Коллектив авторов - Защита от хакеров корпоративных сетей
[Tue Mar 28 09:46:01 2000] – Sniffit session started.
[Tue Mar 28 10:27:02 2000] – 10.40.1.6.1332-10.44.50.40.21:
USER
[hansen]
[Tue Mar 28 10:27:02 2000] – 10.40.1.6.1332-10.44.50.40.21:
PASS
[worksux]
[Tue Mar 28 10:39:42 2000] – 10.40.1.99.1651-10.216.82.5.23:
login
[trebor]
[Tue Mar 28 10:39:47 2000] – 10.40.1.99.1651-10.216.82.5.23:
password
[goaway]
[Tue Mar 28 11:08:10 2000] – 10.40.2.133.1123-10.60.56.5.23:
login
[jaaf]
[Tue Mar 28 11:08:17 2000] – 10.40.2.133.1123-10.60.56.5.23:
password
[5g5g5g5]
[Tue Mar 28 12:45:21 2000] – 10.8.16.2.2419-
10.157.14.198.21: USER
[afms]
[Tue Mar 28 12:45:21 2000] – 10.8.16.2.2419-
10.157.14.198.21: PASS
[smfasmfa]
[Tue Mar 28 14:38:53 2000] – 10.40.1.183.1132-
10.22.16.51.23: login
[hohman]
[Tue Mar 28 14:38:58 2000] – 10.40.1.183.1132-
10.22.16.51.23: password
[98rabt]
[Tue Mar 28 16:47:14 2000] – 10.40.2.133.1069-10.60.56.5.23:
login
[whitt]
[Tue Mar 28 16:47:16 2000] – 10.40.2.133.1067-10.60.56.5.23:
password
[9gillion]
[Tue Mar 28 17:13:56 2000] – 10.40.1.237.1177-10.60.56.5.23:
login
[douglas]
[Tue Mar 28 17:13:59 2000] – 10.40.1.237.1177-10.60.56.5.23:
password
[11satrn5]
[Tue Mar 28 17:49:43 2000] – 10.40.1.216.1947-
10.22.16.52.23: login
[demrly]
[Tue Mar 28 17:49:46 2000] – 10.40.1.216.1947-
10.22.16.52.23: password
[9sefi9]
[Tue Mar 28 17:53:08 2000] – 10.40.1.216.1948-
10.22.16.52.23: login
[demrly]
[Tue Mar 28 17:53:11 2000] – 10.40.1.216.1948-
10.22.16.52.23: password
[jesa78]
[Tue Mar 28 19:32:30 2000] – 10.40.1.6.1039-
10.178.110.226.21: USER
[custr2]
[Tue Mar 28 19:32:30 2000] – 10.40.1.6.1039-
10.178.110.226.21: PASS
[Alpo2p35]
[Tue Mar 28 20:04:03 2000] – Sniffit session ended.Как вы можете видеть, за промежуток примерно 10 ч я собрал имена и пароли девяти разных пользователей, три для FTP-сайтов и пять – для Telnet. Один пользователь, demrly, видимо, использовал неправильный пароль, когда он или она пытался соединиться с 10.22.16.52 первый раз, но я сохраню этот пароль потому, что он может быть правильным для другой локации.
Carnivore
Carnivore является Интернет-перехватчиком, разработанным Федеральным бюро расследований (FBI) Соединенных Штатов Америки. Он разработан для специальных нужд обеспечения правопорядка. Например, некоторые ордера судов позволяют использование рукописного протокола наблюдения только адресов электронной почты отправителя и получателя, но некоторые могут позволить полный перехват сообщений электронной почты. Краткое изложение отличительных особенностей представлено в конфигурационной программе, показанной на рис. 10.7.
Рис. 10.7. Конфигурационная программа Carnivore^
Отличительные особенности:
• наборы фильтров. Настройки сохраняются в конфигурационные файлы; пользователь может быстро менять параметры прослушивания, выбирая разные наборы фильтров;
• сетевые адаптеры. Система может иметь несколько сетевых адаптеров; одновременно может быть выбран только один адаптер для прослушивания;
• размер файла архива. Можно задать предел на количество перехватываемой информации; по умолчанию заполняет весь диск;
• использование памяти. Сетевой трафик может приходить быстрее, чем может быть записан на диск; память сбрасывает в буфер входящие данные;
• фиксированный IP-адрес. Весь входящий и исходящий трафик диапазона адресов может быть отфильтрован. Например, подозреваемый может иметь фиксированный IP-адрес 1.2.3.4, назначенный кабельному модему. ФБР может получить ордер суда, позволяющий им прослушивать весь трафик подозреваемого;
• протоколы для перехвата. Обычно ордер суда позволяет перехватывать только специфический трафик, например SMTP поверх TCP. В режиме «Pen» перехватываются только заголовки;
• текстовые строки данных. Данная отличительная особенность заключается в поиске ключевых слов в трафике. Ордер суда должен точно определять, что подлежит прослушиванию, будь то, например, IP-адрес или учетная запись электронной почты. Расширенный поиск по ключевым словам нелегален в Соединенных Штатах Америки. ФБР отрицает, что Carnivore имеет данную особенность;
• порты. Возможно создание списка TCP– и UDP-портов. Например, если ФБР имеет ордер суда, позволяющий прослушивание сообщений электронной почты, оно может указать конкретные порты электронной почты 25,110 и 143;
• SMTP-адреса электронной почты. Типичный сценарий представляет собой следующее. Carnivore прослушивает сервер электронной почты поставщика услуг Интернет, отбрасывая все сообщения, кроме сообщений подозреваемого. Сессия обмена электронной почтой прослеживается до нахождения адреса электронной почты подозреваемого, далее все пакеты, составляющие сообщение, перехватываются;
• динамические IP-адреса. Когда пользователи пользуются услугами коммутируемого Интернета, они подключаются посредством протокола RADIUS, который раздает им IP-адреса. Обычно ФБР запрашивает почты поставщика услуг Интернет перенастроить RADIUS-сервера таким образом, что нарушителю будет выдаваться один и тот же IP-адрес, и прослушивает исходящий и входящий трафики с этого IP-адреса. (Необходимо отметить, что если вы пользователь коммутируемого Интернета и подозреваете, что ФБР прослушивает ваш трафик, всегда проверяйте ваш IP-адрес при выходе в сеть.) Иногда это невозможно. Carnivore может быть настроен для прослушивания протокола RADIUS и динамически определять новый IP-адрес, выданный подозреваемому. Прослушивание начинается с момента присвоения IP-адреса и заканчивается при завершении сеанса.
ФБР разработало Carnivore потому, что утилиты, такие как dsniff, не подходят для нужд обеспечения правопорядка. Когда сообщение электронной почты передается через сеть, оно разбивается на большое количество пакетов. Утилиты, такие как mailsnarf (описана выше), собирают сообщение в его первоначальный вид. Это плохо, так как адвокат подозреваемого будет оспаривать его точность: не был ли пропущен пакет из середины сообщения, изменяющий его значение? Не попал ли пакет другого сообщения в данное? Перехватывая необработанные пакеты, а не собирая их, Carnivore поддерживает настоящую последовательность чисел, портов и временных меток. Любые пропавшие или лишние пакеты легко прослеживаются, что позволяет ФБР отстаивать точность системы.
Другая проблема, с которой сталкивается ФБР, заключается в минимизации прослушиваемой информации. Когда ФБР подключается к вашей телефонной линии, они должны приставить агента слушать ее. Если кто-либо другой использует телефон (например, ваша супруга или дети), они должны выключить магнитофон. Аналогично Carnivore разработан для избежания прослушивания чего-либо, не принадлежащего подозреваемому. Типичным примером является использование Carnivore для наблюдения активности пользователей коммутируемого Интернета. Carnivore содержит модуль прослушивания RADIUS-трафика, используемого большинством из поставщиков услуг Интернет для аутентификации пользователей и назначения им динамических IP-адресов. Это позволяет Carnivore^ прослушивать только данного пользователя без перехвата трафика остальных пользователей. Экземпляр программы, содержащей много особенностей Carnivore, может быть найден на сайте данной книги (www.syngress.com/solutions).
Дополнительная информация
Существуют несколько интересных ресурсов, которые предоставляют более полный список существующих анализаторов сетевого трафика, вот некоторые из них.
• Список сетевых анализаторов трафика доступен на Underground Security Systems Research: www.ussrback.com/packetsniffers.htm.
• Очень хороший и детальный обзор пакетных анализаторов, написанных Робертом Грахамом: www.robertgraham.com/pubs/sniffing-faq.html....Примечание
FAQ по Carnivore можно найти здесь: www.robertgraham.com/pubs/carnivore-faq.html.
Усовершенствованные методы прослушивания сетевого трафика
По мере развития технологии хакеры вынуждены создавать новые методы прослушивания сетевого трафика. Следующий раздел посвящен нескольким методам, используемым нарушителями в целях перехитрить технологические достижения.
Атаки «человек посередине» (MITM)
Как мы отметили выше, наиболее эффективной защитой от прослушивания является использование протоколов с шифрованием данных, таких как SSL и SSH. Однако последние пакеты dsniff и Ettercap содержат методы обмана шифрования.
Базовый метод известен как атака «человек посередине» (MITM). Хорошим примером этого является фильм про Джеймса Бонда «Из России с любовью». Бонд должен встретиться с другим агентом на пироне поезда. Злой агент из SPECTRE первым встречается с агентом, прикидываясь Бондом. Таким способом злой агент узнает правильное кодовое слово. Злой агент далее выдает себя за агента, с которым у Бонда была назначена встреча.
Тот же метод может быть использован для протоколов с шифрованием. Нарушитель устанавливает сервер, который отвечает на запросы клиентов. Например, сервер отвечает на запрос https://www.amazon.com. Пользователь, соединяющийся с данной машиной, будет ложно считать, что он создал шифрованное соединение с Amazon.com. В то же время нарушитель соединяется с настоящим Amazon.com и выдает себя за пользователя. Нарушитель играет двойную роль, расшифровывает полученные от пользователя данные и далее шифрует их для передачи настоящему месту назначения. В теории протоколы с шифрованием защищены от этого. Сервер, выдающий себя за Amazon.com, должен доказать, что это так и есть на самом деле. На практике большинство пользователей игнорируют это. Атаки MITM доказали свою эффективность в данной области.
