Анализ трафика для некоторых сценариев сетевых атак
Одной из наиболее опасных угроз является угроза раскрытия, т. е. утечки конфиденциальной информации. Корпоративные сети, как минимум, на уровне рабочих групп больших предприятий, а также мелких офисов, используют один из популярных стандартов локальных сетей (чаще Ethernet), представляющих единую разделяемую по времени всеми компьютерами физическую среду передачи данных. Такой подход резко удешевляет создание КС за счет минимизации затрат на оборудование и прокладку кабеля, но в то же время обеспечивает доступ каждого компьютера абсолютно ко всем сетевым пакетам, передаваемым в рамках данной сети.
Именно широковещательный аспект в работе большинства локальных сетей таит в себе потенциальную опасность для реализации разного вида атак, и, как будет показано ниже, прослушивание канала связи является непременным условием для проведения большинства атак.
В результате прослушивания каналов связи злоумышленник может получить всю необходимую ему информацию о КС (структура сети, используемые службы и сервисы, адреса хостов и серверов, имена, а иногда и пароли пользователей, маршрутная информация, временные графики работы узлов в сети и т.д.).
Исходя из перечисленных фактов, непременным условием для успешной борьбы не только с внешними, но и, что гораздо сложнее, с внутренними типами атак является оперативное выявление фактов прослушивания каналов связи.
Прослушивание канала является пассивным типом атаки, не оставляющего никаких следов в общем объеме сетевого трафика. Борьба с пассивным типом атаки невозможна путем пассивного наблюдения за поведением сетевого трафика. Нужны активные периодические мероприятия, направленные на выявление работы программы захвата сетевых пакетов - программы сниффера.
Задача выявления работы таких программ может быть реализована с помощью активного воздействия на программу сниффера, основанного на известном факте независимости работы программных модулей, работающих на различных сетевых уровнях модели OSI.
Периодическое сниффер-сканирование трафика сети (например, каждые 10 минут) не оставляет возможности для злоумышленника не только производить прослушивание сегмента сети, но и использовать данную подсеть в качестве плацдарма для осуществления других типов удаленных атак.
Важным элементом по мониторингу состояния КС является проверка соответствия MAC-адресов сетевых адаптеров ПК в КС выданным при регистрации IP-адресам, а также отсутствия в сети компьютеров с незарегистрированными IP-адресами. В связи с невозможностью применить программу прослушивания сети может оказаться заманчивым использовать чужой MAC-адрес, IP-адрес или NETBIOS компьютера.
Проектируемая система должна поддерживать базу данных по оборудованию компьютеров в данной локальной сети [2] и на основе протокола ICMP (например, с помощью программы NBTSTAT.EXE) обеспечивается возможность контроля соответствия этих трех адресов адресам, зарегистрированным в базе данных. Такой дополнительный контроль несколько увеличивает служебный трафик в КС, однако, он является исключительно действенным инструментом в обеспечении безопасности КС.
3. Технологические особенности работы ARP-сервера в сетях TCP/IP
К сожалению, адрес сетевого адаптера (MAC-адрес) не позволяет строить большие распределенные сети, так как в нем нет возможности (параметра) для группирования компьютеров по территориальному признаку для создания подсетей. Однако он однозначно и автоматически идентифицирует компьютер в рамках конкретного сегмента сети. Кроме того, для идентификации конкретного компьютера в КС применяются разные адреса на разных уровнях OSI: на канальном уровне MAC-адрес, на сетевом IP-адрес, используются также и символьные адреса. Это может быть одной из причин технологической уязвимости, используемой для реализации сетевых атак.
Задачу поиска MAC-адреса по IP-адресу выполняет протокол сетевого уровня ARP (Address Resolution Protocol). Анализ протокола ARP показывает, что на его основе существует возможность проведения атаки с внедрением в сеть ложного объекта. В результате такой атаки можно изменить маршрут следования пакетов и, соответственно, отвести на компьютер злоумышленника трафик с интересующего его сетевого хоста. Для КС на основе концентраторов такая атака теряет смысл, так как злоумышленник может легко получить доступ к трафику любого из сетевых компьютеров, воспользовавшись программой сниффера.
Иная ситуация имеет место для сетей, разбитых на сегменты с помощью коммутаторов. В этом случае атака на основе протокола ARP является наиболее вероятной. В таких условиях возможен следующий сценарий внедрения ложного ARP-сервера:
· ожидание широковещательного ARP-запроса от ПК одного из легальных пользователей системы дистанционного обучения, обладающего необходимыми привилегиями; этот запрос идентифицирует пользователя, который собирается работать с сервером;
· после получения такого запроса осуществляется передача на запросивший хост ложного ARP-ответа, где указывается MAC-адрес атакующей станции и IP-адрес затребованного сервера дистанционного обучения.
При этом следует заметить, что, например, OC Windows меняет свою ARP-таблицу в момент прихода ARP-ответа, даже если компьютер не посылал запроса. Поэтому злоумышленнику необязательно даже торопиться с посылкой ложного ответа. Такой ответ может быть послан сразу же после ARP-ответа сервера, так как в ARP-таблице атакованного компьютера-клиента остается лишь соответствие IP- и MAC-адресов последнего ответа.
Далее легальный пользователь попытается зарегистрироваться в системе под своим именем и паролем. Однако, начиная с этого момента, все пакеты будут направляться на компьютер злоумышленника, а уже потом перенаправляться по правильному маршруту.
На первый взгляд может показаться, что невозможно применить систему анализа сетевых атак, расположенную на внешнем шлюзе, для обнаружения таких внутрисегментных действий. Однако это не так, поскольку упущена одна небольшая деталь. Дело в том, что прием пакетов от обманутой сетевой станции атакующим будет невозможен без перевода сетевого адаптера в режим сниффера либо без изменения IP-адреса, так как пакеты будут приходить с правильным MAC-адресом, но содержать IP-адрес сервера дистанционного обеспечения. Поэтому в этом случае пакеты будут отбрасываться не на канальном уровне (т.е. сетевым адаптером), а модулем 1Р-протокола, и атака не достигнет своей цели.