Melyek a hálózati támadások fő célpontjai? A hálózati támadások jellemzői. Számítógépes támadások észlelésére szolgáló eszközök

Különös figyelmet érdemelnek a távoli, hálózati támadások. Az ilyen típusú támadások iránti érdeklődést az okozza, hogy az elosztott adatfeldolgozó rendszerek egyre inkább elterjednek a világon. A legtöbb felhasználó az INTERNET hálózat és a TCP/IP protokollverem segítségével távoli erőforrásokkal dolgozik. Az INTERNETet eredetileg a kormányzati szervek és az egyetemek közötti kommunikációra hozták létre az oktatás és a kutatás segítése érdekében, és a hálózat létrehozói nem is sejtették, milyen széles körben fog elterjedni. Ennek eredményeként a specifikációk korábbi verziók Az Internet Protocol (IP) nem tartalmazta a biztonsági követelményeket. Ez az oka annak, hogy sok IP-megvalósítás eredendően sebezhető.

A tanfolyam a következő támadásokat és azok leküzdését tárgyalja.

Szippantásos támadás. A packet sniffer egy olyan alkalmazás, amely egy hálózati kártyát használ promiscuous módban (ebben a módban a fizikai csatornákon fogadott összes csomag hálózati adapter feldolgozásra benyújtott kérelemhez). Ebben az esetben a szippantó elfog minden hálózati csomagot, amelyet egy adott tartományon keresztül továbbítanak. Jelenleg a szippantók teljesen legális alapon működnek hálózatokon. Hibadiagnosztikára és forgalomelemzésre használják. Mivel azonban egyes hálózati alkalmazások szöveges formátumban továbbítanak adatokat (Telnet, FTP, SMTP, POP3 stb.), a szippantó használata hasznos és néha érzékeny információkat (például felhasználóneveket és jelszavakat) tárhat fel.

A bejelentkezés és a jelszó elfogása komoly veszélyt jelent, mivel a felhasználók gyakran ugyanazt a bejelentkezési nevet és jelszót használják több alkalmazáshoz és rendszerhez. Sok felhasználó általában egyetlen jelszóval rendelkezik az összes erőforrás és alkalmazás eléréséhez. Ha az alkalmazás kliens/szerver módban fut, és a hitelesítési adatokat olvasható szöveges formátumban továbbítják a hálózaton, akkor ezek az információk valószínűleg felhasználhatók más vállalati vagy külső erőforrások elérésére. A legrosszabb esetben a támadó rendszerszintű hozzáférést kap egy felhasználói erőforráshoz, és ezzel új felhasználót hoz létre, aki bármikor hozzáférhet a hálózathoz és annak erőforrásaihoz.

A következő eszközök használatával mérsékelheti a csomagszimulálás veszélyét:

Hitelesítés. Az erős hitelesítés az első védekezés a csomagszippelés ellen. Az „erős” alatt olyan hitelesítési módszert értünk, amelyet nehéz megkerülni. Ilyen hitelesítésre példa az egyszeri jelszavak (OTP – egyszeri jelszavak). Az OTP egy kéttényezős hitelesítési technológia. A kéttényezős hitelesítés tipikus példája egy normál ATM működése, amely először is azonosítja Önt műanyag kártya másodszor pedig a beírt PIN kóddal. Az OTP rendszerben történő azonosításhoz PIN kód és személyi kártya is szükséges. A „kártya” (token) olyan hardver- vagy szoftvereszköz, amely (véletlenszerű elven) egyedi, egyszeri jelszót generál. Ha egy támadó egy szippantó segítségével megtudja ezt a jelszót, akkor ez az információ haszontalan lesz, mert ekkor a jelszót már használták és visszavonták. Vegye figyelembe, hogy ez a szippantás elleni küzdelem módszere csak a jelszavak lehallgatása ellen hatékony. Az egyéb információkat (például e-maileket) elfogó szippantó hatásosak maradnak.

Kapcsolt infrastruktúra. A hálózati környezetben történő csomagszippantás elleni küzdelem másik módja a kapcsolt infrastruktúra létrehozása. Ha például az egész szervezet kapcsolt Ethernetet használ, a támadók csak az általuk csatlakoztatott portra érkező forgalomhoz férhetnek hozzá. A kapcsolt infrastruktúra nem szünteti meg a szippantás veszélyét, de jelentősen csökkenti annak súlyosságát.

Szippantásgátlók. A szippantás elleni küzdelem harmadik módja a hálózaton futó szippantókra felismerő hardver vagy szoftver telepítése. Ezek az eszközök nem tudják teljesen kiküszöbölni a fenyegetést, de sok más eszközhöz hasonlóan hálózati biztonság, benne vannak közös rendszer védelem. Az úgynevezett „szippantásgátlók” mérik a gazdagép válaszidejét, és meghatározzák, hogy a gazdagépeknek kell-e feldolgozniuk a „felesleges” forgalmat.

Kriptográfia. A legtöbb hatékony módszer Az anti-csomagszaglás nem akadályozza meg az elfogást, és nem ismeri fel a szippantó munkáit, de használhatatlanná teszi ezt a munkát. Ha a kommunikációs csatorna kriptográfiailag biztonságos, ez azt jelenti, hogy a támadó nem az üzenetet, hanem a titkosított szöveget (vagyis egy érthetetlen bitsorozatot) fogja el.

IP-hamisítási támadás. Ez a támadás akkor következik be, amikor egy támadó vállalaton belül vagy kívül egy jogosult felhasználónak adja ki magát. A hamisított IP-címek használatának legegyszerűbb oka a támadó azon vágya, hogy tevékenységét a hálózati tevékenység óceánjába rejtse. Például az NMAP3 hálózati diagramkészítő eszköz további csomagsorozatokat küld, mindegyik saját hamisított forrás IP-címét használja. Ebben az esetben a támadó tudja, hogy mely IP-címek hamisak, és az egyes szekvenciákban mely csomagok valódiak. A támadás alatt álló rendszer biztonsági rendszergazdája kénytelen lesz elemezni sok hamisított IP-címet, mielőtt meghatározná a támadó valódi IP-címét.

Egy másik ok, amiért a támadók IP-címhamisítást alkalmaznak, az, hogy elrejtse személyazonosságát. A helyzet az, hogy egy IP-cím visszakövethető egy egyedi rendszerre, sőt néha akár egy felhasználóra is. Ezért az IP-hamisítás segítségével a támadó megpróbálja elkerülni az észlelést. A hamis IP-cím használata azonban számos nehézséget okoz a feladónak.

A megtámadott rendszer minden válaszát hamis IP-címre küldi. A válaszok megtekintéséhez vagy fogadásához a támadónak úton kell lennie a feltört gépről a hamisított IP-címre (legalábbis elméletben). Mivel a válasz nem feltétlenül ugyanazon az útvonalon halad, mint a hamisított csomag, a támadó elveszítheti a visszatérő forgalmat. Ennek elkerülése érdekében a támadó beavatkozhat egy vagy több közbenső útválasztóba, amelyek címét hamisításként használják a forgalom másik helyre való átirányítására.

Egy másik megközelítés az, hogy a támadó előre kitalálja a megtámadott gép által használt TCP-sorszámokat. Ebben az esetben nem kell SYN-ACK csomagot fogadnia, mivel egyszerűen generál és küld egy ACK csomagot előre jelzett sorszámmal. Az IP-veremek korai megvalósításai prediktív sorszám-számítási sémákat használtak, ezért érzékenyek voltak a meghamisított TCP-adatfolyamokra. BAN BEN modern megvalósítások A sorozatszámot már nehezebb megjósolni. Az NMAP hálózati diagramkészítő eszköz képes megbecsülni a vizsgált rendszerek sorszámának előrejelzésének nehézségeit.

A harmadik lehetőség szerint a támadó megzavarhatja a szervere és a támadott szerver között elhelyezkedő egy vagy több útválasztó működését. Ez lehetővé teszi, hogy a hamisított IP-címre irányuló válaszforgalmat arra a rendszerre irányítsák, amelyből a behatolás származott. Ha a feltörés befejeződött, az útválasztót elengedik, hogy elfedje a nyomait.

Végül előfordulhat, hogy a támadónak nem áll szándékában válaszolni az áldozattól visszaküldött SYN-ACK csomagra. Ennek két oka lehet. Lehetséges, hogy a támadó félig nyitott port-ellenőrzést hajt végre SYN szkennelés. Ebben az esetben csak a támadott gép kezdeti válasza érdekli. Az RST-ACK jelzőkombináció azt jelenti, hogy a vizsgált port zárva van, a SYN-ACK kombináció pedig azt, hogy nyitva van. A célt elértük, ezért nem kell válaszolni erre a SYN-ACK csomagra. Az is lehetséges, hogy lavinaszerű SYN-hacket hajtanak végre. Ebben az esetben a támadó nemcsak hogy nem válaszol a SYN-ACK vagy RST-ACK csomagokra, de általában nem is érdekli a feltört rendszertől kapott csomagok típusa.

Az IP-hamisító támadások gyakran más támadások kiindulópontjai. Klasszikus példa erre a DoS támadás, amely valaki más címéről indul, elrejti a támadó valódi kilétét.

Az IP-hamisítás jellemzően hamis információk vagy rosszindulatú parancsok beszúrására korlátozódik a kliens és a kiszolgálóalkalmazások közötti normál adatfolyamba vagy a peer eszközök közötti kommunikációs csatornán keresztül.

Amint megjegyeztük, a kétirányú kommunikációhoz a támadónak meg kell változtatnia az összes útválasztási táblát, hogy a forgalmat hamis IP-címre irányítsa. Egyes támadók azonban meg sem próbálnak választ kapni az alkalmazásoktól. Ha a fő feladat a rendszerből való beszerzés fontos fájl, a pályázati válaszok nem számítanak. Ha a támadónak sikerül megváltoztatnia az útválasztási táblákat és hamis IP-címre irányítani a forgalmat, a támadó megkapja az összes csomagot, és úgy válaszolhat rájuk, mintha jogosult felhasználó lenne.

A hamisítás veszélye a következő intézkedésekkel mérsékelhető (de nem küszöbölhető ki):

Hozzáférés-szabályozás. Az IP-hamisítás megelőzésének legegyszerűbb módja a hozzáférés-vezérlés megfelelő konfigurálása. Az IP-hamisítás hatékonyságának csökkentése érdekében be kell állítania a hozzáférés-vezérlést úgy, hogy elutasítsa a külső hálózatról érkező forgalmat, amelynek forráscíme a hálózaton belül kell hogy legyen. Vegye figyelembe, hogy ez segít az IP-hamisítás elleni küzdelemben, ahol csak a belső címek engedélyezettek. Ha néhány külső hálózati cím is engedélyezett, ez a módszer hatástalanná válik.

RFC 2827 szűrés: A védett hálózat felhasználóinak külföldi hálózatok meghamisítására irányuló kísérletei leállnak, ha a rendszer elutasítja a kimenő forgalmat, amelynek forráscíme nem a védett szervezet IP-címei közé tartozik. Ezt az RFC 2827 néven ismert szűrést az Ön internetszolgáltatója (ISP) is végrehajthatja. Ennek eredményeként minden olyan forgalom elutasításra kerül, amely nem rendelkezik egy adott felületen várható forráscímmel. Például, ha az internetszolgáltató kapcsolatot biztosít a 15.1.1.0/24 IP-címhez, beállíthatja a szűrőt úgy, hogy ennek a felületnek Az internetszolgáltató útválasztójába csak a 15.1.1.0/24 címről érkező forgalom engedélyezett. Vegye figyelembe, hogy amíg minden szolgáltató nem alkalmazza ezt a fajta szűrést, a hatékonysága a lehetségesnél jóval alacsonyabb lesz. Ezenkívül minél távolabb van a szűrt eszközöktől, annál nehezebb a pontos szűrés. Például az RFC 2827 szűrés a hozzáférési útválasztó szintjén megköveteli az összes forgalom átadását a fő hálózati címről (10.0.0.0/8), míg az elosztási szinten (ebben az architektúrában) lehetőség van a forgalom pontosabb korlátozására (cím - 10.1 .5.0/24 ).

Az IP-hamisítás csak akkor működik, ha a hitelesítés IP-címeken alapul. Ezért a további hitelesítési módszerek bevezetése használhatatlanná teszi az ilyen típusú támadásokat. A legjobb kilátás a további hitelesítés kriptográfiai. Ha ez nem lehetséges, jó eredményeket lehet elérni kéttényezős hitelesítés egyszeri jelszavak használatával.

Szolgáltatásmegtagadás (DoS). A DoS kétségtelenül a legismertebb támadási forma. Ráadásul az ilyen típusú támadások ellen a legnehezebb 100%-os védelmet létrehozni. A megvalósítás egyszerűsége és az okozott óriási károk felkeltik a hálózati biztonságért felelős rendszergazdák figyelmét a DoS-re. A legtöbb ismert fajtái A támadások a következők: TCP SYN Flood; Ping of Death; Tribe Flood Network (TFN) és Tribe Flood Network 2000 (TFN2K); Trinco; Stacheldracht; Szentháromság.

Ezekkel a támadásokkal kapcsolatos információforrás a Computer Emergency Response Team (CERT), amely a DoS támadások elleni küzdelemről tett közzé munkát.

A DoS támadások különböznek a többi támadástípustól. Nem célja az Ön hálózatához való hozzáférés vagy bármilyen információ beszerzése a hálózatról. A DoS támadás a hálózat, az operációs rendszer vagy az alkalmazás megengedett határainak túllépésével elérhetetlenné teszi a hálózatot normál használatra. Egyes kiszolgálóalkalmazások (például webszerver vagy FTP-szerver) esetében a DoS-támadások magukban foglalhatják az alkalmazások számára elérhető összes kapcsolat átvételét és lefoglalását, ami megakadályozza a normál felhasználók kiszolgálását. A DoS támadások olyan általános internetes protokollokat használhatnak, mint a TCP és az ICMP (Internet Control Message Protocol).

A legtöbb DoS támadás nem szoftverhibákon vagy biztonsági réseken alapul, hanem a rendszer architektúrájának általános gyengeségein. Egyes támadások megbénítják a hálózat teljesítményét azáltal, hogy nem kívánt és szükségtelen csomagokkal vagy félrevezető információkkal árasztják el a hálózati erőforrások aktuális állapotáról. Ezt a fajta támadást nehéz megakadályozni, mert egyeztetést igényel az internetszolgáltatóval. Ha a hálózat elárasztására szánt forgalom nem áll le a szolgáltatónál, akkor ezt a hálózat bejáratánál már nem lehet megtenni, mert a teljes sávszélességet lefoglalják. Ha az ilyen típusú támadásokat egyszerre több eszközön keresztül hajtják végre, akkor elosztott DoS támadásról (DDoS) beszélünk.

A DoS támadások veszélye háromféleképpen mérsékelhető:

Hamisítás elleni funkciók. Az útválasztókon és a tűzfalakon a hamisítás elleni funkciók megfelelő konfigurálása segít csökkenteni a DoS kockázatát. Ezeknek a szolgáltatásoknak tartalmazniuk kell legalább az RFC 2827 szűrést. Ha a támadó nem tudja elrejteni valódi személyazonosságát, nem valószínű, hogy támadást hajt végre.

Anti-DoS funkciók. Az útválasztókon és tűzfalakon az anti-DoS szolgáltatások megfelelő beállítása korlátozhatja a támadások hatékonyságát. Ezek a funkciók gyakran korlátozzák az adott időpontban félig nyitott csatornák számát.

Forgalomkorlátozás. Egy szervezet kérheti internetszolgáltatóját (ISP), hogy korlátozza a forgalom mennyiségét. Ez a fajta szűrés lehetővé teszi a hálózaton áthaladó, nem kritikus forgalom mennyiségének korlátozását. Gyakori példa a hangerőkorlátozás ICMP forgalom, amelyet csak diagnosztikai célokra használnak. (D) A DoS támadások gyakran használnak ICMP-t.

Jelszavas támadások. A támadók számos módszerrel hajthatnak végre jelszavas támadásokat, például brute force támadásokkal, trójai falókkal, IP-hamisítással és csomagszimulással. Bár a bejelentkezési név és a jelszó gyakran megszerezhető IP-hamisítással és csomagszimulációval, a hackerek gyakran többszörös hozzáférési kísérletekkel próbálják kitalálni a jelszót és bejelentkezni. Ezt a megközelítést ún egyszerű keresés(brute force támadás).

Az ilyen támadások gyakran egy speciális programot használnak, amely megpróbál hozzáférni egy nyilvános erőforráshoz (például egy szerverhez). Ha ennek eredményeként a támadó hozzáfér az erőforrásokhoz, jogokkal szerzi meg azt rendszeres felhasználó, akinek a jelszavát kitalálták. Ha ez a felhasználó jelentős hozzáférési jogosultságokkal rendelkezik, a támadó létrehozhat magának egy „bérletet” a jövőbeni hozzáféréshez, amely akkor is érvényben marad, ha a felhasználó megváltoztatja jelszavát és bejelentkezési adatait.

Egy másik probléma akkor merül fel, ha a felhasználók ugyanazt a (sőt nagyon jó) jelszót használják számos rendszer eléréséhez: vállalati, személyes és internetes rendszerekhez. Mivel a jelszó csak olyan erős, mint a leggyengébb gazdagép, a támadó, aki megtanulja a jelszót azon a gazdagépen keresztül, hozzáfér az összes többi rendszerhez, amely ugyanazt a jelszót használja.

Először is a jelszavas támadások elkerülhetők, ha nem használunk jelszavakat szöveges formában. Az egyszeri jelszavak és/vagy a kriptográfiai hitelesítés gyakorlatilag kiküszöbölheti az ilyen támadások veszélyét. Sajnos nem minden alkalmazás, gazdagép és eszköz támogatja a fenti hitelesítési módszereket.

Ha hagyományos jelszavakat használ, próbáljon meg olyan jelszót találni, amelyet nehéz kitalálni. A jelszó minimális hosszának legalább nyolc karakternek kell lennie. A jelszónak tartalmaznia kell a karaktereket nagybetűs, számok és Különleges szimbólumok(#, %, $ stb.). A legjobb jelszavakat nehéz kitalálni, és nehéz megjegyezni, ezért a felhasználóknak papírra kell írniuk a jelszavakat. Ennek elkerülése érdekében a felhasználók és a rendszergazdák számos közelmúltbeli technológiai fejlesztést használhatnak ki. Így például vannak alkalmazási programok, amelyek a zsebszámítógépen tárolható jelszavak listáját titkosítják. Ennek eredményeként a felhasználónak csak egy összetett jelszót kell megjegyeznie, míg az összes többi jelszót megbízhatóan védi az alkalmazás.

Man-in-the-Middle támadások. Man-in-the-Middle támadás esetén a támadónak hozzá kell férnie a hálózaton keresztül továbbított csomagokhoz. Ilyen hozzáférést a szolgáltatótól bármely másik hálózathoz továbbított összes csomaghoz például a szolgáltató alkalmazottja szerezhet. Az ilyen típusú támadásokhoz gyakran használnak csomagszimulálókat, szállítási protokollokat és útválasztási protokollokat. A támadások célja információk ellopása, az aktuális munkamenet lehallgatása és a magánhálózati erőforrásokhoz való hozzáférés a forgalom elemzése és a hálózatról és felhasználóiról való információszerzés, DoS támadások végrehajtása, a továbbított adatok torzítása és jogosulatlan információk bevitele céljából. hálózati munkamenetek.

Az ember a középső támadások ellen csak titkosítással lehet hatékonyan felvenni a harcot. Ha egy támadó elkap egy titkosított munkamenetből származó adatokat, akkor a képernyőjén nem az elfogott üzenet, hanem egy értelmetlen karakterkészlet jelenik meg. Ne feledje, hogy ha egy támadó információt szerez a kriptográfiai munkamenetről (például a munkamenet kulcsát), akkor ez még titkosított környezetben is lehetővé teheti a Man-in-the-Middle támadást.

Alkalmazás szintű támadások. Az alkalmazásszintű támadások többféle módon hajthatók végre. A leggyakoribb a szerverszoftverek (sendmail, HTTP, FTP) jól ismert gyenge pontjainak kihasználása. Ezen gyengeségek segítségével a támadók az alkalmazást futtató felhasználó nevében férhetnek hozzá a számítógéphez (ez általában nem egy egyszerű felhasználó, hanem egy jogosultságokkal rendelkező rendszergazda rendszer hozzáférés). Az alkalmazásszintű támadásokkal kapcsolatos információkat széles körben teszik közzé, hogy az adminisztrátorok javító modulok (javítások, javítások) segítségével kijavíthassák a problémát. Sajnos sok támadó is hozzáfér ezekhez az információkhoz, ami lehetővé teszi számukra a tanulást.

Az alkalmazásszintű támadások fő problémája az, hogy gyakran olyan portokat használnak, amelyek áthaladhatnak a tűzfalon. Az alkalmazásszintű támadásokat nem lehet teljesen kiküszöbölni.

06/20/05 37,3K

Az internet teljesen megváltoztatja életmódunkat: munka, tanulás, szabadidő. Ezek a változások mind az általunk már ismert területeken (elektronikus kereskedelem, valós idejű információkhoz való hozzáférés, megnövekedett kommunikációs képességek stb.), mind azokon a területeken fognak bekövetkezni, amelyekről még nincs elképzelésünk.

Eljöhet az idő, amikor a vállalat mindenét megtermeli telefonhívások az interneten keresztül, és teljesen ingyenes. A magánéletben speciális weboldalak jelenhetnek meg, amelyek segítségével a szülők bármikor tájékozódhatnak gyermekeik állapotáról. Társadalmunk most kezdi felismerni az internet korlátlan lehetőségeit.

Bevezetés

Az internet népszerűségének óriási növekedésével egyidejűleg a személyes adatok, kritikus vállalati erőforrások, államtitkok stb. nyilvánosságra hozatalának soha nem látott veszélye merül fel.

A hackerek nap mint nap fenyegetik ezeket az erőforrásokat azzal, hogy speciális támadásokkal próbálnak hozzáférni, amelyek egyrészt fokozatosan kifinomultabbak, másrészt könnyebben végrehajthatók. Ehhez két fő tényező járul hozzá.

Először is, ez az internet széles körű elterjedése. Ma több millió eszköz csatlakozik az internethez, és a közeljövőben sok millió eszköz csatlakozik az internetre, így egyre valószínűbb, hogy a hackerek sebezhető eszközökhöz jutnak.

Ezen túlmenően az internet széles körben elterjedt használata lehetővé teszi a hackerek számára, hogy globális szinten cseréljenek információt. Egy egyszerű keresés olyan kulcsszavakkal, mint a „hacker”, „hacking”, „hack”, „crack” vagy „phreak”, több ezer webhelyet eredményez, amelyek közül sok megtalálható rosszindulatú kódokés felhasználásuk módjai.

Másodszor, ez a könnyen használható legszélesebb körű elosztása operációs rendszerés fejlesztői környezetek. Ez a tényező élesen csökkenti a hacker által igényelt ismeretek és készségek szintjét. Korábban a könnyen használható alkalmazások létrehozásához és terjesztéséhez a hackernek jó programozási ismeretekkel kellett rendelkeznie.

Most, hogy hozzáférjen egy hacker eszközéhez, csak a kívánt webhely IP-címét kell ismernie, a támadás végrehajtásához pedig csak egy kattintás az egérrel.

A hálózati támadások osztályozása

A hálózati támadások ugyanolyan változatosak, mint az általuk megcélzott rendszerek. Egyes támadások nagyon összetettek, míg mások egy hétköznapi operátor lehetőségei közé tartoznak, aki nem is sejti tevékenységének következményeit. A támadások típusának értékeléséhez ismernie kell a TPC/IP protokoll bizonyos korlátait. Háló

Az internetet a kormányzati szervek és az egyetemek közötti kommunikációra hozták létre, hogy segítse az oktatási folyamatot és a tudományos kutatást. A hálózat létrehozói nem is sejtették, milyen széles körben fog elterjedni. Ennek eredményeként az Internet Protokoll (IP) korai verzióinak specifikációiból hiányoztak a biztonsági követelmények. Ez az oka annak, hogy sok IP-megvalósítás eredendően sebezhető.

Sok év elteltével, sok panasz (Request for Comments, RFC) után végre elkezdték bevezetni az IP-re vonatkozó biztonsági intézkedéseket. Mivel azonban az IP-protokoll biztonsági intézkedéseit eredetileg nem fejlesztették ki, minden megvalósítását számos hálózati eljárással, szolgáltatással és termékkel kezdték kiegészíteni, amelyek csökkentik a protokollban rejlő kockázatokat. Ezután röviden áttekintjük az IP-hálózatok ellen általánosan használt támadástípusokat, és felsoroljuk a leküzdés módjait.

Csomag szippantó

A packet sniffer egy olyan alkalmazásprogram, amely promiscuous módban működő hálózati kártyát használ (ebben az üzemmódban a hálózati adapter minden fizikai csatornán fogadott csomagot elküld az alkalmazásnak feldolgozásra).

Ebben az esetben a szippantó elfog minden hálózati csomagot, amelyet egy adott tartományon keresztül továbbítanak. Jelenleg a szippantók teljesen legális alapon működnek hálózatokon. Hibadiagnosztikára és forgalomelemzésre használják. Mivel azonban egyes hálózati alkalmazások szöveges formátumban továbbítanak adatokat ( Telnet, FTP, SMTP, POP3 stb..), egy szippantó segítségével hasznos és esetenként bizalmas információkat is megtudhat (például felhasználóneveket és jelszavakat).

A bejelentkezés és a jelszó elfogása komoly veszélyt jelent, mivel a felhasználók gyakran ugyanazt a bejelentkezési nevet és jelszót használják több alkalmazáshoz és rendszerhez. Sok felhasználó általában egyetlen jelszóval rendelkezik az összes erőforrás és alkalmazás eléréséhez.

Ha az alkalmazás kliens-szerver módban fut, és a hitelesítési adatok olvasható szöveges formátumban kerülnek továbbításra a hálózaton, akkor ezek az információk nagy valószínűséggel felhasználhatók más vállalati vagy külső erőforrások elérésére. A hackerek túl jól ismerik és kihasználják az emberi gyengeségeket (a támadási módszerek gyakran social engineering módszereken alapulnak).

Tisztában vannak azzal, hogy ugyanazt a jelszót használjuk sok forrás eléréséhez, ezért gyakran sikerül nekik, miután megtanulták a jelszavunkat, hozzáférni fontos információ. A legrosszabb esetben a hacker rendszerszintű hozzáférést kap egy felhasználói erőforráshoz, és ezzel új felhasználót hoz létre, aki bármikor hozzáférhet a hálózathoz és annak erőforrásaihoz.

A következő eszközök használatával csökkentheti a csomagszippantás veszélyét::

Hitelesítés. Az erős hitelesítés a legfontosabb védelem a csomagszippelés ellen. Az „erős” alatt olyan hitelesítési módszereket értünk, amelyeket nehéz megkerülni. Ilyen hitelesítésre példa az egyszeri jelszavak (OTP).

Az OTP egy kéttényezős hitelesítési technológia, amely egyesíti azt, amivel rendelkezel, amit tudsz. A kéttényezős azonosítás tipikus példája egy hagyományos ATM működése, amely egyrészt a plasztikkártyája, másrészt a beírt PIN kódja alapján azonosítja Önt. Az OTP rendszerben történő azonosításhoz PIN kód és személyi kártya is szükséges.

A „kártya” (token) alatt olyan hardver- vagy szoftvereszközt értünk, amely (véletlenszerű elven) egyedi, egyszeri jelszót generál. Ha egy hacker egy szippantó segítségével megtudja ezt a jelszót, akkor ez az információ haszontalan lesz, mivel abban a pillanatban a jelszó már használatban van és visszavonult.

Ne feledje, hogy ez a szippantás elleni küzdelem módszere csak jelszóelhallgatás esetén hatásos. Az egyéb információkat (például e-maileket) elfogó szippantó hatásosak maradnak.

Kapcsolt infrastruktúra. A hálózati környezetben a csomagszippantás elleni küzdelem másik módja egy kapcsolt infrastruktúra létrehozása. Ha például az egész szervezet betárcsázós Ethernetet használ, a hackerek csak az általuk csatlakoztatott portra érkező forgalomhoz férhetnek hozzá. A kapcsolt infrastruktúra nem szünteti meg a szippantás veszélyét, de jelentősen csökkenti annak súlyosságát.

Szippantásgátlók. A szippantás elleni küzdelem harmadik módja az, ha olyan hardvert vagy szoftvert telepítünk, amely felismeri a hálózaton futó szippantókat. Ezek az eszközök nem tudják teljesen kiküszöbölni a fenyegetést, de sok más hálózati biztonsági eszközhöz hasonlóan a teljes védelmi rendszer részét képezik. A szippantásgátlók mérik a gazdagép válaszidejét, és megállapítják, hogy a gazdagépeknek kell-e feldolgozniuk a felesleges forgalmat. Az egyik ilyen termék, amely a LOpht Heavy Industries-től kapható, az AntiSniff.

Kriptográfia. Ez a leghatékonyabb módja a csomagszippantás elleni küzdelemnek, bár nem akadályozza meg a lehallgatást, és nem ismeri fel a szippantásos személyek munkáját, de használhatatlanná teszi ezt a munkát. Ha a kommunikációs csatorna kriptográfiailag biztonságos, akkor a hacker nem az üzenetet fogja el, hanem a titkosított szöveget (vagyis egy érthetetlen bitsorozatot). A Cisco hálózati réteg titkosítása az IPSec protokollon alapul, amely az szabványos módszer biztonságos kommunikáció az eszközök között az IP protokoll használatával. Más kriptográfiai hálózatkezelési protokollok közé tartozik az SSH (Secure Shell) és az SSL (Secure Socket Layer) protokoll.

IP-hamisítás

Az IP-címhamisítás akkor fordul elő, amikor egy vállalaton belüli vagy kívüli hacker egy jogosult felhasználónak adja ki magát. Ezt kétféleképpen lehet megtenni: a hacker használhat olyan IP-címet, amely az engedélyezett IP-címek tartományán belül van, vagy olyan engedélyezett külső címet, amely hozzáférést biztosít bizonyos hálózati erőforrásokhoz.

Az IP-hamisító támadások gyakran más támadások kiindulópontjai. Klasszikus példa erre a DoS támadás, amely valaki más címéről indul, elrejti a hacker valódi kilétét.

Az IP-hamisítás jellemzően hamis információk vagy rosszindulatú parancsok beszúrására korlátozódik a kliens és a kiszolgálóalkalmazások közötti normál adatfolyamba vagy a peer eszközök közötti kommunikációs csatornán keresztül.

A kétirányú kommunikációhoz a hackernek módosítania kell az összes útválasztási táblát, hogy a forgalmat a hamis IP-címre irányítsa. Egyes hackerek azonban meg sem próbálnak választ kapni az alkalmazásoktól – ha a fő cél egy fontos fájl beszerzése a rendszerből, akkor az alkalmazások válaszai nem számítanak.

Ha egy hackernek sikerül megváltoztatnia az útválasztási táblákat és hamis IP-címre irányítani a forgalmat, akkor minden csomagot megkap, és úgy tud válaszolni rájuk, mintha jogosult felhasználó lenne.

A hamisítás veszélye a következő intézkedésekkel mérsékelhető (de nem küszöbölhető ki):

• Hozzáférés-szabályozás. Az IP-hamisítás megelőzésének legegyszerűbb módja a hozzáférés-vezérlés megfelelő konfigurálása. Az IP-hamisítás hatékonyságának csökkentése érdekében konfigurálja a hozzáférés-vezérlést úgy, hogy elutasítsa a külső hálózatról érkező forgalmat, amelynek forráscíme a hálózaton belül kell hogy legyen.

  Igaz, ez segít az IP-hamisítás elleni küzdelemben, amikor csak a belső címek engedélyezettek; ha néhány külső hálózati cím is engedélyezett, ez a módszer hatástalanná válik;

• RFC 2827 szűrés. Megakadályozhatja a hálózat felhasználóit abban, hogy hamisítsák mások hálózatait (és jó online állampolgárokká váljanak). Ehhez vissza kell utasítania minden olyan kimenő forgalmat, amelynek forráscíme nem a szervezet IP-címe.

  Ezt az RFC 2827 néven ismert szűrést az Ön internetszolgáltatója (ISP) is végrehajthatja. Ennek eredményeként minden olyan forgalom elutasításra kerül, amely nem rendelkezik egy adott felületen várható forráscímmel. Például, ha egy internetszolgáltató kapcsolatot biztosít a 15.1.1.0/24 IP-címhez, beállíthat egy szűrőt úgy, hogy csak a 15.1.1.0/24-ből származó forgalom legyen engedélyezett az adott interfészről az internetszolgáltató útválasztójához.

Vegye figyelembe, hogy amíg minden szolgáltató nem alkalmazza ezt a fajta szűrést, a hatékonysága a lehetségesnél jóval alacsonyabb lesz. Ezenkívül minél távolabb van a szűrt eszközöktől, annál nehezebb a pontos szűrés. Például az RFC 2827 szűrés a hozzáférési útválasztó szintjén megköveteli az összes forgalom átadását a fő hálózati címről (10.0.0.0/8), míg az elosztási szinten (egy adott architektúrában) lehetőség van a forgalom pontosabb korlátozására (cím - 10.1.5.0/24).

A legtöbb hatékony módszer Az IP-hamisítás elleni küzdelem ugyanaz, mint a csomagszippelés esetében: a támadást teljesen hatástalanná kell tenni. Az IP-hamisítás csak akkor működik, ha a hitelesítés IP-címeken alapul.

Ezért a további hitelesítési módszerek bevezetése használhatatlanná teszi az ilyen támadásokat. A kiegészítő hitelesítés legjobb típusa a kriptográfiai. Ha ez nem lehetséges, az egyszeri jelszavakkal végzett kéttényezős hitelesítés jó eredményeket adhat.

Szolgáltatás megtagadása

A szolgáltatásmegtagadás (DoS) kétségtelenül a legismertebb forma hacker támadások. Ráadásul az ilyen típusú támadások ellen a legnehezebb 100%-os védelmet létrehozni. A hackerek körében a DoS támadások gyerekjátéknak számítanak, használatuk megvető vigyorokat vált ki, hiszen a DoS megszervezése minimális tudást és készségeket igényel.

Mindazonáltal a DoS pontosan a könnyű implementáció és az okozott károk óriási mértéke vonzza magára a hálózatbiztonságért felelős rendszergazdák figyelmét. Ha többet szeretne megtudni a DoS támadásokról, vegye figyelembe a leghíresebb típusokat, nevezetesen:

• TCP SYN Flood;
• Ping of Death;
• Tribe Flood Network (TFN) és Tribe Flood Network 2000 (TFN2K);
• Trinco;
• Stacheldracht;
• Szentháromság.

A biztonsági információk kiváló forrása a Computer Emergency Response Team (CERT), amely közzétette Nagyszerű munka a DoS támadások leküzdésére.

A DoS támadások különböznek a többi támadástípustól. Nem céljuk a hálózathoz való hozzáférés, és nem az információszerzés a hálózatról, de a DoS támadás a hálózat, az operációs rendszer vagy az alkalmazás megengedett korlátait túllépve elérhetetlenné teszi a hálózatát a normál használatra.

Egyes kiszolgálóalkalmazások (például webszerver vagy FTP-szerver) esetében a DoS-támadások magukban foglalhatják az alkalmazások számára elérhető összes kapcsolat átvételét és lefoglalását, ami megakadályozza a hétköznapi felhasználók kiszolgálását. A DoS támadások olyan általános internetes protokollokat használhatnak, mint a TCP és az ICMP ( Internet Control Message Protocol).

A legtöbb DoS támadás nem szoftverhibákat vagy biztonsági lyukakat céloz, hanem a rendszer architektúrájának általános gyengeségeit. Egyes támadások megbénítják a hálózat teljesítményét azáltal, hogy nem kívánt és szükségtelen csomagokkal vagy félrevezető információkkal árasztják el a hálózati erőforrások aktuális állapotáról.

Ezt a fajta támadást nehéz megakadályozni, mert egyeztetést igényel a szolgáltatóval. Ha nem állítja le a szolgáltatónál a hálózat túlterhelésére irányuló forgalmat, akkor ezt a hálózat bejáratánál már nem tudja megtenni, mivel a teljes sávszélességet lefoglalják. Amikor a támadás ebből a típusból egyidejűleg sok eszközön keresztül hajtják végre, elosztott DoS támadásról beszélünk (elosztott DoS, DDoS).

A DoS támadások veszélye háromféleképpen csökkenthető:

• Hamisítás elleni funkciók. Az útválasztókon és a tűzfalakon a hamisítás elleni funkciók megfelelő konfigurálása segít csökkenteni a DoS kockázatát. Ezeknek a funkcióknak tartalmazniuk kell legalább az RFC 2827 szűrést. Ha egy hacker nem tudja leplezni valódi kilétét, nem valószínű, hogy támadást hajt végre.
• Anti-DoS funkciók. Az útválasztókon és tűzfalakon az anti-DoS szolgáltatások megfelelő beállítása korlátozhatja a támadások hatékonyságát. Ezek a funkciók gyakran korlátozzák az adott időpontban félig nyitott csatornák számát.
• Forgalomkorlátozás. Egy szervezet kérheti internetszolgáltatóját (ISP), hogy korlátozza a forgalom mennyiségét. Ez a fajta szűrés lehetővé teszi a hálózaton áthaladó, nem kritikus forgalom mennyiségének korlátozását. Tipikus példa az ICMP-forgalom mennyiségének korlátozása, amelyet csak diagnosztikai célokra használnak. (D) A DoS támadások gyakran használnak ICMP-t.

Jelszavas támadások

A hackerek számos módszerrel hajthatnak végre jelszavas támadásokat, például brute force támadást, trójai falót, IP-hamisítást és csomagszimulást. Bár a bejelentkezési név és a jelszó gyakran megszerezhető IP-hamisítással és csomagszimulációval, a hackerek gyakran többszörös hozzáférési kísérletekkel próbálják kitalálni a jelszót és bejelentkezni. Ezt a megközelítést egyszerű keresésnek (brute force attack) nevezik.

Az ilyen támadások gyakran egy speciális programot használnak, amely megpróbál hozzáférni egy nyilvános erőforráshoz (például egy szerverhez). Ha ennek eredményeként a hacker hozzáférést kap az erőforrásokhoz, akkor azt egy szokásos felhasználó jogaival kapja meg, akinek a jelszavát kiválasztották.

Ha ez a felhasználó jelentős hozzáférési jogosultságokkal rendelkezik, a hacker létrehozhat egy "pass"-ot a jövőbeni hozzáféréshez, amely akkor is érvényes marad, ha a felhasználó megváltoztatja jelszavát és bejelentkezési nevét.

Egy másik probléma akkor merül fel, ha a felhasználók ugyanazt a (sőt nagyon jó) jelszót használják számos rendszer eléréséhez: vállalati, személyes és internetes rendszerekhez. Mivel a jelszó erőssége megegyezik a leggyengébb gazdagép erejével, a jelszót ezen a gazdagépen keresztül megtanuló hacker hozzáfér az összes többi rendszerhez, ahol ugyanazt a jelszót használják.

A jelszavas támadások elkerülhetők, ha nem használunk egyszerű szöveges jelszavakat. Az egyszeri jelszavak és/vagy a kriptográfiai hitelesítés gyakorlatilag kiküszöbölheti az ilyen támadások veszélyét. Sajnos nem minden alkalmazás, gazdagép és eszköz támogatja a fenti hitelesítési módszereket.

Ha hagyományos jelszavakat használ, próbáljon meg olyat találni, amelyet nehéz lenne kitalálni. A jelszó minimális hosszának legalább nyolc karakternek kell lennie. A jelszónak tartalmaznia kell nagybetűket, számokat és speciális karaktereket (#, %, $ stb.).

A legjobb jelszavakat nehéz kitalálni, és nehéz megjegyezni, ezért a felhasználók papírra kényszerítik őket. Ennek elkerülése érdekében a felhasználók és a rendszergazdák számos legújabb technológiai fejlesztést használhatnak.

Léteznek például olyan alkalmazási programok, amelyek a zsebszámítógépben tárolható jelszavak listáját titkosítják. Ennek eredményeként a felhasználónak csak egy összetett jelszóra kell emlékeznie, míg az összes többit megbízhatóan védi az alkalmazás.

Az adminisztrátor számos módszert kínál a jelszókitalálás elleni küzdelemre. Az egyik az L0phtCrack eszköz használata, amelyet a hackerek gyakran használnak jelszavak kitalálására Windows környezet N.T. Ez az eszköz gyorsan megmutatja, hogy a felhasználó által választott jelszó könnyen kitalálható-e. További információ beszerezhető a http://www.l0phtcrack.com/ webhelyről.

Man-in-the-Middle támadások

A Man-in-the-Middle támadáshoz a hackernek hozzá kell férnie a hálózaton keresztül továbbított csomagokhoz. Ilyen hozzáférést a szolgáltatótól bármely másik hálózathoz továbbított összes csomaghoz például a szolgáltató alkalmazottja szerezhet. Az ilyen típusú támadásokhoz gyakran használnak csomagszimulálókat, szállítási protokollokat és útválasztási protokollokat.

A támadások célja információk ellopása, az aktuális munkamenet lehallgatása és a privát hálózati erőforrásokhoz való hozzáférés, a forgalom elemzése és a hálózatról és annak felhasználóiról való információszerzés, DoS támadások végrehajtása, a továbbított adatok torzítása és jogosulatlan információk bevitele. hálózati munkamenetekbe.

Az ember a középső támadások ellen csak titkosítással lehet hatékonyan felvenni a harcot. Ha egy hacker elkap egy titkosított munkamenetből származó adatokat, akkor a képernyőjén nem az elfogott üzenet jelenik meg, hanem egy értelmetlen karakterkészlet. Ne feledje, hogy ha egy hacker információt szerez egy kriptográfiai munkamenetről (például egy munkamenet-kulcsot), akkor ez még titkosított környezetben is lehetővé teheti a Man-in-the-Middle támadást.

Alkalmazás szintű támadások

Az alkalmazásszintű támadások többféle módon hajthatók végre. Ezek közül a leggyakoribb a szerverszoftverek jól ismert gyengeségeinek felhasználása (sendmail, HTTP, FTP). Ezeket a gyengeségeket kihasználva a hackerek az alkalmazást futtató felhasználóként (általában nem normál felhasználóként, hanem kiváltságos rendszergazdaként, rendszer-hozzáférési jogokkal) férhetnek hozzá a számítógéphez.

Az alkalmazásszintű támadásokkal kapcsolatos információkat széles körben teszik közzé, hogy az adminisztrátorok javítsák a hibát javító modulok (javítások) segítségével. Sajnos sok hacker is hozzáfér ezekhez az információkhoz, ami lehetővé teszi számukra a fejlődést.

Az alkalmazásszintű támadásokkal kapcsolatos fő probléma az, hogy a hackerek gyakran olyan portokat használnak, amelyek áthaladhatnak a tűzfalon. Például egy hacker, aki kihasználja a webszerver egy ismert gyengeségét, gyakran a 80-as portot használja a TCP-támadások során.Mivel a webszerver weblapokat biztosít a felhasználóknak, a tűzfalnak hozzáférést kell biztosítania ehhez a porthoz. A tűzfal szempontjából a támadást a 80-as porton szokásos forgalomként kezelik.

Az alkalmazásszintű támadásokat nem lehet teljesen kiküszöbölni. A hackerek folyamatosan új sebezhetőségeket fedeznek fel és tesznek közzé az internetes alkalmazásprogramokban. Itt a legfontosabb a jó rendszeradminisztráció. Íme néhány intézkedés, amellyel csökkentheti az ilyen típusú támadásokkal szembeni sebezhetőségét:

• operációs rendszer és hálózati naplófájlok olvasása és/vagy elemzése speciális elemző alkalmazásokkal;
• Iratkozzon fel az alkalmazás sebezhetőségi jelentési szolgáltatására: Bugtrad (http://www.securityfocus.com).

Hálózati intelligencia

A hálózati intelligencia a hálózati információk nyilvánosan elérhető adatok és alkalmazások segítségével történő gyűjtését jelenti. Egy hálózat elleni támadás előkészítésekor a hacker általában megpróbál a lehető legtöbb információt megszerezni róla. A hálózat felderítése DNS-lekérdezések, ping-ek és port-ellenőrzések formájában történik.

A DNS-lekérdezések segítenek megérteni, hogy kinek a tulajdonosa egy adott tartomány, és milyen címek vannak hozzárendelve az adott tartományhoz. Ping címek kiderült innen DNS használatával, lehetővé teszi annak megtekintését, hogy egy adott környezetben mely gazdagépek futnak valójában. Miután megkapta a gazdagépek listáját, a hacker portellenőrző eszközöket használ a fordításhoz teljes lista ezek a gazdagépek által támogatott szolgáltatások. Végül a hacker elemzi a gazdagépeken futó alkalmazások jellemzőit. Ennek eredményeként olyan információkhoz jut, amelyek felhasználhatók a hackeléshez.

Lehetetlen teljesen megszabadulni a hálózati intelligenciától. Ha például letiltja az ICMP echo és echo reply funkciót a szélső útválasztókon, akkor megszabadul a ping teszteléstől, de elveszíti a hálózati hibák diagnosztizálásához szükséges adatokat.

Ezenkívül előzetes ping-tesztelés nélkül is átvizsgálhatja a portokat - ez csak több időt vesz igénybe, mivel nem létező IP-címeket kell megvizsgálnia. A hálózati és gazdagép szintű IDS-rendszerek általában jó munkát végeznek, amikor figyelmeztetik a rendszergazdákat a folyamatban lévő hálózatfelderítésre, lehetővé téve számukra, hogy jobban felkészüljenek egy közelgő támadásra, és figyelmeztessék az internetszolgáltatót (ISP), amelynek hálózatára a rendszer túlzottan kíváncsi:

1. használja az operációs rendszerek és alkalmazások legújabb verzióit, valamint a legújabb javító modulokat (javító modulokat);
2. A rendszeradminisztráció mellett használjon támadásérzékelő rendszereket (IDS) – két egymást kiegészítő ID technológiát:
   • A Network IDS System (NIDS) egy adott tartományon áthaladó összes csomagot figyel. Amikor a NIDS rendszer egy ismert vagy valószínű támadás aláírásával megegyező csomagot vagy csomagok sorozatát látja, riasztást generál és/vagy megszakítja a munkamenetet;
   • Az IDS rendszer (HIDS) szoftverügynökök segítségével védi a gazdagépet. Ez a rendszer csak egyetlen gazdagép elleni támadásokkal küzd.

Munkájuk során az IDS rendszerek támadási szignatúrákat használnak, amelyek bizonyos támadások vagy támadástípusok profiljai. Az aláírások határozzák meg azokat a feltételeket, amelyek mellett a forgalom hackernek minősül. Az IDS analógjai a fizikai világban figyelmeztető rendszernek vagy térfigyelő kamerának tekinthetők.

Az IDS legnagyobb hátránya, hogy képesek riasztást generálni. A téves riasztások számának minimalizálása és az IDS rendszer megfelelő működésének biztosítása érdekében a rendszer gondos konfigurálása szükséges.

A bizalom megsértése

Szigorúan véve ez a fajta akció nem a szó teljes értelmében támadás vagy támadás. A hálózatban létező bizalmi kapcsolatok rosszindulatú kihasználását jelenti. Az ilyen visszaélések klasszikus példája a vállalati hálózat perifériás részének helyzete.

Ez a szegmens gyakran található DNS szerverek, SMTP és HTTP. Mivel mindegyik ugyanahhoz a szegmenshez tartozik, bármelyikük feltörése az összes többi feltöréséhez vezet, mivel ezek a szerverek megbíznak a hálózatukon lévő többi rendszerben.

Egy másik példa a tűzfal külső oldalára telepített rendszer, amely bizalmi kapcsolatban áll a tűzfal belsejében telepített rendszerrel. Ha egy külső rendszert feltörnek, a hacker a bizalmi kapcsolat segítségével behatolhat a tűzfallal védett rendszerbe.

A bizalom megsértésének kockázata csökkenthető a hálózaton belüli bizalomszint szigorúbb ellenőrzésével. A tűzfalon kívül található rendszereknek soha nem szabad abszolút bizalommal rendelkezniük a tűzfal által védett rendszerekben.

A bizalmi kapcsolatokat meghatározott protokollokra kell korlátozni, és ha lehetséges, az IP-címektől eltérő paraméterekkel kell hitelesíteni.

Port Forwarding

A porttovábbítás a bizalommal való visszaélés egyik formája, amikor egy kompromittált gazdagépet arra használnak, hogy a forgalmat olyan tűzfalon továbbítsák, amely egyébként elutasításra kerülne. Képzeljünk el egy tűzfalat három interfésszel, amelyek mindegyike egy adott gazdagéphez csatlakozik.

Külső gazdagép csatlakozhat a gazdagéphez nyilvános hozzáférés(DMZ), de nem a tűzfal belsejére telepítettre. Egy megosztott gazdagép csatlakozhat belső és külső gazdagéphez is. Ha egy hacker átvesz egy megosztott gazdagépet, akkor olyan szoftvert telepíthet rá, amely a forgalmat a külső gazdagépről közvetlenül a belsőre irányítja át.

Bár ez nem sérti a képernyőn megjelenő szabályokat, a külső gazdagép közvetlen hozzáférést kap a védett gazdagéphez az átirányítás eredményeként. Ilyen hozzáférést biztosító alkalmazás például a netcat. Több részletes információk elérhető a http://www.avian.org webhelyről.

A porttovábbítás elleni küzdelem fő módja az erős bizalmi modellek használata (lásd az előző részt). Ezen túlmenően, hogy a hacker ne telepítse a sajátját szoftver IDS rendszert (HIDS) fogadhat.

Illetéktelen hozzáférés

A jogosulatlan hozzáférés nem azonosítható külön támadástípusként, mivel a legtöbb hálózati támadást pontosan az illetéktelen hozzáférés megszerzése érdekében hajtják végre. A Telnet bejelentkezés kitalálásához a hackernek először Telnet-tippet kell kapnia a rendszerére. Miután csatlakozott a Telnet porthoz, a képernyőn megjelenik az „az erőforrás használatához szükséges jogosultság” üzenet (“ Az erőforrás használatához engedély szükséges.»).

Ha a hacker ezután is megkísérli a hozzáférést, akkor jogosulatlannak minősül. Az ilyen támadások forrása lehet a hálózaton belül vagy kívül.

A jogosulatlan hozzáférés elleni küzdelem módszerei meglehetősen egyszerűek. A fő dolog itt az, hogy csökkentse vagy teljesen megszüntesse a hacker azon képességét, hogy jogosulatlan protokoll segítségével hozzáférjen a rendszerhez.

Példaként vegye fontolóra a hackerek hozzáférésének megakadályozását Telnet port külső felhasználóknak webszolgáltatásokat nyújtó szerveren. A porthoz való hozzáférés nélkül a hacker nem tudja megtámadni. Ami a tűzfalat illeti, fő feladata a legegyszerűbb jogosulatlan hozzáférési kísérletek megakadályozása.

Vírusok és trójai faló alkalmazások

A végfelhasználói munkaállomások nagyon ki vannak téve a vírusoknak és a trójai programoknak. Ezeket vírusoknak hívják rosszindulatú, amelyek más programokba vannak beágyazva, hogy egy adott nem kívánt funkciót hajtsanak végre a végfelhasználó munkaállomásán. Példa erre egy vírus, amely a command.com fájlba van írva (a fő értelmező Windows rendszerek), törli a többi fájlt, valamint megfertőzi a command.com összes többi verzióját, amelyet talál.

A trójai faló nem egy szoftverbetét, hanem egy valódi program, aminek első pillantásra úgy tűnik hasznos alkalmazás, de valójában káros szerepet játszik. Egy tipikus trójai faló példa egy olyan program, amely úgy néz ki egyszerű játék a felhasználó munkaállomásához.

Amíg azonban a felhasználó játszik a játékkal, a program e-mailben elküldi magáról a másolatot a listában felsorolt ​​minden előfizetőnek címjegyzék ezt a felhasználót. Minden előfizető postai úton kapja meg a játékot, ami további terjesztést eredményez.

A vírusok és trójai falók elleni harcot hatékony vírusirtó szoftverek segítségével végzik, amelyek felhasználói szinten és esetleg hálózati szinten is működnek. A víruskereső termékek felismerik a legtöbb vírust és trójai falót, és megállítják terjedésüket.

A vírusokkal kapcsolatos legfrissebb információk megszerzése segít hatékonyabban küzdeni ellenük. Ahogy új vírusok és trójai falók jelennek meg, a vállalkozásoknak új víruskereső eszközöket és alkalmazásokat kell telepíteniük.

A cikk írásakor a Cisco Systems által biztosított anyagokat használtuk fel.

Jó Rossz

9.1. táblázat.

Protokoll neve	Szint protokoll verem	A sebezhetőség neve (jellemzője).	A jogsértés tartalma információ biztonság
FTP (File Transfer Protocol) – protokoll fájlok hálózaton keresztüli átvitelére		alapú hitelesítés egyszerű szöveg(a jelszavakat titkosítatlanul küldjük el) Alapértelmezett hozzáférés Két nyitott port elérhetősége	Lehetőség adatlehallgatás
telnet - vezérlési protokoll távoli terminál	Jelentkezés, képviselő, ülés	alapú hitelesítés egyszerű szöveg(a jelszavakat titkosítatlanul küldjük el)	Lehetőség adatlehallgatás fiókot(regisztrált felhasználónevek, jelszavak). Nyugta távoli hozzáférés a házigazdáknak
UDP- adatátviteli protokoll kapcsolat nélküli	Szállítás	Nincs olyan mechanizmus, amely megakadályozná a puffer túlterhelését	Az UDP storm megvalósításának lehetősége. A csomagcsere következtében jelentősen csökken a szerver teljesítménye
ARP – IP-cím a fizikai cím protokollhoz	Hálózat	alapú hitelesítés egyszerű szöveg(az információkat titkosítatlanul küldjük el)	A felhasználói forgalom támadó általi elfogásának lehetősége
RIP – Routing Information Protocol	Szállítás	Az útvonalváltoztatási vezérlő üzenetek hitelesítésének hiánya	Lehetőség a forgalom átirányítására a támadó gazdagépén keresztül
TCP vezérlési protokollátruházás	Szállítás	A csomagszolgáltatási fejlécek helyes kitöltésének ellenőrzésére szolgáló mechanizmus hiánya	Jelentős csökkenés a kommunikációs sebességben, sőt a tetszőleges kapcsolatok teljes megszakítása a TCP protokollon keresztül
DNS – protokoll a mnemonikus nevek és hálózati címek közötti megfeleltetés létrehozására	Jelentkezés, képviselő, ülés	Eszközök hiánya a forrástól kapott adatok hitelesítésének ellenőrzésére	A DNS-kiszolgáló válaszának manipulálása
IGMP – Routing Message Protocol	Hálózat	Az útvonalparaméterek módosításáról szóló üzenetek hitelesítésének hiánya	A Win 9x/NT/2000 rendszerek lefagynak
SMTP – e-mail üzenetek kézbesítési szolgáltatásának protokollja	Jelentkezés, képviselő, ülés		Lehetőség van e-mail üzenetek és címek hamisítására az üzenet feladója
SNMP vezérlési protokoll routerek a hálózatokban	Jelentkezés, képviselő, ülés	Nem támogatja az üzenetfejléc-hitelesítést	A hálózati sávszélesség túlterhelésének lehetősége

A hálózaton keresztül végrehajtott fenyegetéseket a következő fő jellemzők szerint osztályozzák:

1. a fenyegetés természete.

   Passzív - fenyegetés, amely nem befolyásolja a munkát tájékoztatási rendszer, de megsértheti a védett információkhoz való hozzáférés szabályait. Példa: szippantó használata a hálózat „hallgatására”. Aktív – az információs rendszer összetevőit érintő fenyegetés, amelynek megvalósítása közvetlen hatással van a rendszer működésére. Példa: DDOS támadás TCP kérés vihar formájában.

2. a fenyegetés célja(illetve az információk titkossága, elérhetősége, integritása).
3. támadás indulási feltétele:
   • a megtámadottak kérésére. Vagyis a támadó egy bizonyos típusú kérés továbbítását várja el, ami a támadás indulásának feltétele lesz.
   • várt esemény bekövetkezésekor a támadott objektumon.
   • feltétel nélküli hatás - a támadó nem vár semmit, vagyis a fenyegetés azonnal és a támadott objektum állapotától függetlenül megvalósul.
4. visszajelzések elérhetősége a megtámadott tárggyal:
   • visszajelzéssel, vagyis a támadónak választ kell kapnia bizonyos kérésekre. Így a célpont és a támadó között visszacsatolás van, ami lehetővé teszi a támadó számára, hogy figyelemmel kísérje a támadott objektum állapotát, és megfelelően reagáljon annak változásaira.
   • visszacsatolás nélkül - ennek megfelelően nincs visszajelzés, és nincs szükség arra, hogy a támadó reagáljon a megtámadott objektum változásaira.
5. a behatoló helye a megtámadott információs rendszerhez képest: szegmensen belüli és szegmensek közötti. A hálózati szegmens olyan gazdagépek, hardverek és egyéb hálózati összetevők fizikai társulása, amelyek hálózati címmel rendelkeznek. Például az egyik szegmenst számítógépek alkotják, amelyek a Token Ringen alapuló közös buszra csatlakoznak.
6. ISO/OSI referenciamodell-réteg, amelyen a fenyegetés megvalósul: fizikai, csatorna, hálózat, szállítás, munkamenet, képviselő, alkalmazás.

Nézzük meg a jelenleg leggyakrabban előforduló támadásokat a hálózatokban protokoll verem TCP/IP.

1. Hálózati forgalom elemzése. Ezt a támadást segítségével valósítottuk meg speciális program szippantónak hívják. A Sniffer egy olyan alkalmazás, amely egy hálózati kártyát használ promiszkuális módban, az úgynevezett „promiscuous” módban, amelyben a hálózati kártya lehetővé teszi az összes csomag elfogadását, függetlenül attól, hogy kinek szól. Normál állapotban kapcsolati réteg csomagszűrést használ az Ethernet interfészen, és ha a fogadott csomag célfejlécében lévő MAC-cím nem egyezik az aktuális MAC-címével. hálózati felületés nem adás, a csomag eldobásra kerül. "Promiscuous" módban, szűrés szerint hálózati felület le van tiltva, és minden csomag, beleértve azokat is, amelyeket nem az aktuális csomópontnak szánt, bekerül a rendszerbe. Megjegyzendő, hogy sok ilyen programot jogi célokra használnak, például hibák diagnosztizálására vagy forgalom elemzésére. A fent áttekintett táblázat azonban felsorolja azokat a protokollokat, amelyekre információkat küldenek, beleértve a jelszavakat is nyitott forma- FTP, SMTP, POP3 stb. Így egy szippantó segítségével elkaphatja felhasználónevét és jelszavát, és illetéktelenül hozzáférhet bizalmas információkhoz. Ezenkívül sok felhasználó ugyanazt a jelszót használja számos online szolgáltatás eléréséhez. Vagyis ha a hálózatban egy helyen gyengeség van gyenge hitelesítés formájában, akkor az egész hálózat szenvedhet. A támadók jól ismerik az emberi gyengeségeket, és széles körben alkalmazzák a social engineering módszereit.

   Az ilyen típusú támadások elleni védelem a következőket foglalhatja magában:

   • Erős hitelesítés pl használva egyszeri jelszavak(alkalmi jelszó). Az ötlet az, hogy a jelszót egyszer fel lehet használni, és még ha egy támadó el is hárítja egy szippantó segítségével, nincs értéke. Természetesen ez a védelmi mechanizmus csak a jelszavak lehallgatása ellen véd, és haszontalan más információk, például e-mailek lehallgatása esetén.
   • A szippantásgátlók olyan hardverek vagy szoftverek, amelyek képesek észlelni a szippantó működését egy hálózati szegmensben. Általában ellenőrzik a hálózati csomópontok terhelését, hogy meghatározzák a „többlet” terhelést.
   • Kapcsolt infrastruktúra. Nyilvánvaló, hogy a hálózati forgalom elemzése csak egy hálózati szegmensen belül lehetséges. Ha a hálózat több szegmensre (kapcsolókra és útválasztókra) osztó eszközökre épül, akkor a támadás csak a hálózat azon részein lehetséges, amelyek ezen eszközök valamelyik portjához tartoznak. Ez nem oldja meg a szippantás problémáját, de csökkenti azokat a határokat, amelyekre a támadó „hallgathat”.
   • Kriptográfiai módszerek. A legtöbb megbízható módon harci szippantó munka. A lehallgatással megszerezhető információ titkosított, ezért nincs hasznuk. A leggyakrabban használt IPSec, SSL és SSH.
2. Hálózati szkennelés.A hálózati szkennelés célja a hálózaton futó szolgáltatások azonosítása, nyitott portok, aktívak hálózati szolgáltatások , használt protokollok stb., azaz információgyűjtés a hálózatról. A hálózati szkennelés leggyakrabban használt módszerei a következők:
   • A DNS-lekérdezések segítenek a támadónak kideríteni a domain tulajdonosát, a címterületet,
   • ping tesztelés – a korábban megszerzett DNS-címek alapján azonosítja a működő gazdagépeket;
   • port szkennelés – a gazdagépek által támogatott szolgáltatások teljes listája összeállításra kerül, nyitott portok, alkalmazások stb.

   Jó és legelterjedtebb ellenintézkedés az IDS használata, amely sikeresen megtalálja a hálózati szkennelés jeleit, és értesíti erről a rendszergazdát. Lehetetlen teljesen megszabadulni ettől a fenyegetéstől, mivel ha például letiltja az ICMP echo és echo reply funkciót az útválasztón, megszabadulhat a ping fenyegetéstől, ugyanakkor elveszíti a hálózati hibák diagnosztizálásához szükséges adatokat. .

3. Jelszó felfedése.A támadás fő célja a védett erőforrásokhoz való jogosulatlan hozzáférés a jelszavas védelem leküzdésével. A jelszó megszerzéséhez a támadó számos módszert alkalmazhat – egyszerű brute force, szótári nyers erő, szippantás stb. A leggyakoribb az összes lehetséges jelszóérték egyszerű brute force keresése. Az egyszerű nyers erőszak elleni védelem érdekében erős jelszavakat kell használni, amelyeket nem könnyű kitalálni: 6-8 karakter hosszú, használjon kis- és nagybetűket, használjon speciális karaktereket (@, #, $ stb.).

   Egy másik információbiztonsági probléma, hogy a legtöbb ember használja ugyanazok a jelszavak minden szolgáltatáshoz, alkalmazáshoz, webhelyhez stb. Ugyanakkor a jelszó sebezhetősége a leggyengébb felhasználási területtől függ.

   Az ilyen típusú támadások elkerülhetők egyszeri jelszavak használatával, amelyekről korábban beszéltünk, vagy kriptográfiai hitelesítéssel.

4. IP-hamisítás vagy egy megbízható hálózati objektum helyettesítése A .Trusted ebben az esetben a szerverhez legálisan kapcsolódó hálózati objektumot (számítógép, útválasztó, tűzfal stb.) jelenti. A fenyegetés abból áll, hogy egy támadó megbízható hálózati objektumnak adja ki magát. Ezt kétféleképpen lehet megtenni. Először használjon olyan IP-címet, amely az engedélyezett IP-címek tartományán belül van, vagy olyan engedélyezett külső címet, amely hozzáférést biztosít bizonyos hálózati erőforrásokhoz. Ez a fajta támadás gyakran más támadások kiindulópontja.

   A megbízható hálózati entitások meghamisítása általában hamis információk vagy rosszindulatú parancsok beszúrására korlátozódik a hálózati entitások között továbbított normál adatfolyamba. A kétirányú kommunikációhoz a támadónak minden útválasztási táblát módosítania kell, hogy a forgalmat hamis IP-címre irányítsa, ami szintén lehetséges. A fenyegetés mérséklésére (de nem megszüntetésére) a következőket használhatja:

   • hozzáférés-szabályozás. Beállíthatja a hozzáférés-vezérlést úgy, hogy elutasítson minden olyan forgalmat, amely a hálózaton belüli forráscímmel rendelkező külső hálózatról érkezik. Ez a módszer akkor hatékony, ha csak belső címek engedélyezettek, és nem működik, ha vannak engedélyezett külső címek.
   • RFC 2827 szűrés – ez a fajta szűrés lehetővé teszi, hogy megakadályozza a hálózat felhasználóinak más hálózatok meghamisítására irányuló kísérleteit. Ehhez vissza kell utasítania minden olyan kimenő forgalmat, amelynek forráscíme nem a szervezet IP-címe. Az ilyen típusú szűrést gyakran a szolgáltató végzi. Ennek eredményeként minden olyan forgalom elutasításra kerül, amely nem rendelkezik egy adott felületen várható forráscímmel. Például, ha egy internetszolgáltató kapcsolatot biztosít a 15.1.1.0/24 IP-címhez, beállíthat egy szűrőt úgy, hogy csak a 15.1.1.0/24-ből származó forgalom legyen engedélyezett az adott interfészről az internetszolgáltató útválasztójához. Vegye figyelembe, hogy amíg minden szolgáltató nem alkalmazza ezt a fajta szűrést, a hatékonysága a lehetségesnél jóval alacsonyabb lesz.
   • További hitelesítési módszerek megvalósítása. Az IP-hamisítás csak IP-alapú hitelesítéssel lehetséges. Ha bevezet néhány további hitelesítési intézkedést, például kriptográfiaiakat, a támadás használhatatlanná válik.
5. Szolgáltatásmegtagadás (DoS)- számítógépes rendszer elleni támadás azzal a céllal, hogy meghibásodjon, vagyis olyan feltételeket teremtsen, amelyek mellett a rendszer jogos felhasználói nem férhetnek hozzá a rendszer által biztosított erőforrásokhoz, vagy ez a hozzáférés nehézkes.

   A DoS támadás a legelterjedtebb és legismertebb támadás az utóbbi időben, ami elsősorban a könnyű implementációnak köszönhető. A DOS-támadás megszervezése minimális tudást és készségeket igényel, és a hálózati szoftverek és hálózati protokollok hiányosságain alapul. Ha egy támadást sok hálózati eszközön hajtanak végre, azt elosztott DoS támadásnak (DDoS) nevezik.

   Ma az alábbi öt típusú DoS támadást használják leggyakrabban, amelyekre nagy mennyiségű szoftver áll rendelkezésre, és amelyek ellen a legnehezebb a védekezés:

   • törp- ICMP ping kérések. Amikor egy ping-csomagot (ICMP ECHO üzenet) küldenek egy szórási címre (például 10.255.255.255), akkor azt a hálózat minden gépére kézbesítik. A támadás elve egy ICMP ECHO REQUEST csomag küldése a megtámadott gazdagép forráscímével. A támadó folyamatos ping-csomagfolyamot küld egy hálózati szórási címre. A kérés fogadásakor minden gép egy ICMP ECHO REPLY csomaggal válaszol a forrásnak. Ennek megfelelően a válaszcsomag-folyam mérete a gazdagépek számával arányosan növekszik többször. Ennek eredményeként a teljes hálózat szolgáltatásmegtagadásnak van kitéve a torlódások miatt.
   • ICMP árvíz- a Smurfhoz hasonló támadás, de az irányított szórási címre irányuló kérések által létrehozott erősítés nélkül.
   • UDP árvíz- készlet küldése a támadott csomópont címére UDP csomagok(User Datagram Protocol).
   • TCP árvíz- több TCP-csomag küldése a támadott csomópont címére.
   • TCP SYN árvíz- az ilyen típusú támadások végrehajtásakor nagyszámú kérés érkezik a TCP-kapcsolatok inicializálására a megtámadott csomóponttal, amelynek ennek eredményeként minden erőforrását a részben nyitott kapcsolatok követésére kell fordítania.

   Ha webkiszolgálót vagy FTP-kiszolgálóalkalmazást használ, a DoS támadások miatt az alkalmazások számára elérhető összes kapcsolat lefoglalt, és a felhasználók nem férhetnek hozzá. Egyes támadások egy egész hálózatot tönkretehetnek, ha elárasztják azt szükségtelen csomagokkal. Az ilyen támadások leküzdéséhez a szolgáltató bevonása szükséges, mert ha nem állítja le a nem kívánt forgalmat a hálózat bejáratánál, akkor a támadás nem áll le, mert a sávszélességet lefoglalják.

   A következő programokat használják leggyakrabban DoS támadás végrehajtására:

   • Trinoo- egy meglehetősen primitív program, amely történelmileg elsőként szervezett egyetlen típusú DoS támadást - UDP flood. A "trinoo" család programjai könnyen felismerhetők szabvány azt jelenti védelmet, és nem jelentenek veszélyt azok számára, akik legalább egy kicsit is törődnek a biztonságukkal.
   • TFN és TFN2K- komolyabb fegyver. Lehetővé teszi többféle támadás egyidejű megszervezését – Smurf, UDP flood, ICMP flood és TCP SYN flood. Ezeknek a programoknak a használatához a támadónak sokkal képzettebbnek kell lennie.
   • A legújabb eszköz a DoS támadások szervezésére - Stacheldracht("szögesdrót"). Ez a csomag lehetővé teszi különféle típusú támadások és sugárzott ping kérések lavina megszervezését. Ezenkívül az adatkezelők és az ügynökök közötti adatcsere titkosított, és szoftver beépített automatikus módosítási funkció. A titkosítás nagyon megnehezíti a támadó észlelését.

   A fenyegetés mérséklése érdekében a következőket használhatja:

   • Hamisítás elleni funkciók – A hamisítás elleni funkciók megfelelő konfigurálása az útválasztókon és a tűzfalakon segít csökkenteni a DoS kockázatát. Ezeknek a funkcióknak tartalmazniuk kell legalább az RFC 2827 szűrést. Ha egy hacker nem tudja elrejteni valódi kilétét, nem valószínű, hogy támadást hajt végre.
   • Anti-DoS funkciók – Az útválasztókon és tűzfalakon a DoS elleni szolgáltatások megfelelő beállítása korlátozhatja a támadások hatékonyságát. Ezek a funkciók gyakran korlátozzák az adott időpontban félig nyitott csatornák számát.
   • Forgalmi sebesség korlátozása – a szervezet kérheti az internetszolgáltatótól a forgalom korlátozását. Ez a fajta szűrés lehetővé teszi a hálózaton áthaladó, nem kritikus forgalom mennyiségének korlátozását. Gyakori példa az ICMP-forgalom mennyiségének korlátozása, amelyet csak diagnosztikai célokra használnak. A DoS támadások gyakran ICMP-t használnak.

   Az ilyen típusú fenyegetéseknek többféle típusa létezik:

   • Rejtett szolgáltatásmegtagadás, amikor a hálózati erőforrások egy részét a támadó által továbbított csomagok feldolgozására használják, ami csökkenti a csatorna kapacitását, megzavarja a kérések feldolgozási idejét és megzavarja a hálózati eszközök teljesítményét. Példa: irányított ICMP-visszhang kérés vihar vagy TCP-kapcsolat kérés vihar.
   • Látható szolgáltatásmegtagadás, amelyet a támadók által küldött csomagok feldolgozása következtében kimerült hálózati erőforrások okoznak. Ugyanakkor a jogos felhasználói kérések nem dolgozhatók fel, mivel a teljes csatorna sávszélessége foglalt, a pufferek megteltek, a lemezterület megtelt stb. Példa: irányított vihar (SYN-áradás).
   • Nyilvánvaló szolgáltatásmegtagadás, amelyet a hálózati technikai eszközök közötti logikai kapcsolat megsértése okoz, amikor a támadó vezérlőüzeneteket küld a hálózati eszközök nevében. Ebben az esetben az útválasztási és címadatok megváltoznak. Példa: ICMP átirányítási gazdagép vagy DNS-áradás.
   • Kifejezett szolgáltatásmegtagadás, amelyet egy támadó nem szabványos attribútumokkal (például UDP-bomba) vagy a maximumot meghaladó hosszúságú csomagokat továbbító (Ping Death) okoz.

   A DoS támadások célja az információk elérhetőségének megzavarása, és nem sértik az integritást és a titkosságot.

6. Alkalmazás szintű támadások. Ez a fajta támadás magában foglalja a szerverszoftverek (HTML, sendmail, FTP) lyukak kihasználását. A biztonsági rések segítségével a támadó az alkalmazás felhasználója nevében hozzáfér a számítógéphez. Az alkalmazási réteg támadásai gyakran olyan portokat használnak, amelyek „áthaladnak” a tűzfalon.

   Az alkalmazásszintű támadások fő problémája az, hogy gyakran olyan portokat használnak, amelyek áthaladhatnak a tűzfalon. Például egy webszervert támadó hacker a 80-as TCP-portot használhatja. Ahhoz, hogy a webszerver oldalakat tudjon kiszolgálni a felhasználóknak, a tűzfal 80-as portjának nyitva kell lennie. A tűzfal szempontjából a támadást a 80-as porton szokásos forgalomként kezelik.

   Az alkalmazásszintű támadások teljes kiküszöbölése lehetetlen, mivel rendszeresen jelennek meg az új sebezhetőséget tartalmazó alkalmazásprogramok. Itt a legfontosabb a jó rendszeradminisztráció. Íme néhány intézkedés, amellyel csökkentheti az ilyen típusú támadásokkal szembeni sebezhetőségét:

   • naplók olvasása (rendszer és hálózat);
   • az új szoftverek sebezhetőségeinek nyomon követése speciális webhelyek, például a http://www.cert.com segítségével.
   • IDS használata.

A hálózati támadás természetéből adódóan egyértelmű, hogy előfordulását nem minden egyes hálózati csomópont irányítja. Nem vettük figyelembe a hálózaton lehetséges összes támadást, a gyakorlatban sokkal több van belőlük. Úgy tűnik azonban, hogy nem lehet minden típusú támadás ellen védekezni. A hálózati kerület védelmének legjobb módja a legtöbb kiberbűnözői támadás során használt sebezhetőségek kiküszöbölése. Az ilyen sérülékenységek listáját számos olyan webhelyen teszik közzé, amelyek ilyen statisztikákat gyűjtenek, például a SANS Institute webhelyén: http://www.sans.org/top-cyber-security-risks/?ref=top20. Az átlagos támadó nem keres semmit eredeti módokon támadásra, de átvizsgálja a hálózatot, keresve egy ismert sebezhetőséget, és kihasználja azt.

Jegy 1. Az információbiztonság alapfogalmai és definíciói: támadások, sebezhetőségek, biztonsági szabályzatok, biztonsági mechanizmusok és szolgáltatások. A támadások osztályozása. Hálózatbiztonsági és információs rendszerbiztonsági modellek

Sebezhetőség - gyengeség a rendszerben, amelynek segítségével ez végrehajtható támadás.

Kockázat - annak a valószínűsége, hogy egy adott támadás meghatározott felhasználásával kerül végrehajtásra sebezhetőségek. Végső soron minden szervezetnek el kell döntenie, hogy számára melyik szint elfogadható. kockázat. Ennek a döntésnek tükröződnie kell a szervezet által elfogadott biztonsági politikában.

Biztonsági politika — szabályok, iránymutatások és gyakorlatok, amelyek meghatározzák, hogy az információs eszközök hogyan kerülnek feldolgozásra, védelmére és elosztására a szervezeten belül és az információs rendszerek között; biztosításának kritériumrendszere biztonsági szolgáltatások.

Támadás - minden olyan intézkedés, amely sérti az információs rendszer biztonságát. Formálisabban ezt mondhatjuk támadás- egy művelet vagy egymáshoz kapcsolódó műveletek sorozata a használatával sebezhetőségek ezen információs rendszer megsértéséhez vezet.

Biztonsági Mechanizmus - szoftver és/vagy hardver, amely észleli és/vagy megakadályozza támadás.

Biztonsági szervíz - a rendszerek és/vagy a továbbított adatok szabályzat által meghatározott biztonságát nyújtó, vagy a megvalósítást meghatározó szolgáltatás támadások. Szolgáltatás egy vagy több biztonsági mechanizmust használ.
^

Hálózati biztonsági modell A hálózati támadások osztályozása

Minden támadások két osztályra osztható: passzívÉs aktív.

I. Passzív támadás

Ezt passzívnak nevezik támadás , amellyel ellenség nem tudja módosítani a továbbított üzeneteket, és saját üzeneteit beilleszteni a feladó és a címzett közötti információs csatornába. Célja passzív támadás csak a továbbított üzenetek meghallgatása és a forgalomelemzés lehetséges.

Ezt hívják aktívnak támadás , amellyel ellenség képes módosítani a továbbított üzeneteket és beilleszteni saját üzeneteit. A következő típusokat különböztetjük meg: aktív támadások:

^ II. Aktív támadás

Szolgáltatás megtagadása - DoS támadás (szolgáltatásmegtagadás)

A szolgáltatás megtagadása megzavarja a hálózati szolgáltatások normál működését. Ellenség képes elkapni egy adott címzettnek küldött összes üzenetet. Egy másik példa erre támadások jelentős forgalmat generál, ami azt eredményezi, hogy a hálózati szolgáltatás nem tudja feldolgozni a jogos ügyfelektől érkező kéréseket. Klasszikus példa az támadások A TCP/IP hálózatokban egy SYN támadás, amelyben a támadó olyan csomagokat küld, amelyek elindítják a TCP kapcsolat létrehozását, de nem küldenek olyan csomagokat, amelyek befejezik a kapcsolat létrehozását. Ennek eredményeként a szerver túlterheltté válhat, és előfordulhat, hogy a szerver nem tud csatlakozni a jogos felhasználókhoz.

^ Információs rendszer biztonsági modellje

Vannak más, biztonsággal kapcsolatos helyzetek, amelyek nem felelnek meg a fent leírt hálózati biztonsági modellnek. Ezen helyzetek általános mintázata a következőképpen szemléltethető:

Ez a modell az információs rendszer biztonságának koncepcióját szemlélteti, amely megakadályozza a nem kívánt hozzáférést. Az a hacker, aki megpróbál illegálisan behatolni a hálózaton keresztül elérhető rendszerekbe, egyszerűen élvezheti a hackelést, vagy megpróbálja károsítani az információs rendszert és/vagy belevinni valamit a saját céljaira. Például egy hacker célja az lehet, hogy megszerezze a rendszerben tárolt hitelkártyaszámokat.

A nemkívánatos hozzáférés egy másik típusa az, ha valamit elhelyeznek egy számítógépes rendszeren, ami hatással van az alkalmazási programokra és a segédprogramokra, például szerkesztőkre, fordítókra és hasonlókra. Tehát két típus van támadások:

1. 
   Információhoz való hozzáférés a rendszerben tárolt adatok megszerzése vagy módosítása céljából.
2. 
   ^ Támadás szolgáltatásokra, hogy megakadályozzák azok használatát.

Példák ezekre a vírusok és férgek támadások. Ilyen támadások hajtható végre floppy lemezekkel vagy hálózaton keresztül.

^ Biztonsági szolgáltatások , amelyek megakadályozzák a nem kívánt hozzáférést, két kategóriába sorolhatók:

1. 
   Az első kategória a watchdog funkció alapján van meghatározva. Ezek mechanizmusok olyan bejelentkezési eljárásokat tartalmaznak, mint például a jelszó alapúak, hogy csak a jogosult felhasználókra korlátozzák a hozzáférést. Ezek mechanizmusok tartalmaznak különféle védőképernyők(tűzfalak), amelyek megakadályozzák támadások a TCP/IP protokollverem különböző szintjein, és különösen lehetővé teszi a férgek, vírusok behatolásának megakadályozását, valamint más hasonló támadások.
2. 
   A második védelmi vonal különböző belső monitorokból áll, amelyek szabályozzák a hozzáférést és elemzik a felhasználói tevékenységet.

Az információs rendszer biztonságának biztosításánál az egyik fő fogalom a koncepció felhatalmazást - meghatározott erőforrásokhoz és/vagy objektumokhoz hozzáférési jogok meghatározása és megadása.

Az információs rendszer biztonságának a következő alapelveken kell alapulnia:

1. 
   Az információs rendszer biztonságának összhangban kell lennie a szervezet szerepével és céljaival ezt a rendszert telepítve.
2. 
   Az információbiztonság biztosítása integrált és holisztikus megközelítést igényel.
3. 
   Információ biztonság az adott szervezet irányítási rendszerének szerves részét kell képeznie.
4. 
   Az információbiztonságnak gazdaságilag indokolhatónak kell lennie.
5. 
   A biztonsággal kapcsolatos felelősséget egyértelműen meg kell határozni.
6. 
   Az információs rendszer biztonságát időszakonként újra kell értékelni.
7. 
   Egy információs rendszer biztonságának biztosításában nagy jelentősége van a társadalmi tényezőknek, valamint az adminisztratív, szervezeti és fizikai biztonsági intézkedéseknek.

Még mindig nem pontos meghatározás a "támadás" (invázió, támadás) kifejezés. Minden biztonsági szakember másként értelmezi. A következő meghatározást tartom a leghelyesebbnek és legteljesebbnek.

Támadás Az információs rendszer elleni támadások a támadó szándékos cselekedetei, amelyek kihasználják az információs rendszer sebezhetőségét, és a feldolgozott információk elérhetőségének, integritásának és bizalmasságának megsértéséhez vezetnek.

Ha megszüntetjük az információs rendszer sebezhetőségeit, akkor a támadások lehetőségét is megszüntetjük.

Jelenleg nem ismert, hogy hány támadási módszer létezik. Azt mondják, még mindig nincs komoly matematikai kutatás ezen a területen. De még 1996-ban Fred Cohen leírta a vírustechnológia matematikai alapjait. Ez a munka bebizonyította, hogy a vírusok száma végtelen. Nyilvánvaló, hogy a támadások száma végtelen, mivel a vírusok sok támadás részhalmazát képezik.

Támadásmodellek

Hagyományos támadási modell elv szerint épül (1. ábra) vagy (2. ábra), azaz. a támadás egyetlen forrásból származik. A hálózati biztonsági eszközök (tűzfalak, támadásérzékelő rendszerek stb.) fejlesztői kifejezetten a hagyományos támadási modellre koncentrálnak. A védett hálózat különböző pontjain a védelmi rendszer ügynökei (érzékelői) vannak telepítve, amelyek információkat továbbítanak a központi felügyeleti konzolnak. Ez megkönnyíti a rendszer méretezését, megkönnyíti a távoli kezelést stb. Ez a modell azonban nem birkózik meg egy viszonylag nemrégiben (1998-ban) felfedezett fenyegetéssel – az elosztott támadásokkal.
1. ábra Egy-egy kapcsolat

Az elosztott támadási modell különböző elveket használ. A hagyományos modelltől eltérően elosztott modellben(3. ábra) és (4. ábra) összefüggéseket használjuk.

Az elosztott támadások a "klasszikus" szolgáltatásmegtagadási támadásokon alapulnak, pontosabban ezek egy részhalmazán, az úgynevezett Árvízi támadások vagy Vihartámadások(ezek a kifejezések „viharnak”, „árvíznek” vagy „lavinanak” fordíthatók). Ezeknek a támadásoknak az a lényege, hogy nagy számú csomagot küldjenek a támadott csomópontnak. Előfordulhat, hogy a támadott csomópont meghibásodik, mert „megfullad” az elküldött csomagok lavinájában, és nem tudja feldolgozni a jogosult felhasználóktól érkező kéréseket. A SYN-Flood, Smurf, UDP Flood, Targa3 stb. támadások ezen az elven működnek. Ha azonban a támadó csomópont felé irányuló csatorna sávszélessége meghaladja a támadó sávszélességét, vagy a támadott csomópont helytelenül van beállítva, akkor egy ilyen támadás nem vezet „sikerhez”. Például hiába próbálja megzavarni az internetszolgáltatót ezekkel a támadásokkal. De az elosztott támadás már nem egy pontról történik az interneten, hanem egyszerre többről, ami a forgalom meredek növekedéséhez vezet, és letiltja a megtámadott csomópontot. Például a Russia-Online szerint 2000. december 28-án reggel 9 órától két napon át elosztott támadás érte Örményország legnagyobb internetszolgáltatóját, az Arminco-t. Ebben az esetben több mint 50 gép től különböző országok aki értelmetlen üzeneteket küldött az Arminko címre. Lehetetlen volt megállapítani, hogy ki szervezte ezt a támadást, és melyik országban tartózkodott a hacker. Bár főként Armincot támadták meg, az Örményországot a világhálóval összekötő teljes autópálya túlterhelt volt. December 30-án az "Arminco" és egy másik szolgáltató - "ArmenTel" együttműködésének köszönhetően a kapcsolat teljesen helyreállt. Ennek ellenére a számítógépes támadás folytatódott, de kisebb intenzitással.

A támadás végrehajtásának szakaszai

A támadás következő szakaszai különböztethetők meg:

Általában, amikor támadásról beszélnek, a második szakaszra gondolnak, elfelejtve az elsőt és az utolsót. Az információgyűjtés és a támadás befejezése ("covering tracks") pedig szintén támadásnak minősülhet, és három szakaszra osztható (lásd 5. ábra).
5. ábra A támadás megvalósításának szakaszai

Az információgyűjtés a támadás fő szakasza. Ebben a szakaszban a támadó hatékonysága a kulcsa a támadás „sikerének”. Először kiválasztják a támadás célpontját, és összegyűjtik a róla szóló információkat (operációs rendszer típusa és verziója, nyitott portok és futó hálózati szolgáltatások, telepített rendszer- és alkalmazásszoftver és annak konfigurációja stb.). Ezután azonosítják a támadott rendszer legsebezhetőbb pontjait, amelyek hatása a támadó számára a kívánt eredményhez vezet. A támadó megpróbálja azonosítani az összes interakciós csatornát a támadás célpontja és más csomópontok között. Ezzel nemcsak a végrehajtandó támadás típusát, hanem a végrehajtás forrását is kiválaszthatja. Például a megtámadott csomópont két Unix és Windows NT rendszert futtató szerverrel működik együtt. A támadott csomópont megbízható kapcsolatban áll az egyik szerverrel, de nem a másikkal. Az a szerver, amelyen keresztül a támadó végrehajtja a támadást, meghatározza, hogy milyen támadást alkalmaznak, milyen megvalósítási módot választanak stb. Ezután a kapott információtól és a kívánt eredménytől függően a legnagyobb hatást kiváltó támadás kerül kiválasztásra. Például:
SYN Flood, Teardrop, UDP Bomb - a csomópont működésének megzavarása;
CGI script - behatolni egy csomópontba és ellopni az információkat;
PHF - jelszófájl ellopásához és jelszó távoli kitalálásához stb.

A hagyományos védelmi eszközök, mint például a tűzfalak vagy a routerek szűrőmechanizmusai csak a támadás második szakaszában lépnek életbe, az elsőről és a harmadikról teljesen „megfeledkezve”. Ez arra a tényre vezet, hogy a támadást gyakran nagyon nehéz megállítani, még erős és drága védekezés esetén is. Példa erre az elosztott támadások. Logikus lenne, ha a védőfelszerelés már az első szakaszban megkezdené a működést, pl. megakadályozza a megtámadott rendszerrel kapcsolatos információgyűjtés lehetőségét. Ez lehetővé teszi, ha nem is teljesen megakadályozza a támadást, de legalább jelentősen megnehezíti a támadó munkáját. A hagyományos eszközök szintén nem teszik lehetővé a már elkövetett támadások felderítését és a károk felmérését azok végrehajtása után, pl. ne dolgozzon a támadás harmadik szakaszában. Ezért lehetetlen intézkedéseket meghatározni az ilyen támadások jövőbeni megelőzésére.

A kívánt eredménytől függően a támadó a támadás egyik vagy másik szakaszára koncentrál. Például:
szolgáltatásmegtagadás esetén részletesen elemzik a támadott hálózatot, keresik a kiskapukat és a gyengeségeket;
információlopás esetében a fő hangsúly a megtámadott csomópontok csendes behatolásán van a korábban felfedezett sebezhetőségek felhasználásával.

Tekintsük a támadások végrehajtásának fő mechanizmusait. Ez szükséges ahhoz, hogy megértsük, hogyan lehet észlelni ezeket a támadásokat. Ezenkívül a támadók működésének megértése a sikeres hálózati védelem kulcsa.

1. Információgyűjtés

A támadások megvalósításának első szakasza a megtámadott rendszerről vagy csomópontról információgyűjtés. Olyan műveleteket foglal magában, mint a hálózati topológia, a megtámadott csomópont operációs rendszerének típusa és verziója, valamint az elérhető hálózati és egyéb szolgáltatások stb. Ezeket a műveleteket különféle módszerekkel hajtják végre.

A környezet feltárása

Ebben a szakaszban a támadó feltárja a támadás tervezett célpontja körüli hálózati környezetet. Ilyen területek például az áldozat internetszolgáltatójának vagy a megtámadott cég távoli irodájának állomásai. Ebben a szakaszban a támadó megpróbálhatja meghatározni a „megbízható” rendszerek (például egy partner hálózata) és a támadás célpontjához közvetlenül kapcsolódó csomópontok (például egy internetszolgáltató útválasztó) stb. címét. Az ilyen műveleteket meglehetősen nehéz észlelni, mert meglehetősen hosszú időn keresztül hajtják végre azokat a biztonsági intézkedések (tűzfalak, behatolásjelző rendszerek stb.) által ellenőrzött területen kívül.

Hálózati topológia azonosítás

A támadók két fő módszert használnak a hálózati topológia meghatározására:

1. TTL változás (TTL moduláció),
2. útvonal rögzítése.

Az első módszer a traceroute for Unix és a tracert for Windows programokat használja. Az IP-csomag fejlécében egy Time to Live mezőt használnak, amely a hálózati csomag által áthaladó útválasztók számától függően változik. A ping segédprogram használható egy ICMP-csomag útvonalának rögzítésére. A hálózati topológia gyakran meghatározható az SNMP protokoll segítségével, amely számos olyan hálózati eszközre van telepítve, amelyek biztonsága nincs megfelelően konfigurálva. A RIP protokoll használatával megpróbálhat információkat szerezni a hálózaton lévő útválasztási tábláról stb.

E módszerek közül sokat a modern felügyeleti rendszerek (például HP OpenView, Cabletron SPECTRUM, MS Visio stb.) használnak hálózati térképek készítésére. Ugyanezeket a módszereket pedig sikeresen használhatják a támadók a megtámadott hálózat térképének elkészítéséhez.

Csomópont azonosítás

A csomópont azonosítása általában a segédprogram használatával történik ping parancsokat Az ICMP protokoll ECHO_REQUEST. Az ECHO_REPLY válaszüzenet azt jelzi, hogy a csomópont elérhető. Vannak szabadon elérhető programok, amelyek automatizálják és felgyorsítják a nagyszámú csomópont párhuzamos azonosításának folyamatát, például az fping vagy az nmap. Veszély ez a módszer A probléma az, hogy az ECHO_REQUEST kéréseket a szabványos csomóponti eszközök nem rögzítik. Ehhez forgalomelemző eszközöket, tűzfalakat vagy támadásérzékelő rendszereket kell használnia.

Ez a csomópontok azonosításának legegyszerűbb módja. Ennek azonban van két hátránya.

1. Sok hálózati eszközökés a programok blokkolják az ICMP-csomagokat, és nem engedik bejutni a belső hálózatba (vagy fordítva, nem engedik kifelé haladni). Például az MS Proxy Server 2.0 nem engedi át a csomagokat az ICMP protokollon. Az eredmény egy hiányos kép. Másrészt egy ICMP-csomag blokkolása tájékoztatja a támadót az „első védelmi vonal” jelenlétéről - útválasztók, tűzfalak stb.
2. Az ICMP kérések használata megkönnyíti azok forrásának felderítését, ami természetesen nem lehet támadó feladata.

Van egy másik módszer a csomópontok azonosítására - "vegyes" mód használatával hálózati kártya, amely lehetővé teszi a különböző csomópontok azonosítását egy hálózati szegmensben. De nem alkalmazható olyan esetekben, amikor a hálózati szegmens forgalma nem érhető el a támadó számára a csomópontjáról, pl. Ez a módszer csak helyi hálózatokon alkalmazható. A hálózati csomópontok azonosításának másik módja az úgynevezett DNS-felderítés, amely lehetővé teszi a vállalati hálózati csomópontok azonosítását a névszolgáltató szerverrel való kapcsolatfelvétellel.

Szolgáltatás azonosítás vagy port szkennelés

A szolgáltatások azonosítása általában a nyitott portok észlelésével történik (portszkennelés). Az ilyen portokat nagyon gyakran TCP vagy UDP protokollon alapuló szolgáltatásokhoz társítják. Például:

• a nyitott 80-as port egy webszerver jelenlétét jelenti,
• 25-ös port – SMTP levelezőszerver,
• 31337. - a BackOrifice trójai faló szerver része,
• 12345. vagy 12346. - a NetBus trójai szerver része stb.

Különféle programok használhatók a szolgáltatások azonosítására és a portok szkennelésére, pl. és szabadon terjeszthető. Például nmap vagy netcat.

Operációs rendszer azonosítása

A távoli operációs rendszer észlelésének fő mechanizmusa a kérésekre adott válaszok elemzése, figyelembe véve a TCP/IP verem különböző megvalósításait a különböző operációs rendszerekben. Minden operációs rendszer a maga módján valósítja meg a TCP/IP protokollvermet, amely lehetővé teszi, hogy speciális kérések és válaszok segítségével meghatározza, melyik operációs rendszer van telepítve a távoli gazdagépen.

A gazdagép operációs rendszer azonosításának egy másik, kevésbé hatékony és rendkívül korlátozott módja az előző szakaszban felfedezett hálózati szolgáltatások elemzése. Például egy nyitott 139-es port arra enged következtetni, hogy a távoli gazdagépen nagy valószínűséggel Windows operációs rendszer fut. Különféle programok használhatók az operációs rendszer meghatározására. Például nmap vagy queso.

Csomóponti szerepkör meghatározása

Az utolsó előtti lépés a megtámadott gazdagépről való információgyűjtés szakaszában annak meghatározása, hogy milyen szerepet tölt be, például tűzfal vagy webszerver funkcióit látja el. Ezt a lépést az aktív szolgáltatásokról, gazdagépnevekről, hálózati topológiáról stb. már összegyűjtött információk alapján hajtják végre. Például egy nyitott 80-as port webszerver jelenlétét jelezheti, az ICMP-csomagok blokkolása egy tűzfal lehetséges jelenlétét, a proxy.domain.ru vagy fw.domain.ru DNS-gazdanév pedig önmagáért beszél.

A gazdagép sebezhetőségeinek meghatározása

Az utolsó lépés a sebezhetőségek keresése. Ennél a lépésnél a támadó különféle automatizált eszközökkel vagy manuálisan azonosítja azokat a sebezhetőségeket, amelyek segítségével támadást hajthat végre. Ilyen automatizált eszközként használható a ShadowSecurityScanner, az nmap, a Retina stb.

2. A támadás végrehajtása

Ettől a pillanattól kezdődik a megtámadott csomópont elérési kísérlete. Ebben az esetben a hozzáférés lehet közvetlen, pl. egy csomópont behatolása, vagy közvetve, például szolgáltatásmegtagadási támadás végrehajtásakor. A támadások végrehajtása közvetlen hozzáférés esetén szintén két szakaszra osztható:

• behatolás;
• ellenőrzés kialakítása.

Behatolás

A behatolás magában foglalja a kerületi védelem (például tűzfal) áttörését. Ezt többféleképpen meg lehet valósítani. Például egy számítógépes szolgáltatás sérülékenységének kihasználása, amely kifelé néz, vagy ellenséges tartalom továbbítása e-mailben (makróvírusok) vagy Java kisalkalmazásokon keresztül. Az ilyen tartalmak úgynevezett "alagutakat" használhatnak a tűzfalban (nem tévesztendő össze VPN alagutak), amelyen keresztül a támadó behatol. Ez a szakasz magában foglalja egy rendszergazda vagy más felhasználó jelszavának kiválasztását is egy speciális segédprogrammal (például L0phtCrack vagy Crack).

Az ellenőrzés felállítása

A behatolás után a támadó felveszi az irányítást a támadott csomópont felett. Ez megtehető egy trójai program (pl. NetBus vagy BackOrifice) bevezetésével. Miután létrehozta az irányítást a kívánt csomópont felett, és „lefedte” nyomait, a támadó minden szükséges jogosulatlan műveletet távolról végrehajthat a megtámadott számítógép tulajdonosának tudta nélkül. Ebben az esetben a vállalati hálózati csomópont feletti irányítás létrehozását az operációs rendszer újraindítása után is fenn kell tartani. Ezt megteheti az egyik rendszerindító fájl cseréjével vagy az ellenséges kódra mutató hivatkozás beszúrásával az indítófájlokba, ill. rendszerleíró adatbázis. Ismert eset, amikor a támadó át tudta programozni egy hálózati kártya EEPROM-ját, és még az operációs rendszer újratelepítése után is képes volt jogosulatlan műveleteket végrehajtani. A példa egyszerűbb módosítása a szükséges kód vagy részlet beágyazása egy hálózati rendszerindító szkriptbe (például Novell Netware OS esetén).

A támadások céljai

A támadás utolsó szakasza a „nyomok elfedése” a támadó részéről. Ezt általában úgy érik el, hogy törlik a megfelelő bejegyzéseket a gazdagép naplóiból, és más olyan műveleteket hajtanak végre, amelyek visszaállítják a megtámadott rendszert az eredeti, "előtámadott" állapotába.

A támadások osztályozása

Létezik különféle típusok támadások besorolása. Például a passzív és aktív, külső és belső, szándékos és nem szándékos felosztás. Azonban, hogy ne keverjük össze a gyakorlatban kevéssé hasznos besorolások széles választékával, egy „életszerűbb” besorolást javaslok:

1. Távoli behatolás. Támadások, amelyek lehetővé teszik a végrehajtást távirányító számítógép a hálózaton keresztül. Például NetBus vagy BackOrifice.
2. Helyi behatolás. Olyan támadás, amely illetéktelen hozzáférést eredményez ahhoz a gazdagéphez, amelyen elindult. Például a GetAdmin.
3. Távoli szolgáltatásmegtagadás. Olyan támadások, amelyek megzavarják vagy túlterhelik a számítógépet az interneten keresztül. Például Teardrop vagy trin00.
4. Helyi szolgáltatásmegtagadás. Olyan támadások, amelyek lehetővé teszik annak a számítógépnek a megzavarását vagy túlterhelését, amelyen végrehajtották. Egy ilyen támadásra példa egy „ellenséges” kisalkalmazás, amely a CPU-t egy végtelen hurokba tölti be, lehetetlenné téve a más alkalmazásoktól érkező kérések feldolgozását.
5. Hálózati szkennerek. Olyan programok, amelyek elemzik a hálózati topológiát és észlelik a támadható szolgáltatásokat. Például az nmap rendszer.
6. Sebezhetőségi szkennerek. Olyan programok, amelyek sebezhetőséget keresnek a hálózati csomópontokon, és támadások végrehajtására használhatók. Például a SATAN rendszer vagy a ShadowSecurityScanner.
7. Jelszótörők. Programok, amelyek „kitalálják” a felhasználói jelszavakat. Például: L0phtCrack for Windows vagy Crack for Unix.
8. Protokoll analizátorok (szippantó). Programok, amelyek „hallgatják” a hálózati forgalmat. Ezekkel a programokkal automatikusan megkereshet olyan információkat, mint a felhasználói azonosítók és jelszavak, hitelkártyaadatok stb. Például a Microsoft Network Monitor, a Network Associates NetXRay vagy a LanExplorer.

Vállalat internet biztonság Systems, Inc. tovább csökkentette a lehetséges kategóriák számát, 5-re növelve őket:

1. Információgyűjtés.
2. Jogosulatlan hozzáférési kísérletek.
3. Szolgáltatás megtagadása.
4. Gyanús tevékenység.
5. Rendszertámadások.

Az első 4 kategória a távoli támadásokra vonatkozik, az utolsó pedig a helyi támadásokra, amelyeket a támadott csomóponton hajtanak végre. Megjegyezhető, hogy ben ezt a besorolást az úgynevezett „passzív” támadások egész osztálya (forgalomlehallgatás, hamis DNS-kiszolgáló, ARP-szerver-hamisítás stb.) nem szerepelt.

A támadások besorolása számos támadásérzékelő rendszerben nem lehet kategorikus. Például egy támadás, amelynek Unix operációs rendszeren való megvalósítása (például statd puffer túlcsordulás) a legsúlyosabb következményekkel járhat (legmagasabb prioritás), Windows NT operációs rendszeren előfordulhat, hogy egyáltalán nem alkalmazható, vagy nagyon alacsony a kockázata. Ezen túlmenően a támadások és a sebezhetőségek elnevezése is zavart okoz. Ugyanazon támadásnak különböző nevei lehetnek különböző gyártók támadásérzékelő rendszerek.

A sebezhetőségek és támadások egyik legjobb adatbázisa az X-Force adatbázis, amely a következő címen található: http://xforce.iss.net/. Elérhető a szabadon terjesztett X-Force Alert levelezőlistára való feliratkozással, vagy az ISS webszerverén található adatbázisban interaktív kereséssel.

Következtetés

Az információs rendszerelemek sebezhetősége nélkül sok támadás nem lenne lehetséges, ezért a hagyományos biztonsági rendszerek meglehetősen hatékonyan kezelnék az esetleges támadásokat. A programokat azonban olyan emberek írják, akik hajlamosak hibázni. Ennek eredményeként olyan sebezhetőségek jelennek meg, amelyeket a támadók támadások végrehajtására használnak fel. Ez azonban csak a történet fele. Ha minden támadás egy-az-egy modellre épülne, akkor ez egy kicsit húzós lenne, de a tűzfalak és más biztonsági rendszerek is képesek lennének ellenállni nekik. De megjelentek az összehangolt támadások, amelyek ellen a hagyományos eszközök már nem olyan hatékonyak. És itt jelennek meg az új technológiák a színen – a támadásérzékelő technológiák. A támadásokra vonatkozó adatok fenti rendszerezése és megvalósításuk szakaszai megadják a szükséges alapot a támadásészlelési technológiák megértéséhez.

Számítógépes támadások észlelésére szolgáló eszközök

A behatolásérzékelő technológiának a következő problémákat kell megoldania:

• Ismerje fel az ismert támadásokat, és figyelmeztesse rájuk a megfelelő személyzetet.
• A támadási információk gyakran homályos forrásainak „megértése”.
• A biztonsági személyzet terheinek enyhítése vagy csökkentése a vállalati hálózat részét képező felhasználók, rendszerek és hálózatok rutinszerű megfigyelése miatt.
• Képes a biztonsági ellenőrzések nem biztonsági szakértők általi kezelésére.
• A vállalati hálózati alanyok (felhasználók, programok, folyamatok stb.) összes tevékenységének vezérlése.

Gyakran támadásérzékelő rendszerek olyan funkciókat tudnak ellátni, amelyek jelentősen bővítik alkalmazásuk körét. Például,

• A tűzfalak hatékonyságának ellenőrzése. Például egy támadásérzékelő rendszer telepítése után tűzfal(vállalati hálózaton belül) lehetővé teszi a tűzfal által kihagyott támadások észlelését, és ezáltal a tűzfal hiányzó szabályainak meghatározását.
• Hálózati csomópontok figyelése eltávolított frissítésekkel vagy elavult szoftverrel rendelkező csomópontok.
• Bizonyos internetes oldalakhoz való hozzáférés blokkolása és ellenőrzése. Bár a támadásérzékelő rendszerek távol állnak a tűzfalaktól és a különféle URL-címek hozzáférés-ellenőrző rendszereitől, például a WEBsweeper, képesek részleges vezérlést végezni, és blokkolni tudják egyes vállalati hálózati felhasználók hozzáférését bizonyos internetes erőforrásokhoz, például pornográf tartalommal rendelkező webszerverekhez. Erre akkor van szükség, ha a szervezetnek nincs pénze a tűzfal és a támadásérzékelő rendszer beszerzésére, és a tűzfal funkciók megoszlanak a támadásérzékelő rendszer, a router és a proxy szerver között. Ezen túlmenően, a behatolásérzékelő rendszerek az alkalmazottak szerverekhez való hozzáférését szabályozhatják kulcsszavakat. Például szex, munka, crack stb.
• E-mail vezérlés. A behatolásjelző rendszerekkel ellenőrizhető a megbízhatatlan alkalmazottak használata email olyan feladatok elvégzésére, amelyek nem tartoznak funkcionális feladataik közé, például önéletrajzok kiküldése. Egyes rendszerek képesek észlelni a vírusokat az e-mail üzenetekben, és bár távol állnak a valódi vírusirtó rendszerektől, mégis elég hatékonyan látják el ezt a feladatot.

Az információbiztonsági szakemberek idejét és tapasztalatát leginkább a támadások okainak feltárása és megszüntetése jelenti, nem pedig a támadások észlelése. A támadások okainak megszüntetésével, pl. A sebezhetőségek azonosításával és megszüntetésével az adminisztrátor kiküszöböli a potenciális támadások tényét. Ellenkező esetben a támadás újra és újra megismétlődik, ami folyamatosan az adminisztrátor erőfeszítéseit és figyelmét igényli.

A behatolásjelző rendszerek osztályozása

A behatolásérzékelő rendszereknek számos különböző osztályozása létezik, de a leggyakoribb a megvalósítás elvén alapuló osztályozás:

1. host alapú, azaz egy adott hálózati csomópontra irányuló támadások észlelése,
2. hálózat alapú, azaz egy teljes hálózatra vagy hálózati szegmensre irányuló támadások észlelése.

Az egyes számítógépeket figyelő behatolásészlelő rendszerek jellemzően információkat gyűjtenek és elemzik az operációs rendszer naplóiból és különféle alkalmazások(Webszerver, DBMS stb.). A RealSecure OS Sensor ezen az elven működik. A közelmúltban azonban az operációs rendszer kernellel szorosan integrált rendszerek széles körben elterjedtek, ezáltal hatékonyabb módszert kínálva a biztonsági irányelvek megsértésének észlelésére. Ezenkívül az ilyen integráció kétféleképpen valósítható meg. Először is, az összes operációs rendszer hívása figyelhető (így működik az Entercept), vagy az összes bejövő/kimenő hálózati forgalom (így működik a RealSecure Server Sensor). Utóbbi esetben a behatolásjelző rendszer az operációs rendszert megkerülve közvetlenül a hálózati kártyáról rögzíti az összes hálózati forgalmat, ami csökkenti az attól való függést, és ezáltal növeli a behatolásjelző rendszer biztonságát.

Hálózati szintű támadásérzékelő rendszerek magából a hálózatból, azaz a hálózati forgalomból gyűjtenek információkat. Ezek a rendszerek futhatnak normál számítógépeken (például RealSecure Network Sensor), speciális számítógépeken (például RealSecure for Nokia vagy Cisco Secure IDS 4210 és 4230), vagy routerekbe vagy switchekbe integrálva (például CiscoSecure IOS Integrated Software vagy Cisco) Catalyst 6000 IDS modul). Az első két esetben az elemzett információk összegyűjtése csomagok rögzítésével és elemzésével történik hálózati interfészek segítségével, promiscuous módban. Ez utóbbi esetben a forgalmat a hálózati berendezésbusz rögzíti.

A támadások észleléséhez két feltétel egyikének teljesítése szükséges – vagy a megfigyelt rendszerobjektum várható viselkedésének megértése, vagy az összes lehetséges támadás és azok módosításainak ismerete. Az első esetben technológiát használnak a rendellenes viselkedés észlelésére, a második esetben pedig a rosszindulatú viselkedés vagy visszaélések észlelésére. A második technológia a támadás leírása minta vagy aláírás formájában, és ennek a mintának a keresése egy ellenőrzött térben (például hálózati forgalom vagy napló). Ez a technológia nagyon hasonlít a vírusészleléshez (a víruskereső rendszerek kiváló példái a támadásészlelő rendszernek), pl. a rendszer minden ismert támadást képes észlelni, de gyengén van felszerelve az új, még ismeretlen támadások észlelésére. Az ilyen rendszerekben megvalósított megközelítés nagyon egyszerű, és ezen alapul szinte az összes ma piacon kapható támadásérzékelő rendszer.

Szinte minden támadásérzékelő rendszer aláírási megközelítésen alapul.

A behatolásjelző rendszerek előnyei

Még hosszan sorolhatnánk a gazdagép és hálózati szinten működő támadásészlelő rendszerek különféle előnyeit. Ezek közül azonban csak néhányra koncentrálok.

A kapcsolás lehetővé teszi a nagyméretű hálózatok több kis hálózati szegmensként történő kezelését. Ennek eredményeként nehéz lehet meghatározni a legjobb helyet a hálózati forgalom támadásait észlelő rendszer telepítéséhez. Néha a kapcsolók span portjai segíthetnek, de nem mindig. A gazdagép-specifikus támadásészlelés lehetővé teszi a kapcsolt hálózatok hatékonyabb működését azáltal, hogy az észlelőrendszereket csak azokon a gazdagépeken lehet elhelyezni, ahol szükség van rájuk.

A hálózati rétegrendszerekhez nem szükséges behatolásérzékelő szoftvert telepíteni minden gazdagépre. Mivel az IDS-ek száma alacsony a teljes hálózat felügyeletére, a vállalati hálózatban való üzemeltetésük költsége alacsonyabb, mint a támadásérzékelő rendszerek rendszerszintű üzemeltetésének költsége. Ezenkívül egy hálózati szegmens figyeléséhez csak egy érzékelőre van szükség, függetlenül az adott szegmensben lévő csomópontok számától.

Amint egy hálózati csomag elhagyja a támadó számítógépét, többé nem küldhető vissza. A hálózati rétegben működő rendszerek élő forgalmat használnak a támadások valós idejű észlelésére. Így a támadó nem tudja eltávolítani illetéktelen tevékenységének nyomait. Az elemzett adatok nemcsak a támadás módjára vonatkozó információkat tartalmaznak, hanem olyan információkat is, amelyek segíthetnek a támadó azonosításában és a bíróság előtti bizonyításban. Mivel sok hacker ismeri a rendszernaplózási mechanizmusokat, tudják, hogyan kell manipulálni ezeket a fájlokat tevékenységeik nyomainak elrejtése érdekében, csökkentve a rendszerszintű rendszerek hatékonyságát, amelyeknek szükségük van erre az információra a támadás észleléséhez.

A hálózati szinten működő rendszerek észlelik a gyanús eseményeket és támadásokat, amint azok előfordulnak, és ezért sokkal gyorsabb értesítést és választ adnak, mint a naplókat elemző rendszerek. Például egy hacker hálózati szolgáltatásmegtagadási támadást indít az alapján TCP protokoll, leállítható egy hálózati réteg behatolásérzékelő rendszerével, amely egy TCP-csomagot küld a fejlécben beállított Reset jelzővel, hogy megszakítsa a kapcsolatot a támadó csomóponttal, mielőtt a támadás a megtámadott csomópont megsemmisülését vagy károsodását okozná. A naplóelemző rendszerek mindaddig nem ismerik fel a támadásokat, amíg a megfelelő naplóbejegyzést nem készítik, és a bejegyzés után ellenlépéseket tesznek. Ekkorra a legkritikusabb rendszerek vagy erőforrások már feltörhettek, vagy a gazdagép szintű támadásészlelő rendszert futtató rendszer megszakadt. A valós idejű értesítés lehetővé teszi, hogy gyorsan reagáljon az előre meghatározott paramétereknek megfelelően. Ezek a reakciók a megfigyelési módban történő beszivárgás engedélyezésétől a támadásról és a támadóról való információgyűjtés céljából a támadás azonnali befejezéséig terjednek.

Végül pedig a hálózati szinten működő behatolásérzékelő rendszerek függetlenek a vállalati hálózatra telepített operációs rendszerektől, mivel a vállalati hálózat összes csomópontja közötti hálózati forgalommal működnek. A behatolásérzékelő rendszert nem érdekli, hogy melyik operációs rendszer generált egy adott csomagot, amennyiben az megfelel az észlelőrendszer által támogatott szabványoknak. Például Windows 98, Windows NT, Windows 2000 és XP, Netware, Linux, MacOS, Solaris stb. futhat a hálózaton, de ha IP-n keresztül kommunikálnak egymással, akkor bármelyik támadásérzékelő rendszer, amely támogatja ez a protokoll képes lesz észlelni az ezeket az operációs rendszereket célzó támadásokat.

A hálózati és gazdaszintű támadásérzékelő rendszerek együttes használata javítja a hálózat biztonságát.

Hálózati támadásérzékelő rendszerek és tűzfalak

Leggyakrabban hálózati rendszerek A támadásészlelést tűzfalakkal próbálják felváltani, remélve, hogy ez utóbbiak igen magas szintű biztonságot nyújtanak. Ne feledje azonban, hogy a tűzfalak egyszerűen szabályalapú rendszerek, amelyek engedélyezik vagy tiltják a rajtuk keresztüli forgalmat. Még a "" technológiával épített tűzfalak sem teszik lehetővé, hogy biztosan megmondhassuk, jelen van-e támadás az általuk irányított forgalomban vagy sem. Meg tudják mondani, hogy a forgalom megfelel-e a szabálynak vagy sem. Például a tűzfal úgy van beállítva, hogy blokkolja az összes kapcsolatot, kivéve a 80-as porton lévő TCP-kapcsolatokat (vagyis a HTTP-forgalmat). Így a 80-as porton keresztül minden forgalom az ITU szempontjából legális. Másrészt egy behatolásjelző rendszer is figyeli a forgalmat, de támadásra utaló jeleket keres benne. Nem sokat számít, hogy melyik kikötőbe irányul a forgalom. Alapértelmezés szerint az összes forgalom gyanús a behatolásérzékelő rendszer számára. Vagyis annak ellenére, hogy a behatolásjelző rendszer ugyanazzal az adatforrással működik, mint a tűzfal, azaz hálózati forgalommal, egymást kiegészítő funkciókat látnak el. Például a „GET /../../../etc/passwd HTTP/1.0” HTTP kérés. Szinte minden ITU lehetővé teszi az áthaladást ennek a kérésnekönmagán keresztül. A támadásérzékelő rendszer azonban könnyen észleli és blokkolja ezt a támadást.

A következő analógiát vonhatjuk le. A tűzfal egy szokásos forgókapu, amelyet a hálózat főbejáratához telepítenek. De a fő ajtókon kívül vannak más ajtók, valamint ablakok. Valódi alkalmazottnak kiadva magát, vagy elnyerve az őr bizalmát a forgókapunál, a támadó robbanószerkezetet vagy pisztolyt vihet át a forgókapun keresztül. Kevés. Egy betolakodó bemászhat az ablakába. Ezért kellenek a tűzfalak által nyújtott védelmet fokozó támadásérzékelő rendszerek, amelyek ugyan szükséges, de egyértelműen elégtelen elemei a hálózatbiztonságnak.

Tűzfal- nem csodaszer!

Az észlelt támadásra adott válaszlehetőségek

A támadást nem elég észlelni, hanem megfelelően reagálni is kell rá. A válaszlehetőségek nagymértékben meghatározzák a támadásérzékelő rendszer hatékonyságát. Jelenleg a következő válaszlehetőségek állnak rendelkezésre:

• Értesítés a konzolnak (beleértve a biztonsági másolatot is) a behatolásérzékelő rendszerről vagy egy integrált rendszer (például tűzfal) konzoljának.
• Hangjelzés támadásról.
• SNMP vezérlési szekvenciák generálása hálózatkezelő rendszerek számára.
• Támadási jelentés generálása e-mailben.
• További értesítések személyhívón vagy faxon. Nagyon érdekes, bár ritkán használt lehetőség. A jogosulatlan tevékenység észleléséről szóló riasztást nem a rendszergazda, hanem a támadó kapja. E válaszlehetőség hívei szerint a szabálysértő, miután tudomást szerez arról, hogy felfedezték, kénytelen abbahagyni tettét.
• Az észlelt események kötelező regisztrációja. A következők szolgálhatnak naplóként:
  • szöveges fájl,
  • syslog (például egy Cisco Secure Integrated Software rendszerben),
  • speciális formátumú szöveges fájl (például a Snort rendszerben),
  • helyi MS Access adatbázis,
  • SQL adatbázis (például a RealSecure rendszerben).
  Csak azt kell figyelembe venni, hogy a rögzített információ mennyiségéhez általában egy SQL adatbázisra van szükség - MS SQL vagy Oracle.
• Eseménynyom, i.e. rögzítse azokat a támadó által végrehajtott sorrendben és sebességben. Aztán a rendszergazda bármikor meghatározott időpontban adott sebességgel (valós időben, gyorsítással vagy lassítással) görgetheti (visszajátszása vagy lejátszása) a szükséges eseménysorozatot, hogy elemezze a támadó tevékenységét. Ez lehetővé teszi, hogy megértse a képzettségét, az alkalmazott támadási eszközöket stb.
• A támadó cselekményeinek megszakítása, pl. a kapcsolat befejezése. Ezt a következőképpen lehet megtenni:
  • a kapcsolat elfogása (munkamenet-eltérítés) és az RST jelzővel ellátott csomag küldése mindkét résztvevőnek internetkapcsolat mindegyikük nevében (hálózati szinten működő támadásérzékelő rendszerben);
  • a támadást végrehajtó felhasználói fiók blokkolása (a gazdagép szintű támadásérzékelő rendszerben). Az ilyen zárolás végrehajtható meghatározott ideig, vagy addig, amíg az adminisztrátor fel nem oldja a fiók zárolását. Attól függően, hogy a támadásészlelő rendszer milyen jogosultságokkal fut, a blokkolás működhet magán a számítógépen, amely a támadás célpontja, és a teljes hálózati tartományon belül.
• Hálózati berendezések vagy tűzfalak újrakonfigurálása. Ha a rendszer támadást észlel, parancsot küld az útválasztónak vagy a tűzfalnak a hozzáférés-vezérlési lista módosítására. Ezt követően a támadó csomópont minden csatlakozási kísérlete elutasításra kerül. A támadó fiókjának blokkolásához hasonlóan a hozzáférés-vezérlési lista módosítása is végrehajtható egy meghatározott ideig, vagy mindaddig, amíg a módosítást az újrakonfigurálható hálózati eszköz rendszergazdája vissza nem vonja.
• A hálózati forgalom blokkolása ugyanúgy, mint a tűzfalakban. Ez az opció lehetővé teszi a forgalom korlátozását, valamint a védett számítógép erőforrásaihoz hozzáférő címzettek számát, lehetővé téve a személyes tűzfalakban elérhető funkciók végrehajtását.