Главная страница Случайная страница
Разделы сайта
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника
Уязвимости основных сетевых протоколов
|
|
Одной из основных причин уязвимости информационных систем в сети Интернет являются слабости сетевого протокола IP стека протоколов TCP/IP, который служит основой сетевых коммуникаций. При проектировании этого протокола на заре развития Интернет проблемы безопасности стояли не так остро, и поэтому внимания защищенности протокола практически не уделялось. В настоящее время ведутся разработки новой версии протокола – IPv6, который, как ожидается, будет содержать встроенные механизмы защиты и поможет снять многие проблемы. Рассмотрим основные сетевые угрозы.
Атаки типа «отказ в обслуживании» (denial of service, DoS). Под этим названием объединены методы, призванные расстроить работу некоторого сетевого устройства путем перегрузки какого-либо ограниченного ресурса, отказа устройства, изменения его настроек. Ограниченными ресурсами являются оперативная память, емкость жесткого диска, процессорное время. Типичная DoS атака представляет собой генерацию большого потока сетевых пакетов, которые не успевают обрабатываться сетевыми серверами, что приводит либо к отказам в их работе, либо к невозможности обрабатывать запросы обычных пользователей. В качестве примера DoS атаки можно привести атаку SYN flooding, когда злоумышленник отправляет на атакуемый компьютер множество TCP-пакетов с установленным флагом SYN и несуществующим адресом отправителя. Атакуемый компьютер в ответ на каждый такой пакет создает внутренние структуры данных, необходимые для поддержки соединения и отправляет ответный пакет для подтверждения соединения. Так как в качестве адреса отправителя был указан несуществующий адрес, то ответа на свой пакет атакуемый компьютер не дождется, а память под внутренние структуры данных будут некоторое время зарезервированы. При большом количестве атакующих пакетов память атакуемого компьютера может закончиться, что приведет к его отказу. Для предотвращения подобных атак используются интеллектуальные фильтры пакетов, в момент возникновения атаки можно динамически уменьшать время ожидания ответа на пакет. Особенно разрушительными являются распределенные DoS-атаки (distributed DoS, DDoS). При реализации атаки данного типа злоумышленник сначала должен получить доступ ко множеству слабо защищенных компьютеров, подсоединенных к Интернет и установить на них специальное программное обеспечение DDoS. Удаленный компьютер с установленным программным обеспечение DDoS называется агентом. По команде с компьютера злоумышленника агенты начинают передавать сетевые пакеты на атакуемый компьютер. Агенты могут направить ICMP запросы на широковещательный адрес (Smurf атаки), поддельные HTTP запросы, фрагментированные пакеты или случайный трафик. Атака может быть направлена на любое сетевое устройство: маршрутизаторы (что эффективно блокирует всю сеть), серверы (Web, mail, DNS), или специфичные компьютеры (firewalls, IDS). В результате атаки (а несколько сотен машин могут создать трафик в несколько гигабайт) атакуемый компьютер либо полностью перестанет обрабатывать запросы, либо будет делать это очень медленно.
Очень распространенными являются атаки с использованием протокола ICMP. Протокол управляющих сообщений ICMP (Internet Control Message Protocol) носит вспомогательный характер (популярная утилита ping использует этот протокол). Протокол ICMP не содержит методов аутентификации источника сообщения, что активно используется злоумышленниками. Например, для блокировки обслуживания используются icmp-сообщения “ time exceeded ” (превышено время) или “ destination unreachable ” (адресат недоступен). Первое сообщение означает, что предел, указанный в поле TTL заголовка пакета, превышен. Такое может произойти из-за зацикливания пакетов или когда адресат расположен очень далеко. Сообщение “ destination unreachable ” имеет несколько значений. Но все они означают, что нет способа благополучно доставить пакет адресату. Оба сообщения вынуждают адресата немедленно прервать соединение. Именно эту цель может преследовать злоумышленник, посылая такое сообщение одному из участников взаимодействия. Протокол ICMP может использоваться и для перехвата пакетов. ICMP-сообщение “ redirect ” обычно используется внешними портами сети в случаях, когда какая-то ЭВМ полагает, что адресат находится вне локальной сети и направляет пакеты, адресованные ему, через внешний порт. Злоумышленник может послать ICMP-сообщение “ redirect ” и вынудить другую ЭВМ посылать пакеты через узел, указанный злоумышленником.
Популярными являются также атаки на серверы некоторых сетевых служб (Web, mail), когда из-за ошибок в программном обеспечении запросы определенной конфигурации способны вызвать ошибки типа переполнение буфера, предоставить злоумышленнику доступ с правами администратора.
Важным аспектом безопасности является обеспечение конфиденциальности сетевого трафика, поскольку пакеты сообщения могут быть перехвачены на любом промежуточном узле по пути следования к получателю, а встроенных средств шифрования классический протокол IP не предоставляет.
Глобальная сеть является благоприятной средой для распространения вирусов и «троянских коней». Развитие Интернет привело к появлению такого феномена как вирусы – черви. Остановимся подробнее на сетевом черве Klez. Этот экземпляр заражает компьютер через ошибку в почтовой программе Outlook: когда пользователь пытается прочитать письмо, содержащее вирус, Klez инфицирует систему. После попадания в ОС сетевой червь сканирует жесткие диски, ищет электронные адреса и рассылает на них письма, прикрепляя свое тело в качестве вложения, создавая очень большой исходящий трафик. Таким образом, скорость распространения сетевого червя становилась очень высокой. Эту же схему используют и все остальные сетевые черви: каким-либо образом попадают на компьютер, ищут потовые адреса и рассылают себя дальше. По данным Лаборатории Касперского за время своего существования Klez заразил более 110 тыс. компьютеров. Главным способом защиты от подобных вредоносных программ является регулярное обновление баз антивирусного программного обеспечения, а также регулярное обновление используемого программного обеспечения, которое атакуют вирусы, поскольку, например, программная «заплатка», предотвращающая ошибку ОС, эксплуатируемую вирусом Klez, была выпущена задолго до его появления.
Список возможных угроз, исходящих из глобальной сети, на этом, конечно, не исчерпан, тем более что все новые и новые типы атак регулярно проявляются в сети, но и приведенный список описывает круг проблем, стоящих перед системой безопасности локальной сети. Далее будут обсуждены способы противодействия основным сетевым угрозам
|
|