Тестирование Сетевой Безопасности
•Télécharger en tant que PPTX, PDF•
2 j'aime•2,494 vues
SQA Days 11. День 2. Cекция C Руфина Сарварова Fujitsu Казань, Россия
Recommandé
Recommandé
Contenu connexe
Similaire à Тестирование Сетевой Безопасности
Similaire à Тестирование Сетевой Безопасности (20)
Plus de SQALab
Plus de SQALab (20)
Тестирование Сетевой Безопасности
- 1. Тестирование Сетевой Безопасности Сарварова Руфина. Fujitsu Казань
- 2. Agenda • Сбор информации • Сканирование • Атаки: – Фрагментация данных – Ping/Syn Flooding – Land – Нестандартные протоколы, инкапсулированные в IP – Атака smurf – Атака IP spoofing – Навязывание пакетов – Навязывание хосту ложного маршрута с помощью протокола ICMP – Sniffing – Человек посередине
- 3. Anonymous 28 ноября • Операция «Расплата» 2010 года 19 января • «Правительство отключило Megaupload? Через 15 минут группа Anonymous отключит 2012 года правительственные сайты и сайты звукозаписывающих компаний» 6 января • на сайт Европарламента обрушилась мощная DDoS-атака Anonymous после подписания 2012 года Польшей Торгового соглашения по борьбе с контрафакцией 3 февраля • «Анонимус» перехватили телеконференцию ФБР и Скотланд-Ярда, участники которой обсуждали 2012 меры борьбы с хакерами. Январь • Операция «Россия» (Op Russia) 2012
- 4. Сбор информации • Ping fujitsu.com • Nslookup fujitsu.com • Whois fujitsu.com owner-organization: Fujitsu Limited owner-name: Domain Administrator owner-street: 4-1-1 Kamikodanaka, Nakahara-ku owner-city: Kawasaki owner-state: Kanagawa owner-zip: 211-8588 owner-country: JP owner-phone: +81.362522503 owner-fax: +81.362522944 owner-email: domain.master@brights.jp …
- 6. • inetnum: 62.7.86.192 - 62.7.86.207 netname: FUJITSU descr: FTIP003151044 Fujitsu Ltd country: GB admin-c: NB3291-RIPE tech-c: NB3291-RIPE status: ASSIGNED PA mnt-by: BTNET-MNT mnt-lower: BTNET-MNT mnt-routes: BTNET-MNT remarks: Please send abuse notification to abuse@bt.net remarks: Please send delisting issues to btnetdns@bt.net remarks: This range is statically assigned source: RIPE #Filtered
- 7. Виды сканирования: SYN-сканирование TCP-сканирование UDP-сканирование ACK-сканирование FIN-сканирование
- 8. Инструменты сканирования • Xspider, MaxPatrol • Fping, tracerout • IP-Tools • Nessus • Burb Suite • LanSpy • Nmap
- 9. HTTPrint
- 10. HTTPrint
- 11. LanSpy
- 13. LanScope
- 15. Фрагментация данных • На компьютер-жертву передается несколько фрагментированных IP пакетов, которые при сборке образуют один пакет размером более 64К (максимальный размер IP пакета равен 64К минус длина заголовка).
- 16. Фрагменты заголовков #nmap –f –sS –p 53 host1.local tcpdump: truncated-tcp 14 (frag 2301:14@0+) host2.local > host1.local (frag 2301:6@14) truncated-tcp 14 (frag 1321:14@0+)
- 17. Атака Ping flooding • Ping посылает ICMP-пакет типа ECHO REQUEST, выставляя в нем время и его идентификатор. Ядро машины-получателя отвечает на подобный запрос пакетом ICMP ECHO REPLY. Получив его, ping выдает скорость прохождения пакета.
- 18. Атака SYN flooding • Затопление SYN-пакетами основано на переполнении очереди сервера, после чего сервер перестает отвечать на запросы пользователей.
- 19. Инструменты Syn Flooding • eic2 • Usage : eic -p -r -h -w • -h | —host : Target host name or IP address -r | —protocol : IP protocol, value of TCP or UDP -p | —port : valid values 0 — 65535 -w | —wait : Number of seconds to wait
- 20. Атака Land Передача на открытый порт компьютера-жертвы ТСР- пакета с установленным флагом SYN, причем исходный адрес и порт такого пакета соответственно равны адресу и порту атакуемого компьютера.
- 21. Нестандартные протоколы, инкапсулирова нные в IP • Злоумышленники могут использовать нестандартное значение поля, определяющего протокол инкапсулированного пакета, для передачи данных, которые не будут фиксироваться стандартными средствами контроля информационных потоков
- 22. Атака smurf • Атака smurf заключается в передаче в сеть широковещательных ICMP запросов от имени компьютера-жертвы.
- 23. Атака IP spoofing • Передача на компьютер-жертву сообщения от имени другого компьютера внутренней сети
- 24. Навязывание пакетов • Злоумышленник отправляет в сеть пакеты с ложным обратным адресом. С помощью этой атаки злоумышленник может переключать на свой компьютер соединения, установленные между другими компьютерами.
- 25. Навязывание хосту ложного маршрута с помощью протокола ICMP • Посылка ложного redirect-сообщения от имени маршрутизатора на атакуемый хост.
- 26. Sniffing — прослушивание канала • Рабочая станция может принимать пакеты, адресованные другим компьютерам того же сегмента сети.
- 27. Инструменты: • Aircrack-ng • tcpdump • Wireshark • Iris • Network General • LanGrabber • Observer • Fiddler • Packetyzer
- 29. Man In The Middle Обмен открытыми ключами Внедрение вредоносного кода Downgrade Attack • SSH V1 вместо SSH V2 • Ipsec • PPTP
- 30. MITN инструменты • Dsniff • arp-sk • Cain and Abel • AirJack • Karma • 4g8
- 31. Хакеры среди нас
Notes de l'éditeur
- Сегодня я хочу вам рассказать о тестировании сетевой безопасности, а именно:Рассмотрим этапы сбора информации, сканирования, и собственно рассмотрим возможные атаки на сетевом и канальном уровнях.
- Все вы наверняка слышали об Анонимусах и их «злодеяниях». Самые известные из нихОперация Расплата.Серия DDOS- и прочих атак (в.ч. взломов) на сайты организаций и частных лиц, продвигающих законы об авторском праве, ограничении свободы в интернете, занимающихся поиском и преследованием так называемых «пиратов».Продолжение «Операция «Расплата»» получила в связи с арестом Джулиана Ассанжа, основателя сайта Wikileaks. Тогда были взломаны:PayPal,Mastercard, Visa , Банк PostFinance , Сайт сенатора Joe ,Сайт шведского правительства,Сайт шведской прокуратуры,Портал интернет-магазина Amazon.com.19 января 2012 года сайт MegaUpload был закрыт. В знак протеста была проведена крупнейшая, по заявлению Anonymous, в истории Интернет DDoS-атака с применением LOIC.На несколько часов были выведены из строя сайты Федерального бюро расследований, Белого дома, Министерства юстиции, холдинга звукозаписи Universal Music Group, Американской ассоциации звукозаписывающих компаний, Американской ассоциации кинокомпаний, Американского управления авторского права.6 января 2012 года на сайт Европарламента обрушилась мощная DDoS-атака Anonymous после подписания Польшей Торгового соглашения по борьбе с контрафакцией3 февраля 2012 года «Анонимус» перехватили телеконференцию ФБР и Скотланд-Ярда, участники которой обсуждали меры борьбы с хакерами.В конце января 2012 года хакеры, называющие себя участниками международной группировки Anonymous начали выкладывать взломанную переписку высокопоставленных функционеров Росмолодёжии движения «Наши»в которой, в частности предположительно фигурировали показатели теневой финансовой деятельности проправительственных организаций и частных лицЯ думаю, не стоит объяснять зачем, почему и в каких случаях нужно тестировать сетевую безопастность поэтому приступим к изучению инструментов.
- Никакой взлом не обходиться без предварительного сбора информации и данных. И чем больше данных, тем больше шанс удачно провести взлом или атаку.На данный момент у любой уважающей себя организации есть свой сайт или просто страничка в Интернете, в которой содержится информация о деятельности организации, продуктах или услугах, которые она предоставляет и контактная информация Нам необходимо узнать IP адрес сайта для этого можно воспользоваться командой ping.Но в этом есть один недостаток, организация может иметь зеркала своего сайта (чтобы в случае отказа одного сервера сайт продолжал работать на другом без отрыва от производства) или на сервере запрещены ICMP пакеты. Тогда воспользуемся командой nslookup. Дальше выясним кому принадлежат данные IP адреса. Заходим на www.ripe.net вбиваем туда IP адрес и получаем информацию:
- После сбора информации можно приступать к скнаированию.На слайде пердставлены виды сканирования.Проверка онлайнаВ ряде случаев, прежде чем начать собственно сканирование, является полезной проверка наличия работающей системы на целевом IP-адресе. Эта задача может быть решена путём посылки Echo-сообщений протокола ICMP с помощью утилиты ping c последовательным перебором всех адресов сети или отправкой Echo-сообщения по широковещательному адресу.Анализируя трафик и отслеживая Echo-сообщения, посылаемые за короткий промежуток времени всем узлом, можно выявить попытки сканирования. Вместо Echo-сообщений могут применяться TCP-сегменты с code bit RST, ответы на несуществующие DNS-запросы. Если сканер получит в ответ ICMP Destination Unreachable пакет с кодом 1 (host unreachable), то значит, тестируемый узел выключен или не подключен к сети.Следует иметь в виду, что (на практике) неполучение ответа на запросы не гарантирует несуществование хоста, поскольку многие системные администраторы ради «безопасности» идут на нарушение сетевых стандартов.SYN-сканированиеДанный тип сканирования является наиболее популярным. Вместо использования сетевых функций операционной системы, сканер портов сам генерирует IP пакеты, и отслеживает ответы на них. Эту технику часто называют сканированием с использованием полуоткрытых соединений, поскольку полное соединение TCP/IP никогда не открывается. Сканер портов генерирует пакет SYN. Если порт на целевом хосте открыт, с него придёт пакет SYN-ACK. Хост сканера отвечает пакетом RST, закрывая тем самым соединение до того, как процесс установления соединения завершился.Использование самостоятельно сформированных сетевых пакетов имеет ряд преимуществ, давая сканирующей программе полный контроль над посылаемыми пакетами и ответами на них, задержками ответов, и позволяя получить детальные результаты сканирования.Мнения по поводу потенциального вреда, наносимого сканируемому хосту, неоднозначны. С одной стороны, SYN-сканирование имеет то преимущество, что отдельные приложения никогда не получают входящее соединение (оно обрывается на этапе установки), с другой, отправка пакета RST во время установления соединения может вызывать проблемы у некоторых сетевых устройств, особенно простых, таких как сетевые принтеры.TCP-сканированиеДанный более простой метод использует сетевые функции операционной системы, и применяется, когда SYN-сканирование по тем или иным причинам неосуществимо. Операционная система, в случае, если порт открыт, завершает трёхэтапную процедуру установления соединения, и затем сразу закрывает соединение. В противном случае, возвращается код ошибки. Преимуществом данного метода является то, что он не требует от пользователя специальных прав доступа. Тем не менее, использование сетевых функций операционной системы не позволяет производить низкоуровневый контроль, поэтому данный тип используется не столь широко.Главным недостатком данного метода является большое количество открытых и сразу прерванных соединений, создающее нагрузку на сканируемую систему и позволяющее просто обнаружить активность сканера портов.UDP-сканированиеСканирование с помощью пакетов UDP также возможно, хотя имеет ряд особенностей. Для UDP отсутствует понятие соединения, и нет эквивалента TCP-пакету SYN. Тем не менее, если послать UDP-пакет на закрытый порт, система ответит сообщением ICMP «порт недоступен». Отсутствие такого сообщения истолковывается как сигнал того, что порт открыт. Однако, если порт блокируется брандмауэром, метод неверно покажет, что порт открыт. Альтернативным подходом является отправка UDP-пакетов, специфичных для приложения, в расчёте на получения ответа с уровня приложения. Например, отправка запроса DNS на порт 53 приведёт к ответу, если по запрашиваемому адресу имеется DNS-сервер. ACK-сканированиеДанное сканирование применяется для определения, фильтруется данный порт или нет, и особенно эффективен для определения наличия брандмауэров и выяснения их правил. Простая фильтрация пакетов разрешит прохождение пакетов с установленным битом ACK (используемые для уже установленных соединений), тогда как более сложные брандмауэры — нет.FIN-сканированиеНекоторые серверы способны отследить попытку SYN-сканирования их портов. Например, попытка SYN-сканирования может быть распознана по поступлению «поддельных» SYN-пакетов на закрытые порты защищаемого сервера, и в случае опроса нескольких портов сервер разрывает соединение для защиты от сканирования.Сканирование с использованием FIN-пакетов позволяет обойти подобные средства защиты. Согласно RFC 793, на прибывший FIN-пакет на закрытый порт сервер должен ответить пакетом RST. FIN-пакеты на открытые порты должны игнорироваться сервером. По этому различию становится возможным отличить закрытый порт от открытого.Указанной рекомендации RFC 793 придерживаются не все операционные системы. Например, реакция Windows семейства 95/98/NT на приходящий FIN-пакет не различается для открытого и закрытого порта.Другие типы сканированияИ ещё один способ заключается в том, чтобы отправлять сегменты с флагами FIN(no more data from sender), PSH(push function), URG(urgent pointer field significant) либо вообще с пустым полем code bit. Если порт закрыт, то в ответ придёт сегмент с флагом RST, если ответа не будет, то порт открыт (так как такой сегмент просто игнорируется).
- Сканеры. Ска́нер порто́в — программное средство, разработанное для поиска хостов сети, в которых открыты нужные порты. Эти программы обычно используются системными администраторами для проверки безопасности их сетей и злоумышленниками для взлома сети. Может производиться поиск как ряда открытых портов на одном хосте, так и одного определённого порта на многих хостах. Тут уже на любителя кто чем привык пользоваться. И опять же у каждого сканера есть свои плюсы есть свои минусы.Сканеры сетевой безопасности (SSS XSpider) хороши тем что собирают полную информацию показывают какие ошибки присутствуют и как их можно использовать, но при этом очень медлительны. LanSpyЭта программа за несколько секунд исследует удалённый компьютер и отобразит информацию, которую она смогла собрать о нём.nmap — свободная утилита, предназначенная для разнообразного настраиваемого сканирования IP-сетей с любым количеством объектов, определения состояния объектов сканируемой сети (портов и соответствующих им служб). Изначально программа была реализована для систем UNIX, но сейчас доступны версии для множества операционных систем.Nmap использует множество различных методов сканирования, таких как UDP, TCP (connect), TCP SYN (полуоткрытое), FTP proxy (прорыв через ftp), Reverse-ident, ICMP (ping), FIN, ACK, Xmas tree, SYN- и NULL-сканирование. Nmap («Network Mapper») это бесплатная утилита с открытым исходным кодом для анализа сети и аудита безопасности систем. Яростные противники консоли могут использовать Zenmap, это GUI к Nmap'у.Это не просто «умный» сканер, это серьезный расширяемый инструмент (из «необычных фишек» — наличие скрипта для проверки узла на наличие червя "Stuxnet" (упоминалось тут). Типовой пример использования:nmap –sS –sV –O -P0 oursite.ruПосле того как сканер завершит свою работу мы получим результат. И опять начинаем искать в Интернете информацию по сервисам, которые запущенны на сканируемом сервере. Что нужно искать? Искать нужно сплоиты, баги и фичи, для конкретных версий сервисов.О багах можно смотреть на сайте производителя, очень часто там пишут какие ошибки были исправлены какие нет. Сплоиты также ищутся через поисковик.О методах взлома много информации в Интеренте =)IP-Tools — эдакий набор из разных сетевых утилит, поставляется с GUI, «посвящена» windows юзерам.Сканер портов, общих ресурсов (расшаренные принтеры/папки), WhoIs/Finger/Lookup, telnet клиент и многое другое. Просто удобный, быстрый, функциональный инструмент.fping — Свободно распространяемая утилита для UNIX систем. Проверяет доступность узлов в сети путем посылки ICMP ECHO_REQUEST пакетов. В отличие от стандартной утилиты ping, можно указать сколько угодно узлов в командной строке или указать текстовый файл со списком узлов. Вместо того, чтобы послать запрос ожидать ответа от одного узла fping посылает запрос и переходит к следующему узлу по round-robinBurp Suite – это набор относительно независимых кроссплатформенных приложений, написанных на Java, призванных решать повседневные задачи пентестера. Ядром программы является Burp Proxy, выполняющий функции локального прокси-сервера; остальные компоненты набора – это Spider, Intruder, Repeater, Sequencer, Decoder и Comparer. XSpider — платная (с версии 7, ранее была бесплатной) проприетарная программа-сканер уязвимостей. Выпускается российской фирмой Positive Technologies.MaxPatrolNessus — программа для автоматического поиска известных изъянов в защите информационных систем. Она способна обнаружить наиболее часто встречающиеся виды уязвимостей, например:Наличие уязвимых версий служб или демоновОшибки в конфигурации (например, отсутствие необходимости авторизации на SMTP-сервере)Наличие паролей по умолчанию, пустых, или слабых паролей
- Так выглядит интерфейс утилиты HTTPrint
- Это результат работы HTTPrint – результат fingerprinting.
- LanSpy — это сканер компьютеров в сети, который позволяет получить различную информацию о компьютере. LanSpy за несколько секунд исследует удалённый компьютер и отобразит информацию, которую она смогла собрать о нём: Доменное и NetBios имена, MAC адрес, Информация о сервере, Информация о домене и контроллере домена, Удалённое управление, Время, Диски, Транспорты, Пользователи, Глобальные и Локальные группы пользователей, Настройки безопасности, Разделяемые ресурсы, Сессии, Открытые файлы, Сервисы, Информацию из Реестра и Журнала событий.Есть небольшое но: LanSpy работает в Windows 2000/XP/2003.
- Наконец, мы подошли к атакам.Одна из распространенных атак – фрагментация данных.При передаче пакета данных протокола IP по сети может осуществляться деление этого пакета на несколько фрагментов. Впоследствии, при достижении адресата, пакет восстанавливается из этих фрагментов. Злоумышленник может инициировать посылку большого числа фрагментов, что приводит к переполнению программных буферов на приемной стороне и, в ряде случаев, к аварийному завершению системы.У нас возникла ситуация, когда в сеть пропускаются пакеты, которые не отвечают критериям блокировки, так как отсутствует заголовок идентифицирующий принадлежность пакета к тому или иному виду трафика (tcp, udp, icmp). Если датаграмма с установленным флагом пересекает сеть, где необходима фрагментация, маршрутизатор выясняет это и возвращает посылающему хосту ICMP сообщение об ошибке. Данное сообщение указывает MTU сети, требующей фрагментации (данное ошибочное сообщение может использоваться атакующим для выяснения MTU некоторого сегмента сети где находится интересующая его цель и впоследствии может применять это значение для своих целей, например, для генерирования своих пакетов с данным MTU с целью обхода брандмауэра). Некоторые хосты в зависимости от используемой на них ОС (соответствующего стэка tcp/ip), намеренно посылают в сеть начальную датаграмму с установленным флагом фрагментации, определяя MTU на пути к хосту назначения. Если сообщение об ошибке ICMP возвращается с меньшим MTU, хостом производится пакетирование датаграмм, предназначенных для хоста назначения, в группы, которые малы, чтобы избежать фрагментации. В связи с этим фрагментация снижает эффективность работы сети в целом, поскольку при потере одного фрагмента нужно посылать опять их всех (на данной особенности строятся атаки типа «затопления» фрагментированными пакетами).
- Как осуществить фрагментацию данных?В известном сканере nmap существует опция –f, которая разбивает 20 – байтовые заголовки tcp на несколько фрагментов, что скрывает обнаружение сканирования, например: в результате, происходит фрагментированое соединение SYN с 53 портом хоста host1.local. Рассмотрим результаты, которые выдает проанализируем данные результаты: в первой строке фрагмент с 14 байтами усеченных данных tcp (truncated-tcp), так как минимальный размер заголовка tcp 20 байт, то размер в результате говорит о том что он неполный. В следующей строке дополнительно посылаются еще 6 байт заголовка tcp (формируя таким образом 20 байтовый заголовок tcp), большинство систем обнаружения вторжений не сумеет определить факт сканирования.
- Появился он потому, что программа "ping", предназначенная для оценки качества линии, имеет ключ для "агрессивного" тестирования. В этом режиме запросы посылаются с максимально возможной скоростью и программа позволяет оценить, как работает сеть при максимальной нагрузке. Данная атака требует от злоумышленника доступа к быстрым каналам в Internet. Программа посылает ICMP-пакет типа ECHO REQUEST, выставляя в нем время и его идентификатор. Ядро машины-получателя отвечает на подобный запрос пакетом ICMP ECHO REPLY. Получив его, ping выдает скорость прохождения пакета. в "агрессивном" режиме поток ICMP echo request/reply-пакетов может вызвать перегрузку небольшой линии, лишив ее способности передавать полезную информацию. Естественно, случай с ping является частным случаем более общей ситуации, связанный с перегрузкой каналов. Например, злоумышленник может посылать множество UDP-пакетов на 19-й порт машины-жертвы, и если она, следуя общепринятым правилам, имеет на 19-м UDP-порту знакогенератор, отвечающий на пакеты строчками по 80 байт. ЗАЩИТА:Заметим, что злоумышленник может также подделывать обратный адрес подобных пакетов, затрудняя его обнаружение. Отследить его поможет разве что скоординированная работа специалистов на промежуточных маршрутизаторах, что практически нереально. Одной из вариантов атаки - посылать ICMP echo request-пакеты с исходным адресом, указывающем на жертву, на broadcast-адреса крупных сетей. В результате каждая из машин ответит на этот фальшивый запрос, и машина-отправитель получит больше количество ответов. Посылка множество broadcast-echo requests от имени "жертвы" на broadcast-адреса крупных сетей, можно вызвать резкой заполненение канала "жертвы". Приметы затопления - резко возросшая нагрузка на сеть (или канал) и повышение количество специфических пакетов (таких, как ICMP). В качестве защиты можно порекомендовать настройку маршрутизаторов, при которых они будут фильтровать тот же ICMP трафик, превышающие некоторую заданную заранее величину (пакетов/ед. времени). Для того чтобы убедиться, что Ваши машины не могут служить источником ping flood'а, ограничьте доступ к ping.
- Затопление SYN-пакетами - самый известный способ "забить" информационный канал.ПоRFC если очередь входных соединений уже заполнена, а система получает SYN-пакет, приглашающий к установке соединения,он будет молча проигнорирован. Затопление SYN-пакетами основано на переполнении очереди сервера, после чего сервер перестает отвечать на запросы пользователей. Самая известная атака такого рода - атака на Panix, нью-йоркского провайдера. Panix не работал в течение 2-х недель. В различных системах работа с очередью реализована по разному. Так, в BSD-системах, каждый порт имеет свою собственную очередь размером в 16 элементов. В системах SunOS, напротив, такого разделения и нет и система просто располагает большой общей очередью. Соответственно, для того, что бы заблокировать, к примеру, WWW-порт на BSD достаточно 16 SYN-пакетов, а для Solaris 2.5 их количество будет гораздо больше. После истечение некоторого времени (зависит от реализации) система удаляет запросы из очереди. Однако ничего не мешает злоумышленнику послать новую порцию запросов. Таким образом, даже находясь на соединение 2400 bps, злоумышленник может посылать каждые полторы минуты по 20-30 пакетов на FreeBSD-сервер, поддерживая его в нерабочем состоянии (естественно, эта ошибка была скорректирована в последних версиях FreeBSD).Как обычно, злоумышленник может воспользоваться случайными обратными IP-адресами при формировании пакетов, что затрудняет его обнаружение и фильтрацию его трафика. Защита:Детектирование несложно - большое количество соединений в состоянии SYN_RECEIVED, игнорирование попыток соединится с данным портом. В качестве защиты можно порекомендовать патчи, которые реализуют автоматическое "прорежение" очереди, например, на основе алгоритма Early Random Drop. Для того, что бы узнать, если к Вашей системе защита от SYN-затопления, обратитесь к поставщику системы. Другой вариант защиты - настроить firewall так, что бы все входящие TCP/IP-соединения устанавливал он сам, и только после этого перебрасывал их внутрь сети на заданную машину. Это позволит Вам ограничить syn-затопление и не пропустить его внутрь сети.
- Атака LandПередача на открытый порт компьютера-жертвы ТСР-пакета с установленным флагом SYN, причем исходный адрес и порт такого пакета соответственно равны адресу и порту атакуемого компьютера. компьютер-жертва пытается установить соединение сам с собой, в результате чего сильно возрастает загрузка процессора и может произойти «подвисание» или перезагрузка. Данная атака весьма эффективна на некоторых моделях маршрутизаторов фирмы Cisco Systems, причем успешное применение атаки к маршрутизатору может вывести из строя всю сеть организации. Защита: установив фильтр пакетов между внутренней сетью и Internet, задав на нем правило фильтрации, указывающее подавлять пришедшие из Internet пакеты с исходными IP-адресами компьютеров внутренней сети.
- Пакет IP содержит поле, определяющее протокол инкапсулированного пакета (TCP, UDP, ICMP). Злоумышленники могут использовать нестандартное значение данного поля для передачи данных, которые не будут фиксироваться стандартными средствами контроля информационных потоков.
- Атака smurf заключается в передаче в сеть широковещательных ICMP запросов от имени компьютера-жертвы. В результате компьютеры, принявшие такие широковещательные пакеты, отвечают компьютеру-жертве, что приводит к существенному снижение пропускной способности канала связи и, в ряде случаев, к полной изоляции атакуемой сети. Атака smurf исключительно эффективна и широко распространена.
- Подмена исходного IP адресаБольшое количество атак в сети Интернет связано с подменой исходного IP-адреса. К таким атакам относится и syslog spoofing, которая заключается в передаче на компьютер-жертву сообщения от имени другого компьютера внутренней сети. Поскольку протокол syslog используется для ведения системных журналов, путем передачи ложных сообщений на компьютер-жертву можно навязать информацию или замести следы несанкционированного доступа.Противодействие: выявление атак, связанных с подменой IP-адресов, возможно при контроле получения на одном из интерфейсов пакета с исходным адресом этого же интерфейса или при контроле получения на внешнем интерфейсе пакетов с IP-адресами внутренней сети.
- Злоумышленник отправляет в сеть пакеты с ложным обратным адресом. С помощью этой атаки злоумышленник может переключать на свой компьютер соединения, установленные между другими компьютерами. При этом права доступа злоумышленника становятся равными правам того пользователя, чье соединение с сервером было переключено на компьютер злоумышленника.
- Посылка ложного redirect-сообщения от имени маршрутизатора на атакуемый хост.В результате у хоста изменяется текущая таблица маршрутизации и, в дальнейшем, весь сетевой трафик данного хоста будет проходить, например, через хост, отославший ложное redirect-сообщение.
- Возможно только в сегменте локальной сети.Практически все сетевые карты поддерживают возможность перехвата пакетов, передаваемых по общему каналу локальной сети. При этом рабочая станция может принимать пакеты, адресованные другим компьютерам того же сегмента сети. Таким образом, весь информационный обмен в сегменте сети становится доступным злоумышленнику. Для успешной реализации этой атаки компьютер злоумышленника должен располагаться в том же сегменте локальной сети, что и атакуемый компьютер.Перехват трафика может осуществляться:обычным «прослушиванием» сетевого интерфейса (метод эффективен при использовании в сегменте концентраторов (хабов) вместо коммутаторов (свитчей), в противном случае метод малоэффективен, поскольку на сниффер попадают лишь отдельные фреймы);подключением сниффера в разрыв канала;ответвлением (программным или аппаратным) трафика и направлением его копии на сниффер;через анализ побочных электромагнитных излучений и восстановление таким образом прослушиваемого трафика;через атаку на канальном (2) (MAC-spoofing) или сетевом (3) уровне (IP-spoofing), приводящую к перенаправлению трафика жертвы или всего трафика сегмента на сниффер с последующим возвращением трафика в надлежащий адрес.
- Aircrack-ng — набор программ, предназначенных для обнаружения беспроводных сетей, перехвата передаваемого через беспроводные сети трафика, аудита WEP и WPA/WPA2-PSK ключей шифрования (проверка стойкости), в том числе пентеста (Penetration test) беспроводных сетей (подверженность атакам на оборудование и атакам на алгоритмы шифрования). Программа работает с любыми беспроводными сетевыми адаптерами, драйвер которых поддерживает режим мониторинга (список можно найти на сайте программы). Программа работает в операционных системах Windows, UNIX, Linux и Mac OS X. tcpdump — утилита UNIX (есть клон для Windows), позволяющая перехватывать и анализировать сетевой трафик, проходящий через компьютер, на котором запущена данная программа.Wireshark —очень схожа с возможностями программы tcpdump, однако Wireshark имеет графический пользовательский интерфейс и гораздо больше возможностей по сортировке и фильтрации информации.
- Метод , при котором взломщик, подключившись к каналу между контрагентами, осуществляет активное вмешательство в протокол передачи, удаляя, искажая информацию или навязывая ложную.Сценарии атак:Обмен открытыми ключамиВнедрение вредоносного кода Downgrade AttackSSH V1 вместо SSH V2IpsecPPTPОбмен открытыми ключамиВ случае системы с открытым ключом, криптоаналитик может перехватить сообщения обмена открытыми ключами между клиентом и сервером и изменить их, как в примере выше. Для того, чтобы оставаться незамеченным, криптоаналитик должен перехватывать все сообщения между клиентом и сервером и шифровать и расшифровывать их соответствующими ключами. Внедрение вредоносного кодаВнедрение кода в атаке человек посередине главным образом применяется для захвата уже авторизованной сессии, выполнения собственных команд на сервере и отправки ложных ответов клиенту.Атака человек посередине позволяет криптоаналитику вставлять свой код в электронные письма, SQL выражения и веб-страницы (то есть позволяет осуществлять SQL инъекции, HTML/script инъекции или межсайтовый скриптинг), и даже модифицировать бинарные файлы загружаемые пользователем для того, чтобы получить доступ к учетной записи пользователя или изменить поведение программы, скачанной пользователем из интернета.Downgrade AttackТермином «Downgrade Attack» называют такую атаку, при которой криптоаналитик вынуждает пользователя использовать менее безопасные функции, протоколы, которые все еще поддерживаются из соображений совместимости. Такой вид атаки может быть проведен на протоколы SSH, IPsec и PPTP.SSH V1 вместо SSH V2Атакующий может попытаться изменить параметры соединения между сервером и клиентом при установлении между ними соединения. Согласно докладу, сделанному на конференции Blackhat Conference Europe 2003, криптоаналитик может «заставить» клиента начать сессию SSH1 вместо SSH2 изменив номер версии «1.99» для SSH сессии на «1.51», что означает использование SSH V1. Протокол SSH-1 имеет уязвимости, которыми может воспользоваться криптоаналитик.IPsecПри таком сценарии атаки криптоаналитик вводит свою жертву в заблуждение, заставляя ее думать, что IPsec сессия не может начаться на другом конце (сервере). Это приводит к тому, что сообщения будут пересылаться в явном виде, в случае если хост-машина работает в rollback режиме.PPTPНа этапе согласования параметров PPTP сессии атакующий может вынудить жертву использовать менее безопасную PAP аутентификацию, MSCHAP V1 (то есть «откатиться» с MSCHAP V2 до версии 1) либо не использовать шифрование вообще.Атакующий может вынудить свою жертву повторить этап согласование параметров PPTP сессии (послать Terminate-Ack пакет), выкрасть пароль из существующего туннеля и повторить атаку.Однако в случае, если клиент и сервер общаются по HTTPS — протоколу поддерживающему шифрование — тоже может быть проведена атака человек посередине. При таком виде соединения используется TLS или SSL для шифрования запросов, что, казалось бы, делает канал защищенным от сниффинга и MITM-атак. Атакующий может для каждого TCP-соединения создать две независимые SSL-сессии. Клиент устанавливает SSL-соединение с атакующим, тот в свою очередь создает соединение с сервером. Браузер в таких случаях обычно предупреждает о том, что сертификат не подписан доверенным центром сертификации, но рядовой пользователь с легкостью игнорирует данное предупреждение. К тому же, у злоумышленника может оказаться сертификат подписанный центром сертификации. Таким образом, HTTPS протокол нельзя считать защищенным от MITM-атак.Для обнаружения атаки человек посередине необходимо проанализировать сетевой трафик. К примеру, для детектирования атаки по SSL следует обратить внимание на следующие параметры:IP адрес сервераDNS-серверX.509 сертификат сервераПодписан ли сертификат самостоятельно?Подписан ли сертификат CA?Был ли сертификат аннулирован?Менялся ли сертификат недавно?Получали ли другие клиенты в интернете такой же сертификат?
- Специалисты из Positive Technologies утверждают1-2 дня достаточно чтобы «пройти» периметр и стать пользователем внутренней сети4 часов достаточно для получения максимальных привилегий доступа, находясь во внутренней сети....В течение 10 минут найдем как минимум 1 критическую уязвимость в 8-ми из 10-ти сайтов госучреждений= Обладая достаточными привилегиями можно оставаться незамеченными в информационной системе сколь угодно долгоКаждый 5-й пользователь использует «слабый» пароль