Моделювання механізмів реалізації типових погроз безпеки компьютерних систем. (2 години).

1. Анализ сетевого трафика (Sniffing)

реализация угрозы ”сетевой анализ” сокращенно позволяет

1) изучить логику работы ЛВС (куда, что передать)

2) такая удаленная атака позволяет непосредственно перехватить поток данных, которыми обмениваются объекты

Отметим, что реализация данной угрозы не модифицирует трафику, а сам анализ возможен внутри одного сегмента.

Перехватывают в основном (Login, Pass)

Классификация:

1) по характеру воздействия анализ сетевого трафика является пассивным воздействием (Класс 1.1)

2) осуществление без обратной связи (класс 4.2)

3) ведет к нарушению конфиденциальности информации (класс 2.1)

4) внутри одного сегмента сети (класс 5.1)

5) на канальном уровне OSI(класс 6.2)

6) осуществление атаки безусловно по отношению к ее цели (класс 3.3)защита пример в конце.

 

2. Подмена доверенного объекта или субъекта ЛВС.

Для адресации сообщении в ЛВС используются сетевой или аппаратный адрес. Сетевой адрес может быть использоваться для идентификации объектов ЛВС. Он легко подделывается. По этому может быть реализована передача сообщений от имени любого объекта и субъекта ЛВС.

При этом существует две разновидности данной типовой атаки

- атака при установленном виртуальном канале

- атака без установленного виртуального канала

В первом случае будет осуществляться передача пакетов с хоста хакера на объект атаки от имени доверено субъекта взаимодействия (при этом сообщения будут воспринятые как дефект)

Для осуществления данной атаки необходимо преодолеть систему идентификации и аутентификацию сообщений (для протокола TCP/IP используют 2 32-бит счетчик)

Рассмотрим схему создания TCP-соединения (рис. 4.13).

Рис. 4.13. Схема создания TCP-соединения

Предположим, что хосту А необходимо создать TCP-соединение с хостом В. Тогда А посылает на В следующее сообщение: SYN, ISNa.

Это означает, что в передаваемом А сообщении установлен бит SYN (Synchronize Sequence Number), а в поле Sequence Number установлено начальное 32-битное значение ISNa (Initial Sequence Number).

Хост В отвечает: SYN, АСК, ISNb, ACK(ISNa+l).

В ответ на полученный от А запрос В посылает сообщение, в котором установлены бит SYN и бит АСК; в поле Sequence Number хостом В задается свое начальное значение счетчика - ISNb; поле Acknowledgment Number содержит значение ISNa, полученное в первом пакете от хоста А и увеличенное на единицу.

Хост А, завершая рукопожатие (handshake), посылает: АСК, ISNa+l, ACK(ISNb+l).

В этом пакете установлен бит АСК; поле Sequence Number содержит значение ISNa+l; поле Acknowledgment Number содержит значение ISNb+l. Посылкой этого пакета на хост В заканчивается трехступенчатый handshake, и TCP-соединение между хостами А и В считается установленным.

Теперь хост А может посылать пакеты с данными на хост В по только что созданному виртуальному TCP-каналу; передается следующая информация: АСК, ISNa+l, ACK(ISNb+l); DATA.

Из рассмотренной схемы создания TCP-соединения видно, что единственными идентификаторами, помимо IP-адреса инициатора соединения, TCP-абонентов и TCP-соединения, являются два 32-битных параметра Sequence Number и Acknowledgment Number. Следовательно, для формирования ложного TCP-пакета атакующему необходимо знать текущие идентификаторы для данного соединения - ISNa и ISNb. Это означает, что кракеру достаточно, подобрав соответствующие текущие значения идентификаторов TCP-пакета для данного TCP-соединения (например, данное соединение может представлять собой FTP- или TELNET-подключение), послать пакет с любого хоста в сети Internet от имени одного из участников данного соединения (например, от имени клиента), указывая в заголовке IP-пакета его IP-адрес, и данный пакет будет воспринят как верный.

Итак, для осуществления описанной выше атаки необходимым и достаточным условием является знание двух текущих 32-битных параметров ISNa и ISNb, идентифицирующих TCP-соединение. Рассмотрим возможные способы их получения.

Если взломщик находится в одном сегменте с объектом атаки или через сегмент кракера проходит трафик такого хоста, то задача получения значений ISNa и ISNb является тривиальной и решается путем сетевого анализа. Следовательно, нельзя забывать что протокол TCP позволяет защитить соединение только в случае невозможности перехвата атакующим сообщений, передаваемых по данному соединению, то есть тогда, когда кракер находится в других сегментах относительно абонентов TCP-соединения. Поэтому наибольший интерес для нас представляют межсегментные атаки, когда атакующий и его цель находятся в разных сегментах Сети. В этом случае задача получения значений ISNa и ISNb не является тривиальной. Далее предлагается следующее решение обозначенной проблемы.

Во вторых для служебных сообщений в распределенных ВС часто используются передача одиночных запросов, не требующих подтверждение, а следовательно, создание виртуального канала является не обязательным. Атаки заключается: в передаче служебных сообщений от имени сетевых управляющих устройств (маршрутизаторов)

Схема удаленной атаки на rsh-сервер (рис. 4.15) была впервые описана небезызвестным Р. Т. Моррисом-старшим [13].

Рис. 4.15. Подмена одного из участников TCP-соединения при атаке на rsh-сервер

Пусть хост А доверяет хосту В. Хост Х-Hacker - это станция атакующего.

Вначале атакующий Х-Hacker открывает настоящее TCP-соединение с хостом В на любой TCP-порт (mail, echo и т. д.). В результате X-Hacker получает текущее на данный момент времени значение ISNb. Затем X-Hacker от имени хоста А посылает на хост В TCP-запрос на открытие соединения: SYN, ISSx.

Получив этот запрос, В анализирует IP-адрес отправителя и решает, что пакет пришел с хоста А. Следовательно, в ответ хост В посылает на А новое значение ISNb': SYN, АСК, ISNb', ACK(ISSx+1).

X-Hacker никогда не получит это сообщение от В, но, используя предыдущее значение ISNb и схему для получения ISNb', при помощи математического предсказания может послать пакет на В: АСК, ISSx+l, ACK(ISNb'+l).

Для того чтобы послать этот пакет, вероятно, потребуется перебрать некоторое количество возможных значений ACK(ISNb'+l). Подбирать ISSx+1 не нужно, так как этот параметр TCP-соединения был послан с хоста X-Hacker на объект В в первом пакете.

В случае осуществления данной атаки перед взломщиком возникает следующая проблема. Так как X-Hacker посылает первый пакет на В от имени А, то хост В ответит на А пакетом 2. Но поскольку хост А нс посылал на хост В никакого запроса, то, получив такой ответ, перешлет на В пакет с битом RST - закрыть соединение. Кракера это, естественно, не устраивает, поэтому ему придется на некоторое время вывести из строя хост А (см. раздел "Нарушение работоспособности хоста в сети Internet при использовании направленного шторма ложных TCP-запросов на создание соединения либо при переполнении очереди запросов").

В итоге rsh-сервер на хосте В считает, что к нему подключился пользователь с доверенного объекта А, тогда как на самом деле это атакующий с хоста X-Hacker. Н хотя взломщик никогда нс получит пакеты с хоста В, он сможет выполнять на нем r-команды.

. Классификация: подмена доверенного области ЛВС является активным воздействием (класс 1.2), совершаемый с целью нарушения конфиденциальности (класс 2.1) и целостностью(класс 2.2) информации, по наступлению на оставляемом объекте определенного его события(класс 3.2). Данная удаленная атака может являться не внутрисегментной (класс 5.1)максимально и мегмаксимальную(класс 5.2), иметь обратную связь с атакуемым объектом(класс 4.1) или не иметь(4.2) осуществляется на канальном(6.2)сетевом (6.3)и транспортном уровне (6.4) модели OSI.

 

3) Ложный объект ЛВС. Если в ЛВС не решены проблемы и идентификаций сетевых управляющих устройств(маршрутизаторов), то ЛВС может быть подвержена типовой атаке, связанной с изменением маршрутизации и внедрением в систему ложного объекта.

Условия внедрения: внедрить можно если инфраструктура предусмотрела алг. удаленного поиска. Итак, существует две принципиально разные причины, обуславливающие появление типовой угрозы. Ложные объекты ЛВС

- внедрение в распределенную ВС ложного объекта путем навязывания ложного маршрута

- внедрение в распределенную ВС ложного объекта путем использования недостатков алгоритма удаленного по сети.

Маршрут RIP, OSPF, SNMP.

Основная цель атакующего изменить исходящую маршрутизацию на объекте распределенной ВС так, что бы новый маршрут проходил через ложный объект. Для того атакующему необходимо послать по сети специальные служебные сообщение, определенные данными протоколами, от имени сетевых управляющих устройств.

Результат: Полный контроль над потоком информаций.