Program za demonstriranje mrežnih napada. Sistemske tehnologije za otkrivanje mrežnih napada

Napadači rijetko bez ceremonije upadaju u mrežu sa "oružjem" u ruci. Oni radije provjeravaju da li su brave na vratima bezbedne i da li su svi prozori zatvoreni. Oni diskretno analiziraju obrasce prometa koji ulazi i izlazi iz vaše mreže, pojedinačne IP adrese, a također izdaju naizgled neutralne zahtjeve upućene pojedinačnim korisnicima i mrežnim uređajima.

Mora biti instaliran inteligentni softver za detekciju kako bi se otkrili ovi pametno kamuflirani neprijatelji. mrežni napadi sa visokom osetljivošću. Kupljeni proizvod treba da upozori administratora ne samo na slučajeve očiglednog kršenja sistema sigurnost informacija, ali i o svim sumnjivim događajima koji na prvi pogled izgledaju potpuno bezopasni, a u stvarnosti kriju hakerski napad punog razmjera. Nema potrebe tvrditi da svaki aktivni pokušaj probijanja sistemskih lozinki treba odmah biti obaviješten administratoru.

Moderne korporacije su doslovno pod unakrsnom vatrom uljeza koji žele ukrasti vrijedne informacije ili jednostavno onesposobiti informacioni sistemi... Zadaci u borbi protiv hakera su sasvim očigledni:

- obavještenje o pokušaju neovlaštenog pristupa mora biti odmah;

- odbijanje napada i minimiziranje gubitaka (kako biste se oduprli napadaču, trebali biste odmah prekinuti sesiju komunikacije s njim);

- prelazak u kontraofanzivu (napadač mora biti identifikovan i kažnjen).

Ovaj scenario je korišten za testiranje četiri najpopularnija sistema za otkrivanje mrežnih napada na današnjem tržištu:

- Uzbuna protiv uljeza;

- eTrust detekcija upada.

Karakteristike ovih softverskih sistema za otkrivanje mrežnih napada date su u tabeli. 3.2.

Mrežni ICE BlackICE softver je specijalizovana agentska aplikacija dizajnirana isključivo za identifikaciju uljeza. Kada otkrije uljeza, šalje izvještaj o ovom događaju ICEcap kontrolnom modulu, koji analizira informacije "primljene od različitih agenata i pokušava lokalizirati napad na mrežu."

Softver Alert Technologies Intruder Alert više liči na alat za profesionalce za informatičku sigurnost jer pruža maksimalnu fleksibilnost u definiranju strategija mrežne sigurnosti.

CyberSafeov Centrax paket je dizajniran na bazi sve-u-jednom: uključuje sigurnosne kontrole, praćenje prometa, otkrivanje napada i poruke upozorenja.

eTrust detekcija upada kompanije Computer Associates je posebno jaka u nadzoru sigurnosti informacija i upravljanju strategijom, iako uključuje i upozorenja u realnom vremenu, enkripciju podataka i otkrivanje upada.

Upozorenja koja generišu BlackICE agenti su vrlo specifična. Tekst poruka neće izazvati sumnju administratora u prirodu registrovanog događaja, au većini slučajeva i njegovu važnost. Osim toga, proizvod omogućava administratoru da prilagodi sadržaj vlastitih poruka upozorenja, ali do uglavnom To je nepotrebno.

Veoma korisno svojstvo Developments Network ICE, kao i Intruder Alert paket je mogućnost preuzimanja najnovijih potpisa hakerskih napada sa servera.

Pokušaji da se onemogući korporativni server, koji je kao rezultat toga primoran da na zahtjeve za uslugu odgovori uskraćivanjem usluge, prepun je prilično ozbiljne prijetnje poslovanju kompanija koje pružaju usluge svojim klijentima. globalna mreža... Suština napada se svodi na činjenicu da napadač generiše hiljade SYN zahteva (za uspostavljanje veze) upućenih napadnutom serveru. Svaki zahtjev se isporučuje s lažnom izvornom adresom, što znatno otežava precizno identifikovanje činjenice napada i pronalaženje napadača. Po prijemu drugog SYN zahtjeva, server to pretpostavlja dolazi na početku nove komunikacijske sesije i prelazi u stanje pripravnosti za prijenos podataka. Uprkos činjenici da se nakon toga ne primaju podaci, server mora čekati određeno vrijeme(maksimalno 45 s) prije prekida veze. Ako se nekoliko hiljada takvih lažnih zahtjeva pošalje na server u roku od nekoliko minuta, on će biti preopterećen, tako da jednostavno neće ostati resursa za obradu stvarnih zahtjeva za pružanje određene usluge. Drugim riječima, SYN napad bi rezultirao uskraćivanjem usluge za stvarne korisnike.

Svi opisani sistemi, sa izuzetkom eTrust detekcije upada kompanije Computer Associates, koriste model softverskih agenata, koji se prvo instaliraju na mrežne uređaje, a zatim prikupljaju informacije o potencijalnim napadima i šalju ih na konzolu. Agenti identifikuju prekršaje uspostavljene strategije zaštitu, a zatim generirati odgovarajuće poruke.

Sistemi bazirani na agentima su najbolje rješenje za komutirane mreže jer u takvim mrežama ne postoji jedinstvena tačka kroz koju nužno prolazi sav promet. Umjesto da nadgleda jednu vezu, agent prati sve pakete koje prima ili šalje uređaj na kojem je instaliran. Kao rezultat toga, napadači ne mogu sjediti iza prekidača.

To se može ilustrirati na primjeru proizvoda kompanije Network ICE. Programu BlackICE dodijeljena je uloga agenta koji je instaliran u potpuno autonomnom operativnom okruženju, na primjer, na računaru udaljenog korisnika ili na jednom od čvorova korporativne mreže podataka. Nakon što otkrije hakera koji napada udaljenu mašinu, agent će izdati upozorenje direktno na njegov ekran. Ako se sličan događaj otkrije u korporativnoj mreži, poruka o pokušaju neovlaštenog pristupa bit će poslana drugoj aplikaciji - ICEcap, koja sadrži alate za praćenje mreže. Potonji prikuplja i upoređuje informacije koje dolaze od raznih agenata koji su mu podređeni, a to mu omogućava da brzo identificira događaje koji stvarno ugrožavaju sigurnost mreže.

Nasuprot tome, eTrust se zasniva na centralizovanoj arhitekturi. Instalira se na centralnom mjestu i analizira promet u podređenom segmentu mreže. Nedostatak agenata ne dozvoljava ovom proizvodu da prati sve događaje u komutiranoj mreži, jer je nemoguće izabrati jednu "promatračnicu" u njoj, odakle bi cijela mreža bila vidljiva na prvi pogled.

CyberSafe-ov Intruder Alert i Centrax su više alati za izgradnju sopstveni sistem otkrivanje mrežnih napada. Da bi u potpunosti iskoristila svoje mogućnosti, organizacija mora imati odgovarajuće kvalifikovane programere u svom osoblju ili imati budžet za naručivanje takvog posla.

Uprkos činjenici da se svi opisani proizvodi lako instaliraju, upravljanje Intruder Alert i Centrax sistemima nije jednostavno. Na primjer, ako Centrax izda poruku upozorenja nepoznatog ili nedefiniranog sadržaja (a ova se situacija dogodila više puta u našim testovima), malo je vjerovatno da će administrator moći brzo utvrditi što se zapravo dogodilo, posebno ako se mora pozvati na fajlovi evidencije događaja za pojašnjavanje dijagnoze... Ovi fajlovi su iscrpni, međutim, programeri su, očigledno, odlučili da obična osoba treba samo da nagovesti šta se dešava, a priroda onoga što se dešava će biti nepogrešivo identifikovana. Dnevnici ovog sistema sadrže opise izdatih upozorenja, ali ne i identifikatore za njih. Administrator vidi adrese portova kojima su pripadali sumnjivi zahtjevi, niti parametre drugih operacija, ali ne dobija nikakvu informaciju o tome šta sve to može značiti.

Ova okolnost značajno umanjuje vrijednost poruka koje se šalju u realnom vremenu, jer je nemoguće odmah utvrditi da li opis događaja predstavlja stvarnu prijetnju sigurnosnom sistemu ili je to samo pokušaj da se izvrši detaljnija analiza saobraćaja. Drugim riječima, ima smisla kupiti ove proizvode samo ako vaša organizacija ima iskusne stručnjake za sigurnost informacija.

Softver za otkrivanje upada eTrust kompanije Computer Associates više je od sistema za praćenje mrežne aktivnosti i otkrivanje hakerskih napada. Ovaj proizvod može ne samo da dekodira pakete različitih protokola i servisnog saobraćaja, već i da ih presretne za naknadni izlaz na kontrolnu konzolu u originalni format... Sistem prati sav TSNR saobraćaj i upozorava administratora na slučajeve kršenja utvrđenih strategija informacione sigurnosti. Istina, ovaj razvoj ne podržava isti nivo detalja za skupove pravila kao Intruder Alert.

Međutim, otkrivanje pokušaja neovlaštenog pristupa i izdavanje poruka upozorenja samo je pola bitke. Softver zaštitnog zida mora zaustaviti akcije hakera i preduzeti protumjere. U tom smislu, najbolji utisak ostavljaju paketi Intruder Alert i Centrax, upravo oni koji su izazvali značajne kritike u pogledu podešavanja konfiguracije. Dok Network ICE programi i eTrustov softver trenutno zatvaraju prijeteće komunikacije, Intruder Alert i Centrax idu još dalje. Na primjer, aplikacija iz Axent Technologies može se konfigurirati na način da će pokrenuti jednu ili drugu batch datoteku ovisno o prirodi evidentiranih događaja, recimo, ponovno pokrenuti server koji je pretrpio napad uskraćivanja usluge.

Pošto sam odbio napad, želim odmah da pređem u kontraofanzivu. Black-ICE i Centrax aplikacije podržavaju tabele ID hakera. Ove tabele se popunjavaju nakon trasiranja sve do "brloge" u kojoj se krije neprijatelj. Mogućnosti softvera BlackICE je posebno impresivan kada je u pitanju prepoznavanje izvora napada, bilo unutar ili izvan mreže: uprkos brojnim pametnim manevrima, nikada nismo uspjeli ostati inkognito.

Ali eTrust sistem zadivljuje stepenom prodiranja u prirodu aktivnosti svakog korisnika mreže, koji često ni ne sumnja da je pod strogim nadzorom. Istovremeno, ovaj paket pruža najpotpunije (i, možda, najtačnije) informacije o napadačima, čak i o tome gdje se nalaze.

Aplikacija Centrax je sposobna da kreira takozvane mamce, dajući sekundarnoj datoteci smisleno ime kao što je "Vedomosti.xls" i na taj način dovodi u zabludu previše radoznale korisnike. Takav algoritam nam se čini isuviše jednostavan, ali može i dobro obaviti posao: uz njegovu pomoć moguće je "uhvatiti" zaposlenike kako "češljaju" korporativnu mrežu kako bi identificirali povjerljive informacije.

Svaki od pregledanih softverskih proizvoda generiše izvještaje o sumnjivim slučajevima mrežne aktivnosti. Visoka kvaliteta ICEcap i eTrust aplikacije za otkrivanje upada ističu se po takvim izvještajima i praktičnosti rada s njima. Potonji paket je posebno fleksibilan, možda zato što dolazi iz dekodera protokola. Konkretno, administrator može analizirati mrežne događaje u smislu pojedinačnih resursa, bilo da su protokoli, klijentske stanice ili serveri. ETrust nudi mnoge unaprijed dizajnirane formate izvještaja. Njihova dobro osmišljena struktura uvelike olakšava otkrivanje uljeza i omogućava im da kažnjavaju krive korisnike.

Svaki proizvod ima svoje prednosti i mane, pa se može preporučiti samo kao rješenja specifične zadatke... Kada je u pitanju osiguranje komutiranih mreža, Network ICE, Axent Technologies i CyberSafe su dobar izbor. ETrust Intrusion Detection je idealan za rano obavještavanje o kršenju poslovne etike, kao što je korištenje vulgarnih riječi u porukama e-pošte. Intruder Alert i Centrax su odlični alati za konsultante za sigurnost i organizacije sa profesionalnom radnom snagom. Međutim, za one kompanije koje ne mogu priuštiti korištenje usluga visoko plaćenih stručnjaka, preporučujemo instaliranje Network ICE proizvoda. Ove aplikacije će zamijeniti pravog stručnjaka mrežna zaštita bilo bolje još jedan sistem od onih koji su nam ikada zapeli za oko.

Prvi sistemi za otkrivanje sumnjivih mrežna aktivnost u korporativnim intranetima, pojavio se prije skoro 30 godina. Možete se prisjetiti, na primjer, MIDAS sistema, razvijenog 1988. godine. Međutim, to je više bio prototip.

Prepreka stvaranju kompletnih sistema ove klase dugo vrijeme postojala je slaba računarska snaga mejnstrim računarskih platformi, a istinski funkcionalna rešenja predstavljena su tek 10 godina kasnije. Nešto kasnije, prvi komercijalni uzorci sistema za otkrivanje upada (IDS, ili IDS - Intrusion Detection Systems) izašli su na tržište...

Danas je zadatak otkrivanja mrežnih napada jedan od najvažnijih. Njegova važnost je porasla zbog sve veće složenosti kako metoda napada, tako i topologije i sastava modernih intraneta. Dok je ranije napadačima bilo dovoljno da koriste poznatu eksploataciju da izvedu uspješan napad, sada pribjegavaju mnogo sofisticiranijim metodama, takmičeći se u kvalifikacijama sa specijalistima na strani odbrane.

Savremeni zahtjevi za IDS

Sistemi za otkrivanje upada registrovani u ruskom softverskom registru uglavnom koriste metode zasnovane na potpisima. Ili deklarišu definiciju anomalija, ali analitičar, kao maksimum, operiše podacima koji nisu detaljniji od vrste protokola. Pluton je zasnovan na dubinska analiza softverske definicije paketa. "Pluton" superponira podatke primljenog paketa na specifičnosti podataka domaćina - preciznija i fleksibilnija analitika.

Ranije su površinske analize i metode zasnovane na potpisima uspješno obavljale svoje funkcije (tada su napadači pokušali da iskoriste već poznate ranjivosti softvera). Ali u savremenim uslovima, napadi se mogu razvući u vremenu (tzv. APT), kada je njihov promet maskiran enkripcijom i zamagljivanjem (obfuscation), tada su metode potpisa neefikasne. Osim toga, moderni napadi koriste Različiti putevi zaobići IDS.

Kao rezultat toga, rad uključen u konfigurisanje i održavanje tradicionalnih sistema za otkrivanje upada može premašiti razumne granice, a često poslovanje smatra da je ovo samo gubljenje resursa. Kao rezultat toga, IDS postoji formalno, obavljajući samo zadatak prisutnosti, a informacioni sistemi preduzeća ostaju bespomoćni. Ova situacija je opterećena još većim gubicima.

IDS sljedeće generacije

SOV PAC "Pluton", razvijen od strane Jet Infosystems, je kompleks visokih performansi nove generacije za otkrivanje mrežnih napada. Za razliku od tradicionalnog IDS-a, Pluton kombinuje istovremenu analizu mrežnih paketa koristeći signaturne i heurističke metode sa očuvanjem podataka o okolini, pruža duboku analitiku i proširenje skupa podataka za istraživanje. Najbolje prakse za identifikaciju potencijalnih pretnji, dopunjene istorijskim podacima o umreženo okruženje, saobraćaja, kao i sistemske evidencije, čine "Pluton" važan element sistemi zaštite informacija preduzeća. Sistem je u stanju da otkrije znakove kompjuterski napadi i anomalije u ponašanju mrežnih čvorova u komunikacijskim kanalima sa propusnim opsegom većim od 1 Gbit/s.

Pored otkrivanja znakova kompjuterskih napada na informacione sisteme, Pluton obezbeđuje ozbiljnu zaštitu sopstvenih komponenti, kao i zaštitu komunikacionih kanala: u slučaju kvara opreme, veza neće biti prekinuta. Sve komponente Plutona rade u zatvorenom softverskom okruženju - to čini nemoguće lansiranje vani programski kod i služi kao dodatna garancija protiv infekcije malware... Stoga, možete biti sigurni da Pluton neće postati "prozor" za uljeze u vašu mrežu i neće se pretvoriti u "glavobolju" za mrežne ljude i osoblje sigurnosti.

"Pluton" pažljivo prati svoje "zdravlje", prateći integritet konfiguracije komponenti sistema, podatke o prikupljenim događajima sigurnosti informacija o mreži i mrežnom saobraćaju. Time se osigurava ispravan rad komponenti sistema i, shodno tome, stabilnost njegovog rada. A korištenje posebnih mrežnih kartica kao dio komponenti rješenja eliminira kvar komunikacijskih kanala čak i u slučaju potpunog kvara opreme ili nestanka struje.

Uzimajući u obzir složenost implementacije sistema za detekciju upada, kao i stalno povećanje propusni opseg komunikacionih kanala, obezbedili smo mogućnost fleksibilnog horizontalnog skaliranja složenih komponenti. Ako bude potrebno priključiti dodatne mrežne senzore na sistem, to će biti dovoljno za instalaciju dodatni server upravljanje, povezujući ga u klaster sa postojećim. U ovom slučaju, računarska snaga oba servera će biti logički kombinovana u jedan resurs. Stoga povećanje performansi sistema postaje vrlo jednostavan zadatak. Osim toga, sistem ima arhitekturu otpornu na greške: u slučaju kvara jedne od komponenti, tok događaja se automatski preusmjerava na redundantne komponente klastera.

U srcu Plutona je naše više od 20 godina iskustva u postavljanju i radu složenih odbrambenih sistema. Mi znamo najviše česti problemi kupaca i nedostatke savremenih rješenja IDS klase. Naša stručnost nam je omogućila da identifikujemo najhitnije zadatke i pomogla da pronađemo najbolje načine za njihovo rješavanje.

U ovom trenutku, kompleks Pluton se certificira u smislu zahtjeva za sisteme detekcije upada na nivou mreže (2. klasa zaštite) i odsustva neprijavljenih mogućnosti (2. nivo kontrole).

Pluton funkcije:

Otkrivanje znakova računalnih napada u mrežnom prometu, uključujući one raspoređene u vremenu, korištenjem signaturnih i heurističkih metoda;

Praćenje anomalne aktivnosti mrežnih čvorova i utvrđivanje znakova kršenja korporativne sigurnosne politike;

... akumulacija i skladištenje:

- retrospektivne podatke o detektovanim događajima sigurnosti informacija sa konfigurabilnom dubinom skladištenja;

- informacije o inventaru mrežnih čvorova (profil hosta);

- informacije o mrežnim komunikacijama čvorova, uključujući statistiku potrošnje saobraćaja (od mreže do sloja aplikacije prema OSI modelu);

- metapodaci o datotekama koje se prenose između mrežnih čvorova;

Prijenos rezultata analize mrežni promet na sisteme eksterne zaštite radi poboljšanja efikasnosti otkrivanja incidenata u informacionoj bezbednosti različitih vrsta;

Pružanje baze dokaza o činjenicama kompjuterskih napada i mrežnih komunikacija za istragu incidenta.

Procedura za otkrivanje mrežnih napada.

1. Klasifikacija mrežnih napada

1.1. Sniffers paketa

Sniffer paketa je aplikacijski program koji koristi mrežnu karticu koja radi u promiskuitetnom načinu ( u ovom modu, svi paketi primljeni preko fizičkih kanala, mrežni adapteršalje aplikaciji na obradu). Istovremeno, njuškalo presreće sve mrežne pakete koji se prenose kroz određeni domen.

1.2. IP lažiranje

IP lažiranje se događa kada se haker, bilo unutar ili izvan sistema, lažno predstavlja kao ovlašteni korisnik. Ovo se može uraditi na dva načina. Prvo, haker može koristiti IP adresu koja je unutar opsega ovlaštenih IP adresa ili ovlaštenu eksternu adresu kojoj je dozvoljen pristup određenim mrežnim resursima. Napadi lažiranja IP-a često su početna tačka za druge napade. Klasičan primjer je DoS napad koji počinje tuđom adresom koja skriva pravi identitet hakera.

Tipično, IP lažiranje je ograničeno na umetanje lažnih informacija ili zlonamjernih naredbi u normalan tok podataka između klijentskih i serverskih aplikacija ili ravnopravne komunikacije. Za dvosmjernu komunikaciju, haker mora modificirati sve tablice rutiranja kako bi usmjerio promet na lažnu IP adresu. Neki hakeri, međutim, ni ne pokušavaju dobiti odgovor od aplikacija. Ako je glavni zadatak dobiti važnu datoteku iz sistema, odgovori aplikacija nisu bitni.

Ako haker uspije promijeniti tabele rutiranja i usmjeriti promet na lažnu IP adresu, haker će primiti sve pakete i može odgovoriti na njih kao da je ovlašteni korisnik.

1.3. Uskraćivanje usluge ( Uskraćivanje usluge - DoS)

DoS je najpoznatiji oblik hakerskih napada. Protiv ove vrste napada najteže je stvoriti stopostotnu odbranu.

Najpoznatije vrste DoS-a:

• TCP SYN Flood Ping of Death Tribe Flood Network ( TFN);
• Tribe Flood Network 2000 ( TFN2K);
• Trinco;
• Stacheldracht;
• Trinity.

DoS napadi se razlikuju od drugih vrsta napada. Oni nemaju za cilj pristup mreži ili primanje bilo kakvih informacija od te mreže. DoS napad čini mrežu nedostupnom za normalnu upotrebu prekoračenjem prihvatljivih ograničenja mreže, operativnog sistema ili aplikacije.

U slučaju korištenja nekih serverskih aplikacija (kao što je web server ili FTP server) DoS napadi se mogu sastojati od preuzimanja svih veza dostupnih ovim aplikacijama i njihovog držanja zauzetim, sprječavajući obične korisnike da posluže. DoS napadi mogu koristiti uobičajene internet protokole kao što su TCP i ICMP ( Internet Control Message Protocol). Većina DoS napada se ne oslanja na softverske greške ili proboj sigurnosti, već opća slabost u arhitekturi sistema. Neki napadi poništavaju performanse mreže preplavljujući mrežu neželjenim i nepotrebnim paketima ili prijavljivanjem lažne informacije o trenutnom stanju mrežnih resursa. Ovu vrstu napada je teško spriječiti jer zahtijeva koordinaciju sa provajderom. Ako se promet koji je namijenjen za prelijevanje vaše mreže ne može zaustaviti kod provajdera, tada na ulazu u mrežu to više nećete moći, jer će cijela propusnost biti zauzeta. Kada se ova vrsta napada izvodi istovremeno preko više uređaja, napad je distribuirani DoS ( DDoS - distribuirani DoS).

1.4. Napadi lozinkom

Hakeri mogu izvršiti napade lozinkom koristeći različite tehnike, kao što je napad grubom silom ( napad grubom silom), trojanski konj, IP lažiranje i njuškanje paketa. Iako se prijava i lozinka često mogu dobiti putem IP lažiranja i njuškanja paketa, hakeri često pokušavaju pogoditi lozinku i prijavu koristeći višestruke pokušaje pristupa. Ovaj pristup se naziva jednostavno nabrajanje (napad grubom silom). Često se koristi za takav napad poseban program koji pokušava pristupiti resursu zajednička upotreba (na primjer serveru). Ako, kao rezultat, haker dobije pristup resursima, on će to učiniti kako treba redovni korisnikčija je lozinka izabrana. Ako ovaj korisnik ima značajne pristupne privilegije, haker može sebi kreirati "pass" za budući pristup, koji će važiti čak i ako korisnik promijeni lozinku i login.

Drugi problem nastaje kada korisnici primjenjuju isto ( čak i veoma dobro) lozinka za pristup mnogim sistemima: korporativnim, ličnim i Internet sistemima. Pošto je jačina lozinke jednaka snazi ​​najslabijeg hosta, haker koji nauči lozinku preko tog hosta dobija pristup svim drugim sistemima gde se koristi ista lozinka.

1.5. Čovjek u sredini napada

Za napad Man-in-the-Middle, hakeru je potreban pristup paketima na mreži. Takav pristup svim paketima prenesenim od provajdera u bilo koju drugu mrežu može, na primjer, dobiti zaposlenik ovog provajdera. Sniffers paketa, transportni protokoli i protokoli rutiranja se često koriste za napade ovog tipa. Napadi se sprovode u cilju krađe informacija, presretanja trenutne sesije i pristupa privatnim mrežnim resursima, radi analize prometa i pribavljanja informacija o mreži i njenim korisnicima, izvođenja DoS napada, iskrivljavanja prenesenih podataka i unošenja neovlaštenih informacija u mrežne sesije.

1.6. Napadi na sloj aplikacija

Napadi na sloju aplikacije mogu se izvesti na nekoliko načina. Najčešći od njih je iskorištavanje slabosti serverskog softvera ( sendmail, HTTP, FTP). Koristeći ove slabosti, hakeri mogu dobiti pristup računaru u ime korisnika koji pokreće aplikaciju ( obično ovo nije jednostavan korisnik, već privilegovani administrator sa pravima pristupa sistemu). Napadi na nivou aplikacije su široko objavljeni kako bi se omogućilo administratorima da isprave problem pomoću modula za popravku ( zakrpe). Glavni problem sa napadima na sloju aplikacije je taj što oni često koriste portove kojima je dozvoljeno da prođu kroz zaštitni zid. Na primjer, haker koji iskorištava poznatu slabost web servera često u napadu koristi TCP port 80. Pošto web server korisnicima pruža web stranice, zaštitni zid mora omogućiti pristup tom portu. Sa stanovišta firewall-a, napad se tretira kao standardni promet za port 80.

1.7. Mrežna inteligencija

Mrežna inteligencija je prikupljanje informacija o mreži koristeći javno dostupne podatke i aplikacije. Kada priprema napad na mrežu, haker po pravilu pokušava da dobije što više informacija o njoj. više informacija... Mrežno izviđanje se vrši u obliku DNS upita, ping pregleda i skeniranja portova. DNS upiti pomaže da se shvati ko je vlasnik određene domene i koje adrese su dodeljene ovoj domeni. Eho testiranje ( ping sweep) adrese objavljene iz koristeći DNS, omogućava vam da vidite koji hostovi stvarno rade u datom okruženju. Nakon što dobije listu hostova, haker koristi alate za skeniranje portova da sastavi kompletnu listu usluga koje podržavaju ti hostovi. Konačno, haker analizira karakteristike aplikacija koje rade na hostovima. Kao rezultat, dobijaju se informacije koje se mogu koristiti za hakiranje.

1.8. Zloupotreba povjerenja

Ova vrsta akcije nije "napad" ili "Olujom"... To je zlonamjerna upotreba odnosa povjerenja koji postoje na mreži. Primjer je sistem instaliran izvan zaštitnog zida koji ima odnos povjerenja sa sistemom instaliranim sa njegovog unutra... U slučaju hakovanja eksterni sistem, haker može koristiti odnos povjerenja da provali u sistem zaštićen zaštitnim zidom.

1.9. Port forwarding

Prosljeđivanje portova je oblik zloupotrebe povjerenja u kojem se kompromitovani host koristi za propuštanje saobraćaja kroz zaštitni zid koji bi inače bio odbijen. Primjer aplikacije koja može pružiti ovaj pristup je netcat.

1.10. Neovlašteni pristup

Neovlašteni pristup se ne može smatrati poseban tip napada. Većina mrežnih napada se izvodi kako bi se dobio neovlašteni pristup. Da bi pokupio telnet login, haker prvo mora dobiti telnet prompt na svom sistemu. Nakon povezivanja na telnet port, na ekranu se pojavljuje poruka « potrebna autorizacija koristiti ovaj resurs " (za korištenje ovih resursa potrebna vam je autorizacija). Ako nakon toga haker nastavi pokušavati pristupiti, oni će biti uzeti u obzir "Neovlašteno"... Izvor takvih napada može se nalaziti i unutar mreže i izvan nje.

1.11. Virusi i aplikacije poput "Trojanski konj"

Klijentske radne stanice su vrlo osjetljive na viruse i Trojanski konji. "Trojanski konj" Nije softverski taster, ali pravi programšto izgleda korisna aplikacija, ali u stvari igra štetnu ulogu.

2. Metode suprotstavljanja mrežnim napadima

2.1. Prijetnju njuškanja paketa možete ublažiti korištenjem sljedećih alata:

2.1.1. Autentifikacija - Jaka sredstva Autentifikacija je prvi način zaštite od njuškanja paketa. Ispod "jako" razumijemo metodu provjere autentičnosti koju je teško zaobići. Jednokratne lozinke ( OTP - jednokratne lozinke). OTP je tehnologija dvofaktorske autentifikacije koja kombinuje ono što imate sa onim što znate. Ispod "kartice" ( token) znači hardver ili softver koji generiše ( nasumično) jedinstvena jednokratna jednokratna lozinka. Ako haker sazna ovu lozinku pomoću njuškala, ova informacija će biti beskorisna, jer će u tom trenutku lozinka već biti korištena i povučena iz upotrebe. Ova metoda protiv njuškanja efikasna je samo protiv presretanja lozinki.

2.1.2. Komutirana infrastruktura – Drugi način za borbu protiv njuškanja paketa u mrežnom okruženju je izgradnja komutirane infrastrukture tako da hakeri mogu pristupiti prometu samo na portu na koji su povezani. Komutirana infrastruktura ne eliminira prijetnju njuškanja, ali značajno smanjuje njenu ozbiljnost.

2.1.3. Anti-sniffers – Treći način borbe protiv njuškanja je instaliranje hardvera ili softvera za prepoznavanje njuškala koji rade na vašoj mreži. Ova sredstva ne mogu u potpunosti otkloniti prijetnju, ali kao i mnoga druga sredstva mrežna sigurnost, oni su uključeni u zajednički sistem zaštita. Takozvani Anti-snjuffers izmjerite odziv hostova i odredite da li hostovi moraju obraditi "ekstra" saobraćaja.

2.1.4. Kriptografija - Najviše efikasan metod borba protiv njuškanja paketa ne sprečava prisluškivanje i ne prepoznaje rad njuškača, ali čini ovaj posao beskorisnim. Ako je komunikacijski kanal kriptografski siguran, to znači da haker ne presreće poruku, već šifrirani tekst (tj. nerazumljiv niz bitova).

2.2. Prijetnja lažiranja se može ublažiti ( ali ne i eliminirati) koristeći sljedeće mjere:

2.2.1. Kontrola pristupa – Najlakši način da spriječite lažiranje IP-a je da ispravno podešavanje kontrole pristupa. Da bi se smanjila efikasnost lažiranja IP-a, kontrola pristupa je konfigurisana da prekine svaki saobraćaj koji dolazi eksternu mrežu sa izvornom adresom koja se mora nalaziti unutar vaše mreže. Ovo pomaže u borbi protiv lažiranja IP-a kada su ovlaštene samo interne adrese. Ako su neke vanjske mrežne adrese također ovlaštene, ovu metodu postaje neefikasna.

2.2.2. RFC 2827 filtriranje - suzbijanje pokušaja lažiranja mreža drugih ljudi od strane korisnika korporativne mreže. Za to je potrebno odbiti bilo koje odlaznog saobraćajačija izvorna adresa nije jedna od IP adresa Banke. Ovu vrstu filtriranja, poznatu kao "RFC 2827", također može izvršiti provajder ( ISP). Kao rezultat, sav promet koji nema izvornu adresu koja se očekuje na određenom sučelju se odbacuje.

2.2.3. Većina efikasan metod borba protiv IP lažiranja je ista kao iu slučaju njuškanja paketa: potrebno je učiniti napad potpuno neefikasnim. IP lažiranje može funkcionirati samo ako je autentifikacija zasnovana na IP adresama. Stoga, uvođenje dodatnih metoda provjere autentičnosti čini ovu vrstu napada beskorisnom. Najbolji pogled dodatna autentifikacija je kriptografski. Ako nije moguće dobri rezultati može dati dvofaktorsku autentifikaciju koristeći jednokratne lozinke.

2.3. Prijetnja od DoS napada može se ublažiti na sljedeće načine:

2.3.1. Funkcije protiv lažiranja - Pravilna konfiguracija funkcija protiv lažiranja na vašim ruterima i zaštitnim zidovima pomoći će u smanjenju rizika od DoS-a. U najmanju ruku, ove karakteristike bi trebale uključivati ​​filtriranje RFC 2827. Osim ako haker ne može prikriti svoj pravi identitet, malo je vjerovatno da će pokrenuti napad.

2.3.2. Anti-DoS karakteristike - Pravilna konfiguracija anti-DoS funkcija na ruterima i zaštitnim zidovima može ograničiti efikasnost napada. Ove funkcije ograničavaju broj poluotvorenih kanala u bilo kojem trenutku.

2.3.3. Ograničavanje obima saobraćaja ( ograničavanje brzine saobraćaja) - ugovor sa provajderom ( ISP) o ograničavanju količine saobraćaja. Ova vrsta filtriranja vam omogućava da ograničite količinu nekritičnog saobraćaja koji prolazi kroz mrežu. Uobičajeni primjer je ograničavanje količine ICMP prometa koji se koristi samo u dijagnostičke svrhe. Napadi ( D) ICMP često koristi DoS.

2.3.4. Blokiranje IP adresa - nakon analize DoS napadi i identifikujte opseg IP adresa sa kojih se vrši napad, kontaktirajte provajdera da ih blokira.

2.4. Napadi lozinkom se mogu izbjeći ako se lozinke ne koriste u običnom tekstu. Jednokratne lozinke i/ili kriptografska autentifikacija može praktično negirati prijetnju takvih napada. Ne podržavaju sve aplikacije, hostovi i uređaji gore navedene metode provjere autentičnosti.

Kada koristite obične lozinke, morate smisliti lozinku koju bi bilo teško pogoditi. Minimalna dužina lozinke mora biti najmanje osam znakova. Lozinka mora sadržavati velika slova, brojeve i Posebni simboli (#,%, $, itd.). Najbolje lozinke teško pogoditi i teško zapamtiti, prisiljavajući korisnike da zapišu lozinke na papir.

2.5. Napadi čovjeka u sredini mogu se efikasno suzbiti samo uz pomoć kriptografije. Ako haker presretne podatke šifrirane sesije, na njegovom ekranu neće se pojaviti presretnuta poruka, već besmislen skup znakova. Imajte na umu da ako haker dobije informacije o kriptografskoj sesiji ( na primjer ključ sesije), ovo može učiniti napad Man-in-the-Middle mogućim čak iu šifrovanom okruženju.

2.6. Napadi na sloju aplikacije ne mogu se u potpunosti isključiti. Hakeri neprestano otkrivaju i objavljuju nove ranjivosti na internetu aplikativni programi... Najvažnija stvar je dobra sistemska administracija.

Mjere koje se mogu poduzeti za smanjenje ranjivosti na ovu vrstu napada:

• čitanje i/ili analiza log datoteka operativnog sistema i mrežnih log datoteka pomoću posebnih analitičkih aplikacija;
• pravovremeno ažuriranje verzija operativnih sistema i aplikacija i instalacija najnovijih modula za korekciju ( zakrpe);
• korišćenje sistema za prepoznavanje napada ( IDS).

2.7. Nemoguće je potpuno se riješiti mrežne inteligencije. Ako isključite ICMP eho i eho odgovor na perifernim ruterima, ne morate pingovati, ali gubite podatke koji su vam potrebni za dijagnosticiranje kvarova na mreži. Osim toga, možete skenirati portove bez prethodnog pingovanja. Samo će potrajati duže, jer ćete morati skenirati i nepostojeće IP adrese. IDS sistemi na nivou mreže i hosta obično dobro obavljaju posao obavještavanja administratora o trenutnoj mrežnoj inteligenciji, što vam omogućava da se bolje pripremite za predstojeći napad i upozorite ISP-a ( ISP), na čijoj mreži je instaliran sistem koji pokazuje pretjeranu radoznalost.

2.8. Rizik od povrede povjerenja može se ublažiti strožom kontrolom nivoa povjerenja unutar vaše mreže. Sistemima izvan zaštitnog zida nikada ne bi trebalo u potpunosti vjerovati sistemima koji su zaštićeni zaštitnim zidom. Odnosi povjerenja bi trebali biti ograničeni na određene protokole i, ako je moguće, autentificirani ne samo IP adresama, već i drugim parametrima.

2.9. Primarni način rješavanja prosljeđivanja portova je korištenje modela snažnog povjerenja ( vidi tačku 2.8 ). Osim toga, spriječite hakera da instalira svoj vlastiti softvera može ugostiti IDS ( HIDS).

2.10. Načini za rješavanje neovlašćeni pristup su prilično jednostavne. Ovdje je glavna stvar smanjiti ili potpuno eliminirati hakerovu sposobnost da pristupi sistemu korištenjem neovlaštenog protokola. Kao primjer, razmotrite sprječavanje hakera da pristupe telnet portu na serveru koji pruža Web usluge vanjskim korisnicima. Bez pristupa ovom portu, haker ga ne može napasti. Što se tiče firewall-a, njegov glavni zadatak je spriječiti najjednostavnije pokušaje neovlaštenog pristupa.

2.11. Borba protiv virusa i trojanskih konja odvija se uz pomoć efikasnog antivirusnog softvera koji radi na nivou korisnika i na nivou mreže. Antivirusni alati otkrivaju i zaustavljaju većinu virusa i trojanskih konja.

3. Algoritam radnji prilikom otkrivanja mrežnih napada

3.1. Većina mrežnih napada blokirana je automatski instaliranim alatima za zaštitu informacija ( zaštitni zidovi, pouzdani alati za pokretanje, mrežni ruteri, antivirusni alati itd.).

3.2. Napadi koji zahtijevaju intervenciju osoblja kako bi se blokirali ili ublažila težina posljedica uključuju DoS napade.

3.2.1. DoS napadi se otkrivaju analizom mrežnog saobraćaja. Početak napada karakteriše „ čekićem»Komunikacijski kanali koji koriste pakete koji zahtijevaju velike resurse s lažnim adresama. Takav napad na web stranicu internet bankarstva komplikuje pristup legitimnim korisnicima i web resurs može postati nedostupan.

3.2.2. Ako se otkrije napad, administrator sistema poduzima sljedeće radnje:

• ručno prebacuje ruter na rezervni kanal i obrnuto kako bi se identifikovao manje opterećen kanal (kanal sa širim propusnim opsegom);
• otkriva raspon IP adresa sa kojih se vrši napad;
• šalje zahtjev provajderu da blokira IP adrese iz navedenog raspona.

3.3. DoS napad se obično koristi za maskiranje uspješnog napada na klijentove resurse kako bi se otežao otkrivanje. Stoga je prilikom otkrivanja DoS napada potrebno analizirati najnovije transakcije kako bi se identifikovale neobične operacije, blokirale ih (ako je moguće), kontaktirali klijente putem alternativnog kanala radi potvrde transakcija.

3.4. U slučaju prijema informacija od klijenta o nedozvoljenim radnjama, evidentiraju se svi raspoloživi dokazi, vrši se interna istraga i podnosi prijava sprovođenje zakona.

Skinuti ZIP fajl (24151)

Dokumenti su dobro došli - stavite "like":

Glavna svrha ovog programa je otkrivanje hakerskih napada. Kao što znate, prva faza većine hakerskih napada je mrežni inventar i skeniranje portova na otkrivenim hostovima. Skeniranje portova pomaže u određivanju tipa operativnog sistema i otkrivanju potencijalno ranjivih usluga (na primjer, pošta ili WEB server). Nakon skeniranja portova, mnogi skeneri određuju tip usluge slanjem testnih zahtjeva i analizom odgovora servera. APS uslužni program obavlja razmjenu s napadačem i omogućava vam da nedvosmisleno identificirate činjenicu napada.

Osim toga, svrha uslužnog programa je:

• otkrivanje raznih vrsta napada (prvenstveno skeniranje portova i identifikacija servisa) i pojavljivanje programa na mreži i mrežni crvi(u APS bazi podataka postoji više od stotinu portova koje koriste crvi i Backdoor komponente);
• testiranje skenera portova i mrežne sigurnosti (da biste provjerili rad skenera, potrebno je pokrenuti APS na probnom računaru i izvršiti skeniranje portova - pomoću APS protokola lako je ustanoviti koje će provjere skener izvršiti i kojim redoslijedom) ;
• testiranje i operativna kontrola nad radom Firewall-a - u ovom slučaju, APS uslužni program se pokreće na računaru sa instaliranim Firewall-om i vrši se skeniranje portova i (ili drugi napadi) na PC. Ako APS izda alarm, onda je to signal da Firewall ne radi ili pogrešno podešavanje... APS se može stalno pokretati iza računara zaštićenog zaštitnim zidom kako bi se pratilo ispravno funkcionisanje zaštitnog zida u realnom vremenu;
• blokiranje rada mrežnih crva i Backdoor modula i njihovo otkrivanje - princip detekcije i blokiranja zasniva se na činjenici da se jedan te isti port može otvoriti za slušanje samo jednom. Stoga će otvaranje portova koje koriste Trojanci i Backdoor programi prije pokretanja ometati njihov rad, a nakon pokretanja dovest će do otkrivanja da drugi program koristi port;
• testiranje anti-trojanaca i programa, IDS sistema - APS baza podataka sadrži više od stotinu portova najčešćih trojanaca. Neki anti-trojanski alati imaju mogućnost da skeniraju portove ciljnog računara (ili da naprave listu portova za slušanje bez skeniranja pomoću Windows API) - takva sredstva trebaju prijaviti sumnju na prisustvo Trojanci(sa listom "sumnjivih" portova) - rezultirajuća lista se može lako uporediti sa listom portova u APS bazi podataka i izvući zaključke o pouzdanosti korištenog alata.

Princip rada programa zasniva se na slušanju portova opisanih u bazi podataka. Baza podataka portova se stalno ažurira. Baza podataka sadrži kratak opis svakog porta - kratki opisi sadrže ili nazive virusa koji koriste port, ili naziv standardne usluge kojoj ovaj port odgovara. Kada se otkrije pokušaj povezivanja na port za slušanje, program bilježi činjenicu povezivanja u protokol, analizira podatke primljene nakon povezivanja i za neke usluge prenosi tzv. prava usluga nakon povezivanja.