Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Протоколы безопасных соединений




Большинство пользователей считает, что если между их компьютером и сервером устанавливается соединение по защищенному протоколу, то они находятся в полной безопасности. Однако здесь существуют некоторые тонкости, которые и будут освещены.

Безопасное соединение создается для того, чтобы обеспечить защиту данных, передаваемых по сети, а конкретнее, либо скрыть конфиденциальные данные от посторонних, либо удостовериться в собеседнике.

Существует различные способы безопасной передачи данных. Все они используют для своей цели шифрование данных и специальные ключи для чтения этих данных. Ключи (иначе называемые сертификатами) обычно хранятся в специальных базах данных — хранилищах сертификатов.

Шифрование информации. Этот способ предусматривает сокрытие информации (например, почтовых сообщений) от посторонних и проверку подлинности отправителя. В то же время, этот способ не предусматривает проверку подлинности участвующих в передаче информации компьютеров. Для создания зашифрованного сообщения и его чтения у двух адресатов-собеседников должна быть установлена соответствующая программа (PGP, GPG, S/MIME). Наибольшее распространение шифрование данных получило в почтовой корреспонденции.

Шифрование канала передачи. Этот способ предусматривает сокрытие всего содержимого сетевого соединения и проверку подлинности участвующих в сетевом соединении компьютеров. Однако сами данные, в отличие от первого способа, в большинстве случаев не верифицируются — например, удостовериться в подлинности отправителя полученного по зашифрованному каналу почтового сообщения невозможно. Такие протоколы шифрования называют SSL и TLS.

В настоящее время абсолютное большинство сетевых приложений осуществляет поддержку шифрования канала передачи. Такую защиту довольно просто реализовать: в установленном защищенном сетевом соединении может работать стандартный протокол передачи данных. Так работают общеизвестные протоколы:

HTTPS (HTTP — основной протокол Интернета — зашифрованный с помощью SSL/TLS)

POPS (POP3 — основной протокол для получения почты — зашифрованный с помощью SSL/TLS)

SMTPS (SMTP — основной протокол для отправки почты — зашифрованный с помощью SSL/TLS)

IMAPS (IMAP4 — распространенный протокол для получения почты — зашифрованный с помощью SSL/TLS)

Итак, речь пойдет именно о шифровании канала передачи — так называемых «безопасных соединениях».

Всем известно, что по сетевым соединениям могут распространяться данные, несущие опасность для компьютера, например, различного рода вирусы.

Для борьбы с вредоносным ПО существуют защитные программы трех видов: файерволы, системы защиты от сетевых атак (IDS) и антивирусы. Однако эти средства могут защитить компьютер при только обычном сетевом соединении, а противостоять угрозам в безопасных соединениях не могут: проверка содержимого «безопасного соединения» невозможна именно в силу его защищенности. В результате вредоносные данные, передаваемые в защищенных каналах, могут нанести ущерб больший, нежели при передаче через обычные соединения.

Простота реализации шифрования сетевого канала и отсутствие (в большинстве случаев) верификации создателя файла приводит сейчас к парадоксальной ситуации: наличие «безопасного соединения» с сервером создает иллюзию безопасности, но не гарантирует отсутствие в этом соединении вредоносных данных.

Опасность, которую несут в себе «безопасные соединения», становится особенно актуальной сегодня, когда они получают все большее распространение. В настоящее время наряду с сайтами серьезных банков все больше почтовых служб и иных сайтов открывают доступ только по безопасным соединениям. Приведем несколько примеров, как можно осуществить атаку через безопасное соединение.

Почтовый сервис N предоставляет доступ к своим услугам только через безопасное соединение. Естественно, на почтовых серверах N установлен антивирус. Злоумышленник посылает свой вирус на почтовый ящик пользователя почтового сервиса N. Антивирус N не распознает вирус по различным причинам, например, потому что обновление антивирусных баз запоздало. Через некоторое время пользователь беспрепятственно скачивает это зараженное письмо на локальный компьютер, потому что антивирус N в целях оптимизации своей работы проверяет письма только при получении в почтовый ящик, но не проверяет при передаче их непосредственно пользователю.

На локальном компьютере, защищенном антивирусом, даже при уже известной сигнатуре вирус не обнаруживается, поскольку сетевое соединение было зашифровано, и антивирус не смог проверить письмо. Атака произведена успешно.

Другой пример: злоумышленник размещает зараженный файл на веб-сервере и привлекает пользователей Интернета на этот сервер. Если вирус выложен на обычный сервер, передающий и принимающий данные по протоколу HTTP, защищенному веб-антивирусом, компьютеру ничего не угрожает. В то же время, если вирус будет выложен на сервер, предоставляющий услуги по протоколу HTTPS, ситуация будет печальной: пользователь зайдет на сайт по протоколу HTTPS. Веб-антивирус не может просмотреть данные в зашифрованном соединении и не может препятствовать передаче зараженных файлов. Вместо обычной веб-странички в браузер попадает страница, в которой содержится эксплойт. Он мгновенно активизируется и исполняет свой код изнутри браузера. Файловый антивирус также не может помешать его исполнению, потому что зараженный файл попадает к нему на обработку только после сохранения на диске, т.е. в данном случае после исполнения вредоносного кода. Атака произведена успешно.

Для обеспечения проверки передаваемых по безопасным соединениям данных большинство производителей антивирусных решений предоставляет плагины к веб-приложениям. Это решение имеет как свои плюсы, так и свои минусы:

Плюсы:

· Поток данных между клиентом и сервером не изменяется.

· Поток данных не доступен для просмотра третьим лицам.

Минусы:

· Отсутствие возможности создания плагинов у многих приложений. Яркий пример: распространенная почтовая программа Outlook Express.

Альтернативой плагинам является проверка в трафике, основанная на методе «man-in-the-middle». Этот метод, по сути, является атакой на SSL/TLS, т.к. представляет собой перехват безопасного соединения, подмену оригинального сертификата и установление двух защищенных соединений: между приложением и proxy-антивирусом, и между proxy-антивирусом и удаленным компьютером.

Плюсы:

· Проверка соединения осуществляется для любого клиентского приложения.

· Проверка соединения на вирусы осуществляется для любого известного протокола.

· Помимо антивирусной проверки proxy может осуществлять любые другие операции с данными: проверка на фишинг, спам и т.д.

· Поток данных не доступен для просмотра третьим лицам без осуществления атаки man-in-the-middle.

Минусы:

· Изменяется поток данных между клиентом и сервером. В связи с этим веб-приложение не может удостовериться в подлинности сервера, и наоборот.

Если proxy не будет осуществлять собственную проверку подлинности, возможна вторая атака «man-in-the-middle», уже между proxy и сервером. Эту атаку может осуществить злоумышленник для прочтения и подмены данных.

На практике грамотно организованная проверка в трафике не несет реальной опасности для пользователя: осуществляется эта проверка непосредственно на локальном компьютере и может идти в диалоге с пользователем, все полученные с удаленного компьютера сертификаты могут проверяться антивирусом в хранилище сертификатов так же, как это делают веб-приложения.

Опасность «безопасных соединений» не стоит недооценивать. Организуя защиту своего компьютера, убедитесь, что ваш антивирус обеспечивает полноценную защиту от такого типа сетевых угроз.

Сканирование портов

Сканирование портов – распространенный вид сетевых атак. Разберемся, в чем его суть, стоит ли его бояться, и как с ним бороться.

Для начала — что такое порт. Порт — это поле в сетевом пакете, идентифицирующее приложение-получателя (и отправителя) пакета.

Каким образом приложение работает с сетью? Приложение обращается к операционной системе с запросом на создание сокета с конкретным номером порта. Сокет — абстрактный объект, представляющий конечную точку соединения. Он привязан к конкретному номеру порта, так что вся информация, полученная из сети для порта с этим номером, в дальнейшем передается нужному приложению.

Из этого механизма следует, что если прибыл пакет на порт, с которым не связан ни один сокет, а значит, и не сопоставлено никакое приложение, то пакет будет просто выброшен операционной системой, и обрабатываться не будет.

Итак, сканирование портов выполняется с целью определить, какие порты компьютера закреплены за приложениями. Сканирование портов есть подготовительная операция, разведка периметра. После того, как будет составлен список активных («открытых») портов, начнётся выяснение — какие именно приложения используют эти порты.

После определения приложений, а иногда даже вплоть до их версий, фаза разведки заканчивается, и начинается фаза активных «боевых действий» против вас — атака. Не обязательно, что после первой фазы (разведки) сразу начнётся вторая. Зачастую через некоторое время разведка повторяется, причём с других узлов сети. Это своего рода проверка бдительности «стражи» — администраторов. Либо атака вообще не начнется, если не обнаружено ни одной потенциально уязвимой точки воздействия. Следует понимать, что сканирование портов само по себе ничем не может Вам повредить — повредить могут последующие действия, если они последуют.

Каким образом выполняется атака? Как правило — для этого используются уязвимости сетевых сервисов (сетевой сервис — приложение, обслуживающее запросы из сети). Эксплуатация уязвимости сервиса основана на посылке ему пакета данных, сформированного таким образом, что наше приложение обработает его некорректно и его штатная работа будет нарушена. Последствия — прекращение обслуживания сервисом правильных запросов (DoS — denial of service, отказ в обслуживании), или выполнение сервисом действий, которые он выполнять не должен (например, Remote Code Execution — возможность злоумышленнику запустить вредоносный код на цели).

Стоит уточнить, какие сервисы могут быть атакованы таким образом. Атаковать подобным образом можно «серверные» приложения - то есть те, которые слушают сеть и ожидают подключения клиентов извне. Итак, опасаться следует, если на Вашем компьютере работает FTP-сервер, HTTP-сервер и так далее.

Правда, здесь нужно упомянуть, что существует еще один вид сетевой угрозы, с которой пользователь не может сделать практически ничего. Это — флуд (flood) — одна из разновидностей DoS-атаки. Цель её — «затопить» Вас мусорным трафиком, чаще всего с несуществующих адресов, и лишить Вас или Ваши сервисы возможности отправлять или принимать полезную информацию. Она не угрожает Вашему компьютеру ничем, кроме временной невозможности работать в сети. Если Вы обнаружили, что Вас пытаются «зафлудить» — нужно обязательно сообщить об этом провайдеру. Других вариантов решения этой проблемы нет.

Итак, если на Вашем компьютере производится сканирование портов, стоит обеспокоиться лишь в случае, если у Вас запущены серверные приложения. Если такие приложения есть (например, вы содержите у себя FTP-сервер), то здесь тоже практически нет смысла напрягаться — мы ведь добровольно выставили сервер в общий доступ. Беспокоиться следовало на этапе планирования сервера. Просто соблюдаем общие рекомендации — использовать наиболее новую версию сервера, не предоставлять пользователям больше прав, чем им нужно, отключить ненужные функции сервера, по возможности — запускать сервер от имени ограниченного пользователя.

DoS атаки

Еще одним видом сетевой атаки является атака по типу «отказ в обслуживании» (Dental of Service, DoS). По некоторым сведениям, подобные атаки появились в 1999 г. Впрочем, одна из самых массовых атак DoS была осуществлена вовсе не злоумышленниками: некоторые предприятия настолько боялись пресловутой проблемы Y2K (проблема 2000 г.), что просто отключили свои информационные системы на рубеже тысячелетия и таким способом сами лишили себя обслуживания. Любопытно, что сама концепция этой атаки была разработана отнюдь не для злонамеренных действий: инженеры пытались найти способ тестирования узлов сети и определения пороговых нагрузок, которые те способны выдержать.

Особое место занимают распределенные атаки по типу «отказ в обслуживании» (Distributed DoS, DDoS). В таких атаках принимают участие несколько тысяч компьютеров, подключение которых в Internet осуществляется, как правило, по широкополосному соединению. Сегодня атаки DDoS являются излюбленным техническим средством шантажа владельца сетевого ресурса с целью вымогания у него денег.

Для борьбы с современными сетевыми атаками применяются межсетевые экраны, которые часто оснащаются еще и функциями систем обнаружения вторжений. Основная технология, используемая в современных брандмауэрах, называется Deep Packet Inspection (DPI). За последние полтора года она превратилась в стандарт де-факто для мощных корпоративных брандмауэров и реализована в продуктах самых крупных разработчиков: Microsoft, Cisco, Check Point, Symantec, Nortel, SonicWall, NAI, Juniper, Netscreen и др. DPI позволяет заглянуть внутрь каждого пакета (включая поле данных). Решение «разрешить» или «блокировать» принимается на основе правил, которые задает администратор. Сам же механизм DPI использует правила на основе сигнатурного сравнения, эвристических и статистических технологий, а также определения аномалий.

Благодаря DPI брандмауэр в состоянии анализировать и фильтровать SOAP и другие документы XML, динамически открывать и закрывать порты для трафика VoIP, осуществлять сканирование вирусов и фильтрацию спама, динамически пропускать трафик мгновенных сообщений, противостоять атакам на службы NetBIOS, обрабатывать трафик P2P (около 35% всего трафика в Internet), проверять сеансы SSL и т. д. Применение DPI делает излишней функциональность систем обнаружения вторжений (Intustion Detection System, IDS): по сути, брандмауэр с DPI включает в себя и IDS.

Однако DPI появилась далеко не сразу. Первой технологией была Shallow Packet Inspection. Такой межсетевой экран отделял две и более сетей друг от друга, мог разрешать или запрещать трафик на основании протокола передачи, вел журнал событий, обеспечивал трансляцию адресов (Network Address Translation, NAT), играл роль конечной точки в VPN, а в случае проблем блокировал абсолютно весь трафик. (К этому же классу относится технология контекстной проверки Stateful Inspection, появившаяся на рынке благодаря компании Check Point Software Technologies.)

Следующей технологией стала Medium Depth Packet Inspection, суть которой сводилась к введению proxy-сервера приложений. Другими словами, приложение не могло установить прямое соединение с сервером, а сервер — с приложением, поскольку между ними всегда находился посредник в лице proxy-сервера. Ряд компаний (Check Point, Cisco, Symantec, Netscreen и NAI) начали встраивать в свои приложения фильтры для анализа трафика приложений (конечно, не всех, а только некоторых, работающих по нескольким основным протоколам).

Далее наступило время технологии DPI. Анализ полей данных в передаваемом трафике требует значительных вычислительных мощностей, поэтому он часто реализуется аппаратно. При всех перечисленных выше достоинствах DPI межсетевой экран с этой технологией подвержен атакам переполнения буфера, атакам DoS, более изощренным вторжениям, а также уязвим для некоторых «червей». Сложность механизма DPI привела к появлению большого числа эксплоитов для конкретных моделей брандмауэров.

Теперь брандмауэры признаны обязательным средством защиты — по данным ФБР, их используют 98% компаний, но при этом 56% по-прежнему страдают от вторжений. DPI — многообещающая технология, которая, возможно, решит эти проблемы. Новые реализации брандмауэров с DPI способны анализировать пакеты на гигабитных скоростях, а объединение систем обнаружения вторжений с межсетевым экраном упрощает настройку и управление решением.

Тем не менее у нее есть и минусы. Независимая реализация брандмауэра или IDS, как нескольких автономных компонентов, позволяет избежать ситуации, когда сеть оказывается незащищенной в случае выхода из строя одного из них. К тому же такой подход делает возможным покупку различных частей решения у разных поставщиков. Между тем применение DPI увеличивает сложность и без того не простых продуктов — брандмауэров, IDS, серверов и сетей приманок, а, кроме того, требует постоянного наблюдения, изменения настроек и анализа журнала.

Уязвимости VoIP

В настоящее время выделяются пять основных угроз для VoIP (телефония, Skype):

1. Наиболее серьезной угрозой для предприятий, использующих каналы SIP и UC для мобильных коммуникаций, является DoS (Denial of Service) и DDoS -атаки сетей VoIP.

2. Объектами атак становятся HTTP или иные информационные службы, реализующие VoIP для конечных пользователей.

3. Хакерское сообщество, имеющее опыт в использовании уязвимостей в других продуктах Microsoft, может обратить внимание на Microsoft OCS (Office Communication Server), используя преимущество своего UC-доступа к общедоступной системе IM, почте и спискам общения, чтобы сформировать botnet и начать атаки.

4. Хакеры могут установить больше IP PBX для vishing/phishing. Из-за простоты и легкости заработка атаки следует ожидать увеличения vishing-атак на банки. Этому способствует относительная безопасность таких атак.

5. Следует ожидать увеличения VoIP-атак против сервис-провайдеров с помощью доступных анонимных SIM-карт. С помощью UMA (Unlicensed Mobile Access), достаточно широко используемых в последнее время, клиенты получают прямой IP-доступ к сети мобильной связи, что упрощает фальсификация идентификационных параметров и создание нелегальных акаунтов, позволяющих реализовать различные атаки.

Вирусы

Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...