Основные уязвимости уровней стека протоколов TCP/IP
Анализ сетевого трафика. Данная атака реализуется с помощью специальной программы, называемой sniffer. Sniffer представляет собой прикладную программу, которая использует сетевую карту, работающую в режиме promiscuous mode, так называемый «неразборчивый» режим в котором сетевая плата позволяет принимать все пакеты независимо от того кому они адресованы. В нормальном состоянии… Читать ещё >
Основные уязвимости уровней стека протоколов TCP/IP (реферат, курсовая, диплом, контрольная)
Если АС имеет подключение к сетям общего пользования, то могут быть реализованы сетевые атаки на нее. К сетям общего пользования на основе стека протоколов TCP/IP относится и Интернет, на примере которого мы будем рассматривать наиболее распространенные в настоящее время атаки. Сеть Интернет создавалась для связи между государственными учреждениями и университетом с целью оказания помощи учебному процессу. На начальном этапе никто не мог предположить дальнейший масштаб его развития и интеграции в жизнь современного общества, в связи с чем вопросам безопасности не уделялось должного внимания. Как следствие, на данный момент стек обладает множеством уязвимостей, которыми с успехом пользуются злоумышленники для реализации атак. Уязвимости протоколов, входящих в стек TCP/IP обусловлены, как правило, слабой аутентификацией, ограничением размера буфера, отсутствием проверки корректности служебной информации и т. п.
Краткая характеристика наиболее опасных уязвимостей приведена в таблице.
Таблица 1.
Наименование протокола. | Уровень стека протоколов | Наименование (характеристика) уязвимости. | Содержание нарушения безопасности информации |
FTP (File Transfer Protocol) — протокол передачи файлов по сети. | Прикладной, представительный, сеансовый. | Аутентификация на базе открытого текста (пароли пересылаются в незашифрованном виде) Доступ по умолчанию Наличие двух открытых портов. | Возможность перехвата данных учетной записи (имен зарегистрированных пользователей, паролей). Получение удаленного доступа к хостам. |
telnet — протокол управления удалённым терминалом. | Прикладной, представительный, сеансовый. | Аутентификация на базе открытого текста (пароли пересылаются в незашифрованном виде). | Возможность перехвата данных учетной записи (имен зарегистрированных пользователей, паролей). Получение удаленного доступа к хостам. |
UDP — протокол передачи данных без установления соединения. | Транспортный. | Отсутствие механизма предотвращения перегрузок буфера. | Возможность реализации UDР-шторма. В результате обмена пакетами происходит существенное снижение производительности сервера. |
ARP — протокол преобразования IP-адреса в физический адрес. | Сетевой. | Аутентификация на базе открытого текста (информация пересылается в незашифрованном виде). | Возможность перехвата трафика пользователя злоумышленником. |
RIP — протокол маршрутной информации. | Транспортный. | Отсутствие аутентификации управляющих сообщений об изменении маршрута. | Возможность перенаправления трафика через хост злоумышленника. |
TCP — протокол управления передачей. | Транспортный. | Отсутствие механизма проверки корректности заполнения служебных заголовков пакета. | Существенное снижение скорости обмена и даже полный разрыв произвольных соединений по протоколу TCP. |
DNS — протокол установления соответствия мнемонических имен и сетевых адресов. | Прикладной, представительный, сеансовый. | Отсутствие средств проверки аутентификации полученных данных от источника. | Фальсификация ответа DNS-сервера |
IGMP — протокол передачи сообщений о маршрутизации. | Сетевой. | Отсутствие аутентификации сообщений об изменении параметров маршрута. | Зависание систем Win 9x/NT/2000. |
SMTP — протокол обеспечения сервиса доставки сообщений по электронной почте. | Прикладной, представительный, сеансовый. | Отсутствие поддержки аутентификации заголовков сообщений. | Возможность подделывания сообщений электронной почты, а также адреса отправителя сообщения |
SNMP — протокол управления маршрутизаторами в сетях. | Прикладной, представительный, сеансовый. | Отсутствие поддержки аутентификации заголовков сообщений. | Возможность переполнения пропускной способности сети. |
Угрозы, реализуемые по сети, классифицируются по следующим основным признакам:
1. характер угрозы.
Пассивная — угроза, которая не оказывает влияния на работу информационной системы, но может нарушить правила доступа к защищаемой информации. Пример: использование sniffer для «прослушивания» сети. Активная — угроза, которая воздействуют на компоненты информационной системы, при реализации которой оказывается непосредственное влияние на работу системы. Пример: DDOS-атака в виде шторма TCP-запросами.
- 2. цель реализации угрозы (соответственно, конфиденциальность, доступность, целостность информации).
- 3. условие начала атаки:
- o по запросу от атакуемого. То есть злоумышленник ожидает передачи запроса определенного типа, который и будет условием начала НСД.
- o по наступлению ожидаемого события на атакуемом объекте.
- o безусловное воздействие — злоумышленник ничего не ждет, то есть угроза реализуется сразу и безотносительно к состоянию атакуемого объекта.
- 4. наличие обратной связи с атакуемым объектом:
- o с обратной связью, то есть на некоторые запросы злоумышленнику необходимо получить ответ. Таким образом, между атакуемым и атакующим есть обратная связь, позволяющая злоумышленнику следить за состоянием атакуемого объекта и адекватно реагировать на его изменения.
- o без обратной связи — соответственно, нет обратной связи и необходимости злоумышленнику реагировать на изменения атакуемого объекта.
- 5. расположение нарушителя относительно атакуемой информационной системы: внутрисегментно и межсегментно. Сегмент сети — физическое объединение хостов, технических средств и других компонентов сети, имеющих сетевой адрес. Например, один сегмент образуют компьютеры, подключенные к общей шине на основе Token Ring.
- 6. уровень эталонной модели ISO/OSI, на котором реализуется угроза: физический, канальный, сетевой, транспортный, сеансовый, представительный, прикладной.
Рассмотрим наиболее распространенные на настоящее время атаки в сетях на основе стека протоколов TCP/IP.
1. Анализ сетевого трафика. Данная атака реализуется с помощью специальной программы, называемой sniffer. Sniffer представляет собой прикладную программу, которая использует сетевую карту, работающую в режиме promiscuous mode, так называемый «неразборчивый» режим в котором сетевая плата позволяет принимать все пакеты независимо от того кому они адресованы. В нормальном состоянии на Ethernet-интерфейсе используется фильтрация пакетов канального уровня и если MAC-адрес в заголовке назначения принятого пакета не совпадает с MAC-адресом текущего сетевого интерфейса и не является широковещательным, то пакет отбрасывается. В «неразборчивом» режиме фильтрация на сетевом интерфейсе отключается и все пакеты, включая не предназначенные текущему узлу, пропускаются в систему. Надо заметить, что многие подобные программы используются в легальных целях, например, для диагностики неисправностей или анализа трафика. Тем не менее, в рассмотренной нами выше таблице перечислены протоколы, которые отправляют информацию, в том числе пароли, в открытом виде — FTP, SMTP, POP3 и т. д. Таким образом, с помощью sniffer можно перехватить имя и пароль и осуществить несанкционированный доступ к конфиденциальной информации. Более того, многие пользователи используют одни и те же пароли для доступа ко многим сетевым сервисам. То есть, если в одном месте сети есть слабость в виде слабой аутентификации, пострадать может вся сеть. Злоумышленники хорошо знают людские слабости и широко применяют методы социальной инженерии.
Защита от данного вида атаки может заключаться в следующем:
- o Сильная аутентификация, например, использование одноразовых паролей (one-time password). Суть состоит в том, что пароль можно использовать однократно, и даже если злоумышленник перехватил его с помощью sniffer, он не представляет никакой ценности. Конечно, данный механизм защиты спасает только от перехвата паролей, и является бесполезным в случае перехвата другой информации, например, электронной почты.
- o Анти-снифферы — аппаратные или программные средства, способные выявить работу сниффера в сегменте сети. Как правило, они проверяют нагрузку на узлах сети с целью определения «лишней» нагрузки.
- o Коммутируемая инфраструктура. Понятно, что анализ сетевого трафика возможен только внутри одного сегмента сети. Если сеть построена на устройствах, разбивающих ее на множество сегментов (коммутаторы и маршрутизаторы), то атака возможна только в тех участках сети, которые относятся к одному из портов данных устройств. Это не решает проблемы сниффинга, но уменьшает границы, которые может «прослушивать» злоумышленник.
- o Криптографические методы. Самый надежный способ борьбы с работой sniffer. Информация, которая может быть получена с помощью перехвата, является зашифрованной и, соответственно, не имеет никакой пользы. Чаще всего используются IPSec, SSL и SSH.
- 2. Сканирование сети. Целью сканирования сети является выявление работающих в сети служб, открытых портов, активных сетевых сервисов, используемых протоколов и т. п., то есть сбор информации о сети. Для сканирования сети чаще всего используются:
- o запросы DNS помогают выяснить злоумышленнику владельца домена, адресную область,
- o эхо-тестирование — выявляет работающие хосты на основе DNS-адресов, полученных ранее;
- o сканирование портов — составляется полный перечень услуг, поддерживаемых этими хостами, открытые порты, приложения и т. п.
Хорошей и наиболее распространенной контрмерой является использование IDS, которая успешно находит признаки ведения сканирования сети и уведомляет об этом администратора. Полностью избавиться от данной угрозы невозможно, так как если, например, отключить эхо ICMP и эхо-ответ на маршрутизаторе, то можно избавиться от угрозы эхо-тестирования, но при этом потерять данные, необходимые для диагностики сетевых сбоев.
3. Выявление пароля. Основной целью данной атаки является получение несанкционированного доступа к защищаемым ресурсам путем преодоления парольной защиты. Чтобы получить пароль, злоумышленник может использовать множество способов — простой перебор, перебор по словарю, сниффинг и др. Самым распространенным является простой перебор всех возможных значений пароля. Для защиты от простого перебора необходимо применять сильные пароли, которые не просто подобрать: длина 6−8 символов, использование букв верхнего и нижнего регистра, использование специальных знаков (@,#,$ и т. д.).
Еще одной проблемой информационной безопасности является то, что большинство людей используют одинаковые пароли ко всем службам, приложениям, сайтам и пр. При этом уязвимость пароля зависит от самого слабого участка его использования.
Подобного рода атак можно избежать, если использовать одноразовые пароли, о которых мы говорили ранее, или криптографическую аутентификацию.
4. IP-spoofing или подмена доверенного объекта сети. Под доверенным в данном случае понимается объект сети (компьютер, маршрутизатор, межсетевой экран и т. п.), легально подключенный к серверу. Угрозы заключается в том, что злоумышленник выдает себя за доверенный объект сети. Это можно сделать двумя способами. Во-первых, воспользоваться IP-адресом, находящимся в пределах диапазона санкционированных IP-адресов, или авторизованным внешним адресом, которому разрешается доступ к определенным сетевым ресурсам. Атаки данного типа часто являются отправной точкой для прочих атак.
Обычно подмена доверенного объекта сети ограничивается вставкой ложной информации или вредоносных команд в обычный поток данных, передаваемых между объектами сети. Для двусторонней связи злоумышленник должен изменить все таблицы маршрутизации, чтобы направить трафик на ложный IP-адрес, что тоже является возможным. Для ослабления угрозы (но не ее ликвидации) можно использовать следующее:
- o контроль доступа. Можно настроить контроль доступа на отсечение любого трафика, поступающего из внешней сети с исходным адресом внутри сети. Этот метод является действенным, если санкционированы только внутренние адреса и не работает, если есть санкционированные внешние адреса.
- o Фильтрация RFC 2827 — данный тип фильтрации позволяет пресечь попытки спуфинга чужих сетей пользователями вашей сети. Для этого необходимо отбраковывать любой исходящий трафик, исходный адрес которого не является одним из IP-адресов вашей организации. Часто этот тип фильтрации выполняется провайдером. В результате отбраковывается весь трафик, который не имеет исходного адреса, ожидаемого на определенном интерфейсе. К примеру, если ISP предоставляет соединение с IP-адресом 15.1.1.0/24, он может настроить фильтр таким образом, чтобы с данного интерфейса на маршрутизатор ISP допускался только трафик, поступающий с адреса 15.1.1.0/24. Заметим, что до тех пор, пока все провайдеры не внедрят этот тип фильтрации, его эффективность будет намного ниже возможной.
- o Внедрение дополнительных методов аутентификации. IP-spoofing возможен только в случае аутентификации на основе IP. Если ввести какие-то дополнительные меры по аутентификации, например, криптографические, атака становится бесполезной.