Анализ угроз безопасности компьютерной сети организации

В современном мире, насыщенном информационными технологиями, безопасность сетей имеет крайне высокое значение. Компаниям требуется обеспечивать безопасный доступ устройств своих сотрудников к информационным ресурсам в любое время, для чего современная политика обеспечения информационной безопасности должна учитывать ряд таких факторов как увеличение надежности сети, эффективное управление безопасностью и защиту от постоянно эволюционирующих угроз и новых способов сетевых атак. Для многих организаций проблема обеспечения сетевой без- опасности ежедневно становится все сложнее, т.к. сегодняшние мобильные сотрудники, использующие личные смартфоны, ноутбуки и планшеты для работы, привносят новые потенциальные проблемы. При этом злоумышленники тоже развивают свои технологии и делают новые киберугрозы все более изощренными. Рассмотрим основные сетевые угрозы и атаки, представляющие опасность для компьютерной сети организации, и способы защиты от них.

Снифферы пакетов (от англ. sniff – нюхать) – программы, позволяющие производить анализ всего сетевого тра- фика, проходящего через сетевую карту компьютера или любого другого сетевого устройства. Основную угрозу представляет возможность для злоумышленника с помощью этой программы перехватить учетные данные – логины и пароли, передаваемые без шифрования.

Способы защиты:

• •    Внедрение шифрования в аутентификации во всех используемых сервисах. Использование многофакторной аутентификации.

• •    Изменение сетевой инфраструктуры со смешанного типа на полностью коммутируемую – к каждому порту коммутатора доступа должно подключаться только одно устройство.

• •    Анти-снифферы и системы анализа сетевых угроз.

• •    Шифрование всего трафика средствами таких протоколов, как IPSec, SSH (Secure Shell), SSL (Secure Socket Layer).

IP spoofing, ARP spoofing (от англ. IP – Интернет протокол, ARP – протокол разрешения адресов, spoof – подмена, мистификация) – вид хакерской атаки, заключающийся в подмене IP- или ARP-адреса доверенного устройства с целью обмана систем безопасности. Данный вид атаки позволяет получать доступ ко многим сегментам сети, перехватывать и подменять сетевой трафик, выполнять вредоносные команды на серверных сервисах. Так как протокол TCP имеет встроенные средства защиты во время установки защиты (тройное рукопожатие), то основную угрозу данный вид уязвимости представляет для UDP трафика – основного протокола передачи данных и видео для телевизионных сетей.

Способы защиты:

• •    Запрос и проверка ответа от реального IP адресата. Сверка флага жизни пакета TTL (Time to live) от атакующего и от реального адресата.

• •    Для пограничных роутеров (Firewall) настройка отсечки пакетов на интерфейсах от сетей, которых на данных интерфейсах быть не может.

• •    Не использовать аутентификацию и авторизацию устройств на основании только одного IP адреса.

• •    Для внутренних сетей сопоставление IP адреса устройства с его MAC адресом.

• •    Контроль доступа устройств к сети.

DoS и DDoS-атака (от англ. Denial of Service – отказ службы и Distributed - распределенная) – наиболее часто применяемая и наиболее простая в реализации хакерская атака. Против данного типа атаки до сих пор не найдено полностью защищающего решения. Данный тип атаки не нацелен на получения доступа к сети или на кражу информации. Атака DoS делает сеть или отдельные ее сервисы недоступной для обычного использования. При этом не используются бреши систем безопасности или уязвимости в программных пакетах, а используются общие слабости системной архитектуры. Данный вид атаки перегружает серверные приложения или сетевые устройства большим количеством соединений. Если атака проводится через множество устройств, а том числе бот-сеть, то такая атака называется распределенной (DDoS). Данный вид атаки требует большого количества устройств и редко является угрозой изнутри сети.

Способы защиты:

• •    Анти-DoS системы – правильная настройка анти-DoS функционала на межсетевых экранах, маршрутизато-

• рах, и системах анализа сетевого трафика позволяет ограничить эффективность атак.

• •    Анти-спуфинг системы и фильтрация соединений по документу RFC 2827, запрещающая сетевой трафик из сетей провайдеров от адресатов, не являющихся частью этих сетей.

• •    Ограничение объемов трафика – совместная с провайдером настройка фильтрации трафика по его типу или адресам, запрещающая, например, большое число ICMP пакетов.

Парольные атаки – атака, при которой используются многочисленные попытки доступа к ресурсам, с целью подобрать «грубой силой» (brute force attack) связки логинов и паролей. В результате атаки злоумышленник получает пользовательский или даже привилегированный доступ к системе. А в случае использования одних и тех же связок для разных систем, результат атаки может оказаться гораздо масштабней.

Способы защиты:

• •    Использование криптостойких паролей с минимальной длиной в 8 знаков с использованием букв верхнего и нижнего регистра, цифр и символов.

• •    Временное блокирование системами аутентификации логинов при превышении определенного числа неудачных входов.

• •    Обязательное требование смены пароля в период, не превышающий теоретическое время перебора логина/ пароля. Также рекомендуется хранение истории хэш паролей с целью проверки, что пользователь не повторил старые варианты.

Атаки типа Man-in-the-Middle (от англ. Man in the Middle - посредник) – атаки, при которых устройство злоумышленника подменяет сетевые пакеты, передаваемые между двумя адресатами таким образом, что ни один из них не догадывается о присутствии посредника.

Способы защиты:

• •    Эффективно обороняться от подобного рода атак можно только с помощью шифрования сетевого трафика, исключая доступ к ключам шифрования для злоумышленников.

Атаки на уровне приложений – различные атаки, использующие уязвимости программных пакетов, например, SQL-, PHP-, XPath-инъекции, XSS атаки. Данные атаки позволяют получать доступ к данным, вызывать их потери, порчу и подмену.

Способы защиты:

• •    Своевременное изучение обнаруженных уязвимостей в используемых продуктах и методов их устранения. Обновление систем до последних версий.

• •    Понимание и использование принципов безопасного написания кода в разработке.

• •    Закрытие, шифрование и усложнение аутентификации в межсервисном взаимодействии, в том числе внутри закрытых сетей.

• •    Использование систем обнаружения вторжений IDS, отслеживающих признаки атак на защищаемые ресурсы.

Подмена DHCP сервера (от англ. DHCP – протокол динамической настройки узла) – атака при помощи подмены DHCP-сервера, выдающего IP адреса устройствам

на основании их MAC-адреса. Фактически это разновидность атаки Man-in-the-Middle позволяющая в дальнейшем беспрепятственно эмулировать нешифрованный трафик с устройств, получивших подменные IP адреса.

Способы защиты:

• •    Настройка портов коммутаторов как доверенных и не доверенных для отправки ответов от DHCP серверов. Ответы на DHCP запросы будут запрещаться с портов, потенциально доступных злоумышленникам.

DHCP starvation (от англ. starvation – голодание) – атака, при которой подключенное к сети устройство запрашивает у DHCP-сервера для своего MAC-адреса новый IP-адрес. Получив его на какое-то время, он программно меняет свой MAC адрес и отправляет новый запрос. Тем самым, пулы адресов на DHCP сервере оказываются переполненными, что вызывает проблемы в работе сети. В комплексе с атакой подмены DHCP сервера позволяет переключить всех клиентов на получение адресов только с DHCP сервера злоумышленника.

Способы защиты:

• •    Запрет на подключение больше некоторого количества MAC-адресов на одном порту коммутатора.

Переполнение CAM-таблиц (от англ. Content Addressable Memory – содержимое адресной памяти) – атака на коммутатор, при которой на одном устройстве генерируется большое количество MAC-адресов, и провоцируются запросы на эти адреса. В результате коммутатор, вынужденный заносить все адреса в свою CAM-таблицу, переполняет ее. С переполненной таблицей коммутатор вынужден каждый новый запрос перенаправлять на все порты, позволяя злоумышленнику перехватывать весь сетевой трафик коммутатора на любом порту. Что делает выполняемой sniffer атаку в обход коммутируемой инфраструктуры.

Способы защиты:

• •    Шифрование трафика.

• •    Запрет на подключение больше некоторого количества MAC-адресов на одном порту коммутатора.

VLAN hopping (от англ. Virtual local area network – виртуальная локальная сеть, hop – прыжок) – атака, при ко- торой злоумышленник может заставить порт коммутатора работать с его сетевым устройством в режиме trunk. Что делает возможность доступа ко всем виртуальным сетям коммутатора, а не только определенной для этого устройства. Данная атака работает только для портов коммутатора, настроенных в режиме динамического назначения режима порта. Также злоумышленник через порт в режиме access может отправить пакет с двойным 802.1Q тегированием, который дойдет через два коммутатора до нужной VLAN сети. Но угроза не является серьезной, т.к. получить ответ в обратную сторону злоумышленник не сможет.

Способы защиты:

• •    Отключение режима автоматического определения режима работы 802.1Q на коммутаторе.

MAC-Spoofing – (от анг. Media access control (address) – адрес доступа к среде, spoof – подмена, мистификация) – атака с использованием подмены MAC-адреса устройства и постоянной регистрацией его на коммутаторе. Позволяет перехватить часть фреймов, предназначенных другому MAC-адресату.

Способы защиты:

• •    Контроль за подключением к портам коммутатора. Назначение MAC-адресов за определенными портами.

Вирусы, трояны и шпионские программы – вредоносные программы, распространяющиеся через сети Интернет и сменные носители, могут быть источником большинства перечисленных выше угроз. Используя программные уязвимости и недостаточно настроенные системы безопасности компьютеров, они быстро «заражают» устройства и распространяются по локальной компьютерной сети. Могут находиться в режиме сна до необходимого времени действия. С помощью таких программ воруются данные, создаются бот-сети для DDoS-атак, разрушаются крупные и жизненно важные инфраструктуры и данные.

Способы защиты:

• •    Антивирусное и антишпионское программное обеспечение.

• •    Запрет на работу с сетью Интернет с привилегированными учетными записями.

Таблица 1. Классификация угроз безопасности сети по их источнику и цели

Цель	Источник во внешней сети	Источник во внутренней сети
Угроза ресурсам внешней сети	DoS и DDoS атака Man-in-the-Middle Парольные атаки Атаки на уровне приложений	Снифферы пакетов DoS и DDoS атака IP spoofing Парольные атаки Вирусы, трояны и шпионские программы
Угроза ресурсам внутренней сети	Атаки на уровне приложений	Снифферы пакетов IP spoofing ARP spoofing Подмена DHCP сервера DHCP starvation Переполнение CAM-таблиц VLAN hopping MAC spoofing Man-in-the-Middle Парольные атаки Вирусы, трояны и шпионские программы

• •    Полный или частичный запрет на работу со сменными носителями.

• •    Контроль над запуском приложений. Полный или частичный запрет на запуск приложений, кроме разрешенных по пути, названию файла, сигнатуре и т.д.

Условно разделим рассмотренные угрозы безопасности сети по следующим признакам: вероятности угрозы для ресурсов внутренней и внешней сети (доступных из сети Интернет) и вероятности нахождения источника атаки во внутренней сети организации или снаружи (таблица 1).

В большинстве случаев источником угроз безопасности является внутренняя сеть организации. Это связано с тем, что периметр компьютерной сети любого размера, как правило, является наиболее защищенной частью сети. В крайне редких случаях атака, произведенная через общедоступные сети, несет угрозу для внутренних закрытых от внешних сетей ресурсов. Наибольшую угрозу несут атаки, произведенные изнутри сети, в том числе с помощью вирусных программ, принесенных на личных устройствах сотрудников и подключенных к корпоративной сети без всякого умысла. Важной задачей в этих условиях является защита не только внешнего периметра сети организации, но также контроль над подключениями к внутренним сетям.