Смекни!
smekni.com

Безопасность сетей на базе TCPIP (стр. 3 из 3)

Для формирования ложного TCP-пакета атакующему необходимо знать текущие идентификаторы для данного соединения. Это значит, что ему достаточно, подобрав соответствующие текущие значения идентификаторов TCP-пакета для данного TCP-соединения послать пакет с любого хоста в Сети от имени одного из участников данного соединения, и данный пакет будет воспринят как верный.

При нахождении взломщика и объекта атаки в одном сегменте, задача получения значений идентификаторов решается анализом сетевого трафика. Если же они находятся в разных сегментах, приходится пользоваться математическим предсказанием начального значения идентификатора экстраполяцией его предыдущих значений.

Для защиты от таких атак необходимо использовать ОС, в которых начальное значение идентификатора генерируется действительно случайным образом. Также необходимо использовать защищённые протоколы типа SSL, S-HTTP, Kerberos и т.д.

Направленный шторм ложных TCP-запросов на создание соединения

На каждый полученный TCP-запрос на создание соединения операционная система должна сгенерировать начальное значение идентификатора ISN и отослать его в ответ на запросивший хост. При этом, так как в сети Internet (стандарта IPv4) не предусмотрен контроль за IP-адресом отправителя сообщения, то невозможно отследить истинный маршрут, пройденный IP-пакетом, и, следовательно, у конечных абонентов сети нет возможности ограничить число возможных запросов, принимаемых в единицу времени от одного хоста. Поэтому возможно осуществление типовой атаки "Отказ в обслуживании", которая будет заключаться в передаче на атакуемый хост как можно большего числа ложных TCP-запросов на создание соединения от имени любого хоста в сети. При этом атакуемая сетевая ОС в зависимости от вычислительной мощности компьютера либо – в худшем случае – практически зависает, либо – в лучшем случае – перестает реагировать на легальные запросы на подключение (отказ в обслуживании).

Это происходит из-за того, что для всей массы полученных ложных запросов система должна, во-первых, сохранить в памяти полученную в каждом запросе информацию и, во-вторых, выработать и отослать ответ на каждый запрос. Таким образом, все ресурсы системы "съедаются" ложными запросами: переполняется очередь запросов, и система занимается только их обработкой.

Недавно в Сети был отмечен новый тип атак. Вместо типичных атак Denial of Service хакеры переполняют буфер пакетов корпоративных роутеров не с единичных машин, а с целых тысяч компьютеров-зомби.

Такие атаки способны блокировать каналы мощностью вплоть до Т3 (44.736 Мбит/c) и уже отмечено несколько таких случаев. Опасность атаки становится тем важнее, чем больше бизнесов используют частные сети типа VPN и другие Интернет-технологии. Ведь отказ канала у публичного провайдера приведет в этом случае не просто к отключению отдельных пользователей, а к остановке работы огромных корпораций.

В этом случае существуют трудности в определении источника атаки - ложные пакеты идут с различных неповторяющихся IP-адресов. "Зомби-атаку" называют самой сложной из известных. На одинокую жертву нападает целая армия, и каждый зомби бьет только один раз.

Приемлемых способов защиты от подобных атак в сети стандарта IPv4 нет, так как невозможен контроль за маршрутом сообщений. Для повышения надёжности работы системы можно использовать по возможности более мощные компьютеры, способные выдержать направленный шторм ложных запросов на создание соединения.

Атаки, использующие ошибки реализации сетевых служб

Помимо перечисленных атак существуют и различные атаки, направленные против конкретных платформ. Например:

· Атака Land – формируется IP-пакет, в котором адрес отправителя совпадает с адресом получателя. Этой уязвимости подвержены все версии ОС семейства Windows до Windows NT 4.0 Service Pack 4 включительно. При поступлении таких запросов доступ к системе становится невозможным.

· Атаки teardrop и bonk – основаны на ошибках разработчиков ОС в модуле, отвечающем за сборку фрагментированных IP-пакетов. При этом происходит копирование блока отрицательной длины либо после сборки фрагментов в пакете остаются “дырки” – пустые, не заполненные данными места, что также может привести к сбою ядра ОС. Обе эти уязвимости присутствовали в ОС Windows95/NT до Service Pack 4 включительно и в ранних версиях ОС Linux (2.0.0).

· WinNuke – атака Windows-систем передачей пакетов TCP/IP с флагом Out Of Band (OOB) на открытый (обычно 139-й) TCP-порт. На сегодняшний день эта атака устарела. Ранние версии Windows95/NT зависали.

Существуют и различные другие атаки, характерные лишь для определённых ОС.

Атака через WWW

В последние несколько лет с бурным развитием World Wide Web сильно увеличилось и число атак через Web. В целом все типы атак через Web можно разделить на две большие группы:

1. Атака на клиента

2. Атака на сервер

В своём развитии браузеры ушли очень далеко от первоначальных версий, предназначенных лишь для просмотра гипертекста. Функциональность браузеров постоянно увеличивается, сейчас это уже полноценный компонент ОС. Параллельно с этим возникают и многочисленные проблемы с безопасностью используемых технологий, таких как подключаемые модули (plug-ins), элементы ActiveX, приложения Java, средства подготовки сценариев JavaScript, VBScript, PerlScript, Dynamic HTML.

Благодаря поддержке этих технологий не только браузерами, но и почтовыми клиентами и наличию ошибок в них в последние год-два появилось большое количество почтовых вирусов, а также вирусов, заражающих html-файлы (реализованные на VBScript с использованием ActiveX-объектов). Сильно распространены троянцы. Событием года стал выпуск хакерской группой Cult of the Dead Cow программы BackOrifice 2000, которая в отличие от предыдущей версии работает под WindowsNT да ещё и распространяется в исходных текстах, что даёт возможность всем желающим создать клон этой программы под свои конкретные нужды, к тому же, наверняка, не улавливаемый антивирусными программами.

Безопасность серверного ПО в основном определяется отсутствием следующих типов ошибок:

· Ошибки в серверах: ошибки, приводящие к утрате конфиденциальности; ошибки, приводящие к атакам типа “отказ в обслуживании” и ошибки, приводящие к выполнению на сервере неавторизованного кода.

· Ошибки во вспомогательных программах

· Ошибки администрирования

Проблема 2000 года применительно к сети Internet

Несмотря на то, что наступление 2000 года никак не повлияет на работу протоколов семейства TCP/IP, существуют программно-аппаратные средства, потенциально уязвимые по отношению к проблеме Y2K – это средства, обрабатывающие данные, связанные с системной датой.

Кратко рассмотрим возможные проблемы:

o Проблемы с системами шифрования и цифровой подписи – возможна некорректная обработка даты создания обрабатываемых сообщений.

o Ошибки в работе систем электронной коммерции, систем электронных торгов и резервирования заказов – неправильная обработка даты.

o Проблемы с модулями автоматизированного контроля безопасности системы и протоколирования событий – неправильное ведение журнала и его анализ.

o Проблемы с модулями реализации авторизованного доступа к ресурсам системы – невозможность доступа к системе в определённые даты.

o Проблемы с запуском в определённое время модулей автоматического анализа безопасности системы и поиска вирусов.

o Проблемы с системами защиты от нелегального копирования, основанными на временных лицензиях.

o Проблемы с работой операционных систем.

o Неправильная обработка даты аппаратными средствами защиты.

Для устранения возможных проблем при наступлении 2000 года необходимо всесторонне протестировать существующие системы и исправить обнаруженные ошибки. Обязательно нужно ознакомиться с информацией по данной системе от фирмы-производителя и обновить программное обеспечение, если доступны исправленные версии.

Методы защиты от удалённых атак в сети Internet

Наиболее простыми и дешёвыми являются административные методы защиты, как то использование в сети стойкой криптографии, статических ARP-таблиц, hosts файлов вместо выделенных DNS-серверов, использование или неиспользование определённых операционных систем и другие методы.

Следующая группа методов защиты от удалённых атак – программно-аппаратные. К ним относятся:

· программно-аппаратные шифраторы сетевого трафика;

  • методика Firewall;
  • защищённые сетевые криптопротоколы;

· программные средства обнаружения атак (IDS – Intrusion Detection Systems или ICE – Intrusion Countermeasures Electronics);

· программные средства анализа защищённости (SATAN – Security Analysis Network Tool for Administrator, SAINT, SAFEsuite, RealSecure и др.);

  • защищённые сетевые ОС.

В общем случае методика Firewall реализует следующие основные функции:

  1. Многоуровневая фильтрация сетевого трафика;

2. Proxy-схема с дополнительной идентификацией и аутентификацией пользователей на Firewall-хосте. Смысл proxy-схемы заключается в создании соединения с конечным адресатом через промежуточный proxy-сервер на хосте Firewall;

3. Создание приватных сетей с “виртуальными” IP-адресами. Используется для скрытия истинной топологии внутренней IP-сети.

Здесь можно выделить подгруппу методов защиты – программные методы. К ним относятся прежде всего защищённые криптопротоколы, используя которые можно повысить надёжность защиты соединения.

Список использованных информационных ресурсов:

  1. И.Д.Медведовский, П.В.Семьянов, Д.Г.Леонов Атака на Internet 2-е изд., перераб. и доп. –М.: ДМК, 1999.
  2. Э.Немет, Г.Снайдер, С.Сибасс, Т.Р.Хейн UNIX: руководство системного администратора: Пер. с англ. –К.: BHV, 1996
  3. В.Жельников Криптография от папируса до компьютера. –M.: ABF, 1996
  4. Материалы журнала “Компьютерра” (http://www.computerra.ru)
  5. Server/Workstation Expert, August 1999, Vol. 10, No. 8.
  6. Глобальные сети и телекоммуникации, №№ 01/1998, 06/1998
  7. Материалы конференций сети FidoNet: RU.NETHACK, RU.INTERNET.SECURITY
  8. Список рассылки BugTraq (BUGTRAQ@SECURITYFOCUS.COM)
  9. HackZone – территория взлома (http://www.hackzone.ru)
  10. Библиотека Сетевой Безопасности (http://security.tsu.ru)
  11. Сайт компании Internet Security Systems (http://www.iss.net)
  12. У.Гибсон Нейромант –М.: ТКО АСТ; 1997