Безопасность и Internet - статьи

       

Поиск уязвимостей


Поиск уязвимостей IDS был проведен посредством посылки запросов целевой системе с работающей IDS. Запрос формировался с учетом обнаруженных ранее различий. Успешное сокрытие атаки позволяло говорить о том, что найдена уязвимость. Описание некоторых методов сокрытия сигнатурных атак, использующих найденные уязвимости в зависимости от операционной системы целевой системы, типа атаки и используемой системы обнаружения, представлены в таблицах 1-5. Методы, которые можно использовать для сокрытия атак через Internet, отнесены к классу межсегментных. Если же метод подходит только для атак внутри одной сети, он отнесен к внутрисегментному классу.

Как выяснилось, существуют уязвимости IDS, которые можно использовать для проведения скрытой сигнатурной атаки, даже если нарушитель не знает, какая ОС установлена на целевой системе. Скажем, можно использовать тот факт, что Dragon 5.0 не воспринимает данные в TCP-сегменте с установленным флагом FIN или не в состоянии обработать некоторый фрагментированный трафик. Практически все исследованные IDS имеют такие уязвимости.

Если для проведения атак используются различия в работе IDS и операционной системы, то в зависимости от того, какую операционную систему защищает IDS, могут появляться новые уязвимости. Например, мы рассмотрели только связку RealSecure 6.0/Windows 2000. А что, если RealSecure 6.0 защищает Web-сервер на платформе Linux Red Hat? Понятно, что некоторые ранее найденные уязвимости будут неактуальны. Однако, используя особенности реализации стека Linux Red Hat, полученного на первом этапе тестирования, можно обнаружить новые уязвимости.

Используя результаты, полученные после поиска различий, нарушитель может разработать методы сокрытия для любых комбинаций IDS и ОС. Для этого ему необходимо выяснить, какая IDS защищает конкретный сегмент сети. Это основная проблема — особенно, если нарушитель находится вне сегмента. Если же нарушитель находится в том же сегменте сети, то появляется возможность определить тип IDS по служебной информации, которой IDS обменивается со своими агентами и сенсорами (если имеется распределенная архитектура IDS). После этого, используя генератор пакетов и проведя несколько тестирующих легальных запросов на целевую систему, нарушитель определяет особенности ее работы. Скажем, он может проанализировать, как обрабатывается фрагментированный трафик. Далее, используя базу данных с особенностями работы конкретной IDS и результатами тестирования, нарушитель сможет найти различия и сгенерировать такую последовательность пакетов, которая позволит незаметно провести сигнатурную атаку.



Содержание раздела