03____.pdf

Full Transcript

Проблемы
безопасности
интернет-
протоколовВлад Макаревич Информационная безопасность
Протокол IP

Влад Макаревич Информационная безопасность
Это о чем
Этот протокол берет на себя задачи сетевого уровня модели ISO/ OSI
(International Standards Organization / Open System Interconnection).
Он предоставляет службу передачи пакетов, которая не подтверждает
передачу пакета

Влад Макаревич Информационная безопасность
Этого мало
IPv4 — малое адресное пространство.

После быстрого роста числа устройств, которым необходимо
присваивать однозначные ІР-адреса, пространство было исчерпано

Влад Макаревич Информационная безопасность
Региональные

регистры
Европ
Америк
Азия – Тихий океа
Латинская Америка и Карибский райо
Африка
Влад Макаревич Информационная безопасность
MAC
IР-адреса — логические адреса.



Так как оборудование, работающее на нижних уровнях модели ISO/OSI,
не может понять логические адреса, каждому компьютеру присваивается
еще и физический адрес – МАС-адрес (от Medium Access Control)

Влад Макаревич Информационная безопасность
Протокол TCP

Влад Макаревич Информационная безопасность
Это
Надежный протокол, ориентированный на коммуникацию

Влад Макаревич Информационная безопасность
Также
Протокол TCP устанавливает конечное соединение не только между
системами, но и между отдельными процессами и службами.



Для идентификации конечных точек используется концепция порта

Влад Макаревич Информационная безопасность
Порт
Порт представляет собой 16-битный адрес.



Службы, с которыми необходимо установить соединение,

привязываются к конкретным портам

Влад Макаревич Информационная безопасность
Трехфазное

рукопожатие

Влад Макаревич Информационная безопасность
Влад Макаревич Информационная безопасность
DHCP
Dynamic Host Configuration Protocol

Используется для динамического назначения IP-адреса

Влад Макаревич Информационная безопасность
NAT
Network Address Translation

Механизм реализации повторного использования

IP-адреса сетевого домена

Влад Макаревич Информационная безопасность
Влад Макаревич Информационная безопасность
Проблемы
безопасности

IP
Влад Макаревич Информационная безопасность
Угрозы
Спуфинг (подмена
Do
UDP-флу
Smurf-атака

Влад Макаревич Информационная безопасность
Проблемы
Отсутствие шифрования заголовка и данны
Отсутствие возможности конроля изменени
Идентификация по адресу

Влад Макаревич Информационная безопасность
Маршрутизационные
атаки

Влад Макаревич Информационная безопасность
Протоколы
Для выбора пути следования используются маршрутизационные
протоколы, при этом проложенный путь, как правило, симметричен,

то есть ответы получателя идут по тому же пути

Влад Макаревич Информационная безопасность
Путь маршрутизации
Strict source routing – в пакете должны быть указаны ІР-адреса,
через которые он должен пройти, причем в правильном порядк
Loose source routing – в пакете просто указано, через какие адреса

он должен пройти

Влад Макаревич Информационная безопасность
RIP
Routing Information Protocol

Используется для распространения информации о маршрутизации

Влад Макаревич Информационная безопасность
Проблемы
безопасности

ICMP
Влад Макаревич Информационная безопасность
Это что
ICMP (Internet Control Message Protocol) предназначен для передачи
сообщений об ошибках и статусах.

В том числе, ICMP информирует о недоступности получателя (Destination
Unreachable) или требует фрагментации пакета (Fragmentation Needed),
если пакет слишком большой

Влад Макаревич Информационная безопасность
Векторы атак
Destination Unreachabl
DoS из-за «Fragmentation needed DF Set
Source Quench с требованием снизить скорость отправк
Распространение информации о маршруте «обхода»

Влад Макаревич Информационная безопасность
Проблемы
безопасности

ARP
Влад Макаревич Информационная безопасность
Вспомним
Сетевой адаптер не умеет обращаться к логическому адресу,

ему нужен адрес физический

Влад Макаревич Информационная безопасность
ARP
Address Resolution Protocol – протокол, который устанавливает связь
между логическим и физическим адресами.



Для его работы в кэше хранится таблица, которая устанавливает
соответствие между IP- и МАС-адресами

Влад Макаревич Информационная безопасность
Проблемы
безопасности

IPv6
Влад Макаревич Информационная безопасность
Скорость

сканирования
Увеличенное количество адресов усложняет сканирование

в поиске доступных устройств

Влад Макаревич Информационная безопасность
Скорость

сканирования
Увеличенное количество адресов усложняет сканирование

в поиске доступных устройств.

Справедливо только когда необходимо просканировать все адреса

Влад Макаревич Информационная безопасность
Другие проблемы
Расширенный заголово
ICMPv
NDP (Neighbour Discovery Protocol
Одновременное использование с IPv4

Влад Макаревич Информационная безопасность
Проблемы
безопасности

UDP и TCP
Влад Макаревич Информационная безопасность
UDP
UDP — протокол, который не подтверждает получение пакетов

и не проверяет, в правильном ли порядке пакеты получены

Влад Макаревич Информационная безопасность
UDP
UDP — протокол, который не подтверждает получение пакетов

и не проверяет, в правильном ли порядке пакеты получены

Дополнительные пакет
Удаление передаваемых пакето
Невозможно отличить установление связи от самой связи

Влад Макаревич Информационная безопасность
TCP
Перехват соединения

Влад Макаревич Информационная безопасность
DNS

(Domain Name Service)

Влад Макаревич Информационная безопасность
DNS
Служба, которая создает символические адреса

и привязывает их к IP-адресу

Влад Макаревич Информационная безопасность
Домены
Логические части сети иерархически структурируются в домены.

Домены высшего уровня – двухбуквенный код страны или специальныя
комбинация букв: by, ru, com и т.д.

Влад Макаревич Информационная безопасность
Зоны
Reverse-зона – содержит сответствие между IP-адресом

и доменным именем
Forward-зона – управляет упорядочиванием

между доменным именем и IP-адресом

Запрос доменного имени к конкретному IP-адресу

называется Reverse-Lookup
Влад Макаревич Информационная безопасность
Проблемы
Отсутствие мероприятий по проверке соответствия между двумя
базами данны
DNS-спуфинг – подделка соответствия между IP-адресом и доменным
именем
Проблема кэширования – использование уязвимости в системе
кэширования с целью оставить в кеше фальшивие соответствия.

Влад Макаревич Информационная безопасность
NFS

(Network File System)

Влад Макаревич Информационная безопасность
NFS
Протокол доступа к удаленным файловым системам, позволяющий
получить удаленный доступ к файлам, расположенным на сервере.

В мире используются версии 2 и 3, хотя уже в 2009 году появилась
версия 4, которая существенно улучшает безопасность

Влад Макаревич Информационная безопасность
Как это работает
В основе NFS лежит архитектура «клиент — сервер». NFS-сервер
экспортирует часть своего дерева каталогов, а клиенты встраивают ее
в свое локальное дерево каталогов
Можно установить ограничения, какие клиенты могут встраивать себе
часть структуры
После встраивания клиенты обращаются к файлам на сервере как
к локальным.
Влад Макаревич Информационная безопасность
Проблемы структуры

протокола
Встраивание разрешено всегда, если это специально не запрещено
Некоторые версии проверяют только, имеет ли клиент право
встраивания и доступа. Клиент сохраняет право, пока не откажется от
него. Изменение прав на сервере не отключит клиента
Контроль доступа идет через uid клиента, который можно подделать.
Влад Макаревич Информационная безопасность
Проблемы

администрирования
Неограниченный экспорт файловой системы вместе

с корневым каталогом
Экспорт каталогов, в которых все пользователи

имеют право записи.

Влад Макаревич Информационная безопасность
Электронная

почта

Влад Макаревич Информационная безопасность
Подробнее
Электронное письмо состоит из заголовка, в котором содержатся адреса
получателя и отправителя и опции управления, и самого письма.

Передача осуществляется через протокол SMTP (Simple Mail Transfer
Protocol), который основан на принципе «сохранить и переслать».

Влад Макаревич Информационная безопасность
Проблемы
В SMTP нет шифрования, все письма передаются открыто
и в таком виде сохраняются на серверах-посредниках
В SMTP передается много данных о пользователе: адрес,
куда отправить письмо в случае ошибки доставки, когда было
перенаправление и т. д
Так как электронная почта является асинхронной службой,
то нет необходимости немедленной доставки писем получателям
Влад Макаревич Информационная безопасность
File Transfer Protocol

Влад Макаревич Информационная безопасность
FTP
File Transfer Protocol (FTP) – это протокол «клиент – сервер», который
позволяет загрузить данные с сервера или выгрузить на сервер.

Часто используется для доступа к публичным файлам, обычно это
реализуется через анонимный FTP, никакой аутентификации не нужно

Влад Макаревич Информационная безопасность
Проблемы
Любой клиент может получить доступ, поэтому нужно защищать
сервер от записи.
Использование TFTP (Trivial FTP) – службы, основанной на UDP,
которая делает возможным обращение к системе без аутентификации
Передача критической информации, которая может быть
скомпрометирована при неанонимном FTP.

Влад Макаревич Информационная безопасность
Веб-приложения

Влад Макаревич Информационная безопасность
Это что
Веб-приложения делают возможной удобную работу

пользователя и поставщика услуги.

Обычно поставщики предоставляют услуги через веб-сервер.
Приложения создаются на языках PHP, Perl, Python и т.д.
Они выполняются на сервере и зачастую используют данные,
представленные в SQL-таблицах
Влад Макаревич Информационная безопасность
Динамические сайты
Изначально HTML-страницы были статическими. Сейчас они обычно
генерируются динамически, чтобы, например, влиять на содержание
через активные данные клиента.

Для простых приложений используются CGI и Perl, для более сложных
случаев — PHP, Active Server Pages(ASP), Java Server Pages (JSP) и т.д.

Влад Макаревич Информационная безопасность
Слабое место
Слабым местом практически всех языков для написания скриптов
является отсутствие проверки входных и выходных значений,

что может вести к переполнению буфера

Влад Макаревич Информационная безопасность
Что это
Куки (от англ. cookie), позволяет обобщить сбор

информации и эмулировать HTTP-сессию с состоянием.

Это сгенерированная сервером структура данных,

в которой кодируется информация о пользователе

Влад Макаревич Информационная безопасность
Проблема куки
Если пользователь не отказался явно от их получения, то получение
и запрос куки происходит в фоновом режиме, так что пользователя
не информируют о содержании, целях, времени хранения,
возможностях доступа
Нормы требуют, чтобы пользователя предупреждали
об использовании куки, но это происходит не всегда, а если
и происходит, то формально.
Влад Макаревич Информационная безопасность
Проблема куки
Вебсервер-спуфинг, когда враг показывает жертве специально
подготовленный сайт вместо истинного
Враг может манипулировать информацией о состоянии. Для ее
решения необходима новая концепция браузера, не позволяющая
подделывать информацию о состоянии

Влад Макаревич Информационная безопасность
HTML5
HTML5 доступен с 2014 г. Одной из целей разработки новой версии была
поддержка интерактивных и ЗП-приложений без дополнительных
плагинов для браузера.

Например, можно сразу запускать видео и нет необходимости во Flash

Влад Макаревич Информационная безопасность
Локальные файлы
С переходом на HTML5 веб-приложения стали сравнимы
со стандартными приложениями, которые обеспечивают
свою функциональность и в режиме офлайн. Для достижения
этого обеспечивается доступ к локальным файлам.

Главное в концепции HTML5 — возможность локального сохранения
данных, полученных от сервера
Влад Макаревич Информационная безопасность
Что и куда
В SessionStore сохраняется сессионная информация, которая
теряется при перезапуске браузера
В Localstorage информация хранится постоянно, причем она доступна
всем пользователям, работающим на данном компьютере
Databasestorage позволяет сохранять локально целые базы данных.

Влад Макаревич Информационная безопасность
Угрозы
На компьютере могут быть сохранены графические файлы
с противоправным содержанием
Врагу может получить возможность сохранить на компьютере
пользователя вредоносный код
Инъекционная атака (в особенности — SQL-инъекция)
Нарушенная аутентификация
Межсайтовый скриптинг
Утечка информации. Влад Макаревич Информационная безопасность
Все.

Спасибо за внимание!

Влад Макаревич Информационная безопасность