книга для лек 7 8 9 vpn мэ1. Безопасность корпоративных сетей

120
частью адреса компьютера-жертвы на электронный адрес, по ICQ или
IRC.
Обычно троянские программы выполняют одну или несколько задач:
• предоставление удаленного доступа злоумышленнику (remote access). Наиболее распространенная функция троянских программ, позволяющая злоумышленнику получить полный доступ к компьютеру-жертве.
• перехват и пересылка паролей. Троянские программы часто крадут пароли для популярных программ, таких как Outlook, ICQ и т.д. из кэша или конфигурационных файлов, а также путем отслеживания нажатий клавиш. Собранные пароли отсылаются на электронный адрес.
• запись всех нажатий клавиатурных клавиш (keyloggers). В данном случае в файл записываются все подряд нажатия клавиш, для последующего анализа нужной информации. Файл с данными также пересылается по электронной почте.
• уничтожение файлов. Троянские программы с такой деструктивной функцией также известны как логические бомбы. Чаще всего они удаляют определенные файлы на компьютере-жертве в заданное время.
• создание платформы для распределенной DoS-атаки.
Использование троянских программ позволяет подготовить платформу – агентов для проведения распределенных DoS-атак.
Злоумышленник, управляя агентами, в определенный период времени со множества компьютеров-жертв одновременно осуществляется атака на определенный узел сети.

121
Рис 37 . Троянская программа Back Orifice 2000 ожидает соединения на
1031 порту и маскируется в списке процессов под приложение Windows
Explorer.
Ущерб, наносимый троянскими программами, может быть очень велик – кража паролей, конфиденциальной информации, удаление, блокирование или модификация информации на скомпрометированном компьютере посредством удаленного управления.
Основными способами проникновения троянских программ в настоящее время являются:
• Запуск вложений в письмах электронной почты;
• Запуск активного содержимого web-страниц неблагонадежных web-сайтов;
• Запуск непроверенных антивирусным ПО программ из внешних источников.
Утилиты для сокрытия факта компрометации системы
(Rootkits)

122
Существуют специально разработанные утилиты для сокрытия факта компрометации системы, путем скрытия всех фактов деятельности злоумышленника. Такие утилиты есть для различных систем и Windows, и Linux, и называются Rootkits, что можно перевести как набор административных утилит.
В частности, утилита AFX Windows Rootkit 2003 из данного класса программ позволяет сконфигурировать специальный патч (заплатку), установка которого в ОС Windows 9x/NT/2000/XP/2003 скрывает указанные процессы, файлы, каталоги, ключи реестра, а также сетевую активность. Таким образом, администратор скомпрометированной системы не увидит в списке процессов никаких подозрительных программ, и никаких подозрительных сетевых соединений, выдаваемых, к примеру, командой netstat.
Демонстрационное использование данной утилиты для сокрытия определенного процесса представлено на рисунках 38-39.
Рисунок 38. Генерирование патча с использованием AFX Windows
Rootkit 2003 для сокрытия всех процессов, в названии которых есть слово notepad.

123
Рисунок 39. Запущен текстовый редактор Notepad, однако в окне процессов Task Manager, соответствующий процесс не отображается.
Вирусы и сетевые черви
Вирусы могут быть серьезным орудием в руках внутреннего нарушителя. Применение вирусов и сетевых червей позволяет достигнуть следующих целей:
• Уничтожение или непоправимое изменение текстовых документов, исполняемых файлов, баз данных;
• Нарушение работоспособности всей корпоративной сети и отдельных элементов: серверов, рабочих станций.
Потери от вирусной эпидемии для компании могут быть непоправимыми. Так, существуют специализированные версии вирусов- червей, например, червя MyDoom, уничтожающего только все офисные документы – форматов Word, Excel, Access и т.д. Учитывая, что 70-90% интеллектуального капитала современной компании хранится в электронном виде, серьезная вирусная атака может нанести значительный ущерб. Финансовые потери от простаивания и затраты на восстановление также могут быть весомыми (рисунок 40).

124
Последствие
Процент (%)
Потеря производительности 75
Компьютеры были недоступны
69
Повреждения файлов 62
Потеря доступа к файлам 49
Потеря данных 47
Потеря доверия пользователей
33
Закрытие доступа 18
Ненадежность прикладного
ПО
13
Трудности с чтением файлов
12
Трудности с сохранением файлов
9
Падение системы 9
Трудности с выводом на печать
7
Угроза потерять работу 2
Рисунок 40. Последствия для компаний от вирусных атак.
Способы проникновения вирусов в корпоративную сеть аналогичны описанным выше для троянских программ. В последние годы появился новый источник проникновения сетевых червей – через IM-клиентов.
Только в 2002 году появилось 5 известных IM-червей, а уже в начале
2004 года по данным Лаборатории Касперского в мире прошла первая глобальная эпидемия нового сетевого червя «Bizex» среди пользователей интернет-пейджера ICQ. Механизм распространения IM- червей рассмотрим на примере червя «Bizex». На компьютер жертвы доставляется ICQ-сообщение, где, в частности, предлагается посетить некий веб-сайт. Для маскировки пользователю показываются мультфильмы из популярного сериала "Joecartoon". Тем временем в систему незаметно проникает Java-вирус, который, используя брешь в
ICQ, незаметно рассылает от имени владельца компьютера ссылку на вышеуказанный веб-сайт по всем получателям из контактного листа.
Избежать заражения можно, немедленно удалив данное сообщение и не посещая указанный сайт. Отметим, что ни один из видов современных
IM-червей пока еще не способен автоматически выполнятся после

125
получения. Поэтому, если пользователи IM-систем в компании лучше узнают обо всех имеющихся угрозах и методах их предотвращения, способность червей к размножению будет существенно снижена.
Источники вирусов
1996 г. 1997 г. 1998 г. 1999 г. 2000 г. 2001 г. 2002 г.
Приложения к электронным письмам
9 26 32 56 87 83 86
Файлы, загружаемые через
Интернет
10 16 9
11 1
13 11
Через просмотр веб-сайтов
0 5
2 3
0 7
4
Другие пути
0 5
1 1
1 2
3
Дискеты
71 84 64 27 7
1 0
Рисунок 41. Способы проникновения вирусов в компьютеры, %
Несанкционированная установка дополнительных
технических средств
Угроза несанкционированной установки дополнительных технических средств заключается в установке нарушителем специализированных технических средств, облегчающих осуществление НСД. Например, инсталляция модема на рабочем месте пользователя и подключение его к телефонному проводу позволит последнему осуществлять неконтролируемый доступ к корпоративной сети извне. Данная угроза очень опасна так, как появляется «черный ход» в корпоративную сеть в обход средств защиты установленных для препятствования внешним нарушителям. В то время, как установка модема внешнего или внутреннего все-таки операция, которую трудно

126
произвести скрытно, тем более в процессе передачи информации необходимо занять офисную телефонную линию, широкое распространение мобильных телефонов приводит к новой расстановке приоритетов угроз. В большинстве современных мобильных телефонов имеется встроенный модем, который можно использовать для подключения к Интернет. Скорость соединения варьируется от 1 Кб/с до нескольких десятков Кб/с (например, для технологии GPRS), что позволяет передавать по нему достаточно большие объемы информации. Чтобы использовать модем, встроенный в мобильный телефон, последний подключается к компьютеру либо в параллельный порт с помощью специализированного кабеля, либо по инфракрасной связи. Таким образом, если не принято специальных мер, любой сотрудник может принести современный мобильный телефон и, подключив его к своей рабочей станции, скрытно передать из организации доступные ему материалы, практически любого объема.
Возможно также, через оставленный на ночь в режиме модема телефон, осуществить удаленную атаку на корпоративную сеть. Причем в этом случае работу по проникновению может провести уже не внутренний сотрудник, а высококвалифицированный злоумышленник, так называемый «хакер». В таком случае перед ним будет открыта корпоративная сеть, значительно меньше защищенная, чем от нападения снаружи. Ущерб от реализации такой угрозы может быть очень велик.
Защита корпоративных сетей от внутренних
злоумышленников.
Противодействие пассивным методам воздействия
Противодействие угрозе прослушивания сетевого трафика
Как показано выше, данная угроза осуществима в сетях, построенных как на концентраторах, так и на коммутаторах. Однако в каждом случае реализация угрозы имеет свои особенности.
Для прослушивания сетевого трафика в сети, построенной на концентраторах злоумышленнику достаточно запустить на своем компьютере программу-сниффер и анализировать проходящие пакеты.
Поскольку данная атака носит пассивный характер
(нет непосредственного воздействия), то обнаружить ее достаточно тяжело.
Теоретически это даже невозможно, поскольку снифферы только

127
собирают пакеты, и не передают никакой информации. Однако на практике в ряде случаев это возможно. Рассмотрим некоторые существующие методы определения наличия запущенного сниффера в локальной сети – это метод пинга, метод ARP, метод DNS и метод ловушки [19].
Метод пинга (Ping method) использует уловку, заключающуюся в отсылке «ICMP Echo request» (Ping запроса) не на MAC-адрес машины, а на ее IP-адрес. Проиллюстрируем использование данного метода на примере.
1. Допустим, хост, который мы подозреваем на использование сниффера, имеет IP-адрес 10.1.1.1 и MAC-адрес 00-40-05-A4-79-32.
2. Ваш компьютер должен находиться в том же сегменте ЛВС, что и подозреваемый компьютер.
3. Вы посылаете «ICMP Echo request», указав в запросе IP-адрес подозреваемого хоста и его слегка измененный MAC-адрес, например,
00-40-05-A4-79-33.
4. Каждый хост, получив данный запрос, сравнивает указанный в запросе MAC-адрес со своим MAC-адресом. В случае совпадения MAC- адресов, хост отвечает источнику запроса с помощью «ICMP Echo
Reply», иначе пакет игнорируется. В данном случае, ни один из хостов в
ЛВС не должен увидеть данный пакет.
5. Если же получен ответ от какого-либо хоста, это значит что у него не используется фильтр MAC-адресов, т.е. его сетевой адаптер находится в
«беспорядочном режиме». Следовательно на данном хосте используется сниффер.
Метод пинга может быть перенесен на другие протоколы, которые генерируют ответы на запросы, например, запрос на установление TCP- соединения или запрос по протоколу UDP на порт 7 (эхо).
Метод ARP (ARP method) использует похожую технику, а также особенности реализации протокола ARP в Windows и Linux.
Рассмотрим действие данного метода на примере определения хоста под управлением Windows с запущенным сниффером.
1. Вы подозреваете, что на хосте (А) c IP-адресом 192.168.86.19 запущен сниффер. Если вы разошлете широковещательный ARP-запрос, которому соответствует Ethernet-адрес «FF:FF:FF:FF:FF:FF», с целью выяснения MAC-адреса хоста (А), все хосты должны получить ваш запрос, но ответит только тот, чей IP-адрес указан в ARP-запросе (т.е. подозреваемый). В таблице приведены поля пакета рассылаемого ARP- запроса.
Ethernet-адрес хоста-получателя
FF:FF:FF:FF:FF:FF
Ethernet-адрес хоста-отправителя
Собственный MAC–

128
адрес
Тип протокола (ARP=0806)
08 06
Адресное пространство (Ethernet=01)
00 01
…
Аппаратный адрес хоста-отправителя
Собственный MAC–
адрес
IP-адрес хоста-отправителя
Собственный IP- адрес
Аппаратный адрес хоста-получателя
00 00 00 00 00 00
IP-адрес хоста-получателя
IP-адрес хоста
(А)
А на рисунке 42 приведен сам ARP-запрос в окне детализации анализатора протоколов Sniffer Pro.
Рисунок 42. Широковещательный ARP-запрос в окне анализатора протоколов Sniffer Pro для выяснения MAC-адреса хоста с IP-адресом
192.168.86.19.

129
Однако было обнаружено, что если на хосте запущен сниффер, то в некоторых случаях он неправильно обрабатывает ARP-запросы.
2. Используя предложенный метод, вы посылаете точно такой же
ARP-запрос, но где вместо широковещательного адреса
«FF:FF:FF:FF:FF:FF» указан адрес «FF:FF:FF:FF:FF:FE» (ложный широковещательный адрес, из которого вычли один бит). Поскольку адрес не является широковещательным, теоретически ни один из хостов не должен ответить на такой запрос. Однако практические эксперименты, что Windows 2000/XP/2003 при условии, что сетевой адаптер, работает в беспорядочном режиме, посчитает такой запрос широковещательным. Соответственно хост (A), на котором запущен сниффер, сравнив IP-адрес в запросе со своим IP-адресом, пошлет ответ
ARP-reply. Таким образом, хост (A) выдаст, что он прослушивает весь сетевой трафик. Ситуацию иллюстрируют следующие экранные снимки, сделанные с анализатора протоколов Sniffer Pro:
Рисунок 43. Рассылка ARP-запроса на ложный широковещательный адрес «FF:FF:FF:FF:FF:FE».

130
Рисунок 44. Хост (А) отвечает ARP-ответом на ложный широковещательный ARP-запрос, выдавая тем самым, что на нем запущен сниффер.
Экспериментальным путем были созданы таблицы аномальных ответов на различные ARP-запросы для современных ОС – Windows
9x/2000/NT и Linux, в которых запущены снифферы.
Отметим только, что данные методы в большинстве случаев позволяют лишь с некоторой вероятностью определить наличие сниффера. В настоящее время существует множество бесплатных и коммерческих снифферов, которые можно найти в Интернет. А программ, удаленно определяющих их наличие, не так много.
Рассмотрим наиболее популярные из таких программ: L0pth Antisniff,
Cain&Abel и PMD:
• L0pht Antisniff реализует большинство известных методов обнаружения снифферов, однако данная программа написана в 1998 году, финальная версия так и не вышла (доступна только beta), и в настоящее производителем не поддерживается.
Программа функционирует только под ОС Windows 9x/NT и не работает под
Windows 2000/XP, что накладывает серьезные ограничения на ее использование.

131
• Cain&Abel, уже упоминавшаяся утилита, имеет реализацию средств определения снифферов на основе ARP-метода (рис 45).
• PMD (Promiscuous Mode Detector) из комплекта Anti Sniff Toolbox, разработанного Roberto Larcher. В программе используется метод ARP.
Эксперимент в тестовой корпоративной сети с запущенными снифферами – IRIS Network Analyzer, Sniffer Pro, TCP Dump, показал, что в целом все три программы успешно определяют снифферы, однако для правильной настройки программ необходимо иметь теоретические сведения о работе методов обнаружения снифферов.
Рис 45. Определение сниффера на хосте с IP-адресом 192.168.86.19 с использованием рассылки ложного широковещательного ARP-запроса типа B31(«FF:FF:FF:FF:FF:FE»).
Для прослушивания сетевого трафика в сети, построенной на коммутаторах злоумышленнику необходимо реализовать одну из атак
ARP-spoofing, MAC-duplicating или MAC-flooding. Поскольку все три атаки имеют активный характер, их теоретически можно обнаружить.
Реализацию атаки MAC-flooding выявить сравнительно легко – достаточно запустить на любом хосте сниффер и увидеть пакеты, не предназначенные данному хосту. Существуют и методы защиты от этой атаки. Многие современные коммутаторы поддерживают функцию
«Port Security», назначение которой в жесткой фиксации MAC-адресов за портами коммутатора. Поскольку MAC-адреса уникальны, то подключение другого компьютера к порту коммутатора не позволит ему получить доступ к сетевым ресурсам. Данная мера эффективна против атак MAC-Flooding и MAC-Duplicating, однако не препятствует атаке
ARP-Spoofing.

132
Современные межсетевые экраны и системы обнаружения вторжений в большинстве случаев не обнаруживают атаку ARP- spoofing. Конечно, это можно объяснить, тем, что уязвимость заложена в сам протокол ARP. Однако методы обнаружения атаки ARP-spoofing существуют и реализованы в некоторых специализированных программных средствах. Утилита ACiD (ARP Change Intrusion Detector) из комплекта Anti Sniff Toolbox, разработанного Roberto Larcher, выполняет мониторинга сетевого трафика с целью выявления аномалий, присущих атаке «отравления ARP-кэша» (рисунок 46).
Рисунок 46. Определение атаки ARP-Spoofing программой ACiD.
Поскольку механизм атаки ARP-Spoofing основан на уязвимости в протоколе ARP, имеет смысл доработать данный протокол. Для ОС
Linux есть утилита Arp_antidote, изменяющая реализацию протокола
ARP в ОС таким образом, чтобы сделать данную атаку бессмысленной.
Механизм обновленного протокола работает следующим образом. При приеме ARP-reply пакета производится сравнение старого и нового
MAC-адреса, и при обнаружении его изменения запускается процедура верификации. Посылается ARP-запрос, требующий всем хозяевам IP-адреса сообщить свои MAC-адреса. В случае атаки ARP-
Spoofing "настоящая" система, имеющая этот IP-адрес, ответит на запрос, и, таким образом, атака будет распознана. Если же изменение
MAC-адреса было связано не с атакой, а со стандартными ситуациями, ответа, содержащего "старый" MAC-адрес, не будет, и по прошествии определенного таймаута система обновит запись в кэше. При

133
обнаружении подозрительной ситуации ("двойника") ядро выводит сообщение: "ARP_ANTIDOTE: Possible MITM attempt!" и не обновляет запись ARP-кэша, а наоборот, прописывает старую запись как статическую. О подобных утилитах или обновлениях для Windows неизвестно.
Использование статических ARP-записей не всегда является решением проблемы. Согласно исследованию на системах Windows
9x/NT/2000/XP/2003 статическая ARP запись может всегда быть перезаписана, используя фальшивое ARP сообщение.
Использование сетевых систем обнаружения вторжений, например
ISS RealSecure, позволяет выявить ARP-атаку путем обнаружения в сети двух одинаковых IP-адресов.
Ну и, наконец, самым радикальным решением является сделать перехват сетевого трафика бессмысленным. Для этого необходимо применить механизмы шифрования. Замена всех небезопасных протоколов не всегда возможна. Более практичным является шифрование всего трафика на 3-м уровне модели OSI, используя протокол IPSec. При этом окажутся защищенными и все протоколы прикладного уровня – POP3, SMTP, FTP и т.д. Поддержка этого протокола в ОС семейства Windows реализована начиная с версии
Windows 2000. Таким образом, клиенты с Windows NT4/9x/ME использовать данный протокол не могут. Однако существуют средства шифрования альтернативных разработчиков, в том числе сертифицированные Гостехкомиссией России. Их применение может поднять защиту сети на должный уровень.
Если применение протокола IPSec невозможно по каким-либо причинам, а поскольку как показано выше, раскрытие паролей корпоративной электронной почты может иметь серьезные последствия, необходимо предпринять меры по защите аутентификационных данных при доступе к почтовым серверам. Существуют специализированные протоколы защиты определенных протоколов прикладного уровня.
Например, протоколы POP3S и SMTPS (POP3, SMTP over SSL) позволяет надежно зашифровать сообщения электронной почты.
Подобные модификации есть и для протоколов HTTP – HTTPS, FTP –
FTPS, IMAP – IMAPS и др., а их поддержка реализована во многих современных серверах и клиентах.
В случае применения защиты данных на сетевом уровне, защищенными также окажутся и аутентификационные данные пользователей к бесплатным электронным почтовым ящикам в
Интернет. В противном случае, рекомендуется ограничить доступ пользователей корпоративной сети к бесплатным почтовым службам в
Интернет.

134
Использование администратором специализированного сниффера, например уже упоминавшегося Cain, позволит увидеть сеть глазами потенциального нарушителя. А удобный интерфейс программы Cain позволит сразу же выявить слабые места в корпоративной сети.
Например, сотруднику, воспользовавшемуся бесплатным почтовым ящиком в Интернет, можно продемонстрировать его пароль, перехваченный с помощью сниффера, и объяснить, что такое может сделать и внутренний нарушитель. Если же пароль к ящику совпадает с одним из корпоративных паролей, то это может скомпрометировать всю корпоративную сеть и сказаться на служебном положении работника.
Такая организационные меры позволят снизить вероятность угроз, связанных с паролями. Следует отметить, что действия службы безопасности, направленные на скрытое наблюдение, могут трактоваться как вмешательство в частную жизнь. Однако во избежание подобной ситуации достаточно уведомить сотрудников с письменным подтверждением о прослушивании всех служб коммуникации установленных на рабочих местах.