DATE: 08-06-2001 TIME: 18:39:31

Угрозы безопасности при соединении с сетью Internet

Когда корпоративная сеть соединяется с Internet, фактически к ней присоединяются несколько десятков тысяч неизвестных сетей и все их пользователи. Несмотря на всю полезность и выгодность для деятельности корпорации от такого подключения, в корпоративной сети наверняка содержится информация, которую нежелательно передавать посторонним лицам. Вдобавок, не все пользователи Internet занимаются только законной деятельностью. Из этих двух утверждений вытекают основные вопросы обеспечения безопасности сетей в Internet.

  • Как будет защищаться конфиденциальная информация от доступа со стороны лиц, которые не имеют на это официальное право? Большинство взломов компьютерных сетей в организациях происходило и происходит с участием сотрудников (или бывших сотрудников) этой организации.
  • Как будет защищаться сеть и ее ресурсы от злоумышленного и случайного вреда, причиняемого извне сети?

"Вынюхиватели" (Network packet sniffers)

Передача информации между компьютерами происходит поэтапно, информация делится на небольшие блоки (часто называемые "пакетами") и передается по сети. Как правило, пакеты передаются по сети Internet в явном виде (clear-text). Если информация не зашифрована, то любое устройство в сети может ее скопировать в процессе передачи по сети.

Программы или устройства, которые "слушают" сеть и читают проходящие пакеты называются "вынюхивателями" (packet sniffers). Поскольку спецификации основных сетевых протоколов, таких как TCP/IP широко известны и опубликованы, практически кто угодно может легко разработать такой "вынюхиватель".

Возможные применения "вынюхивателей" (packet sniffers):

  • Опознание и запоминание действующих имен и паролей пользователей
  • Выяснение информации о топологии сети, о том какие компьютеры выполняют какие функции, сколько компьютеров в сети, какие компьютеры взаимодействуют друг с другом и каким образом и т.п.

"Вынюхиватели" могут быть "заброшены" в сеть извне при загрузке каких-либо файлов или программ. Они также могут быть запущены кем-либо из персонала организации. Многие администраторы сетей используют "вынюхиватели" для поиска неисправностей в сети, но при этом они имеют потенциальную возможность изучать конфиденциальную информацию, передаваемую по сети.

Подмена IP адресов (IP spoofing)

Важной частью сетевых технологий является система адресации, которая обеспечивает направление пакета конкретному узлу сети, а также информирует его об отправителе пакета. Сетевые приложения ожидают, что система адресации верна и что если в пакете предъявлен как адрес источника пакета адрес какого-либо узла, то этот пакет действиельно был отправлен данным узлом.

Атака с подменой IP адресов (IP spoofing) производится подменой исходного адреса в пакете, направляемом в сеть на адрес "доверенного" компьютера, имеющего право на выполнение каких-либо критических операций в сети.

Возможные применения IP spoofing:

  • Передать серверу команду переслать имена пользователей, пароли или другую информацию на определенный адрес
  • Передать серверу команду добавить, удалить или изменить имена пользователей, пароли или другую информацию (в том числе конфигурацию сервера)
  • Передать серверу команду удалить или изменить содержимое базы данных или Web-сервера
  • Передать команду почтовому серверу отправить, удалить или изменить адресата электронного письма (e-mail)

Подмена адреса может использоваться как при атаке извне сети, так и при атаке изнутри, когда какой-либо сотрудник пытается получить доступ к неавторизованным для него ресурсам

Атаки на пароли

Основным принципом работы компьютерных сетей является разграничение доступа, то есть обеспечение доступа к определенным ресурсам и данным только авторизованных пользователей. Чаще всего разграничение доступа производится с использованием пользовательских имен и паролей.

Атаки на пароли могут быть прямыми и непрямыми. Непрямые атаки включают использование "вынюхивателей", подмены адресов, "троянских коней" (обсуждаются ниже) и т.п. Прямые атаки проводятся повторяющимися попытками подобрать имя пользователя и пароль. Такие атаки называются атаками "методом грубой силы"

Возможности атак "методом грубой силы":

  • Определить дествующие имена пользователей и пароли массированными попытками подбора
  • Если атакующий компьютер генерирует запросы на вход быстрее, чем сервер их обслуживает, то "метод грубой силы" может использоваться для блокирования работы других пользователей.

Если попытка взлома оказалось успешной, то атакующий получает те же права и полномочия, что и пользователь, чей пароль был "взломан" (compromised). Если этот пользователь обладает широкими полномочиями, то атакующий может создать "back door" для последующего доступа к ресурсам, даже после смены "взломанного" пароля.

Все перечисленные типы атак могут, в случае успеха, дать атакующему доступ к критическим сетевым ресурсам. Например, атакующий может изменить таблицы сетевых путей таким образом, что все пакеты, будут направляться к нему, прежде чем доставляться адресату. В этом случае атакующий получает возможность контролировать весь траффик в сети и становится "третьим" (man-in the-middle) во всех сетевых обменах данными.

Атаки "третьего" (man-in-the-middle)

Люди привыкли, например, при пользовании телефоном считать, что их не подслушивают и что, набрав какой-либо номер, они соединяются с нужным абонентом, а не с его имитатором. Эту привычку они переносят и на работу в компьютерных сетях.

Примеры атак "третьего":

  • Записывать передаваемую или даже самостоятельно запрашивать конфиденциальную информацию
  • Искажать или удалять информацию, передаваемую из сети
  • Искажать или удалять информацию, посылаемую в сеть
  • "Перехватывать" текущие обмены данными и имитировать в них одного из адресатов
  • Анализировать траффик для получения информации о сети и ее пользователях
  • Блокировать работу каких-либо сервисов сети или всей сети в целом

Атаки типа "отказ в обслуживании" (Denial of Service)

Одним из важных плюсов подключения к Internet является доступность корпорации круглосуточно. Высокая доступность сетевых сервисов улучшает поддержку потребителей, обеспечивает более быстрое распространение информации, увеличивает эффективность работы персонала и контактов с партнерами.

Атаки типа "отказ в обслуживании" отличаются тем, что они не направлены на проникновение в сеть или залвадение какой-либо информацией в сети. Эти атаки концентрируются на выведении сервисов из строя, что чаще всего достигается занятием сетевых ресурсов, которые всегда ограничены.

Примеры последствий атак типа "отказ в обслуживании":

  • Персонал не имеет возможности использовать внешние сетевые ресурсы
  • Сетевые администраторы оказываются заняты устранением отказов
  • Внешние пользователи не могут обращаться к публичным сетевым сервисам корпорации, что снижает рейтинг корпорации.

При использовании пртив конкретных сетевых приложений, таких как HTTP- или FTP-сервера, такие атаки могут занимать все возможные соединения с сервером, не давая доступа другим пользователям. Так же могут использоваться общие свойства сетевых протоколов, например, TCP или ICMP. Большинство таких атак используют дефекты в общем строении и организации сети, а не конкретную ошибку программного обеспечения или дефект оборудования. Отрицательный эффект от таких атак связан с бесполезным расходом сетевых ресурсов и снижением доступности публичных сетевых сервисов.

Атаки на уровне сетевых приложений

При работе с прикладными программами внутри организации или при работе, например, с WWW, обычно предполагается, что программы работают нормально и передают в ответ на запросы точную и верную информацию. Аналогичные ожидания испытывают пользователи, которые пользуются публичными сетевыми ресурсами корпорации.

Атаки на приложения нацелены на конкретные серверы и производятся различными способами использованием ошибок в программном обеспечении, применением "троянских коней" и т.п. Все методы используют дефекты программного обеспечения и начелены на получения контроля над атакуемым сервером.

Возможные последствия атак на приложения:

  • Копирование и передача конфиденциальной информации, имен пользователей, паролей
  • Искажение или блокирование информации, передаваемой из сети
  • Перенаправление, модификация, удаление или добавление электронных писем (e-mail)
  • Искажение или блокирование информации, передаваемой внутрь сети
  • Выявление структуры сети и сбор информации о ее пользователях
  • Отказ в обслуживании со стороны отдельных сервисов или всей сети в целом

Наиболее частым методом атак на приложения является использование ошибок в программах общеупотребительных серверов. Используя такую ошибку, атакующий может получить доступ к системе с правами пользователя, от чьего имени работает данный сервер, то есть, чаще всего привилегированного пользователя. Атаки также могут проводиться косвенно, с использованием "троянских коней".

"Троянские кони" - это программы, которыми атакующий подменяет общеупотребительные программы. Чаще всего они выполняют все функции исходной программы, но также выполняют некоторые действия известные и полезные атакующемы, такие как сбор данных об именах и паролях пользователей или копирование транзитной информации для атакующего.

Одной из новых форм атак на приложения является использование открытости некоторых технологий, связанных с WWW. Эти атаки, которые используют Java и ActiveX, включают создание вредоносных приложений, которые передаются по сети на компьютер пользователя и запускаются его WWW-клиентом. У этих атак есть два существенных отличия:

  • Они инициируются не атакующим, а атакуемым, когда он вызывает WWW-страницу, содержащую вредоносный код.
  • Эти атаки не привязаны к конкретной аппаратной платформе и операционной системе, поскольку используют переносимые языки программирования.
О Компании
Новости
Продукты и Услуги
Клиенты
Контактная информация
Login
Оборудование
Услуги технической службы
Обучение
Документация


Cisco Systems

Home