Usługa trudno dostępna

Prawdziwą plagą Internetu i podłączonych do niego sieci są ataki typu DoS (Denial of Service), polegające na przeciążaniu serwerów i stacji roboczych widocznych przez użytkowników Internetu. Najlepszym sposobem walki z nimi jest nieustanna dbałość o instalację najnowszych "łatÓ do systemów operacyjnych i aplikacji.

Prawdziwą plagą Internetu i podłączonych do niego sieci są ataki typu DoS (Denial of Service), polegające na przeciążaniu serwerów i stacji roboczych widocznych przez użytkowników Internetu. Najlepszym sposobem walki z nimi jest nieustanna dbałość o instalację najnowszych "łatÓ do systemów operacyjnych i aplikacji.

Ataki typu Denial of Service (DoS) lub Distributed Denial of Service (DDoS) mają zazwyczaj jeden prosty cel - zakłócenie pracy serwisu internetowego bądź konkretnej usługi udostępnianej w Internecie przez firmę będącą celem takich ataków. Nie służą one de facto do bezpośredniego włamania do sieci korporacyjnej, np. w celu kradzieży danych, ale mają prowadzić do sparaliżowania serwerów firmy, a co za tym idzie, uniemożliwienia ich normalnego funkcjonowania, co samo w sobie może narazić firmę na straty finansowe.

Atak DoS polega na przesyłaniu do atakowanego serwera z dużą częstotliwością pokaźnej liczby odpowiednio spreparowanych pakietów sieciowych, zawierających prośby o udostępnienie określonej usługi sieciowej (atak na port TCP lub UDP, na którym dana usługa oczekuje na zgłaszanie żądań). Serwer, nie nadążający z odpowiadaniem na tak przygotowane pakiety, zazwyczaj ulega przeciążeniu, co najczęściej sprowadza się do całkowitego zablokowania danej usługi lub całego serwera (o ile błąd w konstrukcji usługi IP przenosi się na system operacyjny).

Atak typu DDoS opiera się na takim samym mechanizmie, jak DoS, z tym że przypuszczany jest równocześnie z wielu komputerów. Powoduje to, iż obciążenie docelowego serwera jest znacznie większe. Zazwyczaj do przeprowadzenia takiego ataku wykorzystywane są w nie autoryzowany sposób komputery użytkowników nieświadomych, że wcześniej agent DDoS został zainstalowany na ich komputerze przez włamywacza. Agenci tacy są kontrolowani przez hakera, który w określonym momencie wydaje instrukcje dotyczące celu ataku i inicjuje skomasowane uderzenie. O ile wiele serwisów internetowych jest przygotowanych na atak DoS inicjowany z jednego miejsca, o tyle nie są w stanie przetrzymać kilkudziesięciu bądź kilkuset razy silniejszego ataku DDoS.

CERT Polska, instytucja zajmująca się reagowaniem na zdarzenia naruszające bezpieczeństwo Internetu, w raporcie za rok 2000, dotyczącym przypadków naruszenia bezpieczeństwa sieci teleinformatycznych, zauważa, że skomasowane ataki DoS i DDoS stały się już na tyle powszechne, iż wiele firm zaprzestało ich zgłaszania, traktując je jako normalne zjawisko związane z obsługą urządzeń sieciowych podłączonych do Internetu.

Jak sobie radzić?

Wszystkie ataki DoS opierają się na tej samej zasadzie - wykorzystują znane luki w systemach zabezpieczeń poszczególnych usług internetowych. Jeśli zostanie wykryty nowy błąd platformy serwerowej, to niemal natychmiast pojawiają się narzędzia hakerskie bądź instrukcje, dotyczące sposobu wykorzystania tej luki (tzw. exploit). Dlatego ważne jest bieżące śledzenie biuletynów na temat bezpieczeństwa (wiele z nich jest dostępnych bezpłatnie w Internecie) i szybkie instalowanie wszelkich łat (patch), usuwających braki w systemach zabezpieczeń.

Przed atakami typu DoS nie chronią również klasyczne firewalle, działające z wykorzystaniem technologii filtrowania pakietów (packet filtering). Bezkrytycznie przepuszczają one bowiem wszystkie transmisje kierowane na konkretne, otwarte porty serwerów ukrytych za firewallem, ale udostępniających usługi w Internecie. Jeśli więc włamywacz przypuszcza atak DoS na publiczny serwer WWW (port 80 lub 443), to firewall nie potraktuje tego jako zagrożenie - bez względu na to, jak wielką liczbą pakietów będzie bombardowany serwer. W inteligencję niezbędną do powstrzymania ataków DoS wyposażone są firewalle pracujące w trybie Stateful Inspection. Potrafią one rozpoznać kontekst realizowanych transmisji, a co za tym idzie - odróżniają normalną komunikację od ataku DoS. Problem ataków docelowego serwera mogą również rozwiązać firewalle działające w trybie proxy aplikacyjnego: gdy nie ma bezpośredniej komunikacji pomiędzy klientem internetowym a serwerem ukrytym za firewallem (w przekazie każdorazowo pośredniczy agent pracujący na firewallu). Niestety tego rodzaju komunikacja niesie wiele ograniczeń i obsługuje ograniczoną liczbę aplikacji.

Z tych powodów (szczególnie w przypadku firewalli pracujących w trybie packet filtering) konieczne jest maksymalne ograniczenie liczby usług udostępnianych w Internecie. Bezpieczeństwo w tym przypadku kłóci się z funkcjonalnością. Administrator bowiem będzie dążył do tego, by komunikacja między siecią firmową a Internetem była realizowana tylko przy użyciu niezbędnych portów TCP i UDP, a to z kolei w istotny sposób ogranicza możliwości korzystania z nowych, multimedialnych aplikacji przez użytkowników sieci korporacyjnej, np. ICQ, NetMeeting, Gadu-Gadu, CUSeeMe itp.

Przygotowanie do ataku

Aby najprościej przygotować się do ataku, należy uświadamić sobie istnienie znanych luk w systemie zabezpieczeń poszczególnych serwerów. Można to uczynić z wykorzystaniem tzw. skanerów sieciowych (przykładem są tu pakiety Scanner, System Scanner, Firewall Scanner, Web Security Scanner firmy ISS). Otwarte porty wykryte za pomocą skanera można także samodzielnie zaatakować w kontrolowany sposób przy użyciu narzędzi wykorzystywanych również przez włamywaczy (najpopularniejsze z nich są wymienione w ramce obok) i sprawdzić, w jaki sposób zachowują się poszczególnych usług.

Dobrym rozwiązaniem w przypadku firm kompleksowo wdrażających systemy zabezpieczeń jest zakup rozwiązania typu Intrusion Detection System (IDS), umożliwiającego wykrywanie w czasie rzeczywistym wszystkich nie autoryzowanych działań w sieci (np. RealSecure firmy ISS). Tego rodzaju pakiety składają się ze zlokalizowanych w wielu miejscach sieci (poszczególnych segmentach sieciowych) sond "podsłuchujących" transmisje oraz centralnej konsoli, która służy do gromadzenia informacji o potencjalnych zagrożeniach nadsyłanych przez sondy. Konsola potrafi również podjąć zdefiniowane wcześniej przez administratora działania w przypadku wykrycia ataku na sieć korporacyjną, np. zablokować dostęp do określonej usługi na routerach brzegowych czy zmodyfikować konfigurowanie list dostępu na firewallach oddzielających firmę od Internetu bądź separujących ruch między kilkoma strefami utworzonymi w sieci korporacyjnej.

Zastosowanie rozwiązania IDS ma jeszcze jedną ważną zaletę. Dzięki temu, że tego typu pakiety zbierają informacje prowadząc nasłuch sieci, administrator, już po wystąpieniu próby włamania, może dysponować pełnym zapisem zdarzeń, co pozwala stwierdzić skąd nadszedł atak, w jaki sposób próbowano go przeprowadzić i jakie usługi zostały zaatakowane. Jest to jednocześnie materiał dowodowy, który można przekazać do analizy instytucjom specjalizującym się w ściganiu włamywaczy komputerowych.

Problem będzie istnieć

Nawet wdrożenie najlepszych zabezpieczeń i systemów detekcji włamań nie zabezpiecza skutecznie przed atakami typu DoS. Jeżeli usługa internetowa bądź firewall nie będą akceptować nadmiernej liczby zapytań i będą je ignorować, to łącze do Internetu, z którego korzysta dana firma, i tak zostanie znacznie obciążone (szczególnie w przypadku ataku rozproszonego), uniemożliwiając efektywną komunikację.

Rozwiązaniem tego problemu mogłoby być stosowanie rozwiązań typu Intrusion Detection przez dostawcę usług internetowych, co umożliwiłoby mu reagowanie w czasie rzeczywistym na takie ataki, np. automatycznie, poprzez rekonfigurację list dostępowych na routerach brzegowych.

Alternatywą dla takich rozwiązań może być zwielokrotnienie liczby serwerów udostępniających usługi w Internecie i jednocześnie podłączenie ich do niezależnych podsieci, za pośrednictwem dodatkowych łączy.

Problem trzeba zgłosić

Ataki typu DoS, podobnie jak wszelkie przejawy działalności włamywaczy, warto jest zgłaszać organizacjom odpowiedzialnym za ich zwalczanie. W Polsce takie centra prowadzą TP SA (Zespół Abuse) i CERT Polska, będąca członkiem międzynarodowej organizacji FIRST (Forum of Incidents Response and Security Teams), w ramach której współpracuje z podobnymi zespołami na całym świecie.

Przeprowadzenie zgłoszenia jest proste i nie wiąże się z żadnymi dodatkowymi kosztami dla atakowanej firmy. W przypadku CERT Polska można tego dokonać pocztą elektroniczną, korzystając z formularza dostępnego pod adresemhttp://www.cert.pl/zgloszenie.html. Nadużycia dokonane w sieci TP Net można zgłaszać, wysyłając list pod adres abuse@tpnet.pl wg wzoru zawartego pod adresemhttp://www.tpnet.pl/bin/wzor.txt.

Każdorazowo zgłoszenie powinno zawierać pełne dane kontaktowe osoby zgłaszającej, informacje dotyczące czasu rozpoczęcia ataku, jego trwania, sposobu, w jaki został rozpoznany (objawów), nazwę i numer IP atakowanego komputera oraz informację o tym, jaka usługa była atakowana, system operacyjny, który wykorzystuje atakowany komputer, oraz dodatkowy opis zdarzenia. Im więcej informacji otrzyma centrum reagowania na włamania, tym bardziej prawdopodobne, że jego inicjator zostanie wykryty, a dowody jego destrukcyjnej działalności będą zabezpieczone.

Przydatne w działalności centrów reagowania są logi dotyczące przebiegu włamania. Mogą to być dzienniki pracy poszczególnych usług systemowych, logi firewalla, informacje zebrane przez system IDS itd.