Интернет холболт болон broadband интернет, mobile технологи зонхилсон ашиглалт өссөнөөр олон нийтийн сүлжээнд холбогдсон компьютерийн систем, хадгалалтын төхөөрөмжүүдийн тоо нь асар их нэмэгдэж байна. Энэ бүх тооцоолол дэд бүтцэд асар их хамааралтай хэрэг. Бидний
IT суурилуулалт, нууц мэдээлэл болон оюуны өмч нь урьд өмнөхөөс илүү кибер халдлагад мэдрэмтгий байдаг. Эдгээр аюул заналыг шийдвэрлэхийн тулд галт ханаар болон халдлага урьдчилан сэргийлэх систем (IPS) зэрэг төрөл бүрийн аюулгүй байдлын арга хэрэгсэл гаргасан. Гэсэн хэдий ч, шинэ халдлага аргууд эсвэл хөгжиж буй тооцоолох орчин, шинэ эмзэг байдлууд тодорхойлсон аюулгүй байдлын механизм аль болох ойр шинэчилж байх хэрэгтэй. Системийн бүрэн гүйцэд аюулгүй байдлыг хэзээ ч хангаж болно, гэхдээ энэ нь сайжруулах байна. Энэ нь програмуудад зориулсан аюулгүй орчинг хангах архитектур юм.
IT суурилуулалт, нууц мэдээлэл болон оюуны өмч нь урьд өмнөхөөс илүү кибер халдлагад мэдрэмтгий байдаг. Эдгээр аюул заналыг шийдвэрлэхийн тулд галт ханаар болон халдлага урьдчилан сэргийлэх систем (IPS) зэрэг төрөл бүрийн аюулгүй байдлын арга хэрэгсэл гаргасан. Гэсэн хэдий ч, шинэ халдлага аргууд эсвэл хөгжиж буй тооцоолох орчин, шинэ эмзэг байдлууд тодорхойлсон аюулгүй байдлын механизм аль болох ойр шинэчилж байх хэрэгтэй. Системийн бүрэн гүйцэд аюулгүй байдлыг хэзээ ч хангаж болно, гэхдээ энэ нь сайжруулах байна. Энэ нь програмуудад зориулсан аюулгүй орчинг хангах архитектур юм.
Үндэслэл
Нийтийн их хэмжээний өгөгдөл шийдвэрлэх автоматжсан байгууллага болон сүлжээний үйлчилгээний орчинд олон хэрэглэгчид байдаг. Энэ нь public талаар их хэмжээний мэдээлэл сүлжээ буюу вэб дээр хүрч байна гэсэн үг ба мэдээж энэ нь өгөгдлийн хууль бус хандалтаас хамгаалагдсан байх ёстой. Энэ чухал байдал нь Энэтхэгийн зарим өндөр хувийн мэдээллийг үзсэн хэргээс харуулж байна. 2004 онд Babha Atomic Research Centre (Babha цөмийн судалгааны төв)-руу нэвтэрсэн хакер болон Andhra Pradesh улсын засгийн газар болон ерөнхий сайдын хамаарагдах серверүүдрүү нэвтэрсэн хакер юм.
Виртуалчлалын болон хууран мэхлэлтийн арга техник
Халдлагыг урьдчилан сэргийлэхийн оронд бид өөр арга хэмжээ авч болно - virtualisation ашиглан асуудлыг шийдвэрлэх, илрүүлэх. Халдлагыг илрүүлэхдээ бид ямар ч стандарт аргуудыг ашиглаж болно. Систем эвдсэнээр системийг уламжлалт аргаар сэргээж, цэвэрлэж, шинээр суулгах явдал юм. Үүний оронд бид найдвартай орчинд Virtual Machines (VMs) болон тогтмол үйлдвэрлэлийн машин авснаар халдагчийг чиглүүлэх хуурах арга нь өргөжиж автоматаар өөрийгөө цэвэрлэх механизмыг ашиглах болно. Виртуалчлал нь илүү их IT нөөц ашиглалт, уян хатан хүргэх үйлдлийн систем физик тоног төхөөрөмжийг салгах хийсвэрлэл давхарга юм. Энэ нь олон виртуал машин, ялгаатай үйлдлийн систем тусад нь ажиллуулах, side-by-side ижил физик машин дээр олгодог. Виртуал машин файлууд уруу орж хурдан хадгалах, хуулбарлах болон нөөцлөх боломжийг бүрдүүлж хайрцагладаг. Бүрэн систем (бүрэн тохируулсан програм, үйлдлийн систем, BIOS болон виртуал техник хангамж) zero-downtime засвар үйлчилгээ, байнгын ажлын ачаалал нэгтгэх өөр нэг биет серверээс секундын дотор шилжиж болно. Дэлхий нийтээр өнөө үед сүлжээг хэрхэн виртуалчилах талаар ярьж байна.Тэгвэл ирээдүйд бид виртуал сүлжээний аюулгүй байдлыг хангах нь цаашдаа судлах том судалгааны ажил болж байна.Сүлжээг виртуалчилах нь дараах ашигтай байна.Үүнд:
1.Хувааж ашиглах:
Олон серверийг нэгтгэн хуурмагаар нэг сервер дээр ажиллуулж болно.Тухайн олон серверийг удирдахын тулд тэднийг шаардлагатай санах ойгоор хангах хэрэгтэй.
2.Сүлжээг тусгаарлах:
Виртуал машин бүр бусадтайгаа тусгаарлагдан харицдаг байх хэрэгтэй.Хэрвээ шууд мэдээлэл дамжуулж эхлэвэл аюулгүй байдлын том асуудал үүснэ.Өгөгдөл зөвхөн зөвшөөрөгдсөн хийсвэр сүлжээгээр дамжигдах ёстой.Харин бусад зөвшөөрөлгүй хэрэглэгчдийн сүлжээгээр нэвтрэхгүй байх хэрэгтэй.
3.Хайрцаглан дамжуулалт хийх:
Санах ойг зохистой ашиглахын тулд өгөгдлийг програмын аргаар хайрцаглан дамжуулалт хийдэг байх хэрэгтэй.Тухайн ажиллах программ нь стандартаар батлагдсан байх хэрэгтэй.
Spoofing халдлагаас сэргийлэх:
Халдлага илрүүлэхдээ үйлдлийн системийн төвшинд гүйцэтгэж байх хэрэгтэй.Ингэхдээ халдлага илрүүлэх систем болох IDS,IPS –г ашиглан дотоод болон гадаад халдлагуудыг илрүүлж түүнээс сэргийлж болно.Судалгаагаар халдлагын 50 хувийг байгууллагын дотоод талаас үйлддэг болох нь судалгаагаар нотлогдсон байдаг.Түүнийг илрүүлэхэд их төвөгтэй байдаг.Учир нь тэд дотоодын өөрийн гэсэн эрхтэй хэрэглэгчид байдаг.IDS –н гол зорилго бол халдлагыг илрүүлж түүнээс хамгаалах үйлчилгээ үзүүлдэг гэж ойлгож болно.Халдлагыг илрүүлэхийн тулд урсгалыг сайн шүүх хэрэгтэй болдог.Халдагчдыг барихын тулд тодорхой туршилтын систем үүсгэж түүгээр халдагчдыг илрүүлж болно.
IDS ашиглан халдлагын төрлийг тодорхойлох:
Дараах аргуудыг ашиглана.Үүнд:
1.Нууц үгийг кракдах
2.Вирус илгээх
3.ACL,NAT ашиглаг урсгалыг шүүж болно.
4.Хэн нэгнийг дууриах төрлийн халдлага хийх халдагчдыг хуурмаг зүйлээр анхаарлыг нь татах замаар халдлага илэрүүлэх.
5.TCP протколын давуу талыг ашиглан програмын аргаар хайлт хийж халдлага илэрүүлэх.
6.Анхааруулга зурвас халдагчидад үзүүлэх гэх мэт энгийн жишээг ашиглаж болно.
7.Сүлжээгээр урсах пакетуудыг шинжлэх.
Зураг: Snort хийж байгааг харуулав
8.Хулгайлсан мэдээллийг нь ил болгох
9.Дотоод халдлагыг илэрүүлэх
10.Баталгаагүй сүлжээний холболтоос татгалзах хэрэгтэй.
11.Хандалтуудыг хяналт тавих хэрэгтэй.
12.Системийн давуу сул талуудыг судлах
13.Системийн админ эрх хулгайлах халдлага хийх
14.Мэдээллийг замаас нь өөрчлөх эсвэл устгах
15.Хуурмаг өгөгдлийн сан үүсэгж бусдад хуурмаг мэдээлэл түгээх замаар халдах халдлага
16.Системийг баталгаагүй хэрэглэгчдээс хамгаалах
17.DoS халдлагаас системийг хамгаалах
18.Маш олон тооны хандалт хийх
19.smtp халдлагаас серверийг хамгаалах хэрэгтэй.
20.TCP холболт тогтоож байх үед олон холболтын хүсэлт илгээх замаар халдлага хийх зэргээс системийг хамгаалах хэрэгтэй.
Тест 2
Ашиглах нэр: L3Retriever ping Flaw Exploit
Ашиглах код: CAU-EX-2005-0001 (хувилбарын огноо: 08/06/2005)
Тодорхойлолт: Энэ нь дээшлүүлэх давуу эрх олгох, paginit-ийн тушаалын мөрийн нэмэлт өгөгдлүүдийг боловсруулахад буфер дүүрэхээс ашигладаг.
Pass эсвэл fail criteria: Pass эсвэл Identified
Пакет алдагдал: Үгүй
Өргөтгөсөн ажил
Хэд хэдэн хөгжил байдаг. Self-healing механизмаар илрүүлсэн зочин програмуудын түвшинд халдлага өгсөн тархалттай орчин нь хост OS хуурч дуудлага хийх боломжтой байж болно:
1. Хост OS хуурах кодыг гүйцэтгэж, зарим нь ямар ч хэрэггүй бусад системд хакер-ын пакетуудыг дамжуулж, хэрэглээний пакетууд нь IDS self-monitoring ашиглан бодит системд мэдээллэнэ.
2. Найдвартай орчинд хэрэглээний self-healing механизмыг хангах болно.
3. Бид хакер ул мөр болон хариу арга хэмжээг авах дараа нь бид хост OS-аас anti-spoof дуудлага хийх боломжтой.
4. Spoofing кодpуу IDS эх код түүний бодлогыг нэмж болно.
5. Боломж
6. 1d. Олон эх үүсвэрээс ирсэн Distributed Denial of Service буюу DDoS халдлага
7. 2. Зөвшилцөлийн системийн давуу тал болон сул тал нь мэдэгдэж байгаа
8. 2a. Буфер дүүрэх - жишээ нь: Ping of Death - маш том хэмжээний ICMP илгээх
9. 2b. Алсын систем унтрах
10. 3. Веб програмын халдлагын давуу тал нь програмын алдаануудыг ижил үр дагаварт хүргэх.
11. Spoofing architecture
12. Энэхүү архитектур нь цаасан дээр суурилсан ямар ч төрлийн IDS-тэй нийцдэг. Бид үүнийг Snort ашиглахад хэрэглэдэг. Address Resolution Protocol буюу ARP Spoofing нь ЛAN-гийн алсын компьютер дээрх ARP хүснэгтээс spoof агуулгыг ашиглаж буйг ARP кеш оролдлого гэж нэрлэдэг. 2 хаяг нь IP/ethernet сүлжээн дээрх нэг компьютерийг өөр компьютерүүдтэй холбоход ашиглагддаг. Нэг Мас хаяг , өөр нэг IP хаяг. МAC хаяг нь локал сүлжээн дэх пакетуудыг гарцаар дамжуулан гаргахад ашиглагддаг. IP хаяг нь өргөн хүрээтэй интернетэд холбогдоход ашиглагддаг. ARP нь хэн мас хаяг вэ? гэсэн асуултад хариулдаг протокол юм.
13. WinArpSpoofer program
14. WinArpSpoofer нь LAN дээрх өөр компьютераас ARP хүснэгтийг ажилуулдаг програм юм. Тухайлбал чиглүүлэгч нь ARP хүснэгтийг өөрчлөснөөр энэхүү програм нь локал сүлжээн дэх бүх пакетуудыг татах боломжтой болно.
15. CBuildPacket Class
16. CBuildPacket нь WinArpSpoofer програмаас үүссэн класс юм. Үүний ерөнхий нь маш хялбар аргаар үүссэн пакетуудыг сүлжээнд оруулах юм. CbuildPacke классын одоогийн хувилбар нь сүлжээн дээр ARP хүснэгт оруулах болон байгуулах аргуудыг өөртөө багтаасан байдаг. Энэхүү классын дараагийн хувилбар нь TCP, IP болон ICMP гэх сүлжээний пакетуудаас өөр өөр төрлийг багтаана. WinArpSpooferpacket нь одоогийн CBuildPacket класс дээр суурилсан байна. Энэ нь хэрэглэгчийн мэдэж буй бүх пакетыг цуглуулдаг. Одоогийн 0,1 хувилбар нь бүхий л пакетыг дамжуулах болон хуурмаг Аrp хүснэгт үүсгэдэг.
17. CbuildPacket-д ашигладаг ARP spoofing код
18. #include <packet32.h>
#include <BuildPacket.h>
CString Target; // Ethernet Address of Target
CString Attacker; // Ethernet Address of Attacker
CString Gateway; // Ethernet Address of Gateway
CString TargetIP; // IP Address of Target
CString AttackerIP; // IP Address of Attacker
CString GatewayIP; // IP Address of Gateway
CString TargetMAC; // MAC Address of Target
CString AttackerMAC; // MAC Address of Attacker
CString GatewayMAC; // MAC Address of Gateway
void SpoofApp::SpoofTarget()
{
CBuildPacket *arpPacket = new
CBuildPacket;
arpPacket.OpenAdapter(
AdapterName );
/* open an adapter*/
arpPacket.BuildARP (
/* build an ARP packet*/
19. Attacker, Target, ARPOP_
REQUEST /*comma missing?*/
/* for transmission on MAC layer
*/
GatewayIP, AttackerMAC,
/*Spoof IP address of Gateway to
Attacker IP */
TargetIP, TargetMAC
);
// send a packet to the network
arpPacket.SendPacket();
// close the adapter
arpPacket.CloseAdapter();
}
Causing the same IP address to collide
using CbuildPacket:
void SpoofApp::CollideTargetIP()
{
CBuildPacket *arpPacket = new
CBuildPacket;
arpPacket.OpenAdapter(
AdapterName );
arpPacket.BuildARP(
Attacker, Target, ARPOP_
REQUEST /*comma missing?*/
TargetIP, AttackerMAC,
TargetIP, TargetMAC );
// send a packet to the network
arpPacket.SendPacket();
// close the adapter
arpPacket.CloseAdapter();
}
Unspoofing code using CbuildPacket:
void SpoofApp::UnspoofTarget ()
{
CBuildPacket *arpPacket = new
CBuildPacket;
// open an adapter
arpPacket.OpenAdapter(
AdapterName );
// build an ARP packet
arpPacket.BuildARP(
// transmission on MAC layeAttacker, Target, ARPOP_REPLY
/*comma missing?*/
// recover spoofed ARP Table
GatewayIP, GatewayMAC,
TargetIP, TargetMAC
);
// Send a packet to network
arpPacket.SendPacket();
20. // To close the adapter
arpPacket.CloseAdapter();
}
Дүгнэлт
Бид виртуалчлалын болон хууран мэхлэлтэт ашиглан сайжруулсан аюулгүй байдлыг хангах шинэ архитектурыг тоймлосон. Энэ архитектур дээр зочин үйлдлийн систем нь үйлдвэрлэлийн систем гэж үзэж байгаа бөгөөд хост үйлдлийн систем нь найдвартай систем гэж үзэж байна. Энэ архитектур нь аюулгүй орчинд өөрийгөө хянах, өөрийгөө эдгээх механизмыг хангах боломжтой юм.
No comments:
Post a Comment