Атаки на сеть Wi-Fi, Часть-2
Атаки на сеть стандарта Wi-Fi, Часть-2
Еще раз напомним, что все здесь описаное одинаково важно и для безопасности сети стандарта Wi-Fi, и в целом для инфраструктуры сети передачи данных компании.
Вирусы
Вирус - это вредоносный программный код, который влияет на компьютерную систему и инфицирует системные файлы. Большое количество файлов изменяется. Вирусы обычно создаются для уничтожения каких-либо данных или создания ситуаций повреждения пользовательской или корпоративной системы.
Статистика по вирусам от McAfee
Существует множество способов того, как программные вирусы могут проникнуть в систему:
- Инфицированные носители: флеш-карты, внешние HDD, старые флоппи-диски, оптические CD и DVD-диски, куда при записи информации был добавлен и вирус.
- Электронная почта: обычно через приложения с вирусами.
- Программное обеспечение: обычно при скачивании ПО, которое инфицировано вирусом.
- Несколько общих типов вирусов:
- Вирусы загрузочного сектора (Boot sector viruses): это вирусы, которые инфицируют главную загрузочную запись(master boot record) на HDD. Затем вирус загружается в память, когда система запускается или перезагружается.
- Файловые вирусы или Вирусы-паразиты (File viruses or program viruses or parasitic viruses): это вирусы, которые присоединены к исполняемым программам. Когда данная программа запускается, вирус загружается в память.
- Многозадачные вирусы (Multipartite viruses): это вирусы, которые являются комбинацией вируса загрузочного сектора и файлового вируса.
- Макро-вирусы: это вирусы, которые написаны на макро-языках, используемых приложениями, например MS Word. Макро-вирусы обычно инфицируют системы через электронную почту.
- Полиморфические вирусы: Это вирусы, защита от которых наиболее сложна, так как они могут модифицировать собственный код. Для антивирусного ПО обычно сложнее обнаружить и удалить полиморфические вирусы.
Если вирус инфицировал систему, используйте следующие рекомендации:
- Сканируйте каждую систему, чтобы выяснить, как выглядит зараженная инфраструктура в целом.
- Для предотвращения дальнейшего распространения вируса немедленно отсоедините все инфицированные системы от сети.
- Все инфицированные системы должны быть восстановлены с незараженной резервной копии.
- Информировать производителя антивирусного ПО, чтобы была пополнена база данных вирусных сигнатур.
- Несколько методов защиты сетевой инфраструктуры против вирусов:
- Установить антивирусное ПО.
- Регулярно обновлять все антивирусные программы.
- Регулярно выполнять резервное копирование систем после сканирования на вирусы и уверенности, что при копировании система не будет содержать вирусы.
- Пользователи должны быть информированы о том, чтобы не открывать никакие приложения к электронной почте, которые были отправлены с незнакомых адресов (хотя сегодня уже вполне возможно заражение и через инфицированные веб-страницы).
Черви
Как было описано ранее, вирус - это вредоносный код, который инфицирует файлы в системе. Червь - также автономный программный код, который распространяется по сети, но с целью поглощения дискового пространства и процессорных ресурсов. Черви инфицируют не только файлы одной системы, но распространяются и на другие системы в сети. Задача червей состоит в истощении доступных системных ресурсов. Отсюда и причина, почему черви постоянно воспроизводят копии себя самих. В общем случае черви создают собственные копии, пока не израсходуется вся доступная память, вся доступная полоса пропускания сетевого канала, и пока легитимные пользователи не смогут пользоваться сетевыми ресурсами или сервисами.
Существует несколько червей, которые достаточно изощренны, чтобы портить файлы, приводить к состоянию, когда система перестает работать, и даже красть данные. Такие черви обычно имеют один или группу вирусоподобных кодов.
Некоторые распространенные черви:
- Червь ADMw0rm вызывает переполнение буфера в BIND (Berkeley Internet Name Domain).
- Червь Code Red использует переполнение буфера, основанное на уязвимости в MS Internet Information Services (IIS) версий 4 и 5.
- Червь LifeChanges использует слабости в операционной системе Microsoft Windows, которые дают возможность ломать файлы оболочки для запуска любого произвольного кода.
- Червь LoveLetter использует скрипты на Visual Basic для воспроизведения или массовой рассылки себя самого на все адреса из адресной книги в Windows.
- Червь Melissa использует слабости почтовых программ Microsoft Outlook и MS Outlook Express для массовой рассылки себя на все адреса из адресной книги в Windows.
- Червь Morris использует слабость режима отладки (debug mode) в Sendmail.
- Червь Nimda запускал приложения к электронным письмам в формате HTML (Hypertext Markup Language) путем использования тега HTML IFRAME.
- Червь Slapper exploited использует уязвимость платформы Apache Web server для создания перегрузки буфера.
- Червь Slammer exploited использует уязвимость непропатченного Microsoft SQL Server для создания перегрузки буфера.
Троянские лошади или просто Трояны
Троянская лошадь или Троян - чаще всего это файл или вложение в электронном письме, которое выглядит, как дружеский, нормальный файл. Однако когда при открытии этот файл (с вредоносным вирусом) может повреждать данные или даже сформировать «черный ход» в систему.
Можно выделить следующие отличия Троянов от Вирусов и Червей:
- Троян маскируется под дружественную программу. Вирусы и Черви значительно более очевидны.
- Трояны не выполняют репликацию самих себя, как черви и вирусы.
- Различия в типах Троянских лошадей или троянов:
- Журналирование нажатий на клавиатуре (Keystroke loggers) - мониторит нажатия на клавиатуре, которые выполняет пользователь, а затем электронным письмом отправляет хакеру.
- Кража паролей (Password stealers) - маскируются под легитимные экраны или приглашения для входа в систему и ждут, пока пользователь введет свои логин и пароль, чтобы украсть эту информацию. Цель этого типа троянов - в поиске и краже системных паролей для хакеров.
- Инструмент для удаленного управления (Remote administration tools/RAT) - используется хакерами для получения удаленного контроля над системой по сети.
- Зомби (Zombies) обычно используются для инициации атаки распределенного отказа в обслуживании (DDoS) с хостов внутри сети.
Предсказание сетевых опасностей и атак на проводные и беспроводные сети WiFi
Для защиты сетевой инфраструктуры необходимо уметь и иметь возможность предсказывать типы атак, для которых сеть уязвима. Это также должно включать анализ рисков (степени риска или степени опасности), который несет в себе каждая идентифицированная опасность для сетевой инфраструктуры.
Эксперты в области Безопасности используют модель, называемую STRIDE для классификации сетевых опасностей:
- Подмена идентификатора (Spoofing identity): такие атаки имеют целью в получении информации о пользовательских аккаунтах. Обычно атаки такого типа влияют на сохранность конфиденциальности данных.
- Фальсификация данных (Tampering with data): такие атаки имеют целью модификацию корпоративной информации. Фальсификация данных в итоге влияет на целостность данных (integrity). Одна из форм такой атаки это «человек в промежутке» MITM.
- Отказ (Repudiation): ситуация отказа возникает, когда пользователь выполняет некую форму злонамеренных действий на каком-либо ресурсе и позже отрицает проведение данной конкретной акции. Сетевые администраторы обычно не имеют доказательств их подозрений.
- Раскрытие информации (Information disclosure): в данном случае частная или конфиденциальная информация становится доступной тем, кто не должен иметь доступа к этим данным. Раскрытие информации обычно влияет на конфиденциальность данных и конфиденциальность сетевых ресурсов.
- Отказ в обслуживании (Denial of service): такие атаки влияют на доступность корпоративных данных и сетевых ресурсов/сервисов. DoS-атаки нацелены на то, чтобы легитимные пользователи не могли пользоваться ресурсами сети.
- Увеличение привилегий (Elevation of privilege): увеличение/усиление привилегий возникает когда атакующий эскалирует привилегии для получения наивысшего уровня доступа к системе с целью получения контроля над системой.
Идентификация опасностей для развертывания службы DHCP
Некоторые опасности специфичные именно для DHCP:
- Учитывая, что количество IP-адресов в DHCP пуле ограничено, какой-либо неавторизованный пользователь может инициировать атаку типа DoS, запрашивая или получая большое количество IP-адресов.
- Хакер может использовать «подставной» DHCP-сервер для предложения некорректного IP-адреса DHCP-клиентам.
- Атака типа DoS может начаться от неавторизованного пользователя, выполняющего большое количество динамических обновлений DNS через DHCP-сервер.
- Назначение IP-адресов по запросам служб DNS и WINS через DHCP-сервер увеличивает возможности хакеров использовать эту информацию для атак на DNS и WINS сервера.
- Для защиты DHCP-службы от сетевых атак можно использовать следующие стратегии:
- Установить межсетевые экраны.
- Закрыть все открытые и неиспользуемые порты.
- Если необходимо, то использовать VPN-туннели.
- Использовать фильтры MAC-адресов.
Идентификация опасностей для развертывания службы DNS
Некоторые опасности специфичные именно для DNS:
• DoS-атаки возникают, когда DNS-серверы «заливают» запросами в попытке не дать DNS-серверу обслуживать запросы легитимных клиентов. Успешная DoS-атака здесь может привести к недоступности службы DNS и серьезному выходу из строя всей сети.
• В DNS ситуация первичного обследования (footprinting) возникает когда хакер перехватывает информацию зоны DNS (DNS zone). После получения этой информации взломщик может найти имена доменов DNS, имена компьютеров, IP-адреса. Хакер использует эту информацию для принятия решения о том какой компьютер он хочет атаковать.
• Подмена IP-адреса (IP Spoofing): после получения корректного IP-адреса(легитимного для данной сетевой инфраструктуры), в ходе атаки первичного обследования (footprinting), хакер использует этот IP-адрес для отправки злонамеренных пакетов в сеть или для доступа к сетевым сервисам. Или же для модификации данных.
• В DNS может возникать атака перенаправления (redirection attack), когда взломщик может пересылать DNS-запросы на «подставной» DNS-сервер. В данном случае «подставной» DNS-сервер находится под полным контролем взломщика. Атака перенаправления получается, когда взломщик повреждает кэш DNS на DNS-сервере, который принимает незащищенные динамические обновления.
Для защиты внешних DNS-систем от сетевых атак можно использовать следующие рекомендации:
• DNS-серверы должны быть размещены в DMZ или в защищенном периметре сети.
• На межсетевых экранах необходимо конфигурировать правила доступа и фильтрацию пакетов для контроля IP-адресов и портов как источника, так и получателя.
• Располагайте DNS-сервера в различных подсетях и за различными маршрутизаторами.
• Установите последние обновления на DNS-сервера.
• Все лишние сервисы должны быть удалены.
• Пересылка данных по DNS-зоне должна выполняться в безопасном режиме, используя VPN-туннели или IPSec.
• Планируйте, чтобы трансфер зоны DNS был разрешен только на конкретные IP-адреса.
• На DNS-серверах, которые смотрят в Интернет, выключите рекурсию, отключите динамические обновления и запустите защиту против «загрязнения» кэша (cache pollution).
• Используйте скрытый первичный DNS-сервер (primary) для обновления вторичных DNS-серверов (secondary), которые имеют регистрацию в ICANN.
Идентификация опасностей для Беспроводных сетей стандарта WiFi.
Некоторые опасности для беспроводных сетей доступа стандарта WiFi:
- Атаки прослушивания (Eavesdropping): хакер пытается перехватить трафик, когда он передается между компьютером с поддержкой Wi-Fi к Точке Доступа WiFi.
- Маскировка (Masquerading): здесь хакер маскируется и выдает себя за авторизованного пользователя беспроводной сети для доступа к сетевым ресурсам и сервисам.
- Атаки Отказ в Обслуживании (Denial of service/DoS): хакер пытается создать ситуацию, когда авторизованные пользователи беспроводной сети не могут получать доступ к сетевым ресурсам, используя передатчик для блокирования доступных частот (например, это может быть джаммер, создающий широкополосный шум, как было описано выше).
- Атаки «Человек в промежутке» (Man-in-the-middle/MITM): если взломщик успешно начал атаку типа MITM, то он может получить возможность воспроизвести и модифицировать коммуникации в беспроводной сети.
- Атаки на беспроводных клиентов WiFi-стандарта: атакующий начинает сетевую атаку на работающий компьютер с беспроводным интерфейсом WiFi, который присоединен к недоверенной беспроводной сети WiFi.
Для защиты беспроводных сетей WiFi от сетевых атак можно воспользоваться следующими стратегиями:
- Необходимо требовать, чтобы все беспроводные коммуникации были аутентифицированы и зашифрованы. Наиболее общие технологии, которые используются для защиты беспроводных сетей WiFi от проблем безопасности, - это:
- Wired Equivalent Privacy/WEP (крайне не рекомендуется к использованию, так как может быть взломана за несколько минут);
- Wi-Fi Protected Access/WPA (лучше использовать WPA2 c шифрованием AES);
- IEEE 802.1x.
- Регулярно применяйте все обновления программ и драйверов для беспроводных устройств WiFi.
- Разместите Беспроводную сеть Wi-Fi в специальной беспроводной демилитаризованной зоне (WDMZ). Маршрутизатор или межсетевой экран должны изолировать WDMZ от защищенной корпоративной сети WiFi. DHCP-служба не должна использоваться в WDMZ.
- Для гарантирования высокого уровня безопасности сети WiFi все беспроводные устройства WiFi должны поддерживать 802.1х аутентификацию с использованием EAP (Extensible Authentication Protocol) и шифрование AES. При этом важно использовать версии EAP c формированием туннеля, например, EAP-TLS, EAP-TTLS и т.п. (и не использовать версии EAP, которые не формируют туннель, например, EAP-MD5 и т.п.).
- В идеале, организовать защищенный канал коммуникаций взаимодействия Контроллера сети WiF или Точек Доступа WiFi (при централизованной или автономной архитектуре сети доступа стандарта WiFi соответственно) с ААА-сервером, например, с помощью IPSec.
- Административные пароли для управления Контроллерами или Точками Доступа Wi-Fi должны быть сложными и длинными.
- В случае использования веб-интерфейса для управления контроллерами и другими устройствами используйте только HTTPS (и НЕ используйте обычный HTTP).
- В случае использования терминального доступа для управления используйте SSH (и НЕ используйте telnet).
- SSID не должен содержать название компании, адрес компании или любую другую идентификационную информацию.
- Для защиты сети от опасности простейших способов сбора информации имеет смысл выключить широковещательную рассылку SSID. Но это не спасет от опытного взломщика.
- Определение требований к безопасности для различных типов данных
- Для определения требований к обеспечению безопасности различных типов данных очень удобно выделить категории информации следующим образом:
- Открытые, публичные данные (Public data): эта категория включает все данные, которые уже публично доступны на корпоративном веб-сайте компании или в печатных изданиях. Так как это открытая информация, нет риска, связанного с тем, что эти данные могут быть украдены. Однако необходимо поддерживать целостность публичных данных, так как будучи разделенными на части и вырванными из основного контекста они могут существенно исказить смысл.
- Частная информация (Private data): данные, которые попадают в такую категорию, обычно хорошо известны внутри компании, но не известны широкой публике. Типичный пример здесь - это данные корпоративного интранета.
- Конфиденциальная информация (Confidential data): данные, которые попадают в эту категорию, должны быть защищены от неавторизованного доступа. Организация практически всегда несет потери, если конфиденциальная информация перехвачена злоумышленниками.
- Секретные данные (Secret data): данные, которые более закрыты, чем конфиденциальная информация. Секретные данные обычно включают в себя торговые секреты, информацию о новых продуктах, информацию по стратегии бизнеса, патентную информацию. Секретные данные должны иметь высший уровень обеспечения безопасности.
Разработка плана действий при возникновении ситуации враждебного характера
Глава направлена на планирование ответных действий на атаки или любые другие враждебные действия, которые негативно влияют на системы, сети и корпоративные данные. Цель данного плана состоит в создании процедур, которые необходимо предпринять, если сеть подвергается атаке или нарушена безопасность.
План ответа должен помогать организации правильно вести себя в случае возникновения инцидента. Реакция на сетевые атаки, основываясь на подходе, который определяется заранее созданным планом обеспечения безопасности, является наилучшим подходом.
План действий должен четко определять следующее:
- Ответ на каждый возможный тип действия или атаки.
- Конкретных сотрудников, кто отвечает за отработку плана в случае возникновения инцидента.
- Процедуры эскалации в случае необходимости.
- План ответа на враждебные действия может быть разделен на следующие четыре шага:
- Ответ (Response): определить порядок действий в случае атаки на сеть или нарушений безопасности.
- Расследование (Investigation):определить как была проведена атака, почему смогла произойти именно данная конкретная атака, каков размер атаки или ущерба от атаки.
- Восстановление (Restoration): все инфицированные системы должны быть локализованы и отключены от каналов коммуникаций и затем восстановлены с безопасных резервных копий.
- Отчетность и оповещение (Reporting): сетевая атака или нарушение безопасности должно быть задокументировано. Также должны быть оповещены соответствующие правоохранительные органы.
До начала процесса определения текущего состояния компьютера, который был атакован, можно порекомендовать сначала записать следующую информацию с системы:
- Название компьютера.
- IP-адрес компьютера.
- Операционная система, версия ОС, инсталлированные сервис-паки.
- Все запущенные процессы и сервисы.
- Записать всех, кто работал с данным сервером (если это был сервер). Возможно есть еще пользователи, которых надо предупредить о сложившейся ситуации.
- Собрать следующую важную информацию:
- Информацию из журнала работы приложений (Application event log);
- Информацию из журнала системных событий (System event log);
- Информацию из журнала событий безопасности (Security event log);
- Все другие важные логи с данной системы, например, логи DNS, DHCP, репликация файлов и т.п.
- Записать всю информацию, которая может помочь выявить злонамеренную активность, например:
- Все файлы, которые были модифицированы, повреждены или удалены.
- Все запущенные неавторизованные процессы.
- Попробуйте выявить и записать источник сетевой атаки (IP-адреса источников и т.п.).
Для разработки комплексной стратегии безопасности сети Wi-Fi рекомендуем обратиться к соответствующему разделу нашего сайта.
Для получения анонсов при выходе новых тематических статей или появлении новых материалов на сайте предлагаем пройти простую регистрацию.
Kom-Way.Team
Использование материалов этого сайта разрешено только с согласия komway.ru и наличии прямой ссылки на источник.
blog comments powered by Disqus