Учебное пособие Ставрополь сф мггу им. М. А. Шолохова 2009

208 осуществленных удаленных атак, доказывают, что отсутствие у разработчиков определенной заранее выработанной концепции и принципов идентификации объектов
РВС в целом оставляют атакующему потенциальные возможности для компрометации объектов системы.
Стандартными способами компрометации субъектов и объектов РВС являются:
- выдача себя за определенный объект или субъект с присвоением его прав и полномочий для доступа в систему (например, типовая УА
«Подмена доверенного субъекта или объекта РВС»);
- внедрение в систему ложного объекта, выдающего себя за доверенный объект системы (например типовая УА «Ложный объект РВС»).
15.4.2.1 Взаимодействие объектов без установления виртуального канала
Одним из важнейших вопросов, на который необходимо ответить, говоря об идентификации/аутентификации объектов/субъектов
РВС, является вопрос о видах взаимодействия между субъектами и объектами в распределенной ВС. Взаимодействие между субъектами и объектами РВС бывает двух видов:
- с использованием виртуального канала (ВК),
- без использования виртуального канала.
Практика показывает, что 99 % взаимодействия между объектами в сети Internet проходит с установлением ВК (при любом FTP-, TELNET-,
HTTP- и т. п. подключении используется протокол TCP, а, следовательно, создается ВК). Это происходит из-за того, что взаимодействие по виртуальному каналу является единственным динамическим способом защиты сетевого соединения объектов РВС. Дело в том, что в процессе создания ВК объекты РВС обмениваются динамически вырабатываемой ключевой информацией, позволяющей уникально идентифицировать канал.
Таким образом, идентификация объектов РВС, при отсутствии статической ключевой информации, возможна только при взаимодействии объектов с использованием виртуального канала. Это, в свою очередь, означает, что взаимодействие объектов без установления ВК является одной из возможных причин успеха удаленных атак на РВС.
Но ошибочно считать распределенную вычислительную систему безопасной, даже если все взаимодействие объектов происходит с созданием
ВК. Об этом речь пойдет в следующем пункте.
15.4.2.1 Использование нестойких алгоритмов идентификации объектов
при создании виртуального канала
Ошибочно считать взаимодействие объектов по виртуальному каналу в
РВС решением всех проблем, связанных с идентификацией объектов РВС.

209
ВК является необходимым, но не достаточным условием безопасного взаимодействия. Чрезвычайно важным в данном случае становится выбор алгоритма идентификации при создании ВК. Основное требование, которое следует предъявлять к данным алгоритмам, состоит в следующем: перехват ключевой информации, которой обмениваются объекты РВС при создании
ВК не должен позволить атакующему получить итоговые идентификаторы канала и объектов. Это требование по сути очевидно. Оно должно предъявляться к алгоритмам идентификации исходя из принципиальной возможности прослушивания атакующим канала передачи. Однако в большинстве существующих сетевых
ОС в базовых алгоритмах идентификации, используемых при создании ВК, этим требованием разработчики практически пренебрегают.
Так, например, в ОС Novell NetWare 3.12- 4.1 идентификатор канала - это число в диапазоне 0-FFh, идентификатор объекта (рабочей станции или файл-сервера) - также число от 0 до FFh; в протоколе TCP идентификаторами канала и объектов являются два 32-битных числа, формируемых в процессе создания TCP-соединения.
Из всего сказанного ясно, что создание виртуального канала с использованием нестойкого алгоритма идентификации не позволяет надежно обезопасить РВС от подмены объектов взаимодействия и выступает одной из причин успеха удаленных атак на распределенные вычислительные системы.
15.4.3 Отсутствие контроля за виртуальными каналами связи между
объектами системы
Объекты РВС, взаимодействующие по виртуальным каналам, могут подвергаться типовой УА «Отказ в обслуживании». Особенность этой атаки состоит в том, что, действуя абсолютно легальными средствами системы, можно удаленно добиться нарушения ее работоспособности. Данная УА реализуется передачей множественных запросов на создание соединения
(виртуального канала), в результате чего либо переполняется число возможных соединений, либо система, занятая обработкой ответов на запросы, вообще перестает функционировать.
Взаимодействие объектов РВС по виртуальным каналам позволяет единственным способом обеспечить защиту соединения в глобальной сети.
Однако в использовании ВК есть как несомненные плюсы, так и очевидные минусы. К минусам относится необходимость контроля над соединением.
При этом задача контроля распадается на две подзадачи:
- контроль за созданием соединения;
- контроль за использованием соединения.
Если задача контроля за использованием соединения решается довольно просто
(обычно соединение разрывается по тайм-ауту, определенному системой - так сделано во всех известных сетевых ОС), то решение задачи контроля за созданием соединения представляется

210 нетривиальным. Именно отсутствие приемлемого решения этой задачи является основной причиной успеха типовой УА «Отказ в обслуживании».
Сложность контроля над созданием ВК состоит в том, что в системе, в которой отсутствует статическая ключевая информация о всех ее объектах, невозможно отделить ложные запросы на создание соединения от настоящих.
Очевидно также, что если один субъект сетевого взаимодействия будет иметь возможность анонимно занимать неограниченное число каналов связи с удаленным объектом, то подобная система может быть полностью парализована данным субъектом (пример - существующая сеть Internet в стандарте IPv4)! Поэтому, если любой объект в распределенной системе может анонимно послать сообщение от имени любого другого объекта
(например, в Internet маршрутизаторы не проверяют IP-адрес источника отправления), то в подобной РВС в принципе невозможен контроль за созданием виртуальных соединений. Поэтому основная причина, по которой возможна типовая УА «Отказ в обслуживании» и ей подобные - это отсутствие в РВС возможности контроля за маршрутом сообщений.
15.4.4 Отсутствие возможности контроля за маршрутом сообщений
В РВС в качестве начальной идентифицирующей объект информации обычно выступает его адрес. Под адресом в РВС понимается определенная системой уникальная информация, которой он наделяется при внесении в систему. Все сообщения от других объектов РВС, адресованные на этот адрес, поступят на данный объект. Путь, или, маршрут сообщения определяется топологией РВС и проходит через совокупность узлов- маршрутизаторов. Следовательно, в каждом приходящем на объект РВС пакете может быть полностью отмечен его маршрут - список адресов маршрутизаторов, пройденных на пути к адресату. Этот отмеченный в пакете
маршрут
станет
информацией,
аутентифицирующей
(подтверждающей) с точностью до подсети, подлинность адреса
субъекта, отославшего сообщение. Другой вариант аутентификации адреса отправителя - фильтрация маршрутизатором пакетов с неверным адресом отправителя.
Если в РВС не предусмотреть подобных возможностей контроля за маршрутом сообщения, то адрес отправителя сообщения оказывается ничем не подтвержден. Таким образом, в системе будет существовать возможность отправки сообщения от имени любого объекта системы, а именно путем указания в заголовке сообщения чужого адреса отправителя. Также в подобной РВС будет невозможно определить, откуда на самом деле пришло сообщение, а, следовательно, вычислить координаты атакующего (в сети
Internet невозможно доступным способом вычислить инициатора однонаправленной удаленной атаки).
Таким образом, мы убеждаемся, что отсутствие в распределенной ВС возможности контроля за маршрутом сообщений порождает, во-первых,

211 невозможность контроля за созданием соединений, и, во-вторых, возможность анонимной отправки сообщения, следовательно является причиной успеха удаленных атак на РВС.
15.4.5 Отсутствие в системе полной информации о ее объектах
В распределенной системе с разветвленной структурой, состоящей из большого числа объектов, может возникнуть ситуация, когда для доступа к определенному объекту системы у субъекта взаимодействия может не оказаться необходимой информации об интересующем объекте. Обычно такой недостающей информацией об объекте является его адрес. Такая ситуация характерна и вполне объяснима для сетей с разветвленной структурой.
Объясним это на простом примере. Предположим, что пользователь сети Internet решил подключиться, например, к WWW-серверу фирмы Novell.
Он знает ее название, но не имеет информации об IP-адресе или имени ее сервера. В этом случае пользователь может послать широковещательный запрос всем хостам в сети с надеждой, что запрос дойдет до интересующего его сервера, и тот в ответ пришлет столь нужный для пользователя адрес.
Очевидно, что в глобальной сети использование данной схемы по меньшей мере неразумно. Поэтому для подобных целей пользователь может подключиться к ближайшему известному ему поисковому серверу (Altavista, например) и послать запрос на поиск адреса интересующей его фирмы в базе данных информационного сервера.
Рассмотренный выше пример наглядно описывает возможные алгоритмы удаленного поиска, которые используют объекты РВС:
- когда поиск осуществляется внутри сегмента сети, субъект системы посылает широковещательный запрос, который получают все объекты РВС, и тот из них, для кого предназначался запрос, передает в ответ необходимую для адресации информацию.
- когда необходимо осуществить глобальный поиск, субъект распределенной системы посылает запрос на ближайший информационно-поисковый сервер, который, просканировав свою базу данных в поисках адреса запрашиваемого ресурса, либо отошлет в ответ на запрос найденный адрес, либо обратится к следующему в системе поисково-информационному серверу.
Таким образом, если в распределенной ВС существуют объекты, информация о которых не определена, то для обеспечения ее нормального функционирования необходимо использование описанных выше алгоритмов удаленного поиска.
Примером РВС с заложенной неопределенностью является сеть
Internet, в которой, во-первых, у хостов, находящихся в одном сегменте, может не быть информации об аппаратных адресах друг друга, и, во-вторых, применяются непригодные для непосредственной адресации мнемонические

212 имена хостов, используемые для удобства пользователей при обращении к удаленным системам.
Очевиден тот факт, что в системе с заложенной в нее неопределенностью существуют потенциальные возможности внесения в систему ложного объекта и выдачи одного объекта системы за другой. Этот факт объясняется тем, что, являясь следствием неопределенности системы, алгоритмы удаленного поиска несут в себе потенциальную угрозу, состоящую в том, что на посланный запрос может прийти ложный ответ, в котором вместо информации о запрашиваемом объекте будет информация о ложном объекте. Вследствие этого распределенная ВС с заложенной неопределенностью является потенциально опасной системой и может подвергаться удаленным атакам.
15.4.6 Отсутствие криптозащиты сообщений
В РВС связь между объектами системы осуществляется по каналам связи. Поэтому всегда существует принципиальная возможность для атакующего прослушать канал и получить несанкционированный доступ к информации, которой обмениваются по сети ее абоненты. В том случае, если проходящая по каналу информация не зашифрована и атакующий каким- либо образом получает доступ к каналу, то УА «Анализ сетевого трафика» является наиболее эффективным способом получения информации.
Очевидна и причина, делающая эту атаку столь эффективной. Эта причина - передача по сети незашифрованной информации.
Использование криптостойких алгоритмов шифрования пакетов обмена между объектами РВС на канальном, прикладном уровнях делает анализ сетевого трафика практически бессмысленным. В случае канального шифрования, которое обычно выполняется аппаратно, по сети передаются полностью зашифрованные пакеты. В том случае, если в сети используются алгоритмы шифрования пакетов на сетевом - прикладном уровнях, то шифрация применяется только к полям данных пакетов соответствующих уровней, то есть заголовки пакетов, содержащие служебную информацию, не являются зашифрованными, поэтому атакующий имеет возможность, перехватив пакет, подвергнуть анализу данную служебную информацию.

213
16. МЕХАНИЗМЫ РЕАЛИЗАЦИИ УДАЛЕННЫХ АТАК В
ГЛОБАЛЬНОЙ СЕТИ INTERNET
В настоящее время возможности по реализации удаленных атак в сети
Internet настолько многообразны, что рассмотреть их все непредставляется возможным. Исследованиям уязвимостей отдельных операционных систем и особенностям функционирования операционных систем посвящено большое количество соответсвующей литературы. Цель данного раздела, не производя исчерпующего анализа механизмов отдельных удаленных атак, на отдельных простых примерах продемонстрировать реализации типовых уязвимостей рабочих станций в сети Internet.
16.1 Анализ сетевого трафика
В сети Internet основными базовыми протоколами удаленного доступа являются TELNET и FTP (File Transfer Protocol). TELNET - это протокол виртуального терминала
(ВТ), позволяющий с удаленных хостов подключаться к серверам Internet в режиме ВТ. FTP - протокол, предназначенный для передачи файлов между удаленными хостами. Для получения доступа к серверу по данным протоколам пользователю необходимо пройти на нем процедуру идентификации и аутентификации. В качестве информации, идентифицирующей пользователя, выступает его идентификатор (имя), а для аутентификации используется пароль.
Особенностью протоколов FTP и TELNET является то, что пароли и идентификаторы пользователей передаются по сети в открытом, незашифрованном виде. Таким образом, необходимым и достаточным условием для получения удаленного доступа к хостам по протоколам FTP и
TELNET являются имя и пароль пользователя.
Одним из способов получения паролей и идентификаторов пользователей в сети Internet является анализ сетевого трафика. Сетевой анализ осуществляется с помощью специальной пpогpаммы-анализатоpа пакетов, перехватывающей все пакеты, передаваемые по сегменту сети, и выделяющей среди них те, в которых передаются идентификатоp пользователя и его пароль (рис. 16.1). Сетевой анализ протоколов FTP и
TELNET показывает, что TELNET разбивает пароль на символы и пересылает их по одному, помещая каждый символ из пароля в соответствующий пакет, а FTP, напротив, пересылает пароль целиком в одном пакете.

214
Рис. 16.1 - Анализ сетевого трафика
16.2 Ложный ARP-сервер
В вычислительных сетях связь между двумя удаленными хостами осуществляется путем передачи по сети сообщений, которые заключены в пакеты обмена. В общем случае передаваемый по сети пакет независимо от используемого протокола и типа сети (Token Ring, Ethernet, X.25 и др.) состоит из заголовка пакета и поля данных. В заголовок пакета обычно заносится служебная информация, определяемая используемым протоколом обмена и необходимая для адресации пакета, его идентификации, преобразования и т. д. В поле данных помещаются либо непосредственно данные, либо другой пакет более высокого уровня OSI.
Так, например, пакет транспортного уровня может быть вложен в пакет сетевого уровня, который, в свою очередь, вложен в пакет канального уровня. Таким образом, пакет TCP (транспортный уровень) вложен в пакет IP
(сетевой уровень), который, в свою очередь, вложен в пакет Ethernet
(канальный уровень). Cхема на рис. 16.2 наглядно иллюстрирует как выглядит, например, TCP-пакет в сети Internet.
Ethernet-заголовок
IP-заголовок
TCP-заголовок
Данные
Рис. 16.2 - Структура TCP-пакета
Базовым сетевым протоколом обмена в сети Internet является протокол
IP (Internet Protocol). Протокол IP - это межсетевой протокол, позволяющий передавать IP-пакеты в любую точку глобальной сети. Для адресации на сетевом уровне (IP-уровне) в сети Internet каждый хост имеет уникальный 32- разрядный IP-адрес. Для передачи IP-пакета на хост необходимо указать в IP-

215 заголовке пакета в поле Destination Address IP-адрес данного хоста. Однако, как видно из рис. 16.2, IP-пакет находится внутри Ethernet-пакета, поэтому каждый пакет в конечном счете адресуется на аппаратный адрес сетевого адаптера, непосредственно осуществляющего прием и передачу пакетов в сеть (при рассмотрении Ethernet-сети).
То есть, для адресации IP-пакетов в сети Internet кроме IP-адреса хоста необходим еще либо Ethernet-адрес его сетевого адаптера (в случае адресации внутри одной подсети), либо Ethernet-адрес маршрутизатора (в случае межсетевой адресации). Первоначально хост может не иметь информации о Ethernet-адресах других хостов, находящихся с ним в одном сегменте, в том числе и о Ethernet-адресе маршрутизатора. Следовательно, перед хостом встает стандартная проблема, решаемая с помощью алгоритма удаленного поиска.
В сети Internet для решения проблемы удаленного поиска Ethernet- адресов используется протокол ARP (Address Resolution Protocol). Протокол
ARP позволяет получить взаимно однозначное соответствие IP- и Ethernet- адресов для хостов, находящихся внутри одного сегмента.
Это достигается следующим образом:
- При первом обращении к сетевым ресурсам хост отправляет широковещательный
ARP-запрос на
Ethernet-адрес
FFFFFFFFFFFFh, в котором указывает IP-адрес маршрутизатора и просит сообщить его Ethernet-адрес. Этот широковещательный запрос получат все станции в данном сегменте сети, в том числе и маршрутизатор.
- Получив данный запрос, маршрутизатор внесет запись о запросившем хосте в свою ARP-таблицу, а затем отправит на запросивший хост ARP-ответ, в котором сообщит свой Ethernet- адрес.
- Полученный в ARP-ответе Ethernet-адрес будет занесен в ARP- таблицу, находящуюся в памяти операционной системы на запросившем хосте и содержащую записи соответствия IP- и
Ethernet-адресов для хостов внутри одного сегмента.
В случае использования в РВС алгоритмов удаленного поиска существует возможность осуществления в такой сети типовой удаленной атаки «Ложный объект РВС». Из анализа безопасности протокола ARP становится ясно, что, перехватив на атакующем хосте внутри данного сегмента сети широковещательный ARP-запрос, можно послать ложный
ARP-ответ, в котором объявить себя искомым хостом (например, маршрутизатором), и в дальнейшем активно контролировать и воздействовать на сетевой трафик «обманутого» хоста по схеме «Ложный объект РВС».
Рассмотрим обобщенную функциональную схему ложного ARP- сервера (рис. 16.3):
- ожидание ARP-запроса;

216
- при получении ARP-запроса передача по сети на запросивший хост ложного ARP-ответа, в котором указывается адрес сетевого адаптера атакующей станции (ложного ARP-сервера) или тот
Ethernet-адрес, на котором будет принимать пакеты ложный ARP- сервер (совершенно необязательно указывать в ложном ARP-ответе свой настоящий Ethernet-адрес, так как при работе непосредственно с сетевым адаптером его можно запрограммировать на прием пакетов на любой Ethernet-адрес);
- прием, анализ, воздействие и передача пакетов обмена между взаимодействующими хостами, а также по возможности воздействие на перехваченную информацию.
Рис. 16.3а - Фаза ожидания ARP-запроса
Рис. 16.3б - Фаза атаки
Рис. 16.3в - Фаза приема, анализа, воздействия и передачи перехваченной информации на ложном ARP-сервере
Рис. 16.3 - Ложный ARP-сервер

217
В заключение необходимо отметить, что, во-первых, причина успеха данной удаленной атаки кроется, не столько в Internet, сколько в широковещательной среде Ethernet и, во-вторых, очевидно, что эта удаленная атака является внутрисегментной и поэтому представляет угрозу только в случае нахождения атакующего внутри вашего сегмента сети.