###
  • Programi
  • Sigurnost
  • Vijesti
  • Zanimljiv
  • Savjet
  • Vijesti
  • Recenzije

    • Model odgovora na mrežne napade. Sigurnosni model mreže. Klasifikacija mrežnih napada. Uskraćivanje usluge

    10.11.2019 Programi

    Pitanja sigurnosti IP mreže

    Analiza mrežnih sigurnosnih prijetnji.

    Za organizaciju komunikacije u heterogenom mrežnom okruženju koristi se skup TCP/IP protokola koji osiguravaju kompatibilnost između računala različiti tipovi. Kompatibilnost je jedna od glavnih prednosti TCP/IP-a, zbog čega većina računalnih mreža podržava ove protokole. Osim toga, TCP/IP protokoli omogućuju pristup resursima globalna mreža Internet.

    Zbog svoje popularnosti, TCP/IP je postao de facto standard za rad na internetu. Međutim, sveprisutnost skupa TCP/IP protokola također ga je razotkrila. slabe strane. Kada su stvarali svoju zamisao, arhitekti TCP/IP skupa nisu vidjeli razloga za posebnu brigu o zaštiti mreža izgrađenih na njemu. Stoga se u specifikacijama ranije verzije IP protokol nije imao sigurnosne zahtjeve, što je dovelo do inherentne ranjivosti njegove implementacije.

    Nagli rast popularnosti internetskih tehnologija prati porast ozbiljnih prijetnji otkrivanjem osobnih podataka, kritičnih korporativnih resursa, državnih tajni itd.

    Svaki dan hakeri i drugi zlonamjerni akteri ugrožavaju internetske izvore informacija pokušavajući im pristupiti posebnim napadima. Ovi napadi postaju sve sofisticiraniji i jednostavniji za izvođenje. Tome pridonose dva glavna čimbenika.

    Prvo, to je raširen prodor Interneta. Danas su milijuni računala spojeni na ovu mrežu. S mnogo milijuna računala povezanih s internetom u bliskoj budućnosti, povećava se vjerojatnost da hakeri dobiju pristup ranjivim računalima i računalnim mrežama. Osim toga, raširena uporaba Interneta omogućuje hakerima razmjenu informacija na globalnoj razini.

    Drugo, postoji široka proliferacija operativnih sustava i razvojnih okruženja jednostavnih za korištenje. Ovaj faktor oštro smanjuje zahtjeve za razinu znanja napadača. Ranije je bio potreban haker dobro znanje i vještine programiranja za stvaranje i distribuciju malware. Sada, da biste dobili pristup hakerskom alatu, trebate samo znati IP adresu željene stranice, a za izvođenje napada samo kliknite mišem.

    Problemi osiguranja informacijske sigurnosti u korporativnim računalnim mrežama uzrokovani su sigurnosnim prijetnjama lokalnim radnim stanicama, lokalnim mrežama i napadima na korporativne mreže koje imaju pristup javnim podatkovnim mrežama.

    Mrežni napadi su različiti kao i sustavi na koje ciljaju. Neki napadi su vrlo teški. Druge može izvesti obični operater koji niti ne zamišlja kakve posljedice mogu imati njegove aktivnosti.



    Uljez, prilikom izvođenja napada, obično sebi postavlja sljedeće ciljeve:

    v kršenje povjerljivosti prenesenih informacija;

    v povreda cjelovitosti i pouzdanosti prenesenih informacija;

    v poremećaj sustava u cjelini ili njegovih pojedinih dijelova.

    Sa sigurnosnog gledišta, distribuirane sustave karakterizira prvenstveno prisutnost daljinski napadi , budući da komponente distribuiranih sustava obično koriste otvorene kanale za prijenos podataka i uljez može ne samo pasivno prisluškivati ​​prenesene informacije, već i modificirati preneseni promet (aktivni utjecaj). I ako se aktivni utjecaj na promet može snimiti, onda je pasivni utjecaj praktički nemjerljiv. No budući da se tijekom rada distribuiranih sustava razmjena servisnih informacija između komponenti sustava također provodi putem otvoreni kanali prijenos podataka, tada servisne informacije postaju ista meta napada kao i korisnički podaci.

    Teškoća otkrivanja činjenice daljinskog napada ovu vrstu protupravne radnje stavlja na prvo mjesto po stupnju opasnosti, jer onemogućuje pravovremeni odgovor na prijetnju, zbog čega prekršitelj povećava šanse za uspješno izvršenje iz napada.

    Sigurnost lokalna mreža U usporedbi sa sigurnošću internetskog rada, razlikuje se po tome što je u ovom slučaju na prvom mjestu po važnosti kršenja registriranih korisnika , budući da se općenito kanali za prijenos podataka lokalne mreže nalaze u kontroliranom području i zaštita od neovlaštenog povezivanja na njih provodi se administrativnim metodama.

    U praksi su IP mreže ranjive na niz metoda neovlaštenog upada u proces razmjene podataka. Kako se računalne i mrežne tehnologije razvijaju (na primjer, pojavom mobilnih Java aplikacija i ActiveX kontrola), popis mogućih tipova mrežni napadi na IP mreži se stalno širi [Galitsky A.V., Ryabko S.D., Shangin V.F. Zaštita informacija na mreži - analiza tehnologija i sinteza rješenja. M.: DMK Press, 2004].

    Pogledajmo najčešće vrste mrežnih napada.

    Prisluškivanje (njuškanje). Velik dio podataka na računalnim mrežama prenosi se u nezaštićenom formatu (plaintext), što napadaču s pristupom podatkovnim linijama na vašoj mreži omogućuje prisluškivanje ili čitanje prometa. Za prisluškivanje računalnih mreža koje koriste njuškalo Njuškalo paketa je aplikacijski program koji presreće sve mrežne pakete koji se prenose kroz određenu domenu.

    Trenutno njuškali rade na mrežama na potpuno legalnoj osnovi. Koriste se za dijagnozu kvarova i analizu prometa. Međutim, zbog činjenice da neke mrežne aplikacije prenose podatke u tekstualnom formatu (Telnet, FTP, SMTP, POP3, itd.), korištenjem njuškala možete saznati korisne, a ponekad povjerljive informacije(na primjer, korisnička imena i lozinke).

    Njuškanje zaporke prenosi preko mreže u nekriptiranom obliku "prisluškivanjem" na kanalu je vrsta napada prisluškivanjem. Presretanje prijave i lozinke predstavlja veliku prijetnju jer korisnici često koriste istu prijavu i lozinku za više aplikacija i sustava. Mnogi korisnici općenito imaju jednu lozinku za pristup svim resursima i aplikacijama. Ako aplikacija radi u načinu rada klijent/poslužitelj i podaci za provjeru autentičnosti se prenose mrežom u čitljivom tekstualnom formatu, te se informacije vjerojatno mogu koristiti za pristup drugim korporativnim ili vanjskim resursima.

    U najgorem slučaju, haker dobije pristup korisničkom resursu na razini sustava i koristi ga za stvaranje novih korisničkih atributa koji se mogu koristiti za pristup mreži i njenim resursima u bilo kojem trenutku.

    Možete spriječiti prijetnju njuškanja paketa pomoću sljedećeg:
    mjere i sredstva:

    v korištenje jednokratnih lozinki za provjeru autentičnosti;

    v instalacija hardvera ili softvera koji prepoznaje
    njuškala;

    v primjena kriptografska zaštita komunikacijski kanali.

    Promjena podataka. Napadač koji je znao čitati
    svoje podatke, moći će napraviti sljedeći korak - promijeniti ih. Podaci u
    paket se može promijeniti čak i ako napadač ne zna ništa
    o pošiljatelju ili primatelju. Čak i ako ne trebate stroge
    povjerljivost svih prenesenih podataka, vjerojatno ne želite,
    tako da se usput mijenjaju.

    Analiza mrežnog prometa. Svrha ovakvih napada
    tipa slušaju komunikacijske kanale i analiziraju odaslano
    podataka i servisnih informacija za proučavanje topologije i arhitekture
    izgradnja sustava, dobivanje kritičnih korisničkih informacija
    (na primjer, prenesene korisničke lozinke ili brojevi kreditnih kartica
    V otvorena forma). Napadi ove vrste zahvaćeni su protokoli kao što je FTP
    ili Telnet, čija je posebnost da korisničko ime i lozinka
    prenosi unutar ovih protokola u čistom tekstu.

    Zamjena subjekta od povjerenja. Većina mreža i rad
    sustavi koriste IP adresu računala kako bi utvrdili je li
    ovo je adresat koji je potreban. U nekim slučajevima može biti netočno
    dodjela IP adrese (zamjena IP adrese pošiljatelja drugom adresom) - npr
    naziva se metoda napada krivotvorenje adrese(IP spoofing).

    IP spoofing se događa kada se napadač, unutar ili izvan korporacije, lažno predstavlja kao legitimni korisnik. Napadač bi mogao koristiti IP adresu koja je unutar raspona ovlaštenih IP adresa ili ovlaštenu vanjsku adresu kojoj je dopušten pristup određenim mrežnim resursima. Napadač također može koristiti posebne programe koji oblikuju IP pakete tako da izgledaju kao da dolaze s ovlaštenih internih adresa na korporativnoj mreži.

    IP spoofing napadi često su početna točka za druge napade. Klasičan primjer je napad poput " uskraćivanje usluge"(DoS), koji počinje tuđom adresom, skrivajući pravi identitet hakera. IP spoofing je obično ograničen na umetanje lažnih informacija ili zlonamjernih naredbi u normalan tok podataka koji se prenosi između klijentske i poslužiteljske aplikacije ili preko komunikacijskog kanala između ravnopravnih uređaja.

    Prijetnja lažiranja može se ublažiti (ali ne i eliminirati) sljedećim mjerama:

    v ispravna konfiguracija kontrole pristupa iz vanjske mreže;

    v suzbijanje pokušaja lažiranja tuđih mreža od strane korisnika njihove mreže.

    Treba imati na umu da do IP spoofinga može doći ako su korisnici autentificirani na temelju IP adresa, pa se uvođenjem dodatnih metoda autentifikacije korisnika (temeljenih na jednokratnim lozinkama ili drugim kriptografskim metodama) mogu spriječiti IP spoofing napadi.

    Posredovanje. Napad "čovjek u sredini" uključuje aktivno prisluškivanje, presretanje i kontrolu prenesenih podataka od strane nevidljivog međučvora. Kada računala komuniciraju na niskim razinama mreže, ne mogu uvijek odrediti s kim komuniciraju.

    Posredovanje u razmjeni nešifriranih ključeva (Man-in-the-Middle napad). Da bi izvršio napad Man-in-the-Middle, napadač treba pristup paketima koji se prenose preko mreže. Takav pristup svim paketima poslanim od ISP-a do bilo koje druge mreže može, primjerice, dobiti zaposlenik ovog pružatelja usluga. Za ovu vrstu napada često se koriste snifferi paketa, transportni protokoli i protokoli za usmjeravanje.

    U općenitijem slučaju, napadi Man-in-the-Middle provode se kako bi se ukrale informacije, presrele trenutne sesije i dobile pristup privatnim mrežnim resursima, analizirali promet i dobili informacije o mreži i njezinim korisnicima, izvršili DoS napade i iskrivljavanje prenesenih podataka te unos neovlaštenih informacija u mrežne sesije.

    Napadi tipa Man-m-the-Middle mogu se učinkovito boriti samo pomoću kriptografije. Za suzbijanje ove vrste napada koristi se upravljačka infrastruktura. javnih ključeva PKI (Infrastruktura javnih ključeva).

    Otmica sesije. Nakon dovršetka postupka početne provjere autentičnosti, vezu koju je uspostavio legitimni korisnik, na primjer, s poslužiteljem e-pošte, napadač prebacuje na novi host, a izvornom poslužitelju naređuje se da prekine vezu. Kao rezultat toga, "sugovornik" legitimnog korisnika tiho je zamijenjen.

    Nakon što dobije pristup mreži, napadač ima velike mogućnosti:

    v može slati netočne podatke aplikacijama i mrežnim uslugama, uzrokujući njihov pad ili kvar;

    v također može preplaviti računalo ili cijelu mrežu prometom sve dok se sustav ne sruši zbog preopterećenja;

    v Konačno, napadač može blokirati promet, što će dovesti do gubitka pristupa mrežnim resursima za ovlaštene korisnike.

    Uskraćivanje usluge (DoS). Ovaj napad se razlikuje od ostalih vrsta napada. Nije usmjeren na dobivanje pristupa vašoj mreži ili izvlačenje bilo kakvih informacija s te mreže. DoS napad čini mrežu organizacije nedostupnom za normalnu upotrebu prekoračenjem dopuštenih granica mreže, operativnog sustava ili aplikacije. U biti, ovaj napad normalnim korisnicima onemogućuje pristup resursima ili računalima na mreži organizacije.

    Većina DoS napada oslanja se na opće slabosti u arhitekturi sustava. U slučaju korištenja nekih poslužiteljske aplikacije(kao što je web poslužitelj ili FTP poslužitelj) DoS napadi mogu biti jednostavni poput preuzimanja svih veza dostupnih tim aplikacijama i njihovo držanje zauzetima, sprječavajući

    usluge za obične korisnike. DoS napadi mogu koristiti uobičajene internetske protokole kao što su TCP i ICMP (Internet Control Message Protocol).

    DoS napade teško je spriječiti jer zahtijevaju koordinaciju s vašim ISP-om. Ako se promet koji namjerava preplaviti vašu mrežu ne može zaustaviti kod pružatelja usluga, tada na ulazu u mrežu to više nećete moći učiniti jer će sva propusnost biti zauzeta.

    Ako se ova vrsta napada izvodi istovremeno preko više uređaja, kažemo o distribuiranom DDoS napadu uskraćivanja usluge(distribuirani DoS).

    Lakoća implementacije DoS napada i ogromna šteta koju nanose organizacijama i korisnicima privlače veliku pozornost administratora mrežne sigurnosti na ove napade.

    Napadi lozinkom. Cilj ovih napada je dobiti lozinku i prijavu legitimnog korisnika. Napadači mogu izvršiti napade lozinkom korištenjem metoda kao što su:

    v O zamjena IP adrese (1P spoofing);

    v prisluškivanje (njuškanje);

    v jednostavno pretraživanje.

    IP spoofing i packet sniffing su već spomenuti. Ove metode omogućuju vam da uhvatite korisničku lozinku i prijavu ako se prenose u čistom tekstu preko nesigurnog kanala.

    Često hakeri pokušavaju pogoditi lozinku i prijavu, koristeći brojne pokušaje pristupa. Ovaj pristup se zove napad grubom silom(napad grubom silom). Ovaj napad koristi poseban program koji pokušava pristupiti resursu uobičajena uporaba(na primjer, na poslužitelj). Ako, kao rezultat toga, napadač uspije pogoditi lozinku, dobiva pristup resursima s pravima redoviti korisnik. Ako ovaj korisnik ima značajne privilegije pristupa, napadač može za sebe stvoriti "propusnicu" za budući pristup koja će ostati na snazi ​​čak i ako korisnik promijeni svoju lozinku i prijavu.

    Alati za presretanje, odabir i probijanje lozinki trenutno se smatraju praktički legalnim i službeno ih proizvodi prilično velik broj tvrtki. Prodaju se kao softver za reviziju sigurnosti i oporavak zaboravljene lozinke, a može se legalno kupiti od programera.

    Napadi lozinkom mogu se izbjeći ako ne koristite lozinke s običnim tekstom. Korištenje jednokratnih zaporki i kriptografske provjere autentičnosti može gotovo eliminirati prijetnju takvih napada. Nažalost, ne podržavaju sve aplikacije, hostovi i uređaji ove metode provjere autentičnosti.

    Kada koristite obične lozinke, morate smisliti lozinku koju je teško pogoditi. Minimalna duljina lozinke mora biti najmanje osam znakova. Lozinka mora sadržavati znakove velika slova, brojevi i Posebni simboli(#, $, &, %, itd.).

    Pogađanje ključa. Kriptografski ključ je kod ili broj potreban za dešifriranje zaštićenih informacija. Iako je pronalaženje pristupnog ključa teško i zahtijeva mnogo resursa, ipak je moguće. Konkretno, za određivanje vrijednosti ključa može se koristiti poseban program koji implementira metodu iscrpnog pretraživanja. Ključ kojemu napadač dobije pristup naziva se kompromitiranim. Napadač koristi kompromitirani ključ za pristup zaštićenim prenesenim podacima bez znanja pošiljatelja i primatelja. Ključ omogućuje dešifriranje i promjenu podataka.

    Napadi na razini aplikacije. Ti se napadi mogu izvesti na nekoliko načina. Najčešći od njih je iskorištavanje poznatih slabosti poslužitelja. softver(FTP, HTTP, web poslužitelji).

    Glavni problem s napadima na sloju aplikacije je taj što često koriste portove kojima je dopušten prolaz kroz vatrozid.

    Informacije o napadima na razini aplikacije naširoko se objavljuju kako bi se omogućilo administratorima da isprave problem korištenjem korektivnih modula (zakrpa). Nažalost, mnogi hakeri također imaju pristup tim informacijama, što im omogućuje učenje.

    Nemoguće je potpuno eliminirati napade na razini aplikacije. Hakeri neprestano otkrivaju i objavljuju nove ranjivosti u aplikacijskim programima na svojim internet stranicama.

    Ovdje je važna dobra administracija sustava. Kako biste smanjili svoju ranjivost na ovu vrstu napada, možete poduzeti sljedeće korake:

    v analizirati log datoteke operativnog sustava i mrežne log datoteke korištenjem posebnih analitičkih aplikacija;

    v pratiti CERT podatke o slabostima aplikacijskog softvera;

    v koristiti najnovije verzije operativnih sustava i aplikacija i najnovije module za ispravljanje (zakrpe);

    v koristiti IDS (Intrusion Detection Systems) sustave za otkrivanje napada.

    Mrežna inteligencija je zbirka mrežnih informacija korištenjem javno dostupnih podataka i aplikacija. Kada priprema napad na mrežu, haker obično pokušava dobiti što više informacija o njoj.

    Izviđanje mreže provodi se u obliku DNS upita,
    testiranje odjeka (ping sweep) i skeniranje portova. DNS upiti vam pomažu razumjeti tko je vlasnik određene domene i koje su adrese dodijeljene toj domeni. Ping adrese otkrivene iz koristeći DNS, omogućuje vam da vidite koji hostovi stvarno rade u određenom okruženju. Nakon što primi popis hostova, haker koristi alate za skeniranje portova za kompajliranje puni popis usluge koje podržavaju ovi domaćini. Kao rezultat toga dobivaju se informacije koje se mogu koristiti za hakiranje.

    Nemoguće je potpuno se riješiti mrežne inteligencije. Ako, na primjer, onemogućite ICMP echo i echo reply na rubnim usmjerivačima, riješit ćete se testiranja pinga, ali ćete izgubiti podatke potrebne za dijagnosticiranje mrežnih kvarova. Osim toga, možete skenirati portove bez prethodnog testiranja pinga. Samo će trebati više vremena, jer ćete morati skenirati nepostojeće IP adrese.

    IDS sustavi na razini mreže i hosta obično dobro obavještavaju administratore o izviđanju mreže u tijeku, omogućujući im da se bolje pripreme za nadolazeći napad i upozore ISP-a na čijoj mreži je sustav previše radoznao.

    Povreda povjerenja. Ova vrsta akcije nije napad u punom smislu te riječi. Predstavlja zlonamjerno iskorištavanje odnosa povjerenja koji postoje u mreži. Tipičan primjer takve zlouporabe je stanje na perifernom dijelu korporativne mreže. Ovaj se segment obično nalazi DNS poslužitelji, SMTP i HTTP. Budući da svi pripadaju istom segmentu, hakiranje jednog od njih dovodi do hakiranja svih ostalih, jer ti poslužitelji vjeruju drugim sustavima na svojoj mreži.

    Rizik od povrede povjerenja može se smanjiti strožom kontrolom razina povjerenja unutar vaše mreže. Sustavi koji se nalaze izvan vatrozida nikada ne bi trebali imati apsolutno povjerenje sustava zaštićenih vatrozidom.

    Odnosi povjerenja trebali bi biti ograničeni na specifične protokole i, ako je moguće, autentificirani ne samo IP adresama, već i drugim parametrima. Zlonamjerni programi. Takvi programi uključuju računalne viruse, mrežne crve i programe trojanske konje.

    Virusi su zlonamjerni programi koji se umeću u druge programe kako bi izvršili određenu neželjenu funkciju na radnoj stanici krajnjeg korisnika. Virus obično razvijaju napadači na takav način da ostanu neotkriveni što je duže moguće. računalni sustav. Početno razdoblje mirovanja virusa mehanizam je njihovog preživljavanja. Virus se potpuno manifestira u određenom trenutku kada se dogodi neki izazovni događaj, na primjer petak 13. poznati datum i tako dalje.

    Vrsta virusnog programa je mrežni crv, koji se distribuira globalnom mrežom i ne ostavlja svoju kopiju na magnetski mediji. Ovaj izraz se koristi za imenovanje programa koji se, poput trakavica, kreću uokolo računalna mreža iz jednog sustava u drugi. Crv koristi mehanizme mrežne podrške kako bi odredio koji bi host mogao biti pogođen. Zatim, koristeći iste mehanizme, crv prenosi svoje tijelo u ovaj čvor i ili se aktivira ili čeka odgovarajuće uvjete za aktivaciju. Mrežni crvi opasna su vrsta zlonamjernog softvera jer meta njihovog napada može biti bilo koje od milijuna računala spojenih na globalni internet. Kako biste se zaštitili od crva, morate poduzeti mjere protiv neovlaštenog pristupa vašoj internoj mreži.

    Računalni virusi se odnose na tzv "trojanski konji"(trojanski programi). “Trojanski konj” je program koji izgleda kao korisna aplikacija, ali zapravo obavlja štetne funkcije (uništavanje softvera
    pružanje, kopiranje i slanje datoteka s povjerljivim podacima napadaču itd.). Opasnost od trojanskog konja leži u dodatnom bloku naredbi umetnutih u originalni bezopasni program, koji se zatim daje korisnicima AS-a. Ovaj blok naredbi može se pokrenuti nakon pojave bilo kojeg uvjeta (datum, stanje sustava) ili nakon vanjske naredbe. Korisnik koji pokreće takav program ugrožava i svoje datoteke i cijeli sustav u cjelini.

    Prema Sophosovom izvješću o upravljanju sigurnosnim prijetnjama, broj trojanskih konja nadmašio je viruse i crve četiri prema jedan u prvoj polovici 2006., u odnosu na udvostručenje u prvih šest mjeseci 2005. Sophos također izvješćuje o pojavi nove vrste " trojanskih programa , nazvan ransomware. Takvi programi kradu podatke sa zaraženih računala, a zatim se od korisnika za to traži određena otkupnina.

    Radne stanice krajnjih korisnika vrlo su osjetljive na viruse, crve i trojanske konje.

    Značajka modernog zlonamjernog softvera je njegova usmjerenost na određeni aplikacijski softver, što je postalo de facto standard za većinu korisnika, prvenstveno Microsoft Internet Explorer I Microsoft Outlook. Masovno stvaranje virusa pod Microsoft proizvodi To se objašnjava ne samo niskom razinom sigurnosti i pouzdanosti programa, već i globalnom distribucijom ovih proizvoda. Autori zlonamjernog softvera sve više počinju istraživati ​​"rupe" u popularnim DBMS-ovima, međuprogramima i korporativnim poslovnim aplikacijama izgrađenim na tim sustavima.

    Virusi, crvi i trojanski konji neprestano se razvijaju, a glavni trend u njihovom razvoju je polimorfizam. Danas je već prilično teško povući granicu između virusa, crva i trojanaca; oni koriste gotovo iste mehanizme, mala razlika je samo u stupnju ove upotrebe. Dizajn zlonamjernog softvera danas je postao toliko unificiran da je, primjerice, gotovo nemoguće razlikovati virus e-pošte od crva s destruktivnim funkcijama. Čak i “trojanski” programi imaju funkciju replikacije (kao jedno od sredstava suprotstavljanja antivirusnim alatima), tako da se po želji mogu nazvati virusima (s distribucijskim mehanizmom u obliku maskiranja u aplikacijske programe).

    Za zaštitu od ovih zlonamjernih programa potrebno je poduzeti niz mjera:

    v sprječavanje neovlaštenog pristupa izvršnim datotekama;

    v testiranje kupljenog softvera;

    v kontrola integriteta izvršne datoteke i područja sustava;

    v stvaranje zatvorenog okruženja za izvođenje programa.

    Protiv virusa, crva i trojanskih konja se bori učinkovitim antivirusnim softverom koji djeluje na razini korisnika, a možda i na razini mreže. Kako se pojavljuju novi virusi, crvi i trojanski konji, potrebno je instalirati nove baze podataka antivirusnih alata i aplikacija.

    Spam i krađa identiteta odnose se na nesoftverske prijetnje. Prevalencija ovih dviju prijetnji značajno se povećala u posljednje vrijeme.

    Spam,čiji obujam sada prelazi 80% ukupnog volumena poštanskog prometa, može predstavljati prijetnju dostupnosti informacija blokiranjem poslužitelja e-pošte ili se koristiti za distribuciju zlonamjernog softvera.

    Krađa identiteta(phishing) je relativno nova vrsta internetske prijevare, čija je svrha dobivanje identifikacijskih podataka korisnika. To uključuje krađu lozinki, brojeva kreditnih kartica, bankovnih računa, PIN kodova i drugih povjerljivih informacija koje omogućuju pristup novcu korisnika. Phishing ne iskorištava tehničke nedostatke softvera, već lakovjernost korisnika interneta. Sam izraz phishing, u suglasju s fishingom, označava password harvesting fishing - traženje lozinke. Doista, phishing je vrlo sličan pecanju. Napadač baci mamac na internet i "ulovi sve ribe" - korisnike interneta koji će zagrizti mamac.

    Napadač stvara gotovo točna kopija web stranica odabrane banke (elektr sustav plaćanja, aukcija itd.). Zatim, koristeći spam tehnologiju, e-poštašalje se pismo sastavljeno na način da bude što sličnije pravom pismu odabrane banke. Prilikom sastavljanja pisma koriste se logotipi banke, imena i prezimena stvarnih menadžera banke. Takvo pismo u pravilu obavještava da zbog promjene softvera u sustavu internetskog bankarstva korisnik treba potvrditi ili promijeniti svoje vjerodajnice. Razlog promjene podataka može biti kvar softvera banke ili napad hakera. Prisutnost uvjerljive legende koja potiče korisnika na poduzimanje potrebnih radnji neizostavna je komponenta uspjeha lažnih phishera. U svim slučajevima, svrha takvih pisama je ista - prisiliti korisnika da klikne na ponuđenu poveznicu i zatim unese svoje povjerljive podatke (lozinke, brojeve računa, PIN kodove) na bankovnoj web stranici preklapanja (sustav elektroničkog plaćanja, aukcija) . Nakon što je posjetio lažnu stranicu, korisnik unosi svoje povjerljive podatke u odgovarajuće retke, a zatim prevaranti dobivaju pristup, u najboljem slučaju, njegovim poštanski sandučić, u najgorem slučaju - na elektronički račun.

    Phisher tehnologije se poboljšavaju i koriste se metode društvenog inženjeringa. Pokušavaju prestrašiti klijenta i smisliti kritičan razlog da oda svoje povjerljive podatke. Poruke obično sadrže prijetnje, poput blokiranja računa ako primatelj ne ispunjava zahtjeve navedene u poruci.

    Pojavio se konjugat s konceptom krađe identiteta - farmacija . Ovo je također prijevara čiji je cilj doći do osobnih podataka korisnika, ali ne putem pošte, već izravno putem službenih web stranica. Poljoprivrednici zamjenjuju digitalne adrese legitimnih web stranica na DNS poslužiteljima s adresama lažnih, zbog čega se korisnici preusmjeravaju na prevarantske stranice. Ova vrsta prijevare još je opasnija jer je lažnjak gotovo nemoguće uočiti.

    U današnje vrijeme prevaranti često koriste trojanske konje. U ovom slučaju, zadatak phishera uvelike je pojednostavljen - dovoljno je prisiliti korisnika da ode na web mjesto za phishing i "pokupi" program koji će samostalno pronaći sve što je potrebno na tvrdom disku žrtve. Zajedno s trojanskim programima počeli su se koristiti keyloggeri. Na lažnim stranicama, alati za špijunski softver koji prate pritiske tipki preuzimaju se na računala žrtava. Kada koristite ovaj pristup, nije potrebno pronaći pristup klijentima određene banke ili tvrtke, pa su phisheri počeli lažirati web stranice Opća namjena, kao što su izvori vijesti i tražilice.

    Što phishing prijevare čini uspješnim? niska razina informiranost korisnika o pravilima poslovanja tvrtki u čije ime djeluju kriminalci. Konkretno, oko 5% korisnika ne zna jednostavnu činjenicu: banke ne šalju pisma u kojima od njih traže potvrdu broja svoje kreditne kartice i PIN-a online.

    Prema analitičarima (www.cnews.ru), šteta koju su phisheri prouzročili globalnom gospodarstvu iznosila je 2003. godine 14 milijardi dolara, a godinu dana kasnije dosegla je 44 milijarde dolara. Prema statistici Symanteca, sredinom 2004. filtri tvrtke blokirali su do 9 milijuna e-pošte sa sadržajem za krađu identiteta svaki tjedan. Do kraja godine, 33 milijuna već je izbačeno tijekom istog razdoblja.

    Filtri neželjene pošte ostaju glavna obrana od krađe identiteta. Nažalost, softverski alati protiv krađe identiteta imaju ograničenu učinkovitost budući da napadači prvenstveno iskorištavaju ljudsku psihologiju, a ne nedostatke softvera. Aktivno se razvijaju tehničke sigurnosne mjere, prvenstveno dodaci za popularne preglednike. Bit zaštite je blokiranje stranica koje su uključene u "crne liste" lažnih izvora. Sljedeći korak mogli bi biti sustavi za generiranje jednokratnih lozinki za internetski pristup bankovnim računima i računima u platnim sustavima te široka distribucija dodatnih razina zaštite kombinacijom unosa lozinke pomoću USB hardverskog ključa.

    Navedeni napadi na IP mreže mogući su iz više razloga:

    v korištenje javnih kanala za prijenos podataka. Kritični podaci prenose se preko mreže u nekriptiranom obliku;

    v ranjivosti u procedurama provjere autentičnosti implementiranim u TCP/IP stogu. Informacije o identitetu na IP sloju prenose se u čistom tekstu;

    v odsutnost u osnovna verzija snop TCP/IP protokola mehanizmi koji osiguravaju povjerljivost i cjelovitost poslanih poruka;

    v pošiljatelj je autentificiran svojom IP adresom. Procedura autentifikacije provodi se samo u fazi uspostavljanja veze, a naknadno se ne provjerava autentičnost primljenih paketa;

    v nedostatak kontrole nad rutom poruka na Internetu, što čini udaljene mrežne napade gotovo nekažnjenima.

    Procedura detekcije mrežnih napada.

    1. Klasifikacija mrežnih napada

    1.1. Njuškalo paketa

    Njuškalo paketa je aplikacijski program koji koristi Mrežna kartica, koji radi u promiskuitetnom načinu ( u ovom načinu rada, sve pakete primljene preko fizičkih kanala mrežni adapter šalje aplikaciji na obradu). U ovom slučaju, njuškalo presreće sve mrežne pakete koji se prenose kroz određenu domenu.

    1.2. IP spoofing

    IP spoofing se događa kada haker, unutar ili izvan sustava, oponaša ovlaštenog korisnika. To se može učiniti na dva načina. Prvo, haker može koristiti IP adresu koja je unutar raspona ovlaštenih IP adresa ili ovlaštenu vanjsku adresu kojoj je dopušten pristup određenim mrežnim resursima. IP spoofing napadi često su početna točka za druge napade. Klasičan primjer je DoS napad, koji počinje s tuđom adresom, skrivajući pravi identitet hakera.

    IP spoofing je obično ograničen na umetanje lažnih informacija ili zlonamjernih naredbi u normalan tok podataka koji se prenosi između klijentske i poslužiteljske aplikacije ili preko komunikacijskog kanala između ravnopravnih uređaja. Za dvosmjernu komunikaciju, haker mora promijeniti sve tablice usmjeravanja kako bi usmjerio promet na lažnu IP adresu. Neki hakeri, međutim, niti ne pokušavaju dobiti odgovor od aplikacija. Ako je glavni zadatak dobiti od sustava važna datoteka, odgovori na prijavu nisu važni.

    Ako haker uspije promijeniti tablice usmjeravanja i usmjeriti promet na lažnu IP adresu, haker će primiti sve pakete i moći će na njih odgovoriti kao da je ovlašteni korisnik.

    1.3. Uskraćivanje usluge ( Uskraćivanje usluge - DoS)

    DoS je najpoznatiji oblik hakerski napadi. Protiv ovih vrsta napada najteže je stvoriti 100% zaštitu.

    Najviše poznate sorte DoS:

    • TCP SYN Flood Ping mreže Death Tribe Flood ( TFN);
    • Tribe Flood Network 2000 ( TFN2K);
    • Trinco;
    • Stacheldracht;
    • Trojstvo.

    DoS napadi razlikuju se od ostalih vrsta napada. Oni nisu usmjereni na dobivanje pristupa mreži ili dobivanje bilo kakvih informacija s te mreže. DoS napad čini mrežu nedostupnom za normalnu upotrebu prekoračenjem prihvatljivih ograničenja mreže, operativnog sustava ili aplikacije.

    Prilikom korištenja nekih poslužiteljskih aplikacija (kao što je web poslužitelj ili FTP poslužitelj) DoS napadi mogu biti jednostavni poput preuzimanja svih veza dostupnih tim aplikacijama i držanja zauzetima, sprječavajući normalne korisnike da budu opsluženi. DoS napadi mogu koristiti uobičajene internetske protokole kao što su TCP i ICMP ( Internetski protokol kontrolnih poruka). Većina DoS napada ne oslanja se na softverske pogreške ili sigurnosne rupe, već na opće slabosti u arhitekturi sustava. Neki napadi osakaćuju performanse mreže preplavljujući je neželjenim i nepotrebnim paketima ili pogrešnim informacijama o trenutnom stanju mrežnih resursa. Ovu vrstu napada teško je spriječiti jer zahtijeva koordinaciju s ISP-om. Ako se promet koji namjerava preplaviti vašu mrežu ne može zaustaviti kod provajdera, tada na ulazu u mrežu to više nećete moći učiniti jer će sva propusnost biti zauzeta. Kada se ova vrsta napada izvodi istovremeno preko više uređaja, napad je distribuirani DoS ( DDoS - distribuirani DoS).

    1.4. Napadi lozinkom

    Hakeri mogu izvršiti napade lozinkom korištenjem brojnih metoda, kao što je gruba sila ( napad grubom silom), Trojanski konj, IP spoofing i packet sniffing. Iako se prijava i lozinka često mogu dobiti lažiranjem IP-a i njuškanjem paketa, hakeri često pokušavaju pogoditi lozinku i prijaviti se putem višestrukih pokušaja pristupa. Ovaj pristup se zove jednostavno pretraživanje (napad grubom silom). Često se takav napad koristi posebnim programom koji pokušava dobiti pristup javnom resursu ( na primjer, na poslužitelj). Ako, kao rezultat toga, haker dobije pristup resursima, on dobiva pristup pravima običnog korisnika čija je lozinka pogodjena. Ako ovaj korisnik ima značajne privilegije pristupa, haker može stvoriti "propusnicu" za budući pristup koja će ostati važeća čak i ako korisnik promijeni lozinku i prijavu.

    Drugi problem se javlja kada korisnici koriste isti ( čak i ako je jako dobro) lozinka za pristup mnogim sustavima: korporativnim, osobnim i internetskim sustavima. Budući da je lozinka jaka onoliko koliko je jaka najslabiji host, haker koji sazna lozinku preko tog hosta dobiva pristup svim drugim sustavima koji koriste istu lozinku.

    1.5. Čovjek u sredini napada

    Za napad Man-in-the-Middle, haker treba pristup paketima koji se prenose preko mreže. Takav pristup svim paketima koji se prenose s pružatelja na bilo koju drugu mrežu može, primjerice, dobiti zaposlenik tog pružatelja. Za ovu vrstu napada često se koriste snifferi paketa, transportni protokoli i protokoli za usmjeravanje. Napadi se provode s ciljem krađe informacija, presretanja trenutne sesije i dobivanja pristupa privatnim mrežnim resursima, radi analize prometa i dobivanja informacija o mreži i njezinim korisnicima, izvođenja DoS napada, iskrivljavanja prenesenih podataka i unosa neovlaštenih informacija. u mrežne sesije.

    1.6. Napadi na razini aplikacije

    Napadi na razini aplikacije mogu se izvesti na nekoliko načina. Najčešći od njih je iskorištavanje slabosti u poslužiteljskom softveru ( sendmail, HTTP, FTP). Iskorištavanjem ovih slabosti hakeri mogu dobiti pristup računalu kao korisnik koji pokreće aplikaciju ( obično to nije jednostavan korisnik, već povlašteni administrator s pravima pristup sustavu ). Informacije o napadima na razini aplikacije naširoko se objavljuju kako bi se omogućilo administratorima da riješe problem pomoću modula za sanaciju ( zakrpe). Glavni problem s napadima na sloju aplikacije je taj što često koriste portove kojima je dopušten prolaz kroz vatrozid. Na primjer, haker koji iskorištava poznatu slabost web poslužitelja često će u TCP napadu koristiti priključak 80. Budući da web poslužitelj pruža web stranice korisnicima, vatrozid mora dopustiti pristup ovom priključku. Sa stajališta vatrozida, napad se tretira kao standardni promet na portu 80.

    1.7. Mrežna inteligencija

    Mrežna inteligencija odnosi se na prikupljanje mrežnih informacija korištenjem javno dostupnih podataka i aplikacija. Kada priprema napad na mrežu, haker obično pokušava dobiti što više informacija o njoj. Izviđanje mreže provodi se u obliku DNS upita, ping sweepova i skeniranja portova. DNS upiti vam pomažu razumjeti tko je vlasnik određene domene i koje su adrese dodijeljene toj domeni. Echo testiranje ( ping čišćenje) adrese koje je otkrio DNS omogućuju vam da vidite koji hostovi zapravo rade u određenom okruženju. Nakon što primi popis hostova, haker koristi alate za skeniranje portova kako bi sastavio potpuni popis usluga koje ti hostovi podržavaju. Na kraju, haker analizira karakteristike aplikacija koje rade na hostovima. Kao rezultat toga dobivaju se informacije koje se mogu koristiti za hakiranje.

    1.8. Povreda povjerenja

    Ova vrsta akcije nije "napad" ili "napad". Predstavlja zlonamjerno iskorištavanje odnosa povjerenja koji postoje u mreži. Primjer je sustav instaliran s vanjske strane vatrozida koji ima odnos povjerenja sa sustavom instaliranim s unutarnje strane vatrozida. Ako je vanjski sustav ugrožen, haker može koristiti odnos povjerenja da prodre u sustav zaštićen vatrozidom.

    1.9. Port Forwarding

    Prosljeđivanje porta je oblik zlouporabe povjerenja u kojem se kompromitirani host koristi za propuštanje prometa kroz vatrozid koji bi inače bio odbijen. Primjer aplikacije koja može omogućiti takav pristup je netcat.

    1.10. Neovlašten pristup

    Neovlašteni pristup ne može se smatrati zasebnom vrstom napada. Većina mrežnih napada provodi se radi dobivanja neovlaštenog pristupa. Da bi pogodio telnet prijavu, haker prvo mora dobiti telnet prompt na svom sustavu. Nakon spajanja na telnet priključak na ekranu se pojavljuje poruka "potrebno ovlaštenje za korištenje ovog resursa" (Za korištenje ovih resursa potrebna vam je autorizacija). Ako nakon toga haker nastavi s pokušajima pristupa, oni će biti uzeti u obzir "neovlašteno". Izvor takvih napada može biti unutar mreže ili izvan nje.

    1.11. Virusi i aplikacije poput "Trojanski konj"

    Radne stanice klijenata vrlo su osjetljive na viruse i trojanske konje. "Trojanski konj"- ovo nije umetak programa, već pravi program koji izgleda kao korisna aplikacija, ali zapravo ima štetnu ulogu.

    2. Metode za suzbijanje mrežnih napada

    2.1. Prijetnju njuškanja paketa možete ublažiti pomoću sljedećih alata:

    2.1.1. Autentifikacija - Snažna autentifikacija je prva obrana od njuškanja paketa. Pod, ispod "jak" Razumijemo da je ovu metodu provjere autentičnosti teško zaobići. Primjer takve provjere autentičnosti su jednokratne lozinke ( OTP - jednokratne lozinke). OTP je tehnologija autentifikacije s dva faktora koja kombinira ono što imate s onim što znate. Pod "kartom" ( znak) odnosi se na hardver ili softverski alat, generiranje ( nasumično) jedinstvena jednokratna jednokratna lozinka. Ako haker otkrije ovu lozinku pomoću njuškala, ta će informacija biti beskorisna jer će u tom trenutku lozinka već biti iskorištena i povučena. Ova metoda borbe protiv njuškanja učinkovita je samo protiv presretanja lozinki.

    2.1.2. Komutirana infrastruktura - Drugi način za borbu protiv njuškanja paketa u mrežnom okruženju je stvaranje komutirane infrastrukture, gdje hakeri mogu pristupiti samo prometu koji dolazi na port na koji su povezani. Komutirana infrastruktura ne uklanja prijetnju njuškanja, ali značajno smanjuje njenu ozbiljnost.

    2.1.3. Anti-snifferi - Treći način borbe protiv sniffera je instaliranje hardvera ili softvera koji prepoznaje sniffere koji rade na vašoj mreži. Ovi alati ne mogu u potpunosti eliminirati prijetnju, ali kao i mnogi drugi alati za mrežnu sigurnost, uključeni su u zajednički sustav zaštita. tzv "anti-njuškalo" izmjerite vremena odgovora hosta i odredite moraju li hostovi obrađivati "ekstra" promet.

    2.1.4. Kriptografija - Većina učinkovita metoda Anti-packet sniffing ne sprječava presretanje i ne prepoznaje rad sniffera, ali taj rad čini beskorisnim. Ako je komunikacijski kanal kriptografski siguran, to znači da haker ne presreće poruku, već šifrirani tekst (odnosno nerazumljiv niz bitova).

    2.2. Prijetnja prijevare može se ublažiti ( ali nije eliminiran) koristeći sljedeće mjere:

    2.2.1. Kontrola pristupa - Najlakši način da spriječite IP spoofing je ispravna postavka kontrola pristupa. Kako bi se smanjila učinkovitost IP spoofinga, kontrola pristupa konfigurirana je tako da odbija svaki promet koji dolazi s vanjske mreže s izvornom adresom koja bi se trebala nalaziti unutar vaše mreže. Ovo pomaže u borbi protiv lažnog IP-a, gdje su autorizirane samo interne adrese. Ako su neke vanjske mrežne adrese također ovlaštene, ovu metodu postaje neučinkovito.

    2.2.2. Filtriranje RFC 2827 - zaustavljanje pokušaja lažiranja tuđih mreža od strane korisnika korporativne mreže. Da biste to učinili, potrebno je odbiti svaki odlazni promet čija izvorna adresa nije jedna od IP adresa Banke. Ovu vrstu filtriranja, poznatu kao "RFC 2827", također može izvesti ISP ( ISP). Kao rezultat toga, sav promet koji nema izvornu adresu očekivanu na određenom sučelju se odbija.

    2.2.3. Najviše učinkovita metoda Način borbe protiv IP spoofinga isti je kao i u slučaju packet sniffinga: morate napad učiniti potpuno neučinkovitim. IP spoofing može funkcionirati samo ako se provjera autentičnosti temelji na IP adresama. Stoga uvođenje dodatnih metoda autentifikacije čini ovaj tip napada beskorisnim. Najbolji pogled dodatna autentifikacija je kriptografska. Ako to nije moguće, mogu se postići dobri rezultati dvofaktorska autentifikacija koristeći jednokratne lozinke.

    2.3. Prijetnja DoS napada može se smanjiti na sljedeće načine:

    2.3.1. Značajke protiv lažiranja - Ispravno konfiguriranje značajki protiv lažiranja na vašim usmjerivačima i vatrozidima pomoći će u smanjenju rizika od DoS-a. Te bi značajke trebale uključivati ​​barem filtriranje RFC 2827. Ako haker ne može prikriti svoj pravi identitet, malo je vjerojatno da će izvesti napad.

    2.3.2. Anti-DoS značajke - Ispravna konfiguracija anti-DoS značajki na usmjerivačima i vatrozidima može ograničiti učinkovitost napada. Ove funkcije ograničavaju broj poluotvorenih kanala u bilo kojem trenutku.

    2.3.3. Ograničenje količine prometa ( ograničenje brzine prometa) – ugovor s ponuđačem ( ISP) o ograničenju obima prometa. Ova vrsta filtriranja omogućuje vam da ograničite količinu nekritičnog prometa koji prolazi kroz mrežu. Uobičajen primjer je ograničenje glasnoće ICMP promet, koji se koristi samo u dijagnostičke svrhe. Napadi ( D) DoS često koristi ICMP.

    2.3.4. Blokiranje IP adresa - nakon analize DoS napada i identificiranja raspona IP adresa s kojih se napad izvodi, kontaktirajte svog davatelja usluga da ih blokira.

    2.4. Napadi lozinkom mogu se izbjeći ako ne koristite lozinke s običnim tekstom. Jednokratne lozinke i/ili kriptografska provjera autentičnosti mogu gotovo eliminirati prijetnju takvih napada. Ne podržavaju sve aplikacije, hostovi i uređaji gore navedene metode provjere autentičnosti.

    Kada koristite obične lozinke, morate smisliti lozinku koju bi bilo teško pogoditi. Minimalna duljina lozinke mora biti najmanje osam znakova. Lozinka mora sadržavati velika slova, brojeve i posebne znakove ( #, %, $ itd.). Najbolje lozinke teško je pogoditi i teško ih je zapamtiti, što tjera korisnike da zapisuju lozinke na papir.

    2.5. Napadi tipa Man-in-the-Middle mogu se učinkovito boriti samo pomoću kriptografije. Ako haker presretne podatke iz šifrirane sesije, ono što će se pojaviti na njegovom ekranu nije presretnuta poruka, već besmisleni skup znakova. Imajte na umu da ako haker dobije informacije o kriptografskoj sesiji ( na primjer, ključ sesije), to može učiniti mogućim Man-in-the-Middle napad čak iu šifriranom okruženju.

    2.6. Napadi na razini aplikacije ne mogu se potpuno eliminirati. Hakeri neprestano otkrivaju i objavljuju nove ranjivosti u aplikacijskim programima na internetu. Najvažnija stvar je dobra administracija sustava.

    Mjere koje možete poduzeti kako biste smanjili svoju ranjivost na ovu vrstu napada:

    • čitanje i/ili analiza log datoteka operativnog sustava i mrežnih log datoteka korištenjem posebnih analitičkih aplikacija;
    • pravovremeno ažuriranje verzija operativnih sustava i aplikacija te instalacija najnovijih korekcijskih modula ( zakrpe);
    • korištenje sustava za otkrivanje napada ( IDS).

    2.7. Nemoguće je potpuno se riješiti mrežne inteligencije. Ako onemogućite ICMP echo i echo reply na rubnim usmjerivačima, riješit ćete se testiranja pinga, ali ćete izgubiti podatke potrebne za dijagnosticiranje mrežnih kvarova. Osim toga, možete skenirati portove bez prethodnog testiranja pinga. Ovo će samo trajati duže, jer ćete morati skenirati nepostojeće IP adrese. IDS sustavi na razini mreže i hosta obično dobro obavještavaju administratora o izviđanju mreže u tijeku, što im omogućuje da se bolje pripreme za nadolazeći napad i obavijeste ISP-a ( ISP), na čijoj mreži je instaliran sustav koji pokazuje pretjeranu znatiželju.

    2.8. Rizik od povrede povjerenja može se smanjiti strožom kontrolom razina povjerenja unutar vaše mreže. Sustavi koji se nalaze izvan vatrozida nikada ne bi trebali imati apsolutno povjerenje sustava zaštićenih vatrozidom. Odnosi povjerenja trebali bi biti ograničeni na određene protokole i, ako je moguće, autentificirani parametrima koji nisu IP adrese.

    2.9. Glavni način borbe protiv prosljeđivanja portova je korištenje jakih modela povjerenja ( vidi klauzulu 2.8 ). Osim toga, IDS host sustav može spriječiti hakera da instalira svoj softver na host ( KRIVA).

    2.10. Metode za borbu protiv neovlaštenog pristupa prilično su jednostavne. Ovdje je glavna stvar smanjiti ili potpuno eliminirati mogućnost hakera da dobije pristup sustavu korištenjem neovlaštenog protokola. Kao primjer, razmislite o sprječavanju hakera da pristupe telnet portu na poslužitelju koji pruža web usluge vanjskim korisnicima. Bez pristupa ovom portu, haker ga neće moći napasti. Što se tiče vatrozida, njegova glavna zadaća je spriječiti najjednostavnije pokušaje neovlaštenog pristupa.

    2.11. Borba protiv virusa i trojanskih konja provodi se učinkovitim antivirusnim softverom koji radi na razini korisnika i na razini mreže. Antivirusni proizvodi otkrivaju većinu virusa i trojanskih konja i zaustavljaju njihovo širenje.

    3. Algoritam radnji pri otkrivanju mrežnih napada

    3.1. Većinu mrežnih napada blokiraju automatski instalirani alati za informacijsku sigurnost ( vatrozidi, pouzdani alati za pokretanje, mrežni usmjerivači, antivirusni alati itd.).

    3.2. Napadi koji zahtijevaju intervenciju osoblja da ih blokira ili smanji ozbiljnost posljedica uključuju DoS napade.

    3.2.1. DoS napadi otkrivaju se analizom mrežnog prometa. Početak napada karakterizira “ zakucavanje» komunikacijski kanali koji koriste pakete koji zahtijevaju velike resurse s lažnim adresama. Takav napad na web stranicu internetskog bankarstva komplicira pristup legitimnim korisnicima i web izvor može postati nedostupan.

    3.2.2. Ako se otkrije napad Administrator sustava obavlja sljedeće radnje:

    • ručno prebacuje usmjerivač na pričuvni kanal i natrag kako bi se identificirao manje opterećeni kanal (kanal veće propusnosti);
    • identificira raspon IP adresa s kojih se vrši napad;
    • šalje zahtjev pružatelju za blokiranje IP adresa iz navedenog raspona.

    3.3. DoS napad obično se koristi za prikrivanje uspješnog napada na klijentske resurse kako bi se otežalo otkrivanje. Stoga je prilikom otkrivanja DoS napada potrebno analizirati posljednje transakcije kako bi se identificirale neuobičajene transakcije, blokirale (ako je moguće) i kontaktirali klijenti putem alternativnog kanala radi potvrde transakcija.

    3.4. Ukoliko se od klijenta primi informacija o neovlaštenim radnjama, evidentiraju se svi raspoloživi dokazi, provodi se interna istraga i podnosi prijava tijelima kaznenog progona.

    preuzimanje datoteka ZIP datoteka (24151)

    Ako su dokumenti bili korisni, lajkajte ih:

    Ulaznica 1. Osnovni pojmovi i definicije informacijske sigurnosti: napadi, ranjivosti, sigurnosne politike, sigurnosni mehanizmi i usluge. Klasifikacija napada. Mrežna sigurnost i sigurnosni modeli informacijski sistem

    Ranjivost - slabost u sustavu pomoću kojeg se može izvesti napad.

    Rizik - vjerojatnost da određeni napad provodit će se korištenjem specifičnog ranjivosti. U konačnici, svaka organizacija mora odlučiti koja je razina za nju prihvatljiva. rizik. Ta bi se odluka trebala odražavati u sigurnosnoj politici koju je usvojila organizacija.

    Sigurnosna politika — pravila, smjernice i prakse koji određuju kako se informacijska imovina obrađuje, štiti i distribuira unutar organizacije i između informacijskih sustava; skup kriterija za pružanje sigurnosne službe.

    Napad – svaku radnju kojom se narušava sigurnost informacijskog sustava. Formalnije možemo to reći napad- je radnja ili niz međusobno povezanih radnji pomoću ranjivosti ovog informacijskog sustava i dovodi do kršenja sigurnosne politike.

    Sigurnosni mehanizam - softver i/ili hardver koji otkriva i/ili sprječava napad.

    Sigurnosna služba - usluga koja pruža politikama definiranu sigurnost sustava i/ili prenesenih podataka ili određuje implementaciju napadi. Servis koristi jedan ili više sigurnosnih mehanizama.
    ^

    Model mrežne sigurnosti Klasifikacija mrežnih napada


    svi napadi mogu se podijeliti u dvije klase: pasivno I aktivan.

    I. Pasivni napad

    To se zove pasivno napad , sa kojim neprijatelj nema mogućnost modificiranja poslanih poruka i umetanja vlastitih poruka u informacijski kanal između pošiljatelja i primatelja. Svrha pasivni napad može biti samo slušanje odaslanih poruka i analiza prometa.

    Ovo se zove aktivno napad , sa kojim neprijatelj ima mogućnost mijenjanja poslanih poruka i umetanja vlastitih poruka. Razlikuju se sljedeće vrste: aktivni napadi:

    ^ II. Aktivni napad

    Uskraćivanje usluge - DoS napad (uskraćivanje usluge)

    Uskraćivanje usluge ometa normalno funkcioniranje mrežnih usluga. Neprijatelj može presresti sve poruke poslane određenom primatelju. Još jedan primjer ovoga napadi je generirati značajan promet, što rezultira nemogućnošću mrežne usluge obraditi zahtjeve legitimnih klijenata. Klasičan primjer je napadi u TCP/IP mrežama je SYN napad u kojem napadač šalje pakete koji započinju uspostavu TCP veze, ali ne šalje pakete koji dovršavaju uspostavu ove veze. Kao rezultat toga, poslužitelj može postati preopterećen i možda se neće moći povezati s legitimnim korisnicima.

    ^ Sigurnosni model informacijskog sustava

    Postoje i druge situacije povezane sa sigurnošću koje ne odgovaraju gore opisanom modelu mrežne sigurnosti. Opći obrazac ovih situacija može se ilustrirati na sljedeći način:

    Ovaj model ilustrira koncept sigurnosti informacijskog sustava, koji sprječava neželjeni pristup. Haker koji pokušava ilegalno ući u sustave dostupne preko mreže možda jednostavno uživa u hakiranju ili možda pokušava oštetiti informacijski sustav i/ili unijeti nešto u njega za vlastite potrebe. Na primjer, cilj hakera može biti doći do brojeva kreditnih kartica pohranjenih u sustavu.

    Druga vrsta neželjenog pristupa je postavljanje nečega na računalni sustav što utječe na aplikacijski programi i softverski uslužni programi kao što su uređivači, kompajleri itd. Dakle, postoje dvije vrste napadi:


    1. Pristup informacijama u svrhu dobivanja ili izmjene podataka pohranjenih u sustavu.

    2. ^ Napad uslugama kako bi vas spriječili da ih koristite.
    Virusi i crvi su primjeri toga napadi. Takav napadi može se provesti pomoću disketa ili putem mreže.

    ^ Sigurnosne službe , koji sprječavaju neželjeni pristup, mogu se podijeliti u dvije kategorije:


    1. Prva kategorija definirana je u smislu funkcije čuvara. ove mehanizmima uključuju postupke prijave, poput onih koji se temelje na zaporci, kako bi se pristup ograničio samo na ovlaštene korisnike. ove mehanizmima također uključuju razne zaštitni ekrani(firewall) koji sprječavaju napadi na različitim razinama skupa protokola TCP/IP, a posebno vam omogućuju sprječavanje prodora crva, virusa, kao i sprječavanje drugih sličnih napadi.

    2. Druga linija obrane sastoji se od raznih internih monitora koji kontroliraju pristup i analiziraju aktivnost korisnika.
    Jedan od glavnih pojmova pri osiguravanju sigurnosti informacijskog sustava je koncept ovlaštenje - definiranje i dodjeljivanje prava pristupa određenim resursima i/ili objektima.

    Sigurnost informacijskog sustava trebala bi se temeljiti na sljedećim osnovnim načelima:


    1. Sigurnost informacijskog sustava mora biti u skladu s ulogom i ciljevima organizacije u kojoj ovaj sustav instaliran.

    2. Osiguravanje informacijske sigurnosti zahtijeva integriran i holistički pristup.

    3. Sigurnost informacija treba biti sastavni dio sustava upravljanja u određenoj organizaciji.

    4. Sigurnost informacija mora biti ekonomski opravdana.

    5. Odgovornosti za sigurnost moraju biti jasno definirane.

    6. Sigurnost informacijskog sustava mora se povremeno preispitivati.

    7. Društveni čimbenici, kao i administrativne, organizacijske i fizičke sigurnosne mjere, od velike su važnosti za osiguranje sigurnosti informacijskog sustava.

    1. Presretanje paketa.

    Njuškalo paketa (od engleskog sniff - njuškanje) je aplikacijski program koji koristi mrežno sučelje koje radi u promiskuitetnom načinu rada. U ovom načinu rada mrežni adapter omogućuje primanje svih paketa primljenih fizičkim kanalima, bez obzira na to kome su upućeni, te ih šalje aplikaciji na obradu. Trenutno se snifferi koriste u mrežama na potpuno legalnoj osnovi. Koriste se za dijagnozu kvarova i analizu prometa. Međutim, zbog činjenice da neke mrežne aplikacije prenose podatke u tekstualnom formatu (Telnet, FTP, SMTP, POP3, itd.), korištenje njuškala može otkriti korisne, a ponekad i osjetljive informacije (na primjer, korisnička imena i lozinke).

    Presretanje prijava i lozinki stvara veliku opasnost. Ako aplikacija radi u načinu rada klijent-poslužitelj, a podaci za provjeru autentičnosti prenose se mrežom u čitljivom tekstualnom formatu, tada se ove informacije najvjerojatnije mogu koristiti za pristup drugim korporativnim ili vanjskim resursima. U najgorem slučaju, napadač će dobiti pristup korisničkom resursu na razini sustava i koristiti ga za kreiranje novog korisnika koji se može koristiti u bilo kojem trenutku za pristup mreži i njenim resursima.

    2. IP spoofing.

    IP spoofing (od engleskog spoof - prijevara) događa se kada se napadač, unutar ili izvan korporacije, lažno predstavlja kao ovlašteni korisnik. To se može postići na dva načina:

    a) korištenje IP adrese koja je unutar raspona ovlaštenih IP adresa;

    IP spoofing napadi često su početna točka za druge napade. Klasičan primjer je DoS napad, koji kreće s tuđe adrese, skrivajući pravi identitet napadača.

    IP spoofing je obično ograničen na umetanje lažnih informacija ili zlonamjernih naredbi u normalan tok podataka koji se prenosi između klijentske i poslužiteljske aplikacije ili preko komunikacijskog kanala između ravnopravnih uređaja. Za dvosmjernu komunikaciju, napadač mora modificirati sve tablice usmjeravanja kako bi usmjerio promet na lažnu IP adresu.

    Ako je napadač uspio promijeniti tablice usmjeravanja i usmjeriti mrežni promet na lažnu IP adresu, tada će primiti sve pakete i moći će na njih odgovoriti kao da je ovlašteni korisnik.

    3. Uskraćivanje usluge.

    Uskraćivanje usluge (Denial of Service, skraćeno DoS) bez sumnje je najpoznatiji oblik mrežnih napada. Osim toga, protiv ovih vrsta napada najteže je stvoriti 100% zaštitu. Za organizaciju DoS-a potrebno je minimalno znanje i vještine. Unatoč tome, jednostavnost implementacije i enormni razmjeri nastale štete privlače napadače na DoS napade.

    Ovaj napad se značajno razlikuje od ostalih vrsta napada. Napadači nemaju namjeru dobiti pristup mreži ili dobiti bilo kakve informacije s te mreže, ali DoS napad čini vašu mrežu nedostupnom za normalno korištenje prekoračenjem dopuštenih granica mreže, operativnog sustava ili aplikacije. U slučaju nekih poslužiteljskih aplikacija (kao što je web poslužitelj ili FTP poslužitelj), DoS napadi mogu uključivati ​​preuzimanje svih veza dostupnih tim aplikacijama i njihovo držanje zauzetima, sprječavajući obične korisnike da budu opsluženi. DoS napadi mogu koristiti uobičajene internetske protokole kao što su TCP i ICMP.

    Neki napadi osakaćuju performanse mreže preplavljujući je neželjenim i nepotrebnim paketima ili pogrešnim informacijama o trenutnom stanju mrežnih resursa. Kada se napad ove vrste izvodi istovremeno preko više uređaja, govorimo o distribuiranom DoS napadu (od engleskog distributed DoS, skraćeno DDoS).

    4. Napadi lozinkom.

    Napadači mogu izvršiti napade lozinkom korištenjem raznih metoda, kao što su napad brutalnom silom, trojanski konj, lažiranje IP-a i njuškanje paketa. Unatoč činjenici da se prijava i lozinka često mogu dobiti korištenjem IP spoofinga i packet sniffinga, napadači često pokušavaju pogoditi lozinku i prijavu korištenjem višestrukih pokušaja pristupa. Ovaj pristup se naziva jednostavno nabrajanje.

    Za takav napad koristi se poseban program koji pokušava dobiti pristup javnom resursu (na primjer, poslužitelju). Ako se kao rezultat toga napadaču odobri pristup resursima, on ga prima kao korisnik čija je lozinka odabrana. Ako ovaj korisnik ima značajne privilegije pristupa, napadač može stvoriti pristupnik za budući pristup koji će ostati na snazi ​​čak i ako korisnik promijeni lozinku.

    5. Man-in-the-middle napadi.

    Za napad Man-in-the-Middle, napadač treba pristup paketima koji se prenose preko mreže. Takav pristup svim paketima koji se prenose s pružatelja na bilo koju drugu mrežu može, primjerice, dobiti zaposlenik tog pružatelja. Za ovu vrstu napada često se koriste snifferi paketa, transportni protokoli i protokoli za usmjeravanje. Napadi se provode s ciljem krađe informacija, presretanja trenutne sesije i dobivanja pristupa privatnim mrežnim resursima, radi analize prometa i dobivanja informacija o mreži i njezinim korisnicima, izvođenja DoS napada, iskrivljavanja prenesenih podataka i unosa neovlaštenih informacija. u mrežne sesije.

    6. Napadi na razini aplikacije.

    Napadi na razini aplikacije mogu se izvesti na nekoliko načina. Najčešći od njih je korištenje dobro poznatih slabosti poslužiteljskog softvera (sendmail, HTTP, FTP). Koristeći ove slabosti, napadači mogu dobiti pristup računalu u ime korisnika koji pokreće aplikaciju (obično to nije jednostavan korisnik, već privilegirani administrator s pravima pristupa sustavu). Informacije o napadima na razini aplikacije naširoko se objavljuju kako bi administratorima dali priliku ispraviti problem pomoću korektivnih modula (zakrpa). Nažalost, mnogi hakeri također imaju pristup ovim informacijama, što im omogućuje da se poboljšaju.

    Glavni problem s napadima na razini aplikacije je taj što napadači često koriste portove kojima je dopušten prolaz kroz vatrozid. Na primjer, napadač koji iskorištava poznatu slabost web poslužitelja često će u TCP napadu koristiti priključak 80. Budući da web poslužitelj pruža web stranice korisnicima, vatrozid mora omogućiti pristup ovom priključku. Sa stajališta vatrozida, napad se tretira kao standardni promet na portu 80.

    7. Mrežna inteligencija.

    Mrežna inteligencija odnosi se na prikupljanje mrežnih informacija korištenjem javno dostupnih podataka i aplikacija. Kada priprema napad na mrežu, napadač obično pokušava dobiti što više informacija o njoj. Izviđanje mreže provodi se u obliku DNS upita, pingova i skeniranja portova. DNS upiti vam pomažu razumjeti tko je vlasnik određene domene i koje su adrese dodijeljene toj domeni. Pingiranje adresa koje je otkrio DNS omogućuje vam da vidite koji hostovi zapravo rade u određenom okruženju. Nakon što primi popis hostova, napadač koristi alate za skeniranje portova kako bi sastavio potpuni popis usluga koje ti hostovi podržavaju. Konačno, analizira karakteristike aplikacija koje se izvode na hostovima. Kao rezultat toga, dobiva informacije koje se mogu koristiti za hakiranje.

    8. Povreda povjerenja.

    Strogo govoreći, ova vrsta radnje nije u punom smislu riječi napad ili napad. Predstavlja zlonamjerno iskorištavanje odnosa povjerenja koji postoje u mreži. Klasičan primjer takve zlouporabe je stanje na perifernom dijelu korporativne mreže. Ovaj segment često sadrži DNS, SMTP i HTTP poslužitelje. Budući da svi pripadaju istom segmentu, hakiranje bilo kojeg od njih dovodi do hakiranja svih ostalih, jer ti poslužitelji vjeruju drugim sustavima na svojoj mreži. Drugi primjer je sustav instaliran s vanjske strane vatrozida koji ima odnos povjerenja sa sustavom instaliranim s unutarnje strane vatrozida. Ako je vanjski sustav ugrožen, napadač može koristiti odnose povjerenja da prodre u sustav zaštićen vatrozidom.

    9. Port prosljeđivanje.

    Prosljeđivanje porta je oblik zlouporabe povjerenja u kojem se kompromitirani host koristi za propuštanje prometa kroz vatrozid koji bi inače bio odbijen. Zamislimo vatrozid s tri sučelja, od kojih je svako povezano s određenim hostom. Vanjski host se može povezati s hostom javni pristup(DMZ), ali ne na onaj instaliran s unutarnje strane vatrozida. Dijeljeni host može se povezati i s internim i s vanjskim hostom. Ako napadač preuzme zajednički host, može na njega instalirati softver koji preusmjerava promet s vanjskog hosta izravno na interni. Iako to ne krši nijedno pravilo na zaslonu, vanjski host dobiva izravan pristup zaštićenom hostu kao rezultat preusmjeravanja. Primjer aplikacije koja može omogućiti takav pristup je netcat.

    10. Neovlašteni pristup.

    Neovlašteni pristup se ne može identificirati kao posebna vrsta napada, budući da se većina mrežnih napada izvodi upravo radi neovlaštenog pristupa. Da bi pogodio Telnet prijavu, napadač prvo mora dobiti Telnet savjet na svom sustavu. Nakon spajanja na Telnet priključak, na zaslonu se pojavljuje poruka "potrebna je autorizacija za korištenje ovog resursa". Ako napadač nakon toga nastavi s pokušajima pristupa, smatrat će se neovlaštenim. Izvor takvih napada može biti unutar mreže ili izvan nje.

    11. Virusi i aplikacije trojanskog konja

    Radne stanice krajnjih korisnika vrlo su osjetljive na viruse i trojanske konje. Virusi su zlonamjerni programi koji se umeću u druge programe kako bi izvršili određenu neželjenu funkciju na radnoj stanici krajnjeg korisnika. Primjer je virus koji je zapisan u datoteci command.com (glavni tumač Windows sustavi) i briše druge datoteke, a također inficira sve druge verzije command.com koje pronađe.

    Trojanski konj nije softverski umetak, već pravi program koji se na prvi pogled čini korisna primjena, ali zapravo igra štetnu ulogu. Primjer tipičnog trojanskog konja je program koji izgleda jednostavna igra za radnu stanicu korisnika. Međutim, dok korisnik igra igru, program šalje svoju kopiju e-poštom svakom pretplatniku navedenom u Adresar ovaj korisnik. Svi pretplatnici dobivaju igru ​​poštom, što uzrokuje njezinu daljnju distribuciju.

    Klasa mrežnih napada uključuje napade koji uzrokuju sumnjivo, nenormalno ponašanje mrežnog prometa na korporativnoj mreži. To su takozvane mrežne anomalije. Mrežne anomalije također se mogu klasificirati. Mogu se podijeliti u dvije glavne skupine: hardverska i softverska odstupanja i sigurnosni problemi (Sl. 1.2.1.)

    1. Odstupanja softvera i hardvera.

    Pogreške u softveru komponenti informacijskog sustava mogu rezultirati prelaskom u nenormalni način rada s naknadnim prekidom pružanja usluga.

    Konfiguracijske pogreške prevode funkcionalnost komponente informacijskog sustava u neusklađenosti sa standardnim projektiranim parametrima, što narušava ukupnu izvedbu.

    Povrede performansi povlače odlazak parametara informacijskog sustava izvan izračunatih vrijednosti, što je popraćeno povredom pružanja usluga.

    Hardverski kvarovi mogu dovesti kako do potpunog otkaza pojedinih komponenti informacijskog sustava, tako i do degradirajućeg utjecaja zasebnog podsustava na cijeli kompleks.

    2. Povrede sigurnosti.

    Skeniranje mreže provodi se kako bi se analizirala topologija mreže i otkrile usluge dostupne za napad. Tijekom procesa skeniranja pokušava se povezati s mrežne usluge pristupom određenom portu. U slučaju otvorenog skeniranja, skener izvodi trosmjernu proceduru rukovanja, a u slučaju zatvorenog (stealth) skeniranja, ne dovršava povezivanje. Budući da se prilikom skeniranja jednog hosta pojavljuje nabrajanje usluga (portova), ovu anomaliju karakteriziraju pokušaji pristupa s jedne IP adrese skenera određenoj IP adresi na više portova. Međutim, najčešće se skeniraju cijele podmreže, što se izražava u prisutnosti u napadnutoj mreži velikog broja paketa s jedne IP adrese skenera na više IP adresa podmreže koja se ispituje, ponekad čak i korištenjem metode sekvencijalnog pretraživanja. Najpoznatiji mrežni skeneri su: nmap, ISS, satan, strobe, xscan i drugi.

    Analizatori prometa ili snifferi dizajnirani su za presretanje i analizu mrežnog prometa. U najjednostavnijem slučaju to se radi prevođenjem mrežni adapter hardverski kompleks u način slušanja i tokovi podataka u segmentu na koji je povezan postaju dostupni za daljnje proučavanje. Budući da mnogi aplikacijski programi koriste protokole koji prenose informacije u jasnom, nekriptiranom obliku, rad njuškala dramatično smanjuje razinu sigurnosti. Imajte na umu da snifferi ne uzrokuju izražene anomalije u radu mreže. Najpoznatiji snifferi su: tcpdump, ethereal, sniffit, Microsoft network monitor, netxray, lan explorer.

    U računalnoj sigurnosti pojam ranjivost koristi se za označavanje komponente informacijskog sustava koja je slabo zaštićena od neovlaštenog utjecaja. Ranjivost može biti rezultat pogrešaka u dizajnu, programiranju ili konfiguraciji. Ranjivost može postojati samo teoretski ili se može iskoristiti implementacija softvera- iskorištavati. U mrežnom aspektu, ranjivosti mogu biti informacijski resursi, kao što je OS i softverske usluge.

    Aktivnost virusne mreže rezultat je pokušaja širenja računalnih virusa i crva korištenjem mrežnih resursa. Češće računalni virus iskorištava jednu ranjivost u usluzi mrežne aplikacije, tako da je promet virusa karakteriziran prisutnošću višestrukih poziva s jedne zaražene IP adrese na više IP adresa na određenom priključku koji odgovara potencijalno ranjivoj usluzi.