Druhy sieťových útokov

linux_server.jpg V pred­chá­dza­jú­cich čas­tiach náš­ho se­riá­lu sme uká­za­li, ako sa brá­niť pro­ti rôz­nym úto­kom od roz­lič­ných útoč­ní­kov. Po ma­lej pres­táv­ke, keď sme klo­pa­li na li­nuxovú brá­nu, bu­de­me v tej­to té­me pok­ra­čo­vať. Opí­še­me ďal­šie dru­hy mož­ných úto­kov a naz­na­čí­me spô­sob ochra­ny pro­ti nim.

Šta­tis­tic­ky mô­že­me poz­na­me­nať, že ob­čas sa sí­ce ob­ja­ví no­vý druh úto­ku, kto­rý prí­de v tes­nom zá­ve­se za no­vou služ­bou, kto­rá sa za­čne v Li­nuxe pou­ží­vať, ale všeo­bec­ne sa kon­cep­cie úto­kov dl­ho­do­bo nez­me­ni­li a to nám prá­ve po­má­ha pri účin­nej ob­ra­ne.

Útok na WWW server
Vďa­ka prud­ké­mu roz­vo­ju in­for­mač­ných a ko­mu­ni­kač­ných tech­no­ló­gií a hlav­ne webu nas­tá­va si­tuácia, keď si vlast­ný (či už škol­ský, pod­ni­ko­vý, ale­bo do­má­ci) WWW server vy­tvo­rí aj sku­pi­na me­nej zdat­ných správ­cov. Tí sú nao­zaj ra­di, že im ich server ne­ja­ko fun­gu­je, a ako­si pred­pok­la­da­jú, že vo sve­te po­čí­ta­čov sú všet­ci ako oni – nad­šen­ci, kto­rí by ani mu­che neub­lí­ži­li. Pre­to o zá­sa­dách bez­peč­nos­ti ne­ma­jú ani tu­še­nie a, po­cho­pi­teľ­ne, ani dos­ta­toč­né ve­do­mos­ti. Prá­ve na ta­ké­to server­y sa po­ten­ciál­ni útoč­ní­ci za­me­ria­va­jú. Po­va­žu­jú ich za akú­si ško­lu či tré­nin­go­vé stre­dis­ko, le­bo ve­dia, že aj v prí­pa­de od­ha­le­nia im ni­ja­ký práv­ny pos­tih neh­ro­zí. Po dos­ta­toč­nom za­cvi­če­ní pos­tú­pia na server­y vlád­nych in­šti­tú­cií či bánk, tak ako sa to doz­ve­dá­me pra­vi­del­ne z mas­mé­dií. Tre­ba ob­jek­tív­ne poz­na­me­nať, že ani zdat­ní správ­co­via sa úto­kom ne­vyh­nú, a tak v pod­sta­te kaž­dý sluš­ný správ­ca neus­tá­le sle­du­je, či nie sú je­ho server­y zra­ni­teľ­né, a v prí­pa­de po­doz­re­nia vy­ko­ná­va okam­ži­tú náp­ra­vu. Úspeš­ný útok vždy zna­me­ná nep­rí­jem­nos­ti. Po úto­ku nas­le­du­je ne­fun­kčnosť sie­te po ur­či­tú do­bu, ob­no­va server­a spo­je­ná s ana­lý­zou chýb a hľa­da­ním ne­dos­tat­kov a, sa­moz­rej­me, stra­ta pres­tí­že, kto­rá mô­že nie­ke­dy zna­me­nať aj stra­tu za­mes­tna­nia. Hm, nao­zaj zlá skú­se­nosť.

Skrip­ty PHP
Naj­čas­tej­ší­mi vrát­ka­mi do webo­vé­ho server­a sú skrip­ty PHP (ako sa tvo­ria skrip­ty PHP, to sme si uká­za­li v pre­doš­lých čas­tiach se­riá­lu). Naj­čas­tej­šia chy­ba, kto­rú auto­ri skrip­tov PHP ro­bia, je neo­šet­re­nie vstu­pov, vďa­ka čo­mu do­ká­že útoč­ník pred­kla­dať skrip­tom na­mies­to oča­ká­va­ných prí­ka­zov ta­ké, kto­ré sú bež­ne spra­co­va­teľ­né, ale vy­ko­ná­va­jú to, čo si útoč­ník že­lá. Tak­to sa dá po­mer­ne jed­no­du­cho vstú­piť do da­ta­báz SQL, poz­me­niť ich ob­sah a zme­niť tak rôz­ne hes­lá, skla­do­vé zá­so­by, fak­tú­ry či znám­ky na škol­skom server­i. Mož­no to spo­čiat­ku ne­vy­ze­rá tak hroz­ne, ale dôs­led­ky mô­žu byť pre fir­mu lik­vi­dač­né.

Skrip­ty CGI
Dru­há po­dob­ná me­tó­da je útok na skrip­ty CGI (prík­la­dy skrip­tov CGI a ich vy­uži­tia sme ta­kis­to uká­za­li dáv­nej­šie). Pre­to­že skrip­ty CGI sú v pod­sta­te bež­né spus­ti­teľ­né prog­ra­my, za­slú­žia si dos­ta­tok po­zor­nos­ti. Spúš­ťať tie­to prog­ra­my to­tiž mô­že kto­koľ­vek, kto pris­tú­pi na da­nú webo­vú strán­ku. Ak je skript CGI zle na­pí­sa­ný, mô­že spô­so­biť rôz­ne „prek­va­pe­nia“. Mno­hí za­čí­na­jú­ci web­mas­tri uk­la­da­jú do svo­jich skrip­tov hes­lá v ot­vo­re­nej po­do­be. Je to rých­le, jed­no­du­ché a po­hodl­né, ale ne­bez­peč­né, le­bo ich mož­no veľ­mi ľah­ko zís­kať. Ty­pic­ká chy­ba je neo­šet­ro­va­nie vstup­ných dát na tak­zva­nú „bl­buv­zdor­nosť“. Ako prík­lad si pred­stav­me veľ­mi jed­no­du­chý skript, kto­rý zo za­da­nej vý­šky a hmot­nos­ti vy­po­čí­ta tak­zva­ný in­dex BMI. Všet­ko fun­gu­je správ­ne, po­kiaľ pou­ží­va­teľ za­dá­va do kon­krét­nych okie­nok čís­li­ce. Čo sa však sta­ne, ak za­dá rad pís­men? Ale­bo stov­ku pís­men? Ak je skript dob­re ošet­re­ný, v prí­pa­de za­da­nia pís­me­na na­mies­to čís­li­ce bu­de pou­ží­va­teľ na to upo­zor­ne­ný. No ak skript nie je ošet­re­ný, mô­že dôjsť k pá­du skrip­tu a vý­pi­su je­ho zdro­jo­vé­ho textu pria­mo na ob­ra­zov­ku. Ďal­šia chy­ba je, že za­čí­na­jú­ci web­mas­ter náj­de niek­de na inter­ne­te skript na pl­ne­nie kon­krét­nej úlo­hy. Ten bez dôk­lad­né­ho ove­re­nia nain­šta­lu­je do svoj­ho server­a a po­tom je veľ­mi prek­va­pe­ný, že na dru­hé rá­no sa ne­mô­že prih­lá­siť do server­a.

Buf­fer overflow
Dnes sa stá­le veľ­mi čas­to pou­ží­va­jú úto­ky za­me­ra­né na pre­te­če­nie zá­sob­ní­ka server­a. Na­zý­va­jú sa buf­fer overflow a za­kla­da­jú sa na tom, že do pre­hlia­da­ča sa za­dá neš­tan­dar­dne dl­há ad­re­sa URL webo­vej strán­ky, s kto­rou si webo­vý server ne­vie po­ra­diť. Vte­dy sa webo­vý server mô­že zrú­tiť pria­mo do shel­lu, a to s ta­ký­mi prá­va­mi, aké mal nas­ta­ve­né da­ný webo­vý server. Pre­to nik­dy nep­ri­pus­ťme, aby náš webo­vý server na Li­nuxe bež­al s prá­va­mi roo­ta (a koľ­kí to tak ro­bia!).

Od­po­čú­va­nie ko­mu­ni­ká­cie
Dru­hý naj­čas­tej­ší spô­sob úto­ku je od­po­čú­va­nie ko­mu­ni­ká­cie na sie­ti. Exis­tu­je znač­né množ­stvo dát, kto­ré pre­chá­dza­jú sie­ťou v ne­za­šif­ro­va­nej po­do­be. A sta­čí, aby niek­de na ces­te niek­to pri­po­jil po­čí­tač, nas­ta­vil sie­ťo­vú kar­tu ale­bo iné tech­nic­ké za­ria­de­nie do pro­mis­kuit­né­ho mó­du, a má ce­lú pre­vádz­ku ako na dla­ni. Sta­čí, ak sle­du­je ča­rov­né slo­vo password (ale­bo pass, passwd a po­dob­ne) a od­chy­tí zna­ky nas­le­du­jú­ce za ním. Pre­to správ­ny ad­mi­nis­trá­tor ne­pou­ží­va prog­ram tel­net, le­bo ten po­sie­la ko­mu­ni­ká­ciu ot­vo­re­nú, ne­za­šif­ro­va­nú. Na­mies­to tel­ne­tu dnes pou­ží­vaj­me ssh a po­dob­ne. Mno­hí za­čí­na­jú­ci ad­mi­nis­trá­to­ri si my­slia, že pou­ží­va­ním ssh sa od­po­čú­va­niu vy­hli. To však nie je prav­da. Exis­tu­je množ­stvo slu­žieb, kto­ré svo­je dá­ta ne­šif­ru­jú. Sú to služ­by ako FTP, HTTP, PO­P3, SMTP a ďal­šie v tom naj­jed­no­duch­šom nas­ta­ve­ní (stá­le exis­tu­je mož­nosť nas­ta­viť napr. pro­to­kol PO­P3 na šif­ro­va­nie he­siel). Veľ­mi ne­bez­peč­né je, keď si správ­ca server­a čí­ta poš­tu na server­i pod úč­tom roo­ta.

De­nial of Servic­e
Pod­sta­ta úto­ku De­nial of Servic­e (DoS) je v za­hl­te­ní server­a veľ­kým množ­stvom dát. Server to­to množ­stvo dát nez­vlád­ne a zrú­ti sa. Ten­to útok sa mô­že „zlep­šo­vať“ ra­fi­no­va­ný­mi kom­bi­ná­cia­mi, kde na za­sie­la­nie to­ku dát sa pou­ží­va viac útoč­ných po­čí­ta­čov. Vte­dy ho­vo­rí­me o DDoS – dis­tri­buo­va­nom úto­ku DoS. Zá­ro­veň sa po­sie­la­jú nez­my­sel­né pa­ke­ty s poš­ko­de­nou hla­vič­kou, ot­vá­ra­jú sa spo­je­nia, kto­ré sa zá­mer­ne ko­rek­tne neu­zav­rú, a po­dob­ne, čím sa zná­so­bu­je útoč­ná si­la. V ta­kom­to prí­pa­de sa nao­zaj ťaž­ko dá brá­niť a server sko­la­bu­je, sa­moz­rej­me, sil­ný tok dát nad­mie­ru za­ťa­ží aj po­čí­ta­čo­vú sieť a nás­led­ne spo­ma­lí os­tat­né po­čí­ta­če.

Ochra­na pro­ti ta­ké­mu­to úto­ku je veľ­mi zlo­ži­tá, ale nie ne­mož­ná. Jed­na z mož­nos­tí je kon­tro­la poč­tu spo­je­ní z jed­nej IP ad­re­sy, a keď dôj­de k prek­ro­če­niu li­mi­tu, za­ká­že sa ďal­šie spo­je­nie. Ty­pic­ký prík­lad sú ICQ server­y, kto­ré sa pri rých­lom od­hlá­se­ní a opä­tov­nom prih­lá­se­ní vo veľ­mi krát­kom ča­so­vom úse­ku dom­nie­va­jú, že ide o útok DoS, a tak na pol ho­di­ny za­blo­ku­jú da­ný účet.

Ako sa pro­ti ta­kým­to úto­kom brá­niť, to si uká­že­me na­bu­dú­ce.

Ďal­šie čas­ti >>

Zdroj: Infoware 1/2010



Ohodnoťte článok:
 
 
 

24 hodín

týždeň

mesiac

Najnovšie články

Li­nux prak­tic­ky ako server úvod
Linux ako server je pomerne zložitá technológia. Jej výhodou je určitá modularita, keď sa nemusí nastaviť celý server naraz, ale postupne. čítať »
 
Syn­chro­ni­zá­cia ča­su v Li­nuxe
V predchádzajúcich dvoch častiach sme si ukázali, že Linux a všeobecne open source softvér sa nenachádza iba v serveroch a počítačových sieťach, ale aj v iných zariadeniach bežnej domácej potreby a v oblasti hobby. čítať »
 
Za­ria­de­nia za­lo­že­né na Li­nuxe
V predchádzajúcej časti sme si spomenuli definície nie - ktorých pojmov z oblasti nášho záujmu, teda Linuxu. Vysvetlili sme si, čo je to Open Source, Public Domain, proprietárny softvér a GNU GPL. Tentoraz ukážeme, ako sa tieto pojmy využívajú v praxi. čítať »
 
Po­jmy z ob­las­ti
Tentoraz na chvíľu trochu odbočíme od bezpečnosti Linuxu a jeho siete. V tejto neštandardnej časti seriálu sa mu budeme venovať len okrajovo. čítať »
 
Bez­peč­nosť bez­drô­to­vých sie­tí II.
V predchádzajúcej časti sme sa začali zaoberať bezpečnosťou bezdrôtových sietí. Poukázali sme na rôzne faktory zneužitia siete, podstatu rizika a vysvetlili sme základné prvky bezpečnosti. čítať »
 
Bez­peč­nosť bez­drô­to­vých sie­tí I.
V predchádzajúcich častiach sme sa venovali bezpečnosti linuxového servera. Riešili sme firewall, bezpečnosť prístupu na internet, zaoberali sme sa demilitarizovanou zónou a podobne. čítať »
 
Údr­žba lo­gov – kon­fi­gu­rá­cia log­ro­ta­te
V predchádzajúcej časti sme sa venovali rotácii logov. Vysvetlili sme princíp ukladania logov, spôsob, ako sa rotujú, a uviedli sme niečo o tom, čo a ako treba nastaviť čítať »
 
Údr­žba lo­gov – ro­tá­cia
V predošlej časti sme sa zaoberali spôsobom logovania informácií na iný alebo vzdialený počítač a ukázali sme, ako riešiť problém s logovaním uzavretých procesov pomocou chroot. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter