Срочная компьютерная помощь
  ua   ru
Ремонт компьютеровРемонт ноутбуковВосстановление информацииКомпьютерная помощьКонтактная информация
Ремонт принтеровРемонт сканеровРемонт мониторовРемонт техникиСети Wi-Fi


  Поиск по сайту:
Главное меню

Бесплатная консультация




Акции




Вызов специалиста онлайн



Статьи и обзоры

 6.1. Взлом и защита LAN

    В этом разделе мы поговорим о безопасности локальной сети в контексте возможныхвариантов взлома. На конкретном примере рассмотрим, насколько уязвимой может бытьсистема и что предпринять, чтобы превратить ПК в черный ящик для взломщика.

    В качестве объекта исследования совершенно случайным образом был избран самыйобычный, ничем не примечательный терминал локальной сети на 200 машин.

    Забегая вперед, заметим, что из десяти кандидатов на "препарацию" две системыоказались беспрецедентно уязвимы (полный доступ на запись/чтение), и говорить в данномслучае о какой-либо защите вообще не приходится. Поэтому ради "спортивного интереса"было решено пренебречь этими двумя и рассмотреть более усредненный случай скаким-никаким уровнем защиты.

    В качестве инструмента исследования был использован известный сканер уязвимостейX-Spider 7.5.

    Всего около пяти минут понадобилось нашему "пауку", чтобы предоставить полныйотчет, включающий в себя список открытых TCP-портов. Итак, вот, собственно, ирезультаты сканирования.

    Система Windows 5.1 (или XP) – информация подобного рода хотя и относится ккатегории "просочившейся", однако не представляет какой-либо серьезной угрозыбезопасности вашему ПК.

    Открытый 135-й TCP-порт говорит о том, что на компьютере запущена служба DCOM.Вроде бы ничего страшного. Но что мы видим далее?

    Открыт 135-й UDP-порт, который принадлежит сервису Microsoft RPC (RemoteProcedure Call – удаленное выполнение команд). Это уже не просто открытый порт, асерьезная уязвимость, обозначенная в бюллетене безопасности Microsoft под кодовымномером ms03-04 3. Вот как описывается данная уязвимость: "Переполнение буфераобнаружено в Messenger Service в Microsoft Windows. Удаленный атакующий можетвыполнить произвольный код на уязвимой системе. Проблема связана с тем, что MessengerService не проверяет длину сообщения. В результате злонамеренный пользователь можетпослать сообщение, которое переполнит буфер и выполнит произвольный код на уязвимойсистеме с привилегиями SYSTEM".

    Говоря простым языком, сформированное особым образом сообщение, переданное спомощью обычной команды net send, может привести к запуску на машине жертвы любогопрограммного кода.

    Открытый 139-й порт – запущен сервис NetBios (Network Basic Input/Output System)."Ну, это просто классика", – скажут искушенные охотники, и они будут правы.Действительно, какой из портов расскажет о вашей машине столько, сколько 139? Списокресурсов, список активных сессий и многое другое, доступное через нулевую сессию: доступпо нулевой сессии представляет собой возможность неавторизованного подключения к хостус операционной системой, основанной на Windows NT (или операционной системойсемейства UNIX с установленным пакетом Samba) с пустым логином и паролем. Привключенной нулевой сессии анонимный пользователь может получить большое количествоинформации о конфигурации системы (список ресурсов, открытых для общего пользования,список пользователей, список рабочих групп и т. д.). Полученная информация в дальнейшемможет быть использована для попыток несанкционированного доступа.

    В бюллетенях безопасности Microsoft уязвимость, связанная с открытым 139-м портом,описывается кодовым номером ms04-007. Описание уязвимости звучит так: "Переполнениебуфера обнаружено в Microsoft ASN.1 Library (msasn1.dll) в процессе ASN.1BER-декодирования. Уязвимость может эксплуатироваться через различные службы(Kerberos, NTLMv2) и приложения, использующие сертификаты. Удаленный пользовательможет послать специально обработанные ASN.1 данные к службе или приложению, чтобывыполнить произвольный код с SYSTEM-привилегиями".

    Есть ли выход? Конечно, есть. Прежде всего необходимо установить обновление.Кроме того, следует отключить доступ по нулевой сессии. Для этого:

♦ в разделе реестра HKEY_LOCAL_MACHINESystemCurrentControlSet ControlLSAнужно установить значение параметра RestrictAnonymous равным 2 для Windows2000/XP/2003 (1 для Windows NT3.5/NT4.0) (тип параметра – REG_DWORD);

♦ для Windows 2000/XP/2003 в разделе реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserver необходимо установить значение параметраRestrictNullSessionAccess равным 1 (тип параметра – REG_DWORD);

♦ для Windows NT3.5/NT4.0 в разделе реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanManServerParameters необходимо установить значениепараметра RestrictNullSessAccess равным 1 (тип параметра – REG_DWORD).

    Едем дальше. Следующим в нашем списке оказывается открытый 445-й порт, которыйпринадлежит службе Microsoft Directory Service. Не грех будет вспомнить, что именно 445-й– один из портов, через который в свое время активно "щемился" нашумевший червяк MSBlast. При отсутствии соответствующих заплаток 445-й порт, без преувеличения, –настоящая дыра всех времен и народов. Следующие уязвимости и варианты их реализацииесть яркое подтверждение вышесказанному: "Удаленное выполнение команд ms05-027,ms05-043". Объект, который значится в бюллетене под кодовым именем ms0 5-02 7, имеетследующее описание со всеми вытекающими отсюда последствиями: "Уязвимость в службеPrint Spooler позволяет удаленному пользователю выполнить произвольный код на целевой системе".

    А теперь разберем сухой отчет от Microsoft подробнее. Служба Spooler предназначенадля управления принтерами и заданиями печати и экспортирует интерфейс на базе RPC(Remote Procedure Call). В данной службе присутствует уязвимость переполнения буфера.Удаленный или локальный пользователь может подключиться к системе через NULL-сессиюи с помощью специального запроса выполнить произвольный код с привилегиями LocalSystem или вызвать отказ от обслуживания. Данной уязвимости подвержены следующиеверсии операционных систем: Microsoft Windows 2000 Service Pack 4, Microsoft Windows XPService Pack 1, Microsoft Windows XP Service Pack 2, Microsoft Windows Server 2003.

    Как злонамеренный пользователь может воспользоваться этой уязвимостью?Уязвимость может быть использована удаленно путем создания специального запроса кслужбе Printer Spooler. В Windows 2000 и Windows XP SP1 эта служба доступна извне спомощью именованных каналов и посредством NULL-сес-сии. В Windows XP SP2 иWindows Server 2003 для доступа к этой службе необходимо пройти аутентификацию, тоесть для удачной эксплуатации нужно иметь учетную запись на удаленном хосте

    Следующим открытым портом оказался порт 4899, принадлежащий Radmin.Комментарий в данном случае будет не такой горячий, как в предыдущих: просто на машинеустановлена утилита удаленного администрирования – хотя для злонамеренногопользователя данная информация не должна показаться столь уж бесполезной.

    И напоследок, открытый TCP-порт 5000, который принадлежит службе SSDP. Данныйсервис отвечает за обнаружение UPnP-устройств в домашней сети. Уязвимость в службеSSDP, а точнее отсутствие таковой (по крайней мере на момент написания книги), непредставляет реальной угрозы и не может быть использована для удаленного выполнениякода, отказа в обслуживании и т. п. Тем не менее никогда не стоит забывать простоеправило: меньше служб – меньше открытых портов – меньшая вероятность того, что вашасистема окажется уязвимой (подробно про оптимизацию безопасности Windows средствамиоперационной системы смотрите в гл. 7).

    При ненадобности "обнаруживать UPnP-устройства в вашей сети" смело отключаем этуслужбу через Панель управления ► Администрирование ► Службы.

    Подведем итог. Шесть открытых портов: 135-UDP, 135-TCP, 139-TCP, 445-TCP,4899-TCP и 5000-TCP, половина из которых (135-UDP, 139-TCP и 445-TCP) открываютпрактически безграничные возможности для "творчества" удаленного "зло-админа".

   6.2. Безопасная архитектура – это фундамент

    Итак, помимо централизованной политики безопасности, без которой де фактоневозможно построение безопасной сети в принципе, особое внимание следует обратить наследующее моменты.

♦ Использование безопасных протоколов обмена (не секрет, что такие текстовыепротоколы, как FTP и telnet, представляют собой явную угрозу) и туннелирование данных,например, посредством SSH

♦ Шифрование критичных данных с использованием надежных криптоалгоритмов.

♦ Использование архитектуры сети, включающей в себя наличие DMZ(демилитаризованной зоны), обслуживаемой двумя брандмауэрами. DMZ подразумевает подсобой фрагмент сети, не являющийся полностью доверенным. Смысл создания DMZзаключается в том, чтобы оградить внутреннюю систему (в данном случае это нашазащищенная LAN) от доступа, который осуществляется из Интернета.

♦ Использование IDS (Intrusion-Detection System), IPS (Intrusion-Prevention System). Видеальном случае такая система выдаст сигнал тревоги (или предотвратит саму попыткувторжения– IPS) при попытке проникновения.

♦ Использование NAT (технология трансляции адресов локальной сети на IP-адресвнешнего соединения). Очевидно, что функция безопасности NAT реализуется, благодаря тому что скрытые адреса внутренних систем являются невидимыми из внешней сети, вчастности из Интернета.

♦ Защита периферии посредством тонких клиентов и двухфакторной системыаутентификации (подобные инструменты в значительной мере уменьшают риск вторженияизнутри).Более частные рекомендации могут быть следующими.

♦ Первое, что необходимо сделать, – установить самые последние обновления длявашей операционной системы. Скачать обновления можно с официального сайтаКорпорации Microsoft, предварительно установив как можно более новый вариант сборкивашей операционной системы. Дыры как находили, так и будут находить, поэтому, если выобладатель самых свежих обновлений, расслабляться все равно не стоит: с моментаобнаружения новой уязвимости и до момента выхода заплатки "умные люди" успеваютнаписать вирус или создать червя.

♦ В свойствах подключения крайне желательно оставить только самое необходимое, аименно ТСР/IP. Службу доступа к файлам и принтерам сети Microsoftприотсутствии реальной необходимости сетевого доступа к ним необходимо отключить,чтобы не облегчать задачу всем любителям открытых по умолчанию C$, D$, ADMIN$и т. д.

♦ Все неиспользуемые сервисы желательно выключить: FTP, Telnet, удаленный реестр– зачем все это, если вы не используете ни один из перечисленных сервисов? Это не толькоулучшит производительность вашей системы, но и автоматически закроет кучу открытыхпортов.

♦ Установите файловую систему NTFS, которая позволяет разграничить доступ кресурсам вашего ПК и усложняет процесс локального взлома базы SAM.

♦ Удалите лишние учетные записи, а в оснастке gpedit.msc запретите локальный исетевой вход для всех пользователей, оставив только используемых на данной машине, идоступ по сети для Администратора.

♦ Не используйте автоматический ввод пароля при входе в систему, особенно дляпользователя Администратор.

♦ Желательно, чтобы на вашем ПК был установлен какой-нибудь персональныйбрандмауэр, закрывающий доступ к открытым портам (ZoneAlarm, Outpost Firewall иличто-нибудь подобное). Помимо защиты от попыток проникновения извне, с помощьюбрандмауэра вы сможете легко и просто контролировать доступ программ (среди них можетбыть, к примеру, затаившийся троянский конь) к Интернету. Любая попытка вырваться вСеть не останется незамеченной вашей "огнедышащей стеной".

    ПРИМЕЧАНИЕ

Очевидно, что вышеперечисленное адекватно для защиты рабочих станций.Если же речь идет об организации безопасности крупной корпоративной сети, озащите сервера/шлюза, то здесь взор системного администратора/администраторабезопасности в первую очередь должен быть направлен на использованиеUNIX-подобных систем (FreeBSD, Linux) как наиболее безопасной альтернативеWindows.

♦ Не стоит забывать и о снифферах, с помощью которых ваши пароли могут статьнастолько же общественными, насколько места "М" и "Ж".

    ПРИМЕЧАНИЕ

    Под сниффером подразумевается программа, перехватывающая все пакеты,идущие по локальной сети. Как такое может быть? Просто. Сниффер переводитсетевую карту в "неразборчивый" режим, что позволяет захватить даже те пакеты,которые не предназначены для системы, в которой установлен сниффер. Пример:Cain & Abel.

♦ Как известно, при установлении SMB-сеанса клиент отвечает серверу, отправляя всеть LM-хэш (Lan Manager-хэш) и NT-хэш (Windows NT). Возможность отправки двухвариантов зашифрованных паролей необходима для совместимости со старымиоперационными системами. Как при локальном, так и при удаленном способахаутентификации система сначала пытается идентифицировать NT-хэш. Если его нет, системапытается проверить подлинность LM-хэша. А вот тут-то и «зарыта собака». Дело в том, чтокриптостойкость LM-хэша не выдерживает никакой критики (см. гл. 7).

♦ Не стоит пренебрегать установкой антивирусной программы. Увлекаться тоже неслудет. Факт, что "Каспер" может "убить" "Dr.Web" и наоборот, – ни для кого не секрет.

♦ Если вы любитель всевозможных сервисов, увеличивающих круг общения (ICQ,почтовый агент), необходимо помнить о том, что охотников за вашими личными даннымидостаточно, чтобы выведать у вас самую различную информацию, которая впоследствииможет быть использована для удаленного вторжения. Реальный случай из жизни: в ICQ,методом социальной инженерии, взломщик прикидывается девчонкой и вступает с жертвой вживой разговор. Несколько минут разговора – и происходит обмен фотографиями, одна изкоторых (ясно, какая) – самый настоящий троянский конь. Жертва открывает JPG-файл, авместо обещанного откровенного эксклюзива – ошибка при открытии файла. Троянский коньуже в вашей системе.

    6.3. Безопасность беспроводных сетей. Взлом и защита WI-FI

    Не секрет, что беспроводные сети сравнимы по скорости и гораздо более удобны, чемтрадиционные проводные сети. Подумайте сами: никаких надоедливых проводов,мобильность и оперативность – вы больше не привязаны к своему рабочему месту.

    Все, казалось бы, идеально, если бы не одно но. Реализация системы безопасности втакой сети похожа на "шалаш дядюшки Тома". Поскольку вся сеть 802.11x работает навысокочастотных радиосигналах, передаваемые данные может легко перехватить любойпользователь с совместимой платой средством сканирования беспроводной сети, напримерNetStumbler или Kismet, и программами прослушивания трафика, например dsniff и snort. Но"изюм" не в этом. Применяемые в настоящее время алгоритмы шифрования, в частностиWEP, не выдерживают никакой критики: требуется всего несколько часов (а иногда инесколько минут), чтобы "сломать" даже самый стойкий ключ.

    Как показывает статистика, до 95 % (!) беспроводных сетей стандарта 802.11xабсолютно не защищены, взлом же остальных 20 % – всего лишь дело техники.

 Немного о Wi-Fi

    Под термином Wi-Fi (Wireless Fidelity) понимается целая линейка протоколовбеспроводной передачи данных, которые, как правило, используются для соединениякомпьютеров. Самым популярным стандартом Wi-Fi на сегодняшний день является IEEE802.11b, имеющий максимальную скорость передачи 11 Мбит/с.

    Изначально Wi-Fi задумывался как альтернатива традиционным проводным сетям, ион, разумеется, имеет целый ряд преимуществ по сравнению с витой парой:

♦ отсутствие строгих правил построения сети;

♦ никакой прокладки километров проводов по кабельным каналам или в пространственад подвесным потолком;

♦ гибкость сети – возможность оперативно вносить изменения в сеть без потери еефункциональности и т. д.Появление Wi-Fi на фоне всей этой проводной волокиты более чем желанно: дляорганизации WLAN теперь всего-то необходимо "поднять" несколько точек доступа (AccessPoint) и настроить компьютеры на работу с сетью.Помимо популярного протокола 802.11b существуют также 802.11a и 802.11g, которыепозволяют посылать и получать информацию на скоростях до 54 Мбит/с. Разработчикинового перспективного стандарта 802.11n обещают повышение скорости до 320 Мбит/с.

    Топология WI-FI.Между устройствами Wi-Fi можно организовать по крайней мередва вида соединений. Первое из них – это так называемое ad-hoc-соединение (peer-to-peer,«точка-точка»), которое используется для установления прямой связи между двумякомпьютерами. Нетрудно догадаться, что в этом случае точка доступа не используется, акомпьютеры общаются непосредственно друг с другом (что-то наподобие одноранговойLAN-сети).

    Сеть Wi-Fi, которая способна поддерживать большое количество клиентов, строитсятолько с точкой доступа (infrastructure, режим клиент/сервер). Топологию такой сети можносравнить с самой обычной LAN, построенной на основе хаба, к которому подключены всепровода от клиентских компьютеров. В беспроводной сети вместо хаба используется точкадоступа, которая и поддерживает все подключения беспроводных клиентов и обеспечиваетпередачу данных между ними. В большинстве беспроводных сетей необходимо обеспечитьдоступ к файловым серверам, принтерам и другим устройствам, подключенным к проводнойлокальной сети, – именно поэтому и используется режим клиент/сервер.

    Без подключения дополнительной антенны устойчивая связь для оборудованиястандарта IEEE 802.11b лежит в пределах:

♦ открытое пространство – 500 м;

♦ комната, разделенная перегородками из неметаллического материала, – 100 м;

♦ офис из нескольких комнат – 30 м.

Механизмы безопасности

    Начиная разговор о механизмах безопасности, будет более чем резонно упомянуть тотфакт, что при установке точки доступа почти все, что должно обеспечивать безопасность,отключено. Да-да. Именно так оно и есть.

    Активировать средства безопасности не составляет большого труда, но большинствоадминистраторов не делают этого. Почему – вопрос скорее риторический.

    Стандарт 802.1x для беспроводных сетей предусматривает несколько механизмовобеспечения безопасности сети. Рассмотрим пять основных, наиболее используемых.

    Wired Equivalent Protocol(аналог проводной безопасности), он же WEP, разработанавтором стандарта 802.1. Основная функция WEP – шифрование данных при передаче порадиоканалу и предотвращение неавторизованного доступа в беспроводную сеть. Дляшифрования WEP использует алгоритм RC4 с ключом размером 64 или 128 бит. Ключиимеют так называемую статическую составляющую длиной от 40 до 104 бит идополнительную динамическую составляющую размером 24 бит, называемую вектороминициализации (Initialization Vector или IV). Упрощенно механизм WEP-шифрованиявыглядит следующим образом:

♦ передаваемые в пакете данные проверяются на целостность (алгоритм CRC-32), послечего их контрольная сумма (integrity check value, ICV) добавляется в служебное полезаголовка пакета;

♦ далее генерируется 24-битный вектор инициализации (IV), и к нему добавляетсястатический (40-или 104-битный) секретный ключ;

♦ полученный таким образом 64-или 128-битный ключ и является исходным ключомдля генерации псевдослучайного числа, использующегося для шифрования данных;

♦ далее данные смешиваются (шифруются) с помощью логической операции XOR спсевдослучайной ключевой последовательностью, а вектор инициализации добавляется вслужебное поле кадра.

    WEP предусматривает два способа аутентификации пользователей: Open System(открытая) и Shared Key (общая). При использовании Open System-аутентифика-цииаутентификация как таковая отсутствует – любой пользователь может получить доступ вбеспроводную сеть. Второй вариант аутентификации предусматривает применениесекретного ключа, механизм генерации которого описан выше.

    WEP 2был предложен в 2001 году как альтернатива WEP после обнаружениямножества дырок в первой версии. WEP 2 имеет улучшенный механизм шифрования иподдержку Cerberus V.

    Протокол WPA.Как вы увидите чуть позже, протокол WEP имеет ряд существенныхнедостатков и позволяет взломщику за короткое время получить полный доступ к WLAN.Именно поэтому в 2003 году и был предложен новый стандарт безопасности – WPA (Wi-FiProtected Access). Главной особенностью данного стандарта можно считать технологиюдинамической генерации ключей шифрования данных, построенную на базе протокола TKIP(Temporal Key Integrity Protocol), представляющего собой дальнейшее развитие алгоритмашифрования RC4.

    В отличие от 24-битного вектора WEP, сетевые устройства по протоколу TKIPработают с 48-битным вектором инициализации, реализуя правила измененияпоследовательности его битов, что исключает повторное использование ключей. Длякаждого передаваемого пакета в протоколе TKIP предусмотрена генерация нового128-битного ключа.

    Кроме того, контрольные криптографические суммы в WPAрассчитываются по новому алгоритму MIC (Message Integrity Code): в каждый кадрпомещается специальный восьмибайтный код целостности сообщения, проверка которогопозволяет отражать атаки с применением подложных пакетов. Таким образом, каждыйпередаваемый по сети пакет имеет собственный уникальный ключ, а каждое устройствобеспроводной сети наделяется собственным динамически изменяемым ключом.Кроме того, протокол WPA поддерживает шифрование по стандарту AES (AdvancedEncryption Standard), а это не устаревший RC4. AES отличается более стойкимкриптоалгоритмом, что является несомненным плюсом в обеспечении безопасной передачиданных по беспроводной сети.

    При построении офисных беспроводных сетей часто используется вариант протоколабезопасности WPA на основе общих ключей WPA-PSK (Pre Shared Key). Что же касаетсякорпоративных сетей, то там авторизация пользователей чаще всего проводится навыделенном RADIUS-сервере.

    Open System Authentication представляет собой систему аутентификации, поумолчанию используемую в протоколе 802.11. Если говорить более точно, то никакойсистемы аутентификации в данном случае нет вообще. Даже при включенном WEP в системеOSA пакет аутентификации посылается, не будучи зашифрованным.

    Access Control List. В протоколе 802.11 ACL не описывается, но достаточно частоиспользуется в качестве дополнительного средства безопасности к стандартным методам.Основа ACL – фильтрация клиентских Ethernet-MAC-адресов в соответствии со спискомМАС-адресов (доступ разрешен/запрещен).

    Closed Network Access Control.Технология безопасности основана на использованиирежима скрытого идентификатора сети SSID. Что этот такое? Каждой беспроводной сетиназначается свой уникальный идентификатор (SSID), который обычно отражает названиесети. Когда какой-либо пользователь пытается войти в сеть, то драйвер беспроводногоадаптера прежде всего сканирует эфир на наличие в ней беспроводных сетей.Использование режима скрытого идентификатора (Hide SSID) препятствуетотображению сети в списке доступных, и подключиться к ней можно только в том случае,если точно известен ее SSID и профиль подключения к этой сети.

    Атаки

    Как показывают исследования с использованием авторитетной техники Gnivirdraw, до80 % клиентов содержат в профиле незащищенные подключения или же вообщесоединяются с ложными точками доступа. Несмотря на всю кажущуюся беззащитностьперед профессиональным взломом, все же использование станцией любых механизмовзащиты, даже таких как WEP, уже серьезно снижает вероятность того, что ваша сеть будетвзломана. Тем не менее статистика категорична: по некоторым оценкам, 95 % сетейпрактически беззащитны и каждый из нижеописанных методов имеет 99 % шансов на успех.

    Итак, методы взлома.

    MAC Sniffing&Spoofing. Атаки подобного рода возможны потому, что при передачепакетов, даже при включенном WEP, MAC-адрес передается по сети в открытом виде. Какследствие, MAC-адрес можно перехватить. Далее формируются запросы взломщика к AP сприменением подложного MAC. Таким образом и обходят аутентификацию на основе ACL.

Access Point Spoofing.Данный вид атаки подразумевает использование подложнойточки доступа, переманивающей клиентов на себя. Как следствие, пароли и все данныеоказываются у взломщика. Единственное условие успешной реализации данной атаки –сигнал точки доступа взломщика должен быть соизмеримо более сильным легальной AP.

Plaintext-атака.Условие реализации: атакующий знает исходное послание и имееткопию зашифрованного ответа. Все, что необходимо в данном случае, – ключ. Для егополучения атакующий посылает в сеть некоторую часть данных и получает ответ. На основеответа находится 24-битный вектор инициализации, используемый для генерированияключа.

Атака Fluhrer-Mantin-Shamir.Сотрудники Cisco Scott Fluhrer, Itsik Mantin и AdiShamir из научного института Израиля обнаружили критическую уязвимость в алгоритмеKey Scheduling Algorithm (KSA), который стоит в основе RC4. С ее помощью можнополучить 24-битный ключ WEP и даже 128-битный ключ WEP 2. Результат работыисследователей – две программы: Air snort и WEPCrack, в определенных кругахпользующиеся особой популярностью.

Атаки отказа в обслуживании (DDoS-атаки).Цель любой атаки отказа вобслуживании состоит в том, чтобы ограничить доступ легального пользователя к ресурсамсети, что обеспечивается посылкой огромного количества некорректно сформированныхпакетов, затопляющих легальный трафик и приводящих к зависанию и/или последующейперезагрузке системы. Следует отметить тот факт, что беспроводные системы особенночувствительны к DDoS-такам из-за особенностей организации OSI-стека в контексте WLAN.Чтобы понять, о чем идет речь, достаточно соотнести физический уровень LAN и WLANмежду собой: если в первом случае нападение на физический уровень описываемо идостаточно простое, то в беспроводной сети атака на физическом уровне есть нечто довольно абстрактное, ведь физический уровень WLAN – это воздух, некое место вокруг точкидоступа.

    Не будем исключать также случай, если злоумышленник создаст устройство,затопляющее весь частотный диапазон 2,4 ГГц помехами и нелегальным трафиком. Впростейшем случае таким устройством может стать доработанная микроволновая печь!

Low-Hanging Fruit.Дословно переводится как «низко висящие фрукты». Как ясно изназвания, атака, собственно, является-то и не атакой, а, скорее, получением сети «на халяву»,учитывая факт того, что большинство беспроводных сетей абсолютно не защищены, в них нетребуется авторизация и даже не используется WEP.

  Собираем пакеты

    Ну что ж, от теории плавно перейдем к практике. Ведь чтобы научится что-то хорошозащищать, необходимо взломать это. Нижеследующий текст никоим образом нельзярасценивать как руководство к действию. Материал приведен исключительно вознакомительных целях.

    Суть технологии сводится к следующему. Для нахождения ключа WEP необходимособрать некоторое количество пакетов, которые впоследствии надо будет пропустить черезспециализированное программное обеспечение. Для сбора пакетов используется ноутбук с настроенной картой WI-FI и грудой соответствующих программ: Netstambler, Macstambler,Kismet и т. п. Сам процесс сканирования беспроводной сети осуществляется удаленно(например, из машины, припаркованной недалеко от объекта исследования). Существуетдаже специальный термин, отражающий суть такой атаки, – "вардрайвинг".

    Количество пакетов, необходимое для успешной атаки, менятся от случая к случаю,однако существует и некоторая закономерность: как правило, для атаки на 64-битный ключнеобходимо собрать не менее 200 тыс. пакетов и не менее 500 тыс. для 128-битного ключа,причем именно зашифрованных пакетов, содержащих в себе уникальный векторинициализации.

    В качестве программы, реализующей вышеописанные требования, можно привестиaircrack, которая поставляется с утилитой для перехвата пакетов airodump.

   Так вот, для взлома ключа очень часто вовсе и не требуется ждать несколько часов:часто aircrack определяет WEP-ключ в течение нескольких секунд! Продолжительностьработы программы зависит от уникальности IV и установленного значения fudge factor. Чемвыше fudge factor, тем большее количество ключей будет сгенерировано, что скажется наувеличении времени атаки и вероятности того, что она окажется успешной. По умолчаниюfudge factor равен 2, но может быть изменен на любое положительное целое число.

    Вышеописанный метод атаки на WEP представляет собой пассивную атаку: дляосуществления таковой не требуется каких-либо активных действий вроде отправки пакетовв сеть. Все, что необходимо сделать в данном случае, – поймать некоторое количествопакетов, после чего приступить к их расшифровке.

    А что если такое критически необходимое количество пакетов невозможно собрать заприемлемое время? В таком случае поступают следующим образом.

    В сеть отправляется некоторое количество "провоцирующих" пакетов, заставляющихучастников сети отвечать. Ответы порождают трафик – как следствие, количествоперехваченных пакетов, зашифрованных одним и тем же ключом и имеющих различные IV,увеличивается.

    В качестве "провоцирующих" пакетов чаще всего используют ARP-запросы. Навернякачитателю станет интересно, почему именно ARP? А все дело в том, что ARP не фильтруетсямежсетевым экраном, да и к тому же использование данного протокола в этом случае недолжно вызвать никаких подозрений со стороны администраторов сети.

Инъекция зашифрованных пакетов

    Не секрет, что большинство современных утилит для атаки WEP «заточены» длявзлома WEP-ключа. Существуют, однако, другие уязвимости WEP, которые можноиспользовать для атаки.

    В 2003 году Энтоном Рейджером (Anton Rager) была выпущена интересная утилитаWEPWedgie, позволяющая атакующему создавать текстовые пакеты и отсылать их вбеспроводную сеть без знания WEP-ключа.

    Суть атаки WEPWedgie's prgasnarf состоит в ожидании аутентификации по закрытомуключу. В случае аутентификации по закрытому ключу точка доступа передает 128 байтоткрытого текста, рабочая станция принимает этот текст, шифрует его и передаетшифротекст, используя тот же ключ и шифр, что используется WEP для шифрованияпоследующего трафика.

    Как уже было сказано выше, знание некоторого открытого текста и результаташифрования позволяет получить ключевую последовательность как результат операцииXOR между соответствующими IV. Поскольку WEP позволяет повторно использоватьодинаковые IV, WEPWedgie может применять полученную ключевую последовательностьдля правильного шифрования и инъекции любого количества пакетов, содержание которыхограничено длиной этой последовательности.

Ломаем WPA

   С принятием стандарта безопасности 802.11i и распространением сетей на основеWPA-шифрования уверенность в защищенности беспроводной инфраструктуры началазакономерно расти. При качественной настройке безопасности WPA-сети ее «брутфорс» –взлом практически невозможен. Криптоалгоритм AES, 256-битный сменяющийся во времениключ и прочие нововведения, казалось бы, должны стать неким гарантом безопасности. Но и«на старуху бывает проруха». WPA ломается. Общая идея данного подхода достаточнопроста и заключается в следующем:

♦ необходимо найти неассоциированное клиентское устройство-жертву;

♦ далее эмулируется точка доступа;

♦ жертве выдается IP-адрес, а также IP-адреса подставных шлюза и DNS-серве-ра черезDHCP.

   Далее следует атака на сеть. При успешном получении удаленного доступа кустройству последнее "отпускается" обратно на легальную беспроводную сеть,предварительно запустив на нем троянского коня.

Безопасность Wi-Fi

    При построении безопасной Wi-Fi-сети прежде всего необходимо обратить вниманиена следующее:

♦ ограничение физического доступа к сети (трудновыполнимо, однако же, если необращать внимания на такие очевидные вещи, как "вочолкинг" – так называемые пометкимелом, сигнализирующие взломщикам о наличии беспроводной сети (рис. 6.1 и 6.2), – тоговорить о какой-либо безопасности не имеет смысла вообще);

♦ шифрование передаваемой информации (использование WPA, а не WEP);

♦ использование трудновзламываемых паролей (не менее 12 знаков, сочетание цифр,букв и специальных символов);

Рис. 6.1.Обозначенная сеть

Рис. 6.1.Обозначенная сеть

♦ защиту от несанкционированного доступа на уровне ресурсов (применение ACL,фильтрация по MAC-адресу);

♦ при построении WLAN более чем уместно использование VPN, SSH, IPSec;

♦ недопустимо, чтобы точка доступа была напрямую подсоединена к локальной сети;

♦ наличие межсетевого экрана обязательно (желательно, чтобы фильтрация клиентовосуществлялась по IP-и MAC-адресам совместно).

Рис. 6.2.Простой язык «вочолкинга»

Рис. 6.2.Простой язык «вочолкинга»

6.4. Лучшие брандмауэры – какие они?

    Не секрет, что первым рубежом – огненной стеной, защищающей систему отвторжения извне и от последующей «зло-активности» изнутри, – является брандмауэр. Отвыбора последнего зависит, ни много ни мало, почти все – взломают вашу систему или нет.В данном разделе мы поговорим о межсетевых экранах пользовательского уровня–длярабочих станций. Они, как правило, рассчитаны на работу в среде Windows, их установкаи настройка не представляет особой трудности.

    ПРИМЕЧАНИЕ

    Если вы хотите подробнее узнать о серверных межсетевых экранах,обратитесь к гл. 7.

    В рамках данного раздела мы попытаемся выяснить, какому из популярных внастоящее время брандмауэров можно доверить безопасность нашей системы. Особыйакцент будет сделан на объективные «за и против», ведь не секрет, что идеального продуктанет в принципе.

    Мы не будем распыляться на бессмысленное тестирование каждого изнижеперечисленных продуктов с указанием самого стильного GUI и количества кнопок, асразу же остановимся на двух несомненных лидерах в своем классе (межсетевые экраны длярабочих станций) – Zone Alarm Firewall и Agnitum Outpost Firewall, – заслуживающихпристального внимания среди IT-специалистов и обычных пользователей. Рассмотрим этибрандмауэры подробнее и постараемся отметить все плюсы и минусы данных продуктов.

ZoneAlarm

    Итак, встречайте, наш первый герой – ZoneAlarm; не побоюсь этого слова, знаменитыймежсетевой экран, отмеченный наградами таких авторитетных изданий, как PC World, PCMagazine и др.

    ZoneAlarm является брандмауэром, оптимизированным для использования надомашнем компьютере или рабочем месте в организации. На основании выбранного уровнябезопасности (Internet/Trusted Zone) ZoneAlarm блокирует или разрешает установлениеопределенных соединений с локальной сетью и Интернетом, предупреждает о попыткахустановить несанкционированные соединения и блокирует их.

    Краткое описание.ZoneAlarm (следут также упомянуть платную версию брандмауэраZoneAlarm Pro, отличающуюся от бесплатной наличием модуля Antispyware идоработанными модулями MailSafe и Programm control) содержит:

♦ собственно, сам межсетевой экран, имеющий достаточно удобный инструмент, чтобыв момент "обрубить" всю сетевую активность (удобная красная кнопка);

♦ модуль контроля сетевой активности программ, содержащий "грозный замок";

♦ инструменты для установления уровней безопасности и зон безопасности;

♦ функцию MailSafe для проверки прикрепленных файлов к почтовым сообщениям, атакже модуль контроля состояния антивирусного ПО.

    В ZoneAlarm предусмотрен режим работы Stealth, позволяющий оставаться невидимымиз Сети (одним из таких инструментов невидимости является запрет на ICMP-эхо-ответ).

   Программа проста в установке. В принципе, установив все по умолчанию, можноговорить, что настройки закончены. В случае же если ваш ПК подключен к локальной сети,придется немного повозиться, иначе простая попытка зайти на вашу папку, открытую дляобщего доступа, закончится уведомлением типа "Блокирована атака".

    По умолчанию после установки в программе стоит высший уровень защищенности дляИнтернета (Internet Zone Security) и средний для локальной сети (Trusted Zone Security).

    Так называемый Stealth mode, который является наивысшим уровнем безопасности длялюбой из перечисленных зон, как уже следует из названия, призван обеспечить невидимыйрежим, подразумевающий защиту от хакеров (хотя, как мне лично кажется, никакаяподобная кнопка, даже такая как Hidden and protected from hackers,все равно не спасет).

    Каждому приложению на компьютере можно разрешить или запретить обращаться клокальной сети и Интернету.

    Попытки "вылазки" новых приложений в сеть регистрируются мгновенно, при этомпользователю предлагается более чем простой выбор: либо разрешить доступ, либо нет. Все"алерты" неизвестной сетевой активности будут понятны даже самым неопытнымпользователям, ведь окно предлагает всего два выбора – открыть соединение или отказатьсяот него. К тому же подобные сообщения имеют в своем составе вариант: хотите ли вы, чтобыпрограмма запомнила этот ваш выбор на будущее. Все без исключения обращения к Сетипротоколируются, даже при условии, что вывод информационных сообщений отключен.

    Настройки.Настройки программы рассчитаны даже на неопытного пользователя. Вотличие от других аналогичных брандмауэров, в ZoneAlarm используется более простойподход управления– пользователь выбирает нужный ему «уровень безопасности» для работыв Интернет и для локальной сети. На основе этого выбора ZoneAlarm самостоятельноопределяет правила работы.

    Интересной особенностью программы, пожалуй, можно считать возможностьблокирования доступа в Сеть с использованием всего одной кнопки (!).

    Пожалуй, одной из интереснейших особенностей ZoneAlarm можно считатькриптографическую подпись для доверенных приложений. Именно благодаря даннойфункции все попытки так называемой маскировки одних программ под другие (а именно такчасто и действуют троянские кони) сводятся на нет.

    Ну что ж, описание действительно заставляет задуматься: за интуитивно простыминтерфейсом ZoneAlarm кроется "грозный страж" с достаточно качественно написаннымядром и оригинальным алгоритмом inbound/outbound-контроля. Ко всему прочему действияпользователя в случае атаки извне доведены до минимума – достаточно нажать на красную кнопку.

    Agnitum Outpost Firewal

    Итак, посмотрим, чем же так хорош наш второй герой – Agnitum Outpost Firewall Pro (вданном случае мы рассматриваем версию 4.0; ввиду многочисленности настроекограничимся лишь описанием ключевых особенностей работы; в ходе описания будутпрокомментированы некоторые моменты, дабы их смысл оказался максимально понятнымширокому кругу читателей).

    Итак, Outpost Firewall обеспечивает проактивную защиту, блокирующую все известныена сегодняшний день методики обхода безопасности (ликтесты), таким образом полностьюпредотвращая утечку важных данных с компьютеров пользователей. Новый контрольAnti-Leak объединяет технологии контроля скрытых процессов и контроля памятипроцессов, доступные в предыдущих версиях, и предоставляет набор дополнительныхвозможностей, таких как блокировка попыток получения контроля над другим приложением,внедрения компонентов, контроля окон приложения, запуска приложения с параметрамикомандной строки и др.

    Ну что ж, достаточно недурно. Однако, как вы увидите позже, ликтесты отнюдь неявляются показателем того, что брандмауэр действительно лучший.

    Блокировка попыток получения контроля над другим приложением, внедрениякомпонентов, контроля окон приложения, запуска приложения с параметрами команднойстроки – все из перечисленных технологий являются попыткой достойно ответить наэволюционирующие виды вредоносного ПО (руткиты, троянские кони с функциямивнедрения в уже работающие приложения и процессы) (рис. 6.3).

Рис. 6.3.Окно Outpost Firewall

Рис. 6.3.Окно Outpost Firewall

    Новый анализатор сигнатур spyware обеспечивает еще более качественноеобнаружение вредоносного ПО для улучшения защиты пользователей от всех известных, атакже модифицированных и самых новых версий вредоносных программ. Для полученияболее качественных результатов сканирования spyware-сканер, наряду с построениемконтрольных сумм по целому файлу, имеет возможность детектировать вредоносное ПО понеизменяемой, уникальной части файла.

    Ну что ж, очень даже неплохо. В описании подразумевается использование каксигнатурного поиска, так и поиска по контрольной сумме файла (получается этакий гибридмежду обычным антивирусом-полифагом и ревизором).

    Outpost Firewall использует новую процедуру проверки на основе Secure HashAlgorithm (SHA) 256 для определения приложений во время автоматического созданияправил сетевого доступа через ImproveNet. Это позволяет Outpost Firewall Pro гораздо болееточно определять приложения и, следовательно, создавать и распространять оптимальныенаборы правил.

    Технологии, описанные выше, призваны предотвратить случаи, когда spyware пытаетсявыйти в Сеть, маскируясь под доверенное приложение, например Internet Explorer. В основе такой защиты стоит криптографическая подпись, создаваемая брандмауэром для каждогоотдельного приложения, формируя таким образом уникальный PID – гарант того, что даннаяпрограмма является тем, за кого она себя выдает.

    В Outpost Firewall также есть специально разработанный "Игровой режим", которыйпозволяет не отвлекать пользователя и не прерывать его во время игры и при этом защищаетсистему во время игр или просмотра фильмов в сети. В этом режиме защита действует, ненадоедая при этом пользователю многочисленными окнами и предупреждениями.

    Для тех, кто хочет уменьшить количество запросов от программы, но хочет иметьполный контроль, Outpost Firewall Pro предлагает "Низкий уровень контроля компонентов",который предупреждает не о каждом измененном или добавленном компоненте приложения,а только об исполняемых файлах.

    Наконец, Outpost Firewall Pro представляет новый режим внутренней защиты. Свключенной внутренней защитой Outpost Firewall предотвращает попытки вирусов,троянских коней и шпионского ПО завершить работу брандмауэра. Outpost Firewallобнаруживает и предотвращает все попытки имитации нажатия клавиш пользователем,которые могут привести к приостановке работы брандмауэра. Он также отслеживаетизменение своих собственных компонентов на жестком диске, значений реестра, состояниепамяти, запущенные службы и т. д. и блокирует любые изменения, предпринятыевредоносными приложениями.

    Leak-тест

    Посмотрим, что представляют собой программы в авторитетных тестах. В качествеконтрольного теста мы воспользуемся результатами так называемого Leak-теста (от англ.leak – «просачиваться, утекать»). Поясним основные его принципы.

    В основе данного теста лежит использование outbound-эмуляторов, позволяющихимитировать работающих троянских коней, пытающихся что-либо передать в Сеть. Вкачестве примера можно привести следующие тест-системы (рис. 6.4 и 6.5).

    Принцип работы данной тест-системы заключается в создании туннеля через открытый80-й порт. Таким образом, эмулируется тот случай, когда троянский конь маскируется засчет работы в уже открытом и доверенном в настройках 80-м порте (рис. 6.4).

Рис. 6.4.Окно тест-системы FireHole

Рис. 6.4.Окно тест-системы FireHole

    В данном случае Ghost эмулирует отправку HTTP-запросов на удаленный URL-адрес,скрывая факт отправки как таковой (рис. 6.5).

Рис. 6.5.Окно Ghost

Рис. 6.5.Окно Ghost

Надо заметить, что некоторые из подобных эмуляторов распознаются антивирусом каксамые настоящие троянские кони (рис. 6.6).

Рис. 6.6.Некоторые эмуляторы антивирус принимают за троянских коней

Рис. 6.6.Некоторые эмуляторы антивирус принимают за троянских коней

Вот,собственно, и результаты теста (табл. 6.1).

Таблица 6.1. Результаты Leak-теста

Таблица 6.1. Результаты Leak-теста

Таблица 6.1. Результаты Leak-теста

    Самое интересное, пожалуй, то, что по результатам теста, который описан выше (см.табл. 6.1), наши претенденты за звание лучшего межсетевого экрана не занимают ни первого,ни второго места. Парадокс? Удивляться не стоит. Во-первых, это всего лишь один извозможных тестов. Во-вторых, априорное лидерство наших героев проверено, как говорится,огнем и медными трубами, не одним поколением интернет-пользователей и добрымдесятком тестовых лабораторий. Поэтому все догадки по этому поводу с успехом подойдут кзаключениям типа «Совершенных продуктов нет и не может быть…».Исходя из полученных результатов тестирования очевидно: Zone Alarm несколькоопережает Outpost Firewall.

    ПРИМЕЧАНИЕ

    Результаты представленных тестов в известной мере носят объективныйхарактер и не могут быть экстраполированы на всю линейку продуктов класса.

    Это в равной степени относится как к платным версиям обоих продуктов (8600 балловZoneAlarm Pro против 6550 баллов Outpost Firewall PRO), так и к бесплатным (1550 балловZoneAlarm Free против 1000 баллов Outpost Firewall Free). Однако же не будем забывать и отом, что на момент написания книги в свет уже успели выйти более новые версии обоихпродуктов, функционал которых может значительно различаться. Как бы там ни было, а фактостается фактом: два рассматриваемых продукта, несомненно, можно считать лучшими всвоем классе.

    ZoneAlarm – более прост и интуитивно понятен в настройке. Agnitum Outpost Firewall –более гибок в настройках и конфигурировании. Какому бы из продуктов ни отдал своепредпочтение пользователь – оба по праву можно считать настоящими монстрами средимежсетевых экранов своего класса.

    6.5. Warning! Your IP is detected! Скрываем свое присутствие в Интернете

    В контексте данного раздела мы поговорим о наиболее популярном способе сокрытияIP – использовании прокси-сервера. Особое внимание будет уделено созданию цепочки изпрокси-серверов – нашего виртуального оплота анонимности.

    Зачем это надо, подробно объяснять, думаю, не имеет смысла. Ваш IP-адрес подобенотпечатку пальцев, и это вполне очевидно. Посещение "запрещенных" сайтов, общение нафоруме "не с теми людьми", "прозрачный" ICQ – все это c реальным IP и при определенномстечении обстоятельств может закончиться весьма и весьма плачевно.

    Начнем, пожалуй. Говоря простым языком, прокси представляет собой сервер,обратившись к которому можно работать от его имени: реальный IP работающего черезпрокси скрывается и подменяется IP-прокси-сервера. Прокси-сервер скрывает сведения обисточнике запроса или пользователе. Целевой сервер видит лишь информацию опрокси-сервере, например IP-адрес, но не имеет возможности определить истинныйисточник запроса.

    По уровню предоставляемой конфиденциальности все прокси-серверы подразделяютсяна прозрачные и непрозрачные. Разница заключается в том, что первые предоставляют"пункту обращения" свой собственный IP, а вторые, которые по праву иногда называютэлитными, не предоставляют такового. Последние небезосновательно широко используютсяпредставителями "киберандеграунда".

    Существуют также так называемые искажающие прокси-серверы, которые передаютцелевому серверу ложную информацию об истинном пользователе.

    Выделяют следующие типы прокси-серверов, классификация которых основана на ихспециализации, хотя многие из них используются для нескольких целей одновременно.

    HTTP-proxy– наиболее распространенный тип proxy-серверов. Основноепредназначение – анонимное посещение сайтов. Чтобы настроить браузер на использованиепрокси, открываем Internet Explorer и выбираем команду Сервис Свойства обозревателяПодключения Настройка.Устанавливаем флажок Использовать прокси-сервер для этого подключения и заполняем поля Адрес и Порт(рис. 6.7).

Рис. 6.7.Настройка прокси

Рис. 6.7.Настройка прокси

    Тонкую настройку соединения в зависимости от типа прокси-сервера можно найти,нажав кнопку Дополнительно.Свежий список рабочих прокси-серверов можно найти по адресу www.antichat.ru.Настроив таким образом ваш браузер на работу через прокси и обеспечив некоторыйуровень анонимности, все же необходимо заметить, что использование одного прокси неявляется гарантом того, что ваш IP не "засветится" там, где ему "светиться" крайненежелательно. Именно поэтому целесообразно "замутить" этакую цепь из прокси, известнуютакже как proxy-chain. Для этого, помимо вышеперечисленных манипуляций с пунктом Прокси-сервер в настройке подключений, резонно задействовать CGI-proxy, или такназываемые анонимайзеры, о которых чуть ниже поговорим подробнее. Продолжим нашуклассификацию. Выделяют также следующие типы прокси.

♦ Socks-proxy – данный тип прокси-серверов отличается чрезвычайно богатымивозможностями работы: такие прокси работают практически с любым типом информации вСети.

♦ FTP-proxy – этот тип прокси является узкоспециализированным и предназначен дляработы с FTP-серверами.

♦ CGI-proxy, они же – анонимайзеры.

    Фактически, CGI-proxy представляет собойHTML-страницу с поисковой формой, в которую вводится адрес нужного нам сайта. Используя анонимайзер, можно без проблем построить цепочку из прокси, обеспечивтем самым анонимность более высокого класса. Как? Просто. Для этого заходим на один изсайтов, предоставляющих подобные услуги, в форме вводим адрес другого аналогичногопрокси и т. д. Чем большее количество серверов включено в такую цепочку, тем вышеуровень вашей анонимности. Существует, однако, и обратная зависимость: чем длиннеецепь, тем медленнее скорость соединения. Процесс создания цепочки из прокси можноавтоматизировать, используя специализированное программное обеспечение вродеSocksChain. Программа сама скачивает и настраивает цепочку из прокси-серверов.


    Выезд компьютерного мастера в районы: Троещина, Оболонь, Позняки, Теремки, Борщаговка, Шулявка, Дарница, Соломенка, Осокорки, Лесной, Березняки, Подол, Виноградар, Демеевка, Русановка, Лукьяновка, Татарка, Академгородок, Святошино, ДВРЗ, Гончарка, Голосеево, Академгородок, Беличи, Корчеватое, Китаево, Жуляны, Борисполь, Бровары, Вышневе




Ссылки