Защита от хакеров корпоративных сетей
Шрифт:
· Удаленное обнаружение анализаторов сетевого трафика не надежно. Удаленное обнаружение полагается на поведение хоста определенным образом, например медленная работа с запущенным анализатором трафика, или анализатор, который переводит IP в имена. Только анализаторы сетевого трафика ведут себя подобным образом.
Часто задаваемые вопросы
На следующие часто задаваемые вопросы (FAQ) отвечали авторы данной книги. Они предназначены как для улучшения вашего понимания идей, представленных в данной главе, так и для помощи в реализации этих идей. Если у вас возникли вопросы по данной главе, зайдите на сайт www.syngress.com/solutions и кликните на формочку «Ask the Author» («Спросить автора»).
Вопрос: Является ли законным прослушивание сети? Ответ: Несмотря на то что использование анализаторов сетевого трафика для диагностики и управления является законным, сетевое наблюдение
Вопрос: Как я могу обнаружить анализатор сетевого трафика в моей сети? Ответ: На данный момент нет стопроцентно надежного метода обнаружения анализаторов трафика; однако существуют утилиты для обнаружения (AntiSniff).
Вопрос: Как я могу защитить себя от прослушивания сетевого трафика? Ответ: Шифрование, шифрование и шифрование – единственно правильное решение. Многие новые версии сетевых протоколов также поддерживают расширения, которые предоставляют механизмы защищенной аутентификации.
Вопрос: Почему я не могу запустить мой инструмент под Windows? Ответ: Большинство анализаторов сетевого трафика, описанных в данной главе, были написаны под такие платформы, как Linux. Вам обычно необходимо установить инструментарий WinDump, описанный ранее. Вы можете также установить другие утилиты, такие как окружение Gnu.
Вопрос: Могу ли я использовать эти инструменты в беспроводных сетях? Ответ: Да, но для этого необходимо проделать большой объем работ. Прослушивание сетевого трафика не поддерживается стандартными пакетами, которые вы получаете от поставщика. Необходимо найти в Интернете патчи для вашего конкретного драйвера. Вам необходимо также загрузить специальные утилиты, такие как AirSnort, предназначенные для обхождения слабого шифрования, существующего в сегодняшних беспроводных сетях. Скорее всего, данное даже и не нужно, так как большинство людей не используют шифрования.
Глава 11 Перехват сеанса
В этой главе обсуждаются следующие темы:
• Основные сведения о перехвате сеанса
• Популярные инструментальные средства перехвата сеанса
• Исследование атак типа MITM в зашифрованных соединениях
· Резюме
· Конспект
· Часто задаваемые вопросы
Введение
Термин «перехват сеанса» (session hijacking) означает способность атакующего захватывать часть сеанса (часто – сетевой диалог) и вести себя как один из его участников. Перехват сеанса обычно является частью прослушивания сетевого трафика (снифинга), отличаясь от него тем, что снифинг осуществляется пассивно, а перехват сеанса требует активных действий.
Перехват сеанса использует недостатки, присущие большинству типов сетей и протоколов без шифрования данных. Главным из них является передача информации в открытом виде. Те же самые недостатки используются при снифинге. Но при перехвате сеанса, вдобавок к мониторингу, злоумышленник может вставлять пакет или кадр, претендуя на роль одного из хостов. Подобные действия аналогичны действиям при получении доступа обманным путем (спуфинге), за исключением того, что не нужно ничего угадывать – вся необходимая информация уже доступна злоумышленнику.
В этой главе будет выяснено, чего могут достичь злоумышленники при перехвате сеанса, и будут рассмотрены современные инструментальные средства перехвата сеанса.
Основные сведения о перехвате сеанса
Лучше всего объяснить перехват сеанса на примере. Представьте, что злоумышленник случайно или в результате успешной для него атаки получил возможность наблюдать за трафиком между двумя машинами. Одна из машин – сервер, который он пытается взломать. Очевидно, что другая – клиент. В нашем примере злоумышленник перехватывает подключение суперпользователя (root user) к серверу через сервис Telnet и считывает из него пароль, но только для того, чтобы выяснить, является ли украденный им пароль одноразовым паролем s\key. Как можно понять из названия, одноразовые пароли используются один раз, поэтому если кто-нибудь, прослушивая сетевой трафик, завладеет им, то пароль не принесет ему никакой выгоды, поскольку он уже был использован.
Что предпринимает злоумышленник? Он делает очень простые вещи. Злоумышленник посылает пакет с подходящими данными в заголовке пакета, последовательными номерами и данными, выглядящими примерно так:
<cr> echo + + > /.rhosts <cr>
где <cr> – символ возврата каретки. Прежде чем стать полезной для злоумышленника, эта команда предполагает выполнение некоторых дополнительных условий. Но тем не менее она иллюстрирует суть дела. Если доступен какой-нибудь
Инструментарий и ловушки
А может быть, Unix?
Не хочется начинать религиозную войну, но если читатель профессионал в области безопасности информационных технологий и до сих пор использовал только Windows, то однажды он обнаружит, что ему просто необходимо поработать с одной из UNIX-систем. Единственная причина этого решения, с которой никто не сможет поспорить, заключается в том, что некоторые инструментальные средства обеспечения безопасности предназначены для работы в Unix или ей подобной операционной системе. В рамках обсуждаемой проблемы будем называть системой UNIX любую из перечисленных операционных систем: Linux, любую из операционных систем семейства BSD или любую из коммерческих UNIX-систем. Официально UNIX является зарегистрированной торговой маркой и ее можно применить только к нескольким операционным системам, разработанным Santa Cruz Operation (SCO), и лицензиям, но при компиляции программ вопросы о торговых марках обычно малоинтересны.
Итак, какую же систему использовать? Разумно воспользоваться свободно распространяемой операционной системой для того, чтобы избежать лишних расходов. Скорее всего, исследователь захочет нечто, что запускается на одном из процессоров линейки Intel x86 так, чтобы можно было использовать старый Windows или же выбирать Windows как одну из систем, предлагаемых при загрузке. Linux, вероятно, является самой простой операционной системой с точки зрения экспериментирования с инструментальными средствами обеспечения безопасности. Из-за большого количества пользователей операционной системы Linux большинство подобных инструментальных средств снабжены инструкциями по использованию в Linux. Некоторые инструментальные средства, например как программа Hunt, работают только в Linux. Однако Linux – не самая защищенная UNIX-система, если это, конечно, представляет интерес. Если исследователь пользуется инструментальными средствами обеспечения безопасности, то собранная с их помощью информация о своей сети должна быть надежно защищена. Для специалистов в области компьютерной безопасности более всего подходит операционная система OpenBSD, поскольку она является одной из немногих операционных систем, при проектировании которой особое внимание уделялось обеспечению ее безопасности, и то, насколько это удалось, OpenBSD успешно демонстрирует. Другой чрезвычайно интересной UNIX-системой является Trinux. Фактически Trinux является специально распространяемой версией Linux. Она особенно полезна по двум причинам. Во-первых, она поставляется вместе с набором инструментальных средств обеспечения безопасности, которые уже скомпилированы, сконфигурированы и готовы к работе. Во-вторых, она спроектирована для загрузки с дискеты или CD-диска и считывает необходимое ей программное обеспечение с другого диска или жесткого диска с таблицей размещения файлов FAT, или даже FTP/HTTP-серверов. Это означает отсутствие сегментирования диска. Trinux можно найти по адресу: http://trinux.sourceforge.net.
Перехват сеанса TCP
Итак, что скрыто за внешним описанием только что рассмотренного примера перехвата сеанса Telnet? Давайте в общих чертах взглянем на то, каким образом происходит перехват TCP-соединения. Пробуя взломать TCP-соединение, хакер должен учесть все нюансы соединения по протоколу TCP. Прежде всего это порядковые номера, заголовки пакетов TCP и пакеты уведомления с установленным битом ACK.
Не будем приводить здесь полного обзора устройства и принципов работы протоколов TCP/IP, но давайте в качестве напоминания вкратце пройдемся по некоторым относящимся к теме моментам. Вспомним, что TCP-соединение начинается со стандартных трех фаз сеанса квитирования (three-way handshake): клиент посылает синхронизирующий пакет SYN, сервер посылает подтверждающий пакет SYN-ACK, и клиент отвечает уведомлением об успешном приеме данных (пакетом ACK), после чего начинает посылать данные или же ожидает их от сервера. Во время обмена информацией счетчики порядковых номеров (sequence counters) увеличиваются с обеих сторон и получение каждого пакета должно быть подтверждено с помощью посылки пакета с установленным битом ACK. Соединение может быть закрыто при помощи обмена завершающими пакетами (FIN-пакетами) подобно началу установки TCP-соединения. Аварийный разрыв соединения происходит при посылке одним участником соединения другому пакетов возврата в исходное состояние (RST-пакетов).