Koje su glavne mete mrežnih napada? Karakteristike mrežnih napada. Alati za otkrivanje računalnih napada

Od posebnog interesa za razmatranje su daljinski mrežni napadi. Zanimanje za ovu vrstu napada uzrokovano je činjenicom da su distribuirani sustavi obrade podataka sve rašireniji u svijetu. Većina korisnika radi s udaljenim resursima koristeći INTERNET mrežu i skup protokola TCP/IP. INTERNET je izvorno stvoren za komunikaciju između vladinih agencija i sveučilišta za pomoć obrazovanju i istraživanju, a tvorci ove mreže nisu imali pojma koliko će se proširiti. Kao rezultat toga, specifikacije ranije verzije Internetski protokol (IP) nije ispunjavao sigurnosne zahtjeve. Zbog toga su mnoge IP implementacije same po sebi ranjive.

Tečaj pokriva sljedeće napade i kako se s njima boriti.

Napad njuškanja. Njuškalo paketa je aplikacijski program koji koristi mrežnu karticu koja radi u promiskuitetnom načinu rada (u ovom načinu rada svi paketi primljeni preko fizičkih kanala su mrežni adapteršalje aplikaciji na obradu). U ovom slučaju, njuškalo presreće sve mrežne pakete koji se prenose kroz određenu domenu. Trenutno njuškali rade na mrežama na potpuno legalnoj osnovi. Koriste se za dijagnozu kvarova i analizu prometa. Međutim, budući da neke mrežne aplikacije prenose podatke u tekstualnom formatu (Telnet, FTP, SMTP, POP3 itd.), korištenje njuškala može otkriti korisne, a ponekad i osjetljive informacije (na primjer, korisnička imena i lozinke).

Presretanje prijave i lozinke predstavlja veliku prijetnju jer korisnici često koriste istu prijavu i lozinku za više aplikacija i sustava. Mnogi korisnici općenito imaju jednu lozinku za pristup svim resursima i aplikacijama. Ako aplikacija radi u načinu rada klijent/poslužitelj i podaci za provjeru autentičnosti se prenose mrežom u čitljivom tekstualnom formatu, te se informacije vjerojatno mogu koristiti za pristup drugim korporativnim ili vanjskim resursima. U najgorem slučaju, napadač dobiva pristup korisničkom resursu na razini sustava i koristi ga za stvaranje novog korisnika koji se u bilo kojem trenutku može koristiti za pristup mreži i njenim resursima.

Prijetnju njuškanja paketa možete ublažiti pomoću sljedećih alata:

Ovjera. Snažna autentifikacija je prva obrana od njuškanja paketa. Pod "jakim" mislimo na metodu provjere autentičnosti koju je teško zaobići. Primjer takve provjere autentičnosti su jednokratne lozinke (OTP - One-Time Passwords). OTP je tehnologija autentifikacije s dva faktora. Tipičan primjer dvofaktorske autentifikacije je rad običnog bankomata, koji vas identificira, prvo, po vašem plastična kartica i, drugo, unesenim PIN kodom. Za autentifikaciju u OTP sustavu također je potreban PIN kod i vaša osobna kartica. Pod "karticom" (tokenom) podrazumijeva se hardverski ili softverski alat koji generira (nasumičnim principom) jedinstvenu jednokratnu, jednokratnu lozinku. Ako napadač sazna ovu lozinku pomoću njuškala, ova informacija će biti beskorisna jer će u tom trenutku lozinka već biti iskorištena i povučena. Imajte na umu da je ova metoda borbe protiv njuškanja učinkovita samo protiv presretanja lozinki. Njuškali koji presreću druge informacije (kao što su poruke e-pošte) ostaju učinkoviti.

Komutirana infrastruktura. Drugi način za borbu protiv njuškanja paketa u mrežnom okruženju je stvaranje komutirane infrastrukture. Ako, primjerice, cijela organizacija koristi komutirani Ethernet, napadači mogu pristupiti samo prometu koji dolazi u port na koji su spojeni. Komutirana infrastruktura ne uklanja prijetnju njuškanja, ali značajno smanjuje njenu ozbiljnost.

Anti-njuškala. Treći način borbe protiv sniffera je instaliranje hardvera ili softvera koji prepoznaje sniffere koji rade na mreži. Ovi alati ne mogu u potpunosti eliminirati prijetnju, ali, kao i mnoga druga sredstva sigurnost mreže, uključeni su u zajednički sustav zaštita. Takozvani "anti-snifferi" mjere vrijeme odgovora hosta i određuju moraju li hostovi obrađivati ​​"nepotreban" promet.

Kriptografija. Najviše učinkovita metoda Anti-packet sniffing ne sprječava presretanje i ne prepoznaje rad sniffera, ali taj rad čini beskorisnim. Ako je komunikacijski kanal kriptografski siguran, to znači da napadač ne presreće poruku, već šifrirani tekst (odnosno nerazumljiv niz bitova).

IP spoofing napad. Do ovog napada dolazi kada se napadač, unutar ili izvan korporacije, lažno predstavlja kao ovlašteni korisnik. Najjednostavniji razlog za korištenje lažnih IP adresa je želja napadača da sakrije svoje aktivnosti u oceanu mrežnih aktivnosti. Na primjer, alat za mrežni dijagram NMAP3 šalje dodatne sekvence paketa, svaki koristeći svoju lažnu izvornu IP adresu. U ovom slučaju napadač zna koje su IP adrese lažne i koji su paketi u svakoj sekvenci pravi. Sigurnosni administrator sustava koji je napadnut bit će prisiljen analizirati mnoge lažne IP adrese prije nego što identificira pravu IP adresu napadača.

Drugi razlog zašto napadač koristi lažiranje IP adrese je skrivanje svog identiteta. Činjenica je da je IP adresu moguće pratiti natrag do pojedinačnog sustava, a ponekad čak i do pojedinačnog korisnika. Stoga, uz pomoć IP krivotvorenja, napadač pokušava izbjeći otkrivanje. Međutim, korištenje lažne IP adrese pošiljatelju donosi niz poteškoća.

Svi odgovori napadnutog sustava šalju se na lažnu IP adresu. Kako bi vidio ili primio te odgovore, napadač mora biti na putu od kompromitiranog stroja do lažirane IP adrese (barem u teoriji). Budući da odgovor ne ide nužno istom rutom kao poslani lažirani paket, napadač može izgubiti povratni promet. Kako bi to izbjegao, napadač može ometati jedan ili više međuusmjerivača, čije će adrese biti korištene kao lažne za preusmjeravanje prometa na drugu lokaciju.

Drugi pristup je da napadač unaprijed pogodi TCP redne brojeve koje koristi napadnuti stroj. U ovom slučaju ne treba primiti SYN-ACK paket, budući da jednostavno generira i šalje ACK paket s predviđenim rednim brojem. Rane implementacije IP skupova koristile su prediktivne sheme izračuna sekvenci i stoga su bile osjetljive na lažne TCP tokove podataka. U moderne implementacije Već je teže predvidjeti serijski broj. Alat za mrežni dijagram NMAP ima mogućnost procjene težine predviđanja rednih brojeva sustava koji se skeniraju.

U trećoj opciji, napadač može ometati rad jednog ili više usmjerivača koji se nalaze između njegovog poslužitelja i poslužitelja koji je napadnut. To omogućuje usmjeravanje prometa odgovora namijenjenog lažnoj IP adresi na sustav iz kojeg je upad potekao. Nakon što je hakiranje završeno, usmjerivač se pušta da prikrije tragove.

Konačno, napadač možda nema namjeru odgovoriti na SYN-ACK paket koji je vraćen od žrtve. Za to mogu postojati dva razloga. Napadač možda izvodi skeniranje poluotvorenog porta, poznato kao SYN skeniranje. U ovom slučaju, njega zanima samo početni odgovor stroja koji je napadnut. Kombinacija zastavice RST-ACK znači da je skenirani port zatvoren, a kombinacija SYN-ACK da je otvoren. Cilj je postignut, stoga nema potrebe odgovarati na ovaj SYN-ACK paket. Također je moguće da se izvede SYN hack nalik lavini. U ovom slučaju, napadač ne samo da ne odgovara na SYN-ACK ili RST-ACK pakete, već ga općenito ne zanima vrsta paketa primljenih od kompromitiranog sustava.

IP spoofing napadi često su početna točka za druge napade. Klasičan primjer je DoS napad, koji počinje s tuđe adrese, skrivajući pravi identitet napadača.

IP spoofing je obično ograničen na umetanje lažnih informacija ili zlonamjernih naredbi u normalan tok podataka koji se prenosi između klijentske i poslužiteljske aplikacije ili preko komunikacijskog kanala između ravnopravnih uređaja.

Kao što je navedeno, za dvosmjernu komunikaciju, napadač mora promijeniti sve tablice usmjeravanja kako bi usmjerio promet na lažnu IP adresu. Neki napadači, međutim, niti ne pokušavaju dobiti odgovor od aplikacija. Ako je glavni zadatak dobiti od sustava važna datoteka, odgovori na prijavu nisu važni. Ako napadač uspije promijeniti tablice usmjeravanja i usmjeriti promet na lažnu IP adresu, napadač će primiti sve pakete i moći će na njih odgovoriti kao da je autorizirani korisnik.

Prijetnja lažiranja može se ublažiti (ali ne i eliminirati) sljedećim mjerama:

Kontrola pristupa. Najlakši način za sprječavanje IP spoofinga je ispravno konfiguriranje kontrola pristupa. Kako biste smanjili učinkovitost lažnog IP-a, morate konfigurirati kontrolu pristupa da odbije svaki promet koji dolazi s vanjske mreže s izvornom adresom koja bi se trebala nalaziti unutar vaše mreže. Imajte na umu da ovo pomaže u borbi protiv IP spoofinga, gdje su autorizirane samo interne adrese. Ako su neke vanjske mrežne adrese također autorizirane, ova metoda postaje neučinkovita.

Filtriranje RFC 2827. Pokušaji lažiranja stranih mreža od strane korisnika zaštićene mreže zaustavljaju se ako se odbije bilo koji odlazni promet čija izvorna adresa nije jedna od IP adresa zaštićene organizacije. Ovu vrstu filtriranja, poznatu kao RFC 2827, također može izvesti vaš davatelj internetskih usluga (ISP). Kao rezultat toga, sav promet koji nema izvornu adresu očekivanu na određenom sučelju se odbija. Na primjer, ako ISP pruža vezu s IP adresom 15.1.1.0/24, može konfigurirati filtar tako da ovog sučelja Samo je promet koji je dolazio s adrese 15.1.1.0/24 bio dopušten u ISP router. Imajte na umu da dok svi davatelji ne implementiraju ovu vrstu filtriranja, njegova će učinkovitost biti mnogo niža od moguće. Osim toga, što ste dalje od uređaja koji se filtriraju, to je teže izvršiti točnu filtraciju. Na primjer, RFC 2827 filtriranje na razini pristupnog usmjerivača zahtijeva propuštanje cjelokupnog prometa s glavne mrežne adrese (10.0.0.0/8), dok je na razini distribucije (u ovoj arhitekturi) moguće preciznije ograničiti promet (adresa - 10.1 .5.0/24 ).

IP spoofing može funkcionirati samo ako se provjera autentičnosti temelji na IP adresama. Stoga uvođenje dodatnih metoda autentifikacije čini ovaj tip napada beskorisnim. Najbolji pogled dodatna autentifikacija je kriptografska. Ako to nije moguće, mogu se postići dobri rezultati dvofaktorska autentifikacija koristeći jednokratne lozinke.

Uskraćivanje usluge (DoS). DoS je, bez sumnje, najpoznatiji oblik napada. Osim toga, protiv ovih vrsta napada najteže je stvoriti 100% zaštitu. Jednostavnost implementacije i ogromna šteta privlače pozornost administratora odgovornih za sigurnost mreže na DoS. Najviše poznate sorte napadi su: TCP SYN Flood; Ping smrti; Tribe Flood Network (TFN) i Tribe Flood Network 2000 (TFN2K); Trinco; Stacheldracht; Trojstvo.

Izvor informacija o ovim napadima je Computer Emergency Response Team (CERT) koji je objavio rad o borbi protiv DoS napada.

DoS napadi razlikuju se od ostalih vrsta napada. Oni nisu usmjereni na dobivanje pristupa vašoj mreži ili dobivanje bilo kakvih informacija s te mreže. DoS napad čini mrežu nedostupnom za normalnu upotrebu prekoračenjem prihvatljivih ograničenja mreže, operativnog sustava ili aplikacije. U slučaju nekih poslužiteljskih aplikacija (kao što je web poslužitelj ili FTP poslužitelj), DoS napadi mogu uključivati ​​preuzimanje svih veza dostupnih tim aplikacijama i njihovo držanje zauzetima, sprječavajući normalne korisnike da budu opsluženi. DoS napadi mogu koristiti uobičajene internetske protokole kao što su TCP i ICMP (Internet Control Message Protocol).

Većina DoS napada ne oslanja se na softverske pogreške ili sigurnosne rupe, već na opće slabosti u arhitekturi sustava. Neki napadi osakaćuju performanse mreže preplavljujući je neželjenim i nepotrebnim paketima ili pogrešnim informacijama o trenutnom stanju mrežnih resursa. Ovu vrstu napada teško je spriječiti jer zahtijeva koordinaciju s ISP-om. Ako se promet namijenjen preplavljivanju mreže ne zaustavi kod provajdera, onda to više neće biti moguće učiniti na ulazu u mrežu, jer će sva propusnost biti zauzeta. Kada se ova vrsta napada izvodi istovremeno preko više uređaja, govorimo o distribuiranom DoS napadu (DDoS).

Prijetnja DoS napada može se ublažiti na tri načina:

Značajke protiv prijevare. Ispravno konfiguriranje značajki protiv lažiranja na vašim usmjerivačima i vatrozidima pomoći će u smanjenju rizika od DoS-a. Ove značajke trebaju uključivati ​​najmanje filtriranje RFC 2827. Ako napadač ne može prikriti svoj pravi identitet, malo je vjerojatno da će izvesti napad.

Anti-DoS funkcije. Ispravna konfiguracija anti-DoS značajki na usmjerivačima i vatrozidima može ograničiti učinkovitost napada. Ove značajke često ograničavaju broj poluotvorenih kanala u bilo kojem trenutku.

Ograničenje brzine prometa. Organizacija može zatražiti od svog davatelja internetskih usluga (ISP) da ograniči količinu prometa. Ova vrsta filtriranja omogućuje vam da ograničite količinu nekritičnog prometa koji prolazi kroz vašu mrežu. Uobičajen primjer je ograničenje glasnoće ICMP promet, koji se koristi samo u dijagnostičke svrhe. (D)DoS napadi često koriste ICMP.

Napadi lozinkom. Napadači mogu izvoditi napade lozinkom korištenjem različitih metoda, kao što su napadi brutalnom silom, trojanski konji, lažiranje IP-a i njuškanje paketa. Iako se prijava i lozinka često mogu dobiti lažiranjem IP-a i njuškanjem paketa, hakeri često pokušavaju pogoditi lozinku i prijaviti se putem višestrukih pokušaja pristupa. Ovaj pristup se zove jednostavno pretraživanje(napad grubom silom).

Često se takav napad koristi posebnim programom koji pokušava dobiti pristup javnom resursu (na primjer, poslužitelju). Ako kao rezultat toga napadač dobije pristup resursima, on ga dobiva s pravima redoviti korisnik, čija se lozinka pogodila. Ako ovaj korisnik ima značajne privilegije pristupa, napadač može za sebe stvoriti "propusnicu" za budući pristup koja će ostati na snazi ​​čak i ako korisnik promijeni svoju lozinku i prijavu.

Još jedan problem nastaje kada korisnici koriste istu (čak i vrlo dobru) lozinku za pristup mnogim sustavima: korporativnim, osobnim i internetskim sustavima. Budući da je lozinka jaka onoliko koliko je jaka najslabiji host, napadač koji sazna lozinku preko tog hosta dobiva pristup svim drugim sustavima koji koriste istu lozinku.

Prije svega, napadi lozinkom mogu se izbjeći tako da se lozinke ne koriste u tekstualnom obliku. Jednokratne lozinke i/ili kriptografska provjera autentičnosti mogu gotovo eliminirati prijetnju takvih napada. Nažalost, ne podržavaju sve aplikacije, hostovi i uređaji gore navedene metode provjere autentičnosti.

Kada koristite obične lozinke, pokušajte smisliti lozinku koju je teško pogoditi. Minimalna duljina lozinke mora biti najmanje osam znakova. Lozinka mora sadržavati znakove velika slova, brojevi i Posebni simboli(#, %, $ itd.). Najbolje lozinke teško je pogoditi i teško ih je zapamtiti, što tjera korisnike da zapisuju lozinke na papir. Kako bi to izbjegli, korisnici i administratori mogu iskoristiti brojna nedavna tehnološka dostignuća. Tako, na primjer, postoje aplikacijski programi, koji šifriraju popis lozinki koje se mogu pohraniti na džepno računalo. Kao rezultat toga, korisnik treba zapamtiti samo jednu složenu lozinku, dok će sve ostale lozinke biti pouzdano zaštićene aplikacijom.

Čovjek u sredini napada. Za napad Man-in-the-Middle, napadač treba pristup paketima koji se prenose preko mreže. Takav pristup svim paketima koji se prenose s pružatelja na bilo koju drugu mrežu može, primjerice, dobiti zaposlenik tog pružatelja. Za ovu vrstu napada često se koriste snifferi paketa, transportni protokoli i protokoli za usmjeravanje. Napadi se provode s ciljem krađe informacija, presretanja trenutne sesije i dobivanja pristupa privatnim mrežnim resursima radi analize prometa i dobivanja informacija o mreži i njezinim korisnicima, izvođenja DoS napada, iskrivljavanja prenesenih podataka i unosa neovlaštenih podataka u mrežne sesije.

Napadi tipa Man-in-the-Middle mogu se učinkovito boriti samo pomoću kriptografije. Ako napadač presretne podatke iz šifrirane sesije, ono što se neće pojaviti na njegovom ekranu nije presretnuta poruka, već besmisleni skup znakova. Imajte na umu da ako napadač dobije informacije o kriptografskoj sesiji (na primjer, ključ sesije), to može učiniti mogućim Man-in-the-Middle napad čak iu šifriranom okruženju.

Napadi na razini aplikacije. Napadi na razini aplikacije mogu se izvesti na nekoliko načina. Najčešći je iskorištavanje dobro poznatih slabosti poslužiteljskog softvera (sendmail, HTTP, FTP). Koristeći ove slabosti, napadači mogu dobiti pristup računalu u ime korisnika koji pokreće aplikaciju (obično to nije jednostavan korisnik, već povlašteni administrator s pravima pristup sustavu). Informacije o napadima na razini aplikacije naširoko se objavljuju kako bi administratori mogli ispraviti problem pomoću korektivnih modula (zakrpe, zakrpe). Nažalost, mnogi napadači također imaju pristup tim informacijama, što im omogućuje učenje.

Glavni problem s napadima na sloju aplikacije je taj što često koriste portove kojima je dopušten prolaz kroz vatrozid. Napadi na razini aplikacije ne mogu se potpuno eliminirati.

20.06.05. 37.3K

Internet potpuno mijenja naš način života: posao, učenje, slobodno vrijeme. Te će se promjene dogoditi kako u područjima koja već poznajemo (elektronička trgovina, pristup informacijama u stvarnom vremenu, povećane komunikacijske mogućnosti, itd.), tako i u područjima o kojima još nemamo pojma.

Možda će doći vrijeme kada će korporacija proizvesti sve svoje Telefonski pozivi putem interneta, i to potpuno besplatno. U privatnom životu mogu se pojaviti posebne web stranice uz pomoć kojih roditelji u svakom trenutku mogu saznati kako su im djeca. Naše društvo tek počinje shvaćati neograničene mogućnosti interneta.

Uvod

Istodobno s enormnim rastom popularnosti interneta javlja se dosad neviđena opasnost od otkrivanja osobnih podataka, kritičnih korporativnih resursa, državnih tajni itd.

Svakodnevno hakeri ugrožavaju te resurse pokušavajući im pristupiti pomoću posebnih napada koji s jedne strane postupno postaju sve sofisticiraniji, a s druge strane sve lakši za izvođenje. Tome pridonose dva glavna čimbenika.

Prvo, to je raširen prodor Interneta. Danas postoje milijuni uređaja povezanih s internetom, a mnogi će milijuni uređaja biti povezani s internetom u bliskoj budućnosti, zbog čega je sve vjerojatnije da će hakeri dobiti pristup ranjivim uređajima.

Osim toga, raširena uporaba Interneta omogućuje hakerima razmjenu informacija na globalnoj razini. Jednostavna pretraga pomoću ključnih riječi kao što su "hacker", "hacking", "hack", "crack" ili "phreak" vratit će vam tisuće web stranica od kojih se mnoge mogu pronaći zlonamjerni kodovi i načine kako ih koristiti.

Drugo, ovo je najšira distribucija jednostavnih za korištenje operativni sustavi i razvojna okruženja. Ovaj čimbenik oštro smanjuje razinu znanja i vještina potrebnih hakeru. Prethodno, kako bi kreirao i distribuirao aplikacije jednostavne za korištenje, haker je morao imati dobre programerske vještine.

Sada, da biste dobili pristup hakerskom alatu, trebate znati samo IP adresu željene stranice, a za izvođenje napada samo jedan klik mišem.

Klasifikacija mrežnih napada

Mrežni napadi su različiti kao i sustavi na koje ciljaju. Neki napadi su vrlo složeni, dok su drugi unutar mogućnosti običnog operatera, koji niti ne zamišlja posljedice svojih aktivnosti. Da biste procijenili vrste napada, morate znati neka od inherentnih ograničenja TPC/IP protokola. Neto

Internet je stvoren za komunikaciju između državnih tijela i sveučilišta kako bi pomogao obrazovnom procesu i znanstvenom istraživanju. Tvorci ove mreže nisu ni slutili koliko će ona postati raširena. Kao rezultat toga, specifikacijama ranih verzija internetskog protokola (IP) nedostajali su sigurnosni zahtjevi. Zbog toga su mnoge IP implementacije same po sebi ranjive.

Nakon mnogo godina, nakon mnogih pritužbi (Request for Comments, RFC), sigurnosne mjere za IP konačno su se počele provoditi. Međutim, zbog činjenice da sigurnosne mjere za IP protokol u početku nisu razvijene, sve njegove implementacije počele su se nadopunjavati raznim mrežnim postupcima, uslugama i proizvodima koji smanjuju rizike svojstvene ovom protokolu. Zatim ćemo ukratko pogledati vrste napada koji se obično koriste protiv IP mreža i navesti načine za borbu protiv njih.

Njuškalo paketa

Njuškalo paketa je aplikacijski program koji koristi mrežnu karticu koja radi u promiskuitetnom načinu rada (u ovom načinu rada mrežni adapter šalje sve pakete primljene preko fizičkih kanala aplikaciji na obradu).

U ovom slučaju, njuškalo presreće sve mrežne pakete koji se prenose kroz određenu domenu. Trenutno njuškali rade na mrežama na potpuno legalnoj osnovi. Koriste se za dijagnozu kvarova i analizu prometa. Međutim, zbog činjenice da neke mrežne aplikacije prenose podatke u tekstualnom formatu ( Telnet, FTP, SMTP, POP3 itd..), pomoću njuškala možete saznati korisne, a ponekad i povjerljive informacije (na primjer, korisnička imena i lozinke).

Presretanje prijave i lozinke predstavlja veliku prijetnju jer korisnici često koriste istu prijavu i lozinku za više aplikacija i sustava. Mnogi korisnici općenito imaju jednu lozinku za pristup svim resursima i aplikacijama.

Ako aplikacija radi u načinu rada klijent-poslužitelj, a podaci za provjeru autentičnosti prenose se mrežom u čitljivom tekstualnom formatu, tada se ove informacije najvjerojatnije mogu koristiti za pristup drugim korporativnim ili vanjskim resursima. Hakeri previše dobro poznaju i iskorištavaju ljudske slabosti (metode napada često se temelje na metodama društvenog inženjeringa).

Oni dobro znaju da koristimo istu lozinku za pristup mnogim resursima, pa često uspiju, nakon što saznaju našu lozinku, dobiti pristup važna informacija. U najgorem slučaju, haker dobiva pristup korisničkom resursu na razini sustava i koristi ga za stvaranje novog korisnika koji se može koristiti u bilo kojem trenutku za pristup mreži i njenim resursima.

Možete smanjiti prijetnju njuškanja paketa pomoću sljedećih alata::

Ovjera. Snažna autentifikacija najvažnija je obrana od njuškanja paketa. Pod "jakim" mislimo na metode provjere autentičnosti koje je teško zaobići. Primjer takve provjere autentičnosti su jednokratne lozinke (OTP).

OTP je tehnologija autentifikacije s dva faktora koja kombinira ono što imate s onim što znate. Tipičan primjer dvofaktorske autentifikacije je rad običnog bankomata, koji vas identificira, prvo, vašom plastičnom karticom, a drugo, PIN kodom koji unesete. Za autentifikaciju u OTP sustavu također je potreban PIN kod i vaša osobna kartica.

Pod "karticom" (tokenom) podrazumijevamo hardverski ili softverski alat koji generira (nasumičnim principom) jedinstvenu jednokratnu, jednokratnu lozinku. Ako haker otkrije ovu lozinku pomoću njuškala, ta informacija će biti beskorisna, jer će u tom trenutku lozinka biti već iskorištena i povučena.

Imajte na umu da je ova metoda borbe protiv njuškanja učinkovita samo u slučajevima presretanja lozinki. Njuškali koji presreću druge informacije (kao što su poruke e-pošte) ostaju učinkoviti.

Komutirana infrastruktura. Drugi način za borbu protiv njuškanja paketa u vašem mrežnom okruženju je stvaranje komutirane infrastrukture. Ako, primjerice, cijela organizacija koristi dial-up Ethernet, hakeri mogu pristupiti samo prometu koji dolazi u port na koji su spojeni. Komutirana infrastruktura ne uklanja prijetnju njuškanja, ali značajno smanjuje njenu ozbiljnost.

Antisnifferi. Treći način za borbu protiv sniffera je instaliranje hardvera ili softvera koji prepoznaje sniffere koji rade na vašoj mreži. Ovi alati ne mogu u potpunosti eliminirati prijetnju, ali su, kao i mnogi drugi mrežni sigurnosni alati, uključeni u cjelokupni sustav zaštite. Antisnifferi mjere vremena odgovora hosta i određuju moraju li hostovi obrađivati ​​nepotreban promet. Jedan takav proizvod, dostupan od LOpht Heavy Industries, zove se AntiSniff.

Kriptografija. Ovaj najučinkovitiji način borbe protiv njuškanja paketa, iako ne sprječava presretanje i ne prepoznaje rad njuškala, ali ovaj rad čini beskorisnim. Ako je komunikacijski kanal kriptografski siguran, tada haker ne presreće poruku, već šifrirani tekst (odnosno nerazumljiv niz bitova). Ciscova kriptografija mrežnog sloja temelji se na IPSec protokolu, koji je standardna metoda sigurna komunikacija između uređaja koji koriste IP protokol. Ostali kriptografski protokoli za upravljanje mrežom uključuju SSH (Secure Shell) i SSL (Secure Socket Layer) protokole.

IP spoofing

IP spoofing se događa kada se haker, unutar ili izvan korporacije, lažno predstavlja kao ovlašteni korisnik. To se može učiniti na dva načina: haker može koristiti ili IP adresu koja je unutar raspona ovlaštenih IP adresa ili ovlaštenu vanjsku adresu kojoj je dopušten pristup određenim mrežnim resursima.

IP spoofing napadi često su početna točka za druge napade. Klasičan primjer je DoS napad, koji počinje s tuđe adrese, skrivajući pravi identitet hakera.

IP spoofing je obično ograničen na umetanje lažnih informacija ili zlonamjernih naredbi u normalan tok podataka koji se prenosi između klijentske i poslužiteljske aplikacije ili preko komunikacijskog kanala između ravnopravnih uređaja.

Za dvosmjernu komunikaciju, haker mora promijeniti sve tablice usmjeravanja kako bi usmjerio promet na lažnu IP adresu. Neki hakeri, međutim, niti ne pokušavaju dobiti odgovor od aplikacija – ako je glavni cilj izvući važnu datoteku iz sustava, tada odgovori aplikacija nisu bitni.

Ako haker uspije promijeniti tablice usmjeravanja i usmjeriti promet na lažnu IP adresu, primit će sve pakete i moći će na njih odgovoriti kao da je ovlašteni korisnik.

Prijetnja lažiranja može se ublažiti (ali ne i eliminirati) sljedećim mjerama:

• Kontrola pristupa. Najlakši način za sprječavanje IP spoofinga je ispravno konfiguriranje kontrola pristupa. Kako biste smanjili učinkovitost IP spoofinga, konfigurirajte kontrolu pristupa da odbije bilo kakav promet koji dolazi s vanjske mreže s izvornom adresom koja bi se trebala nalaziti unutar vaše mreže.

  Istina, ovo pomaže u borbi protiv IP spoofinga, kada su samo interne adrese autorizirane; ako su neke vanjske mrežne adrese također autorizirane, ova metoda postaje neučinkovita;

• RFC 2827 filtriranje. Možete spriječiti korisnike na svojoj mreži da lažiraju tuđe mreže (i postati dobar građanin na mreži). Da biste to učinili, morate odbiti svaki odlazni promet čija izvorna adresa nije jedna od IP adresa vaše organizacije.

  Ovu vrstu filtriranja, poznatu kao RFC 2827, također može izvesti vaš davatelj internetskih usluga (ISP). Kao rezultat toga, sav promet koji nema izvornu adresu očekivanu na određenom sučelju se odbija. Na primjer, ako ISP pruža vezu s IP adresom 15.1.1.0/24, može konfigurirati filtar tako da je samo promet koji potječe s 15.1.1.0/24 dopušten s tog sučelja na ISP-ov usmjerivač.

Imajte na umu da dok svi davatelji ne implementiraju ovu vrstu filtriranja, njegova će učinkovitost biti mnogo niža od moguće. Osim toga, što ste dalje od uređaja koji se filtriraju, to je teže izvršiti točnu filtraciju. Na primjer, RFC 2827 filtriranje na razini pristupnog usmjerivača zahtijeva propuštanje cjelokupnog prometa s glavne mrežne adrese (10.0.0.0/8), dok je na razini distribucije (u određenoj arhitekturi) moguće preciznije ograničiti promet (adresa - 10.1.5.0/24).

Najviše učinkovita metoda borba protiv IP spoofinga ista je kao u slučaju packet sniffinga: potrebno je učiniti napad potpuno neučinkovitim. IP spoofing može funkcionirati samo ako se provjera autentičnosti temelji na IP adresama.

Stoga uvođenje dodatnih metoda autentifikacije takve napade čini beskorisnim. Najbolja vrsta dodatne provjere autentičnosti je kriptografska. Ako to nije moguće, dvofaktorska provjera autentičnosti pomoću jednokratnih lozinki može dati dobre rezultate.

Uskraćivanje usluge

Uskraćivanje usluge (DoS) bez sumnje je najpoznatiji oblik hakerski napadi. Osim toga, protiv ovih vrsta napada najteže je stvoriti 100% zaštitu. Među hakerima se DoS napadi smatraju dječjom igrom, a njihova upotreba izaziva prezriv smiješak, jer organiziranje DoS-a zahtijeva minimalno znanje i vještine.

Unatoč tome, upravo jednostavnost implementacije i golemi razmjeri prouzročene štete DoS privlače veliku pozornost administratora odgovornih za sigurnost mreže. Ako želite saznati više o DoS napadima, trebali biste razmotriti najpoznatije vrste, naime:

• TCP SYN poplava;
• Ping smrti;
• Tribe Flood Network (TFN) i Tribe Flood Network 2000 (TFN2K);
• Trinco;
• Stacheldracht;
• Trojstvo.

Izvrstan izvor sigurnosnih informacija je Computer Emergency Response Team (CERT), koji je objavio odličan posao za borbu protiv DoS napada.

DoS napadi razlikuju se od ostalih vrsta napada. Oni nisu usmjereni na dobivanje pristupa vašoj mreži, niti na dobivanje bilo kakvih informacija s te mreže, ali DoS napad čini vašu mrežu nedostupnom za normalnu upotrebu prekoračenjem prihvatljivih ograničenja mreže, operativnog sustava ili aplikacije.

U slučaju nekih poslužiteljskih aplikacija (kao što je web poslužitelj ili FTP poslužitelj), DoS napadi mogu uključivati ​​preuzimanje svih veza dostupnih tim aplikacijama i njihovo držanje zauzetima, sprječavajući obične korisnike da budu opsluženi. DoS napadi mogu koristiti uobičajene internetske protokole kao što su TCP i ICMP ( Internetski protokol kontrolnih poruka).

Većina DoS napada ne cilja softverske pogreške ili sigurnosne rupe, već općenite slabosti u arhitekturi sustava. Neki napadi osakaćuju performanse mreže preplavljujući je neželjenim i nepotrebnim paketima ili pogrešnim informacijama o trenutnom stanju mrežnih resursa.

Ovu vrstu napada teško je spriječiti jer zahtijeva koordinaciju s pružateljem usluga. Ako kod provajdera ne zaustavite promet koji ima za cilj preplaviti vašu mrežu, tada to više nećete moći učiniti na ulazu u mrežu, jer će sva propusnost biti zauzeta. Kada napad ove vrste koji se provodi istovremeno preko više uređaja, govorimo o distribuiranom DoS napadu ( distributed DoS, DDoS).

Prijetnja od DoS napada može se smanjiti na tri načina:

• Značajke protiv prijevare. Ispravno konfiguriranje značajki protiv lažiranja na vašim usmjerivačima i vatrozidima pomoći će u smanjenju rizika od DoS-a. Te bi značajke najmanje trebale uključivati ​​filtriranje RFC 2827. Ako haker ne može prikriti svoj pravi identitet, malo je vjerojatno da će izvesti napad.
• Anti-DoS funkcije. Ispravna konfiguracija anti-DoS značajki na usmjerivačima i vatrozidima može ograničiti učinkovitost napada. Ove značajke često ograničavaju broj poluotvorenih kanala u bilo kojem trenutku.
• Ograničenje brzine prometa. Organizacija može zatražiti od svog davatelja internetskih usluga (ISP) da ograniči količinu prometa. Ova vrsta filtriranja omogućuje vam da ograničite količinu nekritičnog prometa koji prolazi kroz vašu mrežu. Tipičan primjer je ograničavanje količine ICMP prometa, koji se koristi samo u dijagnostičke svrhe. (D)DoS napadi često koriste ICMP.

Napadi lozinkom

Hakeri mogu izvršiti napade lozinkom korištenjem brojnih metoda, kao što su napad brutalnom silom, trojanski konj, IP spoofing i packet sniffing. Iako se prijava i lozinka često mogu dobiti lažiranjem IP-a i njuškanjem paketa, hakeri često pokušavaju pogoditi lozinku i prijaviti se putem višestrukih pokušaja pristupa. Ovaj pristup se naziva jednostavno pretraživanje (brute force attack).

Često se takav napad koristi posebnim programom koji pokušava dobiti pristup javnom resursu (na primjer, poslužitelju). Ako se kao rezultat toga hakeru odobri pristup resursima, on ga dobiva s pravima običnog korisnika čija je lozinka odabrana.

Ako ovaj korisnik ima značajne privilegije pristupa, haker može stvoriti "propusnicu" za budući pristup koja će ostati važeća čak i ako korisnik promijeni lozinku i prijavu.

Još jedan problem nastaje kada korisnici koriste istu (čak i vrlo dobru) lozinku za pristup mnogim sustavima: korporativnim, osobnim i internetskim sustavima. Budući da je snaga lozinke jednaka snazi ​​najslabijeg hosta, haker koji sazna lozinku preko tog hosta dobiva pristup svim ostalim sustavima gdje se koristi ista lozinka.

Napadi lozinkom mogu se izbjeći ako ne koristite lozinke s običnim tekstom. Jednokratne lozinke i/ili kriptografska provjera autentičnosti mogu gotovo eliminirati prijetnju takvih napada. Nažalost, ne podržavaju sve aplikacije, hostovi i uređaji gore navedene metode provjere autentičnosti.

Kada koristite obične lozinke, pokušajte smisliti onu koju bi bilo teško pogoditi. Minimalna duljina lozinke mora biti najmanje osam znakova. Lozinka mora sadržavati velika slova, brojeve i posebne znakove (#, %, $, itd.).

Najbolje lozinke teško je pogoditi i teško ih je zapamtiti, što tjera korisnike da ih zapišu na papir. Kako bi se to izbjeglo, korisnici i administratori mogu koristiti niz najnovijih tehnoloških dostignuća.

Na primjer, postoje aplikacijski programi koji šifriraju popis lozinki koje se mogu pohraniti u džepno računalo. Kao rezultat toga, korisnik treba zapamtiti samo jednu složenu lozinku, dok će sve ostale biti pouzdano zaštićene aplikacijom.

Administrator ima nekoliko metoda za borbu protiv pogađanja lozinke. Jedan od njih je korištenje alata L0phtCrack, koji hakeri često koriste za pogađanje lozinki u Windows okruženje N.T. Ovaj alat će vam brzo pokazati je li korisnikovu lozinku lako pogoditi. Dodatne informacije može se nabaviti na http://www.l0phtcrack.com/.

Čovjek u sredini napada

Za napad Man-in-the-Middle, haker treba pristup paketima koji se prenose preko mreže. Takav pristup svim paketima koji se prenose s pružatelja na bilo koju drugu mrežu može, primjerice, dobiti zaposlenik tog pružatelja. Za ovu vrstu napada često se koriste snifferi paketa, transportni protokoli i protokoli za usmjeravanje.

Napadi se provode s ciljem krađe informacija, presretanja trenutne sesije i dobivanja pristupa privatnim mrežnim resursima, radi analize prometa i dobivanja informacija o mreži i njezinim korisnicima, izvođenja DoS napada, iskrivljavanja prenesenih podataka i unosa neovlaštenih informacija. u mrežne sesije.

Napadi tipa Man-in-the-Middle mogu se učinkovito boriti samo pomoću kriptografije. Ako haker presretne podatke iz šifrirane sesije, ono što će se pojaviti na njegovom ekranu nije presretnuta poruka, već besmisleni skup znakova. Imajte na umu da ako haker dobije informacije o kriptografskoj sesiji (na primjer, ključ sesije), to bi moglo omogućiti napad Man-in-the-Middle čak iu šifriranom okruženju.

Napadi na razini aplikacije

Napadi na razini aplikacije mogu se izvesti na nekoliko načina. Najčešći od njih je korištenje dobro poznatih slabosti poslužiteljskog softvera (sendmail, HTTP, FTP). Iskorištavanjem ovih slabosti hakeri mogu dobiti pristup računalu kao korisnik koji pokreće aplikaciju (obično ne obični korisnik, već povlašteni administrator s pravima pristupa sustavu).

Informacije o napadima na razini aplikacije naširoko se objavljuju kako bi administratorima dali priliku ispraviti problem pomoću korektivnih modula (zakrpa). Nažalost, mnogi hakeri također imaju pristup ovim informacijama, što im omogućuje da se poboljšaju.

Glavni problem s napadima na razini aplikacije je taj što hakeri često koriste portove kojima je dopušten prolaz kroz vatrozid. Na primjer, haker koji iskorištava poznatu slabost web poslužitelja često će u TCP napadu koristiti priključak 80. Budući da web poslužitelj pruža web stranice korisnicima, vatrozid mora omogućiti pristup ovom priključku. Sa stajališta vatrozida, napad se tretira kao standardni promet na portu 80.

Napadi na razini aplikacije ne mogu se potpuno eliminirati. Hakeri neprestano otkrivaju i objavljuju nove ranjivosti u aplikacijskim programima na internetu. Ovdje je najvažnija dobra administracija sustava. Evo nekih mjera koje možete poduzeti kako biste smanjili svoju ranjivost na ovu vrstu napada:

• čitati log datoteke operativnog sustava i mreže i/ili ih analizirati pomoću posebnih analitičkih aplikacija;
• Pretplatite se na uslugu prijavljivanja ranjivosti aplikacije: Bugtrad (http://www.securityfocus.com).

Mrežna inteligencija

Mrežna inteligencija odnosi se na prikupljanje mrežnih informacija korištenjem javno dostupnih podataka i aplikacija. Kada priprema napad na mrežu, haker obično pokušava dobiti što više informacija o njoj. Izviđanje mreže provodi se u obliku DNS upita, pingova i skeniranja portova.

DNS upiti vam pomažu razumjeti tko je vlasnik određene domene i koje su adrese dodijeljene toj domeni. Ping adrese otkrivene iz koristeći DNS, omogućuje vam da vidite koji hostovi stvarno rade u određenom okruženju. Nakon što primi popis hostova, haker koristi alate za skeniranje portova za kompajliranje puni popis usluge koje podržavaju ovi domaćini. Na kraju, haker analizira karakteristike aplikacija koje rade na hostovima. Kao rezultat toga, dobiva informacije koje se mogu koristiti za hakiranje.

Nemoguće je potpuno se riješiti mrežne inteligencije. Ako, na primjer, onemogućite ICMP echo i echo reply na rubnim usmjerivačima, riješit ćete se testiranja pinga, ali ćete izgubiti podatke potrebne za dijagnosticiranje mrežnih kvarova.

Osim toga, možete skenirati portove bez prethodnog testiranja pinga - samo će trebati više vremena, jer ćete morati skenirati nepostojeće IP adrese. IDS sustavi na razini mreže i hosta obično dobro obavještavaju administratore o izviđanju mreže u tijeku, omogućujući im da se bolje pripreme za nadolazeći napad i upozore davatelja internetskih usluga (ISP) na čijoj je mreži sustav previše znatiželjan:

1. koristiti najnovije verzije operativnih sustava i aplikacija te najnovije korekcijske module (zakrpe);
2. Uz administraciju sustava, koristite sustave za otkrivanje napada (IDS) - dvije komplementarne ID tehnologije:
   • Mrežni IDS sustav (NIDS) prati sve pakete koji prolaze kroz određenu domenu. Kada NIDS sustav vidi paket ili niz paketa koji odgovaraju potpisu poznatog ili vjerojatnog napada, generira alarm i/ili prekida sesiju;
   • IDS sustav (HIDS) štiti host pomoću softverskih agenata. Ovaj sustav se bori samo protiv napada na jedno glavno računalo.

U svom radu IDS sustavi koriste potpise napada, koji su profili specifičnih napada ili tipova napada. Potpisi definiraju uvjete pod kojima se promet smatra hakerskim. Analozi IDS-a u fizičkom svijetu mogu se smatrati sustavom upozorenja ili nadzornom kamerom.

Najveći nedostatak IDS-a je njihova sposobnost generiranja alarma. Kako bi se smanjio broj lažnih alarma i osigurao ispravan rad IDS sustava na mreži, potrebno je pažljivo konfigurirati sustav.

Povreda povjerenja

Strogo govoreći, ova vrsta radnje nije u punom smislu riječi napad ili napad. Predstavlja zlonamjerno iskorištavanje odnosa povjerenja koji postoje u mreži. Klasičan primjer takve zlouporabe je stanje na perifernom dijelu korporativne mreže.

Ovaj se segment često nalazi DNS poslužitelji, SMTP i HTTP. Budući da svi pripadaju istom segmentu, hakiranje bilo kojeg od njih dovodi do hakiranja svih ostalih, jer ti poslužitelji vjeruju drugim sustavima na svojoj mreži.

Drugi primjer je sustav instaliran s vanjske strane vatrozida koji ima odnos povjerenja sa sustavom instaliranim s unutarnje strane vatrozida. Ako je vanjski sustav ugrožen, haker može koristiti odnos povjerenja da prodre u sustav zaštićen vatrozidom.

Rizik od povrede povjerenja može se smanjiti strožom kontrolom razina povjerenja unutar vaše mreže. Sustavi koji se nalaze izvan vatrozida nikada ne bi trebali imati apsolutno povjerenje sustava zaštićenih vatrozidom.

Odnosi povjerenja trebali bi biti ograničeni na određene protokole i, ako je moguće, autentificirani parametrima koji nisu IP adrese.

Port Forwarding

Prosljeđivanje porta je oblik zlouporabe povjerenja u kojem se kompromitirani host koristi za propuštanje prometa kroz vatrozid koji bi inače bio odbijen. Zamislimo vatrozid s tri sučelja, od kojih je svako povezano s određenim hostom.

Vanjski host se može povezati s hostom javni pristup(DMZ), ali ne na onaj instaliran s unutarnje strane vatrozida. Dijeljeni host može se povezati i s internim i s vanjskim hostom. Ako haker preuzme zajednički host, može na njega instalirati softver koji preusmjerava promet s vanjskog hosta izravno na interni.

Iako to ne krši nijedno pravilo na zaslonu, vanjski host dobiva izravan pristup zaštićenom hostu kao rezultat preusmjeravanja. Primjer aplikacije koja može omogućiti takav pristup je netcat. Više detaljne informacije dostupno na http://www.avian.org.

Glavni način borbe protiv prosljeđivanja portova je korištenje jakih modela povjerenja (pogledajte prethodni odjeljak). Osim toga, kako bi spriječio hakera da instalira svoj vlastiti softver može ugostiti IDS sustav (HIDS).

Neovlašten pristup

Neovlašteni pristup se ne može identificirati kao posebna vrsta napada, budući da se većina mrežnih napada izvodi upravo radi neovlaštenog pristupa. Da bi pogodio Telnet prijavu, haker prvo mora dobiti Telnet savjet na svom sustavu. Nakon spajanja na Telnet priključak, na zaslonu se pojavljuje poruka "potrebna je autorizacija za korištenje ovog resursa" (" Za korištenje ovog resursa potrebna je autorizacija.»).

Ako haker nakon toga nastavi s pokušajima pristupa, smatrat će se neovlaštenim. Izvor takvih napada može biti unutar mreže ili izvan nje.

Metode za borbu protiv neovlaštenog pristupa prilično su jednostavne. Ovdje je glavna stvar smanjiti ili potpuno eliminirati mogućnost hakera da dobije pristup sustavu korištenjem neovlaštenog protokola.

Kao primjer, razmotrite sprječavanje pristupa hakerima Telnet priključak na poslužitelju koji pruža web usluge vanjskim korisnicima. Bez pristupa ovom portu, haker ga neće moći napasti. Što se tiče vatrozida, njegova glavna zadaća je spriječiti najjednostavnije pokušaje neovlaštenog pristupa.

Virusi i aplikacije trojanskog konja

Radne stanice krajnjih korisnika vrlo su osjetljive na viruse i trojanske konje. Zovu se virusi malware, koji su ugrađeni u druge programe za izvođenje određene neželjene funkcije na radnoj stanici krajnjeg korisnika. Primjer je virus koji je zapisan u datoteci command.com (glavni tumač Windows sustavi) i briše druge datoteke, a također inficira sve druge verzije command.com koje pronađe.

Trojanski konj nije softverski umetak, već pravi program koji se na prvi pogled čini korisna primjena, ali zapravo igra štetnu ulogu. Primjer tipičnog trojanskog konja je program koji izgleda jednostavna igra za radnu stanicu korisnika.

Međutim, dok korisnik igra igru, program šalje svoju kopiju e-poštom svakom pretplatniku navedenom u Adresar ovaj korisnik. Svi pretplatnici dobivaju igru ​​poštom, što uzrokuje njezinu daljnju distribuciju.

Borba protiv virusa i trojanskih konja provodi se uz pomoć učinkovitog antivirusnog softvera koji radi na razini korisnika i, eventualno, na razini mreže. Antivirusni proizvodi otkrivaju većinu virusa i trojanskih konja i zaustavljaju njihovo širenje.

Dobivanje najnovijih informacija o virusima pomoći će vam da se učinkovitije borite protiv njih. Kako se pojavljuju novi virusi i trojanski konji, tvrtke moraju instalirati nove verzije antivirusnih alata i aplikacija.

Prilikom pisanja ovog članka korišteni su materijali tvrtke Cisco Systems.

Dobar loš

Tablica 9.1.

Naziv protokola	Razina stog protokola	Naziv (karakteristika) ranjivosti	Sadržaj povrede sigurnost informacija
FTP (File Transfer Protocol) – protokol za prijenos datoteka preko mreže		Temeljena provjera autentičnosti otvoreni tekst(lozinke se šalju nešifrirane) Zadani pristup Dostupnost dva otvorena priključka	Prilika presretanje podataka
telnet - kontrolni protokol udaljeni terminal	Prijava, zastupnik, sjednica	Temeljena provjera autentičnosti otvoreni tekst(lozinke se šalju nešifrirane)	Prilika presretanje podataka račun(registrirana korisnička imena, lozinke). Priznanica daljinski pristup domaćinima
UDP- protokol prijenosa podataka bez veze	Prijevoz	Nema mehanizma za sprječavanje preopterećenja međuspremnika	Mogućnost implementacije UDP oluje. Kao rezultat razmjene paketa, dolazi do značajnog smanjenja performansi poslužitelja
ARP – IP adresa u protokol fizičke adrese	Mreža	Temeljena provjera autentičnosti otvoreni tekst(informacije se šalju nekriptirane)	Mogućnost presretanja korisničkog prometa od strane napadača
RIP – Routing Information Protocol	Prijevoz	Nedostatak provjere autentičnosti kontrolnih poruka promjene rute	Mogućnost preusmjeravanja prometa preko napadačevog hosta
TCP kontrolni protokol prijenos	Prijevoz	Nedostatak mehanizma za provjeru ispravnosti popunjavanja zaglavlja paketne usluge	Značajno smanjenje brzine komunikacije pa čak i potpuni prekid proizvoljnih veza preko TCP protokola
DNS – protokol za uspostavljanje korespondencije između mnemotehničkih imena i mrežnih adresa	Prijava, zastupnik, sjednica	Nedostatak sredstava za provjeru autentičnosti primljenih podataka iz izvora	Ometanje odgovora DNS poslužitelja
IGMP – Protokol za usmjeravanje poruka	Mreža	Nedostatak provjere autentičnosti poruka o promjeni parametara rute	Zamrzavanje sustava Win 9x/NT/2000
SMTP – protokol za pružanje usluge dostave e-mail poruka	Prijava, zastupnik, sjednica		Mogućnost krivotvorenja email poruka kao i adresa pošiljatelj poruke
SNMP kontrolni protokol usmjerivači u mrežama	Prijava, zastupnik, sjednica	Nema podrške za provjeru autentičnosti zaglavlja poruke	Mogućnost preopterećenja propusnosti mreže

Prijetnje koje se izvode preko mreže klasificiraju se prema sljedećim glavnim karakteristikama:

1. prirodu prijetnje.

   Pasivno - prijetnja koja ne utječe na rad informacijski sistem, ali može kršiti pravila pristupa zaštićenim informacijama. Primjer: korištenje sniffera za "slušanje" mreže. Aktivna – prijetnja koja utječe na komponente informacijskog sustava čija implementacija ima izravan utjecaj na rad sustava. Primjer: DDOS napad u obliku oluje TCP zahtjeva.

2. cilj prijetnje(odnosno povjerljivost, dostupnost, cjelovitost informacija).
3. stanje početka napada:
   • na zahtjev napadnutog. Odnosno, napadač očekuje slanje zahtjeva određenog tipa, što će biti uvjet za početak napada.
   • nastupanjem očekivanog događaja na napadnutom objektu.
   • bezuvjetni udar - napadač ne čeka ništa, odnosno prijetnja se provodi odmah i bez obzira na stanje napadnutog objekta.
4. dostupnost povratnih informacija s napadnutim objektom:
   • povratnom spregom, odnosno napadač treba dobiti odgovor na neke zahtjeve. Dakle, između cilja i napadača postoji povratna veza, koja napadaču omogućuje praćenje stanja napadnutog objekta i adekvatno reagiranje na njegove promjene.
   • bez povratne sprege – sukladno tome nema povratne sprege niti potrebe da napadač reagira na promjene u napadnutom objektu.
5. lokaciju uljeza u odnosu na napadnuti informacijski sustav: intra-segment i inter-segment. Mrežni segment je fizički spoj računala, hardvera i drugih mrežnih komponenti koje imaju mrežnu adresu. Na primjer, jedan segment čine računala spojena na zajedničku sabirnicu temeljenu na Token Ringu.
6. ISO/OSI sloj referentnog modela na kojem je implementirana prijetnja: fizički, kanal, mreža, transport, sesija, predstavnik, aplikacija.

Pogledajmo trenutno najčešće napade u mrežama na temelju stog protokola TCP/IP.

1. Analiza mrežnog prometa. Ovaj napad implementiran korištenjem poseban program zvani njuškalo. Njuškalo je aplikacijski program koji koristi mrežnu karticu koja radi u promiskuitetnom načinu rada, tzv. “promiskuitetnom” načinu rada u kojem mrežna kartica omogućuje prihvaćanje svih paketa, bez obzira kome su upućeni. U normalnom stanju, filtriranje paketa sloja veze koristi se na Ethernet sučelju i ako MAC adresa u odredišnom zaglavlju primljenog paketa ne odgovara MAC adresi trenutnog mrežno sučelje i nije emitiranje, paket se odbacuje. U "promiskuitetnom" načinu rada, filtriranje prema mrežno sučelje je onemogućen i svi paketi, uključujući one koji nisu namijenjeni trenutnom čvoru, dopušteni su u sustav. Treba napomenuti da se mnogi takvi programi koriste u pravne svrhe, na primjer, za dijagnosticiranje kvarova ili analizu prometa. Međutim, tablica koju smo prethodno pregledali navodi protokole kojima se šalju informacije, uključujući lozinke otvorena forma– FTP, SMTP, POP3 itd. Dakle, pomoću sniffera možete presresti svoje korisničko ime i lozinku i dobiti neovlašteni pristup povjerljivim informacijama. Štoviše, mnogi korisnici koriste iste lozinke za pristup mnogim online uslugama. Odnosno, ako postoji slabost na jednom mjestu u mreži u obliku slabe autentifikacije, cijela mreža može patiti. Napadači su itekako svjesni ljudskih slabosti i naširoko koriste metode socijalnog inženjeringa.

   Zaštita od ove vrste napada može uključivati ​​sljedeće:

   • Snažna autentifikacija npr. pomoću jednokratne lozinke(jednokratna lozinka). Ideja je da se lozinka može upotrijebiti jednom, a čak i ako je napadač presretne pomoću sniffera, ona nema nikakvu vrijednost. Naravno, ovaj zaštitni mehanizam štiti samo od presretanja lozinki, a beskoristan je u slučaju presretanja drugih informacija, primjerice e-pošte.
   • Anti-snifferi su hardver ili softver koji može otkriti rad sniffera u segmentu mreže. U pravilu provjeravaju opterećenje mrežnih čvorova kako bi odredili "višak" opterećenja.
   • Komutirana infrastruktura. Jasno je da je analiza mrežnog prometa moguća samo unutar jednog segmenta mreže. Ako je mreža izgrađena na uređajima koji je dijele na više segmenata (sklopke i usmjerivači), tada je napad moguć samo u onim dijelovima mreže koji pripadaju jednom od portova tih uređaja. Time se ne rješava problem njuškanja, ali se smanjuju granice koje napadač može "osluškivati".
   • Kriptografske metode. Najviše pouzdan način rad borbenog tragača. Informacije koje se mogu dobiti presretanjem su šifrirane i stoga nemaju nikakvu korist. Najčešće korišteni su IPSec, SSL i SSH.
2. Mrežno skeniranje.Svrha skeniranja mreže je identificirati usluge koje rade na mreži, otvorene portove, aktivne mrežne usluge , korištenim protokolima i sl. odnosno prikupljanje podataka o mreži. Najčešće korištene metode mrežnog skeniranja su:
   • DNS upiti pomažu napadaču da sazna vlasnika domene, područje adrese,
   • ping testiranje – identificira radna računala na temelju prethodno dobivenih DNS adresa;
   • skeniranje portova – sastavlja se kompletan popis usluga koje podržavaju ovi hostovi, otvorene luke, aplikacije itd.

   Dobra i najčešća protumjera je korištenje IDS-a koji uspješno pronalazi znakove skeniranja mreže i o tome obavještava administratora. Nemoguće je u potpunosti se riješiti ove prijetnje, jer ako, primjerice, onemogućite ICMP echo i echo reply na svom usmjerivaču, možete se riješiti ping prijetnje, ali u isto vrijeme izgubiti podatke potrebne za dijagnosticiranje mrežnih kvarova .

3. Otkrivanje lozinke.Glavni cilj ovog napada je dobiti neovlašteni pristup zaštićenim resursima nadvladavanjem zaštite lozinkom. Za dobivanje lozinke napadač može koristiti mnoge metode - jednostavnu brute force, rječničku brute force, njuškanje, itd. Najčešća je jednostavna brute force pretraga svih mogućih vrijednosti lozinke. Za zaštitu od jednostavne grube sile, potrebno je koristiti jake lozinke koje nije lako pogoditi: duge 6-8 znakova, koristiti velika i mala slova, koristiti posebne znakove (@, #, $, itd.).

   Još jedan problem informacijske sigurnosti je taj što većina ljudi koristi iste lozinke na sve usluge, aplikacije, stranice itd. U isto vrijeme, ranjivost lozinke ovisi o najslabijem području njezine upotrebe.

   Ove vrste napada mogu se izbjeći korištenjem jednokratnih lozinki, o kojima smo ranije govorili, ili kriptografskom provjerom autentičnosti.

4. IP spoofing ili zamjena pouzdanog mrežnog objekta.Pouzdani u ovom slučaju znači mrežni objekt (računalo, usmjerivač, vatrozid, itd.) koji je legalno povezan s poslužiteljem. Prijetnja se sastoji od napadača koji lažno predstavlja pouzdani mrežni objekt. To se može učiniti na dva načina. Prvo koristite IP adresu koja je unutar raspona ovlaštenih IP adresa ili ovlaštenu vanjsku adresu kojoj je dopušten pristup određenim mrežnim resursima. Ova vrsta napada često je početna točka za druge napade.

   Obično je lažiranje pouzdanog mrežnog entiteta ograničeno na umetanje lažnih informacija ili zlonamjernih naredbi u normalan tok podataka koji se prenose između mrežnih entiteta. Za dvosmjernu komunikaciju, napadač mora promijeniti sve tablice usmjeravanja kako bi usmjerio promet na lažnu IP adresu, što je također moguće. Da biste ublažili prijetnju (ali ne i eliminirali je), možete koristiti sljedeće:

   • kontrola pristupa. Možete konfigurirati kontrolu pristupa da odbije svaki promet koji dolazi iz vanjske mreže s izvornom adresom unutar mreže. Ova metoda je učinkovita ako su autorizirane samo interne adrese i ne radi ako postoje autorizirane vanjske adrese.
   • RFC 2827 filtriranje – ova vrsta filtriranja omogućuje vam da zaustavite pokušaje korisnika vaše mreže da lažiraju druge mreže. Da biste to učinili, morate odbiti svaki odlazni promet čija izvorna adresa nije jedna od IP adresa vaše organizacije. Često ovu vrstu filtriranja provodi pružatelj usluga. Kao rezultat toga, sav promet koji nema izvornu adresu očekivanu na određenom sučelju se odbija. Na primjer, ako ISP pruža vezu s IP adresom 15.1.1.0/24, može konfigurirati filtar tako da je samo promet koji potječe s 15.1.1.0/24 dopušten s tog sučelja na ISP-ov usmjerivač. Imajte na umu da dok svi davatelji ne implementiraju ovu vrstu filtriranja, njegova će učinkovitost biti mnogo niža od moguće.
   • Implementacija dodatnih metoda provjere autentičnosti. IP spoofing je moguć samo uz autentifikaciju temeljenu na IP-u. Ako uvedete neke dodatne mjere provjere autentičnosti, na primjer, kriptografske, napad postaje beskoristan.
5. Uskraćivanje usluge (DoS)- napad na računalni sustav s ciljem njegovog dovođenja u kvar, odnosno stvaranja uvjeta u kojima legitimni korisnici sustava ne mogu pristupiti resursima koje sustav osigurava ili je taj pristup otežan.

   DoS napad je najčešći i najpoznatiji napad u posljednje vrijeme, čemu prvenstveno pridonosi jednostavnost implementacije. Organiziranje DOS napada zahtjeva minimum znanja i vještina i temelji se na nedostacima mrežnog softvera i mrežnih protokola. Ako se napad izvodi na mnogo mrežnih uređaja, naziva se distribuirani DoS napad (DDoS).

   Danas se najčešće koriste sljedećih pet vrsta DoS napada za koje postoji velika količina softvera i od kojih se najteže zaštititi:

   • Štrumpf- ICMP ping zahtjevi. Kada se ping paket (ICMP ECHO poruka) pošalje na adresu emitiranja (na primjer, 10.255.255.255), isporučuje se svakom računalu na toj mreži. Princip napada je slanje ICMP ECHO REQUEST paketa s izvornom adresom napadnutog hosta. Napadač šalje stalni tok ping paketa na mrežnu adresu emitiranja. Svi strojevi, po primitku zahtjeva, odgovaraju izvoru s ICMP ECHO REPLY paketom. Sukladno tome, veličina protoka paketa odgovora povećava se nekoliko puta proporcionalno broju hostova. Kao rezultat toga, cijela je mreža izložena uskraćivanju usluge zbog zagušenja.
   • ICMP poplava- napad sličan Štrumpfu, ali bez pojačanja koje stvaraju zahtjevi na usmjerenu adresu emitiranja.
   • UDP poplava- slanje skupa na adresu napadnutog čvora UDP paketi(Protokol korisničkog datagrama).
   • TCP poplava- slanje više TCP paketa na adresu napadnutog čvora.
   • TCP SYN poplava- prilikom provođenja ove vrste napada izdaje se velik broj zahtjeva za inicijaliziranje TCP veze s napadnutim čvorom, koji kao rezultat toga mora potrošiti sve svoje resurse na praćenje tih djelomično otvorenih veza.

   Ako koristite aplikaciju web poslužitelja ili FTP poslužitelja, DoS napad uzrokuje da sve veze dostupne tim aplikacijama budu zauzete i korisnici im ne mogu pristupiti. Neki napadi mogu srušiti cijelu mrežu tako što će je preplaviti nepotrebnim paketima. Za suzbijanje ovakvih napada nužna je uključenost provajdera, jer ako on ne zaustavi neželjeni promet na ulazu u mrežu, napad neće biti zaustavljen jer će biti zauzeta propusnost.

   Za provedbu DoS napada najčešće se koriste sljedeći programi:

   • Trinoo- je prilično primitivan program, koji je povijesno postao prvi koji je organizirao DoS napade jedne vrste - UDP poplava. Programi obitelji "trinoo" lako se otkrivaju standardnim sredstvima zaštite i ne predstavljaju prijetnju onima kojima je barem malo stalo do njihove sigurnosti.
   • TFN i TFN2K- ozbiljnije oružje. Omogućuje vam da istovremeno organizirate nekoliko vrsta napada - Smurf, UDP flood, ICMP flood i TCP SYN flood. Korištenje ovih programa zahtijeva od napadača mnogo veću vještinu.
   • Najnoviji alat za organiziranje DoS napada - Stacheldracht("bodljikava žica"). Ovaj paket vam omogućuje organiziranje raznih vrsta napada i lavina zahtjeva za emitiranim pingom. Osim toga, razmjena podataka između kontrolora i agenata je šifrirana, i softver ugrađena funkcija automatske izmjene. Enkripcija jako otežava otkrivanje napadača.

   Da biste ublažili prijetnju, možete koristiti sljedeće:

   • Značajke protiv lažiranja - Ispravno konfiguriranje značajki protiv lažiranja na vašim usmjerivačima i vatrozidima pomoći će u smanjenju rizika od DoS-a. Te bi značajke trebale uključivati ​​barem filtriranje RFC 2827. Ako haker ne može prikriti svoj pravi identitet, malo je vjerojatno da će izvesti napad.
   • Anti-DoS značajke - Ispravna konfiguracija anti-DoS značajki na usmjerivačima i vatrozidima može ograničiti učinkovitost napada. Ove značajke često ograničavaju broj poluotvorenih kanala u bilo kojem trenutku.
   • Ograničenje brzine prometa - organizacija može zatražiti od ISP-a da ograniči količinu prometa. Ova vrsta filtriranja omogućuje vam da ograničite količinu nekritičnog prometa koji prolazi kroz vašu mrežu. Uobičajeni primjer je ograničavanje količine ICMP prometa, koji se koristi samo u dijagnostičke svrhe. DoS napadi često koriste ICMP.

   Postoji nekoliko vrsta prijetnji ovog tipa:

   • Skriveno uskraćivanje usluge, kada se dio mrežnih resursa koristi za obradu paketa koje šalje napadač, smanjujući kapacitet kanala, ometajući vrijeme obrade zahtjeva i ometajući rad mrežnih uređaja. Primjer: usmjerena oluja ICMP echo zahtjeva ili oluja zahtjeva TCP veze.
   • Očigledno uskraćivanje usluge uzrokovano iscrpljenim mrežnim resursima kao rezultat obrade paketa koje su poslali napadači. Istovremeno, legitimni korisnički zahtjevi ne mogu se obraditi zbog činjenice da je cijela propusnost kanala zauzeta, međuspremnici su puni, prostor na disku je pun, itd. Primjer: usmjerena oluja (SYN-poplava).
   • Očito uskraćivanje usluge uzrokovano kršenjem logičke povezanosti mrežnih tehničkih sredstava kada napadač prenosi kontrolne poruke u ime mrežnih uređaja. U tom se slučaju mijenjaju podaci o usmjeravanju i adresi. Primjer: ICMP Redirect Host ili DNS poplava.
   • Eksplicitno uskraćivanje usluge uzrokovano napadačem koji šalje pakete s nestandardnim atributima (na primjer, UDP-bomba) ili imaju duljinu koja premašuje maksimalnu (Ping Death).

   DoS napadi usmjereni su na ometanje dostupnosti informacija i ne narušavaju integritet i povjerljivost.

6. Napadi na razini aplikacije. Ova vrsta napada uključuje iskorištavanje rupa u poslužiteljskom softveru (HTML, sendmail, FTP). Koristeći ove ranjivosti, napadač dobiva pristup računalu u ime korisnika aplikacije. Napadi na aplikacijskom sloju često koriste portove koji mogu "proći" kroz vatrozid.

   Glavni problem s napadima na sloju aplikacije je taj što često koriste portove kojima je dopušten prolaz kroz vatrozid. Na primjer, haker koji napada web poslužitelj može koristiti TCP priključak 80. Da bi web poslužitelj posluživao stranice korisnicima, priključak 80 na vatrozidu mora biti otvoren. Sa stajališta vatrozida, napad se tretira kao standardni promet na portu 80.

   Nemoguće je potpuno eliminirati napade na razini aplikacije, budući da se aplikacijski programi s novim ranjivostima pojavljuju redovito. Ovdje je najvažnija dobra administracija sustava. Evo nekih mjera koje možete poduzeti kako biste smanjili svoju ranjivost na ovu vrstu napada:

   • zapisnici čitanja (sustav i mreža);
   • praćenje ranjivosti u novom softveru pomoću specijaliziranih stranica, na primjer, http://www.cert.com.
   • korištenje IDS-a.

Iz same prirode mrežnog napada jasno je da njegovu pojavu ne kontrolira svaki pojedini mrežni čvor. Nismo razmotrili sve moguće napade na mreži, u praksi ih je puno više. Međutim, ne čini se moguće zaštititi od svih vrsta napada. Najbolji pristup zaštiti mrežnog perimetra je uklanjanje ranjivosti koje se koriste u većini napada kibernetičkog kriminala. Popisi takvih ranjivosti objavljeni su na mnogim stranicama koje prikupljaju takve statistike, na primjer, web stranica SANS Institute: http://www.sans.org/top-cyber-security-risks/?ref=top20. Prosječni napadač ih ne traži originalne načine za napad, ali skenira mrežu tražeći poznatu ranjivost i iskorištava je.

Ulaznica 1. Osnovni pojmovi i definicije informacijske sigurnosti: napadi, ranjivosti, sigurnosne politike, sigurnosni mehanizmi i usluge. Klasifikacija napada. Modeli mrežne sigurnosti i sigurnosti informacijskog sustava

Ranjivost - slabost u sustavu pomoću kojeg se može izvesti napad.

Rizik - vjerojatnost da određeni napad provodit će se korištenjem specifičnog ranjivosti. U konačnici, svaka organizacija mora odlučiti koja je razina za nju prihvatljiva. rizik. Ta bi se odluka trebala odražavati u sigurnosnoj politici koju je usvojila organizacija.

Sigurnosna politika — pravila, smjernice i prakse koji određuju kako se informacijska imovina obrađuje, štiti i distribuira unutar organizacije i između informacijskih sustava; skup kriterija za pružanje sigurnosne službe.

Napad – svaku radnju kojom se narušava sigurnost informacijskog sustava. Formalnije možemo to reći napad- je radnja ili niz međusobno povezanih radnji pomoću ranjivosti ovog informacijskog sustava i dovodi do kršenja sigurnosne politike.

Sigurnosni mehanizam - softver i/ili hardver koji otkriva i/ili sprječava napad.

Sigurnosna služba - usluga koja pruža politikama definiranu sigurnost sustava i/ili prenesenih podataka ili određuje implementaciju napadi. Servis koristi jedan ili više sigurnosnih mehanizama.
^

Model mrežne sigurnosti Klasifikacija mrežnih napada

svi napadi mogu se podijeliti u dvije klase: pasivno I aktivan.

I. Pasivni napad

To se zove pasivno napad , sa kojim neprijatelj nema mogućnost modificiranja poslanih poruka i umetanja vlastitih poruka u informacijski kanal između pošiljatelja i primatelja. Svrha pasivni napad može biti samo slušanje odaslanih poruka i analiza prometa.

Ovo se zove aktivno napad , sa kojim neprijatelj ima mogućnost mijenjanja poslanih poruka i umetanja vlastitih poruka. Razlikuju se sljedeće vrste: aktivni napadi:

^ II. Aktivni napad

Uskraćivanje usluge - DoS napad (uskraćivanje usluge)

Uskraćivanje usluge ometa normalno funkcioniranje mrežnih usluga. Neprijatelj može presresti sve poruke poslane određenom primatelju. Još jedan primjer ovoga napadi je generirati značajan promet, što rezultira nemogućnošću mrežne usluge obraditi zahtjeve legitimnih klijenata. Klasičan primjer je napadi u TCP/IP mrežama je SYN napad u kojem napadač šalje pakete koji započinju uspostavu TCP veze, ali ne šalje pakete koji dovršavaju uspostavu ove veze. Kao rezultat toga, poslužitelj može postati preopterećen i možda se neće moći povezati s legitimnim korisnicima.

^ Sigurnosni model informacijskog sustava

Postoje i druge situacije povezane sa sigurnošću koje ne odgovaraju gore opisanom modelu mrežne sigurnosti. Opći obrazac ovih situacija može se ilustrirati na sljedeći način:

Ovaj model ilustrira koncept sigurnosti informacijskog sustava, koji sprječava neželjeni pristup. Haker koji pokušava ilegalno ući u sustave dostupne preko mreže možda jednostavno uživa u hakiranju ili možda pokušava oštetiti informacijski sustav i/ili unijeti nešto u njega za vlastite potrebe. Na primjer, cilj hakera može biti doći do brojeva kreditnih kartica pohranjenih u sustavu.

Druga vrsta neželjenog pristupa je postavljanje nečega na računalni sustav što utječe na aplikacijske programe i softverske pomoćne programe, kao što su uređivači, prevoditelji i slično. Dakle, postoje dvije vrste napadi:

1. 
   Pristup informacijama u svrhu dobivanja ili izmjene podataka pohranjenih u sustavu.
2. 
   ^ Napad uslugama kako bi vas spriječili da ih koristite.

Virusi i crvi su primjeri toga napadi. Takav napadi može se provesti pomoću disketa ili putem mreže.

^ Sigurnosne službe , koji sprječavaju neželjeni pristup, mogu se podijeliti u dvije kategorije:

1. 
   Prva kategorija definirana je u smislu funkcije čuvara. ove mehanizmima uključuju postupke prijave, poput onih koji se temelje na zaporci, kako bi se pristup ograničio samo na ovlaštene korisnike. ove mehanizmima također uključuju razne zaštitni ekrani(firewall) koji sprječavaju napadi na različitim razinama skupa protokola TCP/IP, a posebno vam omogućuju sprječavanje prodora crva, virusa, kao i sprječavanje drugih sličnih napadi.
2. 
   Druga linija obrane sastoji se od raznih internih monitora koji kontroliraju pristup i analiziraju aktivnost korisnika.

Jedan od glavnih pojmova pri osiguravanju sigurnosti informacijskog sustava je koncept ovlaštenje - definiranje i dodjeljivanje prava pristupa određenim resursima i/ili objektima.

Sigurnost informacijskog sustava trebala bi se temeljiti na sljedećim osnovnim načelima:

1. 
   Sigurnost informacijskog sustava mora biti u skladu s ulogom i ciljevima organizacije u kojoj ovaj sustav instaliran.
2. 
   Osiguravanje informacijske sigurnosti zahtijeva integriran i holistički pristup.
3. 
   Sigurnost informacija treba biti sastavni dio sustava upravljanja u određenoj organizaciji.
4. 
   Sigurnost informacija mora biti ekonomski opravdana.
5. 
   Odgovornosti za sigurnost moraju biti jasno definirane.
6. 
   Sigurnost informacijskog sustava mora se povremeno preispitivati.
7. 
   Društveni čimbenici, kao i administrativne, organizacijske i fizičke sigurnosne mjere, od velike su važnosti za osiguranje sigurnosti informacijskog sustava.

Još uvijek ne precizna definicija izraz "napad" (invazija, napad). Svaki sigurnosni stručnjak to drugačije tumači. Sljedeću definiciju smatram najtočnijom i najpotpunijom.

Napad napadi na informacijski sustav su namjerne radnje napadača koje iskorištavaju ranjivosti informacijskog sustava i dovode do povrede dostupnosti, cjelovitosti i povjerljivosti obrađenih informacija.

Ako uklonimo ranjivosti informacijskog sustava, uklonit ćemo i mogućnost napada.

Trenutno se smatra nepoznatim koliko metoda napada postoji. Kažu da još uvijek nema ozbiljnih matematičkih istraživanja na ovom području. No još 1996. Fred Cohen opisao je matematičku osnovu virusne tehnologije. Ovaj rad je dokazao da je broj virusa beskonačan. Očito, broj napada je beskonačan, budući da su virusi podskup mnogih napada.

Modeli napada

Tradicionalni model napada gradi se po principu (sl. 1) ili (sl. 2), t.j. napad dolazi iz jednog izvora. Razvojni alati za mrežnu sigurnost (vatrozidi, sustavi za otkrivanje napada itd.) usmjereni su upravo na tradicionalni model napada. Na različitim točkama štićene mreže instalirani su agenti (senzori) zaštitnog sustava koji prenose informacije do središnje upravljačke konzole. To olakšava skaliranje sustava, omogućuje jednostavno daljinsko upravljanje itd. Međutim, ovaj model se ne nosi s relativno nedavno (1998.) otkrivenom prijetnjom - distribuiranim napadima.
Slika 1. Odnos jedan na jedan

Model distribuiranog napada koristi različite principe. Za razliku od tradicionalnog modela u distribuiranom modelu koriste se relacije (slika 3) i (slika 4).

Distribuirani napadi temelje se na "klasičnim" napadima uskraćivanja usluge, točnije na njihovom podskupu poznatom kao Napadi poplava ili Olujni napadi(ovi pojmovi se mogu prevesti kao "oluja", "poplava" ili "lavina"). Smisao ovih napada je slanje velikog broja paketa napadnutom čvoru. Napadnuti čvor može zakazati jer će biti "ugušen" u lavini poslanih paketa i neće moći obraditi zahtjeve ovlaštenih korisnika. Na ovom principu rade napadi SYN-Flood, Smurf, UDP Flood, Targa3 itd. Međutim, ako propusnost kanala prema napadnutom čvoru premašuje propusnost napadača ili je napadnuti čvor neispravno konfiguriran, tada takav napad neće dovesti do "uspjeha". Na primjer, beskorisno je pokušavati omesti vašeg ISP-a pomoću ovih napada. Ali distribuirani napad više se ne događa s jedne točke na Internetu, već s nekoliko odjednom, što dovodi do naglog povećanja prometa i onesposobljava napadnuti čvor. Na primjer, prema Russia-Online, dva dana, počevši od 9 ujutro 28. prosinca 2000., najveći internetski provajder u Armeniji, Arminco, bio je izložen distribuiranom napadu. U ovom slučaju, više od 50 strojeva iz različite zemlje koji je na Arminkovu adresu slao besmislene poruke. Nije bilo moguće utvrditi tko je organizirao ovaj napad i u kojoj se zemlji haker nalazi. Iako je uglavnom napadnut Arminco, cijela je autocesta koja povezuje Armeniju s World Wide Webom bila preopterećena. Dana 30. prosinca, zahvaljujući suradnji "Arminca" i još jednog provajdera - "ArmenTela" - veza je u potpunosti uspostavljena. Unatoč tome, računalni napad se nastavio, ali manjim intenzitetom.

Faze provedbe napada

Mogu se razlikovati sljedeće faze napada:

Obično, kada govore o napadu, misle na drugu fazu, zaboravljajući na prvu i posljednju. Prikupljanje informacija i dovršenje napada ("prikrivanje tragova") također može predstavljati napad i može se podijeliti u tri faze (vidi sliku 5).
Slika 5. Faze provedbe napada

Prikupljanje informacija glavna je faza napada. Upravo je u ovoj fazi napadačeva učinkovitost ključ "uspjeha" napada. Prvo se odabire meta napada i prikupljaju informacije o njoj (vrsta i verzija operativnog sustava, otvoreni portovi i pokrenuti mrežni servisi, instalirani sustav i aplikacijski softver te njegova konfiguracija itd.). Zatim se identificiraju najranjivije točke napadnutog sustava, čiji utjecaj dovodi do željenog rezultata za napadača. Napadač pokušava identificirati sve kanale interakcije između cilja napada i drugih čvorova. To će vam omogućiti ne samo odabir vrste napada koji će se implementirati, već i izvor njegove implementacije. Na primjer, napadnuti čvor komunicira s dva poslužitelja koji pokreću Unix i Windows NT. Napadnuti čvor ima pouzdan odnos s jednim poslužiteljem, ali ne i s drugim. Poslužitelj preko kojeg će napadač provesti napad određuje koji će se napad koristiti, koja će sredstva implementacije odabrati itd. Zatim se ovisno o dobivenim informacijama i željenom rezultatu odabire napad koji daje najveći učinak. Na primjer:
SYN Flood, Teardrop, UDP Bomb - za ometanje funkcioniranja čvora;
CGI skripta - za prodor u čvor i krađu informacija;
PHF - za krađu datoteke lozinke i daljinsko pogađanje lozinke, itd.

Tradicionalna sredstva zaštite, poput vatrozida ili mehanizama za filtriranje u usmjerivačima, stupaju na snagu tek u drugoj fazi napada, potpuno “zaboravljajući” na prvu i treću. To dovodi do činjenice da je napad često vrlo teško zaustaviti, čak i sa snažnom i skupom obranom. Primjer za to su distribuirani napadi. Logično bi bilo da zaštitna oprema počne djelovati u prvoj fazi, tj. onemogućio bi mogućnost prikupljanja informacija o napadnutom sustavu. To bi omogućilo, ako ne u potpunosti spriječiti napad, onda barem značajno zakomplicirati rad napadača. Tradicionalna sredstva također ne dopuštaju otkrivanje napada koji su već počinjeni i procjenu štete nakon njihove provedbe, tj. ne rade u trećoj fazi napada. Stoga je nemoguće odrediti mjere za sprječavanje ovakvih napada u budućnosti.

Ovisno o željenom rezultatu, napadač se koncentrira na jednu ili drugu fazu napada. Na primjer:
za uskraćivanje usluge, napadnuta mreža se detaljno analizira, traže se rupe i slabosti;
za krađu informacija, glavni fokus je na tihom prodoru u napadnute čvorove koristeći prethodno otkrivene ranjivosti.

Razmotrimo glavne mehanizme za provedbu napada. Ovo je neophodno da bismo razumjeli kako otkriti te napade. Osim toga, razumijevanje načina na koji napadači djeluju ključ je uspješne obrane mreže.

1. Prikupljanje informacija

Prva faza provedbe napada je prikupljanje informacija o napadnutom sustavu ili čvoru. To uključuje radnje kao što su određivanje topologije mreže, vrste i verzije operativnog sustava napadnutog čvora, kao i dostupnih mrežnih i drugih usluga itd. Ove radnje provode se različitim metodama.

Istraživanje okoline

U ovoj fazi napadač istražuje mrežno okruženje oko željene mete napada. Takva područja, primjerice, uključuju hostove žrtvinog pružatelja internetskih usluga ili hostove udaljenog ureda napadnute tvrtke. U ovoj fazi napadač može pokušati odrediti adrese "pouzdanih" sustava (na primjer, partnerova mreža) i čvorova koji su izravno povezani s metom napada (na primjer, ISP router) itd. Takve radnje je prilično teško otkriti jer se izvode u prilično dugom vremenskom razdoblju i izvan područja nadziranog sigurnosnim mjerama (firewall, sustavi za detekciju upada i sl.).

Identifikacija topologije mreže

Dvije su glavne metode koje napadači koriste za određivanje topologije mreže:

1. TTL promjena (TTL modulacija),
2. rekordna ruta.

Prva metoda koristi traceroute za Unix i tracert za Windows programe. Oni koriste polje Time to Live u zaglavlju IP paketa, koje varira ovisno o broju usmjerivača kroz koje mrežni paket prolazi. Uslužni program ping može se koristiti za snimanje rute ICMP paketa. Često se mrežna topologija može odrediti korištenjem SNMP protokola instaliranog na mnogim mrežnim uređajima čija sigurnost nije ispravno konfigurirana. Pomoću RIP protokola možete pokušati dobiti informacije o tablici usmjeravanja na mreži itd.

Mnoge od ovih metoda koriste moderni sustavi upravljanja (na primjer, HP OpenView, Cabletron SPECTRUM, MS Visio itd.) za izradu mrežnih mapa. A te iste metode napadači mogu uspješno koristiti za izradu mape napadnute mreže.

Identifikacija čvora

Identifikacija čvora obično se provodi slanjem pomoću uslužnog programa ping naredbe ECHO_REQUEST ICMP protokola. Poruka odgovora ECHO_REPLY označava da je čvor dostupan. Postoje besplatno dostupni programi koji automatiziraju i ubrzavaju proces paralelne identifikacije velikog broja čvorova, na primjer, fping ili nmap. Opasnost ovu metodu Problem je u tome što zahtjeve ECHO_REQUEST ne bilježe standardni alati za čvorove. Da biste to učinili, trebate koristiti alate za analizu prometa, vatrozide ili sustave za otkrivanje napada.

Ovo je najjednostavnija metoda za identifikaciju čvorova. Međutim, ima dva nedostatka.

1. Puno mrežni uređaji a programi blokiraju ICMP pakete i ne dopuštaju im ulazak u internu mrežu (ili obrnuto, ne dopuštaju im prolazak van). Na primjer, MS Proxy Server 2.0 ne dopušta prolazak paketa kroz ICMP protokol. Rezultat je nepotpuna slika. S druge strane, blokiranje ICMP paketa govori napadaču o prisutnosti "prve linije obrane" - usmjerivača, vatrozida itd.
2. Korištenje ICMP zahtjeva olakšava otkrivanje njihovog izvora, što naravno ne može biti zadatak napadača.

Postoji još jedna metoda za identifikaciju čvorova - korištenje "mješovitog" načina Mrežna kartica, koji vam omogućuje prepoznavanje različitih čvorova u segmentu mreže. Ali nije primjenjivo u slučajevima u kojima promet segmenta mreže nije dostupan napadaču iz njegovog čvora, tj. Ova metoda je primjenjiva samo na lokalnim mrežama. Drugi način identificiranja mrežnih čvorova je takozvano DNS izviđanje, koje vam omogućuje identificiranje korporativnih mrežnih čvorova kontaktiranjem poslužitelja usluge imena.

Identifikacija usluge ili skeniranje porta

Identifikacija usluga obično se provodi otkrivanjem otvorenih portova (port skeniranje). Takvi su priključci vrlo često povezani s uslugama temeljenim na TCP ili UDP protokolima. Na primjer:

• otvoreni port 80 podrazumijeva prisutnost web poslužitelja,
• Port 25 - SMTP poslužitelj pošte,
• 31337. - poslužiteljski dio trojanskog konja BackOrifice,
• 12345. ili 12346. - serverski dio NetBus trojanskog konja itd.

Za identifikaciju usluga i skeniranje portova mogu se koristiti različiti programi, uklj. i slobodno se distribuira. Na primjer, nmap ili netcat.

Identifikacija operativnog sustava

Glavni mehanizam za daljinsko otkrivanje OS-a je analiza odgovora na zahtjeve, uzimajući u obzir različite implementacije TCP/IP steka u različitim operacijskim sustavima. Svaki OS implementira skup TCP/IP protokola na svoj način, što vam omogućuje da pomoću posebnih zahtjeva i odgovora na njih odredite koji je OS instaliran na udaljenom računalu.

Drugi, manje učinkovit i krajnje ograničen način identificiranja operativnih sustava domaćina je analiza mrežnih usluga otkrivenih u prethodnoj fazi. Na primjer, otvoreni port 139 omogućuje nam da zaključimo da udaljeni host najvjerojatnije pokreće Windows operativni sustav. Za određivanje OS-a mogu se koristiti različiti programi. Na primjer, nmap ili queso.

Definiranje uloge čvora

Pretposljednji korak u fazi prikupljanja informacija o napadnutom hostu je određivanje njegove uloge, na primjer, obavljanje funkcija vatrozida ili web poslužitelja. Ovaj se korak izvodi na temelju već prikupljenih informacija o aktivnim uslugama, nazivima hostova, topologiji mreže itd. Na primjer, otvoreni port 80 može označavati prisutnost web poslužitelja, blokiranje ICMP paketa ukazuje na potencijalnu prisutnost vatrozida, a ime DNS hosta proxy.domain.ru ili fw.domain.ru govori samo za sebe.

Utvrđivanje ranjivosti hosta

Zadnji korak je traženje ranjivosti. U ovom koraku napadač, koristeći različite automatizirane načine ili ručno, identificira ranjivosti koje se mogu koristiti za izvođenje napada. Kao takvi automatizirani alati mogu se koristiti ShadowSecurityScanner, nmap, Retina itd.

2. Provedba napada

Od tog trenutka počinje pokušaj pristupa napadnutom čvoru. U tom slučaju pristup može biti izravan, tj. prodorom u čvor, ili neizravno, na primjer, prilikom provedbe napada uskraćivanjem usluge. Provedba napada u slučaju izravnog pristupa također se može podijeliti u dvije faze:

• prodiranje;
• uspostavljanje kontrole.

Prodiranje

Penetracija uključuje probijanje perimetralne obrane (kao što je vatrozid). To se može ostvariti na različite načine. Na primjer, iskorištavanje ranjivosti računalne usluge koja gleda prema van ili odašiljanje neprijateljskog sadržaja putem e-pošte (makro virusi) ili putem Java appleta. Takav sadržaj može koristiti takozvane "tunele" u vatrozidu (ne brkati s VPN tuneli), kroz koje zatim prodire napadač. Ova faza također uključuje odabir lozinke administratora ili drugog korisnika pomoću specijaliziranog uslužnog programa (na primjer, L0phtCrack ili Crack).

Uspostavljanje kontrole

Nakon prodora, napadač uspostavlja kontrolu nad napadnutim čvorom. To se može učiniti uvođenjem programa trojanskog konja (npr. NetBus ili BackOrifice). Nakon uspostavljanja kontrole nad željenim čvorom i “pokrivanja” tragova, napadač može izvršiti sve potrebne neovlaštene radnje na daljinu bez znanja vlasnika napadnutog računala. U tom slučaju, uspostava kontrole nad čvorom korporativne mreže mora se održati čak i nakon ponovnog pokretanja operativnog sustava. To se može učiniti zamjenom jedne od datoteka za pokretanje ili umetanjem veze na neprijateljski kod u datoteke za pokretanje ili registar sustava. Poznat je slučaj u kojem je napadač uspio reprogramirati EEPROM mrežne kartice i čak nakon ponovne instalacije OS-a, mogao je ponovno provesti neovlaštene radnje. Jednostavnija izmjena ovog primjera je umetanje potrebnog koda ili isječka u skriptu za pokretanje mreže (na primjer, za Novell Netware OS).

Ciljevi napada

Završna faza napada je "prikrivanje tragova" od strane napadača. To se obično postiže brisanjem odgovarajućih unosa iz dnevnika glavnog računala i drugim radnjama koje vraćaju napadnuti sustav u njegovo izvorno, "prethodno napadnuto" stanje.

Klasifikacija napada

postojati različite vrste klasifikacije napada. Primjerice, podjela na pasivno i aktivno, vanjsko i unutarnje, namjerno i nenamjerno. Međutim, kako vas ne bismo zbunili širokim izborom klasifikacija koje su malo upotrebljive u praksi, predlažem "životniju" klasifikaciju:

1. Prodiranje na daljinu. Napadi koji vam omogućuju implementaciju daljinski upravljač računalo putem mreže. Na primjer, NetBus ili BackOrifice.
2. Lokalni prodor. Napad koji rezultira neovlaštenim pristupom hostu na kojem je pokrenut. Na primjer, GetAdmin.
3. Udaljeno uskraćivanje usluge. Napadi koji ometaju ili preopterećuju računalo putem interneta. Na primjer, Teardrop ili trin00.
4. Lokalno uskraćivanje usluge. Napadi koji vam omogućuju ometanje ili preopterećenje računala na kojem su implementirani. Primjer takvog napada je "neprijateljski" aplet koji učitava CPU u beskonačnu petlju, čineći nemogućom obradu zahtjeva iz drugih aplikacija.
5. Mrežni skeneri. Programi koji analiziraju topologiju mreže i otkrivaju servise koji mogu biti napadnuti. Na primjer, sustav nmap.
6. Skeneri ranjivosti. Programi koji traže ranjivosti na mrežnim čvorovima i koji se mogu koristiti za izvođenje napada. Na primjer, sustav SATAN ili ShadowSecurityScanner.
7. Provaljivači lozinki. Programi koji "pogađaju" korisničke lozinke. Na primjer, L0phtCrack za Windows ili Crack za Unix.
8. Analizatori protokola (sniferi). Programi koji "slušaju" mrežni promet. Pomoću ovih programa možete automatski pretraživati ​​informacije kao što su korisnički ID i lozinke, podaci o kreditnoj kartici itd. Na primjer, Microsoft Network Monitor, NetXRay tvrtke Network Associates ili LanExplorer.

Društvo sigurnost na internetu Systems, Inc. dodatno smanjio broj mogućih kategorija, dovodeći ih na 5:

1. Skupljanje informacija.
2. Pokušaji neovlaštenog pristupa.
3. Uskraćivanje usluge.
4. Sumnjiva aktivnost.
5. Napadi na sustav.

Prve 4 kategorije odnose se na udaljene napade, a posljednja - na lokalne, implementirane na napadnutom čvoru. Može se primijetiti da je u ovu klasifikaciju cijela klasa takozvanih "pasivnih" napada (prisluškivanje prometa, lažni DNS poslužitelj, lažiranje ARP poslužitelja itd.) nije uključena.

Klasifikacija napada koja se provodi u mnogim sustavima za otkrivanje napada ne može biti kategorična. Na primjer, napad čija implementacija na Unix OS (na primjer, statd buffer overflow) može imati najstrašnije posljedice (najviši prioritet), na Windows NT OS možda uopće nije primjenjiv ili ima vrlo nizak stupanj rizika. Osim toga, postoji zabuna u samim nazivima napada i ranjivosti. Isti napad može imati različita imena različitih proizvođača sustavi za otkrivanje napada.

Jedna od najboljih baza podataka ranjivosti i napada je X-Force baza podataka, koja se nalazi na: http://xforce.iss.net/. Može mu se pristupiti ili pretplatom na besplatno distribuiranu mailing listu X-Force Alert ili interaktivnim pretraživanjem baze podataka na ISS web poslužitelju.

Zaključak

Bez ranjivosti u komponentama informacijskog sustava, mnogi napadi ne bi bili mogući i stoga bi tradicionalni sigurnosni sustavi bili prilično učinkoviti u suočavanju s mogućim napadima. Međutim, programe pišu ljudi koji su skloni griješiti. Kao rezultat toga pojavljuju se ranjivosti koje napadači koriste za izvođenje napada. Međutim, ovo je samo pola priče. Kad bi se svi napadi temeljili na modelu jedan-na-jedan, onda bi to bilo malo nategnuto, ali vatrozidi i drugi sigurnosni sustavi bi i njih mogli izdržati. Ali pojavili su se koordinirani napadi protiv kojih tradicionalna sredstva više nisu tako učinkovita. I tu na scenu stupaju nove tehnologije – tehnologije detekcije napada. Gornja sistematizacija podataka o napadima i fazama njihove provedbe pruža potrebnu osnovu za razumijevanje tehnologija detekcije napada.

Alati za otkrivanje računalnih napada

Tehnologija detekcije upada mora riješiti sljedeće probleme:

• Prepoznajte poznate napade i upozorite odgovarajuće osoblje na njih.
• “Razumijevanje” često nejasnih izvora informacija o napadu.
• Oslobađanje ili smanjenje tereta sigurnosnog osoblja od rutinskog rutinskog nadzora korisnika, sustava i mreža koji su komponente korporativne mreže.
• Sposobnost upravljanja sigurnosnim kontrolama od strane nestručnjaka za sigurnost.
• Kontrola svih radnji subjekata korporativne mreže (korisnici, programi, procesi itd.).

Često sustavi za otkrivanje napada mogu obavljati funkcije koje značajno proširuju raspon njihove primjene. Na primjer,

• Praćenje učinkovitosti vatrozida. Na primjer, instaliranje sustava za otkrivanje napada nakon vatrozid(unutar korporativne mreže) omogućuje otkrivanje napada koje je vatrozid propustio i na taj način utvrđivanje pravila koja nedostaju na vatrozidu.
• Praćenje mrežnih čvorova s ​​neinstaliranim ažuriranjima ili čvorova sa zastarjelim softverom.
• Blokiranje i kontroliranje pristupa određenim internetskim stranicama. Iako su sustavi za detekciju napada daleko od vatrozida i sustava kontrole pristupa za razne URL-ove, primjerice WEBsweeper, oni mogu djelomično kontrolirati i blokirati pristup nekim korisnicima korporativne mreže određenim internetskim resursima, primjerice web poslužiteljima s pornografskim sadržajem. To je potrebno kada organizacija nema novca za kupnju vatrozida i sustava za otkrivanje napada, a funkcije vatrozida su raspoređene između sustava za otkrivanje napada, usmjerivača i proxy poslužitelja. Osim toga, sustavi za otkrivanje upada mogu kontrolirati pristup zaposlenika poslužiteljima na temelju ključne riječi. Na primjer, sex, posao, crack itd.
• Kontrola e-pošte. Sustavi za otkrivanje upada mogu se koristiti za praćenje korištenja nepouzdanih zaposlenika elektronička pošta za obavljanje poslova koji nisu dio njihovih funkcionalnih odgovornosti, na primjer, slanje životopisa. Neki sustavi mogu otkriti viruse u porukama e-pošte i, iako su daleko od pravih antivirusnih sustava, još uvijek obavljaju ovaj zadatak prilično učinkovito.

Najbolje korištenje vremena i iskustva stručnjaka za informacijsku sigurnost je otkrivanje i uklanjanje uzroka napada, a ne otkrivanje samih napada. Otklanjanjem uzroka napada, tj. Identificiranjem i uklanjanjem ranjivosti, administrator time eliminira samu činjenicu potencijalnih napada. U suprotnom, napad će se ponavljati iznova i iznova, neprestano zahtijevajući napore i pažnju administratora.

Klasifikacija protuprovalnih sustava

Postoji veliki broj različitih klasifikacija protuprovalnih sustava, no najčešća je klasifikacija po principu izvedbe:

1. baziran na hostu, odnosno otkrivanje napada usmjerenih na određeni mrežni čvor,
2. mrežni, odnosno otkrivanje napada usmjerenih na cijelu mrežu ili mrežni segment.

Sustavi za otkrivanje upada koji nadziru pojedinačno računalo obično prikupljaju i analiziraju informacije iz dnevnika operativnog sustava i razne aplikacije(Web poslužitelj, DBMS, itd.). RealSecure OS senzor radi na ovom principu. Međutim, nedavno su sustavi koji su usko integrirani s jezgrom OS-a postali široko rasprostranjeni, čime se pruža učinkovitiji način otkrivanja kršenja sigurnosnih pravila. Štoviše, takva se integracija može provesti na dva načina. Prvo, mogu se pratiti svi pozivi OS sustava (ovako radi Entercept) ili sav dolazni/odlazni mrežni promet (ovako radi RealSecure Server Sensor). U potonjem slučaju, sustav za otkrivanje upada hvata sav mrežni promet izravno s mrežne kartice, zaobilazeći operativni sustav, čime se smanjuje ovisnost o njemu i time povećava sigurnost sustava za otkrivanje upada.

Sustavi za otkrivanje napada na mrežnoj razini prikupljati informacije iz same mreže, odnosno mrežnog prometa. Ovi sustavi mogu raditi na običnim računalima (na primjer, RealSecure Network Sensor), na specijaliziranim računalima (na primjer, RealSecure za Nokiu ili Cisco Secure IDS 4210 i 4230) ili integrirani u usmjerivače ili preklopnike (na primjer, CiscoSecure IOS integrirani softver ili Cisco Catalyst 6000 IDS modul). U prva dva slučaja, analizirane informacije prikupljaju se hvatanjem i analiziranjem paketa pomoću mrežnih sučelja u promiskuitetnom načinu rada. U potonjem slučaju, promet se hvata sa sabirnice mrežne opreme.

Detekcija napada zahtijeva ispunjenje jednog od dva uvjeta - ili razumijevanje očekivanog ponašanja nadziranog objekta sustava ili poznavanje svih mogućih napada i njihovih modifikacija. Prvi slučaj koristi tehnologiju za otkrivanje nenormalnog ponašanja, a drugi slučaj koristi tehnologiju za otkrivanje zlonamjernog ponašanja ili zlouporabe. Druga tehnologija je opis napada u obliku uzorka ili potpisa i traženje tog uzorka u kontroliranom prostoru (primjerice, mrežni promet ili log). Ova je tehnologija vrlo slična otkrivanju virusa (antivirusni sustavi su najbolji primjer sustava za otkrivanje napada), tj. sustav može otkriti sve poznate napade, ali je slabo opremljen za otkrivanje novih, još nepoznatih napada. Pristup implementiran u takve sustave je vrlo jednostavan i na njemu se temelje gotovo svi sustavi za detekciju napada koji se danas nude na tržištu.

Gotovo svi sustavi za otkrivanje napada temelje se na pristupu potpisa.

Prednosti protuprovalnih sustava

Mogli bismo nabrajati unedogled o raznim prednostima sustava za otkrivanje napada koji rade na razini glavnog računala i mreže. Međutim, usredotočit ću se samo na neke od njih.

Prebacivanje omogućuje da se velikim mrežama upravlja kao s više malih mrežnih segmenata. Kao rezultat toga, može biti teško odrediti najbolju lokaciju za instaliranje sustava koji otkriva napade u mrežnom prometu. Ponekad span portovi na preklopnicima mogu pomoći, ali ne uvijek. Detekcija napada specifična za računalo omogućuje učinkovitiji rad komutiranih mreža dopuštajući postavljanje sustava za otkrivanje samo na ona računala gdje su potrebni.

Sustavi mrežnog sloja ne zahtijevaju instaliranje softvera za otkrivanje upada na svakom računalu. Budući da je broj mjesta na kojima su IDS instalirani za nadzor cijele mreže mali, trošak njihovog rada u mreži poduzeća niži je od troška rada sustava za detekciju napada na razini sustava. Osim toga, za nadzor segmenta mreže potreban je samo jedan senzor, bez obzira na broj čvorova u danom segmentu.

Nakon što mrežni paket napusti napadačevo računalo, više se ne može vratiti. Sustavi koji rade na mrežnom sloju koriste promet uživo za otkrivanje napada u stvarnom vremenu. Dakle, napadač ne može ukloniti tragove svojih neovlaštenih aktivnosti. Analizirani podaci uključuju ne samo podatke o načinu napada, već i podatke koji mogu pomoći u identificiranju napadača i dokazivanju na sudu. Budući da su mnogi hakeri upoznati s mehanizmima zapisivanja sustava, znaju kako manipulirati ovim datotekama kako bi sakrili tragove svojih aktivnosti, smanjujući učinkovitost sustava na razini sustava koji zahtijevaju ove informacije kako bi otkrili napad.

Sustavi koji rade na mrežnoj razini detektiraju sumnjive događaje i napade čim se dogode i stoga pružaju puno bržu obavijest i odgovor od sustava koji analiziraju zapise. Na primjer, haker koji pokreće mrežni napad uskraćivanjem usluge na temelju TCP protokol, može se zaustaviti sustavom za otkrivanje upada na mrežnom sloju koji šalje TCP paket s postavljenom zastavom Reset u zaglavlju da prekine vezu s napadačkim čvorom prije nego što napad prouzroči uništenje ili oštećenje napadnutog čvora. Sustavi za analizu dnevnika ne prepoznaju napade dok se ne unese odgovarajući unos u dnevnik i poduzimaju protumjere nakon unosa. Do ove točke, najkritičniji sustavi ili resursi možda su već bili ugroženi ili je sustav koji pokreće sustav za otkrivanje napada na razini hosta možda poremećen. Obavijest u stvarnom vremenu omogućuje brzi odgovor prema unaprijed definiranim parametrima. Te reakcije variraju od dopuštanja infiltracije u načinu nadzora kako bi se prikupile informacije o napadu i napadaču, do trenutnog prekida napada.

I konačno, sustavi za detekciju upada koji rade na mrežnoj razini neovisni su o operativnim sustavima instaliranim na korporativnoj mreži, budući da rade na mrežnom prometu koji se razmjenjuje između svih čvorova na korporativnoj mreži. Sustavu za detekciju upada nije važno koji je OS generirao određeni paket, sve dok je u skladu sa standardima koje podržava sustav za detekciju. Na primjer, Windows 98, Windows NT, Windows 2000 i XP, Netware, Linux, MacOS, Solaris itd. mogu biti pokrenuti na mreži, ali ako međusobno komuniciraju putem IP-a, tada bilo koji od sustava za otkrivanje napada koji podržava ovaj će protokol moći otkriti napade usmjerene na te operativne sustave.

Kombinirana uporaba sustava za otkrivanje napada na razini mreže i hosta poboljšat će sigurnost vaše mreže.

Sustavi za otkrivanje mrežnih napada i vatrozidi

Najčešće mrežni sustavi Detekciju napada pokušavaju zamijeniti vatrozidima, nadajući se da potonji pružaju vrlo visoku razinu sigurnosti. Međutim, imajte na umu da su vatrozidi jednostavno sustavi temeljeni na pravilima koji dopuštaju ili zabranjuju promet kroz njih. Čak ni vatrozidi izgrađeni pomoću "" tehnologije ne dopuštaju sa sigurnošću reći postoji li napad u prometu koji kontroliraju ili ne. Mogu reći odgovara li promet pravilu ili ne. Na primjer, vatrozid je konfiguriran da blokira sve veze osim TCP veza na portu 80 (to jest, HTTP promet). Dakle, svaki promet preko porta 80 je legalan sa stajališta ITU-a. S druge strane, sustav za detekciju upada također prati promet, ali u njemu traži znakove napada. Ne mari puno za koju luku je promet namijenjen. Prema zadanim postavkama, sav promet je sumnjiv za sustav za otkrivanje upada. Naime, unatoč činjenici da sustav za detekciju upada radi s istim izvorom podataka kao i vatrozid, odnosno s mrežnim prometom, oni obavljaju komplementarne funkcije. Na primjer, HTTP zahtjev "GET /../../../etc/passwd HTTP/1.0". Gotovo svaki ITU dopušta prolaz ovog zahtjeva kroz sebe. Međutim, sustav za detekciju napada lako će otkriti ovaj napad i blokirati ga.

Možemo povući sljedeću analogiju. Vatrozid je obični okretni zid instaliran na glavnom ulazu u vašu mrežu. Ali osim glavnih vrata, postoje i druga vrata, kao i prozori. Pretvarajući se u pravog zaposlenika ili stekavši povjerenje čuvara na rampi, napadač može pronijeti eksplozivnu napravu ili pištolj kroz rampu. Malo od. Uljez vam se može popeti na prozor. Zato su nam potrebni sustavi za detekciju napada koji pojačavaju zaštitu koju pružaju vatrozidi, koji su, iako nužan, ali očito nedovoljan element mrežne sigurnosti.

Vatrozid- nije panaceja!

Mogućnosti odgovora na otkriveni napad

Nije dovoljno otkriti napad, potrebno je na njega adekvatno odgovoriti. Mogućnosti odgovora uvelike određuju učinkovitost sustava za otkrivanje napada. Trenutno su ponuđene sljedeće opcije odgovora:

• Obavijest konzoli (uključujući sigurnosnu kopiju) sustava za otkrivanje upada ili konzoli integriranog sustava (na primjer, vatrozid).
• Zvučna obavijest o napadu.
• Generiranje SNMP kontrolnih sekvenci za sustave upravljanja mrežom.
• Generiranje izvješća o napadu putem e-pošte.
• Dodatne obavijesti dojavljivačem ili faksom. Vrlo zanimljiva, iako rijetko korištena prilika. Upozorenje o otkrivanju neovlaštene aktivnosti ne šalje se administratoru, već napadaču. Prema pristašama ove opcije odgovora, prekršitelj je, nakon što sazna da je otkriven, prisiljen prekinuti svoje postupke.
• Obavezna registracija otkrivenih događaja. Sljedeće može poslužiti kao dnevnik:
  • tekstualna datoteka,
  • syslog (na primjer, u integriranom softverskom sustavu Cisco Secure),
  • tekstualna datoteka posebnog formata (na primjer, u sustavu Snort),
  • lokalna MS Access baza podataka,
  • SQL baza podataka (na primjer, u sustavu RealSecure).
  Samo trebate uzeti u obzir da količina snimljenih informacija obično zahtijeva SQL bazu podataka - MS SQL ili Oracle.
• Trag događaja, tj. bilježeći ih redoslijedom i brzinom kojom ih je napadač implementirao. Zatim administrator u bilo koje vrijeme navedeno vrijeme može pomicati (ponovno reproducirati ili reproducirati) traženi niz događaja zadanom brzinom (u stvarnom vremenu, s ubrzanjem ili usporavanjem) kako bi analizirao aktivnosti napadača. To će vam omogućiti da razumijete njegove kvalifikacije, korištena sredstva napada itd.
• Prekidanje radnji napadača, tj. prekidanje veze. To se može učiniti na sljedeći način:
  • presretanje veze (otimanje sesije) i slanje paketa s postavljenom RST zastavom obojici sudionika Mrežna veza u ime svakog od njih (u sustavu za detekciju napada koji radi na mrežnoj razini);
  • blokiranje korisničkog računa koji provodi napad (u sustavu detekcije napada na razini hosta). Takvo blokiranje može se provesti ili na određeno vremensko razdoblje ili dok administrator ne otključa račun. Ovisno o privilegijama s kojima radi sustav za detekciju napada, blokada može djelovati kako unutar samog računala koje je meta napada, tako i unutar cijele mrežne domene.
• Rekonfiguracija mrežne opreme ili vatrozida. Ako se otkrije napad, usmjerivaču ili vatrozidu šalje se naredba za promjenu liste kontrole pristupa. Nakon toga će svi pokušaji povezivanja s čvora koji napada biti odbijeni. Kao i blokiranje napadačevog računa, promjena popisa kontrole pristupa može se provoditi ili tijekom određenog vremenskog razdoblja ili dok promjenu ne poništi administrator rekonfigurabilne mrežne opreme.
• Blokiranje mrežnog prometa na isti način kao što je implementirano u vatrozidima. Ova opcija vam omogućuje da ograničite promet, kao i primatelje koji mogu pristupiti resursima zaštićenog računala, omogućujući vam da izvršavate funkcije dostupne u osobnim vatrozidima.