Станьте мишенью: тестирование возможности проникновения как первая линия обороны PDF Print E-mail
Written by Administrator   
Monday, 20 August 2012 13:36

Трудно переоценить значимость тестирования системы на возможность проникновения в общей структуре информационной безопасности. Очень важно взглянуть на свою сеть глазами взломщика, прежде чем приступать к мероприятиям по повышению защищенности. Отметим ряд вопросов, имеющих отношение к такому тестированию.
Прежде всего, проверяющий должен быть хорошо знаком с теоретической радиофизикой и с конкретными проблемами безопасности, возникающими в этой связи (утечка и возможность обнаружения сигнала, законы, регулирующие выходную мощность передатчика, и характеристики применяемого радиооборудования). Не пропускайте врезки «Основы радиофизики» в этой книге, в них есть много полезного. Безопасность на уровне 1 редко становится проблемой в проводных сетях, но в беспроводных на нее всегда следует обращать внимание. Первым этапом процедуры тестирования системы на возможность вторжения и аудита безопасности должен стать осмотр места развертывания беспроводной сети: выявление мест, в которых может быть получен сигнал, оценка четкости сигнала (отношение сигнал/шум) и измерение быстродействия канала в разных точках зоны покрытия. Необходимо также найти соседние беспроводные сети и другие возможные источники помех.
Перед процедурой осмотра места развертывания ставится четыре задачи:
1. Найти точки, в которые может физически внедриться взломщик.
2. Выявить нелегальные точки доступа и соседние сети (создающие возможности для атаки по случаю или непреднамеренной атаки).
3. Измерить базовую интенсивность источников помех с тем, чтобы можно было впоследствии обнаружить аномальный уровень, например помеху, созданную «глушилкой».
4. Оценить проект сети и ее конфигурацию с точки зрения безопасности.
Последний пункт особенно важен, поскольку воздух - не такая надежная среда для прохождения сигнала, как медь или оптическое волокно, и серьезно относящийся к безопасности администратор легко может спутать неправильную конфигурацию сети с нарушением защиты и, в частности, с DoS-атакой. Например, один хост в беспроводной сети может не суметь обнаружить другой хост, который попал в «слепое пятно» и продолжает посылать SYN-паке-ты. Система IDS в таком случае срабатывает и выдает предупреждение о чрезмерно интенсивном потоке таких пакетов! В то же время пропавший хост перестает посылать протокол syslog-серверу. Системный администратор не на шутку взволнован, но через пять минут восстанавливается нормальная ситуация (мобильный пользователь вышел из слепого пятна). Другой пример - аномальное число фрагментированных пакетов, приходящих из беспроводной локальной сети. Не исключено, что это признак сканирования программой nmap или hping2, которую запустил взломщик или чрезмерно любоїштньгй пользователь. Но чаще данная проблема вызвана тем, что максимальный размер передаваемого блока (MTU) в сети 802.11 (2312 бит) заметно больше, чем в сети 802.3/Ethemet (приблизительно 1500 бит с учетом 802.1q/ISL). Для специалиста по беспроводным сетями все это очевидно, а для администратора, не знакомого с работой сетей 802.11, может стать источником головной боли. Следующим после процедуры осмотра места развертывания этапом является анализ трафика и присоединение к проверяемой сети. Однако успешное присоединение к беспроводной сети - это вовсе не конец тестирования на возможность проникновения, как ошибочно полагают многие консультанты. Наоборот, это только начало. Раз уж вы хотите взглянуть на сеть глазами взломщика, идите до конца! Взломщик-то не останавливается, присоединившись к сети, он собирает и пытается взломать пароли, старается получить привилегии суперпользователя или администратора на всех уязвимых хостах, найти шлюз в Internet и подключиться к внешним хостам. И наконец, он стремится замести свои следы. Если в ходе тестирования не продемонстрировано, в какой мере все вышеперечисленное возможно, то цель не достигнута. Последующие главы посвящены именно этому вопросу -детальному описанию методов проникновения в сети 802.11 и обучению работе с инструментами, размещенными на сайте этой книги (http://www.wi-foo.com). Разумеется, все время выходят обновленные версии этих инструментов и создаются новые утилиты. В то же время от момента подачи заявки на написание книги до появления ее на прилавках проходит очень много времени. Тем не менее мы хотим рассказать о последних версиях всех программ, необходимых для аудита безопасности в сетях 802.11. По крайней мере, то, что описано в этой книге, должно показать вам, где искать новые версии и инструменты и для чего они предназначены. Кроме того, наш сайт будет постоянно сопровождаться, и мы собираемся выкладывать информацию обо всех новейших разработках в области безопасности беспроводных сетей, равно как и новые версии программ. Заходите почаще, и вы не будете разочарованы!
Резюме
Есть много причин для атаки на беспроводные сети, из-за которых именно ваша сеть может оказаться следующей в списке взломщика. Понимание мотивов противника очень важно для оценки опасности, создаваемой им вашей сети, да и для восстановления ее после нанесенного ущерба. Но каким бы ни был мотив, тестирование возможности проникновения - это единственный способ узнать, насколько уязвима сеть к различным атакам. Эту процедуру нужно разбить на этапы, хорошо спланировать и попытаться сымитировать действия высококвалифицированного взломщика, твердо вознамерившегося проникнуть в вашу сеть и воспользоваться ею для своих целей.