Atacurile „pasive” folosind, de exemplu, sniffer, sunt deosebit de periculoase, deoarece, în primul rând, sunt practic nedetectabile, iar în al doilea rând, sunt întreprinse din rețeaua locală (Firewall-ul extern este neputincios).
Viruși- Programe rău intenționate capabile să se auto copieze și să se trimită automat. În decembrie 1994, am primit un avertisment despre răspândirea virușilor de rețea (vreme bune și xxx-1) pe Internet:
Ore, zile, săptămâni și uneori luni trec din momentul creării până în momentul în care este detectat un virus. Depinde de cât de repede se manifestă efectele infecției. Cu cât acest timp este mai lung, cu atât mai multe computere sunt infectate. După detectarea faptului de infecție și a răspândirii unui nou tip de virus, durează de la câteva ore (de exemplu, pentru Email_Worm.Win32.Bagle.bj) până la trei săptămâni ( [email protected]) să identifice semnătura, să creeze un antidot și să includă semnătura acestuia în baza de date a programului antiviral. Temporar diagrama ciclului de viață virusul este prezentat în fig. 12.1 ("Network Security", v.2005, Issue 6, June 2005, p. 16-18). Numai în 2004 au fost înregistrate 10.000 de noi semnături de viruși. Viermele Blaster a infectat 90% din mașini în 10 minute. În acest timp, grupul antivirus trebuie să detecteze obiectul, să califice și să dezvolte contramăsuri. Este clar că acest lucru este nerealist. Deci programul antivirus nu este atât un mijloc de contracarare cât sedativ... Aceleași considerații sunt valabile pentru toate celelalte tipuri de atacuri. Când semnătura unui atac devine cunoscută, atacul în sine nu este de obicei periculos, deoarece contramăsurile au fost deja dezvoltate și vulnerabilitatea este acoperită. Din acest motiv, o asemenea atenție este acordată sistemului de gestionare a actualizării software (patch-uri).
Unii viruși și viermi au programe SMTP încorporate concepute pentru a le trimite afară și trapă pentru intrarea nestingherită în mașina infectată. Cele mai noi versiuni sunt echipate cu mijloace de suprimare a activității altor viruși sau viermi. Astfel, pot fi create rețele întregi de mașini infectate (BotNet), gata să lanseze, de exemplu, un atac DDoS la comandă. Pentru a controla astfel de mașini zombi, se poate folosi protocolul IRC(Diagrama Internet Relay). Acest sistem de mesagerie este susținut de un număr mare de servere și, prin urmare, un astfel de canal este de obicei dificil de urmărit și de logat. Acest lucru este facilitat și de faptul că majoritatea sistemelor controlează mai îndeaproape traficul de intrare decât traficul de ieșire. Trebuie avut în vedere faptul că, pe lângă atacurile DoS, o mașină infectată poate servi pentru a scana alte computere și a trimite SPAM, pentru a stoca produse software ilegale, pentru a controla mașina în sine și pentru a fura documentele stocate acolo, pentru a dezvălui parolele și cheile folosite. de către proprietar. Prejudiciul cauzat de virusul Blaster este estimat la 475.000 de dolari.
Din păcate, nu există mijloace fiabile de a detecta noi virusuri (a cărui semnătură nu este cunoscută).
Orez. 12.1.
În 2005, a fost identificată o altă amenințare - răspândirea virușilor și a viermilor de rețea folosind roboți de motoarele de căutare (boți), bazați pe IRC.
Programele roboți nu sunt întotdeauna periculoase, unele dintre soiurile lor sunt folosite pentru a colecta date, în special, despre preferințele clienților, iar în motorul de căutare Google lucrează pentru a colecta și indexa documente. Dar în mâinile unui hacker, aceste programe se transformă în arme periculoase. Cel mai faimos atac a fost lansat în 2005, deși pregătirile și „primele experimente” au început în septembrie 2004. Programul a căutat mașini cu vulnerabilități specifice, în special, LSASS (Local Security Authority Subsystem Service, Windows). Subsistemul de securitate LSASS însuși sa dovedit a fi vulnerabil la atacurile de depășire a tamponului. Deși vulnerabilitatea a fost deja corectată, numărul de mașini neactualizate rămâne semnificativ. După o intruziune, un hacker folosește de obicei IRC pentru a efectua operațiunile pe care le dorește (deschiderea unui anumit port, trimiterea de SPAM, începerea unei scanări pentru alte potențiale victime). O nouă caracteristică a unor astfel de programe este că sunt încorporate în sistemul de operare într-un asemenea mod (rootkit) încât nu pot fi detectate, deoarece sunt situate în zona nucleului sistemului de operare. Dacă un program antivirus încearcă să acceseze o anumită zonă de memorie pentru a detecta codul rău intenționat, rootkit-ul interceptează solicitarea și trimite o notificare programului de testare că totul este în ordine. Pentru a înrăutăți lucrurile, programele bot pot modifica conținutul.
În timpul funcționării sistemelor informatice, apar adesea diverse probleme. Unele sunt din greșeală, iar altele sunt rezultatul unor acte rău intenționate. În orice caz, deteriorarea este făcută. Prin urmare, vom numi astfel de evenimente atacuri, indiferent de motivele apariției lor.
Există patru categorii principale de atacuri:
- atacuri de acces;
- atacuri de modificare;
- atacuri de refuz de serviciu;
- atacuri de declinare a răspunderii.
Să aruncăm o privire mai atentă la fiecare categorie. Există multe modalități de a efectua atacuri: folosind instrumente special concepute, metode de inginerie socială, prin vulnerabilități în sistemele informatice. Ingineria socială nu folosește mijloace tehnice pentru a obține acces neautorizat la sistem. Un atacator obține informații printr-un simplu apel telefonic sau se infiltrează într-o organizație sub masca unui angajat. Acest tip de atac este cel mai distructiv.
Atacurile care vizează captarea informațiilor stocate în formă electronică au o caracteristică interesantă: informațiile nu sunt furate, ci copiate. Rămâne la proprietarul inițial, dar și atacatorul îl primește. Astfel, proprietarul informațiilor suportă pierderi și este foarte greu de găsit momentul în care s-a întâmplat acest lucru.
Definirea unui atac de acces
Un atac de acces este o încercare a unui atacator de a obține informații pe care nu are permisiunea de a le vizualiza. Implementarea unui astfel de atac este posibilă oriunde există informații și mijloace de transmitere a acesteia (Fig. 2.1). Un atac de acces are ca scop încălcarea confidențialității informațiilor.
Orez. 2.1.
Privind
Snooping este parcurgerea fișierelor sau documentelor pentru a găsi informații de interes pentru un atacator. Dacă documentele sunt stocate sub formă de imprimări, atunci un atacator va deschide sertarele biroului și le va scotoci. Dacă informațiile se află într-un sistem informatic, acesta va scana fișier cu fișier până când va găsi informațiile de care are nevoie.
Ascultarea cu urechea
Când cineva ascultă o conversație la care nu este parte, acest lucru se numește interceptare. Pentru a obține acces neautorizat la informații
Internetul ne schimbă complet modul de viață: muncă, studiu, petrecere a timpului liber. Aceste schimbări vor avea loc atât în domeniile deja cunoscute nouă (e-commerce, acces la informație în timp real, extinderea capacităților de comunicare etc.), cât și în acele zone despre care nu avem încă o idee.
Poate veni momentul în care corporația își va efectua toate apelurile telefonice prin Internet și complet gratuit. În viața privată, este posibil să apară site-uri web speciale, cu ajutorul cărora părinții pot afla în orice moment cum se descurcă copiii lor. Societatea noastră abia începe să realizeze posibilitățile nelimitate ale internetului.
Introducere
Odată cu creșterea uriașă a popularității internetului, există un pericol fără precedent de a dezvălui date personale, resurse corporative esențiale, secrete de stat etc.
În fiecare zi, hackerii amenință aceste resurse, încercând să obțină acces la ele folosind atacuri speciale, care treptat devin, pe de o parte, mai sofisticate, iar pe de altă parte, mai ușor de executat. Acest lucru este facilitat de doi factori principali.
În primul rând, este penetrarea omniprezentă a Internetului. Astăzi, milioane de dispozitive sunt conectate la Internet și multe milioane de dispozitive vor fi conectate la Internet în viitorul apropiat, astfel încât probabilitatea ca hackerii să acceseze dispozitive vulnerabile este în continuă creștere.
În plus, utilizarea pe scară largă a Internetului permite hackerilor să facă schimb de informații la scară globală. O simplă căutare a cuvintelor cheie precum „hacker”, „hack”, „hack”, „crack” sau „phreak” vă va oferi mii de site-uri, multe dintre care puteți găsi coduri rău intenționate și cum să le utilizați.
În al doilea rând, există o adoptare pe scară largă a sistemelor de operare și a mediilor de dezvoltare ușor de utilizat. Acest factor reduce dramatic nivelul de cunoștințe și abilități necesare unui hacker. Anterior, pentru a crea și distribui aplicații ușor de utilizat, un hacker trebuia să aibă abilități bune de programare.
Acum, pentru a obține acces la instrumentul de hacking, trebuie doar să cunoașteți adresa IP a site-ului dorit, iar pentru a efectua un atac este suficient să faceți clic pe mouse.
Clasificarea atacurilor de rețea
Atacurile de rețea sunt la fel de diverse ca și sistemele împotriva cărora sunt direcționate. Unele atacuri sunt foarte complexe, altele sunt în puterea unui operator obișnuit, care nici măcar nu știe la ce pot duce consecințele activității sale. Pentru a evalua tipurile de atacuri, este necesar să se cunoască unele dintre limitările inerente ale protocolului TPC/IP. Net
Internetul a fost creat pentru comunicarea între agențiile guvernamentale și universități pentru a sprijini procesul educațional și cercetarea științifică. Creatorii acestei rețele habar n-aveau cât de răspândită va fi. Ca urmare, specificațiile timpurii IP (Internet Protocol) nu aveau cerințe de securitate. Acesta este motivul pentru care multe implementări IP sunt în mod inerent vulnerabile.
De-a lungul anilor, după multe solicitări (Request for Comments, RFC-uri), securitatea IP a început în sfârșit să fie implementată. Cu toate acestea, din cauza faptului că inițial instrumentele de securitate pentru protocolul IP nu au fost dezvoltate, toate implementările acestuia au început să fie completate de o varietate de proceduri de rețea, servicii și produse care reduc riscurile inerente acestui protocol. În continuare, vom arunca o privire rapidă asupra tipurilor de atacuri care sunt utilizate în mod obișnuit împotriva rețelelor IP și vom enumera modalități de a le combate.
Mirositoare de pachete
Un sniffer de pachete este un program de aplicație care utilizează o placă de rețea care funcționează în modul promiscuu (în acest mod, toate pachetele primite pe canale fizice sunt trimise aplicației de către adaptorul de rețea pentru procesare).
În același timp, sniffer-ul interceptează toate pachetele de rețea care sunt transmise printr-un anumit domeniu. În prezent, sniffer-ii operează în rețele pe o bază complet legală. Sunt folosite pentru depanarea și analiza traficului. Cu toate acestea, datorită faptului că unele aplicații de rețea transmit date în format text ( Telnet, FTP, SMTP, POP3 etc..), cu ajutorul unui sniffer, puteți afla informații utile și uneori confidențiale (de exemplu, nume de utilizator și parole).
Interceptarea numelor de utilizator și a parolelor este foarte periculoasă, deoarece utilizatorii folosesc adesea același nume de utilizator și parolă pentru mai multe aplicații și sisteme. Mulți utilizatori au, în general, o singură parolă pentru a accesa toate resursele și aplicațiile.
Dacă aplicația rulează în modul client-server și datele de autentificare sunt transmise prin rețea într-un format text care poate fi citit, atunci aceste informații pot fi folosite cel mai probabil pentru a accesa alte resurse corporative sau externe. Hackerii cunosc prea bine și exploatează slăbiciunile umane (metodele de atac se bazează adesea pe metode de inginerie socială).
Ei sunt perfect conștienți că folosim aceeași parolă pentru a accesa multe resurse și, prin urmare, reușesc adesea, după ce ne-au învățat parola, să obțină acces la informații importante. În cel mai rău caz, un hacker obține acces la o resursă de utilizator la nivel de sistem și cu ajutorul acestuia creează un nou utilizator care poate fi folosit în orice moment pentru a accesa Rețeaua și resursele acesteia.
Puteți atenua amenințarea de sniffing de pachete folosind următoarele instrumente:
Autentificare. Autentificările puternice sunt cea mai importantă modalitate de a vă proteja împotriva sniff-ului de pachete. Prin „puternic” înțelegem metode de autentificare greu de ocolit. Un exemplu de astfel de autentificare este parolele unice (OTP).
OTP este o tehnologie de autentificare cu doi factori care combină ceea ce ai cu ceea ce știi. Un exemplu tipic de autentificare cu doi factori este funcționarea unui bancomat obișnuit, care vă recunoaște, în primul rând, după cardul dvs. de plastic și, în al doilea rând, după codul PIN pe care îl introduceți. Pentru autentificarea în sistemul OTP, sunt necesare, de asemenea, un cod PIN și cardul dumneavoastră personal.
Un token este un instrument hardware sau software care generează aleatoriu o singură parolă unică. Dacă un hacker află această parolă folosind un sniffer, atunci această informație va fi inutilă, deoarece în acel moment parola va fi deja folosită și retrasă din utilizare.
Rețineți că această metodă anti-sniffing este eficientă numai în cazurile în care parolele sunt interceptate. Sniffer-urile care interceptează alte informații (de exemplu, mesajele de e-mail) nu își pierd eficacitatea.
Infrastructură schimbată... O altă modalitate de a combate sniff-ul de pachete în mediul dvs. de rețea este construirea unei infrastructuri comutate. Dacă, de exemplu, o întreagă organizație folosește Ethernet comutată, hackerii pot accesa traficul doar pe portul la care sunt conectați. Infrastructura comutată nu elimină amenințarea sniffing-ului, dar îi reduce semnificativ severitatea.
Anti-sniffers. A treia modalitate de a combate sniffer-ul este să instalați hardware sau software care să recunoască sniffer-urile care rulează în rețeaua dvs. Aceste instrumente nu pot elimina complet amenințarea, dar, la fel ca multe alte instrumente de securitate a rețelei, sunt incluse în sistemul general de apărare. Anti-sniffer-urile măsoară capacitatea de răspuns a gazdei și determină dacă gazdele trebuie să gestioneze traficul inutil. Un astfel de produs, furnizat de LOpht Heavy Industries, se numește AntiSniff.
Criptografie. Această modalitate cea mai eficientă de a face față snifferului de pachete, deși nu împiedică interceptarea cu urechea și nu recunoaște munca sniffer-urilor, face ca această muncă să fie inutilă. Dacă canalul de comunicație este sigur din punct de vedere criptografic, atunci hackerul nu interceptează mesajul, ci textul cifrat (adică o secvență de neînțeles de biți). Criptografia stratului de rețea Cisco se bazează pe IPSec, care este o metodă standard pentru comunicarea securizată între dispozitive care utilizează IP. Alte protocoale criptografice de gestionare a rețelei includ SSH (Secure Shell) și SSL (Secure Socket Layer).
Falsificarea IP
Falsificarea IP are loc atunci când un hacker, fie în interiorul sau în afara unei corporații, se uită la un utilizator autorizat. Acest lucru se poate face în două moduri: un hacker poate folosi fie o adresă IP care se află în intervalul de adrese IP autorizate, fie o adresă externă autorizată căreia i se permite accesul la anumite resurse de rețea.
Atacurile de falsificare IP sunt adesea punctul de plecare pentru alte atacuri. Un exemplu clasic este un atac DoS care începe cu adresa altcuiva care ascunde adevărata identitate a hackerului.
De obicei, falsificarea IP se limitează la inserarea de informații false sau comenzi rău intenționate în fluxul normal de date între aplicațiile client și server sau comunicațiile peer-to-peer.
Pentru comunicarea bidirecțională, un hacker trebuie să modifice toate tabelele de rutare pentru a direcționa traficul către o adresă IP falsificată. Unii hackeri, totuși, nici măcar nu încearcă să obțină un răspuns de la aplicații - dacă sarcina principală este să obțină un fișier important din sistem, atunci răspunsurile aplicațiilor nu contează.
Dacă hackerul reușește să schimbe tabelele de rutare și să direcționeze traficul către o adresă IP falsă, va primi toate pachetele și va putea răspunde la ele ca și cum ar fi un utilizator autorizat.
Amenințarea de falsificare poate fi atenuată (dar nu eliminată) prin utilizarea următoarelor măsuri:
- Controlul accesului... Cel mai simplu mod de a preveni falsificarea IP este configurarea corectă a controlului accesului. Pentru a reduce eficiența falsificării IP, configurați controlul accesului pentru a opri orice trafic care vine din rețeaua externă cu o adresă sursă care trebuie să fie localizată în interiorul rețelei.
Cu toate acestea, acest lucru ajută la combaterea falsării IP atunci când sunt autorizate numai adresele interne; dacă sunt autorizate și unele adrese ale rețelei externe, această metodă devine ineficientă;
- Filtrarea RFC 2827. Puteți împiedica utilizatorii rețelei dvs. să falsifice rețelele altor persoane (și să deveniți un bun cetățean al rețelei). Acest lucru necesită respingerea oricărui trafic de ieșire a cărui adresă sursă nu este una dintre adresele IP ale organizației dvs.
Acest tip de filtrare, cunoscut sub numele de RFC 2827, poate fi efectuat și de ISP-ul dumneavoastră. Ca rezultat, tot traficul care nu are o adresă sursă așteptată pe o anumită interfață este eliminat. De exemplu, dacă ISP-ul oferă o conexiune la o adresă IP de 15.1.1.0/24, poate configura filtrul astfel încât numai traficul care vine de la 15.1.1.0/24 să fie permis de la acea interfață către routerul ISP-ului.
Rețineți că până când toți furnizorii implementează acest tip de filtrare, eficacitatea acestuia va fi mult mai mică decât este posibil. În plus, cu cât mai departe de dispozitivele filtrate, cu atât este mai dificil să se efectueze o filtrare precisă. De exemplu, filtrarea RFC 2827 la nivel de router de acces necesită ca tot traficul să treacă de la adresa rețelei principale (10.0.0.0/8), în timp ce la nivel de distribuție (în această arhitectură) puteți limita mai precis traficul (adresa - 10.1. 5.0/24).
Cea mai eficientă metodă de a trata IP spoofing este aceeași ca și pentru packet sniffing: atacul trebuie să fie complet ineficient. Falsificarea IP poate funcționa numai dacă autentificarea se bazează pe adrese IP.
Prin urmare, introducerea unor metode suplimentare de autentificare face ca astfel de atacuri să fie inutile. Cel mai bun tip de autentificare suplimentară este criptografic. Dacă acest lucru nu este posibil, autentificarea cu doi factori folosind parole unice poate da rezultate bune.
Refuzarea serviciului
Denial of Service (DoS) este, fără îndoială, cea mai cunoscută formă de atacuri ale hackerilor. În plus, împotriva acestui tip de atac, este cel mai dificil să creezi o apărare sută la sută. Atacurile DoS sunt considerate o joacă de copii în rândul hackerilor, iar utilizarea lor provoacă rânjete disprețuitoare, deoarece organizarea DoS necesită un minim de cunoștințe și abilități.
Cu toate acestea, simplitatea implementării și amploarea prejudiciului este cea care provoacă DoS să atragă atenția administratorilor de securitate a rețelei. Dacă doriți să aflați mai multe despre atacurile DoS, ar trebui să luați în considerare soiurile mai cunoscute, care sunt:
- TCP SYN Flood;
- Ping al morții;
- Tribe Flood Network (TFN) și Tribe Flood Network 2000 (TFN2K);
- Trinco;
- Stacheldracht;
- Treime.
O sursă excelentă de informații de securitate este Computer Emergency Response Team (CERT), care are o activitate excelentă în combaterea atacurilor DoS.
Atacurile DoS sunt diferite de alte tipuri de atacuri. Acestea nu au ca scop obținerea accesului la rețeaua dvs. și nici obținerea de informații din acea rețea, dar un atac DoS face rețeaua dvs. indisponibilă pentru utilizare normală prin depășirea limitelor acceptabile pentru funcționarea rețelei, a sistemului de operare sau a aplicației.
Pentru unele aplicații de pe partea de server (cum ar fi un server Web sau un server FTP), atacurile DoS pot lua toate conexiunile disponibile pentru acele aplicații și le pot menține ocupate, împiedicând utilizatorii obișnuiți să servească. Atacurile DoS pot folosi protocoale de internet obișnuite, cum ar fi TCP și ICMP ( Internet Control Message Protocol).
Cele mai multe atacuri DoS nu sunt vizate împotriva erorilor software sau a găurilor de securitate, ci asupra deficiențelor generale ale arhitecturii sistemului. Unele atacuri anulează performanța rețelei prin inundarea rețelei cu pachete nedorite și inutile sau prin furnizarea de informații false despre starea actuală a resurselor rețelei.
Acest tip de atac este dificil de prevenit deoarece necesită coordonare cu furnizorul. Dacă nu opriți traficul de la furnizorul care intenționează să vă depășească rețeaua, atunci nu veți putea face acest lucru la intrarea în rețea, deoarece întreaga lățime de bandă va fi ocupată. Când acest tip de atac este efectuat simultan prin mai multe dispozitive, vorbim despre un atac DoS distribuit (DDoS).
Amenințarea atacurilor DoS poate fi atenuată în trei moduri:
- Funcții anti-spoofing... Configurarea corectă a funcțiilor anti-spoofing pe routere și firewall-uri va ajuta la reducerea riscului de DoS. Cel puțin, aceste caracteristici ar trebui să includă filtrarea RFC 2827. Cu excepția cazului în care un hacker își poate ascunde adevărata identitate, este puțin probabil să lanseze un atac.
- Funcții anti-DoS. Configurarea corectă a caracteristicilor anti-DoS pe routere și firewall-uri poate limita eficacitatea atacurilor. Aceste funcții limitează adesea numărul de canale pe jumătate deschise la un moment dat.
- Limitarea ratei de trafic... Organizația poate cere ISP-ului să limiteze volumul de trafic. Acest tip de filtrare vă permite să limitați cantitatea de trafic necritic care trece prin rețeaua dvs. Un exemplu tipic este limitarea cantității de trafic ICMP care este utilizat numai în scopuri de diagnosticare. (D) Atacurile DoS folosesc adesea ICMP.
Atacurile cu parole
Hackerii pot conduce atacuri cu parole folosind o varietate de tehnici, cum ar fi atacuri cu forță brută, cai troieni, falsificarea IP și sniffing de pachete. Deși numele de utilizator și parola pot fi obținute adesea prin falsificarea IP și prin sniffing de pachete, hackerii încearcă adesea să ghicească parola și numele de utilizator folosind numeroase încercări de acces. Această abordare se numește atac de forță brută.
Adesea, pentru un astfel de atac este folosit un program special, care încearcă să obțină acces la o resursă partajată (de exemplu, un server). Dacă, în consecință, hackerului i se oferă acces la resurse, atunci îl obține ca utilizator obișnuit, a cărui parolă a fost aleasă.
Dacă acest utilizator are privilegii de acces semnificative, hackerul își poate crea un „pasaj” pentru acces viitor, care va fi valabil chiar dacă utilizatorul își schimbă parola și autentificarea.
O altă problemă apare atunci când utilizatorii folosesc aceeași parolă (deși foarte bună) pentru a accesa multe sisteme: sisteme corporative, personale și de internet. Deoarece puterea parolei este egală cu puterea celei mai slabe gazde, un hacker care învață parola prin această gazdă obține acces la toate celelalte sisteme în care este folosită aceeași parolă.
Atacurile cu parole pot fi evitate prin neutilizarea parolelor în text simplu. Parolele unice și/sau autentificarea criptografică pot anula practic amenințarea unor astfel de atacuri. Din păcate, nu toate aplicațiile, gazdele și dispozitivele acceptă metodele de autentificare de mai sus.
Când utilizați parole obișnuite, încercați să găsiți una care ar fi dificil de ghicit. Lungimea minimă a parolei trebuie să fie de cel puțin opt caractere. Parola trebuie să includă caractere majuscule, numere și caractere speciale (#,%, $ etc.).
Cele mai bune parole sunt greu de ghicit și greu de reținut, forțând utilizatorii să le noteze pe hârtie. Pentru a evita acest lucru, utilizatorii și administratorii pot folosi o serie de cele mai recente progrese tehnologice.
De exemplu, există programe de aplicație care criptează o listă de parole pe care le poți stoca în Pocket PC-ul tău. Ca rezultat, utilizatorul trebuie să-și amintească doar o singură parolă complexă, în timp ce toate celelalte vor fi protejate în mod fiabil de aplicație.
Există mai multe metode prin care administratorul poate combate ghicirea parolelor. Una este să folosiți instrumentul L0phtCrack, care este adesea folosit de hackeri pentru a ghici parolele în Windows NT. Acest instrument vă va arăta rapid dacă este ușor să ghiciți parola pe care a ales-o utilizatorul. Mai multe informații pot fi obținute la http://www.l0phtcrack.com/.
Atacurile de la Omul din mijloc
Pentru un atac Man-in-the-Middle, un hacker are nevoie de acces la pachetele din rețea. Un astfel de acces la toate pachetele transmise de la furnizor către orice altă rețea poate fi, de exemplu, obținut de un angajat al acestui furnizor. Acest tip de atac utilizează adesea sniffer-uri de pachete, protocoale de transport și protocoale de rutare.
Atacurile sunt efectuate cu scopul de a sustrage informații, interceptarea sesiunii curente și obținerea accesului la resursele rețelei private, pentru analizarea traficului și obținerea de informații despre rețea și utilizatorii acesteia, pentru efectuarea de atacuri DoS, denaturarea datelor transmise și introducerea de informații neautorizate în sesiuni de rețea.
Atacurile Man-in-the-Middle pot fi combatute eficient doar cu ajutorul criptografiei. Dacă un hacker interceptează datele unei sesiuni criptate, nu mesajul interceptat va apărea pe ecranul lui, ci un set de caractere fără sens. Rețineți că, dacă un hacker obține informații despre o sesiune criptografică (de exemplu, o cheie de sesiune), atunci acest lucru poate face posibil un atac Man-in-the-Middle chiar și într-un mediu criptat.
Atacurile la nivelul aplicației
Atacurile la nivelul aplicației pot fi efectuate în mai multe moduri. Cea mai comună dintre acestea este exploatarea punctelor slabe binecunoscute ale software-ului serverului (sendmail, HTTP, FTP). Folosind aceste puncte slabe, hackerii pot obține acces la computer în numele utilizatorului care rulează aplicația (de obicei acesta nu este un simplu utilizator, ci un administrator privilegiat cu drepturi de acces la sistem).
Atacurile la nivel de aplicație sunt mediatizate pe scară largă pentru a oferi administratorilor posibilitatea de a rezolva problema cu module corective (patch-uri). Din păcate, mulți hackeri au acces și la aceste informații, ceea ce le permite să se îmbunătățească.
Principala problemă a atacurilor la nivelul aplicației este că hackerii folosesc adesea porturi care au voie să treacă prin firewall. De exemplu, un hacker care exploatează o slăbiciune cunoscută a unui server Web folosește adesea într-un atac portul TCP 80. Deoarece serverul Web oferă utilizatorilor pagini Web, firewall-ul trebuie să ofere acces la acel port. Din punctul de vedere al firewall-ului, atacul este tratat ca trafic standard pe portul 80.
Atacurile la nivelul aplicației nu pot fi excluse complet. Hackerii descoperă și publică în mod constant noi vulnerabilități în programele de aplicații de pe Internet. Cel mai important lucru aici este o bună administrare a sistemului. Iată câțiva pași pe care îi puteți lua pentru a vă reduce vulnerabilitatea la acest tip de atac:
- citiți fișierele jurnal ale sistemului de operare și fișierele jurnal de rețea și/sau analizați-le folosind aplicații analitice speciale;
- Abonați-vă la Serviciul de distribuire a punctelor slabe ale aplicației: Bugtrad (http://www.securityfocus.com).
Inteligența rețelei
Inteligența rețelei este colectarea de informații despre o rețea folosind date și aplicații disponibile public. Când pregătește un atac împotriva unei rețele, un hacker, de regulă, încearcă să obțină cât mai multe informații despre aceasta. Recunoașterea rețelei se face sub formă de interogări DNS, ping-uri și scanări de porturi.
Interogările DNS vă ajută să înțelegeți cine deține un anumit domeniu și ce adrese sunt atribuite acelui domeniu. Aplicarea ping la adresele expuse DNS vă permite să vedeți ce gazde rulează de fapt în mediul dvs. După obținerea unei liste de gazde, un hacker folosește instrumente de scanare porturi pentru a compila o listă completă de servicii acceptate de acele gazde. În cele din urmă, hackerul analizează caracteristicile aplicațiilor care rulează pe gazde. Drept urmare, extrage informații care pot fi folosite pentru hacking.
Este imposibil să scapi complet de inteligența rețelei. Dacă, de exemplu, dezactivați ecoul ICMP și răspunsul ecou pe routerele periferice, veți scăpa de ping-uri, dar veți pierde datele necesare pentru a diagnostica defecțiunile rețelei.
În plus, puteți scana porturile fără să faceți ping mai întâi - durează mai mult, deoarece va trebui să scanați și adrese IP inexistente. Sistemele IDS la nivel de rețea și gazdă fac, de obicei, o treabă bună notificând administratorul despre inteligența rețelei în curs de desfășurare, ceea ce vă permite să vă pregătiți mai bine pentru un atac iminent și să alertați ISP-ul pe a cărui rețea sistemul dă dovadă de curiozitate excesivă:
- utilizați cele mai recente versiuni de sisteme de operare și aplicații și cele mai recente module de corecție (patch-uri);
- Pe lângă administrarea sistemului, utilizați sistemele de detectare a atacurilor (IDS) - două tehnologii ID complementare:
- Network IDS (NIDS) monitorizează toate pachetele care trec printr-un anumit domeniu. Când sistemul NIDS vede un pachet sau o serie de pachete care se potrivesc cu semnătura unui atac cunoscut sau probabil, generează o alarmă și/sau încheie sesiunea;
- IDS (HIDS) protejează gazda cu agenți software. Acest sistem combate doar atacurile împotriva unei singure gazde.
IDS-urile operează folosind semnături de atac, care sunt profiluri ale unor atacuri specifice sau ale unor tipuri de atacuri. Semnăturile definesc condițiile în care traficul este considerat hacker. Analogii IDS din lumea fizică pot fi considerați un sistem de avertizare sau o cameră de supraveghere.
Cel mai mare dezavantaj al IDS este capacitatea lor de a genera alarme. Este necesară o configurare atentă pentru a minimiza alarmele false și pentru a asigura funcționarea corectă a sistemului IDS în rețea.
Abuz de încredere
Strict vorbind, acest tip de acțiune nu este, în sensul deplin al cuvântului, un atac sau un atac. Este o utilizare rău intenționată a relațiilor de încredere care există în rețea. Un exemplu clasic de astfel de abuz este situația de la marginea rețelei corporative.
Acest segment găzduiește adesea servere DNS, SMTP și HTTP. Deoarece toate aparțin aceluiași segment, piratarea oricăruia dintre ele duce la piratarea tuturor celorlalte, deoarece aceste servere au încredere în alte sisteme din rețeaua lor.
Un alt exemplu este un sistem instalat în exteriorul unui firewall care are o relație de încredere cu un sistem instalat în interior. Dacă un sistem extern este compromis, hackerul poate folosi relația de încredere pentru a se infiltra în sistemul protejat de firewall.
Riscul unei încălcări a încrederii poate fi atenuat printr-un control mai strict al nivelurilor de încredere în rețeaua dumneavoastră. Sistemele din afara paravanului de protecție nu ar trebui, în niciun caz, să aibă încredere completă de către sistemele protejate de paravanul de protecție.
Relațiile de încredere ar trebui să fie limitate la anumite protocoale și, dacă este posibil, să fie autentificate nu numai prin adrese IP, ci și prin alți parametri.
Port forwarding
Redirecționarea portului este o formă de abuz de încredere în care o gazdă compromisă este utilizată pentru a trece traficul prin firewall care altfel ar fi respins. Imaginați-vă un firewall cu trei interfețe, fiecare având o anumită gazdă conectată la ea.
Gazda externă se poate conecta la gazda partajată (DMZ), dar nu și la cea instalată în interiorul firewall-ului. O gazdă partajată se poate conecta atât la o gazdă internă, cât și la una externă. Dacă un hacker preia o gazdă partajată, el poate instala pe aceasta un software care redirecționează traficul de la gazda externă direct la gazda internă.
Deși acest lucru nu încalcă nicio regulă în vigoare pe ecran, gazda externă, ca urmare a redirecționării, obține acces direct la gazda protejată. Un exemplu de aplicație care poate oferi acest acces este netcat. Mai multe informații pot fi găsite la http://www.avian.org.
Principala modalitate de a trata redirecționarea porturilor este utilizarea modelelor de încredere puternice (vezi secțiunea anterioară). În plus, un sistem gazdă IDS (HIDS) poate împiedica un hacker să-și instaleze software-ul pe o gazdă.
Acces neautorizat
Accesul neautorizat nu poate fi clasificat ca un tip separat de atac, deoarece majoritatea atacurilor de rețea sunt efectuate tocmai pentru a obține acces neautorizat. Pentru a prelua o autentificare Telnet, un hacker trebuie mai întâi să primească un prompt Telnet pe sistemul său. După conectarea la portul Telnet, mesajul „necesită autorizare pentru a utiliza această resursă” („ Este necesară autorizarea pentru a utiliza această resursă.»).
Dacă după aceea hackerul continuă să încerce să acceseze, acesta va fi considerat neautorizat. Sursa unor astfel de atacuri poate fi localizată atât în interiorul rețelei, cât și în exterior.
Modalitățile de combatere a accesului neautorizat sunt destul de simple. Principalul lucru aici este să reduceți sau să eliminați complet capacitatea hackerului de a obține acces la sistem folosind un protocol neautorizat.
De exemplu, luați în considerare prevenirea accesului hackerilor la portul Telnet de pe un server care oferă servicii Web utilizatorilor externi. Fără acces la acest port, un hacker nu îl poate ataca. În ceea ce privește firewall-ul, sarcina sa principală este de a preveni cele mai simple încercări de acces neautorizat.
Viruși și aplicații troiene
Stațiile de lucru ale utilizatorilor finali sunt extrem de vulnerabile la viruși și cai troieni. Virușii sunt programe rău intenționate care sunt încorporate în alte programe pentru a îndeplini o anumită funcție nedorită pe stația de lucru a unui utilizator final. Un exemplu este un virus care se înregistrează în fișierul command.com (interpretul principal Windows) și șterge alte fișiere și infectează toate celelalte versiuni ale command.com pe care le găsește.
Un cal troian nu este un plug-in, ci un program real care la prima vedere pare a fi o aplicație utilă, dar de fapt joacă un rol dăunător. Un exemplu de cal troian tipic este un program care arată ca un simplu joc pentru stația de lucru a utilizatorului.
Cu toate acestea, în timp ce utilizatorul joacă jocul, programul trimite o copie a lui însuși prin e-mail fiecărui abonat introdus în agenda utilizatorului respectiv. Toți abonații primesc jocul prin poștă, determinând distribuirea lui în continuare.
Acest articol este pentru cei care au întâmpinat prima dată nevoia de a stabili o conexiune de la distanță la o bază de date MySQL. Articolul vorbește despre dificultățile pe care...
Aproape fiecare site cu înregistrare are un formular „Amintiți-vă parola”, cu ajutorul acestuia puteți obține o parolă uitată și nu un e-mail. Trimiterea unei parole nu este complet sigură,...
Kaspersky Internet Security vă protejează computerul de atacurile de rețea.
Atacul la rețea Este o invazie a sistemului de operare al unui computer la distanță. Atacatorii lansează atacuri de rețea pentru a prelua controlul asupra sistemului de operare, pentru a-i determina refuzul serviciului sau pentru a obține acces la informații protejate.
Atacurile de rețea sunt acțiuni rău intenționate care sunt efectuate de atacatorii înșiși (cum ar fi scanarea portului, ghicirea parolei), precum și acțiunile efectuate de malware instalat pe computerul atacat (cum ar fi transferul de informații protejate către un atacator). Programele rău intenționate implicate în atacurile de rețea includ unele troiene, instrumente de atac DoS, scripturi rău intenționate și viermi de rețea.
Atacurile de rețea pot fi împărțite aproximativ în următoarele tipuri:
- Scanare porturi... Acest tip de atac de rețea este de obicei o etapă pregătitoare pentru un atac de rețea mai periculos. Un atacator scanează porturile UDP și TCP utilizate de serviciile de rețea pe computerul atacat și determină gradul de vulnerabilitate a computerului atacat la tipuri mai periculoase de atacuri de rețea. Scanarea portului permite, de asemenea, unui atacator să identifice sistemul de operare de pe computerul atacat și să selecteze atacurile de rețea adecvate pentru acesta.
- Atacurile DoS, sau atacuri de rețea care cauzează refuzul serviciului. Acestea sunt atacuri de rețea, în urma cărora sistemul de operare atacat devine instabil sau complet inutilizabil.
Există următoarele tipuri principale de atacuri DoS:
- Trimiterea unor pachete de rețea special concepute către un computer de la distanță care nu sunt așteptate de acest computer, care provoacă funcționarea defectuoasă sau oprirea sistemului de operare.
- Trimiterea unui număr mare de pachete de rețea către un computer la distanță într-o perioadă scurtă de timp. Toate resursele computerului atacat sunt folosite pentru a procesa pachetele de rețea trimise de atacator, ceea ce oprește computerul să-și îndeplinească funcțiile.
- Atacurile de intruziune în rețea... Acestea sunt atacuri de rețea, al căror scop este de a „deturna” sistemul de operare al computerului atacat. Acesta este cel mai periculos tip de atac de rețea, deoarece, dacă se finalizează cu succes, sistemul de operare este complet sub controlul atacatorului.
Acest tip de atacuri de rețea este utilizat atunci când un atacator trebuie să obțină date confidențiale de la un computer la distanță (de exemplu, numere de card bancar sau parole) sau să folosească computerul de la distanță în scopuri proprii (de exemplu, pentru a ataca alte computere de pe acest computer) fără știrea utilizatorului.
- Pe fila Protecție din bloc Protecție împotriva atacurilor de rețea debifați caseta.
De asemenea, puteți activa Network Attack Blocker în Centrul de Apărare. Dezactivarea protecției computerului sau a componentelor de protecție crește semnificativ riscul de infectare a computerului; prin urmare, informațiile despre dezactivarea protecției sunt afișate în Centrul de protecție.
Important: Dacă ați dezactivat Network Attack Blocker, atunci după ce reporniți Kaspersky Internet Security sau reporniți sistemul de operare, acesta nu se va porni automat și va trebui să îl activați manual.
Când este detectată o activitate periculoasă în rețea, Kaspersky Internet Security adaugă automat adresa IP a computerului atacator la lista de computere blocate, cu excepția cazului în care acest computer este adăugat la lista de computere de încredere.
- În bara de meniu, faceți clic pe pictograma programului.
- În meniul care se deschide, selectați elementul Setări.
Se va deschide fereastra cu setările programului.
- Pe fila Protecție din bloc Protecție împotriva atacurilor de rețea bifeaza casuta Activați Protecția împotriva atacurilor de rețea.
- Faceți clic pe butonul Excluderi.
Se va deschide o fereastră cu o listă de computere de încredere și o listă de computere blocate.
- Deschideți marcajul Calculatoare blocate.
- Dacă sunteți sigur că computerul blocat nu este o amenințare, selectați adresa lui IP din listă și faceți clic pe butonul Deblocare.
Se va deschide o fereastră de confirmare.
- În fereastra de confirmare, efectuați una dintre următoarele:
- Dacă doriți să vă deblocați computerul, faceți clic pe butonul Deblocare.
Kaspersky Internet Security deblochează adresa IP.
- Dacă doriți ca Kaspersky Internet Security să nu blocheze niciodată adresa IP selectată, faceți clic pe butonul Deblocați și adăugați la excepții.
Kaspersky Internet Security va debloca adresa IP și o va adăuga la lista de computere de încredere.
- Dacă doriți să vă deblocați computerul, faceți clic pe butonul Deblocare.
- Faceți clic pe butonul Salvare pentru a salva modificările.
Puteți crea o listă de computere de încredere. Kaspersky Internet Security nu blochează automat adresele IP ale acestor computere atunci când detectează activitate periculoasă în rețea care iese de la acestea.
Când este detectat un atac de rețea, Kaspersky Internet Security salvează informații despre acesta într-un raport.
- Deschideți meniul Securitate.
- Selectați Rapoarte.
Se va deschide fereastra de rapoarte Kaspersky Internet Security.
- Deschideți marcajul Protecție împotriva atacurilor de rețea.
Notă: Dacă componenta Network Attack Blocker sa terminat cu o eroare, puteți vizualiza raportul și încerca să reporniți componenta. Dacă nu puteți rezolva problema, contactați Serviciul de asistență tehnică.
Cursul 33 Tipuri și tipuri de atacuri de rețea
Cursul 33
Subiect: Tipuri și tipuri de atacuri de rețea
Atacul de la distanță în rețea este un efect informațional distructiv asupra unui sistem de calcul distribuit, efectuat în mod programatic prin canale de comunicație.
Introducere
Pentru a organiza comunicațiile într-un mediu de rețea eterogen, se utilizează un set de protocoale TCP/IP, asigurând compatibilitatea între computere de diferite tipuri. Acest set de protocoale a câștigat popularitate datorită compatibilității și furnizării accesului la resursele internetului global și a devenit standardul pentru interconectarea. Cu toate acestea, ubicuitatea stivei TCP / IP și-a expus și punctele slabe. În special, din această cauză, sistemele distribuite sunt susceptibile la atacuri de la distanță, deoarece componentele lor folosesc de obicei canale deschise de transmisie a datelor, iar intrusul nu poate doar să asculte pasiv informațiile transmise, ci și să modifice traficul transmis.
Dificultatea de a detecta un atac de la distanță și relativa ușurință de a efectua (datorită funcționalității redundante a sistemelor moderne) aduce acest tip de acțiuni ilegale pe primul loc în ceea ce privește gradul de pericol și împiedică un răspuns în timp util la amenințarea a fost implementat, drept urmare atacatorul crește șansele de implementare cu succes a atacului.
Clasificarea atacurilor
După natura impactului
Pasiv
Activ
Un impact pasiv asupra unui sistem de calcul distribuit (DCS) este un fel de impact care nu afectează direct funcționarea sistemului, dar, în același timp, poate încălca politica de securitate a acestuia. Absența unei influențe directe asupra funcționării DCS duce tocmai la faptul că influența pasivă la distanță (PEL) este greu de detectat. Un posibil exemplu de RCS tipic într-un DCS este ascultarea unui canal de comunicație într-o rețea.
Un impact activ asupra unui DCS este un impact care are un impact direct asupra funcționării sistemului în sine (funcționare defectuoasă, modificarea configurației DCS etc.), care încalcă politica de securitate adoptată în acesta. Aproape toate tipurile de atacuri de la distanță sunt influențe active. Acest lucru se datorează faptului că un principiu activ este inclus în însăși natura impactului dăunător. O diferență clară între influența activă și cea pasivă este posibilitatea fundamentală de detectare a acesteia, deoarece, ca urmare a implementării sale, apar unele modificări în sistem. Cu o influență pasivă, nu rămâne absolut nicio urmă (datorită faptului că atacatorul vede mesajul altcuiva în sistem, de fapt nimic nu se schimbă în același moment).
După scopul impactului
Încălcarea funcționării sistemului (acces la sistem)
Încălcarea integrității resurselor informaționale (IR)
Încălcarea confidențialității IR
Acest criteriu, prin care se face clasificarea, este, de fapt, o proiecție directă a celor trei tipuri de bază de amenințări - refuzul serviciului, dezvăluirea și încălcarea integrității.
Scopul principal urmărit în aproape orice atac este obținerea accesului neautorizat la informații. Există două opțiuni de bază pentru obținerea informațiilor: distorsiunea și interceptarea. Opțiunea de interceptare a informațiilor înseamnă obținerea accesului la ea fără posibilitatea de a le schimba. Interceptarea informațiilor duce, prin urmare, la o încălcare a confidențialității acestora. Ascultarea unui canal în rețea este un exemplu de interceptare a informațiilor. În acest caz, există acces nelegitim la informație fără opțiuni posibile pentru înlocuirea acesteia. De asemenea, este evident că încălcarea confidențialității informațiilor se referă la influențe pasive.
Abilitatea de a substitui informații ar trebui înțeleasă fie ca control complet asupra fluxului de informații între obiectele sistemului, fie ca abilitatea de a transfera diferite mesaje în numele altcuiva. Prin urmare, este clar că înlocuirea informațiilor duce la o încălcare a integrității acesteia. O astfel de influență informațională distructivă este un exemplu tipic de influență activă. Un exemplu de atac la distanță conceput pentru a încălca integritatea informațiilor poate fi un atac la distanță (UA) „Obiect fals al RCS”.
Prin prezența feedback-ului cu obiectul atacat
Cu feedback
Buclă deschisă (atac unidirecțional)
Atacatorul trimite niște solicitări obiectului atacat, la care se așteaptă să primească un răspuns. În consecință, între atacator și atacat apare un feedback, permițându-i acestuia să răspundă în mod adecvat la tot felul de modificări asupra obiectului atacat. Aceasta este esența unui atac de la distanță efectuat în prezența feedback-ului de la obiectul atacator. Astfel de atacuri sunt cele mai tipice pentru RVS.
Atacurile în buclă deschisă se caracterizează prin faptul că nu trebuie să reacționeze la modificările asupra obiectului atacat. Astfel de atacuri sunt de obicei efectuate prin trimiterea de cereri unice către obiectul atacat. Atacatorul nu are nevoie de răspunsuri la aceste solicitări. Acest UA poate fi numit și un UA unidirecțional. Un exemplu de atacuri unidirecționale este un atac DoS tipic.
După condiția începerii impactului
Impactul de la distanță, ca oricare altul, poate începe să fie efectuat numai în anumite condiții. Există trei tipuri de astfel de atacuri condiționate în RVS:
Atacul la cerere de la obiectul atacat
Atacul la apariția evenimentului așteptat asupra obiectului atacat
Atacul necondiționat
Atacatorul va începe să influențeze cu condiția ca potențiala țintă a atacului să trimită o cerere de un anumit tip. Un astfel de atac poate fi numit atac de cerere de la obiectul atacat. Acest tip de UA este cel mai tipic pentru RVS. Un exemplu de astfel de interogări pe Internet sunt interogările DNS și ARP, iar în Novell NetWare, o interogare SAP.
Atacul la apariția evenimentului așteptat asupra obiectului atacat. Atacatorul monitorizează continuu starea sistemului de operare a țintei de la distanță a atacului și începe impactul atunci când are loc un anumit eveniment în acest sistem. Obiectul atacat însuși este inițiatorul atacului. Un exemplu de astfel de eveniment ar fi întreruperea unei sesiuni de utilizator cu serverul fără a lansa o comandă LOGOUT în Novell NetWare.
Un atac necondiționat este efectuat imediat și indiferent de starea sistemului de operare și a obiectului atacat. Prin urmare, atacatorul este inițiatorul începerii atacului în acest caz.
În cazul unei defecțiuni a sistemului, se urmăresc alte obiective și nu se așteaptă ca un atacator să obțină acces ilegal la date. Scopul său este de a dezactiva sistemul de operare pe obiectul atacat și imposibilitatea accesului altor obiecte din sistem la resursele acestui obiect. Un exemplu de acest tip de atac este atacul DoS UA.
După localizarea subiectului atacului în raport cu obiectul atacat
Intra-segment
Intersegment
Cateva definitii:
Sursa atacului (subiectul atacului) este programul (eventual operatorul), care conduce atacul și desfășoară acțiune directă.
Gazdă (gazdă) - un computer care este un element al rețelei.
Un router este un dispozitiv care asigură rutarea pachetelor într-o rețea.
O subrețea este un grup de gazde care fac parte dintr-o rețea globală și se disting prin același număr de subrețea atribuit lor de către router. De asemenea, puteți spune că o subrețea este o asociere logică de gazde prin intermediul unui router. Gazdele din aceeași subrețea pot comunica direct între ele fără a utiliza un router.
Un segment de rețea este o grupare de gazde la nivelul fizic.
Din punctul de vedere al unui atac la distanță, este extrem de importantă poziția relativă a subiectului și a obiectului atacului, adică dacă sunt în segmente diferite sau în aceleași segmente. În timpul unui atac intra-segment, subiectul și obiectul atacului sunt situate în același segment. În cazul unui atac încrucișat, subiectul și ținta atacului sunt pe segmente diferite de rețea. Această caracteristică de clasificare face posibilă aprecierea așa-numitului „grad de îndepărtare” a atacului.
Se va arăta mai jos că practic un atac intra-segment este mult mai ușor de realizat decât unul intersegment. Rețineți, de asemenea, că un atac la distanță pe segmente încrucișate prezintă un pericol mult mai mare decât unul intra-segment. Acest lucru se datorează faptului că, în cazul unui atac intersegment, obiectul său și atacatorul direct pot fi localizați la o distanță de multe mii de kilometri unul de celălalt, ceea ce poate împiedica în mod semnificativ măsurile de respingere a atacului.
După nivelul modelului de referință ISO/OSI la care se realizează impactul
Fizic
Conductă
Reţea
Transport
Sesiune
Reprezentant
Aplicat
Organizația Internațională pentru Standardizare (ISO) a adoptat standardul ISO 7498, care descrie interoperabilitatea sistemelor deschise (OSI), căruia îi aparține și PBC. Fiecare protocol de comunicare în rețea, precum și fiecare program de rețea, poate fi proiectat cumva pe modelul de referință OSI cu 7 straturi. O astfel de proiecție stratificată face posibilă descrierea funcțiilor utilizate într-un protocol sau program de rețea în termeni de model OSI. UA este un program de rețea și este logic să îl luăm din punct de vedere al proiecției pe modelul de referință ISO/OSI.
O scurtă descriere a unor atacuri de rețea
Fragmentarea datelor
Când se transmite un pachet de date IP printr-o rețea, acest pachet poate fi împărțit în mai multe fragmente. Ulterior, la atingerea destinației, pachetul este recuperat din aceste fragmente. Un atacator poate iniția trimiterea unui număr mare de fragmente, ceea ce duce la o depășire a bufferelor software pe partea de recepție și, în unele cazuri, la o terminare anormală a sistemului.
Ping atac de inundații
Acest atac necesită ca atacatorul să acceseze canalele de internet rapide.
Programul ping trimite un pachet ICMP ECHO REQUEST cu ora și ID-ul. Nucleul mașinii destinatare răspunde la o astfel de solicitare cu un pachet ICMP ECHO REPLY. Când ping îl primește, acesta raportează viteza pachetului.
În modul de operare standard, pachetele sunt trimise la intervale, practic neîncarcând rețeaua. Dar în modul „agresiv”, un flux de pachete de solicitare/răspuns ecou ICMP poate supraîncărca o linie mică, privându-l de capacitatea de a transmite informații utile.
Protocoale non-standard încapsulate în IP
Pachetul IP conține un câmp care definește protocolul pachetului încapsulat (TCP, UDP, ICMP). Atacatorii pot folosi o valoare nestandard a acestui câmp pentru a transfera date care nu vor fi capturate prin mijloace standard de control al fluxului de informații.
Atacul ștrumfilor
Atacul ștrumf constă în trimiterea transmisiunilor ICMP în rețea în numele computerului victimă.
Ca urmare, calculatoarele care au primit astfel de pachete de difuzare răspund computerului victimă, ceea ce duce la o scădere semnificativă a lățimii de bandă a canalului de comunicație și, în unele cazuri, la izolarea completă a rețelei atacate. Atacul ștrumfului este extrem de eficient și răspândit.
Contramăsuri: Pentru a recunoaște acest atac, este necesar să se analizeze încărcarea canalului și să se determine motivele scăderii debitului.
Atac de falsificare DNS
Rezultatul acestui atac este introducerea corespondenței forțate între adresa IP și numele domeniului în memoria cache a serverului DNS. Ca urmare a implementării cu succes a unui astfel de atac, toți utilizatorii serverului DNS vor primi informații incorecte despre numele de domenii și adresele IP. Acest atac este caracterizat de un număr mare de pachete DNS cu același nume de domeniu. Acest lucru se datorează necesității de a selecta unii parametri de schimb DNS.
Contramăsuri: pentru a detecta un astfel de atac este necesar să se analizeze conținutul traficului DNS sau să se folosească DNSSEC.
Atacul de falsificare IP
Un număr mare de atacuri pe Internet implică falsificarea adresei IP inițiale. Astfel de atacuri includ și falsificarea syslog, care implică trimiterea unui mesaj către un computer victimă în numele unui alt computer din rețeaua internă. Deoarece protocolul syslog este folosit pentru a menține jurnalele de sistem, este posibil să se impună informații sau să se acopere urmele de acces neautorizat prin trimiterea de mesaje false către computerul victimei.
Contracare: detectarea atacurilor legate de spoofing-ul adreselor IP este posibilă prin monitorizarea primirii pe una dintre interfețele unui pachet cu adresa sursă a aceleiași interfețe sau prin monitorizarea primirii pachetelor cu adrese IP ale rețelei interne pe extern. interfata.
Implementarea pachetelor
Atacatorul trimite pachete în rețea cu o adresă de retur falsă. Cu acest atac, un atacator poate comuta conexiunile între alte computere la computerul său. În acest caz, drepturile de acces ale atacatorului devin egale cu drepturile utilizatorului a cărui conexiune la server a fost comutată la computerul atacatorului.
Sniffing - ascultarea unui canal
Posibil numai în segmentul de rețea locală.
Aproape toate plăcile de rețea acceptă capacitatea de a captura pachete transmise pe un canal LAN comun. În acest caz, stația de lucru poate primi pachete adresate altor computere din același segment de rețea. Astfel, tot schimbul de informații din segmentul de rețea devine disponibil atacatorului. Pentru ca acest atac să aibă succes, computerul atacatorului trebuie să fie situat pe același segment LAN ca și computerul atacat.
Capturarea pachetelor pe un router
Software-ul de rețea al routerului are acces la toate pachetele de rețea transmise prin acest router, ceea ce permite capturarea pachetelor. Pentru a efectua acest atac, un atacator trebuie să aibă acces privilegiat la cel puțin un router din rețea. Deoarece o mulțime de pachete sunt transmise de obicei printr-un router, interceptarea lor totală este aproape imposibilă. Cu toate acestea, pachetele individuale pot fi bine interceptate și salvate pentru analiza ulterioară de către un atacator. Cea mai eficientă interceptare a pachetelor FTP care conțin parole de utilizator, precum și e-mail.
Impunerea unei rute false pe o gazdă folosind ICMP
Pe Internet, există un protocol special ICMP (Internet Control Message Protocol), una dintre funcțiile căruia este de a informa gazdele despre schimbarea routerului curent. Acest mesaj de control se numește redirecționare. Este posibil să trimiteți un mesaj de redirecționare fals în numele routerului către gazda atacată de la orice gazdă din segmentul de rețea. Ca rezultat, tabelul de rutare curent al gazdei se modifică și, în viitor, tot traficul de rețea al acestei gazde va trece, de exemplu, prin gazda care a trimis un mesaj de redirecționare fals. Astfel, este posibil să se impună în mod activ o rută falsă într-un segment al Internetului.
Alături de datele obișnuite trimise printr-o conexiune TCP, standardul prevede și transferul de date urgente (Out Of Band). La nivelul formatelor de pachete TCP, acesta este exprimat ca un pointer urgent diferit de zero. Majoritatea computerelor cu Windows instalat au protocolul de rețea NetBIOS, care utilizează trei porturi IP pentru nevoile sale: 137, 138, 139. Dacă vă conectați la o mașină Windows pe portul 139 și trimiteți câțiva octeți de date OutOfBand acolo, atunci implementarea NetBIOS va neștiind ce să facă cu aceste date, pur și simplu închide sau repornește mașina. Pentru Windows 95, acesta arată de obicei ca un ecran cu text albastru care raportează o eroare în driverul TCP / IP și incapacitatea de a lucra cu rețeaua până când sistemul de operare este repornit. NT 4.0 repornește fără pachete de service, NT 4.0 cu pachetul ServicePack 2 cad într-un ecran albastru. Judecând după informațiile din rețea, atât Windows NT 3.51, cât și Windows 3.11 pentru grupuri de lucru sunt susceptibile la un astfel de atac.
Trimiterea datelor la portul 139 are ca rezultat o repornire a NT 4.0 sau un „ecran albastru al morții” cu Service Pack 2 instalat. O trimitere similară a datelor către 135 și alte porturi duce la o încărcare semnificativă a procesului RPCSS.EXE. Pe Windows NT WorkStation, acest lucru duce la o încetinire semnificativă, Windows NT Server practic îngheață.
Falsificarea gazdei de încredere
Atacurile de succes de la distanță de acest tip ar permite unui atacator să se conecteze la server în numele unei gazde de încredere. (Gazda de încredere este o stație care s-a conectat legal la server). Implementarea acestui tip de atac constă de obicei în trimiterea de pachete de schimb de la stația atacatorului în numele unei stații de încredere aflate sub controlul acestuia.
Tehnologii de detectare a atacurilor
Rețelele și tehnologiile informaționale se schimbă atât de repede încât mecanismele de protecție statică, care includ sisteme de control al accesului, ME, sisteme de autentificare, în multe cazuri nu pot oferi o protecție eficientă. Prin urmare, sunt necesare metode dinamice pentru a detecta și a preveni rapid breșele de securitate. O tehnologie care poate detecta încălcările care nu pot fi identificate folosind modelele tradiționale de control al accesului este tehnologia de detectare a intruziunilor.
În esență, procesul de detectare a intruziunilor este procesul de evaluare a activității suspecte care au loc în rețeaua corporativă. Cu alte cuvinte, detectarea intruziunilor este procesul de identificare și de răspuns la activități suspecte îndreptate către resursele de calcul sau de rețea.
Metode de analiză a informațiilor din rețea
Eficacitatea unui sistem de detectare a intruziunilor depinde în mare măsură de metodele utilizate pentru analizarea informațiilor primite. Primele sisteme de detectare a intruziunilor dezvoltate la începutul anilor 1980 au folosit tehnici statistice pentru a detecta atacurile. În prezent, la analiza statistică au fost adăugate o serie de tehnici noi, de la sisteme expert și logica fuzzy până la utilizarea rețelelor neuronale.
Metoda statistica
Principalele avantaje ale abordării statistice sunt utilizarea aparatului deja dezvoltat și dovedit de statistică matematică și adaptarea la comportamentul subiectului.
În primul rând, profilurile sunt determinate pentru toți subiecții sistemului analizat. Orice abatere de la profilul de referință utilizat este considerată activitate neautorizată. Metodele statistice sunt universale, deoarece analiza nu necesită cunoașterea posibilelor atacuri și a vulnerabilităților pe care le folosesc. Cu toate acestea, atunci când utilizați aceste tehnici, există și probleme:
Sistemele „statistice” sunt insensibile la ordinea evenimentelor; în unele cazuri, aceleași evenimente, în funcție de ordinea lor, pot caracteriza activitatea anormală sau normală;
Este dificil să se stabilească valorile limită (prag) ale caracteristicilor monitorizate de sistemul de detectare a intruziunilor pentru a identifica în mod adecvat activitatea anormală;
Sistemele „statistice” pot fi „antrenate” în timp de către atacatori, astfel încât acțiunile de atac să fie considerate normale.
De asemenea, trebuie avut în vedere că metodele statistice nu sunt aplicabile în cazurile în care utilizatorul nu are un model de comportament tipic sau când acțiunile neautorizate sunt tipice pentru utilizator.
Sistem expert
Sistemele experte sunt compuse dintr-un set de reguli care cuprind cunoștințele unui expert uman. Utilizarea sistemelor expert este o metodă comună de detectare a atacurilor, în care informațiile despre atacuri sunt formulate sub formă de reguli. Aceste reguli pot fi scrise, de exemplu, ca o secvență de acțiuni sau ca semnătură. Când se respectă oricare dintre aceste reguli, se ia o decizie cu privire la prezența unei activități neautorizate. Un avantaj important al acestei abordări este absența aproape completă a alarmelor false.
Baza de date a sistemului expert ar trebui să conțină scenariile majorității atacurilor cunoscute în prezent. Pentru a rămâne la zi în permanență, sistemele expert necesită actualizări constante ale bazelor de date. Deși sistemele expert oferă o bună oportunitate de a vizualiza datele din jurnale, actualizările necesare pot fi fie ignorate, fie efectuate manual de către administrator. Cel puțin, acest lucru duce la un sistem expert slăbit. In cel mai rau caz, lipsa intretinerii corespunzatoare reduce securitatea intregii retele, inducand in eroare utilizatorii cu privire la nivelul real de securitate.
Principalul dezavantaj este imposibilitatea respingerii atacurilor necunoscute. În același timp, chiar și o mică modificare a unui atac deja cunoscut poate deveni un obstacol serios în calea funcționării sistemului de detectare a intruziunilor.
Rețele neuronale
Majoritatea metodelor moderne de detectare a atacurilor folosesc o anumită formă de analiză statistică sau bazată pe reguli a spațiului controlat. Spațiul monitorizat poate fi jurnalele sau traficul de rețea. Analiza se bazează pe un set de reguli predefinite care sunt create de administrator sau de sistemul de detectare a intruziunilor însuși.
Orice împărțire a unui atac în timp sau între mai mulți atacatori este greu de detectat cu sistemele experte. Datorită varietății mari de atacuri și hackeri, chiar și actualizările constante speciale ale bazei de date a regulilor sistemului expert nu vor garanta niciodată identificarea exactă a întregii game de atacuri.
Utilizarea rețelelor neuronale este una dintre modalitățile de a depăși problemele indicate ale sistemelor expert. Spre deosebire de sistemele expert, care pot oferi utilizatorului un răspuns cert cu privire la corespondența caracteristicilor luate în considerare cu regulile stabilite în baza de date, rețeaua neuronală analizează informațiile și oferă posibilitatea de a evalua dacă datele sunt în concordanță cu caracteristicile pe care le are. a fost învățat să recunoască. În timp ce gradul de corespondență al reprezentării rețelei neuronale poate ajunge la 100%, fiabilitatea alegerii depinde în întregime de calitatea sistemului în analiza exemplelor sarcinii în cauză.
În primul rând, rețeaua neuronală este antrenată să identifice corect pe un eșantion preselectat de exemple de domenii. Este analizat răspunsul rețelei neuronale și sistemul este reglat astfel încât să se obțină rezultate satisfăcătoare. Pe lângă perioada de pregătire inițială, rețeaua neuronală câștigă experiență în timp pe măsură ce analizează datele legate de domeniul subiectului.
Un avantaj important al rețelelor neuronale în detectarea abuzului este capacitatea lor de a „învăța” caracteristicile atacurilor deliberate și de a identifica elemente care nu sunt similare cu cele observate în rețea anterior.
Fiecare dintre metodele descrise are o serie de avantaje și dezavantaje, așa că acum este practic dificil să găsești un sistem care să implementeze doar una dintre metodele descrise. De obicei, aceste metode sunt utilizate în combinație.
