книга для лек 7 8 9 vpn мэ1. Безопасность корпоративных сетей

96
действия внутренних злоумышленников внутри корпоративной сети и предложены меры противодействия.
В отечественной и зарубежной компьютерной литературе применяется различная терминология в отношении компьютерных преступников. Отсутствие единой классификации часто приводит к путанице. Так, «хакером» (hacker) чаще всего называют именно компьютерных злоумышленников, а иногда – высококвалифицированных компьютерных специалистов. Последних еще иногда называют «белыми шляпами» (white-hats), в отличие от
«черных шляп», цель которых нанести вред системе. Также часто используются понятия кракер (cracker), kid-hacker, spy и т.д. Наиболее полная классификация приведена в [9]. Во избежание путаницы здесь и далее применяются термины «нарушитель» и «злоумышленник»
(intruder), для обобщенного обозначения тех, кто умышленно совершает нарушения в корпоративную сеть [10]. Нарушители могут быть разбиты на две категории:
Outsiders (англ. чужой, посторонний) - это нарушители из сети
Интернет, которые атакуют внутренние ресурсы корпоративной сети
(удаление информации на корпоративном веб-сервере, пересылка спама через почтовый сервер и т.д.) и которые обходят МЭ и СОА для того, чтобы проникнуть во внутреннюю корпоративную сеть.
Злоумышленники могут атаковать из Интернет, через модемные линии, через физическое подключение к каналам связи или из сети партнеров
(поставщиков, заказчиков, дилеров и т.д.).
Insiders (англ. свой, хорошо осведомленный человек) - это те, кто находится внутри корпоративной сети, и имеют определенный доступ к корпоративным серверам и рабочим станциям. Они включают пользователей, неправильно использующих свои привилегии, или исполняющих роль привилегированного пользователя (например, с привилегированного терминала). Эти люди изначально находятся в преимущественном положении, чем Outsiders. Поскольку они уже владеют конфиденциальной информацией о фирме, недоступной для внешних нарушителей. В отличие от внешних нарушителей, для которых в общем случае атакуемая корпоративная сеть изначально представляет «черный ящик», внутренние нарушители – это люди, которые знают, как работает фирма, и понимают ее слабости. Знают, что пароль у шефа записан на бумажке, которая лежит у него на столе, что пароль секретарши – имя ее собачки, знают, когда администратор идет пить чай и т.д.
Так по статистике наибольшая часть преступлений против банков совершается с использованием так называемой «инсайдерской» информации [11].

97
Еще несколько примеров. В феврале 2001 года двое бывших сотрудников компании Commerce One, воспользовавшись украденным паролем администратора, удалили с сервера файлы, составлявшие крупный (на несколько миллионов долларов) проект для иностранного заказчика. К счастью, имелась резервная копия проекта, так что реальные потери ограничились расходами на следствие и средства защиты от подобных инцидентов в будущем. В августе 2002 года преступники предстали перед судом.
Кража 3 миллионов долларов была совершена из банка Стокгольма, с использованием привилегированного положения нескольких служащих в информационной системе банка и также оказалась успешной [12].
Таким образом, проблема защита от внутренних нарушителей находится в центре внимания данной лекции. Именно эта проблема является сейчас наиболее актуальной и менее исследованной. Если в обеспечении защиты от внешних нарушителей давно уже выработаны устоявшиеся подходы (хотя развитие происходит и здесь), то методы противодействия внутренним нарушителям в настоящее время имеют много нерассмотренных вопросов. В частности, не имеется ясного представления о методах работы внутренних нарушителей.
Модель внутреннего нарушителя
Исследование проблем защиты корпоративных сетей целесообразно начать с рассмотрения модели потенциального нарушителя.
По оценкам специалистов в настоящее время около 70-90% интеллектуального капитала компании хранится в цифровом виде – текстовых файлах, таблицах, базах данных.
Использование информационных технологий предоставляет значительные преимущества для бизнеса, однако приводит и к появлению новых угроз. По причине недостаточного серьезного отношения руководства к информационной безопасности, недобросовестным сотрудникам предоставляются широкие возможности несанкционированного доступа к информации компании, составляющей коммерческую тайну и имеющую реальную или потенциальную экономическую ценность.
Рассмотрим, при каких условиях легального сотрудника организации можно назвать внутренним нарушителем.
Для эффективного функционирования организации необходимо, чтобы в ней имелась общая стратегия деятельности и четкие должностные

98
инструкции каждому сотруднику. Следующим организационным документом должна быть политика безопасности организации, в которой изложены принципы организации и конкретные меры по обеспечению информационной безопасности предприятия.
Классификационный
раздел политики безопасности описывает имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты. В штатном разделе приводятся описания должностей с точки зрения информационной безопасности.
Наконец, раздел, описывающий правила разграничения доступа к
корпоративной информации, является ключевым для определения внутреннего нарушителя [13].
Любое нарушение легальным сотрудником политики безопасности организации автоматически делает его внутренним нарушителем.
Подобные действия можно разделить на умышленные и неумышленные. Неумышленные действия вызваны недостатком квалификации пользователей и в данной работе не рассматриваются.
Умышленные действия различаются по целям: направленные на получение конфиденциальной информации вне рамок основной деятельности и связанные с нарушением распорядка работы.
Однако исследование, проведенное компанией Gartner Group показало, что 85% современных компаний не имеют ни концепции, ни политики безопасности [14]. И хотя ситуация должна измениться – по прогнозам Gartner к 2005 году таких компаний будет только 50%, следует внести коррективы в формулировку внутреннего нарушителя.
Таким образом, для большинства компаний внутреннего нарушителя нельзя определить, как лицо, нарушающее политику безопасности, так как последняя просто отсутствует. Поэтому в подобном случае внутренним нарушителем, действующим умышленно, будем считать сотрудника компании, предпринимающего направленные попытки получения, изменения или уничтожения конфиденциальных данных организации вне рамок основной деятельности сотрудника.
Примерами таких действий могут быть:
• Несанкционированный доступ к данным о клиентах и сотрудниках организации вне рамок основной деятельности;
• Попытки изменения статуса пользователя;
• Попытки подбора паролей в защищенные приложения, области дискового пространства;
• Умышленные действия, связанные с попытками изменения информационного наполнения системы:
• Умышленные действия, направленные на деструкцию системы;

99
• Внедрение аппаратных и программных "закладок" и "вирусов", позволяющих преодолевать систему защиты, скрытно и незаконно осуществлять доступ к системным ресурсам сети;
Руководствуясь РД Гостехкомиссии России «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации», определим квалификацию предполагаемого внутреннего нарушителя [15]. Будем предполагать, что нарушитель по уровню возможностей в системе относится к 3-му уровню. Третий уровень определяется возможностью управления функционированием автоматизированных систем, т.е. воздействием на базовое программное обеспечение системы и на состав и конфигурацию ее оборудования. 4-му, и самому высокому, уровню соответствует системный администратор или администратор безопасности, чьи возможности в системе максимальны по определению. По образному выражению одного из экспертов по информационной безопасности компании ISS, сетевой администратор – это «серый кардинал» компании, которому доступна практически вся информация в организации.
Поэтому мы ограничиваемся рассмотрением 3-го уровня, когда нарушитель в пределах своей рабочей станции имеет широкие возможности по модификации программного обеспечения и аппаратной части.
Отметим что, согласно рассматриваемому РД, в своем уровне нарушитель является специалистом высшей квалификации, знает все об
АС и, в частности, о системе и средствах ее защиты. Данное предположение позволяет более адекватно оценивать возможные угрозы. Например, в компаниях, занимающихся предоставлением услуг информационной безопасности, большинство сотрудников являются квалифицированными техническими специалистами.
При создании модели нарушителя и оценке риска потерь от действий персонала необходимо дифференцировать всех сотрудников по их возможностям доступа к системе и, следовательно, по потенциальному ущербу от каждой категории пользователей. Например, оператор или программист может нанести несравненно больший ущерб, чем обычный пользователь, тем более непрофессионал.
Ниже приводится примерный список персонала типичной корпоративной сети и соответствующая степень риска от каждого из них [16]:
1. Наибольший риск:
- сетевой администратор;
- администратор безопасности.
2. Повышенный риск:

100
- оператор системы;
- оператор ввода и подготовки данных;
- менеджер обработки;
- системный программист.
3. Средний риск:
- инженер системы;
- менеджер программного обеспечения.
4. Ограниченный риск:
- прикладной программист;
- инженер или оператор по связи;
- администратор баз данных;
- инженер по оборудованию;
- оператор периферийного оборудования;
- библиотекарь системных магнитных носителей;
- пользователь-программист;
- пользователь-операционист.
5. Низкий риск:
- инженер по периферийному оборудованию;
- библиотекарь магнитных носителей пользователей;
- пользователь сети.
Каждый из перечисленных выше пользователей в соответствии со своей категорией риска может нанести больший или меньший ущерб системе.
Мы не рассматриваем здесь вопросы мотивации сотрудников, побуждающие их совершать противоправные действия. Однако отметим, что чаще всего причинами являются: работа на компанию- конкурента, любопытство, месть руководству компании.
Модель типовой корпоративной сети
Рассмотрение возможных действий злоумышленников необходимо вести в условиях, существующих в современных отечественных компаниях. Рассмотрим типовую корпоративную сеть, построенную на аппаратных и программных средствах, широко использующихся в корпоративных сетях частных и государственных организаций.
Аппаратные средства корпоративных сетей включают физическую среду и оборудование передачи данных. Вследствие ограниченного применения в настоящее время (по крайней мере, в России) беспроводных сетей, типовая корпоративная сеть построена на основе кабельной системы, представляющей собой витую пару 5-й категории.
Современные корпоративные сети разрабатываются с применением

101
коммутаторов (switch) и концентраторов (hub). Оба этих сетевых устройства служат для объединения компьютеров в локальные сети.
Хотя концентраторы в настоящее время вытесняются коммутаторами, тем не менее, во многих сетях организаций концентраторы широко используются в силу своей дешевизны. Коммутатор представляет собой более сложное сетевое устройство. И как следствие различаются по набору поддерживаемых функций. Наиболее сложные (и дорогие) модели называются управляемыми интеллектуальными коммутаторами и обладают собственным IP-адресом, поддержкой удаленного администрирования, средствами организации виртуальных сетей
(VLAN) и развитым набором средств защиты. Стоимость интеллектуальных коммутаторов может достигать 2000 долларов, что затрудняет их покупку небольшими организациям. Программные средства, используемые в типовой сети, также являются стандартными для большинства организаций. Рабочие станции на базе операционных систем (ОС) Windows 95, 98, NT4 Workstation, 2000, XP (по статистике в
90% всех организаций в мире используются рабочие станции на базе
Windows разных версий). Сервера на базе ОС Windows NT4
Server/Terminal Server Edition, 2000 Server, 2003 Server. Пакеты популярного программного обеспечения (ПО) для офисной работы: 1С,
MS Outlook, MS Office 97/2000/XP. Серверное ПО: 1С, MS SQL Server,
MS Exchange.
В качестве средств защиты используются межсетевые экраны:
Agnitum Outpost Firewall, Kerio Personal Firewall, Kaspersky Anti-Hacker,
Norton Personal Firewall; системы обнаружения атак Black ICE, Snort,
RealSecure.
Методы воздействий нарушителя на
корпоративную сеть
Нарушитель изучает объект нападения как теоретически, так и практически. Практическое исследование объекта и его системы безопасности может быть пассивным и активным. Пассивным воздействием называют воздействие, не оказывающее непосредственного влияния на работу корпоративной сети, но которое может нарушать ее политику безопасности. Ввиду отсутствия непосредственного влияния на работу сети, такое воздействие очень трудно обнаружить. Примером пассивного воздействия является прослушивание канала связи.
Активные воздействия предполагают непосредственное влияние на работу корпоративной сети и нарушают действующую в ней политику

102
безопасности. В результате активных действий в системе происходят определенные изменения. Поэтому активные воздействия легче обнаружить, чем пассивные.
Рисунок 27. Методы воздействия внутреннего нарушителя на корпоративную сеть.
Методы воздействия нарушителей
Пассивные методы
Активные методы прослушивание канала связи сканирование сетевые атаки внедрение вирусов, троянских коней, сетевых червей использование модемов, средств мобильных телефонов

103
Пассивные методы воздействия
Прослушивание сетевого трафика
Рассмотрим возможность прослушивания канала связи (sniffing) в локальной сети организации. Для прослушивания трафика необходимо перевести сетевой адаптер в «беспорядочный» (promiscuous) режим. В данном режиме адаптер перехватывает все сетевые пакеты, проходящие через него, а не только предназначенные данному адресу, как в нормальном режиме функционирования. Если локальная сеть построена на концентраторах, то для злоумышленника оказывается доступным весь сетевой трафик в пределах сегмента локальной сети. В сети построенной на коммутаторах, трафик направляется только тому компьютеру, которому он предназначен. То есть если компьютер "A" обменивается пакетами с компьютером "B", то компьютер "С" не способен перехватывать этот трафик. Однако, существует ряд технологий позволяющих обойти ограничения, накладываемые коммутаторами. Эти технологии – ARP Spoofing (ARP-poisoning), MAC
Flooding и MAC Duplicating [17]. Рассмотрим их подробнее.
Метод ARP-Spoofing основан на атаке «человек посередине» (man- in-the-middle).
Данная атака возможна из-за уязвимости в реализации протокола
ARP. Протокол разрешения адресов ARP (Address Resolution Protocol) предназначен для выяснения MAC-адреса хоста по его IP-адресу. Для обмена информацией двум хостам в сети Ethernet, каждому из них необходимо получить MAC-адрес другого.
Эта процедура осуществляется с использованием протокола ARP. Хост «А», желающий установить соединение с хостом «В», сначала проверяет наличие MAC-адреса хоста «В» в своем ARP-кэше. В случае его отсутствия в кэше, осуществляется рассылка широковещательного запроса с целью выявить MAC-адрес, соответствующий IP-адресу хоста
«В». Хост «В», сравнив IP-адрес в запросе со своим IP-адресом, посылает ответ (ARP-reply), в который помещает свой MAC-адрес. Оба хоста «А» и «В» помещают полученные MAC-адреса в свои ARP-кэши, чтобы минимизировать количество широковещательных запросов.
Теперь хосты могут обмениваться данными, используя MAC-адреса.
Атаку на данный информационный обмен возможно произвести, потому что протокол ARP не требует аутентификации. Для реализации атаки злоумышленнику с хоста «С» необходимо послать обоим хостам сгенерированные ARP-reply пакеты:

104
• для хоста «А», в котором прописано, что IP-адресу хоста «В» соответствует MAC-адрес хоста «С»;
• для хоста «В», в котором прописано, что IP-адресу хоста «А» соответствует MAC-адрес хоста «С».
Хосты «А» и «В» в соответствии со спецификацией протокола ARP, получив подобные reply-пакеты, обновят свои ARP-кэши. Теперь, пакеты, отправляемые хостом «А» хосту «В» будут фактически отсылаться хосту «С», поскольку в ARP-кэше хоста «А» IP-адресу хоста
«В» соответствует MAC-адрес хоста «С». Поэтому данная атака получила также название ARP-poisoning (отравление ARP-кэша). Для нормальной передачи пакетов между хостами «А» и «В» хосту «С» необходимо выполнять функции роутера для данных хостов, т.е. организовать их передачу по маршрутам А-С-В и В-С-А.
Отметим некоторые особенности реализации данной атаки:
• так как протокол ARP функционирует только рамках одной широковещательной подсети, атаку ARP-spoofing нельзя провести для хостов в разных подсетях или виртуальных локальных вычислительных сетях (VLAN);
• поскольку операционная система хостов периодически обновляет ARP-кэш, хосту «С» необходимо периодически выполнять процедуру «отравления кэша» для хостов «А» и
«В»;
• в случае прослушивания трафика между некоторым хостом и роутером сети, в результате получается, что злоумышленник сможет прослушивать трафик между данным хостом и любым хостом в Интернет.

105
Рисунок 28. Демонстрация атаки ARP-spoofing (источник: www.oxid.it)
Следует отметить, что если на коммутаторе не включена функция
Port-Security (данная функция будет рассмотрена позже), то можно в качестве MAC-адреса сниффера использовать любой MAC-адрес.
Атака