ПРОБЛЕМЫ БЕЗОПАСНОСТИ ЛОКАЛЬНЫХ СЕТЕЙ

В 1967 году Агентство по перспективным исследовательский проектам обороны США (ARPA – Advanced Research Projects Agency) инициировало разработку компьютерной сети, которая должна была связать ряд университетов и научно-исследовательских центров, выполняющих заказы Агентства. Проект получил название ARPANET. К 1972 году сеть соединяла 30 узлов. В рамках данного проекта были разработаны и в 1980-1981 годах опубликованы основные протоколы стека TCP/IP – IP, TCP, UDP.К концу 80-х сеть настолько разрослась, что получила название Интернет. В 1992 году появился новый сервис WWW (World Wide Web – всемирная паутина). Именно этот сервис и дал самый сильный толчок разрастанию интернета до современных масштабов.

В те годы разработчики и представить не могли, что технология, разрабатываемая для вооруженных сил США, уже в первом десятилетии следующего века будет лежать в основе технологий, которые стали жизненно необходимыми для каждого жителя планеты.

В момент разработки данного стека никто не ожидал их бурного развития, и соответственно никто в тот момент не позаботился о безопасности, что привело к тому, что почти все протоколы стека TCP/IP имеют значительные уязвимости.

Существует огромное количество видов атак на локальную сеть. Некоторые из них довольно сложные, и требуют достаточных денежных вливаний в оборудование и высокий уровень профессиональной подготовки злоумышленников. Другие способы могут быть запущенны администратором сети по ошибке, но при этом привести к полной неработоспособности локальной сети.

Самыми частыми видами атак на локальные сети являются: сетевая разведка, прослушивание, парольные атаки, «угаданный ключ», перехват сеанса, злоупотребление доверием, посредничество, отказ в обслуживании, атаки на уровне приложений, подмена доверенного субъекта.

Сетевая разведка. Сбор информации о сети с помощью общедоступных данных и приложений. [1] Это не совсем атака на сеть, это скорее подготовительный этап к атаке. В основном используются запросы DNS, запросы ICMP и сканирование портов.

Запросы DNS помогают понять, кто владеет тем или иным доменом и какие адреса принадлежат данному домену. Запросы ICMP (чаще всего используется ICMP Echo-Request) позволяют определить какие устройства реально работают в данной среде. Получив список компьютеров, злоумышленник, используя средства сканирования портов, составляет список услуг, поддерживаемых данными устройств. В результате, после анализа полученной информации, атакующий может выбрать способ атаки, понять где у системы слабые места и воспользоваться данными уязвимостями.

Прослушивание. Стандартные протоколы стека протоколов TCP/IP не включает в себя шифрование данных передаваемых по сети. Данный недостаток позволяет злоумышленнику, используя специальное программное обеспечение (снифферы пакетов), прослушивать и считывать трафик. Для решения данной проблемы были придуманы технология VPN (Virtual Private Network) и протокол HTTPS (в основном, для интернет-трафика) [2].

Программа Wireshark (программа-анализатор трафика для компьютерных сетей Ethernet), разработанная с целью упростить жизнь системных администраторов во время диагностики локальной сети, стала одним из самых распространённых инструментов злоумышленников для реализации атаки типа «прослушивание».

Парольные атаки. Существует большое количество методов парольной атаки. Основная идея данной атаки перехват или подбор пароля. Взлом пароля очень опасен, так как часто пользователи используют один и тот же пароль в разных местах. Таким образом, злоумышленник, получив логин и пароль от одной менее защищенной системы, может получить доступ к другим ресурсам пользователя. А если этот взломанный пользователь имеет значительные привилегии доступа, то хакер может создать себе учетную запись для доступа в системы в будущем.

«Угаданный ключ». Ключом называется код или число, необходимое для расшифровки защищенных данных. Данный метод требует огромных затрат ресурсов, но учитывая то, что чаще всего зашифрованные данные имеют высокую важность, то при подборе ключа злоумышленник вполне может окупить свои затраты. Ключ, к которому получает доступ атакующий, называется скомпрометированным ключом.

Перехват сеанса. При окончании начальной процедуры аутентификации злоумышленник переключает устанавливаемое соединение на свой компьютер, а другой стороне дает команду разорвать соединение. В результате на стороне получателя оказывается несанкционированный пользователь.

Он может:                                                                                                       

· посылать некорректные данные приложениям и сетевым службам, что приводит к их неправильному функционированию;

· перегрузить компьютер или всю сеть трафиком до полной остановки работы системы;

· заблокировать трафик, тем самым ограничив доступ авторизованных пользователей к сетевым ресурсам.

Злоупотребление доверием. Примером данной проблемы является ситуация, когда злоумышленник, получив доступ, например, к серверу DNS, получает доступ и к другим серверам SMTP и HTTP в периферийной части корпоративной сети. Все из-за того, что эти серверы доверяют другим системам своей сети.

Посредничество. Активное прослушивание, перехват и управление передаваемыми данными невидимым промежуточным узлом сети. Чаще всего данная проблема возникает в сетях, где компьютеры обмениваются данными на низких сетевых уровнях.

Отказ в обслуживании (DoS). Самая известный и распространенный вид атаки. Цель злоумышленника в данной ситуации не в получении доступа к информации или к сети жертвы, а в нарушении доступности к информации для всех пользователей [1, 3]. Существуют разные способы проведения DoS атак. Например, злоумышленник занимает всю пропускную способность канала ложными запросами, или занимает и держит в занятом состоянии все соединения необходимые для приложений пользователя сети.

Широкое распространение данный вид атаки получил из-за своей тривиальности, для организации DoS атаки требуется минимум знаний и умений. Простота и огромный причиняемый вред заставляют администраторов уделять пристальное внимание к защите именно от этих атак. Защита от DoS атак требует хорошей координации действий с провайдером.

Одной из известных атак типа «Отказ в обслуживании» является операция «Расплата», проведенная современной международной сетью хакеров «Анонимус». В 2010 году хакеры, протестующие против законов об авторском праве, ограничении свободы в интернете и за освобождение Джулиана Ассанжа (основателя сайта Wikileaks) на некоторое время привели в неработающее состояние платежную систему PayPal, Mastercard, VISA, системы онлайн-банкинга банка PostFinance, был атакован сайт сенатора Джо Либермана, сайт шведского правительства и шведской прокуратуры, портал интернет-магазина Amazon.comс серверов которого выселили Wikileaks и многое другое.

Операция «Расплата» вызвала бурную реакцию в мире, политики встретились с новым проявлением народного бунта, с новой формой волеизъявления народа.

Атаки на уровне приложений. Данные атаки основаны на слабостях серверного программного обеспечения (Sendmail, HTTP, FTP). В результате злоумышленник может получить доступ к компьютеру от имени пользователя, работающего с приложением. Сведения об атаках на уровне приложений широко публикуются, чтобы дать возможность администраторам предотвратить их с помощью коррекционных модулей (патчей) [3].

Данные уязвимости являются своеобразной формой «уязвимости нулевого дня» (термин, обозначающий уязвимость системы про которую сам разработчик ничего не знает до ее реализации). Существуют целые организации и компании, которые занимаются поиском уязвимостей нулевого дня.

Седьмого марта 2017 года Wikileaks начал публикацию некоторой информации об уязвимостях, которыми пользуется Центральное Разведывательное Управление Соединенных Штатов Америки для слежки за пользователями. Данные действия вынудили компанию Cisco Systems, Inc провести аудит программного кода оборудования. Были выявлены уязвимости в Cluster Management Protocol и исправлений для них пока не разработаны. Специалисты Ciscoпризывают не использовать Telnetдо того, как ошибки не будут устранены.

Подмена доверенного субъекта. Большая часть систем использует IP-адрес для аутентификации адресата. В некоторых случаях возможно некорректное присвоение IP-адреса (подмена IP-адреса). Такой метод называют фальсификацией адреса [3].

Существует два способа фальсификации адреса. Во-первых, нарушитель может воспользоваться IP-адресом, находящимся в пределах диапазона санкционированных IP-адресов. Во-вторых, злоумышленник может воспользоваться внешним авторизованным адресом, которому разрешен доступ в определенным сетевым ресурсам. Используя специальные программы, формируются IP-пакеты, которые выглядят как исходящие с разрешенных внутренних адресов корпоративной сети. Получив таким образом доступ к сети, атакующий может изменить, перенаправить или удалить ваши данные.

Для выдачи себя за санкционированного пользователя и получения полных прав в сети, злоумышленнику требуется изменить все таблицы маршрутизации, чтобы направить весь трафик к ложному IP-адресу. В случае успеха нарушитель получает все пакеты и может отвечать на них так, будто является санкционированным пользователем.

Атаки данного типа часто являются начальным этапом для других атак, поэтому, уделив большое внимание защите от данного метода, можно пресечь возможность атак других типов.

Часто системные администраторы, пытаясь защититься от данного вида атак, применяют статические ARP таблицы, где к доверенным IP-адресам привязываются MAC-адреса доверенных устройств. На основе этих таблиц строятся листы доступа, ограничивающие доступ к сети. Но данный метод не является полноценной защитой от атаки с подменой адреса.

Как уже упоминалось выше, подменив IP-адрес устройства, можно получить несанкционированный доступ к сети. Метод основанный на статических ARP таблицах и ACL листах слишком трудоемок, ограничивает возможности масштабируемости сети, и в конечном итоге может быть совершенно бесполезным, так как существует большое количество методов изменения MAC-адресов устройств.

Рядовой пользователь не может изменить существующий MAC-адрес сетевой карты, поскольку для этого нужны специальные средства и необходимый уровень подготовки. MAC-адрес, заданный на программном уровне, драйвером, имеет приоритет над аппаратным.

Учитывая данные проблемы и важность основных аспектов информационной безопасности (доступность, целостность и конфиденциальность), многие компании-производители оборудования для локальных сетей уделяют много сил и времени на разработку программно-аппаратных комплексов безопасности локальных сетей.

Например, американская компания Cisco Systems, Inc разработала целую серию аппаратных межсетевых экранов Cisco ASA (Adaptive Security Appliance), возможностями которой являются:

· Межсетевое экранирование с учетом состояния соединений;

· Глубокий анализ протоколов прикладного уровня;

· Трансляция сетевых адресов;

· IPsec VPN;

· SSLVPN (подключение к сети через веб-интерфейс);

Исходя из вышесказанного, можно сделать вывод, что проблемы безопасности локальных сетей имеют очень глубокие корни и связаны с опущениями на стадии разработки. Ущерб от атак основанных на уязвимостях сетевых протоколов растет пропорционально передаваемому трафику по локальным сетям. Для того что бы избежать проблем с безопасностью, пользователи вынуждены использовать либо аппаратные, либо программные решения межсетевых экранов, систем мониторинга локальных сетей и систем обнаружения вторжений в локальную сеть. И часто данные решения стоят достаточно больших сумм денег.

Список литературы:

1. Алексей Боршевников. Современные тенденции технических наук: материалы международной научной конференции (г. Уфа, октябрь 2011 г.) / Информатика и кибернетика. / - 2011 г., 8-12 с.
2. Григорьев Ю.А. Прижуков Б.Ф. Компьютерные сети. Принципы, технологии, протоколы. – «Питер», 2016. - 963 с.
3. Эрик Мэйволд. Безопасность сетей. - Национальный открытый университет «ИНТУИТ», 2016. ­­– 572 с.