Распространённые атаки и средства нападения
Приложение B. Распространённые атаки и средства нападенияВ таблице B-1 перечислены наиболее распространённые атаки и слабые места, используемые злоумышленниками для доступа к сетевым ресурсам организации. Здесь подробно описано как осуществляются эти атаки и как администраторы могут правильно защитить от них свою сеть. Атака | Описание | Замечания |
---|
Пустые или стандартные пароли | Пустые административные пароли или стандартные пароли, назначенные разработчиком. Чаще всего это встречается в оборудовании вроде маршрутизаторов и брандмауэров, хотя некоторые службы, работающие в Linux, могут содержать стандартные пароли администратора (в состав Red Hat Enterprise Linux такие службы не входят). | Распространённая практика для сетевого оборудования, например, для маршрутизаторов, брандмауэров, сетей VPN, и подключаемых к сети хранилищ (network attached storage — NAS). | Не редкость в устаревших операционных системах, особенно в ОС со встроенными службами, таких как UNIX и Windows. | Иногда администраторы создают учётные записи привилегированных пользователей в спешке и оставляют пароль пустым — прекрасная лазейка для злоумышленников, обнаруживших такую учётную запись. |
| Стандартные общие ключи | Защищённые службы иногда поставляются со стандартными ключами шифрования для программирования или пробного использования. Если оставить эти ключи неизменными и поместить в рабочее окружение, доступное из Интернета, любые пользователи с теми же стандартными ключами получат доступ к этому ресурсу и всей его важной информации. | Наиболее распространено в беспроводных точках доступа и предварительно настроенных защищённых серверных продуктах. | CIPE (обратитесь к главе 6 Виртуальные частные сети) содержит пример статического ключа, который необходимо заменить при внедрении в рабочее окружение. |
| Подделывание IP | Удалённый компьютер изображает из себя узел вашей локальной сети, находит уязвимости ваших серверов и устанавливает программу чёрного хода или троянского коня для завладения ресурсами вашей сети. | Подделать IP довольно сложно, так как для этого нападающий должен предугадать числа TCP/IP SYN-ACK, координирующие соединение, но взломщик может облегчить реализацию такой атаки с помощью различных инструментов. | Успех зависит от работающих в системе служб (таких, как rsh, telnet, FTP и т.д.), проверяющих подлинность, полагаясь на источник, от чего рекомендуется отказаться в пользу PKI или других форм проверки подлинности с шифрованием, используемых в ssh и SSL/TLS. |
| Подслушивание | Сбор данных, передаваемых между двумя активными узлами сети, путём прослушивания соединения между этими узлами. | Атака такого рода в основном рассчитана на протоколы, передающие открытый текст, например, Telnet, FTP и HTTP. | Чтобы реализовать такую атаку, удалённый взломщик должен скомпрометировать систему в локальной сети; обычно для этого он осуществляет активную атаку (например, поддельный IP или «человек посередине») . | Рекомендуется использовать в частности следующие меры предохранения: службы, шифрующие передаваемые ключи, одноразовые пароли или проверка подлинности с шифрованием, спасающие от утечки пароля, сильное шифрование передаваемых данных. |
| Уязвимости служб | Если взломщик находит слабое место или уязвимость в службе, открытой в Интернете, через эту уязвимость он скомпрометирует всю систему и хранящиеся в ней данные, а возможно, и все остальные системы в сети. | Уязвимости служб, основанных на HTTP, таких как CGI, позволяют удалённо выполнять команды и даже получить доступ к интерактивной оболочке. Даже если служба HTTP работает от имени бесправного пользователя, вроде «nobody», можно получить, например, файлы конфигурации и сведения о сети, взломщик также может провести атаку «отказ в обслуживании», истощающую системные ресурсы или приводящую к недоступности службы для других пользователей. | Иногда службы имеют уязвимости, не замеченные во время разработки и тестирования; эти уязвимости (такие как переполнение буфера, когда взломщик вызывает сбой службы, переполняя простыми данными буфер приложения, и оказывается в интерактивной командной строке, где он может выполнять обычные команды) могут позволить злоумышленнику получить все административные полномочия. | Администраторы должны убедиться в том, что службы не работают под именем root, и внимательно следить за сообщениями об обновлениях и исправлениях ошибок приложений, публикуемых производителями или такими организациями, как CERT и CVE. |
| Уязвимости приложений | Взломщики находят ошибки в офисных приложениях, таких как почтовые клиенты, и запускают произвольный код, внедряют троянские программы для будущей компрометации или ломают систему. Атака может развиваться и дальше, если скомпрометированная рабочая станция пользуется доверием всей остальной сети. | Этой атаке наиболее подвержены рабочие станции и персональные компьютеры, так как обычные работники не имеют опыта и знаний, необходимых для выявления компрометации; крайне важно сообщить им об угрозах, связанных с установкой неизвестных программ и открытием непрошеных почтовых вложений. | Могут быть внедрены меры защиты, например, почтовый клиент настроен так, что вложения автоматически не открываются и не исполняются. Кроме этого, автоматическое обновление программного обеспечения из сети Red Hat Network или с помощью других служб управления системами может облегчить обеспечение безопасности на множестве рабочих мест. |
| Атаки типа "отказ в обслуживании" (Denial of Service — DoS) | Один или несколько нападающих совместно атакуют сеть или сервер организации, посылая неправильные пакеты целевому узлу (серверу, маршрутизатору, рабочей станции). Это приводит к недоступности ресурса для законных пользователей. | Последняя известная DoS-атака в США произошла в 2000 г. Несколько сильно нагруженных коммерческих и правительственных сайтов оказались недоступными вследствие скоординированной атаки наводнения пакетами ping, осуществлённой несколькими компьютерами-зомби, захваченными взломщиками. | Исходные пакеты обычно подделываются (и пересылаются повторно), что значительно затрудняет поиск истинного источника атаки. | Возможности фильтрации проникновений (IETF rfc2267) в iptables и сетевые IDS, подобные snort, помогают администратором проследить и предотвратить распределённые атаки DoS. |
|
Таблица B-1. Распространённые атаки
|