50240 (Комп’ютерні мережі. Аналіз роботи і оптимізація), страница 6

1. Багаторівнева фільтрація мережного трафіка.

Фільтрація звичайно здійснюється на трьох рівнях OSI:

• мережному (IP);

• транспортному (TCP, UDP);

• прикладному (FTP, TELNET, HTTP, SMTP ).

Фільтрація мережевого трафіка є основною функцією систем Firewall і дозволяє адміністратору безпеки мережі централізовано здійснювати необхідну мережеву політику безпеки у виділеному сегменті IP-мережі. Тобто, настроївши відповідним чином Firewall, можна дозволити чи заборонити користувачам як доступ із зовнішньої мережі до хостів, що знаходяться в сегменті, який захищається, так і доступ користувачів із внутрішньої мережі до відповідного ресурсу зовнішньої мережі.

2. Proxy-схема з додатковою ідентифікацією й аутентифікацією користувачів на Firewall - хості.

Proxy-схема дозволяє, по-перше, при доступі до захищеного Firewall сегменту мережі здійснити на ньому додаткову ідентифікацію й аутентифікацію віддаленого користувача. По-друге, є основою для створення приватних мереж з віртуальними IP-адресами. Proxy-схема призначена для створення з'єднання з кінцевим адресатом через проміжний proxy-сервер (proxy від англ. повноважний) на хості Firewall. На цьому proxy-сервері і може здійснюватися додаткова ідентифікація абонента.

3. Створення приватних віртуальних мереж (Private Virtual Network - PVN) з "віртуальними" IP-адресами (NAT - Network Address Translation).

У випадку, якщо адміністратор безпеки мережі вважає за доцільне приховати топологію своєї внутрішньої IP-мережі, то йому необхідно використовувати системи Firewall для створення приватної мережі (PVN-мережа). Хостам у PVN-мережі призначаються будь-які "віртуальні" IP-адреси. Для адресації в зовнішню мережу (через Firewall) необхідне використання на хості Firewall proxy-серверів, або застосування спеціальних систем роутінгу (маршрутизації). Це відбувається через те, що віртуальна IP-адреса, яка використовується у внутрішній PVN-мережі , не придатна для зовнішньої адресації (зовнішня адресація - це адресація до абонентів, що знаходиться за межами PVN-мережі). Тому proxy-сервер, чи засіб роутінгу повинен здійснювати зв'язок з абонентами з зовнішньої мережі зі своєї дійсної IP-адреси. Ця схема зручна в тому випадку, якщо для створення ІР-мережі виділили недостатню кількість IP-адрес, тому для створення повноцінної IP-мережі з використанням proxy-схеми досить тільки однієї виділеної IP-адреси для proxy-сервера.

Будь-який пристрій, що реалізує хоча б одну з цих функцій Firewall-методики, і є Firewall-пристроєм. Наприклад, ніщо не заважає використовувати в якості Firewall - хосту комп'ютер зі звичайною ОС FreeBSD чи Linux, у якої відповідним чином необхідно скомпілювати ядро ОС. Firewall такого типу буде забезпечувати тільки багаторівневу фільтрацію ІР-трафіка. Пропоновані на ринку Firewall-комплекси, створені на базі ЕОМ звичайно реалізують усі функції Firewall-методики і є повнофункціональними системами Firewall. На рис. 3.20 зображений сегмент мережі, відділений від зовнішньої мережі повнофункціональним Firewall - хостом.

Однак адміністраторам IP-мереж треба розуміти, що Firewall це не гарантія абсолютного захисту від віддалених атак у мережі Internet. Firewall - не стільки засіб забезпечення безпеки, скільки можливість централізовано здійснювати мережну політику розмежування віддаленого доступу до доступних ресурсів мережі. Firewall не зможе запобігти таким видам атак як: аналізу мережного трафіку, помилковий ARP-сервер, помилковий DNS-сервер, підміна одного із суб'єктів TCP-з'єднання, порушення працездатності хосту шляхом створення спрямованої атаки помилковими запитами чи переповнення черги запитів. В таких випадках використання Firewall не допоможе. Для того, щоб вивести з ладу (відрізати від зовнішнього світу) усі хости усередині захищеного Firewall-системою сегмента, досить атакувати тільки один Firewall. Це пояснюється тим, що зв'язок внутрішніх хостів із зовнішнім світом можливий тільки через Firewall.

З усього вищесказаного аж ніяк не випливає, що використання систем Firewall є абсолютно безглуздим, на даний момент цій методиці немає альтернативи. Однак треба чітко розуміти і пам'ятати її основне призначення. Застосування методики Firewall для забезпечення мережної безпеки є необхідною, але аж ніяк не достатньою умовою. Не потрібно вважати, що поставивши Firewall вирішуються всі проблеми з мережною безпекою і усунуться усі можливі віддалені атаки з мережі Internet [7].

3.4 Перехоплення мережевих даних

Для сніфінгу мереж Ethernet зазвичай використовуються мережеві карти, переведені в режим прослуховування. Прослуховування мережі Ethernet вимагає підключення комп'ютера із запущеною програмою-сніфером до сегменту мережі, після чого хакерові стає доступним весь мережевий трафік, що відправляється і отримується комп'ютерами в даному мережевому сегменті. Ще простіше виконати перехоплення трафіку радіомереж, що використовують безпровідні мережеві ретранслятори. В цьому випадку не потрібно навіть шукати місця для підключення до кабелю.

Для технології сніфінгу можна використати программу-сніфер SpyNet, яку можна знайти на багатьох Web-сайтах. Програма SpyNet складається з двох компонентів - CaptureNet і PipeNet. Програма CaptureNet дозволяє перехоплювати пакети, передавані по мережі Ethernet на мережевому рівні, тобто у вигляді кадрів Ethernet. Програма PipeNet дозволяє збирати кадри Ethernet в пакети рівня прикладних програм, відновлюючи, наприклад, повідомлення електронної пошти, повідомлення протоколу HTTP (обмін інформацією з Web-сервером) і виконувати інші функції.

Для захисту від прослуховування мережі застосовуються спеціальні програми, наприклад AntiSniff, які здатні виявляти в мережі комп'ютери, зайняті прослуховуванням мережевого трафіку. Програми антисніфери для вирішення своїх завдань використовують особливу ознаку наявності в мережі прослуховуючих пристроїв. Мережева плата комп’ютера-сніфера повинна знаходитися в спеціальному режимі прослуховування. Знаходячись в режимі прослуховування, мережеві комп'ютери особливим чином реагують на IP-дейтаграми, що посилаються на адресу тестованого хосту. Наприклад, хости, що прослуховують як правило, обробляють весь трафік, що поступає, не обмежуючись тільки відісланими на адресу хосту дейтаграммами. Є і інші ознаки, що вказують на підозрілу поведінку хоста, які здатна розпізнати програма AntiSniff [11].

Поза сумнівом, прослуховування дуже корисне з погляду зловмисника, оскільки дозволяє отримати безліч корисної інформації: передавані по мережі паролі, адреси комп'ютерів мережі, конфіденційні дані, листи і інше. Проте просте прослуховування не дозволяє хакерові втручатися в мережеву взаємодію між двома хостами з метою модифікації і спотворення даних. Для вирішення такого завдання потрібна складніша технологія.

3.4.1 Фальшиві ARP запити

Щоб перехопити і замкнути на себе процес мережевої взаємодії між двома хостами А і В зловмисник може підмінити IP-адреси взаємодіючих хостів своєю IP-адресою, направивши хостам А і В сфальсифіковані повідомлення ARP (Address Resolution Protocol - протокол дозволу адрес).

Для перехоплення мережевого трафіку між хостами А і В хакер нав'язує цим хостам свою IP-адресу, щоб А і В використовували цю фальсифіковану IP-адресу при обміні повідомленнями. Для нав'язування своєї IP-адреси хакер виконує наступні операції.

• Зловмисник визначає МАС-адреси хостів А і В, наприклад, за допомогою команди nbtstat з пакету W2RK.

• Зловмисник відправляє на виявлені МАС-адреси хостів А і В повідомлення, що є сфальсифікованими ARP-відповідями на запити дозволу IP-адресів хостів в МАС-адреси комп'ютерів. Хосту А повідомляється, що IP-адресі хосту В відповідає МАС-адреса комп'ютера зловмисника; хосту В повідомляється, що IP-адресі хосту А також відповідає МАС-адреса комп'ютера зловмисника.

• Хости А і В заносять отримані МАС-адреси в свої кеші ARP і далі використовують їх для відправки повідомлень один одному. Оскільки IP-адресам А і В відповідає МАС-адреса комп'ютера зловмисника, хости А і В, нічого не підозрюючи, спілкуються через посередника, здатного робити з їх посланнями що завгодно.

Для захисту від таких атак мережеві адміністратори повинні підтримувати базу даних з таблицею відповідності МАС-адрес і IP-адрес своїх мережевих комп'ютерів. За допомогою спеціального програмного забезпечення, наприклад, утиліти arpwatch періодично обстежувати мережу і виявляти невідповідності [11].

3.4.2 Фальшива маршрутизація

Щоб перехопити мережевий трафік, зловмисник може підмінити реальну ІР-адресу мережевого маршрутизатора своєю, виконавши це, наприклад, з допомогою сфальсифікованих ICMP-повідомлень Redirect. Отримане повідомлення Redirect хост А сприймає як відповідь на дейтаграмму, відіслану іншому хосту, наприклад, В. Свої дії на повідомлення Redirect хост А визначає, виходячи з вмісту отриманого повідомлення Redirect, і якщо в Redirect задати перенаправлення дейтаграм з А в В по новому маршруту, саме це хост А і зробить.

Для виконання помилкової маршрутизації зловмисник повинен знати деякі подробиці про організацію локальної мережі, в якій знаходиться хост А, в тому числі, IP-адресу маршрутизатора, через яку відправляється трафік з хосту А у В. Знаючи це, зловмисник сформує IP-дейтаграмму, в якій IP-адреса відправника означена як IP-адреса маршрутизатора, а одержувачем вказаний хост А. Також в дейтаграму включається повідомлення ICMP Redirect з полем адреси нового маршрутизатора, встановленим як IP-адреса комп'ютера зловмисника. Отримавши таке повідомлення, хост А відправлятиме всі повідомлення за IP-адресою комп'ютера зловмисника [10].

Для захисту від такої атаки слід відключити (наприклад, за допомогою брандмауера) на хості А обробку повідомлень ICMP Redirect, а виявити ІР-адресу комп'ютера зловмисника може команда tracert. Ці утиліти здатні знайти в локальній мережі додатковий, непередбачений при інсталяції, маршрут, якщо звичайно адміністратор мережі проявить пильність.

Приведені вище приклади перехоплень (якими можливості зловмисників далеко не обмежуються) переконують в необхідності захисту даних, що передаються по мережі, якщо в даних міститься конфіденційна інформація. Єдиним методом захисту від перехоплень мережевого трафіку є використання програм, що реалізовують криптографічні алгоритми і протоколи шифрування, що дозволяють запобігти розкриттю і підміні секретної інформації. Для вирішення таких завдань криптографія надає засоби для шифрування, підпису і перевірки достовірності повідомлень, що передаються по захищених протоколах [12].

3.4.3 Перехоплення ТСР-з’єднання

Найбільш витонченою атакою перехоплення мережевого трафіку слід вважати захоплення TCP-з’єднання (TCP hijacking), коли хакер шляхом генерації і відсилання на хост, що атакується TCP-пакетів, перериває поточний сеанс зв'язку з хостом. Далі, користуючись можливостями протоколу TCP по відновленню перерваного TCP-з’єднання, хакер перехоплює перерваний сеанс зв'язку і продовжує його замість відключеного клієнта.

Протокол TCP (Transmission Control Protocol - протокол управління передачею) є одним з базових протоколів транспортного рівня OSI, що дозволяє встановлювати логічні з'єднання по віртуальному каналу зв'язку. По цьому каналу передаються і приймаються пакети з реєстрацією їх послідовності, здійснюється управління потоком пакетів, організовується повторна передача спотворених пакетів, а в кінці сеансу канал зв'язку розривається.

Протокол TCP є єдиним базовим протоколом з сімейства TCP/IP, що має складну систему ідентифікації повідомлень і з'єднання.

Для ідентифікації TCP-пакету в TCP-заголовку існують два 32-розрядні ідентифікатори, які також відіграють роль лічильника пакетів, що називаються порядковим номером і номером підтвердження. Поле TCP-пакета включає наступні біти керування (в порядку зліва направо):

URG - біт терміновості;

АСК - біт підтвердження;

PSH - біт перенесення;

RST - біт поновлення з'єднання;

SYN - біт синхронізації;

FIN - біт завершення з'єднання.

Розглянемо порядок створення TCP-з’єднання.

1. Якщо хосту А необхідно створити TCP-з’єднання з хостом В, то хост А посилає хосту В наступне повідомлення: A -> B: SYN, ISSa

Це означає, що в повідомленні, яке передається хостом А встановлений біт SYN (Synchronize sequence number - номер послідовності синхронізації), а в полі порядкового номера встановлено початкове 32-бітне значення ISSa (Initial Sequence Number - початковий номер послідовності).

2. У відповідь на отриманий від хосту А запит хост В відповідає повідомленням, в якому встановлений біт SYN і встановлений біт АСК. У полі порядкового номера хост В встановлює своє початкове значення лічильника – ISSb. Поле номера підтвердження при цьому міститиме значення ISSa, отримане в першому пакеті від хосту А і збільшене на одиницю. Таким чином, хост В відповідає таким повідомленням: B-> A: SYN, ACK, ISSb, ACK(ISSa+1)

3. Нарешті, хост А посилає повідомлення хосту В, в якому: встановлений біт АСК; поле порядкового номера містить значення ISSa + 1; поле номера підтвердження містить значення ISSb + 1. Після цього ТСР-з’єднання між хостами А і В вважається встановленим:

A-> B: ACK, ISSa+1, ACK(ISSb+1)

4. Тепер хост А може посилати пакети з даними на хост В по тільки що створеному віртуальному TCP-каналу:

А -> В: АСК, ISSa+1, ACK(ISSb+1); DATA

Тут DATA позначає дані.

Із розглянутого вище алгоритму створення TCP-з’єднання видно, що єдиними ідентифікаторами TCP-абонентів і TCP-з’єднання є два 32-бітні параметри порядкового номера і номера підтвердження - ISSa і ISSb. Отже, якщо хакерові вдасться дізнатися поточні значення полів ISSa і ISSb, то йому ніщо не перешкодить сформувати сфальсифікований TCP-пакет. Це означає, що хакерові досить підібрати поточні значення параметрів ISSa і ISSb пакету TCP для даного TCP-з’єднання, послати пакет з будь-якого хосту Інтернету від імені клієнта даного TCP-підключення, і даний пакет буде сприйнятий як дійсний.