Защита от атак на протоколы сетевого уровня

ICMP-sweep, по существу, предполагает отправку серии пакетов ICMP запросов на целевой диапазон сети и из списка ICMP ответов, определяет, являются ли определенные узлы действующими и подключенными к сети цели для дальнейшего исследования.Хотя данная атака может быть проведена вручную с помощью очень простой команды ping, многие автоматизированные средства сканирования (например. в nmap (http://www.insecure.org/nmap) и Superscan (http://www.foundstone.com/rdlabs/proddesc/superscan.html)) ускорят весь процесс сканирования при выполнении такой проверки на все возможные диапазоны IP-адресов целевой сети.Трассировка (Traceroute)Еще один очень полезный инструмент для отображения конфигурации сети атакуемой целиочень простая команда вызова функции. Эта команда заключается в том, что отправляет последовательную серию пакетов с увеличением значения TTL (времени жизни). Когда промежуточный маршрутизатор получает пакет переадресации, он будет уменьшать ТТLзначение пакета перед отправкой его на следующий маршрутизатор. В это время, если значение TTL пакета достигнет нуля, протокол ICMP вернет сообщение “время ожидания превышено” на исходный узел. Злоумышленник отправляет пакет с первоначальным значением TTL равном 1 первый маршрутизатор на пути следования пакетов, чтобы ICMPпротокол отправить в этом случае обратно ICMP-сообщение - “время превышено” , которое затем позволит злоумышленнику узнать IP адрес первого роутера. Последующие пакеты отправляются, увеличивая значение TTL в пакете на 1 каждый раз. Таким образом злоумышленник сможет узнать каждый переход между ним и атакуемой целью.Используя эту технику, злоумышленник может не только проследит путь пакета, как он путешествует к атакуемой цели, но и получит информацию о топологии целевой сети.Эта информация имеет решающее значение в позволяет злоумышленнику спланировать атаку сети.Сетевой инструмент, например CHeops (http://www.marko.net/cheops) , работа которого продемонстрирована на рисунке 3.3, позволит злоумышленнику быстро построить карту всей целевой сети с помощью ping и traceroute. Этот инструмент может быстро проанализировать большой объем трафика, но может быть легко замечен любой системы обнаружения вторжений, а также зафиксировать в журналах брандмауэра.Рисунок 3.3 - Пример построения сетевой топологии инструментом CheopsFirewalkДальнейшим развитием идеи traceroute, а также следующая техника (firewalk) может быть использована для определения портов, которые открыты на фильтрации пакетов на межсетевом экране. Это оправданная практическая цель, для того чтобы наметить правила фильтрации, которые устанавливаются в фильтрующих пакетах брандмауэра.Firewalk, как правило, осуществляется в 2 фазы: фаза 1 предполагает делать трассировку от злоумышленника до целевого брандмауэра, чтобы определить количество прыжков, которое потребуется для передачи пакета до момента достижения брандмауэра. Во время фазы сканирования, значение TTL пакетов будет больше, чем до брандмауэра и пакеты будут отправляться известному узлу межсетевого экрана. Если протокол ICMP возвращает сообщение “время превысил”, то это означает, что пакет уже успел пройти брандмауэр и вызывает ICMP-пакет, который будет возвращен отправиелю, потому что значение TTL достигает сейчас ноль. В противном случае можно сделать вывод, что существует правило фильтрации на брандмауэре, которое останавливает движение пакета.Пример firewalk можно найти на (http://www.packetstormsecurity.com/UNIX/audit/firewalk/).Обратное Отображение (InverseMapping)Inverse Mapping-это метод, используемый для сопоставления внутренних сетей или узлов, защищенныхс помощью устройства фильтрации. Как правило, некоторые из этих систем являются недоступными из Интернета.Для этого типа сканирования злоумышленник использует роутеры, которые будут распространять запрос внутренней архитектуре информационной сети, даже если этот запрос не имеет никакого смысла. Злоумышленник составляет список IP-адресов, этого списка то, чего нет, и использовать его, чтобы сделать вывод, где вещи наверное.Обратная атака сопоставления выглядит следующим образом:Шаг 1. Злоумышленник отправляет сообщение ICMP ответ на диапазон IP-адресов, предположительно находящихся за устройством фильтрации.Шаг 2. После получения серии из ICMP-сообщений устройство фильтрации не сохраняет состояние списка ICMP-запросов, это позволяет эти доставить пакеты к месту назначения.Шаг 3. Если есть внутренний маршрутизатор, маршрутизатор будет отвечать на ICMP “хост недоступен” для каждого узла, который он не может достигнуть, таким образом давая злоумышленнику информацию обо всех узлах, которые присутствуют за устройством фильтрации.Идентификация операционной системы Прежде чем производить любую сетевую атака, кроме того, что проверить существование целевого узла, чрезвычайно полезно знать базовую операционную систему, а также перечень сервисов, которые на нем запущены. В то время как сканеры портов, могут определить виды сервисов, которые являются запущенными в системе, ICMP, который вновь оказывает помощь злоумышленнику, определит основную операционную систему.Преимущество использования протокола ICMP на удаленном применении определения ОС помогает злоумышленнику более незаметным образом в процессе идентификации операционной системы. В некоторых случаях только один пакет отправляется для определения операционной системы, используемой целевым хостом.Удаленная идентификация операционной системы - это метод, который использует тот факт, что различные производители операционных систем построили несколько иной способ обработки сетевого трафика. Были выполнены детальные исследования как активного, так и пассивного дистанционного определения ОС и результаты зафиксированы в подробном отчете (http://www.sys-security.com/html/projects/X.html).Атака дистанционного определения операционной системы работает следующим образом:Шаг 1. Злоумышленник отправляет udp пакет с битом DF установленным на целевом хосте, где udp порт закрыт.Шаг 2. Протокол ICMP отвечает злоумышленнику сообщением “порт недоступен”.Шаг 3. Из-за того, что различные узлы высылают немного разные пакеты ICMP обратно, операционные системы могут быть определены путем изучения нескольких биты в возвращаемом пакете.Если мы посмотрим на первые биты поля пакета и значение от 0xc0, в базовой операционной системе может быть выведена для ядра Linux 2.0.х / 2.2.х/2.4.x машины или маршрутизатора Cisco или коммутатора экстремальных сетей.В данном случае, чтобы различать ядра Linux и сетевые устройства, протокол ICMP шлет сообщение об ошибке, может быть использован метод определения ОС. В этом методе, возвращается ICMP-пакет и проверяется на количество байтов.Ядро Linux будет возвращать различное количество байтов, по сравнению с устройством сетей, таким образом, мы можем различать их.Следующий шаг - это способность отличать различные версии ОС Linux ядра. В этом случае мы будем смотреть на значение IP TTL, заданного в пакете. Ядра Linux 2.0.х имеют начальное значение 64 в то время как 2.2.X и 2.4.x будут использовать начальное значение 255. Теперь для различия между 2.2.X и 2.4.x необходимо взглянуть на идентификатор IP значения - пакет, 2.4.1 – 2.4.4 имеет значение равное нулю, в отличие от 2.2.х. Таким образом, просто глядя на 1 пакет, полученный от атакуемой цели, злоумышленник способен перейти к типу и версии базовой операционной системы.Другие методы, такие как проверка, где хост реагирует на созданный ICMP запрос временной метки также используется для дифференциации между операционными системами.X зонд доступен на (http://xprobe.sourceforge.net/) - это инструмент построения позволит сделать вышеперечисленное в автоматическом режиме.Этап 2 – Эксплойт системICMP перенаправление маршрутаСообщения ICMP перенаправления маршрута отправляется, когда шлюз получает IP-трафик от хоста и находит в своей таблице маршрутизации, что следующему шлюзу необходимо направить этот трафик в ту же сеть, где находится атакуемый хост.На первый взгляд в этом методе не видно никаких проблем с этим, но давайте рассмотрим сценарий, чтобы увидеть, как это может быть использовано, чтобы запустить атаки типа man-in-the-middle.Рисунок 3.4 - ICMP перенаправление маршрутаАлгоритм проведения атаки:Шаг 1. Злоумышленнику удается завладеть второстепенным шлюзом G1 узла-источника.Шаг 2. Злоумышленник отправляет по TCP открытый пакет для узла-источника, работая в качестве конечного узла.Шаг 3. В то время как ответ находится в пути от узла-источника к узлу-получателю через шлюз G2, злоумышленник отправляет сообщение ICMP «маршрут редирект» на хост-источник G2.Шаг 4. Узел-источник будет принимать изменения маршрута из сообщения управления как действительные и таким образом изменит свою таблицу маршрутизации, чтобы маршрутизировать весь трафик на хост назначения через G1 шлюз.Шаг 5. Теперь злоумышленник может спокойно читать/изменять и пересылать весь трафик дляконечного узла шлюза G2, действуя как человек-посередине.ICMP информационные сообщенияОтправив “оверсайз” ICMP-сообщения на целевом хосте может потенциально произойти сбой / перезагрузка. Это связано с тем, что некоторые ОС не умеют обрабатывать пакеты, которые превышают максимальный размер, как указано в RFC.Спецификации TCP/IP дают возможность максимум 65536 байт на один пакет информация. Эта уязвимость может быть легко использована с помощью команды ping (с флагом, чтобы указать Размер пакета для отправки) Размер пакета больше, чем 65536 байт. Некоторые ОС будут выполнять проверку на размер исходящих пакетов ping и не позволят пакеты больше 65536 байт. Есть много инструментов, которые доступны для скачивания, они позволят злоумышленнику создать индивидуальные пакеты ping.Одним из таких примеров является hping2 (http://www.securityfocus.com/tools/641).Если целевой хост неправильно пропатчил пакет, ОС будет "зависать" или перезагрузажаться после получения всего 1 негабаритного пакета.Эксплуатируя природу фрагментации, а также крупногабаритные пакеты ICMP, можно проэксплуатировать уязвимость, которая вызовет в некоторых ОС состояние, когда она перестает отвечать и приходится прибегать к перезагрузке, чтобы оправиться от этих ударов.SSPing (http://packetstormsecurity.org/Exploit_Code_Archive/ssping.zip) - это инструмент, который делает именно это.Дальнейшим развитием этой идеи является еще одним инструментом Jolt2 (http://razor.bindview.com/publish/advisories/adv_Jolt2.html)В этой атаке, отправка большого числа идентичных фрагментированных IP-пакетов на целевой хост вызовет зависание хоста на тот период времени, пока атака находится в активной фазе.Еще один инструмент (http://packetstormsecurity.org/Exploit_Code_Archive/teardrop.c) отправляет поток фрагментированных пакетов на целевой хост и просит его, вернуть их обратно вместе. Когда атакуемый хост пытается сделать это, он обнаруживает, что пакеты слишком большого размера. В этом случае компьютер зависает и требует перезагрузки, прежде чем он начнет нормально функционировать снова [11].ICMP Обнаружение маршрутизатораПрежде чем атакуемый хост может отправить сообщение на хост за пределами своей подсети, нужно определить адрес ближайшего маршрутизатора. Обычно это делается через чтение конфигурационного файла при запуске.Расширение ICMP-протокола под названием “ICMP Обнаружение маршрутизатора” (определяется в RFC 1256 - http://www.faqs.org/rfcs/rfc1256.html) также может называться“объявление маршрутизатора”, а также “запрос маршрутизатора” Сообщения, которые позволят хостам узнать IP-адреса маршрутизатора, который подключен к их сети.Когда хост находится в процессе запуска, он будет использовать сообщения “запрос маршрутизатора”, чтобы проверить адрес на маршрутизаторе. Поскольку эти сообщения не проходят проверку подлинности, злоумышленник, находясь в той же подсети, что и хост, может подделать эти сообщения [13].Возможный сценарий атаки показан ниже:Шаг 1. Хост загружается и выдает сообщение “запрос маршрутизатора”, чтобы выяснить, какой маршрутизатор по умолчанию определен в сети.Шаг 2. Злоумышленник прослушивает сообщение и подменяет ответ на этот хост.Шаг 3. Маршрутизатор по умолчанию для атакуемого хоста заменяется на IP-адрес злоумышленника, который злоумышленник включил в свой ответ.Шаг 4. Теперь злоумышленник может использовать либо smurf, либо man-in-the-middle атаки для всего исходящего трафика через машину злоумышленника.Шаг 5. При атаке отказа в обслуживании тоже можно не пересылать все пакеты на правильную подсеть.ICMP floodingАтака флудинга на целевой хост с большим количеством сообщений ICMP от злоумышленника приводит к снижению производительности или даже полному отказу от обслуживания в некоторых случаях.Смурф-атака (http://cs.baylor.edu/~donahoo/NIUNet/взлом/смурфиков/смурфов.с) использует целые сети компьютеров, чтобы направить огромное количество трафика на целевую машину атакуемого и его сети.Атака smurf показана на рисунке 3.5Рисунок 3.5 - Атака SmurfШаг 1. Злоумышленник находит какие-то посреднические сети, которая будут реагировать на сети широковещательного адреса.Шаг 2. Злоумышленник подменяет IP-адрес хоста жертвы и отправляет огромное количество запросов проверки связи в виде ICMP пакетов на широковещательный адрес вышеупомянутых промежуточных сетей.Шаг 3. Теперь все хосты в этой сети будут отвечать так, что ICMP echo-запрос с соответствующим ICMP запросом ответа обратно на поддельный IP-адрес (потерпевшего).Шаг 4. На это будет отправлен целый букет ICMP echo-ответов, адресованный хосту-жертве и его сети. Таким образом, вызывающих деградацию сети или полный отказ в обслуживании.Этап 3 - Поддержание доступа и заметание следовПосле того как злоумышленник скомпрометировал систему, один из способов, чтобы скрыть информацию, как она передается по сети, это использовать технику, называемую туннелирование. Туннелирование подразумевает сокрытие одного протокола в другой протокол. Loki2 одна из таких реализация обсуждается в (http://www.phrack.org/show.php?p=51), который использует ICMP и udp протоколы туннелирования, полученные в оболочке из атакуемой системы.Шаги к использованию Loki2 показано ниже:Шаг 1. Злоумышленник получает root на систему жертвы.Шаг 2. Злоумышленник скачивает ПО Loki2 и компилирует его на машине.Шаг 3. Взломщик запускает Loki2 клиента на атакующей машине и получает обратный шелл на хост-жертву.Шаг 4. Теперь злоумышленник имеет доступ к консоли для машины жертвы в то время как туннелирование трафика происходит через нормальные ICMP пакеты данных.В случае такой атаки, трафик, обменивающийся между Локи клиента & Локи сервера почти скрыт, так как нет портов открытых на компьютере жертвы и трафик может быть даже зашифрован с помощью алгоритма шифрования, как blowfish или DH для дополнительной скрытности [14].Подводя итоги недавнего распределенного отказа в обслуживании (DDoS), можно сделать вывод, что ICMP используется почти во всех этих инструментах для скрытой связи между ДДОС клиентом и программой-обработчиком злоумышленника.3.2 Безопасность ICMP-протоколаВвиду множества атак, которые позволяет реализовать протокол ICMP, необходимо задуматься о мерах противодействия и обеспечения безопасности системы. ICMP достаточно простой протокол и надстройки в виде безопасного протокола поверх него сильно увеличат нагрузку на пакет. Вследствие этого основной превентивной мерой борьбы с атаками, реализуемыми через ICMP протокол является блокирование ICMP сообщений. Атакующий не сможет подменить маршрут, если не получит необходимого ICMP сообщения. Однако отключение полного протокола ICMP не является хорошим подходом в обеспечении безопасности сетевых устройств. Множество типов ICMP сообщений содержат детальный контроль над тем, какие типы ICMP-сообщений циркулируют по сети и осуществляют коммуникацию и настройку между устройствами.На Linux с iptables [15] пользователям предоставляется возможность для достижения точного контроля над ICMP-сообщениями. Например, чтобы разрешить echo-ответ введите последующие команды Shell в терминала:sudo iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPTилиsudo iptables -A OUTPUT -p icmp --icmp-type 0 -j ACCEPTТакже можно контролировать echo-ответы, отправляемые вашим хостом на входящие запросы:-A OUTPUT is the target chain-p icmp is the protocol--icmp-type 0 is the messages type (echo reply)-j ACCEPT is the action to be carried out.При определении, какие типы сообщений сети должны быть разрешены на устройстве для отправки и получения, нельзя забывать о типе устройств. Полностью заблокировав весь протокол ICMP может стать не лучшим решением, при попытке внедрения дополнительного слоя защиты от сетевых атак. Оценку каждого сетевого устройства необходимо проводить, чтобы определить, какие типы сообщений должны быть отключены, чтобы обеспечить дополнительную безопасность или остаться включенными для поддержания высокого уровня производительности сети.4 Защита объекта информатизации (организации, предприятия) от атак на сетевые протоколы Управление безопасностью протоколов сетевого уровня часто используется для обеспечения надежности связи, в особенности по общей сети, такой как Интернет, потому что они могут обеспечить защиту для многих приложений одновременно без изменения самих приложений.Многие протоколы в современных сетях эволюционировали для обеспечения сетевой безопасности используют основные принципы безопасности, такие как конфиденциальность, проверку подлинности источника, целостности данных и неотказуемости.Большинство этих протоколов по-прежнему сосредоточены на высших уровнях стека протоколов модели OSI, чтобы компенсировать врожденный недостаток безопасности в стандартный IP-протокол. Несмотря на свою важность, эти методы не могут быть легко обобщены для использования с любыми приложениями. Например, протокол SSL разработан специально для защиты приложений, таких как http или FTP. Но есть несколько других приложений, которые также нуждаются в надежной связи.Эта потребность породила разработать решение для обеспечения безопасности на уровне IP, так что все протоколы более высокого уровня могли бы ей воспользоваться.Именно поэтому основным средством для обеспечения безопасности на сетевом уровне является рассмотренный выше набор протоколов IPSec.4.1. Информационно-технологическая модель сетевой архитектурыобъекта информатизации.Рассмотрим пример применения протокола IPSec для защиты данных IT-компании.Пусть офисы компании расположены в 2 разных городах России - Москве и Санкт-Петербурге. Компаниям необходимо обмениваться данными как между друг другом, так и с программистом, который работает удаленно. Необходимо помнить о соблюдении коммерческой тайны и безопасности при передаче информации.модель сетевой архитектуры объекта информатизации показана на рисунке 4.1.Рисунок 4.1 - Модель сетевой архитектуры объекта информатизации4.2. Комплекс средств защиты от атак на протоколы сетевого уровня в СЗИ объекта информатизацииIPSec обеспечивает простой механизм для реализации виртуальной частной сети (VPN) для таких компаний. Технология VPN позволяет одному из офисов организации передавать трафик, отправляемый через общедоступный Интернет путем шифрования трафика перед входом в общественные сети и логически отделяя его от других участников движения. Упрощенная работа с VPN между офисами рассматриваемой компании показана на следующей схеме:Рисунок 4.1 - Схема работы офисов IT-компании через Интернет по технологии VPNБолее детально туннелирование между офисами и сетью Интернет продемонстрировано на рисунке 1.6.Рисунок 1.6 - Туннельный режимФункций IPSecIPSec предназначен для работы не только с протоколом TCP в качестве транспортного протокола. Он работает с udp, а также любым другим протоколом над IP, таких как ICMP, протокол OSPF и т. д.IPSec защищает весь пакет представленный на IP-уровне, включая высшее заголовки уровня.Поскольку высшее заголовки уровня являются скрытыми, которые несут номер порта, анализ трафика сложнее.Протокол IPSec работает от одного сетевого объекта на другой сетевой сущности, а не от процесса приложения для обработки приложения. Таким образом, безопасность может быть принята без внесения изменений в индивидуальные компьютеры пользователей/приложений.Протокол широко используется для обеспечения безопасной передачи данных между сетевыми организациями, IPSec может предоставить безопасность передачи данных между двумя узлами.Самое распространенное использование IPSec для виртуальных частных сетей (VPN), либо между двумя точками (шлюз-шлюз) или между удаленным пользователем и корпоративной сетью (хост-шлюз).ЗАКЛЮЧЕНИЕВ данной работе были проанализированы атаки на протоколы сетевого уровня. В первом разделе рассматривались существующие атаки в компьютерных сетях и основные понятия по данному вопросу.Вторая глава посвящена IP-протоколу - рассмотрены основные аспекты протокола, проанализированы возможные атаки, а также рассмотрены методы предотвращения атак на сетевом уровне.Третья глава посвящена ICMP-протоколу. В ней рассмотрено предназначение протокола, возможные атаки, реализуемые посредством использования ICMP-сообщений и рассматриваются способы предотвращения данных типов атак.В четвертом разделе определены основные средства для обеспечения безопасности на сетевом уровне. Кроме того, приведен пример предприятия, в сети которого настроены описанные средства обеспечения сетевой безопасности.Использованные источники1. MadalinaBaltatu, AntonioLioy, FabioMaino, DanieleMazzocchi. “Security Issues in Control, Management and Routing Protocols”. 22-25 May 2000.2. Э. Таненбаум , Д.Уэзеролл. Компьютерныесети. / пер. сангл.3. Alex Peeters. “ICMP Header Format”. 4 October, 1999.4. Ydase K., Smith T., «ICMP Attacks Illustrated» (10 Dec 2001).5. Foundstone, Inc. “Superscan v3.0”. URL : http://www.foundstone.com/rdlabs/proddesc/superscan.html (10 Dec 2001).6. Mark Spencer. “Cheops”. 1999. URL : http://www.marko.net/cheops (10 Dec 2001).7. “Firewalk” URL : http://packetstorm.decepticons.org/UNIX/audit/firewalk/ (10 Dec 2001).8. David Goldsmith & Michael Schiffman. “Firewalking”. October 1998.9. Ofir Arkin. “X Remote ICMP based OS Fingerprinting techniques” August 2001.URL : http://www.sys-security.com/archive/papers/X_v1.0.pdf (10 Dec 2001).10. Fyodor Yarochkin & Ofir Arkin. “X Probe tool”.11. Antirez. “Hping2 tool”. URL : http://www.securityfocus.com/tools/641 (10 Dec 2001).12. “SSPing tool” URL http://packetstormsecurity.org/Exploit_Code_Archive/ssping.zip (10 Dec 2001).13. “Jolt” URL : http://www.wwdsi.com/demo/saint_tutorials/jolt.html (10 Dec 2001).14. G P R . “TearDrop tool”. 13 Nov 1997.URL : http://packetstormsecurity.org/Exploit_Code_Archive/teardrop.c (10 Dec2001).15. Lindsay van Eden. “The Truth About ICMP”. 17 May 2001.