Середовище передачі інформації

Мережева безпека

Атаковані мережеві компоненти

Сервера.

Основними компонентами будь-якої інформаційної мережі є сервери та робочі станції. Сервера надають інформаційні чи обчислювальні ресурси, на робочих станціях працює персонал. У принципі, будь-яка ЕОМ в мережі може бути одночасно і сервером і робочою станцією – у цьому випадку до неї застосовні описи атак, присвячені і серверам і робочим станціям.

Основними завданнями серверів є зберігання та надання доступу до інформації та деякі види сервісів. Отже, і всі можливі цілі зловмисників можна класифікувати як

  • отримання доступу до інформації,
  • отримання несанкціонованого доступу до послуг,
  • спроба виведення з робочого режиму певного класу послуг,
  • спроба зміни інформації чи послуг, як допоміжний етап будь-якої більшої атаки.

Спроби отримання доступу до інформації, що знаходиться на сервері, в принципі нічим не відрізняються від подібних спроб для робочих станцій, і ми розглянемо їх пізніше. Проблема отримання несанкціонованого доступу до послуг набуває надзвичайно різноманітних форм і ґрунтується в основному на помилках або недокументованих можливостях самого програмного забезпечення, що надає подібні послуги.

А ось проблема виведення з ладу (порушення нормального функціонування) сервісів є досить актуальною в сучасному комп'ютерному світі. Клас подібних атак отримав назву атака "відмова у сервісі" (англ.deny of service-DoS). Атака "відмова у сервісі" може бути реалізована на цілому діапазоні рівнів моделіOSI: фізичному, канальному, мережевому, сеансовому. Детально схемиДля реалізації цієї атаки ми розглянемо в параграфі, присвяченому моделіOSI.

Зміна інформації або послуг як частина великомасштабної атаки є також дуже важливою проблемою захисту серверів. Якщо на сервері зберігаються паролі користувачів або будь-які дані, які можуть дозволити зловмиснику, змінивши їх, увійти в систему (наприклад, сертифікати ключів), то, природно, сама атака на систему розпочнеться з атаки на подібний сервер. Як сервери послуг, що найчастіше піддаються модифікації, слід назватиDNS-сервера.

Робочі станції.

Основною метою атаки робочої станції є, звичайно, отримання даних, що обробляються, або локально зберігаються на ній. А основним засобом таких атак досі залишаються "троянські" програми. Ці програми за своєю структурою нічим не відрізняються від комп'ютерних вірусів, проте при попаданні на ЕОМ намагаються поводитися якомога непомітніше. При цьому вони дозволяють будь-якій сторонній особі, яка знає протокол роботи з цією троянською програмою, проводити віддалено з ЕОМ будь-які дії. Тобто основною метою роботи подібних програм є руйнування системи мережевого захисту станції зсередини - пробивання в ній величезного пролому.

Для боротьби з троянськими програмами використовується як звичайне антивірусне програмне забезпечення, так і кілька специфічних методів, орієнтованих виключно на них. Щодо першого методу як і з комп'ютерними вірусами, необхідно пам'ятати, що антивірусне програмне забезпечення виявляє величезну кількість вірусів, але тільки таких, які широко розійшлися по країні і мали численні прецеденти зараження. У тих же випадках, коли вірус чи троянська програма пишеться з метою отримання доступу саме до Вашої ЕОМ чи корпоративної мережі, то вона практично зймовірністю 90% не буде виявлено стандартним антивірусним програмним забезпеченням.

Ті троянські програми, які забезпечують доступ до зараженої ЕОМ, отже, тримають у ньому відкритий порт будь-якого транспортного протоколу, можна виявляти з допомогою утиліт контролю над мережевими портами. Наприклад, для операційних систем клонуMicrosoft Windowsтакою утилітою є програмаNetStat. Запуск її із ключем "netstat -a" виведе на екран усі активні порти ЕОМ. Від оператора в цьому випадку потрібно знати порти стандартних сервісів, які постійно відкриті на ЕОМ, і тоді будь-який новий запис на моніторі повинен привернути його увагу. На сьогоднішній день існує вже кілька програмних продуктів, які здійснюють подібний контроль автоматично.

Щодо троянських програм, які не тримають постійно відкритих транспортних портів, а просто методично пересилають на сервер зловмисника будь-яку інформацію (наприклад, файли паролів або повну копію тексту, що набирається з клавіатури), можливий лише мережевий моніторинг. Це досить складне завдання, що вимагає участі кваліфікованого співробітника, або громіздкої системи прийняття рішень.

Тому найбільш простий шлях, що надійно захищає як від комп'ютерних вірусів, так і від троянських програм – це встановлення на кожній робочій станції програм контролю за змінами у системних файлах та службових областях даних (реєстрі, завантажувальних областях дисків тощо) – так званихадвізорів(англ.adviser- повідомник).

Середовище передачі.

Звичайно, основним видом атак на середовище передачі є її прослуховування. Щодо можливості прослуховування всі лінії зв'язку діляться на:

  • широкомовні з необмеженим доступом
  • широкомовні з обмеженим доступом
  • канали "точка-точка"

Щодо прослуховування мережного трафіку пристроями, що підключаються ззовні, існує наступний список кабельних з'єднань за зростанням складності їх прослуховування:

  • невита пара– сигнал може прослуховуватися на відстані кілька сантиметрів без безпосереднього контакту,
  • вита пара– сигнал дещо слабший, але прослуховування без безпосереднього контакту також можливе,
  • коаксіальнийпровід- центральна жила надійно екранована оплеткою : необхідний спеціальний контакт, що розсуває або ріжучий частину обплетення, і проникає до центральної жили,
  • оптичневолокно– для прослуховування інформації необхідно вклинювання в кабель і дороге обладнання, сам процес під'єднання до кабелю супроводжується перериванням зв'язку і може бути виявлений, якщо кабелю постійно передається будь-який контрольний блок даних.

Висновок систем передачі з ладу (атака " відмова у сервісі " ) лише на рівні середовища передачі можливий, але зазвичай він розцінюється як зовнішній механічний чи електронний (а чи не програмне) вплив. Можливі фізичне руйнування кабелів, постановка шумів у кабелі та інфра- і радіо- трактах.

Вузли комутації мереж.

Вузли комутації мереж представляють для зловмисників як:

1) інструмент маршрутизації мережного трафіку;

2) необхідний компонент працездатності мережі.

Щодо першої мети отримання доступу до таблиці маршрутизації дозволяє змінити шлях потоку можливо конфіденційної інформації в сторону, що цікавить зловмисника. Подальші його дії можутьбути подібні до атаки наDNS-сервер. Досягти цього можна або безпосереднім адмініструванням, якщо зловмисник будь-яким отримав права адміністратора (найчастіше дізнався пароль адміністратора або скористався незміненим паролем за умовчанням). У цьому плані можливість віддаленого керування пристроями комутації не завжди добре: отримати фізичний доступ до пристрою, що керується лише через фізичний порт, набагато складніше.

Або можливий другий шлях атаки з метою зміни таблиці маршрутизації - він заснований на динамічній маршрутизації пакетів, включеної на багатьох вузлах комутації. У такому режимі пристрій визначає найбільш вигідний шлях відправлення конкретного пакета, ґрунтуючись на історії приходу певних службових пакетів мережі – повідомлень маршрутизації (протоколиARP,RIPта інші). У цьому випадку при фальсифікації за певними законами кількох подібних службових пакетів можна домогтися того, що пристрій почне відправляти пакети по шляху, що цікавить зловмисника, думаючи, що це і є найшвидший шлях до пункту призначення.