Максимальная Безопасность:

Руководство Хакера по Защите Вашего Internet Сайта и Сети

Предыдущая главаСледующая главаСодержание

28

Нападения Обманом

Никогда не было больше споров о методике взлома чем о IP обмане. IP обман относительно наименее понятный метод получения несанкционированного входа в компьютерную систему. Например, хорошо разглашенный случай фальсификации произошел в декабре, 1994. John Markoff, в соей статье, которая появилась в "Нью-Йорк Таймс" озаглавленной "New Form of Attack on Computers Linked to Internet is Uncovered" ("Раскрыта Новая Форма Нападения на Компьютеры, Связанные с Internet", сообщал:

Первое известное нападение, использующее новую методику, имело место на Рождество против компьютера известного эксперта компьютерной безопасности в Суперкомпьютерном Центре Сан Diego. Индивидуум или группа неизвестных злоумышленников заняли его компьютер на более чем день и с помощью электроники захватили большое количество программ безопасности, которые он разработал.

Этот отчет не был полностью точен. Методика IP обмана не была "нова", и при этом не была "открыта". Скорее, она была известна за более чем десятилетие, что IP обман был возможен. По моим знаниям первый документ написанный по этой теме был издан в феврале 1985. Он был озаглавлен "A Weakness in the 4.2BSD UNIX TCP/IP Software" ("Слабость в 4.2BSD UNIX TCP/IP Программное Обеспечение"), и был написан Robert Morris, инженером AT&T Bell Laboratories в Марри Хилле, Нью-Джерси.

IP Обман

Поскольку я хочу передать информацию о IP обмане настолько точно, насколько это возможно, я буду приближаться к теме медленными шажками. Если Вы уже знаете немного о методике, пропустите раздел озаглавленный "Точка Уязвимости: R Службы".

Я должен немедленно сделать три пункта о IP Обмане:

Что Такое Нападение обманом?

Нападение обманом не включает ничто более чем подделывание исходного адреса. Это действие использования одной машины, чтобы исполнить роль другой. Чтобы понять, как это происходит, Вы должны знать немного об аутентификации.

Каждый пользователь столкнулся с некоторой формой аутентификации. Это столкновение чаще всего происходит при соединении с сетью. Эта сеть могла быть расположена в доме пользователя, его офисе, или, как в этом случае, Internet. Лучшая часть аутентифицирующих алгоритмов, известных среднему пользователю, происходит на прикладном уровне. То есть эти методы аутентификации полностью видимы пользователю. Типичный пример, когда пользователь сопоставляется с приглашением на ввод пароля в FTP или Telnet. Пользователь вводит имя пользователя и пароль; они аутентифицируются и дают пользователя доступ к ресурсу.

В Internet, алгоритмы аутентификации прикладного уровня меньшинство. Каждую секунду, происходят аутентифицирующие алгоритмы, которые полностью невидимы для пользователя. Различие между этими алгоритмами и алгоритмами аутентификации прикладного уровня фундаментально. При аутентификации прикладного уровня, машина запрашивает пользователя; машина запрашивает, чтобы пользователь идентифицировал себя. Напротив, алгоритмы аутентификации не прикладного уровня происходят между машинами. Одна машина требует некоторую форму идентификации от другой. Пока эта идентификация не произведена и не утверждена, никакие транзакции не происходят между машинами, занятыми в диалоге ответа вызова.

Такие диалоги машина с машиной всегда происходят автоматически (то есть они происходят без человеческого вмешательства). В нападении IP обманом взломщик пытается извлечь выгоду из автоматизированного характера диалога между машинами. Таким образом, нападение IP обманом это экстраординарный метод получения доступа, потому что в нем взломщик никогда не использует имя пользователя или пароль.

Это, для многих людей, трудно понять. Следовательно, сообщения об IP обмане напрасно вызвают много опасений и паранойи в Internet.

Кто Может Быть Обманут?

Нападение IP обманом уникально в этом, что может быть осуществлено только против некоторого класса машин, выполняющих истинный TCP/IP. Истинный TCP/IP это любая полностью разработанная реализация TCP/IP, или тот, который в его коробочном состоянии охватывает все доступные порты и службы в пределах набора протоколов TCP/IP. Этим я обращаюсь почти исключительно к тем машинам, которые выполняют некоторые версии UNIX (только горстка может быть легко обманута). Машины ПК, выполняющие DOS, Windows, или Windows 95 не включены в эту группу. Ни один Macintosh, выполняющий MacOS. (Теоретически возможно, что Mac, выполняющие A/UX и ПК, выполняющие Linux, могли быть уязвимы.)

Я не могу гарантировать, что другие конфигурации или службы не будут позже доказаны уязвимыми IP обману, но в данный момент список уязвимых служб действительно короток:

Sun RPC относится к стандарту Sun Microsystems Удаленного Выполнения Процедур, который являются методом выдачи системных вызовов, которые работают прозрачно по сетям (то есть выполнения команд на удаленным машинах или сетях).

Ссылка: RFC, который адресует RPC, озаглавлен "RPC: Remote Procedure Call Protocol Specification" ("RPC: Спецификация Протокола Удаленного Вызова Процедур"), может быть найдена в
http://www.pasteur.fr/other/computer/RFC/10xx/1057.

Аутентификация IP адреса использует IP адрес как индекс. То есть целевая машина подтверждает подлинность сессии между собой и другими машинами, исследуя IP адрес запрашивающей машины. Есть различные формы IP аутентификации, и большинство из них уязвимы нападению. Хорошее обсуждение этого имеется в классическом документе, написанном Steve M. Bellovin озаглавленным "Security Problems in the TCP/IP Protocol Suite" ("Проблемы Безопасности в TCP/IP Наборе Протоколов"):

Если доступно, самый простой механизм, чтобы нарушить режим эксплуатации это маршрутизация от источника IP. Предположим, что узел адресата использует изменение исходного маршрута, обеспеченного в TCP открытая просьбе о трафике возвращения ... нападавший может тогда выбирать любой желательный адрес источника IP, включая доверенной машины в локальной сети адресата.
Ссылка: "Security Problems in the TCP/IP Protocol Suite" от Steve M. Bellovin может быыть найден в Web на
ftp://ftp.research.att.com/dist/internet_security/ipext.ps.Z.

Точка Уязвимости: R Службы

В среде UNIX R службы это rlogin и rsh. r представляет слово удаленный. Эти две программы предназначены, чтобы обеспечить пользователей удаленным доступом к другим машинам в Internet. Хотя эти программы могут быть сравнены с программами подобного рода (например, люди часто уподобляют rlogin Telnet), эти программы (или службы) уникальны:

R службы уязвимы нападениям IP обманом.

Как Работает Нападение Обманом

Нападения обманом отличаются от случайного сканирования до других методов установки дыры в системе. Нападения обманом происходят только после того, как конкретная машина была идентифицирована как уязвимая. Ко времени, когда взломщик готов провести нападение обманом, он знает, что целевая сеть уязвима и на которая машина должна быть атакована.

Доверительные Отношения и Обман Вообще

Почти все формы обмана (и типы другого IP обмана) полагаются на доверительные отношения в целевой сети. Доверием я не означаю человеческое доверие или доверие прикладного уровня. Вместо этого, я обращаюсь к доверию между машинами.

Глава 18, "Novell", кратко обсуждает фальсификацию аппаратного адреса в сети Ethernet. Это выполняется переопределением сетевого адреса рабочей станции использованной, чтобы выполнить обман. В сетях Novell это обычно выполняется переопределением значения в файле NET.CFG, который содержит параметры загружаемые после загрузки и подключения к сети. NET.CFG включает много опций для изменения конфигурации вручную (что является полезным, потому что обычные конфигурации иногда не правильны). Чтобы обойти возможные проблемы с фабричными конфигурациями, изменения могут быть сделаны непосредственно в интерфейсе, используя этот файл. Опции включают число буферов, какие протоколы должны быть связаны с платой, номером порта, значениями MDA и адрес узла.

Фальсификация аппаратного адреса, в некоторой степени, также зависит от платы. Платы, которые не позволяют программное назначение аппаратного адреса обычно бесполезны в этом отношении. Вы могли бы сообщить адрес, но в большинстве случаев, методика фактически не работает. Старые платы поддерживают программное изменение аппаратного адреса, обычно установкой перемычек. (Это делается короткими перемычками из штырьков на плате.) Хороший пример старая плата Western Digital Ethernet. Более новые платы более вероятно автоматически позволяют программное изменение, принимая во внимание, что назначение IRQ могут все еще быть проблемой перемычек. Вероятно, что в ближайшем будущем платы Ethernet не будут иметь перемычек вообще вследствие того, что появилась технология "plug-and-play".

ПРИМЕЧАНИЕ: Перемычки это маленькие пластмассовые ножны, которые перемещаются по штырькам на компьютерной плате (эта плата может быть Ethernet, системной платой, модемом, или контроллером жесткого диска). Эти пластмассовые перемычки обычно используются для установки адреса на таких платах. Изготовитель платы обычно включает руководство в продукт, которое показывает местоположение перемычек на плате. Такие руководства также обычно описывают различные пути конфигурирования ваших перемычек. Перемычка набор штырьков, состоит из двух штырьков. Если эти штырьки охвачены пластмассовыми ножнами перемычки, они, как считают, являются включенными. Включение различных перемычек изменяет конфигурацию платы. Наборы штырьков типично на плате упорядочиваются в строку. Например, модем, который имеет перемычки, чтобы назначать адреса IRQ, будет вероятно иметь четыре или пять наборов штырьков. Охватывая различные комбинации этого набора штырьков пластмассовыми ножнами перемычки, Вы можете изменять IRQ от трех до четырех, пяти, семи и т.д.

ПРЕДОСТЕРЕЖЕНИЕ: Никогда не используйте адреса MAC как индекс для аутентификации. Адреса Mac на наиболее современных платах могут быть легко изменены используя существующее программное обеспечение или быстрый хакерский код. Обсуждается, что MAC фальсификация адреса трудна, потому что, когда две машины имеют тот же самый адрес MAC в том же самом сегменте, связь отказывает и в результате прекращается. Обратите внимание, однако, что это не всегда так. Это обычно случается, когда оба пробуют достигать того же самого ресурса или когда активный протокол IPX (NetWare). В пассивном состоянии они могли сосуществовать, особенно в TCP/IP среде. Тем не менее, нет никакой гарантии, что пакеты прибудут в в том же состояние.

Этот тип фальсификации работает, потому что каждая машина в данном сегменте сети доверяет своим приятелям в этом же сегменте. Барьер создает инсталляции концентратора, который аппаратно маршрутизирует пакеты к каждой машине, по крайней мере будет существовать несколько доверительных отношений между машинами в пределах сегмента. Чаще всего эти машины знают друг друга, потому что их адреса перечислены в некоторой базе данных на каждой машине. В IP основанных сетях это делается, используя IP адрес, я надеюсь, или имя узла. (Использование имен узлов потенциальная проблема безопасности. Всякий раз, когда возможно, необходимо использовать аппаратные адреса.)

Машины в пределах сегмента сети, которые знают адреса своих приятелей, упоминаются как машины доверяющие друг другу. Когда такое доверительное отношение существует, эти машины могут дистанционно выполнять команды для друг друга без большей аутентификации, чем требуются, чтобы идентифицировать исходный адрес.

Взломщики могут определить доверительные отношения между машинами, используя широкий диапазон команд или, чаще, используя сканеры. Можно, например, сканировать узел и легко определить, выполняются ли R службы. Независимо от того какой метод используется, взломщик будет пытаться собрать доверительные отношения в целевой сети.

Анатомия Нападения IP Обманом

Давайте начнём наш анализ в точке после того, как взломщик определил уровни доверия в сети. Краткий обзор одного сегмента нашей ложной целевой сети, названной Nexus (Связь), показан на Рисунке 28.1.


Рисунок 28.1. Краткий обзор сегмента Nexus.

Как Вы можете видеть, этот сегмент имеет два доверительных отношения: Nexus 1 доверяет Nexus 2, и Nexus 2 доверяет Nexus 3.Затем, чтобы получить доступ к Nexus, у взломщика есть два выбора:

Взломщик решает обманывать Nexus 2, выставляя себя Nexus 3. Таким образом, его первая задача состоит в том, чтобы напасть на Nexus 3 и временно вывести его из строя.

ПРИМЕЧАНИЕ: Не всегда необходимо выводить из строя машину с которой Вы утверждаете, что произошли с неё. В сетях Ethernet в частности однако, Вам, вероятно, придется сделать это. Если Вы не сделаете так, то можете привести сеть к зависанию.

Шаг Первый: Обесдействование Nexus 3

Чтобы временно вывести из строя Nexus 3, взломщик должен временно висеть (чтобы привести к зависанию или временно обесдействовать) на целевом порту машины (порту, который обычно ответил бы на выпущенные запросы).

Обычно, когда запрос выпущен с Nexus 3 к Nexus 2, Nexus 2 отвечает Nexus 3 на данном порту. Этот ответ генерирует ответ от Nexus 3. Взломщик, однако, не хочет чтобы Nexus отвечал, потому что он хочет ответить своими собственными пакетами, изображая из себя Nexus 3.

Методика использующаяся для вывода из строя Nexus 3 не особенно важна, пока она успешна. Большинство таких нападений выполняется генерацией чернового списка TCP SYN пакетов, или запросов на подключение. Они генерируются с поддельного адреса и отправляются к Nexus 3, который пробует отвечать на них. Вы можете помнить, что в Главе 4, я обсуждал то, что случается, когда поток запросов на подключение получен машиной, которая не может решить подключение. Это один общий элемент нападения отказ в обслуживании, или методики известное как syn_flooding.

Совокупный эффект наводнения во временном отключении Nexus 3. То есть Nexus 3 пытается решить все запросы на подключение, которые получил, по одному. Очередь машины затопляется. Она не может ответить на дополнительные пакеты, пока очередь по крайней мере частично не очищена. Поэтому, по крайней мере на этом порту, Nexus 3 временно в отключке, или недостижим; он не будет отвечать на запросы, посланные с Nexus 2.

Шаг Второй: Обнаружение Номера Последовательности Nexus 2'а

Следующий шаг процесса довольно прост. Взломщик посылает ряд запросов на подключение к Nexus 2, который отвечает рядом пакетов, указывающих получение запросов на подключение от взломщика. Содержимое этих пакетов ответа ключ к методике фальсификации.

Nexus 2 генерирует ряд порядковых номеров. Глава 6, "Краткое Введение в TCP/IP", упоменает, что порядковые номера используются в TCP/IP для отметки и измерения состояния сессии. Статья озаглавленная "Sequence Number Attacks" ("Нападения Порядковыми Номерами") от Rik Farrow ясно формулирует конструкцию системы с порядковыми номерами. Farrow объясняет:

Порядковый номер используется, чтобы подтвердить получение данных. В начале TCP подключения клиент посылает TCP пакет с начальным порядковым номером, но не с подтверждением (его пока не может быть). Если имеется приложение-сервер, выполняющееся на другом конце подключения, сервер посылает назад пакет TCP с собственным начальным порядковым номером, и подтверждением: начальный порядковый номер пакета клиента плюс один. Когда система клиента получает этот пакет, она должна послать назад собственное подтверждение: начальный порядковый номер сервера плюс один. Таким образом, требуется три пакета, чтобы установить TCP подключение ...
Ссылка: Найдите "Sequence Number Attacks" от Rik Farrow в онлайне на
http://www.wcmh.com/uworld/archives/95/security/001.txt.html.

Каждая сторона должна твердо придержаться схемы порядковых номеров. Если нет, не существует никакого способа надежно передать данные по сети. Как ясно сформулировано Robert Morris в его статье озаглавленной "A Weakness in the 4.2BSD UNIX TCP/IP Software" ("Слабость в Программное Обеспечение TCP/IP в 4.2BSD UNIX"):

4.2BSD поддерживает глобальный начальный порядковый номер, который увеличивается на 128 каждую секунду и 64 после того, как каждое подключение начато; каждое новое подключение стартует с этим номером. Когда SYN пакет с подделанным источником послан от узла, узел адресата пошлет ответ на предполагаемый исходный узел, не на поддельный узел. Поддельный узел должен обнаружить или предположить, каков порядковый номер в том потерянном пакете, чтобы подтвердить его и установить TCP порт адресата в состояние ESTABLISHED (УСТАНОВЛЕНО).
Ссылка: Найдите статью Morris'а в онлайне на
ftp://ftp.research.att.com/dist/internet_security/117.ps.Z.

Эта процедура начинается с чтения порядковых номеров, отправленных от Nexus 2. Анализируя их, взломщик может видеть, как Nexus 2 увеличивает их. Должен иметься образец, потому что этот процесс инкрементации основан на алгоритме. Ключ идентифицирует, на какое значения эти числа увеличиваются. Когда взломщик знает стандартный образец, который использует Nexus 2, чтобы увеличить эти числа, начинаеться наиболее трудная стадия нападения.

Запуск Слепого

Получив образец, взломщик генерирует другой запрос на подключение к Nexus 2, как буд-то от Nexus 3. Nexus 2 отвечает Nexus 3 как обычно, генерируя порядковый номер для подключения. Однако, так как Nexus 3 временно выведен из строя, он не отвечает. Вместо него отвечает взломщик.

Это наиболее трудная часть нападения. Здесь, взломщик должен предположить (основываясь на своих наблюдениях схемы последовательности) какой порядковый номер ожидает Nexus 2. Другими словами, взломщик хочет перевести подключение в состояние ESTABLISHED (УСТАНОВЛЕНО). Чтобы сделать так, он должен ответить правильным порядковым номером. Но в то время как подключение живо, он не может видеть порядковые номера, отправляемые Nexus 2. Поэтому, взломщик должен послать слепые запросы.

ПРИМЕЧАНИЕ: Взломщик не может видеть порядковые номера, потому что Nexus 2 посылает их (и они маршрутизируются) к Nexus 3, фактическому, предназначенному получателю. Они направляются к Nexus 3, потому что Nexus 3 владелец фактического IP адреса. Взломщик, напротив, только подразумевается, что имеет IP Nexus 3.

Если взломщик правильно предполагает порядковый номер, подключение устанавливается между Nexus 2 и машиной взломщика. Для всех целей, Nexus 2 теперь полагает, что взломщик приветствует его с Nexus 3. Что остается, довольно прост.

Открытие Более Подходящей Дыры

В течение как подключение установлено, взломщик должен создать более подходящую дыру, чтобы компрометировать систему (он не должен быть вынужден обманывать каждый раз, когда он хочет соединиться). Он поэтому создает заказную дыру. Фактические случаи говорят, что самый простой метод состоит в том, чтобы перезаписать файл .rhosts так, чтобы Nexus 2 принимал подключения с любого источника не требуя дополнительной аутентификации.

Взломщик может теперь завершить все подключения и повторно соединяться. Теперь он способен войти без пароля и работать в системе.

Насколько Общи Нападения Обманом?

Нападения обманом редки, но они происходят. Рассмотрите эту консультацию Военной Сети Передачи Данных с июля, 1995:

ASSIST получил информацию о многочисленных недавних нападениях IP обманом, направленных против сайтов Internet международно. Большое количество систем, целевых в нападениях IP обманом, это серверы имен, маршрутизаторы, и другие сетевые системы операций, и нападения были в значительной степени успешны.
Ссылка: Чтобы видеть бюллетень DDN в онлайне, посетите
ftp://nic.ddn.mil/scc/sec-9532.txt.

Нападение, зарегистрированное John Markoff из Нью-Йорк Таймс произошло за Рождеством 1994. В середине 1995 нападение было обсуждено в кругах взломщиков через Internet. После того, как продемонстрировалось, что методика нападения Морриса была фактически возможна, взломщики быстро изучили и осуществили IP обман во всем мире. Фактически, исходный код для утилит фальсификации пред-fabbed был размещён на сайтах по всей Сети. Причуда была установлена.

Ссылка: Одна из этих личностей послала к известному списку безопасности с строкой темы "Представление в Левом Углу: Некоторый Код Фальсификации". Сообщение было краткое описание документа (и сопровождающего кода) доступного на Web сайте автора. Он все еще доступен сегодня. И может быть найден на
http://main.succeed.net/~coder/spoofit/spoofit.html.
Поскольку он не принадлежит пользователю, потому что расположен в другой стране, я советую Вам сохранить его на вашем локальном диске. Код фальсификации хорош. Автор также предлагает код для похищения сессии Telnet и программу C общего назначения для уничтожения TCP подключений в вашей подсети.

Даже при том, что слово фальсификации так известно, методика все еще весьма редка. Это потому что, снова, взломщики требуют конкретных утилит и навыков. Например, эта методика не может, по моему мнению, быть осуществленной не на UNIX операционной системе. Однако, я не могу гарантировать, что эта ситуация останется как есть. Вскоре, кто- о представит на базе Windows авто фальсификаторы, написанные в Visual C++ или некоторой другой реализации C/C++. Я подозреваю, что они будут доступны в пределах года. В течение момента, методика остается вещью UNIX и поэтому, все равно представляет препятствия (корневой доступ, знание C, техническое мастерство для управления ядром, и т.д.) как другие основанные на UNIX методы взлома.

Фальсификация иногда преднамеренно выполняется системными администраторами. Этот тип фальсификации, однако, изменяется значительно от типичного IP обмана. Он упоминается как ЛВС обман или WAN обман. Эти методы используются прежде всего, чтобы скрепить несоизмеримые цепочки WAN (смотрите Рисунок 28.2).


Рисунок 28.2. ЛВС и WAN обман в действии.

В многих средах WAN, сети широко изменяющегося проекта приложены к ряду серверов WAN, узлов, или устройств. Для каждого сообщения, перемещаемого по этим линиям, обычно несутся пошлины. Это может быть дорого, в зависимости в значительной степени от типа и скорости подключения. Одна вещь очевидна: лучшее расположение то, в котором ни один из узлов не платит за подключение если данные не передаются через него (кажется расточительно оплачивать просто подключение).

Чтобы избегать бесполезных обвинений, некоторые инженеры реализовывают форму фальсификации, посредством чего ответ интерфейсов WAN предохраняет действующие запросы от удаленных серверов ЛВС скорее чем фактическая маршрутизация этих запросов в пределах полной сети WAN. Таким образом, удаленная ЛВС предполагает, что отвечает удаленной WAN, но это фактически не так.

Ссылка: Jeffery Fritz, инженер передачи данных для Университета Штата Западная Виргиния, написал потребительскую статью о таком типе методике, чтобы сохранить деньги в средах Сети Широкой Области. Эта статья, озаглавленная "Network Spoofing: Is Your WAN on the Wane? LAN Spoofing May Help Solve Some of Your Woes" ("Сетевая Фальсификация: Является ли Ваша WAN Убыточной? Фальсификация ЛВС Может Помочь Решить Некоторое Ваше Горе"), может рассматриваться в онлайне на
http://www.byte.com/art/9412/sec13/art4.htm.
Fritz также написал книгу Sensible ISDN Data Applications (Разумные Приложения Данных ISDN), изданной Прессой Университета Штата Западная Виргиния. Эта книга должна быть прочитана пользователями ISDN.

Это очень популярная методика и теперь включена во многие маршрутизаторы и программное обеспечение маршрутизации. Один хороший пример MultiCom Software Release 2.0 от Lightning. Документация Белой Книги по этому объясняет:

Маршрутизатор Novell SPX/IPX содержит расширенный алгоритм фальсификации, который сохраняет линию ISDN закрытой, когда нет полезных транзитных данных, даже в то время как удаленные пользователи связаны с сервером. Фальсификация состоит в моделировании трафика, так, чтобы сервер и удаленный клиент оба имели впечатление, что связаны без открытых каналов ISDN.
Ссылка: Белая Книга по MultiCom Software Release 2.0 от Lightning может быть найдена в онлайне на
http://www.lightning.ch/products/software/ipx/details.html.

Имеются другие продукты маршрутизаторов, которые выполняют эту функцию. Один из них это Ethernet Router IN-3010/15.

Ссылка: Для дальнейшей информации о Ethernet Router IN-3010/15, посетите
http://www.craycom.co.uk/prodinfo/inetwork/fsin301x.htm.

Что Можно Сделать, Чтобы Предотвратить Нападения IP обманом?

Нападению IP обманом можно мешать, конфигурируя вашу сеть, чтобы отклонять пакеты от Сети, которые утверждают, что произошли с локального адреса (то есть отклонять пакеты, которые подразумевают иметь адрес рабочей станции в вашей внутренней сети). Это чаще всего делается с маршрутизатором.

Маршрутизаторы работают применяя фильтры к входящим пакетам; например, они могут блокировать конкретные типы пакетов от достижения вашей сети. Несколько компаний специализируются на этих устройствах:

ПРИМЕЧАНИЕ: Хотя маршрутизаторы генеральное решение проблемы обмана, они также работают исследуя исходный адрес. Таким образом, они могут только защищать против входящих пакетов, которые подразумеваются происходящими изнутри вашей внутренней сети. Если ваша сеть (по некоторой необъяснимой причине) доверяет внешним узлам, маршрутизаторы не будут защищать против нападения обманом, которое подразумевается происходить от тех узлов.

Некоторые продукты безопасности могут также проверять на вашу уязвимость к IP обману. Системы Безопасности Internet (ISS - Internet Security Systems), расположенная в онлайне на http://iss.net, является компанией, которая предлагает такие продукты. Фактически, ISS предлагает испытательную версию, которая может использоваться на единственном локальном узле. Эти утилиты весьма продвинуты.

ПРЕДОСТЕРЕЖЕНИЕ: Если Вы выполняете брандмауэр, это автоматически не защищает Вас от нападений обманом. Если Вы позволяете внутренним адресам обращаться через внешнюю часть брандмауэра, Вы уязвимы!

По крайней мере один авторитетный источник говорит, что предотвращение может также быть реализовано через контроль вашей сети. Это начинается с идентификации пакетов, которые подразумевается произошли в пределах вашей сети, но пытаются поступать в брандмауэр или первый сетевой интерфейс на своем пути:

Имеются несколько классов пакетов, за которыми Вы могли наблюдать. Наиболее основной это любой пакет TCP, где сетевая часть (Класс A, B, или C или префикс и длина как определено спецификацией Бесклассовой Междудоменной Маршрутизации (CIDR)) источника и адресов назначения одни и те же, но оба не из вашей локальной сети. Эти пакеты обычно не шли бы вне исходной сети, если не имеется проблема маршрутизации, достойная дополнительного исследования, или пакеты, фактически порожденные вне вашей сети. Последнее может происходить с Мобильным тестированием IP, но нападающий, обманывающий исходный адрес, более вероятная причина.
Ссылка: Предыдущий параграф это выдержка из Бюллетеня Военной Информационной Системы Сетевой Безопасности #95-29. Этот бюллетень может быть найден в онлайне на
ftp://nic.ddn.mil/scc/sec-9532.txt.

Другие Странные и Нетривиальные Нападения Обманом

Существуют другие формы фальсификации, типа фальсификации DNS. Фальсификация DNS происходит, когда машина DNS была скомпрометирована взломщиком. Вероятность этого случая слаба, но если это случается, может кончится широко распространенным дефектом. Редкость этих нападений не должна быть принята как успокаивающий индикатор. Ранее в этой главе я процитировал консультацию DDN, которая документировала стремительное из широко распространенных нападений против машин DNS. Кроме того, важная консультация CIAC адресует эту проблему:

Хотя Вы могли бы желать принять риск, связанный с использованием этих служб пока, Вы должны рассмотреть воздействие, которое фальсификация информации DNS может иметь ..., это является возможным для злоумышленников, которые обманули BIND в обеспечение неправильных данных имени. Некоторые системы и программы зависят от этой информации для аутентификации, так что возможно обмануть эти системы и получить неавторизованный доступ.
Ссылка: Предыдущий параграф это выдержка из консультации CIAC озаглавленной "Domain Name Service Vulnerabilities" ("Уязвимости Службы Доменных Имен"). Документ может быть найден в онлайне на
http://ciac.llnl.gov/ciac/bulletins/g-14.shtml.

Фальсификацию DNS довольно трудно выполнить, даже если взломщик скомпрометировал сервер DNS. Одна причина в том, что взломщик не может точно предположить, какой адрес пользовательские клиенты DNS собираются запрашивать. Возможно, взломщик может принять популярный адрес, который, вероятно, появится (www.altavista.digital.com, например) или он может просто заменять все переадресации произвольным адресом по выбору. Однако, эта методика была бы раскрыта очень быстро.

Может взломщик реализовывать такое оптовое нападение, заменяя все трансляции с его собственным адресом и все еще избегать неприятностей с этим? Может он, например, перемещать из среды жертвы адрес, который пользователь действительно требует? Если так, что предотвратило бы взломщика от прерывания каждой уходящей передачи, временно направляя ее на его машину, и маршрутизацию этой передачи законному адресату позже? Действительно ли возможно через фальсификацию DNS соединить себя со всеми подключениями без того, чтобы быть обнаруженным? Вероятно не для более чем несколько минут, но сколько минут достаточно?

В любом случае, в фальсификации DNS взломщик компрометирует сервер DNS и явно изменяет имя узла в таблице IP адресов. Эти изменения записываются в базы данных адресной таблицы на серверу DNS. Таким образом, когда клиент запрашивает поиск, ему или ей дают поддельный адрес; этот адрес будет IP адрес машины полностью под контролем взломщика.

Вы можете задаться вопросом, почему нападения DNS существуют. В конце концов, если взломщик уже скомпрометировал сервер имен в сети, что больше может быть получено, направляя запросы DNS на собственную машину? Ответ находится прежде всего в степени компромисса. Заключение компромисса сервера имен сети не равняется заключению компромисса полной сети. Однако, можно использовать систему, чтобы компрометировать всю сеть, в зависимости от того, насколько талантлив взломщик и как слаба безопасность целевой сети. Например, возможно убедить клиента, что машина взломщика в действительности локальный почтовый сервер клиента?

Один интересный документ, который адресует возможную новую методику фальсификации DNS это "Java Security: From HotJava to Netscape and Beyond" ("Безопасность Java: От HotJava до Netscape и Beyond"), от Drew Dean, Edward W. Felten и Dan S. Wallach. Документ обсуждает методику, где Java апплет делает повторные запросы к машине нападающего, которая является в действительности взломанным сервером DNS. Таким образом, в конечном счете возможно переадресовать поиски DNS от заданного по умолчанию сервера имен до удаленного недоверенного сервера. Оттуда, нападавший мог бы очевидно компрометировать машину клиента или сеть.

Ссылка: "Java Security: From HotJava to Netscape and Beyond" расположен в онлайне наhttp://www.cs.princeton.edu/sip/pub/oakland-paper-96.pdf.

Фальсификацию DNS однако довольно просто обнаруживать. Если Вы подозреваете один из серверов DNS, опросите другие авторитетные серверы DNS в сети. Если первоначально задействованный сервер не был скомпрометирован в течение некоторого времени, доказательство, что он был взломан, немедленно всплывет. Другие авторитетные серверы сообщат результаты, которые будут отличаться от данный взломанного сервера DNS.

Опрос не может быть достаточен, если первоначально взломанный сервер был скомпрометирован в течение расширенного периода. Поддельные таблицы имя узла - адрес, возможно, были переданы на другие серверы DNS в сети. Если Вы замечаете ненормальность в разрешении имен, то можете захотеть использовать утилиту сценария, названную DOC (domain obscenity control - контроль непристойности области). Как ясно сформулировано в документации утилиты:

DOC (контроль непристойности области) это программа, которая диагностирует плохо себя ведущие домены, отсылая запросы к соответствующим серверам доменных имен и выполняя ряд исследований на выводе этих запросов.
Ссылка: DOC доступна в онлайне на
ftp://coast.cs.purdue.edu/pub/tools/unix/doc.2.0.tar.Z.
Другие методы, чтобы нанести поражение нападениям обманом DNS включают использование обратных схем DNS. Согласно этим схемам, иногда упоминаемым как необратный тест, служба пытается урегулировать необратный поиск с обратным. Хотя эта методика, возможно, имеет ограниченное значение. Со всей вероятностью, взломщик может изменить обе необратные и обратные таблицы.

Итог

Фальсификация популярна теперь. Что остается для методики, это стать стандартизированной. В конечном счете, это случится. Вы можете ожидать "направь и щелкни" программы фальсификации в пределах года или около этого.

Если Вы теперь имеете или планируете установить постоянное подключение с Internet, обсудите методы предотвращения предположительно внутренние адреса от ввода вашей сети из пустоты с вашим поставщиком маршрутизатора (или вашим главный сетевым инженером). Я говорю это по одной причине: Нападения обманом станут угрозой очень скоро.

Предыдущая главаСледующая главаСодержание


Macmillan Computer Publishing USA

Macmillan Computer Publishing.


Все мессаги сюда:yanich@inbox.ru
Hosted by uCoz