Слайд 13 Типовая корпоративная сеть, понятие уязвимости и атаки Раздел 1 – Тема 2

Слайд 14 DMZ-2 DMZ-1 Типовая корпоративная сеть Внутренние серверы Рабочие места Филиал Мобильные сотрудники РесурсыInternet Пользователи Internet МЭ

Слайд 15 Уровни информационной инфраструктуры ПРИЛОЖЕНИЯ СУБД ОС СЕТЕВЫЕ СЛУЖБЫ ПОЛЬЗОВАТЕЛИ

Слайд 16 Уровни информационной инфраструктуры ПРИЛОЖЕНИЯ СУБД ОС СЕТЕВЫЕ СЛУЖБЫ ПОЛЬЗОВАТЕЛИ TCP/IPNetBEUIIPX/SPX

Слайд 17 Уровни информационной инфраструктуры ПРИЛОЖЕНИЯ СУБД ОС СЕТЕВЫЕ СЛУЖБЫ ПОЛЬЗОВАТЕЛИ

Слайд 18 Уровни информационной инфраструктуры ПРИЛОЖЕНИЯ СУБД ОС СЕТЕВЫЕ СЛУЖБЫ ПОЛЬЗОВАТЕЛИ

Слайд 19 Уровни информационной инфраструктуры ПРИЛОЖЕНИЯ СУБД ОС СЕТЕВЫЕ СЛУЖБЫ ПОЛЬЗОВАТЕЛИ

Слайд 20 Уровни информационной инфраструктуры ПРИЛОЖЕНИЯ СУБД ОС СЕТЕВЫЕ СЛУЖБЫ ПОЛЬЗОВАТЕЛИ

Слайд 21 Классификация уязвимостей и атак Раздел 1 – Тема 3

Слайд 22 Примерный сценарий атаки Сбор информации Получение доступа к наименее защищённому узлу (возможно с минимальными привилегиями) Получение полного контроля над одним из узлов или несколькими Повышение уровня привилегий или использование узла в качестве платформы для исследования других узлов сети

Слайд 23 Этап сбора информации

Слайд 24 WHOIS Search

Слайд 25 ACMETRADE.COM

Слайд 26 Registrant: Acmetrade.com, Inc. (ACMETRADE-DOM) 6600 Peachtree Dunwoody Road Atlanta, GA Domain Name: ACMETRADE.COM Administrative Contact: Vaughn, Danon (ES2394) (678) (FAX) (678) Technical Contact, Zone Contact: Bergman, Bret (ET2324) (678) (FAX) (678) Billing Contact: Fields, Hope (ET3427) (678) (FAX) (678) Record Last updated on 27-Jul-99. Record created on 06-Mar-98. Database last updated on 4-Oct-99 09:09:01 EDT Domain servers in listed order: dns.acmetrade.com www1.acmetrade.com www2.acmetrade.com

Слайд 27

Слайд 28

Слайд 29

Слайд 30 hacker]$ nmap Starting nmap V by ( ) Interesting ports on ( ): (The 1516 ports scanned but not shown below are in state: closed) Port State Service 21/tcp open ftp 25/tcp open smtp 80/tcp open http 135/tcp open loc-srv 139/tcp open netbios-ssn 443/tcp open https 465/tcp open smtps Nmap run completed -- 1 IP address (1 host up) scanned in 1 second hacker]$

Слайд 31 hacker:/export/home/hacker>./rpcscan dns.acmetrade.com cmsd Scanning dns.acmetrade.com for program cmsd is on port hacker:/export/home/hacker>

Слайд 32

Слайд 33

Слайд 34 hacker:/export/home/hacker> id uid=1002(hacker) gid=10(staff) hacker:/export/home/hacker> uname -a SunOS evil.hacker.com 5.6 Generic_ sun4u sparc SUNW,UltraSPARC-IIi-Engine hacker:/export/home/hacker>./cmsd dns.acmetrade.com using source port 53 rtable_create worked Exploit successful. Portshell created on port hacker:/export/home/hacker> Trying Connected to dns.acmetrade.com. Escape character is '^]'. # id uid=0(root) gid=0(root) # uname -a SunOS dns Generic_ sun4m sparc SUNW,SPARCstation-5 # telnet dns.acmetrade.com Этап получения доступа к узлу

Слайд 35 # # nslookup Default Server: dns.acmetrade.com Address: > > ls acmetrade.com Received 15 records. ^D [dns.acmetrade.com] www1.acmetrade.com www2.acmetrade.com margin.acmetrade.com marketorder.acmetrade.com deriv.acmetrade.com deriv1.acmetrade.com bond.acmetrade.com ibd.acmetrade.com fideriv.acmetrade.com backoffice.acmetrade.com wiley.acmetrade.com bugs.acmetrade.com fw.acmetrade.com fw1.acmetrade.com Использование узла в качестве платформы для исследования других узлов сети

Слайд 36 (AcmeTrades Network) UNIX Firewall DNS Server Web Server Filtering Router NT Clients & Workstations Network UNIX NTUNIX rpc.cmsd Схема сети

Слайд 37 Уязвимости и атаки Атака - действие нарушителя, которое приводит к реализации угрозы путем использования уязвимостей информационной системы. Уязвимость - любая характеристика или свойство информационной системы, использование которой нарушителем может привести к реализации угрозы.

Слайд 38 Классификация уязвимостей узлов, протоколов и служб IP - сетей узлов, протоколов и служб IP - сетей

Слайд 39 Классификация уязвимостей по причинам возникновения ошибки проектирования (технологий, протоколов, служб) ошибки реализации (программ) ошибки эксплуатации (неправильная настройка, неиспользуемые сетевые службы, слабые пароли)

Слайд 40 Классификация по уровню в информационной инфраструктуре Уровень сети Уровень операционной системы Уровень баз данных Уровень персонала Уровень приложений

Слайд 41 Высокий Высокий уровень риска Средний Средний уровень риска Низкий Низкий уровень риска Классификация уязвимостей по уровню (степени) риска Уязвимости, позволяющие атакующему получить непосредственный доступ у узлу с правами суперпользователя Уязвимости, позволяющие атакующему получить доступ к информации, которая с высокой степенью вероятности позволит в последствии получить доступ к узлу Уязвимости, позволяющие злоумышленнику осуществлять сбор критичной информации о системе

Слайд 42 Источники информации о новых уязвимостях о новых уязвимостях - координационный центр CERT/CC - база данных компании ISS llnl.ciac.gov - центр CIAC - российский CERT/CC

Слайд 43

Слайд 44 Примеры уязвимостей Уровень: Уровень: сеть Степень риска: Степень риска: средняя Источник возникновения: Источник возникновения: ошибки реализации Описание Описание: посылка большого числа одинаковых фрагментов IP-дейтаграммы приводит к недоступности узла на время атаки Название: Название: ip-fragment-reassembly-dos

Слайд 45 Уровень: Уровень: ОС Степень риска: Степень риска: высокая Источник возникновения: Источник возникновения: ошибки реализации Название: Название: nt-getadmin-present Описание Описание: проблема одной из функций ядра ОС Windows NT, позволяющая злоумышленнику получить привилегии администратора Примеры уязвимостей

Слайд 46 Уровень: Уровень: СУБД Степень риска: Степень риска: низкая Источник возникновения: Источник возникновения: ошибки реализации Название: Название: mssql-remote-access-option Описание Описание: уязвимость в реализации возможности подключения со стороны других SQL-серверов Примеры уязвимостей

Слайд 47 Уровень: Уровень: приложения Степень риска: Степень риска: средняя Источник возникновения: Источник возникновения: ошибки реализации Название: Название: iis-url-extension-data-dos Описание Описание: посылка большого числа некорректно построенных запросов приводит к повышенному расходу ресурсов процессора Примеры уязвимостей

Слайд 48 Уровень: Уровень: приложения Степень риска: Степень риска: средняя Источник возникновения: Источник возникновения: ошибки реализации Название: Название: win-udp-dos Описание Описание: OC Windows 2000 и Windows 98 уязвимы к атаке «отказ в обслуживании», вызываемой исчерпанием всех UDP-сокетов Примеры уязвимостей

Слайд 49 Уровень: Уровень: Персонал Степень риска: Степень риска: высокая Источник возникновения: Источник возникновения: ошибки обслуживания Название: Название: win95-back-orifice Описание Описание: узел заражён серверной частью троянского коня, позволяющей установить полный контроль над узлом Примеры уязвимостей

Слайд 50 Единая система наименований для уязвимостей Стандартное описание для каждой уязвимости Обеспечение совместимости баз данных уязвимостей

Слайд 51 CAN CVE Кандидат CVE Индекс CVE

Слайд 52 Ситуация без CVE ISS RealSecure CERT Advisory Cisco Database Axent NetRecon land attack (spoofed SYN) Impossible IP Packet Bugtrag CA Teardrop_Land Land NT4-SP3and 95 [latierra.c] Уязвимость Land IP denial of service

Слайд 53 Поддержка CVE CVE Land IP denial of service CVE CERT Advisory Bugtrag ISS RealSecure Cisco Database Axent NetRecon

Слайд 54 CVE entry CVE Arbitrary command execution via IMAP buffer overflow in authenticate command. Reference: CERT:CA imapd Reference: SUN:00177 Reference: BID:130 Reference: XF:imap-authenticate-bo Номер Описание Ссылки

Слайд 55 Классификация атак в IP- сетях

Слайд 56 Классификация атак по целям Нарушение нормального функционирования Нарушение нормального функционирования объекта атаки (отказ в обслуживании) объекта атаки (отказ в обслуживании) Получение конфиденциальной информации Получение конфиденциальной информации Модификация или фальсификация Модификация или фальсификация критичных данных критичных данных Получение полного контроля над Получение полного контроля над объектом атаки объектом атаки

Слайд 57 Классификация атак по местонахождению атакующего и объекта атаки Атакующий и объект атаки находятся в одном сегменте Атакующий и объект атаки находятся в разных сегментах Маршру- тизатор

Слайд 58 Классификация атак по механизмам реализации Пассивное прослушивание

Слайд 59 DMZ-2 DMZ-1 Пассивное прослушивание Внутренние серверы МЭ

Слайд 60 Классификация атак по механизмам реализации Подозрительная активность (разведка) Пассивное прослушивание

Слайд 61 DMZ-2 DMZ-1 Подозрительная активность Внутренние серверы Рабочие места МЭ # nmap

Слайд 62 Классификация атак по механизмам реализации Подозрительная активность (разведка) Бесполезное расходование вычислительных ресурсов (перегрузка) Пассивное прослушивание

Слайд 63 DMZ-2 DMZ-1 Перегрузка Перегрузка Внутренние серверы Рабочие места МЭ #./ neptun

Слайд 64 Классификация атак по механизмам реализации Подозрительная активность (разведка) Бесполезное расходование вычислительных ресурсов (перегрузка) Нарушение навигации (ложный маршрут) Пассивное прослушивание

Слайд 65 DMZ-2 DMZ-1 Нарушение навигации Внутренние серверы Рабочие места РесурсыInternet МЭ DNSсервер

Слайд 66 Классификация атак по механизмам реализации Провоцирование отказа объекта (компонента) Подозрительная активность (разведка) Бесполезное расходование вычислительных ресурсов (перегрузка) Нарушение навигации (ложный маршрут) Пассивное прослушивание

Слайд 67 DMZ-2 DMZ-1 Провоцирование отказа Внутренние серверы Рабочие места МЭ # nuke

Слайд 68 Классификация атак по механизмам реализации Провоцирование отказа объекта (компонента) Подозрительная активность (разведка) Запуск кода (программы) на объекте атаки Бесполезное расходование вычислительных ресурсов (перегрузка) Нарушение навигации (ложный маршрут) Пассивное прослушивание

Слайд 69 DMZ-2 DMZ-1 Запуск кода Внутренние серверы Рабочие места МЭ # exploit

Слайд 70 Классификация атак по механизмам реализации Провоцирование отказа объекта (компонента) Подозрительная активность (разведка) Запуск кода (программы) на объекте атаки Бесполезное расходование вычислительных ресурсов (перегрузка) Нарушение навигации (ложный маршрут) Пассивное прослушивание

Слайд 71 Статистика по уязвимостям и атакам Источник: SANS Версия Май 2, 2002

Слайд 72 Часто используемые уязвимости 2. Слабые пароли (системная политика) 3. Отсутствие механизма резервирования системы 4. Работающие, но не используемые сетевые службы 5. Отсутствие защиты от IP-спуфинга на пакетных фильтрах 6. Отсутствие процедуры аудита 7. Уязвимости CGI-программ 1. Установленные «по умолчанию» ОС и приложения