Начальная страница

2.2. Распространенные атаки и вторжения

2.2. Распространенные атаки и вторжения

2.2. Распространенные атаки и вторжения

Таблица 2.1, «Типичные вторжения» отображает некоторые из самых распространённых вторжений и точек входа, используемых хакерами для доступа к сетевым ресурсам. Обратите внимание на описание того, как эти атаки осуществляются, а также как администраторы могут защитить от них сеть.

Вторжение Описание Замечания
Пустые или стандартные пароли Использование пустых административных паролей или паролей, установленных разработчиком по умолчанию. Это очень распространено при работе с маршрутизаторами и межсетевыми экранами, хотя некоторые Linux-службы используют стандартные пароли администратора (Red Hat Enterprise Linux 5 не включает подобные службы)
Обычная практика для сетевого оборудования (маршрутизаторов, межсетевых экранов, VPN и хранилищ NAS (network attached storage).
Не редкость в устаревших операционных системах, особенно в ОС со встроенными службами, таких как UNIX и Windows.
Иногда администраторы создают учётные записи привилегированных пользователей в спешке и оставляют пароль пустым — прекрасная лазейка для злоумышленников, обнаруживших такую учётную запись.
Стандартные общие ключи Защищённые службы иногда поставляются со стандартными ключами шифрования для программирования и тестирования. Если оставить эти ключи неизменными и поместить в рабочее окружение, доступное из Интернета, любые пользователи с теми же стандартными ключами получат доступ к этому ресурсу и всей его важной информации.
Наиболее распространено в беспроводных точках доступа и предварительно настроенных защищённых серверных продуктах.
IP-спуфинг Удалённая машина действует как узел вашей локальной сети, определяет уязвимости и устанавливает программу "чёрного хода" или троянского коня для получения контроля над сетевыми ресурсами.
Подделать IP довольно сложно, так как для координации соединения нападающий должен предугадать числа TCP/IP SYN-ACK, но взломщик может облегчить реализацию такой атаки с помощью различных инструментов.
В зависимости от выполняющихся в целевой системе служб (rsh, telnet, FTP и пр.), использующих технику аутентификации от источника, от чего рекомендуется отказаться в пользу PKI или других форм проверки подлинности с шифрованием, используемых в ssh и SSL/TLS.
Прослушивание Перехват данных между двумя активными узлами путём прослушивания соединения между этими узлами.
Атака такого рода в основном рассчитана на протоколы, передающие открытый текст, например, Telnet, FTP и HTTP.
Для реализации такой атаки удалённый взломщик должен скомпрометировать систему в локальной сети; обычно для этого он осуществляет активную атаку (например, IP-спуфинг или «человек посередине»).
Рекомендуется использовать следующие меры предохранения: службы, шифрующие передаваемые ключи, одноразовые пароли или проверку подлинности с шифрованием, спасающие от утечки пароля, а также усиленное шифрование передаваемых данных.
Уязвимости служб Если взломщик находит слабое место или уязвимость в интернет-службе, через эту уязвимость может быть скомпрометирована вся система и хранящиеся в ней данные, и, возможно, другие системы в сети.
Уязвимости служб, основанных на HTTP, таких как CGI, позволяют удалённо выполнять команды и даже получить доступ к интерактивной оболочке. Даже если служба HTTP работает от имени непривилегированного пользователя (например, "nobody"), может быть получена информация о файлах конфигурации и сведения о сети. Взломщик также может провести атаку отказа в обслуживании DoS, истощающую системные ресурсы или приводящую к ее недоступности для других пользователей.
Иногда службы имеют уязвимости, незамеченные во время разработки и тестирования. Эти уязвимости (например, переполнение буфера, когда взломщик вызывает сбой службы, переполняя простыми данными буфер приложения, и оказывается в интерактивной командной строке, где он может выполнять обычные команды) могут позволить злоумышленнику получить все административные полномочия.
Администраторы должны убедиться в том, что службы не работают под именем root, и внимательно следить за выпусками обновлений и исправлений ошибок приложений, публикуемых производителями и такими организациями, как CERT и CVE.
Уязвимость приложений Взломщики находят дефекты в настольных приложениях (например, почтовый клиент) запускают произвольный код, внедряют троянских коней для последующего взлома или вызывают сбой системы. А если взломанная система обладает административными привилегиями в своей сети, также становится возможным взлом самой сети.
Рабочие станции и настольные компьютеры более подвержены взлому, поскольку работники обычно не обладают достаточным опытом и знаниями для того, чтобы обнаружить и предотвратить попытку взлома. Необходимо поставить пользователей в известность о возможных рисках, особенно при самовольной установке программ или открытии подозрительных приложений эл.почты.
Предотвращающие меры включают деактивацию автоматического открытия и запуска приложений эл.почты. Более того, автоматическое обновление программного обеспечения рабочей станции через Red Hat Network или другие службы управления системой также поможет облегчить обеспечение безопасности на множестве рабочих мест.
Атаки отказа в обслуживании DoS (Denial of Service) Один или несколько нападающих совместно атакуют сеть или сервер организации, рассылая пакеты целевому узлу (серверу, маршрутизатору, рабочей станции), что приводит к недоступности ресурса для законных пользователей.
Последняя известная DoS-атака в США произошла в 2000г. Несколько сильно нагруженных коммерческих и правительственных сайтов оказались недоступными вследствие скоординированной атаки наводнения пакетами ping, осуществлённой несколькими компьютерами-зомби (транслирующими узлами).
Исходные пакеты обычно подделываются (и пересылаются повторно), что значительно затрудняет поиск истинного источника атаки.
Возможности входящей фильтрации (IETF rfc2267) с помощью iptables и сетевых IDS, подобных snort, помогают администраторам проследить и предотвратить распределённые атаки DoS.

Таблица 2.1. Типичные вторжения