Проблемы безопасности IP-сетей

Рост популярности Интернет-технологий сопровождается ростом серьезных угроз разглашения персональных данных, критически важных корпоративных ресурсов, государственных тайн и т. д.. В ближайшем будущем их число во много раз возрастет, поэтому вероятность доступа хакеров к уязвимым компьютерам и компьютерным се­тям также постоянно возрастает.

На практике IP-сети уязвимы для многих способов несанк­ционированного вторжения в процесс обмена данными. По мере развития компьютерных и сетевых технологий (например с появ­лением мобильных Java-приложений и элементов ActiveX) список возможных типов сетевых атак на IP-сети постоянно расширяет­ся.

Наиболее распространены следующие атаки.

Подслушивание (sniffing). В основном данные по компьютер­ным сетям передаются в незащищенном формате (открытым тек­стом), что позволяет злоумышленнику, получившему доступ к линиям передачи данных в сети подслушивать или считывать трафик. Для подслушивания в компьютерных сетях используют сниффер. Сниффер пакетов представляет собой прикладную про­грамму, которая перехватывает все сетевые пакеты, передаваемые через определенный домен.

В настоящее время снифферы работают в сетях на вполне за­конном основании. Они используются для диагностики неис­правностей и анализа трафика. Однако ввиду того, что некото­рые сетевые приложения передают данные в текстовом формате (Telnet, FTP, SMTP, РОРЗ и т. д.), с помощью сниффера можно узнать полезную, а иногда и конфиденциальную информацию (например, имена пользователей и пароли).

Изменение данных. Злоумышленник, получивший возмож­ность прочитать ваши данные, сможет сделать и следующий шаг — изменить их. Данные в пакете могут быть изменены, даже если злоумышленник ничего не знает ни об отправителе, ни о получателе. Даже если вы не нуждаетесь в строгой конфиденци­альности всех передаваемых данных, то наверняка не захотите, чтобы они были изменены по пути.

Анализ сетевого трафика. Целью атак подобного типа являет­ся прослушивание каналов связи и анализ передаваемых данных и служебной информации для изучения топологии и архитекту­ры построения системы, получения критической пользователь­ской информации (например, паролей пользователей или номе­ров кредитных карт, передаваемых в открытом виде). Атакам этого типа подвержены такие протоколы, как FTP или Telnet, особенностью которых является то, что имя и пароль пользова­теля передаются в рамках этих протоколов в открытом виде.

Перехват сеанса (session hijacking). По окончании начальной процедуры аутентификации соединение, установленное закон­ным пользователем, например с почтовым сервером, переключа­ется злоумышленником на новый хост, а исходному серверу вы­дается команда разорвать соединение. В результате «собеседник» законного пользователя оказывается незаметно подмененным.

После получения доступа к сети атакующий злоумышленник может:

посылать некорректные данные приложениям и сетевым службам, что приводит к их аварийному завершению или неправильному функционированию;

наводнить компьютер или всю сеть трафиком, пока не произойдет останов системы в результате перегрузки;

блокировать трафик, что приведет к потере доступа автори­зованных пользователей к сетевым ресурсам.

Отказ в обслуживании (Denial of Service, DoS). Эта атака от­личается от атак других типов: она не нацелена на получение доступа к сети или на получение из этой сети какой-либо ин­формации. Атака DoS делает сеть организации недоступной для обычного использования за счет превышения допустимых пре­делов функционирования сети, ОС или приложения. По сущест­ву, она лишает обычных пользователей доступа к ресурсам или компьютерам сети организации.

Парольные атаки. Их цель — завладение паролем и логином законного пользователя. Злоумышленники могут проводить па­рольные атаки, используя такие методы, как:

подмена IP-адреса (1Р-спуфинг);

подслушивание (сниффинг);

простой перебор.

Часто хакеры пытаются подобрать пароль и логин, используя для этого многочисленные попытки доступа. Такой метод носит название атака полного перебора (brute force attack). Для этой атаки используется специальная программа, которая пытается получить доступ к ресурсу общего пользования (например, к серверу). Если в результате злоумышленнику удается подобрать пароль, он получает доступ к ресурсам на правах обычного поль­зователя.

Парольных атак можно избежать, если не пользоваться паро­лями в текстовой форме. Использование одноразовых паролей и криптографической аутентификации может практически свести на нет угрозу таких атак. К сожалению, не все приложения, хосты и устройства поддерживают указанные методы аутентификации.

При использовании обычных паролей необходимо придумать такой пароль, который было бы трудно подобрать. Минимальная длина пароля должна быть не менее 8 символов. Пароль должен включать символы верхнего регистра, цифры и специальные символы (#, $, &, % и т. д.).

Угадывание ключа. Криптографический ключ представляет собой код или число, необходимое для расшифровки защищен­ной информации. Хотя узнать ключ доступа не просто и требует больших затрат ресурсов, тем не менее это возможно. В частно­сти, для определения значения ключа может быть использована специальная программа, реализующая метод полного перебора. Ключ, к которому получает доступ атакующий, называется ском­прометированным. Атакующий использует скомпрометирован­ный ключ для получения доступа к защищенным передаваемым данным без ведома отправителя и получателя. Ключ дает воз­можность расшифровывать и изменять данные.

Атаки на уровне приложений могут проводиться несколькими способами.

Самый распространенный из них состоит в использовании известных слабостей серверного ПО (FTP, HTTP, web-cepeepa).

Главная проблема с атаками на уровне приложений состоит в том, что они часто пользуются портами, которым разрешен про­ход через межсетевой экран. Сведения об атаках на уровне при­ложений широко публикуются, чтобы дать возможность админи­страторам исправить проблему с помощью коррекционных моду­лей (патчей). К сожалению, многие хакеры также имеют доступ к этим сведениям, что позволяет им учиться.

Невозможно полностью исключить атаки на уровне прило­жений. Хакеры постоянно открывают и публикуют на своих сай­тах в Интернете все новые уязвимые места прикладных про­грамм. ¹

Здесь важно осуществлять хорошее системное администри­рование.