Un programma per dimostrare gli attacchi alla rete. Tecnologie dei sistemi di rilevamento degli attacchi di rete

I malfattori raramente si intromettono senza tante cerimonie in una rete con "armi" in mano. Preferiscono controllare se le serrature delle porte sono sicure e se tutte le finestre sono chiuse. Analizzano in modo discreto i modelli di traffico in entrata e in uscita dalla rete, i singoli indirizzi IP ed emettono query apparentemente neutre rivolte a singoli utenti e dispositivi di rete.

Questi nemici abilmente camuffati richiedono l'installazione di un software di rilevamento intelligente. attacchi alla rete ad alta sensibilità. Il prodotto acquistato non dovrebbe solo avvisare l'amministratore di casi di evidenti violazioni del sistema informazioni di sicurezza, ma anche su eventuali eventi sospetti che a prima vista sembrano del tutto innocui, ma in realtà nascondono un attacco hacker su vasta scala. Inutile dire che qualsiasi tentativo attivo di decifrare le password di sistema dovrebbe essere segnalato immediatamente all'amministratore.

Le aziende moderne sono letteralmente sotto il fuoco incrociato di aggressori che cercano di rubare informazioni preziose o semplicemente disabilitarle Sistemi di informazione. I compiti perseguiti nella lotta agli hacker sono abbastanza evidenti:

– la notifica di un tentativo di accesso non autorizzato dovrebbe essere immediata;

– respingere un attacco e ridurre al minimo le perdite (per resistere a un intruso è necessario interrompere immediatamente la sessione di comunicazione con lui);

- il passaggio alla controffensiva (l'attaccante deve essere individuato e punito).

Questo scenario è stato utilizzato per testare i quattro sistemi di rilevamento degli attacchi di rete più diffusi oggi sul mercato:

– Avviso intruso;

– Rilevamento delle intrusioni eTrust.

Le caratteristiche di questi sistemi software per il rilevamento degli attacchi alla rete sono riportate nella tabella. 3.2.

BlackICE di Network ICE è un'applicazione agente specializzata progettata esclusivamente per rilevare gli intrusi. Avendo trovato un ospite non invitato, invia un rapporto su questo evento al modulo di controllo ICEcap, che analizza le informazioni ricevute da diversi agenti e cerca di localizzare l'attacco alla rete.

Il software Intruder Alert di Alert Technologies è più simile a un toolkit di sicurezza perché offre la massima flessibilità nella definizione delle strategie di sicurezza della rete.

Centrax di CyberSafe è un pacchetto all-in-one che include controlli di sicurezza, monitoraggio del traffico, rilevamento degli attacchi e messaggi di avviso.

Il rilevamento delle intrusioni eTrust di Computer Associates è particolarmente efficace nel monitoraggio della sicurezza e nella gestione delle politiche, sebbene includa ancora avvisi in tempo reale, crittografia dei dati e rilevamento delle intrusioni.

Gli avvisi generati dagli agenti BlackICE sono molto specifici. Il testo del messaggio non farà dubitare all'amministratore della natura dell'evento registrato e, nella maggior parte dei casi, della sua importanza. Inoltre, il prodotto consente all'amministratore di personalizzare il contenuto dei propri messaggi di avviso, ma nell'insieme Non è necessario.

Molto proprietà utile sviluppato da Network ICE, così come il pacchetto Intruder Alert, è la possibilità di scaricare le ultime firme degli attacchi degli hacker dal server.

I tentativi di disabilitare un server aziendale, che di conseguenza è costretto a rifiutare le richieste di servizio (denial-of-service), rappresentano una minaccia piuttosto seria per l'attività delle aziende che forniscono servizi ai propri clienti. rete globale. L'essenza dell'attacco è che l'attaccante genera migliaia di richieste SYN (per stabilire una connessione) indirizzate al server attaccato. Ogni richiesta viene fornita con un indirizzo di origine falso, il che rende molto più difficile identificare con precisione il fatto stesso dell'attacco e rintracciare l'attaccante. Dopo aver ricevuto la successiva richiesta SYN, il server lo presume noi stiamo parlando circa l'inizio di una nuova sessione di comunicazione e passa alla modalità standby trasmissione dati. Anche se in seguito non vengono ricevuti dati, il server deve attendere certo tempo(massimo 45 s) prima di terminare la connessione. Se diverse migliaia di queste false richieste vengono inviate al server nel giro di pochi minuti, verrà sovraccaricato, quindi semplicemente non ci saranno più risorse per elaborare richieste reali per la fornitura di un particolare servizio. In altre parole, a seguito di un attacco SYN, agli utenti reali verrà negato il servizio.

Tutti i sistemi descritti, ad eccezione di eTrust Intrusion Detection di Computer Associates, utilizzano il modello agenti software, che vengono prima installati sui dispositivi di rete, quindi raccolgono informazioni su potenziali attacchi e le inviano alla console. Gli agenti rilevano le violazioni strategie stabilite protezione e quindi generare i messaggi appropriati.

I sistemi basati su agenti sono la soluzione migliore per le reti commutate perché in tali reti non esiste un unico punto attraverso il quale deve passare tutto il traffico. Invece di monitorare una singola connessione, l'agente controlla tutti i pacchetti ricevuti o inviati dal dispositivo su cui è installato. Di conseguenza, gli aggressori non sono in grado di "sedersi" allo switch.

Quanto sopra può essere illustrato dall'esempio dei prodotti Network ICE. Al programma BlackICE viene assegnato il ruolo di agente installato in un ambiente operativo completamente autonomo, ad esempio sul computer di un utente remoto o su uno dei nodi di una rete di trasmissione dati aziendale. Dopo aver rilevato un hacker che sta attaccando una macchina remota, l'agente emetterà un avviso direttamente sul suo schermo. Se un evento simile viene registrato nella rete aziendale, un messaggio su un tentativo di accesso non autorizzato verrà inviato a un'altra applicazione, ICEcap, che contiene strumenti di monitoraggio della rete. Quest'ultimo raccoglie e confronta le informazioni provenienti da diversi agenti ad esso subordinati, e questo gli consente di identificare rapidamente eventi che minacciano realmente la sicurezza della rete.

Il sistema eTrust, invece, si basa su un'architettura centralizzata. È installato sul nodo centrale e analizza il traffico nel segmento di rete subordinato. L'assenza di agenti non consente a questo prodotto di monitorare tutti gli eventi in una rete commutata, poiché è impossibile selezionare un unico "lookout" da cui l'intera rete sarebbe visibile a colpo d'occhio.

Il pacchetto Intruder Alert e il sistema Centrax di CyberSafe sono più di un toolkit per la costruzione proprio sistema rilevamento degli attacchi di rete. Per sfruttare appieno le loro opportunità, un'organizzazione deve avere programmatori con le qualifiche appropriate nel proprio personale o disporre di un budget per ordinare tale lavoro.

Sebbene tutti i prodotti descritti siano facili da installare, la gestione dei sistemi Intruder Alert e Centrax non è semplice. Ad esempio, se Centrax emette un messaggio di avviso di contenuto sconosciuto o indeterminato (e questa situazione si è verificata più di una volta nei nostri test), è improbabile che l'amministratore sia in grado di determinare rapidamente cosa è realmente accaduto, soprattutto se deve fare riferimento all'evento log file per chiarire la diagnosi. Questi file sono esaurienti, ma gli sviluppatori, a quanto pare, hanno deciso che bastava che una persona normale accennasse a ciò che potrebbe essere discusso e la natura di ciò che stava accadendo sarebbe stata identificata inequivocabilmente. I registri per questo sistema contengono descrizioni degli avvisi emessi, ma nessun identificatore di avviso. L'amministratore vede gli indirizzi di porta a cui erano correlate le richieste sospette, o i parametri di altre operazioni, ma non riceve alcuna informazione su cosa potrebbe significare tutto ciò.

La circostanza rilevata riduce notevolmente il valore dei messaggi in tempo reale, poiché è impossibile capire immediatamente se la descrizione dell'evento rifletta una reale minaccia per il sistema di sicurezza o sia solo un tentativo di condurre un'analisi più approfondita del traffico. In altre parole, ha senso acquistare questi prodotti solo se la tua organizzazione ha esperti di sicurezza delle informazioni nel proprio personale.

Il software eTrust Intrusion Detection di Computer Associates è più di un semplice sistema per monitorare l'attività di rete e rilevare gli attacchi degli hacker. Questo prodotto è in grado non solo di decodificare pacchetti di vari protocolli e traffico di servizio, ma anche di intercettarli per il successivo output alla console di controllo in formato originale. Il sistema monitora tutto il traffico TSRYP e avverte l'amministratore delle violazioni delle strategie di sicurezza delle informazioni stabilite. È vero, questo sviluppo non supporta lo stesso livello di dettaglio dei set di regole di Intruder Alert.

Tuttavia, il rilevamento di tentativi di accesso non autorizzati e l'emissione di messaggi di avviso sono solo metà della battaglia. Il software firewall deve fermare l'hacker e prendere contromisure. In questo senso fanno la migliore impressione i pacchetti Intruder Alert e Centrax, gli stessi che hanno suscitato molte critiche in termini di impostazioni di configurazione. Mentre il software Network ICE e il software eTrust chiudono istantaneamente le comunicazioni minacciose, Intruder Alert e Centrax vanno ancora oltre. Ad esempio, un'applicazione di Axent Technologies può essere configurata per eseguire un particolare file batch a seconda della natura degli eventi registrati, come il riavvio di un server che ha subito un attacco Denial of Service.

Dopo aver respinto l'attacco, voglio passare subito alla controffensiva. Le applicazioni Black-ICE e Centrax supportano tabelle con ID hacker. Questi tavoli vengono riempiti dopo aver tracciato fino alla "tana" dove si nasconde il nemico. Opportunità Software BlackICE colpisce soprattutto quando si tratta di identificare la fonte di un attacco, sia all'interno che all'esterno della rete: nonostante numerose manovre intelligenti, non siamo mai riusciti a rimanere in incognito.

Ma il sistema eTrust colpisce per il grado di penetrazione nella natura delle attività di ciascun utente della rete, spesso senza nemmeno sospettare di essere sotto stretto controllo. Allo stesso tempo, questo pacchetto fornisce le informazioni più complete (e forse le più accurate) sugli intrusi, anche dove si trovano.

L'applicazione Centrax è in grado di creare i cosiddetti file esca, assegnando a un file secondario un nome significativo come "Vedomosti.xls" e quindi fuorviando gli utenti eccessivamente curiosi. Questo algoritmo ci sembra troppo semplice, ma può anche fare un buon lavoro: con il suo aiuto, è possibile "beccare" i dipendenti a "pettinare" la rete aziendale per identificare informazioni riservate.

Ciascuno dei prodotti software considerati genera rapporti su casi sospetti di attività di rete. alta qualità ICEcap ed eTrust Intrusion Detection si distinguono per tali rapporti e per la loro facilità d'uso. Quest'ultimo pacchetto è particolarmente flessibile, forse perché derivato da un decodificatore di protocollo. In particolare, l'amministratore può analizzare gli eventi di rete in termini di singole risorse, siano esse protocolli, stazioni client o server. eTrust fornisce molti formati di report predefiniti. La loro struttura ben congegnata facilita notevolmente il rilevamento di intrusi e consente di punire gli utenti colpevoli.

Ogni prodotto ha i suoi punti di forza e di debolezza, quindi può essere consigliato solo per una soluzione determinati compiti. Quando si tratta di proteggere le reti commutate, Network ICE, Axent Technologies e CyberSafe sono buone scelte. eTrust Intrusion Detection è l'ideale per la notifica anticipata di violazioni dell'etica aziendale come parolacce nei messaggi di posta elettronica. I sistemi Intruder Alert e Centrax sono strumenti eccellenti per consulenti e organizzazioni per la sicurezza delle informazioni con uno staff di professionisti della sicurezza. Tuttavia, per quelle aziende che non possono permettersi di utilizzare i servizi di specialisti altamente pagati, consigliamo di installare i prodotti Network ICE. Queste applicazioni sostituiranno il vero esperto protezione della rete meglio di qualsiasi un altro sistema che abbiamo mai visto.

I primi sistemi per rilevare sospetti attività di rete nelle intranet aziendali, è apparso quasi 30 anni fa. Ricordiamo, ad esempio, il sistema MIDAS, sviluppato nel 1988. Tuttavia, era più un prototipo.

Un ostacolo alla creazione di sistemi a tutti gli effetti questa classe per molto tempo c'era una debole potenza di calcolo delle piattaforme di computer di massa e solo 10 anni dopo furono presentate soluzioni veramente funzionanti. Poco dopo, sono entrati nel mercato i primi campioni commerciali di sistemi di rilevamento delle intrusioni (ISO, o IDS - Intrusion Detection Systems) ...

Oggi, il compito di rilevare gli attacchi alla rete è uno dei più importanti. La sua importanza è aumentata a causa della complessità dei metodi di attacco e della topologia e della composizione delle moderne intranet. In precedenza, gli attaccanti utilizzavano un noto stack di exploit per eseguire un attacco di successo, ma ora ricorrono a metodi molto più sofisticati, gareggiando in abilità con specialisti sul lato della difesa.

Requisiti moderni per IDS

I sistemi di rilevamento delle intrusioni registrati nel registro software russo utilizzano principalmente metodi di firma. Oppure dichiarano la definizione di anomalie, ma l'analisi, al massimo, opera con dati non più dettagliati del tipo di protocollo. Plutone si basa su analisi approfondita pacchetti di definizione del software. Plutone sovrappone i dati del pacchetto in arrivo alle specifiche dei dati host: analisi più accurate e flessibili.

In precedenza, l'analisi superficiale e i metodi di firma svolgevano con successo le loro funzioni (a quel tempo, gli aggressori cercavano di sfruttare vulnerabilità software già note). Ma nelle condizioni moderne, gli attacchi possono essere prolungati nel tempo (il cosiddetto APT), quando il loro traffico è mascherato da crittografia e offuscamento (offuscamento), quindi i metodi di firma sono inefficaci. Inoltre, usano gli attacchi moderni vari modi Bypass IDS.

Di conseguenza, lo sforzo per configurare e mantenere i tradizionali sistemi di rilevamento delle intrusioni può superare limiti ragionevoli e spesso l'azienda arriva alla conclusione che tale esercizio è solo uno spreco di risorse. Di conseguenza, IDS esiste formalmente, svolgendo solo il compito di presenza, ei sistemi informativi dell'impresa rimangono indifesi come prima. Questa situazione è irta di perdite ancora maggiori.

IDS di prossima generazione

Il Pluton IDS PAC, sviluppato da Jet Infosystems, è un complesso ad alte prestazioni di nuova generazione per il rilevamento degli attacchi di rete. A differenza dell'IDS tradizionale, Plutone combina l'analisi simultanea dei pacchetti di rete mediante firma e metodi euristici con la conservazione dei dati ambientali, fornisce analisi approfondite ed espande il set di dati per l'indagine. Metodi avanzati per identificare potenziali minacce, integrati da dati storici su ambiente di rete, il traffico, così come i log di sistema, fanno "Plutone" elemento importante sistemi di sicurezza delle informazioni aziendali. Il sistema è in grado di rilevare i segnali attacchi informatici e anomalie nel comportamento dei nodi di rete nei canali di comunicazione con larghezza di banda superiore a 1 Gbps.

Oltre a rilevare segnali di attacchi informatici ai sistemi informativi, Pluton fornisce una seria protezione dei propri componenti, nonché protezione dei canali di comunicazione: in caso di guasto hardware, la connessione non verrà interrotta. Tutti i componenti di Plutone operano in un ambiente software chiuso - questo rende lancio impossibile terzo codice del programma e funge da ulteriore garanzia contro le infezioni malware. Pertanto, puoi essere certo che Plutone non diventerà una "finestra" per gli intrusi nella tua rete e non si trasformerà in un "mal di testa" per i networker e gli addetti alla sicurezza.

"Plutone" monitora attentamente la sua "salute", controllando l'integrità della configurazione dei componenti del sistema, i dati sugli eventi di sicurezza delle informazioni di rete raccolti e il traffico di rete. Ciò garantisce il corretto funzionamento dei componenti del sistema e, di conseguenza, la stabilità del suo funzionamento. E l'uso di speciali schede di rete come parte dei componenti della soluzione consente di eliminare l'interruzione dei canali di comunicazione anche in caso di guasto completo dell'apparecchiatura o interruzione di corrente.

Data la complessità dell'implementazione dei sistemi di rilevamento delle intrusioni, nonché il costante aumento larghezza di banda canali di comunicazione, abbiamo previsto la possibilità di ridimensionamento orizzontale flessibile dei componenti complessi. Qualora si rendesse necessario collegare al sistema ulteriori sensori di rete, sarà sufficiente installarli server aggiuntivo gestione collegandolo in un cluster con uno esistente. In questo caso, la potenza di calcolo di entrambi i server sarà logicamente combinata in un'unica risorsa. Pertanto, aumentare le prestazioni del sistema diventa un compito molto semplice. Inoltre, il sistema ha un'architettura fault-tolerant: in caso di guasto di uno dei componenti, il flusso degli eventi viene automaticamente reindirizzato ai componenti in standby del cluster.

Pluton si basa sui nostri oltre 20 anni di esperienza nell'implementazione e nel funzionamento di sistemi di difesa complessi. Sappiamo di più problemi frequenti clienti e svantaggi delle moderne soluzioni di classe IDS. La nostra esperienza ci ha permesso di identificare i compiti più urgenti e ci ha aiutato a trovare i modi migliori per risolverli.

Al momento esiste una certificazione componente per componente del complesso Pluton secondo i requisiti per i sistemi di rilevamento delle intrusioni a livello di rete (2a classe di protezione) e per l'assenza di capacità non dichiarate (2° livello di controllo).

Caratteristiche di Plutone:

Individuazione di segnali di attacchi informatici nel traffico di rete, anche distribuito nel tempo, mediante firma ed euristiche;

Controllo dell'attività anomala dei nodi di rete e identificazione dei segnali di violazione della policy di sicurezza aziendale;

. accumulo e stoccaggio:

— dati retrospettivi sugli eventi di sicurezza delle informazioni rilevati con una profondità di archiviazione configurabile;

— informazioni di inventario sui nodi di rete (profilo host);

— informazioni sulle comunicazioni di rete dei nodi, comprese le statistiche sul consumo di traffico (dalla rete al livello applicativo secondo il modello OSI);

— metadati sui file trasferiti tra i nodi della rete;

Trasferimento dei risultati dell'analisi traffico di rete nei sistemi di protezione esterni per migliorare l'efficienza dell'identificazione di vari tipi di incidenti di sicurezza delle informazioni;

Fornire una base di prove sui fatti di attacchi informatici e comunicazioni di rete per le indagini sugli incidenti.

Procedura per il rilevamento degli attacchi alla rete.

1. Classificazione degli attacchi alla rete

1.1. Sniffer di pacchetti

Uno sniffer di pacchetti è un programma applicativo che utilizza una scheda di rete in esecuzione in modalità promiscua ( in questa modalità, tutti i pacchetti ricevuti tramite i canali fisici sono scheda di rete invia a richiesta di elaborazione). In questo caso, lo sniffer intercetta tutti i pacchetti di rete che vengono trasmessi attraverso un dominio specifico.

1.2. Spoofing IP

Lo spoofing IP si verifica quando un hacker, all'interno o all'esterno del sistema, si atteggia a utente autorizzato. Questo può essere fatto in due modi. In primo luogo, un hacker può utilizzare un indirizzo IP compreso nell'intervallo di indirizzi IP autorizzati o un indirizzo esterno autorizzato a cui è consentito accedere a determinate risorse di rete. Gli attacchi di spoofing IP sono spesso il punto di partenza per altri attacchi. Un classico esempio è un attacco DoS che inizia con l'indirizzo di qualcun altro che nasconde la vera identità dell'hacker.

In genere, lo spoofing IP si limita all'inserimento di informazioni false o comandi dannosi in un normale flusso di dati trasmesso tra un'applicazione client e server o su un canale di comunicazione tra peer. Per la comunicazione bidirezionale, un hacker deve modificare tutte le tabelle di routing per indirizzare il traffico a un indirizzo IP falso. Alcuni hacker, tuttavia, non tentano nemmeno di ottenere una risposta dalle applicazioni. Se l'attività principale è ricevere un file importante dal sistema, le risposte delle applicazioni non contano.

Se l'hacker riesce a modificare le tabelle di routing e indirizzare il traffico a un indirizzo IP falso, l'hacker riceverà tutti i pacchetti e sarà in grado di rispondere come se fosse un utente autorizzato.

1.3. Negazione del servizio ( Denial of Service - DoS)

DoS è la forma più nota di attacchi degli hacker. Contro attacchi di questo tipo, è molto difficile creare una protezione al cento per cento.

I tipi più famosi di DoS:

• TCP SYN Flood Ping of Death Tribe Flood Network ( TFN);
• Tribe Flood Network 2000 TFN2K);
• Trinco;
• Stacheldracht;
• Trinità.

Gli attacchi DoS sono diversi dagli altri tipi di attacchi. Non hanno lo scopo di accedere alla rete o di ottenere informazioni da questa rete. Un attacco DoS rende una rete non disponibile per l'uso normale superando i limiti consentiti della rete, del sistema operativo o dell'applicazione.

Quando si utilizzano alcune applicazioni server (come server Web o server FTP) Gli attacchi DoS possono consistere nel prendere tutte le connessioni disponibili per queste applicazioni e mantenerle occupate, impedendo il servizio agli utenti normali. Gli attacchi DoS possono utilizzare protocolli Internet comuni come TCP e ICMP ( Protocollo messaggi di controllo Internet). La maggior parte degli attacchi DoS non si basa su errori del software o falle di sicurezza, ma debolezze generali dell'architettura del sistema. Alcuni attacchi annullano le prestazioni della rete inondandola di pacchetti indesiderati e non necessari o segnalando falsa informazione sullo stato attuale delle risorse di rete. Questo tipo di attacco è difficile da prevenire in quanto richiede il coordinamento con l'ISP. Se il traffico destinato a inondare la tua rete non viene fermato al provider, all'ingresso della rete non sarai più in grado di farlo, perché l'intera larghezza di banda sarà occupata. Quando questo tipo di attacco viene effettuato contemporaneamente attraverso più dispositivi, l'attacco è un DoS distribuito ( DDoS - DoS distribuito).

1.4. Attacchi con password

Gli hacker possono eseguire attacchi alle password utilizzando una varietà di metodi, come la forza bruta ( attacco di forza bruta), Trojan Horse, IP spoofing e packet sniffing. Sebbene l'accesso e la password possano essere spesso ottenuti utilizzando lo spoofing IP e lo sniffing dei pacchetti, gli hacker spesso cercano di indovinare la password e di accedere utilizzando più tentativi di accesso. Questo approccio è chiamato iterazione semplice. (attacco di forza bruta). Questo attacco è spesso usato programma speciale Quello che tenta di accedere alla risorsa uso comune (ad esempio al server). Se, di conseguenza, un hacker ottiene l'accesso alle risorse, ne ottiene i diritti utente regolare, la cui password è stata indovinata. Se questo utente dispone di privilegi di accesso significativi, un hacker può creare un "gateway" per se stesso per l'accesso futuro, che funzionerà anche se l'utente cambia password e login.

Un altro problema sorge quando gli utenti usano lo stesso ( anche se è molto buono) password per l'accesso a molti sistemi: aziendali, personali e sistemi Internet. Poiché la forza della password è uguale a quella dell'host più debole, un hacker che apprende la password tramite questo host ottiene l'accesso a tutti gli altri sistemi in cui viene utilizzata la stessa password.

1.5. Attacchi Man-in-the-Middle

Per un attacco Man-in-the-Middle, un hacker ha bisogno dell'accesso ai pacchetti inviati sulla rete. Tale accesso a tutti i pacchetti trasmessi dal provider a qualsiasi altra rete può, ad esempio, essere ottenuto da un dipendente di tale provider. Per questo tipo di attacco vengono spesso utilizzati sniffer di pacchetti, protocolli di trasporto e protocolli di routing. Gli attacchi vengono effettuati per rubare informazioni, intercettare la sessione corrente e accedere a risorse di rete private, per analizzare il traffico e ottenere informazioni sulla rete e sui suoi utenti, per effettuare attacchi DoS, distorcere i dati trasmessi e inserire informazioni non autorizzate nelle sessioni di rete.

1.6. Attacchi al livello dell'applicazione

Gli attacchi a livello di applicazione possono essere eseguiti in diversi modi. Il più comune di questi è lo sfruttamento dei punti deboli del software del server ( sendmail, HTTP, FTP). Utilizzando questi punti deboli, gli hacker possono accedere al computer per conto dell'utente che esegue l'applicazione ( di solito non si tratta di un semplice utente, ma di un amministratore privilegiato con diritti di accesso al sistema). I dettagli dell'attacco a livello di applicazione sono ampiamente pubblicati per consentire agli amministratori di correggere il problema utilizzando moduli correttivi ( cerotti). Il problema principale con gli attacchi a livello di applicazione è che spesso utilizzano porte che possono passare attraverso il firewall. Ad esempio, un hacker che sfrutta una nota debolezza in un server Web utilizza spesso la porta 80 in un attacco TCP.Poiché un server Web espone le pagine Web agli utenti, il firewall deve fornire l'accesso a questa porta. Dal punto di vista del firewall, l'attacco viene trattato come traffico standard sulla porta 80.

1.7. intelligenza di rete

L'intelligence di rete è la raccolta di informazioni sulla rete utilizzando dati e applicazioni disponibili pubblicamente. Quando si prepara un attacco contro una rete, un hacker di solito cerca di ottenere quante più informazioni possibili al riguardo. maggiori informazioni. La ricognizione della rete assume la forma di query DNS, ping sweep e scansioni delle porte. Query DNS aiutare a capire chi possiede un particolare dominio e quali indirizzi sono assegnati a questo dominio. Test dell'eco ( ping sweep) indirizzi divulgati da allora usando il DNS, ti consente di vedere quali host sono effettivamente in esecuzione in un determinato ambiente. Dato un elenco di host, l'hacker utilizza strumenti di scansione delle porte per compilare un elenco completo di servizi supportati da tali host. Infine, l'hacker analizza le caratteristiche delle applicazioni in esecuzione sugli host. Di conseguenza, si ottengono informazioni che possono essere utilizzate per l'hacking.

1.8. rottura della fiducia

Questo tipo di azione non lo è "attacco" o "tempesta". È uno sfruttamento dannoso delle relazioni di fiducia esistenti sulla rete. Un esempio è un sistema installato all'esterno di un firewall che ha una relazione di fiducia con un sistema installato al suo fianco. dentro. In caso di hack sistema esterno, un hacker può utilizzare le relazioni di fiducia per entrare in un sistema protetto da un firewall.

1.9. Port forwarding

Il port forwarding è una forma di violazione della fiducia in cui un host compromesso viene utilizzato per inviare traffico attraverso un firewall che altrimenti sarebbe sicuramente rifiutato. Un esempio di un'applicazione in grado di fornire questo accesso è netcat.

1.10. Accesso non autorizzato

L'accesso non autorizzato non può essere considerato tipo separato attacchi. La maggior parte degli attacchi alla rete vengono effettuati per ottenere accessi non autorizzati. Per ottenere un accesso telnet, un hacker deve prima ricevere un prompt telnet sul proprio sistema. Dopo la connessione alla porta telnet, sullo schermo viene visualizzato un messaggio « Autorizzazione Richiesta utilizzare questa risorsa" (Per utilizzare questa risorsa è necessaria l'autorizzazione.). Se in seguito l'hacker continua a tentare l'accesso, verrà preso in considerazione "non autorizzato". La fonte di tali attacchi può essere sia all'interno della rete che all'esterno.

1.11. Virus e applicazioni del tipo "Cavallo di Troia"

Le workstation client sono molto vulnerabili ai virus e cavalli di Troia. "Cavallo di Troia" non è un inserto software, ma programma reale, che sembra applicazione utile, ma in realtà svolge un ruolo dannoso.

2. Metodi per contrastare gli attacchi alla rete

2.1. Puoi mitigare la minaccia dello sniffing dei pacchetti utilizzando i seguenti strumenti:

2.1.1. Autenticazione - Mezzi forti le autenticazioni sono il primo modo per proteggersi dallo sniffing dei pacchetti. Sotto "forte" comprendiamo un metodo di autenticazione difficile da aggirare. Un esempio di tale autenticazione sono le password monouso ( OTP - Password una tantum). OTP è una tecnologia di autenticazione a due fattori che combina ciò che hai con ciò che conosci. Sotto la "carta" ( gettone) indica uno strumento hardware o software che genera ( su base casuale) password univoca monouso. Se un hacker apprende questa password utilizzando uno sniffer, questa informazione sarà inutile perché a quel punto la password sarà già utilizzata e obsoleta. Questo modo di gestire lo sniffing è efficace solo per gestire lo sniffing delle password.

2.1.2. Infrastruttura commutata - Un altro modo per combattere lo sniffing dei pacchetti in un ambiente di rete consiste nel creare un'infrastruttura commutata in modo che gli hacker possano accedere al traffico solo sulla porta a cui sono connessi. L'infrastruttura commutata non elimina la minaccia di sniffing, ma ne riduce notevolmente la gravità.

2.1.3. Anti-sniffer: un terzo modo per combattere lo sniffer consiste nell'installare hardware o software che riconoscano gli sniffer in esecuzione sulla rete. Questi strumenti non possono eliminare completamente la minaccia, ma, come molti altri strumenti, sicurezza della rete, sono inclusi sistema comune protezione. Così chiamato "anti-sniffer" misurare il tempo di risposta degli host e determinare se gli host devono essere elaborati "extra" traffico.

2.1.4. Crittografia - La maggior parte metodo efficace lo sniffing dei pacchetti non impedisce l'intercettazione e non riconosce il lavoro degli sniffer, ma lo rende inutile. Se il canale di comunicazione è crittograficamente sicuro, significa che l'hacker non sta intercettando il messaggio, ma il testo cifrato (cioè una sequenza incomprensibile di bit).

2.2. La minaccia di spoofing può essere mitigata ( ma non eliminare) attraverso le seguenti misure:

2.2.1. Controllo degli accessi: il modo più semplice per prevenire lo spoofing IP è farlo impostazione corretta controllo di accesso. Per ridurre l'efficacia dello spoofing IP, il controllo degli accessi è configurato in modo da escludere qualsiasi traffico proveniente da rete esterna con l'indirizzo di origine, che deve trovarsi all'interno della rete. Questo aiuta a combattere lo spoofing IP quando sono autorizzati solo gli indirizzi interni. Se sono autorizzati anche alcuni indirizzi di rete esterni, questo metodo diventa inefficace.

2.2.2. Filtraggio RFC 2827 - soppressione dei tentativi di spoofing di reti straniere da parte degli utenti di una rete aziendale. Per fare ciò, è necessario rifiutare qualsiasi traffico in uscita, il cui indirizzo di origine non è uno degli indirizzi IP della Banca. Questo tipo di filtraggio, noto come "RFC 2827", può essere eseguito anche da un ISP ( ISP). Di conseguenza, tutto il traffico che non dispone di un indirizzo di origine previsto su una determinata interfaccia viene rifiutato.

2.2.3. Più metodo efficace La lotta allo spoofing IP è la stessa che nel caso del packet sniffing: è necessario rendere l'attacco completamente inefficace. Lo spoofing IP può funzionare solo se l'autenticazione è basata su indirizzi IP. Pertanto, l'introduzione di metodi di autenticazione aggiuntivi rende inutile questo tipo di attacco. miglior vista autenticazione aggiuntivaè crittografico. Se è impossibile, bei risultati può fornire l'autenticazione a due fattori utilizzando password monouso.

2.3. La minaccia degli attacchi DoS può essere mitigata nei seguenti modi:

2.3.1. Funzionalità anti-spoofing: la corretta configurazione delle funzionalità anti-spoofing sui router e sui firewall contribuirà a ridurre il rischio di DoS. Queste funzionalità dovrebbero, come minimo, includere il filtro RFC 2827. A meno che un hacker non possa nascondere la sua vera identità, è improbabile che tenti un attacco.

2.3.2. Funzioni anti-DoS - La corretta configurazione delle funzioni anti-DoS su router e firewall può limitare l'efficacia degli attacchi. Queste funzionalità limitano il numero di canali semiaperti in qualsiasi momento.

2.3.3. Limitare la quantità di traffico ( limitazione del traffico) – contratto con il fornitore ( ISP) sulla limitazione della quantità di traffico. Questo tipo di filtraggio consente di limitare la quantità di traffico non critico che passa attraverso la rete. Un esempio comune consiste nel limitare la quantità di traffico ICMP utilizzato solo per scopi diagnostici. attacchi ( D) I DoS usano spesso ICMP.

2.3.4. Blocco degli indirizzi IP - dopo l'analisi Attacchi DoS e individuando l'intervallo di indirizzi IP da cui viene effettuato l'attacco, contattare il provider per bloccarli.

2.4. Gli attacchi alle password possono essere evitati non utilizzando password di testo normale. Password una tantum e/o l'autenticazione crittografica può virtualmente eliminare la minaccia di tali attacchi. Non tutte le applicazioni, gli host e i dispositivi supportano i metodi di autenticazione sopra indicati.

Quando si utilizzano password normali, è necessario trovare una password difficile da indovinare. La lunghezza minima della password deve essere di almeno otto caratteri. La password deve includere caratteri maiuscoli, numeri e Simboli speciali (#, %, $, ecc.). Le migliori password difficile da indovinare e difficile da ricordare, costringendo gli utenti a scrivere le password su carta.

2.5. Gli attacchi Man-in-the-Middle possono essere gestiti in modo efficace solo utilizzando la crittografia. Se un hacker intercetta i dati di una sessione crittografata, non avrà sullo schermo un messaggio intercettato, ma un insieme di caratteri senza senso. Tieni presente che se un hacker ottiene informazioni su una sessione crittografica ( ad esempio chiave di sessione), questo può rendere possibile un attacco Man-in-the-Middle anche in un ambiente crittografato.

2.6. Non è possibile eliminare completamente gli attacchi a livello di applicazione. Gli hacker scoprono e pubblicano costantemente nuove vulnerabilità su Internet programmi applicativi. La cosa più importante è una buona amministrazione del sistema.

Passaggi che puoi intraprendere per ridurre la tua vulnerabilità a questo tipo di attacco:

• lettura e/o analisi di file di registro di sistemi operativi e file di registro di rete utilizzando speciali applicazioni analitiche;
• aggiornamento tempestivo delle versioni dei sistemi operativi e delle applicazioni e installazione degli ultimi moduli di correzione ( cerotti);
• utilizzo di sistemi di riconoscimento degli attacchi ( ID).

2.7. È impossibile eliminare completamente l'intelligenza di rete. Se disabiliti l'eco ICMP e la risposta eco sui router periferici, eliminerai il ping, ma perderai i dati necessari per diagnosticare i guasti della rete. Puoi anche scansionare le porte senza prima eseguire il ping. Questo richiederà solo più tempo, poiché anche gli indirizzi IP inesistenti dovranno essere scansionati. I sistemi IDS a livello di rete e host sono generalmente utili per notificare all'amministratore la ricognizione della rete in corso, il che consente loro di prepararsi meglio per un attacco imminente e notificare l'ISP ( ISP) sulla cui rete è installato un sistema che mostra eccessiva curiosità.

2.8. Puoi ridurre il rischio di violazione della fiducia controllando più strettamente i livelli di fiducia all'interno della tua rete. I sistemi al di fuori del firewall non dovrebbero mai essere assolutamente attendibili dai sistemi protetti dal firewall. Le relazioni di fiducia dovrebbero essere limitate a determinati protocolli e, se possibile, essere autenticate non solo dagli indirizzi IP, ma anche da altri parametri.

2.9. Il modo principale per gestire il port forwarding è utilizzare modelli di fiducia forte ( vedi punto 2.8 ). Inoltre, per impedire a un hacker di installare il suo Software può ospitare il sistema IDS ( NASCOSTI).

2.10. Modi per affrontare accesso non autorizzato sono abbastanza semplici. La cosa principale qui è ridurre o eliminare completamente la capacità di un hacker di accedere al sistema utilizzando un protocollo non autorizzato. Ad esempio, prendere in considerazione la possibilità di impedire agli hacker di accedere alla porta telnet su un server che fornisce servizi Web a utenti esterni. Senza l'accesso a questa porta, un hacker non sarà in grado di attaccarla. Per quanto riguarda il firewall, il suo compito principale è prevenire i più semplici tentativi di accesso non autorizzato.

2.11. La lotta contro virus e cavalli di Troia viene condotta con l'ausilio di efficaci software antivirus che operano a livello di utente e di rete. Gli strumenti antivirus rilevano la maggior parte dei virus e dei cavalli di Troia e ne prevengono la diffusione.

3. Algoritmo di azioni quando vengono rilevati attacchi di rete

3.1. La maggior parte degli attacchi alla rete viene bloccata da strumenti di protezione delle informazioni installati automaticamente ( firewall, strumenti di avvio affidabili, router di rete, prodotti antivirus, ecc.).

3.2. Gli attacchi che richiedono l'intervento umano per bloccarli o mitigare la gravità delle conseguenze includono gli attacchi DoS.

3.2.1. Gli attacchi DoS vengono rilevati analizzando il traffico di rete. L'inizio dell'attacco è caratterizzato da " guida» canali di comunicazione che utilizzano pacchetti ad alta intensità di risorse con indirizzi falsi. Un tale attacco al sito di Internet banking complica l'accesso degli utenti legittimi e la risorsa web potrebbe diventare inaccessibile.

3.2.2. Se viene rilevato un attacco, l'amministratore di sistema esegue le seguenti azioni:

• commuta manualmente il router su canale di backup e viceversa per identificare un canale meno carico (un canale con una larghezza di banda maggiore);
• rivela l'intervallo di indirizzi IP da cui viene effettuato l'attacco;
• invia una richiesta al provider per bloccare gli indirizzi IP dall'intervallo specificato.

3.3. Un attacco DoS viene in genere utilizzato per mascherare un attacco riuscito alle risorse di un client al fine di renderne più difficile il rilevamento. Pertanto, quando viene rilevato un attacco DoS, è necessario analizzare le ultime transazioni per identificare le transazioni insolite, bloccarle (se possibile) e contattare i clienti tramite un canale alternativo per confermare le transazioni.

3.4. Se vengono ricevute informazioni su azioni non autorizzate dal cliente, tutte le prove disponibili vengono registrate, viene eseguita un'indagine interna e viene presentata una domanda a forze dell'ordine.

Scarica file zip (24151)

I documenti sono tornati utili: metti un "mi piace":

Lo scopo principale di questo programma è rilevare gli attacchi degli hacker. Come sapete, la prima fase della maggior parte degli attacchi degli hacker è l'inventario di rete e la scansione delle porte sugli host scoperti. La scansione delle porte aiuta a determinare il tipo di sistema operativo ea rilevare i servizi potenzialmente vulnerabili (ad esempio, la posta o un server WEB). Dopo la scansione delle porte, molti scanner determinano il tipo di servizio inviando richieste di prova e analizzando la risposta del server. L'utilità APS effettua uno scambio con l'attaccante e consente di identificare in modo univoco il fatto dell'attacco.

Inoltre, lo scopo dell'utilità è:

• rilevamento di vari tipi di attacchi (principalmente scansione delle porte e identificazione del servizio) e la comparsa di programmi e worm di rete(il database APS contiene più di cento porte utilizzate da worm e componenti Backdoor);
• test dei port scanner e della sicurezza della rete (per verificare il funzionamento dello scanner, è necessario eseguire APS su un computer di prova ed eseguire una scansione delle porte: utilizzando i protocolli APS, è facile determinare quali controlli vedrà lo scanner e in quale sequenza );
• test e controllo operativo del Firewall - in questo caso, l'utility APS viene avviata su un computer con il Firewall installato e vengono eseguiti la scansione delle porte e (o altri attacchi) contro il PC. Se APS genera un allarme, questo è un segnale che il Firewall non è operativo o che lo è impostazione errata. APS può essere costantemente eseguito dietro un computer protetto da Firewall per monitorare il corretto funzionamento del Firewall in tempo reale;
• blocco del funzionamento dei worm di rete e dei moduli Backdoor e del loro rilevamento: il principio di rilevamento e blocco si basa sul fatto che la stessa porta può essere aperta per l'ascolto solo una volta. Pertanto, l'apertura delle porte utilizzate da Trojan e programmi Backdoor prima del loro avvio interferirà con il loro lavoro, dopo l'avvio porterà al rilevamento del fatto che la porta è utilizzata da un altro programma;
• test di anti-trojan e programmi, sistemi IDS: nel database APS sono incluse più di cento porte dei più comuni Trojan. Alcuni strumenti anti-Trojan hanno la capacità di eseguire una scansione delle porte del PC controllato (o creare un elenco di porte in ascolto senza eseguire la scansione utilizzando API di Windows) - tali mezzi dovrebbero segnalare il sospetto della presenza Troiani(con un elenco di porte "sospette") - l'elenco risultante è facile da confrontare con l'elenco di porte nel database APS e trarre conclusioni sull'affidabilità dello strumento utilizzato.

Il principio del programma si basa sull'ascolto delle porte descritte nel database. Il database dei porti è costantemente aggiornato. Il database contiene una breve descrizione di ciascuna porta: brevi descrizioni contengono i nomi dei virus che utilizzano la porta o il nome del servizio standard a cui corrisponde questa porta. Quando viene rilevato un tentativo di connessione a una porta in ascolto, il programma registra il fatto della connessione nel protocollo, analizza i dati ricevuti dopo la connessione e per alcuni servizi trasmette il cosiddetto banner: un determinato insieme di testo o binario dati trasmessi servizio reale dopo la connessione.