Атаки на уровне сетевого ПО

31 июля 2012

На уровне сетевого программного обеспечения возможны следующие атаки на АБС:

  • 1. Прослушивание канала (возможно только в сегменте локальной сети). Практически все сетевые карты поддерживают возможность перехвата пакетов, передаваемых по общему каналу локальной сети. При этом рабочая станция может принимать пакеты, адресованные другим компьютерам того же сегмента сети. Таким образом, весь информационный обмен в сегменте сети становится доступным хакеру. Для успешной реализации этой атаки компьютер хакера должен располагаться в том же сегменте локальной сети, что и атакуемый компьютер.
  • 2. Перехват пакетов на маршрутизаторе. Сетевое программное обеспечение маршрутизатора имеет доступ ко всем сетевым пакетам, передаваемым через данный маршрутизатор, что позволяет осуществлять перехват пакетов. Для реализации этой атаки хакер должен иметь привилегированный доступ хотя бы к одному маршрутизатору сети. Поскольку через маршрутизатор обычно передается очень много пакетов, тотальный их перехват практически невозможен. Однако отдельные пакеты вполне могут быть перехвачены и сохранены для последующего анализа хакером. Наиболее эффективен перехват пакетов FTP, содержащих пароли пользователей, а также электронной почты.
  • 3. Создание ложного маршрутизатора. Хакер отправляет в сеть пакеты определенного вида, в результате чего компьютер хакера становится маршрутизатором и получает возможность осуществлять предыдущую угрозу. Ложный маршрутизатор необязательно заметен всем компьютерам сети – можно создавать ложные маршрутизаторы для отдельных компьютеров сети и даже для отдельных соединений.
  • 4. Навязывание пакетов. Хакер отправляет в сеть пакеты с ложным обратным адресом. С помощью этой атаки хакер может переключать на свой компьютер соединения, установленные между другими компьютерами. При этом права доступа хакера становятся равными правам того пользователя, чье соединение с сервером было переключено на компьютер хакера.
  • 5. Атаки класса “отказ в обслуживании”. Хакер отправляет в сеть пакеты определенного вида, в результате чего один или несколько компьютеров сети полностью или частично выходят из строя.

Сетевой уровень АБС обычно наиболее уязвим для атак хакеров. Это обусловлено тем, что канал связи, по которому передаются сетевые пакеты, является открытым – каждый, кто имеет физический доступ к этому каналу, может отправлять в канал пакеты произвольного содержания. Для обеспечения надежной защиты сетевого уровня АБС необходимо добиться максимальной “закрытости” сетевых каналов связи, другими словами, максимально затруднить несанкционированный информационный обмен в защищаемой сети. Существуют следующие меры защиты, позволяющие это осуществить:

  • 1. Максимальное ограничение объема защищаемой сети. Чем больше сеть (географически и по числу компьютеров), тем труднее ее защищать.
  • 2. Изоляция сети от внешнего мира. Если сеть АБС имеет выход в Internet, то задача организации ее защиты существенно усложняется. Это обусловлено тем, что в этом случае любой пользователь Internet имеет физический доступ к защищаемой сети. Если в системе защиты сети АБС имеется ошибка (в программном обеспечении или политике безопасности), воспользоваться ей может любойпользователь Internet. Если изолировать защищаемую сеть от Internet невозможно, администраторы защищаемой сети должны уделять особое внимание ограничению доступа к сети пользователей Internet.
  • 3. Шифрование сетевого трафика. Эта мера защиты позволяет полностью устранить угрозу перехвата пакетов. С другой стороны, шифрование трафика несколько снижает производительность сетевого программного обеспечения.
  • 4. Цифровая подпись сетевых пакетов. Все пакеты, передаваемые по сети, должны быть подписаны криптографически стойкой цифровой подписью. Данная мера позволяет полностью устранить угрозу навязывания пакетов и большинство угроз, связанных с отказом в обслуживании. Однако, для того, чтобы эта мера защиты принесла реальную пользу, необходимо, чтобы цифровая подпись пакета была обязательна и неподписанные пакеты игнорировались. В противном случае цифровая подпись защищает только от искажения легально отправленных пакетов, но не от навязывания пакетов хакером. Обязательное применение цифровой подписи пакетов возможно только в том случае, когда программное обеспечение, необходимое для подписывания пакетов, установлено на каждом компьютере сети. Если защищаемая сеть имеет выход в Internet, цифровая подпись пакетов малоэффективна.
  • 5. Межсетевые экраны (firewalls). Межсетевые экраны фильтруют передаваемые через маршрутизатор пакеты, не пропуская через маршрутизатор потенциально опасные пакеты, которые, возможно, были отправлены в сеть в ходе атаки сети хакером. Среди администраторов сетей распространено мнение, что межсетевые экраны позволяют надежно защитить локальные сети от атак хакеров из Internet, и являются в некотором роде панацеей. Однако это мнение в корне неверно.

Дело в том, что задача фильтрации пакетов является задачей искусственного интеллекта. Программа, не обладающая интеллектом, не всегда способна отличить потенциально опасный пакет от абсолютно безвредного. В результате при использовании межсетевых экранов типичной является ситуация, когда межсетевой экран, с одной стороны, не защищает от некоторых атак, и, с другой стороны, препятствует нормальной работе сетевого программного обеспечения.

Межсетевые экраны могут рассматриваться только как дополнительное средство защиты, которое целесообразно использовать, если защищаемую сеть невозможно изолировать от других сетей. При этом должны выполняться следующие требования:

  • все пути передачи пакетов через межсетевые экраны должны быть статическими. Другими словами, сеть должна быть отконфигурирована так, что пакеты, относящиеся к одному сетевому соединению, проходили через один и тот же межсетевой экран. В противном случае невозможна корректная фильтрация фрагментированных пакетов. Если защищаемая сеть не очень велика, целесообразно организовать связь защищаемой сети с внешним миром через единственный маршрутизатор, оснащенный межсетевым экраном;
  • политика фильтрации пакетов должна быть основана на принципе “все, что явно не разрешено, то запрещено”;
  • количество сетевых протоколов, используемых при взаимодействии защищаемой сети с внешним миром, должно быть максимально ограничено.

Рейтинг@Mail.ru