Care sunt principalele ținte ale atacurilor de rețea? Caracteristici caracteristice atacurilor de rețea. Instrumente de detectare a atacurilor computerizate

Un interes deosebit de luat în considerare sunt atacurile de la distanță în rețea. Interesul pentru acest tip de atac este cauzat de faptul că sistemele distribuite de procesare a datelor devin din ce în ce mai răspândite în lume. Majoritatea utilizatorilor lucrează cu resurse de la distanță folosind rețeaua INTERNET și stiva de protocoale TCP/IP. INTERNET a fost creat inițial pentru a comunica între agențiile guvernamentale și universități pentru a ajuta educația și cercetarea, iar creatorii acestei rețele nu aveau idee cât de larg se va răspândi. Ca urmare, specificațiile versiuni anterioare Protocolul Internet (IP) nu avea cerințe de securitate. Acesta este motivul pentru care multe implementări IP sunt în mod inerent vulnerabile.

Cursul acoperă următoarele atacuri și cum să le combati.

Atacul de adulmecare. Un sniffer de pachete este un program de aplicație care utilizează o placă de rețea care funcționează în modul promiscuu (în acest mod, toate pachetele primite prin canale fizice sunt adaptor de retea trimis la cerere pentru procesare). În acest caz, sniffer-ul interceptează toate pachetele de rețea care sunt transmise printr-un anumit domeniu. În prezent, sniffer-ii operează în rețele pe o bază complet legală. Sunt utilizate pentru diagnosticarea defecțiunilor și analiza traficului. Cu toate acestea, deoarece unele aplicații de rețea transferă date în format text (Telnet, FTP, SMTP, POP3 etc.), utilizarea unui sniffer poate dezvălui informații utile și uneori sensibile (de exemplu, nume de utilizator și parole).

Interceptarea autentificarii și a parolei reprezintă o amenințare majoră, deoarece utilizatorii folosesc adesea aceeași autentificare și parolă pentru mai multe aplicații și sisteme. Mulți utilizatori au, în general, o singură parolă pentru a accesa toate resursele și aplicațiile. Dacă aplicația rulează în modul client/server și datele de autentificare sunt transmise prin rețea într-un format text care poate fi citit, aceste informații pot fi probabil folosite pentru a accesa alte resurse corporative sau externe. În cel mai rău caz, un atacator obține acces la nivel de sistem la o resursă de utilizator și o folosește pentru a crea un utilizator nou care poate fi folosit în orice moment pentru a accesa rețeaua și resursele acesteia.

Puteți atenua amenințarea sniff-ului de pachete folosind următoarele instrumente:

Autentificare. Autentificarea puternică este prima apărare împotriva mirosului de pachete. Prin „puternic” înțelegem o metodă de autentificare greu de ocolit. Un exemplu de astfel de autentificare sunt parolele unice (OTP - One-Time paroles). OTP este o tehnologie de autentificare cu doi factori. Un exemplu tipic de autentificare cu doi factori este funcționarea unui bancomat obișnuit, care vă identifică, în primul rând, după card de plasticși, în al doilea rând, prin codul PIN introdus. Autentificarea în sistemul OTP necesită, de asemenea, un cod PIN și cardul dumneavoastră personal. Un „card” (token) este înțeles ca un instrument hardware sau software care generează (prin principiu aleatoriu) o parolă unică, unică. Dacă un atacator află această parolă folosind un sniffer, această informație va fi inutilă deoarece în acel moment parola va fi deja folosită și retrasă. Rețineți că această metodă de combatere a sniffing-ului este eficientă numai împotriva interceptării parolelor. Sniffer-urile care interceptează alte informații (cum ar fi mesajele de e-mail) rămân efective.

Infrastructură schimbată. O altă modalitate de a combate sniffingul de pachete într-un mediu de rețea este crearea unei infrastructuri comutate. Dacă, de exemplu, întreaga organizație folosește Ethernet comutată, atacatorii pot accesa doar traficul care intră în portul la care sunt conectați. O infrastructură comutată nu elimină amenințarea sniffing-ului, dar îi reduce semnificativ gravitatea.

Anti-sniffers. A treia modalitate de a combate sniffer-ul este instalarea de hardware sau software care recunoaște sniffer-urile care rulează în rețea. Aceste instrumente nu pot elimina complet amenințarea, dar, ca multe alte mijloace securitatea retelei, sunt incluse în sistem comun protecţie. Așa-numitele „anti-sniffer” măsoară timpul de răspuns al gazdei și determină dacă gazdele trebuie să proceseze traficul „inutil”.

Criptografie. Cel mai metoda eficienta Snifferul anti-pachet nu împiedică interceptarea și nu recunoaște munca sniffer-urilor, dar face ca această muncă să fie inutilă. Dacă canalul de comunicație este sigur din punct de vedere criptografic, aceasta înseamnă că atacatorul nu interceptează mesajul, ci textul cifrat (adică o secvență de neînțeles de biți).

Atacul de falsificare IP. Acest atac are loc atunci când un atacator, în interiorul sau în afara unei corporații, se uzurpează identitatea unui utilizator autorizat. Cel mai simplu motiv pentru utilizarea adreselor IP falsificate este dorința atacatorului de a-și ascunde activitățile în oceanul activității rețelei. De exemplu, instrumentul de diagramă a rețelei NMAP3 trimite secvențe suplimentare de pachete, fiecare folosind propria sa adresă IP sursă falsificată. În acest caz, atacatorul știe care adrese IP sunt false și ce pachete din fiecare secvență sunt reale. Administratorul de securitate al unui sistem care este atacat va fi obligat să analizeze multe adrese IP falsificate înainte de a putea determina adresa IP reală a atacatorului.

Un alt motiv pentru care un atacator folosește falsificarea adresei IP este ascunderea identității. Faptul este că este posibil să urmăriți o adresă IP înapoi la un sistem individual și, uneori, chiar la un utilizator individual. Prin urmare, cu ajutorul falsificării IP, un atacator încearcă să evite detectarea. Cu toate acestea, utilizarea unei adrese IP false aduce o serie de dificultăți expeditorului.

Toate răspunsurile de la sistemul atacat sunt trimise la o adresă IP falsă. Pentru a vedea sau a primi aceste răspunsuri, atacatorul trebuie să fie pe drum de la mașina compromisă la adresa IP falsificată (cel puțin în teorie). Deoarece răspunsul nu urmează neapărat același traseu ca și pachetul falsificat trimis, un atacator poate pierde traficul de retur. Pentru a evita acest lucru, un atacator poate interfera cu unul sau mai multe routere intermediare, ale căror adrese vor fi folosite ca falsificare pentru a redirecționa traficul către o altă locație.

O altă abordare este ca atacatorul să ghicească în avans numerele de secvență TCP care sunt folosite de mașina atacată. În acest caz, nu trebuie să primească un pachet SYN-ACK, deoarece pur și simplu generează și trimite un pachet ACK cu un număr de secvență prezis. Implementările timpurii ale stivelor IP au folosit scheme predictive de calcul al numerelor de secvență și, prin urmare, au fost sensibile la fluxurile de date TCP falsificate. ÎN implementari moderne Este deja mai dificil de prezis numărul de serie. Instrumentul de diagramă a rețelei NMAP are capacitatea de a estima dificultatea de a prezice numerele de secvență ale sistemelor care sunt scanate.

Într-o a treia opțiune, atacatorul poate interfera cu funcționarea unuia sau mai multor routere situate între serverul său și serverul care este atacat. Acest lucru face posibilă direcționarea traficului de răspuns destinat unei adrese IP falsificate către sistemul de la care a provenit intruziunea. Odată ce hack-ul este complet, routerul este eliberat pentru a-și acoperi urmele.

În cele din urmă, atacatorul poate să nu aibă intenția de a răspunde la pachetul SYN-ACK care este returnat de la victimă. Pot exista două motive pentru aceasta. Atacatorul poate efectua o scanare a portului pe jumătate deschis, cunoscută ca scanare SYN.În acest caz, el este interesat doar de răspunsul inițial din partea mașinii care este atacată. Combinația de steag RST-ACK înseamnă că portul scanat este închis, iar combinația SYN-ACK înseamnă că este deschis. Scopul a fost atins, prin urmare nu este nevoie să răspundem la acest pachet SYN-ACK. De asemenea, este posibil să se efectueze un hack SYN asemănător unei avalanșe. În acest caz, atacatorul nu numai că nu răspunde la pachetele SYN-ACK sau RST-ACK, dar, în general, nu este interesat de tipul de pachete primite de la sistemul compromis.

Atacurile de falsificare IP sunt adesea punctul de plecare pentru alte atacuri. Un exemplu clasic este un atac DoS, care începe de la adresa altcuiva, ascunzând adevărata identitate a atacatorului.

De obicei, falsificarea IP se limitează la inserarea de informații false sau comenzi rău intenționate în fluxul normal de date transmise între o aplicație client și server sau printr-un canal de comunicație între dispozitivele egale.

După cum sa menționat, pentru comunicarea bidirecțională, un atacator trebuie să schimbe toate tabelele de rutare pentru a direcționa traficul către o adresă IP falsă. Unii atacatori, însă, nici nu încearcă să obțină un răspuns de la aplicații. Dacă sarcina principală este de a obține de la sistem dosar important, răspunsurile aplicației nu contează. Dacă atacatorul reușește să schimbe tabelele de rutare și să direcționeze traficul către o adresă IP falsă, atacatorul va primi toate pachetele și va putea răspunde la acestea ca și cum ar fi un utilizator autorizat.

Amenințarea de falsificare poate fi atenuată (dar nu eliminată) prin următoarele măsuri:

Controlul accesului. Cel mai simplu mod de a preveni falsificarea IP este configurarea corectă a controalelor de acces. Pentru a reduce eficacitatea falsificării IP, trebuie să configurați controlul accesului pentru a respinge orice trafic provenit dintr-o rețea externă cu o adresă sursă care ar trebui să fie localizată în interiorul rețelei dvs. Rețineți că acest lucru ajută la combaterea falsificării IP, unde sunt autorizate doar adresele interne. Dacă unele adrese de rețea externe sunt, de asemenea, autorizate, această metodă devine ineficientă.

Filtrarea RFC 2827. Încercările de falsificare a rețelelor străine de către utilizatorii rețelei protejate sunt oprite dacă orice trafic de ieșire a cărui adresă sursă nu este una dintre adresele IP ale organizației protejate este respins. Acest tip de filtrare, cunoscut sub numele de RFC 2827, poate fi efectuat și de furnizorul dvs. de servicii de internet (ISP). Ca rezultat, tot traficul care nu are o adresă sursă așteptată pe o anumită interfață este respins. De exemplu, dacă ISP-ul oferă o conexiune la adresa IP 15.1.1.0/24, poate configura filtrul astfel încât a acestei interfeţe Doar traficul provenit de la adresa 15.1.1.0/24 a fost permis în routerul ISP. Rețineți că până când toți furnizorii implementează acest tip de filtrare, eficacitatea acestuia va fi mult mai mică decât este posibil. În plus, cu cât sunteți mai departe de dispozitivele care sunt filtrate, cu atât este mai dificil să efectuați o filtrare precisă. De exemplu, filtrarea RFC 2827 la nivel de router de acces necesită trecerea întregului trafic de la adresa principală a rețelei (10.0.0.0/8), în timp ce la nivel de distribuție (în această arhitectură) este posibil să se restricționeze mai precis traficul (adresa - 10.1). .5.0/24 ).

Falsificarea IP poate funcționa numai dacă autentificarea se bazează pe adrese IP. Prin urmare, introducerea unor metode suplimentare de autentificare face ca acest tip de atac să fie inutil. Cea mai bună priveliște autentificarea suplimentară este criptografică. Dacă acest lucru nu este posibil, se pot obține rezultate bune autentificare cu doi factori folosind parole unice.

Refuzarea serviciului (DoS). DoS este, fără îndoială, cea mai cunoscută formă de atac. În plus, aceste tipuri de atacuri sunt cele mai dificil de creat protecție 100% împotriva. Simplitatea implementării și prejudiciul enorm cauzat atrag atenția sporită a administratorilor responsabili cu securitatea rețelei asupra DoS. Cel mai soiuri cunoscute atacurile sunt: ​​TCP SYN Flood; Ping al morții; Tribe Flood Network (TFN) și Tribe Flood Network 2000 (TFN2K); Trinco; Stacheldracht; Treime.

Sursa de informații despre aceste atacuri este Computer Emergency Response Team (CERT), care a publicat lucrări privind combaterea atacurilor DoS.

Atacurile DoS sunt diferite de alte tipuri de atacuri. Acestea nu au ca scop obținerea accesului la rețeaua dvs. sau obținerea de informații din acea rețea. Un atac DoS face ca o rețea să nu fie disponibilă pentru utilizare normală prin depășirea limitelor acceptabile ale rețelei, sistemului de operare sau aplicației. În cazul unor aplicații server (cum ar fi un server web sau un server FTP), atacurile DoS pot presupune preluarea tuturor conexiunilor disponibile pentru acele aplicații și menținerea lor ocupată, împiedicând deservirea utilizatorilor normali. Atacurile DoS pot folosi protocoale de internet obișnuite, cum ar fi TCP și ICMP (Internet Control Message Protocol).

Cele mai multe atacuri DoS nu se bazează pe erori software sau găuri de securitate, ci pe slăbiciuni generale ale arhitecturii sistemului. Unele atacuri paralizează performanța rețelei prin inundarea acesteia cu pachete nedorite și inutile sau informații înșelătoare despre starea actuală a resurselor rețelei. Acest tip de atac este greu de prevenit deoarece necesită coordonare cu ISP-ul. Dacă traficul destinat să inunde rețeaua nu este oprit la furnizor, atunci nu se va mai putea face acest lucru la intrarea în rețea, deoarece toată lățimea de bandă va fi ocupată. Atunci când acest tip de atac este efectuat simultan prin mai multe dispozitive, vorbim despre un atac DoS distribuit (DDoS).

Amenințarea atacurilor DoS poate fi atenuată în trei moduri:

Caracteristici anti-spoofing. Configurarea corectă a funcțiilor anti-spoofing pe routere și firewall-uri va ajuta la reducerea riscului de DoS. Aceste caracteristici ar trebui să includă cel puțin filtrarea RFC 2827. Dacă un atacator nu își poate ascunde adevărata identitate, este puțin probabil să efectueze un atac.

Funcții anti-DoS. Configurarea corectă a caracteristicilor anti-DoS pe routere și firewall-uri poate limita eficacitatea atacurilor. Aceste caracteristici limitează adesea numărul de canale pe jumătate deschise la un moment dat.

Limitarea ratei de trafic. O organizație poate cere furnizorului său de servicii de internet (ISP) să limiteze volumul de trafic. Acest tip de filtrare vă permite să limitați cantitatea de trafic necritic care trece prin rețeaua dvs. Un exemplu comun este limitarea volumului Trafic ICMP, care este folosit doar în scopuri de diagnosticare. (D) Atacurile DoS folosesc adesea ICMP.

Atacurile cu parole. Atacatorii pot efectua atacuri cu parole folosind o varietate de metode, cum ar fi atacuri cu forță brută, cai troieni, falsificarea IP și sniffing de pachete. Deși autentificarea și parola pot fi obținute adesea prin falsificarea IP și prin sniffing de pachete, hackerii încearcă adesea să ghicească parola și să se autentifice prin încercări multiple de acces. Această abordare se numește căutare simplă(atac cu forță brută).

Adesea, un astfel de atac folosește un program special care încearcă să obțină acces la o resursă publică (de exemplu, un server). Dacă în consecință atacatorul obține acces la resurse, îl obține cu drepturi utilizator obișnuit, a cărui parolă a fost ghicită. Dacă acest utilizator are privilegii de acces semnificative, un atacator își poate crea o „permisă” pentru acces viitor, care va rămâne în vigoare chiar dacă utilizatorul își schimbă parola și autentificarea.

O altă problemă apare atunci când utilizatorii folosesc aceeași parolă (chiar și foarte bună) pentru a accesa multe sisteme: sisteme corporative, personale și de internet. Deoarece o parolă este la fel de puternică ca și cea mai slabă gazdă, un atacator care învață parola prin acea gazdă obține acces la toate celelalte sisteme care folosesc aceeași parolă.

În primul rând, atacurile cu parole pot fi evitate prin neutilizarea parolelor sub formă de text. Parolele unice și/sau autentificarea criptografică pot elimina practic amenințarea unor astfel de atacuri. Din păcate, nu toate aplicațiile, gazdele și dispozitivele acceptă metodele de autentificare de mai sus.

Când utilizați parole obișnuite, încercați să găsiți o parolă care este dificil de ghicit. Lungimea minimă a parolei trebuie să fie de cel puțin opt caractere. Parola trebuie să includă caracterele majuscule, numere și Simboluri speciale(#, %, $ etc.). Cele mai bune parole sunt greu de ghicit și greu de reținut, forțând utilizatorii să noteze parolele pe hârtie. Pentru a evita acest lucru, utilizatorii și administratorii pot profita de o serie de progrese tehnologice recente. Deci, de exemplu, există programe de aplicație, care criptează o listă de parole care pot fi stocate pe un computer de buzunar. Ca rezultat, utilizatorul trebuie să-și amintească doar o parolă complexă, în timp ce toate celelalte parole vor fi protejate în mod fiabil de aplicație.

Atacurile de la Omul din mijloc. Pentru un atac Man-in-the-Middle, atacatorul are nevoie de acces la pachetele transmise prin rețea. Un astfel de acces la toate pachetele transmise de la un furnizor către orice altă rețea poate fi, de exemplu, obținut de un angajat al acestui furnizor. Sniffer-urile de pachete, protocoalele de transport și protocoalele de rutare sunt adesea folosite pentru acest tip de atac. Atacurile sunt efectuate cu scopul de a sustrage informații, de a intercepta sesiunea curentă și de a obține acces la resursele rețelei private pentru a analiza traficul și a obține informații despre rețea și utilizatorii acesteia, pentru a efectua atacuri DoS, denaturarea datelor transmise și introducerea de informații neautorizate în sesiuni de rețea.

Atacurile de tip Man-in-the-Middle pot fi combatute eficient doar folosind criptografie. Dacă un atacator interceptează date dintr-o sesiune criptată, ceea ce va apărea pe ecranul său nu este mesajul interceptat, ci un set de caractere fără sens. Rețineți că, dacă un atacator obține informații despre sesiunea criptografică (de exemplu, cheia de sesiune), acest lucru ar putea face posibil un atac Man-in-the-Middle chiar și într-un mediu criptat.

Atacurile la nivel de aplicație. Atacurile la nivel de aplicație pot fi efectuate în mai multe moduri. Cea mai comună este exploatarea deficiențelor bine-cunoscute ale software-ului serverului (sendmail, HTTP, FTP). Folosind aceste puncte slabe, atacatorii pot obține acces la un computer în numele utilizatorului care rulează aplicația (de obicei acesta nu este un simplu utilizator, ci un administrator privilegiat cu drepturi). acces la sistem). Informațiile despre atacurile la nivel de aplicație sunt publicate pe scară largă pentru a permite administratorilor să corecteze problema folosind module corective (patch-uri, patch-uri). Din păcate, mulți atacatori au și acces la aceste informații, ceea ce le permite să învețe.

Principala problemă a atacurilor la nivel de aplicație este că folosesc adesea porturi care au voie să treacă prin firewall. Atacurile la nivel de aplicație nu pot fi eliminate complet.

20.06.05 37.3K

Internetul ne schimbă complet modul de viață: muncă, studiu, petrecere a timpului liber. Aceste schimbări se vor produce atât în ​​domeniile pe care le cunoaștem deja (comerț electronic, acces la informații în timp real, capacități de comunicare crescute etc.), cât și în acele domenii despre care nu avem încă o idee.

Poate veni momentul când corporația își va produce toate apeluri telefonice prin internet și complet gratuit. În viața privată pot apărea site-uri Web speciale, cu ajutorul cărora părinții pot afla în orice moment ce mai fac copiii lor. Societatea noastră abia începe să realizeze posibilitățile nelimitate ale internetului.

Introducere

Concomitent cu creșterea enormă a popularității internetului, apare un pericol fără precedent de dezvăluire a datelor personale, a resurselor corporative critice, a secretelor de stat etc.

În fiecare zi, hackerii amenință aceste resurse încercând să obțină acces la ele folosind atacuri speciale care devin treptat mai sofisticate pe de o parte și mai ușor de executat pe de altă parte. Doi factori principali contribuie la aceasta.

În primul rând, aceasta este pătrunderea pe scară largă a Internetului. Există milioane de dispozitive conectate la Internet astăzi și multe milioane de dispozitive vor fi conectate la Internet în viitorul apropiat, ceea ce face din ce în ce mai probabil ca hackerii să aibă acces la dispozitive vulnerabile.

În plus, utilizarea pe scară largă a Internetului permite hackerilor să facă schimb de informații la scară globală. O simplă căutare folosind cuvinte cheie precum „hacker”, „hacking”, „hack”, „crack” sau „phreak” vă va returna mii de site-uri, dintre care multe pot fi găsite coduri rău intenționateși modalități de a le folosi.

În al doilea rând, aceasta este cea mai largă distribuție de ușor de utilizat sisteme de operareși medii de dezvoltare. Acest factor reduce drastic nivelul de cunoștințe și abilități cerute de un hacker. Anterior, pentru a crea și distribui aplicații ușor de utilizat, un hacker trebuia să aibă abilități bune de programare.

Acum, pentru a obține acces la instrumentul unui hacker, trebuie doar să cunoașteți adresa IP a site-ului dorit și pentru a efectua un atac, doar un clic de mouse.

Clasificarea atacurilor de rețea

Atacurile de rețea sunt la fel de variate ca și sistemele pe care le vizează. Unele atacuri sunt foarte complexe, în timp ce altele sunt în capacitatea unui operator obișnuit, care nici măcar nu își imaginează consecințele activităților sale. Pentru a evalua tipurile de atacuri, trebuie să cunoașteți unele dintre limitările inerente ale protocolului TPC/IP. Net

Internetul a fost creat pentru comunicarea dintre agențiile guvernamentale și universități pentru a sprijini procesul educațional și cercetarea științifică. Creatorii acestei rețele habar n-aveau cât de răspândită va deveni. Ca urmare, specificațiile versiunilor timpurii ale protocolului Internet (IP) nu aveau cerințe de securitate. Acesta este motivul pentru care multe implementări IP sunt în mod inerent vulnerabile.

După mulți ani, după multe reclamații (Request for Comments, RFC), măsurile de securitate pentru IP au început în sfârșit să fie implementate. Cu toate acestea, din cauza faptului că măsurile de securitate pentru protocolul IP nu au fost dezvoltate inițial, toate implementările acestuia au început să fie completate cu o varietate de proceduri de rețea, servicii și produse care reduc riscurile inerente acestui protocol. În continuare, vom analiza pe scurt tipurile de atacuri care sunt utilizate în mod obișnuit împotriva rețelelor IP și vom enumera modalități de a le combate.

Mirositoare de pachete

Un sniffer de pachete este un program de aplicație care utilizează o placă de rețea care funcționează în mod promiscuu (în acest mod, adaptorul de rețea trimite toate pachetele primite pe canale fizice către aplicație pentru procesare).

În acest caz, sniffer-ul interceptează toate pachetele de rețea care sunt transmise printr-un anumit domeniu. În prezent, sniffer-ii operează în rețele pe o bază complet legală. Sunt utilizate pentru diagnosticarea defecțiunilor și analiza traficului. Cu toate acestea, datorită faptului că unele aplicații de rețea transmit date în format text ( Telnet, FTP, SMTP, POP3 etc..), folosind un sniffer puteți afla informații utile și uneori confidențiale (de exemplu, nume de utilizator și parole).

Interceptarea autentificarii și a parolei reprezintă o amenințare majoră, deoarece utilizatorii folosesc adesea aceeași autentificare și parolă pentru mai multe aplicații și sisteme. Mulți utilizatori au, în general, o singură parolă pentru a accesa toate resursele și aplicațiile.

Dacă aplicația rulează în modul client-server, iar datele de autentificare sunt transmise prin rețea în format text care poate fi citit, atunci aceste informații pot fi folosite cel mai probabil pentru a accesa alte resurse corporative sau externe. Hackerii cunosc și exploatează prea bine slăbiciunile umane (metodele de atac se bazează adesea pe metode de inginerie socială).

Ei știu bine că folosim aceeași parolă pentru a accesa multe resurse și, prin urmare, adesea reușesc, după ce ne-au învățat parola, să obțină acces la Informații importante. În cel mai rău caz, un hacker obține acces la nivel de sistem la o resursă de utilizator și o folosește pentru a crea un utilizator nou care poate fi folosit în orice moment pentru a accesa rețeaua și resursele acesteia.

Puteți reduce amenințarea sniff-ului de pachete folosind următoarele instrumente::

Autentificare. Autentificarea puternică este cea mai importantă apărare împotriva mirosului de pachete. Prin „puternic” înțelegem metode de autentificare greu de ocolit. Un exemplu de astfel de autentificare este parolele unice (OTP).

OTP este o tehnologie de autentificare cu doi factori care combină ceea ce ai cu ceea ce știi. Un exemplu tipic de autentificare cu doi factori este funcționarea unui bancomat obișnuit, care vă identifică, în primul rând, după cardul de plastic și, în al doilea rând, prin codul PIN pe care îl introduceți. Un cod PIN și cardul dumneavoastră personal sunt, de asemenea, necesare pentru autentificare în sistemul OTP.

Prin „card” (token) înțelegem un instrument hardware sau software care generează (într-un principiu aleatoriu) o parolă unică, unică. Dacă un hacker află această parolă folosind un sniffer, atunci această informație va fi inutilă, deoarece în acel moment parola va fi deja folosită și retrasă.

Rețineți că această metodă de combatere a sniffing-ului este eficientă doar în cazurile de interceptare a parolei. Sniffer-urile care interceptează alte informații (cum ar fi mesajele de e-mail) rămân efective.

Infrastructură schimbată. O altă modalitate de a combate sniff-ul de pachete în mediul dvs. de rețea este să creați o infrastructură comutată. Dacă, de exemplu, întreaga organizație folosește Ethernet dial-up, hackerii pot accesa doar traficul care intră în portul la care sunt conectați. O infrastructură comutată nu elimină amenințarea sniffing-ului, dar îi reduce semnificativ gravitatea.

Antisniffers. A treia modalitate de a combate sniffer-ul este să instalați hardware sau software care să recunoască sniffer-urile care rulează în rețeaua dvs. Aceste instrumente nu pot elimina complet amenințarea, dar, la fel ca multe alte instrumente de securitate a rețelei, sunt incluse în sistemul general de protecție. Antisniffer-urile măsoară timpii de răspuns ale gazdei și determină dacă gazdele trebuie să proceseze trafic inutil. Un astfel de produs, disponibil de la LOpht Heavy Industries, se numește AntiSniff.

Criptografie. Această modalitate cea mai eficientă de a combate snifferul de pachete, deși nu împiedică interceptarea și nu recunoaște munca sniffer-urilor, dar face ca această muncă să fie inutilă. Dacă canalul de comunicație este sigur din punct de vedere criptografic, atunci hackerul nu interceptează mesajul, ci textul cifrat (adică o secvență de neînțeles de biți). Criptografia stratului de rețea Cisco se bazează pe protocolul IPSec, adică metoda standard comunicare securizată între dispozitive folosind protocolul IP. Alte protocoale criptografice de gestionare a rețelei includ protocoale SSH (Secure Shell) și SSL (Secure Socket Layer).

Falsificarea IP

Falsificarea IP are loc atunci când un hacker, în interiorul sau în afara unei corporații, se uită la un utilizator autorizat. Acest lucru se poate face în două moduri: hackerul poate folosi fie o adresă IP care se află în intervalul de adrese IP autorizate, fie o adresă externă autorizată căreia i se permite accesul la anumite resurse de rețea.

Atacurile de falsificare IP sunt adesea punctul de plecare pentru alte atacuri. Un exemplu clasic este un atac DoS, care începe de la adresa altcuiva, ascunzând adevărata identitate a hackerului.

De obicei, falsificarea IP se limitează la inserarea de informații false sau comenzi rău intenționate în fluxul normal de date transmise între o aplicație client și server sau printr-un canal de comunicație între dispozitivele egale.

Pentru comunicarea bidirecțională, hackerul trebuie să schimbe toate tabelele de rutare pentru a direcționa traficul către adresa IP falsă. Unii hackeri, însă, nici măcar nu încearcă să obțină un răspuns de la aplicații - dacă scopul principal este obținerea unui fișier important din sistem, atunci răspunsurile aplicațiilor nu contează.

Dacă un hacker reușește să schimbe tabelele de rutare și să direcționeze traficul către o adresă IP falsă, va primi toate pachetele și va putea răspunde la ele ca și cum ar fi un utilizator autorizat.

Amenințarea de falsificare poate fi atenuată (dar nu eliminată) prin următoarele măsuri:

• Controlul accesului. Cel mai simplu mod de a preveni falsificarea IP este configurarea corectă a controalelor de acces. Pentru a reduce eficiența falsificării IP, configurați controlul accesului pentru a respinge orice trafic provenit dintr-o rețea externă cu o adresă sursă care ar trebui să fie localizată în interiorul rețelei dvs.

  Este adevărat, acest lucru ajută la combaterea falsificării IP, atunci când sunt autorizate doar adresele interne; dacă sunt autorizate și unele adrese de rețea externe, această metodă devine ineficientă;

• Filtrare RFC 2827. Puteți opri utilizatorii din rețeaua dvs. de la falsificarea rețelelor altor persoane (și să deveniți un bun cetățean online). Pentru a face acest lucru, trebuie să respingeți orice trafic de ieșire a cărui adresă sursă nu este una dintre adresele IP ale organizației dvs.

  Acest tip de filtrare, cunoscut sub numele de RFC 2827, poate fi efectuat și de furnizorul dvs. de servicii de internet (ISP). Ca rezultat, tot traficul care nu are o adresă sursă așteptată pe o anumită interfață este respins. De exemplu, dacă un ISP oferă o conexiune la adresa IP 15.1.1.0/24, poate configura un filtru astfel încât numai traficul care provine de la 15.1.1.0/24 să fie permis de la acea interfață către routerul ISP-ului.

Rețineți că până când toți furnizorii implementează acest tip de filtrare, eficacitatea acestuia va fi mult mai mică decât este posibil. În plus, cu cât sunteți mai departe de dispozitivele care sunt filtrate, cu atât este mai dificil să efectuați o filtrare precisă. De exemplu, filtrarea RFC 2827 la nivel de router de acces necesită trecerea întregului trafic de la adresa rețelei principale (10.0.0.0/8), în timp ce la nivel de distribuție (într-o arhitectură dată) este posibilă restricționarea mai precisă a traficului (adresa - 10.1.5.0/24).

Cel mai metoda eficienta combaterea IP spoofing este aceeași ca și în cazul sniffing-ului de pachete: este necesar ca atacul să fie complet ineficient. Falsificarea IP poate funcționa numai dacă autentificarea se bazează pe adrese IP.

Prin urmare, introducerea unor metode suplimentare de autentificare face ca astfel de atacuri să fie inutile. Cel mai bun tip de autentificare suplimentară este criptografic. Dacă acest lucru nu este posibil, autentificarea cu doi factori folosind parole unice poate da rezultate bune.

Refuzarea serviciului

Denial of Service (DoS) este fără îndoială cea mai cunoscută formă atacurile hackerilor. În plus, aceste tipuri de atacuri sunt cele mai dificil de creat protecție 100% împotriva. Printre hackeri, atacurile DoS sunt considerate o joacă de copii, iar utilizarea lor provoacă rânjet disprețuitor, deoarece organizarea DoS necesită un minim de cunoștințe și abilități.

Cu toate acestea, tocmai ușurința de implementare și amploarea enormă a prejudiciului cauzat DoS atrage atenția atentă a administratorilor responsabili cu securitatea rețelei. Dacă doriți să aflați mai multe despre atacurile DoS, ar trebui să luați în considerare cele mai cunoscute tipuri, și anume:

• TCP SYN Flood;
• Ping al morții;
• Tribe Flood Network (TFN) și Tribe Flood Network 2000 (TFN2K);
• Trinco;
• Stacheldracht;
• Treime.

O sursă excelentă de informații de securitate este Computer Emergency Response Team (CERT), care a publicat buna treaba pentru a combate atacurile DoS.

Atacurile DoS sunt diferite de alte tipuri de atacuri. Acestea nu au ca scop obținerea accesului la rețeaua dvs. și nici obținerea de informații din acea rețea, dar un atac DoS face rețeaua indisponibilă pentru utilizare normală prin depășirea limitelor acceptabile ale rețelei, sistemului de operare sau aplicației.

În cazul unor aplicații server (cum ar fi un server Web sau un server FTP), atacurile DoS pot presupune preluarea tuturor conexiunilor disponibile pentru aplicațiile respective și menținerea lor ocupată, împiedicând deservirea utilizatorilor obișnuiți. Atacurile DoS pot folosi protocoale comune de Internet, cum ar fi TCP și ICMP ( Internet Control Message Protocol).

Majoritatea atacurilor DoS nu vizează erori software sau găuri de securitate, ci mai degrabă slăbiciuni generale ale arhitecturii sistemului. Unele atacuri paralizează performanța rețelei prin inundarea acesteia cu pachete nedorite și inutile sau informații înșelătoare despre starea actuală a resurselor rețelei.

Acest tip de atac este greu de prevenit deoarece necesită coordonare cu furnizorul. Dacă nu opriți traficul destinat să vă copleșească rețeaua la furnizor, atunci nu veți mai putea face acest lucru la intrarea în rețea, deoarece toată lățimea de bandă va fi ocupată. Când atacul de acest tip efectuat simultan prin mai multe dispozitive, vorbim despre un atac DoS distribuit ( Distributed DoS, DDoS).

Amenințarea atacurilor DoS poate fi redusă în trei moduri:

• Caracteristici anti-spoofing. Configurarea corectă a funcțiilor anti-spoofing pe routere și firewall-uri va ajuta la reducerea riscului de DoS. Cel puțin, aceste caracteristici ar trebui să includă filtrarea RFC 2827. Dacă un hacker nu își poate ascunde adevărata identitate, este puțin probabil să efectueze un atac.
• Funcții anti-DoS. Configurarea corectă a caracteristicilor anti-DoS pe routere și firewall-uri poate limita eficacitatea atacurilor. Aceste caracteristici limitează adesea numărul de canale pe jumătate deschise la un moment dat.
• Limitarea ratei de trafic. O organizație poate cere furnizorului său de servicii de internet (ISP) să limiteze volumul de trafic. Acest tip de filtrare vă permite să limitați cantitatea de trafic necritic care trece prin rețeaua dvs. Un exemplu tipic este limitarea volumului de trafic ICMP, care este utilizat numai în scopuri de diagnosticare. (D) Atacurile DoS folosesc adesea ICMP.

Atacurile cu parole

Hackerii pot efectua atacuri cu parole folosind o serie de metode, cum ar fi atacul cu forță brută, calul troian, falsificarea IP și sniffingul de pachete. Deși autentificarea și parola pot fi obținute adesea prin falsificarea IP și prin sniffing de pachete, hackerii încearcă adesea să ghicească parola și să se autentifice prin încercări multiple de acces. Această abordare se numește căutare simplă (atac cu forță brută).

Adesea, un astfel de atac folosește un program special care încearcă să obțină acces la o resursă publică (de exemplu, un server). Dacă, ca urmare, hackerului i se acordă acces la resurse, atunci îl primește cu drepturile unui utilizator obișnuit a cărui parolă a fost selectată.

Dacă acest utilizator are privilegii semnificative de acces, hackerul poate crea un „pass” pentru accesul viitor care va rămâne valabil chiar dacă utilizatorul își schimbă parola și login.

O altă problemă apare atunci când utilizatorii folosesc aceeași parolă (chiar și foarte bună) pentru a accesa multe sisteme: sisteme corporative, personale și de internet. Deoarece puterea unei parole este egală cu puterea celei mai slabe gazde, un hacker care învață parola prin acea gazdă obține acces la toate celelalte sisteme în care este folosită aceeași parolă.

Atacurile cu parole pot fi evitate prin neutilizarea parolelor cu text simplu. Parolele unice și/sau autentificarea criptografică pot elimina practic amenințarea unor astfel de atacuri. Din păcate, nu toate aplicațiile, gazdele și dispozitivele acceptă metodele de autentificare de mai sus.

Când utilizați parole obișnuite, încercați să găsiți una care ar fi dificil de ghicit. Lungimea minimă a parolei trebuie să fie de cel puțin opt caractere. Parola trebuie să includă caractere majuscule, numere și caractere speciale (#, %, $ etc.).

Cele mai bune parole sunt greu de ghicit și greu de reținut, forțând utilizatorii să le noteze pe hârtie. Pentru a evita acest lucru, utilizatorii și administratorii pot folosi o serie de progrese tehnologice recente.

De exemplu, există programe de aplicație care criptează o listă de parole care pot fi stocate într-un computer de buzunar. Ca rezultat, utilizatorul trebuie să-și amintească doar o singură parolă complexă, în timp ce toate celelalte vor fi protejate în mod fiabil de aplicație.

Există mai multe metode pentru un administrator de a combate ghicirea parolelor. Una dintre ele este utilizarea instrumentului L0phtCrack, care este adesea folosit de hackeri pentru a ghici parolele în Mediul Windows N.T. Acest instrument vă va arăta rapid dacă parola aleasă de utilizator este ușor de ghicit. Informații suplimentare poate fi obținut de la http://www.l0phtcrack.com/.

Atacurile de la Omul din mijloc

Pentru un atac Man-in-the-Middle, un hacker are nevoie de acces la pachetele transmise prin rețea. Un astfel de acces la toate pachetele transmise de la un furnizor către orice altă rețea poate fi, de exemplu, obținut de un angajat al acestui furnizor. Sniffer-urile de pachete, protocoalele de transport și protocoalele de rutare sunt adesea folosite pentru acest tip de atac.

Atacurile sunt efectuate cu scopul de a sustrage informații, de a intercepta sesiunea curentă și de a obține acces la resursele rețelei private, de a analiza traficul și de a obține informații despre rețea și utilizatorii acesteia, de a efectua atacuri DoS, de denaturare a datelor transmise și de a introduce informații neautorizate. în sesiuni de rețea.

Atacurile de tip Man-in-the-Middle pot fi combatute eficient doar folosind criptografie. Dacă un hacker interceptează date dintr-o sesiune criptată, ceea ce va apărea pe ecranul său nu este mesajul interceptat, ci un set de caractere fără sens. Rețineți că dacă un hacker obține informații despre o sesiune criptografică (de exemplu, o cheie de sesiune), acest lucru ar putea face posibil un atac Man-in-the-Middle chiar și într-un mediu criptat.

Atacurile la nivel de aplicație

Atacurile la nivel de aplicație pot fi efectuate în mai multe moduri. Cea mai comună dintre ele este utilizarea unor puncte slabe bine-cunoscute în software-ul serverului (sendmail, HTTP, FTP). Prin exploatarea acestor puncte slabe, hackerii pot obține acces la un computer ca utilizator care rulează aplicația (de obicei nu un utilizator obișnuit, ci un administrator privilegiat cu drepturi de acces la sistem).

Informațiile despre atacurile la nivel de aplicație sunt publicate pe scară largă pentru a oferi administratorilor posibilitatea de a corecta problema folosind module corective (patch-uri). Din păcate, mulți hackeri au acces și la aceste informații, ceea ce le permite să se îmbunătățească.

Principala problemă cu atacurile la nivel de aplicație este că hackerii folosesc adesea porturi care au voie să treacă prin firewall. De exemplu, un hacker care exploatează o slăbiciune cunoscută a unui server Web va folosi adesea portul 80 într-un atac TCP. Deoarece serverul Web oferă pagini Web utilizatorilor, firewall-ul trebuie să ofere acces la acest port. Din punctul de vedere al firewall-ului, atacul este tratat ca trafic standard pe portul 80.

Atacurile la nivel de aplicație nu pot fi eliminate complet. Hackerii descoperă și publică în mod constant noi vulnerabilități în programele de aplicații de pe Internet. Cel mai important lucru aici este o bună administrare a sistemului. Iată câteva măsuri pe care le puteți lua pentru a vă reduce vulnerabilitatea la acest tip de atac:

• să citească fișierele jurnal ale sistemului de operare și al rețelei și/sau să le analizeze folosind aplicații analitice speciale;
• Abonați-vă la serviciul de raportare a vulnerabilităților aplicației: Bugtrad (http://www.securityfocus.com).

Inteligența rețelei

Inteligența rețelei se referă la colectarea de informații de rețea folosind date și aplicații disponibile public. Când pregătește un atac împotriva unei rețele, un hacker încearcă de obicei să obțină cât mai multe informații despre acesta. Recunoașterea rețelei se realizează sub formă de interogări DNS, ping-uri și scanare de porturi.

Interogările DNS vă ajută să înțelegeți cine deține un anumit domeniu și ce adrese sunt atribuite acelui domeniu. Adresele ping dezvăluite din folosind DNS, vă permite să vedeți ce gazde rulează de fapt într-un mediu dat. După ce a primit o listă de gazde, hackerul folosește instrumente de scanare porturi pentru a compila lista plina servicii suportate de aceste gazde. În cele din urmă, hackerul analizează caracteristicile aplicațiilor care rulează pe gazde. Ca urmare, el obține informații care pot fi folosite pentru hacking.

Este imposibil să scapi complet de inteligența rețelei. Dacă, de exemplu, dezactivați ecoul ICMP și răspunsul ecou pe routerele edge, scăpați de testarea ping, dar pierdeți datele necesare pentru a diagnostica defecțiunile rețelei.

În plus, puteți scana porturi fără testarea ping preliminară - va dura mai mult timp, deoarece va trebui să scanați adrese IP inexistente. Sistemele IDS la nivel de rețea și gazdă fac, de obicei, o treabă bună de a alerta administratorii cu privire la recunoașterea continuă a rețelei, permițându-le să se pregătească mai bine pentru un atac viitor și să alerteze furnizorul de servicii de internet (ISP) pe a cărui rețea sistemul este prea curios:

1. utilizați cele mai recente versiuni de sisteme de operare și aplicații și cele mai recente module de corecție (patch-uri);
2. Pe lângă administrarea sistemului, utilizați sisteme de detectare a atacurilor (IDS) - două tehnologii ID complementare:
   • Network IDS System (NIDS) monitorizează toate pachetele care trec printr-un anumit domeniu. Când sistemul NIDS vede un pachet sau o serie de pachete care se potrivesc cu semnătura unui atac cunoscut sau probabil, generează o alarmă și/sau încheie sesiunea;
   • Sistemul IDS (HIDS) protejează gazda folosind agenți software. Acest sistem combate doar atacurile împotriva unei singure gazde.

În activitatea lor, sistemele IDS folosesc semnături de atac, care sunt profiluri ale unor atacuri specifice sau ale unor tipuri de atacuri. Semnăturile definesc condițiile în care traficul este considerat hacker. Analogii IDS din lumea fizică pot fi considerați un sistem de avertizare sau o cameră de supraveghere.

Cel mai mare dezavantaj al IDS este capacitatea lor de a genera alarme. Pentru a minimiza numărul de alarme false și pentru a asigura funcționarea corectă a sistemului IDS în rețea, este necesară o configurare atentă a sistemului.

Abuz de încredere

Strict vorbind, acest tip de acțiune nu este, în sensul deplin al cuvântului, un atac sau un atac. Reprezintă exploatarea rău intenționată a relațiilor de încredere care există într-o rețea. Un exemplu clasic de astfel de abuz este situația din partea periferică a rețelei corporative.

Acest segment este adesea localizat servere DNS, SMTP și HTTP. Deoarece toate aparțin aceluiași segment, piratarea pe oricare dintre ele duce la piratarea tuturor celorlalte, deoarece aceste servere au încredere în alte sisteme din rețeaua lor.

Un alt exemplu este un sistem instalat în exteriorul firewall-ului care are o relație de încredere cu un sistem instalat în interiorul firewall-ului. Dacă un sistem extern este compromis, hackerul poate folosi relația de încredere pentru a pătrunde în sistemul protejat de firewall.

Riscul de încălcare a încrederii poate fi redus prin controlul mai strict al nivelurilor de încredere din rețeaua dvs. Sistemele situate în afara firewall-ului nu ar trebui să aibă niciodată încredere absolută din partea sistemelor protejate de firewall.

Relațiile de încredere ar trebui limitate la protocoale specifice și, dacă este posibil, autentificate prin alți parametri decât adresele IP.

Port forwarding

Port forwarding este o formă de abuz de încredere în care o gazdă compromisă este folosită pentru a trece traficul printr-un firewall care altfel ar fi respins. Să ne imaginăm un firewall cu trei interfețe, fiecare dintre ele conectată la o anumită gazdă.

Gazda externă se poate conecta la gazdă acces public(DMZ), dar nu la cel instalat în interiorul firewall-ului. O gazdă partajată se poate conecta atât la o gazdă internă, cât și la o gazdă externă. Dacă un hacker preia o gazdă partajată, el poate instala pe aceasta un software care redirecționează traficul de la gazda externă direct la cea internă.

Deși acest lucru nu încalcă niciuna dintre regulile de pe ecran, gazda externă obține acces direct la gazda protejată ca urmare a redirecționării. Un exemplu de aplicație care poate oferi un astfel de acces este netcat. Mai mult informatii detaliate disponibil de la http://www.avian.org.

Principala modalitate de a combate redirecționarea porturilor este utilizarea modelelor de încredere puternice (vezi secțiunea anterioară). În plus, pentru a preveni un hacker să-și instaleze propriul software poate găzdui sistemul IDS (HIDS).

Acces neautorizat

Accesul neautorizat nu poate fi identificat ca un tip separat de atac, deoarece majoritatea atacurilor de rețea sunt efectuate tocmai pentru a obține acces neautorizat. Pentru a ghici o autentificare Telnet, un hacker trebuie mai întâi să obțină un indiciu Telnet asupra sistemului său. După conectarea la portul Telnet, pe ecran apare mesajul „autorizare necesară pentru a utiliza această resursă” (“ Este necesară autorizarea pentru a utiliza această resursă.»).

Dacă hackerul continuă să încerce accesul după aceasta, va fi considerat neautorizat. Sursa unor astfel de atacuri poate fi fie în interiorul rețelei, fie în exterior.

Metodele de combatere a accesului neautorizat sunt destul de simple. Principalul lucru aici este să reduceți sau să eliminați complet capacitatea hackerului de a obține acces la sistem folosind un protocol neautorizat.

De exemplu, luați în considerare împiedicarea accesului hackerilor Port Telnet pe un server care oferă servicii Web utilizatorilor externi. Fără acces la acest port, un hacker nu îl va putea ataca. În ceea ce privește firewall-ul, sarcina sa principală este de a preveni cele mai simple încercări de acces neautorizat.

Viruși și aplicații troiene

Stațiile de lucru ale utilizatorilor finali sunt foarte vulnerabile la viruși și cai troieni. Se numesc virusuri malware, care sunt încorporate în alte programe pentru a îndeplini o anumită funcție nedorită pe stația de lucru a utilizatorului final. Un exemplu este un virus care este scris în fișierul command.com (interpretul principal sisteme Windows) și șterge alte fișiere și, de asemenea, infectează toate celelalte versiuni ale command.com pe care le găsește.

Un cal troian nu este o inserare de software, ci un program real care pare la prima vedere aplicație utilă, dar de fapt joacă un rol dăunător. Un exemplu de cal troian tipic este un program care arată ca joc simplu pentru stația de lucru a utilizatorului.

Cu toate acestea, în timp ce utilizatorul joacă jocul, programul trimite o copie a lui însuși prin e-mail fiecărui abonat listat în carte de adrese acest utilizator. Toți abonații primesc jocul prin poștă, determinând distribuția lui ulterioară.

Lupta împotriva virușilor și cailor troieni se realizează cu ajutorul unui software antivirus eficient care funcționează la nivel de utilizator și, eventual, la nivel de rețea. Produsele antivirus detectează majoritatea virușilor și cailor troieni și opresc răspândirea acestora.

Obținerea celor mai recente informații despre viruși vă va ajuta să le combateți mai eficient. Pe măsură ce apar noi viruși și cai troieni, companiile trebuie să instaleze noi versiuni de instrumente și aplicații antivirus.

La scrierea acestui articol, s-au folosit materiale furnizate de Cisco Systems.

Rău Bun

Tabelul 9.1.

Nume protocol	Nivel stiva de protocoale	Numele (caracteristică) vulnerabilității	Conținutul încălcării securitatea informatiei
FTP (File Transfer Protocol) – protocol pentru transferul de fișiere într-o rețea		Autentificare bazată text simplu(parolele sunt trimise necriptate) Acces implicit Disponibilitatea a două porturi deschise	Oportunitate interceptarea datelor
telnet - protocol de control terminal la distanță	Aplicație, reprezentant, sesiune	Autentificare bazată text simplu(parolele sunt trimise necriptate)	Oportunitate interceptarea datelor cont(nume de utilizator înregistrate, parole). Chitanță acces de la distanță la gazde
UDP- protocol de transfer de date fără conexiune	Transport	Niciun mecanism pentru a preveni supraîncărcarea tamponului	Posibilitatea implementării UDP storm. Ca urmare a schimbului de pachete, există o scădere semnificativă a performanței serverului
ARP – Protocolul adresei IP la adresa fizică	Reţea	Autentificare bazată text simplu(informațiile sunt trimise necriptate)	Posibilitatea de interceptare a traficului utilizatorului de către un atacator
RIP – Protocolul de informații de rutare	Transport	Lipsa autentificării mesajelor de control al schimbării rutei	Abilitatea de a redirecționa traficul prin gazda atacatorului
TCP protocol de control transfer	Transport	Lipsa unui mecanism pentru verificarea umplerii corecte a antetelor serviciului de pachete	Reducere semnificativă a vitezei de comunicare și chiar întreruperea completă a conexiunilor arbitrare prin protocolul TCP
DNS – protocol pentru stabilirea corespondenței între numele mnemonice și adresele de rețea	Aplicație, reprezentant, sesiune	Lipsa mijloacelor de verificare a autentificării datelor primite de la sursă	Modificarea răspunsului serverului DNS
IGMP – Protocolul mesajelor de rutare	Reţea	Lipsa autentificării mesajelor despre modificarea parametrilor rutei	Sistemele Win 9x/NT/2000 se blochează
SMTP – protocol pentru furnizarea serviciului de livrare a mesajelor e-mail	Aplicație, reprezentant, sesiune		Posibilitatea de a falsifica mesaje de e-mail, precum și adrese expeditorul mesajului
SNMP protocol de control routere în rețele	Aplicație, reprezentant, sesiune	Nu există suport pentru autentificarea antetului mesajului	Posibilitatea supraîncărcării lățimii de bandă a rețelei

Amenințările efectuate în rețea sunt clasificate în funcție de următoarele caracteristici principale:

1. natura amenințării.

   Pasiv - o amenințare care nu afectează munca Sistem informatic, dar poate încălca regulile de acces la informații protejate. Exemplu: folosirea unui sniffer pentru a „asculta” o rețea. Activ – o amenințare care afectează componentele unui sistem informațional, a cărui implementare are un impact direct asupra funcționării sistemului. Exemplu: atac DDOS sub forma unei furtuni de cereri TCP.

2. scopul amenințării(respectiv, confidențialitatea, disponibilitatea, integritatea informațiilor).
3. starea de începere a atacului:
   • la cererea atacatului. Adică atacatorul se așteaptă la transmiterea unei cereri de un anumit tip, care va fi condiția declanșării atacului.
   • la apariția unui eveniment așteptat la obiectul atacat.
   • impact necondiționat - atacatorul nu așteaptă nimic, adică amenințarea este implementată imediat și indiferent de starea obiectului atacat.
4. disponibilitatea feedback-ului cu obiectul atacat:
   • cu feedback, adică atacatorul trebuie să primească un răspuns la unele solicitări. Astfel, există feedback între țintă și atacator, permițând atacatorului să monitorizeze starea obiectului atacat și să răspundă în mod adecvat la modificările acestuia.
   • fără feedback - în consecință, nu există feedback și nu este nevoie ca atacatorul să reacționeze la modificările obiectului atacat.
5. locația intrusului în raport cu sistemul informațional atacat: intra-segment şi inter-segment. Un segment de rețea este o asociere fizică de gazde, hardware și alte componente de rețea care au o adresă de rețea. De exemplu, un segment este format din calculatoare conectate la o magistrală comună bazată pe Token Ring.
6. Stratul de model de referință ISO/OSI la care este implementată amenințarea: fizic, canal, rețea, transport, sesiune, reprezentant, aplicație.

Să ne uităm la cele mai comune atacuri în prezent în rețelele bazate pe stiva de protocoale TCP/IP.

1. Analiza traficului în rețea. Acest atac implementat folosind program special numit sniffer. Sniffer este un program de aplicație care utilizează o placă de rețea care funcționează în modul promiscuu, așa-numitul mod „promiscuu” în care placa de rețea permite acceptarea tuturor pachetelor, indiferent cui sunt adresate. În stare normală, filtrarea pachetelor din stratul de legătură este utilizată pe interfața Ethernet și dacă adresa MAC din antetul de destinație al pachetului primit nu se potrivește cu adresa MAC a curentului interfata reteași nu este o difuzare, pachetul este aruncat. În modul „promiscuu”, filtrarea după interfata retea este dezactivat și toate pachetele, inclusiv cele care nu sunt destinate nodului curent, sunt permise în sistem. Trebuie remarcat faptul că multe astfel de programe sunt folosite în scopuri legale, de exemplu, pentru diagnosticarea defecțiunilor sau analiza traficului. Cu toate acestea, tabelul pe care l-am revizuit mai sus enumeră protocoalele către care trimit informații, inclusiv parole formă deschisă– FTP, SMTP, POP3 etc. Astfel, folosind un sniffer, vă puteți intercepta numele de utilizator și parola și puteți obține acces neautorizat la informații confidențiale. Mai mult, mulți utilizatori folosesc aceleași parole pentru a accesa multe servicii online. Adică, dacă există o slăbiciune într-un loc din rețea sub forma unei autentificări slabe, întreaga rețea poate avea de suferit. Atacatorii sunt conștienți de slăbiciunile umane și folosesc pe scară largă metode de inginerie socială.

   Protecția împotriva acestui tip de atac poate include următoarele:

   • Autentificare puternică de ex. folosind parole unice(parolă de unică folosință). Ideea este că parola poate fi folosită o singură dată, și chiar dacă un atacator o interceptează folosind un sniffer, nu are valoare. Desigur, acest mecanism de protecție protejează doar împotriva interceptării parolelor și este inutil în cazul interceptării altor informații, de exemplu, e-mailul.
   • Anti-sniffer-urile sunt hardware sau software care pot detecta funcționarea unui sniffer într-un segment de rețea. De regulă, ei verifică sarcina pe nodurile de rețea pentru a determina sarcina „excesului”.
   • Infrastructură schimbată. Este clar că analiza traficului de rețea este posibilă doar într-un singur segment de rețea. Dacă rețeaua este construită pe dispozitive care o împart în mai multe segmente (switch-uri și routere), atunci un atac este posibil numai în acele părți ale rețelei care aparțin unuia dintre porturile acestor dispozitive. Acest lucru nu rezolvă problema adulmecării, dar reduce limitele pe care un atacator le poate „asculta”.
   • Metode criptografice. Cel mai mod de încredere combate munca sniffer. Informațiile care pot fi obținute prin interceptare sunt criptate și, prin urmare, nu au nicio utilitate. Cele mai utilizate sunt IPSec, SSL și SSH.
2. Scanare în rețea.Scopul scanarii retelei este identificarea serviciilor care ruleaza in retea, porturi deschise, active servicii de rețea , protocoale utilizate etc., adică colectarea de informații despre rețea. Cele mai frecvent utilizate metode pentru scanarea în rețea sunt:
   • Interogările DNS ajută un atacator să afle proprietarul domeniului, zona adresei,
   • ping testing – identifică gazdele care funcționează pe baza adreselor DNS obținute anterior;
   • scanare porturi – este compilată o listă completă a serviciilor acceptate de aceste gazde, porturi deschise, aplicații etc.

   O contramăsură bună și cea mai comună este utilizarea IDS, care găsește cu succes semne de scanare în rețea și anunță administratorul despre aceasta. Este imposibil să scăpați complet de această amenințare, deoarece, de exemplu, dacă dezactivați ecoul ICMP și răspunsul ecou pe router, puteți scăpa de amenințarea ping, dar, în același timp, pierdeți datele necesare pentru a diagnostica defecțiunile rețelei. .

3. Dezvăluirea parolei.Scopul principal al acestui atac este de a obține acces neautorizat la resursele protejate prin depășirea protecției prin parolă. Pentru a obține o parolă, un atacator poate folosi multe metode - forță brută simplă, forță brută în dicționar, sniffing etc. Cea mai comună este o căutare simplă în forță brută a tuturor valorilor posibile ale parolei. Pentru a vă proteja împotriva forței brute simple, este necesar să folosiți parole puternice care nu sunt ușor de ghicit: 6-8 caractere lungi, folosiți litere mari și mici, utilizați caractere speciale (@, #, $ etc.).

   O altă problemă de securitate a informațiilor este că majoritatea oamenilor o folosesc aceleași parole la toate serviciile, aplicațiile, site-urile etc. În același timp, vulnerabilitatea unei parole depinde de zona cea mai slabă a utilizării acesteia.

   Aceste tipuri de atacuri pot fi evitate folosind parole unice, despre care am discutat mai devreme, sau autentificare criptografică.

4. Falsificarea IP sau înlocuirea unui obiect de rețea de încredere.De încredere în acest caz înseamnă un obiect de rețea (computer, router, firewall etc.) conectat legal la server. Amenințarea constă în faptul că un atacator uzurpa identitatea unui obiect de rețea de încredere. Acest lucru se poate face în două moduri. În primul rând, utilizați o adresă IP care se află în intervalul de adrese IP autorizate sau o adresă externă autorizată căreia i se permite accesul la anumite resurse de rețea. Acest tip de atac este adesea punctul de plecare pentru alte atacuri.

   De obicei, falsificarea unei entități de rețea de încredere se limitează la inserarea de informații false sau comenzi rău intenționate în fluxul normal de date transmise între entitățile din rețea. Pentru comunicarea bidirecțională, un atacator trebuie să schimbe toate tabelele de rutare pentru a direcționa traficul către o adresă IP falsă, ceea ce este de asemenea posibil. Pentru a atenua amenințarea (dar nu a o elimina), puteți utiliza următoarele:

   • controlul accesului. Puteți configura controlul accesului pentru a respinge orice trafic provenit dintr-o rețea externă cu o adresă sursă în interiorul rețelei. Această metodă este eficientă dacă numai adresele interne sunt autorizate și nu funcționează dacă există adrese externe autorizate.
   • Filtrarea RFC 2827 – acest tip de filtrare vă permite să opriți încercările utilizatorilor rețelei dvs. de a falsifica alte rețele. Pentru a face acest lucru, trebuie să respingeți orice trafic de ieșire a cărui adresă sursă nu este una dintre adresele IP ale organizației dvs. Adesea, acest tip de filtrare este efectuat de furnizor. Ca rezultat, tot traficul care nu are o adresă sursă așteptată pe o anumită interfață este respins. De exemplu, dacă un ISP oferă o conexiune la adresa IP 15.1.1.0/24, poate configura un filtru astfel încât numai traficul care provine de la 15.1.1.0/24 să fie permis de la acea interfață către routerul ISP-ului. Rețineți că până când toți furnizorii implementează acest tip de filtrare, eficacitatea acestuia va fi mult mai mică decât este posibil.
   • Implementarea unor metode suplimentare de autentificare. Falsificarea IP este posibilă numai cu autentificarea bazată pe IP. Dacă introduci unele măsuri suplimentare de autentificare, de exemplu, cele criptografice, atacul devine inutil.
5. Refuzarea serviciului (DoS)- un atac asupra unui sistem informatic cu scopul de a-l duce la eșec, adică de a crea condiții în care utilizatorii legitimi ai sistemului nu pot accesa resursele furnizate de sistem, sau acest acces este dificil.

   Un atac DoS este cel mai comun și mai cunoscut atac recent, care se datorează în primul rând ușurinței implementării. Organizarea unui atac DOS necesită un minim de cunoștințe și abilități și se bazează pe deficiențele software-ului de rețea și ale protocoalelor de rețea. Dacă un atac este efectuat pe mai multe dispozitive de rețea, acesta se numește atac DoS distribuit (DDoS).

   Astăzi, sunt utilizate cel mai frecvent următoarele cinci tipuri de atacuri DoS, pentru care există o cantitate mare de software și de care este cel mai greu de protejat:

   • Ştrumf- Solicitări ping ICMP. Când un pachet ping (mesaj ICMP ECHO) este trimis la o adresă de difuzare (de exemplu, 10.255.255.255), acesta este livrat la fiecare mașină din acea rețea. Principiul atacului este trimiterea unui pachet ICMP ECHO REQUEST cu adresa sursă a gazdei atacate. Un atacator trimite un flux constant de pachete ping la o adresă de difuzare a rețelei. Toate mașinile, la primirea cererii, răspund sursei cu un pachet ICMP ECHO REPLY. În consecință, dimensiunea fluxului de pachete de răspuns crește proporțional cu numărul de gazde de un număr de ori. Ca urmare, întreaga rețea este supusă refuzului serviciului din cauza congestiei.
   • Inundație ICMP- un atac similar cu Smurf, dar fără amplificarea creată de solicitările către o adresă de difuzare direcționată.
   • Inundație UDP- trimiterea unui set la adresa nodului atacat Pachetele UDP(Protocolul de datagramă utilizator).
   • inundație TCP- trimiterea mai multor pachete TCP la adresa nodului atacat.
   • TCP SYN inundație- la efectuarea acestui tip de atac sunt emise un număr mare de solicitări de inițializare a conexiunilor TCP cu nodul atacat, care, ca urmare, trebuie să-și cheltuiască toate resursele urmărind aceste conexiuni parțial deschise.

   Dacă utilizați un server Web sau o aplicație de server FTP, un atac DoS face ca toate conexiunile disponibile pentru acele aplicații să fie ocupate și utilizatorii nu le pot accesa. Unele atacuri pot distruge o întreagă rețea, inundând-o cu pachete inutile. Pentru a contracara astfel de atacuri este necesară implicarea furnizorului, deoarece dacă nu oprește traficul nedorit la intrarea în rețea, atacul nu va fi oprit deoarece lățimea de bandă va fi ocupată.

   Următoarele programe sunt cel mai des folosite pentru a implementa un atac DoS:

   • Trinoo- este un program destul de primitiv, care din punct de vedere istoric a devenit primul care a organizat atacuri DoS de un singur tip - UDP flood. Programele din familia „trinoo” sunt ușor de detectat mijloace standard protecție și nu reprezintă o amenințare pentru cei cărora le pasă măcar puțin de siguranța lor.
   • TFN și TFN2K- o armă mai serioasă. Vă permite să organizați simultan mai multe tipuri de atacuri - Smurf, UDP flood, ICMP flood și TCP SYN flood. Utilizarea acestor programe necesită ca atacatorul să fie mult mai priceput.
   • Cel mai recent instrument pentru organizarea atacurilor DoS - Stacheldracht("sârmă ghimpată"). Acest pachet vă permite să organizați o varietate de tipuri de atacuri și avalanșe de solicitări ping de difuzare. În plus, schimbul de date între controlori și agenți este criptat și software funcție de modificare automată încorporată. Criptarea face foarte dificilă detectarea unui atacator.

   Pentru a atenua amenințarea, puteți utiliza următoarele:

   • Funcții anti-spoofing - Configurarea corectă a funcțiilor anti-spoofing pe routere și firewall-uri va ajuta la reducerea riscului de DoS. Aceste caracteristici ar trebui să includă cel puțin filtrarea RFC 2827. Dacă un hacker nu își poate ascunde adevărata identitate, este puțin probabil să efectueze un atac.
   • Caracteristici anti-DoS - Configurarea corectă a caracteristicilor anti-DoS pe routere și firewall-uri poate limita eficacitatea atacurilor. Aceste caracteristici limitează adesea numărul de canale pe jumătate deschise la un moment dat.
   • Limitarea ratei de trafic - o organizație poate cere ISP-ului să limiteze volumul de trafic. Acest tip de filtrare vă permite să limitați cantitatea de trafic necritic care trece prin rețeaua dvs. Un exemplu comun este limitarea volumului de trafic ICMP, care este utilizat numai în scopuri de diagnosticare. Atacurile DoS folosesc adesea ICMP.

   Există mai multe tipuri de amenințări de acest tip:

   • Refuzarea de serviciu ascunsă, atunci când o parte din resursele rețelei este utilizată pentru a procesa pachete transmise de un atacator, reducând capacitatea canalului, perturbând timpul de procesare a cererilor și perturbând performanța dispozitivelor din rețea. Exemplu: o furtună de solicitări de eco ICMP direcționată sau o furtună de solicitări de conexiune TCP.
   • O aparentă refuzare a serviciului cauzată de epuizarea resurselor rețelei ca urmare a procesării pachetelor trimise de atacatori. În același timp, cererile legitime ale utilizatorilor nu pot fi procesate din cauza faptului că întreaga lățime de bandă a canalului este ocupată, bufferele sunt pline, spațiul pe disc este plin etc. Exemplu: furtună direcționată (SYN-inundare).
   • O refuz evident de serviciu cauzată de o încălcare a conectivității logice între mijloacele tehnice ale rețelei atunci când un atacator transmite mesaje de control în numele dispozitivelor din rețea. În acest caz, datele de rutare și adrese se modifică. Exemplu: gazdă de redirecționare ICMP sau inundație DNS.
   • O refuz explicit de serviciu cauzată de un atacator care transmite pachete cu atribute nestandard (de exemplu, UDP-bomb) sau care au o lungime care depășește valoarea maximă (Ping Death).

   Atacurile DoS au ca scop perturbarea disponibilității informațiilor și nu încalcă integritatea și confidențialitatea.

6. Atacurile la nivel de aplicație. Acest tip de atac implică exploatarea găurilor din software-ul serverului (HTML, sendmail, FTP). Folosind aceste vulnerabilități, un atacator obține acces la un computer în numele utilizatorului aplicației. Atacurile la nivelul aplicației folosesc adesea porturi care pot „trece” prin firewall.

   Principala problemă a atacurilor la nivel de aplicație este că folosesc adesea porturi care au voie să treacă prin firewall. De exemplu, un hacker care atacă un server Web ar putea folosi portul TCP 80. Pentru ca serverul Web să ofere pagini utilizatorilor, portul 80 de pe firewall trebuie să fie deschis. Din punctul de vedere al firewall-ului, atacul este tratat ca trafic standard pe portul 80.

   Este imposibil să eliminați complet atacurile la nivel de aplicație, deoarece programele de aplicație cu noi vulnerabilități apar în mod regulat. Cel mai important lucru aici este o bună administrare a sistemului. Iată câteva măsuri pe care le puteți lua pentru a vă reduce vulnerabilitatea la acest tip de atac:

   • citirea jurnalelor (sistem și rețea);
   • urmărirea vulnerabilităților din noul software folosind site-uri specializate, de exemplu, http://www.cert.com.
   • utilizarea IDS.

Din însăși natura unui atac de rețea, este clar că apariția acestuia nu este controlată de fiecare nod specific al rețelei. Nu am luat în considerare toate atacurile posibile asupra rețelei; în practică, sunt mult mai multe. Cu toate acestea, nu pare posibil să se protejeze împotriva tuturor tipurilor de atacuri. Cea mai bună abordare pentru protejarea perimetrului rețelei este eliminarea vulnerabilităților care sunt utilizate în majoritatea atacurilor infracționale cibernetice. Liste cu astfel de vulnerabilități sunt publicate pe multe site-uri care colectează astfel de statistici, de exemplu, site-ul web al Institutului SANS: http://www.sans.org/top-cyber-security-risks/?ref=top20. Atacatorul obișnuit nu caută niciunul moduri originale pentru un atac, dar scanează rețeaua căutând o vulnerabilitate cunoscută și o exploatează.

Bilet 1. Concepte și definiții de bază ale securității informațiilor: atacuri, vulnerabilități, politici de securitate, mecanisme și servicii de securitate. Clasificarea atacurilor. Modele de securitate a rețelei și securitate a sistemului informațional

Vulnerabilitate - slăbiciuneîn sistem, cu ajutorul căruia poate fi realizat atac.

Risc - probabilitatea ca un anumit atac se va realiza folosind un specific vulnerabilități. În cele din urmă, fiecare organizație trebuie să decidă ce nivel este acceptabil pentru ea. risc. Această decizie ar trebui să se reflecte în politica de securitate adoptată de organizație.

Politică de securitate — reguli, orientări și practici care determină modul în care activele informaționale sunt procesate, protejate și distribuite în cadrul unei organizații și între sistemele informaționale; set de criterii de furnizare servicii de securitate.

Atac - orice actiune care incalca securitatea sistemului informatic. Mai formal putem spune asta atac- este o acțiune sau o secvență de acțiuni interconectate folosind vulnerabilități a acestui sistem informatic și conducând la o încălcare a politicii de securitate.

Mecanism de securitate - software și/sau hardware care detectează și/sau previne atac.

Serviciu de securitate - un serviciu care oferă securitate definită de politică a sistemelor și/sau a datelor transmise sau determină implementarea atacuri. Serviciu utilizează unul sau mai multe mecanisme de securitate.
^

Model de securitate a rețelei.Clasificarea atacurilor de rețea

Toate atacuri poate fi împărțit în două clase: pasivȘi activ.

I. Atacul pasiv

Aceasta se numește pasiv atac , cu care dusman nu are capacitatea de a modifica mesajele transmise și de a introduce propriile mesaje în canalul de informare dintre expeditor și destinatar. Scop atac pasiv nu poate fi decât ascultarea mesajelor transmise și analiza traficului.

Acest lucru se numește activ atac , cu care dusman are capacitatea de a modifica mesajele transmise și de a introduce propriile mesaje. Se disting următoarele tipuri: atacuri active:

^ II. Atacul activ

Refuzarea serviciului - Atac DoS (Denial of Service)

O refuz de serviciu perturbă funcționarea normală a serviciilor de rețea. Dusman poate intercepta toate mesajele trimise unui anumit destinatar. Un alt exemplu în acest sens atacuri este de a genera trafic semnificativ, ceea ce duce la imposibilitatea serviciului de rețea de a procesa cererile de la clienții legitimi. Un exemplu clasic este atacuriîn rețelele TCP/IP este un atac SYN în care atacatorul trimite pachete care inițiază stabilirea unei conexiuni TCP, dar nu trimite pachete care finalizează stabilirea acestei conexiuni. Ca urmare, serverul poate deveni copleșit și serverul poate să nu se poată conecta la utilizatori legitimi.

^ Model de securitate a sistemului informatic

Există și alte situații legate de securitate care nu se potrivesc cu modelul de securitate al rețelei descris mai sus. Modelul general al acestor situații poate fi ilustrat după cum urmează:

Acest model ilustrează conceptul de securitate a sistemului informațional, care împiedică accesul nedorit. Un hacker care încearcă să pătrundă ilegal în sistemele accesibile prin rețea se poate bucura pur și simplu de hacking sau poate încerca să deterioreze sistemul informațional și/sau să introducă ceva în el în scopuri proprii. De exemplu, scopul unui hacker ar putea fi să obțină numere de card de credit stocate în sistem.

Un alt tip de acces nedorit este plasarea a ceva pe un sistem informatic care afectează programele de aplicație și utilitățile software, cum ar fi editorii, compilatoarele și altele asemenea. Deci există două tipuri atacuri:

1. 
   Accesul la informații în scopul obținerii sau modificării datelor stocate în sistem.
2. 
   ^ Atacul la servicii pentru a vă împiedica să le utilizați.

Virușii și viermii sunt exemple ale acestora atacuri. Astfel de atacuri poate fi realizat folosind dischete sau printr-o rețea.

^ Servicii de securitate , care împiedică accesul nedorit, pot fi împărțite în două categorii:

1. 
   Prima categorie este definită în termenii funcției watchdog. Aceste mecanisme includeți proceduri de conectare, cum ar fi cele bazate pe parole, pentru a restricționa accesul numai la utilizatorii autorizați. Aceste mecanisme includ, de asemenea, diverse ecrane de protecție(firewall-uri) care împiedică atacuri la diferite niveluri ale stivei de protocoale TCP/IP și, în special, vă permit să preveniți pătrunderea viermilor, virușilor și, de asemenea, să preveniți alte asemenea atacuri.
2. 
   A doua linie de apărare constă din diverse monitoare interne care controlează accesul și analizează activitatea utilizatorului.

Unul dintre conceptele principale atunci când se asigură securitatea unui sistem informațional este conceptul autorizare - definirea și acordarea drepturilor de acces la resurse și/sau obiecte specifice.

Securitatea unui sistem informatic trebuie să se bazeze pe următoarele principii de bază:

1. 
   Securitatea sistemului informatic trebuie să fie în concordanță cu rolul și obiectivele organizației în care acest sistem instalat.
2. 
   Asigurarea securității informațiilor necesită o abordare integrată și holistică.
3. 
   Securitatea informațiilor ar trebui să fie parte integrantă a sistemului de management dintr-o organizație dată.
4. 
   Securitatea informațiilor trebuie să fie justificată din punct de vedere economic.
5. 
   Responsabilitățile pentru siguranță trebuie să fie clar definite.
6. 
   Securitatea sistemului informatic trebuie reevaluată periodic.
7. 
   Factorii sociali, precum si masurile administrative, organizatorice si de securitate fizica, sunt de mare importanta pentru asigurarea securitatii unui sistem informatic.

Inca nu definiție precisă termenul „atac” (invazie, atac). Fiecare specialist în securitate îl interpretează diferit. Consider că următoarea definiție este cea mai corectă și completă.

Atac atacurile asupra unui sistem informatic sunt acțiuni deliberate ale unui atacator care exploatează vulnerabilitățile sistemului informatic și conduc la încălcarea disponibilității, integrității și confidențialității informațiilor prelucrate.

Dacă eliminăm vulnerabilitățile sistemului informațional, vom elimina și posibilitatea atacurilor.

În prezent, se consideră necunoscut câte metode de atac există. Ei spun că încă nu există cercetări matematice serioase în acest domeniu. Dar în 1996, Fred Cohen a descris baza matematică a tehnologiei virale. Această lucrare a demonstrat că numărul de viruși este infinit. Evident, numărul de atacuri este infinit, deoarece virușii sunt un subset al multor atacuri.

Modele de atac

Model de atac tradițional este construit după principiul (Fig. 1) sau (Fig. 2), adică. atacul provine dintr-o singură sursă. Dezvoltatorii de instrumente de securitate a rețelei (firewall-uri, sisteme de detectare a atacurilor etc.) se concentrează în mod special pe modelul tradițional de atac. Agenții (senzorii) sistemului de protecție sunt instalați în diferite puncte ale rețelei protejate, care transmit informații către consola centrală de management. Acest lucru facilitează scalarea sistemului, oferă ușurință gestionării de la distanță etc. Cu toate acestea, acest model nu face față unei amenințări descoperite relativ recent (în 1998) - atacuri distribuite.
Figura 1. Relația unu-la-unu

Modelul de atac distribuit folosește principii diferite. Spre deosebire de modelul tradițional într-un model distribuit se folosesc relaţiile (Fig. 3) şi (Fig. 4).

Atacurile distribuite se bazează pe atacuri „clasice” de refuzare a serviciului și, mai precis, pe un subset al acestora cunoscut sub numele de Atacurile de inundații sau Atacuri de furtună(acești termeni pot fi traduși ca „furtună”, „potop” sau „avalanșă”). Scopul acestor atacuri este trimiterea unui număr mare de pachete către nodul atacat. Nodul atacat poate eșua pentru că va fi „înghețat” în avalanșa de pachete trimise și nu va putea procesa solicitările de la utilizatorii autorizați. Pe acest principiu funcționează atacurile SYN-Flood, Smurf, UDP Flood, Targa3 etc. Cu toate acestea, dacă lățimea de bandă a canalului către nodul atacat depășește lățimea de bandă a atacatorului sau nodul atacat este configurat incorect, atunci un astfel de atac nu va duce la „succes”. De exemplu, este inutil să încercați să vă perturbați ISP-ul folosind aceste atacuri. Dar un atac distribuit nu mai are loc dintr-un punct de pe Internet, ci din mai multe deodată, ceea ce duce la o creștere bruscă a traficului și dezactivează nodul atacat. De exemplu, potrivit Russia-Online, timp de două zile, începând cu ora 9 a.m. pe 28 decembrie 2000, cel mai mare furnizor de internet din Armenia, Arminco, a fost supus unui atac distribuit. În acest caz, peste 50 de mașini de la tari diferite care a trimis mesaje fără sens la adresa Arminko. A fost imposibil de stabilit cine a organizat acest atac și în ce țară a fost localizat hackerul. Deși a fost atacat în principal Arminco, întreaga autostradă care leagă Armenia de World Wide Web a fost supraîncărcată. Pe 30 decembrie, datorită cooperării dintre „Arminco” și alt furnizor - „ArmenTel” - conexiunea a fost complet restabilită. În ciuda acestui fapt, atacul computerizat a continuat, dar cu mai puțină intensitate.

Etapele implementării atacului

Se pot distinge următoarele etape ale atacului:

De obicei, când vorbesc despre un atac, se referă la a doua etapă, uitând de prima și ultima. Culegerea de informații și finalizarea unui atac („acoperirea pistelor”), la rândul lor, pot constitui, de asemenea, un atac și pot fi împărțite în trei etape (vezi Fig. 5).
Figura 5. Etapele implementării atacului

Colectarea de informații este etapa principală a atacului. În această etapă, eficiența atacatorului este cheia „succesului” atacului. În primul rând, ținta atacului este selectată și sunt colectate informații despre acesta (tipul și versiunea sistemului de operare, porturile deschise și serviciile de rețea care rulează, sistemul instalat și software-ul de aplicație și configurația acestuia etc.). Apoi sunt identificate cele mai vulnerabile puncte ale sistemului atacat, impactul cărora duce la rezultatul dorit pentru atacator. Atacatorul încearcă să identifice toate canalele de interacțiune dintre ținta atacului și alte noduri. Acest lucru vă va permite nu numai să selectați tipul de atac care trebuie implementat, ci și sursa implementării acestuia. De exemplu, nodul atacat interacționează cu două servere care rulează Unix și Windows NT. Nodul atacat are o relație de încredere cu un server, dar nu și cu celălalt. Serverul prin care atacatorul va implementa atacul determină ce atac va fi folosit, ce mijloace de implementare vor fi alese etc. Apoi, în funcție de informațiile primite și de rezultatul dorit, se selectează atacul care dă cel mai mare efect. De exemplu:
SYN Flood, Teardrop, UDP Bomb - pentru a perturba funcționarea nodului;
Script CGI - pentru a pătrunde într-un nod și a fura informații;
PHF - pentru furtul unui fișier cu parole și ghicirea de la distanță a unei parole etc.

Mijloacele tradiționale de protecție, cum ar fi firewall-urile sau mecanismele de filtrare din routere, intră în vigoare abia în a doua etapă a atacului, „uitând” complet de prima și a treia. Acest lucru duce la faptul că atacul este adesea foarte greu de oprit, chiar și cu apărări puternice și costisitoare. Un exemplu în acest sens sunt atacurile distribuite. Ar fi logic ca echipamentul de protecție să înceapă să funcționeze din prima etapă, adică. ar împiedica posibilitatea de a colecta informații despre sistemul atacat. Acest lucru ar permite, dacă nu ar preveni complet atacul, atunci cel puțin ar complica semnificativ munca atacatorului. Mijloacele tradiționale nu permit, de asemenea, detectarea atacurilor care au fost deja comise și evaluarea prejudiciului după implementarea lor, de exemplu. nu lucrați la a treia etapă a atacului. Prin urmare, este imposibil să se determine măsuri pentru prevenirea unor astfel de atacuri în viitor.

În funcție de rezultatul dorit, atacatorul se concentrează pe una sau alta etapă a atacului. De exemplu:
pentru refuzul serviciului se analizează în detaliu rețeaua atacată, se caută lacune și puncte slabe;
pentru furtul de informații, accentul principal este pe penetrarea silențioasă a nodurilor atacate folosind vulnerabilitățile descoperite anterior.

Să luăm în considerare principalele mecanisme de implementare a atacurilor. Acest lucru este necesar pentru a înțelege cum să detectăm aceste atacuri. În plus, înțelegerea modului în care operează atacatorii este cheia pentru apărarea reușită a rețelei.

1. Colectarea de informații

Prima etapă a implementării atacurilor este colectarea de informații despre sistemul sau nodul atacat. Include acțiuni precum determinarea topologiei rețelei, tipul și versiunea sistemului de operare al nodului atacat, precum și rețeaua disponibilă și alte servicii etc. Aceste acțiuni sunt implementate folosind diverse metode.

Explorarea mediului

În această etapă, atacatorul explorează mediul de rețea în jurul țintei vizate a atacului. Astfel de zone, de exemplu, includ gazdele furnizorului de internet al victimei sau gazdele biroului de la distanță al companiei atacate. În această etapă, atacatorul poate încerca să determine adresele sistemelor „de încredere” (de exemplu, rețeaua unui partener) și nodurilor care sunt conectate direct la ținta atacului (de exemplu, un router ISP), etc. Astfel de acțiuni sunt destul de greu de detectat deoarece sunt efectuate pe o perioadă destul de lungă de timp și în afara zonei controlate de măsuri de securitate (firewall-uri, sisteme de detectare a intruziunilor etc.).

Identificarea topologiei rețelei

Există două metode principale utilizate de atacatori pentru a determina topologia rețelei:

1. modificare TTL (modulație TTL),
2. inregistreaza traseul.

Prima metodă folosește traceroute pentru Unix și tracert pentru programe Windows. Ei folosesc un câmp Time to Live din antetul pachetului IP, care variază în funcție de numărul de routere pe care le traversează pachetul de rețea. Utilitarul ping poate fi folosit pentru a înregistra traseul unui pachet ICMP. Adesea, topologia rețelei poate fi determinată folosind protocolul SNMP instalat pe multe dispozitive de rețea a căror securitate nu este configurată corect. Folosind protocolul RIP, puteți încerca să obțineți informații despre tabelul de rutare din rețea etc.

Multe dintre aceste metode sunt folosite de sistemele moderne de management (de exemplu, HP OpenView, Cabletron SPECTRUM, MS Visio etc.) pentru a construi hărți de rețea. Și aceleași metode pot fi folosite cu succes de către atacatori pentru a construi o hartă a rețelei atacate.

Identificarea nodului

Identificarea unui nod se realizează de obicei prin trimitere folosind utilitarul comenzi ping ECHO_REQUEST a protocolului ICMP. Mesajul de răspuns ECHO_REPLY indică faptul că nodul este accesibil. Există programe disponibile gratuit care automatizează și accelerează procesul de identificare paralelă a unui număr mare de noduri, de exemplu, fping sau nmap. Pericol aceasta metoda Problema este că cererile ECHO_REQUEST nu sunt înregistrate de instrumentele standard ale nodurilor. Pentru a face acest lucru, trebuie să utilizați instrumente de analiză a traficului, firewall-uri sau sisteme de detectare a atacurilor.

Aceasta este cea mai simplă metodă de identificare a nodurilor. Cu toate acestea, are două dezavantaje.

1. Mulți dispozitive de rețea iar programele blochează pachetele ICMP și nu le permit să intre în rețeaua internă (sau invers, nu le permit să treacă afară). De exemplu, MS Proxy Server 2.0 nu permite pachetelor să treacă prin protocolul ICMP. Rezultatul este o imagine incompletă. Pe de altă parte, blocarea unui pachet ICMP îi spune atacatorului despre prezența unei „primei linii de apărare” - routere, firewall-uri etc.
2. Utilizarea solicitărilor ICMP facilitează detectarea sursei acestora, ceea ce, desigur, nu poate fi sarcina unui atacator.

Există o altă metodă de identificare a nodurilor - folosind modul „mixt”. card de retea, care vă permite să identificați diferitele noduri dintr-un segment de rețea. Dar nu este aplicabil în cazurile în care traficul segmentului de rețea nu este accesibil atacatorului din nodul său, adică. Această metodă este aplicabilă numai în rețelele locale. O altă modalitate de a identifica nodurile rețelei este așa-numita recunoaștere DNS, care vă permite să identificați nodurile rețelei corporative contactând serverul de servicii de nume.

Identificarea serviciului sau scanarea portului

Identificarea serviciilor se realizează de obicei prin detectarea porturilor deschise (scanarea porturilor). Astfel de porturi sunt foarte des asociate cu servicii bazate pe protocoalele TCP sau UDP. De exemplu:

• portul deschis 80 implică prezența unui server web,
• Port 25 - server de e-mail SMTP,
• 31337th - partea de server a calului troian BackOrifice,
• 12345th sau 12346th - parte server a calului troian NetBus etc.

Diverse programe pot fi utilizate pentru a identifica serviciile și porturile de scanare, inclusiv. și distribuite gratuit. De exemplu, nmap sau netcat.

Identificarea sistemului de operare

Principalul mecanism pentru detectarea de la distanță a sistemului de operare este analiza răspunsurilor la solicitări, luând în considerare diferitele implementări ale stivei TCP/IP în diferite sisteme de operare. Fiecare sistem de operare implementează stiva de protocoale TCP/IP în felul său, ceea ce face posibilă determinarea sistemului de operare care este instalat pe o gazdă la distanță folosind cereri și răspunsuri speciale la acestea.

Un alt mod, mai puțin eficient și extrem de limitat, de a identifica sistemele de operare gazdă este analiza serviciilor de rețea descoperite în etapa anterioară. De exemplu, un port deschis 139 ne permite să concluzionam că gazda la distanță rulează cel mai probabil un sistem de operare Windows. Diverse programe pot fi utilizate pentru a determina sistemul de operare. De exemplu, nmap sau queso.

Definirea unui rol de nod

Penultimul pas în etapa de colectare a informațiilor despre gazda atacată este de a determina rolul acesteia, de exemplu, îndeplinirea funcțiilor unui firewall sau server Web. Acest pas este efectuat pe baza informațiilor deja colectate despre serviciile active, numele gazdei, topologia rețelei etc. De exemplu, un port deschis 80 poate indica prezența unui server Web, blocarea unui pachet ICMP indică prezența potențială a unui firewall, iar numele gazdei DNS proxy.domain.ru sau fw.domain.ru vorbește de la sine.

Determinarea vulnerabilităților gazdei

Ultimul pas este căutarea vulnerabilităților. La acest pas, atacatorul, folosind diverse mijloace automate sau manual, identifică vulnerabilități care pot fi folosite pentru a efectua un atac. ShadowSecurityScanner, nmap, Retina etc. pot fi folosite ca astfel de instrumente automate.

2. Punerea în aplicare a atacului

Din acest moment începe o încercare de acces la nodul atacat. În acest caz, accesul poate fi fie direct, adică pătrunderea unui nod sau indirect, de exemplu, la implementarea unui atac de tip denial of service. De asemenea, implementarea atacurilor în cazul accesului direct poate fi împărțită în două etape:

• penetrare;
• stabilirea controlului.

Penetrare

Penetrarea implică spargerea apărării perimetrului (de exemplu, un firewall). Acest lucru poate fi realizat în diferite moduri. De exemplu, exploatarea unei vulnerabilități într-un serviciu informatic care privește spre exterior sau prin transmiterea de conținut ostil prin e-mail (viruși macro) sau prin applet-uri Java. Un astfel de conținut poate folosi așa-numitele „tunele” în firewall (a nu fi confundat cu tuneluri VPN), prin care atacatorul pătrunde apoi. Această etapă include și selectarea parolei unui administrator sau a altui utilizator folosind un utilitar specializat (de exemplu, L0phtCrack sau Crack).

Stabilirea controlului

După pătrundere, atacatorul stabilește controlul asupra nodului atacat. Acest lucru se poate face prin introducerea unui program troian (ex. NetBus sau BackOrifice). După stabilirea controlului asupra nodului dorit și „acoperirea” urmelor sale, atacatorul poate efectua toate acțiunile neautorizate necesare de la distanță fără știrea proprietarului computerului atacat. În acest caz, stabilirea controlului asupra nodului rețelei corporative trebuie menținută chiar și după repornirea sistemului de operare. Acest lucru se poate face prin înlocuirea unuia dintre fișierele de pornire sau inserând un link către cod ostil în fișierele de pornire sau registru de sistem. Există un caz cunoscut în care un atacator a putut să reprogrameze EEPROM-ul unei plăci de rețea și chiar și după reinstalarea sistemului de operare, a reușit să implementeze acțiuni neautorizate. O modificare mai simplă a acestui exemplu este de a încorpora codul sau fragmentul necesar într-un script de pornire în rețea (de exemplu, pentru sistemul de operare Novell Netware).

Obiectivele atacurilor

Etapa finală a atacului este „acoperirea urmelor” din partea atacatorului. Acest lucru se realizează de obicei prin ștergerea intrărilor corespunzătoare din jurnalele gazdei și alte acțiuni care readuc sistemul atacat la starea sa originală, „preatacat”.

Clasificarea atacurilor

Exista tipuri variate clasificări de atac. De exemplu, împărțirea în pasiv și activ, extern și intern, intenționat și neintenționat. Cu toate acestea, pentru a nu vă confunda cu o mare varietate de clasificări care sunt de puțină folos în practică, vă propun o clasificare mai „reață”:

1. Pătrunderea de la distanță. Atacurile care vă permit să implementați telecomandă computer prin intermediul rețelei. De exemplu, NetBus sau BackOrifice.
2. Pătrunderea locală. Un atac care are ca rezultat acces neautorizat la gazda pe care este lansat. De exemplu, GetAdmin.
3. Refuzarea serviciului de la distanță. Atacurile care perturbă sau supraîncărcă un computer prin Internet. De exemplu, Teardrop sau trin00.
4. Refuzarea serviciului local. Atacurile care vă permit să perturbați sau să supraîncărcați computerul pe care sunt implementate. Un exemplu de astfel de atac este un applet „ostil” care încarcă procesorul într-o buclă infinită, făcând imposibilă procesarea cererilor de la alte aplicații.
5. Scanere de rețea. Programe care analizează topologia rețelei și detectează serviciile care pot fi atacate. De exemplu, sistemul nmap.
6. Scanere de vulnerabilitate. Programe care caută vulnerabilități pe nodurile rețelei și care pot fi folosite pentru a efectua atacuri. De exemplu, sistemul SATAN sau ShadowSecurityScanner.
7. Crackeri de parole. Programe care „ghicesc” parolele utilizatorului. De exemplu, L0phtCrack pentru Windows sau Crack pentru Unix.
8. Analizoare de protocol (sniffer). Programe care „ascultă” traficul din rețea. Folosind aceste programe, puteți căuta automat informații precum ID-uri de utilizator și parole, informații despre cardul de credit etc. De exemplu, Microsoft Network Monitor, Network Associates' NetXRay sau LanExplorer.

Companie securitatea internetului Systems, Inc. a redus și mai mult numărul de categorii posibile, aducându-le la 5:

1. Colectarea de informații.
2. Încercări de acces neautorizat.
3. Refuzarea serviciului.
4. Activitate suspicioasa.
5. Atacurile de sistem.

Primele 4 categorii se referă la atacuri la distanță, iar ultima - la cele locale, implementate pe nodul atacat. Se poate observa că în această clasificare o întreagă clasă de așa-numite atacuri „pasive” (interceptarea traficului, server DNS fals, falsificare server ARP etc.) nu au fost incluse.

Clasificarea atacurilor implementate în multe sisteme de detectare a atacurilor nu poate fi categorică. De exemplu, un atac a cărui implementare pe sistemul de operare Unix (de exemplu, statd buffer overflow) poate avea cele mai grave consecințe (cel mai mare prioritate), pe sistemul de operare Windows NT poate să nu fie aplicabil deloc sau să aibă un grad foarte scăzut de risc. În plus, există confuzie chiar în numele atacurilor și vulnerabilităților. Același atac poate avea nume diferite diferiți producători sisteme de detectare a atacurilor.

Una dintre cele mai bune baze de date de vulnerabilități și atacuri este baza de date X-Force, aflată la: http://xforce.iss.net/. Acesta poate fi accesat fie prin abonarea la lista de corespondență X-Force Alert distribuită gratuit, fie prin căutarea interactivă în baza de date pe serverul Web ISS.

Concluzie

Fără vulnerabilități în componentele sistemului informațional, multe atacuri nu ar fi posibile și, prin urmare, sistemele tradiționale de securitate ar fi destul de eficiente în a face față posibilelor atacuri. Cu toate acestea, programele sunt scrise de oameni care au tendința de a greși. Ca urmare, apar vulnerabilități care sunt folosite de atacatori pentru a efectua atacuri. Cu toate acestea, aceasta este doar jumătate din poveste. Dacă toate atacurile s-ar baza pe un model unu-la-unu, atunci ar fi puțin exagerat, dar și firewall-urile și alte sisteme de securitate le-ar putea rezista. Dar au apărut atacuri coordonate, împotriva cărora mijloacele tradiționale nu mai sunt atât de eficiente. Și aici apar noile tehnologii pe scenă - tehnologiile de detectare a atacurilor. Sistematizarea de mai sus a datelor despre atacuri și etapele implementării acestora oferă baza necesară pentru înțelegerea tehnologiilor de detectare a atacurilor.

Instrumente de detectare a atacurilor computerizate

Tehnologia de detectare a intruziunilor trebuie să rezolve următoarele probleme:

• Recunoașteți atacurile cunoscute și alertați personalul corespunzător asupra acestora.
• „Înțelegerea” surselor adesea obscure de informații despre atac.
• Eliberarea sau reducerea sarcinii asupra personalului de securitate din monitorizarea de rutină a utilizatorilor, sistemelor și rețelelor care sunt componente ale rețelei corporative.
• Abilitatea de a gestiona controalele de securitate de către experți care nu fac parte din securitate.
• Controlul tuturor acțiunilor subiecților rețelei corporative (utilizatori, programe, procese etc.).

De multe ori sisteme de detectare a atacurilor pot îndeplini funcții care extind semnificativ gama de aplicații ale acestora. De exemplu,

• Monitorizarea eficacității firewall-urilor. De exemplu, instalarea unui sistem de detectare a atacurilor după firewall(în cadrul unei rețele corporative) vă permite să detectați atacurile ratate de firewall și, prin urmare, să determinați regulile lipsă pe firewall.
• Monitorizarea nodurilor de rețea cu actualizări dezinstalate sau nodurilor cu software învechit.
• Blocarea și controlul accesului la anumite site-uri de internet. Deși sistemele de detectare a atacurilor sunt departe de firewall-uri și sisteme de control al accesului pentru diverse URL-uri, de exemplu, WEBsweeper, ele pot efectua control parțial și pot bloca accesul unor utilizatori corporativi de rețea la anumite resurse de Internet, de exemplu, la serverele Web cu conținut pornografic. Acest lucru este necesar atunci când organizația nu are bani să achiziționeze atât un firewall, cât și un sistem de detectare a atacurilor, iar funcțiile firewall-ului sunt distribuite între sistemul de detectare a atacurilor, router și serverul proxy. În plus, sistemele de detectare a intruziunilor pot controla accesul angajaților la servere pe baza Cuvinte cheie. De exemplu, sex, job, crack etc.
• Control prin e-mail. Sistemele de detectare a intruziunilor pot fi folosite pentru a monitoriza angajații care nu sunt de încredere care folosesc e-mail pentru a îndeplini sarcini care nu fac parte din responsabilitățile lor funcționale, de exemplu, trimiterea CV-urilor. Unele sisteme pot detecta viruși în mesajele de e-mail și, deși sunt departe de sistemele antivirus reale, îndeplinesc totuși această sarcină destul de eficient.

Cea mai bună utilizare a timpului și experienței profesioniștilor în securitatea informațiilor este de a descoperi și elimina cauzele atacurilor, mai degrabă decât de a detecta atacurile în sine. Prin eliminarea cauzelor atacurilor, i.e. Prin identificarea și eliminarea vulnerabilităților, administratorul elimină astfel însuși faptul potențialelor atacuri. În caz contrar, atacul se va repeta iar și iar, necesitând constant eforturile și atenția administratorului.

Clasificarea sistemelor de detectare a intruziunilor

Există un număr mare de clasificări diferite ale sistemelor de detectare a intruziunilor, dar cea mai comună este clasificarea bazată pe principiul implementării:

1. bazat pe gazdă, adică detectarea atacurilor care vizează un anumit nod de rețea,
2. bazat pe rețea, adică detectarea atacurilor care vizează o întreagă rețea sau segment de rețea.

Sistemele de detectare a intruziunilor care monitorizează un computer individual colectează și analizează de obicei informații din jurnalele sistemului de operare și aplicatii diverse(server web, DBMS etc.). RealSecure OS Sensor funcționează pe acest principiu. Cu toate acestea, recent sistemele care sunt strâns integrate cu nucleul sistemului de operare au devenit larg răspândite, oferind astfel o modalitate mai eficientă de a detecta încălcările politicii de securitate. Mai mult, o astfel de integrare poate fi implementată în două moduri. În primul rând, toate apelurile de sistem OS pot fi monitorizate (așa funcționează Entercept) sau tot traficul de rețea de intrare/ieșire (așa funcționează RealSecure Server Sensor). În acest din urmă caz, sistemul de detectare a intruziunilor captează tot traficul de rețea direct de pe placa de rețea, ocolind sistemul de operare, ceea ce reduce dependența de acesta și crește astfel securitatea sistemului de detectare a intruziunilor.

Sisteme de detectare a atacurilor la nivel de rețea colectează informații din rețea însăși, adică din traficul de rețea. Aceste sisteme pot rula pe computere obișnuite (de exemplu, RealSecure Network Sensor), pe computere specializate (de exemplu, RealSecure pentru Nokia sau Cisco Secure IDS 4210 și 4230) sau integrate în routere sau switch-uri (de exemplu, CiscoSecure IOS Integrated Software sau Cisco). Modulul Catalyst 6000 IDS). În primele două cazuri, informațiile analizate sunt colectate prin captarea și analizarea pachetelor folosind interfețe de rețea într-un mod promiscuu. În acest din urmă caz, traficul este captat din magistrala echipamentelor de rețea.

Detectarea atacurilor necesită îndeplinirea uneia dintre cele două condiții - fie înțelegerea comportamentului așteptat al obiectului sistem monitorizat, fie cunoașterea tuturor atacurilor posibile și a modificărilor acestora. Primul caz folosește tehnologia pentru a detecta comportamentul anormal, iar al doilea caz folosește tehnologia pentru a detecta comportamentul rău intenționat sau abuzul. A doua tehnologie este de a descrie atacul sub forma unui model sau semnătură și de a căuta acest model într-un spațiu controlat (de exemplu, trafic de rețea sau un jurnal). Această tehnologie este foarte asemănătoare cu detectarea virușilor (sistemele antivirus sunt un prim exemplu de sistem de detectare a atacurilor), adică. sistemul poate detecta toate atacurile cunoscute, dar este slab echipat pentru a detecta atacuri noi, încă necunoscute. Abordarea implementată în astfel de sisteme este foarte simplă și tocmai pe aceasta se bazează aproape toate sistemele de detectare a atacurilor oferite astăzi pe piață.

Aproape toate sistemele de detectare a atacurilor se bazează pe o abordare de semnătură.

Avantajele sistemelor de detectare a intruziunilor

Am putea continua și mai departe despre diferitele avantaje ale sistemelor de detectare a atacurilor care operează la nivel de gazdă și de rețea. Cu toate acestea, mă voi concentra doar pe câteva dintre ele.

Comutarea permite rețelelor la scară largă să fie gestionate ca mai multe segmente mici de rețea. Ca urmare, poate fi dificil să se determine cea mai bună locație pentru a instala un sistem care detectează atacurile în traficul de rețea. Uneori, porturile span de pe comutatoare pot ajuta, dar nu întotdeauna. Detectarea atacurilor specifice gazdei permite o operare mai eficientă a rețelelor comutate, permițând ca sistemele de detectare să fie plasate numai pe acele gazde unde sunt necesare.

Sistemele de nivel de rețea nu necesită instalarea unui software de detectare a intruziunilor pe fiecare gazdă. Deoarece numărul de locuri în care sunt instalate IDS pentru a monitoriza întreaga rețea este mic, costul de operare a acestora într-o rețea de întreprindere este mai mic decât costul de operare a sistemelor de detectare a atacurilor la nivel de sistem. În plus, pentru a monitoriza un segment de rețea, este nevoie de un singur senzor, indiferent de numărul de noduri dintr-un anumit segment.

Odată ce un pachet de rețea părăsește computerul atacatorului, acesta nu mai poate fi returnat. Sistemele care operează la nivelul rețelei folosesc traficul live pentru a detecta atacurile în timp real. Astfel, atacatorul nu poate elimina urmele activităților sale neautorizate. Datele analizate includ nu numai informații despre metoda de atac, ci și informații care pot ajuta la identificarea atacatorului și la dovedirea acesteia în instanță. Deoarece mulți hackeri sunt familiarizați cu mecanismele de înregistrare a sistemului, ei știu cum să manipuleze aceste fișiere pentru a ascunde urmele activităților lor, reducând eficacitatea sistemelor la nivel de sistem care necesită aceste informații pentru a detecta un atac.

Sistemele care operează la nivel de rețea detectează evenimentele și atacurile suspecte pe măsură ce apar și, prin urmare, oferă notificare și răspuns mult mai rapid decât sistemele care analizează jurnalele. De exemplu, un hacker care lansează un atac de refuz de serviciu în rețea pe baza Protocolul TCP, poate fi oprit de un sistem de detectare a intruziunilor la nivel de rețea care trimite un pachet TCP cu indicatorul Reset setat în antet pentru a termina conexiunea cu nodul atacator înainte ca atacul să provoace distrugerea sau deteriorarea nodului atacat. Sistemele de analiză a jurnalelor nu recunosc atacurile până când nu este făcută o intrare în jurnal corespunzătoare și iau măsuri contracara după ce a fost făcută intrarea. Până în acest moment, este posibil ca sistemele sau resursele cele mai critice să fi fost deja compromise sau este posibil ca sistemul care rulează sistemul de detectare a atacurilor la nivel de gazdă să fi fost întrerupt. Notificarea în timp real vă permite să răspundeți rapid conform parametrilor predefiniți. Aceste reacții variază de la permiterea infiltrării într-un mod de supraveghere pentru a aduna informații despre atac și atacator, până la încheierea imediată a atacului.

Și, în sfârșit, sistemele de detectare a intruziunilor care funcționează la nivel de rețea sunt independente de sistemele de operare instalate în rețeaua corporativă, deoarece operează pe trafic de rețea care este schimbat între toate nodurile din rețeaua corporativă. Sistemului de detectare a intruziunilor nu îi pasă ce sistem de operare a generat un anumit pachet, atâta timp cât respectă standardele suportate de sistemul de detectare. De exemplu, Windows 98, Windows NT, Windows 2000 și XP, Netware, Linux, MacOS, Solaris etc. pot rula în rețea, dar dacă comunică între ei prin IP, atunci oricare dintre sistemele de detectare a atacurilor care acceptă acest protocol va putea detecta atacurile care vizează aceste sisteme de operare.

Utilizarea combinată a sistemelor de detectare a atacurilor la nivel de rețea și la nivel de gazdă va îmbunătăți securitatea rețelei dvs.

Sisteme de detectare a atacurilor de rețea și firewall-uri

Cel mai adesea sisteme de rețea Aceștia încearcă să înlocuiască detectarea atacurilor cu firewall-uri, sperând că acestea din urmă oferă un nivel foarte ridicat de securitate. Cu toate acestea, rețineți că firewall-urile sunt pur și simplu sisteme bazate pe reguli care permit sau interzice traficul prin ele. Nici măcar firewall-urile construite folosind tehnologia „” nu permit să spună cu certitudine dacă un atac este prezent în traficul pe care îl controlează sau nu. Ei pot spune dacă traficul se potrivește sau nu cu o regulă. De exemplu, firewall-ul este configurat să blocheze toate conexiunile, cu excepția conexiunilor TCP de pe portul 80 (adică traficul HTTP). Astfel, orice trafic prin portul 80 este legal din punctul de vedere al ITU. Pe de altă parte, un sistem de detectare a intruziunilor monitorizează și traficul, dar caută semne de atac în el. Nu prea îi pasă de portul căruia îi este destinat traficul. În mod implicit, tot traficul este suspect pentru sistemul de detectare a intruziunilor. Adică, în ciuda faptului că sistemul de detectare a intruziunilor funcționează cu aceeași sursă de date ca și firewall-ul, adică cu trafic de rețea, ele îndeplinesc funcții complementare. De exemplu, cererea HTTP „GET /../../../etc/passwd HTTP/1.0”. Aproape orice ITU permite trecerea a acestei cereri prin tine. Cu toate acestea, sistemul de detectare a atacurilor va detecta cu ușurință acest atac și îl va bloca.

Putem trage următoarea analogie. Un firewall este un turnichet obișnuit instalat la intrarea principală în rețeaua dvs. Dar, pe lângă ușile principale, există și alte uși, precum și ferestre. Făcându-se ca un angajat adevărat sau câștigând încrederea gardianului de la turnichet, un atacator poate transporta un dispozitiv exploziv sau un pistol prin turnichet. Puțin din. Un intrus se poate urca pe fereastra ta. De aceea avem nevoie de sisteme de detectare a atacurilor care să sporească protecția oferită de firewall-uri, care sunt, deși un element necesar, dar evident insuficient, al securității rețelei.

Firewall- nu un panaceu!

Opțiuni de răspuns la un atac detectat

Nu este suficient să detectați un atac; este necesar să răspundeți în consecință. Opțiunile de răspuns sunt cele care determină în mare măsură eficacitatea unui sistem de detectare a atacurilor. În prezent, sunt oferite următoarele opțiuni de răspuns:

• Notificare către consola (inclusiv backup) a sistemului de detectare a intruziunilor sau către consola unui sistem integrat (de exemplu, un firewall).
• Notificare sonoră a unui atac.
• Generarea de secvențe de control SNMP pentru sistemele de management al rețelei.
• Generarea unui raport de atac prin e-mail.
• Notificări suplimentare prin paginator sau fax. O oportunitate foarte interesantă, deși rar folosită. O alertă despre detectarea activității neautorizate este trimisă nu administratorului, ci atacatorului. Potrivit susținătorilor acestei opțiuni de răspuns, contravenientul, când află că a fost descoperit, este obligat să-și oprească acțiunile.
• Înregistrarea obligatorie a evenimentelor detectate. Următoarele pot servi drept jurnal de bord:
  • fisier text,
  • syslog (de exemplu, într-un sistem Cisco Secure Integrated Software),
  • un fișier text cu un format special (de exemplu, în sistemul Snort),
  • baza de date locala MS Access,
  • Baza de date SQL (de exemplu, în sistemul RealSecure).
  Trebuie doar să țineți cont de faptul că volumul de informații înregistrate necesită de obicei o bază de date SQL - MS SQL sau Oracle.
• Urmărirea evenimentului, adică înregistrându-le în ordinea și viteza cu care le-a implementat atacatorul. Apoi administratorul în orice moment timp specificat poate derula (reluare sau redare) secvența necesară de evenimente la o viteză dată (în timp real, cu accelerare sau decelerare) pentru a analiza activitățile atacatorului. Acest lucru vă va permite să înțelegeți calificările sale, mijloacele de atac folosite etc.
• Întreruperea acțiunilor atacatorului, de ex. încheierea conexiunii. Acest lucru se poate face astfel:
  • interceptarea conexiunii (deturnarea sesiunii) și trimiterea unui pachet cu indicatorul RST setat la ambii participanți conexiune reteaîn numele fiecăruia dintre ei (într-un sistem de detectare a atacurilor care funcționează la nivel de rețea);
  • blocarea contului de utilizator care efectuează atacul (în sistemul de detectare a atacurilor la nivel de gazdă). O astfel de blocare poate fi efectuată fie pentru o anumită perioadă de timp, fie până când contul este deblocat de către administrator. În funcție de privilegiile cu care rulează sistemul de detectare a atacurilor, blocarea poate funcționa atât în ​​interiorul computerului propriu-zis, care este ținta atacului, cât și în întregul domeniu al rețelei.
• Reconfigurarea echipamentelor de rețea sau a firewall-urilor. Dacă este detectat un atac, este trimisă o comandă către router sau firewall pentru a schimba lista de control al accesului. Ulterior, toate încercările de conectare de la nodul atacator vor fi respinse. Asemenea blocării contului unui atacator, modificarea listei de control al accesului poate fi efectuată fie pentru o anumită perioadă de timp, fie până când modificarea este anulată de administratorul echipamentului de rețea reconfigurabil.
• Blocarea traficului de rețea în același mod ca este implementat în firewall-uri. Această opțiune vă permite să limitați traficul, precum și destinatarii care pot accesa resursele computerului protejat, permițându-vă să efectuați funcții disponibile în firewall-urile personale.