 3900.250931] IN= OUT=enp0s8 SRC=192.168.1.44 DST=104.193.19.59 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=47090 DF PROTO=TCP SPT=35944 DPT=9999 WINDOW=29200 RES=0x00 SYN URGP=0 kernel: [ 3901.280089] IN= OUT=enp0s8 SRC=192.168.1.44 DST=104.193.19.59 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=47091 DF PROTO=TCP SPT=35944 DPT=9999 WINDOW=29200 RES=0x00 SYN URGP=0
В приведенных выше логах UFW блокирует исходящие соединения (OUT=) с нашего локального IP-адреса (192.168.1.44) на сервер Null Byte (104.193.19.59), используя TCP с портом назначения (DPT) 9999. Это можно резолвить с помощью этой команды UFW:
Sudo ufw allow out on from 192.168.1.44 to 104.193.19.59 proto tcp port 9999
Для получения дополнительной информации по UFW можно почитать маны (страницы руководства) - man ufw.
Читатели, интересующиеся очень тонкой настройкой брандмауэра, обязательно должны .
Шаг 4. Защититесь от пакетного сниффинга и перехвата файлов cookie
Атаки, направленные на манипуляции пакетами, можно предотвратить с помощью виртуальной частной сети (VPN). VPN предлагает набор технологий, которые:
- Препятствуют хакерам в сетях Wi-Fi манипулировать пакетами и отслеживать вашу активность.
- Запрещают Интернет-провайдерам следить за вашей активностью и продавать ваши данные на сторону.
- Помогают обходить блокировки цензурных органов (вроде РКН), когда Интернет-провайдеры или сетевые брандмауэры блокируют доступ к определенным веб-сайтам.
Ценник большинства платных VPN-сервисов начинается с $5 в месяц. Вот некоторые заслуживающие внимания VPN-провайдеры: ProtonVPN, Mullvad, VyprVPN и .
Следующий шаг - усиление защиты приложений и создание «песочниц»
Вот и все, что касается установления защиты вашего присутствия и деятельности в Интернете. В следующей статье мы поговорим о приложениях для создания песочниц и обеспечения безопасности вашей системы в случае, если на устройстве будет запущена какая-нибудь вредоносная программа. После этого мы погрузимся в аудит с помощью антивирусного ПО и мониторинг системных логов.
Отказ от ответственности : Эта статья написана только для образовательных целей. Автор или издатель не публиковали эту статью для вредоносных целей. Если читатели хотели бы воспользоваться информацией для личной выгоды, то автор и издатель не несут ответственность за любой причиненный вред или ущерб.¾ программы на внешних носителях памяти
¾ оперативную память
¾ системные области компьютера
¾ аппаратную часть компьютера
37. Основным средством антивирусной защиты является…
¾ периодическая проверка списка автоматически загружаемых программ
¾ использование сетевых экранов при работе в сети Интернет
¾ периодические проверки компьютера с помощью антивирусного программного обеспечения
¾ периодическая проверка списка загруженных программ
38. Электронно-цифровая подпись позволяет…
¾ пересылать сообщения по секретному каналу
¾ восстанавливать поврежденные сообщения
¾ удостовериться в истинности отправителя и целостности сообщения
¾ зашифровать сообщение для сохранения его секретности
39. Абсолютная защита компьютера от сетевых атак возможна при…
¾ использовании новейших антивирусных средств
¾ использовании лицензированного программного обеспечения
¾ установке межсетевого экрана
¾ отсутствии соединения
40. Наиболее опасной с точки зрения вирусной активности частью электронного письма является…
¾ вложение
¾ заголовок
41. Преднамеренной угрозой безопасности информации является…
¾ повреждение кабеля, по которому идет передача, в связи с погодными условиями
¾ ошибка администратора
¾ наводнение
42. Протоколирование действий пользователей позволяет…
¾ реконструировать ход событий при реализации угрозы безопасности информации
¾ обеспечивать конфиденциальность информации
¾ решать вопросы управления доступом
43. Антивирусным пакетом НЕ является...
¾ Антивирус Касперского
¾ Norton AntiVirus
¾ Microsoft AntiVirus
44. Сетевые черви это – …
¾ программы, которые изменяют файлы на дисках, и распространяются в пределах компьютера
¾ программы, которые не изменяют файлы на дисках, а распространяются в компьютерной сети, проникают в операционную систему компьютера, находят адреса других компьютеров или пользователей и рассылают по этим адресам свои копии
¾ программы, распространяющиеся только при помощи электронной почты через Интернет
¾ вредоносные программы, действия которых заключается в создании сбоев при питании компьютера от эл. сети
45. К средствам обеспечения компьютерной безопасности НЕ относятся…
¾ программа AntiViral Toolking Pro (AVP)
¾ специальные системы, основанные на криптографии
¾ электронные таблицы
¾ программы WinZip и WinRar
46. Компьютерные вирусы – это…
¾ вредоносные программы, которые возникают в связи со сбоями в аппаратных средствах компьютера
¾ программы, которые пишутся хакерами специально для нанесения ущерба пользователю
¾ программы, являющиеся следствием ошибок в операционной системе
¾ вирусы, сходные по природе с биологическими вирусами
47. Отличительными особенностями компьютерного вируса являются
¾ значительный объем программного кода
¾ способность к самостоятельному запуску и многократному копированию кода
¾ способность к созданию помех корректной работе компьютера
¾ легкость распознавания
48. Методы обеспечения компьютерной безопасности на (указать неправильный ответ)
¾ правовые
¾ организационно-технические
¾ политические
¾ экономические
49. К негативным последствиям развития современных информационных технологий можно отнести…
¾ формирование единого информационного пространства
¾ работа с информацией становится главным содержанием профессиональной деятельности
¾ широкое использование информационных технологий во всех сферах человеческой деятельности
¾ доступность личной информации для общества, вторжение информационных технологий в частную жизнь людей
50. Обеспечение защиты информации проводится конструкторами и разработчиками программного обеспечения в следующих направлениях (указать неправильный ответ)
¾ защита от сбоев работы оборудования
¾ защита от случайной потери информации
¾ защита от преднамеренного искажения информации
¾ разработка правовой базы для борьбы с преступлениями в сфере информационных технологий
¾ защита от несанкционированного доступа к информации
51. Развитый рынок информационных продуктов и услуг, изменение в структуре экономики, массовое использование информационных и коммуникационных технологий являются признаками:
¾ информационной культуры
¾ высшей степени развития цивилизации
¾ информационного кризиса
¾ информационного общества
¾ информационной зависимости
52. Что не относится к объектам информационной безопасности Российской Федерации?
¾ природные и энергетические ресурсы
¾ информационные ресурсы всех видов
¾ информационные системы различного класса и назначения, информационные технологии
¾ система формирования общественного сознания
¾ права граждан, юридических лиц и государства на получение, распространение, использование и защиту информации и интеллектуальной собственности
53. Для написания самостоятельной работы вы скопировали из Интернета полный текст нормативно-правового акта. Нарушили ли вы при этом авторское право?
¾ нет, так как нормативно-правовые акты не являются объектом авторского права
¾ нет, если есть разрешение владельца сайта
54. Можно ли использовать статьи из разных журналов и газет на политические, экономические, религиозные или социальные темы для подготовки с их использованием учебного материала?
¾ да, получив согласие правообладателей
¾ да, указав источники заимствования
¾ да, не спрашивая согласия правообладателей, но с обязательным указанием источника заимствования и имен авторов
55. Считается ли статья, обнародованная в Интернете объектом авторского права?
¾ нет, если статья впервые обнародована в сети Интернет
¾ да, при условии, что эта же статья в течение 1 года будет опубликована в печати
¾ да, так как любая статья является объектом авторского права как произведение науки или литературы
56. В каких случаях при обмене своими компьютерными играми с другими людьми, не будут нарушаться авторские права?
¾ если экземпляры этих компьютерных игр были выпущены в свет и введены в гражданский оборот с согласия автора
¾ если обладатели обмениваемых экземпляров компьютерных игр приобрели их по договору купли-продажи/мены
¾ если одновременно соблюдены условия, указанные в предыдущих пунктах
¾ если они распространяются путем сдачи в прокат
57. Основные действия (фазы), выполняемые компьютерным вирусом:
¾ заражение
¾ блокирование программ
¾ проявление
¾ размножение
¾ маскировка
58. К антивирусным программам не относятся:
¾ интерпретаторы
¾ ревизоры
¾ сторожа
¾ вакцины
59. Назначение антивирусных программ детекторов:
¾ обнаружение и уничтожение вирусов
¾ обнаружение вирусов
¾ лечение зараженных файлов
¾ уничтожение зараженных файлов
¾ лечение зараженных файлов
¾ контроль путей распространения вирусов
60. К недостаткам антивирусных средств относят:
¾ невозможность лечения «подозрительных» объектов
¾ разнообразие настроек
¾ автоматическую проверку всех открываемых файлов
¾ необходимость постоянного обновления вирусных баз
61. Антивирусным пакетом является:
¾ Антивирус Касперского
¾ Symantec AntiVirus
¾ Norton AntiVirus
¾ Microsoft AntiVirus
62. В необходимый минимум средств защиты от вирусов входит:
¾ аттестация помещения
¾ выходной контроль
¾ входной контроль
¾ архивирование
¾ профилактика
63. Криптографическое преобразование информации это:
¾ введение системы паролей
¾ шифрование данных
¾ ограничение доступа к информации
¾ резервное копирование информации
64. Наиболее эффективное средство для защиты от сетевых атак:
¾ использование сетевых экранов, или FireWall
¾ посещение только надежных узлов Интернет
¾ использование антивирусных программ
¾ использование только сертифицированных броузеров при доступе к Интернет
65. FireWall – это:
¾ почтовая программа
¾ то же, что и Интернет браузер
¾ то же, что и брэндмауэр
¾ графический редактор
66. Протоколирование действий пользователя позволяет:
¾ обеспечивать конфиденциальность
¾ управлять доступом к информации
¾ реконструировать события при реализации угрозы безопасности информации
¾ восстанавливать утерянную информацию
67. Сетевой аудит включает:
¾ антивирусную проверку сети
¾ выборочный аудит пользователей
¾ аудит безопасности каждой новой системы при ее инсталляции в сеть
¾ протоколирование действий всех пользователей в сети
68. Secure Sockets Layer:
¾ не использует шифрование данных
¾ обеспечивает безопасную передачу данных
¾ не может использовать шифрование с открытым ключом
¾ это не протокол, программа
69. Наиболее эффективным средством для защиты от сетевых атак является...
¾ Использование сетевых экранов, или Firewall;
¾ Посещение только «надёжных» Интернет-узлов;
¾ Использование антивирусных программ;
¾ Использование только сертифицированных программ-браузеров при доступе к сети Интернет.
70. Сжатый образ исходного текста обычно используется...
¾ В качестве ключа для шифрования текста;
¾ Для создания электронно-цифровой подписи;
¾ Как открытый ключ в симметричных алгоритмах;
¾ Как результат шифрования текста для его отправки по незащищенному каналу.
71. Из перечисленного: 1) пароли доступа, 2) дескрипторы, 3) шифрование, 4) хеширование, 5) установление прав доступа, 6) запрет печати,
к средствам компьютерной защиты информации относятся:
72. Заражение компьютерным вирусом не может произойти
¾ При открытии файла, прикрепленного к почте;
¾ При включении и выключении компьютера;
¾ При копировании файлов;
¾ При запуске на выполнение программного файла.
73. Электронная цифровая подпись документа позволяет решить вопрос о ______________ документа(у)
¾ Режиме доступа к
¾ Ценности
¾ Подлинности
¾ Секретности
74. Результатом реализации угроз информационной безопасности может быть
¾ Уничтожение устройств ввода/вывода
¾ Изменение конфигурации периферийных устройств
¾ Уничтожение каналов связи
¾ Внедрение дезинформации
75. Электронная цифровая подпись устанавливает_____информации
¾ Непротиворечивость
¾ Подлинность
¾ Противоречивость
76. Программными средствами для защиты информации в компьютерной сети являются:
1) Firewall, 2) Brandmauer, 3) Sniffer, 4) Backup.
77. Для безопасного использования ресурсов в сети Интернет предназначен протокол…
Каждую сетевую атаку можно в общем случае разбить на 5 этапов (таблица 3). В реальной ситуации некоторые шаги могут быть пропущены.
Таблица 3. Основные классы сетевых атак
|
Класс сетевой атаки |
Описание класса |
|
1. Исследование |
Получение общей информации о компьютерной системе (КС) |
|
1.1 Социотехника |
Получение информации посредством вежливого втирания в доверие по телефону, электронной почте и т.п. |
|
1.2 Непосредственное вторжение |
Получение информации посредством физического доступа к оборудованию сети |
|
1.3 Разгребание мусора |
Получение информации из мусорных корзин или архивов |
|
1.4 Поиск в WEB |
Получение информации из интернета посредством общедоступных поисковых систем |
|
1.5 Изучение WHOIS |
Получение информации из регистрационных данных о владельцах доменных имён, IP-адресов и автономных систем |
|
1.6 Изучение DNS зон |
Получение информации посредством использования сервиса доменных имен |
|
2. Сканирование |
Получение информации об инфраструктуре и внутреннем устройстве КС |
|
2.1 Поиск активных устройств |
Получение информации об активных устройствах КС |
|
2.2 Трассировка маршрутов |
Определение топологии КС |
|
2.3 Сканирование портов |
Получение информации об активных сервисах, функционирующих в КС |
|
3. Получение доступа |
Получение привилегированных прав на управление узлами КС |
|
3.1 Переполнение стека |
Выполнение произвольного кода в результате вызванного злоумышленником сбоя в программном обеспечении |
|
3.2 Атака на пароли |
Подбор паролей из списка стандартных или по специально сгенерированному словарю, перехват паролей |
|
3.3 Атаки на WEB - приложения |
Получение доступа в результате эксплуатации уязвимостей в открытых WEB-приложениях КС |
|
3.4 Сниффинг |
Получение доступа посредством пассивного (прослушивание) и активного (подмена адресатов) перехвата трафика КС |
|
3.5 Перехват сеанса связи |
Эксплуатация полученных прав для достижения целей взлома |
|
4.1 Поддержание доступа |
Установка систем удаленного администрирования |
|
4.2 DOS-атаки |
Вывод из строя устройств и отдельных сервисов КС |
|
4.3 Обработка конфиденциальной информации |
Перехват, копирование и/или уничтожение информации |
|
5. Заметание следов |
Сокрытие факта проникновения в КС от систем защиты |
|
5.1 Стирание системных логов |
Удаление данных архивов приложений и сервисов КС |
|
5.2 Сокрытие признаков присутствия в сети |
Туннелирование внутри стандартных протоколов (HTTP, ICMP, заголовков TCP и т.п.) |
Рассмотрим основные способы и средства защиты от перечисленных сетевых угроз .
Социотехника. Наилучший метод защиты от социотехники -- осведомленность пользователя. Необходимо сообщить всем сотрудникам о существовании социотехники и четко определить те виды информации, которые ни под каким предлогом нельзя разглашать по телефону. Если в организации предусмотрены варианты предоставления какой-либо информации по телефону (номеров телефонов, идентификационных данных и др.), то следует четко регламентировать данные процедуры, например, используя методы проверки подлинности звонящего.
Непосредственное вторжение:
ѕ контрольно-пропускной режим (системы контроля доступа, журнал посетителей, бейджи и др.);
ѕ физическая безопасность оборудования (механические, электронные замки);
ѕ блокировка компьютера, хранители экрана;
ѕ шифрование файловой системы.
Разгребание мусора. Хорошо известная всем бумагорезательная машина (шредер) -- самая лучшая защита против тех, кто роется в мусорных корзинах. У сотрудников должен быть беспрепятственный доступ к таким машинам, чтобы они могли уничтожить всю сколько-нибудь ценную информацию. Другой вариант: каждому пользователю предоставляется отдельная урна для бумаг, содержащих важные сведения, откуда каждую ночь документы поступают на бумагорезательную машину. Сотрудники должны быть четко информированы о том, как обращаться с конфиденциальной информацией.
Поиск в WEB. Основной способ защиты -- неразглашение информации. Нужно сделать необходимым и достаточным перечень информации, подлежащей размещению на публичных ресурсах в сети интернет. Избыточные данные о компании могут «помочь» злоумышленнику в реализации его намерений. Сотрудники должны нести ответственность за распространение конфиденциальной информации. Периодически следует проводить проверку публичной информации собственными силами или с привлечением сторонних компаний.
Изучение WHOIS. Не существует общих способов защиты от получения регистрационных данных злоумышленником. Существуют рекомендации, согласно которым информация в соответствующих базах должна быть как можно более точной и правдоподобной. Это позволяет администраторам различных компаний беспрепятственно связываться друг с другом и способствовать поиску злоумышленников.
Изучение DNS-зон. В первую очередь необходимо проверить, что на DNS-сервере нет утечки данных, которая возникает за счет наличия там лишних сведений. Такими сведениями могут быть имена, содержащие название операционных систем, записи типа HINFO или TXT. Во-вторых, необходимо корректно настроить DNS-сервер, чтобы ограничить передачу зоны. В-третьих, необходимо настроить граничный маршрутизатор таким образом, чтобы доступ к 53-му порту (TCP и UDP) имели только резервные серверы DNS, производящие синхронизацию с центральным сервером. Также следует использовать разделение внешнего и внутреннего DNS-серверов. Внутренний сервер настраивается таким образом, чтобы он мог разрешать имена только внутренней сети, а для разрешения имен внешней сети используются правила пересылки. То есть внешний DNS-сервер не должен ничего «знать» про внутреннюю сеть.
Поиск активных устройств и трассировка маршрутов. Способ защиты -- установка и настройка межсетевых экранов на фильтрацию пакетов таким образом, чтобы отсеивать запросы программ, используемых злоумышленником. Например, блокировка ICMP запросов от ненадежных источников сильно затруднит трассировку.
Сканирование портов. Первое и самое важное -- закрытие всех неиспользуемых портов. Например, если вы не используете TELNET, то необходимо закрыть соответствующий порт. При развертывании новой системы, необходимо заранее выяснить используемые ей порты и открывать их по мере необходимости. В особенно важных системах рекомендуется удалить программы, соответствующие ненужным сервисам. Лучшей считается такая настройка систем, в которой число установленных сервисов и инструментов минимально. Второе -- необходимо самостоятельно тестировать собственную систему на проникновение, тем самым предопределяя действия нарушителя. Для защиты от более совершенных сканеров рекомендуется применять пакетные фильтры с контролем состояния системы. Такие фильтры исследуют пакеты протоколов и пропускают только те из них, которые соответствуют установленным сессиям.
Общие рекомендации против сканирования -- своевременное применение пакетов безопасности, использование для сети и для хостов систем обнаружения вторжений (IDS), систем предотвращения вторжений (IPS), своевременное их обновление.
Переполнение стека. Способы защиты от данного типа атак можно разделить на две категории.
- 1. Методы, которые применяют системные администраторы и сотрудники службы безопасности при эксплуатации, настройке и сопровождении систем: своевременное применение патчей к системам, отслеживание обновлений установленных продуктов, сервис-паков для них, удаление лишних программ и сервисов, контроль и фильтрация входящего/исходящего трафика, настройка неисполняемого стека. Многие IDS способны обнаруживать атаки переполнения памяти по сигнатурам.
- 2. Методы, используемые разработчиками программного обеспечения в процессе создания программ: устранение ошибок программирования, путем проверки пространства доступной памяти, объема проходящей вводимой информации через приложение. Воздержание от использования проблемных функций с точки зрения безопасности; компиляция программ специальными средствами.
Вышеописанные методы помогают минимизировать количество атак на переполнение стековой памяти, но не гарантирует полную безопасность системы.
Атаки на пароли. Первое и самое главное -- «сильные» пароли. Это пароли длиной не менее 9-и знаков и содержащие специальные символы. Далее -- регулярная смена паролей. Чтобы это все корректно работало, рекомендуется выработать адаптированную под конкретную организацию политику паролей и довести ее содержание до всех пользователей. Не лишним будет предоставить сотрудникам конкретные рекомендации по созданию паролей. Второе -- рекомендуется использовать системы со встроенной проверкой на «слабость» паролей. Если такой проверки нет, то следует развернуть дополнительное программное обеспечение, выполняющее имеющее схожий функционал. Самый эффективный способ -- отказ от паролей и использование систем аутентификации (смарт-карты и др.). Рекомендуется регулярно производить тестовые «взломы» собственных паролей. Хорошей практикой является защита файлов с хешированными паролями, а также их теневых копий.
Атаки на WEB-приложения. Для того чтобы защититься от похищения учетных записей, необходимо выводить на экран одну и ту же ошибку при неправильном вводе логина или пароля. Это затруднит злоумышленнику перебор вашего ID или пароля. Лучшая защита от атак, отслеживающих соединение -- хеширование передаваемой информации о соединении, динамическая смена сеансового ID, завершение неактивного сеанса. Самые опасные атаки -- внедрение SQL-кода в приложение. Защита от них -- разработка WEB-приложений таким образом, чтобы они могли тщательно фильтровать указанные пользователем данные. Приложение не должно слепо доверять вводимой информации, поскольку в ней могут содержаться символы, с помощью которых модифицируются SQL-команды. Приложение должно удалять специальные символы, прежде чем обработать запрос пользователя.
Следует отметить, что на сегодняшний день активно развивается направление WAF (Web Application Firewall) -- файервол уровня приложений, предоставляющий комплексные методы защиты WEB-ресурсов. К сожалению, эти решения ввиду высокой стоимости доступны в основном только крупным компаниям.
Сниффинг. Первое -- шифрование данных, передаваемых по сети. Для этого используются протоколы -- HTTPS, SSH, PGP, IPSEC. Второе -- внимательное обращение с сертификатами безопасности, игнорирование сомнительных сертификатов. Использование современных коммутаторов, позволяющих настроить MAC-фильтрацию на портах, реализовать статическую ARP-таблицу. Использовать VLAN-ы.
IP-спуфинг. Данную угрозу можно минимизировать следующими мерами.
- 1. Контроль доступа. На границе сети устанавливаются пакетные фильтры, позволяющие отсеивать весь трафик внешней сети, где в пакетах исходным адресом указан один из адресов внутренней сети.
- 2. Фильтрация RFC2827. Она заключается в отсечении исходящего трафика внутренней сети, в котором исходным адресом не обозначен ни один из IP-адресов вашей организации.
- 3. Внедрение дополнительных видов аутентификации (двухфакторной) и криптографического шифрования делает такие атаки абсолютно неэффективными.
Перехват сеанса связи. Эффективно бороться с этим видом атак можно только с помощью криптографии. Это может быть SSL-протокол, VPN-сети и др. Для наиболее критичных систем целесообразно использовать шифрование и во внутренних сетях. Атакующий, перехвативший трафик зашифрованной сессии не сможет получить из него какой-либо ценной информации.
DOS-атаки. Для описания средств защиты от DOS-атак рассмотрим их классификацию. Эти атаки, как правило, разделяются на две категории: прекращение сервисов и истощение ресурсов (таблица 5). Прекращение сервисов -- сбой или отключение конкретного сервера, используемого в сети. Истощение ресурсов -- расходование компьютерных или сетевых ресурсов с целью помешать пользователям в получении атакуемого сервиса. Оба вида атак могут проводиться как локально, так и дистанционно (через сеть).
Защита против прекращения локальных сервисов: актуальные патчи безопасности локальных систем, регулярное исправление ошибок, разграничение прав доступа, применение программ проверки целостности файлов.
Защита против локального истощения ресурсов: применение принципа наименьшего количества привилегий при назначении прав доступа, увеличение системных ресурсов (память, скорость процессора, пропускная способность каналов связи и т.д.), применение IDS.
Защита против дистанционного прекращения сервисов: применение патчей, быстрое реагирование.
Лучшей защитой от дистанционного истощения ресурсов является быстрое реагирование на атаку. В этом могут помочь современные IDS-системы, сотрудничество с провайдером. Как и в предыдущих пунктах, следует своевременно обновлять и исправлять системы. Использовать функции анти-спуфинга. Ограничивать объем трафика со стороны провайдера. Для наиболее критичных систем необходимо иметь адекватную пропускную способность и избыточные линии связи.
Поддержание доступа. Вирусы и «троянские кони». Лучшая защита -- эффективное антивирусное программное обеспечение (ПО), работающее как на пользовательском уровне, так и на уровне сети. Для обеспечения высокого уровня безопасностей от этих угроз требуется регулярное обновление антивирусного ПО и сигнатур известных вирусов. Вторым шагом является получение актуальных обновлений операционных систем, настройка политик безопасности приложений в соответствии с актуальными рекомендациями их разработчиков. Необходимо обучить пользователей навыкам «безопасной» работы в Интернете и с электронной почтой. Защита от «ROOTKIT» обеспечивается политиками разграничения доступа, антивирусным программным обеспечением, применением обманок и системами обнаружения вторжений.
Заметание следов. После атаки злоумышленник, как правило, пытается избежать ее обнаружения администраторами безопасности. Для этих целей он производит изменение или удаление лог-файлов, хранивших историю действий нарушителя. Создание эффективной защиты, предотвращающей изменение лог-файлов злоумышленником, является важнейшим условием безопасности. Количество усилий, которые необходимо затратить на защиту регистрационной информации данной системы, зависит от ее ценности. Первым шагом для обеспечения целостности и полноценности лог-файлов является включение регистрации в особо важных системах. Чтоб избежать ситуации, когда в случае форс-мажора оказывается, что журналы отключены, необходимо создать политику безопасности, в которой бы регламентировались процедуры ведения журналов. Рекомендуется регулярно проводить проверки систем на соответствие данной политики. Другой необходимой мерой защиты лог-файлов является разграничение прав доступа на эти файлы. Эффективным приемом защиты регистрационной информации является установка выделенного сервера регистрации событий, обеспечив соответствующий уровень безопасности. Также хороши такие способы защиты как шифрование лог-файлов и разрешение на запись только в конец файла. Использование систем IDS. Защититься против туннелирования можно в двух местах: на конечном компьютере и в сети. На конечном компьютере защита обеспечивается правами доступа, антивирусным ПО, безопасной конфигурацией и установкой обновлений. На уровне сети туннелирование можно обнаружить системами обнаружения вторжений.
Выше были перечислены основные способы защиты от сетевых атак. На их основании строятся комплексные решения, которые могут совмещать в себе ряд функций по защите информации и использоваться в конкретном модуле сетевой инфраструктуры.
Данная аксиома, в принципе, очевидна: чем более доступна, удобна, быстра и многофункциональна ВС, тем она менее безопасна. Примеров можно привести массу. Например, служба DNS: удобно, но опасно.
7.6 Методы защиты от удаленных атак в сети Internet
7.6.1 Административные методы защиты от удаленных атак
Для защиты системы от разного рода удаленных воздействий самым правильным шагом в этом направлении будет приглашение специалиста по информационной безопасности, который вместе с системным администратором системы постарается решить весь комплекс задач по обеспечению требуемого необходимого уровня безопасности для распределенной ВС. Это довольно сложная комплексная задача, для решения которой необходимо определить, что (список контролируемых объектов и ресурсов РВС), от чего (анализ возможных угроз данной РВС) и как (выработка требований, определение политики безопасности и выработка административных и программно-аппаратных мер по обеспечению на практике разработанной политики безопасности) защищать.
Наиболее простыми и дешевыми являются административные методы защиты от информационно-раз- рушающих воздействий. В следующих пунктах рассматриваются возможные административные методы защиты от описанных выше удаленных атак на хосты Internet (в общем случае на IP-сети).
Защита от анализа сетевого трафика
Данный вид атаки, позволяющий кракеру при помощи программного прослушивания канала передачи сообщений в сети перехватывать любую информацию, которой обмениваются удаленные пользователи, если по каналу передаются только нешифрованные сообщения. Также было показано, что базовые прикладные протоколы удаленного доступа TELNET и FTP не предусматривают элементарную криптозащиту передаваемых по сети даже идентификаторов (имен) и аутентификаторов (паролей) пользователей. Поэтому администраторам сетей, очевидно, можно порекомендовать не допускать использование этих базовых протоколов для предоставления удаленного авторизованного доступа к ресурсам своих систем и считать анализ сетевого трафика той постоянно присутствующей угрозой, которую невозможно устранить, но можно сделать ее осуществление по сути бессмысленным, применяя стойкие криптоалгоритмы защиты IP-потока.
Защита от ложного объекта
Использование в сети Internet службы DNS в ее нынешнем виде может позволить кракеру получить глобальный контроль над соединениями путем навязывания ложного маршрута через хост кракера - ложный DNS-сервер. Осуществление этой удаленной атаки, основанной на потенциальных уязвимостях службы DNS, может привести к катастрофическим последствиям для огромного числа пользователей Internet и стать причиной массового нарушения информационной безопасности данной глобальной сети.
Ни административно, ни программно нельзя защититься от атаки на существующую версию службы DNS. Оптимальным с точки зрения безопасности решением будет вообще отказаться от использования службы DNS в вашем защищенном сегменте! Конечно, совсем отказаться от использования имен при обращении к хостам для пользователей будет очень неудобно. Поэтому можно предложить следующее компромиссное решение: использовать имена, но отказаться от механизма удаленного DNS-поиска. Это возвращение к схеме, использовавшейся до появления службы DNS с выделенными DNS-серве- рами. Тогда на каждой машине в сети существовалhosts файл, в котором находилась информация о соответствующих именах и IP-адресах всех хостов в сети. Очевидно, что на сегодняшний день администратору можно внести в подобный файл информацию о лишь наиболее часто посещаемых пользователями данного сегмента серверах сети. Поэтому использование на практике данного решения чрезвычайно затруднено и, видимо, нереально (что, например, делать с броузерами, которые используют URL с именами?).
Для затруднения осуществления данной удаленной атаки можно предложить администраторам использовать для службы DNS вместо протокола UDP, который устанавливается по умолчанию, протокол TCP (хотя из документации далеко не очевидно, как его сменить). Это существенно затруднит для атакующего передачу на хост ложного DNS-ответа без приема DNS-запроса.
Защита от отказа в обслуживании
Как не раз уже отмечалось, нет и не может быть приемлемых способов защиты от отказа в обслуживании в существующем стандарте IPv4 сети Internet. Это связано с тем, что в данном стандарте невозможен контроль за маршрутом сообщений. Поэтому невозможно обеспечить надежный контроль за сетевыми соединениями, так как у одного субъекта сетевого взаимодействия существует возможность занять неограниченное число каналов связи с удаленным объектом и при этом остаться анонимным. Из-за этого любой сервер в сети Internet может быть полностью парализован при помощи удаленной атаки «отказ в обслуживании».
Единственное, что можно предложить для повышения надежности работы системы, подвергаемой данной атаке, - это использовать как можно более мощные компьютеры. Чем больше число и частота работы процессоров, чем больше объем оперативной памяти, тем более надежной будет работа сетевой ОС, когда на нее обрушится направленный "шторм" ложных запросов на создание соединения. Кроме того, необходимо использование соответствующих вашим вычислительным мощностям операционных систем с внутренней очередью, способной вместить большое число запросов на подключение. Ведь от того, что вы, например, поставите на суперЭВМ операционную систему Linux или Windows NT, у которых длина очереди для одновременно обрабатываемых запросов около 10, а таймаут очистки очереди несколько минут, то, несмотря на все вычислительные мощности компьютера, ОС будет полностью парализована атакующим.
Общий вывод по противодействию данной атаки в существующем стандарте IPv4 следующий: просто расслабьтесь и надейтесь на то, что вы ни для кого не представляете интереса, или покупайте суперЭВМ с соответствующей ей сетевой ОС.
7.6.2. Программно-аппаратные методы защиты от удаленных атак в сети Internet
К программно-аппаратным средствам обеспечения информационной безопасности средств связи в вычислительных сетях относятся:
Аппаратные шифраторы сетевого трафика;
Методика Firewall, реализуемая на базе программно-аппаратных средств;
Защищенные сетевые криптопротоколы;
Программно-аппаратные анализаторы сетевого трафика;
Защищенные сетевые ОС.
Существует огромное количество литературы, посвященной этим средствам защиты, предназначенным для использования в сети Internet (за последние два года практически в каждом номере любого компьютерного журнала можно найти статьи на эту тему).
7.6.2.1 Методика Firewall как основное программно-аппаратное средство осуществления сетевой политики безопасности в выделенном сегменте IP-сети
Межсетевое экранирование следует рассматривать как самостоятельный (причем принципиально важный) сервис безопасности. Сетевые реализации данного сервиса, называемые межсетевые экранами (предлагаемый перевод английского термина firewall ), распространены весьма широко; сложилась терминология, оформилась классификация механизмов.
Формальная постановка задачи экранирования состоит в следующем. Пусть имеется два множества информационных систем. Экран - это средство разграничения доступа клиентов из одного множе-
ства к серверам из другого множества . Экран выполняет свои функции, контролируя все информационные потоки между двумя множествами систем.
В простейшем случае экран состоит из двух механизмов, один из которых ограничивает перемещение данных, а второй, наоборот, ему способствует (то есть осуществляет перемещение данных). В более общем случае экран (полупроницаемую оболочку) удобно представлять себе как последовательность фильтров. Каждый из них может задержать (не пропустить) данные, а может и сразу "перебросить" их "на другую сторону". Кроме того, допускается передача порции данных на следующий фильтр для продолжения анализа, или обработка данных от имени адресата и возврат результата отправителю.
Помимо функций разграничения доступа, экраны осуществляют также протоколирование информационных обменов. Обычно экран не является симметричным, для него определены понятия "внутри"
и "снаружи". При этом задача экранирования формулируется как защита внутренней области от потенциально враждебной внешней. Так, межсетевые экраны устанавливают для защиты локальной сети организации, имеющей выход в открытую среду, подобную Internet. Другой пример экрана - устройство защиты порта, контролирующее доступ к коммуникационному порту компьютера до и независимо от всех прочих системных защитных средств.
Экранирование позволяет поддерживать доступность сервисов внутренней области, уменьшая или вообще ликвидируя нагрузку, индуцированную внешней активностью. Уменьшается уязвимость внутренних сервисов безопасности, поскольку первоначально сторонний злоумышленник должен преодолеть экран, где защитные механизмы сконфигурированы особенно тщательно и жестко. Кроме того, экранирующая система, в отличие от универсальной, может быть устроена более простым и, следовательно, более безопасным образом. Экранирование дает возможность контролировать также информационные потоки, направленные во внешнюю область, что способствует поддержанию режима конфиденциальности.
Важным понятием экранирования является зона риска , которая определяется как множество систем, которые становятся доступными злоумышленнику после преодоления экрана или какого-либо из его компонентов. Как правило, для повышения надежности защиты экран реализуют как совокупность элементов, так что "взлом" одного из них еще не открывает доступ ко всей внутренней сети.
Таким образом, межсетевое экранирование и с точки зрения сочетания с другими сервисами безопасности, и с точки зрения внутренней организации использует идею многоуровневой защиты, за счет чего внутренняя сеть оказывается в пределах зоны риска только в случае преодоления злоумышленником нескольких, no-разноиу организованных защитных рубежей.
В общем случае методика Firewall реализует следующие основные три функции:
1. Многоуровневая фильтрация сетевого трафика
Фильтрация обычно осуществляется на трех уровнях OSI:
Сетевом (IP); транспортном (TCP, UDP);
прикладном (FTP, TELNET, HTTP, SMTP и т. д.).
Фильтрация сетевого трафика является основной функцией систем Firewall и позволяет администратору безопасности сети централизованно осуществлять необходимую сетевую политику безопасности
в выделенном сегменте IP-сети, то есть, настроив соответствующим образом Firewall, можно разрешить или запретить пользователям как доступ из внешней сети к соответствующим службам хостов или к хостам, находящихся в защищаемом сегменте, так и доступ пользователей из внутренней сети к соответствующим ресурсам внешней сети. Можно провести аналогию с администратором локальной ОС, который для осуществления политики безопасности в системе назначает необходимым образом соответствующие отношения между субъектами (пользователями) и объектами системы (файлами, например), что позволяет разграничить доступ субъектов системы к ее объектам в соответствии с заданными администратором правами доступа. Те же рассуждения применимы к Firewall-фильтрации:
в качестве субъектов взаимодействия будут выступать IP-адреса хостов пользователей, а в качестве объектов, доступ к которым необходимо разграничить, - IP-адреса хостов, используемые транспортные протоколы и службы предоставления удаленного доступа.
2. Proxy-схема с дополнительной идентификацией и аутентификацией пользователей на Firewallхосте
Proxy-схема позволяет, во-первых, при доступе к защищенному Firewall сегменту сети осуществить на нем дополнительную идентификацию и аутентификацию удаленного пользователя и, во-вторых, является основой для создания приватных сетей с виртуальными IP-адресами. Смысл proxy-схемы состоит в создании соединения с конечным адресатом через промежуточный proxy-сервер (proxy от англ.полномочный ) на хосте Firewall. На этом proxy-сервере и может осуществляться дополнительная идентификация абонента.
3. Создание приватных сетей (Private Virtual Network - PVN) с "виртуальными" IP-адресами (NAT - Network Address Translation)
В том случае, если администратор безопасности сети считает целесообразным скрыть истинную топологию своей внутренней IP-сети, то ему можно порекомендовать использовать системы Firewall для создания приватной сети (PVN-сеть). Хостам в PVN-сети назначаются любые "виртуальные" IP-ад- реса. Для адресации во внешнюю сеть (через Firewall) необходимо либо использование на хосте Firewall описанных выше proxy-серверов, либо применение специальных систем роутинга (маршрутизации), только через которые и возможна внешняя адресация. Это происходит из-за того, что используемый во внутренней PVN-сети виртуальный IP-адрес, очевидно, не пригоден для внешней адресации (внешняя адресация - это адресация к абонентам, находящимся за пределами PVN-сети). Поэтому proxy-сервер или средство роутинга должно осуществлять связь с абонентами из внешней сети со своего настоящего IP-адреса. Кстати, эта схема удобна в том случае, если вам для создания IP-сети выделили недостаточное количество IP-адресов (в стандарте IPv4 это случается сплошь и рядом, поэтому для создания полноценной IP-сети с использованием proxy-схемы достаточно только одного выделенного IP-адреса для proxy-сервера).
Итак, любое устройство, реализующее хотя бы одну из этих функций Firewall-методики, и является Firewall-устройством. Например, ничто не мешает вам использовать в качестве Firewall-хоста компьютер с обычной ОС FreeBSD или Linux, у которой соответствующим образом необходимо скомпилировать ядро ОС. Firewall такого типа будет обеспечивать только многоуровневую фильтрацию IP-тра- фика. Другое дело, предлагаемые на рынке мощные Firewall-комплексы, сделанные на базе ЭВМ или мини-ЭВМ, обычно реализуют все функции Firewall-мето-дики и являются полнофункциональными системами Firewall. На следующем рисунке изображен сегмент сети, отделенный от внешней сети полнофункциональным Firewall-хостом.
Рис. 7.5. Обобщенная схема полнофункционального хоста Firewall.
Однако администраторам IP-сетей, поддавшись на рекламу систем Firewall, не стоит заблуждаться на тот счет, что Firewall это гарантия абсолютной защиты от удаленных атак в сети Internet. Firewall - не столько средство обеспечения безопасности, сколько возможность централизованно осуществлять сетевую политику разграничения удаленного доступа к доступным ресурсам вашей сети.
Современные требования к межсетевым экранам
1. Основное требование - это обеспечение безопасности внутренней (защищаемой) сети и полный контроль над внешними подключениями и сеансами связи.
2. Экранирующая система должна обладать мощными и гибкими средствами управления для простого и полного проведения в жизнь политики безопасности организации.
3. Межсетевой экран должен работать незаметно для пользователей локальной сети и не затруднять выполнение ими легальных действий.
4. Процессор межсетевого экрана должен быть быстродействующим, работать достаточно эффективно и успевать обрабатывать весь входящий и исходящий поток в пиковых режимах, чтобы его нельзя было блокировать большим количеством вызовов и нарушить его работу.
5. Система обеспечения безопасности должна быть сама надежно защищена от любых несанкционированных воздействий, поскольку она является ключом к конфиденциальной информации в организации.
6. Система управления экранами должна иметь возможность централизованно обеспечивать проведение единой политики безопасности для удаленных филиалов.
7. Межсетевой экран должен иметь средства авторизации доступа пользователей через внешние подключения, что является необходимым в случаях работы сотрудников организации в командировках.
Классификация анализируемых межсетевых экранов
Как известно, для проведения сравнительного анализа необходимо, в первую очередь, провести классификацию анализируемых средств. Поскольку межсетевые экраны ориентированы на защиту информации в открытых сетях типа Интернет/Интранет, основой подхода служит семиуровневая модель ISO/OSI (Международной организации по стандартизации). В соответствии с этой моделью МЭ классифицируются по тому, на каком уровне производится фильтрация: канальном, сетевом, транспортном, сеансовом или прикладном. Поэтому можно говорить об экранирующих концентраторах (канальный уровень), маршрутизаторах (сетевой уровень), транспортном экранировании (транспортный уровень), шлюзах сеансового уровня (сеансовый уровень) и прикладных экранах (прикладной уровень).
Необходимо отметить, что в настоящее время наряду с одноуровневыми межсетевыми экранами все большую популярность приобретают комплексные экраны, охватывающие уровни от сетевого до прикладного, поскольку подобные продукты соединяют в себе лучшие свойства одноуровневых экранов разных видов. На схеме 1 представлена структура информационного экранирования между двумя системами при использовании эталонной модели ISO/OSI.
Особенности современных межсетевых экранов
Результаты более тонкого сравнительного анализа различных типов межсетевых экранов приведены в табл. 1.
Тип межсетевого экрана
Экранирующие маршрутизаторы (брандмауэры с фильтрацией пакетов)
Экранирующий шлюз
Принцип работы
Фильтрация пакетов осуществляется в соответствии с IPзаголовком пакета по критерию: то, что явно не запрещено, является разрешенным. Анализируемой информацией является:
- адрес отправителя;
- адрес получателя;
- информация о приложении или протоколе;
- номер порта источника;
- номер порта получателя.
Информационный обмен происходит через хост-бастион, установленный между внутренней и внешней сетями, который принимает решения о возможности маршрутизации трафика. ЭШ бывают двух типов: сеансового и прикладного уровня
Достоинства | Недостатки |
· Низкая стоимость
· Минимальное влияние на производительность сети
· Простота конфигурации и установки
· Прозрачность для программного обеспечения
· Отсутствие сквозного прохождения пакетов в случае сбоев
· Усиленные, по сравнению с ЭМ, механизмы защиты, позволяющие использовать дополнительные средства аутентификации, как программные, так и аппаратные
· Использование процедуры трансляции адресов, позволяющей скрытие адресов хостов закрытой сети
· Уязвимость механизма защиты для различных видов сетевых атак, таких как подделка исходных адресов пакетов, несанкционированное изменение содержимого пакетов
· Отсутствие в ряде продуктов поддержки журнала регистрации событий и средств аудита
· Использование только мощных хостов-бастионов из-за большого объема вычислений
· Отсутствие “прозрачности” из-за того, что ЭШ вносят задержки в процесс передачи и требуют от пользователя процедур аутентификации
Экранирующие подсети | Создается изолированная | · Возможность скры- | · Использование только мощ- |
подсеть, расположенная | тия адреса внутрен- | ных хостов-бастионов из-за |
|
между внутренней и откры- | большого объема вычислений |
||
той сетями. Сообщения из от- | · Увеличение надеж- | · Техническое обслуживание |
|
крытой сети обрабатываются | ности защиты | (установка, конфигурирование) |
|
прикладным шлюзом и попа- | · Возможность созда- | может осуществляться только |
|
дают в ЭП. После успешного | ния большого тра- | специалистами |
|
прохождения контроля в ЭП | фика между внутрен- | ||
они попадают в закрытую | ней и открытой се- | ||
сеть. Запросы из закрытой | тями при использова- | ||
сети обрабатываются через | нии нескольких хо- | ||
ЭП аналогично. Фильтрова- | стов-бастионов в ЭП | ||
ние осуществляется из прин- | · “прозрачность” ра- | ||
ципа: то, что не разрешено, | боты для любых сете- | ||
является запрещенным | вых служб и любой | ||
структуры внутрен- | |||
Таблица 1 - Особенности межсетевых экранов
Как видно из табл.1 межсетевой экран является наиболее распространенным средством усиления традиционных средств защиты от несанкционированного доступа и используется для обеспечения защиты данных при организации межсетевого взаимодействия. Конкретные реализации МЭ в значительной степени зависят от используемых вычислительных платформ, но, тем не менее, все системы этого класса используют два механизма, один из которых обеспечивает блокировку сетевого трафика, а второй, наоборот, разрешает обмен данными. При этом некоторые версии МЭ делают упор на блокировании нежелательного трафика, а другие - на регламентировании разрешенного межмашинного обмена.
Межсетевой экран FireWall/Plus предназначен для решения трех основных задач:
Защита ресурсов корпоративных сетей от атак со стороны Internet;
Реализация мер безопасности (для выделенного сервера/группы серверов);
Разделение сегментов внутренней сети для предотвращения попыток НСД со стороны внутреннего пользователя.
Существенной особенностью данного МЭ является возможность работы с более 390 протоколами различных уровней. Благодаря мощному встроенному языку написания фильтров имеется возможность описать любые условия фильтрации. Такая особенность позволяет более эффективно решать задачи разделения сегментов корпоративной сети, в которой используются продукты, работающие со стеками TCP/IP, IPX, DECNet протоколов. Механизм описания протоколов прикладного уровня позволяет создать специфические схемы разграничения доступа пользователей. FireWall/Plus обеспечивает защиту при работе с Web, FTR, URL, приложениями ActiveX и Java, а также с электронной почтой.
Межсетевой экран FireWall/Plus обеспечивает обнаружение и борьбу со следующими атаками:
Атаки на аутентификацию сервера;
Атаки на протокол finger (с внешней и внутренней стороны);
Определение номера начального пакета соединения TCP;
Незаконная переадресация;
Атаки на DNS-доступ;
Атаки на FTR-аутентификацию;
Атаки на несанкционированную пересылку файлов;
Атаки на удаленную перезагрузку;
Подмена IP-адресов;
Спуфинг МАС-адреса;
Атаки на доступность (шторм запросов);
Атаки на резервный порт сервера;
Атаки с помощью серверов удаленного доступа;
Атаки на анонимный FTR-доступ.
Такое количество блокируемых атак определяется прежде всего тем, что FireWall/Plus поддерживает три метода преобразования сетевых адресов: один к одному; один ко многим; многие ко многим. Ему не нужен собственный IP-адрес. Эта особенность делает его полностью прозрачным в сети и практически неуязвимым при различных атаках. Рассмотренные возможности межсетевого экрана FireWall/Plus, являющегося представителем современного поколения МЭ, показывают, насколько динамично развивается данное направление средств защиты.
Сертификация межсетевых экранов В настоящее время Гостехкомиссией России принят рабочий документ “Средства вычислительной
техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации”. Этот документ позволяет не только упорядочить требования по защите информации, предъявляемые к межсетевым экранам, но и сопоставлять защитные свойства изделий этого вида.
С учетом перспектив в области сертификации средств защиты информации под руководством Гостехкомиссии России Центром безопасности информации (г. Юбилейный Московской области) организована разработка типовой методики по проведению сертификационных испытаний межсетевых экранов. Эта методика прошла испытания в ряде лабораторий, аккредитованных в системе сертификации Гостехкомиссии России. В настоящее время на российском рынке уже появились сертифицированные межсетевые экраны высокого класса защищенности, в том числе “Застава-Джет” (2 класс), “Застава” и “AltaVista Firewall 97” (3 класс защищенности). Эти изделия обеспечивают надежную защиту информационных ресурсов от несанкционированного доступа.
7.6.2.2 Программные методы защиты, применяемые в сети Internet
К программным методам защиты в сети Internet можно отнести прежде всего защищенные криптопротоколы, с использованием которых появляется возможность надежной защиты соединения. В следующем пункте пойдет речь о существующих на сегодняшний день в Internet подходах и основных, уже разработанных, криптопротоколах.
К иному классу программных методов защиты от удаленных атак относятся существующие на сегодняшний день программы, основная цель которых - анализ сетевого трафика на предмет наличия одного из известных активных удаленных воздействий.
1. SKIP-технология и криптопротоколы SSL, S-HTTP как основное средство защиты соединения и передаваемых данных в сети Internet
Очевидно, что одна из основных причин успеха удаленных атак на распределенные ВС кроется в использовании сетевых протоколов обмена, которые не могут надежно идентифицировать удаленные объекты, защитить соединение и передаваемые по нему данные. Поэтому совершенно естественно, что в процессе функционирования Internet были созданы различные защищенные сетевые протоколы, использующие криптографию как с закрытым, так и с открытым ключом. Классическая криптография с симметричными криптоалгоритмами предполагает наличие у передающей и принимающей стороны симметричных (одинаковых) ключей для шифрования и дешифрирования сообщений. Эти ключи предполагается распределить заранее между конечным числом абонентов, что в криптографии называется стандартной проблемой статического распределения ключей. Очевидно, что применение классической криптографии с симметричными ключами возможно лишь на ограниченном множестве объектов. В сети Internet для всех ее пользователей решить проблему статического распределения ключей, очевидно, не представляется возможным. Однако одним из первых защищенных протоколов обмена в Internet был протокол Kerberos, основанный именно на статическом распределении ключей для конеч-
ного числа абонентов. Таким же путем, используя классическую симметричную криптографию, вынуждены идти наши спецслужбы, разрабатывающие свои защищенные криптопротоколы для сети Internet. Это объясняется тем, что почему-то до сих пор нет гостированного криптоалгоритма с открытым ключом. Везде в мире подобные стандарты шифрования давно приняты и сертифицированы, а мы, видимо, опять идем другим путем!
Итак, понятно, что для того, чтобы дать возможность защититься всему множеству пользователей сети Internet, а не ограниченному его подмножеству, необходимо использовать динамически вырабатываемые в процессе создания виртуального соединения ключи при использовании криптографии с открытым ключом. Далее мы рассмотрим основные на сегодняшний день подходы и протоколы, обеспечивающие защиту соединения.
SKIP (Secure Key Internet Protocol) - технологией называется стандарт инкапсуляции IP-пакетов, позволяющий в существующем стандарте IPv4 на сетевом уровне обеспечить защиту соединения и передаваемых по нему данных. Это достигается следующим образом: SKIP-пакет представляет собой обычный IP-пакет, поле данных которого представляет из себя SKIP-заголовок определенного спецификацией формата и криптограмму (зашифрованные данные). Такая структура SKIP-пакета позволяет беспрепятственно направлять его любому хосту в сети Internet (межсетевая адресация происходит по обычному IP-заголовку в SKIP-пакете). Конечный получатель SKIP-пакета по заранее определенному разработчиками алгоритму расшифровывает криптограмму и формирует обычный TCPили UDP-па- кет, который и передает соответствующему обычному модулю (TCP или UDP) ядра операционной системы. В принципе, ничто не мешает разработчику формировать по данной схеме свой оригинальный заголовок, отличный от SKIP-заголовка.
S-HTTP (Secure HTTP) - это разработанный компанией Enterprise Integration Technologies (EIT) специ-
ально для Web защищенный HTTP-протокол. Протокол S-HTTP позволяет обеспечить надежную криптозащиту только HTTP-документов Web-севера и функционирует на прикладном уровне модели OSI. Эта особенность протокола S-HTTP делает его абсолютно специализированным средством защиты соединения, и, как следствие, невозможное его применение для защиты всех остальных прикладных протоколов (FTP, TELNET, SMTP и др.). Кроме того, ни один из существующих на сегодняш-
ний день основных Web-броузеров (ни Netscape Navigator 3.0, ни Microsoft Explorer 3.0) не поддержи-
вают данный протокол.
SSL (Secure Socket Layer) - разработка компании Netscape - универсальный протокол защиты соединения, функционирующий на сеансовом уровне OSI. Этот протокол, использующий криптографию с открытым ключом, на сегодняшний день, по нашему мнению, является единственным универсальным средством, позволяющим динамически защитить любое соединение с использованием любого прикладного протокола (DNS, FTP, TELNET, SMTP и т. д.). Это связано с тем, что SSL, в отличие от S- HTTP, функционирует на промежуточном сеансовом уровне OSI (между транспортным - TCP, UDP, - и прикладным - FTP, TELNET и т. д.). При этом процесс создания виртуального SSL-соединения происходит по схеме Диффи и Хеллмана (п. 6.2), которая позволяет выработать криптостойкий сеансовый ключ, используемый в дальнейшем абонентами SSL-соединения для шифрования передаваемых сообщений. Протокол SSL сегодня уже практически оформился в качестве официального стандарта защиты для HTTP-соединений, то есть для защиты Web-серверов. Его поддерживают, естественно, Netscape Navigator 3.0 и, как ни странно, Microsoft Explorer 3.0 (вспомним ту ожесточенную войну броузеров между компаниями Netscape и Microsoft). Конечно, для установления SSL-соединения с Web-сервером еще необходимо и наличие Web-сервера, поддерживающего SSL. Такие версии Webсерверов уже существуют (SSL-Apachе, например). В заключении разговора о протоколе SSL нельзя не отметить следующий факт: законами США до недавнего времени был запрещен экспорт криптосистем с длиной ключа более 40 бит (недавно он был увеличен до 56 бит). Поэтому в существующих версиях броузеров используются именно 40-битные ключи. Криптоаналитиками путем экспериментов было выяснено, что в имеющейся версии протокола SSL шифрование с использованием 40-битного ключа не является надежной защитой для передаваемых по сети сообщений, так как путем простого перебора (240 комбинаций) этот ключ подбирается за время от 1,5 (на суперЭВМ Silicon Graphics) до 7 суток (в процессе вычислений использовалось 120 рабочих станций и несколько мини ЭВМ).
Итак, очевидно, что повсеместное применение этих защищенных протоколов обмена, особенно SSL (конечно, с длиной ключа более 40 бит), поставит надежный барьер на пути всевозможных удаленных
Особый интерес для рассмотрения представляют удалённые, сетевые атаки. Интерес к этой разновидности атак вызван тем, что всё большее распространение в мире получают распределённые системы обработки данных. Большинство пользователей работает с удалёнными ресурсами, используя сеть INTERNET и стек протоколов TCP/IP. Изначально сеть INTERNET создавалась для связи между государственными учреждениями и университетами в помощь учебному процессу и научным исследованиям, и создатели этой сети не подозревали, насколько широко она распространится. В результате в спецификациях ранних версий Интернет-протокола (IP) отсутствовали требования безопасности. Именно поэтому многие реализации IP являются изначально уязвимыми.
В курсе рассматриваются следующие атаки и способы борьбы с ними.
Атака «Сниффинг». Сниффер пакетов представляет собой прикладную программу, которая использует сетевую карту, работающую в режиме promiscuous mode (в этом режиме все пакеты, полученные по физическим каналам, сетевой адаптер отправляет приложению для обработки). При этом сниффер перехватывает все сетевые пакеты, которые передаются через определенный домен. В настоящее время снифферы работают в сетях на вполне законном основании. Они используются для диагностики неисправностей и анализа трафика. Однако ввиду того, что некоторые сетевые приложения передают данные в текстовом формате (Telnet, FTP, SMTP, POP3 и т.д.), с помощью сниффера можно узнать полезную, а иногда и конфиденциальную информацию (например, имена пользователей и пароли).
Перехват имен и паролей создает большую опасность, так как пользователи часто применяют один и тот же логин и пароль для множества приложений и систем. Многие пользователи вообще имеют один пароль для доступа ко всем ресурсам и приложениям. Если приложение работает в режиме клиент/сервер, а аутентификационные данные передаются по сети в читаемом текстовом формате, эту информацию с большой вероятностью можно использовать для доступа к другим корпоративным или внешним ресурсам. В самом худшем случае злоумышленник получает доступ к пользовательскому ресурсу на системном уровне и с его помощью создает нового пользователя, которого можно в любой момент использовать для доступа в сеть и к ее ресурсам.
Смягчить угрозу сниффинга пакетов можно с помощью следующих средств:
Аутентификация. Сильные средства аутентификации являются первым способом защиты от сниффинга пакетов. Под «сильным» мы понимаем такой метод аутентификации, который трудно обойти. Примером такой аутентификации являются однократные пароли (OTP - One-Time Passwords). ОТР - это технология двухфакторной аутентификации. Типичным примером двухфакторной аутентификации является работа обычного банкомата, который опознает вас, во-первых, по вашей пластиковой карточке и, во-вторых, по вводимому ПИН-коду. Для аутентификации в системе ОТР также требуется ПИН-код и ваша личная карточка. Под «карточкой» (token) понимается аппаратное или программное средство, генерирующее (по случайному принципу) уникальный одномоментный однократный пароль. Если злоумышленник узнает этот пароль с помощью сниффера, эта информация будет бесполезной, потому что в этот момент пароль уже будет использован и выведен из употребления. Заметим, что этот способ борьбы со сниффингом эффективен только для борьбы с перехватом паролей. Снифферы, перехватывающие другую информацию (например, сообщения электронной почты), не теряют своей эффективности.
Коммутируемая инфраструктура. Еще одним способом борьбы со сниффингом пакетов в сетевой среде является создание коммутируемой инфраструктуры. Если, к примеру, во всей организации используется коммутируемый Ethernet, злоумышленники могут получить доступ только к трафику, поступающему на тот порт, к которому они подключены. Коммутируемая инфраструктура не ликвидирует угрозу сниффинга, но заметно снижает ее остроту.
Анти-снифферы. Третий способ борьбы со сниффингом заключается в установке аппаратных или программных средств, распознающих снифферы, работающие в сети. Эти средства не могут полностью ликвидировать угрозу, но, как и многие другие средства сетевой безопасности, они включаются в общую систему защиты. Так называемые «анти-снифферы» измеряют время реагирования хостов и определяют, не приходится ли хостам обрабатывать «лишний» трафик.
Криптография. Самый эффективный способ борьбы со сниффингом пакетов не предотвращает перехвата и не распознает работу снифферов, но делает эту работу бесполезной. Если канал связи является криптографически защищенным, это значит, что злоумышленник перехватывает не сообщение, а зашифрованный текст (то есть непонятную последовательность битов).
Атака «IP-спуфинг». Эта атака происходит, когда злоумышленник, находящийся внутри корпорации или вне ее, выдает себя за санкционированного пользователя. Самая простая причина использования подложных IP-адресов заключается в желании взломщика скрыть свою деятельность в океане сетевой активности. Например, средство построения сетевых схем NMAP3 применяет рассылку дополнительных последовательностей пакетов, каждая из которых использует собственный подложный IP-адрес отправителя. При этом взломщик знает, какие IP-адреса являются подложными и какие пакеты в каждой последовательности являются реальными. Администратор по обеспечению безопасности системы, которая подвергается нападению, будет вынужден проанализировать множество подложных IP-адресов, прежде чем он определит реальный IP-адрес взломщика.
Еще одна причина, по которой взломщик использует подлог IP-адреса, заключается в желании скрыть свою личность. Дело в том, что существует возможность проследить IP-адрес вплоть до отдельной системы, а иногда даже до отдельного пользователя. Поэтому с помощью IP-подлога взломщик пытается избежать обнаружения. Однако использование подложного IP-адреса приносит отправителю ряд трудностей.
Все ответы атакуемой системы отправляются на подложный IP-адрес. Для того чтобы просмотреть или получить эти ответы, взломщик должен находиться на их пути от взломанной машины к подложному IP-адресу (по крайней мере теоретически). Поскольку ответ не обязательно проходит тем же маршрутом, что и отправленный подложный пакет, взломщик может потерять возвращаемый трафик. Чтобы избежать этого, нарушитель может вмешаться в работу одного или нескольких промежуточных маршрутизаторов, адреса которых будут использоваться в качестве подложных, чтобы перенаправить трафик в другое место.
Другой подход состоит в том, что злоумышленник заранее угадывает порядковые номера TCP, которые используются атакованной машиной. В этом случае ему не нужно получать пакет SYN-ACK, так как он просто генерирует и отправляет пакет АСК с предугаданным порядковым номером. В первых реализациях стеков IP использовались предугадываемые схемы вычисления порядковых номеров, поэтому они были чувствительны к подложным TCP-потокам данных. В современных реализациях предугадать порядковый номер уже более сложно. Средство построения сетевых схем NMAP обладает возможностью оценивать сложность предугадывания порядковых номеров систем, которые подвергаются сканированию.
В третьем варианте взломщик может вмешаться в работу одного или более маршрутизаторов, расположенных между его сервером и сервером, который подвергается нападению. Это дает возможность направить ответный трафик, предназначенный подложному IP-адресу, в систему, из которой произошло вторжение. После завершения взлома маршрутизатор освобождается, чтобы замести следы.
Наконец, злоумышленник может не иметь намерения отвечать на пакет SYN-ACK, который возвращается от "жертвы". На это может быть две причины. Возможно, взломщик производит полуоткрытое сканирование портов, известное под названием SYN-сканирование. В этом случае его интересует только начальный ответ от машины, которая подвергается нападению. Комбинации флажков RST-ACK означает, что сканируемый порт закрыт, а комбинация SYN-ACK - что открыт. Цель достигнута, следовательно, нет необходимости отвечать на этот пакет SYN-ACK. Также возможен вариант, когда осуществляется лавинообразный SYN-взлом. В этом случае взломщик не только не отвечает на пакеты SYN-ACK или RST-ACK, но вообще не интересуется типом пакетов, полученных от взломанной системы.
Атаки IP-спуфинга часто являются отправной точкой для прочих атак. Классический пример - атака DoS, которая начинается с чужого адреса, скрывающего истинную личность злоумышленника.
Обычно IP-спуфинг ограничивается вставкой ложной информации или вредоносных команд в обычный поток данных, передаваемых между клиентским и серверным приложением или по каналу связи между одноранговыми устройствами.
Как уже отмечалось, для двусторонней связи злоумышленник должен изменить все таблицы маршрутизации, чтобы направить трафик на ложный IP-адрес. Некоторые злоумышленники, однако, даже не пытаются получить ответ от приложений. Если главная задача состоит в получении от системы важного файла, ответы приложений не имеют значения. Если же злоумышленнику удается поменять таблицы маршрутизации и направить трафик на ложный IP-адрес, злоумышленник получит все пакеты и сможет отвечать на них так, будто он является санкционированным пользователем.
Угрозу спуфинга можно ослабить (но не устранить) с помощью следующих мер:
Контроль доступа. Самый простой способ предотвращения IP-спуфинга состоит в правильной настройке управления доступом. Чтобы снизить эффективность IP-спуфинга, необходимо настроить контроль доступа на отсечение любого трафика, поступающего из внешней сети с исходным адресом, который должен располагаться внутри вашей сети. Заметим, что это помогает бороться с IP-спуфингом, когда санкционированными являются только внутренние адреса. Если санкционированными являются и некоторые адреса внешней сети, данный метод становится неэффективным.
Фильтрация RFC 2827. Попытки спуфинга чужих сетей пользователями защищаемой сети пресекаются, если отбраковывается любой исходящий трафик, исходный адрес которого не является одним из IP-адресов защищаемой организации. Этот тип фильтрации, известный под названием «RFC 2827», может выполнять и ваш провайдер (ISP). В результате отбраковывается весь трафик, который не имеет исходного адреса, ожидаемого на определенном интерфейсе. К примеру, если ISP предоставляет соединение с IP-адресом 15.1.1.0/24, он может настроить фильтр таким образом, чтобы с данного интерфейса на маршрутизатор ISP допускался только трафик, поступающий с адреса 15.1.1.0/24. Заметим, что до тех пор, пока все провайдеры не внедрят этот тип фильтрации, его эффективность будет намного ниже возможной. Кроме того, чем дальше от фильтруемых устройств, тем труднее проводить точную фильтрацию. Так, например, фильтрация RFC 2827 на уровне маршрутизатора доступа требует пропуска всего трафика с главного сетевого адреса (10.0.0.0/8), тогда как на уровне распределения (в данной архитектуре) можно ограничить трафик более точно (адрес - 10.1.5.0/24).
IP-спуфинг может функционировать только при условии, что аутентификация происходит на базе IP-адресов. Поэтому внедрение дополнительных методов аутентификации делает этот вид атак бесполезными. Лучшим видом дополнительной аутентификации является криптографическая. Если она невозможна, хорошие результаты может дать двухфакторная аутентификация с использованием одноразовых паролей.
Отказ в обслуживании (Denial of Service - DoS). DoS, без всякого сомнения, является наиболее известной формой атак. Кроме того, против атак такого типа труднее всего создать стопроцентную защиту. Простота реализации и огромный причиняемый вред привлекают к DoS пристальное внимание администраторов, отвечающих за сетевую безопасность. Наиболее известные разновидности атак являются: TCP SYN Flood; Ping of Death; Tribe Flood Network (TFN) и Tribe Flood Network 2000 (TFN2K); Trinco; Stacheldracht; Trinity.
Источником информации по этим атакам является группа экстренного реагирования на компьютерные проблемы (CERT - Computer Emergency Response Team), опубликовавшая работу по борьбе с атаками DoS.
Атаки DoS отличаются от атак других типов. Они не нацелены на получение доступа к вашей сети или на получение из этой сети какой-либо информации. Атака DoS делает сеть недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, операционной системы или приложения. В случае использования некоторых серверных приложений (таких как web-сервер или FTP-сервер) атаки DoS могут заключаться в том, чтобы занять все соединения, доступные для этих приложений, и держать их в занятом состоянии, не допуская обслуживания обычных пользователей. В ходе атак DoS могут использоваться обычные Интернет-протоколы, такие как TCP и ICMP (Internet Control Message Protocol).
Большинство атак DoS опирается не на программные ошибки или бреши в системе безопасности, а на общие слабости системной архитектуры. Некоторые атаки сводят к нулю производительность сети, переполняя ее нежелательными и ненужными пакетами или сообщая ложную информацию о текущем состоянии сетевых ресурсов. Этот тип атак трудно предотвратить, так как для этого требуется координация действий с провайдером. Если трафик, предназначенный для переполнения сети, не остановить у провайдера, то на входе в сеть это сделать уже не получится, потому что вся полоса пропускания будет занята. Когда атака этого типа проводится одновременно через множество устройств, мы говорим о распределенной атаке DoS (DDoS - distributed DoS).
Угроза атак типа DoS может снижаться тремя способами:
Функции анти-спуфинга. Правильная конфигурация функций анти-спуфинга на ваших маршрутизаторах и межсетевых экранах поможет снизить риск DoS. Эти функции, как минимум, должны включать фильтрацию RFC 2827. Если злоумышленник не сможет замаскировать свою истинную личность, он вряд ли решится провести атаку.
Функции анти-DoS. Правильная конфигурация функций анти-DoS на маршрутизаторах и межсетевых экранах может ограничить эффективность атак. Эти функции часто ограничивают число полуоткрытых каналов в любой момент времени.
Ограничение объема трафика (traffic rate limiting). Организация может попросить провайдера (ISP) ограничить объем трафика. Этот тип фильтрации позволяет ограничить объем некритического трафика, проходящего по вашей сети. Обычным примером является ограничение объемов трафика ICMP, который используется только для диагностических целей. Атаки (D) DoS часто используют ICMP.
Парольные атаки. Злоумышленники могут проводить парольные атаки с помощью целого ряда методов, таких как простой перебор (brute force attack), «троянский конь», IP-спуфинг и сниффинг пакетов. Хотя логин и пароль часто можно получить при помощи IP-спуфинга и сниффинга пакетов, хакеры часто пытаются подобрать пароль и логин, используя для этого многочисленные попытки доступа. Такой подход носит название простого перебора (brute force attack).
Часто для такой атаки используется специальная программа, которая пытается получить доступ к ресурсу общего пользования (например, к серверу). Если в результате злоумышленник получает доступ к ресурсам, он получает его на правах обычного пользователя, пароль которого был подобран. Если этот пользователь имеет значительные привилегии доступа, злоумышленник может создать для себя «проход» для будущего доступа, который будет действовать, даже если пользователь изменит свой пароль и логин.
Еще одна проблема возникает, когда пользователи применяют один и тот же (пусть даже очень хороший) пароль для доступа ко многим системам: корпоративной, персональной и системам Интернет. Поскольку устойчивость пароля равна устойчивости самого слабого хоста, злоумышленник, узнавший пароль через этот хост, получает доступ ко всем остальным системам, где используется тот же пароль.
Прежде всего, парольных атак можно избежать, если не пользоваться паролями в текстовой форме. Одноразовые пароли и/или криптографическая аутентификация могут практически свести на нет угрозу таких атак. К сожалению, не все приложения, хосты и устройства поддерживают указанные выше методы аутентификации.
При использовании обычных паролей старайтесь придумать такой пароль, который было бы трудно подобрать. Минимальная длина пароля должна быть не менее восьми символов. Пароль должен включать символы верхнего регистра, цифры и специальные символы (#, %, $ и т.д.). Лучшие пароли трудно подобрать и трудно запомнить, что вынуждает пользователей записывать пароли на бумаге. Чтобы избежать этого, пользователи и администраторы могут поставить себе на пользу ряд последних технологических достижений. Так, например, существуют прикладные программы, шифрующие список паролей, который можно хранить в карманном компьютере. В результате пользователю нужно помнить только один сложный пароль, тогда как все остальные пароли будут надежно защищены приложением.
Атаки типа «Man-in-the-Middle». Для атаки типа «Man-in-the-Middle» злоумышленнику нужен доступ к пакетам, передаваемым по сети. Такой доступ ко всем пакетам, передаваемым от провайдера в любую другую сеть, может, к примеру, получить сотрудник этого провайдера. Для атак этого типа часто используются снифферы пакетов, транспортные протоколы и протоколы маршрутизации. Атаки проводятся с целью кражи информации, перехвата текущей сессии и получения доступа к частным сетевым ресурсам для анализа трафика и получения информации о сети и ее пользователях, для проведения атак типа DoS, искажения передаваемых данных и ввода несанкционированной информации в сетевые сессии.
Эффективно бороться с атаками типа Man-in-the-Middle можно только с помощью криптографии. Если злоумышленник перехватит данные зашифрованной сессии, у него на экране появится не перехваченное сообщение, а бессмысленный набор символов. Заметим, что если злоумышленник получит информацию о криптографической сессии (например, ключ сессии), это может сделать возможной атаку Man-in-the-Middle даже в зашифрованной среде.
Атаки на уровне приложений. Атаки на уровне приложений могут проводиться несколькими способами. Самый распространенный из них состоит в использовании хорошо известных слабостей серверного программного обеспечения (sendmail, HTTP, FTP). Используя эти слабости, злоумышленники могут получить доступ к компьютеру от имени пользователя, работающего с приложением (обычно это бывает не простой пользователь, а привилегированный администратор с правами системного доступа). Сведения об атаках на уровне приложений широко публикуются, чтобы дать возможность администраторам исправить проблему с помощью коррекционных модулей (патчей, заплаток). К сожалению, многие злоумышленники также имеют доступ к этим сведениям, что позволяет им учиться.
Главная проблема с атаками на уровне приложений состоит в том, что они часто пользуются портами, которым разрешен проход через межсетевой экран. Полностью исключить атаки на уровне приложений невозможно.
