Program za demonstriranje mrežnih napada. Tehnologije sustava za otkrivanje mrežnih napada

Zlonamjernici rijetko bez ceremonije upadaju u mrežu s "oružjem" u rukama. Radije provjeravaju jesu li brave na vratima učvršćene i jesu li svi prozori zatvoreni. Oni diskretno analiziraju obrasce prometa u vašoj mreži i izvan nje, pojedinačne IP adrese i postavljaju naizgled neutralne upite upućene pojedinačnim korisnicima i mrežnim uređajima.

Ovi pametno kamuflirani neprijatelji zahtijevaju instaliranje inteligentnog softvera za otkrivanje. mrežni napadi s visokom osjetljivošću. Kupljeni proizvod ne bi trebao samo upozoriti administratora na slučajeve očitih kršenja sustava sigurnost informacija, ali i o svim sumnjivim događajima koji se na prvi pogled čine potpuno bezopasnim, a u stvarnosti kriju hakerski napad punog razmjera. Nepotrebno je reći da svaki aktivni pokušaj probijanja lozinki sustava treba odmah prijaviti administratoru.

Moderne korporacije doslovno su pod unakrsnom paljbom napadača koji žele ukrasti vrijedne informacije ili jednostavno onemogućiti Informacijski sustavi. Zadaci u borbi protiv hakera su očigledni:

– obavijest o pokušaju neovlaštenog pristupa treba biti trenutna;

– odraz napada i minimiziranje gubitaka (kako biste se oduprli uljezu, trebali biste odmah prekinuti komunikacijsku sesiju s njim);

- prijelaz u protuofenzivu (napadač mora biti identificiran i kažnjen).

Upravo je ovaj scenarij korišten prilikom testiranja četiri najpopularnija sustava za otkrivanje mrežnih napada na današnjem tržištu:

– Uzbuna protiv uljeza;

– eTrust otkrivanje upada.

Karakteristike ovih softverskih sustava za otkrivanje mrežnih napada dane su u tablici. 3.2.

BlackICE Network ICE je specijalizirana aplikacija za agente dizajnirana isključivo za otkrivanje uljeza. Nakon što pronađe nepozvanog gosta, šalje izvješće o ovom događaju ICEcap kontrolnom modulu, koji analizira informacije primljene od različitih agenata i nastoji lokalizirati napad na mrežu.

Softver Alert Technologies Intruder Alert više je poput sigurnosnog alata jer vam daje najveću fleksibilnost u definiranju strategija mrežne sigurnosti.

CyberSafe Centrax je sve-u-jednom paket koji uključuje sigurnosne kontrole, praćenje prometa, otkrivanje napada i poruke upozorenja.

eTrust otkrivanje upada tvrtke Computer Associates posebno je snažno u svojim mogućnostima nadzora sigurnosti i upravljanja politikama, iako još uvijek uključuje upozorenja u stvarnom vremenu, šifriranje podataka i otkrivanje upada.

Upozorenja koja generiraju BlackICE agenti vrlo su specifična. Tekst poruke neće natjerati administratora da sumnja u prirodu registriranog događaja, au većini slučajeva i njegovu važnost. Osim toga, proizvod omogućuje administratoru da prilagodi sadržaj vlastitih poruka upozorenja, ali uglavnom To je nepotrebno.

Vrlo korisno svojstvo koju je razvio Network ICE, kao i paket Intruder Alert, je mogućnost preuzimanja najnovijih potpisa hakerskih napada s poslužitelja.

Pokušaji onemogućavanja korporativnog poslužitelja, koji je kao rezultat prisiljen odbiti zahtjeve za uslugu (odbijanje usluge), prepuni su prilično ozbiljne prijetnje poslovanju tvrtki koje pružaju usluge svojim klijentima. globalna mreža. Bit napada je da napadač generira tisuće SYN zahtjeva (za uspostavljanje veze) upućenih napadnutom poslužitelju. Svaki zahtjev se isporučuje s lažnom izvornom adresom, što znatno otežava točnu identifikaciju same činjenice napada i pronalaženje napadača. Nakon što primi sljedeći SYN zahtjev, poslužitelj to pretpostavlja pričamo o početku nove komunikacijske sesije i prelazi u stanje pripravnosti za prijenos podataka. Iako se nakon toga ne primaju podaci, poslužitelj mora čekati Određeno vrijeme(maksimalno 45 s) prije prekida veze. Ako se nekoliko tisuća ovih lažnih zahtjeva pošalje poslužitelju u roku od nekoliko minuta, on će biti preopterećen, tako da jednostavno neće ostati resursa za obradu stvarnih zahtjeva za pružanje određene usluge. Drugim riječima, kao rezultat SYN napada, stvarnim korisnicima bit će uskraćena usluga.

Svi opisani sustavi, s izuzetkom detekcije upada eTrust tvrtke Computer Associates, koriste model softverski agenti, koji se prvo instaliraju na mrežne uređaje, a zatim prikupljaju informacije o potencijalnim napadima i šalju ih na konzolu. Agenti otkrivaju kršenja utvrđene strategije zaštite, a zatim generirati odgovarajuće poruke.

Sustavi bazirani na agentima najbolje su rješenje za komutirane mreže jer u takvim mrežama ne postoji jedinstvena točka kroz koju mora proći sav promet. Umjesto da nadzire jednu vezu, agent prati sve pakete koje prima ili šalje uređaj na kojem je instaliran. Kao rezultat toga, napadači ne mogu "sjesti" na prekidaču.

Prethodno se može ilustrirati na primjeru Network ICE proizvoda. Programu BlackICE dodijeljena je uloga agenta instaliranog u potpuno autonomnom operativnom okruženju, na primjer, na računalu udaljenog korisnika ili na jednom od čvorova korporativne mreže za prijenos podataka. Nakon što otkrije da haker napada udaljeni stroj, agent će izdati upozorenje izravno na svom zaslonu. Ako se sličan događaj zabilježi u korporativnoj mreži, poruka o pokušaju neovlaštenog pristupa bit će poslana drugoj aplikaciji - ICEcap, koja sadrži alate za nadzor mreže. Potonji prikuplja i uspoređuje informacije koje dolaze od različitih njemu podređenih agenata, što mu omogućuje brzo prepoznavanje događaja koji stvarno ugrožavaju sigurnost mreže.

Sustav eTrust, nasuprot tome, temelji se na centraliziranoj arhitekturi. Instalira se na središnjem čvoru i analizira promet u podređenom segmentu mreže. Odsutnost agenata ne dopušta ovom proizvodu praćenje svih događaja u komutiranoj mreži, budući da je nemoguće odabrati jedan "vidikovnik" s kojeg bi cijela mreža bila vidljiva na prvi pogled.

Paket Intruder Alert i CyberSafeov Centrax sustav više su alati za izgradnju vlastiti sustav otkrivanje mrežnog napada. Kako bi u potpunosti iskoristila svoje mogućnosti, organizacija mora imati programere s odgovarajućim kvalifikacijama u svom osoblju ili imati proračun za naručivanje takvog posla.

Iako su svi opisani proizvodi jednostavni za instalaciju, upravljanje Intruder Alert i Centrax sustavima nije jednostavno. Na primjer, ako Centrax izda poruku upozorenja nepoznatog ili neodređenog sadržaja (a ova se situacija dogodila više puta u našim testovima), malo je vjerojatno da će administrator moći brzo utvrditi što se zapravo dogodilo, pogotovo ako se mora pozvati na događaj log datoteke za pojašnjenje dijagnoze. . Ove datoteke su iscrpne, ali programeri su, očito, odlučili da je dovoljno da obična osoba samo nagovijesti o čemu bi se moglo raspravljati, a priroda onoga što se događa bi se nepogrešivo identificirala. Dnevnici za ovaj sustav sadrže opise izdanih upozorenja, ali ne i identifikatore upozorenja. Administrator vidi adrese portova na koje su se odnosili sumnjivi zahtjevi, niti parametre drugih operacija, ali ne dobiva nikakvu informaciju o tome što bi sve to moglo značiti.

Navedena okolnost značajno umanjuje vrijednost poruka u stvarnom vremenu, budući da je nemoguće odmah utvrditi odražava li opis događaja stvarnu prijetnju sigurnosnom sustavu ili je to samo pokušaj provođenja temeljitije analize prometa. Drugim riječima, ima smisla kupovati ove proizvode samo ako vaša organizacija ima iskusne stručnjake za informacijsku sigurnost.

Softver za otkrivanje upada eTrust tvrtke Computer Associates više je od sustava za praćenje mrežne aktivnosti i otkrivanje hakerskih napada. Ovaj proizvod može ne samo dekodirati pakete različitih protokola i uslužnog prometa, već ih i presresti za naknadni izlaz na kontrolnu konzolu u izvornom formatu. Sustav prati sav TSRYP promet i upozorava administratora na kršenje utvrđenih strategija informacijske sigurnosti. Istina, ovaj razvoj ne podržava istu razinu detalja skupova pravila kao Intruder Alert.

Međutim, otkrivanje pokušaja neovlaštenog pristupa i izdavanje poruka upozorenja samo je pola bitke. Softver vatrozida mora zaustaviti hakera i poduzeti protumjere. U tom smislu najbolji dojam ostavljaju paketi Intruder Alert i Centrax, isti oni koji su izazvali dosta kritika u pogledu postavki konfiguracije. Dok softver Network ICE i softver eTrust odmah zatvaraju prijeteće komunikacije, Intruder Alert i Centrax idu još dalje. Na primjer, aplikacija tvrtke Axent Technologies može se konfigurirati za pokretanje određene batch datoteke ovisno o prirodi zabilježenih događaja, kao što je ponovno pokretanje poslužitelja koji je pretrpio napad uskraćivanja usluge.

Nakon što sam odbio napad, želim odmah u protuofenzivu. Aplikacije Black-ICE i Centrax podržavaju tablice s ID-ovima hakera. Ove tablice se popunjavaju nakon trasiranja sve do "brloge" u kojoj se krije neprijatelj. Mogućnosti softver BlackICE je posebno impresivan kada je u pitanju identificiranje izvora napada, bilo unutar ili izvan mreže: unatoč brojnim pametnim manevrima, nikada nismo uspjeli ostati anonimni.

No, sustav eTrust pogađa stupanjem prodora u prirodu aktivnosti svakog korisnika mreže, često ni ne sluteći da je pod strogim nadzorom. Istovremeno, ovaj paket pruža najpotpunije (a možda i najtočnije) informacije o uljezima, čak i gdje se nalaze.

Aplikacija Centrax može stvoriti takozvane datoteke za mamce, dajući sekundarnoj datoteci smisleno ime poput "Vedomosti.xls" i na taj način dovodeći u zabludu pretjerano znatiželjne korisnike. Ovaj nam se algoritam čini previše jednostavan, ali može i dobro obaviti posao: uz njegovu pomoć moguće je "uloviti" zaposlenike kako "češljaju" korporativnu mrežu kako bi identificirali povjerljive informacije.

Svaki od razmatranih softverskih proizvoda generira izvješća o sumnjivim slučajevima mrežne aktivnosti. visoka kvaliteta ICEcap i eTrust Intrusion Detection ističu se takvim izvješćima i jednostavnošću korištenja. Potonji paket je posebno fleksibilan, možda zato što je izveden iz dekodera protokola. Konkretno, administrator može analizirati mrežne događaje u smislu pojedinačnih resursa, bilo da su to protokoli, klijentske stanice ili poslužitelji. eTrust nudi mnoge unaprijed dizajnirane formate izvješća. Njihova dobro osmišljena struktura uvelike olakšava otkrivanje uljeza i omogućuje vam da kaznite krive korisnike.

Svaki proizvod ima svoje prednosti i mane, pa se može preporučiti samo kao rješenje određene zadatke. Kada je riječ o zaštiti komutiranih mreža, Network ICE, Axent Technologies i CyberSafe su dobar izbor. eTrust Intrusion Detection idealan je za rano obavještavanje o kršenjima poslovne etike kao što je vulgarnost u porukama e-pošte. Sustavi Intruder Alert i Centrax izvrsni su alati za konzultante za informacijsku sigurnost i organizacije s osobljem stručnjaka za sigurnost. Međutim, za one tvrtke koje si ne mogu priuštiti korištenje usluga visoko plaćenih stručnjaka, preporučujemo instaliranje Network ICE proizvoda. Ove aplikacije će zamijeniti pravog stručnjaka zaštita mreže bolje od bilo kojeg još jedan sustav koji smo ikada vidjeli.

Prvi sustavi za otkrivanje sumnjivih mrežna aktivnost u korporativnim intranetima, pojavio se prije gotovo 30 godina. Možemo se prisjetiti, na primjer, MIDAS sustava, razvijenog 1988. godine. Međutim, to je više bio prototip.

Prepreka stvaranju punopravnih sustava ovaj sat Dugo vrijeme postojala je slaba računalna snaga masovnih računalnih platformi, a istinski radna rješenja predstavljena su tek 10 godina kasnije. Nešto kasnije, prvi komercijalni uzorci sustava za otkrivanje upada (ISOs, ili IDS - Intrusion Detection Systems) ušli su na tržište ...

Danas je zadatak otkrivanja mrežnih napada jedan od najvažnijih. Njegova važnost je porasla zbog složenosti metoda napada te topologije i sastava modernih intraneta. Prije su napadači koristili dobro poznatu exploit stack za izvođenje uspješnog napada, ali sada pribjegavaju mnogo sofisticiranijim metodama, natječući se u vještini sa stručnjacima na strani obrane.

Suvremeni zahtjevi za IDS

Sustavi za otkrivanje upada registrirani u ruskom softverskom registru uglavnom koriste metode potpisa. Ili deklariraju definiciju anomalija, ali analitika, maksimalno, radi s podacima koji nisu detaljniji od tipa protokola. Pluton se temelji na duboka analiza softverske definicije paketa. Pluton superponira podatke dolaznog paketa na specifičnosti podataka domaćina - točnija i fleksibilnija analitika.

Ranije su metode površinske analize i potpisa uspješno obavljale svoje funkcije (u to vrijeme napadači su pokušavali iskoristiti već poznate softverske ranjivosti). Ali u modernim uvjetima napadi se mogu razvući u vremenu (tzv. APT), kada je njihov promet maskiran šifriranjem i zamagljivanjem (obfuscation), tada su metode potpisa neučinkovite. Osim toga, moderni napadi koriste razne načine IDS obilaznica.

Kao rezultat toga, napori da se konfiguriraju i održavaju tradicionalni sustavi za otkrivanje upada mogu premašiti razumne granice, a tvrtka često dolazi do zaključka da je takva vježba samo gubitak resursa. Kao rezultat toga, IDS postoji formalno, obavljajući samo zadatak prisutnosti, a informacijski sustavi poduzeća ostaju bespomoćni kao i prije. Ova situacija je puna još većih gubitaka.

IDS sljedeće generacije

Pluton IDS PAC, koji je razvio Jet Infosystems, nova je generacija kompleksa visokih performansi za otkrivanje mrežnih napada. Za razliku od tradicionalnog IDS-a, Pluton kombinira istovremenu analizu mrežnih paketa signaturnim i heurističkim metodama sa očuvanjem podataka o okolišu, pruža duboku analitiku i proširuje skup podataka za istraživanje. Napredne metode za prepoznavanje potencijalnih prijetnji, dopunjene povijesnim podacima o mrežno okruženje, promet, kao i zapisnici sustava, čine "Pluton" važan element informacijski sigurnosni sustavi poduzeća. Sustav je u stanju otkriti znakove računalni napadi te anomalije u ponašanju mrežnih čvorova u komunikacijskim kanalima s propusnošću većom od 1 Gbps.

Osim što otkriva znakove računalnih napada na informacijske sustave, Pluton osigurava ozbiljnu zaštitu vlastitih komponenti, kao i zaštitu komunikacijskih kanala: u slučaju hardverskog kvara, veza neće biti prekinuta. Sve komponente Plutona rade u zatvorenom softverskom okruženju - to čini nemoguće lansiranje Treća strana programski kod i služi kao dodatno jamstvo protiv infekcije zlonamjernog softvera. Stoga, možete biti sigurni da Pluton neće postati "prozor" za uljeze u vašu mrežu i neće se pretvoriti u "glavobolju" za mrežne ljude i osobe iz sigurnosti.

"Pluton" pažljivo prati svoje "zdravlje", kontrolirajući integritet konfiguracije komponenti sustava, podatke o prikupljenim mrežnim informacijskim sigurnosnim događajima i mrežnom prometu. Time se osigurava ispravan rad komponenti sustava i, sukladno tome, stabilnost njegovog rada. A korištenje posebnih mrežnih kartica kao dio komponenti rješenja omogućuje otklanjanje prekida u komunikacijskim kanalima čak i u slučaju potpunog kvara opreme ili nestanka struje.

S obzirom na složenost implementacije sustava za otkrivanje upada, kao i stalno povećanje širina pojasa komunikacijskih kanala, osigurali smo mogućnost fleksibilnog horizontalnog skaliranja složenih komponenti. Ako bude potrebno spojiti dodatne mrežne senzore na sustav, bit će dovoljno instalirati dodatni poslužitelj upravljanje povezivanjem u klaster s postojećim. U tom slučaju, računalna snaga oba poslužitelja bit će logično spojena u jedan resurs. Stoga povećanje performansi sustava postaje vrlo jednostavan zadatak. Osim toga, sustav ima arhitekturu otpornu na greške: u slučaju kvara jedne od komponenti, tok događaja se automatski preusmjerava na komponente klastera u stanju pripravnosti.

Pluton se temelji na našem više od 20 godina iskustva u postavljanju i upravljanju složenim obrambenim sustavima. Najviše znamo česti problemi kupci i nedostaci suvremenih rješenja IDS klase. Naša stručnost nam je omogućila da identificiramo najhitnije zadatke i pomogla u pronalaženju najboljih načina za njihovo rješavanje.

Trenutno postoji certifikacija kompleksa Pluton po komponenti prema zahtjevima za sustave za otkrivanje upada na razini mreže (2. klasa zaštite) i za odsutnost nedeklariranih sposobnosti (2. razina kontrole).

Značajke Plutona:

Identifikacija znakova računalnih napada u mrežnom prometu, uključujući i one raspoređene u vremenu, korištenjem signaturnih i heurističkih metoda;

Kontrola abnormalne aktivnosti mrežnih čvorova i utvrđivanje znakova kršenja korporativne sigurnosne politike;

. akumulacija i skladištenje:

— retrospektivne podatke o otkrivenim događajima informacijske sigurnosti s podesivom dubinom pohrane;

— informacije o inventaru o mrežnim čvorovima (profil hosta);

— informacije o mrežnim komunikacijama čvorova, uključujući statistiku potrošnje prometa (od mreže do aplikacijskog sloja prema OSI modelu);

— metapodatke o datotekama koje se prenose između mrežnih čvorova;

Prijenos rezultata analize mrežni promet u sustave vanjske zaštite kako bi se poboljšala učinkovitost identificiranja različitih vrsta incidenata informacijske sigurnosti;

Pružanje dokazne baze o činjenicama računalnih napada i mrežnih komunikacija za istragu incidenata.

Postupak za otkrivanje mrežnih napada.

1. Klasifikacija mrežnih napada

1.1. Njuškači paketa

Njuškalo paketa je aplikacijski program koji koristi mrežnu karticu koja radi u promiskuitetnom načinu ( u ovom načinu rada su svi paketi primljeni putem fizičkih kanala mrežni adapteršalje zahtjevu na obradu). U ovom slučaju, njuškalo presreće sve mrežne pakete koji se prenose kroz određenu domenu.

1.2. IP lažiranje

IP lažiranje se događa kada se haker, bilo unutar ili izvan sustava, predstavlja kao ovlašteni korisnik. To se može učiniti na dva načina. Prvo, haker može koristiti IP adresu koja je unutar raspona ovlaštenih IP adresa ili ovlaštenu vanjsku adresu kojoj je dopušten pristup određenim mrežnim resursima. Napadi lažiranja IP-a često su početna točka za druge napade. Klasičan primjer je DoS napad koji počinje s tuđom adresom koja skriva pravi identitet hakera.

Obično je IP lažiranje ograničeno na umetanje lažnih informacija ili zlonamjernih naredbi u normalan tok podataka koji se prenosi između klijentske i poslužiteljske aplikacije ili preko komunikacijskog kanala između ravnopravnih korisnika. Za dvosmjernu komunikaciju, haker mora promijeniti sve tablice usmjeravanja kako bi usmjerio promet na lažnu IP adresu. Neki hakeri, međutim, niti ne pokušavaju dobiti odgovor od aplikacija. Ako je glavni zadatak primanje važne datoteke iz sustava, odgovori aplikacija nisu bitni.

Ako haker uspije promijeniti tablice usmjeravanja i usmjeriti promet na lažnu IP adresu, haker će primiti sve pakete i moći će na njih odgovoriti kao da je ovlašteni korisnik.

1.3. Uskraćivanje usluge ( Uskraćivanje usluge - DoS)

DoS je najpoznatiji oblik hakerskih napada. Protiv napada ovog tipa najteže je stvoriti stopostotnu zaštitu.

Najpoznatije vrste DoS-a:

• TCP SYN Flood Ping of Death Tribe Flood Network ( TFN);
• Mreža poplava plemena 2000 TFN2K);
• Trinco;
• Stacheldracht;
• Trojstvo.

DoS napadi se razlikuju od drugih vrsta napada. Oni nisu namijenjeni za dobivanje pristupa mreži ili dobivanje bilo kakvih informacija iz ove mreže. DoS napad čini mrežu nedostupnom za normalnu upotrebu prekoračenjem dopuštenih ograničenja mreže, operativnog sustava ili aplikacije.

Kada koristite neke poslužiteljske aplikacije (kao što je web poslužitelj ili FTP poslužitelj) DoS napadi mogu biti preuzimanje svih veza dostupnih ovim aplikacijama i njihovo održavanje u zauzetom stanju, sprječavajući obične korisnike da budu uslužni. DoS napadi mogu koristiti uobičajene internetske protokole kao što su TCP i ICMP ( Internet Control Message Protocol). Većina DoS napada se ne oslanja na softverske greške ili sigurnosne rupe, ali opće slabosti arhitekture sustava. Neki napadi poništavaju performanse mreže preplavljujući je neželjenim i nepotrebnim paketima ili prijavom lažne informacije o trenutnom stanju mrežnih resursa. Ovu vrstu napada teško je spriječiti jer zahtijeva koordinaciju s ISP-om. Ako se promet namijenjen preplavljivanju vaše mreže ne zaustavi kod davatelja, tada na ulazu u mrežu to više nećete moći, jer će cijela propusnost biti zauzeta. Kada se ova vrsta napada provodi istovremeno kroz više uređaja, napad je distribuirani DoS ( DDoS - distribuirani DoS).

1.4. Napadi lozinkom

Hakeri mogu izvršiti napade lozinkom korištenjem raznih metoda, poput grube sile ( napad grubom silom), trojanski konj, lažiranje IP-a i njuškanje paketa. Iako se prijava i lozinka često mogu dobiti korištenjem IP lažiranja i njuškanja paketa, hakeri često pokušavaju pogoditi lozinku i prijavu koristeći višestruke pokušaje pristupa. Ovaj pristup se zove jednostavna iteracija. (napad grubom silom). Ovaj napad se često koristi poseban program Ono koje pokušava pristupiti resursu uobičajena upotreba (npr. na poslužitelj). Ako, kao rezultat, haker dobije pristup resursima, dobiva ga na prava redoviti korisnik, čija je lozinka pogodena. Ako ovaj korisnik ima značajne pristupne povlastice, haker može sebi stvoriti "gateway" za budući pristup, koji će raditi čak i ako korisnik promijeni svoju lozinku i prijavu.

Drugi problem nastaje kada korisnici koriste iste ( čak i ako je jako dobro) lozinka za pristup mnogim sustavima: korporativnim, osobnim i internetskim sustavima. Budući da je snaga lozinke jednaka jačini najslabijeg hosta, haker koji nauči lozinku putem ovog hosta dobiva pristup svim ostalim sustavima gdje se koristi ista lozinka.

1.5. Napadi čovjeka u sredini

Za napad Man-in-the-Middle, hakeru je potreban pristup paketima koji se šalju preko mreže. Takav pristup svim paketima prenesenim od davatelja na bilo koju drugu mrežu može, na primjer, dobiti zaposlenik ovog davatelja. Za ovu vrstu napada često se koriste njuškari paketa, transportni protokoli i protokoli za usmjeravanje. Napadi se provode radi krađe informacija, presretanja trenutne sesije i pristupa privatnim mrežnim resursima, analize prometa i dobivanja informacija o mreži i njezinim korisnicima, izvođenja DoS napada, iskrivljavanja prenesenih podataka i unosa neovlaštenih informacija u mrežne sesije.

1.6. Napadi na aplikacijski sloj

Napadi aplikacijskog sloja mogu se izvesti na nekoliko načina. Najčešći od njih je iskorištavanje slabosti poslužiteljskog softvera ( sendmail, HTTP, FTP). Koristeći ove slabosti, hakeri mogu dobiti pristup računalu u ime korisnika koji pokreće aplikaciju ( obično to nije jednostavan korisnik, već privilegirani administrator s pravima pristupa sustavu). Pojedinosti o napadu na aplikacijskom sloju naširoko su objavljeni kako bi se administratorima omogućilo da isprave problem pomoću korektivnih modula ( zakrpe). Glavni problem s napadima aplikacijskog sloja je taj što oni često koriste portove kojima je dopušteno proći kroz vatrozid. Na primjer, haker koji iskorištava dobro poznatu slabost web poslužitelja u TCP napadu često koristi port 80. Budući da web poslužitelj izlaže web stranice korisnicima, vatrozid mora omogućiti pristup ovom portu. Sa stajališta vatrozida, napad se tretira kao standardni promet na portu 80.

1.7. mrežna inteligencija

Mrežna inteligencija je prikupljanje informacija o mreži pomoću javno dostupnih podataka i aplikacija. Kada priprema napad na mrežu, haker obično pokušava dobiti što više informacija o njoj. više informacija. Mrežno izviđanje ima oblik DNS upita, ping pretraživanja i skeniranja portova. DNS upiti pomažu razumjeti tko je vlasnik određene domene i koje su adrese dodijeljene ovoj domeni. Eho testiranje ( ping sweep) adrese objavljene od korištenjem DNS-a, omogućuje vam da vidite koji se hostovi zapravo izvode u danom okruženju. S obzirom na popis hostova, haker koristi alate za skeniranje portova kako bi sastavio potpuni popis usluga koje podržavaju ti hostovi. I na kraju, haker analizira karakteristike aplikacija koje rade na hostovima. Kao rezultat, dobivaju se informacije koje se mogu koristiti za hakiranje.

1.8. kršenje povjerenja

Ova vrsta radnje nije "napad" ili "oluja". To je zlonamjerno iskorištavanje odnosa povjerenja koji postoje na mreži. Primjer je sustav instaliran na vanjskoj strani vatrozida koji ima odnos povjerenja sa sustavom instaliranim na njegovoj strani. iznutra. U slučaju hakiranja vanjski sustav, haker može koristiti odnose povjerenja kako bi provalio u sustav zaštićen vatrozidom.

1.9. Prosljeđivanje luka

Prosljeđivanje portova je oblik povrede povjerenja gdje se kompromitirani host koristi za slanje prometa kroz vatrozid koji bi inače sigurno bio odbijen. Primjer aplikacije koja može pružiti ovaj pristup je netcat.

1.10. Neovlašten pristup

Neovlašteni pristup se ne može uzeti u obzir zaseban tip napadi. Većina mrežnih napada provodi se radi dobivanja neovlaštenog pristupa. Da bi preuzeo telnet prijavu, haker prvo mora dobiti telnet prompt na svom sustavu. Nakon spajanja na telnet port, na ekranu se pojavljuje poruka « potrebno ovlaštenje koristiti ovaj resurs" (Za korištenje ovog resursa potrebna je autorizacija.). Ako nakon toga haker nastavi pokušavati pristupiti, bit će uzeti u obzir "neovlašteno". Izvor takvih napada može biti unutar mreže i izvan nje.

1.11. Virusi i aplikacije tog tipa "Trojanski konj"

Klijentske radne stanice vrlo su osjetljive na viruse i Trojanski konji. "Trojanski konj" nije softverski umetak, ali pravi program, što izgleda korisna aplikacija, ali zapravo igra štetnu ulogu.

2. Metode za suzbijanje mrežnih napada

2.1. Prijetnju od njuškanja paketa možete ublažiti korištenjem sljedećih alata:

2.1.1. Ovjera - Jaka sredstva autentifikacije su prvi način zaštite od njuškanja paketa. Pod, ispod "jako" razumijemo metodu provjere autentičnosti koju je teško zaobići. Primjer takve provjere autentičnosti su jednokratne lozinke ( OTP - Jednokratne lozinke). OTP je tehnologija provjere autentičnosti s dva faktora koja kombinira ono što imate s onim što znate. Pod "karticom" ( znak) znači hardverski ili softverski alat koji generira ( na nasumičnoj osnovi) jedinstvena jednokratna jednokratna lozinka. Ako haker nauči ovu lozinku pomoću njuškala, ta će informacija biti beskorisna jer će u tom trenutku lozinka već biti korištena i zastarjela. Ovaj način rješavanja njuškanja učinkovit je samo za rješavanje njuškanja lozinki.

2.1.2. Komutirana infrastruktura – Drugi način borbe protiv njuškanja paketa u mrežnom okruženju je stvaranje komutirane infrastrukture tako da hakeri mogu pristupiti prometu samo na portu na koji su povezani. Komutirana infrastruktura ne eliminira prijetnju njuškanja, ali značajno smanjuje njezinu ozbiljnost.

2.1.3. Anti-sniffers – Treći način borbe protiv njuškanja je instaliranje hardvera ili softvera koji prepoznaje njuškare koji rade na vašoj mreži. Ovi alati ne mogu u potpunosti eliminirati prijetnju, ali, kao i mnogi drugi alati, mrežna sigurnost, oni su uključeni u zajednički sustav zaštita. tzv "protiv njuškala" izmjeriti vrijeme odgovora hostova i odrediti trebaju li domaćini obraditi "ekstra" promet.

2.1.4. Kriptografija - Most učinkovita metoda njuškanje paketa ne sprječava presretanje i ne prepoznaje rad sniffera, ali čini ovaj posao beskorisnim. Ako je komunikacijski kanal kriptografski siguran, to znači da haker ne presreće poruku, već šifrirani tekst (tj. nerazumljiv slijed bitova).

2.2. Prijetnja lažiranja može se ublažiti ( ali ne i eliminirati) kroz sljedeće mjere:

2.2.1. Kontrola pristupa - Najlakši način da spriječite lažiranje IP-a je da ispravna postavka kontrola pristupa. Kako bi se smanjila učinkovitost lažiranja IP-a, kontrola pristupa je konfigurirana tako da prekine svaki promet koji dolazi vanjska mreža s izvornom adresom, koja se mora nalaziti unutar vaše mreže. To pomaže u borbi protiv lažiranja IP-a kada su ovlaštene samo interne adrese. Ako su neke vanjske mrežne adrese također ovlaštene, ovu metodu postaje neučinkovit.

2.2.2. Filtriranje RFC 2827 - suzbijanje pokušaja lažiranja stranih mreža od strane korisnika korporativne mreže. Da biste to učinili, potrebno je odbiti bilo koji odlazni promet, čija izvorna adresa nije jedna od IP adresa Banke. Ovu vrstu filtriranja, poznatu kao "RFC 2827", također može izvesti ISP ( ISP). Kao rezultat toga, sav promet koji nema izvornu adresu očekivanu na određenom sučelju se odbija.

2.2.3. Najviše učinkovita metoda Borba protiv lažiranja IP-a je ista kao i u slučaju njuškanja paketa: potrebno je napad učiniti potpuno neučinkovitim. IP lažiranje može funkcionirati samo ako se autentifikacija temelji na IP adresama. Stoga uvođenje dodatnih metoda provjere autentičnosti čini ovu vrstu napada beskorisnom. najbolji pogled dodatna provjera autentičnosti je kriptografski. ako je nemoguće, dobri rezultati može dati dvofaktorsku autentifikaciju korištenjem jednokratnih lozinki.

2.3. Prijetnja od DoS napada može se ublažiti na sljedeće načine:

2.3.1. Značajke protiv lažiranja – Ispravno konfiguriranje značajki protiv lažiranja na vašim usmjerivačima i vatrozidima pomoći će smanjiti rizik od DoS-a. Ove značajke bi trebale, u najmanju ruku, uključivati ​​filtriranje RFC 2827. Osim ako haker ne može prikriti svoj pravi identitet, malo je vjerojatno da će pokušati napad.

2.3.2. Anti-DoS funkcije - Pravilna konfiguracija anti-DoS funkcija na usmjerivačima i vatrozidima može ograničiti učinkovitost napada. Ove značajke ograničavaju broj poluotvorenih kanala u bilo kojem trenutku.

2.3.3. Ograničavanje količine prometa ( ograničavanje brzine prometa) – ugovor s pružateljem ( ISP) o ograničavanju količine prometa. Ova vrsta filtriranja omogućuje vam da ograničite količinu nekritičnog prometa koji prolazi kroz mrežu. Uobičajeni primjer je ograničavanje količine ICMP prometa koji se koristi samo u dijagnostičke svrhe. napadi ( D) DoS često koristi ICMP.

2.3.4. Blokiranje IP adresa - nakon analize DoS napadi i identificirajući raspon IP adresa s kojih se vrši napad, kontaktirajte davatelja da ih blokira.

2.4. Napadi lozinkom mogu se izbjeći ne korištenjem lozinki običnog teksta. Jednokratne lozinke i/ili kriptografska autentifikacija može praktički eliminirati prijetnju takvih napada. Ne podržavaju sve aplikacije, hostovi i uređaji gore navedene metode provjere autentičnosti.

Kada koristite obične lozinke, morate smisliti lozinku koju bi bilo teško pogoditi. Minimalna duljina lozinke mora biti najmanje osam znakova. Lozinka mora sadržavati velika slova, brojeve i Posebni simboli (#, %, $, itd.). Najbolje lozinke teško pogoditi i teško zapamtiti, prisiljavajući korisnike da zapišu lozinke na papir.

2.5. Napadi čovjeka u sredini mogu se učinkovito nositi samo pomoću kriptografije. Ako haker presretne podatke šifrirane sesije, na ekranu neće imati presretnutu poruku, već besmisleni skup znakova. Imajte na umu da ako haker dobije informacije o kriptografskoj sesiji ( npr. ključ sesije), to može učiniti napad Man-in-the-Middle mogućim čak i u šifriranom okruženju.

2.6. Nije moguće potpuno eliminirati napade aplikacijskog sloja. Hakeri neprestano otkrivaju i objavljuju nove ranjivosti na internetu aplikativni programi. Najvažnija stvar je dobra administracija sustava.

Koraci koje možete poduzeti da smanjite svoju ranjivost na ovu vrstu napada:

• čitanje i/ili analiziranje log datoteka operacijskih sustava i mrežnih log datoteka pomoću posebnih analitičkih aplikacija;
• pravovremeno ažuriranje verzija operativnih sustava i aplikacija te instalacija najnovijih modula za korekcije ( zakrpe);
• korištenje sustava za prepoznavanje napada ( IDS).

2.7. Nemoguće je potpuno se riješiti mrežne inteligencije. Ako onemogućite ICMP echo i echo reply na perifernim usmjerivačima, riješit ćete se pinga, ali ćete izgubiti podatke potrebne za dijagnosticiranje kvarova na mreži. Također možete skenirati portove bez prethodnog pingiranja. Ovo će samo potrajati duže, jer će se morati skenirati i nepostojeće IP adrese. IDS sustavi na razini mreže i hosta obično su dobri u obavještavanju administratora o tekućem izviđanju mreže, što im omogućuje da se bolje pripreme za nadolazeći napad i obavijesti ISP ( ISP) na čijoj je mreži instaliran sustav koji pokazuje pretjeranu radoznalost.

2.8. Rizik od povrede povjerenja možete smanjiti strožim kontroliranjem razina povjerenja unutar svoje mreže. Sustavi izvan vatrozida nikada ne smiju imati apsolutno povjerenje od strane sustava zaštićenih vatrozidom. Odnosi povjerenja trebali bi biti ograničeni na određene protokole i, ako je moguće, biti provjereni ne samo IP adresama, već i drugim parametrima.

2.9. Glavni način rješavanja prosljeđivanja portova je korištenje modela snažnog povjerenja ( vidi točku 2.8 ). Osim toga, da spriječi hakera da instalira svoj softver može li IDS host sustav ( HIDS).

2.10. Načini rješavanja neovlašten pristup prilično su jednostavne. Ovdje je glavna stvar smanjiti ili potpuno eliminirati mogućnost hakera da pristupi sustavu pomoću neovlaštenog protokola. Kao primjer, razmislite o sprječavanju hakera da pristupe telnet portu na poslužitelju koji pruža web usluge vanjskim korisnicima. Bez pristupa ovom portu, haker ga neće moći napasti. Što se tiče vatrozida, njegov glavni zadatak je spriječiti najjednostavnije pokušaje neovlaštenog pristupa.

2.11. Borba protiv virusa i trojanskih konja provodi se uz pomoć učinkovitog antivirusnog softvera koji radi na razini korisnika i na razini mreže. Antivirusni alati otkrivaju većinu virusa i trojanskih konja i sprječavaju njihovo širenje.

3. Algoritam radnji kada se otkriju mrežni napadi

3.1. Većina mrežnih napada blokirana je automatski instaliranim alatima za zaštitu informacija ( vatrozidi, pouzdani alati za pokretanje, mrežni usmjerivači, antivirusni proizvodi itd.).

3.2. Napadi koji zahtijevaju ljudsku intervenciju kako bi ih blokirali ili ublažili ozbiljnost posljedica uključuju DoS napade.

3.2.1. DoS napadi se otkrivaju analizom mrežnog prometa. Početak napada karakterizira " vozeći» komunikacijski kanali koji koriste pakete koji zahtijevaju velike resurse s lažnim adresama. Takav napad na stranicu internetskog bankarstva otežava pristup legitimnim korisnicima i web-resurs može postati nedostupan.

3.2.2. Ako se otkrije napad, administrator sustava izvodi sljedeće radnje:

• ručno prebacuje usmjerivač na rezervni kanal i obrnuto kako bi se identificirao manje opterećen kanal (kanal sa širim pojasom);
• otkriva raspon IP adresa s kojih se napad izvodi;
• šalje zahtjev davatelju da blokira IP adrese iz navedenog raspona.

3.3. DoS napad se obično koristi za prikrivanje uspješnog napada na klijentove resurse kako bi ga bilo teže otkriti. Stoga, kada se otkrije DoS napad, potrebno je analizirati najnovije transakcije kako bi se identificirale neuobičajene transakcije, blokirale ih (ako je moguće) te kontaktirati kupce putem alternativnog kanala radi potvrde transakcija.

3.4. Ako se od naručitelja zaprimi informacija o nedopuštenim radnjama, evidentiraju se svi raspoloživi dokazi, provodi se interna istraga i podnosi zahtjev provedba zakona.

preuzimanje datoteka ZIP datoteku (24151)

Dokumenti su dobro došli - stavite "lajk":

Glavna svrha ovog programa je otkrivanje hakerskih napada. Kao što znate, prva faza većine hakerskih napada je mrežni inventar i skeniranje portova na otkrivenim hostovima. Skeniranje portova pomaže u određivanju vrste operativnog sustava i otkrivanju potencijalno ranjivih usluga (na primjer, e-pošte ili WEB poslužitelja). Nakon skeniranja portova, mnogi skeneri određuju vrstu usluge slanjem testnih zahtjeva i analizom odgovora poslužitelja. Uslužni program APS provodi razmjenu s napadačem i omogućuje vam da jedinstveno identificirate činjenicu napada.

Osim toga, svrha uslužnog programa je:

• otkrivanje raznih vrsta napada (prvenstveno skeniranje portova i identifikacija usluge) te pojava programa i mrežni crvi(APS baza podataka sadrži više od stotinu portova koje koriste crvi i Backdoor komponente);
• testiranje skenera portova i mrežne sigurnosti (da biste provjerili rad skenera, morate pokrenuti APS na testnom računalu i izvršiti skeniranje porta - pomoću APS protokola lako je odrediti koje će provjere skener vidjeti i kojim redoslijedom );
• testiranje i radna kontrola vatrozida - u ovom slučaju, APS uslužni program se pokreće na računalu s instaliranim vatrozidom i skeniranje portova i (ili drugi napadi) se provode na računalo. Ako APS izda alarm, onda je to signal da vatrozid ne radi ili da je netočna postavka. APS može stalno raditi iza računala zaštićenog vatrozidom kako bi pratio ispravno funkcioniranje vatrozida u stvarnom vremenu;
• blokiranje rada mrežnih crva i Backdoor modula i njihovo otkrivanje – princip detekcije i blokiranja temelji se na činjenici da se isti port može otvoriti za slušanje samo jednom. Stoga će otvaranje portova koje koriste Trojanci i Backdoor programi prije pokretanja ometati njihov rad, a nakon pokretanja dovest će do otkrivanja činjenice da port koristi drugi program;
• testiranje antitrojanaca i programa, IDS sustava - više od stotinu portova najčešćih trojanaca uključeno je u APS bazu podataka. Neki anti-trojanski alati imaju mogućnost izvođenja skeniranja portova računala koji se provjerava (ili sastavljanja popisa portova za slušanje bez skeniranja pomoću Windows API) - takva sredstva trebaju prijaviti sumnju na prisutnost Trojanci(s popisom "sumnjivih" portova) - dobiveni popis lako je usporediti s popisom portova u APS bazi podataka i donijeti zaključke o pouzdanosti korištenog alata.

Princip rada programa temelji se na slušanju portova opisanih u bazi podataka. Baza podataka portova se stalno ažurira. Baza podataka sadrži kratak opis svakog porta - kratki opisi sadrže ili nazive virusa koji koriste port, ili naziv standardne usluge kojoj ovaj port odgovara. Kada se otkrije pokušaj spajanja na port za slušanje, program bilježi činjenicu veze u protokol, analizira podatke primljene nakon povezivanja, a za neke usluge prenosi tzv. banner - određeni skup teksta ili binarne datoteke. preneseni podaci prava usluga nakon povezivanja.