Методологии сетевого вторжения

Опубликовано: 8 Апреля, 2023


Введение


Существует ряд методов, которые могут использовать лица, желающие обойти вашу сетевую безопасность, чтобы получить доступ к информации. Чтобы защититься от них, вам важно понимать, что каждый из них представляет, как они работают и какие угрозы они представляют для вашей сети. Хотя это и не является исчерпывающим, вот список некоторых наиболее распространенных методов, используемых злоумышленниками и злоумышленниками:



  • Слежка
  • Спуфинг
  • Компрометация пароля
  • Атаки отказа в обслуживании
  • Человек посередине атакует
  • Атаки на уровне приложений
  • Ключевой компромисс

Слежка


Большинство данных, отправляемых по сети, находятся в «открытом тексте» (также известном как «открытый текст»), то есть они не шифруются для защиты их конфиденциальности. Это означает, что любой, у кого есть сетевой «сниффер» (например, Network Monitor 3.x или сторонние программы, такие как Wireshark), может легко прочитать эти сообщения в открытом виде, когда они проходят по сети.


Некоторые серверные приложения, поддерживающие собственные списки имен пользователей и паролей, позволяют регистрационной информации передаваться по сети в текстовом формате. Сетевой наблюдатель, используя легкодоступные сниффинговые программы, может подключиться к доступному порту концентратора или коммутатора и получить доступ к этой информации. На самом деле большая часть данных передается по сети в виде открытого текста, что упрощает доступ к информации для шпиона. Такая информация может включать конфиденциальные данные, такие как номера кредитных карт, номера социального страхования, содержимое личных сообщений электронной почты и корпоративные секреты. Очевидным решением этой проблемы является шифрование данных при их передаче по сети с использованием таких технологий, как IPsec или SSL.


Спуфинг


Исходный и конечный IP-адреса являются необходимым условием для установления сеансов между компьютерами в сети на основе TCP/IP. Акт «спуфинга» IP включает в себя ложное принятие идентичности законного хост-компьютера в сети с целью получения доступа к компьютерам во внутренней сети. Другой термин для спуфинга — «имперсонация». Злоумышленник «выдает себя за» компьютер с законным IP-адресом.


Чтобы защититься от спуфинга IP в целом, вы можете использовать IPsec для обмена данными между машинами в вашей сети, использовать списки управления доступом (ACL) для блокировки частных IP-адресов на нисходящем интерфейсе, фильтровать как входящий, так и исходящий трафик, а также настроить маршрутизаторы и коммутаторы для блокировать трафик, исходящий извне локальной сети, с адресами, указывающими, что он исходит внутри. Вы также можете включить шифрование на маршрутизаторе, чтобы внешние компьютеры, которым вы доверяете, могли обмениваться данными с вашими внутренними компьютерами.


Атака по порядковому номеру TCP/IP


Распространенной атакой на основе спуфинга является «атака с использованием порядкового номера TCP/IP». Протокол управления передачей (TCP) отвечает за надежность связи в сети на основе TCP/IP. Это включает в себя подтверждение информации, отправленной на узел назначения. Для отслеживания байтов, отправленных по сети, каждому сегменту присваивается «порядковый номер». Опытный злоумышленник может установить шаблон последовательности между двумя компьютерами, потому что шаблон последовательности не является случайным.


Во-первых, злоумышленник должен получить доступ к сети. Получив доступ к сети, он подключится к серверу и проанализирует шаблон последовательности между ним и законным хостом, с которым он взаимодействует в данный момент. Затем злоумышленник, использующий порядковый номер TCP/IP, попытается подключиться к серверу, подменив (ложно предполагая) IP-адрес легитимного хоста. Чтобы помешать законному хосту ответить, спуфер начнет «атаку отказа в обслуживании» (обсуждается позже) на легитимном хосте.


Поскольку законный хост не может ответить, спуфер будет ждать, пока сервер отправит свой ответ, а затем ответит с правильным порядковым номером. Теперь сервер считает, что спуфинг-компьютер является законным хостом, и спуфер теперь может начать передачу данных.


Сведения о том, как защититься от атак с использованием порядковых номеров TCP/IP, см. в документе RFC 1948.


Компрометация пароля


Пользователь, имеющий неправомерный доступ к сетевым паролям, может получить доступ к ресурсам, к которым он иначе не имел бы доступа. Злоумышленник может узнать пароли несколькими способами.


Социальная инженерия
 Злоумышленник связывается с человеком, используя вымышленную личность. Затем он запрашивает пароль у лица, имеющего права доступа к интересующей информации.


нюхает
 Многие сетевые приложения позволяют имени пользователя и паролю передаваться по сети в открытом виде. Злоумышленник может использовать приложение сетевого сниффера для перехвата этой информации.


Крекинг
 «Взломщик» использует ряд различных методов, чтобы «угадать» пароль, перебирая все возможные комбинации, пока не наткнется на правильную. Примеры методов взлома включают атаки по словарю и атаки методом полного перебора.


Если пароль администратора будет скомпрометирован, злоумышленник получит доступ ко всем ресурсам в сети, защищенным средствами контроля доступа. Злоумышленник теперь имеет доступ ко всей базе данных учетных записей пользователей. С помощью этой информации он может получить доступ ко всем файлам и папкам, изменить информацию о маршрутизации и изменить информацию без ведома пользователей, которые зависят от этой информации.


Защита от компрометации пароля включает в себя многогранную стратегию. Обучайте пользователей социальной инженерии и устанавливайте правила защиты паролей. Установите политики, обеспечивающие соблюдение требований к сложности и длине пароля. Требовать от пользователей регулярной смены паролей. Внедрите многофакторную аутентификацию, чтобы злоумышленнику для доступа требовалось больше, чем просто пароль.


Атаки отказа в обслуживании


Существует несколько различных типов атак типа «отказ в обслуживании». Все эти методы имеют общую способность нарушать нормальное функционирование компьютера или операционной системы на целевой машине. Эти атаки могут наводнить сеть бесполезными пакетами, повредить или исчерпать ресурсы памяти или использовать уязвимость в сетевом приложении. Атака распределенного отказа в обслуживании (DDoS) исходит от нескольких машин (например, ботнеты, скомпрометированные десятками, сотнями или даже тысячами «зомби-компьютеров» в разных географических областях).


Примеры традиционных атак типа «отказ в обслуживании», которые существуют уже много лет, включают:



  • Атака TCP SYN
  • Смурф атака
  • Атака слезы
  • Пинг смерти

Атака TCP SYN


Когда компьютеры в сети на основе TCP/IP устанавливают сеанс, они проходят через процесс «трехстороннего рукопожатия». Это трехэтапное рукопожатие включает в себя:



  1. Исходный клиент отправляет пакет с флагом SYN, установленным на «ON». Этот хост включает в пакет порядковый номер. Сервер будет использовать этот порядковый номер на следующем шаге.
  2. Сервер вернет пакет исходному узлу с флагом SYN, установленным на «ON». Этот пакет будет иметь порядковый номер, который увеличивается на «1» по сравнению с номером, отправленным запрашивающим компьютером.
  3. Клиент ответит на этот запрос пакетом, который подтвердит порядковый номер сервера, увеличив порядковый номер на «1».

Всякий раз, когда хост запрашивает сеанс с сервером, пара проходит через процесс трехэтапного рукопожатия. Злоумышленник может воспользоваться этим процессом, инициировав несколько запросов сеанса, которые исходят от поддельных исходных IP-адресов. Сервер хранит каждый открытый запрос в очереди, ожидая выполнения шага 3. Записи в очереди обычно очищаются каждые 60 секунд.


Если злоумышленнику удастся сохранить очередь заполненной, законные запросы на подключение будут отклонены. Следовательно, законным пользователям электронной почты, Интернета, ftp и других служб, связанных с IP, в обслуживании отказано.


Пинг смерти


Ping of death использует функции протокола управляющих сообщений Интернета (ICMP) и размеров средней единицы передачи (MTU) различных сетевых архитектур. Команда Ping отправляет эхо-запрос ICMP, и узел назначения возвращает эхо-ответ ICMP. MTU определяет максимальный размер блока для определенной сетевой архитектуры, который зависит от типа среды.


Если размер пакета больше, чем MTU, пакет будет фрагментирован, а затем повторно собран в пункте назначения. Можно отправить пакет с количеством октетов, превышающим допустимое. Когда пакеты фрагментированы, в пакет включается значение «смещения». Это значение смещения используется для повторной сборки фрагментов в месте их назначения. Злоумышленник может включить в последний фрагмент допустимое смещение и больший размер пакета. Это превысит допустимое количество октетов в части данных эхо-запроса ICMP. При попытке повторной сборки конечный компьютер может отреагировать перезагрузкой или сбоем.


Смурф атака


Атака SMURF пытается вывести сеть из строя путем переполнения сети эхо-запросами и эхо-ответами ICMP. Злоумышленник подменит исходный IP-адрес, а затем отправит эхо-запрос ICMP на широковещательный адрес. Это заставит все машины в сегменте ответить на поддельный запрос. Если злоумышленник может поддерживать эту атаку в течение длительного периода времени, никакая полезная информация не может быть передана по сети из-за потока сообщений ICMP Echo Request и Reply, проходящих по сети.


Атака слезы


Атака слезы выполняется с помощью программы, такой как слеза.с, которая вызывает фрагментацию, подобную той, что кажется в атаке Ping of Death. Он использует слабость процесса повторной сборки и может привести к зависанию или сбою системы.


Защита от DoS и DDoS атак


Для защиты от DoS- и DDoS-атак следует использовать многоуровневый подход. Брандмауэры могут защитить сеть от простых лавинных атак. SYN-флуд можно предотвратить, используя коммутаторы и маршрутизаторы, которые обеспечивают формирование трафика, отложенную привязку (сращивание TCP) и глубокую проверку пакетов. Системы предотвращения вторжений (IPS) могут блокировать некоторые формы DoS/DDoS-атак. Существуют также продукты, созданные специально для защиты от DoS-атак. Они называются системами защиты от DoS или DDS.


Человек посередине атакует


Атака «Человек посередине» — это ситуация, когда две стороны считают, что общаются только друг с другом, но на самом деле их общение молча подслушивает посредник. Человек посередине может вмешаться в разговор, выдавая себя за отправителя или получателя. Во время заступничества злоумышленника он может изменять или уничтожать сообщения во время передачи.


Используя сетевой сниффер, злоумышленник может записывать и сохранять сообщения для последующего использования. Это может позволить злоумышленнику выполнить последующую повторную атаку. «Человек посередине», записав аспекты разговора, может воспроизвести эту информацию, чтобы в будущем обойти механизмы сетевой аутентификации. Это известно как «атака воспроизведения».


Атаки MITM часто осуществляются через Интернет, когда человек посередине перехватывает связь между клиентом (браузером) и веб-сервером. Веб-атаки MITM можно предотвратить, используя последние версии веб-браузеров со встроенными механизмами защиты, а также взаимодействуя на сайтах, использующих SSL-сертификаты расширенной проверки (EV). Для конфиденциальных сообщений следует использовать двухфакторную аутентификацию; однако это не будет полностью защищать от MITM, потому что MITM просто ожидает аутентификации пользователя с помощью смарт-карты или токена, а затем также аутентифицируется и может инициировать новые транзакции. Внеполосная аутентификация — лучшая защита, но она дорогая и связана с большими накладными расходами.


Атаки, направленные на приложения


Атаки, ориентированные на приложения, стремятся использовать слабые места, присущие определенным сетевым приложениям. Используя уязвимости в этих сетевых приложениях, злоумышленник может:



  • Повреждение или изменение важных файлов операционной системы
  • Изменить содержимое файлов данных
  • Приводить к неправильной работе сетевого приложения или всей операционной системы или даже к сбою.
  • Нарушать нормальный контроль безопасности и доступа, поддерживаемый приложением или операционной системой.
  • Установите программу или программы, которые могут вернуть информацию злоумышленнику. Печально известный «Back Orifice» является примером такого приложения.

Эти атаки на уровне приложений обеспечивают наиболее благодатную почву для потенциального злоумышленника. Многие сетевые приложения не прошли оценку безопасности и тестирование в той степени, которая требуется для оптимизации их устойчивости к атакам, направленным против них.


Защититься от атак на уровне приложений сложно, потому что уязвимости различаются от одного приложения к другому. Общий подход к безопасности «глубокоэшелонированная защита» плюс осведомленность об известных уязвимостях — это первый шаг.


Скомпрометированные ключевые атаки


Ключ — это число или «шифр», который можно использовать либо для проверки целостности сообщения, либо для шифрования содержимого сообщения. Существуют разные типы ключей. Один тип ключа известен как «общий секрет». Компьютер-отправитель зашифрует содержимое сообщения с помощью секретного ключа, а компьютер-получатель расшифрует сообщение с помощью того же секретного ключа. Используя этот «общий секрет», два компьютера могут общаться конфиденциально.


Другой тип «секретного» ключа — «закрытый ключ». «Закрытый» ключ можно использовать для подтверждения личности отправителя. Это известно как «подписание» сообщения. Когда получатель получает сообщение, подписанное чьим-то закрытым ключом, он может быть уверен, что человек, который утверждает, что отправил сообщение, действительно является этим человеком.


Если злоумышленник каким-то образом получит доступ к этим ключам, он сможет связаться с «предполагаемой личностью», используя чужой закрытый ключ. Если он получит доступ к «общему секретному ключу», он сможет расшифровать сообщения, зашифрованные этим ключом.


Когда секретные ключи больше не остаются секретными, они называются «скомпрометированными». После того, как они будут скомпрометированы, их больше нельзя будет использовать для защиты личных данных и информации. Обнаружение того, что ключ был скомпрометирован, часто является сложной задачей. Часто единственный способ обнаружить скомпрометированный ключ — это обнаружить, что какая-то важная часть информации больше не является секретной, как вы можете видеть в случаях корпоративного шпионажа.


Одной из мер по смягчению ущерба, который может быть нанесен скомпрометированным ключом, является требование нескольких ключей для создания подписи, так что если один ключ скомпрометирован, этого недостаточно для успешной подделки подписи. Дополнительные методы, которые можно использовать против необнаруженной компрометации ключа, см. в этом документе.


Резюме


В этой статье мы рассмотрели несколько наиболее распространенных методов вторжения в сеть и атак, которые можно использовать отдельно или в сочетании друг с другом или с дополнительными атаками для компрометации сети. Мы предоставили некоторые рекомендации о том, как защитить вашу сеть от каждого типа атак и/или как уменьшить ущерб, который может нанести злоумышленник.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023