Головна

Від віддалених і локальних атак

  1.  Базові конфігурації локальних обчислювальних мереж
  2.  Бездротове підключення вузлів в локальних мережах.
  3.  Відновлення видалених об'єктів з Кошики
  4.  Класи віддалених загроз і їх характеристика
  5.  Моніторинг і аналіз локальних мереж
  6.  Визначення відстаней до віддалених зірок
  7.  Особливості локальних, глобальних і міських (регіональних) мереж

Говорячи про віддалених атаках, слід зазначити, що захист від них взаємозалежна з методами доступу і використаними користувачем ресурсами глобальної мережі. Мережі є загальнодоступними. Віддалений доступ до цих ресурсів може здійснюватися анонімно будь-яким неавторизованих користувачів. Прикладом неавторизованого доступу є підключення до www- або FTP-серверів. У цьому випадку, якщо трафік користувача буде перехоплений, пройде через сегмент атакуючого, то останній не отримає нічого, крім загальнодоступної інформації, тобто відпадає турбота про захист інформації. Якщо ж планується авторизований доступ до віддалених ресурсів, то слід звернути на цю проблему особливу увагу.

Методи захисту пов'язані також з використовуваної користувачем операційною системою, маючи при цьому на увазі: чи збирається користувач дозволяти віддалений доступ з мережі до своїх ресурсів. Якщо немає, то користувач повинен використовувати чисто «клієнтську» ОС (наприклад, Windows 98 або NT Workstation). Віддалений доступ до даної системи в принципі неможливий, що, безумовно, підвищує її безпеку (хоча і не гарантує її повністю). Природно, все обмеження, пов'язані з безпекою, погіршують функціональність системи. У зв'язку з цим існує така аксіома безпеки: «Принципи доступності, зручності, швидкодії та функціональності обчислювальної системи антагоністичні принципам її безпеки. Чим більш зручна, швидка і багатофункціональна обчислювальна система, тим вона менш безпечна ». Природно, повна ізоляція комп'ютера від глобальної мережі шляхом відключення роз'єму або створення виділеної лінії зв'язку забезпечує абсолютну безпеку від віддалених атак, проте повністю виключає функціональні можливості мереж і тому безглузда. Основна ж мета комплексного захисту інформації - забезпечення максимальних функціональних можливостей при максимальній захищеності мережі. Серед різноманітних заходів щодо захисту від віддалених атак найбільш простими і дешевими є адміністративні заходи. Наприклад, як можна захиститися від аналізу мережевого трафіку зловмисником, якщо відомо, що за допомогою програмного прослуховування можна перехопити будь-яку інформацію, якою обмінюються віддалені користувачі, коли по каналу передаються нешифровані повідомлення? Також відомо, що базові прикладні протоколи віддаленого доступу TELNET і FTP не передбачають елементарну захист переданих по мережі ідентифікаторів (імен) і аутентифікаторі (паролів).

Тому адміністратори мереж можуть заборонити використовувати ці базові протоколи для надання авторизованого доступу до ресурсів своїх систем. При необхідності можна рекомендувати засоби захисту цих протоколів.

Певну небезпеку представляє використання так званого протоколу ARP. Цей протокол здійснює пошук і зіставлення IP-адреси з адресою конкретної локальної мережі (наприклад, Ethernet) і напрямок проходження саме за цією адресою. Перехоплений IP-пакет може бути в даному випадку направлений по помилковому адресою (по помилковому ARP-сервера). Щоб усунути цю неприємність, пов'язану з відсутністю у ОС кожного хоста необхідної інформації про відповідні IP- і Ethernet-адреси інших хостів всередині даного сегменту мережі, мережевий адміністратор створює статичну ARP-таблицю у вигляді файлу, куди вноситься необхідна інформація про адреси. Даний файл встановлюється на кожен хост всередині мережевого сегмента, і, отже, у мережевий ОС відпадає необхідність використання віддаленого ARP-пошуку.

Відома також уразливість адресному служби DNS, що дозволяє кракеру отримати глобальний контроль над з'єднаннями шляхом нав'язування помилкового маршруту через хост кракера - помилковий
 DNS-сервер. Це призводить до катастрофічних наслідків для величезного числа користувачів. Захист від помилкового DNS-сервера - досить складне завдання, однак і в цьому випадку можуть бути запропоновані адміністративні методи, які можуть запобігти встановленню такого глобального контролю або захистити подібну віддалену систему. Розроблено адміністративні заходи від нав'язування помилкового маршруту, захисту від відмови в обслуговуванні і від інших причин порушення безпеки інформації.

Визнаючи важливість адміністративних заходів захисту від віддалених атак, проте, слід вважати, що основну роль грають все ж програмно-апаратні методи захисту. Центральним елементом в комплексі програмно-апаратних методів є криптографія. Протягом багатьох років криптографія використовувалася виключно у військових цілях з залученням та використанням фундаментальних наукових досліджень (досить згадати роботи А. Тьюринга і їх практичну реалізацію в великому обчислювальному комплексі в Великобританії в період другої світової війни). Агентство національної безпеки АНБ Сполучених Штатів Америки і його аналоги в колишньому Радянському Союзі, Англії, Франції, Ізраїлі та інших країнах витратили мільярди доларів на розробку криптографічних методів, намагаючись забезпечити безпеку власних ліній зв'язку та одночасно - зламати всі чужі. Як правило, роботи цих відомств з даної тематики носили секретний характер. В останні 20 - 30 років спостерігається бурхливий ріст несекретних наукових розробок в області криптографії. Сьогодні сучасна комп'ютерна криптографія широко практикується і за стінами військових відомств, що, безумовно, пов'язано з розширенням сфери діяльності людей, в яких виникає потреба в криптографічних методах захисту інформації. Цей науковий напрям має дуже серйозне теоретичне (математичне, алгоритмічне) обгрунтування і пов'язане з роботами таких видатних вчених, як згадуваний вище Алан Тьюринг, Клод Шеннон, Давид Кан і ін. У відкритій пресі вже з'явилося досить багато публікацій, підручників і солідних монографій з криптографії [11], [12], [13].

Конкретна реалізація методів криптографії пов'язана з розробкою апаратних і програмних засобів, так, наприклад, мейнфрейми фірми IBM, починаючи з 90-х років оснащуються криптографічними процесорами, що забезпечують шифрування і дешифрування повідомлень з мінімальною додатковим навантаженням на центральний процесор. Ці спецпроцесори можуть обробляти великі обсяги даних і забезпечувати високий рівень захищеності обчислювальних систем. Важливу роль в реалізації криптографічних методів грає розробка генераторів «істинно випадкових» чисел і інші дослідження.

Як приклад застосування криптографічних методів розглянемо процедуру захисту IP-протоколу в глобальній мережі Інтернет. Забезпечити безпеку глобальної мережі Інтернет особливо важко, оскільки дейтаграми, що передаються від відправника до кінцевого одержувача, проходять через кілька проміжних мереж і маршрутизаторів, які не контролюються ні відправником, ні одержувачем. Таким чином, оскільки дейтаграми можуть бути перехоплені без відома відправника, їх вмісту не можна довіряти. Наприклад, розглянемо сервер, який використовує процедуру аутентифікації джерела для перевірки того, що запити надходять від авторизованих клієнтів. Процедура аутентифікації джерела вимагає, щоб сервер при одержанні кожної дейтаграми перевіряв IP-адреса відправника, і брав запити тільки від комп'ютерів, адреси яких перераховані в спеціальному списку. Даний вид аутентифікації забезпечує слабкий захист, оскільки її можна легко обійти. Зокрема, один з проміжних маршрутизаторів може контролювати трафік проходять через нього дейтаграм і фіксувати IP-адреси авторизованих клієнтів, які можуть бути перехоплені будь-яким зловмисником, що контролюють цей маршрутизатор. Потім цей зловмисник може виступити в ролі авторизованого клієнта.

Група IETF (Internet Engineering Task Forse) - інженерна група, що входить в структуру архітектурного ради Інтернет, розробила набір протоколів, які забезпечують безпечну зв'язок в глобальній мережі. Всі разом вони називаються сімейством протоколів IPsec (IP security або захисним протоколом IP). У цих протоколах аутентифікація і шифрування даних виконуються на рівні протоколу IP.

Методи криптографії, що застосовуються при розробці різноманітних криптопротоколів, складають основу програмних методів захисту інформації в мережах. У той же час вони є складовою частиною так званої методики Firewall, Яка нині є основою програмно-апаратних засобів здійснення мережевої політики безпеки в IP-мережах і реалізують наступні функції:

Багаторівнева фільтрація мережевого трафіку. Фільтрація звичайно відбувається на чотирьох рівнях OSI:

канальному (Ethernet);

мережевому (IP);

транспортному (TCP, UDP);

прикладному (FTP, TELNET, HTTP, SMTP і т.д.).

Фільтрація мережевого трафіку є основною функцією системи Firewall і дозволяє адміністратору безпеки мережі централізовано здійснювати необхідну мережеву політику в виділеному сегменті IP-мережі. Налаштувавши для цього відповідним чином Firewall, можна дозволити або заборонити користувачам як доступ із зовнішньої мережі до відповідним службам хостів або до хостів, що знаходяться в захищеному сегменті, так і доступ користувачів з внутрішньої мережі до відповідних ресурсів зовнішньої мережі.

Proxy - Схема з додатковою ідентифікацією й аутентифікації користувачів. Сенс proxy-схеми полягає в створенні з'єднання з кінцевим адресатом через проміжний сервер, званий proxy-сервером (proxy - повноважний), на хості Firewall.

Створення приватних мереж з віртуальними IP-адресами. Якщо адміністратор безпеки вважає за доцільне приховати справжню топологію своєї внутрішньої IP-мережі, він може використовувати proxy-сервер для відділення своєї внутрішньої приватній мережі зі своїми внутрішніми віртуальними IP-адресами, які, очевидно, непридатні для зовнішньої адресації. При цьому proxy-сервер повинен здійснювати зв'язок з абонентами з зовнішньої мережі зі свого справжнього IP-адреси. Ці ж схеми застосовуються і в тому разі, якщо для створення IP-мережі виділено недостатня кількість IP-адрес. Основним апаратним компонентом для реалізації методики управління доступом до об'єднаної мережі є спеціалізований пристрій зване брандмауером, Асоційоване з терміном Firewall (термін брандмауер запозичений з будівництва, де він позначає товсту неспалену стіну, завдяки якій секція будови стає непроникною для вогню). Зазвичай «брандмауер» встановлюється між внутрішньою мережею організації та каналом, який веде до зовнішніх мереж (наприклад, до глобальної мережі Інтернет), брандмауери поділяють об'єднану мережу на дві області, які неофіційно називаються внутрішньої і зовнішньої. Хоча сама ідея брандмауера проста, її реалізація ускладнюється багатьма факторами. Один з них - внутрішня мережа організації може мати кілька зовнішніх з'єднань. При цьому необхідно сформувати периметр безпеки (security perimeter), встановивши брандмауер на кожне зовнішнє з'єднання. Щоб гарантувати ефективність периметра безпеки, у всіх брандмауерах повинні використовуватися однакові обмеження доступу. В іншому випадку зловмисники можуть обійти обмеження, накладені одним брандмауером, і зайти в об'єднану мережу через інший.

Існує кілька способів реалізації брандмауерів [10]. Вибір способу залежить від того, яка кількість зовнішніх каналів існує в організації. У більшості випадків кожен бар'єр в брандмауері реалізується на основі маршрутизатора, що містить фільтр пакетів. Щоб брандмауер не уповільнює роботу мережі, його апаратне і програмне забезпечення повинно бути оптимізовано на вирішення конкретного завдання. Вирішенню цього завдання сприяє і той факт, що в більшість комерційних маршрутизаторів включений швидкодіючий механізм фільтрації пакетів, який виконує основну частину роботи.

На практиці, як правило, виникає необхідність створити безпечний брандмауер, який допоможе запобігти небажаному доступу ззовні, і в той же час дозволить користувачам внутрішньої мережі отримати доступ до зовнішніх службам. При цьому необхідно виробити спеціальний механізм безпеки. У загальному випадку організація може забезпечити доступ до зовнішніх службам тільки через захищений комп'ютер. Тому зазвичай з кожним брандмауером пов'язують один захищений комп'ютер і встановлюють на цьому комп'ютері набір шлюзів рівня додатки. Для того щоб такий комп'ютер міг служити в якості безпечного каналу зв'язку, його ступінь захисту повинна бути дуже висока. Тому такий комп'ютер часто називають бастіонним вузлом. На бастіонах вузлі запускаються служби, які організація хоче зробити видимими ззовні, а також proxy-сервери, які дозволяють внутрішньої мережі отримати доступ до зовнішніх серверів. У брандмауері також може використовуватися так звана «тупикова мережа», яка дозволяє ізолювати зовнішній трафік від внутрішнього. До цієї мережі підключаються брандмауери, а також бастіонний вузол.

Всі брандмауери можна розділити на три типи:

пакетні фільтри (packet filter);

сервери прикладного рівня (application gateways);

сервери рівня з'єднання (circuit gateways).

Всі типи можуть одночасно зустрітися в одному брандмауері.

Пакетні фільтри.Брандмауери з пакетними фільтрами приймають рішення про те, пропускати пакет або відкинути, переглядаючи IP-адреси, прапорці або номера TCP-портів в заголовку цього пакету. IP-адреса і номер порту - інформація мережевого і транспортного рівнів відповідно, але пакетні фільтри використовують і інформацію прикладного рівня, так як всі стандартні сервіси в TCP / IP асоціюються з певним номером порту.

Сервери прикладного рівня.Брандмауери з серверами прикладного рівня використовують сервери конкретних сервісів - TELNET, FTP і т.д. (Proxy server), що запускаються на брандмауері і пропускають через себе весь трафік, що відноситься до даного сервісу. Таким чином, між клієнтом і сервером утворюються два з'єднання: від клієнта до брандмауера і від брандмауера до місця призначення.

Використання серверів прикладного рівня дозволяє вирішити важливе завдання - приховати від зовнішніх користувачів структуру локальної мережі, включаючи інформацію в заголовках поштових пакетів або служби доменних імен (DNS). Іншим позитивним якістю є можливість аутентифікації на призначеному для користувача рівні.

При описі правил доступу використовуються такі параметри, як назва сервісу, ім'я користувача, допустимий часовий діапазон використання сервісу, комп'ютери, з яких можна користуватися сервісом, схеми аутентифікації. Сервери протоколів прикладного рівня дозволяють забезпечити найбільш високий рівень захисту - взаємодія з зовнішнім світом реалізується через невелике число прикладних програм, повністю контролюючих весь вхідний і вихідний трафік.

Сервери рівня з'єднання.Сервер рівня з'єднання являє собою транслятор TCP-з'єднання. Користувач утворює з'єднання з певним портом на брандмауері, після чого останній виробляє з'єднання з місцем призначення по іншу сторону від брандмауера. Під час сеансу цей транслятор копіює байти в обох напрямках, діючи як дріт.

Як правило, пункт призначення задається заздалегідь, тоді як джерел може бути багато (з'єднання типу «один з багатьма»). Використовуючи різні порти, можна створювати різні конфігурації. Такий тип сервера дозволяє створювати транслятор для будь-якого певного користувачем сервісу, що базується на TCP, здійснювати контроль доступу до цього сервісу, збір статистики щодо його використання.

Говорячи про програмні засоби захисту інформації необхідно зазначити, що кінцевою метою атаки кракера є певний комп'ютер, з конкретною реалізацією мережевих протоколів, з конкретною певною системою. У зв'язку з цим необхідно торкнутися захисту операційних систем. Серед типових атак, яким можуть бути піддані будь-які ОС, можна вказати наступні [6]:

крадіжка пароля (Підглядання за декількома користувачами, одержання з файлу, крадіжка носіїв і т.п.);

підбір пароля (Перебір можливих варіантів, включаючи оптимізований перебір);

копіювання «жорстких» дисків комп'ютера;

збір «сміття»: якщо засіб ОС дозволяють відновлювати раніше видалені об'єкти, зловмисник може отримати доступ до віддалених об'єктів (віддалених іншими користувачами), переглянувши вміст їх сміттєвих кошиків;

перевищення повноважень: скориставшись помилками в програмному забезпеченні або адмініструванні ОС, зловмисник отримує повноваження, що перевищують ті, які надані йому відповідно до чинної політики безпеки;

відмова в обслуговуванні (Метою цієї атаки є частковий або повний висновок ОС з ладу, як правило, за допомогою вірусів).

Найпоширенішою ОС в глобальній мережі Інтернет є ОС Unix, основними протоколами, що визначають мережі Інтернет, є протоколи TCP / IP, які були розроблені для ОС Unix. Не менш 90% потужних Інтернет-вузлів працюють під керуванням цієї ОС і різних її діалектів. Основні концепції Unix розроблялися в кінці 60-х - початку 70-х років минулого століття, коли не було ніякої теорії комп'ютерної безпеки, і ніхто не підозрював, про тих великих неприємностях, які виникнуть у міру розвитку мережевих технологій.

Сучасні мережеві операційні системи виявляються в явно більш вигідному становищі, оскільки вони розроблялися з урахуванням помилок Unix і сучасної ситуації з безпекою мереж. Однак це зовсім не свідчить про їхню більшу безпеки.

За довгий термін життя Unix дослідниками написані, а адміністраторами вивчені сотні статей і книг щодо механізмів безпеки Unix і способів їх порушення. Все це дозволяє припустити, що ніяких сюрпризів Unix більше не піднесе.

З новими ОС ситуація прямо протилежна. І хоча в них закладені концепції, узгоджуються з сучасним станом теорії безпеки, у них дуже малий термін експлуатації. Вони активно досліджуються хакерами і кракерами, і, не дивлячись на досвід Unix, починають проходити той же самий шлях і здійснювати ті ж самі помилки в забезпеченні безпеки.

На додаток до гл. 6 слід додати кілька зауважень про структуру коштів інформаційної безпеки ОС Unix і найбільш слабких її місцях. Як відомо, спочатку Unix була орієнтована на централізовані обчислення в системах колективного користування як багатозадачна, розрахована на багато користувачів ОС. Користувачі системи поділялися на групи, в залежності від прав доступу (або привілеїв):

привілейований (Root), що має необмежені права;

звичайний користувач, Який має права в рамках свого ідентифікатора (UID, user ID) і членство в групі (GID, group ID) - права і обмеження встановлюються для нього суперкористувачем.

У міру розвитку ОС і використання Unix-машин в якості серверів в глобальних мережах серед звичайних користувачів виділялися так звані спеціальні користувачі. Вони, як правило, мають зареєстровані імена (guest, bin, uucp і т.п.) і номера UID і GID. Прав у цього користувача ще менше, ніж у звичайного. Їх встановлює привілейований для роботи з конкретними програмами. Одним з цікавих прикладів спеціального користувача є анонімний користувач FTP, який так і називається anonymous, або ftp.

І, нарешті, є категорія так званих псевдопользователей, Які не мають ніяких прав і не ідентифікованих системою. Але вони можуть підключатися до системи за допомогою так званих програм-демонів (В сучасній термінології серверів), зокрема, використовуючи засоби електронної пошти e-mail. Від цього користувача не потрібно аутентифікації, облік за ним також не ведеться.

Саме дві останні категорії користувачів (особливо остання) і є причиною основних неприємностей в OC Unix з точки зору інформаційної безпеки. Серед основних причин уразливості Unix прийнято вважати наявність демонів; механізм SUID / SGIN; надмірна довіра (оскільки в не настільки давні часи творці робили систему «під себе», не підозрюючи, наскільки тісніше і небезпечніше стане комп'ютерний світ через кілька років); «Люки».

Механізм SUID / SGIN - атрибут, який надає право мати повноваження супер, зокрема можливість зміни ідентифікатора (власного пароля).

Також слабким місцем Unix-систем є «люки». Люком, або «чорним входом» (backdoor), часто називають залишену розробником недокументовану можливість взаємодії з системою (найчастіше - входу в неї), наприклад відомий тільки розробнику універсальний «пароль». Люки залишають в кінцевих програмах внаслідок помилки, що не прибравши оцінний код, або внаслідок необхідності продовження налагодження вже в реальній системі через її високої складності, або ж з корисливих інтересів. Люки - улюблений шлях в віддалену систему не тільки у хакерів, але і у журналістів, і режисерів разом з підбором «головного» пароля перебором за хвилину до вибуху, але на відміну від останнього способу люки реально існують. Класичний приклад люка - це, звичайно, оцінний режим в sendmail.

З огляду на динаміку розвитку ОС Unix в даний час, можна сказати, що вона є найбільш потужною і надійною, в тому числі і з точки інформаційної безпеки системи.

На ринку досить багато пропозицій засобів захисту Інтернет, однак по ряду параметрів жодне з них не може бути визнано адекватним завданням захисту інформації саме для Інтернет. Наприклад, досить крипостійкість і чудовою за своєю ідеєю є поширена система PGP (Pritty good privacy). Однак, оскільки PGP забезпечує шифрування файлів, вона може бути застосована тільки там, де можна обійтися файловим обміном. Захистити, наприклад, додатки «on-line» за допомогою PGP важко. Крім того, рівень ієрархії управління захисту PGP занадто високий: цю систему можна віднести до прикладного або представницькому рівням моделі OSI. Стиковка захисту PGP з іншими прикладними системами потребують також певних зусиль, якщо, звичайно, взагалі виявиться здійсненною. Альтернативу таким «високорівневим» системам захисту серед традиційних рішень становлять пристрої захисту канального і фізичного рівня - скремблери і канальні шифратори. Вони «невидимі» з прикладного рівня і, в цьому сенсі, сумісні з усіма додатками. Однак такі системи мають обмежену сумісність з різним каналоутворюючого обладнання та фізичними середовищами передачі даних. Це, як правило, не мережеві пристрої, здатні розпізнавати топологію мережі і забезпечити зв'язок з кінця в кінець через багато проміжних вузли, а «двоточкові» системи, що працюють на кінцях захищається лінії і тому вносять значну апаратну надмірність. І, звичайно ж, на таких пристроях неможливо побудувати систему захисту в рамках такої мережі, як Інтернет, вже хоча б тому, що неможливо забезпечити їх повсюдне поширення (внаслідок високої ціни) і загальну апаратну сумісність.

На закінчення цього короткого обговорення методів захисту інформації слід зазначити, що люди є найбільш уразлива ланка в будь-якій системі безпеки. Службовець фірми або зі злого наміру, або з необережності, або, не знаючи прийнятої в організації стратегії, може поставити під загрозу саму сучасну систему безпеки. У вивченні методів захисту інформації склалося навіть цілий напрям - соціальна інженерія, пов'язана зі зловживанням довіри користувачів, наприклад, як одним з найбільш ефективних методів отримати інформацію у нічого не підозрюють людей, особливо в великих організаціях, де багато користувачів не знають персонал своїх комп'ютерних підрозділів « в обличчя », спілкуючись, в основному, по телефону. За визначенням самих хакерів «соціальна інженерія» - термін, який використовується хакерами і хакерами для позначення несанкціонованого доступу іншим способом, ніж злом програмного забезпечення; мета - обдурити людей для отримання паролів до системи чи іншої інформації, яка допоможе порушити безпеку системи. Класичне шахрайство включає дзвінки по телефону, електронну пошту, розмови по Інтернет в «реальному часі», звичайну пошту, особисті зустрічі і т.п.




 програмування |  Забезпечення і коротка характеристика окремих частин |  І функціональне призначення окремих частин |  Мережеві операційні системи |  Загальна структура програмного забезпечення |  Коротка характеристика ОС, що застосовуються в ПК |  Інструментальне програмне забезпечення ПК |  Пакети прикладних програм |  Проблеми інформаційної безпеки |  впливів |

© 2016-2022  um.co.ua - учбові матеріали та реферати