Защита от хакеров корпоративных сетей
Шрифт:
· Sniffing – прослушивание сетевого трафика (пассивное).
· В классических операциях анализатор сетевого трафика присоединяется на стороне сетевой шины.
· В новых операциях анализаторы устанавливаются на машине или шлюзе для перехвата трафика.
Что прослушивать?
· В большинстве случаев целью анализаторов сетевого трафика является информация аутентификации в открытом виде, например имена пользователей и пароли в следующих протоколах Telnet, FTP и HTTP.
· Вторыми наиболее частыми целями являются сообщения электронной почты, входные данные HTTP или Telnet-сессии.
Популярное
· Существует много коммерческих и бесплатных программ для прослушивания сетевого трафика, которые предназначены для сетевой диагностики, например Ethereal, Network Associate\'s Sniffer Pro, NetMon, WildPackets\' AiroPeek и tcpdump. Эти продукты не имеют хакерских возможностей, таких как захват паролей.
· Примерами инструментов хакеров являются: dsniff, Ettercap, Esniff и Sniffit. Вместо того чтобы прослушивать весь трафик, эти инструменты нацелены на пароли и данные в открытом виде.
Усовершенствованные методы прослушивания сетевого трафика
· Прослушивать сети сегодня стало намного сложнее, чем в прошлом, главным образом благодаря использованию коммутаторов. Старые сети повторяли данные на все узлы, позволяя всем в сети видеть весь трафик. Коммутаторы не дают другим видеть ваш трафик.
· Коммутаторы могут быть атакованы многими способами, такими как flooding, MAC-адресами для форсирования состояния отказа, ARP spoofing или spoofing пакетов маршрутизации. Эти методы сбивают с толку оборудование и транслируют сетевой трафик на хост с анализатором.
· Некоторые пакеты программ для прослушивания сетевого трафика позволяют нарушителю посредничать как часть атаки «человек посередине». Как пример – выдавать себя за HTTPS-сервер; жертва шифрует трафик ключом нарушителя, полагая, что это ключ доверенного сервера. Это позволяет нарушителю просматривать данные до шифрования настоящим ключом сервера.
Исследование программных интерфейсов приложений операционных систем
· Прослушивание сетевого трафика не является штатным режимом операционной системы. Необходимо использование специальных программных интерфейсов приложений.
· Программный интерфейс приложения libpcaр широко поддерживается среди UNIX/Windows-платформ, существуют более специализированные APIs для специфических платформ.
Защитные меры
· Наиболее существенной защитой от анализаторов сетевого трафика является шифрование. Большинство протоколов поддерживают шифрование мандатов аутентификации (имя пользователя, пароль) и данных. SSL и SSH – два наиболее важных стандарта шифрования.
· Шифрование не работает при неправильном использовании. Пользователи должны выбирать сильные пароли и быть бдительны к атакам MITM.
· Замена общих концентраторов на коммутаторы сделает прослушивание сетевого трафика намного сложнее, но не стоит надеяться, что сделает его невозможным.
Применение методов обнаружения
· Наиболее важной мерой является контроль хостов на предмет наличия интерфейсов в «безразличном» режиме. Это показывает не только то, что анализатор трафика запущен, но и то, что хост был скомпрометирован хакером.
· Удаленное обнаружение анализаторов сетевого трафика не надежно. Удаленное обнаружение полагается на поведение хоста определенным
образом, например медленная работа с запущенным анализатором трафика, или анализатор, который переводит IP в имена. Только анализаторы сетевого трафика ведут себя подобным образом.Часто задаваемые вопросы
На следующие часто задаваемые вопросы (FAQ) отвечали авторы данной книги. Они предназначены как для улучшения вашего понимания идей, представленных в данной главе, так и для помощи в реализации этих идей. Если у вас возникли вопросы по данной главе, зайдите на сайт www.syngress.com/solutions и кликните на формочку «Ask the Author» («Спросить автора»).
Вопрос: Является ли законным прослушивание сети? Ответ: Несмотря на то что использование анализаторов сетевого трафика для диагностики и управления является законным, сетевое наблюдение за действиями служащих со стороны руководства широко обсуждается. Коммерческие продукты как раз и предназначены для этих нужд. В большинстве стран (особенно в США и Великобритании) прослушивание любой активности своих сетей руководством, включая всю активность сотрудников, разрешено законом.
Вопрос: Как я могу обнаружить анализатор сетевого трафика в моей сети? Ответ: На данный момент нет стопроцентно надежного метода обнаружения анализаторов трафика; однако существуют утилиты для обнаружения (AntiSniff).
Вопрос: Как я могу защитить себя от прослушивания сетевого трафика? Ответ: Шифрование, шифрование и шифрование – единственно правильное решение. Многие новые версии сетевых протоколов также поддерживают расширения, которые предоставляют механизмы защищенной аутентификации.
Вопрос: Почему я не могу запустить мой инструмент под Windows? Ответ: Большинство анализаторов сетевого трафика, описанных в данной главе, были написаны под такие платформы, как Linux. Вам обычно необходимо установить инструментарий WinDump, описанный ранее. Вы можете также установить другие утилиты, такие как окружение Gnu.
Вопрос: Могу ли я использовать эти инструменты в беспроводных сетях? Ответ: Да, но для этого необходимо проделать большой объем работ. Прослушивание сетевого трафика не поддерживается стандартными пакетами, которые вы получаете от поставщика. Необходимо найти в Интернете патчи для вашего конкретного драйвера. Вам необходимо также загрузить специальные утилиты, такие как AirSnort, предназначенные для обхождения слабого шифрования, существующего в сегодняшних беспроводных сетях. Скорее всего, данное даже и не нужно, так как большинство людей не используют шифрования.
Глава 11 Перехват сеанса
В этой главе обсуждаются следующие темы:
• Основные сведения о перехвате сеанса
• Популярные инструментальные средства перехвата сеанса
• Исследование атак типа MITM в зашифрованных соединениях
· Резюме
· Конспект
· Часто задаваемые вопросы
Введение