###
  • Programok
  • Biztonság
  • hírek
  • Érdekes
  • Tippek
  • hírek
  • Vélemények

    • Hálózati támadás válaszmodell. Hálózati biztonsági modell. A hálózati támadások osztályozása. Szolgáltatás megtagadása

    10.11.2019 Programok

    IP-hálózati biztonsági problémák

    Hálózatbiztonsági fenyegetések elemzése.

    A kommunikáció heterogén hálózati környezetben való megszervezéséhez egy sor TCP / IP protokollt használnak, amely biztosítja a számítógépek közötti kompatibilitást. különböző típusok. A kompatibilitás a TCP/IP egyik fő előnye, ezért a legtöbb számítógépes hálózat támogatja ezeket a protokollokat. Ezenkívül a TCP/IP protokollok hozzáférést biztosítanak az erőforrásokhoz globális hálózat Internet.

    Népszerűségének köszönhetően a TCP/IP az internetes munka de facto szabványává vált. A TCP/IP protokollverem mindenütt jelenléte azonban ezt is felfedte. gyenge oldalai. A TCP / IP-verem építészei ötletük megalkotásakor nem láttak okot arra, hogy túlzottan aggódjanak a ráépített hálózatok védelme miatt. Ezért a specifikációkban korai változatai Az IP protokollból hiányoztak a biztonsági követelmények, ami a megvalósítás kezdeti sebezhetőségéhez vezetett.

    Az internetes technológiák népszerűségének gyors növekedése a személyes adatok, a kritikus vállalati erőforrások, az államtitkok stb. nyilvánosságra hozatalával kapcsolatos súlyos fenyegetések növekedésével jár együtt.

    A hackerek és más behatolók minden nap fenyegetik a hálózati információs erőforrásokat, és speciális támadásokkal próbálnak hozzáférni hozzájuk. Ezek a támadások egyre kifinomultabb hatásúak és könnyebben végrehajthatók. Ehhez két fő tényező járul hozzá.

    Először is, ez az internet mindenütt elterjedtsége. Ma számítógépek milliói csatlakoznak ehhez a hálózathoz. Mivel a közeljövőben sok millió számítógép csatlakozik az internethez, folyamatosan növekszik annak a valószínűsége, hogy a hackerek hozzáférnek a sebezhető számítógépekhez és számítógépes hálózatokhoz. Emellett az internet széles körben elterjedt használata lehetővé teszi a hackerek számára az információk globális szintű megosztását.

    A második a könnyen használható operációs rendszerek és fejlesztői környezetek mindenütt jelenléte. Ez a tényező élesen csökkenti a támadó tudásszintjének követelményeit. Korábban hackerre volt szükség jó tudás valamint programozási ismeretek létrehozásához és terjesztéséhez rosszindulatú. Most, hogy hozzáférjen a hacker eszközhöz, csak ismernie kell a kívánt webhely IP-címét, és a támadás végrehajtásához kattintson az egérrel.

    A vállalati számítógépes hálózatok információbiztonságának biztosításának problémáit a helyi munkaállomásokat, helyi hálózatokat érő biztonsági fenyegetések, valamint a nyilvános adathálózatokhoz hozzáféréssel rendelkező vállalati hálózatok elleni támadások okozzák.

    A hálózati támadások ugyanolyan változatosak, mint az általuk megcélzott rendszerek. Néhány támadás nagyon nehéz. Másokat egy közönséges üzemeltető is végrehajthat anélkül, hogy elképzelné, milyen következményekkel járhat a tevékenysége.



    A támadást végrehajtó behatoló általában a következő célokat tűzi ki maga elé:

    v a továbbított információk titkosságának megsértése;

    v a továbbított információ integritásának és megbízhatóságának megsértése;

    v a rendszer egésze vagy egyes részei működőképességének megsértése.

    Biztonsági szempontból az elosztott rendszerekre elsősorban a jelenléte jellemző távoli támadások , mivel az elosztott rendszerek komponensei általában nyílt adatátviteli csatornákat használnak, és a behatoló nem csak passzívan hallgathatja a továbbított információt, hanem módosíthatja is a továbbított forgalmat (aktív hatás). Ha pedig a forgalomra gyakorolt ​​aktív hatás rögzíthető, akkor a passzív hatás gyakorlatilag kimutathatatlan. De mivel az elosztott rendszerek működése során a szolgáltatási információk cseréje a rendszer komponensei között is a szerint történik. csatornák megnyitása adatátvitel, akkor a szolgáltatási információk a felhasználói adatokkal azonos támadás tárgyává válnak.

    A távoli támadás tényének felderítésének nehézsége az ilyen típusú illegális cselekményeket a veszélyességi fok tekintetében az első helyre helyezi, mivel megakadályozza a fenyegetésre adott időben történő reagálást, aminek következtében a támadónak nagyobb esélye van sikeresen végrehajtotta a támadást.

    Biztonság helyi hálózat az internetezés biztonságához képest abban különbözik, hogy ebben az esetben a fontosságban az első helyet foglalja el regisztrált felhasználók megsértése , mivel a helyi hálózat adatátviteli csatornái túlnyomórészt ellenőrzött területen helyezkednek el és a hozzájuk való jogosulatlan csatlakozás elleni védelem adminisztratív módszerekkel valósul meg.

    A gyakorlatban az IP-hálózatok ki vannak téve a kommunikációs folyamatba való illetéktelen behatolás számos módszerének. A számítástechnika és a hálózatépítés fejlődésével (például a mobil Java-alkalmazások és az ActiveX-vezérlők megjelenésével) a lehetséges típusok listája hálózati támadások az IP-hálózaton folyamatosan bővül [Galitsky A.V., Ryabko S.D., Shangin V.F. Információvédelem a hálózatban - technológiák elemzése és megoldások szintézise. Moszkva: DMK Press, 2004].

    Fontolja meg a hálózati támadások leggyakoribb típusait.

    Lehallgatás (szimatolás). Az adatok többnyire nem biztonságos formátumban (tiszta szöveg) kerülnek továbbításra számítógépes hálózatokon, ami lehetővé teszi a hálózat adatvonalaihoz hozzáférő támadók számára, hogy lehallgatják vagy leolvassák a forgalmat. számítógépes hálózatok lehallgatására használják. szippantó. Csomag szippantó egy olyan alkalmazás, amely elfog egy adott tartományon keresztül továbbított összes hálózati csomagot.

    Jelenleg teljesen legális alapon dolgoznak a szippantásosok a hálózatokban. Hibaelhárításra és forgalomelemzésre használják. Tekintettel azonban arra, hogy egyes hálózati alkalmazások szöveges formátumban továbbítanak adatokat (Telnet, FTP, SMTP, POP3 stb.), a szippantó segítségével hasznos, sőt esetenként még megtudhatja. bizalmas információ(például felhasználónevek és jelszavak).

    Jelszószimatolás A hálózaton titkosítatlan formában a csatorna "lehallgatásával" továbbított támadás egyfajta lehallgatási támadás. A nevek és jelszavak elfogása nagy veszélyt jelent, mivel a felhasználók gyakran ugyanazt a bejelentkezési nevet és jelszót használják több alkalmazáshoz és rendszerhez. Sok felhasználó általában egyetlen jelszóval rendelkezik az összes erőforrás és alkalmazás eléréséhez. Ha az alkalmazás kliens/szerver módban fut, és a hitelesítési adatokat olvasható szöveges formátumban továbbítják a hálózaton, akkor ezt az információt valószínűleg más vállalati vagy külső erőforrások elérésére fogják használni.

    A legrosszabb esetben a hacker rendszerszintű hozzáférést kap egy felhasználói erőforráshoz, és annak felhasználásával új felhasználói attribútumokat hoz létre, amelyek segítségével bármikor elérheti a hálózatot és annak erőforrásait.

    A következő módszerekkel megelőzheti a csomagszippelés veszélyét
    intézkedések és eszközök:

    v egyszeri jelszavak használata a hitelesítéshez;

    v olyan hardver vagy szoftver telepítése, amely felismeri
    szimatolók;

    v alkalmazás kriptográfiai védelem kommunikációs csatornák.

    Adatváltozás. Egy támadó, aki tudott olvasni
    adatait, megteheti a következő lépést – megváltoztathatja azokat. Adatok be
    csomag akkor is módosítható, ha a támadó semmit sem tud
    a feladóról vagy a címzettről. Még akkor is, ha nem kell szigorú
    az összes továbbított adat bizalmas kezelését, valószínűleg nem szeretné
    hogy útközben megváltoztassák őket.

    Hálózati forgalom elemzése. Az ilyen támadások célja
    típusai a kommunikációs csatornák meghallgatása és a továbbított elemzések
    adatok és szolgáltatási információk a topológia és az architektúra tanulmányozása érdekében
    rendszer felépítése, kritikus megszerzése Felhasználói információ
    (például továbbított felhasználói jelszavak vagy hitelkártyaszámok
    ban ben nyitott forma). Atakam ebből a típusból protokollok, például az FTP érintettek
    vagy Telnet, melynek sajátossága, hogy a felhasználónév és jelszó
    ezeken a protokollokon belül egyértelmű.

    Megbízható alany cseréje. A legtöbb hálózat és működés
    rendszer a számítógép IP-címét használja annak meghatározására, hogy a
    ez a kívánt cím. Egyes esetekben helytelen
    IP-cím hozzárendelése (a küldő IP-címének helyettesítése más címmel) - ilyen
    támadási módszert hívnak címhamisítás(IP-hamisítás).

    IP-hamisítás akkor fordul elő, ha egy támadó – akár vállalaton belül, akár azon kívül – legitim felhasználónak adja ki magát. A támadó használhat olyan IP-címet, amely az engedélyezett IP-címek tartományán belül van, vagy olyan engedélyezett külső címet, amely hozzáférhet bizonyos hálózati erőforrásokhoz. A támadók speciális programokat is használhatnak, amelyek IP-csomagokat alkotnak oly módon, hogy úgy tűnnek, mintha a vállalati hálózat engedélyezett belső címeiről érkeznének.

    Az IP-hamisító támadások gyakran más támadások kiindulópontjai. Klasszikus példa van támadás, mint " szolgáltatás megtagadása"(DoS), amely valaki más címével kezdődik, elrejti a hacker valódi kilétét. Az IP-hamisítás általában arra korlátozódik, hogy hamis információkat vagy rosszindulatú parancsokat illesszen be egy normál adatfolyamba, amelyet a kliens és a szerveralkalmazás között továbbítanak, vagy a társak közötti kommunikációs csatornán keresztül.

    A hamisítás veszélye a következő intézkedésekkel mérsékelhető (de nem küszöbölhető ki):

    v a hozzáférés-vezérlés megfelelő konfigurációja a külső hálózatról;

    v állítsa le a saját hálózat felhasználóinak külföldi hálózatok meghamisítási kísérleteit.

    Nem szabad megfeledkezni arról, hogy az IP-hamisítás azzal a feltétellel hajtható végre, hogy a felhasználókat IP-címek alapján hitelesítik, így a további felhasználói hitelesítési módszerek (egyszeri jelszavakon vagy más kriptográfiai módszereken alapuló) bevezetése segít megelőzni az IP-hamisítási támadásokat. .

    Közvetítés. A közvetítői támadás magában foglalja a továbbított adatok egy láthatatlan köztes csomópont általi aktív lehallgatását, lehallgatását és manipulálását. Amikor a számítógépek alacsony hálózati szinteken kommunikálnak, nem mindig tudják meghatározni, hogy kivel kommunikálnak.

    Közvetítés a titkosítatlan kulcsok cseréjében (Man-in-the-Middle támadás). A Man-in-the-Middle támadás végrehajtásához a támadónak hozzá kell férnie a hálózaton keresztül továbbított csomagokhoz. Ilyen hozzáférést az ISP szolgáltatótól bármely másik hálózathoz továbbított összes csomaghoz például ennek a szolgáltatónak egy alkalmazottja szerezhet. Az ilyen típusú támadásokhoz gyakran használnak csomagszimulálókat, szállítási protokollokat és útválasztási protokollokat.

    Általánosabb esetben a Man-in-the-Middle támadások célja információk ellopása, az aktuális munkamenet lehallgatása és a privát hálózati erőforrásokhoz való hozzáférés, a forgalom elemzése és a hálózatról és annak felhasználóiról való információszerzés, DoS támadásokat hajt végre az átvitt adatok torzítására és a jogosulatlan információk bevitelére a hálózati munkamenetekbe.

    A Man-m-the-Middle támadások ellen csak kriptográfia segítségével lehet hatékonyan felvenni a harcot. Az ilyen típusú támadások ellen felügyeleti infrastruktúrát használnak nyilvános kulcsok PKI (Public Key Infrastructure).

    Munkamenet-eltérítés. A kezdeti hitelesítési eljárás végén a jogos felhasználó által létrehozott kapcsolatot, például egy levelezőszerverrel, a támadó átkapcsolja egy új gazdagépre, és az eredeti szervert utasítja a kapcsolat megszakítására. Ennek eredményeként a jogos felhasználó „beszélőpartnere” észrevétlenül lecserélődik.

    A hálózathoz való hozzáférés után a támadó behatolónak nagyszerű lehetőségei vannak:

    v helytelen adatokat küldhet alkalmazásoknak és hálózati szolgáltatásoknak, ami összeomlását vagy hibás működését okozhatja;

    v egy számítógépet vagy egy teljes hálózatot is eláraszthat forgalommal, amíg a rendszer túlterhelés miatt összeomlik;

    v Végül a támadó blokkolhatja a forgalmat, aminek következtében a jogosult felhasználók elveszítik a hozzáférést a hálózati erőforrásokhoz.

    Szolgáltatásmegtagadás (DoS). Ez a támadás különbözik a többi támadástól. Nem célja az Ön hálózatához való hozzáférés, vagy bármilyen információ kinyerése erről a hálózatról. A DoS támadás a hálózat, az operációs rendszer vagy az alkalmazás funkcionalitásának korlátait túllépve használhatatlanná teszi a szervezet hálózatát a normál használatra. Ez a támadás lényegében megtagadja a hétköznapi felhasználók hozzáférését a szervezet hálózatán lévő erőforrásokhoz vagy számítógépekhez.

    A legtöbb DoS támadás a közös rendszerarchitektúra gyengeségeire támaszkodik. Használata esetén néhány szerver alkalmazások(például webszerver vagy FTP-szerver) A DoS-támadások elkaphatják az ezen alkalmazásokhoz elérhető összes kapcsolatot, és elfoglalhatják őket, megakadályozva

    szolgáltatást a hétköznapi felhasználók számára. A DoS támadások olyan általános internetes protokollokat használhatnak, mint a TCP és az ICMP (Internet Control Message Protocol).

    A DoS támadásokat nehéz megakadályozni, mivel egyeztetést igényelnek az internetszolgáltatóval. Ha a hálózatot elárasztó forgalom nem áll le a szolgáltatónál, akkor a hálózat bejáratánál ezt már nem tudja megtenni, mert a teljes sávszélességet lefoglalják.

    Ha ezt a fajta támadást egyszerre több eszközön keresztül hajtják végre, azt mondjuk az elosztott szolgáltatásmegtagadási támadásról DDoS(elosztott DoS).

    A DoS támadások végrehajtásának egyszerűsége és az általuk a szervezeteknek és felhasználóknak okozott hatalmas károk felkeltik a hálózati biztonsági rendszergazdák figyelmét ezekre a támadásokra.

    Jelszavas támadások. E támadások célja egy jogos felhasználó jelszavának és bejelentkezési adatainak átvétele. A támadók jelszavas támadásokat hajthatnak végre, például:

    v M IP-címhamisítás (IP-hamisítás);

    v lehallgatás (szaglás);

    v egyszerű iteráció.

    Az IP-hamisításról és a csomagszimulálásról fentebb volt szó. Ezek a módszerek lehetővé teszik, hogy megszerezze a felhasználó jelszavát és bejelentkezési adatait, ha azokat nem biztonságos csatornán tiszta szövegben továbbítják.

    A hackerek gyakran megpróbálják kitalálni a jelszót és a bejelentkezést, ehhez számos hozzáférési kísérletet használnak. Ezt a megközelítést ún nyers erejű támadás(brutális erőszakos támadás). Ez a támadás használ speciális program Az, amely megpróbál hozzáférni az erőforráshoz közös használatú(például a szerverre). Ha ennek eredményeként a támadónak sikerül kitalálnia a jelszót, a jogokkal rendelkező erőforrásokhoz jut hétköznapi felhasználó. Ha ez a felhasználó jelentős hozzáférési jogosultságokkal rendelkezik, a támadó létrehozhat magának egy "bérletet" a jövőbeni hozzáféréshez, amely akkor is érvényben marad, ha a felhasználó megváltoztatja jelszavát és bejelentkezési nevét.

    A jelszavak lehallgatásának, kiválasztásának és feltörésének módjait ma már gyakorlatilag legálisnak tekintik, és meglehetősen sok vállalat hivatalosan is kiadja. Biztonsági auditálási és helyreállítási programokként vannak elhelyezve. elfelejtett jelszavakat, és legálisan megvásárolhatók a fejlesztőktől.

    A jelszavas támadások elkerülhetők, ha nem használunk egyszerű szöveges jelszavakat. Az egyszeri jelszavak és a kriptográfiai hitelesítés használata gyakorlatilag kizárhatja az ilyen támadások veszélyét. Sajnos nem minden alkalmazás, gazdagép és eszköz támogatja ezeket a hitelesítési módszereket.

    Ha hagyományos jelszavakat használ, olyan jelszót kell kitalálnia, amelyet nehéz kitalálni. A jelszó minimális hosszának legalább nyolc karakternek kell lennie. A jelszónak karaktereket kell tartalmaznia nagybetűs, számok és Különleges szimbólumok(#, $, &, % stb.).

    Key Guessing. A kriptográfiai kulcs egy kód vagy szám, amely a védett információk visszafejtéséhez szükséges. Bár nehéz megtalálni a hozzáférési kulcsot, és sok erőforrást igényel, mégis lehetséges. A kulcsérték meghatározására különösen a brute force módszert megvalósító speciális program használható. Azt a kulcsot, amelyhez a támadó hozzáfér, feltört kulcsnak nevezzük. A támadó egy feltört kulcsot használ, hogy a küldő vagy a címzett tudta nélkül hozzáférjen a biztonságos adatokhoz. A kulcs lehetővé teszi az adatok visszafejtését és módosítását.

    Alkalmazási réteg támadásai. Ezeket a támadásokat többféleképpen lehet végrehajtani. Ezek közül a leggyakoribb a szerver ismert gyenge pontjainak kihasználása szoftver(FTP, HTTP, webszerverek).

    Az alkalmazási réteg támadásainak fő problémája az, hogy gyakran olyan portokat használnak, amelyek áthaladhatnak a tűzfalon.

    Az alkalmazásszintű támadásokat széles körben teszik közzé, hogy az adminisztrátorok javító modulokkal (javításokkal) javítsák a problémát. Sajnos sok hacker is hozzáfér ezekhez az információkhoz, ami lehetővé teszi számukra a tanulást.

    Az alkalmazási réteg támadásait nem lehet teljesen kiküszöbölni. A hackerek folyamatosan fedezik fel és tesznek közzé alkalmazási programok új sebezhetőségeit internetes webhelyeiken.

    Itt fontos a jó rendszeradminisztráció. Az ilyen típusú támadásokkal szembeni sebezhetőség csökkentése érdekében a következő lépéseket teheti:

    v elemzi az operációs rendszer naplófájljait és a hálózati naplófájlokat speciális elemző alkalmazásokkal;

    v CERT-adatok nyomon követése az alkalmazás gyengeségeiről;

    v használja az operációs rendszerek és alkalmazások legújabb verzióit, valamint a legújabb javító modulokat (javító modulokat);

    v IDS (Intrusion Detection Systems) támadásérzékelő rendszereket használ.

    hálózati intelligencia a hálózattal kapcsolatos információk gyűjtése nyilvánosan elérhető adatok és alkalmazások segítségével. Egy hálózat elleni támadás előkészítésekor a hacker általában megpróbál a lehető legtöbb információt megszerezni róla.

    A hálózat felderítése DNS-lekérdezések formájában történik,
    visszhang tesztelés (ping sweep) és port szkennelés. A DNS-lekérdezések segítenek megérteni, hogy kinek a tulajdonosa egy adott tartomány, és milyen címek vannak hozzárendelve az adott tartományhoz. Pinging címek Revealed with DNS használatával, lehetővé teszi annak megtekintését, hogy egy adott környezetben mely gazdagépek futnak valójában. A gazdagépek listája alapján a hacker port-ellenőrző eszközöket használ a fordításhoz teljes lista ezek a gazdagépek által támogatott szolgáltatások. Ennek eredményeként olyan információkat kapnak, amelyek felhasználhatók hackeléshez.

    Lehetetlen teljesen megszabadulni a hálózati intelligenciától. Ha például letiltja az ICMP ping és echo választ a perifériás útválasztókon, akkor megszabadul a pingtől, de elveszíti a hálózati hibák diagnosztizálásához szükséges adatokat. A portokat anélkül is szkennelheti, hogy először pingelné őket. Csak tovább tart, mivel a nem létező IP-címeket is át kell vizsgálni.

    A hálózati és gazdaszintű IDS-rendszerek általában jó munkát végeznek, amikor értesítik a rendszergazdát a folyamatban lévő hálózati felderítésről, ami lehetővé teszi számukra, hogy jobban felkészüljenek egy közelgő támadásra, és figyelmeztessék azt a szolgáltatót (ISP), amelynek hálózatára a túlzott kíváncsiságot mutató rendszer telepítve van. .

    A bizalommal való visszaélés. Ez a fajta cselekvés nem támadás a szó teljes értelmében. Ez a hálózaton meglévő bizalmi kapcsolatok rosszindulatú kihasználása. Az ilyen visszaélések tipikus példája a vállalati hálózat peremén kialakult helyzet. Ez a szegmens általában tartalmaz DNS szerverek, SMTP és HTTP. Mivel mindegyik ugyanahhoz a szegmenshez tartozik, az egyik feltörése az összes többi feltöréséhez vezet, mivel ezek a szerverek megbíznak a hálózatuk más rendszereiben.

    Csökkentheti a bizalom megsértésének kockázatát a hálózaton belüli bizalomszint szigorúbb ellenőrzésével. A tűzfalon kívüli rendszerekben soha nem szabad teljesen megbízni a tűzfal mögötti rendszerekben.

    A bizalmi kapcsolatokat bizonyos protokollokra kell korlátozni, és ha lehetséges, nem csak IP-címekkel, hanem más paraméterekkel is hitelesíteni kell. Rosszindulatú programok. Ilyen programok a számítógépes vírusok, hálózati férgek, trójai programok.

    Vírusok olyan rosszindulatú programok, amelyek befecskendezik magukat más programokba, hogy valamilyen nemkívánatos funkciót hajtsanak végre a végfelhasználó munkaállomásán. A vírust általában a támadók úgy tervezik meg, hogy a lehető leghosszabb ideig észrevétlenül maradjanak. számítógépes rendszer. A vírusok kezdeti nyugalmi időszaka a túlélésük mechanizmusa. A vírus teljes egészében egy adott időpontban jelentkezik, amikor valamilyen hívási esemény történik, például péntek 13-án, ismert dátum stb.

    A vírusprogramok egy fajtája az hálózati féreg, amely a globális hálózaton terjesztve van, és nem hagyja bekapcsolva a példányát mágneses közeg. A kifejezést olyan programokra használják, amelyek a galandférgekhez hasonlóan számítógépes hálózaton keresztül egyik rendszerről a másikra utaznak. A féreg hálózati támogatási mechanizmusokat használ annak meghatározására, hogy melyik gazdagépet érheti el. Ezután ugyanezekkel a mechanizmusokkal a féreg átviszi testét erre a csomópontra, és vagy aktiválódik, vagy megvárja a megfelelő feltételeket az aktiváláshoz. A hálózati férgek a rosszindulatú programok veszélyes típusai, mivel a globális internetre csatlakoztatott több millió számítógép közül bármelyik támadás tárgyává válhat. A féreg elleni védelem érdekében óvintézkedéseket kell tennie a belső hálózathoz való jogosulatlan hozzáférés ellen.

    A számítógépes vírusok az ún "trójai falvak"(trójaiak). A trójai faló egy olyan program, amely hasznos alkalmazásnak tűnik, de valójában káros funkciókat hajt végre (a szoftverek megsemmisítése
    biztonság, bizalmas adatokat tartalmazó fájlok másolása és elküldése támadónak stb.). A "trójai faló" veszélye az eredeti ártalmatlan programba beillesztett további parancsblokkban rejlik, amelyet aztán az AS-felhasználók rendelkezésére bocsátanak. Ez a parancsblokk bármely feltétel (dátum, rendszerállapot) vagy külső paranccsal indítható. Az ilyen programot futtató felhasználó mind a fájljait, mind a teljes AS-t veszélyezteti.

    A Sophos biztonsági fenyegetéskezelési jelentése szerint 2006 első felében a trójai falók száma négyszer meghaladta a vírusok és férgek számát, szemben a 2005 első hat hónapjában tapasztalt kétszeres növekedéssel. A Sophos beszámol arról is, hogy egy új fajta trójai, ransomware néven ismert. Az ilyen programok adatokat lopnak el a fertőzött számítógépekről, majd a felhasználótól bizonyos váltságdíjat kérnek értük.

    A végfelhasználói munkaállomások nagyon érzékenyek a vírusokra, férgekre és trójai falókra.

    A modern rosszindulatú programok egyik jellemzője, hogy speciális alkalmazásszoftverekre összpontosítanak, amelyek a legtöbb felhasználó, elsősorban a Microsoft, de facto szabványává váltak. internet böngészőés Microsoft Outlook. Vírusok tömeges létrehozása alatt Microsoft termékek nemcsak a programok alacsony szintű biztonsága és megbízhatósága miatt fontos szerepet játszik ezen termékek globális forgalmazása. A rosszindulatú szoftverek szerzői egyre gyakrabban kezdik felfedezni a "lyukakat" a népszerű adatbázis-kezelő rendszerekben, a köztes szoftverekben és az ezekre a rendszerekre épülő vállalati üzleti alkalmazásokban.

    A vírusok, férgek és trójaiak folyamatosan fejlődnek, és fejlődésük fő tendenciája a polimorfizmus. Ma már elég nehéz határt húzni egy vírus, egy féreg és egy trójai között, szinte ugyanazokat a mechanizmusokat használják, az apró különbség csak a használat mértékében van. A rosszindulatú szoftverek eszköze mára annyira egységessé vált, hogy például szinte lehetetlen különbséget tenni a levelezővírus és a pusztító funkciójú féreg között. Még a "trójai" programoknak is van replikációs funkciója (mint a vírusirtó eszközök elleni küzdelem egyik eszköze), így ha kívánja, nevezhetjük vírusoknak (alkalmazási programoknak álcázott terjesztési mechanizmussal).

    Az ilyen rosszindulatú programok elleni védelem érdekében számos intézkedést kell alkalmazni:

    v a végrehajtható fájlokhoz való jogosulatlan hozzáférés kizárása;

    v vásárolt szoftver tesztelése;

    v integritás ellenőrzése futtatható fájlokés rendszerterületek;

    v zárt programvégrehajtási környezet létrehozása.

    A vírusok, férgek és trójai falók ellen hatékony vírusirtó szoftverrel küzdenek, amely felhasználói szinten és esetleg hálózati szinten is működik. Ahogy új vírusok, férgek és trójai falók jelennek meg, új adatbázisokat kell telepíteni a víruskereső eszközökről és alkalmazásokról.

    Spam és adathalászat nem szoftveres fenyegetésekhez tartoznak. E két fenyegetés elterjedtsége jelentősen megnőtt az utóbbi időben.

    levélszemét, amely ma már meghaladja a teljes levélforgalom 80%-át, fenyegetést jelenthet az információk elérhetőségére a levelezőszerverek blokkolásával, vagy rosszindulatú szoftverek terjesztésére használható.

    Adathalászat Az adathalászat (phishing) egy viszonylag új típusú internetes csalás, amelynek célja a felhasználók személyazonosságának megszerzése. Ez magában foglalja a jelszavak, hitelkártyaszámok, bankszámlák, PIN kódok és egyéb bizalmas információk ellopását, amelyek hozzáférést biztosítanak a felhasználó pénzéhez. Az adathalászat nem a szoftver technikai hibáit használja ki, hanem az internetezők hiszékenységét. Maga az adathalászat kifejezés, amely megegyezik a halászattal (fishing), a password harvesting fishing - jelszóhalászat rövidítése. Valójában az adathalászat nagyon hasonlít a horgászathoz. Egy támadó csalit dob ​​az internetre, és "kifogja az összes halat" – az internetezők, akik ráharapnak erre a csalira.

    A támadó szinte teremt pontos másolat a kiválasztott bank weboldala (elektronikus fizetési rendszer, árverés stb.). Ezután a spam technológia segítségével email olyan levél kerül elküldésre, amelyet úgy állítanak össze, hogy az a lehető leghasonlatosabb legyen a kiválasztott bank valódi leveléhez. A levél összeállításakor banklogókat, valódi bankvezetők nevét és vezetéknevét használjuk. Egy ilyen levélben általában azt írják, hogy az internetes banki rendszer szoftverében bekövetkezett változás miatt a felhasználónak meg kell erősítenie vagy módosítania kell a hitelesítő adatait. Az adatok megváltoztatásának oka lehet a bank szoftverének meghibásodása vagy hackerek támadása. Egy hihető legenda jelenléte, amely a felhasználót a szükséges lépések megtételére ösztönzi, az adathalász csalók sikerének nélkülözhetetlen összetevője. Az ilyen levelek célja minden esetben ugyanaz - rákényszeríteni a felhasználót, hogy rákattintson a megadott linkre, majd a bank hamis weboldalán (elektronikus fizetési rendszer, aukció) adja meg bizalmas adatait (jelszavak, számlaszámok, PIN kódok). ). A hamis oldalra való belépés után a felhasználó beírja bizalmas adatait a megfelelő sorokba, majd a csalók a legjobb esetben is hozzáférnek postafiók, legrosszabb esetben - elektronikus számlára.

    Az adathalász technológiákat fejlesztik, social engineering módszereket alkalmaznak. Megpróbálják megijeszteni az ügyfelet, kritikus indokot találnak ki számára, hogy kiadja bizalmas adatait. Az üzenetek általában fenyegetéseket tartalmaznak, például a fiók blokkolására, ha a címzett nem felel meg az üzenetben meghatározott követelményeknek.

    Volt egy konjugált adathalász koncepcióval - mezőgazdasági . Ez is egy átverés, amelynek célja a felhasználók személyes adatainak megszerzése, de nem levélben, hanem közvetlenül a hivatalos weboldalakon keresztül. A gazdálkodók lecserélik a DNS-kiszolgálókon található legitim webhelyek digitális címeit hamisakra, aminek eredményeként a felhasználókat csalárd oldalakra irányítják át. Ez a fajta csalás még veszélyesebb, mivel szinte lehetetlen észrevenni a hamisítványt.

    Jelenleg a csalók gyakran használnak "trójai" programokat. Az adathalász feladata ebben az esetben nagymértékben leegyszerűsödik - elegendő arra kényszeríteni a felhasználót, hogy lépjen az adathalász webhelyre, és „felvesz” egy programot, amely függetlenül megtalálja az áldozat merevlemezén mindent, ami szükséges. A "trójai" programokkal együtt elkezdték használni és keyloggerek. A hamis webhelyek kémprogramokat töltenek le, amelyek nyomon követik a billentyűleütéseket az áldozatok számítógépén. Ennek a megközelítésnek a használatakor nem szükséges hozzáférést találni egy adott bank vagy vállalat ügyfeleihez, ezért az adathalászok elkezdtek hamisítani webhelyeket. Általános rendeltetésű, mint például a hírfolyamok és a keresőmotorok.

    Az adathalász csalások sikere hozzájárul alacsony szint a felhasználók tájékozottsága azon cégek működési szabályairól, amelyek nevében a bűnözők fellépnek. Konkrétan a felhasználók körülbelül 5%-a nem tud egy egyszerű tényt: a bankok nem küldenek levelet hitelkártyaszámuk és PIN-kódjuk online megerősítésére.

    Elemzők (www.cnews.ru) szerint az adathalászok által a világgazdaságban okozott kár 2003-ban elérte a 14 milliárd dollárt, egy évvel később pedig már a 44 milliárd dollárt. A Symantec statisztikái szerint 2004 közepén a vállalat szűrői hetente akár 9 millió adathalász tartalmú e-mailt is blokkoltak. Az év végére 33 millió.

    A levélszemétszűrők továbbra is az adathalászat elleni fő védelmet jelentik. Sajnos az adathalászat elleni szoftvereszközök hatékonysága korlátozott, mivel a támadók elsősorban az emberi pszichológiát használják ki, nem pedig a szoftverhibákat. Aktívan fejlesztik a műszaki biztonsági eszközöket, elsősorban a népszerű böngészőkhöz való beépülő modulokat. A védelem lényege, hogy blokkoljuk azokat az oldalakat, amelyek csalárd források által feketelistára kerültek. A következő lépés a bankszámlákhoz és a fizetési rendszerekben lévő számlákhoz történő internetes hozzáféréshez egyszeri jelszavak generálására szolgáló rendszerek, a további védelmi szintek széles körű elterjesztése a hardveres USB-kulcs segítségével történő jelszóbevitel kombinációjával.

    A felsorolt ​​IP-hálózatok elleni támadások számos okból lehetségesek:

    v nyilvános adatcsatornák használata. A kritikus adatok titkosítás nélkül kerülnek továbbításra a hálózaton;

    v A TCP/IP-veremben megvalósított hitelesítési eljárások biztonsági rései. Az IP-réteg azonosítási információi tiszta formában kerülnek továbbításra;

    v hiányzás be alap verzió protokoll verem TCP / IP mechanizmusok, amelyek biztosítják a továbbított üzenetek titkosságát és integritását;

    v A feladót az IP-címe hitelesíti. A hitelesítési eljárás csak a kapcsolatlétesítési szakaszban történik, és a kapott csomagok hitelességét nem ellenőrzik;

    v az üzenetek útvonala feletti ellenőrzés hiánya az interneten, ami gyakorlatilag büntetlenné teszi a távoli hálózati támadásokat.

    Eljárás a hálózati támadások észlelésére.

    1. A hálózati támadások osztályozása

    1.1. Csomagszagolók

    A csomagszimuláló egy olyan alkalmazási program, amely a hálózati kártya, Promiscuous módban működik ( ebben az üzemmódban a hálózati adapter minden fizikai csatornán fogadott csomagot elküld az alkalmazásnak feldolgozásra). Ebben az esetben a szippantó elfog minden hálózati csomagot, amelyet egy adott tartományon keresztül továbbítanak.

    1.2. IP-hamisítás

    IP-hamisítás akkor fordul elő, ha egy hacker – akár a rendszeren belül, akár azon kívül – jogosult felhasználónak adja ki magát. Ezt kétféleképpen lehet megtenni. Először is, a hacker használhat olyan IP-címet, amely az engedélyezett IP-címek tartományán belül van, vagy olyan engedélyezett külső címet, amely hozzáférést biztosít bizonyos hálózati erőforrásokhoz. Az IP-hamisító támadások gyakran más támadások kiindulópontjai. Klasszikus példa a DoS támadás, amely valaki más címével kezdődik, és elrejti a hacker valódi kilétét.

    Az IP-hamisítás általában arra korlátozódik, hogy hamis információkat vagy rosszindulatú parancsokat illesszen be egy normál adatfolyamba, amelyet a kliens és a szerveralkalmazás között továbbítanak, vagy a társak közötti kommunikációs csatornán keresztül. A kétirányú kommunikációhoz a hackernek módosítania kell az összes útválasztó táblát, hogy a forgalmat hamis IP-címre irányítsa. Egyes hackerek azonban meg sem próbálnak választ kapni az alkalmazásoktól. Ha a fő feladat a rendszerből való fogadás fontos fájl, az alkalmazás válaszai nem relevánsak.

    Ha a hackernek sikerül megváltoztatnia az útválasztási táblákat és hamis IP-címre irányítani a forgalmat, a hacker megkapja az összes csomagot, és úgy válaszolhat rájuk, mintha jogosult felhasználó lenne.

    1.3. Szolgáltatásmegtagadás ( Szolgáltatásmegtagadás – DoS)

    A DoS a legismertebb forma hacker támadások. Az ilyen típusú támadások ellen a legnehezebb száz százalékos védelmet létrehozni.

    A legtöbb ismert fajtái DoS:

    • TCP SYN Flood Ping of Death Tribe Flood Network ( TFN);
    • Tribe Flood Network 2000 TFN2K);
    • Trinco;
    • Stacheldracht;
    • Szentháromság.

    A DoS támadások különböznek a többi támadástípustól. Nem arra szolgálnak, hogy hozzáférést kapjanak a hálózathoz vagy információt szerezzenek a hálózatról. A DoS támadás a hálózat, az operációs rendszer vagy az alkalmazás megengedett határainak túllépésével elérhetetlenné teszi a hálózatot normál használatra.

    Egyes szerveralkalmazások használatakor (például webszerver vagy FTP-szerver) A DoS-támadások során az alkalmazásokhoz elérhető összes kapcsolatot elveszik, és elfoglalt állapotban tartják őket, megakadályozva a normál felhasználók kiszolgálását. A DoS támadások olyan általános internetes protokollokat használhatnak, mint a TCP és az ICMP ( Internet Control Message Protocol). A legtöbb DoS támadás nem szoftverhibákon vagy biztonsági réseken alapul, hanem a rendszer architektúrájának általános gyengeségein. Egyes támadások érvénytelenítik a hálózat teljesítményét azáltal, hogy nem kívánt és szükségtelen csomagokkal árasztják el, vagy hamisan ábrázolják a hálózati erőforrások aktuális állapotát. Ezt a fajta támadást nehéz megakadályozni, mivel egyeztetést igényel az internetszolgáltatóval. Ha a hálózatot elárasztó forgalom nem áll le a szolgáltatónál, akkor a hálózat bejáratánál ezt már nem tudja megtenni, mert a teljes sávszélességet lefoglalják. Ha az ilyen típusú támadást egyszerre több eszközön keresztül hajtják végre, a támadás egy elosztott DoS ( DDoS – elosztott DoS).

    1.4. Jelszavas támadások

    A hackerek számos módszerrel hajthatnak végre jelszavas támadásokat, például nyers erővel ( nyers erő támadás), trójai faló, IP-hamisítás és csomagszimulálás. Bár a bejelentkezési név és a jelszó gyakran megszerezhető IP-hamisítással és csomagszimulációval, a hackerek gyakran többszörös hozzáférési kísérlettel próbálják kitalálni a jelszót és a bejelentkezést. Ezt a megközelítést ún egyszerű felsorolás (brutális erőszakos támadás). Az ilyen támadások gyakran egy speciális programot használnak, amely megpróbál hozzáférni egy megosztott erőforráshoz ( például a szerverre). Ha ennek eredményeként egy hacker hozzáfér az erőforrásokhoz, akkor rendszeres felhasználóként kapja meg, akinek a jelszavát kitalálták. Ha ez a felhasználó jelentős hozzáférési jogosultságokkal rendelkezik, a hacker létrehozhat magának egy "átjárót" a jövőbeni hozzáféréshez, amely akkor is működik, ha a felhasználó megváltoztatja jelszavát és bejelentkezési nevét.

    Egy másik probléma akkor merül fel, ha a felhasználók ugyanazt ( még ha nagyon jó is) jelszó számos rendszer eléréséhez: vállalati, személyes és internetes rendszerekhez. Mivel a jelszó erőssége megegyezik a leggyengébb gazdagépével, a jelszót ezen a gazdagépen keresztül megtanuló hacker hozzáfér minden olyan rendszerhez, ahol ugyanazt a jelszót használják.

    1.5. Man-in-the-Middle támadások

    A Man-in-the-Middle támadáshoz a hackernek hozzá kell férnie a hálózaton keresztül küldött csomagokhoz. Ilyen hozzáférést a szolgáltatótól bármely másik hálózathoz továbbított összes csomaghoz például a szolgáltató alkalmazottja szerezhet. Az ilyen típusú támadásokhoz gyakran használnak csomagszimulálókat, szállítási protokollokat és útválasztási protokollokat. A támadások célja az információk ellopása, az aktuális munkamenet lehallgatása és a magánhálózati erőforrásokhoz való hozzáférés, a forgalom elemzése és a hálózatról és annak felhasználóiról való információszerzés, DoS támadások végrehajtása, a továbbított adatok torzítása és jogosulatlan információk bevitele a hálózati munkamenetekbe.

    1.6. Alkalmazásréteg támadások

    Az alkalmazási réteg támadásai többféle módon hajthatók végre. Ezek közül a leggyakoribb a szerverszoftver gyenge pontjainak kihasználása ( sendmail, HTTP, FTP). Ezekkel a gyengeségekkel a hackerek hozzáférhetnek a számítógéphez az alkalmazást futtató felhasználó nevében ( általában ez nem egy egyszerű felhasználó, hanem egy privilegizált rendszergazda jogokkal rendszer hozzáférés ). Az alkalmazásszintű támadás részleteit széles körben közzéteszik, hogy az adminisztrátorok javíthassák a problémát javító modulok segítségével ( foltok). Az alkalmazási réteg támadásainak fő problémája az, hogy gyakran olyan portokat használnak, amelyek áthaladhatnak a tűzfalon. Például egy webszerver egy jól ismert gyengeségét kihasználó hacker TCP-támadás során gyakran a 80-as portot használja.Mivel a webszerver weblapokat tesz közzé a felhasználók számára, a tűzfalnak hozzáférést kell biztosítania ehhez a porthoz. A tűzfal szempontjából a támadást a 80-as porton szokásos forgalomként kezelik.

    1.7. hálózati intelligencia

    A hálózati intelligencia a hálózattal kapcsolatos információk gyűjtése nyilvánosan elérhető adatok és alkalmazások segítségével. Egy hálózat elleni támadás előkészítésekor a hacker általában megpróbál a lehető legtöbb információt megszerezni róla. A hálózati felderítés DNS-lekérdezések, ping-sweepek és portvizsgálatok formájában valósul meg. A DNS-lekérdezések segítenek megérteni, hogy kinek a tulajdonosa egy adott tartomány, és milyen címek vannak hozzárendelve az adott tartományhoz. Echo tesztelés ( ping sweep) segítségével láthatja, mely gazdagépek működnek valójában egy adott környezetben. A gazdagépek listája alapján a hacker port-ellenőrző eszközöket használ az adott gazdagép által támogatott szolgáltatások teljes listájának összeállításához. Végül pedig a hacker elemzi a gazdagépeken futó alkalmazások jellemzőit. Ennek eredményeként olyan információkat kapnak, amelyek felhasználhatók hackeléshez.

    1.8. a bizalom megsértése

    Ez a fajta cselekvés nem "támadás" vagy "vihar". Ez a hálózaton meglévő bizalmi kapcsolatok rosszindulatú kihasználása. Példa erre a tűzfal külső oldalára telepített rendszer, amely bizalmi kapcsolatban áll a belsejében telepített rendszerrel. Abban az esetben, ha egy külső rendszert feltörnek, a hacker bizalmi kapcsolatok segítségével behatolhat egy tűzfallal védett rendszerbe.

    1.9. Port továbbítás

    A porttovábbítás a bizalom megsértésének egyik formája, amikor egy feltört gazdagépet használnak arra, hogy forgalmat küldjenek egy tűzfalon keresztül, amelyet egyébként biztosan elutasítanak. Ilyen hozzáférést biztosító alkalmazás például a netcat.

    1.10. Illetéktelen hozzáférés

    Az illetéktelen hozzáférés nem tekinthető külön típusú támadásnak. A legtöbb hálózati támadást jogosulatlan hozzáférés céljából hajtják végre. A telnet bejelentkezéshez a hackernek először telnet promptot kell kapnia a rendszerén. Csatlakozás után telnet portüzenet jelenik meg a képernyőn "az erőforrás használatához engedély szükséges" (Az erőforrás használatához engedély szükséges.). Ha ezt követően a hacker továbbra is próbálkozik a hozzáféréssel, a rendszer figyelembe veszi "jogosulatlan". Az ilyen támadások forrása lehet a hálózaton belül és kívül is.

    1.11. Vírusok és ilyen típusú alkalmazások "Trójai faló"

    A kliens munkaállomások nagyon ki vannak téve a vírusoknak és a trójai programoknak. "Trójai faló"- ez nem egy szoftver betét, hanem egy valódi program, ami hasznos alkalmazásnak tűnik, de valójában káros szerepet játszik.

    2. A hálózati támadások elleni küzdelem módszerei

    2.1. A következő eszközök használatával mérsékelheti a csomagszimulálás veszélyét:

    2.1.1. Hitelesítés – Az erős hitelesítés az első védekezés a csomagszippelés ellen. Alatt "erős" nehezen megkerülhető hitelesítési módszert értünk. Ilyen hitelesítésre példa az egyszeri jelszavak ( OTP – Egyszeri jelszavak). Az OTP egy kéttényezős hitelesítési technológia, amely egyesíti azt, amivel rendelkezel, amit tudsz. A "kártya" alatt ( jelképes) alatt hardver ill szoftver eszköz, generál ( véletlenszerűen) egyedi, egyszeri jelszó. Ha egy hacker egy szippantó segítségével megtanulja ezt a jelszót, akkor ez az információ haszontalan lesz, mert ekkor a jelszó már használt és elavult lesz. A szippantás kezelésének ez a módja csak a jelszószippantás kezelésére hatásos.

    2.1.2. Kapcsolt infrastruktúra – A hálózati környezetben történő csomagszippantás elleni küzdelem másik módja egy kapcsolt infrastruktúra létrehozása, ahol a hackerek csak azon a porton férhetnek hozzá a forgalomhoz, amelyhez csatlakoznak. A kapcsolt infrastruktúra nem szünteti meg a szippantás veszélyét, de jelentősen csökkenti annak súlyosságát.

    2.1.3. Szippantásgátlók – A szippantás elleni küzdelem harmadik módja az, ha olyan hardvert vagy szoftvert telepítünk, amely felismeri a hálózaton futó szippantókat. Ezek az eszközök nem tudják teljesen kiküszöbölni a fenyegetést, de sok más hálózati biztonsági eszközhöz hasonlóan benne vannak közös rendszer védelem. Úgy hívják "szagolóellenesek" mérje meg a gazdagépek válaszidejét, és határozza meg, hogy a gazdagépeknek kell-e feldolgozniuk "külön" forgalom.

    2.1.4. Kriptográfia – A legtöbb hatékony módszer a csomagszippantás nem akadályozza meg a lehallgatást, és nem ismeri fel a szippantók munkáját, de használhatatlanná teszi ezt a munkát. Ha a kommunikációs csatorna kriptográfiailag biztonságos, ez azt jelenti, hogy a hacker nem az üzenetet, hanem a titkosított szöveget (vagyis egy érthetetlen bitsorozatot) fogja el.

    2.2. A hamisítás veszélye csökkenthető ( de nem szünteti meg) a következő intézkedésekkel:

    2.2.1. Hozzáférés-szabályozás – Az IP-hamisítás megelőzésének legegyszerűbb módja a helyes beállítás hozzáférés-szabályozás. Az IP-hamisítás hatékonyságának csökkentése érdekében a hozzáférés-vezérlés úgy van konfigurálva, hogy megszakítsa a külső hálózatról érkező forgalmat, amelynek forráscíme a hálózaton belül kell legyen. Ez segít az IP-hamisítás elleni küzdelemben, amikor csak a belső címek engedélyezettek. Ha néhány külső hálózati cím is engedélyezett, ez a módszer hatástalanná válik.

    2.2.2. Az RFC 2827 szűrése – a vállalati hálózat felhasználóinak külföldi hálózatok meghamisítási kísérleteinek visszaszorítása. Ehhez vissza kell utasítani minden olyan kimenő forgalmat, amelynek forráscíme nem a Bank IP-címei közé tartozik. Ezt a fajta szűrést, amit "RFC 2827" néven ismernek, egy internetszolgáltató is végrehajthat ( ISP). Ennek eredményeként minden olyan forgalom elutasításra kerül, amely nem rendelkezik egy adott felületen várható forráscímmel.

    2.2.3. A legtöbb hatékony módszer Az IP-hamisítás elleni küzdelem ugyanaz, mint a csomagszippelés esetében: a támadást teljesen hatástalanná kell tenni. Az IP-hamisítás csak akkor működik, ha a hitelesítés IP-címeken alapul. Ezért a további hitelesítési módszerek bevezetése használhatatlanná teszi az ilyen típusú támadásokat. legjobb kilátás a további hitelesítés kriptográfiai. Ha ez nem lehetséges, jó eredményeket lehet adni kéttényezős hitelesítés egyszeri jelszavak használatával.

    2.3. A DoS támadások veszélye a következő módokon mérsékelhető:

    2.3.1. Hamisítás elleni funkciók – A hamisítás elleni funkciók megfelelő konfigurálása az útválasztókon és a tűzfalakon segít csökkenteni a DoS kockázatát. Ezeknek a funkcióknak tartalmazniuk kell legalább az RFC 2827 szűrést. Hacsak egy hacker nem tudja leplezni valódi személyazonosságát, nem valószínű, hogy megkísérelné a támadást.

    2.3.2. Anti-DoS funkciók – Az útválasztókon és tűzfalakon az anti-DoS funkciók megfelelő konfigurálása korlátozhatja a támadások hatékonyságát. Ezek a funkciók korlátozzák az egyszerre félig nyitott csatornák számát.

    2.3.3. A forgalom korlátozása ( forgalomkorlátozás) – szerződés a szolgáltatóval ( ISP) a forgalom korlátozásáról. Ez a fajta szűrés lehetővé teszi a hálózaton áthaladó, nem kritikus forgalom mennyiségének korlátozását. Gyakori példa a hangerőkorlátozás ICMP forgalom, amelyet csak diagnosztikai célokra használnak. támadások ( D) A DoS gyakran használja az ICMP-t.

    2.3.4. IP-címek blokkolása – miután elemezte a DoS-támadást, és azonosította azon IP-címek tartományát, amelyekről a támadást végrehajtják, lépjen kapcsolatba a szolgáltatóval a blokkoláshoz.

    2.4. A jelszavas támadások elkerülhetők, ha nem használunk egyszerű szöveges jelszavakat. Az egyszeri jelszavak és/vagy kriptográfiai hitelesítés gyakorlatilag kiküszöbölheti az ilyen támadások veszélyét. Nem minden alkalmazás, gazdagép és eszköz támogatja a fenti hitelesítési módszereket.

    Ha hagyományos jelszavakat használ, olyan jelszót kell kitalálnia, amelyet nehéz kitalálni. A jelszó minimális hosszának legalább nyolc karakternek kell lennie. A jelszónak tartalmaznia kell nagybetűket, számokat és speciális karaktereket ( #, %, $ stb.). A legjobb jelszavakat nehéz kitalálni, és nehéz megjegyezni, így a felhasználóknak papírra kell írniuk a jelszavakat.

    2.5. A Man-in-the-Middle támadásokat csak titkosítással lehet hatékonyan kezelni. Ha egy hacker elfogja egy titkosított munkamenet adatait, akkor nem egy elfogott üzenet jelenik meg a képernyőn, hanem egy értelmetlen karakterkészlet. Vegye figyelembe, hogy ha egy hacker információt kap egy kriptográfiai munkamenetről ( például munkamenet kulcs), ez még titkosított környezetben is lehetővé teheti a Man-in-the-Middle támadást.

    2.6. Az alkalmazási réteg támadásait nem lehet teljesen kiküszöbölni. A hackerek folyamatosan fedezik fel és tesznek közzé új alkalmazások sebezhetőségét az interneten. A legfontosabb a jó rendszeradminisztráció.

    Lépések, amelyeket megtehet az ilyen típusú támadásokkal szembeni sebezhetőségének csökkentése érdekében:

    • operációs rendszerek és hálózati naplófájlok olvasása és/vagy elemzése speciális elemző alkalmazások segítségével;
    • az operációs rendszerek és alkalmazások verzióinak időben történő frissítése és a legújabb korrekciós modulok telepítése ( foltok);
    • támadásfelismerő rendszerek használata ( IDS).

    2.7. Lehetetlen teljesen megszabadulni a hálózati intelligenciától. Ha letiltja az ICMP echo és echo reply funkciót a perifériás útválasztókon, akkor megszabadul a pingeléstől, de elveszíti a hálózati hibák diagnosztizálásához szükséges adatokat. A portokat anélkül is szkennelheti, hogy először pingelné őket. Ez csak tovább tart, mivel a nem létező IP-címeket is be kell vizsgálni. A hálózati és gazdagép szintű IDS rendszerek általában jól értesítik az adminisztrátort a folyamatban lévő hálózatfelderítésről, ami lehetővé teszi számukra, hogy jobban felkészüljenek egy közelgő támadásra és értesítsék az internetszolgáltatót ( ISP), amelynek hálózatára túlzott kíváncsiságot mutató rendszer van telepítve.

    2.8. Csökkentheti a bizalom megsértésének kockázatát a hálózaton belüli bizalomszint szigorúbb ellenőrzésével. A tűzfal által védett rendszerek soha nem bízhatnak teljesen a tűzfalon kívüli rendszerekben. A bizalmi kapcsolatokat bizonyos protokollokra kell korlátozni, és ha lehetséges, nem csak IP-címekkel, hanem más paraméterekkel is hitelesíteni kell.

    2.9. A porttovábbítás kezelésének fő módja az erős bizalmi modellek használata ( lásd a 2.8. pontot ). Ezenkívül az IDS gazdarendszer ( HIDS).

    2.10. A jogosulatlan hozzáférés elleni küzdelem módjai meglehetősen egyszerűek. A fő dolog itt az, hogy csökkentse vagy teljesen megszüntesse a hackerek azon képességét, hogy jogosulatlan protokoll segítségével hozzáférjenek a rendszerhez. Példaként fontolja meg annak megakadályozását, hogy a hackerek hozzáférjenek a telnet porthoz egy olyan kiszolgálón, amely webszolgáltatásokat nyújt külső felhasználóknak. A porthoz való hozzáférés nélkül a hacker nem tudja megtámadni. Ami a tűzfalat illeti, fő feladata a legegyszerűbb jogosulatlan hozzáférési kísérletek megakadályozása.

    2.11. A vírusok és trójai falók elleni küzdelem hatékony, felhasználói szinten és hálózati szinten is működő vírusirtó szoftver segítségével zajlik. A víruskereső eszközök felismerik a legtöbb vírust és trójai falót, és megakadályozzák azok terjedését.

    3. Műveletek algoritmusa hálózati támadások észlelésekor

    3.1. A legtöbb hálózati támadást az automatikusan telepített információvédelmi eszközök blokkolják ( tűzfalak, megbízható rendszerindító eszközök, hálózati útválasztók, víruskereső eszközök stb.).

    3.2. A blokkoláshoz vagy a következmények súlyosságának mérsékléséhez emberi beavatkozást igénylő támadások közé tartoznak a DoS támadások.

    3.2.1. A DoS támadásokat a hálózati forgalom elemzése észleli. A támadás kezdetét a " vezetés» kommunikációs csatornák erőforrás-igényes, hamis címekkel rendelkező csomagok használatával. Az internetes banki oldalt ért ilyen támadás megnehezíti a jogos felhasználók hozzáférését, és a webes erőforrás elérhetetlenné válhat.

    3.2.2. Ha támadást észlelnek Rendszergazda a következő műveleteket hajtja végre:

    • végrehajtja az útválasztó manuális átkapcsolását a tartalék csatornára és vissza, hogy azonosítson egy kevésbé terhelt csatornát (szélesebb sávszélességű csatornát);
    • felfedi azon IP-címek tartományát, amelyekről a támadást végrehajtják;
    • kérést küld a szolgáltatónak, hogy blokkolja a megadott tartományból származó IP-címeket.

    3.3. A DoS támadást általában az ügyfél erőforrásai elleni sikeres támadás álcázására használják, hogy megnehezítsék az észlelést. Ezért DoS támadás észlelésekor elemezni kell a legfrissebb tranzakciókat, hogy azonosítani lehessen a szokatlan tranzakciókat, blokkolni kell őket (ha lehetséges), és egy alternatív csatornán keresztül kapcsolatba lépni az ügyfelekkel a tranzakciók megerősítése érdekében.

    3.4. Ha az ügyféltől jogosulatlan cselekményekre vonatkozó információ érkezik, minden rendelkezésre álló bizonyítékot rögzítenek, belső vizsgálatot végeznek, és kérelmet nyújtanak be a bűnüldöző szervekhez.

    Letöltés ZIP fájl (24151)

    A dokumentumok jól jöttek - dobj egy "lájkot":

    Jegy 1. Az információbiztonság alapfogalmai és definíciói: támadások, sebezhetőségek, biztonsági politika, biztonsági mechanizmusok és szolgáltatások. A támadások osztályozása. Hálózatbiztonsági és biztonsági modellek tájékoztatási rendszer

    Sebezhetőség - gyengeség használható rendszerben támadás.

    Kockázat - annak a valószínűsége, hogy egy adott támadás meghatározott felhasználásával kerül végrehajtásra sebezhetőségek. Végső soron minden szervezetnek döntenie kell a szintről kockázat. Ennek a döntésnek tükröződnie kell a szervezet által elfogadott biztonsági politikában.

    Biztonsági politika — szabályok, irányelvek és gyakorlatok, amelyek szabályozzák az információs értékek kezelését, védelmét és elosztását a szervezeten belül és az információs rendszerek között; odaítélési kritériumrendszer biztonsági szolgáltatások.

    Támadás - minden olyan intézkedés, amely sérti az információs rendszer biztonságát. Formálisabban ezt mondhatjuk támadás egy művelet vagy kapcsolódó műveletek sorozata, amely használja sebezhetőségek ezt az információs rendszert, és a biztonsági politika megsértéséhez vezet.

    Biztonsági mechanizmus - szoftver és/vagy hardver, amely észleli és/vagy megakadályozza támadás.

    Biztonsági szervíz - olyan szolgáltatás, amely szabályzat által meghatározott biztonságot nyújt a rendszerek és/vagy a továbbított adatok számára, vagy meghatározza a megvalósítást támadások. Szolgáltatás egy vagy több biztonsági mechanizmust használ.
    ^

    Hálózati biztonsági modell A hálózati támadások osztályozása


    Összes támadások két osztályra osztható: passzívés aktív.

    I. Passzív támadás

    Ezt passzívnak nevezik támadás , amellyel ellenség nem tudja módosítani a továbbított üzeneteket, és saját üzeneteit beilleszteni a feladó és a címzett közötti információs csatornába. cél passzív támadás csak a továbbított üzenetek meghallgatása és a forgalomelemzés lehetséges.

    Ezt hívják aktívnak támadás , amellyel ellenség képes módosítani a továbbított üzeneteket és beszúrni saját üzeneteket. A következő típusok léteznek aktív támadások:

    ^ II. Aktív támadás

    Szolgáltatás megtagadása - DoS támadás (szolgáltatásmegtagadás)

    A szolgáltatás megtagadása megzavarja a hálózati szolgáltatások normál működését. Ellenség képes elkapni egy adott célállomásra küldött összes üzenetet. Egy másik példa ilyenre támadások jelentős forgalmat generál, aminek következtében a hálózati szolgáltatás nem tudja feldolgozni a jogos ügyfelektől érkező kéréseket. Klasszikus példa erre támadások A TCP/IP hálózatokban egy SYN támadás, amelyben a behatoló olyan csomagokat küld, amelyek elindítják a TCP kapcsolat létrehozását, de nem küldenek olyan csomagokat, amelyek befejezik a kapcsolat létrehozását. Ennek eredményeként előfordulhat, hogy a kiszolgáló elfogy a memóriája, és a szerver nem tud kapcsolatot létesíteni jogos felhasználókkal.

    ^ Információs rendszer biztonsági modellje

    Vannak más, biztonsággal kapcsolatos helyzetek, amelyek nem felelnek meg a fent leírt hálózati biztonsági modellnek. Ezen helyzetek általános mintázata a következőképpen szemléltethető:

    Ez a modell az információs rendszer biztonságának koncepcióját szemlélteti, amely megakadályozza a nem kívánt hozzáférést. Az a hacker, aki megpróbál feltörni a hálózaton keresztül elérhető rendszereket, egyszerűen élvezheti a hackelést, vagy megpróbálhatja károsítani az információs rendszert és/vagy bevinni abba valamit a saját céljaira. Például egy hacker célja az lehet, hogy megszerezze a rendszerben tárolt hitelkártyaszámokat.

    A nemkívánatos hozzáférés egy másik típusa az, ha valami számítógépes rendszeren helyezik el, amely hatással van alkalmazási programokés szoftver segédprogramok, például szerkesztők, fordítók és hasonlók. Tehát két típusa van támadások:


    1. Információhoz való hozzáférés a rendszerben tárolt adatok megszerzése vagy módosítása érdekében.

    2. ^ Támadás szolgáltatásokat, hogy megakadályozzák azok használatát.
    A vírusok és a férgek hasonló példák támadások. Ilyen támadások Hajlékonylemezekkel és hálózaton keresztül is végrehajtható.

    ^ Biztonsági szolgáltatások , amelyek megakadályozzák a nem kívánt hozzáférést, két kategóriába sorolhatók:


    1. Az első kategória a watchdog funkció alapján van meghatározva. Ezek mechanizmusok olyan bejelentkezési eljárásokat tartalmaznak, amelyek például a jelszó használatán alapulnak, hogy csak a jogosult felhasználók számára engedélyezzék a hozzáférést. Ezek mechanizmusok tartalmaznak különféle védőképernyők(tűzfalak), amelyek megakadályozzák támadások a TCP / IP protokollverem különböző szintjein, és különösen lehetővé teszi a férgek, vírusok behatolásának megakadályozását, valamint más hasonló támadások.

    2. A második védelmi vonal különböző belső monitorokból áll, amelyek szabályozzák a hozzáférést és elemzik a felhasználói tevékenységet.
    Az információs rendszer biztonságának biztosításában az egyik alapfogalom a koncepció felhatalmazást - meghatározott erőforrásokhoz és/vagy objektumokhoz hozzáférési jogok meghatározása és megadása.

    Az információs rendszer biztonságának a következő alapelveken kell alapulnia:


    1. Az információs rendszer biztonságának összhangban kell lennie a szervezet szerepével és céljaival ezt a rendszert telepítve.

    2. Az információbiztonság biztosítása integrált és holisztikus megközelítést igényel.

    3. Információ biztonság a szervezet irányítási rendszerének szerves részét kell képeznie.

    4. Az információbiztonságnak gazdaságilag indokoltnak kell lennie.

    5. A biztonsággal kapcsolatos felelősséget egyértelműen meg kell határozni.

    6. Az információs rendszer biztonságát időszakonként újra kell értékelni.

    7. Az információs rendszer biztonságának biztosításában nagy jelentőséggel bírnak a társadalmi tényezők, valamint az adminisztratív, szervezeti és fizikai biztonsági intézkedések.

    1. Csomag rögzítés.

    A csomagszimuláló egy olyan alkalmazásprogram, amely promiscuous módban működő hálózati interfészt használ. Ebben a módban a hálózati adapter lehetővé teszi, hogy minden fizikai csatornán fogadott csomagot fogadjon, függetlenül attól, hogy kinek szól, és elküldi azokat az alkalmazásnak feldolgozásra. Jelenleg teljesen legális alapon használják a szippantót a hálózatokban. Hibaelhárításra és forgalomelemzésre használják. Tekintettel azonban arra, hogy egyes hálózati alkalmazások szöveges formátumban továbbítanak adatokat (Telnet, FTP, SMTP, POP3 stb.), a szippantó használata hasznos és néha bizalmas információkat (például felhasználóneveket és jelszavakat) tárhat fel.

    A bejelentkezési adatok és jelszavak elfogása nagy veszélyt jelent. Ha az alkalmazás kliens-szerver módban fut, és a hitelesítési adatok olvasható szöveges formátumban kerülnek továbbításra a hálózaton, akkor ezek az információk nagy valószínűséggel más vállalati vagy külső erőforrások elérésére is felhasználhatók. A legrosszabb esetben a támadó rendszerszinten hozzáfér egy felhasználói erőforráshoz, és ezzel új felhasználót hoz létre, aki bármikor hozzáférhet a hálózathoz és annak erőforrásaihoz.

    2. IP-hamisítás.

    Az IP-hamisítás (az angol spoof - hoax szóból) akkor fordul elő, ha egy támadó – akár egy vállalaton belül, akár azon kívül – jogosult felhasználónak adja ki magát. Ezt kétféleképpen lehet elérni:

    a) olyan IP-cím használata, amely az engedélyezett IP-címek tartományán belül van;

    Az IP-hamisító támadások gyakran más támadások kiindulópontjai. Klasszikus példa a DoS támadás, amely hamis címmel kezdődik, amely elrejti a támadó valódi kilétét.

    Az IP-hamisítás általában arra korlátozódik, hogy hamis információkat vagy rosszindulatú parancsokat illesszen be egy normál adatfolyamba, amelyet a kliens és a szerveralkalmazás között továbbítanak, vagy a társak közötti kommunikációs csatornán keresztül. A kétirányú kommunikációhoz a támadónak módosítania kell az összes útválasztási táblát, hogy a forgalmat hamis IP-címre irányítsa.

    Ha a támadónak sikerül megváltoztatnia az útválasztási táblákat és hamis IP-címre irányítani a hálózati forgalmat, akkor az összes csomagot megkapja, és úgy tud válaszolni rájuk, mintha jogosult felhasználó lenne.

    3. Szolgáltatás megtagadása.

    A szolgáltatásmegtagadás (az angol. Denial of Service, rövidítve DoS) kétségtelenül a hálózati támadások legismertebb formája. Ráadásul az ilyen típusú támadások ellen a legnehezebb száz százalékos védelmet létrehozni. A DoS megszervezése minimális tudást és készségeket igényel. Mindazonáltal a végrehajtás egyszerűsége és az okozott károk mértéke vonzza a támadókat a DoS-támadásokhoz.

    Ez a támadás jelentősen eltér más típusú támadásoktól. A támadók célja nem a hálózathoz való hozzáférés, illetve a hálózatról bármilyen információ megszerzése, de a DoS támadás a hálózat, az operációs rendszer vagy az alkalmazás megengedett korlátait túllépve elérhetetlenné teszi a hálózatát a normál használatra. Egyes kiszolgálóalkalmazások (például webszerver vagy FTP-szerver) esetében a DoS-támadások elfoglalhatják az adott alkalmazásokhoz elérhető összes kapcsolatot, és elfoglalhatják azokat, megakadályozva a hétköznapi felhasználók kiszolgálását. A DoS támadások általános internetes protokollokat, például TCP-t és ICMP-t használhatnak.

    Egyes támadások érvénytelenítik a hálózat teljesítményét azáltal, hogy nem kívánt és szükségtelen csomagokkal árasztják el, vagy hamisan ábrázolják a hálózati erőforrások aktuális állapotát. Ha egy ilyen típusú támadást egyszerre több eszközön keresztül hajtanak végre, akkor elosztott DoS támadásról beszélünk (az angol distributed DoS, rövidítve DDoS).

    4. Jelszavas támadások.

    A támadók számos módszerrel hajthatnak végre jelszavas támadásokat, például brute force támadást, trójai falót, IP-hamisítást és csomagszimulást. Annak ellenére, hogy a bejelentkezési név és a jelszó gyakran megszerezhető IP-hamisítással és csomagszippantással, a támadók gyakran többszörös hozzáférési kísérletekkel próbálják kitalálni a jelszót és a bejelentkezést. Ezt a megközelítést egyszerű felsorolásnak nevezik.

    Egy ilyen támadáshoz egy speciális programot használnak, amely megpróbál hozzáférni egy megosztott erőforráshoz (például egy szerverhez). Ha ennek eredményeként a támadó hozzáférést kap az erőforrásokhoz, akkor azt a jelszót kitalált felhasználóként kapja meg. Ha egy adott felhasználó jelentős hozzáférési jogosultságokkal rendelkezik, a támadó létrehozhat egy "átjárót" a jövőbeni hozzáféréshez, amely akkor is érvényben marad, ha a felhasználó megváltoztatja a jelszavát.

    5. Man-in-the-middle támadások.

    Man-in-the-Middle támadás esetén a támadónak hozzá kell férnie a hálózaton keresztül továbbított csomagokhoz. Ilyen hozzáférést a szolgáltatótól bármely másik hálózathoz továbbított összes csomaghoz például a szolgáltató alkalmazottja szerezhet. Az ilyen típusú támadásokhoz gyakran használnak csomagszimulálókat, szállítási protokollokat és útválasztási protokollokat. A támadások célja az információk ellopása, az aktuális munkamenet lehallgatása és a magánhálózati erőforrásokhoz való hozzáférés, a forgalom elemzése és a hálózatról és annak felhasználóiról való információszerzés, DoS támadások végrehajtása, a továbbított adatok torzítása és jogosulatlan információk bevitele a hálózati munkamenetekbe.

    6. Alkalmazási szintű támadások.

    Az alkalmazási réteg támadásai többféle módon hajthatók végre. Ezek közül a leggyakoribb a szerverszoftverek (sendmail, HTTP, FTP) jól ismert gyenge pontjainak kihasználása. Ezeket a gyengeségeket kihasználva a támadók az alkalmazást futtató felhasználó nevében férhetnek hozzá a számítógéphez (általában ez nem egyszerű felhasználó, hanem rendszerhozzáférési jogokkal rendelkező, kiváltságos rendszergazda). Az alkalmazásszintű támadásokat széles körben teszik közzé, hogy az adminisztrátorok lehetőséget biztosítsanak a probléma javítására javító modulokkal (javításokkal). Sajnos sok hacker is hozzáfér ezekhez az információkhoz, ami lehetővé teszi számukra a fejlődést.

    Az alkalmazásszintű támadások fő problémája az, hogy a támadók gyakran olyan portokat használnak, amelyek áthaladhatnak a tűzfalon (tűzfalon). Például egy webszerver egy jól ismert gyengeségét kihasználó támadó TCP-támadás során gyakran a 80-as portot használja.. Mivel a webszerver weblapokat tesz közzé a felhasználók számára, a tűzfalnak hozzáférést kell biztosítania ehhez a porthoz. A tűzfal szempontjából a támadást a 80-as porton szokásos forgalomként kezelik.

    7. Hálózati intelligencia.

    A hálózati intelligencia a hálózattal kapcsolatos információk gyűjtése nyilvánosan elérhető adatok és alkalmazások segítségével. A hálózat elleni támadás előkészítésekor a támadó általában megpróbál a lehető legtöbb információt megszerezni róla. A hálózati felderítés DNS-lekérdezések, ping-ek és portvizsgálatok formájában valósul meg. A DNS-lekérdezések segítenek megérteni, hogy kinek a tulajdonosa egy adott tartomány, és milyen címek vannak hozzárendelve az adott tartományhoz. A DNS által felfedezett címek pingelése lehetővé teszi, hogy megnézze, mely gazdagépek futnak valójában egy adott környezetben. A gazdagépek listája alapján a támadó portellenőrző eszközöket használ az ezen gazdagépek által támogatott szolgáltatások teljes listájának összeállításához. Végül elemzi a gazdagépeken futó alkalmazások jellemzőit. Ennek eredményeként olyan információkhoz jut, amelyek felhasználhatók a hackeléshez.

    8. A bizalommal való visszaélés.

    Szigorúan véve ez a fajta akció nem a szó teljes értelmében támadás vagy támadás. Ez a hálózaton meglévő bizalmi kapcsolatok rosszindulatú kihasználása. Az ilyen visszaélések klasszikus példája a vállalati hálózat peremén található. Ez a szegmens gyakran tartalmaz DNS-, SMTP- és HTTP-kiszolgálókat. Mivel mindegyik ugyanahhoz a szegmenshez tartozik, bármelyikük feltörése az összes többi feltöréséhez vezet, mivel ezek a szerverek megbíznak a hálózatuk más rendszereiben. Egy másik példa a tűzfal külső oldalára telepített rendszer, amely bizalmi kapcsolatban áll a belsejében telepített rendszerrel. Abban az esetben, ha egy külső rendszert feltörnek, a támadó bizalmi kapcsolatok segítségével behatolhat egy tűzfallal védett rendszerbe.

    9. Port továbbítás.

    A porttovábbítás a bizalom megsértésének egyik formája, amikor egy feltört gazdagépet használnak arra, hogy forgalmat küldjenek egy tűzfalon keresztül, amelyet egyébként biztosan elutasítanak. Képzeljen el egy tűzfalat három interfésszel, amelyek mindegyike egy adott gazdagéphez csatlakozik. Külső gazdagép csatlakozhat a gazdagéphez nyilvános hozzáférés(DMZ), de nem arra, ami a tűzfal belsejében van telepítve. Egy megosztott gazdagép csatlakozhat belső és külső gazdagépekhez is. Ha egy támadó átveszi az irányítást egy megosztott gazdagépen, telepíthet rá egy olyan eszközt, amely a forgalmat a külső gazdagépről közvetlenül a belsőre irányítja át. Bár nem sérti a képernyőn megjelenő szabályokat, az átirányítás közvetlen hozzáférést biztosít a külső gazdagépnek a védett gazdagéphez. Ilyen hozzáférést biztosító alkalmazás például a netcat.

    10. Jogosulatlan hozzáférés.

    Az illetéktelen hozzáférést nem lehet külön támadástípusként kiemelni, mivel a legtöbb hálózati támadást éppen az illetéktelen hozzáférés megszerzése érdekében hajtják végre. A Telnet bejelentkezés megszerzéséhez a támadónak először Telnet tippet kell kapnia a rendszerére. Miután csatlakozott a Telnet porthoz, a képernyőn megjelenik az „az erőforrás használatához szükséges jogosultság” üzenet. Ha a támadó ezt követően is megkísérli a hozzáférést, jogosulatlannak minősül. Az ilyen támadások forrása lehet a hálózaton belül és kívül is.

    11. Vírusok és trójai faló alkalmazások

    A végfelhasználói munkaállomások nagyon ki vannak téve a vírusoknak és a trójai programoknak. A vírusok olyan rosszindulatú programok, amelyek befecskendezik magukat más programokba, hogy valamilyen nemkívánatos funkciót hajtsanak végre a végfelhasználó munkaállomásán. Példa erre egy vírus, amely a command.com fájlba van írva (a fő értelmező Windows rendszerek), törli a többi fájlt, és megfertőzi a command.com összes többi verzióját, amelyet talál.

    A trójai faló nem egy szoftverbetét, hanem egy valódi program, amely első pillantásra annak tűnik hasznos alkalmazás, de valójában káros szerepet játszik. Egy tipikus trójai faló példa egy olyan program, amely úgy néz ki egyszerű játék a felhasználó munkaállomásához. Amíg azonban a felhasználó a játékkal játszik, a program e-mailben elküldi magáról a másolatot minden egyes, a felhasználó címjegyzékében szereplő előfizetőnek. Minden előfizető postai úton kapja meg a játékot, ami további terjesztést eredményez.

    A hálózati támadások osztályából kiemelhetők azok a támadások, amelyek a hálózati forgalom gyanús, rendellenes viselkedését okozzák a vállalati hálózaton. Ezek az úgynevezett hálózati anomáliák. A hálózati anomáliák is osztályozhatók. Két fő csoportra oszthatók: szoftveres és hardveres eltérések, biztonsági problémák (1.2.1. ábra).

    1. Szoftver és hardver eltérések.

    Az információs rendszer összetevőinek szoftverhibái a szolgáltatásnyújtás utólagos megszűnésével abnormális üzemmódba való átálláshoz vezethetnek.

    Konfigurációs hibák fordítása funkcionalitás az információs rendszer összetevői nem állnak összhangban a szabványos tervezési paraméterekkel, ami sérti az általános teljesítményt.

    A teljesítménysértések az információs rendszer paramétereinek a számított értékeken túli kimenetét vonják maguk után, ami a szolgáltatásnyújtás megsértésével jár együtt.

    A hardver meghibásodása az információs rendszer egyes elemeinek teljes meghibásodásához és egy különálló alrendszernek az egész komplexumra lebontó hatásához vezethet.

    2. Biztonsági megsértések.

    A hálózati szkennelés (hálózati vizsgálat) a hálózati topológia elemzésére és a támadásra elérhető szolgáltatások észlelésére szolgál. A vizsgálat során a rendszer megpróbál csatlakozni a következőhöz hálózati szolgáltatások egy adott port elérésének módja. Nyitott szkennelés esetén a szkenner háromirányú kézfogást hajt végre, zárt (stealth) esetén nem szakítja meg a kapcsolatot. Mivel egy külön gazdagép vizsgálatakor a szolgáltatások (portok) keresésre kerülnek, ezt az anomáliát az jellemzi, hogy a szkenner egyik IP-címéről több porton keresztül egy adott IP-címhez próbálnak hozzáférni. Leggyakrabban azonban teljes alhálózatokat vizsgálnak meg, ami a szkenner egy IP-címétől a vizsgált alhálózat több IP-címéig terjedő sok csomag jelenlétében fejeződik ki a támadott hálózatban, néha akár brute-force kereséssel is. A leghíresebb hálózati szkennerek: nmap, ISS, satan, strobe, xscan és mások.

    A forgalomelemzőket vagy szippantókat a hálózati forgalom lehallgatására és elemzésére tervezték. A legegyszerűbb esetben ez lefordítva hálózati adapter A hardverkomplexum hallgatási módhoz való kapcsolódása és az adatfolyamok abban a szegmensben, amelyhez kapcsolódik, elérhetővé válnak további tanulmányozás céljából. Mivel sok alkalmazási program olyan protokollt használ, amely nyílt, titkosítatlan formában továbbítja az információkat, a szippantó készülékek működése drasztikusan csökkenti a biztonsági szintet. Vegye figyelembe, hogy a szippantó nem okoz kifejezett anomáliákat a hálózatban. A leghíresebb snifferek: tcpdump, ethereal, sniffit, Microsoft hálózati monitor, netxray, lan explorer.

    A számítógépes biztonságban a sérülékenység kifejezést az információs rendszer azon összetevőire használják, amelyek gyengén védettek a jogosulatlan kitettséggel szemben. A biztonsági rést tervezési, programozási vagy konfigurációs hibák okozhatják. A sérülékenység csak elméletileg létezhet, vagy lehet kizsákmányolója szoftver megvalósítás- kihasználni. Hálózati szempontból a sebezhetőségek lehetnek kitéve információs források, úgymint Operációs rendszerés szerviz szoftver.

    A vírusok hálózati tevékenysége a számítógépes vírusok és férgek hálózati erőforrások segítségével történő terjesztésére tett kísérletek eredménye. Leggyakrabban Számítógépes vírus egy hálózati alkalmazásszolgáltatás egyetlen sebezhetőségét használja ki, így a vírusforgalmat az jellemzi, hogy egy fertőzött IP-címről sok hívás érkezik egy adott porton, amely egy potenciálisan sebezhető szolgáltatásnak felel meg.