Главная страница
Навигация по странице:

  • FIND). Инициатива FIND направлена на разработку принципов организации того Интернета, кото будет служить нам через 15 лет, поэтому участники этой инициативы стараются взглянуть на Инте^

  • Определение безопасной системы Под информационной безопасностью

  • Доступность

  • Угроза, атака, риск .бвзогаснск;т>іАтака — реализованная угроза. Угроза - любое.•Риск— qepcwfHOC инфоріійционйого

  • Типы и примеры атак Атаки отказа в обслуживании Атаки отказа в обслуживании

  • Перехват и перенаправление трафика

  • Учебник для вузов в. Олифер Н. Олифер Компьютерные Принципы, технологии, протоколы


    Скачать 22.28 Mb.
    НазваниеУчебник для вузов в. Олифер Н. Олифер Компьютерные Принципы, технологии, протоколы
    АнкорOlifer_V_G__Olifer_N_A_-_Kompyuternye_seti_-_2010.pdf
    Дата12.03.2017
    Размер22.28 Mb.
    Формат файлаpdf
    Имя файлаOlifer_V_G__Olifer_N_A_-_Kompyuternye_seti_-_2010.pdf
    ТипУчебник
    #3698
    страница86 из 99
    1   ...   82   83   84   85   86   87   88   89   ...   99
    ГЛАВА 24 Сетевая безопасность
    Обеспечение безопасности названо первой из пяти главных проблем Интернета в программ е,
    ствий новой международной инициативы построения Интернета будущего (Future Internet Dei
    FIND). Инициатива FIND направлена на разработку принципов организации того Интернета, кото
    будет служить нам через 15 лет, поэтому участники этой инициативы стараются взглянуть на Инте^
    свежим взглядом и, возможно, найти новые подходы к его организации.
    Сегодня же Интернет представляет собой эффективную, но вместе с тем и непредсказуемую ср<
    полную разнообразных угроз и опасностей.
    Большая группа угроз связана с несовершенством протоколов, в частности протоколов стека Т
    IP. Известно, что эти протоколы разрабатывались в то время, когда проблема обеспечения инф
    мационной безопасности еще не стояла на повестке дня. Сообщество пользователей Интерн
    представляло собой ограниченный круг заинтересованных в эффективной работе Сети специа
    стов, и уж, конечно, никто не покушался на ее работоспособность. Создаваемые в такой «тепл
    ной» атмосфере протоколы не содержали механизмов, позволяющих противостоять возможн
    (тогда только теоретически) атакам злоумышленников. Например, хотя в протоколах FTP и tel
    и предусмотрена аутентификация, клиент передает пароль серверу по сети в незашифрован*
    виде, а значит, злоумышленник может перехватить его и получить доступ к FTP-архиву. Сейчас мі
    гие из потенциально опасных механизмов, встроенных в протоколы, уже исправлены, и некотор
    проблемы, обсуждаемые в этой главе, не являются актуальными, а носят, скорее, историчес*
    и учебный характер.
    Многообразие угроз порождает многообразие методов защиты. В этой главе мы будем обсужді
    все основные технологии обеспечения информационной безопасности: аутентификацию и ав
    ризацию, шифрование и антивирусные средства, сетевые экраны и прокси-серверы, защищенн
    каналы и виртуальные частные сети.

    Основные понятия информационной безопасности
    829
    Основные понятия информационной
    безопасности
    Определение безопасной системы
    Под информационной безопасностью понимается состояние защищенности информаци­
    онной системы, включая собственно информацию и поддерживающую ее инфраструктуру
    Информационная система находится в состоянии защищенности, если обеспечены ее конфиденциальность, доступность и целостность.
    Конфиденциальность (confidentiality) — это гарантия того, что секретные данные будут доступны только тем пользователям, которым этот доступ разрешен; такие пользователи называются легальными, или авторизованными.
    Доступность (availability) — это гарантия того, что авторизованные пользователи всегда получат доступ к данным.
    Целостность (integrity) — это гарантия сохранности данными правильных значений, которая обеспечивается запретом неавторизованным пользователям каким-либо образом изменять, модифицировать, разрушать или создавать данные.
    Требования безопасности могут меняться в зависимости от назначения информационной системы, характера используемых данных и типа возможных угроз. Трудно представить систему, для которой были бы не важны свойства целостности и доступности, но свойство конфиденциальности не всегда является обязательным. Например, если вы публикуете информацию в Интернете на веб-сервере и вашей целью является сделать ее доступной для самого широкого круга людей, конфиденциальность не требуется. Однако требования целостности и доступности остаются актуальными.
    Действительно, если вы не предпримете специальных мер по обеспечению целостности системы, злоумышленник может изменить данные на вашем сервере и нанести этим ущерб вашему предприятию. Преступник может, например, внести изменения в помещенный на веб-сервере прайс-лист, что негативно отразится на конкурентоспособности вашего пред­
    приятия, или испортить коды свободно распространяемого вашей фирмой программного продукта, что, безусловно, скажется на ее деловой репутации.
    Не менее важным в данном примере является и обеспечение доступности данных. За­
    тратив немалые средства на создание и поддержание сервера в Интернете, предприятие вправе рассчитывать на отдачу: увеличение числа клиентов, количества продаж и т. д.
    Однако существует вероятность того, что злоумышленник предпримет атаку, в результате которой помещенные на сервер данные станут недоступными для тех, кому они предна­
    значались. Примером таких злонамеренных действий может служить «бомбардировка» сервера пакетами, каждый из которых в соответствии с логикой работы соответствующего протокола вызывает тайм-аут сервера, что, в конечном счете, делает его недоступным для всех остальных запросов.
    Понятия конфиденциальности, доступности и целостности могут быть определены не только по отношению к информации, но и к другим ресурсам вычислительной сети, таким как внешние устройства или приложения. Так, свойство конфиденциальности по отношению, например, к устройству печати можно интерпретировать так, что доступ к устройству имеют те и только те пользователи, которым этот доступ разрешен, причем они могут выполнять только те операции с устройством, которые для них определены.

    830
    Глава 24. Сетевая безопасное
    Свойство доступности устройства означает его готовность к работе всякий раз, когда в этс возникает необходимость. А свойство целостности может быть определено как свойсті неизменности параметров данного устройства.
    Легальность использования сетевых устройств важна не только постольку-поскольку oi влияет на безопасность данных. Устройства могут предоставлять различные услуги (ра печатка текстов, отправка факсов, доступ в Интернет, электронная почта и т. п.), незако ное потребление которых, наносящее материальный ущерб предприятию, также являете нарушением безопасности системы.
    Угрозы могут исходить как от легальных пользователей сети, так и от внешних злоумьп ленников. В последние два года в статистике нарушений безопасности зафиксировг резкий сдвиг от внешних к внутренним угрозам. Примерно 2/3 от общего числа вс( наиболее серьезных инцидентов, связанных с безопасностью, составляют нарушения < стороны легальных пользователей сетей: сотрудников и клиентов предприятий, студенте имеющих доступ к сети учебного заведения и др. Вместе с тем внутренние атаки обычр наносят меньший ущерб, чем внешние.
    Угрозы со стороны легальных пользователей делятся на:
    □ умышленные;
    □ неумышленные.
    К умышленным угрозам относятся, например, мониторинг системы с целью получен* персональных данных других сотрудников (идентификаторов, паролей) или конфигураці онных параметров оборудования. Это может быть также злонамеренное получение достуї к конфиденциальным данным, хранящимся на серверах и рабочих станциях сети «родногс предприятия с целью их похищения, искажения или уничтожения; прямое «вредител ство» — вывод из строя сетевого программного обеспечения и оборудования. Кроме тог к умышленным угрозам относится нарушение персоналом правил, регламентируюіщ работу пользователей в сети предприятия: посещение запрещенных веб-сайтов, вынос; пределы предприятия съемных носителей, небрежное хранение паролей и другие подобнь нарушения режима. Однако не меньший материальный ущерб предприятию может бьп нанесен в результате Неумышленных нарушений персонала — ошибок, приводящих к т вреждению сетевых устройств, данных, программного обеспечения.
    Угрозы внешних злоумышленников, называемых также хакерами, по определению являютс умышленными и обычно квалифицируются как преступления. Среди внешних нарушит лей безопасности встречаются люди, занимающиеся этой деятельностью профессионалы
    Угроза, атака, риск
    .бвзогаснск;т>і
    Атака — реализованная угроза.
    Угроза -
    любое
    .•Риск— qepcwfHOC
    инфоріійционйого

    Типы и примеры атак
    8 3 1
    или просто из хулиганских побуждений. Целью, которой руководствуются внешние зло умышленники, всегда является нанесение вреда предприятию. Это может быть, например получение конфиденциальных данных, которые могут быть использованы для снятия дене с банковских счетов, или установление контроля над программно-аппаратными средствамі сети для последующего их использования в атаках на сети других предприятий.
    Как правило, атака предваряется сбором информации о системе (mapping), которая по могает не только эффективно спланировать атаку, но и скрыть все следы проникновение в систему. К полезной для хакера информации относятся типы операционных систем и при ложений*развернутых в сети, IP-адреса, номера портов клиентских частей приложений имена и пароли пользователей. Часть информации такого рода может быть получена путел простого общения с персоналом (это называют социальным инжинирингом), а часть - с помощью тех или иных программ. Например, определить IP-адреса можно с помощьи утилиты ping, задавая в качестве цели адреса из некоторого множества возможных адресов
    Если при очередном запуске программы ping пришел ответ, значит, произошло совпадени< заданного адреса с адресом узла в атакуемой сети.
    Для подготовки и проведения атак могут использоваться либо специально разработанньи для этих целей программные средства, либо легальные программы «мирного» назначения
    Так, последний пример показывает, как легальная программа ping, которая создаваласі в качестве инструмента диагностики сети, может быть применена для подготовки атаки
    При проведении атак злоумышленнику важно не только добиться своей цели, заклю чающейся в причинении ущерба атакуемому объекту, но и уничтожить все следы своеп участия в этом. Одним из основных приемов, используемых злоумышленниками
    длі
    «заметания следов», является подмена содержимого пакетов (spoofing). В частности, длз сокрытия места нахождения источника вредительских пакетов (например, при атаке отказ; в обслуживании) злоумышленник изменяет значение поля адреса отправителя в заголовка: пакетов. Поскольку адрес отправителя генерируется автоматически системным программ ным обеспечением, злоумышленник вносит изменения в соответствующие программны! модули так, чтобы они давали ему возможность отправлять со своего компьютера пакеть с любыми 1Р-адресами.
    Типы и примеры атак
    Атаки отказа в обслуживании
    Атаки отказа в обслуживании (Denial of Service, DoS) направляются обычно на информа ционные серверы предприятия, функционирование которых является критически важныл условием для работоспособности всего предприятия. Чаще всего объектами DOS-атаі становятся основные веб-серверы, файловые и почтовые серверы предприятия, а такжі корневые серверы системы DNS.
    Для проведения DoS-ajaK злоумышленники часто координируют «работу» нескольки: компьютеров (как правило, без ведома пользователей этих компьютеров). Говорят, чт< в таких случаях имеет место распределенная атака отказа в обслуживании (Distributee
    Denial of Service, DDoS). Злоумышленник, захватив управление над группой удаленны: компьютеров, «заставляет» их посылать пакеты в адрес узла-жертвы (рис. 24.1). Полу чившийся в результате мощный суммарный поток «затопляет» атакуемый компьютер

    832
    Глава 24. Сетевая безопасность вызывая его перегрузку и, в конечном счете, делает его недоступным. Блокировка проис­
    ходит в результате исчерпания ресурсов либо процессора, либо операционной системы, либо канала связи (полосы пропускания).
    А теперь рассмотрим более конкретный пример проведения DoS-атаки, в которой исполь­
    зуются особенности протокола TCP. Как мы уже обсуждали в главе 17, для установления логического соединения по протоколу TCP узлы должны обменяться тремя пакетами
    (рис. 24.2, а): сначала инициатор соединения посылает пакет с флагом SYN, на который сервер отвечает пакетом с установленными флагами ASK и SYN. Завершает процедуру пакет от узла-инициатора с флагом SYN.
    Для выполнения атаки злоумышленник организует передачу на сервер массированного потока пакетов с флагом SYN, каждый из которых инициирует создание нового ТСР- соединения (рис. 24.2, б). Получив пакет с флагом SYN, сервер выделяет для нового соединения необходимые ресурсы и в полном соответствии с протоколом отвечает клиенту пакетом с флагами ASK и SYN. После этого, установив тайм-аут, он начинает ждать от кли­
    ента завершающий пакет с флагом ASK, который, увы, так и не приходит. Аналогичным образом создается множество других «недоустановленных» соединений. В результате воз­
    никает перегрузка сервера, все его ресурсы идут на поддержание множества соединений, процедуры установления которых остались незавершенными. В таком состоянии сервер уже не способен отвечать на запросы, посылаемые приложениями легальных пользовате­
    лей, в результате злоумышленник достигает своей цели.

    Типы и примеры атак
    833
    Компьютеры
    Атакуемый
    злоумышленника
    компьютер

    - N >


    -
    ASK, SYN
    Тайм-аут
    ASK, SYN
    Тайм-аут
    ASK, SYN
    Тайм-аут
    Рис. 24.2.
    Проведение DoS-атаки, в которой используются особенности протокола TCP:
    а — нормальный порядок установления TCP-соединения; б — DDoS-атака
    за счет создания множества незакрытых ТСР-соединений
    Подобный подход носит универсальный характер. Например, атака может быть осущест­
    влена путем передачи уязвимому приложению потока запросов, синтаксически правиль­
    ных, но специально сконструированных, так, чтобы вызвать перегрузку. Так, для некоторых версий веб-сервера Apache губительным оказывается поток запросов, каждый из которых содержит большое количество заголовков HTTP или символов «/».
    Перехват и перенаправление трафика
    Следующий тип атак имеет целью направить трафик атакуемого компьютера по ложному адресу, в качестве которого может выступать адрес либо злоумышленника, либо третьей стороны. Потоком данных, который пользователь посылает, например, на свой корпора­
    тивный сервер или сервер банка, злоумышленник может распорядиться двумя способами.
    Первый состоит в том, что злоумышленник маскируется под сервера адресата, передавая клиенту ту «картинку» и те сообщения, которые тот ожидает. Так, злоумышленник может имитировать для пользователя-жертвы процедуру логического входа, получая при этом идентификатор и пароль пользователя. Эти данные в дальнейшем могут применяться для несанкционированного доступа к серверу предприятия или банка, которые и являются главной целью атаки. Второй способ заключается в организации транзита трафика. Каж­
    дый перехваченный пакет запоминается и/или анализируется на атакующем узле, а после этого переправляется на «настоящий» сервер. Таким образом весь трафик между клиентом и сервером пропускается через компьютер злоумышленника.
    Рассмотрим некоторые приемы, используемые сейчас (или в недалеком прошлом) при проведении атак данного типа. Для большинства из них уже разработаны средства противо­
    действия, и приводимые здесь описания атак носят в основном учебный характер.

    834
    Глава 24. Сетевая безопасность
    Простейший вариант перенаправления трафика в локальной сети может быть осущест­
    влен путем отправки в сеть ложного ARP-omeema. (Оставим в стороне вопрос, насколько часто может возникнуть такая ситуация, когда злоумышленник заинтересован в пере­
    хвате трафика собственной локальной сети.) В данном случае схема очевидна: получив широковещательный ARP-запрос относительно некоторого IP-адреса, злоумышленник посылает ложный ARP-ответ, в котором сообщается, что данному IP-адресу соответствует его собственный МАС-адрес.
    Для перехвата и перенаправления трафика в локальной сети теоретически может также ис­
    пользоваться протокол ICMP. В соответствии с данным протоколом ІСМР-сообщение о пе­
    ренаправлении маршрута маршрутизатор по умолчанию посылает хосту непосредственно присоединенной локальной сети при отказе этого маршрута или в тех случаях, когда обна­
    руживает, что для некоторого адреса назначения хост использует нерациональный маршрут.
    На рис. 24.3, а применяемый по умолчанию маршрутизатор R1, получив от хоста Н1 пакет, адресованный хосту Н2, определяет, что наилучший маршрут к хосту Н2 пролегает через другой маршрутизатор данной локальной сети, а именно через маршрутизатор R2. Марш­
    рутизатор R1 отбрасывает полученный пакет и помещает его заголовок в ІСМР-сообщение о перенаправлении маршрута, которое посылает хосту Н1. В сообщении содержится
    IP-адрес альтернативного маршрутизатора R2, который хост теперь должен использовать, посылая данные хосту Н2. Хост Н1 вносит изменения в свою таблицу маршрутизации и с этого момента отправляет пакеты хосту Н2 по новому скорректированному маршруту.
    Для перехвата трафика, направляемого хостом Н1 хосту Н2, злоумышленник должен сформировать и послать хосту Н1 пакет, маскирующийся под ІСМР-сообщение о перена­
    правлении маршрута (рис. 24.3, б). В этом сообщении содержится запрос о корректировке таблицы маршрутизации хоста Н1, так чтобы во всех пакетах с адресом 1Рн2 адресом сле­
    дующего маршрутизатора стал адрес ІРна» я в л я ю щ и й с я адресом хоста-злоумышленника
    НА. Для того чтобы хост «поверил» этому сообщению, в поле IP -адреса отправителя должен быть помещен адрес маршрутизатора R1, являющегося маршрутизатором по умол­
    чанию. Когда пакеты, передаваемые введенным в заблуждение хостом, начнут поступать на узел злоумышленника, он может либо захватывать и не передавать эти пакеты дальше, имитируя для поддержания диалога приложение, которому эти пакеты предназначались, либо организовать транзитную передачу данных по указанному адресу назначения 1Рн2-
    Читая весь трафик между узлами Н і й Н2, злоумышленник получает все необходимую информацию для несанкционированного доступа к серверу Н2.
    Еще одним способом перехвата трафика является использование ложных DNS-omeemoe
    (рис. 24.4). Задача злоумышленника состоит в получении доступа к корпоративному серверу. Для этого ему нужно завладеть именем и паролем авторизованного пользователя корпоративной сети. Эту информацию он решает получить путем ответвления потока данных, которые корпоративный клиент посылает корпоративному серверу. Злоумыш­
    ленник знает, что клиент обращается к серверу, указывая его символьное DNS-имя www. example.com. Известно ему также, что перед тем как отослать пакет серверу, программное обеспечение клиентской машины направляет запрос DNS-серверу, чтобы узнать, какой
    IP-адрес соответствует этому имени.
    Цель злоумышленника — опередить ответ DNS-сервера и навязать клиенту свой вариант ответа, в котором вместо IP -адреса корпоративного сервера (в примере 193.25.34.125) злоумышленник указывает IP-адрес атакующего хоста (203.13.1.123). На пути реализации этого плана имеется несколько серьезных препятствий.

    Типы и примеры атак
    1   ...   82   83   84   85   86   87   88   89   ...   99


    написать администратору сайта