 |
АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция
Мережеві компоненти, що атакують
|
Читайте также: |
Основними мережевими компонентами, що атакують, є сервери, робочі станції, середовище передачі інформації й вузли комутації мереж.
Основними завданнями серверів є зберігання й надання доступу до інформації, а також деякі види сервісів. Отже, всі можливі наміри зловмисників можна класифікувати як:
· одержання доступу до інформації;
· одержання несанкціонованого доступу до послуг;
· спроба виводу з робочого режиму певного класу послуг;
· спроба зміни інформації або послуг – як допоміжний етап якої-небудь більшої атаки.
Проблема виводу з ладу (порушення нормального функціонування) послуг досить актуальна у сучасному комп'ютерному світі. Клас подібних атак одержав назву «відмова у послузі» (англ. Deny of service - DoS). Атака «відмова у послузі» може бути реалізована на різних рівнях моделі OSI: фізичному, канальному, мережевому, сеансовому. Детально схеми реалізації даної атаки ми розглянемо у параграфі, присвяченому моделі OSI.
Зміна інформації або послуг як частина більш масштабної атаки є також дуже важливою проблемою у захисті серверів. Якщо на сервері зберігаються паролі користувачів або які-небудь дані, що можуть дозволити зловмисникові, змінивши їх, увійти у систему (наприклад, сертифікати ключів), то природно, сама атака на систему почнеться з атаки на подібний сервер. Як сервери послуг, що найчастіше піддаються модифікації, варто назвати DNS-сервери.
Справа ось у чому: якщо зловмисникові вдасться роздобути права доступу до DNS-сервера, який обслуговує дану ділянку мережі, то він цілком може змінити програму DNS-сервісу. Зазвичай зміна робиться таким чином, щоб при деяких видах запитів замість правильної IP-адреси клієнтові видавалася IP-адреса якої-небудь допоміжної машини зловмисника, а всі інші запити оброблялися коректно. Це дає можливість змінювати шлях проходження трафіку, що може містити конфіденційну інформацію, і робити так, що весь потік інформації, який у нормальному режимі пройшов би поза досяжністю прослуховування, тепер надходив спочатку прямо до рук зловмисника (а потім його вже можна переправляти по дійсній IP-адресі другого абонента).
Основною метою атаки на робочу станцію зазвичай є одержання даних, що оброблються нею або локально збережених на ній. А основним засобом подібних атак дотепер залишаються «троянські» програми. Ці програми по своїй структурі нічим не відрізняються від комп'ютерних вірусів, однак коли вони потрапляють на комп'ютер, то намагаються поводитися як можна непомітніше. При цьому вони дозволяють будь-якій сторонній особі, що знає протокол роботи з даною троянською програмою, робити з віддаленого комп'ютера будь-які дії. Тобто основною метою роботи подібних програм є руйнування системи мережевого захисту станції зсередини - пробивання у ній величезного пролому.
Для боротьби із троянськими програмами використовується як звичайне антивірусне програмне забезпечення, так і кілька специфічних методів, орієнтованих винятково на них. Відносно першого методу, як і з комп'ютерними вірусами, необхідно пам'ятати, що антивірусне програмне забезпечення виявляє величезну кількість вірусів, але тільки таких, які широко розповсюдились по країні й мали численні прецеденти зараження. У тих же випадках, коли вірус або троянська програма пишеться з метою одержання доступу саме до вашого комп'ютера або локальної мережі, то вона практично з імовірністю 90% не буде виявлена стандартним антивірусним програмним забезпеченням.
Ті троянські програми, які постійно забезпечують доступ до зараженого комп'ютера, а отже, тримають на ньому відкритий порт якого-небудь транспортного протоколу, можна виявляти за допомогою утиліт контролю за мережевими портами. Наприклад, для операційних систем Windows такою утилітою є програма NetStat. Запуск її із ключем «netstat–a» виведе на екран всі активні порти комп'ютера. Оператору в цьому випадку потрібно знати порти стандартних послуг, які постійно відкриті на комп'ютері, і тоді будь-який новий запис на моніторі повинен привертати його увагу. На сьогоднішній день існує ряд програмних продуктів, що роблять подібний контроль автоматично.
Відносно троянських програм, які не тримають постійно відкритих транспортних портів, а просто методично пересилають на сервер зловмисника яку-небудь інформацію (наприклад, файли паролів або повну копію тексту, що набирається із клавіатури), можливий тільки мережевий моніторинг. Це досить складне завдання, що вимагає або участі кваліфікованого співробітника, або громіздкої системи прийняття рішень.
Тому найпростіший шлях, що надійно захищає як від комп'ютерних вірусів, так і від «троянських» програм, - це встановлення на кожній робочій станції програм контролю за змінами у системних файлах і службових областях даних (реєстрі, завантажувальних областях дисків і т.п.) - так званих «адвізорів» (англ. Adviser - повідомник).
Особливий інтерес для зловмисників становлять вузли комутації. Наприклад, доступ до таблиці маршрутизації дозволяє змінити шлях потоку, можливо, конфіденційної інформації у сторону, що цікавить зловмисника. Подальші його дії можуть бути подібні до атаки на DNS-сервер. Досягти цього можна безпосереднім адмініструванням, якщо зловмисник як-небудь дістав права адміністратора (найчастіше – довідався пароль адміністратора або скористався незміненим паролем по умовчанню). У цьому плані можливість віддаленого керування пристроями комутації не завжди зручна: одержати фізичний доступ до пристрою, керованого тільки через фізичний порт, досить складно.
Або ж можливий інший шлях атаки з метою зміни таблиці маршрутизації - заснований на динамічній маршрутизації пакетів, включеної на багатьох вузлах комутації. У такому режимі пристрій визначає найбільш вигідний шлях відправлення конкретного пакета, ґрунтуючись на історії приходу певних службових пакетів мережі - повідомлень маршрутизації (ARP, RIP й інші). У цьому випадку при фальсифікації за певними законами декількох подібних службових пакетів можна домогтися того, що пристрій почне відправляти пакети шляхами, які цікавлять зловмисника, вважаючи, що це і є найшвидший шлях до пункту призначення.
При атаці класу «відмова у послузі» зловмисник зазвичай змушує вузол комутації або передавати повідомлення по неправильному «тупиковому» шляху (як цього можна домогтися, ми розглянули вище), або взагалі перестати передавати повідомлення. Для досягнення другої мети найбільш часто використовують помилки у програмному забезпеченні, запущеному на самому маршрутизаторі, з метою його «зависання». Так, наприклад, зовсім недавно було виявлено, що цілий модельний ряд маршрутизаторів однієї відомої фірми при надходженні на їх IP-адресу досить невеликого потоку неправильних пакетів TCP або перестають передавати всі інші пакети доти, поки атака не припиниться, або взагалі зациклюються.
Поиск по сайту: