Коллектив авторов - Защита от хакеров корпоративных сетей

В какой момент обмена пакетами злоумышленник захочет вмешаться? Очевидно, он захочет сделать это до окончания соединения, или в противном случае ему будет нечего захватывать. Чаще всего злоумышленник перехватывает сессию где-нибудь посередине между ее началом и завершением после свершения определенного события. Под событием в данном случае понимается шаг процедуры аутентификации? Что произойдет, если злоумышленник перехватит соединение в начальный период установки соединения или до завершения аутентификации. Что тогда он сможет контролировать? Сервер не будет готов к приему команд до окончания аутентификации. Напав на соединение до завершения процедуры аутентификации, злоумышленник вдруг выяснит, что соединение ждет от него ввода какого-либо пароля. Другими словами, он окажется в точно такой же ситуации, как если бы он только что подсоединился как обычный клиент.

Как уже упоминалось, перехватывают сеанс для кражи важной информации при обмене данными в сети, которая до аутентификации по сети не пересылалась. Существует ряд сервисов, например упоминавшиеся ранее сервисы Berkley «r», которые могут быть сконфигурированы таким образом, чтобы они могли без посторонней помощи идентифицировать IP-адрес. Но в этом случае перехватывать сеанс нет необходимости. Нужные данные можно получить обманным путем, попытавшись подсоединиться с ложным IP-адресом. Если у злоумышленника есть возможность перехватить TCP-соединение, то он с легкостью сможет получить доступ к серверу обманным путем. Заметьте, что когда говорится: «У злоумышленника есть возможность сделать что-то», – то подразумевается полный контроль злоумышленника над машиной-жертвой, который позволяет выполнить на ней любые действия. Так же как и в случае со снифингом, злоумышленнику почти наверняка потребуется установить контроль над машиной, входящий в тот же сегмент сети, что клиент или сервер, на уровне канала передачи данных. (Layer 2 (data link layer) – уровень канала передачи данных в модели OSI. Уровень канала передачи данных отвечает за прием и передачу пакетов, сервис на уровне дэйтаграмм, локальную адресацию и контроль ошибок.) До тех пор, пока у злоумышленника не будет возможности существенно влиять на маршрутизатор, пакеты не «придут» к злоумышленнику – ему самому придется «идти» к ним.

Перехват TCP-сессий при помощи блокировки пакетов

Если злоумышленник в результате перехвата TCP-сессии способен полностью контролировать передачу пакетов между двумя машинами, то из этого он может извлечь для себя большую пользу. Этот сценарий – прямая противоположность сценарию предыдущего раздела, где злоумышленник как бы сидит на совместно используемом с одним из хостов канале передачи данных в сети и может только вставлять пакеты, но не удалять их. Несомненно, существует ряд аномалий в работе сети, которые при соответствующей настройке могут быть обнаружены либо хостом, либо системой обнаружения вторжений IDS. (Intrusion Detection System (IDS) – система обнаружения вторжений, которая просматривает сетевой трафик и отслеживает несанкционированные действия.)

Тем не менее если злоумышленник может при желании уничтожать (блокировать) пакеты, то он может прекрасно справиться с эмуляцией другого конца канала связи для любого хоста. (Теоретически он может прекрасно эмулировать любую из двух сторон, участвующих в соединении. Это зависит от качества программного обеспечения эмуляции TCP-хоста, имеющего в распоряжении злоумышленника. Были проведены исследования в области пассивной идентификации операционной системы. Если эмуляция злоумышленником характерных для операционной системы признаков несовершенна, то при использовании хостом средств пассивного обнаружения операционной системы у него есть шансы выявить изменения в TCP-соединении и сообщить об аномалии.) Имея возможность удалять пакеты, можно устранить перегрузку сети пакетами уведомления об успешном приеме данных ACK (ACK storm), дублирование пакетов и т. д.

В действительности системы, способные осуществлять прием-передачу сетевых данных описанным способом, уже существуют. Их называют прозрачными брандмауэрами ((transparent firewalls). Брандмауэр – аппаратно-программные средства межсетевой защиты. В данном случае прозрачность означает, что клиент не нуждается в специализированных настройках.) Некоторые из подобных средств межсетевой защиты могут осуществлять кэширование файлов, перенаправление портов, дополнительные возможности аутентификации, а также ряд других уловок из арсенала злоумышленника.

Модификация таблиц маршрутизации

Обычно злоумышленник может создать такую ситуацию, в которой он сможет блокировать пакеты. Блокировать пакеты он может тремя способами. Во-первых, модифицируя таблицы маршрутизации таким образом, чтобы поток пакетов проходил через контролируемую им систему (перенаправление на сетевом уровне Layer 3). (Layer 3 – сетевой уровень (network layer) в модели OSI. Сетевой уровень отвечает за адресацию и маршрутизацию при межсетевом обмене.) Во-вторых, изменяя таблицы мостов путем работы с кадрами связующего дерева сети (перенаправление на уровне канала передачи данных Layer 2). И наконец, в-третьих – перекоммутируя физические кабели таким образом, чтобы кадры проходили через систему злоумышленника (перенаправление на физическом уровне Layer 1). (Layer 1 – первый (физический) уровень в модели OSI. Он определяет связь на уровне аппаратуры.) В последнем случае подразумевается физический доступ к системе кабелей жертвы. Возможно, что в этом случае придется столкнуться с гораздо более серьезными проблемами, нежели в случае с перехватом TCP-сеанса.

В большинстве случаев злоумышленник будет пытаться удаленно изменить таблицы маршрутизации. Был проведен ряд исследований в области широкомасштабного изменения таблиц маршрутизации, основанных на экспериментах с пограничным межсетевым протоколом BGP. (Протокол BGP – Border Gateway Protocol, пограничный межсетевой протокол. Усовершенствованный внешний шлюзовой протокол, основанный на опыте использования протокола EGP в магистральной сети NSFNET.) Протокол BGP используется большинством поставщиков услуг Интернет для обмена маршрутами передачи информации между собой. Инсайдеры (лица, имеющие доступ к внутренней информации о корпорации. Обычно инсайдерами являются директора и старшие менеджеры, а также владельцы более 10 % голосов компании) утверждают, что большинство из поставщиков услуг Интернета слишком доверчивы друг к другу, что позволяет одним вносить изменения в маршруты передачи данных других. Обращение Lopht к американскому конгрессу несколько лет назад по большей части основывалось на результатах экспериментов с протоколом BGP. В обращении утверждалось, что в результате манипуляций с протоколом BGP Интернет может быть выведен из строя в течение 30 мин.