Які основні цілі мережевих атак виокремлюють. Характерні риси мережевих атак. Засоби виявлення комп'ютерних атак

Особливу цікавість до розгляду представляють віддалені, мережеві атаки. Інтерес до цього різновиду атак викликаний тим, що все більшого поширення у світі набувають розподілені системи обробки даних. Більшість користувачів працює з віддаленими ресурсами, використовуючи мережу INTERNET та стек протоколів TCP/IP. Спочатку мережа INTERNET створювалася для зв'язку між державними установами та університетами на допомогу навчальному процесу та науковим дослідженням, і творці цієї мережі не підозрювали, наскільки широко вона пошириться. У результаті специфікаціях ранніх версійІнтернет-протоколу (IP) були відсутні вимоги безпеки. Саме тому багато реалізації IP є вразливими.

У курсі розглядаються такі атаки та способи боротьби з ними.

Атака "Сніффінг".Сніффер пакетів є прикладною програмою, яка використовує мережну карту, що працює в режимі promiscuous mode (в цьому режимі всі пакети, отримані по фізичних каналах, мережевий адаптервідправляє додатку для обробки). При цьому сніфер перехоплює всі мережеві пакети, які передаються через певний домен. Нині сніфери працюють у мережах на цілком законній основі. Вони використовуються для діагностики несправностей та аналізу трафіку. Однак через те, що деякі мережні програми передають дані в текстовому форматі (Telnet, FTP, SMTP, POP3 і т.д.), за допомогою сніфера можна дізнатися корисну, а іноді й конфіденційну інформацію (наприклад, імена користувачів та паролі).

Перехоплення імен і паролів створює велику небезпеку, оскільки користувачі часто застосовують один і той же логін і пароль для багатьох програм і систем. Багато користувачів взагалі мають один пароль для доступу до всіх ресурсів та програм. Якщо програма працює в режимі клієнт/сервер, а автентифікаційні дані передаються по мережі в текстовому форматі, що читається, цю інформацію з великою ймовірністю можна використовувати для доступу до інших корпоративних або зовнішніх ресурсів. У найгіршому випадку зловмисник отримує доступ до ресурсу користувача на системному рівні і з його допомогою створює нового користувача, якого можна в будь-який момент використовувати для доступу в мережу і до її ресурсів.

Пом'якшити загрозу сніфінгу пакетів можна за допомогою таких засобів:

Аутентифікація. Сильні засоби аутентифікації є першим способом захисту від сніфінгу пакетів. Під «сильним» ми розуміємо такий метод автентифікації, який важко оминути. Прикладом такої аутентифікації є одноразові паролі (OTP – One-Time Passwords). ОТР – це технологія двофакторної аутентифікації. Типовим прикладом двофакторної аутентифікації є робота звичайного банкомату, який упізнає вас, по-перше, за вашою пластиковій картціі, по-друге, за ПІН-кодом, що вводиться. Для аутентифікації в системі ОТР також потрібен ПІН-код та Ваша особиста картка. Під "карткою" (token) розуміється апаратний або програмний засіб, що генерує (за випадковим принципом) унікальний одномоментний одноразовий пароль. Якщо зловмисник дізнається цей пароль за допомогою сніфера, ця інформація буде марною, тому що в цей момент пароль буде використаний і виведений з використання. Зауважимо, що цей спосіб боротьби зі сніффінг ефективний тільки для боротьби з перехопленням паролів. Сніфери, які перехоплюють іншу інформацію (наприклад, повідомлення електронної пошти), не втрачають своєї ефективності.

Комутована інфраструктура. Ще одним способом боротьби зі сніффінгом пакетів у мережному середовищі є створення комутованої інфраструктури. Якщо, наприклад, у всій організації використовується комутований Ethernet, зловмисники можуть отримати доступ лише до трафіку, що надходить той порт, якого вони підключені. Комутована інфраструктура не ліквідує загрози сніфінгу, але помітно знижує її гостроту.

Анти-сніфери. Третій спосіб боротьби зі сніффінг полягає в установці апаратних або програмних засобів, що розпізнають сніфер, що працюють в мережі. Ці кошти не можуть повністю ліквідувати загрозу, але, як і багато інших засобів мережної безпеки, вони включаються до загальної системи захисту. Так звані «анти-сніфери» вимірюють час реагування хостів і визначають, чи не доводиться хостам обробляти «зайвий» трафік.

Криптографія. Самий ефективний спосібБоротьба зі сніфінгом пакетів не запобігає перехопленню і не розпізнає роботу сніферів, але робить марну роботу. Якщо канал зв'язку є криптографічно захищеним, це означає, що зловмисник перехоплює повідомлення, а зашифрований текст (тобто незрозумілу послідовність бітів).

Атака IP-спуфінг.Ця атака відбувається, коли зловмисник, що знаходиться всередині корпорації або поза нею, видає себе за санкціонованого користувача. Найпростіша причина використання підроблених IP-адрес полягає у бажанні хакера приховати свою діяльність в океані мережевої активності. Наприклад, засіб побудови мережевих схем NMAP3 застосовує розсилку додаткових послідовностей пакетів, кожна з яких використовує власну фальшиву IP-адресу відправника. Зломщик знає, які IP-адреси є фальшивими і які пакети в кожній послідовності є реальними. Адміністратор із безпеки системи, яка зазнає нападу, буде змушений проаналізувати безліч підроблених IP-адрес, перш ніж він визначить реальну IP-адресу зломщика.

Ще одна причина, через яку хакер використовує підробку IP-адреси, полягає в бажанні приховати свою особистість. Справа в тому, що існує можливість простежити IP-адресу аж до окремої системи, а іноді навіть окремого користувача. Тому за допомогою IP-підробки зломщик намагається уникнути виявлення. Однак використання підробленої IP-адреси приносить відправнику низку труднощів.

Всі відповіді системи, що атакується, відправляються на підроблену IP-адресу. Для того, щоб переглянути або отримати ці відповіді, зломщик повинен знаходитися на їхньому шляху від зламаної машини до підробленої IP-адреси (принаймні теоретично). Оскільки відповідь не обов'язково проходить тим самим маршрутом, що і відправлений підроблений пакет, зломщик може втратити трафік, що повертається. Щоб уникнути цього, порушник може втрутитися в роботу одного або кількох проміжних маршрутизаторів, адреси яких будуть використовуватися як фальшиві, щоб перенаправити трафік в інше місце.

Інший підхід полягає в тому, що зловмисник заздалегідь вгадує порядкові номери TCP, які використовуються атакованою машиною. У цьому випадку йому не потрібно отримувати пакет SYN-ACK, тому що він просто генерує та відправляє пакет АСК із передбачуваним порядковим номером. У перших реалізаціях стеків IP використовувалися передбачувані схеми обчислення порядкових номерів, тому були чутливі до підробленим TCP-потоків даних. У сучасних реалізаціяхпередбачити порядковий номер вже складніше. Засіб побудови мережевих схем NMAP має можливість оцінювати складність передбачання порядкових номерів систем, які піддаються скануванню.

У третьому варіанті зломщик може втрутитися в роботу одного або більше маршрутизаторів, розташованих між сервером і сервером, який зазнає нападу. Це дає можливість направити трафік у відповідь, призначений підробленому IP-адресу, в систему, з якої відбулося вторгнення. Після завершення злому маршрутизатор звільняється, щоб замінити сліди.

Зрештою, зловмисник може не мати наміру відповідати на пакет SYN-ACK, який повертається від "жертви". На це можуть бути дві причини. Можливо, зломщик робить напіввідкрите сканування портів, відоме під назвою SYN-сканування.У цьому випадку його цікавить лише початкова відповідь від машини, яка зазнає нападу. Комбінації прапорців RST-ACK означає, що порт, що сканується, закритий, а комбінація SYN-ACK - що відкритий. Ціль досягнута, отже, немає необхідності відповідати на цей пакет SYN-ACK. Також можливий варіант, коли здійснюється лавиноподібний SYN-злом. У цьому випадку зломщик не тільки не відповідає пакетам SYN-ACK або RST-ACK, але взагалі не цікавиться типом пакетів, отриманих від зламаної системи.

Атаки IP-спуфінгу часто є відправною точкою для інших атак. Класичний приклад - атака DoS, яка починається з чужої адреси, що приховує справжню особу зловмисника.

Зазвичай IP-спуфінг обмежується вставкою помилкової інформації або шкідливих команд у звичайний потік даних, що передаються між клієнтським і серверним додатком або каналом зв'язку між одноранговими пристроями.

Як уже зазначалося, для двостороннього зв'язку зловмисник повинен змінити всі таблиці маршрутизації, щоб направити трафік на хибну IP-адресу. Деякі зловмисники, однак, навіть не намагаються отримати відповідь додатків. Якщо головне завдання полягає у отриманні від системи важливого файлу, відповіді програм не мають значення. Якщо ж зловмиснику вдається поміняти таблиці маршрутизації і направити трафік на помилкову IP-адресу, зловмисник отримає всі пакети і зможе відповідати на них так, ніби він є користувачем санкціонованим.

Загрозу спуфінгу можна послабити (але не усунути) за допомогою таких заходів:

Контроль доступу. Найпростіший спосіб запобігання IP-спуфінгу полягає в правильному налаштуванні керування доступом. Щоб знизити ефективність IP-спуфінгу, необхідно налаштувати контроль доступу на відсікання будь-якого трафіку, що надходить із зовнішньої мережі з вихідною адресою, що має розташовуватися всередині вашої мережі. Зауважимо, що це допомагає боротися з IP-спуфінгом, коли санкціонованими є лише внутрішні адреси. Якщо санкціонованими є деякі адреси зовнішньої мережі, цей метод стає неефективним.

Фільтрування RFC 2827. Спроби спуфінгу чужих мереж користувачами мережі, що захищається, припиняються, якщо відбраковується будь-який вихідний трафік, вихідна адреса якого не є однією з IP-адрес захищається. Цей тип фільтрації, відомий під назвою RFC 2827, може виконувати і ваш провайдер (ISP). В результаті відбраковується весь трафік, який не має вихідної адреси, що очікується на певному інтерфейсі. Наприклад, якщо ISP надає з'єднання з IP-адресою 15.1.1.0/24, він може налаштувати фільтр таким чином, щоб з даного інтерфейсуна маршрутизатор ISP допускався лише трафік, що надходить із адреси 15.1.1.0/24. Зауважимо, що до тих пір, поки всі провайдери не впровадять цей тип фільтрації, його ефективність буде набагато нижчою за можливу. Крім того, чим далі від пристроїв, що фільтруються, тим важче проводити точну фільтрацію. Так, наприклад, фільтрація RFC 2827 на рівні маршрутизатора доступу вимагає пропуску всього трафіку з головної мережевої адреси (10.0.0.0/8), тоді як на рівні розподілу (в даній архітектурі) можна обмежити трафік точніше (адреса - 10.1.5.0/24) ).

IP-спуфінг може функціонувати лише за умови, що аутентифікація відбувається на базі IP-адрес. Тому використання додаткових методів аутентифікації робить цей вид атак марними. Найкращим видом додаткової аутентифікації є криптографічна. Якщо вона неможлива, добрі результати може дати двофакторна автентифікаціяіз використанням одноразових паролів.

Відмова в обслуговуванні (Denial of Service – DoS). DoS, без жодного сумніву, є найбільш відомою формою атак. Крім того, проти атак такого типу найважче створити стовідсотковий захист. Простота реалізації і величезна шкода привертають до DoS пильну увагу адміністраторів, відповідальних за мережеву безпеку. Найбільш відомими різновидами атак є: TCP SYN Flood; Ping of Death; Tribe Flood Network (TFN) та Tribe Flood Network 2000 (TFN2K); Trinco; Stacheldracht; Trinity.

Джерелом інформації щодо цих атак є група екстреного реагування на комп'ютерні проблеми (CERT - Computer Emergency Response Team), що опублікувала роботу з боротьби з атаками DoS.

Атаки DoS відрізняються від інших типів атак. Вони не націлені на отримання доступу до вашої мережі або отримання з цієї мережі будь-якої інформації. Атака DoS робить мережу недоступною для звичайного використання за рахунок перевищення допустимих меж функціонування мережі, операційної системи або програми. У разі використання деяких серверних програм (таких як web-сервер або FTP-сервер) атаки DoS можуть полягати в тому, щоб зайняти всі з'єднання, доступні для цих програм, і тримати їх у зайнятому стані, не допускаючи обслуговування звичайних користувачів. Під час атак DoS можуть використовуватися звичайні Інтернет-протоколи, такі як TCP та ICMP (Internet Control Message Protocol).

Більшість атак DoS спирається не на програмні помилки або проломи в системі безпеки, а на загальні слабкості системної архітектури. Деякі атаки зводять до нуля продуктивність мережі, переповнюючи її небажаними та непотрібними пакетами або повідомляючи неправдиву інформацію про поточний стан мережевих ресурсів. Цей тип атак важко запобігти, тому що для цього потрібна координація дій із провайдером. Якщо трафік, призначений для переповнення мережі, не зупинити у провайдера, то на вході в мережу це вже не вийде, тому що вся смуга пропускання буде зайнята. Коли атака цього типу проводиться одночасно через безліч пристроїв, ми говоримо про розподілену атаку DoS (DDoS - distributed DoS).

Загроза атак типу DoS може знижуватися трьома способами:

Функції антиспуфінгу. Правильна конфігурація функцій антиспуфінгу на маршрутизаторах і міжмережевих екранах допоможе знизити ризик DoS. Ці функції, як мінімум, повинні включати фільтрацію RFC 2827. Якщо зловмисник не зможе замаскувати свою справжню особистість, він навряд чи наважиться провести атаку.

Функції антиDoS. Правильна конфігурація функцій анти-DoS на маршрутизаторах та міжмережевих екранах може обмежити ефективність атак. Ці функції часто обмежують кількість напіввідкритих каналів у будь-який час.

Обмеження обсягу трафіку (traffic rate limiting). Організація може попросити провайдера (ISP) обмежити обсяг трафіку. Цей тип фільтрації дозволяє обмежити обсяг некритичного трафіку, що проходить вашою мережею. Звичайним прикладом є обмеження обсягів трафіку ICMPщо використовується тільки для діагностичних цілей. Атаки (D) DoS часто використовують ICMP.

Парольні атаки.Зловмисники можуть проводити парольні атаки за допомогою цілого ряду методів, таких як простий перебір (brute force attack), троянський кінь, IP-спуфінг і сніфінг пакетів. Хоча логін та пароль часто можна отримати за допомогою IP-спуфінгу та сніфінгу пакетів, хакери часто намагаються підібрати пароль та логін, використовуючи для цього численні спроби доступу. Такий підхід має назву простого перебору(brute force attack).

Часто для такої атаки використовують спеціальну програму, яка намагається отримати доступ до ресурсу загального користування (наприклад, до сервера). Якщо в результаті зловмисник отримує доступ до ресурсів, він отримує його на правах звичайного користувача, пароль якого було підібрано. Якщо цей користувач має значні привілеї доступу, зловмисник може створити для себе прохід для майбутнього доступу, який діятиме, навіть якщо користувач змінить свій пароль і логін.

Ще одна проблема виникає, коли користувачі застосовують один і той же (нехай навіть дуже хороший) пароль для доступу до багатьох систем: корпоративної, персональної та систем Інтернету. Оскільки стійкість пароля дорівнює стійкості найслабшого хоста, зловмисник, який дізнався пароль через цей хост, отримує доступ до всіх інших систем, де використовується той самий пароль.

Насамперед, парольних атак можна уникнути, якщо не користуватися паролями в текстовій формі. Одноразові паролі та/або криптографічна автентифікація можуть практично звести нанівець загрозу таких атак. На жаль, не всі програми, хости та пристрої підтримують вказані вище методи автентифікації.

При використанні звичайних паролів намагайтеся вигадати такий пароль, який було б важко підібрати. Мінімальна довжина пароля повинна бути не менше восьми символів. Пароль повинен містити символи верхнього регістру, цифри та спеціальні символи(#, %, $ і т.д.). Найкращі пароліважко підібрати і важко запам'ятати, що змушує користувачів записувати паролі на папері. Щоб уникнути цього, користувачі та адміністратори можуть поставити собі на користь низку останніх технологічних досягнень. Так, наприклад, існують прикладні програми, що шифрують список паролів, який можна зберігати на кишеньковому комп'ютері. В результаті користувачеві потрібно пам'ятати тільки один складний пароль, тоді як решта паролів буде надійно захищена додатком.

Атаки типу "Man-in-the-Middle".Для атаки типу "Man-in-the-Middle" зловмиснику потрібен доступ до пакетів, що передаються по мережі. Такий доступ до всіх пакетів, які передаються від провайдера в будь-яку іншу мережу, може, наприклад, отримати співробітник цього провайдера. Для атак цього типу часто використовуються сніфери пакетів, транспортні протоколи та протоколи маршрутизації. Атаки проводяться з метою крадіжки інформації, перехоплення поточної сесії та отримання доступу до приватних мережевих ресурсів для аналізу трафіку та отримання інформації про мережу та її користувачів, для проведення атак типу DoS, спотворення даних, що передаються, та введення несанкціонованої інформації в мережеві сесії.

Ефективно боротися з атаками типу Man-in-the-Middle можна лише за допомогою криптографії. Якщо зловмисник перехопить дані зашифрованої сесії, на екрані з'явиться не перехоплене повідомлення, а безглуздий набір символів. Зауважимо, що якщо зловмисник отримає інформацію про криптографічну сесію (наприклад, ключ сесії), це може уможливити атаку Man-in-the-Middle навіть у зашифрованому середовищі.

Атаки на рівні додатків.Атаки на рівні додатків можуть проводитись декількома способами. Найпоширеніший їх полягає у використанні добре відомих слабкостей серверного програмного забезпечення (sendmail, HTTP, FTP). Використовуючи ці слабкості, зловмисники можуть отримати доступ до комп'ютера від імені користувача, що працює з програмою (зазвичай це буває не простий користувач, а привілейований адміністратор з правами системного доступу). Відомості про атаки на рівні програм широко публікуються, щоб дати можливість адміністраторам виправити проблему за допомогою корекційних модулів (патчів, латок). На жаль, багато зловмисників також мають доступ до цих відомостей, що дозволяє їм навчатися.

Головна проблема з атаками на рівні додатків полягає в тому, що вони часто користуються портами, яким можна проходити через міжмережевий екран. Цілком виключити атаки на рівні додатків неможливо.

20.06.05 37.3K

Інтернет повністю змінює наш спосіб життя: роботу, навчання, дозвілля. Ці зміни відбуватимуться як у вже відомих нам галузях (електронна комерція, доступ до інформації в реальному часі, розширення можливостей зв'язку тощо), так і в тих сферах, про які ми поки що не маємо уявлення.

Може настати такий час, коли корпорація вироблятиме всі свої телефонні дзвінкичерез Інтернет, причому абсолютно безкоштовно. У приватному житті можлива поява спеціальних Web-сайтів, за допомогою яких батьки зможуть будь-якої миті дізнатися, як справи у їхніх дітей. Наше суспільство лише починає усвідомлювати безмежні можливості Інтернету.

Вступ

Поруч із колосальним зростанням популярності Інтернету виникає безпрецедентна небезпека розголошення персональних даних, критично важливих корпоративних ресурсів, державних таємниць тощо.

Щодня хакери наражають на ці ресурси, намагаючись отримати до них доступ за допомогою спеціальних атак, які поступово стають, з одного боку, більш витонченими, а з іншого - простими у виконанні. Цьому сприяють два основні чинники.

По-перше, це повсюдне проникнення Інтернету. Сьогодні до Мережі підключено мільйони пристроїв, і багато мільйонів пристроїв будуть підключені до Інтернету в найближчому майбутньому, тому можливість доступу хакерів до вразливих пристроїв постійно зростає.

Крім того, широке поширення Інтернету дозволяє хакерам обмінюватися інформацією у глобальному масштабі. Простий пошук за ключовими словами типу "хакер", "злом", "hack", "crack" або "phreak" дасть вам тисячі сайтів, на багатьох з яких можна знайти шкідливі кодита способи їх використання.

По-друге, це широке поширення простих у використанні операційних системта середовищ розробки. Цей фактор різко знижує рівень необхідних хакеру знань та навичок. Раніше, щоб створювати і поширювати прості у використанні програми, хакер повинен був мати гарні навички програмування.

Тепер, щоб отримати доступ до хакерського засобу, потрібно тільки знати IP-адресу потрібного сайту, а для атаки достатньо клацнути мишею.

Класифікація мережевих атак

Мережеві атаки так само різноманітні, як і системи, проти яких вони спрямовані. Деякі атаки відрізняються великою складністю, інші під силу звичайному оператору, який навіть не передбачає, до яких наслідків може призвести його діяльність. Для оцінки типів атак необхідно знати деякі обмеження, які властиві протоколу TPC/IP. Мережа

Інтернет створювалася для зв'язку між державними установами та університетами з метою надання допомоги навчальному процесу та науковим дослідженням. Творці цієї мережі не підозрювали, наскільки широкого поширення вона набуде. У результаті специфікації ранніх версій Інтернет-протоколу (IP) були відсутні вимоги безпеки. Саме тому багато реалізації IP є вразливими.

Через багато років, після безлічі рекламацій (Request for Comments, RFC), нарешті стали впроваджуватися засоби безпеки для IP. Однак через те, що спочатку засоби захисту для протоколу IP не розроблялися, всі його реалізації стали доповнюватися різноманітними мережевими процедурами, послугами та продуктами, що знижують ризики, властиві цьому протоколу. Далі ми коротко розглянемо типи атак, які зазвичай застосовуються проти мереж IP, та перерахуємо способи боротьби з ними.

Сніффер пакетів

Сніффер пакетів є прикладною програмою, яка використовує мережну карту, що працює в режимі promiscuous mode (у цьому режимі всі пакети, отримані по фізичних каналах, мережевий адаптер відправляє додатку для обробки).

При цьому сніфер перехоплює всі мережеві пакети, які передаються через певний домен. Нині сніфери працюють у мережах на цілком законній основі. Вони використовуються для діагностики несправностей та аналізу трафіку. Однак через те, що деякі мережні програми передають дані в текстовому форматі ( Telnet, FTP, SMTP, POP3 і т.д..), за допомогою сніфера можна дізнатися корисну, а іноді і конфіденційну інформацію (наприклад, імена користувачів та паролі).

Перехоплення імен і паролів створює велику небезпеку, оскільки користувачі часто застосовують один і той же логін і пароль для багатьох програм і систем. Багато користувачів взагалі мають єдиний пароль для доступу до всіх ресурсів та програм.

Якщо програма працює в режимі «клієнт-сервер», а автентифікаційні дані передаються по мережі в текстовому форматі, то цю інформацію з великою ймовірністю можна використовувати для доступу до інших корпоративних або зовнішніх ресурсів. Хакери дуже добре знають і використовують людські слабкості (методи атак часто базуються на методах соціальної інженерії).

Вони чудово уявляють, що ми користуємося одним і тим самим паролем для доступу до безлічі ресурсів, і тому їм часто вдається, дізнавшись наш пароль, отримати доступ до важливої ​​інформації. У найгіршому випадку хакер отримує доступ до ресурсу користувача на системному рівні і з його допомогою створює нового користувача, якого можна в будь-який момент використовувати для доступу в Мережу і до її ресурсів.

Зменшити загрозу сніфінгу пакетів можна за допомогою таких засобів:

Аутентифікація. Сильні засоби аутентифікації є найважливішим способом захисту від сніфінгу пакетів. Під «сильними» ми розуміємо такі методи аутентифікації, які важко оминути. Прикладом такої автентифікації є одноразові паролі (One-Time Passwords, OTP).

ОТР - це технологія двофакторної аутентифікації, коли відбувається поєднання того, що у вас є, з тим, що ви знаєте. Типовим прикладом двофакторної аутентифікації є робота звичайного банкомату, який впізнає вас, по-перше, за вашою пластиковою карткою, а по-друге, за пін-кодом, який ви вводите. Для аутентифікації в системі ОТР також потрібні пін-код та ваша особиста картка.

Під "карткою" (token) розуміється апаратний або програмний засіб, що генерує (за випадковим принципом) унікальний одномоментний одноразовий пароль. Якщо хакер дізнається цей пароль за допомогою сніфера, то ця інформація буде марною, оскільки в цей момент пароль вже буде використаний і виведений з використання.

Зазначимо, що цей спосіб боротьби зі сніффінг ефективний тільки у випадках перехоплення паролів. Сніфери, які перехоплюють іншу інформацію (наприклад, повідомлення електронної пошти), не втрачають своєї ефективності.

Комутована інфраструктура. Ще одним способом боротьби зі сніффінгом пакетів у вашому мережному середовищі є створення комутованої інфраструктури. Якщо, наприклад, у всій організації використовується комутований Ethernet, хакери можуть отримати доступ лише до трафіку, що надходить той порт, якого вони підключені. Комутована інфраструктура не усуває загрози сніфінгу, але помітно знижує її гостроту.

Антисніфери. Третій спосіб боротьби зі сніффінгом полягає в установці апаратних або програмних засобів, що розпізнають сніфери, що працюють у вашій мережі. Ці кошти не можуть повністю ліквідувати загрозу, але, як і багато інших засобів мережної безпеки, вони включаються до загальної системи захисту. Антисніфери вимірюють час реагування хостів і визначають, чи не доводиться хостам обробляти зайвий трафік. Один з таких засобів, що постачаються компанією LOpht Heavy Industries, називається AntiSniff.

Криптографія. Цей найефективніший спосіб боротьби зі сніффінгом пакетів хоч і не запобігає перехопленню і не розпізнає роботу сніфферів, але робить марну роботу. Якщо канал зв'язку є криптографічно захищеним, хакер перехоплює не повідомлення, а зашифрований текст (тобто незрозумілу послідовність бітів). Криптографія Cisco на мережному рівні базується на протоколі IPSec, який є стандартний методзахищеного зв'язку між пристроями за допомогою протоколу IP. До інших криптографічних протоколів мережевого управління відносяться протоколи SSH (Secure Shell) та SSL (Secure Socket Layer).

IP-спуфінг

IP-спуфінг відбувається у тому випадку, коли хакер, що знаходиться усередині корпорації або поза нею, видає себе за санкціонованого користувача. Це можна зробити двома способами: хакер може скористатися або IP-адресою, що знаходиться в межах діапазону санкціонованих IP-адрес, або авторизованою зовнішньою адресою, якій дозволяється доступ до певних мережевих ресурсів.

Атаки IP-спуфінгу часто є відправною точкою для інших атак. Класичний приклад - атака DoS, яка починається з чужої адреси, що приховує справжню особу хакера.

Як правило, IP-спуфінг обмежується вставкою неправдивої інформації або шкідливих команд у звичайний потік даних, що передаються між клієнтським і серверним додатком або каналом зв'язку між одноранговими пристроями.

Для двостороннього зв'язку хакер повинен змінити всі таблиці маршрутизації, щоб направити трафік на помилкову IP-адресу. Деякі хакери, однак, навіть не намагаються отримати відповідь додатків - якщо головне завдання полягає в отриманні від системи важливого файлу, то відповіді додатків не мають значення.

Якщо ж хакеру вдається поміняти таблиці маршрутизації і направити трафік на помилкову IP-адресу, він отримає всі пакети і зможе відповідати на них так, начебто санкціонований користувач.

Загрозу спуфінгу можна послабити (але не усунути) за допомогою наведених нижче заходів:

• Контроль доступу. Найпростіший спосіб запобігання IP-спуфінгу полягає в правильному налаштуванні керування доступом. Щоб зменшити ефективність IP-спуфінгу, налаштуйте контроль доступу на відсік будь-якого трафіку, що надходить із зовнішньої мережі з вихідною адресою, яка повинна розташовуватися всередині вашої мережі.

  Щоправда, це допомагає боротися з IP-спуфінгом, коли санкціонованими є лише внутрішні адреси; якщо ж санкціонованими є і деякі адреси зовнішньої мережі, цей метод стає неефективним;

• Фільтрування RFC 2827 . Ви можете припинити спроби спуфінгу чужих мереж користувачами вашої мережі (і стати доброчесним мережевим громадянином). Для цього необхідно відбраковувати будь-який вихідний трафік, вихідна адреса якого не є однією з IP-адрес вашої організації.

  Цей тип фільтрації, відомий під назвою RFC 2827, може виконувати і ваш провайдер (ISP). В результаті відбраковується весь трафік, який не має вихідної адреси, що очікується на певному інтерфейсі. Наприклад, якщо ISP надає з'єднання з IP-адресою 15.1.1.0/24, він може налаштувати фільтр таким чином, щоб з цього інтерфейсу маршрутизатор ISP допускався тільки трафік, що надходить з адреси 15.1.1.0/24.

Зазначимо, що до тих пір, поки всі провайдери не впровадять цей тип фільтрації, його ефективність буде набагато нижчою за можливу. Крім того, чим далі від пристроїв, що фільтруються, тим важче проводити точну фільтрацію. Наприклад, фільтрація RFC 2827 на рівні маршрутизатора доступу вимагає пропуску всього трафіку з головної мережевої адреси (10.0.0.0/8), тоді як на рівні розподілу (в даній архітектурі) можна обмежити трафік точніше (адреса - 10.1.5.0/24).

Найбільш ефективний методБоротьба з IP-спуфінгом - той самий, що й у випадку зі сніффінгом пакетів: необхідно зробити атаку абсолютно неефективною. IP-спуфінг може функціонувати лише за умови, що аутентифікація відбувається на базі IP-адрес.

Тому впровадження додаткових методів аутентифікації робить подібні атаки марними. Найкращим видом додаткової аутентифікації є криптографічна. Якщо вона неможлива, хороші результати може дати двофакторна автентифікація за допомогою одноразових паролів.

Відмова в обслуговуванні

Denial of Service (DoS), без сумніву, є найбільш відомою формою хакерських атак. Крім того, проти атак такого типу найважче створити стовідсотковий захист. Серед хакерів атаки DoS вважаються дитячою забавою, а їх застосування викликає презирливі усмішки, оскільки для організації DoS потрібно мінімум знань та вмінь.

Проте саме простота реалізації і величезні масштаби шкоди привертають до DoS пильну увагу адміністраторів, які відповідають за мережеву безпеку. Якщо ви хочете більше дізнатися про атаки DoS, вам слід розглянути їх найбільш відомі різновиди, а саме:

• TCP SYN Flood;
• Ping of Death;
• Tribe Flood Network (TFN) та Tribe Flood Network 2000 (TFN2K);
• Trinco;
• Stacheldracht;
• Trinity.

Прекрасним джерелом інформації з питань безпеки є група екстреного реагування на комп'ютерні проблеми (Computer Emergency Response Team, CERT), яка опублікувала чудову роботу по боротьбі з атаками DoS.

Атаки DoS відрізняються від інших типів атак. Вони не націлені ні на отримання доступу до мережі, ні на отримання з цієї мережі будь-якої інформації, але атака DoS робить вашу мережу недоступною для звичайного використання за рахунок перевищення допустимих меж функціонування мережі, операційної системи або програми.

У разі використання деяких серверних програм (таких як Web-сервер або FTP-сервер) атаки DoS можуть полягати в тому, щоб зайняти всі з'єднання, доступні для цих програм, і тримати їх у зайнятому стані, не допускаючи обслуговування пересічних користувачів. Під час атак DoS можуть використовуватися звичайні Інтернет-протоколи, такі як TCP та ICMP ( Internet Control Message Protocol).

Більшість атак DoS розраховано не на програмні помилки або проломи в системі безпеки, а на загальні слабкості системної архітектури. Деякі атаки зводять до нуля продуктивність мережі, переповнюючи її небажаними та непотрібними пакетами або повідомляючи неправдиву інформацію про поточний стан мережевих ресурсів.

Даний тип атак важко запобігти, тому що для цього потрібна координація дій із провайдером. Якщо не зупинити у провайдера трафік, призначений для переповнення вашої мережі, зробити це на вході в мережу ви вже не зможете, оскільки вся смуга пропускання буде зайнята. Коли атака даного типупроводиться одночасно через безліч пристроїв, ми говоримо про розподілену атаку DoS (distributed DoS, DDoS).

Загроза атак типу DoS може бути знижена трьома способами:

• Функції антиспуфінгу. Правильна конфігурація функцій антиспуфінгу на маршрутизаторах і міжмережевих екранах допоможе знизити ризик DoS. Ці функції повинні включати, як мінімум, фільтрацію RFC 2827. Якщо хакер не зможе замаскувати свою справжню особистість, він навряд чи зважиться провести атаку.
• Функції анти-DoS. Правильна конфігурація функцій анти-DoS на маршрутизаторах та міжмережевих екранах здатна обмежити ефективність атак. Ці функції часто обмежують кількість напіввідкритих каналів у будь-який час.
• Обмеження обсягу трафіку (traffic rate limiting). Організація може попросити провайдера (ISP) обмежити обсяг трафіку. Цей тип фільтрації дозволяє обмежити обсяг некритичного трафіку, що проходить вашою мережею. Типовим прикладом є обмеження обсягів трафіку ICMP, що використовується лише для діагностичних цілей. Атаки (D)DoS часто використовують ICMP.

Парольні атаки

Хакери можуть проводити парольні атаки за допомогою цілого ряду методів, таких як простий перебір (brute force attack), троянський кінь, IP-спуфінг та сніфінг пакетів. Хоча логін та пароль часто можна отримати за допомогою IP-спуфінгу та сніфінгу пакетів, хакери нерідко намагаються підібрати пароль та логін, використовуючи для цього численні спроби доступу. Такий підхід називається простого перебору (brute force attack).

Часто для такої атаки використовують спеціальну програму, яка намагається отримати доступ до ресурсу загального користування (наприклад, до сервера). Якщо в результаті хакеру надається доступ до ресурсів, він отримує його на правах звичайного користувача, пароль якого був підібраний.

Якщо цей користувач має значні привілеї доступу, хакер може створити собі «прохід» для майбутнього доступу, який діятиме, навіть якщо користувач змінить пароль і логін.

Ще одна проблема виникає, коли користувачі застосовують один і той же (нехай навіть дуже хороший) пароль для доступу до багатьох систем: корпоративної, персональної та систем Інтернету. Оскільки стійкість пароля дорівнює стійкості найслабшого хоста, то хакер, який дізнався пароль через цей хост, отримує доступ до всіх інших систем, де використовується той самий пароль.

Парольних атак можна уникнути, якщо не скористатися паролями в текстовій формі. Одноразові паролі та/або криптографічна автентифікація можуть практично звести нанівець загрозу таких атак. На жаль, не всі програми, хости та пристрої підтримують вищезазначені методи автентифікації.

При використанні звичайних паролів намагайтеся вигадати такий, який було б важко підібрати. Мінімальна довжина пароля повинна бути не менше восьми символів. Пароль повинен містити символи верхнього регістру, цифри та спеціальні символи (#, %, $ тощо).

Найкращі паролі важко підібрати і важко запам'ятати, що змушує користувачів записувати їх на папері. Щоб уникнути цього, користувачі та адміністратори можуть використовувати низку останніх технологічних досягнень.

Так, наприклад, існують прикладні програми, що шифрують список паролів, який можна зберігати у кишеньковому комп'ютері. В результаті користувачеві потрібно пам'ятати лише один складний пароль, тоді як решта буде надійно захищена додатком.

Для адміністратора існує кілька методів боротьби з підбором паролів. Один з них полягає у використанні засобу L0phtCrack, який часто застосовують хакери для підбору паролів серед Windows NT. Цей засіб швидко покаже вам, чи легко підібрати пароль, вибраний користувачем. Додаткову інформаціюможна отримати за адресою http://www.l0phtcrack.com/.

Атаки типу Man-in-the-Middle

Для атаки типу Man-in-the-Middle хакеру потрібен доступ до пакетів, що передаються мережею. Такий доступ до всіх пакетів, які передаються від провайдера в будь-яку іншу мережу, може, наприклад, отримати співробітник цього провайдера. Для атак даного типу часто використовуються сніфери пакетів, транспортні протоколи та протоколи маршрутизації.

Атаки проводяться з метою крадіжки інформації, перехоплення поточної сесії та отримання доступу до приватних мережевих ресурсів, для аналізу трафіку та отримання інформації про мережу та її користувачів, для проведення атак типу DoS, спотворення переданих даних та введення несанкціонованої інформації в мережеві сесії.

Ефективно боротися з атаками типу Man-in-the-Middle можна лише за допомогою криптографії. Якщо хакер перехопить дані зашифрованої сесії, на екрані з'явиться не перехоплене повідомлення, а безглуздий набір символів. Зазначимо, що якщо хакер отримає інформацію про криптографічну сесію (наприклад, ключ сесії), то це може уможливити атаку Man-in-the-Middle навіть у зашифрованому середовищі.

Атаки на рівні додатків

Атаки на рівні додатків можуть проводитись декількома способами. Найпоширеніший їх - використання добре відомих слабкостей серверного програмного забезпечення (sendmail, HTTP, FTP ). Використовуючи ці слабкості, хакери можуть отримати доступ до комп'ютера від імені користувача, що працює з програмою (зазвичай це буває не простий користувач, а привілейований адміністратор із правами системного доступу).

Відомості про атаки на рівні програм широко публікуються, щоб дати адміністраторам можливість виправити проблему за допомогою корекційних модулів (патчів). На жаль, багато хакерів також мають доступ до цих відомостей, що дозволяє їм удосконалюватися.

Головна проблема при атаках на рівні додатків полягає в тому, що хакери часто користуються портами, яким можна проходити через міжмережевий екран. Наприклад, хакер, що експлуатує відому слабкість Web-сервера, часто використовує в ході атаки ТСР порт 80. Оскільки web-сервер надає користувачам Web-сторінки, міжмережевий екран повинен забезпечувати доступ до цього порту. З погляду міжмережевого екрану атака сприймається як стандартний трафік для порту 80.

Цілком виключити атаки на рівні додатків неможливо. Хакери постійно відкривають та публікують в Інтернеті нові вразливі місця прикладних програм. Найголовніше тут – хороше системне адміністрування. Ось деякі заходи, які можна зробити, щоб знизити вразливість для атак цього типу:

• читайте лог-файли операційних систем та мережеві лог-файли та/або аналізуйте їх за допомогою спеціальних аналітичних додатків;
• підпишіться на послуги з розсилки даних про слабкі місця прикладних програм: Bugtrad (http://www.securityfocus.com).

Мережева розвідка

Мережевою розвідкою називається збір інформації про мережу за допомогою загальнодоступних даних та програм. Під час підготовки атаки проти будь-якої мережі хакер, як правило, намагається отримати про неї якомога більше інформації. Мережева розвідка проводиться у формі запитів DNS, ехо-тестування та сканування портів.

Запити DNS допомагають зрозуміти, хто володіє тим чи іншим доменом і які адреси цього домену надано. Ехо-тестування адрес, розкритих з допомогою DNS, дозволяє побачити, які хости реально працюють у цьому середовищі. Отримавши список хостів, хакер використовує засоби сканування портів, щоб скласти повний списокпослуг, що підтримуються цими хостами. І нарешті, хакер аналізує характеристики додатків, які працюють на хостах. В результаті він добуває інформацію, яку можна використовувати для злому.

Повністю позбутися мережевої розвідки неможливо. Якщо, наприклад, відключити відлуння ICMP і відлуння на периферійних маршрутизаторах, ви позбудетеся эхо-тестирования, але втратите дані, необхідні діагностики мережевих збоїв.

Крім того, сканувати порти можна і без попереднього ехо-тестування - просто це займе більше часу, тому що сканувати доведеться і неіснуючі IP-адреси. Системи IDS на рівні мережі і хостів зазвичай добре справляються із завданням повідомлення адміністратора про мережну розвідку, що ведеться, що дозволяє краще підготуватися до майбутньої атаки і оповістити провайдера (ISP), в мережі якого встановлена ​​система, що виявляє надмірну цікавість:

1. користуйтеся найсвіжішими версіями операційних систем і додатків та останніми корекційними модулями (патчами);
2. крім системного адміністрування, користуйтеся системами розпізнавання атак (IDS) - двома технологіями ID, що взаємодоповнюють один одного:
   • мережна система IDS (NIDS) відстежує всі пакети, які проходять через певний домен. Коли система NIDS бачить пакет або серію пакетів, що збігаються з сигнатурою відомої або можливої ​​атаки, вона генерує сигнал тривоги та/або припиняє сесію;
   • Система IDS (HIDS) захищає хост за допомогою програмних агентів. Ця система бореться лише з атаками проти одного хоста.

У роботі системи IDS користуються сигнатурами атак, які є профілі конкретних атак чи типів атак. Сигнатури визначають умови, за яких трафік вважається хакерським. Аналогами IDS у фізичному світі можна вважати систему попередження чи камеру спостереження.

Найбільшим недоліком IDS є їхня здатність генерувати сигнали тривоги. Щоб мінімізувати кількість помилкових сигналів тривоги і досягти коректного функціонування системи IDS в мережі, необхідне ретельне налаштування цієї системи.

Зловживання довірою

Власне, цей тип дій не є в повному розумінні слова атакою чи штурмом. Він є зловмисне використання відносин довіри, що існують в мережі. Класичним прикладом такого зловживання є ситуація у периферійній частині корпоративної мережі.

У цьому сегменті часто розташовуються сервери DNS, SMTP та HTTP. Оскільки всі вони належать до того самого сегменту, злом будь-якого з них призводить до злому всіх інших, оскільки ці сервери довіряють іншим системам своєї мережі.

Іншим прикладом є встановлена ​​із зовнішнього боку міжмережевого екрану система, що має стосунки довіри із системою, встановленою з його внутрішньої сторони. У разі злому зовнішньої системи хакер може використовувати стосунки довіри для проникнення в систему, захищену міжмережевим екраном.

Ризик зловживання довірою можна знизити за рахунок жорсткішого контролю рівнів довіри в межах своєї мережі. Системи, розташовані із зовнішнього боку міжмережевого екрану, ні за яких умов повинні користуватися абсолютною довірою із боку захищених екраном систем.

Відносини довіри повинні обмежуватися певними протоколами і, по можливості, автентифікуватися не лише за IP-адресами, а й за іншими параметрами.

Переадресація портів

Переадресація портів є різновидом зловживання довірою, коли зламаний хост використовується для передачі через міжмережевий екран трафіку, який інакше був би обов'язково відбракований. Уявімо міжмережевий екран з трьома інтерфейсами, до кожного з яких підключений певний хост.

Зовнішній хост може підключатися до хоста загального доступу(DMZ), але не до того, що встановлений із внутрішньої сторони міжмережевого екрану. Хост загального доступу може підключатися і до внутрішнього, і зовнішнього хосту. Якщо хакер захопить хост загального доступу, він зможе встановити на ньому програмний засіб, який перенаправляє трафік із зовнішнього хоста прямо на внутрішній.

Хоча при цьому не порушується жодне правило, що діє на екрані, зовнішній хост внаслідок переадресації отримує прямий доступ до захищеного хоста. Прикладом програми, яка може надати такий доступ, є netcat. Більше детальну інформаціюможна отримати на сайті http://www.avian.org.

Основним способом боротьби з переадресацією портів є використання надійних моделей довіри (див. попередній розділ). Крім того, завадити хакеру встановити на хості свої програмні засоби може хост-система IDS (HIDS).

Несанкціонований доступ

Несанкціонований доступ не може бути виділений в окремий тип атаки, оскільки більшість мережевих атакпроводяться задля отримання несанкціонованого доступу. Щоб підібрати логін telnet, хакер повинен спочатку отримати підказку telnet на своїй системі. Після підключення до порту Telnet на екрані з'являється повідомлення "authorization required to use this resource" (" Для користування цим ресурсом потрібна авторизація»).

Якщо хакер продовжить спроби доступу, вони будуть вважатися несанкціонованими. Джерело таких атак може бути як всередині мережі, так і зовні.

Способи боротьби з несанкціонованим доступом досить прості. Головним тут є скорочення або повна ліквідація можливостей хакера отримання доступу до системи за допомогою несанкціонованого протоколу.

Як приклад можна розглянути недопущення хакерського доступу до порту Telnetна сервері, який надає Web-послуги зовнішнім користувачам. Не маючи доступу до цього порту, хакер не зможе його атакувати. Що ж до міжмережевого екрану, його основним завданням є запобігання найпростіших спроб несанкціонованого доступу.

Віруси та програми типу «троянський кінь»

Робочі станції кінцевих користувачів дуже вразливі для вірусів та троянських коней. Вірусами називаються шкідливі програмиякі впроваджуються в інші програми для виконання певної небажаної функції на робочій станції кінцевого користувача. Як приклад можна навести вірус, який прописується у файлі command.com (головному інтерпретаторі систем Windows) та стирає інші файли, а також заражає всі інші знайдені ним версії command.com.

Троянський кінь – це не програмна вставка, а справжня програма, яка на перший погляд здається корисним додатком, а справі виконує шкідливу роль. Прикладом типового троянського коня є програма, яка виглядає як проста градля робочої станції користувача.

Однак, поки користувач грає в гру, програма надсилає свою копію електронною поштою кожному абоненту, занесеному в адресну книгу цього користувача. Всі абоненти одержують поштою гру, викликаючи її подальше розповсюдження.

Боротьба з вірусами і троянськими кіньми ведеться за допомогою ефективного антивірусного програмного забезпечення, що працює на рівні користувача і, можливо, на рівні мережі. Антивірусні засоби виявляють більшість вірусів і троянських коней і припиняють їхнє поширення.

Отримання найсвіжішої інформації про віруси допоможе боротися з ними ефективніше. У міру появи нових вірусів та троянських коней підприємство має встановлювати нові версії антивірусних засобів та додатків.

Під час написання статті використані матеріали, надані компанією Cisco Systems.

Добре погано

Таблиця 9.1.

Найменування протоколу	Рівень стека протоколів	Найменування (характеристика) уразливості	Зміст порушення безпеки інформації
FTP (File Transfer Protocol) - протокол передачі файлів по мережі		Аутентифікація на базі відкритого тексту(паролі пересилаються в незашифрованому вигляді) Доступ за замовчуванням Наявність двох відкритих портів	Можливість перехоплення даних
telnet – протокол управліннявіддаленим терміналом	Прикладний, представницький, сеансовий	Аутентифікація на базі відкритого тексту(паролі пересилаються в незашифрованому вигляді)	Можливість перехоплення даних облікового запису(імен зареєстрованих користувачів, паролів). Отримання віддаленого доступудо хостів
UDP – протокол передачі данихбез встановлення з'єднання	Транспортний	Відсутність механізму запобігання перевантаженням буфера	Можливість реалізації UDР-шторму. В результаті обміну пакетами відбувається суттєве зниження продуктивності сервера
ARP – протокол перетворення IP-адреси на фізичну адресу	Мережевий	Аутентифікація на базі відкритого тексту(Інформація пересилається в незашифрованому вигляді)	Можливість перехоплення трафіку користувача зловмисником
RIP – протокол маршрутної інформації	Транспортний	Відсутність автентифікації керуючих повідомлень про зміну маршруту	Можливість перенаправлення трафіку через хост зловмисника
TCP – протокол управлінняпередачею	Транспортний	Відсутність механізму перевірки коректності заповнення службових заголовків пакету	Істотне зниження швидкості обміну та навіть повний розрив довільних з'єднань за протоколом TCP
DNS – протокол встановлення відповідності мнемонічних імен та мережевих адрес.	Прикладний, представницький, сеансовий	Відсутність засобів перевірки аутентифікації отриманих даних від джерела	Фальсифікація відповіді DNS-сервера
IGMP – протокол передачі повідомлень про маршрутизацію	Мережевий	Відсутність автентифікації повідомлень про зміну параметрів маршруту	Зависання систем Win 9x/NT/2000
SMTP – протокол забезпечення сервісу доставки повідомлень електронною поштою	Прикладний, представницький, сеансовий		Можливість фальшування повідомлень електронної пошти, а також адреси відправника повідомлення
SNMP - протокол управліннямаршрутизаторами у мережах	Прикладний, представницький, сеансовий	Відсутність підтримки автентифікації заголовків повідомлень	Можливість переповнення пропускної спроможності мережі

Загрози, що реалізуються по мережі, класифікуються за такими основними ознаками:

1. характер загрози.

   Пасивна – загроза, яка не впливає на роботу інформаційної системи, але може порушити правила доступу до інформації, що захищається. Приклад: використання sniffer для прослуховування мережі. Активна - загроза, що впливають на компоненти інформаційної системи, при реалізації якої безпосередньо впливає на роботу системи. Приклад: DDOS -атака як шторму TCP-запросами.

2. мета реалізації загрози(відповідно, конфіденційність, доступність, цілісність інформації).
3. умова початку атаки:
   • на запит від атакованого. Тобто зловмисник очікує на передачу запиту певного типу, який і буде умовою початку НСД.
   • за настанням очікуваної події на об'єкті, що атакується.
   • безумовний вплив - зловмисник нічого не чекає, тобто загроза реалізується відразу і безвідносно до стану об'єкта, що атакується.
4. наявність зворотного зв'язкуз об'єктом, що атакується:
   • зі зворотним зв'язком, тобто деякі запити зловмиснику необхідно отримати відповідь. Таким чином, між атакованим і атакуючим є зворотний зв'язок, що дозволяє зловмиснику стежити за станом об'єкта, що атакується, і адекватно реагувати на його зміни.
   • без зворотного зв'язку – відповідно, немає зворотного зв'язку та необхідності зловмисника реагувати на зміни об'єкта, що атакується.
5. розташування порушника щодо інформаційної системи, що атакується.: внутрішньосегментно та міжсегментно. Сегмент мережі – фізичне об'єднання хостів, технічних засобів та інших компонентів мережі, які мають мережеву адресу. Наприклад, один сегмент утворюють комп'ютери, підключені до загальної шини на основі Token Ring.
6. рівень еталонної моделі ISO/OSI, на якому реалізується загроза: фізичний, канальний, мережевий, транспортний, сеансовий, представницький, прикладний.

Розглянемо найпоширеніші на даний час атаки в мережах на основі стека протоколів TCP/IP.

1. Аналіз мережного трафіку. Ця атакареалізується за допомогою спеціальної програми, називається sniffer . Sniffer є прикладною програмою, яка використовує мережну карту, що працює в режимі promiscuous mode, так званий "нерозбірливий" режим в якому мережева плата дозволяє приймати всі пакети незалежно від того, кому вони адресовані. У нормальному стані на Ethernet-інтерфейсі використовується фільтрація пакетів канального рівня і якщо MAC-адреса в заголовку призначення прийнятого пакета не збігається з MAC-адресою поточного мережного інтерфейсуі не є широкомовним, пакет відкидається. У "нерозбірливому" режимі фільтрація на мережному інтерфейсівідключається всі пакети, включаючи не призначені поточному вузлу, пропускаються в систему. Слід зазначити, що багато таких програм використовують у легальних цілях, наприклад, для діагностики несправностей чи аналізу трафіку . Проте, у розглянутій нами вище таблиці перераховані протоколи, які надсилають інформацію, зокрема паролі, у відкритому вигляді – FTP, SMTP, POP3 тощо. Таким чином, за допомогою sniffer можна перехопити ім'я та пароль та здійснити несанкціонований доступ до конфіденційної інформації. Більш того, багато користувачів використовують одні й самі паролі для доступу до багатьох мережевих сервісів. Тобто, якщо в одному місці мережі є слабкість у вигляді слабкої автентифікації, може постраждати вся мережа. Зловмисники добре знають людські слабкості та широко застосовують методи соціальної інженерії.

   Захист від цього виду атаки може полягати в наступному:

   • Сильна автентифікація, наприклад, використання одноразових паролів(One-time password). Суть полягає в тому, що пароль можна використовувати одноразово, і навіть якщо зловмисник перехопив його за допомогою sniffer, він не має жодної цінності. Звичайно, цей механізм захисту рятує тільки від перехоплення паролів і є марним у разі перехоплення іншої інформації, наприклад, електронної пошти.
   • Анти-сніфери – апаратні чи програмні засоби, здатні виявити роботу сніфера у сегменті мережі. Як правило, вони перевіряють навантаження на вузлах мережі з метою визначення "зайвого" навантаження.
   • Комутована інфраструктура. Зрозуміло, що аналіз мережного трафіку можливий лише всередині сегмента мережі. Якщо мережа побудована на пристроях, що розбивають її на безліч сегментів (комутатори та маршрутизатори), то атака можлива лише в тих ділянках мережі, які належать до одного з портів даних пристроїв. Це не вирішує проблеми сніфінгу, але зменшує межі, які може "прослуховувати" зловмисник.
   • Криптографічні методи. Самий надійний спосібборотьби з роботою sniffer. Інформація, яка може бути отримана за допомогою перехоплення, є зашифрованою і, відповідно, не має користі. Найчастіше використовуються IPSec, SSL та SSH.
2. Сканування мережі.Метою сканування мережі є виявлення працюючих у мережі служб, відкритих портів, активних мережевих сервісів , що використовуються протоколами і т.п., тобто збір інформації про мережу. Для сканування мережі найчастіше використовуються:
   • запити DNS допомагають з'ясувати зловмиснику власника домену, адресну область,
   • ехо-тестування – виявляє працюючі хости на основі DNS-адрес, отриманих раніше;
   • сканування портів – складається повний перелік послуг, що підтримуються цими хостами, відкриті порти, додатки і т.п.

   Хорошим і найпоширенішим контрзаходом є використання IDS, яка успішно знаходить ознаки ведення сканування мережі та повідомляє про це адміністратора. Повністю позбутися цієї загрози неможливо, оскільки, наприклад, відключити відлуння ICMP і ехо-відповідь на маршрутизаторі, можна позбутися загрози эхо-тестирования, але за цьому втратити дані, необхідні діагностики мережевих збоїв.

3. Виявлення пароля.Основною метою даної атаки є отримання несанкціонованого доступу до ресурсів, що захищаються шляхом подолання парольного захисту. Щоб отримати пароль, зловмисник може використовувати безліч способів - простий перебір, перебір за словником, сніффінг та ін Найпоширенішим є простий перебір всіх можливих значень пароля. Для захисту від простого перебору необхідно застосовувати сильні паролі, які не просто підібрати: довжина 6-8 символів, використання букв верхнього та нижнього регістру, використання спеціальних знаків (@, #, $ і т.д.).

   Ще однією проблемою інформаційної безпеки є те, що більшість людей використовують однакові паролідо всіх служб, додатків, сайтів та ін. При цьому вразливість пароля залежить від найслабшої ділянки його використання.

   Таких атак можна уникнути, якщо використовувати одноразові паролі, про які ми говорили раніше, або криптографічну автентифікацію.

4. IP-spoofing або підміна довіреного об'єкта мережі.Під довіреним у разі розуміється об'єкт мережі (комп'ютер, маршрутизатор, міжмережевий екран тощо.), легально підключений до серверу. Загрози у тому, що зловмисник видає себе за довірений об'єкт мережі. Це можна зробити двома способами. По-перше, скористатися IP-адресою, яка знаходиться в межах діапазону санкціонованих IP-адрес, або авторизованою зовнішньою адресою, якій дозволяється доступ до певних мережевих ресурсів. Атаки цього типу часто є відправною точкою для інших атак.

   Зазвичай підміна довіреного об'єкта мережі обмежується вставкою неправдивої інформації або шкідливих команд у звичайний потік даних, що передаються між об'єктами мережі. Для двостороннього зв'язку зловмисник повинен змінити всі таблиці маршрутизації, щоб направити трафік на помилкову IP-адресу, що також є можливим. Для ослаблення загрози (але не її ліквідації) можна використати таке:

   • контроль доступу. Можна налаштувати контроль доступу на відсік будь-якого трафіку, що надходить із зовнішньої мережі з вихідною адресою всередині мережі. Цей метод є дієвим, якщо санкціоновані лише внутрішні адреси та не працює, якщо є санкціоновані зовнішні адреси.
   • Фільтрування RFC 2827 - даний тип фільтрації дозволяє припинити спроби спуфінгу чужих мереж користувачами вашої мережі. Для цього необхідно відбраковувати будь-який вихідний трафік, вихідна адреса якого не є однією з IP-адрес вашої організації. Найчастіше цей тип фільтрації виконується провайдером. В результаті відбраковується весь трафік, який не має вихідної адреси, що очікується на певному інтерфейсі. Наприклад, якщо ISP надає з'єднання з IP-адресою 15.1.1.0/24, він може налаштувати фільтр таким чином, щоб з цього інтерфейсу маршрутизатор ISP допускався тільки трафік, що надходить з адреси 15.1.1.0/24. Зауважимо, що до тих пір, поки всі провайдери не впровадять цей тип фільтрації, його ефективність буде набагато нижчою за можливу.
   • Використання додаткових методів аутентифікації. IP-spoofing можливе лише у разі аутентифікації на основі IP. Якщо ввести якісь додаткові заходи щодо аутентифікації, наприклад, криптографічні, атака стає марною.
5. Відмова в обслуговуванні або Denial of Service (DoS)- атака на обчислювальну систему з метою довести її до відмови, тобто створення таких умов, за яких легітимні користувачі системи не можуть отримати доступ до ресурсів, що надаються системою, або цей доступ утруднений.

   DoS-атака є найбільш поширеною та відомою атакою останнім часом, що обумовлено насамперед простотою реалізації. Організація DOS-атаки вимагає мінімум знань та умінь і будується на недоліках мережного програмного забезпечення та мережевих протоколів. Якщо атака проводиться для безлічі мережевих пристроїв, говорять про розподілену атаку DoS (DDoS - distributed DoS).

   Сьогодні найчастіше використовуються наступні п'ять різновидів DoS-атак, для проведення яких існує велика кількість програмного забезпечення і від яких найважче захиститися:

   • Smurf- ping-запити ICMP. При надсиланні ping-пакета (повідомлення ICMP ECHO) за широкомовною адресою (наприклад, 10.255.255.255), він доставляється кожній машині в цій мережі. Принцип атаки полягає в посилці пакету ICMP ECHO REQUEST з адресою-джерелом вузла, що атакується. Зловмисник шле постійний потік ping-пакетів за мережевою широкомовною адресою. Всі машини, отримавши запит, відповідають джерелу ICMP ECHO REPLY. Відповідно, розмір потоку у відповідь пакетів зростає в пропорційне кількості хостів число разів. В результаті вся мережа піддається відмові в обслуговуванні через перевантаження.
   • ICMP flood- Атака, аналогічна Smurf, тільки без посилення, створюваного запитами за направленою широкомовною адресою.
   • UDP flood- відправка на адресу вузла, що атакується, безлічі пакетів UDP (User Datagram Protocol).
   • TCP flood- відправка на адресу вузла, що атакується, безлічі TCP-пакетів.
   • TCP SYN flood- при проведенні такого роду атаки видається велика кількість запитів на ініціалізацію TCP-з'єднань з вузлом, що атакується, якому, в результаті, доводиться витрачати всі свої ресурси на те, щоб відстежувати ці частково відкриті з'єднання.

   Якщо використовується серверна програма Web-сервер або FTP-сервер, в результаті атаки DoS всі з'єднання, доступні для цих програм, виявляються зайнятими, і користувачі не можуть отримати доступ до них. Деякі атаки здатні вивести з ладу цілу мережу, заповнивши її непотрібними пакетами. Для протидії таким атакам потрібна участь провайдера, тому що якщо він не зупинить небажаний трафік на вході в мережу, атаку не зупинити, тому що смуга пропускання буде зайнята.

   Для реалізації DoS-атаки найчастіше використовуються такі програми:

   • Trinoo– є досить примітивною програмою, яка історично стала першою для організації DoS-атак єдиного типу – UDP-flood. Програми сімейства "trinoo" легко виявляються стандартними засобамизахисту і не несуть загрози для тих, хто хоч трохи дбає про свою безпеку.
   • TFN та TFN2K- Більш серйозна зброя. Дозволяють одночасно організувати атаки кількох типів - Smurf, UDP flood, ICMP flood та TCP SYN flood. Використання цих програм вимагає від зловмисника набагато вищої кваліфікації.
   • Новий засіб організації DoS-атак - Stacheldracht("колючий дріт"). Цей пакет дозволяє організовувати різні типи атак і лавини широкомовних ping-запитів. Крім того, обмін даними між контролерами і агентами шифрується, а саме програмне забезпечення вбудована функція автомодифікації. Шифрування дуже ускладнює виявлення атакуючого.

   Для послаблення загрози можна скористатися таким:

   • Функції антиспуфінгу - правильна конфігурація функцій антиспуфінгу на ваших маршрутизаторах і міжмережевих екранах допоможе знизити ризик DoS. Ці функції, як мінімум, повинні включати фільтрацію RFC 2827. Якщо хакер не зможе замаскувати свою справжню особистість, він навряд чи наважиться провести атаку.
   • Функції анти-DoS – правильна конфігурація функцій анти-DoS на маршрутизаторах та міжмережевих екранах може обмежити ефективність атак. Ці функції часто обмежують кількість напіввідкритих каналів у будь-який час.
   • Обмеження обсягу трафіку (traffic rate limiting) – організація може попросити провайдера (ISP) обмежити обсяг трафіку. Цей тип фільтрації дозволяє обмежити обсяг некритичного трафіку, що проходить вашою мережею. Звичайним прикладом є обмеження обсягів трафіку ICMP, який використовується лише для діагностичних цілей. Атаки DoS часто використовують ICMP.

   Можна виділити кілька різновидів загроз такого типу:

   • Прихована відмова в обслуговуванні, коли частина ресурсів мережі задіяна на обробку пакетів, що передаються зловмисником зі зниженням пропускної спроможності каналу, порушенням часу обробки запитів, порушенням продуктивності мережевих пристроїв. Приклад: спрямований шторм луна-запитів за протоколом ICMP або шторм запитів на встановлення TCP-з'єднання.
   • Явна відмова в обслуговуванні, викликана тим, що ресурси мережі вичерпалися внаслідок обробки пакетів, надісланих зловмисниками. При цьому легальні запити користувачів не можуть бути опрацьовані через те, що вся смуга пропускання каналу зайнята, переповнені буфери, переповнення дискового простору тощо. Приклад: спрямований шторм (SYN-flooding).
   • Явна відмова в обслуговуванні, спричинена порушенням логічного зв'язку між технічними засобами мережі під час передачі зловмисником керуючих повідомлень від імені мережевих пристроїв. При цьому змінюються маршрутно-адресні дані. Приклад: ICMP Redirect Host чи DNS-flood.
   • Явна відмова в обслуговуванні, викликана тим, що зловмисник передає пакети з нестандартними атрибутами (наприклад, UDP-bomb) або мають довжину, що перевищує максимальну (Ping Death).

   Атаки DoS націлені на порушення доступності інформації та не порушують цілісність та конфіденційність.

6. Атаки на рівні додатків.Атака цього типу полягає у використанні "проломів" у серверному програмному забезпеченні (HTML, sendmail, FTP). Використовуючи ці вразливості, зловмисник отримує доступ до комп'ютера від імені користувача програми. Для атак на рівні програм часто використовуються порти, які можуть проходити через міжмережевий екран.

   Головна проблема з атаками на рівні додатків полягає в тому, що вони часто користуються портами, яким можна проходити через міжмережевий екран. Наприклад, хакер, який нападає на Web-сервер, може використовувати ТСР порт 80. Щоб Web-сервер міг надавати користувачам сторінки, порт 80 на міжмережевому екрані має бути відкритий. З точки зору міжмережевого екрану атака розглядається як стандартний трафік для порту 80.

   Повністю виключити атаки лише на рівні додатків неможливо, оскільки прикладні програми з новими вразливістю виникають регулярно. Найголовніше тут – хороше системне адміністрування. Ось деякі заходи, які можна зробити, щоб знизити вразливість для атак цього типу:

   • читання логів (системних та мережевих);
   • відстеження вразливостей у новому програмному забезпеченні за допомогою спеціалізованих сайтів, наприклад http://www.cert.com .
   • використання IDS.

З природи мережевої атаки зрозуміло, що її поява не контролюється кожним конкретним вузлом мережі. Ми розглянули далеко не всі атаки, можливі в мережі, – на практиці їх значно більше. Тим не менш, захиститися від усіх типів атак не можна. Найбільш оптимальним підходом до захисту периметра мережі є усунення вразливостей, які використовуються у більшості атак зловмисників. Списки таких уразливостей публікуються на багатьох сайтах, що займаються збиранням подібної статистики, наприклад, сайт інституту SANS: http://www.sans.org/top-cyber-security-risks/?ref=top20. Пересічний зловмисник не шукає якихось оригінальних способів для атаки, а сканує мережу в пошуку відомої вразливості та використовує її.

Квиток 1. Основні поняття та визначення інформаційної безпеки: атаки, уразливості, політика безпеки, механізми та сервіси безпеки. Класифікація атак. Моделі мережевої безпеки та безпеки інформаційної системи

Вразливість - слабке місце в системі, з використанням якого може бути здійснено атака.

Ризик - ймовірність того, що конкретна атакабуде здійснена з використанням конкретної вразливості. Зрештою, кожна організація має ухвалити рішення про допустимий для неї рівень ризику. Це рішення має знайти відображення у безпековій політиці, прийнятій в організації.

Політика безпеки - правила, директиви та практичні навички, які визначають те, як інформаційні цінності обробляються, захищаються та поширюються в організації та між інформаційними системами; набір критеріїв для надання сервісів безпеки.

Атака - будь-яка дія, що порушує безпеку інформаційної системи. Більш формально можна сказати, що атака- це дія або послідовність пов'язаних між собою дій, які використовують вразливостіданої інформаційної системи та призводять до порушення політики безпеки.

Механізм безпеки - програмне та/або апаратний засіб, яке визначає та/або запобігає атаку.

Сервіс безпеки - сервіс, який забезпечує безпеку систем і/або переданих даних, що задається політикою, або визначає здійснення атаки. Сервісвикористовує один чи більше механізмів безпеки.
^

Модель мережевої безпеки. Класифікація мережевих атак

всі атакиможна розділити на два класи: пасивніі активні.

I. Пасивна атака

Пасивною називається така атака , при якій противникне має можливості модифікувати повідомлення, що передаються, і вставляти в інформаційний канал між відправником і одержувачем свої повідомлення. Метою пасивної атакиможе бути тільки прослуховування переданих повідомлень та аналіз трафіку.

Активною називається така атака , при якій противникмає можливість модифікувати повідомлення, що передаються, і вставляти свої повідомлення. Розрізняють такі типи активних атак:

^ ІІ. Активна атака

Відмова в обслуговуванні - DoS-атака (Denial of Service)

Відмова у обслуговуванні порушує нормальне функціонування мережевих сервісів. Противникможе перехоплювати всі повідомлення, надіслані певному адресату. Іншим прикладом подібної атакиє створення значного трафіку, у результаті мережевий сервіс зможе обробляти запити законних клієнтів. Класичним прикладом такий атакиу мережах TCP/IP є SYN-атака, при якій порушник посилає пакети, що ініціюють встановлення ТСР-з'єднання, але не посилає пакети, що завершують встановлення цього з'єднання. В результаті може статися переповнення пам'яті на сервері, і сервер не вдасться встановити з'єднання із законними користувачами.

^ Модель безпеки інформаційної системи

Існують і інші ситуації, що стосуються безпеки, які не відповідають описаній вище моделі мережної безпеки. Загальну модель цих ситуацій можна проілюструвати так:

Ця модель ілюструє концепцію безпеки інформаційної системи, за допомогою якої запобігає небажаному доступу. Хакер, який намагається здійснити незаконне проникнення в системи, доступні через мережу, може просто отримувати задоволення від злому, а може намагатися пошкодити інформаційну систему та/або впровадити в неї щось для своєї мети. Наприклад, метою хакера може бути отримання номерів кредитних карток, що зберігаються у системі.

Іншим типом небажаного доступу є розміщення в обчислювальній системі чогось, що впливає на прикладні програми та програмні утиліти, такі як редактори, компілятори тощо. Таким чином, існує два типи атак:

1. 
   Доступ до інформації з метою отримання або модифікації даних, що зберігаються в системі.
2. 
   ^ Атакана послуги, щоб перешкодити використовувати їх.

Віруси та черв'яки - приклади подібних атак. Такі атакиможуть здійснюватися як з допомогою дискет, і по мережі.

^ Сервіси безпеки , які запобігають небажаному доступу, можна розбити на дві категорії:

1. 
   Перша категорія визначається термінах сторожової функції. Ці механізмивключають процедури входу, засновані, наприклад, використання пароля, що дозволяє дозволити доступ лише авторизованим користувачам. Ці механізмитакож включають різні захисні екрани(firewalls), які запобігають атакина різних рівнях стека протоколів TCP/IP, і, зокрема, дозволяють запобігати проникненню хробаків, вірусів, а також запобігати іншим подібним атаки.
2. 
   Друга лінія оборони складається з різних внутрішніх моніторів, які контролюють доступ та аналізують діяльність користувачів.

Одним із основних понять при забезпеченні безпеки інформаційної системи є поняття авторизації - визначення та надання прав доступу до конкретних ресурсів та/або об'єктів.

В основу безпеки інформаційної системи мають бути покладені такі основні засади:

1. 
   Безпека інформаційної системи має відповідати ролі та цілям організації, в якій дана системавстановлена.
2. 
   Забезпечення інформаційної безпеки потребує комплексного та цілісного підходу.
3. 
   Інформаційна безпекамає бути невід'ємною частиною системи управління у цій організації.
4. 
   Інформаційна безпека має бути економічно виправданою.
5. 
   Відповідальність за безпеку має бути чітко визначена.
6. 
   Безпека інформаційної системи має періодично переоцінюватися.
7. 
   Велике значення для безпеки інформаційної системи мають соціальні чинники, а також заходи адміністративної, організаційної та фізичної безпеки.

До цього часу немає точного визначення терміна " атака " (вторгнення, напад). Кожен фахівець у галузі безпеки трактує його по-своєму. Найбільш правильним і повним я вважаю таке визначення.

Атакоюна інформаційну систему називаються навмисні дії зловмисника, які використовують уразливості інформаційної системи та призводять до порушення доступності, цілісності та конфіденційності оброблюваної інформації.

Усунем уразливості інформаційної системи - усунем і можливість реалізації атак.

На сьогоднішній день вважається невідомим, скільки існує методів атак. Говорять про те, що досі відсутні будь-які серйозні математичні дослідження у цій галузі. Але ще 1996 року Фред Коен описав математичні основи вірусної технології. У цій роботі доведено, що кількість вірусів нескінченна. Очевидно, що і кількість атак нескінченна, оскільки віруси - це підмножина безлічі атак.

Моделі атак

Традиційна модель атакибудується за принципом (рис.1) чи (рис.2), тобто. атака виходить із одного джерела. Розробники мережевих засобів захисту (міжмережевих екранів, систем виявлення атак тощо) орієнтовані саме на традиційну модель атаки. У різних точках мережі, що захищається, встановлюються агенти (сенсори) системи захисту, які передають інформацію на центральну консоль управління. Це полегшує масштабування системи, забезпечує простоту віддаленого керування тощо. Однак така модель не справляється з відносно нещодавно (1998 року) виявленою загрозою - розподіленими атаками.
Малюнок 1. Відношення "один до одного"

У моделі розподіленої атаки застосовуються інші принципи. На відміну від традиційної моделі у розподіленій моделівикористовуються відносини (рис.3) та (рис.4).

Розподілені атаки засновані на "класичних" атаках типу "відмова в обслуговуванні", а точніше на їх підмножині, відомому як Flood-атакиабо Storm-атаки(Вказані терміни можна перекласти як "шторм", "повінь" або "лавина"). Сенс даних атак полягає в посиланні великої кількості пакетів на вузол, що атакується. Атакований вузол може вийти з ладу, оскільки він "захлинеться" в лавині пакетів, що посилаються, і не зможе обробляти запити авторизованих користувачів. За таким принципом працюють атаки SYN-Flood, Smurf, UDP Flood, Targa3 тощо. Однак у тому випадку, якщо пропускна здатність каналу до вузла, що атакується, перевищує пропускну здатність атакуючого або атакований вузол некоректно налаштований, то до "успіху" така атака не призведе. Наприклад, за допомогою цих атак марно намагатись порушити працездатність свого провайдера. Але розподілена атака відбувається вже не з однієї точки Internet, а відразу з декількох, що призводить до різкого зростання трафіку і виведення вузла, що атакується, з ладу. Наприклад, за даними Росії-Онлайн протягом двох діб, починаючи з 9 години ранку 28 грудня 2000 р. найбільший Internet-провайдер Вірменії "Армінко" зазнав розподіленої атаки. В даному випадку до атаки підключилися понад 50 машин з різних країн, які надсилали на адресу "Армінко" безглузді повідомлення. Хто організував цю атаку, і в якій країні був хакер - встановити було неможливо. Хоча атаку зазнав в основному "Армінко", перевантаженою виявилася вся магістраль, що з'єднує Вірменію із всесвітнім павутинням. 30 грудня завдяки співпраці "Армінко" та іншого провайдера - "АрменТел" - зв'язок був повністю відновлений. Незважаючи на це, комп'ютерна атака тривала, але з меншою інтенсивністю.

Етапи реалізації атак

Можна виділити такі етапи реалізації атаки:

Зазвичай, коли говорять про атаку, то мають на увазі саме другий етап, забуваючи про перший і останній. Збір інформації та завершення атаки ("замітання слідів") у свою чергу також можуть бути атакою і можуть бути поділені на три етапи (див. рис.5).
Рисунок 5. Етапи реалізації атаки

Збір інформації – це основний етап реалізації атаки. Саме на даному етапі ефективність роботи зловмисника є запорукою "успішності" атаки. Спочатку вибирається мета атаки та збирається інформація про неї (тип та версія операційної системи, відкриті порти та запущені мережеві сервіси, встановлене системне та прикладне програмне забезпечення та його конфігурація тощо). Потім ідентифікуються найбільш уразливі місця атакованої системи, вплив на які призводить до потрібного зловмисника результату. Зловмисник намагається виявити всі канали взаємодії мети атаки з іншими вузлами. Це дозволить не тільки вибрати тип атаки, що реалізується, але і джерело її реалізації. Наприклад, вузол, що атакується, взаємодіє з двома серверами під керуванням ОС Unix і Windows NT. З одним сервером атакований вузол має довірені стосунки, з іншим - ні. Від того, через який сервер зловмисник реалізовуватиме напад, залежить, яка атака буде задіяна, який засіб реалізації буде обраний і т.д. Потім, залежно від отриманої інформації та бажаного результату, вибирається атака, що дає найбільший ефект. Наприклад:
SYN Flood, Teardrop, UDP Bomb – для порушення функціонування вузла;
CGI-скрипт - для проникнення на вузол та крадіжки інформації;
PHF - для крадіжки файлу паролів та віддаленого підбору пароля тощо.

Традиційні засоби захисту, такі як міжмережні екрани або механізми фільтрації в маршрутизаторах, вступають у дію лише на другому етапі реалізації атаки, абсолютно "забуваючи" про перший і третій. Це призводить до того, що найчастіше атаку дуже важко зупинити навіть за наявності потужних і дорогих засобів захисту. Приклад тому – розподілені атаки. Логічно було, щоб засоби захисту починали працювати ще першому етапі, тобто. запобігали б можливості збору інформації про систему, що атакується. Це дозволило б якщо і не повністю запобігти атакі, то хоча б суттєво ускладнити роботу зловмисника. Традиційні кошти також не дозволяють виявити вже скоєні атаки та оцінити збитки після реалізації, тобто. не працюють третьому етапі реалізації атаки. Отже, неможливо визначити заходи щодо запобігання таким атакам надалі.

Залежно від бажаного результату порушник концентрується тому чи іншому етапі реалізації атаки. Наприклад:
для відмови в обслуговуванні докладно аналізується мережа, що атакується, в ній вишукуються лазівки і слабкі місця;
для розкрадання інформації основна увага приділяється непомітному проникненню на вузли, що атакуються, за допомогою виявлених раніше вразливостей.

Розглянемо основні механізми реалізації атак. Це потрібно розуміння методів виявлення цих атак. Крім того, розуміння принципів дій зловмисників – запорука успішної оборони мережі.

1. Збір інформації

Перший етап реалізації атак - це збір інформації про систему, що атакується або вузлі. Він включає такі дії як визначення мережевої топології, типу та версії операційної системи атакованого вузла, а також доступних мережевих та інших сервісів тощо. Ці дії реалізуються у різний спосіб.

Вивчення оточення

На цьому етапі нападник досліджує мережеве оточення навколо передбачуваної мети атаки. До таких областей, наприклад, відносяться вузли Internet-провайдера "жертви" або вузли віддаленого офісу компанії, що атакується. На цьому етапі зловмисник може намагатися визначити адреси "довірених" систем (наприклад, мережу партнера) та вузлів, які з'єднані з метою атаки (наприклад, маршрутизатор ISP) і т.д. Такі дії досить важко виявити, оскільки вони виконуються протягом досить тривалого періоду часу та зовні області, контрольованої засобами захисту (міжмережевими екранами, системами виявлення атак тощо).

Ідентифікація топології мережі

Існує два основних методи визначення топології мережі, які використовуються зловмисниками:

1. зміна TTL (TTL modulation),
2. запис маршруту (record route).

За першим методом працюють програми traceroute для Unix та tracert для Windows. Вони використовують поле Time to Live ("час життя") у заголовку IP-пакета, яке змінюється в залежності від кількості пройдених мережним пакетом маршрутизаторів. Для запису маршруту ICMP-пакета може бути використана утиліта ping. Найчастіше мережну топологію можна з'ясувати за допомогою протоколу SNMP, встановленого на багатьох мережних пристроях, захист яких неправильно налаштований. За допомогою протоколу RIP можна спробувати отримати інформацію про таблицю маршрутизації у мережі тощо.

Багато з цих методів використовуються сучасними системами керування (наприклад, HP OpenView, Cabletron SPECTRUM, MS Visio тощо) для побудови карток мережі. І ці ж методи можуть бути успішно застосовані зловмисниками для побудови карти атакованої мережі.

Ідентифікація вузлів

Ідентифікація вузла, зазвичай, здійснюється шляхом посилки з допомогою утиліти ping команди ECHO_REQUEST протоколу ICMP. Повідомлення ECHO_REPLY свідчить про те, що вузол доступний. Існують програми, що вільно розповсюджуються, які автоматизують і прискорюють процес паралельної ідентифікації великої кількості вузлів, наприклад, fping або nmap. Небезпека даного методув тому, що стандартні засоби вузла запити ECHO_REQUEST не фіксуються. Для цього необхідно застосовувати засоби аналізу трафіку, міжмережевих екранів або системи виявлення атак.

Це найпростіший метод ідентифікації вузлів. Однак він має два недоліки.

1. Багато мережеві пристроїі програми блокують ICMP-пакети та не пропускають їх у внутрішню мережу (або навпаки не пропускають їх назовні). Наприклад, MS Proxy Server 2.0 не дозволяє проходження пакетів за протоколом ICMP. Внаслідок цього виникає неповна картина. З іншого боку, блокування ICMP-пакету говорить зловмиснику про наявність "першої лінії оборони" - маршрутизаторів, міжмережевих екранів тощо.
2. Використання ICMP-запитів дозволяє з легкістю виявити їхнє джерело, що, зрозуміло, не може входити до завдання зловмисника.

Існує ще один метод ідентифікації вузлів – використання "змішаного" режиму мережевої картищо дозволяє визначити різні вузли в сегменті мережі. Але він застосовний у випадках, у яких трафік сегмента мережі недоступний нападнику зі свого вузла, тобто. цей метод застосовується лише у локальних мережах. Іншим способом ідентифікації сайтів є так звана розвідка DNS, яка дозволяє ідентифікувати вузли корпоративної мережі за допомогою звернення до сервера служби імен.

Ідентифікація сервісів або сканування портів

Ідентифікація сервісів, зазвичай, здійснюється шляхом виявлення відкритих портів (port scanning). Такі порти часто пов'язані з сервісами, заснованими на протоколах TCP чи UDP. Наприклад:

• відкритий 80-й порт має на увазі наявність Web-сервера,
• 25-й порт – поштового SMTP-сервера,
• 31337-й - серверної частини троянського коня BackOrifice,
• 12345 або 12346 - серверної частини троянського коня NetBus і т.д.

Для ідентифікації сервісів і сканування портів можна використовувати різні програми, зокрема. та вільно поширювані. Наприклад, nmap чи netcat.

Ідентифікація операційної системи

Основний механізм віддаленого визначення ОС - аналіз відповіді запити, враховують різні реалізації TCP/IP-стека у різних операційних системах. У кожній ОС по-своєму реалізовано стек протоколів TCP/IP, що дозволяє за допомогою спеціальних запитів та відповіді на них визначити, яка ОС встановлена ​​на віддаленому вузлі.

Інший, менш ефективний і вкрай обмежений спосіб ідентифікації ОС вузлів - аналіз мережевих сервісів, виявлених на попередньому етапі. Наприклад, відкритий 139-й порт дозволяє зробити висновок, що віддалений вузол, найімовірніше, працює під керуванням ОС сімейства Windows. Для визначення ОС можна використовувати різні програми. Наприклад, nmap чи queso.

Визначення ролі вузла

Передостаннім кроком на етапі збору інформації про вузлі, що атакується, є визначення його ролі, наприклад, виконання функцій міжмережевого екрану або Web-сервера. Виконується цей крок на основі вже зібраної інформації про активні сервіси, імена вузлів, топологію мережі тощо. Наприклад, відкритий 80-й порт може вказувати на наявність Web-сервера, блокування ICMP-пакету вказує на потенційну наявність міжмережевого екрану, а DNS-ім'я вузла proxy.domain.ru або fw.domain.ru говорить саме за себе.

Визначення вразливостей вузла

Останній крок – пошук уразливостей. На цьому кроці зловмисник за допомогою різних автоматизованих засобів або вручну визначає вразливість, яка може бути використана для реалізації атаки. Як такі автоматизовані засоби можуть бути використані ShadowSecurityScanner, nmap, Retina і т.д.

2. Реалізація атаки

З цього моменту починається спроба доступу до вузла, що атакується. У цьому доступ то, можливо безпосередній, тобто. проникнення на вузол, і опосередкований, наприклад, при реалізації атаки типу " відмова у обслуговуванні " . Реалізація атак у разі безпосереднього доступу також може бути поділена на два етапи:

• проникнення;
• встановлення контролю.

Проникнення

Проникнення передбачає подолання засобів захисту периметра (наприклад, міжмережевого екрану). Реалізуватись це може бути різними шляхами. Наприклад, використання вразливості сервісу комп'ютера, що "дивиться" назовні або шляхом передачі ворожого змісту електронною поштою (макровіруси) або через аплети Java. Такий зміст може використовувати так звані тунелі в міжмережевому екрані (не плутати з тунелями VPN), якими потім і проникає зловмисник. До цього етапу можна віднести підбір пароля адміністратора чи іншого користувача з допомогою спеціалізованої утиліти (наприклад, L0phtCrack чи Crack).

Встановлення контролю

Після проникнення зловмисник встановлює контроль над вузлом, що атакується. Це може бути здійснено за допомогою програми типу "троянський кінь" (наприклад, NetBus або BackOrifice). Після встановлення контролю над потрібним вузлом та "замітання" слідів, зловмисник може здійснювати всі необхідні несанкціоновані дії дистанційно без відома власника атакованого комп'ютера. При цьому встановлення контролю над вузлом корпоративної мережі має зберігатися після перезавантаження операційної системи. Це може бути реалізовано шляхом заміни одного із завантажувальних файлів або вставки посилання на ворожий код у файли автозавантаження або системний реєстр. Відомий випадок, коли зловмисник зміг перепрограмувати EEPROM мережевої карти і навіть після перевстановлення ОС він зміг повторно реалізувати несанкціоновані дії. Простішою модифікацією цього прикладу є впровадження необхідного коду або фрагмента в сценарій завантаження мережі (наприклад, для ОС Novell Netware).

Цілі реалізації атак

Етапом завершення атаки є "замітання слідів" із боку зловмисника. Зазвичай це реалізується шляхом видалення відповідних записів із журналів реєстрації вузла та інших дій, що повертають атаковану систему у вихідний, "передатакований" стан.

Класифікація атак

Існують різні типикласифікації атак. Наприклад, розподіл на пасивні та активні, зовнішні та внутрішні, навмисні та ненавмисні. Однак щоб не заплутати вас великою різноманітністю класифікацій, мало застосовними на практиці, пропоную більш "життєву" класифікацію:

1. Віддалене проникнення (remote penetration). Атаки, які дозволяють реалізувати віддалене управліннякомп'ютер через мережу. Наприклад, NetBus чи BackOrifice.
2. Локальне проникнення (local penetration). Атака, що призводить до отримання несанкціонованого доступу до сайту, на якому вона запущена. Наприклад, GetAdmin.
3. Віддалена відмова в обслуговуванні (remote denial of service). Атаки, що дозволяють порушити функціонування чи перевантажити комп'ютер через Internet. Наприклад, Teardrop чи trin00.
4. Локальна відмова в обслуговуванні (local denial of service). Атаки, які дають змогу порушити функціонування або перевантажити комп'ютер, на якому вони реалізуються. Прикладом такої атаки є "ворожий" аплет, який завантажує центральний процесор нескінченним циклом, що призводить до неможливості обробки запитів інших програм.
5. Мережеві сканери (network scanners). Програми, які аналізують топологію мережі та виявляють послуги, доступні для атаки. Наприклад, система nmap.
6. Сканери вразливостей (vulnerability scanners). Програми, які шукають уразливості на вузлах мережі та які можуть бути використані для реалізації атак. Наприклад, система SATAN або ShadowSecurityScanner.
7. Зломщики паролів (password crackers). Програми, що "підбирають" паролі користувачів. Наприклад, L0phtCrack для Windows чи Crack для Unix.
8. Аналізатори протоколів (sniffers). Програми, що "прослуховують" мережевий трафік. За допомогою цих програм можна автоматично шукати таку інформацію, як ідентифікатори та паролі користувачів, інформацію про кредитні картки тощо. Наприклад, Microsoft Network Monitor, NetXRay компанії Network Associates або LanExplorer.

Компанія Internet Security Systems, Inc. ще більше скоротила кількість можливих категорій, довівши їх до 5:

1. Збір інформації (Information Gathering).
2. Спроби несанкціонованого доступу (Unauthorized access attempts).
3. Відмова у обслуговуванні (Denial of service).
4. Підозрювальна активність (Suspicious activity).
5. Системні атаки (System Attack).

Перші 4 категорії відносяться до віддалених атак, а остання - до локальних, що реалізується на вузлі, що атакується. Можна помітити, що в цю класифікацію не потрапив цілий клас так званих пасивних атак (прослуховування трафіку, помилковий DNS-сервер, підміна ARP-сервера і т.п.).

Класифікація атак, реалізована у багатьох системах виявлення атак, може бути категоричной. Наприклад, атака, реалізація якої для ОС Unix (наприклад, переповнення буфера statd) може мати найгірші наслідки (найвищий пріоритет), для Windows NT може бути взагалі не застосовна або мати дуже низький ступінь ризику. Крім того, існує плутанина і в самих назвах атак і вразливостей. Одна і та ж атака, може мати різні назви у різних виробниківсистем виявлення атак

Однією з найкращих баз уразливостей та атак є база даних X-Force, що знаходиться за адресою: http://xforce.iss.net/. Доступ до неї може здійснюватися як шляхом підписки на список розсилки X-Force Alert, що вільно розповсюджується, так і шляхом інтерактивного пошуку в базі даних на Web-сервері компанії ISS.

Висновок

Якби не було вразливостей у компонентах інформаційних систем, не можна було б реалізувати багато атак і, отже, традиційні системи захисту цілком ефективно справлялися б з можливими атаками. Однак програми пишуться людьми, яким властиво робити помилки. Внаслідок чого і з'являються вразливості, які використовуються зловмисниками для атак. Однак це лише півбіди. Якби всі атаки будувалися за моделлю "один до одного", то з деякою натяжкою, але міжмережеві екрани та інші захисні системи змогли б протистояти їм. Але з'явилися скоординовані атаки, проти яких традиційні кошти вже не такі ефективні. І тут на сцені з'являються нові технології - технології виявлення атак. Наведена систематизація дані про атаки та етапи їх реалізації дає необхідний базис для розуміння технологій виявлення атак.

Засоби виявлення комп'ютерних атак

Технологія виявлення атак має вирішувати такі завдання:

• Розпізнавання відомих атак та попередження про них відповідного персоналу.
• "Розуміння" найчастіше незрозумілих джерел інформації про атаки.
• Звільнення або зниження навантаження на персонал, що відповідає за безпеку, від поточних рутинних операцій з контролю за користувачами, системами та мережами, які є компонентами корпоративної мережі.
• Можливість управління засобами захисту не-експертами у сфері безпеки.
• Контролює всі дії суб'єктів корпоративної мережі (користувачів, програм, процесів тощо).

Дуже часто системи виявлення атакможуть виконувати функції, що суттєво розширюють спектр їх застосування. Наприклад,

• Контролює ефективність міжмережевих екранів. Наприклад, встановлення системи виявлення атак після міжмережевого екрану(всередині корпоративної мережі) дозволяє виявити атаки, що пропускаються МСЕ і, тим самим, визначити правила, що бракують, на міжмережевому екрані.
• Контролює вузли мережі з невстановленими оновленнями або вузли із застарілим програмним забезпеченням.
• Блокування та контроль доступу до певних вузлів Internet. Хоча системам виявлення атак далеко до міжмережевих екранів та систем контролю доступу до різних URL, наприклад, WEBsweeper, вони можуть виконувати частковий контроль та блокування доступу деяких користувачів корпоративної мережі до окремих ресурсів Internet, наприклад, до Web-серверів порнографічного змісту. Це буває необхідно тоді, коли в організації немає грошей на придбання і міжмережевого екрану та системи виявлення атак, і функції МСЕ розносяться між системою виявлення атак, маршрутизатором та proxy-сервером. Крім того, системи виявлення атак можуть контролювати доступ співробітників до серверів на основі ключових слів. Наприклад, sex, job, crack тощо.
• Контроль електронної пошти. Системи виявлення атак можуть використовуватися для контролю неблагонадійних співробітників, які використовують електронну поштудля виконання завдань, що не входять до їх функціональних обов'язків, наприклад, розсилання резюме. Деякі системи можуть виявляти віруси в поштових повідомленнях і, хоча до справжніх антивірусних систем їм далеко, вони все ж таки виконують це завдання досить ефективно.

Найкраще використання часу та досвіду фахівців у галузі інформаційної безпеки полягає у виявленні та усуненні причин реалізації атак, скоріше ніж у виявленні самих атак. Усунувши причини виникнення атак, тобто. виявивши та усунувши вразливості, адміністратор тим самим усуває і сам факт потенційної реалізації атак. Інакше атака повторюватиметься щоразу, постійно вимагаючи зусиль і уваги адміністратора.

Класифікація систем виявлення атак

Існує велика кількість різних класифікацій систем виявлення атак, проте найпоширенішою є класифікація за принципом реалізації:

1. host-based, тобто виявляють атаки, спрямовані на конкретний вузол мережі,
2. network-based, тобто виявляють атаки, спрямовані всю мережу чи сегмент мережі.

Системи виявлення атак, що контролюють окремий комп'ютер, як правило, збирають та аналізують інформацію з журналів реєстрації операційної системи та різних додатків(Web-сервер, СУБД тощо). За таким принципом працює RealSecure OS Sensor. Однак останнім часом почали набувати поширення системи, тісно інтегровані з ядром ОС, тим самим, надаючи ефективніший спосіб виявлення порушень політики безпеки. Причому така інтеграція може бути реалізована подвійно. По-перше, можуть контролюватись всі системні виклики ОС (так працює Entercept) або весь вхідний/вихідний мережевий трафік (так працює RealSecure Server Sensor). В останньому випадку система виявлення атак захоплює весь мережевий трафік безпосередньо з мережевої карти, минаючи операційну систему, що дозволяє зменшити залежність від неї і тим самим підвищити захищеність системи виявлення атак.

Системи виявлення атак рівня мережізбирають інформацію із самої мережі, тобто із мережевого трафіку. Ці системи можуть виконуватися на звичайних комп'ютерах (наприклад, RealSecure Network Sensor), на спеціалізованих комп'ютерах (наприклад, RealSecure for Nokia або Cisco Secure IDS 4210 та 4230) або інтегровані в маршрутизатори або комутатори (наприклад, CiscoSecure IOS Integrated Software або Cisco Catalyst 6000 Module). У перших двох випадках аналізована інформація збирається за допомогою захоплення та аналізу пакетів, використовуючи мережеві інтерфейси у безладному (promiscuous) режимі. У разі захоплення трафіку здійснюється з шини мережного устаткування.

Виявлення атак вимагає виконання однієї з двох умов - або розуміння очікуваної поведінки контрольованого об'єкта системи або знання всіх можливих атак та їх модифікацій. У першому випадку використовується технологія виявлення аномальної поведінки, а в другому - технологія виявлення зловмисної поведінки або зловживань. Друга технологія полягає в описі атаки у вигляді шаблону або сигнатури та пошуку даного шаблону в контрольованому просторі (наприклад, мережевий трафік або журнал реєстрації). Ця технологія дуже схожа виявлення вірусів (антивірусні системи є яскравим прикладом системи виявлення атак), тобто. система може виявити всі відомі атаки, але мало пристосована виявлення нових, ще невідомих, атак. Підхід, реалізований у таких системах, дуже простий і саме на ньому засновані практично всі запропоновані сьогодні на ринку системи виявлення атак.

Практично всі системи виявлення атак ґрунтуються на сигнатурному підході.

Переваги систем виявлення атак

Можна довго перераховувати різні переваги систем виявлення атак, що функціонують на рівні вузла та мережі. Однак я зупинюся лише на кількох із них.

Комутація дозволяє керувати великомасштабними мережами як кількома невеликими мережевими сегментами. В результаті буває важко визначити найкраще місце для встановлення системи, яка виявляє атаки в мережевому трафіку. Іноді можуть допомогти спеціальні порти на комутаторах, але не завжди. Виявлення атак на рівні конкретного вузла забезпечує більш ефективну роботу в мережах, що комутуються, так як дозволяє розмістити системи виявлення тільки на тих вузлах, на яких це необхідно.

Системи мережного рівня не вимагають, щоб кожному хості встановлювалося програмне забезпечення системи виявлення атак. Оскільки для контролю всієї мережі кількість місць, в яких встановлені IDS невелика, вартість їх експлуатації в мережі підприємства нижче, ніж вартість експлуатації систем виявлення атак на системному рівні. Крім того, для контролю мережевого сегмента необхідний лише один сенсор, незалежно від числа вузлів у даному сегменті.

Мережевий пакет, який пішов з комп'ютера зловмисника, вже не може бути повернуто назад. Системи, що функціонують на мережному рівні, використовують "живий" трафік при виявленні атак у реальному масштабі часу. Таким чином, зловмисник не може видалити слідів своєї несанкціонованої діяльності. Аналізовані дані включають не тільки інформацію про метод атаки, але й інформацію, яка може допомогти при ідентифікації зловмисника та доказі в суді. Оскільки багато хакерів добре знайомі з механізмами системної реєстрації, вони знають, як маніпулювати цими файлами для приховання слідів своєї діяльності, знижуючи ефективність систем системного рівня, яким потрібна ця інформація для того, щоб виявити атаку.

Системи, що функціонують на рівні мережі, виявляють підозрілі події та атаки в міру того, як вони відбуваються, і тому забезпечують набагато швидше повідомлення та реагування, ніж системи, що аналізують журнали реєстрації. Наприклад, хакер, який ініціює мережеву атаку типу "відмова в обслуговуванні" на основі протоколу TCP, може бути зупинений системою виявлення атак мережного рівня, що посилає TCP-пакет із встановленим прапором Reset в заголовку для завершення з'єднання з атакуючим вузлом, перш ніж атака викличе руйнування або пошкодження вузла, що атакується. Системи аналізу журналів реєстрації не розпізнають атаки до моменту відповідного запису в журнал і роблять дії у відповідь вже після того, як було зроблено запис. До цього моменту найбільш важливі системи або ресурси можуть бути скомпрометовані або порушена працездатність системи, що запускає систему виявлення атак на рівні вузла. Повідомлення у реальному масштабі часу дозволяє швидко зреагувати відповідно до попередньо визначених параметрів. Діапазон цих реакцій змінюється від дозволу проникнення в режимі спостереження для того, щоб зібрати інформацію про атаку та атакуючого, до негайного завершення атаки.

І, нарешті, системи виявлення атак, що функціонують на мережному рівні, не залежать від операційних систем, встановлених у корпоративній мережі, оскільки вони оперують мережевим трафіком, яким обмінюються всі вузли корпоративної мережі. Системі виявлення атак все одно, яка ОС згенерувала той чи інший пакет, якщо він у відповідність до стандартів, що підтримуються системою виявлення. Наприклад, у мережі можуть працювати ОС Windows 98, Windows NT, Windows 2000 і XP, Netware, Linux, MacOS, Solaris і т.д., але якщо вони спілкуються між собою за протоколом IP, то будь-яка із систем виявлення атак, що підтримує цей протокол зможе виявляти атаки, спрямовані на ці ОС.

Спільне застосування систем виявлення атак на рівні мережі та рівні вузла підвищить захищеність вашої мережі.

Мережеві системи виявлення атак та міжмережеві екрани

Найбільш часто мережеві системиВиявлення атак намагаються замінити міжмережевими екранами, сподіваючись, що останні забезпечують дуже високий рівень захищеності. Однак не варто забувати, що міжмережеві екрани - це просто системи, що базуються на правилах, які дозволяють або забороняють проходження трафіку через них. Навіть міжмережові екрани, побудовані за технологією "", не дозволяють з упевненістю сказати, чи є атака в контрольованому ними трафіку чи ні. Вони можуть сказати, чи відповідає трафік правилу чи ні. Наприклад, МСЕ налаштований так, щоб блокувати всі з'єднання крім TCP-з'єднань на 80 порту (тобто HTTP-трафік). Таким чином, будь-який трафік через 80-й порт є законним з точки зору МСЕ. З іншого боку, система виявлення атак також контролює трафік, але шукає у ньому ознаки атаки. Її мало турбує, для якого порту призначено трафік. За замовчуванням весь трафік системи виявлення атак підозрілий. Тобто, незважаючи на те, що система виявлення атак працює з тим самим джерелом даних, що і МСЕ, тобто з мережевим трафіком, вони виконують функції, що доповнюють один одного. Наприклад, HTTP-запит "GET /../../../etc/passwd HTTP/1.0". Практично будь-який МСЕ дозволяє проходження даного запитучерез себе. Однак система виявлення атак легко виявить цю атаку та блокує її.

Можна провести таку аналогію. Міжмережевий екран - це звичайний турнікет, який встановлюється на головному вході до вашої мережі. Але крім головних дверей існують інші двері, а також вікна. Маскуючись під реального співробітника або увійшовши в довіру до охоронця на турнікеті, зловмисник може пронести крізь турнікет вибуховий пристрій чи пістолет. Мало того. Зловмисник може залізти до вас через вікно. Саме тому і потрібні системи виявлення атак, які посилюють захист, що забезпечує міжмережевими екранами, які є нехай і необхідним, але недостатнім елементом мережевої безпеки.

Міжмережевий екран- Не панацея!

Варіанти реакцій на виявлену атаку

Мало виявити атаку - необхідно на неї відповідним чином відреагувати. Саме варіанти реагування багато в чому визначають ефективність системи виявлення атак. На сьогоднішній день пропонуються такі варіанти реагування:

• Повідомлення на консоль (включаючи резервну) системи виявлення атак або консоль інтегрованої системи (наприклад, міжмережевого екрану).
• Звукове сповіщення про атаку.
• Генерація послідовностей, що управляють SNMP для систем мережевого управління.
• Генерація повідомлення про атаку електронною поштою.
• Додаткові повідомлення на пейджер або факс. Дуже цікава, хоч і рідко застосовувана можливість. Оповіщення про виявлення несанкціонованої діяльності надсилається не адміністратору, а зловмиснику. На думку прихильників цього варіанта реагування, порушник, дізнавшись, що його виявили, змушений припинити свої дії.
• Обов'язкова реєстрація подій, що виявляються. Як журнал реєстрації можуть виступати:
  • текстовий файл,
  • системний журнал (наприклад, у системі Cisco Secure Integrated Software),
  • текстовий файл спеціального формату (наприклад, у системі Snort),
  • локальна база даних MS Access,
  • SQL база даних (наприклад, в системі RealSecure).
  Треба лише враховувати, що обсяги інформації, що реєструється, вимагають, як правило, SQL-базу - MS SQL або Oracle.
• Трасування подій (event trace), тобто. запис їх у тій послідовності та з тією швидкістю, з якими їх реалізовував зловмисник. Потім адміністратор у будь-яке заданий часможе прокрутити (replay чи playback) необхідну послідовність подій із заданою швидкістю (у реальному режимі часу, з прискоренням чи уповільненням), щоб проаналізувати діяльність зловмисника. Це дозволить зрозуміти його кваліфікацію, засоби атаки і т.д.
• Переривання дій атакуючого, тобто. завершення з'єднання. Це можна зробити як:
  • перехоплення з'єднання (session hijacking) та посилка пакета із встановленим прапором RST обом учасникам мережного з'єднаннявід імені кожного з них (у системі виявлення атак, що функціонує на рівні мережі);
  • блокування облікового запису користувача, що здійснює атаку (у системі виявлення атак лише на рівні вузла). Таке блокування може бути здійснене або на заданий проміжок часу, або доти, доки обліковий запис не буде розблокований адміністратором. Залежно від привілеїв, з якими запущено систему виявлення атак, блокування може діяти як у межах самого комп'ютера, на який спрямована атака, так і в межах усього домену мережі.
• Реконфігурація мережного обладнання чи міжмережевих екранів. У разі виявлення атаки на маршрутизатор або міжмережевий екран надсилається команда змінити список контролю доступу. Згодом усі спроби з'єднання з атакуючого вузла відкидатимуться. Як і блокування облікового запису зловмисника, зміна списку контролю доступу може бути здійснена або на заданий інтервал часу або до того моменту, як зміна буде скасована адміністратором мережного обладнання, що реконфігурується.
• Блокування мережного трафіку так, як це реалізовано у міжмережевих екранах. Цей варіант дозволяє обмежити трафік, а також адресатів, які можуть отримати доступ до ресурсів комп'ютера, що захищається, дозволяючи виконувати функції доступні в персональних міжмережевих екранах.