Защита от хакеров корпоративных сетей
Шрифт:
Информацию по настройке Squid для осуществления прозрачного представительства можно найти на странице www.squid-cache.org/Doc/FAQ/FAQ-17.html. Помимо прочего, на странице записаны инструкции по настройке Squid для Linux, BSD, Solaris и даже для IOS Cisco. Обычно Squid обнаруживает себя из-за небольших изменений HTTP-запросов, но программным путем этого можно легко избежать.
Завершающим шагом является модификация кода кэширования Squid для передачи ложного файла с расширением. exe вместо затребованного настоящего. Однажды обманув людей и заставив их поверить в то, что они загружают легитимные исполняемые файлы напрямую с сайта производителя, в то время как на самом деле они загружают файлы злоумышленника, злоумышленник гарантированно сможет внедрить троянского
Приоткрывая завесу
«Используй силу, Лука…»
Стандарты – лучшие друзья злоумышленника. Он получает доступ к той же информации, что и пользователь. Фактически все, что происходит в сети пользователя, злоумышленник знает как свои пять пальцев. Если пользователь не знаком c Запросами на комментарии RFC (RFC – Requests for Comments, Запросы на комментарии. Серия документов IETF, начатая в 1969 году и содержащая описания набора протоколов Интернет и связанную с ними информацию) так же хорошо, как ее знает злоумышленник, пользователя ждут большие неприятности. Пользователю следует потратить некоторое время на сосредоточенное изучение руководящей информации по использованию протоколов своей сети, особенно новых стандартов. Хороший источник Запросов на комментарии RFC -rfc-editor.org. Необходимо время на отслеживание последних найденных уязвимостей и слабых мест в системе безопасности компьютеров, так что пользователю следует выделить достаточно времени в своем расписании для лабораторных исследований. В Интернете можно найти много различной информации по изъянам систем защиты. Вот постоянные места встреч злоумышленников:
• конференции (сетевые службы, рассылающие информацию по определенной теме) типа: alt.hackers.malicious, alt.2600 и alt.hacking;
• чаты, посвященные обсуждению проблем взлома компьютерных систем.
Кроме того, полезными могут оказаться такие машины поиска в сети Интернет (инструментальные средства, предназначенные для отсеивания информации, не относящейся к теме запроса), или, другими словами, поисковики, как, например, astalavistabox.sk и securityfocus.com. Они содержат множество ссылок на новейшие сайты. Эти сайты имеют тенденцию постоянно перемещаться, что объясняется расположенной на них информацией. Поэтому ссылки на них должны все время обновляться.
Атаки на протокол разрешения адресов ARP
Другим способом удостовериться злоумышленнику в том, что все пакеты атакованной машины проходят через его машину, является модификация ARP таблицы на машине жертвы (машинах жертв). ARP-таблицы обеспечивают преобразование MAC-адресов (MAC – Media Access Control, протокол управления доступом к передающей среде. Подуровень канального уровня, задающий методы доступа к среде, формат кадров, способ адресации) в IP-адреса на каждой машине. ARP разработан как динамический протокол, поэтому при добавлении новых машин к сети или при присваивании машинам по разным причинам новых MAC-адресов адреса машин в сети обновляются автоматически в течение сравнительно короткого периода времени. В этом протоколе не предусмотрено никакой аутентификации.
Когда машина жертвы выдает широковещательный запрос (передает одно сообщение сразу всем станциям сети) определения MAC-адреса, соответствующего какому-либо IP-адресу (возможно, это IP-адрес шлюза по умолчанию на машине жертвы), все, что нужно сделать злоумышленнику, – это успеть ответить на него до того, как ответит настоящая машина. Это – классическое состояние гонок. Злоумышленник может повысить свои шансы на успех, загрузив истинный шлюз дополнительной работой, чтобы он не смог слишком быстро ответить.
До тех пор, пока злоумышленник будет правильно транслировать трафик
Инструментарием проведения ARP-атак является программа grat_arp, которая из-за отсутствия официального имени так и называется. Программа grat_arp была написана Мудге (Mudge) и некоторыми его неизвестными друзьями, как он сам это утверждает. Ее можно найти в разных местах, например по адресу www.securityfocus.com/archive/82/28493. Хорошая статья на данную тему (вместе с прилагаемой программой send_arp.c) расположена по адресу www.securityfocus.com/archive/1/7665.
В дополнение к вышесказанному может быть использована упоминавшаяся в главе 10 программа arpspoof. Она является частью инструментального средства dsniff, доступного на www.monkey.org/~dugsong/dsniff. Программа arpspoof выполняет большую часть работы в автоматическом режиме.
Некоторые из упомянутых выше функциональных возможностей встроены в программу Hunt, которая будет описана ниже в этой главе, в специально посвященном ей пункте.
Заметьте, что ухищрения с протоколом ARP хороши не только для злоумышленника, позволяя ему перенаправлять трафик через свою машину. Их можно использовать для мониторинга всего трафика при переключении конфигурации сети. Обычно когда между машиной злоумышленника и машиной жертвы расположен коммутатор (или любой из мостов уровня канала передачи данных), злоумышленник не может наблюдать за трафиком машины жертвы. Эксперименты с протоколом ARP – один из путей решения этой проблемы. Подробнее об этом рассказано в главе 10.
Перехват пользовательского протокола данных UDP
После рассмотрения основных сведений о перехвате сеанса TCP остальное будет несложно. Проблемы, с которыми злоумышленник сталкивается при перехвате сеанса TCP, обусловлены встроенными защитными механизмами, повышающими надежность его работы. Если бы не было последовательных номеров, механизма уведомления ASK и других вещей, используемых протоколом TCP для повышения надежности доставки пакетов адресату, злоумышленнику было бы гораздо проще жить. Догадываетесь, куда клонит автор? У пользовательского протокола данных UDP нет этих защитных механизмов. По крайней мере, даже если они и есть, то они не реализованы в той степени, как в протоколе TCP. Тем не менее разработчик протокола может реализовать необходимые ему защитные механизмы протокола TCP поверх протокола UDP. Известно об очень немногих попытках реализации даже малой части защитных механизмов протокола TCP. В сетевой файловой системе NFS реализовано что-то похожее на последовательные номера и возможности ретрансляции, но гораздо проще, чем в протоколе TCP.
Поэтому чаще всего похищение UDP-сессий сводится к состоянию гонок: кто быстрее сможет получить отклик в виде соответствующего пакета – злоумышленник или легитимный сервер с клиентом? Чаще всего в гонке выигрывает злоумышленник, поскольку у него всегда есть возможность подготовиться к атаке. Злоумышленнику необходимы инструментальные средства, с помощью которых он мог бы наблюдать за запросами, генерировать фальсифицированный ответ настолько быстро, насколько это возможно, а затем вбрасывать его в сеть.