телевизори. Конзоли. Проектори и аксесоари. Технологии. Цифрова телевизия

Видове мрежови атаки. Sniffing - слушане на канал. Технологии за откриване на атаки

По естеството на въздействието:

Пасивен;

Активен.

Пасивното въздействие върху разпределена изчислителна система (DCS) е въздействие, което не засяга пряко работата на системата, но в същото време може да наруши нейната политика за сигурност. Липсата на пряко влияние върху работата на RVS води именно до факта, че пасивното дистанционно въздействие (RPI) е трудно забележимо. Възможен пример за типичен PUV в DCS е прослушването на комуникационен канал в мрежа.

Активно въздействие върху DCS е въздействие, което има пряко въздействие върху работата на самата система (нарушаване на функционалността, промяна в конфигурацията на DCS и др.), което нарушава приетата в нея политика за сигурност. Почти всички видове дистанционни атаки са активни влияния. Това се дължи на факта, че самото естество на увреждащия ефект включва активно вещество. Ясната разлика между активното и пасивното влияние е основната възможност за неговото откриване, тъй като в резултат на неговото прилагане настъпват някои промени в системата. При пасивно влияние не остават абсолютно никакви следи (поради факта, че нападателят вижда съобщението на някой друг в системата, нищо няма да се промени в същия момент).

По цел на въздействие:

нарушаване на функционирането на системата (достъп до системата);

нарушение на целостта информационни ресурси(IR);

нарушаване на IR поверителността.

Този признак, по който е направена класификацията, всъщност е директна проекция на три основни вида заплахи – отказ на услуга, разкриване и нарушаване на целостта.

Основната цел, преследвана при почти всяка атака, е получаването на неоторизиран достъп до информация. Има два основни варианта за получаване на информация: изкривяване и прихващане. Възможността за прихващане на информация означава получаване на достъп до нея без възможност за промяна. Следователно прихващането на информация води до нарушаване на нейната поверителност. Слушането на канал в мрежа е пример за прихващане на информация. В този случай е налице нелегитимен достъп до информация без възможни вариантинейната подмяна. Очевидно нарушаването на поверителността на информацията се отнася до пасивни влияния. Способността за замяна на информация трябва да се разбира или като пълен контрол върху потока от информация между системните обекти, или като способността да се предават различни съобщения от името на някой друг. Следователно е ясно, че подмяната на информация води до нарушаване на нейната цялост. Такова информационно деструктивно въздействие е типичен пример за активно въздействие. Пример за отдалечена атака, предназначена да наруши целостта на информацията, е отдалечената атака (RA) на „Фалшив RVS обект“.

Въз основа на наличието на обратна връзка от атакувания обект:

с обратна връзка;

без обратна връзка (еднопосочна атака).

Нападателят изпраща някои заявки към атакувания обект, на които очаква да получи отговор. В резултат на това се появява обратна връзка между атакуващия и атакувания, което позволява на първия да реагира адекватно на всякакви промени в атакувания обект. Това е същността на дистанционната атака, осъществявана при наличие на обратна връзка от атакуващия обект. Такива атаки са най-характерни за RVS. Атаките с отворен цикъл се характеризират с факта, че не е необходимо да реагират на промени в атакувания обект. Такива атаки обикновено се извършват чрез изпращане на единични заявки до атакувания обект. Нападателят не се нуждае от отговори на тези заявки. Такава UA може също да се нарече еднопосочна UA. Пример за еднопосочни атаки е типична DoS атака.

Според условието за начало на удара. Дистанционното влияние, както всяко друго, може да започне да се проявява само при определени условия. Има три вида такива условни атаки в RVS:

атака по заявка от атакувания обект;

атака при настъпване на очаквано събитие върху атакувания обект;

безусловна атака.

Въздействието на нападателя ще започне, ако потенциалната цел на атаката предаде заявка от определен тип. Такава атака може да се нарече атака по заявка от атакувания обект. Този видотдалечената атака е най-типична за RVS. Пример за такива заявки в Интернет са DNS и ARP заявки, а в Novell NetWare – SAP заявка.

Атака при настъпване на очаквано събитие върху атакувания обект. Нападателят непрекъснато следи състоянието на ОС на отдалечената цел на атаката и започва да влияе, когато настъпи конкретно събитие в тази система. Самият атакуван обект е инициатор на атаката. Пример за такова събитие би било, когато сесията на потребителя със сървъра е прекъсната без подаване на командата LOGOUT в Novell NetWare. Безусловната атака се извършва незабавно и независимо от състоянието на ОС и атакувания обект. Следователно нападателят е инициатор на атаката в този случай. Ако нормалната работа на системата е нарушена, се преследват други цели и нападателят получава незаконен достъпне е предназначен за данни. Целта му е да деактивира ОС на атакувания обект и да направи невъзможен достъпът на други системни обекти до ресурсите на този обект. Пример за този тип атака е DoS атака.

Въз основа на местоположението на обекта на атака спрямо атакувания обект:

междусегментни;

интрасегментен.

Източникът на атаката (субектът на атаката) е програмата (евентуално операторът), водеща атаката и имаща пряко въздействие.

Хост - компютър, който е елемент от мрежа.

Рутерът е устройство, което маршрутизира пакети в мрежа.

Подмрежата е група от хостове, които са част от глобална мрежа, като се различават по това, че рутерът разпределя един и същ номер на подмрежа за тях. Можем също да кажем, че подмрежата е логическа асоциация на хостове чрез рутер. Хостове в една и съща подмрежа могат да комуникират директно един с друг, без да използват рутер. От гледна точка на дистанционна атака изключително важно е относителното разположение на субекта и обекта на атаката, тоест дали са в различни или идентични сегменти. По време на вътрешносегментна атака обектът и целта на атаката се намират в един и същи сегмент. В случай на междусегментна атака, обектът и целта на атаката се намират в различни мрежови сегменти. Тази функция за класификация позволява да се прецени така наречената „степен на отдалеченост“ на атаката.

По-долу ще бъде показано, че вътрешносегментна атака е много по-лесна за изпълнение от междусегментна атака. Междусегментната отдалечена атака е по-опасна от вътрешносегментната атака. Това се дължи на факта, че в случай на междусегментна атака, нейният обект и нападателят могат да се намират на разстояние много хиляди километри един от друг, което може значително да попречи на мерките за отблъскване на атаката.

Според нивото на референтния модел ISO/OSI, на което се извършва въздействието:

физически;

канал;

транспорт;

сесиен;

Представител;

приложено.

Международната организация по стандартизация (ISO) прие стандарта ISO 7498, който описва взаимодействието отворени системи(OSI), към които принадлежат и RVS. Всеки мрежов протокол за обмен, както и всяка мрежова програма, могат по един или друг начин да бъдат проектирани върху референтно 7-ниво OSI модел. Тази многостепенна проекция дава възможност да се опишат функциите, използвани в мрежовия протокол или програма по отношение на OSI модела. UA -- мрежова програма, и е логично да се разглежда от гледна точка на проекцията върху референтния модел ISO/OSI.

Локални атаки

Източници на локални атаки са потребители и/или програми локална система. За определяне на най-вероятните атаки срещу информационна сигурност, е необходимо да се установи върху какви теоретични принципи, необвързани с реални средства, е изграден моделът на сигурност. Например, ако една от ключовите разпоредби е, че само упълномощено лице може да се приближи физически до компютъра и не са инсталирани системи за физическо ограничаване на физическия достъп, тогава атаките срещу физическата сигурност са най-вероятни:

Отметки в хардуер;

Достъп на етапа на зареждане на ОС;

Атаки срещу средства за удостоверяване;

Софтуерни атаки на трети страни;

Достъп на ниво фърмуер;

Помощни програми за локална атака.

Класификация на атаките

1. По естеството на въздействието

  • пасивен
  • активен

Пасивно въздействие върху разпределена изчислителна система- въздействие, което не засяга пряко работата на системата, но може да наруши нейната политика за сигурност.

Пасивното дистанционно облъчване е практически неоткриваемо.

Пример: слушане на комуникационен канал в мрежа.

Активно влияние върху разпределена изчислителна система- въздействие, което оказва пряко влияние върху работата на системата (промяна в конфигурацията на DCS, неизправност и др.) и нарушава възприетата в нея политика за сигурност.

Почти всички видове дистанционни атаки са активни влияния. Характеристика на активното въздействие в сравнение с пасивното е фундаменталната възможност за неговото откриване, тъй като в резултат на неговото прилагане в системата настъпват определени промени. За разлика от активното, пасивното излагане не оставя никакви следи.

2. Според целта на въздействие

  • нарушаване на поверителността на информацията
  • нарушаване целостта на информацията
  • нарушаване на работата на системата (наличност)

При прихващане на информация се нарушава нейната конфиденциалност.

Пример: слушане на канал в мрежата.

Когато информацията е изкривена, нейната цялост се нарушава.

Пример: въвеждане на фалшив обект в DVR.

В случай на неизправност не се осъществява неоторизиран достъп, т.е. Целостта и поверителността на информацията се запазват, но достъпът до нея от законни потребители също е невъзможен.

3. Според състоянието на началото на удара

  • Атака при поискване от атакувания обект
  • Атака при настъпване на очаквано събитие върху атакувания обект
  • Безусловна атака

В случай на заявка, атакуващият очаква потенциалната цел на атаката да предаде заявка от определен тип, което ще бъде условието за началото на въздействието.

Пример: DNS и ARP заявки в TCP/IP стека.

Ако възникне събитие, нападателят непрекъснато следи състоянието операционна системаотдалечена цел на атаката и когато се случи определено събитие в тази система, въздействието започва.

Инициатор на атаката е атакуваният обект.

Пример: прекъсване на потребителска сесия със сървър в мрежови операционни системи без подаване на командата LOGOUT.

При безусловна атака началото на нейното изпълнение е безусловно по отношение на целта на атаката, тоест атаката се извършва незабавно и независимо от състоянието на системата и атакувания обект. Следователно в този случай нападателят е инициатор на атаката.

4. Въз основа на наличието на обратна връзка от атакувания обект

  • с обратна връзка
  • без обратна връзка (еднопосочна атака)

Атака с обратна връзка- атака, по време на която нападателят получава отговор от атакувания обект на част от неговите действия. Тези отговори са необходими, за да може да продължи атаката и/или да я извърши по-ефективно, отговаряйки на промените, настъпващи в атакуваната система.

Атака без обратна връзка- атака, която възниква, без да се реагира на поведението на атакуваната система.

Пример: отказ от услуга (DoS).

5. По местоположението на нападателя спрямо атакувания обект

  • интрасегментен
  • междусегментни

Вътрешносегментна атака- атака, при която субектът и обектът на атаката се намират в рамките на един и същ мрежов сегмент, където сегментът е физическа комбинация от станции, използващи комуникационни устройства не по-високо от нивото на връзката.

Междусегментна атака- атака, при която обектът и целта на атаката се намират в различни мрежови сегменти.

6. По броя на нападателите

  • разпределени
  • неразпределени

Разпределена атака- атака, извършена от двама или повече нападатели на една и съща компютърна система, обединени от един план и време.

Неразпределена атакаизвършено от един нападател.

7. Според нивото на референтния модел ISO/OSI, на което се извършва въздействието

  • физически
  • канал
  • мрежа
  • транспорт
  • сесиен
  • Представител
  • приложено

2. Класификация на методите за откриване и защита от атаки

Класификация на средствата за сигурност

информация за нивата на модела ISO/OSI

в стандарт ISO 7498-2.

Физическо ниво.

Съоръженията, предоставени на това ниво, са ограничени до поверителността на връзката и поверителността на потока от данни, съгласно ISO 7498-2. Поверителността на това ниво обикновено се осигурява чрез битово криптиране. Тези съоръжения могат да бъдат изпълнени като почти прозрачни, тоест без появата на допълнителни данни (с изключение на установяване на връзка).

Целостта и удостоверяването обикновено не са възможни тук поради факта, че интерфейсът на битово ниво на този слой няма възможностите да пренася допълнителните данни, необходими за прилагане на тези съоръжения. Въпреки това, използването на подходящи технологии за криптиране на това ниво може да осигуритези средства на по-високи нива.

Например, криптографски модели като DES в режим на обратна връзка на изхода не предоставят многоима много грешки при модифициране на шифрования текст, така че този режим би бил лош избор, ако имате нужда от нещо повече от поверителност. За разлика от това, режим DES, като режим на обратна връзка с единичен криптиран бит, осигурява необходимата производителност при грешки и може да осигури подходяща основа за цялост и удостоверяване. Средствата за секретност на физическия слой и нивото на връзката за данни обикновено се изпълняват под формата на допълнителен хардуер.

Слой за връзка с данни

Съгласно ISO 7498-2 съоръженията, предоставени на слоя за връзка за данни, са поверителността на връзката и поверителността на дейтаграмата.

Секретността на слоя на връзката обикновено се предоставя на базата от точка до точка, подобно на физическо ниво. Отново, обхватът на средствата трябвазавършват на места, където се намират взаимодействащи партньорски обекти, тоест крайни системи и комутатори. В LAN (WAN) среда средствата за поверителност могат също да бъдат осигурени за излъчване или мултикаст предаване, базирано на LAN технологии, както и връзка от точка до точка.

Мрежов слой

Секретността означава мрежов слоймогат да се предоставят между крайните системи в мрежата, независимо от използваните комутатори (например пакетни комутатори X.25). ISO 7498-2 отбелязва приложимостта на няколко контрола за поверителност на това ниво: поверителност на връзката, поверителност на дейтаграми, поверителност на потока от данни, интегритет (за връзки без възстановяване и за дейтаграми), удостоверяване на източник на данни и комуникиращи обекти и контрол на достъпа.

Транспортен слой

За транспортния слой ISO 7498-2 определя следните мерки за сигурност: поверителност (за връзки или дейтаграми), цялост (всичко освенотделни полета), удостоверяване на източник на данни и взаимодействащи обекти и контрол на достъпа. Има само една разлика между средствата за секретност, предоставени за комуникация на дейтаграмитранспортен слой и съоръжения, предлагани над мрежовия слой. Тя се състои в способността да се осигури защита в междинни системи (използвайки механизми на мрежовия слой), а не само в крайни системи (използвайки механизми на транспортния слой).

Сесиен слой

ISO 7498-2 не позволява да се предоставят съоръжения на ниво сесия. Това ниво предоставя малко по отношение на средствата за взаимодействие в сравнение с транспорта илиниво на приложение. Въз основа на принципа, че не си струва да се предоставят функции за сигурност, които не съответстват на основните средства за взаимодействие това ниво, може да се възрази срещу осигуряването на секретност на ниво сесия. Освен това може да се твърди, че функциите за поверителност са по-добре предоставени на транспортния, презентационния или приложния слой.

Представително ниво

Тъй като този слой се използва за преобразуване на данни между обикновени и мрежови представяния, е полезно данните да се криптират на този слой, а не на приложния слой. Ако приложението извършва криптиране, то защитавапредставително ниво от изпълнението на тази функция. Това е аргумент срещу прилагането на криптиране на ниво приложение за приложения, които комуникират директно (а не чрез посредници). Алтернатива на това е да се дублират възможностите на презентационния слой в приложенията. В TCP/IP стека, тъй като функциите за представяне са вградени в приложения, а не в отделен слой, този конфликт е разрешен.

Приложен слой

ISO 7498-2 гласи, че всички секретни възможности могат да бъдат предоставени на приложния слой и контролът върху участниците в комуникацията може да бъде предоставен само на този слой. Въпреки това, предоставяйки известни средствана това ниво създава проблеми поради конфликт с възможностите на представителното ниво. Това ограничение се заобикаля за приложения с многоетапно доставяне на данни, като инструменти електронна пощаилисправочник (спецификации X.400 и X.500). Този конфликт също се преодолява в TCP/IP стека, в който функциите за представяне обикновено се включват в приложенията.

Всъщност приложения като инструменти за електронна поща и директории могат да бъдат защитени само с помощта на секретност на приложния слой. Имейлът изисква сигурност на това ниво поради няколко причини.

Първо, някои от функциите за поверителност, които използва, могат да бъдат предоставени само на това ниво, като контрол на участниците. Второ, съобщенията обикновено се адресират до групи получатели (мултикаст предаване).приложен слой), а доставката се извършва на няколко етапа с помощта на превключватели на съобщения. Защитата на по-ниски нива често се предоставя само в реално време за връзки от точка до точка.

За имейлИзползването на механизми за секретност на по-ниски нива може да осигури защита от изпращач към превключване на съобщения (MTA), защита между MTA, между MTA и получатели, но само постепенно. За да се гарантира тайната от край до край, "автор - читател" изисква използване на технологията, специфични за имейл.

За инструментите за директории подобни проблеми пречат на инструментите за сигурност от по-ниско ниво да отговорят адекватно на изискванията за поверителност. Например заявка от потребител към сървър на директория може да бъде пренасочена към други сървъри в процеса на издаване на отговор. Ако сървърът на директория, който в крайна сметка получава заявката, трябва да вземе решение за предоставяне на достъп въз основа на самоличността на заявителя, тогава това решение не може да бъде взето въз основа на информация от протоколи от по-нисък слой.

Освен това, без да се доверите на сървърите, които са препратили тази заявка, отговарящият сървър не може да бъде сигуренче заявката не е променена. Следователно, това приложение, подобно на имейла, илюстрира основната причина за секретността на ниво приложение, тоест невъзможността да се удовлетворят изискванията за секретност само на базата на възможности на по-нисък слой.

Класификация на методите за откриване на атаки.

Чрез технология за откриване

· откриване на аномалии

Този подход се фокусира върху формирането на статистически модел на нормално потребителско поведение. Отклонението от модела е знак за атака. Подходът страда от факта, че генерира твърде много фалшиви аларми.

· откриване на неправилна употреба

С този подход системата търси известни сигнатури и подава аларма, когато ги открие. По-надежден и осъществим. Почти всички системи за откриване на атаки, предлагани на пазара днес, се основават на този подход. Сега има промени в развитието на първия подход.

По ниво на откриване

Откриване на атаки на мрежово ниво

Системите за откриване на атаки на мрежовия слой използват необработени мрежови пакети като източник на данни за анализ. Обикновено системите за откриване на проникване (IDS) на ниво мрежа използват мрежов адаптерработещи в безразборен режим и анализиращи трафика в реално време, докато преминава през мрежов сегмент. Модулът за разпознаване на атака използва четири добре познати метода за разпознаване на сигнатурата на атаката:

· Съответствие на трафика с модел (сигнатура), израз или байт код, показващ атака или подозрително действие;

· Следене на честотата на събития или превишаване на прагова стойност;

· Корелация на множество събития с нисък приоритет;

· Откриване на статистически аномалии.

След като бъде открита атака, модулът за реакция предоставя широка гама от опции за известяване, аларма и контрамерки в отговор на атаката. Тези опции варират от система до система, но обикновено включват: уведомяване на администратора чрез конзола или имейл, прекратяване на връзката с атакуващия хост и/или запис на сесията за по-късен анализ и събиране на доказателства.

Предимства на системите за откриване на атаки на мрежово ниво

IDS на мрежово ниво имат много предимства, които липсват на системите за откриване на проникване на системно ниво. Всъщност много клиенти използват система за откриване на проникване на мрежовия слой поради ниската цена и навременната реакция. По-долу са основните причини, които правят откриването на атаки на мрежово ниво най-важният компонент на ефективното прилагане на политиката за сигурност.

1.Ниска цена на експлоатация . IDS на мрежовия слой трябва да бъдат инсталирани на критични места в мрежата, за да контролират трафика, протичащ между множество системи. Системите на мрежовия слой не изискват софтуер за откриване на проникване да бъде инсталиран на всеки хост. Тъй като броят на местата, на които са инсталирани IDS за наблюдение на цялата мрежа, е малък, разходите за тяхната работа в корпоративна мрежа са по-ниски от разходите за работа със системи за откриване на атаки на системно ниво.

2.Откриване на атаки, които са пропуснати на системно ниво . IDS на мрежовия слой проверяват заглавките на мрежовите пакети за подозрителна или враждебна дейност. IDS на системно ниво не работят със заглавки на пакети, следователно не могат да открият тези видове атаки. Например, много мрежови атаки като отказ на услуга и teardrop могат да бъдат идентифицирани само чрез анализиране на заглавките на пакетите, докато преминават през мрежата. Този тип атака може бързо да се идентифицира с помощта на IDS на мрежовия слой, който преглежда трафика в реално време. IDS на мрежовия слой могат да изследват съдържанието на тялото на данните на пакета, търсейки команди или специфичен синтаксис, използван при конкретни атаки. Например, когато хакер се опита да използва програмата Back Orifice на системи, които все още не са засегнати от нея, този факт може да бъде открит чрез изследване на съдържанието на тялото с данни на пакета. Както беше обсъдено по-горе, системите на системно ниво не работят на мрежово ниво и следователно не могат да разпознаят такива атаки.

3.За хакера е по-трудно да премахне следите от присъствието си . IDS на мрежовия слой използват трафик на живо, за да откриват атаки в реално време. Така хакерът не може да премахне следите от присъствието си. Анализираните данни включват не само информация за метода на атаката, но и информация, която може да помогне за идентифицирането на нападателя и доказването му в съда. Тъй като много хакери са добре запознати с регистрационните файлове, те знаят как да манипулират тези файлове, за да скрият следи от своите дейности, намалявайки ефективността на системите на системно ниво, които изискват тази информация, за да открият атака.

4.Откриване и реакция в реално време . IDS на мрежово ниво открива подозрителни и враждебни атаки ДОКАТО СЕ СЛУЧВАТ и следователно осигурява много по-бързо уведомяване и отговор от IDS на системно ниво. Например, хакер, стартиращ базирана на TCP атака за отказ на услуга на мрежов слой, може да бъде спрян от IDS на мрежовия слой, изпращащ зададен флаг за нулиране в заглавката на TCP пакета, за да прекрати връзката с атакуващия хост, преди атаката да причини разрушаване или повреда на целта. хоста IDS на системно ниво обикновено не разпознават атаки, докато атаката не бъде регистрирана, и отговарят, след като атаката бъде регистрирана. В този момент най-критичните системи или ресурси може вече да са компрометирани или системата, изпълняваща IDS на системно ниво, може да е компрометирана. Уведомяването в реално време ви позволява бързо да реагирате според предварително зададени параметри. Тези реакции варират от разрешаване на проникване в режим на наблюдение, за да се събере информация за атаката и нападателя, до незабавно прекратяване на атаката.

5.Откриване на неуспешни атаки или подозрителни намерения . IDS на мрежов слой, инсталиран от външната страна на защитната стена, може да открие атаки, насочени към ресурси зад защитната стена, въпреки че защитната стена може да отблъсне тези опити. Системите на системно ниво не виждат отразени атаки, които не достигат до хоста зад защитната стена. Тази загубена информация може да е най-важната при оценката и подобряването на политиките за сигурност.

6.Независимост на ОС . IDS на мрежовия слой са независими от операционните системи, инсталирани на корпоративна мрежа. Системите за откриване на проникване на системно ниво изискват специфични операционни системи, за да функционират правилно и да генерират необходимите резултати.

Откриване на атаки на системно ниво

В началото на 80-те години на миналия век, преди изграждането на мрежи, най-честата практика за откриване на атаки беше да се преглеждат регистрационни файлове за събития, които биха показали подозрителна дейност. Съвременни системиОткриването на атаки на системно ниво остава мощен инструмент за разбиране на минали атаки и идентифициране на подходящи техники за смекчаване на бъдещи експлойти. Съвременните IDS на системно ниво все още използват регистрационни файлове, но са станали по-автоматизирани и включват сложни методи за откриване, базиран на най-новите изследвания в областта на математиката.

Обикновено IDS на системно ниво наблюдава система, събития и регистрационни файлове за сигурност (регистрационни файлове за сигурност или syslog) в мрежи, работещи под Windows контрол NT или Unix.Когато някой от тези файлове се промени, IDS сравнява новите записи със сигнатури на атака, за да види дали има съвпадение. Ако бъде намерено такова съвпадение, системата изпраща аларма до администратора или активира други определени механизми за реакция. IDS на системно ниво непрекъснато се развиват, като постепенно включват все повече и повече нови методи за откриване. Един такъв популярен метод е да се проверяват контролните суми на ключови системни и изпълними файлове на редовни интервали, за да се проверяват за неоторизирани промени. Своевременността на отговора е пряко свързана с честотата на анкетата. Някои продукти слушат активни портове и уведомяват администратора, когато някой се опита да получи достъп до тях.

Предимства на системите за откриване на атаки на системно ниво

Въпреки че системите за откриване на проникване на системно ниво не са толкова бързи, колкото техните партньори на мрежово ниво, те предлагат предимства, които последните не предлагат. Тези предимства включват по-строг анализ, по-голямо внимание към специфичните за хоста данни за събития и по-ниски разходи за внедряване.

1.Потвърждава успеха или неуспеха на атаката . Тъй като IDS на системно ниво използват регистрационни файлове, съдържащи данни за действително настъпили събития, IDS от този клас могат висока точностопредели дали атаката е наистина успешна или не. В това отношение IDS на системно ниво осигуряват отлично допълнение към системите за откриване на проникване на мрежово ниво. Тази комбинация осигурява ранно предупреждение за началото на атака с помощта на мрежовия компонент и успеха на атака с помощта на системния компонент.

2.Контролира активността на определен възел . IDS на системно ниво следи потребителската активност, достъпа до файлове, промените в разрешенията за файлове, опитите за инсталиране на нови програми и/или опитите за получаване на достъп до привилегировани услуги. Например, IDS на системно ниво може да наблюдава всички дейности за влизане и излизане на потребител, както и действията, които всеки потребител извършва, докато е свързан към мрежата. Много е трудно за система от мрежов слой да осигури това ниво на детайлност на събитието. Технологията за откриване на проникване на системно ниво може също да наблюдава дейности, които обикновено се извършват само от администратор. Операционните системи регистрират всяко събитие, което добавя, премахва или променя Сметкипотребители. IDS на системно ниво могат да открият съответната промяна веднага щом настъпи. IDS на системно ниво могат също така да извършват одит на промените в политиката за сигурност, които засягат начина, по който системите проследяват своите регистрационни файлове и т.н.

В крайна сметка системите за откриване на проникване на системно ниво могат да наблюдават промените в ключ системни файловеили изпълними файлове. Опитите за презаписване на такива файлове или инсталиране на троянски коне могат да бъдат открити и спрени. Системите на мрежовия слой понякога пропускат този тип дейност.

3.Откривайте атаки, които системите на мрежовия слой пропускат . IDS на системно ниво могат да открият атаки, които инструментите на мрежово ниво не могат да открият. Например атаки, произхождащи от самия атакуван сървър, не могат да бъдат открити от системи за откриване на атаки на мрежово ниво.

4.Много подходящ за криптирани и комутирани мрежи . Тъй като IDS на системно ниво е инсталиран на различни хостове в корпоративна мрежа, той може да преодолее някои от предизвикателствата, срещани при работа със системи на мрежово ниво в комутирани и криптирани мрежи.

Превключването позволява големите мрежи да се управляват като множество малки мрежови сегменти. В резултат на това може да бъде трудно да се определи най-доброто място за инсталиране на IDS на мрежов слой. Понякога управлението на портове и огледални портове, обхват на портове на трафик на комутатори може да помогне, но тези методи не винаги са приложими. Откриването на атаки на системно ниво осигурява по-ефективна работа в комутирани мрежи, защото... ви позволява да поставите IDS само на онези възли, където е необходимо.

Някои видове криптиране също представляват предизвикателства за системите за откриване на проникване на мрежовия слой. В зависимост от това къде се извършва криптирането (връзка или абонат), IDS на мрежовия слой може да остане „сляп“ за определени атаки. IDS на системно ниво нямат това ограничение. Освен това операционната система и следователно IDS на системно ниво анализират дешифрирания входящ трафик.

5.Откриване и реакция почти в реално време . Докато откриването на атаки на системно ниво не осигурява наистина отговор в реално време, то може да бъде постигнато в мащаб почти в реално време, когато се прилага правилно. За разлика от наследените системи, които проверяват състоянието и съдържанието на регистрационните файлове на предварително определени интервали, много съвременни IDS на системно ниво получават прекъсване от операционната система веднага щом нов входв дневника. Този нов запис може да бъде обработен незабавно, като значително намалява времето между разпознаването на атака и отговора на нея. Остава забавяне между времето, когато операционната система записва събитие в регистрационния файл, и времето, когато то бъде разпознато от системата за откриване на проникване, но в много случаи нападателят може да бъде открит и спрян, преди да бъдат нанесени щети.

6.Не изисква допълнителен хардуер . Системите за откриване на проникване на системно ниво са инсталирани на съществуваща мрежова инфраструктура, включително файлови сървъри, уеб сървъри и други използвани ресурси. Тази възможност може да направи IDS на системно ниво много рентабилни, тъй като не изискват друг възел в мрежата, който да се грижи и внедрява. Поддръжкаи го управлявайте.

7.Ниска цена . Въпреки че системите за откриване на проникване на мрежово ниво осигуряват анализ на трафика на цялата мрежа, те често са доста скъпи. Цената на една система за откриване на проникване може да надхвърли 10 000 долара. От друга страна, системите за откриване на проникване на системно ниво струват стотици долари на агент и могат да бъдат закупени от купувача, ако има нужда да се наблюдават само някои възли на предприятието, без наблюдение мрежови атаки.

От особен интерес за разглеждане са отдалечените мрежови атаки. Интересът към този тип атаки се дължи на факта, че разпределените системи за обработка на данни стават все по-разпространени в света. Повечето потребители работят с отдалечени ресурси, използвайки ИНТЕРНЕТ мрежата и TCP/IP протоколния стек. ИНТЕРНЕТ първоначално е създаден за комуникация между правителствени агенции и университети, за да подпомогне образованието и научните изследвания, и създателите на тази мрежа не са имали представа колко широко ще се разпространи. В резултат на това спецификациите по-ранни версииИнтернет протоколът (IP) няма изисквания за сигурност. Ето защо много реализации на IP по своята същност са уязвими.

Курсът обхваща следните атаки и как да се борите с тях.

Атака от смъркане.Пакетният снифър е приложна програма, която използва мрежова карта, работеща в безразборен режим (в този режим мрежовият адаптер изпраща всички пакети, получени по физически канали, към приложението за обработка). В този случай снифърът прихваща всички мрежови пакети, които се предават през определен домейн. В момента снифърите работят в мрежите на напълно законна основа. Те се използват за диагностика на повреди и анализ на трафика. Въпреки това, поради факта, че някои мрежови приложения предават данни в текстов формат (Telnet, FTP, SMTP, POP3 и т.н.), с помощта на снифър можете да намерите полезни и понякога конфиденциална информация(например потребителски имена и пароли).

Прихващането на вход и парола представлява сериозна заплаха, тъй като потребителите често използват едно и също потребителско име и парола за множество приложения и системи. Много потребители обикновено имат една парола за достъп до всички ресурси и приложения. Ако приложението работи в режим клиент/сървър и данните за удостоверяване се предават по мрежата в четим текстов формат, тази информация вероятно може да се използва за достъп до други корпоративни или външни ресурси. В най-лошия случай нападателят получава достъп на системно ниво до потребителски ресурс и го използва, за да създаде нов потребител, който може да бъде използван по всяко време за достъп до мрежата и нейните ресурси.



Можете да намалите заплахата от подслушване на пакети, като използвате следните инструменти:

Удостоверяване. Силното удостоверяване е първата защита срещу подслушване на пакети. Под „силен“ имаме предвид метод за удостоверяване, който е труден за заобикаляне. Пример за такова удостоверяване са еднократните пароли (OTP - One-Time Passwords). OTP е технология за двуфакторна автентификация. Типичен пример за двуфакторна автентификация е работата на обикновен банкомат, който ви идентифицира, първо, чрез вашата пластмасова карта и, второ, чрез въведения ПИН код. Удостоверяването в OTP системата също изисква ПИН код и вашата лична карта. „Карта“ (токен) се разбира като хардуерен или софтуерен инструмент, който генерира (на случаен принцип) уникална еднократна, еднократна парола. Ако нападател открие тази парола с помощта на снифър, тази информация ще бъде безполезна, защото в този момент паролата вече ще бъде използвана и оттеглена. Имайте предвид, че този метод за борба с подслушването е ефективен само срещу прихващане на пароли. Сниферите, които прихващат друга информация (като имейл съобщения), остават ефективни.

Комутирана инфраструктура. Друг начин за борба с подслушването на пакети в мрежова среда е създаването на комутирана инфраструктура. Ако, например, цялата организация използва комутируем Ethernet, нападателите могат да получат достъп само до трафика, идващ в порта, към който са свързани. Комутираната инфраструктура не елиминира заплахата от снифтинг, но намалява значително нейната тежест.

Антиснифъри. Третият начин за борба със снифърите е инсталирането на хардуер или софтуер, който разпознава снифъри, работещи в мрежата. Тези инструменти не могат напълно да премахнат заплахата, но като много други инструменти за мрежова сигурност, те са включени в обща системазащита. Така наречените „анти-снифери“ измерват времето за реакция на хоста и определят дали хостовете трябва да обработват „ненужен“ трафик.

Криптография. Повечето ефективен методАнтипакетното снифиране не предотвратява прихващането и не разпознава работата на снифърите, но прави тази работа безполезна. Ако комуникационният канал е криптографски защитен, това означава, че нападателят не прихваща съобщението, а шифрования текст (т.е. неразбираема последователност от битове).

IP spoofing атака.Тази атака възниква, когато нападател, вътре или извън корпорация, се представя за оторизиран потребител. Най-простата причина за използването на фалшиви IP адреси е желанието на атакуващия да скрие дейността си в океана от мрежова активност. Например, инструментът за диаграми на мрежата NMAP3 изпраща допълнителни последователности от пакети, всеки от които използва свой собствен подправен IP адрес на източника. В този случай нападателят знае кои IP адреси са фалшиви и кои пакети във всяка последователност са истински. Администраторът по сигурността на система, която е атакувана, ще бъде принуден да анализира много фалшиви IP адреси, преди да може да определи истинския IP адрес на нападателя.

Друга причина, поради която нападателят използва подправяне на IP адрес, е да скрие своята самоличност. Факт е, че е възможно да се проследи IP адрес до отделна система, а понякога дори до отделен потребител. Следователно, с помощта на IP фалшификация, нападателят се опитва да избегне откриването. Използването на фалшив IP адрес обаче създава редица трудности за подателя.

Всички отговори от атакуваната система се изпращат на фалшив IP адрес. За да види или получи тези отговори, нападателят трябва да е на път от компрометираната машина към фалшивия IP адрес (поне на теория). Тъй като отговорът не е непременно по същия маршрут като изпратения фалшив пакет, нападателят може да загуби обратния трафик. За да избегне това, атакуващият може да се намеси в един или повече междинни рутери, чиито адреси ще бъдат използвани като фалшиви за пренасочване на трафика към друго място.

Друг подход е атакуващият да отгатне предварително TCP последователните номера, които се използват от атакуваната машина. В този случай не е необходимо да получава SYN-ACK пакет, тъй като просто генерира и изпраща ACK пакет с предвиден пореден номер. Ранните реализации на IP стекове използваха схеми за изчисляване на предсказуем пореден номер и следователно бяха чувствителни към фалшиви TCP потоци от данни. В съвременните реализации вече е по-трудно да се предвиди поредният номер. Инструментът за мрежови диаграми на NMAP има способността да оцени трудността при предсказване на поредните номера на системите, които се сканират.

При трети вариант атакуващият може да се намеси в работата на един или повече рутери, разположени между неговия сървър и сървъра, който е атакуван. Това прави възможно насочването на трафика на отговор, предназначен за фалшив IP адрес, към системата, от която произхожда проникването. След като хакването приключи, рутерът се освобождава, за да покрие следите си.

И накрая, нападателят може да няма намерение да отговори на SYN-ACK пакета, който е върнат от жертвата. Може да има две причини за това. Нападателят може да извършва сканиране на полуотворен порт, известно като SYN сканиране.В този случай той се интересува само от първоначалния отговор на машината, която е атакувана. Комбинацията от флаг RST-ACK означава, че сканираният порт е затворен, а комбинацията SYN-ACK означава, че е отворен. Целта е постигната, следователно няма нужда да отговаряте на този SYN-ACK пакет. Възможно е също така да се извърши лавиноподобен SYN хак. В този случай атакуващият не само не отговаря на SYN-ACK или RST-ACK пакети, но като цяло не се интересува от вида на пакетите, получени от компрометираната система.

IP spoofing атаките често са отправна точка за други атаки. Класически пример е DoS атака, която започва от нечий друг адрес, скривайки истинската самоличност на нападателя.

Обикновено IP spoofing се ограничава до вмъкване на невярна информация или злонамерени команди в нормалния поток от данни, предавани между клиентско и сървърно приложение или по комуникационен канал между равноправни устройства.

Както беше отбелязано, за двупосочна комуникация, атакуващият трябва да промени всички таблици за маршрутизиране, за да насочи трафика към фалшив IP адрес. Някои нападатели обаче дори не се опитват да получат отговор от приложенията. Ако основната задача е да се получи от системата важен файл, отговорите на приложението нямат значение. Ако атакуващият успее да промени таблиците за маршрутизиране и да насочи трафика към фалшив IP адрес, атакуващият ще получи всички пакети и ще може да отговори на тях, сякаш е оторизиран потребител.

Заплахата от подправяне може да бъде смекчена (но не и елиминирана) чрез следните мерки:

Контрол на достъпа. Най-лесният начин да предотвратите IP spoofing е да правилна настройкаконтрол на достъпа. За да намалите ефективността на IP spoofing, трябва да конфигурирате контрола на достъпа да отхвърля всеки трафик, идващ от външна мрежа с адрес на източник, който трябва да се намира във вашата мрежа. Обърнете внимание, че това помага в борбата срещу IP спуфинг, при който само вътрешните адреси са разрешени. Ако някои външни мрежови адреси също са разрешени, този методстава неефективен.

Филтриране по RFC 2827. Опитите за подправяне на чужди мрежи от потребители на защитената мрежа се спират, ако бъде отхвърлен всеки изходящ трафик, чийто адрес на източник не е един от IP адресите на защитената организация. Този тип филтриране, известно като RFC 2827, може да се извърши и от вашия доставчик на интернет услуги (ISP). В резултат на това целият трафик, който няма адрес на източник, очакван на определен интерфейс, се отхвърля. Например, ако ISP предоставя връзка с IP адрес 15.1.1.0/24, той може да конфигурира филтъра така, че на този интерфейсСамо трафик, идващ от адрес 15.1.1.0/24, беше разрешен в ISP рутера. Имайте предвид, че докато всички доставчици не внедрят този тип филтриране, неговата ефективност ще бъде много по-ниска от възможното. Освен това, колкото по-далеч сте от устройствата, които се филтрират, толкова по-трудно е да извършите точно филтриране. Например филтрирането на RFC 2827 на ниво рутер за достъп изисква преминаване на целия трафик от основния мрежов адрес (10.0.0.0/8), докато на ниво разпространение (в тази архитектура) е възможно трафикът да се ограничи по-точно (адрес - 10.1 .5.0/24 ).

IP spoofing може да работи само ако удостоверяването се основава на IP адреси. Следователно въвеждането на допълнителни методи за удостоверяване прави този тип атака безполезна. Най-добрата гледкадопълнителното удостоверяване е криптографско. Ако това не е възможно, двуфакторното удостоверяване с еднократни пароли може да даде добри резултати.

Отказ от услуга (DoS). DoS без съмнение е най-известната форма на атака. Освен това тези видове атаки са най-трудни за създаване на 100% защита срещу тях. Простотата на изпълнение и огромната причинена вреда привличат вниманието на отговорните администратори мрежова сигурност. Най-известните видове атаки са: TCP SYN Flood; Пинг на смъртта; Tribe Flood Network (TFN) и Tribe Flood Network 2000 (TFN2K); Тринко; Stacheldracht; Троица.

Източник на информация за тези атаки е екипът за спешно реагиране компютърни проблеми(CERT - Computer Emergency Response Team), който публикува работа за борба с DoS атаките.

DoS атаките се различават от другите видове атаки. Те не са насочени към получаване на достъп до вашата мрежа или получаване на информация от тази мрежа. DoS атака прави мрежата недостъпна за нормална употреба чрез превишаване на допустимите граници на мрежата, операционната система или приложението. В случай на някои сървърни приложения (като уеб сървър или FTP сървър), DoS атаките могат да включват превземане на всички достъпни за тези приложения връзки и поддържането им заети, предотвратявайки обслужването на нормални потребители. DoS атаките могат да използват общи интернет протоколи като TCP и ICMP (Internet Control Message Protocol).

Повечето DoS атаки разчитат не на софтуерни грешки или дупки в сигурността, а на общи слабости в системната архитектура. Някои атаки осакатяват производителността на мрежата, като я наводняват с нежелани и ненужни пакети или подвеждаща информация за текущото състояние на мрежовите ресурси. Този тип атака е трудна за предотвратяване, защото изисква координация с ISP. Ако трафикът, предназначен да наводни мрежата, не бъде спрян при доставчика, тогава вече няма да е възможно да се направи това на входа на мрежата, тъй като цялата честотна лента ще бъде заета. Когато този тип атака се извършва едновременно през много устройства, говорим за разпределена DoS атака (DDoS).

Заплахата от DoS атаки може да бъде смекчена по три начина:

Анти-спуфинг функции. Правилното конфигуриране на функциите против фалшифициране на вашите рутери и защитни стени ще помогне за намаляване на риска от DoS. Тези функции трябва да включват най-малко филтриране по RFC 2827. Ако нападателят не може да прикрие истинската си самоличност, е малко вероятно да извърши атака.

Anti-DoS функции. Правилната конфигурация на анти-DoS функции на рутери и защитни стени може да ограничи ефективността на атаките. Тези функции често ограничават броя на полуотворените канали във всеки даден момент.

Ограничаване на скоростта на трафика. Една организация може да поиска от своя доставчик на интернет услуги (ISP) да ограничи количеството трафик. Този тип филтриране ви позволява да ограничите количеството некритичен трафик, който преминава през вашата мрежа. Често срещан пример е ограничаването на количеството ICMP трафик, който се използва само за диагностични цели. (D)DoS атаките често използват ICMP.

Атаки с парола.Нападателите могат да извършват атаки с парола, като използват различни методи, като атаки с груба сила, троянски коне, IP спуфинг и пакетно подслушване. Въпреки че данните за вход и паролата често могат да бъдат получени чрез IP спуфинг и пакетно снифинг, хакерите често се опитват да отгатнат паролата и да влязат чрез множество опити за достъп. Този подход се нарича проста атака с груба сила.

Често се използва за такава атака специална програмакойто се опитва да получи достъп до ресурс обща употреба(например към сървъра). Ако в резултат на това нападателят получи достъп до ресурси, той го получава с права редовен потребител, чиято парола беше позната. Ако този потребител има значителни привилегии за достъп, атакуващият може да създаде „пропуск“ за себе си за бъдещ достъп, който ще остане в сила дори ако потребителят промени паролата и данните си за вход.

Друг проблем възниква, когато потребителите използват една и съща (дори много добра) парола за достъп до много системи: корпоративни, лични и интернет системи. Тъй като паролата е толкова силна, колкото и най-слабият хост, нападател, който научи паролата през този хост, получава достъп до всички други системи, които използват същата парола.

На първо място, атаките с парола могат да бъдат избегнати, като не се използват пароли в текстова форма. Еднократните пароли и/или криптографското удостоверяване могат на практика да премахнат заплахата от подобни атаки. За съжаление, не всички приложения, хостове и устройства поддържат горните методи за удостоверяване.

Когато използвате обикновени пароли, опитайте се да измислите парола, която е трудна за отгатване. Минималната дължина на паролата трябва да бъде поне осем знака. Паролата трябва да включва главни букви, цифри и специални знаци (#, %, $ и др.). Най-добрите пароли са трудни за отгатване и запомняне, което принуждава потребителите да записват паролите на хартия. За да избегнат това, потребителите и администраторите могат да се възползват от редица скорошни технологични постижения. Например, има приложни програми, които криптират списък с пароли, които могат да се съхраняват в джобен компютър. В резултат на това потребителят трябва да запомни само един сложна парола, докато всички други пароли ще бъдат сигурно защитени от приложението.

Човекът по средата атакува.За атака Man-in-the-Middle нападателят се нуждае от достъп до пакети, предавани по мрежата. Такъв достъп до всички пакети, предавани от доставчик към всяка друга мрежа, може да бъде получен например от служител на този доставчик. Пакетни снифъри, транспортни протоколи и протоколи за маршрутизиране често се използват за този тип атака. Атаките се извършват с цел кражба на информация, прихващане на текущата сесия и получаване на достъп до лични мрежови ресурсиза анализиране на трафика и получаване на информация за мрежата и нейните потребители, за извършване на DoS атаки, изкривяване на предадени данни и въвеждане на неоторизирана информация в мрежови сесии.

Атаките Man-in-the-Middle могат да се борят ефективно само с помощта на криптография. Ако нападател прихване данни от криптирана сесия, това, което ще се появи на неговия екран, не е прихванатото съобщение, а безсмислен набор от знаци. Обърнете внимание, че ако нападателят получи информация за криптографската сесия (например сесийния ключ), това може да го направи възможно Атака "човек по средата".дори в криптирана среда.

Атаки на ниво приложение.Атаките на ниво приложение могат да бъдат извършени по няколко начина. Най-често срещаният е да се използват добре известни слабости на сървъра. софтуер(sendmail, HTTP, FTP). Използвайки тези слабости, атакуващите могат да получат достъп до компютър от името на потребителя, който изпълнява приложението (обикновено това не е обикновен потребител, а привилегирован администратор с права за достъп до системата). Информацията за атаките на ниво приложение е широко публикувана, за да позволи на администраторите да коригират проблема с помощта на коригиращи модули (пачове, кръпки). За съжаление, много нападатели също имат достъп до тази информация, което им позволява да учат.

Основният проблем с атаките на приложния слой е, че те често използват портове, на които е разрешено да преминават през защитната стена. Атаките на ниво приложение не могат да бъдат напълно елиминирани.

препълването на буфера е интегрална частмного видове злонамерени атаки. Преливните атаки от своя страна имат много разновидности. Един от най-опасните включва въвеждането в диалогов прозорец, в допълнение към текст, изпълним код, прикачен към него. Подобно въвеждане може да доведе до записването на този код върху изпълняваната програма, което рано или късно ще доведе до нейното изпълнение. Последствията не са трудни за представяне.

„Пасивните“ атаки, използващи например снифър, са особено опасни, тъй като, първо, те са практически неоткриваеми, и второ, те се стартират от локална мрежа(външната защитна стена е безсилна).

Вируси - зловреден софтуер, способен на самокопиране и саморазпространение. През декември 1994 г. получих предупреждение за разпространението на мрежови вируси (good times и xxx-1) в Интернет:

Часове, дни, седмици, а понякога и месеци минават от момента на създаването на вируса до момента на откриването му. Зависи от това колко бързо се проявяват ефектите от инфекцията. Колкото по-дълго е това време, толкова по-голям е броят на компютрите, които са заразени. След идентифициране на факта на заразяване и разпространението на нова версия на вируса, отнема от няколко часа (например за Email_Worm.Win32.Bagle.bj) до три седмици (W32.Netsky.N@mm) до идентифицирайте сигнатурата, създайте антидот и включете нейния подпис в антивирусната програма на базата данни. Временно диаграма на жизнения цикълвирусът е показан на фиг. 12.1 ("Сигурност на мрежата", v.2005, брой 6, юни 2005 г., стр. 16-18). Само през 2004 г. са регистрирани 10 000 нови вирусни подписа. Червеят Blaster зарази 90% от машините за 10 минути. През това време антивирусният екип трябва да открие обекта, да го квалифицира и да разработи противодействие. Ясно е, че това е нереалистично. Така че антивирусната програма не е толкова контрамярка, колкото успокоително. Същите съображения важат за всички други видове атаки. След като сигнатурата на атака стане известна, самата атака обикновено не е опасна, тъй като вече са разработени контрамерки и уязвимостта е покрита. Поради тази причина се обръща такова внимание на системата за управление на софтуерните актуализации (кръпки).

Някои вируси и червеи имат вградени SMTP програми, предназначени да ги изпращат, и люкове за лесно проникване в заразената машина. Последни версииоборудван със средства за потискане на активността на други вируси или червеи. По този начин могат да бъдат създадени цели мрежи от заразени машини (BotNet), готови да стартират например DDoS атака по команда. Може да се използва протокол за управление на такива зомби машини IRC(Internet Relay Chart). Тази система за съобщения се поддържа от голям брой сървъри и следователно такъв канал обикновено е труден за проследяване и записване. Това се улеснява и от факта, че повечето системи наблюдават входящия трафик по-внимателно, отколкото изходящия. Трябва да се има предвид, че една заразена машина може да служи, освен за DoS атаки, за сканиране на други компютри и изпращане на СПАМ, за съхраняване на нелегални софтуерни продукти, да контролира самата машина и да краде документи, съхранявани там, да идентифицира пароли и ключове, използвани от собственика. Щетите от вируса Blaster се оценяват на 475 000 долара.

За съжаление няма надеждни средства за откриване на новивируси (чийто подпис е неизвестен).


Ориз. 12.1.

През 2005 г. беше идентифицирана друга заплаха - разпространението на вируси и мрежови червеи с помощта на роботи (ботове) на търсачките, базирани на IRC.

Програмите за ботове не винаги са опасни; някои от техните разновидности се използват за събиране на данни, по-специално за предпочитанията на клиентите и в търсачка Google те работят за събиране и индексиране на документи. Но в ръцете на хакер тези програми се превръщат в опасни оръжия. Най-известната атака беше извършена през 2005 г., въпреки че подготовката и „първите експерименти“ започнаха през септември 2004 г. Програмата търси машини със специфични уязвимости, по-специално LSASS (Local Security Authority Subsystem Service, Windows). Подсистемата LSASS, предназначена да гарантира сигурността, сама по себе си беше уязвима за атаки като препълване на буфер. Въпреки че уязвимостта вече е коригирана, броят на машините с неактуализирана версия остава значителен. След проникване хакерът обикновено използва IRC, за да извърши операциите, от които се нуждае (отваряне конкретно пристанище, изпращане на СПАМ, стартиране на сканиране на други потенциални жертви). Нова функцияТакива програми са вградени в операционната система по такъв начин (rootkit), че не могат да бъдат открити, тъй като се намират в зоната на ядрото на OS. Ако антивирусна програмаще се опита да получи достъп до определена област от паметта, за да идентифицира зловреден код, руткитът прихваща такава заявка и изпраща известие до програмата за тестване, че всичко е наред. За да влошат нещата, бот програмите могат да променят съдържанието

Този слоган предполага атака за събиране на информация за информационна система чрез посредник, потребителя. Прост пример, когато нападател се представя на потребителя като упълномощено лице, пита потребителя за неговата парола и вход. Ако нападателят успее, той получава достъп до информация, без да знае за техническите аспекти на системата или каквито и да е уязвимости. Общ атакуващ подход социално инженерствоприлагани с помощта на психологически методи като доверие, мързел или невнимание. Разбира се, всички служители трябва да бъдат предупредени за възможни подходи от нарушители или други средства. Всички тези точки трябва да бъдат описани в. На практика има много случаи, когато например служител подписва задължение да не разкрива лична парола в локална мрежа, веднага я казва на колега или я произнася на глас в нов екип. Има и редица ситуации, когато отделите на предприятието и административният отдел са разположени на разстояние. И вие трябва да използвате средства за комуникация, за да получите парола, което води до нови. Или нападателят ще се представи на служителите и ще поиска паролата си, или ще подслушва телефонен разговори чуйте паролата. Трябва да има по един за всяка ситуация.

Модели на атака

Атакаинформационната система се характеризира с умишлени действия на нападател, който използва уязвимостите на такава система и води до нарушаване на поверителността, наличността и целостта на обработваната или съхранявана информация.

Стандартен модел на атакавъз основа на принципа едно към едно(фиг. 1) или един към много(фиг. 2). Такива атаки се извършват от един източник. Методите за мрежова защита (екрани, DLP) се основават точно на такъв модел на атака. В различни възли на защитената мрежа са инсталирани сензори на системата за сигурност, които предават данни към централния контролен модул. Такъв модел обаче не може да се справи с разпределени атаки.

Фигура - 2

Моделът на разпределената атака прилага различни принципи. Такива атаки реализират връзката много към едно(фиг.3) и много към много(фиг. 4). Тези атаки се основават на атаки като отказ на услуга. Принципът на подобни атаки се свежда до изпращане на множество пакети към атакувания възел. Такъв възел може да замръзне или да се повреди, докато има време да обработи всички входящи пакети. Основният канон на такава атака е, че честотната лента на атакуващия на атакувания възел надвишава пропускателна способностатакуван възел.

Фигура - 4

Етапи на изпълнение на атаката

Когато казват за действие като нападение, те имат предвид само изпълнение на атаката, но забравят за две основни действия: Предпоставки за атакатаИ Завършване на атаката. Събирането на данни е основната стъпка за създаване на атака. На този етап цялата ефективност на работата зависи от отличен резултатна този етап. Първо се избира целта на атаката и се събират данни за обекта отворени портове, тип на операционната система, софтуер и конфигурация и др.). След това се определят най-уязвимите точки на такава система, които по време на атака ще дадат необходимия резултат. Тази работа ще ви позволи да изберете вида на атаката и източника на нейното изпълнение.

Конвенционалните методи за защита работят само на втория етап от създаването на атака, но не защитават изобщо от първия и третия етап. Те също така не ви позволяват да откривате вече извършени атаки и да анализирате щетите. Нападателят, в зависимост от резултата, се концентрира върху аспекта на атаката:

  • за отказ от услуга се анализира атакуваната мрежа, търсят се слаби места
  • за кражба на данни се определя вниманието към стелт атака

Събиране на информация. Този етап включва събиране на данни за топологията на мрежата, версията на ОС на атакувания хост и т.н. Нападателят може да се опита да определи адреси доверенсистеми и възли, които са директно свързани с целта на атаката. Има два метода за определяне на мрежовата топология, която атакуващият може да използва:

  • Промяна на TTL
  • запис на маршрута

Първият метод се използва от tracert за Windows и traceroute за Unix програми. Те прилагат поле TIME to Live в заглавката на IP пакета, което варира в зависимост от мрежовия пакет, преминал през рутера. Също така мрежовата топология може да се определи с помощта на протокола SNMP или протокола RIP.

Идентичностите на хоста обикновено се определят с помощта на помощната програма ping на командата ECHO_REQUEST на ICMP протокола. Възелът е достъпен, когато пристигне съобщението за отговор ECHO_REPLY. Този метод на идентификация има два недостатъка:

  • Използването на ICMP заявки улеснява идентифицирането на техния източник и следователно откриването на нападателя.
  • Няколко мрежови устройстваблокирайте ICMP пакети, не ги пускайте вътре или не ги пускайте навън.

Друг метод за идентифициране на възли е възможен, ако нападателят е в локалната мрежа на жертвата, използвайки неговата мрежова карта. Можете също да идентифицирате мрежови хостове с помощта на DNS.

Сканиране на портове. Идентифицирането от услугата се осъществява чрез откриване на отворени портове. Програмите за сканиране могат да се видят в Scan. Например:

  • отворен порт 80 показва, че има налични уеб сървъри
  • Порт 25 - SMTP пощенски сървър
  • 31377 - сървърна част троянски кон BackOrifice
  • 12345 или 12346 — -//- NetBus

Определение на ОС. Всяка операционна система внедрява протоколния стек TCP/IP по свой собствен начин, така че при задаване на специални въпроси ще бъде възможно да се анализират отговорите. По-малко ефективен метод за определяне е анализът от мрежова услуга.

Дефиниции на ролята на възел. Следващата стъпка е да се определят функциите на възела, върху който нападателят иска да атакува. Също така, използвайки автоматизирани методи или ръчно, нападателят търси уязвимости. Програмите, описани в статията, могат да бъдат подходящи като такива методи. програми за мрежово тестване.

Осъществяване на атаката. Този етап определя действията или опитите на нападателя, които са насочени към атакувания възел. ПроникванеОпределя обход на методите за защита на периметъра. Пример за конкретни алгоритми няма да бъде даден накратко, тъй като темата на сайта е защита на информацията. След проникването нападателят ще се опита да запази контрола над атакувания възел.

Цели на атаките. Трябва да се отбележи, че атакуващият може да се опита да постигне две цели: получаване на достъп до самия възел и информацията, съдържаща се в него. Втората цел е да се получи NSD от възел за извършване на по-нататъшни атаки срещу други възли. сцена завършванеатаките се основават на прикриване на следи. Обикновено това включва изтриване на определени записи в различни регистрационни файлове на възли, както и връщане на възела в първоначалното му работно състояние.

Класификация на атаките

Атаките могат да бъдат класифицирани като активни или пасивни, умишлени или непреднамерени, вътрешни или външни. За да не се объркват тези псевдо класификации, има универсално разделение на атаките:

  • Локално проникване - Атака, която прилага NSD към възела, на който е стартирана
  • Дистанционно проникване - Атаки, които позволяват внедряване дистанционнокомпютър чрез мрежа
  • Мрежовите скенери са приложения, които анализират и откриват услуги, които могат да бъдат използвани като уязвимости
  • Локален отказ на услуга (ddos) е атака, която ви позволява да претоварите или нарушите функционирането на компютъра.
  • Кракери на пароли - Програми, които отгатват потребителски пароли
  • Скенери за уязвимости - Програми, които анализират уязвимости в мрежови възли
  • Анализатори на протоколи (снифери) - програмите слушат мрежовия трафик

Компания интернет сигурност Systems Inc. намали класификацията до:

  • Събиране на информация
  • NSD опити
  • Отказ на услуга
  • Подозрителна дейност
  • Системни атаки

Първите 4 категории могат да бъдат класифицирани като отдалечени атаки, а последната като локални. Трябва да се отбележи, че целият клас не е включен в тази класификация пасивенатаки – подслушване, фалшив DNS, ARP спуфинг и др.).

Отметки в хардуера

По-голямата част от информационните системи работят въз основа на аксиомата, че Хардуер- не представлява заплаха. В този случай не се извършва дори първоначална проверка на устройството за наличие на отметки. Отметка- устройство на софтуерно или хардуерно ниво, което изпълнява неразрешени действия (обикновено нарушение на поверителността) в ущърб на дадена система. Ясно е, че не всички предприятия разполагат с необходимия персонал за тези проблеми, за да идентифицират хардуерни проблеми. По-долу има списък по различни начинистандартна проверка на материалните и други ресурси на предприятието.

  • Периодична проверка на хардуера от поканени специалисти от отделни предприятия.
  • Автоматична инвентаризация на артикулите хардуерв предприятието.
  • Фиксиране серийни номера отделни частиоборудване.
  • Уплътняване на корпуси на разглобяема техника с проверка.

Ако се доближите още повече до този проблем, те използват оборудване, което следи радиопредаванията, кабелни мрежи, Електричество на мрежатазахранване, излъчване на звук и др. Тъй като всякакви отклонения от нормата на работа дават повод за размисъл. също в този проблемпотребител играе важна роля, тъй като ако нещо се случи, трябва незабавно да сигнализира службата за сигурност.

Освен това локалните атаки срещу компютър, който е свързан към локална мрежа, играят важна роля. Те могат да създават. Такива атаки могат да бъдат срещу фърмуера или получаване на достъп по време на етапа на зареждане на ОС. Тоест можете да изтеглите live-cd/usb версия на ОС с малко по-различни параметри, които ще ви позволят да влезете в мрежата.

Също така на мястоможе да се извърши атака за удостоверяване. Освен това, ако имате права да инсталирате софтуер, потребителят може да инсталира лош или злонамерен софтуер. По-долу е даден списък на шаблонни програми, които са злонамерени.

  • Програмата за повишаване на правата, след инсталиране на лоша програма, дава достъп до затворени ресурси.
  • Програмите за избор на парола могат да работят във фонов режим, докато служителят върши работата си, използвайки мощността на самия компютър.
  • Sniffer - прихващане на пакети от мрежата.
  • Cipherbreakers() също е програма, която работи в локална мрежа, използвайки мощността на компютър, търсейки уязвимости в шифри или други места.
  • Disassemblers - анализирайте операционната система или програма, за да разберете логиката и уязвимостите. Или променете стъпката на робота.
  • Атаки при препълване на буфер.
  • Дизайнери и генератори на вируси/мрежови пакети - позволява ви да създавате програми на компютър, които да причинят щети на целия IP.

Кратък списък от действия за подобряване на защитата на информационна система от локални атаки

  • Използвайте най-сигурните конфигурирани конфигурации
  • Анализирайте наличието на процес на сканиране на портове
  • Блокирайте или изтрийте акаунти по подразбиране
  • Актуализирайте системните елементи своевременно
  • Поддържайте политика с правила за сложност на паролите и ограничения за опити за въвеждане
  • Дайте на потребителите точно нивото на достъп, от което се нуждаят, за да си вършат работата
  • Защитете базата данни с потребителски пароли от различни видове влияние
  • Съхранявайте записи на софтуера и неговите настройки на всички компютри
  • Правете резервни копия редовно
  • Реализирайте запазване на регистрационните журнали в режим, който изключва възможността за редактирането им

Ако нямаше уязвимости в системните елементи, повечето атаки не биха били възможни. Защитите обаче се пишат от хора, които са склонни да грешат. .За да обобщим, по-долу са дадени препоръки, които ще бъдат полезни:

  • Приложете защита, базирана на противодействие не на конкретна атака, а на един вид атака.
  • Трябва да следите новините за нови атаки и контрамерки.
  • Инсталиране на защита на различни нива, така да се каже, защита в дълбочина.


Сподели с приятели:
Свързани публикации