http://www.microfinance.uz Бухгалтерский и налоговый учёт Thu, 26 Jan 2012 14:59:26 +0000 en hourly 1 http://wordpress.org/?v=3.1.2 http://www.microfinance.uz/proslushivanie-setej/ http://www.microfinance.uz/proslushivanie-setej/#comments Mon, 06 Oct 2008 07:19:55 +0000 admin http://www.microfinance.uz/proslushivanie-setej/ Другое название пассивных атак — прослушивание сети, или сниффинг (англ. sniffing). Различают два вида прослушивания — межсегментный (когда хосты, обменивающиеся данными, находятся в различных сегментах сети) и внутрисегментный (когда информационный поток идет между двумя хостами внутри одного сегмента).
В первом случае злоумышленник должен разместить устройство прослушивания в таком месте, где он сможет гарантированно иметь возможность копирования — у выхода из первого сегмента (у шлюза), у входа во второй сегмент, либо у одного из передающих промежуточных устройств (при условии, что сетевой трафик не имеет альтернативных каналов доставки). Поскольку в этом случае трафик не может миновать злоумышленника, его задача облегчается — он может анализировать на выбор любой из уровней сетевой модели (обычно от сетевого и выше).
Немного остановимся на рассуждениях о том, какой уровень сетевой модели наиболее интересен для злоумышленника. Больше всего значимой информации расположено на верхнем, прикладном уровне. Скажем, если злоумышленник имеет возможность перехватывать пакеты незащищенных Telnet-сессий, то скорее всего, рано или поздно, он получит аутентифика-ционные данные (идентификатор и пароль) пользователя, работающего с Telnet-сервером. Анализ транспортных пакетов предоставит возможность узнать, какие службы функционируют на взаимодействующих хостах. Рассмотрение сетевого уровня может дать картину адресного пространства сегментов.
Поскольку основным средством защиты от прослушивания является шифрование, необходимо определиться, на каком уровне производить применение криптографических механизмов. Скажем, если исходящие из сегментного шлюза пакеты направлены только Веб-серверу (возможно еще DNS и почтовому серверу), а сам шлюз выполняет функцию сокрытия адресов, то применять шифрацию можно только на прикладном уровне. А если идет взаимодействие между управляющим и управляемым хостами (например, по протоколу SNMP), то защиту необходимо применять на сетевом уровне.
Во втором случае злоумышленнику не обязательно находиться на одном кабеле с хостом, он может использовать свойства работы протоколов канального уровня (например, Ethernet). В сетях подобной топологии сразу несколько (обычно около 10—20) сетевых карт подключено к одному и тому же носителю информации — сетевому кабелю. Каждый пакет, переданный в сети, поступает таким образом на вход каждой сетевой карты. Только после сравнения физического адреса карты получателя (так называемый МАС-адрес, от англ. Media Access Controller — контроллер доступа к среде передачи), указанного в заголовке пакета, с собственным МАС-адресом сетевая карта принимает решение — ей ли предназначался этот пакет. Один из служебных регистров драйвера сетевой карты определяет, должна ли она передавать на более высокий уровень только пакеты, предназначенные ей (штатный режим), либо же все пакеты, прошедшие по сети (англ. promiscuous mode — дословно “неразборчивый режим”). Программы-снифферы переводят сетевую карту во второй режим и, таким образом, получают все пакеты, проходящие по подключенному сетевому кабелю.
Казалось бы, в этом случае невозможно определить — установлен ли сниф-фер в данном сегменте сети или нет, т. е. ведется ли пассивная атака на хосты сегмента. Однако специалистами по безопасности было найдено довольно красивое решение — сниффер-детектор (англ. sniffer-detector), о котором следует рассказать, как о примере направления развития мыслей специалистов по безопасности для обеспечения необходимой защиты сетевых ресурсов. Для того чтобы прийти к такому решению, необходимо соответствующее знание принципов работы сети, программы-сниффера и техническая сообразительность.
Как уже упоминалось, компьютер со сниффером отличается от других тем, что принимает к обработке все канальные кадры вне зависимости от указанного МАС-адреса. Идея заключается в том, чтобы сформировать набор кадров с некорректным МАС-адресом, который должен быть проигнорирован обычным сетевым узлом. Внутри кадры должны содержать сетевые пакеты, на которые обязаны будут отреагировать служебные сервисы сетевого уровня (например, это может быть ping-пакет протокола ICMP). Таким образом, получение от какого-либо хоста ответа на подобный сетевой пакет, означает, что он (кадры, его составляющие) был принят к обработке данным узлом и передан на сетевой уровень, который и ответил на служебный запрос. Следовательно, сетевая карта переведена в режим promiscuous mode и на данном хосте установлена программа-сниффер.
Другой, не столь красивый вариант решения, заключается в том, что сегмент должен быть заполнен большим количеством некорректных сетевых кадров, которые будут проигнорированы всеми узлами, кроме прослушивающего. Тогда наличие сниффера можно обнаружить по существенному замедлению работы данного хоста (например, в замедлении реакции на ту же команду ping).

]]> http://www.microfinance.uz/proslushivanie-setej/feed/ 0