Príklad konfigurácií funkcií anti-DOS. Klasifikácia sieťových útokov

06/20/05 37.3k.

Internet úplne zmení náš životný štýl: práca, štúdium, voľný čas. Tieto zmeny sa vyskytnú v oblastiach, ktoré nám už známe (e-commerce, prístup k informáciám o reálnom čase, rozšírenie komunikačných schopností atď.) A v tých oblastiach, ktoré nemáme potuchy.

Môže sa vyskytnúť v takom čase, keď spoločnosť vyrába všetky svoje telefónne hovory cez internet a úplne zadarmo. V súkromí je možný vzhľad špeciálnych webových stránok, s ktorými sa rodičia budú môcť učiť kedykoľvek ako svoje deti. Naša spoločnosť sa len začína byť vedomí neobmedzených možností internetu.

Úvod

Súčasne s kolosálnym zvýšením popularity internetu, existuje bezprecedentný nebezpečenstvo zverejnenia osobných údajov, kritických firemných zdrojov, štátnych tajomstiev atď.

Každý deň sú hackeri ohrozené týmito zdrojmi, ktorí sa s nimi snažia pristupovať k nim so špeciálnymi útokmi, ktoré sa postupne stanú na jednej strane sofistikovanejšie a na druhej strane, jednoduché. To uľahčuje dva hlavné faktory.

Po prvé, je to rozšírená penetrácia internetu. Dnes sú milióny zariadení pripojené k sieti a mnoho miliónov zariadení bude pripojených k internetu v blízkej budúcnosti, takže možnosť hackerového prístupu k zraniteľným zariadeniam sa neustále zvyšuje.

Okrem toho, rozšírený internet umožňuje hackerom vymieňať si informácie v celosvetovom meradle. Jednoduché vyhľadávanie podľa kľúčových slov, ako je "hacker", "hacking", "hack", "crack" alebo "phreak" vám dá tisíce lokalít, na mnohých, z ktorých môžete nájsť škodlivé kódy a spôsoby ich použiť.

Po druhé, je to najširšia distribúcia ľahko použiteľných operačných systémov a rozvojových prostredí. Tento faktor ostro znižuje úroveň vedomostí o vedomostiach a zručnostiach. Predtým, ak chcete vytvoriť a distribuovať ľahko použiteľné aplikácie, mal mať hacker dobré programovacie zručnosti.

Teraz, aby ste mali prístup k hackerovi nástroj, stačí poznať IP adresu požadovaného miesta a vykonávať útok jednoducho kliknite myšou.

Klasifikácia sieťových útokov

Sieťové útoky sú rovnako rôznorodé ako systémy, proti ktorým sú nasmerované. Niektoré útoky majú veľké ťažkosti, ostatné sily obvyklým prevádzkovateľom, ani neoddeliteľnou súčasťou toho, ktoré dôsledky môžu viesť svoje činnosti. Ak chcete vyhodnotiť typy útokov, musíte spoznať niektoré obmedzenia, pôvodne obsiahnuté v protokole TPC / IP. Čistý

Internet bol vytvorený na komunikáciu medzi vládnymi agentúrami a univerzitami s cieľom pomôcť vzdelávaciemu procesu a vedeckému výskumu. Tvorcovia tejto siete neboli podozrení, ako sa rozšírila. V dôsledku toho v špecifikáciách včasných verzií internetového protokolu (IP) neboli žiadne bezpečnostné požiadavky. Preto sú mnohé implementácie OP pôvodne zraniteľné.

Po mnohých rokoch, po rôznych sťažnostiach (žiadosť o pripomienky, RFC), bola bezpečnosť pre IP konečne realizovať. Vzhľadom na skutočnosť, že spočiatku nebolo vypracované prostriedky ochrany IP protokolu, všetky jej implementácie sa začali dopĺňať rôzne sieťové postupy, služby a výrobky, ktoré znižujú riziká spojené s týmto protokolom. Ďalej budeme stručne zvážiť typy útokov, ktoré sa zvyčajne uplatňujú proti IP sieťam a prenos spôsobov, ako ich bojovať.

Sniffer packas

SNIFFER balíčky je aplikačný program, ktorý používa sieťovú kartu pracujúcu v režime promiskuitného režimu (v tomto režime, všetky pakety získané fyzikálnymi kanálmi, sieťový adaptér posiela aplikáciu na spracovanie).

Zároveň sniffer zachytáva všetky sieťové pakety, ktoré sa prenášajú cez určitú doménu. V súčasnosti pracujú v sieťach na úplne legitímne. Používajú sa na diagnostikovanie porúch a analyzovanie prevádzky. Avšak vzhľadom na to, že niektoré sieťové aplikácie prenášajú údaje do formát textu ( Telnet, FTP, SMTP, POP3, atď., S pomocou snifferu môžete učiť užitočné a niekedy dôverné informácie (napríklad používateľské mená a heslá).

Zachytenie mien a hesiel vytvára väčšie nebezpečenstvo, pretože používatelia často používajú rovnaké užívateľské meno a heslo pre rôzne aplikácie a systémy. Mnohí používatelia majú vo všeobecnosti jedno heslo na prístup ku všetkým zdrojom a aplikáciám.

Ak aplikácia funguje v režime klienta-server a autentifikačné údaje sa prenášajú cez sieť v textovom textovom formáte, tieto informácie môžu byť použité s vysokou pravdepodobnosťou na prístup k ostatným firemným alebo externým zdrojom. Hackeri tiež dobre poznajú a používajú ľudské slabiny (metódy útoku sú často založené na metódach sociálneho inžinierstva).

Dokonale si predstavujú, že používame rovnaké heslo na prístup k množstvu zdrojov, a preto sa často podarí rozpoznať naše heslo, prístup k dôležitým informáciám. V najhoršom prípade hacker dostane prístup k užívateľskému zdroju na úrovni systému a s tým vytvára nového používateľa, ktorý môže byť použitý kedykoľvek na prístup k sieti a jeho zdrojov.

Znížte hrozbu balení s čuchaním pomocou nasledujúcich prostriedkov:

Overenie. Silné autentifikačné nástroje sú základným spôsobom, ako chrániť pred sniffingovými balíkmi. Pod "silným" chápeme takéto autentifikačné metódy, ktoré sa ťažko dostanú. Príkladom takejto autentifikácie je jednorazové heslá (jednorazové heslá, OTP).

ONP je dvojfaktorová autentizácia technológia, v ktorej je kombinácia toho, čo máte, s tým, čo viete, sú. Typickým príkladom dvojfaktorovej autentifikácie je prevádzka pravidelného bankomatu, ktorý vás identifikuje, po prvé, na vašej plastovej karte, a po druhé, podľa vstupu PIN vstúpiť. Pre autentifikáciu v systéme sú tiež potrebné PIN kód a vaša osobná karta.

Pod "kartou" (token) znamená hardvér alebo softvér, ktorý generuje (náhodným princípom) je jedinečné jednorazové heslo. Ak hacker nájde toto heslo pomocou sniffer, potom tieto informácie budú zbytočné, pretože v tomto bode sa heslo už používa a odstránené.

Treba poznamenať, že táto metóda boja s čuchaním je účinná len v prípadoch zachytávania hesla. SniFifiers, zachytenie ďalších informácií (napríklad e-mailové správy), nestratia jeho účinnosť.

Prepínaná infraštruktúra. Ďalším spôsobom, ako bojovať proti Sniffing balíčky vo vašom sieťovom prostredí, je vytvoriť prepínanú infraštruktúru. Ak napríklad v celej organizácii používa prepínaný Ethernet, hackeri môžu pristupovať k prevádzke zadaniu prístavu, ku ktorému sú pripojené. Prepínaná infraštruktúra neodstráni hrozby čuchania, ale výrazne znižuje jeho ostrosť.

Antisiffers. Tretím spôsobe, ako bojovať proti Sniffingu, je inštalácia hardvéru alebo softvéru, ktorý rozpoznáva Sniffers pracujúci vo vašej sieti. Tieto prostriedky nemôžu úplne odstrániť hrozbu, ale ako mnoho ďalších nástrojov zabezpečenia siete sú zahrnuté do celkového systému ochrany. Antisifters merajú čas odozvy hostiteľov a určí, či hostitelia musia zvládnuť ďalšiu prevádzku. Jedným z týchto prostriedkov poskytnutých Lopt Heavy Industries sa nazýva Antisniff.

Kryptografia. Tento najefektívnejší spôsob, ako bojovať proti baleniam, hoci nebráni odpočúvaniu a neuznáva prácu snifferov, ale robí túto prácu zbytočné. Ak je komunikačný kanál kryptograficky chránený, hacker nezachytí správu, ale šifrovaný text (to znamená nekompekviteľnú sekvenciu bitov). Cisco Cryptografia na úrovni siete je založená na protokole IPSec, ktorý je štandardnou chránenou komunikačnou metódou medzi zariadeniami pomocou IP protokolu. Iné protokoly riadenia kryptografických sietí zahŕňajú SSH (Secure Shell) a SSL (Secure Socket Layer).

Ip spoofing

IP spoofing sa vyskytuje, keď hacker, ktorý sa nachádza vo vnútri spoločnosti alebo mimo nej, sa dostane do sankcionovaného používateľa. To možno vykonať dvoma spôsobmi: hacker môže použiť alebo adresa IP umiestnenú v rozsahu autorizovaných IP adries, alebo autorizovaná externá adresa, ktorá je povolená na prístup k špecifickým sieťovým zdrojom.

Útoky na rušenie IP sú často východiskovým bodom pre iné útoky. Klasickým príkladom je DOS ATTACK, ktorý začína s adresou niekoho iného, \u200b\u200bktorý skrýva skutočnú identitu hackeru.

Spravidla IP je spravidla obmedzená na vkladanie falošných informácií alebo škodlivých príkazov k normálnemu dátovému toku prenášanému medzi aplikáciou klienta a servera alebo prostredníctvom komunikačného kanála medzi peerovými zariadeniami.

Pre obojsmernú komunikáciu musí hacker zmeniť všetky smerovacie tabuľky na odosielanie návštevnosti na falošnú adresu IP. Niektorí hackeri sa však ani snažia získať odpoveď z aplikácií - ak je hlavnou úlohou získať zo systému dôležitého súboru, potom prihlášky nezáleží.

Ak sa HAKWAR spravuje zmeniť smerovacie tabuľky a pošlete prevádzku na falošnú adresu IP, dostane všetky balíky a môže na ne reagovať, ako keby bol sankcionovaný užívateľ.

Spagling je možné uvoľniť (ale nie odstrániť) pomocou nasledujúcich opatrení:

• Riadenie prístupu. Najjednoduchší spôsob, ako zabrániť IP spoofingu, je správne konfigurovať kontrolu prístupu. Aby sa znížila účinnosť spoofingu IP, konfigurácia kontroly prístupu na odrezanie akejkoľvek prevádzky pochádzajúcej z externej siete so zdrojovou adresou, ktorá by mala byť umiestnená vo vašej sieti.

  TRUE, pomáha bojovať proti IP spoofingu, keď sú povolené iba interné adresy; Ak sú povolené niektoré adresy externej siete, táto metóda sa stáva neúčinným;

• Filtrovanie RFC 2827. Môžete sa zastaviť pokusom o pokaziť používateľov siete iných ľudí vašej siete (a stať sa dobrým občanom siete). Aby ste to urobili, je potrebné rebelovať akúkoľvek odchádzajúcu dopravu, ktorej zdrojová adresa nie je jednou z IP adries vašej organizácie.

  Tento typ filtrovania, známy ako RFC 2827, môže tiež vykonať váš poskytovateľ (ISP). V dôsledku toho sa zvolá všetka prevádzka, ktorá nemá zdrojovú adresu očakávanú na konkrétnom rozhraní. Napríklad, ak ISP poskytuje pripojenie k IP adresu 15.1.1.0/24, môže nakonfigurovať filter tak, aby bol z adresy 15.1.1.0/24 povolený iba premávka z tohto rozhrania k smerovaču ISP.

Všimnite si, že pokiaľ všetci poskytovatelia nezavádzajú tento typ filtrovania, jeho účinnosť bude oveľa nižšia ako je to možné. Okrem toho, ďalej z filtrovaných zariadení, tým ťažšie je vykonať presné filtrovanie. Napríklad filtrovanie RFC 2827 na úrovni prístupového smerovača vyžaduje prechod všetkej návštevnosti z hlavnej siete (10.0.0.0 / 8), zatiaľ čo na úrovni distribúcie (v tejto architektúre) môžete obmedziť prevádzku viac presne (adresa - 10.1.5.0/24).

Najefektívnejšia metóda boja protipoofing IP je rovnaká ako v prípade balení čuchania: je potrebné, aby bol útok úplne neúčinný. IP spoofing môže fungovať len pod podmienkou, že autentifikácia sa vyskytuje na základe IP adries.

Zavedenie dodatočných autentifikačných metód preto takéto útoky zbytočné. Najlepší druh dodatočnej autentifikácie je kryptografický. Ak to nie je možné, dve-faktorové autentifikácie môže poskytnúť dobré výsledky pomocou jednorazových hesiel.

Nevykonávanie

Odmietnutie služby (DOS), bezpochyby, je najznámejšou formou hackerových útokov. Okrem toho, proti útokom sú ťažšie vytvoriť sto percent ochrany. Medzi hackermi sú DOS útoky považované za detskú zábavu a ich použitie spôsobuje opovrhujúce úsmevy, pretože organizácia DOS vyžaduje minimálne vedomostí a zručností.

Je však jednoduchosť implementácie a obrovská škála škody spôsobená, že DOS užšia pozornosť správcom zodpovedným za bezpečnosť siete. Ak sa chcete dozvedieť viac o DOS útokoch, mali by ste zvážiť ich najznámejšie odrody, a to:

• Tcp syn povodne;
• Ping smrti;
• Tribe Povodňová sieť (TFN) a Tribe Povodňová sieť 2000 (TFN2K);
• Trinco;
• Stacheldracht;
• Trojica.

Vynikajúcim zdrojom informácií o bezpečnostných informáciách je tím pre núdzové odozvy pre počítačové problémy (počítačová núdzová reakcia tímu CERT), publikovaná vynikajúca práca na boj proti útokom na DOS.

DOS útoky sa líšia od útokov iných typov. Nie sú zamerané na získanie prístupu k vašej sieti, žiadne informácie z tejto siete, ale útok DOS robí vašu sieť neprístupnú pre bežné použitie prekročením prípustných limitov siete operačného systému alebo aplikácie.

V prípade použitia niektorých aplikácií servera (napríklad webový server alebo FTP server), DOS útoky môžu byť obsadené všetky pripojenia dostupné pre tieto aplikácie, a udržiavať ich v rušnom stave, ktorý neumožňuje prevádzkovať bežným používateľom. Počas DOS útokov, bežné internetové protokoly, ako je TCP a ICMP ( Protokol o riadení internetovej kontroly).

Väčšina útokov DOS nie je určená pre chyby softvéru alebo chyby v bezpečnostnom systéme, ale na spoločných nedostatkoch systémovej architektúry. Niektoré útoky sú znížené na výkon nulovej siete, ohromujúci ho s neželanými a zbytočnými baliarmi alebo informovaním nepravdivých informácií o aktuálnom stave sieťových zdrojov.

Tento typ útoku je ťažké zabrániť, pretože to vyžaduje koordináciu s poskytovateľom. Ak nezastavíte prevádzku od poskytovateľa, určený na pretečenie siete, už to nemôžete urobiť pri vstupe do siete, pretože celá šírka pásma bude zaneprázdnená. Keď sa útok tohto typu vykonáva súčasne prostredníctvom mnohých zariadení, hovoríme o DOS distribuované útoku (discibuted DOS, DDO).

Hrozba útokov typu DOS možno znížiť tromi spôsobmi:

• AntisPofing funkcie. Správna konfigurácia funkcií proti spoofingu na vašich smerovačoch a firewallách pomôže znížiť riziko DOS. Tieto funkcie by mali obsahovať aspoň filtrovanie RFC 2827. Ak hacker nemôže zamaskovať svoju skutočnú osobnosť, je nepravdepodobné, že sa rozhodne zadržať útok.
• Anti-DOS funkcie. Správna konfigurácia funkcií anti-DOS na smerovačoch a firewallách môže obmedziť účinnosť útokov. Tieto funkcie často obmedzujú počet polopriehľadných kanálov kedykoľvek.
• Obmedzenie rýchlosti (obmedzenie rýchlosti). Organizácia môže požiadať poskytovateľa (ISP), aby obmedzil objem premávky. Tento typ filtrovania vám umožňuje obmedziť množstvo nekritickej dopravy prechádzajúcej v sieti. Typickým príkladom je limit premávky ICMP, ktorý sa používa len na diagnostické účely. DOS útoky (D) často používajú ICMP.

Útoky na heslo

Hackeri môžu vykonávať hesla útoky pomocou radu metód, ako je brutálny útok, trójsky kôň, ip spoofing a sniffing balíčky. Hoci prihlasovacie a heslo môžu byť často získané pomocou iP spoofing a sniffing balíčky, hackeri sa často snažia zvoliť heslo a prihlásiť sa pomocou mnohých pokusov o prístup. Tento prístup je názov jednoduchého busta (útok Brute Force).

Na takýto útok sa často používa špeciálny program, ktorý sa pokúša o prístup k verejným zdrojom (napríklad na server). Ak je v dôsledku HAKRA, prístup k zdrojom je k dispozícii, prijíma ho ako bežného používateľa, ktorého heslo bolo vybrané.

Ak má tento užívateľ významné prístupové práva, hacker môže vytvoriť "pass" pre budúci prístup, ktorý bude konať, aj keď užívateľ zmení svoje heslo a prihlásenie.

Ďalším problémom sa vyskytuje, keď používatelia používajú rovnaké (dokonca aj veľmi dobré) heslo na prístup k mnohým systémom: na firemné, osobné a internetové systémy. Keďže stabilita hesla sa rovná stabilite najzaujímavejšieho hostiteľa, potom hacker, ktorý sa naučil heslo prostredníctvom tohto hostiteľa, dostáva prístup k všetkým ostatným systémom, kde sa používa rovnaké heslo.

Je možné vyhnúť sa útokom heslom, ak nepoužívate heslá v textovom formulári. Jednorazové heslá a / alebo kryptografické autentifikácie môžu prakticky znížiť hrozbu takýchto útokov. Bohužiaľ, nie všetky aplikácie, hostitelia a zariadenia podporujú vyššie uvedené autentifikačné metódy.

Pri používaní obyčajných hesiel sa pokúste prísť s takým, že by bolo ťažké vyzdvihnúť. Minimálna dĺžka hesla by mala byť najmenej osem znakov. Heslo musí obsahovať najvyššie registračné symboly, čísla a špeciálne znaky (#,%, $ atď.).

Najlepšie heslá sú ťažké vyzdvihnúť a ťažko zapamätať si, že núti používateľov, aby ich nahrali na papieri. Aby ste sa vyhli tomu, používatelia a administrátori môžu použiť niekoľko nedávnych technologických pokrokov.

Existujú napríklad aplikačné programy šifrovanie zoznamu hesiel, ktorý je možné uložiť vo vreckovom počítači. V dôsledku toho je potrebné, aby si užívateľ pamätal len jedno ťažké heslo, zatiaľ čo všetci ostatní budú chrániť žiadosťou.

Pre správcu existuje niekoľko metód boja proti výberu hesla. Jedným z nich je použitie nástroja L0PHTCrack, ktorý často používa hackeri na výber hesiel v systéme Windows NT. Tento nástroj vám rýchlo zobrazí, či je ľahké zvoliť heslo vybraté užívateľom. Ďalšie informácie možno získať na adrese http://www.l0phtcrack.com/.

Útoky v strednom prostredí

Aby ste zaútočili na muža-in-the-stredného typu, Hakwar potrebujú prístup k paketom prenášaným cez sieť. Takýto prístup ku všetkým balíkom prenášaným z poskytovateľa do akejkoľvek inej siete môže napríklad získať zamestnanca tohto poskytovateľa. Pre útoky tohto typu sa často používajú balíky sniffers, prepravné protokoly a smerovacie protokoly.

Útoky sú držané na krádež informácií, odpočúvanie aktuálneho zasadnutia a získať prístup k zdrojom súkromnej siete, analyzovať prevádzku a získať informácie o sieti a jej užívateľov, aby vykonali útoky DOS, narušenie prenášaných údajov a zadali neoprávnené informácie do siete relácie.

Je možné efektívne riešiť s man-in-the-stredným útokom len s kryptografiou. Ak hacker zachytáva údaje šifrovanej relácie, nebude zachytená na obrazovke a nezmyselný súbor znakov. Všimnite si, že ak hacker dostane informácie o kryptografickom relácii (napríklad kľúč relácie), potom to môže urobiť možný človek-in-the-stredný útok aj v šifrovanom médiu.

Útoky na úrovni aplikácie

Útoky na úrovni aplikácií sa môžu vykonávať niekoľkými spôsobmi. Najbežnejší je použitie známych slabých stránok serverového softvéru (sendmail, http, ftp). Pomocou týchto slabých stránok môžu hackeri pristupovať k počítaču v mene používateľa so aplikáciou (zvyčajne to nie je jednoduchý užívateľ, ale privilegovaný administrátor s prístupovými právami systému).

Informácie o útokoch na úrovni aplikácie sú široko publikované tak, aby poskytovali správcom možnosť opraviť problém pomocou korekčných modulov (záplat). Bohužiaľ, mnoho hackerov má tiež prístup k týmto informáciám, čo im umožňuje zlepšiť.

Hlavným problémom s útokmi na úrovni aplikácie je, že hackeri často používajú porty, ktoré sú povolené prechádzajúce cez bránu firewall. Napríklad hacker pracujúci dobre známou slabosť webového servera často používa port 80 v priebehu útoku TCP. Vzhľadom k tomu, webový server poskytuje webové stránky používateľov, brána firewall musí poskytnúť prístup k tomuto prístavu. Z hľadiska brány firewall sa útok považuje za štandardnú premávku pre prístav 80.

Na úplné odstránenie útokov na úrovni aplikácie je nemožné. Hackeri neustále otvárajú a publikujú nové zraniteľné aplikácie na internete. Najdôležitejšou vecou je tu dobrá správa systému. Tu sú niektoré opatrenia, ktoré možno prijať na zníženie zraniteľnosti na útoky tohto typu:

• prečítajte si protokolové súbory operačných systémov a sieťových súborov a / alebo ich analyzovať pomocou špeciálnych analytických aplikácií;
• prihlásiť sa k službám na odosielanie údajov o slabých miestach aplikačných programov: BugTrad (http://www.securityfocus.com).

Sieťový prieskum

Sieťové prieskum sa nazýva informácie o sieti pomocou verejných údajov a aplikácií. Pri príprave útoku proti akejkoľvek sieti sa hacker zvyčajne snaží dostať o tom čo najviac informácií. Sieťová inteligencia sa vykonáva vo forme požiadaviek DNS, testovania ECHO a skenovania portov.

DNS požiada o pochopenie, kto vlastní jednu alebo inú doménu a ktoré adresy sú priradené do tejto domény. ECHO Testovanie adries zverejnených pomocou DNS vám umožňuje vidieť, ktoré hostitelia skutočne pracujú v tomto prostredí. Po obdržaní zoznamu hostiteľov, hacker používa nástroje na skenovanie portov na vykonanie úplného zoznamu služieb podporovaných týmito hostiteľmi. Nakoniec hacker analyzuje charakteristiky aplikácií beží na hostiteľov. Výsledkom je, že produkuje informácie, ktoré možno použiť na hackovanie.

Nie je možné sa zbaviť sieťovej inteligencie. Ak napríklad vypnite ICMP echo a odpoveď echo na periférne smerovače, potom sa zbavíte testovanie echo, ale stratíte údaje potrebné na diagnostikovanie nedostatkov siete.

Okrem toho môžete skenovať porty a bez predchádzajúceho testovania ECHO - to len trvá viac času, pretože neexistujúce IP adresy budú musieť skenovať. Systém IDS na úrovni siete a hostitelia sa zvyčajne vyrovnáva s úlohou upozorniť administrátora o prieskume siete, čo umožňuje lepšie pripraviť sa na nadchádzajúci útok a informovať poskytovateľa (ISP), v ktorom je systém nainštalovaný v sieti ktorý prejavuje nadmernú zvedavosť:

1. použite najnovšie verzie operačných systémov a aplikácií a najnovšie nápravné moduly (náplasti);
2. okrem správy systému používajte systémy rozpoznávania útoku (ID) - dve vzájomne sa komplementárne technológie ID:
   • systém siete IDS (NIDS) sleduje všetky pakety prechádzajúce cez špecifickú doménu. Keď systém NIDS vidí balík alebo sériu balíkov, ktoré zodpovedajú podpisu známeho alebo pravdepodobného útoku, vytvára alarm a / alebo zastaví reláciu;
   • systém IDS (HIDS) chráni hostiteľa pomocou softvérových agentov. Tento systém bojuje len s útokmi proti jednému hostiteľovi.

Systém IDS používa útočné podpisy, ktoré sú profily špecifických útokov alebo typov útokov. Podpisy určujú podmienky, za ktorých sa prevádzka považuje za hacker. Analógy ID vo fyzickom svete možno považovať za systém varovania alebo pozorovacej komory.

Najväčšou nevýhodou je ich schopnosť generovať alarmy. Aby sa minimalizoval počet falošných alarmov a dosiahnutie správnej prevádzky systému IDS v sieti, je potrebné dôkladné nastavenie tohto systému.

Zneužívanie dôvery

V skutočnosti tento typ akcie nie je v plnom zmysle slova s \u200b\u200bútokom alebo útokom. Je to škodlivé využívanie vzťahov dôvery, ktoré existujú v sieti. Klasickým príkladom takéhoto zneužívania je situácia v periférnej časti korporátnej siete.

V tomto segmente sa často nachádzajú DNS, SMTP a HTTP servery. Vzhľadom k tomu, že všetci patria do toho istého segmentu, hacking niektorý z nich vedie k hackingu všetkých ostatných, pretože tieto servery dôverujú iným systémom svojej siete.

Ďalším príkladom je systém, ktorý má vzťah so systémom nainštalovaným na svojej vnútornej strane. Je nainštalovaný na vonkajšej strane firewallu. V prípade hackingu externého systému môže hacker použiť vzťah dôvery pre penetráciu do systému chráneného firewallom.

Riziko zneužívania dôvery možno znížiť z dôvodu prísnejšej kontroly úrovne spoľahlivosti v rámci svojej siete. Systémy umiestnené na vonkajšej strane firewallu za žiadnych okolností by mali používať absolútnu dôveru zo systému chránenej obrazovkou.

Vzťahy dôvery musia byť obmedzené na určité protokoly a ak je to možné, overiť nielen adresy IP, ale aj inými parametrami.

Presmerovacie prístavy

Presmerovacie prístavy je typom zneužívania dôvery, keď sa na prenos cez dopravnú obrazovku používa hostiteľ, ktorý by inak definoval. Predstavte si bránu firewall s tromi rozhraniami, z ktorých každý je pripojený k určitému hostiteľovi.

Externý hostiteľ sa môže pripojiť k zdieľanému prístupu (DMZ), ale nie na to, čo je nainštalované na vnútornej strane firewallu. Celkový prístupový hostiteľ môže byť pripojený aj k internému a externému hostiteľovi. Ak hacker zachytáva celkový prístupový hostiteľ, bude môcť nainštalovať softvérový nástroj na to, presmerovať prevádzku z externého hostiteľa priamo na vnútornú.

Aj keď neporušuje jedno pravidlo, ktoré pôsobí na obrazovke, externý hostiteľ v dôsledku presmerovania dostane priamy prístup na bezpečný hostiteľa. Príklad aplikácie, ktorý môže poskytnúť takýto prístup, je NetCAT. Ďalšie informácie nájdete na stránke http://www.avian.org.

Hlavným spôsobom, ako bojovať proti špedingu portu, je použitie spoľahlivých modelov spoľahlivosti (pozri predchádzajúcu časť). Okrem toho, aby sa zabránilo hackerovi inštalovať systém ID softvéru na hostiteľovi (HIDS).

Nepovolený prístup

Neautorizovaný prístup nemožno prideliť samostatnému typu útoku, pretože väčšina sieťových útokov sa koná v záujme získania neoprávneného prístupu. Ak chcete nájsť prihlasovacie údaje Telnet, hacker musí najprv získať tip Telnet na svojom systéme. Po pripojení k portu Telnet sa na obrazovke objaví autorizácia potrebná na používanie tohto zdroja (" Ak chcete použiť tento zdroj, potrebujete autorizáciu»).

Ak bude hacker pokračovať v pokusoch o prístup, budú považované za neoprávnené. Zdroj takýchto útokov môže byť vnútri siete aj zvonku.

Spôsoby, ako bojovať proti neoprávnenému prístupu, sú celkom jednoduché. Hlavnou vecou je znížiť alebo dokončiť elimináciu hackerských schopností na prístup k systému pomocou neoprávneného protokolu.

Ako príklad môžete zvážiť prevenciu prístupu hackerového prístupu na port Telnet na serveri, ktorý poskytuje webové služby externým používateľom. Ak chcete mať prístup k tomuto prístavu, hacker nebude schopný zaútočiť. Pokiaľ ide o firewall, jej hlavnou úlohou je zabrániť najjednoduchším pokusom neoprávneného prístupu.

Vírusy a aplikácie ako "trójsky kôň"

Pracovné stanice koncových užívateľov sú veľmi citlivé na vírusy a trójske kone. Vírusy sa nazývajú škodlivé programy, ktoré sú zavedené do iných programov, aby vykonali určitú nežiaducu funkciu na pracovnej stanici koncového používateľa. Ako príklad môžete priniesť vírus, ktorý je predpísaný v súbore Command.com (Hlavný tlmočník systémov Windows) a vymaže ďalšie súbory a tiež infikuje všetky ostatné verzie príkazu.com.

Trojansky kôň nie je softvérová vložka, ale skutočný program, ktorý na prvý pohľad sa zdá byť užitočná aplikácia, ale skutočne vykonáva škodlivú úlohu. Príkladom typického trójskeho koňa je program, ktorý vyzerá ako jednoduchá hra pre pracovnú stanicu používateľa.

Avšak, zatiaľ čo užívateľ hrá hru, program pošle svoju kópiu e-mailom každému účastníkovi uvedenému v adresári tohto používateľa. Všetci účastníci sú prijímané poštou, čo spôsobuje jeho ďalšie rozdelenie.

Boj proti vírusom a trójske kone sa vykonáva pomocou efektívneho antivírusového softvéru, ktorý pracuje na úrovni používateľa a prípadne na úrovni siete. Antivírusové prostriedky objavujú väčšinu vírusov a trójskych koní a zastaví ich distribúciu.

Získanie najnovších informácií o vírusoch im pomôže efektívnejšie bojovať. Ako sa objavujú nové vírusy a trójske kone, musí spoločnosť vytvoriť nové verzie antivírusov a aplikácií.

Pri písaní článku sa používajú materiály poskytnuté systémami Cisco.

Dobrý zlý

V rámci tohto sloganu sa predpokladá útok na zber informácií o informačnom systéme prostredníctvom sprostredkovateľa. Jednoduchý príklad je, keď útočník zastupuje užívateľ autorizovanou osobou zisťuje používateľa svojho hesla a prihlásenia. Ak útočník uspel, dostane prístup k informáciám bez vedomia o technických aspektoch systému, alebo akékoľvek zraniteľnosti. Celkový prístup útokov sociálneho inžinierstva sa vykonáva na psychologických metódach, ako je dôvera, lenivosť alebo nepozornosť. Samozrejme, všetci zamestnanci by mali byť varovaní o možných prístupoch votrelcov alebo iných prostriedkov. Všetky tieto momenty by mali byť opísané v. V praxi existuje veľa prípadov, keď napríklad zamestnanec podpíše dokumenty povinnosti týkajúce sa nezverejnenia osobného hesla do miestnej siete, okamžite hovorí svojím kolegom alebo hovorí vypočutie v novom tíme. Existuje aj množstvo situácií, keď sú oddelenia podniku a administratívne oddelenie na diaľku. A musíte použiť prostriedky komunikácie, aby ste získali heslo, ktoré znamenajú nové. Alebo útočník zavedie zamestnancov a pýta sa na svoje heslo, alebo vybuchuje telefonický rozhovor a počujete heslo. Pre každé situácie by mali byť ich vlastné.

ATAK modely

Útok Informačný systém sa vyznačuje úmyselnými činnosťami útočníka, ktorý využíva zraniteľnosť takéhoto systému a vedie k porušeniu dôvernosti, dostupnosti a integrity spracovaných alebo uložených informácií.

Štandardný model Atachi Na základe princípu jeden na jedného(Obr. 1) alebo jeden pre mnohých(Obr.2). Takéto útoky sa realizujú z jedného zdroja. Metódy ochrany siete (obrazovky, DLP) sú založené len na takomto modeli útoku. V rôznych uzloch chránenej siete sú nastavené snímače ochranného systému, ktoré prenášajú údaje do centrálneho riadiaceho modulu. Takýto model však nebude vyrovnať s distribuovanými útokmi.

Obrázok - 2.

V modeli distribuovaných útokov sa vykonávajú ďalšie zásady. V takýchto útokoch sa realizujú veľa(Obr.3) a veľa pre mnohých(Obr.4). Takéto útoky sú založené na útokoch, ako sú nevykonávanie. Zásada takýchto útokov sa znižuje na odosielanie sady paketov na útokový uzol. Taký uzol môže zavesiť alebo zlyhať, rovnako ako to nebude mať čas na liečbu všetkých prichádzajúcich balíkov. Hlavným kánonom takéhoto útoku by to bola šírka pásma napadnutého montážneho uzla prekročil šírku pásma napadnutého uzla.

Obrázok 4.

Etapy implementácií útokov

Keď hovoria, že akcie, ako je útok, potom znamenajú len implementácia útokuAle zabudnite na dve hlavné akcie: Predpoklady implementácie útoku a Dokončenie útoku. Zber údajov je hlavnou etapou na vytvorenie útoku. V tomto štádiu závisí celá účinnosť práce na vynikajúcom výsledku v danej fáze. Po prvé, účel útoku je vybrané a údaje o objekte otvorených portov, typ OS, softvéru a konfigurácii atď.) Sa zhromažďujú. Potom sa určujú najzraniteľnejšie miesta takéhoto systému, ktoré pri útoku na potrebný výsledok dá. Takáto práca vám umožní vybrať si typ útoku a zdroja jeho implementácie.

Zvyčajné obranné metódy pracujú len v druhej fáze vytvorenia útoku, ale nerakujte úplne z prvej a tretej fázy. Taktiež nie sú dovolené detekovať už dokonalé útoky a analyzovať škody. Útočník v závislosti od výsledku sa zameriava na aspekt útoku:

• na odkaz na údržbu sa analyzuje napadnutá sieť, vyhľadávajú slabé stránky.
• v prípade dátového sprenera sa určuje pozornosť neviditeľného útoku.

Zber informácií. Táto etapa zahŕňa súbor údajov o topológii siete, verzii útočného uzla atď. Útočník sa môže pokúsiť identifikovať adresy dôveryhodný Systémy a uzly, ktoré sú priamo spojené s účelom útoku. Existujú dve metódy na určenie topológie siete, ktorú môže útočník využiť:

• zmeniť TTL.
• záznamová trasa

Prvým spôsobom fungujú programy Tracert pre Windows a Traceroute pre UNIX. Implementujú čas na živé pole v hlavičke IP paketu, ktoré zmeny v porovnaní s sieťovým balíkom prešiel smerovačom. Topológia siete môže byť tiež určená pomocou protokolu SNMP alebo RIP protokolu.

Identifikácia uzla sa zvyčajne stanoví pomocou príkazu ECHO_REQUEST ICMP Protocol. Uzol je k dispozícii, keď príde správa o odpovedi echo_reply. Takýto spôsob identifikácie má dve nevýhody:

• Použitie ICMP dotazov umožňuje s ľahkosťou identifikovať ich zdroj, a preto zistiť útočníka.
• Množstvo sieťových zariadení blokuje ICMP pakety, neprechádzajte do vnútra, alebo nevypustia.

Ďalšia metóda identifikácie uzlov je možná, ak je útočník umiestnený na sieti lokálnej obete pomocou sieťovej karty. Sieťové uzly môžete identifikovať aj pomocou DNS.

Skenované porty. Identifikácia služby sa implementuje detekciou otvorených portov. Softvér na skenovanie je možné zobraziť napríklad v skenovaní:

• otvorený 80. port hovorí, že existuje webový server
• 25. port - poštový server SMTP
• 31377 - Serverová časť Trojan Horse Corrifice
• 12345 alebo 12346 - - // - netbus

Operačný systém. V každom operačnom systéme je zavedený stoh protokolov TCP / IP vlastným spôsobom, ktorý pri zadávaní špeciálnych problémov môžete analyzovať odpovede. Menej efektívnej metódy definovania je analýza sieťovej služby.

Definície zhromaždenia. Ďalším krokom je definovať funkcie uzla, ku ktorému chce útočník vziať útok. Tiež pomocou automatizovaných metód alebo manuálne útočník hľadá zraniteľnosti. Ako takéto metódy sa môžu priblížiť, programy opísané v článku. sieťové testovacie programy.

Implementácia útoku. Táto etapa určuje akcie alebo pokusy útočníka, ktorý sú zamerané na napadnutý uzol. Penetrácia Definuje obtok metód ochrany obvodov. Príklad špecifických algoritmov nebude opravený, ako predmet lokality na ochranu informácií. Po penetrácii sa útočník pokúsi udržiavať kontrolu nad napadnutým uzlom.

Ciele implementácie útokov. Treba poznamenať, že útočník sa môže pokúsiť dosiahnuť dva ciele, toto je získanie prístupu NSD k samotnému uzlu a informácie v ňom. Druhým cieľom je získať NSD z uzla, aby sa ďalšie útoky na iné uzly. Etapa dokončenie Útoky sú založené na oznámení o stopách. Zvyčajne sa vymaže určité položky v rôznych guľôčok uzlov, ako aj návratový uzol na pôvodný pracovný stav.

Klasifikácia Atak.

Útoky môžu byť rozdelené na aktívne a pasívne, úmyselné a neúmyselné alebo interné alebo externé. Čo by tieto pseudo klasifikácie neboli zmätené, existuje univerzálna deľba útokov:

• Miestna penetrácia je útok, ktorý implementuje NSD na uzol, na ktorom je spustený
• Vzdialená penetrácia - útoky, ktoré vám umožňujú implementovať diaľkové ovládanie počítača cez sieť
• Sieťové skenery - Aplikácie, ktoré analyzujú a odhaľujú služby, ktoré môžu byť použité ako zraniteľné miesta
• Miestne odmietnutie udržiavať (DDO) - útoky umožňujúce preťaženie alebo narušenie fungovania počítača.
• Heslo sušienky - programy, ktoré vyzdvihnú používateľské heslá
• Skenery zraniteľných miest - programy, ktoré analyzujú chyby na hostiteľských uzlinách
• Analyzátory protokolu (Sniffers) - programy počúvajú sieťovú prevádzku

Internet Security Systems Inc. Company Inc. Znížená klasifikácia na:

• Zber informácií
• Pokusy NSD.
• Nevykonávanie
• Podozrivá aktivita
• Systémové útoky

Prvé 4 kategórie možno pripísať vzdialeným útokom a posledným miestnym. Treba poznamenať, že celá trieda nezahŕňala do takejto klasifikácie. pasívny Útoky - počúvanie, falošné DNS, substitúcia ARP atď.).

Záložky v hardvéri

Prevažná väčšina IPS pracuje na základe axiómov, ktoré hardvér - nevytvára hrozby. Ani nevykonáva primárnu kontrolu zariadenia na prítomnosť záložiek. Záložka - Zariadenie na programovej alebo hardvérovej úrovni, ktorá implementuje neoprávnené akcie (zvyčajne porušenie dôvernosti) na úkor tohto systému. Je jasné, že nie všetky podniky majú správny personál zamestnancov, podľa týchto problémov na identifikáciu hardvérových záložiek. Nižšie je uvedený zoznam rôznych spôsobov štandardného overenia materiálových a iných podnikov.

• Pravidelné overovanie špecialistov založených na hardvéroch jednotlivých podnikov.
• Automatický inventár hardvérových prvkov v podniku.
• Fixácia sériových čísel jednotlivých častí zariadenia.
• Tesnenie skladacích zariadení s kontrolou.

Ak ste k tomuto problému ešte bližšie, použite zariadenie, ktoré monitorujú rádiové vysielanie, káblové siete, elektrické napájacie siete, zvukový éter a tak ďalej. Od odchýlky od štandardu práce dáva dôvody premýšľania. Aj v tejto otázke užívateľ hrá dôležitú úlohu, pretože v prípade, ktorý by mal okamžite signál do bezpečnostnej služby.

Dôležitú úlohu zohrávajú aj miestne útoky na PC, ktorý je pripojený k miestnej sieti. Môžu vytvoriť. Takéto útoky môžu byť na firmvéri, alebo získať prístup v pódiu zavádzania OS. To znamená, že si môžete prevziať verziu Live-CD / USB OS s citlivými inými parametrami, ktoré budú môcť vstúpiť do siete.

Tiež miesto Môžete urobiť útok na autentifikáciu. Ak existujú práva na inštaláciu softvéru, používateľ môže vytvoriť zlý softvér alebo škodlivý. Nižšie je uvedený zoznam programov šablón, ktoré sú škodlivé.

• Program Vylepšite práva nastavením zlého programu, poskytuje prístup k uzavretým zdrojom.
• Programy výberu hesiel môžu pracovať na pozadí, kým zamestnanec neurobí svoje záležitosti pomocou samotného počítača.
• Sniffer - zachytávanie balíkov zo siete.
• Ensifher Hackers () je tiež program, ktorý pracuje na lokálnej sieti pomocou PC Sila, hľadá zraniteľnosti v šiškaoch alebo iných miestach.
• Demontáž - Vykonajte analýzu operačného systému alebo programu na pochopenie logiky a zraniteľnosti. Zmeňte krok Roboty.
• Útoky na pretečenie vyrovnávacej pamäte.
• Dizajnéri a generátory vírusov / sieťových paketov - Umožňuje vytvárať programy na PC na poškodenie celej IP.

Stručný zoznam opatrení na zlepšenie ochrany informačného systému z miestnych útokov

• Použite najbezpečnejšiu konfigurovanú konfiguráciu.
• Vykonávať analýzu prítomnosti procesu skenovania portov
• Blokovanie alebo odstránenie predvolených účtov
• V čase aktualizácie systému aktualizácie
• Podporné politiky s pravidlami k zložitosti hesla a obmedzení vstupných pokusov
• Koncových užívateľov presne úroveň prístupu, ktorú potreboval na prácu
• Chráňte databázu hesiel používateľa pred rôznymi vplyvmi
• Udržujte účtovníctvo a jeho nastavenia na všetkých počítačoch
• Pravidelné zálohovanie
• Implementovať údržbu registračných protokolov v režime, ktoré eliminuje možnosť ich úpravy

Neboli by žiadne zraniteľné miesta v prvkach systémov, nebolo by možné si uvedomiť, že väčšina útokov. Ochrana však napísala ľudia, ktorí majú tendenciu robiť chyby. , Aplikovať výsledky uvedené nižšie popisuje odporúčania, ktoré prídu šikovné:

• Implementovať ochranu pri konfrontácii nie je konkrétny útok, ale jeden typ útokov.
• Je potrebné dodržiavať nové položky o nových útokoch a o ich čele.
• Inštalácia ochrany na rôznych úrovniach, tak hovoriť o ochrane ECHELON.

Lístok 1. Základné koncepty a definície bezpečnosti informácií: útoky, zraniteľnosť, bezpečnostná politika, mechanizmy a bezpečnostné služby. Klasifikačné útoky. Informačný systém bezpečnostných a bezpečnostných modelov

Zraniteľnosť - Slabé miesto v systéme, ktoré sa dá implementovať útok.

Riziko - pravdepodobnosť, že betón útok bude vykonaná pomocou špecifického zraniteľnosť. V konečnom dôsledku sa každá organizácia musí rozhodnúť o prípustnej úrovni. riziko. Toto rozhodnutie by sa malo zohľadniť v bezpečnostných politikách prijatých v organizácii.

Bezpečnostná politika - pravidlá, smernice a praktické zručnosti, ktoré určujú, ako sa informačné hodnoty spracúvajú, chránia a uplatňujú na organizáciu a medzi informačnými systémami; Kritériá stanovené na poskytovanie bezpečnostné služby.

Útok - akékoľvek kroky, ktoré porušujú bezpečnosť informačného systému. Formálne možno povedať, že útok - Toto je akcia alebo postupnosť prepojených akcií zraniteľnosť Tento informačný systém a vedúci k porušeniu bezpečnostných politík.

Bezpečnostný mechanizmus - Softvér a / alebo hardvér, ktorý určuje a / alebo zabraňuje Útok.

Bezpečnostná služba - služba, ktorá poskytuje politiku bezpečnosti a / alebo prenášané údaje podľa politiky alebo určuje implementáciu ataaki.. Služba používa jeden alebo viac bezpečnostných mechanizmov.
^

Model bezpečnosti siete. Klasifikácia sieťových útokov

Všetko ataaki. Môžete rozdeliť na dve triedy: pasívny a aktívny.

I. pasívny útok

Pasívny nazýva taký útok , s ktorou nepriateľský Nemá možnosť upraviť prenášané správy a vložiť ich správy na informačný kanál medzi odosielateľom a príjemcom. Účel pasívny útok Tam môže byť len počúvanie správ a analýzy dopravy.

Aktívny útok , s ktorou nepriateľský Má možnosť upraviť prenášané správy a vložiť svoje správy. Rozlišovať tieto typy aktívne útoky:

^ II. Aktívny útok

Nevykonávanie - DOS-útok (odmietnutie služby)

Servisné zlyhanie porušuje normálnu prevádzku sieťových služieb. Nepriateľský Môže zachytiť všetky správy zaslané konkrétnemu adresátovi. Ďalší príklad je podobný ataaki. Je to vytvorenie významnej premávky, v dôsledku čoho sieťová služba nebude schopná zvládnuť potreby právnických klientov. Klasický príklad takejto ataaki. V sieťach TCP / IP, syntakt SYN ATTAKT, v ktorom páchateľ posiela pakety, ktoré iniciujú vytvorenie pripojenia TCP, ale neposiela pakety, ktoré ukončia zriadenie tejto zlúčeniny. V dôsledku toho môže dôjsť k prepadom pamäte na serveri a server nemôže vytvoriť spojenie s právnymi užívateľmi.

^ Model bezpečnosti informačného systému

Existujú aj iné situácie súvisiace s bezpečnosťou, ktoré nespĺňajú model zabezpečenia siete opísaný vyššie. Všeobecný model týchto situácií môže byť ilustrovaný takto:

Tento model ilustruje bezpečnostný koncept informačného systému, s ktorým je zabránené nežiaducim prístupom. Hacker, ktorý sa snaží vykonávať nelegálne prenikanie do systémov dostupných cez sieť, sa môže jednoducho baviť z hackingu, a môže sa pokúsiť poškodiť informačný systém a / alebo previesť niečo na svoje účely. Napríklad účel hackeru môže získať čísla kreditných kariet uložených v systéme.

Ďalším typom nežiaduceho prístupu je prispôsobenie sa v počítačovom systéme, ktorý ovplyvňuje aplikačné programy a softvérové \u200b\u200bpomôcky, ako sú redaktori, kompilátory atď. Existujú teda dva typy atak.:

1. 
   Prístup k informáciám, aby ste získali alebo upravili údaje uložené v systéme.
2. 
   Útok O službách, ktoré ich používajú.

Vírusy a červy - príklady podobných atak.. Taký ataaki. môže byť vykonaná obaja s panelom a sieťou.

^ Bezpečnostné služby To zabraňuje nechcenému prístupu, môžete rozbiť dve kategórie:

1. 
   Prvá kategória je určená v podmienkach funkcie Watchdog. Títo mechanizmy Zahŕňa vstupné postupy založené napríklad na použitie hesla, ktoré vám umožní umožniť prístup iba autorizovaným užívateľom. Títo mechanizmy zahŕňajú aj rôzne ochranné obrazovky (brány firewalls), ktoré bránia ataaki. Na rôznych úrovniach protokolov protokolov TCP / IP, a najmä vám umožní zabrániť prenikaniu červov, vírusov a tiež zabrániť inému podobnému ataaki..
2. 
   Druhá obranná línia sa skladá z rôznych vnútorných monitorov riadenia prístupu a analýzy užívateľskej aktivity.

Jedným zo základných pojmov pri zabezpečovaní bezpečnosti informačného systému je koncepcia povolenie - definícia a poskytovanie prístupových práv na konkrétne zdroje a / alebo objekty.

Nasledujúce základné zásady musia byť založené na bezpečnosti informačného systému:

1. 
   Bezpečnosť informačného systému musí byť v súlade s úlohou a cieľmi organizácie, v ktorej je tento systém stanovený.
2. 
   Zabezpečenie bezpečnosti informácií si vyžaduje komplexný a holistický prístup.
3. 
   Informačná bezpečnosť by mala byť neoddeliteľnou súčasťou systému riadenia v tejto organizácii.
4. 
   Informačná bezpečnosť by mala byť ekonomicky odôvodnená.
5. 
   Zodpovednosť za bezpečnosť musí byť jasne definovaná.
6. 
   Bezpečnosť informačného systému by mala byť pravidelne nadhodnotená.
7. 
   Sociálne faktory, ako aj opatrenia administratívneho, organizačného a fyzického zabezpečenia, majú veľký význam na zabezpečenie bezpečnosti informačného systému.

Stále nie je žiadne presné určenie termínu "útok" (invázia, útok). Každý bezpečnostný špecialista s ním zaobchádza svojou vlastnou cestou. Najspravodlivejšie a kompletné považujem nasledujúcu definíciu.

Útok Informačný systém sa nazýva úmyselné činnosti útočníka s využitím zraniteľnosti informačného systému a čo vedie k porušeniu dostupnosti, integrity a dôvernosti spracovaných informácií.

Neplicitná zraniteľnosť informačného systému sa eliminuje a možnosť implementácie útokov.

K dnešnému dňu sa považuje za neznáme, koľko metód útoku existuje. Navrhuje sa, aby v tejto oblasti ešte neboli žiadny vážny matematický výskum. Ale v roku 1996, Fred Cohen opísal matematické základy vírusovej technológie. V tomto príspevku sa dokázalo, že počet vírusov je nekonečný. Je zrejmé, že počet útokov je nekonečný, pretože vírusy sú podmnožinou sady útokov.

ATAK modely

Tradičný model Atachi Je založený na princípe (obr. 1) alebo (obr. 2), t.j. Útok pochádza z jedného zdroja. Vývojári sieťových zariadení (firewally, systémy na detekciu útokov atď.) Sú orientované presne na tradičnom modeli útoku. V rôznych bodoch chránených sietí sú inštalované agenti (snímače) ochranného systému, ktoré prenášajú informácie do centrálnej kontrolnej konzoly. To uľahčuje rozsah systému, poskytuje jednoduchosť diaľkového ovládania atď. Takýto model však nespôsobí relatívne nedávno (v roku 1998) zistené ohrozené útoky.
Obrázok 1. Pomer "jeden k jednému"

V modeli distribuovaného útoku sa používajú iné zásady. Na rozdiel od tradičného modelu v distribuovanom modeli Vzťahy sa používajú (obr. 3) a (obr. 4).

Distribuované útoky sú založené na "klasických" útokoch, ako sú "odmietnutie údržby", alebo skôr na ich podmnožine známe ako Povodňový útok alebo Storm-Ataka (Tieto termíny môžu byť preložené ako "búrka", "povodeň" alebo "Avalanche"). Význam dátového útoku je poslať veľký počet balíkov na útokový uzol. Napadnutý uzol môže zlyhať, pretože "hladí" v lavke balíkov odoslaných a nebude môcť zvládnuť žiadosti od autorizovaných užívateľov. Tento princíp zamestnáva syn-povodne, Smurf, UDP povodne, Targa3 atď. Ak sa však šírka pásma kanála na zaútočil uzol prekročí šírku pásma útočníka alebo napadnutý uzol je nesprávne nakonfigurovaný, potom takýto útok nebude viesť k "úspechu". Napríklad, s pomocou týchto útokov, je zbytočné pokúsiť sa rušiť výkon vášho poskytovateľa. Ale distribuovaný útok už nie je z jedného internetového bodu, ale hneď z niekoľkých, čo vedie k prudkému zvýšeniu dopravy a odstránenie napadnutej zostavy zhromaždenia. Napríklad podľa Ruska-on-line na dva dni, od 9.00 hod. 28. decembra 2000, najväčší poskytovateľ internetového internetu Arminko "Arminko" bol podrobený distribuovanému útoku. V tomto prípade bolo k útoku pripojených viac ako 50 vozidiel z rôznych krajín, ktoré boli odoslané na "Arminko" bezvýznamné správy. Kto zorganizoval tento útok, av ktorej krajine bol hacker - nebolo možné zriadiť. Hoci útok bol hlavne "Arminko", celá diaľnica spájaná Arménsko s World Wide Webom bola preťažená. Dňa 30. decembra vďaka spolupráci "Armenko" a iného poskytovateľa - "Armel" - pripojenie bolo úplne obnovené. Napriek tomu počítačový útok pokračoval, ale s menšou intenzitou.

Etapy implementácií útokov

Môžete vybrať nasledujúce fázy útoku:

Zvyčajne, keď hovoria o útoku, máte na mysli druhú etapu, zabudne na prvý a posledný. Zber informácií a ukončenie útoku ("Oznámenie o stopách") môže byť aj útok a môže byť rozdelený do troch stupňov (pozri obr. 5).
Obrázok 5. Fázy implementácie útoku

Výber informácií je hlavnou fázou implementácie útoku. V tomto štádiu je efektívnosť útočníka kľúčom k útoku "úspechu". Po prvé, účel útoku je vybrané a informácie o ňom zhromažďujú (typ a verzia operačného systému, otvorené porty a bežiace siete služby, nainštalovaný systém a aplikačný softvér a jeho konfigurácia atď.). Potom sú identifikované najzraniteľnejšie miesta napadnutého systému, ktorý vedie k požadovanému útočníkovi. Útočník sa snaží identifikovať všetky kanály interakcie medzi cieľom útokov s inými uzlami. To umožní nielen vybrať si typ zavedeného útoku, ale aj zdroj jeho implementácie. Napríklad napadnutý uzol interaguje s dvoma servermi so systémom UNIX a Windows NT. S jedným serverom má napadnutý uzol dôveryhodný vzťah a s ostatnými - nie. Z akéhokoľvek servera bude útočník implementovať útok, záleží na tom, ktorý útok bude zapojený, čo bude vybrané prostriedky implementácie, atď. Potom, v závislosti od prijatých informácií a požadovaného výsledku, je zvolený útok, ktorý dáva najväčší účinok. Napríklad:
Syn povodne, slza, udp bomba - narušenie fungovania uzla;
CGI skript - preniknúť na uzol a krádež informácií;
PHF - ukradnúť súbor hesla a vzdialený výber hesla atď.

Tradičný spôsob ochrany, ako sú firewally alebo filtračné mechanizmy v smerovačoch, nadobudnú účinnosť len v druhom štádiu realizácie útoku, úplne "zabudnutie" o prvej a tretej. To vedie k tomu, že často vykonávaný útok je veľmi ťažké zastaviť aj v prítomnosti silných a nákladných prostriedkov ochrany. Príkladom toho je distribuované útoky. Bolo by logické, že prostriedky ochrany začali pracovať v prvej fáze, t.j. Zabrániť možnosti zberu informácií o zapadnutom systéme. To by umožnilo, ak by úplne zabránilo útoku, potom aspoň výrazne komplikuje prácu útočníka. Tradičné fondy tiež neumožňujú detekovať už dokonalé útoky a hodnotiť poškodenie po ich implementácii, t.j. Nefungujú v tretej fáze implementácie útoku. Preto nie je možné určiť opatrenia na pokračovanie týchto útokov.

V závislosti od požadovaného výsledku sa páchateľ je zameraný na jednu alebo túto fázu implementácie útoku. Napríklad:
ak chcete odrážať údržbu, napadnutá sieť sa podrobne analyzuje, nájdu sa medzery a slabé stránky;
na vloženie informácií je zameranie na nepostrehnuteľné prenikanie napadnutých uzlov pomocou predtým zistených zraniteľností.

Zvážte hlavné mechanizmy na implementáciu útokov. Je to potrebné na pochopenie metód detekcie týchto útokov. Okrem toho pochopenie zásad činnosti votrelcov je kľúčom k úspešnej obrane siete.

1. Zber informácií

Prvá etapa implementačných útokov je zbierka informácií o útočenom systéme alebo uzle. Zahŕňa takéto opatrenia ako definíciu topológie siete, typu a verzie operačného systému napadnutého uzla, ako aj dostupnej siete a iných služieb atď. Tieto akcie sú implementované rôznymi metódami.

Študovanie životného prostredia

V tomto štádiu Striker skúma sieťové prostredie okolo odhadovaného cieľa útoku. Takéto oblasti, napríklad, zahŕňajú uzly internetového poskytovateľa "obete" alebo vzdialené kancelárie napadnutého úradu spoločnosti. V tomto štádiu sa môže útočník pokúsiť identifikovať adresy "dôveryhodných" systémov (napríklad partnerskej siete) a uzly, ktoré sú priamo spojené s účelom útoku (napríklad routeru ISP) atď. Takéto akcie sú dosť ťažké rozpoznať, pretože sa vykonávajú dostatočne dlhé časové obdobie a mimo oblasti kontrolovaného prostredníctvom ochrany (brány firewall, systémy na detekciu útoku a podobne).

Identifikácia topológie siete

Existujú dva základné metódy na určenie topológie siete používaných votrelcami:

1. zmeniť TTL (Modulácia TTL),
2. record Route Route.

V prvej metóde fungujú programy Traceroute pre UNIX a Tracert for Windows. Používajú čas na živé pole v hlavičke IP paketov, ktorá sa líši v závislosti od počtu smerovačov, ktoré prenášajú sieťový paket. Na zaznamenanie trasy ICMP môže byť použitý nástroj Ping. Topológia siete je často nájdená s protokolom SNMP nainštalovaný na mnohých sieťových zariadeniach, ktorých ochrana je nesprávne nakonfigurovaná. Pomocou protokolu RIP sa môžete pokúsiť získať informácie o smerovacej tabuľke v sieti atď.

Mnohé z týchto metód používajú moderné systémy riadenia (napríklad HP OpenView, Cabletroron Spectrum, MS Visio atď.) Aby ste vytvorili sieťové karty. A tieto rovnaké metódy môžu úspešne uplatňovať útočníci na vybudovanie mapy siete napadnutá.

Identifikácia uzlov

Identifikácia uzla sa zvyčajne vykonáva odosielaním pomocou Ping Utility Echo_request ICMP protokol. Správa o odozve o echo_reply naznačuje, že uzol je k dispozícii. Existujú voľné programy, ktoré automatizujú a urýchli proces paralelnej identifikácie veľkého počtu uzlov, ako je FING alebo NMAP. Nebezpečenstvo tohto spôsobu je, že požiadavky ECHO_REQUEST nie sú zaznamenané štandardnými montážnymi nástrojmi. Ak to chcete urobiť, musíte použiť nástroje na analýzu dopravy, firewally alebo systémy na detekciu útoku.

Toto je najjednoduchší spôsob identifikácie uzlov. Má však dve nevýhody.

1. Mnoho sieťových zariadení a programov blokuje ICMP pakety a nenechávajte ich do vnútornej siete (alebo naopak ich nenechajte). Napríklad MS Proxy Server 2.0 neumožňuje priechod paketov ICMP. V dôsledku toho sa vyskytne neúplný obraz. Na druhej strane blokovanie balíka ICMP rozpráva útočníkovi o prítomnosti "prvej línie obrany" - routers, firewalls atď.
2. Použitie požiadaviek ICMP vám umožňuje ľahko zistiť ich zdroj, ktorý, samozrejme, nemožno zahrnúť do úlohy útočníka.

Existuje ďalšia metóda identifikácie uzla - pomocou režimu "zmiešanej" sieťovej karty, ktorá vám umožní identifikovať rôzne uzly v segmente siete. Neplatí však v tých prípadoch, v ktorých dopravná segmentová doprava nie je k dispozícii útočníkovi z jeho uzla, t.j. Táto metóda sa vzťahuje len v miestnych sieťach. Ďalším spôsobom identifikácie sieťových uzlov je takzvaná prieskum DNS, ktorá vám umožňuje identifikovať uzly firemných sieťových sietí pomocou mien názvu servisného servera.

Identifikácia služby alebo skenovanie portov

Identifikácia služieb sa zvyčajne vykonáva detegovaním otvorených portov (skenovanie portov). Takéto porty sú veľmi často spojené so službami založené na protokoloch TCP alebo UDP. Napríklad:

• otvorený 80. port znamená prítomnosť webového servera,
• 25. port - mail SMTP server,
• 31337. - Serverová časť Trojan Horse Corrifice,
• 12345th alebo 12346th - Serverová časť Trojanu Horse NetBus atď.

Na identifikáciu služieb a portov skenovania môžu byť použité rôzne programy, vrátane. a voľne distribuované. Napríklad NMAP alebo NetCAT.

Identifikácia operačného systému

Hlavným mechanizmom diaľkovej definície OS je analýza odpovedí na požiadavky, ktoré zohľadňujú rôzne implementácie stohu TCP / IP v rôznych operačných systémoch. V každom OS je zásobník protokolu TCP / IP implementovaný vlastným spôsobom, čo im umožňuje určiť, ktorý OS nainštalovaný na diaľkovom uzle pomocou špeciálnych dotazov a reakcií.

Ďalšia, menej efektívna a extrémne obmedzená, metóda identifikácie uzlov OS je analýza sieťových služieb objavených v predchádzajúcom štádiu. Napríklad otvorený 139. port nám umožňuje dospieť k záveru, že vzdialený uzol je s najväčšou pravdepodobnosťou spustením operačného systému Windows. Na určenie operačného systému sa môžu použiť rôzne programy. Napríklad NMAP alebo QUESO.

Určenie úlohy uzla

Predposledný krok vo fáze zhromažďovania informácií o útokom uzle je definovať svoju úlohu, napríklad vykonávanie funkcií firewallu alebo webového servera. Tento krok sa vykonáva na základe už zozbieraných informácií o aktívnych službách, uzloch, topológii siete atď. Napríklad otvorený 80. port môže označiť dostupnosť webového servera, zámok balenia ICMP označuje potenciálnu prítomnosť brány firewallu a názov DNS proxy.domain.ru uzol alebo fw.domain.ru hovorí o sebe.

Stanovenie zraniteľnosti uzla

Posledným krokom je vyhľadávanie zraniteľností. V tomto kroku útočník s rôznymi automatizovanými nástrojmi alebo manuálne určuje chyby, ktoré možno použiť na implementáciu útoku. Ako takéto automatizované nástroje môžu byť použité SASOWSECURITYSCANNER, NMAP, RETINA.

2. Implementácia útoku

Z tohto bodu začína pokus o prístup k napadnutého uzla. V tomto prípade môže byť prístup taký priamy, t.j. Preniknutie do uzla a sprostredkované, napríklad pri implementácii typu útoku "Nevykonávanie". Implementácia útokov v prípade priameho prístupu možno rozdeliť aj do dvoch etáp:

• penetrácia;
• vytvorenie kontroly.

Penetrácia

Penetrácia znamená prekonanie ochrany obvodu (napríklad firewall). Môže byť implementovaný rôznymi spôsobmi. Napríklad pomocou zraniteľnosti počítačových služieb, "hľadá" vonku alebo odoslaním nepriateľského obsahu e-mailom (macroviruses) alebo prostredníctvom apletov Java. Takýto obsah môže používať takzvané "tunely" v bráne firewallu (nesmie byť zmätený s tunelom VPN), cez ktorý útočník preniká. Do tej istej fázy môžete vybrať heslo správcu alebo iného používateľa pomocou špecializovaného utility (napríklad L0PHTCRACK alebo CRACK).

Kontrola nastavenia

Po penetrácii, útočník zakladá kontrolu nad útokom uzla. To môže byť implementované implementáciou programu Trojanského koní (napríklad NetBus alebo Octorificice). Po inštalácii kontroly nad požadovaným uzlom a "oznámením" stôp môže útočník vykonávať všetky potrebné neoprávnené akcie na diaľku bez vedomia vlastníka napadnutého počítača. Zároveň by sa mala po opätovnom reštartovaní operačného systému uložiť zároveň ovládanie kontroly nad korporátnym sieťovým uzlom. Toto je možné implementovať nahradením jedného zo zavádzacích súborov alebo vložte odkazy na nepriateľský kód do súborov Autooload alebo systémový register. Prípad je známy, keď bol útočník schopný preprogramovať sieťovú kartu EEPROM a dokonca aj po preinštalovaní operačného systému, bol schopný znovu implementovať neoprávnené akcie. Jednoduchšou úpravou tohto príkladu je zavedenie potrebného kódu alebo fragmentu do sieťového zavádzacieho skriptu (napríklad pre Novell NetWare OS).

Ciele implementácie útokov

Fáza dokončenia útoku je "oznámenie o stopách" útočníkom. To sa zvyčajne implementuje odstránením zodpovedajúcich záznamov z registračných protokolov uzlov a iných akcií, ktoré vracajú napadnutý systém do pôvodného, \u200b\u200b"vzdialený" stav.

Klasifikácia Atak.

Existujú rôzne typy klasifikácie útoku. Napríklad rozdelenie do pasívnej a aktívnej, vonkajšej a vnútornej, úmyselnej a neúmyselnej. Aby ste sa však nemali zmiasť s veľkou škálou klasifikácií, málo platných v praxi, navrhujem viac "Životné" klasifikáciu:

1. Vzdialená penetrácia (vzdialený penetrácia). Útoky, ktoré vám umožňujú implementovať vzdialenú správu počítača prostredníctvom siete. Napríklad, netbus alebo corrifice.
2. Miestna penetrácia (miestna penetrácia). Útok, ktorý vedie k neoprávnenému prístupu k uzlu, na ktorom je spustený. Napríklad Getadmin.
3. Diaľkové odmietnutie služby (diaľkové odmietnutie služby) \\ t. Útoky, ktoré vám umožňujú zlomiť fungovanie alebo preťaženie počítača cez internet. Napríklad teardrop alebo trin00.
4. Miestne odmietnutie služby (miestne odmietnutie služby). Útoky, ktoré vám umožňujú zlomiť fungovanie alebo preťaženie počítača, na ktorom sú implementované. Príkladom takéhoto útoku je "nepriateľský" applet, ktorý zaťažuje centrálny procesor s nekonečným cyklom, ktorý vedie k nemožnosti žiadostí o spracovanie iných aplikácií.
5. Sieťové skenery (sieťové skenery). Programy, ktoré analyzujú topológiu siete a detekciu služieb dostupných pre útok. Napríklad NMAP systém.
6. Skenery zraniteľnosti Skenery. Programy, ktoré hľadajú zraniteľnosti na sieťových uzloch a ktoré možno použiť na implementáciu útokov. Napríklad SATAN alebo SASTOWSKURITYSCANNER.
7. Heslo sušienky (passné sušienky). Programy, ktoré "vyzdvihnúť" heslá používateľov. Napríklad L0PHTCRACK pre Windows alebo Crack pre UNIX.
8. Analyzátory protokolu (Sniffers). Programy, ktoré "vloží" sieťová prevádzka. S týmito programami môžete automaticky vyhľadávať takéto informácie, ako sú ID používateľa a heslá, informácie o kreditnej karte atď. Napríklad Microsoft Network Monitor, Netxray Network Associates alebo LanExplorer.

Internet Security Systems, Inc. Ešte viac zníži počet možných kategórií, pričom ich prináša na 5:

1. Zhromažďovanie informácií (zhromažďovanie informácií).
2. Neautorizované pokusy o prístup (nepovolené pokusy o prístup).
3. ODMIETNUTIE SLUŽBY.
4. Podozrivá aktivita (podozrivá aktivita).
5. Systémový útok (systémový útok).

Prvé 4 kategórie sa týkajú vzdialených útokov a druhé - na miestne, implementované na útočnom uzle. Treba poznamenať, že v tejto klasifikácii nezasiahla celú triedu tzv. "Pasívnych" útokov ("počúvanie" dopravy, "False DNS server", "Substitúcia ARP-Server" atď.).

Klasifikácia útokov realizovaných v mnohých systémoch detekcie útoku nemôžu byť kategoricky. Napríklad útok, implementácia, ktorý pre UNIX OS (napríklad prepadnutie statového vyrovnávacieho) môže mať najvýznamnejšie následky (najvyššia priorita), pre systém Windows NT nemožno použiť vôbec alebo mať veľmi nízke riziko. Okrem toho existuje zmätok a v menách útokov a samotných zraniteľností. Rovnaký útok môže mať rôzne mená rôznych výrobcov systémov detekcie útokov.

Jednou z najlepších databáz zraniteľností a útoku je databáza X-Force sa nachádza na adrese: http://xforce.iss.net/. Prístup k nej môže byť vykonaný tak, ako sa prihlásil na bezplatný dávkovač výstražného zoznamu varovania X-Force a interaktívnym vyhľadávaním v databáze na webovom serveri ISS.

Záver

Nenechávajte zraniteľné miesta v komponentoch informačných systémov, mnohé útoky nemohli byť implementované, a preto by tradičné systémy ochrany by boli celkom efektívne vyrovnať s možné útoky. Programy sú však napísané ľuďmi, ktorí majú tendenciu robiť chyby. V dôsledku toho sa objavujú zraniteľné miesta, ktoré používajú útočníci na implementáciu útokov. Sú však len polbie. Ak boli všetky útoky postavené podľa modelu "jeden až jeden", potom s nejakým úsekom, ale firewally a iné ochranné systémy by im mohli odolať. Ukázali sa však, že koordinované útoky, proti ktorým už nie sú tradičné finančné prostriedky ako účinné. A tu na pódiu a nové technológie - technológie na zisťovanie útokov. Dané systematizačné údaje o útokoch a fázach ich implementácie dávajú potrebný základ pre pochopenie technológií detekovania útokov.

Nástroje na detekciu počítačov

Technológia detekcie útoku by mala vyriešiť nasledujúce úlohy:

• Uznávanie známych útokov a varovanie o nich príslušnej personálu.
• "Pochopenie" často nezrozumiteľné zdroje informácií o útokoch.
• Výnimka alebo zníženie nákladu na personál zodpovedný za bezpečnosť zo súčasných bežných operácií na kontrolu používateľov, systémov a sietí, ktoré sú komponentmi firemnej siete.
• Schopnosť kontrolovať neexistencií v oblasti bezpečnosti.
• Kontrola všetkých činností subjektov firemnej siete (používatelia, programy, procesy atď.).

Často systémy detekcie útoku Môže vykonávať funkcie, ktoré výrazne rozširujú svoj rozsah aplikácie. Napríklad,

• Kontrola účinnosti firewallov. Napríklad, inštalácia systému detekcie útoku po pOŽARNE dvere (V rámci firemnej siete) vám umožňuje odhaliť útoky chýbajúce ITU a teda určiť chýbajúce pravidlá na bráne firewallu.
• Riadiace sieťové uzly s nešpecifikovanými aktualizáciami alebo uzlami so zastaraným softvérom.
• Blokovanie a monitorovanie prístupu k konkrétnym internetovým uzlom. Hoci systémy na detekciu útoku sú ďaleko od firewalls a systémy riadenia prístupu pre rôzne adresy URL, ako napríklad Websweeper, môžu vykonávať čiastočné riadenie a blokovanie prístupu niektorých užívateľov firemných sietí na jednotlivé internetové zdroje, napríklad na pornografickým používateľom obsahu. Toto je potrebné, keď organizácia nemá žiadne peniaze na nákup a firewall a systém detekcie útokov a funkcie ITU sú distribuované medzi systémom detekcie útoku, smerovačom a proxy serverom. Okrem toho systémy detekcie útoku môžu monitorovať prístup zamestnancov na servery založené na kľúčových slovách. Napríklad sex, práca, crack atď.
• Kontrola e-mailov. Systémy na detekciu útoku môžu byť použité na kontrolu nespoľahlivých zamestnancov pomocou e-mailu na vykonávanie úloh, ktoré nie sú zahrnuté do svojich funkčných povinností, napríklad poštou životopisu. Niektoré systémy môžu detekovať vírusy v e-mailových správach a hoci skutočné antivírusové systémy sú ďaleko, stále túto úlohu naplnia efektívne.

Najlepšie využitie času a skúseností odborníkov v oblasti informačnej bezpečnosti je odhaliť a odstrániť dôvody implementácie útokov, a nie pri odhaľovaní samotných útokov. Odstránenie príčin útokov, t.j. Nájdenie a odstránenie zraniteľnosti, správca, čím eliminuje skutočnosť potenciálnej implementácie útokov. V opačnom prípade sa útok opakuje raz naraz, neustále požaduje úsilie a pozornosť administrátora.

Klasifikácia systémov detekcie útokov

Existuje veľký počet rôznych klasifikácií systémov detekcie útokov, avšak najbežnejšia klasifikácia je na princípe implementácie: \\ t

1. hostiteľa., To znamená, že objavovanie útokov zameraných na konkrétny sieťový uzol, \\ t
2. sieťové pásmo.To znamená, že detekcia útokov zameraných na celú sieť alebo sieťový segment.

Systémy na detekciu útoku, ktoré ovládajú samostatný počítač, zvyčajne zbierajú a analyzujú informácie z registračných protokolov operačného systému a rôznych aplikácií (webový server, DBMS atď.). Týmto princípom funguje funkcie Sensor RealSecure OS. Nedávno však začali získať distribúciu systému, úzko integrovaný s jadrom OS, čím poskytuje efektívnejší spôsob, ako odhaliť porušovanie bezpečnosti politiky. Okrem toho môže byť takáto integrácia implementovaná dvoma spôsobmi. Po prvé, môžu byť monitorované všetky systémové hovory (Entercept Works) alebo všetka prichádzajúca / odchádzajúca sieťová prevádzka (serverový senzor servera RealSecure). V druhom prípade systém detekcie útoku zachytáva všetku sieťovú prevádzku priamo zo sieťovej karty, čím sa obchádza operačný systém, ktorý znižuje závislosť na ňom a tým znižuje bezpečnosť systému detekcie útoku.

Systémy detekcie siete Zhromažďovať informácie zo samotnej siete, ktorá je od siete. Tieto systémy môžu byť vykonané na pravidelných počítačoch (napríklad realSecure sieťový senzor), na špecializovaných počítačoch (napríklad RealSecure pre Nokia alebo Cisco Secure IDS 4210 a 4230) alebo integrované do smerovačov alebo prepínačov (napríklad integrovaný softvér Ciscosecure IOS alebo Cisco Catalyst 6000 Ids Modul). V prvom dvoch prípadoch sa analyzované informácie zhromažďujú zachytávaním a analýzou paketov pomocou sieťových rozhraní v režime Messy (promiskuitný režim). V druhom prípade sa zachytávanie dopravy vykonáva z pneumatiky sieťového zariadenia.

Detekcia útokov si vyžaduje vykonanie jednej z dvoch podmienok - alebo pochopenie očakávaného správania kontrolovaného objektu alebo znalosti všetkých možných útokov a ich úprav. V prvom prípade sa používa abnormálna technológia detekcie správania a v druhom prípade technológia odhaľovania škodlivého správania alebo zneužitia. Druhou technológiou je opísať útok ako šablónu alebo podpis a vyhľadať túto šablónu v kontrolovanom priestore (napríklad záznam sieťovej prevádzky alebo registrácie). Táto technológia je veľmi podobná detekcii vírusov (antivírusové systémy sú živým príkladom systému detekcie útoku), t.j. Systém môže detekovať všetky známe útoky, ale je to málo prispôsobené na detekciu nových, stále neznámych útokov. Prístup, ktorý bol implementovaný v takýchto systémoch, je veľmi jednoduchý a je na tom, že takmer všetky systémy na detekciu útoku sú založené na trhu.

Takmer všetky systémy na detekciu útoku sú založené na prístupe podpisu.

Výhody systémov detekcie útokov

Môžete si uviesť rôzne výhody detekčných systémov útokov pôsobiacich na úrovni uzla a siete. Budem však bývať len na niekoľkých z nich.

Prepínanie vám umožňuje spravovať rozsiahle siete ako niekoľko malých sieťových segmentov. V dôsledku toho je ťažké určiť najlepšie miesto na inštaláciu systému, ktorý zistí útok v sieťovej prevádzke. Niekedy špeciálne porty (porty s rozpätím) môže pomôcť na prepínačoch, ale nie vždy. Detekcia útokov na špecifickej úrovni uzla poskytuje efektívnejšiu prevádzku v spínaných sieťach, pretože vám umožní umiestniť detekčné systémy len na tie uzly, na ktorých je to potrebné.

Systémy na úrovni sieťových úrovní nevyžadujú, aby systém detekcie útoku nainštaloval na každom hostiteľovi. Vzhľadom k tomu, že monitorovať celú sieť, počet miest, v ktorých je inštalovaný IDS, je malé, náklady na ich prevádzku v podnikovej sieti sú nižšie ako náklady na využívanie útočných systémov na úrovni systému. Okrem toho, na ovládanie sieťového segmentu, vyžaduje sa len jeden senzor, bez ohľadu na počet uzlov v tomto segmente.

Sieťový balíček, ktorý je ponechaný s útočníkom, už nemôže byť vrátený späť. Systémy pôsobiace na úrovni siete používajú "Live" prevádzku pri útokoch na útoky v reálnom čase. Útočník teda nemôže odstrániť stopy svojej neoprávnenej činnosti. Analyzované údaje zahŕňajú nielen informácie o metóde útoku, ale aj informácie, ktoré môžu pomôcť pri identifikácii útočníka a dôkazov na súde. Vzhľadom k tomu, mnoho hackerov je dobre oboznámení s mechanizmami registrácie systému, vedia, ako manipulovať s týmito súbormi, aby skryli stopy svojich aktivít, čo znižuje efektívnosť systémových systémov, ktoré vyžadujú tieto informácie, aby zistili útok.

Systémy pôsobiace na úrovni siete zisťujú podozrivé udalosti a útoky, ako sa vyskytujú, a preto poskytujú oveľa rýchlejšie oznámenie a reakciu ako systémy, ktoré analyzujú registračné protokoly. Napríklad hacker, ktorý iniciuje útok na zlyhanie siete na protokole TCP, môže byť zastavený systémom detekcie sieťovej vrstvy, ktorý posiela TCP paket s resetovým flagom nastaveným na dokončenie spojenia s útočiacim uzlom pred útokom spôsobuje zničenie alebo poškodenie napadnutý uzol. Systémy registrácie Systémy protokolovania nerozpoznávajú útoky, kým sa po vykonaní záznamu vykonajú zodpovedajúce zadanie protokolu a odozvujte. V tejto dobe môžu byť najdôležitejšie systémy alebo zdroje, ktoré už možno ohroziť alebo porušiť výkon systému, ktorý prevádzkuje systém detekcie útoku na úrovni uzla. Oznámenie v reálnom čase vám umožní rýchlo reagovať v súlade s preddefinovanými parametrami. Rozsah týchto reakcií sa líši od povolenia prieniku v režime monitorovania, aby sa zhromaždili informácie o útoku a útoku, až kým okamžité ukončenie útoku.

A nakoniec, detekčné systémy útokov pôsobiacich na úrovni siete nezávisia od operačných systémov inštalovaných v podnikovej sieti, pretože prevádzkujú sieťovú prevádzku, ktorú všetky uzly v oblasti výmeny firemnej siete. Systém detekcie útoku je stále, ktorý OS vytvoril jeden alebo iný balík, ak je v súlade s normami podporovanými detekčným systémom. Napríklad Windows 98, Windows NT, Windows 2000 a XP, NetWare, Linux, Macos, Solaris, atď. Tento protokol bude schopný zistiť útoky zamerané na tento systém OS.

Zdieľanie používania detekčných systémov na úrovni siete a úroveň uzla zvýši bezpečnosť siete.

Systémy detekcie siete a firewally

Najčastejšie sa systémy detekcie siete snažia nahradiť firewallmi, ktoré budú dokončené, že tieto poskytujú veľmi vysokú úroveň bezpečnosti. Nemali by ste však zabudnúť, že brány firewall sú len systémy založené na pravidlách, ktoré umožňujú alebo zakazujú prechod dopravy cez ne. Dokonca aj brány firewall postavené na technológii "" neumožňujú hovoriť s dôverou, či je útok prítomný v premávke ovládané nimi alebo nie. Môžu povedať, či dopravu zodpovedá pravidlu alebo nie. Napríklad ITU je nakonfigurovaný tak, aby blokoval všetky pripojenia okrem pripojení TCP na 80 portov (to znamená HTTP prevádzka). Akákoľvek premávka cez 80. port je teda legitímny z hľadiska ITU. Na druhej strane, systém detekcie útoku tiež kontroluje prevádzku, ale hľadá príznaky útoku. Stará sa trochu, pre ktorú je určený premávka. V predvolenom nastavení je všetka prevádzka systému detekcie útoku podozrivá. To znamená, že napriek skutočnosti, že systém detekcie útoku funguje s rovnakým zdrojom údajov ako ITU, to znamená, že so sieťovou prevádzkou vykonávajú funkcie navzájom. Napríklad HTTP požiadavka "get /..../../../etc/passwd http / 1,0". Takmer všetky ITU umožňuje prechod tejto žiadosti prostredníctvom seba. Systém detekcie útoku však ľahko zistí tento útok a blokuje ho.

Môžete kresliť nasledujúcu analógiu. Firewall je obvyklý turniket nainštalovaný na hlavnom vstupe do vašej siete. Okrem hlavných dverí sú však iné dvere, ako aj okná. Maskovanie pod skutočným zamestnancom alebo zadaním dôvery v stráž na turnikete, môže útočník niesť tryskacie zariadenie alebo zbraň cez turniket. Málo. Útočník vám môže vyliezť cez okno. To je dôvod, prečo je potrebné pre detekčné systémy útokov, ktoré posilňujú ochranu poskytnutú brány firewall, ktoré sú dokonca potrebné, ale samozrejme nedostatočným prvkom zabezpečenia siete.

POŽARNE dvere - Nie pannatea!

Možnosti reakcie na zistené útok

Nestačí odhaliť útok - je potrebné zodpovedajúcim spôsobom reagovať. Presne odpovediami, ktoré určujú účinnosť systému detekcie útoku. K dnešnému dňu sú ponúkané nasledujúce možnosti odpovedí:

• Oznámenie o konzole (vrátane zálohovania) systémov detekcie útoku alebo integrovanú konzolu systému (napríklad firewall).
• Zvuk upozornenie o útoku.
• Generovanie kontrolných sekvencií SNMP pre systémy riadenia siete.
• Generovanie správy útoku e-mailom.
• Dodatočné upozornenia na pager alebo faxe. Veľmi zaujímavé, aj keď zriedka aplikuje príležitosť. Oznámenie o detekcii neoprávnenej činnosti nie je odoslané administrátorovi, ale útočníkovi. Podľa priaznivcov tejto možnosti tejto odpovede, porušovateľ, ktorý sa dozvedel, že bol objavený, nútený zastaviť svoje činy.
• Povinná registrácia detekovateľných udalostí. Ako protokol registrácií môže byť:
  • textový súbor
  • systémový protokol (napríklad v Cisco Secure Integrovaný softvérový systém),
  • Špeciálny formát textového súboru (napríklad v systéme snort),
  • miestny databáza prístupu MS,
  • SQL databázy (napríklad v systéme reality).
  Je potrebné vziať do úvahy, že objem registrovaných informácií vyžaduje zvyčajne SQL-databázu - MS SQL alebo ORACLE.
• Trasa podujatia (Trasa udalosti), t.j. Zaznamenajte ich v sekvencii a rýchlosťou, s ktorou ich útočník uvedomil. Potom môže administrátor v ktoromkoľvek určenom čase posúvať (replay alebo prehrávanie) potrebný postup udalostí pri danej rýchlosti (v reálnom čase, s akceleráciou alebo spomalením) na analýzu aktivít útočníka. To umožní pochopiť jeho kvalifikácie používané na útokové nástroje atď.
• Prerušenie činností útoku, t.j. Dokončenie spojenia. To možno urobiť ako:
  • spojenie únos a balík balíka s príznakom RST sada na oboch účastníkov v sieťovom spojení v mene každého z nich (v detekčnom systéme útokov pôsobiacich na úrovni siete);
  • uzamknutie účtu účtu útoku (v systéme detekcie útoku na úrovni uzla). Takéto blokovanie sa môže vykonávať buď v určitom časovom období, alebo kým účtu nie je odomknutý správcom. V závislosti od oprávnení, s ktorými je systém detekcie útoku spustený, zámok môže pôsobiť v rámci samotného počítača, na ktorý je útok zameraný a v rámci celej domény siete.
• Rekonfigurácia sieťových zariadení alebo firewallov. Ak je útok zistený na smerovači alebo firewall, príkaz je odoslaný na zmenu zoznamu riadenia prístupu. Následne budú všetky pokusy o pripojenie od útočníka zamietnuť. Podobne ako blokovanie účtu útočníka, zmena zoznamu riadenia prístupu môže byť vykonaná alebo v danom časovom intervale alebo kým sa nezruší zmenu správca rekonfigurovateľných sieťových zariadení.
• Blokovanie sieťovej prevádzky, ako je implementovaná v bránach firewall. Táto možnosť vám umožňuje obmedziť prevádzku, ako aj príjemcov, ktorí môžu pristupovať k zdrojom chráneného počítača, čo vám umožní vykonávať funkcie dostupné v osobných firewalloch.

Zvláštnym záujmom o zváženie sú vzdialené, sieťové útoky. Záujem o tento typ útoku je spôsobený tým, že všetky väčšie rozdelenie na svete sa získa distribuované systémy na spracovanie údajov. Väčšina používateľov pracuje so vzdialenými zdrojmi pomocou internetovej siete a zásobníka protokolu TCP / IP. Internet bol pôvodne vytvorený na komunikáciu medzi vládnymi agentúrami a univerzitami na pomoc vzdelávaciemu procesu a vedeckému výskumu a tvorcovia tejto siete nemali podozrenie, aké široké sa šíri. V dôsledku toho v špecifikáciách včasných verzií internetového protokolu (IP) neboli žiadne bezpečnostné požiadavky. Preto sú mnohé implementácie OP pôvodne zraniteľné.

Kurz sa zaoberá nasledujúcimi útokmi a spôsobmi, ako ich bojovať.

Útok "sniffinia". SNIFFER balíčky je aplikačný program, ktorý používa sieťovú kartu pracujúcu v režime promiskuitného režimu (v tomto režime, všetky pakety získané fyzikálnymi kanálmi, sieťový adaptér posiela aplikáciu na spracovanie). Zároveň sniffer zachytáva všetky sieťové pakety, ktoré sa prenášajú cez určitú doménu. V súčasnosti pracujú v sieťach na úplne legitímne. Používajú sa na diagnostikovanie porúch a analyzovanie prevádzky. Avšak vzhľadom na to, že niektoré sieťové aplikácie prenášajú údaje v textovom formáte (Telnet, FTP, SMTP, POP3, atď.), Používanie sniffer môžete naučiť užitočné a niekedy dôverné informácie (napríklad používateľské mená a heslá) .

Zachytenie mien a hesiel vytvára väčšie nebezpečenstvo, pretože používatelia často používajú rovnaké užívateľské meno a heslo pre rôzne aplikácie a systémy. Mnohí používatelia majú vo všeobecnosti jedno heslo na prístup ku všetkým zdrojom a aplikáciám. Ak aplikácia pracuje v režime klienta / servera a autentifikačné údaje sa prenášajú cez sieť v čitateľnom textovom formáte, tieto informácie môžu byť použité s vysokou pravdepodobnosťou na prístup k ostatným firemným alebo externým zdrojom. V najhoršom prípade útočník dostane prístup k zdroju používateľa na úrovni systému a s tým vytvára nového používateľa, ktorý môže byť použitý kedykoľvek na prístup k sieti a jeho zdrojov.

Môžete zmäkčiť hrozbu balení s čuchaním pomocou nasledujúcich nástrojov:

Overenie. Silné autentifikačné nástroje sú prvým spôsobom, ako chrániť pred sniffingovými balíkmi. Pod "silným" chápeme tento spôsob autentifikácie, ktorý je ťažké sa dostať okolo. Príkladom takejto autentifikácie je jednotlivé heslá (OTP - jednorazové heslá). OTP je dvojfaktorová autentizácia technológia. Typickým príkladom dvojfaktorovej autentifikácie je prevádzka pravidelného bankomatu, ktorý vás identifikuje, po prvé, na vašej plastovej karte a po druhé, podľa zavedeného PIN kódu. Pre autentifikáciu v systéme sa vyžaduje aj PIN a vaša osobná karta. Pod "kartou" (token) znamená hardvér alebo softvér, ktorý generuje (náhodným princípom) je jedinečné jednorazové heslo. Ak útočník rozpozná toto heslo pomocou SNIFFER, tieto informácie budú zbytočné, pretože v tomto bode sa heslo už používa a odstránené z používania. Všimnite si, že tento spôsob boja proti sniffingu je účinný len na boj proti zachyteniu hesla. SniFifiers, zachytenie ďalších informácií (napríklad e-mailové správy), nestratia jeho účinnosť.

Prepínateľná infraštruktúra. Ďalším spôsobom, ako bojovať proti Sniffing paketov v sieťovom prostredí, je vytvoriť prepínanú infraštruktúru. Ak napríklad v celej organizácii, zapnuté Ethernet, votrelci môžu pristupovať k návštevnosti vstupu do portu, ku ktorému sú pripojené. Prepínaná infraštruktúra neodstraňuje hrozbu hydrophingu, ale výrazne znižuje jeho ostrosť.

Anti-sniffer. Tretím spôsobe, ako bojovať proti Sniffingu, je inštalácia hardvéru alebo softvéru, ktorý rozpoznáva Sniffers pôsobiacich v sieti. Tieto prostriedky nemôžu úplne odstrániť hrozbu, ale ako mnoho ďalších nástrojov zabezpečenia siete sú zahrnuté do celkového systému ochrany. Takzvané "anti-sniffers" merajú čas odozvy hostiteľov a určí, či hostitelia musia zvládnuť "extra" prevádzku.

Kryptografia. Najefektívnejší spôsob, ako bojovať proti baleniam, nebráni odpočúvaniu a neuznáva prácu snifferov, ale robí túto prácu zbytočné. Ak je komunikačný kanál kryptograficky chránený, to znamená, že útočník nezachytí nie je správu, ale šifrovaný text (to znamená nekomputickú sekvenciu bitov).

Útok "IP spoofing". Tento útok nastáva, keď útočník, ktorý je vo vnútri korporácie alebo mimo nej, poskytuje sankcionovaný užívateľ. Najjednoduchším dôvodom použitia adries substrátu IP je na túžbu hackeru skryť svoje aktivity v oceáne sieťovej aktivity. Napríklad nástroj NMAP3 Sieťový program používa distribúciu ďalších paketových sekvencií, z ktorých každý používa svoju vlastnú vecnú IP adresu odosielateľa. Zároveň hacker vie, ktoré adresy IP sú splnené a aké pakety v každej sekvencii sú skutočné. Správca zabezpečenia systému, ktorý je napadnutý, bude nútený analyzovať mnoho umiestnených IP adresy predtým, ako určuje skutočnú IP adresu hackeru.

Ďalším dôvodom, prečo Cracker používa spätnú väzbu IP adresy, je túžba skryť vašu identitu. Faktom je, že je možné sledovať IP adresu až do samostatného systému a niekedy aj na samostatný používateľ. Preto sa s pomocou OP snaží zabrániť detekcii. Použitie IP adries podkladu však prináša množstvo ťažkostí.

Všetky odpovede napadnutého systému sú odoslané na adresu plaidnej IP. Aby ste mohli zobraziť alebo prijať tieto odpovede, musí byť hacker na ceste z hacknutého stroja na rovinu IP adresu (aspoň teoreticky). Pretože odpoveď nemusí nevyhnutne prejsť rovnakou trasou ako podvrstvový balík, cracker môže stratiť vrátenú návštevnosť. Aby sa tomu zabránilo, porušovateľ môže zasahovať do prevádzky jedného alebo viacerých medziľahlých smerovačov, ktorých adresy sa použijú ako substrát na presmerovanie návštevnosti na iné miesto.

Ďalším prístupom je, že útočník uhádol poradové čísla TCP vopred, ktoré používajú napadnutý stroj. V tomto prípade nemusí dostávať balík SYN-ACK, pretože jednoducho generuje a pošle pýta balíček s preddavkovým poradovým číslom. V prvom implementáciách IP stohov sa použili predné schémy pre výpočet sekvenčných čísel, takže boli citlivé na nanesené tokové toky. V moderných implementáciách predpovedať poradové číslo je už ťažšie. Systém siete NMAP pre stavbu NMAP má schopnosť odhadnúť zložitosť predikcie sekvenčného počtu systémov, ktoré sú vystavené skenovanie.

V tretej verzii môže cracker zasahovať do práce jedného alebo viacerých smerovačov umiestnených medzi jeho serverom a serverom, ktorý je napadnutý. To umožňuje priamu spätnú dopravu určenú na adresu nôh do systému, z ktorého nastala invázia. Po dokončení hackingu sa router uvoľní do kvapky.

Nakoniec, útočník nemusí mať úmysel reagovať na balík syn-ACK, ktorý sa vracia z "obete". To môže byť dva dôvody. Možno hacker produkuje polovičné skenovanie portov, známych Syn Scan.V tomto prípade sa zaujíma len o počiatočnú odpoveď z vozidla, ktorá je napadnutá. Kombinácie príznakov RST-ACK znamená, že port je zatvorený a kombinácia syn-ACK je otvorená. Cieľ sa preto dosiahne, nie je potrebné reagovať na tento balík syn-ACK. Možná možnosť je tiež možná, keď sa vykonáva syn-hacking Avalanche. V tomto prípade, cracker nielen nereaguje na syn-ACK alebo RST-ACK pakety, ale nie je vôbec záujem o typ paketov prijatých z hacknutého systému.

Útoky na rušenie IP sú často východiskovým bodom pre iné útoky. Klasickým príkladom je DOS útok, ktorý začína cudzou adresou, ktorá skrýva skutočnú identitu útočníka.

Zvyčajne, IP spoofing je obmedzený na vloženie falošných informácií alebo škodlivých príkazov k normálnemu dátovému toku prenášanému medzi aplikáciou klienta a servera alebo na komunikačný kanál medzi peerovými zariadeniami.

Ako už bolo uvedené, útočník musí zmeniť všetky smerovacie tabuľky na odosielanie návštevnosti na falošnú adresu IP na odosielanie návštevnosti na falošnú adresu IP. Niektorí útočníci sa však ani nesnažia získať odpoveď z aplikácií. Ak je hlavnou úlohou získať z dôležitého systému súborov, odpovede aplikácie nezáleží. Ak útočník podarí zmeniť smerovacie tabuľky a poslať prevádzku na falošnú adresu IP, útočník dostane všetky balíky a môže na ne reagovať, ako keby bol sankcionovaný užívateľ.

Hrozba spoofovania je možné uvoľniť (ale nie odstrániť) s nasledujúcimi opatreniami:

Riadenie prístupu. Najjednoduchší spôsob, ako zabrániť IP spoofingu, je správne konfigurovať kontrolu prístupu. Aby ste znížili efektívnosť IP spoofingu, musíte konfigurovať kontrolu prístupu na odrezanie akejkoľvek prevádzky pochádzajúcej z externej siete so zdrojovou adresou, ktorá by mala byť umiestnená vo vašej sieti. Všimnite si, že pomáha bojovať s IP spoofing, keď sú povolené iba interné adresy. Ak sú povolené niektoré adresy externej siete, táto metóda sa stáva neúčinným.

Filtrovanie RFC 2827. Pokusy o pokaziť iné siete používateľom chránenej siete sú vzkriesené, ak je nejaká odchádzajúca prevádzka zamietnutá, ktorej počiatočná adresa nie je jednou z IP adries chránenej organizácie. Tento typ filtrovania, známy ako "RFC 2827", môže tiež vykonať váš poskytovateľ (ISP). V dôsledku toho sa zvolá všetka prevádzka, ktorá nemá zdrojovú adresu očakávanú na konkrétnom rozhraní. Napríklad, ak ISP poskytuje pripojenie k IP adresu 15.1.1.0/24, môže nakonfigurovať filter tak, aby bol z adresy 15.1.1.0/24 povolený iba premávka z tohto rozhrania k smerovaču ISP. Všimnite si, že kým všetci poskytovatelia zavádzajú tento typ filtrovania, jej účinnosť bude oveľa nižšia. Okrem toho, ďalej z filtrovaných zariadení, tým ťažšie je vykonať presné filtrovanie. Napríklad filtrovanie RFC 2827 na úrovni Access Routera vyžaduje prejsť všetku návštevnosť z hlavnej siete adresy (10.0.0.0.8), zatiaľ čo na úrovni distribúcie (v tejto architektúre) môžete presnejšie obmedziť prevádzku (adresa - 10.1.5.0/24).

IP spoofing môže fungovať len pod podmienkou, že autentifikácia sa vyskytuje na základe IP adries. Zavedenie dodatočných autentifikačných metód je preto tento typ útokov zbytočných. Najlepší druh dodatočnej autentifikácie je kryptografický. Ak to nie je možné, dve-faktorové autentifikácie môže poskytnúť dobré výsledky pomocou jednorazových hesiel.

Odmietnutie služby - DOS).Dos, bez akýchkoľvek pochybností, je najslávnejšia forma útokov. Okrem toho, proti útokom sú ťažšie vytvoriť sto percent ochrany. Jednoduchá implementácia a obrovská škoda priťahovala DOS Bližšia pozornosť administrátorom zodpovedným za bezpečnosť siete. Najznámejšie odrody útoku sú: tcp syn povodne; Ping smrti; Tribe Povodňová sieť (TFN) a Tribe Povodňová sieť 2000 (TFN2K); Trinco; Stacheldracht; Trojica.

Zdrojom informácií o týchto útokoch je skupina núdzovej reakcie na počítačové problémy (CERT - Počítačové núdzové reakcie tímu), publikované na boji proti útokom na DOS.

DOS útoky sa líšia od útokov iných typov. Nie sú zamerané na získanie prístupu k vašej sieti alebo získať akékoľvek informácie z tejto siete. Útok DOS robí sieť neprístupnú pre bežné použitie prekročením prípustných limitov prevádzky siete, operačného systému alebo aplikácie. V prípade použitia niektorých aplikácií serverov (napríklad webový server alebo FTP server), DOS útoky môžu byť prijať všetky pripojenia k dispozícii tieto aplikácie a udržiavať ich v rušnom stave, ktorý neumožňuje údržbu bežných používateľov. Počas DOS útokov môžu byť použité konvenčné internetové protokoly, ako napríklad TCP a ICMP (Protokol o kontrolnej správe Internet Control).

Väčšina útokov DOS sú založené na chybách programu alebo baroch v bezpečnostnom systéme, ale na všeobecných nedostatkoch systémovej architektúry. Niektoré útoky sú znížené na výkon nulovej siete, ohromujúci ho s neželanými a zbytočnými baliarmi alebo informovaním nepravdivých informácií o aktuálnom stave sieťových zdrojov. Tento typ útoku je ťažké zabrániť, pretože to vyžaduje koordináciu s poskytovateľom. Ak prevádzka určená pre prepad siete nezastaví poskytovateľa, potom nebude fungovať pri vstupe do siete, pretože celá šírka pásma bude zaneprázdnená. Keď sa útok tohto typu vykonáva súčasne prostredníctvom mnohých zariadení, hovoríme o DOS Distributed Attack (DDOS - distribuované DOS).

Hrozba útokov DOS sa môže znížiť tromi spôsobmi:

Funkcie anti-spoofingu. Správna konfigurácia funkcií proti spoofingu na vašich smerovačoch a firewallách pomôže znížiť riziko DOS. Tieto funkcie by mali zahŕňať filtrovanie RFC 2827. Ak útočník nemôže zamaskovať svoju skutočnú osobnosť, je nepravdepodobné, že sa rozhodne o útoku.

Anti-DOS funkcie. Správna konfigurácia funkcií anti-DOS na smerovačoch a firewallách môže obmedziť účinnosť útokov. Tieto funkcie často obmedzujú počet polopriehľadných kanálov kedykoľvek.

Obmedzenie rýchlosti (obmedzenie rýchlosti). Organizácia môže požiadať poskytovateľa (ISP), aby obmedzil objem premávky. Tento typ filtrovania vám umožňuje obmedziť množstvo nekritickej dopravy prechádzajúcej v sieti. Behr príkladom je limit premávky ICMP, ktorý sa používa len na diagnostické účely. DOS útoky (D) často používajú ICMP.

Útoky hesla.Útočníci môžu vykonávať hesla útoky pomocou radu metód, ako sú útok hrubej sily, trójsky kôň, ip spoofing a sniffing balíčky. Hoci prihlasovacie meno a heslo môžu byť často získané pomocou IP spoofing a sniffing balíčkov, hackeri sa často snažia zvoliť heslo a prihlásiť sa pomocou mnohých pokusov o prístup. Tento prístup je názov jednoduchého busta (útok Brute Force).

Na takýto útok sa často používa špeciálny program, ktorý sa pokúša o prístup k verejným zdrojom (napríklad na server). Ak je to výsledok, útočník dostane prístup k zdrojom, prijíma ho na právach pravidelného používateľa, ktorého heslo bolo vybrané. Ak má tento užívateľ významné prístupové práva, útočník môže vytvoriť pre seba "Pass" pre budúci prístup, ktorý bude konať, aj keď užívateľ zmení svoje heslo a prihlásenie.

Ďalším problémom sa vyskytuje, keď používatelia používajú rovnaké (aj veľmi dobré) heslo pre prístup k mnohým systémom: firemné, osobné a internetové systémy. Keďže stabilita hesla sa rovná stabilite slabého hostiteľa, útočník, ktorý sa naučil heslo prostredníctvom tohto hostiteľa, dostáva prístup k všetkým ostatným systémom, kde sa používa rovnaké heslo.

Po prvé, možno sa vyhnúť útokom hesla, ak nepoužívate heslá v textovom formulári. Jednorazové heslá a / alebo kryptografické autentifikácie môžu prakticky znížiť hrozbu takýchto útokov. Bohužiaľ, nie všetky aplikácie, hostitelia a zariadenia podporujú vyššie uvedené autentifikačné metódy.

Pri používaní bežných hesiel sa pokúste prísť s takýmto heslom, ktoré by bolo ťažké vyzdvihnúť. Minimálna dĺžka hesla by mala byť najmenej osem znakov. Heslo musí obsahovať najvyššie registračné symboly, čísla a špeciálne znaky (#,%, $ atď.). Najlepšie heslá sú ťažké vyzdvihnúť a ťažko zapamätať si, čo núti užívateľom nahrávať heslá na papieri. Aby ste sa vyhli tomu, užívatelia a administrátori môžu mať prospech niekoľko nedávnych technologických pokrokov. Existujú napríklad aplikačné programy šifrovanie zoznamu hesiel, ktorý je možné uložiť vo vreckovom počítači. V dôsledku toho je potrebné, aby sa užívateľ pamätal len jedno ťažké heslo, zatiaľ čo všetky ostatné heslá budú bezpečne chránené.

Útoky ako "man-in-the-stred".Pre útok "man-in-the-stredného" útoku, útočník potrebuje prístup k paketom prenášaným cez sieť. Takýto prístup ku všetkým balíkom prenášaným z poskytovateľa do akejkoľvek inej siete môže napríklad získať zamestnanca tohto poskytovateľa. Pre útoky tohto typu sa často používajú sniffers balíkov, dopravné protokoly a smerovacie protokoly. Útoky sú držané na krádež informácií, zachytenia súčasného zasadnutia a získať prístup k zdrojom súkromnej siete na analýzu prevádzky a získať informácie o sieti a jej užívateľov, na vykonávanie útokov DOS, narušenie prenášaných údajov a zadajte neoprávnené informácie na sieťové stretnutia .

Je možné efektívne riešiť s man-in-the-stredným útokom len s kryptografiou. Ak útočník hladí šifrované údaje o relácii, nebude zachytená na obrazovke a nezmyselný súbor znakov. Všimnite si, že ak útočník dostane informácie o kryptografickom relácii (napríklad kľúč relácie), môže urobiť možný záchvat človeka-in-the-uprostred aj v šifrovanom prostredí.

Útoky na úrovni aplikácie.Útoky na úrovni aplikácií sa môžu vykonávať niekoľkými spôsobmi. Najčastejšie z nich spočíva v používaní známych slabých stránok serverového softvéru (sendmail, http, ftp). Pomocou týchto slabých stránok, útočníci môžu pristupovať k počítaču v mene používateľa, ktorí pracujú s aplikáciou (zvyčajne to nie je jednoduchý užívateľ, ale privilegovaný administrátor s prístupovými právami systému). Informácie o útoku na úrovni aplikácie sú široko publikované tak, aby umožnili správcom opraviť problém pomocou nápravných modulov (záplaty, náplasti). Bohužiaľ, mnohí útočníci majú tiež prístup k týmto informáciám, čo im umožňuje učiť sa.

Hlavným problémom s útokmi na úrovni aplikácie je, že sa často používajú porty, ktoré sú povolené prechádzajúcou cez firewall. Na úplné odstránenie útokov na úrovni aplikácie je nemožné.