Сетевая безопасность – обзор уязвимостей и угроз
Бизнес, пользовательские сервисы все больше переходят на облачные технологии, когда программы работают на удаленных серверах, там же хранят коммерческие, персональные данные. И вот здесь возникает серьезный вопрос – как организовать сетевую безопасность. Первый шаг в этом – узнать, какие угрозы, какие типы хакерских атак распространены, чем они чреваты для владельца облака или иного ресурса в интернете. Рассмотрим их в этой статье.
Что такое сетевая безопасность
Начнем с основ. Под сетевой безопасностью стоит понимать систему мероприятий, направленных на предотвращение кражи сведений из личного аккаунта или базы данных организации (в том числе государственных органов, силовых ведомств и т.д.). Сюда же входят вопросы обеспечения работоспособности IT-инфраструктуры. Чтобы упростить задачу процесс обеспечения сетевой безопасности разделили на ряд «подразделов», имеющих специфические черты. Система защиты включает контроль следующих критериев:
- Доступность – информация ценна, когда к ней есть доступ «по запросу», в любое время суток, без выходных и праздников. Фактор стал критичным после ее массового переноса на удаленные сервера, которые могут располагаться в любой точке мира. Резервные копии и те нередко хранят в «облаках», пусть и размещенных на «другом» хосте.
- Целостность – удаленные сервера работают круглосуточно, и они непрерывно подключены к интернету. Это обязательное требование для «доступности» информации со стороны пользователя. Но одновременно такой подход создает угрозы подключения к хосту посторонних, способных удалить файлы, внести в них критичные изменения.
- Конфиденциальность – критерий связан с предыдущим, только проявляется иначе. Хакеры могут скопировать базу данных, например, справочник контрагентов с контактами, отчеты финансовой деятельности. Что они будут делать со сведениями неизвестно. Может продадут конкурентам или опубликуют в свободном доступе. Каждый пункт из перечисленных требует определенных мер по защите. Часть из них взаимосвязана, например, антивирусы предназначены для комплексной блокировки угроз. Решение часто зависит от назначения удаленного ресурса. Одно дело защитить интернет-магазин или корпоративную CRM и совершенно другое, когда речь идет об игровом сервере. Они обладают разными уязвимостями и требованиями к производительности системы, системе авторизации. В любом случае при развертывании удаленного сервиса необходимо сразу позаботиться о защите информации. Помимо «коммерческой тайны», под угрозой часто оказываются номера и секретные коды банковских карт, логины и пароли доступа в аккаунты, базы, подходящие для рассылки Email, SMS рекламы и т.д. Киберпреступники используют уязвимости и для шантажа, чтобы получить «выкуп» от владельцев взломанных систем.
Какие существуют угрозы сетевой безопасности
Классификация угроз сетевой безопасности возможна по разным критериям. Одну из них мы уже рассмотрели (доступность, целостность и конфиденциальность). По расположению источника они бывают внутренними, например, компьютерный вирус, или внешними – DDoS-атака, снифферы для «прослушивания» трафика и т.д. Нередко проблема комбинированная: сначала злоумышленники атакуют сервер снаружи и уже после взлома делают «инъекцию» вредоносным ПО. Компоненты, на которые преимущественно нацелены угрозы:
- Инфраструктура удаленного ресурса – речь о работоспособности выделенного сервера, от физической возможности подключения к нему до контроля над ресурсами вроде мощности процессора, объема оперативной памяти. Ведь даже снижение производительности будет негативно сказываться на рентабельности ресурса. Программное обеспечение – софт «ломают», чтобы тот перестал запускаться, подменяют на фиктивный, предназначенный для кражи ценных сведений вроде пароля, секретного кода на банковской карте. Цель одна: нанести материальный ущерб в виде отсутствия прибыли или «прямой» кражи денег со счетов.
- Инфраструктура удаленного ресурса – речь о работоспособности выделенного сервера, от физической возможности подключения к нему до контроля над ресурсами вроде мощности процессора, объема оперативной памяти. Ведь даже снижение производительности будет негативно сказываться на рентабельности ресурса.
- Файлы (данные) – пользователю/владельцу критичен сам по себе доступ к информации. И хакеры этим пользуются, когда портят схему подключения к базам данных, шифруют их или банально удаляют без шанса на восстановления (заполнение случайными символами и пр.). Кражу БД вообще можно не заметить пока та не «всплывет» в интернете. Важно учитывать, что угрозы сетевой безопасности возникают как преднамеренно, так и случайно. Первый вариант обычно означает целенаправленную хакерскую атаку. Второй предполагает, что конкретный сервер «зацепило» лишь потому, что на нем не было защиты. Такое происходит, если в сети появляется вирус, нацеленный на поиск хостов, какие можно «заселить» и использовать для дальнейшей рассылки самого себя. Или для спам-рассылки запрещенных товаров/услуг. Нельзя сбрасывать со счетов угрозы природного и техногенного характера. От них защищает ЦОД – там предусмотрены резервные линии электропитания, подключения к интернету, охлаждение и физическая охрана. Но от того же землетрясения подобные меры не спасут. В этой статье мы такие угрозы подробно рассматривать не будем, т.к. все равно полноценной защиты от них не существует (помогут локальные резервные копии).
Что такое уязвимость сети
Ключевая причина, почему становятся реальными взломы удаленных серверов, это наличие на них определенных уязвимостей. Если бы их не было, любые атаки не приносили бы успеха. Механизмы защиты предполагают поиск и устранение «дыр» информационных систем. Например, сервис Telnet предполагает передачу имени пользователя и пароля в открытом виде, без шифрования. Это явный недостаток, позволяющий перехватить сведения при «прослушивании» сетевого трафика. Принято делить уязвимости на три категории:
- Известная проблема, есть решение для исправления (пакет обновления и пр.).
- Известная проблема, но решение пока не разработано (их закрывают сторонним софтом).
- Проблема неизвестна, пока лишь есть факты «проникновения». Последний вариант обычно называют «уязвимостью нулевого дня». Независимо от категории они появляются из-за недоработки программного продукта: операционной системы, пользовательского софта, драйверов. Ошибки встречаются даже в межсетевых экранах и антивирусах. Типовой список можно взять из базы CVE (Common Vulnerabilities and Exposures) или NVD (National Vulnerabilities Database). Там специалисты аккумулируют сведения об известных проблемах.
Уязвимости в сетевых протоколах
Существует 14 активно применяемых протоколов обмена данными в сети. Каждый из них имеет собственное предназначение и особенности. Например, организация проводной сети Ethernet или беспроводной сети WLAN. Определенный набор используют для потокового вещания и передачи данных через интернет (открытие сайтов, скачивание файлов и т.д.). Вкратце рассмотрим уязвимости популярных сетевых протоколов:
- ARP – позволяет идентифицировать MAC-адрес. В одноранговой сети нет возможности проверить, откуда именно пришел пакет, чем и пользуются злоумышленники. Они связывают свой MAC с IP жертвы и получают его трафик.
- DNS – предназначен для преобразования цифрового IP-адреса в понятный человеку домен. Через «отравление» кэша злоумышленники подменяют сведения об удаленном хосте и пользователь перенаправляется на вредоносный сайт.
- FTP – протокол передачи файлов. В нем отсутствует шифрование и контроль соединения, а логин с паролем передаются открытым текстом. Перехватить данные можно практически любым сетевым анализатором.
- HTTP/S – используется для безопасной передачи данных между пользователем и сайтом. В протоколе есть «дыра», позволяющая при помощи атаки Drown взломать шифрование и уже затем украсть кредитные карты, пароли и пр.
- POP3 – инструмент для получения электронной почты с удаленного сервера на локальную машину. Здесь «дыры» позволяют атаковать систему способом FireWire и получать прямой доступ к памяти. Есть известные проблемы и у других протоколов: IMAP, RDP, SIP, SMB, SMTP, SNMP, SSH, VNC, Telnet. Большую часть из них удается «закрыть» при помощи брандмауэра и/или антивируса. Но это эффективно при условии, что защиту настраивают при развертывании удаленного сервера. Многие меры, принятые «потом», не гарантируют информационную безопасность. Так, существуют вирусы, способны препятствовать установке антивирусов (например, Trojan Multi Gen Autorun).
Уязвимости в аппаратной части сетей
Подавляющая часть сетевого оборудования работает под управлением собственного программного обеспечения (прошивки). В нем также встречаются ошибки, приводящие к уязвимостям. Один из типовых примеров: в маршрутизаторах Mikrotik с RouterOS есть проблема, позволяющая любому, кто владеет учетной записью администратора, повысить свои привилегии до Super Admin. Такие «траблы» встречаются и с сетевухами, микрокодом процессоров и т.д.
Уязвимости в программном обеспечении
Масса уязвимостей содержится в операционных системах и пользовательском софте. Их «лечат» при помощи патчей (обновлений). Здесь критичным является использование пиратских программ, которые обычно не обновляются и потенциально опасны. С момента выпуска Microsoft закрыла более 100 «дыр» в Windows 2019/2022. И это речь идет о серверных операционках, которые изначально разрабатываются с учетом повышенной безопасности.
Человеческий фактор как уязвимость
Немало проблем доставляет банальная человеческая безалаберность. Пользователи игнорируют или недостаточно внимательно относятся к рекомендациям специалистов. И затем используют слишком простые пароли для входа в аккаунты, забывают сразу установить/настроить брандмауэр, антивирус или иное защитное ПО. Человека легко поймать на любопытстве, когда предлагают кликнуть по ссылке, где будет «секретная информация», мега-скида и т.д.
Основные виды атак
Под сетевой атакой подразумевают действия злоумышленника, нацеленные на получение доступа к удаленному хосту или локальной машине. При его получении возможны разные сценарии, общее у всех видов «воздействий» одно – хакеры используют уязвимости в аппаратной или программной части компьютера. В основном атаки делят на пассивные и активные. Отдельной категорией идет так называемая социальная инженерия, направленная на пользователей.
1.Пассивные атаки
Пассивные атаки считаются более опасными, т.к. они не предполагают прямого воздействия на сеть или его компоненты. Злоумышленники остаются «невидимыми» с момента подключения до выявления факта утечки/порчи информации. Бытовой пример: прослушка телефона.
Подслушивание (Sniffing)
Снифферы, программы для перехвата пакетов без прерывания сеанса связи, нацелены на поиск незашифрованных данных. Например, в открытом виде передают пакеты по протоколу FTP, Telnet, SMTP, POP3. Задачи: получить логины, пароли, контактные данные, иные персональные, коммерчески ценные сведения.
Анализ трафика (Traffic Analysis)
Более совершенный способ перехвата, т.к. предполагает возможность извлечения информации даже из зашифрованных пакетов. Эффективность относительно низкая, но при наличии хотя бы куска заведомо открытого текста есть шанс подобрать ключ и получить доступ ко всем передаваемым по сети сведениям.
2.Активные атаки
Под активными атаками подразумевают прямое воздействие на IT-инфраструктуру. Нередко они нацелены на ограничение работоспособности, перенаправление пользователя на вредоносный ресурс. Такие атаки оставляют следы, их можно обнаружить по лог-файлам.
ARP-отравление (ARP Poisoning)
Метод ARP-отравления или ARP-спуфинга подразумевает привязку к MAC-адресу сетевой карты вместо истинного IP-адреса подменного, подконтрольного злоумышленнику. При успехе он сможет читать, перенаправлять или даже модифицировать сообщения. Основаны атаки на том, что в ARP-протоколе отсутствует понятие аутентификации. Метод работает внутри конкретной сети.
Межсетевое проникновение (Intrusion)
Вариант межсетевого проникновения используют для атак «извне». Традиционная цель хакеров – получить доступ к хосту. Затем можно выполнить произвольный код, хоть поставить кейлоггер, хоть скачать базы данных или логины/пароли из настроек браузера. Причины взлома разные, от уязвимости в операционной системе или приложении до слабого пароля, «кривой» прошивки в маршрутизаторе, применения незащищенных протоколов.
3.Методы социальной инженерии
Наиболее разнообразный инструментарий у тех, кто использует социальную инженерию. Список включает фишинг, целевой фишинг, голосовой фишинг, смишинг, «китобойный» фишинг, клон-фишинг, приманки, пугалки. Всего насчитывают минимум 15 популярных методов атак. Нацелены они на обман пользователя, чтобы тот зашел на вредоносный сайт, скачал файл, кликнул по ссылке и т.п. Результат всегда один – машина будет инфицирована и взломана.
Заключение
Сетевая безопасность – столь же важный критерий при развертывании удаленного сервера, как и установка пользовательского софта. Без защиты любой компьютер рано или поздно подвергается атакам хакеров. Чаще это происходит автоматизировано, при помощи приложений. Те упрощают «перебор» возможных уязвимостей. Таким же софтом пользуются IT-специалисты при аудите инфраструктуры. Потенциальных угроз в сети сотни, от «дырявых» протоколов до недоработанных программ и маршрутизаторов. Выход из один – регулярно проверять систему и закрывать выявленные недочеты. Например, всегда ставить рекомендуемые патчи, пользоваться брандмауэрами, антивирусами и т.д.