3. Мрежова сигурност

3.1. Атакувани мрежови компоненти Класификация на мрежовите атаки според целта, избрана от атакуващия за атаката. Разглеждат се сървъри, работни станции, среда за предаване на информация и мрежови комутационни възли.

3.2. Нива на мрежови атаки според модела OSI Референтният OSI модел на взаимодействие на отворени системи позволява класифициране на мрежови атаки според нивото на атакувания протокол.

3.1. Атакувани мрежови компоненти

3.1.1. Сървъри Сървърите са проектирани да съхраняват информация или да предоставят определени видове услуги. В резултат на това основните класове атаки срещу сървъри са "отказ от услуга" и опити за разкриване на поверителна информация. Специфичните атаки са атаки, които подправят сервизни услуги.

3.1.2. Работни станции Основната цел на нарушителя по отношение на работните станции е да получи информация, съхранявана локално на техните твърди дискове, или да получи пароли, въведени от оператора чрез копиране на буфера на клавиатурата.

3.1.3. Среда за предаване на информация Различните среди за предаване на данни (въздух, кабел) изискват различни разходи от нападателя, за да ги слуша.

3.1.4. Мрежови превключващи възли Атаките срещу превключващи възли обикновено имат две цели: или нарушаване на целостта на мрежата („отказ на услугата“), или пренасочване на трафика по грешен път, по някакъв начин изгоден за нападателя.

3.1.1. Сървъри

Основните компоненти на всяка информационна мрежа са сървърите и работните станции. Сървърите предоставят информационни или изчислителни ресурси; работните станции имат персонал. По принцип всеки компютър в мрежата може да бъде както сървър, така и работна станция в този случай, описания на атаки, предназначени както за сървъри, така и за работни станции, са приложими за него.станции.

Основните задачи на сървърите са съхранение и предоставяне на достъп до информация и определени видове услуги. Следователно всички възможни цели на нарушителите могат да бъдат класифицирани като

  • достъп до информация,
  • получаване на неоторизиран достъп до услуги,
  • опит за деактивиране на определен клас услуги,
  • опит за промяна на информация или услуги като спомагателна стъпка в някаква по-голяма атака.

Опитите за получаване на достъп до информация, разположена на сървъра, по принцип не се различават от подобни опити за работни станции и ще ги разгледаме по-късно. Проблемът с получаването на неоторизиран достъп до услуги приема изключително разнообразни форми и се основава главно на грешки или недокументирани възможности на самия софтуер, който предоставя такива услуги.

Но проблемът с деактивирането (нарушаването на нормалното функциониране) на услугите е доста актуален в съвременния компютърен свят. Клас такива атаки се нарича атака за отказ на услуга (DoS). Атаката за отказ на услуга може да бъде приложена на цял набор от нива на OSI модела: физическо, връзка за данни, мрежа, сесия. Ще разгледаме подробно схемите за прилагане на тази атака в параграфа за модела OSI.

Промяната на информация или услуги като част от по-голяма атака също е много важен проблем при защитата на сървърите. Ако сървърът съхранява потребителски пароли или всякакви данни, които могат да позволят на атакуващ да влезе в системата, като ги промени (например сертификати за ключове), тогава естествено атаката срещу самата система ще започне с атака срещу подобен сървър. Като сервизни сървъри, които най-често са изложени намодификация, трябва да се нарича DNS сървър.

3.1.2. Работни станции

Основната цел на атака на работна станция е, разбира се, да се получат данни, които се обработват или съхраняват локално на нея. Троянските програми все още са основно средство за подобни атаки. Тези програми не се различават по своята структура от компютърните вируси, но когато влязат в компютъра, те се опитват да се държат възможно най-незабележимо. В същото време те позволяват на всяка трета страна, която знае протокола за работа с тази троянска програма, да извършва всякакви действия от разстояние от компютъра. Тоест, основната цел на такива програми е да унищожат системата за мрежова защита на станцията отвътре, пробивайки огромна дупка в нея.

За борба с троянските коне се използват както конвенционален антивирусен софтуер, така и няколко специфични метода, фокусирани изключително върху тях. По отношение на първия метод, както и при компютърните вируси, трябва да се помни, че антивирусният софтуер открива огромен брой вируси, но само тези, които са широко разпространени в цялата страна и имат множество прецеденти на заразяване. В случаите, когато вирус или троянски кон е написан с цел получаване на достъп конкретно до вашия компютър или корпоративна мрежа, той няма да бъде открит от стандартния антивирусен софтуер с почти 90% вероятност.

Тези троянски коне, които постоянно осигуряват достъп до заразения компютър и следователно поддържат отворен порт на някакъв транспортен протокол на него, могат да бъдат открити с помощта на помощни програми за управление на мрежови портове. Например за операционни системи за клониране на Microsoft Windows такава помощна програма е програмата NetStat. Стартирането му с ключа "netstat -a" ще покаже всички активни портове на компютъра. В този случай операторът е длъжен да знае портоветестандартни услуги, които са постоянно отворени на компютъра, а след това всеки нов запис на монитора трябва да привлече вниманието му. Към днешна дата вече има няколко софтуерни продукта, които извършват такъв контрол автоматично.

По отношение на троянските коне, които не държат транспортните портове постоянно отворени, а просто методично изпращат някаква информация до сървъра на атакуващия (например файлове с пароли или пълно копие на текста, въведен от клавиатурата), е възможно само наблюдение на мрежата. Това е доста сложна задача, която изисква или участието на квалифициран служител, или тромава система за вземане на решения.

Следователно най-лесният начин за надеждна защита както от компютърни вируси, така и от троянски коне е да инсталирате на всяка работна станция програми за контрол на промените в системните файлове и областите на служебните данни (регистър, зони за стартиране на диска и т.н.) така наречените съветници (английски съветник нотификатор).

3.1.3. Комуникационна среда

Естествено, основният тип атака срещу средата за предаване на информация е нейното прослушване. По отношение на възможността за слушане всички комуникационни линии се разделят на:

  • излъчване с неограничен достъп
  • излъчването е ограничено
  • канали от точка до точка

По отношение на слушането на мрежов трафик от устройства, свързани отвън, има следният списък с кабелни връзки в реда на нарастващата сложност на слушането им:

  • неусукана двойка сигналът може да се чуе на разстояние няколко сантиметра без директен контакт,
  • усукана двойка сигналът е малко по-слаб, но е възможно и слушане без директен контакт,
  • коаксиален проводникцентралното ядро ​​е надеждно екранирано с оплетка: необходим е специален контакт, който избутва или отрязва част от плитката и прониква до централното ядро,
  • оптично влакно за слушане на информация, е необходимо да се вклини в кабела и скъпо оборудване, процесът на свързване към кабела е придружен от прекъсване на комуникацията и може да бъде открит, ако някакъв блок от контролни данни се предава постоянно по кабела.

Деактивирането на системите за предаване на информация (атака „отказ от услуга“) на ниво среда за предаване на информация е възможно, но обикновено това вече се разглежда като външно механично или електронно (а не софтуерно) въздействие. Възможно физическо разрушаване на кабели, производство на шум в кабела и в инфрачервените и радио пътища.

3.1.4. Мрежови комутационни възли

Мрежовите комутационни възли се представят на нападателите 1) като инструмент за маршрутизиране на мрежовия трафик и 2) като необходим компонент на здравето на мрежата.

По отношение на първата цел, получаването на достъп до таблицата за маршрутизиране ви позволява да промените пътя на потока на евентуално поверителна информация към страната, която представлява интерес за нападателя. По-нататъшните му действия могат да бъдат подобни на атака срещу DNS сървъра. Това може да се постигне или чрез директно администриране, ако атакуващият по някакъв начин е получил администраторски права (най-често той е разбрал паролата на администратора или е използвал паролата по подразбиране, която не е била променена). В това отношение възможността за дистанционно управление на превключващи устройства не винаги е благословия: получаването на физически достъп до устройство, управлявано само чрез физически порт, е много по-трудно.

Или е възможен втори път на атака за промяна на таблицата за маршрутизиране, той се основава на динамично маршрутизиране на пакети, разрешено в много комутационни възли. INВ този режим устройството определя най-изгодния начин за изпращане на конкретен пакет, въз основа на историята на пристигането на определени служебни пакети на съобщенията за мрежово маршрутизиране (ARP, RIP и други). В този случай, ако няколко такива сервизни пакета са фалшифицирани според определени закони, е възможно да се постигне, че устройството започва да изпраща пакети по пътя, от който атакуващият се интересува, мислейки, че това е най-бързият път до дестинацията.

3.2. Нива на мрежови атаки според OSI модела

Референтният модел за взаимодействие на отворени системи OSI (англ. Open Systems Interconnection) е разработен от института по стандартизация ISO, за да се разграничат функциите на различните протоколи в процеса на предаване на информация от един абонат към друг. Бяха идентифицирани 7 подобни класа функции - те бяха наречени нива. Всяко ниво изпълнява своите специфични задачи в процеса на предаване на блок информация, а съответното ниво от приемащата страна извършва трансформации, които са точно противоположни на тези, които същото ниво произвежда от предаващата страна. Най-общо преминаването на блок данни от подателя към получателя е показано на фиг.1. Всяко ниво добавя малко количество от своята служебна информация към пакета - префикс (на фигурата те са показани като P1. P7). Някои нива в конкретно изпълнение може да липсват.

информация
Фиг.1.

Този модел ви позволява да класифицирате мрежовите атаки според нивото на тяхното въздействие.

Физическият слой е отговорен за преобразуването на електронни сигнали в сигнали на средата за предаване на информация (импулси на напрежение, радиовълни, инфрачервени сигнали). На това ниво основният клас атаки е "отказ на услуга". Сценичният шум в цялата честотна лента на канал може да доведе до "надежден"прекъсване на връзката.

Слоят на връзката управлява синхронизирането на два или повече мрежови адаптера, свързани към една среда за предаване на данни. Пример за това е протоколът EtherNet. Въздействията на това ниво също се състоят главно от атака за отказ на услуга. Въпреки това, за разлика от предишното ниво, тук съобщенията за синхронизиране или самото предаване на данни се провалят с периодично предаване „без разрешение и в неподходящо време“.

Мрежовият слой е отговорен за системата от уникални имена и доставката на пакети с това име, тоест за маршрутизиране на пакети. Пример за такъв протокол е интернет протоколът (IP). Вече разгледахме всички атаки, базирани на умишлено неправилно маршрутизиране на пакети.

Транспортният слой е отговорен за доставянето на големи съобщения по връзки с комутация на пакети. Тъй като в такива линии размерът на пакета обикновено е малък (от 500 байта до 5 килобайта), за да се предадат големи количества информация, те трябва да бъдат разделени на предавателната страна и сглобени на приемащата страна. Транспортните протоколи в Интернет са UDP и TCP. Внедряването на транспортен протокол е доста трудна задача и ако също така смятате, че нападателят предлага различни схеми за съставяне на неправилни пакети, тогава проблемът с атаките на транспортния слой е напълно разбираем.

Работата е там, че пакетите могат да пристигнат на приемащата страна и понякога не пристигат в реда, в който са изпратени. Причината обикновено е загубата на някои пакети поради грешки или претоварване на каналите, по-рядко - използването на два алтернативни пътя в мрежата за предаване на потока. И следователно операционната система трябва да съхранява някакъв буфер от пакети, чакайки пристигането на онези, които са били забавени по пътя. И ако нападателят умишленоформира пакети по такъв начин, че последователността е голяма и очевидно непълна, тогава можете да очаквате както постоянна заетост на буфера, така и по-опасни грешки поради препълването му.

Слоят на сесията е отговорен за процедурата за установяване на началото на сесия и потвърждаване (потвърждение) на пристигането на всеки пакет от изпращача до получателя. В Интернет протоколът на сесийния слой е TCP (той заема двата слоя 4 и 5 на OSI модела). По отношение на сесийния слой, специфична атака за отказ на услуга, базирана на свойствата на процедурата за установяване на връзка в TCP протокола, е много широко разпространена. Наречен е SYN-Flood (building flood – англ. „голям поток“).

Когато клиент се опита да се свърже със сървър, работещ по TCP протокола (повече от 80% от информационните услуги го използват, включително HTTP, FTP, SMTP, POP3), той изпраща пакет до сървъра без информация, но с бит SYN, зададен на 1 в зоната на обслужване на пакета - заявка за връзка. При получаване на такъв пакет, сървърът е длъжен да изпрати потвърждение за получаване на заявката до клиента, след което започва същинският диалог между клиента и сървъра с третия пакет. В същото време сървърът може да поддържа, в зависимост от вида на услугата, от 20 до няколко хиляди клиента.