Атаки на сеть Wi-Fi, Часть-1
Атаки на сеть стандарта Wi-Fi, Часть-1
Популярность беспроводных технологий и расширение мобильного рабочего пространства способствуют становлению нового типа уровня доступа. “Корпорация, которая везде со мной”. – все чаще так называют архитектуру, которая безопасно и надежно предоставляет пользователю корпоративную инфраструктуру везде–в офисе компании, на удаленных сайтах, дома, в любом месте, где есть доступ к интернету. Однако мобильность, включая беспроводные технологии стандарта WiFi, имеет потенциал создавать условия, при которых возможен несанкционированный доступ в сеть передачи данных, возможны потери закрытой информации, а также возможны условия для проникновения в сеть вирусов и червей. Качественное и полноценное планирование позволяет избегать эти проблемы без чрезмерных капитальных и операционных затрат.
Если беспроводная сеть доступа WiFi 802.11 развернута, она должна мониториться и защищаться против хакерских атак. Диапазон их варьируется от генерации простого широкополосного шума с помощью радиоджаммеров до изощренных атак типа «человек в промежутке» (man in the middle/MITM), где атакующий создает ситуацию, входя в коммуникационный путь и получая возможность добавлять, удалять или модифицировать данные.
Использование шифрования трафика и аутентификации устраняет многие проблемы, но важно не забывать о более продвинутых технологиях нашего времени. Это, например, системы предотвращения вторжений в сети доступа WiFi (IPS/Intrusion Prevention System), необходимые для выявления и предотвращения атак. Системы IPS давно существуют и прекрасно себя показали не только в проводном, но и в беспроводном мире. IPS позволяет не тратить значимое время на попытки решения проблем с соединением или с производительностью в сети стандарта WiFi, в то время как фактическая проблема, например, в уже начавшейся атаке на сеть WiFi.
Построение эффективной системы безопасности сети доступа стандарта WiFi- это не просто покупка какой-то программы для защиты, например, IPS. Это комплексный проект, включающий в себя решение большого количества задач - от вдумчивого проектирования прав доступа и списков доступных ресурсов для каждого пользователя беспроводной сети WiFi до введения практики постоянного отслеживания уровня безопасности собственной WiFi-инфраструктуры для выявления слабых мест и разработки плана реакции на атаки и нарушения безопасности. Это крайне полезная практика для создания BYOD-решений.
Некоторые общие наблюдения:
1. Принимая во внимание общие сетевые уровни проводной и беспроводной сети WiFi, большинство атак, применяемых в проводной сети, будут работать и против беспроводных клиентов WiFi.
2. Из-за физической природы Радио обнаружение злоумышленника, вражеской точки доступа WiFi или инфицированного компьютера и предотвращение попыток доступа или атак может быть сложным.
3. Управляемые Точки Доступа WiFi и централизованная архитектура сети доступа WiFi-стандарта являются критическими факторами обеспечения безопасности.
Как уже было замечено ранее, большинство известных атак применимы как в проводной, так и в беспроводной сети, поэтому проведем комплексный анализ аспектов сетевой Безопасности с учетом особенностей беспроводной сети Wi-Fi.
Рассмотрим подробнее основные аспекты Сетевых Атак
Общая классификация сетевых атак
Одно из определений сетевой атаки – сетевая атака может быть определена как любой метод, процесс или средство, используемое для выполнения злонамеренной попытки нарушения сетевой безопасности.
Существует много причин, по которым люди хотят атаковать корпоративные сети. Людей, которые проводят сетевые атаки часто называют хакерами или кракерами.
Список типов злонамеренных действий, которые выполняет атакующий:
(понимание этого позволит ввести соответствующие дополнения в проект построения эффективной системы безопасности сети)
- Нелегальное использование пользовательских аккаунтов и привилегий,
- Физическая кража «железа»,
- Кража программного обеспечения,
- Запуск исполняемого кода для повреждения систем,
- Запуск исполняемого кода для уничтожения или повреждения данных,
- Модификация сохраненных данных,
- Кража данных,
- Использование информации для получения финансовой выгоды или для промышленного шпионажа,
- Выполнение действий, которые не дают возможности легитимным пользователям получать доступ к сетевым сервисам и ресурсам,
- Выполнение действий, которые поглощают сетевые ресурсы и полосу пропускания.
Причины атак на корпоративные сети:
- Попытка получить славу, признание. Молодежь пытается взломать веб-сайты и другие публичные ресурсы в Интернете, пытаются получить признание в хакерском сообществе.
- Корыстные личные и идеологические мотивы:
- Желание наживы.
- Промышленный шпионаж.
- Политика.
- Терроризм.
- Расизм.
- «Разборки». - Недовольство бывших или существующих сотрудников, сведение счетов с компанией. Могут стремиться повлиять на информационную надежность или финансовую стабильность компании.
- Удовольствие от решения сложных задач. Этот мотив характерен для отдельной категории атакующих, которым нравится сам процесс проникновения в сверхзащищенные сетевые системы и хранилища. Они обычно просто развлекаются и/или пытаются привлечь внимание к имеющимся сетевым уязвимостям.
Опасности для сети могут исходить из различных источников, отсюда и атаки делятся прежде всего на два больших раздела - внешние и внутренние.
В целом Сетевые атаки можно классифицировать четырьмя типами:
1. Внутренние опасности.
2. Внешние опасности.
3. Структурированные опасности.
4. Неструктурированные опасности.
>Внешние опасности (и внешние атаки):
когда внешние атаки выполняются без участия внутренних сотрудников. Такие атаки организуются и выполняются опытными индивидуалами или их группами, организациями хакеров, а иногда и не опытными «новичками». Атакующие обычно имеют план и соответствующий инструментарий, владеют соответствующими техниками для выполнения атаки. К основным характеристикам внешних атак можно отнести использование сканирования системы и сбор информации. Таким образом можно определять внешние атаки на корп сети путем тщательного анализа логов межсетевых экранов. Для быстрой и удобной идентификации внешних атак хороший подход состоит в развертывании системы предотвращения вторжений IPS, которые бывают и для проводной сети LAN и для беспроводной сети WiFi.
Для сетей Wi-Fi производители решений корпоративного класса предложат качественные и продвинутые системы IPS, способные не только пассивно мониторить инфраструктуру и эфир и выявлять атаки по шаблонам, но и активно противодействовать им (примеры: трассирование портов на коммутаторах, к которым присоединены чужие устройства, и блокировка данных портов; посылка фреймов деаутентификации от имени вражеского устройства, которое выполняет атаку типа MITM и к которому присоединились легитимные клиенты нашей сети и т.п.).
Внешние атаки можно разделить на структурированные атаки и неструктурированные атаки:
>>Внешние структурированные атаки:
Этот тип атак инициируется злонамеренными индивидуалами или организациями. Структурированные атаки обычно инициируются из некой сети и имеют продуманные заранее цели, на которые планируется оказывать влияние для разрушения, повреждения и т.п. Возможные мотивы:
- желание наживы;
- политические мотивы;
- идеологические мотивы (терроризм, расизм);
- мотивы мести («разборки»).
Атакующие в данном случае обычно имеют обширные знания в дизайне сетей, обходе систем безопасности, включая обход IDS (Intrusion Detection Systems), и имеют продвинутый инструментарий для взлома. В их арсенале необходимые знания для разработки новых техник сетевых атак и возможность модификации существующего хакерского инструментария под свои задачи. В некоторых случаях внутренний персонал компании с правами доступа может помогать атакующим.
>>Внешние неструктурированные атаки:
Такие атаки инициируются обычно неопытными хакерами, любителями. При таком подходе атакующий использует простой инструментарий хакерского взлома или скрипты, доступные в Интернете, для выполнения сетевой атаки. Уровень знаний атакующего обычно низок для создания серьезной опасности. Нередко это просто скучающие молодые люди, ищущие славы путем взлома корпоративного веб-сайта или другой известной цели в Интернете.
Внешние атаки могут осуществляться удаленно или локально (часто изнутри сети):
>>Внешние удаленные атаки:
Такие атаки обычно нацелены на услуги, которые организация предлагает открыто и публично. Существуют различные формы таких атак:
- Удаленные атаки, нацеленные на сервисы, доступные для внутренних пользователей. Такие атаки обычно случаются, когда отсутствуют межсетевые экраны для защиты таких внутренних сервисов.
- Удаленные атаки нацеленные на расположение точек входа в корпоративную сеть (беспроводные сети доступа, порты, модемные пулы).
- Атаки типа Отказ в Обслуживании (DoS) для создания перегрузки процессоров на серверах и т.п. с целью формирования ситуации, когда авторизованные пользователи не могут пользоваться услугами.
- Дозвон на корпоративную телефонную станцию, (PBX).
- Попытки взлома паролей систем аутентификации.
>>Внешние локальные атаки (атаки изнутри):
такие атаки обычно начинаются, когда открыт доступ в компьютерные помещения, и можно получить доступ к какой-либо системе.
>Внутренние атаки:
часто инициируются недовольными или обиженными на компанию бывшими или действующими сотрудниками или внештатным персоналом. Внутренние атакующие имеют ту или иную форму доступа к системе и обычно пытаются скрыть атаку и выдать ее за обычный рабочий процесс. Например, нелояльный сотрудник имеет доступ к каким-либо ресурсам внутренней сети. Он может иметь даже некоторые административные права в сети. Здесь один из лучших подходов состоит в развертывании системы обнаружения вторжений IDS (или IPS) и конфигурировании ее для сканирования системы на предмет как внешних, так и внутренних атак. Все формы атак должны быть занесены в журнал, и эти логи необходимо проверять, разбираться и принимать меры по защите от подобного в дальнейшем.
Важно четко понимать, что сетевые атаки - это серьезная опасность. Следующие основные компоненты должны быть включены в дизайн сети для построения системы сетевой Безопасности:
- Предотвращение сетевых атак,
- Определение сетевых атак,
- Изоляция сетевых атак,
- Восстановление от последствий сетевых атак.
Что такое Хакинг
Термин хакинг изначально применяли для обозначения процесса поиска решений для преодоления технических проблем. В наши дни хакингом чаще всего называют процесс, посредством которого злонамеренные взломщики пытаются нарушить безопасность корпоративных сетей передачи данных (LAN или WiFi) с целью уничтожения, изменения или кражи конфиденциальных данных или нарушения операционной деятельности организации.
Существуют термины, которые описывают преступный хакинг:
- Кракинг,
- Киберпреступление,
- Компьютерный шпионаж (или Кибершпионаж),
- Фрикинг.
Для получения доступа в какую-либо систему взломщик (хакер) выполняет определенные действия:
- Предварительный сбор информации, футпринтинг (Footprinting): это начальный шаг в хакинге корпоративной сети. Взломщик пытается собрать как можно больше информации о целевой сети, используя источники, к которым есть открытый доступ. Цель состоит в создании карты сети для определения используемых типов устройств, операционных систем, приложений, планов IP-адресации, а также идентификации любых открытых портов.
Методы, используемые для футпринтинга:
- Анализ информации из публично доступных источников на корпоративном веб-сайте и т.п. - для получения любых полезных данных.
- Поиск любого анонимного FTP-сайта и внутренних незащищенных корпоративных сайтов.
- Сбор информации о компании по доменному имени компании и используемому блоку IP-адресов.
- Тестирование хостов в используемом блоке IP-адресов. Обычно используются инструменты Ping или Flping.
- Использованием таких инструментов как Nslookup взломщик пытается выполнить трансфер зоны DNS (это один из механизмов администратора, который позволяет скопировать информацию из баз данных DNS с группы DNS-серверов).
- Такой инструмент как Nmap используется для сбора информации о том, какие операционные системы используются.
- Tracert применяется для поиска маршрутизаторов и сбора данных о подсетях.
-
Сканирование портов: это процесс сбора данных о сетевых сервисах целевой сети. Взломщик пытается найти открытые порты. Он может использовать различные методы сканирования, например:
- Скан SYNC (Vanilla scan/SYNC scan): Пакеты TCP SYN направляются на каждый порт IP-адреса, пытаясь присоединиться к каждому порту. Используются номера портов 0-65535.
- Стробирование (Strobe): атакующий пытается присоединиться к специфическому диапазону портов, которые обычно открыты на хостах с операционными системами Windows или UNIX/Linux.
- Развертка (Sweep scan): большой набор IP-адресов сканируется в попытке определить систему, которая имеет хотя бы один открытый порт.
- Пассивное сканирование (Passive scan): копируется весь сетевой трафик входящий в сеть или покидающий ее. Затем трафик анализируется для поиска открытых портов на хостах внутри сети.
- Сканирование UDP (User Datagram Protocol scan): пустые пакеты UDP отправляются на различные порты - группы адресов для определения какие операционные системы будут отвечать. Некоторые порты могут отвечать сообщением Port Unreachable, когда получают пустой пакет UDP. Другие операционные системы отвечают пакетом ICMP error.
- FTP отскок: для того, чтобы скрыть положение атакующего, сканирование часто инициируется из промежуточного FTP-сервера.
- FIN сканирование: пакеты TCP FIN, которые определяют, что тот, кто их отправил, хочет закрыть TCP сессию, отправляются на каждый порт из диапазона IP-адресов.
- Перечисление/перебор (Enumeration): взломщик использует набор методов для сбора информации по приложениям и хостам на сети и пользовательским аккаунтам, используемым на сети. Перебор бывает особенно успешен на сетях, которые содержат незащищенные сетевые ресурсы и сервисы, например:
/ сетевые сервисы, которые работают, но не используются;
/ пользовательские аккаунты «по умолчанию» (default), которые не имеют паролей;
/ активные гостевые аккаунты;
/ сетевые устройства со слабой защитой, например, сетевые принтеры, где часто используется операционная система на основе Linux и которая очень часто может быть легко взломана и использована как плацдарм для будущей атаки. Это же касается и сетевых принтеров с Wi-Fi интерфейсом, работающим как клиент сети WiFi.
- Получение доступа (Acquiring access): атаки на получение доступа выполняются, когда атакующий исследует слабости системы безопасности с целью получить доступ к системе или сети. Для получения доступа к системе чаще всего используются программы типа Троян (троянская лошадь) или специальные программы для хакинга паролей. После получения доступа взломщик может модифицировать, удалять данные и модифицировать или удалять сетевые ресурсы.
Распространенные типы атак на доступ:
- Неавторизованный доступ к системе (Unauthorized system access) часто используется для задействования слабостей текущей операционной системы или запуска специальных скриптов или программ для хакинга с целью получения доступа к системе.
- Неавторизованное получение привилегированных прав (Unauthorized privilege escalation) является распространенным типом атак. Ситуация эскалации привилегий возникает, когда атакующий пытается получить самый высокий уровень доступа, как, например, привилегии администратора, для получения контроля над системой.
- Неавторизованная манипуляция данными (Unauthorized data manipulation): использует интерпретацию, изменение и удаление конфиденциальной информации.
- Эскалация привилегий (Privilege escalation): когда атакующий пытается получить начальный доступ к системе, обычно используются аккаунты с минимальными правами. Случай эскалации привилегий возникает, когда взломщик пытается поднять свои права для получения более высокого уровня доступа, привилегий уровня администратора, для получения контроля над системой.
Методы, используемые для эскалации привилегий:
- Атакующий разыскивает пароли и ключи регистрации для паролей.
- Атакующий может искать документы с информацией об административных правах.
- Атакующий может использовать программу для взлома паролей на целевых пользовательских аккаунтах.
- Атакующий может использовать программу Троян, пытаясь получить информацию о доступе к аккаунтам с административными привилегиями.
- Установка «черного хода» (Backdoors): хакер может установить скрытый механизм доступа в систему, который используется на более поздних стадиях взлома системы и после проведения дополнительной подготовки. Если возникло понимание, что система была взломана, и нет полной уверенности, что было выполнено, то наилучший вариант в удалении любых программ «черных ходов» состоит в переустановке системы с безопасной резервной копии. Отсюда следует, что важно защищать не только пользовательские системы, но и хранилища с резервными копиями пользовательских систем.
- Удаление доказательств атаки: атакующий обычно удаляет все доказательства своих действий. Поэтому важно иметь систему определения вторжений для сбора данных и возможности провести насколько возможно подробное собственное расследование того, что происходило в сети при нарушении безопасности, даже если на первый взгляд ничто не пострадало.
Кто проводит атаки на сети?
Хакер - это кто-либо, кто злонамеренно атакует сети, системы, компьютеры, приложения с целью копирования, повреждения, модификации, кражи или удаления конфиденциальной корпоративной информации.
Хакер может задействовать команду различных людей, которые выполняют различные действия с целью взлома систем и сетей и часто не имеют отношения к криминалу, например:
- Программисты, которые решают сложные технические проблемы.
- Молодежь и подростки, которые используют скрипты и программы, доступные в Интернете для взлома систем.
- Активисты, которые стремятся запретить доступ к какому-либо веб-сайту в знак протеста.
Хакеры наших дней классифицируются в соответствии со шляпами (кепками, шапками и т.п.), которые они носят. Эта концепция выглядит следующим образом:
- Черная шляпа (Black hat hackers) - это злонемеренные или криминальные хакеры, которые взламывают сети, системы и компьютеры для повреждения данных или попытки создания условий сложности или невозможности использования сетевых сервисов. Некоторые черные хакеры взламывают защищенные системы просто для поднятия собственного престижа в хакерском сообществе.
- Белая шляпа (White hat hackers) - это легитимные эксперты в сетевой безопасности, которые разыскивают уязвимости в различных системах. Их мотив - улучшение безопасности. Эти эксперты обычно имеют довольно обширные знания о том, какие методы используют Черные шляпы.
- Серая шляпа (Grey hat hacker) - индивидуалы, их мотивы неопределенны, лежат в сфере между черными и белыми.
Основные типы Сетевых Атак
Существует много различных типов сетевых атак, классифицировать их непросто, так как лишь немногие являются достаточно общими и чаще всего используемыми. Рассмотрим их:
- Модификация данных или манипуляция данными относится к сетевым атакам, которые изменяют или удаляют корпоративные данные. Модификация данных успешна, когда данные изменяются, и отправитель не в курсе того, что его информация была подделана.
Следующие методы могут помочь в защите целостности данных (integrity):
- Использование цифровых подписей для того, чтобы гарантировать, что данные не были модифицированы во время передачи по сети или даже при сохранении куда-либо.
- Использование листов контроля доступа (access control lists/ACL) для реализации раздельных прав доступа к данным (например, ограничение того какие пользователи могут получать доступ к Вашим данным).
- Регулярное резервное копирование важной информации.
- Включение специального кода в приложения, который может проверять вводимые данные.
- Прослушивание (Eavesdropping): этот тип атаки возникает, когда взломщик мониторит или прослушивает трафик сети при передаче и затем может выявить все незащищенные данные. Важно понимать, что если для прослушивания обычных телефонных переговоров (телефонные системы с коммутацией каналов) необходимо иметь специальное оборудование и доступ в здание телефонной компании, то все, что необходимо для прослушивания в IP-сети - это сниффер для сбора данных, которые передаются. В основном это происходит в следствии того, что TCP/IP (Transmission Control Protocol/Internet Protocol) разрабатывался как открытая архитектура для передачи нешифрованного трафика по сетям.
Следующие методы могут помочь в защите от прослушивания:
- Использование IPSec (Internet Protocol Security) для шифрования данных до их отправки в сеть.
- Использование политик и процедур безопасности, которые не дадут возможности атакующему установить программу-сниффер в сети.
- Установка антивирусного ПО (и специализированного ПО для поиска шпионского ПО) для защиты корпоративной сети от Троянов. Трояны часто используются для поиска и сбора такой информации, как пользовательские логины и пароли.
-
Подмена IP-адресов и идентификаторов, спуфинг (IP spoofing/identity spoofing): подмена IP адреса возникает, когда атакующий изменяет IP-адрес источника в своем пакете, чтобы имитировать отправку с разрешенного адреса внутренней сети компании (к тому же надо обеспечить маршрутизацию этого пакета внутри корпоративной сети). Цель - идентифицировать «компьютер» хакера в сети. Большинство IP-сетей используют IP-адреса для проверки идентификации источника (например на ACL межсетевых экранов или маршрутизаторов доступа). Маршрутизаторы чаще всего просто игнорируют адрес источника при выполнении процесса маршрутизации и используют только адрес/сеть назначения. Эти факторы дают возможность атакующему обойти маршрутизатор и получить возможность запуска последовательности атак, например:
- Инициация атаки Отказ в Обслуживании (DoS).
- Инициация атаки «человек в промежутке» (MITM/man in the middle) для перехвата сессий
- Редирект трафика.
Используются несколько методов предотвращения спуфинга IP-адресов:
- Шифрование трафика между маршрутизаторами и внешними хостами,
- Сконфигурировать входные фильтры на внешних маршрутизаторах и межсетевых экранах для остановки входящего трафика, когда IP-адрес источника в пакете принадлежит доверенному хосту из внутренней сети.
- Атаки с использованием снифферов (Sniffer attacks): атаки сниффинга - это процесс, когда атакующий использует специальные программы для перехвата и анализа сетевого трафика. Анализируется содержание сетевого пакета. Инструменты, которые используются для сниффинга обычно называют снифферами, хотя более правильно называть – анализаторы протоколов. Учитывая, что анализаторы протоколов широко используются для поиска неисправностей в сети, хакеры также используют их и для злонамеренных целей. Снифферы перехватывают, копируют и т.п. сетевую информацию, как, например, пароли и открытые пользовательские данные. В случае, когда кто-либо имеет физический доступ к сети, он может легко установить анализатор протоколов в сеть и копировать трафик. Удаленный сниффинг также может выполняться, и взломщики часто им пользуются.
Можно выделить следующие снифферы, которые часто используются администраторами безопасности и злонамеренными хакерами:
- Dsniff
- Ethereal
- Etherpeek
- Network Associates’s Sniffer
- Ngrep
- Sniffit
- Snort
- Tcpdump
- Windump
Для защиты от снифферов используйте шифрование трафика, например, с помощью IPSec (Internet Protocol Security). В данном случае никакой перехваченный пакет не может быть интерпретирован в доступную форму.
- Атаки на пароли (Password attacks): чаще всего основаны на подборе паролей для системы пока не будет определен верный. Одно из основных слабых мест в Безопасности, связанных с контролем доступа по паролям, - то, что подход основан на корпоративном идентификаторе пользователя (user ID) и каком-либо пароле. Но как используется информация для доступа в каждом конкретном случае? Некоторые старые приложения не защищают передаваемые пароли. В таком случае пароли просто отправляются как обычный текст (не используется никакая форма шифрования). Помните, что хакер может узнать User ID и перехватить пароль. После этого он уже будет выглядеть как авторизованный пользователь и может начать атаку. Важно понимать, что ваша сеть уязвима настолько, насколько слабо ее самое слабое звено! Никто обычно не ломает инфраструктуру в лоб, чаще всего терпеливо ищется именно слабейшее звено в защите. Атакующий может использовать атаку по словарю и т.п., чтобы получить доступ к ресурсам с теми же правами, как и авторизованный пользователь. Если же этот пользователь имеет уровень доступа эквивалентный или близкий администратору, то возникает большая опасность. И еще большая опасность, когда этот пользователь использует одни и те же логи и пароль ко всем системам. Тогда атакующий сразу получает доступ к целому ряду систем.
Атаки на пароли выполняются двумя основными способами:
- Взлом в он-лайне (Online cracking): атакующий перехватывает сетевой трафик, чтобы воспользоваться информацией из аутентификационной сессии для перехвата пароля. Существуют программы, которые нацелены именно на выявление паролей из общего трафика.
- Взлом в офф-лайне (Offline cracking): атакующий пытается получить доступ к системе (часто с минимальными правами доступа) с целью каким-либо образом обнаружить пароли. Затем хакер использует технологии взлома паролей для расшифровки информации доступа пользовательского аккаунта.
Атака по словарю возникает и имеет смысл к применению когда слова, обычно используемые в паролях, дают возможность выявить соответствие обычным словам (т.е. когда используется не бессвязный набор различных символов, а осмысленные слова). Существуют некоторые технологии, которые могут генерировать набор сложных комбинаций слов и их вариаций. Современные операционные системы хранят пользовательские пароли только в зашифрованном виде. Для получения паролей пользователи должны иметь административные права доступа к системе. Современные операционные системы также поддерживают политики для паролей. Например, могут быть определены политики того, как управлять паролями (частота смены пароля и т.п.) и характеристики паролей, которые приемлемы в системе (длина пароля, минимальное сочетание используемых символов и т.п.).
Настройки Политик для паролей могут быть использованы для задания и применения правил для паролей, например:
- Определение простой пароль или сложный.
- Определение поддерживаемой истории паролей (какие пароли уже использовались пользователем).
- Определение минимальной длины пароля.
- Определение минимального возраста пароля.
- Определение максимального возраста пароля.
- Определение того, как сохраняются пароли – с реверсивным (reversible) шифрованием или нереверсивным (irreversible) шифрованием.
Политики Захвата и Блокировки аккаунта (Account lockout) должны быть введены, если окружение является уязвимым для опасностей в случае возможности успешного угадывания паролей. Запуск политики Захвата аккаунта гарантирует, что пользовательский аккаунт блокируется после того, как кто-либо безуспешно пытался несколько раз ввести пароль доступа. Важно помнить, что при определении политики блокировки аккаунтов необходимо разрешить некоторое количество возможных ошибок со стороны пользователя (часто делают до 3-5), но также должен быть введен и верхний предел, который не позволит хакеру использовать пользовательский аккаунт для подбора паролей. Следующие настройки для паролей и политики блокировки аккаунтов встречаются на практике:
- Верхняя граница для блокировки аккаунта: эта настройки контролирует, сколько раз неверный пароль может быть введен, после чего аккаунт блокируется в системе,
- Время блокировки аккаунта: эта настройка позволяет установить время, в течение которого аккаунт остается недоступным после блокировки. Настройка «0» означает, что администратор должен вручную разблокировать аккаунт.
- Восстановление счетчика Блокировки аккаунта: эта настройка определяет время, которое должно пройти после последовательности неверных попыток входа до момента восстановления счетчика.
- Лобовая атака (Brute force attack): лобовая атака выполняется путем декодирования шифра, пробуя каждый возможный ключ для поиска верного. Этот тип сетевой атаки систематически пробует все возможные комбинации букв, цифр, символов для поиска пароля, который подходит для пользовательского аккаунта. Лобовые атаки нередко используются для взлома сетей, использующих протокол SNMP (Simple Network Management Protocol). Здесь атакующий инициирует Лобовую атаку для поиска групповых имен SNMP, что позволяет выявить круг устройств и сервисов работающих на сети.
Следующие методы могут быть использованы для предотвращения лобовых атак:
- Принять политику использования длинных имен паролей.
- Для SNMP необходимо использовать длинные и сложные названия групп (community).
- Развернуть систему обнаружения вторжений – IDS (intrusion detection system). Проверяя профили трафика IDS, может определить, что происходит лобовая атака.
-
Атака типа Отказ в Обслуживании (Denial of Service/DoS): Атака типа DoS имеет целью противодействия в доступе к сетевым сервисам авторизованным пользователям. DoS-атака не фокусируется на поиске и сборе данных. Здесь задача - не дать пользователям нормально пользоваться ресурсом или сетью. Первой формой DoS-атаки был SYN flood (1996 год), который использовал уязвимость протокола TCP. DoS-атака может быть начата путем посылки некорректных данных к приложениям или сетевым сервисам до того момента, пока сервер не зависнет или не «упадет». Наиболее общая форма DoS-атак - это атаки на TCP.
DoS-атаки могут использовать любой из следующих методов:
- Отправка в сеть большого количества некорректных данных, пока трафик авторизованных пользователей не перестанет обрабатываться.
- Отправка в сеть большого количества некорректных запросов на предоставление услуги пока хост, предоставляющий этот сервис, не перестанет обрабатывать запросы авторизованных пользователей. Со временем сеть становится перегруженной.
- Прерывание коммуникаций между хостами и клиентами, используя любой из следующих методов:
/ Модификация системных конфигураций.
/ Физическое повреждение сети. Падение маршрутизатора, например, приведет к невозможности получить доступ к системе.
В случае сети стандарта WiFi, помимо описанных выше опасностей, большое распространение имеет создание широкополосных помех с помощью радио-джаммеров. Это эквивалент DoS-атаки, но только на физическом уровне радиосреды. Противостоять подобного рода атаке средствами инфраструктуры Wi-Fi практически невозможно, если мощность излучения высока, но можно использовать специальные технологии для идентификации типа устройства, создающего помехи и определения его физического местоположения в зоне покрытия. Например, это может быть выполнено с большой эффективностью в случае, если сеть построена на оборудовании Cisco Systems и Точки Доступа WiFi поддерживают технологию CleanAir (модельные ряды Cisco 3700, 3600, 2700, 1550 и тд). После обнаружения местоположения излучателя, в данную точку могут быть направлены сотрудники службы безопасности для физического устранения проблемы. Естественно, подобные действия должны быть спланированы и согласованы заранее. (Разработка плана таких мероприятий - в конце данной статьи).
Существуют программные продукты, доступные в Интернете, которые могут инициировать DoS-атаки:
- Bonk
- LAND
- Smurf
- Teardrop
- WinNuke
Атакующий может усилить мощность атаки DoS, используя множество компьютеров против одной сети. Этот тип атаки известен как Распределенный Отказ в Обслуживании (distributed denial of service/DDoS). Сетевые администраторы могут столкнуться с большими сложностями при отражении DDoS-атаки, так как ответное воздействие на все атакующие компьютеры может вести и к блокированию нормальных авторизованных пользователей (чаще всего в DDoS-атаке участвуют компьютеры, на которые хакер заранее нелегально установил соответствующее программное обеспечение для выполнения DoS-атаки под единым удаленным управлением).
Для защиты против DoS-атак могут быть использованы следующие меры:
(это скорее пассивные меры общей защиты)
- Принятие и использование политик надежных паролей.
- Регулярное выполнение резервного копирования системы.
- Выключение или удаление всех сетевых сервисов, в которых нет необходимости.
- Ввести дисковые квоты для пользователей и сервисных аккаунтов.
- Конфигурирование фильтров на маршрутизаторах.
- Использование последних обновлений и патчей для операционных систем.
Следующие меры защиты могут быть использованы для защиты сети от распределенных DDoS-атак (эти меры работают в случае DoS-атаки и в целом их полезно применять для построения комплексной системы безопасности):
- Введение ограничений на количество пропускаемых пакетов ICMP и SYN на интерфейсах маршрутизаторов.
- Фильтрация частных IP-адресов, используя листы контроля доступа (ACL) на маршрутизаторах.
- Применение входящей и исходящей фильтрации на всех граничных маршрутизаторах.
Kom-Way.Team
Использование материалов этого сайта разрешено только с согласия komway.ru и наличии прямой ссылки на источник.
blog comments powered by Disqus