Информационная безопасность » Пассивные атаки

Прослушивание в коммутируемых сетях Ethernet

admin — Mon, 06 Oct 2008 07:20:34 +0000

Вследствие очень широкого распространения топологии сетей Ethernet, построенных на коммутаторах, необходимо немного рассказать и о прослушивании трафика в таких ситуациях. Технология построения сетей множественного доступа на активном оборудовании — концентраторах (англ. hub) и коммутаторах (англ. switch) — позволяет подключать каждую сетевую карту не к единому сетевому кабелю, а к этому концентраторному оборудованию своим собственным кабелем. Оба типа устройств “прозрачны” на канальном уровне, то есть прохождение через них кадра канального уровня никак не сказывается на его содержимом и не может быть обнаружено программами-снифферами.
Повторители выполняют единственную функцию копирования кадра, пришедшего по одному из подключенных к нему кабелей, во все остальные сетевые кабели. А вот коммутаторы выполняют роль “интеллектуального” перенаправления этого кадра. На каждом сетевом порту поддерживается список МАС-адресов, от которых в последнее время приходили пакеты с этого сетевого кабеля. Чаще всего на другой стороне кабеля находится один единственный компьютер, в этом случае список для данного порта будет состоять из одного МАС-адреса. Но если к коммутатору подключается другой коммутатор или повторитель, количество адресов в списке возрастает.
Перенаправление кадра, пришедшего на коммутатор, производится по следующему алгоритму: если МАС-адрес получателя обнаружен в списке для какого-нибудь из портов коммутатора, пакет отправляется только по этому направлению, если же адрес не найден, то пакет копируется во все подключенные сетевые кабели, как в повторителе. Коммутаторы в несколько раз снижают нагрузку на сетевой носитель, и, как следствие, очень ощутимо увеличивают быстродействие локальной сети в целом. Также, как казалось бы, они надежно защищают от прослушивания трафика: пакет не попадает на сетевые карты других абонентов — он идет только из кабеля отправителя в кабель получателя.
Но уязвимость все же была обнаружена. Оказалось, что у многих известных производителей сетевого оборудования логика работы коммутаторов такова, что, если на каком-либо из портов происходит переполнение списка МАС-адресов, то коммутатор начинает временно работать в режиме повторителя относительно всех своих портов, дабы не привести к полному разрыву сети относительно этих не поместившихся в список МАС-адресов, т. е. для превращения такого коммутатора в повторитель программе-генератору пакетов достаточно через определенный интервал времени устраивать в сети “шторм” из произвольных сетевых пакетов с произвольными различными МАС-адресами. Далее она будет получать все пакеты, идущие по сети через атакованный коммутатор.
Мерами защиты от подобной атаки являются:
□ постоянный мониторинг сети на предмет МАС-штормов;
□ анализ регистрационного журнала коммутатора, если таковой ведется данным устройством;
□ активация на всех портах, к которым подключены одиночные хосты, режима ограничения количества МАС-адресов или даже установка фиксированного разрешенного МАС-адреса, если какой-либо из этих режимов поддерживается коммутатором.
Еще одна возможность прослушивания коммутируемого Ethernet-трафика основана на специфике и ошибках протокола STP (Spanning Tree Protocol). STP используется коммутаторами для обнаружения и блокирования петель в сегментах, состоящих из нескольких коммутаторов. В адрес подавляющего большинства современных реализаций этого протокола есть возможность отправить сфальсифицированный служебный STP-пакет, после которого коммутатор на несколько секунд перейдет в режим повторителя относительно всех своих портов.
До сих пор речь шла о прослушивании незащищенного, нешифрованного трафика. Однако, если пакеты криптографически защищены даже на сетевом уровне, то это не означает, что прослушивание такого информационного потока абсолютно бесполезно. Во-первых, шифрованный пакет есть предмет для криптоанализа. Во-вторых, на основе знаний об объемах трафика и периодичности сетевой активности можно сделать определенные выводы о работе сети. И в-третьих, это возможность проводить статистический и корреляционный анализ шифрованного трафика с нешифрованным (например, пакетами службы сервера имен), который также может представить злоумышленнику полезную информацию.

Прослушивание сетей

admin — Mon, 06 Oct 2008 07:19:55 +0000

Другое название пассивных атак — прослушивание сети, или сниффинг (англ. sniffing). Различают два вида прослушивания — межсегментный (когда хосты, обменивающиеся данными, находятся в различных сегментах сети) и внутрисегментный (когда информационный поток идет между двумя хостами внутри одного сегмента).
В первом случае злоумышленник должен разместить устройство прослушивания в таком месте, где он сможет гарантированно иметь возможность копирования — у выхода из первого сегмента (у шлюза), у входа во второй сегмент, либо у одного из передающих промежуточных устройств (при условии, что сетевой трафик не имеет альтернативных каналов доставки). Поскольку в этом случае трафик не может миновать злоумышленника, его задача облегчается — он может анализировать на выбор любой из уровней сетевой модели (обычно от сетевого и выше).
Немного остановимся на рассуждениях о том, какой уровень сетевой модели наиболее интересен для злоумышленника. Больше всего значимой информации расположено на верхнем, прикладном уровне. Скажем, если злоумышленник имеет возможность перехватывать пакеты незащищенных Telnet-сессий, то скорее всего, рано или поздно, он получит аутентифика-ционные данные (идентификатор и пароль) пользователя, работающего с Telnet-сервером. Анализ транспортных пакетов предоставит возможность узнать, какие службы функционируют на взаимодействующих хостах. Рассмотрение сетевого уровня может дать картину адресного пространства сегментов.
Поскольку основным средством защиты от прослушивания является шифрование, необходимо определиться, на каком уровне производить применение криптографических механизмов. Скажем, если исходящие из сегментного шлюза пакеты направлены только Веб-серверу (возможно еще DNS и почтовому серверу), а сам шлюз выполняет функцию сокрытия адресов, то применять шифрацию можно только на прикладном уровне. А если идет взаимодействие между управляющим и управляемым хостами (например, по протоколу SNMP), то защиту необходимо применять на сетевом уровне.
Во втором случае злоумышленнику не обязательно находиться на одном кабеле с хостом, он может использовать свойства работы протоколов канального уровня (например, Ethernet). В сетях подобной топологии сразу несколько (обычно около 10—20) сетевых карт подключено к одному и тому же носителю информации — сетевому кабелю. Каждый пакет, переданный в сети, поступает таким образом на вход каждой сетевой карты. Только после сравнения физического адреса карты получателя (так называемый МАС-адрес, от англ. Media Access Controller — контроллер доступа к среде передачи), указанного в заголовке пакета, с собственным МАС-адресом сетевая карта принимает решение — ей ли предназначался этот пакет. Один из служебных регистров драйвера сетевой карты определяет, должна ли она передавать на более высокий уровень только пакеты, предназначенные ей (штатный режим), либо же все пакеты, прошедшие по сети (англ. promiscuous mode — дословно “неразборчивый режим”). Программы-снифферы переводят сетевую карту во второй режим и, таким образом, получают все пакеты, проходящие по подключенному сетевому кабелю.
Казалось бы, в этом случае невозможно определить — установлен ли сниф-фер в данном сегменте сети или нет, т. е. ведется ли пассивная атака на хосты сегмента. Однако специалистами по безопасности было найдено довольно красивое решение — сниффер-детектор (англ. sniffer-detector), о котором следует рассказать, как о примере направления развития мыслей специалистов по безопасности для обеспечения необходимой защиты сетевых ресурсов. Для того чтобы прийти к такому решению, необходимо соответствующее знание принципов работы сети, программы-сниффера и техническая сообразительность.
Как уже упоминалось, компьютер со сниффером отличается от других тем, что принимает к обработке все канальные кадры вне зависимости от указанного МАС-адреса. Идея заключается в том, чтобы сформировать набор кадров с некорректным МАС-адресом, который должен быть проигнорирован обычным сетевым узлом. Внутри кадры должны содержать сетевые пакеты, на которые обязаны будут отреагировать служебные сервисы сетевого уровня (например, это может быть ping-пакет протокола ICMP). Таким образом, получение от какого-либо хоста ответа на подобный сетевой пакет, означает, что он (кадры, его составляющие) был принят к обработке данным узлом и передан на сетевой уровень, который и ответил на служебный запрос. Следовательно, сетевая карта переведена в режим promiscuous mode и на данном хосте установлена программа-сниффер.
Другой, не столь красивый вариант решения, заключается в том, что сегмент должен быть заполнен большим количеством некорректных сетевых кадров, которые будут проигнорированы всеми узлами, кроме прослушивающего. Тогда наличие сниффера можно обнаружить по существенному замедлению работы данного хоста (например, в замедлении реакции на ту же команду ping).