Атаки по типу «отказ в обслуживании», «черви» и уязвимость беспроводных систем постоянно угрожают безопасности сети. Для защиты границ сети необходимо принять превентивные меры.

Однажды летней ночью меня разбудил писк комара. Разглядеть в темноте его не удалось, но звук, напоминающий жужжание маленькой бормашины, нельзя было спутать ни с чем. Когда комар оказался совсем рядом, я хлопнул по своему правому уху и, как мне показалось, прикончил кровососа. Прошла минута, все было тихо. Я начал успокаиваться. Вдруг жужжание раздалось слева. Еще одна оплеуха самому себе... Опять минута тишины, и атака возобновилась.

Мое терпение лопнуло, пришлось включить свет. Комар летал в дальнем углу спальни, «пританцовывая» в воздухе, как боксер-профессионал. Схватив футболку, я начал охоту, которая закончилась хорошим шлепком и появлением на стене выразительного пятна. С чувством исполненного долга я улегся в кровать. Не двинься я с места, настырное насекомое так и досаждало бы всю оставшуюся ночь, желая насытиться моей кровью.

В Internet полно своих «кровососов». Особенно много хлопот доставляют три проблемы: уязвимость беспроводных систем, атаки по типу «отказ в обслуживании» (Denial of Service, DoS) и «черви». Они все время напоминают о себе. Поводом служат изобилие автоматизированных средств организации сетевых атак, вопиющие технические сбои, а иногда и небрежное отношение к средствам защиты со стороны администраторов сетей. В данной статье анализируются предпосылки подобных атак, рассматриваются причины их широкого распространения, а также обсуждается план необходимых действий системных администраторов для защиты от сетевых «паразитов».

БЕДA ДЛЯ БЕСПРОВОДНЫХ СЕТЕЙ

Беспроводные локальные сети на базе стандарта 802.11b (частота 2,4 ГГц, пропускная способность 11 Гбит/с) не случайно пользуются устойчивым спросом на корпоративном рынке. По сравнению с кабельными системами их дешевле устанавливать и легче настраивать, а сотрудники имеют возможность свободно передвигаться по офису и даже за его пределами. По данным опроса консалтинговой компании Gartner Group, к концу 2001 г. у половины респондентов появятся точки беспроводного доступа к их корпоративным сетям.

Однако из-за низкого уровня защиты хакерам довольно легко проникнуть в такие сети. Основное узкое место — радиопередатчики, транслирующие трафик на десятки метров во всех направлениях. Известно множество историй о том, как злоумышленники перехватывали корпоративный трафик с помощью ноутбуков со средствами беспроводной связи, находясь, к примеру, на автостоянках компаний или в вестибюлях.

Протокол обеспечения конфиденциальности (Wired Equivalent Privacy, WEP), являющийся частью стандарта IEEE 802.11, был призван ограничить широкий доступ в беспроводные сети посредством шифрования и контроля доступа. Однако недавние исследования показали, что эффективность защиты WEP сравнима с прочностью намокшего бумажного пакета.

«WEP ненадежен буквально по всем параметрам», — считает Дейв Вагнер, эксперт по криптографии и доцент кафедры вычислительной техники в Калифорнийском университете в Беркли. Он и его коллеги Никита Борисов и Ян Голдберг первыми обнаружили бреши в 40- и 128-разрядной версиях WEP. «Вы можете прослушивать сеансы WEP, подделывать передаваемые пакеты, обходить контроль доступа к сети», — сообщает он.

Наиболее опасная атака была описана исследователями Флюрером, Мантином и Шамиром из компании AT&T Labs, предложившими способ выявления общего секретного ключа, который WEP применяет для шифрования трафика между точкой доступа и клиентом. Описание оставалось теоретическим, пока они не предприняли попытку атаки. Проблема заключалась в методе работы WEP с базовым криптографическим алгоритмом RC4. По словам Вагнера, в качестве исходного был взят «хороший алгоритм шифрования, чтобы намеренно злоупотребить им».

Как это обычно бывает, результатом тщательного исследования стали простые в использовании средства вторжения, например AirSnort и WEPCrack, с помощью которых даже неопытные злоумышленники могли декодировать данные, зашифрованные WEP.

Вагнер считает, что с помощью AirSnort систему криптографии можно взломать после 15-минутного слежения за обменом данными по сети. «Сидя в машине на автостоянке вашей компании, злоумышленник сможет прослушать сетевой трафик и в результате получить ключи шифрования», — подчеркивает он.

Помимо расшифровки данных этот ключ позволяет проникать в беспроводную сеть, а через нее — и в системы, подключенные к проводной сети: например, рабочие станции, рабочие серверы, базы данных и т. д.

Но не спешите вынимать сетевые карты из ваших ноутбуков. По мнению экспертов, беспроводные сети вполне можно защитить, если не полагаться на WEP. Как утверждает Джон Пескатор, руководитель отдела исследований безопасности Internet компании Gartner Group, ведущие поставщики беспроводного оборудования, такие, как Cisco Systems и Agere Orinco, предприняли собственные меры безопасности. Одной из них стало динамическое управление ключом шифрования, т. е. его частое изменение в точке доступа.

Впрочем, согласованности в наборе защитных мер, применяемых в оборудовании различных поставщиков, не стоит ждать до тех пор, пока IEEE не выпустит обновленный стандарт. По словам Пескатора, новый проект стандарта может появиться в первом квартале 2002 г., а соответствующие ему продукты — к концу 2002 г.

Но что делать, если нет желания ждать до 2003 г., а быть привязанным к одному поставщику не хочется? Есть и другие способы решения проблемы, но для этого придется раскошелиться. Вы можете приобрести решения по обеспечению безопасности у небольших компаний: Colubris, Bluesocket, Proxim и Funk Software — и включить мощные средства аутентификации и шифрования трафика в существующую беспроводную инфраструктуру.

Защита беспроводной сети. Специалисты по безопасности рекомендуют администраторам пропускать беспроводный трафик через межсетевые экраны перед его допуском в корпоративную сеть. Кроме того, туннелирование беспроводного трафика через VPN обеспечивает гораздо более надежную аутентификацию и шифрование, чем протокол обеспечения конфиденциальности WEP.

Или обезопасьте свою беспроводную сеть по примеру Internet: весь трафик, входящий в корпоративную сеть, сначала пропустите через межсетевой экран (см. Рисунок 1). Помимо этого, по мнению Пескатора, за каждой беспроводной точкой доступа следует ставить сервер VPN. «При соединении с точкой доступа мне придется пройти аутентификацию на сервере VPN, как и в случае с Internet», — объясняет он. IPSec — совместимые VPN, обеспечат гораздо более мощные аутентификацию и шифрование, нежели WEP. Однако такое решение потребует установки дополнительных шлюзов и клиентов VPN со всеми вытекающими отсюда административными расходами.

Даже если защита беспроводной локальной сети была укреплена, или ваша компания решила такую сеть вообще не создавать, не думайте, что можете спокойно спать. «Беспроводные базовые станции дешевеют настолько быстро, что сотрудники вполне могут приобрести беспроводную точку доступа за сотню долларов и подключить ее к корпоративной сети, особо об этом не распространяясь», — сказал Вагнер.

Такие неконтролируемые точки доступа пробивают огромную брешь в тщательно выстроенной системе безопасности. Кроме того, в бесконтрольно устанавливаемых точках доступа изначально в конфигурации по умолчанию WEP даже не активизирован. Пескатор рекомендует администраторам регулярно проводить ревизию вверенной им сети на предмет обнаружения незарегистрированных базовых станций. Подобные элементы можно обнаружить с помощью инструментария хакеров или таких коммерческих продуктов, как Sniffer Wireless компании Network Associates.

ЧТО ЕСТЬ ОТКАЗ?

Обычные (DoS) и распределенные (Distributed DoS, DDoS) атаки по типу «отказ в обслуживании» широко известны. Злоумышленник бомбардирует цель трафиком, объем которого больше, чем она в состоянии обработать. Чужеродный трафик не позволяет легальным пользователям получить доступ к атакуемым ресурсам. Атаки по типу DoS и DDoS либо загружают центральный процессор атакуемой машины запросами на соединение, либо занимают линию связи фиктивным трафиком. Атака по типу DoS может быть предпринята с одного компьютера, однако для большинства атак используется множество машин, когда несколько пользователей действуют согласованно, либо атака осуществляется с захваченных чужих компьютеров, называемых «хосты-зомби».

Если атаки по типу DoS столь хорошо известны, то почему с ними до сих пор не так-то легко справиться? Одна из причин в том, что сами злоумышленники для осуществления своих намерений применяют легальные сетевые протоколы, например TCP и UDP (см. Таблицу). По словам Стефана Саважа, руководителя исследовательских работ в компании Asta Networks, специализирующейся на предотвращении атак по типу DoS, и доцента кафедры вычислительной техники Калифорнийского университета в Сан-Диего, сети вынуждены пропускать определенные типы трафика, а злоумышленники активно пользуются этим обстоятельством.

«Атакующие могут всего лишь послать большие объемы данных TCP с установленным флагом ACK (флаг подтверждения в заголовке TCP), что позволяет им миновать практически любой межсетевой экран, — заметил он. — Легальный это трафик или нет — чрезвычайно трудно разобрать».

Еще один популярный вид атак для переполнения вычислительных ресурсов основан на сообщениях протокола ICMP — ICMP Time Exceeded и ICMP Echo Reply. По словам Саважа, эти разрешенные управляющие сообщения должны пропускаться в сеть, поскольку они применяются такими известными средствами, как traceroute и ping.

Другая причина столь высокой живучести DoS заключается в существовании множества автоматизированных инструментов (например, Trinoo и Tribe Flood Network), значительно облегчающих запуск атак. И, наконец, злоумышленники располагают достаточной мощью — от одного ПК с широкополосным соединением до захваченных «хостов-зомби».

По утверждению Джо Мэйджи, руководителя службы безопасности компании TopLayer Networks, разрабатывающей устройства распределения нагрузки и обеспечения защиты, домашнего широкополосного соединения вполне достаточно для «перекачки» трафика, способного вывести сервер из строя. «Мы установили Web-сервер IIS 5.0 без защиты от лавинной атаки SYN. Тестовая машина на платформе Pentium 400 обрабатывала 100-120 пакетов SYN в секунду. Типичная для большинства домашних кабельных или модемов DSL скорость пересылки данных на сервер составляет 128 Кбит/с, что позволяет отсылать от 200 до 800 пакетов SYN в секунду». Такой мощности хватит, чтобы вывести из строя восемь серверов Web с помощью одного ПК.

Естественно, не все злоумышленники удовлетворяются одним компьютером. Благодаря в кавычках мириадам брешей и уязвимых мест в операционных системах нарушители могут вторгаться в них и устанавливать программы удаленного управления. В результате в их распоряжении оказывается целая армия устройств, с которых пакеты могут быть направлены по любому указанному адресу. Автоматизация этого процесса значительно усложняет проблему. «Многие думают, что, сидя за своим компьютером, хакеры пытаются проникнуть в каждую из этих машин, — говорит Саваж. — На самом деле все обстоит несколько иначе. Имеющиеся у взломщиков сценарии позволяют им сканировать миллионы адресов Internet. Все компьютеры проверяются на наличие уязвимых мест по соответствующим библиотекам. Запустив сценарий, злоумышленник спокойно идет спать, а наутро в его распоряжении оказывается уже 10 тыс. хостов».

Так насколько плохо обстоит дело? Саваж со своими двумя коллегами по университету изучил атаки по типу DoS и обнаружил следующее: за три недели февраля 2001 г. было предпринято более 12 тыс. атак на более чем 5000 различных хостов. Их жертвами стали как широко известные коммерческие сайты, такие, как Amazon.com и AOL, так и провайдеры услуг Internet, иностранные сайты и домашние компьютеры. (Ссылку на соответствующий документ см. во врезке «Ресурсы Internet».)

Атаки по типу DoS представляют двойную опасность для корпораций. Они могут привести не только к перебоям в обслуживании, но и к захвату злоумышленниками корпоративных компьютеров для атак на другие цели. Даже если вы уверены, что ваш бизнес не привлекателен для незваных гостей, любые подключенные к сети устройства — желанные ресурсы для нарушителей.

Помимо финансового ущерба из-за перерывов в предоставлении услуг атаки по типу DoS причиняют и другой вред. «Самое важное, что волнует наших клиентов, — это защита репутации, — говорит Рич Хелгесон, генеральный директор и президент компании Captus Networks, занимающейся вопросами сокращения ущерба от атак по типу DoS. — Компании тратят годы на продвижение торговой марки и завоевание доверия потребителей. Они не намерены позволить кому-то скомпрометировать их торговые знаки».

Что же предпринять сетевым пользователям? Прежде всего, применить заплаты. Возможно, вы слышите это не в первый раз, и уж точно не в последний, так как установка заплат и других оперативных средств исправления для операционных систем и приложений — самый надежный способ защиты вашей сети.

Кроме установки заплат предотвратить некоторую часть атак по типу DoS можно с помощью фильтрации на входе и выходе. Множество средств DoS использует вымышленный исходный адрес пакетов, чтобы скрыть атакующий компьютер. Фильтрация на входе и выходе поможет так настроить маршрутизаторы, чтобы они отбрасывали пакеты с поддельными адресами, не позволяя нелегальному трафику достигнуть цели.

Провайдеры услуг Internet применяют фильтрацию на входе. В соответствии с документом IETF RFC 2827, те, кто агрегирует сообщения маршрутизации от многочисленных сетей, могут блокировать любой трафик с исходным адресом, префикс которого не принадлежит к числу обслуживаемых. Однако, провайдеры не обязаны производить фильтрацию на входе, к тому же иногда это неосуществимо из-за масштаба их деятельности. Но все же не лишним будет узнать о возможностях вашего поставщика услуг Internet.

Фильтрация на выходе применяется на корпоративных пограничных маршрутизаторах. Будучи сконфигурированными для фильтрации исходящего трафика, они станут отбрасывать пакеты с исходными адресами, не принадлежащими вашей сети. Это один из способов не допустить собственное невольное соучастие в атаке по типу DoS. Если злоумышленник захватил в вашей сети «хосты-зомби», фильтрация на выходе позволит не выпустить такие пакеты за ее пределы.

Конечно, фильтрация на входе и выходе не задержит пакеты с исходными легальными адресами, но, по крайней мере, вы сможете отследить атакующий компьютер.

В межсетевые экраны и системы обнаружения вторжений (Intrusion Detection System, IDS) обычно включаются некоторые превентивные средства против атак по типу DoS, например, таких, как атаки SYN. Однако новые специализированные устройства обещают уже полную защиту. Captus Networks, Asta Networks, Arbor Networks, Top Layer Networks и др. предлагают устанавливаемые на линию аппаратные средства для сканирования входящего трафика на предмет аномалий. Трафик, удовлетворяющий признакам атаки DoS, может быть отфильтрован, заблокирован, переадресован или ограничен по скорости. Некоторые поставщики утверждают, что их устройства способны среагировать на атаку по типу DoS в течение 60 с.

Трудно прогнозировать, как рынок встретит подобное специализированное оборудование. Администраторы могут с подозрением отнестись к встраиванию в поток данных еще одного защитного приспособления со всеми сопутствующими издержками: обучением управлению устройством, взаимодействием с дополнительным интерфейсом, ответными действиями на увеличившееся количество предупреждений. К тому же многие надеются, что со временем появятся универсальные устройства защиты, интегрирующие в себе различные алгоритмы по борьбе с атаками по типу DoS.

Однако не стоит игнорировать безусловные преимущества таких устройств. Во-первых, они предупредят о действительной опасности. Против вас проводится атака или это просто всплеск легального трафика? Во-вторых, предоставят краткую информацию о взломе, что позволит предпринять «точечные» ответные действия, не влияющие на нормальный трафик. Наконец, подготовленные заранее автоматизированные ответные действия сэкономят ценное время, особенно в первые минуты, когда идет сокрушительная лавина пакетов.

ЧЕРВЬ ВПОЛЗ, ЧЕРВЬ ВЫПОЛЗ

В 2001 г. в средствах распространения информации вирусы стали уступать место «червям». Чем отличается «червь» от вируса? «Как мне представляется, вирус — это нечто, размножающееся путем инфицирования различных файлов на одном хосте. В свою очередь «червь» заражает хост один раз, затем с помощью сетевых запросов на соединение перебирается на следующий хост и т. д.», — пояснил Роджер Томпсон, технический директор компании TruSecure, занимающейся исследованиями вредоносного кода. Как правило, «черви» распространяются по электронной почте или находят компьютеры с известными уязвимыми местами и пробираются в систему.

Обычно в этом случае для распространения не требуется вмешательство человека. «Примером может послужить «червь» Code Red, — рассказывает Шерон Рукман, заместитель директора компании Symantec Security Response. — Если в вашем компьютере есть незакрытая брешь, «червь» заразит его, а пока вы будете спать, попытается заразить и другие машины».

По словам Рукмана, автоматизация способствует распространению «червей». «Для запуска вирусов AnnaKornikova или LoveLetter пользователь должен был открыть вложенный файл. Технология «червей» позволяет разрушительному коду, однажды проникнув в компьютер, продолжать размножение без какой-либо посторонней помощи». Рукман также заметил, что «черви» стали появляться в массовом количестве уже в конце 80-х гг., однако развитие средств соединений способствовало их распространению.

Эксперты утверждают, что Code Red и Nimda с точки зрения программирования более сложны, чем другие известные вирусы. Так что в ближайшие недели и месяцы мы можем ожидать появление лишь сравнительно небольшого числа вирусов-подражателей. «Вирусы на базе сценариев, поражавшие системы до этого года, были написаны на языке Visual Basic, поэтому злоумышленникам совсем не трудно подобные сценарии слегка переделать, — говорит Томпсон. — В случае Nimda и Code Red исходный код недоступен. Они написаны на ассемблере либо на языке Cи, довольно сложных для большинства людей. Изменения будут скорее всего в состоянии внести только авторы».

Естественно, чем сложнее программирование, тем больше неприятностей оно доставляет. Одной из причин широкой известности Nimda и Code Red, по словам Рукмана, стала их «интегрированная или смешанная угроза безопасности». Иначе говоря, авторы объединили несколько различных атак в одном «черве». Например, кроме переполнения буфера в серверах Microsoft IIS 4.0 и 5.0 «червь» Code Red также предпринимал попытку атаки по типу DoS при вторжении на сайт Белого дома (см. врезку «Черви-зомби» наносят удар»). Code Red II на каждый зараженный им компьютер устанавливал «троянского коня», что позволило удаленно управлять такими системами.

«Червь» Nimda оказался более разрушительным, так как атаковал системы сразу четырьмя способами. Как и Code Red, он использовал бреши в серверах IIS, но, кроме этого, еще рассылал себя во вложениях писем электронной почты, заражал общие диски на компьютерах Windows, а также внедрялся в страницы Web и пытался перебраться на каждый обращающийся к ним компьютер. Вдобавок Nimda мог предоставить злоумышленнику права администратора на захваченных серверах.

И Рукман, и Томпсон опасаются, что эти комбинированные «черви» являются предвестниками грядущей волны, особенно учитывая, какое количество уязвимых мест обнаруживается постоянно. «Вполне возможно, что каждое следующее успешное переполнение буфера будет означать появление очередной версии Code Red, — говорит Томпсон. — Только так взломщики могут проникать в компьютеры, защищенные, по мнению пользователей, от других атак».

К хорошим новостям можно отнести тот факт, что администраторы смогут защитить системы от подобных «червей», установив соответствующие заплаты. «Ни Code Red, ни Nimda не смогут проникнуть в систему с установленными заплатами», — утверждает Томпсон. Фактически, Microsoft выпустила исправления для ликвидации уязвимых мест в системе IIS за несколько недель до первых атак против них. Microsoft также предложила набор бесплатных средств, в частности, HF NetCheck, чтобы помочь администраторам быть в курсе самых последних выпусков заплат и оперативных средств исправления.

Кроме того, администраторы могут защитить свои системы, обновляя антивирусное ПО, отфильтровывая потенциально опасные вложения, наподобие файлов *.exe на шлюзах электронной почты, и следуя плану восстановления в случае, если вирус или червь все же нанесет вред компьютерам и данным.

СРЕДСТВО ОТ ПАРАЗИТОВ

Вполне очевидно, что администраторы должны быть не только бдительны, но и готовы к отражению атаки. Чем лежать в темноте в ожидании комариного укуса, лучше действовать без промедления, чтобы прихлопнуть паразитов, сосредоточившихся на границах вашей сети. Шаги, предпринятые сегодня, не позволят простому укусу обернуться смертельным заражением.

Эндрю Конри-Мюррей — редактор раздела бизнеса Nerwork Magazine. С ним можно связаться по адресу: amurray@cmp.com.


«Черви-зомби» наносят удар

В июле 2001 г. «червь» Code Red 1 завоевал себе известность после молниеносного двойного удара по системам безопасности. Помимо использования уязвимости IIS для проникновения в серверы Web «червь» предпринял атаку по типу «отказ в обслуживании» (DoS) на сайт http://www.whitehouse.gov.

К счастью, атаку удалось легко пресечь. «Code Red 1 оказался высококлассным «червем», но, вместе с тем, и ужасным средством атак по типу DoS», — говорит Стефан Саваж, руководитель исследовательских работ в компании Asta Networks и доцент кафедры вычислительной техники Калифорнийского университета в Сан-Диего. Так как захваченные хосты должны были атаковать единственный IP-адрес, администраторы просто переключились на второй IP-адрес на время фильтрации любого трафика, направленного на первый.

Хотя атаку по типу DoS «червя» Code Red 1 можно назвать неудачной, Саваж полагает, что это еще не конец. «Нам повезло. Учитывая доступные мощности — несколько сотен тысяч захваченных компьютеров — злоумышленники могли вывести из строя большие участки Internet, если бы создали более сложное средство».

Code Red — вариант «хоста-зомби». Обычно такой хост является частью иерархической управляющей структуры, получающей указания от другого компьютера. Подобную иерархию можно проследить до главного компьютера, с которого осуществляется управление. По словам Саважа, надо различать «зомби» под контролем узла и захваченные Code Red. Разница не столь очевидна: во втором случае главный управляющий компьютер отсутствует. Вместо этого каждый зараженный компьютер был синхронизирован для атаки определенной цели в указанное время.

Проблема в том, что «черви» и средства DoS привлекательны в качестве автоматизированной комбинации. «Люди поняли, что вместо сканирования и взламывания компьютеров в Internet вручную можно запрограммировать на это «червя», — говорит Саваж.

Хотя данный метод захвата «зомби» дает атакующему меньший контроль над ними, с помощью удачного «червя» можно количеством компенсировать качество. «При захвате большого числа компьютеров злоумышленнику даже не придется конструировать специальные последовательности пакетов, — заметил Саваж. — В этом случае по команде «червя» несколько сот тысяч узлов попытаются одновременно загрузить одну страницу Web. Такая лавина запросов может быть абсолютно законной, но не когда она исходит от 300 тыс. человек, не помышляющих об этом».

Такие комбинированные угрозы напоминают о важности хорошего администрирования системы безопасности. Сетевые пользователи должны быть в курсе всех последних обновлений антивирусного ПО, а также новейших заплат и оперативных средств исправлений для операционных систем и приложений. Code Red использовал известное переполнение буфера, для которого давно была выпущена заплата. Зная обо всех новинках, администраторы смогут в будущем успешно уклоняться от подобных двойных ударов.

назад


Ресурсы Internet

Каждому администратору сети будет полезно регулярно посещать Координационный центр CERT. По адресу: http://www.cert.org, вы сможете получить самые последние данные об уязвимых местах, «червях», вирусах и других вопросах безопасности.

Краткое описание протокола обеспечения конфиденциальности WEP и его уязвимостей, предоставленное SANS, содержится по адресу: http://www.sans.org/infosecFAQ/wireless/equiv.htm.

За дополнительной информацией о фильтрации на входе обращайтесь к документу RFC 2827 «Сетевая фильтрация на входе: предотвращение атак по типу «отказ в обслуживании» с использованием несуществующих исходных адресов» по адресу: http://www.ietf.org/rfc/rfc2827.txt?number=2827/.

Для получения дополнительных сведений о фильтрации на выходе посетите страницу SANS Institute по адресу: http://www.incidents.org/protect/egress.php/.

Другая статья SANS, находящаяся по адресу: http://www.sans.org/infosecFAQ/sysadmin/egress.htm, содержит ссылки на средства проверки компьютеров на присутствие «агентов-зомби».

Исследовательская работа «Выводы об отказах в обслуживании в Internet» доступна по адресу: http://www.cs.ucsd.edu/~savage/papers/ UsenixSec01.pdf.

назад