Размещено на http://www.allbest.ru/

¹Краснодарское высшее военное училище имени генерала армии С.М. Штеменко, Краснодар, Россия

Особенности детектирования и способы маскирования демаскирующих признаков средств проактивной защиты вычислительных сетей

Р.В. Максимов¹, С. П. Соколовский¹, Д. Н. Орехов¹

Аннотация

Проактивные средства и системы защиты информации, реализованные с применением технологий киберобмана, в настоящее время вызывают все больший интерес. Они позволяют предотвращать вредоносное воздействие еще на начальном этапе компьютерной (сетевой) разведки. В этой работе мы рассмотрели один из вариантов реализации таких средств и систем - «сетевую ловушку», на основе программного средства LaBrea, исследовали особенности алгоритмов ее функционирования, которые могут привести к ее обнаружению, что, в итоге, приведет к снижению общего уровня защиты информационной сети. С помощью средства обнаружения «сетевых ловушек» Degreaser, мы протестировали LaBrea для определения ее демаскирующих признаков и их последующей классификации. На основе ловушки LaBrea мы разработали совокупность способов, направленных на устранение выявленных демаскирующих признаков. Разработанные способы были реализованы в виде отдельных программных модулей и интегрированы в модифицированную «сетевую ловушку» NetHole, лишенную выявленных у прототипа недостатков. Результативность проведенных исследований оценена в ходе проведения эксперимента с применением программного средства Degreaser.

Ключевые слова: информационная безопасность, проактивная защита, «сетевая ловушка», «сетевые приманки» демаскирующие признаки, компрометация, киберобман.

Abstract

Passive and proactive network security tools, based on cyber deception technologies, become more and more popular among classic tools. Using such tools gives an opportunity to prevent network attacks on the very beginning - at intelligence gathering stage. In this work we research one of these deceptive tools - a network tarpit. Based on LaBrea taprit, we investigate some fingerprints of its algorithms, that may lead to tarpit detecting and lowering overall security level. We used an open source detection tool Degreaser to find LaBrea's unmasking features, classify them and calculate their influence on the possibility of tarpit discovering. Our main goal was to provide methods to improve network tarpit obscuring capabilities, ridding of revealed unmasking features. These methods were later implemented as modules and integrated in our network tarpit called NetHole, that uses LaBrea as prototype and has no revealed shortcomings. The efficiency of modifications made was then tested in a set of tests with the same detection tool Degreaser.

Keywords: information security, proactive protection, network tarpit, network security, compromising fingerprints, cyber deception, network intelligence gathering.

В настоящее время достаточно большое количество компьютерных атак носит разведывательный характер с целью получения информации о топологии вычислительной сети, являющейся объектом атаки, а также об используемых средствах проактивной защиты вычислительной сети [1, 2]. Одними из средств сетевой защиты, функционирующих с применением обманных сетевых стратегий [3, 4], направленных на создание у нарушителя иллюзий уязвимых целей или способствующих видимости более сложной инфраструктуры, чем существует на самом деле, являются «сетевые приманки» (honeypots) [5, 6], Более совершенные способы сетевого обмана включают в себя не только предоставление противнику правдоподобной цели, но и, так называемые, проактивные меры защиты, такие как, например, удержание в двухстороннем порядке соединения с отправителем пакетов сообщений, что вызывает «истощение» ресурсов отправителя пакетов сообщений для поддержания состояния соединения, замедляет процесс автоматического сканирования атакуемой вычислительной сети и, как результат, накладывает ограничение на используемый нарушителем вычислительный ресурс, что приводит к невозможности осуществлять сетевой информационный обмен. Рассмотренные способы проактивной защиты реализованы в виде инструментальных средств сетевого обмана, так называемых «сетевых ловушек» (network tarpits) [7, 8], а также с применением Linux Netfilter Tarpit, включенным в пакет Xtables-addons.

Компромитирующие свойства

В свою очередь, нарушителями информационной безопасности также активно разрабатываются и совершенствуются средства снижения результативности «сетевых ловушек», реализующие способы их компрометации, посредством детектирования уникальных идентификаторов (демаскирующих признаков) «сетевых ловушек». В качестве средств компрометации «сетевых ловушек», злоумышленниками применяются как общедоступные утилиты nmap, zenmap, ethereal, arping, tethreal и др. анализа сетевого трафика и топологии вычислительной сети, так и специализированные средства компрометации средств проактивной защиты вычислительных сетей [9, 10].

Анализ проведенных исследований, направленных на определение информативности признаков «сетевой ловушки» LaBrea, посредством специализированного средства Degreaser [11] показал, что ей присущи демаскирующие признаки двух типов.

Первый тип - ненадежные демаскирующие признаки, которые на интуитивном уровне могут служить указанием на хост-ловушку, такие как: использование LaBrea специального, строго заданного MAC-адреса (00:00:0F:FF:FF:FF)₁₆ независимо от реального адреса сетевого адаптера; наличие активности любого IP-адреса в его подсети; наличие всех открытых TCP-портов на защищаемом хосте; задержка во времени при ответе на ARP-запросы, прежде чем механизм сетевой ловушки будет активирован.

Второй тип - надежные демаскирующие признаки, которые обнаруживаются посредством проведения удаленного активного сканирования ложных хостов, созданных ловушкой: это характерные размер и опции окна TCP.

Кроме того, основываясь на дополнительных наблюдениях, определены характерные особенности функционирования «сетевых ловушек», такие как то, что ловушки, как правило, относятся к подсети в которой они работают, а также то, что «сетевые ловушки» не генерируют никакого ответа на уровне приложения.

Таким образом, возникает противоречие между результативностью защиты вычислительных сетей и возможностями нарушителей по определению структуры вычислительных сетей и идентификации характеристик средств защиты, имеющих демаскирующие признаки. Отсюда целью данной статьи является устранение указанного противоречия, заключающегося в разработке способов снижения информативности демаскирующих признаков средств проактивной защиты вычислительных сетей.

Сетевая ловушка «NETHOLE»

Авторами, разработаны ряд способов снижения информативности демаскирующих признаков, присущих «сетевой ловушке» LaBrea, которые реализованных в виде ее модификации -- программного средства проактивной защиты вычислительных сетей NetHole.

Итак, первый из разработанных способов, направленный на снижение вероятности обнаружения нарушителем факта использования и идентификации характеристик средств защиты, заключается в следующем. Предварительно разделяют адресное пространство вычислительной сети на множества разрешенных и подключенных IP-адресов сетевых устройств, разрешенных и временно неподключенных IP-адресов сетевых устройств, запрещенных для использования в вычислительной сети IP-адресов сетевых устройств, обеспечивающих реалистичность функционирования защищаемой вычислительной сети.

Для этого предварительно задают множество всех IP-адресов сетевых устройств вычислительной сети, в котором задают множество разрешенных для использования в вычислительной сети IP-адресов сетевых устройств. Затем, задают множество запрещенных для использования в вычислительной сети IP-адресов сетевых устройств. После этого во множестве разрешенных и временно неподключенных IP-адресов сетевых устройств в вычислительной сети также предварительно задают множество разрешенных и подключенных IP-адресов сетевых устройств в вычислительной сети.

Разделением таким образом адресного пространства вычислительной сети достигается реалистичность функционирования защищаемой вычислительной сети, что позволяет снизить вероятность обнаружения нарушителем факта использования средств защиты и с высокой степенью вероятности идентифицировать факт ведения сетевой разведки нарушителем, заключающийся в его обращении к IP-адресам временно неподключенных сетевых устройств, а также снизить информативность демаскирующего признака сетевой «ловушки» (заключающегося в активности всего диапазона IP-адресов вычислительной сети) исключением из диапазона IP-адресов, обращения к которым перехватывают «ловушкой», множество IP-адресов.

Для снижения вероятности идентификации характеристик средств защиты обеспечивают уменьшение информативности демаскирующего признака «сетевой ловушки», состоящего в использовании единственного и неизменяемого значения (00:00:0F:FF:FF:FF)₁₆ MAC-адреса независимо от реального адреса сетевого адаптера, при ответах на ARP-запросы к неиспользуемому IP-адресу сетевого устройства вычислительной сети, что является именным демаскирующим признаком в случае, когда злоумышленник находится в одном сегменте сети с инициализированной «сетевой ловушкой».

Рис. 1. Иллюстрация использования LaBrea единственного и неизменяемого значения (00:00:0F:FF:FF:FF)₁₆ MAC-адреса

В целях реализации способа защиты применяют случайные значения MAC-адресов сетевых адаптеров. В данной статье рассматриваются три разработанных авторами варианта способа применения случайных значений MAC-адресов сетевых адаптеров.

Вариант разработанного способа состоит в генерации полностью случайного значения MAC-адресов сетевых адаптеров. Для этого предварительно активируют все сетевые устройства в вычислительной сети и считывают их MAC-адреса. После этого считанные MAC-адреса запоминают в массиве памяти. Далее генерируют случайную последовательность шестнадцатеричных чисел, и формируют из нее J значений, где J = 1, 2, …, j, МАС-адресов временно неподключенных сетевых устройств вычислительной сети. Для исключения появления в вычислительной сети двух сетевых устройств с одинаковыми МАС-адресами, сравнивают сформированные
J значений МАС-адресов временно неподключенных сетевых устройств вычислительной сети с МАС-адресами всех сетевых устройств вычислительной сети, информация о которых ранее записана в массив памяти. В случае совпадения сгенерированных МАС-адресов с уже записанными в массиве памяти они удаляются и генерируется новый МАС-адрес. После этого задают матрицу соответствия i-му IP-адресу сетевого устройства в вычислительной сети j-го сформированного MAC-адреса. Далее модифицированная «сетевая ловушка» функционирует по следующему алгоритму: принимают ARP-запрос к любому i-му IP-адресу сетевого устройства IP-адресов вычислительной сети и в случае, если этот запрос направлен к IP-адресам временно неподключенных сетевых устройств формируют ответный пакет сообщений и записывают в поле «размер окна» ТСР-заголовка ответного пакета сообщений значения W_нач равное 10 байт, а в заголовок ответного пакета j-й сгенерированный MAC-адрес. После этого направляют отправителю ответный пакет сообщений со значением j -го сгенерированного MAC-адреса для i-го IP-адреса.

Результативность сформулированного технического результата была проверена путем программной реализации заявленного способа в NetHole и проведении натурного эксперимента. Суть эксперимента - сравнение результативности обнаружения LaBrea, с результативностью обнаружения NetHole. Для идентификации «сетевой ловушки», то есть для идентификации характеристик средств защиты в процессе эксперимента применен перехват из сетевого трафика ответов на запросы по протоколу ARP с использованием анализатора пакетов Wireshark.

Для возможности запуска «сетевой ловушки», как с модификацией, так и без нее, был добавлен флаг «-M» в аргументы запуска командной строки NetHole. Пример запуска программы показан на ниже:

./labrea -i eth4 -n 1.1.1.0/24 -I 1.1.1.1 -E 00:18:7d:08:f6:24 -o -z -M

На рис. 2 отображен дамп трафика, в котором виден обмен пакетов протокола ARP: на ARP-запрос «Какой MAC-адрес на хосте с IP-адресом 1.1.1.18?» получен ARP-ответ «IP-адрес 1.1.1.18 находится на хосте с MAC-адресом 92:03:B1:94:0D:0C», где 92:03:B1:94:0D:0C -- это случайно сгенерированный MAC-адрес.

Рис. 2. Иллюстрация использования в способе защиты множества случайных значений MAC-адресов

Второй вариант способа отличается от предыдущего тем, что после активации всех сетевых устройств вычислительной сети считывают верхние три октета MAC-адреса, содержащие уникальный идентификатор (рис. 3) производителя сетевой карты. Для того, чтобы имитируемая локальная сеть казалась более реалистичной, эти три октета выбирают случайно из базы данных, в которой размещены уникальные идентификаторы популярных производителей сетевых карт. Вторые три октета генерируют полностью случайно, как описано в первом способе. Таким образом, данный способ позволяет имитировать локальную сеть с устройствами реальных производителей.

Таблица 1 - Фрагмент базы данных с уникальными идентификаторами производителей сетевых карт

В третьем варианте способа реализации алгоритма рандомизации MAC-адресов используется механизм предварительного обнаружения сетевых устройств в локальной сети. Для этого производится рассылка ARP-запросов по всей подсети захвата IP-адресов. Получив ARP-ответы от хостов, осуществляется извлечение каждого используемого MAC-адреса в сети, с последующей записью в базу данных. После этого осуществляется определение производителей сетевых карт, которые используются в локальной сети и вычисляется процентное соотношение используемых производителей. Исходя из данной информации, MAC-адреса генерируются таким образом, чтобы верхние три октета выбирались пропорционально количеству и типу реальных активных сетевых устройств в сети. Остальные октеты, также как в предыдущих способах, генерируются случайным образом. проактивный защита информация киберобман

В итоге, с помощью третьего варианта способа, имитируется локальная сеть с устройствами от реальных производителей, причем уникальные идентификаторы производителей используются только те, которые реально присутствуют в данной локальной сети. Это позволяет «сетевой ловушке» быть менее подверженной к обнаружению, даже если злоумышленнику известны производители устройств в этой сети.

LaBrea, генерируя ответы на протоколу TCP, никогда не добавляет в заголовок TCP-опции. Опции в TCP-заголовке могут содержать до 40 байт информации. Опции передают дополнительную информацию для узла назначения или выравнивают другие опции. Определены две категории опций: однобайтовая и многобайтовая опция. Поэтому, в модифицированной ловушке NetHole было решено в TCP-ответах добавить поддержку TCP-опций. В исходном коде LaBrea добавлен новый программный модуль, исполняемый при перехвате очередного TCP-пакета. В данном программном модуле производится чтение TCP-опций перехваченного пакета (побитно) и последующее их копирование в генерируемый пакет, являющийся ответом на перехваченный пакет. При этом опция «TCP Timestamp» не копируется. Эта опция передает два 4-байтовых поля с временными метками. Поле «Timestamp Value» (TSval) содержит текущее значение временной метки передавшего опцию модуля TCP. Поле «Timestamp Echo Reply» (TSecr) содержит временную метку, переданную удаленным модулем TCP. Таким образом производится копирование поля TSecr и подсчет аптайма системы, значение которого копируется в поле TSval. Для тестирования модифицированной «сетевой ловушки» NetHole использовалось программное обеспечение Degreaser. В процессе работы для определения, является ли узел ловушкой или нет, Degreaser проверяет наличие TCP-опций. В таблице 2 представлен вывод результатов работы Degreaser, сканирующего подсеть, в которой запущена LaBrea без модификации (первый этап тестирования).

Таблица 2 Вывод результатов тестирования на первом этапе

Degreaser определяет, что данные узлы являются ловушками. В столбце TCP Options отображается, какие TCP-опции присутствовали в ответах на TCP-запросы, направляемые Degreaser, каждому из исследуемых узлов. Как видно из рисунка 5, TCP-опции отсутствуют в ответах от всех узлов, которые определены программой Degreaser сетевой «ловушкой» LaBrea. Далее, в таблице 3, отображен вывод работы Degreaser на втором этапе тестирования, когда сканируют подсеть, в которой запущена LaBrea с реализованными модификациями.

Таблица 3. Вывод результатов тестирования на втором этапе

Как видно из таблицы 3, в столбце TCP Options теперь отображены TCP-опции Maximum Segment Size (M), Windows Scale (W), Selective Acknowledgement (S) и Timestamp (T). Программное обеспечение Degreaser теперь не в состоянии определить, что ответы от данных узлов отправляет «сетевая ловушка». Представленные сравнительные результаты тестирования могут быть использованы и при сравнительной оценке информационных систем на предмет их потенциальной устойчивости к деструктивным воздействиям.

Основополагающим критерием для детектирования сетевых ловушек является управление потоком TCP. Устанавливаемый размер окна у программы LaBrea является по умолчанию 10 байт.

Для того, чтобы добавить случайности в работу сетевой ловушки, было решено сделать случайным размер TCP-окна. Так как средство детектирования сетевых ловушек Degreaser работает таким образом, что после проверки наличия TCP-опций проверяет размер TCP-окна (если размер окна меньше, чем задано, то узел является потенциальной ловушкой), то со случайно сгенерированным размером TCP-окна будет затруднительно определить сетевую ловушку. Конечно, с данной модификацией ловушка получит больше трафика, но теперь она не имеет демаскирующего признака.

Модуль генерации пакета со случайным размером окна функционирует по следующему алгоритму: получают пакет TCP-SYN, затем генерируют случайное число от 0 до 255, после чего генерируют пакет TCP-SYN-ACK с размером TCP-окна равным сгенерированному случайному числу.

Для возможности запуска программы, как с модификацией, так и без нее, был добавлен флаг «-W» в аргументы запуска командной строки программы.

./labrea -i eth4 -n 1.1.1.0/24 -I 1.1.1.1 -E 00:18:7d:08:f6:24 -o -z -W

Ниже приведен фрагмент дампа сетевого обмена TCP, в котором присутствует пакет со случайно сгенерированным размером TCP-окна, равным 195.

Source Port: 22

Destination Port: 48414

[Stream index: 5]

[TCP Segment Len: 0]

Sequence number: 0 (relative sequence number)

Acknowledgment number: 1 (relative ack number)

Header Length: 20 bytes

Flags: 0x012 (SYN, ACK)

Window size value: 195

[Calculated window size: 195]

Checksum: 0x1e5d [unverified]

[Checksum Status: Unverified]

Urgent pointer: 0

[SEQ/ACK analysis]

Вывод программы Degreaser в данном случае выглядит, как представлено в таблице 4.

Таблица 4 Вывод результатов случайно сгенерированного значения TCP-окна посредством Degreaser

Чтобы обойти и обмануть данную проверку, было решено реализовать поддержку ответов о приеме TCP-пакетов с данными. Алгоритм функционирования данного программного модуля заключается в следующем: получают TCP-пакет c данными или с установленным флагом PUSH; генерируют TCP-пакет ACK c заданным размером TCP-окна, в зависимости от запущенного режима; отправляют сгенерированного TCP-пакет.

С данной модификацией сетевой обмен между программами LaBrea и Degreaser выглядит так, как показано на рисунке ниже:

На рисунке 3 представлено пять TCP-пакетов: три из них для установки соединения, четвертый -- пакет с данными размером 9 байт, пятый -- ответ о приеме данных в виде TCP ACK пакета.

Рис. 4. Вывод результатов случайно сгенерированного значения TCP-окна посредством Degreaser

Как показано в таблице 5, в ответах отсутствуют TCP-опции, размер TCP окна равен 10, что меньше, чем порог у программы Degreaser, но, тем не менее, программа определила, что данные узлы являются реальными хостами, а не сетевыми ловушками и тем более не ловушками LaBrea.

Таблица 5 Вывод результатов случайно сгенерированного значения TCP-окна посредством Degreaser после реализации проведенных модификаций в NetHole

Заключение

Таким образом, в разработанных способах достигается повышение результативности защиты и введение в заблуждение нарушителя относительно структуры вычислительной сети, за счет снижения вероятности обнаружения нарушителем факта использования средств защиты и идентификации их характеристик.

Литература