Помощь в написании студенческих работ
Антистрессовый сервис

Основные уязвимости уровней стека протоколов TCP/IP

Реферат: Основные уязвимости уровней стека протоколов TCP/IP
РефератПомощь в написанииУзнать стоимостьмоей работы

Анализ сетевого трафика. Данная атака реализуется с помощью специальной программы, называемой sniffer. Sniffer представляет собой прикладную программу, которая использует сетевую карту, работающую в режиме promiscuous mode, так называемый «неразборчивый» режим в котором сетевая плата позволяет принимать все пакеты независимо от того кому они адресованы. В нормальном состоянии… Читать ещё >

Основные уязвимости уровней стека протоколов TCP/IP (реферат, курсовая, диплом, контрольная)

Если АС имеет подключение к сетям общего пользования, то могут быть реализованы сетевые атаки на нее. К сетям общего пользования на основе стека протоколов TCP/IP относится и Интернет, на примере которого мы будем рассматривать наиболее распространенные в настоящее время атаки. Сеть Интернет создавалась для связи между государственными учреждениями и университетом с целью оказания помощи учебному процессу. На начальном этапе никто не мог предположить дальнейший масштаб его развития и интеграции в жизнь современного общества, в связи с чем вопросам безопасности не уделялось должного внимания. Как следствие, на данный момент стек обладает множеством уязвимостей, которыми с успехом пользуются злоумышленники для реализации атак. Уязвимости протоколов, входящих в стек TCP/IP обусловлены, как правило, слабой аутентификацией, ограничением размера буфера, отсутствием проверки корректности служебной информации и т. п.

Краткая характеристика наиболее опасных уязвимостей приведена в таблице.

Таблица 1.

Наименование протокола.

Уровень стека протоколов

Наименование (характеристика) уязвимости.

Содержание нарушения безопасности информации

FTP (File Transfer Protocol) — протокол передачи файлов по сети.

Прикладной, представительный, сеансовый.

Аутентификация на базе открытого текста (пароли пересылаются в незашифрованном виде) Доступ по умолчанию Наличие двух открытых портов.

Возможность перехвата данных учетной записи (имен зарегистрированных пользователей, паролей).

Получение удаленного доступа к хостам.

telnet — протокол управления удалённым терминалом.

Прикладной, представительный, сеансовый.

Аутентификация на базе открытого текста (пароли пересылаются в незашифрованном виде).

Возможность перехвата данных учетной записи (имен зарегистрированных пользователей, паролей).

Получение удаленного доступа к хостам.

UDP — протокол передачи данных без установления соединения.

Транспортный.

Отсутствие механизма предотвращения перегрузок буфера.

Возможность реализации UDР-шторма.

В результате обмена пакетами происходит существенное снижение производительности сервера.

ARP — протокол преобразования IP-адреса в физический адрес.

Сетевой.

Аутентификация на базе открытого текста (информация пересылается в незашифрованном виде).

Возможность перехвата трафика пользователя злоумышленником.

RIP — протокол маршрутной информации.

Транспортный.

Отсутствие аутентификации управляющих сообщений об изменении маршрута.

Возможность перенаправления трафика через хост злоумышленника.

TCP — протокол управления передачей.

Транспортный.

Отсутствие механизма проверки корректности заполнения служебных заголовков пакета.

Существенное снижение скорости обмена и даже полный разрыв произвольных соединений по протоколу TCP.

DNS — протокол установления соответствия мнемонических имен и сетевых адресов.

Прикладной, представительный, сеансовый.

Отсутствие средств проверки аутентификации полученных данных от источника.

Фальсификация ответа DNS-сервера

IGMP — протокол передачи сообщений о маршрутизации.

Сетевой.

Отсутствие аутентификации сообщений об изменении параметров маршрута.

Зависание систем Win 9x/NT/2000.

SMTP — протокол обеспечения сервиса доставки сообщений по электронной почте.

Прикладной, представительный, сеансовый.

Отсутствие поддержки аутентификации заголовков сообщений.

Возможность подделывания сообщений электронной почты, а также адреса отправителя сообщения

SNMP — протокол управления маршрутизаторами в сетях.

Прикладной, представительный, сеансовый.

Отсутствие поддержки аутентификации заголовков сообщений.

Возможность переполнения пропускной способности сети.

Угрозы, реализуемые по сети, классифицируются по следующим основным признакам:

1. характер угрозы.

Пассивная — угроза, которая не оказывает влияния на работу информационной системы, но может нарушить правила доступа к защищаемой информации. Пример: использование sniffer для «прослушивания» сети. Активная — угроза, которая воздействуют на компоненты информационной системы, при реализации которой оказывается непосредственное влияние на работу системы. Пример: DDOS-атака в виде шторма TCP-запросами.

  • 2. цель реализации угрозы (соответственно, конфиденциальность, доступность, целостность информации).
  • 3. условие начала атаки:
    • o по запросу от атакуемого. То есть злоумышленник ожидает передачи запроса определенного типа, который и будет условием начала НСД.
    • o по наступлению ожидаемого события на атакуемом объекте.
    • o безусловное воздействие — злоумышленник ничего не ждет, то есть угроза реализуется сразу и безотносительно к состоянию атакуемого объекта.
  • 4. наличие обратной связи с атакуемым объектом:
    • o с обратной связью, то есть на некоторые запросы злоумышленнику необходимо получить ответ. Таким образом, между атакуемым и атакующим есть обратная связь, позволяющая злоумышленнику следить за состоянием атакуемого объекта и адекватно реагировать на его изменения.
    • o без обратной связи — соответственно, нет обратной связи и необходимости злоумышленнику реагировать на изменения атакуемого объекта.
  • 5. расположение нарушителя относительно атакуемой информационной системы: внутрисегментно и межсегментно. Сегмент сети — физическое объединение хостов, технических средств и других компонентов сети, имеющих сетевой адрес. Например, один сегмент образуют компьютеры, подключенные к общей шине на основе Token Ring.
  • 6. уровень эталонной модели ISO/OSI, на котором реализуется угроза: физический, канальный, сетевой, транспортный, сеансовый, представительный, прикладной.

Рассмотрим наиболее распространенные на настоящее время атаки в сетях на основе стека протоколов TCP/IP.

1. Анализ сетевого трафика. Данная атака реализуется с помощью специальной программы, называемой sniffer. Sniffer представляет собой прикладную программу, которая использует сетевую карту, работающую в режиме promiscuous mode, так называемый «неразборчивый» режим в котором сетевая плата позволяет принимать все пакеты независимо от того кому они адресованы. В нормальном состоянии на Ethernet-интерфейсе используется фильтрация пакетов канального уровня и если MAC-адрес в заголовке назначения принятого пакета не совпадает с MAC-адресом текущего сетевого интерфейса и не является широковещательным, то пакет отбрасывается. В «неразборчивом» режиме фильтрация на сетевом интерфейсе отключается и все пакеты, включая не предназначенные текущему узлу, пропускаются в систему. Надо заметить, что многие подобные программы используются в легальных целях, например, для диагностики неисправностей или анализа трафика. Тем не менее, в рассмотренной нами выше таблице перечислены протоколы, которые отправляют информацию, в том числе пароли, в открытом виде — FTP, SMTP, POP3 и т. д. Таким образом, с помощью sniffer можно перехватить имя и пароль и осуществить несанкционированный доступ к конфиденциальной информации. Более того, многие пользователи используют одни и те же пароли для доступа ко многим сетевым сервисам. То есть, если в одном месте сети есть слабость в виде слабой аутентификации, пострадать может вся сеть. Злоумышленники хорошо знают людские слабости и широко применяют методы социальной инженерии.

Защита от данного вида атаки может заключаться в следующем:

  • o Сильная аутентификация, например, использование одноразовых паролей (one-time password). Суть состоит в том, что пароль можно использовать однократно, и даже если злоумышленник перехватил его с помощью sniffer, он не представляет никакой ценности. Конечно, данный механизм защиты спасает только от перехвата паролей, и является бесполезным в случае перехвата другой информации, например, электронной почты.
  • o Анти-снифферы — аппаратные или программные средства, способные выявить работу сниффера в сегменте сети. Как правило, они проверяют нагрузку на узлах сети с целью определения «лишней» нагрузки.
  • o Коммутируемая инфраструктура. Понятно, что анализ сетевого трафика возможен только внутри одного сегмента сети. Если сеть построена на устройствах, разбивающих ее на множество сегментов (коммутаторы и маршрутизаторы), то атака возможна только в тех участках сети, которые относятся к одному из портов данных устройств. Это не решает проблемы сниффинга, но уменьшает границы, которые может «прослушивать» злоумышленник.
  • o Криптографические методы. Самый надежный способ борьбы с работой sniffer. Информация, которая может быть получена с помощью перехвата, является зашифрованной и, соответственно, не имеет никакой пользы. Чаще всего используются IPSec, SSL и SSH.
  • 2. Сканирование сети. Целью сканирования сети является выявление работающих в сети служб, открытых портов, активных сетевых сервисов, используемых протоколов и т. п., то есть сбор информации о сети. Для сканирования сети чаще всего используются:
    • o запросы DNS помогают выяснить злоумышленнику владельца домена, адресную область,
    • o эхо-тестирование — выявляет работающие хосты на основе DNS-адресов, полученных ранее;
    • o сканирование портов — составляется полный перечень услуг, поддерживаемых этими хостами, открытые порты, приложения и т. п.

Хорошей и наиболее распространенной контрмерой является использование IDS, которая успешно находит признаки ведения сканирования сети и уведомляет об этом администратора. Полностью избавиться от данной угрозы невозможно, так как если, например, отключить эхо ICMP и эхо-ответ на маршрутизаторе, то можно избавиться от угрозы эхо-тестирования, но при этом потерять данные, необходимые для диагностики сетевых сбоев.

3. Выявление пароля. Основной целью данной атаки является получение несанкционированного доступа к защищаемым ресурсам путем преодоления парольной защиты. Чтобы получить пароль, злоумышленник может использовать множество способов — простой перебор, перебор по словарю, сниффинг и др. Самым распространенным является простой перебор всех возможных значений пароля. Для защиты от простого перебора необходимо применять сильные пароли, которые не просто подобрать: длина 6−8 символов, использование букв верхнего и нижнего регистра, использование специальных знаков (@,#,$ и т. д.).

Еще одной проблемой информационной безопасности является то, что большинство людей используют одинаковые пароли ко всем службам, приложениям, сайтам и пр. При этом уязвимость пароля зависит от самого слабого участка его использования.

Подобного рода атак можно избежать, если использовать одноразовые пароли, о которых мы говорили ранее, или криптографическую аутентификацию.

4. IP-spoofing или подмена доверенного объекта сети. Под доверенным в данном случае понимается объект сети (компьютер, маршрутизатор, межсетевой экран и т. п.), легально подключенный к серверу. Угрозы заключается в том, что злоумышленник выдает себя за доверенный объект сети. Это можно сделать двумя способами. Во-первых, воспользоваться IP-адресом, находящимся в пределах диапазона санкционированных IP-адресов, или авторизованным внешним адресом, которому разрешается доступ к определенным сетевым ресурсам. Атаки данного типа часто являются отправной точкой для прочих атак.

Обычно подмена доверенного объекта сети ограничивается вставкой ложной информации или вредоносных команд в обычный поток данных, передаваемых между объектами сети. Для двусторонней связи злоумышленник должен изменить все таблицы маршрутизации, чтобы направить трафик на ложный IP-адрес, что тоже является возможным. Для ослабления угрозы (но не ее ликвидации) можно использовать следующее:

  • o контроль доступа. Можно настроить контроль доступа на отсечение любого трафика, поступающего из внешней сети с исходным адресом внутри сети. Этот метод является действенным, если санкционированы только внутренние адреса и не работает, если есть санкционированные внешние адреса.
  • o Фильтрация RFC 2827 — данный тип фильтрации позволяет пресечь попытки спуфинга чужих сетей пользователями вашей сети. Для этого необходимо отбраковывать любой исходящий трафик, исходный адрес которого не является одним из IP-адресов вашей организации. Часто этот тип фильтрации выполняется провайдером. В результате отбраковывается весь трафик, который не имеет исходного адреса, ожидаемого на определенном интерфейсе. К примеру, если ISP предоставляет соединение с IP-адресом 15.1.1.0/24, он может настроить фильтр таким образом, чтобы с данного интерфейса на маршрутизатор ISP допускался только трафик, поступающий с адреса 15.1.1.0/24. Заметим, что до тех пор, пока все провайдеры не внедрят этот тип фильтрации, его эффективность будет намного ниже возможной.
  • o Внедрение дополнительных методов аутентификации. IP-spoofing возможен только в случае аутентификации на основе IP. Если ввести какие-то дополнительные меры по аутентификации, например, криптографические, атака становится бесполезной.
Показать весь текст
Заполнить форму текущей работой

Сессия? Спокойно!