Прикладные службы
Клиент Сервер Протокол обмена TELNET FTP HTTP Реализация служб прикладного уровня
Клиент Сервер Команды Ответы Реализация службы FTP Интерфейс пользователя Модуль управления передачей Модуль передачи данных Данные Модуль управления передачей Модуль передачи данных
telnet Resolver - ? DNS Server DNS - служба
Домены и поддомены « » orgedu com company sale buhg Root Name Server company.com Name Server sale.company.com Name Server
Записи Resource Record main.sale.company.com. IN A sale sale.company.com Name Server sale.company.com. IN NS ns.sale.company.com
Разрешение имён ResolverResolver main.sale.company.com - ? com Name Server Root Server company.com NS sale.company.com NS
Применение транспортного протокола без установления соединения (UDP) Отсутствие идентификации и аутентификации Отсутствие средств разграничения доступа Уязвимости службы DNS
Пример атаки на IP - сеть: Атака на DNS Нарушение нормального функционирования объекта атаки Местонахождение атакующего В одном сегменте с объектом атаки Используемые уязвимости Цель Слабая защищённость протокола DNS - - недостаток проектирования Степень риска Высока я Нарушение навигации (ложный маршрут) Механизм реализации
Схема работы DNS - протокола DNS-сервер Хост А IP - адрес ID Имя компьютера SourcePort DNS-запрос DNS-ответ ID - генерируется приложением, пославшим запрос, обычно=1 SourcePort вначале принимает значение 1024 а потом увеличивается Пример атаки на IP - сеть: Атака на DNS
DNS-сервер Хост А ID Имя компьютера SourcePort DNS-запрос Хост А посылает DNS - запрос Хакер должен находиться в одной подсети с А или водной подсети с DNS - сервером Это позволит ему перехватить пакет с запросом Пример атаки на IP - сеть: Атака на DNS
DNS-сервер Хост А DNS-запрос Хакер извлекает из запроса ID и SourcePort Ложный DNS - ответ: от имени настоящего DNS - сервера, но в качестве IP - адреса искомого узла указывается IP - адрес хакера Результат: хост А имеет неправильное соответствие между именем компьютера и IP - адресом Пример атаки на IP - сеть: Атака на DNS
Хост А Узел сети Теперь путь пакета от хоста А до узла сети будет лежать через хост хакера Пример атаки на IP - сеть: Атака на DNS
Пример атаки на IP - сеть: Атака на DNS (вариант 2) Нарушение нормального функционирования объекта атаки Местонахождение атакующего В разных сегментах с объектом атаки Используемые уязвимости Цель Слабая защищённость протокола DNS - - недостаток проектирования Степень риска Высока я Нарушение навигации (ложный маршрут) Механизм реализации
DNS-сервер Хост А ID IP - адрес DestPort Ложные DNS - ответы Перебор Пример атаки на IP - сеть: Атака на DNS (вариант 2)
DNS-сервер Хост А Ложные DNS - ответы Пример атаки на IP - сеть: Атака на DNS (вариант 2)
Хост А Узел сети Теперь путь пакета от хоста А до узла сети будет лежать через хост хакера Пример атаки на IP - сеть: Атака на DNS (вариант 2)
DNS-сервер ertr.mpei.ac.ru. Кэш - таблица DNS-сервер следующего уровня DNS-запрос DNS-ответ Пример атаки на IP - сеть: Атака на DNS (вариант 3)
DNS-сервер ertr.mpei.ac.ru. Кэш - таблица DNS-сервер следующего уровня DNS-запрос Ложные DNS - ответы Пример атаки на IP - сеть: Атака на DNS (вариант 3)
DNS-сервер ertr.mpei.ac.ru. Кэш - таблица Хост А DNS-запрос DNS-ответ Пример атаки на IP - сеть: Атака на DNS (вариант 3)
DNS в корпоративной сети Внешний узел Вторичный сервер Внутренний узел Первичный сервер Репликация Рекурсивный запрос Рекурсивные запросы Итеративные запросы DNS
DNS в корпоративной сети Доступ узлов корпоративной сети к полной информации о внутренних именах Доступ отдельных узлов корпоративной сети к глобальному пространству имён Internet Доступ внешних узлов к минимально необходимой информации о внутренних именах
Двухсерверная конфигурация Внешний узел Вторичный сервер Внутренний узел Первичный сервер (минимальная версия) Репликация Рекурсивный запрос Рекурсивный запрос Итеративные запросы Межсетевой экран Первичный сервер (полная версия) DNS
Трехсерверная конфигурация Внешний узел Вторичный сервер (минимальная версия) Внутренний узел (с Internet) Первичный сервер (минимальная версия) Репликация Рекурсивный запрос Рекурсивный запрос Итеративные запросы Межсетевой экран Первичный сервер (полная версия+корень) DNS Вторичный сервер (полная версия) Внутренний узел (без Internet)
Трёхсерверная конфигурация Первичный сервер (минимальная версия) Межсетевой экран Первичный сервер (полная версия) +корень DNS Вторичный сервер (полная версия) Internet
Протокол DNSSec Механизм распределения открытых ключей Целостность и аутентичность информации DNS Аутентификация транзакции
Новые записи Resource Record main.sale.company.com. IN A sale.company.com. IN NS ns.sale.company.com sale.company.com. IN KEY [ключ] sale.company.com. IN SIG [подпись] sale.company.com. IN NXT [домен]
Обычный DNS-запрос qname=main.sale.company.com qtype=A main.sale.company.com A Владелец sale.company.com NS ns.sale.company.com Дополнительно ns.sale.company.com A Запрос Ответ
Запрос DNSSec qname=main.sale.company.com qtype=A Вопрос main.sale.company.com A ? main.sale.company.com A main.sale.company.com SIG [подпись] Владелец sale.company.com NS ns.sale.company.com sale.company.com SIG [подпись] Дополнительно ns.sale.company.com A ns.sale.company.com SIG [подпись] sale.company.com KEY [ключ] main.sale.company.com KEY [ключ] ns.sale.company.com KEY [ключ] Запрос Ответ
Реализация WWW-службы ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Клиент (WEB-броузер) HTTP-cервер Протокол обмена HTTP/1.0 HTTP/1.1
Корпоративный WWW-сервер ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ WWWсервер Внутренние сервера Рабочие места Центральный офис Маршру- тизатор МСЭ
Пример уязвимости WWW-клиента ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Клиент (WEB-броузер) Hacker s Web site C:\…\StartUp\ RunMe.hta
Пример уязвимости протокола HTTP ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ HTTP - запросы НТТР-пакеты большого размера С разных IP-адресов
Уязвимости WWW-серверов ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Уязвимости программной реализации (ошибки кода) Уязвимости программной реализации (ошибки кода) Уязвимости информационного наполнения Уязвимости информационного наполнения Ошибки обслуживания (настройки) Ошибки обслуживания (настройки)
Нарушение нормального функционирования объекта атаки Местонахождение атакующего В разных сегментах с объектом атаки Используемые уязвимости Цель Ошибка в реализации MS Internet Information Server Степень риска Бесполезное расходование вычислительного ресурса (посылка некорректных HTTP-запросов) Механизм реализации Средняя ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Отказ в обслуживании «IIS_DoS»
ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ HACKER IIS Windows NT Server Внутренняя сеть HTTP - запросы Отказ в обслуживании «IIS_DoS» C:\ HackTools \ iisdos.exe
Ошибка обработки имён CGI - скриптов ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Получение контроля над объектом атаки Местонахождение атакующего В разных сегментах с объектом атаки Используемые уязвимости Цель Ошибка в реализации MS Internet Information Server Степень риска Запуск кода на объекте атаки Механизм реализации Средняя
Ошибка обработки имён CGI - скриптов ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Описание уязвимости Опубликовано на сайте: NSFOCUS INFORMATION TECHNOLOGY CO.,LTD ( CVE: CAN HTTP C:\dir
Ошибка обработки имён HTR - файлов ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Описание уязвимости HTTP Содержимое файла test.bat
Получение контроля над объектом атаки Местонахождение атакующего В разных сегментах с объектом атаки Используемые уязвимости Цель Ошибки проектирования и реализации активных компонентов приложений Степень риска Запуск кода на объекте атаки (во время посещения Web-сайтов злоумышленников) Механизм реализации Высокая ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Использование мобильного кода (Java, Active X …)
ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ HACKER Внутренняя сеть HTTP Использование мобильного кода (Java, Active X …)
ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ HACKER Внутренняя сеть Запуск CGI – скрипта (PERL) Запуск кода на объекте атаки (внедрение «Троянца») FTP
ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ HACKER Внутренняя сеть Удаленное управление Запуск кода на объекте атаки (использование «Троянца») PROXY
Раздел 2 – Итоги Модель OSI. Архитектура TCP/IP. Модель OSI. Архитектура TCP/IP. Модель OSI. Архитектура TCP/IP. Модель OSI. Архитектура TCP/IP. Сетевые анализаторы. Сетевые анализаторы. Сетевые анализаторы. Сетевые анализаторы. Программа Internet Scanner 6.1. Программа Internet Scanner 6.1. Программа Internet Scanner 6.1. Программа Internet Scanner 6.1. Межсетевые экраны. Межсетевые экраны. Межсетевые экраны. Межсетевые экраны. Протоколы IPSec, SSL, SSH, DNSSec Протоколы IPSec, SSL, SSH, DNSSec Протоколы IPSec, SSL, SSH, DNSSec Протоколы IPSec, SSL, SSH, DNSSec Система обнаружения атак RealSecure 5.0. Система обнаружения атак RealSecure 5.0. Система обнаружения атак RealSecure 5.0. Система обнаружения атак RealSecure 5.0. Cлужбы прикладного уровня. Cлужбы прикладного уровня. Cлужбы прикладного уровня. Cлужбы прикладного уровня.