Атаки на маршрутизаторы.

Петухов Олег, юрист в области международного права и защиты персональных данных, специалист в области информационной безопасности, защиты информации и персональных данных.
Телеграм-канал: https://t.me/zashchitainformacii Группа в Телеграм: https://t.me/zashchitainformacii1 Сайт: https://legascom.ru Электронная почта: online@legascom.ru #защитаинформации #информационнаябезопасность
Говоря о безопасности на сетевом уровне, необходимо поговорить о маршрутизаторах и алгоритмах маршрутизации. А в дальнейшем мы поговорим об использовании IPSec в качестве средства защиты пакетов на сетевом уровне.
Маршрутизатором является устройство сетевого уровня эталонной модели OSI. Это устройство использует одну или более метрик для определения оптимального пути передачи сетевого трафика на основании информации сетевого уровня. Метрики измеряются в количестве переходов, которые необходимо сделать пакету между различными сетями для достижения узла назначения. Из этого определения вытекает, что маршрутизатор прежде всего необходим для определения дальнейшего пути данных, посланных в большую и сложную сеть. Пользователь такой сети отправляет свои данные в сеть и указывает адрес своего абонента. Данные проходят по сети и в точках с разветвлением маршрутов поступают на маршрутизаторы, которые как раз и устанавливаются в таких точках. Маршрутизатор выбирает дальнейший наилучший путь. То, какой путь лучше, определяется количественными показателями, которые называются метриками. Лучший путь - это путь с наименьшей метрикой. В метрике может учитываться несколько показателей, например длина пути, время прохождения и т. д.
Существует несколько способов реализации маршрутизаторов. Маршрутизаторы бывают верхнего, среднего и нижнего классов.
Маршрутизаторами верхнего класса являются высокопроизводительные устройства, которые служат для объединения сетей предприятия. Они поддерживают множество протоколов и интерфейсов. Маршрутизаторы данного типа могут иметь до нескольких десятков портов локальных или глобальных сетей.
Маршрутизаторы среднего класса используются для формирования менее крупных сетевых объединений масштаба предприятия. Стандартная конфигурация таких устройств включает два-три порта локальных сетей и от четырех до восьми портов глобальных сетей. Такие маршрутизаторы поддерживают наиболее распространенные протоколы маршрутизации и транспортные протоколы.
Устройства маршрутизации нижнего класса предназначаются для локальных сетей подразделений; они связывают небольшие офисы и филиалы с сетью предприятия. Типичная конфигурация: один порт локальной сети (как правило, Ethernet) и два порта глобальной сети, рассчитанных на низкоскоростные выделенные линии или коммутируемые соединения.
Стоит отметить: подобные маршрутизаторы пользуются большим спросом у администраторов, которым необходимо расширить имеющиеся межсетевые объединения. Также подобные устройства часто используют в домашних сетях, когда необходимо организовать доступ в интернет для нескольких машин.
Маршрутизаторы для базовых сетей и удаленных офисов имеют разную архитектуру, поскольку к ним предъявляются разные функциональные и операционные требования. Используемые для базовых сетей маршрутизаторы обязательно должны быть расширяемыми. Устройства маршрутизации, применяемые для локальных сетей подразделения, для которых, как правило, заранее устанавливается фиксированная конфигурация портов, содержат только один процессор, управляющий работой трех или четырех интерфейсов. В них используются примерно те же протоколы, что и в устройствах базовых сетей, однако программное обеспечение больше направлено на облегчение инсталляции и эксплуатации, поскольку в большинстве удаленных офисов отсутствуют достаточно квалифицированные специалисты по сетевому обслуживанию.
Используемые в базовых сетях маршрутизаторы состоят из следующих основных компонентов: сетевых адаптеров, зависящих от протоколов и служащих интерфейсами с локальными и глобальными сетями; управляющего процессора, определяющего маршрут и обновляющего информацию о топологии; основной магистрали. После поступления пакета на интерфейсный модуль он анализирует адрес назначения и принимает команды управляющего процессора для определения выходного порта. Затем пакет по основной магистрали маршрутизатора передается в интерфейсный модуль, служащий для связи с адресуемым сегментом локальной или глобальной сети.
Также в роли маршрутизатора может выступать рабочая станция или сервер, имеющие несколько сетевых интерфейсов и снабженные специальным программным обеспечением. Маршрутизаторы верхнего класса - это, как правило, специализированные устройства, объединяющие в отдельном корпусе множество маршрутизирующих модулей.
По определению, основное назначение маршрутизаторов - это маршрутизация трафика сети.
Определим, какой вид имеет процесс маршрутизации.
Процесс маршрутизации можно представить в виде двух иерархически связанных уровней:
уровень маршрутизации. На этом уровне происходит работа с таблицей маршрутизации. Таблица маршрутизации служит для определения адреса (сетевого уровня) следующего маршрутизатора или непосредственно получателя по имеющемуся адресу (сетевого уровня), и после определения адреса передачи выбирается определенный выходной физический порт маршрутизатора. Этот процесс называется определением маршрута перемещения пакета. Настройка таблицы маршрутизации ведется протоколами маршрутизации. На этом же уровне определяется перечень необходимых предоставляемых сервисов;
уровень передачи пакетов. Перед тем как передать пакет, необходимо: проверить контрольную сумму заголовка пакета, определить адрес (канального уровня) получателя пакета и произвести непосредственно отправку пакета с учетом очередности, фрагментации, фильтрации и т. д. Эти действия выполняются на основании команд, поступающих с уровня маршрутизации.
Определение маршрута передачи данных происходит программно. Соответствующие программные средства носят названия протоколов маршрутизации. Логика их работы основана на алгоритмах маршрутизации. Алгоритмы маршрутизации вычисляют стоимость доставки и выбирают путь с меньшей стоимостью. Простейшие алгоритмы маршрутизации определяют маршрут на основании наименьшего числа промежуточных (транзитных) узлов на пути к адресату. Более сложные алгоритмы в понятие «стоимость» закладывают несколько показателей, например задержку при передаче пакетов, пропускную способность каналов связи или денежную стоимость связи. Основным результатом работы алгоритма маршрутизации являются создание и поддержка таблицы маршрутизации, в которую записывается вся маршрутная информация. Содержание таблицы маршрутизации зависит от используемого протокола маршрутизации. В общем случае таблица маршрутизации содержит следующую информацию:
действительные адреса устройств в сети;
служебную информацию протокола маршрутизации;
адреса ближайших маршрутизаторов.
Основными требованиями, предъявляемыми к алгоритму маршрутизации, являются:
оптимальность выбора маршрута;
простота реализации;
устойчивость;
быстрая сходимость;
гибкость реализации.
Оптимальность выбора маршрута является основным параметром алгоритма, что не требует пояснений.
Алгоритмы маршрутизации должны быть просты в реализации и использовать как можно меньше ресурсов.
Алгоритмы должны быть устойчивыми к отказам оборудования на первоначально выбранном маршруте, высоким нагрузкам и ошибкам в построении сети.
Сходимость - это процесс согласования между маршрутизаторами информации о топологии сети. Если определенное событие в сети приводит к тому, что некоторые маршруты становятся недоступны или возникают новые маршруты, маршрутизаторы рассылают сообщения об этом друг другу по всей сети. После получения этих сообщений маршрутизаторы производят переназначение оптимальных маршрутов, что, в свою очередь, может породить новый поток сообщений. Этот процесс должен завершиться, причем достаточно быстро, иначе в сетевой топологии могут появиться петли или сеть вообще может перестать функционировать. Алгоритмы маршрутизации должны быстро и правильно учитывать изменения в состоянии сети (например, отказ узла или сегмента сети).
Итак, мы поговорили о том, что из себя представляет маршрутизатор, а также предъявили общие требования к алгоритмам маршрутизации. Стоит заметить, что в случае выхода из строя маршрутизатора в организации, как правило, перестает функционировать доступ в интернет. Но это еще не все, в случае если злоумышленникам каким-либо образом удастся изменить информацию о маршрутах, сетевой трафик может пойти в неверном направлении. Это может позволить злоумышленникам провести ряд атак на уровне приложений, о которых мы будем подробно говорить в следующих главах моей книги.
В следующих пост мы рассмотрим основные протоколы маршрутизации и способы их защиты.