 |
Sendmail и электронная почта 4 глава
|
|
|
|
На основе анализа регистрационной и учетной информации пользователей может установить:
• вход/выход субъектов доступа в/из системы (узла сети);
• выдачу печатных (графических) выходных документов;
• запуск/завершение программ и процессов (заданий, задач);
• доступ программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи;
• доступ программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей;
• изменения полномочий субъектов доступа;
• создаваемые защищаемые объекты доступа.
Интересен анализ статистики неудачных обращений к командам входа в интрасеть. Часто по этому признаку можно обнаружить злоумышленника, который пытается войти в интрасеть под случайно ставшим известным ему именем законного пользователя. Исключения составляет модемный "мусор" (беспорядочные символы) при подключении по телефонным линиям через модем. Настороженность должны вызывать также "посещения" сервера пользователем в неурочное время или с необычной точки доступа – возможно, кто-то узнал его имя и пароль.
Существенным моментом является и степень защищенности информации о пользователях и их паролях.
Приведем названия некоторых зарубежных фирм и продуктов, предназначенных для идентификации и аутентификации пользователей [22]: Baseline Software – Password Coach; Security Dynamics – интеллектуальная карта SecurlD; Secure Computing – системы Softtoken ID и МЭ; Smart Disk Security – семейство Smart Disk; EyeDentify – устройство Model 2001 для идентификации пользователя по рисунку на сетчатке глаза; LeeMah Data – защита удаленного доступа и идентификация пользователя с использованием специальной дискеты; AssureNet PaWays – аутентификация пользователя с использованием аппаратных и программных жетонов; Talos Technologies – системы биологической идентификации по рисунку линий на руке; Recognition Systems – системы биологической идентификации по изображению кисти руки.
|
|
|
Смежная область - единый вход в систему и единая точка регистрации - представлена на рынке следующими производителями и продуктами [22]: Axent Technologies – семейство продуктов Omniguard; CyberSafe – CyberSafe Challenger; Computer Associates – CA-Unicenter; CKS North America – CKS MyNet; Cygnus Support – Kerb*Net; LJK Software – LJK/Login; IBM International – Secure Single Sign-On; Computers - AccessManager; Millennium Computer – First Step Single Sign-On; Memco Software – SeOS Loginworks; Mergent International – Logon Guard и SSO/DACS; New Dimension Software – Multi-Platform CONTROL-SA; Proginet - SecurePass. 2.
В интрасети крайне желательно обеспечить унифицированный вход в систему (single sign-on, SSO). При работе по SSO пользователь просто входит в систему с клиентской станции, указывая свои учетное имя и пароль. После этого он автоматически получает доступ к любому приложению или ресурсу. Уполномоченные администраторы интрасети должны иметь возможность добавлять, менять и уничтожать параметры учетных записей пользователей (или групп пользователей) для самых разных платформ, ОС и приложений. Такой подход, называемый "единой точкой регистрации" (single point of registration – SPR), позволяет хранить информацию о пользователях в централизованной базе данных. Система SSO не должна:
• модифицировать ядра ОС в инфраструктуре интрасети;
• вносить в систему новые слабые элементы путем использования агрессивных программ (некоторые специалисты относят к этому типу программы, подобные SATAN);
• использовать нестандартные алгоритмы шифрования, протоколы и интерфейсы прикладного программирования;
• нарушать работу или вытеснять действующие в системе механизмы безопасности, например межсетевые экраны;
• требовать крупномасштабных изменений в организации инфраструктуры интрасети;
|
|
|
• представлять собой единую точку возможного сбоя всей интрасети.
Система SSO должна:
• иметь возможность поддержки других – помимо распознавания пользователей – средств безопасности, например обеспечения конфиденциальности и целостности сообщений;
• хорошо масштабироваться в сетевой среде всей организации;
• эффективно использовать такие сетевые ресурсы, как пропускная способность;
• обладать достаточным набором возможностей управления, чтобы успешно обслуживать всех членов разнообразного и рассредоточенного по организации пользовательского сообщества;
• использовать хорошо известные, повсеместно принятые и основанные на стандартах алгоритмы шифрования, протоколы и интерфейсы прикладного программирования;
• иметь возможность в любой момент восстановить идентификатор или пароль пользователя;
• позволять быстро и эффективно подключать к работе большое количество новых пользователей;
• иметь возможность поддерживать, помимо рабочих станций и серверов, такие элементы инфраструктуры, как маршрутизаторы, межсетевые экраны и системы управления сетью.
Рассмотрим подробнее четыре часто используемых классических метода взлома сетей:
1) подбор пароля пользователя;
2) метод "грубой силы" (brute force);
3) метод "зашифровать и сравнить" (crypt and compare);
4) социальная инженерия (social engineering).
2.3.1. Подбор пароля пользователя
Одним из наиболее распространенных способов взлома парольной защиты системы является обыкновенный подбор. Использование пароля добавило хлопот легальным пользователям, которые в свою очередь либо отказывались использовать пароль, либо выбирали в качестве пароля чересчур простые и очевидные слова. Даже сегодня пароли остаются основным средством защиты в большинстве компьютерных систем. Важно правильно его выбрать. Правильно выбранный пароль содержит буквы, цифры, знаки препинания и специальные символы, и при этом он не связан ни с каким словом, которое может быть найдено в словаре неважно какого языка; пароль не должен быть общеупотребительным словом.
Отметим важный факт. Пароль может подбираться непосредственно на ПК пользователя или файл с паролями может переноситься на ПК злоумышленника для применения программы-подборщика паролей там.
|
|
|
Поскольку подбор правильного имени пользователя и комбинации паролей требует больших затрат времени, злоумышленники пишут специальные программы, чтобы автоматизировать этот процесс. Некоторые из этих программ, пытаясь получить доступ к системе, просто используют список общеупотребительных паролей с известным или установленным по умолчанию именем пользователя. Другие программы используют комбинацию сетевых утилит Unix типа Finger (программы вывода информации о некотором пользователе), чтобы выяснить имена пользователей данной системы, и затем пробуют в качестве паролей различные перестановки символов, встречающихся в этих именах. Запуск этой команды осуществляется, например, так:
finger username@hostname.
Тогда, получив при помощи Finger подобную информацию:
Unixhost {1} finger jsmith Login: jsmith Name: John Smith Directory: /home/users/jsmith Shell: /bin/csh Last login Sun Aug 28 13:05 (CTD) on ttya0
можно попробовать в качестве пароля Jsmith, Smithj, Johns, smith, Htimsj, JOHN, JOHNS, SMITH и т.д.
Видно, что информация по выполнению команды Finger указывает также на привычки работы пользователя и, кроме этого, возможность связи с ним по электронной почте. Finger также позволяет выделить тех пользователей, чьи ПК вообще не имеют пароля.
Многие программы подбора также требуют добавлять к подобным перестановкам цифры или заменять ими некоторые буквы, например "1" на "1", "е" менять на "3", или "о" менять на "0".
Аналогами утилиты Finger для Windows-платформ являются клиент Finger32 (http://wwl.partner.europe.digital.com/www-catalog/bin/textcat/www.swdev/pages/Home/TECH/software/WNT-roadmap/finger.htm) и WSFinger; для OS/2 – FFEU (http://www.musthave.com).
Также разработано и средство обнаружения удаленного запуска Finger с ПК злоумышленника. Оно определяет имя хоста hostname и идентификатора запустившего и создает файл finger_log. Это утилита MasterPian.
Продолжая рассмотрение Windows-платформ, отметим, что в Windows 95/3.х на каждого пользователя создается PWL-файл с зашифрованным паролем. Алгоритм шифрования пароля допускает его прямое декодирование. Также в этой ОС доступ любого пользователя открыт к любому файлу системы. Среди программ взлома PWL наиболее известна GLIDE
|
|
|
(http://freespace.virgin.net/j.wiles/hack.html). Но ее нельзя запускать в специальном выпуске Windows 95 OSR2 - там подбор пароля таким образом уже закрыт. Кроме того, что пароль пользователя хранится в указанном выше файле, его копия записывается и в кэш компьютера. Злоумышленниками написана соответствующая программа pwlview, которая выбирает пароли из кэша. Существует и еще одна возможность – простое уничтожение файла PWL для отдельного пользователя; тогда вход в систему может проводиться без ввода пароля.
Перечислим лишь некоторые другие программы для взлома паролей [23]:
а) Unix-пароли: John the Ripper vl.4 (DOS/Win95), CrackerJack 1.4 (DOS, OS/2), Jill 2.0 (DOS/Win), Pace Crack 1.1 (DOS/Win/Win95), Q Crack 1.0 Ig (DOS/Win/Win95), Jack Assistant 1.1 (DOS), Dictionary Maker 1.0 (DOS);
б) Linux Password Cracker 2.0alpha (Linux), Crack 4.1 (Unix), Perl Crack 0.3 (Unix), ZipCrack и FastZip (вскрытие файлов заархивированных паролей), Decrypt, NetCrack (Novell Netware), PGPCrack (DOS, OS/2, Unix), EXCrack (Microsoft Excel); Windows NT – Scan NT и Password NT (http://www.NTsecurity.com).
Имеется и программа CHKNULL, которая после запуска выдает список пользователей, у которых вообще нет паролей.
Известен ряд программ для взлома пароля CMOS. Они начинают работать после загрузки ОС, или отключения элемента питания CMOS, или сброса пароля специальным переключателем. К ним относятся следующие программы:
• Amedecod – для American Megatrend BIOS;
• AMI.COM –для AMI CMOS;
• AW.COM – для Award BIOS.
Один из лучших словарей для подбора паролей, составленный злоумышленниками, можно найти по адресу http://sdg.ncsa.uiuc.edu/-~mag/Misc/Wordlists.html, а сами программы подбора паролей - на узлах http://www.ssl.stu.neva/ ru/psw/crack.html, http://tms.netrom.com/~cassidy/crack.html и http://www.fc.net/phrack/under/misc.html.
Укажем программу для обнаружения удаленного подбора паролей в системе. Это программа Merlin, разработанная организацией CIAC DOE [23]. Она устанавливается только на ПК с Unix-платформой и используется для обнаружения подбора паролей в отношении следующих ОС: IRIX, Linux, SunOS, Solaris, HP-UX.
В большинстве систем подобная деятельность, связанная с подбором пароля пользователя, будет порождать многочисленные сообщения об ошибках в различных системных файлах регистрации и на консоли хоста, так что вероятнее всего, она будет замечена и пресечена. Однако, если вторжение пройдет незамеченным и злоумышленник получит доступ к системе, ему легко будет соответствующим образом отредактировать эти файлы и замести все следы своих многочисленных попыток входа в систему.
2.3.2. Метод "грубой силы"
В зависимости от типа операционной системы (ОС) нападающий в первую очередь может опробовать существующие системные установки паролей по умолчанию. Если после установки системы эти значения не менялись, то система с большей долей вероятности окажется взломанной.
|
|
|
Во многих ОС имеются специфические имена пользователей. Например, в Unix-системах всегда имеется пользователь root, на VMS - system, в Netware - supervisor. Эти пользователи создаются во время инсталляции системы и являются пользователями' по умолчанию. Они могут также быть созданы без пароля или с одним и тем же паролем для каждой инсталляции. Поэтому важно, чтобы их пароли были впоследствии изменены.
Хороший пример имени пользователя, задаваемого при установке системы – Administrator для Windows NT и bin для некоторых операционных систем Unix. Хотя при обычных условиях, в случае попытки войти в систему с использованием такого имени, можно получить лишь информацию о версии операционной системы, некоторые реализации FTP позволяют пользователю с именем bin прочитать файл паролей.
Злоумышленник может также попробовать войти в систему с гостевым паролем: quest, demo, visitor и т.п.
2.3.3. Метод "зашифровать и сравнить"
В системе Unix пароль и другая специфическая информация о пользователе хранится в каталоге /etc в файле, который по умолчанию доступен всем пользователям системы. Непосредственно пароли хранятся в зашифрованном виде, и для их расшифровки может потребоваться неопределенное количество часов вычислительной работы. Зная это, многие злоумышленники используют компьютерную программу, которая подбирает пароли при помощи методики, названной "зашифровать и сравнить". Суть метода заключается в шифровании различных слов при помощи того же самого алгоритма, которым шифруются действительные пароли, а затем - в сравнении двух зашифрованных строк. Если обнаружится их соответствие, то необходимый пароль найден.
В классическом Unix информация о пользователях хранится в файле /etc/passwd. Этот файл содержит для каждого пользователя системы, семь полей, разделенных знаком ":". Пример записи на одного пользователя из /etc/passwd:
will:5fg63fhD3d5g:9406:12:WillSpencer:/home/fsg/wilI:/bin/bash
В каждую запись входят:
Имя пользователя (login): will
Зашифрованный пароль: 5fg63fhD3tl5g
Номер пользователя: 9406
Номер группы: 12
Информация о пользователе: Will Spencer
Домашняя директория: /home/fsg/will
Оболочка (Shell): /bin/bash
Программа шифрования и сравнения в данном случае шифровала бы различные слова, обычно взятые из словаря, и искала бы соответствие. Затраты времени на сравнение всего словаря с файлом пароля у таких программ удивительно невелики. На ПК с процессором 486 некоторые программы показывали результат в несколько тысяч шифрований в секунду, а на мощных рабочих станциях эти показатели еще выше.
Теперь для усовершенствования защиты паролей во многих ОС, например, в той же Unix или Windows NT, вместо просто зашифрованного пароля хранится хэш-функция, которую подобрать значительно сложнее. Кроме того, в современных Unix зашифрованные пароли не хранятся в доступном всем /etc/passwd, а хранятся в файле, доступном только администратору: /etc/master.passwd или /etc/shadow.
2.3.4. Социальная инженерия
Злоупотребление доверием пользователей, или социальная инженерия - один из наиболее эффективных методов получать информацию у ничего не подозревающих пользователей особенно больших корпораций, где многие пользователи даже не знают персонал своих компьютерных подразделений в лицо, общаясь в основном по телефону. Это профессионально выполняемая имитация системных администраторов, персонала телефонных компаний. Просто перебирая произвольные отделы компании, злоумышленник - подставное лицо - может получить всю необходимую информацию, чтобы войти в ее компьютерную сеть.
Возможна следующая ситуация: в офисе раздается звонок. Звонящий называется агентом фирмы, предоставляющей Internet-услуги этому офису, и говорит, что возникла проблема с доступом в Internet. Он предлагает назначить новый пароль "из соображений безопасности", но для проверки нужен старый. Многие люди просто предоставляют такую информацию, даже не поинтересовавшись ничем у своего собеседника. Прежде, чем что-либо говорить, надо удостовериться в полномочиях собеседника и попытаться узнать побольше информации, например, его имя и номер телефона, где можно его найти. Хотя нет никакой гарантии, что он не назовет произвольный номер.
Также стал хрестоматийным пример об опросе сотрудников одной из крупных корпораций, который проводился на автомобильной стоянке корпорации и заключался в выяснении соображений, которыми пользуются люди при выборе своего пароля. Опрос был организован злоумышленниками, и, как потом показала практика, больше половины опрошенных в той или иной форме впрямую назвали свой пароль.
2.4. Современные методы взлома интрасетей
С ростом сетей и совершенствованием сетевых утилит модернизировались и методы обхода защиты. При помощи инструментальных средств поиска сетевых неисправностей, администрирования и сбора статистики о работе системы злоумышленник может в прямом смысле перехватить любые данные, посылаемые некоторым компьютерам, и использовать их по своему усмотрению. Наряду с этим необычайно возросла практика изменения системных утилит и создания отдельных пакетов.
Выделяют четыре вида наиболее часто используемых методов взлома иктрасетей и НСД к секретной информации:
1) перехват данных при их перемещении по каналам связи или при вводе с клавиатуры;
2) мониторинг в системе X Window;
3) подмена системных утилит;
4) нападения с использованием сетевых протоколов.
2.4.1. Перехват данных
2.4.1.1. Перехват данных при их перемещении по каналам связи
Опишем, как осуществляется пассивная атака – перехват данных в Ethernet. (Ethernet - это физическая среда передачи информации в интрасети, реализующая множественный доступ к ней.) Обмен данными по протоколу Ethernet подразумевает посылку пакетов всем абонентам одного сегмента интрасети. Заголовок пакета содержит адрес узла-приемника. Предполагается, что только узел с соответствующим адресом может принять пакет. Однако, если какой-то ПК в интрасети принимает все проходящие пакеты, независимо от их заголовков, то говорят, что она находится в promiscuous mode (смешанном режиме). Так как в обычной интрасети информация о паролях передается в виде простого текста [в открытом виде пароли передаются по сети в реализация протоколов TCP/IP: Telnet (23 порт); РорЗ (110); Ftp (21); Рор2 (109); Imap2 (143); Rlogin (513); Poppasswd (106); netbios (139); icq (1024-2000 UDP)], но для злоумышленника не сложно перевести один из ПК подсети в promiscuous режим (предварительно получив на ней права root) и, вытягивая и анализируя пакеты, проходящие по каналам связи, получить пароли к большинству компьютеров интрасети.
В одном из наиболее распространенных методов перехвата данных при их перемещении по линиям связи в интрасети используется средство – сетевой анализатор или средство инспекции потоков данных, называемое sniffer ("ищейка") [24]. Даже если потенциальный злоумышленник не имеет доступа к некоторому компьютеру, он может перехватить данные, посылаемые ему, в момент их прохождения по кабелю, который подключает данный компьютер к сети. Компьютер, подключенный к сети, аналогичен телефонному аппарату, подключенному к общему номеру. Любой человек может поднять трубку и подслушать чужой разговор. В случае передачи данных любой компьютер, соединенный с сетью, способен принимать пакеты, посылаемые другой станции. Границы существования данной возможности определяются архитектурой сети. Она может распространяться как на компьютеры, принадлежащие данному сегменту сети, так и на всю сеть в целом (если сеть не разделена на сегменты). Отличительной особенностью перехвата данных является то, что эта атака относится к типу внутрисегментных.
Главная проблема sniffer заключается в том, чтобы он успевал перерабатывать весь трафик, который проходит через интерфейс.
Также есть возможность запустить sniffer в режиме non-promiscuous, но тогда будет возможность перехватывать соединения только с тем ПК, на котором он запущен.
Ниже на рис.7 приведена обобщенная схема sniffer, основной компонентой которого является декодирующее ядро (или механизм). Если в разбираемом sniffer пакете обнаруживаются отклонения от нормального, тогда генерируются сигналы тревоги, выдаются сообщения о важных для функционирования сети событиях. Предусмотрена возможность набора статистики, редактирования пакетов, а также генерация текущего трафика и запуск системных утилит типа ping для проверки достижимости других узлов из данного сегмента сети.
Рис. 7. Обобщенная схема сетевого анализатора
Код одной из достаточно эффективных программ этого типа (Esniff.c) был опубликован в журнале Phrack. Esniff.c предназначена для работы в SunOS. Программа очень компактная и захватывает только первые 300 байт telnet, ftp и rlogin сессий, что вполне достаточно для получения идентификатора и пароля. Программа свободно распространяется по сети, и каждый желающий может "срисовать" ее по адресу: ftp://coombs.anu.edu.au/pub/net/log. Для SunOS известны также Etherfmd и Snoop (ftp://playground.sun.com/).
Существуют и другие программы-sniffers. Это Gobler, ethdump (ftp://ftp. germany.eu. net/pub/networking/inet/ethernet/ethdp 103.zip), LanPatrol, LanWatch, Netmon, Netwatch, ethload (ftp://ftp.germany.eu.net:/pub/networking/monitoring/ethload/ethldl04. zip) для MS-DOS; Linsniffer (ftp://sunsite.unc.edu/pub/Linux/system/Network/management/) для Linux; nfswatch, Etherman, tcpdump для SGI Irix; nettl (monitor), netfmt (display), nfswatch для HP/UX; BUTTSniffer V 0.9.3, Session Wall-3 (http://www.abirnet.com), LANAlyzer, PacketBoy vl.2 for Win95/NT, Lan Trace (http://www.intellimax.com), Shomiti Surveyor (http://www.shomiti.com), Sniffer Ballista/NT (http://www.securenetworks.com) для Windows; пакет программ Netman, состоящий из подсистем Paketman (для перехвата пакетов), Interman. Etherman, Loadman (эти программы показывают трафик разных типов; www.es.curtin.edu.au/~netman) - для целого ряда платформ, которые включают в себя и Alpha, Mips и др. Для многих ОС может использоваться утилита Unix tcpdump. Unix-версии обычно требуют прав администратора (пользователя root), в то время, как PC-версии не требуют ничего, кроме наличия сетевого интерфейса.
Укажем еще несколько специфичных sniffer-программ: web_snif.c – Web-sniffer для Linux – перехватывает пароли на web basic auth (типа.htaccess); readsmb.c – перехватывает пароли на SAMBA соединения по NetBEUI; icq-spof.c - позволяет читать сообщения ICQ и перехватывать пароли; C2MyAzz – клиент Microsoft, посылающий пароли как открытый текст.
Если говорить о том, каков тип sniffer, то это могут быть как программные, так и программно-аппаратные реализации.
Самый яркий представитель последнего поколения sniffer-программ - IP-Watcher [24]. Он имеет удобный пользовательский интерфейс, позволяющий выборочно отслеживать любые потоки пакетов, а главное осуществлять прерывание или даже захват активных соединений (что возможно даже при использовании в сети системы одноразовых или же зашифрованных паролей).
Возможность выборочного отслеживания трафика позволяет IP-Watcher собирать практически любую информацию, передаваемую в сети. Он может, во-первых, перехватывать удаленную регистрацию пользователей и, во-вторых, либо перехватывать файлы, записываемые на сервер после обработки на рабочей станции, либо перехватывать изменения, вносимые пользователем в случае архитектуры клиент/сервер. Выборочное отслеживание трафика оказывается и хорошим средством защиты от обнаружения. Если администратор подозревает, что в системе работает sniffer, он ищет результат его деятельности, т.е. особо крупные файлы с записью перехваченного трафика. В случае IP-Watcher записывается только необходимый минимум информации - это позволяет программе довольно долго скрывать свое присутствие. Проникновение в сеть таких программ практически незаметно, лишь возможно некоторое "замедление" работы сети.
Expert Sniffer фирмы Network General (http://www.uniinc.com) перехватывает пакеты и пропускает их через экспертную систему, диагностируя проблемы. Расширенная версия программы состоит из подсистемы-консоли, устанавливаемой на рабочей станции, и агентов; размещаемых на удаленных ПК.
Другая разработка этой же фирмы – Sniffer Network Analyzer – представляет собой программно-аппаратный анализатор протоколов для проведения полнофункциональной диагностики сети. Идентифицируются сбои, предлагаются пути решения проблем, констатируется безошибочная работа сети. Доступны все сетевые стандарты локальных и глобальных сетей – от Ethernet, Fast Ethernet, FDDI, Token Ring до ATM. Данный факт доказывает, что sniffer существуют не только для среды Ethernet – многие компании выпускают системы анализа трафика и для высокоскоростных линий передачи данных. Анализатор работает на всех уровнях модели OSI и декодирует более 250 протоколов.
Программа Netlog [23] предназначена для сбора данных о запросах на установление соединения по протоколам семейства ТСРЛР и фильтрации трафика сети при прохождении пакетов с особыми атрибутами. Она позволяет для ОС SunOS 4.x, SunOS 5.x (Solaris):
• фиксировать действия, производимые определенным компьютером в сегменте сети;
• собирать статистику обращений к сегменту сети в целом или к компьютеру из сети;
• собирать статистику обращений компьютера или сегмента сети в глобальную сеть;
• регистрировать все атаки и проводить оценки степени защиты на сегмент сети в целом и на каждый компьютер в отдельности.
Другая программа Sniffit [23] производит инспекцию информационного обмена сегмента сети. Регистрируются запросы на установление и разрыв соединения с сетевыми службами, включая запросы внутри сегмента сети, выходящие за его пределы, приходящие из глобальной сети и запись информации, передаваемой в процессе информационного обмена. При регистрации запроса фиксируется следующая информация: дата, время, источник и получатель запроса, протокол и порт, по которым произошел запрос. Программа предназначена для Ос SunOS 4.x, SunOS 5.x (Solaris), Linux, FreeBSD, Irix, основанных на сетевых интерфейсах NIT, DLPI и BPF. Существует расширенная версия для UDP, ICMP, netload и т.д. (http://reptile.rug.ac.be/~coder/sniffit/sniffit.html).
Использование sniffer-программ наиболее эффективно для проникновения на хосты с большой активностью входящего и выходящего трафика (потока пакетов). Методы защиты от sniffer таковы.
В первую очередь, они предполагают установку средств для мониторинга всех процессов в сети.
Во-вторых, если система многопользовательская, то при помощи команды "ifconfig -а" или аналогичной (в которой необходимо указать конкретный интерфейс, узнаваемый командой "netstat -r") можно выявить интерфейс, который работает в режиме sniffer. Среди флагов у него появляется значение PROMISC. Тогда информация выглядит следующим образом:
Однако следует принять во внимание, что злоумышленники часто подменяют системные команды, например ifconfig, чтобы избежать обнаружения, поэтому следует проверить контрольную сумму файла либо заменить двоичную версию на заведомо надежную с дистрибутива. Кроме того, эта команда работает, если прослушивание допускается путем добавления в ядро.
Дня проверки интерфейсов на SunOS/BSD можно использовать утилиту стр. Для системы Ultrix обнаружение запущенного sniffer возможно с помощью команд pfstat и pfconfig.
Irix, Solaris, SCO и др. не имеют никакой идентификации флагов, и поэтому обнаружить злоумышленника нельзя. Это же касается компьютеров с MS-DOS. Поэтому защита здесь от сканирования возможна путем установки межсетевых фильтров и введения механизма шифрации либо всего трафика, либо только идентификаторов и паролей. Для этого применимы, например, программы deslogin; swIPe (ftp://ftp.csua.berkeley.edu:/pub/cypherpunks/swIPe/); Netlog (шифрует все сеансы связи).
Метод, который не позволит начинающим злоумышленникам запустить sniffer – это перекомпилирование ядра систем Unix, которые стоят в сети, без поддержки BPF (Packet Filter support).
Предотвращение перехвата информации возможно на основе установки системы Kerberos для создания защищенного соединения, реализации протокола SSH для сеансов TCP соединений (представлен программой F-secure-SSH на http://www.DataFellows.com) и применения технологии одноразовых паролей SKEY.
Существуют и аппаратные способы защиты. Ряд сетевых адаптеров не поддерживает режим promiscuous mode (например, имеющие сетевые карты TROPIC chipset). Если эти карты использовать для организации интрасети, то можно обезопасить себя от sniffer.
Хороший, но недешевый выход – пользоваться активными интеллектуальными концентраторами (они посылают каждой системе только те пакеты, которые ей непосредственно и предназначены). Такие сетевые устройства эффективны для Ethernet типа 10-BaseT.
И наконец, сегментация сетей – чем больше сегментов, тем меньше вероятность и последствия реализации внутрисегментной атаки. Но это решение очень дорогое, так как в сети появится дополнительное АО.
Sniffer бывают свободно распространяемые, такие как Sniffit, Netlog, Arpwatch, Clog, Netmon, Tcpdump; а бывают и коммерческие, такие как Net Access Manager, Xni, Sniffer Analyzer, HP NetMetrix, IP-Watcher, RealSecure (разработка фирмы Internet Security Systems – www.iss.net).
Необходимо подчеркнуть, что sniffer могут и должны устанавливаться в сети системными администраторами с целью постоянного контроля трафика.
2.4.1.2. Перехват ввода с клавиатуры
Существуют многочисленные утилиты, позволяющие контролировать все символьные строки, вводимые на выбранном злоумышленником в качестве жертвы компьютере. Некоторые из них встроены в утилиты контроля данных, посылаемых с хоста во время сеансов FTP или Telnet, а другие буферизируют все символьные строки, вводимые с различных терминалов, связанных с хостом. Для ПК имеются многочисленные программы, которые выполняют те же самые функции, наблюдая за вводом с клавиатуры и сохраняя символьные строки в файл. Эти программы получили название резидентных программ перехвата сканкодов клавиатуры (резидентные программы находятся в памяти постоянно с некоторого момента времени до окончания сеанса работы ПК (выключения питания или перезагрузки); эти программы могут быть помещены в память при начальной загрузке ПК, загрузке операционной среды или запуске некоторой программы, а также запущены отдельно). К ним относятся: для MS DOS – программы Keytrap, Playback, Кеусору; для Novell Netware – программы Getit (отслеживает обращение к функции Login) или NWL.
|
|
|
