Коллектив авторов - Защита от хакеров корпоративных сетей
Популярное программное обеспечение для прослушивания сетевого трафика
· Существует много коммерческих и бесплатных программ для прослушивания сетевого трафика, которые предназначены для сетевой диагностики, например Ethereal, Network Associate's Sniffer Pro, NetMon, WildPackets' AiroPeek и tcpdump. Эти продукты не имеют хакерских возможностей, таких как захват паролей.
· Примерами инструментов хакеров являются: dsniff, Ettercap, Esniff и Sniffit. Вместо того чтобы прослушивать весь трафик, эти инструменты нацелены на пароли и данные в открытом виде.
Усовершенствованные методы прослушивания сетевого трафика
· Прослушивать сети сегодня стало намного сложнее, чем в прошлом, главным образом благодаря использованию коммутаторов. Старые сети повторяли данные на все узлы, позволяя всем в сети видеть весь трафик. Коммутаторы не дают другим видеть ваш трафик.
· Коммутаторы могут быть атакованы многими способами, такими как flooding, MAC-адресами для форсирования состояния отказа, ARP spoofing или spoofing пакетов маршрутизации. Эти методы сбивают с толку оборудование и транслируют сетевой трафик на хост с анализатором.
· Некоторые пакеты программ для прослушивания сетевого трафика позволяют нарушителю посредничать как часть атаки «человек посередине». Как пример – выдавать себя за HTTPS-сервер; жертва шифрует трафик ключом нарушителя, полагая, что это ключ доверенного сервера. Это позволяет нарушителю просматривать данные до шифрования настоящим ключом сервера.
Исследование программных интерфейсов приложений операционных систем
· Прослушивание сетевого трафика не является штатным режимом операционной системы. Необходимо использование специальных программных интерфейсов приложений.
· Программный интерфейс приложения libpcaр широко поддерживается среди UNIX/Windows-платформ, существуют более специализированные APIs для специфических платформ.
Защитные меры
· Наиболее существенной защитой от анализаторов сетевого трафика является шифрование. Большинство протоколов поддерживают шифрование мандатов аутентификации (имя пользователя, пароль) и данных. SSL и SSH – два наиболее важных стандарта шифрования.
· Шифрование не работает при неправильном использовании. Пользователи должны выбирать сильные пароли и быть бдительны к атакам MITM.
· Замена общих концентраторов на коммутаторы сделает прослушивание сетевого трафика намного сложнее, но не стоит надеяться, что сделает его невозможным.
Применение методов обнаружения
· Наиболее важной мерой является контроль хостов на предмет наличия интерфейсов в «безразличном» режиме. Это показывает не только то, что анализатор трафика запущен, но и то, что хост был скомпрометирован хакером.
· Удаленное обнаружение анализаторов сетевого трафика не надежно. Удаленное обнаружение полагается на поведение хоста определенным образом, например медленная работа с запущенным анализатором трафика, или анализатор, который переводит IP в имена. Только анализаторы сетевого трафика ведут себя подобным образом.
Часто задаваемые вопросы
На следующие часто задаваемые вопросы (FAQ) отвечали авторы данной книги. Они предназначены как для улучшения вашего понимания идей, представленных в данной главе, так и для помощи в реализации этих идей. Если у вас возникли вопросы по данной главе, зайдите на сайт www.syngress.com/solutions и кликните на формочку «Ask the Author» («Спросить автора»).
Вопрос: Является ли законным прослушивание сети? Ответ: Несмотря на то что использование анализаторов сетевого трафика для диагностики и управления является законным, сетевое наблюдение за действиями служащих со стороны руководства широко обсуждается. Коммерческие продукты как раз и предназначены для этих нужд. В большинстве стран (особенно в США и Великобритании) прослушивание любой активности своих сетей руководством, включая всю активность сотрудников, разрешено законом.
Вопрос: Как я могу обнаружить анализатор сетевого трафика в моей сети? Ответ: На данный момент нет стопроцентно надежного метода обнаружения анализаторов трафика; однако существуют утилиты для обнаружения (AntiSniff).
Вопрос: Как я могу защитить себя от прослушивания сетевого трафика? Ответ: Шифрование, шифрование и шифрование – единственно правильное решение. Многие новые версии сетевых протоколов также поддерживают расширения, которые предоставляют механизмы защищенной аутентификации.
Вопрос: Почему я не могу запустить мой инструмент под Windows? Ответ: Большинство анализаторов сетевого трафика, описанных в данной главе, были написаны под такие платформы, как Linux. Вам обычно необходимо установить инструментарий WinDump, описанный ранее. Вы можете также установить другие утилиты, такие как окружение Gnu.
Вопрос: Могу ли я использовать эти инструменты в беспроводных сетях? Ответ: Да, но для этого необходимо проделать большой объем работ. Прослушивание сетевого трафика не поддерживается стандартными пакетами, которые вы получаете от поставщика. Необходимо найти в Интернете патчи для вашего конкретного драйвера. Вам необходимо также загрузить специальные утилиты, такие как AirSnort, предназначенные для обхождения слабого шифрования, существующего в сегодняшних беспроводных сетях. Скорее всего, данное даже и не нужно, так как большинство людей не используют шифрования.
Глава 11 Перехват сеанса
В этой главе обсуждаются следующие темы:
• Основные сведения о перехвате сеанса
• Популярные инструментальные средства перехвата сеанса
• Исследование атак типа MITM в зашифрованных соединениях
· Резюме
· Конспект
· Часто задаваемые вопросы
Введение
Термин «перехват сеанса» (session hijacking) означает способность атакующего захватывать часть сеанса (часто – сетевой диалог) и вести себя как один из его участников. Перехват сеанса обычно является частью прослушивания сетевого трафика (снифинга), отличаясь от него тем, что снифинг осуществляется пассивно, а перехват сеанса требует активных действий.
Перехват сеанса использует недостатки, присущие большинству типов сетей и протоколов без шифрования данных. Главным из них является передача информации в открытом виде. Те же самые недостатки используются при снифинге. Но при перехвате сеанса, вдобавок к мониторингу, злоумышленник может вставлять пакет или кадр, претендуя на роль одного из хостов. Подобные действия аналогичны действиям при получении доступа обманным путем (спуфинге), за исключением того, что не нужно ничего угадывать – вся необходимая информация уже доступна злоумышленнику.
В этой главе будет выяснено, чего могут достичь злоумышленники при перехвате сеанса, и будут рассмотрены современные инструментальные средства перехвата сеанса.
Основные сведения о перехвате сеанса
Лучше всего объяснить перехват сеанса на примере. Представьте, что злоумышленник случайно или в результате успешной для него атаки получил возможность наблюдать за трафиком между двумя машинами. Одна из машин – сервер, который он пытается взломать. Очевидно, что другая – клиент. В нашем примере злоумышленник перехватывает подключение суперпользователя (root user) к серверу через сервис Telnet и считывает из него пароль, но только для того, чтобы выяснить, является ли украденный им пароль одноразовым паролем skey. Как можно понять из названия, одноразовые пароли используются один раз, поэтому если кто-нибудь, прослушивая сетевой трафик, завладеет им, то пароль не принесет ему никакой выгоды, поскольку он уже был использован.
Что предпринимает злоумышленник? Он делает очень простые вещи. Злоумышленник посылает пакет с подходящими данными в заголовке пакета, последовательными номерами и данными, выглядящими примерно так:
<cr> echo + + > /.rhosts <cr>
где <cr> – символ возврата каретки. Прежде чем стать полезной для злоумышленника, эта команда предполагает выполнение некоторых дополнительных условий. Но тем не менее она иллюстрирует суть дела. Если доступен какой-нибудь из сервисов Berkeley «r», то эта команда позволит любому передать команды серверу от лица какого-то пользователя (включая суперпользователя). Естественно, атакующий тут же воспользуется этой возможностью для передачи серверу командой rsh серии разрушительных команд, позволяющих полностью контролировать сервер до тех пор, пока его законный владелец не отформатирует диски и не перезагрузится. В настоящее время для осуществления описанной атаки следует преодолеть ряд сложностей, которые будут рассмотрены в этой главе. Достаточно сказать, что последствия описанной атаки станут очевидными для пользователя – законного клиента сервера: он либо получит сообщение о разрыве соединения, либо сможет наблюдать переданные злоумышленником команды серверу, которые в режиме эха будут отображены на его экране.
