Problemi sigurnosti IP mreže

Analiza prijetnji po sigurnost mreže.

Za organizaciju komunikacija u heterogenom mrežnom okruženju koristi se skup TCP/IP protokola koji osigurava kompatibilnost između računala različitih tipova. Kompatibilnost je jedna od glavnih prednosti TCP/IP, zbog čega većina računarskih mreža podržava ove protokole. Osim toga, TCP/IP protokoli omogućavaju pristup resursima globalnog Interneta.

Zbog svoje popularnosti, TCP/IP je postao de facto standard za umrežavanje. Međutim, sveprisutnost steka TCP/IP protokola također je otkrila njegove slabosti. Kada su stvarali svoju zamisao, arhitekti TCP/IP steka nisu vidjeli razlog da se previše brinu o zaštiti mreža izgrađenih na njemu. Stoga su specifikacijama ranih verzija IP protokola nedostajali sigurnosni zahtjevi, što je dovelo do početne ranjivosti njegove implementacije.

Brzi rast popularnosti internet tehnologija praćen je porastom ozbiljnih prijetnji otkrivanjem ličnih podataka, kritičnih korporativnih resursa, državnih tajni itd.

Svakodnevno hakeri i drugi uljezi prijete mrežnim informacijskim resursima, pokušavajući im pristupiti posebnim napadima. Ovi napadi postaju sve sofisticiraniji i lakši za izvođenje. Dva glavna faktora doprinose tome.

Prvo, to je sveprisutan prodor Interneta. Danas su milioni računara povezani na ovu mrežu. Sa mnogo miliona računara povezanih na Internet u bliskoj budućnosti, šanse da hakeri dobiju pristup ranjivim računarima i računarskim mrežama se stalno povećavaju. Osim toga, široka upotreba interneta omogućava hakerima da dijele informacije na globalnom nivou.

Drugi je sveprisutnost operativnih sistema i razvojnih okruženja lakih za upotrebu. Ovaj faktor naglo smanjuje zahtjeve za nivoom znanja napadača. Ranije je hakeru bilo potrebno dobro znanje i vještine programiranja kako bi kreirao i distribuirao zlonamjerni softver. Sada, da biste pristupili hakerskom alatu, potrebno je samo znati IP adresu željenog sajta, a da biste izvršili napad, samo kliknite mišem.

Problemi osiguranja informacione sigurnosti u korporativnim računarskim mrežama nastaju zbog sigurnosnih prijetnji lokalnim radnim stanicama, lokalnim mrežama i napada na korporativne mreže koje imaju pristup javnim mrežama podataka.

Mrežni napadi su različiti koliko i sistemi na koje ciljaju. Neki napadi su veoma teški. Druge je sposoban da izvrši običan operater, a da ni ne slute kakve posledice može imati njegova aktivnost.

Uljez, izvodeći napad, obično sebi postavlja sljedeće ciljeve:

v kršenje povjerljivosti prenesenih informacija;

v kršenje integriteta i pouzdanosti prenesenih informacija;

v poremećaj sistema u cjelini ili njegovih pojedinačnih dijelova.

Sa sigurnosne tačke gledišta, distribuirane sisteme karakteriše prvenstveno prisustvo daljinski napadi , budući da komponente distribuiranih sistema obično koriste otvorene kanale za prenos podataka i uljez može ne samo pasivno slušati prenete informacije, već i modificirati preneseni promet (aktivni uticaj). A ako se aktivni uticaj na saobraćaj može zabilježiti, onda se pasivni utjecaj praktično ne može otkriti. Ali kako se u toku funkcionisanja distribuiranih sistema razmena servisnih informacija između komponenti sistema odvija i putem otvorenih kanala prenosa podataka, servisne informacije postaju isti predmet napada kao i korisnički podaci.

Teškoća otkrivanja činjenice napada na daljinu dovodi ovu vrstu nezakonitih radnji na prvo mjesto po stepenu opasnosti, jer onemogućava pravovremeno reagovanje na prijetnju, uslijed čega napadač ima povećane šanse da uspešno sproveo napad.

Sigurnost lokalne mreže, u poređenju sa sigurnošću umrežavanja, razlikuje se po tome što je u ovom slučaju na prvom mjestu po važnosti registrovanih kršenja korisnika , budući da se, generalno, kanali za prenos podataka lokalne mreže nalaze u kontrolisanom području i zaštita od neovlašćenog povezivanja na njih se sprovodi administrativnim metodama.

U praksi, IP mreže su ranjive na brojne metode neovlaštenog upada u komunikacijski proces. Sa razvojem kompjuterskih i mrežnih tehnologija (na primjer, s pojavom mobilnih Java aplikacija i ActiveX kontrola), lista mogućih vrsta mrežnih napada na IP mreže se stalno širi [Galitsky A.V., Ryabko S.D., Shangin V.F. Zaštita informacija u mreži - analiza tehnologija i sinteza rješenja. Moskva: DMK Press, 2004].

Razmotrite najčešće vrste mrežnih napada.

prisluškivanje (njuškanje). Podaci se većinom prenose preko računarskih mreža u nezaštićenom formatu (čist tekst), što omogućava napadaču koji dobije pristup linijama podataka na vašoj mreži da prisluškuje ili čita promet. koristi se za prisluškivanje kompjuterskih mreža. njuškalo. Sniffer paketa je aplikativni program koji presreće sve mrežne pakete koji se prenose kroz određenu domenu.

Trenutno njuškari rade u mrežama na potpuno legalnoj osnovi. Koriste se za otklanjanje problema i analizu saobraćaja. Međutim, zbog činjenice da neke mrežne aplikacije prenose podatke u tekstualnom formatu (Telnet, FTP, SMTP, POP3, itd.), korištenje sniffera može otkriti korisne, a ponekad i povjerljive informacije (na primjer, korisnička imena i lozinke).

Njuškanje lozinke koji se prenosi preko mreže u nešifrovanom obliku "prisluškivanjem" na kanalu je vrsta napada prisluškivanja. Presretanje imena i lozinki stvara veliku opasnost, jer korisnici često koriste isti login i lozinku za mnoge aplikacije i sisteme. Mnogi korisnici općenito imaju jednu lozinku za pristup svim resursima i aplikacijama. Ako aplikacija radi u klijent/server modu i podaci za autentifikaciju se šalju preko mreže u čitljivom tekstualnom formatu, ove informacije će se vjerovatno koristiti za pristup drugim korporativnim ili vanjskim resursima.

U najgorem slučaju, haker dobija pristup korisničkom resursu na nivou sistema i koristi ga za kreiranje novih korisničkih atributa koji se mogu koristiti u bilo kom trenutku za pristup mreži i njenim resursima.

Možete spriječiti prijetnju njuškanja paketa koristeći sljedeće
mjere i sredstva:

v korištenje jednokratnih lozinki za provjeru autentičnosti;

v instalacija hardvera ili softvera koji prepoznaje
njuškalo;

v primjena kriptografske zaštite komunikacijskih kanala.

Promjena podataka. Napadač koji je umeo da čita
Vaši podaci, moći će poduzeti sljedeći korak - promijeniti ih. Podaci u
paket se može promijeniti čak i ako napadač ništa ne zna
o pošiljaocu ili primaocu. Čak i ako vam nije potrebna stroga
povjerljivost svih prenesenih podataka, vjerovatno ne želite
da ih se usput mijenja.

Analiza mrežnog saobraćaja. Svrha ovakvih napada
tipovi su slušanje komunikacijskih kanala i analiziranje prenesenog
podatke i servisne informacije u cilju proučavanja topologije i arhitekture
izgradnja sistema, dobijanje kritičnih korisničkih informacija
(na primjer, prenesene korisničke lozinke ili brojevi kreditnih kartica
otvoren). Protokoli kao što je FTP podložni su napadima ovog tipa.
ili Telnet, čija je posebnost u tome što korisničko ime i lozinka
prenosi u okviru ovih protokola u čistom obliku.

Zamjena subjekta od povjerenja. Većina mreža i operativnih
sistem koristi IP adresu računara da odredi da li je
ovo je adresa koju želite. U nekim slučajevima, netačno
dodjela IP adrese (zamjena IP adrese pošiljaoca drugom adresom) - tako
metoda napada se zove falsifikovanje adrese(IP lažiranje).

IP lažiranje se događa kada se napadač, bilo unutar ili izvan korporacije, predstavlja kao legitimni korisnik. Napadač može koristiti IP adresu koja je u rasponu ovlaštenih IP adresa ili ovlaštenu eksternu adresu kojoj je dozvoljen pristup određenim mrežnim resursima. Napadač može koristiti i posebne programe koji formiraju IP pakete na način da izgledaju kao da dolaze sa ovlaštenih internih adresa u korporativnoj mreži.

Napadi lažiranja IP-a često su početna tačka za druge napade. Klasičan primjer je napad kao " uskraćivanje usluge"(DoS), koji počinje tuđom adresom, skrivajući pravi identitet hakera. Tipično, IP lažiranje je ograničeno na umetanje lažnih informacija ili zlonamjernih naredbi u normalan tok podataka koji se prenosi između klijentske i serverske aplikacije ili preko komunikacijskog kanala između vršnjaka.

Prijetnja lažiranja može se ublažiti (ali ne i eliminirati) sljedećim mjerama:

v ispravna konfiguracija kontrole pristupa sa vanjske mreže;

v zaustavite pokušaje lažiranja stranih mreža od strane korisnika njihove vlastite mreže.

Treba imati na umu da se lažiranje IP-a može izvesti pod uslovom da su korisnici autentifikovani na osnovu IP adresa, tako da uvođenje dodatnih metoda autentifikacije korisnika (na osnovu jednokratnih lozinki ili drugih kriptografskih metoda) pomaže u sprečavanju napada lažiranja IP-a. .

Posredovanje. Brokerski napad uključuje aktivno prisluškivanje, presretanje i manipulaciju prenesenim podacima od strane nevidljivog međučvora. Kada računari komuniciraju na niskim nivoima mreže, ne mogu uvijek odrediti s kim komuniciraju.

Posredovanje u razmjeni nešifriranih ključeva (napad Man-in-the-Middle). Da bi izvršio napad Man-in-the-Middle, napadaču je potreban pristup paketima koji se prenose preko mreže. Takav pristup svim paketima prenesenim od ISP provajdera na bilo koju drugu mrežu može, na primjer, dobiti zaposlenik ovog provajdera. Za ovu vrstu napada često se koriste njuškari paketa, transportni protokoli i protokoli rutiranja.

U opštijem slučaju, napadi Man-in-the-Middle se izvode sa ciljem krađe informacija, presretanja trenutne sesije i dobijanja pristupa privatnim mrežnim resursima, radi analize saobraćaja i dobijanja informacija o mreži i njenim korisnicima, izvode DoS napade, da iskrive prenete podatke i unose neovlašćene informacije u mrežne sesije.

Man-m-the-Middle napadi se mogu efikasno boriti samo uz pomoć kriptografije. Da bi se suprotstavio ovoj vrsti napada, koristi se infrastruktura upravljanja javnim ključem PKI (Infrastruktura javnog ključa).

Otmica sesije. Na kraju inicijalne procedure autentifikacije, vezu koju je uspostavio legitimni korisnik, na primjer, sa serverom pošte, napadač prebacuje na novi host, a originalni server dobija instrukcije da zatvori vezu. Kao rezultat, "sagovornik" legitimnog korisnika je neprimjetno zamijenjen.

Nakon što dobije pristup mreži, napadač ima velike mogućnosti:

v može poslati pogrešne podatke aplikacijama i mrežnim uslugama, uzrokujući njihov pad ili kvar;

v također može preplaviti kompjuter ili cijelu mrežu prometom sve dok se sistem ne sruši zbog preopterećenja;

v Konačno, napadač može blokirati promet, što rezultira gubitkom pristupa ovlaštenim korisnicima mrežnim resursima.

Uskraćivanje usluge (DoS). Ovaj napad se razlikuje od drugih vrsta napada. Nije namijenjen za pristup vašoj mreži ili izvlačenje bilo kakvih informacija iz ove mreže. DoS napad čini mrežu organizacije neupotrebljivom za normalnu upotrebu prekoračenjem ograničenja funkcionalnosti mreže, operativnog sistema ili aplikacije. U suštini, ovaj napad uskraćuje običnim korisnicima pristup resursima ili računarima na mreži organizacije.

Većina DoS napada oslanja se na uobičajene slabosti arhitekture sistema. U slučaju nekih serverskih aplikacija (kao što su Web server ili FTP server), DoS napadi mogu uzeti sve veze dostupne ovim aplikacijama i zadržati ih zauzetim, sprečavajući

usluga običnim korisnicima. DoS napadi mogu koristiti uobičajene Internet protokole kao što su TCP i ICMP (Internet Control Message Protocol).

DoS napade je teško spriječiti jer zahtijevaju koordinaciju sa ISP-om. Ako se kod provajdera ne zaustavi promet namijenjen preplavljivanju vaše mreže, tada na ulazu u mrežu to više nećete moći, jer će cijeli propusni opseg biti zauzet.

Ako se ova vrsta napada izvodi istovremeno preko više uređaja, kažemo o distribuiranom DDoS napadu uskraćivanja usluge(distribuirani DoS).

Lakoća implementacije DoS napada i ogromna šteta koju oni nanose organizacijama i korisnicima, privlače veliku pažnju administratora mrežne sigurnosti na ove napade.

Napadi lozinkom. Svrha ovih napada je preuzimanje lozinke i login legitimnog korisnika. Napadači mogu izvršiti napade lozinkom koristeći metode kao što su:

v M lažiranje IP adrese (IP lažiranje);

v prisluškivanje (njuškanje);

v jednostavna iteracija.

Prethodno je razmotreno IP lažiranje i njuškanje paketa. Ove metode vam omogućavaju da dođete do korisničke lozinke i prijave ako se prenose u čistom tekstu preko nesigurnog kanala.

Često hakeri pokušavaju pogoditi lozinku i prijavu, koristeći brojne pokušaje pristupa za to. Ovaj pristup se zove napad grubom silom(napad grubom silom). Ovaj napad koristi poseban program koji pokušava pristupiti zajedničkom resursu (na primjer, serveru). Ako, kao rezultat, napadač uspije da pogodi lozinku, dobija pristup resursima kao običan korisnik. Ako ovaj korisnik ima značajne privilegije pristupa, napadač može sebi kreirati "pass" za budući pristup, koji će raditi čak i ako korisnik promijeni svoju lozinku i login.

Sredstva presretanja, odabira i razbijanja lozinki sada se smatraju praktički legalnim i službeno ih objavljuje prilično veliki broj kompanija. Prodaju se kao softver za reviziju sigurnosti i oporavak lozinke i mogu se legalno kupiti od programera.

Napadi lozinkom se mogu izbjeći ne korištenjem lozinki običnog teksta. Upotreba jednokratnih lozinki i kriptografske autentifikacije može praktično negirati prijetnju od takvih napada. Nažalost, ne podržavaju sve aplikacije, hostovi i uređaji ove metode provjere autentičnosti.

Kada koristite obične lozinke, morate smisliti lozinku koju bi bilo teško pogoditi. Minimalna dužina lozinke mora biti najmanje osam znakova. Lozinka mora sadržavati velika slova, brojeve i posebne znakove (#, $, &, %, itd.).

Key Guessing. Kriptografski ključ je kod ili broj potreban za dešifriranje zaštićenih informacija. Iako je teško pronaći pristupni ključ i zahtijeva mnogo resursa, to je ipak moguće. Konkretno, za određivanje vrijednosti ključa može se koristiti poseban program koji implementira metodu grube sile. Ključ kojem napadač dobije pristup naziva se kompromitovani ključ. Napadač koristi kompromitovani ključ da dobije pristup sigurnim podacima u tranzitu bez znanja pošiljaoca ili primaoca. Ključ omogućava dešifriranje i modificiranje podataka.

Napadi na sloju aplikacije. Ovi napadi se mogu izvesti na nekoliko načina. Najčešći od njih je iskorištavanje poznatih slabosti serverskog softvera (FTP, HTTP, Web server).

Glavni problem sa napadima na sloju aplikacije je taj što oni često koriste portove kojima je dozvoljeno da prođu kroz zaštitni zid.

Napadi na nivou aplikacije se široko objavljuju kako bi omogućili administratorima da isprave problem pomoću korektivnih modula (zakrpa). Nažalost, i mnogi hakeri imaju pristup ovim informacijama, što im omogućava da uče.

Nije moguće potpuno eliminirati napade na sloju aplikacije. Hakeri neprestano otkrivaju i objavljuju nove ranjivosti u aplikacijskim programima na svojim web stranicama na internetu.

Ovdje je važna dobra sistemska administracija. Da biste smanjili ranjivost na ovu vrstu napada, možete poduzeti sljedeće korake:

v analizirati datoteke evidencije operativnog sistema i datoteke evidencije mreže koristeći posebne analitičke aplikacije;

v pratiti CERT podatke o slabostima aplikacija;

v koristiti najnovije verzije operativnih sistema i aplikacija i najnovije module za ispravke (zakrpe);

v koristiti IDS (Sistemi za otkrivanje upada) sisteme za otkrivanje napada.

mrežna inteligencija je prikupljanje informacija o mreži koristeći javno dostupne podatke i aplikacije. Kada priprema napad na mrežu, haker obično pokušava da dobije što više informacija o njoj.

Izviđanje mreže se vrši u obliku DNS upita,
eho testiranje (ping sweep) i skeniranje portova. DNS upiti vam pomažu da shvatite ko je vlasnik određene domene i koje su adrese dodijeljene toj domeni. Pingovanje DNS-otkrivenih adresa vam omogućava da vidite koji hostovi stvarno rade u datom okruženju. S obzirom na listu hostova, haker koristi alate za skeniranje portova da sastavi kompletnu listu usluga koje podržavaju ti hostovi. Kao rezultat, dobijaju se informacije koje se mogu koristiti za hakiranje.

Nemoguće je potpuno se riješiti mrežne inteligencije. Ako, na primjer, onemogućite ICMP ping i echo odgovor na perifernim ruterima, riješit ćete se pingovanja, ali ćete izgubiti podatke potrebne za dijagnosticiranje grešaka na mreži. Također možete skenirati portove bez prethodnog pingovanja. Samo će potrajati duže, jer će se morati skenirati i nepostojeće IP adrese.

Mrežni i IDS sistemi na nivou hosta obično rade dobar posao obavještavanja administratora o tekućem izviđanju mreže, što im omogućava da se bolje pripreme za predstojeći napad i upozore provajdera (ISP) na čijoj je mreži instaliran sistem koji pokazuje pretjeranu radoznalost. .

Zloupotreba povjerenja. Ova vrsta akcije nije napad u punom smislu te riječi. To je zlonamjerno iskorištavanje odnosa povjerenja koji postoje na mreži. Tipičan primjer takve zloupotrebe je situacija na rubu korporativne mreže. Ovaj segment obično hostuje DNS, SMTP i HTTP servere. Budući da svi pripadaju istom segmentu, kršenje jednog od njih dovodi do kršenja svih ostalih, jer ovi serveri vjeruju drugim sistemima na svojoj mreži.

Možete smanjiti rizik od kršenja povjerenja čvršćom kontrolom nivoa povjerenja u vašoj mreži. Sistemi izvan zaštitnog zida nikada ne bi trebali imati apsolutno povjerenje od strane sistema iza zaštitnog zida.

Odnosi povjerenja bi trebali biti ograničeni na određene protokole i, ako je moguće, autentificirani ne samo IP adresama, već i drugim parametrima. Zlonamjerni programi. Takvi programi uključuju kompjuterske viruse, mrežne crve, trojanske konje.

Virusi su zlonamjerni programi koji se ubrizgavaju u druge programe kako bi izvršili neku nepoželjnu funkciju na radnoj stanici krajnjeg korisnika. Napadači obično dizajniraju virus na takav način da ostane neotkriven u kompjuterskom sistemu što je duže moguće. Početni period mirovanja virusa je mehanizam njihovog preživljavanja. Virus se u potpunosti manifestira u određenom trenutku kada se dogodi neki događaj poziva, na primjer, petak 13., poznati datum itd.

Vrsta virusnog programa je mrežni crv, koji se distribuira globalnom mrežom i ne ostavlja svoju kopiju na magnetnim medijima. Termin se koristi za označavanje programa koji, poput trakavica, putuju preko računarske mreže od jednog sistema do drugog. Crv koristi mehanizme mrežne podrške da odredi koji host može biti pogođen. Zatim, koristeći iste mehanizme, crv prenosi svoje tijelo u ovaj čvor i ili se aktivira ili čeka odgovarajuće uslove za aktivaciju. Mrežni crvi su opasna vrsta zlonamjernog softvera, budući da bilo koji od miliona računara povezanih na globalni internet može postati predmet njihovog napada. Da biste se zaštitili od crva, morate poduzeti mjere predostrožnosti protiv neovlaštenog pristupa internoj mreži.

Računalni virusi se odnose na tzv "trojanski konji"(trojanci). Trojanski konj je program koji izgleda kao korisna aplikacija, ali zapravo obavlja štetne funkcije (uništavanje softvera
sigurnost, kopiranje i slanje datoteka sa povjerljivim podacima napadaču itd.). Opasnost od "trojanskog konja" leži u dodatnom bloku komandi ubačenih u originalni bezopasni program, koji se potom daje korisnicima AS. Ovaj blok naredbi može se pokrenuti po nastupu bilo kojeg stanja (datum, stanje sistema) ili eksternom naredbom. Korisnik koji pokreće takav program ugrožava i svoje datoteke i cijeli AS u cjelini.

Prema Sophos-ovom Izvještaju o upravljanju sigurnosnim prijetnjama, u prvoj polovini 2006. broj trojanskih konja bio je veći od broja virusa i crva za četiri puta, u odnosu na udvostručenje u prvih šest mjeseci 2005. Sophos također izvještava o pojavi nove vrste " Trojanci, poznati kao ransomware. Takvi programi kradu podatke sa zaraženih računara, a onda se od korisnika traži da plati određenu otkupninu za njih.

Radne stanice krajnjih korisnika su vrlo osjetljive na viruse, crve i trojanske konje.

Karakteristika modernog zlonamjernog softvera je njihov fokus na specifični aplikativni softver, koji je postao de facto standard za većinu korisnika, prvenstveno Microsoft Internet Explorer i Microsoft Outlook. Masovno stvaranje virusa za Microsoftove proizvode objašnjava se ne samo niskim nivoom sigurnosti i pouzdanosti programa, već globalna distribucija ovih proizvoda igra važnu ulogu. Autori zlonamjernog softvera sve više počinju da istražuju "rupe" u popularnim DBMS-ovima, međuoverima i korporativnim poslovnim aplikacijama izgrađenim na ovim sistemima.

Virusi, crvi i trojanci neprestano se razvijaju, a polimorfizam je glavni trend u njihovom razvoju. Danas je već prilično teško povući granicu između virusa, crva i trojanca, oni koriste skoro iste mehanizme, razlika je samo u stepenu ove upotrebe. Uređaj zlonamjernog softvera danas je postao toliko ujedinjen da je, na primjer, gotovo nemoguće razlikovati mail virus i crv s destruktivnim funkcijama. Čak i "trojanski" programi imaju funkciju replikacije (kao jedno od sredstava za suzbijanje antivirusnih alata), pa se po želji mogu nazvati virusima (sa mehanizmom distribucije u obliku maskiranja u aplikativne programe).

Za zaštitu od ovih zlonamjernih programa potrebno je primijeniti niz mjera:

v isključivanje neovlaštenog pristupa izvršnim datotekama;

v testiranje kupljenog softvera;

v kontrola integriteta izvršnih datoteka i sistemskih područja;

v kreiranje zatvorenog okruženja za izvršavanje programa.

Virusi, crvi i trojanski konji se bore efikasnim antivirusnim softverom koji radi na nivou korisnika, a moguće i na nivou mreže. Kako se pojavljuju novi virusi, crvi i trojanski konji, potrebno je instalirati nove baze podataka antivirusnih alata i aplikacija.

Spam i phishing spadaju u nesoftverske pretnje. Rasprostranjenost ove dvije prijetnje značajno se povećala u posljednje vrijeme.

neželjena pošta, koji sada premašuje 80% ukupnog obima prometa pošte, može predstavljati prijetnju dostupnosti informacija blokiranjem mail servera ili se koristiti za distribuciju zlonamjernog softvera.

Phishing(phishing) je relativno nova vrsta internet prevare, čija je svrha pribavljanje identiteta korisnika. To uključuje krađu lozinki, brojeva kreditnih kartica, bankovnih računa, PIN kodova i drugih povjerljivih informacija koje omogućavaju pristup novcu korisnika. Phishing ne iskorištava tehničke nedostatke softvera, već lakovjernost korisnika interneta. Sam izraz phishing, koji je u skladu sa ribolovom (fishing), označava password harvesting fishing - password fishing. Zaista, phishing je vrlo sličan ribolovu. Napadač baci mamac na internet i "ulovi svu ribu" - korisnici interneta koji će zagristi ovaj mamac.

Napadač kreira gotovo tačnu kopiju stranice odabrane banke (elektronski sistem plaćanja, aukcija, itd.). Zatim se, upotrebom spam tehnologije, e-mailom šalje pismo, sastavljeno tako da bude što sličnije pravom pismu odabrane banke. Prilikom sastavljanja pisma koriste se logotipi banaka, imena i prezimena pravih direktora banke. U takvom pismu se po pravilu navodi da zbog promjene softvera u sistemu internet bankarstva korisnik treba da potvrdi ili promijeni svoje akreditive. Razlog za promjenu podataka može biti kvar softvera banke ili napad hakera. Prisutnost uvjerljive legende koja podstiče korisnika da preduzme potrebne radnje je nezamjenjiva komponenta uspjeha phishing scamera. U svim slučajevima svrha ovakvih pisama je ista – da se natjera korisnika da klikne na ponuđeni link, a zatim unese svoje povjerljive podatke (lozinke, brojevi računa, PIN kodovi) na lažnoj web stranici banke (sistem elektronskog plaćanja, aukcija ). Nakon što uđe na lažnu stranicu, korisnik unosi svoje povjerljive podatke u odgovarajuće redove, a zatim prevaranti dobijaju pristup, u najboljem slučaju, njegovom poštanskom sandučiću, u najgorem, njegovom elektronskom računu.

Unaprijeđuju se phishing tehnologije, primjenjuju se metode društvenog inženjeringa. Pokušavaju uplašiti klijenta, smišljaju kritičan razlog da oda svoje povjerljive podatke. Po pravilu, poruke sadrže prijetnje, na primjer, da se blokira račun ako primalac ne ispunjava zahtjeve navedene u poruci.

Postojala je konjugacija sa phishing konceptom - poljoprivreda . Ovo je također prevara koja ima za cilj pribavljanje ličnih podataka korisnika, ali ne putem pošte, već direktno putem službenih web stranica. Poljoprivrednici zamjenjuju digitalne adrese legitimnih web stranica na DNS serverima lažnim, zbog čega se korisnici preusmjeravaju na lažne stranice. Ova vrsta prijevare je još opasnija, jer je lažnjak gotovo nemoguće primijetiti.

Trenutno prevaranti često koriste "trojanske" programe. Zadatak phisher-a u ovom slučaju je znatno pojednostavljen - dovoljno je natjerati korisnika da se preseli na phishing stranicu i "pokupi" program koji će samostalno pronaći sve što je potrebno na tvrdom disku žrtve. Zajedno sa "trojanskim" programi su počeli da se koriste i keyloggers. Lažne stranice preuzimaju špijunski softver koji prati pritiske tipki na računarima žrtava. Kada koristite ovaj pristup, nije potrebno pronaći kontakte sa klijentima određene banke ili kompanije, pa su phisheri počeli da lažiraju stranice opće namjene, poput feedova vijesti i pretraživača.

Uspjehu phishing prevara doprinosi nizak nivo svijesti korisnika o pravilima poslovanja kompanija u čije ime kriminalci djeluju. Konkretno, oko 5% korisnika ne zna jednostavnu činjenicu: banke ne šalju pisma u kojima traže da potvrde broj kreditne kartice i PIN kod na mreži.

Prema analitičarima (www.cnews.ru), šteta koju su phisheri nanijeli globalnoj ekonomiji 2003. iznosila je 14 milijardi dolara, a godinu dana kasnije dostigla je 44 milijarde dolara. Prema Symantec statistici, sredinom 2004. filteri kompanije blokirali su do 9 miliona e-mailova sa phishing sadržajem svake sedmice. Do kraja godine 33 mil.

Filteri za neželjenu poštu ostaju glavna odbrana od krađe identiteta. Nažalost, softverski alati protiv krađe identiteta imaju ograničenu efikasnost, budući da napadači prvenstveno iskorištavaju ljudsku psihologiju, a ne softverske nedostatke. Aktivno se razvijaju tehnički sigurnosni alati, prvenstveno dodaci za popularne pretraživače. Suština zaštite je blokiranje lokacija koje su na crnoj listi lažnih resursa. Sljedeći korak bi mogli biti sistemi za generiranje jednokratnih lozinki za pristup Internetu bankovnim računima i računima u platnim sistemima, široko rasprostranjena distribucija dodatnih nivoa zaštite kroz kombinaciju unosa lozinke pomoću hardverskog USB ključa.

Navedeni napadi na IP mreže mogući su iz više razloga:

v korištenje javnih kanala podataka. Kritični podaci se prenose preko mreže nešifrovani;

v Ranjivosti u procedurama provjere autentičnosti implementiranih u TCP/IP stogu. Identifikacione informacije na IP sloju se prenose u čistom obliku;

v odsustvo u osnovnoj verziji steka TCP/IP protokola mehanizama koji osiguravaju povjerljivost i integritet poslanih poruka;

v Pošiljalac je provjeren svojom IP adresom. Procedura autentifikacije se izvodi samo u fazi uspostavljanja veze, a dalje se ne provjerava autentičnost primljenih paketa;

v nedostatak kontrole nad rutom poruka na Internetu, što čini napade na udaljenu mrežu praktički nekažnjenim.

Vrste napada

Prodor u kompjutersku mrežu se odvija u obliku napada.

Napad je događaj u kojem autsajderi pokušavaju ući u tuđe mreže. Moderni mrežni napadi često uključuju iskorištavanje softverskih ranjivosti. Neki od najčešćih ranih 2000-ih bili su ciljani napadi uskraćivanja usluge, DoS (Dental of Service) i distribuirani DDoS (Distributed DoS) napadi. DoS napad čini objekt napada nedostupnim za normalnu upotrebu prekoračenjem dozvoljenih granica rada takvog mrežnog uređaja. DoS - napad se odnosi na tačku (koncentrisanu), jer dolazi iz jednog izvora. U slučaju distribuiranog DDoS-a, napad se izvodi iz više izvora distribuiranih u prostoru, koji često pripadaju različitim mrežama. Prije nekoliko godina počeo se koristiti termin „zlonamjerni programski kod vojno-industrijskog kompleksa“ koji se odnosi na viruse, crve, trojance, alate za mrežne napade, slanje neželjene pošte i druge radnje koje su nepoželjne za korisnika. S obzirom na raznoliku prirodu prijetnji, savremeni sistemi zaštite postali su višeslojni i složeni. Mrežni crvi šire svoje kopije preko kompjuterskih mreža koristeći e-poštu, razmjenu poruka. Najčešći trojanci današnjice koji izvode neovlaštene radnje: uništavaju podatke, koriste kompjuterske resurse u zlonamjerne svrhe. Špijunski softver je jedan od najopasnijih trojanaca. Prikuplja informacije o svim radnjama korisnika, a zatim ih prenosi napadačima, a da oni to ne primjećuju. Godina 2007. se može nazvati godinom "smrti" nekomercijalnog zlonamjernog softvera. Niko više ne razvija ove programe za samoizražavanje. Može se primijetiti da u 2007. godini nijedan zlonamjerni program ne bi imao finansijsku podlogu. Jedan od novih malvera je Storm Worm, koji se pojavio u januaru 2007. Za širenje, crv je koristio i tradicionalna sredstva, poput e-pošte, i distribuciju u obliku video datoteka. Tehnika sakrivanja nečijeg prisustva u sistemu (rootkit) može se koristiti ne samo kod trojanaca, već i kod fajl virusa. Zlonamjerni programi sada nastoje preživjeti na sistemu čak i nakon što su otkriveni.

Jedan od opasnih načina da se sakrije njihovo prisustvo je korištenje tehnologije zaraze boot sektora tvrdog diska - takozvanih "bootkita". Takav zlonamjerni program može dobiti kontrolu čak i prije nego što se glavni dio OS-a učita.

Niz sigurnosnih problema više nije ograničen na zadatak zaštite od virusa, s kojim smo se morali suočiti prije otprilike pet godina. Opasnost od internog curenja informacija postala je ozbiljnija od vanjskih prijetnji. Osim toga, od početka 21. vijeka svrha kompjuterskog kriminala je postala krađa ekonomskih informacija, bankovnih računa, narušavanje informacionih sistema konkurenata i masovno slanje reklama. Ništa manju, a ponekad i veću prijetnju korporativnim IT sistemima predstavljaju insajderi – zaposleni u kompaniji koji imaju pristup povjerljivim informacijama i koriste ih u nepovoljne svrhe. Mnogi stručnjaci smatraju da šteta koju su prouzročili insajderi nije ništa manje značajna od štete koju uzrokuje zlonamjerni softver. Karakteristično je da značajan dio curenja informacija nastaje ne krivnjom zlonamjernih radnji zaposlenih, već njihovom nepažnjom. Glavna tehnička sredstva za borbu protiv takvih faktora treba da budu sredstva za autentifikaciju i administraciju pristupa podacima. Međutim, broj incidenata i dalje raste (za oko 30% godišnje posljednjih godina). Postepeno, alati za zaštitu od curenja/insajderske zaštite počinju da se integrišu u ukupni sistem zaštite informacija. U zaključku, predstavljamo generaliziranu klasifikaciju mrežnih prijetnji (slika 11.3)

Predavanje 33 Vrste i vrste mrežnih napada

Predavanje 33

Tema: Vrste i vrste mrežnih napada

Udaljeni mrežni napad je informacijski destruktivni efekat na distribuirani računarski sistem, koji se izvodi programski putem komunikacionih kanala.

Uvod

Za organizaciju komunikacije u heterogenom mrežnom okruženju koristi se skup TCP/IP protokola koji osiguravaju kompatibilnost između računala različitih tipova. Ovaj skup protokola je stekao popularnost zbog interoperabilnosti i pristupa resursima globalnog Interneta i postao je standard za umrežavanje. Međutim, sveprisutnost steka TCP/IP protokola također je otkrila njegove slabosti. Konkretno, zbog toga su distribuirani sistemi podložni daljinskim napadima, budući da njihove komponente obično koriste otvorene kanale za prijenos podataka, a uljez može ne samo pasivno slušati prenesene informacije, već i modificirati preneseni promet.

Teškoća otkrivanja udaljenog napada i relativna lakoća njegovog izvođenja (zbog prevelike funkcionalnosti savremenih sistema) stavlja ovu vrstu nezakonitih radnji na prvo mjesto po opasnosti i onemogućava pravovremeno reagiranje na implementiranu prijetnju, kao zbog čega napadač ima povećane šanse za uspješan napad.

Klasifikacija napada

Po prirodi uticaja

pasivno

Aktivan

Pasivni uticaj na distribuirani računarski sistem (DCS) je neki uticaj koji ne utiče direktno na rad sistema, ali je istovremeno sposoban da naruši njegovu bezbednosnu politiku. Odsustvo direktnog uticaja na rad RCS-a dovodi upravo do toga da je pasivni daljinski udar (PUV) teško detektovati. Mogući primjer tipičnog PUV-a u WAN-u je slušanje komunikacijskog kanala u mreži.

Aktivni uticaj na RCS - uticaj koji ima direktan uticaj na rad samog sistema (poremećaj performansi, promene u konfiguraciji RCS-a, itd.), čime se krši bezbednosna politika usvojena u njemu. Aktivni utjecaji su gotovo sve vrste daljinskih napada. To je zbog činjenice da sama priroda štetnog utjecaja uključuje aktivni princip. Očigledna razlika između aktivnog i pasivnog utjecaja je fundamentalna mogućnost njegovog otkrivanja, jer kao rezultat njegove implementacije dolazi do određenih promjena u sistemu. Kod pasivnog uticaja ne ostaje apsolutno nikakvih tragova (zbog činjenice da napadač gleda tuđu poruku u sistemu, ništa se zapravo ne menja u istom trenutku).

Prema svrsi udara

Kršenje funkcionisanja sistema (pristup sistemu)

Kršenje integriteta informacionih resursa (IR)

IR povreda privatnosti

Ova karakteristika, prema kojoj se vrši klasifikacija, je, u stvari, direktna projekcija tri osnovna tipa prijetnji – uskraćivanje usluge, otkrivanje i kršenje integriteta.

Glavni cilj kojem se teži u gotovo svakom napadu je dobivanje neovlaštenog pristupa informacijama. Postoje dvije osnovne opcije za dobivanje informacija: izobličenje i presretanje. Opcija presretanja informacija znači dobijanje pristupa njima bez mogućnosti promjene. Presretanje informacija, dakle, dovodi do kršenja njihove povjerljivosti. Slušanje kanala na mreži primjer je presretanja informacija. U ovom slučaju postoji nelegitiman pristup informacijama bez mogućih opcija za njihovu zamjenu. Očigledno je i da se povreda povjerljivosti informacija odnosi na pasivne uticaje.

Mogućnost zamjene informacija treba shvatiti ili kao potpunu kontrolu toka informacija između objekata sistema, ili kao mogućnost prenošenja različitih poruka u ime nekog drugog. Stoga je jasno da zamjena informacija dovodi do narušavanja njenog integriteta. Takav uticaj koji uništava informacije je karakterističan primjer aktivnog utjecaja. Primjer udaljenog napada dizajniranog da naruši integritet informacija može poslužiti kao daljinski napad (UA) "Lažni RCS objekt".

Prisutnošću povratne informacije sa napadnutim objektom

sa povratnim informacijama

Otvorena petlja (jednosmjerni napad)

Napadač napadnutom objektu šalje neke zahtjeve na koje očekuje da će dobiti odgovor. Posljedično, javlja se povratna informacija između napadača i napadnutog, omogućavajući prvom da adekvatno odgovori na sve vrste promjena u napadnutom objektu. Ovo je suština daljinskog napada koji se izvodi u prisustvu povratne informacije od napadačkog objekta. Ovakvi napadi su najtipičniji za RVS.

Napade otvorene petlje karakterizira činjenica da ne moraju reagirati na promjene u napadnutom objektu. Takvi napadi se obično izvode slanjem pojedinačnih zahtjeva napadnutom objektu. Napadaču nisu potrebni odgovori na ove zahtjeve. Takav UA se također može nazvati jednosmjernim UA. Primjer jednosmjernih napada je tipičan UA "DoS napad".

Prema uslovu početka implementacije uticaja

Utjecaj na daljinu, kao i svaki drugi, može se početi provoditi samo pod određenim uvjetima. Postoje tri tipa takvih uslovnih napada u RCS-u:

Napad na zahtjev napadnutog objekta

Napad na pojavu očekivanog događaja na napadnuti objekat

Bezuslovni napad

Uticaj napadača će početi pod uslovom da potencijalna meta napada pošalje zahtjev određenog tipa. Takav napad se može nazvati napadom na zahtjev napadnutog objekta. Ovaj tip UA je najtipičniji za RVS. Primjer takvih upita na Internetu su DNS i ARP upiti, au Novell NetWareu SAP upit.

Napad na pojavu očekivanog događaja na napadnuti objekat. Napadač kontinuirano prati stanje OS-a udaljenog cilja napada i pokreće udar kada se u ovom sistemu dogodi određeni događaj. Sam napadnuti objekat je inicijator napada. Primjer takvog događaja bi bio prekid sesije korisnika sa serverom bez izdavanja naredbe LOGOUT na Novell NetWare.

Bezuslovni napad se izvodi odmah i bez obzira na stanje operativnog sistema i napadnutog objekta. Dakle, napadač je inicijator napada u ovom slučaju.

U slučaju narušavanja normalnog rada sistema, slijede drugi ciljevi i ne očekuje se da će napadač dobiti nezakonit pristup podacima. Njegova svrha je onemogućavanje operativnog sistema na napadnutom objektu i nemogućnost pristupa za druge objekte sistema resursima ovog objekta. Primjer ove vrste napada je DoS napad.

Po lokaciji predmeta napada u odnosu na napadnuti objekat

Intrasegment

Intersegment

Neke definicije:

Izvor napada (predmet napada) je program (moguće operater) koji sprovodi napad i vrši direktan uticaj.

Host (host) - računar koji je element mreže.

Ruter je uređaj koji omogućava usmjeravanje paketa u mreži.

Podmreža je grupa hostova koji su dio globalne mreže, a razlikuju se po tome što im ruter dodjeljuje isti broj podmreže. Takođe možete reći da je podmreža logično grupisanje hostova preko rutera. Hostovi unutar iste podmreže mogu komunicirati direktno jedni s drugima bez korištenja rutera.

Mrežni segment je asocijacija hostova na fizičkom sloju.

Sa stanovišta udaljenog napada izuzetno je važan relativni položaj subjekta i objekta napada, odnosno da li se nalaze u različitim ili u istim segmentima. Tokom unutarsegmentnog napada, subjekt i objekt napada nalaze se u istom segmentu. U slučaju međusegmentnog napada, subjekt i objekt napada nalaze se u različitim segmentima mreže. Ova karakteristika klasifikacije omogućava procjenu takozvanog "stepena udaljenosti" napada.

Nadalje, pokazaće se da je u praksi intrasegmentni napad mnogo lakši za implementaciju od intersegmentnog napada. Također napominjemo da je međusegmentni daljinski napad mnogo opasniji od intrasegmentnog. To je zbog činjenice da u slučaju međusegmentnog napada, njegov objekt i onaj koji direktno napada mogu biti na udaljenosti od više hiljada kilometara jedan od drugog, što može značajno otežati mjere za odbijanje napada.

Prema nivou ISO/OSI referentnog modela na kojem se vrši uticaj

Fizički

ducted

mreže

Transport

sjednici

Predstavnik

Primijenjeno

Međunarodna organizacija za standardizaciju (ISO) usvojila je standard ISO 7498, koji opisuje međusobno povezivanje otvorenih sistema (OSI), kojem pripada i RCS. Svaki mrežni protokol za razmjenu, kao i svaki mrežni program, mogu se nekako projektovati na referentni 7-slojni OSI model. Takva projekcija na više nivoa omogućava da se u terminima OSI modela opišu funkcije koje se koriste u mrežnom protokolu ili programu. UA je mrežni program, te ga je logično posmatrati sa stanovišta projekcije na ISO/OSI referentni model.

Kratak opis nekih mrežnih napada

Fragmentacija podataka

Prilikom prijenosa IP paketa podataka preko mreže, ovaj paket se može podijeliti na nekoliko fragmenata. Nakon toga, kada stigne na odredište, paket se vraća iz ovih fragmenata. Napadač može inicirati slanje velikog broja fragmenata, što dovodi do prelivanja programskih bafera na strani primaoca i, u nekim slučajevima, do pada sistema.

Ping flooding napad

Ovaj napad zahtijeva od napadača pristup brzim internet kanalima.

Program ping šalje ICMP ECHO REQUEST paket sa vremenom i njegovim ID-om. Kernel mašine za prijem odgovara na takav zahtjev sa ICMP ECHO REPLY paketom. Nakon što ga primi, ping daje brzinu paketa.

U standardnom načinu rada, paketi se šalju u određenim intervalima, praktično bez učitavanja mreže. Ali u "agresivnom" načinu rada, tok ICMP eho paketa zahtjeva/odgovora može uzrokovati zagušenje na maloj liniji, lišavajući je mogućnosti prijenosa korisnih informacija.

Nestandardni protokoli inkapsulirani u IP

IP paket sadrži polje koje specificira protokol enkapsuliranog paketa (TCP, UDP, ICMP). Napadači mogu koristiti nestandardnu ​​vrijednost ovog polja za prijenos podataka koji neće biti zabilježeni standardnim alatima za kontrolu protoka informacija.

napad štrumfa

Štrumpf napad se sastoji od slanja ICMP zahtjeva za emitiranje mreži u ime računara žrtve.

Kao rezultat toga, računari koji su primili takve broadcast pakete odgovaraju računaru žrtve, što dovodi do značajnog smanjenja propusnog opsega komunikacionog kanala i, u nekim slučajevima, do potpune izolacije napadnute mreže. Napad štrumfa je izuzetno efikasan i rasprostranjen.

Protumjere: da bi se prepoznao ovaj napad, potrebno je analizirati opterećenje kanala i utvrditi razloge smanjenja propusnosti.

DNS lažni napad

Rezultat ovog napada je uvođenje nametnute korespondencije između IP adrese i imena domena u keš DNS servera. Kao rezultat uspješne implementacije ovakvog napada, svi korisnici DNS servera će dobiti netačne informacije o nazivima domena i IP adresama. Ovaj napad karakteriše veliki broj DNS paketa sa istim imenom domene. To je zbog potrebe za odabirom nekih parametara DNS razmjene.

Protivljenje: da bi se otkrio takav napad, potrebno je analizirati sadržaj DNS saobraćaja ili koristiti DNSSEC.

IP lažni napad

Veliki broj napada na Internet povezan je sa zamjenom originalne IP adrese. Takvi napadi uključuju lažiranje syslog-a, koje se sastoji u slanju poruke računaru žrtve u ime drugog računara na internoj mreži. Pošto se syslog protokol koristi za sistemsku evidenciju, slanjem lažnih poruka na računar žrtve možete nametnuti informacije ili prikriti tragove neovlašćenog pristupa.

Protivmjere: Napadi lažiranja IP adrese mogu se otkriti praćenjem prijema na jednom od interfejsa paketa sa izvornom adresom istog interfejsa ili praćenjem prijema paketa sa IP adresama interne mreže na eksternom interfejsu.

Nametanje paketa

Napadač šalje pakete mreži s lažnom povratnom adresom. Koristeći ovaj napad, napadač se može prebaciti na svoje kompjuterske veze uspostavljene između drugih računara. U tom slučaju, prava pristupa napadača postaju jednaka pravima korisnika čija je veza sa serverom prebačena na računar napadača.

Njuškanje - slušanje kanala

Moguće je samo u segmentu lokalne mreže.

Gotovo sve mrežne kartice podržavaju mogućnost presretanja paketa koji se prenose preko zajedničkog LAN kanala. U tom slučaju radna stanica može primati pakete adresirane na druge računare u istom segmentu mreže. Na taj način napadaču postaje dostupna cjelokupna razmjena informacija u segmentu mreže. Da bi se ovaj napad uspješno implementirao, računar napadača mora biti lociran na istom segmentu lokalne mreže kao i napadnuti računar.

Njuškanje paketa na ruteru

Mrežni softver rutera ima pristup svim mrežnim paketima koji se prenose kroz ovaj ruter, što omogućava njuškanje paketa. Da bi implementirao ovaj napad, napadač mora imati privilegirani pristup barem jednom mrežnom ruteru. Budući da se obično mnogo paketa prenosi preko rutera, njihovo potpuno presretanje je gotovo nemoguće. Međutim, pojedinačni paketi mogu biti presretnuti i pohranjeni za kasniju analizu od strane napadača. Najefikasnije presretanje FTP paketa koji sadrže korisničke lozinke, kao i e-mail.

Nametanje lažne rute na host koristeći ICMP protokol

Na Internetu postoji poseban protokol ICMP (Internet Control Message Protocol), čija je jedna od funkcija obavještavanje domaćina o promjeni trenutnog rutera. Ova kontrolna poruka se zove preusmjeravanje. Moguće je da bilo koji host u mrežnom segmentu pošalje lažnu poruku za preusmjeravanje u ime rutera napadnutom hostu. Kao rezultat toga, trenutna tabela rutiranja hosta se mijenja i, u budućnosti, sav mrežni promet ovog hosta će proći, na primjer, kroz host koji je poslao lažnu poruku za preusmjeravanje. Tako je moguće aktivno nametati lažnu rutu unutar jednog segmenta interneta.

Zajedno sa normalnim podacima koji se šalju preko TCP veze, standard također predviđa prijenos hitnih (Out Of Band) podataka. Na nivou formata TCP paketa, to se izražava u hitnom pokazivaču koji nije nula. Većina računara sa instaliranim Windows-om ima NetBIOS mrežni protokol koji koristi tri IP porta za svoje potrebe: 137, 138, 139. Ako se povežete na Windows mašinu na portu 139 i tamo pošaljete nekoliko bajtova OutOfBand podataka, implementacija NetBIOS-a će ne znajući šta da radi sa ovim podacima, jednostavno spusti slušalicu ili ponovo pokrene mašinu. Za Windows 95, ovo obično izgleda kao plavi tekstualni ekran, koji prijavljuje grešku u TCP/IP drajveru i nemogućnost rada sa mrežom dok se OS ne pokrene ponovo. NT 4.0 bez servisnih paketa se ponovo pokreće, NT 4.0 sa servisnim paketom 2 pada u plavi ekran. Sudeći po informacijama sa mreže, i Windows NT 3.51 i Windows 3.11 za radne grupe su podložni takvom napadu.

Slanje podataka na port 139 uzrokuje ponovno pokretanje NT 4.0 ili plavi ekran smrti sa instaliranim servisnim paketom 2. Slanje podataka na port 135 i neke druge portove uzrokuje značajno opterećenje procesa RPCSS.EXE. Na Windows NT WorkStationu, ovo dovodi do značajnog usporavanja, Windows NT Server je praktično zamrznut.

Promjena pouzdanog domaćina

Uspješna implementacija udaljenih napada ovog tipa omogućit će napadaču da provede sesiju sa serverom u ime pouzdanog hosta. (Pouzdani host - stanica koja je legalno povezana sa serverom). Implementacija ove vrste napada obično se sastoji u slanju razmjenskih paketa sa napadačeve stanice u ime pouzdane stanice pod njegovom kontrolom.

Tehnologije otkrivanja napada

Mrežne i informacione tehnologije se menjaju tako brzo da statički bezbednosni mehanizmi, koji uključuju sisteme kontrole pristupa, ME, sisteme za autentifikaciju, u mnogim slučajevima ne mogu da obezbede efikasnu zaštitu. Stoga su potrebne dinamičke metode za brzo otkrivanje i sprječavanje kršenja sigurnosti. Jedna tehnologija koja može otkriti kršenja koja se ne mogu identificirati korištenjem tradicionalnih modela kontrole pristupa je tehnologija otkrivanja upada.

U suštini, proces otkrivanja upada je proces procene sumnjivih aktivnosti koje se dešavaju na korporativnoj mreži. Drugim riječima, otkrivanje upada je proces identifikacije i odgovora na sumnjivu aktivnost usmjerenu na računarske ili mrežne resurse.

Metode za analizu mrežnih informacija

Efikasnost sistema za otkrivanje upada u velikoj meri zavisi od metoda koje se koriste za analizu primljenih informacija. Prvi sistemi za otkrivanje upada razvijeni ranih 1980-ih koristili su statističke metode detekcije upada. Trenutno je u statističku analizu dodat niz novih metoda, počevši od ekspertnih sistema i fuzzy logike, pa do upotrebe neuronskih mreža.

Statistička metoda

Glavne prednosti statističkog pristupa su upotreba već razvijenog i dokazanog aparata matematičke statistike i prilagođavanje ponašanju ispitanika.

Prvo se određuju profili za sve subjekte analiziranog sistema. Svako odstupanje korištenog profila od reference smatra se neovlaštenom aktivnošću. Statističke metode su univerzalne, jer analiza ne zahtijeva znanje o mogućim napadima i ranjivostima koje oni iskorištavaju. Međutim, problemi nastaju kada se koriste ove metode:

"Statistički" sistemi nisu osjetljivi na redoslijed događaja; u nekim slučajevima, isti događaji, ovisno o redoslijedu kojim se javljaju, mogu karakterizirati anomalnu ili normalnu aktivnost;

Teško je postaviti granične (granične) vrijednosti karakteristika koje prati sistem za otkrivanje napada kako bi se adekvatno identifikovala anomalna aktivnost;

"Statistički" sistemi mogu biti "obučeni" od strane protivnika tokom vremena tako da se napadne akcije smatraju normalnim.

Također treba uzeti u obzir da statističke metode nisu primjenjive u onim slučajevima kada ne postoji obrazac tipičnog ponašanja za korisnika ili kada su neovlaštene radnje tipične za korisnika.

Ekspertni sistemi

Ekspertski sistemi se sastoje od skupa pravila koja obuhvataju znanje ljudskog stručnjaka. Upotreba ekspertskih sistema je uobičajena metoda za otkrivanje napada, u kojoj se informacije o napadima formulišu u obliku pravila. Ova pravila se mogu napisati, na primjer, kao niz radnji ili kao potpis. Kada se ispuni bilo koje od ovih pravila, donosi se odluka o prisutnosti neovlaštene aktivnosti. Važna prednost ovog pristupa je gotovo potpuno odsustvo lažnih alarma.

Baza podataka ekspertskog sistema treba da sadrži scenarije za većinu trenutno poznatih napada. Da bi bili stalno ažurni, ekspertni sistemi zahtijevaju stalno ažuriranje baze podataka. Dok ekspertski sistemi nude dobru priliku za pregled podataka u evidenciji, potrebna ažuriranja se mogu zanemariti ili ručno izvršiti od strane administratora. To u najmanju ruku vodi do ekspertnog sistema sa smanjenim mogućnostima. U najgorem slučaju, nedostatak odgovarajućeg održavanja umanjuje sigurnost cijele mreže, dovodeći njene korisnike u zabludu o stvarnom nivou sigurnosti.

Glavni nedostatak je nemogućnost odbijanja nepoznatih napada. Istovremeno, čak i mala promjena u već poznatom napadu može postati ozbiljna prepreka funkcionisanju sistema za otkrivanje upada.

Neuralne mreže

Većina modernih metoda detekcije upada koristi neki oblik analize kontrolisanog prostora zasnovanu na pravilima ili statistički pristup. Kontrolirani prostor mogu biti zapisnici ili mrežni promet. Analiza se oslanja na skup unapred definisanih pravila koja kreira administrator ili sam sistem za otkrivanje upada.

Stručnim sistemima je teško otkriti bilo kakvu podjelu napada tokom vremena ili među više napadača. Zbog širokog spektra napada i hakera, čak i posebna stalna ažuriranja baze podataka stručnih sistemskih pravila nikada neće garantovati tačnu identifikaciju čitavog spektra napada.

Upotreba neuronskih mreža je jedan od načina za prevazilaženje ovih problema ekspertnih sistema. Za razliku od ekspertskih sistema koji korisniku mogu dati konačan odgovor o usklađenosti karakteristika koje se razmatraju sa pravilima postavljenim u bazi, neuronska mreža analizira informacije i pruža mogućnost da se procijeni da li su podaci u skladu sa karakteristikama koje posjeduje. naučili da prepoznaju. Dok stepen podudarnosti reprezentacije neuronske mreže može dostići 100%, pouzdanost izbora u potpunosti zavisi od kvaliteta sistema u analizi primera zadatka.

Prvo, neuronska mreža je obučena da ispravno identificira na unaprijed odabranom uzorku primjera domena. Analizira se reakcija neuronske mreže i sistem se prilagođava na način da se postignu zadovoljavajući rezultati. Pored početnog perioda obuke, neuronska mreža stječe iskustvo tokom vremena dok analizira podatke koji se odnose na domenu.

Važna prednost neuronskih mreža u otkrivanju zloupotrebe je njihova sposobnost da "nauče" karakteristike namjernih napada i identifikuju elemente koji nisu slični onima koji su ranije viđeni u mreži.

Svaka od opisanih metoda ima niz prednosti i mana, pa je sada praktično teško pronaći sistem koji implementira samo jednu od opisanih metoda. Obično se ove metode koriste u kombinaciji.

Mailbombing
Najstarija vrsta napada. Značajno se povećava saobraćaja i broj poslanih poruka, što dovodi do kvara u servisu. To uzrokuje paraliza ne samo vašu poštu, već i rad samog mail servera. Efikasnost takvi napadi se danas smatraju nulom, jer sada provajdera ima mogućnost ugradnje ograničenje saobraćaja od jednog pošiljaoca.

Buffer overflow
Princip ove vrste napada je softverske greške, pri čemu memorija krši vlastite granice. Ovo, pak, prisiljava završiti proces hitan slučaj, ili izvršiti proizvoljno binarni kod, gdje se koristi tekući račun. Ako je račun administrator, onda ove radnje dozvoljavaju dobiti pun pristup sistemu.

Virusi, trojanci, crvi, njuškari
Ova vrsta napada kombinuje različite programe trećih strana. Imenovanje i princip rada takav program može biti izuzetno raznolik, tako da nema smisla detaljnije se zadržavati na svakom od njih. Svim ovim programima zajedničko je da im je glavni cilj pristup i " infekcija" sistemi.

mrežna inteligencija
The vrsta napada samo po sebi ne predviđa nikakvu destruktivnu akciju. Inteligencija znači samo prikupljanje informacija uljez - port scan, DNS upit, provjera sigurnosti računara i provjera sistema. Obično obavještajna služba izvršeno prije ozbiljnog ciljanog napada.

Njuškanje paketa
Princip rada zasniva se na karakteristikama mrežne kartice. Paketi koje prima šalju se na obradu, gdje posebne aplikacije stupaju u interakciju s njima. Kao rezultat toga, napadač dobija pristup ne samo informacijama o strukturi računarskog sistema, već i direktno prenošenim informacijama - lozinke, poruke i druge datoteke.

IP lažiranje
Vrsta napada na lokalne mreže, kada kompjuter napadač koristi IP adresa uključeno u ovaj lokalni net. Napad je moguć ako sistem sigurnost omogućava identifikaciju tipa IP adrese, isključujući dodatne uslove.

Čovek u sredini
Napadač presreće veza između dvije aplikacije, što rezultira pristup na sve informacije koje prolaze kroz ovaj kanal. Svrha napada nije samo krađa, ali takođe falsifikovanje informacije. Primjer takvog napada može poslužiti upotreba slično aplikacije za varanje u online igrama: informacije o događaju igre koje generiše strana klijenta se prenose na server. Na putu je postavljen program-presretač, koji mijenja informacije na zahtjev napadača i šalje ih serveru umjesto one koju šalje program klijent igre.

Injekcija
Takođe prilično širok tip napada, opšti princip koji - implementacija informacionih sistema sa dijelovima programskog koda treće strane tokom prijenosa podataka, pri čemu kod zapravo ne ometa rad aplikacije, ali istovremeno obavlja radnju potrebnu za napadača.

Uskraćivanje usluge
DoS (sa engleskog. Uskraćivanje usluge) — napad, koji ima svrhu da natjera server da ne odgovara na zahtjeve. Ova vrsta napada ne uključuje direktno pribavljanje nekih tajnih informacija, već se koristi za paralizu rada ciljanih servisa. Na primjer, neki programi mogu uzrokovati iznimke zbog grešaka u njihovom kodu, a kada su usluge onemogućene, mogu izvršiti kod koji je pružio napadač ili napade poplave kada server nije u mogućnosti obraditi sve dolazne pakete.

DDoS(sa engleskog. Distribuirano uskraćivanje usluge- distribuirano DoS) - podtip DoS napadi imati isto golšta i DoS, ali proizveden ne sa jednog računara, već sa više računara u mreže. U ovim tipovima napada korišteno bilo pojava greške koje stvaraju odbijanje usluga, ili radnju zaštite, uzrokujući blokiranje rad usluga, a kao rezultat također odbijanje u službi. DDoS koristi se tamo gde je normalno DoS neefikasno. Da bi se to postiglo, nekoliko računara se kombinuje i svaki proizvodi DoS napad na sistem žrtve. Zajedno se zove DDoS napad.

Načini zaštite od mrežnih napada.
Postoji mnogo načina za zaštitu od uljeza, uključujući antivirusi, zaštitni zidovi, razne ugradne filteri itd. Najefikasniji je profesionalizam korisnika. Ne bi trebalo da se otvara sumnjive lokacije (linkovi), datoteke u e-mailovima od misterioznog pošiljaoca nepoznatog tipa. Prije otvaranja priloga sa poznatih adresa, trebate tražiti potvrdu na bilo koji drugi način osim putem pošte. U pravilu, u tome mogu pomoći kursevi poznavanja računara i pismenosti, koji se provode u gotovo svakoj organizaciji. Ovo, međutim, neće zamijeniti zaštitne mehanizme i programe. Vrijedi zapamtiti da tehnologija mrežnih napada ne miruje i stoga je treba provoditi što je češće moguće. ažurirati antivirus, kao i da izvrši kompletno skeniranje računara.

Konsultujte se sa stručnjacima kompjuterske kompanije "KliK" kako biste sprečili sve moguće hakerske napade i virusne infekcije.

Postoje četiri glavne kategorije napada:

Pristupni napadi

Modifikacija napada

napadi uskraćivanja usluge

napadi poricanja.

Pogledajmo pobliže svaku kategoriju. Postoji mnogo načina za izvođenje napada: korištenjem posebno dizajniranih alata, metoda društvenog inženjeringa, kroz ranjivosti u kompjuterskim sistemima. Društveni inženjering ne koristi tehnička sredstva za neovlašćeni pristup sistemu. Napadač dolazi do informacija jednostavnim telefonskim pozivom ili se infiltrira u organizaciju pod maskom zaposlenog. Napadi ove vrste su najrazorniji.

Napadi usmjereni na hvatanje informacija pohranjenih u elektronskom obliku imaju jednu zanimljivu osobinu: informacije se ne kradu, već kopiraju. Ostaje kod prvobitnog vlasnika, ali ga i napadač dobija. Dakle, vlasnik informacije snosi gubitke, a veoma je teško otkriti trenutak kada se to dogodilo.

Pristupni napadi

Pristupni napad je pokušaj napadača da dobije informacije za koje nema dozvolu da ih pregleda. Provedba ovakvog napada je moguća gdje god postoje informacije i sredstva za njihovo prenošenje. Napad pristupa ima za cilj narušavanje povjerljivosti informacija. Postoje sljedeće vrste napada pristupa:

· peeping;

prisluškivanje

presretanje.

peeping(snooping) je pregled datoteka ili dokumenata u cilju pronalaženja informacija od interesa za napadača. Ako su dokumenti pohranjeni kao ispisi, napadač će otvoriti fioke stola i preturati po njima. Ako su informacije u kompjuterskom sistemu, onda će on prolaziti kroz fajl po fajl dok ne pronađe informacije koje su mu potrebne.

Prisluškivanje(prisluškivanje) je neovlašteno prisluškivanje razgovora u kojem napadač nije učesnik. Da bi se dobio neovlašteni pristup informacijama, u ovom slučaju napadač mora biti blizu njih. Vrlo često koristi elektronske uređaje. Uvođenje bežičnih mreža povećalo je vjerovatnoću uspješnog prisluškivanja. Sada napadač ne mora biti unutar sistema ili fizički povezati uređaj za slušanje na mrežu.

Za razliku od prisluškivanja. presretanje(presretanje) je aktivan napad. Napadač hvata informacije u procesu njihovog prijenosa do odredišta. Nakon analize informacija, donosi odluku da se dozvoli ili zabrani njihovo dalje prenošenje.

Napadi pristupa imaju različite oblike u zavisnosti od toga kako se informacije pohranjuju: u obliku papirnih dokumenata ili elektronski na računaru. Ako su informacije koje su potrebne napadaču pohranjene u obliku papirnih dokumenata, trebat će mu pristup tim dokumentima. Mogu se naći na sledećim mestima: u ormarićima za spise, u fiokama stola ili na radnim stolovima, na faksu ili štampaču u smeću, u arhivi. Dakle, napadač mora fizički prodrijeti na sva ova mjesta.

Dakle, fizički pristup je ključ za dobijanje podataka. Treba napomenuti da će pouzdana zaštita prostorija zaštititi podatke samo od neovlašćenih osoba, ali ne i od zaposlenih u organizaciji ili internih korisnika.

Informacije se čuvaju elektronski: na radnim stanicama, na serverima, u prenosivim računarima, na disketama, na CD-ovima, na rezervnim magnetnim trakama.

Napadač može jednostavno ukrasti medij za pohranu (flopi disk, CD, traku za sigurnosnu kopiju ili laptop računar). Ponekad je to lakše nego pristupiti datotekama pohranjenim na računarima.

Ako napadač ima legalan pristup sistemu, analiziraće fajlove jednostavnim otvaranjem jedan po jedan. Uz pravi nivo kontrole nad dozvolama, pristup ilegalnom korisniku će biti odbijen, a pokušaji pristupa će se evidentirati.

Ispravno konfigurisane dozvole će spriječiti slučajno curenje informacija. Međutim, ozbiljan napadač će pokušati da zaobiđe kontrolni sistem i dobije pristup potrebnim informacijama. Postoji veliki broj ranjivosti koje će mu u tome pomoći.

Kada prenosite informacije preko mreže, možete im pristupiti slušanjem prenosa. Napadač to radi tako što instalira njuškalo mrežnih paketa (sniffer) na računarski sistem. Ovo je obično računar konfigurisan da hvata sav mrežni saobraćaj (ne samo saobraćaj usmeren na ovaj računar). Da bi to učinio, napadač mora podići svoje privilegije u sistemu ili se povezati na mrežu. Analizator je konfigurisan da uhvati sve informacije koje prolaze kroz mrežu, a posebno korisničke ID-ove i lozinke.

Prisluškivanje se vrši i u globalnim kompjuterskim mrežama kao što su iznajmljene linije i telefonske veze. Međutim, ova vrsta presretanja zahtijeva odgovarajuću opremu i posebna znanja.

Presretanje je moguće čak iu optičkim komunikacionim sistemima koji koriste specijalizovanu opremu, koju obično izvodi vešt napadač.

Pristup informacijama putem presretanja jedan je od najtežih zadataka za napadača. Da bi bio uspješan, on mora postaviti svoj sistem u dalekovod između pošiljaoca i primaoca informacija. Na Internetu se to radi promjenom rezolucije imena, čime se naziv računara prevodi u nevažeću adresu. Saobraćaj se preusmjerava na sistem napadača umjesto na pravo odredište. Uz odgovarajuću konfiguraciju takvog sistema, pošiljalac nikada neće znati da njegova informacija nije stigla do primaoca.

Presretanje je također moguće tokom stvarne komunikacijske sesije. Ova vrsta napada je najprikladnija za hvatanje interaktivnog prometa. U ovom slučaju, napadač mora biti na istom segmentu mreže kao i klijent i server. Napadač čeka da legitimni korisnik otvori sesiju na serveru, a zatim, koristeći specijalizovani softver, preuzima sesiju koja je već u procesu.

Modifikacija napada

Modifikacija napada je neovlašteni pokušaj promjene informacija. Takav napad je moguć gdje god postoje ili se prenose informacije. Ima za cilj narušavanje integriteta informacija.

Jedna vrsta modifikacije napada je zamjena postojeće informacije, kao što je promjena plaće zaposlenika. Napad zamjene usmjeren je protiv tajnih i javno dostupnih informacija.

Druga vrsta napada je dodatak novi podaci, na primjer, informacije o historiji prošlih perioda. U ovom slučaju, napadač vrši operaciju u bankarskom sistemu, usljed čega se sredstva sa računa klijenta prebacuju na njegov vlastiti račun.

Napad odstranjivanje znači premeštanje postojećih podataka, kao što je brisanje transakcije iz bilansa banke, ostavljajući sredstva povučena sa računa da ostanu tamo.

Kao i napadi pristupa, napadi modifikacije se izvode na informacije pohranjene u papirnim dokumentima ili elektronski na računaru.

Dokumente je teško promijeniti tako da niko ne primijeti: ako postoji potpis (na primjer, u ugovoru), morate se pobrinuti za njegovo krivotvorenje, pričvršćeni dokument mora se pažljivo ponovo sastaviti. Ako postoje kopije dokumenta, i njih je potrebno preraditi, kao i original. A pošto je gotovo nemoguće pronaći sve kopije, vrlo je lako uočiti lažnjak.

Vrlo je teško dodati ili ukloniti unose iz dnevnika aktivnosti. Prvo, informacije u njima su poredane hronološkim redom, tako da će se svaka promjena odmah primijetiti. Najbolji način je da uklonite dokument i zamijenite ga novim. Ove vrste napada zahtijevaju fizički pristup informacijama.

Izmjena informacija pohranjenih elektronski je mnogo lakša. S obzirom da napadač ima pristup sistemu, takva operacija ostavlja za sobom minimum dokaza. U nedostatku ovlaštenog pristupa datotekama, napadač mora prvo osigurati prijavu na sistem ili promijeniti postavke kontrole pristupa datotekama.

Modificiranje datoteka baze podataka ili liste transakcija mora se obaviti vrlo pažljivo. Transakcije se numerišu uzastopno i biće uočeno brisanje ili dodavanje netačnih brojeva transakcija. U ovim slučajevima, morate naporno raditi na cijelom sistemu kako biste spriječili otkrivanje.