Смекни!
smekni.com

Несанкционированный доступ к терминалам серверов с операционными системами семейства UNIX (стр. 1 из 4)

Министерство образования российской федерации

Липецкий государственный технический университет

Кафедра АСОИУ

Индивидуальное домашнее задание по дисциплине «Операционные системы»

«Несанкционированный доступ к терминалам серверов с операционными системами семейства UNIX. На примере octopus.stu.lipetsk.ru »

Выполнил: Архипов Н.А.

Группа: АС-99-2

Принял: Журавлева М.Г.

Липецк 2001

Предисловие

План, что и говорить, был превосходный: простой и ясный, лучше не придумаешь. Недостаток у него был только один: было совершенно неизвестно, как привести его в исполнение.

Л. Кэрролл. Алиса в стране чудес

В данном отчете мы попытаемся выявить «дыры» и «изъяны» локальной компьютерной сети ЛГТУ (LSTU) в целом и в частности сервера для изучения операционных систем UNIX – octopus.lstu. Для этого мы расскажем о возможных попытках получения доступа к терминалам серверов, в том числе и с правами root’a, а так же попытка перегрузить сервер. Здесь не рассматривается такой вид атаки как «Социальная инженерия», поскольку наша задача – изучение операционных систем, а не психологии. Сразу предупреждаю, что на практике не использовалось ни каких деструктивных действий (в том числе перегрузки сервера), кроме тех действий которые использовались только для изучения сети. Поэтому, мы ни какой ответственности за использование этого документа не несем.

Особенности безопасности компьютерных сетей

Основной особенностью любой сетевой системы является то, что ее ком­поненты распределены в пространстве, а связь между ними осуществляет­ся физически, при помощи сетевых соединений (коаксиальный кабель, витая пара, оптоволокно и т. п.), и программно, при помощи механизма со­общений. При этом все управляющие сообщения и данные, пересылаемые между объектами распределенной вычислительной системы, передаются по сетевым соединениям в виде пакетов обмена.

К сетевым системам, наряду с обычными (локальными) атаками, осуще­ствляемыми в пределах одной компьютерной системы, применим специфи­ческий вид атак, обусловленный распределенностью ресурсов и информа­ции в пространстве так называемые сетевые (или удаленные) атаки (remote или networkattacks). Они характеризуются, во-первых, тем, что злоумышленник может находиться за тысячи километров от атакуемого объекта, и, во-вторых, тем, что нападению может подвергаться не конкрет­ный компьютер, а информация, передающаяся по сетевым соединениям. С развитием локальных и глобальных сетей именно удаленные атаки стано­вятся лидирующими как по количеству попыток, так и по успешности их применения, и, соответственно, обеспечение безопасности ВС с точки зре­ния противостояния сетевым атакам приобретает первостепенное значение.

удаленные атаКИ НА ХОСТЫ iNterNet

Многое наша Земля повидала, Но не видала Такого скандала!

Б. Заходер. География всмятку

Анализ сетевого трафика Internet

В Internet базовыми протоколами удаленного доступа являются TELNET и FTP (FileTransferProtocol). TELNET - это протокол виртуального тер­минала (ВТ), позволяющий с удаленных хостов подключаться к серверам Internet в режиме ВТ. FTP - протокол, предназначенный для передачи файлов между удаленными хостами. Для получения доступа к серверу по данным протоколам пользователю необходимо пройти процедуры иденти­фикации и аутентификации. В качестве информации, идентифицирующей пользователя,

выступает его имя, а для аутентификации используется па­роль. Особенностью протоколов FTP и TELNET является то, что пароли и идентификаторы пользователей передаются по сети в открытом, неза­шифрованном виде. Таким образом, необходимым и достаточным услови­ем для получения удаленного доступа к хостам по протоколам FTP и TELNET являются имя и пароль пользователя.

Одним из способов получения таких паролей и идентификаторов в Internet является анализ сетевого трафика. Этот анализ осуществляется с помощью специальной программы-анализатора пакетов (sniffer), пере­хватывающей все пакеты, передаваемые по сегменту сети, и выделяющей среди них те, в которых передаются идентификатор пользователя и его па­роль. Сетевой анализ протоколов FTP и TELNET показывает, что TELNET разбивает пароль на символы и пересылает их по одному, помещая каждый символ пароля в соответствующий пакет, aFTP, напротив, пересылает па­роль целиком в одном пакете.

Возникает вопрос: а почему бы не сделать передачу имени пользователя и пароля в зашифрованном виде? Видимо, пробле­ма в том, что базовые прикладные протоколы семейства TCP/IP разраба­тывались очень давно, в период с конца 60-х до начала 80-х годов, и с тех пор абсолютно не изменились. При этом точка зрения на построение гло­бальных сетей стала иной. Инфраструктура Сети и ее протоколы разраба­тывались исходя, в основном, из соображений надежности связи, но не из соображений безопасности.

Таким образом возможно отследить сетевой поток и выявить пакеты содержащие необходимые данные (Имя, пароль, и т.д.). Так как в данном документе рассматривается толькосервер ЛГТУ octopus.lstu, то я проанализировав сеть, пришел к выводу, что сервер не всегда находится в активном состоянии. Таким образом, данный вариант атаки отпадает, да и еще чтобы постоянно отслеживать трафик, необходимо, чтобы все это время в сети находился хотя бы один компьютер, что невозможно из-за финансовых трудностей.

Перебор паролей в файле /etc/passwd

В ранних версиях операционных системах семейства UNIX зашифрованные пароли (точнее их хэш-копии) хранились в файле /etc/passwd. В современных UNIX’ах пароли хранятся в /etc/shadow. Хранение зашифрованных паролей в /etc/passwd делает систему сервера octopus.lstu уязвимой. Здесь используется хэш-функция DataEncryptionStandard (DES 48/64 4K). Поскольку данная шифровка работает только «в одну сторону», а проверка подлинности пароля заключается в том, что при вводе пароля пользователя, операционная система шифрует введенную последовательность и сравнивает ее со строкой в файле /etc/passwd. Вот пример записи паролей и имен пользователей в /etc/passwd:

root:LyavHDdahFcwU:0:1:Superuser:/:

malysh:7DnDkTMD9/wG2:1007:25:Olga A. Bocharnikova, AS-98-1:/user/students/as98/malysh:

Для перебора паролей мы используем тот же метод, что и операционная система: перебираю все возможные комбинации букв латинского алфавита (причем имеет значение прописная буква или строчная), цифр и специальных знаков. Здесь можно использовать как функции самой операционной системы, так и написать свою функцию шифровки. Но нужно быть точно уверенным что за алгоритм используется в данном случае, иначе перебор не приведет ни к каким результатам. На компьютере octopus используется алгоритм шифрования DES [48/64 4K]. Так как на octopus’e столь неважные, по сегодняшним меркам, аппаратные средства (см. следующий пункт), то ни о каком переборе пароля не может идти и речи. Тем более, даже на более быстрых машинах (PentiumIII – 650MHz) расшифровка заняла примерно 30 суток (!!!). Да и сервер не все время находится в рабочем состоянии, как уже было замечено выше. В отчете прилагается часть программы, для расшифровки паролей файла /etc/passwd.

Deny of Service (DoS) атака.

Дословно DenyofService переводится как «отказ в обслуживании». Это означает например, что операционная система не может обслужить запрос пользователя или другой системы.

Рассмотрим нарушение работоспособности хоста в сети при ис­пользовании направленного шторма ложных TCP-запросов на создание соединения либо при переполнении очереди запросов. Из рассмотренной в предыдущем пункте схемы создания TCP-соедине­ния следует, что на каждый полученный TCP-запрос (TCPSYN) операци­онная система должна сгенерировать начальное значение идентификатора ISN и отослать его на запросивший хост. Но так как в Internet (стандарта IPv4) не предусмотрен контроль за IP-адресом отправителя сообщения, то проследить истинный маршрут, пройденный IP-пакетом, невозможно и, следовательно, у конечных абонентов сети нет способа ограничить число запросов, принимаемых в единицу времени от одного хоста. Поэтому возможно осуществление типовой удаленной атаки «отказ в обслужива­нии», которая будет заключаться в передаче на объект атаки как можно большего числа ложных TCP-запросов на создание соединения от имени любого хоста в сети (направленный шторм запросов TCPSYN, схема ко­торого приведена на рисунке).


При этом атакуемая сетевая ОС в зависимости от вычислительной мощности компьютера либо перестает реагиро­вать на легальные запросы на подключение (отказ в обслуживании), либо, в худшем случае, практически зависает. Это происходит потому, что система должна, во-первых, сохранить в памяти полученную в ложных сообщениях информацию и, во-вторых, выработать и отослать ответ на каждый запрос. Таким образом, «съедаются» все ресурсы системы: переполняется очередь запросов, и ОС вынуждена заниматься только их обработкой. Эф­фективность данного воздействия тем выше, чем больше пропускная способность канала между атакующим и его целью, и тем ниже, чем больше вычислительная мощность атакуемого компьютера (число и быстродействие процессоров, объем ОЗУ и т.п.).