Презентация "Типовая корпоративная сеть" по информатике – проект, доклад

Типовая корпоративная сеть, понятие уязвимости и атаки

Раздел 1 – Тема 2

Типовая корпоративная сеть

Внутренние серверы

Рабочие места МЭ

Уровни информационной инфраструктуры

TCP/IP NetBEUI IPX/SPX

Office 2000

Классификация уязвимостей и атак

Раздел 1 – Тема 3

Примерный сценарий атаки

Сбор информации

Получение доступа к наименее защищённому узлу (возможно с минимальными привилегиями)

Получение полного контроля над одним из узлов или несколькими

Повышение уровня привилегий или использование узла в качестве платформы для исследования других узлов сети

Этап сбора информации

ACMETRADE.COM

Registrant: Acmetrade.com, Inc. (ACMETRADE-DOM) 6600 Peachtree Dunwoody Road Atlanta, GA 30338 Domain Name: ACMETRADE.COM Administrative Contact: Vaughn, Danon (ES2394) dvaughn@ACMETRADE.COM (678)443-6000 (FAX) (678) 443-6476 Technical Contact, Zone Contact: Bergman, Bret (ET2324) bbergman@ACMETRADE.COM (678)443-6100 (FAX) (678) 443-6208 Billing Contact: Fields, Hope (ET3427) hfields@ACMETRADE.COM (678)443-6101 (FAX) (678) 443-6401 Record Last updated on 27-Jul-99. Record created on 06-Mar-98. Database last updated on 4-Oct-99 09:09:01 EDT Domain servers in listed order: dns.acmetrade.com 208.21.2.67 www.acmetrade.com 208.21.2.10 www1.acmetrade.com 208.21.2.12 www2.acmetrade.com 208.21.2.103

http://www.networksolutions.com/cgi-bin/whois/whois/?STRING=acmetrade.com

[hacker@linux131 hacker]$ nmap 200.0.0.143 Starting nmap V. 2.53 by fyodor@insecure.org ( www.insecure.org/nmap/ ) Interesting ports on (200.0.0.143): (The 1516 ports scanned but not shown below are in state: closed) Port State Service 21/tcp open ftp 25/tcp open smtp 80/tcp open http 135/tcp open loc-srv 139/tcp open netbios-ssn 443/tcp open https 465/tcp open smtps Nmap run completed -- 1 IP address (1 host up) scanned in 1 second [hacker@linux131 hacker]$

hacker:/export/home/hacker> ./rpcscan dns.acmetrade.com cmsd

Scanning dns.acmetrade.com for program 100068 cmsd is on port 33505

id uid=1002(hacker) gid=10(staff) uname -a

SunOS evil.hacker.com 5.6 Generic_105181-05 sun4u sparc SUNW,UltraSPARC-IIi-Engine

./cmsd dns.acmetrade.com

using source port 53 rtable_create worked Exploit successful. Portshell created on port 33505

Trying 208.21.2.67... Connected to dns.acmetrade.com. Escape character is '^]'.

uid=0(root) gid=0(root)

SunOS dns 5.5.1 Generic_103640-24 sun4m sparc SUNW,SPARCstation-5

telnet dns.acmetrade.com 33505

Этап получения доступа к узлу

nslookup

Default Server: dns.acmetrade.com Address: 208.21.2.67

> ls acmetrade.com Received 15 records. ^D [dns.acmetrade.com]

www.acmetrade.com 208.21.2.10 www1.acmetrade.com 208.21.2.12 www2.acmetrade.com 208.21.2.103 margin.acmetrade.com 208.21.4.10 marketorder.acmetrade.com 208.21.2.62 deriv.acmetrade.com 208.21.2.25 deriv1.acmetrade.com 208.21.2.13 bond.acmetrade.com 208.21.2.33 ibd.acmetrade.com 208.21.2.27 fideriv.acmetrade.com 208.21.4.42 backoffice.acmetrade.com 208.21.4.45 wiley.acmetrade.com 208.21.2.29 bugs.acmetrade.com 208.21.2.89 fw.acmetrade.com 208.21.2.94 fw1.acmetrade.com 208.21.2.21

Использование узла в качестве платформы для исследования других узлов сети

(AcmeTrade’s Network) UNIX Firewall DNS Server Web Server Filtering Router NT Clients & Workstations Network UNIX rpc.cmsd Схема сети

Уязвимости и атаки

Атака - действие нарушителя, которое приводит к реализации угрозы путем использования уязвимостей информационной системы.

Уязвимость - любая характеристика или свойство информационной системы, использование которой нарушителем может привести к реализации угрозы.

Классификация уязвимостей узлов, протоколов и служб IP - сетей

Классификация уязвимостей по причинам возникновения

ошибки проектирования (технологий, протоколов, служб) ошибки реализации (программ) ошибки эксплуатации (неправильная настройка, неиспользуемые сетевые службы, слабые пароли)

Классификация по уровню в информационной инфраструктуре

Уровень сети

Уровень операционной системы

Уровень баз данных

Уровень персонала

Уровень приложений

Высокий уровень риска

Средний уровень риска

Низкий уровень риска

Классификация уязвимостей по уровню (степени) риска

Уязвимости, позволяющие атакующему получить непосредственный доступ у узлу с правами суперпользователя

Уязвимости, позволяющие атакующему получить доступ к информации, которая с высокой степенью вероятности позволит в последствии получить доступ к узлу

Уязвимости, позволяющие злоумышленнику осуществлять сбор критичной информации о системе

Источники информации о новых уязвимостях

www.cert.org - координационный центр CERT/CC

www.iss.net/xforce - база данных компании ISS

llnl.ciac.gov - центр CIAC

www.cert.ru - российский CERT/CC

www.securityfocus.com

www.iss.net/xforce

Примеры уязвимостей

Уровень: сеть

Степень риска: средняя

Источник возникновения: ошибки реализации

Описание: посылка большого числа одинаковых фрагментов IP-датаграммы приводит к недоступности узла на время атаки

Уровень: ОС

Степень риска: высокая

Описание: проблема одной из функций ядра ОС Windows NT, позволяющая злоумышленнику получить привилегии администратора

Уровень: СУБД

Степень риска: низкая

Описание: уязвимость в реализации возможности подключения со стороны других SQL-серверов

Уровень: приложения

Описание: посылка большого числа некорректно построенных запросов приводит к повышенному расходу ресурсов процессора

Описание: OC Windows 2000 и Windows 98 уязвимы к атаке «отказ в обслуживании», вызываемой исчерпанием всех UDP-сокетов

Уровень: Персонал

Источник возникновения: ошибки обслуживания

Описание: узел заражён серверной частью троянского коня, позволяющей установить полный контроль над узлом

http://cve.mitre.org/cve

Единая система наименований для уязвимостей

Стандартное описание для каждой уязвимости

Обеспечение совместимости баз данных уязвимостей

CAN-1999-0067 CVE-1999-0067 Кандидат CVE Индекс CVE

Ситуация без CVE ISS RealSecure CERT Advisory Cisco Database Axent NetRecon land attack (spoofed SYN) Impossible IP Packet Bugtrag CA-97.28.Teardrop_Land Land NT4-SP3and 95 [latierra.c]

Уязвимость Land IP denial of service

Поддержка CVE

CVE-1999-0016 Land IP denial of service

CVE

CVE entry

CVE-1999-0005 Arbitrary command execution via IMAP buffer overflow in authenticate command. Reference: CERT:CA-98.09.imapd Reference: SUN:00177 Reference: BID:130 Reference: XF:imap-authenticate-bo

Номер Описание Ссылки

Классификация атак в IP- сетях

Классификация атак по целям

Нарушение нормального функционирования объекта атаки (отказ в обслуживании)

Получение конфиденциальной информации

Модификация или фальсификация критичных данных

Получение полного контроля над объектом атаки

Классификация атак по местонахождению атакующего и объекта атаки

Атакующий и объект атаки находятся в одном сегменте

Атакующий и объект атаки находятся в разных сегментах

Маршру-тизатор

Классификация атак по механизмам реализации

Пассивное прослушивание

DMZ-1

Подозрительная активность (разведка)

Подозрительная активность

# nmap www.company.com

Бесполезное расходование вычислительных ресурсов (перегрузка)

Перегрузка # ./neptun www.company.com

Нарушение навигации (ложный маршрут)

Нарушение навигации

DNS сервер

Провоцирование отказа объекта (компонента)

Провоцирование отказа

# nuke www.company.com

Запуск кода (программы) на объекте атаки

Запуск кода # exploit www.company.com

Статистика по уязвимостям и атакам

Источник: SANS

Версия 2.504 Май 2, 2002

Часто используемые уязвимости

2. Слабые пароли (системная политика)

3. Отсутствие механизма резервирования системы

4. Работающие, но не используемые сетевые службы

5. Отсутствие защиты от IP-спуфинга на пакетных фильтрах

6. Отсутствие процедуры аудита

7. Уязвимости CGI-программ

1. Установленные «по умолчанию» ОС и приложения