Приложение B. Распространённые атаки и средства нападения

В таблице B-1 перечислены наиболее распространённые атаки и слабые места, используемые злоумышленниками для доступа к сетевым ресурсам организации. Здесь подробно описано как осуществляются эти атаки и как администраторы могут правильно защитить от них свою сеть.

АтакаОписаниеЗамечания
Пустые или стандартные паролиПустые административные пароли или стандартные пароли, назначенные разработчиком. Чаще всего это встречается в оборудовании вроде маршрутизаторов и BIOS, хотя некоторые службы, работающие в Linux, могут содержать стандартные пароли администратора (в состав Red Hat Enterprise Linux такие службы не входят).

Распространённая практика для сетевого оборудования, например, для маршрутизаторов, брандмауэров, сетей VPN, и подключаемых к сети хранилищ (network attached storage — NAS).
Не редкость в устаревших операционных системах, особенно в ОС со встроенными службами, таких как UNIX и Windows.
Иногда администраторы создают привилегированных пользователей в спешке и оставляют пароль пустым — прекрасная лазейка для злоумышленников, узнавших имя пользователя.

Стандартные общие ключиЗащищённые службы иногда поставляются со стандартными ключами шифрования для программирования или пробного использования. Если оставить эти ключи неизменными и поместить в рабочее окружение, доступное из Интернета, любой пользователь с теми же стандартными ключами получит доступ к этому ресурсу и всей его важной информации.

Наиболее распространено в беспроводных точках доступа и предварительно настроенных защищённых серверных продуктах.
CIPE (обратитесь к главе 6 Виртуальные частные сети) содержит пример статического ключа, который необходимо заменить при внедрении в рабочее окружение.

Подделывание IPУдалённый компьютер изображает из себя узел вашей локальной сети, находит уязвимости ваших серверов и устанавливает программу чёрного хода или троянского коня для завладения ресурсами вашей сети.

Подделать IP довольно сложно, так как для этого нападающий должен предугадать числа TCP/IP SYN-ACK, координирующие соединение, но взломщик может облегчить реализацию такой атаки с помощью различных инструментов.
Успех зависит от работающих в системе служб (таких, как rsh, telnet, FTP и т.д.), проверяющих подлинность, полагаясь на источник, от чего рекомендуется отказаться в пользу PKI или других форм проверки подлинности с шифрованием, используемых в ssh и SSL/TLS.

ПодслушиваниеСбор данных, передаваемых между двумя активными узлами сети, путём прослушивания соединения между этими узлами.

Атака такого рода в основном рассчитана на протоколы, передающие открытый текст, например, Telnet, FTP и HTTP.
Чтобы реализовать такую атаку, удалённый взломщик должен скомпрометировать систему в локальной сети; обычно для этого он осуществляет активную атаку (например, поддельный IP или «человек посередине») .
Рекомендуется использовать в частности следующие меры предохранения: службы, шифрующие передаваемые ключи, одноразовые пароли или проверка подлинности с шифрованием, спасающие от утечки пароля, сильное шифрование передаваемых данных.

Уязвимости службЕсли взломщик находит слабое место или уязвимость в службе, открытой в Интернете, через эту уязвимость он скомпрометирует всю систему и хранящиеся в ней данные, а возможно, и все остальные системы в сети.

Уязвимости служб, основанных на HTTP, таких как CGI, позволяют удалённо выполнять команды и даже получить доступ к интерактивной оболочке. Даже если служба HTTP работает от имени бесправного пользователя, вроде "nobody", можно получить, например, файлы конфигурации и сведения о сети, взломщик также может провести атаку "отказ в обслуживании", истощающую системные ресурсы или приводящую к недоступности службы для других пользователей.
Иногда службы имеют уязвимости, не замеченные во время разработки и тестирования; эти уязвимости (такие как переполнение буфера, когда взломщик получает доступ, переполняя адресуемую память и превышая предел, допускаемый службой, при этом служба ломается и взломщик оказывается в интерактивной командной строке, где он может выполнять обычные команды) могут позволить злоумышленнику получить все административные полномочия.
Администраторы должны убедиться в том, что службы не работают под именем root, и внимательно следить за сообщениями об обновлениях и исправлениях ошибок приложений, публикуемых производителями или такими организациями, как CERT и CVE.

Уязвимости приложенийВзломщики находят ошибки в офисных приложениях, таких как почтовые клиенты, и запускают произвольный код, внедряют троянские программы для будущей компрометации или ломают систему. Атака может развиваться и дальше, если скомпрометированная рабочая станция пользуется доверием всей остальной сети.

Этой атаке наиболее подвержены рабочие станции и персональные компьютеры, так как обычные работники не имеют опыта и знаний, необходимых для выявления компрометации; крайне важно сообщить им об угрозах, связанных с установкой неизвестных программ и открытием непрошеных почтовых вложений.
Могут быть внедрены меры защиты, например, почтовый клиент настроен так, что вложения автоматически не открываются и не исполняются. Кроме этого, автоматическое обновление программного обеспечения из сети Red Hat Network или с помощью других служб управления системами может облегчить обеспечение безопасности на множестве рабочих мест.

Атаки типа "отказ в обслуживании" (Denial of Service — DoS)Один или несколько нападающих совместно атакуют сеть или сервер организации, посылая неправильные пакеты целевому узлу (серверу, маршрутизатору, рабочей станции). Это приводит к недоступности ресурса для законных пользователей.

Последняя известная DoS-атака в США произошла в 2000 г. Несколько сильно нагруженных коммерческих и правительственных сайтов оказались недоступными вследствие скоординированной атаки наводнения пакетами ping, осуществлённой несколькими компьютерами-зомби, захваченными взломщиками.
Исходные пакеты обычно подделываются (и пересылаются повторно), что значительно затрудняет поиск истинного источника атаки.
Возможности фильтрации проникновений (IETF rfc2267) в iptables и сетевые IDS, подобные snort, помогают администратором проследить и предотвратить распределённые атаки DoS.

Таблица B-1. Распространённые атаки