На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Типовые способы удаленных атак на информацию в сети

Злоумышленники могут предпринимать удаленные атаки на компьютерные се­ти. Строятся такие атаки на основе знаний о протоколах, используемых в сети Internet. В результате успех атаки не зависит от того, какую именно программно-аппаратную платформу использует пользователь. Хотя, с другой стороны, это внушает и извест­ный оптимизм. Кроме того, существуют еще и внутренние атаки на информацию в компьютерных сетях (рис.
За счет того, что все атаки построены на основе некоторого конечного числа базо­вых принципов работы сети Internet, становится возможным выделить типовые уда­ленные атаки и предложить некоторые типовые комплексы мер противодействия им. Эти меры, собственно, и обеспечивают сетевую безопасность (специалисты часто гру­стно шутят, что сетевая компьютерная безопасность — это «борьба с глупостью пользо­вателей и интеллектом
Таким образом, знание действительно превращается в силу, потому что, во-пер­вых, «кто предупрежден — тот вооружен», а во-вторых, знание разрушает и те мифы и заблуждения, которые сложились у пользователей, и, тем самым, серьезно облегча­ет работу такой большой структуры, как всемирная сеть
Наиболее типовыми удаленными атаками на информацию в сети (2) из-за
несовершенства Internet-протоколов являются:
анализ сетевого трафика сети; □ внедрение ложного объекта сети; внедрение ложного маршрута.
Рассмотрим характеристики этих удаленных атак. Начнем с анализа сетевого тра­фика сети.
Для получения доступа к серверу по базовым протоколам FTP (File Transfer Protocol) и TELNET (Щотокол виртуального терминала) сети Internet пользователю необходи­мо пройти на нем процедуру идентификации и аутентификации. В качестве инфор­мации, идентифицирующей пользователя, выступает его идентификатор (имя), а для аутентификации используется пароль. Особенностью протоколов FTP и TELNET
является то, что пароли и идентификаторы пользователей передаются по сети в от­крытом, незашифрованном виде.
Таким образом, для получения доступа к хостам Internet знать имя
пользователя и его пароль. При обмене информацией два удаленных узла Internet де­лят информацию, которой обмениваются, на пакеты. Пакеты проходят по каналам
связи; там пакеты и могут быть перехвачены.
Анализ протоколов FTP и TELNET показывает, что TELNET разбивает пароль на символы и пересылает их по одному, помещая каждый символ пароля в соответ­ствующий пакет, a FTP, напротив, пересылает пароль целиком в одном пакете. Ввиду того, что пароли эти никак не зашифрованы, с помощью специальных программ-ска­неров пакетов можно выделить именно те пакеты, которые содержат имя и пароль
сетью
пользователя. По этой же причине, кстати, ненадежна и столь популярная ныне про­грамма ICQ. Протоколы и форматы хранения и передачи данных обмена ICQ извес­тны. Поэтому трафик ICQ также может быть перехвачен и вскрыт.
Почему все устроено так просто? Проблема заключается в протоколах обмена. Ба­зовые прикладные протоколы семейства ТСРЛР были разработаны очень давно - на за­ре компьютерной техники (в период с конца 60-х до начала 80-х годов) — и с тех пор абсолютно не изменились. В то время основной концепцией построения сети была на­дежность. Рассматривалась возможность сохранения работоспособности компьютерной сети даже после ядерного удара. За прошедшие годы подход к обеспечению информаци­онной безопасности распределенных сетей существенно изменился. Были разработаны различные протоколы обмена, позволяющие защитить сетевое соединение и зашифро­вать трафик (например, протоколы SSL, SKIP и т. п.). Однако эти протоколы не смени­ли устаревшие и не стали стандартом (может быть, за исключением SSL).
Вся проблема состоит вот в чем: чтобы они стали стандартом, к использованию этих протоколов должны перейти все пользователи сети, но так как в Internet отсут­ствует централизованное управление сетью, то процесс перехода может длиться еще многие годы. А на сегодняшний день подавляющее большинство пользователей ис­пользуют стандартные протоколы семейства ТСРДР, разработанные более 15 лет на­зад. В результате, путем простого анализа сетевого трафика (потока информации) воз­можно вскрыть большинство систем средней защищенности.
Опытные пользователи Internet сталкивались с таким явлением, как установка за­щищенного соединения (обычно при оплате какой-либо покупки в Internet при помо­щи кредитной карты). Это как раз и есть специальный протокол, который применяет современные криптографические средства с тем, чтобы затруднить перехват и расшиф­ровку сетевого трафика. Однако большая часть сетевого трафика остается по-прежне­му незащищенной.


В любой распределенной сети существуют еще такие «узкие места» , как поиск и адресация. В ходе этих процессов становится возможным внедрение ложного объекта распределенной сети (обычно это ложный хост). Даже если объект имеет право на ка­кой-либо ресурс сети, вполне может оказаться, что этот объект — ложный.
Внедрение ложного объекта приводит к тому, что вся информация, которую вы хо­тите передать адресату, попадает на самом деле к злоумышленникам. Примерно, это можно представить, как если бы кто-то сумел внедриться к вам в допустим, адресом SMTP (Simple MailTransfer Protocol) — сервера вашего провайдера, которым
вы обычно пользуетесь для отправки электронной почты. В этом случае без особых
усилий злоумышленник завладел бы вашей электронной корреспонденцией, и вы, даже и не подозревая того, сами переправили бы ему всю свою электронную почту.
Для удобства пользователя в сети, существует несколько уровней представления данных. Каждому из уровней соответствует своя система адресов. Так и на физичес­ком диске файл на одном уровне представления определяется одним своим име­нем, а на другом — как цепочка адресов кластеров, начиная с адреса первого класте­ра. При обращении к какому-либо хосту производится специальное преобразование
адресов (из IP-адреса выводится физический адрес сетевого адаптера или маршрутиза­тора сети). В сети Internet для решения этой проблемы используется протокол ARP
(Address Resolution Protocol).
Протокол ARP позволяет получить взаимно однозначное соответствие IP-и Ethernet-адресов для хостов, находящихся внутри одного сегмента. Это Достигается следующим образом: при первом обращении к сетевым ресурсам хост отправляет ши­роковещательный ARP-запрос. Этот запрос получат все станции в данном сегменте сети. Получив запрос, хост внесет запись о запросившем хосте в свою ARP-таблицу, а затем отправит на запросивший хост ARP-ответ, в котором сообщит свой Ethernet-адрес.
Если в данном сегменте такого хоста нет, то произойдет обращение к маршрутиза­тору, который позволяет обратиться к другим сегментам сети. Если пользователь и зло­умышленник находятся в одном сегменте, то становится возможным осуществить пе­рехват АРР-запроса и направить ложный ARP-ответ. В итоге обращение будет происходить по физическому адресу сетевого адаптера ложного хоста. Утешением может служить лишь то, что действие этого метода ограничено только одним сегмен­том сети.
Как известно, для обращения к хостам в сети Internet используются 32-разрядные IP-адреса, уникально идентифицирующие каждый сетевой компьютер. Однако для пользователей применение IP-адресов при обращении к хостам является ре слишком удобным и далеко не самым наглядным. Когда сеть Internet только зарождалась, было принято решение для удобства пользователей присвоить всем компьютерам в сети имена. Применение имен позволяет пользователю лучше ориентироваться в кибер-пространстве Internet. Пользователю намного проще запомнить, например, имя www.narod.ru, чем четырехразрядную цепочку.
Существует система преобразования имен, благодаря которой пользователь в слу­чае отсутствия у него информации о соответствии имен и IP-адресов может получить необходимые сведения от ближайшего информационно-поискового DNS-cepeepa (Domain Name System). Эта система получила название доменной системы имен —


DNS. Набирая мнемоническое имя, мы обращаемся тем самым к DNS-серверу, а он у­же посылает IP-адрес, по которому и происходит соединение.
Так же, как и в случае с ARP, является возможным внедрение в сеть Internet лож­ного DNS-сервера путем перехвата DNS-запроса. Зто происходит по следующему ал­горитму:
1. Ожидание DNS-запроса.
2. Извлечение из полученного запроса необходимых сведений и передача по сети на запросивший хост ложного DNS-ответа от имени (с IP-адреса) настоящего DNS-сервера, в котором указывается IP-адрес ложного DNS-сервера.
3. При получении пакета от хоста изменение в IP- заголовке пакета его IP-адреса на IP-адрес ложного DNS-сервера и' передача пакета на сервер (то есть ложный DNS-сервер ведет работу с сервером от своего имени).
4. При получении пакета от сервера изменение в IP-заголовке пакета его IP-адреса на IP-адрес ложного DNS-сервера и передача пакета на хост (хост считает ложный DNS-
сервер настоящим).
Современные глобальные сети представляют собой совокупность сегментов сети, связанных между собой через сетевые узлы. При этом маршрутом называется пос­ледовательность узлов сети, по которой данные передаются от источника к приемни­ку. Для унификации обмена информацией о маршрутах существуют специальные про­токолы управления маршрутами; в Internet, например, — это протокол обмена сообщениями о новых маршрутах /CM/>(Internet Control Message Protocol) и прото­кол удаленного управления маршрутизаторами SNMP (Simple Network Management Protocol). Изменение маршрута — не что иное, как внедрение атакующего ложного хоста. Даже если конечный объект будет истинным, маршрут можно построить таким
образом, чтобы информация все равно проходила через ложный хост.
Для изменения маршрута атакующему необходимо послать по сети специальные служебные сообщения, определенные данными протоколами управления сетью, от
имени сетевых управляющих устройств (например, маршрутизаторов). В результате
успешного изменения маршрута атакующий получит полный контроль над потоком информации, которым обмениваются два объекта распределенной сети, и затем может перехватывать информацию, анализировать, модифицировать ее, а то и просто удалять. То есть становится возможным реализовать угрозы всех типов.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика