Қорғалуға тиісті есептеу техникалық құралдарының объектісінің сипаттамасы

    Man-in-the-Middle Attack тәрізді шабуылдармен тек криптографияны қолдану арқылы ғана нәтижелі күресуге болады. Тек техникалық жолмен жіберілетін деректі криптошифрлау арқылы қауіпсіздендіруге болады. Сонда қаскөй керекті дерек орнына түсініксіз символдар алады (оны супермашинаның өзі аша алмайтын). Егер қаскөйдің жолы болса, онда ол криптографиялық сессиясы жайында ақпарат жолай ұстайды, шифрланған дерек автоматты түрде мағынасын жоғалтады.  Сондықтан осындай жағдайларда "алдыңғы өлкеде" күрес  "технарларда" емес, өндірістің кадрлық бөлімі және қауіпсіздік қызметі болу керек. 

    2.2 Жалған ICMP Redirect хабары

    Қаскөй  бұл шабуылды өзінің Х түйіні орналасқан желідегі А түйіннен басқа бір  желіде орналасқан (мысалы, В) түйінге  бағытталған деректер ағынын жолай  ұстау үшін пайдалануы мүмкін. Бұл кезде қаскөй Х мекен- жайын А түйіннің деректері жіберілуге тиісті бағдарғалауыштың мекен-жайы ретінде көрсетеді. Сөйтіп А түйінді, өзінің деректер ағынын Х түйінге (жалған бағдарлауышқа) жіберуге міндеттейді. Қаскөйдің түйінінде бұл деректерге талдау жасалынып, керек болса оларға өзгеріс енгізіледі және одан кейін әрі қарай нағыз бағдарлауышқа жіберілуі мүмкін.

    Бұл шабуыл әдетте жалған ICMP Redirect хабары арқылы жүзеге асырылады.  

    1-сурет.  ICMP Redirect хабарының тақырыбы 

     Internet желісінде басқаратын ICMP (Internet Control Message Protocol) хаттамасы бар, оның  бір функциясы желінің ішкі  сегментінің түйінінде бағдарғылауыштың шалғайдан басқару кестесі болып табылады. Түйіннің бағдарғылауыш кестесі бес колонкадан тұрады: желілік мекен-жай(Network Destination), желілік қалқа(Netmask), бағдарғылауыштың мекен-жайы (Gateway), интерфейс (Interface) и метрик (Metric). Бағдарғылауышты шалғайдан басқару ICMP Redirect хабары түйінінде басқаратын бағдарғылауышпен жіберу түрінде нәтижеленген. Түйінде бағдарғылауышты өзгерту үшін второй байт заголовка ICMP Redirect хабарының тақырыбының екінші байты 1-ге тең болу керек. Мұнымен бағыттың (Destination) алмасуы үшін керек, түйіннің IP-мекен-жайын бағдарғылауыштың атынан жіберіп, түйіндегі бағдарғылауыштың рұқсат етілмеген өзгеруінің тұтастығымен және бағдарғылауыштың жаңа IP-мекен-жайын пайдалануға болады. Маңыздысы, бағдарғылауыштың жаңа IP-мекен-жайы шабуылдайтын түйін сияқты ішкіжеліге жатуы керек болады.

    Желінің сегментінде (шабуылдайтын түйіні бар) шабуылдаушыны тапқан кезде, шабуыл сұлбасы келесідей түрде болады:

1. Жалған ICMP Redirect хабары Datagrams for the Host шабуылдайтын түйінге жіберу.

    2. Егер шабуылдайтын түйіннен ARP-сұраныс  келсе, онда  ARP-жауап жіберіледі.

3. Егер шабуылдайтын түйіннен десте келсе, онда ол нақты(шын) бағдарғылауышқа қайта бағытталады.
4. Егер бағдарғылауыштан десте келсе, онда ол шабуылдайтын түйінге қайта бағытталады.
5. Дестені қабылдау кезінде оның мазмұнына әрекет етеді.

    ICMP (Internet Control Message Protocol) хаттамасының негізгі  міндеттерінің бірі түйіндерге  ағымдағы бағдарлауыштың күй-жайы  туралы хабардар етіп тұру  болып табылады. Бұл хабардың аты redirect (0 кодасы – қабылдаушы желісіне қайта бағыттау). Желі сегментіндегі кез келген түйіннен шабуыл жасалуға таңдап алынған түйінге жалған redirect -хабар жіберуге мүмкіндік бар. Қаскөй жалған ICMP Redirect хабарында өзінің немесе басқа кез келген IP мекен-жайды бағдарғылауыш ретінде көрсете алады. Ал RFC-1122 құжатының талабы бойынша, кез келген түйін келіп түскен redirect-хабарлардың бәрін міндетті түрде өңдеуге тиісті. Осының нәтижесінде түйін redirect-хабарын қабылдап алған соң өзінің ағымдағы бағдарғылау кестесіне өзгеріс енгізеді. Сөйтіп, осы түйіннің барлық деректер ағыны енді жалған redirect-хабарды жіберген түйін арқылы өтетін болды(1- сурет).

2-сурет. ICMP Redirect көмегімен жалған бағдарғылауышты  міндеттеу.

    А түйінінің бағдарғылар кестесінде жалған redirect-хабарын жіберетін түйін В түйініне баратын жолдағы бірінші бағдарғылауыш болуы тиісті және В түйіні А түйіні орналасқан желінің ішіне кірмеуі керек, ал жаңадан пайда болған жалған бағдарғылауыш Х, керісінше, А түйінімен бір IP-желіде болуы қажет.

    А түйіні келген redirect-хабарды алдында  В түйініне жіберілген дестеге жауап  деп санайды. Осы хабардан А түйіні В түйініне жіберілетін дестелердің  бағытын ауыстыру керектігін анықтайды  да өзінің бағдарғылау кестесіне  енді деректер тасымалдауды redirect-хабарда көрсетілген бағдарғылауыш арқылы жүзеге асыру жайында өзгеріс енгізеді.

    Сонымен, А және В түйіндері арасындағы деректер ағынын жолай ұстау мақсатымен жалған redirect-хабарын ұйымдастыру  үшін қаскүнем А түйінімен бір IP-желіде болуы және А түйінінен В түйініне жіберілген дейтаграмма өтетін бағдарғылауыштың мекен-жайын білуі керек.

    Егер  желіде бір-ақ ретқақпа болса, онда ол осы керекті бағдарғылауыш болып  табылады. Одан кейін қаскөй хабар  жіберушінің мекен-жайы ретінде  ретқақпаның IP мекен-жайы көрсетілген, ал А түйіні қабылдаушысы болып табылатын IP-десте қалыптастырады. Осы IP-дестенің ішіне redirect-хабары орналастырылады. Бұл redirect-хабарының жаңа бағдарғылауыш мекен-жайы алаңшасында қаскөйдің IP мекен-жайы көрсетіледі, ал одан кейін (А түйінінен В түйініне бұрын жіберілген сымақты) кез келген дестенің бастамасы орналасады. IP жекебөлшегі бұрын жіберілген дестелер туралы ақпаратты сақтамайтын болғандықтан, бұл жерде нақты дестенің бастамасын келтірудің қажеттігі жоқ.. Осылайша қалыптастырылғн хабар қабылдаушыға (А түйініне) жіберіледі. А түйіні бұл хабарды ретқақпадан келген деп санайды да өзінің бағдарға\ылау кестесін өзгертеді. В түйініне Х арқылы салынған жаңа бағдарғы бірнеше минут бойы іске жарайтын болғандықтан, қаскөй оны сақтап тұру үшін мезгіл-мезгіл жалған redirect-хабарын жіберуді қайталап тұруы керек.

    Айтып кететін тағы бір жайт – В түйінінің  деректер ағыны бұрынғысынша тікелей  А түйініне жіберіліп тұрады (яғни жартылай жолай ұстау жүзеге асырылған). Себебі: ретқақпа мен А түйіні бір желіде орналасқан, сондықтан, дестелерді А түйініне жеткізу үшін ретқақпаға аралық түйіндерді пайдаланудың қажеттігі жоқ. Сондай-ақ қаскөй В түйініне арналып А түйінінен келген дестені әрі қарай В түйініне жібермей, В түйінінің орнына өзі жалған дестемен жауап қайтаруына да болады.

    Кейбір  жағдайларда жалған бағдарлауышты  міндеттеу шабуылын, түйінді пішінүйлесімдіру кезінде, қаскүнем шабуыл жасалынатын  түйінге (ICMP Router Advertisement хабары немесе DHCP хаттамасының жалған DHCPOFFER хабары көмегімен ) өзінің IP мекен-жайын бағдарғылауыш ретінде көрсету арқылы жүзеге асыра алады.

    ICMP Router Advertisement хабары. ICMP хаттамасының Router Advertisement хабарын түйіндер үнсіз келісім бойынша бағдарғы тағайындау үшін қолданы мүмкін (бұл - өте сирек кездесетін жағдай, әдетте түйінді пішінүйлесімдіру үшін  DHCP хаттамасы пайдаланылады). Егер түйін Router Advertisement хабарын өңдейтін болса, онда қаскөй жалған хабар қалыптастырып, А түйіннің (тек В түйініне арналған ғана емесе, онымен қатар А түйіні желісінің сыртына шығатын) барлық деректер ағынын өзіне бағыттауы мүмкін. Бұл шабуыл кезінде де жалған ICMP Redirect хабары көмегімен жасалған шабуылдағы сияқты В түйінінің деректер ағыны бұрынғысынша (қаскөйдің Х түйінін орай өтіп) тікелей А түйініне жіберіліп тұрады.

    DHCP DHCPOFFER хабары. Егер түйін өзін пішінүйлесімдіру үшін DHCP хаттамасын қолданатын болса, онда қаскөй DHCPDISCOVER сұратуына (қосымша параметрлер қатарында өзін үнсіз келісім бойынша бағдарғылауыш ретінде көрсетіп) жалған DHCPOFFER хабарымен жедел түрде жауап қайтарады. Бұл шабуыл кезінде де жартылай жолай ұстау жүзеге асырылады. 

       2.3  Жалған ICMP Redirect хабарының алдын  –алу, қорғау

    Жалған ICMP Redirect хабары арқылы ұйымдастырылған  шабуылды болдырмау үшін түйіндерде (RFC-1122 құжатының талабына қарсы болса да) Redirect хабарын өңдеуге тыйым салу керек. Екінші жағынан қабылданып алынған жалған Redirect хабары бағдарғылау кестесінде кенеттен пайда болған қатар ретінде көрсетімделеді. Сондай-ақ, traceroute бағдарламасы В түйініне баратын жолда қосымша аралық түйін пайда болғанын көрсетеді. Сондықтан, егер пайдаланушы түйіннің бағдарғылау кестесіне назар аударса немесе traceroute бағдарламасын іске қосатын болса, онда қаскөйдің бұл шабуылы байқалып қалар еді.

    Мұндай  шабуылдан қорғанудың бір әдісі берілген хабарды сүзгілеу(Firewal-ды пайдалана немесе сүзгілейтін бағдарғылауыш),  қажет немесе бұл хабарды игноризациялайтын сәйкес желілік ОЖ таңдау қажет. Жалғыз ғана әдіс (мысалға, Linux ОЖ немесе FreeBSD жағдайында) шыққан мәтінді өзгерту және ОЖ ядросын қайта компиляциялау қажет. Мұндай экзотикалық келіс  шыққан мәтінмен бірге еркін таралатын ОЖ үшін ғана болуы мүмкін.

    Тәжірибелер көрсеткендей, берілген хабар Windows 95 и Windows NT 4.0 ОЖ-де бағдарғылауышты өзгерте  алады. Microsoft компаниясының өнімдері мүмкін болатын шабуылдардан ерекше қорғайтындығымен ерекшеленеді. Ізінше, IP-желінің қорғалған сегментінде ОЖ-ні мүмкіндігінше пайдаланбаған дұрыс. Бұл осындай шалғайдағы  шабуылды қорғау боцынша әкімшілік шешім болады.

       2.4 ІР-спуфинг

     ІР-спуфинг  мекеменің ішінде бар болатын  немесе одан тыс орналасқан хакер  өзін рұқсатты пайдаланушы ретінде  ұсынса болады. Мұны екі әдіспен  жасауға болады. Біріншіден, хакер  рұқсатты ІР-мекенжайлардың диапазонының шегінде орналасқан ІР-мекенжайды немесе нақты тораптық ресурстарды қолдануға рұқсаты бар авторланған ішкі мекенжайды қолдануы мүмкін. ІР-спуфингтің шабуылдары әдетте басқа шабуылдар үшін жіберілу нүктесі болып табылады. Классикалық мысал – DoS шабуылы, ол хакердің ақиқат тұлғасын жасыратын бөтен мекен-жайдан басталады.

     Әдетте  ІР-спуфинг клиенттік және серверлік  қосымшалар арасында немесе біррангты  құрылғылар арасындағы байланыс арнасы бойымен тасымалданатын кәдімгі  деректер ағынына жалған ақпаратты  немесе қастық командаларды ендірумен  шектеледі. Екі жақты байланыс үшін хакер барлық бағдарғылау кестелерін өзгерту қажет, трафикті жалған ІР-мекенжайға бағыттау үшін. Егер басты мақсат жүйеден маңызды файлды алу болып табылса, онда қосымшалардың жауаптары еш нәрсені білдірмейді. Егер хакер бағдарғылау кестелерін өзгерте алса және трафикті жалған ІР-мекенжайға бағыттай алса, онда хакер барлық дестелерді алады және ол рұқсатты пайдаланушы ретінде оларға жауап қайтара алады.

     Спуфингтің  қаупін төмендетуге (бірақ жоюға  емес) болады келесі шаралардың көмегімен:

• қолжетерлікті бақылау;
• RFC 2827 фильтрлеу.

      Қолжетерлікті бақылау – ІР-спуфингті тойтарудың ең қарапайым әдісі қолжетерлікті  дұрыс бапталуында болып табылады. ІР-спуфингтің тиімділігін төмендету  үшін сіздің торабыңыздың ішінде орналасуы  қажетті бастапқы адресі бар сыртқы тораптан келетін кез-келген трафикті кесіп тастауға бағытталған қолжетерлікті басқаруды баптаңыз. Бұл тек ішкі мекенжайлар рұқсатты болған кезде ғана ІР-спуфингтермен күресуге көмектеседі. Егер сыртқы тораптың кейбір мекенжайлары да рұқсатты болса, онда берілген әдіс тиімсіз болады.

      RFC 2827 фильтрлеу – Сіз сіздің торабыңыздың пайдаланушыларымен бөтен тораптардың спуфингтік әрекеттерінің алдын ала аласыз (сөйтіп парасатты “тораптық азамат” бола аласыз). Ол үщін бастапқы мекен-жайы сіздің мкемеңіздің ІР-мекенінің біреуі болып табылмайтын кез-келген шығатын трафикті брактап тұру қажет. “RFC 2827” атымен белгілі фильтрациялаудың бұл түрін сіздің провайдеріңіз (ISP) де атқара алады. Мысалыға, егер ISP ІР-мекенмен 15.1.1.0/24 байланысты ұсынатын болса, онда ол фильтрді берілген интерфейстен ISP бағдарғылауышына тек 15.1.1.0/24 мекенінен түсетін трафик ғана өте алатындай қылып баптай алады. Барлық провайдерлер фильтрлеудің осы түрін ендірмегенше оның тиімділігі мүмкін мәнінен едәуір төмен боладтынын айта кету қажет. Фильтрлеу құрылғылары неғұрлым алыс болса, соғұрлым нақты фильтрлеуді өткізу қиынырақ болады. Осылайша, мысалыға, RFC 2827 фильтрлеуі бағдарғылауыш рұқсатының деңгейінде бастапқы тораптық мекеннен (10.0.0.0/8) бастап бүкіл трафиктің өтуін қажететеді, ал таралу деңгейінде болса (берілген сәулетте) трафикті нақтырақ шектеуге болады (мекен-жай – 10.1.5.0/24).

     ІР-спуфингпен күресудің ең тиімді әдісі, сниффинг дестелерінің жағдайындағыдай: шабуылды абсолютті тиімсіз ету қажет. ІР-спуфинг аутентификация тек ІР-мекендердің базасында жүргізілу шартында ғана қызмет атқара алады. Сондықтан аутентификациялаудың қосымша әдістерін енгізу шабуылдың бұл түрін пайдасыз қылады. Қосымша аутентификациялаудың қосымша түрінің ең жақсысы криптографиялық болып табылады. Егер ол мүмкін емес болса, онда жақсы нәтижелерді бірретті кілт сөздерді қолданатын екіфакторлы аутентификациялау бере алады.

       2.5 IP sequence number (IP-spoofing) болжау

     Берілген жағдайда қаскүнемнің мақсаты – басқа жүйе болып қылымсу, қайсына, мысалыға жүйе-құрбан “сенеді”. әдіс сондай-ақ басқа мақсаттарда да қолданылады – мысалы, құрбанның SMTP жалған хаттарды тасымалдау үшін қолданылады.