Un program pentru demonstrarea atacurilor de rețea. Tehnologii ale sistemelor de detectare a atacurilor de rețea

Atacatorii rareori invadează fără ceremonie rețeaua cu o „armă” în mână. Ei preferă să verifice dacă încuietorile de la uși sunt sigure și dacă toate ferestrele sunt închise. Ei analizează discret tiparele de trafic care intră și iese din rețea, adresele IP individuale și, de asemenea, emit solicitări aparent neutre adresate utilizatorilor individuali și dispozitivelor din rețea.

Trebuie instalat un software inteligent de detectare pentru a detecta acești inamici camuflati inteligent. atacuri de rețea cu sensibilitate mare. Produsul achiziționat ar trebui să avertizeze administratorul nu numai despre cazurile de încălcare evidentă a sistemului securitatea informatiei, dar și despre orice evenimente suspecte care la prima vedere par complet inofensive, dar în realitate ascund un atac de hacker la scară largă. Nu este nevoie să argumentăm că orice încercare activă de a sparge parolele sistemului ar trebui notificată imediat administratorului.

Corporațiile moderne sunt literalmente sub focul încrucișat al intrușilor care caută să fure informații valoroase sau pur și simplu să-l incapaciteze Sisteme de informare... Sarcinile urmărite în lupta împotriva hackerilor sunt destul de evidente:

- notificarea unei tentative de acces neautorizat trebuie să fie imediată;

- respingerea atacului și minimizarea pierderilor (pentru a rezista atacatorului, ar trebui să întrerupeți imediat sesiunea de comunicare cu acesta);

- trecerea la o contraofensivă (atacatorul trebuie identificat și pedepsit).

Acest scenariu a fost folosit pentru a testa cele mai populare patru sisteme de detectare a atacurilor de rețea de pe piață astăzi:

- Alerta de intruziune;

- eTrust Intrusion Detection.

Caracteristicile acestor sisteme software pentru detectarea atacurilor de rețea sunt prezentate în Tabel. 3.2.

Software-ul BlackICE de la Network ICE este o aplicație de agent specializată concepută exclusiv pentru identificarea intrușilor. Când detectează un intrus, trimite un raport despre acest eveniment către modulul de control ICEcap, care analizează informațiile „primite de la diverși agenți și încearcă să localizeze atacul asupra rețelei”.

Software-ul Intruder Alert de la Alert Technologies seamănă mai mult cu un set de instrumente pentru profesioniștii în securitatea informațiilor, deoarece oferă flexibilitate maximă în definirea strategiilor de securitate a rețelei.

Pachetul Centrax de la CyberSafe este conceput pe o bază all-in-one: include controale de securitate, monitorizare a traficului, detectarea atacurilor și mesaje de avertizare.

Computer Associates eTrust Intrusion Detection este deosebit de puternică în monitorizarea securității informațiilor și managementul strategiei, deși include, de asemenea, alerte în timp real, criptarea datelor și detectarea intruziunilor.

Avertismentele generate de agenții BlackICE sunt foarte specifice. Textul mesajelor nu va determina administratorul să se îndoiască de natura evenimentului înregistrat și, în cele mai multe cazuri, de importanța acestuia. În plus, produsul permite administratorului să personalizeze conținutul propriilor mesaje de avertizare, dar prin în general Asta este inutil.

Foarte proprietate utilă Developments Network ICE, precum și pachetul Intruder Alert este capacitatea de a descărca cele mai recente semnături ale atacurilor hackerilor de pe server.

Încercările de a dezactiva un server corporativ, care, în consecință, este forțat să răspundă solicitărilor de servicii cu o refuz de serviciu, este plină de o amenințare destul de serioasă la adresa afacerii companiilor care oferă servicii clienților lor. retea globala... Esența atacului se rezumă la faptul că atacatorul generează mii de solicitări SYN (pentru a stabili o conexiune) adresate serverului atacat. Fiecare cerere este furnizată cu o adresă sursă falsă, ceea ce face mult mai dificilă identificarea cu exactitate a faptului atacului și urmărirea atacatorului. La primirea unei alte cereri SYN, serverul presupune asta este vorba la începutul unei noi sesiuni de comunicare și intră în modul de așteptare a transferului de date. În ciuda faptului că nu se primesc date după aceea, serverul trebuie să aștepte anumit timp(maximum 45 s) înainte de a întrerupe legătura. Dacă câteva mii de astfel de solicitări false sunt trimise către server în câteva minute, acesta va fi supraîncărcat, așa că pur și simplu nu vor mai rămâne resurse pentru a procesa cereri reale pentru furnizarea unui anumit serviciu. Cu alte cuvinte, un atac SYN ar duce la refuzul serviciului pentru utilizatorii reali.

Toate sistemele descrise, cu excepția eTrust Intrusion Detection de la Computer Associates, folosesc modelul agenți software, care sunt instalate mai întâi pe dispozitivele de rețea, apoi colectează informații despre potențialele atacuri și le trimit la consolă. Agenții identifică încălcările strategii stabilite protectie si apoi generati mesajele corespunzatoare.

Sistemele bazate pe agenți sunt cea mai bună soluție pentru rețelele comutate, deoarece nu există un singur punct în astfel de rețele prin care să treacă în mod necesar tot traficul. În loc să monitorizeze o singură conexiune, agentul monitorizează toate pachetele primite sau trimise de dispozitivul în care este instalat. Drept urmare, atacatorii nu pot sta în spatele comutatorului.

Acest lucru poate fi ilustrat prin exemplul produselor companiei Network ICE. Programului BlackICE i se atribuie rolul unui agent care este instalat într-un mediu de operare complet autonom, de exemplu, pe computerul unui utilizator de la distanță sau pe unul dintre nodurile unei rețele de date corporative. La detectarea unui hacker care atacă o mașină de la distanță, agentul va emite un avertisment direct pe ecranul său. Dacă un eveniment similar este detectat în rețeaua corporativă, un mesaj despre o încercare de acces neautorizat va fi trimis către o altă aplicație - ICEcap, care conține instrumente de monitorizare a rețelei. Acesta din urmă colectează și compară informații provenind de la diverși agenți subordonați lui, iar acest lucru îi permite să identifice rapid evenimentele care amenință cu adevărat securitatea rețelei.

În schimb, eTrust se bazează pe o arhitectură centralizată. Este instalat la locul central și analizează traficul din segmentul de rețea subordonat. Absența agenților nu permite acestui produs să urmărească toate evenimentele din rețeaua comutată, deoarece este imposibil să alegeți o singură „punte de observare” în ea, de unde întreaga rețea ar fi vizibilă dintr-o privire.

CyberSafe's Intruder Alert și Centrax sunt mai mult un set de instrumente pentru construirea sistem propriu detectarea atacurilor de rețea. Pentru a profita din plin de capacitățile lor, o organizație trebuie să aibă programatori calificați corespunzător în personalul său sau să aibă un buget pentru a comanda astfel de lucrări.

În ciuda faptului că toate produsele descrise sunt ușor de instalat, gestionarea sistemelor de alertă la intruziune și Centrax nu este ușoară. De exemplu, dacă Centrax emite un mesaj de avertizare cu conținut necunoscut sau nedefinit (și această situație a apărut de mai multe ori în testele noastre), este puțin probabil ca administratorul să poată determina rapid ce sa întâmplat de fapt, mai ales dacă trebuie să se refere la fișiere jurnal de evenimente pentru a clarifica diagnosticul... Aceste fișiere sunt exhaustive, totuși, dezvoltatorii, aparent, au decis că o persoană obișnuită ar trebui să dea doar un indiciu despre ceea ce se întâmplă, iar natura a ceea ce se întâmplă ar fi identificată în mod inconfundabil. Jurnalele acestui sistem conțin descrieri ale avertismentelor emise, dar nu există identificatori pentru acestea. Administratorul vede adresele porturilor de care au aparținut cererile suspecte, sau parametrii altor operațiuni, dar nu primește nicio informație despre ce ar putea însemna toate acestea.

Această împrejurare reduce semnificativ valoarea mesajelor emise în timp real, deoarece este imposibil să ne dăm seama imediat dacă descrierea evenimentului reflectă o amenințare reală la adresa sistemului de securitate sau este doar o încercare de a efectua o analiză mai amănunțită a traficului. Cu alte cuvinte, este logic să cumpărați aceste produse numai dacă organizația dvs. are specialiști în securitatea informațiilor cu experiență.

Software-ul eTrust Intrusion Detection de la Computer Associates este mai mult decât un sistem de monitorizare a activității în rețea și de detectare a atacurilor hackerilor. Acest produs este capabil nu numai să decodeze pachete de diferite protocoale și trafic de servicii, ci și să le intercepteze pentru a fi trimise ulterior către consola de control în format original... Sistemul monitorizează tot traficul TSNR și avertizează administratorul cu privire la cazurile de încălcare a strategiilor de securitate a informațiilor stabilite. Adevărat, această dezvoltare nu acceptă același nivel de detaliu pentru seturile de reguli ca și Alerta de intrus.

Cu toate acestea, detectarea încercărilor de acces neautorizat și emiterea de mesaje de avertizare reprezintă doar jumătate din luptă. Software-ul firewall trebuie să oprească acțiunile hackerului și să ia contramăsuri. În acest sens, cea mai bună impresie o fac pachetele Intruder Alert și Centrax, tocmai cele care au provocat critici considerabile în ceea ce privește setările de configurare. În timp ce programele Network ICE și software-ul eTrust închid instantaneu comunicațiile amenințătoare, Intruder Alert și Centrax merg chiar mai departe. De exemplu, o aplicație de la Axent Technologies poate fi configurată în așa fel încât să lanseze unul sau altul fișier batch în funcție de natura evenimentelor înregistrate, să zicem, repornirea unui server care a suferit un atac de tip denial of service.

După ce am respins atacul, vreau să trec imediat la contraofensivă. Aplicațiile Black-ICE și Centrax acceptă tabele de identificare a hackerilor. Aceste tabele sunt completate după ce s-au urmărit până la „bârlogul” unde se ascunde inamicul. Oportunități software BlackICE este deosebit de impresionant atunci când vine vorba de identificarea sursei unui atac, fie în interiorul sau în afara rețelei: în ciuda numeroaselor manevre inteligente, nu am reușit niciodată să rămânem incognito.

Dar sistemul eTrust uimește prin gradul de pătrundere în natura activităților fiecărui utilizator al rețelei, care de multe ori nici măcar nu bănuiește că se află sub supraveghere atentă. În același timp, acest pachet oferă cele mai complete (și, poate, cele mai precise) informații despre atacatori, chiar și despre locul în care se află.

Aplicația Centrax este capabilă să creeze așa-numitele momeli, dând fișierului secundar un nume semnificativ, cum ar fi „Vedomosti.xls”, și astfel induce în eroare utilizatorii prea curioși. Un astfel de algoritm ni se pare prea simplu, dar poate face și o treabă bună: cu ajutorul lui este posibil să „prindem” angajații „pieptănând” rețeaua corporativă pentru a identifica informații confidențiale.

Fiecare dintre produsele software revizuite generează rapoarte privind cazurile suspecte de activitate în rețea. Calitate superioară Aplicațiile ICEcap și eTrust Intrusion Detection se remarcă prin astfel de rapoarte și prin comoditatea de a lucra cu ele. Ultimul pachet este deosebit de flexibil, poate pentru că provine dintr-un decodor de protocol. În special, administratorul poate analiza evenimentele din rețea în ceea ce privește resursele individuale, fie protocoale, stații client sau servere. ETrust oferă multe formate de rapoarte pre-proiectate. Structura lor bine gândită facilitează foarte mult detectarea intrușilor și le permite să pedepsească utilizatorii vinovați.

Fiecare produs are propriile puncte forte și puncte slabe, așa că poate fi recomandat doar pentru soluții sarcini specifice... Când vine vorba de securizarea rețelelor comutate, Network ICE, Axent Technologies și CyberSafe sunt alegeri bune. ETrust Intrusion Detection este ideală pentru notificarea timpurie a încălcărilor eticii în afaceri, cum ar fi utilizarea blasfeiilor în mesajele de e-mail. Intruder Alert și Centrax sunt seturi de instrumente excelente pentru consultanții de securitate și organizațiile cu forță de muncă profesionistă. Cu toate acestea, pentru acele companii care nu își permit să folosească serviciile specialiștilor foarte plătiți, recomandăm instalarea produselor Network ICE. Aceste aplicații vor înlocui adevăratul expert în protectia retelei mai bine un alt sistem al celor care ne-au atras vreodată privirea.

Primele sisteme care detectează suspecte activitatea de rețeaîn intraneturile corporative, apărut acum aproape 30 de ani. Vă puteți aminti, de exemplu, sistemul MIDAS, dezvoltat în 1988. Cu toate acestea, era mai degrabă un prototip.

Un obstacol în calea creării sistemelor complete din această clasă pentru mult timp a existat o putere de calcul slabă a platformelor de calcul mainstream, iar soluțiile cu adevărat funcționale au fost prezentate abia 10 ani mai târziu. Puțin mai târziu, primele mostre comerciale de sisteme de detectare a intruziunilor (IDS, sau IDS - Intrusion Detection Systems) au intrat pe piață...

Astăzi, sarcina de a detecta atacurile de rețea este una dintre cele mai importante. Importanța sa a crescut datorită complexității tot mai mari atât a metodelor de atac, cât și a topologiei și compoziției intraneturilor moderne. În timp ce anterior era suficient ca atacatorii să folosească o stivă de exploatare cunoscută pentru a efectua un atac cu succes, acum recurg la metode mult mai sofisticate, concurând în calificări cu specialiștii din partea apărării.

Cerințe moderne pentru IDS

Sistemele de detectare a intruziunilor înregistrate în registrul software rusesc utilizează în cea mai mare parte metode bazate pe semnături. Sau declară definiția anomaliilor, dar analistul, la maximum, operează cu date nu mai detaliate decât tipul de protocol. Pluto se bazează pe analiza amănunțită pachete de definiții software. „Pluto” suprapune datele pachetului primit pe specificul datelor gazdă - analize mai precise și flexibile.

Anterior, analiza suprafeței și metodele bazate pe semnături și-au îndeplinit cu succes funcțiile (atunci atacatorii au încercat să exploateze vulnerabilitățile software deja cunoscute). Dar, în condițiile moderne, atacurile pot fi extinse în timp (așa-numitul APT), când traficul lor este mascat prin criptare și ofuscare (ofucare), atunci metodele de semnătură sunt ineficiente. În plus, atacurile moderne folosesc căi diferite ocoli IDS.

Drept urmare, munca implicată în configurarea și întreținerea sistemelor tradiționale de detectare a intruziunilor poate depăși limite rezonabile și, deseori, afacerea constată că acest lucru este doar o risipă de resurse. Drept urmare, IDS există formal, îndeplinind doar sarcina de prezență, iar sistemele informaționale ale întreprinderii rămân lipsite de apărare. Această situație este plină de pierderi și mai mari.

IDS de generație următoare

SOV PAC „Pluton”, dezvoltat de Jet Infosystems, este un complex de înaltă performanță de nouă generație pentru detectarea atacurilor de rețea. Spre deosebire de IDS tradițional, Pluto combină analiza simultană a pachetelor de rețea folosind semnături și metode euristice cu păstrarea datelor de mediu, oferă analize profunde și extinderea setului de date pentru investigare. Cele mai bune practici pentru identificarea potențialelor amenințări, completate de date istorice privind mediu în rețea, traficul, precum și jurnalele de sistem, fac „Pluto” element important sisteme de protecție a informațiilor întreprinderii. Sistemul este capabil să detecteze semne atacuri informaticeși anomalii în comportamentul nodurilor de rețea în canalele de comunicație cu o lățime de bandă mai mare de 1 Gbit/s.

Pe lângă detectarea semnelor de atacuri informatice asupra sistemelor informaționale, Pluto oferă protecție serioasă pentru propriile componente, precum și protecția canalelor de comunicație: în cazul defectării echipamentelor, conexiunea nu va fi întreruptă. Toate componentele Pluto funcționează într-un mediu software închis - acest lucru face lansare imposibilă in afara codul programuluiși servește drept garanție suplimentară împotriva infecției malware... Prin urmare, puteți fi sigur că Pluto nu va deveni o „fereastră” pentru intrușii în rețeaua dvs. și nu se va transforma într-o „durere de cap” pentru utilizatorii de rețea și personalul de securitate.

„Pluto” își monitorizează cu atenție „sănătatea”, monitorizând integritatea configurației componentelor sistemului, datele despre evenimentele de securitate a informațiilor de rețea colectate și traficul de rețea. Aceasta asigură funcționarea corectă a componentelor sistemului și, în consecință, stabilitatea funcționării acestuia. Și utilizarea plăcilor de rețea speciale ca parte a componentelor soluției elimină defecțiunea canalelor de comunicație chiar și în cazul unei defecțiuni complete a echipamentului sau al unei pene de curent.

Ținând cont de complexitatea implementării sistemelor de detectare a intruziunilor, precum și de creșterea constantă a lățimea de bandă canale de comunicare, am prevăzut posibilitatea de scalare orizontală flexibilă a componentelor complexe. Dacă devine necesar să conectați senzori de rețea suplimentari la sistem, va fi suficient să instalați server suplimentar management, legându-l la un cluster cu unul existent. În acest caz, puterea de calcul a ambelor servere va fi combinată logic într-o singură resursă. Astfel, creșterea performanței sistemului devine o sarcină foarte simplă. În plus, sistemul are o arhitectură tolerantă la erori: în cazul unei defecțiuni a uneia dintre componente, fluxul de evenimente este redirecționat automat către componentele redundante ale clusterului.

În centrul Pluto se află experiența noastră de peste 20 de ani în implementarea și operarea sistemelor complexe de apărare. Știm cel mai mult probleme frecvente clienţilor şi dezavantajele soluţiilor moderne din clasa IDS. Expertiza noastră ne-a permis să identificăm cele mai urgente sarcini și ne-a ajutat să găsim cele mai bune modalități de a le rezolva.

În prezent, complexul Pluto este în curs de certificare în ceea ce privește cerințele pentru sistemele de detectare a intruziunilor la nivel de rețea (clasa a 2-a de protecție) și absența capacităților nedeclarate (nivelul 2 de control).

Funcții Pluto:

Dezvăluirea semnelor de atacuri informatice în traficul de rețea, inclusiv a celor distribuite în timp, folosind semnături și metode euristice;

Monitorizarea activității anormale a nodurilor de rețea și identificarea semnelor de încălcare a politicii de securitate corporativă;

... acumulare si depozitare:

- date retrospective privind evenimentele de securitate a informațiilor detectate cu o adâncime de stocare configurabilă;

- informatii de inventar despre nodurile retelei (profil gazda);

- informații despre comunicațiile de rețea ale nodurilor, inclusiv statisticile consumului de trafic (de la rețea la nivelul aplicației conform modelului OSI);

- metadate despre fișierele transferate între nodurile rețelei;

Transferul rezultatelor analizei trafic de rețea la sistemele externe de protecție pentru a îmbunătăți eficiența detectării incidentelor de securitate a informațiilor de diferite tipuri;

Furnizarea de probe bazate pe faptele atacurilor computerizate și comunicațiilor în rețea pentru investigarea incidentelor.

Procedura de detectare a atacurilor de rețea.

1. Clasificarea atacurilor de rețea

1.1. Mirositoare de pachete

Un sniffer de pachete este un program de aplicație care utilizează o placă de rețea care funcționează în modul promiscuu ( în acest mod, toate pachetele primite prin canale fizice, adaptor de retea trimite la cererea de prelucrare). În același timp, sniffer-ul interceptează toate pachetele de rețea care sunt transmise printr-un anumit domeniu.

1.2. Falsificarea IP

Falsificarea IP apare atunci când un hacker, indiferent dacă este în interiorul sau în afara sistemului, se uită la un utilizator autorizat. Acest lucru se poate face în două moduri. În primul rând, un hacker poate folosi o adresă IP care se află în intervalul de adrese IP autorizate sau o adresă externă autorizată căreia i se permite accesul la anumite resurse de rețea. Atacurile de falsificare IP sunt adesea punctul de plecare pentru alte atacuri. Un exemplu clasic este un atac DoS care începe cu adresa altcuiva care ascunde adevărata identitate a hackerului.

De obicei, falsificarea IP se limitează la inserarea de informații false sau comenzi rău intenționate în fluxul normal de date între aplicațiile client și server sau comunicațiile peer-to-peer. Pentru comunicarea bidirecțională, un hacker trebuie să modifice toate tabelele de rutare pentru a direcționa traficul către o adresă IP falsificată. Unii hackeri, însă, nici măcar nu încearcă să obțină un răspuns de la aplicații. Dacă sarcina principală este să obțineți un fișier important din sistem, răspunsurile aplicațiilor nu contează.

Dacă hackerul reușește să schimbe tabelele de rutare și să direcționeze traficul către o adresă IP falsă, hackerul va primi toate pachetele și va putea răspunde la ele ca și cum ar fi un utilizator autorizat.

1.3. Refuzarea serviciului ( Refuzarea serviciului - DoS)

DoS este cea mai cunoscută formă de atac al hackerilor. Împotriva acestui tip de atac, cel mai dificil lucru este să creezi o apărare sută la sută.

Cele mai cunoscute tipuri de DoS:

• TCP SYN Flood Ping of Death Tribe Flood Network ( TFN);
• Tribe Flood Network 2000 ( TFN2K);
• Trinco;
• Stacheldracht;
• Treime.

Atacurile DoS sunt diferite de alte tipuri de atacuri. Acestea nu au ca scop obținerea accesului la rețea sau primirea de informații din acea rețea. Un atac DoS face rețeaua indisponibilă pentru utilizare normală prin depășirea limitelor acceptabile ale rețelei, sistemului de operare sau aplicației.

În cazul utilizării unor aplicații server (cum ar fi un server web sau un server FTP) Atacurile DoS pot consta în preluarea tuturor conexiunilor disponibile acestor aplicații și menținerea acestora ocupate, împiedicând utilizatorii obișnuiți să servească. Atacurile DoS pot folosi protocoale de internet obișnuite, cum ar fi TCP și ICMP ( Internet Control Message Protocol). Majoritatea atacurilor DoS nu se bazează pe erori de software sau o breșă de securitate, ci mai degrabă o slăbiciune generală în arhitectura sistemului. Unele atacuri anulează performanța rețelei prin inundarea rețelei cu pachete sau rapoarte nedorite și inutile informatii false despre starea actuală a resurselor rețelei. Acest tip de atac este dificil de prevenit deoarece necesită coordonare cu furnizorul. Dacă traficul destinat să vă debordeze rețeaua nu poate fi oprit la furnizor, atunci la intrarea în rețea nu veți mai putea face acest lucru, deoarece întreaga lățime de bandă va fi ocupată. Când acest tip de atac este efectuat simultan prin mai multe dispozitive, atacul este un DoS distribuit ( DDoS - DoS distribuit).

1.4. Atacurile cu parole

Hackerii pot efectua atacuri cu parole folosind o varietate de tehnici, cum ar fi atacul cu forță brută ( atac cu forță brută), cal troian, falsificarea IP și mirosirea pachetelor. Deși autentificarea și parola pot fi obținute adesea prin falsificarea IP și prin sniffing de pachete, hackerii încearcă adesea să ghicească parola și să se autentifice folosind mai multe încercări de acces. Această abordare se numește enumerare simplă (atac cu forță brută). Deseori folosit pentru un astfel de atac program special care încearcă să acceseze resursa uz comun (de exemplu către server). Dacă, în consecință, un hacker obține acces la resurse, el înțelege bine utilizator obișnuit a cărui parolă a fost aleasă. Dacă acest utilizator are privilegii semnificative de acces, hackerul își poate crea un „permis” pentru acces viitor, care va fi valabil chiar dacă utilizatorul își schimbă parola și login.

O altă problemă apare atunci când utilizatorii aplică același lucru ( chiar foarte bine) parola pentru acces la multe sisteme: sisteme corporative, personale și Internet. Deoarece puterea parolei este egală cu puterea celei mai slabe gazde, un hacker care învață parola prin acea gazdă obține acces la toate celelalte sisteme în care este folosită aceeași parolă.

1.5. Atacurile de la Omul din mijloc

Pentru un atac Man-in-the-Middle, un hacker are nevoie de acces la pachetele din rețea. Un astfel de acces la toate pachetele transmise de la furnizor către orice altă rețea poate fi, de exemplu, obținut de un angajat al acestui furnizor. Sniffer-urile de pachete, protocoalele de transport și protocoalele de rutare sunt adesea folosite pentru atacuri de acest tip. Atacurile sunt efectuate cu scopul de a sustrage informații, interceptarea sesiunii curente și obținerea accesului la resursele rețelei private, pentru analizarea traficului și obținerea de informații despre rețea și utilizatorii acesteia, pentru efectuarea de atacuri DoS, denaturarea datelor transmise și introducerea de informații neautorizate în sesiuni de rețea.

1.6. Atacurile la nivelul aplicației

Atacurile la nivelul aplicației pot fi efectuate în mai multe moduri. Cel mai frecvent dintre acestea este exploatarea punctelor slabe ale software-ului serverului ( sendmail, HTTP, FTP). Folosind aceste puncte slabe, hackerii pot obține acces la computer în numele utilizatorului care rulează aplicația ( de obicei, acesta nu este un simplu utilizator, ci un administrator privilegiat cu drepturi de acces la sistem). Atacurile la nivel de aplicație sunt mediatizate pe scară largă pentru a permite administratorilor să corecteze problema folosind module de remediere ( petice). Principala problemă a atacurilor la nivel de aplicație este că acestea folosesc adesea porturi care au voie să treacă prin firewall. De exemplu, un hacker care exploatează o slăbiciune cunoscută a unui server Web folosește adesea într-un atac portul TCP 80. Deoarece serverul Web oferă utilizatorilor pagini Web, firewall-ul trebuie să ofere acces la acel port. Din punctul de vedere al firewall-ului, atacul este tratat ca trafic standard pentru portul 80.

1.7. Inteligența rețelei

Inteligența rețelei este colectarea de informații despre o rețea folosind date și aplicații disponibile public. Când pregătește un atac împotriva unei rețele, un hacker, de regulă, încearcă să obțină cât mai multe informații despre acesta. mai multe informatii... Recunoașterea rețelei se face sub formă de interogări DNS, scanări de ping și scanări de porturi. Interogări DNS ajută la înțelegerea cine deține un anumit domeniu și ce adrese sunt atribuite acestui domeniu. Testarea ecoului ( ping sweep) adrese dezvăluite din folosind DNS, vă permite să vedeți ce gazde rulează de fapt într-un mediu dat. După obținerea unei liste de gazde, un hacker folosește instrumente de scanare porturi pentru a compila o listă completă de servicii acceptate de acele gazde. În cele din urmă, hackerul analizează caracteristicile aplicațiilor care rulează pe gazde. Ca urmare, se obțin informații care pot fi folosite pentru hacking.

1.8. Abuz de încredere

Acest tip de acțiune nu este "Atac" sau "De furtuna"... Este o utilizare rău intenționată a relațiilor de încredere care există în rețea. Un exemplu este un sistem instalat în afara unui firewall care are o relație de încredere cu un sistem instalat din acesta interior... În caz de hacking sistem extern, un hacker poate folosi o relație de încredere pentru a pătrunde într-un sistem protejat de firewall.

1.9. Port forwarding

Redirecționarea portului este o formă de abuz de încredere în care o gazdă compromisă este utilizată pentru a trece traficul prin firewall care altfel ar fi respins. Un exemplu de aplicație care poate oferi acest acces este netcat.

1.10. Acces neautorizat

Accesul neautorizat nu poate fi luat în considerare un tip separat atacuri. Majoritatea atacurilor de rețea sunt efectuate pentru a obține acces neautorizat. Pentru a prelua o autentificare telnet, un hacker trebuie mai întâi să primească un prompt telnet pe sistemul său. După conectarea la portul telnet, pe ecran apare un mesaj « autorizatie necesara pentru a folosi această resursă" (pentru a utiliza aceste resurse aveți nevoie de autorizație). Dacă după aceea hackerul continuă să încerce să acceseze, ele vor fi luate în considerare "Neautorizat"... Sursa unor astfel de atacuri poate fi localizată atât în ​​interiorul rețelei, cât și în exterior.

1.11. Viruși și aplicații precum "Cal troian"

Stațiile de lucru client sunt foarte vulnerabile la viruși și cai troieni. "Cal troian" Nu este o tastă soft, dar program real care arata ca aplicație utilă, dar de fapt joacă un rol dăunător.

2. Metode de contracarare a atacurilor de rețea

2.1. Puteți atenua amenințarea de sniffing de pachete folosind următoarele instrumente:

2.1.1. Autentificare - Mijloace puternice Autentificarea este prima modalitate de a vă proteja împotriva sniff-ului de pachete. Sub "Puternic"înțelegem o metodă de autentificare care este greu de ocolit. Parole unice ( OTP - Parole unice). OTP este o tehnologie de autentificare cu doi factori care combină ceea ce ai cu ceea ce știi. Sub „card” ( jeton) înseamnă hardware sau software care generează ( la întâmplare) o parolă unică, unică. Dacă un hacker află această parolă folosind un sniffer, această informație va fi inutilă, deoarece în acel moment parola va fi deja folosită și retrasă din utilizare. Această metodă anti-sniffing este eficientă numai împotriva interceptării parolelor.

2.1.2. Infrastructură comutată - O altă modalitate de a combate sniffingul de pachete într-un mediu de rețea este construirea unei infrastructuri comutate, astfel încât hackerii să poată accesa traficul doar pe portul la care sunt conectați. Infrastructura comutată nu elimină amenințarea sniffing-ului, dar îi reduce semnificativ severitatea.

2.1.3. Anti-sniffer - A treia modalitate de a combate sniffer-ul este să instalați hardware sau software pentru a recunoaște sniffer-urile care rulează în rețeaua dvs. Aceste fonduri nu pot elimina complet amenințarea, ci ca multe alte mijloace securitatea retelei, sunt incluse în sistem comun protecţie. Așa-zisul Anti-sniffers măsurați capacitatea de răspuns a gazdelor și determinați dacă gazdele trebuie să proceseze "suplimentar" trafic.

2.1.4. Criptografia - Cele mai multe metoda eficienta combaterea mirosului de pachete nu împiedică interceptarea cu urechea și nu recunoaște munca sniffer-urilor, dar face ca această muncă să fie inutilă. Dacă canalul de comunicare este securizat criptografic, înseamnă că hackerul nu interceptează mesajul, ci textul cifrat (adică o secvență de neînțeles de biți).

2.2. Amenințarea de falsificare poate fi atenuată ( dar nu elimina) folosind următoarele măsuri:

2.2.1. Controlul accesului - Cel mai simplu mod de a preveni falsificarea IP este să setare corectă controlul accesului. Pentru a reduce eficacitatea falsificării IP, controlul accesului este configurat pentru a opri orice trafic care vine de la rețea externă cu o adresă sursă care trebuie să fie localizată în rețeaua dvs. Acest lucru ajută la combaterea falsificării IP atunci când sunt autorizate numai adresele interne. Dacă unele adrese de rețea externe sunt de asemenea autorizate, aceasta metoda devine ineficient.

2.2.2. Filtrarea RFC 2827 - suprimarea încercărilor de falsificare a rețelelor altor persoane de către utilizatorii rețelei corporative. Pentru aceasta, este necesar să respingem oricare trafic de ieșire a căror adresă sursă nu este una dintre adresele IP ale Băncii. Acest tip de filtrare, cunoscut sub numele de „RFC 2827”, poate fi efectuat și de un furnizor ( ISP). Ca rezultat, tot traficul care nu are o adresă sursă așteptată pe o anumită interfață este eliminat.

2.2.3. Cel mai metoda eficienta lupta împotriva IP spoofing este aceeași ca și în cazul sniffing-ului de pachete: este necesar ca atacul să fie complet ineficient. Falsificarea IP poate funcționa numai dacă autentificarea se bazează pe adrese IP. Prin urmare, introducerea unor metode suplimentare de autentificare face ca acest tip de atac să fie inutil. Cea mai bună priveliște autentificare suplimentară este criptografic. Dacă nu este posibil rezultate frumoase poate oferi autentificare cu doi factori folosind parole unice.

2.3. Amenințarea atacurilor DoS poate fi atenuată în următoarele moduri:

2.3.1. Caracteristici anti-spoofing - Configurarea corectă a caracteristicilor anti-spoofing pe routerele și firewall-urile dvs. va ajuta la reducerea riscului de DoS. Cel puțin, aceste caracteristici ar trebui să includă filtrarea RFC 2827. Cu excepția cazului în care un hacker își poate ascunde adevărata identitate, este puțin probabil să lanseze un atac.

2.3.2. Caracteristici anti-DoS - Configurarea corectă a caracteristicilor anti-DoS pe routere și firewall-uri poate limita eficacitatea atacurilor. Aceste funcții limitează numărul de canale pe jumătate deschise la un moment dat.

2.3.3. Limitarea volumului de trafic ( limitarea ratei de trafic) - un acord cu un furnizor ( ISP) despre limitarea volumului de trafic. Acest tip de filtrare vă permite să limitați cantitatea de trafic necritic care trece prin rețea. Un exemplu comun este limitarea cantității de trafic ICMP care este utilizat numai în scopuri de diagnosticare. Atacurile ( D) DoS este adesea folosit de ICMP.

2.3.4. Blocarea adreselor IP - după analiză Atacurile DoSși identificați gama de adrese IP de la care este efectuat atacul, contactați furnizorul pentru a le bloca.

2.4. Atacurile cu parole pot fi evitate prin neutilizarea parolelor în text simplu. Parole uniceși/sau autentificarea criptografică poate anula practic amenințarea unor astfel de atacuri. Nu toate aplicațiile, gazdele și dispozitivele acceptă metodele de autentificare de mai sus.

Când utilizați parole obișnuite, trebuie să găsiți o parolă care ar fi dificil de ghicit. Lungimea minimă a parolei trebuie să fie de cel puțin opt caractere. Parola trebuie să includă caractere mari, numere și Simboluri speciale (#,%, $ etc.). Cele mai bune parole greu de ghicit și greu de reținut, forțând utilizatorii să noteze parolele pe hârtie.

2.5. Atacurile Man-in-the-Middle pot fi combatute eficient doar cu ajutorul criptografiei. Dacă un hacker interceptează datele unei sesiuni criptate, nu mesajul interceptat va apărea pe ecranul lui, ci un set de caractere fără sens. Rețineți că, dacă un hacker obține informații despre o sesiune criptografică ( de exemplu cheia de sesiune), acest lucru poate face posibil un atac Man-in-the-Middle chiar și într-un mediu criptat.

2.6. Atacurile la nivelul aplicației nu pot fi excluse complet. Hackerii descoperă și publică în mod constant noi vulnerabilități pe Internet programe de aplicație... Cel mai important lucru este o bună administrare a sistemului.

Măsuri care pot fi luate pentru a reduce vulnerabilitatea la acest tip de atac:

• citirea și/sau analiza fișierelor jurnal ale sistemului de operare și fișierelor jurnal de rețea folosind aplicații analitice speciale;
• actualizarea în timp util a versiunilor de sisteme de operare și aplicații și instalarea celor mai recente module de corecție ( petice);
• utilizarea sistemelor de recunoaștere a atacurilor ( IDS).

2.7. Este imposibil să scapi complet de inteligența rețelei. Dacă dezactivați ecoul ICMP și răspunsul ecou pe routerele periferice, nu trebuie să dați ping, dar pierdeți datele de care aveți nevoie pentru a diagnostica defecțiunile rețelei. În plus, puteți scana porturi fără să faceți ping mai întâi. Va dura mai mult, deoarece va trebui să scanați și adrese IP inexistente. Sistemele IDS la nivel de rețea și gazdă fac, de obicei, o treabă bună notificând administratorul despre informațiile de rețea în curs de desfășurare, ceea ce vă permite să vă pregătiți mai bine pentru un atac iminent și să alertați ISP-ul ( ISP), pe a cărui rețea este instalat un sistem cu o curiozitate excesivă.

2.8. Riscul unei încălcări a încrederii poate fi atenuat printr-un control mai strict al nivelurilor de încredere în rețeaua dumneavoastră. Sistemele din afara paravanului de protecție nu ar trebui să aibă niciodată încredere completă de sistemele care sunt protejate de paravanul de protecție. Relațiile de încredere ar trebui să fie limitate la anumite protocoale și, dacă este posibil, să fie autentificate nu numai prin adrese IP, ci și prin alți parametri.

2.9. Principala modalitate de a trata redirecționarea porturilor este utilizarea modelelor de încredere puternice ( vezi clauza 2.8 ). În plus, împiedicați un hacker să-și instaleze propriul software poate găzdui IDS ( HIDS).

2.10. Modalități de a face față acces neautorizat sunt destul de simple. Principalul lucru aici este să reduceți sau să eliminați complet capacitatea hackerului de a obține acces la sistem folosind un protocol neautorizat. De exemplu, luați în considerare prevenirea accesului hackerilor la portul telnet de pe un server care oferă servicii Web utilizatorilor externi. Fără acces la acest port, un hacker nu îl poate ataca. În ceea ce privește firewall-ul, sarcina sa principală este de a preveni cele mai simple încercări de acces neautorizat.

2.11. Lupta împotriva virușilor și cailor troieni se realizează cu ajutorul unui software antivirus eficient care funcționează la nivel de utilizator și la nivel de rețea. Instrumentele antivirus detectează și opresc majoritatea virușilor și cailor troieni.

3. Algoritm de acțiuni la detectarea atacurilor de rețea

3.1. Majoritatea atacurilor de rețea sunt blocate de instrumentele de protecție a informațiilor instalate automat ( firewall-uri, instrumente de pornire de încredere, routere de rețea, instrumente antivirus etc.).

3.2. Atacurile care necesită intervenția personalului pentru a le bloca sau a atenua severitatea consecințelor includ atacurile DoS.

3.2.1. Atacurile DoS sunt detectate prin analiza traficului de rețea. Începutul atacului se caracterizează prin „ ciocănind»Canale de comunicație care utilizează pachete care consumă mult resurse cu adrese false. Un astfel de atac asupra unui site de internet banking complică accesul utilizatorilor legitimi, iar resursa web poate deveni inaccesibilă.

3.2.2. Dacă este detectat un atac, administratorul de sistem ia următoarele acțiuni:

• comută manual routerul la canal de rezervăși invers pentru a identifica un canal mai puțin aglomerat (un canal cu o lățime de bandă mai mare);
• dezvăluie gama de adrese IP de la care este efectuat atacul;
• trimite o solicitare furnizorului de a bloca adrese IP din intervalul specificat.

3.3. Un atac DoS este de obicei folosit pentru a masca un atac de succes asupra resurselor unui client pentru a face dificil de detectat. Prin urmare, la detectarea unui atac DoS, este necesar să se analizeze cele mai recente tranzacții pentru a identifica operațiuni neobișnuite, pentru a le bloca (dacă este posibil), pentru a contacta clienții printr-un canal alternativ pentru a confirma tranzacțiile.

3.4. În cazul primirii de informații de la client despre acțiuni neautorizate, toate dovezile disponibile sunt înregistrate, se efectuează o investigație internă și se depune o cerere la aplicarea legii.

Descarca fișier Zip (24151)

Documentele au venit la îndemână - puneți „like”:

Scopul principal al acestui program este de a detecta atacurile hackerilor. După cum știți, prima fază a majorității atacurilor hackerilor este inventarul rețelei și scanarea portului pe gazdele detectate. Scanarea portului ajută la determinarea tipului de sistem de operare și la detectarea serviciilor potențial vulnerabile (de exemplu, e-mail sau server WEB). După scanarea porturilor, multe scanere determină tipul de serviciu trimițând cereri de testare și analizând răspunsul serverului. Utilitarul APS realizează un schimb cu atacatorul și vă permite să identificați fără ambiguitate faptul unui atac.

În plus, scopul utilității este:

• detectarea diferitelor tipuri de atacuri (în primul rând scanarea portului și identificarea serviciului) și apariția programelor în rețea și viermi de rețea(în baza de date APS există mai mult de o sută de porturi utilizate de viermi și componente Backdoor);
• testarea scanerelor de porturi și a securității rețelei (pentru a verifica funcționarea scanerului, trebuie să rulați APS pe computerul de testare și să efectuați o scanare a portului - folosind protocoalele APS este ușor să stabiliți ce verificări va efectua scanerul și în ce secvență );
• testarea și controlul operațional asupra activității Firewallului - în acest caz, utilitarul APS este lansat pe un computer cu Firewall instalat și se efectuează o scanare a portului și (sau alte atacuri) împotriva computerului. Dacă APS emite o alarmă, atunci acesta este un semnal că firewall-ul este inoperabil sau setare greșită... APS poate fi rulat constant în spatele unui computer protejat de un Firewall pentru a monitoriza funcționarea corectă a Firewall-ului în timp real;
• blocarea funcționării viermilor de rețea și a modulelor Backdoor și detectarea acestora - principiul detectării și blocării se bazează pe faptul că unul și același port poate fi deschis pentru ascultare o singură dată. Prin urmare, deschiderea porturilor utilizate de troieni și programe Backdoor înainte de a fi lansate va interfera cu activitatea lor; după lansare, va duce la detectarea faptului că un alt program folosește portul;
• testarea anti-troiene și programe, sisteme IDS - baza de date APS conține mai mult de o sută de porturi ale celor mai comune troieni. Unele instrumente anti-Troian au capacitatea de a scana porturile PC-ului țintă (sau de a construi o listă de porturi de ascultare fără a scana folosind API-ul Windows) - astfel de fonduri ar trebui să raporteze o suspiciune de prezență troieni(cu o listă de porturi „suspecte”) - lista rezultată poate fi ușor comparată cu lista de porturi din baza de date APS și trage concluzii despre fiabilitatea instrumentului utilizat.

Principiul programului se bazează pe ascultarea porturilor descrise în baza de date. Baza de date de porturi este actualizată constant. Baza de date conține o scurtă descriere a fiecărui port - descrierile scurte conțin fie numele virușilor care utilizează portul, fie numele serviciului standard căruia îi corespunde acest port. Când este detectată o încercare de conectare la portul de ascultare, programul înregistrează faptul conexiunii în protocol, analizează datele primite după conectare, iar pentru unele servicii transmite un așa-numit banner - un set de text sau date binare transmise serviciu real după conectare.