Глава 7. Поиск атак на основе устройства

В данном разделе мы поговорим о функциональной и физической структуре устройств взаимодействия. Начнём мы с функциональной структуры.

Как мы уже видели в разделе Плоскости данных, контроля и управления из Главы 1, Архитектура центров данных и корпоративной сетевой среды, а также их компоненты, структура устройств взаимодействия составлена из трёх плоскостей, разделённых на категории по выполняемым ими функциям следующим образом:

Поскольку имеются три различные функции, также существуют три различных способа атаки устройства, как это схематично определено здесь:

Прежде чем мы приступим к дальнейшим подробностям, давайте рассмотрим структуру типичного устройства взаимодействия с тем, чтобы получше разобраться с его уязвимостями.

В сетях обмена данными устройство взаимодействия это аппаратный/ программный компонент, который принимает решения и переправляет пакеты в соответствии с этими решениями. Коммутатор локальной сети (LAN) перенаправляет пакеты в соответствии со сведениями Уровня 2 (то есть коммутирует таблицу перенаправления MAC - media access control); маршрутизатор перенаправляет пакеты на основе таблицы маршрутизации Уровня 3, межсетевой экран перенаправляет пакеты полагаясь на политику безопасности; и так далее. Давайте более подробно рассмотрим эти компоненты и увидим как они мугут подвергаться атакам.

 

Архитектура коммутаторов локальной сети

Коммутатор локальной сети работает на Уровнях 1 и 2 OSI-RM (Open Systems Interconnection Reference Model). Он перенаправляет кадры на основании сведений Уровня 2. На следующей схеме мы видим общую архитектуру коммутатора локальной сети:

Как показано на предыдущей схеме, кадры поступают в такой коммутатор из подключённых к нему ПК. Кадры перенаправляются через входные буферы, через объединительную плату и направляются через выходные буферы в ПК назначения.

Его таблица CAM (content- addressable memory, ассоциативной памяти) удерживает значения таблицы MAC адресов и изученных им портов. Таблицы FIB (forwarding information base, база данных маршрутизации), ACL (access control list, список контроля доступа) и QoS (quality of service, качество обслуживания) хранят дополнительные сведения, контурно описываемые так:

В зависимости от производителя и размера коммутатора существуют и прочие таблицы и механизмы. С точки зрения атаки или защиты именно такую архитектуру надлежит рассматривать когда мы планируем атаки или оборону.

 

Архитектура маршрутизаторов

Маршрутизатор это устройство, которое принимает решения на основании сведений Уровня 3 поступающих к нему пакетов и перенаправляет их. На своей следующей схеме мы наблюдаем типовую архитектуру маршрутизатора:

При подобной архитектуре маршрутизатора у нас имеются операции Уровня 1, Уровня 2 и Уровня 3 - Уровень 1 поскольку пакеты принимаются и отправляются по кабелю, Уровень 2 по причине того что пакеты перенаправляются с порта в порт, а Уровень 3 из- за решений, основанных на адресах IP (Internet Protocol) и таблицах маршрутизации. По этой причине помимо атак Уровня 3, на маршрутизаторы также оказывают воздействие атаки Уровня 2.

В данной плоскости контроля у нас имеются различные типы запущенных в маршрутизаторе процессов. Самый первый тип, конечно же процессы маршрутизации - именно они составляют протоколы маршрутизации, которые выполняют обмен информацией с прочими маршрутизаторами в данной сетевой среде. Прочие процессы, которые перенаправляют обмен контроля это - например - ACL, которые пересылают или блокируют обмен, как это настроено его сетевым администратором, механизмы QoS, NAT (network address translation, трансляция сетевых адресов) многое иное.

Окончательным результатом маршрутизации и прочих запущенных в данном маршрутизаторе процессов контроля являются таблицы решения, согласно которым перенаправляются пакеты.

 

Архитектура межсетевых экранов и устройств безопасности

Межсетевые экраны, балансировщики нагрузки и прочие устройства взаимодействия это приспособления, которые работают на Уровне 2 и выше, переправляют пакеты и выполняют прочие действия согласно типу устройства.

Межсетевые экраны переправляют пакеты в соответствии с политикой безопасности при помощи таких механизмов:

Все эти механизмы запущены в конкретном межсетевом экране в виде процессов, предотвращая внедрения и прочие риски, но они также могут оказаться целями злоумышленников.

Теперь, когда мы обсудили функциональные возможности и плоскости устройств взаимодействия, в своём следующем разделе мы поговорим о потенциальных рисках и том как от них защищаться.

Плоскость управления это та часть конкретного устройства, которая отвечает за контролирование самого устройства - то есть, за регистрацию в данном устройстве и его настройке, за получение команд SNMP, за отправку ловушек SNMP и сообщений Syslog (System Logging Protocol, протокола регистрации в системе) в консоль управления и тому подобного.

По этой причине атаки плоскости управления могут быть поделены на категории следующим образом:

Приводимые ниже атаки это атаки в плоскости управления, направленные на воздействие в отношении собственно управления данного устройства. В этой категории мы имеем следующее:

Давайте посмотрим как осуществляются такие атаки и как от них обороняться.

Первым типом атак, которые мы намерены обсудить, это атаки перебором, обычно основывающиеся на механизмах угадывания паролей.

 

Как выполнять проверку на уязвимости

В Главе 5, Поиск уязвимостей протокола мы обсуждали атаки перебором в разделе Взлом имён пользователей и паролей (атаки брутальной силой).

Имеются различные типы средств проверки. Для угадывания паролей у нас имеются такие инструменты Linux как nmap, John the Ripper, ncrack, Hydra и Crunch.

Для обнаружения SNMP мы можем воспользоваться такими средствами как платформа OpenNMS, сканеры SNMP, подобные Lansweeper или иные инструменты с открытым исходным кодом или коммерческие.

Для взлома пароля HTTP/ HTTPS вы можете применять nmap или множество прочих средств проверки проникновения, например skipfish.

 

Как защищаться от атак

Существуют различные простые меры для осуществления в противодействие атакам перебора, контурно обозначим их:

Давайте перейдём к следующей потенциальной уязвимости - SNMP.

Второй способ атаки грубой силой может быть успешным при попытке взлома пароля SNMP - то есть, строки сообщества в SNMPv1 и SNMPv2 . В SNMPv3 у нас имеются зашифрованные пароли, а потому с ними это сложнее сделать.

 

Как можно скомпрометировать SNMP

SNMP поставляется в трёх версиях: SNMPv1, SNMPv2c и SNMPv3. Первые две из этих версий пользуются строками сообщества, которые просто являются паролями простого текста на полномочия доступа только на чтение и на чтение - запись. Третья версия, SNMPv3, может настраиваться с механизмами шифрования имени пользователя и пароля, а это более безопасно.

Чтобы убедиться в защите ваших устройств против уязвимостей SNMP изучите следующие сведения:

Для тестирования SNMP мы можем применять такие средства:

Теперь, когда мы взглянули на уязвимости SNMP и как на них можно нападать, давайте рассмотрим как защищаться от подобных атак.

 

Как защищаться от атак

Для защиты от считывания сведений с устройств взаимодействия выполните следующее:

Поскольку у нас теперь имеется чёткое представление о первых двух способах доступа к устройствам взаимодействия, давайте рассмотрим последний, то есть HTTP и HTTPS.

HTTP (порт 80) и HTTPS (порт 443) также являются распространёнными портами, по которым выполняется доступ к устройствам взаимодействия и которые должны тщательно обрабатываться.

 

Как атаковать

При некоторых обстоятельствах будет просто взломать ваш веб сервер. Испробуйте следующие этапы:

Теперь, когда мы поговорили о средствах атаки, давайте посмотрим как защищаться от таких типов атак.

 

Как обороняться против атак

Для защиты от взломов серверов HTTP/HTTPS устройств взаимодействия выполните следующее:

Теперь давайте рассмотрим прочие потенциальные риски и как обороняться против них.

После того как мы проверили уязвимости в применяемых стандартных протоколах, которые выступают стандартной дверью в оборудование взаимодействия, давайте рассмотрим как могут применяться для атак на такие устройства прочие уязвимости.

 

Как проверять на наличие уязвимостей

Вот пример. Запустите сканер NMAP (Zenmap, который - как вы можете это увидеть в верхней полоске на приводимом ниже снимке экрана - является графической версией nmap), и проверьте открытые службы. Вы можете видеть как это осуществляется:

Теперь, как когда мы обнаружили как сканировать открытые службы, давайте рассмотрим как убедиться что эти службы закрыты и защищены.

 

Как обороняться против атак

Для защиты от атак на открытые службы просто закройте всё то что не существенно для необходимых функциональных возможностей этого устройства.

К примеру, давайте воспользуемся отсканированным нами в предыдущем примере маршрутизатором. У нас имеются три открытых порта, а именно:

Теперь, когда мы обсудили защиту от атак грубой силой, давайте рассмотрим как обороняться от атак, имеющих целью доступное оборудование.

Когда с некого внешнего устройства происходит масштабное нападение TCP-SYN, в плоскости управления могут происходить уязвимости, откликающиеся на сообщения SYN, что вызывает высокую степень загрузки ЦПУ или памяти в подвергающемся такой атаке устройстве. Против подобных типов атак имеются меры противодействия. Давайте рассмотрим как проверять наличие и защищаться от подобных уязвимостей.

 

Как проверять на наличие уязвимостей

Тестирование на уязвимости в имеющейся плоскости управления достаточно логично, как мы можем наблюдать это из приводимых ниже шагов:

Когда простое наполнение TCP SYN не оказывает воздействие на проверяемое устройство, вы можете испытать сочетания флага TCP, некоторых пакетов в различные порты и тому подобное - всё то, от чего может оказаться не защищённым ваш маршрутизатор.

На Рисунках 7.9 и 7.10 вы можете наблюдать иные образцы, в которых мы применяем при нападении два этапа, а именно:

На следующем этапе мы воспользуемся nmap со следующей строкой: nmap -T4 -A -v 172.30.0.241. Давайте рассмотрим что означает каждая из команд в этой строке:

Давайте рассмотрим что происходит:

При помощи команды show processes cpu history вы можете наблюдать на нашем следующем снимке экрана вы можете наблюдать результаты такой атаки на Cisco Catalyst 2960:

Наконец, то что мы увидим в своей консоли управления (для данного примера это PRTG), это пики загрузки, что отображает наш следующий снимок экрана:

Основная причина, по которой мы наблюдаем загруженность в командной строке Cisco 80% и 70% в PRTG обусловлены собственно средствами измерения метода: при использовании CLI между образцами мы имеем интервалы в 1 секунду, в то время как при PRTG мы обладаем интервалами в 1 минуту.

Важный момент состоит в применении системы управления, которая выдаст предупреждение при загруженности ЦПУ на 70-75%; при подобных значениях наше устройство начнёт обладать медленными откликами. При более высоких значениях в 90-95% это устройство будет функционировать очень плохо с высокими задержками и при большой вероятности утраты пакетов.

 

Как обороняться против атак

Для защиты плоскости управления против атак переполнением TCP SYN мугут настраиваться различные механизмы контурно обозначим их:

Большинство устройств с именем обладают собственными механизмами для защиты от атак SYN. В Cisco нам следует разрешить параметр TCP Intercept; для Juniper вы можете разрешить опцию экрана защиты посредника SYN-ACK-ACK, объясняемую в их документации; для Extreme Networks настройте dos-protect.

Для всякого настраиваемого вами устройства прочтите соответствующие рекомендации производителя для упрочнения и безопасности самого устройства или программного обеспечения.

Как мы уже наблюдали ранее в данной главе, плоскость контроля содержит соответствующие протоколы и процессы, которые взаимодействуют между сетевыми устройствами для перемещения пакетов по всей имеющейся сетевой среде. В данной категории мы обладаем протоколами Уровня 2, такими как STP (Spanning Tree Protocol)/ RSTP (Rapid STP); протоколами маршрутизации Уровня 3, которые изучают топологии сетевой среды, например, CDP (Cisco Discovery Protocol) или LLDP (Link Layer Discovery Protocol), которые представляют сведения об оборудовании своим соседям; RSVP (Resource Reservation Protocol), который устанавливает и обеспечивает канал E2E (end-to-end) предварительно определённым QoS; ICMP (Internet Control Message Protocol), который используется для тестирования достижимости сетевой среды; а также прочие.

В Главе 10, Выявление атак LAN на основе IP и TCP/ UDP и в Главе 12, Атака на протоколы маршрутизации мы углубимся в подробности того как защищать сами сетевые протоколы. То что мы обсудим в данном разделе, это атаки на ресурсы устройства и как обороняться от них.

Существуют осуществляемые самими коммуникационными устройствами действия, которые оказывают воздействие в основном на имеющиеся интерфейсы устройства - коммутацию Уровня 2, к примеру. Имеются действия, которые влияют на ресурсы всего устройства - скажем, загрузку ЦПУ устройства, памяти и хранилища. При атаке на устройство мы сосредоточимся на втором типе: когда нашими целями выступают процессы, которые при своей загруженности переполняют ресурсы устройства до того момента, при котором оно замедляется и даже прекращает свою работу. В данном разделе мы рассмотрим наиболее распространённые.

Давайте взглянем на те процессы, которые способны потреблять значительные системные ресурсы. Контурно обозначим основные принципы:

Давайте подробнее рассмотрим это.

 

Маршрутизация и процессы маршрутизации

Процессы маршрутизации способны загружать ЦПУ самого маршрутизатора. Обычно загружающими маршрутизатор протоколами обычно выступают протоколы BGP.

Атаки на процессы маршрутизации подробно будут рассмотрены в Главе 12, Атака на протоколы маршрутизации. Для процессов проверки жизнеспособности устройства убедитесь что нет никакой нагрузки, поступающей от маршрутизации.

 

Шифрование - VPN и туннелирование

При осуществлении шифрования в ЦПУ маршрутизатора или межсетевого экрана, вместо специально предназначенного для этого оборудования, в ЦПУ такого устройства могут потребляться значительные ресурсы.

Когда вы наблюдаете высокую загруженность ЦПУ по причине процесса шифрования, убедитесь в следующем:

Давайте обсудим ARP (Address Resolution Protocol).

 

Опции IP и время жизни

Всякий пакет с параметрами IP, фрагментацией, а также пакеты с равным 1 полем TTL (Time-To-Live) переправляются для обработки в ЦПУ.

Параметры IP были представлены в имевшемся стандарте IPv4 (IP version 4), но никогда в реальности не применялись вплоть до начала 2021, когда они были определены вновь для таких функциональных возможностей как ILNP (Identifier-Locator Network Protocol, RFC 6746, November 2012), Label Edge Router Forwarding of IPv4 Option Packets (Помеченный пограничный маршрутизатор, пересылающий варианты опции пакетов IPv4, RFC 6178, March 2011), реализованный в MPLS (Multi-Protocol Label Switching) и некоторые иные функциональные возможности, которые не применяются в корпоративных сетевых средах. По этой причине, их использование способно загружать ЦПУ устройства.

Ещё одна проблема заключается в поле TTL пакета. Для TTL = 1, что применяется в некоторых протоколах маршрутизации в качестве механизма защиты, это также нечто, подлежащее обработке а ЦПУ и потенциально грузящее его.

 

Запросы ARP

ARP это протокол, который применяется для разрешения MAC адреса своего получателя из его IP. В разделе Атаки L3 и на основе ARP из Главы 6, Поиск атак на основе сетевой среды, мы обсуждали атаки ARP. Данный тип атак способен вызывать сетевые ошибки, как мы рассмотрели это в Главе 6, Поиск атак на основе сетевой среды, но они к тому же способны загружать ресурсы устройства.

Для защиты от атак отравления ARP вы можете пользоваться пределом частоты ARP. Для исключения данной проблемы отсылаем вас к Dynamic ARP Inspection в руководстве соответствующего производителя.

Давайте обсудим проблемы IP.

 

Фрагментация

Фрагментация IP это стандартный механизм, который применяется при необходимости передачи через кадры Ethernet больших пакетов IP, которые обладают максимальной полезной нагрузкой в 1 500 байт (1 518 байт включая свой заголовок; 1 522 байта включая свой заголовок и тег VLAN - virtual LAN, когда он имеется). Очертим здесь некоторые проблемы, которые могут вызываться фрагментацией:

Для осуществления этого отсылаем вас к руководствам производителей - например, Cisco Security Configuration Guide или Juniper. Теперь, когда мы рассмотрели что может подвергаться атакам, давайте посмотрим как от таких атак защищаться.

Как мы видели ранее, плоскость данных это та часть нашего сетевого устройства, которая отвечает за сам обмен данными через это устройство, а следовательно атаки на такую плоскость данных это те, которые имеют целью процессы и службы, отвечающие за обмен данными. Службы плоскости данных это такие службы как ICMP, ARP и RARP Reverse ARP, помимо ряда прочих.

Через сетевой интерфейс может проходить интенсивный обмен - именно в этом основная его цель. Основной момент состоит в знании того что происходит и проверять допустимость такого обмена. Для данной цели существует два момента, которые мы способны настраивать, а именно:

Настройка порогового значения: 80-90% полосы пропускания интерфейса должны представлять разумное значение. Скажем, для Cisco, а для Juniper.

Контроль шторма конфигурации: Данная команда ограничивает процентную величину общего объёма данных, которые обмениваются через интерфейс. Контроль шторма должен быть ограничен 10-15% обмена интерфейса. Для настроек контроля шторма отсылаем вас к руководствам вашего производителя.

Теперь давайте поговорим об атаках на ресурсы оборудования.

Устройство взаимодействия это некий выделенный компьютер, причём такой компьютер обладает вычислительными ресурсами, которые способны подвергаться атакам. В данном разделе мы обсудим потенциальные атаки на такие ресурсы и как мы можем от них защищаться.

Утечки памяти это статические или динамические ресурсы выделенной памяти, которые не обслуживают никаких полезных целей. Это может быть вызвано ошибками в программном обеспечении, неэффективным программным обеспечением или атаками, которые потребляют ресурсы памяти.

 

Атаки на основе памяти и причины утечек памяти

Утечки памяти могут быть такими:

Давайте взглянем на то как настраивать уведомления во избежание утечек памяти.

 

Настройка предупреждений о низких объёмах свободной памяти

Относительно того как это делать отсылаем вас к руководствам Cisco и Juniper.

 

Защита от причин атак на основе памяти

Настройте минимальное резервирование памяти при котором данное сетевое устройство будет способно отсылать критически важные уведомления. Отсылаем вас к руководствам Cisco и Juniper.

Давайте обсудим проблемы ЦПУ.

ЦПУ устройства может быть перегруженным по причине допустимых и недопустимых операций, в то время как недопустимые операции способны вызываться атаками DoS/DDoS (denial of service / distributed DoS) или иного типа атак.

Для защиты от атак на основе ЦПУ в устройствах Cisco настройте предупреждения о высоком потреблении ЦПУ. Для настройки уведомлений вам необходимо выполнить следующие команды:

Чтобы сделать то же самое на устройствах Juniper, отсылаем вас к руководству Juniper.

Основной принцип заключается в отправке некого перехвата когда загруженность ЦПУ превосходит заданное значение, настроенное в параметре <high-value> на промежуток времени, настроенный в параметре <high-time>. Другая ловушка будет отправляться когда она уходит ниже низкого значения, настроенного в параметре <low-value> на промежуток времени, настроенный в параметре <low-time>, который должен быть настроен для величины значения обычной работы, обычно около 30%.

В данной главе мы обсудили риски сетевых устройств, включая атаки на плоскости управления, контроля и данных - атаки на плоскость управления, которые предназначены для взлома устройств или препятствия нам в управлении им, атаки на плоскость контроля, которые имеют целью те протоколы, с которыми работают эти устройства и атаки на плоскость данных, которая переправляет сами сведения. Также мы обсудили атаки на ресурсы устройства, а также как их выявлять и как им противостоять.

Теперь, когда вы завершили данную главу, вы будете способны защищать свои устройства взаимодействия от различных атак нацеленных на плоскости управления, контроля и данных, а также устанавливать уведомления о подобных атаках, когда они происходят.

В своей следующей главе мы обсудим прослушивание, анализ пакетов и анализ поведения, а также как защищаться от атак на применяемые сетевые протоколы, глубже погружаясь в идентификацию и защиту нашей сетевой среды.