Контакты
Подписка
МЕНЮ
Контакты
Подписка

Несанкционированный доступ в локальных вычислительных сетях

Кирилл Зотов, 19/09/2018

В рамках данной статьи по защите информации в телекоммуникациях рассматривается задача анализа сетевого трафика и использования полученных данных для несанкционированного доступа в локальную сеть на основе сервера с целью извлечения или редактирования данных.

Основой послужила модель OSI, а именно уровни: сетевой, канальный и сеансовый. Задача носит инфокоммуникационный характер и не является задачей программирования (написание кодов, скриптов и прочее), а относится к инженерным решениям в области изучения процессов, связанных с анализом трафиковых процессов в локальных вычислительных сетях.

В данной статье будет рассмотрена известная для несанкционированного доступа сеть (см. рис. 1). Авторы предлагают читателям предположить, что эта сеть принадлежит маленькой частной компании, в которой используется коммутатор (S1,S2) и маршрутизатор (R1) третьего уровня. Первоначальные действия по реализации поставленной задачи: совершить несанкционированный доступ в выбранную частную компанию через PC3, узнать логины и пароли базы данных, которые размещены на их персональном сайте, а также извлечь ценную информацию с машин компании. То есть на персональном сайте размещены логины и пароли? Или это база данных размещена, а нужно узнать логины и пароли? Тогда "которая размещена на их..."

Рисунок 1

Рис. 1. Модель сети частной компании

Малые ресурсы порой дают большие возможности
Как часто вы задумываетесь над тем, что простые стандартные средства Windowsи программы для анализа сетевого трафика (снифферы) способны нанести вред вам и вашей компании? Именно эти инструменты авторы хотят рассмотреть и показать, что такой незначительный инвентарь средств достаточен для проведения несанкционированного доступа в сеть компании.
Основная задача данной статьи – показать пользователям, что не нужно быть программистом и писать сложные программы для взлома, создавать вирусы, а достаточно только обладать базовыми знаниями в этой области, используя принцип анализа трафика, широко применяемый в телекоммуникациях.
Для того чтобы начинать действовать, необходимо разобраться в том, что будет извлекаться из рассматриваемых в статье уровней модели OSI. На сеансовом уровне происходит организация сеанса связи между компьютерами. Главной задачей будет являться перехват логина и пароля, которые отправляются на сервер. На сетевом уровне определяется путь, по которому данные будут переданы, что позволяет получить IP-адрес. Это поможет в ходе решения поставленной задачи (несанкционированный доступ) определить, куда пользователь выходит чаще всего. На канальном уровне станут известны MAC-адреса, являющиеся физическим адресом. Устройства канального уровня – коммутаторы, концентраторы и др.

Так ли безопасно пользоваться компьютером?
Чтобы пользователь мог реально оценить свою безопасность при работе за компьютером, следует для начала рассмотреть способы перехвата контроля над машиной, которой он пользуется.
Напрямую или через коммутатор производится подключение к выбранному маршрутизатору с помощью физического кабеля Cat.6и проверяется установка соединения командой pingв командной строке. Командаarpaв командной строке дает возможность увидеть список всех подключенных к данной сети машин. Дальнейшие действия зависят от того, что необходимо сделать: проникнуть в файловую систему или же сразу начать анализировать трафик выбранного субъекта, "отравляя" его.
После выполнения команды arpaпроизводится подключение к файловой системе любого компьютера по IP-адресу, но здесь есть технические сложности, так как на предприятии обычно каждая машина обычно защищена логином и паролем. Для успешной реализации данной задачи используется обходной путь. В стандартных программах Windows присутствует команда smtsc, что позволяет осуществить удаленный доступ к машине (ПК), благодаря нахождению с ней в одной сети. Вследствие этой операции имеется возможность свободного подключения к любой машине в данной локальной сети. Настройка сетевого общего доступа к файловой системе является дополнением к удаленному доступу. Данный метод позволяет забрать логин с паролем и дает возможность зайти в браузер, чтобы завладеть всеми coockies-файлами от всех ресурсов. Присутствуют определенные затруднения: не всегда получится осуществить удаленный доступ к интересующему нас ПК, но, несмотря на это, есть возможность осуществить данное подключение.
Удаленный доступ ко всем компьютерам без ограничений имеется у машины системного администратора и, возможно, директора, их IP всегда "самые первые". Далее методом перебора вычисляется машина системного администратора и присваивается его IP-адрес. Данную операцию возможно осуществить только при выключенном компьютере системного администратора. После этих действий, уже используя его сетевой адрес, производится подключение через удаленный доступ к любой машине в сети и выполняется то же самое, что было описано выше. Все эти операции выполняются также с помощью стандартных средств Windows.

Простота выполнения – не всегда верный путь
Метод, описанный выше, является простым и эффективным, но затратным в плане ресурсов времени. Авторы предлагают другой способ быстрого вычисления всех данных аутентификаций. Необходимо воспользоваться такой операцией, как sniffing.
После установки соединения производится сканирование сетевого трафика с помощью сниффера (Wireshark). В поле этой программы можно увидеть множество различной информации, мегабайты данных. Для быстрого поиска используется фильтр, который, к примеру, настраивается на протокол передачи http. После этого в списке необходимо найти нужный ресурс, на который выбранный субъект выходил и вводил там свои данные.

Следующим шагом будет являться открытие hypertext. Необходимо перевести его в формуTCPStreamи найти в коде значение usernameили password. Согласно вышеописанным действиям в распоряжение поступают все данные аутентификации нашей цели. Точно таким же образом можно находить переписки, все скачанные файлы, оценить трафик (на каких ресурсах цель проводит больше всего времени). Для этого нужно всего лишь менять фильтры и досконально изучать все полученные мегабайты трафика, уметь грамотно их расшифровывать.

Предупрежден – значит вооружен!
Для гарантии безопасности на физическом уровне следует предпринять меры по охране предприятия с использованием элементов системы контроля и управления доступом (СКУД). Необходимо также устанавливать сложные пароли, использовать различные методы шифрования данных на разных уровнях передачи и сетевые адреса привязывать к MAC-адресу компьютера, чтобы машина не могла незаметно переключиться на любой адрес сети. Если компьютер с не соответствующим данному IP MAC-адресом займет этот адрес, то системному администратору придет сообщение, а саму машину заблокируют.
Борьба с анализаторами трафика заключается в применении пользователями защищенных соединений, использующих расширенный протокол для поддержки шифрования на основе протокола передачи httphttps (см. рис. 2).

Рисунок 2

Рис. 2. Отличие httpsот http

Данная мера предосторожности эффективна, но в полной мере не обезопасит вас. При таком подходе объект, совершающий несанкционированный доступ к выбранной сети, потратит намного больше как собственного времени, так и ресурсов используемых им систем, но все равно будет обладать возможностью найти брешь в защите и похитить информацию. Для этого нужно перехватить запросы, используя атаку – MiTM (Man in The Middle – "человек посередине"), приведенную на рис. 3. К счастью, это можно увидеть. Достоинство httpsв том, что сертификат для шифрования можно удостоверить в одном из центров выдачи сертификатов. Сертификат может получить только владелец сайта, поэтому браузер может отличить оригинальный сертификат сайта от поддельного. Для простоты примера httpsможно сравнить с конвертом, а httpс открыткой. В первом случае, когда объект, совершающий несанкционированный доступ, подменит сертификаты, чтобы посмотреть, что вы там передаете и, если надо, произведет подмену на свой вариант страничек в браузере, конверт вскроется и вы это увидите. Во втором же случае любой может открыть и посмотреть содержимое, а затем незаметно вернуть все на свои места.

Рисунок 3

 

Рис. 3. Атака MiTM("человек посередине")

Литература:

  1. Rand Morimoto, Michael Noel, Guy Yardeni, Omar Draubi, Andrew Abbeyt, Chris Amaris. Microsoft Windows Server 2012. Complete Guide/ Publishing house "Williams". –2013.Ch.13, 14, 18, 19, 24.
  2. Gustafson D.E., Kessel W.C. Fuzzy clustering with a fuzzy covariance matrix. Scientific Systems, Inc. 186 Alewife Brook Parkway Cambridge. – Massachusets. – 1978. P. 761–766.
  3. Paket K. Building Cisco Remote Access Networks / Publishinghouse"Williams". – 2003. Ch. 6, 13, 15.
  4. Олифер В., Олифер Н. Компьютерные сети. Принципы, технологии, протоколы / Издательский дом "Питер". – 2006. Гл. 3, 4, 6, 7.
  5. Оливер Ибе. Сети и удаленный доступ. Протоколы, проблемы, решения / Издательство "ДМК Пресс". – 2002. С. 53.
  6. Soshnikov A., Migalyov I., Titov E. (2016). Principles of Functioning of Technological Module for Danger Estimation of Combined Electromagnetic Field. Procedia Engineering, 165. P. 1027-1034, DOI:http://dx.doi.org/10.1016/j.proeng.2016.11.815.
  7. Щеглов А., Финков М. Защита компьютерной информации от несанкционированного доступа / Издательство "Наука и техника" . 2004. Гл. 2, 3, 5, 8, 11, 15, 20–25.
  8. Зотов К.Н., Киселев А.Е., Комиссаров А.М. Интеллектуальные надстройки в GSM / Журнал "Технологии и средства связи". – 2017.–№ 2:http://tssonline.ru/articles2/fix-op/intellektualnye-nadstroyki-v-gsm.
  9. Линч Ф. Уильям, Мамзунк Стив, Пемех Райян, Пфеил Кен, Паппи Рэйн Форест, Расселл Райен, Комински Дэн "Эффугас", Ахмад Дэвид М., Дубравский Идо, Флинн Хал, Гранд Джозеф "Кингпин", Грэм Роберт, Джонсон Норис, К2. Защита от хакеров корпоративных сетей / Издательство "SciTech". – 2015. Гл. 3–5, 10.
  10. Рассел Д., Кон Р. Анализатор трафика / Книжная публикация. – 2012.С. 15.

Авторы
Кирилл Зотов
Доцент кафедры телекоммуникационных систем УГАТУ (Уфа), к.т.н.
Игорь Кириллов
Студент кафедры телекоммуникационных систем УГАТУ (Уфа)
Данил Пигин
Студент кафедры телекоммуникационных систем УГАТУ (Уфа)

 

Темы:Информационная безопасностьOSI
Комментарии

More...