3. Мережева безпека

3.1. Атаковані мережеві компоненти Класифікація мережевих атак за метою, що вибирається зловмисником для атаки. Розглянуто сервери, робочі станції, середовище передачі інформації та вузли комутації мереж.

3.2. Рівні мережевих атак згідно з моделлю OSI Еталонна модель взаємодії відкритих систем OSI дозволяє кваліфікувати мережеві атаки за рівнем атакованого протоколу.

3.1. Атаковані мережеві компоненти

3.1.1. Сервера Сервера призначені зберігання інформації чи надання певних видів послуг. Внаслідок цього, основними класами атак проти серверів є "відмова у сервісі" та спроби розкриття конфіденційної інформації. Специфічними атаками є атаки, які у фальсифікації службових сервісів.

3.1.2. Робочі станції Основним завданням зловмисника щодо робочих станцій є отримання інформації, що зберігається локально на їх жорстких дисках, або отримання паролів, що вводяться оператором, шляхом копіювання буфера клавіатури.

3.1.3. Середовище передачі Різні середовища передачі даних (ефірне, кабельне) вимагають від зловмисника різних витрат для їх прослуховування.

3.1.4. Вузли комутації мереж Атаки на вузли комутації переслідують зазвичай дві мети: або порушення цілісності мережі ( " відмова у сервісі " ), або перенаправлення трафіку неправильним шляхом, якимось чином вигідному зловмиснику.

3.1.1. Сервера

Основними компонентами будь-якої інформаційної мережі є сервери та робочі станції. Сервера надають інформаційні чи обчислювальні ресурси, на робочих станціях працює персонал. У принципі, будь-яка ЕОМ в мережі може бути одночасно і сервером і робочою станцією. У цьому випадку до неї застосовні описи атак, присвячені і серверам і робітникам.станціям.

Основними завданнями серверів є зберігання та надання доступу до інформації та деякі види сервісів. Отже, і всі можливі цілі зловмисників можна класифікувати як

отримання доступу до інформації,
отримання несанкціонованого доступу до послуг,
спроба виведення з робочого режиму певного класу послуг,
спроба зміни інформації чи послуг, як допоміжний етап будь-якої більшої атаки.

Спроби отримання доступу до інформації, що знаходиться на сервері, в принципі нічим не відрізняються від подібних спроб для робочих станцій, і ми розглянемо їх пізніше. Проблема отримання несанкціонованого доступу до послуг набуває надзвичайно різноманітних форм і ґрунтується в основному на помилках або недокументованих можливостях самого програмного забезпечення, що надає подібні послуги.

А ось проблема виведення з ладу (порушення нормального функціонування) сервісів є досить актуальною в сучасному комп'ютерному світі. Клас подібних атак отримав назву атака "відмова в сервісі" (англ. deny of service DoS). Атака "відмова у сервісі" може бути реалізована в цілому діапазоні рівнів моделі OSI: фізичному, канальному, мережевому, сеансовому. Детально схеми реалізації цієї атаки ми розглянемо у параграфі, присвяченому моделі OSI.

Зміна інформації або послуг як частина великомасштабної атаки є також дуже важливою проблемою захисту серверів. Якщо на сервері зберігаються паролі користувачів або будь-які дані, які можуть дозволити зловмиснику, змінивши їх, увійти в систему (наприклад, сертифікати ключів), то, природно, сама атака на систему розпочнеться з атаки на подібний сервер. Як сервери послуг, що найчастіше піддаютьсямодифікації слід назвати DNS-сервера.

3.1.2. Робочі станції

Основною метою атаки робочої станції є, звичайно, отримання даних, що обробляються, або локально зберігаються на ній. А основним засобом таких атак досі залишаються "троянські" програми. Ці програми за своєю структурою нічим не відрізняються від комп'ютерних вірусів, проте при попаданні на ЕОМ намагаються поводитися якомога непомітніше. При цьому вони дозволяють будь-якій сторонній особі, яка знає протокол роботи з цією троянською програмою, проводити віддалено з ЕОМ будь-які дії. Тобто основною метою роботи подібних програм є руйнування системи мережевого захисту станції зсередини - пробивання в ній величезного пролому.

Для боротьби з троянськими програмами використовується як звичайне антивірусне програмне забезпечення, так і кілька специфічних методів, орієнтованих виключно на них. Що стосується першого методу як і з комп'ютерними вірусами, необхідно пам'ятати, що антивірусне програмне забезпечення виявляє величезну кількість вірусів, але тільки таких, які широко розійшлися по країні і мали численні прецеденти зараження. У тих же випадках, коли вірус або троянська програма пишеться з метою отримання доступу саме до Вашої ЕОМ або корпоративної мережі, то практично з ймовірністю 90% не буде виявлено стандартним антивірусним ПЗ.

Ті троянські програми, які забезпечують доступ до зараженої ЕОМ, отже, тримають у ньому відкритий порт будь-якого транспортного протоколу, можна виявляти з допомогою утиліт контролю над мережевими портами. Наприклад, для операційних систем клону Microsoft Windows такою утилітою є програма NetStat. Запуск її з ключем "netstat -a" виведе на екран усі активні порти ЕОМ. Від оператора в цьому випадку потрібно знати портистандартних сервісів, які постійно відкриті на ЕОМ, і тоді будь-який новий запис на моніторі має привернути його увагу. На сьогоднішній день існує вже кілька програмних продуктів, які здійснюють подібний контроль автоматично.

Щодо троянських програм, які не тримають постійно відкритих транспортних портів, а просто методично пересилають на сервер зловмисника будь-яку інформацію (наприклад, файли паролів або повну копію тексту, що набирається з клавіатури), можливий лише мережевий моніторинг. Це досить складне завдання, що вимагає участі кваліфікованого співробітника, або громіздкої системи прийняття рішень.

Тому найбільш простий шлях, що надійно захищає як від комп'ютерних вірусів, так і від троянських програм - це встановлення на кожній робочій станції програм контролю за змінами в системних файлах і службових областях даних (реєстрі, завантажувальних областях дисків і т.п.) - так званих адвізорів (англ. adviser - повідомлення).

3.1.3. Середовище передачі інформації

Звичайно, основним видом атак на середовище передачі є її прослуховування. Щодо можливості прослуховування всі лінії зв'язку поділяються на:

широкомовні з необмеженим доступом
широкомовні з обмеженим доступом
канали "точка-точка"

Щодо прослуховування мережного трафіку пристроями, що підключаються ззовні, існує наступний список кабельних з'єднань за зростанням складності їх прослуховування:

невита пара сигнал може прослуховуватися на відстані в кілька сантиметрів без безпосереднього контакту,
кручена пара сигнал трохи слабший, але прослуховування без безпосереднього контакту також можливе,
коаксіальний провід |центральна жила надійно екранована оплеткою: необхідний спеціальний контакт, що розсуває або ріжучий частину обплетення, і проникає до центральної жили,
оптичне волокно Для прослуховування інформації необхідно вклинювання в кабель і дороге обладнання, сам процес під'єднання до кабелю супроводжується перериванням зв'язку і може бути виявлений, якщо по кабелю постійно передається який-небудь контрольний блок даних.

Висновок систем передачі з ладу (атака " відмова у сервісі " ) лише на рівні середовища передачі можливий, але зазвичай він розцінюється як зовнішній механічний чи електронний (а чи не програмне) вплив. Можливі фізичне руйнування кабелів, постановка шумів у кабелі та інфра- і радіо- трактах.

3.1.4. Вузли комутації мереж

Вузли комутації мереж представляють для зловмисників 1) як інструмент маршрутизації мережевого трафіку, і 2) як необхідний компонент працездатності мережі.

Щодо першої мети отримання доступу до таблиці маршрутизації дозволяє змінити шлях потоку можливо конфіденційної інформації в сторону, що цікавить зловмисника. Подальші його дії можуть бути подібні до атаки на DNS-сервер. Досягти цього можна або безпосереднім адмініструванням, якщо зловмисник будь-яким отримав права адміністратора (найчастіше дізнався пароль адміністратора або скористався незміненим паролем за умовчанням). У цьому плані можливість віддаленого керування пристроями комутації не завжди добре: отримати фізичний доступ до пристрою, що керується лише через фізичний порт, набагато складніше.

Або ж можливий другий шлях атаки з метою зміни таблиці маршрутизації він заснований на динамічній маршрутизації пакетів, включеної на багатьох вузлах комутації. УТакому режимі пристрій визначає найвигідніший шлях відправлення конкретного пакета, ґрунтуючись на історії приходу певних службових пакетів мережі, повідомлень маршрутизації (протоколи ARP, RIP та інші). У цьому випадку при фальсифікації за певними законами кількох подібних службових пакетів можна домогтися того, що пристрій почне відправляти пакети по шляху, що цікавить зловмисника, думаючи, що це і є найшвидший шлях до пункту призначення.

3.2. Рівні мережевих атак згідно моделі OSI

Еталонна модель взаємодії відкритих систем OSI (англ. Open Systems Interconnection) була розроблена інститутом стандартизації ISO з метою розмежувати функції різних протоколів у передачі інформації від одного абонента іншому. Подібних класів функцій було виділено 7 – вони отримали назву рівнів. Кожен рівень виконує свої певні завдання у процесі передачі блоку інформації, причому відповідний рівень на приймальній стороні здійснює перетворення, точно зворотні тим, які виробляв той же рівень на стороні, що передає. Загалом проходження блоку даних від відправника до отримувача показано на рис.1. Кожен рівень додає до пакета невеликий обсяг своєї службової інформації – префікс (на малюнку вони зображені як P1. P7). Деякі рівні у конкретній реалізації цілком можуть бути відсутніми.

Рис.1.

Дана модель дозволяє провести класифікацію мережевих атак згідно з рівнем їх впливу.

Фізичний рівень відповідає за перетворення електронних сигналів на сигнали середовища передачі інформації (імпульси напруги, радіохвилі, інфрачервоні сигнали). На цьому рівні основним класом атак є "відмова у сервісі". Постановка шумів по всій смузі пропускання каналу може призвести до "надійного"розриву зв'язку.

Канальний рівень керує синхронізацією двох та більшої кількості мережевих адаптерів, підключених до єдиного середовища передачі даних. Прикладом є протокол EtherNet. Впливи на цьому рівні також полягають в основному в атаці "відмова у сервісі". Однак, на відміну від попереднього рівня, тут проводиться збій синхропосилок або самої передачі даних періодичною передачею "без дозволу і не свого часу".

Мережевий рівень відповідає за систему унікальних імен та доставку пакетів по цьому імені, тобто за маршрутизацію пакетів. Приклад такого протоколу є протокол Інтернету IP. Всі атаки, засновані на неправильній маршрутизації пакетів, ми вже розглянули.

Транспортний рівень відповідає за доставку великих повідомлень лініями з комутацією пакетів. Так як у подібних лініях розмір пакета є зазвичай невеликим числом (від 500 байт до 5 кілобайт), то для передачі великих обсягів інформації їх необхідно розбивати на передавальній стороні і збирати на приймальні. Транспортними протоколами в Інтернеті є протоколи UDP і TCP. Реалізація транспортного протоколу – досить складне завдання, а якщо ще врахувати, що зловмисник вигадує різні схеми складання неправильних пакетів, то проблема атак транспортного рівня цілком зрозуміла.

Справа в тому, що пакети на приймальну сторону можуть приходити і іноді приходять не в тому порядку, в якому вони були відправлені. Причина зазвичай полягає у втраті деяких пакетів через помилки або переповненість каналів, рідше – у використанні для передачі потоку двох альтернативних шляхів у мережі. Отже, операційна система повинна зберігати деякий буфер пакетів, чекаючи приходу затриманих у дорозі. А якщо зловмисник із наміромформує пакети таким чином, щоб послідовність була великою і свідомо неповною, то можна очікувати як постійної зайнятості буфера, так і більш небезпечних помилок через його переповнення.

Сеансовий рівень відповідає за процедуру встановлення початку сеансу та підтвердження (квітування) приходу кожного пакета від відправника одержувачу. У мережі Інтернет протоколом сеансового рівня є протокол TCP (він займає і 4, і 5 рівні моделі OSI). Щодо сеансового рівня дуже поширена специфічна атака класу " відмова у сервісі " , заснована на властивостях процедури встановлення з'єднання у протоколі TCP. Вона отримала назву SYN-Flood (зд. flood - англ. "Великий потік").

При спробі клієнта підключитися до сервера, що працює за протоколом TCP (а його використовують понад 80% інформаційних служб, у тому числі HTTP, FTP, SMTP, POP3), він посилає серверу пакет без інформації, але з бітом SYN, встановленим в 1 у службовій області пакета – запит на з'єднання. Після отримання такого пакета сервер зобов'язаний надіслати клієнту підтвердження прийому запиту, після чого з третього пакета починається діалог між клієнтом і сервером. Одночасно сервер може підтримувати залежно від типу сервісу від 20 до кількох тисяч клієнтів.