Сніф, Снаф, Sniffer або захоплення та аналіз трафіку

Про проблеми захисту комп'ютерних мереж від несанкціонованого доступу завжди охоче писали комп'ютерні видання та багато говорили фахівці. Особливо актуальною ця тема ставала всякий раз, коли черговий хакер проникав в комп'ютерні системи Пентагону, NASA або великого банку. Але, на мій погляд, набагато цікавіше те, що відбувається у рідного порогу, тобто як російські мережі справляються з аналогічними проблемами. Однією з численних спроб несанкціонованого доступу до комп'ютерів російського сектора Internet присвячена ця стаття.
В одному з доповідей Міністерства оборони США ( "Information security - computer attacks at department of defence pose increasing risks"), складених за запитом Конгресу, відзначалося, що останнім часом число атак на комп'ютери збройних сил збільшилося: 250 тис. атак в 1995 році , що у два рази перевищило показники 1994 року. У тому ж доповіді зазначається, що, незважаючи на всі засоби захисту, що існують у мережі, тільки одна з 150 атак надійно виявляється.
Серед основних засобів, якими користуються атакующие, програма обміну електронною поштою Sendmail, підбір паролів і сканування трафіку. Останній спосіб особливо неприємний, тому що від нього можна захищатися тільки шифруванням.
Треба сказати, що проблема захисту від сканування далеко не нова. З часів початку роботи над проектом Athena Массачусетського технологічного інституту, результатом якого стала система "Керберос", однією з основних задач систем захисту інформаційного обміну в громадської мережі стала захист від захоплення та аналізу пакетів.
Поки ви спали ...
До останнього часу в російському секторі Internet хоча й знали, що така проблема існує, а провайдери та самі користувалися скануванням, серйозних кроків по захисту від сканування не робити, тобто не висувалися вимога тотальної захисту (як це має місце у всіх зарубіжних комерційних та урядових мережах). Незважаючи на те що Relcom першої продемонструвала в 1991 році можливості безконтрольного (з боку держави) поширення інформації через Internet, ні Demos, ні AO Relcom не ставили перед собою завдання суцільного захисту своїх внутрішніх мереж від атаки ззовні за допомогою засобів перегляду змісту IP-пакетів. Треба сказати, що досить тривалий час така практика себе виправдовувала. Серйозних порушень в роботі мережі не відбувалося, а атаки на шлюзи і локальні підмережі успішно відбивалися системами фільтрації трафіку. Але до осені 1996 року ситуація змінилася. І, головним чином, через впровадження системи доступу до мережі по Dial-IP. Тепер в мережі з'явилося безліч випадкових людей. Крім того, впровадження Internet в багатьох московських вузах призвело до того, що в ряди користувачів Мережі влилось чимало студентів. При цьому слід відзначити, що доступ з академічних та навчальних закладів в Internet здебільшого залишається безкоштовним для користувачів таких установ, а це значить, що ресурсами мережі можна користуватися цілодобово, не турбуючись про те, скільки у тебе в кишені грошей. Люди, як відомо, люблять підглядати і подглядывать. Ну а якщо займатися цим скільки душі завгодно, та ще й безкарно, то імовірність появи цікавих різко зростає.
До осені 1996 року число зареєстрованих користувачів Dial-IP склало кілька тисяч чоловік тільки в AO Relcom; Sovam Teleport почав надавати такий доступ на півроку раніше (з осені 1995), отже там користувачів повинно бути ще більше. Крім того, багато університети, навчальні заклади та науково-дослідні організації для своїх співробітників створили модемні пули. Природно, що адміністратори підмереж або їхні близькі друзі також не могли не скористатися можливістю працювати вдома. Виходячи з цього можна припустити, що тільки в Москві число користувачів Dial-IP становить кілька десятків тисяч чоловік. Совершенно очевидно, що серед такої кількості людей обов'язково знайдеться хтось, що присвятив весь свій вільний час дослідження мережі, тим більше, що слава всемогутній хакерів, зламували комп'ютери Пентагону, багатьом не дає спати спокійно.
Грізне попередження
Наприкінці вересня 1996 року пролунав перший тривожний дзвінок. При аналізі статистики відвідувань сервера одного з московських провайдерів адміністратором у журналі програми фільтрації трафіку була зареєстрована чергова спроба несанкціонованого доступу по реально існуючому ідентифікатором та паролем. З огляду на те, що таких спроб відбувається досить багато, потрібно віддати належне адміністратору системи, який виявився людиною допитливим і став з'ясовувати, хто і звідки намагався проникнути в систему. Картина, що виникла в результаті двотижневого вивчення файлів звітів статистики доступу до основних компьютерам центрів управління російськими мережами, виявилася досить удручающей. На багатьох машинах були виявлені відвідування в режимі привілейованих користувачів з адрес, які не асоціювалися з жодним з тих осіб, яким такий доступ був дозволений. Виявилися списки ідентифікаторів і паролів, інструмент, яким користувалися зломщики, звіти цієї програми - їх зловмисники зберігали на комп'ютерах за межами російської частини Internet. У колекції паролів і ідентифікаторів користувачів, в тому числі і привілейованих тільки за російський частині Internet, їх налічується до кількох тисяч.
Визначити, хто і звідки коллекціоніровал інформацію, не представляло великої праці. Складніше було вирішити питання, що, власне, в цьому випадку слід робити. Адже подібного прецеденту в практиці російського Internet-спільноти ще не було. По-перше, звичайно, треба було захищатися. Засоби захисту добре відомі - це фільтрація трафіку і шифрація обмінів. Благо в даний час Гостехкоміссіей видано більше сотні ліцензій на можливість проведення такого сорту заходів і сертифіковане як апаратне, так і програмне забезпечення. Ліцензії мають, наприклад, такі компанії як, "Анкей", "Елвіс +", "Конфідент", "Релком-Альфа", і ряд інших. Але пасивна оборона - це ще не все, хотілося, крім того, і покарати наглецов. А ось це виявилося зробити складніше. В принципі по новому російському законодавству з січня 1997 року передбачено покарання аж до позбавлення волі на строк до семи років за комп'ютерні злочини. Однак ведення слідчих заходів, передача справи до суду і т.п. не входять у компетенцію провайдерів та можуть зайняти багато часу. Коротше кажучи, прецедентів что-то пока не спостерігалося. Тому було прийнято рішення зафільтровать сітки, з яких здійснювався початковий вхід в мережу при взломе.
До чого привела ця практика, відчули на собі багато користувачів Мережі. На перший погляд, ніби нічого страшного, ну не пускають тебе до вітчизняних інформаційних ресурсів, а ми, що називається, і не хотіли. Будемо ходити на Захід. Але не тут-то було. Справа в тому, що до вітчизняних інформаційних сервісів відноситься і служба DNS. DNS обслуговує запити на отримання по доменного імені машини її IP-адреси. Кожен домен має кілька серверів, які можуть задовольнити запит користувача, але тільки один з них є головним. Всі інші сервери час від часу звіряють інформацію в своїй базі даних з інформацією в базі даних головного сервера. При фільтрації звичайно закривають порти TCP. Це означає, що відповідати на запити, які використовують 53 порт UDP, сервер буде, а от здійснити копіювання опису зони, що виробляється по 53 порту TCP, на дублюючий сервер, міжмережевий фільтр не дасть. Як результат, дублюючі сервери будуть відмовляти в обслуговуванні, доступ до ресурсів, з-за неможливості отримати за прийнятний час IP-адресу, буде утруднений. В результаті звертатися до такого інформаційного ресурсу, як World Wide Web, стає дуже важко. Що ж говорити про доступ до вітчизняних ресурсів. Адже "не видно" не тільки тих, хто сховався за "стінами", але й тих, хто розмістив там сервери DNS. Особливо пікантною стає ситуація, коли в захищену зону потрапить Root-DNS-сервер для доменів SU і RU.
Зрозуміло, що система рано чи пізно стабілізується. Звернення будуть направлятися тільки до "живим" серверів. Але, як показала практика, на це йде близько двох тижнів. Очевидно, що для того, щоб уникнути подібних "струсів", провайдери, до яких у даному випадку відносяться і некомерційні мережі, повинні разом домовитися про загальні принципи політики безпеки, в іншому випадку ситуація буде повторюватися постійно, але з набагато більш серйозними наслідками для всіх зацікавлених сторін. Попутно хотілося би зауважити, що всякі розмови про проблеми з сервером InfoArt (коли, як стверджувалося, було підміну зміст бази даних служби доменних імен) можуть бути наслідком усього вищевикладеного. Хоча такий збіг подій за часом може виявитися і простий випадковістю.
Пилососи Internet
Після такого довгого вступу давайте поговоримо все ж таки про те засобі, яким скористалися зловмисники. Програми, що дозволяють захоплювати пакети через мережу, називаються sniffers (буквально - "нюхачі", але мені здається, краще назвати їх "пилесосамі", так як, хоча є й інтелектуальні програми, які з усіх пакетів обирають тільки те, що потрібно, більшість з них "сосет" все підряд. Перші такі програми використовували топологію мереж Ethernet. У звичайному режимі плата Ethernet приймає тільки ті фрейми, які їй призначені, тобто зазначені в заголовку фрейма. Однак з метою налагодження багато картки можна змусити працювати в режимі " пилососа ", тоді вони будуть приймати всі фрейми, які передаються по кабелю. Такий режим роботи картки називається promiscuous mode. Якщо можна роздобути пакет в машину, то, отже, його можна проаналізувати. Головна проблема, пов'язана з" нюхачамі ", полягає в тому , щоб вони встигали переробляти весь трафік, який проходить через інтерфейс. Код однієї з досить ефективних програм цього типу (Esniff) був опублікований в журналі Phrack. Esniff призначена для роботи в SunOS. Програма дуже компактна і захоплює тільки перші 300 байт заголовка, що цілком достатньо для отримання ідентифікатора і пароля Telnet-сесії. Програма вільно поширюється по мережі, і кожен бажаючий може "срісовать" її за адресою: ftp://coombs.anu.edu.au/pub/net/log. Існують і інші програми цього типу, і не тільки для платформ Sun. Це Gobler, ethdump, ethload для MS-DOS або Paketman, Interman, Etherman, Loadman - для цілого ряду платформ, які включають в себе і Alpha, MIPS і ін "Нюхачі" існують не тільки для Ethernet. Багато компаній випускають системи аналізу трафіку і для високошвидкісних ліній передачі даних. Достатньо зайти на домашню сторінку AltaVista і запустити запит, що складається з одного слова sniffer, як ви одразу отримаєте цілий список сторінок на цю тему. Краще, правда, використовувати "sniffer AND security ", тому що система може зрозуміти вас буквально і викласти інформацію і про органи дихання. При цьому слід підкреслити, що проблема" підглядання "це не тільки проблема мереж TCP / IP. Існують аналізатори будь-яких протоколів, просто TCP / IP -- це Internet.
Захищайте!
Коли писалися програми аналізу трафіку, передбачалося, що користуватися ними будуть професіонали, які відповідають за надійність роботи мережі. Однак, як це часто буває, система виявилася обосічний. Як же боротися з непрошенными гостями? По-перше, якщо система багатокористувальницька, то за допомогою команди ifconfig можна побачити інтерфейс, що працює в режимі "пилососи". Серед прапорів з'являється значення PROMISC. Однак зловмисник може підмінити команду ifconfig, щоб вона не показувала цей режим роботи. Тому спочатку слід переконатися в тому, що програма та сама, яка була спочатку, а потім її необхідно протестувати. Виявити "пилосос" на інших машинах мережі не можна, особливо це стосується машин з MS-DOS. Тому захищаються від сканування шляхом установки міжмережевих фільтрів і введення механізму шифрування або всього трафіку, або тільки ідентифікаторів і паролів.
Існують і апаратні засоби захисту. Ряд мережних адаптерів не підтримує режим promiscuous mode. Якщо ці карти використовувати для організації локальної мережі, то можна убезпечити себе від "підглядання".
Для того щоб "подглядывать", зовсім не обов'язково включати режим ухвалення всіх пакетів. Якщо запустити програму аналізу пакетів на шлюзі, то вся інформація також буде доступна, тому що шлюз перепускает через себе всі пакети в / з локальної мережі, для якої він виконує функції маршрутизатора.
На жаль, для користування sniffer не треба мати семи пядей во лбу, не потрібен диплом про вищу освіту, та й взагалі, запустити програму і скористатися результатами її роботи може немовля. То, что кто-то зміг зібрати колекцію чужих паролів і ідентифікаторів, зовсім не свідчення його розуму або професійної придатності. У нашому конкретному випадку програма аналізу дамп, якою користувався хакер, була досить малоефективна (близько 2%). У Мережі існують засоби і получше. Усім нам, користувачам російського Internet, слід пам'ятати, що єдиним наслідком продовження атак на комп'ютери NOC стане неминуче жорсткість правил роботи в Мережі, а це навряд чи кого-то обрадує.

Владимир Шевяков
http://wwarlord.livejournal.com/
ЖЖ Владимира Шевякова