2. Въведение в Мрежовата сигурност. Общи понятия.

Преди няколко години атаките използващи и насочени мрежови ресурси се деляха на две условни групи.

  1. Външни заплахи – заплахата за информационните ресурси, устройства или лица се намира извън периметъра на мрежата. Пример за такъв тип заплахи са DoS, DDoS. Атакуващият е свързан към интернет и е насочен към определена мрежа или услуга.
  2. Вътрешни заплахи – заплахата за информационната система се намира в периметъра на мрежата. Някой от най-използваните мрежови протоколи използвани в локалните мрежи нямат вградени функции за защита. Например Ethernet, Ipv4, ARP, DHCP. Като пример за подобен тип заплахи може да разгледаме ARP spoofing. При тази атака хакерът променя ARP информацията н кеша на хостовете свързани в локалната мрежа, за да получи достъп до пренасяните пакети, предназначени например за „default gateway“ на мрежата.
Разделянето на атаките на вътрешни и външни спрямо периметъра на мрежата в наши дни е трудно, защото повечето компании използват различни облачни услуги, а също така осигуряват достъп до своите информационни ресурси на мобилни потребители, отдалечени офиси и/или бизнес партньори през несигурни комуникационни връзки като интернет. Този тип разширение на комуникационните услуги доведе до нови видове проблеми със сигурността и нови методи за защита на облачните услуги. Честа заплаха касаеща работата с CLOUD услугите е така наречената „Man in the Middle“ (MITM) атака. При тази атака устройство или специален софтуер прихваща и записва преминаващите през мрежовия сегмент пакети с цел последващ анализ. Тази атака най-често се явява вътрешна за локалните мрежи и може да се реализира сравнително лесно с инструменти, които дори имат графичен потребителски интерфейс като Wireshark и Ettercap. След като голяма част от фирмите и потребителите започнаха да използват облачни услуги за съмнение на данни като DropBox, OneDrive, Google Drive и други, се появи и заплахата, наречена „Man in the Cloud“ (MITC), при която чрез кражба на сесия и промяна на конфигурацията на акаунт, може да се осигури неоторизиран достъп до данни или да се стартира друг тип атака, насочена към потребителя на облачната система.

Мрежовите атаки могат да се разделят и на следните типове:

  • Атаки към конфиденциални ресурси – целта е да се получи неоторизиран достъп до конфиденциална информация с цел корпоративен шпионаж, кражба на данни или саботиране на дейностите. Този тип атаки най-често обединяват няколко отделни етапа и използват редица инструменти. Сложността им е висока, а необходимите знания и умения от страна на хакера трябва да са на високо ниво, особено в случай, когато той трябва да остане незабелязан, неоткриваем и не проследим;
  • Атаки към мрежови приложения – една голяма част от злонамерените действия на хакерите са насочени към специализирани мрежови приложения като Web сървъри, сървъри за СУБД или към мрежови протоколи. Примери за подобни атаки са SQL Injection и XSS (Cross-Site Scripting), а като пример за използвани инструменти могат да се посочат havij, OWASP и други;
  • Атаки към протоколи, работещи на каналното ниво на OSI референтния модел – един от най-използваните LAN протоколи, работещ на каналното ниво (L2) на OSI модела е Ethernet. При него няма вградени механизми за защита, което го прави сравнително лесна цел за хакерите. Други често атакувани L2 протоколи са STP (Spanning Tree Protocol), HSRP (Hot Standby Routing Protocol), Cisco CDP (Cisco Discovery Protocol), IEEE 802.lq, IEEE 802.IX и др. Един от най-популярните и мощни инструменти за анализ и атака на L2, е Yersinia;
  • Атаки с цел достъп до ресурси – честа цел на хакерите са различни ресурси, сред които данни, конфигурационни файлове, потребителски профили, цифрови сертификати и др. Използваните подходи при този тип атаки са много и са различни като вид, като същото важи и за прилаганите инструменти. Типичен пример за подобен тип злонамерено действие е използване на технологичен пропуск (бъг) при домашен маршрутизатор с цел достъп до неговата конфигурация и откриване на паролата за безжичната му мрежа;
  • Атаки, насочени към пароли – тази група включва няколко основни подхода за узнаване на паролата за достъп до система или потребителски профил – метод на грубата сила (brute-force), речников подход (dictionary attack), „Rainbow“ таблици, социално инженерство, подслушване на трафика, троянски коне и други.
  • Зловреден код – към тази група се включват вирусите, червеите, троянските коне и „ransomware“, който може да има изключително тежки последствия за засегнатите потребители;
  • Компрометирани ключове – различни криптографски алгоритми използват ключове за шифриране и дешифриране на данните (един ключ при симетричните алгоритми и двойка ключове при асиметричните). Ако хакер получи достъп до криптографски ключ – споделен или секретен, той може да дешифрира различни данни и комуникационни потоци или да генерира електронни подписи, с което да получи неоторизиран достъп до системи. Аналогично той може да създаде и файлове, които успешно да бъдат одобрени от дадена система (цифрово подписан софтуер), с което да инжектира троянски кон или друг тип „врата“ за заден достъп, която е прикрита за потребителите;
  • Кражба на сесии — тази атака се базира на предварително изградена комуникационна сесия и нейното пренасочване към трета страна, чрез кражба на ключ или друг подход. Популярен инструмент за тази атака отново е OWASP.
  • Осигуряване на услуги (availability) – общото разбиране за тази група атаки до някъде се препокрива с DoS, но трябва да се вземе под внимание, че отказът на услуга е резултат от злонамерено действие (от тип DoS или DDoS);
  • Подслушване (eavesdropping) – ако чрез мрежова комуникация се пренасят данни в явен вид, а не шифриран поток от пакети, е възможно неоторизирана система да запише препращаните байтове и впоследствие да ги анализира, което да доведе до кражба на конфиденциална информация, откриване на потребителски профили и пароли или до достъп до ключове. Голяма част от използваните към момента мрежови протоколи не позволяват да се извърши криптиране или автентикация на пакетите, което ги прави уязвими на този тип хакерски действия. Използваните инструменти са много, като някои от най-популярните са Wireshark, Colasoft Capsa, Cain & Abel, и други;
  • Пренасочване на портове – транспортните протоколи (L4), които работят на 4 ниво на OSI референтния модел, често използват портове за дефиниране на услугата. Чрез пренасочване на трафик от легитимен порт към L4 е възможно да се получи неоторизиран достъп до данни. Към момента този тип атаки се срещат по-рядко;
  • Промяна на данни – (data modification) – типичен пример за това злонамерено действие е след прихващане (кражба) на мрежови пакети, тяхното съдържание да се преправи и да се изпратят отново. По този начин е възможно да бъдат заобиколени системи за защита, а получаващият хост да обработи модифицираните данни. Друг пример е подмяна на съдържанието на Web сайт или връзка към файл с такава, сочеща към зловреден код. За да се реализира подобен тип атака, се използват множество различни инструменти, сред които Ettercap, Wireshark, SEToolkit (Social Engineering Toolkit), подходи като XSS и „spoofing“.
  • Разузнаване — хакерът извършва сканиране на система, мрежови сегмент или услуга с цел да получи информация, която впоследствие да използва при последващи атаки. Най-често това е началният етап от целенасочено злонамерено действие, което може да се извърши чрез активни или пасивни проверки. При активните проверки използваните инструменти генерират необходимите пакети или данни и след тяхното изпращане се анализират получените резултати. Това може да доведе до запис на информация в журнали или до откриване на системата, източник на сканирането. При пасивните проверки се извършва събиране на данни или пакети и тяхното анализиране, но без да се генерира трафик. Често пъти специализирани IDS/IPS системи могат успешно да засекат активно сканиране, докато пасивното се открива трудно. В зависимост от това дали се проверява мрежови ресурс или отделна система могат да се приложат различни инструменти, като един от най-известните е Nmap, а пример за пасивен инструмент е lanmap2.
  • Социално инженерство – Термин, който обозначава съвкупността от тактики, използвани от недобронамерени лица, за да манипулират предварително определени хора – техните мишени, в резултат, на което е разкрит достъпът до конфиденциална информация. Информацията, която тези престъпници търсят, може да бъде разнообразна, но в повечето случаи те се стремят към разкриването на важни пароли, банкова информация или проникване в чужд компютър, чрез инсталиране на зловреден софтуер.
  • „ARP Spoofing“ и „ARP Poisoning“ – тези атаки са типичен пример за вътрешни мрежови и са едни от най-популярните LAN заплахи. Поради спецификата на ARP протокола хакер може да генерира ARP пакети, с което да промени информацията на хостовете, свързани към мрежовия (L2) сегмент, която описва обвързването на IPv4 адресите и съответните МАС адреси. Данните за ARP се кешират и с цел по-бърза атака може да се генерира така наречения „graceful ARP“.
  • DHCP атаки – DHCP (Dynamic Host Configuration Protocol) е технология за динамично получаване на IPv4 или IPv6 (Stateless и Statefull DHCP) конфигурация на хост, като данните се изпращат след заявка от сървър. По този начин не се налага клиентите да въвеждат IP настройките, което е изключително удобно, особено при безжичните мрежи. Два основни типа атаки, насочени към DHCP, са заемане на всички налични адреси (DHCP starvation) или стартиране на нелегитимен сървър (rogue DHCP server) с цел раздаване на адреси на клиентите и пренасочване на трафика. Един от най-често използваните инструменти за подобен тип действия са Yersinia и Ettercap.
  • DoS и DDoS – методи и инструменти, които се използват за отказ на услугите на дадена система. Пример за такава атака е (въпреки че този подход е сравнително остарял, а защитата от него е лесна) генериране на голям обем от мрежови трафик, което би довело до претоварване на сегменти или сървъри, след което те ще бъдат недостъпни за други потребители. Популярен инструмент е Slowloris, който се базира на технологична неточност в някои HTTP сървъри и който води до директен отказ на услуга (DoS).
  • IP Spoofing – често срещан подход при сканиране на мрежи или отдалечени атаки, при който злонамерените лица преправят своите IPv4 или IPv6 адреси с цел да не могат да бъдат проследени. Този метод се използва и при анонимен достъп до интернет, например чрез мрежата TOR.
  • MITM и MITC – двете разновидности на тази група атаки са свързани с прихващане на потоци от информация в рамките на мрежова комуникационна инфраструктура или при облачни услуги;
  • SPAM – атака към потребителите, която е свързана с изпращане на нежелана електронна поща, често съдържаща реклами или препратки към зловреден код. Въпреки взетите мерки и наличните SPAM филтри, все още процентът на SPAM съобщенията е значителен. Генерирането на масови електронни писма или на SPAM може да се извърши с прости скриптове или инструменти като SEToolkit.
  • TCP SYN Flood – този тип атаки са сравнително стари и са насочени към транспортния протокол TCP, като при тях се генерира голям брой полуотворени TCP сесии към отдалечено устройство (не завършване на „3-way handshake“ процедурата), което изчерпва наличните ресурси. Липсата на такива би довела до отказ на услуги за даденото приложение. [5]

Публикувано от: marsislav

Казвам се Мирослав Костадинов.
Завърших бакалавърската си програма в Бургаски Свободен Университет през 2013 година, специалност “Информатика и компютърни науки”.
След което завърших магистърска програма в същия университет, специалност “Информационна сигурност”, като в моят блог може да прегледате дипломната ми работа,
която защитих пред Държавна Изпитна Комисия .
През бакалаварската си програма съм изучавал дисципини като компютърни мрежи, изкуствен интелект, операционни системи, компютърни архитектури,
компютърна периферия и WEB приложения.
В процеса на обучение наблегнах на следните технологии: PHP, SQL, JavaScript, HTML, CSS.
През магистърската си програма съм
изучавал дисциплини като Мрежова сигурност, маршрутизация в компютърните мрежи, сигурност в интернет приложенията.

Работил съм като Front-end разработчик във фирми \"ThunderBox\" и \"The Viking\" като дейността на първата бе създаването и модифицирането на Wordpress теми и плъгини,
а на втората - създаването на Joomla теми и WEB сайтове изградени без помощта CMS платформа. В момента работя като WEB разработчик с ASP.NET.

Всички разработки са съобразени с функционалността и визията
изисквани от клиента. За целта използвам следните технологии: PHP (функции предоставени от CMS средата), jQuery, Vanilla JavaScript, HTML5, CSS3, ASP .NET

През свободното си време работя на на свободна практика, като изграждам и поддържам WEB сайтове и приложения.

Всички проекти в портфолиото съм изработил изцяло самостоятелно в свободното си време. Успях да превърна хобито си в професия.

Оставете коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *