tévék. Konzolok. Projektorok és tartozékok. Technológiák. Digitális TV

A hálózati támadások típusai. Szippantás – csatorna hallgatása. Támadásérzékelő technológiák

A hatás természete szerint:

Passzív;

Aktív.

Az elosztott számítástechnikai rendszerre (DCS) gyakorolt ​​passzív hatás olyan hatás, amely közvetlenül nem befolyásolja a rendszer működését, ugyanakkor sértheti annak biztonsági politikáját. Az RVS működésére gyakorolt ​​közvetlen befolyás hiánya éppen ahhoz vezet, hogy a passzív távoli befolyás (RPI) nehezen észlelhető. Egy tipikus PUV egy lehetséges példa a DCS-ben a kommunikációs csatorna figyelése a hálózatban.

A DCS-re gyakorolt ​​aktív hatás olyan hatás, amely közvetlen hatással van a rendszer működésére (a funkcionalitás károsodása, a DCS konfigurációjának megváltozása stb.), amely sérti a benne elfogadott biztonsági politikát. Szinte minden típusú távoli támadás aktív hatás. Ez annak a ténynek köszönhető, hogy a károsító hatás természete magában foglal egy hatóanyagot is. Az aktív és a passzív befolyás egyértelmű különbsége ennek észlelésének alapvető lehetősége, hiszen megvalósítása következtében bizonyos változások következnek be a rendszerben. Passzív befolyás esetén egyáltalán nem marad nyoma (annak a ténynek köszönhetően, hogy a támadó megtekinti valaki más üzenetét a rendszerben, semmi sem fog változni ugyanabban a pillanatban).

A befolyásolás célja szerint:

a rendszer működésének zavara (a rendszerhez való hozzáférés);

integritás megsértése információs források(IR);

az IR titkosságának megsértése.

Ez a tulajdonság, amellyel a besorolás történik, valójában a fenyegetés három alapvető típusának – a szolgáltatásmegtagadás, a nyilvánosságra hozatal és az integritás megsértése – közvetlen vetülete.

Szinte minden támadás fő célja az információkhoz való jogosulatlan hozzáférés. Az információszerzésnek két alapvető lehetősége van: a torzítás és az elfogás. Az információ elfogásának lehetősége azt jelenti, hogy hozzá kell férni a változtatás lehetősége nélkül. Az információ lehallgatása ezért azok bizalmas jellegének megsértéséhez vezet. A hálózaton lévő csatorna hallgatása egy példa az információ elfogására. Ebben az esetben illegitim hozzáférés van az információkhoz anélkül lehetséges opciók a helyettese. Nyilvánvalóan az információk bizalmas kezelésének megsértése passzív hatásokra utal. Az információcsere képességét vagy a rendszerobjektumok közötti információáramlás teljes ellenőrzéseként, vagy a különböző üzenetek valaki más nevében történő továbbításának képességét kell érteni. Következésképpen egyértelmű, hogy az információ helyettesítése annak integritásának megsértéséhez vezet. Az ilyen információromboló befolyás tipikus példája az aktív befolyásnak. Az információ integritásának megsértésére tervezett távoli támadásra példa a „False RVS object” távoli támadás (RA).

A megtámadott objektumtól származó visszajelzés megléte alapján:

Val vel Visszacsatolás;

visszacsatolás nélkül (egyirányú támadás).

A támadó néhány kérést küld a támadott objektumnak, amelyekre választ vár. Következésképpen visszacsatolás jelenik meg a támadó és a támadott között, lehetővé téve az előbbi számára, hogy megfelelően reagáljon a támadott objektum mindenféle változására. Ez a távoli támadás lényege, amelyet a támadó objektumtól érkező visszajelzések jelenlétében hajtanak végre. Az ilyen támadások leginkább az RVS-re jellemzőek. A nyílt hurkú támadásokat az jellemzi, hogy nem kell reagálniuk a támadott objektum változásaira. Az ilyen támadásokat általában úgy hajtják végre, hogy egyetlen kérést küldenek a megtámadott objektumnak. A támadónak nincs szüksége válaszokra ezekre a kérésekre. Az ilyen UA-t egyirányú UA-nak is nevezhetjük. Az egyirányú támadások példája a tipikus DoS támadás.

A becsapódás kezdetének feltétele szerint. A távoli befolyás, csakúgy, mint bármely más, csak bizonyos feltételek mellett kezdhető meg. Az RVS-ben háromféle feltételes támadás létezik:

támadás a megtámadott objektum kérésére;

támadás a megtámadott tárgyon várható esemény bekövetkeztekor;

feltétlen támadás.

A támadó hatása akkor kezdődik, ha a támadás lehetséges célpontja egy bizonyos típusú kérést továbbít. Az ilyen támadást a megtámadott objektum kérésére történő támadásnak nevezhetjük. Ez a típus a távoli támadás a legjellemzőbb az RVS-re. Ilyen kérések például az interneten a DNS- és ARP-kérések, a Novell NetWare-ben pedig az SAP-kérés.

Támadás a megtámadott objektumra várt esemény bekövetkeztekor. A támadó folyamatosan figyeli a támadás távoli célpontjának operációs rendszerének állapotát, és elkezdi befolyásolni, hogy mikor történik egy adott esemény ebben a rendszerben. Maga a támadott tárgy a támadás kezdeményezője. Ilyen esemény például az, amikor a felhasználó munkamenete a szerverrel megszakad a LOGOUT parancs kiadása nélkül a Novell NetWare-ben. A feltétel nélküli támadást azonnal végrehajtják, függetlenül az operációs rendszer állapotától és a támadott objektumtól. Ezért ebben az esetben a támadó a támadás kezdeményezője. Ha a rendszer normál működése megszakad, más célokat követnek, és a támadó eléri illegális hozzáférés nem adatnak szánják. Célja az operációs rendszer letiltása a támadott objektumon, és lehetetlenné tenni, hogy más rendszerobjektumok hozzáférjenek az objektum erőforrásaihoz. Az ilyen típusú támadások példája a DoS támadás.

A támadás alanyának a támadott objektumhoz viszonyított elhelyezkedése alapján:

interszegmentális;

intraszegmentális.

A támadás forrása (a támadás alanya) a támadást vezető és közvetlen hatással bíró program (esetleg az operátor).

Host - egy számítógép, amely a hálózat egyik eleme.

A router egy olyan eszköz, amely csomagokat irányít a hálózaton.

Az alhálózat olyan gazdagépek csoportja, amelyek egy globális hálózat részét képezik, és abban különböznek, hogy az útválasztó ugyanazt az alhálózati számot osztja ki számukra. Azt is mondhatjuk, hogy az alhálózat a gazdagépek logikai társítása egy útválasztón keresztül. Az ugyanazon alhálózaton belüli gazdagépek útválasztó használata nélkül közvetlenül tudnak kommunikálni egymással. A távoli támadás szempontjából rendkívül fontos a támadás alanyának és tárgyának egymáshoz viszonyított elhelyezkedése, vagyis az, hogy különböző vagy azonos szegmensekben vannak-e. Szegmensen belüli támadás során a támadás alanya és célpontja ugyanabban a szegmensben található. Szegmensek közötti támadás esetén a támadás alanya és célpontja különböző hálózati szegmensekben található. Ez az osztályozási jellemző lehetővé teszi a támadás úgynevezett „távolsági fokának” megítélését.

Az alábbiakban bemutatjuk, hogy egy szegmensen belüli támadást sokkal könnyebb végrehajtani, mint egy szegmensek közötti támadást. A szegmensek közötti távoli támadás veszélyesebb, mint egy szegmensen belüli támadás. Ennek oka, hogy szegmensek közötti támadás esetén a célpontja és a támadó sok ezer kilométeres távolságra helyezkedhet el egymástól, ami jelentősen akadályozhatja a támadás visszaverését célzó intézkedéseket.

Az ISO/OSI referenciamodell azon szintjétől függően, amelyen a hatást végrehajtják:

fizikai;

csatorna;

szállítás;

ülésszakos;

reprezentatív;

alkalmazott.

A Nemzetközi Szabványügyi Szervezet (ISO) elfogadta az ISO 7498 szabványt, amely leírja a kölcsönhatást nyílt rendszerek(OSI), amelyhez az RVS is tartozik. Minden hálózati csereprotokoll, valamint minden hálózati program, így vagy úgy, egy referencia 7 szintre vetíthető OSI modell. Ez a többszintű vetítés lehetővé teszi a hálózati protokollban vagy programban használt funkciók leírását az OSI modellben. UA -- hálózati program, és logikus az ISO/OSI referenciamodellre való vetítés szempontjából is megvizsgálni.

Helyi támadások

A helyi támadások forrásai a felhasználók és/vagy programok helyi rendszer. A legvalószínűbb támadások meghatározásához információ biztonság, meg kell állapítani, hogy a biztonsági modell milyen elméleti elvekre épül, nem valós eszközökkel. Például, ha az egyik kulcsfontosságú rendelkezés az, hogy fizikailag csak arra jogosult személy közelítheti meg a számítógépet, és nincs telepítve olyan rendszer, amely fizikailag korlátozná a fizikai hozzáférést, akkor a fizikai biztonság elleni támadások a legvalószínűbbek:

Könyvjelzők a hardverben;

Hozzáférés az operációs rendszer indítási szakaszában;

A hitelesítési eszközök elleni támadások;

Harmadik féltől származó szoftveres támadások;

Hozzáférés firmware szinten;

Helyi támadási segédprogramok.

A támadások osztályozása

1. A hatás természete szerint

  • passzív
  • aktív

Passzív hatás egy elosztott számítástechnikai rendszerre- olyan hatás, amely közvetlenül nem érinti a rendszer működését, de sértheti annak biztonsági szabályzatát.

A passzív távoli expozíció gyakorlatilag nem észlelhető.

Példa: kommunikációs csatorna hallgatása a hálózaton.

Aktív befolyás egy elosztott számítástechnikai rendszerre- olyan hatás, amely közvetlen hatással van a rendszer működésére (a DCS konfigurációjának változása, meghibásodás stb.), és sérti az abban elfogadott biztonsági szabályzatot.

Szinte minden típusú távoli támadás aktív hatás. Az aktív befolyásolás sajátossága a passzív befolyásoláshoz képest az észlelésének alapvető lehetősége, hiszen megvalósítása következtében bizonyos változások következnek be a rendszerben. Az aktívtól eltérően a passzív expozíció nem hagy nyomot.

2. A befolyásolás célja szerint

  • az információ titkosságának megsértése
  • az információ integritásának megsértése
  • a rendszer teljesítményének zavara (elérhetőség)

Az információ elfogása esetén megsértik annak titkosságát.

Példa: csatorna hallgatása a hálózaton.

Ha az információ torzul, sérti annak integritását.

Példa: hamis objektum bevitele a DVR-be.

Üzemzavar esetén nem történik illetéktelen hozzáférés, pl. Az információk sértetlensége és titkossága megmarad, de a törvényes felhasználók hozzáférése sem lehetséges.

3. A becsapódás kezdetének állapota szerint

  • Támadás kérésre a megtámadott objektumtól
  • Támadás a megtámadott objektumon várt esemény bekövetkeztekor
  • Feltétel nélküli támadás

Kérés esetén a támadó azt várja, hogy a támadás potenciális célpontja egy bizonyos típusú kérést továbbítson, ami a hatás kezdetének feltétele lesz.

Példa: DNS- és ARP-lekérdezések a TCP/IP-veremben.

Ha esemény történik, a támadó folyamatosan figyeli az állapotot operációs rendszer a támadás távoli célpontja, és amikor egy bizonyos esemény történik ebben a rendszerben, a becsapódás megkezdődik.

A támadás kezdeményezője a megtámadott tárgy.

Példa: a felhasználó munkamenetének megszakítása egy kiszolgálóval egy hálózati operációs rendszerben a LOGOUT parancs kiadása nélkül.

Feltétel nélküli támadás esetén a megvalósítás kezdete a támadás célpontjához képest feltétel nélküli, azaz a támadást azonnal végrehajtják, függetlenül a rendszer és a támadott objektum állapotától. Ezért ebben az esetben a támadó a támadás kezdeményezője.

4. A megtámadott objektumtól érkező visszajelzés megléte alapján

  • visszajelzéssel
  • visszacsatolás nélkül (egyirányú támadás)

Visszajelzési támadás- támadás, amelynek során a támadó választ kap a megtámadott objektumtól cselekvései egy részére. Ezekre a válaszokra van szükség a támadás folytatásához és/vagy hatékonyabb végrehajtásához, reagálva a támadott rendszeren bekövetkező változásokra.

Támadás visszajelzés nélkül- olyan támadás, amely anélkül történik, hogy reagálna a megtámadott rendszer viselkedésére.

Példa: szolgáltatásmegtagadás (DoS).

5. A támadó helye a megtámadott objektumhoz képest

  • intraszegmentális
  • interszegmentális

Szegmensen belüli támadás- olyan támadás, amelyben a támadás alanya és tárgya ugyanazon a hálózati szegmensen belül található, ahol a szegmens a kapcsolati szintnél nem magasabb kommunikációs eszközöket használó állomások fizikai kombinációja.

Szegmensek közötti támadás- olyan támadás, amelyben a támadás alanya és célpontja különböző hálózati szegmensekben található.

6. A támadók száma szerint

  • megosztott
  • kiosztatlan

Elosztott támadás- két vagy több támadó által ugyanazon számítógépes rendszeren végrehajtott támadás, egyetlen terv és idő által egyesítve.

Osztatlan támadás egy támadó hajtotta végre.

7. Az ISO/OSI referenciamodell azon szintjének megfelelően, amelyen a hatást végrehajtják

  • fizikai
  • csatorna
  • hálózat
  • szállítás
  • ülésszakos
  • reprezentatív
  • alkalmazott

2. A támadások észlelésére és az ellenük való védekezésre szolgáló módszerek osztályozása

A biztonsági eszközök osztályozása

információk a modellszintekről ISO/OSI

ISO 7498-2 szabvány szerint.

Fizikai szint.

Az ezen a szinten biztosított szolgáltatások az ISO 7498-2 szabvány szerint a kapcsolat titkosságára és az adatfolyam titkosságára korlátozódnak. Ezek a lehetőségek szinte transzparensként, azaz további adatok megjelenése nélkül (kivéve a kapcsolat létesítését) megvalósíthatók.

Az integritás és a hitelesítés itt általában nem lehetséges, mivel ennek a rétegnek a bitszintjén az interfész nem képes az ezen szolgáltatások megvalósításához szükséges további adatok szállítására. A megfelelő titkosítási technológiák ezen a szinten történő alkalmazása azonban biztosíthatjaezeket az alapokat magasabb szinten.

Például az olyan kriptográfiai modellek, mint a DES kimeneti visszacsatolási módban, nem nyújtanak túl sokatA rejtjelezett szöveg módosítása során sok hiba történik, ezért ez a mód rossz választás lenne, ha nem csak titoktartásra van szüksége. Ezzel szemben a DES mód, például az egyetlen titkosított bit visszacsatolási mód biztosítja a szükséges hibateljesítményt, és megfelelő alapot biztosíthat az integritáshoz és a hitelesítéshez. A fizikai és adatkapcsolati réteg titkosítási eszközeit általában kiegészítő hardver formájában valósítják meg.

Adatkapcsolati réteg

Az ISO 7498-2 szerint az adatkapcsolati rétegben biztosított lehetőségek a kapcsolatok és a datagramok titkossága.

A kapcsolati réteg titkosságát jellemzően pont-pont alapon biztosítják, hasonlóan a fizikai szinten. Ismét az alapok hatálya kellvégződnek olyan helyeken, ahol egymással kölcsönhatásban lévő peer entitások, azaz végrendszerek és kapcsolók találhatók. LAN (WAN) környezetben adatszórásos vagy multicast átvitelhez adatvédelmi eszközök is biztosíthatók a LAN technológiák alapján, valamint pont-pont kapcsolat.

Hálózati réteg

A titoktartás azt jelenti hálózati réteg biztosítható a hálózat végrendszerei között, függetlenül a használt kapcsolóktól (például X.25 csomagkapcsolók). Az ISO 7498-2 megjegyzi számos adatvédelmi szabályozás alkalmazhatóságát ezen a szinten: a kapcsolat titkossága, a datagramok bizalmas kezelése, az adatfolyam titkossága, az integritás (nem helyreállítási kapcsolatok és a datagramok esetében), az adatforrás és a kommunikáló entitások hitelesítése, valamint a hozzáférés szabályozása.

Szállítási réteg

A szállítási réteg számára az ISO 7498-2 szabvány a következő biztonsági intézkedéseket határozza meg: titkosság (kapcsolatok vagy datagramok esetében), integritás (bármi, kivéveegyedi mezők), az adatforrás és az interakciós entitások hitelesítése, valamint a hozzáférés-szabályozás. Csak egy különbség van a datagram kommunikációhoz biztosított titkosítási lehetőségek közöttszállítási réteg és a hálózati réteg felett kínált szolgáltatások. Ez abban rejlik, hogy képes védelmet nyújtani a közbenső rendszerekben (hálózati réteg mechanizmusait használva), és nem csak a végrendszerekben (szállítási réteg mechanizmusait használva).

Munkamenet réteg

Az ISO 7498-2 nem teszi lehetővé a szolgáltatások munkamenet szintű biztosítását. Ez a szint az interakciós eszközök tekintetében keveset nyújt a közlekedéshez képest, illalkalmazási szint. Azon az elven alapul, hogy nem érdemes olyan biztonsági funkciókat biztosítani, amelyek nem felelnek meg az alapvető interakciós eszközöknek ezt a szintet, vitatkozhatnánk a titkosítás munkamenetszintű biztosítása ellen. Ezenkívül vitatható, hogy az adatvédelmi funkciók jobbak a szállítási, megjelenítési vagy alkalmazási rétegekben.

Képviselői szint

Mivel ezt a réteget az adatok normál és hálózati reprezentációk közötti konvertálására használják, előnyösebb az adatokat ebben a rétegben titkosítani, nem pedig az alkalmazási rétegben. Ha az alkalmazás titkosítást végez, akkor védreprezentatív szinten e funkció megvalósításától. Ez egy érv az alkalmazásszintű titkosítás megvalósítása ellen olyan alkalmazások esetében, amelyek közvetlenül (nem közvetítőkön keresztül) kommunikálnak. Ennek alternatívája a megjelenítési réteg képességeinek megkettőzése az alkalmazások között. A TCP/IP veremben ez az ütközés megoldódik, mivel a megjelenítési funkciók alkalmazásokba vannak beágyazva, nem pedig külön rétegbe.

Alkalmazási réteg

Az ISO 7498-2 kimondja, hogy minden titkos képesség biztosítható az alkalmazási rétegben, és a kommunikációs résztvevők feletti ellenőrzés csak ezen a rétegen biztosítható. Azonban bizonyos alapok biztosításaezen a szinten problémákat okoz a reprezentatív szint képességeivel való ütközés miatt. Ezt a korlátozást megkerülik a többlépcsős adatszolgáltatással rendelkező alkalmazások, például az eszközök Email vagykézikönyv (X.400 és X.500 specifikációk). Ezt a konfliktust a TCP/IP verem is kiküszöböli, amelyben a megjelenítési funkciók jellemzően szerepelnek az alkalmazásokban.

Valójában az olyan alkalmazások, mint az e-mail és a címtáreszközök, csak az alkalmazási réteg titkosításával védhetők. Az e-mail több okból is megköveteli a biztonságot ezen a szinten.

Először is, néhány általa használt titkosítási funkció csak ezen a szinten biztosítható, például a résztvevők vezérlése. Másodszor, az üzeneteket általában a címzettek csoportjainak címezték (multicast átvitel).alkalmazási réteg), és a kézbesítés több szakaszban történik üzenetkapcsolók segítségével. Az alacsonyabb szintű védelmet gyakran csak valós időben biztosítják a pont-pont kapcsolatok számára.

E-mailhezAz alacsonyabb szintű titkosítási mechanizmusok védelmet nyújthatnak a küldőtől az üzenetig kapcsolódva (MTA), az MTA-k között, az MTA-k és a címzettek között, de csak fokozatosan. A végpontok közötti titoktartás érdekében a "szerző - olvasó" megköveteli technológia használata, kifejezetten az e-mailekre.

A címtáreszközök esetében hasonló problémák megakadályozzák, hogy az alacsonyabb szintű biztonsági eszközök megfelelően megfeleljenek az adatvédelmi követelményeknek. Például egy felhasználótól egy címtárszerverhez intézett kérés átirányítható más szerverekre a válasz kiadása során. Ha a kérelmet végső soron fogadó címtárszervernek a kérelmező kiléte alapján kell döntést hoznia a hozzáférés engedélyezéséről, akkor ez a döntés nem hozható meg az alsóbb szintű protokolloktól származó információk alapján.

Ezen túlmenően, ha nem bízik a kérést továbbító kiszolgálókban, a válaszoló kiszolgáló nem lehet biztos bennehogy a kérést nem módosították. Ezért ez az alkalmazás, akárcsak az e-mail, az alkalmazásszintű titkosság kiváltó okát mutatja be, vagyis azt, hogy az alsóbb rétegbeli képességeken alapuló titoktartási követelmények nem tudnak megfelelni.

A támadások észlelési módszereinek osztályozása.

Érzékelési technológiával

· anomáliák észlelése

Ez a megközelítés a normál felhasználói viselkedés statisztikai modelljének kialakítására összpontosít. A mintától való eltérés a támadás jele. A megközelítés szenved attól, hogy túl sok téves riasztást generál.

· visszaélés észlelése

Ezzel a megközelítéssel a rendszer megkeresi az ismert aláírásokat, és vészjelzést ad, ha megtalálja azokat. Megbízhatóbb és megvalósíthatóbb. Ezen a megközelítésen alapul szinte az összes ma a piacon kínált behatolásjelző rendszer. Most változások vannak az első megközelítés fejlesztésében.

Az észlelési szint szerint

A támadások észlelése hálózati szinten

A hálózati réteg támadásérzékelő rendszerei nyers hálózati csomagokat használnak adatforrásként az elemzéshez. Általában hálózati szintű behatolásérzékelő rendszereket (IDS) használnak hálózati adapter promiszkuális módban működik, és valós időben elemzi a forgalmat, amint az áthalad egy hálózati szegmensen. A támadásfelismerő modul négy jól ismert módszert használ a támadás aláírásának felismerésére:

· A forgalom megfelelése egy támadást vagy gyanús műveletet jelző mintának (aláírásnak), kifejezésnek vagy bájtkódnak;

· Az események gyakoriságának vagy egy küszöbérték túllépésének figyelemmel kísérése;

· Több alacsony prioritású esemény korrelációja;

· Statisztikai anomáliák kimutatása.

A támadás észlelése után a válaszmodul az értesítések, riasztások és a támadásra adott válaszintézkedések széles skáláját kínálja. Ezek a lehetőségek rendszerenként változnak, de jellemzően a következőket foglalják magukban: a rendszergazda értesítése konzolon vagy e-mailben, a kapcsolat megszakítása a támadó gazdagéppel és/vagy a munkamenet rögzítése későbbi elemzés és bizonyítékgyűjtés céljából.

A támadásérzékelő rendszerek előnyei hálózati szinten

A hálózati szintű IDS-ek számos előnnyel rendelkeznek, amelyek hiányoznak a rendszerszintű behatolásérzékelő rendszerekből. Valójában sok ügyfél használja a hálózati réteg behatolásérzékelő rendszerét annak alacsony költsége és időben történő reagálása miatt. Az alábbiakban felsoroljuk azokat a fő okokat, amelyek miatt a hálózati szintű támadások észlelése a hatékony biztonsági politika megvalósításának legfontosabb összetevője.

1.Alacsony működési költség . A hálózati réteg IDS-t a hálózat kritikus helyein kell telepíteni a több rendszer közötti forgalom szabályozásához. A hálózati rétegrendszerekhez nem szükséges behatolásérzékelő szoftvert telepíteni minden gazdagépre. Mivel az IDS-ek száma alacsony a teljes hálózat felügyeletére, a vállalati hálózatban való üzemeltetésük költsége alacsonyabb, mint a támadásérzékelő rendszerek rendszerszintű üzemeltetésének költsége.

2.A rendszerszinten elmulasztott támadások észlelése . A hálózati rétegbeli IDS-k megvizsgálják a hálózati csomagok fejléceit gyanús vagy ellenséges tevékenység szempontjából. A rendszerszintű IDS-k nem foglalkoznak a csomagfejlécekkel, ezért nem tudják észlelni az ilyen típusú támadásokat. Például sok hálózati támadás, mint például a szolgáltatásmegtagadás és a könnycsepp, csak a hálózaton áthaladó csomagfejlécek elemzésével azonosítható. Ez a fajta támadás gyorsan azonosítható egy hálózati réteg IDS segítségével, amely valós időben tekinti meg a forgalmat. A hálózati rétegbeli IDS-ek megvizsgálhatják a csomag adattörzsének tartalmát, és megkereshetik az adott támadásokhoz használt parancsokat vagy specifikus szintaxist. Például, amikor egy hacker megpróbálja használni a Back Orifice programot olyan rendszereken, amelyeket még nem érint, ez a tény a csomag adattörzsének tartalmának vizsgálatával fedezhető fel. Mint fentebb tárgyaltuk, a rendszerszintű rendszerek nem működnek hálózati szinten, ezért nem képesek felismerni az ilyen támadásokat.

3.A hacker nehezebben tudja eltávolítani jelenlétének nyomait . A hálózati réteg IDS élő forgalmat használ a támadások valós idejű észlelésére. Így a hacker nem tudja eltávolítani jelenlétének nyomait. Az elemzett adatok nemcsak a támadás módjára vonatkozó információkat tartalmaznak, hanem olyan információkat is, amelyek segíthetnek a támadó azonosításában és a bíróság előtti bizonyításban. Mivel sok hacker nagyon jól ismeri a naplókat, tudják, hogyan kell manipulálni ezeket a fájlokat, hogy elrejtse tevékenységeik nyomait, csökkentve a rendszerszintű rendszerek hatékonyságát, amelyeknek szükségük van erre az információra a támadás észleléséhez.

4.Valós idejű észlelés és válaszadás . Hálózati szintű IDS észleli a gyanús és ellenséges támadásokat, MÉG TÖRTÉNIK, és ezért sokkal gyorsabb értesítést és választ ad, mint a rendszerszintű IDS. Például egy TCP-alapú hálózati réteg szolgáltatásmegtagadási támadást indító hacker megállítható azáltal, hogy a hálózati réteg IDS egy set Reset jelzőt küld a TCP-csomag fejlécében, hogy megszakítsa a kapcsolatot a támadó gazdagéppel, mielőtt a támadás pusztulást vagy kárt okozna. a célpont A rendszerszintű IDS-k általában nem ismerik fel a támadásokat, amíg a támadást naplózták, és a támadás naplózása után válaszolnak. Ezen a ponton előfordulhat, hogy a legkritikusabb rendszerek vagy erőforrások már veszélybe kerültek, vagy a rendszerszintű IDS-t futtató rendszer veszélybe kerülhet. A valós idejű értesítés lehetővé teszi, hogy gyorsan reagáljon az előre meghatározott paramétereknek megfelelően. Ezek a reakciók a megfigyelési módban történő beszivárgás engedélyezésétől a támadásról és a támadóról való információgyűjtés céljából a támadás azonnali befejezéséig terjednek.

5.Sikertelen támadások vagy gyanús szándékok észlelése . A tűzfalon kívülre telepített hálózati réteg IDS képes észlelni a tűzfal mögötti erőforrásokat megcélzó támadásokat, még akkor is, ha a tűzfal visszaveri ezeket a próbálkozásokat. A rendszerszintű rendszerek nem látnak olyan tükröződő támadásokat, amelyek nem érik el a tűzfal mögötti gazdagépet. Ez az elveszett információ lehet a legfontosabb a biztonsági politikák értékelése és fejlesztése során.

6.OS függetlenség . A hálózati szintű IDS-k függetlenek a vállalati hálózatra telepített operációs rendszerektől. A rendszerszintű behatolásészlelő rendszereknek speciális operációs rendszerekre van szükségük a megfelelő működéshez és a szükséges eredmények eléréséhez.

Rendszerszintű támadásérzékelés

Az 1980-as évek elején, a hálózatépítés felfutása előtt, a leggyakoribb támadásészlelési gyakorlat az volt, hogy a naplókat átnézték a gyanús tevékenységre utaló események után. Modern rendszerek A rendszerszintű támadásészlelés továbbra is hatékony eszköz a múltbeli támadások megértéséhez és a megfelelő technikák azonosításához a jövőbeli visszaélések mérséklésére. A modern rendszerszintű IDS-k még mindig használnak naplókat, de automatizáltabbak lettek, és kifinomultabbak is kimutatási módszerek, a legújabb matematikai kutatások alapján.

Általában a rendszerszintű IDS figyeli a rendszert, az eseményeket és a biztonsági naplókat (biztonsági naplókat vagy rendszernaplókat) az alatt futó hálózatokon. Windows vezérlés NT vagy Unix.Ha ezen fájlok bármelyike ​​megváltozik, az IDS összehasonlítja az új bejegyzéseket a támadási aláírásokkal, hogy megnézze, van-e egyezés. Ha ilyen egyezést talál, a rendszer riasztást küld az adminisztrátornak, vagy más meghatározott válaszmechanizmusokat aktivál. A rendszerszintű IDS folyamatosan fejlődik, fokozatosan beépítve egyre több új észlelési módszert. Az egyik ilyen népszerű módszer a kulcsrendszerek és a végrehajtható fájlok ellenőrző összegeinek rendszeres időközönkénti ellenőrzése, hogy ellenőrizzék a jogosulatlan módosításokat. A válaszadás időszerűsége közvetlenül összefügg a felmérés gyakoriságával. Egyes termékek figyelik az aktív portokat, és értesítik a rendszergazdát, ha valaki megpróbál hozzáférni.

A rendszerszintű támadásérzékelő rendszerek előnyei

Noha a rendszerszintű behatolásérzékelő rendszerek nem olyan gyorsak, mint hálózati szintű társaik, olyan előnyöket kínálnak, amelyeket ez utóbbiak nem. Ezek az előnyök magukban foglalják a szigorúbb elemzést, a gazdaspecifikus eseményadatokra való nagyobb odafigyelést és az alacsonyabb megvalósítási költségeket.

1.Megerősíti a támadás sikerességét vagy kudarcát . Mivel a rendszerszintű IDS-k a ténylegesen megtörtént események adatait tartalmazó naplókat használnak, az ehhez az osztályhoz tartozó IDS-ek ezt megtehetik nagy pontosság meghatározza, hogy a támadás valóban sikeres volt-e vagy sem. Ebben a tekintetben a rendszerszintű IDS-ek kiválóan kiegészítik a hálózati szintű behatolásérzékelő rendszereket. Ez a kombináció korai figyelmeztetést biztosít a hálózati összetevőt használó támadások kezdetére és a rendszerkomponenst használó támadások sikerére.

2.Egy adott csomópont tevékenységét szabályozza . A rendszerszintű IDS figyeli a felhasználói tevékenységet, a fájlhozzáférést, a fájlengedélyek változásait, az új programok telepítésére irányuló kísérleteket és/vagy a privilegizált szolgáltatásokhoz való hozzáférési kísérleteket. Például egy rendszerszintű IDS képes figyelni a felhasználó összes bejelentkezési és kijelentkezési tevékenységét, valamint azokat a műveleteket, amelyeket az egyes felhasználók a hálózathoz való csatlakozáskor hajtanak végre. Egy hálózati rétegrendszer számára nagyon nehéz ilyen szintű eseményrészletet biztosítani. A rendszerszintű behatolásészlelési technológia olyan tevékenységeket is képes figyelni, amelyeket általában csak rendszergazda végezne. Az operációs rendszerek naplóznak minden olyan eseményt, amely hozzáad, eltávolít vagy módosít Fiókok felhasználókat. A rendszerszintű IDS-k azonnal észlelhetik a megfelelő változást, amint az bekövetkezik. A rendszerszintű IDS-k ellenőrizhetik a biztonsági irányelvek módosításait is, amelyek befolyásolják, hogy a rendszerek hogyan követik nyomon a naplóikat stb.

Végső soron a rendszerszintű behatolásérzékelő rendszerek figyelhetik a kulcs változásait rendszerfájlokat vagy futtatható fájlok. Az ilyen fájlok felülírására vagy trójai programok telepítésére tett kísérletek észlelhetők és leállíthatók. A hálózati rétegrendszerek néha kihagyják ezt a fajta tevékenységet.

3.Észlelje azokat a támadásokat, amelyeket a hálózati rétegrendszerek figyelmen kívül hagynak . A rendszerszintű IDS-k képesek észlelni azokat a támadásokat, amelyeket a hálózati szintű eszközök nem tudnak észlelni. Például magától a megtámadott szervertől származó támadásokat a hálózati szintű támadásészlelő rendszerek nem észlelhetik.

4.Kiválóan alkalmas titkosított és kapcsolt hálózatokhoz . Mivel a rendszerszintű IDS-t a vállalati hálózat különböző gazdagépeire telepítették, képes leküzdeni a hálózati szintű rendszerek kapcsolt és titkosított hálózatokon történő működtetése során felmerülő néhány kihívást.

A kapcsolás lehetővé teszi a nagyméretű hálózatok több kis hálózati szegmensként történő kezelését. Ennek eredményeként nehéz lehet meghatározni a legjobb helyet a hálózati réteg IDS telepítéséhez. Néha a portok és a tükrözési portok kezelése segíthet, de ezek a módszerek nem mindig alkalmazhatók. A támadások rendszerszintű észlelése hatékonyabb működést biztosít kapcsolt hálózatokban, mert... lehetővé teszi, hogy az IDS-t csak azokon a csomópontokon helyezze el, ahol szükség van rá.

A titkosítás bizonyos típusai szintén kihívást jelentenek a hálózati réteg behatolásérzékelő rendszerei számára. Attól függően, hogy hol történik a titkosítás (link vagy előfizető), a hálózati réteg IDS „vakon” maradhat bizonyos támadásokkal szemben. A rendszerszintű IDS-ekre ez a korlátozás nem vonatkozik. Ezenkívül az operációs rendszer, és így a rendszerszintű IDS elemzi a visszafejtett bejövő forgalmat.

5.Közel valós idejű észlelés és válaszadás . Noha a rendszerszintű támadásészlelés nem ad igazán valós idejű választ, megfelelő megvalósítás esetén közel valós idejű léptékben érhető el. Ellentétben a régi rendszerekkel, amelyek előre meghatározott időközönként ellenőrzik a naplók állapotát és tartalmát, sok modern rendszerszintű IDS megszakítást kap az operációs rendszertől, amint új bejegyzés a naplóban. Ez az új bejegyzés azonnal feldolgozható, jelentősen lerövidítve a támadás felismerése és az arra való reagálás közötti időt. Az operációs rendszer által a naplóba írt esemény és a behatolásészlelő rendszer általi felismerés között késleltetés marad, de sok esetben a támadó észlelhető és megállítható, mielőtt bármilyen kár keletkezne.

6.Nem igényel további hardvert . A rendszerszintű behatolásérzékelő rendszerek a meglévő hálózati infrastruktúrára vannak telepítve, beleértve fájlszerverek, webszerverek és egyéb használt erőforrások. Ez a képesség a rendszerszintű IDS-eket nagyon költséghatékonyabbá teheti, mivel nincs szükségük másik csomópontra a hálózaton a kezelésükhöz és megvalósításukhoz. Karbantartásés kezelje.

7.Alacsony ár . Bár a hálózati szintű behatolásérzékelő rendszerek a teljes hálózat forgalmi elemzését biztosítják, gyakran meglehetősen drágák. Egy behatolásjelző rendszer költsége meghaladhatja a 10 000 dollárt. Másrészt a rendszerszintű behatolásjelző rendszerek ügynökenként több száz dollárba kerülnek, és a vevő megvásárolhatja azokat, ha csak a vállalat egyes csomópontjait kell felügyelnie, felügyelet nélkül. hálózati támadások.

Különös figyelmet érdemelnek a távoli, hálózati támadások. Az ilyen típusú támadások iránti érdeklődést az okozza, hogy az elosztott adatfeldolgozó rendszerek egyre inkább elterjednek a világon. A legtöbb felhasználó az INTERNET hálózat és a TCP/IP protokollverem segítségével távoli erőforrásokkal dolgozik. Az INTERNETet eredetileg a kormányzati szervek és az egyetemek közötti kommunikációra hozták létre az oktatás és a kutatás segítése érdekében, és a hálózat létrehozói nem is sejtették, milyen széles körben fog elterjedni. Ennek eredményeként a specifikációk korábbi verziók Az Internet Protocol (IP) nem tartalmazta a biztonsági követelményeket. Ez az oka annak, hogy sok IP-megvalósítás eredendően sebezhető.

A tanfolyam a következő támadásokat és azok leküzdését tárgyalja.

Szippantásos támadás. A packet sniffer egy olyan alkalmazásprogram, amely promiscuous módban működő hálózati kártyát használ (ebben az üzemmódban a hálózati adapter minden fizikai csatornán fogadott csomagot elküld az alkalmazásnak feldolgozásra). Ebben az esetben a szippantó elfog minden hálózati csomagot, amelyet egy adott tartományon keresztül továbbítanak. Jelenleg a szippantók teljesen legális alapon működnek hálózatokon. Hibadiagnosztikára és forgalomelemzésre használják. Mivel azonban egyes hálózati alkalmazások szöveges formátumban továbbítanak adatokat (Telnet, FTP, SMTP, POP3 stb.), a szippantó segítségével hasznos és néha hasznos információkat találhat bizalmas információ(például felhasználónevek és jelszavak).

A bejelentkezés és a jelszó elfogása komoly veszélyt jelent, mivel a felhasználók gyakran ugyanazt a bejelentkezési nevet és jelszót használják több alkalmazáshoz és rendszerhez. Sok felhasználó általában egyetlen jelszóval rendelkezik az összes erőforrás és alkalmazás eléréséhez. Ha az alkalmazás kliens/szerver módban fut, és a hitelesítési adatokat olvasható szöveges formátumban továbbítják a hálózaton, akkor ezek az információk valószínűleg felhasználhatók más vállalati vagy külső erőforrások elérésére. A legrosszabb esetben a támadó rendszerszintű hozzáférést kap egy felhasználói erőforráshoz, és ezzel új felhasználót hoz létre, aki bármikor hozzáférhet a hálózathoz és annak erőforrásaihoz.



A következő eszközök használatával mérsékelheti a csomagszimulálás veszélyét:

Hitelesítés. Az erős hitelesítés az első védekezés a csomagszippelés ellen. Az „erős” alatt olyan hitelesítési módszert értünk, amelyet nehéz megkerülni. Ilyen hitelesítésre példa az egyszeri jelszavak (OTP – egyszeri jelszavak). Az OTP egy kéttényezős hitelesítési technológia. A kéttényezős azonosítás tipikus példája egy hagyományos ATM működése, amely egyrészt a plasztikkártyája, másrészt a beírt PIN kódja alapján azonosítja Önt. Az OTP rendszerben történő azonosításhoz PIN kód és személyi kártya is szükséges. A „kártya” (token) olyan hardver- vagy szoftvereszköz, amely (véletlenszerű elven) egyedi, egyszeri jelszót generál. Ha egy támadó egy szippantó segítségével megtudja ezt a jelszót, akkor ez az információ haszontalan lesz, mert ekkor a jelszót már használták és visszavonták. Ne feledje, hogy ez a szippantás elleni küzdelem módszere csak a jelszavak lehallgatása ellen hatékony. Az egyéb információkat (például e-maileket) elfogó szippantó hatásosak maradnak.

Kapcsolt infrastruktúra. A hálózati környezetben történő csomagszippantás elleni küzdelem másik módja a kapcsolt infrastruktúra létrehozása. Ha például az egész szervezet betárcsázós Ethernetet használ, a támadók csak azon a porton érhetik el a forgalmat, amelyhez csatlakoztak. A kapcsolt infrastruktúra nem szünteti meg a szippantás veszélyét, de jelentősen csökkenti annak súlyosságát.

Szippantásgátlók. A szippantás elleni küzdelem harmadik módja a hardver telepítése ill szoftver amelyek felismerik a hálózaton működő szippantókat. Ezek az eszközök nem tudják teljesen kiküszöbölni a fenyegetést, de sok más hálózati biztonsági eszközhöz hasonlóan benne vannak közös rendszer védelem. Az úgynevezett „szippantásgátlók” mérik a gazdagép válaszidejét, és meghatározzák, hogy a gazdagépeknek kell-e feldolgozniuk a „felesleges” forgalmat.

Kriptográfia. A legtöbb hatékony módszer Az anti-csomagszippelés nem akadályozza meg a lehallgatást, és nem ismeri fel a szippantásosok munkáját, de használhatatlanná teszi ezt a munkát. Ha a kommunikációs csatorna kriptográfiailag biztonságos, ez azt jelenti, hogy a támadó nem az üzenetet, hanem a titkosított szöveget (vagyis egy érthetetlen bitsorozatot) fogja el.

IP-hamisítási támadás. Ez a támadás akkor következik be, amikor egy támadó vállalaton belül vagy kívül egy jogosult felhasználónak adja ki magát. A hamisított IP-címek használatának legegyszerűbb oka a támadó azon vágya, hogy tevékenységét a hálózati tevékenység óceánjába rejtse. Például az NMAP3 hálózati diagramkészítő eszköz további csomagsorozatokat küld, mindegyik saját hamisított forrás IP-címét használja. Ebben az esetben a támadó tudja, hogy mely IP-címek hamisak, és az egyes szekvenciákban mely csomagok valódiak. A támadás alatt álló rendszer biztonsági rendszergazdája kénytelen lesz elemezni sok hamisított IP-címet, mielőtt meghatározná a támadó valódi IP-címét.

Egy másik ok, amiért a támadók IP-címhamisítást alkalmaznak, az, hogy elrejtse személyazonosságát. A helyzet az, hogy egy IP-címet vissza lehet vezetni egy egyedi rendszerre, sőt néha akár egy felhasználóra is. Ezért az IP-hamisítás segítségével a támadó megpróbálja elkerülni az észlelést. A hamis IP-cím használata azonban számos nehézséget okoz a feladónak.

A megtámadott rendszer minden válaszát hamis IP-címre küldi. A válaszok megtekintéséhez vagy fogadásához a támadónak az útjában kell lennie a feltört géptől a hamisított IP-címig (legalábbis elméletben). Mivel a válasz nem feltétlenül ugyanazon az útvonalon halad, mint a hamisított csomag, a támadó elveszítheti a visszatérő forgalmat. Ennek elkerülése érdekében a támadó beavatkozhat egy vagy több közbenső útválasztóba, amelyek címét hamisításként használják a forgalom másik helyre való átirányítására.

Egy másik megközelítés az, hogy a támadó előre kitalálja a megtámadott gép által használt TCP-sorszámokat. Ebben az esetben nem kell SYN-ACK csomagot fogadnia, mivel egyszerűen generál és küld egy ACK csomagot előre jelzett sorszámmal. Az IP-veremek korai megvalósításai prediktív sorszám-számítási sémákat használtak, ezért érzékenyek voltak a meghamisított TCP-adatfolyamokra. A modern megvalósításokban már nehezebb megjósolni a sorszámot. Az NMAP hálózati diagramkészítő eszköz képes megbecsülni a vizsgált rendszerek sorszámának előrejelzésének nehézségeit.

A harmadik lehetőség szerint a támadó megzavarhatja a szervere és a támadott szerver között elhelyezkedő egy vagy több útválasztó működését. Ez lehetővé teszi, hogy a hamisított IP-címre irányuló válaszforgalmat arra a rendszerre irányítsák, amelyből a behatolás származott. Ha a feltörés befejeződött, az útválasztót elengedik, hogy elfedje a nyomait.

Végül előfordulhat, hogy a támadónak nem áll szándékában válaszolni az áldozattól visszaküldött SYN-ACK csomagra. Ennek két oka lehet. Lehetséges, hogy a támadó félig nyitott port-ellenőrzést hajt végre SYN szkennelés. Ebben az esetben csak a támadott gép kezdeti válasza érdekli. Az RST-ACK jelzőkombináció azt jelenti, hogy a vizsgált port zárva van, a SYN-ACK kombináció pedig azt, hogy nyitva van. A célt elértük, ezért nem kell válaszolni erre a SYN-ACK csomagra. Az is lehetséges, hogy lavinaszerű SYN-hacket hajtanak végre. Ebben az esetben a támadó nemcsak hogy nem válaszol a SYN-ACK vagy RST-ACK csomagokra, de általában nem is érdekli a feltört rendszertől kapott csomagok típusa.

Az IP-hamisító támadások gyakran más támadások kiindulópontjai. Klasszikus példa erre a DoS támadás, amely valaki más címéről indul, elrejti a támadó valódi kilétét.

Az IP-hamisítás jellemzően hamis információk vagy rosszindulatú parancsok beszúrására korlátozódik a kliens és a kiszolgálóalkalmazások közötti normál adatfolyamba vagy a peer eszközök közötti kommunikációs csatornán keresztül.

Amint megjegyeztük, a kétirányú kommunikációhoz a támadónak meg kell változtatnia az összes útválasztási táblát, hogy a forgalmat hamis IP-címre irányítsa. Egyes támadók azonban meg sem próbálnak választ kapni az alkalmazásoktól. Ha a fő feladat a rendszerből való beszerzés fontos fájl, a pályázati válaszok nem számítanak. Ha a támadónak sikerül megváltoztatnia az útválasztási táblákat és hamis IP-címre irányítani a forgalmat, a támadó megkapja az összes csomagot, és úgy válaszolhat rájuk, mintha jogosult felhasználó lenne.

A hamisítás veszélye a következő intézkedésekkel mérsékelhető (de nem küszöbölhető ki):

Hozzáférés-szabályozás. Az IP-hamisítás legegyszerűbb módja az, hogy helyes beállítás hozzáférés-szabályozás. Az IP-hamisítás hatékonyságának csökkentése érdekében be kell állítania a hozzáférés-vezérlést úgy, hogy elutasítsa a külső hálózatról érkező forgalmat, amelynek forráscíme a hálózaton belül kell hogy legyen. Vegye figyelembe, hogy ez segít az IP-hamisítás elleni küzdelemben, ahol csak a belső címek engedélyezettek. Ha néhány külső hálózati cím is engedélyezett, ez a módszer hatástalanná válik.

Az RFC 2827 szűrés leállítja a védett hálózat felhasználóinak külföldi hálózatok meghamisítására tett kísérleteit, ha a rendszer elutasítja a kimenő forgalmat, amelynek forráscíme nem a védett szervezet IP-címe. Ezt az RFC 2827 néven ismert szűrést az Ön internetszolgáltatója (ISP) is végrehajthatja. Ennek eredményeként minden olyan forgalom elutasításra kerül, amely nem rendelkezik egy adott felületen várható forráscímmel. Például, ha az internetszolgáltató kapcsolatot biztosít a 15.1.1.0/24 IP-címhez, beállíthatja a szűrőt úgy, hogy ennek a felületnek Az internetszolgáltató útválasztójába csak a 15.1.1.0/24 címről érkező forgalom engedélyezett. Vegye figyelembe, hogy amíg minden szolgáltató nem alkalmazza ezt a fajta szűrést, a hatékonysága a lehetségesnél jóval alacsonyabb lesz. Ezenkívül minél távolabb van a szűrt eszközöktől, annál nehezebb a pontos szűrés. Például az RFC 2827 szűrés a hozzáférési útválasztó szintjén megköveteli az összes forgalom átadását a fő hálózati címről (10.0.0.0/8), míg az elosztási szinten (ebben az architektúrában) lehetőség van a forgalom pontosabb korlátozására (cím - 10.1 .5.0/24 ).

Az IP-hamisítás csak akkor működik, ha a hitelesítés IP-címeken alapul. Ezért a további hitelesítési módszerek bevezetése használhatatlanná teszi az ilyen típusú támadásokat. A legjobb kilátás a további hitelesítés kriptográfiai. Ha ez nem lehetséges, az egyszeri jelszavakkal végzett kéttényezős hitelesítés jó eredményt adhat.

Szolgáltatásmegtagadás (DoS). A DoS kétségtelenül a legismertebb támadási forma. Ráadásul az ilyen típusú támadások ellen a legnehezebb 100%-os védelmet létrehozni. A megvalósítás egyszerűsége és az okozott óriási károk felkeltik a DoS-ért felelős rendszergazdák figyelmét hálózati biztonság. A legismertebb támadástípusok: TCP SYN Flood; Ping of Death; Tribe Flood Network (TFN) és Tribe Flood Network 2000 (TFN2K); Trinco; Stacheldracht; Szentháromság.

Ezekkel a támadásokkal kapcsolatos információforrás az Emergency Response Team számítógépes problémák(CERT – Computer Emergency Response Team), amely a DoS támadások elleni küzdelemről tett közzé munkát.

A DoS támadások különböznek a többi támadástípustól. Nem célja az Ön hálózatához való hozzáférés vagy bármilyen információ beszerzése a hálózatról. A DoS támadás a hálózat, az operációs rendszer vagy az alkalmazás megengedett határainak túllépésével elérhetetlenné teszi a hálózatot normál használatra. Egyes kiszolgálóalkalmazások (például webszerver vagy FTP-szerver) esetében a DoS-támadások magukban foglalhatják az alkalmazások számára elérhető összes kapcsolat átvételét és lefoglalását, ami megakadályozza a normál felhasználók kiszolgálását. A DoS támadások olyan általános internetes protokollokat használhatnak, mint a TCP és az ICMP (Internet Control Message Protocol).

A legtöbb DoS támadás nem szoftverhibákon vagy biztonsági réseken alapul, hanem a rendszer architektúrájának általános gyengeségein. Egyes támadások megbénítják a hálózat teljesítményét azáltal, hogy nem kívánt és szükségtelen csomagokkal vagy félrevezető információkkal árasztják el a hálózati erőforrások aktuális állapotáról. Ezt a fajta támadást nehéz megakadályozni, mert egyeztetést igényel az internetszolgáltatóval. Ha a hálózat elárasztására szánt forgalom nem áll le a szolgáltatónál, akkor ezt a hálózat bejáratánál már nem lehet megtenni, mert a teljes sávszélességet lefoglalják. Ha az ilyen típusú támadásokat egyszerre több eszközön keresztül hajtják végre, akkor elosztott DoS támadásról (DDoS) beszélünk.

A DoS támadások veszélye háromféleképpen mérsékelhető:

Hamisítás elleni funkciók. Az útválasztókon és a tűzfalakon a hamisítás elleni funkciók megfelelő konfigurálása segít csökkenteni a DoS kockázatát. Ezeknek a szolgáltatásoknak tartalmazniuk kell legalább az RFC 2827 szűrést. Ha a támadó nem tudja elrejteni valódi személyazonosságát, akkor nem valószínű, hogy támadást hajt végre.

Anti-DoS funkciók. Az útválasztókon és tűzfalakon az anti-DoS szolgáltatások megfelelő beállítása korlátozhatja a támadások hatékonyságát. Ezek a funkciók gyakran korlátozzák az adott időpontban félig nyitott csatornák számát.

Forgalomkorlátozás. Egy szervezet kérheti internetszolgáltatóját (ISP), hogy korlátozza a forgalom mennyiségét. Ez a fajta szűrés lehetővé teszi a hálózaton áthaladó, nem kritikus forgalom mennyiségének korlátozását. Gyakori példa célja az ICMP forgalom mennyiségének korlátozása, amelyet csak diagnosztikai célokra használnak. (D) A DoS támadások gyakran használnak ICMP-t.

Jelszavas támadások. A támadók számos módszerrel hajthatnak végre jelszavas támadásokat, például brute force támadásokkal, trójai falókkal, IP-hamisítással és csomagszimulással. Bár a bejelentkezési név és a jelszó gyakran megszerezhető IP-hamisítással és csomagszimulációval, a hackerek gyakran többszörös hozzáférési kísérletekkel próbálják kitalálni a jelszót és bejelentkezni. Ezt a megközelítést egyszerű brute force támadásnak nevezik.

Gyakran használják ilyen támadásokhoz speciális program amely egy erőforráshoz próbál hozzáférni közös használatú(például a szerverre). Ha ennek eredményeként a támadó hozzáfér az erőforrásokhoz, jogokkal szerzi meg azt rendszeres felhasználó, akinek a jelszavát kitaláltuk. Ha ez a felhasználó jelentős hozzáférési jogosultságokkal rendelkezik, a támadó létrehozhat magának egy „bérletet” a jövőbeni hozzáféréshez, amely akkor is érvényben marad, ha a felhasználó megváltoztatja jelszavát és bejelentkezési adatait.

Egy másik probléma akkor merül fel, ha a felhasználók ugyanazt a (sőt nagyon jó) jelszót használják számos rendszer eléréséhez: vállalati, személyes és internetes rendszerekhez. Mivel a jelszó csak annyira erős, mint a leggyengébb gazdagép, a támadó, aki megtanulja a jelszót azon a gazdagépen keresztül, hozzáfér az összes többi rendszerhez, amely ugyanazt a jelszót használja.

Először is a jelszavas támadások elkerülhetők, ha nem használunk jelszavakat szöveges formában. Az egyszeri jelszavak és/vagy a kriptográfiai hitelesítés gyakorlatilag kiküszöbölheti az ilyen támadások veszélyét. Sajnos nem minden alkalmazás, gazdagép és eszköz támogatja a fenti hitelesítési módszereket.

Ha hagyományos jelszavakat használ, próbáljon meg olyan jelszót találni, amelyet nehéz kitalálni. A jelszó minimális hosszának legalább nyolc karakternek kell lennie. A jelszónak tartalmaznia kell nagybetűket, számokat és Különleges szimbólumok(#, %, $ stb.). A legjobb jelszavakat nehéz kitalálni, és nehéz megjegyezni, így a felhasználóknak papírra kell írniuk a jelszavakat. Ennek elkerülése érdekében a felhasználók és a rendszergazdák számos közelmúltbeli technológiai fejlesztést kihasználhatnak. Léteznek például olyan alkalmazási programok, amelyek a zsebszámítógépben tárolható jelszavak listáját titkosítják. Ennek eredményeként a felhasználónak csak egyet kell megjegyeznie összetett jelszó, míg az összes többi jelszót biztonságosan védi az alkalmazás.

Man-in-the-Middle támadások. Man-in-the-Middle támadás esetén a támadónak hozzá kell férnie a hálózaton keresztül továbbított csomagokhoz. Ilyen hozzáférést a szolgáltatótól bármely másik hálózathoz továbbított összes csomaghoz például a szolgáltató alkalmazottja szerezhet. Az ilyen típusú támadásokhoz gyakran használnak csomagszimulálókat, szállítási protokollokat és útválasztási protokollokat. A támadásokat azzal a céllal hajtják végre, hogy információkat lopjanak el, lehallgatják az aktuális munkamenetet és hozzáférjenek a privát adatokhoz. hálózati erőforrások a forgalom elemzésére és a hálózatról és annak felhasználóiról való információszerzésre, DoS támadások végrehajtására, a továbbított adatok torzítására és a hálózati munkamenetekbe illetéktelen információk bevitelére.

A középső támadások ellen csak titkosítással lehet hatékonyan felvenni a harcot. Ha egy támadó elkap egy titkosított munkamenetből származó adatokat, akkor a képernyőjén nem az elfogott üzenet, hanem egy értelmetlen karakterkészlet jelenik meg. Vegye figyelembe, hogy ha egy támadó információt szerez a kriptográfiai munkamenetről (például a munkamenet kulcsát), ez lehetővé teheti Man-in-the-Middle támadás akár titkosított környezetben is.

Alkalmazás szintű támadások. Az alkalmazásszintű támadások többféle módon hajthatók végre. A leggyakoribb a szerver jól ismert gyenge pontjainak kihasználása szoftver(sendmail, HTTP, FTP). Ezeket a gyengeségeket kihasználva a támadók az alkalmazást futtató felhasználó nevében férhetnek hozzá a számítógéphez (általában nem egyszerű felhasználóról van szó, hanem rendszerhozzáférési jogokkal rendelkező kiváltságos rendszergazdáról). Az alkalmazásszintű támadásokkal kapcsolatos információkat széles körben teszik közzé, hogy az adminisztrátorok javító modulok (javítások, javítások) segítségével kijavíthassák a problémát. Sajnos sok támadó is hozzáfér ezekhez az információkhoz, ami lehetővé teszi számukra a tanulást.

Az alkalmazásszintű támadások fő problémája az, hogy gyakran olyan portokat használnak, amelyek áthaladhatnak a tűzfalon. Lehetetlen teljesen kiküszöbölni az alkalmazásszintű támadásokat.

puffer túlcsordulások vannak szerves része sokféle rosszindulatú támadás. A túlcsordulási támadásoknak viszont sok fajtája van. Az egyik legveszélyesebb, ha egy párbeszédpanelbe a szövegen kívül a hozzá csatolt végrehajtható kódot is be kell írni. Az ilyen bevitel azt eredményezheti, hogy ez a kód a végrehajtó program tetejére íródik, ami előbb-utóbb a végrehajtáshoz vezet. A következményeket nem nehéz elképzelni.

Különösen veszélyesek a „passzív” támadások, például a szippantó segítségével, mivel egyrészt gyakorlatilag nem észlelhetők, másrészt pedig helyi hálózat(a külső tűzfal tehetetlen).

Vírusok - rosszindulatú, képes önállóan másolni és terjeszteni. Még 1994 decemberében kaptam egy figyelmeztetést a hálózati vírusok (jó idők és xxx-1) terjedéséről az interneten:

Órák, napok, hetek és néha hónapok telnek el a vírus létrehozásának pillanatától a vírus észlelésének pillanatáig. Ez attól függ, hogy milyen gyorsan jelentkeznek a fertőzés hatásai. Minél hosszabb ez az idő, annál nagyobb a fertőzött számítógépek száma. A fertőzés tényének és a vírus új verziójának terjedésének azonosítása után néhány órától (például Email_Worm.Win32.Bagle.bj esetén) három hétig (W32.Netsky.N@mm) tart, amíg azonosítsa az aláírást, hozzon létre egy ellenszert, és vegye fel aláírását az adatbázis vírusellenes programjába. Ideiglenes diagram életciklus ábrán látható a vírus. 12.1 ("Hálózati biztonság", v.2005, 6. szám, 2005. június, 16-18. o.). Csak 2004-ben 10 000 új vírusszignatúrát regisztráltak. A Blaster féreg 10 perc alatt megfertőzte a gépek 90%-át. Ez idő alatt a víruskereső csapatnak észlelnie kell az objektumot, minősítenie kell, és ellenintézkedést kell kidolgoznia. Nyilvánvaló, hogy ez irreális. Tehát egy víruskereső program nem annyira ellenintézkedés, mint inkább nyugtató. Ugyanezek a megfontolások érvényesek minden más típusú támadásra is. Amint a támadás aláírása ismertté válik, maga a támadás általában nem veszélyes, mivel az ellenintézkedéseket már kidolgozták, és a sebezhetőséget fedezték. Ez az oka annak, hogy ekkora figyelmet fordítanak a szoftverfrissítés (patch) menedzsment rendszerre.

Egyes vírusok és férgek beépített SMTP-programokkal rendelkeznek, amelyek elküldik őket, és kikelnek, hogy könnyen behatoljanak a fertőzött gépbe. Legújabb verziók olyan eszközökkel felszerelve, amelyek elnyomják más vírusok vagy férgek aktivitását. Ily módon a fertőzött gépek teljes hálózatai (BotNet) hozhatók létre, amelyek készen állnak például egy DDoS-támadás indítására parancsra. Egy protokoll használható az ilyen zombi gépek vezérlésére IRC(Internet Relay Chart). Ezt az üzenetküldő rendszert nagyszámú szerver támogatja, ezért egy ilyen csatornát általában nehéz követni és rögzíteni. Ezt az is elősegíti, hogy a legtöbb rendszer jobban figyeli a bemeneti forgalmat, mint a kimeneti forgalmat. Figyelembe kell venni, hogy a fertőzött gép a DoS támadásokon kívül más számítógépek átvizsgálására és SPAM küldésére, illegális tárolására is szolgálhat. szoftver termékek, magát a gépet irányítani és az ott tárolt dokumentumokat ellopni, a tulajdonos által használt jelszavakat és kulcsokat azonosítani. A Blaster vírus okozta kárt 475 000 dollárra becsülik.

Sajnos nincs megbízható módszer az új felismerésére vírusok (akinek aláírása ismeretlen).


Rizs. 12.1.

2005-ben újabb fenyegetést azonosítottak: a vírusok és hálózati férgek terjedését IRC-alapú keresőrobotok (botok) segítségével.

A botprogramok nem mindig veszélyesek, bizonyos fajtáikat használják adatok gyűjtésére, különösen az ügyfelek preferenciáira vonatkozóan keresőmotor A Google-on dolgoznak a dokumentumok összegyűjtésén és indexelésén. De egy hacker kezében ezek a programok veszélyes fegyverekké válnak. A leghíresebb támadást 2005-ben indították, bár az előkészületek és az „első kísérletek” 2004 szeptemberében kezdődtek. A program bizonyos biztonsági résekkel rendelkező gépeket keresett, különösen az LSASS-t (Local Security Authority Subsystem Service, Windows). Az LSASS alrendszer, amelyet a biztonság biztosítására terveztek, maga is sebezhető volt az olyan támadásokkal szemben, mint például a puffertúlcsordulás. Bár a sérülékenységet már javították, továbbra is jelentős a nem frissített verziójú gépek száma. A behatolás után a hacker általában az IRC-t használja a szükséges műveletek elvégzésére (nyitás adott port, SPAM küldése, egyéb potenciális áldozatok vizsgálatának elindítása). Új funkció Az ilyen programok úgy vannak beépítve az operációs rendszerbe (rootkit), hogy nem észlelhetők, mivel az operációs rendszer kernelzónájában találhatók. Ha víruskereső program megpróbál hozzáférni egy adott memóriaterülethez az azonosítás érdekében rosszindulatú kód, a rootkit elfog egy ilyen kérést, és értesítést küld a tesztelőprogramnak, hogy minden rendben van. A helyzetet rontja, hogy a botprogramok módosíthatják a tartalmat

Ez a szlogen egy információs rendszerrel kapcsolatos információgyűjtésre irányuló támadást jelent egy közvetítőn, a felhasználón keresztül. Egy egyszerű példa, amikor a támadó feljogosított személyként mutatkozik be a felhasználónak, elkéri a felhasználó jelszavát és bejelentkezési adatait. Ha a támadó sikerrel jár, úgy hozzáfér az információkhoz, hogy nem ismeri a rendszer technikai vonatkozásait vagy a biztonsági réseket. Általános támadási megközelítés szociális tervezés pszichológiai módszerekkel, például bizalommal, lustasággal vagy figyelmetlenséggel valósítják meg. Természetesen minden alkalmazottat figyelmeztetni kell a behatolók vagy más módon történő lehetséges közeledésekre. Mindezeket a pontokat le kell írni. A gyakorlatban sok olyan eset fordul elő, amikor például egy alkalmazott aláír egy kötelezettséget, hogy ne adjon ki személyes jelszót a helyi hálózatnak, azt azonnal elmondja kollégájának, vagy hangosan kiejti egy új csapatban. Számos olyan helyzet is előfordul, amikor a vállalat részlegei és az adminisztratív osztályok egymástól távol helyezkednek el. És kommunikációs eszközöket kell használnia a jelszó megszerzéséhez, ami újakat jelent. A támadó vagy bemutatkozik az alkalmazottaknak, és elkéri a jelszavát, vagy lehallgat telefonbeszélgetésés hallja a jelszót. Minden helyzethez egynek kell lennie.

Támadásmodellek

Támadás az információs rendszert a támadó szándékos cselekedete jellemzi, aki kihasználja egy ilyen rendszer sebezhetőségét, és a feldolgozott vagy tárolt információk bizalmasságának, elérhetőségének és integritásának megsértéséhez vezet.

Szabványos támadási modell elve alapján 1-1(1. ábra) ill egy a sokhoz(2. ábra). Az ilyen támadásokat egyetlen forrásból hajtják végre. Hálózati módszerek a védelmek (képernyők, DLP) éppen egy ilyen támadási modellen alapulnak. A védett hálózat különböző csomópontjaiban biztonsági rendszerérzékelők vannak telepítve, amelyek adatokat továbbítanak a központi vezérlőmodulnak. Egy ilyen modell azonban nem képes megbirkózni az elosztott támadásokkal.

2. ábra

Az elosztott támadási modell különböző elveket valósít meg. Az ilyen támadások megvalósítják a kapcsolatot sok az egyhez(3. ábra) és sok a sok(4. ábra). Ezek a támadások olyan támadásokon alapulnak, mint a szolgáltatás megtagadása. Az ilyen támadások elve abban rejlik, hogy több csomagot küldenek a támadott csomópontnak. Egy ilyen csomópont lefagyhat vagy meghibásodhat, amíg nincs ideje feldolgozni az összes bejövő csomagot. Az ilyen támadások fő kánonja az, hogy a támadó sávszélessége meghaladja a támadott csomópontot áteresztőképesség megtámadt csomópont.

ábra - 4

A támadás végrehajtásának szakaszai

Amikor egy akcióról, például támadásról beszélnek, csak azt jelentik a támadás végrehajtása, de megfeledkeznek két fő műveletről: A támadás előfeltételeiÉs A támadás befejezése. Az adatgyűjtés a támadás létrehozásának fő lépése. Ebben a szakaszban minden munka hatékonysága attól függ kiváló eredmény ezen a ponton. Először a támadás célpontját választják ki, és adatokat gyűjtenek az objektumról nyitott portok, operációs rendszer típusa, szoftver és konfiguráció stb.). Ezután meghatározzák egy ilyen rendszer legsebezhetőbb pontjait, amelyek egy támadás során megadják a szükséges eredményt. Ez a munka lehetővé teszi a támadás típusának és végrehajtásának forrásának kiválasztását.

A hagyományos védelmi módszerek csak a támadás létrehozásának második szakaszában működnek, de az első és harmadik szakasztól egyáltalán nem védenek. Nem teszik lehetővé a már elkövetett támadások észlelését és a károk elemzését sem. A támadó az eredménytől függően a támadás szempontjára koncentrál:

  • szolgáltatásmegtagadás esetén elemzi a támadott hálózatot, megkeresi a gyenge pontokat
  • adatlopás esetén a lopakodó támadásra kell figyelni

Információgyűjtés. Ez a szakasz magában foglalja a hálózati topológiáról, a megtámadott gazdagép operációs rendszer verziójáról stb. vonatkozó adatok gyűjtését. A támadó megpróbálhatja meghatározni a címeket. megbízott rendszerek és csomópontok, amelyek közvetlenül kapcsolódnak a támadás célpontjához. Két módszer létezik a támadó által használható hálózati topológia meghatározására:

  • TTL változás
  • útvonal rekord

Az első módszert a tracert a Windows és a traceroute a Unix programok használják. Az IP-csomag fejlécében egy TIME to Live mezőt valósítanak meg, amely az útválasztón áthaladó hálózati csomagtól függően változik. A hálózati topológia az SNMP vagy a RIP protokoll segítségével is meghatározható.

A gazdagép azonosságait általában az ICMP protokoll ECHO_REQUEST parancsának ping segédprogramjával határozzák meg. A csomópont akkor érhető el, amikor megérkezik az ECHO_REPLY válaszüzenet. Ennek az azonosítási módszernek két hátránya van:

  • Az ICMP-kérések használata megkönnyíti a forrás azonosítását, és ezáltal a támadó észlelését.
  • Egy csomó hálózati eszközök blokkolja az ICMP csomagokat, ne engedje be vagy ne engedje ki.

Egy másik módszer a csomópontok azonosítására akkor lehetséges, ha a támadó az áldozat helyi hálózatán van az övét használva hálózati kártya. A hálózati gazdagépeket DNS segítségével is azonosíthatja.

Port szkennelés. A szolgáltatás általi azonosítás a nyitott portok észlelésével valósul meg. A szkennelési programok megtekinthetők a Szkennelésben Például:

  • A nyitott 80-as port azt jelzi, hogy rendelkezésre állnak webszerverek
  • 25. kikötő - levelezőszerver SMTP
  • 31377 – a BackOrifice trójai program része
  • 12345 vagy 12346 — -//- NetBus

OS meghatározása. Minden operációs rendszer a maga módján valósítja meg a TCP/IP protokoll veremét, így speciális kérdések feltevésekor lehetőség nyílik a válaszok elemzésére. Egy kevésbé hatékony meghatározási módszer a hálózati szolgáltatás által végzett elemzés.

Csomópont-szerep definíciók. Következő lépés ez annak a csomópontnak a funkcióinak meghatározása, amelyre a támadó támadni akar. Ezenkívül a támadó automatizált módszerekkel vagy manuálisan keresi a sebezhetőségeket. A cikkben leírt programok alkalmasak lehetnek ilyen módszerekként. hálózati tesztelő programok.

A támadás végrehajtása. Ez a szakasz határozza meg a támadó azon akcióit vagy próbálkozásait, amelyek a támadott csomópontra irányulnak. Behatolás Meghatározza a peremvédelmi módszerek megkerülését. Konkrét algoritmusokra nem lesz példa röviden, mivel az oldal témája az információvédelem. A behatolás után a támadó megpróbálja fenntartani az irányítást a támadott csomópont felett.

A támadások céljai. Meg kell jegyezni, hogy a támadó két célt próbálhat elérni: hozzáférést szerezni magához a csomóponthoz és a benne található információkhoz. A második cél egy NSD beszerzése egy csomóponttól további támadások végrehajtásához más csomópontok ellen. Színpad befejezése a támadások nyomok elfedésére épülnek. Ez általában magában foglalja bizonyos bejegyzések törlését a különböző csomóponti naplókban, valamint a csomópont visszaállítását az eredeti működési állapotába.

A támadások osztályozása

A támadások besorolhatók aktív vagy passzív, szándékos vagy nem szándékos, illetve belső vagy külső támadásokra. Annak érdekében, hogy ne keverjük össze ezeket a pszeudo-besorolásokat, a támadások univerzális felosztása létezik:

  • Helyi behatolás – Olyan támadás, amely végrehajtja az NSD-t ahhoz a csomóponthoz, amelyen elindult
  • Távoli behatolás – A megvalósítást lehetővé tevő támadások távirányító számítógép hálózaton keresztül
  • A hálózati szkennerek olyan alkalmazások, amelyek elemzik és észlelik a sebezhetőségként használható szolgáltatásokat
  • A helyi szolgáltatásmegtagadás (ddos) olyan támadás, amely lehetővé teszi a számítógép túlterhelését vagy működésének megzavarását.
  • Jelszótörők – Olyan programok, amelyek kitalálják a felhasználói jelszavakat
  • Sebezhetőség-ellenőrzők – A hálózati csomópontokon lévő sebezhetőségeket elemző programok
  • Protokollelemzők (snifferek) - a programok figyelik a hálózati forgalmat

Vállalat internet biztonság Systems Inc. csökkentette a besorolást:

  • Információgyűjtés
  • NSD próbálkozások
  • Szolgáltatás megtagadása
  • Gyanús tevékenység
  • Rendszertámadások

Az első 4 kategória a távoli támadások közé sorolható, az utolsó pedig a helyi támadások közé. Meg kell jegyezni, hogy az egész osztály nem szerepelt ebben a besorolásban passzív támadások – lehallgatás, hamis DNS, ARP-hamisítás stb.).

Könyvjelzők a hardverben

Az információs rendszerek túlnyomó többsége azon axióma alapján működik, hogy Hardver- nem jelent veszélyt. Ebben az esetben még az eszköz kezdeti ellenőrzését sem végzik el a könyvjelzők jelenlétére. Könyvjelző- szoftver vagy hardver szintű eszköz, amely jogosulatlan tevékenységet (általában a titoktartás megsértését) hajt végre az adott rendszer rovására. Nyilvánvaló, hogy nem minden vállalat rendelkezik a szükséges személyzettel ezekhez a problémákhoz a hardverproblémák azonosításához. Alább egy lista különféle módokon a vállalkozás anyagi és egyéb erőforrásainak szabványos ellenőrzése.

  • A hardver időszakos ellenőrzése egyéni vállalkozások meghívott szakemberei által.
  • Automatikus cikkkészlet hardver a vállalkozásnál.
  • Rögzítés sorozatszámok egyes részek felszerelés.
  • Bontható berendezés burkolatok tömítése, átvizsgálással.

Ha még közelebb kerül ehhez a kérdéshez, olyan berendezéseket használnak, amelyek figyelik a rádióadásokat, vezetékes hálózatok, A hálózat elektromossága tápegység, hangsugárzó stb. Mivel a munka normáitól való bármilyen eltérés okot ad a gondolkodásra. be is ez a probléma felhasználó játszik fontos szerep, hiszen ha valami történik, azonnal jeleznie kell a biztonsági szolgálatnak.

Emellett fontos szerepet játszanak a helyi hálózathoz csatlakoztatott számítógépek elleni helyi támadások. Alkothatnak. Az ilyen támadások történhetnek firmware ellen, vagy az operációs rendszer indítási szakaszában történő hozzáférés. Vagyis letöltheti az operációs rendszer live-cd/usb verzióját némileg eltérő paraméterekkel, amelyek lehetővé teszik a hálózatba való bejelentkezést.

Szintén bekapcsolva hely hitelesítési támadást lehet végrehajtani. Ezenkívül, ha van szoftvertelepítési jog, a felhasználó telepíthet rossz vagy rosszindulatú szoftvereket. Az alábbiakban felsoroljuk azokat a sablonprogramokat, amelyek rosszindulatúak.

  • A jogosultságnövelő program egy rossz program telepítése után hozzáférést biztosít a zárt erőforrásokhoz.
  • A jelszóválasztó programok működhetnek a háttérben, miközben az alkalmazott végzi a dolgát, magának a számítógépnek az erejét felhasználva.
  • Sniffer - csomagok elfogása a hálózatról.
  • A Cipherbreakers() egy olyan program is, amely helyi hálózaton működik, a számítógép erejét felhasználva, rejtjelekben vagy más helyeken sérülékenységeket keres.
  • Szétszedők – elemzik az operációs rendszert vagy programot, hogy megértsék a logikát és a sebezhetőséget. Vagy változtassa meg a robot lépését.
  • Puffer túlcsordulási támadások.
  • Vírusok/hálózati csomagok tervezői és generátorai – lehetővé teszi olyan programok létrehozását a számítógépen, amelyek kárt okoznak a teljes IP-ben.

Az információs rendszer helyi támadásokkal szembeni védelmét javító műveletek rövid listája

  • Használja a legbiztonságosabb konfigurált konfigurációkat
  • Elemezze a portszkennelési folyamat jelenlétét
  • Alapértelmezés szerint blokkolja vagy törölje a fiókokat
  • Frissítse a rendszerelemeket időben
  • Fenntartson egy házirendet a jelszó összetettségi szabályaival és a beviteli kísérlet korlátozásával
  • Pontosan olyan szintű hozzáférést biztosítson a felhasználóknak, amennyire szükségük van a munkájuk elvégzéséhez
  • Védje a felhasználói jelszó adatbázist különféle fajták hatás
  • Vezessen nyilvántartást a szoftverekről és beállításairól az összes számítógépen
  • Rendszeresen készítsen biztonsági másolatot
  • Végezze el a regisztrációs naplók mentését olyan módban, amely kizárja a szerkesztés lehetőségét

Ha nem lennének sérülékenységek a rendszerelemekben, a legtöbb támadás nem lenne lehetséges. A védekezést azonban olyan emberek írják, akik hajlamosak hibázni. Összefoglalva:

  • Valósítson meg védelmet, amely nem egy konkrét támadás, hanem egyfajta támadás elleni védekezésén alapul.
  • Követnie kell a híreket az új támadásokról és az azokkal szembeni ellenlépésekről.
  • Védelem beszerelése különböző szinteken, úgymond mélyreható védekezés.


Oszd meg a barátaiddal:
Kapcsolódó kiadványok