Тема 23: Проблемы обеспечения безопасности в IP-Сетях
Типовая корпоративная сеть
В настоящее время корпоративные компьютерные сети играют важную роль в деятельности многих организаций. Электронная коммерция из абстрактного понятия все более превращается в реальность. Большинство корпоративных сетей подключены к глобальной сети Internet . Если раньше Internet объединяла небольшое число людей, доверявших друг другу, то сейчас количество её пользователей неуклонно растет и уже составляет сотни миллионов. В связи с этим всё серьёзнее становится угроза внешнего вмешательства в процессы нормального функционирования корпоративных сетей и несанкционированного доступа с их ресурсам со стороны злоумышленников - так называемых "хакеров".
В основе функционирования всемирной сети Internet лежат стандарты IP -сетей. Каждое устройство в такой сети, однозначно идентифицируется своим уникальным IP -адресом. Однако при взаимодействии в IP -сети нельзя быть абсолютно уверенным в подлинности узла (абонента с которым осуществляется обмен информацией), имеющего определённый IP -адрес, т.к. средства программирования позволяют манипулировать адресами отправителя и получателя сетевых пакетов, и уже этот факт является частью проблемы обеспечения безопасности современных сетевых информационных технологий.
Сеть организации может быть либо изолированной от внешнего мира (что очень условно), либо может иметь соединение с Internet . Типичная конфигурация корпоративной сети представлена на рис. 4.23.1
Рис. 4.23.1 Типичная конфигурация сети организации
Подключаясь к сетям общего пользования, организация преследует определённые цели и пытается эффективно решить следующие задачи:
• обеспечить внутренним пользователям доступ к внешним ресурсам. Это, в первую очередь, WWW - ресурсы, FTP - архивы и т.п.;
• предоставить доступ пользователям из внешней сети к некоторым внутренним ресурсам (корпоративному WEB - серверу, FTP - серверу и т.д.);
• обеспечить взаимодействие с удалёнными филиалами и отделениями;
• организовать доступ к ресурсам внутренней сети мобильных пользователей.
Решая перечисленные задачи, организация сталкивается с рядом проблем, связанных с безопасностью. При взаимодействии с удалёнными филиалами и мобильными пользователями по открытым каналам возникает угроза перехвата передаваемой информации. Предоставление всеобщего доступа к внутренним ресурсам порождает угрозу внешних вторжений, имеющих целью получения конфиденциальной информации или выведение из строя узлов внутренней сети.
Вопросы обеспечения безопасности корпоративных сетей удобно рассматривать, выделив несколько уровней информационной инфраструктуры, а именно:
Уровень персонала Уровень приложений Уровень СУБД Уровень ОС Уровень сети |
К уровню сети относятся используемые сетевые протоколы (ТСР/ I Р, NetBEUI , IPX / SPX ), каждый из которых имеет свои особенности, уязвимости и связанные с ними возможные атаки.
К уровню операционных систем (ОС) относятся установленные на узлах корпоративной сети операционные системы ( Windows , UNIX и т. д.).
Следует также выделить уровень систем управления базами данных (СУБД), т.к. это, как правило, неотъемлемая часть любой корпоративной сети.
На четвертом уровне находятся всевозможные приложения, используемые в корпоративной сети. Это может быть программное обеспечение Web -серверов, различные офисные приложения, броузеры и т.п.
И, наконец, на верхнем уровне информационной инфраструктуры находятся пользователи и обслуживающий персонал автоматизированной системы, которому присущи свои уязвимости с точки зрения безопасности.
Далее в качестве примера рассматривается наиболее типичная последовательность действий злоумышленника, делающего попытку проникновения в корпоративную сеть.
Примерный сценарий действий нарушителя
Можно с уверенностью сказать, что нет какой-либо отлаженной технологии проникновения во внутреннюю корпоративную сеть. Многое определяется конкретным стечением обстоятельств, интуицией атакующего и другими факторами. Однако можно выделить несколько общих этапов проведения атаки на корпоративную сеть:
• Сбор сведений
• Попытка получения доступа к наименее защищённому узлу (возможно, с минимальными привилегиями)
• Попытка повышения уровня привилегий или (и) использование узла в качестве платформы для исследования других узлов сети
• Получение полного контроля над одним из узлов или несколькими
Этап 1 - сбор сведений
Сбор необходимых сведений обычно начинается с посещения корпоративного Web -сервера. Основная полученная на этом шаге информация - это доменное имя ( FQDN ) узла и его IP -адрес. Однако на Web -страницах может находиться и другая полезная информация: местонахождение, телефонные номера, имена и электронные адреса, ссылки на другие объекты. Кроме того, комментарии оставленные разработчиком и доступные при просмотре в виде HTML - тоже одна из возможностей получить дополнительную информацию.
Следующий шаг - это получение доменных имён и соответствующих им номеров сетей, относящихся к данной организации. Существует множество баз данных, содержащих подобную информацию, например, InterNIC ( www . intwnic . net ). Для получения информации о Российских Интернет-ресурсах можно воспользоваться базой данных www . ripn . net. Кроме того, имеется масса ресурсов хакерской направленности, типа www.leader.ru / secure, также предоставляющих подобную информацию. Такие общедоступные базы данных поддерживают различные типы запросов к ним, например:
• Доменный (информация о домене);
• Организационный (информация об организации);
• Сетевой (информация о сети с конкретным номером).
Наиболее популярным запросом является доменный, позволяющий получить следующие сведения:
• Имя домена;
• Организация, зарегистрировавшая домен;
• Серверы доменных имён для данного домена ( DNS -серверы).
Дальнейший сбор информации основан на опросе DNS -серверов, адреса которых были получены на предыдущем этапе. Если DNS -служба сконфигурирована без учёта требований безопасности, может оказаться доступной важная информация о внутренних ресурсах. Для сбора информации, предоставляемой службой DNS , могут использоваться многочисленные инструменты, например, утилита Nslookup , входящая в состав Windows NT или её графические разновидности (например, DNS Workshop).
Результатом этого шага является информация о некоторых узлах внутренней сети (в основном о тех, которые доступны снаружи), например, о почтовых серверах, ftp -серверах, www -серверах. Наиболее популярным объектом из числа названных является почтовый сервер, поскольку очень часто почта обрабатывается на узле, где установлен межсетевой экран (МЭ). Из числа этих объектов обычно и выбирается объект атаки. Допустим, что это почтовый сервер. Ещё одним шагом этапа сбора сведений может быть попытка проследить маршрут до выбранного объекта. Для этого используются утилиты tracert (операционные системы семейства Windows ) и traceroute (для UNIX ). Графический вариант - утилита VisualRoute ( www . visualroute . com ).
Далее более детальному исследованию подвергается выбранный узел. Используемый при этом механизм - сканирование портов. Сканирование портов представляет собой процесс
подключения к TCP и UDP -портам узла с целью выявления работающих на нём служб. Для сбора подобной информации используются разнообразные инструменты - сканеры портов. Лучшим из существующих инструментов сканирования является утилита Nmap . С её помощью можно выполнять сканирование узла различными методами (сканирование с установлением соединения, полусканирование, UD Р-сканирование и т. д., более подробно способы сканирования рассматриваются в рамках курса БТО3).
Основные результаты этого этапа
• Операционная система узла (её версия)
• Работающие службы на узле (их версии)
• Роль узла в корпоративной сети.
Допустим, что на выбранном объекте - почтовом сервере установлена служба I МАР4, а по её приглашению («баннеру») и номеру версии определена версия ОС объекта атаки -допустим, это Linux .
Этап 2 - попытка получения доступа к узлу Поиск необходимых инструментов
При проведении атаки используются уязвимости конкретных служб, ОС и т. д. На основе известной версии службы (в данном случае MAP ) можно найти программу, так называемый «эксплойт», которая позволит осуществить атаку. Главная опасность заключается в том, что необходимые инструменты легко доступны и их применение не требует высокой квалификации. Служба MAP , рассматриваемая в данном примере, имеет несколько уязвимостей, основанных на переполнении буфера. Например, одна из них, позволяющая выполнять команды на узле - объекте атаки, называется imap - authenticate - bo (в базе данных Xforce ), индекс в каталоге CVE для неё CVE -1999-0005. Далее всё зависит от того, была ли устранена на узле данная уязвимость.
На многочисленных ресурсах хакерской направленности (например, www . rootshell . com ) может быть найдена программа, реализующая атаку с использованием обнаруженной уязвимости. Например, программа для использования рассматриваемой уязвимости называется imapd 4 и позволяет перезаписать строку в файле / etc / passwd , соответствующую учётной записи root . Это позволит получить доступ к узлу с правами пользователя root .
Получение доступа к выбранному узлу сети
Итак, злоумышленнику удалось получить доступ к одному из узлов корпоративной сети (почтовому серверу). Что дальше? Этот узел доступен снаружи и в то же время подключён к внутренней (возможно, недоступной снаружи) части сети. Путём анализа файлов, таких как /etc/hosts , злоумышленником может быть получена дополнительная информация о некоторых внутренних узлах. Кроме того, при использовании аутентификации только на основе IP -адреса к некоторым из них может быть осуществлён доступ с использованием r -команд.
Этап 3 - получение доступа к другим узлам внутренней сети
Внутренние узлы корпоративной сети и работающие на них службы также могут иметь уязвимости. Например, слабая политика по отношению к пользовательским паролям может позволить злоумышленнику подобрать пароли учётных записей какого-либо узла сети. Очень часто пароли учётных записей с администраторскими привилегиями совпадают для различных узлов, что также может быть использовано злоумышленником. В целом дальнейшие действия определяются и операционными системами внутренних узлов сети, целями, преследуемыми нарушителем и т. д.
Этап 4 - получение полного контроля над одним из узлов
Обычно последним шагом следует попытка оставить серверную часть какого-либо троянского коня на узле корпоративной сети, к которому был получен доступ с целью получения контроля над этим узлом и (возможно) некоторыми другими.
Основной вывод, который можно сделать из рассмотренного сценария - защищённость системы в целом определяется защищённостью её наиболее слабого звена (в данном примере слабым звеном оказался почтовый сервер). К тому же, ясно, что ключевым механизмом защиты является процесс поиска и устранения уязвимостей. Далее рассматриваются различные варианты классификации уязвимостей и источники оперативной информации об обнаруженных уязвимостях.