Коллектив авторов - Защита от хакеров корпоративных сетей

Необходимость чтения литературы

Искренне желая быть в вопросах компьютерной безопасности на шаг впереди злоумышленников, следует потребовать от своих сотрудников быть в курсе тех же самых источников информации, которыми обычно пользуются злоумышленники. В эти источники входят различные списки адресатов, например Bugtraq, NTBugtraq, vuln-dev и другие. Более подробная информация о списках рассылки по вопросам безопасности приведена в главе 18. Специалистам в области компьютерной безопасности следует просматривать журналы «Phrack» и «2600», а также следить за информацией на Web-сайтах типа Security-Focus.com, пытаясь найти новые документы, заголовки и статьи. На это потребуется время, но если вы хотите сделать нечто большее, нежели просто латание дыр по мере их появления путем применения вышедших патчей, то это стоит того.

В этой главе был рассмотрен ряд инструментальных средств, которые могут быть использованы как для атаки, так и для обороны. Разумно потребовать от ваших сотрудников знания обоих вариантов их использования, чтобы они были знакомы с принципами работы подобных инструментальных средств и тем, как выглядит их работа в сети. Для этого, возможно, потребуется создать что-то вроде небольшой лаборатории и выделить время вашим сотрудникам для экспериментов.

Для того чтобы поймать злоумышленника, следует думать точно так же, как он. Точно так же как солдат перед боем должен знать врага, так и профессионал в области безопасности должен знать злоумышленника. У пользователя, знающего, какое оружие и как используют злоумышленники, в каких случаях оно наиболее эффективно, хорошие шансы избежать попадания в печальную статистику информационных журналов в области безопасности. Сейчас доступно много ресурсов, и иногда кажется нереальным отслеживать их, но это является частью работы, которую необходимо регулярно выполнять. Легкий способ справиться с огромным потоком информации в области безопасности заключается в отслеживании информации на таких сайтах, как www.securityfocus.com/tools,http://sourceforge.net, http://packetstromsecurity.org и www.wiretrip.net. Быстрый поиск также должен дать желаемый результат.

Да, вопросам безопасности посвящено огромное количество ресурсов. Возможно, запросы пользователя и условия эксплуатации его системы не потребуют грандиозных усилий в области безопасности, но если это не так, то это стоит дорого. Безопасность – вещь дорогая.

В этой главе были рассмотрены вопросы перехвата сессии и приведены примеры перехвата TCP, UDP и некоторых других сессий. Было детально рассмотрено, что происходит на уровне пакета, когда злоумышленник перехватывает TCP-соединение. В основном сопутствующие перехвату TCP-соединений проблемы заключаются в перегрузке сети ARP-пакетами (ARP storm), отображении команд на мониторе машины-жертвы, а также в трудностях повторной синхронизации истинного клиента и сервера.

Было рассмотрено использование четырех инструментальных средств перехвата сессии: Juggernaut, Hunt, dsniff и Ettercap. Первое из них, программа Juggernaut, появилось раньше других и может осуществлять несложный анализ трафика соединения, его перехват и сброс. Второе, программа Hunt, помимо этих действий, может также перехватывать пересылаемые по протоколу ARP данные и ретранслировать пакеты для оказания помощи при устранении перегрузки сети уведомлениями ACK. Два последних, программа Ettercap и инструментальное средство dsniff, выполняют те же действия, но они также полезны при перехвате сессий с использованием протоколов с шифрованием передаваемых с их помощью данных. Каждое из перечисленных инструментальных средств свободно распространяется и может быть выполнено на платформе Linux.

Можно выделить два основных подхода к защите от перехвата соединения: предупреждение и обнаружение. Защита от перехвата соединений прежде всего основана на шифровании данных. Следует отметить, что в основном шифрование применимо к сетевому трафику. Но даже при использовании протоколов шифрования, передаваемых по сети данных, злоумышленник сможет успешно перехватить данные жертвы. Как было показано в главе, не все формы шифрования являются гарантией защиты. При наличии протоколов шифрования есть два ключевых момента предупреждения перехвата сессии. Первый из них – образованность и осведомленность пользователей. Второй – использование поточных протоколов шифрования типа IPSec. Второй подход к защите от перехвата – обнаружение факта перехвата. Следствием большинства технологий перехвата является необычный трафик или поведение, например сброс соединения, зависание, перегрузка сети уведомлениями ACK или странный мусор на экране. Вполне возможно создать программные средства, которые и были созданы, отслеживающие, по крайней мере, некоторые характерные признаки атак этого типа.

Основные сведения о перехвате сеанса

· Перехват сеанса основан на злоупотреблении доверием участвующих в соединении сторон.

· Перехват сеанса описывается сценарием гонки: сможет ли злоумышленник получить пакет с ответом раньше легитимного сервера или клиента? Если у злоумышленника была возможность продумать план атаки, то в большинстве случаев ответ, вероятно, будет положительным. Для осуществления своих планов злоумышленнику потребуется инструментальное средство для наблюдения за запросами, позволяющее как можно быстрее сгенерировать ответ на запрос, который он хочет сфальсифицировать, и удалить легитимный ответ.

· Аномальные поведения (изменения в протоколе обмена, увеличение объема пересылаемых данных или кэша протокола разрешения адресов ARP) являются следствием предпринимаемых злоумышленником попыток перехвата сеанса, для обнаружения которых могут быть соответствующим образом сконфигурированы хосты или, возможно, системы обнаружения вторжения IDS.

· Злоумышленник может удаленным способом модифицировать таблицы маршрутизации для переадресации пакетов или размещения своей системы на пути пересылки пакетов между двумя хостами по выбранному маршруту.

· Злоумышленник может обмануть протокол управляющих сообщений в сети Интернет ICMP и переадресовать пакеты, убедив нужные ему хосты в наличии наилучшего маршрута пересылки данных, проходящего через его IP-адрес. Модификацией исходных текстов злоумышленник может добиться того, что операционные системы типа UNIX не будут уменьшать счетчик предписанного времени жизни пересылаемого пакета TTL и не посылать ICMP-сообщения о недостижимости адресата, что может иметь большое значение для уклонения от обнаружения средствами трассировки маршрута типа утилиты traceroute.

· При атаке на протокол разрешения адресов ARP во время выдачи машиной жертвы широковещательного запроса для определения МАС-адресов, соответствующих выделенным IP-адресам (возможно, заданному по умолчанию IP-адресу шлюза жертвы), все, что потребуется от злоумышленника, – это ответить раньше реально запрашиваемой машины.