26256-1 (Безопасность сетей на базе TCP/IP)

Московский государственный институт электроники и математики.

кафедра ЭВА

 

 

Реферат на тему:

“Безопасность сетей на базе TCP/IP”

 

 

 

 

 

 

 

 

 

 

 

 

Москва 1999

Безопасность сетей на базе семейства протоколов TCP/IP

В этой работе безопасность сетей на базе семейства протоколов TCP/IP будет рассмотрена на примере сети Internet, информационная безопасность которой в значительной мере определяется этими протоколами.

Из-за ограниченности объёма этой работы механизмы реализации атак не будут рассмотрены во всех подробностях, так как это довольно большая тема и для этого есть специальная литература, ссылки на которую приведены в конце. Данная работа представляет собой обзор наиболее распространённых атак, основанных на особенностях протоколов, с описанием причин, по которым они возможны, и описанием способов устранения уязвимостей. Также в работе затронуты темы, не имеющие непосредственного отношения к протоколам TCP/IP, но не менее важные с точки зрения безопасности сети Internet.

Далее будут рассмотрены типовые атаки, но сначала надо дать несколько общих определений и рассмотреть классификацию угроз безопасности. Кроме того, следует заметить, что по статистике разрушение данных в вычислительных системах чаще всего происходит не из-за деятельности взломщиков, ошибок в программах или действий вирусов (17%) либо технических отказов (16%), а из-за ошибок и несанкционированных действий пользователей (67%).

Сначала вкратце рассмотрим особенности семейства протоколов TCP/IP и сетей на его основе.

Итак, стек протоколов TCP/IP включает в себя:

• IP (Internet Protocol) – межсетевой протокол, который обеспечивает транспортировку без дополнительной обработки данных с одной машины на другую;

• UDP (User Datagram Protocol) – протокол пользовательских датаграмм, обеспечивающий транспортировку отдельных сообщений с помощью IP без проверки ошибок;

• TCP (Transmission Control Protocol) – протокол управления передачей, обеспечивающий транспортировку с помощью IP с проверкой установления соединения;

• ICMP (Internet Control Message Protocol) – межсетевой протокол управления сообщениями, который отвечает за различные виды низкоуровневой поддержки протокола IP, включая сообщения об ошибках, содействие в маршрутизации, подтверждение в получении сообщения;

• ARP (Address Resolution Protocol) – протокол преобразования адресов, выполняющий трансляцию логических сетевых адресов в аппаратные;

Каждый компьютер, подключаемый к Internet, получает свой уникальный IP-адрес.

 Основные понятия компьютерной безопасности

Угроза безопасности компьютерной системы - это потенциально возможное происшествие, которое может оказать нежелательное воздействие на саму систему, а также на информацию, хранящуюся в ней.

Уязвимость компьютерной системы - это некая ее неудачная характеристика, которая делает возможным возникновение угрозы.

Наконец, атака на компьютерную систему - это действие, предпринимаемое злоумышленником, которое заключается в поиске и использовании той или иной уязвимости.

Исследователи обычно выделяют три основных вида угроз безопасности - это угрозы раскрытия, целостности и отказа в обслуживании.

Угроза раскрытия заключается том, что информация становится известной тому, кому не следовало бы ее знать. Иногда вместо слова "раскрытие" используются термины "кража" или "утечка".

Угроза целостности включает в себя любое умышленное изменение данных, хранящихся в вычислительной системе или передаваемых из одной системы в другую. Обычно считается, что угрозе раскрытия подвержены в большей степени государственные структуры, а угрозе целостности - деловые или коммерческие.

Угроза отказа в обслуживании возникает всякий раз, когда в результате некоторых действий блокируется доступ к некоторому ресурсу вычислительной системы. Реально блокирование может быть постоянным, так чтобы запрашиваемый ресурс никогда не был получен, или оно может вызвать только задержку запрашиваемого ресурса, достаточно долгую для того, чтобы он стал бесполезным. В таких случаях говорят, что ресурс исчерпан.

В локальных вычислительных системах (ВС) наиболее частыми являются угрозы раскрытия и целостности, а в глобальных на первое место выходит угроза отказа в обслуживании.

Особенности безопасности компьютерных сетей

Основной особенностью любой сетевой системы является то, что её компоненты распределены в пространстве и связь между ними физически осуществляется при помощи сетевых соединений (коаксиальный кабель, витая пара, оптоволокно и т. п.) и программно при помощи механизма сообщений. При этом все управляющие сообщения и данные, пересылаемые между объектами распределенной вычислительной системы, передаются по сетевым соединениям в виде пакетов обмена.

Сетевые системы характерны тем, что, наряду с обычными (локальными) атаками, осуществляемыми в пределах одной компьютерной системы, к ним применим специфический вид атак, обусловленный распределенностью ресурсов и информации в пространстве. Это так называемые сетевые (или удалённые) атаки (remote или network attacks). Они характеризуются, во-первых, тем, что злоумышленник может находиться за тысячи километров от атакуемого объекта, и, во-вторых, тем, что нападению может подвергаться не конкретный компьютер, а информация, передающаяся по сетевым соединениям. С развитием локальных и глобальных сетей именно удалённые атаки становятся лидирующими как по количеству попыток, так и по успешности их применения и, соответственно, обеспечение безопасности ВС с точки зрения противостояния удалённым атакам приобретает первостепенное значение.

Классификация компьютерных атак

Формы организации атак весьма разнообразны, но в целом все они принадлежат к одной из следующих категорий:

• Удаленное проникновение в компьютер: программы, которые получают неавторизованный доступ к другому компьютеру через Интернет (или локальную сеть);

• Локальное проникновение в компьютер: программы, которые получают неавторизованный доступ к компьютеру, на котором они работают;

• Удаленное блокирование компьютера: программы, которые через Интернет (или сеть) блокируют работу всего удаленного компьютера или отдельной программы на нем;

• Локальное блокирование компьютера: программы, которые блокируют работу компьютера, на котором они работают;

• Сетевые сканеры: программы, которые осуществляют сбор информации о сети, чтобы определить, какие из компьютеров и программ, работающих на них, потенциально уязвимы к атакам;

• Сканеры уязвимых мест программ: программы, проверяют большие группы компьютеров в Интернет в поисках компьютеров, уязвимых к тому или иному конкретному виду атаки;

• Вскрыватели паролей: программы, которые обнаруживают легко угадываемые пароли в зашифрованных файлах паролей;

• Сетевые анализаторы (sniffers): программы, которые слушают сетевой трафик. Часто в них имеются возможности автоматического выделения имен пользователей, паролей и номеров кредитных карт из трафика;

• Модификация передаваемых данных или подмена информации;

• Подмена доверенного объекта распределённой ВС (работа от его имени) или ложный объект распределённой ВС (РВС).

• Социальная инженерия – несанкционированный доступ к информации иначе, чем взлом программного обеспечения. Цель – обхитрить людей для получения паролей к системе или иной информации, которая поможет нарушить безопасность системы;

Статистика самых распространенных атак

В 1998 году NIST (http://csrc.nist.gov/) проанализировал 237 компьютерных атак, информация о которых была опубликована в Интернет. Этот анализ дал следующую статистику:

• 29% атак были организованы из-под Windows.

Вывод: Не стоит считать опасной только Unix. Сейчас наступило время атак типа "укажи и кликни". Доступность в сети программ для взлома позволяет пользоваться ими даже ничего не знающими людьми. В будущем, вероятно, этот процент будет расти.

• в 20% атак атакующие смогли удаленно проникнуть в сетевые элементы (маршрутизаторы, коммутаторы, хосты, принтеры и межсетевые экраны).

Вывод: атаки, в ходе которых атакующий получает неавторизованный доступ к удаленным хостам не так уж редки.

• в 3% атак web-сайты атаковали своих посетителей.

Вывод: поиск информации в WWW больше не является полностью безопасным занятием.

• в 4% атак производилось сканирование Интернета на наличие уязвимых хостов.

Вывод: Имеется много средств автоматического сканирования, с помощью которых могут быть скомпрометированы хосты. Системные администраторы должны регулярно сканировать свои системы (а не то это сделает кто-то другой).

• 5% атак оказались успешными атаками против маршрутизаторов и межсетевых экранов.

Урок: сами компоненты инфраструктуры Интернета уязвимы к атакам (правда, большинством этих атак были атаки удаленного блокирования компьютеров и сканирования, и только небольшая часть из них были удаленным проникновением в компьютеры.)

Согласно опросу за 1999 год Института Компьютерной Безопасности и ФБР о компьютерных преступлениях, 57% опрошенных организаций сообщили, что считают соединения их сетей с Интернет "местом, откуда часто организуются атаки". 30% опрошенных сообщило, что имели место случаи проникновения в их сети, а 26% сказали, что в ходе атак происходила кража конфиденциальной информации. Федеральный центр по борьбе с компьютерными преступлениями в США – FedCIRC (http://www.fedcirc.gov) сообщил, что в 1998 году атакам подверглось около 130000 государственных сетей с 1100000 компьютерами.

Анализ сетевого трафика сети Internet

Одним из способов получения паролей и идентификаторов пользователей в сети Internet является анализ сетевого трафика. Сетевой анализ осуществляется с помощью специальной пpогpаммы-анализатоpа пакетов (sniffer), перехватывающей все пакеты, передаваемые по сегменту сети, и выделяющей среди них те, в которых передаются идентификатор пользователя и его пароль.

Во многих протоколах данные передаются в открытом, незашифрованном виде. Анализ сетевого трафика позволяет перехватывать данные, передаваемые по протоколам FTP и TELNET (пароли и идентификаторы пользователей), HTTP (передача гипертекста между WEB-сервером и браузером, в том числе и вводимые пользователем в формы на web-страницах данные), SMTP, POP3, IMAP, NNTP (электронная почта и конференции) и IRC (online-разговоры, chat). Так могут быть перехвачены пароли для доступа к почтовым системам с web-интерфейсом, номера кредитных карт при работе с системами электронной коммерции и различная информация личного характера, разглашение которой нежелательно.

В настоящее время разработаны различные протоколы обмена, позволяющие защитить сетевое соединение и зашифровать трафик (например, протоколы SSL и TLS, SKIP, S-HTTP и т.п.). К сожалению, они ещё не сменили старые протоколы и не стали стандартом для каждого пользователя. В определённой степени их распространению помешали существующие в ряде стран ограничения на экспорт средств сильной криптографии. Из-за этого реализации данных протоколов либо не встраивались в программное обеспечение, либо значительно ослаблялись (ограничивалась максимальная длина ключа), что приводило к практической бесполезности их, так как шифры могли быть вскрыты за приемлемое время.

Ложный ARP-сервер в сети Internet

Для адресации IP-пакетов в сети Internet кроме IP-адреса хоста необходим еще либо Ethernet-адрес его сетевого адаптера (в случае адресации внутри одной подсети), либо Ethernet-адрес маршрутизатора (в случае межсетевой адресации). Первоначально хост может не иметь информации о Ethernet-адресах других хостов, находящихся с ним в одном сегменте, в том числе и о Ethernet-адресе маршрутизатора. Следовательно, перед хостом встает стандартная проблема, решаемая с помощью алгоритма удаленного поиска.

В сети Internet для решения этой проблемы используется протокол ARP (Address Resolution Protocol). Протокол ARP позволяет получить взаимно однозначное соответствие IP- и Ethernet-адресов для хостов, находящихся внутри одного сегмента. Этот протокол работает следующим образом: при первом обращении к сетевому ресурсу хост отправляет широковещательный ARP-запрос, в котором указывает IP-адрес нужного ресурса (маршрутизатора или хоста) и просит сообщить его Ethernet-адрес. Этот запрос получают все станции в данном сегменте сети, в том числе и та, адрес которой ищется. Получив этот запрос, хост вносит запись о запросившей станции в свою ARP-таблицу, а затем отправляет на запросивший хост ARP-ответ со своим Ethernet-адресом. Полученный в ARP-ответе Ethernet-адрес заносится в ARP-таблицу, находящуюся в памяти ОС на запросившем хосте.