###
  • Programe
  • Siguranță
  • Știri
  • Interesant
  • Sfat
  • Știri
  • Recenzii

    • Un model de răspuns la atacurile de rețea. Model de securitate a rețelei. Clasificarea atacurilor de rețea. Refuzarea serviciului

    10.11.2019 Programe

    Probleme de securitate a rețelei IP

    Analiza amenințărilor la securitatea rețelei.

    Pentru a organiza comunicațiile într-un mediu de rețea eterogen, se utilizează un set de protocoale TCP/IP, asigurând compatibilitatea între computere tipuri diferite. Compatibilitatea este unul dintre principalele avantaje ale TCP/IP, motiv pentru care majoritatea rețelelor de calculatoare acceptă aceste protocoale. În plus, protocoalele TCP/IP oferă acces la resurse retea globala Internet.

    Datorită popularității sale, TCP/IP a devenit standardul de facto pentru interconectarea. Cu toate acestea, omniprezența stivei de protocoale TCP/IP l-a expus și. părţile slabe. Atunci când și-au creat ideea, arhitecții stivei TCP/IP nu au văzut niciun motiv să-și facă griji în mod deosebit cu privire la protejarea rețelelor construite pe deasupra. Prin urmare, în caietul de sarcini versiuni anterioare Protocolul IP nu avea cerințe de securitate, ceea ce a dus la vulnerabilitatea inerentă a implementării sale.

    Creșterea rapidă a popularității tehnologiilor Internet este însoțită de o creștere a amenințărilor serioase de dezvăluire a datelor personale, a resurselor corporative critice, a secretelor de stat etc.

    În fiecare zi, hackerii și alți actori rău intenționați amenință resursele de informații online, încercând să obțină acces la acestea folosind atacuri speciale. Aceste atacuri devin din ce în ce mai sofisticate ca impact și mai simplu de executat. Doi factori principali contribuie la aceasta.

    În primul rând, aceasta este pătrunderea pe scară largă a Internetului. Astăzi, milioane de computere sunt conectate la această rețea. Cu multe milioane de computere conectate la Internet în viitorul apropiat, probabilitatea ca hackerii să obțină acces la computere vulnerabile și rețele de calculatoare este în creștere. În plus, utilizarea pe scară largă a Internetului permite hackerilor să facă schimb de informații la scară globală.

    În al doilea rând, există proliferarea pe scară largă a sistemelor de operare și a mediilor de dezvoltare ușor de utilizat. Acest factor reduce drastic cerințele pentru nivelul de cunoștințe al atacatorului. Anterior, era necesar un hacker cunoștințe buneși abilități de programare pentru a crea și distribui malware. Acum, pentru a obține acces la instrumentul unui hacker, trebuie doar să cunoașteți adresa IP a site-ului dorit și, pentru a efectua un atac, trebuie doar să faceți clic pe mouse.

    Problemele de asigurare a securității informațiilor în rețelele de computere corporative sunt cauzate de amenințările de securitate la adresa stațiilor de lucru locale, a rețelelor locale și a atacurilor asupra rețelelor corporative care au acces la rețelele publice de date.

    Atacurile de rețea sunt la fel de variate ca și sistemele pe care le vizează. Unele atacuri sunt foarte dificile. Altele pot fi realizate de un operator obișnuit care nici nu își imaginează ce consecințe pot avea activitățile sale.



    Un intrus, atunci când efectuează un atac, își stabilește de obicei următoarele obiective:

    v încălcarea confidențialității informațiilor transmise;

    v încălcarea integrității și fiabilității informațiilor transmise;

    v perturbarea sistemului ca întreg sau a părților sale individuale.

    Din punct de vedere al securității, sistemele distribuite se caracterizează în primul rând prin prezență atacuri de la distanță , deoarece componentele sistemelor distribuite folosesc de obicei canale deschise de transmisie a datelor și un intrus nu poate doar să asculte pasiv informațiile transmise, ci și să modifice traficul transmis (influență activă). Iar dacă impactul activ asupra traficului poate fi înregistrat, atunci impactul pasiv este practic nedetectabil. Dar, deoarece în timpul funcționării sistemelor distribuite, schimbul de informații de serviciu între componentele sistemului se realizează și prin canale deschise transmiterea datelor, apoi informațiile de serviciu devin aceeași țintă de atac ca și datele utilizatorului.

    Dificultatea detectării faptului unui atac de la distanță plasează acest tip de acțiune ilegală pe primul loc în ceea ce privește gradul de pericol, deoarece împiedică un răspuns în timp util la amenințare, în urma căruia contravenientul crește șansele de a efectua cu succes. în afara atacului.

    Siguranță retea localaÎn comparație cu securitatea interconectării, diferă prin faptul că în acest caz se află primul loc în importanță încălcări ale utilizatorilor înregistrați , întrucât, în general, canalele de transmisie a datelor din rețeaua locală sunt situate într-o zonă controlată și protecția împotriva conectării neautorizate la acestea este implementată prin metode administrative.

    În practică, rețelele IP sunt vulnerabile la o serie de metode de intruziune neautorizată în procesul de schimb de date. Pe măsură ce tehnologiile computerizate și de rețea evoluează (de exemplu, odată cu apariția aplicațiilor mobile Java și a controalelor ActiveX), o listă de tipuri posibile atacuri de rețea pe rețeaua IP se extinde constant [Galitsky A.V., Ryabko S.D., Shangin V.F. Protejarea informațiilor în rețea - analiza tehnologiilor și sinteza soluțiilor. M.: DMK Press, 2004].

    Să ne uităm la cele mai comune tipuri de atacuri de rețea.

    Ascultarea cu urechea (adulmecare). O mare parte din datele din rețelele de calculatoare sunt transmise într-un format nesecurizat (text simplu), care permite unui atacator cu acces la liniile de date din rețeaua dvs. să asculte sau să citească traficul. Pentru a asculta cu urechea la rețelele de calculatoare pe care le folosesc adulmecă Mirositoare de pachete este un program de aplicație care interceptează toate pachetele de rețea transmise printr-un anumit domeniu.

    În prezent, sniffer-ii operează în rețele pe o bază complet legală. Sunt utilizate pentru diagnosticarea defecțiunilor și analiza traficului. Totuși, datorită faptului că unele aplicații de rețea transmit date în format text (Telnet, FTP, SMTP, POP3 etc.), folosind un sniffer poți afla util, iar uneori informații confidențiale(de exemplu, nume de utilizator și parole).

    Mirosirea parolei transmis printr-o rețea în formă necriptată prin „interceptare” pe canal este un tip de atac de interceptare. Interceptarea autentificarii și a parolei reprezintă o amenințare majoră, deoarece utilizatorii folosesc adesea aceeași autentificare și parolă pentru mai multe aplicații și sisteme. Mulți utilizatori au, în general, o singură parolă pentru a accesa toate resursele și aplicațiile. Dacă aplicația rulează în modul client/server și datele de autentificare sunt transmise prin rețea într-un format text care poate fi citit, aceste informații pot fi probabil folosite pentru a accesa alte resurse corporative sau externe.

    În cel mai rău caz, un hacker obține acces la nivel de sistem la o resursă de utilizator și o folosește pentru a crea noi atribute de utilizator care pot fi folosite pentru a accesa rețeaua și resursele acesteia în orice moment.

    Puteți preveni amenințarea sniff-ului de pachete folosind următoarele:
    masuri si mijloace:

    v utilizarea parolelor unice pentru autentificare;

    v instalarea de hardware sau software care recunoaște
    adulmecători;

    v aplicație protecţie criptografică canale de comunicatie.

    Schimbarea datelor. Un atacator care știa să citească
    datele dvs., vor putea face următorul pas - schimbați-le. Date în
    pachetul poate fi schimbat chiar dacă atacatorul nu știe nimic
    despre expeditor sau destinatar. Chiar dacă nu ai nevoie de stricte
    confidențialitatea tuturor datelor transmise, probabil că nu doriți,
    astfel încât acestea să fie schimbate pe parcurs.

    Analiza traficului în rețea. Scopul unor astfel de atacuri
    tip sunt ascultarea canalelor de comunicare și analiza transmise
    date și informații despre servicii pentru a studia topologia și arhitectura
    construirea unui sistem, obținerea de informații critice despre utilizator
    (de exemplu, parolele utilizatorului sau numerele cardurilor de credit transmise
    V formă deschisă). Atacurile de acest tip protocoalele precum FTP sunt afectate
    sau Telnet, a cărui particularitate este că numele de utilizator și parola
    transmise în cadrul acestor protocoale în text clar.

    Înlocuirea unui subiect de încredere. Majoritatea rețelelor și funcționează
    sistemele utilizează adresa IP a computerului pentru a determina dacă
    acesta este destinatarul de care este nevoie. În unele cazuri, poate fi incorect
    atribuirea unei adrese IP (înlocuirea adresei IP a expeditorului cu o altă adresă) - astfel
    se numeste metoda de atac falsificarea adresei(falsificarea IP).

    Falsificarea IP are loc atunci când un atacator, în interiorul sau în afara unei corporații, se uită la un utilizator legitim. Un atacator ar putea folosi o adresă IP care se află în intervalul de adrese IP autorizate sau o adresă externă autorizată căreia i se permite accesul la anumite resurse de rețea. Un atacator poate folosi, de asemenea, programe speciale care modelează pachetele IP, astfel încât acestea să pară că provin de la adrese interne autorizate din rețeaua corporativă.

    Atacurile de falsificare IP sunt adesea punctul de plecare pentru alte atacuri. Exemplu clasic este ataca ca " refuzul serviciului"(DoS), care începe cu adresa altcuiva, ascunzând adevărata identitate a hackerului. De obicei, falsificarea IP se limitează la inserarea de informații false sau comenzi rău intenționate în fluxul normal de date transmise între o aplicație client și server sau printr-un canal de comunicație între dispozitivele egale.

    Amenințarea de falsificare poate fi atenuată (dar nu eliminată) prin următoarele măsuri:

    v configurarea corectă a controlului accesului din rețeaua externă;

    v suprimarea încercărilor de falsificare a rețelelor altor persoane de către utilizatorii rețelei lor.

    Trebuie reținut că IP spoofing poate apărea dacă utilizatorii sunt autentificați pe baza adreselor IP, astfel încât introducerea unor metode suplimentare de autentificare a utilizatorilor (bazate pe parole unice sau alte metode criptografice) poate preveni atacurile de IP spoofing.

    Mediere. Un atac de tip om-in-the-middle implică interceptarea activă, interceptarea și controlul datelor transmise de către un nod intermediar invizibil. Când computerele comunică la niveluri scăzute de rețea, ele nu pot determina întotdeauna cu cine comunică.

    Mediere în schimbul de chei necriptate (atac Man-in-the-Middle). Pentru a efectua un atac Man-in-the-Middle, un atacator are nevoie de acces la pachetele transmise prin rețea. Un astfel de acces la toate pachetele transmise de la un ISP către orice altă rețea poate fi, de exemplu, obținut de un angajat al acestui furnizor. Sniffer-urile de pachete, protocoalele de transport și protocoalele de rutare sunt adesea folosite pentru acest tip de atac.

    Într-un caz mai general, atacurile Man-in-the-Middle sunt efectuate pentru a fura informații, a intercepta sesiunea curentă și a obține acces la resursele rețelei private, pentru a analiza traficul și a obține informații despre rețea și utilizatorii acesteia, pentru a efectua DoS atacuri și distorsionează datele transmise și introducerea de informații neautorizate în sesiunile de rețea.

    Atacurile Man-m-the-Middle pot fi combatute eficient doar folosind criptografie. Pentru a contracara acest tip de atac este folosită o infrastructură de management. chei publice PKI (Infrastructură cu cheie publică).

    Deturnarea sesiunii. După finalizarea procedurii inițiale de autentificare, conexiunea stabilită de utilizatorul legitim, de exemplu, cu un server de e-mail, este comutată de către atacator la o nouă gazdă, iar serverul original primește comanda să încheie conexiunea. Drept urmare, „interlocutorul” utilizatorului legitim este înlocuit în liniște.

    După ce a obținut acces la rețea, atacatorul are mari oportunități:

    v poate trimite date incorecte către aplicații și servicii de rețea, provocând blocarea sau funcționarea defectuoasă a acestora;

    v poate inunda un computer sau o întreagă rețea cu trafic până când sistemul se blochează din cauza supraîncărcării;

    v În cele din urmă, atacatorul poate bloca traficul, ceea ce va duce la pierderea accesului la resursele de rețea pentru utilizatorii autorizați.

    Refuzarea serviciului (DoS). Acest atac este diferit de alte tipuri de atacuri. Nu are ca scop obținerea accesului la rețeaua dvs. sau extragerea oricărei informații din acea rețea. Un atac DoS face ca rețeaua unei organizații să nu fie disponibilă pentru utilizare normală prin depășirea limitelor permise ale rețelei, sistemului de operare sau aplicației. În esență, acest atac interzice utilizatorilor normali accesul la resurse sau computere din rețeaua unei organizații.

    Majoritatea atacurilor DoS se bazează pe slăbiciunile generale ale arhitecturii sistemului. În cazul folosirii unora aplicatii server(cum ar fi un server Web sau un server FTP) Atacurile DoS pot fi la fel de simple ca preluarea tuturor conexiunilor disponibile pentru acele aplicații și menținerea lor ocupată, prevenind

    servicii pentru utilizatorii obișnuiți. Atacurile DoS pot folosi protocoale de internet obișnuite, cum ar fi TCP și ICMP (Internet Control Message Protocol).

    Atacurile DoS sunt dificil de prevenit, deoarece necesită coordonare cu ISP-ul dumneavoastră. Dacă traficul destinat să vă copleșească rețeaua nu poate fi oprit la furnizor, atunci la intrarea în rețea nu veți mai putea face acest lucru, deoarece toată lățimea de bandă va fi ocupată.

    Dacă acest tip de atac este efectuat simultan prin mai multe dispozitive, spunem noi despre atacul distribuit de denial of service DDoS(DoS distribuit).

    Ușurința de implementare a atacurilor DoS și prejudiciul enorm pe care acestea îl provoacă organizațiilor și utilizatorilor atrag atenția sporită a administratorilor de securitate a rețelei asupra acestor atacuri.

    Atacurile cu parole. Scopul acestor atacuri este de a obține parola și autentificarea utilizatorului legitim. Atacatorii pot efectua atacuri cu parole folosind metode precum:

    v O înlocuire adrese IP (spoofing 1P);

    v ascultarea cu urechea (adulmecare);

    v căutare simplă.

    Falsificarea IP și sniffingul de pachete au fost discutate mai sus. Aceste metode vă permit să capturați parola unui utilizator și să vă autentificați dacă sunt transmise în text clar pe un canal nesigur.

    Deseori hackerii încearcă să ghicească parola și să se autentifice, folosind numeroase încercări de acces. Această abordare se numește atac cu forță brută(atac cu forță brută). Acest atac folosește program special care încearcă să acceseze o resursă uz comun(de exemplu, către server). Dacă, în consecință, atacatorul reușește să ghicească parola, acesta obține acces la resurse cu drepturi utilizator obișnuit. Dacă acest utilizator are privilegii de acces semnificative, un atacator își poate crea o „permisă” pentru acces viitor, care va rămâne în vigoare chiar dacă utilizatorul își schimbă parola și autentificarea.

    Instrumentele pentru interceptarea, selectarea și spargerea parolelor sunt considerate în prezent practic legale și sunt produse oficial de un număr destul de mare de companii. Ele sunt comercializate ca software de auditare și recuperare de securitate parole uitate, și poate fi achiziționat legal de la dezvoltatori.

    Atacurile cu parole pot fi evitate prin neutilizarea parolelor cu text simplu. Utilizarea parolelor unice și a autentificării criptografice poate elimina practic amenințarea unor astfel de atacuri. Din păcate, nu toate aplicațiile, gazdele și dispozitivele acceptă aceste metode de autentificare.

    Când utilizați parole obișnuite, trebuie să găsiți o parolă greu de ghicit. Lungimea minimă a parolei trebuie să fie de cel puțin opt caractere. Parola trebuie să includă caracterele majuscule, numere și Simboluri speciale(#, $, &, % etc.).

    Ghicind cheia. O cheie criptografică este un cod sau un număr necesar pentru a decripta informațiile protejate. Deși găsirea cheii de acces este dificilă și necesită multe resurse, este totuși posibilă. În special, pentru a determina valoarea unei chei, se poate folosi un program special care implementează metoda de căutare exhaustivă. Cheia la care atacatorul are acces se numește compromisă. Atacatorul folosește cheia compromisă pentru a obține acces la datele transmise protejate fără știrea expeditorului și destinatarului. Cheia face posibilă decriptarea și modificarea datelor.

    Atacurile la nivel de aplicație. Aceste atacuri pot fi efectuate în mai multe moduri. Cel mai comun dintre acestea este exploatarea deficiențelor cunoscute ale serverului. software(Servere FTP, HTTP, Web).

    Principala problemă a atacurilor la nivel de aplicație este că folosesc adesea porturi care au voie să treacă prin firewall.

    Informațiile despre atacurile la nivel de aplicație sunt publicate pe scară largă pentru a permite administratorilor să corecteze problema folosind module corective (patch-uri). Din păcate, mulți hackeri au acces și la aceste informații, ceea ce le permite să învețe.

    Este imposibil să eliminați complet atacurile la nivel de aplicație. Hackerii descoperă și publică în mod constant noi vulnerabilități în programele de aplicații de pe site-urile lor de internet.

    O bună administrare a sistemului este importantă aici. Pentru a vă reduce vulnerabilitatea la acest tip de atac, puteți lua următorii pași:

    v analiza fișierele jurnal ale sistemului de operare și fișierele jurnal de rețea folosind aplicații analitice speciale;

    v monitorizarea datelor CERT privind punctele slabe ale software-ului aplicației;

    v utilizați cele mai recente versiuni de sisteme de operare și aplicații și cele mai recente module de corecție (patch-uri);

    v utilizați sistemele de detectare a atacurilor IDS (Intrusion Detection Systems).

    Inteligența rețelei este colectarea de informații de rețea folosind date și aplicații disponibile public. Când pregătește un atac împotriva unei rețele, un hacker încearcă de obicei să obțină cât mai multe informații despre acesta.

    Recunoașterea rețelei se realizează sub formă de interogări DNS,
    testarea ecou (ping sweep) și scanarea portului. Interogările DNS vă ajută să înțelegeți cine deține un anumit domeniu și ce adrese sunt atribuite acelui domeniu. Adresele ping dezvăluite din folosind DNS, vă permite să vedeți ce gazde rulează de fapt într-un mediu dat. După ce a primit o listă de gazde, hackerul folosește instrumente de scanare porturi pentru a compila lista plina servicii suportate de aceste gazde. Ca rezultat, se obțin informații care pot fi folosite pentru hacking.

    Este imposibil să scapi complet de inteligența rețelei. Dacă, de exemplu, dezactivați ecoul ICMP și răspunsul ecou pe routerele edge, scăpați de testarea ping, dar pierdeți datele necesare pentru a diagnostica defecțiunile rețelei. În plus, puteți scana porturi fără testare ping prealabilă. Va dura mai mult timp, deoarece va trebui să scanați adrese IP inexistente.

    Sistemele IDS la nivel de rețea și gazdă fac de obicei o treabă bună de a alerta administratorii cu privire la recunoașterea continuă a rețelei, permițându-le să se pregătească mai bine pentru un atac viitor și să alerteze ISP-ul pe a cărui rețea un sistem este prea băgacios.

    Abuz de încredere. Acest tip de acțiune nu este un atac în sensul deplin al cuvântului. Reprezintă exploatarea rău intenționată a relațiilor de încredere care există într-o rețea. Un exemplu tipic de astfel de abuz este situația din partea periferică a rețelei corporative. Acest segment este de obicei localizat servere DNS, SMTP și HTTP. Deoarece toate aparțin aceluiași segment, piratarea unuia dintre ele duce la piratarea tuturor celorlalte, deoarece aceste servere au încredere în alte sisteme din rețeaua lor.

    Riscul de încălcare a încrederii poate fi redus prin controlul mai strict al nivelurilor de încredere din rețeaua dvs. Sistemele situate în afara firewall-ului nu ar trebui să aibă niciodată încredere absolută din partea sistemelor protejate de firewall.

    Relațiile de încredere ar trebui limitate la protocoale specifice și, dacă este posibil, autentificate nu numai prin adrese IP, ci și prin alți parametri. Programe rău intenționate. Astfel de programe includ viruși de computer, viermi de rețea și programe troiene.

    Viruși sunt programe rău intenționate care sunt inserate în alte programe pentru a îndeplini o anumită funcție nedorită pe stația de lucru a utilizatorului final. Virusul este de obicei dezvoltat de atacatori în așa fel încât să rămână nedetectat cât mai mult timp posibil. sistem informatic. Perioada inițială de repaus a virușilor este un mecanism de supraviețuire a acestora. Virusul se manifestă pe deplin într-un anumit moment în timp când are loc un eveniment de provocare, de exemplu vineri, 13, data cunoscutași așa mai departe.

    Un tip de program antivirus este vierme de rețea, care este distribuit în rețeaua globală și nu își lasă copia medii magnetice. Acest termen este folosit pentru a denumi programe care, cum ar fi teniile, se deplasează rețea de calculatoare de la un sistem la altul. Viermele folosește mecanisme de suport de rețea pentru a determina care gazdă poate fi afectată. Apoi, folosind aceleași mecanisme, viermele își transferă corpul în acest nod și fie devine activat, fie așteaptă condiții adecvate pentru activare. Viermii de rețea sunt un tip periculos de malware, deoarece ținta atacului lor poate fi oricare dintre milioanele de computere conectate la internetul global. Pentru a vă proteja împotriva unui vierme, trebuie să luați măsuri de precauție împotriva accesului neautorizat la rețeaua internă.

    Virușii informatici sunt legați de așa-numitele "Cai troieni"(programe troiene). Un „cal troian” este un program care arată ca o aplicație utilă, dar îndeplinește de fapt funcții dăunătoare (distrugerea software-ului
    furnizarea, copierea și trimiterea de fișiere cu date confidențiale către atacator etc.). Pericolul unui cal troian constă într-un bloc suplimentar de comenzi introduse în programul original inofensiv, care este apoi furnizat utilizatorilor AS. Acest bloc de comenzi poate fi declanșat la apariția oricărei condiții (data, starea sistemului) sau la o comandă externă. Un utilizator care rulează un astfel de program pune în pericol atât fișierele sale, cât și întregul sistem în ansamblu.

    Conform raportului Sophos Security Threat Management, caii troieni au depășit numărul virușilor și viermilor cu patru la unu în prima jumătate a anului 2006, față de dublarea în primele șase luni ale anului 2005. Sophos raportează, de asemenea, apariția unui nou tip de „programe troiene”. , numit ransomware. Astfel de programe fură date de pe computerele infectate, iar apoi utilizatorului i se cere să plătească o anumită răscumpărare pentru ele.

    Stațiile de lucru ale utilizatorilor finali sunt extrem de vulnerabile la viruși, viermi și cai troieni.

    O caracteristică a malware-ului modern este concentrarea pe software-ul aplicației specifice, care a devenit un standard de facto pentru majoritatea utilizatorilor, în primul rând Microsoft. Internet ExplorerȘi Microsoft Outlook. Crearea în masă a virușilor sub produse Microsoft Acest lucru se explică nu numai prin nivelul scăzut de securitate și fiabilitate al programelor, ci și prin distribuția globală a acestor produse. Autorii de software rău intenționat încep să exploreze din ce în ce mai multe „găuri” în SGBD-urile populare, middleware-urile și aplicațiile de afaceri corporative construite pe deasupra acestor sisteme.

    Virușii, viermii și caii troieni sunt în continuă evoluție, iar tendința principală în dezvoltarea lor este polimorfismul. Astăzi este destul de dificil să tragem o linie între un virus, un vierme și un troian; folosesc aproape aceleași mecanisme; diferența stă doar în gradul de utilizare. Designul software-ului rău intenționat a devenit atât de unificat astăzi încât, de exemplu, este aproape imposibil să distingem un virus de e-mail de un vierme cu funcții distructive. Chiar și programele „troiene” au o funcție de replicare (ca unul dintre mijloacele de contracarare a instrumentelor antivirus), astfel încât, dacă se dorește, pot fi numite viruși (cu un mecanism de distribuție sub formă de mascarada ca programe de aplicație).

    Pentru a vă proteja împotriva acestor programe rău intenționate, este necesar să luați o serie de măsuri:

    v împiedicarea accesului neautorizat la fișierele executabile;

    v testarea software-ului achiziționat;

    v controlul integrității fișiere executabileși zonele de sistem;

    v crearea unui mediu închis de execuție a programului.

    Virușii, viermii și caii troieni sunt combateți folosind un software antivirus eficient care funcționează la nivel de utilizator și, eventual, la nivel de rețea. Pe măsură ce apar noi viruși, viermi și cai troieni, trebuie instalate noi baze de date cu instrumente și aplicații antivirus.

    Spam și phishing se referă la amenințări non-software. Prevalența acestor două amenințări a crescut semnificativ în ultima vreme.

    Spam, al cărui volum depășește acum 80% din volumul total al traficului de e-mail, poate reprezenta o amenințare la adresa disponibilității informațiilor prin blocarea serverelor de e-mail sau poate fi folosit pentru a distribui software rău intenționat.

    phishing(phishing) este un tip relativ nou de fraudă pe internet, al cărui scop este obținerea de date de identificare a utilizatorilor. Aceasta include furtul de parole, numere de card de credit, conturi bancare, coduri PIN și alte informații confidențiale care oferă acces la banii utilizatorului. Phishingul nu exploatează defectele tehnice ale software-ului, ci mai degrabă credulitatea utilizatorilor de internet. Termenul phishing în sine, în consonanță cu pescuitul, înseamnă pescuit de recoltare a parolei - pescuit pentru o parolă. Într-adevăr, phishing-ul este foarte asemănător cu pescuitul. Atacatorul aruncă o momeală pe Internet și „prinde toți peștii” - utilizatorii de internet care vor lua momeala.

    Atacatorul creează aproape copie exactă site-ul web al băncii selectate (electronic sistem de plata, licitație etc.). Apoi, folosind tehnologia spam, e-mail se trimite o scrisoare, compusă în așa fel încât să fie cât mai asemănătoare cu o scrisoare reală de la banca selectată. La alcătuirea scrisorii se folosesc siglele băncii, numele și prenumele directorilor adevărați de bancă. O astfel de scrisoare, de regulă, informează că, din cauza unei modificări a software-ului în sistemul de internet banking, utilizatorul trebuie să confirme sau să-și schimbe acreditările. Motivul modificării datelor poate fi o defecțiune a software-ului băncii sau un atac al hackerilor. Prezența unei legende plauzibile care încurajează utilizatorul să întreprindă acțiunile necesare este o componentă indispensabilă a succesului phisher-urilor frauduloase. În toate cazurile, scopul unor astfel de litere este același - de a forța utilizatorul să facă clic pe linkul furnizat și apoi să introducă datele lor confidențiale (parole, numere de cont, coduri PIN) pe site-ul de suprapunere al băncii (sistem de plată electronic, licitație) . După ce a vizitat un site fals, utilizatorul își introduce datele confidențiale în rândurile corespunzătoare, iar apoi escrocii au acces, în cel mai bun caz, la cutie poștală, în cel mai rău caz - într-un cont electronic.

    Tehnologiile Phisher sunt îmbunătățite și sunt utilizate metode de inginerie socială. Ei încearcă să sperie clientul și să vină cu un motiv critic pentru ca acesta să renunțe la datele sale confidențiale. De obicei, mesajele conțin amenințări, cum ar fi blocarea unui cont dacă destinatarul nu respectă cerințele stabilite în mesaj.

    A apărut un conjugat cu conceptul de phishing - farming . Aceasta este, de asemenea, o înșelătorie, al cărei scop este obținerea datelor personale ale utilizatorilor, dar nu prin poștă, ci direct prin site-uri web oficiale. Fermierii înlocuiesc adresele digitale ale site-urilor Web legitime de pe serverele DNS cu adresele celor false, drept urmare utilizatorii sunt redirecționați către site-uri de înșelătorie. Acest tip de fraudă este și mai periculos, deoarece este aproape imposibil să observi un fals.

    În zilele noastre, escrocii folosesc adesea cai troieni. În acest caz, sarcina phisher-ului este mult simplificată - este suficient să forțați utilizatorul să meargă la site-ul de phishing și să „prelueze” un program care va găsi în mod independent tot ceea ce este necesar pe hard disk-ul victimei. Împreună cu programele troiene, acestea au început să fie folosite keyloggers. Pe site-urile false, instrumentele spyware care urmăresc apăsările de taste sunt descărcate pe computerele victimelor. Când utilizați această abordare, nu este necesar să găsiți acces la clienții unei anumite bănci sau companii și, prin urmare, phisher-ii au început să falsifice site-uri web scop general, cum ar fi fluxurile de știri și motoarele de căutare.

    Ce face ca înșelătoriile de tip phishing să aibă succes? nivel scăzut conștientizarea utilizatorilor cu privire la regulile de funcționare ale companiilor în numele cărora acționează infractorii. În special, aproximativ 5% dintre utilizatori nu știu un fapt simplu: băncile nu trimit scrisori prin care le solicită să-și confirme numărul cardului de credit și PIN-ul online.

    Potrivit analiștilor (www.cnews.ru), pagubele cauzate de phisheri economiei globale s-au ridicat la 14 miliarde de dolari în 2003, iar un an mai târziu au ajuns la 44 de miliarde de dolari. Conform statisticilor Symantec, la mijlocul anului 2004, filtrele companiei blocau până la 9 milioane de e-mailuri cu conținut de phishing în fiecare săptămână. Până la sfârșitul anului, 33 de milioane fuseseră deja eliminate în aceeași perioadă.

    Filtrele de spam rămân principala apărare împotriva phishingului. Din păcate, instrumentele software anti-phishing au o eficiență limitată, deoarece atacatorii exploatează în primul rând psihologia umană, mai degrabă decât defecte software. Măsurile tehnice de securitate sunt dezvoltate în mod activ, în primul rând pluginuri pentru browsere populare. Esența protecției este blocarea site-urilor care sunt incluse în „listele negre” de resurse frauduloase. Următorul pas ar putea fi sistemele de generare a parolelor unice pentru accesul la Internet la conturile bancare și conturile din sistemele de plată și distribuirea pe scară largă a nivelurilor suplimentare de protecție printr-o combinație de introducere a unei parole folosind o cheie hardware USB.

    Atacurile enumerate asupra rețelelor IP sunt posibile din mai multe motive:

    v utilizarea canalelor publice de transmitere a datelor. Datele critice sunt transmise prin rețea în formă necriptată;

    v vulnerabilități în procedurile de autentificare implementate în stiva TCP/IP. Informațiile de identitate la nivelul IP sunt transmise în text clar;

    v absenta in versiunea de bază teanc de mecanisme de protocoale TCP/IP care asigură confidențialitatea și integritatea mesajelor transmise;

    v expeditorul este autentificat prin adresa sa IP. Procedura de autentificare se realizează numai în etapa de stabilire a conexiunii, iar ulterior nu se verifică autenticitatea pachetelor primite;

    v lipsa controlului asupra traseului mesajelor pe Internet, ceea ce face ca atacurile la rețea la distanță să fie practic nepedepsite.

    Procedura de detectare a atacurilor de rețea.

    1. Clasificarea atacurilor de rețea

    1.1. Mirositoare de pachete

    Un sniffer de pachete este un program de aplicație care utilizează card de retea, care funcționează în modul promiscuu ( în acest mod, toate pachetele primite pe canalele fizice sunt trimise de adaptorul de rețea către aplicație pentru procesare). În acest caz, sniffer-ul interceptează toate pachetele de rețea care sunt transmise printr-un anumit domeniu.

    1.2. Falsificarea IP

    Falsificarea IP are loc atunci când un hacker, în interiorul sau în afara unui sistem, se uzurpează identitatea unui utilizator autorizat. Acest lucru se poate face în două moduri. În primul rând, un hacker poate folosi o adresă IP care se află în intervalul de adrese IP autorizate sau o adresă externă autorizată căreia i se permite accesul la anumite resurse de rețea. Atacurile de falsificare IP sunt adesea punctul de plecare pentru alte atacuri. Un exemplu clasic este un atac DoS, care începe cu adresa altcuiva, ascunzând adevărata identitate a hackerului.

    De obicei, falsificarea IP se limitează la inserarea de informații false sau comenzi rău intenționate în fluxul normal de date transmise între o aplicație client și server sau printr-un canal de comunicație între dispozitivele egale. Pentru comunicarea bidirecțională, hackerul trebuie să schimbe toate tabelele de rutare pentru a direcționa traficul către adresa IP falsă. Unii hackeri, însă, nici măcar nu încearcă să obțină un răspuns de la aplicații. Dacă sarcina principală este de a obține de la sistem dosar important, răspunsurile aplicației nu contează.

    Dacă un hacker reușește să schimbe tabelele de rutare și să direcționeze traficul către o adresă IP falsă, hackerul va primi toate pachetele și va putea răspunde la ele ca și cum ar fi un utilizator autorizat.

    1.3. Refuzarea serviciului ( Refuzarea serviciului - DoS)

    DoS este cea mai cunoscută formă atacurile hackerilor. Aceste tipuri de atacuri sunt cel mai greu de creat protecție 100% împotriva.

    Cel mai soiuri cunoscute DoS:

    • TCP SYN Flood Ping of Death Tribe Flood Network ( TFN);
    • Tribe Flood Network 2000 ( TFN2K);
    • Trinco;
    • Stacheldracht;
    • Treime.

    Atacurile DoS sunt diferite de alte tipuri de atacuri. Acestea nu au ca scop obținerea accesului la rețea sau obținerea de informații din acea rețea. Un atac DoS face ca o rețea să nu fie disponibilă pentru utilizare normală prin depășirea limitelor acceptabile ale rețelei, sistemului de operare sau aplicației.

    Când utilizați unele aplicații server (cum ar fi un server Web sau un server FTP) Atacurile DoS pot fi la fel de simple ca preluarea tuturor conexiunilor disponibile acestor aplicații și menținerea acestora ocupate, împiedicând deservirea utilizatorilor normali. Atacurile DoS pot folosi protocoale comune de Internet, cum ar fi TCP și ICMP ( Internet Control Message Protocol). Cele mai multe atacuri DoS nu se bazează pe erori software sau găuri de securitate, ci pe slăbiciuni generale ale arhitecturii sistemului. Unele atacuri paralizează performanța rețelei prin inundarea acesteia cu pachete nedorite și inutile sau informații înșelătoare despre starea actuală a resurselor rețelei. Acest tip de atac este greu de prevenit deoarece necesită coordonare cu ISP-ul. În cazul în care traficul destinat să vă inunde rețeaua nu poate fi oprit la furnizor, atunci la intrarea în rețea nu veți mai putea face acest lucru, deoarece toată lățimea de bandă va fi ocupată. Când acest tip de atac este efectuat simultan prin mai multe dispozitive, atacul este un DoS distribuit ( DDoS - DoS distribuit).

    1.4. Atacurile cu parole

    Hackerii pot efectua atacuri cu parole folosind o serie de metode, cum ar fi forța brută ( atac cu forță brută), cal troian, falsificarea IP și mirosirea pachetelor. Deși autentificarea și parola pot fi obținute adesea prin falsificarea IP și prin sniffing de pachete, hackerii încearcă adesea să ghicească parola și să se autentifice prin mai multe încercări de acces. Această abordare se numește căutare simplă (atac cu forță brută). Adesea, un astfel de atac folosește un program special care încearcă să obțină acces la o resursă publică ( de exemplu, către server). Dacă, ca urmare, hackerul obține acces la resurse, el obține acces la drepturile unui utilizator obișnuit a cărui parolă a fost ghicită. Dacă acest utilizator are privilegii semnificative de acces, hackerul poate crea un „pass” pentru accesul viitor care va rămâne valabil chiar dacă utilizatorul își schimbă parola și login.

    O altă problemă apare atunci când utilizatorii folosesc același ( chiar dacă este foarte bun) parola pentru acces la multe sisteme: sisteme corporative, personale și Internet. Deoarece o parolă este la fel de puternică ca și cea mai slabă gazdă, un hacker care învață parola prin acea gazdă obține acces la toate celelalte sisteme care folosesc aceeași parolă.

    1.5. Atacurile de la Omul din mijloc

    Pentru un atac Man-in-the-Middle, un hacker are nevoie de acces la pachetele transmise prin rețea. Un astfel de acces la toate pachetele transmise de la un furnizor către orice altă rețea poate fi, de exemplu, obținut de un angajat al acestui furnizor. Sniffer-urile de pachete, protocoalele de transport și protocoalele de rutare sunt adesea folosite pentru acest tip de atac. Atacurile sunt efectuate cu scopul de a sustrage informații, de a intercepta sesiunea curentă și de a obține acces la resursele rețelei private, de a analiza traficul și de a obține informații despre rețea și utilizatorii acesteia, de a efectua atacuri DoS, de denaturare a datelor transmise și de a introduce informații neautorizate. în sesiuni de rețea.

    1.6. Atacurile la nivel de aplicație

    Atacurile la nivel de aplicație pot fi efectuate în mai multe moduri. Cel mai frecvent dintre acestea este exploatarea punctelor slabe ale software-ului serverului ( sendmail, HTTP, FTP). Prin exploatarea acestor puncte slabe, hackerii pot obține acces la un computer în calitate de utilizator care rulează aplicația ( de obicei, acesta nu este un simplu utilizator, ci un administrator privilegiat cu drepturi acces la sistem ). Informațiile despre atacurile la nivel de aplicație sunt publicate pe scară largă pentru a permite administratorilor să remedieze problema folosind module de remediere ( petice). Principala problemă a atacurilor la nivel de aplicație este că folosesc adesea porturi care au voie să treacă prin firewall. De exemplu, un hacker care exploatează o slăbiciune cunoscută a unui server Web va folosi adesea portul 80 într-un atac TCP.Deoarece serverul Web furnizează pagini Web utilizatorilor, firewall-ul trebuie să permită accesul la acest port. Din punctul de vedere al firewall-ului, atacul este tratat ca trafic standard pe portul 80.

    1.7. Inteligența rețelei

    Inteligența rețelei se referă la colectarea de informații de rețea folosind date și aplicații disponibile public. Când pregătește un atac împotriva unei rețele, un hacker încearcă de obicei să obțină cât mai multe informații despre acesta. Recunoașterea rețelei se realizează sub formă de interogări DNS, scanări de ping și scanare de porturi. Interogările DNS vă ajută să înțelegeți cine deține un anumit domeniu și ce adrese sunt atribuite acelui domeniu. Testarea ecoului ( ping sweep) adresele dezvăluite de DNS vă permit să vedeți ce gazde rulează de fapt într-un mediu dat. După ce primește o listă de gazde, hackerul folosește instrumente de scanare porturi pentru a compila o listă completă de servicii acceptate de acele gazde. În cele din urmă, hackerul analizează caracteristicile aplicațiilor care rulează pe gazde. Ca rezultat, se obțin informații care pot fi folosite pentru hacking.

    1.8. Abuz de încredere

    Acest tip de acțiune nu este "atac" sau "asalt". Reprezintă exploatarea rău intenționată a relațiilor de încredere care există într-o rețea. Un exemplu este un sistem instalat în exteriorul unui firewall care are o relație de încredere cu un sistem instalat în interiorul firewall-ului. Dacă un sistem extern este compromis, hackerul poate folosi relația de încredere pentru a pătrunde în sistemul protejat de firewall.

    1.9. Port forwarding

    Port forwarding este o formă de abuz de încredere în care o gazdă compromisă este folosită pentru a trece traficul printr-un firewall care altfel ar fi respins. Un exemplu de aplicație care poate oferi un astfel de acces este netcat.

    1.10. Acces neautorizat

    Accesul neautorizat nu poate fi considerat un tip separat de atac. Majoritatea atacurilor de rețea sunt efectuate pentru a obține acces neautorizat. Pentru a ghici o autentificare telnet, un hacker trebuie mai întâi să primească un prompt telnet pe sistemul său. După conectarea la portul telnet pe ecran apare un mesaj „necesită autorizare pentru a utiliza această resursă” (Pentru a utiliza aceste resurse aveți nevoie de autorizație). Dacă după aceasta hackerul continuă să încerce accesul, acesta va fi luat în considerare "neautorizat". Sursa unor astfel de atacuri poate fi fie în interiorul rețelei, fie în exterior.

    1.11. Viruși și aplicații precum "Cal troian"

    Stațiile de lucru client sunt foarte vulnerabile la viruși și cai troieni. "Cal troian"- aceasta nu este o inserție de program, ci un program real care arată ca o aplicație utilă, dar îndeplinește de fapt un rol dăunător.

    2. Metode de contracarare a atacurilor de rețea

    2.1. Puteți atenua amenințarea sniff-ului de pachete folosind următoarele instrumente:

    2.1.1. Autentificare - Autentificarea puternică este prima apărare împotriva sniff-ului de pachete. Sub "puternic"Înțelegem că această metodă de autentificare este dificil de ocolit. Un exemplu de astfel de autentificare sunt parolele unice ( OTP - Parole unice). OTP este o tehnologie de autentificare cu doi factori care combină ceea ce ai cu ceea ce știi. Sub „card” ( jeton) se referă la hardware sau instrument software, generând ( la întâmplare) parolă unică unică. Dacă un hacker află această parolă folosind un sniffer, această informație va fi inutilă deoarece în acel moment parola va fi deja folosită și retrasă. Această metodă de combatere a sniffing-ului este eficientă numai împotriva interceptării parolelor.

    2.1.2. Infrastructură comutată - O altă modalitate de a combate sniffingul de pachete într-un mediu de rețea este crearea unei infrastructuri comutate, în care hackerii pot accesa doar traficul care sosește pe portul la care sunt conectați. Infrastructura comutată nu elimină amenințarea sniffing-ului, dar îi reduce semnificativ gravitatea.

    2.1.3. Anti-sniffer - A treia modalitate de a combate sniffer-ul este să instalați hardware sau software care recunoaște sniffer-urile care rulează în rețeaua dvs. Aceste instrumente nu pot elimina complet amenințarea, dar, ca multe alte instrumente de securitate a rețelei, sunt incluse în sistem comun protecţie. Așa-zisul "anti-sniffers" măsurați timpii de răspuns a gazdei și determinați dacă gazdele trebuie să proceseze "suplimentar" trafic.

    2.1.4. Criptografia - Cele mai multe metoda eficienta Snifferul anti-pachet nu împiedică interceptarea și nu recunoaște munca sniffer-urilor, dar face ca această muncă să fie inutilă. Dacă canalul de comunicație este sigur din punct de vedere criptografic, aceasta înseamnă că hackerul nu interceptează mesajul, ci textul cifrat (adică o secvență de neînțeles de biți).

    2.2. Amenințarea de falsificare poate fi atenuată ( dar nu eliminat) folosind următoarele măsuri:

    2.2.1. Controlul accesului - Cel mai simplu mod de a preveni falsificarea IP este să setare corectă controlul accesului. Pentru a reduce eficacitatea falsificării IP, controlul accesului este configurat pentru a respinge orice trafic provenit dintr-o rețea externă cu o adresă sursă care ar trebui să fie localizată în interiorul rețelei dvs. Acest lucru ajută la combaterea falsificării IP, unde sunt autorizate doar adresele interne. Dacă unele adrese de rețea externe sunt de asemenea autorizate, aceasta metoda devine ineficient.

    2.2.2. Filtrarea RFC 2827 - oprirea încercărilor de falsificare a rețelelor altor persoane de către utilizatorii unei rețele corporative. Pentru a face acest lucru, este necesar să respingeți orice trafic de ieșire a cărui adresă sursă nu este una dintre adresele IP ale Băncii. Acest tip de filtrare, cunoscut sub numele de „RFC 2827”, poate fi efectuat și de către ISP ( ISP). Ca rezultat, tot traficul care nu are o adresă sursă așteptată pe o anumită interfață este respins.

    2.2.3. Cel mai metoda eficienta Modul de combatere a spoofing-ului IP este același ca și în cazul sniffing-ului de pachete: trebuie să faceți atacul complet ineficient. Falsificarea IP poate funcționa numai dacă autentificarea se bazează pe adrese IP. Prin urmare, introducerea unor metode suplimentare de autentificare face ca acest tip de atac să fie inutil. Cea mai bună priveliște autentificarea suplimentară este criptografică. Dacă acest lucru nu este posibil, se pot obține rezultate bune autentificare cu doi factori folosind parole unice.

    2.3. Amenințarea atacurilor DoS poate fi redusă în următoarele moduri:

    2.3.1. Funcții anti-spoofing - Configurarea corectă a funcțiilor anti-spoofing pe routere și firewall-uri va ajuta la reducerea riscului de DoS. Aceste caracteristici ar trebui să includă cel puțin filtrarea RFC 2827. Dacă un hacker nu își poate ascunde adevărata identitate, este puțin probabil să efectueze un atac.

    2.3.2. Caracteristici anti-DoS - Configurarea corectă a caracteristicilor anti-DoS pe routere și firewall-uri poate limita eficacitatea atacurilor. Aceste funcții limitează numărul de canale pe jumătate deschise la un moment dat.

    2.3.3. Limitarea volumului de trafic ( limitarea ratei de trafic) – acord cu furnizorul ( ISP) privind limitarea volumului de trafic. Acest tip de filtrare vă permite să limitați cantitatea de trafic necritic care trece prin rețea. Un exemplu comun este limitarea volumului Trafic ICMP, care este folosit numai în scopuri de diagnosticare. Atacurile ( D) DoS utilizează adesea ICMP.

    2.3.4. Blocarea adreselor IP - după ce ați analizat atacul DoS și ați identificat intervalul de adrese IP de la care este efectuat atacul, contactați furnizorul dumneavoastră pentru a le bloca.

    2.4. Atacurile cu parole pot fi evitate prin neutilizarea parolelor cu text simplu. Parolele unice și/sau autentificarea criptografică pot elimina practic amenințarea unor astfel de atacuri. Nu toate aplicațiile, gazdele și dispozitivele acceptă metodele de autentificare de mai sus.

    Când utilizați parole obișnuite, trebuie să găsiți o parolă care ar fi dificil de ghicit. Lungimea minimă a parolei trebuie să fie de cel puțin opt caractere. Parola trebuie să includă caractere majuscule, numere și caractere speciale ( #, %, $ etc.). Cele mai bune parole sunt greu de ghicit și greu de reținut, forțând utilizatorii să noteze parolele pe hârtie.

    2.5. Atacurile de tip Man-in-the-Middle pot fi combatute eficient doar folosind criptografie. Dacă un hacker interceptează date dintr-o sesiune criptată, ceea ce va apărea pe ecranul său nu este mesajul interceptat, ci un set de caractere fără sens. Rețineți că, dacă un hacker obține informații despre o sesiune criptografică ( de exemplu, cheia de sesiune), acest lucru poate face posibil un atac Man-in-the-Middle chiar și într-un mediu criptat.

    2.6. Atacurile la nivel de aplicație nu pot fi eliminate complet. Hackerii descoperă și publică în mod constant noi vulnerabilități în programele de aplicații de pe Internet. Cel mai important lucru este o bună administrare a sistemului.

    Măsuri pe care le puteți lua pentru a vă reduce vulnerabilitatea la acest tip de atac:

    • citirea și/sau analiza fișierelor jurnal ale sistemului de operare și fișierelor jurnal de rețea folosind aplicații analitice speciale;
    • actualizarea în timp util a versiunilor de sisteme de operare și aplicații și instalarea celor mai recente module de corecție ( petice);
    • utilizarea sistemelor de detectare a atacurilor ( IDS).

    2.7. Este imposibil să scapi complet de inteligența rețelei. Dacă dezactivați ecoul ICMP și răspunsul ecou pe routerele edge, scăpați de testarea ping, dar pierdeți datele necesare pentru a diagnostica defecțiunile rețelei. În plus, puteți scana porturi fără testare ping prealabilă. Acesta va dura mai mult, deoarece va trebui să scanați adrese IP inexistente. Sistemele IDS la nivel de rețea și gazdă fac, de obicei, o treabă bună notificând administratorul cu privire la recunoașterea rețelei în curs, ceea ce le permite să se pregătească mai bine pentru un atac viitor și să notifice ISP-ul ( ISP), pe a cărui rețea este instalat un sistem care dă dovadă de curiozitate excesivă.

    2.8. Riscul de încălcare a încrederii poate fi redus prin controlul mai strict al nivelurilor de încredere din rețeaua dvs. Sistemele situate în afara firewall-ului nu ar trebui să aibă niciodată încredere absolută din partea sistemelor protejate de firewall. Relațiile de încredere ar trebui limitate la protocoale specifice și, dacă este posibil, autentificate prin alți parametri decât adresele IP.

    2.9. Principala modalitate de a combate redirecționarea porturilor este utilizarea modelelor de încredere puternice ( vezi clauza 2.8 ). În plus, sistemul gazdă IDS poate împiedica un hacker să-și instaleze software-ul pe gazdă ( HIDS).

    2.10. Metodele de combatere a accesului neautorizat sunt destul de simple. Principalul lucru aici este să reduceți sau să eliminați complet capacitatea hackerului de a obține acces la sistem folosind un protocol neautorizat. De exemplu, luați în considerare prevenirea accesului hackerilor la portul telnet de pe un server care oferă servicii Web utilizatorilor externi. Fără acces la acest port, un hacker nu îl va putea ataca. În ceea ce privește firewall-ul, sarcina sa principală este de a preveni cele mai simple încercări de acces neautorizat.

    2.11. Lupta împotriva virușilor și cailor troieni se desfășoară folosind un software antivirus eficient care funcționează la nivel de utilizator și la nivel de rețea. Produsele antivirus detectează majoritatea virușilor și cailor troieni și opresc răspândirea acestora.

    3. Algoritm de acțiuni la detectarea atacurilor de rețea

    3.1. Majoritatea atacurilor de rețea sunt blocate de instrumentele de securitate a informațiilor instalate automat ( firewall-uri, instrumente de boot de încredere, routere de rețea, instrumente antivirus etc.).

    3.2. Atacurile care necesită intervenția personalului pentru a le bloca sau a reduce severitatea consecințelor includ atacurile DoS.

    3.2.1. Atacurile DoS sunt detectate prin analiza traficului de rețea. Începutul atacului se caracterizează prin „ ciocănind» canalele de comunicare care folosesc pachete mari consumatoare de resurse cu adrese false. Un astfel de atac asupra unui site bancar online complică accesul utilizatorilor legitimi, iar resursa web poate deveni inaccesibilă.

    3.2.2. Dacă este detectat un atac Administrator de sistem efectuează următoarele acțiuni:

    • comută manual routerul pe canalul de rezervă și înapoi pentru a identifica un canal mai puțin încărcat (un canal cu o lățime de bandă mai mare);
    • identifică gama de adrese IP de la care este efectuat atacul;
    • trimite o solicitare furnizorului de a bloca adrese IP din intervalul specificat.

    3.3. Un atac DoS este de obicei folosit pentru a ascunde un atac de succes asupra resurselor clientului, pentru a face dificil de detectat. Prin urmare, atunci când detectăm un atac DoS, este necesar să analizați cele mai recente tranzacții pentru a identifica tranzacțiile neobișnuite, a le bloca (dacă este posibil) și a contacta clienții printr-un canal alternativ pentru a confirma tranzacțiile.

    3.4. Dacă se primesc informații despre acțiuni neautorizate de la client, toate probele disponibile sunt înregistrate, se efectuează o investigație internă și se depune o cerere la agențiile de aplicare a legii.

    Descarca fișier Zip (24151)

    Dacă documentele au fost utile, vă rugăm să le dați un „like”:

    Bilet 1. Concepte și definiții de bază ale securității informațiilor: atacuri, vulnerabilități, politici de securitate, mecanisme și servicii de securitate. Clasificarea atacurilor. Modele de securitate și securitate a rețelei Sistem informatic

    Vulnerabilitate - slăbiciuneîn sistem, cu ajutorul căruia poate fi efectuat atac.

    Risc - probabilitatea ca un anumit atac se va realiza folosind un specific vulnerabilități. În cele din urmă, fiecare organizație trebuie să decidă ce nivel este acceptabil pentru ea. risc. Această decizie ar trebui să se reflecte în politica de securitate adoptată de organizație.

    Politică de securitate — reguli, orientări și practici care determină modul în care activele informaționale sunt procesate, protejate și distribuite în cadrul unei organizații și între sistemele informaționale; set de criterii de furnizare servicii de securitate.

    Atac - orice actiune care incalca securitatea sistemului informatic. Mai formal putem spune asta atac- este o acțiune sau o secvență de acțiuni interconectate folosind vulnerabilități a acestui sistem informatic și conducând la o încălcare a politicii de securitate.

    Mecanismul de securitate - software și/sau hardware care detectează și/sau previne atac.

    Serviciu de securitate - un serviciu care oferă securitate definită de politică a sistemelor și/sau a datelor transmise sau determină implementarea atacuri. Serviciu utilizează unul sau mai multe mecanisme de securitate.
    ^

    Model de securitate a rețelei.Clasificarea atacurilor de rețea


    Toate atacuri poate fi împărțit în două clase: pasivȘi activ.

    I. Atacul pasiv

    Acest lucru se numește pasiv atac , cu care dusman nu are capacitatea de a modifica mesajele transmise și de a introduce propriile mesaje în canalul de informare dintre expeditor și destinatar. Scop atac pasiv nu poate fi decât ascultarea mesajelor transmise și analiza traficului.

    Acest lucru se numește activ atac , cu care dusman are capacitatea de a modifica mesajele transmise și de a introduce propriile mesaje. Se disting următoarele tipuri: atacuri active:

    ^ II. Atacul activ

    Refuzarea serviciului - Atac DoS (Denial of Service)

    O refuz de serviciu perturbă funcționarea normală a serviciilor de rețea. Dusman poate intercepta toate mesajele trimise unui anumit destinatar. Un alt exemplu în acest sens atacuri este de a genera trafic semnificativ, ceea ce duce la imposibilitatea serviciului de rețea de a procesa cererile de la clienții legitimi. Un exemplu clasic este atacuriîn rețelele TCP/IP este un atac SYN în care atacatorul trimite pachete care inițiază stabilirea unei conexiuni TCP, dar nu trimite pachete care finalizează stabilirea acestei conexiuni. Ca urmare, serverul poate deveni copleșit și serverul poate să nu se poată conecta la utilizatori legitimi.

    ^ Model de securitate a sistemului informatic

    Există și alte situații legate de securitate care nu se potrivesc cu modelul de securitate al rețelei descris mai sus. Modelul general al acestor situații poate fi ilustrat după cum urmează:

    Acest model ilustrează conceptul de securitate a sistemului informațional, care împiedică accesul nedorit. Un hacker care încearcă să pătrundă ilegal în sistemele accesibile prin rețea se poate bucura pur și simplu de hacking sau poate încerca să deterioreze sistemul informațional și/sau să introducă ceva în el în scopuri proprii. De exemplu, scopul unui hacker ar putea fi să obțină numere de card de credit stocate în sistem.

    Un alt tip de acces nedorit este plasarea ceva pe un sistem informatic care afectează programe de aplicațieși utilitare software, cum ar fi editori, compilatoare etc. Deci există două tipuri atacuri:


    1. Accesul la informații în scopul obținerii sau modificării datelor stocate în sistem.

    2. ^ Atacul la servicii pentru a vă împiedica să le utilizați.
    Virușii și viermii sunt exemple ale acestora atacuri. Astfel de atacuri poate fi realizat folosind dischete sau printr-o rețea.

    ^ Servicii de securitate , care împiedică accesul nedorit, pot fi împărțite în două categorii:


    1. Prima categorie este definită în termenii funcției watchdog. Aceste mecanisme includeți proceduri de conectare, cum ar fi cele bazate pe parole, pentru a restricționa accesul numai la utilizatorii autorizați. Aceste mecanisme includ, de asemenea, diverse ecrane de protecție(firewall-uri) care împiedică atacuri la diferite niveluri ale stivei de protocoale TCP/IP și, în special, vă permit să preveniți pătrunderea viermilor, virușilor și, de asemenea, să preveniți alte asemenea atacuri.

    2. A doua linie de apărare constă din diverse monitoare interne care controlează accesul și analizează activitatea utilizatorului.
    Unul dintre conceptele principale atunci când se asigură securitatea unui sistem informațional este conceptul autorizare - definirea și acordarea drepturilor de acces la resurse și/sau obiecte specifice.

    Securitatea unui sistem informatic trebuie să se bazeze pe următoarele principii de bază:


    1. Securitatea sistemului informatic trebuie să fie în concordanță cu rolul și obiectivele organizației în care acest sistem instalat.

    2. Asigurarea securității informațiilor necesită o abordare integrată și holistică.

    3. Securitatea informațiilor ar trebui să fie parte integrantă a sistemului de management dintr-o organizație dată.

    4. Securitatea informațiilor trebuie să fie justificată din punct de vedere economic.

    5. Responsabilitățile pentru siguranță trebuie să fie clar definite.

    6. Securitatea sistemului informatic trebuie reevaluată periodic.

    7. Factorii sociali, precum si masurile administrative, organizatorice si de securitate fizica, sunt de mare importanta pentru asigurarea securitatii unui sistem informatic.

    1. Interceptarea pachetelor.

    Un packet sniffer (din engleză sniff - sniff) este un program de aplicație care utilizează o interfață de rețea care funcționează în mod promiscuu. În acest mod, adaptorul de rețea vă permite să primiți toate pachetele primite pe canale fizice, indiferent cui sunt adresate, și să le trimiteți către aplicație pentru procesare. În prezent, sniffer-urile sunt folosite în rețele pe o bază complet legală. Sunt utilizate pentru diagnosticarea defecțiunilor și analiza traficului. Cu toate acestea, datorită faptului că unele aplicații de rețea transferă date în format text (Telnet, FTP, SMTP, POP3 etc.), utilizarea unui sniffer poate dezvălui informații utile și uneori sensibile (de exemplu, nume de utilizator și parole) .

    Interceptarea autentificărilor și a parolelor creează un mare pericol. Dacă aplicația rulează în modul client-server, iar datele de autentificare sunt transmise prin rețea în format text care poate fi citit, atunci aceste informații pot fi folosite cel mai probabil pentru a accesa alte resurse corporative sau externe. În cel mai rău caz, un atacator va obține acces la o resursă de utilizator la nivel de sistem și o va folosi pentru a crea un nou utilizator care poate fi folosit în orice moment pentru a accesa rețeaua și resursele acesteia.

    2. Falsificarea IP.

    Falsificarea IP (din limba engleză spoof - hoax) apare atunci când un atacator, în interiorul sau în afara unei corporații, se uită la un utilizator autorizat. Acest lucru poate fi realizat în două moduri:

    a) utilizarea unei adrese IP care se află în intervalul de adrese IP autorizate;

    Atacurile de falsificare IP sunt adesea punctul de plecare pentru alte atacuri. Un exemplu clasic este un atac DoS, care începe de la adresa altcuiva, ascunzând adevărata identitate a atacatorului.

    De obicei, falsificarea IP se limitează la inserarea de informații false sau comenzi rău intenționate în fluxul normal de date transmise între o aplicație client și server sau printr-un canal de comunicație între dispozitivele egale. Pentru comunicarea bidirecțională, atacatorul trebuie să modifice toate tabelele de rutare pentru a direcționa traficul către adresa IP falsă.

    Dacă atacatorul a reușit să schimbe tabelele de rutare și să direcționeze traficul de rețea către o adresă IP falsă, atunci va primi toate pachetele și va putea răspunde la ele ca și cum ar fi un utilizator autorizat.

    3. Refuzarea serviciului.

    Denial of Service (Denial of Service, prescurtat ca DoS) este, fără îndoială, cea mai cunoscută formă de atacuri de rețea. În plus, aceste tipuri de atacuri sunt cele mai dificil de creat protecție 100% împotriva. Pentru a organiza DoS, este necesar un minim de cunoștințe și abilități. Cu toate acestea, simplitatea implementării și amploarea enormă a prejudiciului cauzat atrage atacatorii către atacurile DoS.

    Acest atac este semnificativ diferit de alte tipuri de atacuri. Atacatorii nu intenționează să obțină acces la rețea sau să obțină informații din acea rețea, dar un atac DoS face rețeaua dvs. indisponibilă pentru utilizare normală prin depășirea limitelor permise ale rețelei, sistemului de operare sau aplicației. În cazul unor aplicații server (cum ar fi un server Web sau un server FTP), atacurile DoS pot presupune preluarea tuturor conexiunilor disponibile pentru aplicațiile respective și menținerea lor ocupată, împiedicând deservirea utilizatorilor obișnuiți. Atacurile DoS pot folosi protocoale comune de Internet, cum ar fi TCP și ICMP.

    Unele atacuri paralizează performanța rețelei prin inundarea acesteia cu pachete nedorite și inutile sau informații înșelătoare despre starea actuală a resurselor rețelei. Atunci când un atac de acest tip este efectuat simultan prin mai multe dispozitive, vorbim despre un atac DoS distribuit (din engleza distribuited DoS, prescurtat DDoS).

    4. Atacurile cu parole.

    Atacatorii pot efectua atacuri cu parole folosind o varietate de metode, cum ar fi atacul cu forță brută, calul troian, falsificarea IP și sniffingul de pachete. În ciuda faptului că autentificarea și parola pot fi obținute adesea folosind IP spoofing și packet sniffing, atacatorii încearcă adesea să ghicească parola și să se autentifice folosind mai multe încercări de acces. Această abordare se numește enumerare simplă.

    Pentru un astfel de atac, se folosește un program special care încearcă să obțină acces la o resursă publică (de exemplu, un server). Dacă, ca urmare, atacatorului i se acordă acces la resurse, atunci îl primește ca utilizator a cărui parolă a fost selectată. Dacă acest utilizator are privilegii de acces semnificative, un atacator poate crea o poartă de acces pentru viitor, care va rămâne în vigoare chiar dacă utilizatorul își schimbă parola.

    5. Atacurile de la omul din mijloc.

    Pentru un atac Man-in-the-Middle, atacatorul are nevoie de acces la pachetele transmise prin rețea. Un astfel de acces la toate pachetele transmise de la un furnizor către orice altă rețea poate fi, de exemplu, obținut de un angajat al acestui furnizor. Sniffer-urile de pachete, protocoalele de transport și protocoalele de rutare sunt adesea folosite pentru acest tip de atac. Atacurile sunt efectuate cu scopul de a sustrage informații, de a intercepta sesiunea curentă și de a obține acces la resursele rețelei private, de a analiza traficul și de a obține informații despre rețea și utilizatorii acesteia, de a efectua atacuri DoS, de denaturare a datelor transmise și de a introduce informații neautorizate. în sesiuni de rețea.

    6. Atacurile la nivel de aplicație.

    Atacurile la nivel de aplicație pot fi efectuate în mai multe moduri. Cea mai comună dintre ele este utilizarea unor puncte slabe bine-cunoscute în software-ul serverului (sendmail, HTTP, FTP). Folosind aceste puncte slabe, atacatorii pot obține acces la un computer în numele utilizatorului care rulează aplicația (de obicei acesta nu este un simplu utilizator, ci un administrator privilegiat cu drepturi de acces la sistem). Informațiile despre atacurile la nivel de aplicație sunt publicate pe scară largă pentru a oferi administratorilor posibilitatea de a corecta problema folosind module corective (patch-uri). Din păcate, mulți hackeri au acces și la aceste informații, ceea ce le permite să se îmbunătățească.

    Principala problemă a atacurilor la nivel de aplicație este că atacatorii folosesc adesea porturi cărora li se permite să treacă prin firewall. De exemplu, un atacator care exploatează o slăbiciune cunoscută a unui server Web va folosi adesea portul 80 într-un atac TCP.Deoarece serverul Web furnizează pagini Web utilizatorilor, firewall-ul trebuie să ofere acces la acest port. Din punctul de vedere al firewall-ului, atacul este tratat ca trafic standard pe portul 80.

    7. Inteligența rețelei.

    Inteligența rețelei se referă la colectarea de informații de rețea folosind date și aplicații disponibile public. Atunci când pregătește un atac împotriva unei rețele, un atacator încearcă de obicei să obțină cât mai multe informații despre aceasta. Recunoașterea rețelei se realizează sub formă de interogări DNS, ping-uri și scanare de porturi. Interogările DNS vă ajută să înțelegeți cine deține un anumit domeniu și ce adrese sunt atribuite acelui domeniu. Adresele ping dezvăluite de DNS vă permite să vedeți ce gazde rulează de fapt într-un mediu dat. După ce primește o listă de gazde, atacatorul folosește instrumente de scanare porturi pentru a compila o listă completă de servicii acceptate de acele gazde. În cele din urmă, analizează caracteristicile aplicațiilor care rulează pe gazde. Ca urmare, el obține informații care pot fi folosite pentru hacking.

    8. Încălcarea încrederii.

    Strict vorbind, acest tip de acțiune nu este, în sensul deplin al cuvântului, un atac sau un atac. Reprezintă exploatarea rău intenționată a relațiilor de încredere care există într-o rețea. Un exemplu clasic de astfel de abuz este situația din partea periferică a rețelei corporative. Acest segment găzduiește adesea servere DNS, SMTP și HTTP. Deoarece toate aparțin aceluiași segment, piratarea pe oricare dintre ele duce la piratarea tuturor celorlalte, deoarece aceste servere au încredere în alte sisteme din rețeaua lor. Un alt exemplu este un sistem instalat în exteriorul firewall-ului care are o relație de încredere cu un sistem instalat în interiorul firewall-ului. Dacă un sistem extern este compromis, un atacator poate folosi relațiile de încredere pentru a pătrunde în sistemul protejat de firewall.

    9. Port forwarding.

    Port forwarding este o formă de abuz de încredere în care o gazdă compromisă este folosită pentru a trece traficul printr-un firewall care altfel ar fi respins. Să ne imaginăm un firewall cu trei interfețe, fiecare dintre ele conectată la o anumită gazdă. Gazda externă se poate conecta la gazdă acces public(DMZ), dar nu la cel instalat în interiorul firewall-ului. O gazdă partajată se poate conecta atât la o gazdă internă, cât și la o gazdă externă. Dacă un atacator preia o gazdă partajată, el poate instala pe aceasta un software care redirecționează traficul de la gazda externă direct la cea internă. Deși acest lucru nu încalcă niciuna dintre regulile de pe ecran, gazda externă obține acces direct la gazda protejată ca urmare a redirecționării. Un exemplu de aplicație care poate oferi un astfel de acces este netcat.

    10. Acces neautorizat.

    Accesul neautorizat nu poate fi identificat ca un tip separat de atac, deoarece majoritatea atacurilor de rețea sunt efectuate tocmai pentru a obține acces neautorizat. Pentru a ghici o autentificare Telnet, un atacator trebuie mai întâi să obțină un indiciu Telnet asupra sistemului său. După conectarea la portul Telnet, pe ecran apare mesajul „autorizare necesară pentru a utiliza această resursă”. Dacă atacatorul continuă să încerce accesul după aceasta, va fi considerat neautorizat. Sursa unor astfel de atacuri poate fi fie în interiorul rețelei, fie în exterior.

    11. Viruși și aplicații troiene

    Stațiile de lucru ale utilizatorilor finali sunt foarte vulnerabile la viruși și cai troieni. Virușii sunt programe rău intenționate care sunt inserate în alte programe pentru a îndeplini o anumită funcție nedorită pe stația de lucru a utilizatorului final. Un exemplu este un virus care este scris în fișierul command.com (interpretul principal sisteme Windows) și șterge alte fișiere și, de asemenea, infectează toate celelalte versiuni ale command.com pe care le găsește.

    Un cal troian nu este o inserare de software, ci un program real care pare la prima vedere aplicație utilă, dar de fapt joacă un rol dăunător. Un exemplu de cal troian tipic este un program care arată ca joc simplu pentru stația de lucru a utilizatorului. Cu toate acestea, în timp ce utilizatorul joacă jocul, programul trimite o copie a lui însuși prin e-mail fiecărui abonat listat în carte de adrese acest utilizator. Toți abonații primesc jocul prin poștă, determinând distribuția lui ulterioară.

    Clasa de atacuri de rețea include atacuri care provoacă un comportament suspect, anormal al traficului de rețea într-o rețea corporativă. Acestea sunt așa-numitele anomalii ale rețelei. Anomaliile de rețea pot fi, de asemenea, clasificate. Ele pot fi împărțite în două grupe principale: abateri hardware și software și probleme de securitate (Fig. 1.2.1.)

    1. Abateri software și hardware.

    Erorile din software-ul componentelor sistemului informatic pot duce la un transfer în modul anormal cu încetarea ulterioară a furnizării serviciilor.

    Erorile de configurare se traduc funcţionalitate componente ale sistemului informatic în nerespectarea parametrilor standard de proiectare, ceea ce perturbă performanța generală.

    Încălcările de performanță implică o abatere a parametrilor sistemului informațional dincolo de valorile calculate, care este însoțită de o încălcare a prestării serviciilor.

    Defecțiunile hardware pot duce atât la defecțiunea completă a componentelor individuale ale sistemului informațional, cât și la influența degradantă a unui subsistem separat asupra întregului complex.

    2. Încălcări de securitate.

    Scanarea rețelei este efectuată pentru a analiza topologia rețelei și a detecta serviciile disponibile pentru atac. În timpul procesului de scanare, se încearcă conectarea la servicii de rețea prin accesarea unui anumit port. În cazul scanării deschise, scanerul efectuează o procedură de strângere de mână în trei căi, iar în cazul scanării închise (stealth), nu finalizează conexiunea. Deoarece la scanarea unei singure gazde, are loc o enumerare a serviciilor (porturilor), această anomalie este caracterizată prin încercări de a accesa de la o adresă IP a scanerului la o anumită adresă IP pe mai multe porturi. Cu toate acestea, cel mai adesea sunt scanate subrețele întregi, ceea ce se exprimă în prezența în rețeaua atacată a mai multor pachete de la o adresă IP a scanerului la mai multe adrese IP ale subrețelei examinate, uneori chiar folosind o metodă de căutare secvențială. Cele mai cunoscute scanere de rețea sunt: ​​nmap, ISS, satan, strobe, xscan și altele.

    Analizatoarele de trafic sau snifferele sunt concepute pentru a intercepta și analiza traficul de rețea. În cel mai simplu caz, acest lucru se face prin traducere adaptor de retea complexul hardware în modul de ascultare și fluxurile de date din segmentul la care este conectat devin disponibile pentru studii ulterioare. Deoarece multe programe de aplicație folosesc protocoale care transmit informații într-o formă clară, necriptată, munca sniffers reduce dramatic nivelul de securitate. Rețineți că sniffer-urile nu provoacă anomalii pronunțate în funcționarea rețelei. Cele mai cunoscute sniffer sunt: ​​tcpdump, ethereal, sniffit, Microsoft network monitor, nexxray, lan explorer.

    În securitatea computerelor, termenul de vulnerabilitate este folosit pentru a desemna o componentă a unui sistem informatic care este slab protejată de influența neautorizată. Vulnerabilitatea poate fi rezultatul unor erori de proiectare, programare sau configurare. O vulnerabilitate poate exista doar teoretic sau poate avea o exploatare implementare software- exploata. În aspectul rețelei, vulnerabilitățile pot fi resurse informaționale, ca OSși servicii software.

    Activitatea rețelei virale este rezultatul încercărilor de a răspândi viruși și viermi de computer folosind resursele rețelei. Mai des virus de calculator exploatează o singură vulnerabilitate într-un serviciu de aplicație de rețea, astfel că traficul de viruși este caracterizat prin prezența mai multor apeluri de la o adresă IP infectată către mai multe adrese IP pe un anumit port corespunzător unui serviciu potențial vulnerabil.