Hlavné typy výskumu sieťových útokov. Typy sieťových útokov a hlavné zraniteľnosti

Problémy s bezpečnosťou siete IP

Analýza bezpečnostných hrozieb siete.

Na organizáciu komunikácie v heterogénnom sieťovom prostredí sa používa sada protokolov TCP / IP, ktorá zabezpečuje kompatibilitu medzi počítačmi rôznych typov. Interoperabilita je jednou z hlavných výhod TCP/IP, a preto väčšina počítačových sietí podporuje tieto protokoly. Okrem toho protokoly TCP / IP poskytujú prístup k zdrojom globálneho internetu.

Vďaka svojej popularite sa protokol TCP / IP stal de facto štandardom pre prácu v sieti. Všadeprítomnosť zásobníka TCP / IP však odhalila aj jeho slabé stránky. Pri vytváraní svojho duchovného dieťaťa architekti zásobníka TCP / IP nevideli žiadny dôvod na obavy o zabezpečenie sietí, ktoré sú na ňom postavené. Preto v špecifikáciách starších verzií protokolu IP chýbali bezpečnostné požiadavky, čo viedlo k počiatočnej zraniteľnosti jeho implementácie.

Rýchly rast popularity internetových technológií je sprevádzaný rastom vážnych hrozieb prezradenia osobných údajov, kritických podnikových zdrojov, štátnych tajomstiev atď.

Hackeri a iní útočníci každý deň ohrozujú informačné zdroje siete a snažia sa k nim získať prístup pomocou špeciálnych útokov. Tieto útoky sú čoraz sofistikovanejšie, čo sa týka dopadu, a ich vykonávanie je jednoduché. Uľahčujú to dva hlavné faktory.

Po prvé, je to všadeprítomná penetrácia internetu. Dnes sú do tejto siete pripojené milióny počítačov. V blízkej budúcnosti bude k internetu pripojených mnoho miliónov počítačov, takže pravdepodobnosť, že hackeri získajú prístup k zraniteľným počítačom a počítačovým sieťam, sa neustále zvyšuje. Široké používanie internetu navyše umožňuje hackerom vymieňať si informácie v celosvetovom meradle.

Po druhé, je to rozšírené prijatie ľahko použiteľných operačných systémov a vývojových prostredí. Tento faktor drasticky znižuje požiadavky na úroveň znalostí útočníka. V minulosti sa vyžadovalo, aby mal hacker dobré programovacie znalosti a zručnosti, aby mohol vytvárať a distribuovať malvér. Teraz, aby ste získali prístup k hackerskému nástroju, stačí poznať IP adresu požadovanej stránky a na vykonanie útoku stačí kliknúť myšou.

Problémy zabezpečenia informačnej bezpečnosti v podnikových počítačových sieťach spôsobujú bezpečnostné hrozby pre lokálne pracovné stanice, lokálne siete a útoky na podnikové siete, ktoré majú prístup do verejných sietí na prenos dát.

Sieťové útoky sú také rozmanité ako systémy, proti ktorým sú namierené. Niektoré útoky sú veľmi ťažké. Ostatné môže vykonávať bežný operátor, ktorý ani nevie, aké následky môže mať jeho činnosť.

Útočník si pri vykonávaní útoku zvyčajne stanovuje tieto ciele:

v porušenie dôvernosti prenášaných informácií;

v porušenie integrity a spoľahlivosti prenášaných informácií;

v nefunkčnosť systému ako celku alebo jeho jednotlivých častí.

Z bezpečnostného hľadiska sa distribuované systémy vyznačujú predovšetkým prítomnosťou vzdialené útoky , keďže komponenty distribuovaných systémov zvyčajne využívajú otvorené kanály na prenos dát a narušiteľ môže nielen pasívne počúvať prenášané informácie, ale aj modifikovať prenášanú prevádzku (aktívny vplyv). A ak je možné zaznamenať aktívny vplyv na dopravu, pasívny vplyv je prakticky nezistiteľný. Ale keďže v priebehu fungovania distribuovaných systémov sa výmena servisných informácií medzi systémovými komponentmi uskutočňuje aj prostredníctvom otvorených dátových prenosových kanálov, servisné informácie sa stávajú rovnakým objektom útoku ako užívateľské dáta.

Obtiažnosť identifikácie skutočnosti vzdialeného útoku posúva tento typ protiprávneho konania na prvé miesto z hľadiska stupňa nebezpečenstva, pretože bráni včasnej reakcii na hrozbu, v dôsledku čoho útočník zvyšuje šance na úspech. realizáciu útoku.

Bezpečnosť lokálnej siete v porovnaní s bezpečnosťou medzisieťového pripojenia sa líši v tom, že v tomto prípade je na prvom mieste dôležitosti porušenia registrovaných užívateľov , keďže v podstate sú kanály prenosu dát lokálnej siete umiestnené v kontrolovanom pásme a ochrana pred neoprávneným pripojením k nim je realizovaná administratívnymi metódami.

V praxi sú IP siete zraniteľné voči množstvu neoprávnených prienikov do komunikačného procesu. S rozvojom počítačových a sieťových technológií (napríklad s príchodom mobilných Java aplikácií a ovládacích prvkov ActiveX) sa zoznam možných typov sieťových útokov na IP siete neustále rozširuje [Galitskiy A.V., Ryabko S.D., Shangin V.F. Ochrana informácií v sieti - analýza technológií a syntéza riešení. M.: DMK Press, 2004.].

Pozrime sa na najbežnejšie typy sieťových útokov.

Čuchanie... Dáta cez počítačové siete sú väčšinou prenášané v nechránenom formáte (čistý text), čo umožňuje útočníkovi, ktorý získa prístup k dátovým linkám vo vašej sieti, odpočúvať alebo čítať prevádzku. Na odpočúvanie počítačových sietí použite ňufák. Snímač paketov je aplikačný program, ktorý zachytáva všetky sieťové pakety prenášané cez špecifickú doménu.

V súčasnosti snifferi fungujú v sieťach na úplne legálnom základe. Používajú sa na riešenie problémov a analýzu dopravy. Vzhľadom na skutočnosť, že niektoré sieťové aplikácie prenášajú údaje v textovom formáte (Telnet, FTP, SMTP, POP3 atď.), Pomocou snifferu môžete zistiť užitočné a niekedy dôverné informácie (napríklad používateľské mená a heslá).

Čuchanie hesla prenášané cez sieť v nešifrovanej forme odpočúvaním kanála je typ odpočúvacieho útoku. Zachytenie používateľských mien a hesiel je veľmi nebezpečné, pretože používatelia často používajú rovnaké používateľské meno a heslo pre viacero aplikácií a systémov. Mnoho používateľov má vo všeobecnosti jedno heslo na prístup ku všetkým zdrojom a aplikáciám. Ak je aplikácia spustená v režime klient/server a autentifikačné údaje sa prenášajú cez sieť v čitateľnom textovom formáte, tieto informácie možno s najväčšou pravdepodobnosťou použiť na prístup k iným podnikovým alebo externým zdrojom.

V najhoršom prípade hacker získa prístup k zdroju používateľa na systémovej úrovni a použije ho na vytvorenie atribútov nového používateľa, ktoré je možné kedykoľvek použiť na prístup k sieti a jej zdrojom.

Hrozbe sniffovania paketov môžete zabrániť pomocou nasledujúceho
opatrenia a prostriedky:

v používanie jednorazových hesiel na autentifikáciu;

v inštalácia hardvéru alebo softvéru, ktorý rozpozná
čuchači;

v aplikácia kryptografickej ochrany komunikačných kanálov.

Zmena údajov.Útočník, ktorý vedel čítať
vaše údaje, budete môcť urobiť ďalší krok – zmeniť ich. Údaje v
balík je možné zmeniť, aj keď útočník nič nevie
o odosielateľovi, ani o príjemcovi. Aj keď nepotrebujete prísny
dôvernosť všetkých prenášaných údajov, určite nechcete,
aby sa po ceste zmenili.

Analýza sieťovej prevádzky.Účel útokov ako
typu počúvajú komunikačné kanály a analyzujú prenášané
údaje a informácie o službách s cieľom študovať topológiu a architektúru
budovanie systému, získavanie dôležitých užívateľských informácií
(napríklad prenesené heslá používateľov alebo čísla kreditných kariet
v otvorenej forme). Protokoly ako FTP sú náchylné na útoky tohto typu.
alebo Telnet, ktorého zvláštnosťou je, že používateľské meno a heslo používateľa
sú prenášané v rámci týchto protokolov v čistom texte.

Nahradenie dôveryhodného subjektu. Väčšina sietí a prevádzky
systém používa IP adresu počítača na určenie, či
toto je adresát, ktorého chcete. V niektorých prípadoch nesprávne
pridelenie IP adresy (nahradenie IP adresy odosielateľa inou adresou) - napr
nazýva sa metóda útoku sfalšovaná adresa(IP-spoofing).

Spoofing IP nastáva, keď sa útočník, či už v rámci spoločnosti alebo mimo nej, vydáva za legitímneho používateľa. Útočník by mohol použiť adresu IP, ktorá je v rozsahu povolených adries IP, alebo autorizovanú externú adresu, ktorá má povolený prístup k určitým sieťovým zdrojom. Útočník by tiež mohol použiť špeciálne programy, ktoré tvarujú IP pakety tak, aby vyzerali, že pochádzajú z autorizovaných interných adries v podnikovej sieti.

IP spoofing útoky sú často východiskovým bodom pre ďalšie útoky. Klasický príklad jeútok ako " odmietnutie služby "(DoS), ktorý začína adresou niekoho iného, ​​skrýva skutočnú identitu hackera. Spoofing IP sa zvyčajne obmedzuje na vkladanie nepravdivých informácií alebo škodlivých príkazov do bežného dátového toku medzi klientskymi a serverovými aplikáciami alebo peer-to-peer komunikáciu.

Hrozbu spoofingu možno zmierniť (ale nie eliminovať) nasledujúcimi opatreniami:

v správna konfigurácia riadenia prístupu z externej siete;

v potlačenie pokusov o sfalšovanie sietí iných ľudí používateľmi ich vlastnej siete.

Upozorňujeme, že spoofing IP možno vykonávať iba vtedy, ak sú používatelia overení na základe adries IP, takže zavedenie dodatočných metód overovania používateľov (na základe jednorazových hesiel alebo iných kryptografických metód) môže zabrániť útokom na spoofing IP.

Sprostredkovanie. Mediačný útok zahŕňa aktívne odpočúvanie, zachytenie a kontrolu prenášaných údajov neviditeľným medziuzlom. Keď počítače komunikujú na nízkej úrovni siete, nemôžu vždy určiť, s kým komunikujú.

Sprostredkovanie výmeny nešifrovaných kľúčov (útok Man-in-the-Middle). Aby mohol útočník vykonať útok typu Man-in-the-Middle, potrebuje prístup k paketom prenášaným cez sieť. Takýto prístup ku všetkým paketom prenášaným od ISP do akejkoľvek inej siete môže získať napríklad zamestnanec tohto ISP. Na útoky tohto typu sa často používajú sniffery paketov, transportné protokoly a smerovacie protokoly.

Vo všeobecnejšom prípade sa útoky typu Man-in-the-Middle uskutočňujú s cieľom ukradnúť informácie, zachytiť aktuálnu reláciu a získať prístup k zdrojom súkromnej siete, analyzovať prevádzku a získať informácie o sieti a jej používateľoch, napr. vykonávanie DoS útokov, skresľovanie prenášaných údajov a zavádzanie neoprávnených informácií do sieťových relácií.

Proti útokom typu Man-m-the-Middle možno účinne bojovať iba pomocou kryptografie. Na boj proti tomuto typu útoku sa používa PKI (Infrastructure Public Key Infrastructure).

Únos relácie... Na konci úvodnej autentifikačnej procedúry je spojenie vytvorené legitímnym používateľom, napríklad s poštovým serverom, prepnuté útočníkom na nového hostiteľa a pôvodný server dostane príkaz ukončiť spojenie. Výsledkom je, že „partner“ legitímneho používateľa je nenápadne nahradený.

Po získaní prístupu k sieti má útočník skvelé príležitosti:

v môže odosielať nesprávne údaje do aplikácií a sieťových služieb, čo môže viesť k ich zlyhaniu alebo poruche;

v môže tiež zahltiť počítač alebo celú sieť prevádzkou, kým sa systém nezastaví z dôvodu preťaženia;

v nakoniec môže útočník zablokovať prenos, čo bude mať za následok stratu prístupu autorizovaných užívateľov k sieťovým prostriedkom.

Denial of Service (DoS). Tento útok sa líši od iných typov útokov. Nie je navrhnutý na získanie prístupu do vašej siete alebo extrahovanie akýchkoľvek informácií z tejto siete. Útok DoS robí sieť organizácie nedostupnou pre bežné použitie prekročením limitov prijateľných pre sieť, operačný systém alebo aplikáciu. Tento útok v podstate odopiera bežným používateľom prístup k zdrojom alebo počítačom v sieti organizácie.

Väčšina DoS útokov sa spolieha na bežné slabiny v architektúre systému. V prípade niektorých serverových aplikácií (ako je webový server alebo FTP server) môžu útoky DoS pozostávať z prevzatia všetkých pripojení dostupných týmto aplikáciám a ich zaneprázdnenia, čím sa zabráni

slúžiaci bežným používateľom. DoS útoky môžu využívať bežné internetové protokoly ako TCP a ICMP (Internet Control Message Protocol).

Útokom DoS je ťažké zabrániť, pretože si vyžadujú koordináciu s poskytovateľom. Ak sa prenos určený na pretečenie vašej siete nedá u poskytovateľa zastaviť, na vstupe do siete to už nebudete môcť urobiť, pretože bude obsadená celá šírka pásma.

Ak sa tento typ útoku vykonáva súčasne prostredníctvom mnohých zariadení, hovoríme O DDoS útoku typu Distributed Denial of Service(distribuovaný DoS).

Jednoduchosť útokov DoS a obrovské škody, ktoré spôsobujú organizáciám a používateľom, prilákali tieto útoky pod kontrolu správcov sieťovej bezpečnosti.

Útoky na heslá.Účelom týchto útokov je získať heslo a prihlasovacie meno legitímneho používateľa. Útočníci môžu vykonávať útoky na heslo pomocou techník, ako sú:

v O spoofingu IP adries (IP spoofing);

v odpočúvanie (čmuchanie);

v jednoduché vyhľadávanie.

Spoofing IP a sniffovanie paketov boli diskutované vyššie. Tieto metódy vám umožňujú získať heslo a používateľské meno, ak sú prenášané ako čistý text cez nechránený kanál.

Hackeri sa často pokúšajú uhádnuť heslo a prihlásiť sa pomocou mnohých pokusov o prístup. Tento prístup sa nazýva útok hrubou silou(útok hrubou silou). Tento útok používa špeciálny program, ktorý sa pokúša získať prístup k zdieľanému zdroju (napríklad k serveru). Ak sa v dôsledku toho útočníkovi podarí uhádnuť heslo, získa prístup k zdrojom ako bežný používateľ. Ak má tento používateľ významné prístupové oprávnenia, útočník si môže vytvoriť „pass“ pre budúci prístup, ktorý bude platný aj v prípade, že používateľ zmení svoje heslo a prihlasovacie meno.

Prostriedky na odpočúvanie, hádanie a prelomenie hesiel sa dnes považujú za takmer legálne a oficiálne ich vydáva pomerne veľké množstvo spoločností. Predávajú sa ako softvér na bezpečnostný audit a obnovu hesla a dajú sa legálne zakúpiť od vývojárov.

Útokom na heslá sa možno vyhnúť nepoužívaním hesiel v obyčajnom texte. Používanie jednorazových hesiel a kryptografickej autentifikácie môže prakticky negovať hrozbu takýchto útokov. Bohužiaľ, nie všetky aplikácie, hostitelia a zariadenia podporujú tieto metódy autentifikácie.

Pri používaní bežných hesiel si musíte vymyslieť heslo, ktoré by bolo ťažké uhádnuť. Minimálna dĺžka hesla musí byť aspoň osem znakov. Heslo musí obsahovať veľké písmená, čísla a špeciálne znaky (#, $, &,% atď.).

Hádanie kľúča. Kryptografický kľúč je kód alebo číslo potrebné na dešifrovanie chránených informácií. Aj keď je ťažké zistiť prístupový kľúč a vyžaduje si to veľa zdrojov, napriek tomu je to možné. Na určenie hodnoty kľúča možno použiť najmä špeciálny program, ktorý implementuje metódu hrubej sily. Kľúč, ku ktorému útočník získa prístup, sa nazýva kompromitovaný. Útočník používa kompromitovaný kľúč na získanie prístupu k chráneným prenášaným údajom bez vedomia odosielateľa a príjemcu. Kľúč umožňuje dešifrovať a upravovať dáta.

Útoky na úrovni aplikácie. Tieto útoky možno vykonať niekoľkými spôsobmi. Najbežnejším z nich je využitie známych slabín serverového softvéru (FTP, HTTP, webový server).

Hlavným problémom útokov na aplikačnej vrstve je, že často používajú porty, ktoré môžu prechádzať cez firewall.

Útoky na úrovni aplikácií sú široko publikované, aby umožnili administrátorom opraviť problém pomocou opravných modulov (záplat). Bohužiaľ, veľa hackerov má tiež prístup k týmto informáciám, čo im umožňuje učiť sa.

Útoky na úrovni aplikácie nemožno úplne vylúčiť. Hackeri neustále objavujú a zverejňujú nové zraniteľnosti v aplikačných programoch na svojich internetových stránkach.

Tu je dôležitá dobrá správa systému. Ak chcete znížiť svoju zraniteľnosť voči tomuto typu útoku, môžete vykonať nasledujúce kroky:

v analyzovať protokolové súbory operačných systémov a sieťové protokolové súbory pomocou špeciálnych analytických aplikácií;

v Sledujte údaje CERT o slabých miestach aplikácie.

v používať najnovšie verzie operačných systémov a aplikácií a najnovšie opravné moduly (záplaty);

v používať Intrusion Detection Systems (IDS).

Sieťová inteligencia je zber informácií o sieti pomocou verejne dostupných dát a aplikácií. Pri príprave útoku na sieť sa hacker spravidla snaží získať o nej čo najviac informácií.

Prieskum siete sa vykonáva formou DNS dotazov,
ping sweep a skenovanie portov. DNS dotazy vám pomôžu pochopiť, kto vlastní konkrétnu doménu a aké adresy sú k danej doméne priradené. Pingovanie adries vystavených DNS vám umožňuje zistiť, ktorí hostitelia skutočne bežia vo vašom prostredí. Po získaní zoznamu hostiteľov hacker použije nástroje na skenovanie portov na zostavenie kompletného zoznamu služieb podporovaných týmito hostiteľmi. V dôsledku toho sa získajú informácie, ktoré možno použiť na hackovanie.

Úplne sa zbaviť sieťovej inteligencie je nemožné. Ak napríklad vypnete ICMP echo a echo response na periférnych smerovačoch, zbavíte sa pingovania, ale stratíte dáta, ktoré potrebujete na diagnostiku porúch siete. Okrem toho môžete skenovať porty bez toho, aby ste najprv museli zadať príkaz ping. Trvá to len viac času, pretože budete musieť skenovať aj neexistujúce adresy IP.

Systémy IDS na úrovni siete a hostiteľa zvyčajne dobre informujú správcu o prebiehajúcej inteligencii siete, čo vám umožňuje lepšie sa pripraviť na blížiaci sa útok a upozorniť poskytovateľa internetových služieb, na ktorého sieti systém prejavuje nadmernú zvedavosť.

Zneužívanie dôvery. Tento typ akcie nie je útokom v plnom zmysle slova. Ide o škodlivé použitie dôveryhodných vzťahov, ktoré existujú v sieti. Typickým príkladom tohto zneužívania je situácia na okraji podnikovej siete. Tento segment zvyčajne obsahuje servery DNS, SMTP a HTTP. Keďže všetky patria do rovnakého segmentu, hacknutie jedného z nich vedie k hacknutiu všetkých ostatných, pretože tieto servery dôverujú iným systémom vo svojej sieti.

Riziko narušenia dôvery možno zmierniť prísnejšou kontrolou úrovní dôvery vo vašej sieti. Systémy mimo brány firewall by nikdy nemali úplne dôverovať systémom za bránou firewall.

Dôveryhodné vzťahy by mali byť obmedzené na určité protokoly a ak je to možné, mali by byť overené nielen IP adresami, ale aj inými parametrami. Škodlivé programy. Medzi takéto programy patria počítačové vírusy, sieťové červy a program trójskeho koňa.

Vírusy sú škodlivé programy, ktoré sú vložené do iných programov na vykonávanie určitej nežiaducej funkcie na pracovnej stanici koncového používateľa. Vírus je zvyčajne navrhnutý počítačovými zločincami tak, aby zostal v počítačovom systéme neodhalený čo najdlhšie. Počiatočné obdobie „dormancie“ vírusov je mechanizmom ich prežitia. Vírus sa naplno prejaví v konkrétnom okamihu, keď nastane nejaká udalosť hovoru, napríklad piatok 13., známy dátum atď.

Typ vírusového programu je sieťový červ, ktorý sa šíri po globálnej sieti a nezanecháva svoju kópiu na magnetickom médiu. Tento výraz sa používa na označenie programov, ktoré podobne ako páskové červy prechádzajú z jedného systému do druhého cez počítačovú sieť. Červ využíva sieťové podporné mechanizmy na identifikáciu hostiteľa, ktorý môže byť infikovaný. Potom pomocou rovnakých mechanizmov červ prenesie svoje telo do tohto uzla a buď sa aktivuje, alebo čaká na vhodné podmienky pre aktiváciu. Sieťové červy sú nebezpečným typom malvéru, keďže cieľom ich útoku môže byť ktorýkoľvek z miliónov počítačov pripojených ku globálnemu internetu. Na ochranu pred červom je potrebné prijať opatrenia proti neoprávnenému prístupu do internej siete.

Takzvaný trójske kone(Trójske kone). Trójsky kôň je program, ktorý vyzerá ako užitočná aplikácia I, no v skutočnosti vykonáva škodlivé funkcie (ničí softvér
poskytovanie, kopírovanie a preposielanie súborov s dôvernými údajmi útočníkovi atď.). Nebezpečenstvo trójskeho koňa spočíva v dodatočnom bloku príkazov vložených do pôvodného neškodného programu, ktorý je následne prezentovaný používateľom AU. Tento blok príkazov môže byť spustený, keď nastane podmienka (dátum, stav systému) alebo príkazom zvonku. Používateľ, ktorý spustí takýto program, ohrozuje ako svoje súbory, tak aj celý reproduktorový systém ako celok.

Podľa správy Sophos Security Threat Management Report v prvej polovici roku 2006 počet distribuovaných trójskych koní štvornásobne prevýšil počet vírusov a červov, čo je nárast oproti dvojnásobnému nárastu v prvých šiestich mesiacoch roku 2005. Sophos tiež oznámil vznik nového druhu „trójskych koní“ programov nazývaných ransomware. Takéto programy kradnú údaje z infikovaných počítačov a potom je používateľ požiadaný, aby za ne zaplatil určité výkupné.

Pracovné stanice koncových používateľov sú vysoko zraniteľné voči vírusom, sieťovým červom a trójskym koňom.

Charakteristickou črtou moderných škodlivých programov je ich zameranie na špecifický aplikačný softvér, ktorý sa stal de facto štandardom pre väčšinu používateľov, predovšetkým Microsoft Internet Explorer a Microsoft Outlook. Masové vytváranie vírusov pre produkty Microsoftu sa vysvetľuje nielen nízkou úrovňou bezpečnosti a spoľahlivosti programov, ale aj globálnou distribúciou týchto produktov. Autori malvéru čoraz viac začínajú skúmať diery v populárnych systémoch správy databáz, middleware a podnikových podnikových aplikáciách postavených na týchto systémoch.

Vírusy, červy a trójske kone sa neustále vyvíjajú, hlavným trendom v ich vývoji je polymorfizmus. Dnes je už pomerne ťažké určiť hranicu medzi vírusom, červom a trójskym koňom, používajú takmer rovnaké mechanizmy, rozdiel je len v miere tohto využitia. Zariadenie škodlivého softvéru sa dnes natoľko zjednotilo, že napríklad rozoznať emailový vírus od červa s deštruktívnymi funkciami je takmer nemožné. Dokonca aj v programoch „trójskych koní“ sa objavila funkcia replikácie (ako jeden z prostriedkov boja proti antivírusovým nástrojom), takže ich v prípade potreby možno nazvať vírusmi (s mechanizmom šírenia vo forme prestrojenia za aplikačné programy ).

Na ochranu pred týmito škodlivými programami je potrebné vykonať niekoľko opatrení:

v vylúčenie neoprávneného prístupu k spustiteľným súborom;

v testovanie zakúpeného softvéru;

v kontrola integrity spustiteľných súborov a systémových oblastí;

v vytvorenie uzavretého prostredia vykonávania programov.

Boj proti vírusom, červom a trójskym koňom prebieha pomocou účinného antivírusového softvéru, ktorý beží na úrovni používateľa a prípadne aj na úrovni siete. Ako sa objavujú nové vírusy, červy a trójske kone, je potrebné nainštalovať nové databázy antivírusových nástrojov a aplikácií.

Spam a phishing odkazovať na nesoftvérové ​​hrozby. Prevalencia týchto dvoch hrozieb v posledných rokoch výrazne vzrástla.

Nevyžiadaná pošta, Objem, ktorý v súčasnosti presahuje 80 % celkového objemu poštovej prevádzky, môže ohroziť dostupnosť informácií blokovaním poštových serverov alebo môže byť použitý na distribúciu škodlivého softvéru.

Phishing(phishing) je relatívne nový typ internetového podvodu, ktorého účelom je získanie identifikačných údajov používateľa. To zahŕňa krádež hesiel, čísel kreditných kariet, bankových účtov, PIN kódov a iných dôverných informácií, ktoré umožňujú prístup k peniazom používateľa. Phishing nevyužíva technické chyby v softvéri, ale dôverčivosť používateľov internetu. Samotný pojem phishing, ktorý je v súlade s rybolovom, znamená rybolov s heslom. V skutočnosti je phishing veľmi podobný rybolovu. Útočník hodí návnadu na internet a „chytí všetky ryby“ – používateľov internetu, ktorí návnadu zoberú.

Útočník vytvorí takmer presnú kópiu stránky vybranej banky (elektronický platobný styk, aukcia atď.). Následne je pomocou technológie spamu odoslaný e-mailom list zostavený tak, aby sa čo najviac podobal skutočnému listu z vybranej banky. Pri zostavovaní listu sa používajú logá banky, mená a priezviská skutočných manažérov banky. V takomto liste sa spravidla informuje, že z dôvodu zmeny softvéru v systéme Internet bankingu musí používateľ potvrdiť alebo zmeniť svoje prihlasovacie údaje. Ako dôvod na zmenu údajov možno uviesť zlyhanie softvéru banky alebo útok hackerov. Mať vierohodnú legendu, ktorá nabáda používateľa, aby podnikol potrebné kroky, je nevyhnutnou súčasťou úspechu phishingových podvodníkov. Účel takýchto listov je vo všetkých prípadoch rovnaký – prinútiť používateľa kliknúť na poskytnutý odkaz a následne zadať svoje dôverné údaje (heslá, čísla účtov, PIN kódy) na webovú stránku banky (elektronický platobný styk, aukcia) . Po zadaní falošnej stránky používateľ zadá svoje dôverné údaje do príslušných riadkov a podvodníci potom získajú prístup v najlepšom prípade k jeho poštovej schránke, v horšom prípade k elektronickému účtu.

Technológie phisherov sa zlepšujú, uplatňujú sa metódy sociálneho inžinierstva. Snažia sa klienta vystrašiť, prísť s kritickým dôvodom, prečo by mal poskytnúť svoje dôverné údaje. Správy spravidla obsahujú hrozby, napríklad zablokovanie účtu, ak príjemca nespĺňa požiadavky uvedené v správe.

Bol tam konjugát phishingový koncept - poľnohospodárstvo . Ide tiež o podvod zameraný na získanie osobných údajov používateľov, nie však prostredníctvom pošty, ale priamo prostredníctvom oficiálnych webových stránok. Farmári používajú servery DNS na nahradenie legitímnych digitálnych adries webových stránok falošnými, čo používateľov presmeruje na podvodné webové stránky. Tento typ podvodu je ešte nebezpečnejší, pretože je takmer nemožné všimnúť si falzifikát.

V súčasnosti podvodníci často používajú trójske kone. V tomto prípade je úloha phishera výrazne zjednodušená - stačí prinútiť používateľa, aby prešiel na phishingovú stránku a "vyzdvihol" program, ktorý nezávisle nájde všetko potrebné na pevnom disku obete. Spolu s "Trójskymi koňmi" sa začali používať programy a keyloggery. Falošné webové stránky sťahujú nástroje na spyware, ktoré sledujú stlačenia klávesov na počítačoch obetí. S týmto prístupom nie je potrebné hľadať odkazy na zákazníkov konkrétnej banky alebo spoločnosti, a preto phisheri začali falšovať univerzálne stránky, ako sú spravodajské kanály a vyhľadávače.

Úspech phishingových podvodov napomáha nízka miera informovanosti používateľov o prevádzkových pravidlách spoločností, v mene ktorých páchatelia konajú. Najmä asi 5 % používateľov nevie jednoduchý fakt: banky neposielajú listy so žiadosťou o potvrdenie čísla kreditnej karty a jej PIN kódu online.

Podľa analytikov (www.cnews.ru) škody spôsobené phishermi svetovej ekonomike dosiahli v roku 2003 14 miliárd USD ao rok neskôr dosiahli 44 miliárd USD. Podľa štatistík Symantecu v polovici roku 2004 filtre spoločnosti zablokovali každý týždeň až 9 miliónov e-mailov s phishingovým obsahom. Do konca roka sa za rovnaké obdobie vytriedilo už 33 miliónov.

Spamové filtre zostávajú hlavnou ochranou proti phishingu. Bohužiaľ, softvérové ​​nástroje proti phishingu majú obmedzenú účinnosť, pretože kyberzločinci využívajú predovšetkým ľudskú psychológiu, a nie medzery v softvéri. Aktívne sa vyvíjajú technické bezpečnostné nástroje, predovšetkým pluginy pre populárne prehliadače. Podstatou ochrany je blokovanie stránok, ktoré sú na čiernej listine podvodných zdrojov. Ďalším krokom by mohli byť systémy na generovanie jednorazových hesiel pre internetový prístup k bankovým účtom a účtom v platobných systémoch, plošná distribúcia dodatočných úrovní ochrany prostredníctvom kombinácie zadávania hesla pomocou hardvérového USB kľúča.

Uvedené útoky na siete IP sú možné z niekoľkých dôvodov:

v používanie verejných kanálov na prenos údajov. Kritické údaje sa prenášajú nešifrovane cez sieť;

v zraniteľnosti v autentifikačných procedúrach implementovaných v zásobníku TCP/IP. Informácie o identite vo vrstve IP sa prenášajú v prehľadnej forme;

v nedostatok mechanizmov v základnej verzii zásobníka protokolov TCP/IP na zabezpečenie dôvernosti a integrity prenášaných správ;

v odosielateľ je autentifikovaný svojou IP adresou. Autentifikácia sa vykonáva až vo fáze vytvárania spojenia a neskôr sa pravosť prijatých paketov nekontroluje;

v nedostatok kontroly nad smerovaním správ na internete, vďaka čomu sú útoky na vzdialenú sieť prakticky nepotrestané.

Postup detekcie sieťových útokov.

1. Klasifikácia sieťových útokov

1.1. Sniffery balíkov

Sniffer paketov je aplikačný program, ktorý používa sieťovú kartu pracujúcu v promiskuitnom režime ( v tomto režime sú všetky pakety prijaté cez fyzické kanály odoslané sieťovým adaptérom do aplikácie na spracovanie). Sniffer zároveň zachytáva všetky sieťové pakety, ktoré sa prenášajú cez konkrétnu doménu.

1.2. IP spoofing

Spoofing IP nastáva, keď sa hacker, či už v systéme alebo mimo neho, vydáva za oprávneného používateľa. Dá sa to urobiť dvoma spôsobmi. Po prvé, hacker môže použiť IP adresu, ktorá je v rozsahu autorizovaných IP adries, alebo autorizovanú externú adresu, ktorá má povolený prístup k určitým sieťovým zdrojom. IP spoofing útoky sú často východiskovým bodom pre ďalšie útoky. Klasickým príkladom je DoS útok, ktorý začína adresou niekoho iného, ​​ktorá skrýva skutočnú identitu hackera.

Spoofing IP sa zvyčajne obmedzuje na vkladanie nepravdivých informácií alebo škodlivých príkazov do bežného dátového toku medzi klientskymi a serverovými aplikáciami alebo peer-to-peer komunikáciu. Pre obojsmernú komunikáciu musí hacker upraviť všetky smerovacie tabuľky tak, aby smerovali prevádzku na sfalšovanú IP adresu. Niektorí hackeri sa však ani nepokúšajú získať odpoveď z aplikácií. Ak je hlavnou úlohou získať dôležitý súbor zo systému, na odpovediach aplikácií nezáleží.

Ak sa hackerovi podarí zmeniť smerovacie tabuľky a nasmerovať prevádzku na falošnú IP adresu, hacker dostane všetky pakety a môže na ne reagovať, ako keby bol autorizovaným používateľom.

1.3. Odmietnutie služby ( Denial of Service - DoS)

DoS je najznámejšou formou hackerských útokov. Proti tomuto typu útoku je najťažšie vytvoriť stopercentnú obranu.

Najznámejšie typy DoS:

• TCP SYN Flood Ping of Death Tribe Flood Network ( TFN);
• Tribe Flood Network 2000 ( TFN2K);
• Trinco;
• Stacheldracht;
• Trojica.

DoS útoky sa líšia od iných typov útokov. Nie sú zamerané na získanie prístupu do siete alebo prijímanie akýchkoľvek informácií z tejto siete. Útok DoS robí sieť nedostupnou pre bežné použitie prekročením prijateľných limitov siete, operačného systému alebo aplikácie.

V prípade použitia niektorých serverových aplikácií (napríklad webový server alebo FTP server) Útoky DoS môžu pozostávať z prevzatia všetkých pripojení dostupných týmto aplikáciám a ich zaneprázdnenia, čím bránia bežným používateľom obsluhovať. DoS útoky môžu využívať bežné internetové protokoly ako TCP a ICMP ( Internet Control Message Protocol). Väčšina DoS útokov sa nespolieha na softvérové ​​chyby alebo bezpečnostné diery, ale na všeobecné slabiny v architektúre systému. Niektoré útoky rušia výkon siete zahltením siete nechcenými a nepotrebnými paketmi alebo poskytovaním falošných informácií o aktuálnom stave sieťových zdrojov. Tomuto typu útoku je ťažké zabrániť, pretože si vyžaduje koordináciu s poskytovateľom. Ak sa prenos určený na pretečenie vašej siete nedá u poskytovateľa zastaviť, na vstupe do siete to už nebudete môcť urobiť, pretože bude obsadená celá šírka pásma. Ak sa tento typ útoku vykonáva súčasne prostredníctvom viacerých zariadení, ide o distribuovaný DoS ( DDoS - distribuovaný DoS).

1.4. Útoky na heslá

Hackeri môžu vykonávať útoky na heslo pomocou rôznych techník, ako je útok hrubou silou ( útok hrubou silou), trójsky kôň, spoofing IP a sniffovanie paketov. Hoci prihlasovacie meno a heslo je možné často získať pomocou spoofingu IP a sniffovania paketov, hackeri sa často pokúšajú uhádnuť heslo a prihlásenie pomocou viacerých pokusov o prístup. Tento prístup sa nazýva jednoduchý enumerácia (útok hrubou silou). Na takýto útok sa často používa špeciálny program, ktorý sa pokúša získať prístup k zdieľanému zdroju ( napríklad na server). Ak v dôsledku toho hacker získa prístup k zdrojom, získa ho ako bežný používateľ, ktorého heslo bolo hrubou silou. Ak má tento používateľ významné prístupové práva, hacker si môže vytvoriť „pass“ pre budúci prístup, ktorý bude platný aj v prípade, že používateľ zmení svoje heslo a prihlásenie.

Ďalší problém nastáva, keď používatelia aplikujú to isté ( dokonca veľmi dobré) heslo pre prístup do mnohých systémov: firemných, osobných a internetových systémov. Keďže sila hesla sa rovná sile najslabšieho hostiteľa, hacker, ktorý sa heslo dozvie prostredníctvom tohto hostiteľa, získa prístup do všetkých ostatných systémov, kde sa používa rovnaké heslo.

1.5. Útoky typu Man-in-the-Middle

Pre útok typu Man-in-the-Middle potrebuje hacker prístup k paketom v sieti. Takýto prístup ku všetkým paketom prenášaným od poskytovateľa do akejkoľvek inej siete môže získať napríklad zamestnanec tohto poskytovateľa. Na útoky tohto typu sa často používajú sniffery paketov, transportné protokoly a smerovacie protokoly. Útoky sa vykonávajú s cieľom odcudziť informácie, zachytiť aktuálnu reláciu a získať prístup k zdrojom privátnej siete, analyzovať prevádzku a získať informácie o sieti a jej používateľoch, vykonávať DoS útoky, skresľovať prenášané údaje a vnášať neoprávnené informácie do sieťové relácie.

1.6. Útoky na aplikačnej vrstve

Útoky na aplikačnú vrstvu možno vykonať niekoľkými spôsobmi. Najbežnejším z nich je využitie slabých stránok serverového softvéru ( sendmail, HTTP, FTP). Pomocou týchto nedostatkov môžu hackeri získať prístup k počítaču v mene používateľa spusteného aplikáciou ( zvyčajne to nie je jednoduchý používateľ, ale privilegovaný správca s prístupovými právami do systému). Útoky na úrovni aplikácií sú široko publikované, aby umožnili správcom opraviť problém pomocou modulov nápravy ( náplasti). Hlavným problémom útokov na aplikačnej vrstve je, že často používajú porty, ktoré môžu prechádzať cez firewall. Napríklad hacker využívajúci známu slabinu webového servera pri útoku často používa port TCP 80. Keďže webový server poskytuje používateľom webové stránky, brána firewall musí poskytnúť prístup k tomuto portu. Z pohľadu firewallu sa útok považuje za štandardnú komunikáciu pre port 80.

1.7. Sieťová inteligencia

Sieťová inteligencia je zhromažďovanie informácií o sieti pomocou verejne dostupných údajov a aplikácií. Pri príprave útoku na sieť sa hacker spravidla snaží získať o nej čo najviac informácií. Prieskum siete sa vykonáva vo forme DNS dotazov, ping sweepov a skenovania portov. DNS dotazy vám pomôžu pochopiť, kto vlastní konkrétnu doménu a aké adresy sú k danej doméne priradené. Testovanie ozveny ( ping sweep) adresy vystavené pomocou DNS vám umožňujú vidieť, ktorí hostitelia skutočne bežia v danom prostredí. Po získaní zoznamu hostiteľov hacker použije nástroje na skenovanie portov na zostavenie kompletného zoznamu služieb podporovaných týmito hostiteľmi. Nakoniec hacker analyzuje vlastnosti aplikácií bežiacich na hostiteľoch. V dôsledku toho sa získajú informácie, ktoré možno použiť na hackovanie.

1.8. Zneužívanie dôvery

Tento typ akcie nie je "útok" alebo "pri búrke"... Ide o škodlivé použitie dôveryhodných vzťahov, ktoré existujú v sieti. Príkladom je systém nainštalovaný na vonkajšej strane brány firewall, ktorý má vzťah dôvery so systémom nainštalovaným vo vnútri. V prípade, že dôjde ku kompromitácii externého systému, hacker môže použiť dôveryhodný vzťah na prienik do systému chráneného firewallom.

1.9. Presmerovanie portov

Presmerovanie portov je forma zneužitia dôvery, pri ktorej sa napadnutý hostiteľ používa na prechod cez bránu firewall, ktorá by bola inak odmietnutá. Príkladom aplikácie, ktorá môže poskytnúť tento prístup, je netcat.

1.10. Nepovolený prístup

Neoprávnený prístup nemožno považovať za samostatný typ útoku. Väčšina sieťových útokov sa vykonáva s cieľom získať neoprávnený prístup. Na získanie prihlásenia do telnetu musí hacker najprv dostať výzvu telnetu do svojho systému. Po pripojení k telnet portu sa na obrazovke zobrazí správa "Na používanie tohto zdroja sa vyžaduje oprávnenie" (na používanie týchto zdrojov potrebujete autorizáciu). Ak sa potom hacker bude naďalej pokúšať o prístup, bude sa brať do úvahy "Neoprávnené"... Zdroj takýchto útokov môže byť umiestnený vo vnútri siete aj mimo nej.

1.11. Vírusy a aplikácie ako "Trójsky kôň"

Klientske pracovné stanice sú vysoko zraniteľné voči vírusom a trójskym koňom. "Trójsky kôň" Nie je to plug-in, ale skutočný program, ktorý vyzerá ako užitočná aplikácia, ale v skutočnosti hrá škodlivú úlohu.

2. Metódy boja proti sieťovým útokom

2.1. Hrozbu sniffovania paketov môžete zmierniť pomocou nasledujúcich nástrojov:

2.1.1. Autentifikácia – Silné autentifikačné prostriedky sú prvým spôsobom ochrany pred sniffovaním paketov. Pod "silný" rozumieme metóde autentifikácie, ktorú je ťažké obísť. Jednorazové heslá ( OTP – Jednorazové heslá). OTP je technológia dvojfaktorovej autentifikácie, ktorá kombinuje to, čo máte, s tým, čo viete. Pod "kartou" ( žetón) znamená hardvér alebo softvér, ktorý generuje ( náhodne) jedinečné jednorazové heslo. Ak hacker toto heslo zistí pomocou sniffera, táto informácia bude zbytočná, pretože v tom momente už bude heslo použité a stiahnuté z používania. Táto metóda proti odpočúvaniu je účinná len proti zachyteniu hesiel.

2.1.2. Prepínaná infraštruktúra – Ďalším spôsobom boja proti sniffovaniu paketov v sieťovom prostredí je vybudovanie prepínanej infraštruktúry, aby hackeri mali prístup len k prevádzke na porte, ku ktorému sú pripojení. Prepínaná infraštruktúra neodstraňuje hrozbu sniffovania, ale výrazne znižuje jej závažnosť.

2.1.3. Anti-sniffery – Tretím spôsobom boja proti sniffovaniu je inštalácia hardvéru alebo softvéru na rozpoznanie snifferov spustených vo vašej sieti. Tieto nástroje nedokážu úplne eliminovať hrozbu, ale ako mnohé iné nástroje zabezpečenia siete sú zahrnuté v celkovom obrannom systéme. Takzvané Anti-sniffery merať odozvu hostiteľov a určiť, či hostitelia musia spracovať "extra" premávky.

2.1.4. Kryptografia – Najúčinnejší spôsob, ako sa vysporiadať so sniffovaním paketov, nezabráni odpočúvaniu alebo rozpoznávaniu snifferov, ale robí túto prácu zbytočnou. Ak je komunikačný kanál kryptograficky zabezpečený, znamená to, že hacker nezachytáva správu, ale šifrovaný text (teda nezrozumiteľnú sekvenciu bitov).

2.2. Hrozbu spoofingu možno zmierniť ( ale nie odstrániť) pomocou nasledujúcich opatrení:

2.2.1. Kontrola prístupu – Najjednoduchší spôsob, ako zabrániť spoofingu IP, je správne nakonfigurovať kontrolu prístupu. Aby sa znížila účinnosť spoofingu IP, riadenie prístupu je nakonfigurované tak, aby prerušilo akýkoľvek prenos prichádzajúci z externej siete so zdrojovou adresou, ktorá sa musí nachádzať vo vašej sieti. Pomáha to bojovať proti spoofingu IP, keď sú autorizované iba interné adresy. Ak sú autorizované aj niektoré adresy externej siete, táto metóda sa stáva neúčinnou.

2.2.2. Filtrovanie RFC 2827 - potlačenie pokusov o sfalšovanie sietí iných ľudí používateľmi podnikovej siete. K tomu je potrebné odmietnuť akúkoľvek odchádzajúcu komunikáciu, ktorej zdrojová adresa nie je jednou z IP adries Banky. Tento typ filtrovania, známy ako „RFC 2827“, môže vykonávať aj poskytovateľ ( ISP). Výsledkom je, že všetka prevádzka, ktorá nemá zdrojovú adresu očakávanú na konkrétnom rozhraní, sa zahodí.

2.2.3. Najúčinnejšia metóda na riešenie spoofingu IP je rovnaká ako pri sniffovaní paketov: útok musí byť úplne neúčinný. Spoofing IP môže fungovať iba vtedy, ak je autentifikácia založená na IP adresách. Zavedenie ďalších metód autentifikácie preto robí tento typ útoku zbytočným. Najlepším typom dodatočnej autentifikácie je kryptografická. Ak to nie je možné, dobré výsledky môže poskytnúť dvojfaktorová autentifikácia pomocou jednorazových hesiel.

2.3. Hrozbu útokov DoS možno zmierniť nasledujúcimi spôsobmi:

2.3.1. Funkcie proti spoofingu – Správna konfigurácia funkcií proti spoofingu na vašich smerovačoch a bránach firewall pomôže znížiť riziko DoS. Tieto funkcie by mali zahŕňať minimálne filtrovanie RFC 2827. Pokiaľ hacker nedokáže zamaskovať svoju pravú identitu, je nepravdepodobné, že by zaútočil.

2.3.2. Anti-DoS funkcie – Správna konfigurácia anti-DoS funkcií na smerovačoch a firewalloch môže obmedziť efektivitu útokov. Tieto funkcie obmedzujú počet napoly otvorených kanálov v akomkoľvek danom čase.

2.3.3. Obmedzenie objemu dopravy ( obmedzenie rýchlosti dopravy) - dohoda s poskytovateľom ( ISP) o obmedzení objemu dopravy. Tento typ filtrovania vám umožňuje obmedziť množstvo nekritickej prevádzky prechádzajúcej cez sieť. Bežným príkladom je obmedzenie množstva prenosu ICMP, ktorý sa používa iba na diagnostické účely. Útoky ( D) DoS často používa ICMP.

2.3.4. Blokovanie IP adries – po analýze DoS útoku a identifikácii rozsahu IP adries, z ktorých sa útok vykonáva, kontaktujte svojho poskytovateľa, aby ich zablokoval.

2.4. Útokom na heslá sa možno vyhnúť nepoužívaním hesiel v obyčajnom texte. Jednorazové heslá a/alebo kryptografická autentifikácia môžu prakticky negovať hrozbu takýchto útokov. Nie všetky aplikácie, hostitelia a zariadenia podporujú vyššie uvedené metódy overovania.

Pri používaní bežných hesiel si musíte vymyslieť heslo, ktoré by bolo ťažké uhádnuť. Minimálna dĺžka hesla musí byť aspoň osem znakov. Heslo musí obsahovať veľké písmená, čísla a špeciálne znaky ( #,%, $ atď.). Najlepšie heslá je ťažké uhádnuť a ťažko si ich zapamätať, čo núti používateľov zapisovať si heslá na papier.

2.5. Proti útokom typu Man-in-the-Middle možno účinne bojovať iba pomocou kryptografie. Ak hacker zachytí údaje šifrovanej relácie, na obrazovke sa mu nezobrazí zachytená správa, ale nezmyselná sada znakov. Upozorňujeme, že ak hacker získa informácie o kryptografickej relácii ( napríklad kľúč relácie), to môže umožniť útok typu Man-in-the-Middle aj v šifrovanom prostredí.

2.6. Útoky na aplikačnej vrstve nemožno úplne vylúčiť. Hackeri neustále objavujú a zverejňujú nové zraniteľnosti v aplikačných programoch na internete. Najdôležitejšia je dobrá správa systému.

Opatrenia, ktoré možno prijať na zníženie zraniteľnosti voči tomuto typu útoku:

• čítanie a/alebo analýza protokolových súborov operačného systému a sieťových protokolových súborov pomocou špeciálnych analytických aplikácií;
• včasná aktualizácia verzií operačných systémov a aplikácií a inštalácia najnovších korekčných modulov ( náplasti);
• používanie systémov na rozpoznávanie útokov ( IDS).

2.7. Úplne sa zbaviť sieťovej inteligencie je nemožné. Ak vypnete ICMP echo a echo response na periférnych smerovačoch, nemusíte pingovať, ale stratíte dáta, ktoré potrebujete na diagnostiku zlyhaní siete. Okrem toho môžete skenovať porty bez toho, aby ste najprv museli zadať príkaz ping. Bude to trvať dlhšie, pretože budete musieť skenovať aj neexistujúce adresy IP. Systémy IDS na úrovni siete a hostiteľa zvyčajne dobre informujú správcu o prebiehajúcej inteligencii siete, čo vám umožňuje lepšie sa pripraviť na blížiaci sa útok a upozorniť poskytovateľa internetových služieb ( ISP), na ktorej sieti je nainštalovaný systém vykazujúci nadmernú zvedavosť.

2.8. Riziko narušenia dôvery možno zmierniť prísnejšou kontrolou úrovní dôvery vo vašej sieti. Systémy mimo brány firewall by nikdy nemali úplne dôverovať systémom, ktoré sú chránené bránou firewall. Dôveryhodné vzťahy by mali byť obmedzené na určité protokoly a ak je to možné, mali by byť overené nielen IP adresami, ale aj inými parametrami.

2.9. Primárnym spôsobom, ako sa vysporiadať s presmerovaním portov, je použitie modelov silnej dôvery ( pozri odsek 2.8 ). Okrem toho hostiteľský systém IDS ( HIDS).

2.10. Spôsoby boja proti neoprávnenému prístupu sú pomerne jednoduché. Tu ide hlavne o to, aby sa znížila alebo úplne eliminovala schopnosť hackera získať prístup do systému pomocou neoprávneného protokolu. Ako príklad zvážte zabránenie hackerom v prístupe k telnet portu na serveri, ktorý poskytuje webové služby externým používateľom. Bez prístupu k tomuto portu ho hacker nemôže napadnúť. Pokiaľ ide o firewall, jeho hlavnou úlohou je zabrániť najjednoduchším pokusom o neoprávnený prístup.

2.11. Boj proti vírusom a trójskym koňom sa uskutočňuje pomocou účinného antivírusového softvéru fungujúceho na úrovni používateľa a na úrovni siete. Antivírusové nástroje detegujú a zastavujú väčšinu vírusov a trójskych koní.

3. Algoritmus akcií pri detekcii sieťových útokov

3.1. Väčšinu sieťových útokov blokujú automaticky nainštalované nástroje na ochranu informácií ( firewally, dôveryhodné bootovacie nástroje, sieťové smerovače, antivírusové nástroje atď.).

3.2. Útoky, ktoré si vyžadujú zásah personálu na ich zablokovanie alebo zmiernenie závažnosti následkov, zahŕňajú DoS útoky.

3.2.1. Útoky DoS sa zisťujú analýzou sieťovej prevádzky. Začiatok útoku je charakterizovaný „ kladivom»Komunikačné kanály využívajúce pakety náročné na zdroje s falošnými adresami. Takýto útok na stránku internetového bankovníctva skomplikuje prístup legitímnym používateľom a webový zdroj sa môže stať nedostupným.

3.2.2. Ak sa zistí útok, správca systému vykoná nasledujúce akcie:

• vykoná manuálne prepnutie smerovača na záložný kanál a späť, aby sa identifikoval menej zaťažený kanál (kanál s vyššou šírkou pásma);
• odhalí rozsah IP adries, z ktorých sa útok vykonáva;
• odošle poskytovateľovi požiadavku na zablokovanie IP adries zo zadaného rozsahu.

3.3. Útok DoS sa zvyčajne používa na maskovanie úspešného útoku na zdroje klienta, aby sa sťažil jeho odhalenie. Preto je pri detekcii DoS útoku potrebné analyzovať najnovšie transakcie, aby sme identifikovali neobvyklé operácie, zablokovali ich (ak je to možné), kontaktovali zákazníkov alternatívnym kanálom na potvrdenie transakcií.

3.4. V prípade získania informácií od klienta o neoprávnenom konaní sa zaznamenajú všetky dostupné dôkazy, vykoná sa interné vyšetrovanie a podá sa žiadosť orgánom činným v trestnom konaní.

Stiahnuť súbor ZIP (24151)

Dokumenty sa hodili - dajte "like":

Tabuľka 9.1.

Názov protokolu	úroveň zásobník protokolov	Názov (charakteristika) zraniteľnosti	Obsah porušenia informačná bezpečnosť
FTP (File Transfer Protocol) - sieťový protokol na prenos súborov		Overenie založené na autentifikácii obyčajný text(heslá sa odosielajú nezašifrované) Predvolený prístup Má dva otvorené porty	možnosť odpočúvanie údajov
telnet - kontrolný protokol vzdialený terminál	Aplikovaná, reprezentatívna, relácia	Overenie založené na autentifikácii obyčajný text(heslá sa odosielajú nezašifrované)	možnosť odpočúvanie údajovúčet (mená registrovaných užívateľov, heslá). Získanie vzdialeného prístupu k hostiteľom
UDP - protokol prenosu dát bez spojenia	Doprava	Žiadny mechanizmus, ktorý by zabránil preťaženiu vyrovnávacej pamäte	Možnosť implementácie UDР-storm. V dôsledku výmeny paketov dochádza k výraznému zníženiu výkonu servera
ARP je protokol na konverziu IP adresy na fyzickú adresu	sieť	Overenie založené na autentifikácii obyčajný text(informácie sa odosielajú nezašifrované)	Schopnosť zachytiť návštevnosť používateľa útočníkom
RIP - Routing Information Protocol	Doprava	Chýbajúca autentifikácia smerovacích riadiacich správ	Schopnosť presmerovať prevádzku cez hostiteľa útočníka
TCP - kontrolný protokol prenos	Doprava	Chýbajúci mechanizmus na kontrolu správnosti vyplnenia servisných hlavičiek paketu	Výrazný pokles výmenného kurzu a dokonca úplný rozpad ľubovoľných spojení cez protokol TCP
DNS - protokol na stanovenie zhody mnemotechnických mien a sieťových adries	Aplikovaná, reprezentatívna, relácia	Nedostatok prostriedkov na overenie autentifikácie prijatých údajov zo zdroja	Falšovanie odpovede servera DNS
IGMP - Routing Message Transfer Protocol	sieť	Nedostatok autentifikácie správ o zmenách parametrov trasy	Závesné systémy Win 9x / NT / 2000
SMTP - protokol na poskytovanie služby na doručovanie správ e-mailom	Aplikovaná, reprezentatívna, relácia		Možnosť podvrhnutia e-mailových správ ako aj adries odosielateľa správy
SNMP - kontrolný protokol smerovače v sieťach	Aplikovaná, reprezentatívna, relácia	Nedostatok podpory pre autentifikáciu hlavičiek správ	Možnosť preplnenia šírky pásma siete

Hrozby prenášané sieťou sú klasifikované podľa týchto hlavných znakov:

1. povaha hrozby.

   Pasívne – hrozba, ktorá neovplyvňuje chod informačného systému, ale môže porušovať pravidlá pre prístup k chráneným informáciám. Príklad: Použitie snifferu na „počúvanie“ v sieti. Aktívna – hrozba, ktorá ovplyvňuje komponenty informačného systému, ktorej implementácia priamo ovplyvňuje chod systému. Príklad: Búrkový útok DDOS s požiadavkami TCP.

2. cieľ realizácie hrozby(respektíve dôvernosť, dostupnosť, integrita informácií).
3. stav začiatku útoku:
   • na žiadosť napadnutého. To znamená, že útočník očakáva odoslanie požiadavky určitého typu, ktorá bude podmienkou začatia neoprávneného útoku.
   • pri výskyte očakávanej udalosti na napadnutom objekte.
   • bezpodmienečný dopad – útočník nič neočakáva, to znamená, že hrozba je implementovaná okamžite a bez ohľadu na stav napadnutého objektu.
4. dostupnosť spätnej väzby s napadnutým objektom:
   • so spätnou väzbou, to znamená, že útočník potrebuje dostať odpoveď na niektoré požiadavky. Medzi útočníkom a útočníkom teda existuje spätná väzba, ktorá umožňuje útočníkovi sledovať stav napadnutého objektu a adekvátne reagovať na jeho zmeny.
   • bez spätnej väzby – teda neexistuje spätná väzba a nie je potrebné, aby útočník reagoval na zmeny v napadnutom objekte.
5. polohu narušiteľa vzhľadom na napadnutý informačný systém: vnútrosegmentový a medzisegmentový. Segment siete je fyzické zoskupenie hostiteľov, hardvéru a iných sieťových komponentov, ktoré majú sieťovú adresu. Napríklad jeden segment tvoria počítače pripojené k zdieľanej zbernici Token Ring.
6. úroveň referenčného modelu ISO / OSI, na ktorej je hrozba implementovaná: fyzický, kanál, sieť, transport, relácia, zástupca, aplikovaný.

Uvažujme o najrozšírenejších útokoch v sieťach založených na zásobník protokolov TCP / IP.

1. Analýza sieťovej prevádzky. Tento útok sa vykonáva pomocou špeciálneho programu nazývaného sniffer. Sniffer je aplikačný program, ktorý používa sieťovú kartu pracujúcu v promiskuitnom režime, takzvanom „promiskuitnom“ režime, v ktorom sieťová karta umožňuje prijímať všetky pakety bez ohľadu na to, komu sú určené. V normálnom stave ethernetové rozhranie používa filtrovanie paketov na linkovej vrstve a ak sa MAC adresa v cieľovej hlavičke prijatého paketu nezhoduje s MAC adresou aktuálneho sieťové rozhranie a nevysiela sa, paket sa zahodí. V „promiskuitnom“ režime, filtrovanie zapnuté sieťové rozhranie je vypnutá a všetky pakety, vrátane tých, ktoré nie sú určené pre aktuálny uzol, sa prenesú do systému. Je potrebné poznamenať, že mnohé z týchto programov sa používajú na právne účely, napríklad na riešenie problémov alebo analýzu premávky. Napriek tomu tabuľka, o ktorej sme hovorili vyššie, uvádza protokoly, ktoré odosielajú informácie vrátane hesiel v čistom texte – FTP, SMTP, POP3 atď. Pomocou snifferu teda môžete zachytiť používateľské meno a heslo a vykonať neoprávnený prístup k dôverným informáciám. Mnoho používateľov navyše používa rovnaké heslá na prístup k mnohým sieťovým službám. To znamená, že ak je na jednom mieste v sieti slabina v podobe slabej autentifikácie, môže trpieť celá sieť. Útočníci si dobre uvedomujú ľudské slabosti a široko využívajú metódy sociálneho inžinierstva.

   Ochrana proti tomuto typu útoku môže byť nasledovná:

   • Silná autentifikácia napríklad pomocou jednorazové heslá(jednorazové heslo). Základom je, že heslo je možné použiť raz, a aj keď ho útočník zachytil pomocou snifferu, nemá žiadnu hodnotu. Samozrejme, tento ochranný mechanizmus chráni iba pred zachytením hesiel a je zbytočný v prípade zachytenia iných informácií, napríklad e-mailu.
   • Anti-sniffery sú hardvérové ​​alebo softvérové ​​nástroje schopné detekovať činnosť snifferov v segmente siete. Spravidla kontrolujú zaťaženie sieťových uzlov, aby určili "nadmerné" zaťaženie.
   • Prepínaná infraštruktúra. Je zrejmé, že analýza sieťovej prevádzky je možná len v rámci jedného segmentu siete. Ak je sieť postavená na zariadeniach, ktoré ju rozdeľujú na veľa segmentov (prepínače a smerovače), potom je útok možný len v tých častiach siete, ktoré patria k jednému z portov týchto zariadení. To nerieši problém sniffingu, ale znižuje hranice, ktoré môže útočník „počúvať“.
   • Kryptografické metódy. Najspoľahlivejší spôsob, ako sa vysporiadať s prácou snifferov. Informácie, ktoré je možné získať odpočúvaním, sú zašifrované, a preto nemajú žiadnu hodnotu. Najčastejšie používané sú IPSec, SSL a SSH.
2. Sieťové skenovanieÚčelom sieťového skenovania je identifikovať služby bežiace v sieti, otvorené porty, aktívne sieťové služby, používané protokoly atď., teda zbieranie informácií o sieti. Na sieťové skenovanie sa najčastejšie používajú:
   • DNS dotazy pomáhajú útočníkovi zistiť vlastníka domény, oblasť adresy,
   • ping testovanie – identifikuje bežiacich hostiteľov na základe predtým získaných adries DNS;
   • skenovanie portov - zostavuje kompletný zoznam služieb podporovaných týmito hostiteľmi, otvorenými portami, aplikáciami atď.

   Dobrým a najbežnejším protiopatrením je použitie IDS, ktoré úspešne rozpozná známky sieťového skenovania a upozorní na to správcu. Úplne sa zbaviť tejto hrozby nie je možné, pretože ak napríklad na routeri vypnete ICMP echo a echo response, môžete sa zbaviť hrozby pingu, no zároveň stratíte dáta potrebné na diagnostiku porúch siete. .

3. Odhalenie hesla Hlavným cieľom tohto útoku je získať neoprávnený prístup k chráneným zdrojom prekonaním ochrany heslom. Na získanie hesla môže útočník použiť mnoho metód – jednoduchý útok hrubou silou, vyhľadávanie v slovníku, sniffovanie atď. Najbežnejšie je jednoduché vyhľadávanie všetkých možných hodnôt hesla. Na ochranu pred jednoduchými útokmi hrubou silou je potrebné používať silné heslá, ktoré nie je ľahké uhádnuť: dĺžka 6-8 znakov, používanie veľkých a malých písmen, používanie špeciálnych znakov (@, #, $ atď. .).

   Ďalším problémom bezpečnosti informácií je, že väčšina ľudí používa rovnaké heslá pre všetky služby, aplikácie, stránky atď. Zraniteľnosť hesla závisí od najslabšej oblasti jeho použitia.

   Tomuto typu útoku sa možno vyhnúť použitím jednorazových hesiel, o ktorých sme hovorili vyššie, alebo kryptografickej autentifikácie.

4. Spoofing IP alebo spoofing dôveryhodného sieťového objektu Dôveryhodný v tomto prípade znamená sieťový objekt (počítač, router, firewall atď.), ktorý je legálne pripojený k serveru. Hrozbou je, že sa útočník vydáva za dôveryhodný sieťový objekt. Dá sa to urobiť dvoma spôsobmi. Najprv použite IP adresu, ktorá je v rámci autorizovaného rozsahu IP adries, alebo autorizovanú externú adresu, ktorá má povolený prístup k určitým sieťovým zdrojom. Tento typ útoku je často východiskovým bodom pre ďalšie útoky.

   Nahradenie dôveryhodného sieťového objektu je zvyčajne obmedzené na vloženie nepravdivých informácií alebo škodlivých príkazov do normálneho dátového toku prenášaného medzi sieťovými objektmi. Pre obojsmernú komunikáciu musí útočník upraviť všetky smerovacie tabuľky tak, aby smerovali prevádzku na sfalšovanú IP adresu, čo je tiež možné. Na zmiernenie (ale nie odstránenie) hrozby môžete použiť nasledovné:

   • Riadenie prístupu. Riadenie prístupu môžete nakonfigurovať tak, aby prerušilo akýkoľvek prenos prichádzajúci z externej siete so zdrojovou adresou v rámci siete. Táto metóda je účinná, ak sú autorizované iba interné adresy a nefunguje, ak existujú autorizované externé adresy.
   • Filtrovanie RFC 2827 – tento typ filtrovania vám umožňuje zabrániť používateľom vašej siete falšovať siete iných ľudí. Vyžaduje si to odmietnutie akejkoľvek odchádzajúcej prevádzky, ktorej zdrojová adresa nie je jednou z adries IP vašej organizácie. Tento typ filtrovania často vykonáva poskytovateľ. Výsledkom je, že všetka prevádzka, ktorá nemá zdrojovú adresu očakávanú na konkrétnom rozhraní, sa zahodí. Napríklad, ak ISP poskytuje pripojenie na IP adresu 15.1.1.0/24, môže nakonfigurovať filter tak, aby bola povolená iba prevádzka prichádzajúca z 15.1.1.0/24 z tohto rozhrania do smerovača ISP. Upozorňujeme, že kým všetci poskytovatelia nezavedú tento typ filtrovania, jeho účinnosť bude oveľa nižšia, ako je možné.
   • Implementácia dodatočných metód autentifikácie. Spoofing IP je možný len s overením založeným na IP. Ak zavediete akékoľvek ďalšie autentifikačné opatrenia, napríklad kryptografické, útok sa stane zbytočným.
5. Denial of Service alebo Denial of Service (DoS)- útok na výpočtový systém s cieľom jeho zlyhania, to znamená vytvorenie podmienok, za ktorých legitímni používatelia systému nemôžu získať prístup k zdrojom poskytovaným systémom, alebo je tento prístup sťažený.

   DoS útok je najrozšírenejším a najznámejším útokom posledných rokov, a to predovšetkým kvôli jeho jednoduchosti implementácie. Organizácia útoku DOS vyžaduje minimálne znalosti a zručnosti a je založená na nedostatkoch sieťového softvéru a sieťových protokolov. Ak je útok vykonaný proti viacerým sieťovým zariadeniam, označuje sa ako distribuovaný DoS (DDoS) útok.

   Dnes sa najčastejšie používa nasledujúcich päť typov DoS útokov, na ktoré existuje veľké množstvo softvéru a ktorým je najťažšie sa brániť:

   • Šmolko- Žiadosti o ping ICMP. Keď sa paket ping (správa ICMP ECHO) odošle na vysielaciu adresu (napríklad 10.255.255.255), doručí sa do každého počítača v tejto sieti. Princíp útoku spočíva v odoslaní ICMP ECHO REQUEST paketu so zdrojovou adresou napadnutého hostiteľa. Útočník posiela neustály prúd paketov ping na adresu vysielania v sieti. Všetky počítače po prijatí požiadavky odpovedia zdroju paketom ICMP ECHO REPLY. V súlade s tým sa veľkosť toku paketov s odpoveďou zvyšuje úmerne k počtu hostiteľov, koľkokrát. V dôsledku toho je celá sieť vystavená odmietnutiu služby z dôvodu preťaženia.
   • ICMP povodeň- Útok podobný Šmolkovi, ale bez zosilnenia vytváraného požiadavkami na adresu riadeného vysielania.
   • UDP záplava- odoslanie sady paketov UDP (User Datagram Protocol) na adresu napadnutého hostiteľa.
   • TCP záplava- odosielanie veľkého množstva TCP paketov na adresu napadnutého hostiteľa.
   • TCP SYN záplava- pri vykonávaní tohto druhu útoku sa vydáva veľké množstvo požiadaviek na inicializáciu TCP spojení s napadnutým hostiteľom, ktorý v dôsledku toho musí vynaložiť všetky svoje zdroje na monitorovanie týchto čiastočne otvorených spojení.

   Ak používate webový server alebo aplikáciu servera FTP, útok DoS ponechá všetky pripojenia dostupné týmto aplikáciám zaneprázdnené a používatelia k nim nemajú prístup. Niektoré útoky môžu zničiť celú sieť tým, že ju zaplnia nepotrebnými paketmi. Aby sa zabránilo takýmto útokom, je potrebná účasť poskytovateľa, pretože ak nezastaví nežiaducu prevádzku na vstupe do siete, útok nemožno zastaviť, pretože šírka pásma bude zaneprázdnená.

   Na implementáciu DoS útoku sa najčastejšie používajú tieto programy:

   • Trinoo- je pomerne primitívny program, ktorý sa historicky stal prvým organizujúcim DoS útoky jediného typu - UDP-flood. Programy z rodiny "trinoo" sú ľahko detekovateľné štandardnými ochrannými nástrojmi a nepredstavujú hrozbu pre tých, ktorým čo i len trochu záleží na ich bezpečnosti.
   • TFN a TFN2K- vážnejšia zbraň. Umožňuje súčasne organizovať útoky niekoľkých typov - Smurf, UDP flood, ICMP flood a TCP SYN flood. Používanie týchto programov vyžaduje od útočníka oveľa vyššiu kvalifikáciu.
   • Najnovšie v organizácii útokov DoS - Stacheldracht("ostnatý drôt"). Tento balík vám umožňuje organizovať širokú škálu typov útokov a lavín vysielaných žiadostí o ping. Výmena údajov medzi kontrolórmi a agentmi je navyše šifrovaná a samotný softvér má funkciu automatickej úpravy. Šifrovanie veľmi sťažuje odhalenie útočníka.

   Na zmiernenie hrozby môžete použiť nasledovné:

   • Funkcie proti spoofingu – Správna konfigurácia funkcií proti spoofingu na vašich smerovačoch a bránach firewall pomôže znížiť riziko DoS. Tieto funkcie by mali zahŕňať minimálne filtrovanie RFC 2827. Pokiaľ hacker nedokáže zamaskovať svoju pravú identitu, je nepravdepodobné, že by zaútočil.
   • Anti-DoS funkcie – Správna konfigurácia anti-DoS funkcií na smerovačoch a firewalloch môže obmedziť efektivitu útokov. Tieto funkcie často obmedzujú počet napoly otvorených kanálov v danom čase.
   • Obmedzenie rýchlosti prenosu – organizácia môže požiadať poskytovateľa internetových služieb o obmedzenie objemu prenosu. Tento typ filtrovania vám umožňuje obmedziť množstvo nekritickej prevádzky prechádzajúcej vašou sieťou. Bežným príkladom je obmedzenie množstva prenosu ICMP, ktorý sa používa iba na diagnostické účely. DoS útoky často využívajú ICMP.

   Existuje niekoľko typov hrozieb tohto typu:

   • Latentné odmietnutie služby, keď sa časť sieťových zdrojov používa na spracovanie paketov prenášaných útočníkom so znížením šírky pásma kanála, porušením doby spracovania požiadaviek, narušením výkonu sieťových zariadení. Príklad: riadená búrka žiadostí o odozvu ICMP alebo búrka žiadostí o pripojenie TCP.
   • Explicitné odmietnutie služby spôsobené vyčerpaním sieťových zdrojov v dôsledku spracovania paketov odoslaných útočníkmi. Zároveň nie je možné spracovať legálne požiadavky používateľov, pretože celá šírka pásma kanála je zaneprázdnená, vyrovnávacie pamäte sú plné, miesto na disku je preplnené atď. Príklad: smerová búrka (SYN-flooding).
   • Explicitné odmietnutie služby spôsobené narušením logickej konektivity medzi technickými prostriedkami siete, keď útočník posiela riadiace správy v mene sieťových zariadení. Tým sa zmenia údaje adresy smerovania. Príklad: ICMP Redirect Host alebo DNS záplava.
   • Explicitné odmietnutie služby spôsobené útočníkom, ktorý prenáša pakety s neštandardnými atribútmi (napríklad UDP-bomba) alebo prekračuje maximálnu dĺžku (Ping Death).

   Cieľom útokov DoS je ohroziť dostupnosť informácií a neohroziť integritu alebo dôvernosť.

6. Útoky na úrovni aplikácie. Tento typ útoku zahŕňa využitie „dier“ v serverovom softvéri (HTML, sendmail, FTP). Využitím týchto zraniteľností získa útočník prístup k počítaču v mene používateľa aplikácie. Útoky na aplikačnej vrstve často využívajú porty, ktoré môžu „prechádzať“ cez firewall.

   Hlavným problémom útokov na aplikačnej vrstve je, že často používajú porty, ktoré môžu prechádzať cez firewall. Napríklad, hacker útočiaci na webový server môže použiť TCP port 80. Aby webový server obsluhoval stránky užívateľom, port 80 musí byť otvorený na firewalle. Z pohľadu firewallu sa útok považuje za štandardnú komunikáciu pre port 80.

   Útoky na aplikačnej úrovni nie je možné úplne eliminovať, keďže aplikácie s novými zraniteľnosťami sa objavujú pravidelne. Tu je najdôležitejšia dobrá správa systému. Tu je niekoľko krokov, ktoré môžete podniknúť na zníženie svojej zraniteľnosti voči tomuto typu útoku:

   • čítanie denníkov (systém a sieť);
   • sledovanie zraniteľností v novom softvéri pomocou špecializovaných stránok, napríklad http://www.cert.com.
   • pomocou IDS.

Už zo samotnej podstaty sieťového útoku je zrejmé, že jeho výskyt nekontroluje každý konkrétny sieťový uzol. Nezohľadnili sme všetky možné útoky na sieti - v praxi je ich oveľa viac. Zdá sa však, že nie je možné brániť sa všetkým typom útokov. Najoptimálnejším prístupom k ochrane perimetra siete je eliminácia zraniteľností, ktoré sa využívajú pri väčšine škodlivých útokov. Zoznamy takýchto zraniteľností sú zverejnené na mnohých stránkach, ktoré zhromažďujú takéto štatistiky, napríklad stránka inštitútu SANS: http://www.sans.org/top-cyber-security-risks/?ref=top20. Bežný útočník nehľadá žiadne originálne spôsoby útoku, ale prehľadáva sieť pri hľadaní známej zraniteľnosti a využíva ju.

Pretečenie vyrovnávacej pamäte je neoddeliteľnou súčasťou mnohých typov škodlivých útokov. Prepadové útoky prichádzajú v mnohých príchutiach. Jedným z najnebezpečnejších je vstup do dialógového okna, okrem textu, aj spustiteľný kód, ktorý je k nemu pripojený. Takýto vstup môže viesť k napísaniu tohto kódu na spustiteľný program, čo skôr či neskôr spôsobí jeho spustenie. Následky nie je ťažké si predstaviť.

"Pasívne" útoky pomocou napríklad snifferu sú obzvlášť nebezpečné, pretože po prvé sú prakticky nezistiteľné a po druhé sú vykonávané z lokálnej siete (externý firewall je bezmocný).

Vírusy- Škodlivé programy schopné samokopírovania a vlastného odosielania. V decembri 1994 som dostal varovanie o šírení sieťových vírusov (dobré časy a xxx-1) cez internet:

Od stvorenia až po zistenie vírusu prechádzajú hodiny, dni, týždne a niekedy aj mesiace. Závisí to od toho, ako rýchlo sa prejavia následky infekcie. Čím je tento čas dlhší, tým viac počítačov je infikovaných. Po zistení skutočnosti infekcie a šírenia nového typu vírusu to trvá od niekoľkých hodín (napríklad pre Email_Worm.Win32.Bagle.bj) do troch týždňov ( [e-mail chránený]) identifikovať signatúru, vytvoriť antidotum a zahrnúť jeho signatúru do databázy antivírusového programu. Dočasné diagram životného cyklu vírus je znázornený na obr. 12.1 ("Bezpečnosť siete", v. 2005, vydanie 6, jún 2005, s. 16-18). Len v roku 2004 bolo zaregistrovaných 10 000 nových vírusových podpisov. Červ Blaster infikoval 90 % počítačov za 10 minút. Počas tejto doby musí antivírusová skupina detekovať objekt, kvalifikovať sa a vypracovať protiopatrenia. Je jasné, že je to nereálne. Antivírusový program teda nie je ani tak prostriedkom protiakcie, ako skôr sedatívum... Rovnaké úvahy platia pre všetky ostatné typy útokov. Keď sa prejav útoku stane známym, útok samotný zvyčajne nie je nebezpečný, pretože protiopatrenia už boli vyvinuté a zraniteľnosť je pokrytá. Práve z tohto dôvodu je systému správy softvérových aktualizácií (opráv) venovaná taká pozornosť.

Niektoré vírusy a červy majú v sebe zabudované programy SMTP určené na ich odosielanie a umožňujú nerušený vstup do infikovaného počítača. Najnovšie verzie sú vybavené prostriedkami na potlačenie aktivity iných vírusov alebo červov. Možno tak vytvárať celé siete infikovaných strojov (BotNet), pripravené na príkaz spustiť napríklad DDoS útok. Na ovládanie takýchto zombie strojov je možné použiť protokol IRC(Internet Relay Chart). Tento systém zasielania správ je podporovaný veľkým počtom serverov, a preto sa takýto kanál zvyčajne ťažko sleduje a zaznamenáva. Tomu napomáha aj skutočnosť, že väčšina systémov riadi prichádzajúcu premávku užšie ako odchádzajúce. Treba mať na pamäti, že okrem DoS útokov môže infikovaný stroj slúžiť na skenovanie iných počítačov a odosielanie SPAMov, na ukladanie nelegálnych softvérových produktov, na ovládanie samotného stroja a odcudzenie dokumentov v ňom uložených, na odhalenie použitých hesiel a kľúčov. vlastníkom. Škody spôsobené vírusom Blaster sa odhadujú na 475 000 dolárov.

Bohužiaľ, žiadne spoľahlivé prostriedky na zistenie nových vírusy (ktorého podpis nie je známy).

Ryža. 12.1.

V roku 2005 bola identifikovaná ďalšia hrozba - šírenie vírusov a sieťových červov pomocou robotov vyhľadávacích nástrojov (botov), ​​založených na IRC.

Programy robotov nie sú vždy nebezpečné, niektoré z ich odrôd sa používajú na zhromažďovanie údajov, najmä o preferenciách zákazníkov, a vo vyhľadávači Google pracujú na zhromažďovaní a indexovaní dokumentov. Ale v rukách hackera sa tieto programy menia na nebezpečné zbrane. Najznámejší útok bol spustený v roku 2005, hoci prípravy a „prvé experimenty“ začali už v septembri 2004. Program hľadal stroje so špecifickými zraniteľnosťami, najmä LSASS (Local Security Authority Subsystem Service, Windows). Samotný bezpečnostný subsystém LSASS sa ukázal ako zraniteľný voči útokom s pretečením vyrovnávacej pamäte. Hoci už bola zraniteľnosť opravená, počet neaktualizovaných počítačov zostáva významný. Po prieniku hacker zvyčajne použije IRC na vykonanie operácií, ktoré chce (otvorenie konkrétneho portu, odoslanie SPAMu, spustenie skenovania ďalších potenciálnych obetí). Novinkou takýchto programov je, že sú zabudované v operačnom systéme takým spôsobom (rootkit), že ich nemožno zistiť, keďže sa nachádzajú v zóne jadra OS. Ak sa antivírusový program pokúsi získať prístup k určitej oblasti pamäte, aby zistil škodlivý kód, rootkit zachytí požiadavku a odošle testovaciemu programu upozornenie, že je všetko v poriadku. Aby toho nebolo málo, programy robotov môžu upravovať obsah.

20. 6. 2005 37,3 tis

Internet úplne mení náš spôsob života: práca, štúdium, voľný čas. Tieto zmeny budú prebiehať ako v nám už známych oblastiach (e-commerce, prístup k informáciám v reálnom čase, rozširovanie komunikačných možností a pod.), tak aj v tých oblastiach, o ktorých ešte nemáme predstavu.

Možno príde čas, keď bude spoločnosť uskutočňovať všetky svoje telefonáty cez internet, a to úplne zadarmo. V súkromnom živote je možné, že sa objavia špeciálne webové stránky, pomocou ktorých môžu rodičia kedykoľvek zistiť, ako sa ich deťom darí. Naša spoločnosť si len začína uvedomovať neobmedzené možnosti internetu.

Úvod

Spolu s obrovským rastom popularity internetu existuje bezprecedentné nebezpečenstvo zverejnenia osobných údajov, dôležitých podnikových zdrojov, štátnych tajomstiev atď.

Hackeri tieto zdroje každodenne ohrozujú a snažia sa k nim dostať pomocou špeciálnych útokov, ktoré sa postupne stávajú na jednej strane sofistikovanejšími a na druhej ľahšie vykonateľnými. Uľahčujú to dva hlavné faktory.

Po prvé, je to všadeprítomná penetrácia internetu. Dnes sú k internetu pripojené milióny zariadení a v blízkej budúcnosti bude k internetu pripojených mnoho miliónov zariadení, takže pravdepodobnosť prístupu hackerov k zraniteľným zariadeniam neustále rastie.

Široké používanie internetu navyše umožňuje hackerom vymieňať si informácie v celosvetovom meradle. Jednoduchým vyhľadávaním kľúčových slov ako „hacker“, „hack“, „hack“, „crack“ alebo „phreak“ získate tisíce stránok, z ktorých mnohé môžete nájsť škodlivé kódy a ako ich použiť.

Po druhé, existuje rozšírené prijatie ľahko použiteľných operačných systémov a vývojových prostredí. Tento faktor dramaticky znižuje úroveň vedomostí a zručností požadovaných hackerom. Predtým, aby mohol hacker vytvárať a distribuovať ľahko použiteľné aplikácie, musel mať dobré programovacie schopnosti.

Teraz, aby ste získali prístup k hackerskému nástroju, potrebujete iba poznať IP adresu požadovanej stránky a na vykonanie útoku stačí kliknúť myšou.

Klasifikácia sieťových útokov

Sieťové útoky sú také rozmanité ako systémy, proti ktorým sú namierené. Niektoré útoky sú veľmi zložité, iné sú v silách bežného operátora, ktorý ani nevie, k akým dôsledkom môže jeho činnosť viesť. Na posúdenie typov útokov je potrebné poznať niektoré z prirodzených obmedzení protokolu TPC / IP. sieť

Internet bol vytvorený na komunikáciu medzi vládnymi agentúrami a univerzitami za účelom podpory vzdelávacieho procesu a vedeckého výskumu. Tvorcovia tejto siete netušili, aká bude rozšírená. Výsledkom bolo, že v skorých špecifikáciách internetového protokolu (IP) chýbali bezpečnostné požiadavky. To je dôvod, prečo sú mnohé implementácie IP prirodzene zraniteľné.

V priebehu rokov sa po mnohých žiadostiach (Request for Comments, RFC) konečne začalo implementovať zabezpečenie IP. Avšak vzhľadom na to, že spočiatku neboli vyvinuté bezpečnostné nástroje pre protokol IP, všetky jeho implementácie sa začali dopĺňať o rôzne sieťové procedúry, služby a produkty, ktoré znižujú riziká spojené s týmto protokolom. Ďalej sa stručne pozrieme na typy útokov, ktoré sa bežne používajú proti sieťam IP, a uvedieme spôsoby, ako proti nim bojovať.

Snímač paketov

Sniffer paketov je aplikačný program, ktorý používa sieťovú kartu pracujúcu v promiskuitnom režime (v tomto režime sú všetky pakety prijaté cez fyzické kanály odoslané do aplikácie sieťovým adaptérom na spracovanie).

Sniffer zároveň zachytáva všetky sieťové pakety, ktoré sa prenášajú cez konkrétnu doménu. V súčasnosti snifferi fungujú v sieťach na úplne legálnom základe. Používajú sa na riešenie problémov a analýzu dopravy. Avšak vzhľadom na skutočnosť, že niektoré sieťové aplikácie prenášajú údaje v textovom formáte ( Telnet, FTP, SMTP, POP3 atď..), pomocou snifferu môžete zistiť užitočné a niekedy dôverné informácie (napríklad používateľské mená a heslá).

Zachytenie používateľských mien a hesiel je veľmi nebezpečné, pretože používatelia často používajú rovnaké používateľské meno a heslo pre viacero aplikácií a systémov. Mnoho používateľov má vo všeobecnosti jedno heslo na prístup ku všetkým zdrojom a aplikáciám.

Ak je aplikácia spustená v režime klient-server a overovacie údaje sa prenášajú cez sieť v čitateľnom textovom formáte, tieto informácie možno s najväčšou pravdepodobnosťou použiť na prístup k iným podnikovým alebo externým zdrojom. Hackeri príliš dobre poznajú a využívajú ľudské slabosti (metódy útoku sú často založené na metódach sociálneho inžinierstva).

Sú si dokonale vedomí toho, že na prístup k mnohým zdrojom používame rovnaké heslo, a preto sa im často podarí, keď sa dozvedeli naše heslo, získať prístup k dôležitým informáciám. V najhoršom prípade hacker získa prístup k používateľskému zdroju na systémovej úrovni a s jeho pomocou vytvorí nového používateľa, ktorého je možné kedykoľvek použiť na prístup k sieti a jej zdrojom.

Hrozbu sniffovania paketov môžete zmierniť pomocou nasledujúcich nástrojov:

Overenie. Silná autentifikácia je najdôležitejším spôsobom ochrany pred sniffovaním paketov. Pod pojmom „silné“ rozumieme metódy autentifikácie, ktoré je ťažké obísť. Príkladom takejto autentifikácie sú jednorazové heslá (OTP).

OTP je technológia dvojfaktorovej autentifikácie, ktorá kombinuje to, čo máte, s tým, čo viete. Typickým príkladom dvojfaktorovej autentifikácie je obsluha bežného bankomatu, ktorý vás spozná po prvé podľa plastovej karty a po druhé podľa zadaného PIN kódu. Pre autentifikáciu v systéme OTP je potrebný aj PIN kód a vaša osobná karta.

Token je hardvérový alebo softvérový nástroj, ktorý náhodne generuje jedinečné jednorazové heslo. Ak hacker zistí toto heslo pomocou sniffera, potom budú tieto informácie zbytočné, pretože v tom momente už bude heslo použité a stiahnuté z používania.

Všimnite si, že táto metóda proti sniffovaniu je účinná len v prípadoch, keď sú heslá zachytené. Sniffery, ktoré zachytávajú iné informácie (napríklad e-mailové správy), nestrácajú svoju účinnosť.

Prepínaná infraštruktúra... Ďalším spôsobom boja proti sniffovaniu paketov vo vašom sieťovom prostredí je vybudovanie prepínanej infraštruktúry. Ak napríklad celá organizácia používa prepínaný Ethernet, hackeri môžu pristupovať k prevádzke iba na porte, ku ktorému sú pripojení. Prepínaná infraštruktúra neodstraňuje hrozbu sniffovania, ale výrazne znižuje jej závažnosť.

Anti-sniffery. Tretím spôsobom boja proti sniffingu je inštalácia hardvéru alebo softvéru, ktorý dokáže rozpoznať sniffery bežiace vo vašej sieti. Tieto nástroje nedokážu úplne eliminovať hrozbu, ale ako mnohé iné nástroje zabezpečenia siete sú zahrnuté v celkovom obrannom systéme. Anti-sniffery merajú odozvu hostiteľa a určujú, či hostitelia musia zvládnuť zbytočnú prevádzku. Jeden takýto produkt, dodávaný spoločnosťou LOpht Heavy Industries, sa nazýva AntiSniff.

Kryptografia. Tento najefektívnejší spôsob riešenia sniffovania paketov síce nezabraňuje odpočúvaniu a nerozoznáva prácu snifferov, ale robí túto prácu zbytočnou. Ak je komunikačný kanál kryptograficky zabezpečený, hacker nezachytí správu, ale šifrovaný text (teda nezrozumiteľnú sekvenciu bitov). Kryptografia sieťovej vrstvy Cisco je založená na IPSec, čo je štandardná metóda pre zabezpečenú komunikáciu medzi zariadeniami pomocou IP. Ďalšie protokoly správy kryptografických sietí zahŕňajú SSH (Secure Shell) a SSL (Secure Socket Layer).

IP spoofing

Spoofing IP nastáva, keď sa hacker, či už v rámci spoločnosti alebo mimo nej, vydáva za oprávneného používateľa. Dá sa to urobiť dvoma spôsobmi: hacker môže použiť buď IP adresu, ktorá je v rozsahu autorizovaných IP adries, alebo autorizovanú externú adresu, ktorá má povolený prístup k určitým sieťovým zdrojom.

IP spoofing útoky sú často východiskovým bodom pre ďalšie útoky. Klasickým príkladom je DoS útok, ktorý začína adresou niekoho iného, ​​ktorá skrýva skutočnú identitu hackera.

Spoofing IP sa zvyčajne obmedzuje na vkladanie nepravdivých informácií alebo škodlivých príkazov do bežného dátového toku medzi klientskymi a serverovými aplikáciami alebo peer-to-peer komunikáciu.

Pre obojsmernú komunikáciu musí hacker upraviť všetky smerovacie tabuľky tak, aby smerovali prevádzku na sfalšovanú IP adresu. Niektorí hackeri sa však ani nepokúšajú získať odpoveď z aplikácií – ak je hlavnou úlohou získať dôležitý súbor zo systému, tak na odpovediach aplikácií nezáleží.

Ak sa hackerovi podarí zmeniť smerovacie tabuľky a nasmerovať prevádzku na falošnú IP adresu, dostane všetky pakety a môže na ne reagovať, ako keby bol autorizovaným používateľom.

Hrozbu spoofingu možno zmierniť (ale nie eliminovať) použitím nasledujúcich opatrení:

• Riadenie prístupu... Najjednoduchší spôsob, ako zabrániť spoofingu IP, je správne nakonfigurovať riadenie prístupu. Ak chcete znížiť efektívnosť spoofingu IP, nakonfigurujte riadenie prístupu tak, aby prerušilo akúkoľvek prevádzku prichádzajúcu z externej siete so zdrojovou adresou, ktorá sa musí nachádzať vo vašej sieti.

  Pomáha to však bojovať proti spoofingu IP, keď sú autorizované iba interné adresy; ak sú autorizované aj niektoré adresy externej siete, tento spôsob sa stáva neúčinným;

• Filtrovanie RFC 2827. Môžete zabrániť používateľom vašej siete, aby spoofovali siete iných ľudí (a stať sa dobrým občanom siete). Vyžaduje si to odmietnutie akejkoľvek odchádzajúcej prevádzky, ktorej zdrojová adresa nie je jednou z adries IP vašej organizácie.

  Tento typ filtrovania, známy ako RFC 2827, môže vykonávať aj váš ISP. Výsledkom je, že všetka prevádzka, ktorá nemá zdrojovú adresu očakávanú na konkrétnom rozhraní, sa zahodí. Napríklad, ak ISP poskytuje pripojenie na IP adresu 15.1.1.0/24, môže nakonfigurovať filter tak, aby bola povolená iba prevádzka prichádzajúca z 15.1.1.0/24 z tohto rozhrania do smerovača ISP.

Upozorňujeme, že kým všetci poskytovatelia nezavedú tento typ filtrovania, jeho účinnosť bude oveľa nižšia, ako je možné. Navyše, čím ďalej od filtrovaných zariadení, tým ťažšie je vykonať presnú filtráciu. Napríklad filtrovanie RFC 2827 na úrovni prístupového smerovača vyžaduje, aby všetka prevádzka prechádzala z hlavnej sieťovej adresy (10.0.0.0/8), zatiaľ čo na úrovni distribúcie (v tejto architektúre) môžete premávku obmedziť presnejšie (adresa - 10.1. 5,0/24).

Najúčinnejšia metóda na riešenie spoofingu IP je rovnaká ako pri sniffovaní paketov: útok musí byť úplne neúčinný. Spoofing IP môže fungovať iba vtedy, ak je autentifikácia založená na IP adresách.

Zavedenie ďalších metód autentifikácie preto robí takéto útoky zbytočnými. Najlepším typom dodatočnej autentifikácie je kryptografická. Ak to nie je možné, dobré výsledky môže poskytnúť dvojfaktorová autentifikácia pomocou jednorazových hesiel.

Odmietnutie služby

Denial of Service (DoS) je bezpochyby najznámejšou formou hackerských útokov. Navyše proti tomuto typu útoku je najťažšie vytvoriť stopercentnú obranu. DoS útoky sú medzi hackermi považované za detskú hru a ich použitie vyvoláva pohŕdavé úškrny, keďže organizácia DoS vyžaduje minimum vedomostí a zručností.

Je to však jednoduchosť implementácie a samotný rozsah škôd, ktoré spôsobujú, že DoS priťahuje kontrolu správcov sieťovej bezpečnosti. Ak by ste sa chceli dozvedieť viac o DoS útokoch, mali by ste zvážiť známejšie druhy, ktorými sú:

• TCP SYN Flood;
• Ping smrti;
• Tribe Flood Network (TFN) a Tribe Flood Network 2000 (TFN2K);
• Trinco;
• Stacheldracht;
• Trojica.

Vynikajúcim zdrojom bezpečnostných informácií je tím Computer Emergency Response Team (CERT), ktorý má vynikajúcu prácu v boji proti DoS útokom.

DoS útoky sa líšia od iných typov útokov. Nie sú zamerané na získanie prístupu do vašej siete, ani na získanie akýchkoľvek informácií z tejto siete, ale útok DoS zneprístupní vašu sieť pre bežné použitie prekročením prijateľných limitov pre fungovanie siete, operačného systému alebo aplikácie.

Pri niektorých aplikáciách na strane servera (ako je webový server alebo FTP server) môžu útoky DoS zobrať všetky dostupné pripojenia týmto aplikáciám a udržať ich zaneprázdnené, čím bežným používateľom zabránia v obsluhe. DoS útoky môžu využívať bežné internetové protokoly ako TCP a ICMP ( Internet Control Message Protocol).

Väčšina DoS útokov nie je zameraná na softvérové ​​chyby alebo bezpečnostné diery, ale na všeobecné slabé miesta v architektúre systému. Niektoré útoky rušia výkon siete zahltením siete nechcenými a nepotrebnými paketmi alebo poskytovaním falošných informácií o aktuálnom stave sieťových zdrojov.

Tomuto typu útoku je ťažké zabrániť, pretože si vyžaduje koordináciu s poskytovateľom. Ak nezastavíte prenos od poskytovateľa, ktorého cieľom je preplniť vašu sieť, nebudete to môcť urobiť na vstupe do siete, pretože bude obsadená celá šírka pásma. Keď sa tento typ útoku vykonáva súčasne cez viacero zariadení, hovoríme o distribuovanom DoS (DDoS) útoku.

Hrozbu útokov DoS možno zmierniť tromi spôsobmi:

• Funkcie proti spoofingu... Správna konfigurácia funkcií proti spoofingu na smerovačoch a bránach firewall pomôže znížiť riziko DoS. Tieto funkcie by mali zahŕňať minimálne filtrovanie RFC 2827. Pokiaľ hacker nedokáže zamaskovať svoju pravú identitu, je nepravdepodobné, že by zaútočil.
• Anti-DoS funkcie. Správna konfigurácia anti-DoS funkcií na smerovačoch a firewalloch môže obmedziť efektivitu útokov. Tieto funkcie často obmedzujú počet napoly otvorených kanálov v danom čase.
• Obmedzenie rýchlosti dopravy... Organizácia môže požiadať ISP o obmedzenie objemu prevádzky. Tento typ filtrovania vám umožňuje obmedziť množstvo nekritickej prevádzky prechádzajúcej vašou sieťou. Typickým príkladom je obmedzenie množstva prenosu ICMP, ktorý sa používa iba na diagnostické účely. (D) Útoky DoS často využívajú ICMP.

Útoky na heslá

Hackeri môžu vykonávať útoky na heslo pomocou rôznych techník, ako sú útoky hrubou silou, trójske kone, spoofing IP a sniffovanie paketov. Hoci používateľské meno a heslo možno často získať pomocou spoofingu IP a sniffovania paketov, hackeri sa často pokúšajú uhádnuť heslo a používateľské meno pomocou mnohých pokusov o prístup. Tento prístup sa nazýva útok hrubou silou.

Často sa na takýto útok používa špeciálny program, ktorý sa pokúša získať prístup k zdieľanému zdroju (napríklad k serveru). Ak v dôsledku toho dostane hacker prístup k zdrojom, získa ho ako bežný používateľ, ktorého heslo bolo zvolené.

Ak má tento používateľ významné prístupové práva, hacker si môže vytvoriť „priechod“ pre budúci prístup, ktorý bude platný aj v prípade, že používateľ zmení svoje heslo a prihlásenie.

Ďalší problém vzniká, keď používatelia používajú rovnaké (aj keď veľmi dobré) heslo na prístup k mnohým systémom: podnikovým, osobným a internetovým systémom. Keďže sila hesla sa rovná sile najslabšieho hostiteľa, hacker, ktorý sa heslo dozvie prostredníctvom tohto hostiteľa, získa prístup do všetkých ostatných systémov, kde sa používa rovnaké heslo.

Útokom na heslá sa možno vyhnúť nepoužívaním hesiel v obyčajnom texte. Jednorazové heslá a/alebo kryptografická autentifikácia môžu prakticky negovať hrozbu takýchto útokov. Bohužiaľ, nie všetky aplikácie, hostitelia a zariadenia podporujú vyššie uvedené metódy autentifikácie.

Pri používaní bežných hesiel sa snažte vymyslieť také, ktoré by bolo ťažké uhádnuť. Minimálna dĺžka hesla musí byť aspoň osem znakov. Heslo musí obsahovať veľké písmená, čísla a špeciálne znaky (#,%, $ atď.).

Najlepšie heslá je ťažké uhádnuť a ťažko si ich zapamätať, čo núti používateľov zapisovať si ich na papier. Aby sa tomu vyhli, používatelia a správcovia môžu využiť množstvo najnovších technologických pokrokov.

Napríklad existujú aplikačné programy, ktoré zašifrujú zoznam hesiel, ktoré si môžete uložiť vo svojom vreckovom PC. Vďaka tomu si používateľ musí zapamätať iba jedno zložité heslo, pričom všetky ostatné bude spoľahlivo chrániť aplikácia.

Správca má niekoľko spôsobov, ako bojovať proti hádaniu hesiel. Jedným z nich je použitie nástroja L0phtCrack, ktorý hackeri často používajú na hádanie hesiel vo Windows NT. Tento nástroj vám rýchlo ukáže, či je ľahké uhádnuť heslo, ktoré si používateľ zvolil. Viac informácií možno získať na http://www.l0phtcrack.com/.

Útoky typu Man-in-the-Middle

Pre útok typu Man-in-the-Middle potrebuje hacker prístup k paketom v sieti. Takýto prístup ku všetkým paketom prenášaným od poskytovateľa do akejkoľvek inej siete môže získať napríklad zamestnanec tohto poskytovateľa. Tento typ útoku často využíva paketové sledovače, transportné protokoly a smerovacie protokoly.

Útoky sa vykonávajú s cieľom odcudziť informácie, zachytiť aktuálnu reláciu a získať prístup k zdrojom privátnej siete, analyzovať prevádzku a získať informácie o sieti a jej používateľoch, vykonávať DoS útoky, skresľovať prenášané údaje a vnášať neoprávnené informácie do sieťové relácie.

Proti útokom typu Man-in-the-Middle možno účinne bojovať iba pomocou kryptografie. Ak hacker zachytí údaje šifrovanej relácie, na obrazovke sa mu nezobrazí zachytená správa, ale nezmyselná sada znakov. Upozorňujeme, že ak hacker získa informácie o kryptografickej relácii (napríklad kľúč relácie), môže to umožniť útok typu Man-in-the-Middle aj v šifrovanom prostredí.

Útoky na aplikačnej vrstve

Útoky na aplikačnú vrstvu možno vykonať niekoľkými spôsobmi. Najbežnejším z nich je zneužívanie známych slabín serverového softvéru (sendmail, HTTP, FTP). Pomocou týchto slabín môžu hackeri získať prístup k počítaču v mene používateľa spusteného aplikáciou (zvyčajne to nie je jednoduchý používateľ, ale privilegovaný správca s prístupovými právami do systému).

Útoky na úrovni aplikácií sú široko publikované, aby umožnili administrátorom opraviť problém pomocou opravných modulov (záplat). K týmto informáciám má bohužiaľ prístup aj veľa hackerov, čo im umožňuje zlepšovať sa.

Hlavným problémom útokov na aplikačnú vrstvu je, že hackeri často používajú porty, ktoré môžu prechádzať cez firewall. Napríklad hacker využívajúci známu slabinu webového servera pri útoku často používa port TCP 80. Keďže webový server poskytuje používateľom webové stránky, brána firewall musí poskytnúť prístup k tomuto portu. Z pohľadu firewallu je útok považovaný za štandardnú komunikáciu na porte 80.

Útoky na aplikačnej vrstve nemožno úplne vylúčiť. Hackeri neustále objavujú a zverejňujú nové zraniteľnosti v aplikačných programoch na internete. Tu je najdôležitejšia dobrá správa systému. Tu je niekoľko krokov, ktoré môžete podniknúť na zníženie svojej zraniteľnosti voči tomuto typu útoku:

• čítať protokolové súbory operačného systému a sieťové protokolové súbory a/alebo ich analyzovať pomocou špeciálnych analytických aplikácií;
• Prihláste sa na odber služby distribúcie slabých aplikácií: Bugtrad (http://www.securityfocus.com).

Sieťová inteligencia

Sieťová inteligencia je zhromažďovanie informácií o sieti pomocou verejne dostupných údajov a aplikácií. Pri príprave útoku na sieť sa hacker spravidla snaží získať o nej čo najviac informácií. Prieskum siete sa vykonáva vo forme dopytov DNS, pingov a skenovania portov.

DNS dotazy vám pomôžu pochopiť, kto vlastní konkrétnu doménu a aké adresy sú k danej doméne priradené. Pingovanie adries vystavených DNS vám umožňuje zistiť, ktorí hostitelia skutočne bežia vo vašom prostredí. Po získaní zoznamu hostiteľov hacker použije nástroje na skenovanie portov na zostavenie kompletného zoznamu služieb podporovaných týmito hostiteľmi. Nakoniec hacker analyzuje vlastnosti aplikácií bežiacich na hostiteľoch. Výsledkom je, že získava informácie, ktoré možno použiť na hackovanie.

Úplne sa zbaviť sieťovej inteligencie je nemožné. Ak napríklad na periférnych smerovačoch zakážete odozvu ICMP a odozvu na odozvu, zbavíte sa testovania odozvy, ale stratíte údaje potrebné na diagnostiku zlyhaní siete.

Okrem toho môžete skenovať porty bez toho, aby ste najprv museli zadať príkaz ping – len to trvá dlhšie, pretože budete musieť skenovať aj neexistujúce adresy IP. Systémy IDS na úrovni siete a hostiteľa zvyčajne dobre informujú správcu o prebiehajúcej inteligencii siete, čo vám umožňuje lepšie sa pripraviť na blížiaci sa útok a upozorniť poskytovateľa internetových služieb, v sieti ktorého systém prejavuje nadmernú zvedavosť:

1. používať najnovšie verzie operačných systémov a aplikácií a najnovšie opravné moduly (záplaty);
2. Okrem správy systému používajte Attack Detection Systems (IDS) – dve doplnkové technológie ID:
   • Network IDS (NIDS) monitoruje všetky pakety prechádzajúce konkrétnou doménou. Keď systém NIDS uvidí paket alebo sériu paketov, ktoré zodpovedajú podpisu známeho alebo pravdepodobného útoku, vygeneruje alarm a/alebo ukončí reláciu;
   • IDS (HIDS) chráni hostiteľa pomocou softvérových agentov. Tento systém bojuje proti útokom iba proti jedinému hostiteľovi.

IDS fungujú pomocou signatúr útokov, čo sú profily konkrétnych útokov alebo typov útokov. Podpisy definujú podmienky, za ktorých sa prevádzka považuje za hackera. Analógy IDS vo fyzickom svete možno považovať za varovný systém alebo sledovaciu kameru.

Najväčšou nevýhodou IDS je ich schopnosť generovať alarmy. Na minimalizáciu falošných poplachov a zabezpečenie správneho fungovania systému IDS v sieti je potrebná starostlivá konfigurácia.

Zneužívanie dôvery

Presne povedané, tento typ akcie nie je v plnom zmysle slova útokom alebo napadnutím. Ide o škodlivé použitie dôveryhodných vzťahov, ktoré existujú v sieti. Klasickým príkladom takéhoto zneužívania je situácia na okraji podnikovej siete.

Tento segment často hostí servery DNS, SMTP a HTTP. Keďže všetky patria do rovnakého segmentu, hacknutie ktoréhokoľvek z nich vedie k hacknutiu všetkých ostatných, pretože tieto servery dôverujú iným systémom vo svojej sieti.

Ďalším príkladom je systém nainštalovaný na vonkajšej strane brány firewall, ktorý má vzťah dôvery so systémom nainštalovaným vo vnútri. Ak je ohrozený externý systém, hacker môže použiť vzťah dôvery na infiltráciu do systému chráneného firewallom.

Riziko narušenia dôvery možno zmierniť prísnejšou kontrolou úrovní dôvery vo vašej sieti. Systémy mimo firewallu by za žiadnych okolností nemali úplne dôverovať systémom chráneným firewallom.

Dôveryhodné vzťahy by mali byť obmedzené na určité protokoly a ak je to možné, mali by byť overené nielen IP adresami, ale aj inými parametrami.

Presmerovanie portov

Presmerovanie portov je forma zneužitia dôvery, pri ktorej sa napadnutý hostiteľ používa na prechod cez bránu firewall, ktorá by bola inak odmietnutá. Predstavte si firewall s tromi rozhraniami, z ktorých každé má pripojeného špecifického hostiteľa.

Externý hostiteľ sa môže pripojiť k zdieľanému hostiteľovi (DMZ), ale nie k hostiteľovi nainštalovanému vo vnútri brány firewall. Zdieľaný hostiteľ sa môže pripojiť k internému aj externému hostiteľovi. Ak hacker prevezme zdieľaný hostiteľ, môže naň nainštalovať softvér, ktorý presmeruje prevádzku z externého hostiteľa priamo na interného hostiteľa.

Hoci to neporušuje žiadne pravidlá platné na obrazovke, externý hostiteľ v dôsledku presmerovania získa priamy prístup k chránenému hostiteľovi. Príkladom aplikácie, ktorá môže poskytnúť tento prístup, je netcat. Viac informácií nájdete na http://www.avian.org.

Primárnym spôsobom riešenia presmerovania portov je použitie modelov silnej dôvery (pozri predchádzajúcu časť). Okrem toho môže hostiteľský systém IDS (HIDS) zabrániť hackerovi v inštalácii jeho softvéru na hostiteľa.

Nepovolený prístup

Neoprávnený prístup nemožno kategorizovať ako samostatný typ útoku, pretože väčšina sieťových útokov sa vykonáva práve s cieľom získať neoprávnený prístup. Na získanie prihlásenia do Telnetu musí hacker najskôr dostať výzvu Telnet do svojho systému. Po pripojení k portu Telnet sa zobrazí správa „vyžaduje sa autorizácia na používanie tohto prostriedku“ (" Na používanie tohto zdroja sa vyžaduje autorizácia.»).

Ak sa potom hacker bude naďalej pokúšať o prístup, bude považovaný za neoprávneného. Zdroj takýchto útokov môže byť umiestnený vo vnútri siete aj mimo nej.

Spôsoby boja proti neoprávnenému prístupu sú pomerne jednoduché. Tu ide hlavne o to, aby sa znížila alebo úplne eliminovala schopnosť hackera získať prístup do systému pomocou neoprávneného protokolu.

Ako príklad zvážte zabránenie hackerom v prístupe k portu Telnet na serveri, ktorý poskytuje webové služby externým používateľom. Bez prístupu k tomuto portu ho hacker nemôže napadnúť. Pokiaľ ide o firewall, jeho hlavnou úlohou je zabrániť najjednoduchším pokusom o neoprávnený prístup.

Vírusy a aplikácie trójskych koní

Pracovné stanice koncových používateľov sú vysoko zraniteľné voči vírusom a trójskym koňom. Vírusy sú škodlivé programy, ktoré sú vložené do iných programov, aby na pracovnej stanici koncového používateľa vykonali určitú nežiaducu funkciu. Príkladom je vírus, ktorý sa zaregistruje v súbore command.com (hlavný interpret Windows) a vymaže ostatné súbory a infikuje všetky ostatné verzie command.com, ktoré nájde.

Trójsky kôň nie je zásuvný modul, ale skutočný program, ktorý sa na prvý pohľad javí ako užitočná aplikácia, no v skutočnosti zohráva škodlivú úlohu. Príkladom typického trójskeho koňa je program, ktorý na pracovnej stanici používateľa vyzerá ako jednoduchá hra.

Kým však používateľ hrá hru, program odošle svoju kópiu e-mailom každému účastníkovi zapísanému v adresári tohto používateľa. Všetci predplatitelia dostanú hru poštou, čo vedie k jej ďalšej distribúcii.

Boj proti vírusom a trójskym koňom prebieha pomocou účinného antivírusového softvéru, ktorý beží na úrovni používateľa a prípadne aj na úrovni siete. Antivírusové nástroje detegujú a zastavujú väčšinu vírusov a trójskych koní.

Získavanie najnovších informácií o vírusoch vám pomôže bojovať proti nim efektívnejšie. Keď sa objavia nové vírusy a trójske kone, podniky musia nainštalovať nové verzie antivírusových nástrojov a aplikácií.

Pri písaní tohto článku boli použité materiály poskytnuté spoločnosťou Cisco Systems.

Dobrý zlý